# Утверждения `assert`

## Для чего нужны утверждения

На практике абсолютно все программы содержат ошибки, разница лишь в том, насколько часто они проявляются и насколько критичны их последствия. При этом важным становится **обнаружить ошибку как можно скорее**.

Утверждения — это один из самых быстрых способов для обнаружения ошибок.

С другой стороны, они документируют внутреннюю работу программы и повышают её ремонтопригодность. Они делают предположения программиста, создающего код, *явными* для всех, кто читает его код.

## Формы оператора `assert`

Оператор `assert` имеет две формы. Первая, более простая форма:

````python
assert condition
````

где *condition* — это логическое выражение, которое, по вашему мнению, будет верным в момент выполнения. Если во время выполнения кода оно окажется ложным, система выбросит исключение. Проверяя, что логическое выражение на самом деле верно, инструкция `assert` подтверждает ваши ожидания от программы, увеличивая уверенность в том, что код не содержит ошибок.

Программный эквивалент:

````python
if __debug__:
    if not condition:
        raise AssertionError()
````

Вторая форма утверждения — это:

````python
assert condition, message
````

Эта форма позволяет при сбое отобразить в сообщении состояние ключевых переменных, из-за которых и мог произойти сбой.

Её программный эквивалент:

````python
if __debug__:
    if not condition:
        raise AssertionError(message)
````

Как и все необработанные исключения, сбои утверждений содержат трассировку стека (stack trace) с именем файла и номером строки, из которой они были брошены. Часто этого достаточно для диагностики ошибки.

## Внедрение утверждений в код

Пример для изолированной функции:

````python
def fibonacci(n):
    assert n >= 0
    F = [0, 1] + [0]*n
    for i in range(2, n+1):
        F[i] = F[i-1] + F[i-2]
    assert F[n] >= 0 and F[n] == F[n-1] + F[n-2]
    return F[n]
````

Пример для конструктора класса:

````python
class DateType:
    def __init__(self, year=2000, month=1, day=1):
        assert year >= 0 and year < 3000
        assert month >= 1 and month <= 12 and day >= 1
        assert day <= [31, 29, 31, 30, 31, 30, 31, 31, 30, 31, 30, 31][month-1]
        self.year = year
        self.month = month
        self.day = day
````

## Отключение утверждений

В некоторых случаях вычисление условия может быть слишком долгим. Например, проверка того, что массив действительно отсортирован, может занимать сравнимое время с самой сортировкой. В таком случае assert-ы могут быть отключены: тогда они эквивалентны пустому оператору и в семантике, и в производительности.

Для этого следует запускать интерпретатор с опцией -O.

## Адекватное использование утверждений

Оператор `assert` служит для отлавливания невероятных, недопустимых ситуаций, которые могут возникнуть из-за внутренних ошибок в программе.

Исключения `AssertionError` никогда не следует перехватывать! Они не должны быть использованы для отображения сообщений пользователю или обработки регулярно возникающей, "нормальной" исключительной ситуации. Их не следует использовать для индикации неверного ввода пользователя или ошибок операционной системы — для этого лучше использовать `raise AnyOtherException()`.

Их используют для проверки:

* параметров функции на их тип и значение (preconditions)
* разумности возвращаемого значения функции (postconditions)
* инвариантов (invariants)

Поскольку элегантно проверять предусловия и постусловия можно при помощи PyContracts, главным адекватным вариантом использования `assert` становятся инварианты. Их проверка не менее важна для гарантии корректности кода, чем проверка предусловий и постусловий.

## Виды инвариантов

**Внутренний инвариант** (internal invariant) — это логическое выражение, выражающее уверенность программиста в значении некоторых переменных в некоторый момент выполнения программы.

````python
if x%3 == 0:
    print("Число делится на три.")
elif x%3 == 1:
    print("При делении на три остаток - один.")
else:
    assert x%3 == 2  # assert здесь является комментарием, гарантирующим истинность утверждения
    print("Остаток при делении на три - два.")
````

Из внутренних инвариантов стоит выделить **инвариант цикла** — это логическое выражение, истинное после каждого прохода тела цикла и перед началом выполнения цикла, зависящее от переменных, изменяющихся в теле цикла.

**Инвариант потока выполнения** (control-flow invariants) — выражает уверенность программиста в том как идёт поток выполнения. В том числе, что какой-то участок кода никогда не должен быть достигнут.

````python
def foo():
    for ...:
        if ...:
            return ...
    assert False  # Поток выполнения никогда не должен достигнуть этой строки!
````

**Инвариант класса** (class invariant) — это семантические свойства и ограничения целостности экземпляра класса. Например, объект календарной даты никогда не может находиться в состоянии 31 апреля или 30 февраля. Объект класса красно-чёрного дерева поиска в момент вызова любого его метода, как и по окончании, должен быть сбалансирован.

