we added the classic substitution function

[helm.git] / helm / software / matita / library / freescale / medium_tests.ma

(**************************************************************************)
(*       ___                                                              *)
(*      ||M||                                                             *)
(*      ||A||       A project by Andrea Asperti                           *)
(*      ||T||                                                             *)
(*      ||I||       Developers:                                           *)
(*      ||T||         The HELM team.                                      *)
(*      ||A||         http://helm.cs.unibo.it                             *)
(*      \   /                                                             *)
(*       \ /        This file is distributed under the terms of the       *)
(*        v         GNU General Public License Version 2                  *)
(*                                                                        *)
(**************************************************************************)

(* ********************************************************************** *)
(*                           Progetto FreeScale                           *)
(*                                                                        *)
(* Sviluppato da:                                                         *)
(*   Cosimo Oliboni, oliboni@cs.unibo.it                                  *)
(*                                                                        *)
(* Questo materiale fa parte della tesi:                                  *)
(*   "Formalizzazione Interattiva dei Microcontroller a 8bit FreeScale"   *)
(*                                                                        *)
(*                    data ultima modifica 15/11/2007                     *)
(* ********************************************************************** *)

set "baseuri" "cic:/matita/freescale/medium_tests/".

(*include "/media/VIRTUOSO/freescale/medium_tests_tools.ma".*)
include "freescale/medium_tests_tools.ma".

(* ************************ *)
(* HCS08GB60 String Reverse *)
(* ************************ *)

(* versione ridotta, in cui non si riazzerano gli elementi di counters *)
definition dTest_HCS08_sReverse_source : word16 → (list byte8) ≝
λelems:word16.
let m ≝ HCS08 in source_to_byte8 m (
(* BEFORE: A=0x00 H:X=0x0D4B SP=0x0D4A PC=0x18E0 Z=true *)

(* static unsigned char dati[3072]={...};

   void swap(unsigned char *a, unsigned char *b)
    { unsigned char tmp=*a; *a=*b; *b=tmp; return; } *)

(* [0x18C8]    allineamento *) (compile m ? NOP maINH I) @

(* [0x18C9]       PSHX      *) (compile m ? PSHX maINH I) @
(* [0x18CA]       PSHH      *) (compile m ? PSHH maINH I) @
(* [0x18CB]       LDHX 5,SP *) (compile m ? LDHX (maSP1 〈x0,x5〉) I) @
(* [0x18CE]       LDA ,X    *) (compile m ? LDA maIX0 I) @
(* [0x18CF]       LDHX 1,SP *) (compile m ? LDHX (maSP1 〈x0,x1〉) I) @
(* [0x18D2]       PSHA      *) (compile m ? PSHA maINH I) @
(* [0x18D3]       LDA ,X    *) (compile m ? LDA maIX0 I) @
(* [0x18D4]       LDHX 6,SP *) (compile m ? LDHX (maSP1 〈x0,x6〉) I) @
(* [0x18D7]       STA ,X    *) (compile m ? STA maIX0 I) @
(* [0x18D8]       LDHX 2,SP *) (compile m ? LDHX (maSP1 〈x0,x2〉) I) @
(* [0x18DB]       PULA      *) (compile m ? PULA maINH I) @
(* [0x18DC]       STA ,X    *) (compile m ? STA maIX0 I) @
(* [0x18DD]       AIS #2    *) (compile m ? AIS (maIMM1 〈x0,x2〉) I) @
(* [0x18DF]       RTS       *) (compile m ? RTS maINH I) @

(* void main(void)
   {
   unsigned int pos=0,limit=0;
 
   for(limit=3072;pos<(limit/2);pos++)
    { swap(&dati[pos],&dati[limit-pos-1]); } *)

