# Invariantes

## 1. Razonando sobre programas: Corrección parcial

¿Cómo podemos convencernos de que un programa es correcto?

In [None]:
def cuadrado(n : int) -> int:
    # pre: n es un entero
    # post: devuelve el cuadrado de n
    # n ** 2 es el cuadrado de n
    res = n ** 2
    # res es el cuadrado de n
    return res

Observaciones:


*   Si las variables que aparecen en una afirmación verdadera antes de una línea de código no se modifican en esa línea de código, la misma afirmación sigue siendo verdadera luego de la línea de código.
*   Si antes de la asignación `x = e` vale una afirmación $A(e)$, entonces luego de la asignación vale la afirmación $A(x)$.



Si uno mira la celda anterior con el programa "ya verificado", no queda claro cómo fue el razonamiento. Lo explicamos a continuación:

1.   La precondición no se demuestra, se asume que es verdadera cuando comienza la ejecución de la función (será responsabilidad de quien use la función, asegurarse de que se cumpla su precondición)
2.   La precondición `n es un entero` implica `n ** 2 es el cuadrado de n`. De hecho esta afirmación simplemente está diciendo que en Python `n ** 2` es lo que habitualmente escribimos $n^2$ en matemática. Por lo tanto, la afirmación `n ** 2 es el cuadrado de n` es verdadera en la línea 4.
3.   Por ello, luego de la asignación `res = n ** 2`, la afirmación `res es el cuadrado de n` es verdadera, ya que la variable `res` tiene ahora justamente el valor de la expresión `n ** 2`. Por lo tanto, si `n ** 2 es el cuadrado de n` es verdadera en la línea 4, entonces `res es el cuadrado de n` es verdadera en la línea 6.
4.   Por último, si en la línea 6 vale `res es el cuadrado de n`, entonces efectivamente se cumple la postcondición ya que en la fila siguiente se está devolviendo justamente el cuadrado de `n`.

¿Qué hemos demostrado? Hemos demostrado que si se cumple la precondición cuando se llama a la función, entonces se va a cumplir la postcondición cuando la misma finalice.


No profundizaremos en la corrección parcial de programas en este curso. Es un tema muy amplio que excede los alcances de la materia. La demostración anterior se presenta como ejemplo de que es posible demostrar el funcionamiento correcto de programas.

## 2. Invariantes

Demostrar un programa que no tiene ciclos es sencillo y hay algoritmos que son capaces de hacerlo. Cuando introducimos ciclos demostrar un programa deja de ser una terea rutinaria y tiene intrínsecamente la misma dificultad que demosrtrar un teorema en matemática.

Como ya dijimos no profundizaremos en estos temas, pero sí es interesante estudiar los invariantes de los ciclos `while` pues nos puede ayudar a razonar sobre el ciclo y descubrir si lo estamos haciendo bien o mal.  

Razonar sobre el ciclo `while` requiere identificar un *invariante*. Un invariante es una afirmación que vale antes de entrar al `while`, al comienzo y al final de cada ejecución del cuerpo del `while` y también luego del `while`:

    # invariante
    while condición:
        # invariante
        cuerpo del ciclo
    # invariante

Para demostrar que una afirmación es un invariante, debemos demostrar

1)    que vale antes del `while`:

```
    # invariante
    while condición:
        cuerpo del ciclo
```

2)   que la afirmación vale al comenzar el cuerpo de cada ciclo

```
    while condición:
        # invariante
        cuerpo del ciclo
```

3) que vale la afirmación al finalizar el ciclo

```
    while condición:
        cuerpo del ciclo
    # invariante
```
    





Analicemos la siguiente implementación de la función factorial:

In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero no negativo
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    res = 1
    i = 2
    while i <= n:
        res = res * i
        i = i + 1
    return res

Observemos que cuando hacemos el algoritmo anterior la idea es que `res` vaya tomando el valor del producto de todos los números anteriores a `i` y el invariante refleja esto: parte del invariante será la expresión `res == 1 * 2 * ... * (i - 1)` . Por otro  lado, otra propiedad invariante es `2 <= i <= n + 1`, proponemos entonces

    invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1

Reescribimos la función agregando este comentario:

In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero no negativo
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    res = 1
    i = 2
    # invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1 # res = 1, i = 2 
    while i <= n:
        # invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1
        res = res * i
        i = i + 1
    # invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1
    return res

Podemos comprobar que el invariante es verdadero en los tres lugares donde lo hemos incluido.

Esta forma de escribir es para respetar lo que dijimos de que el invariante debe valer en tres lugares (antes del ciclo,  al comienzo del cuerpo del `while` y  después del `while`). Si embargo,  sabiendo esto, es más conveniente, por claridad, escribir el invariante en un solo lugar.

In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero no negativo
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    res = 1
    i = 2
    while i <= n:
        # invariante: res == 1 * 2 * ... * (i - 1) and 2 <= i <= n + 1
        res = res * i
        i = i + 1
    return res

Lo interesante es que al terminar el ciclo,  es decir al ser `i == n + 1` y  valer el invariante obtenemos el resultado  que buscábamos:

    res ==  1 * 2 * ... * n       

En  general,  obtener el invariante no es sencillo pero una vez que nos damos cuenta cual es, es muy sencillo de verificar y tiene la propiedad de  que cuando termina el ciclo el invariante es el resultado que buscábamos. 

