# Apstraktna interpretacija u verifikaciji softvera 

## Sadržaj
1. [Uvod](#Uvod)
2. [Teorijska osnova za apstraktnu interpetaciju](#Teorijska-osnova-za-apstraktnu-interpetaciju)
    1. [Verifikacija softvera](#Verifikacija-softvera)
    2. [Statička analiza](#Statička-analizaa)
    3. [Apstraktna interpretacija](#Apstraktna-interpretacija)
    4. [Zabranjene zone i lažna upozorenja](#Zabranjene-zone-i-lažna-upozorenja)
3. [Primena apstraktne interpretacije na proveravanje opsega dozvoljenih vrednosti promenljivih u programu](#Primena-apstraktne-interpretacije-na-proveravanje-opsega-dozvoljenih-vrednosti-promenljivih-u-programu)
    1. [Opis problema i izbor alata](#Opis-problema-i-izbor-alata)
    2. [Dizajn i implementacija](#Dizajn-i-implementacija)
    3. [Eksperimentalni rezultati](#Eksperimentalni-rezultat)
4. [Primena apstraktne interpretacije na
konkurentne programe](#Primena-apstraktne-interpretacije-na-konkurentne-programe)
    1. [Opis problema i izbor alata](#Opis-problema-i-izbor-alata)
    2. [Dizajn i implementacija](#Dizajn-i-implementacija)
    3. [Eksperimentalni rezultati](#Eksperimentalni-rezultat)
5. [Zaključak](#Zaključak)

# Uvod

Prilikom implementacije svakog softvera kreće se od ideje šta taj softver treba
da radi i na koje zahteve treba da odgovori. Zatim grupa programera treba da implementira sam softver i da se pobrine za njegovu ispravnost. Garancija ispravnosti je deo procesa razvoja softvera koji se naziva verifikacija softvera. Ona ima za cilj da utvrdi da li se softver ponaša na predviđen način, da li daje očekivane odgovore, da li postoje anomalije u ponašanju, da li dati softver zadovoljava predviđenu specifikaciju. Ovo jeste podjednako bitan deo razvoja softvera jer i najmanja greška može naneti velike štete tako da se ne sme dopustiti da softver ima propuste.


# Teorijska osnova za apstraktnu interpetaciju

### Verifikacija softvera
Verifikacija softvera može biti statička i dinamička. 
Tehnike dinamičke verifikacije softvera proveravaju njegovu ispravnost pokrećući ga, izvršavajući ga i proveravajući da li se izlaz poklapa sa odgovorom koji se očekuje na osnovu specifikacije. Dinamička verifikacija iziskuje veliku količinu resursa - zahteva više vremena i memorijskog prostora. Sa druge strane, statička verifikacija podrazumeva proveru ispravnosti programa bez njegovog izvršavanja, odnosno analizira se izvorni kod programa. To se može raditi ručnim proverama i pregledima koda ili pomoću formalnih metoda koje nastoje da automatizuju ceo proces, što nije moguće u potpunosti zbog fundamentalnih ograničenja. Odricanjem potpune preciznosti može se automatizovati ovaj proces koji u konačnom vremenu, koristeći konačne resurse, daje važne informacije o ispravnosti programa. Formalne metode opisuju kod na jeziku neke matematičke teorije. Jedna metoda iz ove grupe je apstraktna interpretacija koja se oslanja na teoriju aproksimacije.

### Statička analiza
Statička analiza predstavlja analizu koda bez njegovog pokretanja. 
Ova vrsta analize je posebno važna za ovu lekciju jer je apstraktna interpretacija upravo deo statičke analize. Ovakvo testiranje lakse prati povećavanje programa i otkriva greške u ranijim fazama.
Kako se greške mogu identifikovati u ranijim fazama, potrebno je manje napora i vremena za njihovo rešavanje i modifikovanje programa. Kako kod postaje čišći i bolji nakon statičkog testiranja, potrebno je manje napora i vremena za kreiranje i održavanje test slučajeva dobrog kvaliteta, čime se dinamičko testiranje čini efikasnijim.

### Apstraktna interpretacija
Apstraktna interpretacija je tehnika koja se koristi u verifikaciji softvera radi analize programa i otkrivanja grešaka. Ona omogućava statičku analizu programa na
visokom nivou apstrakcije, što znači da se ne uzimaju u obzir sve pojedinosti izvornog koda, već se vrši aproksimacija ponašanja programa. 

<div style="border: 1px solid black; padding: 10px;">
Bitno je proceniti koja aproksimacija sa sobom ne nosi gubitak bitnih informacija. 
</div>

Godine 1977. je francuski informatičar Patrik Kuso (fr. *Patrick Cousot*) zajedno sa svojom suprugom Radijom (fr. *Radhia Cousot*) dao osnovne ideje o primeni apstrakcije u verifikaciji softvera.

<div style="border: 1px solid black; padding: 10px;">
Osnovna ideja apstraktne interpretacije je da se program analizira na osnovu
apstrakcije domena koji predstavlja aproksimaciju vrednosti promenljivih, stanja programa ili putanja izvršavanja. Ova aproksimacija treba da omogući efikasnu
analizu i otkrivanje širokog spektra grešaka, uključujući trivijalne greške poput
deljenja nulom, ali i složenije greške poput neinicijalizovanih promenljivih ili
pristupa van granica niza.
</div>

Apstraktna interpretacija se često koristi u cilju verifikacije svojstva poput sigurnosti (eng. *safety property*). Ona omogućava analizu programa bez stvarnog izvršavanja čime se štedi vreme i resursi u odnosu na dinamičko testiranje.
Da bi se izvršila apstraktna interpretacija potrebno je definisati apstraktni domen koji opisuje aproksimaciju vrednosti i operacija nad tim vrednostima. Ovaj domen može biti jednostavan, kao što je domen celobrojnih intervala, ili složeniji, kao što je domen skupova. Detaljnije pojašnjenje domena i primeri dati su u poglavlju [**Domen i apstraktni domen**](#domen).

