个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
对于一个正确的方法,Z3能否找到方法验证条件的模型?
我原以为不是,但这是一个方法正确的例子
但验证找到了一个模型。
这是 Dafny 1.9.7。
最佳答案
Malte 所说的是正确的(我发现它的解释也很好)。
Dafny 是可靠的,因为它只会验证正确的程序。换句话说,如果一个程序不正确,Dafny 验证器永远不会说它是正确的。然而,潜在的决策问题通常是不可判定的。因此,难免会出现程序符合规范,而验证者仍然给出错误信息的情况。事实上,在这种情况下,验证者甚至可能会显示一个据称的反例。它可能是一个错误的反例(如上例所示)——它只是意味着,就验证者而言,这是一个反例。如果验证者只是多花一点时间,或者如果它足够聪明来展开更多的函数定义、应用归纳假设或做许多其他好事,则有可能确定反例是伪造的.因此,您收到的任何错误消息(包括可能伴随此类错误消息的任何反例)都应解释为可能错误(和可能反例)。
如果您尝试验证循环的正确性但没有提供足够强大的循环不变式,则经常会出现类似的情况。然后 Dafny 验证器可能会在进入循环时显示一些实际上永远不会出现的变量值。然后,反例试图让您了解如何适本地加强循环不变量。
最后,让我对 Malte 所说的话补充两点。
首先,这个例子中至少有另一个不完整的来源,即非线性算术。有时很难四处导航。
其次,可以简化使用函数Dummy 的技巧。提到 Pow 调用就足够了(至少在这个例子中),例如:
lemma EvenPowerLemma(a: int, b: nat)
requires Even(b)
ensures Pow(a, b) == Pow(a*a, b/2)
{
if b != 0 {
var dummy := Pow(a, b - 2);
}
}
不过,我更喜欢其他两个手动证明,因为它们在向用户解释证明是什么方面做得更好。
鲁斯坦
关于正确的 Dafny 方法的 Z3 模型,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39937508/
24
4
0
我想在多个程序中重复使用相同的 Dafny 代码。是否可以将一个 Dafny 文件包含在另一个文件中?该手册没有描述任何方法。 最佳答案 是的,在 2013 年 12 月,对“include”语句的支
以下数组反转代码已被 Dafny“证明是正确的”,但显然不正确。我做错了什么? 一个反例是数组: var a = new int[4] {1,3,5,7}; 预期结果 {7,5,3,1} 和实际结果
我正在尝试在 Dafny 中验证一个简单的账户转账,这就是我想出的: function sum(items: seq): int decreases |items| { if items ==
我是 Dafny 的新手,正在尝试编写一个简单的链表实现,将存储在链表中的所有整数相加。这是代码: class Node { var elem: int; var next: Node?; const
有没有一种方法可以对读取堆并返回与堆无关的快照的函数进行编码?这对于我想开发的实验编码非常有用。 例如,我尝试编写一个名为 edges 的 Dafny 函数,我打算仅将其用于规范。它应该采用一组 No
他们来自微软,似乎他们是证明助理?除了句法上的差异之外,还有哪些实际方面使它们彼此不同(比如自动化能力、表达能力等)?我是形式验证的新手。 编辑:我是不是 询问哪个更好,我只是对这些工具提供的不同功能
我一直在尝试证明当两个位向量的所有单独位都相等时它们是等价的。换句话说,下面的语句中a和b是bv64,BitIsSet是提取的函数>来自位向量的第 位,WORD_SIZE 为 64。 (a == b)
我真的很难摆脱 Dafny 程序中的最后一个错误。有人可以指出我正确的方向吗? 这是代码:http://rise4fun.com/Dafny/2FPo 我收到此错误:赋值可能会更新不在封闭上下文的修改
这可能是一个非常愚蠢的问题,但这里是: 为什么 Dafny 可以做到这一点: var arr := new int[2]; arr[0], arr[1] := -1, -2; assert exist
这可能是一个非常愚蠢的问题,但这里是: 为什么 Dafny 可以做到这一点: var arr := new int[2]; arr[0], arr[1] := -1, -2; assert exist
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界. 这篇CFSDN的博客文章dafny : 微软推出的形式化验证语言由作者收集整理,如果你对这篇文章
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界. 这篇CFSDN的博客文章dafny : 微软推出的形式化验证语言由作者收集整理,如果你对这篇文章
我正在尝试使用 Dafny 证明以下程序的正确性/不正确性。 datatype List = Nil | Cons(T, List) function tail(l:List):List {
我有以下用于 tic tac toe 游戏的 Dafny 代码片段,用于检查玩家 1 是否在棋盘上有获胜行: predicate isWinRowForPlayer1(board: array2)
我正在尝试编写一个简单的经过验证的子字符串方法的实现。我的方法接受 2 个字符串并检查 str2 是否在 str1 中。我首先试图弄清楚为什么我的不变量不成立 - 达夫尼标记不变量可能在进入时不成立,
I am used to loops while Grd invariant Inv { ..} assert Inv && !Grd; 没有任何中断,Dafny 知道 Inv && ! Grd 是正
我正在尝试在 Dafny 中实现选择排序。 我的 sorted 和 FindMin 函数确实有效,但 selectionsort 本身包含 Dafny 无法证明的断言,即使它们是正确的。 这是我的程序
I am used to loops while Grd invariant Inv { ..} assert Inv && !Grd; 没有任何中断,Dafny 知道 Inv && ! Grd 是正
我正在对几种在考虑验证的情况下创建的语言(Whiley、Dafny 和 Frama-C 等)进行语言比较。我得到了一个函数示例,该函数将一个数组的区域复制到具有不同位置的另一个数组在目标数组中。我提出
在 Dafny 中迭代有限集对象的元素的最佳方法是什么?一个工作代码的例子将是令人愉快的。 最佳答案 这个答案解释了如何使用 while 循环而不是通过定义迭代器来做到这一点。诀窍是使用“分配这样”运
我是一名优秀的程序员,十分优秀!