Analyse de boucles TAS : Typage et analyse statique M2, Master STL INSTA, Sorbonne Universit´e Antoine Min´e

(1)

Analyse de boucles

TAS : Typage et analyse statique M2, Master STL INSTA, Sorbonne Universit´e

Antoine Min´e

Ann´ee 2018–2019

Cours 10 7 mars 2019

Cours 10 Analyse de boucles Antoine Min´e p. 1 / 37

(2)

Plan du cours

Suite des s´emantiques abstraites,

avec application `a l’analyse num´erique non-relationnelle.

analyse desboucles:

principe des itérations avecaccélération de convergence; application à l’analyse d’intervalles.

=⇒ nous obtenons un analyseur effectif

pour des propriétés numériques non-triviales ! conseils d’implantation pour le projet.

(3)

Analyse de boucles

(4)

Analyse de boucles Boucles et invariants

Boucles et invariants

(5)

Rappel : s´ emantique concr` ete des boucles

Calcul de : SJwhilecdosKR SJwhilecdosKR= CJ¬cKI

o`uI est uninvariant de boucle inductif, l’ensemble des environnements accessibles

`

a chaque it´eration de la boucle, au point :while•cdos.

I est la plus petite solution de l’´equation : I =F(I)o`uF(X) =R∪SJsK(CJcKX).

Justification :

R⊆I cas de la premi`ere it´eration de la boucle

SJsK(CJcKI)⊆I stabilit´e par une it´eration de boucle

I minimal. meilleur invariant

Preuve d’existence :

F est croissante dans le treillis complet (P(E),⊆,∅,E,∪,∩)

=⇒ F a unplus petit point fixe lfpF =^def min{I|F(I) =I} de plus : lfpF = min{I|F(I)⊆I} (plus petit post point fixe) c’est le Th´eor`eme de Tarksi

(6)

Rappel : interpr´ etation par it´ eration

I = lfpF o`uF(X) =R∪SJsK(CJcKX) orF est continue dans le CPO (P(E),⊆,∪)

=⇒nous pouvons aussi appliquer leth´eor`eme de Kleene: lfpF=∪_n∈NFⁿ(∅)

I est la limite d’une séquence d’itérations(la séquence peut être infinie). Intuition :

F⁰(∅) =∅ F¹(∅) =R

environnements avant d’entrer dans la boucle F²(∅) =R∪SJsK(CJcKR)

environnements après zéro ou une itération de boucle

Fⁿ(∅) : environnements apr`es au plusn−1 it´erations de la boucle

juste avant de tester la condition de sortie,

pour déterminer si unen−ième itération est nécessaire

∪_n∈_NFⁿ(∅) est bien l’invariant de boucle

=⇒m´ethode constructive de calcul du meilleur invariant.

(7)

Exemple d’it´ eration concr` ete

V ←0;

whileV <10do V ←V + 2 done

SJwhileV <10doV ←V + 2KR= CJV ≥10K(∪_n∈_NFⁿ(∅)) o`uF(S) =^def {0} ∪ {V + 2|V ∈S∧V <10} :

n Fⁿ(∅) 0 ∅ 1 {0}

2 {0,2}

3 {0,2,4}

4 {0,2,4,6}

5 {0,2,4,6,8}

6 {0,2,4,6,8,10}

7 {0,2,4,6,8,10}

siFⁿ(∅) =Fⁿ⁺¹(∅) alors∀i≥n:F^j(∅) =Fⁿ(∅)

Nous trouvons donc :

∪n∈NFⁿ(∅) ={0,2,4,6,8,10}= lfpF puis SJwhileV <10doV ←V + 2KR={10}

Note : pour simplifier les notations, nous avons assimil´eP({V} →Z) `aP(Z).

(8)

It´ eration dans le domaine des intervalles

V ←0;

whileV <10do V ←V + 2 done

Principe :

remplacer ∪_n∈_NFⁿ(∅)

o`uF(X) =R∪SJsK(CJcKX) par∪_n∈NF^]n( ˙⊥)

o`uF^](X^]) =R^]∪^]S^]JsK(C^]JcKX^])

en assimilantV→ D^]`a un intervalle dansD^], nous avons : C^]JV<10K[a,b] = [a,min(9,b)]

S^]JV←V+ 2K[a,b] = [a+ 2,b+ 2]

n F^]n( ˙⊥)

0 ⊥

1 [0,0]

2 [0,2]

3 [0,4]

4 [0,6]

5 [0,8]

6 [0,10]

7 [0,10]

Dans cet exemple :

le résultat, [0,10], est correct mais approximatif ; le résultat est optimal pour les intervalles ; les itérés convergent en temps fini.

