Systèmes de transitions à tableaux faibles

Dans notre approche, les systèmes étudiés sont des systèmes de transition paramétrés, c’est-à-dire des ensembles de transitions manipulant des variables et tableaux indicés par des identificateurs de processus. Du point de vue de l’utilisateur, la notion d’événements présentée précédemment importe peu : les accès aux variables et tableaux sont compris comme tels. En revanche, dans notre analyse, on manipule des états exprimés dans le langage à événements L_E, c’est-à-dire des états comportant des événements et des relations. Pour concilier ces deux points de vue, on exprime les systèmes de transition dans un langage de description LD, dans lequel les événements n’apparaissent pas, et on utilise des fonctions de traduction pour transposer un système du langage L_D vers le langage à événements L_E. On présente à présent les différents éléments constitutifs d’un système de transition avec mémoire faible. A chaque étape, on donne un exemple issu du Mutex Naïf présenté précédemment en Figure 3.3.

4.4.1 Langage de description

Le langage de description L_D permet à l’utilisateur d’exprimer les états et transitions en faisant abstraction des événements et des relations. Une grande partie de ce langage est commune avec le langage à événements L_E.

const, c ::= constantes

proc, i, j, k ::= variables de processus x, y, z ::= tableaux SC

α, β, γ ::= variables et tableaux faibles op ::= = | 6= | < | ≤

term, t ::= c | i | x[j] | α | α[j] | i @ α | i @ α[j] atom, a ::= t op t | true | false | fence()

literal, l ::= a | ¬a qf_form, qff ::= l | qff ∧ qff uformula, uf ::= ∀~j : proc· qff

eformula, ef ::= ∃~j : proc· qff

La principale différence avec le langage LE réside dans l’accès aux variables et tableaux faibles. Les termes i @ α et i @ α[j] représentent des accès réalisés par un processus i, tandis que α et α[j] ne précisent pas quel processus effectue l’accès. Le contexte permet de décider quelle forme doit être utilisée. Le prédicat fence() se comporte également différemment par rapport au langage L_E : il ne représente plus une relation mais indique si le tampon d’un processus est vide ou non, autrement dit, il est vrai pour un processus lorsque toutes ses écritures sont devenues visibles globalement pour les autres processus.

Par ailleurs, dans un souci de praticité, on utilise les notations suivantes pour repré-senter différents ensembles de variables fréquemment utilisés :

— X : l’ensemble des tableaux SC (x, y...)

— A⁰ : l’ensemble de toutes les variables faibles — A¹ : l’ensemble de tous les tableaux faibles

— A : l’ensemble de toutes les variables et tableaux faibles (A⁰ ∪ A1)

— A⁰_t, A¹_t et A_t : restriction des ensembles A⁰, A¹ et A, aux variables et tableaux faibles manipulés par la transition t

4.4.2 Etats initiaux

Les états initiaux décrivent les contraintes portant sur les tableaux SC et les variables et tableaux faibles au démarrage du système. Ils sont décrits dans le langage L_D par une formule I paramétrée par un ensemble de tableaux SC X et préfixée par une variable de processus quantifiée universellement. Puisque dans les états initiaux, tous les processus ont la même vision de la mémoire, les accès aux variables et tableaux faibles doivent se faire en utilisant les termes de la forme α ou α[j] (i @ α et i @ α[j] ne sont pas permis). Par ailleurs, fence() n’est pas non plus utilisable dans ce contexte.

