А.С. Прокопенко, А.Г. Тормасов Дедуктивный метод анализа

ТРУДЫ МФТИ. — 2010. — Том 2, № 3
Математика, информатика, экономика
53
УДК 004.451.2
А.С. Прокопенко, А.Г. Тормасов
Московский физико-технический институт (государственный университет)
Дедуктивный метод анализа логических гонок с использованием
сепарационной логики
В работе предложен дедуктивный метод анализа логических гонок на основе метода
Rely–Guarantee и сепарационной логики. В отличие от схожих методов, предложенный метод позволяет проводить анализ параллельных программ на общей памяти, в которых некоторые потоки имеют совместно используемые области памяти, скрытые от других потоков;
не специфицировать состояния всей системы после каждого шага, что способствует проведению анализа логических гонок с меньшим числом ложных отчетов.
Ключевые слова: параллельное программирование, верификация программ, логика Хоара, сепарационная логика, логическая гонка.
I. Введение
Выполнение параллельных программ — программ, состоящих из нескольких потоков, взаимодействующих друг с другом посредством общей памяти, — чревато возникновением состояния неразрешенной гонки — ошибки многопоточного программирования, при которой выполнение
программы нарушает ту часть спецификации (набор формализованных утверждений, описывающих требования к программе), которая касается
доступа к общим данным.
Проверка соответствия выполнения параллельных программ заданной спецификации
осложнена тем, что порядок, в котором будут
выполнены инструкции разных потоков, заранее непредсказуем, и необходимо рассмотреть
всевозможные варианты выполнения программ.
Одна из главных сложностей, связанных с проверкой правильности программ, — это «комбинаторный взрыв» в пространстве состояний системы — значительный рост объема проверок даже
при небольшом усложнении комплекса программ.
В том случае, когда спецификация параллельных
программ может быть разбита на отдельные свойства, описывающие поведение небольших фрагментов системы, возможно применить стратегию
проверки каждого локального свойства, используя только тот фрагмент системы, который описывается лишь этим свойством. Допустим, что
имеются n потоков T1 , T2 ,. . . Tn , исполняющихся
одновременно. Поскольку поведение потока T1 зависит от поведения других потоков, именуемых
средой, пользователь формулирует ряд допущений (Rely), которые должны выполняться средой,
для того чтобы гарантировать корректность потока T1 . Поскольку поведение среды также зависит
от поведения потока T1 , пользователь формулирует ряд допущений (Guarantee), которые должны выполняться потоком, для того чтобы гарантировать корректность среды. Построив долж-
ным образом комбинацию допущений потоков,
можно установить правильность всей системы
T1 ||T2 || . . . ||Tn . Этот подход, называемый композиционным (Rely/Guarantee,Assume/Guarantee),
активно используется прежде всего в методах
проверки на основе моделей (model checking) и в
дедуктивной верификации (theorem proving).
В дедуктивном методе Rely/Guarantee —R/G[1]
(Jones,1983) анализ исполнения программы выполняется посредством применения правил вывода к программным инструкциям. Существенным
недостатком являются необходимость спецификации инвариантов всех общих данных. Применение сепарационной логики (Separation Logic [2])
для модернизации метода R/G позволит ликвидировать эту проблему, но в самой сепарационной
логике доступ к совместно используемым данным
обладает высокой степенью абстрактности, что
при верификации часто влечет ложные заключения о характере выполнения параллельных программ[3]. На идее синтеза дедуктивного метода
R/G и сепарационной логики создано несколько методов: SAGR [3] (Feng, 2007), RGSep [4]
(Vafeiadis, 2007), LocalRG [5] (Feng, 2009). Однако
два первых метода не позволяют явно рассматривать программы, в которых некоторые потоки
имеют общие области памяти, скрытые от других
потоков, что отрицательно отражается на результатах анализа параллельных программ, к тому же
SARG в качестве команд рассматриваются ассемблерные инструкции на архитектуре RISC, что в
целом затрудняет процесс верификации. Главным
недостатком LocalRG является требование точного инварианта [5]. Также LocalRG, SARG не подходят для верификации свойств живучести (liveness
properties). Неформально говоря, живучесть —
это те свойства программ, которые утверждают,
что нечто изначально задуманное произойдет при
любом развитии внешних событий и любом ходе
работы собственно программы.
