3、标识符

a、变量的命名

方法一：采用匈牙利命名法。命名规则的主要思想是“在变量中加入前缀以增进人们对程序的理解”。

例如平时声明32位整型变量Length对应使用匈牙利命名法为unLength。现在列出经常用到的变量类型。

变量类型 示例

char cLength

unsigned char ucLength

short int sLength

unsigned short int usLength

int nLength

unsigned int unLength

char * szBuf

unsigned char * uszBuf

volatile unsigned char __ucLength

方法二：

Ø 局部变量以小写字母命名；

Ø 全局变量以首字母大写方式命名（骆驼式）；

Ø 定义类型和宏定义常数以大写字母命名；

Ø 变量的作用域越大，它的名字所带有的信息就应该越多。

Ø 局部变量： int student_age;

Ø 全局变量： int StudentAge;

Ø 宏定义常数：#define STUDENT_NUM 10

Ø 类型定义： typedef INT16S int;

（我个人喜欢第二种方法）

b、 变量命名要注意缩写而且让人简单易懂，若是特别缩写要详细说明。

经常用到的缩写如：

Count 可缩写为Cnt

Message 可缩写为Msg

Packet 可缩写为Pkt

Temp 可缩写为Tmp

平时不经常用到的缩写，要注释：

SerialCommunication 可缩写为SrlComm //串口通信变量

SerialCommunicationStatus 可缩写为SrlCommStat //串口通信状态变量

c、全局变量和全局函数的命名一定要详细，不惜多用几个单词，例如函数UARTPrintfStringForLCD，

因为它们在整个项目的许多源文件中都会用到，必须让使用者明确这个变量或函数是干什么用的。局部变量和只在一个源文件中调用的内部函数的命名可以。简略一些，但不能太短，不要使用单个字母做变量名，只有一个例外：用i、j 、k 做循环变量是可以的。

d、用于编译开关的文件头，必须加上当前文件名称，防止编译时产生冲突。

例如在UARTInterface.h 头文件中，必须加上以下内容

#ifndef __UARTINTERFACE_H__

#define __UARTINTERFACE_H__

extern void UARTPrintfString(CONST INT8* str);

extern void UARTSendNBytes(UINT8 *ucSendBytes,UINT8 ucLen);

…… //其他外部声明的代码

#endif

e、禁止用汉语拼音作为标识符名称，可读性极差。呵呵。

f、 建议名称间的区别要显而易见。使用标识符名称要注意的一个相关问题是发生在名称之间只有一个字符或少数字符不同的情况，特别是名称比较长时，当名称间的区别很容易被误读时问题就比较显著，比如1（数字1）和l（L 的小写）、0 和O、2 和Z、5 和S，或者n 和h。

4、表达式和基本语句

a、不要编写太复杂的复合表达式；

例如：

i = a >= b && c < d && c + f <= g + h; //复合表达式过于复杂

b、不要有多用途的复合表达式；

例如：

d = (a = b + c) + r ; //应拆分为两个语句：

a = b + c;

d = a + r;

c、如果代码行中的运算符比较多，用括号确定表达式的操作顺序，避免使用默认的优先级。

例如：

if(a | b && a & c) //不良的风格

if((a | b) && (a & c)) //良好的风格

注意:只需记住加减运算的优先级低于乘除运算，其它地方一律加上括号。

d、 if 语句

d.a 布尔变量与零值比较

不可将布尔变量直接与TRUE、FALSE 或者1、0 进行比较。

根据布尔类型的语义，零值为“假”（记为FALSE），任何非零值都是“真”（记为TRUE）。TRUE的值究竟是什么并没有统一的标准。例如Visual C++ 将TRUE 定义为1，而Visual Basic 则将TRUE 定义为-1。

例：假设布尔变量名字为flag，它与零值比较的标准if 语句如下：

if (flag) // 表示flag为真时满足条件

if (!flag) // 表示flag为假时满足条件

其它的用法都属于不良风格，例如：

if (flag == TRUE)

if (flag == 1 )

if (flag == FALSE)

if (flag == 0)

d.b 整型变量与零值比较

应当将整型变量用“==”或“！=”直接与0比较。

例：假设整型变量为value，它与零值比较的标准if 语句如下：

if (value == 0)

if (value != 0)

不可模仿布尔变量的风格而写成

if (value) // 会让人误解 value 是布尔变量

if (!value)

小技巧：想必大家都有过将赋值操作符“=”当作比较相等操作符“==”用过，这个错误比较的隐晦，不易排查，而且编译器从不把这类事情当作是程序员犯下的错。避免的方法有两种，一种是养成良好的编程习惯，在比较数值时小心翼翼的处理；另一种方法见下面给出的代码：

if (NULL = = p)

{

……

}

是不是觉得这种书写方式很古怪？不是程序写错了？

当然不是！

有经验的程序员为了防止将 if (p = = NULL) 误写成 if (p = NULL)，而有意把p 和NULL 颠倒。编译器认为 if (p = NULL) 是合法的，但是会指出 if (NULL = p)是错误的，因为NULL不能被赋值。所以，再次遇到判断整型变量是否与某个数相等时，请这样写吧：

if（2==flag）

{

……

}

d.c 浮点变量与零值比较

不可将浮点变量用“==”或“！=”与任何数字比较。

千万要留意，无论float 还是double 类型变量，都有精度限制。所以一定要避免将浮点变量用“==”或“！=”与数字比较，应该设法转化成“>=”或“<=”形式。

假设浮点变量的名字为x，应当将

if (x == 0.0) // 隐含错误的比较

转化为

if ((x>=-EPSINON) && (x<=EPSINON)) //EPSINON 是精度

5、杂项

a. 一些常量(如圆周率PI)或者常需要在调试时修改的参数最好用#define定义，但要注意宏定义只是简单的替换，因此有些括号不可少。

b. 不要轻易调用某些库函数，因为有些库函数代码很长(我是反对使用printf之类的库函数的，但是是一家之言，并不勉强各位)。

c. 对各运算符的优先级有所了解，记不得没关系，加括号就是，千万不要自作聪明说自己记得很牢。

d. 不管有没有无效分支，switch函数一定要defaut这个分支。一来让阅读者知道程序员并没有遗忘default,并且防止程序运行过程中出现的意外(健壮性)。

e. 函数的参数和返回值没有的话最好使用void。

f. 一些常数和表格之类的应该放到code中去以节省RAM。

g. 程序编完编译看有多少code多少data，注意不要使堆栈为难。

h. 减少函数本身或函数间的递归调用

i. 编写可重入函数时，若使用全局变量，则应通过关中断、信号量（即P、V操作）等手段对其加以保护。

j. 在多重循环中，应将最忙的循环放在最内层

k. 避免循环体内含判断语句，应将循环语句置于判断语句的代码块之中。

l. 系统运行之初，要初始化有关变量及运行环境，防止未经初始化的变量被引用。

m. 编写代码时要注意随时保存，并定期备份，防止由于断电、硬盘损坏等原因造成代码丢失。

1、前言

设备的可靠性涉及多个方面：稳定的硬件、优秀的软件架构、严格的测试以及市场和时间的检验等等。这里着重谈一下作者自己对嵌入式软件可靠性设计的一些理解，通过一定的技巧和方法提高软件可靠性。这里所说的嵌入式设备，是指使用单片机、ARM7、Cortex-M0，M3之类为核心的测控或工控系统。

