Formaalit menetelmät

Samankaltaiset tiedostot
Johdanto II. TIE303 Formaalit menetelmät, kevät Antti-Juhani Kaijanaho. Jyväskylän yliopisto Tietotekniikan laitos.

Käytännön formaalit menetelmät

Johdanto. TIE303 Formaalit menetelmät, kevät Antti-Juhani Kaijanaho. Jyväskylän yliopisto Tietotekniikan laitos.

Kehittää ohjelmointitehtävien ratkaisemisessa tarvittavia metakognitioita!

Kehittää ohjelmointitehtävien ratkaisemisessa tarvittavia metakognitioita!

5/20: Algoritmirakenteita III

TIE PRINCIPLES OF PROGRAMMING LANGUAGES Eiffel-ohjelmointikieli

Matematiikan ohjelmointi. Joakim von Wright

RINNAKKAINEN OHJELMOINTI A,

Javan perusteita. Janne Käki

Ohjelmistoarkkitehtuurit Syksy 2009 TTY Ohjelmistotekniikka 1

11/20: Konepelti auki

Vertailulauseet. Ehtolausekkeet. Vertailulauseet. Vertailulauseet. if-lauseke. if-lauseke. Javan perusteet 2004

Dart. Ryhmä 38. Ville Tahvanainen. Juha Häkli

The OWL-S are not what they seem

1 Tehtävän kuvaus ja analysointi

11. Javan toistorakenteet 11.1

9. Periytyminen Javassa 9.1

JReleaser Yksikkötestaus ja JUnit. Mikko Mäkelä

Ohjelmointikielet ja -paradigmat 5op. Markus Norrena

Ohjelmointi 2 / 2010 Välikoe / 26.3

1.3 Lohkorakenne muodostetaan käyttämällä a) puolipistettä b) aaltosulkeita c) BEGIN ja END lausekkeita d) sisennystä

Olio-ohjelmointi Javalla

812336A C++ -kielen perusteet,

Ohjelmointikielet ja -paradigmat 5op. Markus Norrena

Sisällys. Yleistä attribuuteista. Näkyvyys luokan sisällä. Tiedonkätkentä. Aksessorit. 4.2

Ohjelmistojen mallintaminen, mallintaminen ja UML

812341A Olio-ohjelmointi Peruskäsitteet jatkoa

812347A Olio-ohjelmointi, 2015 syksy 2. vsk. X Poikkeusten käsittelystä

9. Periytyminen Javassa 9.1

Ohjelmassa henkilön etunimi ja sukunimi luetaan kahteen muuttujaan seuraavasti:

Apuja ohjelmointiin» Yleisiä virheitä

P e d a c o d e ohjelmointikoulutus verkossa

Rinnakkaisohjelmointi kurssi. Opintopiiri työskentelyn raportti

TT00AA Ohjelmoinnin jatko (TT10S1ECD)

Oliot ja tyypit. TIES542 Ohjelmointikielten periaatteet, kevät Antti-Juhani Kaijanaho. Jyväskylän yliopisto Tietotekniikan laitos

ELM GROUP 04. Teemu Laakso Henrik Talarmo

Opintojakso TT00AA11 Ohjelmoinnin jatko (Java): 3 op Rajapinnat ja sisäluokat

2. Olio-ohjelmoinista lyhyesti 2.1

Sisällys. Yleistä attribuuteista. Näkyvyys luokan sisällä ja ulkopuolelta. Attribuuttien arvojen käsittely aksessoreilla. 4.2

Rekursiolause. Laskennan teorian opintopiiri. Sebastian Björkqvist. 23. helmikuuta Tiivistelmä

1.3Lohkorakenne muodostetaan käyttämällä a) puolipistettä b) aaltosulkeita c) BEGIN ja END lausekkeita d) sisennystä

Sisällys. 12. Näppäimistöltä lukeminen. Yleistä. Yleistä

12. Näppäimistöltä lukeminen 12.1

T Syksy 2004 Logiikka tietotekniikassa: perusteet Laskuharjoitus 12 (opetusmoniste, kappaleet )

1. Olio-ohjelmointi 1.1

Se mistä tilasta aloitetaan, merkitään tyhjästä tulevalla nuolella. Yllä olevassa esimerkissä aloitustila on A.

