# 
APSTRAKTNA INTERPRETACIJA U VERIFIKACIJI SOFTVERA - ELEKTRONSKA LEKCIJA

# Uvod

U razvoju softvera kreće se od specifikacije — šta softver treba da radi i na koje zahteve treba da odgovori.
Zatim tim programera implementira sam softver i zajedno sa testerima se brine za njegovu ispravnost. Provera kvaliteta softvera i njegovog slaganja sa specifikacijom je deo procesa razvoja softvera koji se naziva *verifikacija softvera*. Ona ima za cilj da utvrdi da li se softver ponaša na predviđen način, da li daje očekivane odgovore, da li postoje anomalije u ponašanju, odnosno da li dati softver zadovoljava specifikaciju. Ovo je bitan deo razvoja softvera jer i najmanja greška može naneti velike štete tako da se ne sme dopustiti
da softver ima propuste. 

Kako se kroz vreme sve više okrećemo digitalizaciji i prepuštamo računarima da urade veliki deo posla, programi postaju sve veći i kompleksniji. Softverska industrija ima izazov da što bolje verifikuje *velike* programe. Kada je reč o *velikim* programima to podrazumeva programe koji imaju veliki broj potencijalnih ulaznih vrednosti i veliki broj putanja izvršavanja programa. Sve ovo otežava nalaženje mogućih grešaka.

# Teorijska osnova za apstraktnu interpetaciju

Verifikacija softvera može biti statička i dinamička. 
Tehnike dinamičke verifikacije softvera utvrđuju ispravnost softvera izvršavajući ga i proveravajući da li se izlaz poklapa sa onim što se očekuje na osnovu specifikacije.
Alati i tehnike verifikacije koji se oslanjaju na izvršavanje programa ili na simulaciju izvršavanja postaju sve teži za korišćenje jer programi imaju veliki skup svih mogućih ulaznih vrednosti, te je nemoguće testirati program za sve moguće ulaze.
Dinamička verifikacija na velikim projektima iziskuje nezanemarljivu količinu resursa.

Sa druge strane, statička verifikacija podrazumeva proveru ispravnosti programa bez njegovog izvršavanja, odnosno analizira se izvorni kôd programa. Statička verifikacija može koristi formale metode ili ručne provere i preglede koda. 

Formalne metode opisuju kôd na jeziku neke matematičke teorije i koriste se sa idejom da se ceo proces automatizuje. To nije u potpunosti moguće zbog fundamentalnih ograničenja. Zarad automatizacije potrebno je odreći se potpune preciznost, a ono što se postiže je da se u konačnom vremenu, koristeći konačne resurse, dobijaju važne informacije o ispravnosti programa. Jedna metoda iz ove grupe je apstraktna interpretacija koja se oslanja na teoriju aproksimacije.

### Statička verifikacija

Statička verifikacija omogućava otkrivanje i rešavanje grešaka u kodu u ranim fazama razvoja softvera. 
Postoje različite vrste statičke verifikacĳe koje se mogu podeliti u dve osnovne grupe:

**Ručne provere i pregledi koda** - svakodnevno se primenjuju u okviru procesa razvoja softvera.

**Formalne metode verifikacĳe softvera** - uslovi ispravnosti softvera iskazuju se u terminima matematičkih tvrđenja na striktno definisanom formalnom jeziku izabrane matematičke teorĳe.

U nastavku je dat kratak pregled statičkih metoda (sem apstraktne interpretacije, koja je detaljno opisana kasnije u tekstu) kako bi se stekao uvid u to šta se sve može otkriti, zaključiti i popraviti ovim metodama.

**Pregled koda**
 (eng. *code review*) podrazumeva manuelno pregledanje linija koda od strane jednog ili više stručnih lica koja imaju znanja o tome kako kôd treba da izgleda. Sistematično pregledanje koda ima za cilj identifikaciju grešaka, sigurnosnih propusta, nedoslednosti, kršenja stilskih pravila, kao i potencijalnih problema u vezi sa logikom programa. Nakon pregleda, kôd treba da se uklapa u programerske konvencije, da bude kvalitetan i čitljiv svim programerima na projektu. Za razliku od automatskih alata za statičku analizu, pregled koda se oslanja na ljudsko znanje i iskustvo, što omogućava da detektuje kompleksne i kontekstualno zavisne greške koje često izmiču automatizovanim tehnikama. 

**Simboličko izvršavanje**
 (eng. *symbolic execution*) podrazumeva praćenje simboličkih vrednosti umesto konkretnih vrednosti ulaza i prati evaluaciju izraza kao formule nad simbolima, stvarajući tzv. putanje izvršavanja (eng. *execution paths*).
 Kroz program se prate simbolička stanja umesto konkretnih stanja.  Kada god se naiđe na uslove i grananja gde postoji mogućnost daljeg izvršavanja programa na više načina, prate se sve moguće nove putanje, daodavanjem u nove putanje izvršavanja odgovarajuće različite uslove nad simboličkim vrednostima

**Proveravanje modela**
  (eng. *model checking*) predstavlja metod za automatsku verifikaciju ispunjenosti formalno definisanih svojstava nad modelom sistema.
  Podrazumeva izgradnju preciznog formalnog modela sistema, kao i specifikaciju svojstava čiju ispunjenost treba proveriti. Model se najčešće zasniva na matematičkoj logici, teoriji formalnih jezika i teoriji grafova, te se opisuje strogo formalno a svojstva se izražavaju u nekom formalnom logičkom jeziku, najčešće u okviru temporalnih logika.
Proveravač modela sistematski pretražuje prostor stanja (eng. *state space*) i ispituje da li zadato svojstvo važi za sva moguća izvršavanja. U slučaju da se pronađe niz stanja koji krši posmatrano svojstvo, generiše se kontra-primer (eng. *counterexample*) — konkretna sekvenca prelaza koja ilustruje grešku u sistemu.
  
### Apstraktna interpretacija
Apstraktna interpretacija je tehnika koja se koristi u verifikaciji softvera radi analize programa i otkrivanja grešaka. Ona omogućava statičku analizu programa na
visokom nivou apstrakcije, što znači da se ne uzimaju u obzir sve pojedinosti izvornog koda, već se vrši aproksimacija ponašanja programa.  Apstraktno posmatranje softvera je intuitivno i blisko ljudima. 

#### Intuicija u apstraktnoj interpretaciji
Ideja apstrakcije verovatno datira još od samih početaka ljudskog mišljenja. U situacijama koje obiluju detaljima, često dolazi do generalizacije kroz izostavljanje manje relevantnih informacija. U nastavku razmatramo nekoliko primera generalizacije, tj. apstrakcije.

**Primer 1.** Ljudskom mozgu je svojstveno ne samo da spontano vrši aproksimaciju i apstrakciju opaženih pojava, već i da prepoznaje aproksimacije i apstrakcije u spoljnjem svetu. [Na slici](#dvoje_ljudi) se jasno može uočiti da su prikazanedve osobe, uprkos tome što su predstavljene isključivo pomoću stilizovanih obrisa. Štaviše, ovakve ilustracije često omogućavaju bogatiju interpretaciju: moguće je naslutiti međusobni
odnos prikazanih figura, njihovo emocionalno stanje, pa čak i pretpostaviti njihove fizičke karakteristike.
Na osnovu konkretne
ilustracije, može se zaključiti da se radi o dve zabrinute osobe, verovatno muškog i
ženskog pola, koje su u bliskom međusobnom odnosu.
<div style="text-align: center;">
<img src="dvoje_ljudi.png" alt="Apstraktna slika dvoje ljudi" id="dvoje_ljudi" style="width:30%;"/>
<div style="text-align: center;">
Apstraktna slika dvoje ljudi
</div>
</div>

<br>

**Primer 2.** Ukoliko se na nekom događaju pojavilo 1156 ljudi, može se reći da je prisustvovalo  preko 1000 osoba. U tom slučaju došlo je do gubitka informacije o preostalih 156 učesnika; međutim, najčešće takav gubitak informacije nije suštinski značajan. Time se vrši aproksimacija stvarnog broja prisutnih. 
<br>
Međutim, ukoliko bi se za isti događaj navelo da je prisustvovalo više od 100 osoba, aproksimacija bi, iako tehnički tačna, bila neinformativna, jer ne pruža realističan uvid u veličinu događaja i time gubi svoju svrhu. Nasuprot tome, tvrdnja da je događaju prisustvovalo više od 1200 osoba predstavlja aproksimaciju koja je bliža stvarnoj vrednosti, ali nije tačna. Ovi primeri ilustruju značaj balansa između tačnosti i informativnosti prilikom vršenja aproksimacije.

**Primer 3.** U određenim kontekstima, planeta Zemlja se aproksimira kao sfera, iako je poznato da njen stvarni oblik odgovara elipsoidu, odnosno geoidu ([slika](#zemlja)). Ova aproksimacija se koristi u astronomskim i geografskim istraživanjima, kao i u obrazovne svrhe, kada pojednostavljenje ne dovodi do značajnog gubitka u tačnosti informacija.
<br>
Na primer, u proračunima kretanja satelita ili prostiranja satelitskih signala, Zemlja se često modeluje kao sfera. Takva aproksimacija pojednostavljuje matematičke modele i obezbeđuje dovoljan stepen preciznosti za određene astronomske primene.
<br>
Međutim, u situacijama koje zahtevaju visoku preciznost — kao što su merenje nadmorskih visina ili izrada detaljnih topografskih mapa — ovakvo pojednostavljenje nije prihvatljivo. Pretpostavka da je Zemlja sfera implicira da su sve tačke na njenoj površini jednako udaljene od središta, što ne odgovara stvarnosti i dovodi do značajnog gubitka informacija.
<div style="text-align: center;">
<img src="zemlja.png" alt="Zemlja predstavljena kao geoid, elipsoid i sfera" id="zemlja" style="width:100%;"/>
<div style="text-align: center;">
Zemlja predstavljena kao geoid, elipsoid i sfera.
</div>
</div>

<br>

<div style="border: 1px solid black; padding: 10px;">
Bitno je proceniti koja aproksimacija sa sobom ne nosi gubitak bitnih informacija. 
</div>

<br>

**Primer 4.** Neka je u proizvoljnom programu data promenljiva *x* za koju važi da može sadržati vrednosti prvih nekoliko celih pozitivnih brojeva.
Precizna aproksimacija podrazumeva dodeljivanje promenljivoj *x* intervala vrednosti, na primer od 1 do 10. Takav interval se potom prati tokom izvršavanja programa. Ovakav pristup omogućava detaljnije sagledavanje mogućih vrednosti promenljive i olakšava detekciju grešaka koje bi grublje aproksimacije mogle da propuste. Međutim, ova vrsta apstrakcije može da bude računarski zahtevna, naročito u kontekstu većih programa sa velikim brojem promenljivih, jer zahteva više memorijskih i procesorskih resursa radi održavanja i propagacije intervalskih informacija.
<br>
Manje precizan pristup podrazumeva viši nivo apstrakcije — umesto praćenja konkretnih intervala, vrednost promenljive *x* se apstrahuje na osnovu znaka. U konkretnom slučaju, to znači da se *x* posmatra samo kao pozitivna vrednost, bez informacija o tačnom numeričkom opsegu. Ova apstrakcija je znatno efikasnija u pogledu vremena izvršavanja i potrošnje memorije, jer izostavlja detaljno praćenje vrednosti. Ipak, zbog svoje grublje prirode, ovakav pristup može prevideti greške koje bi bile detektovane preciznijom analizom vrednosnih intervala.


Ovo su bili samo neki od primera koji ilustruju blisku povezanost između apstrakcije i ljudskog načina razmišljanja. U prvom primeru prikazana je aproksimacija u umetnosti, u drugom aproksimacija u svakodnevnom govoru, u trećem aproksimacija u naučnim kontekstima, dok četvrti primer osvetljava ulogu aproksimacije u programiranju.
<br>
Shodno tome, može se uočiti da se aproksimacija primenjuje u širokom spektru konteksta. 
Jedan od značajnih doprinosa u ovoj oblasti potiče iz 1977. godine, kada je francuski informatičar Patrik Kuso (fr. *Patrick Cousot*), zajedno sa suprugom Radijom (fr. *Radhia Cousot*), formulisao osnovne ideje o primeni apstrakcije u verifikaciji softvera.
Rad kojim su uveli pojam apstraktne interpretacije je *„Abstract Interpretation: A Unified Lattice Model for Static Analysis of Programs by Construction or Approximation of Fixpoints”*.

<div style="border: 1px solid black; padding: 10px;">
Osnovna ideja apstraktne interpretacije zasniva se na analizi programa putem apstrakcije domena koja predstavlja aproksimaciju vrednosti promenljivih, stanja programa ili putanja izvršavanja. Takva aproksimacija treba da omogući efikasnu statičku analizu i detekciju širokog spektra grešaka, uključujući deljenje nulom, korišćenje neinicijalizovanih promenljivih i pristup elementima izvan granica niza.
</div>

<br>

Ovaj pristup omogućava analizu programa bez njegovog stvarnog izvršavanja, čime se postiže ušteda vremena i računskih resursa u poređenju sa dinamičkim tehnikama.
Ključni izazov u primeni apstraktne interpretacije jeste postizanje ravnoteže između preciznosti i skalabilnosti. Preciznija apstrakcija može obezbediti tačnije rezultate, ali uz značajno veće računske troškove, dok grublja apstrakcija može biti brža i zahtevati manje resursa, ali uz povećan rizik od generisanja lažnih upozorenja — o kojima će biti reči u daljem tekstu.

#### Osnovni pojmovi


Radi potpunijeg razumevanja apstraktne interpretacije, u nastavku će biti objašnjeni ključni pojmovi i koncepti: problem zaustavljanja (eng. *halting problem*), semantika programskih jezika (uključujući apstraktnu semantiku), domen i apstraktni domen.


##### Problem zaustavljanja

Problem zaustavljanja predstavlja jedan od fundamentalnih pojmova u informatici i odnosi se na pitanje da li će se određeni program, za dati ulaz, zaustaviti ili će se izvršavati beskonačno.
Ovaj problem spada u klasu problema odlučivanja.
<br>
U teoriji izračunljivosti, problem odlučivanja definiše se kao problem u kojem, na osnovu unapred definisanog formalnog sistema, na postavljeno pitanje treba dati odgovor u obliku *„da”* ili *„ne”*. Na primer, problem odlučivanja može biti pitanje: *„da li x deli y?”*, za unapred zadate brojeve *x* i *y*.


