Effets - Système de types avec effets de RegML

3.2 Système de types avec effets de RegML

3.2.2 Effets

Pour détecter et résoudre les conflits d’aliasing, nous associons à chaque expression bien typée un effet Á défini comme une paire (Ê · Ï) constituée de deux ensembles disjoints Ê et Ï. L’ensemble Ê représente les régions potentiellement modifiées alors que l’ensemble Ï représente des régions « invalidées » dont l’utilisation ultérieure est interdite ou restreinte. Lorsqu’une expression est pure, c’est-à-dire qu’elle n’a pas d’ef-fets observables, les deux ensembles sont vides. Dans ce cas là, on note Á = ‹ et on dit que l’effet est vide.

Commençons par expliquer d’une manière informelle l’intuition derrière les en-sembles (Ê · Ï). Pour cela, considérons une séquence e1; e2. Notons fl la région d’une adresse mémoire (ou d’une variable libre) de e2 et (Ê1 · Ï1) l’effet de e1. Ce que nous souhaitons garantir, c’est que l’utilisation de la région fl dans e₂ soit valide vis-à-vis de l’effet (Ê1 · Ï1). D’une part, cela signifie que fl ne doit pas être une région invali-dée c’est-à-dire fl ”œ Ï1. D’autre part, cela signifie que l’ensemble Ê1 représente non seulement les régions qui sont modifiées dans e1 mais aussi les seules régions à tra-vers lesquelles on puisse accéder depuis fl à des régions sinon inaccessibles dans Ï1. Pour rendre formelle cette interaction entre les types et les effets, nous introduisons la définition suivante :

Définition 3.2.1 (Prédicat de validité). On dit qu’un type · est valide vis-à-vis de l’effet (Ê · Ï), ce que l’on note (Ê · Ï) Û ·, si et seulement si tout chemin partant de ·

vers une région de Ï rencontre au moins une région de Ê. Formellement, on définit le prédicat (Ê · Ï) Û · inductivement par les trois règles d’inférence suivantes :

(Ê · Ï) Û ‹^(vp·) ^ﬂœ Ê

(Ê · Ï) Û fl^(vpÊ) ^{fl /}œ Ê fl /œ Ï ’i. (Ê · Ï) Û fl.fi

(Ê · Ï) Û ﬂ ^(vpind)

Vérifions d’abord que cette définition reflète bien le fait que les régions invalidées ne sont pas valides :

Lemma 3.2.1. Quels que soient l’effet (Ê · Ï)et la région fl, (Ê · Ï) Û fl =∆ fl /œ Ï. Démonstration. Soit fl une région et (Ê · Ï) un effet tels que fl est valide vis-à-vis de (Ê · Ï). Si la dérivation de (Ê · Ï) Û fl se termine par la règle vpÊ, alorsfl œ Ê. Dans ce cas-ci, on a nécessairement fl /œ Ï, car, par définition, Ê et Ï sont disjoints. Sinon, la dérivation de (Ê · Ï) Û fl se termine par la règle vpind. Dans ce cas-là, fl /œ Ï d’après la prémisse de la règle, ce qui permet de conclure.

Notons que la réciproque du lemme ci-dessus est fausse : il suffit qu’il y ait une région flÕ avec flÕ œ R(fl) fl Ï et qu’il existe un chemin de fl à flÕ qui ne rencontre pas de régions deÊ, pour que l’on ait_{¬(Ê · Ï) Û fl}.

Comme nous le verrons par la suite, lorsque l’expression que l’on souhaite typer est une conditionnelle ou une liaison locale, on est amené à exprimer son effet en fonction des effets de ses sous-expressions. Pour cela, nous introduisons la définition suivante de l’effet union de deux effets :

Définition 3.2.2 (Effet union). On appelle l’effet union de deux effets Á1 = (Ê1· Ï1) etÁ₂ = (Ê2· Ï2), dénoté parÁ₁Û Á2, l’effet ({fl œ Ê1| Á2Û fl} fi {fl œ Ê2| Á1Û fl} · Ï1fi Ï2). Avant d’expliquer l’intuition derrière cette définition, vérifions d’abord que l’effet union ainsi défini est bien un effet, c’est-à-dire que l’ensemble des régions modifiées et des régions invalidées dans Á₁Û Á2 sont disjoints. Pour cela, notons(Ê · Ï) = Á1Û Á2 et considérons une région fl œ Ê. Si fl appartient à Ê₁ avec Á₂ Û fl, alors comme (Ê1· Ï1) est un effet, fl /œ Ï1 et comme Á2 Û fl, fl /œ Ï2 d’après le lemme 3.2.1. Donc fl /œ Ï. Le raisonnement est exactement le même lorsque fl appartientÊ₂ avecÁ₁Û fl. L’union

Á₁ Û Á2 de deux effets est donc bien un effet. Vérifions également que l’union de deux effets vérifie la propriété suivante :

Lemma 3.2.2. Quels que soient les effets Á1, Á₂ et le type ·, le jugement Á₁Û Á2Û ·

est valide si et seulement si les jugements Á1Û ﬂ etÁ2Û · sont valides.

