Konspiration in verteilten Algorithmen
Hagen Völzer
1.Februar 2001
verteilten Algorithmen
Dissertation
zurErlangungdes akademischen Grades
Doktor der Naturwissenschaften(doctor rerum naturalium)
im FachInformatik
eingereicht an der
Mathematisch-Naturwissenschaft li chen Fakultät II
derHumboldt-Universität zuBerlin
von
Diplom-Informatiker
Hagen Völzer
geboren am20.April1971 inSchwerin
Präsident derHumboldt-Universität zuBerlin:
Prof.Dr. Jürgen Mlynek
Dekan derMathematisch-Naturwissenschaftl iche n Fakultät II:
Prof.Dr. sc. nat.Bodo Krause
Gutachter:
1.Prof.Dr. Wolfgang Reisig
2.Prof.Dr. K. RüdigerReischuk
3.Prof.Dr. Miroslaw Malek
eingereicht am: 2.November 2000
Fairness, Randomization, and Conspiracy in Distributed Algorithms
Concepts such as fairness (i.e., fair conict resolution), randomization (i.e., coin
ips),andpartial synchrony arefrequently usedtosolvefundamentalsynchroniza-
tion- and coordination-problems in distributed systems such as the mutual exclu-
sion problem (mutex problem for short) and the consensus problem. For some
problemsitisproventhat, withoutsuchconcepts,nosolution totheparticularpro-
blemexists.Impossibiltyresultsofthatkind improve ourunderstandingoftheway
distributed algorithms work.They also improve our understanding of thetrade-o
between atractable modeland apowerful modelof distributed computation.
Inthisthesis,weprovetwonewimpossibilityresultsandweinvestigatetheirreasons.
We are inparticular concerned with models for randomizeddistributed algorithms
sincelittle isyetknownaboutthelimitations ofrandomizationwith respectto the
solvability ofproblemsindistributedsystems.Byasolutionthroughrandomization
wemean thatthe problemunder consideration issolved withprobability 1.
In the rst part of the thesis, we investigate therelationship between fairness and
randomization. On the one hand, it is known that to some problems (e.g. to the
consensus problem),randomizationadmitsasolution wherefairnessdoesnotadmit
a solution. On the other hand, we show that there are problems (viz. the mutex
problem) to which randomization does not admit a solution where fairness does
admit asolution. These resultsimply thatfairness cannot be implemented bycoin
ips.
In the second part of the thesis, we consider a model which combines fairness and
randomization. Such a model is quite powerful, allowing solutions to the mutex
problem,theconsensusproblem,and asolution to thegeneralized mutexproblem.
In the generalized mutex problem (a.k.a. the dining philosophers problem), a
neighborhoodrelation isgiven and mutualexclusion mustbeachieved foreachpair
of neighbors. We nally consider the crash-tolerant generalized mutex problem
where every hungry agent eventually becomes critical provided that neither itself
noroneofitsneighborscrashes.We provethateventhecombinationoffairnessand
randomization does not admit a solution to the crash-tolerant generalized mutex
We argue that the reason for this impossibility is the inherent occurrence of an
undesirable phenomenon known as conspiracy. Conspiracy was not yet properly
characterized. We characterize conspiracy on the basis of non-sequential runs,and
we show that conspiracy can beprevented byhelp of the additional assumption of
partial synchrony,i.e., we showthateveryconspiracy-prone system canberened
to a randomized system which is, with probability 1, conspiracy-free under the
assumptionsofpartial synchronyand fairness.Partial synchrony meansthat each
eventconsumesaboundedamountoftimewhere,however,theboundisnotknown.
We use a non-sequential semantics for distributed algorithms which is essential to
some parts of the thesis. In particular, we develop a non-sequential semantics for
randomizeddistributedalgorithms sincethereisnosuchsemanticsintheliterature.
Inthis non-sequential semantics, causal independence is reected bystochastic in-
dependence.
Keywords:
distributed algorithms, fairness,randomization, conspiracy
Fairneÿ (d.h. faire Koniktlösung), Randomisierung (d.h. Münzwürfe) und par-
tielle Synchronie sind verschiedene Konzepte, die häug zur Lösung zentraler
Synchronisations- und Koordinationsprobleme in verteilten Systemen verwendet
werden.Beispiele für solche Probleme sind dasProblem des wechselseitigen Aus-
schlusses (kurz: Mutex-Problem)sowie dasKonsens-Problem.Für einige solcher
Problemewurdebewiesen,daÿ ohnedieobengenanntenKonzeptekeineLösungfür
dasbetrachteteProblemexistiert.Unmöglichkeitsresulta tedieserArtverbessernun-
serVerständnisderWirkungsweiseverteilterAlgorithmensowiedasVerständnisdes
Trade-oszwischeneinemleicht analysierbarenundeinemausdrucksstarkenModell
fürverteiltes Rechnen.
In dieser Arbeit stellen wir zwei neue Unmöglichkeitsresultate vor. Darüberhinaus
beleuchten wir ihre Hintergründe. Wir betrachten dabei Modelle, die Randomisie-
rung einbeziehen, da bisher wenig überdie Grenzen derAusdrucksstärke von Ran-
domisierung bekannt ist. Mit einer Lösung eines Problems durch Randomisierung
meinen wir, daÿ dasbetrachtete Problem mitWahrscheinlichkei t 1gelöst wird.
Im ersten Teil der Arbeit untersuchen wir die Beziehung von Fairneÿ und Rando-
misierung. Einerseits ist bekannt, daÿ einigeProbleme (z.B.dasKonsens-Problem)
durchRandomisierungnicht aberdurchFairneÿlösbarsind.Wirzeigennun,daÿes
andererseits auch Problemegibt (nämlich das Mutex-Problem),die durch Fairneÿ,
nicht aberdurchRandomisierunglösbarsind.Darausfolgt,daÿ Fairneÿnicht durch
Randomisierung implementiert werden kann.
Imzweiten TeilderArbeitverwendenwireinModell, dasFairneÿundRandomisie-
rungvereint. EinsolchesModell istrelativausdrucksstark: EserlaubtLösungen für
das Mutex-Problem, das Konsens-Problem, sowie eine Lösung für das allgemeine
Mutex-Problem. Beim allgemeinen Mutex-Problem (auch bekannt als Problem
der speisenden Philosophen) ist eine Nachbarschaftsrelation auf den Agenten ge-
geben und ein Algorithmus gesucht, der das Mutex-Problem für jedes Paar von
Nachbarnsimultanlöst.Schlieÿlich betrachtenwirdasausfalltolerante allgemeine
Mutex-Problem eine Variante des allgemeinen Mutex-Problems, beiderAgenten
ausfallen können. Wir zeigen, daÿ sogar die Verbindung von Fairneÿ und Rando-
misierung nicht genügt,um eine Lösung fürdasausfalltolerante allgemeine Mutex-
EinHintergrundfürdiesesUnmöglichkeitsresultatisteinunerwünschtesPhänomen,
fürdasinderLiteraturderBegriKonspiration geprägt wurde.Konspirationwur-
de bisher nicht adäquat charakterisiert. Wir charakterisieren Konspiration auf der
Grundlage nicht-sequentieller Abläufe. Desweiteren zeigen wir, daÿ Konspiration
für eine groÿe Klasse von Systemen durch die zusätzliche Annahme von partieller
Synchronie verhindert werden kann, d.h. ein konspirationsbehaftetes System kann
zueinem randomisierten System verfeinert werden, dasunter Fairneÿ und partiel-
lerSynchronie mitWahrscheinlichkei t 1konspirationsfreiist.PartielleSynchronie
fordert, daÿ alle relativen Geschwindigkeit en im System durch eine Konstante be-
schränktsind, diejedoch denAgentennicht bekannt ist.
DieDarstellung derUnmöglichkeitsresultat e unddieCharakterisierungvonKonspi-
ration wird erst durch die Verwendung nicht-sequentieller Abläufe möglich. Ein
nicht-sequentiell e r Ablauf repräsentiert im Gegensatz zu einem sequentiellen Ab-
laufkausale Ordnung undnicht zeitliche Ordnung von Ereignissen. Wirentwickeln
in dieser Arbeit eine nicht-sequentiel le Semantik für randomisierte verteilte Algo-
rithmen, da es bisher keine in der Literatur gibt. In dieser Semantik wird kausale
Unabhängigkeit durch stochastische Unabhängigkeit widergespiegelt.
