Préservation du typage par le raffinement

4.3 Raffinement

4.3.3 Préservation du typage par le raffinement

Nous sommes prêts maintenant pour énoncer le théorème de préservation du typage par le raffinement.

Théorème 4.3.1. Soit un jugement de typage · „e:··Ádérivable. Alors il existe un effet Á^Õ tel que le jugement

( )· ( )„e: (·)·Á^Õ

est dérivable et quel que soit un type · œdom , si Á Û ·, alors Á^Õ Û (·).

Démonstration. Par récurrence sur la dérivation du typage. Remarquons au préalable que si l’effet Á = ‹, poser Á^Õ = ‹ vérifie trivialement l’implication de l’énoncé. Par conséquent, les cas ou e est une expression atomique (variable, constante, adresse mémoire) ainsi que le cas oùe est de forme a.f (accès au champs f) se vérifient directement en appliquant la définition du raffinement. Le cas oùeest une conditionnelle se montre en appliquant directement l’hypothèse de récurrence. Traitons donc les quatre cas restants.

Cas de la règle T-Let. La dérivation du typage dee se termine par

· „e₁ :·₁·Á₁ [x‘æ·₁]· „e₂ :·₂ ·Á₂

’flœ (F^v(e2)\ {x})fi (F^¸(e2)).Á₁Û fl

· „letx = e1 in e2 :·2·Á1ÛÁ2

En appliquant l’hypothèse de récurrence, nous avons

( )· ( ) „e₁ : (·1)·Á^Õ₁ et ( )[x‘æ (·1)]· ( )„e₂ : (·2)·Á^Õ₂ avec des effetsÁ^Õ₁ etÁ^Õ₂ tels que

’· œdom .(Á1Û · =∆ Á^Õ₁Û (·)) · (Á2Û · =∆ Á^Õ₂Û (·)) D’après le lemme3.2.4, on a donc

’· œdom .Á1ÛÁ2Û · =∆ Á^Õ₁ ÛÁ^Õ₂Û (·).

De plus, si une région fl^Õ est dans ( (Fv(e2)\ {x})fi (F¸(e2))), elle s’écrit alors (fl) pour une certaine région fl dans (Fv(e2)\ {x})fi (F¸(e2)). Or, puisque par hypothèse Á₁ Û fl, on a, d’après ce qui précède, Á^Õ₁ Û fl^Õ. Ainsi, on peut conclure en dérivant le jugement

( )· ( ) „e₁ : (·1)·Á^Õ₁ ( )[x‘æ (·1)]· ( )„e₂ : (·2)·Á^Õ₂

’fl^Õ œ ( (F^v(e2)\ {x})fi (F^¸(e2))).Á^Õ₁Û fl^Õ ( )· ( ) „letx =e1 in e2 : (·2)·Á^Õ₁ÛÁ^Õ₂

Cas de la règle T-Alloc. La dérivation du typage dee se termine par

· „ai :·i·‹ ﬂ={fi :·iiœ[1, ..., n]}r fi deux à deux distincts

· „{fi =aiiœ[1, ..., n]}:ﬂ·(?· {ﬂ})

Par définition, (ﬂ) ={fi : (·i)ⁱ^œ[1, ..., n]}r. Par hypothèse de récurrence, nous avons pour i œ [1, . . . , n], que le ( )· ( ) „ ai : (·i)·‹ est dérivable. On peut donc dériver

( )· ( )„ai : (·i)·‹ (fl) ={fi : (·i)ⁱ^œ[1, ..., n]}r fi deux à deux distincts ( )· ( )„{fi =aiiœ[1, ..., n]}: (fl)·(?· { (fl)})

Montrons maintenant la partie de l’énoncé concernant Á^Õ qui est égal dans ce cas à (?· { (fl)}). Considérons un type · œdom tel que(?· {fl})Û ·. Puisque l’ensemble des régions écrites est vide, on a(?· {fl})Û · si est seulement si ou bien· est une sous- région stricte de fl, ou bienR(fl)flR(·) =?. Dans le premier cas, (·)est clairement une sous-région stricte de (fl). Dans le deuxième cas,R( (fl))flR( (·)) = ?d’après le lemme de séparation. On a donc(?· { (fl)})Û (·) ce qui permet de conclure.

