Комплексный контроль за качеством кода
1. Введение Статья описывает систему методов и действий, которые могут быть использованы при написании больших проектов на Delphi. Основная цель системы заключается в эффективном повышении качества кода и возможности быстрого поиска и исправления обнаруживаемых ошибок. В настоящее время, несмотря на большие возможности системы Delphi и библиотеки VCL, разработчикам не предложен простой и эффективный подход к написанию качественных программ. На основании личного опыта автора была составлена система методов, которые позволяют значительно усилить контроль над выполнением программы, ее сопровождением и исправлением обнаруживаемых ошибок. Статья может быть полезна как для начинающих, так и для профессиональных программистов. Однако, предполагается, что читатель хорошо знаком со средой разработки Borland Delphi и языком Object Pascal, а также таким понятием как исключение. Все предложенные здесь методы не являются единственно возможными и могут быть изменены и улучшены. Конкретный пример использования данной системы приведен в прилагаемом проекте. 2. Процедура ASSERTВ Object Pascal введена специализированная процедура Assert, назначение которой - помощь в отладке кода и контроле над выполнением программы. Процедура является аналогом макроса ASSERT, который широко применяется практически во всех программах, написанных с использованием C и C++ и их библиотек. Синтаксис процедуры Assert (макрос имеет похожий синтаксис) описан ниже. procedure Assert(Condition: Boolean; [Msg: string]); Процедура проверяет логическое утверждение, передаваемое первым аргументом и, если это утверждение ложно, то процедура выводит на экран диагностическое сообщение с номером строки и именем модуля, где расположен вызов этой процедуры, и сообщение пользователя, которое опционально передается вторым аргументом. В некоторых системах разработки, например (MSVC+MFC), макрос Assert принудительно завершает выполнение программы после выдачи соответствующего диагностического сообщения. В других системах (например Delphi) стандартная процедура ограничивается лишь выдачей диагностического сообщения. Действие стандартной процедуры Assert (как и соответствующего макроса) зависит от режима компиляции проекта. Обычно, в режиме отладки процедура действует как описано выше, в других же режимах, вызов данной процедуры и проверка условия игнорируются и не компилируются в проект. Считается, что исключение проверки в готовой программе позволяет повысить производительность и уменьшить размер программы. В языках С и С++ отладочный режим компиляции задается определением (#define) соответствующей константы, обычно это _DEBUG. В Object Pascal отладочный режим включается специальной опцией компилятора. Кроме того, в С и С++ макрос ASSERT - это обычный макрос, ничем не отличающийся от множества других макросов. Макрос использует переменную компилятора __LINE__, что позволяет ему определить номер строки, в которой произошло нарушение проверки. В Object Pascal такой переменной нет, и за реализацию процедуры Assert полностью отвечает компилятор, что позволяет говорить о процедуре Assert, как об особенности компилятора и языка Object Pascal, а не как об обычной процедуре в составе библиотеки VCL. Процедура Assert обычно применяется в следующих случаях:
В любом из этих случаев невыполнение передаваемого в процедуру Assert условия рассматривается как совершенно неожиданная, фатальная ошибка алгоритма, которой не должно быть ни при каких условиях, и которая не оставляет никаких шансов на дальнейшее правильное выполнение программы. Например, возможен такой код. procedure AddElement(Elem: TObject; Index: Integer); Первая процедура проверяет, является ли переданная ссылка на объект непустой. Вторая процедура проверяет индекс добавляемого элемента на принадлежность к ограниченному диапазону. Третья процедура проверяет правильность выполнения алгоритма. Ясно, что при невыполнении хотя бы одного из этих условий, необходимо считать, что данная процедура выполнилась неправильно, и дальнейшее правильное выполнение всей программы не представляется возможным. Ясно также, что, так как данную процедуру (процедуру AddElement) вызываем только мы (наша программа), такое событие никогда не должно происходить, в предположении, что алгоритм правилен и аргументы, передаваемые в функцию, верные. Однако, как известно: "Человек полагает, а Бог располагает", и при невнимательном программировании в большом проекте такой тип ошибок становиться основным. Без применения этих проверок, программа бы выдала малоинформативное сообщение, например об исключении определенного типа, и конечно без указания места, где это исключение произошло. Поэтому, в большом проекте, интенсивное применение процедуры Assert позволяет быстро локализовать, идентифицировать и устранить возникшую ошибку в работе алгоритма. В настоящее время (в пятой версии Delphi и несколько более ранних версиях), процедура Assert генерирует на месте своего вызова исключение типа EAssertionFailed и дальнейшее следование этого исключения осуществляется обычным образом - вверх по стеку процедур до ближайшего обработчика исключений. Исключения от процедуры Assert обрабатываются таким же образом, как и все другие - объект TApplication ловит все исключения и показывает их тип и их сообщения на экране. Однако такой подход трудно считать логичным. Исключения от процедуры Assert коренным образом отличаются от остальных исключений. Исключения от процедуры Assert свидетельствуют о серьезных ошибках в логике работы программы и требуют особого внимания, вплоть до принудительного завершения программы с выводом особого диагностического сообщения. Реализация процедуры Assert в Object Pascal полностью возложена на компилятор (вернее на "приближенный ко двору" модуль system.pas), что несколько затрудняет изменение логики работы. Возможны три основных варианта внесения изменений в логику работы.
