The Global Orientation Barrier in Step-Duplicating Recursors: Impossibility, Modular Escape, and a Certified Witness

本文通过 Lean 4 形式化证明揭示了在步长复制递归器中直接组合式终止度量存在的全局障碍，并展示了投影方法如何突破该限制，同时为受限安全片段提供了完整的机器验证归一化与一致性认证链。

要点

这篇论文讲述了一个关于**“计算机程序如何保证不会死循环”**的有趣故事。它发现了一个奇怪的“陷阱”，并证明了一类传统的检查方法在这个陷阱面前完全失效，而另一类聪明的方法却能轻松绕过。

为了让你更容易理解，我们可以把这篇论文想象成在检查一个**“无限复制的复印机”**。

1. 核心角色：那个捣乱的“复印机” (KO7 系统)

想象你有一个特殊的复印机（我们叫它 KO7），它只有一种奇怪的操作规则：

• 规则：当你把一张纸（叫它 $s$）放进复印机，机器会先复印一张 $s$，然后把原件和复印件一起塞进下一个循环里。
• 数学表达：rec(数据，步骤 s, 计数器 n) $\rightarrow$ app(步骤 s, rec(数据，步骤 s, n))。
• 关键点：步骤 $s$ 被复制了。左边是 1 个 $s$，右边变成了 2 个 $s$。

这个复印机还有一个特点：那个被复制的 $s$ 被关在一个叫 app 的**“透明玻璃盒子”**里。虽然它变多了，但它被锁在盒子里，无法再作为新的指令去触发复印机。它只是静静地待在那里，像个装饰品。

2. 难题：为什么传统的“计数器”会失效？

我们要证明这个复印机最终会停下来（不会无限复印下去）。通常，我们会用一个**“全局计数器”**来检查：

• 传统方法（直接组合测量）：就像给整个复印机称重。
  • 如果规则是“把 1 个苹果变成 2 个苹果”，重量肯定增加了。
  • 在这个复印机里，因为 $s$ 被复制了，传统的计数器会看到：右边的总重量 = 左边重量 + 多出来的那个 $s$ 的重量。
  • 结果：计数器显示重量增加了！
  • 结论：传统方法会大喊：“这肯定停不下来！重量一直在涨！”

论文的发现（不可能性定理）：
作者证明，只要你的计数器是“全局”的（即把所有部分加起来看），并且承认“玻璃盒子”（app）是有重量的，那么没有任何一种这样的计数器能证明这个复印机会停下来。因为无论你怎么设定重量，那个被复制的 $s$ 总会让总重量看起来在增加或持平，从而骗过计数器。

这就像你试图用“总人数”来证明一个“人口爆炸”的村庄会消失，但如果你只盯着人数看，永远看不到它减少。

3. 破局者：聪明的“特写镜头” (依赖对与投影)

既然“全局称重”行不通，聪明的检查员（依赖对框架 DP）换了一种方法：

• 方法：他们不再看整个复印机，而是只盯着“计数器”那个旋钮看。
• 操作：他们把那个被锁在玻璃盒子里的、多余的 $s$ 直接忽略不计（投影掉）。
• 观察：
  • 左边：计数器是 $n$。
  • 右边：计数器变成了 $n-1$（因为 $n$ 被剥了一层皮）。
  • 结果：虽然 $s$ 变多了，但计数器变小了。
• 结论：只要计数器在变小，复印机最终一定会停下来。

比喻：
想象你在爬楼梯。

• 传统方法：你背着一个巨大的背包（装着所有复制出来的 $s$），每走一步，背包里就多出一块砖。你感觉越来越重，觉得永远爬不到顶。
• 聪明方法：你只盯着脚下的台阶数。虽然背包变重了，但你每走一步，脚下的台阶数确实在减少。只要台阶数归零，你就到了终点。

4. 论文的三大贡献

1. 证明了“死胡同”：
   作者用计算机代码（Lean 4）严格证明了：对于这种“复制步骤”的复印机，任何试图“把所有东西加起来”的简单方法都是注定失败的。这是一个数学上的“不可能”。

2. 找到了“逃生口”：
   作者展示了“依赖对”方法是如何通过忽略那些被锁在盒子里的多余部分，只关注核心计数器，从而成功证明程序会停下来的。这解释了为什么有些高级工具能解决简单工具解决不了的问题。

