Khóa luận Đặc tả và kiểm chứng các phần mềm tương tranh
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Lê Hồng Phong
ĐẶC TẢ VÀ KIỂM CHỨNG CÁC PHẦN MỀM
TƯƠNG TRANH
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công nghệ thông tin
HÀ NỘI - 2010
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Lê Hồng Phong
ĐẶC TẢ VÀ KIỂM CHỨNG CÁC PHẦN MỀM
TƯƠNG TRANH
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành:Côngnghệ thôngtin
Cán bộ hướng dẫn: Ts. Phạm Ngọc Hùng
Cán bộ đồng hướng dẫn: Ths. Đặng Việt Dũng
HÀ NỘI - 2010
n
Đặc tả và kiểm chứng các phần mềm tương tranh
LỜI CẢM ƠN
Lời đầu tiên em xin bày tỏ lòng biết ơn sâu sắc đến thầy Phạm Ngọc Hùng và
thầy Đặng Việt Dũng đã tận tình hướng dẫn, chỉ bảo em trong quá trình thực hiện đề
tài.
Em xin chân thành cảm ơn các thầy cô giáo trong Khoa Công nghệ Thông tin,
trường Đại học Công Nghệ, Đại học Quốc Gia Hà Nội đã tận tình giảng dạy, trang bị
cho em những kiến thức quý báu trong suốt thời gian qua.
Con xin chân thành cảm ơn ông bà, cha mẹ đã luôn động viên, ủng hộ con trong
suốt thời gian học tập và thực hiện khóa luận tốt nghiệp.
Tôi xin cảm ơn sự quan tâm, giúp đỡ và ủng hộ của anh chị em, bạn bè trong quá
trình thực hiện khóa luận.
Mặc dù đã cố gắng hoàn thành khóa luận trong phạm vi và khả năng cho phép
nhưng chắc chắn sẽ không tránh khỏi những thiếu sót. Em rất mong nhận được sự
thông cảm, góp ý và tận tình chỉ bảo của quý thầy cô và các bạn.
Hà Nội, ngày 15 tháng 5 năm 2010
Sinh viên thực hiện
Lê Hồng Phong
i
Đặc tả và kiểm chứng các phần mềm tương tranh
TÓM TẮT
Phần mềm tương tranh, một phần mềm được ứng dụng rộng rãi trong các hệ
thống nhúng và các hệ thống điều khiển. Chúng có vai trò vô cùng quan trọng trong
việc điều khiển các hệ thống đó. Chỉ cần một lỗi nhỏ của phần mềm có thể gây ra hậu
quả vô cùng nghiêm trọng vì những hệ thống này có thể trực tiếp và gián tiếp ảnh
hưởng đến cuộc sống của con người. Chính vì vậy phần mềm tương tranh phải được
kiểm chứng để giảm thiểu tối đa lỗi của chương trình. Vì những lý do đó, đề tài “Đặc
tả và kiểm chứng các phần mềm tương tranh” đề cập tới phương pháp hình thức, các lý
thuyết về máy hữu hạn trạng thái (Finite State Process, FSP) và sử dụng máy hữu hạn
trạng thái để đặc tả thiết kế và mã nguồn của phần mềm tương tranh. Từ đó sử dụng
công cụ phân tích máy hữu hạn trạng thái để kiểm chứng xem thiết kế và mã nguồn
của phần mềm có lỗi và chạy đúng theo yêu cầu không.
Do thời gian có hạn nên phần thực nghiệm trong khóa luận này em chỉ thực hiện
kiểm chứng một applet được viết bằng Java. Thiết kế của bài toàn đã được đặc tả sẵn
bằng FSP. Nhiệm vụ của em là kiểm chứng xem thiết kế đó có lỗi xác hay không và
chuyển mã nguồn Java của applet thành FSP để kiểm chứng xem mã nguồn có chạy
đúng theo thiết kế hay không.
