Programmēšana ir vairāk nekā kodēšana

Šis ir tulkošanas raksts Stenfordas seminārs. Bet pirms tam ir īss ievads. Kā veidojas zombiji? Ikviens ir nonācis situācijā, kad vēlas pacelt draugu vai kolēģi līdz savam līmenim, bet tas neizdodas. Turklāt “neizdodas” ne tik daudz jums, bet viņam: vienā skalas pusē ir normāla alga, uzdevumi un tā tālāk, bet otrā ir nepieciešamība domāt. Domāšana ir nepatīkama un sāpīga. Viņš ātri padodas un turpina rakstīt kodu, neizmantojot savas smadzenes. Jūs saprotat, cik daudz pūļu ir nepieciešams, lai pārvarētu iemācītās bezpalīdzības barjeru, un jūs to vienkārši nedarāt. Tā veidojas zombiji, kurus it kā ir iespējams izārstēt, bet šķiet, ka neviens to nedarīs.

Kad es to redzēju Leslija Lamporta (jā, tas pats draugs no mācību grāmatām) nāk uz Krieviju un nesniedz ziņojumu, bet gan jautājumu un atbilžu sesiju, es biju nedaudz piesardzīgs. Katram gadījumam, Leslijs ir pasaulē pazīstams zinātnieks, izkliedētās skaitļošanas pamatdarbu autors, un jūs, iespējams, viņu pazīstat arī pēc LaTeX burtiem La - “Lamport TeX”. Otrs satraucošais faktors ir viņa prasība: katram atnākušajam ir (pilnīgi bez maksas) iepriekš jānoklausās pāris viņa referātu, jāizdomā vismaz viens jautājums par tiem un tikai tad jānāk. Es nolēmu redzēt, ko Lamports tur pārraida, un tas ir lieliski! Tas ir tieši tas, burvju saišu tablete zombiju ārstēšanai. Brīdinu: teksts var nopietni sadedzināt tos, kam patīk īpaši veiklās metodikas un kuriem nepatīk pārbaudīt rakstīto.

Pēc habrokata faktiski sākas semināra tulkošana. Izbaudi lasīšanu!

Neatkarīgi no tā, kādu uzdevumu jūs uzņematies, jums vienmēr ir jāveic trīs darbības:

• izlemiet, kādu mērķi vēlaties sasniegt;
• izlemiet, kā tieši jūs sasniegsiet savu mērķi;
• sasniegt savu mērķi.

Tas attiecas arī uz programmēšanu. Kad mēs rakstām kodu, mums ir nepieciešams:

• izlemt, kas tieši programmai jādara;
• precīzi noteikt, kā tai būtu jāpilda savs uzdevums;
• uzrakstiet atbilstošo kodu.

Pēdējais solis, protams, ir ļoti svarīgs, bet es par to šodien nerunāšu. Tā vietā mēs apspriedīsim pirmos divus. Katrs programmētājs tos veic pirms darba sākšanas. Jūs nesēdat, lai rakstītu, ja vien neesat izlēmis, ko rakstāt: pārlūkprogrammu vai datu bāzi. Jābūt noteiktam priekšstatam par mērķi. Un jūs noteikti domājat par to, ko tieši programma darīs, un nerakstiet to nejauši, cerot, ka pats kods kaut kā pārvērtīsies par pārlūkprogrammu.

Kā tieši notiek šī koda iepriekšēja domāšana? Cik daudz pūļu mums vajadzētu pielikt šajā jautājumā? Tas viss ir atkarīgs no tā, cik sarežģītu problēmu mēs risinām. Pieņemsim, ka mēs vēlamies uzrakstīt defektiem izturīgu sadalītu sistēmu. Šajā gadījumā mums vajadzētu rūpīgi pārdomāt lietas, pirms apsēsties pie kodēšanas. Ko darīt, ja mums vienkārši jāpalielina vesels mainīgais par 1? No pirmā acu uzmetiena šeit viss ir triviāls un nav jādomā, bet tad atceramies, ka var rasties pārplūde. Tāpēc, pat lai saprastu, vai problēma ir vienkārša vai sarežģīta, vispirms ir jādomā.

Ja iepriekš pārdomājat iespējamos problēmas risinājumus, varat izvairīties no kļūdām. Bet tas prasa, lai jūsu domāšana būtu skaidra. Lai to panāktu, jums ir jāpieraksta savas domas. Man patīk Dika Gindona citāts: “Kad tu raksti, daba parāda, cik pavirša ir tava domāšana.” Ja jūs nerakstāt, jūs tikai domājat, ka domājat. Un jums ir jāpieraksta savas domas specifikāciju veidā.

