04/06/2014 Estensioni Estensioni pure Estensione e' il termine java per ereditarietà : Un estensione C' di una classe C è un erede di C Un estensione è detta pura se non modifica la specifica dei metodi ereditati Un estensione pura può quindi solo estendere la specifica, aggiungendo nuove operazioni... ...tuttavia può modificare (a parità di specifica) l implementazione dei metodi ereditati altrimenti è detta non pura 2 1 04/06/2014 Estensione pura MaxIntSet: Specifica Estensione di IntSet, che aggiunge solo il metodo per estrarre il massimo elemento. Specifica di tutti gli altri metodi è inalterata. Costruttore non e' ereditato, quindi potrebbe cambiare. public class MaxIntSet extends IntSet { // OVERVIEW: MaxIntSet è sottotipo di IntSet con metodo max per //estrarre il massimo elemento //@ensures (*inizializza this come il MaxIntSet vuoto*) \public MaxIntSet //@ ensures this.size()>0 &&\result == (\max int i; this.isIn(i);i); //@signals(EmptyException) this.size() == 0; public int /* pure */ max() throws EmptyException { } La specifica di MaxIntSet assume come data la specifica di IntSet Aggiunge solo ciò che è nuovo (max() e costruttore) 3 MaxIntSet: Implementazione Per migliorare efficienza, si memorizza il max elemento => occorre reimplentare tutti i metodi modificatori, anche se specifica non è cambiata! RI cambia. public class MaxIntSet extends IntSet { private int biggest;//memorizza il max. Non definito per this=vuoto. public MaxIntSet(){ super(); } public int max() throws EmptyException { if (size() == 0) throw new EmptyException( MaxIntSet.max ); return biggest; } @Override public void insert(int x){ if (size() == 0 || x>biggest) biggest = x; super.insert(x); //chiama metodo insert di IntSet } overriding (ridefinizione) @Override public void remove(int x){ super.remove(x); if(size()==0||x<biggest) return; (for Iterator<Integer> g: IntSet) {Integer z=g; if(z>biggest) biggest=z;} } 4 2 04/06/2014 AF e RI? AF di sottoclasse di solito è uguale a quella della sovraclasse AF di MaxIntSet è identica a AF di IntSet: MaxIntSet utilizza ancora IntSet per memorizzare gli elementi. // la funzione di astrazione è: //AF_MaxIntSet(c) = AF_IntSet(c) Rep invariant della classe base è ereditato senza possibilità di modifica e si aggiunge (in JML con also ) un nuovo RI: // il rep invariant RI_MaxIntSet(c) è: //@ also //@ private invariant this.size>0 ==> //@ isIn(biggest) && biggest = (\max int x; isIn(x);x); NB: RI è sempre vero ad esempio quando this è l insieme è vuoto. In tal caso, biggest può assumere un valore qualunque. Valgono le consuete regole di visibilità. RI di una estensione può usare: tutti gli attributi e metodi puri (anche private) definiti nella classe stessa; attributi e metodi puri ereditati, purche' pubblici o protected. Quindi se els è private non si può scrivere, al posto dell'ultima linea: (\forall int i; 0<= i && i<this.size(); els.get(i) <= x) 5 Estensioni non pure E modificata la specifica di uno o più metodi ereditati Es. un insieme ordinato SortedIntSet public class SortedIntSet extends IntSet { public SortedIntSet {super();} @Override //@ ensures (*restituisce un iteratore su tutti e soli gli elementi di //@this , ciascuno una sola volta, in ordine crescente *); } } NB: Le estensioni non pure di classi concrete andrebbero evitate o quantomeno limitate (la reimplementazione di metodi sempre «pericolosa»). 3 04/06/2014 PRINCIPIO DI SOSTITUZIONE DI LISKOV Richiami: Open-closed principle Nei linguaggi a oggetti, è possibile definire astrazioni, tramite classi (tipicamente classi astratte o interfacce), da richiamare poi in altri moduli. Un modulo è chiuso rispetto alla modifica perché la definizione delle astrazioni non cambia Ad esempio disegnaTutto() nell editor grafico era definita in base alla classe astratta Figura. La disegnaTutto non deve più essere modificata. Le classi però possono essere estese, tramite sottoclassi: ciò rende un modulo aperto per l'estensione: definire una nuova classe dalle astrazioni può modificare il comportamento di un modulo. Ad esempio