软件工程的形式化方法第六讲
合集下载
形式化方法
两个用于转换的输入函数,用由位置指向转换的 箭头表示,它们是: I(t1)={P2,P4} I(t2)={P2} 两个用于转换的输出函数,用由转换指向位置的
箭头表示,它们是:
O(t1)={P1} O(t2)={P3,P3} 注意,输出函数O(t2)中有两个P3,是因为有两个 箭头由t2指向P3。
5.3.1 基本概念 Petri网包含4种元素:一组位置P、一组转换T、 输入函数I以及输出函数O。图5.5举例说明了Petri网 的组成。 其中, 一组位置P为{P1,P2,P3,P4},在图中用圆圈 代表位置。 一组转换T为{t1,t2},在图中用短直线表示转 换。
图5.5 Petri网的组成
数学作为软件开发工具的最后一个优点是,它提 供了高层确认的手段。可以使用数学方法证明,设计 符合规格说明,程序代码正确地反映了设计结果。
5.1.3
应用形式化方法的准则
为了更好地发挥这种方法的长处,下面给出应用 形式化方法的几条准则,供读者在实际工作中使用。 · 选择适用于当前项目的符号系统。 · 应该形式化,但不要过分形式化。通常没有必 要对系统的每个方面都使用形式化方法。 · 应该进行成本/效益分析。 · 需要有形式化方法的顾问。
6元组,其中每个谓词都是系统全局状态Y的函数。转
换函数T现在是一个从(J-F)×K×P到J的函数。现在的 转换规则形式如下: 当前状态〔菜单〕+事件〔所选择的项〕+谓词 下个状态。
5.2.2
电梯问题
为了说明在实际工作中怎样使用形式化的方法, 现在我们用有穷状态机技术给出电梯问题的规格说明。
果t2也被激发了,则令牌从P2中移出,两个新令牌被
J是一个有穷的非空状态集;
K是一个有穷的非空输入集; T是一个从(J-F)×K到J的转换函数; S∈J,是一个初始状态; FJ,是终态集。
形式化方法
形式化方法
By 周帝
形式化方法的定义
用于开发计算机系统的形式化方法是描述系统 性质的基于数学的技术,这样的形式化方法提供了 一个框架,可以在框架中以系统的而不是特别的方 式刻划、开发和验 证系统。 如果一个方法有良好 的数学基础,那么它就是形式化的,典型地以形式 化规约语言给出。这个基础提供一系列精确定义的 概念,如:一致性和完整性,以及定义规范 的实 现和正确性。 形式化方法的本质是基于数学的方 法来描述目标软件系统属性的一种技术。
形式化方法
By 周帝
目录
1.形式化方法 形式化方法 2.软件中的形式化方法 软件中的形式化方法 2.1非形式化方法的缺点 非形式化方法的缺点 2.2形式化方法的优点 形式化方法的优点 3.形式化方法的举例 形式化方法的举例 4.形式化方法语言 形式化方法语言
形式化方法
By 周帝
形式化转换例子
相信通过对比非形式化, 相信通过对比非形式化,我们能对形式化 方法有一定的了解 下面就想魏老师上课跟我们讲述事物用例 那样一步一步的分析, 那样一步一步的分析,如何讲一个日常的 事情用形式化方法装换
形式化方法
By 周帝
形式化方法的分类
根据说明目标软件系统的方式,形式化方法可 以分为两类: 1)面向模型的形式化方法。面向模型的方法 通过构造一个数学模型来说明系统的行为。 2)面向属性的形式化方法。面向属性的方法 通过描述目标软件系统的各种属性来间接定义 系统行为。
形式化方法
By 周帝
形式化方法的分类
形式化方法
By 周帝
个人认为,这样下的定义太过于抽象,并且不好理解。 举个易懂的例子,如果一个人长的与周帝相同,且内心 想法与周帝一样那么他就是周帝;反之,他就不是周帝。 那么我们就能写成为,如果a, 且b,那么,则ZD;如果非a, 或非b,则非ZD。 我们不难看出这是一个逻辑式,if a and b, then c; if not a or not b, then not c.
