Fairneß, Randomisierung und Konspiration in verteilten Algorithmen

(1)

Konspiration in verteilten Algorithmen

Hagen Völzer

1.Februar 2001

(2)

(3)

verteilten Algorithmen

Dissertation

zurErlangungdes akademischen Grades

Doktor der Naturwissenschaften(doctor rerum naturalium)

im FachInformatik

eingereicht an der

Mathematisch-Naturwissenschaft li chen Fakultät II

derHumboldt-Universität zuBerlin

von

Diplom-Informatiker

Hagen Völzer

geboren am20.April1971 inSchwerin

Präsident derHumboldt-Universität zuBerlin:

Prof.Dr. Jürgen Mlynek

Dekan derMathematisch-Naturwissenschaftl iche n Fakultät II:

Prof.Dr. sc. nat.Bodo Krause

Gutachter:

1.Prof.Dr. Wolfgang Reisig

2.Prof.Dr. K. RüdigerReischuk

3.Prof.Dr. Miroslaw Malek

eingereicht am: 2.November 2000

(4)

(5)

Fairness, Randomization, and Conspiracy in Distributed Algorithms

Concepts such as fairness (i.e., fair conict resolution), randomization (i.e., coin

ips),andpartial synchrony arefrequently usedtosolvefundamentalsynchroniza-

tion- and coordination-problems in distributed systems such as the mutual exclu-

sion problem (mutex problem for short) and the consensus problem. For some

problemsitisproventhat, withoutsuchconcepts,nosolution totheparticularpro-

blemexists.Impossibiltyresultsofthatkind improve ourunderstandingoftheway

distributed algorithms work.They also improve our understanding of thetrade-o

between atractable modeland apowerful modelof distributed computation.

Inthisthesis,weprovetwonewimpossibilityresultsandweinvestigatetheirreasons.

We are inparticular concerned with models for randomizeddistributed algorithms

sincelittle isyetknownaboutthelimitations ofrandomizationwith respectto the

solvability ofproblemsindistributedsystems.Byasolutionthroughrandomization

wemean thatthe problemunder consideration issolved withprobability 1.

In the rst part of the thesis, we investigate therelationship between fairness and

randomization. On the one hand, it is known that to some problems (e.g. to the

consensus problem),randomizationadmitsasolution wherefairnessdoesnotadmit

a solution. On the other hand, we show that there are problems (viz. the mutex

problem) to which randomization does not admit a solution where fairness does

admit asolution. These resultsimply thatfairness cannot be implemented bycoin

ips.

In the second part of the thesis, we consider a model which combines fairness and

randomization. Such a model is quite powerful, allowing solutions to the mutex

problem,theconsensusproblem,and asolution to thegeneralized mutexproblem.

In the generalized mutex problem (a.k.a. the dining philosophers problem), a

neighborhoodrelation isgiven and mutualexclusion mustbeachieved foreachpair

of neighbors. We nally consider the crash-tolerant generalized mutex problem

where every hungry agent eventually becomes critical provided that neither itself

noroneofitsneighborscrashes.We provethateventhecombinationoffairnessand

randomization does not admit a solution to the crash-tolerant generalized mutex

(6)

We argue that the reason for this impossibility is the inherent occurrence of an

undesirable phenomenon known as conspiracy. Conspiracy was not yet properly

characterized. We characterize conspiracy on the basis of non-sequential runs,and

we show that conspiracy can beprevented byhelp of the additional assumption of

partial synchrony,i.e., we showthateveryconspiracy-prone system canberened

to a randomized system which is, with probability 1, conspiracy-free under the

assumptionsofpartial synchronyand fairness.Partial synchrony meansthat each

eventconsumesaboundedamountoftimewhere,however,theboundisnotknown.

We use a non-sequential semantics for distributed algorithms which is essential to

some parts of the thesis. In particular, we develop a non-sequential semantics for

randomizeddistributedalgorithms sincethereisnosuchsemanticsintheliterature.

Inthis non-sequential semantics, causal independence is reected bystochastic in-

dependence.

Keywords:

distributed algorithms, fairness,randomization, conspiracy

(7)

Fairneÿ (d.h. faire Koniktlösung), Randomisierung (d.h. Münzwürfe) und par-

tielle Synchronie sind verschiedene Konzepte, die häug zur Lösung zentraler

Synchronisations- und Koordinationsprobleme in verteilten Systemen verwendet

werden.Beispiele für solche Probleme sind dasProblem des wechselseitigen Aus-

schlusses (kurz: Mutex-Problem)sowie dasKonsens-Problem.Für einige solcher

Problemewurdebewiesen,daÿ ohnedieobengenanntenKonzeptekeineLösungfür

dasbetrachteteProblemexistiert.Unmöglichkeitsresulta tedieserArtverbessernun-

serVerständnisderWirkungsweiseverteilterAlgorithmensowiedasVerständnisdes

Trade-oszwischeneinemleicht analysierbarenundeinemausdrucksstarkenModell

fürverteiltes Rechnen.

In dieser Arbeit stellen wir zwei neue Unmöglichkeitsresultate vor. Darüberhinaus

beleuchten wir ihre Hintergründe. Wir betrachten dabei Modelle, die Randomisie-

rung einbeziehen, da bisher wenig überdie Grenzen derAusdrucksstärke von Ran-

domisierung bekannt ist. Mit einer Lösung eines Problems durch Randomisierung

meinen wir, daÿ dasbetrachtete Problem mitWahrscheinlichkei t 1gelöst wird.

Im ersten Teil der Arbeit untersuchen wir die Beziehung von Fairneÿ und Rando-

misierung. Einerseits ist bekannt, daÿ einigeProbleme (z.B.dasKonsens-Problem)

durchRandomisierungnicht aberdurchFairneÿlösbarsind.Wirzeigennun,daÿes

andererseits auch Problemegibt (nämlich das Mutex-Problem),die durch Fairneÿ,

nicht aberdurchRandomisierunglösbarsind.Darausfolgt,daÿ Fairneÿnicht durch

Randomisierung implementiert werden kann.

Imzweiten TeilderArbeitverwendenwireinModell, dasFairneÿundRandomisie-

rungvereint. EinsolchesModell istrelativausdrucksstark: EserlaubtLösungen für

das Mutex-Problem, das Konsens-Problem, sowie eine Lösung für das allgemeine

Mutex-Problem. Beim allgemeinen Mutex-Problem (auch bekannt als Problem

der speisenden Philosophen) ist eine Nachbarschaftsrelation auf den Agenten ge-

geben und ein Algorithmus gesucht, der das Mutex-Problem für jedes Paar von

Nachbarnsimultanlöst.Schlieÿlich betrachtenwirdasausfalltolerante allgemeine

Mutex-Problem eine Variante des allgemeinen Mutex-Problems, beiderAgenten

ausfallen können. Wir zeigen, daÿ sogar die Verbindung von Fairneÿ und Rando-

misierung nicht genügt,um eine Lösung fürdasausfalltolerante allgemeine Mutex-

(8)

EinHintergrundfürdiesesUnmöglichkeitsresultatisteinunerwünschtesPhänomen,

fürdasinderLiteraturderBegriKonspiration geprägt wurde.Konspirationwur-

de bisher nicht adäquat charakterisiert. Wir charakterisieren Konspiration auf der

Grundlage nicht-sequentieller Abläufe. Desweiteren zeigen wir, daÿ Konspiration

für eine groÿe Klasse von Systemen durch die zusätzliche Annahme von partieller

Synchronie verhindert werden kann, d.h. ein konspirationsbehaftetes System kann

zueinem randomisierten System verfeinert werden, dasunter Fairneÿ und partiel-

lerSynchronie mitWahrscheinlichkei t 1konspirationsfreiist.PartielleSynchronie

fordert, daÿ alle relativen Geschwindigkeit en im System durch eine Konstante be-

schränktsind, diejedoch denAgentennicht bekannt ist.

DieDarstellung derUnmöglichkeitsresultat e unddieCharakterisierungvonKonspi-

ration wird erst durch die Verwendung nicht-sequentieller Abläufe möglich. Ein

nicht-sequentiell e r Ablauf repräsentiert im Gegensatz zu einem sequentiellen Ab-

laufkausale Ordnung undnicht zeitliche Ordnung von Ereignissen. Wirentwickeln

in dieser Arbeit eine nicht-sequentiel le Semantik für randomisierte verteilte Algo-

rithmen, da es bisher keine in der Literatur gibt. In dieser Semantik wird kausale

Unabhängigkeit durch stochastische Unabhängigkeit widergespiegelt.

Schlagwörter:

Verteilte Algorithmen, Fairneÿ, Randomisierung, Konspiration

(9)

DenHintergrund dervorliegenden DissertationbildetmeineForschungstätigkei t im

Projekt Konsensalgorithmen am Lehrstuhl für Theorie der Programmierung des

InstitutsfürInformatikderHumboldt-UniversitätzuBerlin.DasProjektwurdevon

derDeutschenForschungsgemeinschaft gefördertundvonProf.Dr.WolfgangReisig

undProf. Dr. Miroslaw Malek geleitet.

