Pr-1st-1.1-m06-Slajd32

Algorytm detekcji zakleszczenia dla modelu predykatowego (7)

Wysłanie wiadomości aplikacyjnej powoduje każdorazowo zwiększenie zmiennej ${\displaystyle notAc{k}_i}$ informującej o niepotwierdzonych wiadomościach wysłanych przez proces ${\displaystyle P_i}$.

Odebranie wiadomości aplikacyjnej przez monitor ${\displaystyle Q_i}$ powoduje dostarczenie tej wiadomości do procesu ${\displaystyle P_i}$ i wysłanie potwierdzenia typu ACK do monitora skojarzonego z procesem nadawcy. Odebranie takiego potwierdzenia przez monitor umożliwia zmniejszenie o 1 wartości zmiennej ${\displaystyle notAc{k}_i}$.

W sytuacji w której proces staje się procesem aktywnym, zmiennej ${\displaystyle contPassiv{e}_i}$ jest nadawana wartość False.

Jak wiadomo w celu wykazania poprawności algorytmu należy udowodnić twierdzenia mówiące o jego żywotności i bezpieczeństwie. Rozważając ciąg cykli wykonania algorytmu, oznaczymy przez ${\displaystyle {\tau }_i^k}$ moment czasu globalnego zakończenia cyklu k - tego w monitorze ${\displaystyle Q_i}$, a więc moment wysłania znacznika z ${\displaystyle Q_i}$ do ${\displaystyle Q_{i+1}}$ w k - tym cyklu. Analogicznie, ${\displaystyle {\tau }_{\alpha }^k}$ oznaczać będzie moment zakończenia cyklu k - tego w monitorze inicjatora ${\displaystyle Q_{\alpha }}$, to znaczy moment zakończenia całego cyklu k. Ponadto, dla każdego elementu ${\displaystyle X}$ (zmiennej, predykatu), ${\displaystyle X[\tau ]}$ oznaczać będzie wartości elementu ${\displaystyle X}$ w chwili ${\displaystyle \tau }$. W szczególności, ${\displaystyle {𝒫}{𝒟}[{\tau }_i^k]}$ oznacza wartość zbioru ${\displaystyle {𝒫}{𝒟}}$ zawartego w znaczniku, w momencie wysłania znacznika przez monitor ${\displaystyle Q_i}$ w ramach k - tego cyklu detekcji. Przyjmiemy jeszcze następującą definicję:

${\displaystyle contPassiv{e}_i^{*}({\tau }^{\prime },{\tau }^{″})\equiv ({\tau }^{\prime }\le {\tau }^{″})\wedge \mathrm{\forall }\tau ::{\tau }^{\prime }\le \tau \le {\tau }^{″}::passiv{e}_i[\tau ]}$

Jeżeli algorytm detekcji zakleszczenia zostanie zainicjowany w chwili ${\displaystyle t_b}$, to zakończy się w skończonym czasie, w pewnej chwili ${\displaystyle t_e}$, ${\displaystyle t_e>t_b}$.

Dowód:

Zauważmy, że znacznik przebywający i przetwarzany w monitorze ${\displaystyle Q_i}$ jest natychmiast przesyłany dalej, gdy ${\displaystyle P_i\in ̸{𝒫}{𝒟}}$. W przeciwnym razie, znacznik jest zatrzymywany i przechowywany w monitorze ${\displaystyle Q_i}$ aż do momentu ${\displaystyle \tau }$ spełnienia następującego warunku:

${\displaystyle (\mathrm{\neg }contPassiv{e}_i[\tau ])\vee (activat{e}_i({{𝒜}{𝒱}}_i\cup ({𝒫}\setminus {𝒫}{𝒟})[\tau ])\vee (notAc{k}_i=0)[\tau ]}$

Oczywiście warunek ${\displaystyle (contPassiv{e}_i[\tau ])\wedge (notAc{k}_i\ne 0)[\tau ])}$ nie może zachodzić przez czas nieograniczony, gdyż procesy pasywne nie wysyłają nowych wiadomości i, z drugiej strony, wszystkie wiadomości zostają potwierdzone w skończonym czasie. Tak więc w końcu warunek wysłania znacznika zostanie spełniony, a w konsekwencji cały cykl również zakończy się w skończonym czasie. Następny cykl, k + 2 jest inicjowany, gdy ${\displaystyle |{𝒫}{𝒟}[{\tau }_{\alpha }^k]|>|{𝒫}{𝒟}[t_{\alpha }^{k+1}]|}$. Wówczas funkcja: ${\displaystyle k\to |{𝒫}{𝒟}[{\tau }_{\alpha }^k]|}$ jest monotonicznie malejąca, z początkową wartością ${\displaystyle |{𝒫}|=n}$. Stąd liczba cykli jest skończona, a więc w skończonym czasie algorytm detekcji zakończy się.

