Correction du typage - Un système de types pragmatique pour la vérification déductive des progr

Comme dans le chapitre précédent, nous montrons la correction du typage en adap- tant une approche syntaxique de Wright et Felleisen [33]. Nous montrons donc sépa- rément le lemme de progrès, à savoir qu’une expression bien typée est soit une valeur, soit une expression réductible, et le lemme de préservation, à savoir que, lorsqu’une expression réductible est bien typée et que son typage est cohérent avec l’état mémoire dans lequel on l’évalue, un pas d’évaluation, quelle que soit la règle sémantique qui s’applique, préserve la relation du typage de l’expression et la cohérence du typage avec le nouvel état mémoire.

Lemma 3.3.1 (Progrès). Soiteune expression close telle que · „e:··Á. Ou bien e est une valeur, ou bien, quel que soit l’état mémoire µtel que l’on ait |= µ·e, il existe une configuration µ^Õ ·e^Õ telle que µ·e≠æµ^Õ·e^Õ.

Démonstration. Par récurrence sur la structure de e. Le cas de base où e est une expression atomique est trivial. Le cas où e est de la forme a.f est vérifié en vertu de l’hypothèse |=µ·e. En effet, l’expression e étant close, par typage on déduit que a est nécessairement une adresse mémoire ¸ dont le type est une régionﬂ. D’autre part, la prémisse de la règle du typage garantit que le type ﬂ.f est défini. Donc, µ(¸.f) est également définie en vertu de l’hypothèse |= µ·e, ce qui permet de conclure que e est réductible.

Le cas où e est une création d’un enregistrement ou une affectation parallèle sont vérifiées de la même manière. En effet, grâce à l’hypothèse |=µ·e d’une part et les prémisses des règles du typage respectivesT-AllocetT-Assignd’autre part impliquent les prémisses des règles sémantiques respectives ¸ et E-Assign. Par conséquent, dans chacun des cas, e est réductible.

Lorsque e correspond à un appel d’une fonction primitive q(c1, . . . , cn), elle est encore réductible, puisque nous avons supposé que le typage des fonctions primitives est cohérent avec l’oracle sémantique”, c’est-à-dire que la constante”(q, c1, . . . , cn)est bien définie.

Le cas où e est une liaison locale let x = e₁ in e₂ avec e₁ qui n’est pas une valeur se déduit directement par hypothèse de récurrence, et tous les autres cas sont triviaux.

Alors que démontrer le progrès consiste simplement à vérifier que les règles de typage ne « bloquent » pas la sémantique opérationnelle, démontrer la préservation nous demandera plus d’efforts. Clarifions d’abord ce que l’on veut prouver exactement.

Considérons un pas de réduction µ·e ≠æ µ^Õ ·e^Õ où e est une expression bien typée telle que l’on a · „ e : · ·Á, |= µ·e et n µ· e. Supposons que l’on veuille montrer que le jugement ^Õ · ^Õ „ e^Õ : ·^Õ · Á^Õ est dérivable pour certains ^Õ, ^Õ, ·^Õ et Á^Õ. Premièrement, il semble naturel de demander que ·^Õ = ·. En effet, si le résultat de l’évaluation de e doit être un entier, alors on s’attend à ce qu’il en soit de même poure^Õ. Or, ceci est moins trivial lorsque le type de eest une région. Considérons par exemple la situation où e est égale à la séquence ¸.f Ω ¸^Õ;¸.f avec (¸.f) ”= (¸^Õ).

D’après la règle du typage T-Let, e a le type (¸.f). Or, après quelques étapes de réductions, on arrive à la configuration µ^Õ ·¸^Õ où µ^Õ = µ[¸.f ‘æ ¸^Õ]. Par conséquent, si l’on veut que le type reste invariant par l’évaluation, on est amené à modifier en accord avec les modifications de l’état mémoire initial. Dans notre exemple il suffit de poser pour cela [ (¸^Õ) ‘æ (¸.f)] mais en général trouver un bon ^Õ est moins immédiat, notamment parce que l’on doit établir que ^Õ |=µ^Õ·e^Õ et ^Õ n µ^Õ ·e^Õ.

Deuxièmement, il nous faut établir une relation entre les effetsÁ etÁ^Õ. Considérons par exemple la situation où e est égale à let x = {f = 42} in x.f Ω 0. L’effet de e est donc (?· {fl}) où fl est la région associée à x. Or, après un pas de réduction, on obtient que l’expressione^Õ est égale àletx = () in x.f Ω0dont l’effet est ({fl} ·?).

