# Invariantes

## 1. Razonando sobre programas: Corrección parcial

¿Cómo podemos convencernos de que un programa es correcto?

In [None]:
def cuadrado(n : int) -> int:
    # pre: n es un entero
    # post: devuelve el cuadrado de n
    # n ** 2 es el cuadrado de n
    res = n ** 2
    # res es el cuadrado de n
    return res

Observaciones:


*   Si las variables que aparecen en una afirmación verdadera antes de una línea de código no se modifican en esa línea de código, la misma afirmación sigue siendo verdadera luego de la línea de código.
*   Si antes de la asignación `x = e` vale una afirmación $A(e)$, entonces luego de la asignación vale la afirmación $A(x)$.



Si uno mira la celda anterior con el programa "ya verificado", no queda claro cómo fue el razonamiento. Lo explicamos a continuación:

1.   La precondición no se demuestra, se asume que es verdadera cuando comienza la ejecución de la función (será responsabilidad de quien use la función, asegurarse de que se cumpla su precondición)
2.   La precondición `n es un entero` implica `n ** 2 es el cuadrado de n`. De hecho esta afirmación simplemente está diciendo que en Python `n ** 2` es lo que habitualmente escribimos $n^2$ en matemática. Por lo tanto, la afirmación `n ** 2 es el cuadrado de n` es verdadera en la línea 4.
3.   Por ello, luego de la asignación `res = n ** 2`, la afirmación `res es el cuadrado de n` es verdadera, ya que la variable `res` tiene ahora justamente el valor de la expresión `n ** 2`. Por lo tanto, si `n ** 2 es el cuadrado de n` es verdadera en la línea 4, entonces `res es el cuadrado de n` es verdadera en la línea 6.
4.   Por último, si en la línea 6 vale `res es el cuadrado de n`, entonces efectivamente se cumple la postcondición ya que en la fila siguiente se está devolviendo justamente el cuadrado de `n`.

¿Qué hemos demostrado? Hemos demostrado que si se cumple la precondición cuando se llama a la función, entonces se va a cumplir la postcondición cuando la misma finalice.


No profundizaremos en la corrección parcial de programas en este curso. Es un tema muy amplio que excede los alcances de la materia. La demostración anterior se presenta como ejemplo de que es posible demostrar el funcionamiento correcto de programas.

## 2. Invariantes

Demostrar un programa que no tiene ciclos es sencillo y hay algoritmos que son capaces de hacerlo. Cuando introducimos ciclos demostrar un programa deja de ser una terea rutinaria y tiene intrínsecamente la misma dificultad que demosrtrar un teorema en matemática.

Como ya dijimos no profundizaremos en estos temas, pero sí es interesante estudiar los invariantes de los ciclos `while` pues nos puede ayudar a razonar sobre el ciclo y descubrir si lo estamos haciendo bien o mal.  

Razonar sobre el ciclo `while` requiere identificar un *invariante*. Un invariante es una afirmación que vale antes de entrar al `while` y al final de cada ejecución del cuerpo del `while`.

    # invariante
    while condición:
        cuerpo del ciclo
        # invariante

Para demostrar que una afirmación es un invariante, debemos demostrar

1)    que vale antes del `while`:

```
    # invariante
    while condición:
        cuerpo del ciclo
```

2)   que la afirmación vale al finalizar el cuerpo de cada ciclo

```
    while condición:
        cuerpo del ciclo
        # invariante
```

Observemos  que como el invariante se verifica al terminar el cuerpo  de cada ciclo, al fallar la condición del `while` el ciclo termina y el invariante sigue valiendo. Es decir,  el invariante es verdadero al finalizar el ciclo.

