Université Paris Diderot - Paris 7

LicenceSciences et Applications
Mention Informatique

Outils Logiques
Ralf Treinen
Version 6.0 du 25 septembre 2012
Adresse de l'auteur :

Ralf Treinen
Laboratoire Preuves, Programmes et Systèmes (PPS)
Université Paris Diderot - Paris 7
Case 7014
75205 PARIS Cedex 13
France
Email : treinen@[Link]
WWW : [Link]

Copyright c Ralf Treinen 20072012.

Cet ÷uvre est protégé sous une licence creative commons Paternité - Pas d'Utilisation Com-
merciale - Pas de Modication 2.0 France. Vous êtes libres :
 de reproduire, distribuer et communiquer cette création au public
Selon les conditions suivantes :
 Paternité : Vous devez citer le nom de l'auteur original de la manière indiquée par l'auteur
de l'÷uvre ou le titulaire des droits qui vous confère cette autorisation (mais pas d'une
manière qui suggérerait qu'ils vous soutiennent ou approuvent votre utilisation de l'oeuvre).
 Pas d'Utilisation Commerciale : Vous n'avez pas le droit d'utiliser cette création à des ns
commerciales.
 Pas de Modication. Vous n'avez pas le droit de modier, de transformer ou d'adapter cette
création.
À chaque réutilisation ou distribution de cette création, vous devez faire apparaître clairement
au public les conditions contractuelles de sa mise à disposition. Chacune de ces conditions peut
être levée si vous obtenez l'autorisation du titulaire des droits sur cette ÷uvre. Rien dans ce
contrat ne diminue ou ne restreint le droit moral de l'auteur ou des auteurs.
Le text intégral de la licence est disponible à l'adresse [Link]
by-nc-nd/2.0/fr/legalcode.
Table des matières

1 Introduction 7

I Logique Propositionnelle 13
2 Dénition de la logique propositionnelle 15
2.1 Syntaxe des formules propositionnelles . . . . . . . . . . . . . . . . . . . . . . . 15
2.2 Preuves par induction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.3 Dénition de fonctions par récurrence . . . . . . . . . . . . . . . . . . . . . . . 18
2.4 Sémantique de la logique propositionnelle . . . . . . . . . . . . . . . . . . . . . 21
2.5 Raccourcis syntaxiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.6 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3 Lois de la logique propositionnelle 27

3.1 Conséquences logiques et équivalences . . . . . . . . . . . . . . . . . . . . . . . 27
3.2 Propriétés des opérateurs logiques . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.3 Obtenir des tautologies et des équivalences par instanciation . . . . . . . . . . . 29
3.4 Obtenir des équivalences par mise sous contexte . . . . . . . . . . . . . . . . . . 32
3.5 Autres opérateurs booléens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.6 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

4 Formes normales dans la logique propositionnelle 37

4.1 La notion d'une forme normale . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.2 Forme normale de négation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3 Forme disjonctive normale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.4 Équivalences entre formules en forme disjonctive normale . . . . . . . . . . . . . 44
4.5 Forme conjonctive normale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.6 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

5 Satisfaisabilité de formes conjonctives normales 49

5.1 Vers un algorithme ecace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.2 L'algorithme DPLL complet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.3 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4 TABLE DES MATIÈRES

6 Modélisation en logique propositionnelle 59

6.1 Exemple : Colorer une carte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.2 Exemple : Des mariages heureux . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6.3 Extension : contraintes de comptage . . . . . . . . . . . . . . . . . . . . . . . . 64
6.4 Le format DIMACS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.5 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

II Logique pour la programmation 69

7 Les expressions 71
7.1 Syntaxe des expressions arithmétiques et booléennes . . . . . . . . . . . . . . . 71
7.2 Sémantique des expressions arithmétiques et booléennes . . . . . . . . . . . . . 72
7.3 Validité d'expressions booléennes . . . . . . . . . . . . . . . . . . . . . . . . . . 74
7.4 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

8 Les programmes 77
8.1 Syntaxe des programmes IMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
8.2 Sémantique des programmes IMP . . . . . . . . . . . . . . . . . . . . . . . . . . 78
8.3 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

9 Les formules de Hoare 83

9.1 Syntaxe et sémantique des formules de Hoare . . . . . . . . . . . . . . . . . . . 83
9.2 Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
9.3 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

10 Un calcul pour les formules de Hoare 91

10.1 Le calcul de Hoare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
10.2 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

11 Preuves de correction partielle 97

11.1 Les preuves dans le calcul de Hoare . . . . . . . . . . . . . . . . . . . . . . . . . 97
11.2 Vers une automatisation des preuves ? . . . . . . . . . . . . . . . . . . . . . . . 98
11.3 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

12 Problèmes non décidables 107

12.1 Le paradoxe du barbier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
12.2 Le problème d'arrêt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
12.3 Références et remarques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
TABLE DES MATIÈRES 5

A Diérences importantes aux années précédentes 111

A.1 De l'année 07/08 à l'année 08/09 . . . . . . . . . . . . . . . . . . . . . . . . . . 111
A.2 De l'année 08/09 à l'année 09/10 . . . . . . . . . . . . . . . . . . . . . . . . . . 111
A.3 De l'année 09/10 à l'année 10/11 . . . . . . . . . . . . . . . . . . . . . . . . . . 112
A.4 De l'année 10/11 à l'année 11/12 . . . . . . . . . . . . . . . . . . . . . . . . . . 112
A.5 De l'année 11/12 à l'année 12/13 . . . . . . . . . . . . . . . . . . . . . . . . . . 112
6 TABLE DES MATIÈRES
Chapitre 1

Introduction
La logique peut être dénie comme l'étude des règles formelles que doit respecter toute déduc-
tion correcte [?]. La logique était à l'origine (c'est-à-dire, dans l'antiquité) une sous-discipline
de la philosophie. La logique a continué à intéresser les philosophes, mais elle a aussi trouvé
des utilisations dans des autres domaines scientiques : Dans le 19-ème et le 20-ème siècle
elle était utilisée comme base pour une nouvelle fondation de la Mathématique, et depuis le
20-ème siècle comme fondation de l'informatique. Aujourd'hui on peut dire que l'inuence de
la logique dans les mathématiques est très limitée, tandis que la logique s'est avérée comme
absolument indispensable pour l'informatique [?]. Dans ce chapitre introductif nous essayons
d'expliquer cette importance de la logique pour l'informatique. Certaines des notions logiques
et des domaines d'application dans l'informatique mentionnés dans ce chapitre seront abordés
dans ce cours d'outils logiques, d'autres seront présentés dans des cours qui interviendront plus
tard dans un cursus d'informatique.
Avant de parler des applications il faut se faire une idée de ce qu'est la logique. La Logique en
soit est un domaine scientique, mais il y a plusieurs systèmes logiques qui sont étudiés par les
logiciens (en fait on parle souvent simplement d'une logique au lieu de dire système logique ).
Dans une première approche on peut dire qu'un système logique consiste en les éléments
suivants :
Syntaxe il s'agit d'une dénition formelle (c'est-à-dire, mathématique) de l'ensemble des
énoncés qui sont considérés dans ce système logique. Ces énoncés sont normalement
exprimés dans un langage symbolique (donc, en particulier pas en langue naturelle),
et on appelle aussi un énoncé une formule. Voici deux exemples de telles formules, ces
exemples sont pris des systèmes logiques que nous allons étudier dans ce cours :
(x ∧ (y ∧ ¬z))
est une formule du premier système logique que nous allons étudier, la logique proposi-
tionnelle. Les formules de cette logique sont composées de variables propositionnelles, ici
x, y et z , et d'opérateurs logiques, ici ∧ et ¬. Nous reviendrons plus tard à ce que cette
formule veut dire, mais pour le moment nous pouvons déjà dire qu'une telle formule
ressemble beaucoup à un circuit. La logique propositionnelle est le sujet de la première
partie du cours.
Un deuxième exemple d'une formule est
¬x = 0 ∧ x ∗ y = 0
8 CHAPITRE 1. INTRODUCTION

Il s'agit ici d'une formule du système de la logique du premier ordre. Dans cette logique
il y a des variables qui dénotent des valeurs entières (comme x, y ), des opérations arith-
métiques comme la multiplication ∗, et aussi des opérateurs logiques comme ∧. Cette
logique est en fait bien adaptée pour raisonner sur le comportement d'un programme
et pour exprimer par exemples des invariants de boucles. Cela sera le sujet de la deux-
ième moitié du cours ; en fait nous n'allons pas étudier la logique du premier ordre dans
toute sa généralité mais seulement la partie de cette logique que nous allons utiliser pour
raisonner sur des programmes.
Il est important que la syntaxe soit rigoureusement dénie. Nous allons dans ce cours
dénir les formules à l'aide de dénitions inductives (cette notation sera expliquée à
l'aide d'exemples). Par  dénition rigoureuse  nous entendons en particulier le fait
que la dénition doit permettre de décider, sans aucun doute, si un texte donné présente
une formule et pas.
Sémantique La sémantique dénit quand une formule est vraie et quand une formule est
fausse. Elle est donnée, au moins pour les systèmes logiques qui nous intéressent ici, par
une dénition rigoureuse qui fait bien sûr référence à la dénition formelle de la syntaxe.
Très souvent, la véracité d'une formule dépend d'un contexte. La nature de ce contexte
varie d'un systèmes logique à un autre. Reprenons les deux exemples de la logique
propositionnelle et de la logique du premier ordre.
Dans la logique propositionnelle, le contexte spécie la véracité des variables proposi-
tionnelles. Ainsi, la véracité de la formule (x ∧ (y ∧ ¬z)) dépend des valeurs des variables
propositionnelles x, y , et z . La dénition de la sémantique de la logique propositionnelle
(que nous allons dénir dans le chapitre suivant) dit que cette formule est vraie dans
tout contexte dans lequel x et y sont vraies et z est fausse, et que la formule est fausse
dans tous les autres contextes.
Dans la logique du premier ordre, le contexte spécie les valeurs (qui sont des valeurs
entières) des variables. La sémantique de la logique du premier ordre (que nous allons
dénir précisément plus tard) dira que la formule ¬x = 0∧x∗y = 0 est vraie exactement
dans les contextes dans lesquelles la valeur de x est diérente de 0, est dans lesquelles
l'expression x ∗ y s'évalue à 0. On voit facilement que cela implique que y vaut 0. On dira
aussi que la formule y = 0 est une conséquence de la formule ¬x = 0 ∧ x ∗ y = 0 c'est-
à-dire que la formule y = 0 est vraie (au moins) dans tous les contextes dans lesquelles
¬x = 0 ∧ x ∗ y = 0 est vraie. La notation de conséquence est fondamentale en logique,
elle existe dans tous les systèmes logiques (pas seulement celui du premier ordre), et
nous en parlerons souvent dans ce cours.
Une autre notion importante est la validité d'un formule. Tandis que la véracité d'une
formule dépend en général du contexte, nous dirons qu'une formule est valide si elle vraie
dans tous les contextes possibles. Les deux formules données au-dessus, par exemple, ne
sont pas valides car il y a pour les deux des contextes qui les rendent vraies, mais aussi
des contextes qui les rendent fausses. Par contre, la formule
¬x = 0 ∨ x ∗ y = 0
où le symbole ∨ dénote  ou , est vraie comme tous les contextes comme on peut
facilement voir en considérant les deux cas x = 0 et x 6= 0, elle donc valide.
Inférence Il s'agit des règles formelles de raisonnement. Les règles d'inférence disent comment
conclure la véracité d'un énoncé si on suppose que certaines hypothèses sont vraies. Plus
 9

généralement, il s'agit de la question comment déterminer (ou faire calculer par un

programme) si une formule est vraie ou pas, ou encore si elle valide ou pas. En ce qui
concerne la logique propositionnelle nous n'allons pas présenter des règles d'inférence
mais donner directement un algorithme qui permet de dire si une formule est valide
ou pas. Par contre, un système d'inférence célèbre sera au c÷ur de la deuxième partie
du cours, ce système permettra d'obtenir des énoncés de propriétés de programmes
composés à partir d'énoncés qui portent sur des morceaux de programmes plus simples.

Cette présentation des éléments d'un système logique est volontairement simpliste, mais elle
sut pour donner une première idée des systèmes logiques que vous allez rencontrer pendant
vos études. Les spécialistes de la logique peuvent nous reprocher qu'il existe des systèmes
logiques qui ne répondent pas à cette caractérisation. En particulier, il existe des systèmes
logiques pour lesquels la sémantique n'a pas de dénition indépendante d'un système d'in-
férence, mais pour lesquels les règles d'inférence elles-mêmes dénissent la sémantique. Notre
point de vue est celui de la logique classique qui admet une notion de véracité qui vient avant
la notion de déduction ; en opposition au point de vue de la logique intuitionniste qui met la
notion de preuve à la base d'une sémantique.
Revenons à la question : quelle est l'importance de tout ça pour l'informatique ? Voici quelques
applications des systèmes logiques :

Expressions Booléennes Ces expressions existent dans tous les langages de programma-
tion. L'écriture de ces expressions suit bien sur les règles syntaxiques propres au langage de
programmation. Par exemple

Formule logique Expression en Java

(x ∧ (y ∧ ¬z)) x && (y && (!z))
¬x = 0 ∧ x ∗ y = 0 ! (x==0) && x*y==0

Ces expressions Booléennes sont par exemple utilisées comme gardes dans des instructions
conditionnelles ou des boucles.
Questions qui nous intéressent dans ce contexte :
 Est-ce qu'on peut remplacer une formule par une formule équivalente qui est moins coûteuse
à évaluer ? Cela permettra à un compilateur de simplier la formule avant d'engendrer le
code, et ainsi d'optimiser le temps de calcul.
 Est-ce qu'une formule donnée est toujours vraie ou toujours fausse ? Cela permettra à un
compilateur d'omettre un test inutile, et ainsi d'optimiser le temps de calcul et aussi la
taille du programme. Un compilateur pourrait aussi utiliser un tel test pour détecter des
erreurs de programmation probables : une conditionnelle avec une expression de garde qui
est toujours vraie ou toujours fausse est souvent signe d'une erreur de programmation.

Circuits Les circuits sont une réalisation matérielle des formules de la logique proposition-
nelle, dans le sens que les variables propositionnelles correspondent aux entrées d'un circuit, les
opérateurs logiques correspondent aux portes logiques, et la véracité de la formule correspond
à la sortie du circuit. Ainsi, la formule (x ∧ (y ∧ ¬z)) correspond au circuit suivant :
10 CHAPITRE 1. INTRODUCTION

Les questions qui nous intéressent dans ce contexte sont :

 Construire un circuit (c'est-à-dire, une formule logique) qui réalise une fonction donnée (par
exemple un additionneur).
 Déterminer la fonctionnalité d'un circuit donné.
 Est-ce que deux circuits donnés sont équivalents ?
 Minimiser un circuit : étant donné un circuit, construire le plus petit circuit avec la même
fonctionnalité.

Vérication et développement de programmes C'est l'application à laquelle nous nous

intéresserons dans la deuxième partie du cours. Prenons comme exemple le morceau de pro-
gramme suivant :

z := 0;
i := 0;
while i 6= y do
z := z + x;
i := i + 1;
done

Nous prétendons qu'à la n de l'exécution de ce morceau de programme, la valeur de la

variable z est y ∗ x. Comment peut-on se convaincre que c'est eectivement le cas ? Ici, la
logique vient à la rescousse car elle nous permet d'exprimer des énoncés (en tant que formules
logiques) qui sont vrais quand le programme passe par un certain point de contrôle. On appelle
de telles formules des assertions, et quand il s'agit d'une assertion à un point de contrôle par
lequel l'exécution du programme risque de passer plusieurs fois (par exemple à l'intérieur d'une
boucle) un invariant. Dans un premier temps on peut simplement écrire des telles assertions
comme un commentaire dans le programme (ici nous notons un commentaire entre accolades) :

z := 0;
i := 0;
while i 6= y do
{ z = i * x }
z := z + x;
i := i + 1;
done

Dans cet exemple, l'invariant est z = i ∗ x, et nous prétendons qu'il est vrai chaque fois que le
programme passe par le début du corps de la boucle. Nous le montrons par une induction sur
le nombre n d'itérations de la boucle :
 11

 À la première exécution du corps de la boucle, donc quand n = 1, on a que z vaut 0 et i

vaut 0, l'équation z = i ∗ x est donc vraie.
 S'il ne s'agit pas de la première exécution de la boucle, donc quand n > 1, alors on peut
supposer (par l'hypothèse d'induction) que c'était vrai lors du passage précédent. On note
z 0 , i0 , et x0 les valeurs respectives des variables z , i et x au début de l'exécution précédente
du corps de la boucle. On a donc, par hypothèse d'induction, que

z 0 = i0 ∗ x0

Une analyse de la mise à jour des variables nous donne que

z = z 0 + x0
x = x0
i = i0 + 1

En d'autres mots, pendant cette exécution du corps de la boucle on incrément z par x (=x0 )
et i par 1, donc on a augmenté chacun des deux côtés de l'équation par la même valeur x.
L'équation z = i ∗ x en suit par un calcul facile.
Finalement, quand on sort de la boucle la condition de garde de la boucle est forcement fausse,
c'est-à-dire on a que i = y . L'énoncé en suit car z = y ∗ x est une conséquence de z = i ∗ x et
i = y.
Les assertions dans les programmes sont extrêmement utiles car elles permettent de com-
prendre, ou d'expliquer à un tiers le fonctionnement d'un programme ; elles ouvrent la voie
à la vérication automatique des programmes, et ils apportent même une méthode pour le
développement de programmes. Quelques questions pertinentes dans ce contexte sont :
 Comment trouver les bonnes assertions pour un programme donné ?
 Étant donné un programme annoté avec des assertions, comment vérier que les assertions
sont vraies ?

Bases de données C'est la première application qui ne sera pas discutée dans le cadre de
ce cours mais que vous allez rencontrer plus tard pendant vos études. Les bases de données
modernes (par exemple les systèmes MySQL et Postgres qui sont aujourd'hui omniprésents
dans les applications Web) utilisent un langage de requêtes appelé SQL. Dans ce langage, les
requêtes sont spéciées dans une variante notationnelle de la logique du premier ordre, Par
exemple, la requête

SELECT nom FROM persons WHERE age > 18 AND ( children > 0 OR married = yes)

revient à évaluer la formule logique age > 0 ∧ (children > 0 ∨ married = yes) sur tous les
éléments de la table avec le nom persons. Les questions qui nous intéressent dans ce contexte
sont :
 Comment évaluer ecacement une requête (formule logique) ?
 Comment transformer une requête pour rendre son évaluation plus ecace ? Cela est une
question importante pour des bases de données de très grande taille.
12 CHAPITRE 1. INTRODUCTION

Programmation logique La programmation logique, et plus généralement la program-

mation logique par contraintes, est un paradigme de programmation fondamentalement dif-
férent de la programmation impérative (comme par exemple la programmation en Java).
Contrairement à la programmation impérative dans laquelle le programme modie les valeurs
des variables, un programme logique cherche à trouver des valeurs de variables qui résolvent
un problème exprimé dans une certaine logique, et cela en appliquant des règles de déduc-
tion qui constituent le programme. La programmation logique se prête naturellement à la
solution des problèmes combinatoire, comme par exemple des problèmes de planication ou
d'ordonnancement, ou encore à résoudre un puzzle du genre de Sudoku.

Démonstration Automatique Il s'agit ici de la preuve de théorèmes par ordinateur, soit

de façon complètement automatique, soit dans un système interactif (aussi appelé un assistant
de preuve ) qui assure que la preuve composée par un utilisateur est correcte. Citons ici comme
exemple la preuve du théorème des quatre couleurs qui a été formalisée complètement dans
l'assistant de preuves Coq par une équipe d'INRIA [?].

Intelligence Articielle Une direction de l'intelligence articielle consiste à modéliser le

processus de raisonnement humain par des déductions logiques. Cela nécessite de logiques
très puissantes qui peuvent par exemple modéliser des propriétés temporelles (c'est à dire, qui
peuvent modéliser des changement dans le temps), des probabilités, ou des énoncés épistemique
qui modélisent les connaissances des énoncés.

Autres applications Il y a un nombre de sous-domaines de l'informatique théorique dans

lesquels la logique s'est montré fructueuse, comme par exemple la théorie des types, ou encore
la complexité descriptive.

Le cours va clore sur une question fondamentale de l'Informatique : Est-ce qu'il existe pour
tous les problèmes mathématiques (c'est à dire des problèmes bien posés, pas du genre de
la Grande Question sur la Vie, l'Univers et le Reste [?]), un programme qui peut répondre
correctement à une question posée ? Un exemple d'un tel problème est celui de la validité
d'une formule : étant donnée une formule (propositionnelle ou de la logique du premier ordre),
est-elle valide ? Nous allons montrer qu'il y a des problèmes mathématiques pour lesquels un
tel programme ne peut pas exister par principe, et nous allons exhiber un exemple concret
d'un tel problème.
 Première partie

Logique Propositionnelle
Chapitre 2

Dénition de la logique
propositionnelle

2.1 Syntaxe des formules propositionnelles

Les formules de la logique propositionnelle sont composées à partir des variables proposition-
nelles à l'aide des opérateurs propositionnells.
Intuitivement, pour construire une formule propositionnelle on procède comme suit : au départ
on dispose d'un ensemble de variables propositionnelles. Une variable propositionnelle est
déjà une formule propositionnelle, mais on a aussi le droit de construire des formules plus
compliquées par les constructions suivantes :
 ¬p, où p est une formule
 (p ∧ q), où p et q sont des formules
 (p ∨ q), où p et q sont des formules
Seulement les expressions formées ainsi sont des formules.
Par exemple, x1 , x2 et x3 sont des variables propositionnelles, et donc aussi des formules. Par
conséquent, ¬x1 est une formule et (x2 ∧ x3 ) est une formule, donc on obtient nalement que
(¬x1 ∨ (x2 ∧ x3 )) est une formule. Par contre, (x1 ∧ x2 ) ∨ ¬ n'est pas une formule.
Une telle description informelle des formules n'est pas susante. Il nous faut plus de rigueur
dans la dénition car nous aurions plus tard à dénir des fonctions sur l'ensemble des formules,
et nous allons faire des preuves de propriétés des formules. D'abord nous xons un ensemble
de variables propositionnelles :

V := {x, x1 , x2 , x3 , . . . , y, y1 , y2 , . . . , z, z1 , z2 , z3 , . . .}

Nous admettons également les décorations habituelles des variables propositionnelles comme
par exemple x0 , y 00 .
Faisons un premier essai d'une dénition des formules propositionnelles :
Tentative de dénition : L'ensemble Form des formules propositionnelles est déni comme
l'ensemble de chaînes de caractères tel que :
1. V ⊆ Form
2. Si p ∈ Form alors ¬p ∈ Form
16 CHAPITRE 2. DÉFINITION DE LA LOGIQUE PROPOSITIONNELLE

3. Si p, q ∈ Form alors (p ∧ q) ∈ Form

4. Si p, q ∈ Form alors (p ∨ q) ∈ Form
Nous appelons ces quatre conditions (1) - (4) les propriétés de clôture des formules proposi-
tionnelles .
Le problème avec cette tentative de dénition est qu'elle n'est pas une vraie dénition car il
y a plusieurs ensembles Form qui satisfont la description. L'ensemble des formules proposi-
tionnelles dans le sens de la description informelle au-dessus répond à cette description, mais
par exemple l'ensemble de toutes les chaînes de caractères y répond également. En fait il y a
beaucoup d'exemples d'ensembles qui satisfont cette description (voir le TD).
La racine du problème est que notre tentative de dénition prend en compte le cas de base (les
variables propositionnelles) et les constructions autorisées (¬, ∧, ∨), mais ne prend absolument
pas en compte la restriction qui dit qu'une chaîne qui ne peut pas être construite selon les
règles n'est pas une formule.

Dénition 1 L'ensemble Form des formules propositionnelles est le plus petit ensemble de
chaînes de caractères tel que :
1. V ⊆ Form
2. Si p ∈ Form alors ¬p ∈ Form
3. Si p, q ∈ Form alors (p ∧ q) ∈ Form
4. Si p, q ∈ Form alors (p ∨ q) ∈ Form

La diérence entre cette dénition et la tentative de dénition au-dessus est l'ajout de la

spécication  le plus petit  ensemble. Cela veut dire : quand un ensemble X satisfait les
quatre propriétés de clôture des formules propositionnelles, alors Form ⊆ X . Pour montrer
qu'il s'agit eectivement d'une dénition valide il faut montrer deux choses :
1. il existe eectivement (au moins) un tel plus petit ensemble, et
2. cet ensemble est unique.
L'unicité est facile à voir : supposons par l'absurde qu'il y avait deux tels ensembles diérents,
disons Form et Form0 . Donc, on obtient que Form ⊆ Form0 (car Form est le plus petit ensemble
avec les propriétés de clôture des formules propositionnelles), et aussi que Form0 ⊆ Form (car
Form0 est aussi le plus petit ensemble avec ces propriétés). Par conséquent, Form = Form0 , ce
qui est en contradiction avec l'assomption que Form 6= Form0 . Absurde.
Nous ne montrerons pas ici pas le premier point (l'existence d'un plus petit ensemble). Re-
marquons seulement qu'il n'est à priori pas évident que, pour une certaine propriété donnée,
un plus petit ensemble avec cette propriété existe. Si par exemple la propriété est  l'ensemble
contient au moins deux éléments  alors un tel plus petit ensemble n'existe pas. Démonstra-
tion : l'ensemble E = {0, 1} a bien cette propriété mais il n'est certainement pas le plus petit
ensemble avec cette propriété car {2, 3} aussi a deux éléments mais E 6⊆ {2, 3}. S'il y avait un
plus petit ensemble avec cette propriété il faudrait alors qu'il soit un sous-ensemble propre de
E , ce qui est une contradiction car dans ce cas cet ensemble a moins que deux éléments.
Nous dirons que la dénition 1 est une dénition inductive . Nous n'allons dans ce cours pas
dénir la notion d'une dénition inductive en général, bien que nous verrons encore d'autres
exemples de dénitions inductives plus tard dans le cours. Sachez qu'il y a un cadre théorique
2.2. PREUVES PAR INDUCTION 17

x ∨

y ¬

Figure 2.1: L'arbre syntaxique de la formule (x ∧ (y ∨ ¬z)).

pour les dénitions inductives qui assure, pour une certaine classe de propriétés, qu'un plus
petit ensemble avec cette propriété existe. Il s'agit de la théorie des clauses dénies (voir le
cours de programmation logique en M1).
La dénition de la syntaxe doit aussi permettre d'analyser la structure d'une formule : Sur
l'exemple de la formule (x ∧ (y ∨ ¬z)), l'analyse nous donne que la formule consiste en deux
parties qui sont jointes par l'opérateur ∧, la première partie est la variable x, et la deuxième
partie consiste elle-même en deux parties qui sont jointes par l'opérateur ∨ : la variable y , et
l'application de l'opérateur ¬ à la variable z .
C'est la seule façon de décomposer la formule, elle donne lieu à l'arbre syntaxique donné sur la
gure 2.1. La dénition de la syntaxe doit permettre d'écrire un programme qui lit un texte, et
qui construit la structure correspondante quand le texte représente eectivement une formule.

2.2 Preuves par induction

Un intérêt d'une dénition inductive d'un ensemble est qu'on peut démontrer des propriétés
de cet ensemble par une induction structurelle . Encore une fois nous n'allons pas étudier ce
principe de preuve dans toute sa généralité. Nous nous contenterons pour l'instant de montrer
ce principe sur l'ensemble Form des formules propositionnelles.
Nous illustrons d'abord ce principe de preuve sur un exemple simple :

Théorème 1 Toute formule propositionnelle a le même nombre de parenthèses ouvrantes que

de parenthèses fermantes.

Pour montrer ce théorème il convient d'introduire une petite notation : |w|( dénote le nombre
de parenthèses ouvrantes de w, et |w|) dénote le nombre de parenthèses fermantes de w. Avec
cette notation nous pouvons reformuler l'énoncé comme : pour tout w ∈ Form, |w|( = |w|) .
Démonstration: Soit X l'ensemble des chaînes de caractères qui ont le même nombre de
parenthèses ouvrantes que de parenthèses fermantes :

X = {w | |w|( = |w|) }

Nous montrons d'abord que cet ensemble X satisfait les propriétés de clôture des formules
propositionnelles :
18 CHAPITRE 2. DÉFINITION DE LA LOGIQUE PROPOSITIONNELLE

1. Il faut montrer que V ⊆ X :

Si w ∈ V alors |w|( = 0 et |w|) = 0, donc |w|( = |w|) .
2. Il faut montrer que si p ∈ X alors ¬p ∈ X :
Soit |p|( = |p|) . On a que
|¬p|( = |p|( = |p|) = |¬p|)
3. Il faut montrer que si p, q ∈ X alors (p ∧ q) ∈ X .
Soient |p|( = |p|) et |q|( = |q|) . On a que
|(p ∧ q)|( = 1 + |p|( + |q|( = |p|) + |q|) + 1 = |(p ∧ q)|)

4. Il faut montrer que si p, q ∈ X alors (p ∨ q) ∈ X .

Soient |p|( = |p|) et |q|( = |q|) . On a que
|(p ∨ q)|( = 1 + |p|( + |q|( = |p|) + |q|) + 1 = |(p ∨ q)|)

Donc, X est un ensemble qui satisfait les propriétés de clôture des formules propositionnelles.
Or, Form est le plus petit ensemble qui satisfait les propriétés de clôtures des formules propo-
sitionnelles selon la dénition de Form. Par conséquent, Form ⊆ X . 2
On peut maintenant dénir plus généralement ce principe de preuve pour une propriété, ici
appelée P , des formules propositionnelles :

Théorème 2 Soit P une propriété des chaînes de caractères, Si les énoncés suivants sont
vrais :
 tout élément de V a la propriété P ,
 si p satisfait P alors ¬p satisfait P ,
 si p et q satisfont P alors (p ∧ q) satisfait P ,
 si p et q satisfont P alors (p ∨ q) satisfait P ,
alors tous les éléments de Form satisfont P .

La preuve reprend simplement l'argument nal de la preuve du théorème 1 :

Démonstration: Soit X l'ensemble des chaînes de caractères avec la propriété P . L'ensemble
X satisfait les propriétés de clôture des formules propositionnelles (hypothèse du théorème),
donc Form ⊆ X car Form est le plus petit ensemble de chaînes de caractères qui satisfait ces
propriétés. Autrement dit, tout élément de Form a la propriété P . 2
Dans le cas du théorème 1, la propriété P est d'avoir le même nombre de parenthèses ouvrantes
que de parenthèses fermantes.