Необходимость включения и выключения вызовов процедуры Assert, связанных с режимом работы программы является само собой подразумевающейся. Считается, что выключение вызовов Assert в отлаженной программе позволяет уменьшить размер программы и увеличить скорость ее работы. Однако, экономия на размере и увеличение быстродействия являются весьма малыми (если вы не включаете процедуру Assert в тело каждого цикла). Происходящее на этом фоне, молчаливое съедание ошибок в программе ставит под сомнение необходимость отключать вызовы процедуры Assert в "готовой" программе. То, что вы не нашли ошибок при разработке и отладке программы вовсе не означает, что там их нет. Ошибки могут появиться у пользователя программы, например, в условиях, в которых программа не тестировалась. Как вы о них узнаете, если отключите вызовы Assert? Конечно, лукавое отключение предупреждений может на время сохранить вашу репутацию, и пользователь может и не узнать о тех ужасах, которые происходят в недрах вашей программы. А внезапный безымянный сбой вашей программы вы можете списать на особенности работы Windows. Однако качества вашей программе это не прибавит. Честная регистрация всех ошибок намного улучшит ваши программы. Таким образом, первая трудность решена - ее просто не нужно решать. Работайте честно, всегда оставляйте вызовы функций Assert в программе, и они помогут диагностировать ошибки. Решение второй проблемы - указание номеров строк в сообщениях описано в следующей главе. Пример же простейшей альтернативной процедуры Assert приведен ниже. Функция называется AssertMsg и принимает те же параметры, что и стандартная процедура. Конечно, список этих параметров можно расширить, так же, как и изменить логику работы. Данная же процедура генерирует исключение по адресу вызова этой процедуры, а глобальный обработчик исключений выводит сообщение и завершает программу при получении исключения с определенном типом EFatalExcept. procedure AssertMsg(Condition: Boolean; const Mark: string); 3. Номера строк или уникальные метки ?В большинстве систем разработки, в сообщении, выводимом при активизации процедуры Assert, выводится три параметра: сообщение пользователя, имя исходного модуля и номер строки, в котором находился вызов процедуры. При этом основной упор при поиске ошибки делается на номер строки и имя модуля, а сообщение пользователя является малоинформативным. Однако, если вы решили оставить вызовы процедуры Assert в готовой распространяемой программе, здесь таится проблема. При разработке программы вы будете выпускать десятки и десятки версий, и естественно, что исходный код будет сильно модифицироваться, а номера линий, на которых располагаются проверочные вызовы, будут постоянно изменяться. И если вдруг ваш пользователь сообщает о том, что в вашей программе сработала проверка на линии N в исходном модуле M, вы должны задаться вопросом, какая версия программы находится у пользователя? Даже если вы сохраните все исходные тексты абсолютно всех версий, такой подход нельзя назвать удобным и ясным, он таит в себе скрытую путаницу и неразбериху, поскольку вам придется отслеживать номера строк в разных версиях программы при просмотре развития программы. Возникает идея - совсем отказаться от номеров строк - они таят в себе хаос, и использовать уникальные сообщения пользователя, то есть уникальные метки. В каждом вызове процедуры Assert передавать абсолютно уникальный, не повторяющийся идентификатор, и выводить его на экран при срабатывании проверки. После того как вам сообщат, что вашей программе активизировалась проверка с идентификатором N, вы можете проследить развитие кода в этом месте во всех версиях программы путем простого поиска идентификатора в исходных текстах. Зачастую даже, вовсе не обязательно распаковывать ту же версию исходных текстов программы, что и версия программы у пользователя. Если код в этом месте давно не менялся, вы можете искать и исправлять ошибку прямо в текущей версии исходных текстов. Что выбрать в качестве уникальных идентификаторов? Можно выбрать любое не повторяющееся число или строку. Например, последовательно передавать числа от нуля и далее с инкрементом на единицу. Или передавать уникальные строки, которые можно придумывать на ходу. Однако, это утомительное занятие - помнить последний набранный номер или строку и не повторяться. Можно написать специальный модуль для редактора в среде Delphi, который будет автоматически вводить идентификаторы. Однако, если вы будете работать над проектом на