54
Математика, информатика, экономика
II. Цель работы
Создание и доказательство непротиворечивости формального метода, основанного на дедуктивном методе R/G и сепарационной логики. Отличием предлагаемого метода анализа логических
гонок в параллельных программах на общей памяти от схожих методов должна стать возможность
проведения анализа параллельных программ, в
которых некоторые потоки имеют совместно используемые области памяти, скрытые от других
потоков, с меньшим числом ложных отчетов.
Для этого необходимо решить следующие задачи:
• внести изменения в модель состояний композиционного метода RGSep;
• ввести новое правило сокрытия ресурсов;
• внести необходимые правки в другие правила RGSep логики;
• доказать непротиворечивость предложенной
логики.
III. Модель памяти, сепарационная
логика
В оригинальном методе Rely/Guarantee модель
памяти наследована от модели памяти, традиционно используемой в логике Хоара:
V alues = {..., − 2, − 1, 0, 1, ...};
V ars = {x, y, ...};
Stores = V ars → V alues.
Но такое представление не подходит для описания динамических структур. Этот пробел восполняет сепарационная логика. Пока, в силу определенных причин, еще не выработан единый стандарт этой логики, мы в своей работе руководствуется следующим представлением памяти сепарационной логики:
V alues = {..., − 2, − 1, 0, 1,...};
V ars = {x, y, ..., &x, &y, ...};
Locations = {1, 2, ...};
Stores = V ars → V alues;
Heaps = Locations → f in V alues;
Σ = Stores × Heaps.
А сами программные состояния характеризуются
через утверждения (формулы состояния памяти):
пусть Σ — пространство программных состояний,
B — булево множество {0, 1}, тогда утверждением p над пространством состояний называем предикат вида p = {α|α : Σ → B}.
ТРУДЫ МФТИ. — 2010. — Том 2, № 3
Пусть p и q являются утверждениями в сепарационной логике:
p, q ::= f alse|emp|e = e |e → e |p ⇒ q|p ∗ q|p − ⊗q|...
Здесь emp введено для обозначения пустой кучи (Heap), e → e описывает состояние, в котором куча состоит из одной выделенной ячейки по адресу e1 с содержанием e2 . Оператор
раздельной конъюнкции (separating conjunction)
* является ключевым элементом сепарационной
логики. Куча h удовлетворяет p ∗ q, если ее
можно разбить на две части, одна удовлетворяет утверждению p, другая — q: (t,h)| = (p ∗
q) ⇔ ∃ h1 , h2 , h1 h2 = h ∧ (h1 | = p) ∧ (h2 | = q).
Если для всех h1 , h1 , h2 , h2 ⊆ h:
(h1 h2 = h1 h2 ) ∧ (t,h1 | = p) ∧ (t,h1 | = p) следует
h1 = h1 , то утверждение p = {α|α : Σ → B} называется однозначным утверждением precise (p).
В нашей модели мы различаем локальные и
общие ячейки памяти (среди общих ячеек памяти, также могут быть доступные всем или только
части потокам), поэтому состояние потока — это
набор двоек (l,s) ∈ Σ2 . Тогда пусть запись p —
утверждение относительно общих ячеек памяти,
а p — локальных. Синтаксис:
p, q ::= P |Q|p|q|p ∗ q|p ∧ q|p ∨ q|p − ⊗q.
