c++ - 由于无符号算术运算符的环绕而导致的 MISRA 错误

Question

我遇到了有关环绕错误的 MISRA 标准问题。我试图通过查看互联网上可用的选项来解决它，但仍然无法解决它，因为仍然无法找到一些可行的解决方案。

我提供一个简单的例子来解释我的情况。

由于 MISRA 标准，我在结果行中遇到了环绕错误。无符号算术运算的环绕。

有人可以告诉我发生这种情况的原因以及如何应对这种情况。

非常感谢。

 unsigned int x;
 unsigned int y;
 unsigned int z;
 unsigned int result;

 x= 0;
 y = 60;
 z = 60;

 result = x-y +z;

Answer 1

正如 Dietrich Epp 正确指出的那样，代码分析器观察到，对于给定值(在编译时已知且可见)，子表达式 x-y数学上将是负数。负值超出了无符号类型的取值范围，无法表示；这种情况称为溢出。对于 C++ 中的无符号整数(6.7.1/4 加 standard draft n4713 中的脚注 45)和 C(standard draft n1256 中的 6.2.5/9)，它是明确定义的:“无符号整数应遵守算术定律modulo 2ⁿ，其中 n 是值表示中的位数。"

模算术“环绕”。人们可以将可能的值想象为一个圆圈，其中最大值(所有位设置)和最小值(无位设置)相邻。与所有其他相邻值一样，我可以通过加或减 1 从一个值转到另一个值:((uint8_t)0xff+1 == 0 ，相应地((uint8_t)0-1 == 0xff 。 (大多数程序员都知道在通常的 2 补码中表示 -1 的位模式 0xff...，但当它由计算得出时，它仍然可能会让人感到惊讶。)在 2 补码表示中，这种转换是自然而然的因为0xfff... +1是 0x10000... ，带有进位位，前导 1，在机器表示中位的“左侧”；它就被简单地扔掉了。

底线是:也许令人惊讶的是，分配给 unsigned int 的小负值(例如 -60)会产生很大的数字。这就是 MISRA 提醒您的内容。

在您的特定情况下，使用给定的值，没有问题，因为在模算术中，加法仍然是减法的逆运算，无论值如何，因此 0-60+60是 0。但是如果 z 是 58，则可能会出现问题，因此结果是 -2；这将导致分配给 result 的第二高值它的类型可以容纳它。 这可能会带来灾难性的后果，例如该值用于终止 for 循环。对于有符号整数，循环将被跳过；对于无符号整数，它可能会错误地运行很长时间。

澄清根本问题后，出现以下问题:

1. 正如所演示的，计算是使用无符号操作数很好地定义的，并且使用给定的参数，具有一个不足为奇的结果。您对所有可能的参数值和组合可能出现的所有结果感到满意吗？也就是说，您对模算术满意吗？

   1a。是:那么问题是您是否想要或必须阻止该警告。从技术上讲，没有什么可做的。任何改变都可能会使事情变得模糊。显然，MISRA 警告 can be suppressed 。

   1b。如果这是不可能或不需要的，您的软件开发过程可能会有一种机制来限定此类警告是否可接受。

   1c。如果这是不可能或不希望的，您将不得不(不必要地)使您的代码复杂化。一种解决方案是简单地使用 64 位有符号整数执行计算，这些整数保证能够保存所有 32 位无符号值(假设您的系统上有 sizeof int == 32)，并使用显式强制转换分配结果以指示可能的结果信息溢出和丢失是故意的。

   或者，如果在您的数据中y < z && x + z < UINT_MAX始终成立，您只需将评估重新排序为 result = x + z - y; ，永远不会在子表达式中遇到负值。

2. 如果您对模运算不满意，尤其是可能出现意想不到的大结果，您必须退后一步，重新考虑用于真实世界数据的数据模型。也许您必须限定数据并防止出现负面结果，或者您必须使用有符号整数，或者出现其他问题。