## Контракты PyContracts

Предусловия и постусловия удобно оформлять не через утверждения, а как контракт функции. Нам поможет декоратор `contract` из библиотеки PyContracts:

In [4]:
%%bash

python3 -m pip install --user PyContracts

Collecting PyContracts
  Downloading https://files.pythonhosted.org/packages/16/f7/06a3fc92758cf288b9e0d09b0d0f18eff39970214775505d85c002277721/PyContracts-1.8.3.tar.gz (90kB)
Collecting pyparsing (from PyContracts)
  Downloading https://files.pythonhosted.org/packages/6a/8a/718fd7d3458f9fab8e67186b00abdd345b639976bc7fb3ae722e1b026a50/pyparsing-2.2.0-py2.py3-none-any.whl (56kB)
Building wheels for collected packages: PyContracts
  Running setup.py bdist_wheel for PyContracts: started
  Running setup.py bdist_wheel for PyContracts: finished with status 'done'
  Stored in directory: /home/ubuntu/.cache/pip/wheels/5c/d8/5f/da6368cc8d09b8c7bfa297e9db04ddc9cf6e8d4999e2c03396
Successfully built PyContracts
Installing collected packages: pyparsing, PyContracts
Successfully installed PyContracts-1.8.3 pyparsing-2.2.0


In [1]:
from contracts import contract

## Проверка предусловий

Пример контракта с проверкой предусловий:

In [2]:
@contract(x='int,>=0')
def f(x):
    pass

В этом случае вызов функции с недопустимым значением аргумента приведёт к исключению `ContractNotRespected`, а трассировка стека будет сопровождена следующей полезной информацией:

In [3]:
f(-2)

ContractNotRespected: Breach for argument 'x' to f().
Condition -2 >= 0 not respected
checking: >=0       for value: Instance of <class 'int'>: -2   
checking: int,>=0   for value: Instance of <class 'int'>: -2   
Variables bound in inner context:


Или такой:

In [4]:
f("Hello")

ContractNotRespected: Breach for argument 'x' to f().
Expected type 'int', got <class 'str'>.
checking: Int       for value: Instance of <class 'str'>: 'Hello'   
checking: $(Int)    for value: Instance of <class 'str'>: 'Hello'   
checking: int       for value: Instance of <class 'str'>: 'Hello'   
checking: int,>=0   for value: Instance of <class 'str'>: 'Hello'   
Variables bound in inner context:


Дополнительную диагностику ошибки опустим.

## Проверка постусловий

Пример контракта с проверкой результата работы функции:

In [5]:
@contract(returns='int,>=0')
def f(x):
    return x

В случае нарушения контракта также будет приведена диагностика:

In [6]:
f(-1)

ContractNotRespected: Breach for return value of f().
Condition -1 >= 0 not respected
checking: >=0       for value: Instance of <class 'int'>: -1   
checking: int,>=0   for value: Instance of <class 'int'>: -1   
Variables bound in inner context:


## Три варианта описания контракта функции

1. Через декоратор `contract`:

In [7]:
@contract(n='int,>=0', returns='int,>=0')
def f1(n):
    pass

2. Описание в документ-строке:

In [8]:
@contract
def f2(n):
    """ Function description.
        :type n: int,>=0
        :rtype: int,>=0
    """
    pass

3. Через аннотацию типов:

In [9]:
@contract
def f3(n:'int,>=0') -> 'int,>=0':
    pass

Использование декоратора — самый традиционный способ описания контракта. Аннотация типов — самый короткий способ использования PyContracts.

## Язык описания контрактов PyContracts

**Логическое И**: если нужно проверить несколько условий, их можно просто записать через запятую:

In [10]:
@contract(x='>=0,<=1')
def f(x):
    pass

**Логическое ИЛИ**: вертикальная черта:

In [11]:
@contract(x='<0|>1')
def f(x):
    pass

@contract(x='(int|float),>=0')
def f(x):
    pass

Для списков возможны требования как к длине, так и к типу элементов и их значениям:

`list[length contract](elements contract)`

Примеры:

* `list[>0]` — непустой список.
* `list(int)` — список целых чисел, возможно пустой.
* `list(int,>0)` — список положительных целых, возможно пустой.
* `list[>0,<=100](int,>0,<=1000)` — непустой список из не более ста положительных целых чисел, не превышающих по значению тысячу.

Для словарей также можно ввести требования к их размеру, а также к типу ключа и/или типу значения:

`dict[length contract](key contract: value contract)`

Примеры:

* `dict[>0]` — непустой словарь.
* `dict(str:*)` — словарь со строками в качестве ключей и любыми типами значений.
* `dict[>0](str:(int,>0))` — непустой словарь с ключами-строками и положительными целочисленными значениями.

## Описание нового контракта

При помощи декоратора можно создать новый вид контракта:

In [13]:
from contracts import new_contract

@new_contract
def even(x):
    if x % 2 != 0:
        msg = 'The number %d is not even.' % x
        raise ValueError(msg)

После этого его можно использовать как и обычный:

In [14]:
@contract(x='int,even')
def foo(x):
    pass

Можно создать новый вид контракта и так:

In [15]:
new_contract('short_list', 'list[N],N>0,N<=10')

@contract(a='short_list')
def bubble_sort(a):
    for bypass in range(len(a)-1):
        for i in range(len(a)-1-bypass):
            if a[i] > a[i+1]:
                a[i], a[i+1] = a[i+1], a[i]

## Связывание значений различных параметров

В языке описания контрактов PyContracts используются переменные:

* строчные латинские буквы — для любых объектов
* заглавные латинские буквы — для целых чисел

Пример такой связки:

In [17]:
@contract(words='list[N](str),N>0', returns='list[N](>=0)')
def get_words_lengths(words):
    return [len(word) for word in words]

В этом примере контракт проверит не только то, что возвращается тип list, но и то, что этот список имеет ту же длину, что и переданный ей список words.

## Замечания

1. Реализация программирования по контракту не входит в стандартную библиотеку Python. Нами использована библиотека PyContracts, но существуют и альтернативные библиотеки: PyDBC, Contracts for Python, Decontractors.
2. Домашняя страница библиотеки PyContracts: http://andreacensi.github.io/contracts/
3. В качестве дополнительного материала — [доклад про контрактное программирование на Moscow Python](https://www.youtube.com/watch?v=YN2ETIhrcHU).