如何通過提升代碼質(zhì)量，加速完成項(xiàng)目的功能安全認(rèn)證

近年來，國內(nèi)電子公司和芯片設(shè)計(jì)企業(yè)大舉進(jìn)攻汽車、醫(yī)療和工業(yè)等高可靠應(yīng)用(mission-critical)領(lǐng)域，為自己找到了擺脫紅海的新領(lǐng)域。但是高可靠應(yīng)用多數(shù)都需要功能安全認(rèn)證，在許多行業(yè)在諸如汽車、航空電子、醫(yī)療和工業(yè)控制等行業(yè)，是很常見甚至是必須的工作。這些認(rèn)證通過必要的流程和測(cè)試來填寫功能安全清單，一直以來都是一個(gè)非常困難的事情，但有一些方法可以加快您的認(rèn)證。

雖然可以對(duì)研發(fā)過程進(jìn)行大量的微調(diào)以加快您的認(rèn)證，但一切現(xiàn)代電子信息系統(tǒng)都從軟件即代碼質(zhì)量開始。但如何能夠確保代碼質(zhì)量呢?幸運(yùn)的是，使用一些簡(jiǎn)單的方法，可以幾乎立即提升您的代碼質(zhì)量，并盡可能地減少痛苦。

從標(biāo)準(zhǔn)中獲得幫助

作為一家產(chǎn)品被全球近五萬家企業(yè)/機(jī)構(gòu)采用的嵌入式開發(fā)工具提供商，IAR的研發(fā)工程師評(píng)估在C99中，代碼規(guī)范中有大約190種模棱兩可之處。也就是在C99中，有190種不同的合乎句法的C結(jié)構(gòu)，在C語言規(guī)范中沒有明確說明。實(shí)際上，進(jìn)入C18，情況會(huì)變得有一點(diǎn)糟糕，在C++中，情況會(huì)更加糟糕，這里需要引入多繼承和虛擬繼承的概念。當(dāng)然，編譯器必須把您的源代碼變成具體的代碼，所以它必須對(duì)代碼的含義選擇一種解釋，然后用它來運(yùn)行。

這在實(shí)踐中意味著，您可以得到不同的編譯器，它們對(duì)源代碼有不同的解釋。在一個(gè)高可靠的系統(tǒng)中，這是一個(gè)如同噩夢(mèng)般的場(chǎng)景;特別是由于許多公司為了追求盡快通過功能安全認(rèn)證，為了方便測(cè)試在多個(gè)平臺(tái)上交叉編譯他們的代碼?？梢韵胂螅@對(duì)您獲得認(rèn)證的時(shí)間會(huì)有多么非常糟糕的影響，因?yàn)槟坏貌粐@所有這些情況進(jìn)行測(cè)試，以證明代碼的可重復(fù)性和可靠性。

怎樣才能破解這個(gè)難題呢?簡(jiǎn)短的答案是，避免模棱兩可的情況出現(xiàn)在您的代碼中。但如何做到這一點(diǎn)呢?使用像MISRA這樣的編碼標(biāo)準(zhǔn)可以快速解決這個(gè)難題，因?yàn)檫@些標(biāo)準(zhǔn)就是為了讓您避免掉入代碼中那些常見類型的陷阱。這些標(biāo)準(zhǔn)還倡導(dǎo)編碼要安全可靠，以減少您代碼中的漏洞數(shù)量。但是，怎樣才能確保我們遵循這些標(biāo)準(zhǔn)呢?幸運(yùn)的是，功能安全標(biāo)準(zhǔn)提供了一種方法。

標(biāo)準(zhǔn)需要代碼分析

幾乎每一個(gè)功能安全標(biāo)準(zhǔn)都需要您對(duì)您的代碼進(jìn)行靜態(tài)分析，并且強(qiáng)烈建議您對(duì)您的代碼進(jìn)行運(yùn)時(shí)(或動(dòng)態(tài))分析。這些標(biāo)準(zhǔn)中影響最廣的是IEC 61508，涵蓋了一般與安全相關(guān)的系統(tǒng)。在該標(biāo)準(zhǔn)的C.4.2這一節(jié)中，對(duì)于安全完整性等級(jí)(SIL)1以上的產(chǎn)品，不建議使用沒有消除模棱兩可和危險(xiǎn)行為的編碼標(biāo)準(zhǔn)的C語言。