разных машинах, то возникнет проблема синхронизации счетчиков. Существует прекрасный вариант решения этой проблемы. В среде Delphi нажмите клавиши AssertMsg(FCount > 0, '{19619100-22B0-11D4-ACD0-009027350D25}'); В данном случае сообщение пользователя не передается - передается только уникальная метка. В самом деле, какая разница пользователю, отчего именно погибла ваша программа? Пользователь лишь должен сообщить, что ваша программа работает с ошибкой и передать информацию, которая поможет эту ошибку найти. Конечно, подобный уникальный номер занимает некоторое место в сегменте констант, но, как показывает практика, не больше 5% от всего объема программы, и в добавление, такой номер очень удобно записывать с экрана. Кроме того, он действительно никогда не повторяется! Если же вы - эконом, и вам жалко тратить 38 байт на каждый идентификатор, можете передавать в процедуру AssertMsg четырехбайтное число, которое можно получить, взяв первые восемь шестнадцатеричных цифр из строкового идентификатора - именно они изменяются чаще всего. AssertMsg(FCount > 0, $19619100); 4. Категории ошибокВ последнее время, практически во всех развитых объектно-ориентированных языках, появилась структурная обработка исключений. Эта возможность поддерживается операционной системой и позволяет перехватывать нештатные ситуации возникающие, как в обычном, так и в защищенном режиме системы. Язык Object Pascal полностью поддерживает все возможности по обработке исключений. Использование исключений при разработке программ рекомендуется документацией и поддерживается широким использованием исключений в VCL. Типичный пример обработки исключений приведен ниже. try Кроме того, существует возможность объявлять и генерировать свои типы исключений. Использование исключений поощряется и считается хорошим стилем. Однако, мало кто до конца понимает, что же делать с исключением, когда оно действительно возникло. По умолчанию все исключения обрабатываются одинаково. Исключения, если они не перехвачены обработчиком пользователя, передаются в глобальный обработчик исключений TApplication.HandleException. Обработчик проверяет тип исключения, а затем выводит диагностическое сообщение, после чего выполнение программы продолжается. Неважно, какое исключение возникло: нехватка памяти, неудачное выполнение API функции, обращение к несуществующему участку памяти, неудачное открытие файла или базы данных, все эти ошибки порождают исключения, которые обрабатываются одинаковым образом! Между тем, все эти ошибки можно и нужно разделить на классы, каждый из которых требует особого внимания и отдельной обработки. Прежде всего, ошибки нужно разделить на две группы - фатальные ошибки и нефатальные или восстановимые ошибки. Фатальные ошибки - это ошибки "несовместимые с жизнью", после которых выполнение программы невозможно и бессмысленно. Фатальная ошибка всегда является неожиданной и подразумевается маловероятной. Например, любое срабатывание проверки Assert означает серьезное нарушение логики работы программы. Сбой при выделении памяти или ресурсов в большинстве случаев также является невосстановимым. Подавляющее большинство API функций при передаче в них правильных параметров можно отнести к "надежным" функциям, то есть таким функциям, в выполнении которых мы уверены, и невыполнение которых маловероятно, но приводит к фатальным ошибкам. Фатальные ошибки можно отнести к серьезным недостаткам либо в программе, либо в операционной системе. Наоборот, нефатальные или восстановимые ошибки являются вполне возможными. Например, операции открытия файла, базы данных, какого-либо стороннего ресурса являются потенциально опасными, и ошибка при выполнении этих операций вполне возможна. Также возможны восстановимые исключения при конвертировании введенных пользователем строк в числа, и во многих других ситуациях. Нет никаких оснований для паники и совсем не нужно закрывать программу, лишь потому, что программа не смогла открыть файл или базу данных. Конечно, вы можете закрыть программу при неудачной операции, если без этого программа не может нормально работать, но перед этим вы должны вывести осмысленное предупреждение для пользователя. При этом тон и стиль сообщения при восстановимой ошибке должен быть совсем иным, чем при фатальной ошибке. Восстановимая ошибка является следствием временной недоступности или неисправности ресурса, а не следствием недостатка программы. Вы полностью предусматриваете такую ситуацию, контролируете и обрабатываете ее. Грань между