la recherche d'un élément par dichotomie dans un ... - Verimag

Langages Automates Non-déterminisme Grammaires Attibuées et Génératives Expressions régulières
Correction Partielle de Programmes
Ceci n'est pas un cours de C++
1.1 Application à un cas plus réaliste
Algorithme de recherche d'un élément x par dichotomie dans un tableau T croissant
0: d=0; f=N;
1: while(true){
2: if(d>f)
3: { present=false; break;}
4: else
5: { m=(d+f)/2;
6: if (x==T[m]){ present=true; break; }
7: else if (xT[m]){ d=m+1; }
9: }
10: }
11: return present;
où l'instruction return valeur se traduit par l'aectation de la valeur à une variable réservée, result,
destinée à recevoir le résultat d'un programme.
et x/y correspond à la partie entière de x y
notée x ÷ y en math.
Exemples 1 ÷ 2 = 0, (−1) ÷ 2 = 0, 5 ÷ 2 = 2, (−5) ÷ 2 = −2, 2n ÷ 2 = (2n + 1) ÷ 2 =
n, (2n − 1) ÷ 2 = n − 1
Automate de Von Neumann correspondant à l'algorithme précédent
q 0
d←0 ; f←N
q 2
d←m+1
q 8
q 1
d≤f
d>f
f←m−1
q 7
present←false
q 11
result←present
q s
q 4
m←(d+f)÷2
x>T [m]
q 5
x

On prétend que ce programme satisfait la propriété de correction
∧
result = true ⇒ x ∈ T [0..N] result = false ⇒ x /∈ T [0..N]
où x ∈ T [0..N] est l'abbréviation de ∃i ∈ [0..N], x = T [i]
1.1.1 Exemple de rédaction de preuve de correction partielle
Montrons, par la méthode de Floyd-Hoare, que lorsqu'on atteint l'état de sortie q s la propriété de
correction est satisfaite.
def
∧
En q s : ψ s = result = true ⇒ x ∈ T [0..N] result = false ⇒ x /∈ T [0..N]
result←present
En q 11 : on détermine ψ 11 d'après ψ s en utilisant la transition q 11 −−−−−−−−−−→ q s
ψ 11
def
= ψ s [result ← present]
def
= la propriété ψ s dans laquelle on remplace la variable result par present
def
∧
= present = true ⇒ x ∈ T [0..N] present = false ⇒ x /∈ T [0..N]
present←false
En q 2 : on détermine ψ 2 d'après ψ 11 en utilisant la transition q 2 −−−−−−−−−→ q 11
ψ 2
def
= ψ 11 [present ← false]
def
= false = true ⇒ x ∈ T [0..N]
} {{ }
false
≡ false ⇒ . . .
} {{ }
≡
true
x /∈ T [0..N]
∧
∧
false = false ⇒ x /∈ T [0..N]
true ⇒ x /∈ T [0..N] ≡ true
∧ x /∈ T [0..N]
En q 1 : on détermine ψ 1 d'après ψ 2 en utilisant la transition q 1 −−−→ q 2
Principe Rappelons qu'on doit montrer la propriété x /∈ T [0..N] en q 2 . On cherche donc
une propriété en q 1 qui, avec le test d > f, implique la propriété ψ 2 en q 2 .
.} .{{ . . .}.
∧ d > f =⇒ x /∈ T [0..N]
} {{ }
ψ 1 ψ 2
Pour déduire x /∈ T [0..N] de d > f qui n'ont a priori rien en commun, on fait un raisonnement par
contradiction ; c'est-à-dire qu'on chercher une propriété ψ 1 de la forme x ∈ T [0..N] ⇒ . . . où la partie
. . . devra faire apparaître d et f et donnera une contradiction avec d > f.
def
On choisit de prendre ψ 1 = x ∈ T [0..N] ⇒ x ∈ T [d..f] qui donne la contradiction souhaitée. En
eet, x ∈ T [d..f] ∧ d > f ≡ false car x ne peut apparaître dans le sous-tableau T [d..f] qui ne contient
pas d'élément puisque d est après f. Ce raisonnement permet de montrer l'implication
(x ∈ T [0..N] ⇒ x ∈ T [d..f])
} {{ }
ψ 1
∧ d > f =⇒ x /∈ T [0..N]
} {{ }
En q 8 : on détermine ψ 8 d'après ψ 1 en utilisant la transition q 8 −−−−−→ q 1 .
def
ψ 8 = ψ 1 [d ← m + 1] def
= x ∈ T [0..N] ⇒ x ∈ T [m + 1..f]
ψ 2
d>f
d←m+1
x>T [m]
En q 5 : on détermine ψ 5 d'après ψ 8 en utilisant la transition q 5 −−−−−→ q 8 . On cherche ψ 5 telle que
.} .{{ . . .}.
∧ x > T [m] =⇒ x ∈ T [0..N] ⇒ x ∈ T [m + 1..f]
} {{ }
ψ 5
On choisit
ψ 8
2