2.3 Dénition de fonctions par récurrence

Comme pour le principe de preuve par induction nous allons illustrer le principe d'une déni-
tion d'une fonction par récurrence seulement sur l'exemple des formules propositionnelles.
Tout le monde connaît des dénitions de fonctions par une expression close. Par exemple, la
fonction qui envoie un argument, qui est un nombre naturel, vers l'argument incrémenté par 1,
peut être dénie par
f (x) := x + 1
2.3. DÉFINITION DE FONCTIONS PAR RÉCURRENCE 19

Dans ce cas, l'expression close est x + 1. Pour évaluer la fonction f sur un argument donné,
par exemple 17, on remplace dans l'expression de la dénition de la fonction f (c.-à-d. x + 1)
la variable qui sert comme paramètre (c.-à-d. x) par sa valeur (17), et on évalue l'expression
qui en résulte :
17 + 1 = 18
On peut aussi dénir de la même façon certaines fonctions sur les formules propositionnelles.
Par exemple, la fonction qui envoie son argument, qui est une formule propositionnelle, vers
sa négation peut être dénie par
g(x) := ¬x
Il y a peu de fonctions intéressantes sur les formules propositionnelles qui peuvent être dénies
de cette façon. En particulier il nous faudrait la possibilité de prendre en compte la façon dont
une formule est construite (par ∧, par ∨, . . .), de décomposer l'argument en sous-formules, et
éventuellement de faire un calcul sur les sous-formules pour obtenir la valeur envoyée par la
fonction. Le principe de dénition d'une fonction par récurrence nous donne cette possibilité.
Ce principe peut être énoncé comme suit :

Dénition d'une fonction sur Form par récurrence On peut dénir une fonction avec
le domaine Form comme suit :
1. on donne le résultat de la fonction appliquée à un élément quelconque de V ,
2. on donne le résultat de la fonction appliquée à une formule de la forme ¬p, en supposant
le résultat de la fonction appliquée à p connu,
3. on donne le résultat de la fonction appliquée à une formule de la forme (p ∧ q), en
supposant le résultat de la fonction appliquée à p et le résultat de la fonction appliquée
à q connus.
4. on donne le résultat de la fonction appliquée à une formule de la forme (p ∨ q), en
supposant le résultat de la fonction appliquée à p et le résultat de la fonction appliquée
à q connus.
Illustrons d'abord ce principe par deux exemples. La fonction length est dénie comme suit :
1. length(x) = 1 si x ∈ V
2. length(¬p) = 1 + length(p)
3. length((p ∧ q)) = 3 + length(p) + length(q)
4. length((p ∨ q)) = 3 + length(p) + length(q)
Intuitivement, la fonction length calcule le nombre de caractères dans une formule, où on
pose que la longueur d'une variable propositionnelle est 1. Pour évaluer cette fonction sur un
argument donné on  déplie  la dénition de la fonctions selon la structure de l'argument
donné. Dans l'exemple suivant nous donnons dans chaque ligne le numéro de la clause (de la
dénition de la fonction length) que nous avons utilisée pour le dépliage :
length((x1 ∧ ¬x2 )) = 3 + length(x1 ) + length(¬x2 ) (3)
= 3 + 1 + length(¬x2 ) (1)
= 3 + 1 + 1 + length(x2 ) (2)
= 3+1+1+1 (1)
= 6
20 CHAPITRE 2. DÉFINITION DE LA LOGIQUE PROPOSITIONNELLE

Repère de notation : récurrence et induction.

 Un ensemble peut être déni par induction : on dit comment construire un nouvel élément
de l'ensemble à partir des éléments plus primitifs. Il y donc un sens  ascendant .
 Les fonctions peuvent être dénies par récurrence : on déni le résultat d'une fonction
appliquée sur un argument composé en faisant référence au résultat de la fonction sur des
arguments plus simple. Il y a donc un sens  descendant .
 Finalement, une propriété de tous les éléments d'un ensemble qui est déni par induction
est normalement démontrée par induction structurelle.

Notre deuxième exemple est la fonction V , dénie comme suit :

1. V(x) = {x} si x ∈ V
2. V(¬p) = V(p)
3. V((p ∧ q)) = V(p) ∪ V(q)
4. V((p ∨ q)) = V(p) ∪ V(q)
Intuitivement, la fonction V calcule l'ensemble des variables propositionnelles qui paraissent
dans une formule. On évalue cette fonction comme dans le premier exemple par dépliage. Sur
l'exemple suivant nous déplions des sous-expressions indépendantes en une seule étape pour
aller un peu plus vite :

V((x1 ∧ (x2 ∨ x3 ))) = V(x1 ) ∪ V((x2 ∨ x3 )) (3)

= {x1 } ∪ V(x2 ) ∪ V(x3 ) (1), (4)
= {x1 } ∪ {x2 } ∪ {x3 } (1), (1)
= {x1 , x2 , x3 }

Exercice 1 Montrer par induction structurelle que pour toute formule p ∈ Form :
card(V(p)) ≤ length(p)

où card(E) dénote la cardinalité (c.-à-d. le nombre d'éléments) d'un ensemble E .

Il y a une subtilité derrière ce principe de dénition. Une fonction doit toujours associer à
un argument donné un seul résultat unique. On doit donc assurer qu'une dénition récursive
d'une fonction garantie bien cette unicité du résultat. Le problème est que, en général, la
même formule pourrait être construite de deux façon diérentes, et que la dénition de la
fonction donne deux valeurs diérentes selon la construction considérée. Heureusement ce
risque n'existe pas pour les formules de la logique propositionnelle car toute formule peut être
construite d'une seule façon, c'est-à-dire il y a un seul arbre syntaxique pour toute formule
(il y a derrière cette assertion le théorème de lecture unique que nous n'allons pas montrer
ici). Sachez que quand on essaye de généraliser les dénitions par induction et récurrence il
faut donc assurer cette unicité de la construction, sinon on aura le souci supplémentaire de
montrer qu'une fonction dénie par récurrence est eectivement bien dénie.
2.4. SÉMANTIQUE DE LA LOGIQUE PROPOSITIONNELLE 21

2.4 Sémantique de la logique propositionnelle

Le rôle de la sémantique est de dire quand une formule est vraie et quand une formule est
fausse (c'est encore une simplication qui nous sut pour notre cours mais qui n'est pas
vraie pour certaines logiques exotiques - par exemple il existe des logiques avec plus que deux
valeurs de vérités, mais ça dépasse largement le cadre de ce cours). Dans ce cours nous avons
choisi de représenter les deux valeurs logiques possibles par 0 et par 1. On trouve dans la
littérature aussi des notations diérentes, par exemple True et False, tt et , et encore des
autres. Évidemment 1, True, tt correspondent au fait qu'un énoncé est vrai, et 0, False, 
correspondent au fait qu'un énoncé est faux.
Comme expliqué dans l'introduction, la véracité d'une formule dépend d'un contexte, et pour
la logique propositionnelle un contexte est une aectation :

Dénition 2 Une aectation est une fonction

v : V → {0, 1}

Le support d'une aectation v est déni comme

supp(v) = {x ∈ V | v(x) = 1}

Nous précisons qu'une aectation est toujours une fonction totale, c'est-à-dire une fonction qui
à chaque variable associe une valeur. Par exemple, la fonction v1 qui associe à x la valeur 1,
à y la valeur 1, et qui associe à toute autre variable la valeur 0 est une aectation, et son
support est {x, y}. Sont également des aectations la fonction qui associe à chaque variable la
valeur 0, ou la fonction qui associe à chaque variable la valeur 1, leur support est respectivement
l'ensemble vide et l'ensemble V .
Nous utilisons la notation suivante pour noter des aectations :

[x1 7→ 1, x2 7→ 1, x3 7→ 1, . . . , xn 7→ 1]

est l'aectation qui aux variables x1 , . . . , xn associe la valeur 1, et qui associe à toute autre
variable la valeur 0. Par exemple, [x 7→ 1, y 7→ 1] est l'aectation qui associe à x la valeur 1,
à y la valeur 1, et qui associe à toute autre variable la valeur 0 ; et [] est l'aectation qui
associe à toute variable la valeur 0. On peut dans cette notation aussi ajouter des valeurs 0
pour certaines variables, comme dans [x 7→ 0, y 7→ 1] mais cela n'est pas très utile car 0 est de
toute façon la  valeur de défaut .
Une aectation avec un support inni, comme par exemple la fonction qui associe à toute
variable la valeur 1, ne peut évidemment pas être représentée de cette façon. Cela ne nous
dérange pas car dans les applications on s'intéresse seulement à un nombre ni de variables.
Par ailleurs, on peut toujours faire recours à une notation mathématique si on en a besoin.

Dénition 3 L'interprétation [[p]]v d'une formule p par rapport à l'aectation v est dénie
22 CHAPITRE 2. DÉFINITION DE LA LOGIQUE PROPOSITIONNELLE

Repère de notation : évaluation et interprétation.

 En général, une application d'une fonction à des arguments est évaluée.
 Plus spéciquement, une formule propositionelle est interprétée par rapport à une aecta-
tion.
L'interprétation de p par rapport à v est obtenue par l'évaluation de [[p]]v .

par récurrence sur la structure de p :

[[x]]v = v(x)
si

0 [[p]]v =1
[[¬p]]v =
 1 si [[p]]v =0
0 si [[p]]v =0 ou [[q]]v = 0
[[(p ∧ q)]]v =
 1 si [[p]]v =1 et [[q]]v = 1
0 si [[p]]v =0 et [[q]]v = 0
[[(p ∨ q)]]v =
1 si [[p]]v =1 ou [[q]]v = 1

Par exemple, pour l'aectation v1 = [y 7→ 1] on a que [[x]]v1 = 0 (car v1 (x) = 0) et que

[[y]]v1 = 1 (car v1 (y) = 1). Par conséquence, [[(x ∧ y)]]v1 = 0 et [[(x ∨ y)]]v1 = 1.
Cette dénition laisse le libre choix de l'ordre dans lequel les deux sous-formules p et q sont in-
terprétées dans les deux dernières cas de la dénition. Le théorème suivant donne une stratégie
d'interprétation :

Théorème 3 Soient p et q des formules propositionnelles et v une aectation, alors

si [[p]]v = 0

0
[[(p ∧ q)]]v =
[[q]]v si [[p]]v = 1

si [[p]]v = 1

1
[[(p ∨ q)]]v =
[[q]]v si [[p]]v = 0

Démonstration: Nous démontrons seulement le premier des deux énoncés ; le second se

montre de façon analogue. Il y a deux cas, selon la valeur de [[p]]v :
Cas [[p]]v = 0 : Nous avons à montrer que dans ce cas [[(p ∧ q)]]v = 0. C'est une conséquence
immédiate de la dénition 3.
Cas [[p]]v = 1 : Nous avons à montrer que dans ce cas [[(p ∧ q)]]v = [[q]]v. Il y a deux cas, selon
la valeur de [[q]]v :
Cas [[q]]v = 0 : Nous avons [[(p ∧ q)]]v = 0 = [[q]]v
Cas [[q]]v = 1 : Nous avons [[(p ∧ q)]]v = 1 = [[q]]v
2
Ce théorème nous dit que pour évaluer [[(p ∧ q)]]v on évalue d'abord [[p]]v , et selon le résultat
obtenu il se peut qu'il n'est plus nécessaire d'évaluer [[q]]v , ce qui est bon à savoir quand q est
une très grande expression. Remarquez qu'on aurait pu donner une variante du théorème 3
dans laquelle on interprète d'abord q au lieu de p, ou encore des variantes avec des critères
plus sophistiqués (par exemple : on commence avec l'interprétation de la formule parmi p, q
qui est est la plus petite).
2.4. SÉMANTIQUE DE LA LOGIQUE PROPOSITIONNELLE 23

Repère de notation : notions de sémantique. Ne pas confondre les notations :

 Une formule est vraie ou fausse toujours par rapport à une aectation.
 Une formule peut être satisfaisable ou falsiable tout court. Il n'y a pas de  satisfaisable
par une aectation .
 Une formule peut être valide ou contradictoire.

Dénition 4 Soit p une formule propositionnelle.

 On écrit v |= p si [[p]]v = 1, et on dit  p est vraie par rapport à v .
 On écrit v 6|= p si [[p]]v = 0, et on dit  p est fausse par rapport à v .
 On dit que p est satisfaisable s'il existe une aectation v telle que v |= p.
 On dit que p est falsiable s'il existe une aectation v telle que v 6|= p.
 On écrit |= p si v |= p pour toute aectation v , et on dit que p est valide (ou une tautologie).
 On dit que p est contradictoire si v 6|= p pour toute aectation v .

Proposition 1 Une formule p est valide si et seulement si ¬p n'est pas satisfaisable.

Démonstration: On a la chaîne d'équivalences suivante :

p est valide
ssi v |= p pour toute aectation v
ssi [[p]]v = 1 pour toute aectation v
2
ssi [[¬p]]v = 0 pour toute aectation v
ssi v |= ¬p pour aucune aectation v
ssi ¬p n'est pas satisfaisable
Le mot  ssi  est une abréviation pour  si et seulement si .

Proposition 2 Une formule p est contradictoire si et seulement si ¬p est valide.

Exercice 2 Le démontrer.

Pour savoir si une formule propositionnelle donnée est satisfaisable ou valide il faut donc
en principe évaluer la formule sur toutes les aectations possibles, ce qui pose une petit
problème : il y a un nombre inni d'aectations possibles car il y a un nombre inni de
variables propositionnelles ! Heureusement, il y a un théorème qui nous dit que seulement les
variables qui paraissent dans une formule sont pertinentes.

Proposition 3 Soit p une formule propositionnelle et v1 , v2 des aectations telles que v1 (x) =
v2 (x) pour toute variable x ∈ V(p). Alors [[p]]v1 = [[p]]v2 .

Exercice 3 Montrer la proposition 3.

Théorème 4 Une formule p est

1. satisfaisable si et seulement s'il existe une aectation v telle que supp(v) ⊆ V(p) et
v |= p.
2. valide si et seulement si v |= p pour toute aectation v avec supp(v) ⊆ V(p).
24 CHAPITRE 2. DÉFINITION DE LA LOGIQUE PROPOSITIONNELLE

Démonstration: Nous montrons ici seulement le premier énoncé, le deuxième est laissé
comme exercice.
Si v |= p avec supp(v) ⊆ V(p) alors p est, par dénition satisfaisable.
Si p est satisfaisable il y a une aectation w telle que w |= p. Nous construisons une nouvelle
aectation v comme suit :
w(x) si x ∈ V(p)

v(x) =
0 si x 6∈ V(p)
On a que supp(v) ⊆ V(p), et v |= p par proposition 3. 2

Exercice 4 Montrer le deuxième énoncé du théorème 4.

Il sut donc de tester les aectations qui ont pour domaine V(p). L'avantage est qu'il y en un
nombre ni, plus exactement il y a 2n telles aectations quand p contient n variables. C'est
donc à priori faisable mais potentiellement coûteux.
Une méthode pour déterminer si une formule p est satisfaisable est donc :
1. Calculer V(p)
2. Engendrer l'ensemble A des aectations v avec supp(v) ⊆ V(p)
3. Évaluer [[p]]v pour toute aectation v ∈ A. Dès qu'on tombe sur un v tel que [[p]]v = 1
on sait que p est satisfaisable, si on n'en trouve pas alors p n'est pas satisfaisable.
Une méthode pour déterminer si une formule p est valide est :
1. Calculer V(p)
2. Engendrer l'ensemble A des aectations v avec supp(v) ⊆ V(p)
3. Évaluer [[p]]v pour tout v ∈ A. Dès qu'on tombe sur un v tel que [[p]]v = 0 on sait que p
n'est pas valide, si on n'en trouve pas alors p est valide.
En pratique on utilise souvent des tables de vérité pour déterminer la satisfaisabilité ou la
validité d'une formule p. Les colonnes d'une telle table de vérité sont étiquetées par des sous-
formules de p : au début (dans les colonnes à gauche) on a toutes les variables propositionnelles
qui paraissent dans p, puis les sous-formules de p dans un ordre croissant de complexité, et
nalement la formule p elle-même. La table a 2n lignes où n est le nombre de variables proposi-
tionnelles qui paraissent dans la formule. Maintenant, on remplit toutes les cases des colonnes
qui correspondent à des variables propositionnelles par toutes les combinaisons possibles de 0
et 1. Il convient de choisir un système pour ne pas oublier une combinaison, par exemple on fait
dans la première colonne une suite alternante 01010101 . . ., dans la deuxième colonne une suite
alternante à deux pas 00110011 . . ., dans la troisième 00001111 . . ., etc. De cette façon toute
ligne correspond à une aectation diérente v avec supp(v) ⊆ V(p). Puis, on rempli toutes
les autres colonnes de la table, de gauche vers la droite. Puisqu'on a choisi les étiquettes des
colonnes dans un ordre croissant de complexité, on trouve toujours les interprétations des
sous-formules d'une formule composée dans des colonnes qui sont déjà remplies.
Exemple : Soit p la formule ((x1 ∧ x2 ) ∨ (x3 ∧ ¬x2 )). La table de vérité est comme suit. Nous
indiquons dans cet exemple sur la ligne Calcul comment les entrées sont calculées, normalement
2.5. RACCOURCIS SYNTAXIQUES 25

les lignes Numéro et Calcul sont omises dans une table de vérité.
Formule x1 x2 x3 ¬x2 (x1 ∧ x2 ) (x3 ∧ ¬x2 ) ((x1 ∧ x2 ) ∨ (x3 ∧ ¬x2 ))
Numéro (1) (2) (3) (4) (5) (6) (7)
Calcul ¬(2) (1) ∧ (2) (3) ∧ (4) (5) ∨ (6)
0 0 0 1 0 0 0
1 0 0 1 0 0 0
0 1 0 0 0 0 0
1 1 0 0 1 0 1
0 0 1 1 0 1 1
1 0 1 1 0 1 1
0 1 1 0 0 0 0
1 1 1 0 1 0 1

La formule p est donc satisfaisable, mais pas valide.

Quel est le temps de calcul de notre algorithme sur une formule avec n variables ? Il y a 2n
aectations possibles qu'il faut dans le pire des cas toutes essayer avant d'en trouver une qui
rend la formule vraie. Ça nous donne donc un temps d'exécution qui est au moins exponentiel
dans le nombre de variables. C'est faisable pour des très petites formules comme celle dans
l'exemple au-dessus, mais c'est absolument inacceptable pour les formules gigantesques issues
par exemple de la vérication des circuits qui peuvent avoir des milliers de variables.

2.5 Raccourcis syntaxiques

Notre dénition de la syntaxe des formules propositionnelles (dénition 1) est assez stricte :
la dénition exige des parenthèses autour de toute application d'un opérateur binaire, et elle
ne permet pas des applications d'un seul opérateur à plus que deux arguments à la fois. Ces
restrictions sont en pratique peu commodes pour écrire des formules. Les règles d'écriture des
expressions booléennes dans les langages de programmation, par exemple, sont plus libérales.
Pour cette raison nous autorisons dans la suite une notation un peu plus libérale des formules
propositionnelles :
 On a le droit d'enchaîner des applications de l'opérateur ∧ :
(p1 ∧ p2 ∧ . . . ∧ pn )

ainsi que de l'opérateur ∨ :

(p1 ∨ p2 ∨ . . . ∨ pn )
 On se permet d'omettre la paire de parenthèses qui est autour de la formule entière.
Il s'agit ici des raccourcis d'écriture, pas d'une modication de la dénition des formules !
Une formule en écriture raccourcie peut toujours être réécrite dans la syntaxe stricte selon
dénition 1 :
 Remplacer
(p1 ∧ p2 ∧ x3 ∧ . . . ∧ pn )
par
(p1 ∧ (p2 ∧ (p3 . . . ∧ pn ) . . .))
et pareil pour les chaînes ∨.
26 CHAPITRE 2. DÉFINITION DE LA LOGIQUE PROPOSITIONNELLE

 Mettre une paire de parenthèses extérieures autour de la formule si nécessaire

Ainsi,
(x1 ∧ x2 ∧ x3 ) ∨ y1 ∨ (z1 ∧ z2 ∧ z3 ∧ z4 )
s'écrit en syntaxe stricte comme
  
(x1 ∧ (x2 ∧ x3 )) ∨ y1 ∨ (z1 ∧ (z2 ∧ (z3 ∧ z4 )))

où nous avons agrandi un peu les parenthèses des applications de ∨ pour mieux faire paraître
la structure.

2.6 Références et remarques

Nous avons ici choisi de dénir les aectations comme des fonctions totales. On trouve aussi
parfois des présentations de la logique propositionnelle qui permettent comme aectations
aussi des fonctions partielles, c'est-à-dire des fonctions qui peuvent laisser la valeur de certaines
variables non dénie.

On peut aussi se poser la question de savoir pourquoi nous avons déni les formules propo-
sitionnelles si strictement avec toutes ces parenthèses. La raison est qu'une dénition stricte
est avantageuse quand on fait des preuves de propriétés des formules, ou quand on dénit
des fonctions par récurrence sur les formules. Dans la syntaxe stricte il n'y a que quatre cas
assez simples (variable, ¬p, (p ∧ q), (p ∨ q)). Si on avait choisi la syntaxe libérale comme
dénition de la syntaxe on aurait des cas plus compliqués à considérer, comme par exemple
(p1 ∧ p2 ∧ . . . ∧ pn ), ce qui risque de nécessiter une deuxième induction sur le nombre n. Notre
façon de dénir les formules propositionnelles combine les deux avantages : d'une part des cas
simples dans les preuves par induction et dénitions des fonctions par récurrence, d'autre part
une certaine souplesse dans l'écriture des formules en pratique.
En fait on pourrait être encore plus libéral et aussi permettre l'utilisation des priorités entre
opérateurs, comme c'est souvent le cas dans les langages de programmation. Les priorités
permettent encore plus d'économie dans l'utilisation des parenthèses. Dans ce cours nous
avons choisi de ne pas considérer les priorités entre opérateurs, une raison pour ce choix
est que l'utilisation des priorités rende la tâche d'analyse des formules par un programme
beaucoup plus dicile. Ce problème, et sa solution, est un sujet du cours Analyse Syntaxique
de l'année L3.

Est-ce qu'il y a un algorithme qui est plus rapide que la méthode des tables de vérité, par
exemple un algorithme qui peut déterminer la satisfaisabilité d'une formule avec n variables
dans un temps de calcul qui est un polynôme en n (par exemple n3 ) ? Il s'agit ici de la
question ouverte la plus célèbre de l'informatique ; les informaticiens cherchent une réponse à
cette question depuis plus que 30 ans. Il y a des algorithmes qui trouvent des réponses avec
une étonnante rapidité pour des classes de formules particulières, mais la question est s'il y a
un algorithme qui peut répondre rapidement pour n'importe quelle formule qu'on lui présente.
La majorité des informaticiens pensent aujourd'hui qu'un tel algorithme ne peut pas exister,
mais à ce jour personne n'a réussi à le démontrer. Les questions de ce type sont l'objet d'étude
d'un domaine important de l'Informatique : la théorie de la Complexité.
Chapitre 3

Lois de la logique propositionnelle

3.1 Conséquences logiques et équivalences

Dénition 5 Soient p et q des formules propositionnelles.
 On dit que q est une conséquence de p, et on écrit p |= q , si pour toute aectation v telle
que v |= p on a aussi que v |= q .
 On dit que p et q sont équivalentes, et on écrit p |=| q , si p |= q et q |= p.

Donc, deux formules p et q sont équivalentes si et seulement si [[p]]v = [[q]]v pour toute aec-
tation v . Parfois on s'intéresse aussi à la notion d'une conséquence de tout en ensemble de
formules :

Dénition 6 Soient p ∈ Form une formule et T ⊆ Form un ensemble de formules. On dit

que p est une conséquence de T , noté T |= p, si pour toute aection v telle que v |= q pour
tout q ∈ T on a aussi que v |= p.

Exercice 5 1. Montrer que {q} |= p ssi q |= p

2. Montrer que si T |= p et T ⊆ S alors S |= p
3. Que veut dire que ∅ |= p ?

On utilise les tables de vérité pour savoir si une formule est conséquence d'une autre ou si
deux formules sont équivalentes. La formule q est une conséquence de p si pour toute ligne de
la table de vérité où il y a 1 dans la colonne de p il y aussi 1 dans la colonne de q ; les formules
p et q sont équivalentes quand le contenu de la colonne de p est le même que le contenu de la
colonne de q .
Par exemple, x ∧ (¬x ∨ y) |= y car

x y ¬x ¬x ∨ y x ∧ (¬x ∨ y) y
0 0 1 1 0 0
1 0 0 0 0 0
0 1 1 1 0 1
1 1 0 1 1 1
28 CHAPITRE 3. LOIS DE LA LOGIQUE PROPOSITIONNELLE

Les formules ¬(x ∧ y) et ¬x ∨ ¬y sont équivalentes :

x y x ∧ y ¬(x ∧ y) ¬x ¬y ¬x ∨ ¬y
0 0 0 1 1 1 1
1 0 0 1 0 1 1
0 1 0 1 1 0 1
1 1 1 0 0 0 0

3.2 Propriétés des opérateurs logiques

On observe d'abord quelques propriétés fondamentales des opérateurs ∧, ∨ et ¬ :
Proposition 4 On a les équivalences suivantes :
1. x ∧ x |=| x
2. x ∧ y |=| y ∧ x
3. x ∧ (y ∧ z) |=| (x ∧ y) ∧ z
4. x ∨ x |=| x
5. x ∨ y |=| y ∨ x
6. x ∨ (y ∨ z) |=| (x ∨ y) ∨ z
7. ¬¬x |=| x

On dit aussi que les opérateurs ∧ et ∨ sont idempotents (1 et 4), commutatifs (2 et 5), et asso-
ciatifs (3 et 6). Il s'agit ici de propriétés importantes d'opérations mathématiques en général.
Par exemple, les opérations d'addition et de multiplication des entiers sont commutatifs et
associatifs, mais pas idempotent.

Exercice 6 Dire pour chacun des opérateurs (sur les entiers) suivants s'il est idempotent,
commutatif, associatif :
1. le maximum de deux entiers, déni par x Z y = maximum(x, y)
2. la moyenne de deux entiers, déni par x 1 y = x+y 2
3. l'opérateur de projection gauche, déni par x / y = x

Démonstration: Par table de vérité pour les trois premier équivalences, les trois équivalences
pour ∨ et la dernière équivalence pour la double négation se montrent de la même façon.
1. x ∧ x |=| x :
x x∧x
0 0
1 1
2. x ∧ y |=| y ∧ x :
x y x∧y y∧x
0 0 0 0
1 0 0 0
0 1 0 0
1 1 1 1
3.3. OBTENIR DES TAUTOLOGIES ET DES ÉQUIVALENCES PAR INSTANCIATION
29

3. x ∧ (y ∧ z) |=| (x ∧ y) ∧ z :
x y z y ∧ z x ∧ (y ∧ z) x ∧ y (x ∧ y) ∧ z
0 0 0 0 0 0 0
1 0 0 0 0 0 0
0 1 0 0 0 0 0
1 1 0 0 0 1 0
0 0 1 0 0 0 0
1 0 1 0 0 0 0
0 1 1 1 0 0 0
1 1 1 1 1 1 1
2

3.3 Obtenir des tautologies et des équivalences par instancia-

tion
Maintenant on souhaite généraliser les équivalences de la proposition 4 à des formules quel-
conques, par exemple p ∧ p |=| p, p ∧ q |=| q ∧ p pour toutes formules propositionnelles p et q . Le
théorème de substitution au-dessous (théorème 5) nous permet d'obtenir à partir d'une seule
équivalence une telle loi qui est valide pour toute formule p, q , . . . .

Dénition 7 Soit x une variable propositionnelle et p une formule propositionnelle. La fonc-

tion de substitution de x par p, noté [x/p]: Form → Form, est dénie par récurrence comme
suit (l'application de cette fonction à un argument q est notée q[x/p]) :
p si x = y

1. y[x/p] =
y si x 6= y
2. (¬q)[x/p] = ¬(q[x/p])
3. (q1 ∧ q2 )[x/p] = (q1 [x/p]) ∧ (q2 [x/p])
4. (q1 ∨ q2 )[x/p] = (q1 [x/p]) ∨ (q2 [x/p])

Par exemple, si
p = z ∨ ¬y

alors
(x ∧ ¬x ∧ y)[x/p] = (z ∨ ¬y) ∧ ¬(z ∨ ¬y) ∧ y

Cette dénition se généralise facilement à une substitution simultanée q[x1 /p1 , . . . , xn /pn ] pour
le cas où les x1 , . . . , xn sont toutes des variables diérentes. Par exemple, si
p1 = (y1 ∧ ¬y2 )
p2 = (z1 ∨ (z2 ∧ z3 ))

alors on a que
(x1 ∧ x2 )[x1 /p1 , x2 /p2 ] = (y1 ∧ ¬y2 ) ∧ (z1 ∨ (z2 ∧ z3 ))
30 CHAPITRE 3. LOIS DE LA LOGIQUE PROPOSITIONNELLE

Attention, on n'a pas toujours que q[x1 /p1 , x2 /p2 ] = (q[x1 /p1 ])[x2 /p2 ]. Un contre-exemple est
obtenu on choissisant q = x1 , p1 = (x2 ∧ x2 ), et p2 = (x3 ∨ x3 ) :

x1 [x1 /(x2 ∧ x2 ), x2 /(x3 ∨ x3 )] = (x2 ∧ x2 )

(x1 [x1 /(x2 ∧ x2 )])[x2 /(x3 ∨ x3 )] = (x2 ∧ x2 )[x2 /(x3 ∨ x3 )]
= ((x3 ∨ x3 ) ∧ (x3 ∨ x3 ))

La notion de substitution existe aussi au niveau des aectations :

Dénition 8 Soit v une aectation, x une variable propositionnelle, et b ∈ {0, 1}. Alors
v[x/b] est l'aectation dénie comme suit :

si x = y

b
v[x/b](y) =
v(y) si x 6= y

Cette dénition se généralise aussi à une substitution simultanée v[x1 /b1 , . . . , xn /bn ] pour le
cas où les x1 , . . . , xn sont toutes des variables diérentes. Par exemple,

[x 7→ 0, y 7→ 1][y/0, z/1] = [x 7→ 0, y 7→ 0, z 7→ 1]

La proposition suivante met le lien entre les deux notions de substitution.

Proposition 5 Pour toute formule q, variables diérentes x1 , . . . , xn , formules p1 , . . . , pn , et

aectation v on a que

[[q[x1 /p1 , . . . , xn /pn ]]]v = [[q]](v[x1 /[[p1 ]]v, . . . , xn /[[pn ]]v])

En d'autres mots : On obtient le même résultat

1. quand on substitue les xi par les pi correspondant dans la formule q et puis évalue la
formule ainsi obtenue par rapport à l'aectation v ;
2. quand on évalue d'abord les formules pi une par une par rapport à l'aectation v , puis
on met à jour dans l'aectation v les valeurs des variables xi par l'interprétation des pi ,
et on évalue la formule q originale par rapport à la nouvelle aectation.
Démonstration: Nous donnons ici la preuve pour le cas n = 1, c'est-à-dire nous montrons
[[q[x/p]]]v = 1 ssi [[q]](v[x/[[p]]v]) = 1

La preuve se fait par induction structurelle :

1. Variable : il y a deux cas :
(a) la variable x :
[[x[x/p]]]v = 1
ssi [[p]]v = 1 par dénition 7
ssi (v[x/[[p]]v])(x) = 1 par dénition 8
ssi [[x]](v[x/[[p]]v]) = 1 par dénition 3
3.3. OBTENIR DES TAUTOLOGIES ET DES ÉQUIVALENCES PAR INSTANCIATION
31

(b) une variable y 6= x :

[[y[x/p]]]v = 1
ssi [[y]]v = 1 par dénition 7
ssi v(y) = 1 par dénition 3
ssi v[x/[[p]]v](y) = 1 par dénition 8
ssi [[y]](v[x/[[p]]v]) = 1 par dénition 3
2. Négation :
[[(¬q)[x/p]]]v = 1
ssi [[¬(q[x/p])]]v = 1 par dénition 7
ssi [[q[x/p]]]v = 0 par dénition 3
ssi [[q]](v[x/[[p]]v]) = 0 par hypothèse d'induction
ssi [[¬q]](v[x/[[p]]v]) = 1 par dénition 3
3. Conjonction :
[[(q1 ∧ q2 )[x/p]]]v = 1
ssi [[q1 [x/p] ∧ q2 [x/p])]]v = 1 par dénition 7
ssi [[q1 [x/p]]]v = [[q2 [x/p]]]v = 1 par dénition 3
ssi [[q1 ]](v[x/[[p]]v]) = [[q2 ]](v[x/[[p]]v]) = 1 par hypothèse d'induction
ssi [[q1 ∧ q2 ]](v[x/[[p]]v]) = 1 par dénition 3
4. Disjonction : similaire au cas précédent.
2

Théorème 5 Soit q une tautologie, x1 , . . . , xn des variables propositionnelles diérentes, et

p1 , . . . , pn des formules propositionnelles. Alors

q[x1 /p1 , . . . , xn /pn ]

est aussi une tautologie.

