Substituições generalizadas - 3 O Método B para Desenvolvimento Formal de Software

3 O M´etodo B para Desenvolvimento Formal de Software

3.1.5 Substituic¸˜oes generalizadas

Nesta seção introduzimos substituições mais elaboradas, denominadas “generalizadas” que, como a própria denominação sugere, são obtidas a partir da generalização do conceito de substituição simples visto na seção anterior. Apresentamos aqui apenas algumas substituições utilizadas com maior freqüência em uma máquina.

Substituição de pré-condição

Voltemos ao exemplo do contador e vamos supor que a operação de incremento com parâmetro não tivesse pré-condição:

increment (n) b=

BEGIN value := value + n END;

Nesse caso, o usuário da operação poderia tentar passar um valor inválido no parâmetro n, por exemplo, um valor superior a 100. Isto obviamente quebraria o invariante da máquina e, conseqüentemente, a especificação como um todo, uma vez que os conceitos fundamentais da especificação, descritos no invariante, não seriam satisfeitos. Assim, para que o usuário seja in- formado dessas restrições, o especificador deve tornar expl´ıcito quais são as pré-condições que devem ser satisfeitas antes que se tente “executá-la”. Isto é feito através de uma substituição generalizada denominada substituição de pré-condição. Sendo P um predicado e S uma substituição, a generalização de pré-condição tem a forma:

PRE P THEN S END

No nosso exemplo, com pré-condição, temos:

increment (n) b=

PRE n ∈ INT ∧ n > 0 ∧ value + n ≤ 100 THEN value := value + n

END;

Uma interpretação informal da especificação desta operação seria: “Se o usuário da operação passar no seu parâmetro n uma variável inteira, maior que 0 e que somada à variável

valuenão resulte em um valor superior a 100 (valor máximo que o contador pode atingir), então a execução da operação manterá a máquina em um estado válido. Caso contrário, o resultado da execução da operação é imprevis´ıvel”.

Formalmente, tendo uma substituição da forma PRE P THEN S END, para que esta possa ser aplicada e que se estabeleça uma pós-condição R, devemos ter:

[PRE P THEN S END]R⇔ P ∧ [S]R

Para o caso no qual o predicado R é o invariante da máquina e revisando a noção de obrigação de prova para uma operação, temos a obrigação de prova que deve ser verificada para uma operação com pré-condição:

I∧ P ⇒ [PRE P THEN S END]I

I∧ P ⇒ P ∧ [S]I, que se reduz a:

A sentença acima diz que se o invariante da máquina e a pré-condição da operação fo- rem válidos antes da aplicação da operação, então a substituição da parte then da operação no invariante deve resultar em um predicado verdadeiro.

Substituição m últipla

A substituição múltipla é utilizada para substituir mais de uma variável em uma operação, ou quando se tem mais de uma variável para ser inicializada na máquina. Por exemplo, po- der´ıamos ter uma operação crédito que, além de armazenar um valor, retornasse o status da operação:

res <-- credito (cr) b= PRE cr ∈ NAT ∧ cr > 0

THEN quantia := quantia + cr || res := 1 END

Na operação acima, temos uma substituição múltipla (||). Ressalte-se que não há ordem na aplicação de cada uma das duas substituições simples. Por este motivo, esta substituição não pode ser utilizada em uma implementação, uma vez que não pode ser efetivada em código na maioria das linguagens de programação.

Formalmente, a substituição múltipla (para duas variáveis) tem a forma: [x := E || y := F]P ou

[x, y := E, F]P, que é uma outra forma de notação

Substituição de escolha não-determin´ıstica

A substituição de escolha não-determin´ıstica permite que se especifique duas ou mais substituições que correspondem a comportamentos diversos que uma mesma operação de uma máquina abstrata pode assumir. A denominação “substituição de escolha” vem do fato de que, no momento da implementação, o implementador da máquina deve escolher qual substituição dentre aquelas especificadas irá ser implementada. Ou, de outra forma, que comportamento a operação terá.

Formalmente, n´os temos:

Onde S e T são substituições e R é um predicado. Podemos interpretar a sentença acima como: “Qualquer que seja a substituição escolhida pelo implementador entre S e T, ela deve satisfazer ao predicado R”.

A seguir exemplificamos o uso da substituição de escolha em uma operação, retirada de [WORDSWORTH, 1996], que associa uma conta a um cliente. A substituição deixa a critério do implementador a escolha entre associar a conta ao cliente ou retornar a resposta

noroom, que equivale a dizer que não foi poss´ıvel executar a atribuição da conta. Em CHOICE temos um primeiro caso e na parte OR a outra substituição que pode ser escolhida. Outros casos (substituições) podem ser inclu´ıdos acrescentando-se mais ORs.

resp <-- new_acct_old_cust (cust, acct) b= PRE

cus ∈ customers ∧ acct ∈ ACCTNO ∧ acct ∈ accounts/

THEN

CHOICE resp := success || owner(acct) := cust OR resp := noroom

END END

Substituic¸˜ao condicional

A substituic¸˜ao condicional tem a forma:

[IF P THEN S ELSE T END]R⇔ (P ⇒ [S]R) ∧ (¬P ⇒ [T ])R

Esta substituição pode ser parafraseada por: “Se o predicado P é verdadeiro, então a substituição S da parte THEN satisfaz ao predicado R. Caso contrário, ou seja, quando P for falso, a substituição T da parte ELSE satisfaz ao predicado R”.

A operação abaixo é uma versão da operação crédito vista na subseção 3.1.5 que utiliza a substituição condicional na forma IF-THEN-ELSE-END.

res <-- credito (cr) b= PRE cr ∈ NAT

THEN

IF cr > 0

THEN quantia := quantia + cr || res := 1 ELSE res := 0

END END

A substituição condicional também pode ser utilizada sem o else, na forma IF-THEN-END, ou pode ser encadeada com outras substituições IF por meio da introdução de um ou mais ELSIFs, na forma IF-THEN-ELSIF-THEN-ELSE-END.

Substituic¸˜ao skip

Uma substituição generalizada que não tem efeito algum é a substituição skip, definida por: [skip]R⇔ R

Apesar de ter qualquer efeito, esta substituição é bastante usual. Por exemplo, skip pode ser útil na definição de novas substituições, como o caso da substituição condicional que não possui a parte else.

IF P THEN S ELSE skip END ≡ IF P THEN S END

No documento BSmart: desenvolvimento rigoroso de aplicações Java Card com base no método formal B (páginas 45-49)