什么是 MISRA C？

引言

在嵌入式系统和安全关键型软件开发领域，确保代码的可靠性、安全性和可维护性至关重要。这正是 MISRA C 发挥作用的地方。MISRA C 由汽车行业软件可靠性协会 (MISRA) 开发，是一套广泛采用的 C 编程语言编码指南。它可以帮助工程师构建符合行业标准的强大且安全的软件，尤其是在汽车、航空航天、医疗和工业领域。

随着组织越来越重视电机软件可靠性合规性，实现 MISRA 合规性已成为一项关键要求。从减少运行时错误到实现代码可追溯性，MISRA 指南提供了一个用于提高软件质量的结构化框架。在本文中，我们将探讨什么是 MISRA C、它为何重要、如何实现合规性以及哪些 MISRA 工具和软件解决方案可以支持您的开发过程。

什么是 MISRA C？

MISRA C 是一套针对 C 编程语言的编码指南，由汽车工业软件可靠性协会 (MISRA) 开发。它最初是为汽车行业设计的，后来发展成为在各种安全关键型和嵌入式系统中编写安全可靠代码的事实标准。这些指南被广泛应用于确保软件故障可能导致重大风险甚至危及生命的各个行业遵守 MISRA 标准。

通过实施严格的编码规则和最佳实践，MISRA C 减少了引入错误、未定义行为或漏洞的可能性，这使得它对于需要高可靠性和功能安全性的项目至关重要。

MISRA 的目的是什么？

MISRA C 的主要目的是通过消除模棱两可的语言特征并防止常见的编程错误来促进安全可靠的 C 编程。该指南可帮助开发人员：

• 在开发早期发现潜在错误
• 提高代码的可读性和可维护性
• 促进静态代码分析和自动验证
• 实现受监管行业的电机软件可靠性合规性

采用 MISRA 最佳实践还可以使开发团队与行业安全标准保持一致，例如汽车领域的 ISO 26262 和工业应用领域的 IEC 61508。

适用于嵌入式和汽车软件

MISRA C 最初是为汽车行业量身定制的，但现在已广泛应用于各种嵌入式系统，其中软件在安全性和性能方面起着至关重要的作用。常见领域包括：

• 汽车 ECU 软件和 ADAS 系统
• 医疗器械和医疗保健技术
• 航空航天和国防嵌入式软件
• 工业自动化与控制系统

在所有这些领域，都使用 MISRA 合规软件和 MISRA 工具来确保遵守标准并简化开发生命周期。

为什么 MISRA C 对安全关键系统至关重要

在安全至关重要的行业中，软件可靠性不仅仅是一个质量目标，更是监管和运营的必需品。MISRA C 在确保此类环境中使用的 C 代码可预测、可验证且无危险行为方面发挥着至关重要的作用。通过实施结构化和限制性的编码标准，MISRA 指南有助于最大限度地减少可能导致系统故障、代价高昂的召回或安全隐患的编程错误。

在汽车、航空航天、医疗设备和工业自动化中的作用

MISRA C 广泛应用于嵌入式软件必须在所有条件下可靠运行的行业：

• 汽车： 动力系统、ADAS 和 ECU 软件必须符合 MISRA 才能满足安全和监管标准。
• 航空航天和国防： 任务关键型航空电子设备和控制系统依靠 MISRA 合规性来确保适航性和运行完整性。
• 医疗设备： 从起搏器到输液泵，医疗保健系统要求 MISRA 软件满足严格的 FDA 和 IEC 62304 标准。
• 工业自动化： 工厂控制系统和机器人依靠符合 MISRA 标准的软件来维持操作安全并最大限度地减少停机时间。

在每个领域中，MISRA 工具和 MISRA 解决方案都被集成到开发工作流程中，以自动检测偏差并强制执行合规性。

对功能安全的贡献（例如 ISO 26262）

MISRA C 与 ISO 26262（汽车）、IEC 61508（工业）和 DO-178C（航空航天）等国际功能安全标准紧密结合。采用 MISRA：

• 支持安全关键系统的系统开发
• 简化合规性审计所需的可追溯性和文档
• 增强对整个开发生命周期内软件可靠性的信心

降低未定义行为和漏洞的风险

MISRA C 的核心目标之一是消除可能危及软件安全的未定义、未指定和实现定义的行为。这些危险结构通常会导致：

• 难以检测的运行时错误
• 安全漏洞（例如缓冲区溢出）
• 可移植性和可维护性问题

通过实施严格的编码约束，MISRA 合规性显著降低了系统故障的风险，尤其是在关键任务应用程序中。

MISRA C 的版本

MISRA C 标准随着时间的推移发生了重大变化，适应了嵌入式软件开发不断变化的需求和 C 语言的进步。每个版本都引入了改进，以提高安全性、可靠性和可维护性，帮助各行各业的团队实现一致的 MISRA 合规性并满足电机软件可靠性要求。