Ključni izazov u apstraktnoj interpretaciji je balansiranje između preciznosti i
skalabilnosti. Preciznija apstrakcija može pružiti tačnije rezultate, ali može biti i
izuzetno zahtevna za izvršavanje. S druge strane, grublja apstrakcija može biti brža,
ali može propustiti određene greške.

Da bismo bolje razumeli ključne pojmove u daljoj diskusiji o temi, u nastavku će biti objašnjeno nekoliko važnih koncepta i termina: Halting problem, semantika programskih jezika uključujući i apstraktnu semantiku, domen i apstraktni domen, zabranjene zone i lažna upozorenja.

**Halting problem**

U bukvalnom prevodu halting problem znači problem zaustavljanja a kako se
javlja u informatičkom svetu možemo naslutiti da se radi o problemu da li se neki
program završava ili ne. Ovaj problem spada u problem odluke. Problem odluke se
u teoriji izračunljivosti definiše kao problem gde na postavljeno pitanje (definisano
nekim formalnim sistemom) treba odgovoriti sa da ili ne. Primer problema odluke
je odgovoriti na pitanje *’da li x deli y’*, za dva data broja *x* i *y*. Odgovor mora biti
dat sa *’da’* ili *’ne’*, ovisno o vrednostima *x* i *y*.

Neformalno halting problem glasi:
<div style="border: 1px solid black; padding: 10px;">
Za proizvoljni računarski program i ulaz, da li se program završava ili se
beskonačno izvršava.
</div>

Ovaj problem je prvi formulirao Alan Turing 1936. godine i dokazao je da je
neodlučiv. To znači da ne postoji opšti algoritam koji može da reši problem zaustavljanja za sve moguće parove programa i ulaza.
Ovo fundamentalno ograničenje ima duboke posledice za računarsku nauku, jer
implicira da se ne može automatski u svim slučajevima utvrditi da li se neki program
zaustavlja ili ne. To je uzrok što postoje granice u procesu automatizacije provera
svojstava programa.
Većina svojstava programa mogu se svesti na halting problem.

Posledica gore navedenog je da se ne može napraviti program koji bi potpuno automatski u konačnom vremenu, koristeći konačne resurse, mogao da precizno utvrdi
ispravnost proizvoljnog programa. Zbog toga se u procesu automatizacije žrtvuje
potpuna preciznost. Kako je postavljeno ograničenje pri posmatranju da li neko
svojstvo programa važi ili ne, neophodno je vršiti aproksimacije. Prilikom pravljenja automatskih alata pravi se kompromis između preciznosti i efikasnosti. Vodi se
računa da korišćenjem aproksimacije odgovor mora biti potvrdan ako za konkretan
ulaz program daje sigurno odgovor, dok u slučaju da se program ne završava za neki
ulaz ili jednostavno ne daje odgovor, aproksimacija ne sme dati potvrdan odgovor.

**Semantika programskih jezika i apstraktna semantika**

<div style="border: 1px solid black; padding: 10px;">
Semantika programskog jezika govori šta se dešava kada se program izvršava, odnosno određuje značenje tog jezika. Konkretna semantika programa opisuje sve moguće načine na koje program može biti izvršen u svim mogućim okruženjima.
</div>
    
Na osnovu sematike programskog jezika i koda programa može se nedvosmisleno zaključiti šta program radi.

<div style="border: 1px solid black; padding: 10px;">
Apstraktna semantika je tehnika u okviru semantike programskih jezika koja pravi aproksimaciju konkretne semantike programskog jezika i koristi se za analizu programa bez stvarnog izvršavanja. Ona se oslanja na apstrakcije kako bi pojednostavila analizu programa, fokusirajući se na bitne aspekte programa dok zanemaruje manje bitne. Na taj način, apstraktna semantika omogućava analizu programa bez potrebe za svim detaljima konkretnog izvršavanja.
</div>

Svaki program ima skup ulaznih vrednosi, i za različite vrednosi se izvršava na različite načine. U programu se mogu naći pozivi raznih funkcija, grananja, petlje, uslovna izvršavanja i slično a šta će se od navedenog izvršiti, kada i na koji način zavisi od toga kako je program napisan i koje su ulazne vrednosti. Na koji način se mogu predstaviti razne putanje kojima se kreće program usled različitih izvršavanja? Izvršavanje programa može da se predstavlji kroz vreme kao promena vektora *x(t)*, koji predstavljaju vrednosti ulaznih podataka, stanja i izlaznih promenljivih programa. Krive opisuju kako se ove vrednosti menjaju u zavisnosti od vremena *t*, demonstrirajući različita izvršavanja programa u različitim okruženjima i u različitim scenarijima. Ako se izvršavanje predstavi krivom koja pokazuje promenu vektora *x(t)* vrednosti ulaznih podataka, stanja i izlaznih promenljivih programa kroz vreme *t*, konkretna semantika se može predstaviti skupom takvih krivih (primer prikazan [na slici](#semantika_slika)).

<img src="putanje.png" alt="Primer konkretne semantike predstavljene skupom krivih" id="semantika_slika"/>


<div style="border: 1px solid black; padding: 10px;">
Konkretna semantika predstavlja beskonačan matematički objekat koji nije izračunljiv: nemoguće je kreirati program koji bi mogao da predstavi i izračuna sva moguća izvršavanja za bilo koji program u svim mogućim uslovima.
</div>

Kao rezultat toga, sva složenija pitanja o konkretnoj semantici programa su
neodlučiva: nije moguće napisati program koji bi mogao odgovoriti na bilo koje
pitanje o izvršavanjima bilo kog programa.

