契約プログラミングとエラー処理

関数のシグネチャは、その関数がどのように使われるべきものかを規定する。これはその関数を使うユーザとの間の取り決めのようなものである。

しかし、シグネチャだけでは表現の幅に限界がある。例えば以下の関数を考えてみる。

double sqrt(double num);

これは数値の平方根を計算するありきたりな関数のシグネチャだ。この段階で、この関数の引数と戻り値の型が規定され、使い方はかなり限定されている。

しかし、この関数はあくまでユーザが0以上の数値しか入力しないという期待の上に成り立っている。このような場合、通常関数内でエラーチェックを行うことだろう。

double sqrt(double num){
    // 入力の正しさをチェック
    assert(num >= 0);
    // 処理の本体
}

また、自分で実装した関数の場合、戻り値も論理的に整合性のある値になっているか確かめたいときがある。

double sqrt(double num){
    assert(num >= 0);
    // 処理の本体

    // 出力の正しさをチェック
    assert(result >= 0);
    return result;
}

このように、ある関数を使うユーザは、関数が望む入力を与えるという義務を果たす代わりに、適切な計算結果を受け取る権利を得る。これをユーザと関数の間の契約であると考えるのが、契約プログラミングの基本的な考え方だ。

Dは契約プログラミングを明示的にサポートしている。上のsqrtのコードは以下のように契約を記すことができる。

double sqrt(double num)
// 入力チェック
in{
    assert(num >= 0);
}
// 出力チェック
out(result){
    assert(result >= 0);
}
// 関数本体
body{
    // 処理の本体
    return result;
}

このように、inのあとのスコープに入力に関する制約を、outのあとに出力に関する制約を書くというスタイルによって、契約が守られているかを確かめることができる。

ここまで話を聞くと、「全ての関数の入力と出力を契約プログラミングのスタイルで書けば安全でハッピーじゃん」と思うかもしれないが、ここで１つ疑問がある。エラーチェックの方法は契約だけではないのだ。Dには契約による方法の他に、assert、enforce、例外などのエラー処理機構が用意されている。これらはどのように使い分けるのが正しいのだろう？

ここで重要な事実が１つある。DではC言語などと同様に、適切なコンパイルオプションを付けることで、最終的なリリース版のプログラムからはassertを除外することが可能なのだ。assertだけではない、契約に関する処理も、-releaseというコンパイルオプションを付けることで除外可能だ。これにより、わずかでもプログラムの処理速度を向上させることができる。

一方、enforceはassertとほぼ同じ機能を持っているが、-releaseを付けてもコンパイラに除去されない。例外処理は言わずもがなである。

以上の事実と、「プログラミング言語D」に書かれていた説明を私なりに解釈して、以下のようにまとめてみる。