软件工程形式化方法初学体会

本贴最后更新于 1886 天前,其中的信息可能已经时过境迁

最近在上一门叫做新技术讲座的课,我估计好多同学是看到讲座这两个字感觉这课会很水才选的,但实际上这门课讲的内容是非常硬核的软件工程形式化方法,而且授课老师也是国内第一批研究软件工程形式化方法的教授,现任日本埼玉大学教授,且上课非常认真负责,每节课都有课堂练习。不过了解了软件工程形式化的概念后,发现这个研究方向真的了不得,简直可以颠覆整个软件行业。

在早期的软件开发过程中,开发者们往往拿到问题后就直接开始编码,软件往往会出现各种各样的问题,大部分软件的质量十分低下,被称为“软件危机”。为了解决软件质量低下的问题,人们提出了软件工程化的思想,也就是目前主流的软件开发方式,引入了从需求分析到最后编码实现这一系列的过程,以及需要遵守的一系列规范,并定义了如 CMMI 这样的规范性等级。然而软件工程里面有很多内容的规范是非常主观的,没有一个确定的评定标准,另外很多步骤只能尽量争取正确,但根本无法确保正确,比如对于软件的测试,在软件测试这门课中就了解到全覆盖基本上是不可能完成的,并提出了语句覆盖、判定覆盖、条件覆盖等一系列只能尽量争取正确的测试覆盖。而且在执行的过程中,就算是 CMMI 5 级的开发单位也往往会为了追求进度而省去其中某些甚至很多步骤,导致最后开发出来的软件根本不可用。可以说,软件工程化确实解决了一部分问题,但治标不治本,没有从根本上解决软件质量低下的问题。

有没有一种方法可以从根本上解决问题呢?有,就是软件工程形式化方法。软件工程形式化的目的简单来说就是把要解决的问题先用逻辑学和集合论等数学的方式把它抽象表示出来,也就是形式化,之后就可以自动化的方式完成一些原本需要大量人工完成的步骤。它的效果是可以减少软件开发的成本,同时大大减少软件中的错误。由于数学是稳定的、抽象的,可以应用到各个领域,可以作为一个相对正确性的基础,因此我们就可以将其他事物的正确性建立在数学的正确性之上。另外,形式化方法可以大大减少规格说明的二义性,防止出现客户和开发方对需求理解不一致的情况。我们可以这么理解,在软件工程形式化方法中,只要规格说明(specification) 是正确的,那么最后的软件产品一定是正确的,甚至连测试都不需要做。就如同建筑一样,只要图纸和设计方案正确,那么一个合格的施工队一定能建造出正确的建筑,而且已经建造完毕的建筑也无法像软件产品一样测试之后发现错误再进行修改。

为何建筑工程的精准性和正确性如此之高,其实就是引入了形式化方法的思想。在建筑工程设计中,一定都会首先在图纸上对建筑进行力学分析和计算,确保最终建筑拥有完美的力学结构,或者至少不容易塌。并且设计单位和施工单位往往不是同一家,但最后的施工成果依然能满足设计单位原先的要求。而在软件工程中,对于数学的应用主要在算法、数据结构中,比较少地用来抽象具体事物以及约束它们的关系。从这个角度看软件开发过程的先进性远远不如建筑工程的过程,尽管 IT 被认为是高新技术。

在软件工程形式化方法中,规格说明的重要性大大提高了,同时在规格说明中,如何用数学语言而不是自然语言抽象一个具体的事物是需要重点考虑的问题。可以看一下伦敦地铁线路图的抽象例子。
老图:伦敦地铁原图.PNG
新图:伦敦地铁新图.PNG

可以看到最后抽象的结果十分清晰明了、没有歧义、且具有可维护性,与之相比,老图尽管更精确地反应了真实的地理位置,但却让读者感到混乱。目前几乎所有城市的地铁以及公交线路示意图都模仿了伦敦地铁图。软件工程形式化的规格说明也需要像这样排除无关事物的干扰,并且精准、无二义性。比如,“令 x=3,y=x+1”就比“令 x 为一个存有 3 的内存单元,令 y 为存有 x+1 的值的内存单元”好得多,尽管在计算机中实际运算的过程可能是后一种。