ii
Đặc tả và kiểm chứng các phần mềm tương tranh
MỤC LỤC
Chương 1: Giới thiệu...................................................................................................1
1.1 Nhu cầu thực tế và lý do thực hiện đề tài ............................................................1
1.2 Mục tiêu của đề tài..............................................................................................2
1.3 Nội dung của khóa luận ......................................................................................3
Chương 2: Các khái niệm cơ bản .................................................................................4
2.1 Phương pháp mô hình hóa ..................................................................................4
2.2 FSP.....................................................................................................................5
2.2.1 Khái niệm FSP .............................................................................................5
2.2.2 Các thành phần cơ bản trong FSP .................................................................6
2.2.3 Quy trình tuần tự ..........................................................................................9
2.3 LTS ..................................................................................................................11
2.3.1 LTS............................................................................................................11
2.3.2 Deadlock....................................................................................................13
2.3.2.1 Khái niệm.............................................................................................13
2.3.2.2 Phân tích Deadlock ..............................................................................14
2.3.3 Thuộc tính An toàn.....................................................................................14
2.3.4 Thuộc tính Liveness ...................................................................................15
2.4 Công cụ LTSA..................................................................................................15
2.5 Kết luận............................................................................................................16
Chương 3: Kiểm chứng thiết kế .................................................................................17
3.1 Đặc tả thiết kế bằng FSP...................................................................................17
3.3. Kiểm chứng thiết kế bằng LTSA .....................................................................23
3.3.1 Giao diện của công cụ LTSA......................................................................23
3.3.2 Check safety...............................................................................................24
3.3.3 Check Progress...........................................................................................25
3.3.4 Compile......................................................................................................25
3.3.5 LTS Analiser ..............................................................................................27
3.3.6 LTSA Animator..........................................................................................28
3.4 Kết luận............................................................................................................30
Chương 4: Kiểm chứng cài đặt ..................................................................................31
vi
Đặc tả và kiểm chứng các phần mềm tương tranh
4.1 Phương pháp để kiểm chứng cài đặt..................................................................31
4.2 Cách chuyển từ mã nguồn Java sang FSP .........................................................31
4.3 Ứng dụng để chuyển mã nguồn bài toán “SingleLandBridge” ..........................34
4.5 Kiểm chứng cài đặt...........................................................................................36
4.6 Kết luận............................................................................................................41
Chương 5: Kết luận....................................................................................................42
Tài liệu tham khảo .....................................................................................................43
vii
Đặc tả và kiểm chứng các phần mềm tương tranh
Danh mục các hình vẽ
Hình 2.1: Nghiên cứu khí động học trên mô hình ô tô..................................................4
Hình 2.2.1a: Mô hình hóa hành trình bay của máy bay................................................6
Hình 2.2.2a: Máy trạng thái DRINKS..........................................................................7
Hình 2.2.2b: Máy trạng thái Gate................................................................................8
Hình 2.3.1c: Tiến trình tuần tự BOMP.......................................................................10
Hình 2.3.1d: Sự tổng hợp tuần tự LOOP....................................................................10
Hình 2.3.1e : Sự tổng hợp song song hai tiến trình tuần tự. .......................................11
Hình 2.3.1a: Máy trạng thái PHIN ............................................................................12
Hình 2.3.1b: Máy trạng thái FORK ...........................................................................13
Hình 2.3.2.1a: Bữa tối của triết gia ...........................................................................13
Hình 2.3.2.1b: Deadlock............................................................................................14
Hình 2.4a: Mô hình hành động của chiếc ô tô............................................................16
Hình 2.4b: LTSA animator điều khiển các hành động trong mô hình 2.4a .................16
Hình 3.1: Mô tả các ô tô đi qua một chiếc cầu hẹp ....................................................18
Hình 3.3.1: Giao diện công cụ LTSA..........................................................................23
Hình 3.3.2: Kết quả hiển thị sau khi check safety.......................................................24
Hình 3.3.3: Kết quả hiển thị khi check progress.........................................................25
Hình 3.3.4: Kết quả hiển thị khi biên dịch đoạn mã LTS ............................................26
Hình 3.3.5: LTS Analiser SingleLaneBridge ..............................................................27
Hình 3.3.6: Animator SingleLandBridge....................................................................29
Hình 4.5a: Mở tệp SafeBridge bằng công cụ LTSA....................................................37
viii
Đặc tả và kiểm chứng các phần mềm tương tranh
Hình 4.5b: Check safety phương thức redExit............................................................38
Hình 4.5c: Check prgress phương thức redExit .........................................................39
Hình 4.5d: Máy trạng thái REDEXIT.........................................................................40
Hình 4.5e: Máy trạng thái REDEXIT trong thiết kế. ..................................................41
ix
Đặc tả và kiểm chứng các phần mềm tương tranh
Danh mục các bảng biểu
Bảng 4.3.2a Những toán tử tương đương giữa FSP và Java ......................................32
Bảng 4.3.2b: Các thành phần cơ bản khi chuyển từ Java sang FSP:..........................32
x
Đặc tả và kiểm chứng các phần mềm tương tranh
BẢNG KÝ TỰ VIẾT TẮT
Ký tự viết tắt
Ý nghĩa
Máy hữu hạn trạng thái
FSP (Finite State Process)
LTS (Labelled Transition System) Máy dịch chuyển trạng thái có gán nhãn
LTSA (LTS Analyzer)
Công cụ hỗ trợ kiểm chứng với đặc tả là
LTS
vii
Đặc tả và kiểm chứng các phần mềm tương tranh
Chương 1: Giới thiệu
1.1 Nhu cầu thực tế và lý do thực hiện đề tài
Ngày nay, cùng với sự phát triển mạnh mẽ của máy móc phục vụ đời sống con
người là sự phát triển âm thầm của các hệ thống tương tranh. Chúng được tạo ra để
điều khiển hoạt động của những máy móc đó. Một hệ thống tương tranh có thể bao
gồm cả phần mềm và phần cứng nhưng cũng có thể chỉ có phần mềm. Phần mềm
tương tranh chính là linh hồn của hệ thống, giúp chúng hoạt động chính xác theo
những gì mà con người yêu cầu. Hiện nay, phần mềm tương tranh được ứng dụng rất
nhiều trong các hệ thống nhúng và điều khiển. Từ những vật dụng rất đơn giản trong
đời sống hàng ngày như nồi cơm điện, ti vi, đến những hệ thống điều khiển phức tạp
như hệ thống điều khiển tên lửa đều có một hoặc nhiều phần mềm tương tranh điều
khiển.
Những vật dụng, hệ thống điều khiển này gắn bó chặt chẽ với chúng ta, chỉ cần
một lỗi nhỏ của phần mềm tương tranh cũng có thể gây ra hậu quả nghiêm trọng. Đã
có những con tàu vũ trụ vừa mới rời khỏi mặt đất thì đã rơi, tiêu tốn hàng tỷ đô la để
nghiên cứu, chế tạo nó. Nguyên nhân gây ra tai nạn đó chính là do lỗi của hệ thống
điều khiển con tàu.
