# *Bounded Model Checking*

Nesta aula vamos estudar *model checking*, uma das técnicas mais utilizadas para verificação automática de propriedades de sistemas dinâmicos (sistemas caracterizados por um estado que evolui ao longo do tempo). O *model checking* tem por objectivo verificar automaticamente se uma propriedade (tipicamente especificada numa lógica temporal) é válida num modelo do sistema (tipicamente formalizado como um sistema de transição). Mais concretamente vamos estudar uma técnica de *bounded model checking*, onde o objectivo é verificar se uma propriedade é válida considerando apenas um dado número máximo de estados da execução do sistema.


Vamos usar a biblioteca [pySMT](https://github.com/pysmt/pysmt), apresentada na ficha 1, que permite que um programa em Python comunique com vários SMT solvers, tendo por base uma linguagem comum.
A documentação do pySMT pode ser encontrada em https://pysmt.readthedocs.io/en/latest/index.html.

## *First-order Transition Systems* (FOTS)

FOTS são modelos de sistemas dinâmicos que são determinados por um espaço de estados, uma relação de transição de estados e um conjunto de estados iniciais. Nos FOTS o conjunto de estados iniciais é descrito por um predicado unário (*init*) sobre o vector de variáveis associado ao espaço de estados, e a relação de transição é descrita por um predicado binário (*trans*) sobre dois vectores de variáveis que representam o estado antes e depois da transição.

### Modelação de programas com FOTS

Um programa pode ser modelado por um FOTS da seguinte forma:
- O estado é constituído pelas variáveis do programa mais uma variável para o respectivo *program counter*
- Os estados iniciais são caracterizados implicitamente por um predicado sobre as variáveis de estado
- As transições são caracterizadas implicitamente por um predicado sobre pares de estados

Considere, por exemplo o programa seguinte, anotado com uma pré-condição que restringe o valor inicial de $x$:

```Python
{ x >= 3 }
0: while (x>0):
1:    x = x-1
2: stop
```

Neste caso o estado do FOTS respectivo será um par de inteiros, o primeiro contendo o valor do $\mathit{pc}$ (o *program counter* que neste caso pode ser 0, 1 ou 2) e o segundo o valor da variável $x$. O estado inicial é caracterizado pelo seguinte predicado:

$$
\mathit{pc} = 0 \wedge x \ge 3
$$

As transições possíveis no FOTS são caracterizadas pelo seguinte predicado:

$$
\begin{array}{c}
(\mathit{pc} = 0 \wedge x > 0 \wedge \mathit{pc}' = 1 \wedge x' = x)\\
\vee\\
(\mathit{pc} = 0 \wedge x \le 0 \wedge \mathit{pc}' = 2 \wedge x' = x) \\
\vee\\
(\mathit{pc} = 1 \wedge \mathit{pc}' = 0 \wedge x' = x - 1) \\
\vee\\
(\mathit{pc} = 2 \wedge \mathit{pc}' = 2 \wedge x' = x)
\end{array}
$$

Note que este predicado é uma disjunção de todas as possíveis transições que podem ocorrer no programa. Cada transição é caracterizada por um predicado onde uma variável do programa denota o seu valor no pré-estado e a mesma variável com apóstrofe denota o seu valor no pós-estado. É usual exigir que cada estado do FOTS tenha pelo menos um sucessor, pelo que o estado final do programa é caracterizado por uma transição para ele próprio (um lacete).

Usando estes predicados podemos usar um SMT solver para, por exemplo, gerar uma possível execução de $k\!-\!1$ passos do programa (em que $k>0$). Para tal precisamos de criar $k$ cópias das variáveis que caracterizam o estado do FOTS e depois impor que a primeira cópia satisfaz o predicado inicial e que cada par de cópias consecutivas satisfazem o predicado de transição.

Começamos por importar o módulo `pysmt.shortcuts` que oferece uma API simplificada que disponibiliza as funcionalidades para a utilização usual de um SMT solver.
Os tipos estão definidos no módulo `pysmt.typing` de onde temos que importar o tipo `INT`.