Démonstration. Soit un type · et deux effets Á₁ = (Ê1· Ï1), Á₂ = (Ê2· Ï2). Notons (Ê · Ï) = Á1Û Á2. Montrons d’abord que Á₁Û Á2Û · impliqueÁ₁Û ﬂ etÁ₂Û ·. La preuve se fait par récurrence sur la dérivation de Á1 Û Á2 Û ·. Dans le cas de base Á1 Û Á2 Û ‹

le résultat est trivial. Dans le cas vpÊ, on a ﬂ œ Ê et il y a deux cas à considérer. Si

flœ Ê1 avec Á₂Û fl, alors on dérive Á₁Û fl par la règle vpÊ. Sinon, flœ Ê2 avecÁ₁ Û flet, de même, on dérive Á2Û fl par la règle vpÊ.

Considérons le cas où Á₁Û Á2 Û ﬂ est dérivé par la règle vpind. Par hypothèse, on a

fl /œ Ê,fl /œ Ïet_{’i. Á1}_ÛÁ2Ûfl.fi. CommeÊ₁etÏ₁ sont respectivement des sous-ensembles de Ê et de Ï, on a fl /œ Ê1 et fl /œ Ï1. Par ailleurs, par hypothèse de récurrence on a

Á₁Û fl.f_i pour touti. Ainsi, Á₁Û flse dérive par la règlevpind. Par le même raisonnement on vérifie que Á₂Û fl, ce qui permet de conclure pour le sens direct de l’implication.

Prouvons maintenant la réciproque. Supposons que (Ê1 · Ï1) Û · et (Ê2 · Ï2) Û ·. Montrons par induction sur la dérivation de (Ê1_{· Ï1}) Û · que l’on a bienÁ₁Û Á2Û ·.

Le cas de base · = ‹ est trivial. Supposons alors que (Ê1· Ï1) Û fl est dérivé par la règlevpÊ. On a doncflœ Ê1 et par hypothèse(Ê2_·Ï2)Ûfl. Ainsiflœ {ˆfl œ Ê1| Á2Ûˆfl} ™ Ê et on dérive le jugement (Ê · Ï) Û fl par la règlevpÊ.

Enfin, traitons le cas où la dérivation de (Ê1· Ï1) Û flse termine par la règle vpind. D’après les prémisses de la règle, on afl /œ Ê1,fl /œ Ï1et_{’i. (Ê1}·Ï1)Ûfl.fi. On a deux cas à considérer. Si la dérivation de (Ê2· Ï2) Û flse termine par la règle vpÊ, alors sachant que fl œ Ê2 et que fl œ {ˆfl œ Ê2| Á1 Û ˆfl} ™ Ê, on obtient (Ê · Ï) Û fl par la règle vpÊ. Sinon, la dérivation de(Ê2· Ï2) Û flse termine par la règlevpind avecfl /œ Ê2,fl /œ Ï2, et ’i. (Ê2· Ï2) Û fl.fi. On applique alors l’hypothèse de récurrence à chacun des jugements (Ê1· Ï1) Û fl.fi, ce qui donne_{’i. (Ê · Ï) Û fl.f}i. Par ailleurs, on sait que fl /œ Ê et fl /œ Ï. On dérive alors (Ê · Ï) Û fl par la règle vpind ce qui permet de conclure.

