# Correction d'un algorithme & notion d'invariant

Imaginer, réaliser puis tester un algorithme permet de vérifier s'il fonctionne comme on le souhaite... pour certains cas !

Il est rassurant de voir le fruit de son travail porter ses fruits sur quelques exemples, mais comment savoir si l'algorithme est valable dans TOUS les cas ?

On ne peut pas tester tous les cas pour prouver qu'il n'existe aucun cas où l'algorithme dysfonctionne. Vu comme ça, c'est ennuyeux...

Voici l'enjeu de ce chapitre : __comment être sûr que lorsqu'un algorithme renvoie un résultat, ce résultat est forcément celui attendu ?__

Nous nous appuierons sur les algorithmes de tri et resterons dans ce champ d'application cette année.

> __Remarque :__ on parle préférentiellement de __correction__ mais on peut aussi utiliser le terme de __validation__.

## Prouver la correction à l'aide d'un invariant
### L'invariant de boucle

Il existe un moyen de démontrer (au sens mathématique du terme) la correction d'un algorithme : il suffit d'__utiliser un "invariant de boucle"__.

> __Définition :__ pour un algorithme donné, un invariant de boucle, est une propriété qui, si elle est vraie avant l'exécution d'une itération de cette boucle, elle le demeure après l'exécution de l'itération de cette boucle.

### Le raisonnement par récurrence

Les preuves de correction sont des preuves théoriques. La preuve ici s'appuie sur le concept mathématique de récurrence. 

>__Principe du raisonnement par récurrence__  
Une propriété $P(n)$ est vraie si :
- $P(0)$ (par exemple) est vraie
- Pour tout entier naturel $n$, si $P(n)$ est vraie alors $P(n+1)$ est vraie.

### Démonstration de correction en 3 temps

La démonstration de correction d'un algorithme prend trois étapes :

__INITIALISATION__ : __montrer que la propriété est vraie au début de la boucle__, c'est à dire à la fin de la phase d'initialisation.  
__CONSERVATION__ : __montrer que la propriété reste vraie après l'exécution d'une itération__. C'est à dire, que l'on va supposer que la propriété est vraie pour une valeur de i donnée et montrer que la propriété est encore vraie pour la valeur suivante de i, qui peut être notée i+1.  
__TERMINAISON__ : Conclure quant à la correction de l'algorithme, une fois la boucle terminée. Il faut que __la valeur renvoyé en fin de boucle corresponde bien à ce que l'on attend de l'algorithme__.  


Plus rigoureusement, __la correction d’un algorithme correspond en fait à deux critères__ :

- __la correction partielle__ : l’algorithme calcule le bon résultat
- __la terminaison__ : l’algorithme répond en temps fini

> __Remarque :__ dans ce notebook, nous ne ferons donc que des preuves de correction partielles. Nous verrons dans le prochain notebook comment prouver la terminaison d'un algorithme.

### Une application simple mais puissante !

Avant de prendre exemple sur un algorithme de tri, commençons par un algorithme plus abordable.

    VARIABLES
        p, i, n : entiers
    
    DEBUT
        Saisir une valeur entière n
        p ← 1
        POUR i DE 1 A n
            p ← p * 2
        FIN_POUR
        Afficher la valeur de p
    FIN

#### Questions introductives

1. Faire tourner "sur le papier" (ou par écrit, ci-dessous, dans ce notebook) cet algorithme pour quelques valeurs de n petites.

2. Pour une valeur de n saisie quelconque, qu'affiche l'algorithme ?

#### Preuve de correction partielle

Considérons la propriété suivante : __après i itération, $p = 2^{i-1}$__

> __Remarque__ : dans le contexte des preuves de correction, le terme "après itération d'une boucle" s'entend comme le moment qui précède le bloc d'instruction de la boucle (voir flèche ci-dessous).

![Précision sur l'itération](Correction_flèche.png)

Nous allons __montrer que cette propriété est un invariant de la boucle POUR__ de algorithme ci-dessus.

1. __INITIALISATION__

Avant le début de la boucle POUR, p vaut 1.

Au début de la boucle, i = 1 et la __propriété $p = 2^{i-1}$__ est vraie car $2^0 = 1$.

Nous avons donc montré que __la propriété est vraie avant la première itération__.

2. __CONSERVATION__

On choisit de se placer à une itération quelconque i. 
Et on suppose que, __pour l'itération i, $p = 2^{i-1}$__.

On procède alors à l'itération.

On alors p qui devient $p = 2^{i-1} × 2$.
Ce qui peut s'écrire aussi $p = 2^i$.

