第5章 程序正确性证明

第三章 程序的正确性证明一、 F loyd-Hoare 规则公理方法前提条件，初始状态 前置断言结论，终止状态满足的条件 后置断言 程序规范：程序的前置断言和程序的后置断言组成。

程序的状态：程序执行到某一时刻，程序中所有变量的一组取值。

初始状态：所有变量的取值使程序的前置断言为真的状态。

终止状态：所有变量的取值使程序的后置断言为真的状态。

程序的执行可以看作是程序状态的变迁。

1、完全正确性断言：程序S 的执行开始于满足P 的状态，则该执行必定能在有限的时间内终止，且终止的状态满足Q ，则称完全正确性断言，记为{P}S{Q}2、部分正确性断言：程序S 的执行开始与满足P 的状态，若此执行能在有限的时间内终止，则终止时的状态满足Q ，则称部分正确性断言，记为[P]S[Q]（一）预备规则1）如果执行之前P 是真，执行之后Q 也是真，则记为Q P ⊃2) 若n 条路径在语句T 之前汇合，则所有前面语句S i 的结论Q i 都必须在逻辑上蕴含语句T 的前提P ，就是说 P Q i ⊃，其中， i=1,2,…,n.。

P Q ⊃1，P Q ⊃2，P Q ⊃33)若断言P 在条件B 的判断之前成立，则判断的两个结论分别是B P ∧ 和 B P ⌝∧程序，语句 逻辑谓词 逻辑谓词 n2 (0<X<10)P B ⌝4) 若断言P 位于赋值E 于变量I 之后，则P 中出现的所有I 替换成E ，可得到赋值的前提（称赋值等效）。

5) 凡蕴含一语句前提的断言，都是这个语句的前提。

凡一语句结论所蕴含的断言，都是这个语句的结论。

','Q Q P P ⊃⊃{P ’}S{Q ’}为真，则{P}S{Q}为真。

（二）Hoare 验证系统 1. 空语句skip {P}skip{P} 结论即为前提2. 赋值语句{IE P } I:=E {P}由规则43. 条件语句{P} if B then S 1 else S 2 {Q} 由规则3得到{B P ∧}S 1{Q}和{B P ⌝∧}S 2{Q}为表示方便，我们可用证明规则的一般形式HH H H n,...,,21来记，其中n H H H ,...,,21是规则的前提，H 是结论，它表示如果’n H H H ,...,,21为真，那么H 也为真。