Specifikācijas kalpo daudzām funkcijām, īpaši lielos projektos. Bet es runāšu tikai par vienu no tiem: tie palīdz mums skaidri domāt. Skaidra domāšana ir ļoti svarīga un diezgan sarežģīta, tāpēc mums ir vajadzīga palīdzība. Kādā valodā jāraksta specifikācijas? Kopumā programmētājiem tas vienmēr ir pirmais jautājums: kādā valodā mēs rakstīsim? Nav vienas pareizas atbildes: mūsu risināmās problēmas ir pārāk dažādas. Dažiem cilvēkiem TLA+ ir manis izstrādāta specifikācijas valoda. Citiem ērtāk izmantot ķīniešu valodu. Tas viss ir atkarīgs no situācijas.

Svarīgāks jautājums ir: kā mēs varam panākt skaidrāku domāšanu? Atbilde: Mums jādomā kā zinātniekiem. Šis ir domāšanas veids, kas ir labi strādājis pēdējos 500 gadus. Zinātnē mēs veidojam matemātiskos realitātes modeļus. Astronomija, iespējams, bija pirmā zinātne šī vārda tiešā nozīmē. Astronomijā izmantotajā matemātiskajā modelī debess ķermeņi parādās kā punkti ar masu, stāvokli un impulsu, lai gan patiesībā tie ir ārkārtīgi sarežģīti objekti ar kalniem un okeāniem, bēgumiem un bēgumiem. Šis modelis, tāpat kā jebkurš cits, tika izveidots noteiktu problēmu risināšanai. Tas ir lieliski piemērots, lai noteiktu, kur vērst teleskopu, ja vēlaties atrast planētu. Bet, ja vēlaties paredzēt laikapstākļus uz šīs planētas, šis modelis nedarbosies.

Matemātika ļauj noteikt modeļa īpašības. Un zinātne parāda, kā šīs īpašības ir saistītas ar realitāti. Parunāsim par mūsu zinātni, datorzinātnēm. Realitāte, ar kuru mēs strādājam, ir dažāda veida skaitļošanas sistēmas: procesori, spēļu konsoles, datori, kuros darbojas programmas, un tā tālāk. Es runāšu par programmas izpildi datorā, bet kopumā visi šie secinājumi attiecas uz jebkuru skaitļošanas sistēmu. Mūsu zinātnē mēs izmantojam daudz dažādu modeļu: Tjūringa mašīnu, daļēji sakārtotus notikumu kopumus un daudzus citus.

Kas ir programma? Šis ir jebkurš kods, ko var apsvērt atsevišķi. Pieņemsim, ka mums ir jāraksta pārlūkprogramma. Mēs veicam trīs uzdevumus: noformējam lietotāja prezentāciju par programmu, pēc tam uzrakstām programmas augsta līmeņa diagrammu un visbeidzot uzrakstām kodu. Rakstot kodu, mēs saprotam, ka mums ir jāraksta teksta formatētājs. Šeit atkal jāatrisina trīs problēmas: jānosaka, kādu tekstu šis rīks atgriezīs; izvēlieties formatēšanas algoritmu; rakstīt kodu. Šim uzdevumam ir savs apakšuzdevums: pareizi ievietot defises vārdos. Arī šo apakšuzdevumu risinām trīs soļos – kā redzam, tie atkārtojas daudzos līmeņos.

Sīkāk apskatīsim pirmo soli: kādu problēmu programma atrisina. Šeit mēs visbiežāk modelējam programmu kā funkciju, kas ņem zināmu ievadi un dod kādu izvadi. Matemātikā funkciju parasti raksturo kā sakārtotu pāru kopu. Piemēram, naturālu skaitļu kvadrātošanas funkcija ir aprakstīta kā kopa {<0,0>, <1,1>, <2,4>, <3,9>, …}. Šādas funkcijas definīcijas domēns ir katra pāra pirmo elementu kopa, tas ir, naturālie skaitļi. Lai definētu funkciju, mums jānorāda tās domēns un formula.