IchdankeProf.Dr.WolfgangReisigfürdieBetreuungundBegutachtungderArbeit,

sowiebesondersdafür,daÿichanseinemLehrstuhlunterhervorragendenBedingun-

genarbeitendurfte.FürdieBegutachtungderArbeitmöchteichauchherzlichProf.

Dr. RüdigerReischuk sowieProf. Dr.Miroslaw Malekdanken.

Für daskritische Lesen von Vorversionen sowiefürdie damitverbundenen Diskus-

sionendankeichEkkartKindler,SibyllePeuker,FelixGärtner,StefanHaar,Karsten

Schmidt undStephan Roch. BesondererDank gilt Ekkart KindlerundStefanHaar

mitdenenichbesondersoftundlangediskutierthabe,mitEkkartKindlervorallem

zunicht-sequentiel l enAbläufenundzuFairneÿ,mitStefanHaarvorallemzuRando-

misierungundzuprobabilistischenAbläufen.MichaelWeberdankeichfürwertvolle

L A

T

E

X-Hinweise sowie für Abbildung 6.1. Desweiteren danke ich allen Teilnehmern

derKaeerundedeso.g.Lehrstuhls fürihrenBeitragzurgutenArbeitsatmosphäre,

inder dievorliegende Arbeitentstanden ist.

NichtzuletztmöchteichmeinenElterndanken,dieimmermeinenWeg,insbesonde-

reauchmeinInteressean Mathematikgeförderthaben.Von Sibyllehabeich immer

zum richtigen ZeitpunktMotivation undRückhalt erhalten. Danke!

Berlin, im Februar 2001 Hagen Völzer

(10)

(11)

Einleitung 1

1 Grundlagen 7

1.1 Mathematische Grundlagen . . . 7

1.2 Petrinetze undderenAbläufe . . . 9

1.2.1 Petrinetze . . . 9

1.2.2 Abläufe undAbwicklungen . . . 12

1.2.3 Sequentialisierung von Abläufen . . . 23

1.3 Ablaufeigenschaften . . . 24

1.3.1 Sicherheits- undLebendigkeitseigenschaft en . . . 24

1.3.2 Temporallogische Eigenschaften . . . 25

1.4 Petrinetzmodellierung verteilter Algorithmen . . . 27

1.5 Algebraische Netze . . . 30

1.5.1 Signaturen,Variablen undTerme . . . 30

1.5.2 Algebraische Netze . . . 31

1.5.3 Entfaltung einesalgebraischen Netzes . . . 34

1.6 Wahrscheinlichkei tsräume . . . 36

I Fairneÿ und Randomisierung 37 2 Netzsysteme 39 2.1 Netzsysteme. . . 39

2.1.1 Progreÿ . . . 39

(12)

2.1.3 Progreÿundschwache Fairneÿ . . . 42

2.2 Lebendigkeit . . . 44

2.3 Mutex inNetzsystemen . . . 46

2.3.1 DasProblem des wechselseitigen Ausschlusses. . . 46

2.3.2 Formalisierung von Mutex . . . 47

2.3.3 Unmöglichkeit von Mutex inNetzsystemen . . . 48

2.4 KonsensinNetzsystemen . . . 50

2.4.1 Dasausfalltolerante Konsens-Problem . . . 51

2.4.2 Formalisierung desKonsens-Problems . . . 52

2.4.3 Einkleiner Konsensalgorithmus . . . 55

2.4.4 Unmöglichkeit von KonsensinNetzsystemen . . . 58

3 Faire Netzsysteme 63 3.1 Faire Netzsysteme . . . 63

3.1.1 Faire Schaltsequenzen . . . 63

3.1.2 Faire Abläufe undfaire Netzsysteme . . . 65

3.1.3 EinProblem von starkerFairneÿ . . . 67

3.2 Mutex infairen Netzsystemen . . . 70

3.3 Konsensinfairen Netzsystemen . . . 71

3.3.1 DasModell von Fischer, Lynch undPaterson . . . 71

3.3.2 Unmöglichkeit von Konsensinfairen Netzsystemen . . . 72

4 Randomisierte Netzsysteme 77 4.1 EinPetrinetzmodell fürrandomisierte Algorithmen . . . 77

4.1.1 Randomisierte Algorithmen . . . 77

4.1.2 Randomisierte Netzsysteme . . . 79

4.1.3 Probabilistische Schaltbäume . . . 81

4.1.4 Probabilistische Abläufe . . . 83

4.1.5 Probabilistische Gültigkeit von Ablaufeigenschaften . . . 85

4.1.6 Beispiele . . . 87

4.1.7 Vergleich von sequentieller undnicht-sequentiel l er Semantik . 89

(13)

4.2 KonsensinrandomisiertenNetzsystemen . . . 95

4.3 Mutexin randomisiertenNetzsystemen . . . 98

4.3.1 Unmöglichkeit von Mutexin randomisiertenNetzsystemen . 98 4.3.2 Zwei Aspekte von Fairneÿ . . . 99

II Konspiration 103 5 Faire randomisierte Netzsysteme 105 5.1 Fairerandomisierte Netzsysteme . . . 106

5.2 AllgemeinerMutex infairen randomisierten Netzsystemen . . . 107

5.2.1 Dasallgemeine Mutex-Problem . . . 107

5.2.2 Dasausfalltolerante allgemeine Mutex-Problem . . . 108

5.2.3 Unmöglichkeit von ausfalltolerantem allgemeinen Mutex . . . 109

6 Konspiration 113 6.1 Charakterisierungvon Konspiration . . . 113

6.1.1 Die konspirierenden Philosophen . . . 114

6.1.2 Konspiration inMultiparty-Interaktio nen . . . 115

6.1.3 CharakterisierungvonKonspiration . . . 116

6.1.4 Weitere Beispiele fürKonspiration . . . 119

6.2 Konspirationin derLiteratur . . . 121

6.2.1 1-Fairneÿ. . . 121

6.2.2 Hyperfairneÿ . . . 124

6.3 KonspirationundAusfalltoleranz . . . 126

6.3.1 Ausfalltoleranter allgemeiner Mutex . . . 126

6.3.2 Ausfalltoleranter Konsens . . . 127

6.3.3 Einweiteres Problem . . . 128

7 Konspirationsfreiheit 129 7.1 Konspirationbezüglich einerTransition . . . 129

7.1.1 Beschränkteundunbeschränkte Konspiration . . . 129

(14)

7.1.3 Der Nutzenvon Quasisynchronie . . . 134

7.2 Konspiration bezüglich mehrererTransitionen . . . 136

7.2.1 Adaptive Timeoutsan mehrerenTransitionen . . . 136

7.2.2 Randomisierte Timeouts. . . 137

Abschlieÿende Bemerkungen 143 Anhang 145 A Beweise 147 A.1 KonstruktiondesWahrscheinlichkei tsraumesfürprobabilistische Ab- läufe . . . 147

A.1.1 Grundbegrieder Maÿtheorie . . . 147

A.1.2 Konstruktion derMengenalgebra . . . 148

A.1.3 Konstruktion desMaÿes . . . 151

Denitionsverzeichnis 155

Abbildungsverzeichnis 159

Literaturverzeichnis 163

Index 171

(15)

VerteilteSystemezuentwerfen undzuverstehenist schwer,weil unsIntuition dafür

fehlt. Eine Methode, umeine Intuition fürein Objekt zunächst zuentwickeln und

dann zu verfeinern, besteht in der mathematischen Modellierung und Analyse des

Objekts.IndieserArbeitgehtesumdieAnalysemathematischer Modelleverteilter

Systeme.

Verteilte Systemesind vielgestaltig. DasInternet, ein lokales Netz, ein Rechnerclu-

ster,einParallelrechner, einasynchronerSchaltkreissowieeinGeschäftsprozeÿoder

ein Produktionsprozeÿ all dies sind verteilte Systeme. Jedes verteilte Systembe-

steht aus handelnden Einheiten, die miteinander kommunizieren. Eine handelnde

Einheit nennen wir in dieser Arbeit Agent. Jedes der genannten verteilten Syste-

me hat spezielle Charakteristika, in denen es sich von den anderen verteilten Sy-

stemen unterscheidet, zum Beispiel unterscheiden sich die genannten Systeme in

der Geschwindigkeit der Kommunikation. Ein Modell, das von den Charakteristi-

kaverschiedener verteilter Systemeabstrahiert, ist allgemein analysieren wirein

allgemeines Modell, soerhalten wirAussagenfürviele verschiedeneverteilte Syste-

me. Ein Modell, das von der relativen Geschwindigkeit seiner Agenten und ihrer

Kommunikation abstrahiert, ist asynchron.