(* [0x18E0]       LDHX #LUNG      *) (compile m ? LDHX (maIMM2 elems) I) @
(* [0x18E3]       STHX 4,SP       *) (compile m ? STHX (maSP1 〈x0,x4〉) I) @
(* [0x18E6] 20 32 BRA *+52 ; 191A *) (compile m ? BRA (maIMM1 〈x3,x2〉) I) @
(* [0x18E8]       TSX             *) (compile m ? TSX maINH I) @
(* [0x18E9]       LDA 2,X         *) (compile m ? LDA (maIX1 〈x0,x2〉) I) @
(* [0x18EB]       ADD #0x00       *) (compile m ? ADD (maIMM1 〈x0,x0〉) I) @
(* [0x18ED]       PSHA            *) (compile m ? PSHA maINH I) @
(* [0x18EE]       LDA 1,X         *) (compile m ? LDA (maIX1 〈x0,x1〉) I) @
(* [0x18F0]       ADC #0x01       *) (compile m ? ADC (maIMM1 〈x0,x1〉) I) @
(* [0x18F2]       PSHA            *) (compile m ? PSHA maINH I) @
(* [0x18F3]       LDA 4,X         *) (compile m ? LDA (maIX1 〈x0,x4〉) I) @
(* [0x18F5]       SUB 2,X         *) (compile m ? SUB (maIX1 〈x0,x2〉) I) @
(* [0x18F7]       STA ,X          *) (compile m ? STA maIX0 I) @
(* [0x18F8]       LDA 3,X         *) (compile m ? LDA (maIX1 〈x0,x3〉) I) @
(* [0x18FA]       SBC 1,X         *) (compile m ? SBC (maIX1 〈x0,x1〉) I) @
(* [0x18FC]       PSHA            *) (compile m ? PSHA maINH I) @
(* [0x18FD]       LDX ,X          *) (compile m ? LDX maIX0 I) @
(* [0x18FE]       PULH            *) (compile m ? PULH maINH I) @
(* [0x18FF]       AIX #-1         *) (compile m ? AIX (maIMM1 〈xF,xF〉) I) @
(* [0x1901]       TXA             *) (compile m ? TXA maINH I) @
(* [0x1902]       ADD #0x00       *) (compile m ? ADD (maIMM1 〈x0,x0〉) I) @
(* [0x1904]       PSHH            *) (compile m ? PSHH maINH I) @
(* [0x1905]       TSX             *) (compile m ? TSX maINH I) @
(* [0x1906]       STA 3,X         *) (compile m ? STA (maIX1 〈x0,x3〉) I) @
(* [0x1908]       PULA            *) (compile m ? PULA maINH I) @
(* [0x1909]       ADC #0x01       *) (compile m ? ADC (maIMM1 〈x0,x1〉) I) @
(* [0x190B]       LDX 3,X         *) (compile m ? LDX (maIX1 〈x0,x3〉) I) @
(* [0x190D]       PSHA            *) (compile m ? PSHA maINH I) @
(* [0x190E]       PULH            *) (compile m ? PULH maINH I) @
(* [0x190F] AD B8 BSR *-70 ; 18C9 *) (compile m ? BSR (maIMM1 〈xB,x8〉) I) @
(* [0x1911]       AIS #2          *) (compile m ? AIS (maIMM1 〈x0,x2〉) I) @
(* [0x1913]       TSX             *) (compile m ? TSX maINH I) @
(* [0x1914]       INC 2,X         *) (compile m ? INC (maIX1 〈x0,x2〉) I) @
(* [0x1916] 26 02 BNE *+4 ; 191A  *) (compile m ? BNE (maIMM1 〈x0,x2〉) I) @
(* [0x1918]       INC 1,X         *) (compile m ? INC (maIX1 〈x0,x1〉) I) @
(* [0x191A]       TSX             *) (compile m ? TSX maINH I) @
(* [0x191B]       LDA 3,X         *) (compile m ? LDA (maIX1 〈x0,x3〉) I) @
(* [0x191D]       PSHA            *) (compile m ? PSHA maINH I) @
(* [0x191E]       PULH            *) (compile m ? PULH maINH I) @
(* [0x191F]       LSRA            *) (compile m ? LSR maINHA I) @
(* [0x1920]       TSX             *) (compile m ? TSX maINH I) @
(* [0x1921]       LDX 4,X         *) (compile m ? LDX (maIX1 〈x0,x4〉) I) @
(* [0x1923]       RORX            *) (compile m ? ROR maINHX I) @
(* [0x1924]       PSHA            *) (compile m ? PSHA maINH I) @
(* [0x1925]       PULH            *) (compile m ? PULH maINH I) @
(* [0x1926]       CPHX 2,SP       *) (compile m ? CPHX (maSP1 〈x0,x2〉) I) @
(* [0x1929] 22 BD BHI *-65 ; 18E8 *) (compile m ? BHI (maIMM1 〈xB,xD〉) I)