Schlagwörter:
Verteilte Algorithmen, Fairneÿ, Randomisierung, Konspiration
DenHintergrund dervorliegenden DissertationbildetmeineForschungstätigkei t im
Projekt Konsensalgorithmen am Lehrstuhl für Theorie der Programmierung des
InstitutsfürInformatikderHumboldt-UniversitätzuBerlin.DasProjektwurdevon
derDeutschenForschungsgemeinschaft gefördertundvonProf.Dr.WolfgangReisig
undProf. Dr. Miroslaw Malek geleitet.
IchdankeProf.Dr.WolfgangReisigfürdieBetreuungundBegutachtungderArbeit,
sowiebesondersdafür,daÿichanseinemLehrstuhlunterhervorragendenBedingun-
genarbeitendurfte.FürdieBegutachtungderArbeitmöchteichauchherzlichProf.
Dr. RüdigerReischuk sowieProf. Dr.Miroslaw Malekdanken.
Für daskritische Lesen von Vorversionen sowiefürdie damitverbundenen Diskus-
sionendankeichEkkartKindler,SibyllePeuker,FelixGärtner,StefanHaar,Karsten
Schmidt undStephan Roch. BesondererDank gilt Ekkart KindlerundStefanHaar
mitdenenichbesondersoftundlangediskutierthabe,mitEkkartKindlervorallem
zunicht-sequentiel l enAbläufenundzuFairneÿ,mitStefanHaarvorallemzuRando-
misierungundzuprobabilistischenAbläufen.MichaelWeberdankeichfürwertvolle
L A
T
E
X-Hinweise sowie für Abbildung 6.1. Desweiteren danke ich allen Teilnehmern
derKaeerundedeso.g.Lehrstuhls fürihrenBeitragzurgutenArbeitsatmosphäre,
inder dievorliegende Arbeitentstanden ist.
NichtzuletztmöchteichmeinenElterndanken,dieimmermeinenWeg,insbesonde-
reauchmeinInteressean Mathematikgeförderthaben.Von Sibyllehabeich immer
zum richtigen ZeitpunktMotivation undRückhalt erhalten. Danke!
Berlin, im Februar 2001 Hagen Völzer
Einleitung 1
1 Grundlagen 7
1.1 Mathematische Grundlagen . . . 7
1.2 Petrinetze undderenAbläufe . . . 9
1.2.1 Petrinetze . . . 9
1.2.2 Abläufe undAbwicklungen . . . 12
1.2.3 Sequentialisierung von Abläufen . . . 23
1.3 Ablaufeigenschaften . . . 24
1.3.1 Sicherheits- undLebendigkeitseigenschaft en . . . 24
1.3.2 Temporallogische Eigenschaften . . . 25
1.4 Petrinetzmodellierung verteilter Algorithmen . . . 27
1.5 Algebraische Netze . . . 30
1.5.1 Signaturen,Variablen undTerme . . . 30
1.5.2 Algebraische Netze . . . 31
1.5.3 Entfaltung einesalgebraischen Netzes . . . 34
1.6 Wahrscheinlichkei tsräume . . . 36
I Fairneÿ und Randomisierung 37 2 Netzsysteme 39 2.1 Netzsysteme. . . 39
2.1.1 Progreÿ . . . 39
2.1.3 Progreÿundschwache Fairneÿ . . . 42
2.2 Lebendigkeit . . . 44
2.3 Mutex inNetzsystemen . . . 46
2.3.1 DasProblem des wechselseitigen Ausschlusses. . . 46
2.3.2 Formalisierung von Mutex . . . 47
2.3.3 Unmöglichkeit von Mutex inNetzsystemen . . . 48
2.4 KonsensinNetzsystemen . . . 50
2.4.1 Dasausfalltolerante Konsens-Problem . . . 51
2.4.2 Formalisierung desKonsens-Problems . . . 52
2.4.3 Einkleiner Konsensalgorithmus . . . 55
2.4.4 Unmöglichkeit von KonsensinNetzsystemen . . . 58
3 Faire Netzsysteme 63 3.1 Faire Netzsysteme . . . 63
3.1.1 Faire Schaltsequenzen . . . 63
3.1.2 Faire Abläufe undfaire Netzsysteme . . . 65
3.1.3 EinProblem von starkerFairneÿ . . . 67
3.2 Mutex infairen Netzsystemen . . . 70
3.3 Konsensinfairen Netzsystemen . . . 71
3.3.1 DasModell von Fischer, Lynch undPaterson . . . 71
3.3.2 Unmöglichkeit von Konsensinfairen Netzsystemen . . . 72
4 Randomisierte Netzsysteme 77 4.1 EinPetrinetzmodell fürrandomisierte Algorithmen . . . 77
4.1.1 Randomisierte Algorithmen . . . 77
4.1.2 Randomisierte Netzsysteme . . . 79
4.1.3 Probabilistische Schaltbäume . . . 81
4.1.4 Probabilistische Abläufe . . . 83
4.1.5 Probabilistische Gültigkeit von Ablaufeigenschaften . . . 85
4.1.6 Beispiele . . . 87
4.1.7 Vergleich von sequentieller undnicht-sequentiel l er Semantik . 89
4.2 KonsensinrandomisiertenNetzsystemen . . . 95
4.3 Mutexin randomisiertenNetzsystemen . . . 98
4.3.1 Unmöglichkeit von Mutexin randomisiertenNetzsystemen . 98 4.3.2 Zwei Aspekte von Fairneÿ . . . 99
II Konspiration 103 5 Faire randomisierte Netzsysteme 105 5.1 Fairerandomisierte Netzsysteme . . . 106
5.2 AllgemeinerMutex infairen randomisierten Netzsystemen . . . 107
5.2.1 Dasallgemeine Mutex-Problem . . . 107
5.2.2 Dasausfalltolerante allgemeine Mutex-Problem . . . 108
5.2.3 Unmöglichkeit von ausfalltolerantem allgemeinen Mutex . . . 109
6 Konspiration 113 6.1 Charakterisierungvon Konspiration . . . 113
6.1.1 Die konspirierenden Philosophen . . . 114
6.1.2 Konspiration inMultiparty-Interaktio nen . . . 115
6.1.3 CharakterisierungvonKonspiration . . . 116
6.1.4 Weitere Beispiele fürKonspiration . . . 119
6.2 Konspirationin derLiteratur . . . 121
6.2.1 1-Fairneÿ. . . 121
6.2.2 Hyperfairneÿ . . . 124
6.3 KonspirationundAusfalltoleranz . . . 126
6.3.1 Ausfalltoleranter allgemeiner Mutex . . . 126
6.3.2 Ausfalltoleranter Konsens . . . 127
6.3.3 Einweiteres Problem . . . 128
7 Konspirationsfreiheit 129 7.1 Konspirationbezüglich einerTransition . . . 129
7.1.1 Beschränkteundunbeschränkte Konspiration . . . 129
7.1.3 Der Nutzenvon Quasisynchronie . . . 134
7.2 Konspiration bezüglich mehrererTransitionen . . . 136
7.2.1 Adaptive Timeoutsan mehrerenTransitionen . . . 136
7.2.2 Randomisierte Timeouts. . . 137
Abschlieÿende Bemerkungen 143 Anhang 145 A Beweise 147 A.1 KonstruktiondesWahrscheinlichkei tsraumesfürprobabilistische Ab- läufe . . . 147
A.1.1 Grundbegrieder Maÿtheorie . . . 147
A.1.2 Konstruktion derMengenalgebra . . . 148
A.1.3 Konstruktion desMaÿes . . . 151
Denitionsverzeichnis 155
Abbildungsverzeichnis 159
Literaturverzeichnis 163
Index 171
VerteilteSystemezuentwerfen undzuverstehenist schwer,weil unsIntuition dafür
fehlt. Eine Methode, umeine Intuition fürein Objekt zunächst zuentwickeln und
dann zu verfeinern, besteht in der mathematischen Modellierung und Analyse des
Objekts.IndieserArbeitgehtesumdieAnalysemathematischer Modelleverteilter
Systeme.
Verteilte Systemesind vielgestaltig. DasInternet, ein lokales Netz, ein Rechnerclu-
ster,einParallelrechner, einasynchronerSchaltkreissowieeinGeschäftsprozeÿoder
ein Produktionsprozeÿ all dies sind verteilte Systeme. Jedes verteilte Systembe-
steht aus handelnden Einheiten, die miteinander kommunizieren. Eine handelnde
Einheit nennen wir in dieser Arbeit Agent. Jedes der genannten verteilten Syste-
me hat spezielle Charakteristika, in denen es sich von den anderen verteilten Sy-
stemen unterscheidet, zum Beispiel unterscheiden sich die genannten Systeme in
der Geschwindigkeit der Kommunikation. Ein Modell, das von den Charakteristi-
kaverschiedener verteilter Systemeabstrahiert, ist allgemein analysieren wirein
allgemeines Modell, soerhalten wirAussagenfürviele verschiedeneverteilte Syste-
me. Ein Modell, das von der relativen Geschwindigkeit seiner Agenten und ihrer
Kommunikation abstrahiert, ist asynchron.
