信頼性の定義

B Method ではモデルから実装までの記述が整合性を満たすことを定理証明によって

保証する. この定理証明の命題を‘証明責務’ と呼ぶ. 証明責務にはモデルの初期化,モデ ルの操作, 実装の操作に関する証明責務があり,それぞれ式(2.4),式(2.5), 式(2.6) の様に 表される. B Methodでは初期化と各操作毎に証明責務が真であることを証明することで ソフトウェアの信頼性を保証する. これらの式において代入V, 命題I に対して[V]I は V がI を満たすための最弱事前条件といい, V を実行後にI を満たす事を示す命題であ る. 最弱事前条件は右結合であり[VIj]¬([VAj]¬II) における()は省略できる. また，証明 責務はH ⇒G₁ ∧ · · · ∧G_n の様に含意の後件(本稿ではゴールと呼ぶ)が論理積で構成さ れる場合，H ⇒G₁,. . .,H ⇒G_n という命題群を証明することで証明する．この様に証 明責務がn個の命題に分割されるとき，‘本稿ではn個の証明責務が生成される’ と言う．

C_A∧P_A⇒[U_A]I_A (2.4)

C_A∧P_A∧Q_Aj ∧I_A⇒[V_Aj]I_A (2.5) (C_A ∧P_A ∧I_A ∧Q_Aj)∧(P_I ∧I_I)⇒[V_Ij]¬[V_Aj]¬I_I (2.6) モデルM_Aと実装M_I の全ての操作において式(2.6)の証明責務が真であることを‘モデ ルM_Aは実装M_I で詳細化される’ と呼び，MAvM_I と表す．この時，実装M_I が取りう る状態においてモデルM_Aの制約条件が真になり，実装M_I がモデルM_Aを満たすことが 保証される．

図2.2に挙げたモデルと実装の例においてモデルBank は実装Bank iで詳細化される．

操作 registUserのモデルの操作から式(2.5)にしたがってモデルの操作に関する証明責務

を生成すると9個の証明責務が生成される．また，式(2.6)にしたがって実装の操作に関 する証明責務を生成すると76個の証明責務が生成される．式(2.7)は図2.2の実装から生 成される証明責務の簡単な例である．式(2.7)は実装の不変条件からusers =users i.val

第2章 先行研究 28 であるため真になる．

users i.val∪ {max(users i.val) + 1}=users ∪ {max(users i.val) + 1} (2.7)

第 3 _章

モデル充足ソフトウェア合成フレーム ワーク

3.1 背景

2.3節に示したように現在実用化されている既存の自動コード生成手法は生成コードの 信頼性保証が不十分である事や手法適用の為には問題領域毎に部品整備が必要である事 などが課題であった．これに対して本稿ではモデル充足ソフトウェア合成フレームワー ク (Model Satisfiable Software Synthesis Framework, MSSSフレームワーク) を提案す る．MSSSフレームワークは生成コードの信頼性を B Method の枠組みを応用して保証 し，部品の整備を既存ソフトウェアからの部品自動生成により容易にする．MSSSフレー ムワークの全体像を図3.1に示す．MSSSフレームワーク は大きく分けて‘モデル充足ソ フトウェア合成(Model Satisfiable Software Synthesis, MSSS)’ と‘モデル充足細粒度部品 生成 (Model Satisfiable Fine-graned Component Generation, MSFC生成)’ からなる．ま た，MSSSは部品再利用に基づくコード生成手法であり図のようにモデル充足細粒度部品 (Model Satisfiable Fine-graned Component, MSFC)を部品リポジトリに蓄積する．

図3.1左側のようにMSSSは要求を記述した B Method のモデルを入力として，部品 を再利用することによって要求モデルを満たすB Methodのソフトウェアを生成する．ま た，図3.1右側のようにMSFC生成は B Methodのソフトウェアを入力として，そこか ら部品を自動生成してリポジトリに登録する．図3.1中央のようにMSFCは B Method のモデルと実装にあたる実装依存モデルと細分化実装で構成され，部品の仕様として細 分化モデルが与えられる．MSFCではB Method の枠組みを応用して部品が仕様を満た すことを静的に保証できる．

MSSSフレームワークは既存の自動コード生成に対して以下のような特徴を持つ．

抽象度の高い入力 MSSSは B Method のモデルを入力としてソフトウェアを生成する．

モデルはシステムが守るべき制約と操作の入出力関係のみが記述された抽象度の高 い記述である．そのため，既存のコード生成と異なり，アルゴリズムやアルゴリズ

29

第3章 モデル充足ソフトウェア合成フレームワーク 30

図 3.1: モデル充足ソフトウェア合成フレームワーク の全体像

ムに付けられた名前を記述せずにコードを生成できる．また，図3.1の細分化モデ ル間の比較を数学的判定で行うことで，変数や操作の名前に非依存な部品再利用が できる．これにより非妥当な命名や名前の解釈による誤りが生じない．

静的な信頼性保証 MSFCは B Method の枠組みを応用して部品が数学的仕様を満たす ことを静的に保証できる．MSSSではMSFCに対して数学的仕様を検索キーとした 健全性の高い部品再利用を適用することで生成されたソフトウェアの信頼性を静的 に保証できる．

容易な部品整備 図3.1右側のようにMSFC生成により既存ソフトウェアから部品を自動 生成することで部品リポジトリの整備を容易にする．部品に形式仕様を与える既存 の手法では部品が仕様を満たす事を保証するのに大きなコストを要したが，MSFC 生成では生成される部品が仕様を満たすことを保証できる．

MSSSフレームワークは‘既存の自動コード生成の問題点を克服するためのアプローチ’

であるとともに，‘形式手法において開発を自動化するアプローチ’ でもある．B Method をはじめとする形式手法は不具合が人命や多額の損失につながるクリティカルなシステ ム開発に利用されてきたが，形式手法の導入には大きなコストを必要とすることから一 般のシステム開発への利用は十分とは言えない．これに対してMSSSフレームワークに より形式手法におけるソフトウェア開発を自動化することでより一般的なシステム開発 に形式手法を適用することが期待できる．

第3章 モデル充足ソフトウェア合成フレームワーク 31