3. 构建了一个“安全区” (SafeStep)：
   虽然整个复印机系统很复杂，但作者设计了一个**“受控模式”。在这个模式下，他们不仅证明了它会停下来，还证明了它不会乱跑（不会有两个不同的结果），并且编写了一个“自动整理员”**（Certified Normalizer）。这个整理员被数学证明是绝对可靠的：它能把任何混乱的输入整理成唯一的最终状态。

5. 总结：这对我们意味着什么？

• 对于程序员：如果你写了一个包含复杂递归和复制逻辑的程序，不要指望简单的“代码行数”或“总大小”分析工具能告诉你它会不会死循环。你需要更聪明的工具（如依赖对分析），它们懂得忽略无关的“噪音”，只关注核心的“进度条”。
• 对于理论：这篇论文划定了一条清晰的界线。它告诉我们，在计算机科学中，有些问题用“整体视角”是看不透的，必须用“模块化、聚焦核心”的视角才能解决。

一句话总结：
这篇论文发现了一个**“复制陷阱”，证明了“只看总量”的方法在这里会失效，而“只看核心进度”**的聪明方法却能轻松破解，并为此提供了一套经过严格数学验证的“安全操作指南”。

技术摘要

1. 研究问题 (Problem)

本文旨在界定两类用于证明一阶重写系统（First-Order Rewrite Systems）终止性的方法之间的严格边界：

1. 直接组合度量法 (Direct Compositional Measures)：通过全局聚合子项的贡献（如大小、权重、深度）来构建单一的全局排序。
2. 基于投影的方法 (Projection-based Methods)：如依赖对（Dependency Pairs, DP）框架结合子项准则（Subterm Criterion），通过投影到特定参数并丢弃无关部分来证明终止性。

核心挑战：
研究聚焦于包含步复制递归器 (Step-Duplicating Recursors) 的系统。这类系统包含形如 rec(b, s, σ(n)) → f(s, rec(b, s, n)) 的规则，其中步参数 s 在右侧被复制（出现两次）。

• 问题：在特定的设计约束下（无绑定、无共享、无对象级公理、无限制的步复制），是否任何满足特定组合公理的全局度量都能严格定向（Strictly Orient）这种复制规则？
• 现象：直接度量法往往因无法处理复制带来的“质量增加”而失败，而模块化方法（如 DP）却能成功。本文试图形式化这一“不可能性”并解释其机制。

2. 方法论 (Methodology)

作者构建了一个名为 KO7 的最小见证演算（Witness Calculus），并采用了以下混合验证策略：

• KO7 演算：
  • 包含 7 个构造子（Constructors）和 8 条重写规则。
  • 核心规则 rec succ 实现了步参数的复制：rec∆ b s (delta n) → app s (rec∆ b s n)。
  • 引入了“应用陷阱 (App Trap)"：app 是一个惰性构造子，没有重写规则。复制的 s 被“困”在 app 内部，无法作为递归计数器再次触发规则，这使得复制在语法上存在但在语义上惰性。
• 形式化验证 (Lean 4)：
  • 在 Lean 4 中形式化了约 7,000 行代码。
  • 不可能性证明：形式化了两种组合度量公理系统（Tier 1 加法度量，Tier 2 抽象组合度量），并证明它们无法严格定向 rec succ 规则。
  • 安全片段 (SafeStep)：定义了一个受保护的子关系，通过添加守卫（如 δ-flag, κM）解决非局部汇合问题，并证明其强正规化（Strong Normalization, SN）。
  • 认证归一化器：基于良基递归构建了一个总归一化函数，并证明其完备性和正确性。
  • 序数校准：形式化了度量与序数（$\omega^\omega$ 和 $\epsilon_0$）之间的映射，证明终止性的证明论强度。
• 外部验证 (TTT2 / CeTA)：
  • 使用 Tyrolean Termination Tool (TTT2) 对完整（未加守卫）的 KO7 系统进行测试。
  • 使用 CeTA (Certification Tool) 独立验证 TTT2 生成的证明证书。
  • 对比了 8 种策略：3 种基于投影/子项的方法成功，5 种直接/全局方法（多项式解释、KBO 等）均返回 "MAYBE"（搜索失败，未找到证明）。

3. 关键贡献 (Key Contributions)

1. 形式化的不可能性定理 (Theorem 9.1)：

   • 证明了在满足特定公理（如 app 构造子对子项具有支配性，或具有加法权重）的组合度量类中，不存在任何度量能严格定向步复制递归器。
   • 该不可能性甚至在一个仅含 4 个构造子的最小子系统（Rec∆-core）中成立。
   • 揭示了直接度量法失败的根本原因：复制导致右侧项的度量值在聚合时必然大于或等于左侧，无法产生严格下降。

