Apply2Isar: Automatically Converting Isabelle/HOL Apply-Style Proofs to Structured Isar

この論文は、探索を迅速に行える手続き的な「apply スタイル」の証明スクリプトを、可読性と堅牢性に優れた宣言的な Isar 形式に自動的に変換するツール「Apply2Isar」を提案し、その有効性を Isabelle の形式証明アーカイブのデータセットを用いて実証したものである。

要約

この論文は、**「Apply2Isar」**という新しいツールについて紹介しています。これは、数学的な証明をコンピュータで検証するシステム「Isabelle/HOL」を使う人々にとって、とても便利な「翻訳機」のようなものです。

わかりやすくするために、**「料理のレシピ」や「建築」**に例えて説明しましょう。

1. 2 つの料理スタイル（証明の 2 つの書き方）

Isabelle というシステムでは、証明（レシピ）を書くのに、大きく分けて 2 つのスタイルがあります。

• スタイル A：「Apply 風（手順書スタイル）」

  • イメージ： 料理人が「まず卵を割って、次にフライパンに油を……」と、作業の手順を次々と命令するスタイルです。
  • メリット： 試行錯誤が簡単です。「あ、この調味料じゃまずいかな？じゃあ次は塩に変えてみよう」と、すぐに次の手を試せます。
  • デメリット： 後で見直すと、「なぜここで卵を割ったのか？」「全体の流れがどうなっているのか」がわかりにくいです。また、途中で「卵が割れなかった（エラー）」と気づいても、どこで失敗したのか探すのが大変です。
  • 別名： 「タック脚本（Tactic script）」とも呼ばれます。

• スタイル B：「Isar 風（構成図スタイル）」

  • イメージ： 建築家の設計図や、完成した料理のレシピ本のようなスタイルです。「まず卵を割る。次に……」と、**「なぜその手順が必要か」「その結果どうなるか」**を文章で丁寧に説明します。
  • メリット： 誰が見ても「あ、ここは卵を割って、次に焼くんだな」という論理の流れが一目でわかります。もし材料（ルール）が変わっても、設計図さえ直せば全体が崩れにくいです。
  • デメリット： 最初から完璧な設計図を書くのは大変で、試行錯誤しながら書き進めるのは苦手です。

問題点：
多くの人は、試行錯誤が楽な「スタイル A（手順書）」で証明を作り上げますが、最終的には読みやすく、壊れにくい「スタイル B（設計図）」に直したいと思っています。しかし、この変換作業は手作業だと非常に時間がかかり、退屈でミスも起きやすいのです。

2. Apply2Isar の登場：自動翻訳機

そこで登場するのが、この論文で紹介されている**「Apply2Isar」**というツールです。

• 何をするツール？
  • 面倒な「スタイル A（手順書）」の証明を、自動的に「スタイル B（設計図）」に変換してくれるツールです。
• どうやって動く？
  • ツールは、元の証明を「再生（リプレイ）」します。
  • 「ここで卵を割った」「ここでフライパンを温めた」という手順ごとの結果（中間状態）をすべて記録します。
  • その記録を逆順に読み返し、「まず卵を割って、次に……」という論理的な文章（設計図）を組み立てて出力します。

3. 具体的なメリットと工夫

このツールは、ただ単純に文字を置き換えるだけでなく、いくつかの工夫をしています。

• 「つなぎ」の工夫：
  • 手順書では「前の結果を使って次へ進む」というのが暗黙のルールですが、設計図ではそれを明確に「前の結果（A）を使えば、次は B になる」と書く必要があります。Apply2Isar は、この**「つなぎ言葉」を自動的に補完**して、論理が途切れないようにします。
• 複雑な状況への対応：
  • 証明の中には「複数の目標を同時に処理する」ような複雑な手順もあります。ツールは、これらを整理して「まず A を証明し、次に B を証明し、最後に C を証明する」という形にきれいに並べ替えます。
• 失敗しても大丈夫：
  • もし変換中に「ここだけ変換できない！」という部分があっても、ツールは「ここは一旦このまま（または仮の証明として）」残して、他の部分は変換し続けてくれます。

4. 評価結果：本当に使えるの？

研究者たちは、Isabelle の公式ライブラリにある数千もの証明を使ってテストを行いました。

• 結果： 約**95%〜99%**のケースで、完全または部分的に成功して、きれいな設計図（Isar 証明）に変換できました。
• 意味： このツールは、実用的なレベルで非常に高い精度を持っていると言えます。

5. まとめ：なぜこれが重要なのか？

このツールは、「開発のスピード（試行錯誤）」と「品質（読みやすさ・堅牢さ）」の両立を可能にします。

• 研究者やエンジニアにとって：
  • 証明を作る時は、自由に試行錯誤できる「手順書スタイル」で進められます。
  • 完成したら、Apply2Isar に任せて、誰でも読める「設計図スタイル」に自動変換します。
  • これにより、**「後で誰が見てもわかる、壊れにくい証明」を、「手間をかけずに」**作れるようになります。

一言で言うと：
「Apply2Isar」は、「料理人の即興的な手際（手順書）」を、「誰にでもわかる完璧なレシピ本（設計図）」に自動で書き換えてくれる魔法の道具です。これによって、数学的証明の世界が、より多くの人にとって親しみやすく、安全なものになります。

技術概要

以下は、提示された論文「Apply2Isar: Automatically Converting Isabelle/HOL Apply-Style Proofs to Structured Isar」の技術的な要約です。

1. 問題背景 (Problem)