Démonstration: Nous devrons montrer que pour toute aectation v,

[[q[x1 /p1 , . . . , xn /pn ]]]v = 1

Or, d'après proposition 5,

[[q[x1 /p1 , . . . , xn /pn ]]]v = [[q]](v[x1 /[[p1 ]]v, . . . , xn /[[pn ]]v])

Puisque q est une tautologie,

[[q]](v[x1 /[[p1 ]]v, . . . , xn /[[pn ]]v]) = 1

puisque [[q]]v 0 = 1 pour toute aectation v 0 . 2

Il y a aussi une variante de ce théorème qui nous permet d'obtenir de nouvelles équivalences
à partir d'une équivalence connue :

Théorème 6 Soient q1 , q2 deux formules telles que q1 |=| q2 , x1 , . . . , xn des variables proposi-
tionnelles diérentes, et p1 , . . . , pn des formules propositionnelles. Alors
q1 [x1 /p1 , . . . , xn /pn ] |=| q2 [x1 /p1 , . . . , xn /pn ]
32 CHAPITRE 3. LOIS DE LA LOGIQUE PROPOSITIONNELLE

Exercice 7 Montrer le théorème 6.

Le théorème suivant donne quelques lois de la logique propositionnelle :

Théorème 7 On a les équivalences suivantes pour toutes les formules p, q, r :

p ∧ p |=| p Loi d'idempotence de la conjonction
p ∧ q |=| q ∧ p Loi de commutativité de la conjonction
p ∧ (q ∧ r) |=| (p ∧ q) ∧ r Loi d'associativité de la conjonction
p ∨ p |=| p Loi d'idempotence de la disjonction
p ∨ q |=| q ∨ p Loi de commutativité de la disjonction
p ∨ (q ∨ r) |=| (p ∨ q) ∨ r Loi d'associativité de la disjonction
¬¬p |=| p Loi de la double négation

Démonstration: Conséquence immédiate de la proposition 4 et du théorème 6. 2

Le théorème suivant donne des lois qui mettent plusieurs opérateurs logiques en relation :

Théorème 8 On a les équivalences suivantes pour toutes les formules p, q, r :

(p ∧ q) ∨ r |=| (p ∨ r) ∧ (q ∨ r) Première loi de distributivité
(p ∨ q) ∧ r |=| (p ∧ r) ∨ (q ∧ r) Seconde loi de distributivité
¬(p ∧ q) |=| ¬p ∨ ¬q Première loi de de Morgan
¬(p ∨ q) |=| ¬p ∧ ¬q Seconde loi de de Morgan

Démonstration: Comme la preuve du théorème 7. Les équivalences à la base des deux lois
de distributivité seront montrées en TD. L'équivalence utilisée pour la preuve de la première
loi de de Morgan était montré sur la page 28. 2

3.4 Obtenir des équivalences par mise sous contexte

Nous avons donc une première méthode pour obtenir des lois de la logique propositionnelle,
c'est de substituer dans des équivalences préalablement établies des variables par des formules
quelconques. Une deuxième méthode est comme suit : On part d'une équivalence préalable-
ment établie p |=| q et on construit une nouvelle équivalence en remplaçant dans une formule
quelconque une variable, disons x, une fois par p et une fois par q . Les deux formules obtenues
sont aussi équivalentes. Cette méthode se généralise à des substitutions simultanées :

Théorème 9 Soient p1 |=| q1 , . . . , pn |=| qn , p une formule, et x1 , . . . , xn ⊆ V(p) des variables

diérentes. Alors
p[x1 /p1 , . . . , xn /pn ] |=| p[x1 /q1 , . . . , xn /qn ]

Démonstration: Il faut montrer que pour toute aectation v on a que

[[p[x1 /p1 , . . . , xn /pn ]]]v = [[p[x1 /q1 , . . . , xn /qn ]]]v

Puisque pi |=| qi pour tout i on a aussi que [[pi ]]v = [[qi ]]v pour tout i. On obtient la chaîne
d'égalités suivante :
3.5. AUTRES OPÉRATEURS BOOLÉENS 33

[[p[x1 /p1 , . . . , xn /pn ]]]v

= [[p]](v[x1 /[[p1 ]]v, . . . , xn /[[pn ]]v]) par proposition 5
= [[p]](v[x1 /[[q1 ]]v, . . . , xn /[[qn ]]v]) car [[pi ]]v = [[qi ]]v pour tout i
= [[p[x1 /q1 , . . . , xn /qn ]]]v par proposition 5
2
Nous savons par exemple, selon le théorème 8, que

¬(y1 ∧ y2 ) |=| ¬y1 ∨ ¬y2

| {z } | {z }
p1 q1
¬(y1 ∨ y2 ) |=| ¬y1 ∧ ¬y2
| {z } | {z }
p2 q2

Avec la formule p = (¬x1 ∧ x2 ) on obtient la nouvelle équivalence suivante :

¬¬(y1 ∧ y2 ) ∧ ¬(y1 ∨ y2 ) |=| ¬(¬y1 ∨ ¬y2 ) ∧ (¬y1 ∧ ¬y2 )

| {z } | {z }
p[x1 /p1 ,x2 /p2 ] p[x1 /q1 ,x2 /q2 ]

3.5 Autres opérateurs booléens

Il est souvent pratique d'utiliser d'autre opérateurs booléens que les trois opérateurs ¬, ∧, ∨
que nous avons considérés jusqu'à maintenant. Ces opérateurs sont dénis comme des abrévi-
ations. La dénition de la syntaxe des formules reste donc inchangée, mais on autorise dans
la suite pour l'écriture des formules les abréviations suivantes :

Opérateur Nom Dénition

→ Implication x→y = ¬x ∨ y
↔ Équivalence x↔y = (¬x ∨ y) ∧ (¬y ∨ x)
True Constante vrai True = x ∨ ¬x
False Constante faux False = x ∧ ¬x
⊕ Ou exclusif x⊕y = (x ∧ ¬y) ∨ (¬x ∧ y)
↑ Nand x↑y = ¬(x ∧ y)
↓ Nor x↓y = ¬(x ∨ y)

 Nand  et  Nor  sont des noms anglais (contraction de Not-And et Not-Or), et on dit
parfois  xor  à la place de  Ou exclusif . On pourrait aussi imaginer des opérateurs
booléens avec plus que deux arguments.
Par exemple,
(x ⊕ y) → (x ∨ y)
est une abréviation pour
¬((x ∧ ¬y) ∨ (¬x ∧ y)) ∨ (x ∨ y)

Ces nouveaux opérateurs nous permettent d'écrire des nouvelles lois de la logique proposition-
nelle, comme par exemple :
34 CHAPITRE 3. LOIS DE LA LOGIQUE PROPOSITIONNELLE

True ∧ p |=| p True est l'élément neutre de la conjonction

False ∨ p |=| p False est l'élément neutre de la disjonction
False ∧ p |=| False False est l'élément nul de la conjonction
True ∨ p |=| True True est l'élément nul de la disjonction
p → q |=| ¬q → ¬p Loi de la contraposition
p ↔ q |=| (p → q) ∧ (q → p)
p ↔ q |=| ¬p ↔ ¬q
p → (q → r) |=| (p ∧ q) → r

Toutes ces lois sont montrées facilement à l'aide de tables de vérité.

Ces abréviations sont utiles mais pas strictement nécessaires car on peut toujours les remplacer
par leur dénition. Dans ce contexte on peut se poser la question : est-ce que l'ensemble des
opérateurs booléens dans la dénition de la syntaxe de la logique propositionnelle (dénition 1)
était le seul, ou même le bon choix ? Une première remarque est qu'on aurait pu dénir la
logique propositionnelle seulement avec les opérateurs ¬ et ∧ car on peut exprimer ∨ par ces
deux opérateurs :
x ∨ y |=| ¬¬(x ∨ y) Loi de la double négation
|=| ¬(¬x ∧ ¬y) Seconde loi de de Morgan

On aurait également pu choisir les opérateurs ¬ et ∨ pour la dénition de la logique proposi-

tionnelle car on peut de façon analogue dénir ∧ par ¬ et ∨. Nous avons suivi dans notre choix
la dénition traditionnelle de la logique. Ce choix a l'avantage de faire paraître la  dualité 
entre la conjonction ∧ et la disjonction ∨ qu'on peut constater dans les lois de la logique
propositionnelle : Remarquer la symétrie entre ∧ et ∨ dans les théorèmes 7 et 8.
On peut aller plus loin et se poser la question : aurait-on pu dénir la logique propositionnelle
avec un autre choix d'opérateurs parmi ¬, ∧, ∨ et ceux qui sont dans la liste des opérateurs
au-dessus (ou encore des autres opérateurs qui ne sont pas dans cette liste) ? Un choix possible
est par exemple ¬ et → car on peut dénir x∨y par ¬x → y : ¬x → y est une abréviation pour
¬¬x ∨ y , ce qui est équivalent à x ∨ y par la loi de la double négation. Par contre, le choix des
opérateurs ∧ et ∨ ne fait pas l'aaire (ce qui n'est pas complètement évident). Il peut aussi
être intéressant de savoir s'il y a un opérateur qui est tout seul susant pour exprimer tout
ce qu'on peut exprimer avec ¬, ∧ et ∨ (la réponse est  oui ). Ces questions seront discutées
en TD.
Finalement on peut se poser la question si notre choix d'opérateurs ¬, ∧, ∨ est susant pour
exprimer tout ce qu'on peut souhaiter exprimer. On peut formaliser cette question comme
suit : Est-ce qu'on peut pour tout nombre naturel n, et pour toute fonction f
f : {0, 1} × . . . × {0, 1} → {0, 1}
| {z }
n fois
trouver une formule propositionnelle p, avec V(p) ⊆ {x1 , . . . , xn } qui  réalise  f , c'est-à-dire
[[p]][x1 7→ b1 , . . . , xn 7→ bn ] = f (b1 , . . . , bn )

pour toutes les valeurs booléennes b1 , . . . , bn ∈ {0, 1} ?

La réponse est  oui  : On peut représenter chaque choix des n arguments par une formule, par
exemple le choix c = (1, 0, 0, 1) ∈ {0, 1}4 est représenté par la formule pc = x1 ∧¬x2 ∧¬x3 ∧x4 .
3.6. RÉFÉRENCES ET REMARQUES 35

Cette formule est vraie dans une aectation v si et seulement si v(x1 ) = 1, v(x2 ) = 0, v(x3 ) = 0,
et v(x4 ) = 1. Maintenant on peut construire la formule p comme la disjonction de toutes les
formules pc pour les n-uplets c pour lesquelles f donne le résultat 1.
Exemple : Soit f la fonction à trois arguments qui envoie 1 si et seulement si un des ses
arguments est 0 et deux de ses arguments sont 1. Autrement dit, f envoie 1 exactement pour
les arguments (0, 1, 1), (1, 0, 1), et (1, 1, 0). La formule correspondante est alors

(¬x1 ∧ x2 ∧ x3 ) ∨ (x1 ∧ ¬x2 ∧ x3 ) ∨ (x1 ∧ x2 ∧ ¬x3 )

On dit que l'ensemble d'opérateurs {¬, ∧, ∨} est fonctionnellement complet . D'après la discus-
sion de cette section, les ensembles {¬, ∧}, {¬, ∨} et {¬, →} sont également fonctionnellement
complets.

Proposition 6 Les deux énoncés suivants sont équivalents pour toutes formules proposition-
nelles p et q :
1. p |= q
2. |= p → q

Exercice 8 Montrer proposition 6.

Attention, proposition 6 ne veut pas dire que  p |= q  et  p → q  sont la même chose. En fait
les deux sont d'une nature diérente : Le deuxième est une formule propositionnelle, tandis que
le premier est un énoncé qui a comme sujet la relation entre deux formules propositionnelles.

3.6 Références et remarques

Les axiomes de la proposition 4 furent trouvées par le mathématicien et philosophe George
Boole (1815 - 1865). Les lois de de Morgan sont nommées après le logicien Britannique Au-
gustus de Morgan (1806 - 1871).
36 CHAPITRE 3. LOIS DE LA LOGIQUE PROPOSITIONNELLE
Chapitre 4

Formes normales dans la logique

propositionnelle
4.1 La notion d'une forme normale
Nous avons vu dans la section précédente qu'il existe un grand nombre de possibilités pour
exprimer une formule dans une forme équivalente. En fait, pour toute formule p il y a une
innité de formules équivalentes : p, p ∧ p, p ∧ p ∧ p, . . ., et d'autres pour lesquelles l'équivalence
peut être beaucoup moins évidente.
On peut donc se poser des questions : a-t-on vraiment besoin de toute cette multitude de
possibilités d'exprimer la même chose ? Ne serait-il pas mieux d'exiger une forme  standard-
isée  des formules ? Quand les informaticiens travaillent avec des expressions symboliques
(comme par exemple des formules propositionnelles, mais il y a encore des autres) ils dénis-
sent souvent un tel standard, appelé une  forme normale . Nous allons étudier plusieurs
notions de formes normales des formules propositionnelles dans cette section. Toute notion
de forme normale a ses propriétés spéciques, mais on attend habituellement d'une notion de
forme normale qu'on peut transformer n'importe quelle formule p (ou en général, n'importe
quelle expression symbolique) en une formule équivalente en forme normale, appelée une forme
normale de p.

4.2 Forme normale de négation

Notre première notion de forme normale restreint l'utilisation des négations dans les formules :

Dénition 9 Une formule est en forme normale de négation si elle ne contient pas d'appli-
cations de l'opérateur ¬ sauf des applications à des variables propositionnelles.

Par exemple, ¬x ∧ ¬y ∧ z et (¬x ∨ y) ∧ (¬z ∨ x) sont en forme normale de négation, mais

¬(x ∧ y) et ¬¬y ne le sont pas.
Nous donnons un algorithme pour transformer une formule en une formule équivalente en
forme normale de négation. Cet algorithme est donné dans la forme de règles de réécriture :
¬¬X → X (4.1)
38 CHAPITRE 4. FORMES NORMALES DANS LA LOGIQUE PROPOSITIONNELLE

¬(X ∧ Y ) → (¬X ∨ ¬Y ) (4.2)

¬(X ∨ Y ) → (¬X ∧ ¬Y ) (4.3)
Chacune des ces règles est une règle de transformation. On peut appliquer une telle règle à
n'importe quel endroit d'une formule, c'est-à-dire soit à la formule entière (on parle dans ce
cas aussi d'une application à la racine du terme ), ou on peut l'appliquer seulement à une
sous-formule. Par exemple, la première règle (4.1) permet les transformations suivantes :
 Transformer la formule ¬¬(x1 ∧ x2 ) en x1 ∧ x2 , en appliquant la règle à la formule entière ;
 Transformer la formule (x1 ∨ (¬¬x2 )) en (x1 ∨ x2 ), en appliquant la règle de transformation
seulement à la sous-formule ¬¬x2 .
Remarquez que les règles de transformation sont écrites avec des variables en majuscules X ,
Y et pas avec des variables en minuscules x, y comme les variables propositionnelles. La raison
est qu'il s'agit ici de variables diérentes : les variables propositionnelles dénotent des valeurs
de vérité, tandis que les variables utilisées dans les règles de transformation dénotent des
formules propositionnelles. Pour donner une analogie, pensez à un programme qui manipule
des formules propositionnelles, comme par exemple les programmes en Java que vous allez
développer en TP et pour votre projet : les variables de votre programme Java sont d'une
nature complètement diérente que les variables propositionnelles des formules.
Pour transformer une formule en forme normale de négation en lui applique les règles de
transformation autant que possible. Par exemple,
¬(x ∧ (y ∨ ¬z))
se transforme en ¬x ∨ ¬(y ∨ ¬z) par règle (4.2)
se transforme en ¬x ∨ (¬y ∧ ¬¬z) par règle (4.3)
se transforme en ¬x ∨ (¬y ∧ z) par règle (4.1)
Est-ce que ce processus se termine toujours ? Ce n'est pas évident, un processus déni par
une application itérée d'une transformation peut a priori boucler, ou faire grossir le terme
inniment.
Imaginons d'abord un système de transformation qui consiste en un seule règle : ¬¬X → X .
Il est facile de montrer que ce système termine : Chaque application de cette règle enlève deux
occurrences du symbole ¬ de la formule. Si la formule de départ a n occurrences du symbole ¬
alors on peut lui appliquer la règle au plus n2 fois.
L'argument de terminaison est donc qu'il y a une mesure (le nombre d'occurrences du sym-
bole ¬) qui décroît à chaque transformation. Puisque la mesure ne peut pas passer au-dessous
de 0 cela garantie la terminaison.
Comment appliquer cette idée au système complet des règles 4.1, 4.2 et 4.3 ? Le problème est
que les règles 4.2 et 4.3 font accroître le nombre de ¬ au lieu de le faire décroître. Compter
le nombre de ∧, ou le nombre de ∨, dans la formule ne permet pas non plus de démontrer
la terminaison car chacun de ces nombres peut accroître ou décroître, selon la règle précise
appliquée. Finalement, la taille de la formule peut également accroître, au lieu de décroître :
ces le cas avec les règles 4.2 et 4.3.
ne fait pa ni la taille de la formule. La solution est la proposition suivante :

Proposition 7 Soit φ : Form → N dénie par récurrence :

 φ(x) = 1, où x ∈ V
 φ((p1 ∧ p2 )) = φ(p1 ) + φ(p2 )
 φ((p1 ∨ p2 )) = φ(p1 ) + φ(p2 )
4.2. FORME NORMALE DE NÉGATION 39

 φ(¬p) = (φ(p))2 + 1
Alors pour toute formule p ∈ F orm : Si p se transforme en q par une application d'une des
règles 4.1, 4.2 or 4.3 alors φ(p) > φ(q).

L'originalité de la fonction φ est l'utilisation d'une expression quadratique dans le cas de la

négation.

Exercice 9 Montrer par induction pour la fonction φ de la proposition 7 que φ(p) ≥ 1 pour
toute formule p.

Démonstration: On a que φ(p) ≥ 1 pour toute formule p (voir exercice 9).

La preuve est faite par une induction sur p. Pour un p donné il faut montrer que si p se
transforme en q par une application d'une règle alors φ(p) > φ(q). En particulier si aucune
règle de transformation s'applique à p alors il n'y a rien montrer. Il ne faut pas oublier que
dans le cas général il y a plusieurs possibilités pour appliquer une règle : il faut prendre en
considération toutes ces possibilités.
 Si p ∈ V alors aucune transformation n'est possible et il n'y a rien à montrer.
 Si p = (p1 ∧ p2 ) alors il peut exister plusieurs possibilités pour appliquer une règle, cela
dépend de p1 et de p2 . Chaque transformation se fait soit sur p1 soit sur p2 , il n'est pas
possible d'appliquer une règle à la racine de p car toute règle commence sur le symbole ¬.
Considérons le cas où la transformation se fait en p1 (le cas pour p2 est analogue). On a donc
que p1 se transforme en q1 , et p = (p1 ∧ p2 ) se transforme par conséquent en q = (q1 ∧ p2 ).
On obtient
φ((p1 ∧ p2 ))
= φ(p1 ) + φ(p2 ) par dénition de φ
> φ(q1 ) + φ(p2 ) car φ(p1 ) > φ(q1 ) par hypothèse d'induction
= φ((q1 ∧ p2 )) par dénition de φ
 Le cas p = (p1 ∨ p2 ) est analogue au cas précédent.
 Si p = ¬p1 il y a quatre cas à considérer :
1. La transformation se fait sur p1 (qui est transformé en q1 ), on conclut comme au-dessus
en appliquant l'hypothèse d'induction :
φ(¬p1 )
= (φ(p1 ))2 + 1 par dénition de φ
> (φ(q1 ))2 + 1 car φ(p1 ) > φ(q1 ) par hypothèse d'induction et φ(q1 ) ≥ 1
= φ(¬q1 ) par dénition de φ
2. Il s'agit d'une application de la règle 4.1 à la racine : On a donc que p = ¬¬p2 , et p
est transformé en p2 :
φ(¬¬p2 )
= (φ(¬p2 ))2 + 1 par dénition de φ
= ((φ(p2 ))2 + 1)2 + 1 par dénition de φ
= φ(p2 )4 + 2φ(p2 )2 + 1 + 1
> φ(p2 )
3. Il s'agit d'une application de la règle 4.2 à la racine : On a donc p = ¬(p2 ∧ p3 ), qui
est transformé en (¬p2 ∨ ¬p3 ) :
40 CHAPITRE 4. FORMES NORMALES DANS LA LOGIQUE PROPOSITIONNELLE

φ(¬(p2 ∧ p3 ))
= φ((p2 ∧ p3 ))2 + 1 par dénition de φ
= (φ(p2 ) + φ(p3 ))2 + 1 par dénition de φ
= (φ(p2 ))2 + 2φ(p2 )φ(p3 ) + (φ(p3 ))2 + 1
> (φ(p2 ))2 + 1 + (φ(p3 ))2 + 1 car φ(p2 ) ≥ 1 et φ(p3 ) ≥ 1
= φ(¬p2 ) + φ(¬p3 ) par dénition de φ
= φ((¬p2 ∨ ¬p3 )) par dénition de φ
4. Il s'agit d'une application de la règle 4.3 à la racine : analogue au cas précédent. 2
Le théorème suivant dit qu'on obtient toujours à la n de ce processus une formule équivalente
en forme normale de négation. Remarquez que cette description du processus laisse souvent
des libertés de choix car nous n'avons pas spécié quoi faire quand il y a plusieurs des règles
qui peuvent s'appliquer à une formule, comme par exemple pour la formule

¬¬(x1 ∨ ¬(x2 ∧ x3 ))

Le théorème ne fait pas d'hypothèse sur la stratégie d'application des règles dans de tels cas.
L'avantage d'une description si générale d'une méthode de transformation est qu'un program-
meur a le choix d'implanter la stratégie qui lui semble la meilleure (parce qu'elle est la plus
facile à mettre en ÷uvre, ou parce qu'une certaine stratégie mène plus rapidement au résultat
qu'une autre).

Théorème 10 Pour toute formule il existe une formule équivalente en forme normale de
négation.

Démonstration: Nous utilisons le système de transformation décrit au-dessus. La démon-

stration du fait que ce système nous permet d'obténir la forme normale de négation d'une
formule donnée quelconque consiste en trois parties :
1. Le processus de transformation s'arrête toujours : pour une formule p donnée on arrive
toujours après un nombre ni de transformations sur une formule qui ne peut plus être
transformée.
2. La formule qu'on obtient à la n est équivalente à la formule de départ.
3. La formule qu'on obtient à la n est en forme normale de négation.
La première propriété est une conséquence de la proposition 7 : À chaque transformation
la mesure φ décroît strictement. Cette mesure ne peut jamais descendre au-dessous de 1, si
la formule de départ p a la mesure φ(p) = n alors on peut au maximum appliquer n − 1
transformations.
Pour la deuxième propriété il sut de remarquer que toute règle transforme une formule
donnée en une autre formule qui lui est équivalente. On a donc à la n d'une séquence de
transformations une formule qui est équivalente à la formule de départ. Formellement il s'agit
ici bien entendu d'une preuve par induction sur la longueur de la suite de transformations.
Pour voir que chacune des trois règles transforme une formule en une formule équivalente il
sut de se rapporter aux théorèmes 7 et 8.
Finalement, la formule qu'on obtient à la n est une formule p sur laquelle aucune des trois
règles de transformation s'applique (dans le cas contraire on n'est pas à la n du processus).
Supposons pour l'absurde que la formule p n'est pas en forme normale de négation. Il y a
4.3. FORME DISJONCTIVE NORMALE 41

donc en p une occurrence du symbole de négation qui n'est pas appliquée à une variable
propositionnelle. Ils restent trois possibilités pour la sous-formule qui commence sur cette
négation :
1. C'est une formule de la forme ¬¬q : la règle (4.1) s'applique, contradiction
2. C'est une formule de la forme ¬(q1 ∧ q2 ) : la règle (4.2) s'applique, contradiction
3. C'est une formule de la forme ¬(q1 ∨ q2 ) : la règle (4.3) s'applique, contradiction 2

4.3 Forme disjonctive normale

Notre deuxième notion de forme normale, après la forme normale de négation, est la forme
disjonctive normale.

Dénition 10 1. Un littéral est soit une variable propositionnelle, soit la négation d'une
variable propositionnelle.
2. Une clause conjonctive est soit la constante True, soit un littéral, soit une conjonction
d'aux moins deux littéraux.
3. Une formule est en forme disjonctive normale si elle est soit la constante False, soit
une clause conjonctive, soit une disjonction d'aux moins deux clauses conjonctives.

On écrit parfois plus brièvement DNF, c'est l'abréviation du nom anglais disjonctive normal
form.
Par une  conjonction d'aux moins deux littéraux  nous entendons une formule de la forme
(l1 ∧ (l2 ∧ (l3 ∧ . . .) . . .))

où chacun des li est un littéral, et par une  disjonction d'aux moins deux clauses conjonctives 
une formule de la forme
(c1 ∨ (c2 ∨ (c3 ∨ . . .) . . .))
où chacun des ci est une clause conjonctive. Quand on parle de clauses conjonctives et de
formes disjonctives normales on utilise la syntaxe libérale introduite en section 2.5, et on
inclut les constantes True et False dans la syntaxe. En fait on peut simplier la dénition si
on admet que la disjonction (la conjonction) d'une seule formule est la formule elle même, et
que la disjonction de zéro formules est False et la conjonction de zéro formules est True. La
justication pour cette dernière convention est que la conjonction d'une formule w avec zéro
d'autre formules doit donner une formule équivalente à w. Par conséquent, la conjonction de
zéro formules est True car w ∧ True est équivalent à w. De la même façon, la disjonction d'une
formule w avec une disjonction de zéro d'autre formules doit donner une formule équivalente
à w, la disjonction de zéro formules est donc False car w ∨ False est équivalent à w. Ou
autrement dit, la conjonction de zéro formules est l'élément neutre de la conjonction (True)
et la disjonction de zéro formules est l'élément neutre de la disjonction (False). On trouve
des conventions similaires dans les Mathématiques, en arithmétique par exemple on dit que
la somme de zéro nombres est 0 (l'élément neutre de l'addition) et que le produit de zéros
nombres est 1 (l'élément neutre de la multiplication).
Avec cette convention, on peut donc dire :
42 CHAPITRE 4. FORMES NORMALES DANS LA LOGIQUE PROPOSITIONNELLE

1. Une clause conjonctive est une conjonction de zéro ou plus littéraux.

2. Une formule est en forme disjonctive normale si elle est la disjonction de zéro ou plus
clauses conjonctives.
Évidemment toute formule en forme disjonctive normale est aussi en forme normale de né-
gation, mais l'inverse n'est pas le cas. Par exemple, x ∧ (¬y ∨ ¬z) est en forme normale de
négation mais pas en forme disjonctive normale.
Pour transformer une formule en une formule équivalente en forme disjonctive normale on
commence d'abord à la mettre en forme normale de négation selon la procédure décrite dans la
preuve du théorème 10. Puis, on transforme la formule obtenue en forme normale de disjonction
à l'aide du système de réécriture suivant :

X ∧ (Y ∨ Z) → (X ∧ Y ) ∨ (X ∧ Z) (4.4)
(X ∨ Y ) ∧ Z → (X ∧ Z) ∨ (Y ∧ Z) (4.5)
(X ∧ Y ) ∧ Z → X ∧ (Y ∧ Z) (4.6)
(X ∨ Y ) ∨ Z → X ∨ (Y ∨ Z) (4.7)

Par exemple,

x1 ∧ (¬(y1 ∨ y2 ) ∧ ¬¬(z1 ∨ z2 ))
se transforme en x1 ∧ (¬(y1 ∨ y2 ) ∧ (z1 ∨ z2 )) par règle 4.1
se transforme en x1 ∧ ((¬y1 ∧ ¬y2 ) ∧ (z1 ∨ z2 )) par règle 4.3
se transforme en x1 ∧ (((¬y1 ∧ ¬y2 ) ∧ z1 ) ∨ ((¬y1 ∧ ¬y2 ) ∧ z2 )) par règle 4.4
se transforme en x1 ∧ ((¬y1 ∧ ¬y2 ∧ z1 ) ∨ (¬y1 ∧ ¬y2 ∧ z2 )) par règle 4.6 (2 fois)
se transforme en (x1 ∧ ¬y1 ∧ ¬y2 ∧ z1 ) ∨ (x1 ∧ ¬y1 ∧ ¬y2 ∧ z2 ) par règle 4.5

Proposition 8 Soit ψ : Form → N dénie par récurrence :

 ψ(x) = 2 si x ∈ V
 ψ((p1 ∧ p2 )) = (ψ(p1 ))2 ∗ ψ(p2 )
 ψ((p1 ∨ p2 )) = 2ψ(p1 ) + ψ(p2 ) + 1
 ψ(¬p) = ψ(p)
Alors pour toute formule p ∈ F orm : Si p se transforme en q par une application d'une des
règles 4.4 à 4.7 alors ψ(p) > ψ(q).

Exercice 10 Montrer la proposition 8.

Théorème 11 Pour toute formule il existe une formule équivalente en forme disjonctive nor-
male.

Démonstration: Grâce au théorème 10 il existe pour toute formule une formule équivalente
en forme normale de négation. Nous appliquons les règles de transformation 4.4 à 4.7 autant
que possible à cette formule en forme normale de négation. Le reste de la preuve suit le même
schéma que la preuve du théorème 10 : Nous devrons montrer que :
1. Le processus de transformation s'arrête toujours : pour une formule p donnée on arrive
toujours après un nombre ni de transformations sur une formule qui ne peut plus être
transformée.
4.3. FORME DISJONCTIVE NORMALE 43

2. La formule qu'on obtient à la n est équivalente à la formule de départ.

3. La formule qu'on obtient à la n est en forme disjonctive normale.
La terminaison est une conséquence de la proposition 7.
Nous avons vu dans la preuve du théorème 10 que la preuve du deuxième énoncé repose sur
le fait que chacune des règles transforme toujours une formule en une formule équivalente.
Pour les règles (4.1) à (4.3) nous l'avons déjà montré dans la preuve du théorème 10, pour les
règles (4.4) et (4.5) c'est une conséquence directe des lois de distributivité (théorème 8), et
pour les règles (4.6) et (4.7) une conséquence directe des deux lois d'associativité (théorème 7).
Il reste à montrer le troisième énoncé : Si on ne peut plus appliquer une des règles alors la
formule est en forme disjonctive normale. Supposons par l'absurde que la formule p n'est pas
en forme disjonctive normale. Il y a les possibilités suivantes :
1. p n'est pas en forme normale de négation : ce n'est pas possible car aucune des règles
4.4 à 4.7 peut transformer une formule en forme normale de négation en une formule qui
n'est pas en forme normale de négation.
2. p contient une sous-formule (p1 ∧ p2 ) ∧ p3 ou (p1 ∨ p2 ) ∨ p3 : Une des règles (4.6) ou (4.7)
s'applique alors, contradiction.
3. Il y a en p une disjonction au-dessous d'une conjonction, c'est-à-dire p contient une
sous-formule de la forme (p1 ∧ (p2 ∨ p3 )) ou de la forme ((p1 ∨ p2 ) ∧ p3 ) : Une des règles
(4.4) ou (4.5) s'applique alors, contradiction. 2
Attention, la transformation d'une formule en forme disjonctive normale risque de faire croître
la taille de la formule de façon exponentielle. Par exemple, la mise en forme disjonctive normale
de la formule
(x1 ∨ y1 ) ∧ (x2 ∨ y2 )
donne
(x1 ∧ x2 )
∨ (x1 ∧ y2 )
∨ (y1 ∧ x2 )
∨ (y1 ∧ y2 )

et la mise en forme disjonctive normale de

(x1 ∨ y1 ) ∧ (x2 ∨ y2 ) ∧ (x3 ∨ y3 )
donne
(x1 ∧ x2 ∧ x3 )
∨ (x1 ∧ x2 ∧ y3 )
∨ (x1 ∧ y2 ∧ x3 )
∨ (x1 ∧ y2 ∧ y3 )
∨ (y1 ∧ x2 ∧ x3 )
∨ (y1 ∧ x2 ∧ y3 )
∨ (y1 ∧ y2 ∧ x3 )
∨ (y1 ∧ y2 ∧ y3 )
44 CHAPITRE 4. FORMES NORMALES DANS LA LOGIQUE PROPOSITIONNELLE

et en général la mise en forme disjonctive normale de la formule

(x1 ∨ y1 ) ∧ (x2 ∨ y2 ) ∧ . . . ∧ (xn ∨ yn )

donne une formule avec 2n clauses conjonctives, chaque clause consistant en n littéraux.
Un avantage d'une forme disjonctive normale est qu'on peut voir facilement si la formule est
satisfaisable ou pas.

