Основы функционального программирования/Доказательство свойств функций

Шаблон:ОФП Содержание

Формальная задача: пусть имеется набор функций $f = ⟨ f_{1}, \dots, f_{n} ⟩$ , определённых на областях $D = ⟨ D_{1}, \dots, D_{n} ⟩$ . Требуется доказать, что для любого набора значений $d$ имеет место некоторое свойство, то есть:

$\forall d \in D : P (f (d))$ ,

где $P$ — рассматриваемое свойство. Например:

$\forall d \in D : f (d) ⩾ 0$

$\forall d \in D : f (d) = f (f (d))$

$\forall d \in D : f (d) = f_{1} (d)$

Вводится принципиальное ограничение на рассматриваемые свойства — свойства только тотальные, то есть справедливые для всей области $D$ .

Далее рассматриваются некоторые виды областей определения $D$ .

1. $D$ — линейно упорядоченное множество.

Полуформально линейно упорядоченное множество можно определить как такое множество, для каждых элементов которого можно сказать, какой меньше (или больше), либо они равны, то есть:

$\forall d_{1}, d_{2} \in D : (d_{1} ⩾ d_{2}) \lor (d_{1} ⩽ d_{2})$ .

В качестве примера можно привести множество целых чисел. Однако линейно упорядоченные множества встречаются в мире функционального программирования очень редко. Взять хотя бы простейшую структуру, которую очень любят обрабатывать в функциональном программировании — список. Для списков уже довольно сложно определить отношение порядка.

Для доказательства свойств функций на линейно упорядоченных множествах достаточно провести индукцию по данным. То есть достаточно доказать два пункта:

$P (f (\emptyset))$ — базис индукции;
$\forall d_{1}, d_{2} \in D, d_{1} ⩽ d_{2} : P (f (d_{1}))$ — шаг индукции.

В силу того, что структуры данных редко образуют линейно упорядоченные множества, более эффективным способом оказывается применение метода индукции по построению типа $D$ .

2. $D$ — определяется как индуктивный класс

Из прошлой лекции известно, что индуктивный класс определяется через ввод базиса класса (это либо набор каких либо констант $d_{i} = 0, n \in D$ , либо набор первичных типов $A_{i} = 0, n : d \in A_{i} \Rightarrow d \in D$ . Также индуктивный класс определяется при помощи шага индукции — заданы конструкторы $g_{1}, \dots, g_{m}$ , определённые над $A_{i}$ и $D$ , и справедливо, что:

$(a_{i} \in A_{i}) \land (x_{j} \in D) \Rightarrow g_{k} (a_{i}, x_{j}) \in D, k = \overline{1, m}$ .

В этом случае доказательство свойств функций также резонно проводить в виде индукции по даным. Метод индукции по даным в этом случае также очень прост:

$P (f (d))$ необходимо доказать для базиса класса;
Шаг индукции: $P (f (d)) = P (f (g_{i} (d)))$ .

Например, для доказательства свойств функций для списков (тип $List (A)$ ), достаточно доказать рассматриваемое свойство для двух следующих случаев:

$P (f ([]))$ .
$\forall a \in D, \forall L \in List (A) : P (f (L)) \Rightarrow P (f (a : L))$ .

Доказательство свойств функций над $S$ -выражениями (тип $S-expr (A)$ ) можно проводить на основе следующей индукции:

$\forall a \in A : P (f (a))$ .
$\forall x, y \in S-expr (A) : P (f (x)) \land P (f (y)) \Rightarrow P (f (x : y))$ .

Пример 23. Доказать, что $\forall L \in List (A) : L * [] = L$ .

Для доказательства этого свойства можно использовать только определение типа $List (A)$ и самой функции $append$ (в инфиксной записи используется символ $*$ ).

$L = [] : [] * [] = [] = L$ . Базис индукции доказан.
$\forall L \in List (A) : L * [] = L$ . Теперь пусть применяется конструктор: $a : L$ . Необходимо доказать, что $(a : L) * [] = a : L$ . Это делается при помощи применения второго клоза определения функции $append$ :

$(a : L) * [] = a : (L * []) = a : (L) = a : L$ .

Пример 24. Доказать ассоциативность функции $append$ .

