Startseite
Informatik
Algorithmen
Datenstrukturen
Software-Engineering
Entwicklungsmodelle
Entwicklungsphasen
Anforderungsdefinition
Aufwandsschätzung
Entwurf
Spezifikation
Implementation
DRUCK
2004
2005
2006
2007
2008
2009
Verifikation
Verifikation-Beispiel
Installation
Wartung
Web-Engineering
Programmiersprachen
Künstliche Intelligenz
Schach
Privates
Inhalt
Verifikation
Die Verifikation ist der vollständige Test des implementierten Software-Systems.
Die Verifikation ist der vollständige Test des implementierten Software-Systems.
Einführung
Definition: Verifikation
Was versteht man unter Verifikation?
Die
Verifikation
dient zum Test
(kein Beweis)
der
Korrektheit
von Programmen
und wird in Verbindung eines Phasenmodells als Testphase bezeichnet.
Erst nachdem die Codierungsphase Implementation abgeschlossen ist und der vollständige Programmcode vorliegt, wird das Programm (hoffentlich) ausführlich getestet.
Es werden getestet:
Erst nachdem die Codierungsphase Implementation abgeschlossen ist und der vollständige Programmcode vorliegt, wird das Programm (hoffentlich) ausführlich getestet.
Es werden getestet:
- alle spezifizierten Methoden des gesamten Softwareprodukts und
- gegebenenfalls die konkreten Testfälle, die im Pflichtenheft stehen.
Abgrenzung
Die Verifikation ist kein Softwarebeweis, sondern ein Softwaretest.
Mit der Verifikation wird nicht bewiesen, dass ein Softwareprodukt korrekt ist. Es wird nur stichprobenartig geprüft, ob das Softwareprodukt erwartete Ausgaben liefert.
Mit der Verifikation wird nicht bewiesen, dass ein Softwareprodukt korrekt ist. Es wird nur stichprobenartig geprüft, ob das Softwareprodukt erwartete Ausgaben liefert.
Probleme
Probleme bei der Verifikation
Unvollständigkeit
Trotz einer umfangreichen Testphase können jedoch immer noch Fehler unentdeckt bleiben.
- In
[INFODUDEN S. 663]
heißt es ganz treffend:
„Durch Testen kann immer nur die Anwesenheit von Fehlern, nie jedoch deren Abwesenheit bewiesen werden.” - Dijkstras Gesetz
Viele Programmfehler treten nicht in der Testphase auf, sondern erst, wenn das Programm beim Kunden installiert ist (Vorführeffekt).
Keine 100%ige Korrektheit!
Die Hauptpfade im System laufen meist zuverlässig.
Fehler verbleiben meist in seltener durchlaufenen Pfaden.
Zur Korrektheit von Softwaresystemen stellte Dijkstra folgende Formel auf:
Zur Korrektheit von Softwaresystemen stellte Dijkstra folgende Formel auf:
psys = pnnist die Anzahl der Komponenten im System.pist die Wahrscheinlichkeit, dass eine einzelne Komponente korrekt ist.psysist die Wahrscheinlichkeit, dass das gesamte System korrekt ist.
Durchhaltevermögen!
Auch wenn das Softwareprodukt fertiggestellt, jedoch nicht ausführlich getestet, ist,
sollte sich der Softwareproduzent nicht dazu verleiten lassen
— sei es aus Zeitdruck oder auf Drängen des Kunden —
es zum Einsatz freizugeben.
Der Softwareproduzent muss streng nach der Maxime handeln:
Der Softwareproduzent muss streng nach der Maxime handeln:
- Vertrauen ist nichts, Kontrolle ist alles!
X-treme
Neuartige Variante zur herkömmlichen Verifikation
Erfahrungsgemäß kommt es während der Verifikation häufig zum aufwändigen Rücksprung in die Phase der Implementierung,
wobei nach jedem Rücksprung die Verifikationsphase unglücklicherweise wieder von vorne anlaufen muss.
Da aber auch die Verifikation, also das Austesten eines bereits fertigen Produktes, wohl leicht auf der Strecke liegen bleiben kann, möchte man die Verifikation viel mehr vor die Phase der Implementierung ziehen.
Dabei stellt sich mit Recht die Grundsatzfrage, ob ein System schon getestet werden kann, ohne überhaupt den zu testenden Code zur Verfügung zu haben.
Da aber auch die Verifikation, also das Austesten eines bereits fertigen Produktes, wohl leicht auf der Strecke liegen bleiben kann, möchte man die Verifikation viel mehr vor die Phase der Implementierung ziehen.
Dabei stellt sich mit Recht die Grundsatzfrage, ob ein System schon getestet werden kann, ohne überhaupt den zu testenden Code zur Verfügung zu haben.
Erst testen, dann implementieren!
Wie soll das gehen?
Ein Flugzeug kann beispielsweise erst getestet werden, nachdem es gebaut worden ist.
Der Informatiker kann sich glücklicherweise im Sinne der Softwareproduktion weitgehend von Materie und Energie loslösen.
Auf einer abstrakten Ebene gibt es praktisch kaum noch Grenzen.
