通過利用合同設(shè)計來改進(jìn)嵌入式應(yīng)用

嵌入式軟件開發(fā)團(tuán)隊面臨的最大挑戰(zhàn)之一是，他們花費太多時間來調(diào)試軟件。當(dāng)我與全球團(tuán)隊和工程師交談時，在我參加的各種會議上，顯然，開發(fā)人員平均將其40%的時間或更多時間用于調(diào)試軟件。

直言不諱，花很多時間的調(diào)試是不可接受的，在許多情況下，不必要。開發(fā)人員可以使用許多技術(shù)來更好地管理其錯誤，但是一種有趣的技術(shù)可以用來防止錯誤并在軌道上捕捉它們，這是一種設(shè)計方法，即逐項合同(DBC)。

在今天的帖子中，我們將檢查DBC以及如何使用它來改善嵌入式軟件。

逐一介紹

逐一編程背后的想法是，C程序員的每個接口或功能都應(yīng)明確定義，精確和可驗證。這意味著每個功能都應(yīng)與之相關(guān)：

· 前條件- 在調(diào)用函數(shù)之前確保滿足的條件。前提條件是在組件合同中指定的，該合同使該功能不必內(nèi)部檢查條件。

· 條件后- 如果滿足所有前條件，則可以在組件完成執(zhí)行后確保滿足條件。

· 副作用- 執(zhí)行時，調(diào)用函數(shù)對系統(tǒng)的效果對系統(tǒng)的效果。副作用是該函數(shù)執(zhí)行的有用工作。

· 不變- 在整個應(yīng)用程序上指定的條件必須滿足以使用該組件。例如，正在與指針一起使用限制，該指針告訴編譯器該輸入不會在程序中的其他任何地方使用。

通過正式定義這四個項目，該功能已完全指定，并為使用該功能了解的任何開發(fā)人員提供：

· 在調(diào)用功能以使其正確操作之前需要發(fā)生什么

· 調(diào)用功能后，預(yù)期的系統(tǒng)狀態(tài)將是什么

· 進(jìn)入和退出時將要維護(hù)的屬性

· 將對系統(tǒng)進(jìn)行的更改

逐一設(shè)計創(chuàng)造了使用函數(shù)的開發(fā)人員必須遵循的義務(wù)，以使調(diào)用該函數(shù)受益。如果他們不遵守這些義務(wù)，則將錯誤注入其應(yīng)用程序中!

在C應(yīng)用中利用逐項合同

乍一看，逐一合同是添加已經(jīng)超負(fù)荷的開發(fā)周期的另一個超重過程。逐一使用可能非常簡單，可以改善您的代碼庫文檔并減少軟件中的缺陷，這具有改善軟件質(zhì)量的額外好處。逐項合同不必超級正式，而是可以在代碼文檔中完全處理。例如，查看下面的doxygen函數(shù)標(biāo)頭。

從示例中可以看到，該注釋塊與其相關(guān)聯(lián)的其他行，可以闡明該功能的條件和后條件。在這種情況下，對于dio_init，我們指定：

· 一個指定PIN功能和狀態(tài)的配置表需要填充

· MCU上的引腳數(shù)的定義必須大于0

· 引腳端口數(shù)的定義必須大于0

· 必須啟用GPIO時鐘

如果滿足這些條件，則開發(fā)人員調(diào)用Dio_Init函數(shù)并提供指定的參數(shù)時，我們可以期望該函數(shù)的輸出將使用匹配預(yù)定義配置表的GPIO引腳配置。

使用斷言核實合同

我們可以使用文檔和評論來指定我們的前提條件和條件是什么，但這并不意味著開發(fā)人員會遵循它們?？赡軙趶?fù)雜的應(yīng)用程序中忽略條件。如果發(fā)生這種情況，他們將違反合同，無法知道!相反，它們最終會遇到一個可能難以找到和解決的錯誤。需要有一些方法來驗證合同;對于在C中工作的開發(fā)人員，該方法是使用斷言。

我發(fā)現(xiàn)的斷言的最佳定義是，斷言是：

“除非程序中有一個錯誤，否則在程序中的特定點上的布爾表達(dá)式將是真實的?！?(來源：未知，我找不到參考，但定義被燃燒到我的腦海中!)

我認(rèn)為我們應(yīng)該用該定義中的缺陷替換錯誤，但是就我們目的而言，我們不要讓我們分散我們的注意力。

關(guān)于上述定義，我們需要注意三個重要點，其中包括：

· 主張將表達(dá)式評估為真或錯誤

· 斷言是代碼中特定點的系統(tǒng)狀態(tài)的假設(shè)

· 主張驗證了一個系統(tǒng)假設(shè)，即如果不是真的，則在代碼中揭示了一個錯誤

從定義中可以看到，斷言對于驗證函數(shù)，模塊或接口的合同特別有用。它們不是用于錯誤處理的，而是用于檢測代碼中的缺陷。

關(guān)于斷言有很多要知道的事情，但是在考慮主張和逐項合同時，使用斷言來評估合同非常簡單。例如，考慮中查看的dio_init函數(shù)。如果要包含代碼來驗證我們先前在評論中寫的合同，我們可能會有一個函數(shù)，看起來像下面。

如您所見，我們對每個前條件都有一個主張。我們還可以使用斷言來執(zhí)行有關(guān)后條件和不變性的檢查，但是您在這一點上可以明白。

斷言為您提供了一種干凈，簡單的機制，以通過合同執(zhí)行設(shè)計。雖然某些時鐘周期將用于評估表達(dá)式，但是一旦開發(fā)完成，在系統(tǒng)驗證之前，您可以禁用斷言以獲得一些額外的性能。通常，我通常會啟用它們，但是遵循NASA的規(guī)則很重要：

“駕駛測試的東西”

因此，如果啟用斷言測試，則啟用與它們一起運送。如果您禁用它們并發(fā)貨，則系統(tǒng)的時機可能會改變，從而導(dǎo)致種族條件或其他有趣的缺陷。憑借當(dāng)今的現(xiàn)代處理器，例如Cortex-M4，Cortex-M23，Cortex-M33等，評估表達(dá)式的開銷通常很低。

結(jié)論

逐一設(shè)計是一種簡單的技術(shù)，開發(fā)人員可以用來完全指定其功能，組件和接口。完全指定的界面會減少實現(xiàn)混亂，并可以驗證以確保滿足所有前條件。無法使用斷言抓住任何條件，這告訴開發(fā)人員的應(yīng)用程序中存在缺陷以及該缺陷在哪里!這可以大大減少收到嵌入式系統(tǒng)，節(jié)省時間，開發(fā)成本以及對開發(fā)人員的壓力的時間。