Java-kielen perusteita

Ohjelmistojen testaus

Sisällys. 9. Periytyminen Javassa. Periytymismekanismi Java-kielessä. Periytymismekanismi Java-kielessä

Sisällys. JAVA-OHJELMOINTI Osa 7: Abstrakti luokka ja rajapinta. Abstraktin luokan idea. Abstrakti luokka ja metodi. Esimerkki

Aalto Yliopisto T Informaatioverkostot: Studio 1. Oliot ja luokat Javaohjelmoinnissa

Harjoitustyön testaus. Juha Taina

Työkalujen merkitys mittaamisessa

5. HelloWorld-ohjelma 5.1

Yksikkötestaus. import org.junit.test; public class LaskinTest public void testlaskimenluonti() { Laskin laskin = new Laskin(); } }

Verifioinnin ja validoinnin ero. 7. Verifiointi ja validointi. Verifiointi- ja validointitekniikat. Verifiointi- ja validointitekniikat II

15. Ohjelmoinnin tekniikkaa 15.1

Ohjelmointi 1 / syksy /20: IDE

Sisällys. 9. Periytyminen Javassa. Periytymismekanismi Java-kielessä. Periytymismekanismi Java-kielessä

ITKP102 Ohjelmointi 1 (6 op)

Sisällys. 6. Metodit. Oliot viestivät metodeja kutsuen. Oliot viestivät metodeja kutsuen

ITKP102 Ohjelmointi 1 (6 op)

Kompositio. Mikä komposition on? Kompositio vs. yhteyssuhde Kompositio Javalla Konstruktorit set-ja get-metodit tostring-metodi Pääohjelma

Luokan muodostimet (Constructors)

A TIETORAKENTEET JA ALGORITMIT

Tietotekniikan valintakoe

Eloisuusanalyysi. TIE448 Kääntäjätekniikka, syksy Antti-Juhani Kaijanaho. 16. marraskuuta 2009 TIETOTEKNIIKAN LAITOS. Eloisuusanalyysi.

58160 Ohjelmoinnin harjoitustyö

TIEA241 Automaatit ja kieliopit, syksy Antti-Juhani Kaijanaho. 8. syyskuuta 2016

Ohjelmistojen mallintaminen, kurssikoe esimerkkivastauksia

4. Luokan testaus ja käyttö olion kautta 4.1

Java kahdessa tunnissa. Jyry Suvilehto

JAVA-PERUSTEET. JAVA-OHJELMOINTI 3op A JAVAN PERUSTEET LYHYT KERTAUS JAVAN OMINAISUUKSISTA JAVAN OMINAISUUKSIA. Java vs. C++?

Copyright by Haikala. Ohjelmistotuotannon osa-alueet

Olion elinikä. Olion luominen. Olion tuhoutuminen. Olion tuhoutuminen. Kissa rontti = null; rontti = new Kissa();

Testaaminen ohjelmiston kehitysprosessin aikana

Toisessa viikkoharjoituksessa on tavoitteena tutustua JUnit:lla testaukseen Eclipse-ympäristössä.

4. Olio-ohjelmoinista lyhyesti 4.1

Tietorakenteet (syksy 2013)

815338A Ohjelmointikielten periaatteet Harjoitus 5 Vastaukset

Pakkauksen kokoaminen

Pakkauksen kokoaminen

12. Javan toistorakenteet 12.1

Sisällys. 11. Javan toistorakenteet. Laskurimuuttujat. Yleistä

15. Ohjelmoinnin tekniikkaa 15.1

Concurrency - Rinnakkaisuus. Group: 9 Joni Laine Juho Vähätalo

Test-Driven Development

Soveltuvuustutkimus Lifebelt-ohjelman ideologian käytettävyydestä olioorientoituneeseen