Nous avons donc montré qu'__après l'itération i + 1, on a bien $p = 2^i$__.

3. __TERMINAISON__

Nous avons donc prouvé que la propriété $p = 2^{i-1}$ est un invariant de la boucle POUR de algorithme précédent.

Au début de la boucle POUR, lorsque i = n, p a pour valeur $p = 2^{n-1}$.

A la fin de la boucle POUR, p a pris pour valeur $p = 2^{n-1} × 2 = 2^n$.

__A la fin l'algorithme renverra donc bien la valeur voulue : $2^n$__.

#### Conclusion

Nous avons prouvé que __la propriété $p = 2^{i-1}$ est un invariant de la boucle__ et que __l'algorithme renverra la valeur voulue__ : $2^n$. 

Notre __algorithme est donc validé !__

## Validité du tri par insertion
### Pseudo-code du tri par insertion

Ci dessous, le pseudo-code d'un tri par insertion :

      VARIABLES
          tab : tableau d'entiers (par exemple)
          i, longueur_tab : entiers
      
      DEBUT
          longueur_tab ← longueur(tab) 
          
          POUR i DE 1 A (longueur_tab - 1)
              TANT_QUE (tab[i] < tab[i - 1]) ET (i > 0)
                  échanger tab[i] et tab[i - 1]
                  i = i - 1
              FIN_TANT_QUE
          FIN_POUR
      FIN

Nous avons vu que le principe du tri par insertion consiste à placer, un à un, chaque élément d'un tableau dans la partie d'indices inférieurs. 

![Animation du tri par insertion](insertion1.gif)

### Validation de l'algorithme de tri par insertion
#### Correction partielle de la boucle : recherche d'un invariant

La boucle principale (boucle POUR) a pour objet d'agrandir __la partie triée du tableau `tab[:i]`__, pendant que __la partie non triée `tab[i:]`__ diminue. A chaque tour de boucle la longueur de la partie triée augmente de une valeur.

    INVARIANT de la boucle interne POUR
        tab est trié jusqu'à l'indice i - 1. Autrement dit, on considère "tab[:i] trié" comme invariant de boucle. 

    INITIALISATION (juste après l'initialisation de la boucle)
        i = 1
        On a alors tab[:i] = tab[:1] = tab[0]
        tab est bien trié jusqu'à i - 1 puisque tab[0] est un tableau à un seul élément.
        On a considère donc l'invariant de boucle vérifié
    CONSERVATION
        pour i, considérons tab[:i] trié (tableau tab, de l'indice 0 à i - 1)
        au tour suivant (i + 1)
            tab[i] a échangé sa valeur avec celle de l'indice précédent
                tant que que tab[i] a une valeur plus petite, 
                afin de conserver l'ordre croissant
            donc tab[:i + 1] est trié
        L'invariant de boucle est donc bien vérifié au i + 1 ème tour de boucle
    TERMINAISON
        à la fin de la boucle, lorsque i = longueur_tab - 1 (dernier indice de tab)
            tab[longueur_tab - 1] échange sa place jusqu'à...
                trouver une valeur plus petite que lui
                ce que le tableau soit donc entièrement trié
        L'invariant est toujours vérifié et on a obtenu le résultat recherché.

#### Conclusion

L'algorithme proposé est correct, validé.


## Validité du tri par sélection
### Pseudo-code du tri par sélection

Ci dessous, le pseudo-code d'un tri par sélection :

      VARIABLES
          tab : tableau d'entiers (par exemple)
          i, j, min, longueur_tab : entiers
      
      DEBUT
          longueur_tab ← longueur(tab) 
          
          POUR i DE 0 A (longueur_tab - 2)
              min ← i       
              POUR j DE (i + 1) A (longueur_tab - 1)
                  SI tab[j] < tab[min]
                      min ← j
                  FIN_SI
              FIN_POUR
                  
              échanger tab[i] et tab[min]
              
          FIN_POUR
      FIN

Nous avons vu que le principe du tri par sélection consiste à rajouter à un tableau déjà trié, le minimum des termes non triés. 

![Animation du tri par sélection](selection.gif)

Dès lors, le tableau `tab` est découpée en 2 parties :

- la première partie qui contient les éléments déjà triés : ceux d'index 0 à i - 1 (le i correspond à la variable i dans l'algorithme ci-dessus). Cette partie peut être notée `tab[:i]`.
- la première partie qui contient les éléments à trier : ceux d'index i à n-1. Cette partie peut être notée `tab[i:]`.

Cet algorithme contenant deux boucles imbriquées, pour être tout à fait rigoureux il est nécessaire de démontrer la correction partielle pour chaque boucle, en commençant par la boucle interne.