在软件工程形式化方法中,是不需要进行测试的,尽管利用形式化方法产生测试用例同样可以提高效率,而且工业应用上也有相应的工具,但实际上并不推荐这样的用法。因为测试本质上就是效率低下的,前面已经提到,测试根本无法保证所有可能的结果都正确。在软件工程形式化方法中,取代测试地位的是证明(proof)。绝大多数关于软件工程形式化方法的文章中都提到了证明,可见证明在软件工程形式化方法中的重要性。证明可以保证的正确性远远高于测试。工程师在构建抽象模型的过程中,需要通过数学证明的方式逐步验证它。要证明的语句不需要工程师自己定义,而是由一个叫做证明业务生成器的工具自动生成。为了生成证明语句,该工具将不断分析抽象模型的各个精化形式。要做的证明需要关注两方面情况:1.抽象模型里的转换是否保持了不变式的成立。这方面称为不变式保持证明。2.抽象模型的每个更准确的版本是否破坏了前一版中已经证明的性质,这称为精化正确性证明。这些证明中的大多数都由一个叫做证明器的工具自动完成。

当然,任何方法都不是十全十美的,软件工程形式化方法也存在着一些问题以及推广上的障碍。尽管软件形式化方法总体上来说能够节省成本,但它在前期设计规格说明阶段投入较多,传统观念根深蒂固的老板们可能这样做觉得不值得。对于软件工程师来说,习惯了传统的开发方式,而软件形式化方法需要换一种思路去思考问题,可能前期不太适应,而且对于非数学专业的他们来说,对系统构造出清晰的数学关系模型可能稍显困难。另外,则是形式化方法中用到的自动化工具本身可能存在问题,无法保证翻译器能够正确地将数学模型翻译成可执行代码,这样也就无法保证最终的正确性。

尽管如此,但从软件工程形式化目前已有的应用来看,它是相当成功的。最早的软件工程形式化方法应用是在 IBM 的 CICS 系统中。当时 CICS 的复杂程度已经成了一个严重的问题,靠人力已经很难再对这个系统进行维护,因此 IBM 想要重新设计这个系统。当时 CICS 的经理和牛津大学的一名研究形式化方法的教授进行了沟通,并决定使用形式化方法来重新设计 CICS 系统,使用的方法叫做 Z notation。工程师们习惯了使用自然语言来描述 specification,一开始还担心用数学方法来表示 specification 对他们来说很困难。但最后证明这并不是个问题,就连没有一些数学经验的程序员也能够轻松运用。最终开发成本减少了百分之 9,用户报告的错误减少了 2.5 倍,而且都是轻微的错误。巴黎地铁 14 号线和 Roissy 机场穿梭车的无人运行系统也是使用形式化方法开发的。它们使用的方法叫做 B notation,比 Z notation 出现得更晚一些。这两个案例都没有执行单元测试,工程师没有修改任何代码行,然而最终的运行结果仍然非常成功。

软件工程形式化方法的前景十分远大,一旦实现在工业中的广泛应用,将彻底颠覆整个软件行业,大幅度提高生产效率和减少错误。非常有幸能在大学中了解到这么前沿的技术。

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • RYMCU

    RYMCU 致力于打造一个即严谨又活泼、专业又不失有趣,为数百万人服务的开源嵌入式知识学习交流平台。

    4 引用 • 6 回帖 • 51 关注
  • jQuery

    jQuery 是一套跨浏览器的 JavaScript 库,强化 HTML 与 JavaScript 之间的操作。由 John Resig 在 2006 年 1 月的 BarCamp NYC 上释出第一个版本。全球约有 28% 的网站使用 jQuery,是非常受欢迎的 JavaScript 库。

    63 引用 • 134 回帖 • 724 关注
  • 新人

    让我们欢迎这对新人。哦,不好意思说错了,让我们欢迎这位新人!
    新手上路,请谨慎驾驶!

    52 引用 • 228 回帖 • 1 关注
  • 开源

    Open Source, Open Mind, Open Sight, Open Future!

    408 引用 • 3574 回帖
  • RESTful

    一种软件架构设计风格而不是标准,提供了一组设计原则和约束条件,主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。

    30 引用 • 114 回帖 • 2 关注
  • abitmean

    有点意思就行了

    29 关注
  • C

    C 语言是一门通用计算机编程语言,应用广泛。C 语言的设计目标是提供一种能以简易的方式编译、处理低级存储器、产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。

    85 引用 • 165 回帖 • 2 关注
  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    311 引用 • 546 回帖
  • iOS

    iOS 是由苹果公司开发的移动操作系统,最早于 2007 年 1 月 9 日的 Macworld 大会上公布这个系统,最初是设计给 iPhone 使用的,后来陆续套用到 iPod touch、iPad 以及 Apple TV 等产品上。iOS 与苹果的 Mac OS X 操作系统一样,属于类 Unix 的商业操作系统。