Neformalno halting problem glasi:
<div style="border: 1px solid black; padding: 10px;">
Za proizvoljni računarski program i ulaz, da li se program završava svoj rad?
</div>

<br>

Problem zaustavljanja je prvi formalno definisao Alan Tjuring (eng. *Alan Turing*) 1936. godine u
radu: *„On Computable Numbers, with an Application to the Entscheidungsproblem”*, u kojem je dokazao je da je problem neodlučiv. Neodlučivost u ovom kontekstu znači da ne postoji opšti algoritam koji može odrediti, za svaki mogući par programa i ulaza, da li će se izvršavanje programa završiti ili trajati beskonačno.
<br>
Ovo fundamentalno ograničenje ima dalekosežne posledice u informatici, jer implicira da nije moguće, u svim slučajevima, automatski odrediti da li će se izvršavanje nekog programa zaustaviti, kao i da li će se izvršavanje nekog dela programa zaustaviti. To implicira da nije moguće automatski odrediti da li je neka naredba u programu dostižna, pa samim tim ni da li može da dovede do greške u izvršavanju.
Kao rezultat toga, sva složenija pitanja o konkretnoj semantici programa su neodlučiva: nije moguće napisati program koji bi mogao odgovoriti na bilo koje pitanje o izvršavanjima bilo kog programa.
<br>
Posledica neodlučivosti problema zaustavljanja jeste nemogućnost izrade programa koji bi, potpuno automatski, u konačnom vremenu i uz korišćenje konačnih resursa, mogao tačno da utvrdi ispravnost proizvoljnog programa. Zbog toga se u procesu automatizovane verifikacije često žrtvuje potpuna preciznost.
Pri razvoju automatskih alata za analizu programa, nužno je praviti kompromis između preciznosti i
efikasnosti.

##### Semantika programskih jezika i apstraktna semantika

Da bi razumeli šta neki program radi gledajući njegov kôd neophodno je dobro poznavanje programskog jezika u kom je program napisan.

<div style="border: 1px solid black; padding: 10px;">
Semantika programskog jezika govori šta se dešava kada se program izvršava, odnosno određuje značenje tog jezika. Konkretna semantika programa opisuje sve moguće načine na koje program može biti izvršen u svim mogućim okruženjima.
</div>

<br>
    
Na osnovu sematike programskog jezika i koda programa može se nedvosmisleno zaključiti šta program radi.

<div style="border: 1px solid black; padding: 10px;">
Apstraktna semantika je tehnika u okviru semantike programskih jezika koja pravi aproksimaciju konkretne semantike programskog jezika i koristi se za analizu programa bez stvarnog izvršavanja. Ona se oslanja na apstrakcije kako bi pojednostavila analizu programa, fokusirajući se na bitne aspekte programa dok zanemaruje manje bitne. Na taj način, apstraktna semantika omogućava analizu programa bez potrebe za svim detaljima konkretnog izvršavanja.
</div>

<br>

Za svaki program postoji skup mogućih ulaznih vrednosi i program se za različite vrednosti izvršava na različite načine.
U programu se mogu naći pozivi raznih funkcija, grananja, petlje, uslovna izvršavanja i slično, a šta će se od navedenog izvršiti, kada i na koji način zavisi od toga kako je program napisan i koje su ulazne vrednosti. 

<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Stanje programa, prelaz iz stanja u stanje, dostižno stanje</h4>
<i>Stanje programa</i>, označeno sa $s$, predstavlja potpunu sliku sistema u jednom trenutku. Ono obuhvata tekuće vrednosti svih promenljivih koje se javljaju u programu. Skup svih mogućih stanja sistema označava se sa $S$.

<i>Prelaz iz stanja u stanje</i>, označen sa $s_i$  → $s_{i+1}$, opisuje promenu stanja sistema kao rezultat izvršavanja jedne programske instrukcije. Prelaz je dozvoljen ako postoji validna instrukcija u stanju $s_i$ koja vodi u stanje $s_{i+1}$.
<br>
<i>Dostižno stanje</i> je svako stanje $s_n \in S$ za koje postoji putanja prelaza iz početnog stanja $s_{start}$. 
<br>
Drugim rečima, postoji sekvenca dozvoljenih prelaza:
<br>
$$
[s_{start} → s_1 → · · · → s_n]
$$
</div>
<br>

Razmatrajmo jednostavan programski jezik koji podržava učitavanje ulaznih vrednosti, ispisivanje vrednosti, naredbe dodele, uslovnog skoka i naredbu *halt* koja označava završetak rada programa.  
Program predstavlja konačan niz sastavljen od ovih naredbi. Koji je sledeći korak u programu određuje se na osnovu brojača koji označavamo sa *pc* (skraćeno od engleskog *program counter*).

Neka su izrazi koji se pojavljuju u programu izrazi nad celim brojevima.  
Neka je $\rho: Var \to \mathbb{Z} \cup \{\bot\}$ preslikavanje koje promenljivama iz skupa $Var$ dodeljuje celobrojne vrednosti. Ovo preslikavanje može promenljivoj dodeliti nedefinisanu vrednost, označenu sa $\bot$, u slučaju da je ona rezultat deljenja nulom ili ako joj još uvek nije dodeljena vrednost.  
Trenutno stanje programa je uređeni par $(pc,\rho)$, dok je novo stanje programa $(pc',\rho')$.

Za potrebe objašnjenja veze između konkretne i apstraktne semantike dovoljno je da definišemo samo semantiku izraza dodele i izraza sabiranja.  
Semantika izraza $k$ za preslikavanje $\rho$, u oznaci $[\![ k ]\!]_{\rho}$, definiše se kao vrednost preslikavanja $\rho$ u tački $k$, tj. $[\![ k ]\!]_{\rho} = \rho(k)$.  
Semantika izraza $E_1 + E_2$ za preslikavanje $\rho$, u oznaci $[\![ E_1 + E_2 ]\!]_{\rho}$, definiše se rekurzivno kao zbir vrednosti podizraza $E_1$ i $E_2$, tj. $[\![ E_1 + E_2 ]\!]_{\rho} = [\![ E_1 ]\!]_{\rho} + [\![ E_2 ]\!]_{\rho}$.

Konkretna semantika naredbi se definiše kao preslikavanje trenutnog stanja programa u novo stanje programa prema sledećim pravilima:

- Za trenutnu vrednost brojača uzima se ulaz : `input k`  
   $\Rightarrow\ pc' = pc + 1$, a $\rho'$ se dobija od $\rho$ promenom $k \mapsto v$, za uneto $v \in \mathbb{Z}$.
- Za trenutnu vrednost brojača izršava se ispisivanje vrednosti: `print E`  
   $\Rightarrow\ pc' = pc + 1$, $\rho' = \rho$.
- Za trenutnu vrednost brojača izršava se dodela: `k := E`  
   $\Rightarrow\ pc' = pc + 1$, a $\rho'$ se dobija od $\rho$ promenom $k \mapsto [\![ E ]\!]_{\rho}$.
- Za trenutnu vrednost brojača izršava se uslovni skok : `if E goto n`  
   $\Rightarrow\ pc' = n$ ako je $[\![ E ]\!]_{\rho} \neq 0$, inače $pc' = pc + 1$, $\rho' = \rho$.
- Za trenutnu vrednost brojača izršava se naredba : `halt`  
   $\Rightarrow\ pc' = n$, gde je $n$ van domena programa, $\rho' = \rho$.

Početno stanje programa je $s_{\text{start}} = (0, \rho)$, gde je $\rho: k \mapsto \bot$ za svako $k$, jer na početku nijedna promenljiva nema definisanu vrednost.

<div style="border: 1px solid black; padding: 10px;">
    
Izvršavanje programa se naziva *putanjom programa* i predstavlja niz stanja $s = (pc,\rho)$, pri čemu postoje različite putanje u zavisnosti od ulaza korisnika. <br>
Semantika programa je skup svih mogućih putanja, za sve moguće ulaze.
</div>


Moguće je grafički predstaviti razne putanje kojima se kreće program. Izvršavanje programa može da se predstavlji kroz vreme kao promena vektora $x(t)$, koji predstavlja vrednosti ulaznih podataka, stanja i izlaznih promenljivih programa. Krive opisuju kako se ove vrednosti menjaju u zavisnosti od vremena $t$, demonstrirajući različita izvršavanja programa u različitim okruženjima i u različitim scenarijima. 
Ako se izvršavanje predstavi krivom koja pokazuje promenu vektora $x(t)$ kroz vreme $t$, konkretna semantika se može predstaviti skupom takvih krivih (primer prikazan [na slici](#semantika_slika)).

<div style="text-align:center;">
  <img src="putane_novo.png"
       alt="Primer konkretne semantike predstavljene skupom krivih"
       style="width:50%; display:block; margin:0 auto;margin-left:350px;">
  <div style="text-align:center;">
    Primer konkretne semantike predstavljene skupom krivih
  </div>
</div>

<br>

**Primer 5.** 
Potrebno je odrediti maksimum dva cela broja *a* i *b*, koji će biti označen sa *max*. 
Ulazni podaci su *a* i *b*, svako *i*-to stanje će biti označeno sa $s_i$ pri čemu je početno stanje $s_{start}$ a krajnje $s_{finish}$.
Najpre se program nalazi u početnom stanju gde su ulazne vrednosti *a* i *b* još uvek nepoznate jer ih tek treba uneti, takođe izlazna vrednost *max* je nepoznata tj. imaju vrednost ⊥:

$$
x(t_0) = [\perp, \perp, s_{start}, \perp]
$$

Zatim se unose ulazne vrednosti. U stanju $s_1$ vektor $x(t)$ ima vrednosti za *a* i *b*, a vrednost *max* je i dalje nepoznata:

$$
x(t_1) = [a, b, s_1, \perp]
$$

U sledećem koraku se porede vrednosti *a* i *b* i na osnovu rezultata poređenja se bira dalji put izvršavanja. Postoje dve moguće putanje izvršavanja programa:

- **Putanja kada je $a > b$**  
  U ovom slučaju promenljiva *max* dobija vrednost *a*, a vektor $x(t)$ prelazi u stanje:

  $$
  x(t_2) = [a, b, s_2, a]
  $$

  Primeri vrednosti koje vode ovom putanjom su $a = 10, b = 5$.

- **Putanja kada je $a \leq b$**  
  U ovom slučaju promenljiva *max* dobija vrednost *b*, a vektor $x(t)$ prelazi u stanje:

  $$
  x(t_2) = [a, b, s_3, b]
  $$

  Primeri vrednosti koje vode ovom putanjom su $a = 5, b = 10$.


Nakon ovog koraka, bez obzira na putanju, program dospeva u krajnje stanje:

$$
x(t_3) = [a, b, s_{finish}, max]
$$

Sem ulaznih i izlaznih promenljivih, u ovom primeru nema dodatnih promenljivih koje se menjaju tokom izvršavanja, pa se stanje programa ne menja na drugim komponentama.

**Kôd za određivanje maksimuma dva broja u jeziku Python**

In [5]:
a, b = map(int, input("Unesite a i b (odvojene razmakom): ").split())

if a > b:
 max = a
else:
 max = b

print("Maksimum je:", max)

Unesite a i b (odvojene razmakom):  10 5


Maksimum je: 10


<br>

<div style="border: 1px solid black; padding: 10px;">
Konkretna semantika predstavlja beskonačan matematički objekat koji nije izračunljiv: 
nemoguće je kreirati program koji bi mogao da predstavi i izračuna sva moguća izvršavanja za bilo koji program u svim mogućim uslovima.
</div>

<br>

Kao rezultat toga, većina netrivijalnih pitanja o konkretnoj semantici programa su neodlučiva: 
nije moguće napisati program koji bi mogao odgovoriti na bilo koje pitanje o izvršavanjima bilo kog programa. 
Za pravljenje alata koji bi automatski radio verifikaciju softvera pored nedolučivosti, 
prepreku predstavlja i kompleksnost izračunavanja. 
Za prevazilaženje ove prepreke koriste se razne aproksimacije. 

<a id="domen"></a>
##### Domen i apstraktni domen

Domen jednog programa je specifično područje problema koji program rešava. U kontekstu razvoja softvera, domen se odnosi na opseg vrednosti koje se očekuju kao
ulaz u program. 
Razumevanje domena programa je ključno za dizajn i implementaciju, jer pomaže programerima da stvore softverska rešenja koja su prilagođena
specifičnim potrebama. Dobro poznavanje domena je neophodno i za verifikaciju
kako bi se program testirao za što veći broj mogućih ulaza, čime se smanjuje verovatnoća za eventualne propuste u funkcionisanju programa.


**Apstraktni domen**

Veliki programi imaju veliki domen i veliki skup svih mogućih izvršavanja. 
Zarad apstraktne interpretacije, prvo treba pronaći odgovarajući apstraktni domen, a
zatim apstraktnu semantiku programa. 

<div style="border: 1px solid black; padding: 10px;">
Za svako svojstvo koje se dokaže u apstraktnom okruženju, ono mora važiti i u konkretnim okvirima.
<\div>

Za početak je potrebno shvatiti kako se traži apstraktni domen. Potrebno je napraviti širu sliku domena i uočiti koja su to najbitnija svojstva koja treba posmatrati. U odnosu na svojstva koja se posmatraju, mogu se praviti različiti apstraktni domeni.

Semantika svakog programa može se opisati konkretnim domenom *D<sub>c</sub>* i relacijama nad ovim domenom. Za svaki konkretni domen postoji i njegova apstrakcija - apstraktni domen *D<sub>a</sub>*. Apstraktni domen je opštiji od konkretnog, u sebi mora sadržati sve vrednosti konkretnog domena i može se posmatrati kao opis vrednosti konkretnog domena.
U nastavku su dati primeri koji će pomoći u sticanju intuicije o apstraktnom domenu.


**Primer 6.** 
Neka je dat jedan ceo broj. Konkretan domen *D<sub>c</sub>* je skup celih brojeva.
Ukoliko je potrebno odrediti znak ovog broja i nekih aritmetičkih izraza u kojiima on učestvuje,
za njegov apstraktni domen *D<sub>a</sub>* se može uzeti skup vrednosti znakova celih brojeva. Time se dolazi do sledeće apstrakcije:

<div style="text-align: center;">
a<sub>0</sub> = {0} <br>
a<sub>+</sub> = {n | n > 0} <br>
a<sub>-</sub> = {n | n < 0} <br>
</div>

Skup a<sub>0</sub> sadrži samo nulu.

Skup a<sub>+</sub> je skup koji sadrži sve pozivine brojeve.

Skup a<sub>-</sub> je skup koji sadrži sve negativne brojeve.

Dakle, nije bitno kolika je apsolutna vrednost zadatog broja, već samo kog je znaka.
To svojstvo je pokriveno skupovima a<sub>+</sub>, a<sub>-</sub> i a<sub>0</sub>. 
Unijom ova tri skupa su obuhvaćeni svi brojevi. 
Ovakva apstrakcija je dovoljna za određivanje znaka jednog zadatog celog broja ali se može primeniti i na određivanje znaka rezultata nekih binarnih operacija. 
Na primer, ako se posmatra operacija množenja ova apstrakcija je dovoljna, slično je i za deljenje.