Za pravljenje alata koji bi automatski radio verifikaciju softvera prepreku predstavlja neodlučivost i kompleksnost izračunavanja. Za prevazilaženje ovakvih prepreka koriste se razne aproksimacije. 


<a id="domen"></a>
**Domen i apstraktni domen**

Domen jednog programa se odnosi na specifično područje problema ili aplikacije
za koje je program dizajniran i razvijen. U kontekstu softverskog razvoja, domen se
odnosi na opseg vrednosti koje se očekuju kao ulaz u program. Razumevanje domena
programa je ključno za dizajn i implementaciju, jer pomaže programerima da stvore
softverska rešenja koja su prilagođena specifičnim potrebama. Dobro poznavanje
domena je neophodno i za verifikaciju kako bi se program testirao za što veći broj
mogućih ulaza, čime se smanjuje verovatnoća za eventualne propuste u dobrom
funkcionisanju programa.

<div style="border: 1px solid black; padding: 10px;">
Apstraktna interpretacija je tehnika za analizu programa koja omogućava
efikasno otkrivanje grešaka putem aproksimacije ponašanja programa na visokom
nivou apstrakcije i posebno dobro skalira na velikim programima
</div>

**Apstraktni domen**

Veliki programi imaju veliki domen i veliki skup svih mogućih izvršavanja. Prvo
treba pronaći odgovarajući apstraktni domen, a zatim apstraktnu semantiku programa, pri čemu ako dokažemo svojstvo u apstraktnom okruženju, ono mora važiti
i u konkretnim okvirima.

Za početak je potrebno shvatiti kako se traži apstraktni domen. Potrebno je
napraviti širu sliku domena i uočiti koja su to najbitnija svojstva koja treba posmatrati. U odnosu na svojstva koja se posmatraju, mogu se praviti različiti apstraktni
domeni.

Semantika svakog programa može se opisati konkretnim domenom *D<sub>c</sub>* i relacijama nad ovim domenom. Za svaki konkretni domen postoji i njegova apstrakcija - apstraktni domen *D<sub>a</sub>*. Apstraktni domen je opštiji od konkretnog, u sebi mora
sadržati sve vrednosti konkretnog domena i može se posmetrati kao opis vrednosti
konkretnog domena.

U nastavku će biti dati neki osnovni primeri koji će pomoći u sticanju intuicije
o apstraktnom domenu.

**Primer 1.** 
Neka je dat jedan ceo broj. Potrebno je odrediti znak tog broja. Kon-
kretan domen *D<sub>c</sub>* je skup celih brojeva, za njegov apstraktni domen *D<sub>a</sub>* se može
užeti skup vrednosti znakova celih brojeva, odnosno skup {+, -, 0}. Time se dolazi
do sledeće apstrakcije:
<div style="text-align: center;">
a<sub>0</sub> = {0} <br>
a<sub>+</sub> = {n | n > 0} <br>
a<sub>-</sub> = {n | n < 0} <br>
</div>

Za koje računske operacije ova apstrakcija daje odgovore?


Za množenje svakako:
Nula pomnožena sa brojem proizvoljnog znaka je nula, ako dva činioca imaju isti znak proizvod je pozitivan, inače je negativan (prikazano u tabeli ispod). Slično važi i za deljenje pri čemu treba voditi računa da deljenje sa nulom nije definisano.

<table>
  <tr>
    <td>$*$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr style="border-top:1px solid black;">
    <td>$a_0$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_0$</td>
    <td>$a_0$</td>
  </tr>
  <tr>
    <td>$a_+$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr>
    <td>$a_-$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_-$</td>
    <td>$a_+$</td>
  </tr>
</table>
<div style="text-align: center;">
Tabela za operaciju množenja
</div>

In [3]:
#Ovako izgleda kod koji implementira određivanje znaka prilikom množenja dva broja

class AbstractDomain:
    def __init__(self, value):
        if value == 0:
            self.value = '0'
        elif value > 0:
            self.value = '+'
        elif value < 0:
            self.value = '-'
        else:
            raise ValueError("Invalid value for abstract domain")

    def __repr__(self):
        return self.value

    def multiply(self, other):
        if self.value == '0' or other.value == '0':
            return AbstractDomain(0)
        elif self.value == '+' and other.value == '+':
            return AbstractDomain(1)
        elif self.value == '-' and other.value == '-':
            return AbstractDomain(1)
        elif self.value == '+' and other.value == '-':
            return AbstractDomain(-1)
        elif self.value == '-' and other.value == '+':
            return AbstractDomain(-1)
        else:
            raise ValueError("Invalid operation in abstract domain")

# Provera vrednosti iz tabele množenja može se postići narednim Python programom
a0 = AbstractDomain(0)
aplus = AbstractDomain(1)
aminus = AbstractDomain(-1)

print(f"0 × + = {a0.multiply(aplus)}")
print(f"0 × - = {a0.multiply(aminus)}")
print(f"+ × 0 = {aplus.multiply(a0)}")
print(f"- × 0 = {aminus.multiply(a0)}")
print(f"+ × + = {aplus.multiply(aplus)}")
print(f"- × - = {aminus.multiply(aminus)}")
print(f"+ × - = {aplus.multiply(aminus)}")
print(f"- × + = {aminus.multiply(aplus)}")

0 × + = 0
0 × - = 0
+ × 0 = 0
- × 0 = 0
+ × + = +
- × - = +
+ × - = -
- × + = -


Kako se određuje znak zbira/razlike brojeva proizvoljnog znaka?

Određivanje znaka za sabiranje je prikazano u tabeli ispod. Primećuje se da nije
moguće uvek odrediti kog znaka će biti zbir. Slična situacija je i sa oduzimanjem.

