第4章 形式化说明技术课件.ppt

《第4章 形式化说明技术课件.ppt》由会员分享，可在线阅读，更多相关《第4章 形式化说明技术课件.ppt（72页珍藏版）》请在三一办公上搜索。

1、第4章 形式化说明技术,前言4.1 概述4.2 有穷状态机4.3 Petri网4.4 Z语言4.5 小结,形式化说明技术=形式化方法，概念等同。,软件生命周期包括哪几个阶段？,可行性研究,需求分析,总体设计,详细设计,编码和单元测试,软件维护,需求规格说明书,总体设计规格说明书,详细设计规格说明书,系统规格说明书,描述“系统规格说明书”的方法，有哪些？,综合测试,描述“系统规格说明书”的3种方法,按照形式化的程度,非形式化方法,形式化方法,半形式化方法,例如：自然语言，是典型的非形式化方法,例如：数据流图(ch2)、实体-联系图(ch3)，是典型的半形式化方法,例如：有穷状态机、Petri网、

2、Z语言，是典型的形式化方法,给出定义,非形式化方法,形式化方法,半形式化方法,形式化方法课本定义,非数学方法,半数学方法,数学方法,二义性 准确性,给出3种方法的通俗定义,用非数学方法描述系统规格说明书的方法,用数学方法描述系统规格说明书的方法,用半数学方法描述系统规格说明书的方法,形式化方法课本的定义所谓形式化方法，是描述系统性质的基于数学的技术（如：集合论、函数、数理逻辑），也就是说，如果一种方法有坚实的数学基础，那么它就是形式化的。实质上与上面的通俗定义是一样的。,第4章 形式化说明技术,前言4.1 概述4.2 有穷状态机4.3 Petri网4.4 Z语言4.5 小结,用自然语言（典型的

3、非形式化方法）书写的系统规格说明书，可能存在矛盾、二义性、含糊性、不完整性及抽象层次混乱等问题。,4.1 概述 4.1.1 非形式化方法的缺点,矛盾是指一组相互冲突的陈述。,矛盾是指一组相互冲突的陈述。（不同系统分析员定义范围不同）二义性是指读者可以用不同方式理解的陈述。含糊性，例如：这样的需求：“系统界面应该是对用户友好的。”实际上，这样笼统的陈述并没有给出任何有用的信息。不完整性可能是在系统规格说明中最常遇到的问题之一。（如规格中没有考虑登录失败的转向的页面，即考虑问题不全面）抽象层次混乱是指在非常抽象的陈述中混进了一些关于细节的低层次陈述。（总体设计中混入了详细设计，分不清他们）,4.1

4、.2 形式化方法的优点,人在理解用自然语言描述的系统规格说明时，容易产生二义性。为了克服非形式化方法的缺点，人们把数学引入软件开发过程，创造了基于数学的形式化方法。运用形式化方法描述系统规格说明具有如下优点：（1）因数学的严谨性和准确性可克服二义性，能够简洁准确地描述系统规格说明；（2）可以在不同的软件生命周期的各阶段之间平滑地过渡（3）提供了高层确认手段，如可以证明设计是否符合规格说明。,4.1.2 形式化方法的优点,4.1.3 应用形式化方法的准则,人们对形式化方法的看法并不一致。形式化方法对某些软件工程师很有吸引力，其拥护者甚至宣称这种方法可以引发软件开发方法的革命；另一些人则对把数学引

5、入软件开发过程持怀疑甚至反对的态度。编者认为，对形式化方法也应该“一分为二”，既不要过分夸大它的优点也不要一概排斥。为了更好地发挥这种方法的长处，下面给出应用形式化方法的几条准则，供读者在实际工作中使用。,4.1.3 应用形式化方法的准则,(1)应该选用适当的表示方法。（系统性质不同，FSM、Petri网）(2)应该形式化，但不要过分形式化。（关键 界面）(3)应该估算成本。（培训）(4)应该有形式化方法顾问随时提供咨询。(开发人员不熟悉形式化方法中使用的数学和逻辑，且没有受过专业的训练)(5)不应该放弃传统的开发方法。（集成 取长补短）(6)应该建立详尽的文档。（帮助开发人员和客户理解系统）

