軟件可靠性設(shè)計(jì)：我們需要如何去判錯(cuò)呢？

前言

項(xiàng)目過程中，判錯(cuò)的最終目的是用來暴露設(shè)計(jì)中的Bug，從而將錯(cuò)誤信息提供給編程者。有時(shí)候需要將故障信息儲存于非易失性存儲器中，便于查看分析。使用串口打印錯(cuò)誤信息到PC顯示屏是我們經(jīng)常使用到的。

編寫或移植一個(gè)類似C標(biāo)準(zhǔn)庫中的printf函數(shù)，可以格式化打印字符、字符串、十進(jìn)制整數(shù)、十六進(jìn)制整數(shù)。這里稱為UARTprintf（）。

unsigned int WriteData(unsigned int addr)
{
	if((addr>= BASE_ADDR)&&(addr<=END_ADDR)) {
			…/*地址合法,進(jìn)行處理*/
} else {	/*地址錯(cuò)誤，打印錯(cuò)誤信息*/
	UARTprintf ("文件%s的第 %d 行寫數(shù)據(jù)時(shí)發(fā)生地址錯(cuò)誤,錯(cuò)誤地址為:0x%x\n",__FILE__,__LINE__,addr);
	…/*錯(cuò)誤處理代碼*/
}

假設(shè)UARTprintf()函數(shù)位于main.c模塊的第256行，并且WriteData()函數(shù)在讀數(shù)據(jù)時(shí)傳遞了錯(cuò)誤地址0x00000011，則會執(zhí)行UARTprintf()函數(shù)，打印如下所示的信息：

文件main.c的第256行寫數(shù)據(jù)時(shí)發(fā)生地址錯(cuò)誤，錯(cuò)誤地址為：0x00000011。

那么類似這樣的信息會有助于程序員定位分析錯(cuò)誤產(chǎn)生的根源，更快的消除Bug。

具有形參的函數(shù)，需判斷傳遞來的實(shí)參是否合法。

我們在編程中可能無意識的傳遞了錯(cuò)誤參數(shù)；外界的強(qiáng)干擾可能將傳遞的參數(shù)修改掉，或者使用隨機(jī)參數(shù)意外的調(diào)用函數(shù)，因此在執(zhí)行函數(shù)主體前，需要先確定實(shí)參是否合法。

int exam_fun( unsigned char *str )
{
    	if( str != NULL ){ //  檢查“假設(shè)指針不為空”這個(gè)條件
     	
    		... //正常處理代碼
		} else {
			UARTprintf(…);	// 打印錯(cuò)誤信息
			…//處理錯(cuò)誤代碼
		}
}

仔細(xì)檢查函數(shù)的返回值

對函數(shù)返回的錯(cuò)誤碼，要進(jìn)行全面仔細(xì)處理，必要時(shí)做錯(cuò)誤記錄。

char *DoSomething(…)
{
	char * p;
p=malloc(1024);
if(p==NULL)	{ /*對函數(shù)返回值作出判斷*/
		UARTprintf(…);	/*打印錯(cuò)誤信息*/
return NULL;
}
retuen p;
}

防止指針越界

如果動態(tài)計(jì)算一個(gè)地址時(shí)，要保證被計(jì)算的地址是合理的并指向某個(gè)有意義的地方。特別對于指向一個(gè)結(jié)構(gòu)或數(shù)組的內(nèi)部的指針，當(dāng)指針增加或者改變后仍然指向同一個(gè)結(jié)構(gòu)或數(shù)組。

防止數(shù)組越界

數(shù)組越界的問題前文已經(jīng)講述的很多了，由于C不會對數(shù)組進(jìn)行有效的檢測，因此必須在應(yīng)用中顯式的檢測數(shù)組越界問題。下面的例子可用于中斷接收通訊數(shù)據(jù)。

#define REC_BUF_LEN	100
unsigned char RecBuf[REC_BUF_LEN];
…	//其它代碼
void Uart_IRQHandler(void)
{
	static RecCount=0;				//接收數(shù)據(jù)長度計(jì)數(shù)器
		…							//其它代碼
		if(RecCount< REC_BUF_LEN){
RecBuf[RecCount]=…;		//從硬件取數(shù)據(jù)
RecCount++;
…						//其它代碼
		} else {
		UARTprintf(…);			//打印錯(cuò)誤信息
		…						//其它錯(cuò)誤處理代碼
}
…
}

在使用一些庫函數(shù)時(shí)，同樣需要對邊界進(jìn)行檢查：

#define REC_BUF_LEN	100
unsigned char RecBuf[REC_BUF_LEN];
 
if(len< REC_BUF_LEN){
memset(RecBuf,0,len);		//將數(shù)組RecBuf清零
} else {
	//處理錯(cuò)誤
}

數(shù)學(xué)算數(shù)運(yùn)算

• 檢測除數(shù)是否為零
• 檢測運(yùn)算溢出情況

有符號整數(shù)除法，僅檢測除數(shù)為零就夠了嗎?

兩個(gè)整數(shù)相除，除了要檢測除數(shù)是否為零外，還要檢測除法是否溢出。對于一個(gè)signed long類型變量，它能表示的數(shù)值范圍為：-2147483648 ~ +2147483647，如果讓-2147483648 / -1，那么結(jié)果應(yīng)該是+ 2147483648，但是這個(gè)結(jié)果已經(jīng)超出了signed long所能表示的范圍了。

#include <limits.h>
signed long sl1,sl2,result;
	/*初始化sl1和sl2*/
	if((sl2==0)||((sl1==LONG_MIN) && (sl2==-1))){
	//處理錯(cuò)誤
} else {
	result = sl1 / sl2;
}

加法溢出檢測

a）無符號加法

#include <limits.h>
unsigned int a,b,result;
/*初始化a，b*/
if(UINT_MAX-a<b){
	//處理溢出
} else {
	result=a+b;
}

b）有符號加法

#include <limits.h>
signed int a,b,result;
/*初始化a，b */
if((a>0 && INT_MAX-a<b)||(a<0) && (INT_MIN-a>b)){
	//處理溢出
} else {
	result=a+b;
}

乘法溢出檢測

a）無符號乘法

#include <limits.h>
unsigned int a,b,result;
/*初始化a，b*/
if((a!=0) && (UINT_MAX/a<b)) {
	//
} else {
	result=a*b;
}

b）有符號乘法

#include <limits.h>
signed int a,b,tmp,result;
/*初始化a，b*/
tmp=a * b;
if(a!=0 && tmp/a!=b){
//
} else {
	result=tmp;
}

• 檢測移位時(shí)丟失有效位

其它可能出現(xiàn)運(yùn)行時(shí)錯(cuò)誤的地方

運(yùn)行時(shí)錯(cuò)誤檢查是C 程序員需要加以特別的注意的，這是因?yàn)镃語言在提供任何運(yùn)行時(shí)檢測方面能力較弱。對于要求可靠性較高的軟件來說，動態(tài)檢測是必需的。因此C 程序員需要謹(jǐn)慎考慮的問題是，在任何可能出現(xiàn)運(yùn)行時(shí)錯(cuò)誤的地方增加代碼的動態(tài)檢測。大多數(shù)的動態(tài)檢測與應(yīng)用緊密相關(guān)，在程序設(shè)計(jì)過程中要根據(jù)系統(tǒng)需求設(shè)置動態(tài)代碼檢測。