# Prédicats et invariants

# Table des matières
**[Chapitre 1 - Les applications](#M1)**  
 
**[Chapitre 2 - L'espace d'état](#M2)**.   

**[Chapitre 3 - L'invariant](#M3)**  

**[Chapitre 4 - Les prédicats](#M4)**  

**[Chapitre 5 - La trajectoire](#M5)** 

**[Chapitre 6 - La précondition](#M6)** 

**[Chapitre 7 - La postcondition](#M7)** 

**[Chapitre 8 - Le triplet de Hoare](#M8)** 

**[Chapitre 9 - La spécification](#M9)** 

**[Exercice 1](#M10)** 

**[Exercice 2](#M11)** 

## <font color=#3876C2> Chapitre 1 - Les applications</font> <a name="M1"></a>

L’informaticien conçoit des *modèles* (applications). Ceux-ci sont mis en oeuvre et étudiés à travers des systèmes
par un ensemble de *variables d’état* (appelées en informatique *variables de programmation* ou plus
simplement *variables*). C’est l’aspect statique du modèle. Son évolution dans le temps s’opère par
un changement de la valeur des variables. C’est son aspect dynamique.

## <font color=#3876C2> Chapitre 2 - L'espace d'état</font> <a name="M2"></a>

Prenons comme exemple un modèle de calendrier (Pour simplifier, nous faisons abstraction des années bissextiles). Ce modèle peut se représenter par les deux variables « jour » (notée *j*) et « mois » (notée *m*). À un instant donné (c’est l’aspect statique du modèle), il se trouve dans un *état* : chacune des variables *j* et *m* est associée à une valeur bien
déterminée. Ainsi, la date du 12 mars est représentée par l’état signalé par un • à la figure ci-dessous.

<figure>
<img src="fig1.PNG">
<center><figcation>Le modèle "calendrier" et l'état "12 mars"</figcation></center>
</figure>

Chaque variable prend ses valeurs sur un *domaine* (ou type) discret (comme les naturels, les
booléens, les flottants 2, les relatifs, etc.). Pour l’exemple du calendrier, la variable *j* prend ses valeurs
sur l’intervalle d’entiers 1..31, tandis que la variable *m* prend ses valeurs sur l’intervalle d’entiers [[1..12]]
(en admettant que 1 code le mois de janvier, 2 code le mois de février, etc.). Le produit cartésien des
domaines des variables est appelé *espace d’états* du système.
Pour l’exemple du calendrier, l’*espace d’états* se représente dans le plan par le schéma de la figure
ci-dessous.

<figure>
<img src="fig2.PNG">
<center><figcation>L'espace d'état dans l'exemple du calendrier</figcation></center>
</figure>

## <font color=#3876C2> Chapitre 3 - L'invariant</font> <a name="M3"></a>

En outre, les variables entretiennent (en général) une relation qui contraint les valeurs qu’elles
peuvent prendre, relation qui doit être instaurée initialement et satisfaite par chacun des états que
peut prendre le système. Le tout (l’espace d’états et la relation qui lie les différentes variables) constitue
l’*invariant* du système.
L’*invariant* peut se verbaliser en français. Pour l’exemple du calendrier on peut dire que :
1. les jours sont compris entre 1 et 31 et les mois entre 1 et 12,
2. s’il s’agit du mois de février, le jour ne peut être supérieur à 28,
3. si le mois précède le mois d’août, et si son code est pair mais différent de 2, le jour ne peut
dépasser la valeur 30.
4. si le mois est situé après le mois d’août, et si son code est impair, le jour ne peut dépasser la
valeur 30.

