《形式化说明技术.ppt》由会员分享,可在线阅读,更多相关《形式化说明技术.ppt(42页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第4章章 形式化说明技术形式化说明技术4.1 概述概述4.2 有穷状态机有穷状态机4.3 Petri网网4.4 Z语言语言4.5 小结小结习题习题按照形式化的程度,可以把软件工程使用的方法划分按照形式化的程度,可以把软件工程使用的方法划分成成非形式化、半形式化和形式化非形式化、半形式化和形式化3类。用自然语言描类。用自然语言描述需求规格说明,是典型的非形式化方法。用数据流述需求规格说明,是典型的非形式化方法。用数据流图或实体图或实体-联系图建立模型,是典型的半形式化方法。联系图建立模型,是典型的半形式化方法。所谓形式化方法,是描述系统性质的基于数学的技术,所谓形式化方法,是描述系统性质的基于
2、数学的技术,也就是说,如果一种方法有坚实的数学基础,那么它也就是说,如果一种方法有坚实的数学基础,那么它就是形式化的。就是形式化的。用自然语言书写的系统规格说明书,可能存在矛盾、用自然语言书写的系统规格说明书,可能存在矛盾、二义性、含糊性、不完整性及抽象层次混乱等问题。二义性、含糊性、不完整性及抽象层次混乱等问题。所谓矛盾是指一组相互冲突的陈述。所谓矛盾是指一组相互冲突的陈述。二义性是指读者可以用不同方式理解的陈述。二义性是指读者可以用不同方式理解的陈述。4.1 概述概述 4.1.1 非形式化方法的缺点非形式化方法的缺点系统规格说明书是很庞大的文档,因此,几乎不可避系统规格说明书是很庞大的文档
3、,因此,几乎不可避免地会出现含糊性。实际上,这样笼统的陈述并没有免地会出现含糊性。实际上,这样笼统的陈述并没有给出任何有用的信息。给出任何有用的信息。不完整性不完整性可能是在系统规格说明中最常遇到的问题之可能是在系统规格说明中最常遇到的问题之一。一。抽象层次混乱是指在非常抽象的陈述中混进了一些关抽象层次混乱是指在非常抽象的陈述中混进了一些关于细节的低层次陈述。这样的规格说明书使得读者很于细节的低层次陈述。这样的规格说明书使得读者很难了解系统的整体功能结构。难了解系统的整体功能结构。数学数学最有用的一个性质最有用的一个性质是,它能够简洁准确地描述物是,它能够简洁准确地描述物理现象、对象或动作的结
4、果,因此是理想的建模工具。理现象、对象或动作的结果,因此是理想的建模工具。数学特别适合于表示状态,也就是表示数学特别适合于表示状态,也就是表示“做什么做什么”。4.1.2 形式化方法的优点形式化方法的优点在软件开发过程中使用数学的在软件开发过程中使用数学的另一个优点另一个优点是,可以在是,可以在不同的软件工程活动之间平滑地过渡。不仅功能规格不同的软件工程活动之间平滑地过渡。不仅功能规格说明,而且系统设计也可以用数学表达,当然,程序说明,而且系统设计也可以用数学表达,当然,程序代码也是一种数学符号代码也是一种数学符号(虽然是一种相当繁琐、冗长虽然是一种相当繁琐、冗长的数学符号的数学符号)。数学作
5、为软件开发工具的数学作为软件开发工具的最后一个优点最后一个优点是,它提供了是,它提供了高层确认的手段。可以使用数学方法证明,设计符合高层确认的手段。可以使用数学方法证明,设计符合规格说明,程序代码正确地实现了设计结果。规格说明,程序代码正确地实现了设计结果。(1)应该选用适当的表示方法。应该选用适当的表示方法。(2)应该形式化,但不要过分形式化。应该形式化,但不要过分形式化。(3)应该估算成本。应该估算成本。(4)应该有形式化方法顾问随时提供咨询。应该有形式化方法顾问随时提供咨询。(5)不应该放弃传统的开发方法。不应该放弃传统的开发方法。(6)应该建立详尽的文档。应该建立详尽的文档。(7)不应