(* [0x192B] attraverso simulazione in CodeWarrior si puo' enunciare che dopo
            42+79*n+(n>>9) ci sara' il reverse di n byte (PARI) e
            H:X=n/2 *)
 ).

(* creazione del processore+caricamento+impostazione registri *)
definition dTest_HCS08_sReverse_status ≝
λt:memory_impl.
λHX_op:word16.
λelems:word16.
λdata:list byte8.
 set_z_flag HCS08 t (* Z<-true *)
  (setweak_sp_reg HCS08 t (* SP<-0x0D4A *)
   (setweak_indX_16_reg HCS08 t (* H:X<-HX_op *)
    (set_pc_reg HCS08 t (* PC<-0x18E0 *)
     (start_of_mcu_version
      MC9S08GB60 t
      (load_from_source_at t (* carica data in RAM:dTest_HCS08_RAM *)
       (load_from_source_at t (zero_memory t) (* carica source in ROM:dTest_HCS08_prog *)
         (dTest_HCS08_sReverse_source elems) dTest_HCS08_prog)
        data dTest_HCS08_RAM)
      (build_memory_type_of_mcu_version MC9S08GB60 t)
      (mk_byte8 x0 x0) (mk_byte8 x0 x0) (* non deterministici tutti a 0 *)
      false false false false false false) (* non deterministici tutti a 0 *)
     (mk_word16 (mk_byte8 x1 x8) (mk_byte8 xE x0)))
    HX_op)
   (mk_word16 (mk_byte8 x0 xD) (mk_byte8 x4 xA)))
  true.

(* parametrizzazione dell'enunciato del teorema *)
(* primo sbozzo: confronto esecuzione con hexdump... *)
lemma dTest_HCS08_sReverse_dump_aux ≝
λt:memory_impl.λstring:list byte8.
 (* 1) la stringa deve avere una lunghezza ∈ [0,3072] *)
 (byte8_bounded_strlen string 〈〈x0,xC〉:〈x0,x0〉〉) ∧
 (* 2) la stringa deve avere lunghezza pari *)
 ((and_b8 (w16l (byte8_strlen string)) 〈x0,x1〉) = 〈x0,x0〉) ∧
 (* 3) match di esecuzione su tempo in forma di tempo esatto *)
 (match execute HCS08 t
  (* parametri IN: t,H:X,strlen(string),string *)
  (TickOK ? (dTest_HCS08_sReverse_status t 〈〈x0,xD〉:〈x4,xB〉〉 (byte8_strlen string) string))
  (* tempo di esecuzione 25700+150*n *)
  (42+79*(byte8_strlen string)+((byte8_strlen string)/512)) with
   [ TickERR s _ ⇒ None ?
   (* azzeramento tutta RAM tranne dati *)
   | TickSUSP s _ ⇒ None ? 
   | TickOK s ⇒ Some ? (byte8_hexdump t (get_mem_desc HCS08 t s) dTest_HCS08_RAM (byte8_strlen string))
   ] =
  Some ? (byte8_reverse string)).

(* primo sbozzo: confronto esecuzione con hexdump... *)
lemma dTest_HCS08_sReverse_dump :
 dTest_HCS08_sReverse_dump_aux MEM_TREE dTest_random_32.
 unfold dTest_HCS08_sReverse_dump_aux;
 split;
 [ split; [ normalize in ⊢ (%); autobatch ] reflexivity ]
 reflexivity.
qed.