def
ψ 5 = T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
Remarque : T [0..N] croissant et x > T [m] permet de montrer que x ∈ T [m + 1..N] mais
ne sut pas pour montrer que x est situé avant f. Il faut donc ajouter la seconde condition qui
dit que si x est dans le tableau alors il est dans le sous-tableau qui se termine à f.
m←(d+f)÷2
En q 4 : on détermine ψ 4 d'après ψ 5 en utilisant la transition q 4 −−−−−−−−→ q 5 . On choisit
def
ψ 4 = ψ 5 [m ← (d + f) ÷ 2] def
= T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
Remarque : La propriété ψ 5 ne mentionne pas m, donc le remplacement de m par (d+f)÷2
n'a pas d'eet et on trouve que ψ 4 = ψ 5 . Cela signie que le calcul de m ne joue aucun rôle
dans la preuve de correction ; ce qui peut paraître surprenant. En fait, ce calcul est important
dans la preuve de terminaison de l'algorithme mais n'a pas d'impact sur la preuve de correction.
✞
☎
d≤f
En q 1 : ✝VÉRIFICATION ✆: on utilise la transition q 1 −−−→ q 4 pour s'assurer que les propriétés que
nous avons choisies forme une chaîne d'implications qui est préservée par les itérations (c'est-à-dire les
chemins de q 1 à q 1 ).
On vérie que
x ∈ T [0..N] ⇒ x ∈ T [d..f] ∧ d ≤ f
} {{ }
ψ 1
?
=⇒ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
} {{ }
La seconde partie de la propriété ψ 4 est trivialement satisfaite puisqu'elle apparaît en prémisse de
l'implication (c'est ψ 1 ). Par contre la première partie de ψ 4 n'est pas une conséquence de la prémisse.
On doit réviser notre choix de ψ 1 et prendre :
def def
ψ 1 = ψ 4 = T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
Ceci entraîne des révisions en cascade des propriétés qu'on a déterminées à partir de ψ 1 . On doit donc
reprendre les raisonnements depuis q 1 .
def
ψ 8 = ψ 1 [d ← m + 1] def
= T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [m + 1..f]
?
Avec ces modications, l'implication ψ 1 ∧ d ≤ f =⇒ ψ 4 est trivialement satisfaite car elle est de la
forme P ∧ Q ⇒ P donc nos choix sont validés : les propriétés ψ 1 , ψ 4 , ψ 5 , ψ 8 , ψ 2 , ψ 11 , ψ s sont donc des
invariants des états q 1 , q 4 , q 5 , q 8 , q 2 , q 11 , q s respectivement.
En q 0 : on détermine les conditions initiales ψ 0 d'après ψ 1 en utilisant la transition q 0 −−−−−−−−→ q 1
ψ 4
d←0 ; f←N
ψ 0
def
= ψ 1 [d ← 0 ; f ← N] def
= T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [0..N]
} {{ }
def
= T [0..N] croissant
true
Donc l'algorithme fonctionne pour n'importe quel tableau croissant (contenant ou non le x cherché).
3

Exercice : Terminez la preuve en complétant les pointillés
1.2 Principe de recherche et de validation des invariants avec multiples révisions
Illustration sur la preuve de correction partielle (suite et n) de l'algorithme de recherche d'un
élément x par dichotomie dans un tableau T croissant.
f←m−1
En q 7 : on détermine ψ 7 d'après ψ 1 en utilisant la transition q 7 −−−−−→ q 1
ψ 7
def
= ψ 1 [ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ]
def
= T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d.. . . . . . . . . . . . . . . . .]
En q 6 : on détermine ψ 6 d'après . . . . . . . . . en utilisant la transition q 6
present←true
−−−−−−−−−→ . . . . . . .
ψ 6
def
= . . . . . . . . .[present ← true]
def
= . . . . . . . . . . . = true
} {{ }
⇒ x ∈ T [0..N]
∧
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . = false
} {{ }
⇒ x /∈ T [0..N]
≡
≡
. . . . . . . . . . .
true ⇒ x ∈ T [0..N]
x ∈ T [0..N] ∧ true
∧
. . . . . . . . . . . . ⇒ . . .
} {{ }
true
. . . . . . . . . . . .
≡ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
x=T [m]
Pour valider ψ 6 il faut montrer que c'est une conséquence de |psi 5 après la transition q 5 −−−−−→ q 6 .
Remarque On va voir que cela nous oblige à renforcer la propriété ψ 5 en lui ajoutant de
nouvelle contrainte. Pour l'instant on a déterminé ψ 5 en s'intéressant seuleument à la transition
x>T [m]
q 8 −−−−−→ q 5 . Autrement dit, on a choisi ψ 5 pour qu'elle garantisse ψ 8 . Mais il y a trois transition
qui partent de q 5 vers q 6 , q 7 et q 8 . Il faut donc que la propriété ψ 5 garantisse les propriétés
ψ 6 , ψ 7 , ψ 8 .
En q 5 : on détermine les contraintes supplémentaires de ψ 5 d'après ψ 6 en utilisant la transition
q 5
x=T [m]
−−−−−→ q 6 de sorte qu'on ait :
? . . .? } {{ }
∧ . . . . . . . . . . . . . . . . . . . . . . . . .
} {{ }
ψ 5
test
=⇒ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
} {{ }
Le test x = T [m] sut à montrer que x ∈ T [0..N] à condition que . . . . .
. . . . . . . . . . . . . . . . On ajoute donc à la propriété ψ 5 la condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ψ 6
appartienne à l'interval
def
ψ 5 = . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∧ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
Cela nous oblige à réviser les propriétés que l'on a déterminées à partir de ψ 5 c'est-à-dire ψ 4 , ψ 1 et
ψ 8 , ψ 0 .
4