Cas de la règle T-Assign. La dérivation du typage de e se termine par

· „a_i :fl_i·‹ · „a^Õ_i,j :·_i,j^Õ ·‹ fl_i.f_i,j ƒ·_i,j^Õ fli deux à deux distincts ’i. fi,j deux à deux distincts

Ï = (ﬂi.{fi,j Ω·_i,j^Õ ^j^œ^{[1, ..., k}ⁱ^]}ⁱ^œ[1, ..., n])

· „ai.{fi,j Ωa^Õ_i,j jœ[1, ..., ki]}ⁱœ[1, ..., n] :Unit·({ﬂ1, . . . , ﬂn} ·Ï)

En appliquant l’hypothèse de récurrence, on a pouriœ[1, . . . , n]etj œ[1, . . . , ki]la dérivabilité des jugements

( )· ( ) „a_i : (ﬂi)·‹ et ( )· ( )„a^Õ_i,j : (·_i,j^Õ )·‹.

De plus, le raffinement préserve l’égalité structurelle, donc on a (ﬂi).fi,j ƒ (·_i,j^Õ )en vertu des relations ﬂ_i.f_i,j ƒ·_i,j^Õ .

Posons Ï^Õ = ( (fli).{fi,j Ω (·_i,j^Õ ) ^jœ[1, ..., ki]}ⁱœ[1, ..., n]) et désignons par A^Õ l’argu- ment de l’opération . Rappelons que A^Õ correspond à la projection de l’affectation parallèle au niveau des types. Tout d’abord, montrons que l’opération est bien définie surA^Õ. Pour cela, introduisons les notations suivantes. Comme au chapitre précédent², notons A^Õ( (fli), fi,j) , (·_ij^Õ ) et A^Õ(fl, g) , fl.g lorsque la région fl n’est pas dans { (fl1), . . . , (fln)}. Notons aussi que pour fl œ R({ (fl1), . . . , (fln)}), on définit A^Õ(fl,fi)comme dans le chapitre précédent, à savoir par les équations :

A^Õ(ﬂ,ﬁ),

Y_ _] __ [

ﬂ si ﬁ=‘

A^Õ(fl, f) si fi=f‘ etA^Õ(fl, f) =‹ A^Õ(fl^Õ,fi^Õ) si fi=ffi^Õ et A^Õ(fl, f) = fl^Õ

Posons maintenant la relation binaire ‡A^Õ , {ÈA^Õ( (fli),fi), (fli).fiÍ |i œ[1, . . . , n]} et montrons que ‡A^Õ est bijective.

2. Voir le paragraphe 2 de la page94

Tout d’abord, pour tout chemin fi tel que (fli).fi est défini, notons fi ,fi^¶fi^•, où fi^¶ est le plus long préfixe defi tel que fli.fi^¶ soit défini. Remarquons alors que

A^Õ( (fli),fi^¶fi^•) = (A(fli,fi^¶)).fi^•

ce que l’on peut encore représenter graphiquement à l’aide de la figure 4.3 laquelle montre comment chaque paire dans ‡_AÕ est structurée :

⇢i

⇢i.⇡ A(⇢i,⇡ )

(ri)

(⇢i).⇡ A⁰( (⇢i),⇡ )

(⇢i).⇡ A⁰( (⇢i),⇡) (⇢i.⇡ ).⇡^• (A(⇢i,⇡ )).⇡^•

⇡ ⇡

⇡^• ⇡^•

= =

Figure4.3 – La structure de ‡_A^Õ .