软件工程导论第6章
70年代初N.Wirth在Pascal语言中设置支持“顺序 结构”、“IF-THEN-ELSE选择结构”、“DO-WHILE 重复结构”或“DO-UNTIL重复结构”三种基本控制 结构语句。
25
3种基本控制结构
(1) 顺序型
A B
(2) 选择型
F P A B T
(2) 多情况选择型(case)
T T
P=1 F P=2 F P=n F
…
A1 A2
T
An
(3) 先判定型循环
后判定型循环
(do-while)
F
(do-until)
P T S
S P F
T
例1、某模块有两个输入a和b,一 个输出c,当满足条件(a>0)and(b<2) 时,c=a+b,否则c=a-b。画出该模 块的程序流程图。
a b
第6章 详细设计
6.1 结构程序设计 6.2 人机界面设计 6.3 过程设计的工具 6.4 面向数据结构的设计方法 6.5 程序复杂程度的定量度量 6.6 小结 习题
1
详细设计阶段的根本目标:确定应该怎样具体地 实现所要求的系统。 为软件结构图中的每一个模块确定使用的算法和 块内数据结构,并用某种选定的表达工具给出清晰 的描述。
100 110
120
130 140
Eq:等于 ne:不等于 gt:大于 lt:小于 ge:大于等于 le:小于等于
例:打印A、B、C三数中最小者的程序 if (A.LT.B .AND. A.LT.C)then write(6,*) A else if (A.GE.B .AND. B.LT.C) then write(6,*) B else write(6,*) C endif endif
软件工程中的形式化方法研究
软件工程中的形式化方法研究早期软件系统规模较小,20世纪60年代之前,对软件系统的开发一直通过“手工”方式,具有个人化及技艺化的开发特点。
60年代中期,计算机的容量和速度有了显著提升,软件系统规模越来越大,软件开发生产率不再能满足现状,软件危机开始爆发。
60年代后期,针对“软件危机”提出两类解决办法:一是将工程化应用于软件的开发过程,即“软件工程”的出现和发展;二是建立严格的理论基础,采用形式化方法来指导软件开发过程。
经过近半个世纪的探索和应用,形式化方法这一领域已经取得了大量的研究成果。
1形式化方法1.1形式化方法软件工程中的形式化方法就是通过严格的符号系统和数学模型来描述和验证一个目标软件系统的行为和特性,包括需求规格、设计和实现等。
形式化方法所使用的是严格的数学语言,其语法和语义都是无二义的、精确的。
1.2主要研究内容形式化方法的研究主要集中在形式规约(FormalSpecification)和建立在形式规约基础上的形式验证(FormalVerification)两个方面。
形式规约是指通过具有精确语义的形式语言对程序功能进行描述。
描述结果将作为程序设计和验证的重要依据。
形式验证是对现有的程序系统进行验证,检查其是否符合规约的要求。
传统的验证方式是通过实验对系统进行查错,包括模拟(simulation)和测试(testing)。
1.3形式化方法的分类根据描述方式,可将形式化方法归为两类:(1)模型描述的形式化方法。
通过构造一个数学模型来直接描述系统或程序。
(2)性质描述的形式化方法。
通过对目标软件系统中不同性质的描述来间接描述系统或程序。
根据表达能力,可将形式化方法大概分为五类[Barroca*1992]:(1)模型方法——对系统状态和改变系统状态的动作直接给出抽象定义,并进行显式描述。
该方法的缺陷是不能显式地表示并发。
(2)代数方法——通过定义不同操作的关系,隐式地描述操作。
与模型方法相同,代数方法也不能显式地表示并发。
软件工程形式化方法 z 语言
软件工程形式化方法 z 语言软件工程是一个复杂而庞大的领域,要确保软件系统的正确性和可靠性,需要采用各种形式化方法。
形式化方法是一种严格、精确的描述和分析系统的方法,其中最著名的是Z语言。
1. 什么是形式化方法形式化方法是一种使用数学符号和形式化规范来描述和分析软件系统的方法。
它能够捕捉系统的各个方面,从而确保系统的正确性和可靠性。
形式化方法可以消除歧义和模糊性,提供严格的语法和语义定义,并进行可靠的推理和验证。
2. Z语言的引入和发展Z语言是一种基于数学集合论和一阶谓词逻辑的形式化规范语言。
它于20世纪70年代由牛津大学的J.R.阿兰·特拉弗斯和J.B.斯托拉兹提出,并继续在软件工程领域的学术界和实践中得到广泛应用。
