第五回目の予習での QA (11/12提出分, Poly.v について)

• 型引数を Coq に推論させるのにアンダースコアを用いる方法が 書かれていますが，パターンマッチのワイルドカードパターンとして用いた ものとかぶって問題が起こったりしないのでしょうか．
• アンダースコアが現れる場所によって(パターン中ならワイルドカード，そうでないなら省略された型引数と)はっきり区別できるので大丈夫です．
• forall X:Type ... のような型全てに対して成立する定理につ いて，型のつくり方によっては定理がくずれてしまうことはないのでしょうか．
• 講義でも触れたように，「任意の型」の範囲は，定理を証明し た時点までに定義した型だけでなく，これから定義する型も含んでいるわけで すが，「任意の型 X について〜」という定理を証明する時は X が型であるこ と以外一切情報がないところで証明をさせられますから大丈夫なのです．これ が，型についての場合分け(X = nat の場合，X = bool の場合，…)を許したり すると，ちょっと微妙になってきます．
• 練習問題を解く時に，補題を自分で設定して追加してよいのでしょうか？
• はい，OKです．

第四回目の予習での QA (11/5提出分, Lists.v について)

• simpl で行われる式変形についていけません．例えば， 定理 app_assoc の証明で

  ((n :: l1') ++ l2) ++ l3 = (n :: l1') ++ l2 ++ l3
  

  が simpl. の後

  n :: (l1' ++ l2) ++ l3 = n :: l1' ++ l2 ++ l3
  

  になる部分がよくわかりません．
• 演算子の結合の強さ・どちらに結合するかを考えて，丁寧に Notation の定義や関数の定義を展開してみましょう．上の例だと simpl. の前 は(一部だけ ++ を戻すと)

  (app (n :: l1') l2) ++ l3 = app (n :: l1') (l2 ++ l3)
  

  です．app は第一引数が :: の場合計算を進めることができて，

  (n :: (app l1' l2)) ++ l3 = n :: (app l1' (l2 ++ l3))
  

  となります．左辺は(++ を戻すと)もう少し計算ができると思います．
• Surjectivity of pairing が何を示そうとしているのかわかり ませんでした．fst や snd が正しく定義できていることを確認しているだけで すか．それとも何か重要なことを示しているのですか．
• 文言の意味は教科書にもある通り「natprod の要素は， その第1要素と第2要素の組で表せる」という，かなり当たり前な ことです．surjectivity とかいうと身構えてしまいますが，それほど大した ことをいっていると思う必要はありません．
• 型(例えば hoge)を定義した時に coq から

  hoge is defined
  hoge_rect is defined
  hoge_ind is defined
  hoge_rec is defined
  

  という反応がありますが，これは何を表しているのでしょうか？
• 型を定義すると，その型に関する帰納法が使えるようになるわ けですが，hoge_ind は hoge 型についての帰納法を表す定義の名前です．例えば

  Check nat_ind.
  

  とやってみると，数学的帰納法に相当する論理式

  nat_ind
       : forall P : nat -> Prop,
         P 0 -> (forall n : nat, P n -> P (S n)) -> forall n : nat, P n
  

  がでてきます．右から読むと，forall n : nat, P n を示すには，P 0 と forall n : nat, P n -> P (S n) を示せ，という意味に読めるかと思います． rect や rec は ind の親戚です．(詳しくは簡単に説明できないので省略．)
• H : a=c -> b=c のような仮定がありゴールが b = ... となっ ている時にrewrite -> H とすると，ゴールが書き換わって c = ... になると 同時にサブゴールとして a=c が追加されました．こういったサブゴールが追加 される書き換え規則は，たくさんあるのでしょうか．
• はい．詳しくは MoreCoq.v でやりますので少々お待ちください．
• レジュメ p.13 以降に出てくる h :: t の h と t は リストの定義には出てこないが，リストの head と tail を仮の形として 書いているという理解でよいでしょうか．
• はい．これらは自然数に関する場合分け

  match ... with
    O => ...
  | S n => ...
  

