[Coq] How to Find Unreachable Nodes

不正な状態遷移を見つけるアルゴリズム @ kencobaの日記経由。

答えを出すだけならこんなのでもOK?　元の問題の規模が判らないが、この程度に小さな問題なら auto で探索出来る。

Axiom O A B C D E F G H I:Prop.
Axiom OA : O -> A.
Axiom AB : A -> B.
Axiom BC : B -> C.
Axiom CB : C -> B.
Axiom CA : C -> A.
Axiom DB : D -> B.
Axiom DH : D -> H.
Axiom HD : D -> H.
Axiom EF : E -> F.
Axiom FG : F -> G.
Axiom GF : G -> F.
Axiom GE : G -> E.
Axiom II : I -> I.

Hint Resolve OA AB BC CB CA DB DH HD EF FG GF GE II.

Goal O -> A. info auto. Qed.
Goal O -> B. info auto. Qed.
Goal O -> C. info auto. Qed.

Goal O -> D.などはauto.で証明出来ないので、path が無いと判る。

[Coq] Coq Advent Calender : reflexivity (25 of 25)

　Coq でよく使われる tactic の紹介も今回で最後。最終回は reflexivity を紹介します。

　reflexivity はゴールが等式で、左辺と右辺の値が等しい時に使います。内容的には apply refl_equal. と同じです。refl_equal はこんな公理。

Inductive eq (A : Type) (x : A) : A -> Prop :=  refl_equal : x = x

　左辺と右辺が全く同じ形をしていないと等式は成り立ちません（が、reflexivity は内部的に simpl を実行しているので simpl で簡単化して等しくなる物は成立します）。

　ところで、同じ形というのはどこまで同じならば = が成り立つかというのは良く解らないので色々試してみました。

Coq < Definition f : nat -> nat := fun x => x.
Coq < Definition h : nat -> nat := fun y => y .
Coq < Goal f = h.
1 subgoal
  
  ============================
   f = h

Unnamed_thm < simpl.
1 subgoal
  
  ============================
   f = h

Unnamed_thm < unfold f.
1 subgoal
  
  ============================
   (fun x : nat => x) = h

Unnamed_thm < unfold h.
1 subgoal
  
  ============================
   (fun x : nat => x) = (fun y : nat => y)

Unnamed_thm < reflexivity.
Proof completed.

Unnamed_thm < Qed.

　これを見ると、(fun x : nat => x) = (fun y : nat => y) は成立するようです。同様に、

Coq < Goal forall P:nat->Prop, (forall n, P n) = (forall m, P m).
Unnamed_thm0 < intros P.
Unnamed_thm0 < reflexivity.
Proof completed.

　これを見ると、(forall n : nat, P n) = (forall m : nat, P m) も成立。

　上記の f, h の場合はreflexivityで等しい事が示せましたが、一般には関数が等しい事を reflexivity で証明する事は出来ません。　
　f, g : nat -> nat について、f = g ⇔ ∀n:nat, f n = g n. を以て等しいとする場合は、こんな感じで証明します。

Coq < Definition f : nat -> nat := fun x => x.

Coq < Fixpoint g(x:nat):nat :=
Coq < match x with
Coq < | O => O
Coq < | S n' => S (g n')
Coq < end.

Coq < Require Import Logic.FunctionalExtensionality.

Coq < Lemma Sample_of_reflexivity : f = g.
1 subgoal
  
  ============================
   f = g

Sample_of_reflexivity < extensionality n.
1 subgoal
  
  n : nat
  ============================
   f n = g n

Sample_of_reflexivity < unfold f.
1 subgoal
  
  n : nat
  ============================
   n = g n

Sample_of_reflexivity < induction n.
2 subgoals
  
  ============================
   0 = g 0

subgoal 2 is:
 S n = g (S n)

Sample_of_reflexivity < reflexivity.
1 subgoal
  
  n : nat
  IHn : n = g n
  ============================
   S n = g (S n)

Sample_of_reflexivity < simpl.
1 subgoal
  
  n : nat
  IHn : n = g n
  ============================
   S n = S (g n)

Sample_of_reflexivity < rewrite <- IHn.
1 subgoal
  
  n : nat
  IHn : n = g n
  ============================
   S n = S n

Sample_of_reflexivity < reflexivity.
Proof completed.

Sample_of_reflexivity < Qed.

　他にも、= を同値関係を以て定義する場合は Setoid というものを使って考える（Coqの型理論には集合論の商集合が無いので、代わりに = を同値関係で置き換えた物を使う）とか有るらしいのですが、そっちはちょっと調べきれませんでした。

ーーーーー

★後書き★

　Coq Advent Calender を始めるにあたっては、Coq Partyでのmaeda_さんの発表に有った「tactic使用例が有ると嬉しい」と「coqでの人気tactic」という話題からネタを頂きました。
　25個もあると自分では使った事の無いtacticとかもあって結構使い方を調べたり、あるいは適当な証明課題を探したりなど、それなりに大変で、何度か挫けそうになりましたがなんとか最後まで書けて良かったです。
　Coq を学ぶ人の参考になると良いなぁ。

[Coq] Coq Advent Calender : exact (24 of 25)

　Coq でよく使われる tactic の24番目は exact です。

　現在のゴールが、仮定のどれか、あるいは既存の定理にマッチする時に exact H?. とか exact my_theorem. とかするとゴールが証明されます。前者の場合は assumption. で済みますし、exact ではなく apply でもOKなんで、無理に使う必要は無いですが、ゴールと同じ物があったという意図を多少は示せるのかも。

　exact を使って書いてみました。

Coq < Lemma Sample_of_exact : forall n m, n + m = m + n.
1 subgoal
  
  ============================
   forall n m : nat, n + m = m + n

Sample_of_exact < intros.
1 subgoal
  
  n : nat
  m : nat
  ============================
   n + m = m + n

Sample_of_exact < induction n.
2 subgoals
  
  m : nat
  ============================
   0 + m = m + 0

subgoal 2 is:
 S n + m = m + S n

Sample_of_exact < simpl.
2 subgoals
  
  m : nat
  ============================
   m = m + 0

subgoal 2 is:
 S n + m = m + S n

Sample_of_exact < exact (plus_n_O m).
1 subgoal
  
  n : nat
  m : nat
  IHn : n + m = m + n
  ============================
   S n + m = m + S n

Sample_of_exact < simpl.
1 subgoal
  
  n : nat
  m : nat
  IHn : n + m = m + n
  ============================
   S (n + m) = m + S n

Sample_of_exact < rewrite IHn. 
1 subgoal
  
  n : nat
  m : nat
  IHn : n + m = m + n
  ============================
   S (m + n) = m + S n

Sample_of_exact < exact (plus_n_Sm m n).
Proof completed.

Sample_of_exact < Qed.

[Link] Formal Methods Forum

　東京でほぼ毎月開催している形式手法の勉強会、Formal Methods Forum ですが、FMFのGoogle groupに登録して頂くと開催案内や開催日程相談のメールが配信されます。
　ATNDで告知しているのですが、Google groupに登録して頂いた方がより確実だと思います。

　活動内容ですが11月分についてはkencobaさんの日記なんかも参考にして頂けるといいかと。

[Coq] Coq Advent Calender : specialize (23 of 25)

　Coq でよく使われる tactic の23番目は specialize です。

　公理とかライブラリにある定理とか証明済み補題とかに特定の引数を適用した物を仮定に使いたい事があります。forall n, P n. みたいな補題Lのnに特定の値 n0 を代入した P n0 が仮定にあると良いなぁ、とか。
　勿論、assert(H:P n0)とかcut (P n0)とか書いても良いのですが、specialize (L n0). と書けば cut (P n0)してapply (L n0) するのと同じになり、証明が短く判りやすくなります。

replaceの説明の時と同じ定理を、replaceを使わず、specializeとrewriteを使って証明してみます。証明の前提と成る公理は replace の回を参照して下さい。

Coq < Theorem inv_r : forall a:G, a * (inv a) = 1.
1 subgoal
  
  ============================
   forall a : G, a * inv a = 1

inv_r < intros.
1 subgoal
  
  a : G
  ============================
   a * inv a = 1

inv_r < specialize (id_l (a * inv a)).
1 subgoal
  
  a : G
  ============================
   1 * (a * inv a) = a * inv a -> a * inv a = 1

specializeすると、公理 id_l に (a * inv a) を適用した物が得られますので、intro して書き換えて消去します。あとは同様に。

inv_r < intro H; rewrite <- H; clear H.
1 subgoal
  
  a : G
  ============================
   1 * (a * inv a) = 1

inv_r < specialize (inv_l (inv a)); intro H; rewrite <- H; clear H.
1 subgoal
  
  a : G
  ============================
   inv (inv a) * inv a * (a * inv a) = inv (inv a) * inv a

inv_r < specialize (assoc (inv (inv a)) (inv a) (a * inv a)); intro H; rewrite H; clear H.
1 subgoal
  
  a : G
  ============================
   inv (inv a) * (inv a * (a * inv a)) = inv (inv a) * inv a

inv_r < specialize (assoc (inv a) a (inv a)); intro H; rewrite <- H; clear H.
1 subgoal
  
  a : G
  ============================
   inv (inv a) * (inv a * a * inv a) = inv (inv a) * inv a

inv_r < specialize (inv_l a); intro H; rewrite H; clear H.
1 subgoal
  
  a : G
  ============================
   inv (inv a) * (1 * inv a) = inv (inv a) * inv a

inv_r < specialize (id_l (inv a)); intro H; rewrite H; clear H.
1 subgoal
  
  a : G
  ============================
   inv (inv a) * inv a = inv (inv a) * inv a

inv_r < reflexivity.
Proof completed.

inv_r < Qed.

[Coq] Coq Advent Calender : left, right (21,22 of 25)

　Coqでよく使われる tactic の21,22番目は left と right です。
　最初に25個と決めて、でもよく考えると12/24で終了すべき。都合が良いのでここで２つ紹介して帳尻を合わせます。

　left は constructor 1 、right は constructor 2 の意味で、実は goal が A \/ B の場合に限らず、コンストラクタが２通りあってどちらかを明示的に指定したい時に使えます。
　大抵そういう場合は左右と対応している訳ですが、例えば nat とかも left が O を指すはず。同様に n:nat に対して destruct n ではなく split とかも使えるはず。単に他人に判りにくいだけですが。

　今回は sumbool について left, right を使う例です。やはり左右に対応しています。

Coq < Lemma Sample_of_left_right : forall n:nat, {n = 0} + {n <> 0}.
1 subgoal
  
  ============================
   forall n : nat, {n = 0} + {n <> 0}

Sample_of_left_right < induction n.
2 subgoals
  
  ============================
   {0 = 0} + {0 <> 0}

subgoal 2 is:
 {S n = 0} + {S n <> 0}

Sample_of_left_right < left.
2 subgoals
  
  ============================
   0 = 0

subgoal 2 is:
 {S n = 0} + {S n <> 0}

Sample_of_left_right < reflexivity.
1 subgoal
  
  n : nat
  IHn : {n = 0} + {n <> 0}
  ============================
   {S n = 0} + {S n <> 0}

Sample_of_left_right < right.
1 subgoal
  
  n : nat
  IHn : {n = 0} + {n <> 0}
  ============================
   S n <> 0

Sample_of_left_right < intro.
1 subgoal
  
  n : nat
  IHn : {n = 0} + {n <> 0}
  H : S n = 0
  ============================
   False

Sample_of_left_right < inversion H.
Proof completed.

Sample_of_left_right < Qed.

[Coq] Coq Advent Calender : generalize (20 of 25)

　Coqでよく使われる tactic の20番目は generalize です。

　generalize は intro の逆で、具体的な値の term を、"forall t" のような形に戻します。
　簡単な使用例は下記の様なものです。

Coq < Lemma sample_of_generalize : forall x y, 0 <= x + y + y.
1 subgoal
  
  ============================
   forall x y : nat, 0 <= x + y + y

sample_of_generalize < intros.
1 subgoal
  
  x : nat
  y : nat
  ============================
   0 <= x + y + y

sample_of_generalize < generalize (x + y + y).
1 subgoal
  
  x : nat
  y : nat
  ============================
   forall n : nat, 0 <= n

sample_of_generalize < Require Import Arith.Le.

sample_of_generalize < apply le_O_n.
Proof completed.

sample_of_generalize < Qed.

　単純に generalize で戻せない場合は、generalize dependent t のような形で使います。例えば下記の証明（TAPLの練習問題の証明）で使っています。よほど明らかな場合以外は、generalize dependentの形で使う事が多い様に思います。
　まず証明の前提の定義を幾つか。

Inductive term : Set :=
| TmTrue : term
| TmFalse : term
| TmIf : term -> term -> term -> term
| TmZero : term
| TmSucc : term -> term
| TmPred : term -> term
| TmIszero : term -> term.

Inductive nvalue : term -> Prop :=
| NvZero : nvalue TmZero
| NvSucc : forall t, nvalue t -> nvalue (TmSucc t).

Inductive bvalue : term -> Prop :=
| BvTrue : bvalue TmTrue
| BvFalse : bvalue TmFalse.

Definition value(t:term) : Prop := bvalue t \/ nvalue t.

Inductive eval : term -> term -> Prop :=
| EvIfTrue : forall t2 t3, eval (TmIf TmTrue t2 t3) t2
| EvIfFalse : forall t2 t3, eval (TmIf TmFalse t2 t3) t3
| EvIf : forall t1 t1' t2 t3, eval t1 t1' -> eval (TmIf t1 t2 t3) (TmIf t1' t2 t3)
| EvSucc : forall t1 t1', eval t1 t1' -> eval (TmSucc t1) (TmSucc t1')
| EvPred : forall t1 t1', eval t1 t1' -> eval (TmPred t1) (TmPred t1')
| EvPredZero : eval (TmPred TmZero) TmZero
| EvPredSucc : forall nv, nvalue nv -> eval (TmPred (TmSucc nv)) nv
| EvIszeroZero : eval (TmIszero TmZero) TmTrue
| EvIszeroSucc : forall nv, nvalue nv -> eval (TmIszero (TmSucc nv)) TmFalse
| EvIszero : forall t1 t1', eval t1 t1' -> eval (TmIszero t1) (TmIszero t1').

Notation "t1 --> t2" := (eval t1 t2) (at level 80, no associativity).

Definition normal_form (t : term) : Prop := ~ exists t', eval t t'.

