Programming Languages and Logic Part 2

指称语义

已经学习了两种操作语义，这一节，我们学习新的语义模型–指称语义。指称语义意用数学函数表达程序在计算什么，以IMP为例子就是一个把store转换为另一个store的函数：给定一个store，程序输出一个最终的store。举个例子，可以把程序 $f o o := b a r + 1$ 想成一个函数，此函数接受一个store $σ$ ，输出另一个和 $σ 差不多的$ store $σ^{'}$ ，只不过 $σ^{'}$ 另外包含了foo到 $σ (b a r) + 1$ 的映射： $σ^{'} = σ [f o o \mapsto σ (b a r) + 1]$ 。程序就是store到store的函数。操作语义告诉我们程序如何运行，指称语义展示的是程序在计算什么。

IMP的指称语义

给定程序c，我们用 $C [c]$ 表示c的指称（denotation），用数学函数表示就是：

C [c] : S t o r e ⇀ S t o r e

其中 $C [c]$ 其实是个偏函数，因为既可能输入的store不是由程序的自由变量定义的，也可能程序不会终止。不终止的程序的 $C [c]$ 是未定义的，因为没有对应的store作为结果。把 $C [c]$ 应用到store $σ$ 上则写成 $C [c] σ$ ，如果用 $f$ 表示 $C [c]$ ，那 $f (σ)$ 和 $C [c]$ 意思是一样的。同时定义下面的两个函数， $A [a]$ 是算术表达式a的指称， $B [b]$ 是布尔表达式b的指称：

\begin{aligned} A [a] & : S t o r e ⇀ I n t \\ B [b] & : S t o r e ⇀ {t r u e, f a l s e} \end{aligned}

现在我们能定义IMP的的指称语义了。首先定义算术表达式的布尔表达式的指称：

\begin{aligned} A [n] = & {(σ, n)} \\ A [x] = & {(σ, σ (x))} \\ A [a_{1} + a_{2}] = & {(σ, n) | (σ, n_{1}) \in A [a_{1}] \land (σ, n_{2}) \in A [a_{2}] \land n = n_{1} + n_{2}} \\ B [t r u e] = & {(σ, t r u e)} \\ B [f a l s e] = & {(σ, f a l s e)} \\ B [a_{1} < a_{2}] = & {(σ, t r u e) | (σ, n_{1}) \in A [a_{1}] \land (σ, n_{2}) \in A [a_{2}] \land n_{1} < n_{2}} \cup \\ {(σ, f a l s e) | (σ, n_{1}) \in A [a_{1}] \land (σ, n_{2}) \in A [a_{2}] \land n_{1} \geq n_{2}} \end{aligned}

命令的指称如下：

\begin{aligned} C [s k i p] = & {(σ, σ)} \\ C [x := a] = & {(σ, σ [x \mapsto n]) | (σ, n) \in A [a])} \\ C [c_{1}; c_{2}] = & {(σ, σ^{'}) | \exists σ^{″} . ((σ, σ^{″}) \in C [c_{1}] \land (σ^{″}, σ^{'} \in C [c_{2}])} \end{aligned}

定义关系运算 $C [c_{1}; c_{2}] = C [c_{2}] \circ C [c_{1}]$ ， $\circ$ 是关系的复合运算，定义如下：

i f R_{1} \subseteq A \times b a n d R_{2} \subseteq B \times C, R_{2} \circ R_{1} \subseteq A \times C, t h e n R_{2} \circ R_{1} = {(a, c) | \exists b \in B . (a, b) \in R_{1} \land (b, c) \in R_{2} .}

如果 $C [c_{1}]$ 和 $C [c_{2}]$ 是全函数，那么 $\circ$ 则是函数复合。下面是if命令和while命令的定义：

\begin{aligned} C [i f b t h e n c_{1} e l s e c_{2}] = & {(σ, σ^{'}) | (σ, t r u e) \in B [b] \land (σ, σ^{'}) \in C [c_{1}]} \cup \\ {(σ, σ^{'}) | (σ^{'}, f a l s e) \in B [b] \land (σ, σ^{'}) \in C [c_{2}]} \\ C [w h i l e b d o c] = & {(σ, σ) | (σ, f a l s e) \in B [b]} \cup \\ {(σ, σ^{'}) | (σ, t r u e) \in B [b] \land \exists σ^{″} . ((σ, σ^{″}) \in C [c] \land (σ^{″}, σ^{'}) \in C [w h i l e b d o c])} \end{aligned}