Veamos un ejemplo de invariante analizando la siguiente implementación de la función factorial:

In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero no negativo
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    res = 1
    i = 2
    while i <= n:
        res = res * i
        i = i + 1
    return res

Observemos que cuando hacemos el algoritmo anterior la idea es que `res` vaya tomando el valor del producto de todos los números anteriores a `i` y el invariante refleja esto: parte del invariante será la expresión `res == 1 * 2 * ... * (i - 1)` . Por otro  lado, otra propiedad invariante es `2 <= i <= n + 1`, proponemos entonces

    invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1

Reescribimos la función agregando este comentario:

In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero, n >= 1
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    res = 1
    i = 2
    # 1. invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1 # res = 1, i = 2 
    while i <= n:
        res = res * i
        i = i + 1
        # 2. invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1
    return res

Podemos comprobar que el invariante es verdadero en los dos lugares donde lo hemos incluido.

1. Como `res == 1`, `i == 2`, es claro que `res == 1 * 2 * ... * (i - 1)` y `2 <= i <= n + 1`.
2. Sean `res0`, `i0` los valores de ingreso de `res`, `i` al ciclo `while`. Al finalizar el cuerpo del ciclo, `res`, `i` toman nuevos valores `res1 = res0 * i0`, `i1 = i0 + 1`, luego `res1 == res0 * i0 == 1 * 2 * ... * (i0 - 1) * i0 == 1 * 2 * ... * (i1 - 1)`. Como `i0 < n`, pues pasó la condición del `while`, `2 <= i1 == i0 + 1 <= n + 1`.

Esta forma de escribir es para respetar lo que dijimos de que el invariante debe valer en dos lugares (antes del ciclo y al final del cuerpo del `while`). Si embargo,  sabiendo esto, es más conveniente, por claridad, escribir el invariante en un solo lugar.

In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero, n >= 1
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    res = 1
    i = 2
    # invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1
    while i <= n:
        res = res * i
        i = i + 1
    return res

Lo interesante es que al terminar el ciclo,  es decir al ser `i == n + 1` y  valer el invariante obtenemos el resultado  que buscábamos:

    res ==  1 * 2 * ... * n       

En  general,  obtener el invariante no es sencillo pero una vez que nos damos cuenta cual es, es muy sencillo de verificar y tiene la propiedad de  que cuando termina el ciclo el invariante es el resultado que buscábamos. 

Veamos otro ejemplo,  encontremos el mínimo de una lista de enteros no vacía.

Esta función se puede implementar fácilmente con un `for`:


In [11]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    assert type(ns) == list and len(ns) > 0, "Error: ns no es una lista no vacía"
    res = ns[0]
    for i in range(1,len(ns)):
        if ns[i] < res:
            res = ns[i]
    return res

print(minimo([45, 65, 23, 4, 48]))

4


Pero para poder usar el invariante debemos trabajar con `while`. Como ya sabemos, todo `for` se puede implementar con un `while`:

In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    assert type(ns) == list and len(ns) > 0, "Error: ns no es una lista no vacía"
    res = ns[0]
    i = 1
    while i < len(ns):
        if ns[i] < res:
            res = ns[i]
        i = i + 1
    return res

Observemos que en este caso cade vez que termina el cuerpo  del `while` se satisface que 

    res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)

y  este será nuestro invariante.

In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    assert type(ns) == list and len(ns) > 0, "Error: ns no es una lista no vacía"
    res = ns[0]
    i = 1
    # invariante: res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)
    while i < len(ns):
        if ns[i] < res:
            res = ns[i]
        i = i + 1
    return res

Cuando termina el `while` obtenemos que `res es el menor elemento de ns[0:len(ns)]` o equivalentemente `res es el menor elemento de ns`,  que es el resultado deseado. 

**Observación.** 

1. En  el ejemplo del factorial el invariante podría haber sido  `res == 1 * 2 * ... * (i - 1)`.
2. En  el ejemplo del mínimo el invariante podría haber sido `res es el menor elemento de ns[0:i]`.

Estos dos invariantes garantizan que cuando se termine el ciclo obtenemos el resultado deseado. ¿Por  qué entonces agregamos las afirmaciones sobre el `i`? La respuesta es que las afirmaciones sobre `i` garantizan la finalización del ciclo, pues al estar el `i` acotado y en cada paso ser distinto,  nos garantizamos que el ciclo termina. Sin embargo, cuando nos resulte clara la finalización del ciclo, sólo dejaremos las afirmaciones que no sean de verificación de terminación de ciclo.