En effet, le raffinement préserve la structure d’aliasing, donc A(fli,fi^¶) étant bien dé- fini, on a A^Õ( (fli),fi^¶) = (A(fli,fi^¶)). De plus, si le suffixe fi^• n’est pas vide, alors nécessairement fli.fi^¶ est un type privé. Par conséquent, il ne fait pas partie des types { (fl1), . . . , (fln)}et donc a bien

A^Õ( (fli),fi^¶fi^•) =A^Õ( (A(fli,fi^¶),fi^•)) = (A(fli,fi^¶)).fi^•. Considérons maintenant dans ‡A^Õ deux paires

ÈA^Õ( (fli),fii), (fli).fiiÍ et ÈA^Õ( (flj),fij), (flj).fijÍ

pour lesquelles posons respectivementfii ,fi_i^¶fi^•_i etfij ,fi_j^¶fi_j^•. Il suffit alors de montrer l’équivalence4.1 ci-dessous :

(fli).fi_i^¶fi_i^• = (flj).fi_j^¶fi_j^• ≈∆ A^Õ( (fli),fi^¶_ifi_i^•) = A^Õ( (flj),fi^¶_jfi_j^•). (4.1) Pour cela, remarquons que pour tout Èfl,fl^ÕÍ œ‡A^Õ, on a clairementfl ƒfl^Õ. Par consé- quent, lorsque l’un des quatre types (fli).fii, (flj).fij, A^Õ( (fli),fii), A^Õ( (flj),fij) est un type scalaire, l’équivalence 4.1 est trivialement vérifiée.

Sinon, les quatre types dénotent nécessairement des régions avec le même statut public/privé. Or, dans ce cas-là, le chemin ﬁ_i^• est vide si et seulement si le chemin ﬁ_j^•

l’est. En effet, si l’un des deux chemins est vide, alors que l’autre ne l’est pas, cela contredit l’hypothèse de fraîcheur des indices introduits par le raffinement.

Lorsque ﬁ^•_i =‘=ﬁ^•_j, l’équivalence4.1 est vérifiée, car d’une part le raffinement est injectif et d’autre part la relation‡A est bijective par hypothèse du typage de e.

Supposons enfin que ni ﬁ^•_i, ni ﬁ^•_j ne sont vides. Or, dans ce cas-là, les quatre types considérés étant des régions, on a, en vertu de l’hypothèse de séparation, les deux équivalences ci-dessous :

(fli).fii = (flj).fij ≈∆fli.fi_i^¶ =flj.fi_j^¶

A^Õ( (fli),fii) =A^Õ( (flj),fij) ≈∆A(fli,fi_i^¶) =A(flj,fi_j^¶)

lesquelles, mises ensemble, impliquent l’équivalence 4.1 et donc la bijectivité de ‡A^Õ. En résumé, on a montré que surA^Õ est bien défini, ce qui permet de poser

Ï^Õ ,{fl | il existe fl^Õ ”=fl telle que Èfl,fl^ÕÍ œ‡_AÕ ouÈfl^Õ,flÍ œ‡_AÕ} et dériver le jugement de typage

( )· ( )„a^Õ_i,j : (·_i,j^Õ )·‹ ( )· ( )„ai : (fli)·‹ (fli) deux à deux distincts ’i. fi,j deux à deux distincts (fli).fi,j ƒ (t^Õ_i,j) Ï^Õ = ( (fli).{fi,j Ω (·_i,j^Õ ) jœ[1, ..., ki]}ⁱœ[1, ..., n]) ( )· ( )„ai.{fi,j Ωa^Õ_i,j ^jœ[1, ..., ki]}ⁱ^œ[1, ..., n]:Unit·({ (fl1), . . . , (fln)} ·Ï^Õ) On a donc poséÁ^Õ = ({ (fl1), . . . , (fln)}·Ï^Õ)et il reste à montrer que pour· œdom on a l’implication Á Û · =∆ Á^Õ Û (·). Montrons ce résultat par récurrence sur la dérivation du jugement Á^ÕÛ ·. Le résultat est immédiat lorsque · est un type scalaire ou bien quand· est l’une des régions parmi fl₁, . . . ,fl_n. Traitons le cas inductif où· est une régionfl telle queflœ/ {fl₁, . . . ,fln},flœ/ Ïet telle que pour toutf, sifl.f est défini, alors ({fl1, . . . ,fln} ·Ï)Û fl.f. Il est clair que (fl) œ/ { (fl1), . . . , (fln)}. Supposons par absurde que (fl) œ Ï^Õ. Puisque fl œ/ Ï, on a (fl) œ/ (Ï). Donc, si (fl) œ Ï^Õ, c’est que (fl)est nécessairement une région fraîche introduite par le raffinement. Or, cela contredit l’hypothèse que flœdom . Donc, (fl)œ/ Ï^Õ.

