# Predicados

Vou fazer aqui uma breve introdução à técnica de uso de predicados lógicos para análise e documentação de código.

## 1. Estado

O primeiro conceito importante é o de **estado** de um programa. *Em um ponto específico* da execução do programa, o seu estado consiste nos valores de todos os objetos acessíveis direta ou indiretamente pelo programa.

Veja por exemplo o código abaixo (considerando que nada foi executado antes disso):

In [None]:
a = 42
# 1
b = 12
# 2
c = a / b
# 3
d = [10, 20, 30, [100, 200, 300]]
# 4

No ponto marcado 1, o estado consiste apenas no objeto referenciado pela variável `a`, do tipo `int` con valor 42.

No ponto marcado 2, o estado agora tem dois objetos `int`, o referenciado por `a`, com valor 42, e o referenciado por `b`, com valor 12.

No ponto marcado 3, temos agora os dois objetos anteriores e mais um terceiro, referenciado por `c`, com valor 3.5, do tipo `float`.

No ponto marcado 4 agora temos um estado que inclui, além dos objetos anteriores e seus valores:
- um objeto do tipo `list`, referenciado por `d`;
- três objetos do tipo `int`, referenciados por `d[0], d[1], d[2]`, com valores 10, 20 e 30, respectivamente;
- um objeto do tipo `list` referenciado por `d[3]`;
- três objetos do tipo `int` referenciados por `d[3][0]`, `d[3][1], d[3][2]`, com valores 100, 200 e 300, respectivamente.

## 2. Predicados

Usamos o termo **predicado** para indicar uma afirmação lógica (portanto que pode ser verdadeira ou falsa) sobre o estado do programa, **num específico ponto da execução**.

Em princípio, o predicado se refere a todo o estado, mas como usamos predicados para analisar e comentar trechos de código, o costume é que o predicado se refira apenas à parte do estado de interesse para esse trecho de código, assumindo-se que o restante do estado é irrelevante para o trecho de código em questão **e será mantido inalterado**. Isso é importante pois o estado pode ser muito grande.

O ponto importante é que os predicados indicados **devem ser verdadeiros**. Para qualquer estado dado, podemos criar uma grande quantidade de predicados verdadeiros distintos. Devemos escolher predicados que ajudem a entender o funcionamento do código.

Vamos ver alguns exemplos. Novamente, consideramos que em cada exemplo nenhum código anterior foi executado.

In [None]:
a = 42
b = 12

Depois da execuçõa desse código, podemos escrever diversos predicados. Alguns possíveis são:
1. `True`
1. `a == 42 and b == 12`
1. `a > 0 and b > 0`
1. `a == 42`
1. `b == 12`
1. `a > 1 and a < 100`
1. `b > 0 and b % 2 == 0`

O primeiro, apesar de ser um predicado válido, é inútil, pois não diz nada sobre o estado atual. O segundo predicado listado é o mais restritivo: ele apenas permite os valores dados de `a` e `b`. Ou outros permitem outros valores, mas também aceitam os valores dados. O primeiro e o segundo predicados se referem aos dois objetos, enquanto os outros se referem a apenas um deles.

## 3. Pré-condições e pós-condições

Como eu disse, os predicados são usado para análise e documentação de pedaços de código. Na análise de blocos de código, isto é, sequências de operações, os predicados usados são chamados *pré-condições* e *pós-condições*.

Dado um grupo de operações num código:
- A **pré-condição** é um predicado válido **antes** da início das operações que diz em que condições as operações podem ser executadas sem causar erros e permitindo a execução correta do código.
- A **pós-condição** é um predicado válido **depois** do final das operações que diz como estará o estado depois da execução das operações **caso a pré-condição tenha sido satisfeita**.

Vejamos um exemplo simples:

In [None]:
n = int(input('Numerador:   '))
d = int(input('Denominador: '))
# 1: d != 0
r = n % d
q = n // d
# 2: q * d + r == n
print(q, r)

Neste caso, o predicado marcado com 1 é a pré-condição para a execução correta dos dois comandos que seguem (o denominador tem que ser diferente de zero). O predicado marcado com 2 é a pós-condição, quer dizer que o nosso código criou objetos `r` e `q` que satisfazem esse predicado, se a pré-condição foi satisfeita.