第三部分程序设计基础程序、程序设计、程序设计语言的定义⑴程序：计算机程序,是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列,或者可以被自动转换成代码化指令序列的符号化指令序列或者符号化语句序列.⑵程序设计：程序设计是给出解决特定问题程序的过程,是软件构造活动中的重要组成部分.程序设计往往以某种程序设计语言为工具,给出这种语言下的程序.程序设计过程应当包括分析、设计、编码、测试、排错等不同阶段.⑶程序设计语言：程序设计语言用于书写计算机程序的语言.语言的基础是一组记号和一组规则.根据规则由记号构成的记号串的总体就是语言.在程序设计语言中,这些记号串就是程序.程序设计语言有3个方面的因素,即语法、语义和语用.高级语言和低级语言的概念及区别⑴高级语言：高级语言High-level programming language是高度封装了的编程语言,与低级语言相对.它是以人类的日常语言为基础的一种编程语言,使用一般人易于接受的文字来表示例如汉字、不规则英文或其他外语,从而使程序编写员编写更容易,亦有较高的可读性,以方便对电脑认知较浅的人亦可以大概明白其内容.⑵低级语言：低级语言分机器语言二进制语言和语言符号语言,这两种语言都是面向机器的语言,和具体机器的指令系统密切相关.机器语言用指令代码编写程序,而符号语言用指令助记符来编写程序.⑶区别：高级语言：实现效率高,执行效率低,对硬件的可控性弱,目标代码大,可维护性好,可移植性好低级语言：实现效率低,执行效率高,对硬件的可控性强,目标代码小,可维护性差,可移植性差了解知识：CPU运行的是二进制指令,所有的语言编写的程序最终都要翻译成二进制代码.越低级的语言,形式上越接近机器指令,语言就是与机器指令一一对应的.而越高级的语言,一条语句对应的指令数越多,其中原因就是高级语言对底层操作进行了抽象和封装,使编写程序的过程更符合人类的思维习惯,并且极大了简化了人力劳动.也就是说用高级语言写一句,会被转换成许多底层操作,大部分的工作交给了负责转换的机器即编译器,从而人力得到了解放.编译程序的概念及作用⑴编译程序Compiler,compiling program也称为编译器,是指把用高级程序设计语言书写的源程序,翻译成等价的机器语言格式目标程序的翻译程序.⑵作用：它以高级程序设计语言书写的源程序作为输入,而以语言或机器语言表示的目标程序作为输出.计算机求解问题的过程分析问题确定计算机做什么→设计算法寻找解决问题的途径和方法,即要计算机怎么做→编写程序将算法翻译成计算机程序设计语言→上机运行和测试程序正确性的含义程序正确性证明就是采用严格的数学方法评价一个程序是否达到了预定的性能,即对于任何一组允许的输入信息,程序执行后能得到一组和这组信息对应的正确的输出信息.程序错误的几种类型程序错误,即英文的Bug,也称为缺陷,是指在软件运行中因为程序本身有错误而造成的功能不正常、死机、数据丢失、非正常中断等现象.⑴语法错误⑵逻辑错误程序调试、程序测试的概念以及区别⑴程序调试：是将编制的程序投入实际运行前,用手工或编译程序等方法进行测试,修正语法错误和逻辑错误的过程.这是保证计算机信息系统正确性的必不可少的步骤.编完计算机程序,必须送入计算机中测试.⑵程序测试：program testing是指对一个完成了全部或部分功能、模块的计算机程序在正式使用前的检测,以确保该程序能按预定的方式正确地运行.了解知识：程序测试的方法灰盒测试,确实是介于白盒测试与黑盒测试之间的,可以这样理解,灰盒测试关注输出对于输入的正确性,同时也关注内部表现,但这种关注不象白盒那样详细、完整,只是通过一些表征性的现象、事件、标志来判断内部的运行状态,有时候输出是正确的,但内部其实已经错误了,这种情况非常多,如果每次都通过白盒测试来操作,效率会很低,因此需要采取这样的一种灰盒的方法.白盒测试,又称结构测试.