6、(7)不应该放弃质量标准。(应用形式化方法有助于开发出高质量的软件，但不能保证软件的正确性，即描述不符客户需求，无法验证正确性)(8)不应该盲目依赖形式化方法。（无法验证需求是否满足客户要求）(9)应该测试、测试再测试。（同上）(10)应该重用。（降低成本 提高质量 提高开发速度）,4.2 有穷状态机,4.1.3 应用形式化方法的准则,第4章 形式化说明技术,前言4.1 概述4.2 有穷状态机4.3 Petri网4.4 Z语言4.5 小结,下面通过一个简单例子介绍有穷状态机的基本概念。一个保险箱上装了一个复合锁，锁有三个位置，分别标记为1、2、3，转盘可向左(L)或向右(R)转动。这样，在任意

7、时刻转盘都有6种可能的运动，即1L、1R、2L、2R、3L和3R。保险箱的组合密码是1L、3R、2L，转盘的任何其他运动都将引起报警。图4.1描绘了保险箱的状态转换情况。,4.2 有穷状态机（4.2.1 FSM、4.2.2 EFSM）4.2.1 概念,图4.1 保险箱的状态转换图,状态,事件/输入,图4.1是一个有穷状态机的状态转换图。状态转换并不一定要用图形方式描述，表4.1的表格形式也可以表达同样的信息。,转换函数：当前状态+事件/输入 下个状态,从上面这个简单例子可以看出，一个有穷状态机包括下述5个部分：状态集J、输入集K、由当前状态和当前输入确定下一个状态(次态)的转换函数T、初始态S

8、和终态集F。对于保险箱的例子，相应的有穷状态机的各部分如下。状态集J：保险箱锁定，A，B，保险箱解锁，报警。输入集K：1L，1R，2L，2R，3L，3R。转换函数T：如表4.1所示。（当前状态+事件/输入 下个状态）初始态S：保险箱锁定。终态集F：保险箱解锁，报警。,如果使用更形式化的术语，一个有穷状态机可以表示为一个5元组(J，K，T，S，F)，其中：J是一个有穷的非空状态集；K是一个有穷的非空输入集；T是一个从(J-F)K到J的转换函数；SJ，是一个初始状态；F J，是终态集。,有穷状态机应用得非常广泛。该方法主要用于在系统规格说明书中描述系统的状态转换。例如：上面所讲的保险箱的例子，即用

9、FSM描述了保险箱系统的状态转换。但是，对于一些复杂的系统，FSM难以描述清楚系统规格说明书中的状态转换。例：当前状态：某登录页面+事件：点登录按钮 下一状态：登录后的主页,为了满足复杂系统的规格说明中的状态转换的描述，需要对有穷状态机做一个很有用的扩展，即在前述的5元组中加入第6个组件谓词集P，从而把有穷状态机扩展为一个6元组，即EFSM。转换函数T现在是一个从(J-F)KP到J的函数。现在的转换规则形式如下：当前状态+事件+谓词 下个状态。（上述即是EFSM定义）,为了具体说明怎样用EFSM表达系统的规格说明，现在用这种技术给出大家熟悉的电梯系统的规格说明。首先给出用自然语言描述的对电梯系

10、统的需求：在一幢m层的大厦中需要一套控制n部电梯的产品，要求这n部电梯按照需求R1，R2和R3在楼层间移动。R1：每部电梯内有m个按钮，每个按钮代表一个楼层。当按下一个按钮时该按钮指示灯亮，同时电梯驶向相应的楼层，到达按钮指定的楼层时指示灯熄灭。,4.2.2 例子,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,R2：除了大厦的最低层和最高层之外，每层楼都有两个按钮分别请求电梯上行和下行。这两个按钮之一被按下时相应的指示灯亮，当电梯到达此楼层时灯熄灭，电梯向要求的方向移动。R3：当对电梯没有请求时，它关门并停在当前楼层。现在使用一个扩展的有穷状态机对本产品进行规格说明。这个问题中有两

11、个按钮集。n部电梯中的每一部都有m个按钮，一个按钮对应一个楼层。因为这mn个按钮都在电梯中，所以称它们为电梯按钮。此外，每层楼有两个按钮，一个请求向上，另一个请求向下，这些按钮称为楼层按钮。,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,电梯按钮的状态转换图如图4.2所示，即需求R1。令(e,f)表示电梯e内的按钮f，在某一时刻电梯按钮(e,f)有两个状态：发光(打开)和不发光(关闭)。设这2个状态表示如下：EBON(e,f)：电梯按钮(e,f)打开EBOFF(e,f)：电梯按钮(e,f)关闭如果电梯按钮(e,f)发光且电梯到达f层，该按钮将熄灭。相反如果按钮熄灭，则按下它时，按钮