Sisältö. 2. Taulukot. Yleistä. Yleistä

Testaustyökalut. Luento 11 Antti-Pekka Tuovinen. Faculty of Science Department of Computer Science

Ohjelmoinnin perusteet Y Python

12. Javan toistorakenteet 12.1

Mikä yhteyssuhde on?

on ohjelmoijan itse tekemä tietotyyppi, joka kuvaa käsitettä

5. HelloWorld-ohjelma 5.1

Operaattoreiden ylikuormitus. Operaattoreiden kuormitus. Operaattoreiden kuormitus. Operaattoreista. Kuormituksesta

13. Loogiset operaatiot 13.1

Rajapinta (interface)

ITKP102 Ohjelmointi 1 (6 op)

Transkriptio:

TIE330 Ohjelmistotuotanto, kesä 2004 Formaalit menetelmät Antti-Juhani Kaijanaho antkaij@mit.jyu.fi Jyväskylän yliopisto Tietotekniikan laitos TIE330 Ohjelmistotuotanto, 2004-06-15 p. 1/27

Laatu? Equipped with the basic concepts of class, object and genericity, you can now write software modules that implement possibly parametrized types of data structures. Congratulations. This is a significant step in the quest for better software architectures. But the techniques seen so far are not sufficient to implement the comprehensive view of quality introduced at the beginning of this book. The quality factors on which we have concentrated reusability, extensibility, compatibility must not be attained at the expense of reliability ( correctness and robustness). Bertrand Meyer: Object-oriented Software Construction, Second Edition, Prentice-Hall 1997, luku 11. Lihavointi AJK:n. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 2/27

Laatu? Program testing can be used to show the presence of bugs, but never to show their absence! Edsger W. Dijkstra: Notes On Structured Programming, EWD249, 1970. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 3/27

Formaali? Formaali on suomeksi muodollinen Matematiikassa sana on saanut erityismerkityksen mekaanisesti (tietokoneella) tarkistettavissa oleva. Tavallisesti matemaatikot kuitenkin käyttävät sanaa hieman vapaammin tarkoittamaan erityisen täsmällisesti tehty. Formaalien menetelmien yhteydessä sanaa formaali käytetään samassa merkityksessä kuin matematiikassa. Ohjelmistotekniikassa ja -tuotannossa sanaa käytetään muuten tavallisessa merkityksessään. Huomaa sekaantumisen vaara ja varo! TIE330 Ohjelmistotuotanto, 2004-06-15 p. 4/27

Formaalit menetelmät Formaalien menetelmien alue on hyvin laaja, kaiken kattavaa määritelmää on vaikea asettaa. Yhteistä kaikille formaaleille menetelmille on matemaattisen täsmällisyyden korostaminen ohjelmistotuotannossa. Hyvin monet formaalit menetelmät soveltavat jotain tietojenkäsittelylogiikan teoriaa ohjelmistojen toiminnallisuuden mallittamiseen. Sovellusalueen matematiikan käyttäminen ei kuulu formaaleihin menetelmiin; formaalit menetelmät ovat pikemminkin ohjelmistotekniikan omaa matematiikkaa. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 5/27

Formaaliuden muotoja Ohjelman vaatimusten täsmällistäminen aikaisessa vaiheessa (formal specification) Virhetyyppien poissulkeminen staattisin tarkastuksin (static checking) Kriittisen komponentin oikeellisuuden varmistaminen (correctness proofs) Ohjelman johtaminen tehtäväkuvauksesta (program derivation, contract refinement) Automaattinen testaus (QuickCheck, assertions) TIE330 Ohjelmistotuotanto, 2004-06-15 p. 6/27

