<img src="Images/Logo.png" alt="Logo NSI" style="float:right">

<h1 style="text-align:center">Chapitre 13 : Spécification et mise au point</h1>

Un programmeur ne peut se contenter d'écrire uniquement du code.  
Il doit également expliquer ce que fait son programme et s'assurer qu'il se comporte convenablement.

## Compréhension d'un programme
Considérons le programme suivant :

In [None]:
def maximum_tableau(t):
    m = 0 
    for i in range(len(t)):
        if t[i] > t[m]:
            m = i
    return m

En relisant le code, on peut comprendre ce que fait chaque instruction, mais pas nécessairement ce que calcule le programme.  
Le nom de la fonction suggère que l'on calcule le maximum d'un tableau.  
Mais, après quelques tests, on détermine que ce programme calcule l'indice du maximum du tableau.  
Il aurait donc été plus clair de nommer la fonction `indice_maximum_tableau`.  
De même la variable `m` aurait pu se nommer `ind_max`. Et la variable `t` aurait pu se nommer `tab`.

Même avec des noms plus explicites, certains comportements mériteraient d'être décrit plus clairement.  
Par exemple, la fonction ne s'applique pas à un tableau vide.

In [None]:
t = []
i = maximum_tableau(t)
t[i]

On pourrait donc utiliser un nom encore plus explicite : par exemple, `indice_maximum_tableau_non_vide`.  

On peut également espérer avoir un message explicite (indiquant que la fonction attend un tableau non vide), ou encore que la fonction gère le cas d'un tableau vide différemment.

## Documentation
On peut utiliser les commentaires pour donner des indications sur le code.  
Par exemple :
```python
# renvoie l'indice du maximum du tableau tab, supposé non vide
def indice_maximum_tableau(tab):
```

Toutefois cette information n'est disponible que pour un programmeur ayant accès au code.  
Si la fonction fait partie d'un module d'une bibliothèque, cette information n'est généralement pas accessible.

Python permet d'associer une **documentation** (en anglais, on parle de [**docstring**](https://docs.python.org/fr/3/glossary.html#term-docstring)) à toute fonction.

In [None]:
def indice_maximum_tableau(tab):
    """Renvoie l'indice du maximum du tableau tab.
    Le tableau tab est supposé non vide."""
    ind_max = 0 
    for i in range(len(tab)):
        if tab[i] > tab[ind_max]:
            ind_max = i
    return ind_max

Cette documentation est accessible à partir de la fonction [`help`](https://docs.python.org/fr/3/library/functions.html#help).

In [None]:
help(indice_maximum_tableau)

La documentation, qui décrit les **spécifications** de la fonction, contient deux éléments :
* Des **postconditions** qui décrivent ce que la fonction renvoie.
* Des **préconditions** qui décrivent les conditions d'utilisation de la fonction.

Python a publié un [document](https://www.python.org/dev/peps/pep-0257/) regroupant ce qui peut être considérer comme des bonnes pratiques pour l'élaboration de ces documentations.

#### Commentaires
Il est important de documenter les programmes pendant leur élaboration.  
Il ne faut pas en abuser non plus : certains commentaires n'apportant aucunes informations supplémentaires.  
Des noms de variables et de fonctions bien choisies remplacent avantageusement certains commentaires.

Il reste évidemment des situations ou les commentaires s'imposent car ils expliquent quelque chose qui ne se déduit pas immédiatement de la lecture du code

### Typage
Il est recommandé et surtout très utile de préciser le type des paramètres et des variables renvoyées.  
Cela aide à la bonne compréhension du programme et son flux d'exécution.

Python est un langage dont le typage est **dynamique** : il n'est pas nécessaire de déclarer le type des variables.

Par ailleurs, il est capable d'inférer le type des objets créés : on parle de typage **fort**. 

* Ce choix de typage peut être piegeux et *masque* la comprehension de l'execution machine : l'execution du programme est dépendante du type des variables et il est important de le prendre en compte (en Python, ce choix n'est pas, consciemment, fait par le concepteur du programme).