(* parametrizzazione dell'enunciato del teorema *)
(* dimostrazione senza svolgimento degli stati *)
lemma dTest_HCS08_sReverse_aux ≝
λt:memory_impl.λstring:list byte8.
 (* 1) la stringa deve avere una lunghezza ∈ [0,3072] *)
 (byte8_bounded_strlen string 〈〈x0,xC〉:〈x0,x0〉〉) ∧
 (* 2) la stringa deve avere lunghezza pari *)
 ((and_b8 (w16l (byte8_strlen string)) 〈x0,x1〉) = 〈x0,x0〉) ∧
 (* 3) match di esecuzione su tempo in forma di tempo esatto *)
 (match execute HCS08 t
  (* parametri IN: t,H:X,strlen(string),string *)
  (TickOK ? (dTest_HCS08_sReverse_status t 〈〈x0,xD〉:〈x4,xB〉〉 (byte8_strlen string) string))
  (* tempo di esecuzione 25700+150*n *)
  (42+79*(byte8_strlen string)+((byte8_strlen string)/512)) with
   [ TickERR s _ ⇒ None ?
   (* azzeramento tutta RAM tranne dati *)
   | TickSUSP s _ ⇒ None ? 
   | TickOK s ⇒ Some ? (set_mem_desc HCS08 t s (load_from_source_at t (get_mem_desc HCS08 t s) dTest_bytes 〈〈x0,xD〉:〈x0,x0〉〉))
   ] =
  Some ? (set_pc_reg HCS08 t
   (dTest_HCS08_sReverse_status t (fst ?? (shr_w16 (byte8_strlen string))) (byte8_strlen string) (byte8_reverse string)) 
   (mk_word16 (mk_byte8 x1 x9) (mk_byte8 x2 xB)))).

(* dimostrazione senza svolgimento degli stati *)
(* sembra corretta, ma non basta la memoria per arrivare in fondo con quelli grandi! *)
(* NB: sono gia' pronti dei pattern piu' impegnativi in medium_tests_tool: *)
(*     dTest_random_32/64/128/256/512/1024/2048/3072 generati con Mathematica *)
(*     ex: dTest_HCS08_sReverse_aux MEM_TREE dTest_random_3072 sarebbe gia' un bell'obbiettivo! *)
lemma dTest_HCS08_sReverse :
 dTest_HCS08_sReverse_aux MEM_TREE dTest_random_32.
 unfold dTest_HCS08_sReverse_aux;
 split;
 [ split; [ normalize in ⊢ (%); autobatch ] reflexivity ]
 reflexivity.
qed.

(* *********************** *)
(* HCS08GB60 Counting Sort *)
(* *********************** *)

(* versione ridotta, in cui non si riazzerano gli elementi di counters *)
definition dTest_HCS08_cSort_source : word16 → (list byte8) ≝
λelems:word16.
let m ≝ HCS08 in source_to_byte8 m (
(* BEFORE: A=0x00 H:X=0x0F4C SP=0x0F4B PC=0x18C8 Z=true *)

(* /* IPOTESI: INIT VARIABILI+ARRAY GIA' ESEGUITO */
   static unsigned int counters[256]={ campitura di 0 };
   static unsigned char dati[3072]={ dati random };

   void CountingSort(void)
    {
    unsigned int index=0,position=0; *)

(* /* TESI: CODICE DA ESEGUIRE

    /* calcolo del # ripetizioni degli elementi byte */
    for(;index<3072;index++)
     { counters[dati[index]]++; } *)