Bet funkcijas matemātikā nav tādas pašas kā funkcijas programmēšanas valodās. Matemātika ir daudz vienkāršāka. Tā kā man nav laika sarežģītiem piemēriem, aplūkosim vienkāršu: funkciju C vai statisku metodi Java, kas atgriež lielāko kopējo divu veselu skaitļu dalītāju. Šīs metodes specifikācijā rakstīsim: aprēķina GCD(M,N) par argumentiem M и NKur GCD(M,N) - funkcija, kuras domēns ir veselu skaitļu pāru kopa, un atgriežamā vērtība ir lielākais veselais skaitlis, kas dalīts ar M и N. Kā realitāte atšķiras ar šo modeli? Modelis darbojas ar veseliem skaitļiem, un C vai Java mums ir 32 biti int. Šis modelis ļauj mums izlemt, vai algoritms ir pareizs GCD, taču tas nenovērsīs pārpildes kļūdas. Tam būtu nepieciešams sarežģītāks modelis, kuram nav laika.

Parunāsim par funkcijas kā modeļa ierobežojumiem. Dažas programmas (piemēram, operētājsistēmas) ne tikai atgriež noteiktu vērtību noteiktiem argumentiem; tās var darboties nepārtraukti. Turklāt funkcija kā modelis ir slikti piemērota otrajam solim: problēmas risināšanas plānošanai. Ātrā kārtošana un burbuļu kārtošana aprēķina vienu un to pašu funkciju, taču tie ir pilnīgi atšķirīgi algoritmi. Tāpēc, lai aprakstītu veidu, kā sasniegt programmas mērķi, es izmantoju citu modeli, sauksim to par standarta uzvedības modeli. Programma tajā tiek attēlota kā visu derīgo uzvedību kopums, no kuriem katrs, savukārt, ir stāvokļu secība, un stāvoklis ir vērtību piešķiršana mainīgajiem.

Apskatīsim, kā izskatīsies Eiklīda algoritma otrais solis. Mums ir jāaprēķina GCD(M, N). Mēs inicializējam M kā xUn N kā y, pēc tam atkārtoti atņemiet mazāko no šiem mainīgajiem lielumiem, līdz tie ir vienādi. Piemēram, ja M = 12Un N = 18, mēs varam aprakstīt šādu uzvedību:

[x = 12, y = 18] → [x = 12, y = 6] → [x = 6, y = 6]

Un ja M = 0 и N = 0? Nulle dalās ar visiem skaitļiem, tāpēc šajā gadījumā nav lielākā dalītāja. Šajā situācijā mums ir jāatgriežas pie pirmā soļa un jājautā: vai mums tiešām ir jāaprēķina GCD nepozitīviem skaitļiem? Ja tas nav nepieciešams, jums vienkārši jāmaina specifikācija.

Šeit ir vietā īsa atkāpe par produktivitāti. To bieži mēra dienā uzrakstīto koda rindiņu skaitā. Bet jūsu darbs ir daudz noderīgāks, ja atbrīvojaties no noteikta rindu skaita, jo jums ir mazāk vietas kļūdām. Un vienkāršākais veids, kā atbrīvoties no koda, ir pirmais solis. Iespējams, ka jums vienkārši nav vajadzīgi visi zvani un svilpes, ko mēģināt īstenot. Ātrākais veids, kā vienkāršot programmu un ietaupīt laiku, ir nedarīt lietas, kuras nevajadzētu darīt. Otrajam solim ir otrs lielākais laika taupīšanas potenciāls. Ja mēra produktivitāti uzrakstīto rindiņu izteiksmē, tad domas par to, kā izpildīt uzdevumu, liks jums mazāk produktīvs, jo jūs varat atrisināt to pašu problēmu ar mazāku kodu. Šeit nevaru sniegt precīzu statistiku, jo man nav iespējas saskaitīt rindiņu skaitu, kuras neuzrakstīju specifikācijas, tas ir, pirmajam un otrajam solim, pavadītā laika dēļ. Un arī šeit nevar veikt eksperimentu, jo eksperimentā mums nav tiesību veikt pirmo soli, uzdevums tiek noteikts iepriekš.

Neformālajās specifikācijās ir viegli nepamanīt daudzas grūtības. Stingru funkciju specifikāciju rakstīšanā nav nekā sarežģīta; es to neapspriedīšu. Tā vietā mēs runāsim par stingru standarta uzvedības specifikāciju rakstīšanu. Pastāv teorēma, kas nosaka, ka jebkuru darbību kopumu var aprakstīt, izmantojot drošības rekvizītu (drošība) un izdzīvošanas īpašības (dzīvīgums). Drošība nozīmē, ka nekas slikts nenotiks, programma nesniegs nepareizu atbildi. Izdzīvošana nozīmē, ka agrāk vai vēlāk notiks kaut kas labs, t.i., programma agrāk vai vēlāk sniegs pareizo atbildi. Parasti svarīgāks rādītājs ir drošība, šeit visbiežāk rodas kļūdas. Tāpēc, lai ietaupītu laiku, es nerunāšu par izdzīvošanu, lai gan tas, protams, arī ir svarīgs.