*Objašnjenje:
Nula pomnožena sa brojem proizvoljnog znaka je nula, ako dva činioca imaju isti znak proizvod je pozitivan, inače je negativan (prikazano u [tabeli](#tbl-mnozenje)). Slično važi i za deljenje pri čemu treba voditi računa da deljenje nulom nije definisano.*

<div id="tbl-mnozenje">
<table>
  <tr>
    <td>$*$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr style="border-top:1px solid black;">
    <td>$a_0$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_0$</td>
    <td>$a_0$</td>
  </tr>
  <tr>
    <td>$a_+$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr>
    <td>$a_-$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_-$</td>
    <td>$a_+$</td>
  </tr>
</table>
<div style="text-align: center;">
Tabela za operaciju množenja
</div>
</div>

**Kôd koji implementira određivanje znaka
prilikom množenja dva broja preko apstraktnog domena**

In [6]:

#Ovako izgleda kod koji implementira određivanje znaka prilikom množenja dva broja

class AbstractDomain:
    def __init__(self, value):
        if value == 0:
            self.value = '0'
        elif value > 0:
            self.value = '+'
        elif value < 0:
            self.value = '-'
        else:
            raise ValueError("Invalid value for abstract domain")

    def __repr__(self):
        return self.value

    def multiply(self, other):
        if self.value == '0' or other.value == '0':
            return AbstractDomain(0)
        elif self.value == '+' and other.value == '+':
            return AbstractDomain(1)
        elif self.value == '-' and other.value == '-':
            return AbstractDomain(1)
        elif self.value == '+' and other.value == '-':
            return AbstractDomain(-1)
        elif self.value == '-' and other.value == '+':
            return AbstractDomain(-1)
        else:
            raise ValueError("Invalid operation in abstract domain")

# Provera vrednosti iz tabele množenja može se postići narednim Python programom
a0 = AbstractDomain(0)
aplus = AbstractDomain(1)
aminus = AbstractDomain(-1)

print(f"0 × + = {a0.multiply(aplus)}")
print(f"0 × - = {a0.multiply(aminus)}")
print(f"+ × 0 = {aplus.multiply(a0)}")
print(f"- × 0 = {aminus.multiply(a0)}")
print(f"+ × + = {aplus.multiply(aplus)}")
print(f"- × - = {aminus.multiply(aminus)}")
print(f"+ × - = {aplus.multiply(aminus)}")
print(f"- × + = {aminus.multiply(aplus)}")

0 × + = 0
0 × - = 0
+ × 0 = 0
- × 0 = 0
+ × + = +
- × - = +
+ × - = -
- × + = -


Ova apstrakcija nije dovoljna za sve binarne operacije. 
Ako se određuje znak zbira pozitivnog i negativnog broja ova apstrakcija ne daje odgovor. 
Zbir će biti istog znaka kao sabirak sa većom apsolutnom vrednošću što znači da može biti pozitivan, negativan ili nula ako su apsolutne vrednosti sabiraka jednake. Slična je situacija i sa oduzimanjem. Određivanje znaka za sabiranje je prikazano u [tabeli ispod](#tbl-sabiranje).

<div id="tbl-sabiranje">
<table>
  <tr>
    <td>$+$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr style="border-top:1px solid black;">
    <td>$a_0$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr>
    <td>$a_+$</td>
    <td style="border-left:1px solid black;">$a_+$</td>
    <td>$a_+$</td>
    <td>$?$</td>
  </tr>
  <tr>
    <td>$a_-$</td>
    <td style="border-left:1px solid black;">$a_-$</td>
    <td>$?$</td>
    <td>$a_-$</td>
  </tr>
</table>
<div style="text-align: center;">
Tabela za operaciju sabiranja
</div>
</div>

<br>


<div style="border: 1px solid black; padding: 10px;">
Česta je situacija da je apstraktni domen dosta jednostavan i da ne može dati odgovore na sva pitanja.
</div>

<br>

U tabeli su polja koja imaju vrednost ? polja koja predstavljaju gubitak informacije o znaku rezltata prilikom sabiranja dva broja. 
Potrebno je izmeniti postojeću apstrakciju tako da se reši problem gubitka informacija prilikom sabiranja i oduzimanja.
Rešenje je da se apstraktni domen proširi tako da obuhvata sve moguće brojeve:
<div style="text-align: center;">
a<sub>0</sub> = {0} <br>
a<sub>+</sub> = {n | n > 0} <br>
a<sub>-</sub> = {n | n < 0} <br>
a = {n} <br>
</div>

<br>

Novi skup koji je dodat u apstrakciju je skup *a* koji sadrži sve brojeve. On se koristi u
situacijama kada se za rezultat binarne operacije ne može pouzdano tvrditi kog je znaka, odnosno rezultat može biti pozitivan, negativan ili nula u zavisnosti od znaka i apsolutnih vrednosti operanada. Ovakvim proširanjem apstrakcije su uključeni slučajevi koji su pre proširenja bili nedefinisani.

Nova [tabela](#tbl-novo-sabiranje) za sabiranje:

<div id="tbl-novo-sabiranje">
<table>
  <tr>
    <td>$+$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
    <td>$a$</td>
  </tr>
  <tr style="border-top:1px solid black;">
    <td>$a_0$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
    <td>$a$</td>
  </tr>
  <tr>
    <td>$a_+$</td>
    <td style="border-left:1px solid black;">$a_+$</td>
    <td>$a_+$</td>
    <td>$a$</td>
    <td>$a$</td>
  </tr>
  <tr>
    <td>$a_-$</td>
    <td style="border-left:1px solid black;">$a_-$</td>
    <td>$a$</td>
    <td>$a_-$</td>
      <td>$a$</td>
  </tr>
  <tr>
    <td>$a$</td>
    <td style="border-left:1px solid black;">$a$</td>
    <td>$a$</td>
    <td>$a$</td>
    <td>$a$</td>
  </tr>
</table>
<div style="text-align: center;">
Proširena tabela za operaciju sabiranja
</div>
</div>

<br>

Primećuje se da *a* zapravo predstavlja gubitak informacije, odnosno situaciju u kojoj ne znamo ništa o znaku rezultata.

**Primer 7.**
Neka je dat jedan prirodan broj. Potrebno je odrediti parnost tog broja. Konkretna implementacija ovog problema mogla bi se svesti na deljenje datog broja sa dva i proveravanje ostatka pri deljenju. Apstraktna interpretacija bi ovaj problem svela na proveravanje poslednje cifre datog broja. Konkretan domen ovog problema je skup prirodnih brojeva, dok je apstraktni domen skup cifara \{0, 1, 2, 3, 4, 5, 6, 7, 8, 9\}. Primećuje se da je apstraktni domen znatno manji.

Ova aproksimacija se može posmatrati kao preslikavanje koje svaki prirodan broj slika u svoju poslednju cifru. U ovom slučaju dolazi do gubitka ostalih informacija o broju, ali ako se ispituje samo parnost broja te informacije nisu od značaja. Ono što se postiže ovakvom aproksimacijom jeste efikasnost (posmatranje poslednje cifre je u opštem slučaju efikasnije od deljenja sa dva).
Ova apstrakcija se može primeniti na binarne operacije sabiranja, oduzimanja i množenja. 
Ako znamo parnost operanada znamo i parnost rezultata za ove tri binarne operacije.

*Objašnjenje: zbir dva parna broja je paran broj; zbir dva neparna broja je paran
broj; zbir parnog i neparnog broja je neparan broj. Slično se može uočiti pravilo i za
operacije oduzimanja i množenja.*

Operacija deljenja se razikuje i na nju se ne može primeniti ova apstrakcija.
Deljenje je suprotna operacija od množenja. Množenjem dva parna broja dobija se
paran broj (primer 2 ∗ 4 = 8) ali se i množenjem parnog i neparnog broja takođe
dobija paran broj (primer 2∗5 = 10). Kako imam više situacija koje daju kao rezultat
paran broj, ne može se utvrditi koje su parnosti činioci od kojih je taj proizvod nastao. 
Ovakve situacije se prenose na operaciju deljenja i zato ona nije uvek definisana u smislu određivanja parnost broja. 
Za dat paran deljenik i delilac ne može se sa sigurnošću tvditi da li je količnik paran ili neparan.
Ovako izgleda primer koji se koristio pri množenju kada se prebaci u deljenje:
<center>8/2 = 4 - parno, 10/2 = 5 - neparno</center> 
Drugi problem koji se javlja kod deljenja je što količnik dva prirodna (ili cela) broja
ne mora biti prirodan (ceo) broj. Ovaj problem se rešava na sličan način kao u
prethonom primeru - uvođenjem apstrakcije koje obuhvata sve brojeve.

<br>


**Primer 8.** 
Neka je dat jedan prirodan broj iz intervala [0, 1 000 000 000]. 
Potrebno je ispitati da li je dati broj deljiv sa 3.
Konkretna interpretacija bi ovaj zadatak rešila tako što bi proveravala ostatak broja pri deljenju sa 3.
Apstraktna interpretacija daje drugačije rešenje — proverava da li je zbir cifara datog broja deljiv sa tri. 

*Podsetnik: Broj je deljiv sa 3 samo ako mu je zbir cifara deljiv sa 3.*

Ova aproksimacija se može posmatrati kao preslikavanje koje prirodan broj iz intervala [0, 1 000 000 000] slika u zbir svojih cifara. Konkretni domen je skup prirodnih brojeva iz navedenog intervala, dok je apstraktni domen skup brojeva iz intervala [0, 81] što je znatno manji domen.

## Uređenje skupova i Galoaove veze

Apstraktni domen je nadskup konkretnog domena. To znači da apstraktni domen mora sadržati sve ulazne vrednosti programa, a često sadrži i više od toga.
Slično važi i za semantiku programa — apstraktna semantika je nadskup konkretne semantike.
Da bi se razumeo odnos apstraktne i konkretne semantike programa koriste se skupovi i vrši se poređenje skupova.
Da bi bilo razumljivo kako se skupovi porede, potrebno je uvesti pojam *uređenja* na skupu.


<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Parcijalno uređen skup</h4>

*Parcijalno uređen skup* je uređen par $(L, \leq)$ , gde je $L$ neprazan skup a $\leq$ binarna relacija definisana na tom skupu, za koju važi:

- **refleksivnost:** $\forall a \in L, a \leq a$
- **antisimetričnost:** $\forall a,b \in L, a \leq b \land b \leq a \Rightarrow a = b$
- **tranzitivnost:** $\forall a,b,c \in L, a \leq b \land b \leq c \Rightarrow a \leq c$
</div>

<br>

Relacija uređenja ne mora biti potpuna, tj. mogu postojati $a$ i $b$ za koje ne važi nijedna od relacija: $a \leq b$, $b \leq a$.


<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Gornja/donja granica, supremum, infimum</h4>

Element $s \in L$ je *gornja granica* skupa $X \subseteq L$ ako $\forall x \in X, x \leq s$.  
Element $i \in L$ je *donja granica* skupa $X \subseteq L$ ako $\forall x \in X, i \leq x$.

Element $s \in L$ je *najmanja gornja granica (supremum)* skupa $X \subseteq L$ ako je $s$ gornja granica skupa $X$ i za svaku gornju granicu $s\textquoteright \in L$ važi $s \leq s\textquoteright$.

Element $i \in L$ je *najveća donja granica (infimum)* skupa $X \subseteq L$ ako je $i$ donja granica skupa $X$ i za svaku donju granicu $i' \in L$ važi $i\textquoteright \leq i$.

*Najmanja gornja granica* za bilo koja dva elementa $a,b \in L$ označava se $a \lor b$ i to je
najmanji element u $L$ koji je veći ili jednak i od $a$ i od $b$:
$$
a \lor b = \text{najmanja gornja granica od } a \text{ i } b.
$$

*Najveća donja granica* za bilo koja dva elementa $a,b \in L$ označava se $a \land b$ i to je
najveći element u $L$ koji je manji ili jednak i od a i od b::
$$
a \land b = \text{najveća donja granica od } a \text{ i } b.
$$
</div>


<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Rešetka</h4>

*Rešetka* je parcijalno uređen skup $(L,\leq)$ takav da za svaka dva elementa $a,b \in L$ postoje najmanja gornja granica $a \lor b$ i najveća donja granica $a \land b$.
Rešetka se označava sa $(L,\leq,\lor,\land)$. Binarne operacije $\lor$ i $\land$ na skupu $L$ zadovoljaju sledeće aksiome:

- **idempotentnost**
  $$
  \begin{aligned}
  a \lor a &= a \\ 
  a \land a &= a
  \end{aligned}
  $$

- **komutativnost**
  $$
  \begin{aligned}
  a \lor b &= b \lor a \\
  a \land b &= b \land a
  \end{aligned}
  $$

- **asocijativnost**
  $$
  \begin{aligned}
  (a \lor b) \lor c &= a \lor (b \lor c) \\
  (a \land b) \land c &= a \land (b \land c)
  \end{aligned}
  $$

- **apsorpcija**
  $$
  \begin{aligned}
  a \lor (a \land b) &= a \\
  a \land (a \lor b) &= a
  \end{aligned}
  $$
</div>

<br>

Prema definiciji rešetke, za svaki dvočlani podskup $X \subset L$ postoji najmanja gornja granica i najveća donja granica.
Zaključuje se indukcijom da za svaki konačan podskup  postoji najmanja gornja granica i najveća donja granica. Međutim, to ne mora biti slučaj za beskonačne podskupove.


<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Potpuna rešetka</h4>

*Potpuna rešetka* je parcijalno uređen skup $(L,\leq)$ takav da svaki podskup $X \subseteq L$ ima najmanju gornju granicu $\bigvee X$ i najveću donju granicu $\bigwedge X$.
Specijalno, $L$ tada ima najveći element $\top = \bigvee L$ i najmanji element $\bot = \bigwedge L$.
Rešetku koja ima najveći i najmanji element nazivamo *ograničenom*.  
Potpuna rešetka se označava sa  $(L,\leq,\bot,\top,\lor,\land)$.
</div>

<br>

Uvođenje relacije $\leq$ bitno jer se njome postiže preciznost prilikom biranja
apstrakcije. Ako je $a \leq b$, onda je $a$ precizniji od $b$.
Na primer, interval $[a,b]$ je precizniji od $[a',b']$ ako je sadržan u njemu, tj. ako je $a' \leq a$ i $b \leq b'$, i tada pišemo $[a,b] \leq [a',b']$.


**Primer 1.**
U skupu celih brojeva posmatramo rešetku intervala:
$$
\{\emptyset\} \cup \{[a,b] \mid a \leq b,\; a \in \mathbb{Z} \cup \{-\infty\},\; b \in \mathbb{Z} \cup \{+\infty\}\}.
$$
Radi jednostavnosti za neograničene intervale $(-\infty,b]$, $[a,+\infty)$ i $(-\infty,+\infty)$ koristimo oznake $[a,b]$.