換句話說，如果您想為您的產(chǎn)品獲得SIL 2-4等級(jí)的認(rèn)證，您必須使用靜態(tài)分析來讓您的代碼更加穩(wěn)固。這是為什么呢?這些靜態(tài)分析工具可以迫使開發(fā)者實(shí)施諸如MISRA的編碼標(biāo)準(zhǔn)。此外，靜態(tài)和運(yùn)時(shí)分析可以幫助您提高代碼質(zhì)量，快速指出您何時(shí)的編碼行為是有風(fēng)險(xiǎn)的，特別是存在上述編碼標(biāo)準(zhǔn)中模棱兩可的情況。

然而，當(dāng)您使用這類自動(dòng)化工具時(shí)，也會(huì)對(duì)您的認(rèn)證時(shí)間線產(chǎn)生巨大影響。許多組織使用難以配置、難用的代碼分析工具，這些工具在構(gòu)建服務(wù)器上運(yùn)行，作為每日構(gòu)建的一部分。這對(duì)您的幫助并不是很大，因?yàn)閭€(gè)體開發(fā)者并沒有得到即時(shí)的反饋，他們并不知道自己剛剛寫的代碼有什么問題。此外，有時(shí)這些工具發(fā)出的警告信息是難以理解的，開發(fā)者們要弄清楚是什么意思，以及怎樣修正代碼才能讓警告消失，這浪費(fèi)了他們的時(shí)間。

換句話說，安全性認(rèn)證不是要突出項(xiàng)目的優(yōu)點(diǎn)(高性能)，而是要盡量找出項(xiàng)目的弱點(diǎn)(漏洞)，所以要盡可能地選用被最大量開發(fā)人員群體驗(yàn)證過的開發(fā)工具，或者是“見多識(shí)廣”的開發(fā)工具系統(tǒng)。全球有超過15萬開發(fā)人員在使用IAR提供的IAR Embedded Workbench開發(fā)工具來完成其各種嵌入式項(xiàng)目，通過與其中許多“高手”開發(fā)人員溝通發(fā)現(xiàn)：如果您能在開發(fā)過程中進(jìn)行代碼分析--在正式構(gòu)建之前--那么漏洞就像是從來沒有過一樣。您項(xiàng)目的漏洞會(huì)比較低，這正是認(rèn)證機(jī)構(gòu)想要的，因?yàn)檫@意味著您有一個(gè)非常成熟的開發(fā)組織。

讓代碼分析成為日常工作流程的一部分

IAR的工程師們見過許多來自各行各業(yè)的公司，我們注意到的是，配置起來越容易使用的代碼分析工具越簡(jiǎn)單，開發(fā)人員就更有可能使用它們，這樣能夠幫助開發(fā)人員更快完成項(xiàng)目實(shí)現(xiàn)產(chǎn)品上市。讓這些自動(dòng)化工具成為開發(fā)者工具箱的一部分，意味著您可以在編寫應(yīng)用程序時(shí)檢查和改進(jìn)代碼質(zhì)量，同時(shí)可以在“區(qū)域”內(nèi)了解這部分代碼要做什么以及它如何與系統(tǒng)中的其他模塊進(jìn)行交互。為了有效地做到這一點(diǎn)，這些工具必須被整合到日常工作流程中。

在瀏覽其他人對(duì)整合代碼分析的看法時(shí)，IAR的工程師發(fā)現(xiàn)谷歌在ACM出版物上發(fā)表了一篇文章，探討了代碼分析的優(yōu)點(diǎn)。雖然文章對(duì)他們的整個(gè)代碼庫，包括C、C++和Java進(jìn)行了全面的考察，但他們的結(jié)果非常明確：

“在開發(fā)過程的早期就能發(fā)現(xiàn)編譯器錯(cuò)誤，并且能夠整合到開發(fā)人員的工作流程中。我們發(fā)現(xiàn)擴(kuò)大編譯器的檢查集對(duì)提高 Google的代碼質(zhì)量是有效的?！?/FONT>