充分應(yīng)用功能安全性開(kāi)發(fā)環(huán)境中集成的代碼分析工具

目前，越來(lái)越多的汽車、工業(yè)和其他應(yīng)用都在強(qiáng)調(diào)功能安全性（functional safety），其開(kāi)發(fā)過(guò)程也需要先進(jìn)和完善的工具鏈支持，以及一些重要的開(kāi)發(fā)工具使用經(jīng)驗(yàn)。作為功能安全性產(chǎn)品的研發(fā)工程師，一定聽(tīng)說(shuō)過(guò)類似MISRA C的靜態(tài)代碼檢查，以及其他一些代碼標(biāo)準(zhǔn)和自動(dòng)化檢查工具。但是，在日常的開(kāi)發(fā)流程中，僅僅知道這些標(biāo)準(zhǔn)并不代表著能夠高效地讓代碼符合代碼標(biāo)準(zhǔn)。

本文將從代碼標(biāo)準(zhǔn)本身、以及配套的檢查工具如何使用及流程兩方面，通過(guò)以業(yè)界常見(jiàn)的IAR開(kāi)發(fā)工具鏈為例來(lái)提供一些思路，解釋為什么在開(kāi)發(fā)需要安全認(rèn)證的產(chǎn)品時(shí)，推薦使用其自帶的代碼分析工具。在實(shí)際應(yīng)用中，針對(duì)Renesas RX和Arm系列內(nèi)核，C-STAT 靜態(tài)代碼分析和 C-RUN 運(yùn)行時(shí)分析組件往往都作為插件，被添加到IAR Embedded Workbench開(kāi)發(fā)環(huán)境中。

功能安全標(biāo)準(zhǔn)與代碼分析

在 IEC 61508 2.0 版的第 3 部分中，對(duì)安全類系統(tǒng)的軟件作出了規(guī)定，要求必須采用可靠良好的開(kāi)發(fā)流程。例如，第 7 部分“技術(shù)和措施概述”的第 C.4.2 節(jié)中指出要使用編程語(yǔ)言子集：

目的：降低引入編程錯(cuò)誤的概率，并增加發(fā)現(xiàn)殘余錯(cuò)誤的概率。

描述：對(duì)編程語(yǔ)言進(jìn)行檢查，比如使用靜態(tài)分析法來(lái)確定容易出錯(cuò)或難以分析的編程結(jié)構(gòu)。然后定義編程語(yǔ)言子集來(lái)排除此類編程結(jié)構(gòu)。

第 C.4.2 節(jié)還指出，如果軟件的安全完整性等級(jí) (SIL) 高于 1，則不建議在未設(shè)定此類限制的情況下使用 C 語(yǔ)言進(jìn)行編程。換言之，如果您想使用C/C++ 軟件開(kāi)發(fā) SIL 2-4 認(rèn)證系統(tǒng)，則基本上都需要使用靜態(tài)分析工具。

類似地，對(duì)于運(yùn)行時(shí)分析，第 7 部分“技術(shù)和措施概述”的第 B.6.5 節(jié)“動(dòng)態(tài)分析和測(cè)試”指出：

目的：通過(guò)對(duì)即將完成的原型進(jìn)行動(dòng)態(tài)行為檢查，檢測(cè)是否存在規(guī)范失效問(wèn)題。

描述：對(duì)安全類系統(tǒng)進(jìn)行動(dòng)態(tài)分析的方法是，在安全類系統(tǒng)的基本可運(yùn)行原型上，運(yùn)行目標(biāo)環(huán)境中的典型輸入數(shù)據(jù)。如果經(jīng)觀察，安全類系統(tǒng)的行為符合所要求的行為，則表明系統(tǒng)通過(guò)了分析檢查。如果安全類系統(tǒng)出現(xiàn)任何失效問(wèn)題，則必須予以糾正，然后重新分析新的可運(yùn)行版本。