Niech ${\displaystyle {\tau }_b}$ oraz ${\displaystyle {\tau }_e}$ oznaczają odpowiednio moment rozpoczęcia i zakończenia algorytmu detekcji zakleszczenia:

a) Jeżeli algorytm kończy się i zbiór ${\displaystyle {𝒫}{𝒟}}$ jest zbiorem pustym (${\displaystyle {𝒫}{𝒟}=\mathrm{\varnothing }}$), to dla każdego zbioru ${\displaystyle {ℬ}}$,${\displaystyle {ℬ}\ne \mathrm{\varnothing }}$ i ${\displaystyle {ℬ}\subseteq {𝒫}}$,

predykat ${\displaystyle deadlock({ℬ})}$ miał wartość ${\displaystyle False}$ w chwili ${\displaystyle {\tau }_b}$.

b) Jeżeli algorytm kończy się i zbiór ${\displaystyle {𝒫}{𝒟}}$ nie jest zbiorem pustym (${\displaystyle {𝒫}{𝒟}\ne \mathrm{\varnothing }}$), to predykat ${\displaystyle deadlock({𝒫}{𝒟})}$ ma wartość ${\displaystyle True}$ w chwili ${\displaystyle {\tau }_e}$. Ponadto dla każdego zbioru

${\displaystyle {ℬ}}$, takiego, że ${\displaystyle deadlock({ℬ})}$ miał wartość ${\displaystyle True}$ w chwili ${\displaystyle {\tau }_b}$, ${\displaystyle {ℬ}}$ jest podzbiorem zbioru ${\displaystyle {𝒫}{𝒟}}$ (${\displaystyle {ℬ}\subseteq {𝒫}{𝒟})}$.

Dowód implikacji a)

W celu udowodnienia implikacji a), wykażemy następującą implikację równoważną:

${\displaystyle (\mathrm{\exists }{ℬ}::{ℬ}\subseteq P::deadlock({ℬ})[{\tau }_b])\Rightarrow ({𝒫}{𝒟}[{\tau }_e]\ne \mathrm{\varnothing })}$

Zgodnie z założeniem, w chwili ${\displaystyle {\tau }_b}$ zachodzi predykat deadlock(\mathcal{B}) i \mathcal{B}\ne \emptyset. ${\displaystyle {𝒫}{𝒟}}$ początkowo jest równe ${\displaystyle {𝒫}}$ i stąd oczywiście w chwili ${\displaystyle {\tau }_b}$, \mathcal{B} Í \mathcal{PD}. Ponieważ deadlock(\mathcal{B}) jest predykatem stabilnym, prawdą jest, że:

${\displaystyle \mathrm{\forall }\tau ::\tau \ge {\tau }_b::deadlock({ℬ})[\tau ]}$ ${\displaystyle {}^{(W1)}}$

Stąd, korzystając z definicji zakleszczenia dla modelu predykatowego, otrzymujemy:

${\displaystyle \mathrm{\forall }\tau ::\tau \ge {\tau }_b::(\mathrm{\forall }{P}_i::P_i\in {ℬ}::passivei[\tau ]\wedge \mathrm{\neg }activat{e}_i({{ℐ}{𝒯}}_i[\tau ]\cup {{𝒜}{𝒱}}_i[\tau ]\cup {𝒫}\setminus {ℬ}))}$

Wszystkie procesy ${\displaystyle P_i}$ należące do \mathcal{B} są stale pasywne począwszy od chwili ${\displaystyle {\tau }_b}$, a więc od pierwszej wizyty znacznika. Pokażemy teraz nie wprost, że żaden proces należący do ${\displaystyle {ℬ}}$ nie może być usunięty z ${\displaystyle {𝒫}{𝒟}}$. Postawmy zatem hipotezę, że w chwili ${\displaystyle \tau >{\tau }_b}$, tuż przed możliwym usunięciem z ${\displaystyle {𝒫}{𝒟}}$ pewnego procesu ${\displaystyle P_i}$, zachodzi relacja ${\displaystyle {ℬ}\subseteq {𝒫}{𝒟}}$. Stale pasywny proces ${\displaystyle P_i}$ może być usunięty z ${\displaystyle {𝒫}{𝒟}}$, pod warunkiem, że spełniona jest w chwili ${\displaystyle \tau }$ relacja:

${\displaystyle activat{e}_i({{𝒜}{𝒱}}_i[\tau ]\cup {𝒫}\setminus {𝒫}{𝒟}[\tau ])=True}$

Zauważmy jednak, że ${\displaystyle {{𝒜}{𝒱}}_i[\tau ]={{𝒜}{𝒱}}_i[{\tau }_b]\cup \{P_k:\text{ wiadomości wysłane z }{P}_k\text{ do }{P}_i\text{ stały sie dostepne dla }{P}_i\text{ w przedziale }⟨{\tau }_b,\tau ⟩\}}$.

Rozważmy teraz wiadomość, która stała się dostępna dla ${\displaystyle P_i}$ w przedziale czasu ${\displaystyle ⟨{\tau }_b,\tau ⟩}$. Jej nadawca ${\displaystyle P_j}$ albo należał do ${\displaystyle {𝒫}\setminus {ℬ}}$, albo jest procesem należącym do ${\displaystyle {ℬ}}$, którego kanał wyjściowy ${\displaystyle C_{j,i}}$ nie był pusty w chwili ${\displaystyle {\tau }_b}$. Tak więc:

${\displaystyle {{𝒜}{𝒱}}_i[\tau ]\subseteq ({{𝒜}{𝒱}}_i[{\tau }_b]\cup {{ℐ}{𝒯}}_i[{\tau }_b]\cup {𝒫}\setminus {ℬ})}$

Z postawionej hipotezy wiemy, że ${\displaystyle activatei({{𝒜}{𝒱}}_i[\tau ]\cup {𝒫}\setminus {𝒫}{𝒟}[\tau ])=True}$, a stąd otrzymujemy:

${\displaystyle activat{e}_i({{𝒜}{𝒱}}_i[{\tau }_b]\cup {{ℐ}{𝒯}}_i[{\tau }_b]\cup {𝒫}\setminus {ℬ}\cup {𝒫}\setminus {𝒫}{𝒟}[\tau ])=True}$.

Ponieważ ${\displaystyle {ℬ}\subseteq {𝒟}{𝒫}[\tau ]}$, powyższa relacja redukuje się do:

${\displaystyle activat{e}_i({{𝒜}{𝒱}}_i[{\tau }_b]\cup {{ℐ}{𝒯}}_i[{\tau }_b]\cup {𝒫}\setminus {ℬ})=True}$.

Zauważmy, że ostatnia równość jest w sprzeczności z przyjętym założeniem: ${\displaystyle deadlock({ℬ})[{\tau }_b]=True}$. Tak więc, żaden proces należący do ${\displaystyle {ℬ}}$ nie może być usunięty z ${\displaystyle {𝒫}{𝒟}}$, co kończy dowód implikacji a).

Zauważmy jednak jeszcze, że gdy algorytm kończy się i ${\displaystyle {𝒫}{𝒟}\ne \mathrm{\varnothing }}$ to otrzymujemy:

${\displaystyle {ℬ}\ne \mathrm{\varnothing }\wedge {ℬ}\subseteq {𝒫}{𝒟}}$ ${\displaystyle {}^{(W2)}}$

Dowód implikacji b)

Zgodnie z konstrukcją, algorytm kończy się w chwili ${\displaystyle {\tau }_e={\tau }_{\alpha }^k+1}$ z wynikiem ${\displaystyle {𝒫}{𝒟}\ne \mathrm{\varnothing }}$ wtedy i tylko wtedy, gdy

${\displaystyle {𝒫}{𝒟}[{\tau }_{\alpha }^k+1]|=|{𝒫}{𝒟}[{\tau }_{\alpha }^k]|}$ i ${\displaystyle {𝒫}{𝒟}[{\tau }_{\alpha }^k+1]\ne \mathrm{\varnothing }}$