但是只要你仔细一看，就会发现while的定义是不对的，它在自己的定义中用到了自己，这就不是一个定义了，而是一个递归等式，解决这个问题的方法就是不动点。

不动点（Fixed points）

为了解决while定义的问题，我们必须找出符合递归等式的函数。为了理解这个问题，我们先理解下面这个例子，给定函数 $f : N \to N$ :

f (x) = {\begin{cases} 0, & if x =0 \\ f (x - 1) + 2 x - 1 & otherwise \end{cases}

这不是 $f$ 的定义，而是 $f$ 满足的等式，而且这里似乎只有一个函数 $f$ 满足这个等式： $f (x) = x^{2}$ ，这个函数 $f$ 就是不动点。通常来说，给定一个递归等式，不一定有解（ $g : N \to N, g (x) = g (x) + 1$ 就没解）。

利用逐步渐近法，我们可以计算出不动点。每次计算就越来越逼近最终的答案。为了求出满足递归等式的 $f$ ，首先给定函数 $f_{0} = \emptyset$ （ $f_{0}$ 是空关系，一个定义域为空的偏函数），然后用逐步渐进法逐步计算：

\begin{aligned} f_{0} & = \emptyset \\ f_{1} & = {\begin{cases} 0, & if x =0 \\ f_{0} (x - 1) + 2 x - 1 & otherwise \end{cases} \\ = {(0, 0)} \\ f_{2} & = {\begin{cases} 0, & if x =0 \\ f_{1} (x - 1) + 2 x - 1 & otherwise \end{cases} \\ = {(0, 0), (1, 1)} \\ f_{3} & = {\begin{cases} 0, & if x =0 \\ f_{2} (x - 1) + 2 x - 1 & otherwise \end{cases} \\ = {(0, 0), (1, 1), (2, 4)} \end{aligned}

$f_{i}$ 逐步呈现出 $f (x) = x^{2}$ 。

但是数学中没有‘显然’，接下来就是给逐步渐进法建立一个数学模型：一个高阶函数F，F接受一个 $f_{k}$ ，输出下一个 $f_{k + 1}$ :

F : (N ⇀ N) \to (N ⇀ N)

其中 $(F (f)) (x) = {\begin{cases} 0, & if x =0 \\ f (x - 1) + 2 x - 1 & otherwise \end{cases}$

上述等式的一个解就是 $f = F (f)$ 。通常来说，给定函数 $F : A \to A$ ，如果 $a \in A, F (a) = a$ ，那么a就是F的不动点。于是，F的所有不动点的集合就是递归等式最终的解：

\begin{aligned} f & = f i x (F) \\ = f_{0} \cup f_{1} \cup f_{2} \cup f_{3} \cup \dots \\ = \emptyset \cup F (\emptyset) \cup F (F (\emptyset)) \cup F (F (F (\emptyset))) \cup \dots \\ = ⋃_{i \geq 0} F^{i} (\emptyset) \end{aligned}

Kleene不动点定理与IMP

让我们利用不动点重新定义IMP的while语义：

\begin{aligned} C [w h i l e b d o c] = & f i x (F) \\ F (f) = & {(σ, σ) | (σ, f a l s e) \in B [b]} \cup \\ {(σ, σ^{'}) | (σ, t r u e) \in B [b] \land \exists σ^{″} . (σ, σ^{″}) \in C [c] \land (σ^{″}, σ^{'}) \in f} \end{aligned}

但是认真的读者肯定心中已经有个疑问了：“你怎么确定不动点存在？”，是的，就像上一节所说的那样，递归等式不一定有解，不动点不一定存在。这一节就要利用Kleen不动点定理证明while命令的语义是存在不动点的。

Kleene不动点定理

D e f i n i t i o n (S c o t t 连 续) . 给 定 函 数 f : C l (X) \to C l (Y) ， 如 果 \forall x \in C l (X), \forall b \in f (x), \exists x_{0} \subseteq_{f i n} x, b \in f (x_{0})

并 且 f 是 单 调 的 a \subseteq b \Rightarrow f (a) \subseteq f (b) ， 则 说 f 是 S c o t t 连 续 的 。

D e f i n i t i o n (有 向 集 合) . 当 D 是 个 偏 序 集 合 ， 如 果 \forall x, x^{'} \in D, \exists z \in D 使 得 x \subseteq D, x^{'} \subseteq D ， 则 说 D 是 有 向 集 合 。