　ここで下記の定理を証明します。intros を下記の様にすると予めdestructした形で intros 可能です。

Coq < Lemma value_is_normal_form : forall v, value v -> normal_form v.
1 subgoal
  
  ============================
   forall v : term, value v -> normal_form v

value_is_normal_form < intros v [bv|nv] [t vEt].
2 subgoals
  
  v : term
  bv : bvalue v
  t : term
  vEt : v --> t
  ============================
   False

subgoal 2 is:
 False

value_is_normal_form < destruct bv; inversion vEt.
1 subgoal
  
  v : term
  nv : nvalue v
  t : term
  vEt : v --> t
  ============================
   False

ここで t をgeneralize dependentします。（generalize t だと、forall t:term, にならずうまくいかない。）

value_is_normal_form < generalize dependent t.
1 subgoal
  
  v : term
  nv : nvalue v
  ============================
   forall t : term, v --> t -> False

value_is_normal_form < induction nv.
2 subgoals
  
  ============================
   forall t : term, TmZero --> t -> False

subgoal 2 is:
 forall t0 : term, TmSucc t --> t0 -> False

value_is_normal_form < intros t zEt.                
2 subgoals
  
  t : term
  zEt : TmZero --> t
  ============================
   False

subgoal 2 is:
 forall t0 : term, TmSucc t --> t0 -> False

value_is_normal_form < inversion zEt.
1 subgoal
  
  t : term
  nv : nvalue t
  IHnv : forall t0 : term, t --> t0 -> False
  ============================
   forall t0 : term, TmSucc t --> t0 -> False

value_is_normal_form < intros t0 stEt0.
1 subgoal
  
  t : term
  nv : nvalue t
  IHnv : forall t0 : term, t --> t0 -> False
  t0 : term
  stEt0 : TmSucc t --> t0
  ============================
   False

value_is_normal_form < inversion stEt0.
1 subgoal
  
  t : term
  nv : nvalue t
  IHnv : forall t0 : term, t --> t0 -> False
  t0 : term
  stEt0 : TmSucc t --> t0
  t1 : term
  t1' : term
  H0 : t --> t1'
  H : t1 = t
  H1 : TmSucc t1' = t0
  ============================
   False

value_is_normal_form < elim (IHnv t1').
1 subgoal
  
  t : term
  nv : nvalue t
  IHnv : forall t0 : term, t --> t0 -> False
  t0 : term
  stEt0 : TmSucc t --> t0
  t1 : term
  t1' : term
  H0 : t --> t1'
  H : t1 = t
  H1 : TmSucc t1' = t0
  ============================
   t --> t1'

value_is_normal_form < exact H0.
Proof completed.

value_is_normal_form < Qed.

[Coq] Coq Advent Calender : inversion (19 of 25)

　Coq でよく使われる tactic の19番目は inversion です。
　inversion は仮定に対して帰納的な定義を適用し、その仮定が成立する為の前提を導き出すか、あるいはそもそもそのような前提が存在しない（＝仮定が間違っている）ので証明終了、を導いてくれます。ある種の証明では inversion を使うと証明が非常に簡単なのですが、中で何をしているのかは簡単には説明するのは難しいです。

　inversionの使用例というと典型的にはこの関数を定義することになっています。

Coq < Inductive even : nat -> Prop :=
Coq < | EvenO : even O
Coq < | EvenSS : forall n, even n -> even (S (S n)).
even is defined
even_ind is defined

偶数である事を、上記の様に帰納的に定義します。

　では３が偶数でない事を証明しましょう。こういう定理の証明の時にはinversionが有用です。今回はinversionの中で何をしているかみたいのでinfo inversionとして使っています。

Coq < Lemma Sample_of_inversion : ~(even 3).
1 subgoal
  
  ============================
   ~ even 3

Sample_of_inversion < intro.
1 subgoal
  
  H : even 3
  ============================
   False

Sample_of_inversion < info inversion H.
 == assert (H0:3 = 3 -> False).
    refine match H in (even n) return (n = 3 -> False) with
           | EvenO => _
           | EvenSS x x0 => _ x x0
           end.
    intro H0; refine ((_:0 = 3 -> False) H0); clear H0; 
    intro H0; cut False;[intro H1|idtac].
    refine ((_:False -> False) H1); clear H1; intro H1;
       exact (False_ind False H1).
    
    exact (eq_ind 0
             (fun e : nat => match e with
                             | 0 => True
                             | S _ => False
                             end) I 3 H0).
    
    intro n; intro H0; intro H1; refine ((_:even n -> False) H0); 
    clear H0; refine ((_:S (S n) = 3 -> even n -> False) H1); 
    clear H1; intro H1;
       cut (n = 1);[intro H0|idtac].
    refine ((_:n = 1 -> even n -> False) H0); clear H0; 
    intro H0;
       refine (eq_ind 1 (fun n : nat => even n -> False) _ n _).
    clear H1; intro H1; dependent move H1 after H0.
    
    refine (sym_eq _);
       exact H0.
    
    exact (f_equal
             (fun e : nat =>
              match e with
              | 0 => n
              | 1 => n
              | S (S n) => n
              end) H1).
    
    refine (H0 _); change (3 = 3); exact (refl_equal 3).
    
1 subgoal
  
  H : even 3
  n : nat
  H1 : even 1
  H0 : n = 1
  ============================
   False

　H: even 3の前提にH1: even 1が前提である事が判りました。このH1について再度inversionを使います。

Sample_of_inversion < info inversion H1.
 == assert (H2:1 = 1 -> False).
    refine match H1 in (even n) return (n = 1 -> False) with
           | EvenO => _
           | EvenSS x x0 => _ x x0
           end.
    intro H2; refine ((_:0 = 1 -> False) H2); clear H2; 
    intro H2; cut False;[intro H3|idtac].
    refine ((_:False -> False) H3); clear H3; intro H3;
       exact (False_ind False H3).
    
    exact (eq_ind 0
             (fun e : nat => match e with
                             | 0 => True
                             | S _ => False
                             end) I 1 H2).
    
    intro n0; intro H2; intro H3; refine ((_:even n0 -> False) H2); 
    clear H2; refine ((_:S (S n0) = 1 -> even n0 -> False) H3); 
    clear H3; intro H3;
       cut False;[intro H2|idtac].
    refine ((_:False -> even n0 -> False) H2); clear H2; 
    intro H2;
       exact (False_ind (even n0 -> False) H2).
    
    exact (eq_ind (S (S n0))
             (fun e : nat =>
              match e with
              | 0 => False
              | 1 => False
              | S (S _) => True
              end) I 1 H3).
    
    refine (H2 _); change (1 = 1); exact (refl_equal 1).
    
Proof completed.

Sample_of_inversion < Qed.

H1を成立させる前提が無いので、証明完了になります。

　あと、inversionが役に立つ例というとsmall-stepの決定性の証明とかです。

Coq < Inductive term : Set :=
Coq < | TmTrue : term
Coq < | TmFalse : term
Coq < | TmIf : term -> term -> term -> term.
term is defined
term_rect is defined
term_ind is defined
term_rec is defined


Coq < Inductive eval : term -> term -> Prop :=
Coq < | EvIfTrue : forall t2 t3, eval (TmIf TmTrue t2 t3) t2 
Coq < | EvIfFalse : forall t2 t3, eval (TmIf TmFalse t2 t3) t3
Coq < | EvIf : forall t1 t1' t2 t3, eval t1 t1' ->
Coq <     eval (TmIf t1 t2 t3) (TmIf t1' t2 t3).
eval is defined
eval_ind is defined

上記の様にsmall-stepの規則を定義して、下記を証明します。

Coq < Theorem eval_deterministic : forall t t' t'', (eval t t') -> (eval t t'') -> (t' = t'').
1 subgoal
  
  ============================
   forall t t' t'' : term, eval t t' -> eval t t'' -> t' = t''

eval_deterministic < intros t t' t'' tEt' tEt''.
1 subgoal
  
  t : term
  t' : term
  t'' : term
  tEt' : eval t t'
  tEt'' : eval t t''
  ============================
   t' = t''

まず tEt' について induction で場合分けをします。

eval_deterministic < induction tEt' as [t2 t3|t2 t3|t1 t1' t2 t3 t1Et1'] in t'', tEt'' |-*.
3 subgoals
  
  t'' : term
  t2 : term
  t3 : term
  tEt'' : eval (TmIf TmTrue t2 t3) t''
  ============================
   t2 = t''

subgoal 2 is:
 t3 = t''
subgoal 3 is:
 TmIf t1' t2 t3 = t''

最初の場合は、t' = TmIf TmTrue t2 t3 の場合です。ここで tEt'' については induction ではなくinversion を使うと、tEt'' が成立するような t'' の場合分けを自動で行ってくれます。

eval_deterministic < inversion tEt'' as [t2_ t3_| t2_ t3_| t1_ t1'_ t2_ t3_ t1Et1'_].
4 subgoals
  
  t'' : term
  t2 : term
  t3 : term
  tEt'' : eval (TmIf TmTrue t2 t3) t''
  t2_ : term
  t3_ : term
  H0 : t2_ = t2
  H1 : t3_ = t3
  H2 : t2 = t''
  ============================
   t'' = t''

subgoal 2 is:
 t2 = TmIf t1'_ t2 t3
subgoal 3 is:
 t3 = t''
subgoal 4 is:
 TmIf t1' t2 t3 = t''

eval_deterministic < reflexivity.
3 subgoals
  
  t'' : term
  t2 : term
  t3 : term
  tEt'' : eval (TmIf TmTrue t2 t3) t''
  t1_ : term
  t1'_ : term
  t2_ : term
  t3_ : term
  t1Et1'_ : eval TmTrue t1'_
  H : t1_ = TmTrue
  H1 : t2_ = t2
  H2 : t3_ = t3
  H0 : TmIf t1'_ t2 t3 = t''
  ============================
   t2 = TmIf t1'_ t2 t3

subgoal 2 is:
 t3 = t''
subgoal 3 is:
 TmIf t1' t2 t3 = t''

　ここでinversion t1Et1'_を行います。TmTrueが何かにevalされる規則はevalに無いので、仮定が不成立となり、goalの証明が終わります。

eval_deterministic < inversion t1Et1'_.
2 subgoals
  
  t'' : term
  t2 : term
  t3 : term
  tEt'' : eval (TmIf TmFalse t2 t3) t''
  ============================
   t3 = t''

subgoal 2 is:
 TmIf t1' t2 t3 = t''

　t' = TmIfFalse t2 t3 の場合は同様の証明をすればOKです。

eval_deterministic < inversion tEt'' as [t2_ t3_| t2_ t3_| t1_ t1'_ t2_ t3_ t1Et1'_].
eval_deterministic < reflexivity.
eval_deterministic < inversion t1Et1'_.
1 subgoal
  
  t'' : term
  t1 : term
  t1' : term
  t2 : term
  t3 : term
  t1Et1' : eval t1 t1'
  tEt'' : eval (TmIf t1 t2 t3) t''
  IHt1Et1' : eval t1 t'' -> t1' = t''
  ============================
   TmIf t1' t2 t3 = t''

　最後は、t' = TmIf t1 t2 t3 の場合についてです。やはりtEt''についてinversionします。

eval_deterministic < inversion tEt'' as [t2_ t3_| t2_ t3_| t1_ t1'_ t2_ t3_ t1Et1'_].
3 subgoals
  
  t'' : term
  t1 : term
  t1' : term
  t2 : term
  t3 : term
  t1Et1' : eval t1 t1'
  tEt'' : eval (TmIf t1 t2 t3) t''
  IHt1Et1' : eval t1 t'' -> t1' = t''
  t2_ : term
  t3_ : term
  H0 : TmTrue = t1
  H1 : t2_ = t2
  H2 : t3_ = t3
  H3 : t2 = t''
  ============================
   TmIf t1' t'' t3 = t''

subgoal 2 is:
 TmIf t1' t2 t'' = t''
subgoal 3 is:
 TmIf t1' t2 t3 = TmIf t1'_ t2 t3

　ここでも、H0とt1Et1'から、eval TmTrue t1'を作ってinversionして仮定が成立しない事を使って証明します。

eval_deterministic < rewrite <- H0 in t1Et1'.
3 subgoals
  
  t'' : term
  t1 : term
  t1' : term
  t2 : term
  t3 : term
  t1Et1' : eval TmTrue t1'
  tEt'' : eval (TmIf t1 t2 t3) t''
  IHt1Et1' : eval t1 t'' -> t1' = t''
  t2_ : term
  t3_ : term
  H0 : TmTrue = t1
  H1 : t2_ = t2
  H2 : t3_ = t3
  H3 : t2 = t''
  ============================
   TmIf t1' t'' t3 = t''

subgoal 2 is:
 TmIf t1' t2 t'' = t''
subgoal 3 is:
 TmIf t1' t2 t3 = TmIf t1'_ t2 t3

eval_deterministic < inversion t1Et1'.
2 subgoals
  
  t'' : term
  t1 : term
  t1' : term
  t2 : term
  t3 : term
  t1Et1' : eval t1 t1'
  tEt'' : eval (TmIf t1 t2 t3) t''
  IHt1Et1' : eval t1 t'' -> t1' = t''
  t2_ : term
  t3_ : term
  H0 : TmFalse = t1
  H1 : t2_ = t2
  H2 : t3_ = t3
  H3 : t3 = t''
  ============================
   TmIf t1' t2 t'' = t''

subgoal 2 is:
 TmIf t1' t2 t3 = TmIf t1'_ t2 t3

　同様にして、TmFalse の場合も証明出来ます。

eval_deterministic < rewrite <- H0 in t1Et1'.
eval_deterministic < inversion t1Et1'.
1 subgoal
  
  t'' : term
  t1 : term
  t1' : term
  t2 : term
  t3 : term
  t1Et1' : eval t1 t1'
  tEt'' : eval (TmIf t1 t2 t3) t''
  IHt1Et1' : forall t'' : term, eval t1 t'' -> t1' = t''
  t1_ : term
  t1'_ : term
  t2_ : term
  t3_ : term
  t1Et1'_ : eval t1 t1'_
  H0 : t1_ = t1
  H1 : t2_ = t2
  H2 : t3_ = t3
  H3 : TmIf t1'_ t2 t3 = t''
  ============================
   TmIf t1' t2 t3 = TmIf t1'_ t2 t3

最後はIHt1Et1'のt''をt1'_にして、t1Et1'_と組み合わせてゴールを導きます。

eval_deterministic < rewrite (IHt1Et1' t1'_ t1Et1'_).
eval_deterministic < reflexivity.
Proof completed.

eval_deterministic < Qed.

