- 论坛徽章:
- 0
|
MISRA--作为工业标准的C编程规范(1)
[ 作者: myan 添加时间: 2003-1-8 19:35:44 ]
MISRA (The Motor Industry Software Reliability Association 汽车工业软件可靠性联会) 是位于英国的一个跨国汽车工业协会,其成员包括了大部分欧美汽车生产商。其核心使命是为汽车工业提供服务和协助,帮助厂方开发安全的、高可靠性的嵌入式软件。这个组织最出名的成果是所谓的MISRA C Coding Standard,这一标准中包括了127条C语言编码标准,通常认为,如果能够完全遵守这些标准,则你的C代码是易读、可靠、可移植和易于维护的。最近很多嵌入式开发者都以MISRA C来衡量自己的编码风格,比如著名的uC/OS-II就得意地宣称自己99%遵守MISRA标准。而《嵌入式开发杂志》也专门载文号召大家学习。编码规范通常是一个公司自定的“土政策”,居然有人去做标准,而且还得到广泛的认可,这不禁引起我强烈的兴趣。可惜这份标准的文本需要花钱去买,而且短短几十页,要价非常昂贵。MISRA在网上公布了一些文档,其中有关于MISRA C Coding Standard的Clarification报告,从中间你可以大致猜到MISRA标准本身是什么。我仔细阅读了这些文档,并且通过阅读其他一些介绍性文档,大致了解了MISRA标准的主要内容。这些条款确有过人之处,对于C/C++语言工程项目的代码质量管理能够起到良好的指导性作用,对于大部分软件开发企业来说,在MISRA的基础上适当修改就可以形成自己的规范。当然其中也有一些过于严苛的东西,这就需要各个开发部门灵活处理了。我个人的体会,编码规范虽然很简单,但是要完全执行,不折不扣,需要开发部门有很高的组织性和纪律性,并且有很好的代码评审机制。因此,如果能够严格地遵守编码规范,本身就是一个开发部门实力的证明。
这里不可能将所有规则一一列出(事实上正式文本我一条也没看到),只列出一些比较有意思的条款,让大家有机会了解MISRA的风格。具体的内容,感兴趣的朋友可以自己到www.misra.org.uk去了解。
- Rule 1. 严格遵循ANSI C89标准,不允许任何扩展。
- Rule 3. 如果要嵌入汇编语言,则必须将所有汇编语句包装在C函数里,而且这些函数中只有汇编语句,没有常规C语句。
-
- Rule 7. 不得使用三元操作符(? : )
- Rule 10. 不得残留被注释掉的废代码。
- Rule 11. 所有标识符不超过31字符。
- Rule 12. 不同名空间中的变量名不得相同。
- 例如:
- typedef struct MyStruct {... } MyStruct; (违规)
- struct Person {
- char* name;
- ...