  の n と同じです．「cons の第1引数に h, 第2引数に t という名前をつけて」 くらいの意味です．

第三回目の予習での QA (10/29提出分, 単純型付ラムダ計算について)

• 再帰関数の記号 := はどのように読めばよいか
• Coq では := は「〜と定義する」くらいに読めると思います． Definition, Fixpoint など定義をする(ものに名前を与える)コマンドでは := が使われています．fix f(x:nat) : nat := ... のような再帰関数も，f とい う名前を与えているので := が使われているのだと思います．fun は(再帰では ない)関数を作る構文で，これに := が使われていないのは(ちょっと紛らわし いですが)できた関数には名前を与えていないからと思えばいいと思います． ちなみに，等号記号には「両辺が等しい」という意味で使う場合と，「〜と定 義する」という意味で使う場合がありますが，Coq では前者には =，後者は := を使っています．(数学の教科書でも，定義の等号を区別して = の上に def と書いてあったり，三角形がのっかっていたりするのと同じようなもので す．)
• destruct, induction (特に destruct)でなぜ2つにしか場合分 けできないのか．match による場合分けだと 0 の場合，1の場合，2以上の場合 と一度にできるのに．
• まず，証明における場合わけの destruct とプログラムにおけ る場合分けの match の類似に気付いたことはすばらしいです! 確かに(ちょっ と調べた限りでは)現在の Coq では destruct で複雑な場合分けの記述はでき ないようですが，原理的にはそういう複雑な場合分けも可能ではないかと思い ます．というのは，実は Coq の内部では，証明は関数型プログラムの一種とし て表現されていて，destruct はまさに match と対応しています．(これについ ては，そのうち講義で取り上げます)ですので，適当なインターフェース(つま りタクティック)を用意すれば，複雑な場合分けも対応可能だと思います．ただ し，データの種類によらない，一般的な場合分けの(綺麗な)記述方法を提供す るのはそんなに簡単じゃないでしょうね…
• Basics.v の練習問題 boolean_functions の後半で， 証明すべき命題がわからない．
• 前半(identity_fn_applied_twice)では f に関する仮定として forall(x:bool), f x = x が置かれていますが，これの右辺を neg b に置きか えたような定理を証明してください，という意味です．
• (単純型付ラムダ計算の資料の)練習問題2で plus (S O) (S O) が 簡約されて…とありますが，plus が変数だとしたら簡約できないように見えますが…
• 大変よいところに気付きましたね．「plus 関数を fix を使っ て表し」というのは，plus の部分にあてはまる項を与えて置き換えてください， くらいの意味でした．もちろん，plus が本当に変数だとしたら，それが何かに 適用されても簡約は発生しません． この plus のようなものは，ラムダ計算について説明をしている日本語の文章 中でラムダ計算の世界の「もの」(この場合項)を指している変数なので，メタ 変数といいます．ラムダ計算の中の変数とは別ものです．区別するために，せ めて別のフォントで書くべきでした．

第二回目までの宿題での QA

• ProofGeneral から coq を起動しようとすると，エラーが発生する．
• emacs が coqtop コマンドの在処を知らない可能性があります．emacs の初期設定ファイル (~/.emacs, ~/.emacs.d/init.el など)に

  (setq coq-prog-name "/usr/local/bin/coqtop")
  

  のように，coqtop コマンドへのパスを指定してみてください．
• simpl と compute タクティックの違いがわかりません．
• simpl はふつう Definition による定義を展開しないなど，一 般に compute の方がより積極的に計算を進めてくれます．しかし compute を 使うと(積極的すぎて)時に結果が巨大な式になってしまうことがあります．こ れは特に再帰関数の時に顕著です．例えば，

  Theorem foo : forall x : nat, plus S(S(S(S(S(O))))) x = plus x S(S(S(S(S(O))))).
  

  の証明をしようとして，

  Proof.  intros x.
  

  の後に simple や compute をしてみると違いが現れます． 正確な違いをひとことでいうのは難しいですがリファレンス・マニュアルを見ると 少しはわかるかもしれません．

第二回目の予習での QA (10/22提出分, Basics.v, Induction.v について)

• destruct n as [| n'].
  

  で n = O と n =S(...) と場合分けできるというのがよくわからない．代わりに

  destruct n as [O| S n'].
  