Veamos otro ejemplo,  encontremos el mínimo de una lista de enteros no vacía.

Esta función se puede implementar fácilmente con un `for`:


In [11]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    assert type(ns) == list and len(ns) > 0, "Error: ns no es una lista no vacía"
    res = ns[0]
    for i in range(1,len(ns)):
        if ns[i] < res:
            res = ns[i]
    return res

print(minimo([45, 65, 23, 4, 48]))

4


Pero para poder usar el invariante debemos trabajar con `while`. Como ya sabemos, todo `for` se puede hacer con un `while`:

In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    assert type(ns) == list and len(ns) > 0, "Error: ns no es una lista no vacía"
    res = ns[0]
    i = 1
    while i < len(ns):
        if ns[i] < res:
            res = ns[i]
        i = i + 1
    return res

Observemos que en este caso cade vez que comienza el cuerpo  del `while` se satisface que 

    res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)

y  este será nuestro invariante.

In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    assert type(ns) == list and len(ns) > 0, "Error: ns no es una lista no vacía"
    res = ns[0]
    i = 1
    while i < len(ns):
        # invariante: res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)
        if ns[i] < res:
            res = ns[i]
        i = i + 1
    return res

Cuando termina el `while` obtenemos que `res es el menor elemento de ns[0:len(ns)]` o equivalentemente `res es el menor elemento de ns`,  que es el resultado deseado. 

**Observación.** 

1. En  el ejemplo del factorial el invariante podría haber sido  `res == 1 * 2 * ... * (i - 1)`.
2. En  el ejemplo del mínimo el invariante podría haber sido `res es el menor elemento de ns[0:i]`.

Estos dos invariantes garantizan que cuando se termine el ciclo obtenemos el resultado deseado. ¿Por  qué entonces agregamos las afirmaciones sobre el `i`? La respuesta es que las afirmaciones sobre `i` garantizan la finalización del ciclo, pues al estar el `i` acotado y en cada paso ser distinto,  nos garantizamos que el ciclo termina. Sin embargo, cuando nos resulte claro, sólo dejaremos las afirmaciones que no sean de verificación de terminación de ciclo.

## 3. Ejemplo: ¿es primo? 

Recordemos que $n \geq 2$, entero, es primo, si y sólo si no existe ningún número entero $2 \leq d < n$ que divida a $n$.

Escribamos un algoritmo sencillo para detectar si un número es primo:

In [None]:
def es_primo(n : int) -> bool:
    # pre: n es un número entero >= 2
    # post: devuelve verdadero sii n es número primo
    assert type(n) == int and n >= 2, "Error: n no es un número entero >= 2"
    es_primo = True
    for i in range(2,n):
        if n % i == 0:
            es_primo = False
    return es_primo

Este es el algorimo más sencillo que se nos ocurre (quizás con un `break` es más intuitivo aún), pero ya hemos visto que se puede hacer algo parecido, pero más eficiente y  más elegante, con un `while`:

In [None]:
def es_primo(n: int) -> bool:
    # pre: n > 0
    # post: devuelve True si n  es primo, en caso contrario devuelve False
    assert type(n) == int and n >= 2, "Error: n no es un número entero >= 2"
    i = 2
    while i < n and n % i != 0:
        i += 1
    return i == n # i == n implica que n es primo

¿Cuál es el invariante? o, mejor dicho, debemos encontrar un invariante que cumpla con lo que fue dicho en la sección 2 de este cuaderno.

Observemos  que para llegar al paso `i` y superar la condición del `while` el  número `i` y  todos los anteriores no dividen a `n`. Esa es la idea para proponer un invariante:

In [None]:
def es_primo(n: int) -> bool:
    # pre: n > 0
    # post: devuelve True si n  es primo, en caso contrario devuelve False
    assert type(n) == int and n >= 2, "Error: n no es un número entero >= 2"
    i = 2
    while i < n and n % i != 0:
        # invariante: para todo x en {2, 3, ..., i - 1}, n % i != 0
        i += 1
    return i == n # i == n implica que n es primo

Es claro entonces que al afirmación propuesta es un invariante y que cuando el ciclo termina la afirmación es equivalente  a la respuesta de la pregunta de si `n` es primo. 

## 4. Ejemplo: máximo común divisor

El  máximo común divisor de define de la siguiente manera.

**Definición.**  Si $a$ y $b$ son enteros algunos de ellos no nulo, decimos que un entero no negativo $d$ es un *máximo común divisor* o *mcd*, de $a$ y $b$ si 

a) $d|a$  y $d|b$;

b) si $ c|a $ y $c|b$ entonces $c|d$.

Se puede demostrar que el máximo común divisor existe y es único.

Una forma de obtenerlo es encontrar todos los divisores comunes de $a$ y $b$ y  quedarse con el máximo. Esta no es una forma eficiente y para números grandes es imposible de aplicar. 

La forma "correcta" de calcular el mcd es usando el *algoritmo de Euclides* y  la veremos más adelante. 