=⇒est-ce toujours le cas ?

(9)

It´ eration abstraite : justification et limitation

Correctionpour tout domaine abstraitE^] SiF^]est uneabstraction sˆurede F

alors∪^]_n∈NF^]n( ˙⊥) est uneabstraction sˆurede ∪_n∈NFⁿ(∅), i.e. :

∪_n∈NFⁿ(∅)⊆γ(∪^]_n∈

NF^]n( ˙⊥)) Justification : par r´ecurrence

∅ ⊆γ( ˙⊥) ;

siFⁿ(∅)⊆γ(F^]n( ˙⊥)), alors

F(Fⁿ(∅)) ⊆ F(γ(F^]n( ˙⊥))) (carFest croissante)

⊆ γ(F^](F^]n( ˙⊥))) ^(car^F^]est une abstraction sˆure deF)

donc∀n:Fⁿ(∅)⊆γ(F^]n( ˙⊥)), et donc∪n∈NFⁿ(∅)⊆ ∪n∈Nγ(F^]n( ˙⊥)) si∪^]est une abstraction sˆure de∪, alors de plus :

∪n∈NFⁿ(∅)⊆ ∪n∈Nγ(F^]n(∅))⊆γ(∪^]_n∈

NF^]n(∅)) Limitation :

Utiliser ce r´esultat suppose que∪^]_n∈

NF^]n( ˙⊥) existe dansE^]; ce n’est pas toujours le cas(certains domaines abstraits ne sont pas des CPOs)

=⇒nous verrons plus loin une preuve de correction plus puissante. . .

(10)

Non-terminaison de l’it´ eration de s´ emantique concr` ete

U←0;V ←0;

while rand(0,1) = 0do ifU<10thenU←U+ 1 elseV ←V+ 1

done

n Fⁿ(∅)∈ P({U,V} →Z)

0 ∅

1 {(0,0)}

2 {(0,0),(1,0)}

. . .

11 {(0,0),(1,0), . . . ,(9,0),(10,0)}

12 {(0,0),(1,0), . . . ,(0,0),(10,0),(10,1)}

13 {(0,0),(1,0), . . . ,(0,0),(10,0),(10,1),(10,2)}

. . .

∪_n∈NFⁿ(∅) ={(x,0)|x ∈[0,10]} ∪ {(10,y)|y∈N} La limite existe, mais est l’union d’un nombreinfinid’it´er´es !

(11)

Non-terminaison de l’it´ eration dans les intervalles

U←0;V ←0;

done n F^]n( ˙⊥)∈ {U,V} → D^] 0 (⊥,⊥)

1 ([0,0],[0,0]) 2 ([0,1],[0,0])

. . .

11 ([0,10],[0,0]) 12 ([0,10],[0,1]) 13 ([0,10],[0,2])

. . .

Analyse dans le domaine des intervalles :

∪^]_n∈

NF^]n( ˙⊥) =([0,10],[0,+∞]) La limite abstraite existe,

mais est l’union d’un nombre infinid’it´er´es

=⇒ ∪^]_n∈

NF^]n( ˙⊥) n’estpas calculable.

(12)

Terminaison de l’it´ eration dans un domaine de hauteur finie

U←0;V ←0;

done n F^]n( ˙⊥)∈ {U,V} → D^] 0 (⊥,⊥)

1 (0,0) 2 (≥0,0) 3 (≥0,≥0) 4 (≥0,≥0)

∪^]_n∈

NF^]n( ˙⊥) =(≥0,≥0)

Analyse dans le domaine des signes :

Le domaine a une hauteur finie : pas de chaˆıne croissante infinie.

Toutes les it´erations croissantes convergent en temps fini ;

=⇒l’analyse esttoujours calculable dans un domaine de hauteur finie.

