程序验证（六）：纳尔逊-欧朋算法(Nelson-Oppen Procedure)

程序验证（六）：纳尔逊-欧朋算法(Nelson-Oppen Procedure)

动机

截至目前，我们学习了一些一阶理论，每一个都是关于某一种数据类型
然而，现实中的公式并不是由单一的理论组成，如：
$$\forall i.0\le i\le n\to a[i]\le a[i+1]$$
这个公式实际上包含了两个理论：等价与数组
我们需要找到一个方法，将复杂的一阶逻辑公式转化为简单的一阶逻辑公式

一些概念

复合理论

给定$T_1,T_2$，且 Σ 1 ∩ Σ 2 = { = } \Sigma_1\cap \Sigma_2 = \{=\} Σ1​∩Σ2​={=}，那么复合理论$T_1\cup T_2$有：

• 符号集：${\Sigma }_1\cup {\Sigma }_2$
• 公理集：$A_1\cup A_2$
  纳尔逊-欧朋(Nelson-Oppen)复合方法：$T_1\cup T_2$是可判定的，如果$T_1$与$T_2$均满足：
• 是量词自由的合取的片段(Quantifier-free, conjunctive fragments)
• 可判定的
• 稳定无限的(stably-infinite)

稳定无限的理论

一个建立在符号集$\Sigma$上的理论$T$是稳定无限的，如果对于每个量词自由的公式$F$，只要$F$是$T$-可满足的，存在一个解释，它的大小(cardinality)是无限的
例如这样的一个理论：

• Σ = { a , b , = } \Sigma =\{a,b,=\} Σ={a,b,=}
• 公理：$\forall x.x=a\vee x=b$
  这个理论不是稳定无限的，因为每个解释$(D,I)$都有这样的性质：$D$包含至多两个元素，即$|D|\le 2$
  但是大多数我们关心的理论，即$T_E,T_A,T_Z$等等，都是稳定无限的

纳尔逊-欧朋算法

概况

输入：由复合理论$T_1\cup T_2$得到的公式$F$
输出：等价的公式$F_1\wedge F_2$，这里：

• $F_1$是一个$T_1$公式
• $F_2$是一个$T_2$公式
  这个算法的功能：
• 将$F$净化为$F_1$和$F_2$
• 将$F_1$和$F_2$中共享的变量做等价变换

步骤1：变量抽象

理论

目标：$F$中所有的文字或者属于$T_1$，或者属于$T_2$，但不能是二者共有
方法：将以下两个转化方法不断使用，直到不能再用为止：

• 对于任何一项$f(\dots ,t,\dots )$，满足$f\in {\Sigma }_i$且$t\notin {\Sigma }_i$，将$t$用一个新的(fresh)变量$w$替换，并在最后合取上$t=w$
• 对于任一谓词$p(\dots ,t,\dots )$，满足$p\in {\Sigma }_i$且$t\notin {\Sigma }_i$，将$t$用一个新的(fresh)变量$w$替换，并在最后合取上$t=w$
  结束的时候，我们就可以把$F$分为$F_1$和$F_2$了。

举例

考虑$T_E\cup T_Z$公式$F$:
$$F:1\le x\wedge x\le 2\wedge f(x)\ne f(1)\wedge f(x)\ne f(2)$$

• $T_E$中的非逻辑符是哪些？ $f,=$
• $T_Z$中的非逻辑符是哪些？ $1,2,\le ,=$
• 净化：用$f(w_1)$代替$f(1)$，用$f(w_2)$代替$f(2)$，加入$w_1=1$，$w_2=2$，得到$$1\le x\wedge x\le 2\wedge f(x)\ne f(w_1)\wedge f(x)\ne f(w_2)\wedge w_1=1\wedge w_2=2$$
• $F_E:f(x)\ne f(w_1)\wedge f(x)\ne f(w_2)$
• $F_Z:1\le x\wedge x\le 2\wedge w_1=1\wedge w_2=2$

步骤2：猜测与检查(guess and check)

理论

给定$F_1$与$F_2$，定义共享变量集$V$:
$$V=free(F_1)\cap free(F_2)$$
令$E$为$V$上的一个等价关系，由$E$生成的arrangement$\alpha (V,E)$即为：
$$\alpha (V,E):\underset{u,v\in V.uEv}{\bigwedge }u=v\wedge \underset{u,v\in V.\neg (uEv)}{\bigwedge }u\neg v$$
公式$F=F_1\wedge F_2$是$(T_1\cup T_2)$-可满足的当且仅当存在这样的$\alpha (V,E)$使得：

• $F_1\wedge \alpha (V,E)$是$T_1$-可满足的
• $F_2\wedge \alpha (V,E)$是$T_2$-可满足的

举例

考虑之前的净化后的两个公式
共享变量： V = { w 1 , w 2 , x } V=\{w_1,w_2,x\} V={w1​,w2​,x}
猜测并检查$V$上的等价关系：