他的前提是可以把程序看成在一个透明的白盒子里,测试者完全知道程序的结构和处理算法.这种方法按照程序内部逻辑设计测试用例,检测程序中的主要执行通路是否能按照预定要求正确工作.白盒测试根据软件的内部逻辑设计设施用例,常用的技术是逻辑覆盖,即考察用测试数据运行被测程序是对程序逻辑的覆盖程度.主要的覆盖标准有：语句覆盖、判定覆盖、条件覆盖、判定/条件覆盖、组合条件覆盖和路径覆盖.黑盒测试根据关键需求说明书所规定的功能来设计测试用例,它不考虑软件的内部结构和处理算法.常用的黑盒测试技术包括等价类划分、边值分析、错误推测和因果图等.⑶区别：①目的不同软件测试的目的是发现错误,至于找出错误的原因和错误发生的地方不是软件测试的任务,而是调试的任务.调试的目的是为了证明程序的正确,因此它必须不断地排除错误.它们的出发点不一样.前者是挑错,是一种挑剔过程,属于质盘保证活动.后者是排错,是一种排除过程,是编码活动的一部分.②指导原则和方法不同软件测试的输出是预知的,其软件测试用例必须包括预期的结果,而调试的输出大多是不可预见的,需要调试者去解释、去发现产生的原因.③操作者不同因为心理状态是软件测试程序的障碍,所以执行软件测试的人一般不是开发人员,以使软件测试更客观、更有效,而调试人员一般都是开发人员.结构化程序设计概念及类型结构化程序设计structured programming是进行以模块功能和处理过程设计为主的详细设计的基本原则.结构化程序设计的三种基本结构是:顺序结构、选择结构和循环结构.顺序结构表示程序中的各操作是按照它们出现的先后顺序执行的.选择结构表示程序的处理步骤出现了分支,它需要根据某一特定的条件选择其中的一个分支执行.选择结构有单选择、双选择和多选择三种形式.循环结构表示程序反复执行某个或某些操作,直到某条件为假或为真时才可终止循环.在循环结构中最主要的是：什么情况下执行循环哪些操作需要循环执行循环结构的基本形式有两种：当型循环和直到型循环.当型循环：表示先判断条件,当满足给定的条件时执行循环体,并且在循环终端处流程自动返回到循环入口；如果条件不满足,则退出循环体直接到达流程出口处.因为是"当条件满足时执行循环",即先判断后执行,所以称为当型循环.直到型循环：表示从结构入口处直接执行循环体,在循环终端处判断条件,如果条件不满足,返回入口处继续执行循环体,直到条件为真时再退出循环到达流程出口处,是先执行后判断.因为是"直到条件为真时为止",所以称为直到型循环.面向对象程序设计概念面向对象编程Object OrientedProgramming,OOP,面向对象程序设计是一种计算机编程架构.OOP 的一条基本原则是计算机程序是由单个能够起到子程序作用的单元或对象组合而成.OOP 达到了软件工程的三个主要目标：重用性、灵活性和扩展性.为了实现整体运算,每个对象都能够接收信息、处理数据和向其它对象发送信息.面向对象程序设计中的概念主要包括：对象、类、数据抽象、继承、动态绑定、数据封装、多态性、消息传递.通过这些概念面向对象的思想得到了具体的体现.ASCII字符集ASCIIAmerican Standard Code for Information Interchange,美国标准信息交换代码是基于拉丁字母的一套电脑编码系统,主要用于显示现代英语和其他西欧语言.它是现今最通用的单字节编码系统,并等同于国际标准ISO/IEC 646.标准ASCII 码也叫基础ASCII码,使用7 位二进制数来表示所有的大写和小写字母,数字0 到9、标点符号, 以及在美式英语中使用的特殊控制字符.大小规则1数字0~9比字母要小.如"7"<"F"；2数字0比数字9要小,并按0到9顺序递增.如"3"<"8"3字母A比字母Z要小,并按A到Z顺序递增.如"A"<"Z"4同个字母的大写字母比小写字母要小.如"A"<"a".记住几个常见字母的ASCII码大小：“换行LF”为10；“回车CR”为13；空格为32；"0"为48； "A"为65；"a"为97.