#Razonando sobre programas: Corrección parcial

¿Cómo podemos convencernos de que un programa es correcto?

In [None]:
def cuadrado(n : int) -> int:
    # pre: n es un entero
    # post: devuelve el cuadrado de n
    # n ** 2 es el cuadrado de n
    res = n ** 2
    # res es el cuadrado de n
    return res

Observaciones:


*   Si las variables que aparecen en una afirmación verdadera antes de una línea de código no se modifican en esa línea de código, la misma afirmación sigue siendo verdadera luego de la línea de código.
*   Si antes de la asignación `x = e` vale una afirmación $A(e)$, entonces luego de la asignación vale la afirmación $A(x)$.



Si uno mira la celda anterior con el programa "ya verificado", no queda claro cómo fue el razonamiento. Lo explicamos a continuación:

1.   La precondición no se demuestra, se asume que es verdadera cuando comienza la ejecución de la función (será responsabilidad de quien use la función, asegurarse de que se cumpla su precondición)
2.   La precondición `n es un entero` implica `n ** 2 es el cuadrado de n`. De hecho esta afirmación simplemente está diciendo que en Python `n ** 2` es lo que habitualmente escribimos $n^2$ en matemática. Por lo tanto, la afirmación `n ** 2 es el cuadrado de n` es verdadera en la línea 4.
3.   Por ello, luego de la asignación `res = n ** 2`, la afirmación `res es el cuadrado de n` es verdadera, ya que la variable `res` tiene ahora justamente el valor de la expresión `n ** 2`. Por lo tanto, si `n ** 2 es el cuadrado de n` es verdadera en la línea 4, entonces `res es el cuadrado de n` es verdadera en la línea 6.
4.   Por último, si en la línea 6 vale `res es el cuadrado de n`, entonces efectivamente se cumple la postcondición ya que en la fila siguiente se está devolviendo justamente el cuadrado de `n`.

**¿Qué hemos demostrado? Hemos demostrado que si se cumple la precondición cuando se llama a la función, entonces se va a cumplir la postcondición cuando la misma finalice.**


A continuación otro ejemplo, en este caso con la instrucción condicional.

In [None]:
def absoluto(r : float) -> float:
    # pre: r es un número real
    # post: devuelve el valor absoluto de r
    # r es un número real
    if r >= 0:
        # r es un número real y r >= 0
        # r es un número real y r >= 0 y r == |r|
        res = r
        # r es un número real y r >= 0 y res == |r|
        # r es un número real y res == |r|
    else:
        # r es un número real y r < 0
        # r es un número real y r < 0 y -r == |r|
        res = -r
        # r es un número real y r < 0 y res == |r|
        # r es un número real y res == |r|
    # r es un número real y res == |r|
    return res

Observaciones:


*   Si una afirmación vale antes de un condicional, también vale al comienzo de cada una de las ramas del condicional. Además al comienzo de cada una de las ramas vale la condición (respectivamente su opuesto).
*   Si una afirmación vale al final de las dos ramas del condicional, entonces también vale luego de finalizada la ejecución del condicional.



Nuevamente explicamos la demostración anterior:

1.   Se asume que la precondición `r es un número real` es verdadera.
2.   En la línea 6 no hubo ningún cambio, sigue siendo verdadera. Pero también vale la condición del `if`, `r >= 0`, pues solamente cuando dicha condición es verdadera el flujo del programa sigue por la línea 6. De la misma manera, en la línea 12 sigue valiendo `e es un número real` pues no hubo ningún cambio desde el comienzo de la ejecución de la función, pero también vale el opuesto de la condición del `if`: `r < 0`.
3.   La afirmación de la línea 6 implica la de la línea 7 (en realidad son equivalentes). De la misma forma, la afirmación de la línea 12 implica la de la fila 13 (son equivalentes).
4.   Si la afirmación de la línea 7 se cumple antes de la asignación `res = r`, entonces la afirmación de la línea 9 se cumple después de dicha asignación, justamente porque la variable `res` tiene como valor el que tenía la variable `r`. De la misma manera, si la afirmación de la línea 13 se cumple antes de la asignación `res = -r`, entonces la afirmación de la línea 15 se cumple después de dicha asignación, justamene porque la variable `res` tiene como valor el que tenía la expresión `-r`.
5.   Las afirmaciones de la línea 9 y 15, entonces, son verdaderas cada una en la línea en la que está. Para poder afirmar algo **después del condicional debo encontrar la misma afirmación en ambas ramas**. Pero las afirmaciones de la línea 9 y de la línea 15 no son idénticas. Se diferencian en que una incluye un `r >= 0` y la otra un `r < 0`. Pero ambas implican que `r es un número real y res == |r|`. Por ello escribimos esta afirmación en la líneas 10 y 16.
6.   Ahora que tenemos la misma afirmación en cada rama del `if`, podemos copiar esa misma afirmación **luego del condicional**.
7.   De dicha afirmación (`r es un número real y res == |r|`) justo antes del `return`, resulta evidente que se cumple la postcondición.