(* [0x18C8] 20 1D       BRA *+31;18E7 [3] *) (compile m ? BRA (maIMM1 〈x1,xD〉) I) @
(* [0x18CA] 9E FE 01    LDHX 1,SP     [5] *) (compile m ? LDHX (maSP1 〈x0,x1〉) I) @
(* [0x18CD] D6 01 00    LDA 256,X     [4] *) (compile m ? LDA (maIX2 〈〈x0,x1〉:〈x0,x0〉〉) I) @
(* [0x18D0] 48          LSLA          [1] *) (compile m ? ASL maINHA I) @
(* [0x18D1] 5F          CLRX          [1] *) (compile m ? CLR maINHX I) @
(* [0x18D2] 59          ROLX          [1] *) (compile m ? ROL maINHX I) @
(* [0x18D3] AB 00       ADD #0x00     [2] *) (compile m ? ADD (maIMM1 〈x0,x0〉) I) @
(* [0x18D5] 87          PSHA          [2] *) (compile m ? PSHA maINH I) @
(* [0x18D6] 9F          TXA           [1] *) (compile m ? TXA maINH I) @
(* [0x18D7] A9 0D       ADC #0x0D     [2] *) (compile m ? ADC (maIMM1 〈x0,xD〉) I) @
(* [0x18D9] 87          PSHA          [2] *) (compile m ? PSHA maINH I) @
(* [0x18DA] 8A          PULH          [3] *) (compile m ? PULH maINH I) @
(* [0x18DB] 88          PULX          [3] *) (compile m ? PULX maINH I) @
(* [0x18DC] 6C 01       INC 1,X       [5] *) (compile m ? INC (maIX1 〈x0,x1〉) I) @
(* [0x18DE] 26 01       BNE *+3       [3] *) (compile m ? BNE (maIMM1 〈x0,x1〉) I) @
(* [0x18E0] 7C          INC ,X        [4] *) (compile m ? INC maIX0 I) @
(* [0x18E1] 95          TSX           [2] *) (compile m ? TSX maINH I) @
(* [0x18E2] 6C 01       INC 1,X       [5] *) (compile m ? INC (maIX1 〈x0,x1〉) I) @
(* [0x18E4] 26 01       BNE *+3       [3] *) (compile m ? BNE (maIMM1 〈x0,x1〉) I) @
(* [0x18E6] 7C          INC ,X        [4] *) (compile m ? INC maIX0 I) @
(* [0x18E7] 9E FE 01    LDHX 1,SP     [5] *) (compile m ? LDHX (maSP1 〈x0,x1〉) I) @
(* [0x18EA] 65 0C 00    CPHX #0x0C00  [3] *) (compile m ? CPHX (maIMM2 elems) I) @ (* dimensione dei dati al massimo 0x0C00 *)
(* [0x18ED] 25 DB       BCS *-35;18CA [3] *) (compile m ? BCS (maIMM1 〈xD,xB〉) I) @

(* /* sovrascrittura di dati per produrre la versione ordinata */
   for(index=0;index<256;index++)
    {
    while(counters[index]--)
     { dati[position++]=index; }
    } *)

