形式手法特論：コンパイラの「正しさ」は証明できるか？ #burikaigi / BuriKaigi 2026

Transcript

1. 形式手法特論 コンパイラの「正しさ」は 証明できるか？ #burikaigi チェシャ猫 (@y_taka_23) BuriKaigi 2026 (10th Jan.

   2026)

2. #burikaigi #burikaigi_b で X（旧 Twitter）よろしくね！

3. 本日のアジェンダ • 定理証明はどのような点が嬉しいのか？ ◦ 単体テストとの考え方の違いを具体例で見る • コンパイラはどのように実装されるのか？ ◦ 単純な言語でコンパイルの仕組みを学ぶ •

   コンパイラの正当性はどう定式化されるのか？ ◦ Lean を用いて検証可能な仕様と証明を与える

4. 仕様記述と定理証明 1. How to Define and Ensure the Specification?

5. 定理証明を触ったことある人？

6. コンパイラ実装したことある人？

7. 生成 AI 使ってる人？

8. 生成 AI 時代の仕様記述 • 仕様を「記述すること」の重要性 ◦ AI はそれっぽい実装を高速・大量に生成できる ◦ 明示したコンテキスト外の事情は汲んでくれない

   • 今後は仕様の「検証可能性」がより問われる時代に ◦ まずい実装を機械的に弾ける、白黒が決まる仕様 ◦ リッチな型システムや静的解析の利用

9. 理解は全てに先立つ そして、理解とは記述である

10. 例：リストの反転 • リストを反転させる関数を実装したとする • 仕様「2 回反転させたら元に戻る」が成り立ちそう def rev {A :

    Type} (l : List A) : List A := match l with | [] => [] | x :: xs => rev xs ++ [x]

11. • 単体テスト • プロパティベーステスト • 定理証明

12. • 単体テスト • プロパティベーステスト • 定理証明

13. 単体テスト • 各テスト観点に対し、欲しい仕様を個別に記述 ◦ 空：rev (rev []) == [] ◦

    1 個：rev (rev [42]) == [42] ◦ 文字列：rev (rev ["foo", "bar"]) == ["foo", "bar"] • 結果が予測可能な処理に対しては最もコスパが良い ◦ その代わり、不具合の検出はテスト設計に強く依存

14. • 単体テスト • プロパティベーステスト • 定理証明

15. プロパティベーステスト（PBT） • 個別のテストケースではなく性質（プロパティ）を記述 ◦ 2 回反転で元に戻る：rev (rev xs) == xs

    ◦ この性質は「リスト xs が何であろうと」成り立つ • この xs を多数生成し、反例がないか確認 ◦ 単なるランダム以上に、コーナーケースは狙って生成 ◦ 反例が見つかった場合、最小の反例も探索

16. • 単体テスト • プロパティベーステスト • 定理証明

17. Lean Theorem Prover https://github.com/leanprover

18. Lean による証明 • 真に抽象的な「任意の入力」に対して仕様を保証 ◦ その代わり、証明を書く労力は正直かなり重い • ユーザは証明項を構築するのが目標 ◦ 手持ちの仮定を使って欲しい結論を組み立てる

    ◦ 対話的コマンド（タクティク）により項を構築 ◦ VSCode プラグインを使う方法が一般的

19. VSCode での Lean 記述

20. システム開発への利用 • Lean は「数学の形式化」の文脈で言及されがち • しかし、あくまでもプログラミング言語の一種 ◦ 実際に動く（main を持つ）アプリが書ける •

    AWS の認可エンジン Cedar の事例 ◦ Differential Random Testing (DRT) ◦ Rust 実装と Lean 実装で出力の一致を確認

21. 参考：AWS Cedar での Lean 利用 https://speakerdeck.com/ytaka23/fp-matsuri-2025

22. セクション 1 のまとめ • AI 時代における「検証可能な仕様記述」の重要性 • プロパティベーステスト ◦ 個別ケースではなく、包括的な「性質」を記述する

    • Lean による証明 ◦ 真に「任意の入力」に対する動作を保証 ◦ 数学専用ではなく、現に動くプログラムが書ける

23. プログラム実行の意味論 2. Operational Semantics of the Interpreter and the VM

24. 今回 Lean で実装する 証明付きコンパイラ

25. そもそもコンパイルとは何か？

26. プログラムの意味論とコンパイラ • 評価器は言語の操作的意味論（実行方法）を定義する ◦ ソース言語の評価器：インタプリタ ◦ ターゲット言語の評価器：VM や実際の CPU •