ψ 5
ψ 4
ψ 1
ψ 7
ψ 0
def
= . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∧ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
def
= ψ 5 [m ← (d + f) ÷ 2] (cf. cours)
def
= . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∈ [0..N] ∧ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
def
= ψ 4 (cf. cours)
def
= . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∈ [0..N] ∧ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..f]
def
= . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
def
= ( . . . + . . . . . . . . . . . . . . . .) ÷ 2 ∈ [0..N] ∧ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [d..m − 1]
def
= ψ 1 [d ← 0 ; f ← N] (cf. cours)
def
= ( . . . . . . . . . . . . . . . . ) ÷ 2 ∈ [0..N]
} {{ }
true
∧ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [0..N]
} {{ }
. . . . . . . . . . .
ψ 8
≡ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
def
= ψ 1 [d ← m + 1] (cf. cours)
def
= ( . . . . . . . . . . . . . . . . + . . . ) ÷ 2 ∈ [0..N] ∧ T [0..N] croissant ∧ x ∈ T [0..N] ⇒ x ∈ T [m + 1..f]
Pour valider ψ 7 on doit considérer la transition . . . . .
de . . . . . .
et du test x < T [m].
On doit montrer l'implication :
x

preuve : m ∈ [0..N] et 1 ∈ [1..1] impliquent m + 1 ∈ [1..N + 1].
Avec f ∈ [0..N] on a m + 1 + f ∈ [1..2N + 1] et donc (m + 1 + f) ÷ 2 ∈ [1 ÷ 2..(2N + 1) ÷ 2] = [0..N]
On est conduit à une nouvelle révision de ψ 5 et des propriétés qui en dépendent. Pour plus de clarté
on ne fait désormais apparaître que les nouvelles propriétés à valider.
ψ 5
ψ 4
ψ 1
ψ 7
ψ 0
ψ 8
def
= m ∈ [0..N] ∧ d, f ∈ . . . . . . . . . . . . . . . ∧ . . .
def
= ψ 5 [m ← (d + f) ÷ 2]
def
= (d + f) ÷ 2 ∈ [0..N] ∧ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∧ . . .
def def
= ψ 4 = (d + f) ÷ 2 ∈ [0..N] ∧ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∧ . . .
def
= ψ 1 [f ← m − 1]
def
= (d + m − 1) ÷ 2 ∈ [0..N] ∧ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∧ . . .
def
= ψ 1 [d ← 0 ; f ← N]
def
= (0 + N) ÷ 2 ∈ [0..N]
} {{ }
true
def
= ψ 1 [d ← m + 1]
∧ . . . . . . . . . . .
∈ [0..N] ∧ . . .
} {{ }
true
def
= (m + 1 + f) ÷ 2 ∈ [0..N] ∧ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ∧ . . .
Qu'y a t'il de nouveau dans cette révision ?
Pour valider ψ 8 on doit montrer que m + 1 ∈ [0..N] sachant (d'après ψ 5 ) que m ∈ [0..N]. C'est
impossible. En eet, si d = N et f = N alors m = (N + N) ÷ 2 = . . . . . et m + 1 . . . . N ; donc les
propriétés concernant d, f doivent être plus subtiles.
De la même manière pour valider ψ 7 , on doit montrer que m − 1 ∈ [0..N] sachant (d'après ψ 5 ) que
m ∈ [0..N]. C'est impossible. En eet, si d = . . . et f = . . . alors m = (d + f) ÷ 2 = . . . et m − 1 < . . ..
On constate que les seuls cas qui nous ennuie sont les cas d = f = m = N et d = f = m = 0. Il ne
posent pas un réel problème puisque dans ces deux cas il n'y aura pas de nouvelle itération.
On choisit donc d'ajouter la contrainte d ≤ f ⇒ d, f ∈ [0..N] à ψ 1 , c'est-à-dire qu'à l'état
q 1 on s'intéresse aux valeurs de d, f uniquement lorsque d ≤ f.
On modie à nouveau les propriétés :
ψ 5
ψ 4
ψ 1
ψ 7
def
= m ∈ [0..N] ∧ d, f ∈ [0..N] ∧ . . .
def
= ψ 5 [m ← (d + f) ÷ 2]
def
= (d + f) ÷ 2 ∈ [0..N] ∧ d, f ∈ [0..N] ∧ . . .
def
= (d + f) ÷ 2 ∈ [0..N] ∧ d ≤ f ⇒ d, f ∈ [0..N] ∧ . . .
def
= ψ 1 [f ← m − 1]
def
= (d + m − 1) ÷ 2 ∈ [0..N] ∧ . . . . . . . . . . . . . . . . . . . . . . . . . . . ⇒ . . . . . . . . . . . . . . . . . . . . . . ∈ [0..N] ∧ . . .
6