### Validation de l'algorithme de tri par sélection : version longue
#### Correction partielle de la boucle interne j (Approfondissement) : recherche d'un invariant

Cette boucle interne est à la recherche du minimum dans `tab[i:]`.

    INVARIANT de la boucle interne POUR
        tab[min] est inférieur ou égal à toutes les valeurs de tab[i:j]

    INITIALISATION (juste après l'initialisation de la boucle)
        min = i et j = i + 1
            Donc tab[min] = tab[i]
            et tab[i:j] = tab[i:i+1] = tab[i]
        Dans ce cas initial, on a donc tab[min] = tab[i:j]
        On a considère donc l'invariant de boucle vérifié
    CONSERVATION
        pour j, considérons tab[min] inférieur à toutes les valeurs de tab[i:j]
        au tour suivant (j + 1)
            SI tab[j + 1] < tab[min]
                      min ← j + 1
            donc tab[min] inférieur à toutes les valeurs de tab[i:j + 1] 
        L'invariant de boucle est donc bien vérifié au j + 1 ème tour de boucle
    TERMINAISON
        à la fin de la boucle, lorsque j = longueur_tab - 1  (dernier indice de tab)
            tab[min] < tab[longueur_tab - 1]
        L'invariant est toujours vérifié et on a obtenu le résultat recherché.

#### Correction partielle de la boucle externe i : recherche d'un invariant

    INVARIANT de la première boucle POUR
        - le tableau tab[:i] est trié de façon croissante, de 0 à i - 1.
        - toutes les valeurs de tab[:i] sont inférieures à toutes les valeurs de tab[i:]

    INITIALISATION (juste après l'initialisation de la boucle)
        i = 0
        le tableau tab[:i] n'a pas de sens en soit
        On considère donc l'invariant de boucle vérifié
    CONSERVATION
        pour i, considérons tab[:i] trié donc l'invariant vérifié.
        le tour de boucle suivant (i + 1) amène à :
            tab[i] ↔ tab[min] (échange de valeurs)
                avec tab[min] > tab[i - 1] (car tab[min] appartient à tab[:i])
        On apporte, en bout de liste, une valeur supérieure à un tableau déjà trié
        L'invariant de boucle est donc bien vérifié au i + 1 ème tour de boucle
    TERMINAISON
        à la fin de la boucle, lorsque i = longueur - 2  (avant dernier indice de tab),
        on a...
            - un tableau trié sur tab[:longueur - 3]
            - tab[longueur - 2] > toutes les valeurs de tab[:longueur - 3]
            - tab[longueur - 1] > toutes les valeurs de tab[:longueur - 3]
        En placant le minimum de ces deux valeurs à l'indice longueur - 2, on otient donc un tableau entièrement trié.
        L'invariant est toujours vérifié et on a obtenu le résultat recherché.
        
#### Conclusion

Les deux boucles étant correctes, l'algorithme proposé est correct, validé.


> __Remarques :__ 
- la démonstration précédente est longue et pas toujours simple à saisir. Une version simplifiée peut être suffisante en terme d'exigibilité : on ne démontre la correction QUE sur la boucle externe (i), car on peut considérer la boucle interne (j) triviale (une simple recherche de minimum).
- en terme d'exigibilité, le plus important est de __savoir définir et trouver un invariant__ de boucle dans les cas les plus classiques.
- __l'invariant de boucle est souvent proche de la postcondition__ (ce que l'on veut obtenir après exécution de l'algorithme)

## Exercices d'application

### L'algorithme mystère à valider

    
    FONCTION mystere(k, p : entiers)
        VARIABLE
            m : entier

        DEBUT
            m ← 1
            TANT_QUE m < p
                m ← m * k
            FIN_TANT_QUE
        RENVOYER m
    
On transpose cet algorithme en programme python ci-dessous :

In [1]:
def mystere(k, p):
    m = 1
    i = 0          # cette variable i n'a aucune incidence sur le résultat final
    while m < p:
        m = m * k
        i = i + 1  # compteur
    return m

print(mystere(2,5))
print(mystere(2,25))
print(mystere(2,30))
print(mystere(5,5))
print(mystere(5,25))
print(mystere(5,30))

8
32
32
5
25
125


1. Que renvoie la fonction mystère précédente ?

2. Proposer un invariant de la boucle TANT_QUE de cette fonction.

3. Prouver que la propriété conjecturée à la question 2. est bien un invariant de boucle.

### Proposition de correction pour l'algorithme mystère
#### Objectif de cet algorithme

L'algorithme renvoit la puissance de k, immédiatement supérieure ou égale à la valeur de p.