嵌入式软件可靠性设计应该从防错、判错和容错三方面进行考虑。 此外，还需理解自己所使用的编译器特性。

2、防错

良好的软件架构、清晰的代码结构、掌握硬件、深入理解C语言是防错的要点，这里只谈一下C语言。

“人的思维和经验积累对软件可靠性有很大影响"。C语言诡异且有种种陷阱和缺陷，需要程序员多年历练才能达到较为完善的地步。“软件的质量是由程序员的质量以及他们相互之间的协作决定的”。因此，作者认为防错的重点是要考虑人的因素。

“深入一门语言编程，不要浮于表面”。软件的可靠性，与你理解的语言深度密切相关，嵌入式C更是如此。除了语言，作者认为嵌入式开发还必须深入理解编译器。

本节将对C语言的陷阱和缺陷做初步探讨。

2.1 处处皆陷阱

最初开始编程时，除了英文标点被误写成中文标点外，可能被大家普遍遇到的是将比较运算符==误写成赋值运算符=，代码如下所示：

if(x=5) { … }

这里本意是比较变量x是否等于常量5，但是误将’==’写成了’=’，if语句恒为真。如果在逻辑判断表达式中出现赋值运算符，现在的大多数编译器会给出警告信息。并非所有程序员都会注意到这类警告，因此有经验的程序员使用下面的代码来避免此类错误：

if(5==x) { … }

将常量放在变量x的左边，即使程序员误将’==’写成了’=’，编译器会产生一个任谁也不能无视的语法错误信息：不可给常量赋值！

+=与=+、-=与=-也是容易写混的。复合赋值运算符（+=、*=等等）虽然可以使表达式更加简洁并有可能产生更高效的机器代码，但某些复合赋值运算符也会给程序带来隐含Bug，如下所示代码：

tmp=+1;

该代码本意是想表达tmp=tmp+1，但是将复合赋值运算符+=误写成=+：将正整数常量1赋值给变量tmp。编译器会欣然接受这类代码，连警告都不会产生。

如果你能在调试阶段就发现这个Bug，你真应该庆祝一下，否则这很可能会成为一个重大隐含Bug，且不易被察觉。

-=与=-也是同样道理。与之类似的还有逻辑与&&和位与&、逻辑或||和位或|、逻辑非！和位取反~。此外字母l和数字1、字母O和数字0也易混淆，这种情况可借助编译器来纠正。

很多的软件BUG自于输入错误。在Google上搜索的时候，有些结果列表项中带有一条警告，表明Google认为它带有恶意代码。如果你在2009年1月31日一大早使用Google搜索的话，你就会看到，在那天早晨55分钟的时间内，Google的搜索结果标明每个站点对你的PC都是有害的。这涉及到整个Internet上的所有站点，包括Google自己的所有站点和服务。Google的恶意软件检测功能通过在一个已知攻击者的列表上查找站点，从而识别出危险站点。在1月31日早晨，对这个列表的更新意外地包含了一条斜杠(“/”)。所有的URL都包含一条斜杠，并且，反恶意软件功能把这条斜杠理解为所有的URL都是可疑的，因此，它愉快地对搜索结果中的每个站点都添加一条警告。很少见到如此简单的一个输入错误带来的结果如此奇怪且影响如此广泛，但程序就是这样，容不得一丝疏忽。

数组常常也是引起程序不稳定的重要因素，C语言数组的迷惑性与数组下标从0开始密不可分，你可以定义int a[30]，但是你绝不可以使用数组元素a[30]，除非你自己明确知道在做什么。

switch…case语句可以很方便的实现多分支结构，但要注意在合适的位置添加break关键字。程序员往往容易漏加break从而引起顺序执行多个case语句，这也许是C的一个缺陷之处。对于switch…case语句，从概率论上说，绝大多数程序一次只需执行一个匹配的case语句，而每一个这样的case语句后都必须跟一个break。去复杂化大概率事件，这多少有些不合常情。

break关键字用于跳出最近的那层循环语句或者switch语句，但程序员往往不够重视这一点。

1990年1月15日，AT&T电话网络位于纽约的一台交换机当机并且重启，引起它邻近交换机瘫痪，由此及彼，一个连着一个，很快，114台交换机每六秒当机重启一次，六万人九小时内不能打长途电话。当时的解决方式：工程师重装了以前的软件版本。事后的事故调查发现，这是break关键字误用造成的。《C专家编程》提供了一个简化版的问题源码：

network code()
{
switch(line) {
case THING1:
doit1();
break;
case THING2:
if(x==STUFF) {
do_first_stuff();
if(y==OTHER_STUFF)
break;
do_later_stuff();
} /*代码的意图是跳转到这里… …*/
initialize_modes_pointer();
break;
default:
processing();
}/*… …但事实上跳到了这里。*/
use_modes_pointer();/*致使modes_pointer未初始化*/
}

那个程序员希望从if语句跳出，但他却忘记了break关键字实际上跳出最近的那层循环语句或者switch语句。现在它跳出了switch语句，执行了use_modes_pointer()函数。但必要的初始化工作并未完成，为将来程序的失败埋下了伏笔。

将一个整形常量赋值给变量，代码如下所示：

int a=34, b=034;

变量a和b相等吗？答案是不相等的。我们知道，16进制常量以’0x’为前缀，10进制常量不需要前缀，那么8进制呢？它与10进制和16进制表示方法都不相通，它以数字’0’为前缀，这多少有点奇葩：三种进制的表示方法完全不相通。如果8进制也像16进制那样以数字和字母表示前缀的话，或许更有利于减少软件Bug，毕竟你使用8进制的次数可能都不会有误使用的次数多！下面展示一个误用8进制的例子，最后一个数组元素赋值错误：

a[0]=106; /*十进制数106*/
a[1]=112; /*十进制数112*/
a[2]=052; /*实际为十进制数42，本意为十进制52*/

指针的加减运算是特殊的。下面的代码运行在32位ARM架构上，执行之后，a和p的值分别是多少？

int a=1;
int *p=(int*)0x00001000;
a=a+1;
p=p+1;

对于a的值很容判断出结果为2，但是p的结果却是0x00001004。指针p加1后，p的值增加了4，这是为什么呢？原因是指针做加减运算时是以指针的数据类型为单位。p+1实际上是p+1*sizeof(int)。不理解这一点，在使用指针直接操作数据时极易犯错。比如下面对连续RAM初始化零操作代码:

unsigned int *pRAMaddr; //定义地址指针变量
for(pRAMaddr=StartAddr;pRAMaddr {
*pRAMaddr=0x00000000; //指定RAM地址清零
}

由于pRAMaddr是一个指针变量,所以pRAMaddr+=4代码其实使pRAMaddr偏移了4*sizeof(int)=16个字节，所以每执行一次for循环，会使变量pRAMaddr偏移16个字节空间，但只有4字节空间被初始化为零。其它的12字节数据的内容，在大多数架构处理器中都会是随机数。