    コンパイラはソース言語をターゲット言語に写す ◦ この「写し方」が意味論と整合する必要がある ◦ 「写す前の実行」と「写した後での実行」の一致

27. x = 1071; y = 462; while (!(x == y))

    { if (y <= x) { print x; x = x - y; } else { print y; y = y - x; }; }; print x; ソースコード アセンブリ CONST 1071 SETVAR x CONST 462 SETVAR y VAR x VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT ... コンパイル

28. x = 1071; y = 462; while (!(x == y))

    { if (y <= x) { print x; x = x - y; } else { print y; y = y - x; }; }; print x; ソースコード アセンブリ CONST 1071 SETVAR x CONST 462 SETVAR y VAR x VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT ... inductive Com where | skip | assign (x : Ident) (a : AExp) | seq (c1 : Com) (c2 : Com) | ifThenElse (b : BExp) (c1 : Com) (c2 : Com) | while_ (b : BExp) (c1 : Com) | print (a : AExp) ソース言語の構文木 inductive Instr where | const (n : Int) | var (x : Ident) | setVar (x : Ident) | add | opp | branch (d : Int) | beq (d1 : Int) (d0 : Int) | ble (d1 : Int) (d0 : Int) | halt | out ターゲット言語の構文木 コンパイル 書き出し パース

29. x = 1071; y = 462; while (!(x == y))

    { if (y <= x) { print x; x = x - y; } else { print y; y = y - x; }; }; print x; ソースコード アセンブリ CONST 1071 SETVAR x CONST 462 SETVAR y VAR x VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT ... inductive Com where | skip | assign (x : Ident) (a : AExp) | seq (c1 : Com) (c2 : Com) | ifThenElse (b : BExp) (c1 : Com) (c2 : Com) | while_ (b : BExp) (c1 : Com) | print (a : AExp) ソース言語の構文木 inductive Instr where | const (n : Int) | var (x : Ident) | setVar (x : Ident) | add | opp | branch (d : Int) | beq (d1 : Int) (d0 : Int) | ble (d1 : Int) (d0 : Int) | halt | out ターゲット言語の構文木 1071 609 462 315 168 147 126 105 84 63 42 21 インタプリタ実行結果 VM 実行結果 1071 609 462 315 168 147 126 105 84 63 42 21 コンパイル インタプリタの 意味論 VM の意味論 書き出し パース

30. x = 1071; y = 462; while (!(x == y))

    { if (y <= x) { print x; x = x - y; } else { print y; y = y - x; }; }; print x; ソースコード アセンブリ CONST 1071 SETVAR x CONST 462 SETVAR y VAR x VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT ... inductive Com where | skip | assign (x : Ident) (a : AExp) | seq (c1 : Com) (c2 : Com) | ifThenElse (b : BExp) (c1 : Com) (c2 : Com) | while_ (b : BExp) (c1 : Com) | print (a : AExp) ソース言語の構文木 inductive Instr where | const (n : Int) | var (x : Ident) | setVar (x : Ident) | add | opp | branch (d : Int) | beq (d1 : Int) (d0 : Int) | ble (d1 : Int) (d0 : Int) | halt | out ターゲット言語の構文木 1071 609 462 315 168 147 126 105 84 63 42 21 インタプリタ実行結果 VM 実行結果 1071 609 462 315 168 147 126 105 84 63 42 21 コンパイル 一致 インタプリタの 意味論 VM の意味論 書き出し パース

31. コンパイラと定理証明 • CompCert（POPL 2006）[1] ◦ Coq で証明された C 言語 -

    アセンブリコンパイラ • EUTypes 2019 サマースクールの講義資料 [2] ◦ CompCert の開発者自身が証明の骨子を解説 ◦ ソース・ターゲットとも単純化された言語を利用 • 講義資料も Coq なので、今回は Lean で再構成 [1] https://doi.org/10.1145/1111037.1111042 [2] https://xavierleroy.org/courses/EUTypes-2019/

32. inductive Com where | skip | assign (x : Ident)

    (a : AExp) | seq (c1 : Com) (c2 : Com) | ifThenElse (b : BExp) (c1 : Com) (c2 : Com) | while_ (b : BExp) (c1 : Com) | print (a : AExp) ソース言語の構文木 1071 609 462 315 168 147 126 105 84 63 42 21 インタプリタ実行結果 インタプリタの 意味論

