4

我正在尝试在 Dafny 中实现选择排序。

我的sortedFindMin函数确实有效,但selectionsort它本身包含了 Dafny 不会证明的断言,即使它们是正确的。

这是我的程序:

predicate sorted(a:array<int>,i:int)
  requires a != null;
  requires 0 <= i <= a.Length;
  reads a;
{
  forall k :: 0 < k < i ==> a[k-1] < a[k]
}
method FindMin(a:array<int>,i:int) returns(m:int)
  requires a != null;
  requires 0 <= i < a.Length;
  ensures i <= m < a.Length;
  ensures forall k :: i <= k < a.Length ==> a[k] >= a[m];
{
  var j := i;
  m := i;
  while(j < a.Length)
    decreases a.Length - j;
    invariant i <= j <= a.Length;
    invariant i <= m < a.Length;
    invariant forall k :: i <= k < j ==> a[k] >= a[m];
  {
    if(a[j] < a[m]){m := j;}
    j := j + 1;
  }
}
method selectionsort(a:array<int>) returns(s:array<int>)
  requires a != null;
  modifies a;
  ensures s != null;
  ensures sorted(s,s.Length);
{
  var c,m := 0,0;
  var t;
  s := a;
  assert s != null;
  assert s.Length == a.Length;
  while(c<s.Length)
    decreases s.Length-c;
    invariant 0 <= c <= s.Length;
    invariant c-1 <= m <= s.Length;
    invariant sorted(s,c);
  {
    m := FindMin(s,c);
    assert forall k :: c <= k < s.Length ==> s[k] >= s[m];
    assert forall k :: 0 <= k < c ==> s[k] <= s[m];
    assert s[c] >= s[m];
    t := s[c];
    s[m] := t;
    s[c] := s[m];
    assert s[m] >= s[c];
    assert forall k :: c <= k < s.Length ==> s[k] >= s[c];
    c := c+1;
    assert  c+1 < s.Length ==> s[c-1] <= s[c];
  }
}

为什么这是错误的?“后条件可能不成立”是什么意思?达夫尼能举个反例吗?

4

1 回答 1

6

您似乎了解循环不变量背后的基本思想,这是使用 Dafny 验证程序所必需的。

你的程序不正确。发现这一点的一种方法是在 Visual Studio 的 Dafny IDE 中使用验证调试器。单击最后报告的错误(在 的增量之前的行上的断言c),您将看到数组的上半部分包含一个小于s[c]和的元素s[m]。然后选择围绕你的 3 语句交换操作的程序点,你会注意到你的交换实际上并没有交换。

要修复交换,请交换 3 语句交换的第二条和第三条语句。更好的是,利用 Dafny 的多重赋值语句,这使得代码更容易正确:

s[c], s[m] := s[m], s[c];

还有两个问题。一是循环内的第二个断言没有验证:

assert forall k :: 0 <= k < c ==> s[k] <= s[m];

虽然s[m]是数组上部的最小元素,但循环不变量需要证明数组下部的元素不大于上部的元素——这是选择排序算法的基本属性。以下循环不变量可以解决问题:

invariant forall k, l :: 0 <= k < c <= l < a.Length ==> s[k] <= s[l];

最后,关于属性没有被循环维护的抱怨sorted(s,c)源于您定义sorted严格递增的事实,除非数组的元素最初都是不同的,否则交换永远不会实现。因此,Dafny 指出了您必须对分类程序做出的设计决策。您可以决定您的selectionsort方法仅适用于没有重复元素的数组,您可以通过添加

forall k, l :: 0 <= k < l < a.Length ==> a[k] != a[l];

作为 (and loop invariant in) 的前提条件selectionsort。或者,更常规地,您可以修复您的定义sortedto replace a[k] > a[m]with a[k] >= a[m]

为了稍微清理一下你的代码,你现在可以删除所有的 assert 语句和t. 由于m仅在循环内使用,您可以将声明移至m调用的语句FindMin,这也表明c-1 <= m <= s.Length不需要循环不变量。这两个decreases子句可以省略;对于您的程序,Dafny 将自动提供这些。最后,您的selectionsort方法修改了给定的数组,因此没有真正的理由a在 out-parameter 中返回引用s;相反,您可以省略 out-parameter 并sa任何地方替换。

于 2014-09-09T02:14:46.330 回答