「契約プログラミング」の版間の差分

このページのノートに、このページに関する議論があります。（2021年11月） 議論の要約：事前条件・事後条件について

契約プログラミング（けいやくプログラミング、英: Contract programming）または契約による設計（けいやくによるせっけい、英: Design by Contract; DbC）は、ソフトウェアの正確性^[1]と頑健性^[2]を高めるためのソフトウェア設計の方法論である。形式的検証とホーア論理を基礎にしている。

DbCは、形式的な検証用インターフェース仕様を、各モジュールに配備することをアプローチする。その仕様が契約と称されており、ホーア論理由来の事前条件と事後条件、ダイクストラの構造化理論由来の不変条件で構成されている。モジュールは抽象データ型準拠で、クラスとして実装されることが多い。モジュールはクライアントとサプライヤの両面を持ち、クライアントはサプライヤのルーチン呼出し時にその契約を照会する。

契約による設計は、バートランド・メイヤーによって提案された^[3][4][5]。防御的プログラミングや開放/閉鎖の原則とも関連している。

DbCでの各モジュールに備えられる契約は、端的に言うとアサートの集合体である。ただし一般的なアサートのように、ただアヴォート中断するためのものではない。事前条件のアサート違反では、中止用デフォルト処理に繋げられてそこで例外スローされることもあり、事後条件のアサート違反では、その前後で例外スローされて例外解決処理に繋げられることもある。反対にアサート順守は、サプライヤを事前条件までの関心から分離し、クライアントを事後条件までの関心から分離する。不変条件のアサートは、各オブジェクトの適正状態維持を情報隠蔽して他から分離する。これらが契約の効用になる。

クライアント・オブジェクトが、サプライヤ・オブジェクトのルーチンを呼び出した時に、そのサプライヤ・モジュール上の契約が発生する。

（モジュール＝クラス、オブジェクト＝インスタンス、ルーチン＝メソッド、属性＝フィールド）

事前条件^[6][7]

ルーチン開始時に保証されるコンディション。ルーチン別に定義される。専らrequire構文でアサーションが列挙される。

1. ルーチンに渡すパラメータ値の保証範囲
2. ルーチンに関連するサプライヤ・オブジェクトの各属性値の保証範囲

事前条件満了はクライアントの義務になる。クライアントがサプライヤの属性をチェックする。クライアントには有効なパラメータ値を渡せないランタイム状況もある。事前条件を満たせなかったら、中止用デフォルト処理になる。

事後条件^[6][7]

ルーチン正常終了時に保証されるコンディション。ルーチン別に定義される。専らensure構文でアサーションが列挙される。

1. ルーチンに渡されたパラメータ値に関連するサプライヤ・オブジェクトの各属性値の保証範囲
2. ルーチンのリターン値の保証範囲

事後条件満了はサプライヤの義務になる。クライアントはあるならばリターン値を渡される。ルーチン内の例外発生をサプライヤが解決出来なかったら例外スローされて正常終了されず、事後条件も満たされない。その例外解決はクライアントに委ねられる。

不変条件^[6][7]

全公開ルーチンの開始時と正常終了時に共通して保証されるオブジェクトの状態。モジュール別に定義される。creation用ルーチン（コンストラクタ）開始時はスルーされる。専らinvariant構文でアサーションが列挙される。

1. モジュール・オブジェクトの各属性値の保証範囲。

事前条件 AND 不変条件が真の後に、事後条件 AND 不変条件も真ならば、そのルーチンの契約は全うされたことになる。

義務と利益^[6][7]

• クライアントの義務：ルーチン開始への事前条件を満たすこと
• サプライヤの利益　：事前条件が満たされなかったらルーチン開始中止のデフォルト処理で済ませてよいこと
• サプライヤの義務　：ルーチン正常終了時の事後条件を満たすこと
• クライアントの利益：ルーチン正常終了時の事後条件が満たされてリターン値を得ること

契約の継承^[6][7]

親モジュールを継承した子モジュールの契約には、親に対しての以下の制約がある。

1. 事前条件は、子モジュールで弱めることはできるが、強めることはできない。
2. 事後条件は、子モジュール強めることはできるが、弱めることはできない。
3. 不変条件は、子モジュールでもそのまま引き継いで維持する。
4. 親モジュールの例外を継承している例外を除いては、子モジュールで独自の例外を投げてはならない。

事前条件の弱めるは、パラメータ型の汎化や属性値の有効範囲を広くするなど様々である。事後条件の強めるは、リターン型の特化や属性値の有効範囲を狭くするなど様々である。

「契約による設計」（DbC）における中心的な概念は、クライアントとサプライヤ^[8]の契約 (contract) である。DbC における契約とは、クラス^[9]のインスタンス^[10]とそのメソッド^[11] の利用に関する条件を形式的に表明したものであり、クラス不変条件とメソッドの事前条件および事後条件で構成される。これらの表明が一般的な表明と異なる点は、クライアントに対して公開されていることで、クライアントとサプライヤの両者に表明を遵守する義務が生じることである。