33. 今回考えるソース言語 • とてもシンプルな命令型言語 ◦ int 変数、+、-、==、<=、!、&&、if、while、print • インタプリタは以下の内部状態を持つ ◦ 処理中のコード

    ◦ 処理中のコードが終わった後の継続 ◦ 変数ストア（変数名から int 値へのマップ）

34. x = 1071; y = 462; while (!(x == y))

    { if (y <= x) { print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 0 y : 0 継続

35. y = 462; while (!(x == y)) { if (y

    <= x) { print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 0 y : 0 継続 x = 1071; 先頭の文の取り出し

36. y = 462; while (!(x == y)) { if (y

    <= x) { print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 1071 y : 0 継続 変数 x の更新

37. while (!(x == y)) { if (y <= x) {

    print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 1071 y : 462 継続 変数 y の更新 先頭の文の取り出し

38. while (!(x == y)) { if (y <= x) {

    print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 1071 y : 462 継続 if (y <= x) { print x; x = x - y; } else { print y; y = y - x; }; ループの中身の 取り出し

39. while (!(x == y)) { if (y <= x) {

    print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 1071 y : 462 継続 print x; x = x - y; if 文の then 処理

40. while (!(x == y)) { if (y <= x) {

    print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 609 y : 462 継続 変数 x の更新

41. while (!(x == y)) { if (y <= x) {

    print x; x = x - y; } else { print y; y = y - x; }; }; print x; 変数ストア 処理中コード x : 609 y : 462 継続 if (y <= x) { print x; x = x - y; } else { print y; y = y - x; }; 再度ループの中身の 取り出し

42. 後で使うコードは継続として保持 処理したい部分を切り出して実行

43. という処理を Lean で書くと

44. インタプリタのステップ実行 def stepExec (st : ItpState) : Option (Label ×

    ItpState) := match st with | (.assign x a, k, s) => .some (.tau, (.skip, k, update x (aEval s a) s)) | (.seq c1 c2, k, s) => .some (.tau, (c1, .kSeq c2 k, s)) | (.ifThenElse b c1 c2, k, s) => .some (.tau, if bEval s b then c1 else c2, k, s) | (.while_ b c, k, s) => if bEval s b then .some (.tau, (c, .kWhile b c k, s)) else .some (.tau, (.skip, k, s)) | (.skip, .kSeq c k, s) => .some (.tau, (c, k, s)) | (.skip, .kWhile b c k, s) => .some (.tau, (.while_ b c, k, s)) | (.print a, k, s) => .some (.out (aEval s a), (.skip, k, s)) | (.skip, .kStop, _) => .none

45. インタプリタのステップ実行 def stepExec (st : ItpState) : Option (Label ×

    ItpState) := match st with | (.assign x a, k, s) => .some (.tau, (.skip, k, update x (aEval s a) s)) | (.seq c1 c2, k, s) => .some (.tau, (c1, .kSeq c2 k, s)) | (.ifThenElse b c1 c2, k, s) => .some (.tau, if bEval s b then c1 else c2, k, s) | (.while_ b c, k, s) => if bEval s b then .some (.tau, (c, .kWhile b c k, s)) else .some (.tau, (.skip, k, s)) | (.skip, .kSeq c k, s) => .some (.tau, (c, k, s)) | (.skip, .kWhile b c k, s) => .some (.tau, (.while_ b c, k, s)) | (.print a, k, s) => .some (.out (aEval s a), (.skip, k, s)) | (.skip, .kStop, _) => .none さっき登場した while 文の実行

46. inductive Instr where | const (n : Int) | var

    (x : Ident) | setVar (x : Ident) | add | opp | branch (d : Int) | beq (d1 : Int) (d0 : Int) | ble (d1 : Int) (d0 : Int) | halt | out ターゲット言語の構文木 VM 実行結果 1071 609 462 315 168 147 126 105 84 63 42 21 VM の意味論

47. 今回考えるターゲット言語 • とてもシンプルなスタックマシン VM ◦ 10 個の命令からなるアーキテクチャ（次ページ表） • VM は以下の内部状態を持つ