Importante notar que a pós-condição deve ser escrita de forma a indicar o que desejamos que o trecho de código realize. Isto é, ela é uma formalização do **objetivo** do trecho de código indicado. A pré-condição, por outro lado, indica o que precisa ser estabelecido antes que possamos executar o código. A responsabilidade por estabeler a pré-condição é do código que executa antes do trecho de código que estamos analisando. Portanto, a pós-condição do trecho de código anterior deve *implicar* logicamente a pré-condição do trecho de código em análise.

## 4. Semântica da execução condicional

Predicados podem ser usados para deixar claro o significado (semântica) das comandos de controle de fluxo do programa.

Vejamos o caso da execução condicional. Vamos ver inicialmente o `if` sem o `else`.

```
# P1
if C:
    # P2
    S
    # Q2
# Q1
```

Aqui representamos por `C` a condição (que é um predicado), por `S` o conjunto de comandos a serem executados caso a condição seja verdadeira, por `P1` a pré-condição do `if`, por `Q1` a pós-condição do `if`, por `P2` a pré-condição do bloco `S` e por `Q2` a pós-condição do bloco `S`. 

A semântica do `if` pode ser então descrita como:
1. `P1 and C` implica `P2`;
1. `P1 and not C` implica `Q1`;
1. `Q2` implica `Q1`.

A primeira regra vem do fato de que se `P1` não for verdadeira, então o comando `if` inteiro não garante a execução correta, portanto `P1` deve ser verdadeira. Neste caso, se `C` for verdadeira o bloco `S` irá executar, então sua pré-condição tem que ser verdadeira. Agora, caso `C` não seja verdadeira, então `S` não será executado, e portanto `Q1` tem que já ser válido (segunda regra). Já a terceira regra indica que se `S` foi executado quando devia, sua execução garante `Q2`, mas isso tem que garantir `Q1`, pois nada mais é executado entre `Q2` e `Q1`.

Notem que falamos de *implicar* e não ser igual, Quer dizer, por exemplo, que `P1 and C` não precisa ser equivalente a `P2`, ela precisa apenas garantir que `P2` seja válida.

**Nota:** Frequentemente ao escrever pós-condições, se o bloco altera valores de algumas variáveis, precisamos fazer referëncia ao valor anterior de uma variável, isto é, seu valor antes da execução do bloco de comandos em análise. Para isso, vou usar aqui a convenção de indicar por `@x` o valor inicial da variável `x`, antes de sofrer alteração.

Vejamos um exemplo simples.

In [None]:
n = 1
d = -1

# Muito código...


# d != 0
if d < 0:
    # d < 0
    n = -n
    d = -d
    # d > 0 and n / d == @n / @d
# n / d == @n / @d and d > 0

Agora é fácil de entender o caso do `if` com `else`:

```
# P1
if C:
    # P2
    S1
    # Q2
else:
    # P3
    S2
    # Q3
# Q1
```

Onde os predicados indicados tëm significado facilmente discernível.

A semântica é definida por:
- `P1 and C` implica `P2`
- `P1 and not C` implica `P3`
- `Q2` implica `Q1`
- `Q3` implica `Q1`

Vejamos um exemplo.

In [None]:
N = 4
player = 0

# Muito código...

# 0 <= player < N
if player < N - 1:
    # 0 <= player < N - 1
    player += 1
    # 0 < player < N and @player < N - 1 and player = @player + 1
else:
    # player == N - 1
    player = 0
    # @player == N - 1 and player == 0
# 0 <= player < N and 
#   ((@player < N - 1 and player = @player + 1) or 
#    (@player == N - 1 and player == 0))

Quando existe também `elif`, basta lembrar que isso é apenas uma abrevisção para um `else` seguido de um `if`.

Por exemplo:

```
# P1
if C1:
    # P2
    S1
    # Q2
elif C2:
    # P3
    S2
    # Q3
elif C3:
    # P4
    S3
    # Q4
else:
    # P5
    S4
    # Q5
# Q1
```
Tem semântica

A semântica é definida por:
- `P1 and C1` implica `P2`
- `P1 and not C1 and C2` implica `P3`
- `P1 and not C1 and not C2 and C3` implica `P4`
- `P1 and not C1 and not C2 and not C3` implica `P5`
- `Q2` implica `Q1`
- `Q3` implica `Q1`
- `Q4` implica `Q1`
- `Q5` implica `Q1`

Exemplo: um código para calcular a função ${\rm sign}(x)$ que vale -1 se $x<0$, 1 se $x>0$ e 0 se $x=0$:

In [None]:
x = float(input('Give the value of x:'))