Отношение | = выполнимости утверждения в состоянии σ = (s,l) определяется по индукции:
(l,s)| = P ⇔ l| = SepL P ; (l,s)| = P ⇔ l| = SepL P ;
(l,s)| = P ⇔ (l = ∅) ∧ (s| = SepL P );
(l,s)| = P ∗ Q ⇔ (l = ∅) ∧ ∃ s1 ,s2 ;
(s = s1 s2 ) ∧ (s1 | = SepL P ) ∧ (s2 | = SepL Q);
σ| = p1 ∗ p2 ⇔
∃ σ1 ,σ2 (σ = σ1 ⊥σ2 )∧(σ1 | = SepL p1 )∧(σ2 | = SepL p2 );
σ| = p1 ∨ p2 ⇔ (σ| = SepL p1 ) ∨ (σ| = SepL p2 );
σ| = p1 ∧ p2 ⇔ (σ| = SepL p1 ) ∧ (σ| = SepL p2 );
σ| = p − ⊗q ⇔
∃ σ1 ,σ2 (σ2 = σ1 ⊥σ) ∧ (σ1 | = SepL p) ∧ (σ2 | = SepL q).
IV. Представление команд
программы
Параллельная программа представляет собой
последовательность из инициализирующих команд и набора одновременно исполняющихся потоков C0 ; (C1 ||...||Cn ). Каждый поток состоит из
операторов.
Определим синтаксис языка программирования следующим образом:
ТРУДЫ МФТИ. — 2010. — Том 2, № 3
• команды:
Математика, информатика, экономика
C ::= skip|x := E|x := [E]|[E] := E|C;
C|if B th en{C}else{C}|
|whileBdo{C}|x :=
:= new()|delete(E)|CAS([E],x,x);
• целочисленные выражения: E ::= x|n|E iop E;
• логические выражения: B ::= b|E bop E.
Вспомогательные определения: n ∈ Z — множество целых чисел; b ∈ B = {true, f alse} — множество логических значений; iop ∈ Iop = {+,−,,...} —
постоянное конечное множество целочисленных
бинарных операций; bop ∈ Bop = {= , < , > , ...} —
постоянное конечное множество логических бинарных операций. Запись [x] означает содержание
ячейки по адресу x. Оператор skip (пустой оператор) не меняет состояния программы.
V. Действия
При моделировании вычисления параллельной программы мы принимаем широко распространенную предпосылку — чередование (мультипрограммность, interleaving). Она позволяет значительно упростить анализ реального параллельного вычисления, которое выполняется процессорами машины, и в тоже время адекватно его представить. Чередование позволяет мыслить о выполнении параллельной программы, как о последовательности дискретных шагов. Для того чтобы
в таком представлении были учтены всевозможные сценарии исполнения программы, и при этом
требование адекватного представления программы не нарушалось, необходимо, чтобы инструкции были максимально атомарны.
Rely- и Guarantee-условия определяют допустимость изменений общих состояний. В нашей
модели введем понятие действий (actions) p ∼> q,
которые определяют переходы между общими
состояниями, специфицированными утверждениями p и q:
(s1 ∗ s0 , s2 ∗ s0 )| = p ∼> q
⇔
⇔
s1 | = p ∧ s1 | = q; (s1 , s2 )| = [p]
⇔
s1 = s2 ∧ s1 | = p;
(s, s )| = a ∗ a
⇔
⇔
⇔
s = s1 ⊗ s2 ∧ s =
= s1 ⊗ s2 ∧ (s1 , s1 | = a1 ) ∧ (s2 , s2 | = a );
(s1 , s2 )| = a ⇒ a ,
если из (s1 ,s2 )| = a следует (s1 ,s2 )| = a .
Первая формула специально записана в расцепленном на две части виде для уменьшения работы
при верификации. Аналогично можно записать и
55
другие выражения, если присутствует часть общего состояния, которая не затрагивается действием.
Поскольку некоторые операция меняют состояния ячеек, то и в нашей работе имеет смысл ввести понятие устойчивости утверждения p под воздействием a.
Будем говорить, что утверждение p устойчиво
под действием а Stab(p, a) тогда и только тогда,
когда ∀ s,s , таких, что s| = p ∧ (s,s )| = a следует
s | = p.
Доказана лемма 1. Stab(p, r− > q) ⇔
| = (r − ⊗p) ∗ q ⇒ p.
Первая лемма утверждает, что если из состояния, удовлетворяющего утверждению p, вычистить часть состояния, удовлетворяющею r, и
заменить на часть, удовлетворяющую утверждению q, то результат по-прежнему будет удовлетворять p. Соответствующая лемма есть и в работах SepRG, LocalRG. Здесь и далее доказательства некоторых утверждений опущены для экономии места.
Доказана лемма 2. Stab(p,(R1 ∪ R2 )∗) ⇔
Stab(p,R1 ) ∧ Stab(p,R2 ).
Вторая лемма о том, что утверждение p устойчиво под множеством действии R тогда, когда
устойчиво под действием каждого.
Доказана лемма 3. Stab(p1 ,a) ∧ Stab(p2 ,a) ⇔
Stab(p1 ∧p2 ,a); Stab(p1 ,a1 )∨Stab(p2 ,a2 ) ⇒ Stab(p1 ∨
p2 ,a1 ∧a2 ); Stab(p,a1 )∧Stab(p,a2 ) ⇒ Stab(p,a1 ∧a2 ).
Казалось бы, сепарационная конъюнкция над
действиями a ∗ a позволит скомбинировать различные переходы в одну запись, однако это не так.
Пример. Пусть L1 → 1, a1 = {L2 → 2, L2 → 3}
и L2 → 4, a2 = {L1 → 5, L1 → 6}, причем
L1 = L2 , то есть имеем Stab(p1 ,a), Stab(p2 ,a) и
Stab(p1 ∗ p2 ,a1 ∗ a2 ) — ложь.
Это вызвано тем, что мы в нашей модели стараемся снять требование спецификации всех возможных состояний. Поэтому типичного определения инварианта как утверждения истинного до и
после выполнения нам недостаточно, еще необходимо требование точного инварианта I.
Будем говорить, что действие a защищено
точным инвариантом I a тогда и только тогда, когда инвариант имеет место в начальном и конечном переходах, удовлетворяющих
a, и является точным инвариантом precise(I):
a ⇒ (I ∼> I) ∧ precise(I).
Доказана лемма 4.
(Stab(p1 ,a1 ) ∧ Stab(p2 ,a2 ) ∧ p1 ⇒ I) ∧ (I a) ⇒
⇒ Stab(p1 ∗ p2 , a1 ∗ a2 ).
VI. Правила вывода
В оригинальном методе R/G спецификация каждого потока задается четверкой
(pre, R, G, post). В нашем методе формулу частичной корректности (частичной в смысле того,
56
Математика, информатика, экономика
что завершение работы программного кода не
является обязательным условием) запишем как
R; G; I| − {pre}C{post}, это означает, что если
предусловия удовлетворяют утверждению pre, изменения общих состояний средой выполняются в
соответствии с R, выполнение кода потока удовлетворяет G при защите точным инвариантом I,
и если подпрограмма завершает работу, то постусловия удовлетворяют утверждению post.
Произвольное правило семантики записывается в виде дроби, где в числители записаны условия
и формулы корректности, при которых формула
частичной корректности, записанная в знаменателе, верна.
По сравнению с логикой RGSep введено понятие сепарационной конъюнкции для спецификации R1 ∗R2 , G1 ∗G2 , инварианта I1 ∗I2 ; введено два
новых правила для скрытия части общих данных
и «разбивки» локальных:
R; G; I| − {P ∗ Y }C{Q ∗ Y } Stab(M,R) I {R ,G } M ⇒ I ∗ true
;
R ∗ R ,G ∗ G ,I ∗ I | − {P ∗ M ∗ Y }C{Q ∗ M ∗ Y }
R ∗ R ; G ∗ G ; I ∗ I | − {p}C{q} I {R,G}
.