对于sizeof()，这里强调两点，第一它是一个关键字，而不是函数，并且它默认返回无符号整形数据（要记住是无符号）；第二，使用sizeof获取数组长度时，不要对指针应用sizeof操作符，比如下面的例子：

void ClearRAM(char array[])
{
int i ;
for(i=0;i {
array[i]=0x00;
}
}

int main(void)
{
char Fle[20];

ClearRAM(Fle); //只能清除数组Fle中的前四个元素
}

我们知道，对于一个数组array[20]，我们使用代码sizeof(array)/sizeof(array[0])可以获得数组的元素（这里为20），但数组名和指针往往是容易混淆的，而且有且只有一种情况下是可以当做指针的，那就是数组名作为函数形参时，数组名被认为是指针。同时，它不能再兼任数组名。注意只有这种情况下，数组名才可以当做指针，但不幸的是这种情况下容易引发风险。在ClearRAM函数内，作为形参的array[]不再是数组名了，而成了指针。sizeof(array)相当于求指针变量占用的字节数，在32位系统下，该值为4，sizeof(array)/sizeof(array[0])的运算结果也为4。所以在main函数中调用ClearRAM(Fle)，也只能清除数组Fle中的前四个元素了。

增量运算符++和减量运算符--既可以做前缀也可以做后缀。前缀和后缀的区别在于值的增加或减少这一动作发生的时间是不同的。作为前缀是先自加或自减然后做别的运算，作为后缀时，是先做运算，之后再自加或自减。许多程序员对此认识不够，就容易埋下隐患。下面的例子可以很好的解释前缀和后缀的区别。

int a=8,b=2,y;
y=a+++--b;

代码执行后，y的值是多少？

这个例子并非是挖空心思设计出来专门让你绞尽脑汁的C难题（如果你觉得自己对C细节掌握很有信心，做一些C难题检验一下是个不错的选择。那么，《The C Puzzle Book》这本书一定不要错过。），你甚至可以将这个难懂的语句作为不友好代码的反面例子。但是它也可以让你更好的理解C语言。根据运算符优先级以及编译器识别字符的贪心法原则，代码y=a+++--b;可以写成更明确的形式：

y=(a++)+(--b);

当赋值给变量y时，a的值为8，b的值为1,所以变量y的值为9；赋值完成后，变量a自加，a的值变为9，千万不要以为y的值为10。这条赋值语句相当于下面的两条语句：

y=a+(--b);
a=a+1;

2.2 玩具般的编译器语义检查

为了更简单的设计编译器，目前几乎所有编译器的语义检查都比较弱小，加之为了获得更快的执行效率，C语言被设计的足够灵活且几乎不进行任何运行时检查，比如数组越界、指针是否合法、运算结果是否溢出等等。

C语言足够灵活，对于一个数组a[30]，它允许使用像a[-1]这样的形式来快速获取数组首元素所在地址前面的数据；允许将一个常数强制转换为函数指针，使用代码(*((void(*)())0))()来调用位于0地址的函数。C语言给了程序员足够的自由，但也由程序员承担滥用自由带来的责任。下面的两个例子都是死循环，如果在不常用分支中出现类似代码，将会造成看似莫名其妙的死机或者重启。

a. unsigned char i； b. unsigned chari;

for(i=0;i<256;i++) {… } for(i=10;i>=0;i--) { … }

对于无符号char类型，表示的范围为0~255，所以无符号char类型变量i永远小于256（第一个for循环无限执行），永远大于等于0（第二个for循环无线执行）。需要说明的是，赋值代码i=256是被C语言允许的，即使这个初值已经超出了变量i可以表示的范围。C语言会千方百计的为程序员创造出错的机会，可见一斑。

假如你在if语句后误加了一个分号改变了程序逻辑，编译器也会很配合的帮忙掩盖，甚至连警告都不提示。代码如下：

if(a>b); //这里误加了一个分号
a=b; //这句代码一直被执行

不但如此，编译器还会忽略掉多余的空格符和换行符，就像下面的代码也不会给出足够提示：

if(n<3)
return //这里少加了一个分号
logrec.data=x[0];
logrec.time=x[1];
logrec.code=x[2];

这段代码的本意是n<3时程序直接返回，由于程序员的失误，return少了一个结束分号。编译器将它翻译成返回表达式logrec.data=x[0]的结果，return后面即使是一个表达式也是C语言允许的。这样当n>=3时，表达式logrec.data=x[0];就不会被执行，给程序埋下了隐患。

可以毫不客气的说，弱小的编译器语义检查在很大程度上纵容了不可靠代码可以肆无忌惮的存在。

上文曾提到数组常常是引起程序不稳定的重要因素，程序员往往不经意间就会写数组越界。一位同事的代码在硬件上运行，一段时间后就会发现LCD显示屏上的一个数字不正常的被改变。经过一段时间的调试，问题被定位到下面的一段代码中：

int SensorData[30];
…for(i=30;i>0;i--)
{
SensorData[i]=…;
…
}

这里声明了拥有30个元素的数组，不幸的是for循环代码中误用了本不存在的数组元素SensorData[30]，但C语言却默许这么使用，并欣然的按照代码改变了数组元素SensorData[30]所在位置的值， SensorData[30]所在的位置原本是一个LCD显示变量，这正是显示屏上的那个值不正常被改变的原因。真庆幸这么轻而易举的发现了这个Bug。

其实很多编译器会对上述代码产生一个警告：赋值超出数组界限。但并非所有程序员都对编译器警告保持足够敏感，况且，编译器也并不能检查出数组越界的所有情况。举一个例子，你在模块A中定义数组：

int SensorData[30];

在模块B中引用该数组，但由于你引用代码并不规范，这里没有显示声明数组大小，但编译器也允许这么做：

extern int SensorData[];

如果在模块B中存在和上面一样的代码：

for(i=30;i>0;i--)
{
SensorData[i]=…;
…
}

这次，编译器不会给出警告信息，因为编译器压根就不知道数组的元素个数。所以，当一个数组声明为具有外部链接，它的大小应该显式声明。

再举一个编译器检查不出数组越界的例子。函数func()的形参是一个数组形式，函数代码简化如下所示：

char * func(char SensorData[30])
{
unsignedint i；
for(i=30;i>0;i--)
{
SensorData[i]=…;
…
}
}

这个给SensorData[30]赋初值的语句，编译器也是不给任何警告的。实际上，编译器是将数组名Sensor隐含的转化为指向数组第一个元素的指针，函数体是使用指针的形式来访问数组的，它当然也不会知道数组元素的个数了。造成这种局面的原因之一是C编译器的作者们认为指针代替数组可以提高程序效率，而且，还可以简化编译器的复杂度。

指针和数组是容易给程序造成混乱的，我们有必要仔细的区分它们的不同。其实换一个角度想想，它们也是容易区分的：可以将数组名等同于指针的情况有且只有一处，就是上面例子提到的数组作为函数形参时。其它时候，数组名是数组名，指针是指针。