Théorème 12 Une formule en forme disjonctive normale

(c1 ∨ c2 ∨ . . . ∨ cn )

est satisfaisable si et seulement s'il y a un i tel que la clause ci ne contient pas à la fois une
variable x et aussi sa négation.

Démonstration: Évidemment une formule en forme disjonctive normale est satisfaisable si

et seulement si elle contient au moins une clause conjonctive qui est satisfaisable (donc, il faut
déjà que la formule contienne au moins une clause pour être satisfaisable). Il reste à montrer
qu'une clause conjonctive
c = (l1 ∧ l2 ∧ . . . ∧ lm )
est satisfaisable si et seulement si elle ne contient pas à la fois un littéral x et aussi sa néga-
tion ¬x.
 Si c contient un littéral x et aussi ¬x alors évidemment c n'est pas satisfaisable.
 Si c ne contient pas à la fois un littéral x et aussi ¬x alors c est satisfait par l'aectation v
dénie par
1 si x est un littéral en c

v(x) = 2
0 si ¬x est un littéral en c, ou si x 6∈ V(c)

Nous avons expliqué à la n de la section 2.4 qu'on connaît à ce jour aucun algorithme
 ecace , c'est-à-dire dont le temps d'exécution ne croit pas de façon exponentielle avec
la taille de la formule, pour décider la satisfaisabilité d'une formule. Or, le critère énoncé
dans le théorème 12 est très simple à vérier par un seul passage de la formule de gauche
à droite. Est-ce qu'il n'y a pas une contradiction avec la diculté perçue du problème de
décider la satisfaisabilité d'une formule ? L'explication de se paradoxe apparent est très simple :
Étant donnée une formule propositionnelle quelconque il faut d'abord la transformer en forme
disjonctive normale, avant d'appliquer le critère du théorème 12 à la formule obtenue. Or, cette
transformation implique un  gonement  exponentiel de la taille de la formule, et l'exécution
d'un algorithme ecace sur la formule de taille exponentielle se traduit alors en n de compte
toujours en un algorithme qui est exponentiel par rapport à la taille de la formule de départ.

4.4 Équivalences entre formules en forme disjonctive normale

On s'intéresse à la question suivante :
Question 1 : Est-il possible que deux formules diérentes en forme disjonctive
normale soient équivalentes ?
4.4. ÉQUIVALENCES ENTRE FORMULES EN FORME DISJONCTIVE NORMALE 45

La réponse à la question 1 est  oui  car les deux formules peuvent déjà diérer dans l'ordre
des littéraux dans les clauses conjonctives, ou dans l'ordre des clauses conjonctives dans la
formule entière. Par exemple, les trois formules suivantes sont toutes en forme disjonctive
normale, elles sont équivalentes mais elles sont toutes syntaxiquement diérentes :

(x ∧ y) ∨ (¬z ∧ ¬y)
(y ∧ x) ∨ (¬z ∧ ¬y)
(¬z ∧ ¬y) ∨ (y ∧ x)

On pourrait dire que les diérences entre ces trois formules ne sont pas vraiment essentielles,
et on peut raner la question :

Question 2 : Est-il possible que deux formules en forme disjonctive normale avec
plus de diérence que simplement l'ordre des littéraux ou l'ordre des clauses, soient
équivalentes ?

La dénition suivante va nous permettre de formuler un critère pour l'équivalence de deux

formes disjonctives normales :

Dénition 11 Une clause conjonctive l1 ∧. . .∧ln subsume une clause conjonctive k1 ∧. . .∧km
si pour tout i avec 1 ≤ i ≤ n il existe un j avec 1 ≤ j ≤ m tel que kj = li .

Autrement dit, une clause c subsume une clause d si c est  incluse  en d à l'ordre des
littéraux et à des éventuelles répétitions près. Par exemple, x ∧ ¬y subsume z ∧ x ∧ ¬y , et
aussi z ∧ ¬y ∧ z ∧ x. On a évidemment que

Proposition 9 Si la clause conjonctive c subsume la clause conjonctive d alors d |= c.

Par exemple x ∧ ¬y ∧ z |= x ∧ ¬y .

Théorème 13 Soient c1 , . . . , cn des clauses conjonctives. Si cj subsume ci pour i 6= j alors

c1 ∨ . . . ∨ ci−1 ∨ ci ∨ ci+1 ∨ . . . ∨ cn |=| c1 ∨ . . . ∨ ci−1 ∨ ci+1 ∨ . . . ∨ cn

Autrement dit, on obtient une formule équivalente quand on supprime dans une forme dis-
jonctive normale une clause qui est subsumée par une autre clause. Les clauses subsumées sont
redondantes. La preuve est une simple application de la proposition 9. Par exemple,

(x ∧ ¬y) ∨ (¬x ∧ y) ∨ (x ∧ ¬y ∧ z1 ∧ ¬z2 ) |=| (x ∧ ¬y) ∨ (¬x ∧ y)

La réponse à la question 2 est que c'est toujours possible, comme on a vu sur l'exemple
précédent. On peut donc essayer de raner encore la question :

Question 3 : Est-il possible que deux formules en forme disjonctive normale avec
plus de diérence que simplement l'ordre des littéraux ou l'ordre des clauses, et où
aucune clause subsume une autre dans la même formule, soient équivalentes ?
46 CHAPITRE 4. FORMES NORMALES DANS LA LOGIQUE PROPOSITIONNELLE

La réponse est toujours  oui . Par exemple, les deux formules suivantes sont en forme dis-
jonctive normale, équivalentes, mais leur diérence syntaxique dépasse l'ordre des littéraux ou
des clauses, et on ne peut pas supprimer une clause qui subsume une autre :
¬x ∨ (x ∧ ¬y) (4.8)
¬y ∨ (y ∧ ¬x) (4.9)
En fait, les deux formules sont équivalentes à
(¬x ∧ y) ∨ (¬x ∧ ¬y) ∨ (x ∧ ¬y) (4.10)
ce qui est donc encore une formule en forme disjonctive normale et qui est équivalente aux
formules (4.8) et (4.10), mais complètement diérente. On voit par exemple l'équivalence de
(4.8) et (4.10) comme suit :
¬x ∨ (x ∧ ¬y)
|=| (¬x ∧ (y ∨ ¬y)) ∨ (x ∧ ¬y) True est l'élément neutre de ∧
|=| (¬x ∧ y) ∨ (¬x ∧ ¬y) ∨ (x ∧ ¬y) de Morgan
En fait il y a encore une autre formule en forme disjonctive normale qui est équivalente a (4.8)
à (4.10) et qui est encore plus petite :
¬x ∨ ¬y (4.11)
Pour montrer cette équivalence nous avons besoin du critère de subsomption (théorème 13) :
¬x ∨ ¬y
|=| ¬x ∨ (¬y ∧ (x ∨ ¬x)) True est l'élément neutre de ∧
|=| ¬x ∨ (¬y ∧ x) ∨ (¬y ∧ ¬x) de Morgan
|=| ¬x ∨ (x ∧ ¬y) théorème 13, car ¬x subsume ¬y ∧ ¬x
Il faut bien sûr préciser qu'est-ce qu'on entend par  plus petit  : Dans le contexte de
cette section, c'est-à-dire pour la comparaison des formules en forme disjonctive normale, en
compare les formules simplement par le nombre de littéraux qui paraissent dedans (si le même
littéral parait plusieurs fois on compte toutes ces occurrences). Par exemple, les formules (4.8)
et (4.9) ont chacune 3 littéraux, et la formule (4.10) a 6 littéraux.
On vois facilement qu'il n'y a pas de formule équivalente en forme disjonctive normale qui est
encore plus petite, sauf ¬y ∨ ¬x qui est simplement une variante de (4.11) par commutativité.
Une formule en forme disjonctive normale est dite minimale quand il n'y a pas d'autre formule
en forme disjonctive normale qui est plus petite et qui lui est équivalente. Dans notre exemple
on obtient donc que la forme disjonctive normale minimale est unique à des applications de
commutativité et associativité près.
Le calcul d'une forme disjonctive normale minimale est d'une grande importance dans le
domaine d'architecture d'ordinateurs où on s'intéresse au problème de réaliser un circuit d'une
certaine fonctionnalité à moindre coût. L'algorithme le plus connu pour le calcul d'une forme
disjonctive normale minimale porte le nom de ses deux inventeurs Quine et McCluskey.
On peut donc encore raner notre question :
Question 4 : est-il possible que deux formules minimales en forme disjonctive
normale avec plus de diérence que simplement l'ordre des littéraux ou l'ordre des
clauses, sont équivalentes ?
4.5. FORME CONJONCTIVE NORMALE 47

La réponse est toujours  oui comme on peut voir sur l'exemple de la formule

(x ∧ y) ∨ (¬x ∧ ¬y) ∨ (x ∧ ¬y ∧ z) (4.12)

Cette formule est équivalente aux deux formules plus petites en forme disjonctive normale

(x ∧ y) ∨ (¬x ∧ ¬y) ∨ (x ∧ z) (4.13)

(x ∧ y) ∨ (¬x ∧ ¬y) ∨ (¬y ∧ z) (4.14)

Ces deux formules ne sont pas de simples variantes par application de commutativité et d'as-
sociativité. De plus, il n'y a pas de formule équivalente en forme disjonctive normale qui soit
plus petite.

Exercice 11 Soit p = (x ∧ y) ∨ (¬x ∧ ¬y) ∨ (x ∧ z). Montrer

1. Pour aucune des formules q parmi x, ¬x, y , ¬y , z , ¬z on a que q |= p.
2. Il n'y a aucune formule en forme disjonctive normale équivalente à p qui contient une
clause avec un seul littéral.
3. Il n'y a aucune formule en forme disjonctive normale équivalente à p qui a moins que 6
littéraux.

4.5 Forme conjonctive normale

La forme conjonctive normale est dénie de façon analogue à la forme disjonctive normale :

Dénition 12 1. Une clause disjonctive est une disjonction de zéro ou plus littéraux.
2. Une formule est en forme conjonctive normale (abrégé CNF) si elle est la conjonction
de zéro ou plus clauses disjonctives.

Par exemple, (x ∨ y) ∧ (¬z ∨ y ∨ ¬z) est en forme conjonctive normale. Remarquez qu'il y a des
formules qui sont à la fois en forme disjonctive normale et en forme conjonctive normale, par
exemple (x ∨ ¬y ∨ z) qu'on peut voir comme une seule clause disjonctive et donc une formule
en forme conjonctive normale ; ou comme une disjonction de trois clauses conjonctives qui
chacune consiste en un seul littéral, et donc comme une formule en forme disjonctive normale.

Théorème 14 Pour toute formule il existe une formule équivalente en forme conjonctive
normale.

La procédure est analogue à celle de la mise en forme disjonctive normale, sauf que les deux
premières règles de transformation (4.4) et (4.5) sont à remplacer par

X ∨ (Y ∧ Z) → (X ∨ Y ) ∧ (X ∨ Z) (4.15)
(X ∧ Y ) ∨ Z → (X ∨ Z) ∧ (Y ∨ Z) (4.16)

On obtient également un correspondant au théorème 12 pour les formules en forme conjonctive

normale :
48 CHAPITRE 4. FORMES NORMALES DANS LA LOGIQUE PROPOSITIONNELLE

Théorème 15 Une formule en forme conjonctive normale

(d1 ∧ d2 ∧ . . . ∧ dn )
est valide si et seulement si pour tout i il existe une variable x telle que la clause di contient
à la fois le littéral x et aussi sa négation ¬x.
La notion de subsomption se présente comme suit pour des clauses disjonctives :

Dénition 13 Une clause disjonctive l1 ∨ . . . ∨ ln subsume une clause disjonctive k1 ∨ . . . ∨ km

si pour tout i avec 1 ≤ i ≤ n il existe un j avec 1 ≤ j ≤ m tel que kj = li .
Par exemple, x ∨ ¬y subsume x ∨ ¬y ∨ z .

Proposition 10 Si la clause disjonctive c subsume la clause disjonctive d alors c |= d.

Remarquez que le sens de la conséquence est inverse à celui de la proposition 9.
Par exemple x ∨ ¬y |= x ∨ ¬y ∨ z .
Théorème 16 Soient c1 , . . . , cn des clauses disjonctives. Si cj subsume ci pour i 6= j alors
c1 ∧ . . . ∧ ci−1 ∧ ci ∧ ci+1 ∧ . . . ∧ cn |=| c1 ∧ . . . ∧ ci−1 ∧ ci+1 ∧ . . . ∧ cn

Exercice 12 Montrer Proposition 10 et Théorème 16.

Ce théorème dit que, pour les formules en forme disjonctive normale, une clause subsumée est
redondante et peut être supprimée. C'est donc pareil que pour les formules en forme disjonctive
normale.

4.6 Références et remarques

Il y des autres questions intéressantes qu'on peut se poser sur les systèmes de transformation
par règles, comme par exemple les systèmes donnés ci-dessus. Par exemple, si on a plusieurs
possibilités d'appliquer une règle de transformation à une formule, est-ce qu'on arrive toujours
à la n sur la même formule ? Un exemple intéressant dans ce contexte est
¬¬(x ∧ y)
On peut soit appliquer la règle (4.1) et obtenir la formule (x ∧ y) qui est en forme normale,
soit appliquer la règle (4.2) à la position de la deuxième négation :
¬¬(x ∧ y)
se transforme en ¬(¬x ∨ ¬y) par règle (4.2)
se transforme en ¬¬x ∧ ¬¬y par règle (4.3)
se transforme en x ∧ y par règle (4.1) (deux fois)
Donc dans ce cas le résultat est le même. Est-ce toujours le cas ? La réponse est  oui  pour ce
système de transformation, et on dit que le système est conuent . Mais ce n'est pas évident,
et il y a des systèmes de règles qui n'ont pas cette propriété. Cette question de conuence,
ainsi que des techniques de preuves de terminaison (comme la proposition 7), est étudiée dans
le domaine des systèmes de réécriture, un sous-domaine de la démonstration automatique.
Chapitre 5

Satisfaisabilité de formes conjonctives

normales
Nous avons vu dans la section précédente qu'il est très facile de vérier la satisfaisabilité d'une
formule donnée en forme disjonctive normale (théorème 12), ou encore de vérier la validité
d'une formule donnée en forme conjonctive normale (théorème 15). Malheureusement il y a
beaucoup d'applications où on a un problème diérent à résoudre : on a donné au départ une
formule en forme conjonctive normale, ou au moins dans une forme qui peut être transformée
facilement en forme conjonctive normale, et on souhaite décider de la satisfaisabilité de la
formule. On peut par exemple penser à des problèmes de planication où il y a un grand
nombre de contraintes à satisfaire en même temps (c'est donc une grande conjonction), et
chaque contrainte consiste en un certain nombre d'alternatives possibles (autrement dit, des
disjonctions).
Il est donc important d'avoir une bonne méthode pour décider de la satisfaisabilité d'une
formule en forme conjonctive normale. On pourrait bien sûr transformer la formule en forme
disjonctive normale et puis appliquer le critère du théorème 12  malheureusement la trans-
formation en forme disjonctive normale risque de  goner  la formule de façon exponentielle.
On pourrait aussi utiliser la méthode des tables de vérité vue en section 2.4 et essayer toutes
les aectations possibles (pour les variables qui paraissent dans la formule). Cette méthode
de tables de vérité mérite d'être appelée  force brute  si on pense au nombre d'aectations
qu'il faut essayer pour des formules d'une taille très modeste : Avec seulement 300 variables
propositionnelles on a 2300 ≈ 1090 aectations à essayer, c'est déjà un milliard fois le nombre
estimé de particules élémentaires dans l'univers connu (les estimation de ce dernier nombre
sont entre 1079 et 1081 ).

5.1 Vers un algorithme ecace

Il nous faut donc une méthode plus intelligente qui évite autant que possible une énumération
des aectations. Une telle méthode a été proposée en 1962 par les chercheurs américains Martin
Davis, Hilary Putnam, George Logemann et Donald Loveland [?] et est depuis connu sous le
nom DPLL. Parfois on parle aussi simplement de la méthode Davis-Putnam ou DP car c'est
le nom d'un prédécesseur de cette méthode proposé par ces deux chercheurs en 1960 [?].
50 CHAPITRE 5. SATISFAISABILITÉ DE FORMES CONJONCTIVES NORMALES

Nous allons développer l'algorithme DPLL en plusieurs étapes en partant de l'algorithme des
tables de vérité. L'algorithme complet est résumé en section 5.2.

Hypothèses sur la forme des clauses. Nous dirons qu'une variable x paraît avec polarité
positive dans une clause disjonctive quand la clause est de la forme
l1 ∨ . . . ∨ x ∨ . . . ∨ ln

et avec polarité négative quand la clause est de la forme

l1 ∨ . . . ∨ ¬x ∨ . . . ∨ ln

A priori une variable peut paraître à la fois avec polarité positive et avec polarité négative
dans une clause, comme par exemple la variable x dans la clause
y1 ∨ x ∨ y2 ∨ ¬x ∨ y3

Une telle clause disjonctive qui contient à la fois un littéral x et sa négation ¬x est évidemment
une tautologie, elle n'importe pas pour la satisfaisabilité de la formule entière et on peut
la supprimer. De même, si une clause contient deux occurrences du même littéral, on peut
supprimer une des deux occurrences, la formule résultante est équivalente à la formule de
départ grâce à la loi d'idempotence de la disjonction (théorème 7). Exemple : on peut remplacer
x1 ∨ ¬x2 ∨ x3 ∨ ¬x2

par la clause simpliée

x1 ∨ ¬x2 ∨ x3

On peut donc dans la suite supposer que dans chacune des clauses disjonctives aucune variable
apparaît deux fois car si une variable apparaît deux fois dans une clause alors soit les deux
occurrences sont d'une polarité diérente et on peut ignorer la clause car elle est une tautologie,
soit les deux occurrences sont de la même polarité et on peut simplier la clause en supprimant
le littéral qui paraît en deux copies dans la clause.

Engendrer et tester des solutions candidat partielles. Le principe de l'algorithme

présenté dans la section 2.4 est d'engendrer des aectations, donc des candidats pour une
solution au problème, et de les tester une par une sur la formule donnée. On appelle cette
technique  générer et tester . Il s'agit d'une approche simple qui a l'avantage de séparer
l'algorithme en deux parties distinctes : la génération des solutions candidats (dans notre cas,
des aectations qui ont pour support une partie des variables qui paraissent dans la formule),
et le test si une solution candidat est vraiment une solution (dans notre cas, évaluer la formule
par rapport à l'aectation choisie). Or il se peut qu'on peut détecter qu'une formule n'est
pas satisfaisable en choisissant des valeurs pour seulement quelques unes des variables qui
paraissent dans la formule. Voici un exemple :
x ∧ (¬x ∨ y1 ∨ ¬y2 ∨ y3 ) ∧ ¬x ∧ (y2 ∨ ¬y4 ∨ y5 ) (5.1)
Cette formule a 6 variables, avec la méthode des tables de vérité il y a donc 26 = 64 aectation
à engendrer et à tester. Il se trouve qu'on peut voir plus facilement que cette formule n'est pas
5.1. VERS UN ALGORITHME EFFICACE 51

satisfaisable en essayant seulement les valeurs possibles de x : Si x vaut 0 c'est la première

clause qui est évaluée comme 0, et si x vaut 1 c'est la troisième clause qui est évaluée comme
0. Cette formule n'est par conséquent pas satisfaisable.
Il est donc intéressant de ne pas engendrer des solutions candidat complètes mais de choisir des
valeurs de variables une par une, et pour chaque choix d'évaluer  partiellement  la formule et
voir si on ne peut pas déjà donner une réponse pour ce choix sans essayer les valeurs possibles
pour les variables qui restent. Pour mettre cette nouvelle approche en ÷uvre il faut préciser
cette notion d'évaluation partielle d'une formule par rapport à la valeur choisie d'une variable.
D'abord pour une clause disjonctive d, une variable x et une valeur booléenne b ∈ {0, 1} :

True si b = 1 et x apparait avec polarité positive en d



 True si b = 0 et x apparait avec polarité négative en d



d[x/b] = d \ {¬x} si b = 1 et x apparait avec polarité négative en d
d \ {x} si b = 0 et x apparait avec polarité positive en d



si x ne parait pas en d.

d


Ici nous avons utilisé la notation d \ l, où l est un littéral de la clause disjonctive l, pour la
clause obtenue à partir de l en supprimant le littéral l. Par exemple, si d = (x ∨ ¬y ∨ z) alors
d \ {¬y} = (x ∨ z). Voici des exemples pour chacun des cinq cas qui apparaissent dans la
dénition d'une évaluation partielle d'une formule :

(x ∨ ¬y ∨ z)[x/1] = True
(¬x ∨ ¬y ∨ z)[x/0] = True
(¬x ∨ ¬y ∨ z)[x/1] = (¬y ∨ z)
(x ∨ ¬y ∨ z)[x/0] = (¬y ∨ z)
(y1 ∨ ¬y2 ∨ z)[x/1] = (y1 ∨ ¬y2 ∨ z)

Puis, on dénit la notion d'évaluation partielle d'une formule c = (d1 ∧ . . . ∧ dn ) en forme

conjonctive normale : c[x/b] est dénie comme la conjonction de toutes les clauses di [x/b] qui
sont diérentes de True ; on écrit :
^
c[x/b] = di [x/b]
1≤i≤n
True
di [x/b]6=

Pour l'exemple (5.1) on obtient

c = x ∧ (¬x ∨ y1 ∨ ¬y2 ∨ y3 ) ∧ ¬x ∧ (y2 ∨ ¬y4 ∨ y5 )

c[x/0] = False ∧ (y2 ∨ ¬y4 ∨ y5 )
c[x/1] = (y1 ∨ ¬y2 ∨ y3 ) ∧ False ∧ (y2 ∨ ¬y4 ∨ y5 )

Nous rappelons que False est une abréviation pour la clause disjonctive vide, si on supprime
de la clause x le littéral x on obtient la clause vide notée False.
La propriété de cette notion d'évaluation partielle est que

[[c[x/b]]]v = [[c]](v[x/b])
52 CHAPITRE 5. SATISFAISABILITÉ DE FORMES CONJONCTIVES NORMALES

pour toute aectation v et valeur booléenne b, et on a bien sûr que

c |=| c[x/0] ∨ c[x/1]

Donc, c est satisfaisable si c[x/0] est satisfaisable ou si c[x/1] est satisfaisable. Cela donne lieu
à un arbre de recherche car il faut a priori exploiter les deux possibilités :

c[x/0] c[x/1]

Notez que l'arbre de recherche est une représentation du déroulement de l'algorithme, il est
normalement pas représenté directement en mémoire par le programme qui réalise cet algo-
rithme. Une réalisation de l'algorithme dans un langage de programmation (disons, en Java)
va plutôt utiliser des appels récursifs de fonctions, ou une pile (voir un cours d'algorithmique).
L'intérêt de cet algorithme repose sur le fait qu'on peut donner des critères simples qui nous
permettent de dire dans certains cas si une formule obtenue pendant ce calcul est satisfaisable
ou pas :
1. Si la formule est la conjonction vide, notée True, alors la formule est une tautologie, et
donc satisfaisable.
2. Si la formule contient une clause qui est la disjonction vide, notée False, alors la formule
n'est pas satisfaisable.
3. Sinon on ne peut rien dire, il faut continuer à choisir des valeurs des variables.
On appelle la variable x pour laquelle on évalue la formule une fois pour la valeur [x/1],
une fois pour [x/0], la variable pivot . Sur l'exemple (5.1), les deux choix possibles pour les
valeurs de la variable pivot x nous donnent les deux alternatives qui sont toutes les deux non
satisfaisables. Par conséquent, la formule c de (5.1) n'est pas satisfaisable. Dans ce cas on a un
arbre de recherche très simple qui consiste seulement en trois n÷uds c, c[x/0] et c[x/1]. Bien
sûr on ne va pas toujours trouver une réponse après une seule évaluation partielle, en général il
faut continuer le parcours de l'arbre de recherche en choisissant une nouvelle variable pivot et
d'évaluer partiellement la formule obtenue par rapport au choix fait pour la nouvelle variable
pivot. Cela donne lieu à un arbre de recherche plus profond, comme par exemple

c[x/0] c[x/1]

c[x/0][y/0] c[x/0][y/1] c[x/1][z/0] c[x/1][z/1]

Remarquez qu'on n'est pas obligé de choisir la même variable pivot pour le n÷ud c[x/0] que
pour le n÷ud c[x/1]. L'ecacité d'une réalisation de l'algorithme DPLL dépend énormément
de la stratégie pour trouver une variable pivot.

Une stratégie d'énumération, et une optimisation La discussion précédente sur le

choix des variables et les évaluations des formules laisse une question ouverte : étant donnée
une formule en forme conjonctive normale, comment choisir la variable pivot ? Un mauvais
5.1. VERS UN ALGORITHME EFFICACE 53

choix répété de la variable pivot va résulter en un arbre de recherche très grand, et va donner
lieu à un calcul qui est aussi long que la construction de la table de vérité. Un bon choix de
la variable pivot par contre peut mener beaucoup plus rapidement à une réponse.
Si on prend par exemple la formule suivante :
(x1 ∨ x2 ∨ x3 ) ∧ (¬x1 ∨ x2 ∨ x3 ) ∧ x3
∧ (x1 ∨ x2 ∨ ¬x3 ) ∧ (¬x1 ∨ x2 ∨ ¬x3 ) ∧ ¬x3
∧ (x1 ∨ ¬x2 ∨ x3 ) ∧ (¬x1 ∨ ¬x2 ∨ x3 )
∧ (x1 ∨ ¬x2 ∨ ¬x3 ) ∧ (¬x1 ∨ ¬x2 ∨ ¬x3 )

Si on choisi les variables de pivot dans l'ordre x1 − x2 − x3 alors on trouvera que la formule est
non satisfaisable seulement quand on aura choisi les valeurs des trois variables. Dans ce cas on
parcourt un arbre de recherche d'hauteur 3 avec 23 = 8 feuilles, c'est-à-dire on engendre les
mêmes aectations que dans la méthode des tables vérités, et on a très peu gagné par notre
nouvelle méthode. En fait il y a un petit gain dû au fait qu'on simplie la formule dès qu'on a
fait un choix, par exemple x1 = 1 De cette façon il y a plus de réutilisation de calculs entre les
choix possibles des aectations que dans la méthode des tables de vérité, mais ce gain n'est
pas très important.
Un meilleur choix comme variable de pivot est bien sûr la variable x3 , on trouve dans ce cas
que la formule n'est pas satisfaisable pour les deux choix des valeurs de x3 et on a trouvé la
réponse avec un arbre de recherche d'hauteur 1.
Une bonne stratégie est donc : S'il y a une clause qui consiste en un seul littéral x ou ¬x alors
on choisit la variable x.

Dénition 14 Une clause (conjonctive ou disjonctive) qui consiste en un seul littéral est
appelé unitaire.

Pour ce cas on pourra même optimiser un peu le calcul : Si la formule c contient la clause
unitaire x alors le choix x = 0 donne forcement une formule c qui contient la clause False.
Puisqu'on sait déjà que c[x/0] va être non satisfaisable il n'est même pas nécessaire de con-
struire c[x/0], et la formule c est satisfaisable si et seulement si c[x/1] est satisfaisable. On
peut donc passer de la formule c directement à la formule c[x/1] qui est une formule plus
petite, et cela sans avoir fait un choix. Le cas d'une formule c qui contient une clause unitaire
¬x est analogue, dans ce cas c est satisfaisable si et seulement si c[x/0] est satisfaisable.
Exemple :
c = (x ∨ y) ∧ ¬y ∧ (¬x ∨ y ∨ ¬z) est satisfaisable
ssi c[y/0] = x ∧ (¬x ∨ ¬z) est satisfaisable
ssi c[y/0][x/1] = ¬z est satisfaisable
ssi c[y/0][x/1][z/0] = True est satisfaisable
La formule True est satisfaisable (elle est même une tautologie), la formule de départ est
alors également satisfaisable. Par contre on ne peut pas conclure que la formule de départ
est une tautologie, notez que les étapes de raisonnement sont relatives à la satisfaisabilité et
ne sont pas des équivalences logiques. Observez que l'évaluation partielle c[y/0] fait paraître
une nouvelle clause unitaire (la clause x) qui n'existait pas dans cette forme en c, et que
l'évaluation partielle c[y/0][x/1] fait paraître encore une nouvelle clause unitaire. Il est donc
54 CHAPITRE 5. SATISFAISABILITÉ DE FORMES CONJONCTIVES NORMALES

possible que cette stratégie nous permette dans certains cas d'enchaîner des simplications
sans nécessiter de vrais choix des valeurs de variables pivot.
Cela laisse toujours la question ouverte quoi faire quand toutes les clauses contiennent au
moins deux littéraux.

Variables qui apparaissent avec une seule polarité. Une deuxième optimisation con-
cerne le cas des variables qui apparaissent avec une seule polarité dans la formule, comme par
exemple
(x ∨ ¬y ∨ z) ∧ (x ∨ ¬z) ∧ (y ∨ z) ∧ (x ∨ ¬y) (5.2)
Dans ce cas, x apparait seulement avec polarité positive.

Proposition 11 Soit c en forme conjonctive normale.

 Si la variable x apparait seulement avec polarité positive en x alors c est satisfaisable si et
seulement si c[x/1] est satisfaisable.
 Si la variable x apparait seulement avec polarité négative en x alors c est satisfaisable si et
seulement si c[x/0] est satisfaisable.

Démonstration: Nous montrerons ici seulement le premier énoncé, le deuxième se montre

de façon analogue.
Si c[x/1] est satisfaisable, disons v |= c[x/1], alors on a que 1 = [[c[x/1]]]v = [[c]](v[x/1]) et c
est alors également satisfaisable.
Soit c satisfaisable, disons v |= c. On peut montrer facilement que pour toute clause d en c on
a que [[d]](v[x/1]) ≥ [[d]]v car x ne peut paraître que positivement en d, et par conséquent que
[[c[x/1]]]v = [[c]](v[x/1]) ≥ 1. Par conséquent, c[x/1] est satisfaisable. 2
Par exemple, la formule (5.2) est satisfaisable si et seulement si la formule (y ∨ z) est satis-
faisable.
L'optimisation consiste alors en le remplacement de c par c[x/1] quand x n'apparait qu'avec
polarité positive en c, et par c[x/0] quand x n'apparait qu'avec polarité négative en c. Il se
peut que, après une application de cette règle de simplication, une autre variable apparait
maintenant avec une seule polarité. Une première simplication peut donc déclencher des
autres simplications successives. Exemple :

c = (x ∨ ¬y) ∧ (y ∨ ¬z1 ) ∧ (¬z1 ∨ ¬z2 ) est satisfaisable

ssi c[x/1] = (y ∨ ¬z1 ) ∧ (¬z1 ∨ ¬z2 ) est satisfaisable
ssi c[x/1][y/1] = (¬z1 ∨ ¬z2 ) est satisfaisable
ssi c[x/1][y/1][z1 /0] = True est satisfaisable

La formule de départ est donc satisfaisable.