6、该放弃质量标准。不应该放弃质量标准。(8)不应该盲目依赖形式化方法。不应该盲目依赖形式化方法。(9)应该测试、测试再测试。应该测试、测试再测试。(10)应该重用。应该重用。4.1.3 应用形式化方法的准则应用形式化方法的准则下面通过一个简单例子介绍有穷状态机的基本概念。下面通过一个简单例子介绍有穷状态机的基本概念。一个保险箱上装了一个复合锁,锁有三个位置,分别一个保险箱上装了一个复合锁,锁有三个位置,分别标记为标记为1、2、3,转盘可向左,转盘可向左(L)或向右或向右(R)转动。这转动。这样,在任意时刻转盘都有样,在任意时刻转盘都有6种可能的运动,即种可能的运动,即1L、1R、2L、2R、3L
7、和和3R。保险箱的组合密码是。保险箱的组合密码是1L、3R、2L,转盘的任何其他运动都将引起报警。图,转盘的任何其他运动都将引起报警。图4.1描绘描绘了保险箱的状态转换情况。了保险箱的状态转换情况。4.2 有穷状态机有穷状态机 4.2.1 概念概念图图4.1 保险箱的状态转换图保险箱的状态转换图图图4.1是一个有穷状态机的状态转换图。状态转换并是一个有穷状态机的状态转换图。状态转换并不一定要用图形方式描述,表不一定要用图形方式描述,表4.1(见书(见书68页)的表页)的表格形式也可以表达同样的信息。格形式也可以表达同样的信息。从上面这个简单例子可以看出,一个有穷状态机包括从上面这个简单例子可以
8、看出,一个有穷状态机包括下述下述5个部分:状态集个部分:状态集J、输入集、输入集K、由当前状态和当、由当前状态和当前输入确定下一个状态前输入确定下一个状态(次态次态)的转换函数的转换函数T、初始态、初始态S和终态集和终态集F。对于保险箱的例子,相应的有穷状态机。对于保险箱的例子,相应的有穷状态机的各部分如下。的各部分如下。状态集状态集J:保险箱锁定,:保险箱锁定,A,B,保险箱解锁,报警,保险箱解锁,报警。输入集输入集K:1L,1R,2L,2R,3L,3R。转换函数转换函数T:如表:如表4.1所示。所示。初始态初始态S:保险箱锁定。:保险箱锁定。终态集终态集F:保险箱解锁,报警。:保险箱解锁,
9、报警。如果使用更形式化的术语,一个有穷状态机可以表示如果使用更形式化的术语,一个有穷状态机可以表示为一个为一个5元组元组(J,K,T,S,F),其中:,其中:J是一个有穷的非空状态集;是一个有穷的非空状态集;K是一个有穷的非空输入集;是一个有穷的非空输入集;T是一个从是一个从(J-F)K到到J的转换函数;的转换函数;SJ,是一个初始状态;,是一个初始状态;FJ,是终态集。,是终态集。有穷状态机的概念在计算机系统中应用得非常广泛。有穷状态机的概念在计算机系统中应用得非常广泛。例如,每个菜单驱动的用户界面都是一个有穷状态机例如,每个菜单驱动的用户界面都是一个有穷状态机的实现。一个菜单的显示和一个状
10、态相对应,键盘输的实现。一个菜单的显示和一个状态相对应,键盘输入或用鼠标选择一个图标是使系统进入其他状态的一入或用鼠标选择一个图标是使系统进入其他状态的一个事件。状态的每个转换都具有下面的形式:个事件。状态的每个转换都具有下面的形式:当前状态当前状态菜单菜单+事件事件所选择的项所选择的项下个状态。下个状态。为了对一个系统进行规格说明,通常都需要对有穷状为了对一个系统进行规格说明,通常都需要对有穷状态机做一个很有用的扩展,即在前述的态机做一个很有用的扩展,即在前述的5元组中加入元组中加入第第6个组件个组件谓词集谓词集P,从而把有穷状态机扩展为,从而把有穷状态机扩展为一个一个6元组,其中每个谓词都
11、是系统全局状态元组,其中每个谓词都是系统全局状态Y的函的函数。转换函数数。转换函数T现在是一个从现在是一个从(J-F)KP到到J的函数。的函数。现在的转换规则形式如下:现在的转换规则形式如下:当前状态当前状态菜单菜单+事件事件所选择的项所选择的项+谓词谓词下下个状态。个状态。有限状态自动机(FSM finite state machine 或者FSA finite state automaton)是为研究有限内存的计算过程和某些语言类而抽象出的一种计算模型。有限状态自动机拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。有限状态自动机可以表示为一个有向图。有