In [3]:
from pysmt.shortcuts import *
from pysmt.typing import INT

A seguinte função cria a $i$-ésima cópia das variáveis de estado, agrupadas num dicionário que nos permite aceder às mesmas pelo nome.

In [4]:
def declare(i):
    state = {}
    state['pc'] = Symbol('pc'+str(i),INT)
    state['x'] = Symbol('x'+str(i),INT)
    return state

### Exercício 1

Defina a função `init` que, dado um possível estado do programa (um dicionário de variáveis), devolva um predicado do pySMT que testa se esse estado é um possível estado inicial do programa.

In [5]:
def init(state):
    # completar
    A = Equals(state['pc'], Int(0))
    B = GE(state['x'], Int(3))
    return And(A, B)

### Exercício 2

Defina a função `trans` que, dados dois possíveis estados do programa, devolva um predicado do pySMT que testa se é possível transitar do primeiro para o segundo.

In [6]:
def trans(curr,prox):
    # completar
    t01 = And(Equals(curr['pc'], Int(0)), GT(curr['x'], Int(0)), Equals(prox['pc'], Int(1)), Equals(prox['x'], curr['x']))
    t02 = And(Equals(curr['pc'], Int(0)), LE(curr['x'], Int(0)), Equals(prox['pc'], Int(2)), Equals(prox['x'], curr['x'])) 
    t10 = And(Equals(curr['pc'], Int(1)), Equals(prox['pc'], Int(0)), Equals(prox['x'] + Int(1), curr['x']))
    t22 = And(Equals(curr['pc'], Int(2)), Equals(prox['pc'], Int(2)), Equals(prox['x'], curr['x']))
    return Or(t01, t02, t10, t22)

### Exercício 3

Complete a função de ordem superior `gera_traco` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, e um número positivo `k`, use o SMT solver para gerar um possível traço de execução do programa de tamanho `k`. Para cada estado do traço deverá imprimir o respectivo valor das variáveis.

In [7]:
def gera_traco(declare,init,trans,k):
    # completar
    states = [declare(i) for i in range(k)]
    with Solver() as solver:
        solver.add_assertion(init(states[0]))
        for i in range(k-1):
            solver.add_assertion(trans(states[i], states[i+1]))
        
        if solver.solve():
            for i,s in enumerate(states):
                print(f"> State {i}: x = {solver.get_value(s['x'])}, pc= {solver.get_value(s['pc'])}.")
            pass
        else:
            print("> Not feasible.")

gera_traco(declare,init,trans,20)

> State 0: x = 10, pc= 0.
> State 1: x = 10, pc= 1.
> State 2: x = 9, pc= 0.
> State 3: x = 9, pc= 1.
> State 4: x = 8, pc= 0.
> State 5: x = 8, pc= 1.
> State 6: x = 7, pc= 0.
> State 7: x = 7, pc= 1.
> State 8: x = 6, pc= 0.
> State 9: x = 6, pc= 1.
> State 10: x = 5, pc= 0.
> State 11: x = 5, pc= 1.
> State 12: x = 4, pc= 0.
> State 13: x = 4, pc= 1.
> State 14: x = 3, pc= 0.
> State 15: x = 3, pc= 1.
> State 16: x = 2, pc= 0.
> State 17: x = 2, pc= 1.
> State 18: x = 1, pc= 0.
> State 19: x = 1, pc= 1.


## Lógica temporal linear (LTL)

Sobre este FOTS podemos querer verificar várias propriedades temporais, como por exemplo:
1. $x$ é sempre não negativo
2. $x$ é sempre diferente de 1
3. $x$ chega inevitavelmente a 0
4. $x$ chega inevitavelmente a um valor negativo
5. o programa termina

Estas propriedades são de natureza muito diferente. As duas primeiras são *propriedades de segurança* (*safety*) que, em geral, garantem que "nada de mau irá acontecer". Neste caso em particular são invariantes, ou seja, propriedades que devem ser verdade em todos os estados da execução do programa. As três últimas são *propriedades de animação* (*liveness*) que, em geral, garantem que "algo de bom irá acontecer".