фатальными и восстановимыми ошибками очень тонка и неопределенна. В одном случае ошибку можно отнести к фатальным ошибкам, а в другом - к восстановимым. Но, тем не менее, каждая нештатная ситуация должна быть четко отнесена к одному из этих двух классов. В пределе такого подхода, все функции должны быть объявлены ненадежными, и должно быть предсмотрено восстановление нормальной работы программы после любой нештатной ситуации. Однако, такое вряд ли возможно, так как в таком случае 99% от объема программы будут занимать проверки и восстановления после сбоя при выполнения любой из функции. Таким образом, для успешной и эффективной работы, необходимо как можно больше функций отнести к разряду надежных, и как можно меньше - к разряду ненадежных, требующих специальной обработки. Если ошибка отнесена к фатальным ошибкам, мы должны установить соответствующую проверку, например Assert, извиниться и закрыть программу в случае ее появления. Если ошибка отнесена к восстановимым ошибкам, то она должна быть обработана соответствующим образом с выводом предупреждения и возможностью восстановления исходного состояния программы. Таким образом, мы пришли к пониманию того, что существуют разные группы ошибок, с разным алгоритмом их обработки. Как уже упоминалось, все ошибки в библиотеке VCL обрабатываются одинаковым образом. Изменить существующее положение вещей можно разными способами. Например, в можно анализировать все типы исключений в обработчике TApplication.OnException. Исключения таких типов как, например, EAccessViolation, EListError, EAbstractError, EArrayError, EAssertionFailed и многих других можно рассматривать как фатальные ошибки, а исключения остальных типов рассматривать как восстановимые ошибки. При этом откат при восстановимых ошибках выполнять путем локального перехвата исключения конструкцией try-except-end, обработки и дальнейшей генерации исключения инструкцией raise. Однако такой способ не является гибким, так как один и тот же тип исключения в одной операции может рассматриваться как восстановимый, а в другой - как фатальный. Улучшенной разновидностью такого способа является способ, когда все восстановимые исключения от VCL перехватываются и обрабатываются на местах, а фатальные исключения транспортируются в глобальный обработчик TApplication.OnException. Таким образом, глобальный обработчик рассматривает любое исключение как фатальное. Перехват восстановимых исключений не занимает много места, так как и было указано раньше, подавляющее большинство операций можно и нужно рассматривать как "надежные" операции, то есть приводящие к фатальным ошибкам. Например, открытие файла можно проводить следующим образом. try Вызовы API функций не генерируют исключений, поэтому следует анализировать и обрабатывать результаты выполнения потенциально опасных функций, а "надежные" функции обертывать процедурой Win32Check, а еще лучше специальной процедурой Assert с указанием кода ошибки и уникальной метки. procedure AssertWin32(Condition: Boolean; Mark: string); Таким образом, ключом к успеху является правильное разделение всех вызовов функций в программе на две группы. Первая группа - потенциально опасные, "ненадежные" функции должны быть обработаны с особой тщательностью и возможностью восстановления программы после сбоя этих функций. Ошибки при их выполнении вполне возможны и должны рассматриваться как естественные. Вторая группа - "надежные" функции, невыполнение которых должно приводить к выводу диагностического сообщения и закрытию программы. Ошибки при выполнении надежных функций должны рассматриваться как фатальные. Вы либо полностью контролируете ситуацию, с возможностью отката к нормальному состоянию программы - "нефатальная ошибка"; либо извиняетесь и закрываете программу, так как вы не можете корректно обработать эту ошибку - "фатальная" ошибка. Во втором случае вы должны сделать все возможное, чтобы информация об ошибке была как можно содержательнее, для того, чтобы вы могли ее исправить. 