**Nuevamente hemos demostrado que si se cumple la precondición cuando se llama a la función, entonces se va a cumplir la postcondición cuando la misma finalice.**


In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero no negativo
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    res = 1
    i = 2
    while i <= n:
        res = res * i
        i = i + 1
    return res

In [None]:
def factorial(n : int) -> int:
    # pre: n es un número entero no negativo
    # post: devuelve el factorial de n, es decir, 1 * 2 * 3 * ... * n
    # 1 == 1 y n >= 0
    res = 1
    # res == 1 y n >= 0
    # res == 1 y 2 == 2 y n >= 0
    i = 2
    # res == 1 y i == 2 y n >= 0
    # res == 1 * 2 * ... * (i - 1) y 2 <= i <= n + 1  (esto es el invariante)
    while i <= n:
        # res == 1 * 2 * ... * (i - 1) y 2 <= i <= n + 1 y i <= n
        # res == 1 * 2 * ... * (i - 1) y 2 <= i <= n
        # res * i == 1 * 2 * ... * (i - 1) * i y 2 <= i <= n
        # res * i == 1 * 2 * ... * i y 2 <= i <= n
        res = res * i
        # res == 1 * 2 * ... * i y 2 <= i <= n
        # res == 1 * 2 * ... * (i + 1 - 1) y 3 <= i + 1 <= n + 1
        i = i + 1
        # res == 1 * 2 * ... * (i - 1) y 3 <= i <= n + 1
        # res == 1 * 2 * ... * (i - 1) y 2 <= i <= n + 1
        # invariante
    # res == 1 * 2 * ... * (i - 1) y 2 <= i <= n + 1 y i > n
    # res == 1 * 2 * ... * (i - 1) y i == n + 1
    # res == 1 * 2 * ... * (n + 1 - 1) y i == n + 1
    # res == 1 * 2 * ... * n y i == n + 1
    return res

Razonar sobre el ciclo `while` requiere identificar un invariante. Un invariante es una afirmación que vale antes de entrar al `while` y al comienzo y al final de cada ejecución del cuerpo del `while` y también luego del `while`:

    # invariante
    while condición:
        # invariante
        cuerpo del ciclo
        # invariante
    # invariante

Para demostrar que una afirmación es un invariante, debemos demostrar

1)    que vale antes del `while`:

    # invariante
    while condición:
        cuerpo del ciclo

y 2)   que si la afirmación y la condición valen al comenzar el cuerpo del ciclo

    while condición:
        # invariante y condición
        cuerpo del ciclo

entonces también vale la afirmación al finalizar el cuerpo del ciclo

    while condición:
        cuerpo del ciclo
        # invariante




In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    res = ns[0]
    for e in ns:
        if e < res:
            res = e
    return res

print(minimo([45,65,23,4,48]))

In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    res = ns[0]
    for i in range(1,len(ns)):
        if ns[i] < res:
            res = ns[i]
    return res

print(minimo([45,65,23,4,48]))

4


In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    res = ns[0]
    i = 1
    while i < len(ns):
        if ns[i] < res:
            res = ns[i]
        i = i + 1
    return res

print(minimo([45,65,23,4,48]))

