形式化方法数据库原理.ppt

《形式化方法数据库原理.ppt》由会员分享，可在线阅读，更多相关《形式化方法数据库原理.ppt（57页珍藏版）》请在三一办公上搜索。

1、形式化说明技术,主讲人：陈云贵Tel：Email：,教学目标 了解形式化说明技术，了解有穷状态机的概念，了解Petri网的概念。教学重点 形式化说明技术的积极意义。教学难点 有穷状态机、Petri网的概念和使用。,第4章 形式化说明技术,第4章 形式化说明技术,4.1 概述4.2 有穷状态机4.3 Petri网4.4 Z语言,4.1 概述,按照形式化的程度，可以把软件工程使用的方法划分成3类：非形式化、半形式化、形式化。用自然语言描述需求规格说明，是典型的非形式化方法。用数据流图或实体-联系图建立模型，是典型的半形式化方法。所谓形式化方法，是描述系统性质的基于数学的技术，也就是说，如果一种方法

2、有坚实的数学基础，那么它就是形式化的。,形式化方法定义,如果一个方法有良好的数学基础，那么它就是形式化的，典型地以形式化规约语言给出。这个基础提供一系列精确定义的概念，如：不同的形式化方法的数学基础是不同的，有的以集合论和一阶谓词演算为基础（如Z和 VDM），有的则以时态逻辑为基础。形式化方法需要形式化规约说明语言的支持。,用自然语言书写的系统规格说明书，可能存在矛盾、二义性、含糊性、不完整性及抽象层次混乱等问题。所谓矛盾是指一组相互冲突的陈述。二义性是指读者可以用不同方式理解的陈述。,4.1.1 非形式化方法的缺点,为了克服非形式化方法的缺点，人们把数学引入软件开发过程，创造了基于数学的形式

3、化方法。在开发大型软件系统的过程中应用数学，能够带来下述的几个优点：能够简洁准确地描述物理现象、对象或动作的结果，因此是理想的建模工具。数学特别适合于表示状态，也就是表示“做什么”，数学比自然语言更适于描述详细的需求。,形式化方法的优点,在软件开发过程中使用数学的另一个优点是，可以在不同的软件工程活动之间平滑地过渡。不仅功能规格说明，而且系统设计也可以用数学表达，当然，程序代码也是一种数学符号(虽然是一种相当繁琐、冗长的数学符号)。数学作为软件开发工具的最后一个优点是，它提供了高层确认的手段。可以使用数学方法证明，设计符合规格说明，程序代码正确地实现了设计结果。,形式化方法的优点,对形式化方法

4、应该“一分为二”，既不要过分夸大它的优点也不要一概排斥。下面给出应用形式化方法的几条准则：应该选用适当的表示方法通常，一种规格说明技术只能用自然的方式说明某一类概念，如果用这种技术描述其不适于描述的概念，则不仅工作量大而且描述方式也很复杂。因此，应该仔细选择一种适用于当前项目的形式化说明技术。,4.1.3 应用形式化方法的准则,(2)应该形式化，但不要过分形式化目前的形式化技术还不适于描述系统的每个方面。带使用之，有助于防止含糊和误解。(3)应该估算成本为了使用形式化方法，通常需要事先进行大量的培训。最好预先估算所需的成本并编入预算。(4)应该有形式化方法顾问随时提供咨询绝大多数软件工程师对形

5、式化方法中使用的数学和逻辑并不很熟悉，而且没受过使用形式化方法的专业训练，因此，需要专家指导和培训。,4.1.3 应用形式化方法的准则,(5)不应该放弃传统的方法把形式化方法和结构化方法或面向对象方法集成起来是可能的，而且由于取长补短往往能获得很好的效果。(6)应该建立详尽的文档建议使用自然语言注释形式化的规格说明书，以帮助用户和维护人员理解系统。,4.1.3 应用形式化方法的准则,不应该放弃质量标准 不应该盲目依赖形式化方法 应该测试、测试再测试应该重用即使采用了形式化方法，软件重用仍然是降低软件成本和提高软件质量的惟一合理的方法。而且用形式化方法说明的软件构件具有清晰定义的功能和接口，使得