* Le contrôle à priori, de la validité d'un programme est moins évidente

#### Remarque
Depuis la version 3.5, python supporte un mécanisme **optionnel** qui vous permet d'annoter les arguments des fonctions avec des [indications de types](https://docs.python.org/fr/3/glossary.html#term-type-hint), ce mécanisme est connu sous le nom de [**type hints**](https://docs.python.org/fr/3/library/typing.html).

Voici un exemple d'utilisation :

In [None]:
def factoriel(n: int) -> int:
    """Renvoie n!"""
    resultat = 1
    for i in range(1, n + 1):
        resultat *= i
    return resultat

Son intérêt est essentiellement de pouvoir documenter plus finement le code.  
Certains IDE peuvent s'en servir pour permettre de vérifier le code et détecter des erreurs dans le passage d'arguments.  
Attention toutefois, cela reste optionel et est ignoré lors de l'interprétation du code.

## Programmation défensive
* Il est possible d'interrompre le programme pour éviter que certaines préconditions ne soient pas respectées.

In [None]:
def indice_maximum_tableau(tab: list) -> int:
    """Renvoie l'indice du maximum du tableau tab.
    Le tableau tab est supposé non vide."""
    assert len(tab) > 0, "Le tableau est vide"
    ind_max = 0 
    for i in range(len(tab)):
        if tab[i] > tab[ind_max]:
            ind_max = i
    return ind_max

L'instruction [`assert`](https://docs.python.org/fr/3/reference/simple_stmts.html#the-assert-statement) combine le test d'une condition et l'interruption du programme avec un message dans le cas ou cette condition n'est pas respectée.

In [None]:
t1 = []
indice_maximum_tableau(t1)

Si la fonction est appelé sur un tableau vide, le test échoue et le programme est interrompu avec l'affichage du contexte dans lequel cet appel a eu lieu et du message qui accompagne le test.

On appelle cela de la **programmation défensive**.

* On peut également, plutôt que d'interrompre, renvoyer une valeur qui ne soit pas ambigüe.

In [None]:
def indice_maximum_tableau(tab: list) -> int:
    """Renvoie l'indice du maximum du tableau tab.
    Le tableau tab est supposé non vide."""
    if len(tab) == 0:
        return None
    ind_max = 0 
    for i in range(len(tab)):
        if tab[i] > tab[ind_max]:
            ind_max = i
    return ind_max

t1 = []
indice = indice_maximum_tableau(t1)
t1[indice]

Si l'on choisit de renvoyer `None`, on peut appeler la fonction sans précaution particulière et tester ensuite la valeur renvoyée.
```python
r = indice_maximum_tableau(t)
if r != None:
    print(f"Le maximum est {t[r]}")
```

Si l'on choisit d'utiliser `assert`, il faut s'assurer que le tableau n'est pas vide avant d'appeler la fonction.
```python
if len(t) > 0:
    r = indice_maximum_tableau(t)
    print(f"Le maximum est {t[r]}")
```

## Tests
Même lorsqu'un programme est correctement spécifié et commenté, il reste possible de faire une erreur en écrivant son code.  
Pour détecter ces éventuelles erreurs, il faut effectuer des **tests**.

Il s'agira d'utiliser la fonction sur quelques cas concrets, dont on peut vérifier qu'elle produit effectivement les résultats attendues.
```python
>>> indice_maximum_tableau([2, 3, 1])
1
```

* Si le résultat renvoyé n'est pas celui attendu, alors le programme est manifestement erroné.  
Il faut alors trouver et corriger l'erreur.  
* Si le résultat est celui attendu, cela ne signifie pas qu'il n'y a pas d'erreur.  
Il faut donc effectuer d'autres tests.

### Inclusion des tests
Une bonne pratique est d'inclure les tests dans le même fichier que le programme.  
On peut ainsi utiliser la construction `assert` et un test d'égalité.