Il reste donc à montrer que pour tout champ f tel que (fl).f est défini, on a Á^ÕÛ (fl).f. Par hypothèse de récurrence, on a, pour tout f tel que fl.f est défini, Á^ÕÛ (fl).f. Bien entendu, cela ne suffit pas pour conclure, car il faut considérer également les champs f tel que (fl).f soit une région fraîche introduite par le raffinement.

Supposons par absurde qu’il existe un champf tel que la région (fl).f, introduite par le raffinement, est dansÏ^Õ. Cela signifie qu’il existe une régionfliet un cheminfi ,fi^¶fi^• tels que È (A(fli.fi^¶),fi^•), (fli.fi^¶).fi^•Í œ ‡_AÕ avec (A(fli.fi^¶),fi^•) ”= (fli.fi^¶).fi^• et tels que (fl).f est égal ou bien à (fli.fi^¶).fi^•, ou bien à (A(fli.fi^¶).fi^•. En prenant la contraposée de l’hypothèse de séparation, on a alors, selon le cas, ou bien fl =fli.fi^¶, ou bienfl =A(fli,fi^¶).

D’autre part, par hypothèse fl n’est pas dans Ï, donc nécessairement A(fli,fi^¶) = fli.fi^¶. Par conséquent, (A(fli,fi^¶)) = (fli.fi^¶), ce qui contredit le fait que (A(fli.fi^¶),fi^•)”=

(fli.fi^¶).fi^•. Ainsi, on a bien Á^ÕÛ (fl).f pour tout f tel que (fl).f est défini, ce qui permet de conclure.

Cas de la règle T-Call. La dérivation du typage dee se termine par p:·₁◊. . .◊·næ·₀·(Ê·Ï) · „ai :◊(·i)·‹

· „p(a1, . . . , an):◊(·0)·(◊(Ê)·◊(Ï)) Le raffinement de la signature dep est égale à

(·1)◊ · · ·◊ (·n)æ (·0)·(Ê^Õ ·Ï^Õ)

où pour toute région fldans R(·1, . . . , ·_n), (Ê·Ï)Û fl implique(Ê^Õ·Ï^Õ)Û (fl). Appli- quons le lemme4.3.2aux types·₀, . . . , ·net à la substitution◊, ce qui donne l’existence d’une substitution ◊^Õ telle que pour tout iœ[0, . . . , n] on a

◊^Õ( (·i)) = (◊(·i)).

La substitution de régions ◊^Õ et le raffinement étant injectifs, leur composition l’est également. Par conséquent, pour tout · œ {·₀, . . . ,·_n} et tout chemin fi tel que ·.fi est défini, on a ◊^Õ( (·.fi)) =◊^Õ( (·)).fi. En particulier, les régions dans l’effet(Ê^Õ·Ï^Õ) étant incluses dans R( (·0), . . . , (·n)), l’effet (◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ)) est bien défini.

Appliquons maintenant l’hypothèse de récurrence au typage des atomes a₁, . . . , a_n, ce qui donne ( )· ( ) „ai : (◊(·i))·‹ pour tout iœ[1, . . . , n]. Par conséquent, on peut dériver le jugement

p: (·1)◊ · · ·◊ (·n)æ (·0)·(Ê^Õ·Ï^Õ) ( )· ( )„ai :◊^Õ( (·i))·‹ ( )· ( ) „p(a1, . . . , an):◊^Õ( (·0))·(◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ))

Il reste à monter que quel que soit un type · œ dom , lorsqu’on a (◊(Ê)·◊(Ï))Û ·, alors on a(◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ))Û (·). Montrons le résultat par récurrence sur la dérivation du jugement(◊(Ê)·◊(Ï))Û · en raisonnant par cas, selon que · est dans l’image de ◊ ou pas. Lorsque· est un type scalaire, le résultat est trivial. Supposons donc que · est une certaine région fl. Lorsque flœIm◊, il existe doncfl^ı œdom◊ telle que fl=◊(fl^ı).

