在嵌入式软件、汽车电子或者工业控制这些项目里，碰到MISRA工具怎么选型、检查工具和人工评审如何分工的问题，我们不要只看工具宣传页上写了支持多少条规则，因为MISRA检查会涉及编程规范、编译器的特性、静态分析的设定、偏差的批准还有评审的记录，工具的任务是把那些能自动找出来的问题尽早地暴露出来，而人工评审则要处理工具判断不了的问题，这些问题需要结合设计意图和项目背景才能确认，MISRA Compliance:2020里面也清楚地提到，在挑选静态分析工具的时候，工具应当尽可能多地去执行指南里的检查，并且要有检查整个程序的能力，不能只检查单个的源文件。

怎样安排MISRA培训才会更有效果，以及团队在落地时常遇到的阻力该怎么去化解，这个问题不能只是被理解成给开发人员上一堂规则课。很多项目组在做MISRA培训的时候，会讲上一大堆规则编号，也讲了很多专门的概念，可开发人员回到工程里面，还是不清楚该怎么去改代码，也不清楚哪些问题是必须处理的，更不清楚例外的说明要怎样去写，要让MISRA真正落到工程里面，培训就要把代码、工具、问题单还有评审资料放在一起讲，项目组也要提前把阻力化解掉，像开发人员会感觉规则拖慢了进度，工程负责人会觉得流程变重了，供应商会觉得要求不够清晰，如果培训安排得明白，落地时遇到的阻力也处理得及时，MISRA才不会一直停留在工具报告和文档要求里面。

在嵌入式工程里，MISRA静态检查的结果应该怎样去复核，以及MISRA问题单的关闭依据又该怎样去统一，这两个问题经常没有得到足够的重视。开发团队拿到静态检查的报告以后，不能只去看违规的数量是不是变少了，也不能只盯着工具是不是给出了一份“通过”的结果。MISRA的检查结果，需要能和代码的版本、工具的配置、规则的版本以及问题处理记录一一对应起来；在关闭MISRA问题单的时候，团队同样要有一个统一的口径，一个问题究竟是修改后关闭、通过偏离关闭、被认定为误报关闭，还是暂时保留下来，项目负责人都应当能够看得清楚。只要团队把复核的标准和关闭的依据统一起来，后面的代码评审、客户评审还有供应商交付，才不容易出现来回返工的情况。

MISRA C 2012还有没有必要继续使用，MISRA规则版本发生切换时又会牵动哪些流程，对这个问题，不能简单地回答成“继续用”或是“马上换”。许多嵌入式工程已经按照MISRA C 2012开发了很多年，代码检查报告、偏离说明、客户评审资料以及供应商的交付要求，也都是围绕这个版本一层层建立起来的，如果团队一下子切到新版本，开发流程就会被重新拉动；可是如果团队一直停在旧版本上面，在新工程的评审、工具升级以及安全要求的补充中，也可能遇到麻烦。MISRA官方已经发布了MISRA C:2025，MISRA出版物页面也列出了与之相关的文档，因此团队现在讨论MISRA C 2012的时候，需要把历史工程和新工程分开来看。

MISRA C和MISRA C++应该怎么选，MISRA规则集在选型的时候先要去看哪些因素，这个问题不能只由团队对哪一种语言更熟悉来决定，在嵌入式工程里，一旦把规则集选错了，后面就会影响到代码的检查、问题的整改、供应商的交付以及工程的评审。MISRA C主要面向C语言的代码，它适合大量用到MCU、底层驱动、控制算法、通信协议栈的工程；MISRA C++则面向C++的代码，适合那些已经用上了类、对象、模板、构造与析构、命名空间等C++特性的工程，开发团队先把工程的主要语言看清楚，再去看软件风险、平台资源、工具支持，还有供应商代码的来源，这样选出来的规则集就不会偏得太远。

开发人员不要只从名称上去理解这两套规则，它们虽然都面向C语言，也都可以帮助减少代码里的毛病，但处理问题的侧重点并不同。MISRA C会把注意力更多地放在代码写法是不是稳定、能不能被工具查出来，以及后期评审时团队能不能讲明白；CERT C则更关心代码会不会留下安全方面的隐患，比如内存使用越过了边界、整数计算结果溢出、资源用完后没有被释放、来自外部的数据没有做检查，这些都属于CERT C经常要查看的内容。项目团队可以把MISRA C当作基础的写法要求，再把CERT C看成安全问题的补充检查，这样在安排规则时方向会清楚一些。

做MISRA审计时，很多团队最容易出现的偏差，不是没有规则，而是把审计理解成“把工具报告打一份出来”。这样做前期看起来省事，到了客户复核、第三方评估或内部质量追踪阶段，马上就会暴露问题，因为真正的MISRA审计看的是一条完整链路：项目采用了哪一版规范，规则如何落到项目，哪些规则靠工具检查，哪些规则靠人工复核，发现的问题如何整改，无法整改的又是如何偏离和批准。MISRA Compliance:2020讲得很直接，MISRA合规必须嵌入软件开发过程，而不是在生命周期后段临时补做；同时，项目交付时还要能拿出一组明确的合规支撑工件。

做MISRA时，很多团队最容易走偏的地方，不是规则不会查，而是把规则检查、需求管理、偏离审批和安全论证拆成了几条互不相连的线。这样到了评审或功能安全活动里，往往只能证明“代码查过了”，却说不清这些结果到底对应了哪些安全需求、哪些模块、哪些风险关闭动作。MISRA Compliance:2020对这件事的口径其实很明确，可信的MISRA合规声明必须建立在有纪律的软件开发过程上，而且项目需要说清采用了哪些指南、怎样执行、有哪些偏离，以及这些决定和活动要有文档记录；同时，MISRA明确要求软件需求包括安全需求在内应当完整、明确且正确，相关文档还可以进入安全论证。

很多团队做MISRA C时，前面最容易走偏的，不是规则不会查，而是把合规理解成一次性清零动作。等代码快收尾了，才集中跑静态检查、补偏差、补说明，最后往往变成一边返工一边补证据。MISRA Compliance:2020其实把主线说得很清楚，可信的合规声明必须建立在受控的软件开发过程中，而且合规要求应在代码提交评审或单元测试之前就满足；如果把合规检查放到生命周期后段，通常会引出大量返工。

很多人一提到MISRA C，第一反应就是“把所有规则背下来”。可真到项目里，最容易出错的地方反而不是记不住编号，而是把规则内容、规则级别和项目执行要求混成了一件事。MISRA官方在《MISRA Compliance:2020》里把这件事讲得很清楚：每条guideline都会带一个MISRA category，也就是Mandatory、Required或Advisory，这个级别决定的不是规则“重不重要”这么简单，而是违反之后在合规上能不能被接受、要不要走正式偏离流程。