软件工程(第3版)第14章形式化方法.ppt

第五篇 高级课题 第14章 形式化方法 根据形式化的程度，可以把软件工程方法划分成非形式化、半形式化和形式化三类。使用自然语言描述需求规格说明，是典型的非形式化方法。使用数据流图或实体—关系图等图形符号建立模型，是典型的半形式化方法。 用于开发计算机系统的形式化方法，是描述系统性质的基于数学的技术，也就是说，如果一个方法有坚实的数学基础，那么它就是形式化的。 14.1 概述 　14.1.1 非形式化方法的缺点 基本上使用自然语言描述的系统规格说明，可能存在矛盾、二义性、含糊性、不完整性以及抽象层次混杂等问题。 14.1.2 软件开发过程中的数学 数学最有用的性质之一是，它能够简洁、准确地描述物理现象、对象或动作的结果，因此是理想的建模工具。 　　在软件开发过程中使用数学的另一个优点是，可以在软件工程活动之间平滑地过渡。不仅功能规格说明，而且系统设计也可以用数学表达，当然，程序代码也是一种数学符号(虽然是一种相当繁琐、冗长的数学符号)。  　　数学作为软件开发工具的最后一个优点是，它提供了高层确认的手段。可以使用数学方法证明，设计符合规格说明，程序代码正确地反映了设计结果。 14.1.3 应用形式化方法的准则 为了更好地发挥这种方法的长处，下面给出应用形式化方法的几条准则，供读者在实际工作中使用。 　　· 选择适用于当前项目的符号系统。 · 应该形式化，但不要过分形式化。通常没有必要对系统的每个方面都使用形式化方法。 　　· 应该进行成本/效益分析。 · 需要有形式化方法的顾问。 　　· 不要放弃传统的开发方法。把形式化方法和结构化方法或面向对象方法集成起来是可能的，而且由于取长补短往往能获得很好的效果。 · 应该建立详尽的文档。建议使用自然语言注释来配合形式化的规格说明，以帮助读者理解系统。 　　· 不应该放弃质量标准。在系统开发过程中必须一如既往地实施其他SQA活动。 · 不应该盲目依赖形式化方法，这种方法并不能保证系统绝对正确。 　 　　· 应该测试、测试再测试。由于形式化方法不能保证系统绝对正确，因此，软件测试的重要性并没有降低。 · 应该重用。即使使用了形式化方法，软件重用仍然是降低软件成本和提高软件质量的唯一合理的方法。 14.2 有穷状态机 利用有穷状态机可以准确地描述一个系统，因此是表达规格说明的一种形式化方法。 　14.2.1 基本概念 下面通过一个简单例子介绍有穷状态机的基本概念。 从上面这个简单例子可以看出，一个有穷状态机包括下述5个部分：状态集J、输入集K、由当前状态和当前输入确定下一个状态(次态)的转换函数T、初始态S和终态集F。 　　如果使用更形式化的术语，一个有穷状态机可以表示为一个5元组(J，R，T，S，F)，其中： 　　J是一个有穷的非空状态集； K是一个有穷的非空输入集； T是一个从(J-F)×K到J的转换函数； S∈J，是一个初始状态； 　FJ，是终态集。 当前状态〔菜单〕+事件〔所选择的项〕下个状态为了对一个系统进行规格说明，通常都需要对有穷状态机做一个很有用的扩展，即在前述的5元组中加入第6个组件——谓词集P，即把有穷状态机扩展为一个6元组，其中每个谓词都是系统全局状态Y的函数。 　　转换函数T现在是一个从(J-F)×K×P到J的函数。现在的转换规则形式如下： 当前状态〔菜单〕+事件〔所选择的项〕+谓词下个状态。 14.2.2 电梯问题 为了说明在实际工作中怎样使用形式化的方法，现在我们用有穷状态机技术给出电梯问题的规格说明。 　　电梯按钮的状态转换图如图14.2所示。令EB(e,f)表示按下电梯e内的按钮并请求到f层去。EB(e,f)有两个状态，分别是按钮发光(打开)和不发光(关闭)。 　　更精确地说，状态是， 　EBON(e,f)：电梯按钮(e，f)打开 　EBOFF(e,f)：电梯按钮(e，f)关闭 　　如果电梯按钮(e,f)发光且电梯到达f层，该按钮将熄灭。相反如果按钮熄灭，则按下它时，按钮将发光。上述描述中包含了两个事件，它们分别是： EBP(e,f)：电梯按钮(e,f)被按下 　 　 　EAF(e,f)：电梯e到达f层 为了定义与这些事件和状态相联系的状态转换规则，需要一个谓词V，(e,f)，它的含