In [None]:
def indice_maximum_tableau(tab: list) -> int:
    """Renvoie l'indice du maximum du tableau tab.
    Le tableau tab est supposé non vide."""
    if len(tab) == 0:
        return None
    ind_max = 0 
    for i in range(len(tab)):
        if tab[i] > tab[ind_max]:
            ind_max = i
    return ind_max

# Tests
assert indice_maximum_tableau([2, 3, 1]) == 1
assert indice_maximum_tableau([]) == None
assert indice_maximum_tableau([3, 1, 3, 7]) == 3
assert indice_maximum_tableau([8, 3, 1, 3, 7]) == 0
assert indice_maximum_tableau([-3, -1, -3, -7]) == 1

Si l'un des tests échoue, il faut rectifier le programme.  
Une fois l'erreur corrigée, il convient de relancer tous les tests.  
En effet, en corrigeant une erreur, on peut en introduire une autre.  
Il est donc interessant d'écrire tous les tests dans le fichier où est définie la fonction.

#### Spécification non déterministe
Pour un test donné, c'est la spécification qui indique le résultat attendu.  
Parfois plusieurs réponses peuvent être considérée correctes.

Dans le cas de notre fonction, `indice_maximum_tableau([3, 1, 3])` peut renvoyer `0` ou `2`.  
Donc si la spécification ne précise pas qu'il s'agit du plus petit indice correspondant à la valeur maximale, par exemple, on doit adapter notre test.
```python
m = indice_maximum_tableau([3, 1, 3])
assert m == 0 or m == 2
```

#### Définition des tests
On peut définir les tests à partir de la seule spécification du programme.  
C'est donc une bonne pratique d'écrire un certain nombre de tests pour une fonction avant même d'avoir écrit le code de cette fonction.  

Dans le cas d'un travail en équipe et une fois la spécification décidée en commun, on peut confier la définition des tests et l'écriture du programme à des personnes différentes.

### Ensemble de test
Il est généralement impossible d'écrire un ensemble de tests exhaustif, qui suffirait à exclure toute erreur.  
Il faut donc trouver un bon ensemble de tests, qui soit suffisant pour donner une bonne confiance dans le programme testé.  
L'objectif étant que les tests couvrent *tous* les comportements possibles du programme.

* Si la spécification mentionne plusieurs cas, chacun de ces cas doit faire l'objet d'un test
* Si une fonction renvoie une valeur booléenne, essayer d'avoir des tests impliquant chacun des deux résultats possibles
* Si le programme s'applique à un tableau, il faut inclure un test couvrant le cas du tableau vide.
* Dans le cas d'un tableau, il faut inclure des tests pour l'indice `0` ou l'indice maximal
* Si le programme s'applique à des nombres, il faut tester des valeurs positives, négatives et zéro
* Si le programme fait intervenir un nombre appartenant à un certain intervalle, il faut inclure des tests pour les valeurs limites de l'intervalle.  


#### Tests et préconditions
Dans le cas d'une fonction dépendant d'une précondition, on n'effectue que des tests en accord avec cette précondition.  
En effet, lorsque les conditions d'utilisation d'une fonction ne sont pas remplies, la spécification ne dit rien de ce que doit être le résultat.

#### Couverture de code
Dans l'industrie, on utilise des critères quantitatifs appelées **critères de couverture**, mesurant, par exemple, le pourcentage des instructions de programme qui sont effectivement exécutées lors d'au moins un test.

### Programme de tests
* Dans certains cas, plutôt que d'écrire chaque test sur une ligne individuelle, on peut écrire un programme effectuant une série de tests.