Um die Korrektheit eines Softwareproduktes nachzuweisen, benötigt man streng genommen sowieso nur das Dokument der Spezifikationsphase, also das fertige, jedoch unimplementierte Softwareprodukt. Deshalb implementiert man zunächst alle erforderlichen Testfälle für jede einzelne spezifizierte Methode des Projekts, welche sich genau an die Spezifikationsbeschreibungen halten. Zudem sorgt man dafür, dass diese Testfälle wiederholbar sind und bzgl. anderer Testfälle isoliert ablaufen können, also jederzeit (voll automatisch) wiederholt werden können, ohne dabei eine Reihenfolge der Testfälle einhalten zu müssen. Jeder einzelne Testfall liefert ein Ergebnis — ob geglückt oder nicht. Wenn nun alle Testfälle des Projektes glücken, funktioniert die Projektsoftware korrekt gemäß der Spezifikation.
Da aber noch kein implementierter Code vorliegt, schlagen selbstverständlich zunächst alle Testfälle fehl. Erst mit der tatsächlichen Implementierung der Projektsoftware verringert sich die Anzahl der Fehlschläge nach und nach, bis schließlich keine mehr zu verzeichnen sind. Jede frisch implementierte Methode kann sofort und zu jeder anderen Zeit auf Korrektheit getestet werden.
Dieser Trend ist dem „Extreme Programming” sehr verwandt, mit dem Unterschied, dass hier alle Anforderungen bereits konkret vorliegen. Änderungen der Anforderungen sind hier zwar auch möglich, aber nicht zu erwarten. Das bedeutet, dass dieser Test nicht mehr geändert werden muss, wenn der Test der Methode einmal geschrieben ist.
Selbstverständlich ist die Korrektheit des endgültigen Softwareproduktes nach der Qualität der Testfälle zu beurteilen. Decken die Tests auch wirklich alle kritischen Fälle ab? Hierbei gilt der Grundsatz:
Hierzu ein simples Szenario mit der Fakultätsfunktion
Um die Korrektheit eines Softwareproduktes nachzuweisen, benötigt man streng genommen sowieso nur das Dokument der Spezifikationsphase, also das fertige, jedoch unimplementierte Softwareprodukt. Deshalb implementiert man zunächst alle erforderlichen Testfälle für jede einzelne spezifizierte Methode des Projekts, welche sich genau an die Spezifikationsbeschreibungen halten. Zudem sorgt man dafür, dass diese Testfälle wiederholbar sind und bzgl. anderer Testfälle isoliert ablaufen können, also jederzeit (voll automatisch) wiederholt werden können, ohne dabei eine Reihenfolge der Testfälle einhalten zu müssen. Jeder einzelne Testfall liefert ein Ergebnis — ob geglückt oder nicht. Wenn nun alle Testfälle des Projektes glücken, funktioniert die Projektsoftware korrekt gemäß der Spezifikation.
Da aber noch kein implementierter Code vorliegt, schlagen selbstverständlich zunächst alle Testfälle fehl. Erst mit der tatsächlichen Implementierung der Projektsoftware verringert sich die Anzahl der Fehlschläge nach und nach, bis schließlich keine mehr zu verzeichnen sind. Jede frisch implementierte Methode kann sofort und zu jeder anderen Zeit auf Korrektheit getestet werden.
Dieser Trend ist dem „Extreme Programming” sehr verwandt, mit dem Unterschied, dass hier alle Anforderungen bereits konkret vorliegen. Änderungen der Anforderungen sind hier zwar auch möglich, aber nicht zu erwarten. Das bedeutet, dass dieser Test nicht mehr geändert werden muss, wenn der Test der Methode einmal geschrieben ist.
Selbstverständlich ist die Korrektheit des endgültigen Softwareproduktes nach der Qualität der Testfälle zu beurteilen. Decken die Tests auch wirklich alle kritischen Fälle ab? Hierbei gilt der Grundsatz:
- Immer auf der sicheren Seite bleiben!
Lieber einen unbedeutenden Fall zu viel als einen notwendigen zu wenig!
Hierzu ein simples Szenario mit der Fakultätsfunktion
faculty.
- Spezifikation
Als Erstes wirdfacultyspezifiziert. - Verifikation
- Nach der Spezifikation werden die Testfälle zu
facultyimplementiert. - Die Testfälle zu
facultysollten in einem globalen Modultest integriert werden. Ein Modultest prüft alle testbaren Komponenten eines Moduls auf Korrektheit.
- Nach der Spezifikation werden die Testfälle zu
- Implementation
Erst im Anschluss der vorangegangenen Punkte wirdfacultyausimplementiert, wobeifacultyvor, während und nach (d. h. immer!) der Implementation getestet werden kann.
Lediglich die Spezifikation der Fakultätsfunktion
/* SPEZIFIKATION: faculty
*
* Die Fakultätsfunktion n! aus der Stochastik.
* Im Falle (-1 < n < 16) soll n! zurückgegeben werden,
* ansonsten -1.
*/
long faculty(int n)
{
/* ... hier fehlt noch die Implementation ... */
return 0;
}
Jetzt
„faculty”
noch nicht ausimplementieren, auch wenn es so manchen in den Fingern kribbelt!