下面我們來(lái)看看 C-RUN 是如何滿足此類分析需求的：

C-RUN 是集成在編譯器和 C-SPY 調(diào)試器中的工具。借助此工具，可在運(yùn)行時(shí)觀察可執(zhí)行代碼，并報(bào)告代碼在運(yùn)行時(shí)出現(xiàn)的異常行為。C-RUN 會(huì)執(zhí)行算術(shù)檢查、邊界檢查和堆檢查，并且可在 IAR Embedded Workbench 的工程設(shè)置中輕松進(jìn)行配置：

運(yùn)行時(shí)分析工具的一般特點(diǎn)是誤報(bào)率低，C-RUN 也不例外。換言之，C-RUN 報(bào)告的錯(cuò)誤很可能是真的錯(cuò)誤，因?yàn)閳?zhí)行和分析的均為真實(shí)代碼，并且是在真實(shí)的目標(biāo)系統(tǒng)上進(jìn)行的。C-RUN 可查看有關(guān)應(yīng)用程序狀態(tài)的所有信息，并會(huì)報(bào)告實(shí)際發(fā)生的錯(cuò)誤。盡管如此，在執(zhí)行過(guò)程中，您可設(shè)置適當(dāng)?shù)?C-SPY 消息規(guī)則，讓檢測(cè)到的錯(cuò)誤通過(guò)檢查，如下圖所示。

不過(guò)，運(yùn)行時(shí)分析也有一些不足。首先，使用這種方法時(shí)，通常要到軟件開(kāi)發(fā)流程的后期才能發(fā)現(xiàn)問(wèn)題，因?yàn)檫\(yùn)行時(shí)分析工具需要使用代碼的可執(zhí)行文件。此外，運(yùn)行時(shí)分析僅對(duì)實(shí)際運(yùn)行的應(yīng)用程序部分進(jìn)行檢查。如果無(wú)法觸發(fā)所有條件使得應(yīng)用程序的全部代碼都得到分析，則最終將有部分代碼處于未經(jīng)測(cè)試的狀態(tài)。盡管如此，C-RUN 仍可提供非常有價(jià)值的反饋，并且由于其與 IAR Embedded Workbench 深度集成，所以非常易用。

接下來(lái)說(shuō)說(shuō) C-STAT，這是一種靜態(tài)分析工具，可通過(guò)執(zhí)行一項(xiàng)或多項(xiàng)規(guī)則檢查來(lái)發(fā)現(xiàn)是否存在偏離編碼規(guī)則的問(wèn)題。C-STAT 檢查代碼是否符合 MISRA C:2012、MISRA C++:2008 和 MISRA C:2004 規(guī)定的規(guī)則，以及對(duì)應(yīng) CWE 和 CERT C/C++ 所涵蓋的各種問(wèn)題的檢查。跟 C-RUN 一樣，在 IAR Embedded Workbench 的工程設(shè)置中也可輕松地對(duì) C-STAT 進(jìn)行配置。

與 C-RUN 不同的是，C-STAT 無(wú)需實(shí)際運(yùn)行應(yīng)用程序，即可檢查代碼是否存在缺陷。它能在不依賴程序的執(zhí)行路徑及所使用的數(shù)據(jù)集的情況下找到錯(cuò)誤。C-STAT 可在軟件開(kāi)發(fā)流程的早期發(fā)現(xiàn)錯(cuò)誤和缺陷，實(shí)際上從開(kāi)發(fā)的第 1 天就可以使用，而且不會(huì)影響系統(tǒng)性能。

雖然市面上有幾款獨(dú)立的靜態(tài)分析工具可供 C/C++ 開(kāi)發(fā)人員使用，但 C-STAT 的一大優(yōu)勢(shì)在于可直接投入使用，無(wú)需進(jìn)行繁瑣的配置。而且，它能理解和分析專為高效嵌入式編程設(shè)計(jì)的各種 IAR Systems特定的C/C++ 語(yǔ)言結(jié)構(gòu)。將 C-STAT 集成到日常開(kāi)發(fā)中，就可以輕松地檢查代碼是否符合大部分重要編碼規(guī)則。這樣就能為后期的測(cè)試和調(diào)試省下更多的時(shí)間和資源。