R,G,I| − {p}C{q}
В рамках нашего метода «традиционные» правила дедуктивных методов на основе R/G принимают следующий вид:
R,G,I| − {pre}C{post} Stab(p,R ∪ G))
;
R,G,I| − {pre ∗ p}C{post ∗ p}
P ∼> Q ⊆ G P ∪ Q ⇒ I I {R,G} Sta({P,Q},R) P1 ∼> Q1 ⊆ G
R; G; I| − {P1 ∗ P}atomic{C}{Q1 ∗ Q}
.
VII. Доказательство
непротиворечивости
Будем говорить, что спецификации G выполняется на пути исполнения программы
Guar(G,C,σ,R): если программный код C начинает выполняться из состояния σ, действия среды
удовлетворяет спецификации R, тогда говорят,
что выполнение потока удовлетворяет спецификации G тогда и только тогда, когда программа не
завершается аварийно и если изменение всех общих состояний при каждом переходе выполняется
в соответствии с G.
Введем определение истинности формулы частичной корректности: R; G; I| = {p}C{q} ⇔ l,s| = p,
R
Guar(G,C,(l,s),R), (C,(l,s)) −→ ∗(skip,(l ,s )),
l ,s | = q.
Доказана лемма 5. Если программный
код C является примитивом, то возмоR
−→
жен один из трех сценариев: (C,σ)
R
R
∗(C ,σ ) ⇔ (C,σ) −→e ∗(C,σ ); (C,σ) −→
R
R; G; I| − {pre1 }C{post} R; G; I| − {pre2 }C{post}
;
R; G; I| − {pre1 ∪ pre2 }C{post}
R; G; I| − {pre}C{post1 } R; G; I| − {pre}C{post2 }
;
R; G; I| − {pre}C{post1 ∩ post2 }
Stab(pre,R)
;
R; G; I| − {pre}skip{post}
R
R
R; G; I| − {p}C1 {r} R; G; I| − {r}C2 {q}
.
R; G; I| − {p}C1 ; C2 {q}
К тем командам, которые не имеют доступа к общим данным, нужно использовать адаптированные правила из сепарационной логики:
| − SepL {P }c{Q}
.
R,G,I| − {Q}c{Q}
В правиле параллельного исполнения явно указываются утверждения о локальных и общих частях,
при этом общие части должны удовлетворять точному инварианту:
.
R
(C,σ) −→ ∗(skip,σ ) ⇔ ∃ σ σ .(C,σ) −→e
R
R
(C,σ ) −→p (skip,σ ) −→e (skip,σ ).
Доказана лемма 6 об условии G при параллельном исполнении. Если Guar(G1 ,C1 ,σ,R ∪ G2 ),
Guar(G2 ,C2 ,σ,R ∪ G1 ) и σ1 ◦ σ2 = σ, то
R
Guar(G1 ∪ G2 ,C1 ||C2 ,σ,R); если (С1 ||С2 ,σ) −→
∗(С1 ||С2 ,σ ), то ∃σ1 ,σ2 .(С1 ,σ1 )
R∪G1
R,G,I| − {pre}C{post}
;
R,G,I| − {pre}C ∗ {post}
R; G1 ∪ G2 ; I| − {P1 ∗ P2 ∗ T }C1 ||C2 {P1 ∗ P2 ∗ (R1 ∧ R2 )}
В качестве примера здесь приведено правило для
исполнения команд во взаимоисключающем режиме для простого случая (обозначаем как atomic):
∗f ault ⇔ ∃σ .(C,σ) −→e (C,σ ) −→p f ault;
R ,G ,I| − {pre }C{post} R ⊆ R G ⊆ G pre ⇒ pre post ⇒ post
;
R,G,I| − {pre}C{post}
R ∪ G2 ; G1 ; I| − {P1 ∗ T }C1 {Q1 ∗ T1 }
I {R,G}
R ∪ G1 ; G2 ; I| − {P2 ∗ T }C2 {Q2 ∗ T2 } T ∪ T1 ∪ T2 ⇒ I
ТРУДЫ МФТИ. — 2010. — Том 2, № 3
R∪G2
−→
∗(С1 ,σ1 ),
(С2 ,σ2 ) −→ ∗(С2 ,σ2 ),σ1 ◦ σ2 = σ .
