程序验证（六）：纳尔逊-欧朋算法(Nelson-Oppen Procedure)

程序验证（六）：纳尔逊-欧朋算法(Nelson-Oppen Procedure)

动机

截至目前，我们学习了一些一阶理论，每一个都是关于某一种数据类型
然而，现实中的公式并不是由单一的理论组成，如：
$$\forall i.0\le i\le n\to a[i]\le a[i+1]$$
这个公式实际上包含了两个理论：等价与数组
我们需要找到一个方法，将复杂的一阶逻辑公式转化为简单的一阶逻辑公式

一些概念

复合理论

给定$T_1,T_2$，且 Σ 1 ∩ Σ 2 = { = } \Sigma_1\cap \Sigma_2 = \{=\} Σ1​∩Σ2​={ =}，那么复合理论$T_1\cup T_2$有：

• 符号集：${\Sigma }_1\cup {\Sigma }_2$
• 公理集：$A_1\cup A_2$
  纳尔逊-欧朋(Nelson-Oppen)复合方法：$T_1\cup T_2$是可判定的，如果$T_1$与$T_2$均满足：
• 是量词自由的合取的片段(Quantifier-free, conjunctive fragments)
• 可判定的
• 稳定无限的(stably-infinite)

稳定无限的理论

一个建立在符号集$\Sigma$上的理论$T$是稳定无限的，如果对于每个量词自由的公式$F$，只要$F$是$T$-可满足的，存在一个解释，它的大小(cardinality)是无限的
例如这样的一个理论：

• Σ = { a , b , = } \Sigma =\{a,b,=\} Σ={ a,b,=}
• 公理：$\forall x.x=a\vee x=b$
  这个理论不是稳定无限的，因为每个解释$(D,I)$都有这样的性质：$D$包含至多两个元素，即$|D|\le 2$
  但是大多数我们关心的理论，即$T_E,T_A,T_Z$等等，都是稳定无限的

纳尔逊-欧朋算法

概况

输入：由复合理论$T_1\cup T_2$得到的公式$F$
输出：等价的公式$F_1\wedge F_2$，这里：

• $F_1$是一个$T_1$公式
• $F_2$是一个$T_2$公式
  这个算法的功能：
• 将$F$净化为$F_1$和$F_2$
• 将$F_1$和$F_2$中共享的变量做等价变换

步骤1：变量抽象

理论

目标：$F$中所有的文字或者属于$T_1$，或者属于$T_2$，但不能是二者共有
方法：将以下两个转化方法不断使用，直到不能再用为止：

• 对于任何一项$f(\dots ,t,\dots )$，满足$f\in {\Sigma }_i$且$t\notin {\Sigma }_i$，将$t$用一个新的(fresh)变量$w$替换，并在最后合取上$t=w$
• 对于任一谓词$p(\dots ,t,\dots )$，满足$p\in {\Sigma }_i$且$t$