Согласно Автоматизация индукции с помощью SMT Solver на Dafny должно работать следующее:
ghost method AdjacentImpliesTransitive(s: seq<int>)
requires ∀ i • 1 ≤ i < |s| ==> s[i-1] ≤ s[i];
ensures ∀ i,j {:induction j} • 0 ≤ i < j < |s| ==> s[i] ≤ s[j];
{ }
Но Дафни его отвергает (по крайней мере, у меня на рабочем столе и в Дафни онлайн). Может быть, что-то изменилось.
Вопросы:
Q1. Почему?
Q2. Действительно ли необходима индукция по j или по i и j? Я думаю, что индукции по длине seq должно быть достаточно.
Во всяком случае, меня больше интересует следующее: я хочу доказать это с помощью ручной индукции для обучения. На бумаге я думаю, что индукции по длине последовательности достаточно. Теперь я пытаюсь сделать это на Дафни:
lemma {:induction false} AdjacentImpliesTransitive(s: seq<int>)
ensures forall i :: 0 <= i <= |s|-2 ==> s[i] <= s[i+1] ==> forall l, r :: 0 <= l < r <= |s|-1 ==> s[l] <= s[r]
decreases s
{
if |s| == 0
{
//explicit calc proof, not neccesary
calc {
(forall i :: 0 <= i <= 0-2 ==> s[i] <= s[i+1]) ==> (forall l, r :: 0 <= l < r <= 0-1 ==> s[l] <= s[r]);
==
(forall i :: false ==> s[i] <= s[i+1]) ==> (forall l, r :: false ==> s[l] <= s[r]);
==
true ==> true;
==
true;
}
}
else if |s| == 1
{
//trivial for dafny
}
else {
AdjacentImpliesTransitive(s[..|s|-1]);
assert (forall i :: 0 <= i <= |s|-3 ==> s[i] <= s[i+1]) ==> (forall l, r :: 0 <= l < r <= |s|-2 ==> s[l] <= s[r]);
//What??
}
}
Я застрял на последнем случае. Я не знаю, как совместить расчетный стиль доказательства (как в базовом случае) с индуктивной аферой.
Может быть, это следствие, которое сложно. На бумаге («неформальное» доказательство), когда нам нужно доказать импликацию p(n) ==> q(n) по индукции, у нас было что-то вроде:
Хип: p(k-1) ==> q(k-1)
Тесис: p(k) ==> q(k)
Но тогда это доказывает:
(p(k-1) ==> q(k-1) && p(k)) ==> q(k)
Q3. Имеет ли смысл мой подход? Как мы можем сделать такую индукцию в dafny?
