# Spécification

La spécification d'une fonction (ou d'un algorithme) est la description sans ambiguïté de la tâche que doit effectuer une fonction et des cas permis.

Pour cela, il faut d'abord établir sa signature qui consiste à : 

- la nommer;

- préciser ses paramètres et leurs types; 

- préciser le type des résultats renvoyés.

Spécifier une fonction consiste à ajouter :

- Les préconditions que ses arguments doivent satisfaire; 

- Les postconditions portant sur les résultats renvoyés.

## Exemple

La spécification d’une fonction qui prend comme arguments deux entiers et renvoie leur pgcd est :

- Nom : pgcd;

- Entrées : Deux nombres entiers;

- Sorties : Un nombre entier;

- Les préconditions : Deux nombres entiers strictement positifs;

- Les postconditions : Le pgcd des deux nombres.

en Python :

In [1]:
def pgcd(n1 : int, n2 : int) -> int :
    assert isinstance(n1, int) and isinstance(n2, int) and n1 > 0 and n2 > 0    

# Qu'est-ce que la preuve d'algorithme

Faire la preuve d’un algorithme consiste à prouver que pour toute entrée vérifiant sa précondition :

- Il produit une sortie vérifiant sa postcondition (correction partielle);

- Et ce en temps fini (terminaison).

On parle d'une correction totale si l’algorithme termine toujours et donne un résultat correct.

# Cas de programmation impérative

La programmation impérative repose sur l'utilisation de boucles.

## Terminaison

Pour prouver qu’un algorithme termine, il suffit de montrer qu’il ne boucle pas à l’infini. En Python, l'instruction $while$ peut boucler à l’infini si sa condition reste toujours vraie.
Pour cela, il faut exhiber ce qu'on appelle un variant de boucle :

### Le variant de boucle

Un variant (ou fonction de terminaison) de boucle est une fonction positive qui dépend des variables de l’algorithme et dont la valeur décroît strictement à chaque répétition de la boucle. La condition d’arrêt de la boucle doit impliquer le dépassement d’une valeur particulière de la fonction de terminaison.

### Exemples

In [2]:
def maximum(liste : list) -> int:
    assert liste
    maxi = liste[0]
    for x in liste:
        if x>maxi:
            maxi = x
    return maxi

- Prouver la terminaison de l’algorithme de recherche du maximum est facile. En effet, cet algorithme ne contient qu’une boucle $for$ qui termine nécessairement.

- Considérons la fonction de recherche séquentielle d’une occurrence suivant et prouvons sa terminaison.

In [3]:
def recherche(x : int, liste : list) -> bool:
    assert liste
    i = 0
    while i<len(liste):
        if liste[i] == x:
            return True
        i += 1
    return False

Il s’agit de trouver un variant de la boucle while, c’est-à-dire une quantité entière qui diminue strictement à chaque itération tout en restant positive.

Un variant possible est la fonction : $f(i) = longueur(liste)–i$. En effet :

- la fonction est positive $\forall i \in [0, longueur(liste)]$;

- avant la première itération : longueur(liste) > 0;

- à chaque itération : i augmente de 1 et donc :

$f(i+1)<f(i) \Rightarrow longueur(liste)–i-1 < longueur(liste)–i \Rightarrow -1 < 0 \Rightarrow f$ est strictement décroissante.

- lorsque $f$ devient nulle, la condition d’arrêt de la boucle se déclenche et le programme termine.

### Exercices

On considère l’algorithme de recherche dichotomique :

In [4]:
def recherche_dichotomique(liste : list, x : int) -> bool:
    assert liste
    début = 0
    fin = len(liste)-1
    while début<=fin:
        milieu = (début+fin)//2
        if x>liste[milieu]:
            début=milieu+1
        elif x<liste[milieu]:
            fin=milieu-1
        else:
            return True
    return False

1. Montrer que la fonction $f(début , fin) = début − fin$ est une bonne fonction de terminaison.

2. Faire le même travail avec les deux algorithmes suivants :

In [5]:
def produit(x1 : int, x2 : int) -> int:
    assert isinstance(x1, int) and isinstance(x2, int) and x2>0
    p = 0
    x = x2
    while x>0:
        p += x1
        x -= 1
    return p

In [6]:
def pgcd(x1 : int, x2 : int) -> int:
    assert  isinstance(x1, int) and isinstance(x2, int) and x1>0
    while x2 != 0:
        x1, x2 = x2, x1%x2
    return x1

## Correction partielle

Il s’agit de montrer que la sortie produite vérifie la postcondition de l’algorithme quelle que soit l’entrée vérifiant la précondition. Pour cela, on utilise l'induction ou un invariant de boucle. 