标识符、关键字的概念在编程语言中,标识符就是程序员自己规定的具有特定含义的词,比如类名称,属性名称,变量名等.关键字就是程序发明者规定的有特殊含义的单词,又叫保留字 .注释语句的作用注释语句在程序的开始或中间,不具有任何功能实现的作用,仅仅是对程序进行说明的语句.注释语句在程序运行过程中不运行,却是程序编写时的重要内容,对于理解程序很重要.表达式的组成及类型表达式,是由数字、算符、数字分组符号括号、自由变量和约束变量等以能求得数值的有意义排列方法所得的组合.类型：算术表达式：是最常用的表达式,又称为数值表达式.它是通过算术运算符来进行运算的数学公式.加法、减法、乘法、除法、求余关系表达式：用关系运算符将两个表达式连接起来的式子,称关系表达式.关系表达式的值是逻辑值“真”或“假”.=等于、<小于、<=小于等于、>大于、>=大于等于、<>不等于逻辑表达式：用逻辑运算符将关系表达式或逻辑量连接起来的有意义的式子称为逻辑表达式.逻辑表达式的值是一个逻辑值,即“true”或“false”.NOT非、AND与、OR或子程序和函数的概念子程序：在计算机科学中,子程序英语：Subroutine, procedure, function, routine, method, subprogram, callable unit,是一个大型程序中的某部份代码,由一个或多个语句块组成.它负责完成某项特定任务,而且相较于其他代码,具备相对的独立性.函数：在程序设计中,常将一些常用的功能模块编写成函数,放在函数库中供公共选用.要善于利用函数,以减少重复编写程序段的工作量.许多程序设计语言中,可以将一段经常需要使用的代码封装起来,在需要使用时可以直接调用,所以,函数也可以说是许多代码的集合,这就是程序中的函数.数据、数据元素、数据对象、数据项的概念数据：数据就是数值,也就是我们通过观察、实验或计算得出的结果.数据有很多种,最简单的就是数字.数据也可以是文字、图像、声音等.数据可以用于科学研究、设计、查证等.数据元素：数据元素data element是计算机科学术语.它是数据的基本单位,数据元素也叫做结点或记录.在计算机程序中通常作为一个整体进行考虑和处理.有时,一个数据元素可由若干个数据项组成,例如,一本书的书目信息为一个数据元素,而书目信息的每一项如书名、作者名等为一个数据项.数据项是数据的不可分割的最小单位.数据对象：Data Object是性质相同的数据元素的集合,是数据的一个子集,数据对象是一种运行时的概念.可以是外部实体例如,产生或使用信息的任何事物、事物例如,报表、行为例如,打电话、事件例如,响警报、角色例如,教师、学生、单位例如,会计科、地点例如,仓库或结构例如,文件等.总之,可以由一组属性来定义的实体都可以被认为是数据对象.数据项：数据项又称数据元素data element,是数据的基本单位,一个数据可由若干个数据项data item组成,数据项是数据的不可分割的最小单位.数据的逻辑结构、存储结构数据的逻辑结构是对数据之间关系的描述,有时就把逻辑结构简称为数据结构.逻辑结构形式地定义为K,R或D,S,其中,K是数据元素的有限集,R是K上的关系的有限集.了解知识：逻辑结构有四种基本类型：集合结构、线性结构、树状结构和网络结构.表和树是最常用的两种高效数据结构,许多高效的算法能够用这两种数据结构来设计实现.表是线性结构的全序关系,树偏序或层次关系和图局部有序weak/local order是非线性结构.数据结构在计算机中的表示映像称为数据的物理存储结构.它包括数据元素的表示和关系的表示.数据运算数据运算是对数据依某种模式而建立起来的关系进行处理的过程.最基本的数据运算有：①算术运算,如：加、减、乘、除、乘方、开方、取模等；②关系运算,如：等于、不等于、大于、小于等；③逻辑运算,如：与、或、非、恒等、蕴含等.数据结构的两大逻辑结构和四种常用的存储表示方法数据的逻辑结构分两大类：线性结构和非线性结构了解知识：线性结构是一个有序数据元素的集合.