Ein verteiltes System erfüllt meist erst dann seine Aufgabe, wenn die Aktivitäten
verschiedener Agenten koordiniert und synchronisiert werden. Die typischen Pro-
bleme, die wir in einem verteilten System lösen wollen, sind daher Koordinations-
undSynchronisationsprobleme.Beispiele fürsolcheProblemesinddasProblemdes
wechselseitigen Ausschlusses (kurz: Mutex-Problem) und das ausfalltolerante
Konsens-Problem (kurz: Konsens-Problem). Beim Mutex-Problem geht es für
zweiAgenten, von denen jederimmer wieder kritisch sein kann, darum, daÿ beide
Agentenniegleichzeitigkritischsind.BeimKonsens-ProblemgehtesfüreineMenge
vonAgentendarum,einegemeinsameEntscheidungzutreen,undzwarauchdann,
wenn einige Agenten ausfallen. Eine Lösung für ein Koordinations- oder Synchro-
nisationsproblem heiÿt verteilter Algorithmus. Ein verteilter Algorithmus weist
jedem AgentendesSystemseineHandlungsvorschriftzu.DieseHandlungsvorschrift
nennen wirdas Programm des Agenten.
EinetypischeFrage,diewirfüreinModellverteilterSystemebeantwortenwollen,ist
nis,daÿ ein bestimmtes Problem in einem bestimmten Modell nicht gelöst werden
kann,heiÿt Unmöglichkeitsresultat.EinberühmtgewordenesUnmöglichkeitsresul-
tatfürverteilte Systemestammt von Fischer, Lynch undPaterson,die zeigten,daÿ
dasKonsens-Problemineinemallgemeinenasynchronen Modell nichtlösbarist,bei
demdasProgrammjedesAgenten deterministisch ist[36 ]. DiesesResultat ragtaus
anderenheraus, weil essichbeimKonsens-Problem umein paradigmatisches Pro-
blemhandelt ein Problem,dasfüreineganzeKlasse vonProblemensteht,weil es
wesentliche Merkmaleanderer Problemeenthält.
Einige Unmöglichkeitsresulta te sparen uns Aufwand in Entwurf, Implementation
undTesteinesverteilten Systems.Oft impliziert einUnmöglichkeitsresulta t jedoch
nicht, daÿ wir dasProblem inder Praxis nicht lösen können Fischer, Lynch und
Patersonschreiben beispielsweise zuihremResultat: ...;rather, they[these results]
point up the need for more rened models of distributed computing that better
reectrealistic assumptions ..., and for less stringent requirements on the solution
to such problems. [36 ]
TatsächlicherhaltenwirdurchVerfeinerungdesModellsvonFischer,LynchundPa-
tersoneine Lösungdes Konsens-Problems. Ben-Orzeigt,daÿ dasKonsens-Problem
mitWahrscheinlichkei t 1 in einem asynchronen Modell lösbar ist, falls Agenten in
ihrenProgrammenMünzenwerfenkönnen[14 ].Einverteilter Algorithmus,beidem
Agenten Münzen werfen, heiÿt randomisierter verteilter Algorithmus. Sprechen
wir im folgenden davon, daÿ ein randomisierter Algorithmus ein Problem löst, so
meinenwir, daÿ derAlgorithmusdas Problemmit Wahrscheinlichkei t 1 löst.
Mitrandomisierten Algorithmen kann man also mehr Probleme als mit herkömm-
lichen, deterministischen Algorithmen lösen. Auf deranderen Seite ist die Analyse
randomisierter Algorithmen leider schwerer als die Analyse herkömmlicher Algo-
rithmen. Lehmann und Rabin schreiben: The realm of proofs of correctness for
concurrent processesis notwellknown.Asthereader will realize,proofsofcorrect-
nessofprobabilisticdistributed algorithmsareextremely slippery. [59 ];Pnueliund
Zuckschreiben: this[verication] becomesspecially crucial whendealingwith pro-
babilisticconcurrentalgorithms,whereintuitionoftenfailstograspthefullintricacy
ofthealgorithm. [70 ].
Verfeinern wireinModell,sowirdeskomplexer,wenigerallgemein undoftschwerer
analysierbar.Diesist eintypischer Trade-O:Je allgemeinerundleichter analysier-
barein Modell ist, desto weniger Probleme sind darin lösbar. Ein Modell, in dem
wirvieleProblemelösenkönnen,nennenwirausdrucksstark.IndemwirdenTrade-
O zwischeneinem allgemeinen und einem ausdrucksstarken Modell mit Hilfe von
Unmöglichkeitsresultat enverstehen,verbessernwirunsereIntuitionfürverteilteSy-
steme.DieBedeutung von Unmöglichkeitsresulta ten wirddurchihrensignikanten
Anteil inLehrbüchern überverteilte Algorithmen widergespiegelt [10,62 , 88].
verteilte Systemeist schwer zuverstehen.Diesliegt zumeinen an derVielzahl ver-
schiedenerModelle,diedurchdieKombinationeinerVielzahlvonModellparametern
entsteht. Wichtige Modellparametersind neben derVerfügbarkeit von Randomisie-
rungoderderAnnahmevonSynchronie,dieVerfügbarkeitvonKommunikationspri-
mitiven wiez.B.BroadcastsowiedieAnnahmevonFairneÿ (sieheunten). Umden
Trade-OfürdasKonsens-Problemauszuloten,denierenDolev,DworkundStock-
meyerin[31 ]beispielsweise nichtwenigerals32Modelle,indenensiedieLösbarkeit
des Konsens-Problemsuntersuchen. Ihr Papier undandere Papiere zeigen, daÿ Un-
möglichkeitsresultat e oft sensibel gegenüber kleinen Änderungen an verschiedenen
Modellparametern sind. Dadurch ist es schwer, wenn nicht unmöglich, eine einzel-
ne Ursache fürdas Unmöglichkeitsresulta t zu isolieren. Oft liest man in Papieren,
die das Ergebnis von Fischer, Lynch und Paterson zitieren, daÿ die Ursache die-
ses Unmöglichkeitsresult ate s darin besteht, daÿ man ineinem asynchronen System
einenausgefallenenAgentennichtvoneinemsehrlangsamenAgentenunterscheiden
kann.DieswidersprichtBen-OrsResultat,derzeigt,daÿwederirgendeineFormvon
Synchronie,nochdieErkennung vonAusfällenzwingendnötig ist,umdasKonsens-
Problemzulösen.InsgesamtergibtsichdasBildeinesschwachstrukturiertenRaums
von Modellen, indemviele Modellebezüglich ihrerAusdrucksstärke unvergleichbar
sind.
Wenig ist bisher über die Grenzen von Randomisierung bekannt. Wie im Beispiel
des Konsens-Problems hilft es bei einigen Problemen, Randomisierung in das Mo-
dell einzubeziehen. Dies gilt jedoch nicht füralle Probleme. Hart, Sharir undPnu-
eli stellen in [40 ] erstaunt fest, daÿ sich sogar ähnliche Probleme bei Hinzunahme
von Randomisierung unterschiedlich verhalten können: Während daseine Problem
durch Hinzunahme von Randomisierung lösbar wird, bleibt ein ähnliches Problem
beiHinzunahmevonRandomisierungunlösbar.EinGrundfürdiesesPhänomenist
bisher nicht bekannt.Hart, Sharir undPnueli schreiben in [40 ]:These phenomena
call for further study to understand better the distinction between those concur-
rent problemsthat admit probabilistic solutions thatare better thandeterministic
solutions, andthoseproblemsthatdonotbenetfromintroductionofrandomizati-
on. Insgesamtgibt esnurwenige Unmöglichkeitsresulta te fürRandomisierung, die
darüberhinausselten an formalen Modellen dargestellt sind.
In dieser Arbeit stellen wir zwei neue Unmöglichkeitsresult ate fürparadigmatische
Problemevor.WirbetrachtendabeiModelle, dieRandomisierungeinbeziehen, und
zeigen soGrenzen derAusdrucksstärke von Randomisierungauf.
ImerstenTeilderArbeitgeht esumdieBeziehung vonRandomisierung undFair-
neÿ inverteiltenSystemen.Fairneÿ fordertdiefaire AuösungvonKonikten im
System. Ein Konikt besteht in einem Zustand zwischen zwei in diesem Zustand
ausführbaren Programmaktionen (desselben oderverschiedener Agenten), falls bei-
de Programmaktionen in diesem Zustand nicht nebenläug zueinander ausgeführt
werdenkönnen. IneinemAblaufkanneinundderselbeKoniktzwischenzweiPro-
grammaktionen immer wieder auftreten. Ein Konikt wird in einem Ablauf fair
gelöst, falls gilt: Tritt der Konikt unendlich oft auf, so wird er unendlich oft zu-
gunstenjederProgrammaktion aufgelöst.