C-STAT 可集成到 IAR Embedded Workbench IDE 中，與常規(guī)的構(gòu)建工具一樣簡(jiǎn)單易用：

對(duì)于檢測(cè)到的每個(gè)錯(cuò)誤，在線幫助系統(tǒng)中都會(huì)有相應(yīng)的描述，按下 F1，就可看到對(duì)應(yīng)的規(guī)則說(shuō)明和相應(yīng)的示例代碼來(lái)說(shuō)明如何滿足該規(guī)則：

可生成 HTML 格式的報(bào)告，用以記錄測(cè)試結(jié)果：

結(jié)語(yǔ)

回到本文第一部分談到的功能安全標(biāo)準(zhǔn)，來(lái)看看上述工具如何幫助您的軟件達(dá)到規(guī)定標(biāo)準(zhǔn)。

第 7 部分“技術(shù)和措施概述”的第 C.4.2 節(jié)中指出要使用編程語(yǔ)言子集：對(duì)編程語(yǔ)言進(jìn)行檢查，比如使用靜態(tài)分析法來(lái)確定容易出錯(cuò)或難以分析的編程結(jié)構(gòu)。然后定義編程語(yǔ)言子集來(lái)排除此類編程結(jié)構(gòu)。

對(duì)此，C-STAT 能夠派上用場(chǎng)，可檢查代碼是否符合 MISRA 規(guī)定的規(guī)則。如前所述，如果想使用 C/C++ 軟件開(kāi)發(fā) SIL 2-4 認(rèn)證系統(tǒng)，則確實(shí)需要使用靜態(tài)分析工具。

再來(lái)看第 B.6.5 節(jié)“動(dòng)態(tài)分析和測(cè)試”：對(duì)安全類系統(tǒng)進(jìn)行動(dòng)態(tài)分析的方法是，在安全類系統(tǒng)的基本可運(yùn)行原型上，運(yùn)行目標(biāo)環(huán)境中的典型輸入數(shù)據(jù)。如果經(jīng)觀察，安全類系統(tǒng)的行為符合所要求的行為，則表明系統(tǒng)通過(guò)了分析檢查。如果安全類系統(tǒng)出現(xiàn)任何失效問(wèn)題，則必須予以糾正，然后重新分析新的可運(yùn)行版本。

用于運(yùn)行時(shí)分析的 C-RUN 雖然無(wú)法全面檢查整個(gè)安全類系統(tǒng)中的所有動(dòng)態(tài)行為，但它仍是一個(gè)非常好用的工具，至少能在安全類系統(tǒng)的軟件部分中找到真實(shí)存在的和潛在的錯(cuò)誤。需要記住的是，必須將安全概念與系統(tǒng)的危險(xiǎn)失效率關(guān)聯(lián)起來(lái)，而不僅僅是組件（如軟件）的失效率。

用于運(yùn)行時(shí)分析的 C-RUN 和用于靜態(tài)分析的 C-STAT 是兩類不同的代碼質(zhì)量分析工具，在安全類軟件的開(kāi)發(fā)中都非常有用，二者不形成競(jìng)爭(zhēng)關(guān)系，而是構(gòu)成優(yōu)勢(shì)互補(bǔ)。因此，IAR的C-RUN 和 C-STAT工具 能為開(kāi)發(fā)人員帶來(lái)互補(bǔ)的代碼檢查能力，自然而然地集成到日常的開(kāi)發(fā)流程中。在IAR的評(píng)估版工具中自帶C-RUN和C-STAT插件，歡迎工程師朋友們?cè)囉谩?/p>