下面的例子编译器同样检查不出数组越界。

我们常常用数组来缓存通讯中的一帧数据。在通讯中断中将接收的数据保存到数组中，直到一帧数据完全接收后再进行处理。即使定义的数组长度足够长，接收数据的过程中也可能发生数组越界，特别是干扰严重时。这是由于外界的干扰破坏了数据帧的某些位，对一帧的数据长度判断错误，接收的数据超出数组范围，多余的数据改写与数组相邻的变量，造成系统崩溃。由于中断事件的异步性，这类数组越界编译器无法检查到。

如果局部数组越界，可能引发ARM架构硬件异常。同事的一个设备用于接收无线传感器的数据，一次软件升级后，发现接收设备工作一段时间后会死机。调试表明ARM7处理器发生了硬件异常，异常处理代码是一段死循环（死机的直接原因）。接收设备有一个硬件模块用于接收无线传感器的整包数据并存在自己的硬件缓冲区中，当一帧数据接收完成后，使用外部中断通知设备取数据，外部中断服务程序精简后如下所示：

__irq ExintHandler(void)
{
unsignedchar DataBuf[50];
GetData(DataBug); //从硬件缓冲区取一帧数据
…
}

由于存在多个无线传感器近乎同时发送数据的可能加之GetData()函数保护力度不够，数组DataBuf在取数据过程中发生越界。由于数组DataBuf为局部变量，被分配在堆栈中，同在此堆栈中的还有中断发生时的运行环境以及中断返回地址。溢出的数据将这些数据破坏掉，中断返回时PC指针可能变成一个不合法值，硬件异常由此产生。

如果我们精心设计溢出部分的数据，化数据为指令，就可以利用数组越界来修改PC指针的值，使之指向我们希望执行的代码。1988年，第一个网络蠕虫在一天之内感染了2000到6000台计算机，这个蠕虫程序利用的正是一个标准输入库函数的数组越界Bug。起因是一个标准输入输出库函数gets()，原来设计为从数据流中获取一段文本，遗憾的是，gets()函数没有规定输入文本的长度。gets()函数内部定义了一个500字节的数组，攻击者发送了大于500字节的数据，利用溢出的数据修改了堆栈中的PC指针，从而获取了系统权限。

一个程序模块通常由两个文件组成，源文件和头文件。如果你在源文件定义变量：

unsigned int a;

并在头文件中声明该变量：extern unsigned long a;

编译器会提示一个语法错误：变量’a’声明类型不一致。但如果你在源文件定义变量：

volatile unsigned int a，

在头文件中声明变量：extern unsigned int a; /*缺少volatile限定符*/

编译器却不会给出错误信息（有些编译器仅给出一条警告）。这里volatile属于类型限定符，另一个常见的类型限定符是const关键字。限定符volatile在嵌入式软件中至关重要，用来告诉编译器不要优化它修饰的变量。这里举一个刻意构造出的例子，因为现实中的volatile使用Bug大都隐含且难以理解。

在模块A的源文件中，定义变量：

volatile unsigned int TimerCount=0;

该变量用来在一个定时器服务程序中进行软件计时：

TimerCount++; //读取IO端口1的值

在模块A的头文件中，声明变量：

extern unsigned int TimerCount; //这里漏掉了类型限定符volatile

在模块B中，要使用TimerCount变量进行精确的软件延时：

#include “...A.h” //首先包含模块A的头文件
…
TimerCount=0;
while(TimerCount>=TIMER_VALUE); //延时一段时间
…

实际上，这是一个死循环。由于模块A头文件中声明变量TimerCount时漏掉了volatile限定符，在模块B中，变量TimerCount是被当作unsigned int类型变量。由于寄存器速度远快于RAM，编译器在使用非volatile限定变量时是先将变量从RAM中拷贝到寄存器中，如果同一个代码块再次用到该变量，就不再从RAM中拷贝数据而是直接使用之前寄存器备份值。代码while(TimerCount>=TIMER_VALUE)中，变量TimerCount仅第一次执行时被使用，之后都是使用的寄存器备份值，而这个寄存器值一直为0，所以程序无限循环。下面的流程图说明了程序使用限定符volatile和不使用volatile的执行过程。

ARM架构下的编译器会频繁的使用堆栈，堆栈用于存储函数的返回值、AAPCS规定的必须保护的寄存器以及局部变量，包括局部数组、结构体、联合体和C++的类。从堆栈中分配的局部变量的初值是不确定的，因此需要运行时显式初始化该变量。一旦离开局部变量的作用域，这个变量立即被释放，其它代码也就可以使用它，因此堆栈中的一个内存位置可能对应整个程序的多个变量。

局部变量必须显式初始化，除非你确定知道你要做什么。下面的代码得到的温度值跟预期会有很大差别，因为在使用局部变量sum时，并不能保证它的初值为0。编译器会在第一次运行时清零堆栈区域，这加重了此类Bug的隐蔽性。

unsigned intGetTempValue(void)
{
unsigned int sum; //定义局部变量，保存总值
for(i=0;i<10;i++)
{
sum+=CollectTemp(); //函数CollectTemp可以得到当前的温度值
}
return (sum/10);
}

由于一旦程序离开局部变量的作用域即被释放，所以下面代码返回指向局部变量的指针是没有实际意义的，该指针指向的区域可能会被其它程序使用，其值会被改变。

char * GetData(void)
{
char buffer[100]; //局部数组
…
return buffer;
}

让人欣慰的是，现在越来越多的编译器意识到了语义检查的重要性，编译器的语义检查也越来越强大，比如著名的Keil MDK编译器在其 V4.47或以上版本中增加了动态语法检查并加强了语义检查，可以友好的提示更多警告信息。

2.3 不合理的优先级

C语言有32个关键字，却有34个运算符。要记住所有运算符的优先级是困难的。不合理的#define会加重优先级问题，让问题变得更加隐蔽。

#define READSDA IO0PIN&(1<<11) //定义宏，读IO口p0.11的端口状态
//判断端口p0.11是否为高电平
if(READSDA==(1<<11))
{
…
}

编译器在编译后将宏带入,原if语句变为:

if(IO0PIN&(1<<11) ==(1<<11))
{
…
}

运算符'=='的优先级是大于'&'的，代码IO0PIN&(1<<11) ==(1<<11))等效为IO0PIN&0x00000001：判断端口P0.0是否为高电平，这与原意相差甚远。

为了制造更多的软件Bug，C语言的运算符当然不会只止步于数目繁多。在此基础上，按照常规方式使用时，可能引起误会的运算符更是比比皆是！如下表所示：

2.4 隐式转换和强制转换

这又是C语言的一大诡异之处，它造成的危害程度与数组和指针有的一拼。语句或表达式通常应该只使用一种类型的变量和常量。然而，如果你混合使用类型，C使用一个规则集合来自动完成类型转换。这可能很方便，但也很危险。

a.当出现在表达式里时，有符号和无符号的char和short类型都将自动被转换为int类型，在需要的情况下，将自动被转换为unsigned int（在short和int具有相同大小时）。这称为类型提升。提升在算数运算中通常不会有什么大的坏处，但如果位运算符 ~ 和 << 应用在基本类型为unsigned char或unsigned short 的操作数，结果应该立即强制转换为unsigned char或者unsigned short类型（取决于操作时使用的类型）。

uint8_t port =0x5aU;
uint8_t result_8;
result_8= (~port) >> 4;