Cela montre que lors d’un pas d’évaluation l’effet d’une expression ne diminue pas nécessairement composante par composante, en particulier à cause du fait que les effets d’écriture peuvent être cachés par les effets d’invalidation de régions fraîches.

Néanmoins, on peut remarquer que(?· {fl}) = (?· {fl})Û({fl} ·?). Cela suggère que l’on ait en généralÁ^Õ ıÁ, c’est-à-dire queÁ^Õ soit un sous-effet deÁ. Il se trouve que cela n’est vrai que lorsqu’on ene contient aucun appel de fonctions : dans le cas contraire, la relation Á^Õ ı Á devient inexacte à cause du fait que le corps d’une fonction peut avoir strictement plus d’effets en comparaison avec les effets exposés dans sa signature.

Au final, l’énoncé de préservation prend la forme suivante :

Lemma 3.3.2 (Préservation). Quel que soit le pas d’évaluation µ·e≠æµ^Õ·e^Õ,

· „e:· ·Á

|=µ·e n µ·e

=∆ ÷ ^Õ,Á^Õ,Ï^ÕÕ.

· ^Õ „e^Õ :··Á^Õ Û(?·Ï^ÕÕ)

Õ |=µ^Õ·e^Õ

Õ n µ^Õ·e^Õ oùÁ^Õ ıÁ etÏ^ÕÕﬂ ^Õ(domµ^Õ) = ?.

Démonstration. Commençons par construire Á^Õ explicitement par récurrence sur la dérivation du pas d’évaluation µ·e≠æµ^Õ·e^Õ en vérifiant en même temps queÁ^Õ ıÁ.

Dans le cas des règlesE-Alloc,E-Assign,E-FieldetE-Op, où le résultat de l’évaluation est une valeur, on pose Á^Õ ,‹, donc on a trivialement Á^Õ ıÁ. Dans le cas où e est un appel de fonction p(v₁, . . . , v_n) qui se réduit par la règle E-” et dans le cas où e est une liaison locale letx = v₁ in e₂ qui se réduit la règle E-’, on pose Á^Õ ,Á, donc on a toujours trivialement Á^Õ ıÁ. Lorsque e est une conditionnelle if c then e1 else e2

qui se réduit par la règleE-True (reps.E-False), on pose Á^Õ ,Á₁ (reps.Á^Õ ,Á₂), où Á₁ (reps. Á₂) est l’effet de e₁ (reps. e₂). Dans les deux cas, on a Á=Á^ÕÛÁˆoù Áˆest l’effet de la branche ignorée, c’est-à-dire que l’on a toujours Á^Õ ı Á. Enfin, supposons que e est une liaison locale let x = e₁ in e₂ qui se réduit par la règle E-Ctx. L’expression e₁ se réduit alors elle-même. Notons Á^Õ₁ l’effet donné par l’hypothèse de récurrence sur la réduction de e1 et posons Á^Õ , Á^Õ₁ ÛÁ2 où Á2 est l’effet de e2. Vérifions que Á^Õ ı Á.

Par hypothèse de récurrence, on a Á^Õ₁ ıÁ₁. Il s’ensuit que Á^Õ ıÁ, car

Á1ÛÁ2 = (Á^Õ₁ÛÁ1)ÛÁ2 =Á^Õ₁Û(Á2ÛÁ1) = Á^Õ₁Û(Á2ÛÁ2)ÛÁ1 = (Á^Õ₁ÛÁ2)Û(Á1ÛÁ2).

Deuxièmement, donnons la forme exacte du nouvel environnement ^Õ. Pour cela, considérons non pas l’expression e mais le rédex correspondant Notons-le e_r. Si e_r correspond à l’allocation d’un nouvel enregistrement, on pose ^Õ , [¸‘æﬂ]. Si er est une affectation parallèle, alors notons‡Ala relation bijective correspondante et posons

’¸. ^Õ(¸),

Y] [

ﬂ siÈ (¸),ﬂÍ œ‡A, (¸) sinon.

Enfin, dans tous les autres cas on pose ^Õ , , ce qui est cohérent avec le fait que si le rédex ne correspond à ni une allocation, ni une affectation parallèle, le pas d’évaluation ne change pas l’état mémoire. Nous savons maintenant comment typer les adresses libres de e^Õ qui étaient accessibles auparavant dans l’état de mémoire µ : ou bien une telle adresse ¸ ne fait pas partie des modifications et alors son typage ne change pas, ou bien son contenu a été modifié mais, là encore, son typage ne change que lorsque dans la région (¸) est distincte de son image par ‡_A. Le fait que (¸) se trouve à gauche dansÈ (¸),ﬂÍ œ‡A est important pour la préservation du type ; alors que¸est la nouvelle valeur associée à un champs affecté donné, c’est la région ﬂ de l’ancienne valeur du champs qui devient le nouveau type de l’adresse ¸.