disegnaTutto() diventa in grado di disegnare anche trapezi, ecc. 8 4 04/06/2014 Estendibilità tramite ereditarietà è garantita solo se possiamo usare oggetti di una classe che sono sostituibili a quelli della sopraclasse. Gli oggetti della sottoclasse devono rispettare il contratto della superclasse Ad esempio, la disegna() deve contenere codice che disegna l oggetto this sullo schermo. Ogni sottoclasse di Figura deve definire una disegna() che abbia lo stesso effetto! Ma se si definisse disegna() in modo diverso? Ad esempio, se disegna() di Trapezi fosse definita in modo che disegna this solo se l area e maggiore di 20? Va ancora bene? Come fare a garantire che il contratto della superclasse sia rispettato? 9 Principio di sostituzione di Liskov Gli oggetti della sottoclasse devono rispettare il contratto della sovraclasse il contratto puo essere esteso per coprire ulteriori casi. Questo garantisce che moduli che usano oggetti di un tipo devono potere usare oggetti di un tipo derivato senza accorgersi della differenza 10 5 04/06/2014 Es: Principio di Sostituzione OK L estensione pura MaxIntSet soddisfa il contratto di IntSet: ha tutti i metodi di IntSet, ciascuno con la stessa specifica che in IntSet ha in più il metodo max, ma utilizzatore di IntSet comunque non lo userà! Es. IntSet ha metodo iterator(): //@ensures (*restituisce un iteratore su tutti e soli gli elementi di //@ this, ciascuno visitato una sola volta, in ordine qualunque *); public Iterator<Integer> iterator() Codice che usa IntSet e iterator(): } public static int traccia(IntSet x) { int somma=0; (for Iterator<Integer> i: x) somma+=i.next(); return somma; Poiché MaxIntSet ha ancora il metodo iterator() con la stessa specifica, il codice di traccia sarà sorpreso se gli viene passato un MaxIntSet al posto di un IntSet: il MaxIntSet si comporta esattamente allo stesso modo. Quindi traccia(..) continua a garantire il proprio contratto 11 Es: Principio di Sostituzione OK public static int traccia(IntSet x) { int somma=0; (for Iterator<Integer> i: x) somma+=i.next(); return somma;} Sottoclasse SortedIntSet ridefinisce la specifica del metodo iterator() (quindi è estensione non pura): public class SortedIntSet extends IntSet { @Override //@ ensures (* \result contiene tutti e soli gli elementi di this , ciascuno una sola volta, in ordine crescente *); public Iterator<Integer> iterator() } traccia(s ); non sarà sorpreso se s è un SortedIntSet: il metodo restituisce comunque tutti e soli gli elementi, anche se in un ordine particolare 12 6 04/06/2014 Es: Principio di Sostituzione KO! Se invece iterator() fosse: //@ ensures (* restituisce un iteratore che itera su tutti gli elementi positivi di this, ciascuno una sola volta, in ordine crescente *); public Iterator<Integer> iterator() } La traccia(s) non calcola più la traccia dell insieme! il metodo non è compatibile con quello di IntSet() non restituisce gli elementi di valore negativo. Traccia(s) può avere un comportamento scorretto! Non soddisfa più il proprio contratto. Il motivo è che il contratto di iterator() in SortedIntSet non mantiene la promessa fatta dal contratto di iterator() in IntSet. 13 Regole per la specifica di sottoclassi Come garantire che il contratto dell estensione sia compatibile con quello della superclasse? Principio di sostituzione impone vincolo sulla specifica del sottotipo: deve essere compatibile con specifica del sopratipo (equivalenza comportamentale (behavioral) tra esemplari della sovraclasse e della sottoclasse). Poi basta che implementazione sia corretta rispetto a specifica Basta mostrare le seguenti tre proprietà della specifica dei tipi per compatibilità: Regola della segnatura: un sottotipo deve avere tutti i metodi del sopratipo, e segnature dei metodi del sottotipo devono essere compatibili. Regola dei metodi: le chiamate ai metodi del sottotipo devono comportarsi come le chiamate ai metodi corrispondenti del sopratipo. Regola delle proprietà: sottotipo deve preservare tutti i public invariant degli oggetti del sovratipo. 