То есть необходимо доказать, что для любых трёх списков $L_{1}$ , $L_{2}$ и $L_{3}$ имеет место равенство $(L_{1} * L_{2}) * L_{3} = L_{1} * (L_{2} * L_{3})$ . При доказательстве индукция будет проводиться по первому операнду, то есть списку $L_{1}$ :

$L_{1} = []$ :

$([] * L_{2}) * L_{3} = (L_{2}) * L_{3} = L_{2} * L_{3}$ .

$[] * (L_{2} * L_{3}) = (L_{2} * L_{3}) = L_{2} * L_{3}$ .

Пусть для списков $L_{1}$ , $L_{2}$ и $L_{3}$ ассоциативность функции $append$ доказана. Необходимо доказать для $(a : L_{1})$ , $L_{2}$ и $L_{3}$ :

$((a : L_{1}) * L_{2}) * L_{3} = (a : (L_{1} * L_{2})) * L_{3} = a : ((L_{1} * L_{2}) * L_{3})$ .

$(a : L_{1}) * (L_{2} * L_{3}) = a : (L_{1} * (L_{2} * L_{3}))$ .

Как видно, последние два выведенных выражения равны, так как для списков $L_{1}$ , $L_{2}$ и $L_{3}$ ассоциативность полагается доказанной.

Пример 25. Доказательство тождества двух определений функции $reverse$ .

Определение 1:

$reverse [] = []$

$reverse (H : T) = (reverse T) * [H]$

Определение 2:

${reverse}^{'} L = rev L []$

$rev [] L = L$

$rev (H : T) L = rev T (H : L)$

Видно, что первое определение функции обращения списков — это обычное рекурсивное определение. Второе же определение использует аккумулятор. Требуется доказать, что:

$\forall L \in List (A) : reverse L = {reverse}^{'} L$ .

1. Базис — $L = []$ :

$reverse [] = []$ .

${reverse}^{'} [] = rev [] [] = []$ .

2. Шаг — пусть для списка $L$ тождество функций $reverse$ и ${reverse}^{'}$ доказано. Необходимо доказать его для списка $(H : L)$ .

$reverse (H : L) = (reverse L) * [H] = ({reverse}^{'} L) * [H]$ .

${reverse}^{'} (H : L) = rev (H : L) [] = rev L (H : []) = rev L [H]$ .

Теперь необходимо доказать равенство двух последних выведенных выражений для любых списков над типом $A$ . Это также делается по индукции:

2.1. Базис — $L = []$ :

$({reverse}^{'} []) * [H] = (rev [] []) * [H] = [] * [H] = [H]$ .

$rev [] [H] = [H]$ .

2.2. Шаг — $L = (A : T)$ :

$({reverse}^{'} (A : T)) * [H] = (rev (A : T) []) * [H] = (rev T (A : [])) * [H] = (rev T [A]) * [H]$ .

$rev (A : T) [H] = rev L (A : H)$ .

Здесь произошло выпадение в дурную бесконечность. Если дальше пытаться проводить доказательство по индукции для новых выведенных выражений, то эти самые выражения будут всё усложняться и усложняться. Но это не причина для того, чтобы отчаиваться, ибо доказательство всё равно можно провести. Надо просто придумать некую «индукционную гипотезу», как это было сделано в предыдущем примере.

Индукционная гипотеза: $({reverse}^{'} L_{1}) * L_{2} = rev L_{1} L_{2}$ . Эта индукционная гипотеза является обобщением выражения $({reverse}^{'} L) * [H] = rev L [H]$ .

Базис индукции для этой гипотезы очевиден. Шаг индукции в применении к выражению в пункте 2.2 выглядит следующим образом:

$({reverse}^{'} (A : T)) * L_{2} = (rev (A : T) []) * L_{2} = (rev T [A]) * L_{2} =$

$= (({reverse}^{'} T) * [A]) * L_{2} = ({reverse}^{'} T) * ([A] * L_{2}) = ({reverse}^{'} T) * (A : L_{2})$ .

$rev (A : T) L_{2} = rev T (A : L_{2}) = ({reverse}^{'} T) * (A : L_{2})$ .

Что и требовалось доказать.

Общий вывод: в общем случае для доказательства свойств функций методом индукции может потребоваться применение некоторых эвристических шагов, а именно введение индукционных гипотез. Эвристический шаг — это формулирование утверждения, которое ниоткуда не следует. Таким образом, доказательство свойств функций есть своего рода творчество.

Основы функционального программирования/Доказательство свойств функций

Навигация

Поиск