Jusqu’au présent nous avons défini Á, l’effet sur-approximant les effets de bord de l’expression évaluée e et l’effet Á^Õ sur-approximant une partie des effets de bord du résultat d’évaluation e^Õ (ignorons pour l’instant l’ensemble Ï^ÕÕ dans l’énoncé de préservation). Or, démontrer la préservation du typage et de l’injectivité du nouvel environnement ^Õ vis-à-vis de la nouvelle configuration (µ^Õ ·e^Õ), nécessite en quelque sorte de résoudre le « problème du cadre » (en anglais “frame problem” [21]), ce qui dans notre cas implique de fournir une description statique adéquate de ce qui a changé et de ce qui n’a pas changé dans l’état mémoire µ^Õ par rapport à l’état mémoire µ.

Pour cela, commençons par définir l’effet « réalisé » dee.

Définition 3.3.3 (Effet réaliséÁ₀). On définit l’effet réalisé dee, notéÁ₀ ou(Ê0·Ï₀), par récurrence sur la dérivation du pas de réduction :

– si e se réduit par la règle E-Alloc ou la règle E-Assign, on pose Á₀ =Á;

– sie est une liaison localeletx=e₁ in e₂ qui se réduit par la règleE-Ctx, on prend pour l’effet réalisé de e l’effet réalisé qui est donné par l’hypothèse de récurrence sur la réduction de e₁;

– dans tous les autres cas, le pas d’évaluation correspond à une réduction en tête qui ne modifie pas l’état mémoire et on pose alors Á0 =‹.

Remarquons au passage que l’on n’a pas de relation Á=Á₀ÛÁ^Õ. Pour s’en persua- der, il suffit de considérer une conditionnelle dont les branches ne sont pas pures. En revanche, à l’instar de l’effetÁ^Õ, l’effet réalisé Á0 est un sous-effet de Á :

Lemma 3.3.3. Á₀ ıÁ.

Démonstration. Par récurrence sur la dérivation du pas d’évaluation µ·e ≠æ µ^Õ·e^Õ. Si e est une liaison locale let x = e1 in e2 qui se réduit par la règle E-Ctx, par hypothèse de récurrence sur la dérivation de e₁ on obtient Á₀ ı Á₁. Ainsi Á₁ ÛÁ₂ = (Á0ÛÁ₁)ÛÁ₂ =Á₀Û(Á1ÛÁ₂)par définition deı et l’associativité deÛ. Tous les autres cas sont immédiats.

Le fait que Á0 ı Á implique que si une adresse mémoire ¸ œ domµ apparaît dans F¸(e^Õ), alors la région ^Õ(¸) est valide vis-à-vis de l’effetÁ0 et égale à (¸) :

Lemma 3.3.4. ’¸.¸œdomµﬂF^¸(e^Õ) =∆ ^Õ(¸) = (¸) · Á₀Û ^Õ(¸).

Démonstration. Remarquons d’abord que Á₀ Û (¸). En effet, si e correspond à une allocation ou à une affectation, le résultat est immédiat puisque domµﬂF^¸(e^Õ) =?. Sieest une liaison localeletx =e1 in e2 avece1 réductible, alors notons Á1 l’effet de l’expression e₁. Puisque e est bien typé, d’après les prémisses de la règle T-Let, nous avonsÁ₁Û (¸) pour toute adresse¸œF^¸(e2). Or, par définition, l’effetÁ₀ poure et le même que poure1. D’après le lemme3.3.3 on a alorsÁ0 ıÁ1 et d’après le lemme3.2.2 nous avons Á₀ Û (¸). Enfin, dans tous les autres cas Á₀ est vide, donc Á₀ Û (¸) est trivialement vrai.

D’autre part, quelle que soit l’adresse ¸œdomµﬂF¸(e^Õ), si (¸)”= ^Õ(¸), le rédex er correspond nécessairement à une affectation parallèle. Notons (A) l’ensemble des régions invalidées qui est donné par le typage du rédex er. Puisque (¸) ”= ^Õ(¸), les deux régions appartiennent à l’ensemble (A) et donc à Ï0, puisque (A) ™ Ï0. Or, on vient de montrer Á₀Û (¸). D’après le lemme3.2.1, on a alors (¸)œ/Ï₀, ce qui est absurde. On a donc bien (¸) = ^Õ(¸)ce qui permet de conclure que Á₀Û ^Õ(¸).