假如我们不了解表达式里的类型提升，认为在运算过程中变量port一直是unsigned char类型的。我们来看一下运算过程：~port结果为0xa5，0xa5>>4结果为0x0a，这是我们期望的值。但实际上，result_8的结果却是0xfa！在ARM结构下，int类型为32位。变量port在运算前被提升为int类型：~port结果为0xffffffa5，0xa5>>4结果为0x0ffffffa，赋值给变量result_8，发生类型截断（这也是隐式的！），result_8=0xfa。经过这么诡异的隐式转换，结果跟我们期望的值，已经大相径庭！正确的表达式语句应该为：

result_8=(unsigned char) (~port) >> 4; /*强制转换*/

b.在包含两种数据类型的任何运算里，两个值都会被转换成两种类型里较高的级别。类型级别从高到低的顺序是long double、double、float、unsigned long long、long long、unsigned long、long、unsigned int、int。这种类型提升通常都是件好事，但往往有很多程序员不能真正理解这句话，从而做一些想当然的事情，比如下面的例子，int类型表示16位。

uint16_t u16a = 40000; /* 16位无符号变量*/
uint16_t u16b= 30000; /*16位无符号变量*/
uint32_t u32x; /*32位无符号变量 */
uint32_t u32y;
u32x = u16a +u16b; /* u32x = 70000还是4464 ? */
u32y =(uint32_t)(u16a + u16b); /* u32y = 70000 还是4464 ? */

u32x和u32y的结果都是4464（70000%65536）！不要认为表达式中有一个高类别uint32_t类型变量，编译器都会帮你把所有其他低类别都提升到uint32_t类型。正确的书写方式：

u32x = (uint32_t)u16a +(uint32_t)u16b;或者：
u32x = (uint32_t)u16a + u16b;

后一种写法在本表达式中是正确的，但是在其它表达式中不一定正确，比如：

uint16_t u16a,u16b,u16c;
uint32_t u32x;
u32x= u16a + u16b + (uint32_t)u16c;/*错误写法，u16a+ u16b仍可能溢出*/

c.在赋值语句里，计算的最后结果被转换成将要被赋予值得那个变量的类型。这一过程可能导致类型提升也可能导致类型降级。降级可能会导致问题。比如将运算结果为321的值赋值给8位char类型变量。程序必须对运算时的数据溢出做合理的处理。

很多其他语言，像Pascal语言（好笑的是C语言设计者之一曾撰文狠狠批评过Pascal语言），都不允许混合使用类型，但C语言不会限制你的自由，即便这经常引起Bug。

d.当作为函数的参数被传递时，char和short会被转换为int，float会被转换为double。

e.C语言支持强制类型转换，如果你必须要进行强制类型转换时，要确保你对类型转换有足够了解：

并非所有强制类型转换都是由风险的，把一个整数值转换为一种具有相同符号的更宽类型时，是绝对安全的。
精度高的类型强制转换为精度低的类型时，通过丢弃适当数量的最高有效位来获取结果，也就是说会发生数据截断，并且可能改变数据的符号位。

精度低的类型强制转换为精度高的类型时，如果两种类型具有相同的符号，那么没什么问题；需要注意的是负的有符号精度低类型强制转换为无符号精度高类型时，会不直观的执行符号扩展，例如：

unsigned int bob;
signed char fred = -1;

bob=(unsigned int )fred; /*发生符号扩展，此时bob为0xFFFFFFFF*/

一些编程建议：

3、判错

工欲善其事必先利其器。判错的最终目的是用来暴露设计中的Bug并加以改正，所以将错误信息提供给编程者是必要的。有时候需要将故障信息储存于非易失性存储器中，便于查看。这里以使用串口打印错误信息到PC显示屏为例，来说明一般需要显示什么信息。

编写或移植一个类似C标准库中的printf函数，可以格式化打印字符、字符串、十进制整数、十六进制整数。这里称为UARTprintf（）。

unsigned int WriteData(unsigned int addr)
{
if((addr>= BASE_ADDR)&&(addr<=END_ADDR)) {
…/*地址合法,进行处理*/
} else { /*地址错误，打印错误信息*/
UARTprintf ("文件%s的第 %d 行写数据时发生地址错误,错误地址为:0x%x\n",__FILE__,__LINE__,addr);
…/*错误处理代码*/
}

假设UARTprintf()函数位于main.c模块的第256行，并且WriteData()函数在读数据时传递了错误地址0x00000011，则会执行UARTprintf()函数，打印如下所示的信息：

文件main.c的第256行写数据时发生地址错误，错误地址为：0x00000011。

类似这样的信息会有助于程序员定位分析错误产生的根源，更快的消除Bug。

3.1 具有形参的函数，需判断传递来的实参是否合法。

程序员可能无意识的传递了错误参数；外界的强干扰可能将传递的参数修改掉，或者使用随机参数意外的调用函数，因此在执行函数主体前，需要先确定实参是否合法。

int exam_fun( unsigned char *str )
{
if( str != NULL ){ // 检查“假设指针不为空”这个条件

... //正常处理代码
} else {
UARTprintf(…); // 打印错误信息
…//处理错误代码
}
}

3.2 仔细检查函数的返回值

对函数返回的错误码，要进行全面仔细处理，必要时做错误记录。

char *DoSomething(…)
{
char * p;
p=malloc(1024);
if(p==NULL) { /*对函数返回值作出判断*/
UARTprintf(…); /*打印错误信息*/
return NULL;
}
retuen p;
}

3.3 防止指针越界

如果动态计算一个地址时，要保证被计算的地址是合理的并指向某个有意义的地方。特别对于指向一个结构或数组的内部的指针，当指针增加或者改变后仍然指向同一个结构或数组。

3.4 防止数组越界

数组越界的问题前文已经讲述的很多了，由于C不会对数组进行有效的检测，因此必须在应用中显式的检测数组越界问题。下面的例子可用于中断接收通讯数据。

#define REC_BUF_LEN 100
unsigned char RecBuf[REC_BUF_LEN];
… //其它代码
void Uart_IRQHandler(void)
{
static RecCount=0; //接收数据长度计数器
… //其它代码
if(RecCount< REC_BUF_LEN){
RecBuf[RecCount]=…; //从硬件取数据
RecCount++;
… //其它代码
} else {
UARTprintf(…); //打印错误信息
… //其它错误处理代码
}
…
}

在使用一些库函数时，同样需要对边界进行检查：

#define REC_BUF_LEN 100
unsigned char RecBuf[REC_BUF_LEN];

if(len< REC_BUF_LEN){
memset(RecBuf,0,len); //将数组RecBuf清零
} else {
//处理错误
}

3.5 数学算数运算

3.5.1 有符号整数除法，仅检测除数为零就够了吗?

