軟件可靠性設計：我們需要如何去判錯呢？

前言

項目過程中，判錯的最終目的是用來暴露設計中的Bug，從而將錯誤信息提供給編程者。有時候需要將故障信息儲存于非易失性存儲器中，便于查看分析。使用串口打印錯誤信息到PC顯示屏是我們經(jīng)常使用到的。

編寫或移植一個類似C標準庫中的printf函數(shù)，可以格式化打印字符、字符串、十進制整數(shù)、十六進制整數(shù)。這里稱為UARTprintf（）。

unsigned int WriteData(unsigned int addr)
{
	if((addr>= BASE_ADDR)&&(addr<=END_ADDR)) {
			…/*地址合法,進行處理*/
} else {	/*地址錯誤，打印錯誤信息*/
	UARTprintf ("文件%s的第 %d 行寫數(shù)據(jù)時發(fā)生地址錯誤,錯誤地址為:0x%x\n",__FILE__,__LINE__,addr);
	…/*錯誤處理代碼*/
}

假設UARTprintf()函數(shù)位于main.c模塊的第256行，并且WriteData()函數(shù)在讀數(shù)據(jù)時傳遞了錯誤地址0x00000011，則會執(zhí)行UARTprintf()函數(shù)，打印如下所示的信息：

文件main.c的第256行寫數(shù)據(jù)時發(fā)生地址錯誤，錯誤地址為：0x00000011。

那么類似這樣的信息會有助于程序員定位分析錯誤產(chǎn)生的根源，更快的消除Bug。

具有形參的函數(shù)，需判斷傳遞來的實參是否合法。

我們在編程中可能無意識的傳遞了錯誤參數(shù)；外界的強干擾可能將傳遞的參數(shù)修改掉，或者使用隨機參數(shù)意外的調用函數(shù)，因此在執(zhí)行函數(shù)主體前，需要先確定實參是否合法。

int exam_fun( unsigned char *str )
{
    	if( str != NULL ){ //  檢查“假設指針不為空”這個條件
     	
    		... //正常處理代碼
		} else {
			UARTprintf(…);	// 打印錯誤信息
			…//處理錯誤代碼
		}
}

仔細檢查函數(shù)的返回值

對函數(shù)返回的錯誤碼，要進行全面仔細處理，必要時做錯誤記錄。

char *DoSomething(…)
{
	char * p;
p=malloc(1024);
if(p==NULL)	{ /*對函數(shù)返回值作出判斷*/
		UARTprintf(…);	/*打印錯誤信息*/
return NULL;
}
retuen p;
}

防止指針越界

如果動態(tài)計算一個地址時，要保證被計算的地址是合理的并指向某個有意義的地方。特別對于指向一個結構或數(shù)組的內(nèi)部的指針，當指針增加或者改變后仍然指向同一個結構或數(shù)組。

防止數(shù)組越界

數(shù)組越界的問題前文已經(jīng)講述的很多了，由于C不會對數(shù)組進行有效的檢測，因此必須在應用中顯式的檢測數(shù)組越界問題。下面的例子可用于中斷接收通訊數(shù)據(jù)。

#define REC_BUF_LEN	100
unsigned char RecBuf[REC_BUF_LEN];
…	//其它代碼
void Uart_IRQHandler(void)
{
	static RecCount=0;				//接收數(shù)據(jù)長度計數(shù)器
		…							//其它代碼
		if(RecCount< REC_BUF_LEN){
RecBuf[RecCount]=…;		//從硬件取數(shù)據(jù)
RecCount++;
…						//其它代碼
		} else {
		UARTprintf(…);			//打印錯誤信息
		…						//其它錯誤處理代碼
}
…
}

在使用一些庫函數(shù)時，同樣需要對邊界進行檢查：

#define REC_BUF_LEN	100
unsigned char RecBuf[REC_BUF_LEN];
 
if(len< REC_BUF_LEN){
memset(RecBuf,0,len);		//將數(shù)組RecBuf清零
} else {
	//處理錯誤
}

數(shù)學算數(shù)運算

• 檢測除數(shù)是否為零
• 檢測運算溢出情況

有符號整數(shù)除法，僅檢測除數(shù)為零就夠了嗎?

兩個整數(shù)相除，除了要檢測除數(shù)是否為零外，還要檢測除法是否溢出。對于一個signed long類型變量，它能表示的數(shù)值范圍為：-2147483648 ~ +2147483647，如果讓-2147483648 / -1，那么結果應該是+ 2147483648，但是這個結果已經(jīng)超出了signed long所能表示的范圍了。

#include <limits.h>
signed long sl1,sl2,result;
	/*初始化sl1和sl2*/
	if((sl2==0)||((sl1==LONG_MIN) && (sl2==-1))){
	//處理錯誤
} else {
	result = sl1 / sl2;
}

加法溢出檢測

a）無符號加法

#include <limits.h>
unsigned int a,b,result;
/*初始化a，b*/
if(UINT_MAX-a<b){
	//處理溢出
} else {
	result=a+b;
}

b）有符號加法

#include <limits.h>
signed int a,b,result;
/*初始化a，b */
if((a>0 && INT_MAX-a<b)||(a<0) && (INT_MIN-a>b)){
	//處理溢出
} else {
	result=a+b;
}

乘法溢出檢測

a）無符號乘法

#include <limits.h>
unsigned int a,b,result;
/*初始化a，b*/
if((a!=0) && (UINT_MAX/a<b)) {
	//
} else {
	result=a*b;
}

b）有符號乘法

#include <limits.h>
signed int a,b,tmp,result;
/*初始化a，b*/
tmp=a * b;
if(a!=0 && tmp/a!=b){
//
} else {
	result=tmp;
}

• 檢測移位時丟失有效位

其它可能出現(xiàn)運行時錯誤的地方

運行時錯誤檢查是C 程序員需要加以特別的注意的，這是因為C語言在提供任何運行時檢測方面能力較弱。對于要求可靠性較高的軟件來說，動態(tài)檢測是必需的。因此C 程序員需要謹慎考慮的問題是，在任何可能出現(xiàn)運行時錯誤的地方增加代碼的動態(tài)檢測。大多數(shù)的動態(tài)檢測與應用緊密相關，在程序設計過程中要根據(jù)系統(tǒng)需求設置動態(tài)代碼檢測。