安全关键系统的编程与测试指南
在安全关键系统的开发中,编程和测试是至关重要的环节。本文将深入探讨编程准则、代码覆盖指标等方面的内容,为开发者提供实用的指导。
编程准则
在编程过程中,我们会遇到各种容易出错的情况。例如,在某些语言中,if ((x = 16)) { printf("Hello\n"); }语法上是正确的,但它并不意味着 “如果 x 等于 16 则打印 Hello”,这种情况可能不适合用于可靠的应用程序。在 gcc 4.9.4 编译器中,使用-Wall选项时,这行代码甚至不会产生编译器警告。
另外,在大型 C 系统中,一个隐藏很深的错误分号可能会导致难以追踪的 bug,比如if (oldValue == *v); { return 0; }。还有一个常见的编程错误是在修改现有代码时,不小心改变了循环内部计数器的值。为了避免这种情况,Ada 语言将循环变量在循环内部设为只读,在循环外部则未定义。
不同的编程语言有各自的特点和安全机制。D 编程语言允许将函数标记为@safe,这样编译器会防止使用可能不安全的内存操作指令,如将指针类型转换为除void*以外的其他类型、指针算术运算、获取局部变量或函数参数的地址以及使用void初始化指针等。
功能编程语言,如 Lisp/Clojure、Scheme、Erlang、OCaml 和 Haskell,在关键任务系统中有所应用,但在安全关键嵌入式系统中使用较少。安全标准不鼓励使用递归(功能编程的
)