MISRA-C

MISRA C ist ein C-Programmierstandard aus der Automobilindustrie, der von der englischen MISRA (Motor Industry Software Reliability Association) erarbeitet wurde. Der MISRA-C-Programmierstandard definiert eine Untermenge des Sprachumfangs von C, d. h., er umfasst Richtlinien, die zu einer Qualitätssteigerung (insbesondere der Softwarequalitätsaspekte der Zuverlässigkeit und Wartbarkeit) in der Software-Entwicklung führen sollen.

Geschichte

Der erste MISRA-Standard für die Programmiersprache C „MISRA C“ wurde ursprünglich 1998 definiert. Inzwischen sind weltweit über 7000 Exemplare im Umlauf.[1] Auch in anderen Branchen wird er für sicherheitskritische Produkte zunehmend eingesetzt, z. B. im Flugzeugbau, beim Militär, in der Medizin und im Schienenverkehr.

Der erste Standard (MISRA C:1998) umfasste 127 Regeln, davon 93 als Vorschrift (required) und 34 als Empfehlung (advisory). Die Ausgabe MISRA C:2004 umfasste 144 Regeln, davon 112 required, 29 advisory und 3 deprecated (veraltet, abgelehnt). Die beiden Ausgaben nehmen Bezug auf C89/C90, nicht auf die neueren C-Standards C99 (ISO/IEC9899:1999) oder C11 (ISO/IEC9899:2011). Die aktuelle Ausgabe MISRA-C:2012 (MISRA C Version 3) ist im März 2013 herausgekommen und unterstützt auch C99. Außerdem wurde sie im Hinblick auf Verständlichkeit umstrukturiert und inhaltlich verbessert.

Seit 2008 gibt es den MISRA-Standard für C++, MISRA-C++:2008.

Ziele des Standards

Ziel der MISRA-Regeln ist es, Programme so sicher zu erstellen, dass sie auch in sicherheitskritischen Anwendungen zuverlässig laufen. Dazu gibt MISRA C vor allem Empfehlungen zu Sprachkonstrukten, die im C-Standard unklar spezifiziert sind, so dass der Hersteller des Compilers eine eigene Interpretation wählen muss, die von Compiler zu Compiler unterschiedlich sein kann und möglicherweise dazu führt, dass der gleiche Quelltext auf unterschiedlichen Compilern zu unterschiedlichen Programmen führt. MISRA-C enthält ebenfalls Regeln, welche die Lesbarkeit des Quelltextes verbessern und typische Fehler vermeiden sollen.

Wenn einzelne Regeln im Projekt oder einzelnen Modulen nicht angewendet werden sollen, so muss ein vorher definierter, formeller Prozess eingehalten werden, wobei die Abweichungen auch dokumentiert werden müssen. Andere MISRA-Veröffentlichungen beschäftigen sich mit weiteren Aspekten der Softwareentwicklung.

Compliance

MISRA-C-Compliance einer Codebasis bedeutet die Regelkonformität des Quellcodes eines Projekts zu den Richtlinien des MISRA-Standards. Um dies nachzuweisen, ist eine „Compliance Matrix“ erforderlich, also ein Dokument anhand dessen nachvollzogen werden kann, welche Richtlinie wo und wie geprüft wird (z. B. durch Compiler, statische Code-Analyse, Reviews, zusätzliche Projektdokumentation usw.). MISRA-C-Compliance ist nicht gleichbedeutend mit der blinden Einhaltung aller Regeln. Auch Abweichungen sind z. T. erlaubt. Dazu sind die MISRA-C-Richtlinien in drei Prioritäts-Kategorien unterteilt:

  1. mandatory“ Regeln müssen eingehalten werden. Abweichungen sind nicht erlaubt.
  2. required“ Regeln sollten eingehalten werden. Abweichungen müssen über einen formalen Abweichungsprozess beantragt, technisch begründet, geprüft und dokumentiert werden.
  3. advisory“ Regeln sollten eingehalten werden. Abweichungen müssen nicht formal beantragt werden, sollten aber dokumentiert werden.

Die Zuordnung zu den Prioritäts-Kategorien ist unterschiedlich für manuell implementierten C-Code und für C-Code, der mittels eines Codegenerators erzeugt wurde (siehe Anhang E „Applicability to automatically generated code“). Der technische Gesamtumfang der einzuhaltenden Richtlinien ändert sich daher nicht, sondern nur die geforderte Strenge diese einzuhalten.

Beispiele

Verschachtelte Kommentare

Kommentare können seit C99 sowohl mit // (Kommentar endet stets am Zeilenende) als auch mit /* eingeleitet und in einer beliebigen anderen Zeile mit */ beendet werden. Nach den MISRA-Regeln ist der Gebrauch von // jedoch nicht erlaubt.[2] Ebenso ist es nicht erlaubt, innerhalb eines /* */ Kommentarblockes ein weiteres Mal /* zu verwenden (verschachtelte Kommentare).[3]

In dem folgenden Beispiel würde die Funktion (meineFunktion()) nicht ausgeführt, da versehentlich ein Kommentarabschluss vergessen wurde. Deshalb sind eingebettete /* nicht erlaubt. 