U ovom primeru važi sledeće:
- $\leq = \subseteq$ — operacija poređenja je operacija podskupa
- $\lor = \cup$ — najmanje gornje ograničenje se dobija operacijom unije
- $\land = \cap$ — najveće donje ograničenje se dobija operacijom preseka
- $\bot = \emptyset$ — najmanji element je prazan skup jer je sadržan u svakom intervalu
- $\top = (-\infty,+\infty)$ — najveći element je element koji sadrži sve druge intervale

Ova rešetka je potpuna.
</div>

<br>

Verifikacija programa apstraktnom interpretacijom može se posmatrati kao preslikavanje između dva uređena skupa. Konekretni skup (domen preslikavanja) je skup stanja i putanja programa. Apstraktni skup (kodomen preslikavanja) je apstrakcija programa. Nad svakim od ova dva skupa postoje relacije uređenja koje
se mogu interpretirati kao „nivoi znanja”: u konkretnom skupu veći skup znači više
mogućih stanja i putanja; u apstraktnom skupu veći elementi predstavljaju grublje
(manje precizne) apstrakcije.

<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Sakupljajuća semantika</h4>

*Sakupljajuća semantika* je semantika koja računa skup mogućih putanja:
$$
Tr = \{\, s_1 \to \cdots \to s_n \mid s_1 \text{ je početno stanje, } s_i \to s_{i+1} \text{ je dostižno} \,\}.
$$
</div>

<br>

Skup dostižnih stanja je $Sr = \{\, s \mid s_1 \to \cdots \to s \in Tr \,\}$.  
Skupovi svih putanja i stanja su uređenje sa relacijom inkluzije $(\subseteq)$ i čine potpunu rešetku.


Potrebna je veza kojom će biti spojeni original i apstrakcija. 
To se postiže korišćenjem Galoaovih veza.

<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Funkcija apstrakcije i konkretizacije</h4>

- *Funkcija apstrakcije* $\alpha$ preslikava skup konkretnih objekata u njegovu apstraktnu interpretaciju.
  
- *Funkcija konkretizacije* $\gamma$ preslikava apstraktni skup objekata u konkretne.

</div>

<br>

Važi gubitak preciznosti primenom apstrakcije pa konkretizacije:
$$
S \subseteq \gamma(\alpha(S)).
$$


<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Galoaova veza</h4>

Neka su $(L_1,\leq_1)$ i $(L_2,\leq_2)$ parcijalno uređeni skupovi i neka su date monotone funkcije
$\alpha: L_1 \to L_2$ i $\gamma: L_2 \to L_1$ (misli se na monotono rastuće ako drugačije nije naglašeno).
Par $(\alpha,\gamma)$ definiše *Galoaovu vezu* između $L_1$ i $L_2$ ako i samo ako:

$$
(\forall x \in L_1,\forall y \in L_2)\quad x \leq_1 \gamma(y) \Longleftrightarrow \alpha(x) \leq_2 y.
$$

Označavanje:

$$
(L_1,\leq_1)\; \underset{\gamma}{\overset{\alpha}{\rightleftharpoons}}\; (L_2,\leq_2).
$$

Parcijalno uređen skup $(L_1,\leq_1)$ je konkretan, a parcijalno uređeni skup $(L_2,\leq_2)$ je apsrtaktan. 
Preslikavanje $\alpha$ je apstrakcija, a preslikavanje $\gamma$ je konkretizacija.
</div>



<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Ekstenzivna funkcija</h4>
    
Funkcija $f:L \to L$ na parcijalno uređenom skupu $(L,\leq)$ je *ekstenzivna* ako: $\forall x \in L, x \leq f(x)$.
</div>

<br>

<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Kontraktivna funkcija</h4>
    
Funkcija $f:L \to L$ na parcijalno uređenom skupu $(L,\leq)$ je *kontraktivna* ako: $\forall x \in L, f(x) \leq x$.
</div>


Definicija Galoaove veze zahteva da, za svaku funkciju $\alpha : L_1 \to L_2$ i $\gamma : L_2 \to L_1$, važi:
$$
(\forall x \in L_1,\, \forall y \in L_2)\quad x \leq_1 \gamma(y) \Longleftrightarrow \alpha(x) \leq_2 y
$$

Ova formulacija uključuje proveru za sve moguće parove $(x, y) \in L_1 \times L_2$, što može biti nepraktično, naročito kada se posmatraju beskonačni ili veliki skupovi. Dodatno, prisustvo logičke ekvivalencije komplikuje proveru u praksi, jer zahteva razmatranje oba smera implikacije.

Međutim, postoji korisna karakterizacija koja značajno olakšava proveru da li dve funkcije formiraju Galoaovu vezu:

<h4>Teorema</h4>

Neka su $(L_1,\leq_1)$ i $(L_2,\leq_2)$ parcijalno uređeni skupovi i neka su date
funkcije  $\alpha: L_1 \to L_2$, $\gamma: L_2 \to L_1$.
Par $(\alpha,\gamma)$ definiše Galoaovu vezu između $(L_1,\leq_1)$ i $(L_2,\leq_2)$ ako i samo ako:

1. $\alpha$ i $\gamma$ su monotone,
2. $\gamma \circ \alpha$ je ekstenzivna: $\forall x \in L_1,\; x \leq_1 (\gamma \circ \alpha)(x)$,
3. $\alpha \circ \gamma$ je kontraktivna: $\forall y \in L_2,\; (\alpha \circ \gamma)(y) \leq_2 y$.

Na osnovu ove teoreme, umesto proveravanja uslova za sve parove $(x, y)$, može se proveriti ponašanje kompozicija funkcija nad pojedinačnim elementima. 

U praksi, kada su $\alpha$ i $\gamma$  već konstruisane kao monotone funkcije, provera da su 
$\gamma \circ \alpha$ i $\alpha \circ \gamma$ ekstenzitivna i kontraktivna može se izvršiti jednostavno evaluacijom kompozicija i upoređivanjem rezultata sa početnim vrednostima. To čini ovu teoremu posebno pogodnom za mehaničku proveru u kontekstu apstraktne interpretacije i automatizovane analize softvera.

**Primer 2.**
Parcijalno uređen skup podskupova celih brojeva sa uređenjem inkluzije $(\mathcal{P}(\mathbb{Z}), \subseteq)$ može se apstrahovati na osnovu znakova elemenata.
<br>
Skup koji je konkretan je  $\mathcal{P}(\mathbb{Z})$.  
Skup koji je apstraktan je $\mathcal{P}(\{-,0,+\})$.
<br>
Uređenje nad apstraktnim skupom je takođe inkluzija $(\mathcal{P}(\{-,0,+\}),\subseteq)$.


Galoaove veze su date sa:

\begin{aligned}
\alpha(\emptyset)&=\emptyset, & \gamma(\emptyset)&=\emptyset, \\
\alpha(\{0\})&=\{0\}, & \gamma(\{0\})&=\{0\}, \\
\alpha(S)&=\{+\} \text{ ako } S \text{ sadrži samo pozitivne}, & \gamma(\{+\})&=(0,+\infty), \\
\alpha(S)&=\{-\} \text{ ako } S \text{ sadrži samo negativne}, & \gamma(\{-\})&=(-\infty,0), \\
\alpha(S)&=\{0,+\} \text{ ako } S \text{ sadrži 0 i pozitivne}, & \gamma(\{0,+\})&=[0,+\infty), \\
\alpha(S)&=\{-,0\} \text{ ako } S \text{ sadrži 0 i negativne}, & \gamma(\{-,0\})&=(-\infty,0], \\
\alpha(S)&=\{-,+\} \text{ ako } S \text{ sadrži pozitivne i negativne}, & \gamma(\{-,+\})&=(-\infty,0)\cup(0,+\infty), \\
\alpha(S)&=\{-,0,+\} \text{ ako } S \text{ sadrži 0, pozitivne i negativne}, & \gamma(\{-,0,+\})&=\mathbb{Z}.
\end{aligned}

</div>


**Primer 3.**
Parcijalno uređen skup podskupova skupa celih brojeva sa uređenjem inkluzije $(\mathcal{P}(\mathbb{Z}), \subseteq)$ možemo apstrahovati u zatvorene intervale.
<br>
Skup koji je konkretan je $\mathcal{P}(\mathbb{Z})$.
<br>
Skup koji je apstraktni je potpuna rešetka intervala.

Galoaove veze su date sa:


\begin{aligned}
\alpha(S) &= [\min S, \max S]
&&\text{(ako } S \text{ nema min ili max, uzima se } -\infty \text{ ili } +\infty)\\
\gamma([a,b]) &= \{\, z \in \mathbb{Z} \mid a \leq z \leq b \,\}
&&\text{(ako je } a=-\infty \text{ nema donje, ako je } b=+\infty \text{ nema gornje granice)}
\end{aligned}



### Zabranjene zone i lažna upozorenja

U kontekstu verifikacije, zabranjene zone (eng. *forbidden zones*) predstavljaju skupove stanja koja program ne sme da dostigne. U nastavnku
se u ilustracijama zabranjene zone označavaju crvenom bojom a apstraktna semantika zelenom. 
Ako program dospe u zabranjenu zonu znači da nije prošao verifikaciju odnosno da postoji problem. Neki od problema mogu biti neinicijalizovane promenljive, deljenje nulom, stanja koja ne zadovoljavaju specifikaciju programa (npr. negativni saldo na bankovnom računu) itd.

Posledica aproksimacije svih mogućih izvršavanja je da se razmatraju i neka
nepostojeća izvršavanja.
Takva izvršavanja mogu da vode do greške, odnosno dobija se lažno upozorenje o grešci koja se nikada neće desiti.

Lažna upozorenja odgovaraju slučajevima kada apstraktna semantika preseca
zabranjenu zonu dok je konkretna semantika ne preseca. Dakle, signalizira se greška
do koje se ne može stvarno doći. To zadaje izazov da apstrakcija pokrije sva moguća
izvršavanja a da pritom ne bude prevelika kako bi se izbegla lažna upozorenja.

U nastavku su data potrebna svojstva svake apstraktne semantike i njihovi grafički prikazi:
- nijedna eventualna greška se ne sme zaboraviti (na slici ["Pogrešna apstrakcija"](#zaboravljena_greska_slika1) prikazan je primer apstrakcije koja ne obuhvata izvršavanje koje dovodi do greške, dok je na slici ["Ispravljena apstrakcija"](#zaboravljena_greska_slika2) prikazana apstrakcija koja to ispravlja)

<div style="text-align:center;">
  <img src="zabranjene_zone2.png"
       alt="Grafički primer: Pogrešna apstrakcija"
       id="zaboravljena_greska_slika1"
       style="width:70%; display:block; margin:0 auto;margin-right:100px;">
  <div style="text-align:center;">
    Grafički primer: Pogrešna apstrakcija
  </div>
</div>


<div style="text-align:center;">
  <img src="zabranjene_zone3.png"
       alt="G Grafički primer: Ispravljena apstrakcija "
       id="zaboravljena_greska_slika2"
       style="width:70%; display:block; margin:0 auto;margin-right:100px;">
  <div style="text-align:center;">
     Grafički primer: Ispravljena apstrakcija 
  </div>
</div>

- preciznost (da bi se izbegla lažna upozorenja teži se što preciznijoj apstrakciji - primer loše preciznosti koja uzrokuje lažno upozorenje dat je na slici ["Nepreciznost koja uzrokuje lažna upozorenja"](#lazna_upozorenja_slika1), dok je primer precizne apstrakcije dat na slici ["Precizna semantika"](#precizna_semantika))

<div style="text-align:center;">
  <img src="zabranjene_zone4.png"
       alt="Grafički primer: Nepreciznost koja uzrokuje lažna upozorenja"
       id="lazna_upozorenja_slika1"
       style="width:70%; display:block; margin:0 auto;margin-right:100px;">
  <div style="text-align:center;">
    Grafički primer: Nepreciznost koja uzrokuje lažna upozorenja
  </div>
</div>

<br>

<div style="text-align:center;">
  <img src="zabranjene_zone6.png"
       alt="Grafički primer: Precizna semantika"
       id="precizna_semantika"
       style="width:70%; display:block; margin:0 auto;margin-right:100px;">
  <div style="text-align:center;">
     Grafički primer: Precizna semantika
  </div>
</div>

- korektnost/saglasnost (asptraktne semantike su nadskup konkretne semantike - apstrakcija mora sadržati sve moguće putanje programa a uglavnom sadrži
i više od toga; u grafičkom smislu to znači da zelene površine moraju sadržatisve krive)

- jednostavnost (asptraktne semantike trebaju biti barem dovoljno jednostavne da mogu da se predstave u okviru mašine - primer najgrublje aprstakcije koja je precizna i dovoljno apstrakna semantika dat je na slici ["Najgrublja ispravna apstraktna semantika"](#najgrublja_as) - uzimanje najgrublje apstrakcije omogućava jednostavniju implementaciju)
  
<div style="text-align:center;">
  <img src="zabranjene_zone5.png"
       alt="Grafički primer: Precizna semantika"
       id="najgrublja_as"
       style="width:70%; display:block; margin:0 auto;margin-right:100px;">
  <div style="text-align:center;">
    Grafički primer: Najgrublja ispravna apstraktna semantika
  </div>
</div>

# Određivanje opsega promenljivih

U okviru ovog rada implementirani su *Python* programi za rad sa 16-obitnim
celim brojevima.
Implementirani programi koriste tehniku apstraktne interpretacije
kako bi se aproksimirale moguće vrednosti koje izrazi u programu mogu poprimiti
tokom izvršavanja. 
Kao apsrtaktni domeni razmatraju se intervali vrednosti promenljivih.

Osnovna ideja se zasniva na praćenju dodela vrednosti i izračunavanju izraza,
pridružujući nove intervale promenljivama, prema pravilima propagacije kroz aritmetičke operacije. Za dobijanje tačnih opsega izraza, neophodno je definisati pravila
sabiranja, oduzimanja, množenja i deljenja nad intervalima ([tabela](#tabela-intervali_operacije)).

Na primer, prilikom sabiranja promenljivih $a$ i $b$, koje su iz intervala $[a1, a2]$ i
$[b1, b2]$ redom, dobija se zbir koji pripada intervalu $[a1 + b1, a2 + b2]$, dok za množenje
važi pravilo koje uzima minimum i maksimum među svim mogućim proizvodima
krajeva intervala. Korišćenjem ovih pravila moguće je konstruisati apstraktni domen
kroz koji se propagiraju intervali i za znatno složenije izraze.