Mēs panākam drošību, vispirms norādot iespējamo sākotnējo stāvokļu kopu. Un, otrkārt, attiecības ar visiem iespējamiem nākamajiem stāvokļiem katram štatam. Uzvedīsimies kā zinātnieki un definēsim stāvokļus matemātiski. Sākotnējo stāvokļu kopu apraksta ar formulu, piemēram, Eiklīda algoritma gadījumā: (x = M) ∧ (y = N). Par noteiktām vērtībām M и N ir tikai viens sākuma stāvoklis. Attiecības ar nākamo stāvokli apraksta ar formulu, kurā nākamā stāvokļa mainīgie tiek ierakstīti ar pirmskaitli, bet pašreizējā stāvokļa mainīgie bez pirmskaitļa. Eiklīda algoritma gadījumā mēs nodarbosimies ar divu formulu disjunkciju, no kurām vienā x ir lielākā vērtība, bet otrajā - y:

Pirmajā gadījumā jaunā y vērtība ir vienāda ar iepriekšējo y vērtību, un mēs iegūstam jauno x vērtību, atņemot mazāko mainīgo no lielākā. Otrajā gadījumā mēs rīkojamies pretēji.

Atgriezīsimies pie Eiklīda algoritma. Pieņemsim vēlreiz, ka M = 12, N = 18. Tas definē vienu sākotnējo stāvokli, (x = 12) ∧ (y = 18). Pēc tam mēs pievienojam šīs vērtības iepriekš minētajā formulā un iegūstam:

Šeit ir vienīgais iespējamais risinājums: x' = 18 - 12 ∧ y' = 12, un mēs iegūstam uzvedību: [x = 12, y = 18]. Tādā pašā veidā mēs varam aprakstīt visus mūsu uzvedības stāvokļus: [x = 12, y = 18] → [x = 12, y = 6] → [x = 6, y = 6].

Pēdējā stāvoklī [x = 6, y = 6] abas izteiksmes daļas būs nepatiesas, tāpēc tai nav nākamā stāvokļa. Tātad, mums ir pilnīga otrā posma specifikācija - kā mēs redzam, tā ir diezgan parasta matemātika, piemēram, inženieru un zinātnieku, un nav dīvaina, piemēram, datorzinātnēs.

Šīs divas formulas var apvienot vienā temporālās loģikas formulā. Tas ir eleganti un viegli izskaidrojams, bet tagad tam nav laika. Laicīgā loģika mums var būt nepieciešama tikai dzīvīguma īpašībai, drošībai tā nav vajadzīga. Man nepatīk temporālā loģika kā tāda, tā nav gluži parasta matemātika, bet dzīvīguma gadījumā tas ir nepieciešams ļaunums.

Eiklīda algoritmā katrai vērtībai x и y ir unikālas vērtības x' и y', kas padara saistību ar nākamo stāvokli patiesu. Citiem vārdiem sakot, Eiklīda algoritms ir deterministisks. Lai modelētu nedeterministisku algoritmu, pašreizējam stāvoklim ir jābūt vairākiem iespējamiem nākotnes stāvokļiem, un katrai neapstrādātā mainīgā vērtībai ir jābūt vairākām primārā mainīgā vērtībām, lai attiecības ar nākamo stāvokli būtu patiesas. Tas nav grūti izdarāms, bet es tagad nesniegšu piemērus.

