Haskell函数能否通过正确性属性进行证明/模型检查/验证？

首先，如果你选择使用Haskell编程语言：

• 你是否熟悉Curry-Howard correspondence？基于此的机器检查证明系统在很多方面上都是具备强大类型系统的函数式编程语言。

• 你是否熟悉提供有用概念分析Haskell代码的抽象数学领域？各种代数和范畴理论的一些部分常常被提及。

• 请记住，像所有图灵完备的语言一样，Haskell总是存在非终止的可能性。通常情况下，证明某些事情将始终成立比证明某些事情将成立或依赖于非终止值要困难得多。

如果你真的想进行证明而不仅仅是测试，这些是需要牢记的事情。基本规则是：使无效状态导致编译器错误。首先防止无效数据被编码，然后让类型检查器为您完成繁琐的部分。

如果你想走得更远，如果我没记错的话，证明助手Coq有一个“提取到Haskell”功能，可以让你证明关键函数的任意属性，然后将证明转换为Haskell代码。

如果你想在Haskell中进行高级类型系统编程，Oleg Kiselyov是大师级人物。你可以在他的网站上找到一些例子，比如 使用高阶多态类型来编码数组边界检查的静态证明。

对于更轻量级的东西，你可以使用 类型级证书 标记数据已经被检查过了。虽然正确性检查仍然由你自己完成，但其他代码至少可以依赖于知道某些数据已经被检查过了。

另一个步骤是，在轻量级验证和高级类型系统技巧的基础上，利用Haskell作为嵌入 特定领域语言 的主机语言的优势；首先构建一个严格限制的子语言（理想情况下，这个子语言不是图灵完备的），然后使用该DSL中的程序来提供整个程序的关键核心功能。例如，你可以证明一个二元函数是可结合的，以此来证明使用该函数并行化减少集合项时是正确的（因为函数应用的顺序不重要，只有参数的顺序重要）。

哦，最后一件事。关于避免Haskell中可能会破坏本来可以安全构建的代码的陷阱，给出一些建议：你的宿敌是普通递归、IO单子和部分函数：

• 避免最后一个问题相对容易：不要编写它们，也不要使用它们。确保每组模式匹配都处理了每种可能的情况，永远不要使用error或undefined。唯一棘手的部分是避免可能导致错误的标准库函数。有些显然不安全，比如fromJust :: Maybe a -> a或head :: [a] -> a，但其他可能更加微妙。如果你发现自己编写的函数真的不能处理某些输入值，那么你正在允许将无效状态通过输入类型进行编码，并需要首先修复它。

• 表面上很容易避免第二个问题，只需将内容分散到各种纯函数中，然后从IO表达式中使用这些函数。更好的方法是尽可能地将整个程序移出纯代码，以便可以独立评估除实际I/O之外的所有内容。这在大多数情况下仅在需要由外部输入驱动的递归时才变得棘手，这就带我来到了最后一个项目：

• 明智之言：良基础递归和生产性的corecursion。始终确保递归函数要么从某个起始点到达已知的基本情况，要么生成一系列按需元素。在纯代码中，最简单的方法是通过递归折叠有限数据结构（例如，不要将函数直接调用自身，同时将计数器增加到某个最大值，而是创建一个包含计数器值范围的列表并折叠它）或递归生成惰性数据结构（例如，一些值的渐进逼近列表），同时小心不要直接混合两者（例如，不要只是“查找满足某些条件的流的第一个元素”；它可能不存在。相反，取流中的值达到某个最大深度，然后搜索有限列表，并适当处理未找到的情况）。

• 结合最后两个项目，在那些确实需要带有通用递归的IO部分中，尝试将程序构建为增量组件，然后将所有棘手的部分压缩成一个单独的“驱动”函数。例如，您可以使用一个纯函数编写GUI事件循环，如mainLoop :: UIState -> Events -> UIState，一个退出测试如quitMessage :: Events -> Bool，一个获取挂起事件的函数getEvents :: IO Events，以及一个更新函数updateUI :: UIState -> IO ()，然后使用类似runLoopIO :: (b -> a -> b) -> b -> IO a -> (b -> IO ()) -> IO ()的通用函数实际运行程序。这使得复杂部分真正纯净，让您可以使用事件脚本运行整个程序并检查结果的UI状态，同时将棘手的递归I/O部分隔离到单个抽象函数中，易于理解，并且通常会通过parametricity无法避免。

