Comentários sobre: Misra-C — Padrão para software em C http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/?utm_source=rss&utm_medium=rss&utm_campaign=misra-c-padrao-para-software-em-c Sistemas embarcados, Linux e tecnologia Mon, 06 Feb 2012 12:08:00 +0000 hourly 1 Por: Sérgio MacGyver http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-117 Sérgio MacGyver Mon, 02 Aug 2010 13:30:08 +0000 http://www.sergioprado.org/?p=527#comment-117 Caros Sérgio e Murilo, Pelo que entendi da regra 49, "Tests of a value against zero should be made explicit, unless the operand is effec tively Boolean", no caso de <strong>bufferLen</strong> temos que fazer comparações explícitas, pois é um contador e não efetivamente um booleano. Já no caso de <strong>bufferVazio</strong>, por se tratar efetivamente de um booleano, ainda que implicitamente um int, as comparações <strong>if (bufferVazio)</strong> e <strong>if (!bufferVazio)</strong> são aceitas pelo MISRA-C. []s Sérgio Caros Sérgio e Murilo,
Pelo que entendi da regra 49, “Tests of a value against zero should be made explicit, unless the operand is effec tively Boolean”, no caso de bufferLen temos que fazer comparações explícitas, pois é um contador e não efetivamente um booleano. Já no caso de bufferVazio, por se tratar efetivamente de um booleano, ainda que implicitamente um int, as comparações if (bufferVazio) e if (!bufferVazio) são aceitas pelo MISRA-C.
[]s
Sérgio

]]> Por: sergioprado http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-116 sergioprado Fri, 30 Jul 2010 11:43:40 +0000 http://www.sergioprado.org/?p=527#comment-116 <p>Olá Murilo, tudo bem?</p> <p>Semanticamente, "bufferVazio" é um booleano, mas sintaticamente ele continua sendo um int. O que o padrão quer nos dizer é que devemos fazer as comparações explicitas, ou seja, se desejamos verificar se o buffer esta vazio, esta implementação está fora do padrão:</p> <p>if (bufferVazio) { ... };</p> <p>E esta esta dentro do padrão:</p> <p><meta content="text/html; charset=utf-8" http-equiv="content-type" />if (bufferVazio == 1) { ... };</p> <p>Eu concordo com você, e acho a primeira forma mais fácil de ler.</p> <p>Um abraço,</p> <p>Sergio Prado</p> Olá Murilo, tudo bem?

Semanticamente, “bufferVazio” é um booleano, mas sintaticamente ele continua sendo um int. O que o padrão quer nos dizer é que devemos fazer as comparações explicitas, ou seja, se desejamos verificar se o buffer esta vazio, esta implementação está fora do padrão:

if (bufferVazio) { … };

E esta esta dentro do padrão:

if (bufferVazio == 1) { … };

Eu concordo com você, e acho a primeira forma mais fácil de ler.

Um abraço,

Sergio Prado

]]> Por: murilo http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-115 murilo Fri, 30 Jul 2010 04:57:09 +0000 http://www.sergioprado.org/?p=527#comment-115 Esse exemplo da regra 49. <code>bufferVazio</code> não é um booleano, mesmo que declarado como um <code>int</code>? Quero dizer, acho que essa regra diz para que não façamos algo do tipo: <code>if (!buffer_len)</code> e que façamos <code>if (buffer_len == 0) </code> o que é muito mais legível, o significaria "se o tamanho do buffer for igual a 0" ao invés de "se não tamanho do buffer" Agora para o exemplo que você disse, apesar de <code>bufferVazio</code> ser provavelmente um int, ele assume valores booleanos então <code>!bufferVazio</code> faz mais sentido "se o buffer não estiver vazio". Um abraço, Murilo Esse exemplo da regra 49.
bufferVazio não é um booleano, mesmo que declarado como um int?
Quero dizer, acho que essa regra diz para que não façamos algo do tipo:
if (!buffer_len)
e que façamos
if (buffer_len == 0) 
o que é muito mais legível, o significaria “se o tamanho do buffer for igual a 0″ ao invés de “se não tamanho do buffer“
Agora para o exemplo que você disse, apesar de bufferVazio ser provavelmente um int, ele assume valores booleanos então !bufferVazio faz mais sentido “se o buffer não estiver vazio”.
Um abraço,
Murilo

