25
4
The following is a Binary Search algorithm verified with Dafny:
以下是与Dafny验证的二进制搜索算法:
个人中心
文章发布
退出method BinarySearch(a: array<int>, key: int) returns (index: int)
requires forall i, j :: 0 <= i < j < a.Length ==> a[i] <= a[j]
ensures 0 <= index ==> index < a.Length && a[index] == key
ensures index < 0 ==> forall k :: 0 <= k < a.Length ==> a[k] != key
{
var l, r := 0, a.Length;
while l < r
invariant 0 <= l <= r <= a.Length
invariant forall i ::
0 <= i < a.Length && !(l <= i < r) ==> a[i] != key
{
var m := (l + r) / 2;
if a[m] < key {
l := m + 1;
} else if key < a[m] {
r := m;
} else {
return m;
}
}
return -1;
}
The pre-condition requires forall i, j :: 0 <= i < j < a.Length ==> a[i] <= a[j] describes the array as incremental. However, when I replace it with another expression:requires forall i :: 0 < i < a.Length ==> a[i - 1] <= a[i], the verification failed, and the compiler said the invariant invariant forall i :: 0 <= i < a.Length && !(l <= i < r) ==> a[i] != key cannot be proved.
前置条件要求for all i,j::0<=i
To me, the two expressions show the same meaning. What's the difference?
对我来说,这两个短语的意思是一样的。有什么关系呢?
requires forall i, j :: 0 <= i < j < a.Length ==> a[i] <= a[j] -> requires forall i :: 0 < i < a.Length ==> a[i - 1] <= a[i]
需要所有的i,j::0<=i
The issue is that the first form explicitly encodes the transitive relationship between elements, whilst the second does not. Transitivity is needed to show, for example, that a[l] <= a[m] in the loop body. Thus, in the second form, the verifier must extract the transitive relationship itself (which it cannot).
问题是,第一种形式显式地编码了元素之间的传递关系,而第二种形式没有。例如,需要及物性来表明循环体中的a[L]<=a[m]。因此,在第二种形式中,验证器必须提取传递关系本身(它不能)。
We can see this by trimming the example down:
我们可以通过缩减示例来了解这一点:
method BinarySearch(a: array<int>, key: int) returns (index: int)
requires forall i :: 0 < i < a.Length ==> a[i-1] <= a[i]
{
//
assert forall i,j :: 0 <= i < j < a.Length ==> a[i] <= a[j];
//
return -1;
}
This assertion fails to verify. However, we can get it to verify by adding in the missing transitivity information using a lemma:
这一断言没有得到证实。然而,我们可以通过使用引理添加缺失的传递性信息来验证它:
lemma LemmaTransitivity(a: seq<int>)
requires forall i :: 0 < i < |a| ==> a[i-1] <= a[i]
ensures forall i,j :: 0 <= i < j < |a| ==> a[i] <= a[j]
{
if |a| > 2 {
LemmaTransitivity(a[1..]);
assert a[0] <= a[1];
}
}
method BinarySearch(a: array<int>, key: int) returns (index: int)
requires forall i :: 0 < i < a.Length ==> a[i-1] <= a[i]
{
//
LemmaTransitivity(a[..]);
assert forall i,j :: 0 <= i < j < a.Length ==> a[i] <= a[j];
//
return -1;
}
This now verifies. Furthermore, we can use it to verify your original example. Note: a[..] converts an array into a seq which is just an easier form to work with in the lemma.
这一点现在得到了验证。此外,我们还可以用它来验证您的原始示例。注:A[..]将数组转换为SEQ,这只是在引理中更容易使用的形式。
I have another question that maybe you'd like to help me with. The invariant says invariant 0 <= l <= r <= a.Length, in the extreme case, l = r = a.Length and m = (l + r) / 2 = a.Length, which would trigger an out of index through a[m]. However, Dafny believes a[m] is safe. How does it make that judgment?
我还有另一个问题,也许你愿意帮我。不变量表示不变量0<=L<=r<=a。在极端情况下,L=r=a长度,m=(L+r)/2=a长度,这将通过a[m]触发Out索引。然而,达夫尼认为a[m]是安全的。它是如何做出这样的判断的?