A lógica LTL introduz *operadores temporais* que nos permitem escrever estas propriedades formalmente. Os operadores mais conhecidos são o $G$, que informalmente significa "*é sempre verdade que*", e o $F$, que informalmente significa "*é inevitável que*". Com estes operadores, as propriedades acima podem ser especificadas formalmente do seguinte modo
1. $G\ (x \ge 0)$
2. $G\ (x \neq 1)$
3. $F\ (x = 0)$
4. $F\ (x < 0)$
5. $F\ (pc = 2)$

## *Bounded Model Checking* (BMC) para LTL

Como é óbvio, nem todas estas propriedades são válidas. Em particular a 2ª e a 4ª não o são. O objectivo da verificação é precisamente determinar se uma propriedade temporal é válida num FOTS ou não. Este procedimento designa-se *model checking* e, quando uma propriedade não é válida, produz um contra-exemplo (um traço do FOTS correspondente a uma execução do programa onde a propriedade falha). Nesta aula vamos estudar uma técnica particular de *model checking* designada *bounded model checking*, onde o objectivo é determinar se uma propriedade temporal é válida nos primeiros $K$ estados da execução do FOTS.

A ideia passa por usar um SMT solver para tentar descobrir um contra-exemplo para uma dada propriedade. Para simplificar vamos abordar apenas dois casos: verificação de invariantes da forma $G\ \phi$ e propriedades de animação simples da forma $F\ \phi$, em que $\phi$ é uma fórmula sem operadores temporais.

### BMC de invariantes

Para fazer BMC de um invariante, por exemplo $G\ (x \ge 0)$ basta-nos usar o solver para encontrar um contra-exemplo com no máximo $K$ estados onde a propriedade $(x \ge 0)$ seja inválida nalgum estado. Para tal podemos implementar um procedimento iterativo que tenta encontrar esse contra-exemplo com tamanhos crescentes, começando com tamanho 1 até ao tamanho máximo $K$. Para cada tamanho $0 < k \le K$ basta tentar encontrar um possível traço onde o invariante a verificar seja inválido no último estado. Para tal podemos usar um código muito semelhante ao da função `gera_traco`. O procedimento é interrompido mal um contra-exemplo seja encontrado, sendo garantido que esse é um contra-exemplo mínimo para essa propriedade.

### Exercício 4

Complete a definição da função de ordem superior `bmc_always` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, um invariante a verificar, e um número positivo `K`, use o SMT solver para verificar se esse invariante é sempre válido nos primeiros `K-1` passos de execução do programa, ou devolva um contra-exemplo mínimo caso não seja.

In [4]:
def bmc_always(declare,init,trans,inv,K):
    # completar
    with Solver() as solver:
        states = [declare(i) for i in range(K)]
        solver.add_assertion(init(states[0]))
        
        for k in range(K):
            if k>0:
                solver.add_assertion(trans(states[k-1], states[k]))
            
            solver.push()
            solver.add_assertion(Not(inv(states[k])))

            if solver.solve():
                print(f"> Invariant does not hold for {k+1} first states. Counter-example:")
                for i,s in enumerate(states[:k+1]):
                    print(f"> State {i}: x = {solver.get_value(s['x'])}, pc= {solver.get_value(s['pc'])}.")
                return
            else:
                if k==K-1:
                    print(f"> Invariant holds for the first {K} states.")
                else:
                    solver.pop()

def nonnegative(state):
    return GE(state['x'], Int(0))

bmc_always(declare,init,trans,nonnegative,20)

NameError: name 'declare' is not defined

### Exercício 5

Use o procedimento `bmc_always` para encontrar um contra-exemplo para a segunda propriedade especificada acima.