Доказана лемма 7 об условии G при последовательном исполнении. Если Guar(G,C1 ,σ,R),
R
∀ σ : (С1 ,σ) −→ ∗(skip,σ ), Guar(G,C2 ,σ ,R), то
Guar(G,C1 ; C2 ,σ,R).
R
Доказана лемма 8. Если (С1 ; C2 ,σ) −→
R
∗(skip,σ ), тогда ∃ σ : (С1 ,σ) −→ ∗(skip,σ ) и
R
(С2 ,σ ) −→ ∗(skip,σ ).
Для интерпретации выводимости как доказательства в смысле частичной корректности необходимо, чтобы система вывода обладала свойством непротиворечивости, то есть чтобы при выполнении общезначимых формул получались общезначимые, что отражает доказанная теорема о
том, что предложенная система вывода непротиворечива для свойства частичной корректности:
если R; G; I|−{p}C{p}, то R; G; I| = {p}C{p}. Программа считается прошедшей проверку, если для
каждого потока с помощью применения аксиом и
правил показан вывод формулы корректности.
ТРУДЫ МФТИ. — 2010. — Том 2, № 3
VIII. Практическое применение
С помощью метода верифицированы на отсутствие гонок несколько типичных программ
добавления/удаления элемента из очереди, стека,
алгоритм «булочной». Причем в части из этих
программ механизмы синхронизации реализованы с помощью структур свободных от блокировок
(lock-free).
IX. Заключение
В работе предложено расширение дедуктивного метода верификации на базе дедуктивного
метода Rely/Guarantee и сепарационной логики.
В отличие от схожих методов, предложенный метод позволяет проводить анализ параллельных
программ на общей памяти, в которых некоторые
потоки имеют совместно используемые области
памяти, скрытые от других потоков; не специфицировать состояния всей системы после каждого
шага, что способствует проведению анализа логических гонок с меньшим числом ложных отчетов.
Дальнейшая работа планируется в направлении исследования автоматизации процесса анализа на базе инструментов типа Smallf ootRG,
Isabelle/HOL.
Математика, информатика, экономика
57
Литература
1. Jones C. Specification and design of
(parallel) programs // Proceedings of IFIP ’83. —
North–Holland, 1983. — Р. 321--332.
2. Reynolds C. Separation logic: A logic for
shared mutable data structures // Proc. 17th Annual
IEEE Symposium on Logic in Computer Science
(LICS’02). — IEEE Computer Society. — July
2002. — P. 55–74.
3. Feng X., Rodrigo F., Zhong S. On the
relationship between concurrent separation logic and
assume-guarantee reasoning // Proc. 16th European
Symp. on Prog. (ESOP’07). — Vol. 4421 of Lecture
Notes in Computer Science. — Springer, March
2007. — P. 173–188.
4. Vafeiadis V., Parkinson M. A marriage of rely
/ guarantee and separation logic // Proc. 18th Int’l
Conf. on Concurrency Theory (CONCUR’07). —
Vol. 4703 of Lecture Notes in Computer Science. —
September 2007. — P. 256–271.
5. Feng X. Local rely-guarantee reasoning //
ACM Symposium on Principles of Programming
Languages. — ACM, 2009. — P. 315–327.
Поступила в редакцию 27.09.2010.