12、限状态自动机是自动机理论的研究对象。有多种类型的有限状态自动机:接受器判断是否接受输入;转换器对给定输入产生一个输出。常见的转换器有 Moore 机 与 Mealy 机。Moore 机对每一个状态都附加有输出动作,Mealy 机对每一个转移都附加有输出动作。为了具体说明怎样用有穷状态机技术表达系统的规格为了具体说明怎样用有穷状态机技术表达系统的规格说明,现在用这种技术给出大家熟悉的电梯系统的规说明,现在用这种技术给出大家熟悉的电梯系统的规格说明。首先给出用自然语言描述的对电梯系统的需格说明。首先给出用自然语言描述的对电梯系统的需求:求:在一幢在一幢m层的大厦中需要一套控制层的大厦中需要一套控制
13、n部电梯的产品,部电梯的产品,要求这要求这n部电梯按照约束条件部电梯按照约束条件C1,C2和和C3在楼层间在楼层间移动。移动。C1:每部电梯内有:每部电梯内有m个按钮,每个按钮代表一个楼层个按钮,每个按钮代表一个楼层。当按下一个按钮时该按钮指示灯亮,同时电梯驶向。当按下一个按钮时该按钮指示灯亮,同时电梯驶向相应的楼层,到达按钮指定的楼层时指示灯熄灭。相应的楼层,到达按钮指定的楼层时指示灯熄灭。4.2.2 例子例子C2:除了大厦的最低层和最高层之外,每层楼都有:除了大厦的最低层和最高层之外,每层楼都有两个按钮分别请求电梯上行和下行。这两个按钮之一两个按钮分别请求电梯上行和下行。这两个按钮之一被按
14、下时相应的指示灯亮,当电梯到达此楼层时灯熄被按下时相应的指示灯亮,当电梯到达此楼层时灯熄灭,电梯向要求的方向移动。灭,电梯向要求的方向移动。C3:当对电梯没有请求时,它关门并停在当前楼层。:当对电梯没有请求时,它关门并停在当前楼层。现在使用一个扩展的有穷状态机对本产品进行规格说现在使用一个扩展的有穷状态机对本产品进行规格说明。这个问题中有两个按钮集。明。这个问题中有两个按钮集。n部电梯中的每一部部电梯中的每一部都有都有m个按钮,一个按钮对应一个楼层。因为这个按钮,一个按钮对应一个楼层。因为这mn个按钮都在电梯中,所以称它们为电梯按钮。此外,个按钮都在电梯中,所以称它们为电梯按钮。此外,每层楼有
15、两个按钮,一个请求向上,另一个请求向下,每层楼有两个按钮,一个请求向上,另一个请求向下,这些按钮称为楼层按钮。这些按钮称为楼层按钮。电梯按钮电梯按钮的状态转换图如图的状态转换图如图4.2所示。令所示。令EB(e,f)表示表示按下电梯按下电梯e内的按钮并请求到内的按钮并请求到f层去。层去。EB(e,f)有两个状有两个状态,分别是按钮发光态,分别是按钮发光(打开打开)和不发光和不发光(关闭关闭)。更精确。更精确地说,状态是:地说,状态是:EBON(e,f):电梯按钮:电梯按钮(e,f)打开打开EBOFF(e,f):电梯按钮:电梯按钮(e,f)关闭关闭如果电梯按钮如果电梯按钮(e,f)发光且电梯到达
16、发光且电梯到达f层,该按钮将熄灭。层,该按钮将熄灭。相反如果按钮熄灭,则按下它时,按钮将发光。上述相反如果按钮熄灭,则按下它时,按钮将发光。上述描述中包含了两个事件,它们分别是:描述中包含了两个事件,它们分别是:EBP(e,f):电梯按钮:电梯按钮(e,f)被按下被按下EAF(e,f):电梯:电梯e到达到达f层层图图4.2 电梯按钮的状态转换图电梯按钮的状态转换图图图4.3楼层按钮的状态转换图楼层按钮的状态转换图为了定义与这些事件和状态相联系的状态转换规则,为了定义与这些事件和状态相联系的状态转换规则,需要一个谓词需要一个谓词V(e,f),它的含义如下:,它的含义如下:V(e,f):电梯:电梯