$b \in f (x)$ ，意思是给定x，其中x可能是由无限的元素组成的，函数接受x输出一个b；函数是连续的意思就是，其实不需要所有的x，只需要x的一个有限的子集就能同样达到输出b的效果。这就是连续的本质。为了得到函数包含有限信息的输出，只要包含有限信息的输入。有限信息的输入的每个元素的有限渐进的总和组成了输出，其实输入从有限到无限时的输出，没有一个神奇的跳跃，你在无限得到的b，其实在有限的某个时候就已经得到了。如下是证明，首先根据上文的解释翻译一下Scott连续的定义，其中D是有向集合：

f (⋃_{x \in D} x) = ⋃_{x \in D} f (x)

proof. 如要证明A=B，可以先证明 $A \subseteq B$ ，再证明 $B \subseteq A$ ：

Case $⋃_{x \in D} f (x) \subseteq f (⋃_{x \in D} x)$ ：因为 $x \subseteq ⋃_{x \in D} x$ ，根据单调性可得 $f (x) \subseteq f (⋃_{x \in D} x)$ ，又因为对所有 $x \in D$ ， $f (x)$ 都满足 $f (x) \subseteq f (⋃_{x \in D} x)$ ，所以 $⋃_{x \in D} f (x) \subseteq f (⋃_{x \in D} x)$ 。Case finished;
Case $f (⋃_{x \in D} x) \subseteq ⋃_{x \in D} f (x)$ ：假设左边的 $f (⋃_{x \in D} x)$ 的结果是b，根据上面的解释，其实只需要输入的有限子集 $x_{0}$ 就能输出b， $x_{0} \subseteq_{f i n} ⋃_{x \in D} x$ ，所以 $b \in f (x_{0})$ ，假设有一个比 $x_{0}$ 稍微大一点的z，根据单调性有 $f (x_{0}) \subseteq f (z)$ ，所以有 $b \in f (z)$ ，根据有向集合的定义，有 $z \in D$ ，所以 $f (z) \subseteq ⋃_{x \in D} f (x)$ 。Case finished，得证。

T h e o r e m (K l e e n e 不 动 点) . 给 定 S c o t t 连 续 的 函 数 f ， f 的 最 小 不 动 点 是 ⋃_{i} F^{i} (\emptyset)

proof. 设 $X = ⋃_{i} F^{i} (\emptyset)$ ，首先证明 $X$ 是 $F$ 的不动点– $F (X) = X$ ：

\begin{aligned} F (X) & = F (⋃_{i} F^{i} (\emptyset)) & By definition of X \\ = ⋃_{i} F (F^{i} (\emptyset)) & By Scott continuity \\ = ⋃_{i} F^{i + 1} (\emptyset) \\ = \emptyset \cup ⋃_{i} F^{i + 1} (\emptyset) \\ = F^{0} (\emptyset) \cup ⋃_{i} F^{i + 1} (\emptyset) \\ = ⋃_{i} F^{i} (\emptyset) \\ = X \end{aligned}

然后，我们证明 $X$ 是 $F$ 的最小不动点。假设 $Y$ 是 $F$ 的另一个不动点，我们要证明的是，对所有得i， $F^{i} (\emptyset) \subseteq Y$ 都成立。当i是0的时候， $F^{0} (\emptyset) = \emptyset \subseteq Y$ ；对剩下的，我们先假设有 $F^{i} (\emptyset) \subseteq Y$ ，由单调性可知，所以 $F (F^{i + 1} (\emptyset)) \subseteq F (Y)$ ，因为 $Y$ 是一个不动点，所以 $F (Y) = Y$ ，然后 $F^{i + 1} (\emptyset) \subseteq Y$ 。最后，所有的元素都是 $Y$ 的子集：

F^{0} \emptyset \subseteq F^{1} \emptyset \subseteq \dots

所以所有元素的并集 $X$ 也属于 $Y$ ： $X = ⋃_{i} F^{i} (\emptyset) \subseteq Y$ ，故 $X$ 是 $F$ 的最小不动点。得证。