3. Z语言的特点和优势- 精确性:Z语言使用严格的数学符号和形式化规范,可以精确地描述系统的各个方面,避免了自然语言的歧义和模糊性。
- 可读性:尽管Z语言使用了数学符号,但其符号系统和语法规则都经过严格定义,使得Z规范可以被可靠地解释和理解。
- 可验证性:Z语言规范的严格性使得系统的正确性验证变得可行。
通过形式化推理和模型检测等技术,可以对规范进行自动验证和分析。
- 模块化:Z语言支持模块化规范,可以将系统的不同部分进行独立的规范和验证,从而提高开发过程的灵活性和可重用性。
4. Z语言在软件工程中的应用- 需求分析和规约:Z语言可以用于对软件系统的需求进行精确描述和形式化规约,从而帮助开发人员和用户准确理解和交流需求。
- 设计规约和验证:Z语言可以用于对软件系统的设计进行精确描述和形式化规约,并进行验证和验证。
通过验证,可以发现设计冲突和错误,提高系统的可靠性。
- 系统建模和仿真:Z语言可以用于对软件系统进行形式化的建模和仿真。
通过建立形式化模型,可以进行系统行为的精确分析和评估,从而帮助设计和优化系统。
- 代码生成和自动化工具支持:Z语言可以作为设计工具中的一部分,与代码生成和其他自动化工具集成,从而提高开发效率和系统质量。
第六讲-动态视图
学以致用,立足岗位成才 版权所有 All Rights Reserved 2008-2012
应知应会
案例导入
项目实战
职场体验
2.2 生命线
生命线是一条垂直的虚线,表示时序图中的对象 在一段时间内的存在.每个对象的底部中心的位 置都带有生命线. 生命线是一个时间线,从时序图的顶部一直延伸 到底部,所用的时间取决于交互持续的时间. 对象与生命线结合在一起称为对象的生命线,对 象的生命线包含矩形的对象图标以及图标下面的 生命线.
学以致用,立足岗位成才 版权所有 All Rights Reserved 2008-2012
应知应会
案例导入
项目实战
职场体验
1.概述 1.概述
时序图示例:
学以致用,立足岗位成才 版权所有 All Rights Reserved 2008-2012
应知应会
案例导入
项目实战
职场体验
2. 时序图的组成
学以致用,立足岗位成才
图定义 一组类,接口, 一组类,接口,协作及它们的关系 一组对象及它们的关系 一组用例, 一组用例,参与者及它们的关系 一个交互, 一个交互,强调消息的时间顺序
一个状态机, 活动图 一个状态机,强调从活动到活动的流动
构件图 一组构件及关系 配置图 一组接点及它们的关系 (实施图 实施图) 实施图
版权所有 All Rights Reserv例导入
项目实战
职场体验
动态视图
交互图
时序图 协作图
行为图
状态图 活动图
学以致用,立足岗位成才 版权所有 All Rights Reserved 2008-2012
应知应会
案例导入
项目实战
职场体验
应知应会
案例导入
项目实战
职场体验
2.2 生命线
生命线是一条垂直的虚线,表示时序图中的对象 在一段时间内的存在.每个对象的底部中心的位 置都带有生命线. 生命线是一个时间线,从时序图的顶部一直延伸 到底部,所用的时间取决于交互持续的时间. 对象与生命线结合在一起称为对象的生命线,对 象的生命线包含矩形的对象图标以及图标下面的 生命线.
学以致用,立足岗位成才 版权所有 All Rights Reserved 2008-2012
应知应会
案例导入
项目实战
职场体验
1.概述 1.概述
时序图示例:
学以致用,立足岗位成才 版权所有 All Rights Reserved 2008-2012
应知应会
案例导入
项目实战
职场体验
2. 时序图的组成
学以致用,立足岗位成才
图定义 一组类,接口, 一组类,接口,协作及它们的关系 一组对象及它们的关系 一组用例, 一组用例,参与者及它们的关系 一个交互, 一个交互,强调消息的时间顺序
一个状态机, 活动图 一个状态机,强调从活动到活动的流动
构件图 一组构件及关系 配置图 一组接点及它们的关系 (实施图 实施图) 实施图
版权所有 All Rights Reserv例导入
项目实战
职场体验
动态视图
交互图
时序图 协作图
行为图
状态图 活动图
学以致用,立足岗位成才 版权所有 All Rights Reserved 2008-2012
应知应会
案例导入
项目实战
职场体验
软件工程 第六讲 结构化分析方法
什么是GOTO语句?
ห้องสมุดไป่ตู้
在以前的程序设计课程中,老师说 goto语句很重要,为什么在这里说不 那么重要呢?
