由于无符号算术运算符环绕而导致的 MISRA 错误
MISRA Error due to Wraparound of unsigned arithmetic operator
我遇到了关于环绕错误的 MISRA 标准问题。我试图通过查看互联网上可用的选项来解决它,但仍然无法解决它,因为仍然无法找到一些可行的解决方案。
我提供一个简单的例子来说明我的情况。
由于 MISRA 标准,我在结果行中遇到环绕错误。无符号算术运算中的环绕。
谁能告诉我发生这种情况的原因以及如何应对这种情况。
非常感谢。
unsigned int x;
unsigned int y;
unsigned int z;
unsigned int result;
x= 0;
y = 60;
z = 60;
result = x-y +z;
正如 Dietrich Epp 正确评论的那样,代码分析器观察到对于给定的值(在编译时已知且可见),子表达式 x-y 在数学上将为负数。负值超出无符号类型的取值范围,无法表示;这种情况称为溢出。它在 C++ 中对无符号整数进行了明确定义(6.7.1/4 加上 standard draft n4713) and in C (6.2.5/9 in the standard draft n1256 中的脚注 45):"Unsigned integers shall obey the laws of arithmetic modulo 2n where n is the number of bits in the value representation."
模运算"wraps around"。可以将可能的值想象成一个圆圈,其中最大(所有位设置)和最小(未设置位)值 相邻 。与所有其他相邻值一样,我可以通过加减 1 来从一个值转到另一个值:((uint8_t)0xff+1 == 0,相应地 ((uint8_t)0-1 == 0xff。 (位模式 0xff... 在通常的 2 补码中表示 -1 为大多数程序员所熟知,但当它从计算中产生时,它仍然可能令人惊讶。)在 2 补码表示中,这种转换自然发生因为0xfff... +1是0x10000...,加上进位,机器表示中位的前导1,"to the left";它只是被扔掉了。
底线是:也许令人惊讶的是,将一个小的负值(如 -60)分配给一个 unsigned int 会导致一个很大的数字。这就是 MISRA 提醒您的。
在您的特定情况下,对于给定的值,没有问题,因为在模算术加法中,无论值如何,加法仍然是减法的逆运算,因此 0-60+60 为 0。但是如果例如,z 是 58,所以结果是 -2;这将导致分配给 result 其类型可以容纳的第二高值。 那可能会产生灾难性的后果,例如该值用于终止 for 循环。对于带符号的整数,循环将被跳过;对于无符号整数,它可能会错误地 运行 很长一段时间。
在澄清了根本问题之后,出现了以下问题:
正如所证明的那样,计算是用无符号操作数很好地定义的,并且在给定参数的情况下,结果并不令人惊讶。您对 all 可能出现的 all 结果满意吗?也就是说,您对模运算满意吗?
1a。是:那么问题是你是否想要或必须阻止警告。从技术上讲,没有什么可做的。任何变化都可能掩盖事实。显然,MISRA 警告 can be suppressed。
1b。如果这不可能或不需要,您的软件开发过程可能会有一种机制来 限定 此类警告为可接受的。
1c。如果那不可能或不需要,您将不得不(不必要地)使您的代码复杂化。一种解决方案是简单地使用 64 位有符号整数执行计算,这些整数保证能够保存所有 32 位无符号值(假设 sizeof int == 32 在您的系统上),并使用显式强制转换来指示结果可能的信息溢出和丢失是故意的。
或者,如果在您的数据中 y < z && x + z < UINT_MAX 始终成立,您可以简单地将评估重新排序为 result = x + z - y;,永远不会在子表达式中遇到负值。
如果您对模运算不满意,尤其是可能会出现意想不到的大结果,您必须退后一步,重新考虑您正在使用的数据模型用于您的真实数据。也许您必须限定您的数据并防止出现负面结果,或者您必须使用带符号的整数,或者有其他问题。
我遇到了关于环绕错误的 MISRA 标准问题。我试图通过查看互联网上可用的选项来解决它,但仍然无法解决它,因为仍然无法找到一些可行的解决方案。
我提供一个简单的例子来说明我的情况。
由于 MISRA 标准,我在结果行中遇到环绕错误。无符号算术运算中的环绕。
谁能告诉我发生这种情况的原因以及如何应对这种情况。
非常感谢。
unsigned int x;
unsigned int y;
unsigned int z;
unsigned int result;
x= 0;
y = 60;
z = 60;
result = x-y +z;
正如 Dietrich Epp 正确评论的那样,代码分析器观察到对于给定的值(在编译时已知且可见),子表达式 x-y 在数学上将为负数。负值超出无符号类型的取值范围,无法表示;这种情况称为溢出。它在 C++ 中对无符号整数进行了明确定义(6.7.1/4 加上 standard draft n4713) and in C (6.2.5/9 in the standard draft n1256 中的脚注 45):"Unsigned integers shall obey the laws of arithmetic modulo 2n where n is the number of bits in the value representation."
模运算"wraps around"。可以将可能的值想象成一个圆圈,其中最大(所有位设置)和最小(未设置位)值 相邻 。与所有其他相邻值一样,我可以通过加减 1 来从一个值转到另一个值:((uint8_t)0xff+1 == 0,相应地 ((uint8_t)0-1 == 0xff。 (位模式 0xff... 在通常的 2 补码中表示 -1 为大多数程序员所熟知,但当它从计算中产生时,它仍然可能令人惊讶。)在 2 补码表示中,这种转换自然发生因为0xfff... +1是0x10000...,加上进位,机器表示中位的前导1,"to the left";它只是被扔掉了。
底线是:也许令人惊讶的是,将一个小的负值(如 -60)分配给一个 unsigned int 会导致一个很大的数字。这就是 MISRA 提醒您的。
在您的特定情况下,对于给定的值,没有问题,因为在模算术加法中,无论值如何,加法仍然是减法的逆运算,因此 0-60+60 为 0。但是如果例如,z 是 58,所以结果是 -2;这将导致分配给 result 其类型可以容纳的第二高值。 那可能会产生灾难性的后果,例如该值用于终止 for 循环。对于带符号的整数,循环将被跳过;对于无符号整数,它可能会错误地 运行 很长一段时间。
在澄清了根本问题之后,出现了以下问题:
正如所证明的那样,计算是用无符号操作数很好地定义的,并且在给定参数的情况下,结果并不令人惊讶。您对 all 可能出现的 all 结果满意吗?也就是说,您对模运算满意吗?
1a。是:那么问题是你是否想要或必须阻止警告。从技术上讲,没有什么可做的。任何变化都可能掩盖事实。显然,MISRA 警告 can be suppressed。
1b。如果这不可能或不需要,您的软件开发过程可能会有一种机制来 限定 此类警告为可接受的。
1c。如果那不可能或不需要,您将不得不(不必要地)使您的代码复杂化。一种解决方案是简单地使用 64 位有符号整数执行计算,这些整数保证能够保存所有 32 位无符号值(假设
sizeof int == 32在您的系统上),并使用显式强制转换来指示结果可能的信息溢出和丢失是故意的。或者,如果在您的数据中
y < z && x + z < UINT_MAX始终成立,您可以简单地将评估重新排序为result = x + z - y;,永远不会在子表达式中遇到负值。如果您对模运算不满意,尤其是可能会出现意想不到的大结果,您必须退后一步,重新考虑您正在使用的数据模型用于您的真实数据。也许您必须限定您的数据并防止出现负面结果,或者您必须使用带符号的整数,或者有其他问题。