MISRA C:2012 Rule 13.2

The value of an expression and its persistent side effects shall be the same under all permitted evaluation orders and shall be independent from thread interleaving

このページをすべて展開する

説明

ルール定義

The value of an expression and its persistent side effects shall be the same under all permitted evaluation orders and shall be independent from thread interleaving ¹ .

根拠

評価の順序に応じて式の結果が異なる値になる場合、その値は処理系定義になります。

スレッドインターリーブの順序に応じて式の結果が異なる値になる場合、C 標準ではスレッドインターリーブの順序を指定していないため、その値は予測不可能になります。このような予測できない動作は、コードに、未定義の動作であるデータレース状態が含まれる可能性があることを示唆します。

Polyspace 実装

ルールチェッカーは式が以下の条件を 1 つでも満たす場合、違反を報告します。

同じ変数が式内で複数回変更される、あるいは同じ変数に対して読み取りと書き込みの両方が実行される。
式が複数の評価順序を許可している。
式内で単一の volatile オブジェクトが複数回出現する。
式に複数の volatile オブジェクトが含まれる。

volatile オブジェクトは随時、その値を変更可能であるため、複数の volatile 変数または同じ volatile 変数の複数のインスタンスが含まれる式は、評価順序によって結果が異なる可能性があります。

トラブルシューティング

ルール違反を想定していてもその違反が表示されない場合、コーディング規約違反が想定どおりに表示されない理由の診断を参照します。

例

すべて展開する

式で複数回変更される変数

int a[10], b[10];
#define COPY_ELEMENT(index) (a[(index)]=b[(index)])

void main () {
	int i=0, k=0;

	COPY_ELEMENT (k);         /* Compliant */
	COPY_ELEMENT (i++); /* Noncompliant  */
}

この例では、ステートメント COPY_ELEMENT(i++) において、i++ が 2 回発生し、2 つの式の評価順序が指定されていないためルールに違反します。

複数の関数の引数で変更され使用される変数

void f (unsigned int param1, unsigned int param2) {}

void main () {
    unsigned int i=0;
    f ( i++, i );                 /* Non-compliant */
}

この例では、演算 i++ が 2 番目の引数を f に引き渡す前または後に実行されるのか指定されていないため、ルールに違反します。呼び出し f(i++,i) は f(0,0) または f(0,1) に変換できます。

式に複数の変数 `volatile` が含まれている

struct {
	volatile float x; 
	volatile float y; 
} volData;

float xCopy;
float yCopy;
float res, res2;

void function4(void) {
	res = volData.x + volData.y;         //Noncompliant
	res = volData.x * volData.x;	  //Noncompliant
	xCopy = volData.x;
	yCopy = volData.y;
	res = xCopy + yCopy;  //Compliant
}

この例では、式 volData.x + volData.y は複数の volatile オブジェクトを含んでいるため、ルールに準拠していません。この式は、volData.x の値へのアクセス、volData.y の値へのアクセス、および加算の 3 つの演算で構成されています。構造体 volData に含まれる volatile フィールド x と y の値は随時、変更される可能性があります。res の値は、どちらの変数が先に読み取られるかによって異なる可能性があります。C 標準では変数の読み取り順序を指定していないため、res の値は、使用されているハードウェアとソフトウェアに依存することになります。Polyspace^® は、この式に含まれる volatile オブジェクトのいずれか 1 つにフラグを設定します。同様に、Polyspace は、式 volData.x * volData.x に含まれる volatile オブジェクトのいずれか 1 つにフラグを設定します。

違反を回避するには、volatile 変数を volatile でない一時変数に割り当てて、それらの一時変数を式で使用します。

チェック情報

グループ: 二次的影響

カテゴリ: 必要

AGC カテゴリ: 必要

バージョン履歴

R2014b で導入

すべて展開する

R2025a: 1 つの式での複数の `const volatile` グローバル変数の使用は、違反として報告されない

グローバル変数を const volatile として宣言すると、Polyspace は volatile 修飾子を無視します。1 つの式での複数の const volatile グローバル変数の使用は、このルールに対する違反として報告されません。

R2024b: `Concurrency` 要素に対応するようにルールが拡張された

MISRA C:2012 Amendment 4 に従い、このルールは同時実行性に対応するように拡張されました。ルール定義が "The value of an expression and its persistent side effects shall be the same under all permitted evaluation orders and shall be independent from thread interleaving" に変更されました。

R2023b: Polyspace は既知の値を考慮せずに違反を報告する

MISRA C:2012 Technical Corrigendum 2 がこのルールを明確にしています。式の値または二次的影響が評価順序によって変わるかどうかを判断する際に、Polyspace はオブジェクトの既知の値を考慮しなくなりました。現在、Polyspace は式のみを使用して、その式が非準拠であるかどうかを計算するようになっています。次のコードについて考えます。

int foo(int x) {
	int a = 0;
	int y = (x = a) && (x = 2); //Noncompliant
	return (x++) && (x = 1); //Noncompliant
}

これらの式の値が評価順序によって変わらないことはコンテキストによって明確にされているため、これまで、Polyspace はこれらの式を準拠するものと見なしていました。

&& 演算子 (x = a) の左辺のオペランドが最初に評価され、a は既知の値 0 をもつため、y は常に 0 に評価されます。
C 標準で規定されているように、&& 演算子で最初に評価されなければならないのは左辺のオペランドであるため、return 式の値が評価順序によって変わることはありません。

Polyspace は既知の値を無視し、式自体のみを考慮するようになりました。これらの式ではオブジェクトが 2 回変更されるため、Polyspace はこれらの式を非準拠として報告します。追加のコンテキストを考慮する必要がなくなるため、このルールの違反をレビューしやすくなっています。

R2021b: 同じ式でグローバル変数が記述されて再利用される場合、チェッカーが違反を報告する

チェッカーはより正確な結果を示します。次に例を示します。

同じ式で変数が記述されて再利用される場合、チェッカーは 1 つの違反のみを報告します。これまでは、2 つの違反が報告されていました。
たとえば、同じ式で同じグローバル変数が記述されて再利用される場合、チェッカーはグローバル変数に関連する違反を検出します。

参考

MISRA C:2012 Dir 4.9 | MISRA C:2012 Rule 13.1 | MISRA C:2012 Rule 13.3 | MISRA C:2012 Rule 13.4 | MISRA C:2012 のチェック (-misra3)

トピック

コーディング規約違反のチェックおよびレビュー

The MISRA coding standards referenced in the Polyspace Bug Finder™ documentation are from the following MISRA standards:

MISRA C:2004
MISRA C:2012
MISRA C:2023
MISRA C++:2008
MISRA C++:2023

MISRA and MISRA C are registered trademarks of The MISRA Consortium Limited 2021.