In [None]:
from random import randint

# Fonction à tester
def tableau_croissant(n: int) -> list:
    """Renvoie un tableau de taille n contenant des entiers.
    Les entiers sont tirés au hasard et le tableau est trié par ordre croissant."""
    tab = [0] * n
    for i in range(1, n):
        tab[i] = tab[i - 1] + randint(0, 10)
    return tab

# Fonction auxiliaire créé pour les tests
def est_croissant(tab: list) -> bool:
    """Renvoie un booléen déterminant si le tableau est trié par ordre croissant."""
    for i in range(len(tab) - 1):
        if tab[i] > tab[i + 1]:
            return False
    return True

# Fonction de test
def tableau_croissant_tests(taille: int, nb: int) -> None:
    """Teste nb tableaux pour chacune des tailles comprises entre 0 et taille - 1
    taille et nb sont des entiers strictement positifs."""
    for n in range(taille):
        for _ in range(nb):
            t = tableau_croissant(n)
            assert est_croissant(t)
            
# Tests
tableau_croissant_tests(20, 10) # Teste 10 tableaux pour chacune des tailles comprises entre 0 et 19

* On peut parfois générer des tests aléatoires

Considérons, la fonction :
```python
def doublon(tab: list) -> int:
    """Renvoie un élément du tableau d'entiers tab apparaissant au moins 2 fois.
    Il en existe nécessairement un."""
```
On peut :
* générer un tableau `tab` vérifiant les conditions
* effectuer le test en appelant la fonction sur `tab` et en récupérant le résultat `res`.
* énoncer un verdict sur `res`, c'est-à-dire vérifier que `res` répond bien à la spécification de la fonction.  
Cette vérification est confiée à une fonction auxiliaire que l'on appelle [**oracle**](https://interstices.info/glossaire/requete-a-un-oracle/) et qui vérifie que `res` apparaît plusieurs fois dans `tab`.

In [None]:
# Fonction à tester
def doublon(tab: list) -> int:
    """Renvoie un élément du tableau d'entiers tab apparaissant au moins 2 fois.
    Il en existe nécessairement un."""
    for i in range(len(tab)):
        for j in range(len(tab)):
            if i != j and tab[i] == tab[j]:
                return tab[i]

# Fonction auxiliaire créé pour les tests
from random import randint

def tableau_aleatoire(n: int) -> list:
    """Renvoie un tableau d'entiers aléatoires de taille n
    Il existe au moins un élément apparaissant au moins deux fois"""
    tab = [0] * n
    for i in range(n):
        tab[i] = randint(1, n - 1)
    return tab

# Oracle créé pour tester les résultats de doublon
def verifie_doublon(res: int, tab: list) -> bool:
    """Renvoie True si t contient au moins deux occurrences de res"""
    nb = 0
    for elt in tab:
        if elt == res:
            nb += 1
    return nb > 1

# Fonction de test
def doublon_tests(taille: int, nb: int) -> None:
    """Teste nb tableaux pour chacune des tailles comprises entre 2 et taille - 1
    taille et nb sont des entiers strictement positifs."""
    for n in range(2, taille):
        for _ in range(nb):
            tab = tableau_aleatoire(n)
            res = doublon(tab)
            assert verifie_doublon(res, tab)
            
# Tests
doublon_tests(20, 10) # Teste 10 tableaux pour chacune des tailles comprises entre 2 et 19

L'oracle étant lui même un programme, peut-on lui faire confiance?  
On ne peut exclure que l'oracle rende un verdict erroné. Le risque est néanmoins limité.
* Il est souvent plus facile de vérifier la validité d'un résultat que de trouver le résultat
* Le programme testé et l'oracle, bien que traitant de problèmes liés, sont des programmes souvent très différents l'un de l'autre, ce qui limite la probabilité qu'une erreur de l'un soit cachée par une erreur de l'autre.  
Lorsqu'un résultat valide du programme testé est interprété comme une erreur par l'oracle, on parle de **faux positif**.