:-(
Dann die Verifikation der Fakultätsfunktion
/* VERIFIKATION: faculty
*
* Testet alle notwendigen Fälle der Fakultätsfunktion,
* gleichwohl ob bereits implementiert oder nicht.
*
* Dabei werden besonders die Grenzfälle betrachtet!
*/
int testFaculty()
{
if (faculty(-2) != -1) return 0;
else if (faculty(-1) != -1) return 0; // Grenzfall
else if (faculty(0) != 1) return 0; // Grenzfall
else if (faculty(1) != 1) return 0; // Grenzfall
else if (faculty(2) != 2) return 0;
else if (faculty(3) != 6) return 0;
else if (faculty(4) != 24) return 0;
else if (faculty(5) != 120) return 0;
else if (faculty(15) != 2004310016) return 0; // Grenzfall
else if (faculty(16) != -1) return 0; // Grenzfall
else if (faculty(17) != -1) return 0;
else return 1; // sonst kein Fehlschlag!
}
Jetzt
„faculty”
noch nicht ausimplementieren, auch wenn das Kribbeln immer unerträglicher werden sollte, doch die Erlösung ist nah!
:-)
Testen der Fakultätsfunktion, wann immer erforderlich!
void testMathModule()
{
// ...
/* Testfälle zu faculty können jederzeit ausgeführt werden! */
if (testFaculty()) printf("faculty() okay!\n");
else printf("faculty() NOT okay!\n");
// ...
}
Und endlich darf
„faculty”
ausimplementiert werden.
:-)
Danach die Implementierung der Fakultätsfunktion
/* IMPLEMENTATION: faculty
*
* Die Fakultätsfunktion n! aus der Stochastik.
* Im Falle (-1 < n < 16) soll n! zurückgegeben werden,
* ansonsten -1.
*/
long faculty(int n)
{
if (n < 0) return -1;
else if (n > 15) return -1;
else if (n == 0) return 1;
else return n * faculty(n - 1);
}
Da die Funktion
faculty()
nun endlich ausimplementiert ist, kann sogleich der Mathematiktest mit der Funktion
testMathModule()
durchgeführt werden.
Gegebenenfalls muss die Implementierung von
faculty()
nachkorrigiert werden.
Anmerkungen
Diese Vorgehensweise scheint jedoch recht umständlich zu sein,
stellt sich aber bei konsequenter Einhaltung für jede Funktion bzw. Methode des Projektes als wahres Wundermittel heraus!
Selbst bei der
Wartung
kann das bereits installierte Softwaresystem jederzeit erneut auf Korrektheit überprüft werden.
Auch wenn sich die Entwicklungszeit mit diesen zusätzlichen Testmethoden verlängert, wird es sich später an anderer Stelle bezahlt machen, denn
Viele Java-Entwickler nutzen zur Verifikation das umfangreiche Package JUnit, womit sie automatische Tests (Unit-Tests) zum Softwareprodukt relativ schnell und komfortabel erstellen können. Mittlerweile gibt es schon fast zu jeder Sprache Testbibliotheken: .NET-Entwickler können zum Beispiel auf NUnit zurückgreifen und die Welt der Cpp-Programmierer kann nun auch nach dem Vorbild „JUnit” die Lib CppUnit verwenden. Die Verwendung von solchen Bibliotheken vereinheitlichen die Tests von Softwareprodukten und können — was noch viel wichtiger ist — als solides Verkaufsargument verwendet werden. Der Kunde ist schneller bereit, ein automatisch verifizierbares Softwareprodukt zu kaufen. 2
Auch wenn sich die Entwicklungszeit mit diesen zusätzlichen Testmethoden verlängert, wird es sich später an anderer Stelle bezahlt machen, denn
- mit automatischen Tests wird letztendlich planmäßig entwickelt und nicht außerplanmäßig nach Fehlern gesucht.
Viele Java-Entwickler nutzen zur Verifikation das umfangreiche Package JUnit, womit sie automatische Tests (Unit-Tests) zum Softwareprodukt relativ schnell und komfortabel erstellen können. Mittlerweile gibt es schon fast zu jeder Sprache Testbibliotheken: .NET-Entwickler können zum Beispiel auf NUnit zurückgreifen und die Welt der Cpp-Programmierer kann nun auch nach dem Vorbild „JUnit” die Lib CppUnit verwenden. Die Verwendung von solchen Bibliotheken vereinheitlichen die Tests von Softwareprodukten und können — was noch viel wichtiger ist — als solides Verkaufsargument verwendet werden. Der Kunde ist schneller bereit, ein automatisch verifizierbares Softwareprodukt zu kaufen. 2
Fußnoten
- Optimierungen haben in der Regel keinen Einfluss auf die bereits bestehenden Schnittstellen.
- Zur Erinnerung: Ein automatisch verifizierbares Softwareprodukt ist nicht zwangsläufig frei von Fehlern! Für den Nachweis absoluter Korrektheit muss ein mathematischer, allumfassender Beweis existieren.
Quellenangabe
-
[INFODUDEN]