### L'invariant de boucle

Il s’agit d’une propriété attachée à une boucle qui est :

- vraie initialement, avant de commencer la boucle;

- maintenue vraie par toute itération de la boucle, d’où son nom d’invariant.

En particulier, elle restera vraie à la sortie de la boucle.

### Méthode

En pratique, on procède en 3 étapes pour prouver la correction partielle d’un algorithme :

- INITIALISATION

On prouve que l’invariant est vrai avant l’entrée dans la boucle et donc avant d’exécuter la première itération.

- CONSERVATION

On prouve que l’invariant est conservé par une itération de boucle. Pour cela : on suppose que l’invariant est vrai avant l’itération $i$ de boucle puis on montre que l’invariant reste avant l’itération $i+1$. 

- CONCLUSION

On utilise le fait que l’invariant soit vrai en sortie de boucle pour montrer la correction partielle de l’algorithme.

### Exemple

Considérons la fonction de recherche séquentielle du maximum d’une liste.

Prouver la correction de cet algorithme consiste donc à prendre une liste non vide (précondition) quelconque et de montrer qu’à la fin de l’algorithme, la variable maxi est bien l’élément maximal de la liste (postcondition). 

On commence par trouver un invariant : pour cela, on cherche une propriété qui est vraie avant d’exécuter la boucle.

On peut choisir l’invariant de boucle suivant : maxi = maximum(liste[0:i+1]).

La démonstration se fait alors en trois étapes :

- INITIALISATION (L’invariant est-il vrai avant la première itération ?)

Pour i = 0 : maxi = maximum(liste[0:1]) = maximum(liste[0])=liste[0]. Avant l’entrée dans la boucle, maxi = liste[0] donc on a bien maxi = maximum(liste[0:1]).

- CONSERVATION (L’invariant est-il maintenu vrai par une itération de la boucle ?) 
Supposons que l’invariant soit vrai au début de l’itération d’indice $i$ de boucle, c’est-à-dire que l’invariant de l’itération précédente est vrai : maxi = maximum(liste[0:i]).

  - Si liste[i] <= maxi alors on sait que maxi ne change pas. On a donc bien maxi = maximum(liste[0:i+1]) à la fin de l’itération d’indice $i$.

  - Sinon, cela signifie que liste[i]>maxi=maximum(liste[0:i]) alors maxi = liste[i] et donc liste[i] = maximum(liste[0:i+1]) à la fin de l’itération d’indice $i$.
  
Dans les deux cas, l’invariant est conservé par une itération de la boucle.

- CONCLUSION (On utilise l’invariant en sortie de boucle pour prouver que l’algorithme donne le bon résultat)

En particulier, l’invariant sera toujours vrai après la dernière itération de la boucle, celle d’indice $i = longueur(liste) – 1$. Au début de cette dernière itération on a maxi = maximum(liste[0:longueur(liste)-1]) et après les instructions de la dernière itération on a maxi = maximum(liste[0:longueur(liste)]). Autrement dit, après l’exécution de l’algorithme, la variable maxi est bien le maximum de tous les éléments de la liste. 

Alors on vient de prouver la correction partielle de l’algorithme.

### Exercice

Montrer la correction de la fonction $tri\_par\_sélection$ suivante :

In [7]:
def tri_par_sélection(liste):
    for i in range(len(liste)-1):
        indice_minimum = liste.index(min(liste[i:]))
        liste[i], liste[indice_minimum] = liste[indice_minimum], liste[i]
        print(liste)
    return liste

# Cas de programmation récursive

En programmation fonctionnelle, on fait souvent appel à des fonctions récursives.