12、将发光。上述描述中包含了两个事件，它们分别是：EBP(e,f)：电梯按钮(e,f)被按下EAF(e,f)：电梯e到达f层,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,图4.2 电梯按钮的状态转换图图4.3楼层按钮的状态转换图,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,blackboard,为了定义与这些事件和状态相联系的状态转换规则，需要一个谓词V(e,f)，它的含义如下：V(e,f)：电梯e停在f层如果电梯按钮(e,f)处于关闭状态当前状态，而且电梯按钮(e,f)被按下事件，而且电梯e不在f层谓词，则该电梯按钮打开发光下个状态。状态转换规则的形式化描述如下：EB

13、OFF(e,f)+EBP(e,f)+not V(e,f)EBON(e,f)反之，如果电梯到达f层，而且电梯按钮是打开的，于是它就会熄灭。这条转换规则可以形式化地表示为：EBON(e,f)+EAF(e,f)EBOFF(e,f),EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,接下来考虑楼层按钮，即需求R2。令FB(d,f)表示f层请求电梯向d方向运动的按钮，楼层按钮FB(d,f)的状态转换图如图4.3所示。楼层按钮的状态如下：FBON(d,f)：楼层按钮(d,f)打开FBOFF(d,f)：楼层按钮(d,f)关闭如果楼层按钮已经打开，而且一部电梯到达f层，则按钮关闭。反之，如果楼层按钮原

14、来是关闭的，被按下后该按钮将打开。这段叙述中包含了以下两个事件。,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,FBP(d,f)：楼层按钮(d,f)被按下EAF(1n,f)：电梯1或或n到达f层其中1n表示或为1或为2或为n。为了定义与这些事件和状态相联系的状态转换规则，同样也需要一个谓词，它是S(d,e,f)，它的定义如下。S(d,e,f)：电梯e停在f层并且移动方向由d确定为向上(d=U)或向下(d=D)或待定(d=N)。,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,使用谓词S(d,e,f)，形式化转换规则为：FBOFF(d,f)+FBP(d,f)+not S(d

15、,1n,f)FBON(d,f)FBON(d,f)+EAF(1n,f)+S(d,1n,f)FBOFF(d,f)其中，d=Uor D。也就是说，如果在f层请求电梯向d方向运动的楼层按钮处于关闭状态，现在该按钮被按下，并且当时没有正停在f层准备向d方向移动的电梯，则该楼层按钮打开。反之，如果楼层按钮已经打开，且至少有一部电梯到达f层，该部电梯将朝d方向运动，则按钮将关闭。,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,有穷状态机方法采用了一种简单的格式来描述规格说明：当前状态+事件+谓词 下个状态这种形式的规格说明易于书写、易于验证，而且可以比较容易地把它转变成设计或程序代码。事实上，可

16、以开发一个CASE工具把一个有穷状态机规格说明直接转变为源代码。维护可以通过重新转变来实现，也就是说，如果需要一个新的状态或事件，首先修改规格说明，然后直接由新的规格说明生成新版本的产品。,4.2.3 评价,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,有穷状态机方法比数据流图技术更精确，而且和它一样易于理解。不过，它也有缺点：在开发一个大系统时三元组(即状态、事件、谓词)的数量会迅速增长。此外，和数据流图方法一样，形式化的有穷状态机方法也没有处理定时需求。下节将介绍的Petri网技术，是一种可处理定时问题的形式化方法。,EFSM的状态转换函数：当前状态+事件+谓词=下一个状态,第

17、4章 形式化说明技术,前言4.1 概述4.2 有穷状态机4.3 Petri网4.4 Z语言4.5 小结,并发系统中遇到的一个主要问题是定时问题。这个问题可以表现为多种形式，如同步问题、竞争条件以及死锁问题。定时问题通常是由不好的设计或有错误的实现引起的，而这样的设计或实现通常又是由不好的规格说明造成的。可以应用Petri网技术设计系统规格说明，解决并发系统遇到的定时问题。,4.3 Petri网 4.3.1 概念,Petri网是由Carl Adam Petri发明的。最初只有自动化专家对Petri网感兴趣，后来Petri网在计算机科学中也得到广泛的应用，例如，在性能评价、操作系统和软件工程等领域