17、e停在停在f层层如果电梯按钮如果电梯按钮(e,f)处于关闭状态处于关闭状态当前状态当前状态,而且,而且电梯按钮电梯按钮(e,f)被按下被按下事件事件,而且电梯,而且电梯e不在不在f层层谓词谓词,则该电梯按钮打开发光,则该电梯按钮打开发光下个状态下个状态。状态。状态转换规则的形式化描述如下:转换规则的形式化描述如下:EBOFF(e,f)+EBP(e,f)+not V(e,f)EBON(e,f)反之,如果电梯到达反之,如果电梯到达f层,而且电梯按钮是打开的,层,而且电梯按钮是打开的,于是它就会熄灭。这条转换规则可以形式化地表示为:于是它就会熄灭。这条转换规则可以形式化地表示为:EBON(e,f)+
18、EAF(e,f)EBOFF(e,f)接下来考虑接下来考虑楼层按钮楼层按钮。令。令FB(d,f)表示表示f层请求电梯向层请求电梯向d方向运动的按钮,楼层按钮方向运动的按钮,楼层按钮FB(d,f)的状态转换图如的状态转换图如图图4.3所示。所示。楼层按钮的状态如下:楼层按钮的状态如下:FBON(d,f):楼层按钮:楼层按钮(d,f)打开打开FBOFF(d,f):楼层按钮:楼层按钮(d,f)关闭关闭如果楼层按钮已经打开,而且一部电梯到达如果楼层按钮已经打开,而且一部电梯到达f层,则层,则按钮关闭。反之,如果楼层按钮原来是关闭的,被按按钮关闭。反之,如果楼层按钮原来是关闭的,被按下后该按钮将打开。这段
19、叙述中包含了以下两个事件。下后该按钮将打开。这段叙述中包含了以下两个事件。FBP(d,f):楼层按钮:楼层按钮(d,f)被按下被按下EAF(1n,f):电梯:电梯1或或或或n到达到达f层层其中其中1n表示或为表示或为1或为或为2或为或为n。为了定义与这些事件和状态相联系的状态转换规则,为了定义与这些事件和状态相联系的状态转换规则,同样也需要一个谓词,它是同样也需要一个谓词,它是S(d,e,f),它的定义如下。,它的定义如下。S(d,e,f):电梯:电梯e停在停在f层并且移动方向由层并且移动方向由d确定为向上确定为向上(d=U)或向下或向下(d=D)或待定或待定(d=N)。这个谓词实际上是一个状
20、态,形式化方法允许把事件这个谓词实际上是一个状态,形式化方法允许把事件和状态作为谓词对待。和状态作为谓词对待。使用谓词使用谓词S(d,e,f),形式化转换规则为:,形式化转换规则为:FBOFF(d,f)+FBP(d,f)+not S(d,1n,f)FBON(d,f)FBON(d,f)+EAF(1n,f)+S(d,1n,f)FBOFF(d,f)其中,其中,d=UorDor N。也就是说,如果在也就是说,如果在f层请求电梯向层请求电梯向d方向运动的楼层按方向运动的楼层按钮处于关闭状态,现在该按钮被按下,并且当时没有钮处于关闭状态,现在该按钮被按下,并且当时没有正停在正停在f层准备向层准备向d方向移
21、动的电梯,则该楼层按钮打方向移动的电梯,则该楼层按钮打开。反之,如果楼层按钮已经打开,且至少有一部电开。反之,如果楼层按钮已经打开,且至少有一部电梯到达梯到达f层,该部电梯将朝层,该部电梯将朝d方向运动,则按钮将关闭。方向运动,则按钮将关闭。现在转向讨论现在转向讨论电梯的状态电梯的状态及其转换规则,就会出现一及其转换规则,就会出现一些复杂的情况。一个电梯状态实质上包含许多子状态。些复杂的情况。一个电梯状态实质上包含许多子状态。下面定义电梯的下面定义电梯的3个状态:个状态:M(d,e,f):电梯:电梯e正沿正沿d方向移动,即将到达的是第方向移动,即将到达的是第f层层S(d,e,f):电梯:电梯e