[Coq] Coq Advent Calender : clear (18 of 25)

　Coq でよく使われる tactic の18番目は clear です...って使わないと思うけどなぁ。

　clear Hとすると、仮定 H が消えます。下記の様な感じです。

Coq < Lemma Sample_of_clear : forall A B C, (A->B->C)->(A->B)->A->C.
1 subgoal
  
  ============================
   forall A B C : Type, (A -> B -> C) -> (A -> B) -> A -> C

Sample_of_clear < intros A B C abc ab a.
1 subgoal
  
  A : Type
  B : Type
  C : Type
  abc : A -> B -> C
  ab : A -> B
  a : A
  ============================
   C

Sample_of_clear < apply abc; clear abc.
2 subgoals
  
  A : Type
  B : Type
  C : Type
  ab : A -> B
  a : A
  ============================
   A

subgoal 2 is:
 B

Sample_of_clear < exact a.
1 subgoal
  
  A : Type
  B : Type
  C : Type
  ab : A -> B
  a : A
  ============================
   B

Sample_of_clear < apply ab; clear ab.
1 subgoal
  
  A : Type
  B : Type
  C : Type
  a : A
  ============================
   A

Sample_of_clear < exact a.
Proof completed.

Sample_of_clear < Qed.

　使い終わって不要になった仮定をclearで消すと多少見通しが良くなる事もありますが、あまり使わないのではないかなぁ。

　むしろ、各種 tactic の中で内部的に使われる事が多い様な気がします。例えば下記の簡単な tactic の swap の中で使われています。apply して一回使った仮定は不要なので clear で消しているようです。

Ltac swap H := 
  idtac "swap is OBSOLETE: use contradict instead.";
  intro; apply H; clear H.

　これを使った証明です。

Coq < Lemma Sample_of_claer : forall P, ~~~P -> ~P.
1 subgoal
  
  ============================
   forall P : Prop, ~ ~ ~ P -> ~ P

Sample_of_claer < intros.
1 subgoal
  
  P : Prop
  H : ~ ~ ~ P
  ============================
   ~ P

Sample_of_claer < swap H.
swap is OBSOLETE: use contradict instead.
1 subgoal
  
  P : Prop
  H0 : P
  ============================
   ~ ~ P

Sample_of_claer < swap H.
swap is OBSOLETE: use contradict instead.
1 subgoal
  
  P : Prop
  H0 : P
  ============================
   P

Sample_of_claer < exact H0.
Proof completed.

Sample_of_claer < Qed.
intros.
swap H.
swap ipattern:H.
exact H0.

Sample_of_claer is defined

Coq < 

[Coq] Coq Advent Calender : elim (17 of 25)

　Coq でよく使われる tactic の17番目は elim です。

　elim はほとんど induction と同じ事が出来ます。例えばこんな感じ。帰納法の仮定を自分で intro する必要があるのが違います。

Coq < Lemma Sample_of_elim : forall n, n + 0 = n.
1 subgoal
  
  ============================
   forall n : nat, n + 0 = n

Sample_of_elim < intros.
1 subgoal
  
  n : nat
  ============================
   n + 0 = n

Sample_of_elim < elim n.
2 subgoals
  
  n : nat
  ============================
   0 + 0 = 0

subgoal 2 is:
 forall n0 : nat, n0 + 0 = n0 -> S n0 + 0 = S n0

Sample_of_elim < 

　ただこうやって帰納法で使うときはinductionする方が多い様にも思います。（golfだとelimが有利なのかな？）

　下記の様にゴールが False で、仮定が ~P の形をしている時は、私は習慣で他のタクティックではなく elim を使います。こんな感じ。

Coq < Lemma Sample_of_elim' : forall P, ~~(P \/ ~P).
1 subgoal
  
  ============================
   forall P : Prop, ~ ~ (P \/ ~ P)

Sample_of_elim' < intros.
1 subgoal
  
  P : Prop
  ============================
   ~ ~ (P \/ ~ P)

Sample_of_elim' < intro npnp.
1 subgoal
  
  P : Prop
  npnp : ~ (P \/ ~ P)
  ============================
   False

Sample_of_elim' < elim npnp.
1 subgoal
  
  P : Prop
  npnp : ~ (P \/ ~ P)
  ============================
   P \/ ~ P

Sample_of_elim' < right.
1 subgoal
  
  P : Prop
  npnp : ~ (P \/ ~ P)
  ============================
   ~ P

Sample_of_elim' < intro p.
1 subgoal
  
  P : Prop
  npnp : ~ (P \/ ~ P)
  p : P
  ============================
   False

Sample_of_elim' < elim npnp.
1 subgoal
  
  P : Prop
  npnp : ~ (P \/ ~ P)
  p : P
  ============================
   P \/ ~ P

Sample_of_elim' < left.
1 subgoal
  
  P : Prop
  npnp : ~ (P \/ ~ P)
  p : P
  ============================
   P

Sample_of_elim' < exact p.   
Proof completed.

Sample_of_elim' < Qed.
intros.
intro npnp.
elim npnp.
right.
intro p.
elim npnp.
left.
exact p.

Sample_of_elim' is defined

Coq < 

[Coq] Coq Advent Calender : ring (16 of 25)

　Coq でよく使われる tactic の16番目は ring です。

　ring は可換な半環 ( 演算 +, * があって、それぞれ単位元 0, 1 があって、それぞれ交換則と結合則が成り立って、分配法則があってな数学的構造）での計算を行ってくれます。基本的には多項式の掛け算を展開し、標準形に直して比較するようなことをします。
　使用するにはRequire Import Ring.が必要です。

　下記で色々試してみましたが、適宜 rewrite, replace なども併用しないとうまくいきませんでした。

Coq < Require Import ZArith Ring.

Coq < Open Scope Z_scope.

Coq < Lemma Sample_of_ring : forall a b:Z, a + b = 7 -> a * b = 12 -> a^2 + b^2 = 25.
1 subgoal
  
  ============================
   forall a b : Z, a + b = 7 -> a * b = 12 -> a ^ 2 + b ^ 2 = 25

Sample_of_ring < intros a b H1 H2.
1 subgoal
  
  a : Z
  b : Z
  H1 : a + b = 7
  H2 : a * b = 12
  ============================
   a ^ 2 + b ^ 2 = 25

Sample_of_ring < replace (a^2 + b^2) with ((a+b)^2 - 2*a*b) by ring.
1 subgoal
  
  a : Z
  b : Z
  H1 : a + b = 7
  H2 : a * b = 12
  ============================
   (a + b) ^ 2 - 2 * a * b = 25

Sample_of_ring < rewrite H1.
1 subgoal
  
  a : Z
  b : Z
  H1 : a + b = 7
  H2 : a * b = 12
  ============================
   7 ^ 2 - 2 * a * b = 25

Sample_of_ring < replace (2*a*b) with (2*12) by ring [H2].
1 subgoal
  
  a : Z
  b : Z
  H1 : a + b = 7
  H2 : a * b = 12
  ============================
   7 ^ 2 - 2 * 12 = 25

Sample_of_ring < reflexivity.
Proof completed.

Sample_of_ring < Qed.

[Coq] Coq Advent Calender : case (15 of 25)

　Coq でよく使われる tactic の15番目は case です。

　帰納的な型について自動で場合分けをしてくれるという意味では、13番目のinductionと同じですが、inductionと違って単に場合分けを行うだけで帰納法の仮定とかは作ってくれません。

　今回は３値論理を定義してみます。帰納的な bool3 という型を定義し、それらに対する否定、論理積、論理和を定義します。

Coq < Inductive bool3 : Set := yes | maybe | no.
bool3 is defined
bool3_rect is defined
bool3_ind is defined
bool3_rec is defined

Coq < Definition not3(b:bool3) :=
Coq <   match b with
Coq <   | yes => no
Coq <   | maybe => maybe
Coq <   | no => yes
Coq <   end.
not3 is defined

Coq < Definition and3(a b:bool3) :=
Coq <   match a,b with
Coq <   | yes,yes => yes
Coq <   | no, _ => no
Coq <   | _, no => no
Coq <   | _,_ => maybe
Coq <   end.
and3 is defined

Coq < Definition or3(a b:bool3) :=
Coq <   match a,b with
Coq <   | no,no => no
Coq <   | yes,_ => yes
Coq <   | _,yes => yes
Coq <   | _,_ => maybe
Coq <   end.
or3 is defined

Coq <

　では、bool3 における簡単な証明をしてみます。a, b についての場合分けを行うのに case タクティックを使用します。下記の例では case でゴールが増えるのを示したいので個別に case を使っていますが、普通は
case a; case b; reflexivity.
で一行で９通りの場合分けを実施して終了とするでしょう。

Coq < Lemma Sample_of_case : forall a b:bool3,
Coq <   not3 (or3 a b) = and3 (not3 a) (not3 b).
1 subgoal
  
  ============================
   forall a b : bool3, not3 (or3 a b) = and3 (not3 a) (not3 b)

Sample_of_case < intros a b.
1 subgoal
  
  a : bool3
  b : bool3
  ============================
   not3 (or3 a b) = and3 (not3 a) (not3 b)

Sample_of_case < case a.
3 subgoals
  
  a : bool3
  b : bool3
  ============================
   not3 (or3 yes b) = and3 (not3 yes) (not3 b)

subgoal 2 is:
 not3 (or3 maybe b) = and3 (not3 maybe) (not3 b)
subgoal 3 is:
 not3 (or3 no b) = and3 (not3 no) (not3 b)

Sample_of_case < case b.
5 subgoals
  
  a : bool3
  b : bool3
  ============================
   not3 (or3 yes yes) = and3 (not3 yes) (not3 yes)

subgoal 2 is:
 not3 (or3 yes maybe) = and3 (not3 yes) (not3 maybe)
subgoal 3 is:
 not3 (or3 yes no) = and3 (not3 yes) (not3 no)
subgoal 4 is:
 not3 (or3 maybe b) = and3 (not3 maybe) (not3 b)
subgoal 5 is:
 not3 (or3 no b) = and3 (not3 no) (not3 b)

Sample_of_case < reflexivity.
4 subgoals
  
  a : bool3
  b : bool3
  ============================
   not3 (or3 yes maybe) = and3 (not3 yes) (not3 maybe)

subgoal 2 is:
 not3 (or3 yes no) = and3 (not3 yes) (not3 no)
subgoal 3 is:
 not3 (or3 maybe b) = and3 (not3 maybe) (not3 b)
subgoal 4 is:
 not3 (or3 no b) = and3 (not3 no) (not3 b)

Sample_of_case < reflexivity.
3 subgoals
  
  a : bool3
  b : bool3
  ============================
   not3 (or3 yes no) = and3 (not3 yes) (not3 no)

subgoal 2 is:
 not3 (or3 maybe b) = and3 (not3 maybe) (not3 b)
subgoal 3 is:
 not3 (or3 no b) = and3 (not3 no) (not3 b)

Sample_of_case < reflexivity.
2 subgoals
  
  a : bool3
  b : bool3
  ============================
   not3 (or3 maybe b) = and3 (not3 maybe) (not3 b)

subgoal 2 is:
 not3 (or3 no b) = and3 (not3 no) (not3 b)

Sample_of_case < case b; reflexivity.
1 subgoal
  
  a : bool3
  b : bool3
  ============================
   not3 (or3 no b) = and3 (not3 no) (not3 b)

Sample_of_case < case b; reflexivity.
Proof completed.

Sample_of_case < Qed.

[Coq] Coq Advent Calender : split (14 of 25)

　Coq でよく使われる tactic の14番目は split です。...そんなに使うかなぁ？

　split はゴールが P /\ Q の形をしている時に、二つのゴール P, Q に分割します。あとはそれぞれを別々に証明すればOKです。

　簡単な例を下記に示します。

Coq < Lemma Sample_of_split : forall A B C:Prop, A /\ (B /\ C) -> (A /\ B) /\ C.
1 subgoal
  
  ============================
   forall A B C : Prop, A /\ B /\ C -> (A /\ B) /\ C

Sample_of_split < intros A B C abc.
1 subgoal
  
  A : Prop
  B : Prop
  C : Prop
  abc : A /\ B /\ C
  ============================
   (A /\ B) /\ C

Sample_of_split < destruct abc as [a [b c]].
1 subgoal
  
  A : Prop
  B : Prop
  C : Prop
  a : A
  b : B
  c : C
  ============================
   (A /\ B) /\ C

Sample_of_split < split.
2 subgoals
  
  A : Prop
  B : Prop
  C : Prop
  a : A
  b : B
  c : C
  ============================
   A /\ B

subgoal 2 is:
 C

Sample_of_split < split.
3 subgoals
  
  A : Prop
  B : Prop
  C : Prop
  a : A
  b : B
  c : C
  ============================
   A

subgoal 2 is:
 B
subgoal 3 is:
 C

Sample_of_split < assumption.
2 subgoals
  
  A : Prop
  B : Prop
  C : Prop
  a : A
  b : B
  c : C
  ============================
   B

subgoal 2 is:
 C

Sample_of_split < assumption.
1 subgoal
  
  A : Prop
  B : Prop
  C : Prop
  a : A
  b : B
  c : C
  ============================
   C

Sample_of_split < assumption.
Proof completed.

Sample_of_split < Qed.