In [5]:
# completar
def notone(state):
    return Not(Equals(state['x'], Int(1)))

bmc_always(declare,init,trans,notone,20)

NameError: name 'declare' is not defined

### BMC de propriedades de animação

Para fazer BMC de propriedades de animação da forma $F\ \phi$ o prodimento é ligeiramente mais complicado. Neste caso não basta encontrar um traço aberto com no máximo $K$ estados onde $\phi$ nunca seja válida, pois tal contra-exemplo não seria convincente: nada garante que $\phi$ não pudesse ser válida num ponto mais tarde da execução. Neste caso, o contra-exemplo teria que ser uma execução completa do programa que demonstre inequivocamente que a propriedade não é válida. É possível encontrar uma execução completa do programa com no máximo $K$ estados se a mesma tiver um *loop* no último estado, mais concretamente, uma transição para um dos estados precedentes.

### Exercício 6

Complete a definição da função de ordem superior `bmc_eventually` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, uma propriedade cuja inevitabilidade se pretende verificar, e um número positivo `K`, use o SMT solver para encontrar um contra-exemplo para essa propriedade considerando apenas os primeiros `K` estados de execução do programa. Note que neste caso um contra-exemplo tem que ser necessariamente um *loop* (no sentido acima referido) onde a propriedade desejada nunca seja válida.

In [8]:
def bmc_eventually(declare,init,trans,prop,bound):
    # completar
    with Solver() as solver:
        states = [declare(i) for i in range(bound)]
        solver.add_assertion(init(states[0]))
        
        for k in range(bound):
            if k > 0:
                solver.add_assertion(trans(states[k-1], states[k]))
            
            solver.push()
            has_loop = Or(And(Equals(states[i]['x'], states[k]['x']), Equals(states[k]['pc'], states[i]['pc'])) 
                          for i in range(k))
            solver.add_assertion(has_loop)

            never_occurs = And(Not(prop(states[i])) for i in range(k+1))
            solver.add_assertion(never_occurs)

            if solver.solve():
                print(f"> Property does not necessarily occur for {k} first states. Counter-example:")
                for i,s in enumerate(states[:k+1]):
                    print(f"> State {i}: x = {solver.get_value(s['x'])}, pc= {solver.get_value(s['pc'])}.")
                return
            else:
                if k==bound-1:
                    print(f"> Property holds for execution of length {bound}.")
                else:
                    solver.pop()

def zero(state):
    return Equals(state['x'],Int(0))

bmc_eventually(declare,init,trans,zero,20)

def terminates(state):
    return Equals(state['pc'],Int(2))

bmc_eventually(declare,init,trans,terminates,20)

> Property holds for execution of length 20.
> Property holds for execution of length 20.


### Exercício 7

Modifique a função `bmc_eventually` para não só imprimir os estados do contra-exemplo, mas também o estado onde começa o *loop*. Sugere-se a utilização do método `get_py_value` do pySMT para detectar esse estado. Este método permite avaliar uma expressão no modelo devolvendo o seu valor num tipo do Python.

Utilize esta função modificada para encontrar um contra exemplo para a quarta propriedade acima referida.

In [9]:
def bmc_eventually(declare,init,trans,prop,bound):
    for k in range(1,bound+1):
         with Solver(name="z3") as solver:
            traco = [declare(i) for i in range(k+1)]
            solver.add_assertion(init(traco[0]))
            transitions = And([trans(traco[i],traco[i+1]) for i in range(k)])
            solver.add_assertion(transitions)
            never_occurs = And([Not(prop(traco[i])) for i in range(k)])
            solver.add_assertion(never_occurs)
            loop = Or([And(Equals(traco[-1]['pc'], traco[i]['pc']), Equals(traco[-1]['x'], traco[i]['x'])) for i in range(k)])
            solver.add_assertion(loop)
            if solver.solve():
                print(f"> Contradição! A propriedade não se verifica no seguinte traço com loop (k={k})")
                first_loop_start = True
                for i,estado in enumerate(traco):
                    print(f"State {i} = ({solver.get_value(estado['pc'])}, {solver.get_value(estado['x'])})", end = "")
                    loop_start = Or(And(Equals(estado['pc'], traco[-1]['pc']), Equals(estado['x'], traco[-1]['x'])))
                    if first_loop_start and solver.get_py_value(loop_start):
                        print(" <- loop starts here!")
                        first_loop_start = False
                    else:
                        print("")
                return
            else:
                if k == bound:
                    print(f"> A propriedade ocorre inevitavelmente para traços de tamanho <={k}.")

