Lean 言語の手続き的プログラムの検証フレームワークについて

variable {α : Type}

/-- リストを逆順にする関数 -/
def reverse (xs : List α) : List α :=
  match xs with
  | [] => []
  | x :: xs => (reverse xs) ++ [x]

/-- 末尾再帰バージョンのリスト逆順関数 -/
def reverseTR (xs : List α) : List α :=
  let rec go (ys : List α) (acc : List α) : List α :=
    match ys with
    | [] => acc
    | y :: ys => go ys (y :: acc)
  go xs []

/-- `acc` の部分を外に出すことができるという補題 -/
@[grind =]
theorem reverseTR.go_spec (xs acc : List α) :
    reverseTR.go xs acc = reverseTR.go xs [] ++ acc := by
  induction xs generalizing acc with grind [go]

/-- `reverseTR` は `reverse` と同じ関数等式を満たす(基底ケース) -/
@[simp, grind =]
theorem reverseTR_nil : reverseTR ([] : List α) = [] := by
  dsimp [reverseTR, reverseTR.go]

/-- `reverseTR` は `reverse` と同じ関数等式を満たす(再帰ケース) -/
@[grind =]
theorem reverseTR_cons (x : α) (xs : List α) :
    reverseTR (x :: xs) = reverseTR xs ++ [x] := by
  grind [reverseTR, reverseTR.go]

-- 両者が等しいことを証明
theorem reverse_eq_reverseTR (xs : List α) : reverse xs = reverseTR xs := by
  fun_induction reverse with grind

/-- 手続き的に実装した、リストを逆順にする関数 -/
def reverseDo (xs : List α) : List α := Id.run do
  let mut acc : List α := []
  for x in xs do
    acc := x :: acc
  return acc

-- 動作確認
#guard reverseDo [1, 2, 3, 4] = [4, 3, 2, 1]

-- mvcgen はまだ使用しないでというwarningを消す
set_option mvcgen.warning false

open Std.Do

/-- `reverse` は単一要素リストに適用しても変わらない -/
@[grind =, simp]
theorem reverse_singleton (x : α) : reverse [x] = [x] := by
  dsimp [reverse]

/-- `reverse` の、リストの末尾に要素を追加したときの挙動 -/
@[grind =]
theorem reverse_append_singleton (xs : List α) (x : α) : reverse (xs ++ [x]) = x :: reverse xs := by
  fun_induction reverse with grind [= reverse]

theorem reverseDo_eq_reverse (xs : List α) : reverseDo xs = reverse xs := by
  -- モナディックに実装されている（`Id.run do ...`）部分にフォーカスする
  generalize h : reverseDo xs = s
  apply Id.of_wp_run_eq h

  -- 検証条件の生成
  mvcgen invariants
  · ⇓⟨xs, acc⟩ => ⌜reverse xs.prefix = acc⌝ -- ループ中に変わらない「不変条件」を指定する
  with grind -- すべての枝に対して `grind` を適用する