Lai izveidotu darba rīku, nepieciešama formālā matemātika. Kā specifikāciju padarīt formālu? Lai to izdarītu, mums būs nepieciešama formāla valoda, piem. TLA+. Eiklīda algoritma specifikācija šajā valodā izskatīsies šādi:

Vienādības zīmes simbols ar trīsstūri nozīmē, ka vērtība pa kreisi no zīmes tiek noteikta kā vienāda ar vērtību pa labi no zīmes. Būtībā specifikācija ir definīcija, mūsu gadījumā divas definīcijas. TLA+ specifikācijai ir jāpievieno deklarācijas un zināma sintakse, kā parādīts augstāk esošajā slaidā. ASCII formātā tas izskatītos šādi:

Kā redzat, nekas sarežģīts. TLA+ specifikāciju var pārbaudīt, t.i., mazā modelī ir iespējams apiet visas iespējamās darbības. Mūsu gadījumā šis modelis būs noteiktas vērtības M и N. Šī ir ļoti efektīva un vienkārša verifikācijas metode, kas ir pilnībā automātiska. Turklāt ir iespējams uzrakstīt formālus patiesības pierādījumus un pārbaudīt tos mehāniski, taču tas aizņem daudz laika, tāpēc gandrīz neviens to nedara.

TLA+ galvenais trūkums ir tas, ka tā ir matemātika, un programmētāji un datorzinātnieki baidās no matemātikas. No pirmā acu uzmetiena tas izklausās kā joks, bet diemžēl es to saku ļoti nopietni. Mans kolēģis tikko stāstīja, kā viņš mēģināja izskaidrot TLA+ vairākiem izstrādātājiem. Tiklīdz formulas parādījās ekrānā, viņu acis uzreiz kļuva stiklveida. Tātad, ja TLA+ ir biedējošs, varat to izmantot PlusCal, ir sava veida rotaļlietu programmēšanas valoda. Izteiksme programmā PlusCal var būt jebkura TLA+ izteiksme, tas ir, būtībā jebkura matemātiska izteiksme. Turklāt PlusCal ir sintakse nedeterministiskiem algoritmiem. Tā kā PlusCal var rakstīt jebkuru TLA+ izteiksmi, tā ir ievērojami izteiksmīgāka nekā jebkura reāla programmēšanas valoda. Pēc tam PlusCal ir apkopots viegli lasāmā TLA+ specifikācijā. Tas, protams, nenozīmē, ka sarežģītā PlusCal specifikācija TLA+ pārtaps par vienkāršu – tikai tāpēc, ka atbilstība starp tām ir acīmredzama, nekāda papildu sarežģītība neparādīsies. Visbeidzot, šo specifikāciju var pārbaudīt, izmantojot TLA+ rīkus. Kopumā PlusCal var palīdzēt pārvarēt matemātikas fobiju; to ir viegli saprast pat programmētājiem un datorzinātniekiem. Es kādu laiku (apmēram 10 gadus) publicēju tajā algoritmus.

Varbūt kāds iebildīs, ka TLA+ un PlusCal ir matemātika un matemātika darbojas tikai ar izdomātiem piemēriem. Praksē jums ir nepieciešama īsta valoda ar veidiem, procedūrām, objektiem utt. Tas ir nepareizi. Lūk, ko raksta Kriss Ņūkombs, kurš strādāja Amazon: “Mēs esam izmantojuši TLA+ desmit lielos projektos, un katrā gadījumā tā izmantošana būtiski ietekmēja attīstību, jo mēs varējām noķert bīstamas kļūdas, pirms tās nonāca ražošanā, un tāpēc, ka tas sniedza mums ieskatu un pārliecību, kas bija nepieciešama, lai kļūtu agresīvs. veiktspējas optimizācija, neietekmējot programmas patiesumu". Bieži var dzirdēt, ka, izmantojot formālas metodes, mēs iegūstam neefektīvu kodu – praksē viss ir tieši otrādi. Turklāt pastāv uzskats, ka vadītājus nevar pārliecināt par formālu metožu nepieciešamību, pat ja programmētāji ir pārliecināti par to lietderību. Un Ņūkombs raksta: “Vadītāji tagad visos iespējamos veidos cenšas rakstīt specifikācijas TLA+ un īpaši atvēl tam laiku.”. Tātad, kad vadītāji redz, ka TLA+ darbojas, viņi to pieņem. Kriss Ņūkombs to rakstīja apmēram pirms sešiem mēnešiem (2014. gada oktobrī), bet tagad, cik man zināms, TLA+ tiek izmantots 14 projektos, nevis 10. Vēl viens piemērs attiecas uz XBox 360 dizainu. Pie Čārlza Tekera ieradās praktikants un uzrakstīja specifikāciju atmiņas sistēmai. Pateicoties šai specifikācijai, tika atrasta kļūda, kas citādi netiktu atklāta un izraisītu katra XBox 360 avāriju pēc četru stundu lietošanas. IBM inženieri apstiprināja, ka viņu testi nebūtu atklājuši šo kļūdu.