6、它们有更好的可重用性。,4.1.3 应用形式化方法的准则,4.2 有穷状态机,4.2.1 概念 有穷状态机可以准确描述一个系统，是表达规格说明的一种形式化方法。通过一个简单例子介绍有穷状态机的基本概念：一个保险箱上装了一个复合锁，锁有三个位置，分别标记为1、2、3，转盘可向左(L)或向右(R)转动。这样，在任意时刻转盘都有6种可能的运动，即1L、1R、2L、2R、3L和3R。保险箱的组合密码是1L、3R、2L，转盘的任何其他运动都将引起报警。如图描绘了保险箱的状态转换情况。,4.2.1 概念,上图是一个有穷状态机的状态转换图。状态转换并不一定要用图形方式描述，如表所示，表格形式也可以表达同样的

7、信息。,从上面这个简单例子可以看出，一个有穷状态机包括下述5个部分：状态集J：保险箱锁定，A，B，保险箱解锁，报警输入集K：1L，1R，2L，2R，3L，3R转换函数T:如表4.1所示初始态S:保险箱锁定终态集F:保险集解锁，报警,4.2.1 概念,一有穷状态机可表示为一个5元组(J,K,T,S,F):J是一个有穷的非空状态集；K是一个有穷的非空输入集；T是一个从(J-F)K到J的转换函数（非F到J）SJ，是一个初始状态；F J，是终态集。,4.2.1 概念,有穷状态机的概念在计算机系统中应用得非常广泛。例如:菜单驱动的用户界面。一个菜单的显示和一个状态相对应，键盘输入或用鼠标选择一个图标是使

8、系统进入其他状态的一个事件。状态的每个转换都具有下面的形式：当前状态菜单+事件所选择的项下个状态。,4.2.1 概念,对一个系统进行规格说明，通常都需要对有穷状态机做一个很有用的扩展:即在前述的5元组中加入第6个组件谓词集P，从而把有穷状态机扩展为一个6元组，其中每个谓词都是系统全局状态Y的函数。转换函数T现在是一个从(J-F)KP到J的函数。现在的转换规则形式如下：当前状态菜单+事件所选择的项+谓词下个状态。,4.2.1 概念,用这种技术给出大家熟悉的电梯系统的规格说明。首先给出用自然语言描述的对电梯系统的需求：在一幢m层的大厦中需要一套控制n部电梯的产品，要求这n部电梯按照约束条件C1，C

9、2和C3在楼层间移动。C1：每部电梯内有m个按钮，每个按钮代表一个楼层。当按下一个按钮时该按钮指示灯亮，同时电梯驶向相应的楼层，到达按钮指定的楼层时指示灯熄灭。,4.2.2 例子,C2：除了大厦的最低层和最高层之外，每层楼都有两个按钮分别请求电梯上行和下行。这两个按钮之一被按下时相应的指示灯亮，当电梯到达此楼层时灯熄灭，电梯向要求的方向移动。C3：当对电梯没有请求时，它关门并停在当前楼层。现在使用一个扩展的有穷状态机对本产品进行规格说明。,4.2.2 例子,这个问题中有两个按钮集。n部电梯中的每一部都有m个按钮，一个按钮对应一个楼层，称它们为电梯按钮。每层楼有两个按钮，一个请求向上，另一个请求

10、向下，这些按钮称为楼层按钮。,4.2.2 例子,令EB(e,f)表示按下电梯e内的按钮并请求到f层去。EB(e,f)有两个状态：EBON(e,f)：电梯按钮(e,f)打开EBOFF(e,f)：电梯按钮(e,f)关闭EBP(e,f)：电梯按钮(e,f)被按下EAF(e,f)：电梯e到达f层,4.2.2 例子,图4.2 电梯按钮的状态转换图,C1：每部电梯内有m个按钮，每个按钮代表一个楼层。当按下一个按钮时该按钮指示灯亮，同时电梯驶向相应的楼层，到达按钮指定的楼层时指示灯熄灭。,为了定义与这些事件和状态相联系的状态转换规则，需要一个谓词V(e,f)：V(e,f)：电梯e停在f层则状态转换规则的形式