Expliquons maintenant l’intuition derrière cette définition. Tout d’abord, l’en-semble des régions invalidées de Á1 Û Á2 doit nécessairement inclure l’union Ï1 fi Ï2 puisque l’on ne connaît pas statiquement laquelle des deux branches sera évaluée. Le lecteur peut se demander néanmoins pourquoi notre définition fait intervenir le prédi-cat de validité dans la définition deÊ. Premièrement, remarquons qu’il serait incorrect de définir Ê par une simple union Ê₁ fi Ê2, car les ensembles Ê₁ fi Ê2 et Ï₁ fi Ï2 ne sont pas nécessairement disjoints. Deuxièmement, supposons que l’on définisseÊd’une manière plus simple par co-restriction (Ê1\ Ï2) fi (Ê2 \ Ï1). On vérifie cette fois que l’union Á₁Û Á2 est un effet. Par ailleurs, on peut vérifier l’implication

Á₁Û fl · Á2Û fl =∆ ((Ê1\ Ï2) fi (Ê2\ Ï1) · Ï1fi Ï2) Û fl.

Cependant, l’ennui avec une telle définition de l’union, c’est que la réciproque de l’implication (et donc le résultat du lemme 3.2.2) est fausse : la validité du jugement ((Ê1_{\ Ï2}) fi (Ê2 \ Ï1) · Ï1fi Ï2) Û fl n’implique pas simultanément la validité deÁ₁Û fl

et Á2 Û fl. Pour s’en persuader, considérons une région fl telle que fl appartient à Ê1 mais n’appartient ni à Ï2, ni à Ê2. Alors que l’on a (Ê1 · Ï1) Û fl, il suffit de poser

fl= {f : flÕ}r avecflÕ œ Ï2 (ce qui ne contredit pas les hypothèses faites) pour que l’on ne puisse pas avoir (Ê2· Ï2) Û fl. Revenons donc à l’effet union tel qu’il est donné dans la définition 3.2.2. Remarquons que pour cette définition-là, les effets possèdent des propriétés algébriques suivantes.

Lemma 3.2.3. L’ensemble des effets forment un semi-treillis borné sur _Û et_‹. Démonstration. Vérifions que_‹ est un élément neutre. En effet, pour tout effetÁ, on aÁÛ‹ = ‹ÛÁ = Á. D’autre part,_Ûest idempotente. En effet,Ê = {fl œ Ê | (Ê·Ï)Ûfl}, donc (Ê · Ï) Û (Ê · Ï) = (Ê · Ï). L’opération _Û est également commutative, puisque l’union de(Ê1·Ï1)et(Ê2·Ï2)définie comme({fl œ Ê1| Á2Ûfl}fi{fl œ Ê2| Á1Ûfl} · Ï1fiÏ2) est clairement égale à({fl œ Ê2| Á1Û fl} fi {fl œ Ê1| Á2Û fl} · Ï2fi Ï1).Enfin, vérifions que l’opération _Û est associative. NotonsÊ| Ápour _{{fl œ Ê | Á Û fl}}. Remarquons que, quels que soientÊ,ÁetÁÕ, d’après le lemme3.2.2, on a bien(Ê | Á) | ÁÕ = Ê | ÁÛÁÕ = (Ê | ÁÕ) | Á. Par conséquent, quels que soient Á1,Á2,Á3, on a

(Á1 Û Á2) Û Á3 = (Ê1_{| Á2} _{fi Ê2}_{| Á1}_{· Ï1}fi Ï2) Û Á3 (def) = ((Ê1_{| Á2} _{fi Ê2}_{| Á1}) | Á3fi Ê3| Á1Û Á2· Ï1fi Ï2fi Ï3) (def) = ((Ê1| Á2) | Á3fi (Ê2| Á1) | Á3 fi Ê3| Á1Û Á2· Ï1fi Ï2fi Ï3) = (Ê1_{| Á2}_{Û Á3} _{fi (Ê2}| Á3) | Á1 fi (Ê3| Á2) | Á1· Ï1 fi Ï2fi Ï3) = (Ê1_{| Á2}_{Û Á3} _{fi (Ê2}_{| Á3} _{fi Ê3}| Á2) | Á1· Ï1fi Ï2fi Ï3) = Á1_{Û (Ê2}_{| Á3} _{fi Ê3}_{| Á2}_{· Ï2}fi Ï3) (def) = Á1_{Û (Á2}Û Á3) (def)

Définition 3.2.3. Les effets induisent une relation d’ordre partiel_ıdéfinie parÁ₁ ı Á2 si est seulement Á2 = Á1Û Á2. On dit alors que l’effet Á1 est un sous-effet de Á2.

On a immédiatement le résultat suivant :

Lemma 3.2.4. Si Á1 ı Á2, alors pour tout ·, la validité du jugement Á2Û · implique celle du jugement Á₁Û ·.

Dans le document Un système de types pragmatique pour la vérification déductive des programmes (Page 89-92)