<table>
  <tr>
    <td>$+$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr style="border-top:1px solid black;">
    <td>$a_0$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
  </tr>
  <tr>
    <td>$a_+$</td>
    <td style="border-left:1px solid black;">$a_+$</td>
    <td>$a_+$</td>
    <td>$?$</td>
  </tr>
  <tr>
    <td>$a_-$</td>
    <td style="border-left:1px solid black;">$a_-$</td>
    <td>$?$</td>
    <td>$a_-$</td>
  </tr>
</table>
<div style="text-align: center;">
Tabela za operaciju sabiranja
</div>


Primećuje se da nije moguće uvek odrediti kog znaka će biti zbir.


<div style="border: 1px solid black; padding: 10px;">
Česta je situacija da je apstraktni domen dosta jednostavan ali ne može dati odgovore na sva pitanja.
</div>


Kakvo proširenje apstraktnog domena bi rešilo problem gubitka informacija prilikom sabiranja i oduzimanja?

Rešenje je da se apstraktni domen proširi tako da obuhvata sve moguće brojeve:
<div style="text-align: center;">
a<sub>0</sub> = {0} <br>
a<sub>+</sub> = {n | n > 0} <br>
a<sub>-</sub> = {n | n < 0} <br>
a = {n} <br>
</div>

Ovako izgleda nova tabela za sabiranje:


<table>
  <tr>
    <td>$+$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
    <td>$a$</td>
  </tr>
  <tr style="border-top:1px solid black;">
    <td>$a_0$</td>
    <td style="border-left:1px solid black;">$a_0$</td>
    <td>$a_+$</td>
    <td>$a_-$</td>
    <td>$a$</td>
  </tr>
  <tr>
    <td>$a_+$</td>
    <td style="border-left:1px solid black;">$a_+$</td>
    <td>$a_+$</td>
    <td>$a$</td>
    <td>$a$</td>
  </tr>
  <tr>
    <td>$a_-$</td>
    <td style="border-left:1px solid black;">$a_-$</td>
    <td>$a$</td>
    <td>$a_-$</td>
      <td>$a$</td>
  </tr>
  <tr>
    <td>$a$</td>
    <td style="border-left:1px solid black;">$a$</td>
    <td>$a$</td>
    <td>$a$</td>
    <td>$a$</td>
  </tr>
</table>
<div style="text-align: center;">
Proširena tabela za operaciju sabiranja
</div>

Primećuje se da *a* zapravo predstavlja gubitak informacije, odnosno situaciju u kojoj ne znamo ništa o znaku rezultata.

**Primer 2.**
Neka je dat jedan prirodan broj. Potrebno je odrediti parnost tog broja. Konkretna implementacija ovog problema mogla bi se svesti na deljenje datog broja sa dva i proveravanje ostatka pri deljenju. Apstraktna interpretacija bi ovaj problem svela na proveravanje poslednje cifre datog broja. Konkretan domen ovog problema je skup prirodnih brojeva, dok je apstraktni domen skup cifara \{0, 1, 2, 3, 4, 5, 6, 7, 8, 9\}. Primećuje se da je apstraktni domen znatno manji.
Ova aproksimacija se može posmatrati kao preslikavanje koje svaki prirodan broj slika u svoju poslednju cifru. U ovom slučaju dolazi do gubitka ostalih informacija o broju, ali ako se ispituje samo parnost broja te informacije nisu od značaja. Ono što se postiže ovakvom aproksimacijom jeste efikasnost (posmatranje poslednje cifre je u opštem slučaju efikasnije od deljenja sa dva).

**Primer 3.**

*Podsetnik: Broj je deljiv sa 3 samo ako mu je zbir cifara deljiv sa 3.*

Neka je dat jedan prirodan broj iz intervala [0, 1 000 000 000]. Potrebno je ispitati da li je dati broj deljiv sa 3. Konkretna interpretacija bi ovaj zadatak rešila tako što bi proveravala ostatak broja pri deljenju sa 3. Apstraktna interpretacija daje drugačije rešenje - proverava da li je zbir cifara datog broja deljiv sa tri. Ova aproksimacija se može posmatrati kao preslikavanje koje prirodan broj iz intervala [0, 1 000 000 000] slika u zbir svojih cifara. Konkretni domen je skup prirodnih brojeva iz navedenog intervala, dok je apstraktni domen skup brojeva iz intervala [0, 81] što je znatno manji domen.

### Zabranjene zone i lažna upozorenja

Sigurnosna svojstva programa izražavaju da ne postoji izvršavanje programa koje
može da dođe do stanja greške. U kontekstu verifikacije, zabranjene zone (*Forbidden
Zones*) predstavljaju skupove stanja koja program ne sme da dostigne. U nastavnku
se u ilustracijama zabranjene zone označavaju crvenom bojom a apstraktna seman-
tika zelenom. Ako program dospe u zabranjenu zonu znači da nije prošao verifikaciju
odnosno da postoji problem. Neki od problema mogu biti neinicijalizovane promenljive, deljenje nulom, stanja koja krše specifikacije programa (npr. negativni saldo na bankovnom računu) itd.

Posledica aproksimacije svih mogućih izvršavanja je da se razmatraju i neka
nepostojeća izvršavanja (jer se aproksimacijom uzima nadkup pravog skupa putanja izvršavanja programa), od kojih neka mogu da vode do greške koja se u stvarnosti nikada neće desiti što daje laža upozorenja.

Lažna upozorenja odgovaraju slučajevima kada apstraktna semantika preseca
zabranjenu zonu dok je konkretna semantika ne preseca. Dakle, signalizira se greška
do koje se ne može stvarno doći. To zadaje izazov da apstrakcija pokrije sva moguća
izvršavanja a da pritom ne bude prevelika kako bi se izbegla lažna upozorenja.