  と書けませんか？
• 前半については講義で説明したとおり，「nat は O か S(...) のいずれかである」と定義したことに由来しています(as 以下の記述は，省略 してもよいことからわかるように，何通りに場合分けするかとは直接関係あり ません)．後半については，match と同じようにこんな書き方ができればいい のですが残念ながらできません．
• plus_l_neq_0 の証明(n = S n'の場合)において，

  beq_nat (S n' + 1) 0 --> beq_nat (S (n' + 1)) 0 --> false
  

  の順に計算されるということだと思いますが，n' + 1 の計算をせずにbeq_nat の評価をするのに納得がいきません．
• S (n' + 1) は，まだ + の計算が残っていますし，自然数にならないと関数呼 出しが発生しないのが「ふつうの言語」ですが，Coq では，引数の計算が終わっ ていなくても，関数を呼出します/呼出すことがあります．この場合，beq_nat の本体のパラメータ n を S (n' + 1) で置き換えて，強引に(？)計算を進めて しまいます．この例においては，幸いにもふたつの引数が S(...) と O という 形で，match による場合分けをすると ... 部分に関わらずfalse が出せる，と いうわけです．
• mult_comm がうまくできない．mult_plus_distr_r ができない．
• mult_comm は難しいです．大事な補題が(わざと)省略されていますので，それ がどんなものになるかを考えて自分で加える必要があります．mult_plus_distr_r は それに比べるとそれほどは難しくないです．(ヒント: + は左結合します．)
• なぜ assert が induction のところで紹介されているのか？
• 謎です(笑) ちょっと唐突な感じがしますよね．
• 数学的帰納法について
  1. P(0)
  2. P(n') → P(S n')
  という形でしたが，
  1. P(S n)
  2. P(S n') → P(n')
  のような形でも使えますか？
• おそらく (a)「100以下の自然数n に対してP(n)」のような命題を証明するのに， (b) P(100) と (c) ∀n, P(S n') → P(n') を証明するような形で帰納法を使えないか， ということだと理解しました(違ったら指摘してください)． 短い答は「使えません」です． が，(a) と (b) かつ (c) が同値であることは定理として証明できる(はずな) ので，それを利用して実質的に同じことは可能です．(ただしタクティックのサポートは 受けられないでしょう．)
• 等式の両辺に関数を持ってきて2つの関数が等しいことは言えますか？
• 講義でも少し話をしましたが，関数 f と g (nat -> nat 型としましょう)が等 しい，という時には「任意の n について f n と g n が(自然数として)等しい」 という意味(これを外延的な等しさといいます)なのが普通ですが，Coq の = は 少し違う意味になっています．それはおおざっぱにいうと「f の関数本体を (パラメータはそのまま)計算してg の関数本体になればよい」という基準です． ラムダ計算(来週やります)の言葉でいうとβ同値という概念に相当します．
• 等号について質問です．
  1. 定理の基本的な構成要素は常に等式(式1 = 式2 の形)なのでしょうか？
  2. だとすると，証明の最後に登場するタクティックは常に reflexivity なのでしょうか？
  3. 等式で書かれた定理の使い方は，rewrite による書き換えのみでしょうか．
• 1. しばらくはそうです．Prop.v という章までいくと，新しい基本命題を自分で 追加することを学びます．(ここで基本命題と真偽値の関係ももう少し明らかになります．)
  2. そうとも限らないのですが教科書の構成上，まだしばらくは「明らかに 等しいとわかるまで等式の書き換えを繰り返す(そして reflexivity でフィニッ シュ)」というスタイルの証明が続きます．
  3. 基本的にはそう考えてもらって構いません．
• andb_true_elim1 の証明で b = false の場合に，true = andb b c = false という 関係が現れていたのが気になりました．
  • Coq では背理法(あるいは否定の導入)は使えないのでしょうか．
  • true と false は別物であることを Coq に教えることは出来ないのですか？
• 講義でもふれましたが，b = false の場合は and false c = true (ありえな い!)を仮定して，true = false (ありえない!)を示せ，という「矛盾を仮定し て矛盾を示」すことをやっています．ここでは，それが rewrite による書き換 えを使って証明がされていて，人間がふだん行う推論とは違い少し違和感があ るかもしれません． 実は Coq は true と false が別物であることを知っています．ただ，その事実を 活用する方法をまだ教えていません． 真偽値に限らない矛盾(例えば 1 = 0 など)も同様で，矛盾した状況を扱うタク ティクスがそのうちでてきます．
• (型があっていても)再帰関数を定義できない条件は何？ 予想は，第1引数が狭義単調減少していない場合で，例えば ユークリッドの互除法のように，二引数関数で，引数を入れ替えながら 減少させる関数はそのまま定義できない？
• Coq は簡単な解析をしてどの引数が小さくなっていっているかを推測してくれ ます．これは第1引数に限りません．ただし指摘の通り，ユークリッドの互除法 はそのままでは定義できないでしょう．Coq に，どうしてこの関数は止まるのか のヒントを与えるような定義を書く必要があります．