4


In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    # ns es lista de enteros no vacía y ns[0] == ns[0]
    res = ns[0]
    # ns es lista de enteros no vacía y res == ns[0]
    i = 1
    # ns es lista de enteros no vacía y res == ns[0] y i == 1
    # invariante: res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)
    while i < len(ns):
        if ns[i] < res:
            res = ns[i]
        i = i + 1
    return res

print(minimo([45,65,23,4,48]))

1) demostrar que el "invariante" se cumple antes del while


In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    # ns es lista de enteros no vacía y ns[0] == ns[0]
    res = ns[0]
    # ns es lista de enteros no vacía y res == ns[0]
    i = 1
    # ns es lista de enteros no vacía y res == ns[0] y i == 1
    # invariante: res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)
    while i < len(ns):
        if ns[i] < res:
            res = ns[i]
        i = i + 1
    return res

print(minimo([45,65,23,4,48]))

2) comprobar que si el invariante y la condición del while se cumplen antes de comenzar el cuerpo del while, el invariante se cumple luego del cuerpo del while

In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    # ns es lista de enteros no vacía y ns[0] == ns[0]
    res = ns[0]
    # ns es lista de enteros no vacía y res == ns[0]
    i = 1
    # ns es lista de enteros no vacía y res == ns[0] y i == 1
    # invariante: res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)
    while i < len(ns):
        # invariante y i < len(ns)
        # res es el menor elemento de ns[0:i] y 1 <= i <= len(ns) y i < len(ns)
        # res es el menor elemento de ns[0:i] y 1 <= i < len(ns)
        if ns[i] < res:
            # res es el menor elemento de ns[0:i] y 1 <= i < len(ns) y ns[i] < res
            # ns[i] es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
            res = ns[i]
            # res es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
        else:
            # res es el menor elemento de ns[0:i] y 1 <= i < len(ns) y ns[i] >= res
            # res es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
            pass
            # res es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
        # res es el menor elementos de ns[0:i+1] y 2 <= i+1 < len(ns) + 1
        i = i + 1
        # res es el menor elementos de ns[0:i] y 2 <= i < len(ns) + 1
        # res es el menor elementos de ns[0:i] y 1 <= i <= len(ns)
        # invariante
    return res

print(minimo([45,65,23,4,48]))

Conclusión: hemos demostrado que `res es el menor elementos de ns[0:i] y 1 <= i <= len(ns)` es un invariante


In [None]:
def minimo(ns : list) -> int:
    # pre: ns es una lista de enteros no vacía
    # post: devuelve el menor de los enteros de la lista ns
    # ns es lista de enteros no vacía y ns[0] == ns[0]
    res = ns[0]
    # ns es lista de enteros no vacía y res == ns[0]
    i = 1
    # ns es lista de enteros no vacía y res == ns[0] y i == 1
    # invariante: res es el menor elemento de ns[0:i] y 1 <= i <= len(ns)
    while i < len(ns):
        # invariante y i < len(ns)
        # res es el menor elemento de ns[0:i] y 1 <= i <= len(ns) y i < len(ns)
        # res es el menor elemento de ns[0:i] y 1 <= i < len(ns)
        if ns[i] < res:
            # res es el menor elemento de ns[0:i] y 1 <= i < len(ns) y ns[i] < res
            # ns[i] es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
            res = ns[i]
            # res es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
        else:
            # res es el menor elemento de ns[0:i] y 1 <= i < len(ns) y ns[i] >= res
            # res es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
            pass
            # res es el menor elementos de ns[0:i+1] y 1 <= i < len(ns)
        # res es el menor elementos de ns[0:i+1] y 2 <= i+1 < len(ns) + 1
        i = i + 1
        # res es el menor elementos de ns[0:i] y 2 <= i < len(ns) + 1
        # res es el menor elementos de ns[0:i] y 1 <= i <= len(ns)
    # invariante y i >= len(ns)
    # res es el menor elementos de ns[0:i] y 1 <= i <= len(ns) y i >= len(ns)
    # res es el menor elementos de ns[0:i] y 1 <= i == len(ns)
    # res es el menor elementos de ns[0:len(ns)] pero ns[0:len(ns)] == ns
    # por lo tanto vale la postcondición
    return res

print(minimo([45,65,23,4,48]))

Recordemos que $n \geq 2$, entero, es primo, si y sólo si no existe ningún número entero $2 \leq d < n$ que divida a $n$.