Lorsqu'on effectue une vérification avec l'oracle, il est interessant de connaître les entrées testées, en particulier lorsque l'oracle est en désaccord.  
Dans l'oracle `verifie_doublon`, on peut ainsi ajouter :

```python
if nb <= 1:
    print(f"Echec sur le tableau {tab}")
```

### module `doctest`
Le module [doctest](https://docs.python.org/3/library/doctest.html) permet d’inclure les tests dans la docstring descriptive de la fonction écrite.  
On présente dans la docstring, en plus des explications d’usage, des exemples d’utilisation de la fonction tels qu’ils pourraient être tapés directement dans la console Python.  
Le module doctest (via l’appel à `doctest.testmod()`) reconnaît les bouts de code correspondant à ces exemples et les exécute pour les comparer à la sortie demandée.  
On peut alors commenter, in situ, les tests et leurs raison d’être et avoir une sortie détaillée et globale des tests qui ont réussi ou raté.

In [None]:
def division_euclidienne(a: int, b: int) -> (int, int):
    """Renvoie le quotient et le reste de la division euclidienne de a par b
    Préconditions : a >= 0 et b > 0 avec a et b entiers.
    Si les préconditions ne sont pas respectées, doit renvoyer -1.

    Cas "normaux" de division euclidienne
    >>> division_euclidienne(10, 2)
    (5, 0)
    >>> division_euclidienne(2, 10)
    (0, 2)
    >>> division_euclidienne(37, 3)
    (12, 1)

    Si les arguments sont négatifs -> Erreur
    >>> division_euclidienne(-10, 7)
    -1
    >>> division_euclidienne(10, -7)
    -1

    Si les arguments ne sont pas entiers -> Erreur
    >>> division_euclidienne(10.3, 4)
    -1
    >>> division_euclidienne(11, 3.5)
    -1

    Division de 0
    >>> division_euclidienne(0, 3)
    (0, 0)

    Division par 0 -> Erreur
    >>> division_euclidienne(3, 0)
    -1
    >>> division_euclidienne(0, 0)
    -1
    """
    return a // b, a % b

from doctest import testmod
testmod()

In [None]:
help(division_euclidienne)

## Corriger les erreurs
L'echec d'un test atteste qu'une erreur est présente mais n'indique pas directement ce qu'est cette erreur ni à quel endroit du programme elle se trouve.

Considérant la fonction suivante, dont l'objectif est de tester si les éléments d'un tableau sont rangés par ordre croissant.

In [None]:
def est_croissant(tab: list) -> bool:
    """Renvoie True si le tableau est trié par ordre croissent
    False sinon"""
    i = len(tab) - 1
    while i >= 0:
        if tab[i] <= tab[i + 1]:
            return True
        else:
            return False
        i -= 1
        
assert est_croissant([1, 2, 3, 4]) == True, "Problème avec [1, 2, 3, 4]"
assert est_croissant([1, 3, 2, 4]) == False, "Problème avec [1, 3, 2, 4]"
assert est_croissant([]) == True, "Problème avec []"

Pour localiser l'erreur dans le code, on peut reproduire le déroulement, pas à pas, de l'exécution du programme.  
On peut le faire mentalement ou sur papier.  
On peut également s'aider de notre environnement de programmation :
<div style="text-align: center">
<a href="Scripts/Pas_a_pas-3.py">
   <img border="0" alt="Debogage" src="Images/Pas-a-pas-3.png" > 
</a>
</div>

On constate donc que nous avons un problème d'indice (le message de l'interprète l'indiquait déjà).  
On corrige alors une partie du code.

In [None]:
def est_croissant(tab: list) -> bool:
    """Renvoie True si le tableau est trié par ordre croissent
    False sinon"""
    i = len(tab) - 1
    while i >= 0:
        if tab[i - 1] <= tab[i]:
            return True
        else:
            return False
        i -= 1
        
assert est_croissant([1, 2, 3, 4]) == True, "Problème avec [1, 2, 3, 4]"
assert est_croissant([1, 3, 2, 4]) == False, "Problème avec [1, 3, 2, 4]"
assert est_croissant([]) == True, "Problème avec []"

On peut également utiliser quelques instructions d'affichage, qui nous permettront de suivre les valeurs prises par les variables à certains points cruciaux.