EinenaheliegendeIdeeist es,einSystemsozukonstruieren,daÿesvon selbstKon-
ikte fair löst, in dem es Randomisierung verwendet: Das Systemsoll dabei durch
Münzwurfentscheiden,zugunstenwelcherProgrammaktioneinKoniktgelöstwird.
Gelingtes,solcheinSystemzukonstruieren,sosprechenwirvonderImplementati-
onvon FairneÿdurchRandomisierung. WirweisenindieserArbeitnach,daÿesfür
das Mutex-Problem, für das es bekanntlich eine Lösung unter Fairneÿ gibt, keine
Lösung durch Randomisierung existiert. Daraus folgt,daÿ die Implementation von
Fairneÿdurch Randomisierung im allgemeinen nicht möglich ist.
Unser Resultat zeigt, daÿ Fairneÿ undRandomisierung bezüglich ihrer Ausdrucks-
stärke unvergleichbar sind: Einerseits gibt es ein Problem (nämlich das Mutex-
Problem),dasdurch Fairneÿ,nichtaberdurchRandomisierunggelöstwerdenkann.
Andererseits gibt es ein Problem (nämlich das Konsens-Problem), das durch Ran-
domisierung, nicht aber durch Fairneÿgelöst werden kann.
ImzweitenTeilderArbeitverwendenwireinModell,dasFairneÿundRandomisie-
rungvereint.Einsolches Modell istrelativausdrucksstark: EserlaubtLösungenfür
das Mutex-Problem, das Konsens-Problem, sowie eine Lösung für das allgemeine
Mutex-Problem. Beim allgemeinen Mutex-Problem (auch bekannt als Problem
der speisenden Philosophen [24])ist eine Nachbarschaftsrelation auf denAgenten
gegeben und ein Algorithmus gesucht, der das Mutex-Problem für jedes Paar von
Nachbarnsimultanlöst. Schlieÿlichbetrachtenwirdasausfalltolerante allgemeine
Mutex-Problem eineVariante desallgemeinen Mutex-Problems, bei derAgenten
ausfallenkönnen 1
.Wirbeweisen,daÿsogardieVerbindungvonFairneÿundRando-
misierung nicht genügt, umeine Lösung fürdasausfalltolerante allgemeine Mutex-
Problem zu konstruieren. Dies zeigt, daÿ im Gegensatz zum Konsens-Problem
Randomisierungnicht immer geeignetist, Ausfalltoleranz zuerzielen.
Der Beweis dieses Unmöglichkeitsresultate s oenbart, daÿ das ausfalltolerante all-
gemeine Mutex-Problem inhärent ein unerwünschtes Phänomen enthält, für dasin
derLiteratur der Begri Konspiration geprägt wurde. Konspiration wurde bisher
inSystemenuntersucht,indenenAgentenentwedergemeinsameVariablen oderge-
meinsame Aktionen haben. Wir zeigen, daÿ Konspiration auch in völlig verteilten
Systemen vorkommt, d.h. in Systemen, in denen Agenten weder gemeinsame Va-
riablen noch gemeinsame Aktionen haben. Darüberhinaus ist die Verwendung von
Konspiration zumVerständnisfehlertoleranter Algorithmen neu.
1
Hier wird gefordert, daÿjeder hungrige Agent kritisch wird, es sei denn er oder einer seiner
Konspiration wurde bisher nicht adäquat charakterisiert. Uns gelingt es, Konspi-
ration auf der Grundlage nicht-sequentieller Abläufe (siehe unten) adäquat zu
charakterisieren. Desweiteren zeigenwir, daÿ wir Konspiration füreine groÿeKlas-
sevon Systemendurch diezusätzliche Annahmevon Quasisynchronie verhindern
können, d.h. wirverfeinern ein konspirationsbehaftetes Systemzu einem randomi-
sierten System, das unter Fairneÿ und Quasisynchronie mit Wahrscheinlichkei t 1
konspirationsfrei ist. Quasisynchronie fordert, daÿ alle relativen Geschwindigkei-
tenim Systemdurcheine Konstante beschränktsind,die jedoch denAgentennicht
bekannt ist.
DieDarstellungderUnmöglichkeitsresulta te unddieCharakterisierungvonKonspi-
ration wird erst durch die Verwendung nicht-sequentieller Abläufe möglich. Ein
nicht-sequentiel l er AblaufrepräsentiertimGegensatzzueinemsequentiellen Ablauf
kausale Ordnung undnicht zeitliche Ordnung von Ereignissen.
Nicht-sequentiel l e Abläufewerden imBereichverteilter Algorithmen seltenverwen-
det, damangegenüber sequentiellen Abläufen miteinerkomplexerenStrukturum-
gehenmuÿ.AufderanderenSeitegewinntmandurchdiezusätzlicheStrukturnicht-
sequentiellerAbläufetiefereEinsichtenindieZusammenhängeverschiedenerPhäno-
mene verteilter Systeme.Da esfürrandomisierte verteilteAlgorithmen bisher noch
keine nicht-sequentiel l e Semantik gibt, entwickeln wir in dieser Arbeit eine. Diese
Semantik hat im Unterschied zur klassischen sequentiellen Semantik randomisier-
terAlgorithmendieEigenschaft,daÿzweikausalunabhängigeEntscheidungenauch
immer stochastisch unabhängig sind.
Die Grundlage unserer Modelle sind Petrinetze. Petrinetzehaben imGegensatz zu
vielen anderen Formalismen eine kanonische nicht-sequentiel l e Semantik.
Abschlieÿend wollen wir bemerken, daÿ auch unsereUnmöglichkeitsresulta te nicht
bedeuten, daÿ die betreenden Probleme in der Praxis unlösbar sind. Sie weisen
aberaufUnzulänglichkeite nhin,diejedepraktischeLösunghat.Lamportbeschreibt
dies in [56 ] fürdie Unlösbarkeit des Arbiter-Problems wie folgt: Thesignicance
of Buridan's Principle [the impossibility result] lies in its warning that decisions
may,in rare circumstances, take much longer thanexpected. Schneider schätzt in
[85 ]dieBedeutungsolcherUnmöglichkeitsresultat e wiefolgtein:Lastly,thevarious
modelscan and shouldberegardedas limiting cases.The behavior ofareal system
is bounded byour models.Thus,understanding thefeasibilityand costsassociated
with solving problems in these models, can give usinsight into the feasibility and
costofsolvingaprobleminsomegivenrealsystemwhosebehaviorliesbetweenthe
models.
Die Arbeit ist wie folgt strukturiert. Nachdem wir in Kapitel 1 die Grundlagen
für die weiteren Erörterungen gelegt haben, denieren wir im Kapitel 2 mitNetz-
systemen unser Ausgangsmodell und untersuchen die Lösbarkeit von Mutex- und
eineFairneÿannahme zueinemfairen Netzsystem.Wiruntersuchen dann die Lös-
barkeitvon Mutex-undKonsens-Problem infairenNetzsystemen.InKapitel4de-
nierenwirrandomisierteNetzsysteme.EinrandomisiertesNetzsystem isteinum
einMünzwurfkonstrukterweitertesNetzsystem.RandomisierteNetzsystemestellen,
insbesonderedurchihrenicht-sequentiel l eSemantik,diewirinKapitel4entwickeln,
einneues Modell für randomisierte verteilte Algorithmen dar. Desweiteren bestim-
menwirinKapitel 4 dieLösbarkeit von Mutex- undKonsens-Problem inrandomi-
sierten Netzsystemen.
MitKapitel 5 gehen wir zum zweiten Teil der Arbeit über, der denTitel Konspi-
ration trägt. In Kapitel 5 zeigen wir die Unmöglichkeit einer Lösung des ausfall-
toleranten allgemeinen Mutex-Problems in fairen randomisierten Netzsystemen.
EinfairesrandomisiertesNetzsystem isteinumeineFairneÿannahme erweitertes
randomisiertesNetzsystem. InKapitel 6charakterisierenwir Konspirationunddis-
kutieren die Beziehung unserer Denition zur Literatur. Kapitel 7 zeigt schlieÿlich
wann undwiewirKonspirationverhindernkönnen.