两个整数相除，除了要检测除数是否为零外，还要检测除法是否溢出。对于一个signed long类型变量，它能表示的数值范围为：-2147483648 ~ +2147483647，如果让-2147483648 / -1，那么结果应该是+ 2147483648，但是这个结果已经超出了signed long所能表示的范围了。

#include
signed long sl1,sl2,result;
/*初始化sl1和sl2*/
if((sl2==0)||((sl1==LONG_MIN) && (sl2==-1))){
//处理错误
} else {
result = sl1 / sl2;
}

3.5.2 加法溢出检测

a）无符号加法

#include
unsigned int a,b,result;
/*初始化a，b*/
if(UINT_MAX-a //处理溢出
} else {
result=a+b;
}

b）有符号加法

#include
signed int a,b,result;
/*初始化a，b */
if((a>0 && INT_MAX-ab)){
//处理溢出
} else {
result=a+b;
}

3.5.3 乘法溢出检测

a）无符号乘法

#include
unsigned int a,b,result;
/*初始化a，b*/
if((a!=0) && (UINT_MAX/a //
} else {
result=a*b;
}

b）有符号乘法

#include
signed int a,b,tmp,result;
/*初始化a，b*/
tmp=a * b;
if(a!=0 && tmp/a!=b){
//
} else {
result=tmp;
}

3.6 其它可能出现运行时错误的地方

运行时错误检查是C 程序员需要加以特别的注意的，这是因为C语言在提供任何运行时检测方面能力较弱。对于要求可靠性较高的软件来说，动态检测是必需的。因此C 程序员需要谨慎考虑的问题是，在任何可能出现运行时错误的地方增加代码的动态检测。大多数的动态检测与应用紧密相关，在程序设计过程中要根据系统需求设置动态代码检测。

4、容错

1980年，美苏尚处于冷战阶段。这年，北美防空联合司令部曾报告称美国遭受导弹袭击。后来证实，这是反馈系统电路故障问题，但反馈系统软件没有考虑故障问题引发的误报。

4.1 关键数据多区备份，取数据采用“表决法”

RAM中的数据在受到干扰情况下有可能被改变，对于系统关键数据必须进行保护。关键数据包括全局变量、静态变量以及需要保护的数据区域。数据备份与原数据不应该处于相邻位置，因此不应由编译器默认分配备份数据位置，而应该由程序员指定区域存储。可以将RAM分为3个区域，第一个区域保存原码，第二个区域保存反码，第三个区域保存异或码，区域之间预留一定量的“空白”RAM作为隔离。可以使用编译器的“分散加载”机制将变量分别存储在这些区域。需要进行读取时，同时读出3份数据并进行表决，取至少有两个相同的那个值。

4.2 非易失性存储器的数据存储

非易失性存储器包括但不限于Flash、EEPROM、铁电。仅仅将写入非易失性存储器中的数据再读出校验是不够的。强干扰情况下可能导致非易失性存储器内的数据错误，在写非易失性存储器的期间系统掉电将导致数据丢失，因干扰导致程序跑飞到写非易失性存储器函数中，将导致数据存储紊乱。一种可靠的办法是将非易失性存储器分成多个区，每个数据都将按照不同的形式写入到这些分区中，需要进行读取时，同时读出多份数据并进行表决，取相同数目较多的那个值。

对于因干扰导致程序跑飞到写非易失性存储器函数，还应该配合软件锁以及严格的入口检验，单单依靠写数据到多个区是不够的也是不明智的，应该在源头进行阻截。

4.3 软件锁

软件锁可以实现但不局限于环环相扣。对于初始化序列或者有一定先后顺序的函数调用，为了保证调用顺序或者确保每个函数都被调用，我们可以使用环环相扣，实质上这也是一种软件锁。此外对于一些安全关键代码语句（是语句，而不是函数），可以给它们设置软件锁，只有持有特定钥匙的，才可以访问这些关键代码。比如，向Flash写一个数据，我们会判断数据是否合法、写入的地址是否合法，计算要写入的扇区。之后调用写Flash子程序，在这个子程序中，判断扇区地址是否合法、数据长度是否合法，之后就要将数据写入Flash。由于写Flash语句是安全关键代码，所以程序给这些语句上锁：必须具有正确的钥匙才可以写Flash。这样即使是程序跑飞到写Flash子程序，也能大大降低误写的风险。

4.4 通信数据的检错

通讯线上的数据误码相对严重，通讯线越长，所处的环境越恶劣，误码会越严重。通讯数据除了传统的硬件奇偶校验外，还应该增加软件CRC校验。超过16字节的数据应至少使用CRC16。在通讯过程中，如果检测到发生了数据错误，则要求重新发送当前帧数据。

4.5 开关量输入的检测、确认

开关量容易受到尖脉冲干扰，如果不进行滤除，可能会造成误动作。一般情况下，需要对开关量输入信号进行多次采样，并进行逻辑判断直到确认信号无误为止。多次采样之间需要有一定时间间隔，具体跟开关量的最大切换频率有关，一般不小于1ms。

4.6 开关量输出

开关信号简单的一次输出是不安全的，干扰信号可能会翻转开关量输出的状态。采取重复刷新输出可以有效防止电平的翻转。

4.7 初始化信息的保存与恢复

微处理器的寄存器值也可能会因外界干扰而改变，外设初始化值需要在寄存器中长期保存，最容易被破坏。由于Flash中的数据相对不易被破坏，可以将初始化信息预先写入Flash，待程序空闲时比较与初始化相关的寄存器值是否被更改，如果发现非法更改则使用Flash中的值进行恢复。

4.8 陷阱

对于8051内核单片机，由于没有相应的硬件支持，可以用纯软件设置软件陷阱，用来拦截一些程序跑飞。对于ARM7或者Cortex-M系列单片机，硬件已经内建了多种异常，软件需要根据硬件异常来编写陷阱程序，用来快速定位甚至恢复错误。

4.9 while循环

有时候程序员会使用while(!flag);语句来等待标志flag改变，比如串口发送时用来等待一字节数据发送完成。这样的代码时存在风险的，如果因为某些原因标志位一直不改变则会造成系统死机。良好冗余的程序是设置一个超时定时器，超过一定时间后，强制程序退出while循环。

2003年8月11日发生的W32.Blaster.Worm蠕虫事件导致全球经济损失高达5亿美元，这个漏洞是利用了Windows分布式组件对象模型的远程过程调用接口中的一个逻辑缺陷：在调用GetMachineName()函数时，循环只设置了一个不充分的结束条件。

原代码简化如下所示：

HRESULT GetMachineName ( WCHAR *pwszPath,
WCHARwszMachineName[MAX_COMPUTTERNAME_LENGTH_FQDN+1])
{
WCHAR *pwszServerName = wszMachineName;
WCHAR *pwszTemp = pwszPath + 2;
while ( *pwszTemp != L’\\’ ) /* 这句代码循环结束条件不充分 */
*pwszServerName++= *pwszTemp++;
/*… */
}

