[软件构造]03-设计规约与断言

本文主要包含以下方面：

1.规约的概念与内容

2.规约的特点

3.规约的评价度量

4.规约下的函数行为等价性和变值约束

5.断言的概念和作用

6.断言与规约的联系

一、什么是设计规约

软件设计规约(Specification)是对软件的组织或其组成部分的内部结构的描述，满足系统需求规约所指定的全部功能及性能要求。软件设计规约通常有概要设计规约和详细设计规约，分别为相应设计过程的输出文档。软件概要设计是面向软件开发者的文档，主要作为软件项目管理人员、系统分析人员与设计人员之间交流的媒体。概要设计规约指明软件的组织结构，其主要内容包括：

        系统环境：硬件、软件接口与人机界面；外部定义的数据库；与设计有关的限定条件等。

        设计描述：数据流和主要数据结构；软件模块的结构；模块之间的接口。

        模块描述：处理过程外部行为；界面定义；数据结构；必要的注释等。

        文件结构和全局数据：文件的逻辑结构、记录描述以及访问方式；交叉引用信息。

        软件测试方面、软件版权的有关说明。

规约以注释形式撰写时，包括前置条件，对客户端的约束，在使用方法时必须满足的条件(对应requir es)，和后置条件，对开发者的约束，方法结束时必须满足的条件(对应effects)。这就达成了一个契约：前置条件达成了，则后置条件必须满足；前置条件没达成，则方法可做任何事。当前置条件违反时，客户端存在bug，尽管程序员无义务提醒，但可以通过快速失败使bug更容易找到。

在撰写规约时，内容应包括输入输出数据类型、功能和正确性、性能，只讲能做什么，不讲如何实现。静态类型声明是一种规约，可据此进行静态类型检查。方法前的注释也是一种规约，但需人工判定是否完备。在注释中参数是@param，前置条件是@requires，后置条件是@effcts，结果是@return，异常是@throws。规约不得谈及方法局部变量或类私有域。下面是一个例子：

static boolean chat(Person A,Person B)
    要求：A，B是两个不同的人
    效果：判断A,B两个人是否讲过话，返回判断结果

二、规约的特点

1）内聚的(Coherent)：规约描述的功能应该单一易理解。

2）信息丰富的(Informative)：不能让用户对规约产生歧义。

3）约束足够强：规约应给出足够的承诺(后置条件)，让用户放心使用。

4）约束足够弱：规约也应推卸适量的责任(前置条件)，让程序员开发容易。

5）采用抽象型：在规约里使用抽象类型，给用户和实现体以更大的自由度。

例如下面的规约就体现出了抽象性，因为List<L>不记客户端类型，客户端可以做出广泛的类型的数组操作：

static ArrayList<T> united(T A)
    效果:返回一个新数组，它是图中与A相邻的点的集合(不包括A)
         即对于任意B∈Graph都有A->B这条边。

6）平衡前置条件和后置条件：是否使用前置条件取决于检查输入的难度和方法的适用范围，如果只在类的内部使用该方法[private]就可以使用前置条件，在使用该方法的各个位置进行检查[例如checkRep]，如果在其他地方使用该方法[public]则可以不使用前置条件，在方法内部对错输入抛出异常。

三、规约的度量

规约具有确定性(描述输出是否确定)、陈述性(只是描述了输出，还是描述了怎么计算输出)、强度(描述规约优劣)。一个规约，前置条件越弱，后置条件越强，则这个规约强度越强，可以替代比它弱的规约。对于强度，有下面两个规约：

/* Spec 1
 * 
 * requires: int a>0 && int b>0
 * effects: calculate and return sqrt(a*b)
*/
/* Spec 2
 * 
 * requires: int a>0
 * effects: return sqrt(a*|b|) and indicate whether b<0 
*/
 

很显然，第2个规约与第1个规约相比对用户要求少了，对用户承诺多了，所以强度更强。

四·、行为等价性

即使两个函数最终功能等价但行为不同，可能在用户看来就不等价，所以要站在客户端的角度分析等价性。其实，只要两个方法符合同一规约，它们就是等价的。

五、规约限定变异(mutate)

除非后置条件声明过，方法内部不能改变输入参数，所以尽量不要设计mutate。可变类型复杂化规约，因为程序中可能有很多变量指向同一可变对象(变量别名现象)，而且无法强迫类的实现体和客户端不保存可变变量别名。所以返回值应不可变。

六、断言

断言能够快速失败、避免扩散。断言在开发阶段的代码嵌入，检验某些假设是否成立。若成立，表示程序运行正常，否则表明存在错误。出现AssertionError则某些功能被违反了。断言是对代码中程序员所做假设的文档化，也不会影响运行时性能(实际使用时断言被禁用)。

//常用断言
assert aFunctionReturnBoolean;
assertEquals(value,Function());
assertTrue OP;
assertFalse OP;

在测试中断言对象包括：内部不变量、表示不变量、控制流不变量、前置条件和后置条件。扩展的说还有空指针、一个函数下的不变量、聚合体初始化效果和添加效果、复杂方法的返回值等等。

实际使用断言时，避免直接断言一个可执行语句，这是因为断言可能被禁用，执行语句直接被跳过，断言结果出错。断言维护正确性，错误异常处理维护健壮性。如果参数来自外部不受自己控制使用异常处理，如果参数来自自己写的其它代码，可是使用断言。

七、断言与设计规约的联系

断言与设计规约产生的联系是测试优先编程的重要一环。

一方面，为了写好断言我们必须充分理解设计规约，认识到方法的不变量、该变量都是什么，从而对这些不变和改变进行正确的断言，这样我们才能写好测试用例，为后续编程奠定基础。

另一方面，断言有效检测了方法在编写好后是否真的符合设计规约。一旦不符合预期结果就会产生AssertFailed，从而快速地找到错误根源进行修正。