简单明确的概述什么是自顶向下、逐步求 精的思想,它和自底向上的分析方法有什 么不同??
结构化设计程序的方法在软件工程提出后产生, 主要是提出取消“GOTO“语句的使用。我想问的 是在结构化中的模块之间的接口不就算是 “GOTO”语句吗? 问题一:书中104在讲到结构化程序设计(SP)中 提到的“只要三种控制结构(顺序、选择、重复) 就是能表达用一个入口和一个出口的流程图所能 表达的任何程序逻辑”该做如何理解? 问题二:该如何来理解结构化方法的指导思想 (自顶向下、逐步求精)与两个基本原则(抽象、 分解)的联系?
问题六:基本加工是靠自己的经验来确定的,还 是有一定的标准?
返回
数据流
表示数据的流向。 数据流由一组数据项组成。 命名规则和注意事项:
数据流的名字用名词或名词词组 应尽量使用现实系统中已有的名字 把现实环境中传递的一组数据中最重要的那个数据的名字作为数 据流的名字 不要把控制流作为数据流 不要使用意义空洞的名词作为数据流名,如”数据“、“信息 “等。 如果在命名时遇到困难,说明你可能对数据流的分解不恰当,应 进行重新分解。 对流进或流出文件的数据流不需标注名字。
问题P110 怎样准确的判断出父图与子图的平 衡?
父图 与子 图平 衡吗?
父图 与子 图平 衡吗?
问题
110页图8.6为什么平衡不清楚。 P110 对父图与子图的平衡的理解:图8.6中如果 不存在图8.4的情况下,那么这个父图与子图就不 符合自图的平衡了,对吗? 画数据流图中,父图与子图怎样保持平衡? P110:第(6)个注意事项第二段第一句:有时考 虑平衡可忽略一些枝节性的数据流。我对本句中 的“枝节性的数据流”不太理解,不知道什么叫 “枝节性的数据流”,枝节性的数据流有何特点?
形式化方法
即使使用形式化方法,完整性也是难于达到的。当 创建规格说明时,系统的某些方面可能尚未定义; 某些特征可能被有意省略,以允许设计者在选择实 现方法时具有一定自由度;最后,在一个大型复杂 系统中,不可能考虑每一个操作场景。某些细节可 能是由于错误而被遗漏。
非形式化方法的缺点
使用自然语言描述的系统规格说明, 可能存在矛盾、二义性、含糊性、不完
➢例2:块处理器。
在操作系统中一个更重要的部分是维护由用户创建的文件的 子系统。块处理器是文件子系统中的一部分。文件存储中的 文件由存储设备上的存储块构成,在计算机的操作中,文件 被创建和删除,需要存储块的获取和释放。
为了处理这些,文件子系统维持一个未用块池,并保持对当 前使用块的跟踪。当块从被删除文件释放时,它们通常被加 入到等待进入未用块池的块队列中。
软件开发中的数学
数学最有用的性质之一是,它能够简洁、准确地描述物理 现象、对象或动作的结果,因此是理想的建模工具。 在软件开发过程中使用数学的另一个优点是,可以在软件 工程活动之间平滑地过渡。不仅功能规格说明,而且系统 设计也可以用数学表达,当然,程序代码也是一种数学符 号(虽然是一种相当繁琐、冗长了高层 确认的手段。可以使用数学方法证明,设计符合规格说明, 程序代码正确地反映了设计结果。
➢不变式定义什么保持不变。例如,符号表有一个不 变式表示元素的个数总是小于或等于MaxIds。
➢前置条件定义一个特定操作有效的环境。例如,增 加一个名字到职员标识符符号表的前置条件是有效的, 仅当表中不含有将被加入的名字,而且在表中只有少 于MaxIds 的职员标识符。
➢操作的后置条件定义当操作完成后保证什么为真, 这是通过其对数据的影响来定义的。在增加标识符到 职员标识符符号表操作的例子中,后置条件将数学地 描述表已经增加了新标识符。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件工程导论
第六讲
软件工程的形式 化方法
本节从软件形式化描述的基本概念入手。 在理解应用软件形式化技术的意义的基 础之上,重点介绍软件的Z语言规格说明 技术和Petri。
软件教研室
第一节 形式化技术概述
什么是形式化方法?