# True
if x < 0:
    # x < 0
    s = -1
    # x < 0 and s == -1
elif x > 0:
    # x > 0
    s = 1
    # x > 0 and s == 1
else:
    # x == 0
    s = 0
    # x == 0 and s == 0
# s = sign(x)
print(f'sign({x}) = {s}')

## 5. Invariantes de repetição

Quanto temos repetições, como nos códigos com `while`, a situação fica diferente:

```
# P
while C:
    # I
    S
    # Q1
# Q
```

`P` e `Q` são a pré-condição e pós-condição, respectivamente, de toda o comando `while`. Agora, os comandos representados por `S` serão executados repetidamente enquanto `C` for verdadeira. Portanto sua pré-condição `I` e pós-condição `Q1` têm que ser repetidamente válidas, isto é, válidas toda vez que a execução passar por esse ponto. Por esta razão, `I` é denominado **invariante da repetição**.

A semântica da repetição é:
- `P and C` implica `I`. Como se diz no jargão, a pré-condição da repetição e a condição do loop têm que **estabelecer o invariante** da repetição.
- `Q1 and C` implica `I`. Isto é, a pós-condição de `S` junto com `C` deve também garantir o invariante.
- `Q1 and not C` implica `Q`.
- `P and not C` implica `Q`.

Vejamos um exemplo simples que calcula na variável `s` a soma dos quadrados de 1 a 10.

In [None]:
s, i = 0, 1
# s == 0 and i == 1
while i <= 10:
    # i <= 10 and s == sum of j**j for 1 <= j < i
    s += i * i
    i += 1
    # i == @i + 1 and s == sum of j*j for 1 <= j <= @i
# s == sum of i*i for 1 <= i <= 10

As repetições com `for` ao invés de `while` também são representadas usando invariantes, mas o processo é mais complexo, pois as repetições `for` têm um elemento implícito devido à ordem em que os valores gerados serão percorridos, e essa ordem pode ter que ser levada em consideração explicitamente. Também como diversos tipos de objetos podem ser usados para gerar os valores para o `for`, escrever uma expressão geral que funcione sempre é difícil.

O mais viável é analisar caso a caso. Por exemplo, os `for` que percorrem uma `range` são facilmente escritos de forma similar a um `while`:

In [None]:
s = 0
# s == 0
for i in range(1, 11):
    # 1 <= i <= 10 and s == sum of j*j for 1 <= j < i
    s += i * i
    # 1 <= i <= 10 and s == sum of j*j for 1 <= j <= i
# s == sum of i*i for 1 <= i <= 10

Aqui eu deixei implícito (não especificado nos predicados) que o valor de `i` vai crescendo de 1 para 10, passando apenas uma vez por cada um. Isso é a forma como o `range(1, 11)` fornece os valores.

## 6. Funções

Funções são um bloco de código, e portanto podem ser tratadas da mesma forma através de pré-condições e pós-condições. Mas quero enfatizar a importância da pré-condição inicial da função.

Para o bloco todo da função poder executar corretamente, deve ser satisfeita uma pré-condição sobre os parâmetros passados para essa função (e possivelmente sobre quaisquer variáveis globais que essa função use). Essa pré-condição deve ser parte da documentação da função, pois ela diz ao usuário em que condições a função pode ser chamada.

Um exemplo simples:

In [None]:
# Removes and returns the first element of some_list
# Precondition: the list is not empty
def take_first(some_list):
    return some_list.pop(0)

In [None]:
a = [1, 2, 3]
print(take_first(a))
a

## 7. Invariantes de classes

Cada objeto tem um estado próprio (com os valores dos objetos usados em sua implementação). Os métodos operam sobre o estado desse objeto, além de sobre possíveis parâmetros.

Os métodos são funções, e portanto estão sujeitos a pré-condições. Mas como os métodos operam não apenas sobre os parâmetros passados para eles mas também sobre o objeto, o estado do objeto pode fazer (e em geral faz) parte da pré-condição dos métodos.

Também, nem sempre qualquer estado de um objeto é um estado válido. Pense por exemplo em um objeto que representa datas e guarda dia, mes e ano em variáveis distintas. Neste caso, os meses não podem ter qualquer valor, mas apenas um dos 12 existentes, qualquer que seja a representação usada. Também nem todos os valores são válidos para dia, dependendo do mês e do ano. Certamente, para um método funcionar, ele deve estar operando sobre um objeto que represente um valor válido para o tipo desejado. Para especificar os estados válidos de um objeto especificamos um **invariante de classe**.