/* Kommentar, ohne Abschluss
<neue Seite>

meineFunktion();
/* Dieser Kommentar hat keine Bedeutung */

Will ein Programmierer diesen Abschnitt durch /* und */ deaktivieren, so kommt es auf den Compiler an, ob er bei Kommentaren die /* wie Klammern mitzählt, oder ob er nach dem ersten */ wieder Code erkennt und kompiliert: 

/* Code testweise deaktivieren
// i um 1 erhöhen
i++
/* Wenn Zähler i gleich a ist, MeineFunktion aufrufen um einen hoch */
if (i==a) { meineFunktion(a) }
* /

Wenn der Compiler das erste */ als Ende des Kommentars versteht, dann wird die Zeile mit dem if kompiliert und später auch ausgeführt. Aus diesem Grunde sollte nicht mit geschachtelten Kommentaren gearbeitet werden.

Ergebnis von Zuweisungen

Die folgende Variante ist schlecht, weil man nicht nachvollziehen kann, ob der Programmierer einen Fehler gemacht hat, oder absichtlich dieses Konstrukt gewählt hat: 

if ( i = a )
{
   /* Anweisung */
}

Der Compiler würde diese Variante erkennen und übersetzen zu: 

/* Zuweisung                       */
i = a;
/* dann ein Vergleich              */
if ( i != 0 )
{
   /* Anweisung */
}

Möglicherweise meinte der Programmierer == und hat versehentlich = geschrieben, so dass die Anweisung nur bei Gleichheit von i und a ausgeführt werden soll: 

if ( i == a )
{
   /* Anweisung */
}

Weitere Beispiele

Weitere Beispiele zu MISRA-C-Richtlinien sind:

  • Konstanten in einem vorzeichenlosen Kontext müssen mit einem U-Suffix versehen werden[4]
  • Variablen vom Typ float (Gleitkommazahlen) sollen nicht mit den Vergleichsoperatoren == oder != getestet werden[5]
  • goto soll nicht verwendet werden[6]
  • magic numbers vermeiden und stattdessen sinnvoll benannte Konstanten verwenden: #define MAXSIZE 12
  • Division durch null verhindern: if (b!=0) a/=b;[7]
  • Compilerunabhängigkeit sicherstellen, z. B. shiften neg. Zahlen: -3<<4 ==> -3*(1<<4)
  • Operatorrangfolgen sind nicht trivial, daher Klammern verwenden: (a && b || c) ==> ((a && b) || c)
  • Pointerarithmetik vermeiden und Feldgrenzen prüfen
  • Rekursion darf in keiner Form auftreten (weder indirekt noch direkt).
  • Umsetzung einer starken Typisierung[8]

Prüf-Werkzeuge

Bei der Programmierung von eingebetteten Systemen im automobilen Umfeld ist MISRA-C-konformer Code üblicherweise vorgeschrieben. Sofern der Compiler nicht optional die MISRA-Konformität überprüfen kann, werden zur Überprüfung Werkzeuge zur statischen Code-Analyse wie Axivion Suite[9], Astrée[10], Lint, QA-C/MISRA oder RuleChecker[11] verwendet.

Ein Hersteller für Werkzeuge zur automatischen Code-Generierung verweist darauf, dass einige Regeln von MISRA-C die Ausführungsgeschwindigkeit des Programms verringern können.[12]

Literatur

MISRA Veröffentlichungen können teilweise auch als PDF-Datei auf der Homepage erworben werden.

  • MISRA: MISRA-C:2004 - Guidelines for the use of the C language in critical systems, ISBN 0-9524156-2-3 (PDF: 095241564X)
  • Johannes Heuft: Der Weg zurück zur Software-Produktivität, 2007, ISBN 978-3-937446-88-2 (Kapitel 5.2.4, S. 37–41: Kritik an MISRA-C und den anwendenden Qualitätssicherern)

Einzelnachweise

  1. http://www.misra.org.uk/
  2. MISRA 2004, Regel 2.2
  3. MISRA 2004, Regel 2.3
  4. MISRA 2004, Regel 10.6
  5. MISRA 2004, Regel 13.3
  6. MISRA 1998, Regel 56 und MISRA 2004, Regel 10.4
  7. MISRA 2004, Regel 21.1
  8. MISRA-C:2012 Rule 10.1 - 10.8
  9. Produktseite von Axivion. Axivion GmbH, abgerufen am 14. April 2020.
  10. Produktseite von Astrée. AbsInt Angewandte informatik GmbH, abgerufen am 24. November 2017.
  11. Produktseite von RuleChecker. AbsInt Angewandte Informatik GmbH, abgerufen am 24. November 2017.
  12. Artikel und Beispiele von dSpace, abgerufen am 29. Oktober 2011. (PDF; 78 kB) Abgerufen am 5. November 2011.

 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi