Cours 6 du 29 février

 

Boucles et invariants, applications aux tris

(Suite)

(a) Invariants (suite)

Exemple :

 

 

Au début de chaque itération on a : 

s contient la somme des éléments du tableau de r jusqu'à i-1 (I):

• initialement i-1<r et l'intervalle [r,i[ étant vide la somme des éléments de t sur un intervalle vide est 0 (élément neutre de l'addition), comme initialement s=0, (I) est bien vérifié initialement,
• supposons que (I) soit vrai au début de l'itération, si (i<=l), après s+=t[i]; s contient la somme des éléments de t pour les indices dans l'intervalle [r,i-1[ et de l'élément t[i], donc s contient la somme des éléments de t pour les indices de l'intervalle [r,i]. Après i+=1; la nouvelle valeur de i est égale à l'ancienne valeur +1 et donc s contient la somme des éléments de t pour tous les indices dans l'intervalle [r,i-1]. 
  En notant i’ respectivement s’, la valeur de i, respectivement de s, après l’exécution du corps de la boucle, on a s’=s+t[i] et i’=i+1 et donc s’ est égal à la somme des t[j] pour j allant de r à  i’-1. Ainsi après l'exécution du corps de la boucle, (I ) est vraie.
• Enfin quand on sort de la boucle on i=l+1, si (I) est vraie cela signifie que s est égal à la somme des éléments de t pour tous les indices de l'intervalle [r,i-1] et donc de l'intervalle [r,l],
• Par ailleurs on ne fera jamais plus de r-l itérations. (à chaque itération la valeur l-i diminue de 1, initialement elle était de r-l et si elle est inférieure ou égale à 0 on sort de la boucle)

 

On montre ainsi que le programme calcule la somme des éléments de r à l du tableau t.

 

Ce procédé consiste donc à trouver un invariant pour la boucle et à partir de là de vérifier que le programme calcule bien ce qu'il doit. En fait, quand on a écrit la boucle en question ce que l'on a fait c'est très exactement déterminer un invariant de boucle (même si ce processus n'était pas formalisé en tant que tel!).

 

Plus généralement, on peut spécifier un programme par {Pre} Prog {Post} où Pre est une précondition, Post une Postcondition. et Prog une morceau de programme. Cette spécification s'interprète comme suit:

Si avant d'exécuter Prog, la condition Pre est vraie alors après l'exécution de Prog la condition Post est vraie.

 

Dans l'exemple précédent, on aurait pu écrire:

{0<=r<=l<t.length} programme {s est la somme des éléments de t pour tous les indices dans [l,r]}

 

Il faut noter que le choix de Pre et de Prog n'est pas unique on a par exemple:

• {y>=0} y=y+1 {y>0}
• {y=3} y=y+1 {y>1}

 

On peut étudier pour chaque construction du programme (affectation, conditionnelle, boucle etc.) quelle en est l'effet pour les pré et post-conditions. Nous ne le ferons pas ici de façon exhaustive et on ne s'intéressera qu'aux boucles (en se restreignant à des boucles « while » simples).

 

Pour une boucle on a:

si :

{I et b} Prog {I}

alors

{I} while (b) Prog {I et non b}

 

En clair, {I et b} Prog {I} signifie que I est un invariant pour la boucle: si I est vraie avant l'itération, si la condition de l'itération est vraie, alors après une itération I reste vraie. Si I est un invariant alors, quand la boucle termine, I et  la négation de la condition de boucle (non b) sont vraies.

On notera que l’on suppose ici que la boucle termine: plus précisément la propriété précédente est si la boucle termine alors {I} while (b) Prog {I et non b}. La terminaison de la boucle doit être traitée à part.

 

Il n'y a pas bien sûr un seul invariant possible pour une boucle (par exemple la propriété est toujours vraie (TRUE) est toujours un invariant!), il s'agit de déterminer un invariant qui correspond à ce que l'on veut obtenir comme couple précondition et postcondition.

 

R1:

Si l'on veut vérifier:

{Pre} Programme {Post}

où Programme est de la forme :

while (b) Prog.

On peut procéder comme suit:

 

1. trouver un invariant I pour la boucle while (b) Prog : (c'est-à-dire que tel que {I et b} Prog {I})
2. I doit en plus vérifier :
3. Pre => I (la précondition doit être suffisamment forte pour assurer I)
4. (I et non b) => Post (ce qui est assurée à la sortie de la boucle doit être suffisant pour assurer la postcondition
5. Vérifier que la boucle termine.

 

Remarques :

• On peut définir tout ce qui précède de façon formelle et définir des règles formelles de déduction qui permettraient de "prouver" que les programmes vérifient leurs spécifications.  En particulier on peut prouver la validité de ces règles.
• Une approche formelle devient assez vite compliquée (en particulier il n'est pas aisé de traiter certaines constructions des langages de programmation comme Java).
• On se restreint ici à une présentation très informelle qui doit permettre de commenter (en langue naturelle) les programmes et d'expliquer comment ils sont construits (en donnant les invariants des boucles).
• Il s'agit ici uniquement de donner les intuitions qui permettent d'une part d'aider à construire les programmes et d'autre part à aider à documenter et spécifier les programmes.
• On notera que la notion d’invariant est très proche de l’induction : quand on montre une propriété par induction on montre dans une certaine mesure que cette propriété est « invariante » (pour tout n P(n) => P(n+1))

 

(b) application à quelques tris

(a)  tri par sélection et tri-bulle

Supposons que l'on veuille trier un tableau tab entre les indices r et l. On peut considérer l'invariant:[1]

(I1) tab[r,i[  est trié  : pour tout a,b  dans [r,i[ a<b => tab[a] ≤ tab[b]

 

• Si i≤r  il comme [r,i[ est alors vide,  et (I1) est vraie.
• Si i>l alors [r,i[ contient [r,l[ et (I1) entraîne : pour tout a,b  dans [r,l] a<b => tab[a] ≤ tab[b] ce qui signifie que le tableau est trié

 

Si donc on arrive à construire une boucle telle que (I1) soit un invariant, par la règle R1, on aura un programme qui trie le tableau tab entre les indices r et l.

 

Pour cela on peut renforcer (I1) en considérant (I1 et I2)  où I2 assure que tous les éléments du tableau entre i et l sont supérieurs ou égaux à tous les éléments de tab entre l et i:

(I2) pour tout a dans [i,l] pour tout b dans [l,i[ tab[b] ≤ tab[a]

 

Pour assurer l'invariant (I1 et I2) il suffit de déterminer l'élément minimal de tab entre i et l, et de l'échanger avec tab[i]: ainsi (I1 et I2) seront assurées jusqu'à l'indice i+1.

 

Plus précisément:

• soit Min(tab,i,j) un morceau de programme qui donne l'indice du minimum du tableau tab entre i et j:

 

si x=Min(tab,i,j):

1.      x appartient à [i,j]

2.  pour tout k dans [i,j] tab[x] ≤ tab[k]

 

• Soit echanger(tab,i,j) un morceau de programme qui échange les éléments i et j de tab c'est-à-dire qui vérifie :

{tab[i]=x et tab[j]=y} echanger(tab,i,j) {tab[i]=y et tab[j]=x et aucun autre élément de tab n'a changé}

 

Le programme sera:

 

On peut vérifier que (I1 et I2) est bien un invariant de la boucle:

• Si ((I1 et I2) et (i<=r)) est vrai,
• après  int min=Min(tab,i,j); min contiendra l'indice de l'élément minimal pour tab parmi les indices de [i,r].
• après  echanger(tab,i,min); dans tab[i] se trouve un élément minimal du tableau pour les indices de [i,r],  d'après (I2), cet élément est supérieur ou égal à tout élément de tab parmi les indices de [l,i[. Comme d'après (I1), le tableau tab est ordonné pour les indices [l,i[, (A) le tableau tab est maintenant ordonné pour les indices de [l,i]. De même comme tab[i] est inférieur ou égal à tout élément du tableau tab pour les indices [i,r], on déduit que (B) tous les éléments de tab pour les indices de [l,i] sont supérieurs ou égaux à tout élément de tab pour les indices [i,r].
• après i=i+1; la nouvelle valeur de i est l'ancienne plus un et d'après (A) et (B) on vérifie que ((I1) et (I2) ) est vraie pour cette nouvelle valeur de i.
• en résumant on en déduit qu'après exécution du corps de la boucle, (I1 et I2) est vraie ce qui prouve que (I1 et I2) est un invariant de la boucle.

 

Maintenant si on suppose que tab est bien défini pour toutes les valeurs d'indice de [l,r], on  a  après exécution de int i=l; la propriété i=l qui est vraie. Comme dans ce cas [l,i[ est vide I1 et I2 sont trivialement vérifiés.

 

Ensuite (I1 et I2 et i>r) entraîne ici (I1 et i=r) et donc que le tableau est trié pour les valeurs de [l,r].

 

Enfin, la boucle termine toujours puisqu'il y aura au plus l-r itérations.

 

Il reste à écrire les codes correspondant à Min(tab,i,j) et echanger(tab,i,min):

• le morceau de programme suivant permet calculer Min(tab,i,j):

             int min=i;

     for(int j=i+1;j<=r;j++)

         if(tab[j]<tab[min])min=j;

On a:

(Exercice donner un invariant pour cette boucle!)

 

• le morceau de programme permet de réalise echanger(tab,i,min)

int tmp=tab[i];

tab[i]=tab[min];

tab[min]=tmp;

 

 

 

Le programme complet (après remplacement de la boucle while par une boucle for) devient:

 

Il s’agit du tri par sélection.

 

On peut aussi, au lieu de chercher l’indice du minimum de tab[i,j] et ensuite échanger avec tab[i], directement placer ce minimum dans tab[i] par des échanges successifs. La boucle suivante mettra dans t[i] du tableau t[i,r]. Plus précisément, le programme suivant assure la précondition TAB[i,r]=tab[i,r]   et la postcondtion: tab[i]=Min{TAB[j]| i <= j <=r} et tab[i,r] est une permutation de TAB[i,r] :

Exercice:

Trouver un invariant de la boucle.

     Il est ensuite facile de vérifier que cette boucle assurera (I1 et I2) dans le programme (tri bulle) :

 

 

Remarque :

Si TAB[l,r]est le tableau tab[l,r] trié, on peut remarquer que dans les deux tris précédents on a l’invariant : tab[l,i-1]=TAB[l,i-1]qui signifie que les éléments sélectionnés sont mis à leur place définitive.

(b) Tri par insertion

Le tri par insertion on ne fait que maintenir (I1) et dans le tableau partiellement trié tab[l,i-1] les éléments ne sont pas à leur place définitive. Pour cela à chaque itération il insère tab[i] dans tab[l,i] à sa bonne place (c’est-à-dire de façon à ce que tab[l,i] reste trié).

 

 

On peut ensuite améliorer (un peu) cet algorithme :