In [None]:
def est_croissant(tab: list) -> bool:
    """Renvoie True si le tableau est trié par ordre croissent
    False sinon"""
    i = len(tab) - 1
    while i >= 0:
        print(f"Nouveau tour avec i = {i}")
        if tab[i - 1] <= tab[i]:
            return True
        else:
            return False
        i -= 1
        
assert est_croissant([1, 2, 3, 4]) == True, "Problème avec [1, 2, 3, 4]"
assert est_croissant([1, 3, 2, 4]) == False, "Problème avec [1, 3, 2, 4]"
assert est_croissant([]) == True, "Problème avec []"

L'erreur est donc la postion du `return False`.  
On modifie, à nouveau, la fonction.

In [None]:
def est_croissant(tab: list) -> bool:
    """Renvoie True si le tableau est trié par ordre croissent
    False sinon"""
    i = len(tab) - 1
    while i >= 0:
        print(f"Nouveau tour avec i = {i}")
        if tab[i - 1] > tab[i]:
            return False
        i -= 1
    return True
        
assert est_croissant([1, 2, 3, 4]) == True, "Problème avec [1, 2, 3, 4]"
assert est_croissant([1, 3, 2, 4]) == False, "Problème avec [1, 3, 2, 4]"
assert est_croissant([]) == True, "Problème avec []"

On n'oublie pas de relancer les tests, à chaque fois.

L'étude du code nous permet de constater que nous avons un problème avec les indices (`t[-1]` est interprété comme le dernier élément du tableau).

On corrige à nouveau :

In [None]:
def est_croissant(tab: list) -> bool:
    """Renvoie True si le tableau est trié par ordre croissent
    False sinon"""
    i = len(tab) - 1
    while i > 0:
        if tab[i - 1] > tab[i]:
            return False
        i -= 1
    return True
        
assert est_croissant([1, 2, 3, 4]) == True, "Problème avec [1, 2, 3, 4]"
assert est_croissant([1, 3, 2, 4]) == False, "Problème avec [1, 3, 2, 4]"
assert est_croissant([]) == True, "Problème avec []"

### Recherche d'erreurs
La recherche des erreurs commence souvent par une reproduction de l'exécution du programme sur un test qui a échoué.
* Une première idée sur la localisation peut être obtenue grâce à l'inclusion temporaire d'instructions d'affichage afin de :
    * signaler quels blocs de code sont exécutés et combien de fois
    * donner les valeurs de certaines variables jugées importantes
* On peut affiner la recherche en suivant, pas à pas, l'exécution du programme à proximité des moments où le comportement du programme n'est plus ce qu'il devrait être.  

La différence observée peut être :
* une mauvaise valeur pour une variable, dont il faut donc revoir le calcul
* la selection du mauvais bloc dans une instruction de branchement, dont la condition doit alors être vérifée
* un tour de boucle manquant, ou en trop, boucle dont les bornes ou la condition d'arrêt méritent alors reflexion
    
S'ajoutent à ces problèmes, les possibles interruptions du programme avant même la production d'un résultat, qui peuvent être analysées exactement de la même manière

## Invariant de boucle
Nous avons vu qu'il est important de documenter ses programmes. En particulier, il est important de ne pas perdre la trace des raisons pour lesquelles nos programmes fonctionnent correctement.

Quand les programmes contiennent des boucles, notamment, il est fondamental de se persuader de la logique sous-jacente du programme.
* Les variables sont-elles correctement initialisées avant la boucle ?
* Le nombre de tours de boucle est-il le bon, et le cas échéant, l'indice de boucle est-il le bon ?
* Les valeurs obtenues au final sont-elles les bonnes ?

Ces notions peuvent être abordées avec la notion d'**invariant de boucle**.  
Il s'agit d'une propriété attachée à une boucle, qui est vraie initialement, avant de commencer à exécuter la boucle, et maintenue vraie par toute itération de la boucle, d'où son nom d'**invariant**.  
En particulier, elle sera vraie à la sortie de la boucle.