Graphiquement l’*invariant* se présente comme le montre la figure suivante :

<figure>
<img src="fig3.PNG">
<center><figcation>L'invariant du modèle "calendrier"</figcation></center>
</figure>

## <font color=#3876C2> Chapitre 4 - Les prédicats</font> <a name="M4"></a>

Nous pouvons également utiliser le langage de la logique des *prédicats* pour exprimer l’invariant. Un *prédicat* est
un énoncé exprimé dans ce langage. Plus précisément dans le cadre d’une application définie sur l’*espace d’états* E, un *prédicat* est une fonction booléenne définie sur E. Pour le cas du calendrier nous pouvons reformuler l’invariant exprimé en français ci-dessus par le *prédicat* suivant :

$$ (j \: \in \: 1..3) \: and \: (m \: \in \: 1..12) $$
<center>$$and$$</center>
$$ (m \: == \: 2 \: \Rightarrow \: j \: \in \: 1..28) $$
<center>$$and$$</center>
$$ (m \: < \: 8 \: and \: m!= \: 2 \: and \: m\%2 \: == \: 0 \: \Rightarrow \: j \in \: 1..30)$$
<center>$$and$$</center>
$$ (m \: > \: 8 \: and \: m\%2 \: == \: 1 \: \Rightarrow \: j \in \: 1..30)$$

## <font color=#3876C2> Chapitre 5 - La trajectoire</font> <a name="M5"></a>

Prenons un autre exemple à travers ce *modèle* : 

In [1]:
x, y = 14, 9
while x!= y :
    if x > y :
        x = x - y
    else :
        y = y - x
print(x,y)

1 1


L'espace d'état est le produit cartésien des domaines des variables x et y soit $$ \mathbb{N} \: \times \: \mathbb{N} $$

Pour x = 14 et y = 9, l’exécution est décrite dans le schéma ci-dessous par la *trajectoire* qui part de l’état $e_1$ et
qui s’achève à l’état $e_7$ = {(x, 1), (y, 1)}, puisque 14 et 9 sont premiers entre-eux.

<figure>
<img src="fig4.PNG">
<center><figcation>Trajectoire du modèle</figcation></center>
</figure>

## <font color=#3876C2> Chapitre 6 - La précondition</font> <a name="M6"></a>

Que se passe-t-il si le programme ci-dessus débute son exécution dans l’état {(x, 5), (y, 0)} ? Il est
facile de voir que, puisque x > y, le prochain état sera à nouveau {(x, 5), (y, 0)} et que l’exécution ne
s’arrêtera que sur une intervention extérieure (on dit que le programme boucle, ou qu’il ne se termine
pas).
L’espace d’états de départ se partitionne donc en deux sous-ensembles : le sous-ensemble des états
qui produisent un résultat « intéressant » (l’état {(x, 14), (y, 9)} en fait partie) et son complément, le
sous-ensemble des états qui ne produisent pas de résultat intéressant vis-à-vis du problème à résoudre,
ou qui ne produisent pas de résultat du tout (comme pour l’état de départ {(x, 5), (y, 0)}).
La caractérisation des états intéressants s’effectue par un prédicat dénommé *précondition*. Pour
notre exemple le prédicat suivant :

$$ X \: \in \mathbb{N} \: and \: Y \: \in \mathbb{N} \: and \: x \: == \: X \: and \: y \: == \: Y \: and \: x \: > \: 0 \: and \: y \: > \: 0 $$

constitue une précondition acceptable. En l’occurrence il s’agit du prédicat le moins contraignant
possible (le plus faible possible). Il est clair que tout prédicat plus fort que ce dernier (comme par
exemple

$$ X \: \in \mathbb{N} \: and \: Y \: \in \mathbb{N} \: and \: x \: == \: X \: and \: y \: == \: Y \: and \: x \: > \: 1 \: and \: y \: > \: 13 $$

constitue une
précondition acceptable puisque (bien qu’elle n’autorise pas en principe le calcul du pgcd de 2 et de
2) elle conduit au résultat attendu.