Hi, right but you also know the loop condition l < r is true within the body of the loop. This in turn implies that m < l because division rounds down.
嗨,对,但你也知道循环条件L
25
4
0
我已经查看了 Microsoft 的 MSDN 和整个网络,但我仍然无法很好地了解它是什么。 这是否意味着已完成的程序在执行期间的不同时间加载 DLL,而不是在启动时一次性加载所有 DLL? 我完全偏
这个问题在这里已经有了答案: 关闭 12 年前。 Possible Duplicate: Is there a performance difference between i++ and ++i
++a = b 操作未显示错误,但 a++ = b 在使用 g++ 编译时显示错误。两个变量都在这些操作之前初始化。 虽然这些操作没有实际用途,但我认为它们在编译时应该会出现相同的错误。你怎么认为?如
在this fiddle ,为什么计数器在调用 increment() 函数时不增加。已将计数器设置为增加对自身的分配后分配,因此在单击事件按钮(多次)后,计数器变量应该增加。 注意:如果我像这样进行
尝试在 iOS 中使用 swift 使用 firebase FieldValue.increment(1) 时,我收到编译器错误。该错误仅表示“‘增量’的使用不明确” 我已将所有 Pod 更新为所有使
我修复了 this question 中的代码这样它就可以编译: #define text (); #define return &argv;return int *** emphasized ()
我需要将每个增量 id 设置为前一个生成的 id 表的增量 id +5。这意味着每次自动增量必须有 5 个间隙。像这个系列2、7、12、17等.. 任何想法请分享。 最佳答案 请检查链接: https
我正在尝试进行设置,将类从 1 增加到 12,并根据变量列表(也是 12 个变量)设置背景颜色。 我很接近,但没有得到我所希望的。这是我第一次涉足 SASS 中的控制指令,所以请原谅我的无知。 目前,
我有以下代码 int cnt = 0; for (int i = 0; i 0 和 N(N-1)/2当所有 a[k] == 0 时。 对于增量的总数,为外部 for 循环添加 N 为
我们有一个方法可以维护我们应用程序中所有事件的全局序列索引。由于它是网站,因此预计具有线程安全的这种方法。线程安全的实现如下: private static long lastUsedIndex =
我有这个简单的表(仅用于测试): create table table ( key int not null primary key auto_increment, name varchar(30)
我见过很多不错的对象池实现。例如:C# Object Pooling Pattern implementation . 但似乎线程安全的总是使用锁,从不尝试使用 Interlocked.* 操作。 编
在 jQuery 中增加值的最佳方法是什么 .data()目的? 最佳答案 这看起来有点奇怪,但根据文档 .data()将所有数据字段作为对象返回,因此您可以直接更改其值: $('#id').data
是 Interlocked.Increment(ref x)比 x++ 快或慢对于各种平台上的整数和多头? 最佳答案 它较慢,因为它强制操作以原子方式发生,并且充当内存屏障,消除了处理器围绕指令重新排
我创建了一个购物车应用。当用户单击同一产品时,我要增加编号。 如果用户单击同一项目10次,则我想这样更新Firestore。 items:[{'productId':'1234','count':10
我需要循环遍历数据数组并为每个数组值打印一个“递增”字母。我知道我可以做到这一点: $array = array(11, 33, 44, 98, 1, 3, 2, 9, 66, 21, 45); //
Firestore 的 FieldValue.increment(someValue) 可以与其他字段正常配合使用,但不能与 map 配合使用。 我正在尝试增加 map 中属性的值。我有一个名为用户的
如果行的faction.factionname 与 INSERT 的 cards.faction 匹配,我正在尝试创建一个触发器,在 INSERT into card 之后增加派系表中的 cardco
我们有一个并发的多线程程序。我如何使样本数每次增加 +5 间隔? Interlocked.Increment 是否有间隔过载?我没有看到它列出。 Microsoft Interlocked.Incre
我正在运行时创建动态类型,目的是从该类型创建/序列化/反序列化对象,然后绑定(bind)到网格控件。一切正常,但我用数据库中的记录更新属性的方式很可悲。我从某个地方粘贴了这个 setter 生成器,当
我是一名优秀的程序员,十分优秀!