]]> Por: Lucas Fernando Amorim http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-114 Lucas Fernando Amorim Sat, 26 Jun 2010 15:36:16 +0000 http://www.sergioprado.org/?p=527#comment-114 Parabéns Sergio, Ficou muito bom o seu artigo, padronização de código é um assunto muito importante que merece ser discutido. Toda iniciativa de estilização é benéfica, levando a uma maior manutenabilidade do software. Como sempre seu blog é uma excelente fonte de informações úteis e profissionais. Abraço. Parabéns Sergio,

Ficou muito bom o seu artigo, padronização de código é um assunto muito importante que merece ser discutido. Toda iniciativa de estilização é benéfica, levando a uma maior manutenabilidade do software.

Como sempre seu blog é uma excelente fonte de informações úteis e profissionais.

Abraço.

]]> Por: sergioprado http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-113 sergioprado Sat, 19 Jun 2010 00:15:54 +0000 http://www.sergioprado.org/?p=527#comment-113 Olá xará! :) Com relação à regra 49, quando uma variável representa um valor boolean, ou seja, que pode assumir apenas true (1) ou false (0), eu acho muito mais fácil de ler o código sem ter que comparar com 0 ou 1, como exige o padrão. Com relação à regra 20.4, você fez uma ótima observação. Ainda não tinha considerado esta hipótese. E o Hugo participa bastante do grupo sis_embarcados, do qual agora você também faz parte...:) Estou te enviando o email dele em PVT. Um abraço e continue acompanhando o blog! Olá xará! :)

Com relação à regra 49, quando uma variável representa um valor boolean, ou seja, que pode assumir apenas true (1) ou false (0), eu acho muito mais fácil de ler o código sem ter que comparar com 0 ou 1, como exige o padrão. Com relação à regra 20.4, você fez uma ótima observação. Ainda não tinha considerado esta hipótese. E o Hugo participa bastante do grupo sis_embarcados, do qual agora você também faz parte…:) Estou te enviando o email dele em PVT. Um abraço e continue acompanhando o blog!

]]> Por: Sérgio MacGyver http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-112 Sérgio MacGyver Fri, 18 Jun 2010 21:16:12 +0000 http://www.sergioprado.org/?p=527#comment-112 Caro xará,   :-)   Pretendia comentar a regra 49, sobre os testes de variável zerada, mas vi que outros já teceram seus comentários. No entanto, após você acrescentar um comentário reconhecendo que o if (!bufferVazio) é permitido pelo MISRA-C, não consigo entender em quê reside sua discordância do padrão.   Quanto à regra 20.4, sobre o dynamic heap memory allocation, creio que o padrão condena não a alocação dinâmica em si, mas o método utilizado (heap memory). Existem outros esquemas de alocação dinâmica em que a região alocável é previamente particionada em blocos de tamanho fixo, sendo alguns menores e outros maiores. Quando um código solicita memória, tenta-se entregar um bloco que possua tamanho igual ou pouco maior que o solicitado, caso disponível. Há perda de memória por entregar-se mais do que se pediu, mas não há o famigerado problema de fragmentação de memória, em que há memória suficiente, mas toda "espalhada" pelo heap. Desconfio que seja justamente o problema de fragmentação que esteja na causa das falhas comumente associadas à alocação de memória. Além da falta de teste de retorno do malloc, claro.   Por fim, concordo com sua discordância (pun intended) da regra 104. Sou adepto da programação orientada a eventos (+maquinas de estados) em sistemas embarcados, e essa é a melhor forma de se implementar eventos (com funções de callback).   Desconfio que o colega Hugo Sobreira é um conhecido meu que trabalhou na Motorola e talvez conheça o esquema de alocação que citei acima. Se for você mesmo, bom te ver por aqui, Hugo! (eu trabalhava no projeto CESAR-Motorola).   Sérgio, por favor, encaminhe esso meu comentário pro email do Hugo. Obrigado! Caro xará,   :-)
 
Pretendia comentar a regra 49, sobre os testes de variável zerada, mas vi que outros já teceram seus comentários. No entanto, após você acrescentar um comentário reconhecendo que o if (!bufferVazio) é permitido pelo MISRA-C, não consigo entender em quê reside sua discordância do padrão.
 