In diesem Kapitel legen wir die Grundlagen für die Erörterungen der folgenden
Kapitel. Den Kern dieses Kapitels stellt Abschnitt 1.2 über Petrinetze und ihre
nicht-sequentiel l e Semantik dar. InAbschnitt 1.3 beschäftigen wir uns mitAblauf-
eigenschaften undihrer Darstellung durch temporale Logik. Abschnitt 1.4 führt in
die Modellierung verteilter Algorithmen durch spezielle Petrinetze algebraische
Netze ein. In Abschnitt 1.5 formalisieren wir dann algebraische Netze. Schlieÿlich
halten wir inAbschnitt 1.6nocheinige Grundbegrieder Wahrscheinlichkei tsrech-
nung fest. Wir beginnen nun mit der Festlegung mathematischer Notationen und
Begrie.
1.1 Mathematische Grundlagen
1.1.1 Mengen und Relationen
Mit ? bezeichnen wir die leere Menge, mit B = ftrue; false g die Menge der Wahr-
heitswerte undmitN =f0;1;:::gdie MengedernatürlichenZahlen sowiemitR die
Menge der reellen Zahlen. Für eine positive reelle Zahl r bezeichne
b
rc
die gröÿtenatürliche Zahl, die kleinerodergleich r ist.
SeiAeine Menge.DieKardinalität vonAbezeichnenwirdurchj Aj,dieMenge aller
Teilmengenvon Amit2 A
sowiedieMenge allerendlichenTeilmengenvon Adurch
S(A). Für eine Menge A bezeichnet W(A) die Menge aller nicht-leeren endlichen
SequenzenüberA.FüreineRelationR
⊆
A×
AüberAbezeichnetR+dentransitiven AbschluÿundR∗
denreexiv-transitiven Abschluÿ vonR. Wirschreiben auchxRy
anstelle von (x;y)
∈
R. Eine Familie von Mengen über einer Indexmenge I wirddurch(A
i )
i
∈
I bezeichnet. EineFamilie (A i)
i
∈
I ist paarweise disjunkt, falls fürallei;j
∈
I miti6
=j gilt Ai∩
Aj =?.Sei A eine Menge und A
0 ⊆ A. Die charakteristische Funktion von A
0
ist die
Abbildung
A
0
:A!f0;1g,die deniert ist durch A0
(x)=1 gdw.x∈
A0
.1.1.2 Multimengen
SeiAeineMenge.EineMultimenge überAisteineAbbildungM:A!N.Fürein
Element x
∈
A heiÿt M(x) Vielfachheitvon xin M. Statt M(x) schreiben wirim folgendenM[x]. FüreineMultimengeMheiÿtdieMenge fx∈
AjM[x]6
=0gTrägervon M. Eine Multimenge M ist endlich falls der Träger von M endlich ist. Die
MengeallerendlichenMultimengenüberAbezeichnenwirdurchM(A).Manchmal
betrachten wir Teilmengen von Aals spezielle Multimengen überA, indemwir die
Teilmenge mitihrercharakteristischen Funktion identizieren.
Wir denieren Inklusion, Addition und Subtraktion auf Multimengen punktweise
wie folgt: Es sei M
1
≤
M2 gdw. für alle x∈
A : M1[x]≤
M2[x]. Es sei (M1 +M
2
)[x] = M
1
[x]+M
2
[x] und für M
1
≤
M2 sei (M2 -M1)[x] = M2[x]-M1[x].Desweiteren sei fürk
∈
N undeine Multimenge M die Multimenge k·
M deniertdurch (k
·
M)[x]=k·
M[x].1.2 Petrinetze und deren Abläufe
In diesem Abschnitt denieren wir Petrinetze und ihre Semantik. Dabei denie-
ren wir in Unterabschnitt 1.2.1 Schaltsequenzen als sequentielle Semantik und in
Unterabschnitt 1.2.2 Abläufe als nicht-sequentiell e Semantik von Petrinetzen. In
Unterabschnitt 1.2.3 stellen wir die Beziehung von Abläufen und Schaltsequenzen
her.
1.2.1 Petrinetze
Eine EinführungindieTheoriederPetrinetzendet manin[77 , 83].Wirbeginnen
mitderDenitioneinesPetrinetzes,daswirimweitereneinfachalsNetz bezeichnen.
Denition 1.1 (Netz)
Ein Netz N=(P;T;F)besteht auszweidisjunkten, nicht-leeren, abzählbaren Men-
gen PundTsowie einerRelation F
⊆
(P×
T)∪
(T×
P).DieElementevon PheiÿenStellen (oder Plätze), die Elemente von T Transitionen und die Elemente von F
Kanten des Netzes.
◦
Graphisch stellenwireineStelledurcheinen KreisodereineEllipse,eineTransition
durcheinQuadratundeineKante durcheinenPfeil zwischendenbetreendenEle-
mentendar.FürNetzehabensicheineReihevonStandardnotationen durchgesetzt,
die wirim folgenden denieren.
Denition 1.2 (Standardnotationen für Netze)
Sei N = (P;T;F) ein Netz. Wir schreiben x
∈
N an Stelle von x∈
P∪
T. Einx
∈
NheiÿtElement von N.Wirdenierenfürx∈
NdenVorbereich von xdurch•
x=fy
∈
Nj(y;x)∈
FgunddenNachbereichvonxdurchx•
=fy
∈
Nj(x;y)∈
Fg.Die Mengenderminimalen bzw.maximalen Elementevon Nsind deniert durch
◦
N = fx
∈
N j•
x = ?g und N◦
= fx∈
N j x•
= ?g. Für x∈
N bezeichnet#x=fy
∈
NjyF+xgdie Menge der Vorgänger von x.◦
Zur Modellierung von Systemenwollen wirnursolche Netze verwenden, beidenen
Vor- und Nachbereich jeder Transition nicht-leer und endlich sind 1
. Ein Netz mit
dieser Eigenschaft nennenwir Systemnetz.
Denition 1.3 (Struktureigenschaften von Netzen)
Sei N=(P;T;F)einNetz. Nist
1
(a) endlich T-verzweigt 2
,falls fürjede Transition t von Nder Vorbereich
•
tund
derNachbereich t
•
endlich ist.
(b) stellenberandet, falls
◦
N
⊆
PundN◦ ⊆P.
(c) schlicht 3
,falls füralle t
1
;t
2
∈
Tgilt:•
t1 =•
t2 undt•
1=t
•
2
impliziert t
1
=t
2 .
(d) einSystemnetz, falls Nendlich T-verzweigt, stellenberandet undschlicht ist.
(e) vorgängerendlich,falls füralle x
∈
NdieMenge #xendlich ist.(f) azyklisch, falls füralle Elemente xgilt x
6∈
#x.WirkommennunzurDynamikeinesNetzes.EinZustandeinesNetzeswirdauchals
Markierung bezeichnet. EineMarkierung ist eineendliche MultimengevonStellen
des Netzes. Wir denieren weiterhin, wann eine Transition in einer Markierung
schalten kann undzuwelcher Nachfolgermarkierung diesesSchalten führt.
Denition 1.4 (Markierung, Schalten)
SeiN=(P;T;F)einSystemnetz.
(a) Eine Markierung von N ist eine endliche Multimenge M
∈
M(P) über derStellenmenge von N. Eine Stelle p
∈
P heiÿt markiert in M, falls M[p]6
= 0.EineMarkierung Mheiÿt sicher,falls
∀
p∈
P:M[p]≤
1.(b) Zujeder Transition t
∈
Tdenieren wir dieVormarkierung t -unddieNach-
markierung t +
durch
t -
[p]=
1 falls (p;t)
∈
F0 sonst
undt +
[p]=
1 falls (t;p)
∈
F0 sonst
.
(c) Für eine Transition t sei die Schaltrelation t
!
⊆
M(P)×
M(P) deniert durchM
1 t
!M
2
gdw.M
1
≥
t- undM2=(M1-t-)+t+.IstM1!t M2,sosagenwirtkannin M
1
schalten (odertist in M
1
aktiviert).GiltM
1 t
!M
2
fürirgendein
t,soschreibenwirM
1
!M
2
undsagenM
2
isteineNachfolgermarkierung von
M
1
. Wirschreiben
∗
!anstelle von!
∗
. Gilt M
1
∗
!M
2
, so nennen wir M
2 von
M
1
erreichbar.
Eine Markierung stellen wir graphisch durch schwarze Marken in den Stellen des
Netzesdar. Da in jeder Markierung nur endlich viele Stellen markiert sind, ist die
2
auch:vonendlicherSynchronisation
3
inderLiteraturmanchmal:transitionsschlicht;inderLiteraturwirdfürSchlichtheitmeistzu-
MengeallerMarkierungenabzählbar.ZweiTransitionent
1
;t
2
einesNetzesNstehen
in Konikt inM,falls beide Transitionen inM aktiviert sindund
•
t
1
∩ •t26
=?.