Ein verteiltes System erfüllt meist erst dann seine Aufgabe, wenn die Aktivitäten

verschiedener Agenten koordiniert und synchronisiert werden. Die typischen Pro-

bleme, die wir in einem verteilten System lösen wollen, sind daher Koordinations-

undSynchronisationsprobleme.Beispiele fürsolcheProblemesinddasProblemdes

wechselseitigen Ausschlusses (kurz: Mutex-Problem) und das ausfalltolerante

Konsens-Problem (kurz: Konsens-Problem). Beim Mutex-Problem geht es für

zweiAgenten, von denen jederimmer wieder kritisch sein kann, darum, daÿ beide

Agentenniegleichzeitigkritischsind.BeimKonsens-ProblemgehtesfüreineMenge

vonAgentendarum,einegemeinsameEntscheidungzutreen,undzwarauchdann,

wenn einige Agenten ausfallen. Eine Lösung für ein Koordinations- oder Synchro-

nisationsproblem heiÿt verteilter Algorithmus. Ein verteilter Algorithmus weist

jedem AgentendesSystemseineHandlungsvorschriftzu.DieseHandlungsvorschrift

nennen wirdas Programm des Agenten.

EinetypischeFrage,diewirfüreinModellverteilterSystemebeantwortenwollen,ist

(16)

nis,daÿ ein bestimmtes Problem in einem bestimmten Modell nicht gelöst werden

kann,heiÿt Unmöglichkeitsresultat.EinberühmtgewordenesUnmöglichkeitsresul-

tatfürverteilte Systemestammt von Fischer, Lynch undPaterson,die zeigten,daÿ

dasKonsens-Problemineinemallgemeinenasynchronen Modell nichtlösbarist,bei

demdasProgrammjedesAgenten deterministisch ist[36 ]. DiesesResultat ragtaus

anderenheraus, weil essichbeimKonsens-Problem umein paradigmatisches Pro-

blemhandelt ein Problem,dasfüreineganzeKlasse vonProblemensteht,weil es

wesentliche Merkmaleanderer Problemeenthält.

Einige Unmöglichkeitsresulta te sparen uns Aufwand in Entwurf, Implementation

undTesteinesverteilten Systems.Oft impliziert einUnmöglichkeitsresulta t jedoch

nicht, daÿ wir dasProblem inder Praxis nicht lösen können Fischer, Lynch und

Patersonschreiben beispielsweise zuihremResultat: ...;rather, they[these results]

point up the need for more rened models of distributed computing that better

reectrealistic assumptions ..., and for less stringent requirements on the solution

to such problems. [36 ]

TatsächlicherhaltenwirdurchVerfeinerungdesModellsvonFischer,LynchundPa-

tersoneine Lösungdes Konsens-Problems. Ben-Orzeigt,daÿ dasKonsens-Problem

mitWahrscheinlichkei t 1 in einem asynchronen Modell lösbar ist, falls Agenten in

ihrenProgrammenMünzenwerfenkönnen[14 ].Einverteilter Algorithmus,beidem

Agenten Münzen werfen, heiÿt randomisierter verteilter Algorithmus. Sprechen

wir im folgenden davon, daÿ ein randomisierter Algorithmus ein Problem löst, so

meinenwir, daÿ derAlgorithmusdas Problemmit Wahrscheinlichkei t 1 löst.

Mitrandomisierten Algorithmen kann man also mehr Probleme als mit herkömm-

lichen, deterministischen Algorithmen lösen. Auf deranderen Seite ist die Analyse

randomisierter Algorithmen leider schwerer als die Analyse herkömmlicher Algo-

rithmen. Lehmann und Rabin schreiben: The realm of proofs of correctness for

concurrent processesis notwellknown.Asthereader will realize,proofsofcorrect-

nessofprobabilisticdistributed algorithmsareextremely slippery. [59 ];Pnueliund

Zuckschreiben: this[verication] becomesspecially crucial whendealingwith pro-

babilisticconcurrentalgorithms,whereintuitionoftenfailstograspthefullintricacy

ofthealgorithm. [70 ].

Verfeinern wireinModell,sowirdeskomplexer,wenigerallgemein undoftschwerer

analysierbar.Diesist eintypischer Trade-O:Je allgemeinerundleichter analysier-

barein Modell ist, desto weniger Probleme sind darin lösbar. Ein Modell, in dem

wirvieleProblemelösenkönnen,nennenwirausdrucksstark.IndemwirdenTrade-

O zwischeneinem allgemeinen und einem ausdrucksstarken Modell mit Hilfe von

Unmöglichkeitsresultat enverstehen,verbessernwirunsereIntuitionfürverteilteSy-

steme.DieBedeutung von Unmöglichkeitsresulta ten wirddurchihrensignikanten

Anteil inLehrbüchern überverteilte Algorithmen widergespiegelt [10,62 , 88].

(17)

verteilte Systemeist schwer zuverstehen.Diesliegt zumeinen an derVielzahl ver-

schiedenerModelle,diedurchdieKombinationeinerVielzahlvonModellparametern

entsteht. Wichtige Modellparametersind neben derVerfügbarkeit von Randomisie-

rungoderderAnnahmevonSynchronie,dieVerfügbarkeitvonKommunikationspri-

mitiven wiez.B.BroadcastsowiedieAnnahmevonFairneÿ (sieheunten). Umden

Trade-OfürdasKonsens-Problemauszuloten,denierenDolev,DworkundStock-

meyerin[31 ]beispielsweise nichtwenigerals32Modelle,indenensiedieLösbarkeit

des Konsens-Problemsuntersuchen. Ihr Papier undandere Papiere zeigen, daÿ Un-

möglichkeitsresultat e oft sensibel gegenüber kleinen Änderungen an verschiedenen

Modellparametern sind. Dadurch ist es schwer, wenn nicht unmöglich, eine einzel-

ne Ursache fürdas Unmöglichkeitsresulta t zu isolieren. Oft liest man in Papieren,

die das Ergebnis von Fischer, Lynch und Paterson zitieren, daÿ die Ursache die-

ses Unmöglichkeitsresult ate s darin besteht, daÿ man ineinem asynchronen System

einenausgefallenenAgentennichtvoneinemsehrlangsamenAgentenunterscheiden

kann.DieswidersprichtBen-OrsResultat,derzeigt,daÿwederirgendeineFormvon

Synchronie,nochdieErkennung vonAusfällenzwingendnötig ist,umdasKonsens-

Problemzulösen.InsgesamtergibtsichdasBildeinesschwachstrukturiertenRaums

von Modellen, indemviele Modellebezüglich ihrerAusdrucksstärke unvergleichbar

sind.

Wenig ist bisher über die Grenzen von Randomisierung bekannt. Wie im Beispiel

des Konsens-Problems hilft es bei einigen Problemen, Randomisierung in das Mo-

dell einzubeziehen. Dies gilt jedoch nicht füralle Probleme. Hart, Sharir undPnu-

eli stellen in [40 ] erstaunt fest, daÿ sich sogar ähnliche Probleme bei Hinzunahme

von Randomisierung unterschiedlich verhalten können: Während daseine Problem

durch Hinzunahme von Randomisierung lösbar wird, bleibt ein ähnliches Problem

beiHinzunahmevonRandomisierungunlösbar.EinGrundfürdiesesPhänomenist

bisher nicht bekannt.Hart, Sharir undPnueli schreiben in [40 ]:These phenomena

call for further study to understand better the distinction between those concur-

rent problemsthat admit probabilistic solutions thatare better thandeterministic

solutions, andthoseproblemsthatdonotbenetfromintroductionofrandomizati-

on. Insgesamtgibt esnurwenige Unmöglichkeitsresulta te fürRandomisierung, die

darüberhinausselten an formalen Modellen dargestellt sind.

In dieser Arbeit stellen wir zwei neue Unmöglichkeitsresult ate fürparadigmatische

Problemevor.WirbetrachtendabeiModelle, dieRandomisierungeinbeziehen, und

zeigen soGrenzen derAusdrucksstärke von Randomisierungauf.

ImerstenTeilderArbeitgeht esumdieBeziehung vonRandomisierung undFair-

neÿ inverteiltenSystemen.Fairneÿ fordertdiefaire AuösungvonKonikten im

System. Ein Konikt besteht in einem Zustand zwischen zwei in diesem Zustand

ausführbaren Programmaktionen (desselben oderverschiedener Agenten), falls bei-

(18)

de Programmaktionen in diesem Zustand nicht nebenläug zueinander ausgeführt

werdenkönnen. IneinemAblaufkanneinundderselbeKoniktzwischenzweiPro-

grammaktionen immer wieder auftreten. Ein Konikt wird in einem Ablauf fair

gelöst, falls gilt: Tritt der Konikt unendlich oft auf, so wird er unendlich oft zu-

gunstenjederProgrammaktion aufgelöst.

EinenaheliegendeIdeeist es,einSystemsozukonstruieren,daÿesvon selbstKon-

ikte fair löst, in dem es Randomisierung verwendet: Das Systemsoll dabei durch

Münzwurfentscheiden,zugunstenwelcherProgrammaktioneinKoniktgelöstwird.

Gelingtes,solcheinSystemzukonstruieren,sosprechenwirvonderImplementati-

onvon FairneÿdurchRandomisierung. WirweisenindieserArbeitnach,daÿesfür

das Mutex-Problem, für das es bekanntlich eine Lösung unter Fairneÿ gibt, keine

Lösung durch Randomisierung existiert. Daraus folgt,daÿ die Implementation von

Fairneÿdurch Randomisierung im allgemeinen nicht möglich ist.

Unser Resultat zeigt, daÿ Fairneÿ undRandomisierung bezüglich ihrer Ausdrucks-

stärke unvergleichbar sind: Einerseits gibt es ein Problem (nämlich das Mutex-

Problem),dasdurch Fairneÿ,nichtaberdurchRandomisierunggelöstwerdenkann.

Andererseits gibt es ein Problem (nämlich das Konsens-Problem), das durch Ran-

domisierung, nicht aber durch Fairneÿgelöst werden kann.

ImzweitenTeilderArbeitverwendenwireinModell,dasFairneÿundRandomisie-

rungvereint.Einsolches Modell istrelativausdrucksstark: EserlaubtLösungenfür

das Mutex-Problem, das Konsens-Problem, sowie eine Lösung für das allgemeine

Mutex-Problem. Beim allgemeinen Mutex-Problem (auch bekannt als Problem

der speisenden Philosophen [24])ist eine Nachbarschaftsrelation auf denAgenten

gegeben und ein Algorithmus gesucht, der das Mutex-Problem für jedes Paar von

Nachbarnsimultanlöst. Schlieÿlichbetrachtenwirdasausfalltolerante allgemeine

Mutex-Problem eineVariante desallgemeinen Mutex-Problems, bei derAgenten

ausfallenkönnen 1

.Wirbeweisen,daÿsogardieVerbindungvonFairneÿundRando-

misierung nicht genügt, umeine Lösung fürdasausfalltolerante allgemeine Mutex-

Problem zu konstruieren. Dies zeigt, daÿ im Gegensatz zum Konsens-Problem

Randomisierungnicht immer geeignetist, Ausfalltoleranz zuerzielen.

Der Beweis dieses Unmöglichkeitsresultate s oenbart, daÿ das ausfalltolerante all-

gemeine Mutex-Problem inhärent ein unerwünschtes Phänomen enthält, für dasin

derLiteratur der Begri Konspiration geprägt wurde. Konspiration wurde bisher

inSystemenuntersucht,indenenAgentenentwedergemeinsameVariablen oderge-

meinsame Aktionen haben. Wir zeigen, daÿ Konspiration auch in völlig verteilten

Systemen vorkommt, d.h. in Systemen, in denen Agenten weder gemeinsame Va-

riablen noch gemeinsame Aktionen haben. Darüberhinaus ist die Verwendung von

Konspiration zumVerständnisfehlertoleranter Algorithmen neu.

1

Hier wird gefordert, daÿjeder hungrige Agent kritisch wird, es sei denn er oder einer seiner

(19)

Konspiration wurde bisher nicht adäquat charakterisiert. Uns gelingt es, Konspi-

ration auf der Grundlage nicht-sequentieller Abläufe (siehe unten) adäquat zu

charakterisieren. Desweiteren zeigenwir, daÿ wir Konspiration füreine groÿeKlas-

sevon Systemendurch diezusätzliche Annahmevon Quasisynchronie verhindern

können, d.h. wirverfeinern ein konspirationsbehaftetes Systemzu einem randomi-

sierten System, das unter Fairneÿ und Quasisynchronie mit Wahrscheinlichkei t 1

konspirationsfrei ist. Quasisynchronie fordert, daÿ alle relativen Geschwindigkei-

tenim Systemdurcheine Konstante beschränktsind,die jedoch denAgentennicht

bekannt ist.

DieDarstellungderUnmöglichkeitsresulta te unddieCharakterisierungvonKonspi-

ration wird erst durch die Verwendung nicht-sequentieller Abläufe möglich. Ein

nicht-sequentiel l er AblaufrepräsentiertimGegensatzzueinemsequentiellen Ablauf

kausale Ordnung undnicht zeitliche Ordnung von Ereignissen.

Nicht-sequentiel l e Abläufewerden imBereichverteilter Algorithmen seltenverwen-

det, damangegenüber sequentiellen Abläufen miteinerkomplexerenStrukturum-

gehenmuÿ.AufderanderenSeitegewinntmandurchdiezusätzlicheStrukturnicht-

sequentiellerAbläufetiefereEinsichtenindieZusammenhängeverschiedenerPhäno-

mene verteilter Systeme.Da esfürrandomisierte verteilteAlgorithmen bisher noch

keine nicht-sequentiel l e Semantik gibt, entwickeln wir in dieser Arbeit eine. Diese

Semantik hat im Unterschied zur klassischen sequentiellen Semantik randomisier-

terAlgorithmendieEigenschaft,daÿzweikausalunabhängigeEntscheidungenauch

immer stochastisch unabhängig sind.

Die Grundlage unserer Modelle sind Petrinetze. Petrinetzehaben imGegensatz zu

vielen anderen Formalismen eine kanonische nicht-sequentiel l e Semantik.

Abschlieÿend wollen wir bemerken, daÿ auch unsereUnmöglichkeitsresulta te nicht

bedeuten, daÿ die betreenden Probleme in der Praxis unlösbar sind. Sie weisen

aberaufUnzulänglichkeite nhin,diejedepraktischeLösunghat.Lamportbeschreibt

dies in [56 ] fürdie Unlösbarkeit des Arbiter-Problems wie folgt: Thesignicance

of Buridan's Principle [the impossibility result] lies in its warning that decisions

may,in rare circumstances, take much longer thanexpected. Schneider schätzt in

[85 ]dieBedeutungsolcherUnmöglichkeitsresultat e wiefolgtein:Lastly,thevarious

modelscan and shouldberegardedas limiting cases.The behavior ofareal system

is bounded byour models.Thus,understanding thefeasibilityand costsassociated

with solving problems in these models, can give usinsight into the feasibility and

costofsolvingaprobleminsomegivenrealsystemwhosebehaviorliesbetweenthe

models.

Die Arbeit ist wie folgt strukturiert. Nachdem wir in Kapitel 1 die Grundlagen

für die weiteren Erörterungen gelegt haben, denieren wir im Kapitel 2 mitNetz-

systemen unser Ausgangsmodell und untersuchen die Lösbarkeit von Mutex- und

(20)

eineFairneÿannahme zueinemfairen Netzsystem.Wiruntersuchen dann die Lös-

barkeitvon Mutex-undKonsens-Problem infairenNetzsystemen.InKapitel4de-

nierenwirrandomisierteNetzsysteme.EinrandomisiertesNetzsystem isteinum

einMünzwurfkonstrukterweitertesNetzsystem.RandomisierteNetzsystemestellen,

insbesonderedurchihrenicht-sequentiel l eSemantik,diewirinKapitel4entwickeln,

einneues Modell für randomisierte verteilte Algorithmen dar. Desweiteren bestim-

menwirinKapitel 4 dieLösbarkeit von Mutex- undKonsens-Problem inrandomi-

sierten Netzsystemen.

MitKapitel 5 gehen wir zum zweiten Teil der Arbeit über, der denTitel Konspi-

ration trägt. In Kapitel 5 zeigen wir die Unmöglichkeit einer Lösung des ausfall-

toleranten allgemeinen Mutex-Problems in fairen randomisierten Netzsystemen.

EinfairesrandomisiertesNetzsystem isteinumeineFairneÿannahme erweitertes

randomisiertesNetzsystem. InKapitel 6charakterisierenwir Konspirationunddis-

kutieren die Beziehung unserer Denition zur Literatur. Kapitel 7 zeigt schlieÿlich

wann undwiewirKonspirationverhindernkönnen.

(21)

In diesem Kapitel legen wir die Grundlagen für die Erörterungen der folgenden

Kapitel. Den Kern dieses Kapitels stellt Abschnitt 1.2 über Petrinetze und ihre

nicht-sequentiel l e Semantik dar. InAbschnitt 1.3 beschäftigen wir uns mitAblauf-

eigenschaften undihrer Darstellung durch temporale Logik. Abschnitt 1.4 führt in

die Modellierung verteilter Algorithmen durch spezielle Petrinetze algebraische

Netze ein. In Abschnitt 1.5 formalisieren wir dann algebraische Netze. Schlieÿlich

halten wir inAbschnitt 1.6nocheinige Grundbegrieder Wahrscheinlichkei tsrech-

nung fest. Wir beginnen nun mit der Festlegung mathematischer Notationen und

Begrie.

1.1 Mathematische Grundlagen

1.1.1 Mengen und Relationen

Mit ? bezeichnen wir die leere Menge, mit B = ftrue; false g die Menge der Wahr-

heitswerte undmitN =f0;1;:::gdie MengedernatürlichenZahlen sowiemitR die

Menge der reellen Zahlen. Für eine positive reelle Zahl r bezeichne

b

^r

c

^die ^gröÿte

natürliche Zahl, die kleinerodergleich r ist.

SeiAeine Menge.DieKardinalität vonAbezeichnenwirdurchj Aj,dieMenge aller

Teilmengenvon Amit2 A

sowiedieMenge allerendlichenTeilmengenvon Adurch

S(A). Für eine Menge A bezeichnet W(A) die Menge aller nicht-leeren endlichen

SequenzenüberA.FüreineRelationR

⊆

^A

×

^A^über^A^bezeichnet^R⁺^dentransitiven AbschluÿundR

∗

denreexiv-transitiven Abschluÿ vonR. Wirschreiben auchxRy

anstelle von (x;y)

∈

^R. Êine ^Familie ^von ^Mengen ^über êiner Îndexmenge Î ^wird

durch(A

i )

i

∈

^I bezeichnet. EineFamilie (A i

)

i

∈

Î îst ^paarweise ^disjunkt, ^falls ^fürâlle

i;j

∈

^I ^mitⁱ

6

⁼^j ^gilt ^Aⁱ

∩

^A^j ⁼^?.

Sei A eine Menge und A

0 ⊆

^A. ^Die charakteristische Funktion von A

0

ist die

Abbildung

A

0

^:^A^!^f0;^1g,^die ^deniert ^ist ^durch A

0

^(x)⁼¹ ^gdw.^x

∈

^A

⁰

^.

(22)

1.1.2 Multimengen

SeiAeineMenge.EineMultimenge überAisteineAbbildungM:A!N.Fürein

Element x

∈

^A ^heiÿt ^M(x) Vielfachheitvon xin M. Statt M(x) schreiben wirim folgendenM[x]. FüreineMultimengeMheiÿtdieMenge fx

∈

^A^j^M[x]

6

⁼^0g^Träger

von M. Eine Multimenge M ist endlich falls der Träger von M endlich ist. Die

MengeallerendlichenMultimengenüberAbezeichnenwirdurchM(A).Manchmal

betrachten wir Teilmengen von Aals spezielle Multimengen überA, indemwir die

Teilmenge mitihrercharakteristischen Funktion identizieren.

Wir denieren Inklusion, Addition und Subtraktion auf Multimengen punktweise

wie folgt: Es sei M

1

≤

^M² ^gdw. ^für ^alle ^x

∈

^A ^: ^M¹^[x]

≤

^M²^[x]. ^Es ^sei ^(M¹ ⁺

M

2

)[x] = M

1

[x]+M

2

[x] und für M

1

≤

^M² ^sei ^(M² ^-^M¹^)[x] ⁼ ^M²^[x]^-^M¹^[x].

Desweiteren sei fürk

∈

^N ^und^eine ^Multimenge ^M ^die ^Multimenge ^k

·

^M ^deniert

durch (k

·

^M)[x]⁼^k

·

^M[x].

(23)

1.2 Petrinetze und deren Abläufe

In diesem Abschnitt denieren wir Petrinetze und ihre Semantik. Dabei denie-

ren wir in Unterabschnitt 1.2.1 Schaltsequenzen als sequentielle Semantik und in

Unterabschnitt 1.2.2 Abläufe als nicht-sequentiell e Semantik von Petrinetzen. In

Unterabschnitt 1.2.3 stellen wir die Beziehung von Abläufen und Schaltsequenzen

her.

1.2.1 Petrinetze

Eine EinführungindieTheoriederPetrinetzendet manin[77 , 83].Wirbeginnen

mitderDenitioneinesPetrinetzes,daswirimweitereneinfachalsNetz bezeichnen.

Denition 1.1 (Netz)

Ein Netz N=(P;T;F)besteht auszweidisjunkten, nicht-leeren, abzählbaren Men-

gen PundTsowie einerRelation F

⊆

^(P

×

^T)

∪

^(T

×

^P).^Die^Elemente^von ^P^heiÿen

Stellen (oder Plätze), die Elemente von T Transitionen und die Elemente von F

Kanten des Netzes.

◦

Graphisch stellenwireineStelledurcheinen KreisodereineEllipse,eineTransition

durcheinQuadratundeineKante durcheinenPfeil zwischendenbetreendenEle-

mentendar.FürNetzehabensicheineReihevonStandardnotationen durchgesetzt,

die wirim folgenden denieren.

Denition 1.2 (Standardnotationen für Netze)

Sei N = (P;T;F) ein Netz. Wir schreiben x

∈

^N ^an ^Stelle ^von ^x

∈

^P

∪

^T. ^Ein

x

∈

^N^heiÿt^Element ^von ^N.^Wir^denieren^für^x

∈

^N^den^Vorbereich ^von ^x^durch

•

x=fy

∈

^N^j^(y;^x)

∈

^Fg^und^denNachbereichvonxdurchx

•

=fy

∈

^N^j^(x;^y)

∈

^Fg.

Die Mengenderminimalen bzw.maximalen Elementevon Nsind deniert durch

◦

N = fx

∈

^N ^j

^•

^x ⁼ ^?g ^und ^N

^◦

⁼ ^fx

∈

^N ^j ^x

^•

⁼ ^?g. ^Für ^x

∈

^N ^bezeichnet

#x=fy

∈

^N^j^yF⁺^xg^die ^Menge ^der ^V^orgänger ^von ^x.

◦

Zur Modellierung von Systemenwollen wirnursolche Netze verwenden, beidenen

Vor- und Nachbereich jeder Transition nicht-leer und endlich sind 1

. Ein Netz mit

dieser Eigenschaft nennenwir Systemnetz.

Denition 1.3 (Struktureigenschaften von Netzen)

Sei N=(P;T;F)einNetz. Nist

1

(24)

(a) endlich T-verzweigt 2

,falls fürjede Transition t von Nder Vorbereich

•

tund

derNachbereich t

•

endlich ist.

(b) stellenberandet, falls

◦

N

⊆

^P^und^N

^◦ ⊆

^P.

(c) schlicht 3

,falls füralle t

1

;t

2

∈

^T^gilt:

^•

^t¹ ⁼

^•

^t² ^und^t

^•

1

=t

•

2

impliziert t

1

=t

2 .

(d) einSystemnetz, falls Nendlich T-verzweigt, stellenberandet undschlicht ist.

(e) vorgängerendlich,falls füralle x

∈

^N^die^Menge ^#^x^endlich ^ist.

(f) azyklisch, falls füralle Elemente xgilt x

6∈

^#^x.

WirkommennunzurDynamikeinesNetzes.EinZustandeinesNetzeswirdauchals

Markierung bezeichnet. EineMarkierung ist eineendliche MultimengevonStellen

des Netzes. Wir denieren weiterhin, wann eine Transition in einer Markierung

schalten kann undzuwelcher Nachfolgermarkierung diesesSchalten führt.

Denition 1.4 (Markierung, Schalten)

SeiN=(P;T;F)einSystemnetz.

(a) Eine Markierung von N ist eine endliche Multimenge M

∈

^M(P) ^über ^der

Stellenmenge von N. Eine Stelle p

∈

^P ^heiÿt ^markiert ⁱⁿ ^M, ^falls ^M[p]

6

⁼ ^0.

EineMarkierung Mheiÿt sicher,falls

∀

^p

∈

^P^:^M[p]

≤

^1.

(b) Zujeder Transition t

∈

^T^denieren ^wir ^dieVormarkierung t -

unddieNach-

markierung t +

durch

t -

[p]=

1 falls (p;t)

∈

^F

0 sonst

undt +

[p]=

1 falls (t;p)

∈

^F

0 sonst

.

(c) Für eine Transition t sei die Schaltrelation t

!

⊆

^M(P)

×

^M(P) ^deniert ^durch

M

1 t

!M

2

gdw.M

1

≥

^t^- ^und^M²⁼^(M¹^-^t^-⁾⁺^t⁺^.^Ist^M¹^!^t ^M²^,^so^sagen^wir^t

kannin M

1

schalten (odertist in M

1

aktiviert).GiltM

1 t

!M

2

fürirgendein

t,soschreibenwirM

1

!M

2

undsagenM

2

isteineNachfolgermarkierung von

M

1

. Wirschreiben

∗

!anstelle von!

∗

. Gilt M

1

∗

!M

2

, so nennen wir M

2 von

M

1

erreichbar.

Eine Markierung stellen wir graphisch durch schwarze Marken in den Stellen des

Netzesdar. Da in jeder Markierung nur endlich viele Stellen markiert sind, ist die

2

auch:vonendlicherSynchronisation

3

inderLiteraturmanchmal:transitionsschlicht;inderLiteraturwirdfürSchlichtheitmeistzu-

(25)

MengeallerMarkierungenabzählbar.ZweiTransitionent

1

;t

2

einesNetzesNstehen

in Konikt inM,falls beide Transitionen inM aktiviert sindund

•

t

1

∩ ^•

^t²

6

⁼^?.

A

B

C

D

E

F

G a

b

c d

e

f

Abb.1.1:EinNetz

1 .

Abb. 1.1 zeigt ein Netz

1

mit sicherer Mar-

kierung fA;Bg, für die wir im folgenden AB

schreiben. In AB können die Transitionen a

und b schalten. Das Schalten von a führt zu

CB,das Schalten von b führt zuAE. SeiM

eine Markierung einesNetzes N. In der Mar-

kierung CB von

1

stehendie Transitionen e

undc inKonikt, inderMarkierung DE die

Transitionen d undf.

Wir denieren nun sequentielle Abläufe, die klassische sequentielle Semantik von

Netzen. Einen sequentiellen Ablauf bezeichnen wir als Schaltsequenz. Dazu be-

trachten wir ein Netz zusammen miteiner Anfangsmarkierung. Als Anfangsmar-

kierungen wollen wiraustechnischen Gründen nursichere Markierungen zulassen.

Denition 1.5 (Initialisiertes Netz, Schaltsequenz)

(a) Ein Paar = (N;M 0

) heiÿt initialisiertes Netz, falls N ein Systemnetz und

M 0

eine sichere Markierung von N ist; M 0

heiÿt Anfangsmarkierung von .

Eine Markierung M von heiÿt erreichbare Markierung von , falls M von

der Anfangsmarkierung erreichbar ist. Ein initialisiertes Netz heiÿt sicher,

wennjedeerreichbare Markierung von M 0

sicherist.

(b) Sei = (N;M 0

) ein initialisiertes Netz. Eine Schaltsequenz von ist eine

(endlicheoderunendliche)alternierendeSequenz=M

0

;t

1

;M

1

;t

2

;M

2

;:::von

MarkierungenundTransitionenvonN,sodaÿM

0

=M 0

undfüralleiistM

i t

i+1

!

M

i+1

. Wir schreiben auch M

0 t

1

!M

1 t

2

!M

2

;::: für . Ist endlich, so endet

ineiner Markierung M

n

,die wirals Endmarkierung von bezeichnen. Die

Schaltsequenz M

0

;t

1

;M

1

;:::;M

k

heiÿt dask-te Präx vonunddie Sequenz

M

k

;t

k+1

;M

k+1

;:::dask-te Sux von .

◦

Die unendliche Sequenz

1

= AB;a;CB;(c;DB;d;CB) 1

ist eine Schaltsequenz

von

1

. Dabei bezeichnen wir für eine endliche Sequenz mit 1

= ::: die

unendliche Wiederholung von . Ist fest, so ist eine Schaltsequenz von ein-

deutig sowohl durch ihre Markierungssequenz M

0

;M

1

;M

2

;::: als auch durch ihre

Transitionssequenzt

1

;t

2

;:::bestimmt.DabeiistdieangenommeneSchlichtheit des

Netzesnotwendig.

Die Menge aller Schaltsequenzeneines initialisierten Netzes kann mandurch einen

(26)

dieser Arbeit eine untergeordnete Rolle. Wirwerden sie daher nur skizzieren. Ab-

bildung1.2 zeigt denmaximalen Schaltbaum von

1

.Ein maximaler Schaltbaum

eines initialisierten Netzes ist ein ggf. unendlicher Baum #, dessen Knoten mit

Markierungen von und dessen Kanten mit Transitionen von beschriftet sind.

DabeiistdieWurzelvon#mitderAnfangsmarkierungvon beschriftet.Weiterhin

gilt fürjeden Knotenvdes maximalenSchaltbaumes, der miteinerMarkierung M

von beschriftet ist: Gibt es eine Markierung M

0

von mit M t

!M

0

fürirgend-

eine Transition t, so gibt es genau einen Nachfolgerknoten v

0

von v, der mit M

0

beschriftetist. Die Kantevon v nach v

0

ist dabei mittbeschriftet.

...

a

b

c e

AB

CB

AE

FB

DB

CE

FE

CB

DE

FE

DE

CE

G ...

...

b

a

b

d b

e c

d

f

Abb.1.2: DermaximaleSchaltbaumvon

1 .

DermaximaleSchaltbaumeinesinitialisierten Netzesistbis aufIsomorphieeindeu-

tigbestimmt.EinTeilbaum desmaximalenSchaltbaumseinesinitialisierten Netzes

,dessenWurzelmitderWurzeldes maximalenSchaltbaumsübereinstimmt,heiÿt

Schaltbaum von . Jeder Weg in einem Schaltbaum von , der von der Wurzel

ausgeht, repräsentiert eine Schaltsequenz von .

Imnächsten Abschnitt denieren wir dienicht-sequentiel l e Semantik von Netzen.

1.2.2 Abläufe und Abwicklungen

In diesem Abschnitt denieren wir nicht-sequentiel le Abläufe eines initialisierten

Netzes sowie deren Einbettung in eine verzweigte Struktur die maximale Ab-

wicklung eines initialisierten Netzes. Einen nicht-sequentiell e n Ablauf nennen wir

imfolgendenauchkurzAblauf.Bevorwirunsformalen Denitionenzuwenden, be-

schreibenwirdieKonzepteinformell.EineTheorienicht-sequentiel le rAbläufendet

(27)

B

D

E b

D c

A a C C

G c

d

f

e

1

e

2

e

3

e

4

e

5

e

6

Abb.1.3:Einnicht-sequentiellerAblauf

1 von

1 .

SowohlAbläufealsauchAbwicklungenrepräsentierenwirmitHilfespeziellerazykli-

scher Netze,die wir als Abwicklungsnetze bezeichnen. Zur deutlichen Unterschei-

dungeinesAbwicklungsnetzes voneinemgewöhnlichenNetz,nennenwireineStelle

eines Abwicklungsnetzes Bedingung und eine Transition eines Abwicklungsnetzes

Ereignis.Abb.1.3 zeigt einen endlichennicht-sequentiell e n Ablauf

1 von

1 .Die

Ereignisse e

1

;:::;e

6 von

1

sind mit Transitionen von

1

beschriftet ein Ereignis

repräsentiert das Schalten einer Transition. Die Bedingungen von

1

sind mit den

Stellenvon

1

beschrifteteineBedingungrepräsentierteineMarkeaufeinerStelle.

DasEreignis e

1 von

1

repräsentiertdasSchalten von Transitiona inderAnfangs-

markierungvon

1

.Dabei wirddieMarkeauf Averbraucht undeine Marke auf C

erzeugt.

Die Kanten des dem Ablauf zugrundeliegenden Abwicklungsnetzes erzeugen eine

Ordnung aufden Ereignissen undBedingungen. Diese Ordnung bezeichnen wirals

Kausalordnung.Zentrale Eigenschaft nicht-sequentiel l er Abläufeist es,daÿ dieEr-

eignisse einesAblaufs nicht wieinSchaltsequenzen totalgeordnet sondernhalb-

geordnet sind. In

1 sind e

1 unde

2

kausal geordnet, e

1 und e

5

jedoch ungeordnet.

Wir sagen: e

1

und e

5

nden nebenläug (oder unabhängig voneinander) statt.

Die Menge der Bedingungen, die bezüglich der Kausalordnung minimal sind (in

Abb. 1.3: die am weitesten links sind), repräsentiert die Anfangsmarkierung von

1 .

B A

(a)

2

B

A a C

e

1

(b)3

B b E

A

e

5

(c)4

B b E

A a C

e

1

e

5

(d)5

Abb.1.4: VierPräxe von

1 .

Abb. 1.4 zeigt vier weitere Abläufe

2

;:::;

5

von

1

, die Präxe von

1 sind.

Dabeiist

2

derereignislose Ablauf von

1

,d.h. derAblaufvon

1

,indemkeine

Transitionschaltet. Der Ablauf entsteht aus durchAnhängen des Ereignisses

(28)

e

1

, d.h. durch Schalten von a. Der Ablauf

4

entsteht aus

2

durch Anhängen

desEreignissese

5

,d.h. durch Schalten von b.Bei einemnicht-sequentiel l en Ablauf

ist es also möglich, an verschiedenen Stellen des Endes des Ablaufs Ereignisse

anzuhängen. Der Ablauf

5

kann sowohl aus

3

als auch aus

4

durch Anhängen

eineseinzelnen Ereignisses gewonnen werden, d.h. sowohl

3

als auch

4

ist Präx

von

5

.Istfür zwei Abläufe ;

0

eines initialisierten Netzesein Präx von

0

,so

sagen wir umgekehrt

0

ist eine Fortsetzung von .Die Abläufe

3 und

4 haben

diegemeinsameFortsetzung

5

.Habenzwei Abläufeeine gemeinsameFortsetzung,

sonennenwir sie kompatibel.

B

D

E b

c

A a C

e

1

e

2

e

5

(a)

6

B

F

E b

e

A a C

e

1

e

5

e

7

(b)

7

Abb.1.5: ZweizueinanderinkompatibleFortsetzungenvon

5 .

Abb.1.5zeigtzweiFortsetzungen

6 und

7 von

5

,dieihrerseitskeinegemeinsame

Fortsetzunghaben

6 und

7

sindinkompatibel.DieseInkompatibilität reektiert

denKonikt umdievone

1

erzeugteMarkeaufC.Diesekannhöchstensvon einem

der beiden Ereignisse e

2 und e

7

verbraucht werden, d.h. entweder durch Schalten

von c oderdurchSchalten von e.

B b

A a

e C

F

D

E

c

e

1

e

2

e

5

e

7

Abb.1.6: Abwicklung

1 von

1

Zusammenfassungvon

6 und

7 .

So wie verschiedene Schaltsequenzen zu einem Schaltbaum zusammengefaÿt wer-

den können, so können verschiedene Abläufe zu einer Struktur zusammengefaÿt

werden, die wir Abwicklung (in der Literatur: branching process) nennen. Beim

Zusammenfassenvon zwei Abläufen werden ihre gemeinsamen Präxe miteinander

verschmolzen. Fassen wir zwei kompatible Abläufe zusammen, so entsteht wieder

einAblaufdie Zusammenfassungvon

3 und

4 ist

5

.JederAblaufist aucheine

(29)

B b

A a C e F C e F C

D D

E

f G

c d

f G

c d

e

1

e

2

e

3

e

4

e

5

e

6 e

7

e

8

e

9

e

10

Abb.1.7:Die maximaleAbwicklungvon

1 .

Abwicklung kein Ablauf. Abb.1.6 zeigt die Abwicklung

1 von

1

,die dieAbläufe

6 und

7

zusammenfasst.

Während in einem Ablauf jede Bedingung höchstens ein Ereignis im Nachbereich

hat,kanneineBedingungeinerAbwicklungauchmehrereEreignisseimNachbereich

haben.HateineBedingungmehrereEreignisseimNachbereich,sosprechenwirvon

einem Konikt der Ereignisse. Genauer: Zwei verschiedene Ereignisse e

1

und e

2

einer Abwicklung stehen in unmittelbarem Konikt zueinander, falls sie eine ge-

meinsameBedingungimVorbereichhaben.In

1

stehene

2 unde

7

imunmittelbaren

Konikt zueinander.

Abb. 1.7 zeigt die (bis auf Isomorphie eindeutig bestimmte) maximale Abwicklung

von

1

.Die maximaleAbwicklungeinesinitialisierten Netzesrepräsentiertalle

Abläufe von . So nden wir beispielsweise

1

als Teilstruktur in wieder. Wir

betrachten nun Ereignisse von die im unmittelbaren Konikt zueinander stehen.

In sindzum Beispiel e

2 unde

7

sowiee

3 unde

8

inunmittelbaremKoniktzuein-

ander. Stehen zweiEreignisse inunmittelbarem Konikt, sokommen sie inkeinem

Ablaufgemeinsamvor.Auche

7 unde

3

,dienichtinunmittelbaremKoniktstehen,

können nicht gemeinsam ineinem Ablaufvorkommen,da e

7 unde

2

in unmittelba-

rem Konikt stehen und e

3 von e

2

kausal abhängt. Können zwei Ereignisse einer

Abwicklung nicht gemeinsam ineinem Ablaufvorkommen, sosind sie im Konikt

zueinander. Konikt, Kausalität undNebenläugkeit formalisieren wir nun in der

folgenden Denition.

Denition 1.6 (Kausalität, Konikt, Nebenläugkeit)

Sei K=(B;E;<

·

⁾ ^ein vorgängerendliches, azyklisches Systemnetz.

(a) DaKazyklischist,ist<

·

⁺ êineÔrdnung,^die^wirâlsKausalordnung bezeichnen.

Dabei schreiben wir im folgenden < anstelle von <

·

⁺^. ^Gilt ^für ^zwei ^Elemente

x

1

;x

2

die Beziehung x

1

< x

2

,so sagen wir x

1

ist kausaler Vorgänger von x

2 .

Gilt x

1

<x

2

oderx

1

= x

2

,so schreiben wir x

1

≤

^x²^.^Zwei^Elemente ^x¹ ^und ^x²

sind kausal abhängig, falls x < x oder x < x gilt. Eine Menge paarweise

(30)

kausal abhängiger Elemente heiÿt li-Menge 4

.

(b) Zweiverschiedene Ereignisse e

1

;e

2

sind in unmittelbarem Konikt,falls

•

e

1

∩

•

e

2

6

⁼ ^?. ^Zwei ^Elemente ^x¹^;^x² ^sind ⁱⁿ ^Konikt ^(Notation: ^x¹ ^# ^x²^), ^falls ^es

zwei verschiedene Ereignisse e

1

;e

2

gibt,die inunmittelbarem Koniktsind, so

daÿ e

i

≤

^xⁱ ^ist, ^fürⁱ⁼^1;^2.

(c) Zwei verschiedeneElemente x

1

;x

2

sind nebenläug (oder unabhängig) (Nota-

tion: x

1 co x

2

), falls sie weder kausal abhängig noch im Konikt sind. Eine

Menge paarweise nebenläuger Elemente heiÿt co -Menge 5

.

Wirdenieren nun Abwicklungsnetze, die dieGrundlage fürAbwicklungen bilden.

Denition 1.7 (Abwicklungsnetz)

Einvorgängerendliches,azyklischesSystemnetzKheiÿtAbwicklungsnetz,wenngilt

1.

◦

K ist endlich.

2. Für jedeBedingung bvon K gilt j

•

bj

≤

^1.

3. Für kein Ereignis e von Kgilt e#e.

◦

(a)Forderung2 (b)Forderung3

Abb.1.8:DurchDenition1.7verboteneStrukturen.

DiebeidenwesentlichenForderungen2.und3.inDenition1.7verbietendieStruk-

turen, die in Abb. 1.8 dargestellt sind. Forderung 2 verbietet dabei die Struk-

tur in Abb. 1.8(a). Diese Struktur heiÿt Rückwärtskonikt. Forderung 2 besagt,

daÿ jede Bedingung eines Abwicklungsnetzes höchstens durch ein Ereignis erzeugt

wird.Forderung3verbietet Maschenvon einerBedingungzueinemEreignis wiein

Abb. 1.8(b). Sie besagt, daÿ die Vorbedingungen eines Ereignisses nie in Konikt

zueinanderstehen,d.h. fürjedes EreigniseeinesAbwicklungsnetzesgilt:

•

eisteine

co -Menge.

4

li stehtfürline;mitli wirdtraditionellkausaleAbhängigkeitinderPetrinetztheoriebezeichnet.

5

(31)

Aus Denition 1.7ergibt sich,daÿ auch fürkeine Bedingung beines Abwicklungs-

netzes b#bgilt. Desweiteren gilt für jedes Ereignis e auch:e

•

ist eine co -Menge.

Zentrale Eigenschaft eines Abwicklungsnetzes ist: Für je zwei Elemente x

1

;x

2 gilt

genaueinederfolgendenfünf Bedingungen:x

1

=x

2

oderx

1

<x

2

oderx

2

<x

1 oder

x

1

#x

2

oderx

1 cox

2 .

Wir denieren nun die Abwicklungen eines initialisierten Netzes nach Engelfriet

[33 ].SpäterdenierenwirAbläufealsspezielleAbwicklungen.Abwicklungenwurden

bereitsvonNielsen,Plotkin undWinskelin[68 ]eingeführt.Wirdenierenzunächst

denBegri der Abwicklung unddiskutieren die Denitionim Anschluÿ.

Denition 1.8 (Abwicklung)

Sei = (N;M 0

) ein initialisiertes Netz mit N= (P;T;F) und sei K = (B;E;<

·

⁾ ^ein

Abwicklungsnetz.

(a) Eine N-Beschriftung von K ist eine Abbildung l : B

∪

^E ^! ^P

∪

^T, ^so ^daÿ

l(B)

⊆

^P ^und^l(E)

⊆

^T.^Wir^erweitern ^l ^zu^l^:^S(B)^! ^M(P) ^durch ^l(B

⁰

^)(p)⁼

jfb

∈

^B

⁰

^j^l(b)⁼^pgj ^für^alle ^endlichen^B

⁰ ⊆

^B^und^wir^schreiben ^l^anstelle ^von ^l

wenndies eindeutig ist.

(b) =(K;l)heiÿtAbwicklung von,fallsleineN-BeschriftungvonKist,sodaÿ:

1. l(

◦

K)=M 0

.

2. Für jedes Ereignis evon Kgilt: l(

•

e)=l(e) -

undl(e

•

)=l(e) +

.

3. Für alle Ereignisse e

1

;e

2

vonK gilt:

•

e

1

=

•

e

2

^l(e

1 )=l(e

2 ))e

1

=e

2 .

◦

WirerläuternnundieForderungen1bis3ausDenition1.8(b).Forderung1besagt,

daÿ der Anfang einer Abwicklung genau die Anfangsmarkierung des initialisierten

Netzesrepräsentiert. Forderung 2formalisiert, daÿjedes Ereignis einerAbwicklung

genaudasSchalteneinerTransitionrepräsentiert,d.h.Forderung2formalisiert,daÿ

Verbrauch undProduktion von BedingungenderSchaltregel gehorcht.Forderung3

besagt, daÿ derVerbrauch einer Menge von Bedingungen durch das Schalten einer

Transition t höchstens durch ein Ereignis der Abwicklung repräsentiert wird, d.h.

kann eine endliche co-Menge B

0

von Bedingungen durch dasSchalten einerTransi-

tion t verbraucht werden (d.h. l(B

0

) =t -

), sogibt es höchstensein Ereignis e mit

•

e=B

0

undl(e)=t.

Zum besseren Verständnis von Abwicklungen wollen wir hier noch den Abwick-

lungsprozeÿ beschreiben, d.h. wir erklären endliche Abwicklungen induktiv. Eine

unendlicheAbwicklungkannalsGrenzwerteinerFolgevonendlichenAbwicklungen

aufgefaÿt werden. Sei = (N;M 0

) ein initialisiertes Netz. Der Abwicklungsprozeÿ

beginnt im ereignislosen Ablauf von , d.h. derereignislose Ablauf von stellt die

(32)

endlichen Menge Bvon Bedingungen, so daÿ l(B) = M 0

. Sei nun für denIndukti-

onsschritt eine endliche Abwicklung von sowie t eine Transition von . Aus

erhaltenwireineneueAbwicklung

0

durchAnfügeneinesneuenEreignissese

0

mit

l(e

0

) = t und neuer Bedingungen B

0

mit l(B

0

) = t +

an , falls die folgenden zwei

Bedingungenerfüllt sind: (1) Es gibt eine endliche co-Menge B

00

von Bedingungen

von mit l(B

00

) = t -

und (2) es gibt noch kein Ereignis e in mit

•

e = B

00

und

l(e) = t. Dann ensteht

0

aus durch Hinzunahme von e

0

und B

0

und Fortset-

zungder Kausalordnung undder Beschriftung, so daÿ

•

e

0

= B

00

undl(e

0

) = tund

e

0•

=B

0

sowiel(B

0

)=t +

. Dannist

0

eine endliche Abwicklung von .

Die maximale Abwicklung eines initialisierten Netzes entsteht, falls der Abwick-

lungsprozeÿ maximal durchgeführt wird, d.h.: Eine Abwicklung von heiÿt

maximal, falls für jede endliche co-Menge von Bedingungen B

0

von und jede

Transitiontvon gilt:Istl(B

0

)=t -

,danngibt eseinEreignisevon mit

•

e=B

0

undl(e)=t.

Zwei Abwicklungen

1

und

2

können sich in der Menge von Bedingungen und

Ereignissen unterscheiden, ansonsten strukturell aber identisch sein

1

und

2

sinddann isomorph zueinander.DieIsomorphiezweierAbwicklungenformalisieren

wir weiter unten. Die maximale Abwicklung eines initialisierten Netzes ist bis auf

Isomorphieeindeutig bestimmt.JedeAbwicklung vonisteinPräx dermaxima-

lenAbwicklungvon.EinPräxeinergegebenenAbwicklungeinesinitialisierten

NetzesistintuitiveineAbwicklung

0

von,diewenigerweitalsabgewickeltist.

DiePräxbildungbeiAbwicklungenkönnenwirunsübervorgängerabgeschlossene

Ereignismengen vorstellen.

EineMenge E

0

von Ereignissen einerAbwicklungmitGesamtereignismenge Eheiÿt

vorgängerabgeschlossen, falls für alle e

∈

^E

⁰

^gilt: ^#^e

∩

^E

⊆

^E

⁰

^. ^Die ^V^ereinigung

und der Durchschnitt von zwei vorgängerabgeschlossenen Ereignismengen ist wie-

der vorgängerabgeschlossen. Jede vorgängerabgeschlossene Ereignismenge E

0

einer

Abwicklung =(K;l) deniert einen Präx

E

0

^von ^. ^Die Ereignismenge von E

0

istE

0

,dieMengederBedingungenvon

E

0

^ist ^B

0

=

◦

K

∪ S

e

∈

^E

⁰

⁽

•

e

∪

^e

^•

^).^Die^Kausal-

ordnungvon

E

0

^ist^dieEinschränkungderKausalordnung vonaufE

0 ∪

^B

⁰

^und^die

Beschriftungvon

E

0

^ist^dieEinschränkungderBeschriftungvonaufE

0 ∪

^B

⁰

^.^Jede

zu

E

0

îsomorphe Âbwicklung ^betrachten^wirâuch âls^Präx^von ^, ^d.h.^wir^wollen

bei der Denition von Präxen von Isomorphie abstrahieren. Daher denieren wir

nun diePräxrelation aufderMengeallerAbwicklungen einesinitialisierten Netzes

mitHilfe von Homomorphismen.

Denition 1.9 (Präx)

Seienein initialisiertes Netzund

1

;

2

Abwicklungen von mit

i

=((B

i

;E

i

;<

·

ⁱ

);l

i

) für i = 1;2.

1

ist Präx von

2

(Notation:

1

v

²^), ^falls ^zwei Injektionen g:E

1

!E

2

undh:B

1

!B

2

existieren, sodaÿ füralle b

∈

^B¹ ûndâlle ê

∈

^E¹ ^gilt:

(33)

1. h(

•

e)=

•

g(e) undh(e

•

)=g(e)

•

,

2. l

1 (e)=l

2

(g(e))undl

1

(b)=l

2

(h(b)) sowie

3. h(

◦

K

1 )=

◦

K

2 .

Für

1

v

² ^sagen ^wir^auch: ² ^setzt ¹ ^fort.

◦

Forderung1inDenition1.9besagt,daÿ

1 und

2

diegleiche Netzstrukturhaben.

Forderung 2 besagt, daÿ strukturell einander entsprechende Elemente auch gleich

beschriftet sind.Forderung 3sagt, daÿ derAnfang desPräxesauf denAnfang der

Fortsetzung abgebildet wird.

Die Abbildungen g und h in Denition 1.9 heiÿen Präxinjektionen. Ist

1 ein

Präx von

2

,sosinddiePräxinjektionen eindeutig bestimmt (Beweis wiein[47 ];

wichtig hierbei ist,daÿ die Anfangsmarkierungsowie fürjede Transition tdie Vor-

markierung t -

sicher ist). Gilt sowohl

1

v

² ^als ^auch ²

v

¹^, ^so ^sind ¹ ^und

2

isomorph (Notation:

1

≡

²^). ^Gilt ¹

v

² ^und ^nicht ¹

≡

²^, ^so ^schreiben

wir auch

1

@

2

. Oft unterscheiden wir isomorphe Abwicklungen nicht, d.h. jede

Abwicklung steht dannfürihre Isomorphieklasse[]=f

0

j

0 ≡

^g.^Dann^schrei-

ben wir auch anstelle von []. Im weiteren werden wir je nach Zweckmäÿigkeit

eine Abwicklung manchmal alseinzelnes Objekt undmanchmal als Repräsentant

ihrer Isomorphieklasse betrachten.

Engelfriet zeigt in[33 ], daÿdiePräxrelation aufdenIsomorphieklassen einenvoll-

ständigen Verband bildet. Daher sind dasInmumund dasSupremum zweier Ab-

wicklungen (sogar jeder Menge von Abwicklungen) bis auf Isomorphie eindeutig

bestimmt:

Denition 1.10 (Inmum,Supremum)

SeieneininitialisiertesNetzund

1

;

2

Abwicklungenvon.Esseiinf(

1

;

2 )=,

falls die bzgl.

v

^gröÿte ^Abwicklung ^mit ^der Eigenschaft

v

ⁱ ^für ⁱ ⁼ ^1;²

ist. Analog sei sup(

1

;

2

) = , falls die bzgl.

v

^kleinste ^Abwicklung ^mit ^der

Eigenschaft

i

v

^fürⁱ⁼^1;² ^ist.

◦

Die Inmums- und Supremumsbildung können wir uns über vorgängerabgeschlos-

sene Ereignismengen vorstellen: Sind E

1

;E

2

vorgängerabgeschlossene Mengen einer

Abwicklung undist

i

dasvon E

i

erzeugte Präxfüri=1;2,dann erzeugtE

1

∩

^E²

das Inmuminf(

1

;

2

) undE

1

∪

Ê² ^das ^Supremum ^sup(¹^;²^). Âbb. ^1.9^zeigt êin

Beispiel fürdie Inmums-und Supremumsbildung von zweiAbwicklungen.

Manchmal wollen wir auch Ereignisse von Abwicklungen nur modulo Isomorphie

betrachten, d.h. wir wollen Ereignisse verschiedener Abwicklungen in Beziehung

setzen. Dies können wir mittels der eindeutigen Präxinjektion tun: Seien ;