11、化描述如下：EBOFF(e,f)+EBP(e,f)+not V(e,f)EBON(e,f)反之：EBON(e,f)+EAF(e,f)EBOFF(e,f),4.2.2 例子,接下来考虑楼层按钮:令FB(d,f)表示f层请求电梯向d方向运动的按钮，楼层按钮的状态如下：FBON(d,f)：楼层按钮(d,f)打开FBOFF(d,f)：楼层按钮(d,f)关闭FBP(d,f)：楼层按钮(d,f)被按下EAF(1n,f)：电梯1或或n到达f层其中1n表示或为1或为2或为n。,4.2.2 例子,C2：除了大厦的最低层和最高层之外，每层楼都有两个按钮分别请求电梯上行和下行。这两个按钮之一被按下时相应的指示灯亮，

12、当电梯到达此楼层时灯熄灭，电梯向要求的方向移动。,为了定义与这些事件和状态相联系的状态转换规则，同样也需要一个谓词，它是S(d,e,f)，它的定义如下:S(d,e,f)：电梯e停在f层并且移动方向由d确定为向上(d=U)或向下(d=D)或待定(d=N)。,4.2.2 例子,使用谓词S(d,e,f)，形式化转换规则为：FBOFF(d,f)+FBP(d,f)+notS(d,1n,f)FBON(d,f)FBON(d,f)+EAF(1n,f)+S(d,1n,f)FBOFF(d,f)其中，d=U or D。也就是说，如果在f层请求电梯向d方向运动的楼层按钮处于关闭状态，现在该按钮被按下，并且当时没有正停

13、在f层准备向d方向移动的电梯，则该楼层按钮打开。反之，如果楼层按钮已经打开，且至少有一部电梯到达f层，该部电梯将朝d方向运动，则按钮将关闭。,4.2.2 例子,在讨论电梯按钮状态转换规则时定义的谓词V(e,f)，可以用谓词S(d,e,f)重新定义如下：V(e,f)=S(U,e,f)or S(D,e,f)or S(N,e,f)讨论电梯的状态及其转换规则:一个电梯状态实质上包含许多子状态,下面定义电梯的3个状态：M(d,e,f)：电梯e正沿d方向移动，即将到达的是第f层S(d,e,f)：电梯e停在f层，将朝d方向移动(尚未关门)W(e,f)：电梯e在f层等待(已关门),4.2.2 例子,图4.4是

14、电梯的状态转换图。3个电梯停止状态S(U,e,f)、S(N,e,f)和S(D,e,f)已被组合成一个大的状态，这样做的目的是减少状态总数以简化流图。图4.4中包含了下述3个可触发状态发生改变的事件。DC(e,f)：电梯e在楼层f关上门ST(e,f)：电梯e靠近f层时触发传感器，电梯控制器决定在当前楼层电梯是否停下RL：电梯按钮或楼层按钮被按下进入打开状态，登录需求,4.2.2 例子,4.2.2 例子,图4.4 电梯的状态转换图,最后，给出电梯的状态转换规则。为简单起见，这里给出的规则仅发生在关门之时。S(U,e,f)+DC(e,f)M(U,e,f+1)S(D,e,f)+DC(e,f)M(D,e

15、,f-1)S(N,e,f)+DC(e,f)W(e,f)第一条规则表明，如果电梯e停在f层准备向上移动，且门已经关闭，则电梯将向上一楼层移动。第二条和第三条规则，分别对应于电梯即将下降或者没有待处理的请求的情况。,4.2.2 例子,有穷状态机方法描述规格说明：当前状态+事件+谓词下个状态优点：规格说明易于书写、易于验证，而且可以比较容易地把它转变成设计或程序代码。有穷状态机方法比数据流图技术更精确，而且和它一样易于理解。缺点：在开发一个大系统时三元组(即状态、事件、谓词)的数量会迅速增长。此外，和数据流图方法一样，形式化的有穷状态机方法也没有处理定时需求。,4.2.3 评价,4.3 Petri网

16、,4.3.1 概念并发系统中需要解决的主要问题是定时问题：包括同步问题、竞争条件以及死锁问题。Petri网技术可用于确定系统中隐含的定时问题。Petri网技术在计算机领域应用较多，已经证明，用Petri网可以有效地描述并发活动。,Petri网包含4种元素：一组位置P、一组转换T、输入函数I及输出函数O。如图举例说明了Petri网的组成：一组位置P为P1，P2，P3，P4：用圆圈代表；一组转换T为t1，t2：图中用短直线表示转换；两个用于转换的输入函数，用由位置指向转换的箭头表示，它们是：I(t1)=P2，P4 I(t2)=P2两个用于转换的输出函数，用由转换指向位置的箭头表示，它们是：O(t1