您所需的最接近的工具可能是Haskabelle，它是随附于证明助手Isabelle的一项工具，可以将Haskell文件转换为Isabelle理论，并允许您对其进行证明。据我了解，这个工具是在HOL-ML-Haskell项目中开发的，文档页面包含一些关于其中的背后理论的信息。

我对这个项目不是特别熟悉，也不太清楚它做了什么。但是我知道Brian Huffman一直在尝试这些东西，请查看他的论文和演讲，应该包含相关内容。

我不确定你所要求的是否真的会让你快乐。:-)

对于通用编程语言的模型检查几乎是不可能的，因为为了实际应用，模型必须是特定领域的。由于哥德尔的不完备定理，在足够表达力的逻辑中，没有一种方法可以自动找到证明。

这意味着你必须自己撰写证明，这就引出了一个问题：投入的努力是否值得花费。当然，这样做会创造出非常有价值的东西，即确保程序正确性的保证。问题不在于这是否必不可少，而在于耗费的时间是否太大。证明的问题在于，虽然你可能有"直观"的理解你的程序是正确的，但通常很难将这种理解形式化为证明。直观理解的问题在于它极易受到意外错误（打字和其他愚蠢的错误）的影响。这是编写正确程序的基本困境。

因此，有关程序正确性的研究都是关于使证明易于形式化并自动检查其正确性。编程是“易于形式化”的一个组成部分；编写容易推理的程序非常重要。目前，我们有以下光谱：

• 类似C、C++、Fortran、Python的命令式语言：在这里形式化任何东西都非常困难。单元测试和一般推理是获得至少某些确保的唯一方法。静态类型只能捕获微不足道的错误（比不捕获好多了！）。

• 类似Haskell、ML的纯函数语言：表达力很强的类型系统有助于发现非微不足道的错误和错误。手动证明正确性对于不超过大约200行的代码片段来说是实用的，我想。（例如，我为我的操作库做了一个证明。）快速检查是形式化证明的廉价替代品。

• 依赖类型语言和证明助手（如Agda、Epigram、Coq）：通过自动的证明形式化和发现，整个程序正确性的证明是可能的。然而，负担仍然很重。

在我看来，编写正确程序的当前最佳实践是 纯函数式编程。如果生命取决于您的程序的正确性，那么最好再提高一个层次并使用证明助手。

你是否看过quickcheck？它可能提供你需要的一些东西。

http://www.haskell.org/haskellwiki/Introduction_to_QuickCheck

你所提供的一个看似简单的例子，add(a,b)，实际上很难进行验证 - 浮点数，溢出，下溢，中断，编译器是否经过验证，硬件是否经过验证等等。

Habit是Haskell的一种简化方言，允许证明程序属性。

Hume是一种语言，具有5个级别，每个级别都更加有限，因此更容易验证：

完整的Hume
  完全递归
PR−Hume
  原始递归函数
Template−Hume
  预定义的高阶函数
  归纳数据结构
  归纳非递归一阶函数
FSM−Hume
  非递归数据结构
HW−Hume
  没有函数
  非递归数据结构

当然，如今最流行的证明程序属性的方法是单元测试，这提供了强有力的定理，但这些定理过于具体。“类型有害”，皮尔斯，幻灯片66页

Zeno是一种 Haskell 程序属性自动证明系统；由威廉·桑内克斯（William Sonnex）、索菲亚·德罗索普卢（Sophia Drossopoulou）和苏珊·艾森巴赫（Susan Eisenbach）在伦敦帝国理工学院开发。它旨在解决任何输入值下两个 Haskell 术语之间相等的一般问题。

今天许多可用的程序验证工具都是模型检查类型；能够快速遍历非常大但有限的搜索空间。这些工具非常适合具有大描述但没有递归数据类型的问题。另一方面，Zeno则设计用于归纳地证明无穷搜索空间上的属性，但仅适用于具有小而简单规范的问题。