帶有Alt-Ergo的WP插件-無法證明?
[英]WP Plugin with Alt-Ergo - unable to prove?
問題描述
我正在嘗試使用Alt-Ergo在相當復雜的功能上測試WP插件。 不幸的是,我無法弄清楚下面給出的“基本”行為出了什么問題。
這種行為應該是正確的,因為除了第一個條件語句的else節之外,沒有其他地方可以更新tenumRMode。
奇怪的是,如果我隨意評論某些行,那么我總是會從Alt-ergo獲得“有效”信息。
任何意見?
/*@ behavior basic:
@ assumes fRrValue == 0;
@ ensures tenumRMode == SS_A_MODE;
@
*/
[formal_verification]$ frama-c -wp -wp-rte -wp-bhv=basic foo.c -wp-out t -lib-entry -main foo -wp-model ref -wp-timeout=50 -wp-fct=foo -wp-out t
[kernel] preprocessing with "gcc -C -E -I. foo.c"
[wp] Running WP plugin...
[rte] annotating function foo
[wp] Collecting axiomatic usage
[wp] Collecting variable usage
[wp] 1 goal scheduled
[wp] [Alt-Ergo] Goal typed_ref_foo_basic_post : Unknown (Qed:20ms)
typedef unsigned char BOOL;
#define TRUE 1
#define FALSE 0
typedef unsigned char uint8;
typedef unsigned short int uint16;
typedef unsigned long uint32;
uint16 F_MIN_R = 15;
const uint8 RESP_STATE = 30;
typedef enum
{
RESP_MODE,
SS_A_MODE
}tenumMode;
tenumMode tenumRMode;
BOOL gbCaMStatus;
BOOL gbCaaStatus;
uint8 mnPb;
BOOL mbApLYRange;
BOOL mbApLRange;
float gfApYLineSlope;
float gfApYLineConst;
float gfApRLineSlope;
float gfApRLineConst;
float mfAp;
uint16 almC;
uint16 nApLYL = 0;
uint16 nApLRL = 0;
uint16 Ap_Y_L_Ui = 0;
uint16 Ap_R_L_Ui = 0;
float fCaValue=0.0;
float fRrValue = 0.0;
uint16 nCaLYL=0;
uint16 nCaLRL=0;
/*@ behavior basic:
@ assumes fRrValue == 0;
@ ensures tenumRMode == SS_A_MODE;
@
*/
void foo()
{
float mfNewAp = 0;
BOOL bYAp = FALSE;
BOOL bRAp = FALSE;
BOOL bApAlmC = FALSE;
if (fRrValue != 0)
{
/* Some code here */
}
else
{
if (mnPb == 1)
{
mfAp = RESP_STATE;
mnPb = 2;
}
tenumRMode = SS_A_MODE;
}
if ( (mfAp >= F_MIN_R) &&
((gbCaMStatus == TRUE) && (gbCaaStatus == FALSE)) )
{
bApAlmC = TRUE;
almC = 1;
}
else
{
almC = 0;
}
if ( (bApAlmC == TRUE)
&& (mfAp < nApLYL)
&& (fCaValue >= nCaLYL) )
{
float fmultval = 0;
fmultval = gfApYLineSlope*fCaValue;
mfNewAp = fmultval + gfApYLineConst;
if (mfAp >= mfNewAp)
bYAp = TRUE;
else
bYAp = FALSE;
Ap_Y_L_Ui = (uint16)mfNewAp;
}
if ((bApAlmC == TRUE) && (fCaValue > (float)nCaLYL))
{
mfNewAp = ((gfApYLineSlope*fCaValue) + gfApYLineConst);
if (mfNewAp < (float)nApLYL);
Ap_Y_L_Ui = (uint16)mfNewAp;
}
else if ((bApAlmC == TRUE) && (fCaValue <= (float)nCaLYL))
Ap_Y_L_Ui = F_MIN_R;
if ( (bApAlmC == TRUE) && (fCaValue >= nCaLRL) )
{
float fmultval = 0;
fmultval = gfApRLineSlope*fCaValue;
mfNewAp = fmultval + gfApRLineConst;
if (mfAp >= mfNewAp)
bRAp = TRUE;
else
bRAp = FALSE;
Ap_R_L_Ui = (uint16)mfNewAp;
}
else if ( (bApAlmC == TRUE) && (fCaValue < nCaLRL) )
Ap_R_L_Ui = F_MIN_R;
if ( (mfAp >= nApLYL)
|| ((bApAlmC == TRUE) && (fCaValue < nCaLYL))
|| ((bYAp == TRUE)
&& (gbCaMStatus == TRUE) && (gbCaaStatus == FALSE) ) )
{
mbApLYRange = TRUE;
}
else
mbApLYRange = FALSE;
if ( (mfAp >= nApLRL)
|| ((bApAlmC == TRUE) && (fCaValue < nCaLRL))
|| ((bRAp == TRUE)
&& (gbCaMStatus == TRUE) && (gbCaaStatus == FALSE) ) )
{
/* Some code here */
}
}
1 個解決方案
解決方案1
1 2014-01-11 13:14:52
您使用的是哪個版本的Alt-ergo和Frama-C? 我使用Frama-C Oxygen-20120901和Alt-Ergo 0.95.2版 (通過OPAM安裝)嘗試了您的示例,得到了:
$ frama-c -wp -wp-rte -lib-entry -main foo foo.c -wp-bhv = basic
[內核]使用“ gcc -C -E -I。foo.c”進行預處理
[wp]正在運行WP插件...
[wp]收集公理用法
foo.c:51:[wp]警告:[get_strategies]找不到任何行為
foo.c:51:[wp]警告:[get_strategies]找不到任何行為
[rte]注釋函數foo
[wp]已計划1個進球
[wp] [Alt-Ergo]目標store_foo_basic_post:未知
當我直接嘗試Alt-Ergo(v。0.95.2)時,我得到了:
$ alt-ergo store_foo_basic_post_po_ergo.why
文件“ store_foo_basic_post_po_ergo.why”,第1220行,字符22-24:語法錯誤
手動修復語法錯誤后即可證明VC。 我認為Alt-Ergo v。> = 0.95與Frama-C Oxygen不兼容。 順便說一句,我不知道OPAM尚未在計算機上安裝最新版本的Frama-C(即Fluorine-20130601 )
- 問候
有什么方法可以拋棄 frama-c 創建的替代證明義務?
[英]Any way to dump the alt-ergo proof obligations that frama-c creates?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.