契約による設計

この記事は検証のために追加の引用が必要です。信頼できる情報源からの引用を追加することで、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される可能性があります。出典を探す: 「契約によるデザイン」  – ニュース·新聞·書籍·学者· JSTOR      ( 2025年7月) (このメッセージを削除する方法と時期については、こちらをご覧ください)

契約による設計( DbC ) は、契約プログラミング、契約によるプログラミング、契約による設計プログラミングとも呼ばれ、ソフトウェアを設計するためのアプローチです。

ソフトウェア設計者は、ソフトウェアコンポーネントに対し、形式的、正確かつ検証可能なインターフェース仕様を定義する必要があります。インターフェース仕様は、抽象データ型の通常の定義を、前提条件、事後条件、不変条件によって拡張します。これらの仕様は、ビジネス契約の条件と義務の 概念的なメタファーに従って、「契約」と呼ばれます。

DbC アプローチでは、サーバー コンポーネントで操作を呼び出すすべてのクライアント コンポーネントが、その操作に必要な指定された前提条件を満たすものと 想定されます。

この仮定がリスクが高すぎると考えられる場合 (マルチチャネルや分散コンピューティングなど) は、逆のアプローチが取られます。つまり、サーバー コンポーネントは、関連するすべての前提条件が満たされていることを (クライアント コンポーネントの要求を処理する前または処理中に) テストし、満たされていない場合は適切なエラー メッセージで応答します。

この用語は、ベルトラン・マイヤーがEiffelプログラミング言語の設計に関連して作った造語で、1986年から様々な論文^{[ 1 ] [ 2 ] [ 3 ]}や著書『オブジェクト指向ソフトウェア構築』の2版（1988年、1997年）で初めて説明されました。Eiffel Softwareは2003年12月にDesign by Contractの商標登録を申請し、2004年12月に認可されました。^{[ 4 ] [ 5 ]}この商標の現在の所有者はEiffel Softwareです。^{[ 6 ] [ 7 ]}

契約による設計は、形式検証、形式仕様、そしてホーア論理に関する研究に端を発しています。初期の貢献には以下のようなものがあります。

• 設計プロセスを導く明確なメタファー
• 継承への応用、特に再定義と動的結合の形式主義
• 例外処理への応用
• 自動ソフトウェアドキュメントとの接続

DbCの中心的な考え方は、ソフトウェアシステムの要素が相互の義務と利益に基づいてどのように連携するかを示すメタファーです。このメタファーはビジネスシーンに由来しており、「クライアント」と「サプライヤー」が「契約」に合意し、例えば以下のようなことを定義しています。

• サプライヤーは特定の製品を提供する義務（義務）があり、クライアントが料金（利益）を支払ったことを期待する権利があります。
• 顧客は料金（義務）を支払う必要があり、製品（利益）を受け取る権利があります。
• 両当事者は、すべての契約に適用される法律や規制などの特定の義務を満たす必要があります。

同様に、オブジェクト指向プログラミングのクラスのメソッドが特定の機能を提供する場合、次のようになります。

• メソッドを呼び出すクライアント モジュールによって、エントリ時に特定の条件が保証されることを期待します。メソッドの前提条件は、クライアントにとっては義務であり、サプライヤ (メソッド自体) にとっては、前提条件外のケースを処理する必要がなくなるためメリットになります。
• 終了時に特定のプロパティを保証します: メソッドの事後条件(サプライヤーにとっては義務であり、クライアントにとっては明らかに利点 (メソッドを呼び出す主な利点))。
• 入口で想定され、出口で保証される特定のプロパティ（クラス不変量）を維持します。

この契約は、義務を形式化するホーア・トリプルと意味的に同等です。これは、設計者が契約の中で繰り返し答えなければならない「3つの質問」に要約できます。

• 契約では何が期待されていますか?
• 契約では何が保証されますか?
• 契約では何が規定されますか?

多くのプログラミング言語には、このようなアサーションを行う機能が備わっています。しかし、DbCでは、これらの契約はソフトウェアの正当性にとって非常に重要であるため、設計プロセスの一部に組み込むべきだと考えています。実際、DbCは最初にアサーションを記述することを推奨しています。契約は、コードコメントで記述することも、テストスイートで強制することも、あるいはその両方で記述することも可能です。契約をサポートする特別な言語がない場合でも、この両方で 記述できます。

契約の概念はメソッド/手順レベルにまで拡張され、各メソッドの契約には通常、次の情報が含まれます。

• 許容される入力値または型と許容されない入力値または型、およびその意味
• 戻り値または型とその意味
• 発生する可能性のあるエラーおよび例外条件の値または種類とその意味
• 副作用
• 前提条件
• 事後条件
• 不変量
• （稀）パフォーマンス保証（例：時間や使用スペースなど）

継承階層内のサブクラスは、事前条件を弱める（強化することはできない）こと、および事後条件と不変条件を強化する（弱めることはできない）ことが許されています。これらの規則は、振る舞いに基づくサブタイプ化に近いものです。

すべてのクラス関係は、クライアントクラスとサプライヤクラスの間に存在します。クライアントクラスは、クライアントの呼び出しによってサプライヤの状態が侵害されないようなサプライヤ機能の呼び出しを行う義務があります。その後、サプライヤはクライアントの状態要件に違反しない状態とデータを返す義務があります。