(* [0x18EF] 95          TSX          *) (compile m ? TSX maINH I) @
(* [0x18F0] 6F 01       CLR 1,X      *) (compile m ? CLR (maIX1 〈x0,x1〉) I) @
(* [0x18F2] 7F          CLR ,X       *) (compile m ? CLR maIX0 I) @
(* [0x18F3] 20 0E       BRA *+16     *) (compile m ? BRA (maIMM1 〈x0,xE〉) I) @
(* [0x18F5] 95          TSX          *) (compile m ? TSX maINH I) @
(* [0x18F6] E6 01       LDA 1,X      *) (compile m ? LDA (maIX1 〈x0,x1〉) I) @
(* [0x18F8] 9E FE 03    LDHX 3,SP    *) (compile m ? LDHX (maSP1 〈x0,x3〉) I) @
(* [0x18FB] D7 01 00    STA 256,X    *) (compile m ? STA (maIX2 〈〈x0,x1〉:〈x0,x0〉〉) I) @
(* [0x18FE] AF 01       AIX #1       *) (compile m ? AIX (maIMM1 〈x0,x1〉) I) @
(* [0x1900] 9E FF 03    STHX 3,SP    *) (compile m ? STHX (maSP1 〈x0,x3〉) I) @
(* [0x1903] 95          TSX          *) (compile m ? TSX maINH I) @
(* [0x1904] EE 01       LDX 1,X      *) (compile m ? LDX (maIX1 〈x0,x1〉) I) @
(* [0x1906] 58          LSLX         *) (compile m ? ASL maINHX I) @
(* [0x1907] 9E E6 01    LDA 1,SP     *) (compile m ? LDA (maSP1 〈x0,x1〉) I) @
(* [0x190A] 49          ROLA         *) (compile m ? ROL maINHA I) @
(* [0x190B] 87          PSHA         *) (compile m ? PSHA maINH I) @
(* [0x190C] 8A          PULH         *) (compile m ? PULH maINH I) @
(* [0x190D] 89          PSHX         *) (compile m ? PSHX maINH I) @
(* [0x190E] 9E BE 0D 00 LDHX 3328,X  *) (compile m ? LDHX (maIX2 〈〈x0,xD〉:〈x0,x0〉〉) I) @
(* [0x1912] 89          PSHX         *) (compile m ? PSHX maINH I) @
(* [0x1913] 8B          PSHH         *) (compile m ? PSHH maINH I) @
(* [0x1914] AF FF       AIX #-1      *) (compile m ? AIX (maIMM1 〈xF,xF〉) I) @
(* [0x1916] 8B          PSHH         *) (compile m ? PSHH maINH I) @
(* [0x1917] 87          PSHA         *) (compile m ? PSHA maINH I) @
(* [0x1918] 8A          PULH         *) (compile m ? PULH maINH I) @
(* [0x1919] 89          PSHX         *) (compile m ? PSHX maINH I) @
(* [0x191A] 9E EE 05    LDX 5,SP     *) (compile m ? LDX (maSP1 〈x0,x5〉) I) @
(* [0x191D] 86          PULA         *) (compile m ? PULA maINH I) @
(* [0x191E] D7 0D 01    STA 3329,X   *) (compile m ? STA (maIX2 〈〈x0,xD〉:〈x0,x1〉〉) I) @
(* [0x1921] 86          PULA         *) (compile m ? PULA maINH I) @
(* [0x1922] D7 0D 00    STA 3328,X   *) (compile m ? STA (maIX2 〈〈x0,xD〉:〈x0,x0〉〉) I) @
(* [0x1925] 8A          PULH         *) (compile m ? PULH maINH I) @
(* [0x1926] 88          PULX         *) (compile m ? PULX maINH I) @
(* [0x1927] 65 00 00    CPHX #0x0000 *) (compile m ? CPHX (maIMM2 〈〈x0,x0〉:〈x0,x0〉〉) I) @
(* [0x192A] 8A          PULH         *) (compile m ? PULH maINH I) @
(* [0x192B] 26 C8       BNE *-54     *) (compile m ? BNE (maIMM1 〈xC,x8〉) I) @
(* [0x192D] 95          TSX          *) (compile m ? TSX maINH I) @
(* [0x192E] 6C 01       INC 1,X      *) (compile m ? INC (maIX1 〈x0,x1〉) I) @
(* [0x1930] 26 01       BNE *+3      *) (compile m ? BNE (maIMM1 〈x0,x1〉) I) @
(* [0x1932] 7C          INC ,X       *) (compile m ? INC maIX0 I) @
(* [0x1933] 9E FE 01    LDHX 1,SP    *) (compile m ? LDHX (maSP1 〈x0,x1〉) I) @
(* [0x1936] 65 01 00    CPHX #0x0100 *) (compile m ? CPHX (maIMM2 〈〈x0,x1〉:〈x0,x0〉〉) I) @
(* [0x1939] 25 C8       BNE *-54     *) (compile m ? BNE (maIMM1 〈xC,x8〉) I) @
(* [0x193B] 8E                       *) (compile m ? STOP maINH I)

(* [0x193C] attraverso simulazione in CodeWarrior si puo' enunciare che dopo
            25700+150n si sara' entrati in stato STOP corrispondente con ordinamento
            di n byte, A=0xFF H:X=0x0100 *)
 ).