U nastavku su data potrebna svojstva svake apstraktne semantike i njihovi grafički prikazi:

    • nijedna eventualna greška se ne sme zaboraviti (na slikama istod prikazani su primeri izostavljenih grešaka)

<img src="error apstrakcija.png" id="zaboravljena_greska_slika1" width=70% />
<img src="error apstrakcija2.png" id="zaboravljena_greska_slika2" width=70%/>
    
    • preciznost (da bi se izbegla lažna upozorenja - primer loše preciznosti koja uzrokuje lažno upozorenje dat je na slici)
<img src="lazna upozorenja.png" id="lazna upozor" width=70%/>

    • korektnost/saglasnost (asptraktne semantike su nadskup konkretne semantike)
    • jednostavnost (asptraktne semantike trebaju biti barem dovoljno jednostavne
    da mogu da se predstave u okviru mašine - primer jednostavne, precizne i
    dovoljno apstrakne semantike dat je na slici)
<img src="dobra apstrakcija.png" id="dobra apstrakcij" width=70%/>


# Primena apstraktne interpretacije na proveravanje opsega dozvoljenih vrednosti promenljivih u programu

## Opis problema
Jedna od neželjenih situacija koja se u realnim programima dešava je da se za unete vrednosti očekuje jedan rezultat a dobija se neki drugi, naizgled nelogičan.
Slučaj kada se ovo može desiti je kada dođe do prekoračenja vrednosti. Treba imati na umu da se program izvršava na mašini koja nema beskonačnu memoriju i ne može da podrži beskonačan skup vrednosti kao što je to slučaj u matematičkom svetu gde nema potrebe razmisljati o bilo kakvim ograničenjima tog tipa. Nekada, programeri povučeni matematičkim razmišljanjem zaborave da su vrednosti u programu samo niz bitova i ne vode računa o prekoračenjima. Iskusni programeri vode računa o ovakvim situacijama tokom pisanja samog programa međutim zadatak verifikacije jeste da se pobrine o svim mogućim propustima pa tako i o prekoračenjima.

Kada je reč o prekoračenjima dva su moguća scenarija. Prvi je da dođe do *overflow* greške i tada je jasno ukazano šta je problem. Drugi je da se dobija neka neočekivana izlazna vrednost. Do toga dolazi jer se vrednost koja treba da se dobije u rezultatu zapisuje kao niz bitova koji ne moze da se smesti u predviđen memorijski prostor i dešava se da računar smesti samo bitove za koje ima dovoljno mesta a takva binarna reprezentacija u računaru predstavlja neku drugu vrednost koja nije očekivana da se dobije. Bitno je razumeti na koji način računar tumači nizove bitova. Kod označenih brojeva prvi bit je bit znaka broja (0 označava pozitivnu vrednost, 1 označava negativnu vrednost). 
Ako se koristi 16-obitnim integer njegov prvi bit je bit znaka a ostalih 15 bitova služe za zapis vrednosti broja. 
To znači da najveći broj koji se može zapisati (ako se ignoriše prvi bit za znak) ima sledeći niz bitova 111 1111 1111 1111 .

Računamo vrednost ovog broja u dekadnom sistemu: $$2^{14} + 2^{13} + 2^{12} + 2^{11} + 2^{10} + 2^9 + 2^8 + 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 + 2^0 = 32767$$

Dodavanjem nule na početak binarnog niza dobijamo +32767 što je najveća pozitivna vrednost koja se može zapisati u 16-obitnom integer-u.
Međutim, dodavanjem jedinice na početak ovog niza bitova se ne dobija matematički očekivana vrednost $$2^{15}+32767$$ niti se dobija broj suprotnog znaka od +32767 što se moglo očekivati na osnovu prethodne priče o označenim brojevima, već vrednost -1. 
Zašto -1?

Označeni brojevi se zapisuju u potpunom komplemetu - prvi je bit znaka a
ostali bitovi služe za računanje vrednosti broja. Za pozitivne brojeve je jasno kako
se dobija njihov binarni zapis - broj se predstavi kao zbir stepena dvojke:
$$a_n · 2^n + a_{n−1} · 2^{n−1} + · · · + a_2 · 2^2 + a_1 · 2^1 + a_0 · 2^0$$ gde svaki od koeficienata $a_i$ ima vrednost 0 ili 1 i to je vrednost bita na i-tom mestu u zapisu broja. Jasan je i
drugi smer koji čita binaran zapis - zanemari se bit znaka i zbirom stepena broja
dva dolazimo do vrednosti. Za negativne brojeve je to pravilo malo izmenjeno. Da
bi se dobio binaran zapis negativnog broja prvo se posmatra binarna reprezentacija
apsolutne vrednosti tog broja. Zatim svaki bit invertuje i na kraju na rezultat se
doda 1 na mestu najmanje težine.

Koji je onda zapis broja -1? Apsolutn vrednost od -1 je 1, a binaran zapis za 1 je
0000 0000 0000 00001. Kada se invertuje svaki bit dobrija se 1111 1111 1111 1110.
Kada tu vrednost binarno saberemo sa 1 dobijamo 1111 1111 1111 1111.
Uz malo razmišljanja u datom smeru može se zaključiti da ako radimo sa 16-obitnim integerima oni mogu da imaju vrednosti od -32768 do 32767.
Sada možemo preći na konkretan program u kom se javlja ovaj problem a zatim
dati apstraktnu interpretaciju koja sprečava da dodje do ulaska u zabrenjenu zonu - u ovom slučaju su to vrednosti van intervala [-32768, 32767].

## Dizajn i implementacija
Dat je jednostavan program koji koristi tri 16-obitne integer vrednosti od kojih se dve množe a zatim im se dodaje treća. Ovaj program služi kao demonstracija kako dolazi do prekoračenja i oslikava prethodnu priču od načinu zapisa broja u računaru.