第一回目の予習での QA (10/8提出分, Preface.v, Basics.vについて)

全ての回答に目を通しましたが，後で回答する方が適切と考えた質問はここ では答えていません．そのうち答えます．また講義中に説明したと考えている 質問についても回答していません．回答に納得できない場合は，またしてくだ さい．また，似た質問はひとつにまとめたり，質問の文章は適宜変更していま す．

全体的に nat の O と S を使った記法と，アラビア数字表記のつながりが魔法 のようで紛らわしかったようです．下の質問への回答にも書きましたが，実は nat という名前の型はテキストの Module Playground ... End Playground の 間とライブラリで二度定義されています．後者についてのみシステムがアラビ ア数字表記と対応が取れるように細工をしてくれていますが，前者については， テキストで新たに定義したものなので，そういうサポートがありません． (Module は定義が使える範囲を区切るための仕組み)ですので，例えば

 Check S(S(S(O))).

• 参考書はないの？
• すみません，日本語で出版された本はありません．他に参考情報があれば適宜講義で紹介してきます．
• 証明の際，最初に「Proof.」と書かなくても証明を進めることができるが，書いたほうがよいか．
• 究極的には人間にとっての可読性の問題なので，演習の採点，という観点からは書かなくてもよいですが，「良いプログラミングスタイル」としては書くことを薦めます
• match 式で