def negative(state):
    return (state['x'] < 0)

bmc_eventually(declare,init,trans,negative,10)

> Contradição! A propriedade não se verifica no seguinte traço com loop (k=8)
State 0 = (0, 3)
State 1 = (1, 3)
State 2 = (0, 2)
State 3 = (1, 2)
State 4 = (0, 1)
State 5 = (1, 1)
State 6 = (0, 0)
State 7 = (2, 0) <- loop starts here!
State 8 = (2, 0)


# Verificação Indutiva

Até agora vimos como modelar sistemas dinâmicos com *First-order Transition Systems* (FOTSs) e como verificar propriedades de segurança e animação sobre estes sistemas com *Bounded Model Checking* (BMC). O procedimento de BMC verifica se uma propriedade é válida num FOTS considerando apenas um número limitado de estados de execução. Se quisermos verificar uma propriedade para qualquer execução não limitada do FOTS temos que usar um procedimento alternativo. Vamos agora usar indução para fazer verificação em traços não limitadados.

## Verificação indutiva de invariantes

No caso da verificação de propriedades de segurança $G\ \phi$, para verificar o invariante $\phi$ por indução temos que verificar as seguintes condições:
- $\phi$ é válido nos estados iniciais, ou seja, $\mathit{init}(s) \rightarrow \phi(s)$
- Para qualquer estado, assumindo que $\phi$ é verdade, se executarmos uma transição, $\phi$ continua a ser verdade no próximo estado, ou seja, $\phi(s) \wedge \mathit{trans}(s,s') \rightarrow \phi(s')$.

### Exercício 8

Implemente a função `induction_always` para verificação de invariantes por indução. 
A função recebe como argumento uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, e o invariante.

Note que terá que testar a validade das duas condições acima recorrendo à satisfiabilidade, ou seja, usando o solver para encontrar contra-exemplos, devendo o procedimento reportar qual das propriedades falha. Por exemplo, no caso da primeira deve procurar uma valoração que satisfaça $\mathit{init}(s) \wedge \neg \phi(s)$.

In [10]:
def induction_always(declare,init,trans,inv):
    # completar
    with Solver(name="z3") as solver:
        s0 = declare(0)
        solver.push()
        solver.add_assertion(init(s0))
        solver.add_assertion(Not(inv(s0)))
        if solver.solve():
            print(f"> Contradição! O invariante não se verifica no estado inicial.")
            return
        solver.pop()
        
        si = declare(1)
        sj = declare(2)
        solver.add_assertion(inv(si))
        solver.add_assertion(trans(si,sj))
        solver.add_assertion(Not(inv(sj)))
        if solver.solve():
            print(f"> Contradição! O passo indutivo não se verifica.")
            print(f"State i = ({solver.get_value(si['pc'])}, {solver.get_value(si['x'])})")
            print(f"State j = ({solver.get_value(sj['pc'])}, {solver.get_value(sj['x'])})")
            return
        
        print("> A propriedade verifica-se por indução.")

Usando este procedimento podemos tentar verificar a propriedade $G (x \ge 0)$ sobre o nosso programa.

In [11]:
induction_always(declare,init,trans,nonnegative)

> Contradição! O passo indutivo não se verifica.
State i = (1, 0)
State j = (0, -1)


Como se pode verificar, a propriedade anterior, embora seja verdade, não pode ser verificada por indução, pois o passo indutivo falha quando $\mathit{pc} = 1$ e $x = 0$. De facto, este contra-exemplo para o passo de indução não é realista, dado que este estado não é acessível a partir do estado inicial. Para verificarmos esta propriedade por indução temos que encontrar um invariante $\phi$ que seja mais forte que o desejado, ou seja, $\phi(x,\mathit{pc}) \rightarrow x \ge 0$, e que seja verificável por indução.