Considérons la fonction suivante :

In [None]:
def division_euclidienne(a: int, b: int) -> (int, int):
    """Renvoie le quotient et le reste de la division euclidienne de a par b
    Préconditions : a >= 0 et b > 0 avec a et b entiers."""
    q = 0
    r = a
    while r >= b:
        q += 1
        r -= b
    return q, r

On suppose $a \geq 0$ et $b > 0$ et on cherche à se persuader que cette fonction renvoie bien une paire d'entiers $(q, r)$ telle que :

$$
 \left\{
    \begin{array}{l}
        a=b \times q + r \\
        0 \leq r < b
    \end{array}
\right .
$$

ce qui est la définition d'une division euclidienne.

* Le programme initialise `r` avec la valeur `a`, puis lui retranche `b` tant que `r >= b`. 
En particulier, on aura bien `r < b`, une fois sortie de la boucle.  
D'autre part, la valeur de `r` reste toujours positive ou nulle : 
* Initialement, la valeur de `a` est supposée positive ou nulle.
* A chaque tour de boucle, on retranche `b` uniquement lorsque `r` est supérieure ou égale à `b`.  
    Donc `r' >= 0`.  
C'est un invariant de boucle.

```python
while r >= b:
    # invariant : 0 <= r
```

* Le principe de l'algorithme est que l'on a, en permanence, la propriété : `a = b x q + r` qui est vraie.  
    * Initialement, on a `q = 0` et `r = a` et l'identité est donc trivialement vraie.
    * A chaque tour de boucle, on ajoute `1` à `q` et retranche `b` à `r`, ce qui maintient l'identité :  
        * entrée de boucle :  
        `a = b x q + r`  
        * sortie de boucle :  
        `b x q' + r' = b x (q + 1) + (r - b) = b x q + b + r - b = b x q + r`  
        et par hypothèse de l'invariant : `b x q' + r' = b x q + r = a`

```python
while r >= b:
    # invariant : 0 <= r
    # invariant : a = b x q + r
```

On peut vérifier ces deux invariants de boucle en les écrivant sous forme d'`assert` plutôt que des commentaires. 
```python
while r >= b:
    assert 0 <= r
    assert a == b * q + r
```
Ainsi, ces invariants seront systématiquement vérifiée pendant l'exécution des tests.  
Une fois la mise au point effectuée, on peut revenir vers des commentaires (pour rendre le programme plus efficace).

Un invariant de boucle peut également être attaché à une boucle `for`.

In [None]:
def somme_premiers_entiers(n: int) -> int:
    s = 0
    for i in range(1, n + 1):
        # invariant : s = 1 + 2 + ... + (i - 1)
        s += i
    return s

## Preuve d'un algorithme
De façon plus théorique, lors de l'élaboration d'un algorithme, nous devons nous assurer qu'il effectue le travail pour lequel il a été conçu.  

Il faut donc démontrer que l'algorithme se **termine** et qu'il est **correct** (il donne la réponse au problème qu'il est censé résoudre).  
La preuve de **terminaison** alliée à la preuve de **correction partielle** permet de démontrer la **correction totale** d'un algorithme.

Dans le cas d'un algorithme à boucle :
* L'étude du **variant de boucle** permet de démontrer la **terminaison** de l'algorithme.
* L'étude de l'**invariant de boucle** permet de démontrer la **correction** de l'algorithme.

### Assistant de preuve

Il existe certains programmes permettant de vérifier les programme en essayant d'élaborer une preuve de ce dernier et donc de le certifier.  
Voici par exemple, la plateforme française, développée par l'INRIA : [Why3](https://why3.lri.fr/).  
Dans le cadre de notre exemple, il est possible [d'utiliser la plateforme](https://why3.lri.fr/try/?lang=python&name=pgcd.py&code=A1def6quotientA7nza7rzb7IvJ7C1B6requireso7Tyz0HpBpn7zpHp5ensuresjl7s4result7pkik7o1andBkkkkkk7xslHzq7yiHzrrjH3whileqfl7vLc5variantdndngHnyinvariant%2Fg7RymHppg7Sylbc7qlHr7Kyz1Hq7MymD4returnnHN) :
```python
def quotient(a: int, b: int):
    #@ requires a >= 0
    #@ requires b > 0
    #@ ensures (a - result * b >= 0) and (a - result * b < b)
    q = 0
    r = a
    while r >= b:
        #@ variant (r - b)
        #@ invariant 0 <= r
        #@ invariant a == b * q + r
        q += 1
        r -= b
    return q
```