(13)

Analyse de boucles Acc´el´eration de convergence

Acc´ el´ eration de convergence

(14)

Intuition : acc´ el´ eration de convergence

V ←10;

whileV ≤100do V ←V + 2 done

Principe : relâcher les bornes non stablesà l’infini Sans accélération :

n F^]n( ˙⊥)

0 ⊥

1 [10,10]

2 [10,12]

3 [10,14]

. . . . 47 [10,102]

48 [10,102]

Avec acc´el´eration : n F^]n( ˙⊥)

0 ⊥

1 [10,10]

2 [10,∞]

3 [10,∞]

rappel :F^](X^]) =R^]∪^]S^]JsK(C^]JcKX^])

=⇒convergence vers un r´esultat moins pr´ecis, mais plus rapidement !

(15)

Op´ erateur d’´ elargissement

Accélérer la convergence parextrapolation entre itérés successifs.

´Elargissement :O: (E^]× E^])→ E^] widening

op´erateur binaireX^]OY^]∈ E^]; sur-approximation de l’union :

γ(X^])∪γ(Y^])⊆γ(X^]OY^]) pour toutes´equenceY₀^],Y₁^], . . . ,Y_n^], . . .

la s´equence











X₀^]=Y₀^] X₁^]=X₀^]OY₁^] . . .

X_n^]=X_n−1^] OY_n^] . . .

converge en temps fini :∃N:∀n≥N:X_n^]=X_N^].

(16)

Elargissement standard dans les intervalles ´

´Elargissement d’intervalles : O: (D^]× D^])→ D^]

∀I ∈ D^]:⊥OI =I O⊥=I [a,b]O[c,d] =^def

" (

a sia≤c

−∞ sic<a,

(b sib≥d +∞ sid>b

#

une borne inférieure non stable est mise à−∞; une borne supérieure non stable est mise à +∞;

une fois `a−∞ou +∞, les bornes sont n´ecessairement stables !

´Elargissement point `a point surE^]: O˙ : (E^]× E^])→ E^] Dans le cas de plusieurs variablesE^] =^def V→ D^],

chaque variable est extrapolée de manière indépendante: X^]O˙ Y^] =^def λV ∈V.X^](V)OY^](V)

(17)

Application : it´ eration avec ´ elargissement

Limite concr`ete :

Nous pouvons interpr´eter∪_n∈_NFⁿ(∅) comme la limite de la s´equence : ( X₀ =^def ∅

Xn+1

=def Xn∪F(Xn)

Limite abstraite :

Dans l’abstrait, nous calculons : ( X₀^] =^def ⊥˙

X_n+1^] =^def X_n^]OF^](X_n^]) jusqu’`a avoir X_n+1^] =X_n^].

(18)

Correction et terminaison

( X₀^] =^def ⊥˙

X_n+1^] =^def X_n^]OF^](X_n^]) Terminaison : ∃N:X_N+1^] =X_N^]

Preuve : par l’absurde

Sinon,X₀^],X₁^],. . .,X_n^],. . .serait une s´equence infinie

de la formeX₀^]=Y₀^],X_n+1^] =X_n^]OY_n+1^] , o`uY₀^]= ˙⊥,Y_n+1^] =F^](X_n^]).

Ceci serait contraire `a la d´efinition deO.

Correction : lfpF ⊆γ(X_N^])

Preuve :

Par le th´eor`eme de Tarski, lfpF= min{I|F(I)⊆I}.

Il suffit donc de prouver queγ(X_N^]) est un post point fixe deF: F(γ(X_N^])) ⊆ γ(F^](X_N^])) (sˆuret´e deF^])

⊆ γ(X_N^])∪γ(F^](X_N^]))

⊆ γ(X_N^]OF^](X_N^])) (sˆuret´e deO)

= γ(X_N+1^] ) (d´efinition deX_N^]

1)

= γ(X_N^]) (carX_N+1^] =X_N^])

Note : la preuve ne suppose pas l’existence de∪^]_n∈NF^]n( ˙⊥) !