——从广义上讲,形式化方法是指将离散数学的方法用于解决 软件工程领域的问题,主要包括建立精确的数学模型以及对模 型的分析活动。 ——狭义的讲,形式化方法是运用形式化语言,进行形式化的 规格描述、模型推理和验证的方法。 ——就形式化建模而言,形式化表示必须包含一组定义其语法 语义的形式化规则。这些规则可用于分析给定的表达式是否符 合语法规定,或证明该表达式具有某种性质。
软件教研室
形式验证
一致性分析与类型检查 –该形式模型的表示是否规范? 验证 –针对小型示例的模型模拟 –形式化挑战 –针对给定情况的提问 –状态爆炸 –检查应用程序性质 证明设计的逐级求精是正确的 –设计是否满足需求?
软件教研室
第二节 现有形式化方法概述
所谓形式化规格说明语言的关键思想是把软件开发 过程中的需求规格说明阶段和软件设计说明阶段分 开,在需求规格说明阶段精确地描述软件“做什么”, 而不涉及“怎么做”。编写规格说明与编写计算机 程序的不同之处在于规格说明是对目标软件系统的 功能描述,而计算机系统则是实现目标软件系统功 能的过程描述。
软件教研室
形式化语言的基础
一阶命题逻辑中的表达式
表达式的取值可以为真或为假 (x>y ∧y>z) →x>z x=y ≡y=x . x,y,z((x>y ∧y>z)) -> x>z
x+1 < x-1 x(.y(y=x+z)) x>3 ∨x<-6
开表达式与闭表达式 –如果一个变量是受量词约束的,则称之为限定变量,否则 称之为自由变量 –若公式中所有变量均为限定变量,则称该公式为闭表达式 –闭表达式的值非真即假
软件教研室
形式规约语言
源自程序证明技术 派生出许多通用的规约语言 –适合描述程序单元的行为 –核心技术:类型检查,定理证明 在需求工程中的适用性较差 –无抽象及结构化机制 –与程序语义密切相关 举例:Larch, Z, VDM
软件教研室
并发/反应式系统建模旨在表 Nhomakorabea程序行为的动态性
重点研究并发与反应式系统(如实时、嵌入式系统) –支持对安全性、活性与性能的推理 –提供一种精确的规格描述语言 –核心技术:一致性检查,模型检测 在需求工程中的适用性较差 –建模语言专为需求工程设计 举例:Statecharts, RSML, Parnas-tables, SCR, …
软件教研室
形式化方法的优点?
用数学语言能够解决规格说明的二义性问题,提高其精确性; 数学提供了确认手段,使得证明和验证软件程序满足用户和系 统的需求成为可能; 针对需求和设计模型进行自动的分析和推理; –分析模型性质 –推导模型逻辑结果
模拟/执行模型,有助于可视化及验证;
软件的设计过程就是一个形式化的过程; –软件设计的最终产物是程序,它可看作是一种可执行的 形式规约,用于解决非形式化的问题。
软件教研室
各种形式化方法的区别
本体不同 –固定本体:状态,事件,动作–状态图,状态机 –可扩充本体:定义新概念的元语言 数学基础不同 –基于逻辑的方法:一阶谓词逻辑,时序命题逻辑 –基于代数的方法:代数语言,集合语言 –基于图的方法:状态图、Petri 网等 对时间的处理不同 – 状态/ 事件模型:将时间表示为事件序列;将时间表示为 量化的区间 –将时间作为一级类对象来处理
形式化方法仅被用于无关紧要的系统,且缺少工具支持;
软件教研室
关于形式化方法:乐观者的角度
运用形式化方法将开发出完美的软件;
形式化方法可以替换传统的软件工程方法;
软件教研室
形式化方法在软件工程中的作用
软件教研室
软件的正确性
将形式化方法运用于软件工程实践当中的主要目的是保证软件 的正确性。 正确性证明的两个标准 –运行在机器上的程序满足规格说明
软件教研室
为什么不采用形式化?
形式化方法需要作出更大的努力 –延缓项目进展 –需要更多的数学训练
–回报也并非立竿见影
许多项目均不适合运用形式化方法
软件教研室
三类不同的模型?