5.2 L'algorithme DPLL complet

Voici donc l'algorithme complet DPLL, écrit avec des appels récursifs . L'argument c de cette
fonction doit être une formule en forme conjonctive normale où aucune variable parait deux
5.2. L'ALGORITHME DPLL COMPLET 55

fois dans la même clause.

function dp(c) =case
(1) if c = True then return true
(2) if c contient une clause False then return f alse
(3) if c contient une clause unitaire x then return dp(c[x/1])
(4) if c contient une clause unitaire ¬x then return dp(c[x/0])
(5) if x n'apparaît qu'avec polarité positive en c then return dp(c[x/1])
(6) if x n'apparaît qu'avec polarité négative en c then return dp(c[x/0])
(7) else choisir x ∈ V(c); return dp(c[x/0]) or dp(c[x/1])
Les tests diérents dans l'instruction case peuvent être faits dans un ordre quelconque ; le
dernier cas else s'applique seulement quand aucun des cas if s'applique. On a donc la liberté
de choisir sa stratégie dans l'implémentation de cet algorithme. Cette liberté à un intérêt
plutôt pour le choix d'une priorité entre les cas (3) à (6) car les deux premiers cas mènent
toute de suite à la terminaison de l'algorithme et leur test associé est facile à réaliser (ces deux
cas sont donc à considérer avec première priorité).
Les deux cas (5) et (6) sont parfois omis dans des implémentations car le coût supplémentaire
de leur réalisation vaut, dans certaines applications, pas le gain. Ce coût supplémentaire peut
être assez important car il faut pour toute variable maintenir un compteur pour son nombre
d'occurrences avec polarité positive, et un autre compteur pour son nombre d'occurrences de
polarité négative, et mettre à jour ces compteurs lors de chaque évaluation partielle.
Nous avons donné tous les arguments pour la correction de cet algorithme tout le long de
la section 5.1.  Correction  veut ici dire que quand l'exécution d'un appel dp(c) donne une
réponse true alors la formule c est satisfaisable, et quand la réponse est f alse alors c n'est
pas satisfaisable. Il reste à montrer que l'exécution d'un appel dp(c) termine toujours, cela
est simplement assuré par le fait que dans chaque appel récursif l'argument (soit c[x/0], soit
c[x/1]) est plus petit que la formule c. Formellement il s'agit ici d'une preuve par induction
naturelle sur la taille de la formule. Remarquer qu'on ne peut pas utiliser le principe d'induc-
tion structurelle pour la preuve de terminaison car les formules c[x/0] et c[x/1] qui peuvent
apparaître dans les appels récursifs ne sont en général pas de sous-formules de la formule c.
Notez que l'application du cas (5) et du cas (6) de l'algorithme ont simplement pour eet de
supprimer certaines des clauses : si une variable x par exemple n'apparait qu'avec polarité
positive en c alors c[x/1] est obtenue à partir de c en supprimant toutes les clauses qui
contiennent x. Pour cette raison il n'est jamais possible que l'exécution du cas (5) ou du (6)
produit une clause unitaire qui n'était pas déjà présente avant.

Un exemple complet :
(x1 ∨ ¬x2 ∨ y1 ∨ ¬y2 ∨ ¬z2 ∨ ¬z4 )
∧(x2 ∨ y1 ) ∧ (x2 ∨ y1 ∨ y2 ∨ z1 ∨ z4 ) ∧ (x2 ∨ ¬y2 ∨ z1 ∨ ¬z2 )
∧(x2 ∨ ¬y1 ∨ z3 ∨ ¬z4 ) ∧ (x2 ∨ ¬y2 ∨ z2 ∨ ¬z3 )
∧(¬x2 ∨ ¬y1 ) ∧ (¬x2 ∨ ¬y1 ∨ ¬y2 ) ∧ (¬x2 ∨ y1 ∨ y2 ) ∧ (¬x2 ∨ ¬y2 ∨ z1 ) ∧ (¬x2 ∨ ¬z1 ∨ z2 )
∧(¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )

Cette formule contient 8 variables, il y a donc 256 aectations à tester avec la méthode des
tables de vérité.
56 CHAPITRE 5. SATISFAISABILITÉ DE FORMES CONJONCTIVES NORMALES

Le cas (5) de l'algorithme DPLL s'applique avec la variable x1 qui n'apparait qu'avec polarité
positive dans la formule (dans la première clause). On obtient, en supprimant la première
clause :

(x2 ∨ y1 ) ∧ (x2 ∨ y1 ∨ y2 ∨ z1 ∨ z4 ) ∧ (x2 ∨ ¬y2 ∨ z1 ∨ ¬z2 )

∧(x2 ∨ ¬y1 ∨ z3 ∨ ¬z4 ) ∧ (x2 ∨ ¬y2 ∨ z2 ∨ ¬z3 )
∧(¬x2 ∨ ¬y1 ) ∧ (¬x2 ∨ ¬y1 ∨ ¬y2 ) ∧ (¬x2 ∨ y1 ∨ y2 ) ∧ (¬x2 ∨ ¬y2 ∨ z1 ) ∧ (¬x2 ∨ ¬z1 ∨ z2 )
∧(¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )

Dans cette formule il n'y aucune clause unitaire et toute variable apparait avec les deux polar-
ités. On est donc obligé d'appliquer (7). Nous choisissons ici la variable x2 , il y a maintenant
deux cas :
Premier cas obtenu pour x2 = 0
y1 ∧ (y1 ∨ y2 ∨ z1 ∨ z4 ) ∧ (¬y2 ∨ z1 ∨ ¬z2 ) ∧ (¬y1 ∨ z3 ∨ ¬z4 ) ∧ (¬y2 ∨ z2 ∨ ¬z3 )
∧(¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )

Maintenant il y une clause unitaire y1 , on obtient donc avec (3) :

(¬y2 ∨ z1 ∨ ¬z2 ) ∧ (z3 ∨ ¬z4 ) ∧ (¬y2 ∨ z2 ∨ ¬z3 ) ∧ (¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )

Dans cette formule, la variable y2 n'apparait qu'avec polarité négative, on peut donc
appliquer (6) et supprimer les deux clauses qui contiennent le littéral ¬y2 :

(z3 ∨ ¬z4 ) ∧ (¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )

Encore une fois ce n'est que (7) qui s'applique, si on choisit la variable pivot z3 on obtient
encore deux sous-cas :
Premier sous-cas obtenu pour z3 = 0
¬z4 ∧ z4

qui donne false par application de (3) (ou de (4)). On doit donc considérer le second
sous-cas :
Second sous-cas obtenu pour z3 = 1. Il se trouve qu'on obtient la même formule que
dans le premier sous-cas :

¬z4 ∧ z4

qui donne false par application de (3) (ou de (4)).

Le premier cas n'a pas donné une réponse armative, il faut alors considérer le second
cas :
Second cas obtenu pour x2 = 1
¬y1 ∧ (¬y1 ∨ ¬y2 ) ∧ (y1 ∨ y2 ) ∧ (¬y2 ∨ z1 ) ∧ (¬z1 ∨ z2 )
∧(¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )
5.3. RÉFÉRENCES ET REMARQUES 57

Il y a une clause unitaire ¬y1 , on peut donc appliquer (3) et obtient

∧y2 ∧ (¬y2 ∨ z1 ) ∧ (¬z1 ∨ z2 ) ∧ (¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )
Maintenant il y une nouvelle clause unitaire y2 , et on obtient de la même façon
z1 ∧ (¬z1 ∨ z2 ) ∧ (¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )
Encore une fois avec la clause unitaire z1 :
∧z2 ∧ (¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )
Application de (3) sur la clause unitaire z2 (alternativement : application de (5) sur la
variable x2 qui n'apparait qu'avec polarité positive) :
(¬z3 ∨ ¬z4 ) ∧ (z3 ∨ z4 ) ∧ (¬z3 ∨ z4 )
Application de (7) avec la variable pivot z3 donne
Premier sous-cas obtenu pour z3 = 0 :
z4 ∧ z4
Finalement, application de (3) (ou alternativement (5)) donne true. La formule est
donc satisfaisable, et il n'est plus nécessaire de considérer le second sous-cas.
Il existe une forme duale de l'algorithme DPLL. Cet algorithme dual s'applique à des formules
en forme disjonctive normale et sert à décider la validité des formules. On obtient l'algorithme
DPLL dual à partir de l'algorithme DPLL de la même façon que nous avons obtenu les résultats
de la section 4.5 à partir des résultats de la section 4.3.
La table suivante résume nos résultats sur les méthodes pour décider de la satisfaisabilité ou
de la validité des formules en forme normale :
Forme de la formule : forme disjonctive normale forme conjonctive normale

Satisfaisabilité : trivial (théorème 12) algorithme DPLL

Validité : algorithme DPLL dual trivial (théorème 15)

5.3 Références et remarques

L'algorithme DPLL s'est révélé, malgré sa simplicité, très ecace dans un grand nombre
d'applications. Il y a pourtant des cas dans lesquels on est obligé de traiter des formules
propositionnelles d'une si grande complexité que DPLL n'y arrive plus.
Une extension importante de DPLL a été développée depuis la n des années 80, donc presque
30 ans après la publication de l'algorithme original. L'idée à la base de cette extension est
celle de l'apprentissage : on peut dans certains cas déduire de nouvelles clauses qui sont des
conséquences des clauses de départ, et qui peuvent aider dans la suite pour éliminer des
choix qui ne peuvent pas mener à un succès. Cette découverte était à la base des travaux de
recherche qui ont donné lieu à toute une suite d'améliorations, et à des programmes comme
Chaff, GRASP, ou MiniSat .
58 CHAPITRE 5. SATISFAISABILITÉ DE FORMES CONJONCTIVES NORMALES
Chapitre 6

Modélisation en logique
propositionnelle
Nous avons vu dans le chapitre précédent qu'il existe des outils pour décider de la satis-
faisabilité de formules propositionnelles en forme conjonctive normale, et que ces outils sont
souvent en pratique très ecaces. Dans ce chapitre nous allons montrer comment ces outils
peuvent être utilisés pour construire des programmes qui résolvent ecacement des problèmes
combinatoires (c'est-à-dire, des problèmes ou il faut trouver une solution parmi toutes les
combinaisons possibles de certains choix élémentaires).

6.1 Exemple : Colorer une carte

Figure 6.1: La carte des états de l'Australie.

Nous illustrons d'abord cette approche à l'aide d'un problème concret relativement simple :
est-il possible de colorer une carte de l'Australie (voir gure 6.1) avec seulement trois couleurs
(que nous appelons r, b, et v pour rouge, bleu, et vert) tel que deux états adjacents (qui ont
60 CHAPITRE 6. MODÉLISATION EN LOGIQUE PROPOSITIONNELLE

une frontière commune ; une île n'est adjacente à aucun autre état) n'ont jamais la même
couleur ?
Toute coloration de la carte de l'Australie par les trois couleurs peut être vue comme une
aectation qui associe à chaque état (parmi WA, NT, SA, QLD, NSW, VIC, et TAS) une
couleur parmi r, b, et v. Or, les variables propositionnelles permettent seulement un choix
binaire pour leur valeur : 0 ou 1. La première étape de la modélisation de notre problème en
logique propositionnelle consiste à exprimer les colorations possibles comme des aectations
à des variable propositionnelles. Dans cette première étape on ne s'intéresse pas encore à
la modélisation de la contrainte qui consiste à interdire la même couleur pour deux états
adjacent ; cette contrainte sera mise en place dans la deuxième étape de la modélisation.
Nous créons une variable propositionnelle pour chaque état et pour chaque couleur, cela fait
donc en total 7 ∗ 3 = 21 variables. Nous notons une telle variable par exemple comme [WA,r],
l'idée est que cette variable vaut 1 quand l'état WA est coloré en rouge, et 0 sinon (s'il est
coloré dans une autre couleur, ou pas coloré du tout). Puis, nous allons construire une formule
propositionnelle en forme conjonctive normale sur ces 21 variables qui est vraie par rapport
à une aectation si et seulement si l'aectation correspond à une coloration de la carte telle
que deux états adjacent soient colorés diéremment.

Première étape : caractériser les colorations. A priori, il est possible qu'une aectation
des variables propositionnelles ne corresponde pas à une coloration de la carte, par exemple
quand toutes les trois variables [WA,r], [WA,b] et [WA,v] ont la valeur 0 (c'est-à-dire, l'état
WA aurait aucune couleur), ou quand à la fois [WA,r] et [WA,b] ont la valeur 1 (l'état WA
aurait à la fois la couleur rouge et la couleur bleue). La première partie de la formule sert
donc à exclure toutes les aectations qui ne correspondent pas à une coloration. En fait, il
faut exprimer que tout état a une couleur, et exactement une couleur. Cette formule consiste
elle-même en deux parties. La première partie exprime que tout état a au moins une couleur :
P1 := ([WA,r] ∨ [WA,b] ∨ [WA,v])
∧ ([NT,r] ∨ [NT,b] ∨ [NT,v])
∧ ([SA,r] ∨ [SA,b] ∨ [SA,v])
∧ ([QLD,r] ∨ [QLD,b] ∨ [QLD,v])
∧ ([NSW,r] ∨ [NSW,b] ∨ [NSW,v])
∧ ([VIC,r] ∨ [VIC,b] ∨ [VIC,v])
∧ ([TAS,r] ∨ [TAS,b] ∨ [TAS,v])
La deuxième partie de la première formule exprime le fait que tout état ne peut pas avoir deux
couleurs diérentes à la fois :
P2 := (¬[WA,r] ∨ ¬[WA,b]) ∧ (¬[WA,r] ∨ ¬[WA,v]) ∧ (¬[WA,b] ∨ ¬[WA,v])
∧ (¬[NT,r] ∨ ¬[NT,b]) ∧ (¬[NT,r] ∨ ¬[NT,v]) ∧ (¬[NT,b] ∨ ¬[NT,v])
∧ (¬[SA,r] ∨ ¬[SA,b]) ∧ (¬[SA,r] ∨ ¬[SA,v]) ∧ (¬[SA,b] ∨ ¬[SA,v])
∧ (¬[QLD,r] ∨ ¬[QLD,b]) ∧ (¬[QLD,r] ∨ ¬[QLD,v]) ∧ (¬[QLD,b] ∨ ¬[QLD,v])
∧ (¬[NSW,r] ∨ ¬[NSW,b]) ∧ (¬[NSW,r] ∨ ¬[NSW,v]) ∧ (¬[NSW,b] ∨ ¬[NSW,v])
∧ (¬[VIC,r] ∨ ¬[VIC,b]) ∧ (¬[VIC,r] ∨ ¬[VIC,v]) ∧ (¬[VIC,b] ∨ ¬[VIC,v])
∧ (¬[TAS,r] ∨ ¬[TAS,b]) ∧ (¬[TAS,r] ∨ ¬[TAS,v]) ∧ (¬[TAS,b] ∨ ¬[TAS,v])
La formule construite jusqu'à maintenant, P1 ∧ P2 , a la propriété que toute solution de cette
formule correspond à une coloration unique de la carte, et inversement. Exprimé plus formelle-
6.1. EXEMPLE : COLORER UNE CARTE 61

ment, il existe une fonction bijective entre l'ensemble de toutes les solutions, et l'ensemble de
toutes les colorations possibles de la carte. Soit
 
rep: {WA, NT, SA, QLD, NSW, VIC, TAS} → {r, b, v} → {v ∈ X → {0, 1} | v |= P1 ∧ P2 }

où X est l'ensemble des 21 variables donné au-dessus, dénie par

1 si f (state) = color

rep(f )([state, color ]) =
0 si f (state) 6= color

On peut montrer que rep est bien une fonction bijective :

 Pour toute coloration f , l'aectation rep(f ) est bien une solution de la formule P1 ∧ P2 ,
donc il s'agit d'une fonction avec le domaine et co-domaine indiqué.
 Si f1 et f2 sont des colorations diérentes, alors rep(f1 ) et rep(f1 ) sont des aectations
diérentes. La fonction est donc injective.
 Pour toute solution v de P1 ∧ P2 il existe une coloration f telle que rep(f ) = v . La fonction
est donc surjective.

Deuxième étape : exprimer la contrainte spécique. Ensuite, nous pouvons construire

la formule qui exprime le fait que deux états adjacents ne peuvent pas avoir la même couleur :
nous interdisons simplement tous les cas dans lesquels deux pays adjacents sont colorés pareil
(soit rouge, soit bleue, soit vert) :

P3 = (¬[WA,r] ∨ ¬[NT,r]) ∧ (¬[WA,b] ∨ ¬[NT,b]) ∧ (¬[WA,v] ∨ ¬[NT,v])

∧ (¬[WA,r] ∨ ¬[SA,r]) ∧ (¬[WA,b] ∨ ¬[SA,b]) ∧ (¬[WA,v] ∨ ¬[SA,v])
∧ (¬[NT,r] ∨ ¬[SA,r]) ∧ (¬[NT,b] ∨ ¬[SA,b]) ∧ (¬[NT,v] ∨ ¬[SA,v])
∧ (¬[NT,r] ∨ ¬[QLD,r]) ∧ (¬[NT,b] ∨ ¬[QLD,b]) ∧ (¬[NT,v] ∨ ¬[QLD,v])
∧ (¬[SA,r] ∨ ¬[QLD,r]) ∧ (¬[SA,b] ∨ ¬[QLD,b]) ∧ (¬[SA,v] ∨ ¬[QLD,v])
∧ (¬[SA,r] ∨ ¬[NSW,r]) ∧ (¬[SA,b] ∨ ¬[NSW,b]) ∧ (¬[SA,v] ∨ ¬[NSW,v])
∧ (¬[SA,r] ∨ ¬[VIC,r]) ∧ (¬[SA,b] ∨ ¬[VIC,b]) ∧ (¬[SA,v] ∨ ¬[VIC,v])

On constate que la dernière formule ne contient pas de variable pour l'état de Tasmanie, ce
qui est normal puisque la Tasmanie est une île et donc adjacente à aucun autre état.
Finalement, la formule complète est P1 ∧P2 ∧P3 . Cette formule est satisfaisable si et seulement
s'il existe une solution au problème de départ. Si v |= P1 ∧ P2 ∧ P3 , alors la coloration cherchée
est la fonction f telle que rep(f ) = v . Une telle fonction f existe car la fonction rep est
surjective, et elle est uniquement déterminée pour une aection v donnée car la fonction rep
est injective.

On voit que la première étape était plus au moins indépendante du fait qu'il s'agit ici de
l'Australie : Cette étape aurait été la même pour l'Afrique ou l'Europe, sauf que pour ces
continents il nous aurait fallu plus de variables (car ils ont plus de pays que l'Australie a
d'états). La deuxième étape, par contre, était très spécique à l'Australie, bien que le principe
de construction sera le même pour des autres cartes. Dans la deuxième étape, la forme de la
formule obtenue dépend beaucoup de la carte considérée. Par exemple, une carte des régions du
Chili donnerait une formule complètement diérente (consultez un atlas pour savoir pourquoi).
62 CHAPITRE 6. MODÉLISATION EN LOGIQUE PROPOSITIONNELLE

Généralisation. Regardons maintenant le problème de coloration d'une carte en général.

Soient donnés :
 un ensemble de pays 1, . . . , n
 un ensemble de couleurs 1, . . . , m
 une fonction A: {1, . . . , n} × {1, . . . , n} → {true, f alse} qui indique si deux pays sont adja-
cents.
Donc on simplie la notation on numérotant les pays et les couleurs. L'ensemble des variables
propositionnelles est
{[i, j] | 1 ≤ i ≤ n, 1 ≤ j ≤ m}

Nous pouvons écrire la formule maintenant très concisement en utilisant la notation et :

V W
i i

^  _ 
[i, j]
1≤i≤n 1≤j≤m
^ ^ ^
∧ (¬[i, j] ∨ ¬[i, k])
1≤i≤n 1≤j≤m j<k≤m
^ ^ ^
∧ (¬[i, k] ∨ ¬[j, k])
1≤i≤n i<j≤n 1≤k≤m
A(i,j)=true

Ces trois formules correspondent respectivement aux formules P1 , P2 , et P3 dans la construc-

tion exemple. On voit que la formule construite est déjà en forme conjonctive normale, ce qui
découle assez naturellement de notre problème et de la modélisation que nous avons choisi.
D'autres problèmes combinatoires peuvent nécessiter plus d'eort pour obtenir une forme
conjonctive normale.
On peut maintenant facilement écrire un programme qui
1. lit la carte (dans une représentation appropriée) et le nombre de couleurs
2. construit la formule propositionnelle comme décrit au-dessus
3. lance un SAT-solveur externe (par exemple MiniSat) sur cette formule
4. utilise l'aectation trouvée par le SAT-solveur (quand une solution existe) pour acher
une coloration de la carte.
Comment est-ce qu'un SAT-solveur va se débrouiller pour trouver une solution à une telle
formule ? Imaginons que le SAT-solveur réalise l'algorithme DPLL que nous avons vu au
chapitre 5 (en vérité, les SAT-solveurs modernes sont beaucoup plus sophistiqués), et prenons
la formule construite pour la carte de l'Australie. Initialement il n'y a ni de clause unitaire,
ni de variable en une seule polarité. L'algorithme choisi donc une variable, disons [WA,r], et
essaye de la mettre à la valeur 1, et puis de la mettre à la valeur 0 dans le cas où le premier
choix ne donne pas de solution. Quand la variable [WA,r] est mise à 1, toutes les clauses
binaires qui contiennent le littéral négatif ¬[WA,r] vont se transformer en clause unaire,
et donc déclencher un grand nombre de résolutions unaires. En particulier, le choix de la
couleur rouge va être enlevé pour tous les pays qui sont adjacents avec WA. L'eet sera encore
plus grand quand l'implémentation du SAT-solveur va choisir une variable avec le plus grand
nombre d'occurrences dans la formule, c'est dans notre cas une des trois variables liées à l'état
de Southern Australia car c'est cet état qui a le plus de voisins.
6.2. EXEMPLE : DES MARIAGES HEUREUX 63

6.2 Exemple : Des mariages heureux

Nous essayons maintenant d'appliquer le même principe sur un problème diérent :
Dans le cours de Master 2  Outils Logiques avancés  il y a trois étudiants - Adam, Bruno,
Chen - et trois étudiantes - Xanthia, Ylenia, Zoé. On sait que Adam aime Xanthia et Zoé,
Bruno aime Ylenia, Chen aime Ylenia et Xanthia, tandis que Xanthia aime Bruno et Chen,
Ylenia aime Adam et Bruno, Zoé aime Adam et Chen. Est-il possible de faire trois mariages
parmi eux, tel que chacun(e) se marie avec une personne qu'il (qu'elle) aime ?
La première décision à prendre est : quelles sont les variables propositionnelles, et à quoi
doivent elles correspondre dans notre problème de départ ? On pourrait être tenté de choisir
des variables hX, Y i, où X et Y sont des personnes, qui dénotent le fait que X aime Y . Ça
serait un mauvais choix car il ne nous permettra pas de modéliser ce qui nous intéresse à la
n : les mariages entre les personnes. Une meilleure approche sera de choisir des variables
[X, Y ], où X et Y sont des personnes, exprimant le fait que X se marie avec Y (6 ∗ 6 = 36
variables). Cela nous permettra de modéliser les mariages, mais nous obligera à exprimer par
une formule le fait que chaque mariage est entre un garçon et une lle, et en plus qu'un mariage
entre X et Y est la même chose qu'un mariage entre Y et X . On peut se faciliter la tâche
en choisissant mieux les variables : on choisit des variables [G, F ] où G est un garçon, et F
une lle (seulement 3 ∗ 3 = 9 variables) : [A, X], [A, Y ], [A, Z], [B, X], [B, Y ], [B, Z], [C, X],
[C, Y ], [C, Z (à partir de maintenant nous abrégerons les noms par leur lettre initiale).

Première étape : caractériser les mariages Évidemment tout mariage entre ces per-
sonnes correspond à une aectation des variables. Le contraire n'est pas vrai : D'un côté, une
aectation peut par exemple aecter 1 aux deux variables [A,X] et [A,Y], ce qui fait vivre
Adam en bigamie, ou aecter 0 aux trois variables [C,X], [C,Y] et [C,Z], ce qui laisse Chen
célibataire. On construit donc des formules qui expriment l'absence du célibat : chaque garçon
trouve une lle (formule P1 ), et chaque lle trouve un garçon (formule P10 ).

P1 := ([A,X] ∨ [A,Y] ∨ [A,Z])

∧ ([B,X] ∨ [B,Y] ∨ [B,Z])
∧ ([C,X] ∨ [C,Y] ∨ [C,Z])
0
P1 := ([A,X] ∨ [B,X] ∨ [C,X])
∧ ([A,Y] ∨ [B,Y] ∨ [C,Y])
∧ ([A,Z] ∨ [B,Z] ∨ [C,Z])

Puis, on construit des formules qui expriment l'absence de bigamie : Aucun garçon ne se marie
avec deux lles (formule P2 ), et aucune lle ne se marie avec deux garçons (formule P20 ).

P2 := (¬[A,X] ∨ ¬[A,Y]) ∧ (¬[A,X] ∨ ¬[A,Z]) ∧ (¬[A,Y] ∨ ¬[A,Z])

∧ (¬[B,X] ∨ ¬[B,Y]) ∧ (¬[B,X] ∨ ¬[B,Z]) ∧ (¬[B,Y] ∨ ¬[B,Z])
∧ (¬[C,X] ∨ ¬[C,Y]) ∧ (¬[C,X] ∨ ¬[C,Z]) ∧ (¬[C,Y] ∨ ¬[C,Z])
P20 := (¬[A,X] ∨ ¬[B,X]) ∧ (¬[A,X] ∨ ¬[C,X]) ∧ (¬[B,X] ∨ ¬[C,X])
∧ (¬[A,Y] ∨ ¬[B,Y]) ∧ (¬[A,Y] ∨ ¬[C,Y]) ∧ (¬[B,Y] ∨ ¬[C,Y])
∧ (¬[A,Z] ∨ ¬[B,Z]) ∧ (¬[A,Z] ∨ ¬[C,Z]) ∧ (¬[B,Z] ∨ ¬[C,Z])

La formule P1 ∧ P10 ∧ P2 ∧ P20 est satisfaite par tout les mariages légaux (monogames) entre
toutes les personnes, et exclut toutes les aectations qui ne sont pas des mariages légaux entre
64 CHAPITRE 6. MODÉLISATION EN LOGIQUE PROPOSITIONNELLE

toutes les personnes du groupe. On pourrait remarquer qu'il aurait en principe sut de choisir
la formule P1 ∧ P20 (ou P10 ∧ P2 ).

Exercice 13 Montrer que P1 ∧ P20 |= P10 ∧ P2 .

Est-ce que ça veut dire que P1 ∧ P20 est un meilleur choix que P1 ∧ P10 ∧ P2 ∧ P20 ? La réponse
est non, car un solveur peut bien proter des informations supplémentaires même si elles
sont en principes redondantes. Par exemple, si l'algorithme DPLL avait choisi en un moment
une aectation qui marie un garçon à deux lles alors l'algorithme aurait trouvé tout de
suite la contradiction s'il disposait de P2 . En présence de P1 ∧ P20 seulement il trouve aussi
la contradiction, mais possiblement plus tard. Donc, des informations redondantes peuvent
mener à une amélioration de la performance de l'algorithme.

Deuxième étape : exprimer la contrainte spécique Il reste maintenant à exprimer

que chaque garçon se marie avec une lle qu'il aime, et que chaque lle se marie avec un garçon
qu'elle aime.
P3 = ([A, X] ∨ [A, Z])
∧ [B, Y ]
∧ ([C, X] ∨ [C, Y ])
∧ ([B, X] ∨ [C, X])
∧ ([A, Y ] ∨ [B, Y ])
∧ ([A, Z] ∨ [C, Z])
Donc, on arrive à la formule
P1 ∧ P10 ∧ P2 ∧ P20 ∧ P3
Maintenant, on constate que chacune des clauses de P1 et de P10 sont subsumées par des
clauses en P3 . Il y a donc encore une fois une redondance, mais maintenant le cas est diérent
de ce qu'on avait observé à la première étape : la subsomption est un cas particulier de la
redondance où la clause subsumée ne peut pas donner un avantage à l'algorithme DPLL.
Les clauses subsumées ne servent donc vraiment à rien, et on peut les supprimer. On arrive
nalement à la formule
P2 ∧ P20 ∧ P3
qui est la meilleure (mais pas la seule) solution.

Exercice 14 Est-ce que P2 ∧P3 serait une solution correcte ? En général, dire exactement pour
quels choix des formules parmi P1 , P10 , P2 , P20 , P3 leur conjonction est une solution correcte du
problème.

6.3 Extension : contraintes de comptage

Fréquemment on doit modéliser une contrainte d'une des formes suivantes, pour un sous-
ensemble Y ⊆ X de variables et un entier n :
1. au moins n des variables dans Y sont vraies ;
2. au plus n des variables dans Y sont vraies ;
3. exactement n des variables dans Y sont vraies.
6.3. EXTENSION : CONTRAINTES DE COMPTAGE 65

On parle alors d'une contrainte de comptage. Dans la coloration de la carte d'Australie étudiée
dans la section 6.1, par exemple, on pourrait ajouter la contrainte que au moins 2 (ou au plus
2, ou précisément 2) des régions sont colorées en rouge. Dans ce cas, n = 2 et l'ensemble Y
est l'ensemble des variables qui correspondent à une coloration rouge d'une des régions :

Y = {[WA,r], [NT,r], [SA,r], [QLD,r], [NSW,r], [VIC,r], [TAS,r]}

Comment exprimer une contrainte de comptage ? On voit d'abord que la troisième forme, qui
demande que exactement n parmi les variables de Y sont vraies, peut être exprimée à l'aide
des deux premières : il faut que au moins n des variables dans Y , et aussi au plus n des
variables dans Y sont vraies. Regardons d'abord la contrainte : au moins n des variables dans
Y sont vraies. Supposons, pour simplier la notation, que Y = {y1 , . . . , ym }. L'ensemble Y
contient alors m variables.
Si n = 1 la tãche est facile :
y1 ∨ y2 ∨ . . . ∨ ym
Si n = 2 on peut engendrer toutes les paires de deux variables diérentes de Y , et exprimer
le fait que au moins une de ces paires est entièrement colorée en rouge :

(y1 ∧ y2 ) ∨ . . . ∨ (y1 ∧ ym ) ∨ (y2 ∧ y3 ) ∨ . . . ∨ (y2 ∧ ym ) ∨ . . . ∨ (ym−1 ∧ ym )

Plus précisément : _
(yi ∧ yj )
i=1,...,m−1
j=i+1,...,m

Cette construction se généralise à un nombre n quelconque :

_ ^
yij
i1 ,...,in ∈{1,...,m} j=1,...,n
i1 <...<in

Dans cette forme générale, on construit une grande disjonction sur tous les n-uplets d'indices
entre 1 et m, où en plus on impose que les indices dans chacun de ces n-uplets sont arrangés
dans un ordre croissant. Pour chacun de ces n-uplets on exprime par la grande conjonction
que les variables indiquées par ces indices sont vraies.
Malheureusement, la formule ainsi obtenue est on forme disjonctive normale et pas en forme
conjonctive normale. On pourrait utiliser l'algorithme présenté en section 4.5 pour transformer
cette formule en forme conjonctive normale. Une solution alternative est de construire la
formule directement en forme conjonctive normale, en utilisant l'idée suivante : Dire que au
moins n parmi les variables de Y sont vraies est équivalent à dire que pour n'importe quelle
sélection de m − n + 1 variables de Y , au moins une dans cette sélection est vraie.