Formaaliuden tasot Tasolla 0 ohjelmankehityksessä ei käytetä lainkaan formaaleja menetelmiä eikä muuta matematiikkaa kuin sovellusalan omaa. Tasolla 1 ohjelmankehityksessä käytetään epämuodollista matematiikkaa lähinnä dokumentaation tai ideoinnin apuvälineellä. Käytetyn matematiikan syntaksi ja semantiikka horjuu eikä siten sovellu automaattisesti käsiteltäväksi. Tasolla 2 käytetty matemaattinen notaatio on kiinnitetty sekä syntaksinsa että semantiikkansa osalta. Työskentelyä tukemassa käytetään joitakin automaattisia työkaluja, jotka prosessoivat käytettyä notaatiota lähinnä syntaksin tasolla. Tasolla 3 menetelmän syntaksi ja semantiikka on täysin määritelty ja täysin automatisoitu. Tuotosten sisäinen konsistenttius ja tuotosten keskinäinen oikeellisuus voidaan mekaanisesti todentaa. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 7/27

Formaaleja vihjeitä ohjelmoijille: Väittämät 1 Väittämä (assertion) on suoritettava ohjelmalause, joka tarkistaa, että ohjelman tila on ainakin osittain kunnossa. Käytännössä väittämään liittyy oleellisesti testilauseke, jonka tulee aina väittämän tullessa suoritetuksi saada arvokseen tosi. Väittämien perusasiat: Väittämän laukeaminen (ehto saa väitettä suoritettaessa arvon false) on aina bugin merkki. Käytä väittämiä vain ohjelman sisäisen toiminnan varmistamiseen: syötteen oikeellisuuden tarkistaminen väitteillä on niiden väärinkäyttöä. Yleisemmin: käytä väittämiä vain varmistamaan, että luottamusta ei rikota (esimerkiksi, jos metodi luottaa, että sitä kutsutaan vain tietynlaisilla argumenteilla), älä koskaan luottamuksen luomiseen. a a Tämä periaate on tärkeä turvallisuuskriittistä koodia kirjoitettaessa. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 8/27

Väittämät 2: Esimerkki Oikean Elämän koodista public class ErrorHandler { protected void err(string s) { throw new RuntimeException(s); } private static final Stack handlerstack = new Stack(); private static ErrorHandler currenthandler = new ErrorHandler(); public static void error(string s) { assert currenthandler!= null; currenthandler.err(s); } protected final void register() { assert currenthandler!= null; handlerstack.push(currenthandler); currenthandler = this; } protected final void deregister() { assert currenthandler == this; assert!handlerstack.empty(); currenthandler = (ErrorHandler)handlerStack.pop(); } } TIE330 Ohjelmistotuotanto, 2004-06-15 p. 9/27

Formaaleja vihjeitä ohjelmoijille: Väittämät 3 Tavallisesti väittämät käännetään tehokkuussyistä pois päältä, kun ohjelmasta tehdään tuotantokäyttöön tarkoitettu koonti. Hoare 1970-luvulla: väittämien kääntäminen pois päältä tuotantokäytössä muistuttaa pelastusliivien jättämistä maihin merille mentäessä. Hoare 2000-luvulla: väittämät ovat testioraakkeleita, jotka määrittelevät, milloin ohjelma (ainakin) toimii väärin. Väittämät ovat ensisijaisesti suoritettavaa dokumentaatiota, toissijaisesti testivälineitä ja pieneltä osaltaan ohjelmien analyysin välineitä. Käytännössä kannattaa luokitella väittämät useaan kategoriaan ja ilmaista tämä luokitus ohjelmakoodissa käyttämällä kategorian mukaisesti nimettyä makroa tai metodia paljaan assert-lauseen asemesta. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 10/27

Formaaleja vihjeitä ohjelmoijille: Väittämät 4 Jotkin ohjelmointikielet tarjoavat alkeellisen väittämätuen, esim. C:n assert-funktio ja Javan assert-lause. Nämä ovat yleensä riittämättömiä väittämien tehokäyttäjälle. Harva ohjelmointikieli tarjoaa kunnollisen väittämätuen. Sellainen pitää siis rakentaa itse kirjastoina. Microsoftilla eri projektit käyttävät mm. seuraavia väittämäkategorioita: a SIMPLIFYING_ASSUMPTION (strlen(input) < MAX_PATH, not yet checking for overflow ) COMPILE_TIME_CHECK (sizeof(x)==sizeof(y), addition is undefined for arrays of different sizes ) switch (condition) { case 0:... case 1:... default: UNREACHABLE( condition is really a boolean ); } a Tony Hoare: Towards the Verifying Compiler. O. Owe ym: From Object- Orientation to Formal Methods, Springer 2004, LNCS 2635. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 11/27