[Coq] Coq Advent Calender : induction (13 of 25)

　Coq でよく使われる tactic の13番目は induction です。

　Coq は帰納的な型を定義すると、その型に対する帰納法を自動で定義してくれます。例えば

Inductive nat : Set :=  
  O : nat 
| S : nat -> nat

という自然数natに対して、

forall P : nat -> Prop, 
  P 0 -> 
  (forall n : nat, P n -> P (S n)) -> 
  forall n : nat, P n

というnat_indを定義してくれます。これを使って、自然数nについての帰納法の証明の時に、

• n=0 の場合のゴール
  
• nの時成り立つという仮定IHnと、S nの場合のゴール
  

を作ってくれます。同様にリストであれば、nilとconsの場合などです。

　今までにも何度か induction を使った証明を示してきましたが、今回も簡単な例を。

Coq < Lemma plus_comm : forall n m, n + m = m + n.
1 subgoal
  
  ============================
   forall n m : nat, n + m = m + n

plus_comm < induction n.
2 subgoals
  
  ============================
   forall m : nat, 0 + m = m + 0

subgoal 2 is:
 forall m : nat, S n + m = m + S n

plus_comm < intro m.
2 subgoals
  
  m : nat
  ============================
   0 + m = m + 0

subgoal 2 is:
 forall m : nat, S n + m = m + S n

plus_comm < simpl.
2 subgoals
  
  m : nat
  ============================
   m = m + 0

subgoal 2 is:
 forall m : nat, S n + m = m + S n

plus_comm < erewrite <- plus_n_O.
2 subgoals
  
  m : nat
  ============================
   m = m

subgoal 2 is:
 forall m : nat, S n + m = m + S n

plus_comm < reflexivity.
1 subgoal
  
  n : nat
  IHn : forall m : nat, n + m = m + n
  ============================
   forall m : nat, S n + m = m + S n

plus_comm < intro m.
1 subgoal
  
  n : nat
  IHn : forall m : nat, n + m = m + n
  m : nat
  ============================
   S n + m = m + S n

plus_comm < simpl.
1 subgoal
  
  n : nat
  IHn : forall m : nat, n + m = m + n
  m : nat
  ============================
   S (n + m) = m + S n

plus_comm < erewrite <- plus_n_Sm.
1 subgoal
  
  n : nat
  IHn : forall m : nat, n + m = m + n
  m : nat
  ============================
   S (n + m) = S (m + n)

plus_comm < erewrite IHn.
1 subgoal
  
  n : nat
  IHn : forall m : nat, n + m = m + n
  m : nat
  ============================
   S (m + n) = S (m + n)

plus_comm < reflexivity.
Proof completed.

plus_comm < Qed.

[Coq] Coq Advent Calender : replace (12 of 25)

Coq でよく使われる tactic の12番目は replace です。

　replace t1 with t2 とすると、t2 = t1 という等式をsubgoalに追加し、t2 = t1 を用いてゴールの書き換えを行います。書き換え規則 t2 = t1 の証明を先送りにすることで本筋の証明の見通しがよくなります。また、simpl, unfold, rewriteを使う場合とかで、「ゴールのこの部分だけ書き換えたいのだが別のところも書き換えられてしまう」と悩む場面もありますが、そういうときは replace でとりあえず部分的に書き換え、あとでその箇所の書き換えを証明すると楽です。

　replace を多用するのは、等式変形を繰り返す場合です。今回はそういう例を。
　下記の様に群 G を定義してみます。

Coq < Axiom G : Set.  (* 群G *)
Coq < Axiom G_dec : forall a b:G, {a=b} + {a <> b}.  (* 単位元や逆元の一意性とかを示す時に必要 *)
Coq < Axiom mult : G -> G -> G.  (* 乗法 *)
Coq < Notation "a * b" := (mult a b).  (* 記号 * で書ける様にする *)
Coq < Axiom assoc : forall a b c:G, (a * b) * c = a * (b * c).  (* 結合則 *)
Coq < Axiom G1 : G.  (* 単位元 *)
Coq < Notation "1" := G1.  (* 記号 1 で書ける様にする *)
Coq < Axiom id_l : forall a:G, 1 * a = a.  (* 左単位元である *)
Coq < Axiom inv : G -> G.  (* 逆元 *)
Coq < Axiom inv_l : forall a:G, (inv a) * a = 1.  (* 左逆元 *)

　では、左逆元は右逆元でもあることを証明してみます。長くなるのでゴールを示すのは要所要所だけです。replaceを使うと、subgoalが増えているのが判ります。

Coq < Theorem inv_r : forall a:G, a * (inv a) = 1.
inv_r < intros.
1 subgoal
  
  a : G
  ============================
   a * inv a = 1

inv_r < replace (a * inv a) with (1 * a * inv a).
2 subgoals
  
  a : G
  ============================
   1 * a * inv a = 1

subgoal 2 is:
 1 * a * inv a = a * inv a

inv_r < replace (1 * a * inv a) with ((inv (inv a) * (inv a)) * a * inv a).
3 subgoals
  
  a : G
  ============================
   inv (inv a) * inv a * a * inv a = 1

subgoal 2 is:
 inv (inv a) * inv a * a * inv a = 1 * a * inv a
subgoal 3 is:
 1 * a * inv a = a * inv a

inv_r < replace (inv (inv a) * inv a * a * inv a) with (inv (inv a) * (inv a * a) * inv a).
4 subgoals
  
  a : G
  ============================
   inv (inv a) * (inv a * a) * inv a = 1

subgoal 2 is:
 inv (inv a) * (inv a * a) * inv a = inv (inv a) * inv a * a * inv a
subgoal 3 is:
 inv (inv a) * inv a * a * inv a = 1 * a * inv a
subgoal 4 is:
 1 * a * inv a = a * inv a

inv_r < rewrite inv_l.  (* ここからは replace を使わなくても rewrite で簡単に変形出来る *)
inv_r < rewrite assoc.
inv_r < rewrite id_l.
inv_r < rewrite inv_l.
4 subgoals
  
  a : G
  ============================
   1 = 1

subgoal 2 is:
 inv (inv a) * (inv a * a) * inv a = inv (inv a) * inv a * a * inv a
subgoal 3 is:
 inv (inv a) * inv a * a * inv a = 1 * a * inv a
subgoal 4 is:
 1 * a * inv a = a * inv a

inv_r < reflexivity.  (* メインゴールの証明完了。残りは replace の書き換えの証明 *)
3 subgoals
  
  a : G
  ============================
   inv (inv a) * (inv a * a) * inv a = inv (inv a) * inv a * a * inv a

subgoal 2 is:
 inv (inv a) * inv a * a * inv a = 1 * a * inv a
subgoal 3 is:
 1 * a * inv a = a * inv a

inv_r < rewrite <- assoc; reflexivity.
2 subgoals
  
  a : G
  ============================
   inv (inv a) * inv a * a * inv a = 1 * a * inv a

subgoal 2 is:
 1 * a * inv a = a * inv a

inv_r < erewrite inv_l; reflexivity.
1 subgoal
  
  a : G
  ============================
   1 * a * inv a = a * inv a

inv_r < rewrite assoc; rewrite id_l; reflexivity.
Proof completed.

inv_r < Qed.
intros.
replace (a * inv a) with (1 * a * inv a) .
 replace (1 * a * inv a) with (inv (inv a) * inv a * a * inv a) .
  replace (inv (inv a) * inv a * a * inv a) with
   (inv (inv a) * (inv a * a) * inv a) .
   rewrite inv_l in |- *.
   rewrite assoc in |- *.
   rewrite id_l in |- *.
   rewrite inv_l in |- *.
   reflexivity.
   
   rewrite <- assoc in |- *; reflexivity.
   
  erewrite inv_l in |- *; reflexivity.
  
 rewrite assoc in |- *; rewrite id_l in |- *; reflexivity.
 
inv_r is defined

Coq < 

[Coq] Coq Advent Calender : exists (11 of 25)

　Coq でよく使われる tactic の11番目は exists です。
　証明のゴールが exists x, P x とか { n:nat | isPrime n } とか、ある性質を満たす要素が存在することを求めている時に、「具体的に」その要素を与えてゴールを変形します。

　下記は exists を使う簡単な例です。mの具体的な値としてS n = n+1 を与えています。具体的なmを何か与えないとomegaでの自動証明は通りません。

Coq < Require Import Omega.

Coq < Lemma Sample_of_exists : forall n, exists m, n < m.
1 subgoal
  
  ============================
   forall n : nat, exists m : nat, n < m

Sample_of_exists < intros.
1 subgoal
  
  n : nat
  ============================
   exists m : nat, n < m

Sample_of_exists < exists (S n).
1 subgoal
  
  n : nat
  ============================
   n < S n

Sample_of_exists < omega.
Proof completed.

Sample_of_exists < Qed.
intros.
exists (S n).
omega.

Sample_of_exists is defined
Coq < 

[TAPL][OCaml] Untyped Lambda Calculus Interpreter

　TAPLのChap.5を読むのに型無しλ計算のインタプリタが無いかなと探していたところ下記を見つけました。（...まぁそもそもそのくらい自分で作れよ、という話はあるんだが）

http://www.cs.ru.nl/~freek/notes/lambda.ml

ページの内容を lambda.ml として保存し、

$ ocaml
# #use "lambda.ml";;

で読み込まれるので、あとは下記の様に試すだけ。

# nf "(^x.fx)a";;
- : term = term "fa"
# nf "(KISS)(KISS)";;
- : term = term "^yzz'.zz'(yzz')"
# red_gk all "SKK";;
- : term list =
[term "SKK"; term "(^yz.Kz(yz))K"; term "^z.(^y.z)(Kz)"; term "^z.z"]
# red 7 "(^x.xx)(^x.xx)";;
- : term list =
[term "(^x.xx)^x.xx"; term "(^x.xx)^x.xx"; term "(^x.xx)^x.xx";
 term "(^x.xx)^x.xx"; term "(^x.xx)^x.xx"; term "(^x.xx)^x.xx";
 term "(^x.xx)^x.xx"; term "..."]
#

手計算に自信が無い時に使うといいかなー。

[Coq] Coq Advent Calender : unfold (10 of 25)

　Coq でよく使われる tactic の10番目は unfold です。unfold は関数定義を展開します。
　unfold だけで使う場合も有りますが、fold と組み合わせて使う事もあります。fold は展開された関数を元に戻します。unfold して、simpl とか rewrite とかして、また fold して戻すと式が良い具合に変形されている場合があります。ここではそういう例を見てみましょう。

　まず、sum n := 1 + 2 + ... + nという関数を定義します。

Coq < Fixpoint sum n :=     
Coq <   match n with
Coq <   | O => O
Coq <   | S n' => S n' + sum n'
Coq <   end.
sum is recursively defined (decreasing on 1st argument)

　次に、sum n = 1/2 * n * (n + 1) であることを証明したいのですが、割り算が入ると面倒ですから、次の定理を証明する事にします。今回は環に関する自動証明器の ring を使いたいのでArithとRingをImportしておきます。
　nに関する帰納法で、n=0の場合はさらっと証明を流すことにします。

Coq < Require Import Arith Ring.                          

Coq < Lemma Sample_of_unfold : forall n, 2 * sum n = n * (n + 1).
1 subgoal
  
  ============================
   forall n : nat, 2 * sum n = n * (n + 1)

Sample_of_unfold < induction n.
2 subgoals
  
  ============================
   2 * sum 0 = 0 * (0 + 1)

subgoal 2 is:
 2 * sum (S n) = S n * (S n + 1)

Sample_of_unfold < reflexivity.
1 subgoal
  
  n : nat
  IHn : 2 * sum n = n * (n + 1)
  ============================
   2 * sum (S n) = S n * (S n + 1)

　ここで、sum を unfold して、fold すると式が少し変形されます。

Sample_of_unfold < unfold sum.
1 subgoal
  
  n : nat
  IHn : 2 * sum n = n * (n + 1)
  ============================
   2 *
   (S n +
    (fix sum (n0 : nat) : nat :=
       match n0 with
       | 0 => 0
       | S n' => S n' + sum n'
       end) n) = S n * (S n + 1)

Sample_of_unfold < fold sum.
1 subgoal
  
  n : nat
  IHn : 2 * sum n = n * (n + 1)
  ============================
   2 * (S n + sum n) = S n * (S n + 1)

　ここでreplaceを使ってちょっと左辺を書き換えます。書き換えて良い証明はsubgoal 2と後回しです。

Sample_of_unfold < replace (2 * (S n + sum n)) with (2 * S n + 2 * sum n).
2 subgoals
  
  n : nat
  IHn : 2 * sum n = n * (n + 1)
  ============================
   2 * S n + 2 * sum n = S n * (S n + 1)

subgoal 2 is:
 2 * S n + 2 * sum n = 2 * (S n + sum n)

　ここでIHnを用いて書き換えて式変形を ring で自動証明します。後回しにしたものもringで一発です。

Sample_of_unfold < rewrite IHn.
2 subgoals
  
  n : nat
  IHn : 2 * sum n = n * (n + 1)
  ============================
   2 * S n + n * (n + 1) = S n * (S n + 1)

subgoal 2 is:
 2 * S n + 2 * sum n = 2 * (S n + sum n)

Sample_of_unfold < ring.
1 subgoal
  
  n : nat
  IHn : 2 * sum n = n * (n + 1)
  ============================
   2 * S n + 2 * sum n = 2 * (S n + sum n)

Sample_of_unfold < ring.
Proof completed.

Sample_of_unfold < Qed.

[Coq] Coq Advent Calender : simpl (9 of 25)

　Coq でよく使われる tactic の９つ目は simpl です。simpl はβι簡約(beta, iota)をして式を簡単にします。βι簡約が何かについては「言語ゲーム」の記事が判りやすいです。β簡約は関数適用で、ι簡約だと再帰的に関数が適用される、と考えると良いです。

　予め、足し算の定義を示しておきます。plus を含んだ式を simpl すると、一つ目の変数 n について再帰的にパターンマッチして式を変形してくれます。

Coq < Print plus.
plus = 
fix plus (n m : nat) : nat := match n with
                              | 0 => m
                              | S p => S (plus p m)
                              end
     : nat -> nat -> nat

Argument scopes are [nat_scope nat_scope]

　では足し算を使った simpl の使用例です。

Coq < Lemma Sample_of_simpl : forall n m, n + m = m + n.
1 subgoal
  
  ============================
   forall n m : nat, n + m = m + n

Sample_of_simpl < intros n m.
1 subgoal
  
  n : nat
  m : nat
  ============================
   n + m = m + n

Sample_of_simpl < induction n.
2 subgoals
  
  m : nat
  ============================
   0 + m = m + 0

subgoal 2 is:
 S n + m = m + S n

Sample_of_simpl < simpl.
2 subgoals
  
  m : nat
  ============================
   m = m + 0

subgoal 2 is:
 S n + m = m + S n

simpl を使うと左辺の0 + mがnに簡約されますが、右辺は変化がありません。ここは別途証明しておいた（というか標準ライブラリにはいっている）定理のplus_n_Oを使って書き換える事にします。

Sample_of_simpl < Check plus_n_O.         
plus_n_O
     : forall n : nat, n = n + 0

Sample_of_simpl < erewrite <- plus_n_O.
2 subgoals
  
  m : nat
  ============================
   m = m

subgoal 2 is:
 S n + m = m + S n

Sample_of_simpl < reflexivity.
1 subgoal
  
  n : nat
  m : nat
  IHn : n + m = m + n
  ============================
   S n + m = m + S n

帰納法の後半も simpl を使い、別の補題plus_n_Smを使います。

Sample_of_simpl < simpl.
1 subgoal
  
  n : nat
  m : nat
  IHn : n + m = m + n
  ============================
   S (n + m) = m + S n

Sample_of_simpl < Check plus_n_Sm.
plus_n_Sm
     : forall n m : nat, S (n + m) = n + S m

Sample_of_simpl < erewrite <- plus_n_Sm.
1 subgoal
  
  n : nat
  m : nat
  IHn : n + m = m + n
  ============================
   S (n + m) = S (m + n)

Sample_of_simpl < erewrite IHn.
1 subgoal
  
  n : nat
  m : nat
  IHn : n + m = m + n
  ============================
   S (m + n) = S (m + n)

Sample_of_simpl < reflexivity.
Proof completed.