常用的线性结构有：线性表,栈,队列,双队列,数组,串.常见的非线性结构有：二维数组,多维数组,广义表,树二叉树等,图.数据的存储方法有四种：顺序存储方法、链接存储方法、索引存储方法和散列存储方法了解知识：1顺序存储方法：该方法把逻辑上相邻的结点存储在物理位置上相邻的存储单元里,结点间的逻辑关系由存储单元的邻接关系来体现.由此得到的存储表示称为顺序存储结构Sequential Storage Structure,通常借助程序语言的数组描述.该方法主要应用于线性的数据结构.非线性的数据结构也可通过某种线性化的方法实现顺序存储.2链接存储方法：该方法不要求逻辑上相邻的结点在物理位置上亦相邻,结点间的逻辑关系由附加的指针字段表示.由此得到的存储表示称为链式存储结构Linked Storage Structure,通常借助于程序语言的指针类型描述.3索引存储方法：该方法通常在储存结点信息的同时,还建立附加的索引表.索引表由若干索引项组成.若每个结点在索引表中都有一个索引项,则该索引表称之为稠密索引Dense Index.若一组结点在索引表中只对应一个索引项,则该索引表称为稀疏索引Spare Index.索引项的一般形式是：关键字、地址关键字是能唯一标识一个结点的那些数据项.稠密索引中索引项的地址指示结点所在的存储位置；稀疏索引中索引项的地址指示一组结点的起始存储位置.4散列存储方法：该方法的基本思想是：根据结点的关键字直接计算出该结点的存储地址.四种基本存储方法,既可单独使用,也可组合起来对数据结构进行存储映像.同一逻辑结构采用不同的存储方法,可以得到不同的存储结构.选择何种存储结构来表示相应的逻辑结构,视具体要求而定,主要考虑运算方便及算法的时空要求.算法和程序的关系算法是对特定问题求解步骤的描述,它是指令的有限序列.算法与程序的关系：算法和程序都是指令的有限序列 ,但是,程序是算法,而算法不一定是程序.算法和程序的区别主要在于：1 在语言描述上,程序必须是用规定的程序设计语言来写,而算法很随意；2 在执行时间上,算法所描述的步骤一定是有限的,而程序可以无限地执行下去.所以：程序 = 数据结构 + 算法常用数据类型种类及特性不同的变成语言,数据类型的说法有差异.一般而言包含：数字型或者数值型,常有 Integer整型、Long 长整型、Single单精度浮点型、Double双精度浮点型和 Currency货币型.文本型：常有String 字符串型逻辑型：若变量的值只是“true/false”、“yes/no”、“on/off”信息,则可将它声明为Boolean 类型.常量和变量的概念“常量”在程序运行时,不会被修改的量.换言之,常量虽然是为了硬件、软件、编程语言服务,但是它并不是因为硬件、软件、编程语言而引入.变量来源于数学,是计算机语言中能储存计算结果或能表示值抽象概念.变量可以通过变量名访问.字符串的概念及应用字符串或串String是由数字、字母、下划线组成的一串字符.一般记为 s=“a1a2···an”n>=0.它是编程语言中表示文本的数据类型.在程序设计中,字符串string为符号或数值的一个连续序列,如符号串一串字符或二进制数字串一串二进制数字.数组、数组元素、下标变量数组：就是相同数据类型的元素按一定顺序排列的集合,就是把有限个类型相同的变量用一个名字命名,然后用编号区分他们的变量的集合,这个名字称为数组名,编号称为下标.组成数组的各个变量称为数组的分量,也称为数组的元素,有时也称为下标变量.数组是在程序设计中,为了处理方便, 把具有相同类型的若干变量按有序的形式组织起来的一种形式.这些按序排列的同类数据元素的集合称为数组.数组元素是组成数组的基本单元.数组元素也是一种变量, 其标识方法为数组名后跟一个下标.下标表示了元素在数组中的顺序号.数组元素通常也称为下标变量.了解知识：数组元素的一般形式为：数组名下标,其中下标只能为整型常量或整型表达式.。