Formaaleja vihjeitä ohjelmoijille: Väittämät 5 Esimerkiksi C:ssä voi määritellä makroja eri väittämäkategorioille: #define SIMPLIFYING_ASSUMPTION(test) \ do { \ if (!test) { \ fprintf(stderr, "%s:%d(%s): Simplifying assertion %s failed.",\ FILE, LINE, func, #test);\ exit(exit_failure);\ }\ } while(0) Nyt sitten voidaan kehitystyön aikana sanoa SIMPLIFYING_ASSUMPTION(n < 50), kun halutaan toteuttaa vain osa toiminnallisuudesta. Kehitystyön lopuksi kannattaa varmistaa koneellisella etsinnällä, että tuota makroa ei enää missään käytetä. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 12/27

Formaaleja vihjeitä ohjelmoijille: Sopimusohjelmointi 1 Eräs väittämien sovellus on sopimusohjelmointi: Ohjelma koostuu luokista, joiden ajonaikaisia ilmentymiä sanotaan olioiksi. Kunkin luokan kullakin metodilla on kaksi väittämää: esiehto (precondition) ja jälkiehto (postcondition) Lisäksi kullakin luokalla on yksi luokkakohtainen väittämä, luokkainvariantti (class invariant) Ajatus on, että esi- ja jälkiehdot muodostavat luokan ja sen olioiden käyttäjien (metodien kutsujat) välille sopimuksen. Sopimus antaa kummallekin osapuolelle oikeuksia ja velvollisuuksia toista osapuolta kohtaan. Sopimus luo luottamussuhteen luokan ja sen käyttäjien välille. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 13/27

Formaaleja vihjeitä ohjelmoijille: Sopimusohjelmointi 2 Esiehto on metodin kutsujalle velvollisuus ja metodille itselleen oikeus. Kutsujan on huolehdittava, että esiehto pätee aina kun se kutsuu metodia. Metodi voi luottaa siihen, että metodiin tultaessa esiehto pätee. Sen ei tarvitse (eikä tule!) iffitellä esiehdon toteutumista. Jos esiehto ei päde metodiin tultaesssa, se on kutsujan bugi. Se ilmenee esiehtoväittämän laukeamisena, jos väittämät ovat päällä. Jos esiehto ei päde, metodilla ei ole mitään velvollisuuksia. Jos metodia voi kutsua epäluotettava taho (esimerkiksi RMI:n tms. avulla), esiehdon tulee olla triviaali (aina tosi) ja lähtötilan oikeellisuus tulee tarkistaa iffittelemällä. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 14/27

Formaaleja vihjeitä ohjelmoijille: Sopimusohjelmointi 3 Jälkiehto on metodin (ehdollinen) velvollisuus ja kutsujan (ehdollinen) oikeus. Ehto on kummassakin tapauksessa se, että esiehto päti metodiin tultaessa. Metodin on huolehdittava siitä, että jälkiehto on voimassa, kun metodin suoritus päättyy. Metodi vapautuu tästä vastuusta, jos esiehto ei päde metodiin tultaessa. Kutsuja voi luottaa siihen, että metodin palatessa jälkiehto pätee, jos esiehto päti metodiin tultaessa. Jos jälkiehto ei päde metodista poistuttaessa, vaikka esiehto päti siihen tultaessa, se on metodin bugi. Se ilmenee jälkiehtoväittämän laukeamisena, jos väittämät ovat päällä. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 15/27

