软件验证逻辑

Question

我正在研究自动化软件验证的要求，即一个接受代码（用 C 和 Java 等语言编写的普通程序代码）的程序，生成一堆定理，表明每个循环最终必须停止，不会违反任何断言，永远不会对空指针等进行取消引用，然后将其传递给定理证明者以证明它们实际上是正确的（或者找到一个表明代码中存在错误的反例）。

问题是使用什么样的逻辑。两个主要立场似乎是：

1. 一阶逻辑就很好。

2. 一阶逻辑的表达能力不够，您需要更高阶的逻辑。

问题是，这两个立场似乎都得到了很多支持。那么哪一个是正确的呢？如果是第二个，是否有任何可用的示例来说明您想要做的事情，而基于一阶逻辑的验证者却遇到了麻烦？

Answer 1

您可以在 FOL 中完成您需要的所有操作，但这需要大量额外工作 - 很多！大多数现有系统都是由学者/没有太多时间的人开发的，因此他们很想走捷径来节省时间/精力，从而被 HOL、函数式语言等所吸引。但是，如果你想构建一个如果系统将被数十万人使用，而不仅仅是数百人，我们相信 FOL 是最佳选择，因为它更容易为更广泛的受众所使用。工作是无可替代的；我们已经这样做了 25 年了！请看看我们的项目 (http://www.manmademinions.com)

问候，Aaron。

Answer 2

根据我的实践经验，似乎是“1.一阶逻辑就可以了”。有关完全使用基于一阶逻辑的规范语言编写的各种函数的完整规范的示例，请参见 ACSL 示例 或 本案例研究。

一阶逻辑具有自动证明器（不是证明助手），多年来经过改进，可以处理来自程序验证的井属性。用于这些用途的著名自动证明程序有 Simplify、Z3 和 Alt-ergo。如果这些证明者失败，并且您没有可以添加明显的引理/断言来帮助他们，您仍然可以启动证明助手来完成困难的证明义务。另一方面，如果您使用 HOL，则根本无法使用 Simplify、Z3 或 Alt-ergo，虽然我听说过用于高阶逻辑的自动证明器，但我从未听说过它们在属性方面因其效率而受到赞扬来自程序。

Answer 3

我们发现 FOL 对于大多数验证条件来说都很好，但高阶逻辑对于少数情况来说是无价的，例如用于证明集合中元素求和的属性。因此，我们的定理证明器（在 Perfect Developer 和 Escher C Verifier 中使用）基本上是一阶的，但也能够进行一些高阶推理。