指称语义的论证

相比操作语义，指称语义的一大好处就是，在论证等价问题的时候，只需要看程序指称的计算结果就行了，而操作语义则必须把抽象机器底层变换、衍生出的都论证清楚。

比如，要证明 $s k i p; c$ 和 $c; s k i p$ 是等价的，计算如下：

\begin{aligned} C [s k i p; c] & = {(σ, σ^{″}) | \exists σ^{'} . (σ, σ^{'}) \in C [s k i p] \land (σ^{'}, σ^{″}) \in C [c]} \\ = {(σ, σ^{″}) | (σ, σ^{″}) \in C [c]} \\ = {(σ, σ^{″}) | \exists σ^{'} . (σ, σ^{'}) \in C [c] \land (σ^{'}, σ^{″}) \in C [s k i p]} \\ = C [c; s k i p] \end{aligned}

利用偏函数，映射关系和集合，证明变得容易多了。再举个例子 $C [w h i l e f a l s e d o c]$ ，根据定义，只需证 $f i x (F)$ ，其中 $F$ 为：

\begin{aligned} F (f) = & {(σ, σ) | (σ, f a l s e) \in B [b]} \cup \\ {(σ, σ^{″}) | \exists σ^{'} . (σ, t r u e) \in B [b] \land (σ, σ^{'}) \in C [c] \land (σ^{'}, σ^{″}) \in f} \end{aligned}

由Kleene不动点定理可得 $f i x F = ⋃_{i} F^{i} (\emptyset)$ ，因为对所有的i，都有 $F^{i} (\emptyset) = {(σ, σ)}$ ，所以 $f i x F = {(σ, σ)}$ ，即 $C [s k i p]$ 。

公理语义

什么是公理语义

公理语义用逻辑规则来定义程序（操作语义模型展示程序如何运行，指称语义模型展示程序计算什么）。公理语义最初由Floyd和Hoare提出，后来由Dijkstra和Gries进一步发展。

公理语义通常用前置条件和后置条件来描述程序规则：

{P r e} c {P o s t}

其中c是程序，Pre和Post是描述程序状态的公式，通常称之为断言；这种三元逻辑又称之为部分正确规则，或者霍尔三元组，其意思如下：如果在运行c前Pre成立，而且c是能终止的，那么Post在c终止后也成立。也可以这样说，给定满足Pre的store $σ$ ，运行c并终止后，Post在输出的store $σ^{'}$ 中也成立。

前置条件和后置条件可以看成程序和用户的接口、约定，用户只需关系程序运行的结果，而不用理解程序是怎么运行的。通常，为了使程序更好维护，程序员用写注释的方法给方法、函数添加文档，特别是对那些闭源的库来说，这就是库使用者和库开发者之间的约定。

但是，谁也不能保证写在注释里的前置条件和后置条件是正确的，注释描述的是开发者的意图，而不能保证程序的正确性。公理语义解决的就是这个问题。

公理语义展示了如何描述部分正确语句以及用论证证明程序的程序性。但是，部分正确规则不能保证程序会终止，这也是它叫‘部分’的原因，而完全正确规则保证了程序在满足前置条件时一定会终止，我们用方括号表示完全正确规则：

[P r e] c [P o s t]

其意思：如果在执行c之前满足Pre，那么c会终止并且终止后满足Post。

大体上，在霍尔三元组中，前置条件指明了在运行程序前的需求，后置条件指明了程序的期望结果（如果程序会终止）。举个例子：

{f o o = 0 \land b a r = i} b a z := 0; w h i l e f o o \neq b a r d o (b a z := b a z - 2; f o o := f o o + 1) {b a z = - 2 i}

表明了如果有个store中有foo和bar，分别映射到0和i，那么如果程序终止，那么最终的store中应该包含baz到-2i的映射。注意其中i只是个逻辑需要的变量，程序中并没有i，它的作用只是表述bar的初始值，通常称这种变量为‘伪变量’（ghost variables）。

例子中的部分正确语句是正确的：给定任何满足 $σ (f o o) = 0$ 的store $σ$ ，和

C [b a z := 0; w h i l e f o o \neq b a r d o (b a z := b a z - 2; f o o := f o o + 1)] σ = σ^{'}

则 $σ^{'} (b a z) = - 2 σ (b a r)$ 。注意这只是个部分正确语句，只有程序能终止时才成立，有些初始store不能让程序终止。但下面的完全正确语句是成立的：

[b a r = 0 \land b a r = i \land i \geq 0] b a z := 0; w h i l e f o o \neq b a r d o (b a z := b a z - 2; f o o := f o o + 1) [b a z = - 2 i] .