Lemma 3.3.5 (Lemme du cadre). Soit ¸ une adresse mémoire dansF^¸(e^Õ). Soitfi un chemin tel que µ(¸.fi)est défini et pour tout préfixe propre fi¯ªfi, (¸).¯fi œ/ Ê0. Dans ce cas, (¸).fi œ/ Ï₀ et µ^Õ(¸.fi) = µ(¸.fi).

On peut représenter l’énoncé ci-dessus avec le dessin dans la figure 3.10qui montre

⌃(`)

⇡

⌃(`).⇡f

!₀ '₀

µ=µ⁰

µ6=µ⁰

Figure3.10 – Lemme du cadre

que tous les changements observables de l’état mémoire ainsi que toutes les régions invalidées sont « couverts » par l’ensemble des régions modifiéesÊ0 de l’effet réalisé Á0.

Démonstration. Par récurrence sur fi. Si fi = ‘, alors on a (¸).‘ = (¸) œ/ Ï₀. Par ailleurs, µ^Õ(¸.‘) = µ(¸.‘) = ¸, puisque les règles de sémantique ne suppriment jamais des adresses mémoire de l’état mémoire µ. Sinon, considérons fi égal à un chemin non videfi^Õf tel queµ(¸.fi)soit défini et pour tout fi¯ ªfi, on ait (¸).¯fi œ/ Ê₀. Puisque l’on a Á0 Û (¸) et comme aucune région qui se trouve sur le chemin depuis (¸) jusqu’au type (¸).fi n’est pas dans Ê₀, on en déduit que (¸).fi n’est pas dans Ï₀. D’autre part, par hypothèse de récurrence sur fi^Õ, on a µ^Õ(¸.fi^Õ) = µ(¸.fi^Õ). Par conséquent, le pas de réduction n’a pas modifié le contenu du champsf de l’adresse mémoireµ(¸.fi^Õ), car sinon la région (µ(¸.fi^Õ)) = (¸).fi^Õ ferait nécessairement ou bien dansÊ₀, ou bien dans Ï₀. On conclut donc que µ^Õ(¸.fi) = µ(¸.fi).

Nous sommes enfin prêts pour attaquer le lemme de préservation. Nous démontrons les trois propriétés de préservation (typage de l’expression, typage et injectivité de l’état mémoire) par récurrence sur la dérivation du pas de réduction avec l’analyse par cas sur la dernière règle de sémantique appliquée.

Cas de la règle E-Ctx. Supposons que e est de la formelet x=e1 in e2. Donc,e^Õ est égale àletx=e^Õ₁ ine2 oùµ·e1 ≠æµ^Õ·e^Õ₁. CommeF¸(e2)™domµ, d’après le lemme 3.3.4, pour toute ¸ œF^¸(e2), on a ^Õ(¸) = (¸).

Préservation du typage de l’expression. Par hypothèse de récurrence sur la dérivation µ·e₁ ≠æ µ^Õ ·e^Õ₁, on a · ^Õ „ e^Õ₁ : ·₁ ·Á^Õ₁ Û(?·Ï^ÕÕ), où ·₁ est le type de e₁ et où Ï^ÕÕ ﬂ ^Õ(domµ^Õ) = ?. Par ailleurs, le rédex de e coïncide avec celui de e1 et donc l’environnement ^Õ défini en fonction de e₁ est le même que celui défini en fonction de let x= e₁ in e₂.

Notons ·2 et Á2 respectivement le type et l’effet dee2 dans la dérivation du typage deletx =e₁ in e₂. Puisque pour toute adresse mémoire¸ œF¸(e2), ^Õ coïncide avec

, on déduit que le jugement du typage [x‘æ·₁]· ^Õ „e₂ :·₂·Á₂ est dérivable.

Montrons que pour toute adresse mémoire¸ œF¸(e2)on aÁ^Õ₁Û(?·Ï^ÕÕ)Û ^Õ(¸). D’une part, on aÁ₁Û (¸)par hypothèse et puisque ^Õ(¸) = (¸), on obtienÁ₁Û ^Õ(¸). Puisque Á^Õ₁ ıÁ₁, le lemme 3.2.4 donneÁ^Õ₁Û ^Õ(¸). D’autre part, puisque Ï^ÕÕﬂ ^Õ(domµ^Õ) =?, on en déduit que (?·Ï^ÕÕ)Û ^Õ(¸). Or,e étant clos, l’ensemble Fv(e2)\ {x} est vide. Le lemme3.2.2nous donne alors la troisième prémisse de la règle T-Letpour l’expression e^Õ. Finalement, d’après le lemme 3.2.3, nous avons Á^Õ₁Û(?·Ï^ÕÕ)ÛÁ₂ =Á^ÕÛ(?·Ï^ÕÕ), ce qui permet de conclure que · ^Õ „e^Õ :· ·Á^ÕÛ(?·Ï^ÕÕ).