软件教研室
模型类型
自然语言 –很强的表达能力及适应性 –不易于表示模型的语义 –适于需求获取及为模型加标注,便于通信 半形式化的表示 –便于表示结构及语义 –可推理、一致性检查、模拟等(如图、表、结构化英语等) –通常是可视化的,以便在多个干系人间通信 形式化表示 –具有精确的语义定义,可能进行广泛的推理 –距离应用领域较远
软件教研室
形式化语言的基础
一阶命题逻辑:
一阶命题逻辑提供以下机制 –一组构造表达式的原子公式 变量,数值常量,括号 –一组逻辑连接符 and (∧), or (∨), not(.), implies(→), logical equality (=) 与, 或, 非, 蕴含, 逻辑等价 –量词 :“for all”全称量词 :“there exists”存在量词
–规格说明在给定的领域性质之下满足需求
软件教研室
软件的完整性
完整性证明的两个标准 –是否已发现所有重要需求 –是否已发现所有重要领域性质
软件教研室
形式化方法可应用于何处?
形式化需求规约 –作为程序验证的基准 –规约语言Z,VDM,Larch –作为程序行为的模型,与需求相对照 形式化领域知识 –以便就以下问题进行推理 .领域知识是否完整;对未来的系统有何影响 –形式化有助于直接精确地刻画环境 需求的形式化 –以便进行需求模拟 –以便测试逻辑一致性 –以便测试完整性(依据底层的数学模型)
软件教研室
关于形式化方法:悲观者的角度
形式化方法是为数学家准备的; 形式化方法仅供从事形式化研究的人使用; 从事形式化研究的人仅使用形式化方法;
软件教研室
关于形式化方法:悲观者的角度
形式化方法的运用将延缓软件开发进度;
形式化方法的运用将提高软件开发成本;
软件教研室
关于形式化方法:悲观者的角度
形式化方法仅应用于开发安全要求极高的系统;
软件教研室
为什么不采用形式化?
形式化方法比其他技术的抽象级别要低 –容易陷入细节 –需提早确定系统边界
形式化方法通常限于正确一致的模型
–但绝大多数情况下,模型都并非绝对正确、一致、完整 不知使用哪个工具合适 –要描述的是程序行为还是需求? –形式化方法的鼓吹者常常过于依赖某一种工具
–常常对研究原型的规模有着过高的期盼
第六讲
软件工程的形式 化方法
本节从软件形式化描述的基本概念入手。 在理解应用软件形式化技术的意义的基 础之上,重点介绍软件的Z语言规格说明 技术和Petri。
软件教研室
第一节 形式化技术概述
什么是形式化方法?
——从广义上讲,形式化方法是指将离散数学的方法用于解决 软件工程领域的问题,主要包括建立精确的数学模型以及对模 型的分析活动。 ——狭义的讲,形式化方法是运用形式化语言,进行形式化的 规格描述、模型推理和验证的方法。 ——就形式化建模而言,形式化表示必须包含一组定义其语法 语义的形式化规则。这些规则可用于分析给定的表达式是否符 合语法规定,或证明该表达式具有某种性质。
软件教研室
形式验证
一致性分析与类型检查 –该形式模型的表示是否规范? 验证 –针对小型示例的模型模拟 –形式化挑战 –针对给定情况的提问 –状态爆炸 –检查应用程序性质 证明设计的逐级求精是正确的 –设计是否满足需求?
软件教研室
第二节 现有形式化方法概述
所谓形式化规格说明语言的关键思想是把软件开发 过程中的需求规格说明阶段和软件设计说明阶段分 开,在需求规格说明阶段精确地描述软件“做什么”, 而不涉及“怎么做”。编写规格说明与编写计算机 程序的不同之处在于规格说明是对目标软件系统的 功能描述,而计算机系统则是实现目标软件系统功 能的过程描述。
软件教研室
形式化语言的基础
一阶命题逻辑中的表达式
表达式的取值可以为真或为假 (x>y ∧y>z) →x>z x=y ≡y=x . x,y,z((x>y ∧y>z)) -> x>z
x+1 < x-1 x(.y(y=x+z)) x>3 ∨x<-6
开表达式与闭表达式 –如果一个变量是受量词约束的,则称之为限定变量,否则 称之为自由变量 –若公式中所有变量均为限定变量,则称该公式为闭表达式 –闭表达式的值非真即假
软件教研室
形式规约语言
源自程序证明技术 派生出许多通用的规约语言 –适合描述程序单元的行为 –核心技术:类型检查,定理证明 在需求工程中的适用性较差 –无抽象及结构化机制 –与程序语义密切相关 举例:Larch, Z, VDM
软件教研室
并发/反应式系统建模旨在表 Nhomakorabea程序行为的动态性
重点研究并发与反应式系统(如实时、嵌入式系统) –支持对安全性、活性与性能的推理 –提供一种精确的规格描述语言 –核心技术:一致性检查,模型检测 在需求工程中的适用性较差 –建模语言专为需求工程设计 举例:Statecharts, RSML, Parnas-tables, SCR, …
软件教研室
形式化方法的优点?