  match n, m with
    | _, O => 式1
    | O, _ => 式2
    ...
  end
  

  のようにパターン間で当てはまる条件に重複がある場合，上から順番に処理されていく，という認識で正しいでしょうか？また，条件が被る状況は避けた方がよいか？
• 上から順番に条件にあてはまるか試していきます．ですので，n=0, m=0 の場合は式1がmatch全体の値になります．また，自分がきっちりわかっていれば条件が被る状況があっても構わないと思います．被らないように書きにくい場合もあるので．
• O, S O, S (S O), …について，それぞれが表す自然数が異なることは自明ですか．
• (実は)よい質問です．自明，というより「定義により異なる(Coq はそういう風にできている)ことになっている」というところでしょうか．
• nat の S や O が特に何も定義していないのに，0, や +1 したものとして扱われるのがなぜかわからなかった．もとからそのように定義されているのか Coq が nat の定義からそのように読みとって理解したのだろうか．
• アラビア数字表記(例えば 5) が S(S(S(S(S(O))))) になってく れるのは Coq でそのように定義されているから，です．ただし，nat の型定義 をした時点で，O をゼロ，S を「次の数」だと思おう，というのはある意味で は我々の勝手に押しつけた見方です．O をゼロ，S を「次の次の数」と思えば， 偶数を定義したと考えることもできます(ただし，奇数がないので，これが偶数だと 思ってもあんまり面白い結論がでてこないですけど :-)
• evenb の定義などで出てくる n' は何を表しているのですか？
• まず，パターンで出てくる n' などは，何かを指すために使う 名前(これを我々は変数と読んでいます)です．その意味では，関数の仮引数と 同じような役割(後で与えられる実引数を指すという意味で)を果たします． evenb の定義における n' は S(S n') というパターンで出てきますが，これは 「(match の対象であるところの) n が S (S ...) という形をしていた時の ... 部分」を表しています． ちなみに n' は，これ以上分解できないひとつの名前です．Coq では変数名として， 「一文字目がアルファベット(大文字・小文字含む)かアンダースコア， 二文字目以降としては加えて数字とプライムからなる文字列」が使えるようです． 詳しくは Reference Manual 1.1 Lexical conventions を見てください． 仮名を含む(!)一部の unicode 文字も使えるようですね．
• Module Playground1 ... End Playground1 で囲むと この中で定義した関数(例えば foo) を，この外では Playground1.foo という形で 呼べる，ということですか？
• はい．その通りです．よくわかりましたね :-)
• minus の定義で n - m が n < m の時 0 になることの説明が予めないのはなぜか．
• 著者に聞いてみないと本当のところはわかりません(笑)が，業界(…って何だ…)では，よくやる定義なので，親切に説明するのを忘れてしまったのでしょう．確かに初学者には不親切ですね．(著者に伝えておきます．)
• nat_scope, type_scope の意味がよくわからない．
• Notation は(記号の読み替えをする)マクロ定義みたいなものな のですが，同じ名前でも書く場所によってどう展開するかが変わる場合があり ます．この場所を示すのが〜scope です．nat_scope は自然数を書くことが期 待されるところで，type_scope は型が期待されるところで有効になる，くらいの意味です．
• beq_nat 関数は n = m のときだけ真となる関数という解釈でよい？
• はい．定義のちょっと上に "The beq_nat function tests natural numbers for equality" と書いてある通りです．
• test_next_weekday を証明しただけで，なぜすべての曜日の次の次の平日の曜日を出す証明になるのか．
• いえ，なりません．例の名前から一般的な性質を何か証明した と思ってしまったかもしれませんが，これはあくまで saturdayの次の次が tuesday になる，という一例を示しただけです．
• 序盤 nat 型の定義の辺りで，何故出力がしっかりと自然数として(五十嵐注…アラビア数字表記で？)出てくるのが謎でした．
• 実は nat という名前の型はテキストの Module Playground ... End Playground の間と，ライブラリで二度定義されています．後者についてはシステムがアラビア数字表記と対応が取れるように細工をしてくれていますが，前者についてはそのサポートがありません．ですので，例えば Check S(S(S(O))). をして，しっかり自然数として出てくるのは， End Playground の外(つまりテキストの定義の有効範囲を出た後)に限られるはずです．試してみてください．
• S の中身を明示的に定義していないのに -1 (五十嵐注… +1のこと？)する関数として働くのはなぜか？
• 他の質問への回答でも書きましたが，O をゼロ，S を +1 のこ と，と思っているのは，ある意味で我々の都合です．true と false を 1 と 0 で表す(ことにすると，いろいろ便利)というのと似ているかもしれません． 重要なのは，O と S を nat の定義の仕方で組み合わせると，「自然数と同型」 な集合が作れる(つまり，各要素を自然数と思い込んでも問題がない)，という ことです．
• pred の定義で詰まってしまいました．S についての定義がないのに，minustwo が定義できているのは何故でしょう．(中略)予想として考えたのが，自然数に1を足したものは自然数という公理が知らないうちにどこかで定義されているか，もともとSに上記のような意味があったのではないか(…などなど)．
• その通り，型 nat の定義の(S の部分)がまさに「自然数に 1 を足したものは自然数」という公理を示しています!
• nand の定義で二段階で場合分けを行ったが他に方法はないか？
• minus の定義でやったように b1 と b2 の両方についていっぺんに場合分けを行ってもよいです．

  match b1, b2 with
    | true, true => ...
    | true, false => ...
    | false, true => ...
    | false, false => ...
  end
  

• 関数の仮引数の宣言で (n:nat) (m:nat) と (n m:nat) は違うのか？(同じ，と予想)
• 正解! 同じです．
• Definition 中に関数をいくつか作って相互再帰のような形にできないのか．
• できます．例えば自然数の偶奇を判定する関数 evenb, oddb を相互再帰的に同時に定義するには

  Fixpoint evenb (n : nat) : bool :=
    match n with O => true  | S n' => oddb n' end
  with oddb (n : nat) : bool :=
    match n with O => false | S n' => evenb n' end.
  