    ◦ プログラムカウンタ（フェッチ中の命令アドレス） ◦ int を要素とするスタック ◦ 変数ストア（インタプリタと同様）

48. CONST n スタックに数値 n を push VAR x 変数 x

    の値をスタックに push SETVAR x スタックから数値を 1 個 pop し、得られた値を変数 x に代入 ADD スタックから数値を 2 個 pop し、合計値を push OPP スタックから数値を 1 個 pop し、符号を反転させて push BRANCH d 無条件で d 個先の命令アドレスにジャンプ BEQ d1 d0 スタックから数値を 2 個 pop し、それらが等しければ d1 個先へ、 等しくなければ d0 個先へジャンプ BLE d1 d0 BEQ の不等号バージョン HALT 実行を停止する（コンパイル結果の末尾に付与） OUT n 数値 n を標準出力

49. CONST 1071 SETVAR x CONST 462 SETVAR y VAR x

    VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT VAR x VAR y OPP ADD ... プログラムカウンタ スタック 0 変数ストア x : 0 y : 0

50. CONST 1071 SETVAR x CONST 462 SETVAR y VAR x

    VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT VAR x VAR y OPP ADD ... プログラムカウンタ スタック 0 変数ストア x : 0 y : 0 PC 1071

51. CONST 1071 SETVAR x CONST 462 SETVAR y VAR x

    VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT VAR x VAR y OPP ADD ... プログラムカウンタ スタック 1 変数ストア x : 1071 y : 0 PC

52. CONST 1071 SETVAR x CONST 462 SETVAR y VAR x

    VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT VAR x VAR y OPP ADD ... プログラムカウンタ スタック 1 変数ストア x : 1071 y : 0 462 PC

53. CONST 1071 SETVAR x CONST 462 SETVAR y VAR x

    VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT VAR x VAR y OPP ADD ... プログラムカウンタ スタック 3 変数ストア x : 1071 y : 462 PC

54. CONST 1071 SETVAR x CONST 462 SETVAR y VAR x

    VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT VAR x VAR y OPP ADD ... プログラムカウンタ スタック 4 変数ストア x : 1071 y : 462 PC 1071

55. CONST 1071 SETVAR x CONST 462 SETVAR y VAR x

    VAR y BEQ 19 0 VAR y VAR x BLE 0 8 VAR x OUT VAR x VAR y OPP ADD ... プログラムカウンタ スタック 5 変数ストア x : 1071 y : 462 PC 462 1071

56. プログラムカウンタが命令をフェッチ 途中結果はスタックに置きつつ状態更新

57. という処理を Lean で書くと

58. VM のステップ実行 def stepExec (code : Code) (st : VMState)

    : ExecResult := match st with | (pc, stk, s) => match instrAt code pc with | .some (.const n) => .next .tau (pc + 1, n :: stk, s) | .some (.var x) => .next .tau (pc + 1, s x :: stk, s) | .some .add => match stk with | n2 :: n1 :: stk' => .next .tau (pc + 1, (n1 + n2) :: stk', s) | _ => .fail | .some (.branch d) => .next .tau (pc + 1 + d, stk, s) | .some (.beq d1 d0) => match stk with ...

59. VM のステップ実行 def stepExec (code : Code) (st : VMState)

    : ExecResult := match st with | (pc, stk, s) => match instrAt code pc with | .some (.const n) => .next .tau (pc + 1, n :: stk, s) | .some (.var x) => .next .tau (pc + 1, s x :: stk, s) | .some .add => match stk with | n2 :: n1 :: stk' => .next .tau (pc + 1, (n1 + n2) :: stk', s) | _ => .fail | .some (.branch d) => .next .tau (pc + 1 + d, stk, s) | .some (.beq d1 d0) => match stk with ... add 命令による加算

60. セクション 2 のまとめ • コンパイラの「正しさ」 ◦ インタプリタの実行を VM の実行に正しく写す •

    インタプリタの状態とその遷移 ◦ 残りのコード断片を継続として保持しつつ更新 • VM の状態とその遷移 ◦ PC が命令列上を動き、命令に応じて状態を更新

61. コンパイルと模倣関係 3. Semantic Correctness of the Compilation Algorithm

62. 算術式とブール式のコンパイル • 演算を逆ポーランド順で命令列に変換 ◦ 左辺 → 右辺 → 演算の順につなぐ •

    複雑な式でも再帰的にコンパイル可能 ◦ 部分式が中間結果をスタックに残す (x + 1) - (y + 2) <= 0 VAR x CONST 1 ADD VAR y CONST 2 ADD OPP ADD CONST 0 BLE

63. 算術式とブール式のコンパイル • 演算を逆ポーランド順で命令列に変換 ◦ 左辺 → 右辺 → 演算の順につなぐ •

    複雑な式でも再帰的にコンパイル可能 ◦ 部分式が中間結果をスタックに残す (x + 1) - (y + 2) <= 0 VAR x CONST 1 ADD VAR y CONST 2 ADD OPP ADD CONST 0 BLE

64. if 文のコンパイル • 条件、then 処理、else 処理を変換 • それぞれの命令列の長さを確認し、 不要部分を飛び越すジャンプ命令を足す if

    (x <= 0) { x = x + 1; } else { y = 42; }; VAR x CONST 0 BLE 0 6 VAR x CONST 1 ADD SETVAR x BRANCH 3 CONST 42 SETVAR y ...

