如何证明这个不变量？

2024-05-19 • 问答

我的目标是证明霍纳法则是正确的。为此，我将 Horner 当前计算的值与“实数”多项式的值进行比较。
所以我做了这段代码：

package body Poly with SPARK_Mode is
   function Horner (X : Integer; A : Vector) return Integer is
      Y : Integer := 0;
      Z : Integer := 0 with Ghost;
   begin
      for I in reverse A'First .. A'Last loop
         pragma Loop_Invariant (Y * (X ** (I - A'First + 1)) = Z);
         Y := A(I) + Y * X;
         Z := Z + A(I) * (X ** (I - A'First));
      end loop;
      pragma Assert (Y = Z);
      return Y;
   end Horner;
end Poly;

这应该证明不变量。不幸的是，gnatprove 告诉我：

cannot prove  Y * (X ** (I - A'First + 1)) = Z
e.g. when A = (1 => 0,others => 0) and A'First = 0 and A'Last = 1 and I = 0 and X = 1 and Y = -1 and Z = 0

在这种情况下，Y=-1 是如何工作的？您对如何解决此问题有任何想法吗？

这里的反例是虚假的，它不对应于真正的无效执行。算法过于复杂，证明者无法得到，导致循环不变性不成立，反例不成立。

要调查这种未经证实的检查，您必须进入证明属性的“自动激活”模式，这需要将属性分解为较小的属性，直到自动证明器可以处理较小的步骤，或者您可以隔离一个您可以在引理中隔离的未经证明的基本属性，您可以单独验证。

这里我在迭代开始时为 Y 的值引入了一个幽灵变量 YY，并在越来越小的断言中分解了循环不变量，这表明问题在于求幂 (X ** (I - A 'First + 1) = X * (X ** (I - A'First)) 我也在断言中隔离：

package body Poly with SPARK_Mode is
   function Horner (X : Integer; A : Vector) return Integer is
      Y : Integer := 0;
      Z : Integer := 0 with Ghost;
      YY : Integer with Ghost;
   begin
      for I in reverse A'First .. A'Last loop
         pragma Loop_Invariant (Y * (X ** (I - A'First + 1)) = Z);
         YY := Y;
         Y := A(I) + Y * X;
         Z := Z + A(I) * (X ** (I - A'First));
         pragma Assert (Z = YY * (X ** (I - A'First + 1)) + A(I) * (X ** (I - A'First)));
         pragma Assert (X ** (I - A'First + 1) = X * (X ** (I - A'First)));
         pragma Assert (Z = YY * X * (X ** (I - A'First)) + A(I) * (X ** (I - A'First)));
         pragma Assert (Z = (YY * X + A(I)) * (X ** (I - A'First)));
         pragma Assert (Z = Y * (X ** (I - A'First)));
      end loop;
      pragma Assert (Y = Z);
      return Y;
   end Horner;
end Poly;

现在所有断言和循环不变量都使用 --level=2 与 SPARK Community 2020 一起证明。当然有些断言是不需要的，因此您可以删除它们。

如何证明这个不变量？

lnnyynv81 回答：如何证明这个不变量？

大家都在问