22、停在停在f层,将朝层,将朝d方向移动方向移动(尚未关门尚未关门)W(e,f):电梯:电梯e在在f层等待层等待(已关门已关门)其中其中S(d,e,f)状态已在讨论楼层按钮时定义过,但是,状态已在讨论楼层按钮时定义过,但是,现在的定义更完备一些。现在的定义更完备一些。图图4.4是电梯的状态转换图。是电梯的状态转换图。3个电梯停止状态个电梯停止状态S(U,e,f)、S(N,e,f)和和S(D,e,f)已被组合成一个大的状态,这样做已被组合成一个大的状态,这样做的目的是减少状态总数以简化流图。的目的是减少状态总数以简化流图。图图4.4中包含了下述中包含了下述3个可触发状态发生改变的事件。个可触发状态发
23、生改变的事件。DC(e,f):电梯:电梯e在楼层在楼层f关上门关上门ST(e,f):电梯:电梯e靠近靠近f层时触发传感器,电梯控制器决层时触发传感器,电梯控制器决定在当前楼层电梯是否停下定在当前楼层电梯是否停下RL:电梯按钮或楼层按钮被按下进入打开状态,登:电梯按钮或楼层按钮被按下进入打开状态,登录需求录需求图图4.4 电梯的状态转换图电梯的状态转换图最后,给出电梯的状态转换规则。为简单起见,这里最后,给出电梯的状态转换规则。为简单起见,这里给出的规则仅发生在关门之时。给出的规则仅发生在关门之时。S(U,e,f)+DC(e,f)M(U,e,f+1)S(D,e,f)+DC(e,f)M(D,e,f
24、-1)S(N,e,f)+DC(e,f)W(e,f)第一条规则表明,如果电梯第一条规则表明,如果电梯e停在停在f层准备向上移动,层准备向上移动,且门已经关闭,则电梯将向上一楼层移动。第二条和且门已经关闭,则电梯将向上一楼层移动。第二条和第三条规则,分别对应于电梯即将下降或者没有待处第三条规则,分别对应于电梯即将下降或者没有待处理的请求的情况。理的请求的情况。有穷状态机方法采用了一种简单的格式来描述规格说有穷状态机方法采用了一种简单的格式来描述规格说明:明:当前状态当前状态+事件事件+谓词谓词下个状态下个状态这种形式的规格说明易于书写、易于验证,而且可以这种形式的规格说明易于书写、易于验证,而且可
25、以比较容易地把它转变成设计或程序代码。比较容易地把它转变成设计或程序代码。事实上,可以开发一个事实上,可以开发一个CASE工具工具把一个有穷状态机把一个有穷状态机规格说明直接转变为源代码。维护可以通过重新转变规格说明直接转变为源代码。维护可以通过重新转变来实现,也就是说,如果需要一个新的状态或事件,来实现,也就是说,如果需要一个新的状态或事件,首先修改规格说明,然后直接由新的规格说明生成新首先修改规格说明,然后直接由新的规格说明生成新版本的产品。版本的产品。4.2.3 评价评价有穷状态机方法比数据流图技术更精确,而且和它一有穷状态机方法比数据流图技术更精确,而且和它一样易于理解。样易于理解。缺
26、点缺点:在开发一个大系统时三元组:在开发一个大系统时三元组(即状态、事件、即状态、事件、谓词谓词)的数量会迅速增长。此外,和数据流图方法一的数量会迅速增长。此外,和数据流图方法一样,形式化的有穷状态机方法也没有处理定时需求。样,形式化的有穷状态机方法也没有处理定时需求。下节将介绍的下节将介绍的Petri网技术,是一种可处理定时问题网技术,是一种可处理定时问题的形式化方法。的形式化方法。并发系统中遇到的一个主要问题是并发系统中遇到的一个主要问题是定时定时问题。这个问问题。这个问题可以表现为多种形式,如同步问题、竞争条件以及题可以表现为多种形式,如同步问题、竞争条件以及死锁问题。死锁问题。4.3
27、Petri网网 4.3.1 概念概念Petri网是由网是由Carl Adam Petri发明的。最初只有自动发明的。最初只有自动化专家对化专家对Petri网感兴趣,后来网感兴趣,后来Petri网在计算机科学网在计算机科学中也得到广泛的应用,例如,在性能评价、操作系统中也得到广泛的应用,例如,在性能评价、操作系统和软件工程等领域,和软件工程等领域,Petri网应用得都比较广泛。特网应用得都比较广泛。特别是已经证明,用别是已经证明,用Petri网可以有效地描述网可以有效地描述并发活动。并发活动。Petri网包含网包含4种元素种元素:一组位置:一组位置P、一组转换、一组转换T、输入、输入函数函数I以