Isabelle/HOL には、証明を構築するための 2 つの主要なスタイルが存在します。

• Apply-style (手続き的): 目標から逆方向に推論を進め、証明ツリーを構築するスクリプト。探索が速く、複雑な証明の試行錯誤に適していますが、可読性が低く、証明状態が明示されないため、修正が困難で壊れやすい（brittle）という欠点があります。
• Structured Isar (宣言的): 中間目標や証明の骨子を明示的に記述するスタイル。可読性が高く、構造が固定されるため堅牢（robust）ですが、手動で記述するには労力がかかります。

多くのユーザーは、証明の探索段階では Apply-style を好みますが、最終的な証明文書（AFP: Isabelle Archive of Formal Proofs など）では Isar 形式が推奨されます。しかし、Apply-style のスクリプトを Isar に手動で書き直す作業は、中間目標を一つ一つコピーし、論理の流れを再構築する必要があるため、非常に手間がかかります。また、Apply-style は証明状態に依存するため、単純な変更（例：仮説の順序入れ替え）が証明全体を破綻させることがあり、その原因特定も困難です。

2. 手法とシステム概要 (Methodology)

著者らは、この課題を解決するためにApply2Isarというツールを開発しました。これは Isabelle/ML で実装され、Apply-style のスクリプトを自動的に構造化された Isar 証明に変換するものです。

主要な動作原理:

1. スクリプトの再生と状態収集: 入力された Apply-style スクリプトを内部的に再生し、各メソッド適用後の「残りの目標（intermediate goals）」を記録します。
2. 逆順での Isar 構築: Isar は前方推論（forward reasoning）に適しているため、収集した中間目標と対応するメソッド適用を逆順に並べ替えて Isar 証明を生成します。
3. 事実（Facts）の管理: 各ステップで生成された目標にラベル（例: h_3_1）を付け、後のステップで fact コマンドを通じて参照できるようにします。これにより、Apply-style で暗黙的に行われていた目標間の依存関係を明示化します。

実装上の重要な設計判断と課題への対応:

• 複数の目標への操作: auto や simp_all のように複数の目標を同時に処理するコマンドに対し、「すべての目標を列挙する」のではなく、変更された目標のみを抽出する（smart_goals オプション）ことで冗長性を排除しています。
• 証明フローの複雑化: subgoal（部分証明）や supply（事実の導入）などのコマンドは、証明の順序を逆転させると参照エラーが発生します。Apply2Isar は、これらのコマンドを Isar 証明の先頭に移動させ、論理的な整合性を保ちます。可読性を高めるために、元の順序を維持する「ダミー部分証明」オプションも提供しています。
• 変数のシャドーイング: subgoal による Skolem 化で変数名が既存変数と衝突する場合、自動的に新しい名前を生成するオプション（subgoal_fix_fresh）を用意しています。
• スキーマ変数（Schematic Variables）: 証明中に未決定の変数（?x など）が含まれる場合、完全な Isar への変換が困難です。この場合、該当部分のみ Apply-style のまま残す「部分的変換（Partial Translation）」を行い、証明の大部分を Isar 化します。
• 型注釈の扱い: 型推論が機能しない場合のために、必要な型注釈のみを付与するオプション（print_types）を提供しています。

3. 主な貢献 (Key Contributions)

• 自動化ツールの実装: Isabelle/HOL の Apply-style スクリプトを、構造化された Isar 証明に自動的に変換する初のツール「Apply2Isar」を提供しました。
• 堅牢性の向上: 変換された Isar 証明は、証明の構造が明示されるため、メソッドの動作変更や仮説の順序入れ替えに対して、元の Apply-style スクリプトよりもはるかに耐性があります。
• 実用的な評価: 大規模なベンチマークセット（AFP の 5 つの主要エントリから抽出した 4,461 件の証明）を用いた評価を行い、その有効性を示しました。
• 柔軟な変換戦略: 完全な変換が不可能な場合でも、部分的な変換や sorry（証明のプレースホルダー）を用いた変換を許容することで、ユーザーの証明探索プロセスを支援します。

4. 評価結果 (Results)

著者らは、Isabelle の AFP（Archive of Formal Proofs）から選ばれた 5 つの大きなエントリ（Group-Ring-Module, AutoCorres2, Flyspeck-Tame, Valuation, BNF_Operations）に含まれる 4,461 件の Apply-style 証明に対してツールを評価しました。

• 変換成功率: 全体的に、95%〜99% のテストケースで、完全または部分的な変換に成功しました。
• 失敗要因: 失敗の多くは、Isabelle の項印刷（term-printing）メカニズムの不一致（印刷された目標を再パースできない場合）や、特定の複雑な目標の再パースによるタイムアウトに起因していました。証明の長さ自体は失敗の主要因ではありませんでした（350 行以上のスクリプトも処理可能）。
• 部分的変換: 多くの「部分的変換」は、証明の大部分が Isar 化されており、スキーマ変数を含む短い部分のみが Apply-style のまま残るものであり、実用上は満足できる結果でした。

5. 意義と結論 (Significance)

Apply2Isar は、Isabelle/HOL 開発における「可読性・保守性」と「探索の速さ・柔軟性」という、一見相反する 2 つの利点を両立させることを可能にします。

• 既存開発の維持: すでに Apply-style で書かれた大規模な証明ライブラリを、より保守しやすい Isar 形式へ移行させるための強力なツールとなります。
• 証明探索の支援: ユーザーは素早く Apply-style で証明を試行錯誤し、確定後に Apply2Isar で構造化された証明を生成することで、効率的な開発ワークフローを実現できます。
• 決定論的アプローチ: 最近の LLM 系ツール（Isabelle Assistant など）とは異なり、Apply2Isar は完全に決定論的であり、再現性が高く、ローカル環境で動作するため、信頼性の高い証明リファクタリング手段として位置づけられます。

結論として、Apply2Isar は Isabelle/HOL ツールボックスに価値ある追加機能を提供し、証明の品質向上と開発効率化に寄与することが示されました。