超级会员免费看
允许规范中的状态变化
1. 引言
软件规范旨在描述软件,然而当规范与实现使用相同的表达式语言时,可能会模糊描述与被描述事物之间的界限。若规范包含改变程序状态的表达式,程序的含义可能会因规范的存在与否而不同。
尽管存在这样的问题,但在实现和规范中使用相同的表达式语言仍有诸多好处。为防止不必要的干扰,规范通常被限制在表达式语言的无副作用(纯)子集内。对于(程序员定义的)函数是否应属于该子集,目前主要有三种方法:
- 完全禁止在规范中使用函数 :这种方法实现简单,但扩展性差,对规范的实际使用限制过多,如 ESC/Java 采用此方法。
- 仅允许可证明为纯的函数 :从理论角度看是个不错的解决方案,但自动静态分析可能会拒绝一些纯函数,JML 采用此方法。
- 允许自由使用函数,但要求程序员避免使用有副作用的函数 :这种方法没有限制且易于实现,但无法保证包含规范时程序的含义不变,对于程序员无法控制的库函数也不实用,Eiffel 采用此方法。
我们关注一种可靠、实用的静态分析方法,它超越了纯粹性,允许良性副作用,使程序员能在规范中尽可能自由地使用函数。我们提出了观察纯度的定义和静态分析方法来确定它。观察纯度的直觉是,函数的副作用只有在调用者不可观察时才被允许。
2. 迈向观察纯度
考虑一个类 C ,其中包含一个方法 f ,用于计算类型为 T → U 的函数 expensive 。由于
订阅专栏 解锁全文
扫一扫
5928
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