Assim, a semântica de classes fica:
- Temos um invariante de classe, que deve ser satisfeito pelo estado de todos os objetos da classe.
- Cada método inclui na sua pré-condição que o invariante de classe seja válido, além de pré-condições específicas do método.
- Cada método inclui na sua pós-condição que o invariante da classe continua válido, além de pós-condições específicas.
- (Juntando os dois requerimentos anteriores podem dizer que a execução dos métodos **preserva o invariante da classe**.)
- O método `__init__` deve garantir que o invariante da classe seja válido depois de sua execuçãp. Ele é o único método que não inclui o invariante da classe em sua pré-condição, visto que antes de sua execução o estado do objeto é indeterminado.

O invariante de classe não é especificado explicitamente nas pré- e pós-condições dos métodos (é **incluido implicitamente**).
Estas regras garantem que o invariante da classe seja sempre válido para todos os objetos.

Vejamos um exemplo:

In [None]:
class NLargest:
    # Using the notation: 
    #   NC -> number of calls to insert() done to this object.
    #   x_i -> value of x given in the i-th call to insert
    #   nv -> len(self._values)
    
    # Class invariant:
    #   0 <= nv <= self._limit
    #   nv == min(self._limit, NC)
    #   self._values[:] has the nv largest values from x_1 to x_NC
    #   self._values[j-1] >= self._values[j] for 0 < j < nv
    
    def __init__(self, n):
        self._values = []
        self._limit = n
        # NC == 0
    
    # Insert x among the largest, if it is the case.
    def insert(self, x):
        i = 0
        # i == 0
        while (i < len(self._values) and
               self._values[i] >= x):
            # 0 <= i < nv and self._values[j] >= x for 0 <= j <= i
            i += 1
            # 0 <= i <= nv and self._values[j] >= x for 0 <= j < i
        # 0 <= i <= nv and self._values[j] >= x for 0 <= j < i and 
        #      (i == nv or self._values[i] < x)
        if i == len(self._values):
            # i == nv and self._values[j] >= x for 0 <= j < nv
            if i < self._limit:
                # nv < self._limit and self._values[j] >= x for 0 <= j < nv
                self._values.append(x)
        else:
            # 0 <= i < nv and self._values[j] >= x for 0 <= j < i
            #   and self._values[j] < x for i <= j < nv
            self._values.insert(i, x)
            # nv == @nv + 1 and self._values[j-1] >= self._values[j] for 0 < j < nv
            if len(self._values) > self._limit:
                # nv == self._limit + 1
                self._values.pop()
        # NC == @NC + 1
    
    # Returns the largest inserted values, limited to the specified size.
    def get(self):
        # Return a copy of the list of values, to avoid giving control.
        return self._values[:]

# Exercício

1. A classe abaixo realiza uma implementação rudimentar de objetos para representar horas com precisão de minutos. Escreva o invariante de classe e os predicados dos métodos.

In [None]:
class Hour:
    def __init__(self, h, m):
        assert 0 <= h < 24 and 0 <= m < 60, 'invalid initial time'
        self._hours = h
        self._minutes = m
        
    def hours(self):
        return self._hours
    
    def minutes(self):
        return self._minutes
    
    def up_hour(self):
        self._hours += 1
        if self._hours == 24:
            self._hours = 0
            
    def up_minute(self):
        self._minutes += 1
        if self._minutes == 60:
            self._minutes = 0
            self.up_hour()
            
    def down_hour(self):
        self._hours -= 1
        if self._hours == -1:
            self._hours = 23
            
    def down_minute(self):
        self._minutes -= 1
        if self._minutes == -1:
            self._minutes = 59
            self.down_hour()

2. A seguinte função supõe que a lista de valores passada para seu parâmetro `values` é **ordenada** e retorna uma tupla com o índice do primeiro elemento da lista maior ou igual ao parâmetro `a` e o último elemento da lista menor que o parâmetro `b`. Anote o código com pré-condições, pós-condições e invariantes de loop. Se não existe valor maior ou igual a `a` na lista, ele retorna o tamanho da lista, se não existe valor menor do que `b` na lista ele retorna -1.

In [None]:
def interval(values, a, b):
    n = len(values)
    i = 0
    while i < n and values[i] < a:
        i += 1
    j = n - 1
    while j >= 0 and values[j] >= b:
        j -= 1
    return i, j