17、)=P1O(t2)=P3，P3,4.3.1 概念,Petri网是一个四元组C=(P，T，I，O)，其中：P=P1,P2,Pn是一个有穷位置集，n0；T=(t1,tm)是一个有穷转换集，m0,且T和P不相交；I:PT为输入函数，是由位置到转换无序单位组的映射；O:TP为输出函数，是由转换到位置无序单位组的映射。,4.3.1 概念,Petri网的标记是在Petri网中权标(token)的分配。如图中有4个权标：一个在P1中，两个在P2中，P3中没有，还有一个在P4中。上述标记可以用向量(1，2，0，1)表示。由于P2和P4中有权标，因此t1启动(即被激发)。通常，当每个输入位置所拥有的权标数大于等

18、于从该位置到转换的线数时，就允许转换。当t1被激发时，P2和P4上各有一个权标被移出，而P1上则增加一个权标（2，1，0，0）。Petri网中权标总数不是固定的，在这个例子中两个权标被移出，而P1上只能增加一个权标。,4.3.1 概念,如图4.6，P2上有权标，因此t2也可以被激发。当t2被激发时，P2上将移走一个权标，而P3上新增加两个权标（1，1，2，1）。Petri网具有非确定性，如果数个转换都达到了激发条件，则其中任意一个都可以被激发。图4.6所示Petri网的标记为(1，2，0，1)，t1和t2都可以被激发。假设t1被激发了，则结果如图4.7所示，标记为(2，1，0，0)。此时，只有

19、t2可以被激发。如果t2也被激发了，则权标从P2中移出，两个新权标被放在P3上，结果如图4.8所示，标记为(2，0，2，0)。,4.3.1 概念,带有标记的Petri网成为一个五元组(P，T，I，O，M),其中标记M，是由一组位置P到一组非负整数的映射：M：P0，1，2，对Petri网的一个重要扩充是加入禁止线禁止线是用一个小圆圈而不是用箭头标记的输入线，如图所示。通常，当每个输入线上至少有一个权标，而禁止线上没有权标的时候，相应的转换才是允许的。图中P3上有一个权标而P2上没有权标，因此转换t1可以被激发。,4.3.1 概念,把Petri网应用于电梯问题。当用Petri网表示电梯系统的规格说

20、明时，每个楼层用一个位置Ff代表(1fm)，在Petri网中电梯是用一个权标代表的。在位置Ff上有权标，表示在楼层f上有电梯。1.电梯按钮第一个约束条件描述了电梯按钮的行为。C1：每部电梯有m个按钮，每层对应一个按钮。当按下一个按钮时该按钮指示灯亮，指示电梯移往相应的楼层。当电梯到达指定的楼层时，按钮将熄灭。,4.3.2 例子,为了用Petri网表达电梯按钮的规格说明，需要设置其它位置。电梯中楼层f的按钮，在Petri网中用位置EBf表示(1fm)。在EBf上有一个权标，就表示电梯内楼层f的按钮被按下了。,4.3.2 例子,用Petri网可准确地电梯按钮的行为规律。首先，假设按钮没有发亮，显然

21、在位置EBf上没有权标，从而在存在禁止线的情况下，转换“EBf被按下”是允许发生的。假设现在按下按钮，则转换被激发并在EBf上放置了一个权标，如图所示。以后不论再按下多少次按钮，禁止线与现有权标的组合都决定了转换“EBf被按下”不能再被激发了，因此，位置EBf上的权标数不会多于1。,4.3.2 例子,假设电梯由g层驶向f层，因为电梯在g层，如图所示，位置Fg上有一个权标。由于每条输入线上各有一个权标，转换“电梯在运行”被激发。EBf和Fg上的权标被移走，按钮EBf被关闭，在位置Ff上出现一个新权标，即转换的激发使电梯由g层驶到f层。实际上转换需要时间，在标准Petri网中转换假设瞬时完成的，而