Quanto à regra 20.4, sobre o dynamic heap memory allocation, creio que o padrão condena não a alocação dinâmica em si, mas o método utilizado (heap memory).
Existem outros esquemas de alocação dinâmica em que a região alocável é previamente particionada em blocos de tamanho fixo, sendo alguns menores e outros maiores. Quando um código solicita memória, tenta-se entregar um bloco que possua tamanho igual ou pouco maior que o solicitado, caso disponível. Há perda de memória por entregar-se mais do que se pediu, mas não há o famigerado problema de fragmentação de memória, em que há memória suficiente, mas toda “espalhada” pelo heap.
Desconfio que seja justamente o problema de fragmentação que esteja na causa das falhas comumente associadas à alocação de memória. Além da falta de teste de retorno do malloc, claro.
 
Por fim, concordo com sua discordância (pun intended) da regra 104. Sou adepto da programação orientada a eventos (+maquinas de estados) em sistemas embarcados, e essa é a melhor forma de se implementar eventos (com funções de callback).
 
Desconfio que o colega Hugo Sobreira é um conhecido meu que trabalhou na Motorola e talvez conheça o esquema de alocação que citei acima. Se for você mesmo, bom te ver por aqui, Hugo! (eu trabalhava no projeto CESAR-Motorola).
 
Sérgio, por favor, encaminhe esso meu comentário pro email do Hugo. Obrigado!

]]> Por: sergioprado http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-111 sergioprado Wed, 09 Jun 2010 01:27:24 +0000 http://www.sergioprado.org/?p=527#comment-111 Olá Hugo! Seu comentário é quase um novo post...:) Obrigado pelas dicas valiosas e continue aparecendo por aqui. Um abraço! Olá Hugo!

Seu comentário é quase um novo post…:)

Obrigado pelas dicas valiosas e continue aparecendo por aqui.

Um abraço!

]]> Por: Hugo Sobreira http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-110 Hugo Sobreira Tue, 08 Jun 2010 17:15:36 +0000 http://www.sergioprado.org/?p=527#comment-110 Caro Sergio, Parabens pela iniciativa, de fato sinto falta de artigos relacionados ao tema na nossa língua portuguesa. Venho trabalhando com desenvolvimento de sistemas críticos já há alguns anos e hoje utilizo a MISRA-C como padrão de codificação. Vale à pena ressaltar a diferença entre padrão de codificação e padrão de desenvolvimento (ou design). Para desenvolver sistemas críticos é necesssario ter estes padrões definidos. Interessante notar também que adoptar uma padrão de codificação não é apenas boa prática quando se trata de sistemas críticos (SC): é mesmo uma obrigação. Padrões de codificação são requeridos por diferentes normas que defendem desenvolvimento de SC (veja a DO-178B, IEC-61508, EN-50128). Quanto ao padrão MISRA-C, os justificativas para cada regra são muito bem explicadas na própria norma, por isso recomendo sua leitura a qualquer um que pense seriamente em aplicá-la. Lá vc vai ver também que nem todas as regras são normativas, há também regras opcionais. O que tenho visto como experiência geral é que MISRA-C não tem por propósito somente "educar" desenvolvedores inexperientes. Desenvolver software para SC pode ser uma tarefa extremamente árdua pelo simples fato de construções mais elaboradas da linguagem não serem permitidas.Tomando como exemplo a regra comentada em seu artigo sobre alocação dinâmica de memória (regra 20.4, uma das requeridas pela norma). Num sistema crítico, é imprescindível saber a priori quantos e quais são os recursos utilizados pela aplicação. Mais que isso, é preciso demonstrar, que a quantidade de memória utilizada nunca ultrapassará o limite disponível (suponha que o programa falhe de uma maneira catastrófica caso não haja memória disponível). Quando se usa alocação dinâmica de memória é extremamente difícil provar esta 'propriedade'. Portanto MISRA-C fala muito também à comunidade de programadores experientes em C, mas que podem não estar devidamente contextualizados as necessidades da natureza deste tipo de aplicação. Abraços, Hugo Sobreira Caro Sergio,