65. if 文のコンパイル • 条件、then 処理、else 処理を変換 • それぞれの命令列の長さを確認し、 不要部分を飛び越すジャンプ命令を足す if

    (x <= 0) { x = x + 1; } else { y = 42; }; VAR x CONST 0 BLE 0 6 VAR x CONST 1 ADD SETVAR x BRANCH 3 CONST 42 SETVAR y ...

66. while 文のコンパイル • 条件、ループ本体をそれぞれ変換 • 命令列の長さに応じジャンプ命令を足す ◦ 条件不成立ならループを飛び越える ◦ ループ末尾から条件部分へジャンプ

    while (x <= 0) { x = x + 1; }; VAR x CONST 0 BLE 0 6 VAR x CONST 1 ADD SETVAR x BRANCH -7 ...

67. while 文のコンパイル • 条件、ループ本体をそれぞれ変換 • 命令列の長さに応じジャンプ命令を足す ◦ 条件不成立ならループを飛び越える ◦ ループ末尾から条件部分へジャンプ

    while (x <= 0) { x = x + 1; }; VAR x CONST 0 BLE 0 6 VAR x CONST 1 ADD SETVAR x BRANCH -7 ...

68. という処理を Lean で書くと

69. 文のコンパイル処理 def compileCom (c : Com) : Code := match

    c with | .assign x a => compileAExp a ++ [.setVar x] | .ifThenElse b ifso ifnot => let codeIfso := compileCom ifso let codeIfnot := compileCom ifnot compileBExp b 0 (codeLen codeIfso + 1) ++ codeIfso ++ .branch (codeLen codeIfnot) :: codeIfnot | .while_ b body => let codeBody := compileCom body let codeTest := compileBExp b 0 (codeLen codeBody + 1) codeTest ++ codeBody ++ [.branch (-(codeLen codeTest + codeLen codeBody + 1))] ...

70. 文のコンパイル処理 def compileCom (c : Com) : Code := match

    c with | .assign x a => compileAExp a ++ [.setVar x] | .ifThenElse b ifso ifnot => let codeIfso := compileCom ifso let codeIfnot := compileCom ifnot compileBExp b 0 (codeLen codeIfso + 1) ++ codeIfso ++ .branch (codeLen codeIfnot) :: codeIfnot | .while_ b body => let codeBody := compileCom body let codeTest := compileBExp b 0 (codeLen codeBody + 1) codeTest ++ codeBody ++ [.branch (-(codeLen codeTest + codeLen codeBody + 1))] ... if 文のコンパイル

71. 実行！

72. 1071 609 462 315 168 147 126 105 84 63

    42 21 インタプリタ実行結果 VM 実行結果 1071 609 462 315 168 147 126 105 84 63 42 21 一致

73. 再考：コンパイラの正しさ • 実行ステップは直接対応しない ◦ インタプリタの 1 ステップは VM だと複数命令 ◦

    最終的に観測される出力が一致していれば良さそう • 無限ループするプログラムもコンパイル可能 ◦ 停止後に出力列を比較する方法は使えない ◦ 無限に動く状態遷移系の「一致」とは何か？

74. 弱模倣を用いて「正しさ」を示す

75. 弱模倣関係 (S, L ∪ {τ}, →) と (T, L ∪

    {τ}, →) をラベル付き遷移系とする。 以下が成り立つとき、R ⊆ S × T は弱模倣関係であるという。 任意の (s, t) ∈ R、a ∈ L、s’ ∈ S に対して、 s → ... → ... → s’ ならば、ある t’ ∈ T が存在して (s’, t’) ∈ R かつ t → ... → ... → t’ a τ τ 定義（弱模倣、Weak Simulation） a τ τ