Chính vì vậy, yêu cầu kiểm chứng an toàn cho các hệ thống tương tranh là hoàn
toàn tất yếu. Hiện nay, song song với quá trình sản xuất phần mềm luôn có một quá
trình kiểm thử (testing) phần mềm. Tuy nhiên, kiểm thử là chưa đủ vì các phương
pháp kiểm thử hiện tại chỉ là kiểm tra dữ liệu đầu ra của phần mềm rồi so sánh với dữ
liệu đầu vào để kiểm tra xem chương trình chạy có lỗi hay không. Chúng không hề
kiểm tra được chi tiết hoạt động của chương trình và không kiểm soát được những lỗi
tiềm ẩn ngay cả khi chương trình vẫn chạy đúng. Nếu phần mềm phát hành ra mà vẫn
còn chứa lỗi thì nhà sản xuất phải thu hồi sản phẩm để sửa chữa. Điều này làm giảm
uy tín và tiêu tốn nhiều tiền của nhà sản xuất.
Chúng ta hoàn toàn có thể khắc phục được những vấn đề trên bằng cách sử dụng
phương pháp hình thức để đặc tả và kiểm chứng những phần mềm đòi hỏi tính an toàn
cao, nhất là các phần mềm tương tranh.
Cách tiếp cận của khóa luận là:
1
Đặc tả và kiểm chứng các phần mềm tương tranh
Trước hết, phải đảm bảo có một thiết kế đúng, chính xác bằng cách đặc tả thiết
kế bằng FSP[1] và sử dụng công cụ LTSA[1][4] để kiểm chứng thiết kế đó. Sau khi
thiết kế đã được kiểm tra và thẩm định tính đúng đắn, chúng ta tiến hành cài đặt
chương trình.
Sau khi đã xây dựng xong phần mềm, có một câu hỏi đặt ra là liệu cài đặt có
đúng với thiết kế không? Chúng ta đã có công cụ để kiểm tra tính đúng đắn của thiết
kế vì vậy giải pháp cho bài toán này chính là chuyển mã nguồn của cài đặt thành chính
mô hình được đặc tả bằng FSP và sử dụng công cụ LTSA để kiểm chứng.
Với cách tiếp cận này, ta có được một quy trình kiểm chứng đầy đủ hai chiều, có
tính hệ thống từ pha kiểm thử đến pha cài đặt.
1.2 Mục tiêu của đề tài
Phương pháp hình thức là các kỹ thuật toán học được sử dụng để đặc tả, phát
triển và kiểm chứng các hệ thống phần mềm và phần cứng. Phương pháp tiếp cận này
đặc biệt quan trọng đối với các hệ thống cần có tính toàn vẹn cao như hệ thống điều
khiển lò phản ứng hạt nhân, điều khiển tên lửa, khi vấn để an toàn hay an ninh có vai
trò quan trọng, để góp phần đảm bảo rằng quá trình phát triển của hệ thống sẽ không
có lỗi. Khi kiểm chứng bằng phương pháp hình thức, điều đặc biệt là chúng ta không
cần dữ liệu đầu vào mà chỉ cần kiểm tra các mô hình mô tả các hành động, trạng thái
của hệ thống khi hoạt động.
Như vậy, đề tài cần giải quyết các công việc chính sau:
. Tìm hiểu về phương pháp mô hình hóa, máy hữu hạn trạng thái, máy
dịch chuyển trạng thái có gán nhãn (Labelled Transition System, LTS)
và công cụ hỗ trợ kiểm chứng LTSA (Labelled Transition System
Analyzer).
. Sử dụng công cụ hỗ trợ kiểm chứng LTSA để kiểm chứng thiết kế của
một hệ thống điều khiển được đặc tả bằng FSP.
. Đặc tả mã nguồn Java của hệ thống điều khiển trên bằng FSP, sử dụng
công cụ hỗ trợ kiểm chứng LTSA để kiểm tra xem chương trình có lỗi và
đúng với thiết kế không.
2
Đặc tả và kiểm chứng các phần mềm tương tranh
1.3 Nội dung của khóa luận
Nội dung của khóa luận gồm 5 chương:
Chương 1 trình bày nhu cầu thực tế, lý do thực hiện đề tài và mục tiêu cần đạt
được.
Chương 2 giới thiệu những lý thuyết cơ bản về phương pháp mô hình hóa, máy
hữu hạn trạng thái, máy dịch chuyển trạng thái có gán nhãn và công cụ phân tích
LTSA của nó để ứng dụng trong kiểm chứng.
Chương 3 trình bày ứng dụng FSP và LTSA để kiểm chứng một thiết kế xem có
chính xác với yêu cầu bài toán đặt ra không?
Chương 4 trình bày cách chuyển từ Java sang FSP để ứng dụng kiểm chứng một
chương trình có thỏa mãn thiết kế hay không?
Chương 5 khái quát những kết quả đạt được và hướng phát triển trong tương lai.
3
Đặc tả và kiểm chứng các phần mềm tương tranh
Chương 2: Các khái niệm cơ bản
Trong chương này chúng ta sẽ tìm hiểu một số khái niệm về phương pháp mô
hình hóa, máy hữu hạn trạng thái, máy dịch chuyển trạng thái có gán nhãn và công cụ
hỗ trợ kiểm chứng LTSA.