Préservation du typage de l’état mémoire. L’hypothèse de récurrence sur le pas de réduction dee1 nous donne ^Õ |=µ^Õ·e^Õ₁. Considérons une adresse mémoire ¸dans e2 et un chemin fi quelconque. Montrons que soit ^Õ(¸).fi = ^Õ(µ^Õ(¸.fi)) ou bien ni ^Õ(¸).fi, ni ^Õ(µ^Õ(¸.fi))ne sont définis.

Notons fi^Õ le plus grand préfixe du chemin fi tel queµ(¸.fi^Õ)soit défini et pour tout préfixe fi¯ ª fi^Õ, on ait (¸).¯fi œ/ Ê₀. Vérifions d’abord que de tels préfixes existent. En effet, l’hypothèse |= µ·e garantit que ¸ œ domµ, ce qui revient à dire que µ(¸.‘) est défini. On peut donc appliquer le lemme3.3.5 à l’adresse ¸et au chemin fi^Õ, ce qui donne µ^Õ(¸.fi^Õ) = µ(¸.fi^Õ) et (¸).fi^Õ œ/ Ï₀. Puisque (¸).fi^Õ = (µ(¸.fi^Õ)), on en déduit

que (µ(¸.fi^Õ)) = ^Õ(µ(¸.fi^Õ)). D’autre part, d’après le lemme 3.3.4, ^Õ(¸) = (¸). Ainsi obtient-on que ^Õ(¸).fi^Õ = (¸).fi^Õ = (µ(¸.fi^Õ)) = ^Õ(µ(¸.fi^Õ)) = ^Õ(µ^Õ(¸.fi^Õ)).

Notons fi = fi^Õfi^ÕÕ. Si fi^Õ = fi (fi^ÕÕ est donc égal à ‘), alors, d’après ce qui précède, on a montré que ^Õ(¸).fi = ^Õ(µ^Õ(¸.fi)). Supposons donc que fi^Õ ª fi. On a deux cas à considérer.

Supposons d’abord que pour tout chemin fi¯ tel que fi^Õ ª fi¯ ∞ fi, µ(¸.¯fi) n’est pas défini. Dans ce cas-là, ^Õ(¸).fi n’est pas défini en vertu de l’égalité ^Õ(¸).fi= (¸).fi=

(µ(¸.fi))et ^Õ(µ^Õ(¸.fi))n’est pas défini en vertu de l’égalité µ^Õ(¸.fi^Õ) = µ(¸.fi^Õ).

Sinon, nécessairement (¸).fi^Õ œÊ₀. Notons par ¸^Õ l’adresse mémoire µ(¸.fi^Õ). L’en- sembleÊ₀n’étant pas vide, on en déduit que le rédex est nécessairement une affectation parallèle. Nous pouvons donc raisonner sur la relation ‡A correspondante. En particulier, on sait que ¸^Õ œdomA car (¸^Õ) = (¸).fi^Õ œÊ₀. Deux cas sont possibles selon que (¸^Õ).fi^ÕÕ soit défini ou non.

Si (¸^Õ).fi^ÕÕest défini, alors nécessairement ÈA( (¸^Õ),fi^ÕÕ), (¸^Õ).fi^ÕÕÍ œ‡A. D’après la définition de ^Õ, on a l’égalité ^Õ(µ^Õ(¸^Õ.fi^ÕÕ)) = (¸^Õ).fi^ÕÕ. Or, (¸^Õ).fi^ÕÕ = (µ(¸.fi^Õ)).fi^ÕÕ=

(¸).ﬁ= ^Õ(¸).ﬁ, ce qui permet de conclure.

Enfin, si (¸^Õ).fi^ÕÕ n’est pas défini, alors ^Õ(¸).fi n’est pas défini en vertu de l’éga- lité ^Õ(¸).fi = (¸).fi = (¸^Õ).fi^ÕÕ. Par ailleurs, µ(¸^Õ.fi^ÕÕ) n’est pas défini non plus puisque µ est bien typé par hypothèse et (¸^Õ).fi^ÕÕ n’est pas défini. Or, dans l’affectation parallèle, les types des champs modifiés sont structurellement égaux aux types de nouvelles valeurs attribuées. Il s’ensuit que ¸^Õ dans µ (avant le pas de ré- duction) admet exactement les mêmes chemins que dans µ^Õ (après le pas de réduc- tion) :µ^Õ(¸^Õ.fi^ÕÕ) =µ^Õ(µ(¸.fi^Õ).fi^ÕÕ) = µ^Õ(µ^Õ(¸.fi^Õ).fi^ÕÕ) =µ^Õ(¸.fi)est n’est donc pas défini et

Õ(µ^Õ(¸.ﬁ)) n’est pas défini non plus, ce qui permet de conclure.