18、，Petri网应用得都比较广泛。特别是已经证明，用Petri网可以有效地描述并发活动。下面介绍3种Petri网：（1）最基本的Petri网；（2）带权标的Petri网；（3）带禁止线的Petri网。,Petri网包含4种元素：一组位置P（Place）、一组转换T（Transition）、输入函数I以及输出函数O。图4.5举例说明了Petri网的组成。图4.5 Petri网的组成,一组位置P为P1，P2，P3，P4，在图中用圆圈代表位置,位置P,输出函数O,转换T,输入函数I,（1）基本的Petri网,blackboard,一组位置P为P1，P2，P3，P4，在图中用圆圈代表位置。一组转换T为t

19、1，t2，在图中用短直线表示转换。两个用于转换的输入函数，用由位置指向转换的箭头表示，它们是：I(t1)=P2，P4I(t2)=P2两个用于转换的输出函数，用由转换指向位置的箭头表示，它们是：O(t1)=P1O(t2)=P3，P3,注意，输出函数O(t2)中有两个P3,（1）基本的Petri网,注意，输出函数O(t2)中有两个P3，是因为有两个箭头由t2指向P3。更形式化的Petri网结构，是一个四元组C=(P,T,I,O)。其中，P=P1，Pn是一个有穷位置集，n0。T=t1，tm是一个有穷转换集，m0，且T和P不相交。I：TP为输入函数，是由转换到位置无序单位组(bags)的映射。O：TP

20、为输出函数，是由转换到位置无序单位组的映射。,4.3.2 Petri网的动态转换,（1）基本的Petri网,Petri网的标记是在Petri网中权标(token)的分配。例如，在图4.6中有4个权标，其中一个在P1中，两个在P2中，P3中没有，还有一个在P4中。上述标记可以用向量(1，2，0，1)表示。由于P2和P4中有权标，因此t1启动(即被激发)。通常，当每个输入位置所拥有的权标数大于等于从该位置到转换的线数时，就允许转换。当t1被激发时，P2和P4上各有一个权标被移出，而P1上则增加一个权标。Petri网中权标总数不是固定的，在这个例子中两个权标被移出，而P1上只能增加一个权标。,（2）

21、带权标的Petri网,在图4.6中P2上有权标，因此t2也可以被激发。当t2被激发时，P2上将移走一个权标，而P3上新增加两个权标。Petri网具有非确定性，也就是说，如果数个转换都达到了激发条件，则其中任意一个都可以被激发。图4.6所示Petri网的标记为(1，2，0，1)，t1和t2都可以被激发。假设t1被激发了，则结果如图4.7所示，标记为(2，1，0，0)。此时，只有t2可以被激发。如果t2也被激发了，则权标从P2中移出，两个新权标被放在P3上，结果如图4.8所示，标记为(2，0，2，0)。,（2）带权标的Petri网,图4.6 带标记的Petri网,（2）带权标的Petri网,图4.

22、7 图4.6的Petri网在转换 t1被激发后的情况,（2）带权标的Petri网,图4.8 图4.7的Petri网在转换 t2被激发后的情况,（2）带权标的Petri网,更形式化地说，Petri网C=(P，T，I，O)中的标记M，是由一组位置P到一组非负整数的映射：M：P0，1，2，这样，带有标记的Petri网成为一个五元组(P，T，I，O，M)。,（2）带权标的Petri网,图4.9 含禁止线的Petri网,（3）带禁止线的Petri网,禁止线（转换的输入线）,对Petri网的一个重要扩充是加入禁止线。如图4.9所示，禁止线是用一个小圆圈而不是用箭头标记的输入线。通常，当每个输入线上至少有一

23、个权标，而禁止线上没有权标的时候，相应的转换才是允许的。在图4.9中，P3上有一个权标而P2上没有权标，因此转换t1可以被激发。,（3）带禁止线的Petri网,现在把Petri网应用于上一节讨论过的电梯问题。当用Petri网表示电梯系统的规格说明时，每个楼层用一个位置Ff代表(1fm)，在Petri网中电梯是用一个权标代表的。在位置Ff上有权标，表示在楼层f上有电梯。1.电梯按钮（即需求R1）电梯问题的第一个需求R1描述了电梯按钮的行为，现在复述一下这个需求R1。,4.3.2 例子,blackboard,Petri网：五元组(P，T，I，O，M),需求R1：每部电梯有m个按钮，每层对应一个按钮

