Московский физико-технический институт
Опубликован: 24.09.2008 | Доступ: свободный | Студентов: 4588 / 2252 | Оценка: 4.52 / 4.48 | Длительность: 25:15:00
Специальности: Системный архитектор

Лекция 7: Формальные спецификации, доказательство и верификация программ

Аннотация: Дано описание формальных методов спецификаций (Z, VDM, RAISE), методов доказательства правильности программ с помощью утверждений, пред- и постусловий и верификации программ
Ключевые слова: спецификация программы, анализ, ПО, выходные параметры, интерфейс, предусловие, постусловие, определение, доказательство, вывод, свойства программы, API, VDM, DSL, concurrent, Pascal, язык спецификаций, операция композиции, спецификация пакета, domain, language, подмножество, XML, Java, метаязык, грамматики в форме Бэкуса-Наура, формализм, Лисп, операции, ПРОЛОГ, операционная семантика, нормальный алгоритм Маркова, вычисление, системы реального времени, точность, UML, денотат, модель программы, RSL, сложный тип данных, хвост списка, функтор, предикатный символ, денотационная семантика, алгебраические системы, язык предикатов, хорновская, основной терм, сигнатура операции, программа, метод индуктивных утверждений, Замкнутый путь, доказательство корректности, метод Флойда, переменная условия, тестовая программа, вычисления программы, операция конъюнкции, пузырьковая сортировка, внешняя сущность, диаграммы взаимодействия, анализ потока данных, верификация, валидация, реализация требований, тестовая процедура, верификация модели, temporal, свойства множества, вычислительная модель, расширение моделей

Современные направления в области проверки правильности программ - формальные спецификации и методы доказательства их правильности. Для доказательства того, что спецификация программы задает правильное решение некоторой задачи, для которой она разработана, привлекается математический аппарат.

В формальных методах нет рутинного написания спецификации на ЯП, а есть анализ текста и описание поведения программы в стиле, близком математической нотации, путем рассуждений и доказательств, принятых в математике. Формальные методы в программировании появились одновременно с самим программированием, на которое повлияли работы по теории алгоритмов А.А. Маркова [6.1], А.А. Ляпунова [6.2], схемы Ю.И.Янова [6.3], формальные нотации языка описания взаимодействующих процессов К.А. Хоара [6.4] и др.

В 70-х годах прошлого столетия появились формальные спецификации, которые близки ЯП и предоставляют средства, облегчающие проводить рассуждение о свойствах формальных тестов и сближающие их с математической нотацией. Несмотря на это, исследования формальных методов носили в основном академический, теоретический характер, поскольку извлечь из них практическую пользу в программировании не удавалось в силу огромных затрат на формальную спецификацию программ и разработку дополнительных [6.5-6.10] аксиом, утверждений и условий, называемых предварительными условиями (предусловиями) и постусловиями, определяющими заключительные правила получения правильного результата.

Под спецификацией понимается формальное описание функций и данных программы, с которыми эти функции оперируют. Различают видимые данные, т.е. входные и выходные параметры, а также скрытые данные, которые не привязаны к реализации и определяют интерфейс с другими функциями.

Предусловия - это ограничения на совокупность входных параметров и постусловия - ограничения на выходные параметры. Предусловие и постусловие задаются предикатами, т.е. функциями, результатом которых будет булевская величина ( true / false ). Предусловие истинно тогда, когда входные параметры входят в область допустимых значений данной функции. Постусловие истинно тогда, когда совокупность значений удовлетворяет требованиям, задающим формальное определение критерия правильности получения результата.

Доказательство проводится с помощью утверждений, которые составляются в формальном языке и служат способом проверки правильности программы в заданных точках. Набор утверждений использует предусловия и последовательность операций, приводящих к проверке результата относительно отмеченной точки программы, для которой сформулировано заключительное утверждение. Если утверждение соответствует конечному оператору программы, где требуется получить окончательный результат, то с помощью заключительного утверждения и постусловия делается окончательный вывод о частичной или полной правильности работы программы.

6.1. Анализ языков формальной спецификации программ

Языки спецификаций, используемые для формального описания свойств программ, более высокого уровня, чем ЯП. Их можно классифицировать по таким категориям: универсальные языки с общематематической основой (например, RAISE, Z, API, VDM и др.) [6.6-6.10]; языки спецификации проблемных областей (например, ЯП, языки спецификаций ПрО или доменов - DSL и др.) [6.11-6.14]; специализированные языки спецификации (например, языки таблиц, логики, равенств и подстановок и др.) [6.5]; языки, ориентированные на спецификацию параллельных процессов (например, CIP-L, Ada-68 Concurrent Pascal и др.) [6.11] (рис. 6.1).

Спецификация программы - это точное, однозначное и недвусмысленное описание программы с помощью математических понятий, терминов, правил синтаксиса и семантики языка спецификации. В языке спецификаций могут быть понятия и конструкции, которые нельзя выполнить на компьютере, они представляются последовательностью операций, функций, понятных для интерпретации.

