软件工程课件Ch_5 形式化方法

优点： 优点：
能够解决规格说明的二义性，提高其精确性。 能够解决规格说明的二义性，提高其精确性。
5.1 形式化方法概述
软件开发是把现实世界的需求映射成软件 的模型化的过程。 的模型化的过程。 在模型化过程中涉及到三种系统模型： 在模型化过程中涉及到三种系统模型：
现实世界 模型表示 计算机系统
5.1 形式化方法概述
5.3.1 基本定义
p2 p1 t1 p3 t3 p5 t2 p4 t4 p6
t5
5.3.1 基本定义
前集和后集：对于一个Petri网结构 网结构N=(P,T,F)， 前集和后集：对于一个 网结构 ，
设 x∈(P∪T)，令 ∈ ∪ ，
5.3.1 基本定义
库所可以容纳令牌（ ），令牌用黑点 库所可以容纳令牌（Token），令牌用黑点 ）， 表示。 表示。
5.2 有限状态机
客观世界中存在着许多具有有限个状态的 系统
钟表： × 种状态， 钟表：12×60 ×60种状态，秒针每走一步， 种状态 秒针每走一步， 就从一个状态转移到另一个状态。 就从一个状态转移到另一个状态。 饮料自动售货机 商场的自动门控制器
5.2 有限状态机
形式化定义
有限状态机（ 有限状态机（Finite State Machine）包括： ）包括： 一个有限状态集：用于描述系统中的不同状态。 一个有限状态集：用于描述系统中的不同状态。 一个输入符号集： 一个输入符号集：用于表示系统所接收的不同 输入信息 一个状态转移规则集： 一个状态转移规则集：用于表示系统在接收不 同输入符号下从一个状态转移到另一个状态的 规则。 规则。
5.3.2 Petri网规格实例 网规格实例
网描述一组交通灯。 例1：用petri网描述一组交通灯。 ： 网描述一组交通灯
红 黄 黄红
红绿
绿
绿黄
5.3.2 Petri网规格实例 网规格实例
例2：用petri网描述两组交通灯 ： 网描述两组交通灯
p1 t1 p3 p4 t3 p6
p2 t2 p5 t4 p7 t3
p1 t1 p3 p4
p2 t2 p5 t4
p6
p7 t6t5t6来自t5(c) 引发 t2
（d）引发 t1 和 t2
初始状态空间: 初始状态空间:(1,1,1,0,0,0,0) 引发t2后 状态空间变为:(1,0,1,0,1,0,0) 引发t2后,状态空间变为:(1,0,1,0,1,0,0) t2 引发t1,t2后 状态空间变为:(0,0,1,1,1,0,0) 引发t1,t2后,状态空间变为:(0,0,1,1,1,0,0) t1,t2
软件形式化过程即 软件形式化过程即 在三者之间进行描 述和转化的过程。 述和转化的过程。
模型表示
5.1 形式化方法概述
开发过程中的任务依次是：模型获取、 开发过程中的任务依次是：模型获取、模 型验证和模型变换。 型验证和模型变换。
模型获取：从现实世界向模型表示转化的过程， 模型获取：从现实世界向模型表示转化的过程， 对应于软件需求分析、规格说明及设计。 对应于软件需求分析、规格说明及设计。 模型验证：对已建立的模型进行检验， 模型验证：对已建立的模型进行检验，判断是 否涵盖了所有相关用户需求。 否涵盖了所有相关用户需求。 模型变换： 模型变换：从模型表示向计算机系统转化的过 对应于软件实现和测试阶段。 程。对应于软件实现和测试阶段。
5.3.1 基本定义
Petri网具有丰富的结构描述能力。能够表 示顺序、并发、冲突 顺序、 顺序 并发、冲突等结构。 顺序关系：若Petri网中存在变迁t1和t2，在某
一时刻，t1就绪，而t2未就绪，且t1点火会引发 t2就绪，即t2就绪以t1的点火为条件。称t1和t2 具有顺序关系。
5.3.1 基本定义
t5
t6
t5
(c) 引发 t2
（d）引发 t1 和 t2
5.3.1 基本定义
Petri网的状态空间 网的状态空间S=M，即它的标记就是 网的状态空间 ， 就是状态空间， 网每引发一次， 就是状态空间，Petri网每引发一次，它的 网每引发一次 状态空间就变化一次。 状态空间就变化一次。
p1 t1 p4 p3
5.2 有限状态机
状态 DIG q0 q1 q2 q3 q4 q5 q6 qf q2 q2 q2 q4 q4 qf qf qf . Φ Φ q3 Φ Φ Φ Φ Φ 输入字符 E Φ Φ Φ Φ q5 Φ Φ Φ + q1 Φ Φ Φ Φ q6 Φ Φ q1 Φ Φ Φ Φ q6 Φ Φ
5.2 有限状态机
状态用库所（ 状态用库所（Place）表示，事件用变迁 ）表示， （Transition）表示。 ）表示。 变迁的作用： 变迁的作用：改变状态 库所的作用：决定变迁能否发生。 库所的作用：决定变迁能否发生。 之间的关系： 之间的关系：用流关系表示
5.3.1 基本定义