表明了如果有个包含foo到0、bar到正整数映射的store $σ$ ，那么程序会终止，并输出最终store $σ^{'}$ ： $σ^{'} (b a z) = - 2 σ (b a r)$ 。

我们所讲的公理语义会主要集中在部分正确断言。

断言

怎么写断言？怎么描述前置条件和后置条件？
一个断言合理是什么意思？一个部分正确语句合理是什么意思？
怎么证明部分正确语句是合理的？

怎么表述前置条件或者后置条件？上面的例子中，我们已经用过了程序变量、逻辑相等、逻辑变量、逻辑合取（ $\land$ ）。能用什么直接影响到部分正确语句描述出的程序属性，对于IMP，我们用算术表达式之间的比较、逻辑操作符和量词（全部量词和部分量词）来表示断言：

\begin{aligned} i, j & \in L V a r \\ a & \in A x e p ::= x | i | n | a_{1} + a_{2} | a_{1} \\ P, Q & \in A s s n ::= t r u e | f a l s e | a_{1} < a_{2} | P_{1} \land P_{2} | P_{1} 1 \lor P_{2} | P_{1} ⟹ P_{2} | \neg P | \forall i . P | \exists i . P \end{aligned}

为了表示什么是“断言P在store $σ$ 中成立”，我们还要定义一些新东西，因为除了store，我们还需要知道逻辑变量的值，首先我们定义一个逻辑变量到整数的映射I：

I : L V a r \to I n t

接着定义方法 $A_{i} [a]$ ，它是逻辑变量的指称语义：

\begin{aligned} A_{i} [n] (σ, I) & = n \\ A_{i} [x] (σ, I) & = σ (x) \\ A_{i} [i] (σ, I) & = I (i) \\ A_{i} [a_{1} + a_{2}] (σ, I) & = A_{i} [a_{1}] (σ, I) + A_{i} [a_{2}] (σ, I) \end{aligned}

现在我们能表示断言的正确性了， $σ ⊨_{I} P$ ，意为，在I解释下，P在store $σ$ 中成立：

\begin{aligned} σ ⊨_{I} t r u e & (a l w a y s) \\ σ ⊨_{I} a_{1} < a_{2} & i f A_{i} [a_{1}] (σ, I) < A_{i} [a_{2}] (σ, I) \\ σ ⊨_{I} P_{1} \land P_{2} & i f σ ⊨_{I} P_{1} a n d σ ⊨_{I} P_{2} \\ σ ⊨_{I} P_{1} \lor P_{2} & i f σ ⊨_{I} P_{1} o r σ ⊨_{I} P_{2} \\ σ ⊨_{I} P_{1} ⟹ P_{2} & i f s ⊭_{I} P_{1} o r σ ⊨_{I} P_{2} \\ σ ⊨_{I} \neg P & i f s ⊭_{I} P \\ σ ⊨_{I} \forall i . P & i f \forall k \in I n t . σ ⊨_{I [i \mapsto k]} P \\ σ ⊨_{I} \exists i . P & i f \exists k \in I n t . σ ⊨_{I [i \mapsto k]} P \end{aligned}

定义了断言的正确性，现在我们就可以定义一个部分正确语句的正确性了：

\forall σ^{'} . i f σ ⊨_{I} P a n d C [c] σ = σ^{'} t h e n σ^{'} ⊨_{I} Q

当一个霍尔三元组是合理的（写作 $⊨ {P} c {Q}$ ），那它在所有的store和解释中都是正确的： $\forall σ, I . σ ⊨_{I} {P} c {Q}$

现在我们知道当我们说断言P成立、部分正确语句 ${P} c {Q}$ 成立是什么意思了。

霍尔逻辑

利用公理和推论，我们可以直接推导出合理的部分正确语句，而不用关心store或者程序，这些就叫做霍尔规则，由霍尔规则组成的证明系统就是霍尔逻辑：

S K I P \frac{}{{P} s k i p {P}} A S S G N \frac{}{{P [a / x]} x := a {P}}

S E Q \frac{{P} c_{1} {R} {R} c_{2} {Q}}{{P} c_{1}; c_{2} {Q}} I F \frac{{P \land b} c_{1} {Q} {P \land \neg b} c_{2} {Q}}{{P} i f b t h e n c_{1} e l s e c_{2} {Q}}