(* creazione del processore+caricamento+impostazione registri *)
definition dTest_HCS08_cSort_status ≝
λt:memory_impl.
λA_op:byte8.
λHX_op:word16.
λelems:word16.
λdata:list byte8.
 set_acc_8_low_reg HCS08 t (* A<-A_op *)
  (set_z_flag HCS08 t (* Z<-true *)
   (setweak_sp_reg HCS08 t (* SP<-0x0F4B *)
    (setweak_indX_16_reg HCS08 t (* H:X<-HX_op *)
     (set_pc_reg HCS08 t (* PC<-dTest_HCS08_prog *)
      (start_of_mcu_version
       MC9S08GB60 t
       (load_from_source_at t (* carica data in RAM:dTest_HCS08_RAM *)
        (load_from_source_at t (zero_memory t) (* carica source in ROM:dTest_HCS08_prog *)
          (dTest_HCS08_cSort_source elems) dTest_HCS08_prog)
         data dTest_HCS08_RAM)
       (build_memory_type_of_mcu_version MC9S08GB60 t)
       (mk_byte8 x0 x0) (mk_byte8 x0 x0) (* non deterministici tutti a 0 *)
       false false false false false false) (* non deterministici tutti a 0 *)
      dTest_HCS08_prog)
     HX_op)
    (mk_word16 (mk_byte8 x0 xF) (mk_byte8 x4 xB)))
   true)
  A_op.

(* parametrizzazione dell'enunciato del teorema parziale *)
lemma dTest_HCS08_cSort_aux ≝
λt:memory_impl.λstring:list byte8.
 (* 1) la stringa deve avere una lunghezza ∈ [0,3072] *)
 (byte8_bounded_strlen string 〈〈x0,xC〉:〈x0,x0〉〉) ∧
 (* 2) match di esecuzione su tempo in forma di upperbound *)
 (match execute HCS08 t
  (* parametri IN: t,A,H:X,strlen(string),string *)
  (TickOK ? (dTest_HCS08_cSort_status t 〈x0,x0〉 〈〈x0,xF〉:〈x4,xC〉〉 (byte8_strlen string) string))
  (* tempo di esecuzione 25700+150*n *)
  ((nat_of_word16 〈〈x6,x4〉:〈x6,x4〉〉)+(nat_of_byte8 〈x9,x6〉)*(nat_of_word16 (byte8_strlen string))) with
   [ TickERR s _ ⇒ None ?
   (* azzeramento tutta RAM tranne dati *)
   | TickSUSP s _ ⇒ Some ? (set_mem_desc HCS08 t s (load_from_source_at t (get_mem_desc HCS08 t s) dTest_bytes 〈〈x0,xD〉:〈x0,x0〉〉))
   | TickOK s ⇒ None ?
   ] =
  Some ? (set_pc_reg HCS08 t
   (dTest_HCS08_cSort_status t 〈xF,xF〉 〈〈x0,x1〉:〈x0,x0〉〉 (byte8_strlen string) (byte8_list_ordering string)) 
   (mk_word16 (mk_byte8 x1 x9) (mk_byte8 x3 xC)))).

(* dimostrazione senza svolgimento degli stati *)
(* sembra corretta, ma non basta la memoria per arrivare in fondo nemmeno col piccolo! *)
(* NB: sono gia' pronti dei pattern piu' impegnativi in medium_tests_tool: *)
(*     dTest_random_32/64/128/256/512/1024/2048/3072 generati con Mathematica *)
(*     ex: dTest_HCS08_cSort_aux MEM_TREE dTest_random_3072 sarebbe gia' un bell'obbiettivo! *)

(*
lemma dTest_HCS08_cSort :
 dTest_HCS08_cSort_aux MEM_TREE dTest_random_32.
 unfold dTest_HCS08_cSort_aux;
 split;
 [ normalize in ⊢ (%); autobatch ]
 reflexivity.
qed.
*)