Exercice 15 Soit Y = {y1 , . . . , ym } un ensemble de variables propositionnelles, n ≤ m, et v

une aectation. Montrer que les deux énoncés suivants sont équivalentes :
1. il y a au moins n variables dans Y qui sont envoyées vers 1 par v ;
2. tout sous-ensemble Z ⊆ Y de cardinalité m − n + 1 contient au moins une variable qui
est envoyée vers 1 par v .
66 CHAPITRE 6. MODÉLISATION EN LOGIQUE PROPOSITIONNELLE

L'avantage de cette formulation est qu'elle s'exprime naturellement en forme conjonctive nor-
male : ^ _
yij
i1 ,...,im−n+1 j=1,...,m−n+1
i1 <...<im−n+1

Dans notre exemple de la coloration de la carte d'Australie : Il y a au moins n = 2 régions

colorées en rouge si dans tout choix de 7 − 2 + 1 = 6 régions il y a au moins une qui est rouge :

([WA,r] ∨ [NT,r] ∨ [SA,r] ∨ [QLD,r] ∨ [NSW,r] ∨ [VIC,r])

∧ ([WA,r] ∨ [NT,r] ∨ [SA,r] ∨ [QLD,r] ∨ [NSW,r] ∨ [TAS,r])
∧ ([WA,r] ∨ [NT,r] ∨ [SA,r] ∨ [QLD,r] ∨ [VIC,r] ∨ [TAS,r])
∧ ([WA,r] ∨ [NT,r] ∨ [SA,r] ∨ [NSW,r] ∨ [VIC,r] ∨ [TAS,r])
∧ ([WA,r] ∨ [NT,r] ∨ [QLD,r] ∨ [NSW,r] ∨ [VIC,r] ∨ [TAS,r])
∧ ([WA,r] ∨ [SA,r] ∨ [QLD,r] ∨ [NSW,r] ∨ [VIC,r] ∨ [TAS,r])
∧ ([NT,r] ∨ [SA,r] ∨ [QLD,r] ∨ [NSW,r] ∨ [VIC,r] ∨ [TAS,r])

Considérons maintenant la deuxième forme d'une contrainte de comptage : au plus n des

variables dans Y sont vraies. Cela est équivalent à dire que au moins m − n des variables
de Y sont fausses. Cet énoncé a donc presque la même forme que celle que nous venons
d'étudier, sauf qu'on parle maintenant de variables fausses à la place de variables vraies. Il
sut donc de prendre la même construction, et d'appliquer une négation à toutes les variables.
Les sélections des variables, pour lesquelles il faut exprimer qu'elles contiennent une variable
fausse, ont maintenant m − (m − n) + 1 = n + 1 éléments :
^ _
¬yij
i1 ,...,in+1 j=1,...,n+1
i1 <...<in+1

Sur notre exemple Australien : on a au plus deux régions rouge si dans toute sélection de trois
régions il y a au moins une qui n'est pas rouge :

(¬[WA,r] ∨ ¬[NT,r] ∨ ¬[SA,r])

∧ (¬[WA,r] ∨ ¬[NT,r] ∨ ¬[QLD,r])
∧ (¬[WA,r] ∨ ¬[NT,r] ∨ ¬[NSW,r])
.. ..
. .
∧ (¬[NSW,r] ∨ ¬[VIC,r] ∨ ¬[TAS,r])

6.4 Le format DIMACS

Il s'agit d'un format standard pour les formules propositionnelles en forme normale conjonc-
tive. Le nom de ce format est dû au Center for Discrete Mathematics and Theoretical Computer
Science, centre de recherche américain qui avait organisé les premières compétitions interna-
tionales de SAT solveurs.
6.5. RÉFÉRENCES ET REMARQUES 67

Pour écrire une formule en format DIMACS on suppose d'abord que les variables proposition-
nelles soient numérotées à partir de 1. La première ligne d'un chier rédigé dans ce format
contient l'entête qui consiste en le mot p, puis le mot cnf, puis le numéro maximal des vari-
ables utilisées dans la formule, puis le nombre de clauses disjonctives de la formules. Chacune
des lignes suivantes décrit une clause disjonctive de la formule : pour décrire une clause on
écrit simplement la liste des numéros de toutes les variables contenues dans la clause, avec un
signe positif quand il s'agit d'un littéral positif, et avec un signe négatif quand il s'agit d'un
littéral négatif. Toute ligne décrivant une clause (mais pas l'entête) se termine sur 0.
Par exemple, la formule

(x1 ∨ ¬x5 ) ∧ (x2 ∨ x5 ∨ ¬x1 )

s'écrit en format DIMACS comme suit :

p cnf 5 2
1 -5 0
2 5 -1 0

6.5 Références et remarques

Les états (et, pour être exact, les territoires) de l'Australie sont Western Australia (WA),
Northern Territory (NT), South Australia (SA), Queensland (QLD), New South Wales (NSW),
Victoria (VIC), et Tasmania (TAS) si on ignore le tout petit territoire de la capitale (ACT).
Une partie du travail fait dans les codages de ce chapitre est due au fait que les variables
propositionnelles ne peuvent prendre que deux valeurs diérentes, tandis que souvent le prob-
lème d'origine parle de choix entre plus que deux valeurs possibles. La programmation logique
par contraintes, qui va être présentées dans des cours du M1 et du M2, permet de raisonner
directement avec des choix multiples entre valeurs (appelés des domaines nis ).
68 CHAPITRE 6. MODÉLISATION EN LOGIQUE PROPOSITIONNELLE
 Deuxième partie

Logique pour la programmation

Chapitre 7

Les expressions
Nous allons au chapitre 8 dénir un petit langage de programmation. Les expressions arith-
métiques sont un composant important de ce langage, et méritent que nous leur consacrons
un chapitre à part.

7.1 Syntaxe des expressions arithmétiques et booléennes

Il y a un seul type de données dans le le langage IMP, c'est le type des entiers. Les variables des
programmes IMP ne peuvent donc que contenir des valeurs entières. Les expressions booléennes
existent mais ne servent que pour écrire les conditions dans les instructions conditionnelles et
dans les boucles ; il n'y a pas de variables propositionnelles. Ce choix simplie le formalisme
car avec un seul type de données il n'y a pas de typage des variables, et par conséquent on
peut complètement écarter les déclarations de variables de la dénition du langage IMP.
Nous xons d'abord un ensemble de variables arithmétiques :

X := {x, x1 , x2 , x3 , . . . , y, y1 , y2 , . . . , z, z1 , z2 , z3 , . . .}

Nous admettons également les décorations des variables comme par exemple x0 , y 00 .
Nous dénissons l'ensemble des expressions arithmétiques et l'ensemble des expressions booléennes
par induction, suivant le même principe que dans la dénition de la syntaxe des formules propo-
sitionnelles (dénition 1). Cette fois nous donnons des dénitions avec un nombre minimal de
cas, et nous dénissons toutes les autres notions que nous souhaitons en pratique comme des
abréviations.

Dénition 15 L'ensemble des expressions arithmétiques AExpr est le plus petit ensemble de
chaînes de caractères tel que :
1. X ⊆ AExpr
2. N ⊆ AExpr
3. Si e ∈ AExpr alors −e ∈ AExpr
4. Si e1 , e2 ∈ AExpr alors (e1 + e2 ) ∈ AExpr
5. Si e1 , e2 ∈ AExpr alors (e1 ∗ e2 ) ∈ AExpr
72 CHAPITRE 7. LES EXPRESSIONS

On dénit e1 − e2 comme abréviation de e1 + (−e1 ).

Dénition 16 L'ensemble des expressions booléennes BExpr est le plus petit ensemble de
chaînes de caractères tel que :
1. Si e1 , e2 ∈ AExpr alors (e1 ≤ e2 ) ∈ BExpr
2. Si f ∈ BExpr alors ¬f ∈ BExpr
3. Si f1 , f2 ∈ BExpr alors (f1 ∨ f2 ) ∈ BExpr
On appelle une expression booléenne atomique si elle est de la forme e1 ≤ e2 .

Remarquez qu'on utilise pour un cas de la dénition inductive des expressions booléennes les
expressions arithmétiques, un ensemble qui est lui-même déni par induction.
Nous permettons aussi les abréviations habituelles suivantes :
Abbréviation Dénition
True 0≤0
False 1≤0
f1 ∧ f2 ¬(¬f1 ∨ ¬f2 )
e1 = e2 e1 ≤ e2 ∧ e2 ≤ e1
e1 ≥ e2 e2 ≤ e1
e1 < e2 e1 + 1 ≤ e2
e1 > e2 e2 + 1 ≤ e1
e1 6= e2 e1 < e2 ∨ e1 > e2

ainsi que les abréviations de la logique propositionnelle vues à la section 3.5. La dénition de
l'abréviation e1 < e2 est justiée par le fait que les expressions arithmétiques sont interprétées
comme des entiers, et pas comme des réels.

7.2 Sémantique des expressions arithmétiques et booléennes

L'évaluation des expressions dépend, comme l'interprétation des formules propositionnelles,
du contexte. Dans le cas des expressions, comme aussi un peu plus tard des programmes (sec-
tion 8.2), un contexte est une fonction qui associe des valeurs à des variables. Cette notion
de contexte semble naturelle pour un langage aussi simple que le langage que nous consid-
érons dans ce cours. On peut voir une telle fonction, appelée aectation comme dans le cas
de la logique propositionnelle, comme l'état de la mémoire d'un ordinateur qui exécute un
programme. Il y a derrière cette modélisation un choix qui n'est pas complètement innocent,
nous reviendrons à cette problématique à la n de la section 8.2.

Dénition 17 Une aectation est une fonction

σ:X→Z

L'ensemble des aectations est noté A. Le support d'une aectation v est dénie comme

supp(σ) = {x ∈ X | σ(x) 6= 0}
7.2. SÉMANTIQUE DES EXPRESSIONS ARITHMÉTIQUES ET BOOLÉENNES 73

Une aectation est donc toujours une fonction totale. Nous utilisons une notation pour les
aectations :
x1 7→ n1 , x2 7→ n2 , . . . , xm 7→ nm

est l'aectation qui associe à toute variable xi (avec 1 ≤ i ≤ m) la valeur ni , et qui associe 0
à toute autre variable.

Dénition 18 L'évaluation [[e]]σ d'une expression arithmétique e par rapport à l'aectation

σ est dénie par récurrence sur la structure de e :

[[x]]σ = σ(x)
[[n]]σ = n
[[−e]]σ = −[[e]]σ
[[(e1 + e2 )]]σ = [[e1 ]]σ + [[e2 ]]σ
[[(e1 ∗ e2 )]]σ = [[e1 ]]σ ∗ [[e2 ]]σ

Par exemple, avec σ = [x 7→ 1; y 7→ 2; z 7→ 3] on a que

[[((x + y) ∗ (x ∗ z))]]σ
= [[(x + y)]]σ ∗ [[(x ∗ z)]]σ
= ([[x]]σ + [[y]]σ) ∗ ([[x]]σ ∗ [[z]]σ)
= (σ(x) + σ(y)) ∗ (σ(x) ∗ σ(z))
= (1 + 2) ∗ (1 ∗ 3)
= 9

La sémantique des expressions booléennes est dénie de façon similaire :

Dénition 19 L'évaluation [[f ]]σ d'une expression booléenne f par rapport à l'aectation σ
est dénie par récurrence sur la structure de f :

si

1 [[e1 ]]σ ≤ [[e2 ]]σ
[[(e1 ≤ e2 )]]σ =
 0 si [[e1 ]]σ > [[e2 ]]σ
0 si [[f ]]σ = 1
[[¬f ]]σ =
1 si [[f ]]σ = 0
si [[f1 ]]σ = 0 et [[f2 ]]σ = 0

0
[[(f1 ∨ f2 )]]σ =
1 si [[f1 ]]σ = 1 ou [[f2 ]]σ = 1

Dénition 20 Soit f une expression booléenne .

 On écrit σ |= f si [[f ]]σ = 1.
 On dit que f est satisfaisable s'il existe une aectation σ telle que σ |= f .
 On dit que f est valide si σ |= f pour toute aectation σ .

Remarquez l'analogie avec la dénition 4 de la logique propositionnelle.

74 CHAPITRE 7. LES EXPRESSIONS

7.3 Validité d'expressions booléennes

D'une certaine façon, les expressions booléennes sont construites à partir des formules booléennes
en remplaçant les variables propositionnelles par des expressions booléennes atomiques de la
forme (e1 ≤ e2 ). On peut donc naturellement transférer les dénitions et résultats de la logique
propositionnelle aux expressions booléennes :

Dénition 21 Une tautologie est une expression booléenne de la forme p[x1 /f1 , . . . , xn /fn ]
où p est une tautologie propositionnelle, V(p) = {x1 , . . . , xn } et f1 , . . . , fn sont des expressions
booléennes.

En d'autres mots, une tautologie (dans le sens des expressions booléennes) est obtenue en rem-
plaçant dans une tautologie propositionnelle (c'est-à-dire une formule propositionnelle valide)
toutes les variables propositionnelles par des expressions booléennes. Par exemple :

(x ≤ y) ∨ ¬(x ≤ y)

est une tautologie, car cette expression booléenne est obtenue en remplaçant dans la tautologie
propositionnelle z ∨ ¬z la variable propositionnelle z par l'expression arithmétique x ≤ y . Un
autre exemple est

¬((x ≤ y ∗ z) ∨ (z + y ≤ x ∗ x)) ↔ (¬(x ≤ y ∗ z) ∧ ¬(z + y ≤ x ∗ x))

car cette formule est obtenue en remplaçant dans la tautologie ¬(x0 ∨ y 0 ) ↔ (¬x0 ∧ ¬y 0 ) la
variable propositionnelle x0 par (x ≤ y ∗ z) et la variable propositionnelle y 0 par (z + y ≤ x ∗ x).
Une remarque concernant notre notation : Nous avons choisi d'utiliser le même répertoire X
de variables à la fois pour les variables propositionnelles et pour les variables arithmétiques.
Ce choix a l'avantage d'éviter l'introduction d'une nouvelle notation. Normalement, quand
on étudie soit la logique propositionnelle, soit la logique de Hoare il n'y a pas de risque de
confusion, c'est seulement dans cette section qu'on a les deux au même temps et qu'il faut
bien préciser quand on parle de variables propositionnelles et quand on parle d'expressions
arithmétiques.

Théorème 17 Toute tautologie (dans le sens de la dénition 21) est valide.

Ce théorème découle facilement de la dénition d'une tautologie. On obtient également des
algorithmes pour décider si une expression booléenne est une tautologie : il sut de remplacer
toutes les occurrences de la même expression atomique par une nouvelle variable proposition-
nelle, et d'utiliser une des méthodes vues dans les chapitres 2, 3 et 5 pour savoir si la formule
propositionnelle ainsi obtenue est une tautologie (dans le sens de la logique propositionnelle).
Il y a une subtilité dans cette méthode qui est dûe au fait que nous permettons dans la déni-
tion d'une tautologie de remplacer une variable propositionnelle par une expression booléenne
quelconque, et pas seulement par une expression atomique. Par exemple, quand nous rem-
plaçons dans la tautologie (propositionnelle) x ∨ ¬x la variable x par l'expression booléenne
(y > z ∗ z ∨ z ∗ z > y) nous obtiendrons la tautologie

(y > z ∗ z ∨ z ∗ z > y) ∨ ¬(y > z ∗ z ∨ z ∗ z > y)

7.3. VALIDITÉ D'EXPRESSIONS BOOLÉENNES 75

Or, quand nous appliquons la méthode décrite ci-dessus nous obtiendrons pas exactement
la même structure : On commence par remplacer dans la formule toute expression booléenne
atomique par une nouvelle variable (si on a plusieurs occurrences de la même expression atom-
ique on les remplace toutes par la même variable). Ici nous avons deux expressions atomiques
diérentes, (y > z ∗ z) et (z ∗ z > y). Si on choisit pour la première expression la variable
propositionnelle x1 et pour la deuxième la variable propositionnelle x2 on obtient donc comme
formule propositionnelle
(x1 ∨ x2 ) ∨ ¬(x1 ∨ x2 )
qui est aussi une tautologie (propositionnelle) ! La question est : Est-ce qu'on tombe avec notre
méthode de décomposition toujours sur une tautologie quand l'expression de départ est une
tautologie ? La réponse est  oui , et la raison est le théorème 5 ! Sur notre exemple ce théorème
nous dit que puisque x∨¬x est une tautologie propositionnelle, la formule (x1 ∨x2 )∨¬(x1 ∨x2 )
l'est aussi. On ne peut donc rien perdre par notre méthode de décomposition, et notre méthode
est complète.
Tandis que toute tautologie est valide, l'inverse n'est pas vrai : il y a des expressions valides
qui ne sont pas des tautologies. Voici quelques exemples :
((x > y) ∧ (y > z)) → (x > z)
((x > y) → (x + z > y + z)
(x ∗ y = 0) → (x = 0 ∨ y = 0)
((x1 = y1 ) ∧ (x2 = y2 )) → (x1 + x2 = y1 + y2 )
y 6= 0 → x ∗ x 6= 2 ∗ (y ∗ y)

La première expression exprime une propriété de la relation > (la transitivité), la deuxième et
la troisième expriment des propriétés des opérateurs arithmétiques. La quatrième expression
est aussi valide mais pour des raisons qui sont complètement indépendantes de l'arithmétique,
cette expression est simplement valide à cause des propriétés de l'égalité. La dernière expression
exprime le fait que le nombre rationnel xy n'est pas la racine de 2, cette expression est donc
valide car aucun nombre rationnel est la racine de 2.
On voit sur ces exemples qu'il faut en général une bonne connaissance de l'arithmétique pour
savoir si une expression booléenne est valide ou pas. Une question intéressante est s'il y a un
algorithme qui peut, analogue au cas de la logique propositionnelle, décider pour n'importe
quelle expression booléenne si elle valide ou pas. Il est a priori concevable qu'un tel algorithme
n'existe pas, nous verrons à la n de cet ouvrage (au chapitre 12) quelques exemples de
problèmes pour lesquels un algorithme ne peut pas exister.
Pour donner une idée de la diculté du problème, l'expression booléenne
3 ∗ x ∗ x ∗ x ∗ y ∗ y − 2 ∗ x ∗ x ∗ z + 7 ∗ z ∗ z ∗ z 6= 3

est valide si est seulement le polynôme 3x3 y 2 − 2x2 z + 7z 3 − 3 n'a pas de racine dans les
entiers. Cet exemple montre comment il est dicile en général de décider de la validité d'une
expression booléenne.
Heureusement, on ne rencontre normalement pas d'expressions booléennes si diciles que ça
quand on s'intéresse à la correction de programmes. Les expressions booléennes pour lesquelles
nous aurions à décider de la validité sont souvent des tautologies, ou elles sont valides pour
des raisons assez simples.
76 CHAPITRE 7. LES EXPRESSIONS

Les résultats de la logique propositionnelle peuvent être généralisés pour obtenir des résultats
analogues pour les expressions booléennes. Nous citons par exemple ici la proposition de
substitution car nous en aurions besoin plus tard :

Proposition 12 Pour toute expression booléenne f , variables diérentes x1 , . . . , xn , expres-

sions arithmétiques e1 , . . . , en , et aectation v on a que

[[f [x1 /e1 , . . . , xn /en ]]]v = [[f ]](v[x1 /[[e1 ]]v, . . . , xn /[[en ]]v])

La démonstration de cette proposition est analogue à la démonstration de la proposition 5.

7.4 Références et remarques

Le mathématicien David Hilbert a donné en 1900, lors d'un congrès international de math-
ématiciens, une liste de 23 problèmes mathématiques fondamentaux, et notre problème de
validité des expressions booléennes est une reformulation du dixième problème, qui est aussi
probablement le problème le plus célèbre de cette liste. La question d'un algorithme pour la
validité des expressions booléennes a occupé les mathématicien pendant longtemps. C'était le
mathématicien russe Yuri Matijacevi£ qui a nalement montré en 1970 qu'un tel algorithme
ne peut pas exister [?].
Si on se restreint à des expressions booléennes sans le symbole de multiplication le problème
devient décidable, c'est-à-dire il y a des algorithmes pour décider de la validité. Ces algorithmes
sont normalement présentés dans un cours de Démonstration automatique, ou parfois dans un
cours sur les Automates.
Les expressions booléennes présentées dans ce chapitre sont un cas particulier d'une logique
plus expressive appelée logique du premier ordre. Cette logique contient des constructions
comme par exemple l'existence d'une certaine valeur. Cela permet par exemple de dire  il
existe un z tel que x = z ∗ y , en d'autres mots que y est un diviseur de x. Cette logique sera
étudiée au cours de logique du L3.
Chapitre 8

Les programmes
Dans ce chapitre nous allons dénir formellement la syntaxe et la sémantique d'un petit langage
de programmation appelé IMP. Ce langage de programmation nous servira pour étudier la
logique de Hoare au chapitre 9, il est simplié au maximum et ne contient que les éléments
les plus importants.

8.1 Syntaxe des programmes IMP

Pour dénir la syntaxe des programmes IMP nous avons d'abord besoin de la notion d'une
liste . Une liste est soit vide, et on la note alors , soit c'est une séquence de plusieurs éléments.
On note une telle liste composée de n éléments e1 à en par
[e1 ; . . . ; en ]

La longueur d'une liste vide est 0, et la longueur d'une liste composée de n éléments est n.
Par exemple,
[(x + y); (17 + z1 ); (42 ∗ (y + 5))]
est une liste d'expression arithmétiques, et sa longueur est 3. Pour être exact il faut assurer
que la notation n'est pas ambiguë, ce qui est assuré quand les éléments d'une liste ne peuvent
pas se terminer sur le symbole  ; . Une notion importante est l'opération de concaténation
de deux listes : Si l est une liste [e1 ; . . . ; en ] et l0 une liste [e01 ; . . . ; e0m ] alors leur concaténation
est la liste
[e1 ; . . . , en ; e01 , . . . ; e0m ]
Nous écrivons l; l0 pour cette liste. Il s'agit en principe d'un abus de notation car de cette
façon nous utilisons le symbole ; pour deux choses diérentes, d'un part pour combiner deux
éléments d'une liste, et d'autre part pour combiner deux listes. Puisque nous considérons ici
pas des listes dont les éléments sont eux-mêmes des listes cela ne risque pas d'introduire une
ambiguïté, et nous pouvons autoriser cette notation.
En particulier, la liste vide est l'élément neutre de l'opération de concaténation, c'est-à-dire
; l = l et l;  = l.

Dénition 22 L'ensemble Inst des instructions est le plus petit ensemble de chaînes de car-
actères tel que :
78 CHAPITRE 8. LES PROGRAMMES

1. si x ∈ X et e ∈ AExpr alors x := e ∈ Inst ;

2. si f ∈ BExpr et S1 , S2 sont des listes d'éléments de Inst
alors if f then S1 else S2  ∈ Inst ;
3. si f ∈ BExpr et S est une liste d'éléments de Inst alors while f do S od ∈ Inst.
Un programme est une liste d'instructions. L'ensemble des programmes est noté Imp.

On dénit if f then S  comme abréviation de if f then S else  . On remarque que notre

dénition de la syntaxe exige un  parenthésage  du corps d'une boucle (do . . . od) et des
deux branches d'une instructions conditionnelle (then . . . else et else . . . ). La raison est
que si on n'avait pas exigé le  à la n d'une instruction conditionnelle alors on aurait une
ambiguïté dans le cas de programmes comme

if x ≤ 0 then y := y − x else y := y + x; y := y + y
car on ne saurait pas si la dernière aectation fait partie de la deuxième branche de l'instruction
conditionnelle, ou si elle suit après l'instruction conditionnelle. Avec notre dénition de la
syntaxe on a un théorème de lecture unique comme nous l'avons déjà vu pour la logique
propositionnelle.
Un exemple est le programme dont nous avons déjà parlé dans l'introduction :

z := 0;
y1 := 0;
while y1 6= y do
z := z + x;
y1 := y1 + 1;
od

8.2 Sémantique des programmes IMP

La sémantique des programme est dénie par des transitions entre congurations.

Dénition 23 L'ensemble des congurations est Conf = Imp × A.

En d'autres mots, une conguration est une paire d'un programme S ∈ Imp et d'une aectation
σ ∈ A. Intuitivement, S est le programme qui reste à exécuter, et l'aectation σ est l'état de
la mémoire. On aurait aussi pu prendre le contenu d'un compteur de programme au lieu du
programme qui reste à exécuter ; la raison pour notre choix de modélisation est simplement que
la représentation par un reste de programme est un peu plus simple à gérer qu'un compteur
de programme.
La dénition centrale est la relation de transition d'une conguration vers une autre.

Dénition 24 La relation ⇒ entre congurations est la plus petite relation telle que
 hx := e; S, σi ⇒ hS, σ[x/[[e]]σ]i
hS2 ; S, σi si [[f ]]σ = 0

 hif f then S1 else S2 ; S, σi ⇒
hS1 ; S, σi si [[f ]]σ = 1
8.2. SÉMANTIQUE DES PROGRAMMES IMP 79

si [[f ]]σ = 0

hS, σi
 hwhile f do S0 od; S, σi ⇒ hS 0 ; while f do S0 od; S, σi si [[f ]]σ = 1
Dans cette dénition nous permettons aussi que le bout de programme p soit la liste vide.
Intuitivement, la relation ⇒ exprime une étape dans l'avancement de l'exécution d'un pro-
gramme. Remarquez qu'il n'y a aucune conguration c telle que h, σi ⇒ c, l'idée est qu'un
programme vide  dans une conguration représente le fait que l'exécution du programme a
terminé (il ne reste plus rien à faire).
La transition pour le cas d'une aectation se lit comme suit : on évalue l'expression e par
rapport à l'aectation actuelle σ , puis on met à jour l'aectation (l'état de la mémoire) et on
passe à la suite. Dans le cas d'une conditionnelle on évalue la condition f pour savoir laquelle
des deux branches S1 ou S2 est à exécuter, et après avoir exécuté cette branche on continue
avec ce qui suit après la conditionnelle, c'est-à-dire S . Dans le cas d'une boucle on évalue la
condition, si la condition est fausse on passe à ce qui suit après la boucle, si la condition est
vraie on exécute d'abord le corps S 0 de la boucle, et puis on exécute de nouveau la boucle.
Voici un exemple avec une instruction conditionnelle :
hx := 2; y := 5; x := x ∗ y; if x > y + 1 then z := 0 else z := 1 ; z := z + 10, []i
⇒ hy := 5; x := x ∗ y; if x > y + 1 then z := 0 else z := 1 ; z := z + 10, [x 7→ 2]i
⇒ hx := x ∗ y; if x > y + 1 then z := 0 else z := 1 ; z := z + 10, [x 7→ 2; y 7→ 5]i
⇒ hif x > y + 1 then z := 0 else z := 1 ; z := z + 10, [x 7→ 10; y 7→ 5]i
⇒ hz := 0; z := z + 10, [x 7→ 10; y 7→ 5]i
⇒ hz := z + 10, [x 7→ 10; y 7→ 5; z 7→ 0]i
⇒ h, [x 7→ 10; y 7→ 5; z 7→ 10]i
Un deuxième exemple avec une boucle :
hx := 3; y := 2; while x > 1 do x := x − 1; y := y ∗ y od, []i
⇒ hy := 2; while x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 3]i
⇒ hwhile x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 3; y 7→ 2]i
⇒ hx := x − 1; y := y ∗ y; while x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 3; y 7→ 2]i
⇒ hy := y ∗ y; while x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 2; y 7→ 2]i
⇒ hwhile x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 2; y 7→ 4]i
⇒ hx := x − 1; y := y ∗ y; while x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 2; y 7→ 4]i
⇒ hy := y ∗ y; while x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 1; y 7→ 4]i
⇒ hwhile x > 1 do x := x − 1; y := y ∗ y od, [x 7→ 1; y 7→ 16]i
⇒ h, [x 7→ 1; y 7→ 16]i

Finalement on peut dénir la sémantique des programmes :

Dénition 25 Soit p un programme et σ et σ0 des aections. La sémantique du programme
S par rapport à σ est σ 0 quand il existe une séquence
hS, σi ⇒ hS1 , σ1 i ⇒ . . . ⇒ h, σ 0 i
On écrit alors [[S]]σ = σ 0 Quand une telle séquence n'existe pas alors la sémantique n'est pas
dénie, on écrit alors [[S]]σ = ⊥.
80 CHAPITRE 8. LES PROGRAMMES

Il faut bien sûr montrer que cette dénition de la sémantique n'est pas ambiguë :

Proposition 13 Pour tout programme S et aectation σ il existe au plus une aectation σ0

telle que hS, σi ⇒ . . . ⇒ h, σ 0 i.

Démonstration: On constate d'abord, par inspection de la dénition 24 que pour tout

programme S1 et aectation σ1 il existe au plus un programme S2 et une aectation σ2 tels
que hS1 , σ1 i ⇒ hS2 , σ2 i.
Supposons maintenant par l'absurde que hS, σi ⇒ . . . h, σ 0 i et aussi hS, σi ⇒ . . . ⇒ h, σ 00 i
avec σ 0 6= σ 00 . Puisqu'il n'y aucune transitions possible à partir d'une conguration avec un
programme vide on a alors forcement une divergence :
hS, σi ⇒ . . . ⇒ hS1 , σ1 i
hS1 , σ1 i ⇒ hS2 , σ2 i
hS1 , σ1 i ⇒ hS20 , σ20 i

avec hS2 , σ2 i =
6 hS20 , σ20 i.
Ce qui est absurde. 2
Le cas de la boucle dans la dénition de la sémantique est remarquable car on passe d'un
programme à un programme qui est plus grand, on a même que le programme qui parait sur la
gauche de la relation ⇒ est contenu dans le programme qui parait sur la droite ! Cela explique
pourquoi nous n'avons pas simplement déni la sémantique des programmes par récurrence,
comme nous l'avons fait pour les formules propositionnelles et les expressions. En fait il est
possible de dénir la sémantique aussi des programmes IMP par récurrence structurelle, on
parle alors d'une sémantique dénotationnelle tandis que nous avons déni ici une sémantique
opérationnelle. Mais cela nécessite quelque résultats mathématiques de la théorie des ordres
partiels, voir un cours de Sémantique.

Proposition 14 Pour tous programmes S1 , S2 , S3 ∈ Imp et aectations σ1 , σ2 ∈ A : Si

hS1 , σi ⇒ . . . ⇒ hS2 , σ2 i

on a alors aussi que

hS1 ; S3 , σi ⇒ . . . ⇒ hS2 ; S3 , σ2 i

Exercice 16 Montrer la proposition 14.

L'énoncé inverse de la proposition 14 est : Si
hS1 ; S3 , σi ⇒ . . . ⇒ hS2 ; S3 , σ2 i

on a alors aussi que

hS1 , σi ⇒ . . . ⇒ hS2 , σ2 i
Est-ce que cet énon¢e est vrai ?

Proposition 15 Si on a que
 [[f ]]σ = 1
 [[S]]σ = σ1
8.3. RÉFÉRENCES ET REMARQUES 81

 [[while f do S od]]σ1 = σ2
alors on a aussi que
[[while f do S od]]σ = σ2
Démonstration: Nous notons pb = [while f do S od]. Puisque [[S]]σ = σ1 il existe une
séquence
hS, σi ⇒ . . . ⇒ h, σ1 i
Par proposition 14, on a aussi que

hS; Sb , σi ⇒ . . . ⇒ hSb , σ1 i

Puisque [[while f do S od]]σ1 = σ2 il existe une séquence

hSb , σ1 i ⇒ . . . ⇒ h, σ2 i

Finalement, on obtient en enchaînant ces deux séquences et on utilisant le fait que [[f ]]σ = 1 :

hwhile f do S od, σi ⇒ hS; Sb , σi ⇒ . . . ⇒ hSb , σ1 i ⇒ . . . ⇒ h, σ2 i

2

Proposition 16 Soit p1 , p2 ∈ Imp et σ ∈ A. Alors :

1. Si [[p1 ]]σ = ⊥ alors [[p1 ; p2 ]]σ = ⊥
2. Si [[p1 ]]σ 6= ⊥ alors [[p1 ; p2 ]]σ = [[p2 ]]([[p1 ]]σ)

Exercice 17 Montrer la proposition 16.

