5、分布式系统程序正确性验证全解析

分布式系统程序正确性验证全解析

1. 引言

在用户使用分布式系统之前，系统设计者有责任确保系统的正确性。当所有软硬件组件都按规格运行时，系统应能正常工作。然而，组件故障、外部干扰破坏进程状态且无容错机制，或设计存在缺陷时，系统可能出错。

分布式系统由多个进程组成，其全局状态由所有进程的局部状态构成。对于使用共享内存进行进程间通信的系统，全局状态可表示为各进程局部状态的组合；对于消息传递模型，全局状态还包括通道状态，也称为系统配置。

系统从一个全局状态通过执行原子动作转移到下一个状态，一系列原子动作构成的状态序列就是系统的行为。由于事件的部分排序和动作的非确定性调度，系统行为可能不唯一。但设计者需确保系统在所有可能的运行情况下都能正确工作。

少量的测试运行无法保证系统在所有情况下都能正确运行，因为测试只能验证某些特定行为的正确性，难以涵盖所有可能的行为。枚举所有原子动作的交错情况来证明正确性也不现实，因为行为数量会呈爆炸式增长。

2. 正确性标准

系统的有用属性大多可分为安全性和活性属性。
- 安全性属性 ：直观上意味着坏事永远不会发生。不同系统对“坏事”的定义不同。许多安全性属性可以用系统全局状态的不变式来表示。
- 互斥 ：多个进程尝试进入临界区，同一时间最多只能有一个进程在临界区内，安全性不变式为 (N_{cs} \leq 1)，其中 (N_{cs}) 是任意时刻在临界区的进程数量。
- 有界容量通道 ：发送进程 (P) 和接收进程 (Q) 通过有界容量 (B) 的通道通