14 7 04/06/2014 Spiegazione Regola della segnatura: garantisce che il contratto della sovraclasse sia ancora applicabile, ossia che la sintassi della sottoclasse sia compatibiile con la sintassi della sovraclasse Es. il metodo non cambia la segnatura Regola dei metodi: verifica che il contratto dei singoli metodi ereditati sia compabile con il contratto dei metodi originali Es. estensione pura non cambia specifica Regola delle proprietà: verifica che la specifica nel suo complesso sia compatibile con quella originale 15 Regola della segnatura Garantisce type-safety, ossia che ogni chiamata corretta (senza errori di tipo) per il sovratipo sia corretta anche per il sottotipo correttezza verificabile staticamente Es. chiama il metodo iterator(): questo deve essere presente nell estensione, con un prototipo utilizzabile da In Java (nelle versioni <1.5), la regola delle segnatura diventa: un sottotipo deve avere tutti i metodi del sovratipo, e le segnature dei metodi del sottotipo devono essere identiche alle corrispondenti del sovratipo però un metodo del sottotipo può avere meno eccezioni nella segnatura (il codice che fa uso dell astrazione, scritto con riferimento al metodo del sovratipo, funziona anche se alcune delle eccezioni non vengono lanciate dai metodi del sottotipo) In realtà la regola della segnatura in Java è inutilmente restrittiva... 16 8 04/06/2014 Esempio: Punti e Linee Colorate public class Line public class ColoredLine extends Line {//una Line con un colore public class Point un punto (immutabile) nello spazio 2D public class GridPoint extends che deve stare su una griglia: //un GridPoint ha coordinate x e y intere public Line newLine(GridPoint p)// \result e una linea da this a p } public class ColoredGridPoint extends GridPoint { private Colore col; // \result è una ColoredLine colorata come this.col @Override public Line newLine(GridPoint p) } In Java la definizione di newLine è corretta, anche se a run time restituisce una ColoredLine, che è sottotipo di Line. Invarianza del risultato e dei parametri public static void usaPunto(GridPoint punto1) { Line lin= punto1.newLine(new GridPoint } usaPunto(new ColoredGridPoint La chiamata è lecita in Java perché ColoredGridPoint è sottotipo di GridPoint. Ridefinizione di newLine ha la stessa signature delloriginale, ossia: @Override // result è una ColoredLine colorata come this.col public Line newLine(GridPoint p) Allora usaPunto(new ColoredGridPoint invoca la nuova newLine, che riceve in ingresso un GridPoint e restituisce una ColoredLine Sappiamo che e corretto in Java! ColoredLine è sottotipo di Line e quindi lin a run-time può riferire un oggetto di tipo ColoredLine. 9 04/06/2014 Covarianza del risultato public static void usaPunto(GridPoint punto1) { } Se fosse consentito ridefinire newLine come: @Override // \result è una ColoredLine colorata come this public ColoredLine newLine(GridPoint p) allora invocherebbela la nuova newLine, che riceve in ingresso un GridPoint e restituisce una ColoredLine E corretto! ColoredLine è sottotipo di Line e quindi lin a run-time può riferire un oggetto di tipo ColoredLine. In effetti Java (da 1.5 in poi) consente di restringere il tipo del valore ritornato (ossia consente la Covarianza del Risultato) Covarianza dei parametri??? public static void usaPunto(GridPoint punto1) { } Se fosse consentito ridefinire newLine come: @Override // \result è una linea colorata come p.col public Line newLine(ColoredGridPoint p) allora invocherebbe la la nuova newLine, che deve ricevere in ingresso un ColoredGridPoint SCORRETTO! Il codice esistente di usaPunto passa a newLine un GridPoint (che non ha il colore!): errore di tipo a run-time. Quindi non si può restringere il tipo del parametro GridPoint ad un sottotipo ColoredGridPoint. Non vale covarianza dei parametri. 