Sample_of_simpl < Qed.

[Coq] Coq Advent Calender : intro (8 of 25)

　Coq でよく使われる tactic の８つ目は intro です。基本的には前に説明したintrosと同じで、introsと違って一度に１つしかintro出来ないのが違います。
　あと、introsと違ってintroの場合は、~Pの形のゴールを、Pという仮定と、Falseというゴールに変形出来ます。~PはP->Falseなのですが、intros.では~Pは~Pのままです。

　intro.を使った例です。

Coq < Lemma Sample_of_intro : forall P, ~~~P -> ~P.
1 subgoal
  
  ============================
   forall P : Prop, ~ ~ ~ P -> ~ P

Sample_of_intro < intro P.
1 subgoal
  
  P : Prop
  ============================
   ~ ~ ~ P -> ~ P

Sample_of_intro < intro nnnp.
1 subgoal
  
  P : Prop
  nnnp : ~ ~ ~ P
  ============================
   ~ P

Sample_of_intro < intro p.
1 subgoal
  
  P : Prop
  nnnp : ~ ~ ~ P
  p : P
  ============================
   False

Sample_of_intro < elim nnnp.
1 subgoal
  
  P : Prop
  nnnp : ~ ~ ~ P
  p : P
  ============================
   ~ ~ P

Sample_of_intro < intro np.
1 subgoal
  
  P : Prop
  nnnp : ~ ~ ~ P
  p : P
  np : ~ P
  ============================
   False

Sample_of_intro < elim np.
1 subgoal
  
  P : Prop
  nnnp : ~ ~ ~ P
  p : P
  np : ~ P
  ============================
   P

Sample_of_intro < exact p.
Proof completed.

Sample_of_intro < Qed.

[Coq] Coq Advent Calender : assert (7 of 25)

　Coq でよく使われる tactic の７つ目は assert です。

　１つ目のapplyのところで書いた様に、Coqの証明は最初にゴールがあって、それを仮定と逆に戻して行く格好になっています。しかし証明する人間は仮定からゴールを考える方が楽な場合、つまり証明途中で適当な補題を作りたくなる場合があります。
　補題はある程度汎用性があるならば、予め切り出して証明しておいた方が良いと思いますが、使い捨て的な補題は assert を使うと、証明内証明みたいに作る事ができます。例えば下記の例で、

Coq < Lemma Sample_of_assert : forall P Q, (P /\ P) -> (Q /\ Q) -> (P /\ Q). 
1 subgoal
  
  ============================
   forall P Q : Prop, P /\ P -> Q /\ Q -> P /\ Q

Sample_of_assert < intros P Q pp qq.
1 subgoal
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  ============================
   P /\ Q

　ここまで証明した段階で、forall X, X /\ X -> Xという補題があれば、ppからPを、qqからQを取り出せて便利そうだと考えました。そこでassertを使います。すると現在の証明課題より先に、まずこの補題が証明課題になります。

Sample_of_assert < assert(H: forall X, X /\ X -> X).
2 subgoals
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  ============================
   forall X : Prop, X /\ X -> X

subgoal 2 is:
 P /\ Q

Sample_of_assert < intros X xx.
2 subgoals
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  X : Prop
  xx : X /\ X
  ============================
   X

subgoal 2 is:
 P /\ Q

Sample_of_assert < destruct xx as [x _].
2 subgoals
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  X : Prop
  x : X
  ============================
   X

subgoal 2 is:
 P /\ Q

Sample_of_assert < exact x.
1 subgoal
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  H : forall X : Prop, X /\ X -> X
  ============================
   P /\ Q

　assertで設定した補題 H の証明が終わると、以後は仮定 H としてそれを使う事が出来ます。

Sample_of_assert < split.
2 subgoals
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  H : forall X : Prop, X /\ X -> X
  ============================
   P

subgoal 2 is:
 Q

Sample_of_assert < apply (H P).
2 subgoals
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  H : forall X : Prop, X /\ X -> X
  ============================
   P /\ P

subgoal 2 is:
 Q

Sample_of_assert < exact pp. 
1 subgoal
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  H : forall X : Prop, X /\ X -> X
  ============================
   Q

Sample_of_assert < apply (H Q).
1 subgoal
  
  P : Prop
  Q : Prop
  pp : P /\ P
  qq : Q /\ Q
  H : forall X : Prop, X /\ X -> X
  ============================
   Q /\ Q

Sample_of_assert < exact qq.
Proof completed.

Sample_of_assert < Qed.

[Coq] Coq Advent Calender : omega (6 of 25)

　Coq でよく使われる tactic の６つ目は omega です...ってanarchy proofは課題が数学寄りに偏っているから、順序が６つ目というのはあまり気にしないで下さい。

　omega タクティックはforallとかexistsとかを含まない形のPresburger算術 (Wikipedia)の式を自動証明してくれます。端的に言うと、

• 割り算無し


• 変数と変数の掛け算が入っているものはNG、変数と定数（2, 3などの具体的な整数）の掛け算はOK
  

みたいな感じの等式 or 不等式を証明します。
　Coqがよく使われる理由は、この手の数式関係の自動証明が便利に使えるからだと思います。整数の等式不等式に関する公理定理を組み合わせて証明するとか大変ですからね。

簡単な例はこんなのです。使い方は簡単で、Require Import Omega して、introsとかして、omega と入力するだけ。

Coq < Require Import Omega.

Coq < Lemma Sample_of_omega : forall x:nat, x > 1 -> 3 * x > x + 2.
1 subgoal
  
  ============================
   forall x : nat, x > 1 -> 3 * x > x + 2

Sample_of_omega < intros.
1 subgoal
  
  x : nat
  H : x > 1
  ============================
   3 * x > x + 2

Sample_of_omega < omega.
Proof completed.

　内部で実行された自動証明を見てみると、こんな感じらしい。

Sample_of_omega < Undo.
1 subgoal
  
  x : nat
  H : x > 1
  ============================
   3 * x > x + 2

Sample_of_omega < info omega.
 == refine (Decidable.dec_not_not (3 * x > x + 2) (dec_gt (3 * x) (x + 2)) _);
       intro H0;
       refine ((_:3 * x <= x + 2 -> False) (not_gt (3 * x) (x + 2) H0));
       clear H0; intro H0;
       refine ((_:(Z_of_nat x > Z_of_nat 1)%Z -> False) (inj_gt x 1 H));
       change ((Z_of_nat x > 1)%Z -> False); clear H; 
    intro H;
       refine ((_:(Z_of_nat (3 * x) <= Z_of_nat (x + 2))%Z -> False)
                 (inj_le (3 * x) (x + 2) H0));
       refine ((fun (P : Z -> Prop) (H : P (Z_of_nat 3 * Z_of_nat x)%Z) =>
                eq_ind_r P H (inj_mult 3 x))
                 (fun x0 : Z => (x0 <= Z_of_nat (x + 2))%Z -> False) _);
       change ((3 * Z_of_nat x <= Z_of_nat (x + 2))%Z -> False);
       refine ((fun (P : Z -> Prop) (H : P (Z_of_nat x + Z_of_nat 2)%Z) =>
                eq_ind_r P H (inj_plus x 2))
                 (fun x0 : Z => (3 * Z_of_nat x <= x0)%Z -> False) _);
       change ((3 * Z_of_nat x <= Z_of_nat x + 2)%Z -> False); 
    clear H0; intro H0; refine (ex_ind _ (intro_Z x)); 
    intro Zvar2; intro Omega11; refine (and_ind _ Omega11); 
    clear Omega11; intro Omega8; intro Omega11;
       refine ((_:(0 <= Z_of_nat x + -1 + - (1))%Z -> False)
                 (Zgt_left (Z_of_nat x) 1 H)); clear H;
       refine ((fun (P : Z -> Prop) (H : P Zvar2) => eq_ind_r P H Omega8)
                 (fun x : Z => (0 <= x + -1 + - (1))%Z -> False) _);
       change ((0 <= Zvar2 + -1 + -1)%Z -> False);
       refine (fast_Zplus_assoc_reverse Zvar2 (-1) 
                 (-1) (fun x : Z => (0 <= x)%Z -> False) _);
       change ((0 <= Zvar2 + -2)%Z -> False);
       refine (fast_Zred_factor0 Zvar2
                 (fun x : Z => (0 <= x + -2)%Z -> False) _); 
    intro Omega10;
       refine ((_:(0 <= Z_of_nat x + 2 + - (3 * Z_of_nat x))%Z -> False)
                 (Zle_left (3 * Z_of_nat x) (Z_of_nat x + 2) H0)); 
    clear H0;
       refine ((fun (P : Z -> Prop) (H : P Zvar2) => eq_ind_r P H Omega8)
                 (fun x0 : Z => (0 <= x0 + 2 + - (3 * Z_of_nat x))%Z -> False)
                 _);
       refine ((fun (P : Z -> Prop) (H : P Zvar2) => eq_ind_r P H Omega8)
                 (fun x : Z => (0 <= Zvar2 + 2 + - (3 * x))%Z -> False) _);
       refine (fast_Zmult_comm 3 Zvar2
                 (fun x : Z => (0 <= Zvar2 + 2 + - x)%Z -> False) _);
       refine (fast_Zopp_mult_distr_r Zvar2 3
                 (fun x : Z => (0 <= Zvar2 + 2 + x)%Z -> False) _);
       change ((0 <= Zvar2 + 2 + Zvar2 * -3)%Z -> False);
       refine (fast_Zplus_comm (Zvar2 + 2) (Zvar2 * -3)
                 (fun x : Z => (0 <= x)%Z -> False) _);
       refine (fast_Zplus_assoc (Zvar2 * -3) Zvar2 2
                 (fun x : Z => (0 <= x)%Z -> False) _);
       refine (fast_Zred_factor3 Zvar2 (-3)
                 (fun x : Z => (0 <= x + 2)%Z -> False) _);
       change ((0 <= Zvar2 * Zneg (3 - 1) + 2)%Z -> False); 
    intro Omega9;
       cut ((Zvar2 * -2 + 2)%Z = ((Zvar2 * -1 + 1) * 2 + 0)%Z);[intro H|idtac].
    refine ((_:(Zvar2 * -2 + 2)%Z = ((Zvar2 * -1 + 1) * 2 + 0)%Z -> False) H);
       clear H; intro auxiliary;
       refine ((_:(0 <= (Zvar2 * -1 + 1) * 2 + 0)%Z -> False)
                 (OMEGA1 (Zvar2 * -2 + 2) ((Zvar2 * -1 + 1) * 2 + 0)
                    auxiliary Omega9)); clear auxiliary Omega9; 
    intro Omega9;
       cut (2 > 0)%Z;[intro H|idtac].
    refine ((_:(2 > 0)%Z -> False) H); clear H;
       cut (2 > 0)%Z;[intro H|idtac].
    refine ((_:(2 > 0)%Z -> (2 > 0)%Z -> False) H); 
    clear H; intro auxiliary_1; intro auxiliary_2;
       refine ((_:(0 <= Zvar2 * -1 + 1)%Z -> False)
                 (Zmult_le_approx 2 (Zvar2 * -1 + 1) 0 auxiliary_1
                    auxiliary_2 Omega9));
       clear auxiliary_1 auxiliary_2 Omega9; intro Omega9;
       refine ((_:(0 <= Zvar2 * 1 + -2 + (Zvar2 * -1 + 1))%Z -> False)
                 (OMEGA2 (Zvar2 * 1 + -2) (Zvar2 * -1 + 1) Omega10 Omega9));
       refine (fast_OMEGA13 Zvar2 (-2) 1 1 (fun x : Z => (0 <= x)%Z -> False)
                 _); change ((0 <= Zneg (2 - 1))%Z -> False);
       change ((0 ?= Zneg (2 - 1))%Z <> Gt -> False);
       change (Gt <> Gt -> False); intro H; refine (False_ind False _);
       cut (Gt = Gt);[intro H0|idtac].
    refine ((_:Gt = Gt -> False) H0); clear H0;
       cut (Gt <> Gt);[intro H0|idtac].
    refine ((_:Gt <> Gt -> Gt = Gt -> False) H0); clear H0; 
    intro H0; intro H1; exact (H0 H1).
    
    exact H.
    
    change (Gt = Gt); exact (refl_equal Gt).
    
    change ((2 ?= 0)%Z = Gt); change (Gt = Gt); change (Gt = Gt);
       exact (refl_equal Gt).
    
    change ((2 ?= 0)%Z = Gt); change (Gt = Gt); change (Gt = Gt);
       exact (refl_equal Gt).
    
    refine (fast_OMEGA11 Zvar2 (-1) 1 0 2
              (fun x : Z => (Zvar2 * -2 + 2)%Z = x) _);
       change ((Zvar2 * -2 + 2)%Z = (Zvar2 * -2 + 2)%Z);
       change ((Zvar2 * -2 + 2)%Z = (Zvar2 * -2 + 2)%Z);
       exact (refl_equal (Zvar2 * -2 + 2)%Z).
    
Proof completed.

Sample_of_omega < 

[Coq] Coq Advent Calender : intros (5 of 25)

　Coq でよく使われる tactic の５つ目は intros です。

　実は過去４回の記事でも毎回 intros を使用していました。forall とかで定義された変数や -> の左の式とかを仮定に持って行く為に使います。introの複数形なので、introを必要な回数繰り返してもOKです。
　intros. だけでも勝手に適当に名前（仮定は通常 H? みたいな名前）を付けてくれますが、判りやすさを考えると自分で適切な名前を付けた方が良いと思います。

Coq < Lemma Sample_of_intros : forall A B C:Prop, (A->B->C) -> (A->B) -> A -> C.
1 subgoal
  
  ============================
   forall A B C : Prop, (A -> B -> C) -> (A -> B) -> A -> C

Sample_of_intros < intros A B C abc ab a.
1 subgoal
  
  A : Prop
  B : Prop
  C : Prop
  abc : A -> B -> C
  ab : A -> B
  a : A
  ============================
   C

Sample_of_intros < apply abc.
2 subgoals
  
  A : Prop
  B : Prop
  C : Prop
  abc : A -> B -> C
  ab : A -> B
  a : A
  ============================
   A

subgoal 2 is:
 B

Sample_of_intros < exact a.   
1 subgoal
  
  A : Prop
  B : Prop
  C : Prop
  abc : A -> B -> C
  ab : A -> B
  a : A
  ============================
   B

Sample_of_intros < apply ab; exact a.
Proof completed.

