写在前面
最近公司安排参与一个项目,设备运行环境是在低轨,对稳定性要求很高,之前没接触过相关的项目,便试图找一下有没有航天相关的嵌入式C语言编程规范,于是网上搜索了一番,发现并没有完全针对这方面的内容,但是在汽车行业有一个名叫MISRA-C
的规范文档,目前航空产业也开始在使用了,我也就下载了相关的资料了解了一下,但本文的重点不是这份编码规范,而是针对编码规范中的一条。
为什么不让使用柔性数组
下面是MISRA-C 2012
的规范文档给出的解释,大概意思就是说柔性数组一般是与动态内存一起使用的,但是这篇文档还规定了不要使用C
库的动态内存管理接口,如malloc
,free
等,还有一个原因就是使用sizeof
时容易出错,因为对柔性数组使用sizeof
时,柔性数组成员是不会参与计算的,具体可以看我前面的一篇关于柔性数组的文章(点击跳转)。
柔性数组
先来看下柔性数组的使用,我喜欢用柔性数组主要是因为它的内存是连续的,这在处理某些不定长协议帧时非常好用,比如下面定义的通信协议帧:
1byte | 2byte | Nbyte |
---|---|---|
header | length | data |
上面的数据帧,后面的数据部分是不定长的,和柔性数组这个特性非常像,所以用柔性数组来做的话特别方便。
#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
#pragma pack(1)
struct flexible_array_t {
uint16_t separate;
uint8_t data[];
};
#pragma pack()
int main(int argc, char *argv[])
{
struct flexible_array_t *flexible_array;
uint8_t data[8];
for(uint32_t i = 0; i < sizeof(data); i++)
{
data[i] = (uint8_t)i;
}
flexible_array = malloc(sizeof(struct flexible_array_t) + sizeof(data));
if(NULL == flexible_array)
{
printf("malloc failed.\n");
exit(EXIT_FAILURE);
}
printf("%p, %p, %p\n", flexible_array, &flexible_array->data, flexible_array->data);
flexible_array->separate = 0x6666;
for(uint32_t i = 0; i < sizeof(data); i++)
{
flexible_array->data[i] = data[i];
}
for(uint32_t i = 0; i < (sizeof(struct flexible_array_t) + sizeof(data)); i++)
{
printf("%02x ", ((uint8_t *)flexible_array)[i]);
}printf("\n");
free(flexible_array);
return 0;
}
测试环境:
gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04)
Linux xxx 5.10.16.3-microsoft-standard-WSL2
运行结果:
0x55caf4b46260, 0x55caf4b46262, 0x55caf4b46262
66 66 00 01 02 03 04 05 06 07
如何替代
其实柔性数组在某些情况还是特别好用的,但如果真的要按照文档规范来的话,就无法使用这一特性了,不过可以用指针来实现呀,下面是一种简单的实现方式,这里出于方便我还是使用了malloc
和free
来做动态内存分配,经过静态语法分析工具检测这种替代实现方式符合了MISRA-C
规范。并且和原生的柔性数组使用相比,仅仅只多了一行代码(见代码注释),那就是需要将不定长的内容块用data
指针关联起来;data
指针必须放在结构体成员的最前面。
#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>
#include <string.h>
#pragma pack(1)
struct flexible_array_t {
uint8_t *data;
uint16_t separate;
};
#pragma pack()
int main(int argc, char *argv[])
{
struct flexible_array_t *flexible_array;
uint8_t data[8];
for(uint32_t i = 0; i < sizeof(data); i++)
{
data[i] = (uint8_t)i;
}
flexible_array = malloc(sizeof(struct flexible_array_t) + sizeof(data));
if(NULL == flexible_array)
{
printf("malloc failed.\n");
exit(EXIT_FAILURE);
}
/*比原生柔性数组多出的一行代码*/
flexible_array->data = &(((uint8_t *)flexible_array)[sizeof(struct flexible_array_t)]);
printf("%p, %p, %p\n", flexible_array, &flexible_array->data, flexible_array->data);
flexible_array->separate = 0x6666;
for(uint32_t i = 0; i < sizeof(data); i++)
{
flexible_array->data[i] = data[i];
}
for(uint32_t i = 0; i < (sizeof(struct flexible_array_t) + sizeof(data)); i++)
{
printf("%02x ", ((uint8_t *)flexible_array)[i]);
}printf("\n");
free(flexible_array);
return 0;
}
测试环境:
gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04)
Linux xxx 5.10.16.3-microsoft-standard-WSL2
运行结果:
0x5655006e2260, 0x5655006e2260, 0x5655006e226a
6a 22 6e 00 55 56 00 00 66 66 00 01 02 03 04 05 06 07
你可能会奇怪为什么这里的结果比原生的柔性数组结果多了前面的8个字节,仔细看你就会发现,这8个字节其实就是data
指针关联起来的那块内存的起始地址,即flexible_array->data
,实际使用时减去data
指针本身的大小即可,如下:
for(uint32_t i = 0; i < (sizeof(struct flexible_array_t) + sizeof(data) - sizeof(flexible_array->data)); i++)
{
printf("%02x ", ((uint8_t *)flexible_array)[i]);
}printf("\n");
实现原理:
上面代码中定义的结构体struct flexible_array_t
内存模型如下,由于通过malloc
分配的内存是连续的一片空间,所以后面蓝色的那块实际上就是sizeof(data)
大小的内存,我们让结构体内的data
指针指向那块蓝色的区域,就实现了和柔性数组一样的特性。
后话
其实这种实现是一种取巧的方式,需要编程者对内存模型了然于胸,熟练运用指针在使用时才不会出错,极有可能MISRA-C
规范也是不认同的,因为它极度不信任编程者。
参考文档
- MISRA C_2012 Guidelines for the use of the C language in critical systems.pdf
- https://zh.wikipedia.org/wiki/MISRA_C