10 04/06/2014 Controvarianza dei parametri public static void usaPunto(GridPoint punto1) { Line lin= punto1.newLine(new GridPoint } usaPunto(new ColoredGridPoint Se fosse consentito ridefinire newLine come: @Override // \result è una linea colorata come this.col public Line newLine(Point p) allora usaPunto(new ColoredGridPoint deve ricevere in ingresso un Point invocherebbe la la nuova newLine, che CORRETTO! Il codice esistente di usaPunto passa a NewLine un GridPoint, che è sottotipo di Point. Quindi si può «allargare» il tipo dei parametri a una sovraclasse (si chiama Controvarianza dei parametri). ATTENZIONE: Questo è type-safe ma NON è consentito in Java!!!!! DOMANDA: perché Java, definito originalmente con invarianza dei parametri e dei risultati, a un certo punto ha consentito Covarianza dei risultati, ma ancora non consente Controvarianza dei parametri, pur se type-safe? Definizioni formali di covarianza e controvarianza Una trasformazione di tipo P e' un mapping da tipi a tipi. Es. costrutto array associa un tipo T a un tipo array_of_T P e' COVARIANTE se per tutti i tipi T,S quando S è sottotipo di T allora P(S) e' sottotipo di P(T) ossia mantiene l'ordinamento dei tipi indotto dalla relazione sottotipo P e' CONTROVARIANTE se per tutti i tipi T,S quando S è sottotipo di T allora P(T) e' sottotipo di P(S) ossia inverte l'ordinamento. P e' detta invariante negli altri casi (es. misti, ecc.) NB: terminologia deriva da trasformazione delle coordinate negli spazi vettoriali enti covarianti (es. la base ortonormale, per una rotazione degli assi; il gradiente di un campo scalare, per un cambio di scala): seguono una trasformazione uguale a quella delle coordinate; enti controvarianti (es. un vettore): seguono la trasformazione opposta. 25 11 04/06/2014 Regola dei metodi le chiamate ai metodi del sottotipo devono comportarsi come le chiamate ai metodi corrispondenti del sopratipo Non può essere verificata dal compilatore Perché la chiamata a un metodo del sottotipo abbia lo stesso effetto, basta che la specifica sia la stessa (e quindi ok con estensioni pure): se y ha tipo statico IntSet, dopo y.insert(x), sappiamo che x è nell insieme y quando la chiamata termina (indipendentemente dal tipo effettivo di y, se un IntSet o un MaxIntSet). se p ha tipo statico Poly e p.coeff(3) restituisce un valore >0, sappiamo che il grado di p è almeno 3 (indipendentemente dal tipo effettivo di p). Ma spesso è necessario cambiare la specifica! Es. iterator() in SortedIntSet() non restituisce gli elementi in un ordine qualsiasi ma in ordine crescente In questo caso, è corretto farlo, perche la ensures di IntSet.iterator() era nondeterministica: qualunque ordine in cui si ritornano gli elementi andava bene. Allora ritornarli in ordine crescente è accettabile ( rafforziamo la postcondizione ). Valgono regole della precondizione più debole e della postcondizione più forte 26 Sulla Forza e Debolezza delle Condizioni (1) Che significano? FORTE: più restrittivo, meno facile da rendere vero, verificato in meno casi DEBOLE: meno restrittivo, più facile da rendere vero, verificato in più casi Es: x > 15 è più forte di x > 7, detto altrimenti {x | x > 15} {x | x > 7}) Come si formalizza in Logica Matematica la forza di una condizione? le condizioni (formule logiche) sono ordinate (anche se non totalmente): dalle più forti (vere in meno casi) alle più deboli (vere in più casi) a un estremo FALSE, la condizione più forte di tutte all altro estremo TRUE, la più debole che ci sia l operatore logico per indicare che è più forte di è l implicazione ==> l implicazione logica è una specie di operatore di relazione che confronta il valore di verità delle formule l implicazione corrisponde all inclusione insiemistica dei valori che rendono vere le formule (dei casi in cui la formula è vera, o modelli) Es: se è x>15, è x>7, vale l implicazione ==> in termini insiemistici {x | x > 15} {x | x > 7} 27 12 04/06/2014 Sulla Forza e Debolezza delle Condizioni (2) Effetto degli operatori logici sulla forza delle condizioni Disgiunzione (OR, ||) indebolisce rispetto alla formula , la formula in cui è vera || è vera in qualche caso in più: quelli Es. (1<x<10) è più forte di (1<x<10) || (20<x<30) Congiunzione (AND, &&) rafforza rispetto alla formula , la formula && quelli in cui è vera ma non è vera è vera in qualche caso in meno: Es. (1<x<10) è più debole di (1<x<10) && dispari(x) soddisfatte rispettivamente da [2 .. 