表明を予め記述しておくことで、実装者はその表明に従ってプログラムを記述することができる。一般に表明は静的な記述であり、必ずしもプログラム動作時に意味を持つものではないが、DbC をサポートするプログラミング言語では、プログラム実行時に表明を違反していないか監視することができる^[12]。実行時の表明違反の監視に関連して、例外機構を利用することにより、実行時の表明違反を例外としてクライアントに処理させることができる。

クラス A が、クラス B に関するエンティティ（ローカル変数の定義やメソッド呼び出し）の記述を含む場合、B は A に対するサプライヤ、A は B に対するクライアントとなる。クライアントとサプライヤは同一クラスであってもよく、例えば this を介したメソッド呼び出しが相当する。

事前条件 (precondition) は、メソッド開始時に保証されるべき条件の表明である^[13]。事前条件はメソッドごとに定義され、以下に関する制約を与える：

1. メソッドの引数
2. メソッド開始時のサプライヤクラスのインスタンスの状態

メソッド引数に関する事前条件の例として、配列の要素を添字から参照する際、クライアントは指定した添字が配列の範囲に含まれることを保証する必要がある。

インスタンスの状態に関する事前条件の例として、スタックから要素を取り出す（pop）操作に関して、クライアントは対象のスタックが空でないことを保証する必要がある（スタックが空の場合に何らかの値を返すことを認めない場合）。

事前条件をクライアントとサプライヤの間の契約と見なせば、事前条件を満たすことはクライアントの義務に相当し、事前条件が満たされている前提でメソッド本体を設計できることはサプライヤが受ける利益に相当する^[14]。またクライアントに事前条件を提示することは、クライアントとサプライヤの間で責任の所在がどちらにあるのかを明らかにすることつながる^[15]。事前条件に対する検査をクライアントが行うよう責任分担することで、サプライヤ側で冗長な検査を行うことや、逆に全く検査が行われないことを避けることができる^[16]。

事前条件は表明の一種であり、コンパイル時やプログラム実行時に検査することが可能である（詳細な仕様はプログラミング言語ごとに異なる）。

事後条件 (postcondition) は、メソッド正常終了時に保証されるべき条件の表明である。これはメソッド単位で表明される。正常終了とは、例外スロー終了やエラー発生終了ではないことを指す。具体的には以下になる。

1. メソッド開始時のサプライヤクラスのインスタンスの状態
2. メソッド正常終了時のサプライヤクラスのインスタンスの状態
3. クライアントに渡す返り値

事後条件を満たすことはサプライヤの義務になり、もし満たされた場合は事前に決められた状態遷移が果たされて、これはクライアントの利益になる。クライアントは事後条件への作業から解放される。

クラス不変条件^[17] (class invariant) は、クラスが持つ公開^[18]された各メソッドの開始時と正常終了時に共通して保証されるべき状態についての条件である^[19]。ただしコンストラクタ^[20]の呼び出しに関しては、事後条件としてのみ適用され事前条件として保証する必要はない^[19]。（引数や返り値などを制約するメソッド個別の事前/事後条件と異なり）不変条件はインスタンスの状態にのみに対する表明である^[21]。インスタンスの「状態」はそのインスタンスのすべてフィールドの値によって決まるため、より具体的には、不変条件はフィールドの値に関する表明となる^[21]。

不変条件は公開メソッドの事前条件および事後条件として暗黙的に追加される^[21]。 不変条件を持つクラスに関して、そのクラスの公開メソッドの呼び出しの際、クライアントはメソッドの事前条件とサプライヤ・クラスの不変条件の両方を満たす義務がある。 またサプライヤは、事前条件（と不変条件）を満たしたメソッド呼び出しに対して、メソッド終了時にそのメソッドの事後条件と不変条件の両方を満たす義務がある。

「契約による設計」（DbC）において、クライアントとサプライヤに課されるメソッド呼び出しの事前条件および事後条件は、クライアントとサプライヤとの間の契約に喩えられる^[22]。一般の契約と同様に DbC における契約は、クライアントとサプライヤの遵守すべき義務 (obligation) と義務を遵守することで得られる利益 (benefit) を記述したものと捉えられる^[22]。

クライアントの義務と利益は^[22]：

• クライアントの義務：メソッド呼び出し時に事前条件を満たすこと
• クライアントの利益：メソッド終了時に事後条件を満たした状態が得られること

一方、サプライヤの義務と利益は^[22]：

• サプライヤの義務：メソッド終了時に事後条件を満たすこと
• サプライヤの利益：事前条件を満たした状態でメソッドが呼び出されること

である。 サプライヤは事前条件を満たすことをクライアントに課すことで、メソッド本体に冗長な検査を記述することを避けられる^[16]。

契約は、各メソッドの実行（例外可能性）、実行中止（例外未発生）、正常終了（例外可能性）、異常終了（例外スロー）などを特定して、バグ責任の所在を明らかにする。そこでは例外（exception）のハンドリングが重視されている。

正常終了には、途中の例外発生とその解決継続も含まれていることに注意する。無効なパラメータ値やフィールド値の不適正によるメソッドの実行中止は、同時に例外も未発生と解釈されることに注意する。