Vairāk par TLA+ var lasīt internetā, bet tagad parunāsim par neformālajām specifikācijām. Mums reti ir jāraksta programmas, kas aprēķina vismazāko dalītāju un tamlīdzīgi. Daudz biežāk mēs rakstām tādas programmas kā diezgan printera rīks, ko rakstīju TLA+. Pēc vienkāršākās apstrādes TLA+ kods izskatītos šādi:

Taču iepriekš minētajā piemērā lietotājs, visticamāk, vēlējās, lai savienojums un vienādības zīmes tiktu līdzināti. Tātad pareizais formatējums izskatītos vairāk šādi:

Apsveriet citu piemēru:

Šeit, gluži pretēji, vienādības zīmju sakārtošana, saskaitīšana un reizināšana avotā bija nejauša, tāpēc pietiek ar vienkāršāko apstrādi. Kopumā pareizam formatējumam nav precīzas matemātiskas definīcijas, jo “pareizi” šajā gadījumā nozīmē “ko vēlas lietotājs”, un to nevar noteikt matemātiski.

Šķiet, ja mums nav patiesības definīcijas, tad specifikācija ir bezjēdzīga. Bet tā nav taisnība. Tas, ka mēs nezinām, kas programmai ir jādara, nenozīmē, ka mums nav jādomā par to, kā tai būtu jādarbojas — gluži pretēji, mums tai ir jāvelta vēl vairāk pūļu. Īpaši svarīga šeit ir specifikācija. Nav iespējams noteikt optimālo programmu strukturētai drukāšanai, taču tas nenozīmē, ka mums tas vispār nebūtu jāuzņemas, un koda rakstīšana kā apziņas plūsma tā nav. Es beidzot uzrakstīju sešu noteikumu specifikāciju ar definīcijām komentāru veidā Java failā. Šeit ir piemērs vienam no noteikumiem: a left-comment token is LeftComment aligned with its covering token. Šis noteikums ir uzrakstīts, teiksim, matemātiskā angļu valodā: LeftComment aligned, left-comment и covering token — termini ar definīcijām. Matemātiķi apraksta matemātiku šādi: viņi raksta terminu definīcijas un, pamatojoties uz tiem, veido noteikumus. Šīs specifikācijas priekšrocība ir tāda, ka sešus noteikumus ir daudz vieglāk saprast un atkļūdot nekā 850 koda rindiņas. Man jāsaka, ka šo noteikumu rakstīšana nebija vienkārša, to atkļūdošana prasīja diezgan daudz laika. Es uzrakstīju kodu tieši šim nolūkam, kas man norādīja, kurš noteikums tika izmantots. Tā kā es pārbaudīju šos sešus noteikumus ar dažiem piemēriem, man nebija jāatkļūdo 850 koda rindiņas, un kļūdas bija diezgan viegli atrast. Java tam ir lieliski rīki. Ja es būtu tikko uzrakstījis kodu, tas būtu prasījis daudz ilgāku laiku un formatējums būtu sliktāks.

Kāpēc nevarēja izmantot formālu specifikāciju? No vienas puses, pareiza izpilde šeit nav pārāk svarīga. Strukturēta izdruka noteikti dažiem neapmierinās, tāpēc man nebija jāpanāk, lai tā darbotos pareizi visās neparastajās situācijās. Vēl svarīgāk ir tas, ka man nebija atbilstošu instrumentu. TLA+ modeļu pārbaudītājs šeit ir bezjēdzīgs, tāpēc man būtu jāraksta piemēri ar roku.

Dotajai specifikācijai ir iezīmes, kas ir kopīgas visām specifikācijām. Tas ir augstāks līmenis nekā kods. To var ieviest jebkurā valodā. Nav rīku vai metožu tā rakstīšanai. Neviens programmēšanas kurss nepalīdzēs uzrakstīt šo specifikāciju. Un nav rīku, kas varētu padarīt šo specifikāciju nevajadzīgu, ja vien jūs, protams, nerakstāt valodu, kas ir īpaši paredzēta strukturētu izdruku programmu rakstīšanai TLA+. Visbeidzot, šajā specifikācijā nekas nav teikts par to, kā tieši mēs rakstīsim kodu, tajā ir tikai norādīts, ko kods dara. Mēs rakstām specifikāciju, lai palīdzētu mums pārdomāt problēmu, pirms sākam domāt par kodu.