#### Détermination d'un invariant de boucle

    INVARIANT de la boucle
        m = k ** i

#### Preuve de correction

    INITIALISATION (juste après l'initialisation de la boucle)
        m = 1 (valeur avant l'éxecution du bloc d'instructions)
        i = 0
        on a donc bien m = k ** i = 1
        L'invariant de boucle est vérifié
    CONSERVATION
        pour i, considérons m(i) = k ** i VRAI
          (Remarque, on note m(i), la valeur de m lors du ième tour de boucle)
        le tour de boucle suivant (i + 1) amène à :
            m(i + 1) = m(i) * k
                     = (k ** i) * k
                     = k ** (i + 1)
        L'invariant de boucle est donc bien vérifié au i + 1 ème tour de boucle
    TERMINAISON
        à la fin de la boucle, lorsque m >= p, on a toujours m = k ** i
        L'invariant est toujours vérifié et on a obtenu le résultat recherché.
        
    CONCLUSION
        L'algorithme proposé est correct, validé.

## Preuve de correction sur un calcul de somme

1. Écrire un algorithme utilisant une boucle POUR permettant de calculer la somme des valeurs d’une liste de nombres entiers

2. Proposer un invariant de la boucle POUR, de cet algorithme.

3. Montrer que l'algorithme donnera toujours le résultat voulu en prouvant que la propriété conjecturée à la question 2 est bien un invariant de boucle.

### Proposition de correction pour le calcul de somme
#### Algorithme

    VARIABLES
    nombres, somme, longueur : entiers
    
    DEBUT
        longueur ← len(nombres)
        somme ← 0
        POUR i DE 0 A (longueur - 1)
            somme ← somme + nombres[i]
        FIN_POUR
        Afficher somme
    FIN

#### Détermination d'un invariant de boucle

    INVARIANT de la boucle POUR
        somme = nombres[0] + ... + nombres[i]

#### Preuve de correction

    INITIALISATION (juste après l'initialisation de la boucle)
        somme = 0 (valeur avant l'éxecution du bloc d'instructions)
        On a donc bien somme = 0 et l'invariant de boucle est vérifié
    CONSERVATION
        pour i, considérons somme(i) = nombres[0] + ... + nombres[i] VRAI
          (Remarque, on note somme(i), la valeur de la somme lors du ième tour de boucle)
        le tour de boucle suivant (i + 1) amène à :
            somme(i + 1) = somme(i) + nombres[i + 1]
                         = nombres[0] + ... + nombres[i] + nombres[i + 1]
        L'invariant de boucle est donc bien vérifié au i + 1 ème tour de boucle
    TERMINAISON
        à la fin de la boucle, lorsque i = longueur - 1, on a...
            somme(longueur - 1) = nombres[0] + ... + nombres[longueur - 1]
        L'invariant est toujours vérifié et on a obtenu le résultat recherché.
        
    CONCLUSION
        L'algorithme proposé est correct, validé.

## Que retenir ?
### À minima...

- La validation / correction permet de prouver qu'un algorithme permet effectivement d'obtenir le résultat attendu.
- La correction partielle se prouve à l'aide d'un invariant de boucle.
- L'invariant de boucle est souvent proche de la postcondition.
- La correction complète comprend :
  - la correction partielle
  - la preuve de terminaison (voir prochain notebook)
- Invariant de boucle du tri par insertion :
  - la tableau est trié jusqu'à un indice i-1.
- Invariant de boucle du tri par sélection :
  - la tableau est trié jusqu'à un indice i-1.
  - toutes les valeurs au delà de cet indice sont inférieures à toutes les valeurs contenues dans la partie déjà triée.
  
### Au mieux...

- La démonstration d'une correction partielle suit un raisonnement par récurrence, en trois étapes :
  - INITIALISATION
  - CONSERVATION
  - TERMINAISON
- Il faut savoir refaire cette démonstration sur les deux algorithmes de tris classiques et sur n'importe quel autre algorithme simple.

---
[![Licence CC BY NC SA](https://licensebuttons.net/l/by-nc-sa/3.0/88x31.png "licence Creative Commons CC BY-NC-SA")](http://creativecommons.org/licenses/by-nc-sa/3.0/fr/)
<p style="text-align: center;">Auteur : David Landry, Lycée Clemenceau - Nantes</p>
<p style="text-align: center;">D'après des documents partagés par...</p>
<p style="text-align: center;"><a  href=http://www.monlyceenumerique.fr/index_nsi.html#premiere>JC. Gérard, T. Lourdet, J. Monteillet, P. Thérèse, sur le site monlyceenumerique.fr</a></p>