<figure id="tabela-intervali_operacije" style="margin:auto; text-align:center;">
  <table border="1" cellpadding="6" style="border-collapse:collapse; margin:auto;">
    <thead>
      <tr>
        <th>Operacija</th>
        <th>Ulazni intervali</th>
        <th>Rezultujući interval</th>
      </tr>
    </thead>
    <tbody>
      <tr>
        <td>sabiranje ($+$)</td>
        <td>$[a_1, a_2] + [b_1, b_2]$</td>
        <td>$[a_1 + b_1,\ a_2 + b_2]$</td>
      </tr>
      <tr>
        <td>oduzimanje ($-$)</td>
        <td>$[a_1, a_2] - [b_1, b_2]$</td>
        <td>$[a_1 - b_2,\ a_2 - b_1]$</td>
      </tr>
      <tr>
        <td>množenje ($\cdot$)</td>
        <td>$[a_1, a_2] \cdot [b_1, b_2]$</td>
        <td>
          $[\min P,\ \max P]$<br>
          <span class="small">gde je $P=\{a_i b_j \mid i,j\in\{1,2\}\}$</span>
        </td>
      </tr>
      <tr>
        <td>deljenje ($\div$)</td>
        <td>$[a_1, a_2] \div [b_1, b_2]$</td>
        <td>
          definisano samo ako $0 \notin [b_1, b_2]$;<br>
          koristi se $[\min Q,\ \max Q]$ gde je $Q=\{a_i / b_j \mid i,j\in\{1,2\}\}$
        </td>
      </tr>
      <tr>
        <td>negacija ($-$)</td>
        <td>$-[a_1, a_2]$</td>
        <td>$[-a_2,\ -a_1]$</td>
      </tr>
    </tbody>
  </table>
  <figcaption style="font-style:italic; margin-top:.5em;">
    Tabela: Pravila za operacije nad intervalima
  </figcaption>
</figure>


Ovakav pristup se može proširiti i na izraze koji sadrže više promenljivih i ugnežđene aritmetičke operacije. U tim slučajevima se redom, po prioritetu operacija,
primenjuju pravila za operacije nad intervalima, a rezultati prethodnih koraka se
koriste kao ulazi za sledeće.

## Apstrakcija intervalima za proveru prekoračenja

Programi se izvršavaju na mašinama sa ograničenim memorijskim resursima, koje ne mogu da podrže beskonačan skup vrednosti, za razliku od odgovarajućeg matematičkog modela. Prekoračenje nastaje kada rezultat izračunavanja nekog izraza premaši opseg vrednosti podržan za dati tip podataka. 
Takva situacija može dovesti do neočekivanih i nelogičnih rezultata izvršavanja programa.
Zadatak verifikacije jeste da sistematski otkrije i spreči ovakve greške,
kako bi se obezbedila pouzdanost softverskog sistema.

### Prekoračenje u aritmetičkim izrazima

Kada u programu dođe do prekoračenja dozvoljene numeričke vrednosti za određeni tip podataka, ponašanje zavisi od programskog jezika i izvršnog okruženja. U
jezicima kao što su <span style="font-variant: small-caps;">C</span> i <span style="font-variant: small-caps;">C++</span>, ovakve situacije često ne izazivaju grešku, već rezultiraju
pogrešnim ishodom zbog takozvanog *wraparound* ponašanja. 
Do toga dolazi kada
se rezultat, predstavljen kao niz bitova, ne može u potpunosti smestiti u predviđeni
memorijski prostor, pa računar upisuje samo deo bitova za koji ima mesta. Takva
binarna reprezentacija odgovara potpuno drugačijoj vrednosti od očekivane.

Nasuprot tome, savremeniji jezici i razvojni alati omogućavaju detekciju prekoračenja i generisanje odgovarajućih poruka o grešci, poput <span style="font-variant: small-caps;">„OverflowError: math range error”</span> ili
<span style="font-variant: small-caps;">„ArithmeticException: integer overflow”</span>. 
Iako ovakva poruka jasno ukazuje na uzrok problema, njen nastanak u fazi izvršavanja — naročito
kod krajnjeg korisnika, a ne tokom testiranja — može predstavljati ozbiljan rizik po
pouzdanost sistema.


#### Zapis celobrojnih vrednosti i primeri prekoračenja

Označeni brojevi se zapisuju u potpunom komplemetu — prvi je bit znaka ($0$ označava pozitivnu vrednost, $1$ označava negativnu vrednost), a ostali bitovi služe za računanje vrednosti broja. 
Pozitivni brojevi se predstavljaju kao zbir stepena dvojke: 
$$a_n · 2^n + a_{n−1} · 2^{n−1} + · · · + a_2 · 2^2 + a_1 · 2^1 + a_0 · 2^0$$ 
gde svaki od koeficienata $a_i$ ima vrednost $0$ ili $1$ i to je vrednost bita na $i$-tom mestu u zapisu broja. 
Jasan je i drugi smer koji čita binaran zapis - zanemari se bit znaka i zbirom stepena broja
dva dolazimo do odgovarajuće dekadne vrednosti.
Da bi se dobio binaran zapis negativnog broja prvo se posmatra binarna reprezentacija apsolutne vrednosti tog broja. 
Zatim se svaki bit invertuje i na kraju se na rezultat doda $1$ na mestu najmanje težine.



**Primer 1.**
Ako se koristi 16-obitna celobrojna vrednost, prvi bit je bit znaka a ostalih 15 bitova služe za zapis vrednosti broja. 
To znači da najveći broj koji se može zapisati ima sledeći niz bitova $0111\,1111\,1111\,1111$.

Vrednost ovog broja u dekadnom sistemu je: 
$$2^{14} + 2^{13} + 2^{12} + 2^{11} + 2^{10} + 2^9 + 2^8 + 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 + 2^0 = 32767$$

Dakle, najveća pozitivna vrednost koja se može zapisati kao 16-obitna označena celobrojna vrednost je $+32767$.

**Primer 2.**
Odredimo zapis broja $−1$.
Apsolutna vrednost od $-1$ je $1$, a binaran zapis broja $1$ je $0000\,0000\,0000\,00001$. 
Kada se invertuje svaki bit dobrija se $1111\,1111\,1111\,1110$.
Kada tu vrednost binarno saberemo sa $1$ dobija se $1111\,1111\,1111\,1111$.


**Primer 3.**
Binarni zapis $1000\,0000\,0000\,0000$ na bitu znaka ima 1 što znači da se radi o negativnom broju. Odredimo koji je to dekadni broj koristeći potpuni komplemet. 
Kada se od binarno zapisanog broja $1000\,0000\,0000\,0000$ oduzme jedinica dobija se $0111\,1111\,1111\,1111$. 
Kada se invertuje svaki bit dobija se niz bitova $1000\,0000\,0000\,0000$ koji dekadno ima vrednost $2^{15} = 32768$, i to je apsolutna vrednost traženog dekadnog broja. 
Dakle, zapis $1000\,0000\,0000\,0000$ je binarni zapis broja $−32768$. 
To je najmanja označena celobrojna vrednost koja se može zapisati pomoću 16 bitova.

<div style="border: 1px solid black; padding: 10px;">
Ukoliko se za zapis označenih celobrojnih vrednosti u računaru koristi 16 bitova, onda je raspon vrednosti koje se mogu zapisati od $-32768$ do $32767$.
</div>

<br>

**Primer 4.** 
Saberimo dve pozitivne vrednosti: $20000 + 20000$ u okviru 16-obitnog označenog celobrojnog tipa.
Najpre ćemo prikazati kako se broj $20000$ zapisuje binarno. 
Broj $20000$ možemo predstaviti kao zbir stepena dvojke:
$$
20000 = 16384 + 2048 + 1024 + 512 + 32 = 2^{14} + 2^{11} + 2^{10} + 2^9 + 2^5
$$
Zato je binarni zapis $0100\,1110\,0010\,0000$.

Saberimo sada dve takve vrednosti:

\begin{aligned}
0100\ 1110\ 0010\ 0000 &\quad (20000) \\
+\, 0100\ 1110\ 0010\ 0000 &\quad (20000) \\
\hline
1001\ 1100\ 0100\ 0000 &\quad \text{(rezultat)}
\end{aligned}


Rezultat počinje cifrom $1$ što znači da je negativan.
Da bismo dobili dekadnu vrednost rezultata binarnog sabiranja najpre oduzimamo jedinicu čime se dobija vrednost $1001\,1100\,0011\,1111$. Invertujemo sve bitove i dobijamo: $0110\,0011\,1100\,0000$. Dekadno to predstavlja broj $25536$. Pošto je broj negativan, konačan rezultat je: $-25536$.
Iako je $20000 + 20000 = 40000$, rezultat sabiranja u 16-obitnom sistemu je $−25536$, što je posledica prekoračenja (*overflow*), jer broj $40000$ premašuje maksimalnu moguću vrednost za 16-obitni označeni celobrojni tip, tj. $32767$.

**Primer 5.**
Razmotrimo rezultat sledećeg izraza: $100·10+31768$ u okviru 16-obitnog označenog celobrojnog tipa. 
Najpre ćemo izračunati rezultat izraza: $100 · 10 + 31768 = 1000 + 31768 = 32768$.
<br>
Broj $32768$ možemo predstaviti kao zbir stepena dvojke:
$$32768 = 2^{15}$$

Zato bi binarni zapis broja $32768$ trebao biti jednak:
$1000\,0000\,0000\,0000$.
Međutim u 16-obitnom označenom celobrojnom tipu se koristi najnižih 15 bitova za vrednost broja, a najveći bit je bit znaka pa ovakva binarna reprezentacija ne predstavlja broj $32768$. 
Ranije je pokazano da je dekadna vrednost ovog binarnog zapisa $-32768$.
Dakle, iako je $100 · 10 + 31768 = 32768$ u okviru 16-obitnog označenog celobrojnog tipa rezultat je $−32768$ što je posledica prekoračenja (*overflow*).

Apstraktna interpretacija je korisna za rano otkrivanje mogućih prekoračenja.
Korišćenjem predefinisanih opsega vrednosti moguće je unapred proceniti da li će
operacije nad promenljivim dovesti do grešaka.


Problem prekoračenja se javlja kada rezultat aritmetičke operacije nad numeričkim vrednostima premaši granice koje mogu biti predstavljene u okviru određenog
tipa podatka u memoriji računara. U [tabeli](#tab-int_ranges) prikazani su opsezi vrednosti za
označene cele brojeve zapisane sa 16, 32 i 64 bita. U ovom radu problem se posmatra na primeru 16-obitnih označenih celih brojeva, ali slično važi i za primere
brojeva koji se zapisuju sa više bitova.

<figure id="tab-int_ranges" style="margin:auto; text-align:center;">
  <table border="1" cellpadding="6" style="border-collapse:collapse; margin:auto;">
    <thead>
      <tr>
        <th>Broj bitova</th>
        <th>Opseg (eksponencijalni oblik)</th>
        <th>Opseg</th>
      </tr>
    </thead>
    <tbody>
      <tr>
        <td style="text-align:center;">16</td>
        <td>$[-2^{15},\; 2^{15}-1]$ </td>
        <td>$[-32768,\; 32767]$</td>
      </tr>
      <tr>
        <td style="text-align:center;">32</td>
        <td>$[-2^{31},\; 2^{31}-1]$</td>
        <td>$[-2147483648,\; 2147483647]$</td>
      </tr>
      <tr>
        <td style="text-align:center;">64</td>
        <td>$[-2^{63},\; 2^{63}-1]$</td>
        <td>$[-9223372036854775808,\; 9223372036854775807]$</td>
      </tr>
    </tbody>
  </table>
  <figcaption style="font-style:italic; margin-top:.5em;">
    Tabela: Opsezi vrednosti za označene celobrojne tipove zapisane sa 16, 32 i 64 bita
  </figcaption>
</figure>


**Primer 6. Prekoračenje pri množenju i sabiranju pozitivnih vrednosti**
testira scenario u kojem se dve pozitivne vrednosti množe, a zatim im se dodaje treća pozitivna vrednost. Ovaj eksperiment koristi unapred definisane vrednosti promenljivih
$a = 100$, $b = 10$ i $c = 31768$, sa ciljem da se pokaže kako dolazi do prekoračenja
kada rezultat premaši gornju granicu opsega dozvoljenog za 16-obitne celobrojne
vrednosti ($32767$). Na ovaj način se simulira scenario kada se vrednosti koje prelaze dozvoljeni opseg interpretiraju kao potpuno drugačije binarne reprezentacije u
memoriji.

**Kôd koji implementira prekoračenja pri množenju i sabiranju pozitivnih vrednosti**

In [7]:
import numpy as np
def calculate(a, b, c):
     # Koristimo numpy int16 za simulaciju 16-bitnog integera
        a = np.int16(a)
        b = np.int16(b)
        c = np.int16(c)
        
        result = a * b + c
        return result
    
def main():
        a = 100 #a=-30000
        b = 10  #b=2
        c = 31768 #c=5000
    
        result = calculate(a, b, c)
        print("Rezultat:", result)
    
if __name__ == "__main__":
    main()

Rezultat: -32768


  result = a * b + c


**Primer 7.**
U ovom primeru posmatra se jednostavan program koji koristi tri 16-obitne celobrojne vrednosti koje se množe i sabiraju.
Koristi se *int16* za simulaciju 16-obitnog celog broja iz biblioteke *numpy*.
Prvi indikator da je došlo do prekoračenja je negativan rezultat a rađeno je množenje i sabiranje tri pozitivna broja.
Rezultat usled prekoračenja ne mora obavezno biti negativan. 
Ako bi pokrenuli iznad napisan program sa ulaznim vrednostima:
$a=-30000$, $b=2$ i $c=5000$ tada bi izlaz programa bio $10536$ iako izraz ima matematičku vrednost $-55000$.

**Primer 7. Provera prekoračenja sa zadatim domenom** vrednosti uključuje korišćenje
apstraktnog domena za vrednosti promenljivih $a$, $b$ i $c$ kako bi se proverilo da li
može doći do prekoračenja pri odabiru vrednosti iz definisanih opsega. 
Apstraktni domen treba da odredi očekivane opsege vrednosti za promenljive, a
program zatim proverava da li se njihovo množenje i sabiranje nalazi u bezbednom
opsegu za 16-obitne celobrojne vrednosti.

Pretpostavimo da vrednost promenljive $a$ pripada intervalu $[1, 100]$, a
vrednost promenljive $b$ intervalu $[1, 10]$. Potrebno je odrediti dozvoljene vrednosti
za pozitivnu celobrojnu promenljivu $c$ za izraz $a · b + c$.

Ukoliko nema informacije u kom se intervalu vrednost promenljive $c$ kreće, može
se uzeti što veći proizvoljan pozitivan interval, a zatim se pozvati funkcija za proveru
izabranog apstraktnog intevarala — funkcija *check_overflow* koja je implementirana kodom ispod.
Ukoliko je uzet prevelik opseg vrednosti ispisuje se upozoravajuća poruka da može doći do prekoračenja. U kodu je uzet opseg $[1, 31768]$ koji će izazvati prekoračenje.
Preporuka je isprobati i druge domene za $c$.

**Kôd koji implementira proveru izabranog apstraktnog intervala**

In [12]:
class AbstractDomain:
    def __init__(self, a, b, c):
        self.a = a
        self.b = b
        self.c = c

    def check_overflow(self):
        max_a = max(self.a)
        max_b = max(self.b)
        max_c = max(self.c)

        product = max_a * max_b

        if product > 32767:
            return True

        if product + max_c > 32767:
            return True
        
        return False

def main():
    a_domain = range(1, 101) # [1, 100]
    b_domain = range(1, 11)  # [1, 10]
    c_domain = range(1, 32768) # [1, 32767]

    abstract_domain = AbstractDomain(a_domain, b_domain, c_domain)

    if abstract_domain.check_overflow():
        print("Upozorenje: Vrednosti mogu uzrokovati prekoracenje za 16-obitne cele brojeve!")
    else:
        print("Vrednosti su bezbedne za 16-obitne cele brojeve.")

if __name__ == "__main__":
    main()

Upozorenje: Vrednosti mogu uzrokovati prekoracenje za 16-obitne cele brojeve!