28、及输出函数以及输出函数O。图。图4.5举例说明了举例说明了Petri网的组网的组成。成。图图4.5 Petri网的组成网的组成一组位置一组位置P为为P1,P2,P3,P4,在图中用圆圈代,在图中用圆圈代表位置。表位置。一组转换一组转换T为为t1,t2,在图中用短直线表示转换。,在图中用短直线表示转换。两个用于转换的输入函数,用由位置指向转换的箭头两个用于转换的输入函数,用由位置指向转换的箭头表示,它们是:表示,它们是:I(t1)=P2,P4I(t2)=P2两个用于转换的输出函数,用由转换指向位置的箭头两个用于转换的输出函数,用由转换指向位置的箭头表示,它们是:表示,它们是:O(t1)=P1O(
29、t2)=P3,P3注意,输出函数注意,输出函数O(t2)中有两个中有两个P3,是因为有两个箭,是因为有两个箭头由头由t2指向指向P3。更形式化的更形式化的Petri网结构网结构,是一个四元组,是一个四元组C=(P,T,I,O)。其中,其中,P=P1,Pn是一个有穷位置集,是一个有穷位置集,n0。T=t1,tm是一个有穷转换集,是一个有穷转换集,m0,且,且T和和P不相交。不相交。I:TP为输入函数,是由转换到位置无序单位组为输入函数,是由转换到位置无序单位组(bags)的映射。的映射。O:TP为输出函数,是由转换到位置无序单位组为输出函数,是由转换到位置无序单位组的映射。的映射。Z语言中语言中
30、Z是指著名的数学家是指著名的数学家Zermolo,他的主要成就他的主要成就是集合论。是集合论。用用Z语言描述的、最简单的形式化规格说明含有下述语言描述的、最简单的形式化规格说明含有下述4个部分个部分:给定的集合、数据类型及常数。给定的集合、数据类型及常数。状态定义。状态定义。初始状态。初始状态。操作。操作。4.4 Z语言语言 4.4.1 简介简介1.给定的集合给定的集合一个一个Z规格说明从一系列给定的初始化集合开始。所规格说明从一系列给定的初始化集合开始。所谓初始化集合就是不需要详细定义的集合,这种集合谓初始化集合就是不需要详细定义的集合,这种集合用带方括号的形式表示。对于电梯问题,给定的初始
31、用带方括号的形式表示。对于电梯问题,给定的初始化集合称为化集合称为Button,即所有按钮的集合,因此,即所有按钮的集合,因此,Z规规格说明开始于:格说明开始于:Button2.状态定义状态定义一个一个Z规格说明由若干个规格说明由若干个“格格(schema)”组成,每个格组成,每个格含有一组变量说明和一系列限定变量取值范围的谓词。含有一组变量说明和一系列限定变量取值范围的谓词。例如,格例如,格S的格式如图的格式如图4.12所示。所示。图图4.12 Z格格S的格式的格式3.初始状态初始状态抽象的初始状态是指系统第一次开启时的状态。对于抽象的初始状态是指系统第一次开启时的状态。对于电梯问题来说,抽
32、象的初始状态为:电梯问题来说,抽象的初始状态为:Button_InitButton_Statepushed=上式表示,当系统首次开启时上式表示,当系统首次开启时pushed集为空,即所有集为空,即所有按钮都处于关闭状态。按钮都处于关闭状态。4.操作操作如果一个原来处于关闭状态的按钮被按下,则该按钮如果一个原来处于关闭状态的按钮被按下,则该按钮开启,这个按钮就被添加到开启,这个按钮就被添加到pushed集中。图集中。图4.14(见(见书书87页)定义了操作页)定义了操作Push_Button(按按钮按按钮)。已经在许多软件开发项目中成功地运用了已经在许多软件开发项目中成功地运用了Z语言,目语言,