2.1 Phương pháp mô hình hóa
Mô hình là một đại diện đơn giản hóa của thế giới thực. Mô hình được sử dụng
rộng rãi trong kỹ thuật, để tập trung vào một khía cạnh cụ thể của một hệ thống thế
giới thực [1].
Ví dụ, các nhà khoa học muốn nghiên cứu tính động học của một chiếc ô tô.
Thay vì sử dụng một chiếc ô tô thật, nhà khoa học chỉ cần sử dụng mô hình của chiếc ô
tô đó với điều kiện mô hình phải có hình dáng bên ngoài giống hệt chiếc ô tô thật. Khí
động học của ô tô chỉ bị ảnh hưởng do hình dáng bên ngoài của nó nên nghiên cứu trên
mô hình hoàn toàn cho kết quả chính xác giống như nghiên cứu trên chiếc ô tô thật.
Hình 2.1: Nghiên cứu khí động học trên mô hình ô tô
Như vậy phương pháp mô hình hóa có ưu điểm là tạo được môi trường gần giống
với thực tế từ đó cho kết quả kiểm tra tương đối chính xác.
Thiết kế có vai trò vô cùng quan trọng trong sản xuất phần mềm nói chung và
phần mềm tương tranh nói riêng. Phần mềm được lập trình ra có đạt yêu cầu hay
4
Đặc tả và kiểm chứng các phần mềm tương tranh
không là phụ thuộc vào thiết kế có chính xác hay không? Chính vì vậy, lựa chọn
phương pháp thiết kế phù hợp với đặc tính của phần mềm là hết sức quan trọng.
Khi thiết kế một phần mềm tương tranh, chúng ta phải mô tả chi tiết được các
hoạt động của phần mềm. Thiết kế càng chi tiết thì phần mềm hoạt động càng chính
xác. Tuy nhiên, để có được một thiết kế chính xác như vậy rất khó. Các phương pháp
thiết kế hiện tại chỉ đáp ứng được yêu cầu tạo ra thiết kế theo yêu cầu của sản phẩm.
Tuy nhiên chúng lại không giải quyết được vấn đề kiểm chứng các thiết kế đó. Như
vậy, chúng ta sẽ không thể tìm ra những hạn chế của thiết kế. Bài toán đó sẽ được giải
quyết bằng việc khai thác ưu điểm nổi bật của phương pháp mô hình hóa:
- Phương pháp mô hình hóa có thể tạo ra một thiết kế mô tả được chi tiết hoạt
động của hệ thống. Ở đây chúng ta sẽ sử dụng mẫu FSP để đặc tả thiết kế đó.
- Phân tích mẫu thiết kế thông qua việc sử dụng công cụ LTSA, chúng ta có thể
kiểm tra được mẫu thiết kế được đặc tả bằng FSP có chạy đúng, chính xác hay không.
Khi phần mềm đã được viết xong, với phương pháp hình thức, chúng ta có thể
mô hình hóa mã nguồn của phần mềm để kiểm chứng xem phần mềm có chạy đúng
theo thiết kế hay không. Đây chính là ứng dụng ngược rất hay của phương pháp hình
thức.
2.2 FSP (Finite State Process)
2.2.1 Khái niệm FSP
Máy hữu hạn trạng thái (FSP) được tạo ra để mô tả các mô hình tiến trình. FSP
có thể mô tả được những hành động, trạng thái của tiến trình. Ta lấy một ví dụ đơn
giản mô tả các hành động cất cánh, bay, hạ cánh của một chiếc máy bay:
cất cánh -> bay -> hạ cánh -> cất cánh -> bay -> hạ cánh -> ……
Ta có thể thấy nếu máy bay còn hoạt động được thì các hành động này sẽ liên
tục xảy ra đến khi nào mà máy bay không được sử dụng nữa. Chính vì vậy mô tả trên
sẽ không thể nào đầy đủ được. Tuy nhiên ta hoàn toàn có thể giải quyết vấn đề đó nếu
mô tả các hành động đó bằng FSP:
5
Đặc tả và kiểm chứng các phần mềm tương tranh
Maybay = (catcanh -> bay -> hacanh -> Maybay).
FSP có tính đệ quy nên ta có thể dễ dàng giải quyết bài toán trên. Ta có mô hình
được phân tích từ mẫu FSP này:
Hình 2.2.1a: Mô hình hóa hành trình bay của máy bay.
Một phần mềm tương tranh bao gồm rất nhiều tiến trình, mỗi tiến trình là sự
thực thi của một tiến trình tuần tự. Một tiến trình được chia làm một hoặc nhiều hành
động nguyên tử ( hành động nguyên tử không thể chia được thành các hành động nhỏ
hơn), các hành động này được thực thi một cách tuần tự. Mỗi hành động gây ra một sự
chuyển tiếp từ trạng thái hiện tại sang trạng thái tiếp theo. Trình tự các hành động xảy
ra có thể được xác định bằng một đồ thị chuyển tiếp. Nói cách khác, chúng ta có thể
mô hình hóa các tiến trình thành các máy hữu hạn trạng thái [1].
Như vậy, chúng ta hoàn toàn có thể mô hình hóa chi tiết một phần mềm tương
tranh với đặc tả là FSP.
2.2.2 Các thành phần cơ bản trong FSP
Action prefix ((x -> P)): Nếu x là một hành động và P là một tiến trình thì một
action frefix (x -> P) mô tả một tiến trình trong đó các hành động x hoạt động đúng
theo mô tả của tiến trình P [1]. Tiến trình P phải viết hoa chữ cái đầu, hành động x viêt
bằng chữ cái thường.
