欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

[软件构造]03-设计规约与断言

程序员文章站 2022-03-10 14:15:49
...

本文主要包含以下方面:

1.规约的概念与内容

2.规约的特点

3.规约的评价度量

4.规约下的函数行为等价性和变值约束

5.断言的概念和作用

6.断言与规约的联系

一、什么是设计规约

软件设计规约(Specification)是对软件的组织或其组成部分的内部结构的描述,满足系统需求规约所指定的全部功能及性能要求。软件设计规约通常有概要设计规约和详细设计规约,分别为相应设计过程的输出文档。软件概要设计是面向软件开发者的文档,主要作为软件项目管理人员、系统分析人员与设计人员之间交流的媒体。概要设计规约指明软件的组织结构,其主要内容包括:

        系统环境:硬件、软件接口与人机界面;外部定义的数据库;与设计有关的限定条件等。

        设计描述:数据流和主要数据结构;软件模块的结构;模块之间的接口。

        模块描述:处理过程外部行为;界面定义;数据结构;必要的注释等。

        文件结构和全局数据:文件的逻辑结构、记录描述以及访问方式;交叉引用信息。

        软件测试方面、软件版权的有关说明。

规约以注释形式撰写时,包括前置条件,对客户端的约束,在使用方法时必须满足的条件(对应requir es),和后置条件,对开发者的约束,方法结束时必须满足的条件(对应effects)。这就达成了一个契约:前置条件达成了,则后置条件必须满足;前置条件没达成,则方法可做任何事。当前置条件违反时,客户端存在bug,尽管程序员无义务提醒,但可以通过快速失败使bug更容易找到。

在撰写规约时,内容应包括输入输出数据类型、功能和正确性、性能,只讲能做什么,不讲如何实现。静态类型声明是一种规约,可据此进行静态类型检查。方法前的注释也是一种规约,但需人工判定是否完备。在注释中参数是@param,前置条件是@requires,后置条件是@effcts,结果是@return,异常是@throws。规约不得谈及方法局部变量或类私有域。下面是一个例子:

static boolean chat(Person A,Person B)
    要求:A,B是两个不同的人
    效果:判断A,B两个人是否讲过话,返回判断结果

二、规约的特点

1)内聚的(Coherent):规约描述的功能应该单一易理解。

2)信息丰富的(Informative):不能让用户对规约产生歧义。

3)约束足够强:规约应给出足够的承诺(后置条件),让用户放心使用。

4)约束足够弱:规约也应推卸适量的责任(前置条件),让程序员开发容易。

5)采用抽象型:在规约里使用抽象类型,给用户和实现体以更大的*度。

例如下面的规约就体现出了抽象性,因为List<L>不记客户端类型,客户端可以做出广泛的类型的数组操作:

static ArrayList<T> united(T A)
    效果:返回一个新数组,它是图中与A相邻的点的集合(不包括A)
         即对于任意B∈Graph都有A->B这条边。

6)平衡前置条件和后置条件:是否使用前置条件取决于检查输入的难度和方法的适用范围,如果只在类的内部使用该方法[private]就可以使用前置条件,在使用该方法的各个位置进行检查[例如checkRep],如果在其他地方使用该方法[public]则可以不使用前置条件,在方法内部对错输入抛出异常。

三、规约的度量

规约具有确定性(描述输出是否确定)、陈述性(只是描述了输出,还是描述了怎么计算输出)、强度(描述规约优劣)。一个规约,前置条件越弱,后置条件越强,则这个规约强度越强,可以替代比它弱的规约。对于强度,有下面两个规约:

/* Spec 1
 * 
 * requires: int a>0 && int b>0
 * effects: calculate and return sqrt(a*b)
*/
/* Spec 2
 * 
 * requires: int a>0
 * effects: return sqrt(a*|b|) and indicate whether b<0 
*/
 

很显然,第2个规约与第1个规约相比对用户要求少了,对用户承诺多了,所以强度更强。

四·、行为等价性

即使两个函数最终功能等价但行为不同,可能在用户看来就不等价,所以要站在客户端的角度分析等价性。其实,只要两个方法符合同一规约,它们就是等价的。

五、规约限定变异(mutate)

除非后置条件声明过,方法内部不能改变输入参数,所以尽量不要设计mutate。可变类型复杂化规约,因为程序中可能有很多变量指向同一可变对象(变量别名现象),而且无法强迫类的实现体和客户端不保存可变变量别名。所以返回值应不可变。

六、断言

断言能够快速失败、避免扩散。断言在开发阶段的代码嵌入,检验某些假设是否成立。若成立,表示程序运行正常,否则表明存在错误。出现AssertionError则某些功能被违反了。断言是对代码中程序员所做假设的文档化,也不会影响运行时性能(实际使用时断言被禁用)。

//常用断言
assert aFunctionReturnBoolean;
assertEquals(value,Function());
assertTrue OP;
assertFalse OP;

在测试中断言对象包括:内部不变量、表示不变量、控制流不变量、前置条件和后置条件。扩展的说还有空指针、一个函数下的不变量、聚合体初始化效果和添加效果、复杂方法的返回值等等。

实际使用断言时,避免直接断言一个可执行语句,这是因为断言可能被禁用,执行语句直接被跳过,断言结果出错。断言维护正确性,错误异常处理维护健壮性。如果参数来自外部不受自己控制使用异常处理,如果参数来自自己写的其它代码,可是使用断言。

七、断言与设计规约的联系

断言与设计规约产生的联系是测试优先编程的重要一环。

一方面,为了写好断言我们必须充分理解设计规约,认识到方法的不变量、该变量都是什么,从而对这些不变和改变进行正确的断言,这样我们才能写好测试用例,为后续编程奠定基础。

另一方面,断言有效检测了方法在编写好后是否真的符合设计规约。一旦不符合预期结果就会产生AssertFailed,从而快速地找到错误根源进行修正。