22、在现实情况下就需要时间控制Petri网，以使转换与非零时间相联系。,4.3.2 例子,2.楼层按钮第二条约束C2：除了第一层与顶层之外，每个楼层都有两个按钮，上行和下行。这些按钮在按下时发亮，当电梯到达该层并将向指定方向移动时，相应的按钮才会熄灭。在Petri网中楼层按钮用位置 和 表示，代表f层请求电梯上行和下行的按钮。底层的按钮为，最高层的按钮为。,4.3.2 例子,如图所示的情况为电梯由g层驶向f层。某一个楼层按钮亮或两个楼层按钮都亮。如果两个按钮都亮了，则只有一个按钮熄灭。最后，考虑第三条约束。第三条约束C3：当电梯没有收到请求时，它将停留在当前楼层并关门。这条约束很容易实现，如图所示

23、，当没有请求(和 上无权标）时，任何一个转换“电梯在运行”都不能被激发。,4.3.2 例子,用Z语言描述的、最简单的形式化规格说明含有下述4个部分：给定的集合、数据类型及常数。状态定义。初始状态。操作。,4.4 Z语言 4.4.1 简介,1.给定的集合一个Z规格说明从一系列给定的初始化集合开始。所谓初始化集合就是不需要详细定义的集合，这种集合用带方括号的形式表示。对于电梯问题，给定的初始化集合称为Button，即所有按钮的集合，因此，Z规格说明开始于：Button,一个Z规格说明由若干个“格(schema)”组成，每个格含有一组变量说明和一系列限定变量取值范围的谓词。例如，格S的格式如图4.1

24、2所示。图4.12 Z格S的格式,2.状态定义,在电梯问题中，Button有4个子集，即floor_buttons(楼层按钮的集合)、elevator_buttons(电梯按钮的集合)、buttons(电梯问题中所有按钮的集合)以及pushed(所有被按的按钮的集合，即所有处于打开状态的按钮的集合)。,2.状态定义,Z格Button_State：,3.初始状态抽象的初始状态是指系统第一次开启时的状态。对于电梯问题来说，抽象的初始状态为：Button_InitButton_Statepushed=上式表示，当系统首次开启时pushed集为空，即所有按钮都处于关闭状态。,4.操作,操作Push_B

25、utton的Z规格说明,4.操作,操作Floor_Arrival的Z规格说明,目前，Z也许是应用得最广泛的形式化语言，Z语言之所以会获得如此多的成功，主要有以下几个原因：(1)可以比较容易地发现用Z写的规格说明的错误，特别是在自己审查规格说明，及根据形式化的规格说明来审查设计与代码时，情况更是如此。(2)用Z写规格说明时，要求作者十分精确地使用Z说明符。由于对精确性的要求很高，从而和非形式化规格说明相比，减少了模糊性、不一致性和遗漏。,4.4.2 评价,(3)Z是一种形式化语言，在需要时开发者可以严格地验证规格说明的正确性。(4)虽然完全学会Z语言相当困难，但是，经验表明，只学过中学数学的软件

26、开发人员仍然可以只用比较短的时间就学会编写Z规格说明，当然，这些人还没有能力证明规格说明的结果是否正确。(5)使用Z语言可以降低软件开发费用。虽然用Z写规格说明所需用的时间比使用非形式化技术要多，但开发过程所需要的总时间却减少了。,(6)虽然用户无法理解用Z写的规格说明，但是，可以依据Z规格说明用自然语言重写规格说明。使用形式化规格说明是全球的总趋势，过去，主要是欧洲习惯于使用形式化规格说明技术，现在越来越多的美国公司也开始使用形式化规格说明技术。,基于数学的形式化规格说明技术，目前还没有在软件产业界广泛应用，但是，与欠形式化的方法比较起来，它确实有实质性的优点：形式化的规格说明可以用数学方法研究、验证此外，形式化的规格说明消除了二义性，而且它鼓励软件开发者在软件工程过程的早期阶段使用更严格的方法，从而可以减少差错。,4.5 小结,当然，形式化方法也有缺点：大多数形式化的规格说明主要关注于系统的功能和数据，而问题的时序、控制和行为等方面的需求却更难于表示。此外，形式化方法比欠形式化方法更难学习，不仅在培训阶段要花大量的投资，而且对某些软件工程师来说，它代表了一种“文化冲击”。把形式化方法和欠形式化方法有机地结合起来，使它们取长补短，应该能获得更理想的效果。,Thank You!,