在 C99 中是否有符合 MISRA 的方法来使用枚举标志？

Question

我正在使用 C99 开发一个项目，我正在努力使其符合 MISRA 2012 标准。

在一个文件中，我定义了一个枚举，其中每个值都应被视为一个标志：

/**
 * Enumerates the configurable options for performing calibration.
 */
typedef enum
{
  CALIBRATION_DEFAULT_OPTIONS=0,  /**< Calibrate with default options */
  CALIBRATION_RESET_POSITION=1,   /**< Ensure window is fully open and motor re-homed */
  CALIBRATION_FORCE_RECALIBRATE=2 /**< Force recalibration even if calibration data exists */
} CALIBRATION_OPTIONS_T;

我希望能够声明如下内容：

CALIBRATION_OPTIONS_T options = CALIBRATION_RESET_POSITION | CALIBRATION_FORCE_RECALIBRATE;

我还定义了一个函数，它接受CALIBRATION_OPTIONS_T 参数并根据设置的标志执行不同的逻辑：

// If forced to recalibrate, do so regardless of whether metrics exist in
// EEPROM or not.
if ((options & CALIBRATION_FORCE_RECALIBRATE) != 0U)
{
  MOTION_ResetCalibrationData();
  calibration = performCalibrationRoutine();
}

// Otherwise try fetching existing metrics from EEPROM. If they exist, return
// these metrics.
else if (tryFetchStoredMetrics(&calibration))
{
  if ((options & CALIBRATION_RESET_POSITION) != 0U)
  {
    calibration.lastPosition = 0;
    resetMotorPosition();
    storeMetrics(calibration);
  }
}

但是，当我使用 PC-lint Plus 对项目进行 lint 时，我得到以下输出，说明此代码违反了 MISRA 2012 规则 10.1：

  if ((options & CALIBRATION_FORCE_RECALIBRATE) != 0U)
       ~~~~~~~ ^
*** LINT: src\c\motionCalibrator.c(645) note 9027: an enum value is not an appropriate left operand to & [MISRA 2012 Rule 10.1, required]

  if ((options & CALIBRATION_FORCE_RECALIBRATE) != 0U)
               ^ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
*** LINT: src\c\motionCalibrator.c(645) note 9027: an enum value is not an appropriate right operand to & [MISRA 2012 Rule 10.1, required]

  if ((options & CALIBRATION_FORCE_RECALIBRATE) != 0U)
       ^
*** LINT: src\c\motionCalibrator.c(645) warning 641: implicit conversion of enum 'CALIBRATION_OPTIONS_T' to integral type 'unsigned int'

    if ((options & CALIBRATION_RESET_POSITION) != 0U)
         ~~~~~~~ ^
*** LINT: src\c\motionCalibrator.c(655) note 9027: an enum value is not an appropriate left operand to & [MISRA 2012 Rule 10.1, required]

    if ((options & CALIBRATION_RESET_POSITION) != 0U)
                 ^ ~~~~~~~~~~~~~~~~~~~~~~~~~~
*** LINT: src\c\motionCalibrator.c(655) note 9027: an enum value is not an appropriate right operand to & [MISRA 2012 Rule 10.1, required]

    if ((options & CALIBRATION_RESET_POSITION) != 0U)
         ^
*** LINT: src\c\motionCalibrator.c(655) warning 641: implicit conversion of enum 'CALIBRATION_OPTIONS_T' to integral type 'unsigned int'

特别是，MISRA 2012 标准建议不要将& 与枚举一起使用，原因有两个：

5. 本质上为枚举类型的操作数不应用于 算术运算，因为枚举对象使用 实现定义的整数类型。涉及枚举的操作 因此，对象可能会产生具有意外类型的结果。注意 来自匿名枚举的枚举常量基本上已签名 输入。

6. 移位和按位运算只能对 本质上是无符号类型。使用它们产生的数值 基本上有符号的类型是实现定义的。

我想知道是否有一种符合 MISRA 的方式，我可以使用类似标志的枚举并测试是否设置了特定标志。

Answer 1

这归结为基本类型模型和规则 10.1。您只能对本质上无符号的类型进行按位运算。 MISRA-C 将枚举视为自己的唯一类型。

像CALIBRATION_OPTIONS_T options = CALIBRATION_RESET_POSITION | CALIBRATION_FORCE_RECALIBRATE; 这样的操作在其他方面很好而且非常规范 C，但是您必须求助于使用无符号常量。为了将类型安全发挥到极致，您可以这样做：

typedef uint32_t CALIBRATION_OPTIONS_T;
#define CALIBRATION_DEFAULT_OPTIONS   ((CALIBRATION_OPTIONS_T)0x00u) /**< Calibrate with default options */
#define CALIBRATION_RESET_POSITION    ((CALIBRATION_OPTIONS_T)0x01u) /**< Ensure window is fully open and motor re-homed */
#define CALIBRATION_FORCE_RECALIBRATE ((CALIBRATION_OPTIONS_T)0x02u) /**< Force recalibration even if calibration data exists */

十六进制表示法是自记录代码，表明这些是位掩码，在某些情况下 MISRA 需要 u 后缀，uint32_t 用于阻止潜在的隐式类型提升。

请注意，使用枚举不一定会提高类型安全性，而是相反。在许多情况下，它们被视为普通的int，在其他情况下，它们被视为实现定义的大小整数。 C 语言设计几乎破坏了它们的类型安全性。尽管您可以通过一些技巧使它们安全，但请参阅我在 How to create type safe enums? 的帖子。