Niech ${\displaystyle {\tau }_k}$, spełnia relację ${\displaystyle max({\tau }_i^k)\le {\tau }_k\le min({\tau }_i^k+1)}$, Chwila taka istnieje, gdyż przykładowo ${\displaystyle {\tau }_k}$ może być równe ${\displaystyle {\tau }_i^k}$. W szczególności zachodzi:

${\displaystyle \mathrm{\forall }{P}_i::P_i\in {𝒫}::{\tau }_i^k\le {\tau }_{\alpha }^k\le {\tau }_k\le {\tau }_i^k+1\le {\tau }_{\alpha }^k+1}$

Ponieważ zbiór ${\displaystyle {𝒫}{𝒟}}$ może jedynie ulegać redukcji, otrzymujemy:

${\displaystyle \mathrm{\forall }{P}_i::P_i\in {𝒫}::{𝒫}{𝒟}[{\tau }_i^k]\supseteq {𝒫}{𝒟}[{\tau }_{\alpha }^k]\supseteq {𝒫}{𝒟}[{\tau }_k]\supseteq {𝒫}{𝒟}[{\tau }_i^k+1]\supseteq {𝒫}{𝒟}[{\tau }_{\alpha }^k+1]}$

Tak więc, jeżeli algorytm zakończy się w chwili ${\displaystyle \tau ={\tau }_{\alpha }^k+1i{𝒫}{𝒟}[\tau ]\ne \mathrm{\varnothing }}$, to

${\displaystyle \mathrm{\forall }{P}_i::P_i\in {𝒫}::{𝒫}{𝒟}[{\tau }_{\alpha }^k]={𝒫}{𝒟}[{\tau }_k]={𝒫}{𝒟}[{\tau }_i^k+1]={𝒫}{𝒟}[{\tau }_{\alpha }^k+1]}$

Niech${\displaystyle {{𝒫}{𝒟}}^{*}}$ będzie oznaczać zbiór spełniający powyższą zależność. Udowodnimy, że ${\displaystyle deadlock({{𝒫}{𝒟}}^{*})}$ zachodzi w chwili ${\displaystyle \tau ={\tau }_k}$, to znaczy, spełnione są w chwili ${\displaystyle {\tau }_k}$ następujące warunki:

C1. ${\displaystyle {{𝒫}{𝒟}}^{*}\ne \mathrm{\varnothing }}$i

C2. ${\displaystyle (\mathrm{\forall }{P}_i::P_i\in {{𝒫}{𝒟}}^{*}::passiv{e}_i[{\tau }_x])}$ i

C3. ${\displaystyle (\mathrm{\forall }{P}_i::P_i\in {{𝒫}{𝒟}}^{*}::\mathrm{\neg }activat{e}_i({{ℐ}{𝒯}}_i[{\tau }_x]\cup {{𝒜}{𝒱}}_i[{\tau }_x]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*}))}$.

Pokażemy teraz, że powyższe warunki są spełnione, jeżeli algorytm zakończy się z ${\displaystyle {{𝒫}{𝒟}}^{*}\ne \mathrm{\varnothing }}$. Z definicji warunku zakończenia wynika wprost, że jeżeli algorytm kończy się z ${\displaystyle {{𝒫}{𝒟}}^{*}\ne \mathrm{\varnothing }}$, to warunek C1 jest spełniony w chwili ${\displaystyle {\tau }_k}$. Niech teraz ${\displaystyle P_i\in {{𝒫}{𝒟}}^{*}}$. Z konstrukcji algorytmu wynika, że tylko proces stale pasywny począwszy od zakończenia pierwszego cyklu w chwili ${\displaystyle {\tau }_i^1}$, może należeć do ${\displaystyle {{𝒫}{𝒟}}^{*}}$. Stąd mamy:

${\displaystyle contPassiv{e}_i^{*}({\tau }_i^1,{\tau }_i^k+1)}$, a więc ${\displaystyle passiv{e}_i[{\tau }_x]}$

Tym samym warunek C2 zajścia zakleszczenia został zweryfikowany. Ponieważ ${\displaystyle P_i\in {{𝒫}{𝒟}}^{*}}$, wnioskujemy z konstrukcji algorytmu , że:

${\displaystyle \mathrm{\neg }activat{e}_i({{𝒜}{𝒱}}_i[{\tau }_i^k]\cup {𝒫}\setminus {𝒫}{𝒟}*)=True}$.

