程序验证的基本方法

下面的框图代表一个非负整数的除法程序。x1是被除数；x2是除数；z1中存放程序加工后得到的商；z2中存放得到的余数y1、y2是程序加工时使用的工作单元。START 表示程序的起始，HALT表示程序的终止。方框中是同时赋值语句，如(y1,y2):=(O,x1)

表示将y1置0值的同时，将y2的值置为x1。圆框内是测试语句，用于控制程序加工的流程。如框图中的语句y2≥x2

表示当y2的值大于等于x2时，程序按yes的箭头继续执行；否则按no的箭头继续执行。　为验证程序，必须首先将程序所要实现的目标形式化,即使用数学公式表达程序加工的初始数据的范围(称作输入谓词)和程序加工的结果（称作输出谓词）。

若约定各个变量的取值都是整数，上述除法程序的输入谓词和输出谓词分别为　在用归纳断言方法证明程序正确性时，还必须在程序的框图中设置一些数学公式，称作断言，表示程序执行到该处时，程序中变量应满足的数学关系。输入谓词可选作起点处的断言，而输出谓词可选作终止点处的断言。

在除法程序中设置三个断言，A处和C处的断言分别为上述输入和输出谓词，B处断言为(x1=y1x2+y2)&(y2≥0)　(1)

反映了y1、y2中存放商数和余数的中间结果值。

验证程序的正确性，就是证明在程序的任何一种可能的加工过程中所设置的断言都是成立的。程序的一个加工过程就是框图中的一个流程。除法程序的所有可能的流程都是由图上的三条路径组合而成：由A至B由B出发回到B由B至C。这样，验证程序的正确性，就是证明对任一条路径，只要起点的断言成立，则终点的断言也成立。

以第二条路径为例，它是一条环路。要证明下列命题：若程序执行到环路的起点B时，断言(1)成立，则程序执行一周，再达到B点时，断言(1)仍然成立。

环行该圈，就是在(y2≥x2)成立的条件下,执行赋值语句(y1,y2):=(y1+1,y2-x2)

而上述语句的执行结果是使 y1的取值为执行前y1的值加1,y2的取值为执行前y2的值与x2的差,其他变量的值不变。为保证执行该赋值语句后断言(1)仍然成立,就要求将断言(1)中的y1代为(y1+1),y2代为(y2-x2)后得到的公式在执行该语句前成立。即(x1=(y1+1)x2+(y2-x2))&(y2-x2≥0) (2)

在执行上述赋值语句前成立。但已知执行该语句前断言①和测试条件(y2≥x2)均成立。由此推断公式②是成立的。这样就完成了对第二条路径的验证。对其余两条路径的验证也是类似的。从而可以证明除法程序的正确性。

归纳断言方法是由建立断言和对各条路径逐条验证两部分组成的。建立断言是一种创造性的工作，而验证路径的工作尽管繁琐，却是机械的。如何由计算机系统协助用户归纳出合适的断言，是程序验证研究中的重要课题。

用上述方法只能证明在输入谓词成立的前提下，程序终止时输出谓词一定成立。但不能证明在输入谓词成立时，程序一定能终止。不讨论程序终止性的程序验证称为程序部分正确性的验证。包括终止性的验证，则称为程序完全正确性的验证。

程序验证技术除了用于证明程序的正确性，或辅助用户编制正确程序外，还可从程序正确性角度评价程序设计方法和程序设计语言的优劣。但是，保证程序正确性的有效办法，不是在编制程序后再去验证，而是设法在编制过程中，使用适当的技术，使产生的程序是正确无误的。这类技术叫作程序综合和程序变形。程序验证技术和程序综合变形技术相互参照，共同发展。

认证程序是指在认证活动中任何直接或间接用以确定是否满足技术法规或标准中相关要求的程序。认证机构实施认证活动应当遵循认证基本规范、认证准则的要求，并编制本机构详细的认证程序。

认证程序一般包括以下基本内容，以质量管理体系认证为例:

1.公布申请信息

在实施认证业务之前，认证机构应当公布实施认证所依据的审核准则和全部相关认证信息，包括认证机构信息、认证要求和程序信息，以及描述获证组织权利和义务的文件等。例如与组织相关的管理体系标准和其他规范性文件。

