如何处理 Coq 中 Program Fixpoint 生成的非常大的项？

我试图在 Coq 中定义并证明正确的函数，该函数可以有效地比较两个排序列表。由于它并不总是在结构较小的项上递归（第一个或第二个列表较小），Fixpoint不会接受它，所以我尝试使用Program Fixpoint反而。

当尝试使用策略证明函数的属性时simpl or program_simpl，Coq 花费几分钟计算，然后生成一个长达数百行的巨大术语。我想知道我是否正在使用Program Fixpoint错误的方式，或者在推理时是否应该使用其他策略而不是简化？

我还想知道在像这样的参数中包含正确性所需的属性是否是一个好习惯，或者最好有一个单独的包装函数将正确性属性作为参数，并使该函数仅将两个列表进行比较？

请注意，我确实尝试定义一个更简单的版本make_diff，仅将 l1 和 l2 作为参数并固定类型A和关系R，但这仍然产生了一个巨大的术语program_simpl or simpl战术被应用。

*编辑：我的包含内容是（尽管这里可能并不需要全部）：

Require Import Coq.Sorting.Sorted.
Require Import Coq.Lists.List.
Require Import Coq.Relations.Relation_Definitions.
Require Import Recdef.
Require Import Coq.Program.Wf.
Require Import Coq.Program.Tactics.

代码：

Definition is_decidable (A : Type) (R : relation A) := forall x y, {R x y} + {~(R x y)}.
Definition eq_decidable (A : Type) := forall (x y : A), { x = y } + { ~ (x = y) }.

Inductive diff (X: Type) : Type :=
  | add : X -> diff X
  | remove : X -> diff X 
  | update : X -> X -> diff X.

Program Fixpoint make_diff (A : Type) 
    (R : relation A)
    (dec : is_decidable A R)
    (eq_dec : eq_decidable A)
    (trans : transitive A R) 
    (lt_neq : (forall x y, R x y -> x <> y))
    (l1 l2 : list A)
     {measure (length l1 + length l2) } : list (diff A) :=
  match l1, l2 with
  | nil, nil => nil
  | nil, (new_h::new_t) => (add A new_h) :: (make_diff A R dec eq_dec trans lt_neq nil new_t)
  | (old_h::old_t), nil => (remove A old_h) :: (make_diff A R dec eq_dec trans lt_neq old_t nil)
  | (old_h::old_t) as old_l, (new_h::new_t) as new_l => 
    if dec old_h new_h 
      then (remove A old_h) :: make_diff A R dec eq_dec trans lt_neq old_t new_l
      else if eq_dec old_h new_h 
        then (update A old_h new_h) :: make_diff A R dec  eq_dec trans lt_neq old_t new_t
        else  (add A new_h) :: make_diff A R dec eq_dec trans lt_neq old_l new_t 
  end.
Next Obligation.
Proof.
  simpl.
  generalize dependent (length new_t).
  generalize dependent (length old_t).
  auto with arith.
Defined.
Next Obligation.
Proof.
  simpl.
  generalize dependent (length new_t).
  generalize dependent (length old_t).
  auto with arith.
Defined.

在这种特殊情况下，我们可以摆脱Program Fixpoint并使用简单的Fixpoint。因为在每次递归调用时我们都会调用make_diff无论是在第一个列表的尾部还是在第二个列表的尾部，我们都可以嵌套两个定点函数，如下所示。 （我已经使用了Section这里的机制是为了避免传递太多相同的参数）

Require Import Coq.Lists.List.
Import ListNotations.
Require Import Coq.Relations.Relations.

Section Make_diff.

Variable A : Type.
Variable R : relation A.
Variable dec : is_decidable A R.
Variable eq_dec : eq_decidable A.
Variable trans : transitive A R.
Variable lt_neq : forall x y, R x y -> x <> y.

Fixpoint make_diff (l1 l2 : list A) : list (diff A) :=
  let fix make_diff2 l2 :=
  match l1, l2 with
  | nil, nil => nil
  | nil, new_h::new_t => (add A new_h) :: make_diff2 new_t
  | old_h::old_t, nil => (remove A old_h) :: make_diff old_t nil
  | old_h::old_t, new_h::new_t =>
    if dec old_h new_h 
    then (remove A old_h) :: make_diff old_t l2
    else if eq_dec old_h new_h 
         then (update A old_h new_h) :: make_diff old_t new_t
         else (add A new_h) :: make_diff2 new_t
  end
  in make_diff2 l2.

End Make_diff.

观察到Section机制不会在生成的签名中包含未使用的参数。这是一个简单的测试：

(* make the first 2 arguments implicit *)    
Arguments make_diff [A R] _ _ _ _.

Require Import Coq.Arith.Arith.

Compute make_diff lt_dec Nat.eq_dec [1;2;3] [4;5;6].
(* = [remove nat 1; remove nat 2; remove nat 3; add nat 4; add nat 5; add nat 6] 
      : list (diff nat) *)