  といった形で定義を with でつなぎます．
• proof は自分で打つのか，それとも自動生成されるのか．
• short answer は「自分で打つ」です．Coq には自動証明機能も それなりに強力なものが備わっていて，教科書で扱う問題のかなりの部分は自 動で証明してくれます．ただし，それだと何も身につかないので，みなさんに は手打ちをしてもらいます． 後になると proof にも二種類 proof script と proof object というのがある， という話が出てきて，この話題と関係するのですが，そのうち説明します．お楽しみに :-)
• 場合分けを2回繰り返すことは可能ですか？(andb3を定義するときに andb などを使わずに定義できますか？)
• はい，できます．beq_nat の定義などがその例です．
• Eval simpl と Eval compute の違いはなんですか？
• ふたつは「どれくらい計算をしてくれるか」の度合が違います． 特に，式に変数が含まれていたりするために計算が中途半端に終わらざるを得 ない場合(例えば plus n 0 の計算)に違いが現れます．正確に違いを述べるた めにはかなり準備が必要なので省略しますが，compute の方が計算を積極的に 進めてくれる一方，関数定義なども積極的に展開してしまうので，結果が巨大 になってかえってわかりずらくなってしまうことがあります．例えば，

  Eval simpl in forall n: nat, plus n 0 = n.
  Eval compute in forall n: nat, plus n 0 = n.
  

  を試してみると，違いがわかります．また，simpl は Definition で定義され た関数の計算をすすめてくれない，という特徴もあります．
• 複数の変数に対し場合分けによる証明が必要な場合に destruct の記述はどうなるのでしょう．例えば自然数 m, n, のそれぞれに対し 0 かそれ以外であるかという場合わけが必要な場合に

  ...
  destruct m as [| m']. destruct n as [| n'].
    reflexivity.  (* m=0,    n=0    の場合 *)
    reflexivity.  (* m=0,    n=S n' の場合 *)
    reflexivity.  (* m=S m', n=0    の場合 *)
    reflexivity.  (* m=S m', n=S n' の場合 *)
  ...
  

  のような記述になるのでしょうか．reflexivity を4回も記述することになるが回避する 手段はありますか？
• 前半については基本的には yes です．match を入れ子にせず 同時にふたつ以上のものについて場合わけができたのと同様，m, n を同時に 場合わけすることもできますが，4通りのサブゴールができることはかわりありません． 後半の質問については，上のように場合分けのどの場合も同じように証明でき る場合であれば，4回書かずに済ます方法はあります．しかし，この講義の中で は，「場合わけをしっかり意識して，後で人が読んでも構造がわかる証明を書 く」ことを，身につけてもらいたいので，特に紹介しない予定です．(自分で調べて， 使い方がわかった上で演習の解答で使ってもらう分には構いません．)
• blt_nat の演習問題で，定義を与えて

  Example test_blt_nat1:             (blt_nat 2 2) = false.
  Proof. simpl.
  

  とやった時点では左辺が全く計算されず．simpl. の代わりに compute. とやる 必要があった．(ただし，simpl. の後に構わず reflexivity. をすれば証明は 完了した．)
• おそらく blt_nat を Definition を使って定義したのだと 思います． 別の質問への回答にも書いたように，simpl は Definition で定義された関数 の計算をしてくれません．ですので，blt_nat を Definition で定義する限り， "a simple, elegant solution for which simpl suffices" なる解答がないよ うですので，教科書の Note 以下の注は無視してください．(著者に代わってご めんなさいです．) 次に reflexivity の機能ですが，これは資料にも書いたように「両辺は等しい はずだ! 計算してみろ!」と Coq に命令するタクティックです．この時の「計 算」にはsimpl ではなく compute を使っていると思って(ほぼ)構いません． 実は，この章に出てくる多くの証明で reflexivity. の前に simpl. をやって いるのは，人間がゴールの変化(両辺の simpl による計算結果)を確認するため のもので，Coq にとっては必要のないものです．面倒くさくなってきたら， 省略してもらって構いません．