9] e da {3, 5, 7, 9} Implicazione (passare da ad ==> ) indebolisce rispetto alla formula , la formula ==> è vera in qualche caso in più: quelli in cui è falsa (infatti ==> equivale a ! || ) Es. (1<x<10) è più forte di dispari(x) ==> (1<x<10) soddisfatte rispettivamente da [2 .. 9] e da [2 .. 9] {x | pari(x)} inoltre un implicazione si indebolisce se viene rafforzata la premessa 28 Precondizione più debole Se la precondizione del metodo ridefinito è più debole di quella del metodo originale, allora tutti i casi in cui si chiamava il metodo originale si può chiamare anche il metodo ridefinito. Precondizione: ciò che chiamante deve garantire al chiamato perché un metodo operi correttamente se specifichiamo un metodo indebolendo la precondizione, il chiamante la verifica a fortiori Regola della precondizione: presuper => presub In JML questo è sempre verificato 29 13 04/06/2014 Se la precondizione fosse più forte? public class Stack<T> { //OVERVIEW: una pila di elementi di tipo T //.. //@requires true; //@ensures (* inserisce v in cima a this *); public void push(T v) } public class BoundedStack<T> { //OVERVIEW: una pila di elementi di tipo T // di dim. max pari a cento ... //@requires this.size() <=100; //@ensures (* inserisce v in cima alla pila *); public void push(T v) } Non c è modo di specificare BoundedStack come erede di Stack. Se BoundedStack estendesse Stack, allora codice che usa Stack potrebbe non funzionare Es. il metodo statico: //@ensures (* inserisce 200 elementi in s*) public static void riempiStack (Stack s) {} riempiStack funzionerebbe con uno Stack, ma non con un BoundedStack, violando il princ. di sostituzione. Ovviamente Java consente di definire BoundedStack come erede di Stack...pero la sua implementazione violera la specifica! 30 Postcondizione più forti Postcondizione: ciò che il chiamato deve garantire al chiamante al termine dell esecuzione, se vale precondizione Se rafforziamo postcondizione, allora la postcondizione attesa dal chiamante sarà comunque verificata più forte nel senso di implica logicamente : postsub ==> postsuper (se postsub è vera, allora anche postsuper è vera) poiché al termine dell esecuzione del metodo, post sub deve valere, anche postsuper vale, e l utilizzatore del sopratipo non è sorpreso In JML questo è sempre verificato 31 14 04/06/2014 Esempio dal calcolo numerico public class Num { //requires r > 0 //ensures abs(\result * \result - r) < 0.1 } public class NumPreciso { //requires r > 0 ///ensures abs(\result * \result - r) < 0.01 } NumPreciso può essere definita come erede di Num: la sua post garantisce la post originaria 32 Esempio di violazione della regola dei metodi public class CharBuffer { //OVERVIEW: Un buffer di caratteri. public class LowerCaseCharBuffer { //OVERVIEW: Un buffer di caratteri minuscoli. ... } // se x e minuscolo inserisce x in this, se non e // minuscolo non assicura nulla } Se LowerCaseCharBuffer venisse definito come sottoclasse di CharBuffer, il principio di sostituzione verrebbe violato. La regola della segnatura è verificata, ma la regola dei metodi NO: La post di insert non inserisce caratteri minuscoli: è più debole. 33 15 04/06/2014 JML ed estensioni Come si ridefinisce in JML la specifica di un metodo? Una sottoclasse eredita pre e postcondizioni dei metodi pubblici e protetti della superclasse e i sui invarianti pubblici Sintatticamente: tutto come al solito, basta aggiungere //@also //@also Ci dice che la specifica non è completa, ma serve quanto definito nella superclasse Vanno considerate insieme a quanto definito nella superclasse Semanticamente: clausole aggiuntive interpretate in modo da rispettare la regola dei metodi la nuova postcondizione si applica solo nel caso in cui valga la nuova precondizione In JML è impossibile specificare sottoclassi che non siano sottotipi perchè non seguono la regola dei metodi e perciò tutti i nostri (contro)esempi di