2. DP 逃逸机制 (Theorem 9.2)：

   • 证明了依赖对（DP）框架通过投影（Projection）成功逃逸了上述障碍。
   • DP 方法将注意力集中在递归计数器（第 3 个参数）上，并丢弃了被复制的步参数 s（因为它被惰性构造子 app 包裹，不参与递归链）。
   • 这种投影违反了直接组合度量所要求的“子项支配”公理，从而绕过了不可能性。

3. 安全片段的完全认证 (Certified Safe Fragment)：

   • 定义了 SafeStep 关系，解决了全系统的非局部汇合问题（如 eqW void void 的冲突）。
   • 构建了一个三元字典序度量 $\mu_3 = (\delta\text{-flag}, \kappa_M, \tau)$：
     • $\delta\text{-flag}$：处理递归步的相位下降。
     • $\kappa_M$：基于 Dershowitz-Manna 的多重集排序，处理复制带来的结构变化。
     • $\tau$：处理平局情况的自然数负载。
   • 证明了该片段具有强正规化性、根步汇合性（通过 Newman 引理），并提取了一个机器认证的归一化器。

4. 序数校准与证明论强度：

   • 形式化了度量到序数的嵌入，证明其上限低于 $\epsilon_0$（具体为 $\omega^\omega \cdot 2$）。
   • 提供了下界校准，证明 DM 排序在 $\omega^\omega$ 下的满射性。
   • 对比了不同方法的证明论强度：直接方法通常受限于算术强度，DP 子项准则仅需基本良基性（远低于 PA），而全路径序（LPO）在一般签名下需要 Kruskal 树定理（$\Pi^1_1\text{-CA}_0$）。

4. 主要结果 (Results)

• 不可能性验证：Lean 形式化证明确认，任何满足 Tier 1（加法）或 Tier 2（抽象组合）公理的度量都无法证明 rec succ 的终止性。
• 工具验证一致性：
  • TTT2 使用 DP + 子项准则在 <1 秒内证明了完整 KO7 系统的终止性（YES）。
  • TTT2 使用多项式解释（POLY）、KBO、矩阵解释等直接全局方法时，全部返回 MAYBE（搜索失败），与形式化的不可能性结论一致。
  • CeTA 独立认证了所有成功的证明。
• 归一化器：成功提取了一个总归一化函数，对于安全片段内的任意项，能计算其唯一正规形。
• 消融实验：移除了步复制（改为线性递归器 recL）后，简单的加法度量（SimpleSize）立即成功证明终止性，证实了“复制”是障碍的唯一来源。

5. 意义与影响 (Significance)

• 理论界限的精确化：本文首次机器化地划定了一阶重写系统中“全局组合度量”与“模块化投影方法”之间的精确界限。它表明，对于步复制递归器，直接的全局聚合方法在理论上存在根本缺陷，而模块化分解是必要的。
• “应用陷阱”的揭示：揭示了在缺乏绑定和共享的系统中，惰性构造子（如 app）如何使复制在语义上变得“不可见”，从而导致直接度量失效，而模块化方法能利用这一特性。
• 形式化基准：KO7 作为一个最小见证系统，为未来的终止性分析工具（如 TTT2）和形式化库（如 Lean 的 Termination 库）提供了一个严格的基准，用于测试处理复制规则的能力。
• 证明论视角的澄清：通过对比 DP 子项准则（低强度）与路径序（高强度），澄清了不同终止性证明方法背后的证明论成本，指出 DP 方法在处理此类问题时具有更高的效率和更低的逻辑强度要求。
• 工程实践：提供的认证归一化器和完整的证明链（Lean + CeTA）展示了在复杂重写系统中构建可信工具链的可行性。

总结：
这篇论文通过构建一个最小化的反例系统（KO7），结合机器证明（Lean 4）和自动化工具验证（TTT2/CeTA），令人信服地证明了：对于包含无限制步复制的递归器，任何满足标准组合公理的全局度量都无法证明其终止性；唯有通过模块化分解（如依赖对投影）丢弃无关的复制部分，才能成功证明终止性。 这一发现不仅深化了对重写系统终止性理论的理解，也为自动化工具的设计提供了重要的理论指导。