Apstraktni domen može biti pojednostavaljen ali to može predstavljati problem jer jednostavniji domen daje manje pojedinosti te može odgovoriti na manje pitanja i sa manjom preciznošću. 
U prethodnom primeru se pretpostavljalo koje vrednosti mogu uzeti promenljive $a$ i $b$, i pretpostavljalo se da je $c$ pozitivna vrednost. Ukoliko nemamo informaciju o opsezima za vrednosti promenljivih, moramo da pretpostavimo da sve tri vrednosti mogu biti bilo koji celi brojevi. 

**Primer 8. Nasumična provera vrednosti sa normalnom raspodelom** koristi normalnu (Gausovu) raspodelu za odabir vrednosti promenljivih $a$ i $b$ iz opsega $[−32768, 32767]$, kako bi se simulirale vrednosti koje su verovatno blizu nule. Na osnovu izabranih vrednosti $a$ i $b$, računa se dozvoljeni opseg za promenljivu $c$. 
Ovi rezultati pokazuju fleksibilnost metode koja omogućava testiranje različitih scenarija na velikom skupu ulaznih podataka, uz generisanje različitih rezultata u svakom pokretanju.


U ovom primeru dat je kôd koji služi za generisanje različitih ulaznih vrednosti za promenljive $a$ i $b$ kako bi se za promenljivu $c$ odredio interval kome sme da pripada tako da vrednost izraza $a · b + c$ ne izađe iz granica dozvoljenih za 16-obitne cele brojeve.
Promenljive $a$ i $b$ se uzimaju kao slučajni brojevi iz intervala $[−32768, 32767]$ pri čemu se koristi normalna (Gausova) raspodela verovatnoće sa očekivanjem $0$ (to znači da je veća verovatnoća da je slučajno izabrani broj blizu nule) i standardnom devijacijom $300$ (standardnom devijacijom se meri koliko su podaci raspršeni oko očekivanja).
Na [slici](#normalna_raspodela) prikazana je normalna raspodela kada je očekivanje $0$ i standardna devijacija $300$.

<div style="text-align:center;">
  <img src="NR-300.png"
       alt="Normalna raspodela sa očekivanjem 0 i standardnom devijacijom 300"
       id="normalna_raspodela"
       style="width:70%; display:block; margin:0 auto;">
  <div style="text-align:center;">
     Slika: Normalna raspodela sa očekivanjem 0 i standardnom devijacijom 300
  </div>
</div>

<br>

Ovo je korisno koristiti kada nema informacija o tačnom opsegu vrednosti ali se može pretpostaviti da će se vrednsot naći često u okolini neke tačke. U ovom kodu se normalna raspodela koristi iz demonstrativnog razloga kako bi se brže došlo do vrednosti koje zadovoljavaju uslove za uspešno izvršavanje operacija nad 16-obitnim celim brojevima. 
Dozvoljene vrednosti za $c$ se računaju na osnovu izabranih $a$ i $b$. Ovo znači da će se pri svakom pokretanju dobiti drugačije vrednosti promenljivih. Na ovaj način se testira program na velikom skupu ulaznih vrednosi.


**Kôd koji implementira proveru prekoračenja proizvoljnih vrednosti promenljivih**

In [13]:
import numpy as np

class AbstractDomain:
    def __init__(self, a_range, b_range, c_range):
        self.a = int(np.random.normal(0, 300)) #normalna raspodela
        self.b = int(np.random.normal(0, 300)) #normalna raaspodela
        self.c = c_range

    def check_valid_range(self, value):
        return -32768 <= value <= 32767

    def check_overflow(self):
        if not (self.check_valid_range(self.a) and self.check_valid_range(self.b)):
            print(f"Vrednosti a: {self.a}, b: {self.b}")
            raise ValueError("a i b moraju biti u opsegu 16-bitnog integera")

        product = self.a * self.b
        if product > 32767 or product < -32768:
            print(f"Vrednosti a: {self.a}, b: {self.b}")
            return "Prekoracenje je moguce sa ovim vrednostima a i b"

        max_c_pos = 32767
        min_c_neg = -32768
        
        if product >= 0:
            max_c_pos = max_c_pos - product
            min_c_neg = min_c_neg 

        else:
            max_c_pos = max_c_pos
            min_c_neg = min_c_neg - product

        print(f"Vrednosti a: {self.a}, b: {self.b}, c: [{min_c_neg}, {max_c_pos}]")
     
        if max_c_pos < min(self.c) or max(self.c) < min_c_neg:
            return "Vrednosti za c mogu uzrokovati prekoracenje za 16-bitni integer"
        return "Vrednosti su bezbedne za 16-bitni integer"


    
def main():
    #Domeni za a, b i c
    a_domain = range(-32768, 32768)
    b_domain = range(-32768, 32768)
    c_domain = range(-32768, 32768)

    abstract_domain = AbstractDomain(a_domain, b_domain, c_domain)

    print(abstract_domain.check_overflow())

if __name__ == "__main__":
    main()



Vrednosti a: -256, b: -404
Prekoracenje je moguce sa ovim vrednostima a i b


## Apstrakcija intervalima za verifikaciju bankarskog softvera

Softver koji se koristi u bankarskom sektoru ima ključnu ulogu u obradi transakcija, obračunu kamata, izračunavanju rata i proveri kreditnih limita. 
Ovakvi sistemi moraju biti izuzetno pouzdani, jer čak i mala greška u implementaciji može dovesti do značajnih posledica.

Verifikacija i formalna provera ispravnosti bankarskog softvera predstavljaju važan deo procesa razvoja. Cilj je da se već u ranoj fazi otkriju i isprave greške koje u realnom okruženju mogu dovesti do:

- pogrešno odobrenih ili odbijenih transakcija,
- neispravnog obračuna kamata i naknada,
- kršenja ugovorenih uslova između banke i klijenata,
- potencijalnih pravnih i reputacionih problema za instituciju.

U nastavku su dati primeri jednostavnog programa za obračun rate pri plaćanju kreditnom karticom. Prvobitno nije postojala nakanda za ovaj tip transakcije i program je radio ispravno, što je opisano u prvom primeru. Zatim se uvodi nakada za plaćanje kreditnom karticom. Drugi primer analizira scenario u kom je doslo do promene obračuna rate, uzimajući u obzir naknadu, dok je program ostao nepromenjen i detektuje propust posmatrajuči apstraktne domene.

**Primer 1.**
Neka je dat program koji računa iznos za otplatu na kreditnoj kartici za vrednosti u stranoj valuti.
*Limit na kreditnoj kartici* je ograničen od strane banke u zavisnosti od primanja klijenta i najčešće je u visini jedne do dve plate klijenta. 
Za potrebe primera uzećemo limit po kreditnoj kartici od 76700 dinara. 
*Raspoloživo stanje na kreditnoj kartici* je limit umanjen za trenutno dugovanje po kreditnoj
kartici. To znači da je raspoloživo stanje u opsegu $[0, 76700]$.

Plaćanje kreditnom karticom je moguće u stranoj valuti i tada se ukupan iznos za otplatu u dinarima dobija formulom:
$$
iznos\_za\_otplatu = iznos \cdot kurs
$$

Kurs za konverziju je ograničen od strane Narodne banke. 
U ovom primeru posmatra se plaćenje u eurima gde se za kurs uzima kao ograničenje interval $[115, 118]$. 
  
Program proverava da li je vrednost iznosa za otplatu manja ili jednaka od raspoloživog stanja na kartici. Program napisan na ovaj način će da odbaci sve transakcije čiji je iznos u dinarima veći od raspoloživog stanja na kreditnoj kartici — što je ispravno.

**Primer 2.**
Posmatrajmo isti program kao u prethodnom primeru.
Neka je u bankarski proizvod kreditnih kartica izmenjen tako da se za svaku transakciju kreditnom karticom naplacuje naknada.
Naknada za plaćanje kreditnom karticom je propisana od strane banke koja izdaje kreditnu karticu ali je ograničena maksimalna naknada od strane Narodne banke i u primeru iznosi $5\%$.  

Izmene u poslovnim pravilima se u praksi često dešavaju, a izmene ove vrste obično idu uz izvestan *grace period* (odloženi period tokom kog obaveza, poput otplate ili obračuna kamate, privremeno ne stupa na snagu). Ako program ne bude izmenjen u skladu sa izmenom samog proizvoda doći će do neželjenog ponašanja, tj. do prihvatanja transakcija koje bi trebalo da ne budu odobrene. To se može otkriti posmatranjem apstraktnih domena.

Novi ukupni iznos za otplatu u dinarima prilikom plaćanja u evrima dobija se formulom: 
$$
iznos\_za\_otplatu = iznos \cdot kurs + naknada
$$
pri čemu se naknada računa po formuli:
$$
naknada = procenat\_naknade \cdot  iznos \cdot kurs 
$$

Ulazne vrednosti pripadaju sledećim intervalima:

$$
\begin{aligned}
\text{iznos} &\in [0, \infty) \\
\text{kurs} &\in [115, 118] \\
\text{procenat\_kamate} &\in [0, 0.05] \\
\text{raspoloživo\_stanje} &\in [0, 76700]
\end{aligned}
$$

Domeni izraza za transakcije koje treba da budu odobrene se računaju na sledeći način. Na osnovu programa, važi:
$$
 iznos \cdot kurs \leq raspoloživo\_stanje  \in  [0,76700]
$$
S druge strane, ako se uzme u obzir naknada, važi:
$$
 iznos \cdot kurs \cdot (1 + procenat\_naknade) \leq raspoloživo\_stanje \in [0,76700]
$$
odnosno:
$$
 iznos \cdot kurs \in [0,76700] / [1, 1.05] = [0, 73047]
$$

Verifikacija proverava da li je svaki iznos transakcije u granicama raspoloživog stanja, tj. poredi intervale (intervali se porede tako sto se porede odgovarajući krajevi intervala međusobno) za izraz $iznos \cdot kurs$ u programu i za izraz $iznos \cdot kurs$ kada se uzme u obzir naknada.
Nejednakost nije zadovoljena jer interval $[0, 76700]$ nije manji od intervala $[0,73047]$, odnosno program dozvoljava da vrednosti $iznos \cdot kurs$ budu veće nego što je to prihvatljivo.

### Provera deljenja nulom

Deljenje je *bezbedno* ako u svakoj instrukciji oblika $q = u / v$ imenilac $v$ nije jednak nuli.  
U apstrakciji intervalima to proveravamo tako što za domen imenioca $I(v)$ zahtevamo da važi $0 \notin I(v)$.

*Napomena:* Imenilac može biti izraz. U tom slučaju, deljenje je bezbedno ako nula ne pripada domenu tog izraza.


**Primer 3.**
Za imenilac $v = x - 1$ bezbednost proveravamo uslovom:
$$
0 \notin I(x-1)\;\Longleftrightarrow\; 1 \notin I(x) \quad\text{(dodavanje \(1\) na obe strane).}
$$

Ako je $x \in [a,b] \subseteq \mathbb{Z}$, deljenje je bezbedno kada važi:
$$
b \le 0 \quad \text{ili} \quad a \ge 2.
$$

Dakle, ako je npr. $[a,b]=[5,12]$ ili $[a,b]=[-7,0]$, deljenje je bezbedno;  
ako je $[a,b]=[-3,5]$, interval sadrži vrednost 1, te postoji opasnost deljenja nulom.

*Opšti obrazac (pomeranje za konstantu).*
Za imenilac $x + c$ važi:
$$
0 \notin I(x+c) \;\Longleftrightarrow\; -c \notin I(x),
$$
pa je za celobrojne intervale dovoljno da važi $b \le -c-1$ ili $a \ge -c+1$.


Računanje domena promenljivih koje učestvuju u izrazu nije neophodno da bismo proverili da li postoji deljenje nulom — dovoljno je odrediti domen samog imenioca i proveriti da nula nije u tom domenu.

Na primer deljenje sa imeniocem $a+b$:  
  Ako je $a\in[-1,100]$ i $b\in[5,50]$, tada je $a+b\in[4,150]$ pa je deljenje bezbedno.  
  Ako je $a\in[-10,100]$ i $b\in[5,50]$, tada je $a+b\in[-5,150]$ pa je deljenje nije bezbedno.

Česte greške koje vode deljenju nulom: neprovereni brojači, neinicijalizovane ili resetovane vrednosti na 0, ulazi iz spoljašnjeg sistema bez jasnog preduslova.


**Primer 4.**
U sektoru za servisiranje kredita računa se iznos mesečne obaveze:
$$
\texttt{mesecna\_obaveza} = \frac{\texttt{preostali\_dug}}{\texttt{preostali\_meseci}}.
$$

Najveći iznos kredita koji banka nudi je 50 000 000 dinara. Najduži period otplate kredita je 30 godina, odnosno 360 meseci. Poslovno pravilo garantuje da preostali meseci moraju da budu veći od nule, jer se ovaj kôd izvršava samo za aktivne kredite kod kojih važi $\texttt{preostali\_meseci} \geq 1$. 
Intervali nepostredno pre deljenja:
$$
I(\texttt{preostali\_dug}) = [0,\, 50\,000\,000], \quad
I(\texttt{preostali\_meseci}) = [1,\, 360].
$$
Pošto važi $0 \notin [1,360]$, deljenje je bezbedno.


Ovo je primer dobro napisanog koda, gde je mesečna obaveza računa samo pod uslovom da je broj preostalih meseci veći od 1. 
Imenilac ima interval bez nule i program prolazi verifikaciju. 
Međutim, ukoliko poslovno pravilo koje garantuje da se izračunavanje vrši samo za aktivne kredite ne bi bilo
implementirano, važilo bi da je $I(\texttt{preostali\_meseci}) = [0, 360]$ i deljenje nulom bi bilo moguće.

**Primer 5.**
U dnevnom bankarskom izveštaju računa se prosečan iznos po transakciji:

$$
\texttt{prosek} = \frac{\texttt{ukupno\_isplaceno}}{\texttt{broj\_transakcija}}.
$$

Tokom prazničnog režima, ili u nekim vanrednim situacijama, može se desiti da nema transakcija tog dana.
Gornje granice za ukupno isplaćen iznos i broj transakcija su vrednosti koje je definisala Narodna banka na osnovu dosadašnjih statistika, na primer, neka je gornja granica za ukupno isplaćen iznos 2 000 000 000,
a gornja granica za broj transakcija 200 000.