やや分かり難いサプライヤの利益の「メソッド未実行＝その時その範囲での例外未発生」は有効な責任特定材料になる。例外が解決できなかったら異常終了になる。異常終了は最も容易な責任特定材料になる。正常終了には例外発生の解決継続も含まれるのでやや複雑になる。例えば契約の入れ子で、内側契約の例外が外側契約で解決されていた場合などは見落とされがちなので要注意になる。

契約による設計では、開放閉鎖の原則に沿ったクラスの継承がフォローされている。これはスーパークラスの契約を維持しながら、そのサブクラスによる柔軟なパフォーマンスをもたらす。スーパークラスの契約に対するそのサブクラスの適用は、動的バインディングと同義になる。

スーパークラスの契約に対するサブクラスの契約の修正許容範囲は、以下のように定められており、この法則はbehavioral subtypingとも言われる。それに従って派生された契約下のサブクラス・インスタンスは、スーパークラスの契約下でも型安全に用いることが出来る。

1. 事前条件は、サブクラスで弱める（weaken）ことはできるが、強めることはできない。
2. 事後条件は、サブクラスで強める（strengthen）ことはできるが、弱めることはできない。
3. 不変条件は、サブクラスでもそのまま引き継いで維持する。
4. スーパークラスの例外から派生した例外を除いては、サブクラスで独自の例外を投げてはならない。

事前条件の弱めるは様々な意味を持つが、例としてはパラメータ型の汎化や、フィールド値の有効範囲を広くすることである。事後条件の強めるも様々な意味を持つが、例としてはリターン型の特化や、フィールド値の有効範囲を狭くすることである。

• Eiffel
• Ada
• D言語
• Spec#（C#のDbC拡張版）
• Kotlin
• Clojure

1. ^ Meyer 1990, p. 4 において、ソフトウェアの正確さはソフトウェア製品が要求および仕様によって定義されたとおりに確実に仕事を行う能力と定義されている。
2. ^ Meyer 1990, p. 5 において、ソフトウェアの頑健さは異常な状態においても機能するソフトウェアシステムの能力と定義されている。ここで「異常な状態」とは仕様によって示されていない状態を指す。
3. ^ Meyer, Bertrand: Design by Contract, Technical Report TR-EI-12/CO, Interactive Software Engineering Inc., 1986
4. ^ Meyer, Bertrand: Design by Contract, in Advances in Object-Oriented Software Engineering, eds. D. Mandrioli and B. Meyer, Prentice Hall, 1991, pp. 1–50
5. ^ Meyer, Bertrand: Applying "Design by Contract", in Computer (IEEE), 25, 10, October 1992, pp. 40–51, also available online
6. ^ ^{a b c d e} “ET: Design by Contract (tm), Assertions and Exceptions”. www.eiffel.org (2021年1月21日). 2021年1月閲覧。
7. ^ ^{a b c d e} “Object-Oriented Software Construction”. 2021年1月閲覧。
8. ^ クライアント（顧客）とサプライヤ（供給者）の用法については例えば Meyer 1990, pp. 30, 101 を参照。邦訳では顧客/供給者が用いられているが本項ではクライアント/サプライヤを用いる。
9. ^ DbC の文脈における「クラス」の定義は例えば Meyer 1990, p. 85 を参照。この定義ではクラスは静的な型として表現され、それ自体はオブジェクトと見なされない。また同書ではしばしばクラスを「モジュール」と表現する。Smalltalk の流れを汲むクラスの扱いに関しては例えば Meyer 1990, p. 138 を参照。
10. ^ Meyer 1990 では基本的に「オブジェクト」の語を用い、あらわにインスタンスとは呼んでいない。クラスを型と見なす場合、クラスのインスタンス以外にオブジェクトは存在しないため (Meyer 1990, pp. 85, 139) 混用しても問題はないが、一般的な文脈を優先して本項ではインスタンスの語を用いる。
11. ^ Meyer 1990 では「メソッド」の代わりに「ルーチン」を用いているが、本項ではより一般的な前者を用いる。「メソッド」は Smalltalk 由来の同義語として Meyer 1990, p. 589 に示されている。
12. ^ Meyer 1990, pp. 196–199.
13. ^ Meyer 1990, pp. 155, 157, 218.
14. ^ Meyer 1990, pp. 159–160.
15. ^ Meyer 1990, pp. 163–164.
16. ^ ^{a b} Meyer 1990, p. 161.
17. ^ Meyer 1990, p. 168 では「（クラス）不変表明」と呼んでいる。
18. ^ Meyer 1990, pp. 113, 170, 273–274 では「エクスポート」と表現している。
19. ^ ^{a b} Meyer 1990, p. 170.
20. ^ Meyer 1990, pp. 103, 170 では「Create プロシージャ」と表現している。プロシージャの定義は Meyer, pp. 109–110 を参照。
21. ^ ^{a b c} Meyer 1990, p. 171.
22. ^ ^{a b c d} Meyer 1990, p. 159.

• Meyer, Bertrand『オブジェクト指向入門』酒匂, 寛（訳）; 酒匂, 順子（訳）; 二木, 厚吉（監訳）、アスキー出版局、1990年11月21日（原著1988年）。ISBN 4-7561-0050-3。