Voici un autre exemple : [recherche du maximum dans un tableau](https://why3.lri.fr/try/?name=maximum.py&lang=python&code=A1def5maximumA7n1tab7IvJ7C1B6requires4forallzi7tz07Ryq7x1lenAii7o7Mzr72m747TyiHeB5ensureseneoeqeeegee4resultfpdkdH2maxi7yfH1forzk0in3rangeedsh7IIvLW5variantoooa7sjHmyinvariant%2FUbUdUqUlUhWoWmWH0ifnnln7zn7vLsTmmmmMD4returnn).

```python
def maximum(tab):
    #@ requires forall i. 0 <= i < len(tab) -> tab[i] >= 0
    #@ ensures forall i. 0 <= i < len(tab) -> result >= tab[i]
    maxi = 0
    for k in range(len(tab)):
        #@ variant len(tab) - k
        #@ invariant forall i. 0 <= i < k -> tab[i] <= maxi
        if tab[k] > maxi:
            maxi = tab[k]
    return maxi
```

## Exercices

### Exercice 1
Donner une chaîne de documentation à la fonction `def division_euclidienne`.
```python
def division_euclidienne(a, b):
    q = 0
    r = a
    while r >= b:
        q += 1
        r -= b
    return q, r
```

### Exercice 2
Donner une chaîne de documentation pour une fonction `puissance(x, n)` qui calcule `x` à la puissance `n` pour deux entiers `x` et `n`.

### Exercice 3
Donner un invariant de boucle pour la fonction suivante qui calcule `x` à la puissance `n`.
```python
def puissance(x, n):
    r = 1
    for i in range(n):
        r = r * x
    return r
```

### Exercice 4
Ecrire des tests pour la fonction `puissance` de l'exercice précédent.

### Exercice 5
Pour la fonction suivante, lui donner un meilleur nom, une chaîne de documentation, un invariant de boucle et des tests.
```python
def f(t):
    s = 0
    for i in range(len(t)):
        s += t[i]
    return s
```

### Exercice 6
On prétend que la fonction suivante teste l'appartenance de la valeur `v` au tableau `t`.
```python
def appartient(v, t):
    i = 0
    while i < len(t) - 1 and t[i] != v:
        i = i + 1
    return i < len(t) - 1
```
Donner des tests pour cette fonction, et en particulier un test montrant qu'elle est incorrecte.

### Exercice 7
On prétend que la fonction suivante teste l'appartenance de la valeur `v` au tableau `t`.
```python
def appartient(v, t):
    for i in range(len(t)):
        if t[i] == v:
            trouvee = True
        else:
            trouvee = False
    return trouvee
```
Donner des tests pour cette fonction, et en particulier des tests montrant plusieurs raisons pour lesquelles elle est incorrecte.

## Liens :
* Document accompagnement Eduscol : [Mise au point de programmes testés](https://cache.media.eduscol.education.fr/file/NSI/77/3/RA_Lycee_G_NSI_lang_tests_1170773.pdf)
* Société Informatique de France : [Le test de logiciel : pourquoi et comment](https://www.societe-informatique-de-france.fr/wp-content/uploads/2014/05/1024_3_2014_25.pdf)
* Debugger [birdseye](https://pypi.org/project/birdseye/) : module permettant de tracer les valeurs des expressions lors d'un appel de fonction et de visualiser ceux-ci. [Lien vers la documentation](https://birdseye.readthedocs.io/en/latest/)