Parabens pela iniciativa, de fato sinto falta de artigos relacionados ao tema na nossa língua portuguesa.
Venho trabalhando com desenvolvimento de sistemas críticos já há alguns anos e hoje utilizo a MISRA-C como padrão de codificação. Vale à pena ressaltar a diferença entre padrão de codificação e padrão de desenvolvimento (ou design). Para desenvolver sistemas críticos é necesssario ter estes padrões definidos. Interessante notar também que adoptar uma padrão de codificação não é apenas boa prática quando se trata de sistemas críticos (SC): é mesmo uma obrigação. Padrões de codificação são requeridos por diferentes normas que defendem desenvolvimento de SC (veja a DO-178B, IEC-61508, EN-50128).
Quanto ao padrão MISRA-C, os justificativas para cada regra são muito bem explicadas na própria norma, por isso recomendo sua leitura a qualquer um que pense seriamente em aplicá-la. Lá vc vai ver também que nem todas as regras são normativas, há também regras opcionais.

O que tenho visto como experiência geral é que MISRA-C não tem por propósito somente “educar” desenvolvedores inexperientes. Desenvolver software para SC pode ser uma tarefa extremamente árdua pelo simples fato de construções mais elaboradas da linguagem não serem permitidas.Tomando como exemplo a regra comentada em seu artigo sobre alocação dinâmica de memória (regra 20.4, uma das requeridas pela norma). Num sistema crítico, é imprescindível saber a priori quantos e quais são os recursos utilizados pela aplicação. Mais que isso, é preciso demonstrar, que a quantidade de memória utilizada nunca ultrapassará o limite disponível (suponha que o programa falhe de uma maneira catastrófica caso não haja memória disponível). Quando se usa alocação dinâmica de memória é extremamente difícil provar esta ‘propriedade’. Portanto MISRA-C fala muito também à comunidade de programadores experientes em C, mas que podem não estar devidamente contextualizados as necessidades da natureza deste tipo de aplicação.

Abraços,
Hugo Sobreira

]]> Por: sergioprado http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-109 sergioprado Tue, 08 Jun 2010 16:53:44 +0000 http://www.sergioprado.org/?p=527#comment-109 Olá Rudolf, Ótima observação. A minha interpretação é que a regra quis dizer que você não precisa fazer uma comparação explicita apenas se sua variável for do tipo boolean. O exemplo abaixo é permitido pelo padrão MISRA-C: bool bufferVazio; if (bufferVazio) { return; } Veja que a variável "bufferVazio" é do tipo bool. O tipo bool está especificado no padrão ANSI C99. Um abraço, Sergio Prado Olá Rudolf,

Ótima observação. A minha interpretação é que a regra quis dizer que você não precisa fazer uma comparação explicita apenas se sua variável for do tipo boolean. O exemplo abaixo é permitido pelo padrão MISRA-C:

bool bufferVazio;

if (bufferVazio) {
return;
}

Veja que a variável “bufferVazio” é do tipo bool. O tipo bool está especificado no padrão ANSI C99.

Um abraço,

Sergio Prado

]]> Por: Rudolf Waller http://sergioprado.org/2010/05/27/misra-c-padrao-para-software-em-c/#comment-108 Rudolf Waller Tue, 08 Jun 2010 13:32:49 +0000 http://www.sergioprado.org/?p=527#comment-108 Oi Sergio,   Dei uma pesquisada e vi que as regras 49 e 104 que você citou é do MISRA-C:1998. Não achei o equivalente destas regras na versão de 2004.   Abraços, Rudolf Oi Sergio,
 
Dei uma pesquisada e vi que as regras 49 e 104 que você citou é do MISRA-C:1998. Não achei o equivalente destas regras na versão de 2004.
 
Abraços,
Rudolf

]]>