Préservation de l’injectivité de l’environnement du typage.Soient¸1 et¸2 deux adresses mémoire dans e^Õ. Considérons deux chemins fi₁ et fi₂ arbitraires tels que ^Õ(¸1).fi1 et

Õ(¸2).fi2 dénotent la même région. Montrons que µ^Õ(¸1.fi₁) = µ^Õ(¸2.fi₂). Trois cas se présentent selon que ¸1 et¸2 appartiennent ou non à domµ.

Si aucune des deux adresses n’appartient au domaine de µ, cela signifie qu’elles ont été allouées lors du pas d’évaluation et qu’elles apparaissent toutes les deux dans e^Õ₁. Par conséquent, l’hypothèse de récurrence sur µ·e1 ≠æµ^Õ·e^Õ₁ permet de conclure.

Supposons maintenant que seulement l’une des deux adresses appartient au domaine du µ. Sans perte de généralité, supposons que ¸₁ œ/ domµ et que ¸₂ œ domµ.

Cela signifie que le rédex est l’allocation d’un nouvel enregistrement. Par conséquent, l’effet réalisé Á₀ est égal (Ê0 ·Ï₀) = (?· { ^Õ(¸1)}). Par ailleurs, la relation ‡A est nécessairement vide, donc ^Õ(¸2).fi2 = (¸2).fi2 par construction de ^Õ. On en dé- duit donc que (¸2).fi2 est défini et puisque l’état mémoire µ est bien typé, µ(¸2.fi2) est également défini. Par ailleurs, puisque (¸2.fi₂) œ/ Ê₀, on peut donc appliquer le lemme 3.3.5, ce qui donne µ^Õ(¸2.fi₂) = µ(¸2.fi₂). Il s’ensuit que le chemin fi₁ ne peut pas être vide, car s’il en était autrement, l’égalitéµ^Õ(¸1).‘=µ^Õ(¸2.fi2), que l’on cherche à établir, serait en contradiction avec l’hypothèse que ¸₁ œ/ domµ. Le chemin fi₁ est donc non vide. Notonsfi₁ =ffi^Õ et notons ¸^Õ l’adresse mémoireµ^Õ(¸1.f). Le diagramme

dans la figure 3.11 montre que µ(¸^Õ.fi^Õ) =µ^Õ(¸^Õ.fi^Õ). En effet, puisque le rédex est une allocation, l’adresse ¸^Õ est nécessairement dans F¸(e1) et appartient donc au domaine de µ. Par ailleurs, ‡_A étant vide, on a ^Õ(¸^Õ) = (¸^Õ). Or, (¸^Õ).fi^Õ = (µ(¸^Õ.fi^Õ)) puisque µ est bien typé et ^Õ(¸^Õ).fi^Õ = ^Õ(µ^Õ(¸1.ffi^Õ)) = ^Õ(¸1).fi1 car on a déjà établi que µ^Õ était bien typé aussi. De plus, ^Õ(¸1).fi1 = ^Õ(¸2).fi2 = (¸2).fi2. Il en résulte

⌃⁰(`1).⇡1 ⌃⁰(`2).⇡2

⌃(`2).⇡2

⌃(µ(`2.⇡2))

⌃⁰(`⁰).⇡⁰

⌃(`⁰).⇡⁰

⌃(µ(`⁰.⇡⁰))

hyp.

⌃⁰|=µ⁰·e⁰

= ^A⁼^? =^A⁼^?

= ^⌃^|⁼^µ^·^e =^⌃^|=^µ^·^e

conclusion=

Figure3.11 – µ(¸^Õ.ﬁ^Õ) = µ^Õ(¸^Õ.ﬁ^Õ)

que (µ(¸^Õ.fi^Õ)) = (µ(¸2.fi2)), ce qui, en vertu de l’injectivité de l’environnement , donne l’égalité µ(¸^Õ.fi^Õ) = µ(¸2.fi₂). Or, l’évaluation d’une allocation ne modifie pas les adresses mémoire duµ, doncµ(¸^Õ.fi^Õ) =µ^Õ(¸^Õ.fi^Õ)et µ^Õ(¸2.fi₂) =µ(¸2.fi₂), ce qui permet de conclure.