Sample_of_intros < Qed.
intros A B C abc ab a.
apply abc.
 exact a.
 
 apply ab; exact a.
 
Sample_of_intros is defined

Coq < 

[Coq] Coq Advent Calender : destruct (4 of 25)

　Coq でよく使われる tactic の４つ目は destruct です。

　destruct は基本的にはある項を場合分けする時使うのですが、仮定の中にある /\ とか \/ とか exists とかを分解するのに使うのに便利です。（それ以外のときは induction とか case_eq とか使う事が多い様にも思います。）
　下記の例では仮定 abc を分解して仮定 a, b, c を作っています。　

Coq < Lemma Sample_of_destruct : forall A B C:Prop,
Coq < A /\ (B /\ C) -> (A /\ B) /\ C.
1 subgoal
  
  ============================
   forall A B C : Prop, A /\ B /\ C -> (A /\ B) /\ C

Sample_of_destruct < intros A B C abc.
1 subgoal
  
  A : Prop
  B : Prop
  C : Prop
  abc : A /\ B /\ C
  ============================
   (A /\ B) /\ C

Sample_of_destruct < destruct abc as [a [b c]].
1 subgoal
  
  A : Prop
  B : Prop
  C : Prop
  a : A
  b : B
  c : C
  ============================
   (A /\ B) /\ C

Sample_of_destruct < split; [split|]; assumption.
Proof completed.

Sample_of_destruct < Qed.
intros A B C abc.
destruct abc as (a, (b, c)).
split; [ split | idtac ]; assumption.

Sample_of_destruct is defined

Coq < 

[Coq] Coq Advent Calender : rewrite (3 of 25)

　Coq でよく使われる tactic の３つ目は rewrite です。

　rewrite は仮定にある等式を使ってゴールを書き換えます。下記の例では、リスト xs について帰納法を用いて証明していますが、ゴールの中に含まれるlength (xs ++ ys)を、帰納法の仮定IHxsを用いてrewriteすることでlength xs + length ysに書き換えています。

Coq < Lemma Sample_of_rewrite : forall (A:Set)(xs ys:list A), 
Coq < length (xs ++ ys) = length xs + length ys.
1 subgoal
  
  ============================
   forall (A : Set) (xs ys : list A),
   length (xs ++ ys) = length xs + length ys

Sample_of_rewrite < intros A xs ys.
1 subgoal
  
  A : Set
  xs : list A
  ys : list A
  ============================
   length (xs ++ ys) = length xs + length ys

Sample_of_rewrite < induction xs.                        
2 subgoals
  
  A : Set
  ys : list A
  ============================
   length (nil ++ ys) = length nil + length ys

subgoal 2 is:
 length ((a :: xs) ++ ys) = length (a :: xs) + length ys

Sample_of_rewrite < reflexivity.       
1 subgoal
  
  A : Set
  a : A
  xs : list A
  ys : list A
  IHxs : length (xs ++ ys) = length xs + length ys
  ============================
   length ((a :: xs) ++ ys) = length (a :: xs) + length ys

Sample_of_rewrite < simpl.
1 subgoal
  
  A : Set
  a : A
  xs : list A
  ys : list A
  IHxs : length (xs ++ ys) = length xs + length ys
  ============================
   S (length (xs ++ ys)) = S (length xs + length ys)

Sample_of_rewrite < rewrite IHxs.
1 subgoal
  
  A : Set
  a : A
  xs : list A
  ys : list A
  IHxs : length (xs ++ ys) = length xs + length ys
  ============================
   S (length xs + length ys) = S (length xs + length ys)

Sample_of_rewrite < reflexivity.
Proof completed.

Sample_of_rewrite < Qed.
intros A xs ys.
induction xs.
 reflexivity.
 
 simpl in |- *.
 rewrite IHxs in |- *.
 reflexivity.
 
Sample_of_rewrite is defined

Coq < 

[Coq] Coq Advent Calender : auto (2 of 25)

　Coq でよく使われる tactic の２つ目は auto です。

　Coq は簡単な証明は自動的に証明してくれる機能が幾つかありますが、auto はよく使われます。autoが何をやっているか知りたい場合は、autoの代わりにinfo autoと入力すると、autoの中で何をしてるかが判ります。Coqの初学者にはinfoは便利ですよ。

Coq < Lemma Sample_of_auto : forall A B:Prop, ((((A->B)->A)->A)->B)->B.
1 subgoal
  
  ============================
   forall A B : Prop, ((((A -> B) -> A) -> A) -> B) -> B

Sample_of_auto < auto.
Proof completed.

Sample_of_auto < Qed.
auto.

Sample_of_auto is defined

Coq < 

[Coq] Coq Advent Calender : apply (1 of 25)

　技術的 Advent Calender という概念を知らなかったのですが、面白そうなので遅ればせながら始めてみました。という訳で12/1から開始出来なかったのはご容赦下さい。
　先日のCoq Party絡みで集計されたCoqでよく使われるtacticのリストの順に、そのtacticが使われている証明例を書いてみます。

　最初は apply です。
　「この仮定（下記の例では pq）を使うとゴール（下記の例では Q）が出て来る」という時に、apply pq とすると、ゴール Q が変化します。学校で習う普通の証明の順序と違って、Coqの証明はゴールを一歩一歩、仮定に戻して行きます。その時使うのが apply です。

Coq < Lemma Sample_of_apply : forall P Q:Prop, P -> (P->Q) -> Q.
1 subgoal
  
  ============================
   forall P Q : Prop, P -> (P -> Q) -> Q

Sample_of_apply < intros P Q p pq.
1 subgoal
  
  P : Prop
  Q : Prop
  p : P
  pq : P -> Q
  ============================
   Q

Sample_of_apply < apply pq.
1 subgoal
  
  P : Prop
  Q : Prop
  p : P
  pq : P -> Q
  ============================
   P

Sample_of_apply < exact p.  
Proof completed.

Sample_of_apply < Qed.
intros P Q p pq.
apply pq.
exact p.

Sample_of_apply is defined

Coq < 

[TAPL][Coq] Chapter 3: Boolean Expression

TAPLのChapter 3のBoolean式の部分に付いてCoqで証明してみました。
コードは http://ideone.com/COzSO に公開しています。

[TAPL] Types and Programming Languages Reading at Tokyo

Types and Programming Languages (通称 TAPL) の読書会の第0回が先日あったので報告。

TAPL読書会ですが、下記の様にGoogle groupが出来ました。開催情報とか流れるので興味のある方は登録をお勧めします。
http://groups.google.co.jp/group/taplreading-tokyo
次回開催は 11/3午後で、会場は同じく豆蔵オフィスです。

前回は、Chap.1はスキップ、Chap.2から読み始め、Chap.3の途中まででした。
次回はChap.3の続きから初めて、Chap.4(というか実装のChapterはこの先も)はスキップ、Chap.5を読む予定、となっています。
参加者は予習復習前提で、次回の範囲は予め読んで来ることが前提と、硬派な勉強会ということになりました。
Chap.4のような実装の箇所は各自実装したい人が自分で実装してちょっとデモをするということで。

参加者ですが、前回は総勢４名もCS専攻の大学院生の方が来てくれたのは良かったです。素人の社会人だけで勉強会してると簡単に行き詰るので。

懇親会も大変盛り上がっていたようで、大変有意義な一日でした。しかし、積読率高いですね＞TAPL。買ったけど読んでなかったとか、Chap.3までは読んだけどとか、そういう話ばっかり。

[event] Reading TAPL

Types and Programming Languages ( http://www.amazon.co.jp/dp/0262162091 ) という定番の教科書を読もうという読書会です。
東京近辺の方はぜひどうぞ。

http://atnd.org/events/8291

[Scala] Fibonacci series including 7110

　今更ながら http://recruit.drecom.co.jp/event2010 の「7110を含むフィボナッチ数列で、初期値の組み合わせが一番小さいものをあげろ。※自然数に限る」をScalaで解いてみた。
　もうイベントは終わったから解答公開してもいいよね。

　fib が 7110以下の範囲のフォボナッチ数列を計算する関数。zipとか使って格好良く書けるかもとも思うが、判りやすさ優先で。ysのところにxs'と書けないScalaは残念な感じだ。

scala> def fib(n0:Int,n1:Int) = {                   
     |   def f(xs:List[Int]):List[Int] = xs match { 
     |     case a::b::ys if a < 7110 => f((a+b)::xs)
     |     case _ => xs                             
     |   }                                          
     |   f(n1::n0::Nil)                                    
     | }
fib: (Int,Int)List[Int]

scala> def solve = for( n1 <- (1 to 100).toList;                       
     |   n0 <- (1 to n1).toList if fib(n0,n1).head==7110               
     | ) yield {(n0,n1)}
solve: List[(Int, Int)]

scala> solve
res7: List[(Int, Int)] = List((16,70), (70,86))
scala> 

[Coq] Coq-99 : Part 1

　前にS-99: Ninety-Nine Scala Problemsというのを紹介しましたが、Coqでも入門者が勉強用に解く為の問題集というのを考えてみました。

　まずは命題論理の証明の課題。勿論、tautoとかで一発だと思いますが、練習問題なので入門者は自力で解こう。
　Admitted.を消して証明を書く事が期待されています。

Section Prop_Logic.
  Lemma Coq_01 : forall A B C:Prop, (A->B->C) -> (A->B) -> A -> C.
  Admitted.
  Lemma Coq_02 : forall A B C:Prop, A /\ (B /\ C) -> (A /\ B) /\ C.
  Admitted.
  Lemma Coq_03 : forall A B C D:Prop, (A -> C) /\ (B -> D) /\ A /\ B -> C /\ D.
  Admitted.
  Lemma Coq_04 : forall A : Prop, ~(A /\ ~A).
  Admitted.
  Lemma Coq_05 : forall A B C:Prop, A \/ (B \/ C) -> (A \/ B) \/ C.
  Admitted.
  Lemma Coq_06 : forall A, ~~~A -> ~A.
  Admitted.
  Lemma Coq_07 : forall A B:Prop, (A->B)->~B->~A.
  Admitted.
  Lemma Coq_08: forall A B:Prop, ((((A->B)->A)->A)->B)->B.
  Admitted.
  Lemma Coq_09 : forall A:Prop, ~~(A\/~A).
  Admitted.
End Prop_Logic.

解答例は例えばこれとか。

[Joke]Falso : HyperVerifier and HyperProver

　twitterで知ったジョークサイトなんだが、Falso, by Estatis Inc.があります。

　「ある公理を導入すれば」なんでも証明出来てしまう(笑)という話で、それをいかにも画期的新製品みたいな感じに仕上げているのがおかしい。

　追記：togetter: Falso 定理証明系の大革命

[FM] Maude

　今日はFormal Methods Forumの勉強会で、いつものCoq (CPDT)の話の他に、Maudeをちょっと触ってみた、という話をしました。

　Maudeは項書き換え系の言語で形式仕様記述やモデル検査、DSL記述などにも使える言語です。
　Coqと違って証明も出来るけどメインは仕様記述＆それ自体がプロトタイプとして動く、かなぁ。パズルとかにも役に立つかも。

　あわてて作った資料なんで完成度は低いですがこちら。
Slideshare上のプレゼン
PDF資料

　Maudeに興味のある方はコメント頂けると嬉しいです。

[Coq] CoqUn -- Summer Coq Event in Nagoya

　2010/08/29に名古屋でCoq庵 -- 日本の夏、証明の夏というCoqのイベントが開催されます。
　といっても、Coqユーザが集まって話をしようという比較的緩いイベントなんで、Coq初めてという人も参加すると良いのではなかろうか。入門的な話もあります。

[Coq] Puzzle from Hiyama-san's Blog

　檜山さんのblogに掛け算から足し算を作る（パズルとしてやってみよう）という問題が載っています。
　Coqの練習問題としてちょうど良いかと思い解いてみました。
　思ったより時間がかかってしまい、解き終わる前にネタばらしが出ちゃったのだけど、一応、解いた解答です。http://ideone.com/Staa3

　分配則は簡単だったが、交換則を思いつくまでに苦労した。交換測を思いついたらその延長で結合則もなんとか。ただ、証明はちまちまとrewriteしてるだけ。ここは本当は自動化できるんだろうなぁ。
　Coq初心者的には、inv関係の{a'|a*a'=1}みたいな記法の使い方に慣れたのが良かったか。あとAxiom eq_dec_0:forall a:G, {a=0}+{a<>0}みたいなdecide出来る公理の便利さを実感した。

[Scala] Scala 2.8 Continuation (1)

root/compiler-plugins/continuations/trunk/doc/examples/continuationsに載っているサンプルコードをREPLで写経してみます。

Test0.scala

scala> import scala.util.continuations._            
import scala.util.continuations._

scala> reset {                                      
     |   2 * {                                      
     |     println("up")                            
     |     val x = shift((k:Int=>Int) => k(k(k(8))))
     |     println("down")                          
     |     x                                        
     |   }                                          
     | }
up
down
down
down
res1: Int = 64

これはdef k(i:Int):Int = {println("down"); 2*i}と考えればOK。

Test1.scala

scala> object Test1 {                                 
     |   def testThisMethod() = {                     
     |     1 + (shift((k:Int=>Int) => k(k(k(17)))))   
     |   }
     |   def testThisCallingMethod() = {              
     |     testThisMethod() * 2                       
     |   }
     |   def m() {
     |     val result = reset(testThisCallingMethod())
     |     println(result)
     |   }
     | }
defined module Test1

// ((((((17 + 1) * 2) + 1) * 2) + 1) * 2) = 150

scala> Test1.m()                                      
150

k = (_+1)*2 と考えればこれも予想通りの結果。
resetの中にshiftを書くのはOKだが、resetなしでshiftだけの関数を定義しようとすると下記の様にエラーになります。仕方が無いのでobject Test1 {...} に包みます。

scala> def testThisMethod() = {
     |   1 + (shift((k:Int=>Int) => k(k(k(17)))))
     | }
:2: error: type mismatch;
 found   : Int @scala.util.continuations.cpsSynth @scala.util.continuations.cpsParam[Int,Int]
 required: Int
object RequestResult$line4$object {
                                  ^