33、目前,前,Z也许是应用得最广泛的形式化语言,尤其是在也许是应用得最广泛的形式化语言,尤其是在大型项目中大型项目中Z语言的优势更加明显。语言的优势更加明显。Z语言之所以会语言之所以会获得如此多的成功,主要有以下几个原因:获得如此多的成功,主要有以下几个原因:(1)可以比较可以比较容易地发现用容易地发现用Z写的规格说明的错误写的规格说明的错误,特别是在自己审查规格说明,及根据形式化的规格说特别是在自己审查规格说明,及根据形式化的规格说明来审查设计与代码时,情况更是如此。明来审查设计与代码时,情况更是如此。(2)用用Z写规格说明时,要求作者十分写规格说明时,要求作者十分精确地使用精确地使用Z说说明符
34、明符。由于对精确性的要求很高,从而和非形式化规。由于对精确性的要求很高,从而和非形式化规格说明相比,减少了模糊性、不一致性和遗漏。格说明相比,减少了模糊性、不一致性和遗漏。4.4.2 评价评价(3)Z是一种形式化语言,在需要时开发者可以是一种形式化语言,在需要时开发者可以严格严格地验证规格说明的正确性地验证规格说明的正确性。(4)虽然完全学会虽然完全学会Z语言相当困难,但是,经验表明,语言相当困难,但是,经验表明,只学过中学数学的软件开发人员仍然只学过中学数学的软件开发人员仍然可以只用比较短可以只用比较短的时间就学会编写的时间就学会编写Z规格说明规格说明,当然,这些人还没有,当然,这些人还没有
35、能力证明规格说明的结果是否正确。能力证明规格说明的结果是否正确。(5)使用使用Z语言可以语言可以降低软件开发费用降低软件开发费用。虽然用。虽然用Z写规写规格说明所需用的时间比使用非形式化技术要多,但开格说明所需用的时间比使用非形式化技术要多,但开发过程所需要的总时间却减少了。发过程所需要的总时间却减少了。(6)虽然用户无法理解用虽然用户无法理解用Z写的规格说明,但是,可写的规格说明,但是,可以以依据依据Z规格说明用自然语言重写规格说明规格说明用自然语言重写规格说明。经验证。经验证明,这样得到的自然语言规格说明,比直接用自然语明,这样得到的自然语言规格说明,比直接用自然语言写出的非形式化规格说明
36、更清楚、更正确。言写出的非形式化规格说明更清楚、更正确。基于数学的形式化规格说明技术,目前还没有在软件基于数学的形式化规格说明技术,目前还没有在软件产业界广泛应用,但是,与欠形式化的方法比较起来,产业界广泛应用,但是,与欠形式化的方法比较起来,它确实有实质性的优点:它确实有实质性的优点:形式化的规格说明可以用数形式化的规格说明可以用数学方法研究、验证学方法研究、验证(例如,一个正确的程序可以被证例如,一个正确的程序可以被证明满足其规格说明,两个规格说明可以被证明是等价明满足其规格说明,两个规格说明可以被证明是等价的,规格说明中存在的某些形式的不完整性和不一致的,规格说明中存在的某些形式的不完整
37、性和不一致性可以被自动地检测出来性可以被自动地检测出来)。此外,。此外,形式化的规格说形式化的规格说明消除了二义性明消除了二义性,而且它鼓励软件开发者在软件工程,而且它鼓励软件开发者在软件工程过程的过程的早期阶段早期阶段使用更严格的方法,从而可以减少差使用更严格的方法,从而可以减少差错。错。4.5 小结小结当然,形式化方法也有缺点:大多数形式化的规格说当然,形式化方法也有缺点:大多数形式化的规格说明主要关注于系统的功能和数据,而明主要关注于系统的功能和数据,而问题的时序、控问题的时序、控制和行为等方面的需求却更难于表示制和行为等方面的需求却更难于表示。此外,形式化。此外,形式化方法比欠形式化方法方法比欠形式化方法更难学习更难学习,不仅在培训阶段要花,不仅在培训阶段要花大量的投资,而且对某些软件工程师来说,它代表了大量的投资,而且对某些软件工程师来说,它代表了一种一种“文化冲击文化冲击”。把把形式化方法和欠形式化方法有机地结合起来形式化方法和欠形式化方法有机地结合起来,使它,使它们取长补短,应该能获得更理想的效果。们取长补短,应该能获得更理想的效果。