Sinon, ¸₁ et ¸₂ sont dans domµ. Comme ^Õ(¸1) = (¸1) et ^Õ(¸2) = (¸2), on a l’égalité µ(¸1.fi₁) = µ(¸2.fi₂) en vertu de l’injectivité de : en effet, si ¸₁ œ F^¸(e), l’injectivité s’applique immédiatement et si ¸1 œ/ F¸(e), ¸1 ne peut apparaître dans e^Õ que si le rédex est de la forme ¸₀.f pour une adresse et un champs f tels que µ(¸0.f) = ¸₁. Dans ce cas-là, on a µ(¸1.fi₁) = µ(¸2.fi₂), en vertu de l’injectivité de et du bon typage de µ.

Soit alors fi₁^Õ le plus long préfixe defi₁ tel que pour tout sous-cheminfi¯ ªfi^Õ₁, on ait (¸1).¯fiœ/ Ê₀. De même, soitfi₂^Õ le plus long préfixe defi₂ tel que pour tout sous-chemin

fi ª fi₂^Õ, on ait (¸2).¯fi œ/ Ê0. On peut donc appliquer le lemme 3.3.5, ce qui donne (¸1).fi^Õ₁ œ/ Ï₀, (¸2).fi^Õ₂ œ/ Ï₀, µ^Õ(¸1.fi₁^Õ) =µ(¸1.fi₁^Õ) etµ^Õ(¸2.fi₂^Õ) = µ(¸2.fi^Õ₂).

Si fi₁^Õ =fi₁ et fi₂^Õ = fi₂, alors on conclut immédiatement que µ^Õ(¸1.fi₁) =µ^Õ(¸2.fi₂).

Sinon, au moins l’une des régions (¸1).fi₁^Õ et (¸2).fi₂^Õ appartient à Ê0. Or, cela signifie que le rédex est une affectation parallèle et on peut alors raisonner sur la relation ‡_A. Sans perte de généralité, supposons que (¸1).fi₁^Õ œ Ê₀. Notons ¸^Õ₁ l’adresse mé- moire µ(¸1.fi₁^Õ) et posons fi1 = fi₁^Õfi₁^ÕÕ. Nécessairement, la relation ‡A contient la paire ÈA( (¸^Õ₁),fi^ÕÕ₁), (¸^Õ₁).fi₁^ÕÕÍ où A( (¸^Õ₁),fi₁^ÕÕ) = (µ^Õ(¸^Õ₁.fi^ÕÕ₁)) et où, par définition du ^Õ, (¸^Õ₁).fi^ÕÕ₁ = ^Õ(µ^Õ(¸^Õ₁.fi₁^ÕÕ)), On a alors trois cas à considérer selon que fi^Õ₂ =fi₂ ou pas.

Le premier cas correspond à la situation où fi₂^Õ =fi2 avec A( (¸^Õ₁),fi₁^ÕÕ)”= (¸^Õ₁).fi^ÕÕ₁. Montrons que ce cas-là est absurde. En effet, A( (¸^Õ₁),fi^ÕÕ₁) ”= (¸^Õ₁).fi^ÕÕ₁ entraîne que (¸^Õ₁).fi^ÕÕ₁ œÏ₀ en vertu de la définition du (A). Or, d’une part, (¸^Õ₁).fi₁^ÕÕ = (¸1).fi1

et, d’autre part, l’on a vu que (¸1).fi1 = (¸2).fi2. On en déduit que nécessairement (¸2).fi2 œÏ0, ce qui est absurde puisque l’on a supposé que fi^Õ₂ =fi2 et (¸2).fi₂^Õ œ/Ï0. Le second cas correspond à la situation où fi₂^Õ = fi₂ avec A( (¸^Õ₁),fi^ÕÕ₁) = (¸^Õ₁).fi^ÕÕ₁. On a donc (µ^Õ(¸^Õ₁.fi₁^ÕÕ)) =A( (¸^Õ₁),fi^ÕÕ₁) = (µ(¸^Õ₁.fi^ÕÕ₁). Par conséquent, l’injectivité du

donneµ^Õ(¸^Õ₁.fi₁^ÕÕ) = µ(¸^Õ₁,fi^ÕÕ₁). Celà permet de conclure, puisque l’on a : µ^Õ(¸1.fi₁) =µ^Õ(¸^Õ₁.fi₁^ÕÕ) = µ(¸^Õ₁,fi₁^ÕÕ) =µ(¸1,fi₁) =µ(¸2,fi₂) = µ^Õ(¸2,fi₂).

