Логика разделения
Логика разделения, сепарационная логика (англ. separation logic) — формальная система, субструктурная логика, применимая к верификации программ, содержащих изменяемые структуры данных и указатели, расширение логики Хоара. Разработана Джоном Рейнольдсом (англ. John C. Reynolds), Питером О’Хирном (англ. Peter O'Hearn), Самином Иштиаком (англ. Samin Ishtiaq) и Хонсёком Яном (англ. Hongseok Yang)[1][2][3][4] на основе работ Рода Бёрстола (англ. Rod Burstall)[5]. Язык утверждений логики разделения является специальным случаем логики пучковых импликаций (англ. logic of bunched implications)[6].
Развитием логики разделения для параллельных вычислений с общей памятью является параллельная логика разделения , разработанная О’Хирном и Стивеном Бруксом (фр. Stephen D. Brookes).
Технологии, основанные на логике разделения, позволяют разрабатывать системы для верификации крупных программных проектов[7].
Предпосылки создания
Логика Хоара имеет ряд ограничений, работая только с изменяемыми переменными и не поддерживая процедуры или код первого класса. Тем не менее, самое большое ограничение — это отсутствие поддержки указателей, что наиболее актуально для спецификации императивных программ. В случае использования указателей и кучи от изменяемых переменных можно отказаться, присваивая локальным переменным значение-указатель лишь один раз[8].
В 2000—2002 годах Джон Рейнольдс и Питер О’Хирн придумали расширение логики Хоара — логику разделения. Первоначальной идеей было упрощение рассуждений об императивных программах низкого уровня с общей изменяемой структурой данных[9]. Сам термин связан с основной идеей данной логики — описанием разделения хранилища (англ. storage) на непересекающиеся компоненты. Термин используется как в отношении исчисления предикатов, расширенного оператором разделения, так и для результата расширения хоаровской логики[1].
Описание
Ключевой особенностью логики разделения является возможность локальных рассуждений (local reasoning) благодаря наличию в утверждениях пространственных связок (англ. spatial connectives) между частями кучи[10].
Логика позволяет работать с утверждениями вида , где:
- — память (например, в виде стека[1]), конечное частичное функциональное отображение из переменных в целые,
- — куча, конечное частичное функциональное отображение из целых в целые, а
- — утверждение о памяти и куче, то есть, о состоянии программы[12].
Для преодоления громоздких описаний запретов на использование одного и того же адреса разными объектами, введена новая логическая операция — разделяющая конъюнкция (disjoint conjunction), обозначаемая (или [13]) и утверждающая, что каждое из условий и выполняются в своей части кучи (адресуемого хранилища)[9][14]. То есть, истинна для кучи , если существуют две части этой кучи и , для которых выполнено[15]:
- Области и не пересекаются;
- является объединением и ;
- верно для всех адресов из ;
- верно для всех адресов из .
Выше под и понимаются частичные функции, дающие значения, соответствующие адресу в куче.
Для утверждения, что куча пуста, введён предикат (при этом очевидно выполняется ), а для обозначения указателя — . Например, в следующей, являющейся одной из аксиом, тройке Хоара
предусловием является неиспользованность ячейки памяти, которая в результате операции присваивания указывает на F, что и утверждается в постусловии[12].
Ключевым для локальных рассуждений является введённое О’Хирном правило фрейма (frame rule)[1]:
- ,
в котором никакая свободная переменная (англ. free variable) в не изменяется (англ. modified) под влиянием команды . Используя это правило, можно добавлять произвольные предикаты о переменных и частях кучи, которые не изменяются командой . При этом О’Хирн назвал объём занимаемой кучи, затрагиваемой командой, термином англ. footprint («отпечаток»). Назначением правила фрейма является расширение рассуждения с более локального описания команды на более глобальное описание объемлющей команды — команды с бо́льшим отпечатком[1].
Установив, что логика разделения является примером логики пучковых импликаций, Ян и Иштиак ввёл разделяющую импликацию (англ. separating implication[1], англ. magic wand). Обозначение говорит о том, если куча была расширена непересекающейся с ней кучей, для которой верно , то для получившейся в результате кучи будет верно [7].
Семантика логических связок (разделяющей конъюнкции и разделяющей импликации) подразумевает моноидную структуру кучи[7].
Параллельная логика разделения (CSL)
Параллельная логика разделения (англ. Concurrent Separation Logic, CSL) — версия логики, применимая для верификации параллельных алгоритмов с общей памятью. Изначально предложена Питером О’Хирном. В ней используется следующее правило[16]
- ,
которое позволяет строить выводы в присутствии независимых потоков выполнения, обращающихся к отдельному хранилищу. Правила доказательства О’Хирна адаптировали ранний подход Тони Хоара к параллелизму[17], заменив использование ограничений области видимости для обеспечения разделения рассуждениями в логике разделения. В дополнение к распространению подхода Хоара на указатели в куче, О’Хирн показал, что логика параллельного разделения может динамически отслеживать передачу владения областями кучи между процессами. Так, примеры в его статье включают буфер передачи указателя и менеджер памяти.