Test2.scala

scala> object Test2 {                             
     |   def methA() = {                          
     |     def fun(k:Int=>String) = {             
     |       for(i <- List(1,2,3,4)) println(k(i))
     |       Some("returnvalue")                  
     |     }                                      
     |     2 * shift(fun)                         
     |   }
     |   def methB() = {                          
     |     "+++ "+methA().toString()              
     |   }
     |   def m() = reset(methB())                 
     | }
defined module Test2

scala> Test2.m()
+++ 2
+++ 4
+++ 6
+++ 8
res0: Some[java.lang.String] = Some(returnvalue)

k = "+++" + (2 * _).toString() ですか。

[Scala] Scala 2.8 RC4 and continuation plugin

　Scala 2.8 RC4 が出ました --- が、なんかバグがあるらしく来週には RC5 が出るそうです。なんか品質安定しませんね＞Scala 2.8。

　RC4からは限定継続のコンパイラプラグインが付属される様になりました。
　使い方はこんな感じ。Scala 2.8 RC4を導入したディレクトリに居るとします。pluginにパスを通し、continuationをenableにする必要があります。

% cd ~/scala28rc4
% ./bin/scala -Xpluginsdir ./misc/scala-devel/plugins/ ¥
-Xplugin:continuations -P:continuations:enable
Welcome to Scala version 2.8.0.RC4 (Java HotSpot(TM) 64-Bit Server VM, Java 1.6.0_20).
Type in expressions to have them evaluated.
Type :help for more information.

scala> import scala.util.continuations._         
import scala.util.continuations._

scala> reset {
     |   shift { (k:Int=>Int) =>
     |     k(k(k(7)))
     |   } + 1
     | }
res0: Int = 10

scala> 

限定継続をおいおい勉強しようと思います。

[Coq] How to define complex inductions

Coq の証明の書き方パターンを yoshihiro503 さんに教わったので、忘れないうちに。

自然数に関する定理を証明したい場合に、下記の様な補題が欲しかったとします。

Lemma nat2_ind : forall P:nat -> Prop, P 0 -> P 1 ->
  (forall n:nat, P n -> P (S n) -> P (S (S n))) ->
  (forall n:nat, P n).

教わったコードを元に自分なりに書いてみたのが下記の証明です。

  
  ============================
   forall P : nat -> Prop,
   P 0 ->
   P 1 ->
   (forall n : nat, P n -> P (S n) -> P (S (S n))) -> forall n : nat, P n

nat2_ind < intros P H0 H1 IH.          
1 subgoal
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ============================
   forall n : nat, P n

nat2_ind < refine (fix ll n : P n := _).     (* ここで refine を使って ll を定義するのがポイント *)
1 subgoal
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  n : nat
  ============================
   P n

(* しかしここで apply ll しても駄目。llはIHの仮定のところで使う *)

nat2_ind < induction n.
2 subgoals
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  ============================
   P 0

subgoal 2 is:
 P (S n)

nat2_ind < exact H0.  (* n=0 のケースは P 0 *)
1 subgoal
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  n : nat
  IHn : P n
  ============================
   P (S n)

nat2_ind < induction n.
2 subgoals
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  IHn : P 0
  ============================
   P 1

subgoal 2 is:
 P (S (S n))

nat2_ind < exact H1.  (* n=1 のケース *)
1 subgoal
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  n : nat
  IHn : P (S n)
  IHn0 : P n -> P (S n)
  ============================
   P (S (S n))

nat2_ind < apply IH.   (* IH を使う *)
2 subgoals
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  n : nat
  IHn : P (S n)
  IHn0 : P n -> P (S n)
  ============================
   P n

subgoal 2 is:
 P (S n)

nat2_ind < apply ll.  (* IHの仮定のところにはll を使ってOK *)
1 subgoal
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  n : nat
  IHn : P (S n)
  IHn0 : P n -> P (S n)
  ============================
   P (S n)

nat2_ind < apply IHn0.          
1 subgoal
  
  P : nat -> Prop
  H0 : P 0
  H1 : P 1
  IH : forall n : nat, P n -> P (S n) -> P (S (S n))
  ll : forall n : nat, P n
  n : nat
  IHn : P (S n)
  IHn0 : P n -> P (S n)
  ============================
   P n

nat2_ind < apply ll.  (* もう一度 ll を使う *)
Proof completed.

nat2_ind < Qed.

そもそもの証明のゴールをrefineを使ってllとして定義して、証明の中でllを使っているので非常に不思議なのですが、変な所（例えばrefine直後に）でapply llしてProof CompleteしてもQedしたとたんにエラーになります。エラーが出ない様にH0,H1,IHを使えば、証明が正しい事になります。

なお、同じ定理を短く書くとkikxさんの証明ゴルフみたいになるようです。すごい。

[Coq] Arithmetic in Coq : N

Nは二進数で表現された自然数の型です。

Require Import NArith.すると使用出来ます。型の定義は下記の様です。

Inductive N : Set :=  N0 : N | Npos : positive -> N

positiveは下記の様に定義されています。

Inductive positive : Set :=
    xI : positive -> positive | xO : positive -> positive | xH : positive

こんな感じで正の数を表現しています。xHが最上位ビットで、xIが x -> 2x+1, xOが x -> 2x ということです。

Coq < Check (xO (xI (xO xH))).
10%positive : positive

これは(1~0~1~0)%positive.とも書けます。

natとの変換は下記で可能。

nat_of_N : N -> nat
N_of_nat : nat -> N

演算子は

Ndouble_plus_one, Ndouble : N -> N
Nsucc, Npred : N -> N
Nplus, Nminus, Nmult : N -> N -> N　。+, -, * もあり。
Ncompare : N -> N -> comparison 。Infixで ?=
  comparisonは、
  Inductive comparison : Set :=
    Eq : comparison | Lt : comparison | Gt : comparison
Nlt, Ngt, Nle, Nge : N -> N -> Prop　。Infix で <, <=, >, >=
Nmin, Nmax : N -> N -> N
Ndiv2 : N -> N

Nに関する帰納法は次の２つの好きな方を使える。Nrectを用いてNindもある。

N_ind_double
     : forall (a : N) (P : N -> Prop),
       P 0%N ->
       (forall a0 : N, P a0 -> P (Ndouble a0)) ->
       (forall a0 : N, P a0 -> P (Ndouble_plus_one a0)) -> P a
Nrect
     : forall P : N -> Type,
       P 0%N -> (forall n : N, P n -> P (Nsucc n)) -> forall n : N, P n

Require Import ZArith.ZOdiv.すれば、

Ndiv_eucl : N -> N -> N * N
Ndiv : N -> N -> N
Nmod : N -> N -> N
Theorem Ndiv_eucl_correct: forall a b,
  let (q,r) := Ndiv_eucl a b in a = (q * b + r)%N.

と除算も使える。

---
追記
ZArith.ZOdivと、ZArithの中でImportしてるZArith.Zdivとは互換性無いのだな。
ZArithを使わないことはまず無いので、ZOdivは使わないほうがよさそう。

[Coq] Arithmetic in Coq : nat

Coqで大きな自然数あるいは整数を使いたくなったので調べてみました。

★nat

　Coqで自然数というと基本はnatです。natというと自分で作る物であるかの様な気すらしますが勿論標準で備わっています。
　natを使う場合Require Import Arith.すると標準ライブラリが使えます。

●基本
Init.Peanoの中で、pred, plus, mult, le, lt, ge, gtが定義されていてImport不要で使える。

●大小比較関係

- eq_nat : nat -> nat -> Prop
-- heorem eq_nat_decide : forall n m, {eq_nat n m} + {~ eq_nat n m}. が使える
- lt_eq_lt_dec n m : {n < m} + {n = m} + {m < n}. こんな感じで使う
Definition nat_compare (n m:nat) :=
  match lt_eq_lt_dec n m with 
    | inleft (left _) => Lt
    | inleft (right _) => Eq
    | inright _ => Gt
  end.
-- le_lt_dec n m : {n <= m} + {m < n}. など

●四則演算

- 末尾再帰なtail_plusというのもある
- minus : nat -> nat -> nat. n - m とかも書ける。結果が負になる場合もOを返す。
- min, max : nat -> nat -> nat.
- div2, double : nat -> nat.
- 除算は無いが、Require Import Arith.Euclid. すれば商と剰余には下記がある
-- quotient : forall n, n > 0 ->
    forall m:nat, {q : nat | exists r : nat, m = q * n + r /\ n > r}.
-- modulo : forall n, n > 0 ->
    forall m:nat, {r : nat | exists q : nat, m = q * n + r /\ n > r}.

[Coq] FoCaLize Tutorial (2)

　[Coq] FoCaLize Tutorial (2)の続き。

　前回のextsubset.fclに

  theorem incl_remove_mem : all s : Self, all v : Val,
                            ~(v << s) -> s <: s - v
    proof = by property mem_congr, mem_remove, mem_incl ;

を追加すると自動証明が失敗するのでFoCaLizeの手動証明を試す予定なのだが...自動証明がそのまま通るみたいだ。

　が、ここは一応Tutorial通り、手動証明も試してみる事にする、証明を下記の様に直してみる。

    proof = <1>1 assume s : Self, v : Val, hypothesis Hv : ~(v << s),
                 prove s <: s - v
              <2>1 assume w : Val, hypothesis Hw : w << s,
                   prove w << s - v
                <3>1 prove ~(Val!( = )(w, v)) /\ w << s
                  <4>1 prove ~(Val!( = )(w, v))
                       by property mem_congr hypothesis Hv, Hw
                  <4>2 prove w << s
                       by hypothesis Hw
                  <4>f conclude
                <3>f qed by property mem_remove step <3>1
              <2>f qed by property mem_incl step <2>1
            <1>f conclude ;

再度コンパイルするとこれでも通る。上記の様に手で証明を記述しても生成されたCoqの証明は短く分割されて読みやすくはなるもののやはり人間向けの証明とは言えない感じである。

証明に通らない例として

  theorem remove_insert : all s : Self, all v : Val,
                          v << s -> s = (s - v) + v
    proof = <1>1 assume s : Self, v : Val, hypothesis Hv : v << s,
                 prove s = (s - v) + v
              <2>1 assume w : Val, hypothesis Hw : w << s,
                   prove w << (s - v) + v
                   by property mem_insert, mem_remove
              <2>2 assume w : Val, hypothesis Hw : w << (s - v) + v,
                   prove w << s
                   by property mem_insert, mem_remove, mem_congr, Val!diff_eq
              <2>f qed by property eq_incl, mem_incl step <2>1, <2>2
            <1>f conclude ;

を試すと下記の様にエラーが出る。

% ~/pkg/bin/focalizec extsubset.fcl
Invoking ocamlc...
>> /Users/miyamoto/pkg/focalize-0.6.0/bin/ocamlc -I /Users/miyamoto/pkg/lib/focalizec-0.6.0 -c extsubset.ml
Invoking zvtov...
>> /Users/miyamoto/pkg/focalize-0.6.0/bin/zvtov -zenon /Users/miyamoto/pkg/focalize-0.6.0/bin/zenon -new extsubset.zv
File "extsubset.fcl", line 61, characters 19-53:                
Zenon error: could not find a proof within the memory size limit
### proof failed
%

これについてもチュートリアルに従い証明を完全に記述するとコンパイルに通る。

　なんとなくCoqに慣れてしまったので、FoCaLizeを用いて証明を記述する方が寧ろ判りにくいようにも思う。

[Coq] FoCaLize Tutorial (1)

　形式手法開発ツールのFoCaLizeをインストールして動かしてみました。

　FoCaLizeは言語名かつツール群の総称です。言語としては、ちょっとオブジェクト指向風（継承などの要素があったり、speciesというクラスっぽいものがある）な純粋関数型言語で、FoCaLizeという言語で書いたプログラムは、OCamlのコードが生成されると共に、（ちょっとしたヒントを人間が与える事で）Zenonという自動証明器がCoq用の証明を自動生成します。
　多分、普通のJavaプログラマとかには、素のCoqよりもFoCaLizeの方が習得しやすい思われる。逆にバリバリのOCamlerみたいな人には素のCoqを使う方が楽なんじゃなかろうか。
　開発元は例によってCoqなどと同じINRIAです。Coq界隈だけでもCoq自体に、FoCaLizeに、Ynotにとなんかツールが多過ぎて全然勉強がおいつきません。

★インストール

Downloadからtar ballをダウンロードして、

# ./configure
# make
# make install

するとOK。Coqが既に動くならそんなに大変じゃないと思う。（前提にghostscriptを要求されたり良く解らんところもあるが）

★superset.fcl

Tutorialに従い、まずはsuperset.fclをコンパイルしてみます。下記を superset.fcl として入力。文法は概ねOCaml風です。

use "basics" ;;
species Superset =
  signature ( = ) : Self -> Self -> basics#bool ;
  property eq_refl : all x : Self, x = x ;
  property eq_symm : all x y : Self, x = y -> y = x ;
  property eq_tran : all x y z : Self, x = y -> y = z -> x = z ;
  theorem eq_symmtran : all x y z : Self, x = y -> x = z -> y = z
    proof = by property eq_symm, eq_tran ;
end ;;

内容は大体見当がつくと思います。Selfというのは、OOな用語で言えば自クラスのことで、自インスタンス(Javaのthis)ではありません --- まぁ
Self -> Self -> basics#bool
を見ればそれは判るか。

% focalizec superset.fcl
でコンパイルすると、OCamlのコード (superset.ml) とかTheoremの証明 (superset.v) などが生成されます。eq_symm, eq_tran を使え、と指示するだけで自動証明されるのでCoqとかに不慣れでも使いやすいかも。ただ生成される証明が

exact(
(NNPP _ (fun zenon_G=>(zenon_notallex (fun x:abst_T=>(forall y:abst_T,(
forall z:abst_T,((Is_true (abst__equal_ x y))->((Is_true (abst__equal_
x z))->(Is_true (abst__equal_ y z))))))) (fun zenon_H2a=>(zenon_ex
abst_T (fun x:abst_T=>(~(forall y:abst_T,(forall z:abst_T,((Is_true (
   ...47行省略...
abst_eq_tran)))) zenon_H1b)) (zenon_notnot _ (refl_equal (abst__equal_
zenon_Tz_k zenon_Ty_e))) zenon_Hb)) zenon_H8 zenon_H9)) in (zenon_noteq
_ zenon_Ty_e zenon_H7)))) (fun zenon_H5=>(zenon_H6 zenon_H5)) zenon_H22)
) zenon_H23)) abst_eq_symm)) zenon_H24)) zenon_H25)) zenon_H26))
zenon_H27)) zenon_H28)) zenon_H29)) zenon_H2a)) zenon_G)))).