MISRA C:1998、MISRA C:2004、MISRA C:2012 及其修订版

• • MISRA C:1998 – 最初的版本主要针对汽车嵌入式系统。它为 C 语言的 MISRA 指南奠定了基础，但缺乏对现代 C 语言结构的覆盖。
  • MISRA C:2004 – 重大修订扩大了规则覆盖范围并提高了清晰度。广泛应用于汽车和工业自动化领域。
  • MISRA C:2012 – 迄今为止最全面的版本，与 ISO C99 标准更加一致，并提供增强的规则结构、分类（强制、要求、建议）以及对安全和安全关键应用程序的支持。

• MISRA C:2012 修正案 1 和 2

• • 1修正案 与 CERT C 合作推出了额外的安全指南来解决漏洞。
  • 2修正案 增加了对 ISO/IEC 9899:2011 (C11) 的支持并澄清了现有规则。

这些改进使得 MISRA C 更加健壮并且适用于更广泛的 MISRA 软件用例。

各版本的主要变化和改进

• 引入建议性规则与强制性规则
• 增强对现代 C 标准（C99、C11）的支持
• 更加符合功能安全标准（例如 ISO 26262）
• 更加注重安全相关规则
• 结构化规则分类，提高可追溯性和合规性审计

每次更新都使指南更加灵活而精确，帮助开发人员遵循 MISRA 最佳实践，同时适应不断发展的技术。

为你的项目选择正确的版本

您采用的 MISRA C 版本应与您的版本一致：

• 行业要求（例如汽车行业的 ISO 26262、航空航天行业的 DO-178C）
• 工具链和编译器支持
• 团队专业知识和遗留代码限制
• 所需的安全与安保合规级别

对于大多数现代安全关键项目，MISRA C:2012 及其修订版是推荐的标准，因为它具有全面的范围并且与 MISRA 合规软件工具保持一致。

MISRA 合规性说明

对于开发安全关键且高完整性嵌入式系统的组织来说，实现 MISRA 合规性至关重要。它可确保代码遵循严格的 MISRA 准则，从而降低软件缺陷、未定义行为和安全漏洞的可能性。合规性通常是汽车、航空航天和医疗设备等行业的合同或监管要求。

MISRA 合规性意味着什么？

MISRA 合规性意味着该软件是根据适用的 MISRA C 规则和建议开发的。它涉及：

• 验证是否遵守所有编码规则
• 记录并证明任何违反规则的行为
• 保持代码和规则之间的可追溯性
• 使用 MISRA 合规软件和 MISRA 工具进行自动规则检查

合规性体现了对电机软件可靠性合规性的承诺，并有助于简化 ISO 26262 和 IEC 61508 等标准的审核。

合规级别：完全偏差、部分偏差和合理偏差

MISRA C 认识到，并非所有项目都能严格遵守所有规则。因此，合规性分为三个级别：

• 完全合规 – 严格遵守所有必需和强制规则。这对于受到严格监管的新的安全关键代码库来说是理想的选择。
• 部分合规 – 有些规则没有被遵守，但违规行为受到限制和控制，并且不会影响安全或质量。
• 合理偏差 – 当规则无法合理应用时，允许有偏差。但是，每次偏差必须：
  • 清晰记录
  • 技术上合理
  • 作为结构化合规流程的一部分进行审查和批准

许多 MISRA 解决方案提供自动化支持，以跟踪、记录和审查这些偏差，以确保透明的合规管理。

如何实现 MISRA 合规性

要实现 MISRA 合规性，需要采用规范的软件开发方法，并以标准化的工作流程、工具和持续验证为后盾。通过遵循 MISRA 最佳实践，团队可以显著降低软件风险，并确保在整个开发生命周期内符合 MISRA 指南。

编码和开发的最佳实践

为了有效地满足 MISRA C 标准，开发人员应：

• 根据相关 MISRA 版本，从明确定义的编码策略开始
• 对所有工程师进行 MISRA 指南和电机软件可靠性合规性要求的培训
• 建立需求、代码和合规性工件之间的可追溯性
• 采用模块化、可维护的编码模式，提高清晰度并减少规则违规