Ta lấy lại ví dụ trên phần 2.2.1 :
Maybay = (catcanh -> bay -> hacanh -> Maybay).
6
Đặc tả và kiểm chứng các phần mềm tương tranh
Trong đó: Maybay là một tiến trình
catcanh, bay, hacanh là các hành động.
Lựa chọn (| Choice): Nếu x, y là các hành động thì (x -> Q | y -> P) mô tả một
tiến trình trong đó các hành động đầu tiên tham gia là x hoặc y. Các hành động tiếp
theo hoạt động theo mô tả của Q nếu hành động đầu tiên xảy ra là x, các hành động
tiếp theo hoạt động theo mô tả của P nếu hành động đầu tiên xảy ra là y.
Ví dụ mô tả việc lấy nước uống ở máy đun nước [1], nếu ấn nút đỏ thì được cà
phê, nếu ấn nút xanh thì được trà:
DRINKS = (red -> coffee -> DRINKS
| blue -> tea -> DRINKS).
Khi phân tích mẫu FSP trên ta đuợc mô hình:
Hình 2.2.2a: Máy trạng thái DRINKS
Lập chỉ mục cho các quy trình và hành động (indexed process and actions)
Khi mô hình các tiến trình và hành động có có những trường hợp những tiến trình và
hành động đó có rất nhiều giá trị. Ta có thể gán nhãn cho các quy trình và hành động
đó và lập chỉ mục cho chúng. Ví dụ FSP mô tả hành động vào, ra của 3 chiếc ô tô khi
qua 3 cổng của một trạm soát vé:
7
Đặc tả và kiểm chứng các phần mềm tương tranh
Gate = (in[1] -> out[1] -> Gate
| in[2] -> out[2] -> Gate
| in[3] -> out[3] -> Gate).
Trong đó [1], [2], [3] là chỉ mục của các hành động in và out.
Kết quả khi phân tích bằng công cụ LTSA:
Hình 2.2.2b: Máy trạng thái Gate
Tham số tiến trình (Process parameters): khi tiến trình và hành động có nhiều
giá trị thì thay vì đánh chỉ mục thì chúng ta có thể tạo tham số để mô tả tiến trình bằng
FSP được gọn hơn. Ta lấy ví dụ Gate ở trên:
const N = 3
Gate = ( in[i:1..N] -> out[i] -> Gate).
Trong đó i:1..N có nghĩa i có giá trị lần lượt từ 1 đến N.
Hành động được đảm bảo (Guarded Action): thường rất hữu dụng để định
nghĩa các hành động cụ thể nhưng muốn xảy ra phải thỏa mãn một điều kiện nào đó.
Ví dụ mô tả đám đông vào thang máy, thang máy cho phép chở 10 người, nếu số
8
Đặc tả và kiểm chứng các phần mềm tương tranh
người quá quy định thì phải ra bớt, ngược lại có thể thêm người vào vì còn nhiều
người đang chờ được vào:
Count(N=10) = Count[1],
Count[i:1..N] = (when(i<N) enter -> Count[i+1]
| when(i>N) out -> Count[i-1]).
Hành động được đảm bảo bởi “when” đảm bảo cho thang máy hoạt động đúng
công suất. Khi số người quá quy định thì phải ra ngoài bớt, khi số người trong thang
chưa tới giới hạn thì có thể tiếp tục vào.
Alphabet của tiến trình (Process Alphabet): Alphabet của một tiến trình là một
tập hợp tất cả cách hành động mà nó có thể tham gia. Ta lấy một ví dụ định nghĩa
WRITE sử dụng write[1] và write[3]:
WRITER = (write[1]->write[3]->WRITER)
+{write[0..3]}.
Trong ví dụ này thì Alphabet của WRITE là write[0..3].
2.2.3 Quy trình tuần tự
Các tiến trình trong FSP được chia làm 3 loại:
- Các tiến trình cục bộ (local process) được định nghĩa là một trạng thái trong
một tiến trình cơ bản [1].
- Tiến trình cơ bản (primitive process) được xác định bởi tập hợp các tiến trình
cục bộ. Một tiến trình cục bộ được xác định bằng cách sử dụng STOP, ERROR, tiền
hành động (Action prefix) và lựa chọn (|, choice) [1].
- Tiến trình tuần tự ( sequential process) là một tiến trình có thể kết thúc. Một
tiến trình có thể kết thúc nếu một tiến trình cục bộ END có thể được với tới từ trạng
thái bắt đầu của nó [1].
9
Đặc tả và kiểm chứng các phần mềm tương tranh
Tiến trình cục bộ END: Tiến trình cục bộ END biểu thị trạng thái mà tiến trình
kết thúc thành công. Một tiến trình đúng đắn khi không có hành động nào tiếp theo xảy
ra sau END. Về mặt ngữ nghĩa nó tương tự như STOP. Tuy nhiên, STOP là một trạng
thái mà tiến trình tạm ngưng quá sớm, thường là do deadlock. STOP được sử dụng khi
ta muốn kết thúc một tiến trình [1]. Ví dụ sau mô tả tiến trình hẹn giờ một quả bom nổ
trong đó trạng thái E là trạng thái kết thúc:
Hình 2.3.1c [1] : Tiến trình tuần tự BOMP
Sự tổng hợp các tiến trình tuần tự: Nếu Q là một tiến trình tuần tự, P là một
tiến trình cục bộ, sau đó P;Q biểu diễn cho sự tổng hợp tuần tự như vậy khi P kết thúc,
P;Q sẽ trở thành tiến trình Q [1].