## 3. Ejemplo: ¿es primo? 

Recordemos que $n \geq 2$, entero, es primo, si y sólo si no existe ningún número entero $2 \leq d < n$ que divida a $n$.

Escribamos un algoritmo sencillo para detectar si un número es primo:

In [None]:
def es_primo(n : int) -> bool:
    # pre: n es un número entero >= 2
    # post: devuelve verdadero sii n es número primo
    assert type(n) == int and n >= 2, "Error: n no es un número entero >= 2"
    es_primo = True
    for i in range(2,n):
        if n % i == 0:
            es_primo = False
    return es_primo

Este es el algorimo más sencillo que se nos ocurre (quizás con un `break` es más intuitivo aún), pero ya hemos visto que se puede hacer algo parecido, pero más eficiente y  más elegante, con un `while`:

In [None]:
def es_primo(n: int) -> bool:
    # pre: n > 0
    # post: devuelve True si n  es primo, en caso contrario devuelve False
    assert type(n) == int and n >= 2, "Error: n no es un número entero >= 2"
    i = 2
    while i < n and n % i != 0:
        i += 1
    return i == n # i == n implica que n es primo

¿Cuál es el invariante? o, mejor dicho, debemos encontrar un invariante que cumpla con lo que fue dicho en la sección 2 de este cuaderno.

Observemos  que para llegar al paso `i` y superar la condición del `while` el  número `i` y  todos los anteriores no dividen a `n`. Esa es la idea para proponer un invariante:

In [None]:
def es_primo(n: int) -> bool:
    # pre: n > 0
    # post: devuelve True si n  es primo, en caso contrario devuelve False
    assert type(n) == int and n >= 2, "Error: n no es un número entero >= 2"
    i = 2
    # invariante: para todo j en  2 <= j <= i - 1, n % j != 0
    while i < n and n % i != 0:
        i += 1
    return i == n # i == n implica que n es primo

Podemos comprobar que el invariante es verdadero antes que comience el ciclo y cuando termina el cuerpo del ciclo.

1. Como `i == 2` y `n > 0`, es claro que para todo `j` en  `2 <= j <= 1`, `n % j != 0` (pues el conjunto es vacío).
2. Sea `i0` el valor de ingreso de `i` al ciclo `while`. Al finalizar el cuerpo del ciclo, `i` toma el valor `i1 = i0 + 1`. Como originalmente para todo `j` en  `2 <= j <= i0 - 1`, cumple `n % j != 0` y por pasar el ciclo `n % i0 != 0`, entonces para todo `j` tal que `2 <= j <= i0 == i1 - 1`, se satisface  `n % j != 0` y por lo tanto se cuimple el invariante.

Es claro entonces que al afirmación propuesta es un invariante y que cuando el ciclo termina la afirmación es equivalente  a la respuesta de la pregunta de si `n` es primo. 

## 4. Ejemplo: máximo común divisor

El  máximo común divisor de define de la siguiente manera.

**Definición.**  Si $a$ y $b$ son enteros algunos de ellos no nulo, decimos que un entero no negativo $d$ es un *máximo común divisor* o *mcd*, de $a$ y $b$ si 

a) $d|a$  y $d|b$;

b) si $ c|a $ y $c|b$ entonces $c|d$.

Se puede demostrar que el máximo común divisor existe y es único y  que el máximo común divisor es el número más grande que es divisor común a $a$ y $b$,  es decir:
$$
 \operatorname{mcd}(a,b) = \operatorname{max}\{d \in \mathbb N: d|a \wedge d|b\}.
$$ 

Una forma de obtenerlo es encontrar todos los divisores comunes de $a$ y $b$ y  quedarse con el máximo. Esta no es una forma eficiente y para números grandes es imposible de aplicar. 

La forma "correcta" de calcular el mcd es usando el *algoritmo de Euclides* y  la veremos más adelante. 

