软件可靠性设计：我们需要如何去判错呢？

关注、星标公众号，直达精彩内容

前言

项目过程中，判错的最终目的是用来暴露设计中的Bug，从而将错误信息提供给编程者。有时候需要将故障信息储存于非易失性存储器中，便于查看分析。使用串口打印错误信息到PC显示屏是我们经常使用到的。

编写或移植一个类似C标准库中的printf函数，可以格式化打印字符、字符串、十进制整数、十六进制整数。这里称为UARTprintf（）。

unsigned int WriteData(unsigned int addr)
{
	if((addr>= BASE_ADDR)&&(addr<=END_ADDR)) {
			…/*地址合法,进行处理*/
} else {	/*地址错误，打印错误信息*/
	UARTprintf ("文件%s的第 %d 行写数据时发生地址错误,错误地址为:0x%x\n",__FILE__,__LINE__,addr);
	…/*错误处理代码*/
}

假设UARTprintf()函数位于main.c模块的第256行，并且WriteData()函数在读数据时传递了错误地址0x00000011，则会执行UARTprintf()函数，打印如下所示的信息：

文件main.c的第256行写数据时发生地址错误，错误地址为：0x00000011。

那么类似这样的信息会有助于程序员定位分析错误产生的根源，更快的消除Bug。

具有形参的函数，需判断传递来的实参是否合法。

我们在编程中可能无意识的传递了错误参数；外界的强干扰可能将传递的参数修改掉，或者使用随机参数意外的调用函数，因此在执行函数主体前，需要先确定实参是否合法。

int exam_fun( unsigned char *str )
{
    	if( str != NULL ){ //  检查“假设指针不为空”这个条件
     	
    		... //正常处理代码
		} else {
			UARTprintf(…);	// 打印错误信息
			…//处理错误代码
		}
}

仔细检查函数的返回值

对函数返回的错误码，要进行全面仔细处理，必要时做错误记录。

char *DoSomething(…)
{
	char * p;
p=malloc(1024);
if(p==NULL)	{ /*对函数返回值作出判断*/
		UARTprintf(…);	/*打印错误信息*/
return NULL;
}
retuen p;
}

防止指针越界

如果动态计算一个地址时，要保证被计算的地址是合理的并指向某个有意义的地方。特别对于指向一个结构或数组的内部的指针，当指针增加或者改变后仍然指向同一个结构或数组。

防止数组越界

数组越界的问题前文已经讲述的很多了，由于C不会对数组进行有效的检测，因此必须在应用中显式的检测数组越界问题。下面的例子可用于中断接收通讯数据。

#define REC_BUF_LEN	100
unsigned char RecBuf[REC_BUF_LEN];
…	//其它代码
void Uart_IRQHandler(void)
{
	static RecCount=0;				//接收数据长度计数器
		…							//其它代码
		if(RecCount< REC_BUF_LEN){
RecBuf[RecCount]=…;		//从硬件取数据
RecCount++;
…						//其它代码
		} else {
		UARTprintf(…);			//打印错误信息
		…						//其它错误处理代码
}
…
}

在使用一些库函数时，同样需要对边界进行检查：

#define REC_BUF_LEN	100
unsigned char RecBuf[REC_BUF_LEN];
 
if(len< REC_BUF_LEN){
memset(RecBuf,0,len);		//将数组RecBuf清零
} else {
	//处理错误
}

数学算数运算

• 检测除数是否为零

• 检测运算溢出情况

有符号整数除法，仅检测除数为零就够了吗?

两个整数相除，除了要检测除数是否为零外，还要检测除法是否溢出。对于一个signed long类型变量，它能表示的数值范围为：-2147483648 ~ +2147483647，如果让-2147483648 / -1，那么结果应该是+ 2147483648，但是这个结果已经超出了signed long所能表示的范围了。

#include 
signed long sl1,sl2,result;
	/*初始化sl1和sl2*/
	if((sl2==0)||((sl1==LONG_MIN) && (sl2==-1))){
	//处理错误
} else {
	result = sl1 / sl2;
}

加法溢出检测

a）无符号加法

#include 
unsigned int a,b,result;
/*初始化a，b*/
if(UINT_MAX-a

b）有符号加法

#include 
signed int a,b,result;
/*初始化a，b */
if((a>0 && INT_MAX-ab)){
	//处理溢出
} else {
	result=a+b;
}

乘法溢出检测

a）无符号乘法

#include 
unsigned int a,b,result;
/*初始化a，b*/
if((a!=0) && (UINT_MAX/a

b）有符号乘法

#include 
signed int a,b,tmp,result;
/*初始化a，b*/
tmp=a * b;
if(a!=0 && tmp/a!=b){
//
} else {
	result=tmp;
}

• 检测移位时丢失有效位

其它可能出现运行时错误的地方

运行时错误检查是C 程序员需要加以特别的注意的，这是因为C语言在提供任何运行时检测方面能力较弱。对于要求可靠性较高的软件来说，动态检测是必需的。因此C 程序员需要谨慎考虑的问题是，在任何可能出现运行时错误的地方增加代码的动态检测。大多数的动态检测与应用紧密相关，在程序设计过程中要根据系统需求设置动态代码检测。

推荐阅读（点击标题可跳转阅读）【编程之美】用C语言实现状态机(实用)【编程之美】超时重传，滑动窗口，可靠性传输原理C语言实现
【编程之美】论嵌入式架构的重要性