第一章测试1.软件没有相应的文档，且最终不能满足用户要求是软件危机的一种表现。

（）A:错B:对答案:B2.软件本身的不可见性和复杂性随规模的增加呈指数上升是产生软件危机的主要原因。

（）A:错B:对答案:A3.开发软件就是写程序。

（）A:错B:对答案:A4.开发软件所需高成本和产品的低质量之间有着尖锐的矛盾，这种现象称（）。

A:软件危机B:软件工程C:软件产生D:软件周期答案:A5.以下对软件工程描述正确地是（）。

A:结合最好的技术方法。

B:经济地开发出高质量的软件并有效地维护它。

C:一门工程学科。

D:采用经过时间考验而证明正确的管理技术。

答案:ABCD6.软件生命周期中所花费费用最多的阶段是（）。

A:需求分析。

B:软件总体设计。

C:软件实现。

D:软件维护。

答案:D7.软件是（）。

A:计算机系统。

B:处理对象和处理规则的描述。

C:程序。

D:程序、数据及其文档的集合。

答案:D8.同螺旋模型相比，原型模型主要缺少（）。

A:客户评估B:制定计划C:风险分析D:实施工程答案:C9.在软件生存周期模型中，不适应变化需求的软件开发模型是（）。

A:原型模型B:瀑布模型C:螺旋模型D:增量模型答案:B10.针对高质量软件的生产的软件过程模型（）。

A:RUP模型B:基于构件的模型C:净室模型D:增量模型答案:C第二章测试1.可行性研究的技术可行性是指现有技术是否可行。

（）A:对B:错答案:A2.可行性研究的成本效益分析是从经济方面讨论是否可行。

（）A:对B:错答案:A3.可行性分析研究的目的是（）。

A:功能内聚B:项目值得开发否C:开发项目D:争取项目答案:B4.描绘物理系统的传统工具是（）。

A:程序流程图B:系统流程图C:数据流程图D:软件结构图答案:B5.数据字典的基本功能是（）。

A:数据维护。

B:数据通信。

C:数据定义。

D:数据库设计。

答案:C6.使用数据流图对工资系统进行需求分析建模，外部实体是（）。

A:工资单B:工资系统代码C:工资数据库维护D:接受工资单的银行答案:D7.数据流图的作用包括（）。

软件测试毕业论文 The manuscript was revised on the evening of 2021毕业论文姓名：陈鑫专业:.Net软件开发年级：计软1302学号：指导教师:王梅软件测试的概述及方法、、完成时间：2012年3月摘要：从软件产业的发展初期到目前的大型软件开发过程，软件测试已成为其中一个不可分割的部分。

随着软件规模的日益增大，软件测试问题也日益突出，现代社会对软件的依赖越来越强,高可信软件测试有着广泛的需求，基于缺陷模式的软件测试技术作为高可信软件的重要保证,可以大大降低软件的缺陷密度,提高软件的可信性。

本文从测试的基本概念入手,深入剖析软件测试相关理论关键字：软件测试、白盒测试、黑盒测试、类测试目录1 软件测试的发展史.......................................4 2软件测试的相关背景.. (5)3 软件测试概述 (6)软件测试的定义 (6)软件测试的描述 (6)软件测试的目的 (7)软件测试的原则 (8)4 软件测试的内容 (9)验证(verification) (9)确认(validation) (9)5 软件测试的分类 (10)常用分类 (10)黑盒测试 (10)白盒测试 (11)静态测试 (14)动态测试 (15)6 软件测试中的类测试 (15)面向对象软件的类测试概念.....................................................15.类测试技术.. (16)7 参考文献 (17)8 致谢 (18)1软件测试的发展史软件测试的发展历史：20世纪60年代（软件工程建立前），为表明程序正确而进行测试。

. 1972年在北卡罗来纳大学举行了首届软件测试正式会议。

. 1975年John Good Enough和Susan Gerhart在IEEE上发表了《测试数据选择的原理》的文章，软件测试被确定为一种研究方向。

1.试比较程序正确性证明与程序测试
正确性证明是论证程序达到预期目的的一般性陈述，而该论证与程序输入数据的特定值无关，能够代表穷举性测试。

程序测试是指测试者特意挑出一批输入数据，通过运行程序，检查每个输入数据所对应的运行结果是否符合预期要求。

Dijkstra说过“程序测试只能证明程序有错，不能说明程序正确”。

除非进行穷举行测试。

2.什么是程序的正确性？试叙述程序正确性证明的基本思想和过程
正确性证明是论证程序达到预期目的的一般性陈述，而该论证与程序输入数据的特定值无关，能够代表穷举性测试。

主要是利用谓词演算和演算规则集合来证明程序的部分正确性。

主要方法。

4.说明程序正确性断言{P}S{Q}的含义，及证明它成立的方法
如何确认一个子类是真正的、忠实的合乎规则的子类型？即子类的类型和父类的类型保持一致所要做的工作是：
从类不变式、方法的前置和后置条件、状态空间和行为等方面加以约束。

毕业论文论文题目：软件开发生命周期与测试生命周期内容摘要软件设计思路和方法的一般过程，包括设计软件的功能和实现的算法和方法、软件的总体结构设计和模块设计、编程和调试、程序联调和测试以及编写、提交程序。