I(X) = ∀j : proc· I(j, X)

La formule équivalente ˜I dans le langage LE est obtenue en appliquant la fonction de traduction_JK_I :

I(X, ˜A) =_{JI (X )K}I = ∀i, j : proc, ∀ ~eα: ur· ^{^} α∈A0

Rα(e_α, i) ∧ ^{^}

α∈A1

Rα(e_α, i, j) ∧ _{JI (j, X )K}I

Cette fonction génère un événement de lecture pour chaque variable ou tableau faible du système, et pas uniquement ceux effectivement utilisés dans I (toutefois, seulement ces derniers seront associés à une valeur). On dispose d’un identificateur d’événement

e_α par variable ou tableau faible α. Les identificateurs d’événements sont choisis dans le domaine D^ur, qui restreint les événements à ceux devant prendre leur valeur depuis l’état initial. Le processus effectuant l’opération est représenté par la variable de processus quantifiée universellement i. Cela signifie que dans l’état initial, tout processus effectuant une lecture d’une variable ou un tableau faible obtiendra la même valeur. La formule ˜I

obtenue contenant à présent des variables et tableaux faibles instanciés, elle est paramétrée par l’ensemble ˜A.

La fonction de traduction _JK_I : L_D → L_E est définie comme suit : Jqff1∧ qff₂_K_I = _Jqff₁_K_I∧_Jqff₂_K_I J¬aKI = ¬_JaK_I JtrueKI = true JfalseKI = false Jt1 op t₂_K_I = _Jt₁_K_I op _Jt₂_K_I JαKI = α[e˜ _α] Jα[j ]KI = α[e˜ α, j] JtKI = t quand t 6= α et t 6= α[j]

Exemple

Dans le Mutex Naïf, l’état initial est défini comme suit :

I = ∀j : proc· State[j] = Idle ∧ X[j] = F alse

En appliquant la fonction de traduction _JK_I, on obtient la formule suivante, dans la-quelle les identificateurs d’événements sont explicitement mentionnés :

I = ∀i, j : proc, ∀eX : ur· State[j] = Idle ∧ R_X(e_X, i, j) ∧ ˜X[eX, j] = F alse Domaine des événements de lecture non satisfaits

On a vu que la formule initiale obtenue par traduction quantifie sur les événements de type ur, c’est-à-dire les événements de lecture non satisfaits. Pour caractériser ces événements, on définit le domaine D^ur ⊆ Deidcomme le sous-ensemble des identificateurs d’événements correspondant uniquement aux événements de lecture non satisfaits, i.e. les événements de lecture qui ne sont reliés à aucun événement d’écriture, et on a :

∀e_r∈ Deid· unsat_read(e_r) ↔ e_r∈ Dur

Le prédicat unsat_read indique si un événement de lecture est relié ou non à un événement d’écriture quelconque :

unsat_read(e_r) = ∀i, j, k ∈ Dproc, ∀e_w ∈ Deid·

W α∈A0 (e_r, i) ∈ R_α∧ (e_w, j) ∈ W_α ∨ W α∈A1 (e_r, i, k) ∈ R_α∧ (e_w, j, k) ∈ W_α→ (e_r, e_w) ∈ ghb 4.4.3 Etats dangereux

Les états dangereux du système sont décrits par des contraintes portant sur les tableaux SC ainsi que les variables et tableaux faibles. Ces états sont décrits dans le langage L_D par une formule Θ, paramétrée par un ensemble de tableaux SC X. Ils utilisent un certain nombre de variables de processus, quantifiées existentiellement. Contrairement à l’état initial, différents processus peuvent avoir une vision différente de la mémoire, de ce fait les accès aux variables et tableaux faibles doivent se faire en utilisant les termes i @ α et

i @ α[j] (α et α[j] ne sont pas permis). Par ailleurs, fence() n’est pas non plus utilisable

dans ce contexte.

Θ(X) = ∃~j : proc· ∆(~j) ∧ ϑ(~j, X)

La formule équivalente ˜Θ dans le langage LE est obtenue en appliquant la fonction de traduction_JK_u :

Avec :

θ(~e, X, ˜A) = ∃~j : proc· ∆(~j) ∧_Jϑ(~j, X)_K~e u

La notation ♦(~e) est un raccourci pour exprimer le fait que tous les identificateurs d’événements dans ~e sont dans la relation atom :

♦(~e) = V

(e1,e2)∈~e

atom(e1, e2)

La fonction de traduction instancie tous les accès à des variables ou tableaux faibles, et génère un identificateur d’événement e_i par processus.