Описание задачи в языке спецификации включает в себя описание общего контекста всех понятий, через которые определяются понятия, участвующие в формулировке задачи или в описании модели ПрО (домена).

Описание задачи дается в виде аксиом, утверждений, пред- и постусловий, требующих для их реализации не систем программирования, а специального аппарата для доказательства или верификации описания задач, в частности интерпретаторов или метасистем.

Категории языков спецификации

увеличить изображение
Рис. 6.1. Категории языков спецификации

Универсальные языки спецификации (VDM, Z, RAISE и др.) имеют общематематическую основу и следующие виды средств:

  • логики первого порядка, включая кванторы;
  • арифметические операции;
  • средства образования множеств с помощью логических формул и операций над множествами;
  • средства описания конечных последовательностей (кортежей, списков) и операции над ними;
  • средства описания конечных функций и операции над ними;
  • средства описания древовидных структур;
  • средства построения областей или множества объектов, включая произведения, объединения и рекурсивные определения;
  • определение функций с помощью выражений и равенств, включая рекурсивные определения;
  • процедурные средства ЯП (операторы присваивания, цикла, выбора, выхода);
  • операции композиции, аргументами и результатами которых могут быть функции, выражения, операторы.

В VDM и RAISE нет средств описания графовых структур, управления и параллелизма, однако имеется механизм конструирования новых структур данных.

Языки спецификации областей включают в себя следующие языки:

  • спецификации доменов;
  • описания взаимодействий;
  • спецификации ЯП и трансляторов;
  • спецификации БД и знаний;
  • спецификации пакетов прикладных программ и др.

Каждый из этих языков имеет специализированные средства, отображающие специфические особенности соответствующей области.

Язык спецификации доменов DSL (Domain Specific Language) представляет некоторое подмножество языка программирования и специально средства для описания специальных проблем домена [6.14]. Он подразделяется на внешние и внутренние языки. Внешние языки (типа Unix, XML и др.) по уровню выше языка описания приложения. Описание в нем сводится к языку DSL специальными генераторами или текстовыми редакторами, трансформирующими абстрактные понятия домена к понятиям языка DSL. Внутренние языки (С, С++), а также языки Java, Smalltalk ограничены синтаксисом и семантикой основного базового языка программирования приложений.

Языки описания взаимодействий и параллельного выполнения в отличие от ЯП позволяют специфицировать процессы управления вычислениями, передачей сообщений и взаимодействием объектов в распределенных системах.

Метаязыки позволяют специфицировать контекстные зависимости синтаксиса ЯП, лексический и синтаксический анализ трансляторов с помощью регулярных выражений КС-грамматик в форме Бэкуса-Наура. Для спецификации семантики языков используется формализм равенств. Техника описания ЯП основывается на атрибутных грамматиках и абстрактных типах данных. Задача описания ЯП для перевода решаются путем использования денотационных, алгебраических и атрибутных подходов, а также логических терминов, ориентированных на верификацию [6.11-6.16].

Языки описания средств программирования включают в себя языки, основанные на равенствах и подстановках с операционной семантикой (Лисп, Рефал); логические языки; языки операций (АPL) над последовательностями и матрицами; табличные языки; сети, графы [6.5, 6.11]. Язык логики предикатов с набором базисных функций используется для записи пред- и постусловий, инвариантов.

Отдельные операции логики предикатов используются также в языках логического программирования (например, Пролог).

Основой описания математических объектов являются равенства и подстановки. Для определения семантики равенства используется денотационное, операционное и аксиоматическое описание. Операционная семантика связана с подстановками (замена, продукция) и определяется в терминах операций, приводящих к вычислениям алгоритмов. При этом фиксируется порядок и динамика выполнения операций. Денотационный подход к семантике предпочитает статическое описание в терминах математических свойств объектов, а аксиоматической - специфицирует свойства объектов в рамках некоторой логической системы, содержащей правила вывода формул и/или интерпретаций.

Продукция или правила подстановки общего вида - это \lambda\to\rho, где \lambda и \rho - произвольные слова в фиксированном алфавите. Нормальный алгоритм Маркова [6.1] представляет собой упорядоченный набор правил, некоторые из них отмечены как завершающие. Применение правила \lambda\to\rho к слову \phi состоит в подстановке слова \rho вместо самого левого слова \lambda в \phi. Вычисление заканчивается, когда применяется завершающее правило, состоящее в порождении одного слова.

Языки спецификации программ или универсальные языки (Z, VDM, RAISE [6.5, 6.7-6.10]) базируются на аппарате математической логики и теории множеств и требуют от пользователей математической подготовки при применении их в трудно формализуемых областях -описание трансляторов с ЯП, системы реального времени, где правильность и точность программ основополагающие. На формальную спецификацию, разработку аксиом и теорем требуется несоизмеримо больше времени, чем в обычных языках программирования. Кроме того, формальные спецификации программ более громоздкие и требуют много времени при прокручивании таких программ за столом и интерпретации их на редких инструментальных средствах математического доказательства.