In [None]:
def es_primo(n : int) -> bool:
    # pre: n es un número entero >= 2
    # post: devuelve verdadero sii n es número primo
    # n es un número entero >= 2 y 2 == 2
    d = 2
    # n es un número entero >= 2 y d == 2
    # invariante: n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0
    while n % d != 0:
        d = d + 1
    return d == n

¿Cómo demostrar que es un invariante?

1) Demostrar que se cumple antes del while

In [None]:
def es_primo(n : int) -> bool:
    # pre: n es un número entero >= 2
    # post: devuelve verdadero sii n es número primo
    # n es un número entero >= 2 y 2 == 2
    d = 2
    # n es un número entero >= 2 y d == 2
    # invariante: n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0
    while n % d != 0:
        d = d + 1
    return d == n

2) Demostrar que si el invariante y la condición del while se cumplen antes de ejecutarse el cuerpo del ciclo, entonces el invariante se cumple luego de ejecutarse el cuerpo del ciclo.

In [None]:
def es_primo(n : int) -> bool:
    # pre: n es un número entero >= 2
    # post: devuelve verdadero sii n es número primo
    # n es un número entero >= 2 y 2 == 2
    d = 2
    # n es un número entero >= 2 y d == 2
    # invariante: n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0
    while n % d != 0:
        # invariante y n % d != 0
        # n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0 y n % d != 0
        # n >= 2 y 2 <= d < n y para todo i en {2, 3, ..., d} n % i != 0
        # n >= 2 y 3 <= d + 1 < n + 1 y para todo i en {2, 3, ..., d+1-1} n % i != 0
        d = d + 1
        # n >= 2 y 3 <= d < n + 1 y para todo i en {2, 3, ..., d-1} n % i != 0
        # n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0
        # invariante
    return d == n

In [None]:
def es_primo(n : int) -> bool:
    # pre: n es un número entero >= 2
    # post: devuelve verdadero sii n es número primo
    # n es un número entero >= 2 y 2 == 2
    d = 2
    # n es un número entero >= 2 y d == 2
    # invariante: n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0
    while n % d != 0:
        # invariante y n % d != 0
        # n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0 y n % d != 0
        # n >= 2 y 2 <= d < n y para todo i en {2, 3, ..., d} n % i != 0
        # n >= 2 y 3 <= d + 1 < n + 1 y para todo i en {2, 3, ..., d+1-1} n % i != 0
        d = d + 1
        # n >= 2 y 3 <= d < n + 1 y para todo i en {2, 3, ..., d-1} n % i != 0
        # n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0
    # invariante y n % d == 0
    # n >= 2 y 2 <= d <= n y para todo i en {2, 3, ..., d-1} n % i != 0 y n % d == 0
    # dos posibilidades: a) d == n   b) d != n
    # a) si d == n, entonces de para todo i en {2, 3, ..., d-1} n % i != 0 deducimos que n es primo
    # b) si d != n, entonces de 2 <= d <= n deducimos 2 <= d < n y entonces de n % d == 0 que n no es primo
    # conclusión n es primo sii d == n
    return d == n

Hemos demostrado que si se cumple la precondición de la función `es_primo()` al comenzar su ejecución, entonces se cumple su postcondición al finalizar.

Conclusión: si la ejecución de la función termina, la misma es correcta. Corrección parcial.

Para demostrar corrección total, debo encontrar una expresión entera cuyo valor vaya decreciendo en cada ejecución del ciclo, y que nunca pueda ser negativa. Eso se llama un "variante" del ciclo.

Por ejemplo, la expresión `n-d` es siempre no negativa ya que demostramos que `d <= n` es parte del invariante. Se puede comprobar que decrece paso a paso.


Ejercicio: demostrar la corrección parcial de la siguiente función

In [None]:
def logaritmo2(r: float) -> int:
    # pre: r es un número real mayor o igual que 1
    # post: devuelve el mayor entero n tal que 2**n <= r < 2**(n+1)
    res = 1
    # invariante: para todo i entre 1 y res-1, 2 ** i <= r
    while 2**res <= r:
        res = res + 1
    res = res - 1
    return res