Sinon, on a nécessairementfi₂^Õ ªfi₂ avec (¸2).fi^Õ₂ œÊ₀. Notons¸^Õ₂ l’adresseµ(¸2.fi₂^Õ) et posons fi2 = fi₂^Õfi₂^ÕÕ. La relation ‡A contient donc la paire ÈA( (¸^Õ₂),fi₂^ÕÕ), (¸^Õ₂).fi^ÕÕ₂Í. Or, ‡A étant bijective, l’égalité (¸^Õ₁).fi₁^ÕÕ = (¸^Õ₂).fi₂^ÕÕ que l’on a établie plus haut, entraîne (µ^Õ(¸^Õ₁.fi₁^ÕÕ)) = A( (¸^Õ₁),fi₁^ÕÕ) =A( (¸^Õ₂),fi^ÕÕ₂) = (µ^Õ(¸^Õ₂.fi^ÕÕ₂)). Ainsi, les adresses µ^Õ(¸^Õ₁.fi₁^ÕÕ) etµ^Õ(¸^Õ₂.fi^ÕÕ₂), qui sont touts les deux accessibles dans l’état mémoireµdepuis le rédex dee, sont égales en vertu de l’injectivité de l’environnement , ce qui permet de conclure queµ^Õ(¸1.fi₁) = µ^Õ(¸2,fi₂).

Cas de la règle E-Alloc. Soiteune allocation d’enregistrement{f1 =v1, . . . , fn=vn}, et e^Õ est une adresse mémoire¸ fraîche.

Préservation du typage de l’expression. Notons fl la région de e. Par construction, Á^Õ =‹ et ^Õ(¸) = [¸ ‘æfl](¸) =fl. En prenant Ï^ÕÕ=?, on conclut directement que e^Õ est bien typée par la règleT-Loc.

Préservation du typage de l’état mémoire. Soit fi un chemin quelconque. Si fi = ‘, alors µ^Õ(¸.‘) = ¸ et on a immédiatement ^Õ(¸).‘ = ^Õ(µ^Õ(¸.‘)). Supposons donc que fi ”=‘. Notonsfi =ffi^Õ. Sif est différent de tous les champsf₁, . . . , fn, alors niµ^Õ(¸.fi), ni ^Õ(¸).fi = fl.fi ne sont définis. Supposons donc que f = fi pour i œ [1..n]. Si la valeur correspondante vi est une constante c du type scalaire ‹, alors ni µ^Õ(¸.ffi^Õ), ni ^Õ(¸).ffi^Õ ne sont définis que si fi^Õ = ‘. Dans ce cas-là, on a le résultat, puisque

Õ(¸).f =‹ = ^Õ(c) = ^Õ(µ^Õ(¸.f)). Sinon, notons¸^Õ l’adresse mémoire qui correspond à la valeurvi. Ou bien (¸^Õ).ﬁ^Õ est égal à (µ(¸^Õ.ﬁ^Õ)), ou bien les deux expressions de type ne sont pas définis en vertu de l’hypothèse |=µ·e. Cela permet alors de conclure que

Õ(¸).fi=fl.ffi^Õ = (¸^Õ).fi^Õ = (µ(¸^Õ.fi^Õ)) = ^Õ(µ(¸^Õ.fi^Õ)) = ^Õ(µ^Õ(¸^Õ.fi^Õ)) = ^Õ(µ^Õ(¸.fi)).

Préservation de l’injectivité de l’environnement du typage. Étant donné que F¸(e^Õ) = {¸}, il suffit de considérer deux chemins distincts fi₁ et fi₂ tels que fl.fi₁ et fl.fi₂ dé- notent la même région. D’abord, remarquons qu’aucun des deux chemins ne peut être vide. En effet, la région fl ne peut pas être égale à l’une de ses sous-régions stricte.

Nécessairement donc fi₁ est égal à fifi^Õ₁ et fi₂ est égal à fj.fi₂^Õ avec i et j dans [1..n].

Réécrivons l’hypothèse fl.fi1 = fl.fi2 en (fl.fi).fi₁^Õ = (fl.fj).fi₂^Õ. Puisque l’on a supposé que fl.fi1 et fl.fi2 étaient des régions, il en est de même pour fl.fi et fl.fj. Il s’ensuit que la valeurs correspondantes vi et vj sont toutes les deux adresses mémoires dans e. Notons vi = ¸i et vj = ¸j. Comme (¸i) = fl.fi = fl.fj = (¸j), l’injecti- vité du nous donne ¸i = ¸j. D’autre part, l’état mémoire µ étant bien typé, on a (¸i).fi^Õ₁ = (µ(¸i.fi₁^Õ)) et (¸j).fi₂^Õ = (µ(¸j.fi₂^Õ)), ce qui, en vertu de l’injectivité du

No documento Un système de types pragmatique pour la vérification déductive des programmes (páginas 98-109)