A
B
C
D
E
F
G a
b
c d
e
f
Abb.1.1:EinNetz
1 .
Abb. 1.1 zeigt ein Netz
1
mit sicherer Mar-
kierung fA;Bg, für die wir im folgenden AB
schreiben. In AB können die Transitionen a
und b schalten. Das Schalten von a führt zu
CB,das Schalten von b führt zuAE. SeiM
eine Markierung einesNetzes N. In der Mar-
kierung CB von
1
stehendie Transitionen e
undc inKonikt, inderMarkierung DE die
Transitionen d undf.
Wir denieren nun sequentielle Abläufe, die klassische sequentielle Semantik von
Netzen. Einen sequentiellen Ablauf bezeichnen wir als Schaltsequenz. Dazu be-
trachten wir ein Netz zusammen miteiner Anfangsmarkierung. Als Anfangsmar-
kierungen wollen wiraustechnischen Gründen nursichere Markierungen zulassen.
Denition 1.5 (Initialisiertes Netz, Schaltsequenz)
(a) Ein Paar = (N;M 0
) heiÿt initialisiertes Netz, falls N ein Systemnetz und
M 0
eine sichere Markierung von N ist; M 0
heiÿt Anfangsmarkierung von .
Eine Markierung M von heiÿt erreichbare Markierung von , falls M von
der Anfangsmarkierung erreichbar ist. Ein initialisiertes Netz heiÿt sicher,
wennjedeerreichbare Markierung von M 0
sicherist.
(b) Sei = (N;M 0
) ein initialisiertes Netz. Eine Schaltsequenz von ist eine
(endlicheoderunendliche)alternierendeSequenz=M
0
;t
1
;M
1
;t
2
;M
2
;:::von
MarkierungenundTransitionenvonN,sodaÿM
0
=M 0
undfüralleiistM
i t
i+1
!
M
i+1
. Wir schreiben auch M
0 t
1
!M
1 t
2
!M
2
;::: für . Ist endlich, so endet
ineiner Markierung M
n
,die wirals Endmarkierung von bezeichnen. Die
Schaltsequenz M
0
;t
1
;M
1
;:::;M
k
heiÿt dask-te Präx vonunddie Sequenz
M
k
;t
k+1
;M
k+1
;:::dask-te Sux von .
◦
Die unendliche Sequenz
1
= AB;a;CB;(c;DB;d;CB) 1
ist eine Schaltsequenz
von
1
. Dabei bezeichnen wir für eine endliche Sequenz mit 1
= ::: die
unendliche Wiederholung von . Ist fest, so ist eine Schaltsequenz von ein-
deutig sowohl durch ihre Markierungssequenz M
0
;M
1
;M
2
;::: als auch durch ihre
Transitionssequenzt
1
;t
2
;:::bestimmt.DabeiistdieangenommeneSchlichtheit des
Netzesnotwendig.
Die Menge aller Schaltsequenzeneines initialisierten Netzes kann mandurch einen
dieser Arbeit eine untergeordnete Rolle. Wirwerden sie daher nur skizzieren. Ab-
bildung1.2 zeigt denmaximalen Schaltbaum von
1
.Ein maximaler Schaltbaum
eines initialisierten Netzes ist ein ggf. unendlicher Baum #, dessen Knoten mit
Markierungen von und dessen Kanten mit Transitionen von beschriftet sind.
DabeiistdieWurzelvon#mitderAnfangsmarkierungvon beschriftet.Weiterhin
gilt fürjeden Knotenvdes maximalenSchaltbaumes, der miteinerMarkierung M
von beschriftet ist: Gibt es eine Markierung M
0
von mit M t
!M
0
fürirgend-
eine Transition t, so gibt es genau einen Nachfolgerknoten v
0
von v, der mit M
0
beschriftetist. Die Kantevon v nach v
0
ist dabei mittbeschriftet.
...
...
...
...
...
...
...
a
b
c e
AB
CB
AE
FB
DB
CE
CE
FE
CB
DE
FE
DE
CE
G ...
...
b
a
b
d b
e c
d
f
Abb.1.2: DermaximaleSchaltbaumvon
1 .
DermaximaleSchaltbaumeinesinitialisierten Netzesistbis aufIsomorphieeindeu-
tigbestimmt.EinTeilbaum desmaximalenSchaltbaumseinesinitialisierten Netzes
,dessenWurzelmitderWurzeldes maximalenSchaltbaumsübereinstimmt,heiÿt
Schaltbaum von . Jeder Weg in einem Schaltbaum von , der von der Wurzel
ausgeht, repräsentiert eine Schaltsequenz von .
Imnächsten Abschnitt denieren wir dienicht-sequentiel l e Semantik von Netzen.
1.2.2 Abläufe und Abwicklungen
In diesem Abschnitt denieren wir nicht-sequentiel le Abläufe eines initialisierten
Netzes sowie deren Einbettung in eine verzweigte Struktur die maximale Ab-
wicklung eines initialisierten Netzes. Einen nicht-sequentiell e n Ablauf nennen wir
imfolgendenauchkurzAblauf.Bevorwirunsformalen Denitionenzuwenden, be-
schreibenwirdieKonzepteinformell.EineTheorienicht-sequentiel le rAbläufendet
B
D
E b
D c
A a C C
G c
d
f
e
1
e
2
e
3
e
4
e
5
e
6
Abb.1.3:Einnicht-sequentiellerAblauf
1 von
1 .
SowohlAbläufealsauchAbwicklungenrepräsentierenwirmitHilfespeziellerazykli-
scher Netze,die wir als Abwicklungsnetze bezeichnen. Zur deutlichen Unterschei-
dungeinesAbwicklungsnetzes voneinemgewöhnlichenNetz,nennenwireineStelle
eines Abwicklungsnetzes Bedingung und eine Transition eines Abwicklungsnetzes
Ereignis.Abb.1.3 zeigt einen endlichennicht-sequentiell e n Ablauf
1 von
1 .Die
Ereignisse e
1
;:::;e
6 von
1
sind mit Transitionen von
1
beschriftet ein Ereignis
repräsentiert das Schalten einer Transition. Die Bedingungen von
1
sind mit den
Stellenvon
1
beschrifteteineBedingungrepräsentierteineMarkeaufeinerStelle.
DasEreignis e
1 von
1
repräsentiertdasSchalten von Transitiona inderAnfangs-
markierungvon
1
.Dabei wirddieMarkeauf Averbraucht undeine Marke auf C
erzeugt.
Die Kanten des dem Ablauf zugrundeliegenden Abwicklungsnetzes erzeugen eine
Ordnung aufden Ereignissen undBedingungen. Diese Ordnung bezeichnen wirals
Kausalordnung.Zentrale Eigenschaft nicht-sequentiel l er Abläufeist es,daÿ dieEr-
eignisse einesAblaufs nicht wieinSchaltsequenzen totalgeordnet sondernhalb-
geordnet sind. In
1 sind e
1 unde
2
kausal geordnet, e
1 und e
5
jedoch ungeordnet.
Wir sagen: e
1
und e
5
nden nebenläug (oder unabhängig voneinander) statt.
Die Menge der Bedingungen, die bezüglich der Kausalordnung minimal sind (in
Abb. 1.3: die am weitesten links sind), repräsentiert die Anfangsmarkierung von
1 .
B A
(a)
2
B
A a C
e
1
(b)3
B b E
A
e
5
(c)4
B b E
A a C
e
1
e
5
(d)5
Abb.1.4: VierPräxe von
1 .
Abb. 1.4 zeigt vier weitere Abläufe
2
;:::;
5
von
1
, die Präxe von
1 sind.
Dabeiist
2
derereignislose Ablauf von
1
,d.h. derAblaufvon
1
,indemkeine
Transitionschaltet. Der Ablauf entsteht aus durchAnhängen des Ereignisses
e
1
, d.h. durch Schalten von a. Der Ablauf
4
entsteht aus
2
durch Anhängen
desEreignissese
5
,d.h. durch Schalten von b.Bei einemnicht-sequentiel l en Ablauf
ist es also möglich, an verschiedenen Stellen des Endes des Ablaufs Ereignisse
anzuhängen. Der Ablauf
5
kann sowohl aus
3
als auch aus
4
durch Anhängen
eineseinzelnen Ereignisses gewonnen werden, d.h. sowohl
3
als auch
4
ist Präx
von
5
.Istfür zwei Abläufe ;
0
eines initialisierten Netzesein Präx von
0
,so
sagen wir umgekehrt
0
ist eine Fortsetzung von .Die Abläufe
3 und
4 haben
diegemeinsameFortsetzung
5
.Habenzwei Abläufeeine gemeinsameFortsetzung,
sonennenwir sie kompatibel.