Bet šai specifikācijai ir arī pazīmes, kas to atšķir no citām specifikācijām. 95% citu specifikāciju ir daudz īsākas un vienkāršākas:

Turklāt šī specifikācija ir noteikumu kopums. Tas parasti liecina par sliktu specifikāciju. Izprast noteikumu kopuma sekas ir diezgan grūti, tāpēc man bija jāpavada daudz laika, lai tos atkļūdotu. Tomēr šajā gadījumā es nevarēju atrast labāku veidu.

Ir vērts pateikt dažus vārdus par programmām, kas darbojas nepārtraukti. Parasti tās darbojas paralēli, piemēram, operētājsistēmas vai sadalītas sistēmas. Ļoti maz cilvēku var tos saprast savā prātā vai uz papīra, un es neesmu viens no tiem, lai gan kādreiz es to varēju. Tāpēc mums ir nepieciešami rīki, kas pārbaudīs mūsu darbu - piemēram, TLA+ vai PlusCal.

Kāpēc man bija jāraksta specifikācija, ja es jau zināju, kas kodam jādara? Patiesībā es tikai domāju, ka es to zinu. Turklāt, ja ir ieviesta specifikācija, ārējam vairs nav jāiedziļinās kodā, lai saprastu, ko tieši tas dara. Man ir noteikums: vispārējiem noteikumiem nevajadzētu būt. Protams, šim noteikumam ir izņēmums, tas ir vienīgais vispārīgais noteikums, ko es ievēroju: koda darbības specifikācijai ir jāpasaka cilvēkiem viss, kas viņiem jāzina, lietojot šo kodu.

Kas tad īsti programmētājiem jāzina par domāšanu? Sākumā tas pats, kas visiem: ja tu neraksti, tad tev tikai šķiet, ka tu domā. Turklāt jums ir jādomā pirms kodēšanas, kas nozīmē, ka pirms kodēšanas jums ir jāraksta. Specifikācijas ir tas, ko mēs rakstām pirms kodēšanas. Specifikācija ir nepieciešama jebkuram kodam, ko var izmantot vai mainīt ikviens. Un šis “kāds” var izrādīties koda autors mēnesi pēc tā uzrakstīšanas. Specifikācija ir nepieciešama lielām programmām un sistēmām, klasēm, metodēm un dažreiz pat vienas metodes sarežģītām sadaļām. Kas tieši būtu jāraksta par kodu? Jums jāapraksta, ko tas dara, tas ir, kaut kas var būt noderīgs ikvienam, kas izmanto šo kodu. Dažreiz var būt nepieciešams arī norādīt, kā tieši kods sasniedz savu mērķi. Ja mēs šo metodi izgājām algoritmu kursā, tad to saucam par algoritmu. Ja tas ir kaut kas specializētāks un jauns, tad mēs to saucam par augsta līmeņa dizainu. Šeit nav formālas atšķirības: abi ir abstrakti programmas modeļi.

Kā tieši jums vajadzētu rakstīt koda specifikāciju? Galvenais: tam jābūt vienu līmeni augstākam par pašu kodu. Tam jāapraksta stāvokļi un uzvedība. Tam jābūt tik stingrai, cik to prasa uzdevums. Ja rakstāt specifikāciju, kā īstenot uzdevumu, tad to var rakstīt pseidokodā vai izmantojot PlusCal. Jums jāiemācās rakstīt specifikācijas, izmantojot formālas specifikācijas. Tas iegūs nepieciešamās prasmes, kas palīdzēs arī neformālajās. Kā iemācīties rakstīt oficiālas specifikācijas? Kad iemācījāmies programmēt, rakstījām programmas un pēc tam tās atkļūdojām. Tas pats šeit: jums ir jāuzraksta specifikācija, jāpārbauda tā ar modeļa pārbaudītāju un jāizlabo kļūdas. TLA+ var nebūt labākā valoda formālai specifikācijai, un cita valoda, iespējams, būtu labāk piemērota jūsu īpašajām vajadzībām. Lieliskā TLA+ lieta ir tā, ka tā lieliski māca matemātisko domāšanu.

Kā saistīt specifikāciju un kodu? Izmantojot komentārus, kas saista matemātiskos jēdzienus un to realizāciju. Ja strādājat ar grafikiem, tad programmas līmenī jums būs mezglu masīvi un saišu masīvi. Tātad jums ir jāuzraksta, kā tieši grafu realizē šīs programmēšanas struktūras.