W H I L E \frac{{P \land b} c {P}}{{P} w h i l e b d o c {P \land \neg b}}

C O N S E Q U E N C E \frac{⊨ (P ⟹ P^{'}) {P^{'}} c {Q^{'}} ⊨ (Q^{'} ⟹ Q)}{{P} c {Q}}

while中的断言 $P$ 是个循环不变式，它既是前置条件又是后置条件，它在循环前后都成立，这一点在while规则的结论中也体现出来了。consequence规则加强了前置条件，弱化了后置条件。

这些霍尔逻辑组成了部分正确语句的归纳定义。当我们能为 ${P} c {Q}$ 构建一个证明树，那么就说它是霍尔逻辑的一个公理，写成 $⊢ {P} c {Q}$ 。

soundness和completeness

现在我们已经有两种断言：

合理的部分正确语句 $⊨ {P} c {Q}$ 。其在所有的store和解释中都成立。
霍尔逻辑公理 $⊢ {P} c {Q}$ 。能从霍尔逻辑的公理和推论中推导出的部分正确语句。

这两者之间有什么关系呢？首先，第一个问题，是不是每个霍尔逻辑公理都是合理的部分正确三元组呢（ $⊢ {P} c {Q} ⟹ ⊨ {P} c {Q}$ ）？答案是肯定的，霍尔逻辑是sound的，这一点很重要，这意味着我们不能推导出不成立的部分正确三元组。

第二个问题，对每个合理的断言，我们都能构造出一个霍尔逻辑吗（ $⊨ {P} c {Q} ⟹ ⊢ {P} c {Q}$ ）？这个答案也是肯定的，这就是霍尔逻辑相对完整性，由Cook在1974年证明。

例子：阶乘

{x=n ∧ n>0}
y:=1;
while x>0 do {
    y:=y*x;
    x:=x-1;
}
{y=n!}

我们会用霍尔逻辑证明上面是计算n的阶乘的程序。

要证明上面的程序，因为这是一个包含一个赋值语句和一个while语句的程序，就要利用SEQ规则，于是我们要证明下面的两个三元组：

{x = n \land n > 0} y := 1 {I} {I} w h i l e x > 0 d o {y := y * x; x := x - 1} {y = n!}

但要想利用SEQ规则，要先满足SEQ规则的分子（前提条件），也就是要先找到满足上面两个三元组的 $I$ 。首先 $I$ 需要满足在循环前后都满足，我们已经说过， $I$ 需要是个循环不变量。只看循环体可知（不要看while的条件，因为我们要找的是循环前后都满足的断言），y的值是先乘x的初始值n，再乘下一个x，也就是n-1，然后一步步累乘的结果：

y = n * (n - 1) * \dots * (x + 1)

两边同时乘x！，得到x!*y=n!，当然其中的x是正整数。于是我们得到 $I$ ：

I = x! * y = n! \land x \geq 0

要证明 $I$ 是循环不变量，即必须满足while规则的前提:

{I \land x > 0} y := y * x; x := x - 1 {I}

要证明上式，我们倒着走一遍：

{(x - 1)! * y = n! \land (x - 1) \geq 0} x := x - 1 {I}

{(x - 1)! * y * x = n! \land (x - 1) \geq 0} y := y * x {(x - 1)! * y = n! \land (x - 1) \geq 0}

又因为 $I \land x > 0 ⟹ (x - 1)! * y * x = n! \land (x - 1) \geq 0$ ，再由CONSEQUENCE规则，可得上式。现在满足了while的前提条件，终于可以使用while规则了，得到：

{I} w h i l e x > 0 d o {y := y * x; x := x - 1} {I \land x \leq 0}

剩下的只需证明 $I \land x \leq 0 ⟹ y = n!$ ：

x! * y = n! \land x \geq 0 \land x \leq 0 ⟹ y = n!

由CONSEQUENCE规则可得第二个三元组。

下面，证前一个三元组。首先，利用不需要前提条件的赋值规则： ${I [1 / y]} y := 1 {I}$ ，展开得到：

{x! * 1 = n! \land x \geq 0} y := 1 {x! * y = n! \land x \geq 0}

又因为 $x = n \land n > 0 ⟹ x! * 1 = n! \land x \geq 0$ ，再由CONSEQUENCE规则可得第一个三元组。

小结

到这里就告一段落了，写了不少，基本介绍了语义，以及证明语义属性的方法。