- };
- char name[32]; (违规)
- Rule 13. 不得使用char, int, float, double, long等基本类型,应该用自己定义的类型显示表示类型的大小,如CHAR8, UCHAR8, INT16, INT32, FLOAT32, LONG64, ULONG64等。
- Rule 14. 不得使用类型char,必须显示声明为unsigned char或者signed char。
- Rule 18. 所有数字常数应当加上合适的后缀表示类型,例如51L, 42U, 34.12F等。
- Rule 19. 禁止使用八进制数。(因为086U这样的常数很容易引起误解)。
- Rule 21. 不得定义与外部作用域中某个标识符同名的对象,以避免遮盖外部作用域中的标识符。
- Rule 23. 具有文件作用域的对象尽量声名为static的。
- Rule 24. 在同一个编译单元中,同一个标识符不应该同事具有内部链接和外部链接的声名。
- 这里我略作说明:
-
- 我们通常将一些放在头文件里的变量声名为“外部链接”的,如:
- extern UINT32 g_count; // 俗话叫变量声明(对应于变量定义,不分配实际空间)
- 对于“使用”这个变量的.c文件来说,这很好,因为g_count始终保持外部链接性质。可是对于定义g_count(实际分配空间)的.c文件来说,如果包含了上述的头文件,则在这个编译单元里就发生了内部链接和外部链接的冲突。解决办法是,定义g_count的文件尽量不要包含声名g_count的头文件。个人感觉这不是任何时候都做得到的,尤其是在对付遗留代码的时候。
- Rule 25. 具有外部链接性质的标识符应该只声明一次。
- Rule 27. 外部对象不得在多个文件中声名。
- Rule 28. 禁止使用register关键字。
- Rule 29. 自动对象(栈对象)使用前必须赋初值。
- Rule 33. 操作符&&和||的右侧表达式不得具有副作用(side-effect)。
- 也就是说,象 if (x == 20 && ++y == 19)这样的表达式被禁止。
- Rule 35. 在返回布尔值的表达式中不得出现赋值操作。
- 也就是说,我们常用的 if (!(fp = fopen("fname", "r"))) { /* error */ }
- 被禁止。
- Rule 37. 不得对有符号数施加位操作,例如 1 << 4 将被禁止,必须写 1UL << 4;
- Rule 39. 不得对有符号表达式施加一元 "-" 操作符。
- Rule 40. 不得对有副作用的表达式施加sizeof操作符。
- Rule 42. 除了循环控制语句,不得使用逗号表达式。
- Rule 44. 禁止冗余的显式转型。比如: double pi = (double) 3.1416F;
- Rule 45. 禁止从任意类型到指针的强制转型,禁止从指针到任意类型的强制转型。
- 例如:void* p = (void*)0xFFFF8888UL;
- Rule 49. 显示测试值是否为零。
- Rule 50. 不得显式判断浮点数的相等性和不等性。
- Rule 52. 不得遗留“永远不会用到”的代码。
- Rule 53. 所有非空语句必须具有副作用。
- Rule 55. 除了switch语句,不得使用标号(label)。
- Rule 56. 不得使用goto.
- Rule 57. 不得使用continue。
- Rule 58. 除了switch语句,不得使用break.
- Rule 59. if, else if, else, while, do..while, for语句块必须使用{}括起。
- Rule 60. 任何if..else if 语句,最后必须有一个收尾的else。例如:
- if (ans == 'Y') {
- ...
- }
- else if (ans == 'N') {
- ...
- }
- else if (ans == 'C') {
- ...
- }
- else {
- ;
- }
- Rule 67. 循环计数器的值不得在循环体内修改。
- Rule 70. 禁止任何直接和间接的递归函数调用。
- Rule 82. 每个函数只能有一个推出点。
- Rule 86. 如果一个函数可能返回错误信息,则调用后必须加以测试。
- Rule 92. 不应该使用#undef
- Rule 95. 不得将宏作为参数传给宏函数
- Rule 98. 在一个宏定义中,#或##符号只能出现一次。
- Rule 101. 禁止指针运算(代之以数组下标运算)。
- Rule 102. 禁止超过两级的指针。
- Rule 104. 禁止使用指向函数的非常量指针。
- Rule 106. 不得将栈对象的地址传给外部作用域的对象。
- ********************************************************************
- 后面的规则针对实时嵌入式系统,对其他类型的开发未必适用,如:
- Rule 118. 禁止使用动态堆分配(也就是不得使用malloc, calloc和realloc)。
- Rule 119. 禁止使用errno。
- Rule 120. 禁止使用offsetof.
- Rule 121. 禁止使用<locale.h>;
- Rule 122. 禁止使用setjmp, longjmp.
- Rule 123. 禁止使用<signal.h>;
- Rule 124. 禁止使用<stdio.h>;(不能用printf, scanf了!)
- Rule 125. 禁止使用atoi, atof, atol。(这个我很赞成,建议使用strtol, strtod等函数)
- Rule 126. 禁止使用abort, exit, getenv。
- Rule 127. 禁止使用<time.h>;
从此更加完善我们的风格吧~  |
|
免费注册
发表于 2003-07-01 22:04