In [9]:
import numpy as np
def calculate(a, b, c):
     # Koristimo numpy int16 za simulaciju 16-bitnog integera
        a = np.int16(a)
        b = np.int16(b)
        c = np.int16(c)
        
        result = a * b + c
        return result
    
a = 100
b = 10
c = 31768
    
result = calculate(a, b, c)
print("Rezultat:", result)


Rezultat: -32768


  result = a * b + c


Prvi indikator da je došlo do prekoračenja je negativan rezultat a rađeno je množenje i sabiranje tri pozitivna broja.

Neka se pretpostavlja da će vrednsot $a$ pripadati intervalu [1, 100], a $b$ intervalu [1, 10].
Koje su tada dozvoljene vrednosti za pozitivnu promenljivu $c$?
Ukoliko nema informacije u kom se intervalu vrednost $c$ kreće može se uzeti što
veći proizvoljan pozitivni interval, a zatim se povzati funkcija za proveru izabranog
apstraktnog intevarala. Ukoliko je uzet prevelik opseg vrednost ispisuje se upozoravajuća poruka da može doći do prekoračenja. U datom kodu je uzet proizvoljan
opseg koji će izazvati prekoračenje, preporuka je da u interaktivnom alatu isprobate
i druge domene za $c$.

In [1]:
class AbstractDomain:
    def __init__(self, a, b, c):
        self.a = a
        self.b = b
        self.c = c

    def check_overflow(self):
        max_a = max(self.a)
        max_b = max(self.b)
        max_c = max(self.c)

        product = max_a * max_b
        if product + max_c > 32767:
            return True
        return False

a_domain = range(1, 101)  
b_domain = range(1, 11)   
c_domain = range(1, 32769)  # [1, 31768]


abstract_domain = AbstractDomain(a_domain, b_domain, c_domain)

if abstract_domain.check_overflow():
    print("Upozorenje: Vrednost c moze uzrokovati prekoracenje!")
else:
    print("Vrednosti su bezbedne za 16-bitni integer.")


Upozorenje: Vrednost c moze uzrokovati prekoracenje!


Već je pomenuta stvar da apstraktni domen može biti dosta jednostan ali da to
može predstavljati problem jer jednostavniji domen daje manje pojedinosti te može
odgovoriti na manje pitanja i sa manjom preciznošću. U prethodnom kodu se pretpostavljalo
koje vrednosti mogu uzeti promenljive $a$ i $b$, i pretpostavljalo se da je $c$ pozitivna vrednost.
Veća apstrakcija od te je da sve tri vrednosti mogu biti bilo koji celi brojevi. Uvek je
pogodnija prva apstrakcija - zadavanje opsega za što veći broj promenljivih ali ako
nema informacija o opsezima vrednosti mora se uzeti vreći stepen apstrakcije. Jedan
takav primer je prikazan u narednom kodu. Najpre se zadaje najširi opseg vrednsoti
za sve promenljive. Pošto se primeri prekoracenja u ovom radu razmatraju na 16-obitnim integerima za sve tri promenljive opseg će biti [-32768,32767]. Promenljive $a$ i $b$ se uzimaju kao slučajni brojevi iz tog intervala pri čemu se koristi normalna (Gausova) raspodela verovatnoće sa očekivanjem 0 - to znači da je veča verovatnoća
da je slučajno izabrani broj blizu nule. Normalna raspodela je simetrična u odnosu
na očekivanje odnosno verovatnoća opada podjednako i sa leve i sa desne strane
u odnosu na nulu i time se formira zvonast oblik krive ([slika](#normalna_raspodela)).

<img src="normalnaRaspodela.png" alt="Normalna raspodela" id="normalna_raspodela"/>

Ovo je korisno koristiti kada nema informacija o tačnom opsegu vrednosti ali se može pretpostaviti da će se vrednsot naći često u okolini neke tačke (broja). U ovom kodu se normalna raspodela koristi iz čisto demonstrativnog primera kako bi se brže došlo do vrednosti koje zadovoljavaju uslove za uspešno izvršavanje operaacija nad 16-obitnim integerima. Dozvoljene vrednosti za $c$ se računaju na osnovu izabranih $a$ i $b$. Ovo znači da će se pri svakom pokretanju dobiti drugačije vrednosti promenljivih. Na ovaj način
se testira program na velikom skupu ulaznih vrednosi.


In [3]:
import numpy as np

class AbstractDomain:
    def __init__(self, a_range, b_range, c_range):
        self.a = int(np.random.normal(0, 50)) #normalna raspodela
        self.b = int(np.random.normal(0, 50)) #normalna raaspodela
        self.c = c_range

    def check_valid_range(self, value):
        return -32768 <= value <= 32767

    def check_overflow(self):
        if not (self.check_valid_range(self.a) and self.check_valid_range(self.b)):
            print(f"Vrednosti a: {self.a}, b: {self.b}")
            raise ValueError("a i b moraju biti u opsegu 16-bitnog integera")

        product = self.a * self.b
        if product > 32767 or product < -32768:
            print(f"Vrednosti a: {self.a}, b: {self.b}")
            return "Prekoracenje je moguce sa ovim vrednostima a i b"

        max_c_pos = 32767
        min_c_neg = -32768
        
        if product >= 0:
            max_c_pos = max_c_pos - product
            min_c_neg = min_c_neg + product

        else:
            max_c_pos = max_c_pos + product
            min_c_neg = min_c_neg - product

        print(f"Vrednosti a: {self.a}, b: {self.b}, c: [{min_c_neg}, {max_c_pos}]")
     
        if max_c_pos < min(self.c) or max(self.c) < min_c_neg:
            return "Vrednosti za c mogu uzrokovati prekoracenje za 16-bitni integer"
        return "Vrednosti su bezbedne za 16-bitni integer"


    
#Domeni za a, b i c
a_domain = range(-32768, 32768)
b_domain = range(-32768, 32768)
c_domain = range(-32768, 32768)

abstract_domain = AbstractDomain(a_domain, b_domain, c_domain)

print(abstract_domain.check_overflow())


Vrednosti a: 34, b: 72, c: [-30320, 30319]
Vrednosti su bezbedne za 16-bitni integer


## Eksperimentalni rezultati
Ova apstrakcija može biti korisna u analizama kao što je statička analiza programa
kako bi se otkrile potencijalne greške kao što su prekoračenja opsega brojeva ili
deljenje nulom. Mogu se koristiti razne varijacije kodova iz ovog poglavlja u zavisnosti 
od problema koji se posmatra. Korišćenje različitih raspodela verovatnoća takođe pomaže 
u smanjenju opsega vrednosti.