みたいな感じで、人間が読む証明じゃないよなー。あとNNPP : forall p : Prop, ~ ~ p -> pを使うのありなんだ、みたいな。

★subset.fcl

同様にsubset.fclを入力。

use "basics" ;;
open "superset" ;;

species Subset(Val is Superset) =
  signature ( << ) : Val -> Self -> basics#bool ;

  signature empty : Self ;
  property mem_empty : all v : Val, ~(v << empty) ;

  signature ( + ) : Self -> Val -> Self ;
  property mem_insert : all v1 v2 : Val, all s : Self,
                        v1 << s + v2 <->
                        (Val!( = )(v1, v2) \/ v1 << s) ;

  signature ( - ) : Self -> Val -> Self ;
  property mem_remove : all v1 v2 : Val, all s : Self,
                        v1 << s - v2 <->
                        (~(Val!( = )(v1, v2)) /\ v1 << s) ;
end ;;

　内容は見れば判ると思いますが<<, +, -が集合の∈、要素の追加、削除に対応します。Val!( = )とうのはValクラスの( = )メソッドを呼び出す、みたいな意味です。

★extsubset.fcl

次に継承を使う例を。ExtSubsetはSubsetを継承します。

use "basics" ;;
open "superset" ;;
open "subset" ;;

species ExtSubset(Val is Superset) =
  inherit Superset, Subset(Val) ;

  signature ( <: ) : Self -> Self -> basics#bool ;
  property mem_incl : all s1 s2 : Self,
                      s1 <: s2 <-> all v : Val, v << s1 -> v << s2 ;
  theorem incl_refl : all s : Self, s <: s
    proof = by property mem_incl ;
  theorem incl_tran : all s1 s2 s3 : Self,
                      s1 <: s2 -> s2 <: s3 -> s1 <: s3
    proof = by property mem_incl ;

  theorem incl_empty : all s : Self, empty <: s
    proof = by property mem_incl, mem_empty ;
  theorem incl_insert : all s : Self, all v : Val, s <: s + v
    proof = by property mem_insert, mem_incl ;
  theorem incl_remove : all s : Self, all v : Val, s - v <: s
    proof = by property mem_remove, mem_incl ;

  let ( = ) (s1, s2) = if (s1 <: s2) then (s2 <: s1) else false ;

  property mem_congr : all v1 v2 : Val, Val!( = ) (v1, v2) ->
                       (all s : Self, (v1 << s) <-> (v2 << s)) ;

  theorem incl_insert_mem : all s : Self, all v : Val,
                            v << s -> s + v <: s
    proof = by property mem_congr, mem_insert, mem_incl ;
end ;;

　この次には、自動証明が失敗するケースを扱います。

[Coq] ASN.1 Library is under construction

　この連休にCoqの練習がてら作っていたASN.1のライブラリで、全然完成してないのだがとりあえず出来たところまで公開。
　Coqdocで生成したドキュメントがTLV.htmlです。（コードが成長したら随時更新予定）

　ASN.1が何かについては、A Layman's Guide to a Subset of ASN.1, BER, and DERあたりを読んで下さい。電子証明書とかで使っているバイナリフォーマットなので、証明付きのライブラリを作りたいのだ。

　本当は

Inductive tlv_value : Set := 
| Primitive : string -> tlv_value 
| Structured : list tlv -> tlv_value
.

みたいに定義したかったのだが、そうするとtlv_value, tlv に関する帰納法をうまく構成出来なかった。まだCPDT Chapter 3の読み込みが足りないのだろうなぁ。
　が、とりあえず幾つかの定理も証明できたし、出だしとしてはこんなものかもとも思う。

　Coqを勉強しようと思う様なプログラマの人は、ある程度複雑な型（相互再帰的だったり再帰がネストしていたり）を定義出来ると思うが、Coqは帰納型に対して帰納法を与える関数が作れないと駄目で、しかしそこが実は難しい、というのがこの連休に得た知見だ。

[Coq] How to use Record

　Coq で Record を使う方法を調べました。基本的には記述を簡単にする構文糖のようです。これを使うと、事前条件を満たす証明を要求するコンストラクタを簡単に書けます。
　使い方は下記の例を見てもらうのが簡単でしょう。

　まず正の有理数を表すRat型を作りたいと考えます。符号は無視するとして、分母が０で無いことを保証したい、分子分母が既約である事を保証したい、とします。こんな感じに書けます。

Record Rat : Set := mkRat {
  numer : nat;
  denom : nat;
  denom_not_zero : denom <> O;
  irreducible : forall g n d:nat, 
    (mult g n)=numer /\ (mult g d)=denom -> g = S O
}.

Ratで 1/2 を定義したい時はこんな感じになります。まず補題を証明しないと値を作れません。

Lemma two_not_zero : 2 <> 0.
Proof.
  discriminate.
Qed.
Lemma one_two_irred : forall g n d:nat, (mult g n)=1 /\ (mult g d)=2 -> g = S O.
Admitted. (* 証明省略 *)

こうして初めて値を作れます。

Definition half : Rat := mkRat 1 2 two_not_zero one_two_irred.
Print half. (* mkRat 1 2 two_not_zero one_two_irred : Rat *)
Eval compute in (numer half). (* 1 : nat *)
Eval compute in (denom_not_zero half). (* two_not_zero *)

アクセサに見えるnumerなどは単なる関数です、従って同じ名前空間でnumerを他に定義出来ません。

Print numer.
numer = 
fun r : Rat => let (numer, denom, _, _) := r in numer
     : Rat -> nat

Ratに関する帰納法は下記の様になります。

Print Rat_ind.
(* forall P : Rat -> Prop,
       (forall (numer denom : nat) (denom_not_zero : denom <> 0)
          (irreducible : forall g n d : nat,
                         g * n = numer /\ g * d = denom -> g = 1),
        P (mkRat numer denom denom_not_zero irreducible)) ->
       forall r : Rat, P r *)

[Alloy][FM] Sample code: Addressbook

　[Coq][FM] Fomal Methods Forum #4でのAlloyチュートリアルの話。

　まず Alloy4 を各自インストールしておくのは前提。但し、JARファイル１つなので、JRE (Java5以上) が入っているコンピュータならば起動は難しくありません。

　表示されるWindowの左側入力欄に下記を打ち込みます。

sig Name, Addr {}
sig Book {
  addr: Name -> lone Addr
}

　sigというのは普通のOO言語のクラス定義の様なもの --- なんですが、Alloy はOOなプログラミング言語ではないのでOOとのアナロジーは時に誤解を与えるかも。どちらかというと、RDBMSに Name, Addr という表を作ったと考えるといいかも。実際、Alloy は関係代数に基づいていますし。
　OO でいうところのインスタンスはAlloyではatomと言います。Alloyでインスタンスというのは、全てのatomから構成されるモデル（モデルの中には求める反例とかも含まれます）のことを指します。用語は間違わない様に。
　また、. (ドット演算子) もOO言語の属性やメソッドを指す様に勘違いしますが、join演算子で、RDBのjoinみたいな振る舞いをします。
　Bookのatomを仮に B0, B1 と書くと、Book は {(B0), (B1)} という集合です。（ () はタプル、{}は集合を表す。）

　lone は 0 or 1 個を表す数量限定子です。他にも all (全ての)、some (１個以上)、one (１個)、no (０個) があります。lone Addr は、関数型言語的には Option Addrのようなものです。
　addr は Book の属性みたいに見えますが、これも関数型言語的には addr : Book -> Name -> Option Addr -> Prop みたいに考えると良いです。addr は (Book, Name, Addr) のタプル型の元の集合、例えば{(B0,N0,D0), (B1,N1,D1)}として表現されます。 （関係 R : R x y は (X,Y) の部分集合として表現出来る）
　Book = {(B0),(B1)} であると、ドットはjoin演算子なので（テンソルとかの添字の縮約の如く）ジョイン演算をします。Bookとaddrの共通のB0を見て(B0).(B0,N0,D1)=(N0,D0)の様に計算して、b=B0ならば、b.addr={(N0,D0)}, Book.addr={(N0,D0),(N1,D1)} となります。

　この時点で sig Book {...} の下に

pred show[] {}
run show for 3

と書いて Execute のボタンを押します。
　右側に Instance found と出るので Instance のリンクを押すと、atom 間の関係を示すダイヤグラムが表示されます。nextを押すと別のインスタンスが表示されます。
　for 3 と書いたので各 sig 毎に 3 atom づつです。

　次にモデルの性質をテストする事を考えます。addr を追加して削除すると元に戻る、という性質が成り立つ事をモデル検査で確認（＝反例が見つからない事を確認）します。
　まず追加と削除を表す述語を定義します。述語なので戻り値は真偽値を返します。

pred add[disj b,b':Book, n:Name, a:Addr] {
  b'.addr = b.addr + (n -> a)
}
pred del[disj b,b':Book, n:Name] {
  b'.addr = b.addr - (n -> Addr)
}

　Alloyは手続き型言語ではないので、b'addrに何か破壊的代入が行われる事は無く、単にbとb'の間の関係を示しているだけです。disjはbとb'とが別atomであるという意味です。

　次いでテストしたい性質を書きます。

assert delUndoesAdd {
  all b,b',b'':Book, n:Name, a:Addr |
    add[b,b',n,a] and del[b',b'',n] implies b.addr = b''.addr
}
check delUndoesAdd for 5

　|はsuch thatみたいな意味、and, implisは論理演算の記号です。

　これを追加してexecuteすると「何故か」counterexampleが見つかったと表示されます。counterexampleをじっと眺めると、bとb'が同じBookであることが判ります。
　これは元々 b に (n -> a) が含まれていた場合、b, b' が同じになるからです。（集合に既にある要素を加えても同じ）
　assertの中身を

    no n.(b.addr) and add[b,b',n,a] and del[b',b'',n] implies b.addr = b''.addr

に修正するとconterexampleが無くなります。

[Coq][FM] Fomal Methods Forum #4

　4/29に第4回FormalMethods勉強会を行いました。

　今回は
Alloy
　Alloyの教科書の例題（アドレス帳）を元に文法を勉強しました。大体文法は把握出来たかな。
　あとは自分で使ってみるべきなんだろうが、あまりモデリングとか仕事でやらないしなぁ。とりあえずパズルをAlloyで解く練習をするかなぁ。

CEGAR
　今回はCEGARという手法の話を聞きました。CEGARはCounterExample-Guided Abstraction Refinementの略で、モデル検査における状態数爆発を抑える為の一手法です。
　モデル検査で扱う検査の中に、到達可能性解析（エラー状態などの特定の状態にと到達するか否かの解析）があります。
　状態数を抑える方法としてモデルの抽象化（モデルの粗視化）があります。抽象化によって、エラー状態に遷移する可能性のある状態と、到達しない状態とが同一視されてしまうと、本当はエラー状態に到達しないにも関わらず、エラー状態に達すると誤って判定されます。
　CEGARは、エラー状態に到達する解に対して、解析（最弱事前条件？）を行って抽象化を修正（状態を分割）して再解析する手法です。エラー状態に達した場合にはそれが本当に達したのか、抽象化を改善して再度解析を実施します。
　原理だけ聞くと、当たり前の話と思えるのですが、実際に自動化するところを実装するのは難しそうというか見当が付かない。

Coq
　CoqはCertified Programming with Dependent TypeのChapter 1,2をざっと流して、Chapter 3を3.3まで読み終わりました。
　当日使用した資料 (PPT, Coqファイル) についてはGoogleグループ上の記事にリンクを纏めましたので、そちらから辿って下さい。
　本当はChapter 3を終わりたかったのですが終わらなかったのはちょっと残念でした。

[Coq] Tail-recursive reverse

　先のreverse (reverse xs) = xsで示した reverse は末尾再帰でなく、効率の悪い定義である。
　そこで末尾再帰な

Fixpoint rev' {A:Set} (xs ys:list A) :=
 match xs with
 | nil => ys
 | cons x xs' => rev' xs' (cons x ys)
 end.
Definition rev {A:Set} (xs:list A) :=
 rev' xs nil.
Eval compute in rev (cons 1 (cons 2 (cons 3 nil))).

について

Theorem reverse_rev : forall (A:Set) (xs:list A),
 reverse xs = rev xs.

が成り立つ事を示そう。まず補題

Lemma rev'_reverse : forall (A:Set) (xs ys:list A),
 rev' xs ys = reverse xs ++ ys.
Proof.
 intros A xs.
 induction xs; simpl.
   intro. reflexivity.
 intro ys'.
 rewrite (IHxs (cons a ys')).
 (* reverse xs ++ cons a ys' =
    (reverse xs ++ cons a nil) ++ ys' *)
 assert (H: cons a ys' = (cons a nil) ++ ys').
 induction ys'; simpl.
   reflexivity.
 reflexivity.
 rewrite H.
 rewrite (append_assoc A (reverse xs) (cons a nil) ys').
 reflexivity.
Qed.

である。証明の冒頭で intros A xs だけを行い、ysについては intro していないが、ys を残したまま xs の帰納法を行わないと、IHxs を apply するときにうまくいかない。「無闇に intro しない方が良い」という良い例なので、ys を一緒に intros してしまうなど自分で試行錯誤してみて欲しい。

　この補題を使えば、

Theorem reverse_rev : forall (A:Set) (xs:list A),
 reverse xs = rev xs.
Proof.
 intros.
 unfold rev.
 induction xs; simpl.
   reflexivity.
 (* reverse xs ++ cons a nil = rev' xs (cons a nil) *)
 rewrite IHxs.
 (* rev' xs nil ++ cons a nil = rev' xs (cons a nil) *)
 rewrite (rev'_reverse A xs nil).
 rewrite (rev'_reverse A xs (cons a nil)).
 assert (H: forall l:list A, l ++ nil = l).
   induction l; simpl.
     reflexivity.
   rewrite IHl.  reflexivity.
 rewrite (H (reverse xs)).
 reflexivity.
Qed.

と証明出来る。