Petri网结构 网结构
Petri网结构是一个三元组N=(P,T,F)，其中， （1）P={p1,p2,…,pn}表示有限库所集合。 （2）T={t1,t2,…,tn}表示有限迁移集合（P∪T≠Φ ,P∩T= Φ) （3）F ⊆(P×T) ∪(T×P)为流关系。
5.2 有限状态机
5.2 有限状态机
语言中± 例2：接受 ：接受PASCAL语言中±α.βE ± γ 语言中 形式的实数（αβγ均为非负整数 均为非负整数） 形式的实数（αβγ均为非负整数） 的有限状态机。 的有限状态机。
M = (Q，∑，δ，q0，{qf})，其中 ， ， ， ， Q={q0,q1,q2,q3,q4,q5,qf}， ， ∑={0,1,2,3,4,5,6,7,8,9,.,E,+,-},状态转移函数如下 状态转移函数如下 表。
5.3.1 基本定义
5.3.1 基本定义
5.3.1 基本定义
p1 t1 p4 p3 p2 t2 p5 p1 t1 p4 p3 p2 t2 p5
t3
p6 p7
t4
t3
p6 p7 t5
t4
t6 t5 （a）初始
t6
（b）引发 t1
5.3.1 基本定义
p1 t1 p3 p4 t3 p6 p7 p2 t2 p5 t4 t3 p6 p7 t6 p1 t1 p3 p4 p2 t2 p5 t4
p2 t2 p5
p1 t1 p4 p3
p2 t2 p5
t3
p6 p7
t4
t3
p6 p7 t5
t4
t6 t5 （a）初始
t6
（b）引发 t1
初始状态空间: 初始状态空间:(1,1,1,0,0,0,0) 引发t1后 状态空间变为:(0,1,1,1,0,0,0) 引发t1后,状态空间变为:(0,1,1,1,0,0,0) t1
5.3 Petri网 网
提出： 提出：1962年，联邦德国的 年 联邦德国的Carl Adam Petri在其博士论文《用自动机通信》中提 在其博士论文《 在其博士论文 用自动机通信》 出使用网状结构模拟通信系统。 出使用网状结构模拟通信系统。
5.3.1 基本定义
任何系统元素都可抽象为两类元素： 任何系统元素都可抽象为两类元素：状态 和事件。 和事件。 在Petri网中 网中
DIG q0 + q1 DIG DIG DIG + q4 DIG E DIG q5 DIG q2
.
q3
-
q6
qf
DIG
5.2 有限状态机
练习： 练习： 构造有限状态机， 构造有限状态机，使其接受的语言分别为 组成的字符串的集合， 由0和1组成的字符串的集合，并且分别 和 组成的字符串的集合 满足： 满足： （1）每个字符串以 结束 ）每个字符串以00结束 个连续的0出现 （2）每个字符串中有 个连续的 出现。 ）每个字符串中有3个连续的 出现。
5.2 有限状态机
有限状态机是一个5 其中： 有限状态机是一个5元组M = (Q，∑，δ，q0，F)，其中： 是一个 ① Q = {q0，q1，…，qn}是有限状态集合。在任一确定的时 是有限状态集合。 刻，有限状态机只能处于一个确定的状态qi； 是有限输入字符集合。 ② ∑={σ1，σ2，…，σm}是有限输入字符集合。在任一确定 的时刻，有限状态机只能接收一个确定的输入σ 的时刻，有限状态机只能接收一个确定的输入σj； 是状态转移函数。在某一状态下， ③ δ： Q × ∑→ Q是状态转移函数。在某一状态下，给定输 入后有限状态机将转入由状态迁移函数决定的一个新的状 并规定q= (q,ε 即输入空字符状态不变。 态；并规定q= δ(q,ε),即输入空字符状态不变。 是初始状态，有限状态机由此状态开始接收输入； ④ q0∈Q是初始状态，有限状态机由此状态开始接收输入； 是终结状态集合， ⑤ F⊆Q是终结状态集合，有限状态机在达到终态后不再接收 输入。 输入。
并发关系： 并发关系：若Petri网中存在变迁t1和t2，在 某一时刻，t1,t2同时就绪，他们中任一个变 迁的点火都不会影响另一个变迁的就绪。 称t1和t2具有并发关系。
5.3.1 基本定义
冲突关系： 冲突关系：若Petri网中存在变迁t1和t2，在 某一时刻，t1,t2同时就绪，他们中任一个变 迁的点火都会导致另一个变迁离开就绪状 态。称t1和t2具有冲突关系。
第五章 软件工程中的形式化方法
信息学院计算机系 张翠肖
内容提纲
形式化方法概述 有限状态机 Petri网 网
5.1 形式化方法概述
什么是形式化方法（ 什么是形式化方法（Formal Method） ）
广义： 广义：将离散数学的方法用于解决软件工程领 域的问题； 域的问题；主要包括建立精确的数学模型以及 对模型的分析。 对模型的分析。 狭义：运用形式化语言， 狭义：运用形式化语言，进行形式化的规格描 模型推理和验证的方法。 述、模型推理和验证的方法。