(19)

Exemple d’it´ eration avec ´ elargissement

U←0;V ←0;

done

n X₀^]= ˙⊥, X_n+1^] =X_n^]OF(X_n^])

0 (⊥,⊥)

1 (⊥,⊥) O ([0,0],[0,0]) = ([0,0],[0,0]) 2 ([0,0],[0,0]) O ([0,1],[0,0]) = ([0,+∞],[0,0]) 3 ([0,+∞],[0,0]) O ([0,+∞],[0,1]) = ([0,+∞],[0,+∞]) 4 ([0,+∞],[0,+∞]) O ([0,+∞],[0,+∞]) = ([0,+∞],[0,+∞]) Convergence en au plus 2|V|it´erations(nombre de bornes `a stabiliser).

(20)

Boucles imbriqu´ ees

U ←0;V ←0;

while•U<100do

while•V <U doV ←V + 1done;

U ←U+ 1;V ←0 done

`

a•: n= 0,; (⊥,⊥) n= 1, ([0,0],[0,0]) n= 2, ([0,+∞],[0,0]) a•:

n

0 (⊥,⊥) n

0 (⊥,⊥) 1 ([0,0],[0,0])

n

0 (⊥,⊥)

1 ([0,+∞],[0,0]) 2 ([0,+∞],[0,+∞]) La sémantique concrète des boucles imbriquées est formée

de point fixes imbriqu´es.

La sémantique abstraite génère des itérations imbriquées.

Pour chaque itération avec Ode la boucle externe, une séquence complète d’itération avec Ode la boucle interne est calculée !

(21)

Raisonnement inductif et ´ elargissement : intuition

_?^?_?

pre post pre

lfp

gfp fp

Invariant inductifs :

lfpF est le plus petitinvariant; lfpF ⊆I =⇒I est uninvariant; F(I)⊆I =⇒I est uninvariant inductif

=⇒I est aussi uninvariant(Tarksi); F^](I^])vI^]=⇒I^]est uninvariant inductif prouvable dans l’abstrait.

Généralités sur le raisonnement inductif :

induction = généralisation à partir d’un petit ensemble d’observations ; e.g., si la borne supérieure croˆıt, elle est probablement non-bornée ; processus cognitif important !

6=induction en math´ematiques, qui estd´eductivepar nature

(application d’un axiome d’induction)

en logique philosophique, le raisonnement inductif n’est pas fiable

(puisqu’il généralise à partir d’un nombre fini d’exemples)

mais, en interprétation abstraite, l’élargissementOeffectue un raisonnement inductif toujours sûr !

(22)

Analyse de boucles It´erations avanc´ees

It´ erations avanc´ ees

(23)

Principe

L’utilisation d’un ´elargissementOpermet d’obtenir une it´eration : qui termine toujours ;

avec un nombre d’it´erations ind´ependant des constates du programme ;

(e.g., l’analyse dewhileN<100doV←V+ 1donene d´epend pas du choix de 100)

mais qui est souvent impr´ecise.

De nombreux travaux visent à améliorer la précision du calcul.

Quelques id´ees d’am´elioration :

définir un opérateurOplus précis : appliquerOmoins souvent ;

faire une analyse par cas pour certaines it´erations de la boucle ; raffiner le r´esultata posteriori.

(24)

Comparaison des signes et des intervalles : exemple

V ←100;

while•V >0do V ←V−1 done

n signes intervalles

0 ⊥ ⊥

1 >0 [100,100]

2 ≥0 [−∞,100]

Comparaison de l’analyse :

dans les signes stricts, sans ´elargissement ;

nous utilisons des signes am´elior´es, avec signes stricts :{⊥,0, >0, <0,≥0,≤0,>}

dans les intervalles, avec ´elargissement.

Le domaine des intervalles eststrictement plus expressif; pourtant, l’analyse d’intervallesne trouve pasV ≥0, qui est trouv´e par une analyse designe!

Explication :

la borne inférieure, non stable, est élargie à−∞, pourtant, la borne 0, non testée, est bien stable !

(25)

Solution : ´ elargissement avec ´ etages

V ←100;

while•V >0do V ←V−1 done

Analyse avec élargissement étagéO{0}

n intervalles

0 ⊥

1 [100,100]

2 [0,100]

Solution :élargissement avec étagesO^T, plus précis.

´Etant donn´e un ensembleT ⊆Zfini, contenant−∞, +∞: [a,b]OT[c,d] ^def=

" (

a sia≤c

max{t∈T|t≤c} sic<a,

(b sib≥d

min{t∈T|t≥d} d>b

#

teste si les valeurs deT sont des bornes stables ;

(dans notre exemple, on trouve [max{c∈T|c≤0},100])

termine toujours, carT est fini(au pire, on obtient−∞ou +∞).

(26)

Choix des ´ etages

Comment choisirT?

0∈T permet d’ˆetre au moins aussi pr´ecis que les signes ; inclure les constantes apparaissant dans le programme ; inclure les tailles de tableau (±1) ;

(utile pour v´erifier les d´epassements de tableau)

utiliser une séquence géométrique :T ={ ±2ⁱ|i∈[0,31]} ∪ {±∞}.

(pour prouver l’absence de d´epassement de capacit´e, il suffit queTsoit suffisamment dense)

Note :_?^?_? points fixes stables et instables

Que se passe-t-il siTne contient pas exactement la borne la plus pr´ecise ?

V ←100;

while rand(0,1) = 0do V←V−1;

ifV<0thenV←0 done

Casstable.

[t,100] est un point fixepour toutt≤0.

Il suffit d’avoir−∞ 6=t≤0 fini dansTpour trouver une bornetfinie.

L’optimal n’est atteint que si 0∈T.

V←100;

while rand(0,1) = 0do V←V−1;

ifV =−1thenV←0 done

Casinstable.

[t,100] est un point fixe uniquement pourx= 0.

If faut avoir 0∈Tpour trouver une borne finie, sinon, on trouve toujours [−∞,100].

(27)

Elargissement retard´ ´ e

V ←0;

while rand(0,1) = 0do ifV = 0thenV ←1;

· · · done

V n’est incrémenté qu’une seule fois, de 0 à 1.

Probl`eme :

Otrouvera V non stable, et le placera `a [0,+∞] =⇒perte de pr´ecision

(en effet, [0,0]O[0,1] = [0,+∞])

Solution : retarderl’´elargissement d’une (ou plusieurs) it´eration(s) : Xn+1

=def

(F^](X_n^]) sin<N X_n^]OF^](X_n^]) sin≥N

(rappel :F^](X^]) =R^]∪^]S^]JsK(C^]JcKX^]))

(dans notre exemple, avecN= 1,X₁^]= [0,0]∪^][1,1] = [0,1],X₂^]= [0,1]O[0,1] = [0,1] =X₁^])

Il est nécessaire de reprendre les itérations avec Oaprès un nombre fini d’itérations pour assurer la convergence en temps fini !

(28)

D´ eroulement de boucles : probl` eme

U←rand(−∞,+∞); V ←1;

while rand(0,1) = 0do

ifV = 1thenV ←0;U←0;

stat;

U←U+ 1 done

Au début de la boucle,U n’est pas initialisé(modélisé par [−∞,+∞]); U est initialisé pendant le premier tour de boucle, puis il est incrémenté

=⇒U≥0 quandstat est exécuté Imprécision :

L’invariant le plus pr´ecis est :

(V = 0∧U∈[−∞,+∞])∨(V = 1∧U ≥0)

Dans les intervalles,non-relationnels, nous ne pouvons exprimer que : V ∈[0,1]∧U∈[−∞,+∞] !

Une solution possible serait d’utiliser un domaine plus pr´ecis, capable de repr´esenter des disjonctions.

Nous verrons un tel domaine plus loin dans le cours.

Dans le transparent suivant, nous proposons une solution plus simple `a ce probl`eme.

(29)

D´ eroulement de boucles : solution

U←rand(−∞,+∞); V ←1;

while rand(0,1) = 0do

ifV = 1thenV ←0;U←0endif;

stat U←U+ 1 done

Solution : d´eroulement de boucle

Analyser lesN premières itérations de la boucle séparément.

Pour SJwhilecdosKR, dans le concret :

X₀=R (environnements d’entr´ee)

∀i≤N:Xi = SJsK(CJcKXi−1) (d´eroulement)

∀i>N:Xi =XN∪SJsK(CJcKX_i−1) (accumulation de point fixe)

et dans l’abstrait :

∀i≤N:X_i^]= S^]JsK(C^]JcKX_i−1^] )

∀i>N:X_i^]=X_i−1^] O(X_N^] ∪SJsK(C^]JcKX_i−1^] )

rappel : la méthode classique itèreX_i^]=X_i−1^] O(R^]∪^]S^]JsK(C^]JcKX_i−1^] )) Ne pas confondre avec l’élargissement retardé !

(30)

It´ erations d´ ecroissantes

V ←0;

whileV ≤50doV ←V+ 1done

Impr´ecision

Dans cet exemple, nous trouvonsV ∈[0,+∞]comme invariant de boucle, mais l’invariant de boucle le plus pr´ecis estV ∈[0,51].

Solution : itérations décroissantes de raffinement Remarque, nous cherchons un point fixeX_N^] =F^](X_N^]) mais nous avons en réalité un point fixeX_N^]=X_N^]OF^](X_N^]). . . Il est possible queF^](X_N^])@X_N^]

dans ce cas,F^](X_N^]) est un invariant plus pr´ecis queX_N^].

=⇒ apr`es stabilisation deX_n+1^] =Xn^]OF^](Xn^])

calculerX_n>N^] =F^](X_n−1^] ) sans ´elargissement, tant queX_n^]d´ecroˆıt !

(31)

It´ erations d´ ecroissantes : exemple

V ←0;

whileV ≤50doV ←V+ 1done

F^](X^]) = [0,^def 0] ˙∪^]S^]JV ←V+ 1K(C^]JV ≤50KX^]) X_N^] =^def = [0,+∞] (limite des it´erations avec ´elargissement)

X_N+1^] =F^](X_N^]) = [0,0]∪^]([0,50]+^][1,1]) = [0,0]∪^][1,51] = [0,51]

X_N+2^] =F^](X_N+1^] ) = [0,51] =X_N+1^]

=⇒dans ce cas, nous trouvons l’invariant le plus pr´ecisexprimable dans les intervalles !

Ensortie de boucle, nous avons : C^]JV >50K[0,51] =[51,51].

(32)

It´ erations d´ ecroissantes : correction et terminaison

Correction :

Nous avons vu que, commeF^](X_N^])vX_N^], alorsF(γ(X_N^]))⊆γ(X_N^]) et donc lfpF⊆γ(X_N^]).

Nous calculonsX_N+n^] =F^]n(X_N^]).

Par monotonie deF,Fⁿ(lfpF)⊆Fⁿ(γ(X_N^])).

Par d´efinition de lfp, lfpF=Fⁿ(lfpF).

Par sˆuret´e deF^], il vientFⁿ(γ(X_N^]))⊆γ(F^]n(X_N^])).

Donc lfpF⊆γ(F^]n(X_N^])).

Terminaison :

la séquence décroissanteX_n>N^] =F^](X_n^]) peut être infinie ;

([0,+∞]⊇[1,+∞]⊇[2,+∞]⊇ · · ·)

tous les it´er´esX_n>N^] =F^](X_n^]) sont des invariants corrects

=⇒nous pouvons arrˆeter le raffinement `a tout instant ;

un opérateur derétrécissementMpermet de forcer la convergence en temps fini :

X_n>N^] ^def= X_n−1^] MF^](X_n−1^] ) o`u [a,b]M[c,d] =^def

c sia=−∞

a sinon ,

d ifb=+∞

b sinon

(seules les bornes `a l’infini sont raffin´ees)

(33)

Remarque : non-croissance de l’´ elargissement

_?^?_?

Exemple : considérons encorestat ^def= whileV ≤50doV ←V+ 1done nous avons S^]JstatKR^] = C^]JV >50K(limλX^].X^]O˙ F^](R^],X^])) où F^](R^],X^]) =^def R^]∪˙^]S^]JV ←V + 1K(C^]JV ≤50KX^]) On’est pas croissant vis à vis de son argument de gauche :

e.g., [0,0]O[0,51] = [0,+∞], mais [0,51]O[0,51] = [0,51]

siR^]= [0,0], les it´er´es deF^]sont :⊥, [0,0], [0,+∞]

[0,0]OF^]([0,0],[0,0]) = [0,0]O([0,0]∪^][1,1]) = [0,0]O[0,1] = [0,+∞]

=⇒S^]JstatK([0,0]) = [51,+∞]

siR^]= [0,51], les it´er´es deF^]sont :⊥, [0,51], [0,51]

[0,51]OF^]([0,51],[0,51]) = [0,51]O([0,0]∪^][1,51]) = [0,51]O[0,51] = [0,51]

=⇒S^]JstatK([0,51]) = [51,51]

=⇒S^]JstatK n’est pas croissant

Ceci intervient en particulier dans le cas de boucles imbriqu´ees : la boucle externe it`ereX_n+1^] =X_n^]OF^](X_n+1^] )

o`uF^]n’est pas croissante car elle continent un ´elargissement.

Cela ne pose pas de problème : l’élargissement de la boucle externe garanti la sûreté et la terminaison même siF^]n’est pas croissante !

La seule hypoth`ese importante de croissance est celle deF, i.e. : dans le concret.

(34)

Conseils d’implantation OCaml pour le projet

(35)

Domaine des intervalles : manipulation des bornes

Implanter d’abord l’arithm´etique dansZ∪ {±∞}

qui sert pour manipuler les bornes d’intervalles.

domains/interval_domain.ml (*Z∪ {±∞} *)

typebound =

| Int of Z.t (* Z *)

| PINF (* +∞*)

| MINF (* −∞ *)

(*−a *)

letbound_neg(a:bound) : bound = match a with

| MINF -> PINF | PINF -> MINF | Int i -> Int (Z.neg i) (*a+b*)

letbound_add(a:bound) (b:bound) : bound = match a,b with

| MINF,PINF | PINF,MINF -> invalid_arg"bound_add" (*(+∞) + (−∞) *)

| MINF,_ | _,MINF -> MINF

| PINF,_ | _,PINF -> PINF

| Int i, Int j -> Int (Z.add i j) (* compare a et b, retourne -1, 0 ou 1 *)

letbound_cmp(a:bound) (b:bound) : int = match a,b with

| MINF,MINF | PINF,PINF -> 0

| MINF,_ | _,PINF -> -1

| PINF,_ | _,MINF -> 1

| Int i, Int j -> Z.compare i j ...

(36)

Domaine des intervalles : intervalles

Puis implanter la signatureVALUE_DOMAIN en s’inspirant deconstant_domain.ml.

domains/interval_domain.ml (*{[a,b]|a≤b} ∪ {⊥} *)

typet= Itvof bound * bound |BOT (* extension def parf(⊥) =⊥ *) letlift1f x = match x with

| Itv (a,b) -> f a b

| BOT -> BOT

(* idem pourf(⊥,y) =f(x,⊥) =⊥*) letlift2f x y = match x,y with ...

(*−x dans les intervalles *) letneg(x:t) : t =

lift1 (fun a b -> Itv (bound_neg b, bound_neg a)) x (*x⊆ y dans les intervalles *)

letsubset (x:t) (y:t) : bool = match x,y with

| BOT,_ -> true

| _,BOT -> false

| Itv (a,b), Itv (c,d) -> bound_cmp a c >=0 && bound_cmp b d <= 0 ...

(37)

It´ erateur

L’interprète fourni contient un itérateur de boucles très simple, sans accélération.

interpreter/interpreter.ml let rec eval_stat (a:t) ((s,ext):stat ext) : t = match s with

| AST_while (e,s) ->

(* simple fixpoint *)

let rec fix (f:t -> t) (x:t) : t = let fx = f xin

if D.subset fx x then fx else fix f fx

in

(* function to accumulate one more loop iteration:

F(X(n+1)) = X(0) U body(F(X(n)

we apply the loop body and add back the initial abstract state

*)

let f x = D.join a (eval_stat (filter x e true) s) in

(* compute fixpoint from the initial state (i.e., a loop invariant) *) let inv = fix f a in

(* and then filter by exit condition *) filter inv e false

let fx = f xcorrespond `aX_n+1^] =F^](X_n^]), il faudra le changer enX_n+1^] =Xn^]OF^](Xn^]),

puis ajouter le d´elai surO, le d´eroulement de boucles, etc.