用数学语言能够解决规格说明的二义性问题,提高其精确性; 数学提供了确认手段,使得证明和验证软件程序满足用户和系 统的需求成为可能; 针对需求和设计模型进行自动的分析和推理; –分析模型性质 –推导模型逻辑结果
模拟/执行模型,有助于可视化及验证;
软件的设计过程就是一个形式化的过程; –软件设计的最终产物是程序,它可看作是一种可执行的 形式规约,用于解决非形式化的问题。
软件教研室
各种形式化方法的区别
本体不同 –固定本体:状态,事件,动作–状态图,状态机 –可扩充本体:定义新概念的元语言 数学基础不同 –基于逻辑的方法:一阶谓词逻辑,时序命题逻辑 –基于代数的方法:代数语言,集合语言 –基于图的方法:状态图、Petri 网等 对时间的处理不同 – 状态/ 事件模型:将时间表示为事件序列;将时间表示为 量化的区间 –将时间作为一级类对象来处理
形式化方法仅被用于无关紧要的系统,且缺少工具支持;
软件教研室
关于形式化方法:乐观者的角度
运用形式化方法将开发出完美的软件;
形式化方法可以替换传统的软件工程方法;
软件教研室
形式化方法在软件工程中的作用
软件教研室
软件的正确性
将形式化方法运用于软件工程实践当中的主要目的是保证软件 的正确性。 正确性证明的两个标准 –运行在机器上的程序满足规格说明
软件教研室
为什么不采用形式化?
形式化方法需要作出更大的努力 –延缓项目进展 –需要更多的数学训练
–回报也并非立竿见影
许多项目均不适合运用形式化方法
软件教研室
三类不同的模型?
软件教研室
模型类型
自然语言 –很强的表达能力及适应性 –不易于表示模型的语义 –适于需求获取及为模型加标注,便于通信 半形式化的表示 –便于表示结构及语义 –可推理、一致性检查、模拟等(如图、表、结构化英语等) –通常是可视化的,以便在多个干系人间通信 形式化表示 –具有精确的语义定义,可能进行广泛的推理 –距离应用领域较远
软件教研室
形式化语言的基础
一阶命题逻辑:
一阶命题逻辑提供以下机制 –一组构造表达式的原子公式 变量,数值常量,括号 –一组逻辑连接符 and (∧), or (∨), not(.), implies(→), logical equality (=) 与, 或, 非, 蕴含, 逻辑等价 –量词 :“for all”全称量词 :“there exists”存在量词
–规格说明在给定的领域性质之下满足需求
软件教研室
软件的完整性
完整性证明的两个标准 –是否已发现所有重要需求 –是否已发现所有重要领域性质
软件教研室
形式化方法可应用于何处?
形式化需求规约 –作为程序验证的基准 –规约语言Z,VDM,Larch –作为程序行为的模型,与需求相对照 形式化领域知识 –以便就以下问题进行推理 .领域知识是否完整;对未来的系统有何影响 –形式化有助于直接精确地刻画环境 需求的形式化 –以便进行需求模拟 –以便测试逻辑一致性 –以便测试完整性(依据底层的数学模型)
软件教研室
关于形式化方法:悲观者的角度
形式化方法是为数学家准备的; 形式化方法仅供从事形式化研究的人使用; 从事形式化研究的人仅使用形式化方法;
软件教研室
关于形式化方法:悲观者的角度
形式化方法的运用将延缓软件开发进度;
形式化方法的运用将提高软件开发成本;
软件教研室
关于形式化方法:悲观者的角度
形式化方法仅应用于开发安全要求极高的系统;
软件教研室
为什么不采用形式化?
形式化方法比其他技术的抽象级别要低 –容易陷入细节 –需提早确定系统边界
形式化方法通常限于正确一致的模型
–但绝大多数情况下,模型都并非绝对正确、一致、完整 不知使用哪个工具合适 –要描述的是程序行为还是需求? –形式化方法的鼓吹者常常过于依赖某一种工具
–常常对研究原型的规模有着过高的期盼