## <font color=#3876C2> Chapitre 7 - La postcondition</font> <a name="M7"></a>

Caractériser le résultat recherché est également nécessaire. Ceci peut se faire en exprimant une
relation qui lie toutes les variables de programmation de l’opération. Pour notre exemple du pgcd,
une postcondition possible est :

$$ x \: == \: y \: and \: x \: == \: max(\{i\:|\:i \: \in \: {\mathbb{N}^*} \: and \: X\%i \: = \:0\}\: \cap \: \{i\:|\:i \: \in \: {\mathbb{N}^*} \: and \: Y\%i \: = \:0\})  $$

Celle-ci se paraphrase par : « x et y sont égaux et x est la plus grande des valeurs présentes dans
l’intersection de l’ensemble des diviseurs de X et de l’ensemble des diviseurs de Y »

## <font color=#3876C2> Chapitre 8 - Le triplet de Hoare</font> <a name="M8"></a>

Soit P et Q deux prédicats et S un modèle (programme). La formule :
{P} S {Q}
est un prédicat appelé *triplet de Hoare*. Sa signification est la suivante : si S débute son exécution
dans un état satisfaisant P alors :
1. S termine au bout d’un temps fini,
2. et S se termine dans un état satisfaisant Q.

Il est légitime de se poser la question de savoir ce qu’il advient si S ne débute pas dans un état
satisfaisant P. On admet que n’importe quoi peut survenir : terminaison dans un état satisfaisant Q,
terminaison dans un état ne satisfaisant pas Q, erreur, non terminaison.

#### Dans ce cours nous n'étudierons pas l'axiomatique de Hoare qui fournit un ensemble de règles pour raisonner sur les triplets de Hoare


## <font color=#3876C2> Chapitre 9 - La spécification</font> <a name="M9"></a>

Le couple (P,Q) est appelé la *spécification* de l’opération. En guise d’exemple voici une *spécification*
de l’opération PGCD en terme de triplet de Hoare :

$$ \{ Précondition \: : \: X \: \in \mathbb{N} \: and \: Y \: \in \mathbb{N} \: and \: x \: == \: X \: and \: y \: == \: Y \: and \: x \: > \: 0 \: and \: y \: > \: 0 \} $$ 
<center>PGCD</center>
$$ \{ Postcondition \: :x \: == \: y \: and \: x \: == \: max(\{i\:|\:i \: \in \: {\mathbb{N}^*} \: and \: X\%i \: = \:0\}\: \cap \: \{i\:|\:i \: \in \: {\mathbb{N}^*} \: and \: Y\%i \: = \:0\}) \} $$

Le triplet de Hoare peut être considéré comme un contrat entre le concepteur du programme S et
son (ses) utilisateur(s). Ce contrat se formule en ces termes : « si vous, utilisateur de S, garantissez que
le prédicat P est satisfait immédiatement avant que S ne débute son exécution, alors, moi, concepteur
de l’opération S, je vous garantis que S se terminera et que le prédicat Q sera satisfait à l’issue de
l’exécution ». Inversement, si le concepteur de S fait usage d’un fragment de code S0, spécifié par
le couple (P0,Q0), il lui revient de s’assurer que l’invocation de S0 se fait dans une situation où le
prédicat P0 est satisfait.
Différents types d’activités sont envisageables autour du triplet de Hoare, selon que P, S ou Q
sont connus (donnés) ou non.
1. Si les trois constituants sont donnés, il s’agit de vérifier que le prédicat {P} S {Q} est valide
(est toujours vrai). Autrement dit il s’agit de démontrer la correction du programme S. Ceci peut s’effectuer en
utilisant l’axiomatique de Hoare (non étudié dans cette présentation). Du point de vue informatique, cette activité ne présente que peu d’intérêt puisqu’elle présuppose que S est connu.
2. Le cas le plus intéressant est celui ou la spécification (P,Q) est donnée et S est (l’)inconnu(e).
Il s’agit alors de résoudre une équation en S. Malheureusement, les méthodes traditionnelles des
mathématiques se transposent difficilement à ce type d’équation. En particulier, il peut certes
ne pas y avoir de solution mais s’il en existe une, il en existe une infinité (ne serait-ce qu’en
insérant une séquence de longueur arbitraire de l’instruction *pass* dans le code de S).
Le principe de la démarche consiste à partir de la précondition pour aller vers la postcondition.