violazione della regola dei metodi non sarebbero accettati da JML 34 Semantica in JML la parte //@requires della classe erede va in OR (||, disgiunzione) con quella della classe antenato: requires risulta indebolita la parte //@ensures della classe erede è essenzialmente messa in AND con quella della classe antenato: ensures risulta rafforzata Specifica Superclasse Requires Presup Ensures Postsup Specifica Sottoclasse: //@also Requires Presotto Ensures Postsotto Requires Presup || Presotto Ensures (\old(Presup ) ==> Postsup)) && (\old(Presotto) ==> Postsotto ) 35 16 04/06/2014 Esempio (1) Contratto di un metodo della classe Baratto: se mi dai almeno dieci patate allora ti do almeno due fragole int fragole(int patate) //@requires patate>=10 //@ensures \result >= 2 Esempio di ridefinizione del metodo in una estensione di Baratto: tutto come prima, ma inoltre se mi dai almeno cinque patate ti do fragola //@also //@requires patate >=5 //@ensures \result>=1 almeno una La ridefinizione ha la seguente specifica: //@requires patate>=10 || patate >=5 //@ensures (patate>=10 ==> \result >= 2) && (patate>=5 ==> \result >=1) se mi dai almeno dieci patate ti do almeno due fragole, se mi dai almeno cinque 36 patate ti do almeno una fragola Esempio (2) Se volessi ridefinire fragole indebolendo la postcondizione, cioe dicendo che voglio restuire meno fragole? //@also //@requires patate >=10 //@ensures \result>=1 La ridefinizione ha la seguente specifica: //@requires patate>=10 || patate >=10 //@ensures (patate>=10 ==> \result >= 2) && (patate>=10 ==> \result >=1) cioe : cioe : //@requires patate>=10 //@ensures (patate>=10 ==> \result >= 2) Infatti non e possibile indebolire la postcondizione in JML. 37 17 04/06/2014 Esempio (3) Se volessi ridefinire fragole rafforzando la postcondizione, cioe dicendo che voglio restituire più fragole? //@also //@requires patate >=10 //@ensures \result>=4 La ridefinizione ha la seguente specifica: //@requires patate>=10 || patate >=10 //@ensures (patate>=10 ==> \result >= 2) && (patate>=10 ==> \result >=4) cioè: //@requires patate>=10 //@ensures (patate>=10 ==> \result >= 4) Quindi per rafforzare la postcondizione, a parita di precondizione, basta ripetere la precondizione originale e aggiungere la nuova postcondizione 38 piu forte. Regola completa della postcondizione Dagli esempi si vede come, dove non vale presuper, può valere una postsub diversa o incompatibile con postsuper. (presuper && postsub) => postsuper La regola della postcondizione più forte vale quindo solo dove è verificata la precondizione originale: il codice che usa il metodo della superclasse non chiama il metodo nei casi aggiunti dalla precondizione più debole nella versione della sottoclasse La regola completa della postcondizione è sempre verificata in JML, per il modo in cui sono unite le specifiche del metodo nella superclasse e nella sottoclasse. 39 18 04/06/2014 Esempio di Regola completa post. Esempio: metodo addZero() di IntSet aggiunge 0 solo negli insiemi non vuoti //@requires this.size() > 0 public void addZero() Definiamo sottotipo di IntSet in cui AddZero() ridefinito in modo che se l insieme è vuoto viene aggiunto 1 //@also //@requires this.size() = 0 //@ensures this.isIn(1) public void addZero() ensures è diversa solo per quei valori (this = vuoto) che non erano legali per addZero() della superclasse: il codice che usa addZero non è sorpreso dalla modifica (non chiamera mai addZero con this == vuoto) In JML, la postcondizione corrisponde a: (\old(size()>0) ==> isIn(0) ) && (\old(size()=0) ==> isIn(1) ) 40 Esempio con tipi primitivi int (Integer) è sottotipo di long (Long)? O viceversa Osservazione: la somma di due int a 32 bit in caso di overflow lancia eccezione, mentre la somma degli stessi numeri rappresentati come long a 64 bit calcola il risultato! Non possono essere uno sottotipo dell altro perche le rispettive postcondizioni della somma non si implicano. 