Formale Methoden in der Praxis - Institute of Software Technology

Weitere Magazine

Empfehlungen

Info

in dieser Situation? Grob gesprochen ist die Implementierung korrekt, wenn die in der Implementierung definierten Funktionen die Axiome der algebraischen Spezifikation erfüllen. Das ist eine Richtung der Äquivalenz. Ist die Implementierung im gegebenen Fall spezifischer als die algebraische Spezifikation, d.h. lassen sich aus der Implementierung Eigenschaften ableiten, die aus der algebraischen Definition nicht ableitbar sind? Im allgemeinen ist dies bei Implementierungen der Fall, weswegen diese als Definition normalerweise nicht geeignet sind. In unserem speziellen Fall kann aber gezeigt werden, daß die Definition auf Grund von Listen keine zusätzlichen Eigenschaften impliziert, d.h. die beiden Definitionen von Stacks sind äquivalent. Welche man wählt ist Geschmacksache. Listen wurden als bekannt vorausgesetzt. Wie aber sind nun Listen definiert? Um mit den expliziten Definitionen der Stackfunktionen zu manipulieren, braucht man algebraische Eigenschaften der Listenfunktionen. Eine Möglichkeit ist nun, die Listenfunktionen selbst algebraisch zu definieren. Das ist eine recht ökonomische Strategie. Listen und eine Handvoll von anderen Bereichen haben sich als wichtige Grundlage für Spezifikationen herausgestellt. Ökonomisch deshalb, weil die algebraischen Eigenschaften dieser grundlegenden Bereiche in vielen auf diesen Bereichen aufbauenden Spezifikationen verwendet werden können. Die Bereiche, die sich für Spezifikationen als grundlegend herausgestellt haben, sind: • Mengen • Listen • Maps (finite Abbildungen) • Produkte (Tupel) • Zusammengesetzte Objekte (Records) Dieser modell-orientierte Ansatz hat den Vorteil gegenüber algebraischer Methoden, daß die resultierenden Theorien widerspruchsfrei sind. Daher kombinierte man in RAISE [19] beide Ansätze. In [6] wird gezeigt, daß dies auch in VDM möglich ist. 2.2.4 Kontrakte Eine Spezifikation von kommunizierenden Prozessen kann als Kontrakt zwischen den Prozessen aufgefaßt werden. Der Kontrakt definiert die Aufgaben der ’Partner’ sowie deren Synchronisation. In der Prozeßalgebra CSP (Communication Sequential Processes) [21] werden die einzelnen Prozesse durch die Ereignisse, auf welche sie reagieren (können), und den Reaktionen selbst definiert. Aus den formalen Definitionen der einzelnen Prozesse, ist es möglich das Gesamtverhalten des Systems abzuleiten. Beispiel: Automat Ein einfacher Kaffeeautomat kann in CSP wie folgt definiert werden: Automat = µX .fünfer → (kaffee → X | tee → X ) Der Automat kann nach dem Einwurf einer 5-Schilling-Münze Kaffee oder Tee ausgeben. Danach wartet er wieder auf das Ereignis eines Münzeinwurfs. Nun kann der Benutzer selbst als Prozeß modelliert werden. So ist z.B. das Verhalten eines gierigen Benutzers, dadurch definiert, daß er auch einen Kaffee oder Tee, ohne ihn zu bezahlen, annehmen würde. Wirft er jedoch einen Fünfer ein, so besteht er auf einen Kaffee: Benutzer = (kaffee → Benutzer | tee → Benutzer | fünfer → kaffee → Benutzer) 6
Wird dieser Benutzer mit dem Automaten zusammengebracht, so wird seine Gier nicht befriedigt, da der Automat nur auf den Einwurf eines Fünfers reagiert. Hier gibt der Automat auch nie einen Tee aus, da der Benutzer nur Kaffee will: (Benutzer || Automat) = µX .(fünfer → kaffee → X ) Das Beispiel zeigt, wie ein System als Komposition zweier paralleler Prozesse auch als ein einzelner Prozeß dargestellt werden kann. Diesen ereignisbasierten Spezifikationsstil kann man nun dazu benutzen, Prozesse deren Interfacefunktionen mit den vorher besprochenen Methoden definiert wurden, zu spezifizieren. Hier gibt es zwei Möglichkeiten: 1. Methodenaufrufe werden als Ereignisse interpretiert. Dieser Ansatz wurde in VDM++, der objekt-orientierten Erweiterung von VDM gewählt [32]. 2. Für jede Methode werden Lese- und Schreibkanäle definiert, wobei die Semantik von Kanälen bereits in CSP definiert ist. In RAISE werden so parallele Architekturen spezifiziert [19]. 2.3 Spezifikationen sind der Weg, nicht das Ziel Spezifikationen sind nur der erste Schritt zum fertigen Produkt. Je nach Größe und Schwierigkeit der Software muß die Spezifikation in mehr oder weniger großen Schritten in den exekutierbaren und verifizierten Code umgesetzt werden. Formale Spezifikationen, eben weil sie formal sind, lassen gewisse automatisierte, interne Konsistenzprüfungen zu. Ein Beispiel ist die automatische Typenüberprüfung. Eine Hauptfrage ist natürlich, ob eine auf Grund einer formalen Spezifikation entwickelte Implementierung diese Spezifikation tatsächliche erfüllt. Idealerweise wäre eine solche Frage durch einen mathematischen Beweis zu erledigen. Dieser Weg kann aber aus praktischen Gründen derzeit nur selten begangen werden. Die Verifikation erfolgt daher meist durch Testen. Aber auch zum systematischen Testen kann die formale Spezifikation herangezogen werden [4, 5, 10]. Ist das spezifizierte System so geartet, daß es nur endlich viele Zustände annehmen kann, ist das sogenannte “model checking” eine Möglichkeit. Model-checking ist ein automatischer Prozeß, der ein System vollständig testet, indem alle möglichen Zustände in Betracht gezogen werden. Ob model checking angewandt werden kann, hängt von der Anzahl der möglichen Zustände des Systems ab. Ist model-checking nicht sinnvoll, muß man auf einen vollständigen Test verzichten. Man kann aber wenigstens versuchen auf der Basis der formalen Spezifikation für jede Fallunterscheidung, jeden Fall mit wenigsten einem Testbeispiel abzudecken. Die IFAD VDM-SL Toolbox bietet noch eine weitere Möglichkeit, die sogenannte Animation. Wenn in der Spezifikation gewisse implizite Formen der Definition vermieden werden, kann eine Spezifikation direkt interpretiert und “getestet” werden. Manchmal spricht man auch von “rapid prototyping”. Damit kann mit dem System experimentiert werden oder es kann (dem Kunden) demonstriert werden, bevor die eigentliche Implementierung erstellt ist. Werkzeuge: Einer der Gründe warum die Akzeptanz von Formalen Methoden in den letzten Jahren stieg, ist die Verfügbarkeit von Werkzeugen. Folgende Werkzeuge werden von uns verwendet: • IFAD VDMTools [24, 14] • Theorem Prover – PVS [35] – Isabelle [37] • FDR Model-Checker [36] 7
Seite 1 und 2: Formale Methoden in der Praxis 1.
Seite 3 und 4: sqrt (x : R) s : R pre x ≥ 0 post
Seite 5: 2.2.3 Explizite Definitionen Im Geg
Seite 9 und 10: 25 20 2 Ambiguous, contradictiory o
Seite 11 und 12: 3.2 Internationale Projekte Interna
Seite 13 und 14: [10] Jeremy Dick and Alain Faivre.

Formale Methoden in der Praxis - Institute of Software Technology

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?