Formaaleja vihjeitä ohjelmoijille: Sopimusohjelmointi 4 Luokkainvariantti on ehto, joka karakterisoi luokan olioiden sallitut tilat. Luokan muodostimen tehtävänä on saattaa luokkainvariantti voimaan. Kukin metodi voi olettaa, että suorituksen alkaessa luokkainvariantti on voimassa. Vastaavasti sen tulee huolehtia, että se on voimassa suorituksen päättyessä. Luokkainvariantti on siis oikeastaan osa metodin esi- ja jälkiehtoa. Yleensä sitä ei kuitenkaan kirjoiteta näkyviin esija jälkiehdon yhteyteen vaan luokan itsenäiseksi osaksi. Jos luokassa on riittävä tiedon piilotus (attribuutteja pääsevät muuttamaan vain luokan metodit), invariantin rikkoutuminen on luokan sisäinen bugi. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 16/27

Ohjelman oikeellisuustodistuksesta Sopimusohjelmointi on parhaimmillaan formaaliuden tasolla 2. Väittämät ovat dynaamisia tarkistuksia silloin, kun väittämät ovat kytkettynä. Periaatteessa esi- ja jälkiehtojen sekä invarianttien voimassaolo voidaan tarkistaa staattisella analyysillä. Tällöin ohjelma todistetaan oikeelliseksi esi- ja jälkiehtojen ja invarianttien suhteen. Perusidea: jollakin tavalla käännetään ohjelmakoodi väittämineen loogisiksi kaavoiksi siten, että ohjelma on väittämien suhteen oikeellinen, jos ja vain jos kyseiset kaavat ovat teoreemoja. Sitten käytetään automaattisen päättelyn menetelmiä saatujen kaavojen teoreemuuden todentamiseen tai kumoamiseen. Näin saadaan aikaan tason 3 formaali menetelmä. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 17/27

Sopimussuunnittelu Kun sopimusohjelmointia laajennetaan niin, että sallitaan luokkien perintä ja abstraktit luokat, saadaan aikaan notaatio, jota voidaan pitää myös suunnitteluvaiheeseen sopivana formaalina menetelmänä. Idea on järjestelmän suunnitteleminen määrittelemällä abstrakteja luokkia sopimuksineen. Myöhemmin suunnitelmaa voidaan tarkentaa perimällä uusia luokkia olemassaolevista. Lopulta jopa itse ohjelma voidaan saada aikaan perimällä toteutusluokat suunnitteluluokista. Sopimussuunnittelussa oleellista on, että perintä mallittaa sopimusten tarkentamista: aliluokan metodi voi väljentää esiehtoa ( vaatia vähemmän ) ja väljentää jälkiehtoa ( luvata enemmän ) mutta toisin päin ei onnistu. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 18/27

Formaali spesifiointi Eräs ohjelmistokehityksen isoista ongelmista on myöhään löydetyt ongelmat. Mitä myöhemmin ongelma löytyy, sitä kalliimpaa se on korjata. Pahimmat myöhään löytyvät viat johtuvat puutteellisesta vaatimusmäärittelystä. Eräs formaalien menetelmien merkittävä sovelluskohde on formaali spesifiointi. Ideana on yrittää kirjoittaa kerättyjen vaatimusten perusteella formaali malli rakennettavasta systeemistä. Formaali spesifiointi johtaa vaatimusten täsmälliseen kuvaamiseen aikaisessa vaiheessa. Vaatimusten epäselvyydet ja puutteet tulevat havaituiksi, kun kunnollista formaalia speksiä ei synny. Formaali speksi on nopeampi tehdä ja myös helpompi lukea kuin vastaava ohjelmakoodi, koska se voi olla abstrakti. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 19/27

Speksin analysointi Formaalin speksin etu verrattuna perinteiseen analyysi- tai suunnitteludokumenttiin on sen käyttämä kieli. Formaali speksi voidaan syöttää ohjelmalle, joka analysoi sitä etsien heikkouksia ja ristiriitaisuuksia. Formaali speksi voidaan jopa animoida, jonka tuloksena syntyy karkea prototyyppi rakennettavasta systeemistä, jonka toimintaa voidaan kokeilla ja testata. Formaalia speksiä voidaan analysoida matemaattisesti johtaen siitä ominaisuuksia, jotka speksin kuvaamilla järjestelmillä välttämättä on mutta joita ei speksistä voi suoraan lukea. Lyhyesti sanoen speksi auttaa suunnitelman validoinnissa jo projektin alkuvaiheissa. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 20/27

