带你走近MISRA C++:2023

作者 | 给你小鱼干
小编 | 不吃猪头肉

随着汽车工业迈入数字化转型的新纪元，软件的安全性与可靠性已跃升为设计和开发核心环节的重中之重。MISRA C++标准的诞生与演进，精准地回应了行业发展的需求。自MISRA C++标准首次面世以来，它便被奉为汽车软件工程师在开发实践中的圭臬。

MISRA C++的发展史
MISRA C++的起源可以追溯到MISRA C标准的成功制定和广泛应用。MISRA C是一套针对C语言的编码规范，首次发布于1998年，它迅速成为汽车行业中软件安全性和可靠性的标杆。（回顾MISRA C:2012介绍请见文章

《带你走近MISRA C:2012》）随着C++在工业界的普及，尤其是在汽车电子控制系统中，对C++的类似规范的需求日益增长。基于MISRA C的成功经验和市场需求，MISRA组织随后发布了适用于C++03标准的编码规范MISRA C++:2008。这是首个针对C++语言的MISRA标准，包含一系列的规则和指导原则，这些规则覆盖了从编程实践到代码设计等多个方面，旨在帮助开发者编写出更加安全和可靠的代码。
MISRA C++:2008规范发布后，得到了业界的广泛认可和采纳。它不仅在汽车行业中得到了应用，还扩展到了航空、医疗设备和工业控制等多个领域，并对这些行业产生了深远的影响。随着C++语言标准的不断更新和新特性的引入，MISRA C++:2008也在经历不断的修订和更新，以保持与C++标准语言的同步，并覆盖新出现的语言特性。MISRA C++:2008与AUTOSAR C++14
但随着后续新版本C++标准的发布，MISRA C++:2008并未将新的C++语言特性纳入，于是AUTOSAR组织发布了AUTOSAR C++14编码规范。
AUTOSAR C++14在制定时，大量借鉴了MISRA C++:2008的规则。MISRA C++:2008是基于C++03标准制定的，而AUTOSAR C++14则是基于更新的C++14标准。AUTOSAR C++14吸收了约91%的MISRA C++:2008规则，并对其进行了扩展和更新，引入了针对C++11/14特性的规范。

MISRA C++:2023
MISRA C++:2023发布于2023年10月，这是MISRA C++的最新版本。它为使用ISO/IEC 1488217) 开发的安全关键型软件的组织提供指导。MISRA C++:2023规则分类
MISRA C++:2023整合了AUTOSAR C++14编码规范， 共179条准则。这些规则按照性质分为两类：Rule（规则）和Directive（指令），包含175条Rule和4条Directive。规则有三种不同类别：” Mandatory（强制）”、” Required（要求）”和“Advisory（建议）”， Mandatory类别的规则中包含5条Rule，Required规则中包含122条Rule和4条Directive，Advisory规则中包含48条Rule。
图1 MISRA C++:2023规则分类
图2 MISRA C++:2023规则类别MISRA C++:2023还引入了MISRA C++的Rule可判定性分类。可判定性区分标准为是否能在任何情况下明确回答“该代码是否遵循了这条规则？”这个问题。
图3 Rule的可判定性分类要注意的是，可判定性并不适用于Directive规则。接下来让我们进一步了解MISRA C++:2023编码规范。

什么是 MISRA C++:2023 Rule 9.5.2，为什么它很重要？MISRA C++:2023 引入了Rule 9.5.2：“ for 范围初始值设定项最多应包含一个函数调用”，以避免在基于范围的 for 语句的 for 范围初始值设定项创建临时对象时可能发生的未定义行为。
为了理解为什么会发生这种情况，让我们仔细看看基于 C++ 范围的 for 循环。
什么是 C++ 中基于范围的 for 循环？
在编程中，循环用于重复代码块。当我们知道要在代码块中循环多少次时会使用for循环。C++ 基于范围的 for 循环是在 C++11 中引入的，作为容器迭代的简洁表示法。传统循环源自 C 语言，具有可选的循环初始化，然后是循环条件，最后是循环增量表达式。
传统for循环可用于迭代容器，如下所示：

std::vector v = { "Example", "vector", "of", "strings" };

for ( auto &&i = v.begin(); i != v.end(); ++i ) {

std::cout << *i << “ “; 

}

std::cout << std::endl; 

使用基于范围的for时，迭代器的使用是隐式的：

for ( auto &&s: v ) {

std::cout << s << “ “; 

}

对于同一循环，这是一个更简单的表示法。C++ 语言标准指出它是以下方面的缩写：

{

auto && __range = v;

auto __begin = __range;

auto __end = v.end();

for (; __begin != __end; ++__begin) {

auto &&s = *__begin;

std::cout << s << “ “; 

}

}

但是，这种表示法存在一定的局限性。在上面的示例中， __range 是用 v 初始化的，这是一个更简单的变量，但也可以使用一个复杂的表达式，为其创建多个临时对象。

让我们考虑使用一个函数，该函数返回字符串的向量，并具有：•一个输出用空格分隔的字符串的循环，如上所述;•第二个循环，打印第一个字符串的字母，用空格分隔：

std::vectorcreateStrings() {

return { "Example”, "vector", "of", "strings" };

}

int main() {

for ( auto w: createStrings() ) { std::cout << w << " "; } 

std::cout << std::endl; 

for ( auto c: createStrings()[0] ) { std::cout << c << " "; } 

std::cout << std::endl; 

}

如果我们执行此操作，第一个循环将按预期运行，但第二个循环将调用未定义的行为 。问题是 createStrings（）[0] 有两个函数调用。最里面的调用是 createStrings 的调用 ，最外面的调用是对索引运算符[ ]的调用。

未定义行为的原因是 “ createStrings ”返回的临时对象 用作“ operator[ ]”调用的参数，因此，根据 C++ 的规则，临时对象的生存期不会延长。
MISRA C++:2023 Rule 9.5.2 如何防范未定义的行为
MISRA C++:2023 Rule 9.5.2 旨在防止这种情况。MISRA C++:2023 引入了规则 9.5.2，该规则要求for范围初始值设定项最多应包含一个函数调用。
它还建议通过在循环范围之前的单独声明中执行内部函数调用来解决此问题。例如：

auto strings = createStrings();

for ( auto c: strings[0] ) { std::cout << c << " "; } 

现在，初始值设定项中只有一个函数调用，因此生存期扩展具有所需的效果，并且行为已完全定义。