Nếu chúng ta định nghĩa tiến trình SKIP = END then P; SKIP ≡ P and SKIP; P ≡
P. Một sự tổng hợp tuần tự trong FSP luôn luôn có dạng: SP1;SP2;….;SPn;LP [1]
Nơi SP1;…;SPn là sự tổng hợp tuần tự và LP là tiến trình cục bộ. Một sự tổng
hợp tuần tự có thể xuất hiện ở bất cứ chỗ nào trong định nghĩa của một tiến trình cơ
bản mà một tiến trình cục bộ tham chiếu đến có thể xuất hiện [1].
Ví dụ tiến trình P123 và LOOP:
Hình 2.3.1d[1]: Sự tổng hợp tuần tự LOOP
10
Đặc tả và kiểm chứng các phần mềm tương tranh
Sự tổng hợp song song các tiến trình tuần tự: Sự tổng hợp song song SP1 ||
SP2 của hai tiến trình tuần tự SP1 và SP2 kết thúc khi cả hai tiến trình cùng kết thúc.
Nếu kết thúc có thể tới được trong SP1 || SP2 thì nó là tiến trình tuần tự [1].
Hình dưới cho một ví dụ về sự tổng hợp song song của tiến trình tuần tự.:
Hình 2.3.1e[1] : Sự tổng hợp song song hai tiến trình tuần tự.
2.3 LTS (Labelled Transition System)
2.3.1 LTS
Khái niệm: Về cơ bản LTS[1][2] (Lebelled Transition System) giống FSP, mỗi
mô tả FSP có một mô tả máy trạng thái (LTS) tương ứng. Mỗi LTS tương ứng với một
quá trình FSP là một đồ thị. Ta lấy ví dụ LTS mô tả bài toán “bữa tối của triết gia” [1]:
11
Đặc tả và kiểm chứng các phần mềm tương tranh
PHIL = (sitdown->right.get->left.get
->eat->left.put->right.put
->arise->PHIL).
FORK = (get -> put -> FORK).
||DINERS(N=5)= forall [i:0..N-1]
(phil[i]:PHIL
||{phil[i].left,phil[((i-1)+N)%N].right}::FORK).
menu RUN = {phil[0..4].{sitdown,eat}}
Phân tích mẫu LTS này ta được 2 mô hình tương ứng:
Hình 2.3.1a: Máy trạng thái PHIN
12
Đặc tả và kiểm chứng các phần mềm tương tranh
Hình 2.3.1b: Máy trạng thái FORK
2.3.2 Deadlock
2.3.2.1 Khái niệm
Deadlock xảy ra trong hệ thống khi tất cả các tiến trình của hệ thống đều bị
chặn hoặc không đủ điều kiện để tiến trình đó hoạt động.
Một ví dụ về deadlock điển hình là: “bữa tối của triết gia”. Một bàn ăn có 5 cái
ghế, 5 vị triết gia cùng ngồi vào chiếc bàn. Khi bày đũa, người phục vụ chỉ để vào giữa
mỗi người 1 chiếc đũa. Như vậy 2 bên mỗi vị triết gia đều có 2 chiếc đũa nhưng nếu
người này cầm đũa thì người kia sẽ không có:
Hình 2.3.2.1a: Bữa tối của triết gia[1]
Nếu số đũa được chia đều ra cho năm người, như vậy mỗi người sẽ có một
chiếc đũa. Cả năm người sẽ không thể thực hiện bữa ăn của mình với một chiếc đũa
được, khi đó deadlock xảy ra.
13
Đặc tả và kiểm chứng các phần mềm tương tranh
Hình 2.3.2.1b: Deadlock[1]
2.3.2.2 Phân tích Deadlock
Trong mô hình trạng thái hữu hạn FSP của một tiến trình, một trạng thái
deadlock là một trạng thái không có sự chuyển tiếp đi. Một tiến trình ở trạng thái như
vậy có thể không tham gia vào các hành động tiếp theo. Trong FSP trạng thái deadlock
này được biểu diễn bằng một biến cục bộ STOP[1].
Nhìn chung, hệ thống tương tranh với rất nhiều tiến trình xảy ra rất có thể sẽ
xảy ra bế tắc. Việc kiểm tra, phân tích deadlock trong đồ thị LTS là hết sức quan
trọng. Nó đảm bảo cho việc thiết kế chương trình phần mềm đúng đắn và chính xác.
Công cụ LTSA có sẵn chức nằng phân tích deadlock, chúng ta sẽ nghiên cứu ở phần
sau.
2.3.3 Thuộc tính An toàn (safety property)
Khái niệm safety: Thuộc tính an toàn đảm bảo không có lỗi xảy ra trong quá
trình thực hiện các tiến trình của một hệ thống tương tranh.
Safety property: Về mặt cú pháp, những tiến trình FSP được thêm vào trước từ
khóa property để khẳng định nó là một thuộc tính an toàn. Một thuộc tính an toàn
khẳng định tất cả các hành động trong Alphabet của nó đều được nó chấp nhận. Điều
này đảm bảo cho hệ thống hoạt động đồng bộ bởi tiến trình an toàn này.
