|
MISRA是汽车工业C语言编程指导,是嵌入式C语言的编程指导,目前在各个行业,包括:航空,航天,船舶,电信,医疗等行业广泛采纳,是最优秀的嵌入式C语言标准,在MISRA1998版的基础上,最新发布的MISRA2004有一下改进:
? 121条强制遵守,20条建议遵守
? 复杂规则细化
? 模糊规则明确
? 引入一些数学操作的规则
规则分类包括:
? 环境
? 语言扩展
? 文档化
? 字符集
? 标识符
? 类型
? 约束
? 声明和定义
? 初始化
? 数学类型转换
? 指针类型转换
? 表达式
? 控制语句表达式
? 控制流
? Swith语句
? 函数
? 指针和数组
? 结构和联合
? 预处理指令
? 标准库
? 运行时失效
下面概要的介绍MISRA2004中的一些规则:
<环境>
Rule1.1(强制):所有的代码应该遵守ISO 9899:1990“Programming Language C”
Rule1.2(强制):只有当具备统一接口的目标代码的时候才可以采用多种编译器和语言
Rule1.4(强制) 检查编译器/连接器以确保支持31一个有效字符,支持大小写敏感
<语言扩展>
Rule 2.1(强制):汇编语言应该封装起来并且隔离:
例如:#define NOP asm(“ NOP”)
Rule 2.2(强制) :源代码只能采用/*…*/风格的注释
Rule2.3(强制): 字符序列/*不能在注释中使用
注:C语言不支持注释的嵌套即使一些编译器支持这个语言扩展
Rule 2.4(建议):代码段不能注释掉
注:应采用#IF 或者#ifdef来构成一个注释,否则代码里如果有注释会改变代码的作用
<文档化>
Rule 3.3(建议):编译器对于整数除法运算的实施应该写入文档
例编译器:-5/3 = -1 余-2 有些编译器结果是-2于+1
<字符集>
Rule 4.1(强制):只能使用ISO标准定义的字符集
<标识符>
Rule6.5 (强制):在内部范围的标识符不能和外部的标识符用同样的名字,因为会隐藏那个标识符
例:
Int16_t i:
Void f()
{
int16_t I;
i=3;
}
Rule 5.2(强制): typedef 名称只能唯一,不能重复定义
Rule 5.4(强制): 标记名应该是唯一的标识符
Rule 5.7(建议):标识符不能重复使用
<类型>
Rule 6.1(强制):Char类型只能用来存储使用字符
Rule 6.2(强制):signed和unsigned char 只能用来存储和使用数据值
Rule6.3(建议)对于基本的类型使用Typedef来表示大小和有无符号
例:
Typedef char char_t
Typedef signed int int32_t
<约束>
Rule 7.1(强制):不要用八进制数
注:整型常数以”0“开始会被认为是8进制
例:code[1]=109
code[2]=100
code[3]=052
code[4]=071
如果是对总线消息初始化,会有危险
<声明和定义>
Rule 8.1(强制):函数都应该有原型声明,且相对函数定义和调用可见
Rule8.2 (强制):无论何时一个对象和函数声明或者定义,它的类型应该明确声明
Rule 8.5(强制):头文件中不要定义对象或者函数
Rule8.3(强制):每个函数声明中的参数的类型应该和定义中的类型一致
Rule 8.8(强制):外部变量或者函数只能声明在一个文件中
注:一般来讲,声明在头文件中,然后包含在定义和使用的文件中
Rule 8.12(强制):数组声明为外部,应该明确声明大小或者直接初始化确定
例:extern int array2[ ] /* 违反Rule8.8 */
<初始化>
Rule 9.1(强制):所有变量在使用之前都应该赋值
<数学类型转换(隐式)>
Rule 10.1(强制):整型表达式不要隐式转换为其他类型:
a)转换到更大的整型
b)表达式太复杂
c)表达式不是常数是一个函数
d)表达式不是一个常数是一个返回表达式
Rule 10.2(强制):浮点数表达式不要隐式转换为其他类型:
a)转换到更大的浮点数
b)表达式太复杂
c)表达式是一个函数
d)表达式是一个返回表达式
<数学类型转换(明确)>
Rule 10.3(强制):整型表达式的值只能转换到更窄小且是同样符号类型的表达式
Rule 10.4(强制):浮点表达式的值只能转换到更窄小的浮点表达式
<数学类型转换>
Rule 10.6(强制):所有的 unsigned类型都应该有后缀”U“
Rule 11.1(强制):指针不能转换为函数或者整型以外的其他类型
<表达式>
Rule12.2(强制):表达式的值应和标准允许的评估顺序一致
例:
X=b[i] + i++;
不同的编译器给出的结果不一样,b[i]是否先执行?