Локальные рассуждения можно понимать и в терминах передачи принадлежности (англ. ownership transfer). Легче всего рассмотреть передачу принадлежности на примере правил монитора Хоара (можно увидеть, что логика разделения подходит и для распределённых систем). Для входа процесса в критическую секцию применяется разделяющая конъюнкция с , где — инвариант ресурса r. По выходе из критической секции логический вывод следует в обратном направлении[18]:
- ,
По аналогии можно рассматривать и процесс обработки процессом сообщения, отправленного другим процессом с делегированными данному процессу ресурсами, определяемыми отпечатками[18].
Модель для параллельной логики разделения была впервые представлена Стивеном Бруксом (фр. Stephen D. Brookes) в сопроводительной статье к статье О’Хирна[19]. Корректность (англ. soundness) логики была сложной проблемой. В частности, контрпример Джона Рейнольдса показал несостоятельность более ранней, неопубликованной версии логики. Вопрос, поднятый примером Рейнольдса, кратко описан в статье О’Хирна и более подробно у Брукса.
О’Хирн и Брукс — сообладатели премии Гёделя 2016 года за изобретение логики параллельного разделения[20].
Применение и реализации
Логика разделения нашла применение в автоматических и интерактивных верификаторах программного обеспечения, написанного в императивном и объектно-ориентированном стиле. Для этого были разработаны соответствующие дополнения к существующим инструментам верификации, например, таких как:
- Ynot[21] — библиотека Coq для верификации императивных программ.
- Predator[22] — это анализатор программ на основе логики разделения для анализа программ, содержащих динамические списки[23].
Другие системы, использующие логику разделения: Smallfoot, Space Invader, THOR, SLAyer, HIP, jStar, Xisa, VeriFast, Infer, SeLoger, SLP. Тем не менее, по состоянию на 2014 год отсутствуют практичные доказатели теорем, реализующие полную логику разделения, то есть включающие разделяющую импликацию[7].
По характеру использования системы можно разделить следующим образом[24]:
- Пользователь вручную пишет как спецификацию, так и доказательства, используя тактики: интерактивные системы доказательства теорем Coq, HOL4, Isabelle/HOL.
- Пользователь пишет спецификацию и инварианты циклов: самостоятельные инструменты для верификации Smallfoot, HIP, Verifast, Jstar.
- Пользователь пишет только спецификацию (или даже ничего не пишет): инструменты для анализа формы (англ. shape analysis) Space Invader, THOR, Xisa, SLAyer.
Примечания
- ↑ 1 2 3 4 5 6 Reynolds, 2002.
- ↑ Intuitionistic Reasoning about Shared Mutable Data Structure. John Reynolds. Millennial Perspectives in Computer Science, Proceedings of the 1999 Oxford-Microsoft Symposium in Honour of Sir Tony Hoare
- ↑ BI as an Assertion Language for Mutable Data Structures. Samin Ishtiaq, Peter O’Hearn. POPL 2001.
- ↑ Local Reasoning about Programs that Alter Data Structures. Архивная копия от 27 сентября 2013 на Wayback Machine Peter O’Hearn, John Reynolds, Hongseok Yang. CSL 2001
- ↑ Some techniques for proving programs which alter data structures. R.M. Burstall. Machine Intelligence 7, 1972.
- ↑ The Logic of Bunched Implications P.W. O’Hearn and D. J. Pym. Bulletin of Symbolic Logic , 5(2), June 1999, pp215-244
- ↑ 1 2 3 4 Lee, Park, 2014.
- ↑ Programs and Proofs, 2014.
- ↑ 1 2 Reynolds, 2008.
- ↑ Parkinson, Bierman, 2005.
- ↑ Chris Poskitt Software Verification (Fall 2013) Lecture 5: Separation Logic Parts I - II (недоступная ссылка)
- ↑ 1 2 A Primer on Separation Logic, 2012.
- ↑ Tjark Weber (2004). "Towards Mechanized Program Verification with Separation Logic". Computer Science Logic~-- 18th International Workshop, CSL 2004, 13th Annual Conference of the EACSL, Karpacz, Poland, September 2004, Proceedings. Lecture Notes in Computer Science. Springer. pp. 250--264. weber04towards.