Como primera aproximación para calcular el mcd usaremos el algoritmo explicado en un cuaderno previo que se basa en las siguientes propiedades: si $x$, $y$  son enteros,  con $y$ no nulo,  entonces:
\begin{align*}
&a)&\operatorname{mcd}(x, y) &= \operatorname{mcd}(x, y - x) \\
&b)&\operatorname{mcd}(0, y) &= y.
\end{align*}

Por lo tanto,  la idea para obtener el mcd es hacer restas hasta que uno de los dos argumentos de la función mcd alcance el 0 y obtener el mcd por la propiedad b). Una de las implementaciones es la siguiente:

In [None]:
def mcd(a, b: int) -> int:
    # pre: (a >= 0 and b >=0) and (a != 0 or b != 0).
    # post: devuelve el mdc de a y b
    x, y = min(a, b), max(a, b)
    while x != 0: # "mientras x distinto de 0" 
        x, y = min(x, y - x), max(x, y - x)
    return y

¿Cuál es el invariante del ciclo? Primero observemos que siempre $x \le y$, pero eso no ayuda mucho. Lo  que debemos observar, y no es del todo trivial,  es que por la propiedad a) tenemos que $\operatorname{mcd}(x, y) = \operatorname{mcd}(a, b)$, luego el invariante sería:

    invariante: x <= y and mcd(x,y) = mcd(a,b)

Es claro que lo anterior es un invariante del ciclo y que cuando el ciclo termina, es decir  cuando `x == 0`, tenemos:

    mcd(x,y) = mcd(a,b) and x == 0

lo cual implica que

    mcd(a,b) = mcd(0,y) = y

Esto prueba que el ciclo es correcto y que el valor que se devuelve es el  mcd  entre `a` y `b`. La única consideración que habría que hacer es respecto a si el ciclo termina. Pero esto se puede verificar fácilmente pues en cada paso se hace una resta y  entonces uno de los argumentos del mcd va decreciendo. Luego de una cantidad suficiente de pasos llegaremoa a que uno de los argumentos del mcd es 0.

### Algoritmo de Euclides

El algoritmo anterior es relativamente eficiente, pero lo es mucho más el *algoritmo de Euclides* que se basa en las siguientes propiedades: si $x$, $y$  son enteros no negativos,  con $y$ no nulo,  entonces:
\begin{align*}
&a)\text{ si } x = q \cdot y + r \text{ con } 0 \le r < y \;\Rightarrow\; \operatorname{mcd}(x, y) = \operatorname{mcd}(y, r) \\
&b)\operatorname{mcd}(0, x) = x.
\end{align*}

Tanto a) como b) son sencillos de probar con la definición de mcd. Observar  que a) es una generalización del a) anterior, pues $r = x - q \cdot y$,  es decir $r$ es $x$ restando $q$ veces $y$.

El algoritmo y su invariante son similares al algoritmo anterior:

In [None]:
def mcd(a, b: int) -> int:
    # pre: (a >= 0 and b >=0) and (b != 0).
    # post: devuelve el mdc de a y b
    i, j = a, b
    # 1. invariante: mcd(a, b) = mcd(i, j)
    while j != 0:
        resto = i % j  # i = q * j + resto
        i, j = j, resto
        # 2. invariante: mcd(a, b) = mcd(i, j)
    return i

Verifiquemos el invariante:  

1. Obviamente cuando `a == i` y `b == j` obtenemos `mcd(a, b) == mcd(i, j)`.
2. Sean `i0`, `j0` los valores de ingreso de `i`, `j` al ciclo `while`. Al finalizar el ciclo, `i`, `j` toman nuevos valores `i1 = j0`, `j1 = i0 - q * j0`, luego  `mcd(a, b) == mcd(i0, j0) == mcd(q * j0 + j1, i1)`. Por b), `mcd(q * j0 + j1, i1) == mcd(i1, j1)`. Concluimos entonces que `mcd(a, b) == mcd(i1, j1)`.

Cuando el ciclo termina vale `mcd(a, b) == mcd(i, j)` y `j == 0`, luego `mcd(a, b) == mcd(i, 0) == i`.