24、形式化方法的务实视角：Hi - Lite 项目

形式化方法的务实视角：Hi - Lite 项目

1. 引言

有句名言说：“理论上，理论和实践没有区别。实际上，有区别。” 当我们谈到形式化方法时，不同的人有着不同的看法。机场里汇丰银行那种 “不同视角” 的广告，若以密密麻麻的规范页面为主，可能会有三个标签：复杂、有趣、昂贵。对于数学技能有限且对形式主义心存疑虑的程序员来说，它是复杂的；对于更热衷于研究编程理论而非编写实际程序的学术计算机科学家而言，它是有趣的；而对于觉得在软件上投入巨大的飞机制造高管来说，它是昂贵的。

在当今时代，我们的生活高度依赖软件的可靠性。飞机、汽车、医疗设备、手机和相机等设备中的数百万行关键代码，一旦出现故障，可能会导致严重后果，从错过记录婚礼的宝贵机会到在车祸中失去生命， stakes（风险）极高。

形式化方法涵盖了多种技术和方法，其核心是将程序视为形式化的数学对象，运用数学家们积累了数百年的工具和技术进行严谨推理。虽然从理论上能正式证明程序的正确性和可靠性很有吸引力，但我们更关注现有技术的成果以及未来的可能性。Hi - Lite 项目就是一个新的协作项目，旨在整合现有技术，让有效的方法得到更广泛应用。

2. 可靠性与正确性

在学术界，人们常将可靠性和正确性的概念混为一谈。但从务实的角度看，这两个概念截然不同。

正确性指程序的行为符合某种形式化模型，通常表述为程序与形式化规范的一致性。而可靠性意味着程序在实际应用中表现良好，能够被接受。一个程序可能在某个规范下是正确的，但由于规范不正确或不完整，它可能仍然不可靠。反之，即使程序存在错误，但如果这些错误发生的频率足够低或重要性足够小，也可以认为它是可靠的。例如，有个学生发现一家美国大型出版商的