Ví dụ mô tả trạng thái đèn xanh, đỏ của đèn giao thông:
14
Đặc tả và kiểm chứng các phần mềm tương tranh
property TRAFICLIGHT = (red -> enter
|blue -> exit).
2.3.4 Thuộc tính Liveness (Liveness property)
Khái niệm: Thuộc tính Liveness là thuộc tính quan trọng nhất trong chương hệ
thống tương tranh, nó khẳng định khi chương trình kết thúc có đạt trạng thái tốt hay
không [1].
Thuộc tính tiến trình (progress): Một đặc tính progress khẳng định tại bất kỳ
trạng thái nào của một trong các hoạt động của một thực thi phải xảy ra. Tức là các
hoạt động thành công và phải được kết thúc .
Phân tích tiến trình: phân tích tiến trình để tìm ra tập kết thúc của các trạng
thái. Tập kết thúc của trạng thái là một tập hợp trong đó một trạng thái có thể truy cập
từ mọi trạng thái khác trong tập hợp thông qua một hoặc nhiều chuyển tiếp và không
có chuyển tiếp nào từ bên trong tập hợp ra trạng thái bên ngoài tập hợp.
2.4 Công cụ LTSA
LTSA (Labelled Transition System Analiser) là một công cụ hỗ trợ kiểm chứng
với đặc tả là LTS. LTSA sử dụng để kiểm tra tính mong muốn và không mong muốn
cho tất cả các trình tự có thể có của các sự kiện và hành động [1]. LTSA được tải miễn
phí từ trang web [4] chính thức của cuốn sách “Concurrency: State Models and Java
Programs second edition [1]”. Ta lấy ví dụ LTSA phân tích một đặc tả LTS cho trạng
thái vào, ra của một chiếc ô tô khi qua cầu:
CAR = (enter -> exit -> CAR).
15
Đặc tả và kiểm chứng các phần mềm tương tranh
Hình 2.4a: Mô hình hành động của chiếc ô tô
Hình 2.4b: LTSA animator điều khiển các hành động trong mô hình 2.4a
Mỗi hành động được chọn trong Animator sẽ điều khiển các hoạt động tương
ứng trong mô hình.
2.5 Kết luận
Trong chương này, chúng ta đã tìm hiểu một số khái niệm phần mềm tương
tranh, phương pháp mô hình hóa, máy hữu hạn trạng thái FSP và công cụ hỗ trợ kiểm
chứng LTSA. Đây là những khái niệm cơ bản mà chúng ta sẽ phải trang bị để có thể
thực hiện đặc tả và kiểm chứng thiết kế, cài đặt một phần mềm tương tranh mà chúng
ta sẽ tìm hiểu ở hai chương sau.
16
Đặc tả và kiểm chứng các phần mềm tương tranh
Chương 3: Kiểm chứng thiết kế
Một bản thiết kế, dù cẩn thận và chi tiết đến đâu cũng có thế tồn tại thiếu sót,
chính vì vậy mô hình hóa thiết kế là một cách để kiểm chứng hiệu quả nhất. Phương
pháp mô hình hóa được sử dụng rất rộng rãi trong kỹ thuật, ở một phương diện nào đó,
mô hình có thể đại diện cho vật chất, mang đầy đủ các tính chất của vật chất. Khi
chúng ta kiểm tra trên mô hình sẽ cho kết quả tương đương với ở ngoài thực tế. Trong
thiết kế cũng vậy, mô hình hóa thiết kế sẽ cho chúng ta kiểm tra thiết kế một cách toàn
diện, xem nó có đúng với yêu cầu bài toán đặt ra không?
3.1 Đặc tả thiết kế bằng FSP
Như chúng ta đã biết ở trên, FSP rất phù hợp cho việc thiết kế một phần mềm
tương tranh, tuy nhiên, chúng ta vẫn cần kiểm chứng xem thiết kế liệu có đúng như
yêu cầu của bài toán không? LTS Analiser ( LTSA) dùng để phân tích FSP thành các
mô hình, thuận tiện cho việc kiểm tra thiết kế. Để thuận tiện cho việc hình dung, chúng
ta cùng xem một ví dụ đặc tả thiết kế bằng FSP.
Bài toán “SingleLandBridge” được phát biểu như sau: Trên một con đường có
một chiếc cầu hẹp, chiếc cầu chỉ đủ cho một làn xe chạy. Yêu cầu đặt ra là tạo ra một
chương trình điều khiển sự ra, vào của ô tô ở hai đầu cầu. Chương trình sẽ cho các ô tô
đi tới cầu được qua cầu nếu trên cầu chỉ có ô tô đi cùng chiều hoặc không có ô tô chạy
theo hướng ngược lại. Nếu trên cầu có xe đang qua cầu theo hương ngược lại hoặc có
ô tô đã chờ ở đầu cầu bên kia trước thì ô tô này phải chờ cho chiếc xe đó qua trước.
Chúng ta hãy cùng nghiên cứu yêu cầu thiết kế cho bài toán. Thiết kế phải thực
hiện được nhiệm vụ chỉ cho phép ô tô đó được qua cầu nếu trên cầu có ô tô đi cùng
hướng hoặc hướng ngược lại không có ô tô.