2.认证受理(包括合同评审等活动)

认证机构应要求由申请认证的组织提出正式申请。认证审核开始前，认证机构应审查:组织的简况组织提供的质量管理体系所覆盖的范围的描述申请认证的标准的清单质量手册及相关的支持性文件和记录，并对这些信息的充分性进行评价。

根据申请信息，初步确定组织的认证范围。

认证机构应实施认证资源的复核。认证机构应从自身方针和能力等方面，复核是否有能力对申请人实施审核，能力包括:是否有适当能力的审核员和专家，以及其及时实施初次审核的能力。

3.审核准备(包括审核方案策划等)

审核准备活动可能包括:初次审核前的预访问审核方案策划允许组织对指派的审核员和技术专家提出异议就审核计划与组织达成一致为审核组提供审核文件和记录等。ISO 10011:2002《质量和/或环境管理体系审核指南》标准，为审核准备和审核方案管理提供了指南。

4.实施审核(包括审核各阶段的安排和要求等)

ISO 10011:2002《质量和/或环境管理体系审核指南》标准，为审核实施提供了指南。通常审核包括:文件审核、现场审核和审核后续活动。对于质量管理体系认证审核，要特别关注对ISO9001:2008标准要素删减的适宜性。

审核组应在审核完成后，撰写审核报告、作出审核结论和提出推荐意见。

审核组应分析审核中收集的所有相关信息和证据，该分析需足以使审核组确定组织的质量管理体系与认证要求的符合性和一致性。

5.认证决定

(包括授予认证的条件与认证依据等)

认证机构应规定适用的管理体系标准或其他规范性文件要求，和授予、保持、缩小及扩大认证的条件，以及全部或部分暂停或撤销组织认证范围的条件。认证机构应特别要求组织供方及时通报对质量管理体系拟实施的变更，或其他可能影响其符合性的变更。

根据认证过程中和其他方面得到的信息，认证机构对组织作出是否批准认证的决定。只有在所有不符合项都已经得到纠正，并且采取的纠正措施经认证机构验证以后，才可以授予认证。

6.认证证书与认证标志的管理

(包括认证资格的宣传和认证标志的使用要求等)

认证机构应对质量管理体系认证证书与认证标志的所有权、使用和展示实施作出适当的规定和控制。应有程序确保获证组织不允许以可能引起误解和混淆的方式使用其证书和标志。

如果组织只有质量管理体系认证，不允许在产品上使用认证标志，产品上使用认证标志意味着产品认证。

7.监督审核

(包括监督审核的安排、要求和程序等)

为验证获证组织的质量管理体系是否持续有效运行，考虑组织运作的变化可能对其管理体系产生的影响，确认对认证要求的持续符合性和保持认证的资格，认证机构应该在足够短的时间间隔内实施监督方案。多数情况下，定期的监督审核时间间隔不超过一年。

8.复评

(包括复评审核的安排、要求和程序等)

为验证作为一个整体组织质量管理体系的全面持续有效性和保持认证资格，大多数情况下，以三年为一个周期，对组织的质量管理体系进行复评。复评一般至少包括一次对质量管理体系文件的审查和一次现场审核。

9.认证变更与通报

认证机构需要规定要求和制定和程序，特别要求组织及时通报对组织管理体系拟实施的变更，或者其他可能影响其符合性的变更。如果一个组织对它的质量管理体系进行了重大改变，或发生了

程序检验的方法:为了检验输入好的加工程序，一般有空运行、图形模拟、和实际加工几种方法。

一般空运行用于调试程序，比如你编好了程序，想要看看对不对，就可以按下空运行和机床锁住来看程序的模拟图形，从而验证程序是否正确。新程序第一次加工的时候可以使用机械锁定和空运行，如程序中有指令错误什么的，可以及时发现。空运行的作用主要用来进行首件试切的时候为避免刀具X轴或Z轴和机床本体发生碰撞所使用的一种检验程序的方法，但是空运行只能检验加工程序的路线或指令，不能直观的看出零件的精度和粗糙度。

---