Mutex portables

Ce qui suit montre brièvement comment il est possible de passer d'une implémentation non-portable d'un outil système, par exemple un mutex de Microsoft Windows, à une implémentation portable au sens où rien dans le code client ne laissera transparaître un couplage avec une plateforme spécifique. On y verra aussi comment automatiser la libération de ressources telles qu'un mutex ainsi construit, dans une optique de résilience et de stabilité.

Évidemment, si votre compilateur offre une implémentation standard des mutex et des fils d'exécution, utilisez-les.

Point de départ – version non-portable

Pour illustrer l'intérêt de la démarche, voici un petit programme parsemé d'artéfacts d'une plateforme spécifique (Microsoft Windows, mais on aurait pu faire de même avec une autre plateforme) :

Imaginons un programme qui lance NTHREADS fils d'exécution (ici, chaque fil d'exécution sera identique, pour fins de simplicité)
On veut que chaque fil d'exécution manipule la même donnée en écriture
Dans notre petit exemple, chaque fil d'exécution itérera à un rythme approximatif de 1000 Hz (1000 fois par seconde), à cause de l'opération Sleep(1) dans le corps de sa boucle
Chaque fil d'exécution connaîtra l'ordre dans lequel il aura été créé, car cette information lui sera passé en paramètre, et
Chaque fil d'exécution affectera une valeur prise au hasard dans une donnée partagée par tous (d'où le besoin d'un mécanisme de synchronisation comme un mutex). Cette valeur servira pour déterminer si le fil d'exécution doit (ou non) s'arrêter

Le programme principal conclura son exécution lorsque tous les fils d'exécution qu'il aura lancé se seront arrêtés. Ceci nous donne :

Fichier principal.cpp

#include <random>
#include <iostream>
#include <algorithm>
#include <vector>
#include <windows.h>
using namespace std;
unsigned long __stdcall chic_thread(void *);
HANDLE chic_mutex;
struct Etat {
   int &donnee;
   int indice;
   Etat(int &donnee, int indice) noexcept : donnee{ donnee }, indice{ indice } {
   }
};
int main() {
   enum { NTHREADS = 10 };
   HANDLE h[NTHREADS];
   vector<Etat> v;
   v.reserve(NTHREADS);
   int donnee = 10;
   chic_mutex = CreateMutex(0, FALSE, 0);
   for (int i = 0; i < NTHREADS; ++i) {
      v.emplace_back(donnee, i);
      h[i] = CreateThread(0, 0, chic_thread, &v[i], 0, 0);
   }
   WaitForMultipleObjects(NTHREADS, h, TRUE, INFINITE);
   for_each(begin(h), end(h), CloseHandle);
   CloseHandle(chic_mutex);
}
unsigned long __stdcall chic_thread(void *p) {
   auto &etat = *static_cast<Etat *>(p);
   random_device rd;
   mt19937 prng { rd() };
   uniform_int_distribution<> de{ 0, etat.indice };
   bool poursuivre = true;
   do {
      if (WaitForSingleObject(chic_mutex, 0)==WAIT_OBJECT_0) {
         etat.donnee = de(prng); // code risqué
         if (etat.donnee == 0) {
            cout << "Thread #" << etat.indice << "; arret" << endl;
            poursuivre = false;
         }
         ReleaseMutex(chic_mutex);
      }
      Sleep(1);
   } while(poursuivre);
   return {};
}

Cette utilisation de fils d'exécution synchronisés dépend, pour le moment, de l'emploi d'une variable globale (chic_mutex). Si nous devions passer à une autre plateforme (par exemple un système POSIX tel que Linux), nous devrions ajuster ou remplacer :

L'inclusion du fichier <windows.h>, qui est immense et qui contient plusieurs vilaines macros susceptibles de polluer le code client
La signature de la fonction chic_thread(), qui est spécifique à la plateforme
Remplacer le HANDLE, type de Microsoft Windows représentant une ressource, par un équivalent de l'autre plateforme
Remplacer les fonctions spécifiques à Microsoft Windows pour manipuler un mutex (et parfois, pour manipuler des ressources au sens large), soit CreateMutex(), WaitForSingleObject(), ReleaseMutex() et CloseHandle()
Remplacer les fonctions spécifiques à Microsoft Windows pour manipuler un fil d'exécution (et parfois, pour manipuler des ressources au sens large), soit CreateThread(), WaitForMultipleObjects() et CloseHandle()
Remplacer la fonction Sleep(), qui permet de suspendre temporairement le fil d'exécution appelant, pas un équivalent de l'autre plateforme

On peut comprendre qu'à moins de se destiner à une seule et unique plateforme, travailler à l'aide d'outils non-portables alourdit de manière significative la mise à jour et l'entretien d'un programme.