Thiết kế của bài toán này đã được đặc tả bằng FSP trong các ví dụ có sẵn của
công cụ LTSA. Ví dụ này mang tên “SingleLandBridge”. Tuy nhiên, chúng ta sẽ tìm
hiểu chi tiết cách đặc tả thiết kế bằng các máy trạng thái FSP. Ta quy định ô tô qua
chiếc cầu sẽ phân thành hai loại là ô tô đỏ (red) đi từ phía tây sang và ô tô xanh (blue)
đi từ phía đông sang.
17
Đặc tả và kiểm chứng các phần mềm tương tranh
Hình 3.1: Mô tả các ô tô đi qua một chiếc cầu hẹp[1]
Trước khi đặc tả hai yêu cầu của thiết kế, chúng ta hãy định nghĩa hai tiến trình
ô tô và cầu trước:
Tiến trình ô tô (CAR) có hai hành động là đi vào (enter) và đi ra (exit) khi qua
cầu:
CAR = (enter -> exit -> CAR).
Tuy nhiên nếu ô tô đi theo đoàn thì mỗi lần chiếc ô tô dẫn đầu được qua cầu thì
cả đoàn của chiếc ô tô đó đều được qua. Ta có thêm một định nghĩa những chiếc ô tô
nữa:
CARS = (red:CONVOY || blue:CONVOY).
Trong đó red, blue là những chiếc xe đỏ hoặc xanh, CONVOY là tiến trình mô
tả tính chất theo đoàn của những chiếc ô tô. CONVOY được định nghĩa như sau:
CONVOY = [ID]:CAR
ID là số ô tô có trong đoàn ô tô.
Nếu một chiếc ô tô đỏ lên cầu, đồng nghĩa với việc trên cầu đó không có chiếc
ô tô xanh nào. Nếu trên cầu đã có ô tô đỏ rồi nhưng do các ô tô đỏ đi cùng chiều nên
chiếc ô tô đó vẫn được lên cầu, khi đó số ô tô đỏ trên cầu sẽ tăng thêm một. Ngược lại,
khi ô tô đỏ đó rời cầu, số ô tô đỏ sẽ giảm đi một. Nếu trên cầu chỉ có một chiếc ô tô đỏ,
18
Đặc tả và kiểm chứng các phần mềm tương tranh
khi chiếc ô tô đó rời cầu thì trên cầu sẽ không còn chiếc ô tô nào, ta gọi đó là thuộc
tính ONEWAY. Khi xảy ra ONEWAY, hai đầu cầu bên nào có ô tô tới trước sẽ được
qua trước. Ta có định nghĩa tiến trình RED và thuộc tính ONEWAY:
RED[i:ID] = (red[ID].enter -> RED[i+1]
|when(i==1)red[ID].exit -> ONEWAY
|when( i>1)red[ID].exit -> RED[i-1]
)
Thuộc tính an toàn ONEWAY khẳng định chiếc cầu an toàn và cho phép ô tô
qua cầu khi trên cầu chỉ có một chiếc ô tô và chiếc ô tô đó đã thoát ra ngoài chiếc cầu:
property ONEWAY = (red[ID].enter -> RED[1]
|blue[ID].enter -> BLUE[1]
)
Tương tự như vậy ta cũng có tiên trình BLUE:
BLUE[i:ID] = (blue[ID].enter -> BLUE[i+1]
|when(i==1)blue[ID].exit -> ONEWAY
|when( i>1)blue[ID].exit -> BLUE[i-1]
)
Trên chiếc cầu bao giờ cũng chỉ có một loại ô tô, hoặc là ô tô đỏ, hoặc là ô tô
xanh. Nếu có cả ô tô đỏ và ô tô xanh thì chắc chắn sẽ xảy ra tai nạn. Khi trên cầu
không có ô tô xanh, tức là ô tô đỏ được qua cầu và ngược lại, trên cầu không có ô tô
đỏ thì ô tô xanh được qua cầu. Ta có định nghĩa tiến trình cầu:
BRIDGE = BRIDGE[0][0], // cầu trống
19
Đặc tả và kiểm chứng các phần mềm tương tranh
BRIDGE[nr:T][nb:T] = //nr, nb là số ô tô đỏ, số ô tô xanh có trên cầu
(when (nb==0)
// T là số loại ô tô có trên cầu
red[ID].enter -> BRIDGE[nr+1][nb]
|red[ID].exit -> BRIDGE[nr-1][nb]
|when (nr==0)
blue[ID].enter -> BRIDGE[nr][nb+1]
|blue[ID].exit -> BRIDGE[nr][nb-1]
).
Bây giờ chúng ra sẽ đặc tả bằng FSP các yêu cầu mà thiết kế phải giải quyết.
- Ô tô được lên cầu khi trên cầu không có ô tô đi ngược chiều hoặc có ô tô đi
cùng chiều:
NOPASS1 = C[1],
C[i:ID] = ([i].enter -> C[i%N+1]).
- Sau khi tất cả những chiếc xe đi cùng chiều rời cầu, xe ở một trong hai đầu
cầu sẽ được phép qua cầu:
NOPASS2 = C[1],
C[i:ID] = ([i].exit -> C[i%N+1]).
||CONVOY = ([ID]:CAR || NOPASS1 || NOPASS2).
||CARS = (red:CONVOY || blue:CONVOY).
20
Tải về để xem bản đầy đủ
53 trang
14/05/2025
150
Bạn đang xem 30 trang mẫu của tài liệu "Khóa luận Đặc tả và kiểm chứng các phần mềm tương tranh", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.
File đính kèm:
- khoa_luan_dac_ta_va_kiem_chung_cac_phan_mem_tuong_tranh.pdf