# Primena apstraktne interpretacije na konkurentne programe


## Opis problema
Konkurentnim programiranjem nazivamo situaciju u kojoj se više procesa izvršavaju u istom vremenskom periodu a koji imaju isti cilj. Ideja o deljenju posla kako bi se posao što pre završio je jasna, međutim u programiranju često se nailazi na prepreke prilikom deljenja posla.

Konkurentno programiranje predstavlja logičku podelu posla tj. definiše tehnike i metode koje omogućavaju da se više procesa ili niti izvršavaju naizmenično ili istovremeno u okviru jednog programa. Jedan od načina za postizanje konkurentnosti jeste korišćenje niti. Procesi predstavljaju nezavisne programe koji se izvršavaju u sopstvenom adresnom prostoru. Niti su laki procesi što znači da su to procesi koji dele adresni prostor.

Sa druge strane, kada je reč o paralelnom izvršavanju to se odnosi na fizičku, odnosno hardversku podelu posla. U tom slučaju zadatak se fizički istovremeno izvršava na više procesora ili jezgara (dakle neophodno je posedovati višeprocesorski sistem ili sistem sa više jezgara) a procesi međusobno komuniciraju preko zajedničke memorije.

Ova dva termina se često koriste zajedno, i jesu povezani ali nisu isti.

Procesi uvek mogu međusobno da komuniciraju slanjem poruka bez obzira na hardversku podršku. Komunikacija u konkurentnom programiranju je bitan koncept.

Jasno je da ovakvo rešenje donosi mnoge pogodnosti ali i nosi izazove sa sobom.
Koji se sve problemi javljaju?

1. Trke za resurse – dešavaju se kada dve ili više niti pokušavaju istovremeno da pristupe i modifikuju iste podatke. Bez adekvatne sinhronizacije, to može dovesti do nepredvidivih i nekonzistentnih rezultata.
2. Mrtve petlje - nastaju kada dve ili više niti čekaju jedna na drugu da oslobode resurse, stvarajući cikličnu zavisnost koja sprečava nastavak izvršavanja. Na primer, ako nit A drži resurs 1 i čeka na resurs 2 koji drži nit B, dok nit B čeka na resurs 1, obe niti će biti blokirane.
3. Žive petlje - slične mrtvim petljama, ali niti ne stoje u mestu već nastavljaju sa radom, konstantno menjajući svoje stanje bez postizanja korisnog rezultata. To može dovesti do stanja gde niti stalno pokušavaju da reše međusobne zavisnosti, ali bez uspeha.
4. Izgladnjivanje - pojavljuje se kada jedna ili više niti ne dobijaju pristup potrebnim resursima jer ih druge niti stalno preuzimaju. Ovo može dovesti do toga da određene niti nikada ne budu izvršene ili da izvršenje bude značajno odloženo.
5. Prioritetna inversija - dešava se kada nit sa višim prioritetom čeka na nit sa nižim prioritetom koja drži potreban resurs, a nit sa nižim prioritetom je blokirana od strane niti sa srednjim prioritetom. To može izazvati da visokoprioritetna nit bude indirektno blokirana.

Izbor alata za posmatranje i rešavanje ovakvog ili sličnog problema je bitna stvar jer može olakšati implementaciju, razumevanje i rešavanje problema. Nadalje, problem će biti dat preko Jupiter sveski koje su pogodne jer poseduju mnoge funkcionalnost koje olakšavaju implementaciju i razumevanje koda, ali su i jako dobre za prenošenje znanja jer se baziraju na interaktivnom okruženju i podržavaju kombinaciju teksta, različitih matematičkih izraza, programa (koji mogu biti pisani u raznim programskim jezicima), vizualizacije i multimedijalne elemente u okviru jednog dokumenta. Naime, Jupiter sveske su interaktivni veb-bazirani alati koji omogućavaju korisnicima da pišu i izvršavaju kod direktno u pregledaču.

## Dizajn i implemetacija
Implementacija apstraktne interpretacije za konkurentne programe je korisna za detekciju trka podataka i drugih navedenih problema u konkurentnom programiranju. Analizom ovakvih programa modeliraju se konkurentni tokovi, prati se deljenje promenljivih među konkurentnim tokovima i detektuju se potencijalne trke podataka.

Klasa **VariableAccess** čuva informacije o pristupima promenljivim (koja je nit i koji je tip pristupa).

In [7]:
class AccessType:
    READ = "READ"
    WRITE = "WRITE"

class VariableAccess:
    def __init__(self):
        self.accesses = []

    def add_access(self, thread_id, access_type):
        self.accesses.append((thread_id, access_type))

    def has_race_condition(self):
        # Detekcija trka podataka
        write_accesses = [access for access in self.accesses if access[1] == AccessType.WRITE]
        if len(write_accesses) > 1:
            return True
        read_accesses = [access for access in self.accesses if access[1] == AccessType.READ]
        if write_accesses and read_accesses:
            return True
        return False


Klasa **ParallelProgramAnalyzer** analizira paralelne tokove i detektuje trke podataka.

U okviru nje metoda **analyze_thread** dodaje pristupe promenljivama za svaku nit. 

Metoda **detect_races** proverava da li postoje trke podataka na promenljivim.