8.3 Références et remarques

On aurait aussi pu essayer de dénir la sémantique avec une récurrence du genre de la propo-
sition 15. Une diculté est qu'avec le principe de la dénition par récurrence on dit comment
calculer le résultat d'une fonction appliquée à un argument composé connaissant les résultats
des applications de la fonction à ces composantes. Or, la  récurrence  dans la proposition 15
n'est pas de cette forme car on obtient la sémantique de pb à partir de la sémantique de pb
même (mais par rapport à une aectation diérente). Il est toutefois possible de faire une
telle récurrence correctement si on utilise par exemple des règles d'inférence, voir un cours de
Sémantique. Dans ce cas on obtient une sémantique à grands pas car on déni de cette façon
la sémantique de programmes de plus en plus grands. La sémantique que nous avons dénie
dans ce chapitre, par contre, est une sémantique à petits pas car elle procède par exécution
des instructions élémentaires.
Il faut être conscient que notre modélisation des états d'une machine exécutant un programme
par des aectations est une abstraction, et qu'on peut être obligé de changer la modélisation
quand on essaye de modéliser des constructions plus sophistiquées des langages de program-
mation. Un premier exemple est une extension possible du langage de programmation par une
notion de pointeurs. Si on souhaite modéliser un langage de programmation avec pointeurs on
sera obligé de changer la notion d'aectation, et d'utiliser une liaison en deux étapes d'abord
82 CHAPITRE 8. LES PROGRAMMES

des noms de variables vers des cases mémoire, puis des cases mémoire vers des valeurs. Un
autre exemple un peu moins évident et celui des langages de programmation avec des procé-
dures et passage des paramètres par référence. Dans ce cas on observe des eets de partage (la
même case mémoire peut être accessible par plusieurs variables diérentes) qui sont le mieux
modélisés par une liaison en deux étapes.
Ce chapitre suit largement le chapitre 2 du livre [?], dont nous avons aussi emprunté le
nom  IMP pour le langage de programmation, et du chapitre 3 du livre [?]. Imp, qui ici
est un acronyme pour  Imperative Programming Language  (langage de programmation
impérative) est aussi le nom anglais pour une espèce de petits démons mythologiques [?].
Chapitre 9

Les formules de Hoare

9.1 Syntaxe et sémantique des formules de Hoare

Dénition 26 Une formule de Hoare est de la forme
{p} S {q}

où p, q ∈ BExpr sont des des expressions booléennes et S ∈ Imp est un programme. L'ensemble
des formules de Hoare est noté Hoare.

On appelle l'expression p dans {p} S {q} la pre-condition , et q la post-condition . Une telle

formule exprime le fait que si l'exécution du programme S dans un état de mémoire initial
qui satisfait la pre-condition p termine, alors l'état de mémoire résultant de cette exécution
satisfait la post-condition q . Par exemple,
{x > 0} x := x + 1; y := x ∗ x {y > 1}
{True} while x 6= 0 do x := x − 1 od {x = 0}

sont deux formules de Hoare.

Dénition 27 Soit σ ∈ A une aectation et {p} S {q} ∈ Hoare une formule de Hoare.
L'aectation σ satisfait la formule de Hoare {p} S {q}, noté
σ |= {p} S {q}

si
 Si σ |= p
 et si [[S]]σ = σ 0 6= ⊥
 alors σ 0 |= q .
La formule {p} S {q} est valide, noté |= {p} S {q}, si on a σ |= {p} S {q} pour toute aectation
σ ∈ A.

Il y a donc deux hypothèses dans la dénition de σ |= {p} S {q} : il faut que σ |= p, et il faut
aussi que [[S]]σ 6= ⊥. Si une de ces deux hypothèses n'est pas satisfaite alors on a trivialement
que σ |= {p} S {q} (voir gure 9.1). On dit aussi que les formules de Hoare expriment des
84 CHAPITRE 9. LES FORMULES DE HOARE

oui oui oui

non ⊥ oui

oui σ0
σ |= p ? [[S]]σ = ? σ 0 |= q ?

non

non

Figure 9.1: Évaluation d'une formule de Hoare {p} S {q} par rapport à une aectation σ

énoncés de correction partielle . On dit  partiel  car une telle formule n'énonce pas la ter-
minaison, contrairement à un énoncé de correction totale qui énonce aussi la terminaison du
programme.
Pourquoi ces deux hypothèses dans les formules de Hoare ? La première hypothèse est assez
naturelle car on ne s'intéresse souvent pas à l'exécution d'un morceaux de programme dans
un état quelconque, mais seulement dans des états qui peuvent se produire à un certain point
d'un programme. La raison pour la deuxième hypothèse, et la raison pourquoi on s'intéresse
ici à des énoncés de correction partielle et pas de correction totale, est plus délicate. Nous
reviendrons à cette question à la n du chapitre (section 9.3).

9.2 Exemples
Exemple 1 On a
[x 7→ 1] |= {x = 1} x := x + 1 {x = 2}
car
 La pre-condition est satisfaite : [x 7→ 1] |= x = 1
 L'exécution du programme dans l'état initial [x 7→ 1] termine et donne [[x := x + 1]][x 7→
1] = [x 7→ 2]
 Finalement, [x 7→ 2] |= x = 2.

Exemple 2 On a aussi que

[x 7→ 42] |= {x = 1} x := x + 1 {x = 2}

car [x 7→ 42] 6|= x = 1, la formule de Hoare est donc aussi satisfaite par l'aectation [x 7→ 42].

Exemple 3 On peut même dire que la formule {x = 1} x := x + 1 {x = 2} est valide. Pour

le montrer soit σ ∈ A une aectation quelconque.
 Soit on a que σ 6|= x = 1, et la formule de Hoare {x = 1} x := x + 1 {x = 2} est par
conséquent satisfaite par σ .
9.2. EXEMPLES 85

 Soit on a que σ |= x = 1, et par conséquent que σ(x) = 1. Le programme x := x + 1

termine, c'est-à-dire il existe une aectation σ 0 avec [[x := 1]]σ = σ 0 D'après la dénition de
la sémantique des programmes on a que
hx := x + 1, σi ⇒ h, σ[x/[[x + 1]]σ]i
| {z }
σ0

Puisque [[x]]σ = 1, on a que [[x + 1]]σ = 2, donc σ 0 (x) = 2. Par conséquent, σ 0 |= x = 2.

Exemple 4 On a que
[x 7→ 2, y 7→ 3] |= {T rue} if y > x then z := 1 else z := 0  {z > 0}

car on a d'abord que la pre-condition est satisfaite par l'aectation :

[x 7→ 2, y 7→ 3] |= T rue

Puis il sut d'exécuter le programme :

hif y > x then z := 1 else z := 0 , [x 7→ 2, y 7→ 3]i
⇒ hz := 1, [x 7→ 2, y 7→ 3]i
⇒ h, [x 7→ 2, y 7→ 3, z 7→ 1]i

et évidemment [x 7→ 2, y 7→ 3, z 7→ 1] |= z > 0. Par contre la formule de Hoare n'est pas valide

car par exemple l'aectation [x 7→ 5, y 7→ 3] ne la satisfait pas :
hif y > x then z := 1 else z := 0 , [x 7→ 5, y 7→ 3]i
⇒ hz := 0, [x 7→ 5, y 7→ 3]i
⇒ h, [x 7→ 5, y 7→ 3, z 7→ 0]i

et [x 7→ 5, y 7→ 3, z 7→ 0] 6|= z > 0.

Exemple 5 Nous montrons que la formule

{True} if x > y then z := x else z := y  {z ≥ x ∧ z ≥ y}

est valide. Soit σ ∈ A une aectation quelconque. On a évidemment que σ |= True, il faut
donc vérier que la post-condition est satisfaite par le résultat de l'exécution du programme
avec état initial σ . Il y a deux cas, soit σ satisfait la condition x > y , soit σ ne la satisfait pas.
Cas σ(x) > σ(y) On a alors
hif x > y then z := x else z := y , σi
⇒ hz := x, σi
⇒ h, σ[z/σ(x)]i
| {z }
σ0

Maintenant on a que σ 0 (z) = σ(x) et σ 0 (x) = σ(x), donc σ 0 |= z ≥ x. On a aussi que

σ 0 (y) = σ(y), et que σ 0 (z) = σ(x) > σ(y) selon la distinction de cas. Donc, σ 0 |= z ≥ y .
86 CHAPITRE 9. LES FORMULES DE HOARE

Cas σ(x) ≤ σ(y) Ce cas est analogue au premier cas :

hif x > y then z := x else z := y , σi
⇒ hz := y, σi
⇒ h, σ[z/σ(y)]i
| {z }
σ0

Maintenant on a que = σ(y) et σ 0 (y) = σ(y), donc σ 0 |= z ≥ y . On a aussi que

σ 0 (z)
σ 0 (x) = σ(x), et que σ 0 (z) = σ(y) ≥ σ(x) selon la distinction de cas. Donc, σ 0 |= z ≥ x.

Exemple 6 Maintenant des exemples avec une boucle. D'abord on a que

[x 7→ 10] |= {x > 0} while x > 5 do x := x + 1 od {x = 52}
La raison est simplement que [x 7→ 10] satisfait la pre-condition x > 0, mais l'exécution de la
boucle ne termine pas :
hwhile x > 5 do x := x + 1 od, [x 7→ 10]i
⇒ hx := x + 1; while x < 5 do x := x + 1 od, [x 7→ 10]i
⇒ hwhile x > 5 do x := x + 1 od, σ[x 7→ 11i
⇒ hx := x + 1; while x < 5 do x := x + 1 od, [x 7→ 11]i
⇒ hwhile x > 5 do x := x + 1 od, σ[x 7→ 12i
⇒ hx := x + 1; while x < 5 do x := x + 1 od, [x 7→ 12]i
⇒ hwhile x > 5 do x := x + 1 od, σ[x 7→ 13i
⇒ ...
Pour la même raison, la formule
{x > 5} while x > 5 do x := x + 1 od {x = 52}
est valide. Par contre, la formule
{x > 0} while x > 5 do x := x + 1 od {x = 52}
n'est pas valide (pourquoi ?)

Exemple 7 L'exemple suivant montre une autre raison pour laquelle une formule de Hoare
avec une boucle peut être vraie :
[x 7→ 20] |= {True} while x > 0 do x := x − 1 od {x ≤ 0}
On a bien sûr que [x 7→ 20] |= True. L'exécution du programme donne
hwhile x > 0 do x := x − 1 od, x 7→ 20i
⇒ hx := x − 1; while x > 0 do x := x − 1 od, x 7→ 20i
⇒ hwhile x > 0 do x := x − 1 od, x 7→ 19i
.. ..
. .
⇒ hx := x − 1; while x > 0 do x := x − 1 od, x 7→ 1i
⇒ hwhile x > 0 do x := x − 1 od, x 7→ 0i
⇒ h, x 7→ 0i
9.2. EXEMPLES 87

Puisque [x 7→ 0] |= x ≥ 0, la formule de Hoare est satisfaite par [x 7→ 20]. Mais en fait on

aurait pu donner un argument beaucoup plus simple que de faire tout ce calcul : On peut, à
partir d'une conguration
hwhile x > 0 do x := x − 1 od, σi

arriver sur une conguration h, σ 0 i seulement quand σ 0 |= ¬x > 0, car la dernière transition
était forcement pour le cas d'une boucle où la condition n'est pas vraie. Ce qui montre qu'on
a même que
|= {True} while x > 0 do x := x − 1 od {x ≤ 0}

Exemple 8 Finalement il y a une troisième raison pour laquelle une formule de Hoare avec
une boucle dans le programme peut être valide, et cette raison est liée à la nature d'une boucle.
Nous prétendons que
|= {x > 0} while z > 0 do z := z − 1; x := x + 1 od {x > 0}

Cette fois l'argument utilise une induction sur la longueur de la séquence d'exécution. Nous
montrons d'abord que (*) si σ |= x > 0 et
hwhile z > 0 do z := z − 1; x := x + 1 od, σi
⇒ ...
⇒ hwhile z > 0 do z := z − 1; x := x + 1 od, σ 0 i

alors on a aussi que σ 0 |= x > 0. Nous le montrons par induction sur le nombre n de congu-
rations dans cette séquence où le programme est while z > 0 do z := z − 1; x := x + 1 od.
Remarquez que n est simplement le nombre de fois que le corps de la boucle est exécutée dans
cette séquence, plus 1.
Cas : n = 1 . Dans ce cas on a une séquence d'exécution de longueur 1 qui consiste en une
seule conguration :
hwhile z > 0 do z := z − 1; x := x + 1 od, σi

et on a donc que σ = σ 0 , et σ 0 |= x > 0.

Cas : n>1 . Dans ce cas on a une séquence d'exécution de la forme suivante :
hwhile z > 0 do z := z − 1; x := x + 1 od, σi
⇒ ...
⇒ hwhile z > 0 do z := z − 1; x := x + 1 od, σ1 i
⇒ hz := z − 1; x := x + 1; while z > 0 do z := z − 1; x := x + 1 od, σ1 i
⇒ hx := x + 1; while z > 0 do z := z − 1; x := x + 1 od, σ1 [z/σ1 (z) − 1i
⇒ hwhile z > 0 do z := z − 1; x := x + 1 od, σ1 [z/σ1 (z) − 1, x/σ1 (x) + 1]i

Nous avons donc que σ 0 = σ1 [z/σ1 (z) − 1, x/σ1 (x) + 1]. Application de l'hypothèse
d'induction nous donne que σ1 (x) > 0. On a que σ 0 (x) = σ1 (x) + 1, donc
σ 0 (x) = σ1 (x) + 1 > σ1 (x) > 0
88 CHAPITRE 9. LES FORMULES DE HOARE

Finalement supposons une séquence d'exécution

hwhile z > 0 do z := z − 1; x := x + 1 od, σi
⇒ ...
⇒ h, σ 0 i

Cette séquence doit être de la forme suivante

hwhile z > 0 do z := z − 1; x := x + 1 od, σi
⇒ ...
⇒ hwhile z > 0 do z := z − 1; x := x + 1 od, σ 0 i
⇒ h, σ 0 i

avec σ 0 |= ¬z > 0. Nous concluons avec la propriété (*) montrée ci-dessus que σ 0 |= x > 0.
Notez que σ 0 |= ¬z > 0, le fait que la condition de la boucle est fausse à la n de la séquence
d'exécution, n'est pas du tout utilisé dans cette preuve. Le c÷ur de l'argument est le fait qu'il
y a un invariant, ici x > y , qui est vrai chaque fois quand on est au début de la boucle. Nous
avons déjà vu un argument de ce genre dans l'introduction.

Exemple 9 Notre dernier exemple montre une astuce souvent utilisée. Parfois on souhaite
exprimer dans un énoncé de correction partielle que la valeur nale (après exécution du pro-
gramme) d'une variable est dans une certaine relation avec la valeur initiale de cette variable,
c'est-à-dire sa valeur avant l'exécution du programme. Pour avoir dans la post-condition un
accès à la valeur initiale d'une variable on peut la  sauvegarder  dans une nouvelle variable
qui n'est pas touchée par le programme. Par exemple,
|= {x0 = x} x := x + 1 {x = x0 + 1}

exprime le fait trivial que, après l'exécution de l'instruction d'aectation, la valeur nale de la
variable x est 1 plus sa valeur initiale. C'est une conséquence de la dénition 27 : Soit σ une
aectation quelconque. Si σ(x) = σ(x0 ), alors on a après exécution du programme que pour
l'aectation résultante σ 0 : σ 0 (x0 ) = σ(x0 ) car le programme ne touche pas la variable x0 , et
par conséquent on a que σ 0 (x0 ) = σ(x0 ) = σ(x).

9.3 Références et remarques

Nous revenons à la question : pourquoi se restreint-on dans la logique de Hoare à des énoncés
de correction partielle et pas (au moins pas dans un premier temps) à des énoncés de correction
totale ? La raison se voit dans l'exemple 8 de la section précédente : Pour montrer la correction
partielle d'un morceaux de programme avec une boucle on a souvent besoin d'un invariant
pour faire un argument inductif. Pour montrer la terminaison, par contre, on a besoin d'une
valeur qui est décrémentée à chaque étape de l'exécution. En d'autres mots il faut trouver le
bon variant pour la preuve de terminaison. Ceci est une première explication de pourquoi on
essaye de séparer les preuves de correction partielle des preuves de terminaison. (Il y une autre
raison plus fondamentale qui vient de la théorie de modèles, mais ça dépasse de loin le cadre
de ce cours.)
9.3. RÉFÉRENCES ET REMARQUES 89

La logique présentée dans ce chapitre est nommé après Tony Hoare , chercheur britannique qui
a reçu en 1980 le très prestigieux prix Turing Award (une sorte de Nobel pour l'informatique)
pour ses nombreuses contributions à l'informatique.
90 CHAPITRE 9. LES FORMULES DE HOARE
Chapitre 10

Un calcul pour les formules de Hoare

10.1 Le calcul de Hoare
Nous avons vu dans la section 9.2 des exemples de preuves de correction partielle  à la main ,
c'est-à-dire dans le style d'une preuve mathématique habituelle. Les exemples ont montré que
c'est assez long, même fastidieux, d'écrire toutes ces preuves à la main. Il est très dicile de
rédiger une preuve dans ce style pour un programme de plusieurs centaines de lignes de code
(ce qui est toujours un programme très petit).
Le calcul de Hoare va nous faciliter la tâche de trouver une preuve de correction partielle,
pour deux raisons :
 Dans un premier temps, le calcul nous permet de rédiger une preuve plus compacte, en
utilisant des règles de preuves qui schématisent des raisonnement récurrents dans les preuves
de correction partielle. Les règles sont présentées dans cette section, et dans la section 11.1
nous expliquerons comment construire des preuves à partir de ces règles.
 Dans un deuxième temps, le calcul nous permet aussi de mieux diriger la recherche d'une
preuve, et même d'automatiser en partie la recherche d'une preuve. C'est le sujet de la
section 11.2.

Dénition 28 Une règle d'inférence est écrite dans la forme

J1 ... Jn
R
J
où J et les Ji sont des schémas de formules de Hoare, et R est le nom de la règle. On appelle
les Ji les hypothèses, et J la conclusion de la règle. Il est permis que n = 0, dans ce cas
on parle d'un axiome. Parfois la règle est accompagnée d'une condition de côté qui met des
conditions supplémentaires sur ce que J1 , . . . , Jn , J peuvent dénoter.
Le calcul de Hoare consiste en les règles d'inférences donne sur la gure 10.1.

Le nom de la règle est parfois omis quand il n'a pas d'importance.

Ces règles d'inférences sont censées décrire des règles de raisonnement dans la logique de
Hoare. C'est-à-dire, nous attendons d'une telle règle qu'elle soit correcte dans le sens suivant :
J1 ... Jn
Dénition tentative : Une règle d'inférence est correcte quand on a
J
92 CHAPITRE 10. UN CALCUL POUR LES FORMULES DE HOARE

1. L'axiome d'aectation

A où p ∈ BExpr, t ∈ AExpr, x ∈ X
{p[x/t]} x := t {p}

2. La règle de composition
{p} S1 {q} {q} S2 {r}
C où p, q, r ∈ BExpr, S1 , S2 ∈ Imp
{p} S1 ; S2 {r}

3. La règle de la conditionnelle
{p ∧ f } S1 {q} {p ∧ ¬f } S2 {q}
I où p, q, f ∈ BExpr, S1 , S2 ∈ Imp
{p} if f then S1 else S2  {q}

4. La règle de la boucle
{p ∧ f } S {p}
W où p, f ∈ BExpr et S ∈ Imp
{p} while f do S od {p ∧ ¬f }

5. La règle de la conséquence
{p} S {q}
P où p, q, p0 , q 0 ∈ BExpr, S ∈ Imp, p0 |= p, q |= q 0
{p0 } S {q 0 }

Figure 10.1: Les règles d'inférence du calcul de Hoare.

 Si toutes ses hypothèses sont valides, |= J1 , . . . , |= Jn ,

 alors sa conclusion est aussi valide, |= J .
Cette dénition n'est pas toute à fait exacte. La raison est que nous utilisons dans l'écriture des
règles d'inférence des variables pour dénoter n'importe quel programme, expression booléenne,
etc. Ces variables sont parfois appelées des méta-variables pour les distinguer des variables qui
paraissent dans les programmes et dans les expressions booléennes. En fait, nous avons déjà
rencontré des méta-variables dans les règles de réécriture du chapitre 4. Il faut donc parler de
toutes les instances des règles d'inférences. Par exemple, il y a une innité d'instances de la
règle de composition. Deux exemples d'instances sont :

{x = 1} x := x + 1 {x = 2} {x = 2} x := x ∗ x {x = 4}
C
{x = 1} x := x + 1; x := x ∗ x {x = 4}
{x = 1} x := x + 1; x := x + 2 {x = 17} {x = 17} x := x − 1 {x = 16}
C
{x = 1} x := x + 1; x := x + 2; x := x − 1 {x = 16}

Si on dit  la règle de composition est correcte  on veut en fait dire que toutes ses instances
(comme par exemple les deux données ci-dessus, mais aussi toutes les autres) sont correctes.
La bonne dénition est donc :
10.1. LE CALCUL DE HOARE 93

J1 ... Jn
Dénition 29 Une règle d'inférence est correcte quand on a pour toutes
J
p1 ... pn
ses instances R :
p
 Si toutes ses hypothèses sont valides, |= p1 , . . . , |= pn ,
 alors sa conclusion est aussi valide, |= p.

Sur l'exemple donné on s'aperçoit qu'au moins les deux instances données ci-dessus sont cor-
rectes : Pour la première c'est le cas parce que la conclusion est valide, pour la deuxième
instance c'est le cas parce qu'il y a une hypothèse (la première) qui n'est pas valide.
Dans le cas particulier d'une règle d'inférence qui est un axiome, la dénition 29 dit que

Un axiome est correct quand on a pour toutes ses instances : p est valide, c'est-
J p
à-dire que |= p.
Regardons maintenant les règles une par une.

L'axiome de l'aectation À première vue cet axiome peut étonner car on pourrait at-
tendre (à tort) une substitution dans la post-condition au lieu d'une substitution dans la
pre-condition. Intuitivement le raisonnement est comme suit : On veut que, après exécution
de l'aectation, la post-condition q soit vraie pour la nouvelle valeur de x. Or, la valeur de x
après l'aectation est la valeur de l'expression t avant l'aectation. Donc, toute propriété de x
après l'aectation correspond à la même propriété de t avant l'aectation. Plus formellement :

Proposition 17 La règle d'aectation est correcte.

Démonstration: Soit σ |= p[x/t] et [[x := t]]σ = σ0 . Il faut montrer que σ0 |= p.
Selon la dénition de la sémantique des programmes, σ 0 = σ[x/[[t]]σ]. Il faut donc montrer que

σ[x/[[t]]σ] |= p

Ceci est équivalent, à cause de la proposition 12, à

σ |= p[x/t]

ce qui est exactement notre première hypothèse. 2

On a vu en TD qu'un axiome naïf est vrai seulement si x 6∈ V(t). Que

{True} x := t {x = t}
dit notre axiome d'aectation si on part de la post-condition x = t ? On obtient

A
{(x = t)[x/t]} x := t {x = t}

Maintenant si x 6∈ V(t) alors on a que (x = t)[x/t] donne la formule t = t qui est trivialement
vraie. Par contre, si la variable x parait en t alors t[x/t] donne quelque chose diérent de t, et
la formule n'est en général pas vraie.
94 CHAPITRE 10. UN CALCUL POUR LES FORMULES DE HOARE

La règle de composition dit simplement que pour démontrer une assertion de correction
partielle {p} S {r}, où S est une séquence d'instructions, il sut de couper la séquence S en
deux morceaux S1 et S2 et de montrer une assertion de correction partielle pour S1 et une autre
pour S2 . Dans ces deux assertions on utilise un  lemme  q qui exprime une propriété qui
doit être vraie après avoir exécuté S1 , et que nous pouvons donc utiliser comme pre-condition
dans l'assertion de correction partielle de S2 .
Proposition 18 La règle de composition est correcte.
Démonstration: Soient {p} S1 {q} et {q} S2 {r} valides. Il faut montrer que {p} S1 ; S2 {r}
est valide.
Soit σ une aectation avec σ |= p et [[S1 ; S2 ]]σ = σ 0 . Il y a donc σ 00 avec [[S1 ]]σ = σ 00 et
[[S2 ]]σ 00 = σ 0 . Puisque {p} S1 {q} est valide on a que σ 00 |= q , et puisque {q} S2 {r} est valide
on a donc aussi que σ 0 |= q . 2

La règle de la conditionnelle permet de démontrer la correction d'une instruction con-

ditionnelle on considérant la branche then (où on a le droit d'utiliser le fait que la condition
est vraie) et la branche else (où on a le droit d'utiliser le fait que la condition est fausse).
Exercice 18 Montrer que la règle de la conditionnelle est correcte.

La règle de la conséquence permet de faire deux choses à la fois :

 renforcer la pre-condition : Si on sait qu'un programme est correct sous une certaine pre-
condition p, alors il est certainement aussi correct si on restreint encore plus la pre-condition.
 aaiblir la post-condition : Si on sait que tous les états qui peuvent résulter de l'exécution
du programme satisfont une certaine propriété q alors il satisfont aussi toute propriété qui
est plus faible.
Formellement :
Proposition 19 La règle de conséquence est correcte.
Démonstration: Soient p0 → p, {p} S {q}, et q → q0 valides. Pour montrer que {p0 } S {q0 }
est valide soit σ une aectation avec σ |= p0 , et soit [[S]]σ = σ 0 .
Puisque p0 → p est valide et σ |= p0 nous avons que σ |= p.
Puisque {p} S {q} est valide, σ |= p, et [[S]]σ = σ 0 , nous avons aussi que σ 0 |= q .
Puisque q → q 0 est valide et σ 0 |= q nous avons aussi que σ 0 |= q 0 . 2

La règle de la boucle est la règle la plus intéressante. L'expression p dans cette règle est
l'invariant. La règle dit que si l'exécution du corps S de la boucle conserve la véracité de
l'invariant p (où en plus on a le droit d'utiliser le fait que la garde f de la boucle est vraie
quand on commence l'exécution du corps), alors on a aussi que la véracité de p est conservée
par l'exécution de la boucle entière. De plus on sait qu'après l'exécution de la boucle la garde
de la boucle est fausse.
Par exemple, une instance de cette règle est
{x = y ∧ x > 42} x := x − 1; y := y − 1 {x = y}
W
{x = y} while x > 42 do x := x − 1; y := y − 1 od {x = y ∧ x ≤ 42}
10.1. LE CALCUL DE HOARE 95

An de démontrer la correction de la règle de la boucle nous avons besoin d'une petite propo-
sition :

Proposition 20 Si hwhile f do S od, σi ⇒ . . . ⇒ h, σ0 i en n itérations de la boucle, alors

1. Soit on a n = 0, σ = σ 0 , et σ 0 |= ¬f
2. Soit n ≥ 1, et il existe σ1 , . . . , σn+1 ∈ A telles que
(a) σ = σ1
(b) σ 0 = σn+1
(c) [[S]]σi = σi+1 pour tout i, 1 ≤ i ≤ n
(d) σi |= f pour tout i, 1 ≤ i ≤ n
(e) σn+1 |= ¬f

Dans cette proposition, σi est l'état de la mémoire au début de la i-ème itération de la boucle,
et σi+1 est l'état de la mémoire à la n de la i-ème itération de la boucle.

Exercice 19 Montrer la proposition 20 par induction sur le nombre d'itération dans l'exécu-
tion de la boucle.

Proposition 21 La règle de la boucle est correcte.

Démonstration: Soit |= {p ∧ f } S {p}, et σ ∈ A telle que σ |= p et

[[while f do S od]]σ = σ0
Soit n le nombre d'itérations de la boucle pendant l'exécution du programme S par rapport à
l'état initial σ .
 Si n = 0 on a, d'après la proposition 20, que σ 0 = σ et σ 0 |= ¬f . Puisque σ |= p on obtient
que σ 0 |= p ∧ ¬f .
 Si n ≥ 1 alors il y a une séquence σ = σ1 , . . . , σn+1 = σ 0 comme décrite à la proposition 20.
Par la même proposition on a que σ 0 |= ¬f . Puisque σ1 |= p ∧ f , et puisque |= {p ∧ f } S {p},
on obtient par induction que σn+1 |= p. Donc, σ 0 |= p ∧ f . 2

Exercice 20 Dire pour chacune des règles suivantes si elle est correcte ou pas.
1.
{p1 } S {q1 } {p2 } S {q2 }
{p1 ∧ p2 } S {q1 ∧ q2 }

2.
{p} S {q}
{True} if p then S else x := 0  {q}
96 CHAPITRE 10. UN CALCUL POUR LES FORMULES DE HOARE

10.2 Références et remarques

Le calcul donné à la gure 10.1 à été proposé par Tony Hoare en 1969. Notre présentation est
simpliée dans le mesure où nous utilisons des expressions booléennes pour les pre-conditions et
les post-conditions. Souvent on utilise pour les pre-conditions et les post-conditions les formules
d'une logique plus expressive, et dont nos expressions booléennes sont un cas particulier : la
logique du premier ordre.
Nous avons ici présenté la notion des règles d'inférences et des arbres de preuves dans le
contexte de la logique de Hoare, mais en vérité il s'agit des notions très générales qui peu-
vent s'appliquer à n'importe quelle logique. Par exemple on pourrait aussi donner des règles
d'inférences pour la logique propositionnelle, ce que nous n'avons pas fait car il existe des al-
gorithmes de décision très ecace pour le cas restreint de la logique propositionnelle, comme
par exemple l'algorithme DPLL présentée au chapitre 5. Par contre les règles d'inférence de-
viennent un outil incontournable dès que l'on s'intéresse à des logiques plus expressives que
la logique propositionnelle, comme par exemple la logique du premier ordre. Dans ce cas il
convient d'étudier d'abord des règles d'inférence pour la logique propositionnelle, et puis de
les étendre vers les logiques plus expressives (voir un cours de Logique ).
Chapitre 11

Preuves de correction partielle

11.1 Les preuves dans le calcul de Hoare

Le calcul de Hoare que nous avons étudié au chapitre précédent consiste en des règles de
raisonnement qui nous permettent de conclure la validité d'une formule, dénotée par la con-
clusion d'une règle d'inférence, en supposant que les formules dénotées par les hypothèses de la
règle d'inférence soient valides. Dans cette section nous nous intéressons à des preuves entières
de correction partielle de programmes en utilisant le calcul du chapitre 10. Une preuve est
obtenue en itérant, à partir des axiomes du calcul, les règles d'inférence. Puisque les règles ont
en général plusieurs hypothèses, la structure ainsi obtenue est un arbre de preuve, ou aussi
simplement appelé une preuve .
Intuitivement, une preuve est un arbre dont tous les n÷uds sont étiquetés par des formules de
Hoare ou des expressions booléennes, et pour tous les n÷uds :
 si le n÷ud est étiqueté par p et si p1 , . . . , pn sont les étiquettes des prédécesseurs de ce n÷ud,
p1 ... pn
 alors est une instance d'une des règles d'inférence du calcul de Hoare.
p
Dans le cas particulier où un n÷ud étiqueté avec une formule p est une feuille, et n'a alors
pas de prédécesseurs, cette condition dit que doit être une règle d'inférence, c'est-à-dire un
p
axiome (car il n'y a pas d'hypothèses).
Les arbres de preuve sont dessinés dans un style particulier : les n÷uds sont connectés avec
leurs prédécesseurs par une barre horizontale, comme dans les règles d'inférences. On appelle
racine le n÷ud d'un arbre qui n'a pas de successeur. Par exemple

p3
p1 p2 p4
p5 p6
p7

est un arbre dont la racine est étiquetée par p7 , et pour qu'il soit une preuve il faut que ,
p1
98 CHAPITRE 11. PREUVES DE CORRECTION PARTIELLE

p3 p1 p2 p4 p5 p6
, et soient des instances d'axiomes, et que , et soient
p2 p3 p6 p4 p5 p7
des instances de règles d'inférence.
La dénition formelle des preuves utilise le principe de la dénition inductive :

Dénition 30 L'ensemble des preuves dans le calcul de Hoare est le plus petit ensemble tel
que :
 Si R est instance d'un axiome alors R est une preuve (de la formule p).
p p
p1 ... pn
 Si Π1 , . . . , Πn sont des preuves des formules p1 , . . . , pn respectivement, et si R
p
Π1 ... Πn
est instance d'une règle d'inférence, alors R est une preuve (de la formule
p
p).