76. s s’ t a を出力 出力なし 出力なし R による対応

77. s s’ t t’ a を出力 a を出力 出力なし 出力なし

    R による対応 R による対応 t 側も同じ a を出力して s 側に追いつき 再度 R による対応が成立した状態になれる 出力なし 出力なし

78. コンパイラにおける弱模倣関係 • インタプリタの状態と VM 状態の対応関係を定義 ◦ インタプリタの実行中コード = VM の

    PC 位置 ◦ インタプリタの継続 = この後で実行する VM 命令列 ◦ VM スタック = 空、変数ストアが等しい • 弱模倣：対応した状態からインタプリタが進んだとき、 VM も何ステップかで追いつき、再び対応した状態になる

79. print (x + 1) + 2; 実行中コード print 42; 継続

    変数ストア 変数ストア スタック CONST 100 SETVAR x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 対応 PC

80. インタプリタが動いたとする

81. print (x + 1) + 2; 実行中コード print 42; 継続

    変数ストア 変数ストア スタック CONST 100 SETVAR x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 対応 PC

82. 実行中コード print 42; 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103

83. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103

84. VM が追いつく

85. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 100

86. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 1 100

87. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 101

88. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 2 101

89. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 103

90. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 出力 103

91. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 出力 103

92. print 42; 実行中コード 継続 変数ストア 変数ストア スタック CONST 100 SETVAR

    x VAR x CONST 1 ADD CONST 2 ADD OUT CONST 42 OUT HALT x : 100 x : 100 PC 出力 103 出力 103 対応

93. という主張を Lean で書くと

94. 定理：VM がインタプリタを弱模倣 inductive match_state (code : Code) : ItpState →

    VMState → Prop where | intro : ∀ (c : Com) (k : Cont) (s : Store) (pc : Int), code_at code pc (compileCom c) → compile_cont code k (pc + codeLen (compileCom c)) → match_state code (c, k, s) (pc, [], s) theorem simulation_step : ∀ (code : Code) (l : Label) (ist1 ist2 : ItpState) (vst1 : VMState), itpStep ist1 l ist2 → match_state code ist1 vst1 → ∃ (vst2 : VMState), vmWeakStep code l vst1 vst2 ∧ match_state code ist2 vst2 := by ...

95. 定理：VM がインタプリタを弱模倣 inductive match_state (code : Code) : ItpState →

    VMState → Prop where | intro : ∀ (c : Com) (k : Cont) (s : Store) (pc : Int), code_at code pc (compileCom c) → compile_cont code k (pc + codeLen (compileCom c)) → match_state code (c, k, s) (pc, [], s) theorem simulation_step : ∀ (code : Code) (l : Label) (ist1 ist2 : ItpState) (vst1 : VMState), itpStep ist1 l ist2 → match_state code ist1 vst1 → ∃ (vst2 : VMState), vmWeakStep code l vst1 vst2 ∧ match_state code ist2 vst2 := by ... s と t の対応

96. 定理：VM がインタプリタを弱模倣 inductive match_state (code : Code) : ItpState →

    VMState → Prop where | intro : ∀ (c : Com) (k : Cont) (s : Store) (pc : Int), code_at code pc (compileCom c) → compile_cont code k (pc + codeLen (compileCom c)) → match_state code (c, k, s) (pc, [], s) theorem simulation_step : ∀ (code : Code) (l : Label) (ist1 ist2 : ItpState) (vst1 : VMState), itpStep ist1 l ist2 → match_state code ist1 vst1 → ∃ (vst2 : VMState), vmWeakStep code l vst1 vst2 ∧ match_state code ist2 vst2 := by ... s’ と t’ の対応

97. セクション 3 のまとめ • コンパイラの実装 ◦ ソース言語の断片を再帰的に命令列に変換 • 弱模倣によるコンパイル処理の正当性 ◦

    無限ループを考えると「最終結果の一致」は無意味 ◦ インタプリタと VM で「対応する状態」を定義し、 その対応関係が実行に伴って保存されることを証明

98. まとめ 4. Today’s Summary

99. 本日のまとめ • AI 台頭の時代、仕様の「検証可能性」が重要に ◦ 合致しているかどうか明確に判定できる仕様記述 • インタプリタ・VM・コンパイラ ◦ インタプリタの意味論を

    VM の意味論に写す • 弱模倣によるコンパイラの正当性 ◦ 対応関係を定義、それが実行中保存されることを証明

100. Let’s Craft a Bullet-Proof Compiler with Lean! Presented By チェシャ猫

     (@y_taka_23)