41 19 04/06/2014 Riassumendo 1. Regola dei metodi può essere enunciata come: require no more, promise no less: NON RICHIEDERE DI PIU' del metodo della classe base NON PROMETTERE DI MENO del metodo della classe base Entrambe le richieste devono essere soddisfatte JML impedisce di specificare astrazioni sui dati che violino la regola dei metodi NB: Ci sono altri metodi di specifica che lo consentono in JML, al massimo si può costruire una specifica non soddisfacibile (pre e/o post condizioni sono false per tutti i valori) Tuttavia, una classe in Java può essere implementata in modo scorretto e violare la regola. 42 Attenzione quando si eliminano eccezioni! IntSet con insert che non ignora i duplicati, ma lancia un eccezione: sottoclasse elimina eccezione: public class IntSet extends ExIntSet {... public class ExIntSet { //@ensures !\ //@ signals (DuplicateException e) \old(isIn(x)); public void insert (int x) throws DuplicateException //NON LANCIA ECCEZIONE public void insert (int x) } } Regola della segnatura: OK, ma Regola dei metodi: KO! Utilizzatore di IntSet potrebbe usare l eccezione Duplicate anche per stabilire se l elemento era gia presente e sara sorpreso... Dim: Sia x in this. Postsub è vera. Ma PostSuper è falsa (eccezione non è lanciata). Quindi si può eliminare un eccezione dalla segnatura solo se non è effettivamente usata o se il suo lancio è opzionale Ad esempio se era prevista non per trattare violazioni di precondizioni sui dati, ma per il verificarsi di altre condizioni che non possono più verificarsi. Notare la differenza con le precondizioni, che possono invece essere indebolite. Es. SportelloApertoException usata per metodo read() di una classe che descrive un floppy e poi in una sottoclasse che descrive una memoria SD rimovibile. 43 20 04/06/2014 Es. eliminazione eccezioni Nell es. BoundedStack non può essere definita come erede di Stack. La Stack può essere definita come erede di BoundedStack? Stack.push: //@ ensures (* inserisce v in cima *); BoundedStack.push: //@ requires this.size() <=100; //@ ensures (* inserisce v in cima *); SI, la regola dei metodi è soddisfatta. Se però contratto di BoundedStack.push fosse: //@ signals (OverflowExcepion e) this.size() >100; //@ ensures \old(size())<100 ==> (* inserisce v in cima *); allora violata regola della postcondizione. 44 Regola delle proprietà Sottotipo deve conservare le proprietà degli oggetti del sovratipo Sono proprietà generali incluse nel contratto della classe, e deducibili dal contratto dei metodi. Non compaiono pero esplicitamente nei metodi proprietà definite tipicamente nella OVERVIEW o come public invariant del sopratipo. Occorre mostrare che tutti metodi nuovi o ridefiniti, inclusi i costruttori, del sottotipo conservano le proprietà invarianti e le proprietà evolutive del sovratipo, osservabili con i metodi pubblici observer della sopraclasse Si usa solo specifica dei metodi, non implementazione. Fra un osservazione e l altra, e possibile che vengano chiamati anche i metodi nuovi dell estensioe. proprietà invariante: proprietà degli stati astratti osservabili dalla sopraclasse (). es: size() di un IntSet è sempre >= 0. Grado di un Poly non è negativo. proprietà evolutiva: relazione fra uno stato astratto osservabile e lo stato astratto osservabile successivo Es. Mutabilità; grado di un Poly non cambia 45 21 04/06/2014 Esempio violazione proprietà invariante tipo FatSet: come IntSet ma non è mai vuoto: public class FatSet { //OVERVIEW Un SimpleSet è insieme mutabile di interi con // almeno un elemento //@ public invariant this.size()>=1; //sempre almeno un elemento //@ ensures (*costruisce insieme {i}*) public FatSet(int i) //@ ensures \old(this.size()>=2) ==> !this.isIn(x); //elimina x da this public void removeNonEmpty(int x) } public class IntSet { ... //@ensures !this.isIn(x); } IntSet non può essere definita come sottoclasse di FatSet (IntSet extends FatSet) perché ne viola la proprietà (anche solo aggiungendo costruttore IntSet() per l insieme vuoto). Notare che IntSet sembra estensioen pura di SimpleSet (ma non lo e perche ne viola le proprieta ) 46 Esempio violazione proprietà evolutiva Tipo SimpleSet come IntSet ma senza remove: public class SimpleSet //OVERVIEW Un SimpleSet è insieme mutabile di // interi che non può ridursi nel tempo IntSet non può essere definito come estensione pura di SimpleSet aggiungendo remove, perché ne viola proprietà Utilizzatori di SimpleSet sarebbero sorpresi non ritrovando più gli elementi che avevano inserito in precedenza in un SimpleSet! 