在软件开发生命周期的早期嵌入这些 MISRA 最佳实践可提高长期质量并最大限度地减少昂贵的返工。

代码审查和静态分析

手动代码审查和自动静态代码分析对于识别和解决规则违规至关重要。领先的 MISRA 工具支持：

• 通过静态分析引擎执行规则
• 开发过程中的实时反馈
• 自动识别潜在的安全漏洞和未定义的行为
• 标记违规行为并说明偏差跟踪的理由

将这些工具集成到您的工作流程中可以加速合规性并加强您的软件保证策略。

集成到 CI/CD 管道

现代开发团队应将 MISRA 合规性检查直接纳入其 CI/CD 管道，以确保持续验证和快速反馈。关键集成实践包括：

• 每次提交或拉取请求时自动执行 MISRA 静态分析
• 失败源于严重违规
• 生成合规性报告以供审计和追溯
• 使用支持 DevOps 工作流的 MISRA 合规性软件

这种方法可以促进主动合规，并降低不合规行为未被发现的风险。

认证工具和文档的作用

使用经过认证的 MISRA 工具（例如 TÜV 认证的静态分析仪）有助于确保受监管行业的可靠合规性。这些工具提供：

• 已验证 MISRA C 规则的实施情况
• 可靠的结果适合于安全关键型应用
• 内置支持记录合理偏差和合规状态

此外，维护完整的文档（包括规则依据、审查日志和可追溯性矩阵）对于通过审核和获得 MISRA 软件认证（如适用）至关重要。

MISRA 工具和软件解决方案

为了实现并保持 MISRA 合规性，组织需要依赖专门的 MISRA 工具、MISRA 软件和合规性解决方案来自动执行规则、跟踪偏差并简化文档。这些工具对于减少人工错误、确保始终遵守 MISRA 准则以及与安全和质量保证流程集成至关重要。

适用于 MISRA 合规性的最全面的平台之一是 Visure Requirements ALM 平台。

视觉要求 ALM 平台

Visure Solutions 提供专为安全关键和合规性驱动行业设计的一体化需求管理和 ALM 平台。该平台在整个开发生命周期内无缝支持 MISRA C 合规性。

Visure 的 MISRA 合规性关键功能

Visure 提供了针对 MISRA 软件开发量身定制的强大功能：

• 端到端可追溯性 – MISRA C 规则直接与需求、设计、代码、测试和验证活动相链接。
• 自动化合规管理 – 生成可供审计的合规报告并跟踪与 MISRA 指南的合理偏差。
• 与静态分析工具集成 – 将 Visure 与经过认证的 MISRA 工具（如 LDRA、Parasoft 或 Polyspace）连接起来，以进行自动规则检查和静态代码分析。
• 支持 ISO 26262、DO-178C 和 IEC 62304 – 内置模板和工作流程，使 MISRA 符合主要安全标准。
• 变革与风险管理 – 评估需求或代码变化对 MISRA 合规性的影响并实时追踪风险。
• 协作和版本控制 – 管理协作评审、评论和受控基线，以实现合规性可追溯性。

为什么选择 Visure？

Visure 凭借其全面、现代化的需求和合规性管理方法在领先的 MISRA 合规性软件解决方案中脱颖而出。主要优势包括：

• 人工智能集成以提高效率 – 利用自动需求生成、智能可追溯性建议和偏差管理等人工智能功能来加速 MISRA 合规任务并减少手动工作量。
• 全面覆盖需求生命周期 – 从需求引出到验证和确认，Visure 确保针对 MISRA 软件项目量身定制的端到端覆盖。
• 更快的合规速度 – 识别违反规则的行为并主动管理 MISRA 指南——最大限度地减少返工和审计准备时间。
• 可扩展且可定制的工作流程 – 调整 Visure 以适应您独特的流程、安全关键标准和 MISRA C 实施需求。
• 高投资回报率和无缝集成 – 轻松与流行的 MISRA 工具、静态分析器和 ALM 环境集成，同时保持集中的事实来源。

凭借先进的 AI 功能，Visure 不仅简化了 MISRA 最佳实践的实施，而且还提高了复杂开发项目的生产力、可追溯性和一致性。

常见的 MISRA C 规则类别

MISRA C 标准将其广泛的编码规则组织成明确定义的类别，以促进电机软件可靠性合规性。这些规则类别针对 C 编程语言的高风险领域，这些领域通常会导致未定义的行为、运行时错误和可维护性问题。了解这些规则组对于成功遵守 MISRA 法规和安全的嵌入式系统开发至关重要。

数据类型用法

数据类型使用不当是嵌入式 C 编程中常见的错误来源。MISRA C 指南强调：

• 避免隐式类型转换
• 防止作业期间丢失精度或数据
• 使用固定宽度类型实现可移植性和可预测性
• 消除数据表示中的实现定义的行为

强制执行数据类型规则可以提高代码的可靠性并使跨平台的行为更加可预测。

控制流

为了保持代码的可读性和可维护性，MISRA C 限制了复杂或模糊的控制流。这些规则包括：

• 限制使用 转到、递归和深度嵌套
• 要求明确定义所有路径（在 switch 语句中不能出现 fall-through）
• 确保可预测的执行顺序并避免未定义的分支行为