B
D
E b
c
A a C
e
1
e
2
e
5
(a)
6
B
F
E b
e
A a C
e
1
e
5
e
7
(b)
7
Abb.1.5: ZweizueinanderinkompatibleFortsetzungenvon
5 .
Abb.1.5zeigtzweiFortsetzungen
6 und
7 von
5
,dieihrerseitskeinegemeinsame
Fortsetzunghaben
6 und
7
sindinkompatibel.DieseInkompatibilität reektiert
denKonikt umdievone
1
erzeugteMarkeaufC.Diesekannhöchstensvon einem
der beiden Ereignisse e
2 und e
7
verbraucht werden, d.h. entweder durch Schalten
von c oderdurchSchalten von e.
B b
A a
e C
F
D
E
c
e
1
e
2
e
5
e
7
Abb.1.6: Abwicklung
1 von
1
Zusammenfassungvon
6 und
7 .
So wie verschiedene Schaltsequenzen zu einem Schaltbaum zusammengefaÿt wer-
den können, so können verschiedene Abläufe zu einer Struktur zusammengefaÿt
werden, die wir Abwicklung (in der Literatur: branching process) nennen. Beim
Zusammenfassenvon zwei Abläufen werden ihre gemeinsamen Präxe miteinander
verschmolzen. Fassen wir zwei kompatible Abläufe zusammen, so entsteht wieder
einAblaufdie Zusammenfassungvon
3 und
4 ist
5
.JederAblaufist aucheine
B b
A a C e F C e F C
D D
E
f G
c d
f G
c d
e
1
e
2
e
3
e
4
e
5
e
6 e
7
e
8
e
9
e
10
Abb.1.7:Die maximaleAbwicklungvon
1 .
Abwicklung kein Ablauf. Abb.1.6 zeigt die Abwicklung
1 von
1
,die dieAbläufe
6 und
7
zusammenfasst.
Während in einem Ablauf jede Bedingung höchstens ein Ereignis im Nachbereich
hat,kanneineBedingungeinerAbwicklungauchmehrereEreignisseimNachbereich
haben.HateineBedingungmehrereEreignisseimNachbereich,sosprechenwirvon
einem Konikt der Ereignisse. Genauer: Zwei verschiedene Ereignisse e
1
und e
2
einer Abwicklung stehen in unmittelbarem Konikt zueinander, falls sie eine ge-
meinsameBedingungimVorbereichhaben.In
1
stehene
2 unde
7
imunmittelbaren
Konikt zueinander.
Abb. 1.7 zeigt die (bis auf Isomorphie eindeutig bestimmte) maximale Abwicklung
von
1
.Die maximaleAbwicklungeinesinitialisierten Netzesrepräsentiertalle
Abläufe von . So nden wir beispielsweise
1
als Teilstruktur in wieder. Wir
betrachten nun Ereignisse von die im unmittelbaren Konikt zueinander stehen.
In sindzum Beispiel e
2 unde
7
sowiee
3 unde
8
inunmittelbaremKoniktzuein-
ander. Stehen zweiEreignisse inunmittelbarem Konikt, sokommen sie inkeinem
Ablaufgemeinsamvor.Auche
7 unde
3
,dienichtinunmittelbaremKoniktstehen,
können nicht gemeinsam ineinem Ablaufvorkommen,da e
7 unde
2
in unmittelba-
rem Konikt stehen und e
3 von e
2
kausal abhängt. Können zwei Ereignisse einer
Abwicklung nicht gemeinsam ineinem Ablaufvorkommen, sosind sie im Konikt
zueinander. Konikt, Kausalität undNebenläugkeit formalisieren wir nun in der
folgenden Denition.
Denition 1.6 (Kausalität, Konikt, Nebenläugkeit)
Sei K=(B;E;<
·
) ein vorgängerendliches, azyklisches Systemnetz.(a) DaKazyklischist,ist<
·
+ eineOrdnung,diewiralsKausalordnung bezeichnen.Dabei schreiben wir im folgenden < anstelle von <
·
+. Gilt für zwei Elementex
1
;x
2
die Beziehung x
1
< x
2
,so sagen wir x
1
ist kausaler Vorgänger von x
2 .
Gilt x
1
<x
2
oderx
1
= x
2
,so schreiben wir x
1
≤
x2.ZweiElemente x1 und x2sind kausal abhängig, falls x < x oder x < x gilt. Eine Menge paarweise
kausal abhängiger Elemente heiÿt li-Menge 4
.
(b) Zweiverschiedene Ereignisse e
1
;e
2
sind in unmittelbarem Konikt,falls
•
e
1
∩
•
e
2
6
= ?. Zwei Elemente x1;x2 sind in Konikt (Notation: x1 # x2), falls eszwei verschiedene Ereignisse e
1
;e
2
gibt,die inunmittelbarem Koniktsind, so
daÿ e
i
≤
xi ist, füri=1;2.(c) Zwei verschiedeneElemente x
1
;x
2
sind nebenläug (oder unabhängig) (Nota-
tion: x
1 co x
2
), falls sie weder kausal abhängig noch im Konikt sind. Eine
Menge paarweise nebenläuger Elemente heiÿt co -Menge 5
.
Wirdenieren nun Abwicklungsnetze, die dieGrundlage fürAbwicklungen bilden.
Denition 1.7 (Abwicklungsnetz)
Einvorgängerendliches,azyklischesSystemnetzKheiÿtAbwicklungsnetz,wenngilt
1.
◦
K ist endlich.
2. Für jedeBedingung bvon K gilt j
•
bj
≤
1.3. Für kein Ereignis e von Kgilt e#e.
◦
(a)Forderung2 (b)Forderung3
Abb.1.8:DurchDenition1.7verboteneStrukturen.
DiebeidenwesentlichenForderungen2.und3.inDenition1.7verbietendieStruk-
turen, die in Abb. 1.8 dargestellt sind. Forderung 2 verbietet dabei die Struk-
tur in Abb. 1.8(a). Diese Struktur heiÿt Rückwärtskonikt. Forderung 2 besagt,
daÿ jede Bedingung eines Abwicklungsnetzes höchstens durch ein Ereignis erzeugt
wird.Forderung3verbietet Maschenvon einerBedingungzueinemEreignis wiein
Abb. 1.8(b). Sie besagt, daÿ die Vorbedingungen eines Ereignisses nie in Konikt
zueinanderstehen,d.h. fürjedes EreigniseeinesAbwicklungsnetzesgilt:
•
eisteine
co -Menge.
4
li stehtfürline;mitli wirdtraditionellkausaleAbhängigkeitinderPetrinetztheoriebezeichnet.
5
Aus Denition 1.7ergibt sich,daÿ auch fürkeine Bedingung beines Abwicklungs-
netzes b#bgilt. Desweiteren gilt für jedes Ereignis e auch:e
•
ist eine co -Menge.
Zentrale Eigenschaft eines Abwicklungsnetzes ist: Für je zwei Elemente x
1
;x
2 gilt
genaueinederfolgendenfünf Bedingungen:x
1
=x
2
oderx
1
<x
2
oderx
2
<x
1 oder
x
1
#x
2
oderx
1 cox
2 .
Wir denieren nun die Abwicklungen eines initialisierten Netzes nach Engelfriet
[33 ].SpäterdenierenwirAbläufealsspezielleAbwicklungen.Abwicklungenwurden
bereitsvonNielsen,Plotkin undWinskelin[68 ]eingeführt.Wirdenierenzunächst
denBegri der Abwicklung unddiskutieren die Denitionim Anschluÿ.
Denition 1.8 (Abwicklung)
Sei = (N;M 0
) ein initialisiertes Netz mit N= (P;T;F) und sei K = (B;E;<
·
) einAbwicklungsnetz.
(a) Eine N-Beschriftung von K ist eine Abbildung l : B
∪
E ! P∪
T, so daÿl(B)
⊆
P undl(E)⊆
T.Wirerweitern l zul:S(B)! M(P) durch l(B0
)(p)=jfb
∈
B0
jl(b)=pgj füralle endlichenB0 ⊆Bundwirschreiben lanstelle von l
wenndies eindeutig ist.
(b) =(K;l)heiÿtAbwicklung von,fallsleineN-BeschriftungvonKist,sodaÿ:
1. l(
◦
K)=M 0
.
2. Für jedes Ereignis evon Kgilt: l(
•
e)=l(e) -
undl(e
•
)=l(e) +
.
3. Für alle Ereignisse e
1
;e
2
vonK gilt:
•
e
1
=
•
e
2
^l(e
1 )=l(e
2 ))e
1
=e
2 .