47 22 04/06/2014 Altro esempio di violazione proprietà evolutiva Sottoclasse di Stack che aggiunge un metodo riflesso public class MirrorStack extends Stack { //@ensures (*this diventa il riflesso di \old(this) *); } Pur essendo un'estensione pura di Stack, viola la proprietà evolutiva delle Pile (ossia la politica LIFO) Codice utilizzatore sarebbe sorpreso di non trovare i dati in ordine LIFO. NB: Quindi anche un'estensione pura può violare il principio di sostituzione Spesso si preferisce allora definire le estensioni pure come quelle che non modificano la specifica dei metodi e mantengono le proprietà della classe. 48 Ereditarietà e collezioni class Automobile {...} class AutomobileElettrica extends Automobile {...} class ParcheggioAutomobili { public void aggiungi(Automobile a) { //@ensures (*inserisce auto a in parcheggio*) .... } La classe ParcheggioElettriche rappresenta parcheggi speciali dedicati esclusivamente alle AutomobiliElettriche. ParcheggioElettriche può essere sottotipo di ParcheggioAutomobili? public class ParcheggioElettriche extends Parcheggio { } 50 23 04/06/2014 Parcheggio Automobile a=new Automobile(); Parcheggio_di_Automobili p=new ParcheggioElettriche(100); p.aggiungi(a); Sorpresa: inserisce Automobile non elettrica in Parcheggio_di_Elettriche (violata regola delle proprietà)! Se per impedirlo si ridefinisse ParcheggioElettriche.aggiungi(Automobile) in modo da inserire solo Auto elettriche, si violerebbe invece la postcondizione di Parcheggio.aggiungi(Automobile)! quindi un ParcheggioElettriche non può essere definito come sottotipo di ParcheggioAutomobili Questo perche' ParcheggioAutomobili e' un tipo Mutabile. Se fosse immutabile, non ci sarebbe metodo aggiungi(): un ParcheggioElettriche potrebbe essere definito come estensione di ParcheggioAutomobili (il costruttore non e' ereditato...) E' lo stesso problema già visto con i generici: Collection<String> non e' sottotipo di Collection<Object> 51 Riassumendo: il principio di sostituzione Tre proprietà della specifica dei tipi per compatibilità: Regola della segnatura: un sottotipo deve avere tutti i metodi del sopratipo, e segnature dei metodi del sottotipo devono essere compatibili. Garantito dal compilatore Java Regola dei metodi: le chiamate ai metodi del sottotipo devono comportarsi come le chiamate ai metodi corrispondenti del sopratipo. Garantito da JML ma non da Java Regola delle proprietà: sottotipo deve preservare tutti i public invariant e le proprieta evolutive degli oggetti del sovratipo. Garantito in parte da JML L implementazione Java deve essere aderente alla propria specifica. 52 24 04/06/2014 Consigli per usare ereditarietà Un approccio errato Ereditarietà = riuso diretto codice. Es: classe Persona eredita da classe Data perché ha una data di nascita Approccio corretto: principio di sostituzione Un oggetto della classe derivata deve potere essere sostituito ovunque ci sia un oggetto della classe base. Persona non può essere usato dove c'è una Data! Vi siete iscritti in data "Mario Rossi"? Ereditarietà quindi non è un meccanismo di condivisione/riuso del codice: la sottoclasse deve essere simile alla sopraclasse 53 Esempio: Quadrato vs Rettangolo Un Quadrato può essere erede di Rettangolo? (es: costruttore public Quadrato(float l){ lato1 = lato2 = l}) Dipende (di solito no): Se Rettangolo ha metodo stretch() per allungare o public void stretch() //@ensures (*cambia rapporto tra i lati*) Tipica soluzione corretta: classe astratta Figura, e poi Rettangolo e Quadrato definiti come eredi di Figura. Se si vuole riusare in Quadrato il codice scritto per Rettangolo basta p.es. che Quadrato includa un attributo privato di tipo Rettangolo. 54 25