• { { w 1 } , { w 2 } , { x } } \{\{w_1\},\{w_2\},\{x\}\} {{w1​},{w2​},{x}}
• { { w 1 , w 2 } , { x } } \{\{w_1,w_2\},\{x\}\} {{w1​,w2​},{x}}
• { { w 1 } , { w 2 , x } } \{\{w_1\},\{w_2,x\}\} {{w1​},{w2​,x}}
• { { w 2 } , { w 1 , x } } \{\{w_2\},\{w_1,x\}\} {{w2​},{w1​,x}}
• { { w 1 , w 2 , x } } \{\{w_1,w_2,x\}\} {{w1​,w2​,x}}

效率问题

这个guess and check的时间复杂度是指数级的，所以不太实用，所以我们换个方法。

步骤2：等价推导(equality propagation)

凸理论(convex theory)

一个理论是凸的(convex)，如果它对于每个变量自由的公式$F$，都满足：
若
$$F\Rightarrow \underset{i=1}{\overset{n}{\bigvee }}{u}_i=v_i$$
则
F ⇒ u i = v i   f o r   s o m e   i ∈ { 1 , … , n } F\Rightarrow u_i = v_i~for~some~i\in\{1,\dots , n\} F⇒ui​=vi​ for some i∈{1,…,n}
$T_Z,T_A$不是凸的，但是$T_E,T_Q$是凸的。
举例：$T_Z$不是凸的
例如，考虑这样的量词自由的合取${\Sigma }_Z$-公式
$$F:1\le z\wedge z\le 2\wedge u=1\wedge v=2$$
那么
$$F\Rightarrow z=u\vee z=v$$
但是无法推出
$$F\Rightarrow z=u$$
或
$$F\Rightarrow z=v$$

等价推导

给定$F_1$与$F_2$

• 让$T_i(i=1,2)$报告任何有关共享变量（包括$u$, $v$）的新推出的等价关系
  • 如果$T_i$是凸的，令$u=v$为新推出的等价关系
  • 如果$T_i$不是凸的，令${\bigvee }_i(u_i=v_i)$为推出的等价关系的析取
• 将新推出的等价关系存储到$E$中（$E$是已经发现的等价关系的集合）
  • 如果$T_i$是凸的，将$u=v$添加到$E$
  • 如果$T_i$不是凸的，将搜索过程依据不同的析取${\bigvee }_i(u_i=v_i)$分成不同的分支（通过在$E$中添加相应的等价关系）
• 对于每一个分支，将$E$传播到另一个判定程序（也就是递归进行），重复以上步骤

算法返回：

• $sat$如果任一分支得到一个完整的arrangement
• $unsat$如果所有的分支都推出矛盾
• $sat$如果所有的分支都不能发现新的等价关系

举例

1

考虑${\Sigma }_E\cup {\Sigma }_Q$-公式：
$$F:f(f(x)-f(y))\ne f(z)\wedge x\le y\wedge y+z\le x\wedge 0\le z$$
在第一步后，$F$被分为两个公式：

• $F_E:f(w)\ne f(z)\wedge u=f(x)\wedge v=f(y)$
• $F_Q:x\le y\wedge y+z\le x\wedge 0\le z\wedge w=u-v$
• V = s h a r e d ( F E , F Q ) = { x , y , z , u , v , w } V=shared(F_E,F_Q)=\{x,y,z,u,v,w\} V=shared(FE​,FQ​)={x,y,z,u,v,w}

注意，$T_E$与$T_{\mathbb{Q}}$都是凸理论
于是

2

考虑$T_E\cup T_{\mathbb{Z}}$-公式$F$：
$$F:1\le x\wedge x\le 2\wedge f(x)\ne f(1)\wedge f(x)\ne f(2)$$
在第一步后，$F$被分为两个公式：

• $F_E:f(x)\ne f(w_1)\wedge f(x)\ne f(w_2)$
• $F_{\mathbb{Z}}:1\le x\wedge x\le 2\wedge w_1=1\wedge w_2=2$
• V = s h a r e d ( F E , F Z ) = { w 1 , w 2 , x } V=shared(F_E,F_{\mathbb{Z}})=\{w_1,w_2,x\} V=shared(FE​,FZ​)={w1​,w2​,x}

注意，$T_E$是凸的，$T_{\mathbb{Z}}$不是
于是

3

考虑$T_E\cup T_{\mathbb{Z}}$-公式$F$:
$$F:1\le x\wedge x\le 3\wedge f(x)\ne f(1)\wedge f(x)\ne f(3)\wedge f(1)\ne f(2)$$
在第一步后，$F$被分为两个公式：

• $F_E:f(x)\ne f(w_1)\wedge f(x)\ne f(w_3)\wedge f(w_1)\ne f(w_2)$
• $F_{\mathbb{Z}}:1\le x\wedge x\le 3\wedge w_1=1\wedge w_2=2\wedge w_3=3$
• V = s h a r e d ( F E , F Z ) = { w 1 , w 2 , w 3 , x } V=shared(F_E,F_{\mathbb{Z}})=\{w_1,w_2,w_3,x\} V=shared(FE​,FZ​)={w1​,w2​,w3​,x}

注意，$T_E$是凸的，$T_{\mathbb{Z}}$不是
于是