Intervali neposredno pre deljenja su:
$$
I(\texttt{ukupno\_isplaceno}) = [0,\, 2\,000\,000\,000],  \quad
I(\texttt{broj\_transakcija}) = [0,\, 200\,000]
$$

Pošto je $0 \in [0,200\,000]$, može se desiti greška uzrokovana deljenjem sa nulom. 
Ispravka bi bila uvođenje grananja — ako je broj transakcija nula i prosek je nula, inače se računa prosek po vadedenoj formuli

**Primer 6.**
Prosečno ponderisana kamatna stopa (u nastavku PPKS) na određenu kategoriju proizvoda
(kredita ili depozita) predstavlja prosečnu kamatna stopu za tu vrstu proizvoda, pri
čemu se ne radi o prostom proseku kamatnih stopa, već se uzima u obzir i efekat
iznosa kredita ili depozita na koju se određena kamatna stopa primenjuje. Odnosno,
u obračunu prosečne kamatne stope daje veći značaj onim kamatnim stopama koje
se primenjuju na veći iznos kredita ili depozita.

PPKS se računa prema formuli:
$$
PPKS \;=\; \frac{\sum_i (\texttt{kamatna\_stopa}_i \cdot \texttt{iznos\_kredita}_i)}{\sum_i \texttt{iznos\_kredita}_i} \times 100.
$$

Imenilac je zbir iznosa kredita. 
Pretpostavimo da je gornja granica za ukupno isplaćen iznos 2 000 000 000 i neka je ukupan broj
kredita 100 000.
Kako su iznosi kredita uvek nenegativni brojevi, 
domen imenioca je $[0, 100\,000 \times 2\,000\,000\,000] = [0,\, 200\,000\,000\,000\,000]$.  
Pošto nula pripada domenu, apstraktna interpretacija prijavljuje opasnost deljenja nulom.

U praksi zbir može biti nula kada:
- je skup prazan posle filtriranja (npr. za dati datum nema aktivnih kredita),  
- su svi iznosi nula (zatvoreni krediti u posmatranom preseku).

Ukoliko se u kodu pre računanja proverava da je ukupan iznos strogo pozitivan,
do ovog stanja se nikada neće doći i u tom slučaju apstraktna interpretacija daje
lažno upozorenje, što je prikazano u kodu ispod.


**Kôd za računanje ponderisane kamatna stope uz zaštitu od deljenja nulom**

In [14]:
# Lista kredita: (iznos, kamatna_stopa)
krediti = [
    (100000, 0.05),
    (200000, 0.045),
    (150000, 0.052),
]

ukupan_iznos = sum(iznos for iznos, _ in krediti)
if ukupan_iznos == 0:
    print("Nema aktivnih kredita - ne moze se izracunati ponderisana stopa.")
else:
    ponderisana = sum(iznos * stopa for iznos, stopa in krediti) / ukupan_iznos * 100
    print(f"Ponderisana kamatna stopa: {ponderisana:.3f}%")

Ponderisana kamatna stopa: 4.844%


# Otkrivanje trke za resursima

Postoje različiti načini organizacije izvršavanja programa. U konkurentnim programima se više procesa ili niti, koji imaju zajednički cilj, izvršava u istom vremenskom periodu. 
Konkurentno programiranje podrazumeva logičku podelu posla, tj. primenu tehnika i metoda koje omogućavaju da se više procesa ili niti izvršava naizmenično ili istovremeno u okviru jednog programa. 
Procesi su međusobno nezavisni i koriste sopstveni adresni prostor, dok su niti tzv. „laki procesi“, koji dele isti adresni prostor unutar procesa. Jedan od najčešćih načina ostvarivanja konkurentnosti jeste upravo korišćenje niti.

Paralelno izvršavanje je specijalni slučaj konkurentnog izvršavanja koje podrazumeva postojanje fizičke, tj. hardverske podrške za podelu posla. 
Kod paralelnog izvršavanja, zadatak se zaista istovremeno izvršava na više procesora ili jezgara, pri čemu procesi mogu da komuniciraju putem zajedničke memorije.

## Trka za resursima i sinhronizacija

Ideja deljenja posla radi bržeg izvršavanja deluje intuitivno, ali u praksi konkurentno programiranje često nailazi na različite prepreke.  
Osnovni problem koji se javlja je *trka za resursima*. 
Trka za resursima dešava se kada dve ili više niti pokušavaju istovremeno da pristupe i modifikuju iste podatke. To može dovesti do nepredvidivih i nekonzistentnih rezultata.


**Primer 1.**
Razmotrimo scenario prodaje ulaznica putem internet aplikacije. Pretpostavimo da je u sistemu ostala još samo jedna ulaznica za određeni događaj. Dva korisnika istovremeno iniciraju zahtev za kupovinu poslednje ulaznice.
Aplikacija koristi zajedničku promenljivu koja čuva broj raspoloživih ulaznica. Oba procesa (koja predstavljaju korisničke zahteve) u isto vreme pristupaju toj promenljivoj i očitavaju vrednost 1. 
Prvi proces smanjuje vrednost na 0 i dodeljuje ulaznicu korisniku. 
Međutim, drugi proces, koji je prethodno očitao istu vrednost 1, takođe pokušava da smanji broj ulaznica i da izvrši rezervaciju.
Rezultat je stanje u kojem aplikacija beleži prodaju dve ulaznice, iako je u sistemu realno postojala samo jedna. Ovakav ishod je posledica *nedeterminističkog međusobnog preplitanja operacija čitanja i pisanja nad deljenim resursom*, što je klasičan primer trke za resursima.


<div style="border: 1px solid black; padding: 10px;">
Nekontrolisanje trke za resursima u praksi dovodi do narušavanja konzistentnosti podataka i ozbiljnih grešaka u poslovnoj logici sistema.
</div>

<br>


Trke za resursima nastaju kada različite niti *modifikuju* zajedničku promenljivu.  
Međutim, u situacijama kada niti nad promenljivom vrše samo *operacije čitanja*, nema potrebe uvoditi kontrolne mehanizme. U tim slučajevima konkurentno izvršavanje ne narušava konzistentnost podataka, jer sama vrednost promenljive ostaje nepromenjena.


**Primer 2.**
Veb servis *Google Weather* prikazuje trenutnu vrednost temperature za izabranu lokaciju. Više niti istovremeno pristupa deljenoj promenljivoj koja čuva poslednju preuzetu vrednost iz pozadinskog servisa; niti ovu promenljivu isključivo čitaju. Ažuriranje ove promenljive obavlja se periodično u posebnoj, odvojenoj proceduri i van ovog toka obrade zahteva.
Pošto niti ne menjaju vrednost promenljive, već je samo čitaju, u ovom slučaju ne postoji opasnost od trke za resursima. Svi korisnici dobijaju konzistentne informacije.

Za sprečavanje trke za resursima koristi se *sinhronizacija*. Pre uvođenja mehanizama sinhronizacije neophodno je identifikovati promenljive nad kojima se mogu dogoditi trke za resursima, jer upravo one predstavljaju kritične tačke u programu.

<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Kritična sekcija</h4>
    
*Kritična sekcija* (eng. *critical section* — u nastavku CS) obuhvata operacije koje pristupaju deljenim resursima (npr. promenljivama, fajlovima, uređajima). Ako bi više niti istovremeno pristupalo i menjalo deljene resurse, došlo bi do nekonzistentnosti podataka ili grešaka.
</div>

<br>

<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Sinhronizacija</h4>
    
*Sinhronizacija* predstavlja skup tehnika i mehanizama koji omogućavaju pravilno i predvidivo izvršavanje više niti ili procesa nad zajedničkim podacima.
</div>

Kako bi se sprečili problemi koji nastaju usled konkurentnog pristupa deljenim resursima, koriste se različiti mehanizmi sinhronizacije.

<div style="border: 1px solid black; padding: 10px;">
<h4>Definicija — Ekskluzivni pristup</h4>
    
*Ekskluzivni pristup* označava mehanizam kojim se obezbeđuje da u datom trenutku samo jedna nit ili proces može pristupiti kritičnom resursu ili izvršavati kritični deo koda. Na taj način se sprečava međusobno preplitanje operacija čitanja i pisanja nad deljenim podacima, čime se eliminiše mogućnost pojave trke za resursima.
</div>

U praksi se ekskluzivni pristup ostvaruje pomoću različitih konstrukata sinhronizacije, među kojima se izdvajaju:

- **Katanac (eng. *lock*)** — najjednostavniji mehanizam sinhronizacije kojim se osigurava da samo jedna nit može pristupiti kritičnom resursu ili izvršavati kritični deo koda dok je katanac zaključan. Ostale niti moraju sačekati da se katanac oslobodi.  
- **Muteks (eng. *mutex*)** — poseban oblik katanca koji dodatno garantuje da samo nit koja je zaključala muteks može da ga otključa, čime se povećava bezbednost i sprečavaju nekonzistentna stanja.  
- **Semafor (eng *semaphore*)** — najprimitivniji mehanizam sinhronizacije koji omogućava kontrolu pristupa nad ograničenim brojem resursa. Za razliku od muteksa i katanca, semafor može dozvoliti da više niti istovremeno pristupi resursu, ali njihov broj ne može preći unapred definisanu granicu.



Uloga sinhronizacije je da spreči pojavu trke za resursima, pri čemu može uzrokovati druge probleme konkurentnog programiranja ukoliko se ne uradi na ispravan način:

- **Uzajamno blokiranje** — dve ili više niti čekaju jedna na drugu da oslobode resurse, stvarajući cikličnu zavisnost koja sprečava nastavak izvršavanja (npr. nit A drži R1 i čeka R2; nit B drži R2 i čeka R1).  
- **Živo blokiranje** — niti ne stoje u mestu, ali stalno menjaju stanje bez napretka (pokušavaju da reše zavisnosti, ali bez uspeha).  
- **Izgladnjivanje** — jedna ili više niti ne dobijaju pristup resursima jer ih druge niti stalno preuzimaju, pa im je izvršenje odlagano ili onemogućeno.

Razumevanje ovih mehanizama je ključno za izradu konkurentnih programa kako bi se obezbedilo konzistentno stanje sistema.  


**Primer 3.**
Da bi se sprečila trka za resursima, koristi se mehanizam ekskluzivnog pristupa, često implementiran pomoću zaključavanja. Na taj način se obezbeđuje da u svakom trenutku samo jedna nit ima pravo pristupa kritičnom delu koda. 


**Kôd koji prikazuje korišćenje mehanizma Lock u Python-u**

In [15]:
import threading

x = 0  # zajednicka promenljiva
lock = threading.Lock()

def increment():
    global x
    for _ in range(100000):
        with lock:   # samo jedna nit u kriticnom delu
            x += 1

t1 = threading.Thread(target=increment)
t2 = threading.Thread(target=increment)

t1.start()
t2.start()
t1.join()
t2.join()

print("Konacna vrednost:", x)

Konacna vrednost: 200000


U ovom primeru, zahvaljujući primeni zaključavanja, niti ne mogu istovremeno
pristupiti i modifikovati promenljivu $x$. Konačna vrednost je uvek ispravna i jednaka
200000, jer je eliminisana mogućnost trke za resursima.

## Primeri verifikacije jednostavnih konkurentnih programa

Implementacija apstraktne interpretacije za konkurentne programe je korisna za detekciju problema u konkurentnom programiranju. 
Primeri koji slede demonstriraju kako se apstraktna interpretacija može koristiti za identifikaciju potencijalnih trka za resursima. Analiza prati pristupe deljenim promenljivama, kao i pristupe kritičnim delovima koda.

U nastavku je dat kôd koji implementira analizator. 
Uvođenjem analizatora postiže se apstrakcija koja omogućava praćenje pristupa promenljivama iz različitih niti, prepoznajući da li pristupi mogu dovesti do trke za resursima.  
Za svaku nit zadaje se lista torki koje sadrže: naziv promenljive kojoj nit pristupa (var), vrstu pristupa (READ ili WRITE) i ime kritične sekcije (cs_name, to je zapravo ime ključa, pri čemu ukoliko promenljiva nije
u kritičnoj sekciji - odnosno ne zaključava se, ima oznaku *None*). 


Za tako zadate niti pokreće se analizator. 
On prvo konstruiše rečnike sa podrazumevanim vrednostima (*defaultdict*, u Pythonu: mapa koja za nepostojeći ključ automatski kreira podrazumevanu vrednost):

- **R** — svaku promenljivu slika u skup niti koje je čitaju  
- **W** — svaku promenljivu slika u skup niti koje nad njom pišu  
- **CS** — svaku kombinaciju *(promenljiva, nit)* slika u skup imena kritičnih sekcija u kojima nit pristupa toj promenljivoj  
- **UNPROT** — beleži nezaštićene pristupe (da li je neka nit pristupala promenljivoj van CS); svaku kombinaciju *(promenljiva, nit)* slika u logičku vrednost True/False.

Detekcija trke se dešava kada u listi niti koje pristupaju istoj promenljivoj postoje različite operacije nad promenljivoj odnosno postoji bar jedna WRITE nit.
Ukoliko postoji bar jedna takva nit postoji i potencijalna trka za resursima. 
Da li je zaista došlo do trke proveravamo bezbednosnim mehanizmima definisanim rečnikom UNPORT. 
Potrebno je da je promenljiva zaštićena prilikom pristupa niti koje su u
potencijalnoj trci za resurse, ali i da su joj niti pristupile u okviru istoimene kritične
sekcije.

*Napomena: Nema pokretanja niti; radi se isključivo nad apstraktnim opisom niti.*


**Kôd analizatora**

In [16]:
from collections import defaultdict

READ, WRITE = "READ", "WRITE"

def analyze_static(threads):
    """
    threads: dict -> thread_name : list of (var, READ/WRITE, cs_name or None)
    Vraca sortiranu listu promenljivih nad kojima postoji potencijalna trka.
    Strogi kriterijum 'nema trke':
      - nijedna od dve niti nema nezasticene pristupe toj promenljivoj
      - svaka nit koristi TACNO jedan lock za tu promenljivu
      - oba lock imena su identicna (ista zajednicka CS)
    """
    R = defaultdict(set)                       # var -> set(threads that READ)
    W = defaultdict(set)                       # var -> set(threads that WRITE)
    CS = defaultdict(lambda: defaultdict(set)) # var -> thread -> set(cs_names)
    UNPROT = defaultdict(lambda: defaultdict(bool))  # var -> thread -> bool (ima li nezasticen pristup)

    # Popunjavanje recnika po promenljivoj i niti
    for t, ops in threads.items():
        for (var, op, cs_name) in ops:
            (R if op == READ else W)[var].add(t)
            if cs_name is None:
                UNPROT[var][t] = True
            else:
                CS[var][t].add(cs_name)

    races = set()
    for var in set(R) | set(W):
        ts = list(R[var] | W[var])  # sve niti koje pristupaju var
        for i in range(len(ts)):
            for j in range(i + 1, len(ts)):
                a, b = ts[i], ts[j]
                # bar jedna nit pise?
                writes = (a in W[var]) or (b in W[var])
                if not writes:
                    continue
                # bezbednosne provere pristupa promenljivoj
                same_cs = (
                    not UNPROT[var][a] and
                    not UNPROT[var][b] and
                    len(CS[var][a]) == 1 and
                    len(CS[var][b]) == 1 and
                    CS[var][a] == CS[var][b]
                )
                if not same_cs:
                    races.add(var)

    return sorted(races)

Opisana apstrakcija je dovoljno dobra da može da potvrdi da trke za resursima
nema, odnosno da može da detektuje sve slučajeve trke za resursima i ukaže na
nedostatak sinhronizacije. Međutim, moguća je i pojava lažnih upozorenja.