微软发布的安全补丁MS03-026解决了这个问题，为GetMachineName()函数设置了充分终止条件。一个解决代码简化如下所示（并非微软补丁代码）：

HRESULT GetMachineName( WCHAR *pwszPath,
WCHARwszMachineName[MAX_COMPUTTERNAME_LENGTH_FQDN+1])
{
WCHAR *pwszServerName = wszMachineName;
WCHAR *pwszTemp = pwszPath + 2;
WCHAR *end_addr = pwszServerName +MAX_COMPUTTERNAME_LENGTH_FQDN；
while (（*pwszTemp != L’\\’ ) && (*pwszTemp != L’\0’)
&& (pwszServerName *pwszServerName++= *pwszTemp++;
/*… */
}

4.10 系统自检

对CPU、RAM、Flash、外部掉电保存存储器以及其他线路自检。

作者：襄坤在线

在嵌入式系统开发中，目前使用的主要编程语言是C 和汇编，虽然C++已经有相应的编译器，但是现在使用还是比较少的。

在稍大规模的嵌入式程序设计中，大部分的代码都是用C来编写的，主要是因为C语言具有较强的结构性，便于人的理解，并且具有大量的库支持。但对于一写硬件上的操作，很多地方还是要用到汇编语言，例如硬件系统的初始化中的CPU 状态的设定，中断的使能，主频的设定，RAM控制参数等。另外在一些对性能非常敏感的代码块，基于汇编与机器码一一对应的关系，这时不能依靠C编译器的生成代码，而要手工编写汇编，从而达到优化的目的。汇编语言是和CPU的指令集紧密相连的，作为涉及底层的嵌入式系统开发，熟练对应汇编语言的使用也是必须的。

单纯的C或者汇编编程请参考相关的书籍或者手册，这里主要讨论C和汇编的混合编程，包括相互之间的函数调用。下面分四种情况来进行讨论，不涉及C++语言。

一、在C语言中内嵌汇编

在C中内嵌的汇编指令包含大部分的ARM和Thumb指令，不过使用与单纯的汇编程序使用的指令略有不同，存在一些限制，主要有下面几个方面：

a 不能直接向PC 寄存器赋值，程序跳转要使用B或者BL指令；

b 在使用物理寄存器时，不要使用过于复杂的C表达式，避免物理寄存器冲突；

c R12和R13可能被编译器用来存放中间编译结果，计算表达式值时可能把R0-R3、R12及R14用于子程序调用，因此避免直接使用这些物理寄存器；

d 一般不要直接指定物理寄存器；

e 让编译器进行分配内嵌汇编使用的标记是__asm或asm关键字，用法如下：__asm{instruction [; instruction]}或 asm("instruction [; instruction]")。

下面是一个例子来说明如何在C中内嵌汇编语言：

//C语言文件*.
#include
void my_strcpy(const char *src, char *dest){
char ch;
__asm{
loop:
ldrb ch, [src], #1
strb ch, [dest], #1
cmp ch, #0
bne loop
}
}
int main(){
char *a="forget it and move on!";
char b[64];
my_strcpy(a, b);
printf("original: %s", a);
printf("copyed: %s", b);
return 0;
}

在此例子中C语言和汇编之间的值传递是用C语言的指针来实现的，因为指针对应的是地址，所以汇编中也可以访问。

二、在汇编中使用C定义的全局变量

内嵌汇编不用单独编辑汇编语言文件，比较简洁，但是有很多的限制。当汇编的代码较多时一般放在单独的汇编文件中，这时就需要在汇编文件和C文件之间进行一些数据的传递，最简便的办法就是使用全局变量。

下面是一个C语言和汇编语言共享全局变量的例子：

//C语言文件*.

#include
int gVar=12;
extern asmDouble(void);
int main(){
printf("original value of gVar is: %d", gVar_1);
asmDouble();
printf(" modified value of gVar is: %d", gVar_1);
return 0;
}

;汇编语言文件*.

AREA asmfile, CODE, READONLY EXPORT asmDouble
IMPORT gVar
asmDouble
ldr r0, =gVar
ldr r1, [r0]
mov r2, #2
mul r3, r1, r2
str r3, [r0]
mov pc, lr
END

在此例中，汇编文件与C文件之间相互传递了全局变量gVar和函数asmDouble，留意声明的关键字extern和IMPORT

三、在C中调用汇编的函数

有一些对机器要求高的敏感函数，通过C语言编写再通过C编译器翻译有时会出现误差，因此这样的函数一般采用汇编语言来编写，然后供C语言调用。在C文件中调用汇编文件中的函数，要注意的有两点，一是要在C文件中声明所调用的汇编函数原型，并加入extern关键字作为引入函数的声明；二是在汇编文件中对对应的汇编代码段标识用EXPORT关键字作为导出函数的声明，函数通过mov pc, lr指令返回。这样，就可以在C文件中使用该函数了。从C语言的角度的角度，并不知道调用的函数的实现是用C语言还是汇编汇编语言，原因C语言的函数名起到表明函数代码起始地址的作用，而这个作用和汇编语言的代码段标识符是一致的。

下面是一个C语言调用汇编函数例子：

//C语言文件*.

#include
extern void asm_strcpy(const char *src, char *dest);
int main(){
const char *s="seasons in the sun"; char d[32];
asm_strcpy(s, d);
printf("source: %s", s);
printf(" destination: %s",d);
return 0;
}

;汇编语言文件*.

AREA asmfile, CODE, READONLY
EXPORT asm_strcpy
asm_strcpy
loop
ldrb r4, [r0], #1
cmp r4, #0
beq over
strb r4, [r1], #1
b loop
over
mov pc, lr
END

在此例中，C语言和汇编语言之间的参数传递是通过对应的用R0-R3来进行传递，即R0传递第一个参数，R1传递第二个参数，多于4个时借助栈完成，函数的返回值通过R0来传递。这个规定叫作ATPCS（ARM Thumb Procedure Call Standard），具体见ATPCS规范。

四、在汇编中调用C的函数

在汇编语言中调用C语言的函数，需要在汇编中IMPORT对应的C函数名，然后将C的代码放在一个独立的C文件中进行编译，剩下的工作由连接器来处理。

下面是一个汇编语言调用C语言函数例子：

//C语言文件*.

int cFun(int a, int b, int c){
return a+b+c;
}
;汇编语言文件*.

AREA asmfile, CODE, READONLY
EXPORT cFun
start
mov r0, #0x1
mov r1, #0x2
mov r2, #0x3
bl cFun
nop
nop
b start
END

在汇编语言中调用C语言的函数，参数的传递也是按照ATPCS规范来实现的。

在这里简单介绍一下部分ATPCS规范：

子程序间通过寄存器R0～R3来传递参数。

A.在子程序中，使用寄存器R4～R11来保存局部变量。

B.寄存器R12用于子程序间scratch寄存器(用于保存SP，在函数返回时使用该寄存器出桟），记作IP。

C.寄存器R13用于数据栈指针，记作SP。寄存器SP在进入子程序时的值和退出子程序时的值必须相等。

D.寄存器R14称为链接寄存器，记作LR。它用于保存子程序的返回地址。

E.寄存器R15是程序计数器，记作PC

F.参数不超过4个时，可以使用寄存器R0～R3来传递参数，当参数超过4个时，还可以使用数据栈来传递参数。

G.结果为一个32位整数时，可以通过寄存器R0返回

H.结果为一个64位整数时，可以通过寄存器R0和R1返回，依次类推。

以上通过几个简单的例子演示了嵌入式开发中常用的C 和汇编混合编程的一些方法和基本的思路，其实最核心的问题就是如何在C 和汇编之间传值，剩下的问题就是各自用自己的方式来进行处理。以上只是抛砖引玉，更详细和复杂的使用方法要结合实际应用并参考相关的资料。

在进行单片机开发时，经常都会出现一些很不起眼的问题，这些问题其实都是很基础的C语言知识点，是一些小细节。

但是正是因为很基础，又都是小细节，所以我们往往容易忽视它们。结果有时候我们会花很长的时间纠结一个问题，迟迟找不到问题的所在。

当发现原因竟然是这么的简单和不起眼时，大家都会感到痛不欲生。这些问题要记录下来，时刻提醒自己!!

