C代码复审与MISRA-C编程规范-保证嵌入式系统的代码质量.PDF

IBM Software Group ? 保证嵌入式系统的代码质量 －－ MISRA-C编程规范与C语言自动化代码复审 IBM 软件部 张剑平 ? 2006 IBM Corporation IBM Software Group | Rational software 内容提要 ? 代码复审的重要性 ? C代码复审的依据：MISRA-C ? 自动化的C代码复审 ? IBM Software Group | Rational software 缺陷的代价 ? 安全关键系统 (Safety Critical Systems) 过程、汽车和航空控制 关键任务型航空电子设备 ? 缺陷成本高昂 Pentium处理器的缺陷 火星大气轨道探测器的坠毁 Ariane 5的爆炸 ? IBM Software Group | Rational software 关键任务型软件在哪里运行呢？ ? 绝大多数都运行在嵌入式和实时系统中 ? 4 IBM Software Group | Rational software 嵌入式软件编程的常见问题 ? ? 没有任何一种编程语言可以确保它的最终执行过程会和程序 员的预期完全相同：  程序员的失误：比如敲错了字母或理解错了算法；很多初学者会把逻辑 比较“＝＝”写成赋值“＝”，这种错误简单的编译器是无法察觉的。  程序员对编程语言的错误理解：C语言的编译预处理过程其实非常复 杂，但是很多程序员并没有意识到这一点。  编译器没有按照程序员的意图工作：不同的编译器的工作方式是不同 的，这一点常常被经验不足的程序员忽视。  编译器的错误：编译器是一种软件工具，同样也会有Bug；另外C语言 的复杂性使得有些编译器的编写者对其理解错误。  操作平台的差异：嵌入式操作系统有上千种，这些平台之间的差异肯定 是存在的。  运行时错误：程序运行中出现的错误更是数不胜数，一些诸如溢出、指 针等错误只有在运行过程中才能被发现。 IBM Software Group | Rational software 如何消除代码中的缺陷呢？ ? 静态测试  代码审查 Code Inspection  代码走查 Code Walk-through  办公桌检查 Desk Checking ? 动态测试  黑盒测试  白盒测试  穷举和选择测试 ? IBM Software Group | Rational software 静态测试 ? 定义  不需要程序处于运行状态的测试。 ? 目的  检查程序静态结构，找出编译不能发现的错误和人的主观认识上的 偏差。 ? 范围  需求定义、设计文档、源代码（着重分析） ? 特点  研究表明，对于某些类型的错误，静态测试更有效 。  经验表明，组织良好的代码复审可以发现程序中30%到70%的编码 和逻辑设计错误。  不存在错误定位问题。 ? IBM Software Group | Rational software 代码复审的益处 ? 主要收益：降低修复缺陷的成本，提高生产率  根据Glen Russell (Nortel Technologies)在1991年的调查，大约65%到90% 的运行时缺陷可以通过代码审查发现，而成本只需测试的1/4到2/3 。 ? 其他益处：  更好的控制开发流程  更高的质量  降低缺陷密度  降低查找和定位缺陷的成本 ? IBM Software Group | Rational software 内容提要 ? 代码复审的重要性 ? C代码复审的依据：MISRA-C ? 自动化的C代码复审 ? IBM Software Group | Rational software MISRA简介 ? ? MISRA (The Motor Industry Software Reliability Association) －－汽车工业软件可靠性协会 位于英国的跨国汽车工业协会 成员包括了大部分欧美汽车生产商 核心使命－－帮助厂方开发安全的、高可靠性的嵌入式软件 最出名的成果－－MISRA-C IBM Software Group | Rational software MISRA-C简介 ? ? 包含的一系列规则定义了C语言的一个安全性子集 ? MISRA-C 1998：Guidelines for the use of the C language in vehicle based software 69页，17类，127条规则(93条强制遵守+ 34条建议遵守) ? MISRA-C 2004：Guidelines for the use of C language in critical systems 109页，2