Speksi ja koodi Speksi toimii myös mainiona vertailukohtana toteutusvaiheen tuotoksille. Speksi on erinomainen testioraakkeli. Kriittisten komponenttien tapauksessa koodin voidaan jopa todistaa täyttävän sille speksissä kuvatut vaatimukset. Jos käytettävä ohjelmointikieli tukee sopimussuunnittelua ja -ohjelmointia, speksi voidaan kirjoittaa jopa ohjelmointikielenä ja näin integroida osaksi itse ohjelmaa! TIE330 Ohjelmistotuotanto, 2004-06-15 p. 21/27

Seitsemän myyttiä 1. Formaalit menetelmät kykenevät takaamaan, että ohjelmisto on täydellinen. 2. Formaaleissa menetelmissä on kyse pelkästään ohjelmien oikeellisuustodistuksista. 3. Formaalit menetelmät auttavat vain kriittisissä (safety-critical) projekteissa. 4. Formaalit menetelmät vaativat korkeasti koulutettuja matemaatikkoja. 5. Formaalit menetelmät kasvattavat kehityskustannuksia. 6. Formaalit menetelmät eivät kelpaa käyttäjille. 7. Formaaleja menetelmiä ei käytetä todellisten, laajojen ohjelmistojen kehityksessä. Anthony Hall: Seven Myths of Formal Methods, IEEE Software, vol 7, no 5, September 1990. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 22/27

Seitsemän muuta myyttiä 8. Formaalit menetelmät hidastavat kehitysprosessia. 9. Formaaleilla menetelmillä ei ole työkalutukea. 10. Formaalit menetelmät korvaavat perinteisen ohjelmistotuotantoprosessin. 11. Formaalit menetelmät sopivat vain softan kehitykseen. 12. Formaalit menetelmät ovat tarpeettomia. 13. Formaaleja menetelmiä ei tueta. 14. Formaalien menetelmien ihmiset käyttävät aina formaaleja menetelmiä. Jonathan P. Bowen, Michael G. Hinchey: Seven More Myths of Formal Methods, IEEE Software, vol 12, no 4, July 1995. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 23/27

Kymmenen käskyä 1. Valitse tilanteeseen sopiva notaatio. 2. Formalisoi mutta älä yliformalisoi. 3. Arvioi kulut. 4. Hanki formaalien menetelmien guru saapuville. 5. Älä hylkää perinteisiä menetelmiäsi. 6. Dokumentoi tarpeeksi. 7. Älä luovu laatuvaatimuksistasi. 8. Älä ole dogmaattinen. 9. Testaa, testaa ja vielä kerran testaa. 10. Käytä uudelleen. Jonathan P. Bowen, Michael G. Hinchey: Ten Commandments of Formal Methods, Computer, vol 28, no 4, April 1995. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 24/27

Suosituksia Suosittelen väittämien vapaamuotoista käyttämistä kaikille projekteille. Suosittelen sopimusohjelmoinnin käyttämistä aina kuin mahdollista. Suosittelen formaalia spesifiointia hankalien tai erityisen tärkeiden komponenttien tekijöille. Suosittelen oikeellisuustodistuksia sellaisten ohjelmien tekijöille, joiden epäonnistuminen maksaa ihmishenkiä tai valtavasti rahaa. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 25/27

Lisää tietoa http://www.mit.jyu.fi/antkaij/opetus/ot/2004/ Bertrand Meyer: Object-oriented Software Construction, Second Edition, Prentice-Hall 1997, luku 11. Formaalien menetelmien kurssi ensi keväänä. TIE330 Ohjelmistotuotanto, 2004-06-15 p. 26/27

Kiitos Kysymyksiä? TIE330 Ohjelmistotuotanto, 2004-06-15 p. 27/27

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute