En esta secci´on comenzaremos a desarrollar el m´etodo para eliminar guardas fi- nales en las implementaciones SBD. Como veremos, el mismo no solo encuentra estas simplificaciones, si no que adem´as detecta la imposibilidad de eliminaci´on de aquellas guardas. La t´ecnica propuesta es incompleta, en el sentido que pue- de no detectar guardas cuya eliminaci´on es correcta, sin embargo en la mayor´ıa de los ejemplos de la literatura se detectaron todas las simplificaciones posi- bles. Cabe remarcar que esta incompletitud no es un problema a la hora de obtener programas correctos: las implementaciones de regiones cr´ıticas condi- cionales producidas por la t´ecnica SBD sin estas simplificaciones son correctas aunque menos eficientes. Como se mencion´o al inicio de este cap´ıtulo, el objetivo de aplicaci´on del m´etodo es en el desarrollo de compiladores y generadores de c´odigo para aumentar la eficiencia de construcciones concurrentes de alto nivel, por lo cual esta deficiencia no es un problema: los programas generados son correctos aunque no se detecten todas las mejoras posibles. De todas maneras, al final de esta secci´on se desarrollar´a un an´alisis de las causas de este fen´omeno y se mostrar´a como fueron tratadas.
Dado el sistema de transiciones que modela la implementaci´on SBD de un problema de regiones cr´ıticas condicionales, aplicaremos principalmente la t´ecni- ca de propagaci´on hacia atr´as desarrollada en la secci´on2.3.2(p´ag.53), con el fin de probar de manera autom´atica la factibilidad de eliminaci´on de guardas finales superfluas. Para explorar esta posibilidad utilizaremos el teorema 2.24
(p´ag. 54) mediante el cual, la invariancia de un predicado P es garantizada si Θ ν.Bτ,P (las configuraciones iniciales implican el m´aximo punto fijo del
transformadorBτ,P). Tomando el predicadoPcomo el invariante candidato que
denote la imposibilidad de ejecuci´on de una guarda, si aquella implicaci´on es v´alida entonces la guarda puede ser eliminada.
El invariante candidato P ser´a calculado mediante el transformador wlp sobre las transiciones entrantes a la locaci´on donde se ejecuta la guarda. Estos transformadores, aplicados al predicadofalse, devolver´an las configuracionesP
desde las cuales la posible guarda a eliminar no se ejecuta. Por lo tanto, siP es invariante la guarda puede ser eliminada.
Tomemos la guardaBj^bj¡0 en el programa4.11(asociada a la operaci´on
V.sjen la anotaci´onoutj). Esta guarda pertenece a las dos transiciones obtenidas
4.5. ELIMINACI ´ON DE GUARDAS 129 segunda de clase 4:
psm, Bi^wlp.Si.pBj^bj ¡0q ÞÑSi, sjq
psi, wlp.pbi:bi1;Siq.pBj^bj ¡0q ÞÑbi:bi1;Si, sjq
Aplicando el transformador wlp, sobre la sentencia de la primer transici´on, al predicadofalse, tenemos:
wlp.p Bi^wlp.Si.pBj^bj ¡0q ÞÑSiq.false
{ Definici´on de wlp}
Bi^wlp.Si.pBj^bj¡0q ñwlp.Si.false
{ Si es total entonces wlp.Si es estricto (propiedad 1.12.5, p´ag.15)}
Bi^wlp.Si.pBj^bj¡0q ñfalse
{ L´ogica de predicados}
Biñ wlp.Si.pBj^bj ¡0q
{ Si es total y determinista entonces wlp.Si distribuye con la negaci´on
(propiedad1.12.7)}
Biñwlp.Si. pBj^bj¡0q
Notar que este resultado es el conjunto de estados tal que, mediante la trans- formaci´on determinista de la transici´on, se llega a la negaci´on de la guarda a eliminar. De esta manera, el predicadoP1 que denota las configuraciones desde las cuales la primer transici´on no se ejecuta ser´a este resultado en la locaci´onsm
(locaci´on de salida de la transici´on en cuesti´on) ytrueen las dem´as componentes (ya que desde esas locaciones la transici´on no se ejecuta):
P1.sm. Biñwlp.Si. pBj^bj¡0q
P1.sk
.
true si 0¤k m .
Aplicando el mismo razonamiento sobre la segunda transici´on tenemos: wlp.p wlp.pbi:bi1;Siq.pBj^bj ¡0q ÞÑbi:bi1;Siq.false
{ Definici´on de wlp}
wlp.pbi:bi1;Siq.pBj^bj¡0q ñwlp.pbi:bi1;Siq.false
{ bi:bi1;Si es total entonces wlp.pbi:bi1;Siqes estricto (pro-
piedad1.12.5)}
wlp.pbi:bi1;Siq.pBj^bj¡0q ñfalse
{ L´ogica de predicados}
wlp.pbi:bi1;Siq.pBj^bj¡0q
{ bi:bi1;Si es total y determinista entonces wlp.pbi:bi1;Siq
distribuye con la negaci´on (propiedad 1.12.7)}
wlp.pbi:bi1;Siq. pBj^bj ¡0q
De igual manera que con la transici´on anterior, este resultado es la aplicaci´on del transformador wlp a la negaci´on de la guarda a eliminar, sobre las sentencias de la secci´on anteriores a la ejecuci´on de la guarda.
130 CAP´ITULO 4. REGIONES CR´ITICAS CONDICIONALES El predicadoP2 que denota las configuraciones desde las cuales la segunda transici´on no se ejecuta ser´a este resultado en la locaci´onsi (locaci´on de salida
de la transici´on en cuesti´on) ytrueen las dem´as componentes:
P2.si . wlp.pbi:bi1;Siq. pBj^bj¡0q
P2.sk
.
true si 0¤k¤m^ki .
En consecuencia, para poder eliminar una guardaBj^bj¡0 (con 0¤j m)
en un programa SCCi (con 0 ¤i m), a partir predicados P1 y P2 se puede
construir el invariante candidatoP como la conjunci´onP1 X P2:
P.si . wlp.pbi:bi1;Siq. pBj^bj ¡0q P.sm. Biñwlp.Si. pBj^bj¡0q P.sk . true si 0¤k m^ki , (4.4)
ya que el conjunto de configuraciones desde los cuales la guarda no se ejecuta (dentro de ambas transiciones) es la intersecci´on entre las configuraciones enP1
yP2.
De esta manera obtenemos el invariante candidatoPque denota la imposibi- lidad de ejecuci´on de una de lasmprimeras guardas en uno de los programasSi.
Las guardas finales, que tienen la formax @j : 0¤j m: Bj _ bj0yno
pueden ser eliminadas, ya que son las que posibilitan la liberaci´on del sem´aforo neutralsmque permite el progreso del sistema: si un proceso no puede satisfacer
las guardas anteriores, debe permitir el ingreso de nuevos procesos al sistema. Con el invariante candidatoP y el sistema de transicionesTS p. L,S,
τ
,Θq definidos podemos aplicar de demostraci´on dek-invariancia esquematizado en el programa2.3(p´ag.62) para verificar siP es un invariante. Este m´etodo (con las modificaciones que explicaremos luego) ser´a aplicado a cada guarda de cada programaSi(mmguardas). Como ya se mencion´o en esa secci´on, el m´etododetecta adem´as la imposibilidad de invariancia deP, o lo que es equivalente, la imposibilidad de eliminar la guarda en cuesti´on.
Como ya dijimos, el m´etodo no es completo (la detecci´on de invariancia no est´a asegurada). Las causas de esta incompletitud son las siguientes:
1. la cadena descendente de f´ormulas en el c´alculo del mayor punto fijo inter- medias es infinita (como se explica en la secci´on2.3.4p´ag.62) y el m´etodo de demostraci´on dek-invariancia no termina.
2. El procedimiento de decisi´on sobre el orden de predicados no es completo en la verificaci´on de las guardas del bucle del programa 2.3.
3. El crecimiento en la representaci´on de los predicados envueltos en el pro- grama anterior hace que sea imposible calcular el m´aximo punto fijo en tiempos razonables.
La primer causa es inherente al m´etodo de c´alculo del punto fijo. Debido a este fen´omeno se utiliz´o el m´etodo de propagaci´on hacia atr´as, que en contraste con el m´etodo de propagaci´on hacia adelante, la cadena de predicados interme- dios hacia el punto fijo es usualmente finita (secci´on2.3.4). Esta caracter´ıstica fue corroborada en la mayor parte de los ejemplos de la literatura donde se
4.5. ELIMINACI ´ON DE GUARDAS 131 aplic´o nuestro m´etodo (m´as adelante veremos estos resultados). Otra impor- tante ventaja es que las f´ormulas intermedias son libres de cuantificadores, lo cual beneficia el funcionamiento completo de probadores teoremas autom´aticos para verificar las implicaciones envueltas en el programa. Cabe agregar que si una guarda no puede ser eliminada, la cadena de predicados intermedios hasta detectar esta situaci´on es finita, como se demuestra en la secci´on2.3.4. Para el caso que la cadena sea infinita, se puede agregar al programa 2.3un contador que limite la cantidad de iteraciones o un l´ımite de tiempo de procesamiento (time out). En los casos que esto suceda el algoritmo termina sin poder deci- dir la invariancia del predicado. Como ya se mencion´o, esto no es un problema grave ya que el programa original es correcto aunque no se detecte la guarda a eliminar.
La segunda causa es producida por la incompletitud de los probadores ex- ternos utilizados para decidir las relaciones de orden en la guarda del bucle en el m´etodo. Para tratar este fen´omeno, se dise˜n´o el prototipo de software que implementa el m´etodo a˜nadiendo la posibilidad de utilizar varios probadores externos en paralelo. Esto aumenta las posibilidades de verificaci´on de f´ormu- las, ya que se aprovecha las caracter´ısticas propias de cada uno para resolver el problema. Por esta raz´on, el prototipo tiene la posibilidad de emplear el SMT solver CVC3, y los probadores de teoremas Isabelle/HOL y ACL2 [ACL08]. En la pr´actica, los problemas de regiones cr´ıticas condicionales derivan en sistemas de transiciones lineales en el sentido que se explica en la secci´on3.3.3(p´ag.93) (todos los ejemplos de la literatura probados tienen esta caracter´ıstica), por lo cual es suficiente utilizar solo CVC3 como probador externo ya que es completo para la aritm´etica lineal.
De todas maneras, para detectar la imposibilidad de verificaci´on de una f´ormula, se modific´o la sem´antica de aquella guarda manteniendo correcci´on: el m´etodo termina solo cuando puede ser probada alguna de las negaciones de las guardas Θ Bk y pBk Bτ,P.Bkq. Formalmente, si indicamos con el
s´ımbolo$que se encontr´o una prueba, el m´etodo termina cuando se demuestra la no satisfabilidad de Θ Bk o la validez de Bk Bτ,P.Bk:
$ pΘ Bkq _ $Bk Bτ,P.Bk .
De esta forma, la guarda del bucle ser´a la negaci´on de esta condici´on y el m´etodo decidir´a la invariancia solo si se puede demostrar$Θ Bk, como se indica en
el programa4.13(p´ag. 132). Notar con respecto a esto ´ultimo, que si se puede probar esta implicaci´on, por la precondici´on la cadena es finita.
La tercer causa de incompletitud es producida por el crecimiento en la repre- sentaci´on de los elementos de la cadena calculada. Esto se debe a la aplicaci´on reiterada del transformador de propagaci´onBτ,P que se hace en cada iteraci´on,
lo cual produce un crecimiento en la representaci´on del predicados intermedios (almacenados en la variableBk) a medida que se calcula la cadena. Como re-
sultado de este fen´omeno, la verificaci´on de las implicaciones que procesan los probadores externos demora m´as tiempo a medida que el m´etodo progresa. Este comportamiento fue verificado, incluso en ejemplos de la literatura muy simples, donde a las pocas iteraciones se saturan los recursos computacionales por falta de memoria. Por esta raz´on, el empleo de distintas estrategias es esencial para la aplicabilidad del m´etodo y por ende al objetivo del trabajo. El tratamiento de este problema ser´a explayado en la secci´on siguiente.
132 CAP´ITULO 4. REGIONES CR´ITICAS CONDICIONALES Programa 4.13 Propagaci´on hacia atr´as con probadores externos
es invariante (P, Θ :PredL ;
τ
:TranL,S) :BoolBτ,P:xλX •P X WLP.