## Terminaison

Pour démontrer qu'un programme termine, on vérifie que les appels récursifs se font sur des entiers de plus en plus petits et que l'appel sur 0 termine.

Cependant, les programmes ne travaillent pas toujours avec les entiers. On peut généraliser le principe
de récurrence aux ensembles bien fondés :

### Définition : Ensemble bien fondé

Soit $(E, \leqslant)$ un ensemble ordonné. On dit que l'ordre $\leqslant$ est bien fondé lorsqu'il ne permet aucune suite infinie strictement décroissante. Autrement dit, tout ensemble non vide possède un plus petit élément dans cet ordre.

### Définition : Ordre lexicographique

 Soit $E$ un ensemble et $\leqslant$ un ordre sur $E$ . Pour un entier $n$, l’extension lexicographique de $\leqslant$ notée $\leqslant_{lexic}$ sur $E^n$ est définie par :
  
$$(x_1,x_2,...,x_n) \leqslant_{lexic} (x'_1,x'_2,...,x'_n)$$

s’il existe $1 \leqslant i \leqslant n$ tel que :

- $\forall 1\leqslant k < i, x_k = x'_k$; 

- $x_i < x'_i$.

Si $\leqslant$ est un ordre bien fondé sur $E$ alors $\leqslant_{lexic}$ est un ordre bien fondé sur $E^n$.

### Exemples

- Comme le dictionnaire : on compare les éléments un à un.

- Sur ${\rm I\!N}$, avec l’ordre usuel (bien fondé). L’ordre lexicographique sur les couples ${\rm I\!N}\times {\rm I\!N}$ est aussi bien fondé. Par exemple $(0, 1) < (1, 0)$ et $(7, 3) < (11, 0)$, il n’y a pas de suite infinie strictement décroissante.
  

### Théorème

Soient $(E, \leqslant)$ un ensemble bien fondé et $f : E \rightarrow X$ telle que :

- $f$ fait un nombre fini d'appel à $f(x')$ avec $x' < x$;
- pour tout $x$ minimal, $f(x)$ termine alors $f$ termine.

L’existence d’un variant sur un ensemble bien fondé garantit la terminaison des appels récursifs.

### Exemple : Factorielle

- précondition : $n \in {\rm I\!N}$
- postcondition : $n!$

In [8]:
def factorielle(n : int) -> int :
    assert isinstance(n, int) and n >= 0 
    if n == 0 :
        return 1
    return n*factorielle(n-1)

- Sur l’ensemble bien fondé $({\rm I\!N}, \leqslant)$, $factorielle(n)$ fait un appel à $factorielle(n-1)$ et $n-1 < n$

- $0$ est minimal et $factorielle(0)$ termine.

Ainsi, la fonction $factorielle$ termine.

## Correction

Pour prouver ce que fait une fonction récursive, on fait en général appel au principe de récurrence. 

### Définition : Principe de récurrence

Étant donnée une propriété $\mathcal{P}$ sur les entiers, la formule suivante est vérifée : 
$$(\mathcal{P}(0) \land (\forall n, \mathcal{P}(n) \Rightarrow \mathcal{P}(n + 1))) \Rightarrow \forall n, \mathcal{P}(n)$$

### Exemple

On vient de prouver que la fonction $factorielle$ termine, et on veut prouver sa correction par récurrence :

- Pour $n=0$ la fonction renvoie $1=0!$ par définition;

- Supposons que pour $n \geqslant 0$, $factorielle(n)$ renvoie $n!$, on a : $$factorielle(n+1) = (n+1) \times factorielle(n) = (n+1) \times n! = (n+1)!$$

Ainsi, la fonction $factorielle$ est correcte.

### Exercice

Montrer la correction de la fonction récursive suivante qui renvoie la somme des entiers de 0 à un entier donné :

In [9]:
def somme(n : int) -> int:
    assert isinstance(n, int) and n >= 0
    if n==0:
        return 0
    return n+somme(n-1)