### Exercício 9

Encontre uma propriedade mais forte que $x \ge 0$ e que seja verificável por indução. Sugestão: pode ser útil usar a funcção `Ite` do pySMT, que corresponde a um if-then-else lógico.

In [12]:
# completar
def stronger_prop(state):
    inside_loop = Equals(state['pc'], Int(1))
    prop = Ite(inside_loop, GT(state['x'], Int(0)), GE(state['x'], Int(0)))
    return prop

induction_always(declare,init,trans,stronger_prop)

> A propriedade verifica-se por indução.


### Exercício 10

Utilize o SMT solver para verificar que essa propriedade é realmente mais forte que $x \ge 0$.

In [13]:
# completar
def is_stronger(prop1, prop2):
    # Check if prop1 is stronger than prop2.
    with Solver(name="z3") as solver:
        s0 = declare(0)
        solver.push()
        # For prop1 to be stronger, it must imply prop2.
        # Thus, prop1 and not prop2 must be impossible.
        solver.add_assertion(prop1(s0))
        solver.add_assertion(Not(prop2(s0)))
        if solver.solve():
            print("The first property is not stronger than the second.")
            return
        solver.pop()
        # For prop2 to be strictly weaker (and not equally strong), prop2 cannot imply prop1.
        # Thus, not prop1 and prop2 must be possible.
        solver.add_assertion(Not(prop1(s0)))
        solver.add_assertion(prop2(s0))
        if solver.solve():
            print("The first property is stronger than the second.")
        else:
            print("The first property is not stronger than the second.")
            
is_stronger(stronger_prop, nonnegative)

The first property is stronger than the second.


Nem sempre é fácil encontrar um invariante indutivo mais forte que o desejado. Um procedimento de verificação alternativo que pode ser utilizado nesses casos é a designada $k$-indução. A ideia é generalizar a indução simples assumindo no passo indutivo que o invariante é válido nos $k$ estados anteriores. Claro que neste caso também será necessário verificar que a propriedade é válida nos $k$ primeiros estados. Com esta generalização é possível verificar que $x \ge 0$ é um invariante recorrendo a $k$-indução com $k=2$.

### Exercício 11

Implemente o método `kinduction_always` para verificação de invariantes por $k$-indução.

In [None]:
def kinduction_always(declare,init,trans,inv,k):
    # completar
    '''
    Obs: Não especificar o solver Z3, caso haja outros instalados, dá erro mais tarde ao usar o ForAll.
    '''
    with Solver(name="z3") as solver:
        s = [declare(i) for i in range(k)]
        solver.add_assertion(init(s[0]))
        for i in range(k-1):
            solver.add_assertion(trans(s[i],s[i+1]))
            
        for i in range(k):
            solver.push()
            solver.add_assertion(Not(inv(s[i])))
            if solver.solve():
                print(f"> Contradição! O invariante não se verifica nos k estados iniciais.")
                for st in s:
                    print("x, pc, inv: ", solver.get_value(st['x']), solver.get_value(st['pc']))
                return
            solver.pop()
        
        s2 = [declare(i+k) for i in range(k+1)]
        
        for i in range(k):
            solver.add_assertion(inv(s2[i]))
            solver.add_assertion(trans(s2[i],s2[i+1]))
        
        solver.add_assertion(Not(inv(s2[-1])))
        
        if solver.solve():
            print(f"> Contradição! O passo indutivo não se verifica.")
            for i,state in enumerate(s):
                print(f"> State {i}: x = {solver.get_value(state['x'])}, pc= {solver.get_value(state['pc'])}.")
            return
        
        print(f"> A propriedade verifica-se por k-indução (k={k}).")
        
kinduction_always(declare,init,trans,nonnegative, 2)

> A propriedade verifica-se por k-indução (k=2).


## Verificação de propriedades de animação por indução

Como vimos, podemos verificar propriedades de animação do tipo $F\ \phi$ usando BMC. Mais uma vez, se quisermos verificar estas propriedades para qualquer execução ilimitada temos que usar um procedimento alternativo. Uma possibilidade consiste em reduzir a verificação dessas propriedades à verificação de uma propriedade de segurança, mais concretamente um invariante, que possa ser verificado por indução.