Théorème 18 S'il y a une preuve de p alors p est valide.

Démonstration: Preuve par récurrence :

Cas de base Nous avons une preuve qui consiste en une seule instance d'un axiome p. Il
s'agit nécessairement de l'axiome de l'aectation (puisque c'est le seul axiome de notre
système de règles).Nous concluons avec la proposition 17 que p est valide.
Π1 ... Πn
Cas de récurrence Nous avons une preuve composée R où chaque Πi est
p

une preuve de pi , et R
p1 ...
p
pn
est une instance de la règle d'inférence R. Par
hypothèse de récurrence, les pi sont valides, donc p est aussi valide car toutes les règles
d'inférence du calcul de Hoare sont correctes (propositions 18 à 21). 2
Des exemples de preuves sont donnés en gure 11.1 et en gure 11.2. Dans ces preuves nous
permettons des simplications évidentes dans les expressions booléennes, comme par exemple
de remplacer une formule True ∧ p par p, etc. Remarquez qu'il existe en général plusieurs
preuves diérentes pour la même formule (quand elle est valide). Un premier exemple pour
cela est donné page 99 avec une programme consistant en deux aectations.

11.2 Vers une automatisation des preuves ?

Est-ce qu'il y a une méthode pour trouver la preuve pour une formule de Hoare donnée dans le
cas où la formule est valide, et de détecter quand la formule de Hoare donnée n'est pas valide ?
Un premier problème est déjà qu'il n'y a pas d'algorithme qui peut décider pour une expression
booléenne quelconque si elle est valide ou pas, comme nous l'avons expliquée à la section 7.3.
Est-ce qu'une telle méthode existe au moins pour les cas  simples  dans lesquelles ont n'est
pas aronté à des expressions booléennes trop diciles ? Un obstacle est certainement le fait
qu'il est possible que plusieurs preuves existent pour la même formule de Hoare, comme nous
l'avons vu à la section précédente.
11.2. VERS UNE AUTOMATISATION DES PREUVES ? 99

Exemple d'une preuve avec deux aectations :

A
{x + 1 ≥ 1} x := x + 1 {x ≥ 1}
P A
{x ≥ 0} x := x + 1 {x ∗ x ≥ 1} {x ∗ x ≥ 1} x := x ∗ x {x ≥ 1}
C
{x ≥ 0} x := x + 1; x := x ∗ x {x ≥ 1}

Une preuve diérente pour la même formule :

A A
{x + 1 ≥ 1} x := x + 1 {x ≥ 1} {x ∗ x ≥ 1} x := x ∗ x {x ≥ 1}
P P
{x ≥ 0} x := x + 1 {x ≥ 1} {x ≥ 1} x := x ∗ x {x ≥ 1}
C
{x ≥ 0} x := x + 1; x := x ∗ x {x ≥ 1}

Exemple d'une preuve avec une conditionnelle :

A A
{x ≥ y} z := x {z ≥ y} {y ≥ y} z := y {z ≥ y}
P P
{x > y} z := x {z ≥ y} {x ≤ y} z := y {z ≥ y}
I
{True} if x > y then z := x else z := y  {z ≥ y}

Figure 11.1: Preuves de correction partielle.

Une bonne approche est de commencer par construire la preuve à partir de la post-condition,
et puis de se frayer un chemin de la n du programme au début. La règle de composition
nous donne le moyen d'avancer sur ce chemin : Si on veut montrer la validité d'une formule
de Hoare comme {p} S; I {q} où I est la dernière instruction du programme entier, alors il
sut de montrer la validité de {p} S {r} et de {r} I {q} pour un  lemme  r bien choisi. La
question évidente est : comment choisir ce lemme r ?
Si on a en général plusieurs possibilités de choisir le lemme r pour qu'on puisse démontrer la
validité de {r} I {q}, un mauvais choix de r peut avoir la conséquence qu'on ne réussira pas
dans la suite de démontrer la validité de {p} S {r}. La meilleure stratégie est de choisir un r
aussi faible que possible (possible veut dire : tel qu'on puisse montrer que {r} I {q} est valide).
Plus la formule r est faible, plus on a de chances de démontrer {p} S {r}. Cette idée nous mène
à la dénition 31 au-dessous. Nous allons montrer dans la proposition 23 que cette dénition
nous donne eectivement la formule qui est la plus faible parmis toutes les preconditions.
Dénition 31 Soient S un programme et q une expression booléenne. Nous disons qu'une
expression booléenne p est une plus faible pre-condition de S par rapport à q si pour toute
aectation σ ∈ A :
 
σ |= p ssi [[S]]σ = ⊥ ou [[S]]σ |= q
Dans ce cas nous écrivons wp(S, q) = p.
Attention, nous ne prétendons pas que pour tout programme S et expression booléenne q une
telle plus faible pre-condition de S par rapport à q existe. En fait nous verrons dans la suite
100 CHAPITRE 11. PREUVES DE CORRECTION PARTIELLE

L'exemple 6 de la section 9.2 (une boucle qui ne termine pas)

A
{x + 1 > 5} x := x + 1 {x > 5}
P
{x > 5 ∧ x > 5} x := x + 1 {x > 5}
W
{x > 5}while x > 5 do x := x + 1 od {x > 5 ∧ ¬x > 5}
P
{x > 5} while x > 5 do x := x + 1 od {x = 52}

L'exemple 7 de la section 9.2 (la garde d'une boucle n'est pas vraie directement après la
boucle)
A
{True} x := x − 1 {True}
P
{True ∧ x > 0} x := x − 1 {True}
W
{True} while x > 0 do x := x − 1 od {True ∧ ¬x > 0}
P
{True} while x > 0 do x := x − 1 od {x ≤ 0}
Exemple d'une preuve avec une boucle utilisant un raisonnement avec un invariant :

A
{x − 1 = y − 1} x := x − 1 {x = y − 1}
P A
{x = y ∧ x > 5} x := x − 1 {x = y − 1} {x = y − 1} y := y − 1 {x = y}
C
{x = y ∧ x > 5} x := x − 1; y := y − 1 {x = y}
W
{x = y}while x > 5 do x := x − 1; y := y − 1 {x = y ∧ ¬x > 5}
P
{x = 42 ∧ x = y} while x > 5 do x := x − 1; y := y − 1 od {y ≤ 5}

Figure 11.2: Exemples de preuves pour des programmes avec boucle.

11.2. VERS UNE AUTOMATISATION DES PREUVES ? 101

qu'il y a des cas dans lesquels une plus faible pre-condition n'existe pas. Si une plus faible
pre-condition existe, est-elle unique ? Évidemment elle ne peut pas être unique dans le sens
stricte car elle est dénie seulement par sa sémantique (c'est-à-dire, par caractérisation des
aectations pour lesquelles elle est vraie). Donc, si p1 est une plus faible pre-condition de S
par rapport à q , et si p2 est logiquement équivalent à p1 , alors p2 est aussi une plus faible
pre-condition de S par rapport à q . La proposition suivante en fait énonce que la notion de
pre-condition la plus faible est unique à équivalence logique près :

Proposition 22 Soit p1 et p2 sont des plus faibles pre-conditions de S par rapport à q alors
p1 |=| p2 .

Démonstration: Soit σ ∈ A une aectation. Alors, nous avons selon la dénition 31 que
σ |= p1
ssi [[S]]σ = ⊥ ou [[S]]σ |= q
ssi σ |= p2
Donc, p1 |=| p2 . 2
Pour cette raison, nous parlons aussi souvent de la pre-condition la plus faible.
La proposition suivante donne quelques propriétés importantes de cette notion, et justie son
nom.

Proposition 23 Soit p la plus faible pre-condition de S par rapport à q. Alors

1. |= {p} S {q}
2. Si |= {p0 } S {q} alors p0 |= p.

Démonstration:
1. Soit σ ∈ A. Si σ 6|= p alors σ |= {p} S {q}, et si σ |= p alors nous avons après la
dénition 31 que [[S]]σ = ⊥ ou [[S]]σ |= q , donc σ |= {p} S {q}.
2. Soit σ ∈ Af f avec σ |= p0 , nous devrons montrer que σ |= p. Puisque σ |= {p0 } S {q} et
σ 0 |= p, nous avons que [[S]]σ = ⊥ ou [[S]]σ |= q , et donc après dénition 31 que σ |= p. 2
Une fois la notion de la plus faible pre-condition établie, il nous faut maintenant étudier com-
ment on peut eectivement la calculer pour un programme donné et une post-condition donnée.
La façon utilisée pour construire cette pre-condition, si elle existe, va certainement dépendre
de la structure du programme. Puisque l'ensemble des programmes est déni inductivement,
il faudra répondre aux questions suivantes :
 Comment calculer une plus faible pre-condition pour une seule aectation ?
 Comment calculer une plus faible pre-condition pour une séquence d'instructions, sous l'hy-
pothèse qu'on sait calculer des plus faibles pre-conditions pour chaque instructions dans la
liste ?
 Comment calculer une plus faible pre-condition pour une instruction conditionnelle, sous
l'hypothèse qu'on sait calculer de plus faibles pre-conditions pour les deux branches ?
 Comment calculer une plus faible pre-condition pour une boucle, sous l'hypothèse qu'on
sait calculer une plus faible pre-condition pour son corps ?
Ici,  calculer une plus faible pre-condition pour un programme S  veut dire avoir une
méthode pour calculer wp(S, q) pour n'importe quelle post-condition q . Commençons avec une
aectation :
102 CHAPITRE 11. PREUVES DE CORRECTION PARTIELLE

Proposition 24 wp(x := t, q) = q[x/t].

Démonstration: Soit σ ∈ A. Nous avons la chaîne d'équivalence suivante :

[[x := t]]σ = ⊥ ou [[x := t]]σ |= q
ssi [[x := t]]σ |= q (car le programme termine toujours)
ssi σ[x/[[t]]σ] |= q (selon la dénition de la sémantique des programmes)
ssi σ |= q[x/t] (par proposition 12)
2
Puis, pour les séquences d'instructions, il sut évidemment d'étudier la question pour une
séquence consistant en deux instructions puisqu'on peut répéter l'opération tant que néces-
saire :

Proposition 25 Si wp(S2 , q) = p et wp(S1 , p) = r alors wp(S1 ; S2 , q) = r

Démonstration: Soit σ ∈ A. Nous avons la chaîne d'équivalence suivante :
σ |= r
ssi [[S1 ]]σ = ⊥ ou [[S1 ]]σ |= p (car wp(S1 , p) = r)
ssi [[S1 ]]σ = ⊥ ou [[S2 ]]([[S1 ]]σ) = ⊥ ou [[S2 ]]([[S1 ]]σ) |= q (car wp(S2 , q) = p)
ssi [[S1 ; S2 ]] = ⊥ ou [[S1 ; S2 ]]σ |= q (par proposition 16)
2
Regardons maintenant la question pour une instruction conditionnelle :

Proposition 26 Si wp(S1 , q) = p1 et wp(S2 , q) = p2 alors

wp(if f then S1 else S2 , q) = ((f ∧ p1 ) ∨ (¬f ∧ p2 ))
Exercice 21 Montrer la proposition 26.
Une question reste : comment construire la plus faible pre-condition dans le cas d'une boucle ?
C'est ici que nous tombons sur un problème. Voici un exemple d'une boucle où une plus faible
pre-condition n'existe pas. Soit S le programme

while x > 0 do x := x − y od
et q la formule x = 0. Quelle pourrait être la plus faible pre-condition de S par rapport à q ?
Il faudrait quelle exprime d'abord le fait que x ≥ 0 (car, si x < 0), le programme termine et
la post-condition n'est pas satisfaite), et en plus il faudrait que si y ≥ 0 alors que x soit un
multiple de y . Mais comment exprimer le fait que x soit un multiple de y ? Nous ne pouvons
pas l'exprimer dans notre logique car pour cela il nous faudrait dire  il existe une valeur
z telle que x = y ∗ z , sans connaître cette valeur ! Cela est seulement possible dans une
extension de notre logique qui dépasse le cadre de ce cours.
En fait il se trouve que la question de la construction d'une plus faible pre-condition dans
le cas d'une boucle est liée à la question de trouver le bon invariant pour une boucle (voir
l'exercice 22. Malheureusement il n'y a pas de bonne méthode pour trouver un bon invariant.
Il est en principe possible de construire un tel invariant à partir de la post-condition de la
boucle mais cela nécessite une logique plus expressive (la logique du premier ordre que nous
11.2. VERS UNE AUTOMATISATION DES PREUVES ? 103

avons déjà plusieurs fois évoquée). La justication de la construction repose sur un théorème
de l'arithmétique modulaire, et l'invariant obtenu n'est pas un invariant  naturel .
La seule méthode praticable est  de connaître le bon invariant. La meilleure personne à
connaître l'invariant est le programmeur qui a écrit le programme. Il est donc crucial que le
programmeur donne les invariants des boucles avec le programme. Ça peut être simplement
en forme d'un commentaire dans le programme, mais certains langages de programmation
permettent d'écrire un invariant directement dans le programme, comme par exemple avec
l'instruction assert de Objective CAML. L'utilisation de cette instruction n'est pas restreinte
à des invariants de boucles, le programmeur peut mettre une telle assertion à n'importe quel
point de contrôle dans le programme. Les assertions servent d'une part à la documentation du
programme (et en particulier à la vérication de sa correction partielle, comme nous avons vu),
mais elles sont aussi utiles pour mieux tester le programme. Dans le cas du langage Objective
CAML, le compilateur permet de générer du code qui évalue les assertions chaque fois qu'une
instruction assert est rencontrée, et qui signale quand une assertion n'est pas satisfaite. Il est
aussi possible de générer du code qui ignore les assertion, et dans ce cas on a aucune perte de
performance dans le code engendré. Une instruction similaire est disponible dans le langage
C++ où elle est dénie par le pre-processeur (au lieu d'être dénie dans le noyeau du langage,
ou dans une bibliothèque).

Exercice 22 Soit S =while e do S1 od, et supposons que r = wp(S, q). Montrer que
1. |= {r ∧ e} S1 {r}
2. r ∧ ¬e |= q
Indication : Pour la première question, utiliser le fait que le programme S est équivalent au
programme if e then S1 ; S .

Un exemple de la construction d'une preuve par la méthode des plus faibles pre-conditions est
donné page 104.
Malheureusement la page n'est pas susamment large pour dessiner l'arbre en un seul morceaux :

104
A
{(x + y) ∗ (x + y) − (x + y + x + y) = y ∗ y − 1)} x := x + y {x ∗ x − (x + x) = y ∗ y − 1}
P
{x = 1} x := x + y {x ∗ x − (x + x) = y ∗ y − 1}

CHAPITRE 11. PREUVES DE CORRECTION PARTIELLE

{x = 1} x := x + y {x ∗ x − (x + x) = y ∗ y − 1} A
{x ∗ x − (x + x) = y ∗ y − 1} z := x + x {x ∗ x − z = y ∗ y − 1}
C
{x = 1} x := x + y; z := x + x {x ∗ x − z = y ∗ y − 1}

{x = 1} x := x + y; z := x + x {x ∗ x − z = y ∗ y − 1} A
{x ∗ x − z = y ∗ y − 1} x := x ∗ x {x − z = y ∗ y − 1}
C A
{x = 1} x := x + y; z := x + x; x := x ∗ x {x − z = y ∗ y − 1} {x − z = y ∗ y − 1} x := x − z {x = y ∗ y − 1}
C
{x = 1} x := x + y; z := x + x; x := x ∗ x; x := x − z {x = y ∗ y − 1}
11.3. RÉFÉRENCES ET REMARQUES 105

La règle de calcul pour la plus faible pre-condition est la raison pourquoi nous essayons toujours
de construire la preuve dans le sens qui commence avec la n du programme, c'est-à-dire
avec la post-condition. Une approche duale qui commence au début du programme avec la
pre-condition, et qui avance par construction successive d'une plus forte post-condition est
également possible, le problème est simplement que la règle de construction d'une plus forte
post-condition dans le cas d'une aectation est plus compliquée.

11.3 Références et remarques

On trouve parfois dans la littérature des dénitions de la plus faible pre-condition qui sont
diérentes à notre dénition 31. Selon la terminologie parfois utilisée dans la littérature nous
aurions du parler d'une plus faible pre-condition libérale.
L'extension de notre logique par un opérateur  il existe une valeur telle que . . .  amène à
la logique du premier ordre qui va être étudiée dans le cours de logique du L3. La logique du
premier ordre permet par exemple d'exprimer que x est un multiple de y par ∃z(x = y ∗ z),
ou encore que x est un nombre premier. Par ailleurs, cette extension est loin d'être anodine.
La preuve qu'il est théoriquement possible de construire automatiquement le bon invariant
d'une boucle si on dispose d'une logique susamment expressive, par exemple la logique du
premier ordre, a été donnée par Stephen A. Cook en 1978 [?]. On trouve un bon exposé de la
preuve par exemple dans [?].
106 CHAPITRE 11. PREUVES DE CORRECTION PARTIELLE
Chapitre 12

Problèmes non décidables

Nous avons déjà à la section 7.3 parlé d'un problème pour lequel il existe aucun algorithme qui
résout ce problème : il s'agit de la validité des expressions booléennes. Dans ce chapitre nous
allons expliquer comment on peut conclure qu'un certain problème ne peut par principe pas
être résolu par un algorithme. Bien entendu nous parlons ici des problèmes mathématiques ou
informatiques avec une spécication très précise. Comme préparation nous regardons d'abord
un paradoxe logique qui nous servira plus tard pour la preuve.

12.1 Le paradoxe du barbier

Est-ce qu'il existe un endroit où le barbier du village rase tous les habitants du village qui ne
se rasent pas eux-mêmes et seulement ceux-ci ? Il est sous-entendu que le barbier du village
habite au village même.
Nous pouvons montrer avec un argument par absurde qu'un tel endroit ne peut pas exister.
Supposons par l'absurde qu'il existe un village dans lequel le barbier rase tous les habitants
du village qui ne se rasent pas eux-mêmes et seulement ceux-ci. Il y a deux cas possibles :
1. Le barbier ne se rase pas lui-même. Or, le barbier doit raser tous ceux qui ne se rasent
pas eux-mêmes, donc il doit se raser lui-même. Contradiction.
2. Le barbier se rase lui-même. Or, le barbier ne rase pas les gens qui se rasent eux-mêmes,
donc il ne doit pas se raser lui-même. Contradiction.
Puisqu'on a une contradiction dans les deux cas, notre hypothèse était fausse. Un tel barbier
ne peut pas exister.
La formalisation de cet argument va nous permettre dans la section suivante de démontrer
qu'un programme avec un certain comportement ne peut pas exister. Soit V l'ensemble de
tous les habitants masculins de notre village. Nous interprétons tout habitant m ∈ V aussi
comme une fonction V → {  oui ,  non  }, dans le sens que

 oui  si m rase m0

pour tout m0 ∈ V : m(m ) =
0
 non  si m ne rase pas m0

Notre barbier b est un habitant de notre village. Nous reformulons la spécication du com-
108 CHAPITRE 12. PROBLÈMES NON DÉCIDABLES

portement de b avec la nouvelle notation :

 oui  si m(m)= non  (b1)

pour tout m ∈ V : b(m) =
 non  si m(m)= oui  (b2)
La preuve d'impossibilité s'écrit maintenant comme suit. Il y a deux cas possibles pour la
valeur de b(b) :
1. b(b) =  oui . Donc, selon (b2) avec m = b nous avons que b(b) =  non .
Contradiction.
2. b(b) =  non . Donc, selon (b1) avec m = b nous avons que b(b) =  oui .
Contradiction.
Par conséquent, un tel barbier b n'existe pas. Dans la preuve ci-dessus on a le droit de mettre
b = m car la spécication de b en (b1) et (b2) est pour toutes les valeurs de m, donc en
particulier pour m = b.
Le fait qu'on interprète tout élément m ∈ V comme une fonction sur V n'a a priori rien
d'inquiétant. Par exemple on peut très bien interpréter tout nombre naturel n ∈ N comme
une fonction N → N (par exemple la fonction qui associe à tout nombre x la valeur n + x),
ou comme une fonction N → { oui ,  non } (par exemple la fonction qui associe à tout
nombre x la valeur  oui  quand x ≤ n, et la valeur  non  quand x > n). L'argument
ci-dessus nous dit simplement que pour certaines spécication il n'y a aucune fonction qui
répond à la spécication.

12.2 Le problème d'arrêt

L'argument de la section précédente repose sur le fait que nous avons pu interpréter un habitant
du village, par exemple le barbier, comme une fonction qui est appliquée à un autre habitant.
Si on veut transférer ce genre de raisonnement vers les programmes il faut donc trouver un
moyen qui nous permet d'interpréter un programme comme une fonction des programmes vers
un ensemble de valeurs. La solution naturelle est de considérer des programmes qui peuvent
prendre des programmes en entrées (par exemple lire un chier qui contient le programme
d'entrée, puis le traiter).
Le langage de programmation Imp du chapitre 8 n'est pas susant pour deux raisons :
1. Les programmes Imp ne contiennent pas d'instructions d'entrée et de sortie.
2. Le seul type de données des programmes Imp est int, il n'y a pas de type de données
pour représenter la syntaxe d'un programme.
Il nous faut donc un langage de programmation plus riche. Nous n'allons pas dénir formelle-
ment ce langage de programmation, pour pouvez dans la suite simplement supposer que le
langage de programmation est un langage de programmation qui contient les constructions
habituelles comme traiter des arguments, appeler des sous-programmes (selon le langage en
tant que méthode, procédure, fonctions, etc.) , des conditionnelles, etc. Par exemple le langage
peut être Java, ou Objective CAML.
Des programmes qui traitent des programmes sont absolument normaux en informatique. Il
sut de penser à un éditeur de texte qui peut traiter le texte d'un autre programme (ou,
pourquoi pas, son propre texte de programme), ou encore à un compilateur qui prend en
12.2. LE PROBLÈME D'ARRÊT 109

entrée un programme source, par exemple en Java, et sort un autre programme, par exemple
en langage machine.
On considère des programmes qui prennent en argument un programme ou plusieurs pro-
grammes. On peut supposer qu'avec chaque programme le nombre des arguments est indiqué.
Si P est un programme qui attend n arguments alors nous notons P (P1 , . . . , Pn ) le résultat
de l'exécution du programme P avec les n arguments P1 , . . . , Pn . Nous supposons que tout
programme envoie un résultat en forme d'une chaîne de caractères quand il a terminé. Il y a
bien sûr la possibilité que l'exécution d'un programme sur des arguments donnés ne termine
pas. Nous écrivons P (P1 , . . . , Pn ) = s quand l'exécution termine et envoie le résultat s, et
P (P1 , . . . , Pn ) = ⊥ quand l'exécution ne termine pas. Le fait qu'un programme peut ne pas
terminer pose une petite diculté supplémentaire par rapport à la section 12.1.
Nous pouvons maintenant donner une spécication de la fonction pour laquelle nous montrons
dans la suite qu'il n'y a a pas de programme :
 oui  si P1 (P2 ) 6= ⊥

Pour tout programme P1 , P2 : H(P1 , P2 ) =
 non  si P1 (P2 ) = ⊥
On appelle H le problème d'arrêt. Il s'agit évidemment d'un problème fondamentale de l'infor-
matique, et on serait bien content d'avoir un programme qui répond à cette spécication. Cela
permettrait par exemple d'écrire un compilateur qui rejette les programmes qui ne terminent
pas. Une solution naïve qui consiste simplement en exécutant P1 avec entrée P2 et de  voir
si ça termine  ne marchera pas : Si l'exécution termine alors on peut certainement répondre
 oui , mais qu'est-ce qu'on peut conclure si le programme tourne toujours après une heure,
ou après un jour, ou après deux mois ?
Nous allons dans la suite montrer qu'un tel programme H ne peut pas exister. Supposons par
l'absurde qu'un tel programme H existe. On ne peut pas appliquer tout de suite l'argument de
la section 12.1 à cette fonction H , nous allons plutôt construire d'abord un autre programme
B en utilisant le programme hypothétique H . On construit le programme B suivant :

a := h premier argument du programme i;

h := H(a,a);
if h =  non 
then return( oui )
else
while True do x := x+1 od

Ce programme B utilise le programme H , dont nous avons supposé l'existence, en tant que
sous-programme. Le programme B fait le calcul suivant : il détermine (en utilisant le sous-
programme H ) si le programme donné en argument, quand exécuté sur lui même, termine ou
pas. Si le programme ne termine pas alors il répond  oui , si le programme termine alors il
entre dans une boucle innie. On peut résumer ce fonctionnement comme suit :
 oui  si H(P, P ) =  non  si P (P ) = ⊥

(B1)
Pour tout programme P : B(P ) =
⊥ si H(P, P ) =  oui  si P (P ) 6= ⊥ (B2)
Ce programme correspond maintenant au barbier ctif de la section 12.1, et l'argument d'im-
possibilité est analogue à l'argument à la n de la section 12.1. La diérence essentielle est
qu'il y a pour un programme aussi la possibilité de ne pas terminer.
110 CHAPITRE 12. PROBLÈMES NON DÉCIDABLES

Il y a deux cas possibles pour la valeur de B(B) :

1. B(B) =  oui . Donc, B(B) 6= ⊥, et selon (B2) nous avons que B(B) = ⊥.
Contradiction.
2. B(B) = ⊥. Donc, selon (B1) nous avons que B(B) =  oui . Contradiction.
Par conséquent, le programme B ne peut pas exister. Or nous avons construit le programme
B à partir du (sous-)programme hypothétique H . Donc, le programme H ne peut pas exister.
On dit :  Le problème d'arrêt n'est pas décidable .

12.3 Références et remarques

Le paradoxe du barbier est une version vulgarisée d'un paradoxe célèbre que le logicien britan-
nique Bertrand Russell a publié au début du 20ème siècle. Des paradoxes de ce genre ont été
beaucoup utilisé pour montrer des incohérences dans certaines constructions mathématiques,
par exemple dans la théorie des ensembles.
Alan Turing, un des pères de l'informatique, a montré en 1936 que le problème d'arrêt est in-
décidable. Le problème d'arrêt n'est pas le seul problème informatique qui n'est pas décidable,
en fait on peut montrer que toutes les propriétés sémantiques et non triviales de programmes
ne sont pas décidable (voir un cours de Calculabilité ).
[?] est un joli ouvrage de vulgarisation qui explique de façon très amusante l'idée du paradoxe
par  auto-référence  qui est derrière le paradoxe du barbier, et aussi derrière l'indécidabilité
du problème d'arrêt.
Dans ce chapitre nous avons abordé les problèmes de calculabilité avec des arguments intu-
itifs et pas toujours trop formels. Une étude approfondie du phénomène de non-décidabilité
nécessite un formalisme de calcul dédié comme par exemples les machines de Turing. Ces for-
malismes présentent l'avantage qu'ils sont d'une part susamment puissants pour admettre le
raisonnement que nous avons vu à la section 12.2, mais d'autre part susamment simples pour
être simulés par des autres formalismes. Cela permet par exemple de démontrer que certains
puzzles mathématiques ne sont pas décidables (voir un cours de Calculabilité ).
Annexe A

Diérences importantes aux années

précédentes

A.1 De l'année 07/08 à l'année 08/09

 Les aectations (à la fois pour la logique propositionnelle et pour la logique de Hoare) sont
maintenant des fonctions totales, ce qui enlêve un bon nombre de complications techniques
dans les lemmes.
 Proposition 6 ajoutée.
 Preuve formelle de la terminaison de la mise en forme normale de négation (propositions 7
et 8).
 Parle des arbres syntaxiques (page 17).
 Un nouveau chapitre sur les expressions (seulement regroupement des sections, le conténu
de chapitre était déjà dans le poly de l'année précédente mais à des endroits diérents).
 Nous utilisons maintenat le symbole  ;  aussi pour la concaténation de listes, le symbole
@ n'est plus utilisée.

A.2 De l'année 08/09 à l'année 09/10

 Ajouté exercice 1 (donc décalage des numéros des exercices).
 Ajouté la dénition de la conséquence d'un ensemble (T |= p, dénition 6).
 Ajouté le théorème 6.
 Ajouté proposition 14.
 Calcul de Hoare : supprimé l'axiome des expressions booléennes (qui introduisait toute
expression booléenne qui est valide). Simplié la règle de conséquences : Les implications
entre les expression booléennes sont maintenant des conditions de côté. Donc, l'ancienne
règle
p0 → p {p} S {q} q → q0
{p0 } S {q 0 }
est devenu
{p} S {q}
si p0 |= p et q |= q 0
{p0 } S {q 0 }
112 ANNEXE A. DIFFÉRENCES IMPORTANTES AUX ANNÉES PRÉCÉDENTES

Du coup, les exemples des preuves dans les gures 11.1 et 11.2 deviennent beaucoup plus
digestes.
 Les règles d'inférences portent un nom, le nom doit être utilisé dans l'écriture d'une preuve.
Dans les preuves, on demande de mettre un trait aussi au-dessus d'une feuille.
 La dénition de la plus faible pre-condition a changé : maintenant elle est dénie séman-
tiquement, avant elle était dénie comme la plus faible (par rapport à l'implication logique)
parmi toutes les pre-conditions valides. Cela a fait possible d'énoncer (et de montrer) la
proposition 26. Le fait que la plus faible pre-condition est en fait la plus faible parmi toutes
les pre-conditions valides est maintenant simplement une observation (proposition 23).
 Ajouté le nouveau chapitre 6 sur la modélisation en logique propositionnelle.

A.3 De l'année 09/10 à l'année 10/11

 La preuve de correction de la règle While du calcul de Hoare (proposition 21) a été consid-
érablement simpliée par l'introduction de la proposition 20.
 Ajout d'un deuxième exemple pour la modélisation en logique propositionnelle (mariages
heureux, Section 6.2).
 Ajout de dénition et propriétés de la subsomption aussi entre clauses disjonctives (dans
Section 4.5).
 Le sens de la dénition de subsomption pour les clauses conjonctives a été inversé : c subsume
d si c est inclus en d (pareil pour clauses conjonctives et disjonctives). Par conséquence, on
a dans les deux cas que les clauses subsumées sont redondantes.
 Chapitre 2 : ajouter des  repères de notation .

A.4 De l'année 10/11 à l'année 11/12

 Fautes de frappe dans dénition 11 et dénition 22.
 Chapitre 6 : ajout d'une section sur le format DIMACS.

A.5 De l'année 11/12 à l'année 12/13

 Chapitre 11 : erreur dans le programme dont la weakest precondition n'est pas exprimable.
 Chapitre 6 : ajout d'une section sur les contraintes de comptage.