## <font color=#3876C2> Exercice 1</font> <a name="M10"></a>

Construire le programme (sous forme de fonction) spécifié par :

$$ \{ Précondition \: : \:(T \:est \:une \:liste \:de \:N \:entiers \:naturels)\: and \:(N\: \geq \: 0) \: and \:(S \:est \:une \:constante)\: and \:(S \: \in \mathbb{N})\} $$ 
<center>Ex1</center>
$$ \{ Postcondition \: :\: sss \: == \:(\sum_{j=0}^{N-1} T[j] \: > \: S ) \} $$

En français : L’exercice consiste, partant d’une liste T, à déterminer si la somme des éléments de T
est ou non supérieure à une valeur entière donnée S.

In [2]:
# chargement de l'exercice
from corrections.exo_somme_liste import exo_somme_liste

In [3]:
exo_somme_liste.example()

Appel,Résultat Attendu
"somme_liste(  [10, 3, 5],  20)",False


In [4]:
def somme_liste(T, S):
    '''partant d’une liste T, on détermine si la somme des éléments de T
       est ou non supérieure à une valeur entière donnée S.
       Entrez votre fonction ici'''
    N = len(T)
    i , sss , sp = 0 , False , 0
    while not(i == N):
        sss = sss or (sp + T[i]>S)
        sp = sp + T[i]
        i += 1
    return sss

In [5]:
# pour vérifier votre code
exo_somme_liste.correction(somme_liste)

Appel,Attendu,Obtenu,Unnamed: 3
"somme_liste(  [10, 3, 5],  20)",False,False,OK
"somme_liste(  [10, 13, 5],  20)",True,True,OK
"somme_liste(  [10, 3, 5, 4],  20)",True,True,OK
"somme_liste(  [10, 3, 5, 1, 0],  23)",False,False,OK


## <font color=#3876C2> Exercice 2</font> <a name="M11"></a>

Déterminer la spécification d'un programme qui donne, s’il y a lieu, la position du plus petit indice pour lequel
la somme de tous les élément d'une liste T dépasse la valeur S.

$$ \{ Précondition \: : \:(T \:est \:une \:liste \:de \:N \:entiers \:naturels)\: and \:(N\: \geq \: 0) \: and \:(S \:est \:une \:constante)\: and \:(S \: \in \mathbb{N})\} $$ 
<center>Ex2</center>
$$ \{ Postcondition \: :\: (i \: \in \:0..N) \: and \:  (\forall j \: ( j\: \in \:0..i - 1 \: \Rightarrow \:(\sum_{k=0}^{j} T[k] \: \leq \: S )) \: and \:  (( i \: == \: N) \: or \: (\sum_{k=0}^{i} T[k] \: > \: S ))\} $$

Ecrire le programme (sous forme de fonction) :

In [6]:
# chargement de l'exercice
from corrections.exo_somme_indice import exo_somme_indice

In [7]:
exo_somme_indice.example()

Appel,Résultat Attendu
"somme_indice(  [10, 3, 5],  20)","(False, 3)"


In [8]:
def somme_indice(T, S):
    '''partant d’une liste T, on détermine si la somme des éléments de T
     est ou non supérieure à une valeur entière donnée S et si oui à partir de quel indice c'est la cas.
     Entrez votre fonction ici'''
    N = len(T)
    i , sp = 0 , 0
    while not((i == N)or (sp + T[i]>S)):
        sp = sp + T[i]
        i += 1
    sss = not(i == N)
    return sss, i

In [9]:
# pour vérifier votre code
exo_somme_indice.correction(somme_indice)

Appel,Attendu,Obtenu,Unnamed: 3
"somme_indice(  [10, 3, 5],  20)","(False, 3)","(False, 3)",OK
"somme_indice(  [10, 13, 5],  20)","(True, 1)","(True, 1)",OK
"somme_indice(  [10, 3, 5, 4],  20)","(True, 3)","(True, 3)",OK
"somme_indice(  [10, 3, 5, 1, 0],  23)","(False, 5)","(False, 5)",OK
"somme_indice(  [10, 3, 5, 1, 0],  12)","(True, 1)","(True, 1)",OK