Por exemplo, uma técnica que pode ser usada para verificar uma propriedade de animação do tipo $F\ (G\ \phi)$, passa por descobrir um *variante* $V$ que satisfaz as seguintes condições:
- O variante nunca é negativo, ou seja, $G\ (V(s) \ge 0)$
- O variante descresce sempre (estritamente) ou atinge o valor 0, ou seja, $G\ (\forall s' . \mathit{trans}(s,s') \rightarrow (V(s') < V(s) \vee V(s') = 0))$
- Quando o variante é 0 verifica-se necessariamente $\phi$, ou seja, $G\ (V(s)=0 \rightarrow \phi(s))$

A terminação de um programa é um dos exemplos de propriedade que encaixa neste padrão. Por exemplo, para o programa acima a terminação pode ser expressa por $F\ (G\ \mathit{pc}=2)$ (note que devido ao lacete no estado final, o programa permanece indefinidamente no estado final).

Note que a segunda condição recorre a uma quantificação universal sobre os possíveis estados alcançáveis por uma transição a partir de cada estado.

### Exercício 12

Descubra o variante que permite provar por indução que o programa acima termina. Encontre também os menores valores de $k$ que permitem provar as condições acima por $k$-indução.

In [15]:
# completar

def variant(s):
    return Plus(Minus(Times(Int(2), 
                           s['x']), 
                     s['pc']), 
               Int(2))

def var_nonnegative(s, variant):
    return GE(variant(s), Int(0))

def var_decreasing(s, variant):
    x, pc = Symbol("xnext", INT),  Symbol("pcnext", INT)
    return ForAll([x, pc], Implies(trans(s, {"x": x, "pc": pc}), Or(LT(variant({"x": x, "pc": pc}), variant(s)),Equals(variant({"x": x, "pc": pc}), Int(0)))))

def var_implies_termination(s, variant):
    termination = Equals(s['pc'], Int(2))
    return Implies(Equals(variant(s), Int(0)), termination)

def var_strictly_decreasing(s):
    x = Symbol("xnext", INT)
    pc = Symbol("pcnext", INT)
    return ForAll([x, pc],
              Implies(trans(s, {"x": x, "pc": pc}),
                     Or(LT(variant({"x": x, "pc": pc}), 
                        variant(s)),
                       Equals(variant({"x": x, "pc": pc}), Int(0)))))

ks = [3, 3, 2]
ps = [var_nonnegative, var_decreasing, var_implies_termination]
for k,p in zip(ks,ps):
    kinduction_always(declare,init,trans,lambda s: p(s, variant), k)
    print("----")

> A propriedade verifica-se por k-indução (k=3).
----
> A propriedade verifica-se por k-indução (k=3).
----
> A propriedade verifica-se por k-indução (k=2).
----


### Exercício 13

Encontrar um variante que decresça em todas as transições nem sempre é fácil. Podemos relaxar a segunda condição acima e exigir que o variante apenas tenha que decrescer estritamente a cada $l$ transições. Neste caso dizemos que temos um *lookahead* de $l$. Altere a definição da função decrescente por forma a considerar um lookahead de 2 e encontre um variante mais simples que o anterior que lhe permita verificar a terminação do programa.

In [16]:
# completar
def decreasing_la(s, variant):
    x, pc = Symbol("xnext", INT),  Symbol("pcnext", INT)
    x2, pc2 = Symbol("xnext2", INT),  Symbol("pcnext2", INT)
    return ForAll([x, pc, x2, pc2], Implies(And(trans(s, {"x": x, "pc": pc}),
                                               trans({"x": x, "pc": pc}, {"x": x2, "pc": pc2})), 
                                            Or(LT(variant({"x": x2, "pc": pc2}), variant(s)),
                                               Equals(variant({"x": x2, "pc": pc2}), Int(0)))))

def simpler_variant(s):
    return s['x']

kinduction_always(declare,init,trans, lambda s: decreasing_la(s, simpler_variant), 2)

> A propriedade verifica-se por k-indução (k=2).