    85 引用 • 139 回帖 • 1 关注
  • PHP

    PHP(Hypertext Preprocessor)是一种开源脚本语言。语法吸收了 C 语言、 Java 和 Perl 的特点,主要适用于 Web 开发领域,据说是世界上最好的编程语言。

    179 引用 • 407 回帖 • 488 关注
  • GitLab

    GitLab 是利用 Ruby 一个开源的版本管理系统,实现一个自托管的 Git 项目仓库,可通过 Web 界面操作公开或私有项目。

    46 引用 • 72 回帖
  • VirtualBox

    VirtualBox 是一款开源虚拟机软件,最早由德国 Innotek 公司开发,由 Sun Microsystems 公司出品的软件,使用 Qt 编写,在 Sun 被 Oracle 收购后正式更名成 Oracle VM VirtualBox。

    10 引用 • 2 回帖 • 6 关注
  • TextBundle

    TextBundle 文件格式旨在应用程序之间交换 Markdown 或 Fountain 之类的纯文本文件时,提供更无缝的用户体验。

    1 引用 • 2 回帖 • 47 关注
  • DNSPod

    DNSPod 建立于 2006 年 3 月份,是一款免费智能 DNS 产品。 DNSPod 可以为同时有电信、网通、教育网服务器的网站提供智能的解析,让电信用户访问电信的服务器,网通的用户访问网通的服务器,教育网的用户访问教育网的服务器,达到互联互通的效果。

    6 引用 • 26 回帖 • 510 关注
  • 大数据

    大数据(big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

    93 引用 • 113 回帖
  • TensorFlow

    TensorFlow 是一个采用数据流图(data flow graphs),用于数值计算的开源软件库。节点(Nodes)在图中表示数学操作,图中的线(edges)则表示在节点间相互联系的多维数据数组,即张量(tensor)。

    20 引用 • 19 回帖
  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    524 引用 • 4601 回帖 • 700 关注
  • Bug

    Bug 本意是指臭虫、缺陷、损坏、犯贫、窃听器、小虫等。现在人们把在程序中一些缺陷或问题统称为 bug(漏洞)。

    75 引用 • 1737 回帖 • 5 关注
  • 职场

    找到自己的位置,萌新烦恼少。

    127 引用 • 1705 回帖 • 1 关注
  • HBase

    HBase 是一个分布式的、面向列的开源数据库,该技术来源于 Fay Chang 所撰写的 Google 论文 “Bigtable:一个结构化数据的分布式存储系统”。就像 Bigtable 利用了 Google 文件系统所提供的分布式数据存储一样,HBase 在 Hadoop 之上提供了类似于 Bigtable 的能力。

    17 引用 • 6 回帖 • 73 关注
  • Vim

    Vim 是类 UNIX 系统文本编辑器 Vi 的加强版本,加入了更多特性来帮助编辑源代码。Vim 的部分增强功能包括文件比较(vimdiff)、语法高亮、全面的帮助系统、本地脚本(Vimscript)和便于选择的可视化模式。

    29 引用 • 66 回帖
  • ActiveMQ

    ActiveMQ 是 Apache 旗下的一款开源消息总线系统,它完整实现了 JMS 规范,是一个企业级的消息中间件。

    19 引用 • 13 回帖 • 670 关注
  • 导航

    各种网址链接、内容导航。

    40 引用 • 173 回帖
  • 服务

    提供一个服务绝不仅仅是简单的把硬件和软件累加在一起,它包括了服务的可靠性、服务的标准化、以及对服务的监控、维护、技术支持等。

    41 引用 • 24 回帖 • 2 关注
  • 锤子科技

    锤子科技(Smartisan)成立于 2012 年 5 月,是一家制造移动互联网终端设备的公司,公司的使命是用完美主义的工匠精神,打造用户体验一流的数码消费类产品(智能手机为主),改善人们的生活质量。

    4 引用 • 31 回帖 • 4 关注
  • Dubbo

    Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的 RPC 远程服务调用方案,是 [阿里巴巴] SOA 服务化治理方案的核心框架,每天为 2,000+ 个服务提供 3,000,000,000+ 次访问量支持,并被广泛应用于阿里巴巴集团的各成员站点。

    60 引用 • 82 回帖 • 595 关注
  • Hexo

    Hexo 是一款快速、简洁且高效的博客框架,使用 Node.js 编写。

    21 引用 • 140 回帖 • 1 关注