In [10]:
class ParallelProgramAnalyzer:
    def __init__(self):
        self.variable_accesses = {}

    def analyze_thread(self, thread_id, operations):
        for op in operations:
            var_name, access_type = op
            if var_name not in self.variable_accesses:
                self.variable_accesses[var_name] = VariableAccess()
            self.variable_accesses[var_name].add_access(thread_id, access_type)

    def detect_races(self):
        races = []
        for var_name, access in self.variable_accesses.items():
            if access.has_race_condition():
                races.append(var_name)
        return races

#Pokrenućemo analizu i detektujemo trke podataka.

# Definisanje paralelnih operacija
thread1_operations = [("x", AccessType.WRITE), ("y", AccessType.READ)]
thread2_operations = [("x", AccessType.READ), ("y", AccessType.WRITE)]

analyzer = ParallelProgramAnalyzer()
analyzer.analyze_thread("thread1", thread1_operations)
analyzer.analyze_thread("thread2", thread2_operations)

races = analyzer.detect_races()
if races:
    print(f"Detektovane trke podataka na promenljivim: {', '.join(races)}")
else:
    print("Nema detektovanih trka podataka.")


Detektovane trke podataka na promenljivim: x, y


Da bi pokazali realan primer upotrebe programa za detekciju trka podataka, posmatraćemo jednostavan paralelni Python program koji koristi modul threading. Cilj je da analiziramo ovaj program kako bismo detektovali potencijalne trke podataka.

In [11]:
import threading

x = 0
y = 0

def thread1():
    global x, y
    x += 1
    print(f"Thread 1: x = {x}")
    y += 1
    print(f"Thread 1: y = {y}")

def thread2():
    global x, y
    x += 2
    print(f"Thread 2: x = {x}")
    y += 2
    print(f"Thread 2: y = {y}")

t1 = threading.Thread(target=thread1)
t2 = threading.Thread(target=thread2)

t1.start()
t2.start()

t1.join()
t2.join()


Thread 1: x = 1
Thread 1: y = 1
Thread 2: x = 3
Thread 2: y = 3


In [12]:
thread1_operations = [("x", AccessType.WRITE), ("y", AccessType.WRITE)]
thread2_operations = [("x", AccessType.WRITE), ("y", AccessType.WRITE)]


In [13]:
analyzer = ParallelProgramAnalyzer()
analyzer.analyze_thread("thread1", thread1_operations)
analyzer.analyze_thread("thread2", thread2_operations)

races = analyzer.detect_races()
if races:
    print(f"Detektovane trke podataka na promenljivim: {', '.join(races)}")
else:
    print("Nema detektovanih trka podataka.")


Detektovane trke podataka na promenljivim: x, y


Ceo kod:

In [14]:
import threading

class AccessType:
    READ = "READ"
    WRITE = "WRITE"

class VariableAccess:
    def __init__(self):
        self.accesses = []

    def add_access(self, thread_id, access_type):
        self.accesses.append((thread_id, access_type))

    def has_race_condition(self):
        write_accesses = [access for access in self.accesses if access[1] == AccessType.WRITE]
        if len(write_accesses) > 1:
            return True
        read_accesses = [access for access in self.accesses if access[1] == AccessType.READ]
        if write_accesses and read_accesses:
            return True
        return False

class ParallelProgramAnalyzer:
    def __init__(self):
        self.variable_accesses = {}

    def analyze_thread(self, thread_id, operations):
        for op in operations:
            var_name, access_type = op
            if var_name not in self.variable_accesses:
                self.variable_accesses[var_name] = VariableAccess()
            self.variable_accesses[var_name].add_access(thread_id, access_type)

    def detect_races(self):
        races = []
        for var_name, access in self.variable_accesses.items():
            if access.has_race_condition():
                races.append(var_name)
        return races

# Definisanje paralelnih operacija
thread1_operations = [("x", AccessType.WRITE), ("y", AccessType.WRITE)]
thread2_operations = [("x", AccessType.WRITE), ("y", AccessType.WRITE)]

analyzer = ParallelProgramAnalyzer()
analyzer.analyze_thread("thread1", thread1_operations)
analyzer.analyze_thread("thread2", thread2_operations)

races = analyzer.detect_races()
if races:
    print(f"Detektovane trke podataka na promenljivim: {', '.join(races)}")
else:
    print("Nema detektovanih trka podataka.")

# Paralelni program
x = 0
y = 0

def thread1():
    global x, y
    x += 1
    print(f"Thread 1: x = {x}")
    y += 1
    print(f"Thread 1: y = {y}")

def thread2():
    global x, y
    x += 2
    print(f"Thread 2: x = {x}")
    y += 2
    print(f"Thread 2: y = {y}")

t1 = threading.Thread(target=thread1)
t2 = threading.Thread(target=thread2)

t1.start()
t2.start()

t1.join()
t2.join()


Detektovane trke podataka na promenljivim: x, y
Thread 1: x = 1
Thread 1: y = 1
Thread 2: x = 3
Thread 2: y = 3


## Eksperimentalni rezultati
Danas se konkurentni programi koriste kada god je to moguće kako bi se dobilo
na brzini izvršavanja programa. Pri pravljenju svakog novog softvera treba voditi
računa o tome da li mu je palalelizacija poslova potrebna i na koji način se ona
može postići. Vrši se procena koji su poslovi potpuno nezavisni i na njih se pri-
menjuje palalelizacija. Bitno je dobro definisati apstraktni domen u zavisnost od
potreba softvera. Najčešća situacija koja dovodi do nekonzistentnosti kod konku-
rentnog izvršavanja je kada ne koriste sve niti READ operaciju u isto vreme nad
istom promenljivom. U tom smislu je domen iz opisanog koda često primenljiv na
razne druge probleme. Napisan je na visokom apstraktnom nivou pa ga je lako
primeniti na specifične konkurentne programe.