5. Тотальный контрольВ первой и второй главе обсуждалась важность применения в программах процедуры Assert с уникальными метками для быстрой локализации и идентификации ошибок. В предыдущей главе обсуждался принцип разделения всех нештатных ситуаций на две группы, требующих различного подхода. Следование этим принципам поможет вам улучшить качество кода при написании больших проектов. Однако существует еще одна проблема, связанная с тем, что широко используемая библиотека VCL, а также множество других естественно не используют выше указанные принципы. Например, при выполнении следующего кода возникнет исключение от VCL с сообщением "List index out of bounds", так как мы запрашиваем на один элемент больше, чем есть в списке. Получив сообщение о такой ошибке от пользователя, вы вряд ли сможете определить место программы, где эта ошибка произошла. Поиск такой ошибки затруднен, даже если она возникла на вашем компьютере, на том, на котором вы разрабатываете программу. А если такая ошибка возникла у далекого пользователя, сложность возрастает во много раз, так как вам предстоит еще и "выбить" всю информацию об ошибке у человека далекого от Delphi в частности, и от программирования вообще. for i:=0 to FList.Count do Та же самая ситуация произойдет, если вы попытаетесь обратиться по "бешеному" указателю - указателю в котором хранится постороннее значение указывающее в никуда. Вы получите малоинформативное сообщение, которое никак не указывает на место, где эта ошибка произошла. Используя вышеописанные принципы, вы сможете перехватить эту ошибку, распознать ее как фатальную и закрыть программу. Однако вы не сможете выдать информативное сообщение о месте где эта ошибка произошла. И ее локализация и исправление будут сильно затруднены. Одним из успешных вариантов решения такой проблемы является помещение каждой (каждой !) процедуры в конструкцию try-except-end. При этом локальный обработчик исключения ловит возникшую ошибку и заменяет ее своей с указанием уникального идентификатора. При этом предыдущий пример может выглядеть так. try Процедура AssertInternal "наследует" сообщение от возникшего исключения, плюс, добавляет к нему свой уникальный идентификатор. При возникновении ошибки, пользователю будет выдано соответствующее предупреждение, после чего программа закроется. Возможна запись предупреждающего сообщения в специальный файл, который впоследствии может быть выслан вам пользователем. Получив информацию о возникшей ошибке вы можете:
Такая информация значительно облегчает поиск и исправление ошибок в очень большом проекте. 6. ЗаключениеВсе вышеперечисленное являлось лишь приблизительным рецептом и пищей для размышления. Точный вариант комплексной системы обработки ошибок приведен в прилагаемом архиве. Модуль ATSAssert.pas содержит примеры процедур и функций для обработки фатальных ошибок. Модуль ATSDialogMain.pas содержит примеры их использования. 7. Пример модуля с функциями комплексной обработки ошибок //////////////////////////////////////////////////////////////////////////////// Объявления деклараций используемых функцийОбъявляется перечень и формат функций для комлексного контроля за качеством кода. //////////////////////////////////////////////////////////////////////////////// Глобальный обработчик исключенийГлобальный обработчик исключений устанавливает процедуру обработки на событие Application.OnException. Это позволяет перехватывать все исключения не пойманные конструкцией try-except-AssertInternal-end. Хотя таких непойманных исключений быть не должно, лучше все-таки поставить на них обработчик. Если вы пишите библиотеку DLL в таком обработчике нет необходимости, так как все непойманные исключения будут обрабатывать в EXE-модуле. //////////////////////////////////////////////////////////////////////////////// Основная процедура обработки ошибокОсновная процедура обработки ошибок. Формирует и выводит сообщение, записывает его в посмертный лог и закрывает программу. Если вы пишете библиотеку DLL, то для каждой библиотеки можете добавить к сообщению свой дополнительный префикс, например 'A', 'B', 'C' и т.д. Это поможет быстро определить в каком модуле произошла ошибка. //////////////////////////////////////////////////////////////////////////////// Альтернативная процедура Assert//////////////////////////////////////////////////////////////////////////////// Альтернативная процедура Assert для API-функций//////////////////////////////////////////////////////////////////////////////// Функция для тотального контроля исключений Функция для перехвата исключений от VCL и неудачных обращений к памяти. Добаляет к тексту исключения уникальную метку и генерирует ошибку. //////////////////////////////////////////////////////////////////////////////// Инициализация модуляСоздание и настройка глобального обработчика исключения на событии TApplication.OnException. ////////////////////////////////////////////////////////////////////////////////
Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=4891 |