这些 MISRA 最佳实践减少了逻辑错误并增强了软件的可测试性和可维护性。

指针操作

指针是 C 语言中一个强大但容易出错的功能。MISRA 指南严格规范了指针的使用，以避免内存访问冲突：

• 除在有限的安全环境中外，不允许进行指针运算
• 限制使用 无、空指针和多级间接
• 防止越界访问和取消引用无效指针

控制指针的使用对于实现 MISRA C 合规性和防止关键运行时故障至关重要。

未定义和未指定的行为

MISRA C 旨在消除对未定义、未指定或实现定义的行为的依赖。示例包括：

• 将值移出类型宽度
• 在序列点之间多次修改变量
• 使用未初始化的变量
• 违反标准库行为

通过缓解此类行为，MISRA 软件变得更加健壮，并且能够在编译器和硬件平台上移植。

运行时失败

MISRA 合规性的核心目标是防止影响安全性和功能的运行时故障。该标准包括以下规则：

• 强制数组边界检查
• 防止除以零和其他算术异常
• 禁止危险的库函数（例如， 分配 在实时环境中）
• 要求检查返回值和系统调用

通过这些保障措施，MISRA C 支持汽车、航空航天和工业自动化等领域容错系统的开发。

MISRA 合规性认证与审计

实现并证明符合 MISRA 不仅是一种最佳实践，也是安全关键行业获得监管认可的关键一步。无论是通过内部审计还是第三方评估，正式确定 MISRA C 合规性都可以提高 MISRA 软件开发流程的透明度、可追溯性和可信度。

内部审计和第三方评估

为了确保与 MISRA 指南保持一致，组织通常会进行以下操作：

• 内部合规性审计，用于追踪规则违规、合理偏差和工具配置
• 同行评审以验证是否符合编码标准
• 由认可机构进行第三方评估，以证明符合 MISRA C 规则和相关安全标准

这些步骤对于在正式监管审查期间建立可辩护的案例以及证明主动的电机软件可靠性合规性至关重要。

认证如何提高产品可靠性和适销性

正式的 MISRA 认证（无论是通过内部质量保证还是外部验证）都具有切实的好处：

• 通过系统地减少未定义的行为和运行时故障来增强产品可靠性
• 市场营销能力更强，尤其是在汽车、医疗、航空航天和工业自动化等领域
• 通过符合国际安全标准（例如 ISO 26262、IEC 61508、IEC 62304）来加快获得监管批准
• 增强客户信心，特别是在使用第三方验证的 MISRA 工具和平台时

获得公认的 MISRA 合规性的组织更有能力满足行业需求并在全球范围内参与竞争。

监管相关性：ISO 26262、IEC 61508 等

许多安全关键法规和功能安全标准都要求或建议使用 MISRA 指南：

• ISO 26262： 道路车辆功能安全标准明确鼓励遵守 MISRA C
• IEC 61508： 电气/电子/可编程系统的通用标准也符合 MISRA 原则
• IEC 62304： 对于医疗设备软件，通常支持 MISRA C 的使用以最大限度地降低软件风险

使用像 Visure Requirements ALM 这样的 MISRA 合规软件平台可确保符合这些标准的可追溯性、文档和审计准备，从而支持更快的认证周期并降低合规风险。

结语

MISRA C 已成为开发安全、可靠 C 代码的全球标准，尤其是在汽车、航空航天、医疗设备和工业自动化等安全关键领域。通过遵守 MISRA 指南并利用现代 MISRA 工具，开发团队可以大幅减少软件缺陷、防止未定义行为并满足 ISO 26262 和 IEC 61508 等严格的监管标准。

实现 MISRA 合规性不仅仅是遵守规则，还意味着将质量和安全融入开发生命周期的每个阶段。从使用经过认证的 MISRA 合规性软件到集成静态分析和自动化可追溯性，组织可以简化合规性工作，同时提供强大的、可审计的系统。

无论您是开始合规之旅还是扩展现有流程，选择正确的解决方案都是关键。这就是 Visure Requirements ALM Platform 脱颖而出的地方——提供端到端覆盖、无缝工具集成和 AI 驱动的功能，以支持高效、经济高效的 MISRA 软件开发。

体验 Visure Requirements ALM 平台 14 天免费试用版 并了解如何简化您的 MISRA C 实施，同时确保完整的需求生命周期覆盖。