嵌入式軟件開發(fā)團(tuán)隊(duì)面臨的最大挑戰(zhàn)之一是，他們花費(fèi)太多時(shí)間來調(diào)試軟件。當(dāng)我與全球團(tuán)隊(duì)和工程師交談時(shí)，在我參加的各種會(huì)議上，顯然，開發(fā)人員平均將其40%的時(shí)間或更多時(shí)間用于調(diào)試軟件。

直言不諱，花很多時(shí)間的調(diào)試是不可接受的，在許多情況下，不必要。開發(fā)人員可以使用許多技術(shù)來更好地管理其錯(cuò)誤，但是一種有趣的技術(shù)可以用來防止錯(cuò)誤并在軌道上捕捉它們，這是一種設(shè)計(jì)方法，即逐項(xiàng)合同(DBC)。

在今天的帖子中，我們將檢查DBC以及如何使用它來改善嵌入式軟件。

逐一介紹

逐一編程背后的想法是，C程序員的每個(gè)接口或功能都應(yīng)明確定義，精確和可驗(yàn)證。這意味著每個(gè)功能都應(yīng)與之相關(guān)：

· 前條件- 在調(diào)用函數(shù)之前確保滿足的條件。前提條件是在組件合同中指定的，該合同使該功能不必內(nèi)部檢查條件。

· 條件后- 如果滿足所有前條件，則可以在組件完成執(zhí)行后確保滿足條件。

· 副作用- 執(zhí)行時(shí)，調(diào)用函數(shù)對(duì)系統(tǒng)的效果對(duì)系統(tǒng)的效果。副作用是該函數(shù)執(zhí)行的有用工作。

· 不變- 在整個(gè)應(yīng)用程序上指定的條件必須滿足以使用該組件。例如，正在與指針一起使用限制，該指針告訴編譯器該輸入不會(huì)在程序中的其他任何地方使用。

通過正式定義這四個(gè)項(xiàng)目，該功能已完全指定，并為使用該功能了解的任何開發(fā)人員提供：

· 在調(diào)用功能以使其正確操作之前需要發(fā)生什么

· 調(diào)用功能后，預(yù)期的系統(tǒng)狀態(tài)將是什么

· 進(jìn)入和退出時(shí)將要維護(hù)的屬性

· 將對(duì)系統(tǒng)進(jìn)行的更改

逐一設(shè)計(jì)創(chuàng)造了使用函數(shù)的開發(fā)人員必須遵循的義務(wù)，以使調(diào)用該函數(shù)受益。如果他們不遵守這些義務(wù)，則將錯(cuò)誤注入其應(yīng)用程序中!

在C應(yīng)用中利用逐項(xiàng)合同

乍一看，逐一合同是添加已經(jīng)超負(fù)荷的開發(fā)周期的另一個(gè)超重過程。逐一使用可能非常簡單，可以改善您的代碼庫文檔并減少軟件中的缺陷，這具有改善軟件質(zhì)量的額外好處。逐項(xiàng)合同不必超級(jí)正式，而是可以在代碼文檔中完全處理。例如，查看下面的doxygen函數(shù)標(biāo)頭。

從示例中可以看到，該注釋塊與其相關(guān)聯(lián)的其他行，可以闡明該功能的條件和后條件。在這種情況下，對(duì)于dio_init，我們指定：

· 一個(gè)指定PIN功能和狀態(tài)的配置表需要填充

· MCU上的引腳數(shù)的定義必須大于0

· 引腳端口數(shù)的定義必須大于0

· 必須啟用GPIO時(shí)鐘

如果滿足這些條件，則開發(fā)人員調(diào)用Dio_Init函數(shù)并提供指定的參數(shù)時(shí)，我們可以期望該函數(shù)的輸出將使用匹配預(yù)定義配置表的GPIO引腳配置。

使用斷言核實(shí)合同

我們可以使用文檔和評(píng)論來指定我們的前提條件和條件是什么，但這并不意味著開發(fā)人員會(huì)遵循它們?？赡軙?huì)在復(fù)雜的應(yīng)用程序中忽略條件。如果發(fā)生這種情況，他們將違反合同，無法知道!相反，它們最終會(huì)遇到一個(gè)可能難以找到和解決的錯(cuò)誤。需要有一些方法來驗(yàn)證合同;對(duì)于在C中工作的開發(fā)人員，該方法是使用斷言。

我發(fā)現(xiàn)的斷言的最佳定義是，斷言是：

“除非程序中有一個(gè)錯(cuò)誤，否則在程序中的特定點(diǎn)上的布爾表達(dá)式將是真實(shí)的?！?(來源：未知，我找不到參考，但定義被燃燒到我的腦海中!)

我認(rèn)為我們應(yīng)該用該定義中的缺陷替換錯(cuò)誤，但是就我們目的而言，我們不要讓我們分散我們的注意力。

關(guān)于上述定義，我們需要注意三個(gè)重要點(diǎn)，其中包括：

· 主張將表達(dá)式評(píng)估為真或錯(cuò)誤

· 斷言是代碼中特定點(diǎn)的系統(tǒng)狀態(tài)的假設(shè)

· 主張驗(yàn)證了一個(gè)系統(tǒng)假設(shè)，即如果不是真的，則在代碼中揭示了一個(gè)錯(cuò)誤

從定義中可以看到，斷言對(duì)于驗(yàn)證函數(shù)，模塊或接口的合同特別有用。它們不是用于錯(cuò)誤處理的，而是用于檢測(cè)代碼中的缺陷。

關(guān)于斷言有很多要知道的事情，但是在考慮主張和逐項(xiàng)合同時(shí)，使用斷言來評(píng)估合同非常簡單。例如，考慮中查看的dio_init函數(shù)。如果要包含代碼來驗(yàn)證我們先前在評(píng)論中寫的合同，我們可能會(huì)有一個(gè)函數(shù)，看起來像下面。

如您所見，我們對(duì)每個(gè)前條件都有一個(gè)主張。我們還可以使用斷言來執(zhí)行有關(guān)后條件和不變性的檢查，但是您在這一點(diǎn)上可以明白。

斷言為您提供了一種干凈，簡單的機(jī)制，以通過合同執(zhí)行設(shè)計(jì)。雖然某些時(shí)鐘周期將用于評(píng)估表達(dá)式，但是一旦開發(fā)完成，在系統(tǒng)驗(yàn)證之前，您可以禁用斷言以獲得一些額外的性能。通常，我通常會(huì)啟用它們，但是遵循NASA的規(guī)則很重要：

“駕駛測(cè)試的東西”

因此，如果啟用斷言測(cè)試，則啟用與它們一起運(yùn)送。如果您禁用它們并發(fā)貨，則系統(tǒng)的時(shí)機(jī)可能會(huì)改變，從而導(dǎo)致種族條件或其他有趣的缺陷。憑借當(dāng)今的現(xiàn)代處理器，例如Cortex-M4，Cortex-M23，Cortex-M33等，評(píng)估表達(dá)式的開銷通常很低。

結(jié)論

逐一設(shè)計(jì)是一種簡單的技術(shù)，開發(fā)人員可以用來完全指定其功能，組件和接口。完全指定的界面會(huì)減少實(shí)現(xiàn)混亂，并可以驗(yàn)證以確保滿足所有前條件。無法使用斷言抓住任何條件，這告訴開發(fā)人員的應(yīng)用程序中存在缺陷以及該缺陷在哪里!這可以大大減少收到嵌入式系統(tǒng)，節(jié)省時(shí)間，開發(fā)成本以及對(duì)開發(fā)人員的壓力的時(shí)間。