24、。当按下一个按钮时该按钮指示灯亮，指示电梯移往相应的楼层。当电梯到达指定的楼层时，按钮将熄灭。为了用Petri网表达电梯按钮的规格说明，在Petri网中还必须设置其他的位置。电梯中楼层f的按钮，在Petri网中用位置EBf表示(1fm)。在EBf上有一个权标，就表示电梯内楼层f的按钮被按下了。,Petri网：五元组(P，T，I，O，M),电梯按钮只有在第一次被按下时才会由暗变亮，以后再按它则只会被忽略。图4.10所示的Petri网准确地描述了电梯按钮的行为规律。首先，假设按钮没有发亮，显然在位置EBf上没有权标，从而在存在禁止线的情况下，转换“EBf被按下”是允许发生的。假设现在按下按钮，则转

25、换被激发并在EBf上放置了一个权标，如图4.10所示。以后不论再按下多少次按钮，禁止线与现有权标的组合都决定了转换“EBf被按下”不能再被激发了，因此，位置EBf上的权标数不会多于1。,Petri网：五元组(P，T，I，O，M),图4.10 Petri网表示的电梯按钮,blackboard,Petri网：五元组(P，T，I，O，M),假设电梯由g层驶向f层，因为电梯在g层，如图4.10所示，位置Fg上有一个权标。由于每条输入线上各有一个权标，转换“电梯在运行”被激发，从而EBf和Fg上的权标被移走，按钮EBf被关闭，在位置Ff上出现一个新权标，即转换的激发使电梯由g层驶到f层。事实上，电梯由g

26、层移到f层是需要时间的，为处理这个情况及其他类似的问题(例如，由于物理上的原因按钮被按下后不能马上发亮)，Petri网模型中必须加入时限。也就是说，在标准Petri网中转换是瞬时完成的，而在现实情况下就需要时间控制Petri网，以使转换与非零时间相联系。,Petri网：五元组(P，T，I，O，M),2.楼层按钮（即需求R2）在第二个需求R2中描述了楼层按钮的行为。需求R2：除了第一层与顶层之外，每个楼层都有两个按钮，一个要求电梯上行，另一个要求电梯下行。这些按钮在按下时发亮，当电梯到达该层并将向指定方向移动时，相应的按钮才会熄灭。在Petri网中楼层按钮用位置FBfu和FBfd表示，分别代表f

27、楼层请求电梯上行和下行的按钮。底层的按钮为FB1u，最高层的按钮为FBmd，中间每一层有两个按钮FBfu和FBfd(1fm)。图4.11所示的情况为电梯由g层驶向f层。,blackboard,Petri网：五元组(P，T，I，O，M),图4.11 Petri网表示楼层按钮,Petri网：五元组(P，T，I，O，M),最后，考虑第三需求R3。需求R3：当电梯没有收到请求时，它将停留在当前楼层并关门。这条需求很容易实现，如图4.11所示，当没有请求(FBfu和FBfd上无权标）时，任何一个转换“电梯在运行”都不能被激发。,Petri网：五元组(P，T，I，O，M),第4章 形式化说明技术,前言4.

28、1 概述4.2 有穷状态机4.3 Petri网4.4 Z语言4.5 小结,用Z语言描述的、最简单的形式化规格说明含有下述4个部分：1、给定集合。2、状态定义。3、初始状态。4、操作。,4.4 Z语言 4.4.1 简介,1.给定集合一个Z规格说明从一系列给定的初始化集合开始。电梯问题中有两个按钮集。n部电梯中的每一部都有m个按钮，一个按钮对应一个楼层。因为这mn个按钮都在电梯中，所以称它们为电梯按钮。此外，每层楼有两个按钮，一个请求向上，另一个请求向下，这些按钮称为楼层按钮。对于电梯问题，给定的初始化集合称为Button，即所有按钮的集合（即：电梯按钮楼层按钮）。(“类型”“集合”),2.状态定

29、义,“类型”“集合”的解释说明我们可以这么理解C语言中的int类型：int m；-216,-2,-1,0,1,2,216-1 m；即“类型”“集合”“变量”“集合中的一个元素”,步骤3.初始状态,2.状态定义一个Z规格说明由若干个“格(schema)”组成，每个格含有一组变量说明和一系列限定变量取值范围的谓词。例如，格S的格式如下图所示。（“格”可用来描述系统的状态和操作。）,Button_State,格的名称,说明部分,谓词部分,在电梯问题中，Button有4个子集（变量），即floor_buttons(楼层按钮的集合)、elevator_buttons(电梯按钮的集合)、buttons(电

