Formale Methoden in der Praxis - Institute of Software Technology

Weitere Magazine

Empfehlungen

Info

Aber wie macht man das? Wie beschreibt man die Funktionsweise, ohne gleichzeitig zu sagen, wie diese realisiert wird? Das ist keine leichte Aufgabe. Die Methoden müssen gelernt und geübt werden. Viele Softwarespezialisten sind dieser Aufgabe nicht gewachsen. Episoden: “Wie kann man etwas beschreiben, das man noch nicht hat.” Dieser Problematik muß man sich stellen, unabhängig davon, ob man formale Methoden benützt oder nicht. Aber die mathematischen Grundlagen helfen, die Alternativen zu sehen, um die Aufgabe zu lösen. 2.2 Spezifikationsmethoden Es gibt mehr als eine Möglichkeit, ein Programm zu spezifizieren, ohne die Details einer Implementierung preiszugeben. Für die Zwecke dieser Einführung werden vier Methoden unterschieden. 1. Spezifikation mittels Vor- und Nachbedingungen. 2. Algebraische Spezifikation. 3. Explizite Spezifikationen. 4. Kontrakte. Vor- und Nachbedingungen sagen, welche Programme als Lösung akzeptabel sind. Mit algebraischen Spezifikationen werden abstrakte Datentypen oder Objektklassen spezifiziert, indem die Relation der Funktionen bzw. Methoden untereinander festgelegt werden. Explizite Spezifikationen definieren Funktionen oder Methoden direkt mittels gegebener, aber möglichst abstrakter Datentypen. Kontrakte spezifizieren die wechselseitigen Anforderungen paralleler Prozesse, sowie deren Verhalten. Wird der Benützer als ein Prozeß gesehen, so kann man auch Spezifikationen mit Vor- und Nachbedingungen als Kontrakte bezeichnen. Die folgenden Beispiele illustrieren der Reihe nach die erwähnten Methoden. 2.2.1 Definition durch Vor- und Nachbedingungen Beispiel: Quadratwurzel Es soll ein Programm sqrt spezifiziert werden, das die Quadratwurzel einer gegebenen reellen Zahl x liefert. Wir erleichtern uns die Aufgabe, indem wir die Ein- und Ausgabebereiche festlegen, und dem Resultat einen Namen geben. sqrt (x : R) s : R Die Aufgabe besteht nun darin, s in Relation zu x ausreichend festzulegen. Die Charakterisierung des Resultats soll möglichst einfach und einleuchtend sein. Es ist nicht der Algorithmus gefragt, sondern nur ein Kriterium, das entscheidet, ob ein angebotenes s eine Lösung ist. Aus dem elementaren Mathematikunterricht erinnern wir uns an die “Probe”, die nach gewissen Rechenoperationen zu machen war. Als Probe zur Berechnung der Quadratwurzel wird das Resultat quadriert, das, wenn richtig gerechnet wurde, gleich dem Argument sein muß. Damit haben wir das gesuchte Kriterium für die Lösung. Weil diese Bedingung nach der Ausführung des Programms gelten soll, nennt man sie Nachbedingung (post-condition). Man schreibt: sqrt (x : R) s : R post s × s = x Die Annahmen, die man bezüglich der Inputs zu einem Programm trifft, nennt man Vorbedingung (pre-condition). Falls das Resultat im Bereich der reellen Zahlen liegen soll, muß die Vorbedingung den Argumentbereich auf die positiven reellen Zahlen einschränken. 2
sqrt (x : R) s : R pre x ≥ 0 post s × s = x Diese Spezifikation läßt jeweils zwei Lösungen zu, eine positive und eine negative. Wie vorhin ausgeführt ist dies nicht von vorneherein abzulehnen. Im Falle der Quadratwurzel soll aber doch eine bestimmte Lösung ausgewählt werden, und zwar die positive Lösung. Die Nachbedingung ist also zu ergänzen: sqrt (x : R) s : R pre x ≥ 0 post s × s = x ∧ s ≥ 0 Die Spezifikation sollte realistisch sein. Im Computer stehen uns die reellen Zahlen nur näherungsweise zur Verfügung. Die Probe wird also nicht exakt aufgehen. Es ist daher notwendig die Genauigkeit der gewünschten Lösung zu charakterisieren. sqrt (x : R) s : R pre x ≥ 0 post abs (x-s × s) < ɛ × x ∧ s ≥ 0 Damit erscheint die Funktion des Programms sqrt ausreichend spezifiziert. Die verwendete Notation ist VDM-SL, die ISO-standardisierte Spezifikationssprache von VDM [26, 28]. Eine ähnliche Notation verwenden die Methoden Z [34] und B [1]. 2.2.2 Algebraische Spezifikationen In den vorherigen Beispielen hatten wir es mit sehr konkreten Bereichen zu tun, nämlich den reellen bzw. den ganzen Zahlen. Gewisse Operationen, z.B. die Addition und Multiplikation waren als bekannt vorausgesetzt und in der Spezifikation verwendet. Algebraische Spezifikationen werden nach dem Muster einer abstrakten Algebra gebildet, deshalb auch der Name. Algebraische Spezifikationen postulieren einen oder mehrere Grundbereiche auch Sorten genannt (sorts), sowie ein oder mehrere Funktionsnamen und deren “Typ”, in der üblichen Terminologie der Programmierung. Man nennt dies auch die Signatur. Das bedeutet im Einzelnen: für jeden Funktionsnamen wird die Anzahl der Argumente (arity) festgelegt und Argumentund Funktionsbereich definiert. Die Bedeutung der Funktionsnamen wird durch Gleichungen charakterisiert, die die Beziehung der Funktionen untereinander festlegen. Diese Gleichungen nennt man auch Axiome. Eine algebraische Spezifikation besteht also aus drei Teilen. 1. Sorten (Grundbereiche) 2. Signatur (Funktionsnamen und deren Typen) 3. Axiome Als Beispiel wird ein Objektbereich (Stacks) betrachtet, der nicht in dem Maße vertraut ist wie die Zahlenbereiche. Beispiel: Stack Anforderungen, informale Spezifikation Es wird eine Menge von Elementen, Elem, angenommen, aus denen Stacks aufgebaut werden. Ein Stack ist eine Sammlung von Elementen. Wird der Begriff Stack im herkömmlichen technischen Sinn interpretiert, sind folgende Eigenschaften wesentlich: 3
Seite 1: Formale Methoden in der Praxis 1.
Seite 5 und 6: 2.2.3 Explizite Definitionen Im Geg
Seite 7 und 8: Wird dieser Benutzer mit dem Automa
Seite 9 und 10: 25 20 2 Ambiguous, contradictiory o
Seite 11 und 12: 3.2 Internationale Projekte Interna
Seite 13 und 14: [10] Jeremy Dick and Alain Faivre.

Formale Methoden in der Praxis - Institute of Software Technology

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?