第4章形式化说明技术应用

1、第4章形式化说明技术应用22022-2-16w按照形式化的程度划分软件工程使用的方法：按照形式化的程度划分软件工程使用的方法：n非形式化非形式化n半形式化半形式化n形式化形式化w形式化方法定义：形式化方法定义： 是描述系统性质的、基于数学的技术。是描述系统性质的、基于数学的技术。32022-2-16优点优点缺点缺点形式形式化方化方法法形式化的规格说明可以用数学方形式化的规格说明可以用数学方法研究、验证。法研究、验证。消除了二义性，鼓励在软件工程消除了二义性，鼓励在软件工程过程的早期阶段使用更严格的方过程的早期阶段使用更严格的方法，从而可以减少差错。法，从而可以减少差错。主要关注于系统的主要关注

2、于系统的功能和数据，而问功能和数据，而问题的时序、控制和题的时序、控制和行为等方面的需求行为等方面的需求却更难于表示。却更难于表示。复杂难学习。复杂难学习。欠形欠形式化式化方法方法简单易学。简单易学。可能存在矛盾、二可能存在矛盾、二义性、含糊性、不义性、含糊性、不完整性及等问题。完整性及等问题。42022-2-16w应该选用适当的表示方法应该选用适当的表示方法w应该形式化，但不要过分形式化应该形式化，但不要过分形式化w应该估算成本应该估算成本w应该有形式化方法顾问随时提供咨询应该有形式化方法顾问随时提供咨询w不应该放弃传统的开发方法不应该放弃传统的开发方法w应该建立详尽的文档应该建立详尽的文档

3、w不应该放弃质量标准不应该放弃质量标准w不应该盲目依赖形式化方法不应该盲目依赖形式化方法w应该测试、测试再测试应该测试、测试再测试w应该重用应该重用52022-2-16例：一个保险箱上装了一个复合锁，锁有三个位置，分别标例：一个保险箱上装了一个复合锁，锁有三个位置，分别标记为记为1、2、3，转盘可向左，转盘可向左(L)或向右或向右(R)转动。这样，在转动。这样，在任意时刻转盘都有任意时刻转盘都有6种可能的运动，即种可能的运动，即1L、1R、2L、2R、3L和和3R。保险箱的组合密码是。保险箱的组合密码是1L、3R、2L，转盘的任何，转盘的任何其他运动都将引起报警。其他运动都将引起报警。保险箱的

4、状态转换图保险箱的状态转换图62022-2-16 有穷状态机的组成包括有穷状态机的组成包括5个部分：状态集个部分：状态集J、输入集、输入集K、由当前状态和当前输入确定下一个状态、由当前状态和当前输入确定下一个状态(次态次态)的转换函数的转换函数T、初始态、初始态S和终态集和终态集F。保险箱的有穷状态机的各部分如下：保险箱的有穷状态机的各部分如下：状态集状态集J：保险箱锁定，：保险箱锁定，A，B，保险箱解锁，报，保险箱解锁，报警。警。输入集输入集K：1L，1R，2L，2R，3L，3R。转换函数转换函数T：见书：见书P68表表4.1所示。所示。初始态初始态S：保险箱锁定。：保险箱锁定。终态集终态集

5、F：保险箱解锁，报警。：保险箱解锁，报警。72022-2-16使用更形式化的术语，一个有穷状态机可以表示使用更形式化的术语，一个有穷状态机可以表示为一个为一个5元组元组(J，K，T，S，F)，其中：，其中：J是一个有穷的非空状态集；是一个有穷的非空状态集；K是一个有穷的非空输入集；是一个有穷的非空输入集；T是一个从是一个从(J-F)K到到J的转换函数；的转换函数；SJ，是一个初始状态；，是一个初始状态；FJ，是终态集。，是终态集。 82022-2-16 Petri网简称网简称PNG (Petri Net Graph) Petri网已广泛地应用于硬件与软件系统的开发网已广泛地应用于硬件与软件系统

6、的开发中，它适用于描述与分析相互独立、协同操作的中，它适用于描述与分析相互独立、协同操作的处理系统，也就是并发执行的处理系统。处理系统，也就是并发执行的处理系统。 Petri网包含网包含4种元素：种元素：n一组位置一组位置P （圆圈）（圆圈） ：表示系统的状态：表示系统的状态n一组转换一组转换T （短直线）（短直线） ：表示系统中的事件：表示系统中的事件n输入函数输入函数I （有向边）（有向边） ：表示对转换的输入：表示对转换的输入n输出函数输出函数O （有向边）（有向边） ：表示由转换的输出：表示由转换的输出92022-2-16Petri网的组成示例：网的组成示例：102022-2-16一组

7、位置一组位置P为为P1，P2，P3，P4一组转换一组转换T为为t1，t2两个用于转换的输入函数：两个用于转换的输入函数：I(t1)=P2，P4I(t2)=P2两个用于转换的输出函数：两个用于转换的输出函数：O(t1)=P1O(t2)=P3，P3112022-2-16更形式化的更形式化的Petri网结构，是一个四元组网结构，是一个四元组C=(P,T,I,O)。其中，其中，P=P1，Pn是一个有穷位置集，是一个有穷位置集，n0。T=t1，tm是一个有穷转换集，是一个有穷转换集，m0，且且T和和P不相交。不相交。I：TP为输入函数，是由转换到位置无序单位为输入函数，是由转换到位置无序单位组的映射。组

8、的映射。O：TP为输出函数，是由转换到位置无序单位为输出函数，是由转换到位置无序单位组的映射。组的映射。一个无序单位组或多重组是允许一个元素有多个实一个无序单位组或多重组是允许一个元素有多个实例的广义集。例的广义集。122022-2-16带标记的带标记的Petri网：网：Petri网的标记是在网的标记是在Petri网中权网中权标标(token)的分配。的分配。NoImage权标：或叫令牌权标：或叫令牌(token)w例：例：2022-2-1613NoImage转换转换 t2被激发后的情况：被激发后的情况：NoImage转换转换 t1被激发后的情况：被激发后的情况：142022-2-16例：处理

9、两个进程的同步问题例：处理两个进程的同步问题152022-2-16162022-2-16w例：例：含禁止线的含禁止线的Petri网：当每个输入线上至少有一网：当每个输入线上至少有一个权标，而禁止线上没有权标的时候，相应的转个权标，而禁止线上没有权标的时候，相应的转换才是允许的。换才是允许的。NoImage转换转换t1可以被激发可以被激发172022-2-16 用用Z语言描述的、最简单的形式化规格说明含有语言描述的、最简单的形式化规格说明含有4个部分：个部分：n给定的集合、数据类型及常数给定的集合、数据类型及常数n状态定义状态定义n初始状态初始状态n操作操作182022-2-16 1. 给定的集

10、合给定的集合 一个一个Z规格说明从一系列给定的初始化集合（不规格说明从一系列给定的初始化集合（不需要详细定义的集合）开始。需要详细定义的集合）开始。 这种集合用带方括号的形式表示。这种集合用带方括号的形式表示。 例：对于电梯问题，给定的初始化集合称为例：对于电梯问题，给定的初始化集合称为Button，即所有按钮的集合：，即所有按钮的集合： Button 192022-2-16 2. 状态定义状态定义 一个一个Z规格说明由若干个规格说明由若干个“格格(schema)”组成，组成，每个格含有一组变量说明和一系列限定变量取值每个格含有一组变量说明和一系列限定变量取值范围的谓词。范围的谓词。 例：例：202022-2-164. 操作操作例：如果一个原来处于关闭状态的按钮被按下，则例：如果一个原来处于关闭状态的按钮被按下，则该按钮开启，这个按钮就被添加到该按钮开启，这个按钮就被添加到pushed