{{cite conference}}
:|access-date=
требует|url=
() - ↑ Matthew J. Parkinson Local reasoning for Java Архивная копия от 23 сентября 2015 на Wayback Machine, 2005, UCAM-CL-TR-654, ISSN 14762986
- ↑ Lecture 24: Pointer and shape analysis Архивная копия от 29 ноября 2014 на Wayback Machine, LARA, EPFL
- ↑ O'Hearn, Peter (2007). "Resources, Concurrency and Local Reasoning" (PDF). Theoretical Computer Science. 375 (1—3): 271—307. doi:10.1016/j.tcs.2006.12.035. Архивировано (PDF) 4 марта 2021. Дата обращения: 24 марта 2021.
- ↑ Hoare, C.A.R. (1972). "Towards a theory of parallel programming". Operating System Techniques. Academic Press.
- ↑ 1 2 Étienne Lozes Information as Resource in Separation Logic (недоступная ссылка), ANR project, draft
- ↑ Brookes, Stephen (2007). "A Semantics for Concurrent Separation Logic" (PDF). Theoretical Computer Science. 375 (1—3): 227—270. doi:10.1016/j.tcs.2006.12.034. Архивировано (PDF) 9 мая 2021. Дата обращения: 24 марта 2021.
- ↑ European Association for Theoretical Computer Science 2016 Gödel Prize Архивная копия от 14 июля 2016 на Wayback Machine
- ↑ Ynot . Дата обращения: 19 ноября 2014. Архивировано 25 февраля 2009 года.
- ↑ Predator . Дата обращения: 19 ноября 2014. Архивировано 25 октября 2014 года.
- ↑ Мутилин В. С., Новиков Е. М., Хорошилов А. В. Обзор инструментов статической верификации Си программ в применении к драйверам устройств операционной системы Linux // Труды Института системного программирования РАН. — 2012. — Т. 22, № 3. — С. 293-326.
- ↑ Cliff Jones (from U. Newcastle), Viktor Vafeiadis (from MPI-SWS) Rely-guarantee thinking & separation logic Архивная копия от 29 ноября 2014 на Wayback Machine
Литература
- Reynolds J. C. Separation Logic: A Logic for Shared Mutable Data Structures (англ.) // LICS '02: Proceedings of the 17th Annual IEEE Symposium on Logic in Computer Science — Washington, D.C.: IEEE Computer Society, 2002. — P. 55—74. — ISBN 978-0-7695-1483-3 — doi:10.1109/LICS.2002.1029817
- Reynolds J. C. An Overview of Separation Logic (англ.) // Verified Software: Theories, Tools, Experiments: First IFIP TC 2/WG 2.3 Conference, VSTTE 2005, Zurich, Switzerland, October 10-13, 2005, Revised Selected Papers and Discussions / B. Meyer, J. Woodcock — Berlin: Springer Berlin Heidelberg, 2008. — P. 460—469. — (Lecture Notes in Computer Science; Vol. 4171) — ISBN 978-3-540-69147-1 — ISSN 0302-9743; 1611-3349 — doi:10.1007/978-3-540-69149-5_49
- Parkinson M., Bierman G. Separation Logic and Abstraction (англ.) // POPL '05: Proceedings of the 32nd ACM SIGPLAN-SIGACT symposium on Principles of programming languages Long Beach, CA, USA January 12-14, 2005 — New York City: ACM, 2005. — Vol. 40, Iss. 1. — P. 247—258. — ISBN 978-1-58113-830-6 — doi:10.1145/1047659.1040326
- Lee, Wonyeol and Park, Sungwoo. A Proof System for Separation Logic with Magic Wand (англ.) // SIGPLAN Not.. — ACM, 2014. — Vol. 49, no. 1. — P. 477--490. — ISSN 0362-1340.
- Appel A., Dockins R., Hobor A., Beringer L., Dodds J., Blazy S., Leroy X. Program Logics for Certified Compilers (англ.) — Cambridge University Press, 2014. — 472 p. — ISBN 978-1-107-04801-0
- Ilya Sergey. 8.2 Basics of Separation Logic // Programs and Proofs: Mechanizing Mathematics with Dependent Types. — 2014. — (Lecture Notes).
- Peter W. O’Hearn. A Primer on Separation Logic (and Automatic Program Verification and Analysis) // Software Safety and Security; Tools for Analysis and Verification. — 2012. — Vol. 33. — P. 286—318.
- O'Hearn, Peter (2019). "Separation logic". Commun. ACM. 62 (2). Association for Computing Machinery: 86—95. doi:10.1145/3211968. ISSN 0001-0782.
- Arthur Charguéraud. A Modern Eye on Separation Logic for Sequential Programs. — Université de Strasbourg, 2023.
Ссылки
- Cliff Jones (Newcastle University), Viktor Vafeiadis (MPI-SWS) Rely-guarantee thinking & separation logic (англ.) — презентация, хорошо иллюстрирующая понятия логики разделения
- Matthew Parkinson An Introduction to Separation Logic (англ.) — презентация, в которой иллюстрированы все основные аспекты логики разделения: аксиомы, примеры программ с соответствующими диаграммами, синтаксис