30、梯问题中所有按钮的集合)以及pushed(所有被按的按钮的集合，即所有处于打开状态的按钮的集合)。图4.13描述了格Button_State，其中，符号P表示幂集(即给定集的所有子集的集合)。约束条件声明，floor_buttons集与elevator_buttons集不相交，而且它们共同组成buttons集(在下面的讨论中并不需要floor_buttons集和elevator_buttons集，把它们放于图4.13中只是用来说明Z格包含的内容)。,自定义类型的说明,说明部分,谓词部分,格的名称，此格用来描述系统的按钮状态,类型说明,集合Button的所有子集的集合,3.初始状态抽象的初始状态

31、是指系统第一次开启时的状态。对于电梯问题来说，抽象的初始状态为：Button_Init Button_Statepushed=等价于上式表示，当系统首次开启时pushed集为空，即所有按钮都处于关闭状态。4.操作如果一个原来处于关闭状态的按钮被按下，则该按钮开启，这个按钮就被添加到pushed集中。图4.14定义了操作Push_Button(按按钮)。,图4.14操作Push_Button的Z规格说明,Floor arrival,“？”表示输入变量“！”表示输出变量,“”表示格“Push_Button”调用格“Button_State”,等价于,说明部分,谓词部分,格的名称，此格用来描述系统的

32、按钮操作,button?必须是buttons的元素,如果button?未按下，则向pushed集中添加,操作的谓词部分，包含了一组调用操作的前置条件，以及操作完全结束后的后置条件。如果前置条件成立，则操作执行完成后可得到后置条件。,Z语言的实例：自动售货机.doc,说明部分,谓词部分,格的名称,下一页,Button_Init Button_Statepushed=等价于,定义为,Button_Init,pushed=,谓词部分,说明部分,返回,Button_State的说明部分,Button_State的谓词部分,返回,已经在许多软件开发项目中成功地运用了Z语言，目前，Z也许是应用得最广泛的形

33、式化语言，尤其是在大型项目中Z语言的优势更加明显。Z语言之所以会获得如此多的成功，主要有以下几个原因：(1)可以比较容易地发现用Z写的规格说明的错误，特别是在自己审查规格说明，及根据形式化的规格说明来审查设计与代码时，情况更是如此。(2)用Z写规格说明时，要求作者十分精确地使用Z说明符。由于对精确性的要求很高，从而和非形式化规格说明相比，减少了模糊性、不一致性和遗漏。,4.4.2 评价,(3)Z是一种形式化语言，在需要时开发者可以严格地验证规格说明的正确性。(4)虽然完全学会Z语言相当困难，但是，经验表明，只学过中学数学的软件开发人员仍然可以只用比较短的时间就学会编写Z规格说明，当然，这些人还

34、没有能力证明规格说明的结果是否正确。(5)使用Z语言可以降低软件开发费用。虽然用Z写规格说明所需用的时间比使用非形式化技术要多，但开发过程所需要的总时间却减少了。,(6)虽然用户无法理解用Z写的规格说明，但是，可以依据Z规格说明用自然语言重写规格说明。经验证明，这样得到的自然语言规格说明，比直接用自然语言写出的非形式化规格说明更清楚、更正确。使用形式化规格说明是全球的总趋势，过去，主要是欧洲习惯于使用形式化规格说明技术，现在越来越多的美国公司也开始使用形式化规格说明技术。,第4章 形式化说明技术,前言4.1 概述4.2 有穷状态机4.3 Petri网4.4 Z语言4.5 小结,基于数学的形式化

35、规格说明技术，目前还没有在软件产业界广泛应用，但是，与欠形式化的方法比较起来，它确实有实质性的优点：形式化的规格说明可以用数学方法研究、验证(例如，一个正确的程序可以被证明满足其规格说明，两个规格说明可以被证明是等价的，规格说明中存在的某些形式的不完整性和不一致性可以被自动地检测出来)。此外，形式化的规格说明消除了二义性，而且它鼓励软件开发者在软件工程过程的早期阶段使用更严格的方法，从而可以减少差错。,4.5 小结,当然，形式化方法也有缺点：大多数形式化的规格说明主要关注于系统的功能和数据，而问题的时序、控制和行为等方面的需求却更难于表示。此外，形式化方法比欠形式化方法更难学习，不仅在培训阶段要花大量的投资，而且对某些软件工程师来说，它代表了一种“文化冲击”。把形式化方法和欠形式化方法有机地结合起来，使它们取长补短，应该能获得更理想的效果。本章讲述的应用形式化方法的准则(见4.1.3节)，对于读者今后在实际工作中更好地利用形式化方法，可能是有帮助的。,