次の C 注釈付きコードがあるとします。
#define L 3
int a[L] = {0};
/*@ requires \valid(a+(0..(L - 1)));
ensures \forall int j; 0 <= j < L ==> (a[j] == j); */
int main() {
int i = 0;
/*@ loop assigns i, a[0..(i-1)];
loop invariant inv1: 0 <= i <= L;
loop invariant inv2:
\forall int k; 0 <= k < i ==> a[k] == k;
*/
while (i < L) {
a[i] = i;
i++;
}
/*@ assert final_progress:
\forall int k; 0 < k < L ==> a[k] == a[k-1] + 1;
assert final_c:
a[2] == a[1] - 1; */
return 0;
}
final_progress ステートメントが証明されたにもかかわらず、Alt-Ergo/Z3 が「不明」または final_c アサーションのタイムアウトを生成するのはなぜですか? そのような明らかに(ユーザーの観点から)無効なステートメントについては、「無効」と表示したいと思います。
$ frama-c -wp -wp-rte -wp-prover z3 test2.c
..
[wp] [z3] Goal typed_main_assert_final_c : Unknown (455ms)
$ frama-c -wp -wp-rte -wp-prover alt-ergo test2.c
..
[wp] [Alt-Ergo] Goal typed_main_assert_final_c : Timeout
— 証明は試みられていません。
— プロパティは検証されていません。
— プロパティは有効ですが、依存関係があります。
— プロパティとそのすべての依存関係が完全に有効です。