1、! 和 ~ 不一样

! 是逻辑非符号，~ 是位取反符号。

对IO口某个引脚赋值时不要错用 ! 如

2、<< 和 >> 的优先级低于+、-

比如要实现c=x*2+1，没有加括号会出错

3、移位要防止溢出

其实用移位代替乘除法是个不错的方法，笔者很喜欢拿到一段代码后用移位代替乘除法来进行优化。不过有时候却会出现问题，比如溢出问题。当很明显可能溢出的话我们是会注意的，比如

但是有时候这个问题是不明显的，比如当移位出现在数组索引或函数参数时，有段用液晶显示字符的代码如下

我们可以用左移运算来代替乘法进行优化，如

这本是一个好方法，但是事实上上面的代码是错的。当执行c<<4时，因为没有明显的赋值过程，我们可能认为没问题，而事实上c的高位已经丢失了，所以得到错误的结果。一个可行的做法是先进行强制转换，如

4、无符号数和有符号数混合运算都会被强制转换为无符号数运算

当一个有符号数和一个无符号数进行算术运算时，系统会自动将有符号数强制转换为无符号数再进行运算(即使你使用有符号数强制类型转换)，如下面两种写法的运输结果是一样的

5、局部变量要初始化

局部变量没有初始化的话，因为单片机每次为他分配的是同一个内存区域，当你在函数中是这么使用局部变量时，就可能出问题：

如果第一次调用fun时，a传递的值为0，那么flag = 0x01;执行if(flag&0x01)后面的代码。以后再调用fun时，即使a不为0，但flag依然使用之前的内存区域，所以其值一直为0x01，一直执行的是if后面的代码，而不是else后面的。

如果要避免这个错误，平时要养成对局部变量初始化的习惯。

CPU懂的机器语言

单片机的CPU从存储器读取程序，但是一次只能读取一条指令，然后解释每条指令，并执行。存储器中保存的内容，不管是程序还是数据，都是二进制代码“0”和“1”组成的字符串。指令二进制代码告诉CPU要做什么，而数据二进制代码则是CPU操作或处理指令时要使用的值。CPU的操作包含加、减运算等指令。这些像密码一样排列的“0”和“1”字符串就是机器语言。比如图1左边显示的就是一个机器语言指令，意思是“将2放入寄存器A（寄存器是CPU内部的储存区域）。

CPU总是按存储器地址的顺序读取指令代码，除非遇到跳跃指令。例如，如果复位后的地址是0000，则从0000开始按0001、0002、0003的顺序读取并执行指令。也可以说，一个程序就是按处理要求排列一系列的机器语言。

CPU只能理解如上所述的机器语言。因此，为了使CPU运行，就必须使用机器语言的程序。但是，机器语言不易为人们识别和读写。因此，人们用了更简单易懂的字符串来代替机器语言，这就是汇编语言。例如，在“给寄存器A赋值2”这样的处理时，如果用汇编语言来表示，就很简单，请看图1的右边部分。汇编语言中，用MOV字符串表示赋值，所以“给寄存器A赋值2”的处理就可用“MOV A，#02”表示。

虽然汇编语言比机器语言更加简单易懂了，但是人们读起来还是挺难理解的。而且，汇编语言还存在另一个问题，就是不同的CPU，机器语言的描述方式也不同。因此，如果更换了CPU，就必须改写与机器语言有着密不可分关系的汇编语言，工作量比较大。（以上例子中的机器语言和汇编语言均为瑞萨的RL78族单片机中的语言。）

如上所述，每更换一次CPU都必须对程序进行改编，不但造成生产性低下，还加重了编程人员的负担。

人性化的C语言

能够解决上述问题的编程语言就是C语言。C语言具有不依存于特定的CPU，又具有程序移植性高等的特点。另外，由于编程时可使用人们熟悉的英文单词，所以对编程人员来说C语言是最容易使用的编程语言。下面我们将C语言和汇编语言做一个简单地比较。（图2）

虽然C语言不依存于CPU而且还是人们最容易使用的编程语言，但对于CPU来说，C语言却是一种完全无法理解的语言。因此，就需要一种可以将C语言翻译为机器语言的软件，这就是被称为编译器 （编译程序） 的软件。 经过编译器翻译的程序的文件格式被称为目标文件格式。如果目标文件格式最终没有被配置到存储器中，CPU就无法执行该程序。

另外，近来由于程序越来越趋于复杂化，所以几乎都采取了将一个程序分割为多个C语言程序文件的结构。所以，还需要一个工具将多个目标文件格式汇总成一个机器语言并配置到存储器上，能够担当起此重任的就是连接编辑程序（linkage editor，也被称为“linker（链接器）”）。

能够找出程序错误的调试器

由人进行编程的应用程序难免会存在错误（bug）。而用来发现和帮助人们修正程序错误的工具被称为调试器（Debugger）。下面简单介绍调试器的类型。

电路内仿真器（In-Circuit Emulator ， 简称：ICE） ：ICE可取代实际的单片机，与仿真专用的评价单片机（evaluation chip，评价芯片）连接并进行调试。其中，“In-Circuit Emulator”为美国英特尔公司的注册商标，瑞萨将其命名为“Full-spec Emulators”并向市场提供。

J-TAG仿真器：J-TAG仿真器使用单片机内事先预留的调试电路进行调试。也就是说通过实际使用的单片机来进行调试。和ICE相比，J-TAG仿真器的价格较低。瑞萨将其命名为“On-chip Debug Emulator”并向市场提供。

简易仿真器：简易仿真器是使调试用的监视程序在单片机上运行，在与PC通信的同时进行调试。除了调试对象的程序之外，还需启动其他监视程序，所以，与ICE或J-TAG仿真器相比，简易仿真器的程序运行速度慢而且还有各种功能限制。其最大的优点是价格非常低廉。

综合开发环境

正如上面所讲的，在进行单片机的软件开发时，使用了上述的编译器、连接编辑程序、调试器等各种工具。以前，这些软件都是作为单个软件分别提供的，一般是通过命令提示符调出各个程序、或是通过批处理程序调出使用。但是，最近开始以综合开发环境的方式给予提供，综合开发环境就是将各种程序综合到一个程序包中，只需通过Renesas CS+ 等便可很容易地将程序调出使用。