W przeciwnym bowiem razie, ${\displaystyle P_i}$ zostałby usunięty ze zbioru ${\displaystyle {{𝒫}{𝒟}}^{*}}$. Ale, skoro ${\displaystyle {{𝒜}{𝒱}}_i}$ może tylko zmienić się przez dołączanie nowych elementów, a ${\displaystyle {𝒫}\setminus {{𝒫}{𝒟}}^{*}}$ nie zmienia się w przedziale ${\displaystyle ⟨{\tau }_{\alpha }^k,{\tau }_{\alpha }^k+1⟩}$, otrzymujemy:

${\displaystyle ({{𝒜}{𝒱}}_i[{\tau }_x]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})\subseteq {{𝒜}{𝒱}}_i[{\tau }_i^k+1]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})}$

Z konstrukcji algorytmu wnioskujemy dalej, że wszystkie kanały wyjściowe procesów należących do ${\displaystyle {{𝒫}{𝒟}}^{*}}$ są puste w chwili ${\displaystyle {\tau }_{\alpha }^k}$, gdyż znacznik jest zatrzymywany przez monitor skojarzony z pasywnym procesem należącym do ${\displaystyle {{𝒫}{𝒟}}^{*}}$ do momentu uzyskania potwierdzeń dla wszystkich wysłanych wcześniej wiadomości (${\displaystyle notAc{k}_i=0}$).

Ponieważ procesy te są przy tym stale pasywne od pierwszej wizyty znacznika, ich kanały wyjściowe są puste w chwili ${\displaystyle {\tau }_x}$. Stąd:

${\displaystyle ({{ℐ}{𝒯}}_i[{\tau }_x]\cap {{𝒫}{𝒟}}^{*})=0}$ i dlatego ${\displaystyle {{ℐ}{𝒯}}_i[{\tau }_x]\in {𝒫}\setminus {{𝒫}{𝒟}}^{*}}$.

W konsekwencji:

${\displaystyle ({{ℐ}{𝒯}}_i[{\tau }_x]\cup {{𝒜}{𝒱}}_i[{\tau }_x]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})=({{𝒜}{𝒱}}_i[{\tau }_x]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})}$

Z zależności i) otrzymujemy:

${\displaystyle ({{ℐ}{𝒯}}_i[{\tau }_x]\cup {{𝒜}{𝒱}}_i[{\tau }_x]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})\subseteq ({{𝒜}{𝒱}}_i[{\tau }_i^k+1]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})}$

Z kolei z monotoniczności predykatu ${\displaystyle activat{e}_i}$ oraz z powyższego równania wnioskujemy, że jeżeli zachodzi:

${\displaystyle \mathrm{\neg }activat{e}_i({{𝒜}{𝒱}}_i[{\tau }_i^k+1]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})}$

to zachodzi również

${\displaystyle \mathrm{\neg }activat{e}_i({{ℐ}{𝒯}}_i[{\tau }_x]\cup {{𝒜}{𝒱}}_i[{\tau }_x]\cup {𝒫}\setminus {{𝒫}{𝒟}}^{*})}$

Z konstrukcji wnosimy dalej, że predykat jest spełniony dla wszystkich ${\displaystyle P_i\in {{𝒫}{𝒟}}^{*}}$. Tym samym warunek C3 został wykazany.

Powyższe punkty dowodzą, że predykat ${\displaystyle deadlock({{𝒫}{𝒟}}^{*})}$ zachodzi w chwili ${\displaystyle {\tau }_x}$. Ponieważ jak wiadomo, predykat ten jest stabilny i ${\displaystyle {\tau }_x\le {\tau }_e}$ , ${\displaystyle deadlock({{𝒫}{𝒟}}^{*})}$ zachodzi również w chwili ${\displaystyle \tau }$.

Dowodzi to pierwszego stwierdzenia implikacji b). Zauważmy na koniec, że jeżeli istnieje zbiór ${\displaystyle {ℬ}}$, dla którego ${\displaystyle deadlock({ℬ})[{\tau }_b]=True}$, to z własności (W1) oraz (W2) wnioskujemy, że ${\displaystyle {ℬ}\in {𝒫}\setminus {{𝒫}{𝒟}}^{*}}$. Tym samym drugie stwierdzenie implikacji b) zostało udowodnione.

<< Poprzedni slajd | Spis treści | Następny slajd >>