In [1]:
from z3 import *

In [2]:
def declare(i, n):
    state = {}
    state['pc'] = Int('pc'+str(i))
    state['x'] = BitVec('x'+str(i), n)
    state['y'] = BitVec('y'+str(i), n)
    state['z'] = BitVec('z'+str(i), n)


    return state

In [3]:
def init(state, a, b):
    return And(state['pc']== 0, state['x'] == a, state['y'] == b, state['z'] == 0)

In [4]:
def trans(curr, prox, n):
    same_values = And(
        prox['x'] == curr['x'],
        prox['y'] == curr['y'],
        prox['z'] == curr['z']    
    )
    
    t0 = And(
        curr['pc'] == 0,
        prox['pc'] == 1,
        same_values
    )
    
    # y = 0
    t1 = And(
        curr['y'] == 0,
        curr['pc'] == 1,
        prox['pc'] == 5,
        same_values
    )
    
    # y != 0 ^ odd(y)
    t2 = And(
        curr['y'] != 0,
        URem(curr['y'], 2) == 1,
        curr['pc'] == 1,
        prox['pc'] == 2,
        same_values
    )
    
    #Q2 -> Q1
    t5 = And(
        curr['pc'] == 2,
        prox['pc'] == 1,
        prox['x'] == curr['x'],
        prox['y'] == curr['y']-1,
        prox['z'] == curr['z'] + curr['x']
    )
    
    # y != 0 ^ even(y)
    t3 = And(
        curr['y'] != 0,
        URem(curr['y'], 2) == 0,
        curr['pc'] == 1,
        prox['pc'] == 3,
        same_values
    )


    # transição em que o solver decide se vai para o estado de overflow ou se continua
    magia = And(
        prox['x'] == curr['x'] << BitVecVal(1, n),
        prox['y'] == curr['y'] >> BitVecVal(1, n),
        prox['z'] == curr['z'],
        
        curr['pc'] == 3,
        
        Or(
            And(UGT(curr['x'], BitVecVal(2**(n-1), n)), prox['pc'] == 1),  # curr['x'] < 2^(n-1)  - não há overflow
            And(ULT(curr['x']  >> BitVecVal(1, n), curr['x']), prox['pc'] == 4),  # curr['x'] >= 2^(n-1) - há overflow
        )
    )
    
    
    # caso de paragem no overflow e no estado final
    stop_case = And(
        prox['pc'] == curr['pc'],
        same_values,
        
        Or(
            And(curr['pc'] == 4, prox['pc'] == 4),
            And(curr['pc'] == 5, prox['pc'] == 5)
        )
    )
    
    
    return Or(t0, t1, t2, t3, t5, stop_case, magia)

In [5]:
# Definir o invariante nonnegative como (x * y + z == a * b)
def nonnegative(state, a, b):
    return state['x'] * state['y'] + state['z'] == a * b

def kinduction_always(declare, init, trans, inv, k, n, a_val, b_val):
    solver = Solver()
    
    # Passo Base: Verificar que a propriedade se mantém para os primeiros k estados
    trace = [declare(i, n) for i in range(k)]
    a = BitVecVal(a_val, n)
    b = BitVecVal(b_val, n)
    
    solver.add(init(trace[0], a, b))
    
    for i in range(k - 1):
        solver.add(trans(trace[i], trace[i + 1], n))
        
    for i in range(k):
        solver.push()
        solver.add(Not(inv(trace[i], a, b)))  # Checar se inv é falso em algum estado
        if solver.check() == sat:
            print("> Contradição! O invariante não se verifica nos k estados iniciais.")
            for j in range(k):
                print(f"> Estado {j}: x = {solver.model()[trace[j]['x']]}, y = {solver.model()[trace[j]['y']]}, z = {solver.model()[trace[j]['z']]}, pc = {solver.model()[trace[j]['pc']]}")
            return
        solver.pop()

    # Passo Indutivo: Se inv vale para os k estados, então deve valer no próximo (k+1)-ésimo estado
    extended_trace = [declare(i, n) for i in range(k + 1)]
    solver.add(init(extended_trace[0], a, b))
    for i in range(k):
        solver.add(inv(extended_trace[i], a, b))
        solver.add(trans(extended_trace[i], extended_trace[i + 1], n))
    
    solver.add(Not(inv(extended_trace[-1], a, b)))
    
    if solver.check() == sat:
        print("> Contradição! O passo indutivo não se verifica.")
        for i in range(k + 1):
            print(f"> Estado {i}: x = {solver.model()[extended_trace[i]['x']]}, y = {solver.model()[extended_trace[i]['y']]}, z = {solver.model()[extended_trace[i]['z']]}, pc = {solver.model()[extended_trace[i]['pc']]}")
        return
    
    print(f"> A propriedade verifica-se por k-indução (k={k}).")

# Chamada para verificar a propriedade com k-indução
kinduction_always(declare, init, trans, nonnegative, 3, 8, 3, 5)

> A propriedade verifica-se por k-indução (k=3).