Jāatzīmē, ka nekas no iepriekš minētā neattiecas uz pašu koda rakstīšanas procesu. Rakstot kodu, tas ir, veicot trešo darbību, jums ir arī jādomā un jāpārdomā programma. Ja apakšuzdevums izrādās sarežģīts vai nav acīmredzams, jums ir jāraksta tā specifikācija. Bet es šeit nerunāju par pašu kodu. Jūs varat izmantot jebkuru programmēšanas valodu, jebkuru metodiku, tas nav par tiem. Turklāt nekas no iepriekšminētā neatbrīvo no nepieciešamības pārbaudīt un atkļūdot kodu. Pat ja abstraktais modelis ir uzrakstīts pareizi, tā ieviešanā var būt kļūdas.

Specifikāciju rakstīšana ir papildu solis kodēšanas procesā. Pateicoties tam, daudzas kļūdas var pieķert ar mazāku piepūli - mēs to zinām no Amazon programmētāju pieredzes. Ar specifikācijām programmu kvalitāte kļūst augstāka. Kāpēc tad mēs tik bieži iztiekam bez tiem? Jo rakstīt ir grūti. Bet rakstīt ir grūti, jo tam ir jādomā, un arī domāt ir grūti. Vienmēr ir vieglāk izlikties, ka domājat. Šeit var vilkt analoģiju ar skriešanu – jo mazāk skrien, jo lēnāk skrien. Jums ir jātrenē savi muskuļi un jāvingrinās rakstīt. Tas prasa praksi.

Specifikācija var būt nepareiza. Iespējams, kaut kur esat pieļāvis kļūdu, prasības ir mainījušās, vai arī ir jāveic uzlabojumi. Jebkurš kods, ko kāds izmanto, ir jāmaina, tāpēc agri vai vēlu specifikācija vairs nesakritīs ar programmu. Ideālā gadījumā šajā gadījumā jums ir jāraksta jauna specifikācija un pilnībā jāpārraksta kods. Mēs ļoti labi zinām, ka neviens to nedara. Praksē mēs labojam kodu un, iespējams, atjauninām specifikāciju. Ja agrāk vai vēlāk tas noteikti notiks, tad kāpēc vispār rakstīt specifikācijas? Pirmkārt, personai, kas rediģēs jūsu kodu, katrs papildu vārds specifikācijā būs zelta vērts, un šī persona, iespējams, esat jūs. Es bieži spārdos sevi par to, ka rediģējot kodu, neesmu pietiekami precīzs. Un es rakstu vairāk specifikācijas nekā kodu. Tāpēc, rediģējot kodu, specifikācija vienmēr ir jāatjaunina. Otrkārt, ar katru labojumu kods kļūst sliktāks, to kļūst grūtāk lasīt un uzturēt. Tas ir entropijas pieaugums. Bet, ja nesākat ar specifikāciju, katra jūsu rakstītā rindiņa būs labojums, un kods būs apjomīgs un grūti nolasāms no paša sākuma.

Kā teikts Eizenhauers, neviena kauja netika uzvarēta pēc plāna, un neviena kauja netika uzvarēta bez plāna. Un viņš kaut ko zināja par kaujām. Pastāv viedoklis, ka specifikāciju rakstīšana ir laika izšķiešana. Dažreiz tā ir taisnība, un uzdevums ir tik vienkāršs, ka nav jēgas to pārdomāt. Bet jums vienmēr jāatceras, ka tad, kad jums tiek ieteikts nerakstīt specifikācijas, tas nozīmē, ka jums ir ieteicams nedomāt. Un jums par to vajadzētu padomāt katru reizi. Uzdevuma pārdomāšana negarantē, ka nepieļausit kļūdas. Kā zināms, neviens nav izgudrojis burvju nūjiņu, un programmēšana ir grūts uzdevums. Bet, ja jūs nepārdomājat uzdevumu, jūs noteikti pieļausit kļūdas.

Vairāk par TLA+ un PlusCal varat lasīt speciālā mājaslapā, turp var doties no manas mājas lapas по ссылке. Tas man ir viss, paldies par uzmanību.

Lūdzu, atcerieties, ka šis ir tulkojums. Rakstot komentārus, atcerieties, ka autors tos nelasīs. Ja ļoti vēlies patērzēt ar autoru, viņš būs Hydra 2019 konferencē, kas notiks 11. gada 12.-2019.jūlijā Sanktpēterburgā. Biļetes var iegādāties oficiālajā tīmekļa vietnē.

Avots: www.habr.com