例えば、サプライヤのデータバッファでは、削除機能が呼び出される際にバッファ内にデータが存在していることが求められる場合があります。その後、サプライヤはクライアントに対し、削除機能が処理を完了すると、データ項目がバッファから確実に削除されることを保証します。その他の設計規約として、クラス不変の概念があります。クラス不変は（ローカルクラスに対して）、各機能の実行終了時にクラスの状態が指定された許容範囲内に維持されることを保証します。

契約を使用する場合、サプライヤーは契約条件が満たされているかどうかを検証します。これは攻撃的プログラミングと呼ばれる手法です。一般的な考え方としては、コードは「確実に失敗」するべきであり、契約検証がセーフティ ネットとなるということです。

DbC の「フェイルハード」プロパティにより、各メソッドの意図された動作が明確に指定されるため、コントラクト動作のデバッグが簡素化されます。

このアプローチは、防御的プログラミングとは大きく異なります。防御的プログラミングでは、前提条件が破られた場合にどう対処するかはサプライヤー側の責任となります。多くの場合、サプライヤーはクライアントに前提条件が破られたことを通知するために例外をスローしますが、DbCでも防御的プログラミングでも、クライアント側はそれにどのように対応するかを考えなければなりません。このような場合、DbCはサプライヤー側の作業を容易にします。

契約による設計では、ソフトウェア モジュールの正確性の基準も定義されます。

• サプライヤーがクライアントによって呼び出される前にクラスの不変条件と前提条件が真である場合、サービスが完了した後に不変条件と事後条件は真になります。
• サプライヤーに電話する場合、ソフトウェア モジュールはサプライヤーの前提条件に違反してはなりません。

契約による設計は、各コード部分の契約が完全に文書化されているため、コードの再利用を容易にします。モジュールの契約は、そのモジュールの動作に関する ソフトウェアドキュメントの一種と見なすことができます。

契約による設計は次のようになります。^{[ 8 ] [ 9 ]}

int f ( const int x ) pre ( x != 1 ) // 前提条件アサーションpost ( r : r == x && r != 2 ) // 事後条件アサーション。r は f の結果オブジェクトの名前を指定します{ contract_assert ( x != 3 ); // アサーションステートメントreturn x ; }

バグのないプログラムの実行中は、契約条件に違反するべきではありません。そのため、契約は通常、ソフトウェア開発中のデバッグモードでのみチェックされます。リリース時には、パフォーマンスを最大化するために契約チェックは無効化されます。

多くのプログラミング言語では、コントラクトはassertを用いて実装されます。C/C++では、リリースモードではassertはデフォルトでコンパイルされ、C# ^{[ 10 ]}やJavaでも同様に無効化されます。

Pythonインタープリターを引数として「 -O 」（「最適化」の略）を付けて起動すると、Pythonコードジェネレーターはアサート用のバイトコードを出力しなくなります。 ^{[ 11 ]}

これにより、開発時に使用されるアサートの数と計算コストに関係なく、製品コードでのアサートの実行時のコストが実質的に排除されます。これは、そのような命令がコンパイラによって製品に含まれなくなるためです。

契約による設計は、ユニットテスト、統合テスト、システムテストといった通常のテスト戦略に取って代わるものではありません。むしろ、テストフェーズ中に、独立したテストと本番環境コードの両方で実行できる内部セルフテストによって外部テストを補完するものです。

内部セルフテストの利点は、クライアントが無効な結果を確認する前にエラーを検出できることです。これにより、より早期かつ具体的なエラー検出が可能になります。

アサーションの使用は、契約実装によって設計をテストする方法である テスト オラクルの一形式と考えることができます。

ほとんどの DbC 機能をネイティブに実装する言語は次のとおりです。

• エイダ 2012
• チャオ
• クロージュア
• コブラ
• C++ ( C++26以降)
• D ^{[ 12 ]}
• ダフニー
• エッフェル
• 要塞
• コトリン
• 水銀
• オキシジェン（旧称クロームおよびデルファイプリズム^{[ 13 ]}）
• 詐欺（高次の契約を含み、契約違反は加害者を責めなければならず、正確な説明が必要であることを強調する^{[ 14 ]}）
• サザー
• スカラ^{[ 15 ] [ 16 ]}
• SPARK（Adaプログラムの静的解析経由）
• ヴァラ
• ウィーン開発法（VDM）

さらに、 Common Lisp オブジェクト システムの標準メソッドの組み合わせには、、、などのメソッド修飾子があり:before、これらを使用すると、補助メソッドとしてコントラクトを記述し:afterたり:around、その他の用途に使用したりできます。

• コンポーネントベースのソフトウェアエンジニアリング
• 正確性（コンピュータサイエンス）
• 防御プログラミング
• フェイルファストシステム
• 形式手法
• ホーア論理
• モジュールプログラミング
• プログラムの導出
• プログラムの改良
• 強い型付け
• テスト駆動開発
• 型状態分析

• 契約による設計の力(TM) DbC のトップレベルの説明と追加リソースへのリンク。
• バグのない OO ソフトウェアの構築: Design by Contract(TM) の紹介DbC に関する古い資料。
• 利点と欠点、RPS-Obixでの実装
• より安全なコードのためのコードコントラクトの使用