### Praćenje write pristupa bez sinhronizacije i sa sinhronizacijom

Apstraktna interpretacija beleži pristupe svake niti svakoj promenljivoj. Kandidat za potencijalnu trku je par niti od kojih bar jedna vrši upis nad istom promenljivom. 
Ukoliko postoje kandidati za trku proverava se da li su u okviru njih definisana pravila za bezbedno korišćenje promenljive, tačnije da li je urađena adekvatna sinhronizacija.

**Primer 1**
Neka su date dve niti koje pristupaju deljenim promenljivama $x$ i $y$. Nad
promenljivom $x$ obe niti vrše operaciju upisa pri čemu ne koriste sinhronizaciju. 
Nad promenljivom $y$ takođe vrše operaciju upisa pri čemu koriste sinhronizaciju. 
Svaka od niti je tada određena listom torki $(var, READ/WRITE, cs\_name)$.

**Kôd za dve niti koje upisuju u $x$ (bez sinhronizacije) i $y$ (sa sinhronizacijom)**

In [17]:
threads = {
    "T1": [("x", WRITE, None), ("y", WRITE, "CS_y")],
    "T2": [("x", WRITE, None), ("y", WRITE, "CS_y")],
}
print(analyze_static(threads))  # Ocekivano: ['x']

['x']


Apstrakcija opisana ovim primerom se može primeniti u mnogim programima. 
Jedan primer iz realne upotrebe može biti jednostavna igrica, koja se posmatra u nastavku, sa fokususom na *write-write* situaciju (analogno se radi analiza za *read-write* slučaj).

**Primer 2.** Neka je data igrica koju istovremeno igraju dva igrača u paru. 
Cilj igrice je da igrači sarađuju kako bi skupili u zajedničku kasu 100 novčiča izbegavajući prepreke. 
Sem zajedničke kase, igrači imaju i zajednički broj života. Kada neki
od igrača udari u prepreku broj zajedničkih života se smanjuje za jedan. Neka je
promenljiva $x$ iz prethodnog primera stanje zajedničke kase. 
Neka je promenljiva $y$ iz prethodnog primera broj preostalih života. Posledica trke nad promenjivom $x$ je
nekonzistentno stanje kase. U situaciji kada oba igrača istovremeno osvoje po jedan
novčič, umesto da se stanje kase uveća za dva, uvećava se za jedan. 
Ovakvo ponašanje programa usporava igračima put do pobede. Broj života se ispravno umanjuje, te
igrači „lako” gube život a „teško” skupljaju novčiće.
Druga nebezbedna situacija je kada jedna nit povećava stanje kase sa 99 na 100 novčića, dok druga u tom trenutku proverava da li je zadovoljen uslov da je trenutni broj novčića manji od 100 i čitajući vrednost 99, umesto 100, rešava da nastavi izvršavanje.


**Kôd igrice**

In [18]:
import threading, time, random

# Ciljevi igre
TARGET_COINS   = 100
INITIAL_LIVES  = 5

# Deljene promenljive:
x = 0  # zajednička kasa (BROJ NOVČIĆA) — namerno BEZ sinhronizacije
y = INITIAL_LIVES  # zajednički broj života — uvek pod lock-om

# Sinhronizacija i util
lock_lives  = threading.Lock()   # štiti 'y'
stop_event  = threading.Event()  # signal zaustavljanja svima
print_lock  = threading.Lock() # radi urednog ispisa

def log(msg):
    with print_lock:
        print(msg)

def collect_coin(player_name):
    """
    NAMERNA TRKA: read-modify-write bez lock-a + kratko 'spavanje' da proširi prozor trke.
    Ako dva igrača istovremeno pokupe novčić, može doći do izgubljenog inkrementa.
    """
    global x
    tmp = x                     # READ
    time.sleep(random.uniform(0.0005, 0.003))  # "yield" za kontekst-preklapanje
    x = tmp + 1                 # WRITE (bez CS)
    # log(f"{player_name} je pokupio novčić → kasa (x) = {x}")

def hit_obstacle(player_name):
    """
    BEZBEDNO: umanjenje 'y' u zajedničkoj kritičnoj sekciji.
    """
    global y
    with lock_lives:
        if y > 0:
            y -= 1
            # log(f"{player_name} je izgubio život → y = {y}")

def player(name):
    """
    Svaki igrač u petlji nasumično:
      - većinom skuplja novčiće,
      - ponekad udara u prepreku.
    Igra se završava kada je kasa puna (pobeda) ili kada životi odu na nulu (poraz).
    """
    while not stop_event.is_set():
        # više skupljanja nego kazni
        if random.random() < 0.95:
            collect_coin(name)
        else:
            hit_obstacle(name)

        # Provera uslova završetka (nesinhronizovani read x je OK za signalizaciju)
        if x >= TARGET_COINS:
            stop_event.set()
            log(f"🎉 Pobeda! Kasa (x) je stigla do {TARGET_COINS}. Preostali životi y = {y}.")
            break
        if y <= 0:
            stop_event.set()
            log(f"💀 Poraz! Životi su potrošeni. Kasa (x) = {x}.")
            break

        # mala pauza da se dozvoli preplitanje
        time.sleep(random.uniform(0.0005, 0.002))

def main():
    global x, y
    random.seed(42)

    t1 = threading.Thread(target=player, args=("Igrač-1",), name="T1")
    t2 = threading.Thread(target=player, args=("Igrač-2",), name="T2")

    start = time.time()
    t1.start(); t2.start()
    t1.join();  t2.join()
    dur = time.time() - start

    # Završni izveštaj
    log("=== REZIME IGRE ===")
    log(f"Trajanje: {dur:.3f}s")
    log(f"Konačno stanje: kasa x = {x}  |  životi y = {y}")
    log("Napomena: moguće je da je stvarno sakupljenih novčića > x zbog trke nad x (izgubljeni inkrementi).")

if __name__ == '__main__':
    main()



💀 Poraz! Životi su potrošeni. Kasa (x) = 37.
=== REZIME IGRE ===
Trajanje: 0.133s
Konačno stanje: kasa x = 37  |  životi y = 0
Napomena: moguće je da je stvarno sakupljenih novčića > x zbog trke nad x (izgubljeni inkrementi).


Da bi analizatorom mogla da se detektuje trka za resursima potrebno je da se
program apstrahuje, tačnije da se posmatranjem programa, niti predstave kao liste
odgovarajučih torki. 
Koriste se sledeći koraci kako bi se došlo do apstrakcije:
- **Identifikacija niti:** postoje dve niti Player1 i Player2 (dva igrača).
- **Identifikacija deljenih promenljivih:** $x$ predstavlja zajedničku kasu, a $y$ zajednički broj života; obe promenljive dele oba igrača.
- **Klasifikacija pristupa:** oba igrača rade WRITE nad $x$ i WRITE nad $y$ (slično važi za čitanja uslova petlje $x \le TARGET\_COINS$ i $y \ge 0$ gde se evidentiraju READ pristupi).
- **Praćenje sinhronizacije:**
    - Upisi u $x$: dešavaju se van kritične sekcije ⇒ cs_name = None.
    - Umanjenja $y$: dešavaju se unutar iste zajedničke kritične sekcije ⇒ cs_name
= „CS_y”.
- **Formiranje apstraktnog plana:** za svaku nit pravi se lista trojki $(var, READ/WRITE, cs_name)$
- **Analiza:** prosleđivanje plana statičkom analizatoru $(analyze_static(threads))$.

**Primer 3.**
Neka su date dve niti koje pristupaju deljenim promenljivama $x$ i $y$.
Nad obe promenljive niti vrše operaciju upisa pri čemu koriste sinhronizaciju.
Svaka od niti je tada odredjena listom torki $(var, READ/WRITE, cs\_name)$ opisanih u kodu ispod.


**Kôd za dve niti koje upisuju u $x$ i $y$ (sa sinhronizacijom)**

In [19]:
threads = {
    "T1": [("x", WRITE, "CS_x"), ("y", WRITE, "CS_y")],
    "T2": [("x", WRITE, "CS_x"), ("y", WRITE, "CS_y")],
}
print(analyze_static(threads))  # Ocekivano: []

[]


Programi kod kojih je sinhronizacija odrađena na ovaj način su bezbedni i prolaze
verifikaciju.

**Primer 4.** Ako bi implementacija igrice bila napisana uz ovakvu sinhronizaciju, preciznije ukloliko bi niti zaključavale promenljivu koja čuva stanje zajedničke kase u trenutku kada igrač osvoji novčić, program bi bio ispravan.

#### Lažno upozorenje

Lažno upozorenje usled apstraktne interpretacije trke za resurisima prikazuje
nedostatke ove metode kroz scenario u kom se dobija informacija o potencijalnoj
trci za resursima iako se ona nikada neće desiti. Do ovoga dolazi jer ista apstrakcija
može da odgovara različitim programima, odnosno i programu koji ima i programu
koji nema trku za resursima.

**Primer 5.** Neka je dat program koji koristi dve niti od kojih jedna vrši pisanje a
druga čitanje nad istom promenljivom, pri čemu ne koriste sinhronizaciju. Apstrakcija za takav program opisana je u kodu ispod. Za prikazanu apstrakciju analizator prijavljuje trku za resursima.


**Kôd za dve niti koje pišu i čitaju nad istom promenljivom**

In [20]:
threads = {
    "T_writer": [("x", WRITE, None)],
    "T_reader": [("x", READ,  None)],
}
print(analyze_static(threads))  # Ocekivano: ['x']  #ima trke

['x']


Za programe čije niti istovremeno pristupaju zajedničkom resursu ovakva apstrakcija detektuje nedostatak sinhronizacije.  

**Primer 6.**
Posmatrajmo sistem koji održava deljenu promenljivu $kursna\_lista$, koja sadrži važeće kurseve preuzete od Narodne banke.
Nit $T_{writer}$ periodično preuzima novu kursnu listu sa servisa Narodne banke i
upisuje je u promenljivu  $kursna\_lista$, bez postavljanja katanca prilikom upisa.
Nit $T_{reader}$ za svaki korisnički zahtev čita iz  $kursna\_lista$ odgovarajuće kurseve
(npr. EUR/RSD) radi preračuna cena.
Posledica izostanka sinhronizacije je čitanje zastarele vrednosti u koju  $T_{writer}$ upravo upisuje novu tabelu kurseva. U ovom slučaju analizator prijavljuje trku nad promenljivom  $kursna\_lista$, što je ispravno.

Za programe koji koriste niti koje, iako ne koriste sinhronizaciju putem kriticne sekcije ipak ne mogu da pristupe istovremeno zajedničkom resursu, ova apstrakcija daje lažno upozorenje. 

**Primer 7.** 
Posmatrajmo princip rada *Loader-Server* obrazca koji se često primenjuje u mikroservisima, veb servisima, demonskim procesima (eng. *deamon process* - mehanizam pokretanja procesa u pozadini se obično koristi za pokretanje procesa koji rade jako dugo, bez ikakve interakcije sa korisnikom i nazivaju se demonski procesi) itd. 
Jedna nit opslužuje potrebe *Loader*-a (učitava, validira i objavljuje konfiguraciju) i kada ova nit završi sa radom šalje READY signal drugoj niti.
Druga nit opslužuje korisnike i ima ulogu servera. 
Server ima dvostepenu inicijalizaciju:
- **Faza A (pre-konfiguracije, paralelna):** alokacija potrebnih resursa, start
metrika (pokretanje i primena sistema za merenje rada servera što podrazumeva registraciju osnovnih instrumenata - brojači, histogrami, gejdževi; praćenje
metrika runtime procesa - CPU, memorija, GC/heap, broj niti, otvoreni fajlovi), priprema keš objekata/struktura, učitavanje modula.
- **Faza B (posle READY signala):** vezivanje na port iz konfiguracije, učitavanje
TLS (engl. Transport Layer Security) materijala (privatni ključevi, sertifikati
i slično), podešavanje veličina (kao što je velična keša i broj niti (engl. *threadpool*) koji će biti korišćen), uspostavljanje konekcija sa bazom podataka, registracija ruta i politika, i nakon svega toga otvaranje za saobraćaj.

*Server* može da obavi prvi deo inicijalizacije dok *Loader* čita/parsira konfiguraciju. 
Ovakvom paralelizacijom se postiže brzina, a čekanjem na učitavanje konfiguracije se postiže bezbednost.

Uloga *Loader*-a je da obezbedi jedinstveno, konzistentno početno stanje sistema;
bez toga bi *Server* mogao da startuje sa delimičnom ili zastarelom konfiguracijom,
što vodi nedeterminističkom ponašanju i bezbednosnim rizicima. 
Zato čekanje uspostavlja jasno pravilo: čitanje konfiguracije dolazi tek nakon uspešnog učitavanja
konfiguracije.

U obe niti pristupa se promenljivoj koja čuva informacije o konfiguraciji. 
*Loader* nit piše u tu promenljivu a zatim je *Server* nit čita. 
Analizator vidi samo WRITE/READ iz različitih niti bez sinhronizacije korišćenjem kritične sekcije i zato prijavljuje trku iako je zapravo nema.

# Zaključak

U ovom radu predstavljena je apstraktna interpretacija kao efikasan metod za
statičku analizu i verifikaciju softverskih sistema.
Apstraktna interpretacija predstavlja teorijski okvir za formalno
aproksimiranje ponašanja programa, pri čemu se umesto konkretnih vrednosti koristi pojednostavljena, apstraktna reprezentacija stanja izvršavanja. 
Na taj način omogućena je analiza svih mogućih izvršavanja programa bez potrebe za njegovim
pokretanjem, što je čini pogodnom za rano otkrivanje grešaka. 

Elektronska lekcija je osmišljena tako da studentima omogući intuitivno razumevanje teorijskih koncepata statičke analize kroz interaktivne primere. 
Poseban fokus stavljen je na zadatke koji uključuju rad sa celobrojnim promenljivama i analizu konkurentnog ponašanja programa, čime se omogućava direktna primena teorije
na konkretne problemske situacije. Prikazani primeri potvrđuju da se ovom tehnikom mogu pravovremeno identifikovati potencijalne opasnosti već u ranim fazama razvoja softvera.
Apstraktna interpretacija se pokazala kao moćan i fleksibilan alat, sposoban da
analizira kako jednostavne izraze, tako i kompleksne programske strukture i obrasce
ponašanja. Njena primenljivost u oblastima poput automobilske i avio-industrije,
medicinskih uređaja i sigurnosno osetljivih sistema potvrđuje njen značaj u savremenom razvoju softvera. 