Dans ce cas-là, on a(◊(Ê)·◊(Ï))Û ◊(fl^ı)et donc(Ê·Ï)Û fl^ı, puisque ◊est injective. Par ailleurs, comme fl^ı œdom◊, on a fl^ı œR(·0,·₁, . . . ,·n), Montrons que nécessairement fl^ı œ R(·1, . . . ,·n). En effet, si fl^ı œ R(·0)\ R(·1, . . . ,·n), alors fl^ı œ Ï, ce qui est impossible, puisque (Ê ·Ï)Û fl^ı. Donc, fl^ı œ R(·1, . . . ,·n). D’après la définition du raffinement, on a alors (Ê^Õ·Ï^Õ)Û (fl^ı), ce qui permet d’écrire

(◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ))Û ◊^Õ( (ﬂ^ı))

et puisque fl^ı œ R(·1, . . . ,·n), on a d’après ce qui précède, ◊^Õ( (fl^ı)) = (◊(fl^ı)) = (fl), ce qui permet de conclure dans le cas où flœIm◊.

Sinon, considérons le cas où flœ/ Im◊. On en déduit que flœ/ ◊(Ê) etflœ/ ◊(Ï). Par conséquent, comme(◊(Ê)·◊(Ï))Û fl, on déduit que, pour tout champf tel quefl.f est défini, on a (◊(Ê)·◊(Ï))Û fl.f. Par hypothèse de récurrence, on a alors pour toutf tel que fl.f soit défini (◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ))Û (fl).f. Montrons également que pour tout f^Õ tel que le type (fl).f^Õ soit défini avec f^Õ frais, on a (◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ))Û (fl).f^Õ. Supposons par l’absurde que ce n’est pas le cas pour un certain f^Õ. Alors, il existe un chemin fi tel que la région (fl).f^Õfi œ ◊^Õ(Ï^Õ) et tel que pour tout fi^Õ ª fi, (fl).f^Õfi^Õ œ/ ◊^Õ(Ê^Õ).

Or, puisque (fl).f^Õfi œ ◊^Õ(Ï^Õ), on peut écrire (fl).f^Õfi = ◊^Õ( (·j).fi_j^¶fi_j^•) pour un certain type ·_j parmi les types ·₀, . . . ,·_n et un certain chemin fi^¶_jfi_j^•. On en déduit l’égalité (fl).f^Õfi = (◊(·j.fi_j^¶)).fi_j^• où fi_j^• est nécessairement un chemin non-vide, car sinon, on aurait l’égalité entre deux régions où l’une d’entre elles aurait un indice frais alors que l’autre non, donc l’égalité entre deux régions ayant des indices distincts, ce qui est absurde. Mais alors, cela signifie que fl et ◊(·j.fi^¶_j) sont deux régions privées telles que l’intersection de (fl) avec (◊(·j.fi_j^¶)) n’est pas vide. D’après l’hypothèse de séparation, cela implique que fl = ◊(·j.fi_j^¶) et contredit ainsi l’hypothèse que fl n’appartient pas à l’image de◊. Ainsi, pour tout champf^Õtel que (fl).f^Õ est défini, on a(◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ))Û (fl).f^Õ. Il suffit donc de vérifier que (fl)œ/ ◊^Õ(Ê^Õ)et que (fl)œ/ ◊^Õ(Ï^Õ), ce qui se démontre par l’absurde de la manière identique au raisonnement que nous venons de faire. Par conséquent, on peut dériver(◊^Õ(Ê^Õ)·◊^Õ(Ï^Õ))Û ◊^Õ( (fl0))par la règle

vpind, ce qui permet de conclure dans le cas de l’appel de fonction.

No documento Un système de types pragmatique pour la vérification déductive des programmes (páginas 130-137)