我是一位新的 Frama-C 用户,我正在尝试证明一个大型项目的某些属性。我看到一个特定的证明失败了,并尝试将问题减少到最小的可重现示例,以下是代码:
#include <stdlib.h>
/*@ requires (x != 0) && (y + 1 >= 1024);
*/
int f1(unsigned int x, unsigned int y) {
y = y + 1;
//@ assert (x != 0) && (y >= 1024);
return 0;
}
我使用以下命令来验证:
frama-c -wp -wp-prover=alt-ergo,z3,cvc4 a.c -kernel-warn-key annot-error=active -then -no-unicode -report
上述代码无法通过 frama-c 进行验证,并显示以下消息:
Assertion x != 0 && y >= 1024: Unproven
您能否解释一下为什么此验证失败?
我尝试手动简化原始证明并提出了上面的例子。我希望验证能够通过。我相信我可能误解了 frama-c 如何对待 C 数据类型的“y+1”,而不是像 Int 这样的纯数学数据类型。
编辑:
以下代码验证成功(我只是将变量类型从无符号更改为有符号):
#include <stdlib.h>
/*@ requires (x != 0) && (y + 1 >= 1024);
*/
int f1(int x, int y) {
y = y + 1;
//@ assert (x != 0) && (y >= 1024);
return 0;
}
编辑2: 版本: Frama-C:27.1(钴) 另类:2.4.3 CVC4:1.6 Z3:4.12.2
编辑3:
我也在frama-c 28.1版本中尝试过,但仍然失败。
主要问题是 ACSL 中的
y + 1y+1y+1>=1024requiresy>=1024y=y+1UINT_MAXfy == 0requiresy+1 <= UINT_MAX + 1关于
int-wp-rte类似地,如果将选项
-warn-unsigned-overflowunsigned-wp-rte-no-warn-signed-overflowsignedunsigned总而言之,如果我们使用以下 C 文件
t.cframa-c#include<limits.h>
/*@ requires (x != 0) && (y + 1 >= 1024);
#ifdef ACSL_NO_OVERFLOW
requires no_overflow: y + 1 <= UINT_MAX;
#endif
*/
int f1(unsigned int x, unsigned int y) {
y = y + 1;
//@ assert (x != 0) && (y >= 1024);
return 0;
}
/*@ requires (x != 0) && (y + 1 >= 1024);
#ifdef ACSL_NO_OVERFLOW
requires no_overflow: y + 1 <= INT_MAX;
#endif
*/
int f2(int x, int y) {
y = y + 1;
//@ assert (x != 0) && (y >= 1024);
return 0;
}
| frama-c命令 | 已证实的目标 |
|---|---|
| frama-c -wp t.c | 5/6 |
| frama-c -wp t.c -wp-rte | 5/7 |
| frama-c -wp t.c -wp-rte -cpp-extra-args =“-DACSL_NO_OVERFLOW” | 7/7 |
| frama-c -wp t.c -警告无符号溢出 | 6/6 |
| frama-c -wp t.c -警告无符号溢出-wp-rte | 6/8 |
| frama-c -wp t.c -无警告签名溢出 | 4/6 |
| frama-c -wp t.c -无警告签名溢出-wp-rte | 4/6 |
| frama-c -wp t.c -warn-unsigned-overflow -wp-rte -cpp-extra-args =“-DACSL_NO_OVERFLOW” | 8/8 |
| frama-c -wp t.c -no-warn-signed-overflow -wp-rte -cpp-extra-args =“-DACSL_NO_OVERFLOW” | 6/6 |