应:x=b[i];
i++;
比如:
X=func(i++,i);
Rule12.3(强制):sizeof操作符不能用在包含边界作用(side effect)的表达式上
例:
Int32_t=i;
Int32_t=j;
j=sizeof(i=1234);
表达式并没有执行,只是得到表达式类型int的size
Rule 12.4(强制):逻辑操作符&&或者||右边不能包含边界作用(side effect)
例:
If(ishight) && (x== i++)),如果ishight=0那么i++不会评估
Rule 12.3(建议):++和- -不能和其他表达式用在一个表达式中
例:
U8a=++u8b + u8c--;
<控制语句表达式>
Rule13.1(强制):赋值语句不能用在一个产生布尔值的表达式中
例:
If((x=y)!=0)…
更差:
If (x=y)…
Rule13.3(强制):浮点表达式不应该测试其是否相等或者不相等
Rule13.4(强制):for控制表达式中不要包含任何浮点类型
Rule13.6(强制):数字变量作为for循环的循环计数不要在循环体内部被修改
例:
Flag=1;
For(i=0;(i<5)&&(flag==1);i++)
{
Flag=0;
i=i+3;
}
<控制流>
Rule 14.1(强制):不要有执行不到的代码
例:
Swich(event)
{
Case www;
do_wakeup();
break;
do_more();
…
}
Rule 14.4(强制):goto语句不能使用
Rule 14.5(强制):continue不能使用
Rule 14.6(强制):函数应在函数结束有一个出口
Rule 14.7(强制):witch,while,do ...while,for语句体应是一个混合语句(括号)
Rule 14.10(强制):所有if…else if结构都应该由else结束
<Switch语句>
Rule 15.3(强制):switch的最后应是default
Rule 15.4(强制):switch表达式不能使用布尔表达式
例:
Switch(x==0)
{
… …
}
Rule 15.5(强制):每一个Switch语句都应该有一个case
例:
Switch(x)
{
Uint8_t var; /* 违反*/
Case 0:
A=b;
…
}
<函数>
Rule16.2(强制):函数不能直接或者间接的调用自己
注:safe-related 系统不能用递归,超出堆栈空间很危险
Rule16.8(强制):non-void类型函数的所有出口路径都应该有一个明确的return语句表达式
<指针和数组>
Rule17.1(强制):指针的数学运算只能用在指向数组的地址上
Rule17.3(强制):>,>=,<,<=不能用在指针类型除非指向同一个数组
Rule 17.5(建议):不要用2级以上指针
<结构和联合>
Rule18.4(强制)不要用Union
<预处理指令>
Rule19.1(建议):#i nclude语句的前面只能有其他预处理指令和注释
Rule19.2(建议):#i nclude指令中的头文件名称不能包含非标准的字符
Rule19.5(强制):宏不能在函数体内定义
Rule19.8(强制):类函数宏调用时不能没有它的参数
<标准库>
Rule20.1(强制):标准库中的保留标识符,宏和函数不能定义,重定义,和undefined
Rule20.4(强制):动态内存分配不能使用
注:不能使用:malloc,calloc,free,realloc
Rule20.9(强制):输入输出库(stdio.h)不能用在产生嵌入式系统中
Rule20.12(强制):时间处理函数<time.h>不能使用
<运行时故障>
Rule 21.1(强制):通过使用一下手段确保把运行时故障最小化:
– 静态分析工具/技术
– 动态分析工具/技术
– 编写明确的代码避免运行时错误
QAC Compliance Module for MISRA-C:2004 已经正式发布,成为最快全面支持MISRA2004的工具之一。 |
《匠人手记》推荐网上购书渠道: 
社区动态:《匠人手记》义拍活动,得款直接捐献灾区