Эти особенности языков формальной спецификации препятствовали практическому их использованию. Их фактически отодвинул более конструктивный и наглядный стиль представления программ на языке UML, предоставив пользователям аппарат мышления объектами реального мира, диаграммным представлением их взаимодействия и многочисленными инструментами. В настоящее время интерес к формальным методам доказательства программ на основе спецификаций снова возник [6.15, 6.16], и поэтому студентам с математическим мышлением будет интересно познакомиться с особенностями техник спецификации и формального доказательства программ.

6.1.1. VDM-спецификация программ

Язык VDM (Vienna Development Method) разработан в венской лаборатории компании IBM для описания языков типа ПЛ/1, трансляторов и систем со сложными структурами данных [6.7, 6.8]. Главная его цель - специфицировать правильно программу и описать набор утверждений для ее доказательства, принося в жертву скорость разработки и эффективность, даже если полученная программа громоздка и не всегда удобна в использовании, но является правильной.

Этот язык имеет математическую символику, которая легко воспринимается математически подготовленными студентами последних курсов университетов за 5-6 лекций. В языке содержатся следующие типы данных:

  • Х - натуральные числа с нулем;
  • N - натуральные числа без нуля;
  • Int - целые числа;
  • Bool - булевы;
  • Qout - строки символов;
  • Token - знаки и специальные обозначения операций.

Функция в языке - это определение свойств структур данных и операций над ними аппликативно или императивно. В первом случае функция специфицируется через комбинацию других функций и базовых операций (через выражения), что соответствует синониму функциональный.Во втором случае - значение определяется описанием алгоритма, что соответствует синониму алгоритмический. Например, спецификация функции вычисления минимального значения из двух значений N_{1}, N_{2} в VDM имеет вид:

\begin{array}{l}
\min{N_{1}N_{2}}\to N_{3},\\
\min{(x, y)} = \text{ if } x < y\text{ then } x\text{ else } y\text{ - алгоритмическое описание.}
\end{array}

Объекты языка VDM. Все объекты строятся иерархически. Элементами данных, с которыми оперируют функции, могут быть множества, деревья, последовательности, отображения, а также более сложные структуры, образованные с помощью конструкторов.

Множество может быть конечное и обозначается X-set. При работе с множеством используются операции \in, \subseteq, \cap, \cup и др. Язык имеет правила проверки правильности задания этих операций. Пример, х \in А будет корректным только тогда, когда А является подмножеством множества, которому принадлежит х. Пример дистрибутивного объединения дан ниже:

union \{(1, 2), (0, 2), (3, 1) \} = (0, 1, 2, 3).

Списки ( последовательности ) - это цепочки элементов одинакового типа из множества Х. Операция len задает длину списка, а inds - номера элементов списка.

Например, inds\;lst =(i \in X [f \le i \le len]).

К списковым операциям относится взятие первого (головы) элемента списка - hd и остатка (хвоста) после удаления первого элемента из списка - tl.

Например, hd(a, b, c, d) = (a), tl (a, b, c, d) = (b, c, d).

Могут использоваться также операция конкатенации (соединение двух списков) и операция дистрибутивной конкатенации.

Дерево - это конструкция mk, позволяющая объединять структуры разной природы (последовательности, множества и отображения). Элементы деревьев могут конструироваться в виде составных объектов, а также применяется деструктор для именования констант, вносимых в ранее определенный составной объект.

Пример. Пусть t - переменная типа Время, значение которой - 10 ч. 30 мин, тогда конструкция let\;mk - Время(h, m) = t\;tin определяет значение h = 10, а m = 30.

Отображение - это конструкция map, позволяющая создавать абстрактную таблицу из двух столбцов: ключей и значений. Все объекты таблицы принадлежат одному типу данных - множеству. Операция dom позволяет строить множество ключей, а rng - множество его значений. Кроме того, есть операции исключения строки, слияния двух таблиц и др.

Приведенные конструкции используются для спецификации программы и, в частности, начального состояния с инвариантными свойствами, в качестве которого используется inv функция, содержащая описание типов аргументов, результата и операций самой функции. Для проверки правильности спецификации программы средствами языка VDM задаются пред- и постусловия, аксиомы и утверждения.

Предусловие - это предикат с операцией, к которой обращается программа после получения начального состояния для определения правильности выполнения или фиксации ошибочной ситуации.

Утверждение задает описание операций проверки правильности программы в разных ее точках. Операторы программы изменяют состояние переменных в заданной точке, а операции утверждений анализируют ее (например, после операции работы с БД) в целях определения правильности выполнения этой операции. При возникновении непредвиденной ситуации, аксиомы и утверждения должны предусматривать соответствующие действия.

Постусловие - это предикат, который - истинный после выполнения предусловия, завершения текущих операции в заданных точках при выполнении инвариантных свойств программ.

Метод VDM предусматривает пошаговую детализацию спецификации программ. На первом уровне строится грубая спецификация - модель в языке VDM, которая постепенно уточняется, пока не получится окончательный текст описания программы.

Александр Медов
Александр Медов

Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны?

Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

: