> Z asercjami nie jest napisane, że ni mniej ni więcej niż 2, tylko że co
> najmniej dwie na funkcję, czyli nie ma górnego limitu.
> Inna sprawa, że to pełnej sensowności tej regule nie nadaje.

Tak. Można stwierdzić, że w ogóle nie powinno być żadnych asercji w kodzie programu,
bo w systemie krytycznym one nie pełnią tam żadnej sensownej roli. Nawet jeśli
przyjmiemy założenie, że źle działający program należy zabić na miejscu, to nie można
obowiązku zabijania nałożyć na ten sam program, o którym właśnie mówimy, że źle
działa. To jest bez sensu. Monitor/strażnik, jeśli już, musi być niezależnym bytem.

To, że MISRA-C i AUTOSAR nawet nie wspominają o asercjach nie jest przypadkiem. A to,
że AUROSAR wspomina o static_assert też nie jest przypadkiem, bo wykrycie czegoś w
czasie kompilacji, czyli przed uruchomieniem, akurat ma sens.

Więc zalecanie, żeby funkcja miała co najmniej dwie asercje, to jakaś pomyłka.

--
Maciej Sobczak * http://www.inspirel.com