◦
WirerläuternnundieForderungen1bis3ausDenition1.8(b).Forderung1besagt,
daÿ der Anfang einer Abwicklung genau die Anfangsmarkierung des initialisierten
Netzesrepräsentiert. Forderung 2formalisiert, daÿjedes Ereignis einerAbwicklung
genaudasSchalteneinerTransitionrepräsentiert,d.h.Forderung2formalisiert,daÿ
Verbrauch undProduktion von BedingungenderSchaltregel gehorcht.Forderung3
besagt, daÿ derVerbrauch einer Menge von Bedingungen durch das Schalten einer
Transition t höchstens durch ein Ereignis der Abwicklung repräsentiert wird, d.h.
kann eine endliche co-Menge B
0
von Bedingungen durch dasSchalten einerTransi-
tion t verbraucht werden (d.h. l(B
0
) =t -
), sogibt es höchstensein Ereignis e mit
•
e=B
0
undl(e)=t.
Zum besseren Verständnis von Abwicklungen wollen wir hier noch den Abwick-
lungsprozeÿ beschreiben, d.h. wir erklären endliche Abwicklungen induktiv. Eine
unendlicheAbwicklungkannalsGrenzwerteinerFolgevonendlichenAbwicklungen
aufgefaÿt werden. Sei = (N;M 0
) ein initialisiertes Netz. Der Abwicklungsprozeÿ
beginnt im ereignislosen Ablauf von , d.h. derereignislose Ablauf von stellt die
endlichen Menge Bvon Bedingungen, so daÿ l(B) = M 0
. Sei nun für denIndukti-
onsschritt eine endliche Abwicklung von sowie t eine Transition von . Aus
erhaltenwireineneueAbwicklung
0
durchAnfügeneinesneuenEreignissese
0
mit
l(e
0
) = t und neuer Bedingungen B
0
mit l(B
0
) = t +
an , falls die folgenden zwei
Bedingungenerfüllt sind: (1) Es gibt eine endliche co-Menge B
00
von Bedingungen
von mit l(B
00
) = t -
und (2) es gibt noch kein Ereignis e in mit
•
e = B
00
und
l(e) = t. Dann ensteht
0
aus durch Hinzunahme von e
0
und B
0
und Fortset-
zungder Kausalordnung undder Beschriftung, so daÿ
•
e
0
= B
00
undl(e
0
) = tund
e
0•
=B
0
sowiel(B
0
)=t +
. Dannist
0
eine endliche Abwicklung von .
Die maximale Abwicklung eines initialisierten Netzes entsteht, falls der Abwick-
lungsprozeÿ maximal durchgeführt wird, d.h.: Eine Abwicklung von heiÿt
maximal, falls für jede endliche co-Menge von Bedingungen B
0
von und jede
Transitiontvon gilt:Istl(B
0
)=t -
,danngibt eseinEreignisevon mit
•
e=B
0
undl(e)=t.
Zwei Abwicklungen
1
und
2
können sich in der Menge von Bedingungen und
Ereignissen unterscheiden, ansonsten strukturell aber identisch sein
1
und
2
sinddann isomorph zueinander.DieIsomorphiezweierAbwicklungenformalisieren
wir weiter unten. Die maximale Abwicklung eines initialisierten Netzes ist bis auf
Isomorphieeindeutig bestimmt.JedeAbwicklung vonisteinPräx dermaxima-
lenAbwicklungvon.EinPräxeinergegebenenAbwicklungeinesinitialisierten
NetzesistintuitiveineAbwicklung
0
von,diewenigerweitalsabgewickeltist.
DiePräxbildungbeiAbwicklungenkönnenwirunsübervorgängerabgeschlossene
Ereignismengen vorstellen.
EineMenge E
0
von Ereignissen einerAbwicklungmitGesamtereignismenge Eheiÿt
vorgängerabgeschlossen, falls für alle e
∈
E0
gilt: #e∩
E⊆
E0
. Die Vereinigungund der Durchschnitt von zwei vorgängerabgeschlossenen Ereignismengen ist wie-
der vorgängerabgeschlossen. Jede vorgängerabgeschlossene Ereignismenge E
0
einer
Abwicklung =(K;l) deniert einen Präx
E
0
von . Die Ereignismenge von E0
istE
0
,dieMengederBedingungenvon
E
0
ist B0
=
◦
K
∪ S
e
∈
E0
(•
e
∪
e•
).DieKausal-ordnungvon
E
0
istdieEinschränkungderKausalordnung vonaufE0 ∪B0
unddie
Beschriftungvon
E
0
istdieEinschränkungderBeschriftungvonaufE0 ∪B0
.Jede
zu
E
0
isomorphe Abwicklung betrachtenwirauch alsPräxvon , d.h.wirwollenbei der Denition von Präxen von Isomorphie abstrahieren. Daher denieren wir
nun diePräxrelation aufderMengeallerAbwicklungen einesinitialisierten Netzes
mitHilfe von Homomorphismen.
Denition 1.9 (Präx)
Seienein initialisiertes Netzund
1
;
2
Abwicklungen von mit
i
=((B
i
;E
i
;<
·
i);l
i
) für i = 1;2.
1
ist Präx von
2
(Notation:
1
v
2), falls zwei Injektionen g:E1
!E
2
undh:B
1
!B
2
existieren, sodaÿ füralle b
∈
B1 undalle e∈
E1 gilt:1. h(
•
e)=
•
g(e) undh(e
•
)=g(e)
•
,
2. l
1 (e)=l
2
(g(e))undl
1
(b)=l
2
(h(b)) sowie
3. h(
◦
K
1 )=
◦
K
2 .
Für
1
v
2 sagen wirauch: 2 setzt 1 fort.◦
Forderung1inDenition1.9besagt,daÿ
1 und
2
diegleiche Netzstrukturhaben.
Forderung 2 besagt, daÿ strukturell einander entsprechende Elemente auch gleich
beschriftet sind.Forderung 3sagt, daÿ derAnfang desPräxesauf denAnfang der
Fortsetzung abgebildet wird.
Die Abbildungen g und h in Denition 1.9 heiÿen Präxinjektionen. Ist
1 ein
Präx von
2
,sosinddiePräxinjektionen eindeutig bestimmt (Beweis wiein[47 ];
wichtig hierbei ist,daÿ die Anfangsmarkierungsowie fürjede Transition tdie Vor-
markierung t -
sicher ist). Gilt sowohl
1
v
2 als auch 2v
1, so sind 1 und
2
isomorph (Notation:
1
≡
2). Gilt 1v
2 und nicht 1≡
2, so schreibenwir auch
1
@
2
. Oft unterscheiden wir isomorphe Abwicklungen nicht, d.h. jede
Abwicklung steht dannfürihre Isomorphieklasse[]=f
0
j
0 ≡g.Dannschrei-
ben wir auch anstelle von []. Im weiteren werden wir je nach Zweckmäÿigkeit
eine Abwicklung manchmal alseinzelnes Objekt undmanchmal als Repräsentant
ihrer Isomorphieklasse betrachten.
Engelfriet zeigt in[33 ], daÿdiePräxrelation aufdenIsomorphieklassen einenvoll-
ständigen Verband bildet. Daher sind dasInmumund dasSupremum zweier Ab-
wicklungen (sogar jeder Menge von Abwicklungen) bis auf Isomorphie eindeutig
bestimmt:
Denition 1.10 (Inmum,Supremum)
SeieneininitialisiertesNetzund
1
;
2
Abwicklungenvon.Esseiinf(
1
;
2 )=,
falls die bzgl.
v
gröÿte Abwicklung mit der Eigenschaftv
i für i = 1;2ist. Analog sei sup(
1
;
2
) = , falls die bzgl.
v
kleinste Abwicklung mit derEigenschaft
i
v
füri=1;2 ist.◦
Die Inmums- und Supremumsbildung können wir uns über vorgängerabgeschlos-
sene Ereignismengen vorstellen: Sind E
1
;E
2
vorgängerabgeschlossene Mengen einer
Abwicklung undist
i
dasvon E
i
erzeugte Präxfüri=1;2,dann erzeugtE
1
∩
E2das Inmuminf(
1
;
2
) undE
1
∪
E2 das Supremum sup(1;2). Abb. 1.9zeigt einBeispiel fürdie Inmums-und Supremumsbildung von zweiAbwicklungen.
Manchmal wollen wir auch Ereignisse von Abwicklungen nur modulo Isomorphie
betrachten, d.h. wir wollen Ereignisse verschiedener Abwicklungen in Beziehung
setzen. Dies können wir mittels der eindeutigen Präxinjektion tun: Seien ;