PROSAGA码农传奇-Ada-安全关键嵌入式系统中的Ada例外[已结束]

<div class =“post-text”itemprop =“text”>
  
    有嵌入式系统是安全或关键任务的，嵌入式系统是硬实时的，嵌入式系统是两者兼而有之。
  
  
    实时硬实时的嵌入式系统可能受到限制。 70年代，同事们在导弹制导系统上工作，在主回路中有大约4个指令值！ （你可以想象，它是用汇编语言编写的，并使用了一个调优的执行程序，而不是RTOS。不支持异常）。另一方面，我工作的最后一个，在1 GHz PowerPC板上，对特定中断的响应有2毫秒的最后期限，我们测得的最坏情况是1.3毫秒（无论如何这是一个软实时要求，你不必连续错过太多）。
  
  
    该系统也有安全要求（我知道，我知道，安全的导弹系统，呵呵）虽然我们被允许使用例外，但未处理的例外意味着系统必须关闭，导弹在飞行中或没有，导致损失导弹我们严格禁止说
     <code>
 when others => null;
 </code>
     吞下一个异常，所以我们没有处理的任何异常将被“未处理”并且会反弹到最高级别。
  
  
    参数是，如果发生未处理的异常，您将无法再知道系统的状态，因此您无法证明继续存在。当然，更广泛的安全工程必须考虑整个系统应该采取什么行动（例如，这个处理器可能应该以恢复模式重新启动）。
  
  
    有时人们将异常作为其控制流程的一部分;事实上，对于处理随机文本输入，一个常用的方法是，而不是检查文件的结尾，只需继续，直到你得到一个
     <code>
 End_Error
 </code>
    ;
  
   <pre class="lang-ada prettyprint-override">
 <code>
 loop
 begin
 -- read input
 -- process input
 exception
 when End_Error => exit;
 end;
end loop;

</code>
 </pre>
  
    <a href="https://stackoverflow.com/a/52139335/40851">
      雅各布的回答
    </A>
     讨论使用SPARK。您不必使用SPARK来处理异常，但当然能够向您自己（以及您的安全审核员证明！）证明不会有任何异常。处理异常非常棘手，有些RTS（例如
    <a href="https://github.com/simonjwright/cortex-gnat-rts" rel="noreferrer">
      Cortex GNAT RTS
    </A>
    ） 别;配置编译指示
  
   <pre class="lang-ada prettyprint-override">
 <code>
 pragma Restrictions (No_Exception_Propagation);

</code>
 </pre>
  
    意味着异常无法传播到它们被引发的范围之外（程序将通过调用a来崩溃）
     <code>
 Last_Chance_Handler
 </code>
    ）。
  
  
    仅仅在它们被引发的范围内传播异常不是，IMO，这是有用的：
  
   <pre class="lang-ada prettyprint-override">
 <code>
 begin
 -- do something
 if some error condition then
 raise Err;
 end if;
 -- do more
exception
 when Err =>
 null;
end;

</code>
 </pre>
  
    避免“多做”代码会是一种相当混乱的方式。最好使用标签！
  
</DIV>