La fonction de traduction _JK_u : L_D× ~eid → LE est définie comme suit : Jqff1∧ qff₂_K~e u = _Jqff₁_K^~ê_u∧_Jqff₂_K~e u JaK ~ e u = _JaK^~ê_u e∧_JaK~e uv J¬aK ~ e u = _JaK^~ê_u_e∧ ¬_JaK~e uv Jt1 op t₂_K~e ue = _Jt₁_K~e ue ∧_Jt₂_K~e ue Jt1 op t₂_K^~ê_u v = _Jt₁_K^~ê_u vop_Jt₂_K^~ê_u v Ji @ αK ~ e ue = Rα(e_i, i) ei ∈ ~e Ji @ αK ~ e uv = α[e˜ _i] e_i ∈ ~e Ji @ α[j ]K ~ e ue = Rα(e_i, i, j) ei ∈ ~e Ji @ α[j ]K ~ e uv = α[e˜ _i, j] e_i ∈ ~e JtK ~ e ue = true quand t 6= i @ α et t 6= i @ α[j] JtK ~ e uv = t quand t 6= i @ α et t 6= i @ α[j]

La fonction _JK_u utilise deux sous-fonctions _JK_u_e et _JK_u_v. La première permet de construire les littéraux décrivant les événements, tandis que la seconde permet d’instancier les accès aux variables et tableaux faibles.

Exemple

Dans le Mutex Naïf, la propriété de sûreté proposée ne fait pas intervenir de variable faible. Pour disposer d’un exemple plus intéressant, on s’intéresse alors à une propriété quelque peu différente : un processus i ne peut pas être à l’état Crit si sa variable X est à faux.

Θ = ∃i : proc· State[i] = Crit ∧ X[i] = F alse

En appliquant la fonction de traduction _JK_u, on obtient la formule suivante, dans la-quelle les identificateurs d’événements sont explicitement mentionnés :

Θ = ∃e_i : eid, ∃i : proc· State[i] = Crit ∧ R_X(e_i, i, i) ∧ ˜X[ei, i] = F alse

4.4.4 Transitions

Les transitions décrivent l’évolution du système. Elles se composent d’une garde, qui précise les conditions devant être vérifiées pour que la transition soit prise, et d’actions, qui sont des mises à jour de tableaux SC ou de variables et tableaux faibles. Elles sont

décrites dans le langage L_D, et puisqu’un seul processus effectue toutes les opérations mémoire dans une transition donnée, les accès aux variables faibles doivent utiliser les termes α ou α[j] (i @ α et i @ α[j] ne sont pas permis). Par ailleurs, le prédicat fence() ne peut être utilisé que dans la garde.

Une transition t est décrite dans le langage L_D par une formule paramétrée par deux ensembles X et X⁰, représentant les tableaux SC avant et après application de la transition.

t(X, X⁰) = ∃i,~j : proc· ∆(~j) ∧ γ(i,~j, X) ∧

V x∈X x⁰[i] = δ_x(i,~j, X) ∧ V α∈A0 t α⁰= δ_α(i,~j, X) ∧ V α∈A1 t V k∈~j α⁰[k] = δ_α(i,~j, X)

La variable de processus quantifiée existentiellement i représente le processus effectuant les accès aux variables et tableaux faibles. Cela signifie également que les termes d’accès aux tableaux SC sont restreints à ceux de la forme x[i]. Le processus i peut être égal ou non à un processus dans ~j. La garde est représentée par la sous-formule γ(i,~j, X), les mises à jour de tableaux SC par la sous-formule δ_x(i,~j, X) et les mises à jour de variables et tableaux faibles par les sous-formules δ_α(i,~j, X).

La transition équivalente ˜t dans le langage LE est obtenue en appliquant la fonction de traduction_JK_t, qui prend deux paramètres additionnels e_r et e_w, représentant des iden-tificateurs d’événements frais :

˜ t(X, X⁰, Ã, Ã⁰, e_r, e_w) = _{Jt(X, X}⁰)_Kêr,ew t Et on a : Jt(X, X 0)_Kêr,ew

t = ∃i,~j : proc· ∆(~j) ∧ e_r6= e_w∧ atom(e_r, e_w) ∧_{Jγ (i,}~j, X)_Ki,er

γ ∧

x∈X

0[i] = δ_x(i,~j, X)_K^i,er

γ ∧ (∀k.k = i ∨ x0[k] = x[k])∧ V α∈A0 t W_α(e_w, i) ∧_{J ˜}α⁰[e_w] = δ_α(i,~j, X)_K^i,er γ ∧ V α∈A1 t V k∈~j W_α(e_w, i, k) ∧_{J ˜}α⁰[e_w, k] = δ_α(i,~j, X)_K^i,er γ

La transition s’assure que les identificateurs d’événements e_r et e_w soient différents, et les relie dans la relation atom. Les mises à jour de tableaux SC sont étendues de sorte que toutes les cases autres que i reçoivent une valeur égale à la précédente. Les mises à jour de variables et tableaux faibles génèrent des événements d’écriture. Les traductions de la garde et des mises à jour sont réalisées par une nouvelle fonction de traduction

JKγ: L_D× proc × eid → L_E. Jqff1∧ qff₂_Ki,er γ = _Jqff₁_Kî,er γ ∧_Jqff₂_Ki,er γ JaK i,er γ = _JaKî,er γe ∧_JaKi,er γv J¬aK i,er γ = _JaKî,er γe ∧ ¬_JaKi,er γv Jfence()K i,er γe = fence(er, i) Jfence()K i,er γv = true Jt1 op t₂_Kî,er γe = _Jt₁_Kî,er γe ∧_Jt₂_Ki,er γe Jt1 op t₂_Kî,er γv = _Jt₁_Kî,er γv op _Jt₂_Kî,er γv JαK i,er γe = R_α(e_r, i) JαK i,er γv = α[e˜ r, i] Jα[j ]K i,er γe = R_α(e_r, i, j) Jα[j ]K i,er γv = α[e˜ r, i, j] JtK i,er γe = true quand t 6= α et t 6= α[j] JtK i,er γv = t quand t 6= α et t 6= α[j] Exemple

Dans le Mutex Naïf, on a les trois transitions suivantes :

treq = ∃i : proc· State[i] = Idle ∧

State⁰[i] = W ant ∧ X⁰[i] = T rue

tenter = ∃i : proc· State[i] = W ant ∧ fence() ∧ (∀k.k = i ∨ X[i] = F alse) ∧

State⁰[i] = Crit

t_exit = ∃i : proc· State[i] = Crit ∧

State⁰[i] = Idle ∧ X⁰[i] = F alse

En appliquant la fonction de traduction _JK_t, on obtient les formules suivantes, dans lesquelles les identificateurs d’événements sont explicitement mentionnés :

t_req(e_r, e_w) = ∃i : proc· e_r6= e_w∧ atom(e_r, e_w) ∧

State[i] = Idle ∧

State⁰[i] = W ant ∧ W_X(e_w, i, i) ∧ ˜X⁰(e_w, i) = T rue

t_enter(e_r, e_w) = ∃i : proc· e_r6= e_w∧ atom(e_r, e_w) ∧ fence(e_r, i)∧

State[i] = W ant ∧ (∀k.k = i ∨ RX(e_r, i, k) ∧ ˜X(er, i) = F alse) ∧ State⁰[i] = Crit

texit(e_r, ew) = ∃i : proc· e_r6= e_w∧ atom(e_r, ew) ∧

State[i] = Crit ∧

State⁰[i] = Idle ∧ W_X(e_w, i, i) ∧ ˜X⁰(e_w, i) = F alse

Dans le document Vérification par model-checking de programmes concurrents paramétrés sur des modèles mémoires faibles (Page 70-75)