从软件产业的发展初期到LI前的大型软件开发过程，软件测试已成为其中一个不可分割的部分。

随着软件规模的日益增大，软件测试问题也日益突出，现代社会对软件的依赖越来越强，高可信软件测试有着广泛的需求，基于缺陷模式的软件测试技术作为高可信软件的重要保证，可以大大降低软件的缺陷密度,提高软件的可信性。

本文从测试的基本概念入手，深入剖析软件测试相关理论。

［关键词］软件设计软件测试程序联调缺陷密度AbstractThe general process of design idea and method of the software, including software design, software functions and the implementation of the algor ithm and the met hod, architecture design and module design, programming and debugging, program debugging and testing, and submit written procedures .From the early development of the software industry to the current large-scale soft ware development process, software testing has become an inseparable part of. With the increasing scale of soft ware, software testing is becoming increasingly prominent, the modern society is more and more dependent on software, software testing has a wide range of needs, based on the software testing technology of defect modes as an important guarantee for high assurance software, defect density can greatly reduce the software, improve software reliability・This paper starts from the basic concept of test, analyze the theory of software testing・Key words: software design software testing program debugging defect density引言 (1)1软件开发生命周期思想概述 (1)1.1”生命周期法“的起源 (1)1.2生命周期划分的原则 (2)13生命周期的划分 (2)14生命周期法的特点 (2)2软件开发生命周期概述 (2)2.1可行性分析 (2)2.2需求分析与说明 (2)2.3程序编码 (3)2.4 软件测试 (3)2. 5 运行维护 (4)3 软件测试概述 (5)4软件测试生命周期概述 (5)4.1软件测试过程 (5)4.1.1动态测试 (6)4.1.2软件可靠性测试定义 (9)4.1.3软件可靠性测过程 (9)结论 (11)注释 (12)参考文献 (13)致谢 (13)有很多种不同的生命周期模型用于软件的开发。

第十四讲形式化方法--程序的正确性验证一、概述计算机的程序是一种静态的对象，但它所描述的问题（问题的解）却是一个动态的对象。

所谓的程序设计就是用程序设计语言中的语句改变程序中数据对象的状态，构造所描述问题的动态行为。

这是不自然的，程序所描述的动态行为也无法直接用程序本身的静态结构进行正确性证明。

形式化规约（formal specification）是需求阶段的形式化说明，是用户需求的严格描述，其一般形式用Hoare逻辑描述[1]如下：├{Φ}P{Ψ} <1>其中Φ和Ψ分别表示初始和结束断言条件，其含义是：“假如初始状态d I满足条件Φ，那么程序结束并且终结状态d f必须满足Ψ”。

设D＝D1×……×D n为程序P的状态空间，其中，D j(j=1,……,n)表示程序中数据对象的值域。

显然，由Φ和Ψ断言条件所确定的合法初始和结束状态的集合是D的一个子集。

执行函数E：Φ×P→Ψ定义如下：无定义对合法的初始状态d i，程序P不结束E（P,d I）=终结状态d f对合法的初始状态d i，程序P结束程序的正确性即为：├{Φ}P{Ψ}iff <2>∀d i(├Φ(d i)→(├程序P结束 and ├Ψ(E(P,d i))))总地来讲，验证一个程序的正确与否有两种办法，一种是程序的测试，另一种是程序的正确性证明。

1．程序的测试与程序的验证对给定的一个合法的初始状态d i，当程序执行结束时其终结状态为d f，那么，Φ(d i)和Ψ(d f)都应该被满足。

这一点可用下式表示：{d i}P{d f} <3>所谓程序的测试就是验证测试用例{d i}P{d f}，即验证程序对d i的执行结果是否为d f。

由于合理的初始状态是无限的，因此，对程序验证来讲，测试不是一个完备的方法。

测试被认为是一种尽量发现错误，但并不能保证程序中没有错误[2]的方法。

对大数应用来讲，它是可满足的；但对有些应用来讲，测试是一种不能满足的验证方法，例如：航空、航天等领域的软件系统。