ψ 0
ψ 8
def
= ψ 1 [d ← 0 ; f ← N]
def
= (0 + N) ÷ 2 ∈ [0..N] ∧ . . . . . . . . . . . . . . . . . ⇒ . . . . . . . . . . . ∈ [0..N]
} {{ }
def
= ψ 1 [d ← m + 1]
true(trivial)
∧ . . .
def
= (m + 1 + f) ÷ 2 ∈ [0..N] ∧ . . . . . . . . . . . . . . . . . . . . . . . . . . . . ⇒ . . . . . . . . . . . . . . . . . . . . . . ∈ [0..N] ∧ . . .
Qu'y a t'il de nouveau dans cette révision ?
Pour ψ 0 la nouvelle contrainte se réduit trivialement à true. Donc elle n'ajoute pas de . . . . . . . . . . . . . . . . . . . . . . . . .
d' . . . . . . . . . . . . . . . . . . . . . . . . . . . de l'algorithme.
Pour valider ψ 8 il faut montrer que m + 1 ≤ f ⇒ m + 1, f, (m + 1 + f) ÷ 2 ∈ [0..N] sachant (d'après
ψ 5 ) que m, f ∈ [0..N].
preuve : m ∈ [0..N] donc m + 1 ∈ [ . . .. . . . . . . . . . . . . . . ] or . . . . . . . . . . . . . . ≤ f et f ∈ [0..N] donc
m + 1 ∈ [ . . ... . . . .] ⊆ [0..N].
Pour valider ψ 7 il faut montrer que d ≤ m − 1 ⇒ d, m − 1 ∈ [0..N] sachant (d'après ψ 5 ) que
m, d ∈ [0..N].
preuve : m ∈ [0..N] donc m − 1 . . . . N or . . . . . . . . . . . . . . . . . . . . . . . . et d ∈ [0..N] donc . . ≤ m + 1
d'où m − 1 ∈ [0..N].
Pour valider ψ 4 on doit considérer la transition q 1 −−−→ q 4 et on doit montrer que
ψ 1 ∧ d ≤ f
?
=⇒ ψ 4
preuve (à rédiger): On se contente de prouver les nouvelles parties de ψ 4 .
Pour valider ψ 5 on doit considérer la transition q 4 −−−−−−−−→ q 5 : que doit-on montrer ?
d≤f
m←(d+f)÷2
ψ
. . .
=⇒ ψ
. . .
[ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .]
preuve : L'implication est évidente (de la forme P ⇒ P ) puiqu'on a choisi
def
ψ 4 = . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Pour valider ψ 1 il faut considérer toutes les transitions qui arrivent en q 1 . Il y en a trois. Il faut donc
faire trois preuves ; elles sont triviales (expliquez pourquoi).
1. transition q 0
d←0 ; f←N
−−−−−−−−→ q 1 : que faut-il montrer ?
2. transition q 7
f←m+1
−−−−−→ q 1 : que faut-il montrer ?
3. transition q 8
d←m−1
−−−−−→ q 1 : que faut-il montrer ?
Conclusion
On a associé des propriétés à chaque état et montré que ce sont des invariants d'état c'est-à-dire qu'elles
sont valides à chaque fois qu'on passe dans ces états.
L'invariant ψ s associé à l'état de sortie q s
def
ψ s = result = true ⇒ x ∈ T [0..N]
∧
result = false ⇒ x /∈ T [0..N]
7

nous garantit que l'algorithme eectue une recherche d'élément dans un tableau.
L'invariant ψ 0 associé à l'état d'entré q 0 nous donne les conditions d'utilisation de l'algorithme
def
ψ 0 = T [0..N] croissant
Elles indiquent que l'algorithme exige que le tableau soit trié dans l'ordre croissant.
8