确定循环不变式的最佳方法是什么？

Question

当使用形式方面创建一些代码时，是否有确定循环不变式的通用方法，或者根据问题的不同，它会完全不同吗？

Answer 1

已经有人指出，同一个循环可以有多个不变量，而可计算性对你不利。这并不意味着你不能尝试。

事实上，您正在寻找一个归纳不变量：“不变量”这个词也可以用于表示在每次迭代中都为真的属性，但仅仅知道它在一次迭代中保持不变还不够。推断它在下一个成立。如果I是归纳不变量，则I的任何结果都是不变量，但可能不是归纳不变量。

您可能试图获得归纳不变量来证明循环在某些定义的情况（前提条件）下的特定属性（后置条件）。

有两种启发式方法效果很好：

• 从你所拥有的（前提条件）开始，然后减弱，直到你得到归纳不变量。为了直观地了解如何弱化，请应用一次或多次前向循环迭代，并查看您所拥有的公式中哪些不再为真。

• 从你想要的（后置条件）开始并加强，直到你有了归纳不变量。要直观地了解如何强化，请向后应用一个或多个循环迭代，并查看需要添加哪些内容，以便推导出后置条件。

如果你想让电脑帮助你练习，我可以推荐Jessie演绎验证插件-用于 Frama-C 的 C 程序。还有其他的，特别是 Java 和 JML 注释，但我对它们不太熟悉。尝试你想到的不变量比在纸上计算它们要快得多。我应该指出，验证一个属性是否是归纳不变量也是不可判定的，但现代自动证明器在许多简单的例子上做得很好。如果您决定走这条路，请从列表中尽可能多地选择：Alt-ergo、Simplify、Z3。

通过可选的（安装稍微困难的）库 Apron，Jessie 还可以自动推断一些简单的不变量。

Answer 2

生成循环不变量实际上很简单。例如，true 就是一个很好的例子。它满足您想要的所有三个属性：

1. 它在循环入口之前保持
2. 它在每次迭代之后保持
3. 它在循环终止之后保持

但您所追求的可能是最强循环不变量。然而，找到最强的循环不变量有时甚至是一个不可判定的任务。请参阅文章可计算循环不变量的不足。

Answer 3

我认为实现自动化并不容易。来自维基：

由于循环和递归程序的基本相似性，证明具有不变量的循环的部分正确性与通过归纳证明递归程序的正确性非常相似。事实上，循环不变量通常是必须证明等价于给定循环的递归程序的归纳性质。

Answer 4

有许多用于查找循环不变量的启发式方法。关于这一点的一本好书是 Ed Cohen 的《Programming in the 90s》。这是关于如何通过手动操作后置条件来找到一个好的不变量。例如：用变量替换常量、加强不变量、...

Answer 5

我在博客中写过有关编写循环不变量的文章，请参阅 验证循环第 2 部分。证明循环正确所需的不变量通常包括两部分：

1. 循环终止时预期状态的概括。
2. 需要额外的位来确保循环体格式良好（例如，边界内的数组索引）。

(2) 简单明了。要导出 (1)，请从表达终止后所需状态的谓词开始。它很可能包含某个数据范围内的“forall”或“exists”。现在更改“forall”或“exists”的边界，以便（a）它们依赖于循环修改的变量（例如循环计数器），以及（b）以便首次进入循环时不变式为真（通常通过将“forall”或“exists”的范围设为空）。