Pour en savoir plus sur l'idiome de classe Incopiable, voir ../Developpement/Schemas-conception.html#incopiable

La dualité construction et destruction du Mutex applique l'idiome RAII : ../Developpement/Schemas-conception.html#raii

Réduire le couplage superficiel – classe Mutex

Découpons maintenant le tout un peu plus pour en arriver à localiser le HANDLE représentant le mutex pour le système d'exploitation dans une instance d'une classe Mutex de notre cru. Parmi les avantages d'une telle approche, on trouve :

La création automatique du mutex du système, grâce au constructeur de Mutex
La libération automatique de ce mutex par le destructeur de Mutex, et
La mise en place d'opérations simplifiées d'obtention et de libération du mutex, à l'aide de méthodes d'instance de Mutex

On obtiendra ce qui suit.

Mutex.h

#ifndef MUTEX_H
#define MUTEX_H
#include "Incopiable.h"
#include <windows.h>
class Mutex : Incopiable {
   HANDLE m;
public:
   Mutex() : m{ CreateMutex(0, FALSE, 0) } {
   }
   bool obtenir(int delai) const noexcept {
      return WaitForSingleObject(m, delai)) == WAIT_OBJECT_0;
   }
   bool obtenir() const noexcept {
      return obtenir(INFINITE);
   }
   void relacher() const noexcept {
      ReleaseMutex(m);
   }
   ~Mutex() {
      CloseHandle(m);
   }
};
#endif

Mutex.cpp

#include "Mutex.h" // et c'est tout!

Le fichier Mutex.cpp pourrait être omis.

Personnellement, j'aime bien avoir un fichier source même quand le code d'une classe tient au complet dans son fichier d'en-tête, pour être capable de ne compiler, au besoin, que cette classe. Cela sert en période de développement, quand on veut mettre au point une chose à la fois.

Suite à ce changement, le programme devient comme suit.

Fichier principal.cpp

#include "Mutex.h"
#include <random>
#include <iostream>
#include <algorithm>
#include <vector>
#include <windows.h>
using namespace std;
unsigned long __stdcall chic_thread(void *);
Mutex chic_mutex;
struct Etat {
   int &donnee;
   int indice;
   Etat(int &donnee, int indice) noexcept : donnee{ donnee }, indice{ indice } {
   }
};
int main() {
   enum { NTHREADS = 10 };
   HANDLE h[NTHREADS];
   vector<Etat> v;
   v.reserve(NTHREADS);
   int donnee = 10;
   for (int i = 0; i < NTHREADS; ++i) {
      v.emplace_back(donnee, i);
      h[i] = CreateThread(0, 0, chic_thread, &v[i], 0, 0);
   }
   WaitForMultipleObjects(NTHREADS, h, TRUE, INFINITE);
   for_each(begin(h), end(h), CloseHandle);
}
unsigned long __stdcall chic_thread(void *p) {
   auto &etat = *static_cast<Etat *>(p);
   random_revice rd;
   mt19937 prng { rd() };
   uniform_int_distribution<> de{ 0, etat.indice };
   bool poursuivre = true;
   do {
      if (chic_mutex.obtenir(0)) {
         etat.donnee = de(prng); // code risqué
         if (etat.donnee == 0) {
            cout << "Thread #" << etat.indice << "; arret" << endl;
            poursuivre = false;
         }
         chic_mutex.relacher();
      }
      Sleep(1);
   } while(poursuivre);
   return {};
}

On remarquera un allègement léger du programme principal. Nous avons fait du progrès, mais il reste encore beaucoup à faire.

Parenthèse pour C++ 11 : incopiable mais déplaçable

Il est sage de faire en sorte que Mutex ne soit pas copiable du fait que, si un Mutex était copiable, alors des programmes comme celui proposé ci-dessous planteraient dramatiquement mais seraient légaux aux yeux du compilateur.

#include "Mutex.h"
void f(Mutex) {
   Mutex m;
   f(m);
} // boum!

En effet, le Mutex local à main() est une variable dont la portée s'étend de sa définition à la fin du bloc dans lequel elle est définie (donc jusqu'à l'accolade fermante de main()). En permettant de la passer par valeur à f(), cela provoquerait une copie de m, ce qui copierait implicitement le HANDLE qui s'y trouve. La copie locale à f() y serait utilisée localement, puis détruite. La destruction de la copie de m solliciterait son destructeur, ce qui fermerait le HANDLE contenu dans m (une copie d'un HANDLE représente la même ressource que le HANDLE original, après tout). Ce faisant, à la fin de main(), l'original chercherait, de par le destructeur de m, à fermer un HANDLE déjà fermé, soit m.m... Boum!

Bloquer la copie, dans les circonstances, est clairement la chose à faire... mais depuis C++ 11, il est possible de définir une sémantique de mouvement pour des objets qui ne sont pas intrinsèquement copiables (entre autres – le mouvement peut être utile pour beaucoup d'autres types d'objets aussi, en particulier pour des objets qui sont copiables mais longs à copier).

Dans le cas d'un Mutex, l'ajout de la sémantique de mouvement donnerait la classe suivante.

Mutex.h

#ifndef MUTEX_H
#define MUTEX_H
#include "Incopiable.h"
#include <cassert>
#include <algorithm>
#include <windows.h>
class Mutex : Incopiable {
   HANDLE m;
public:
   Mutex() : m{ CreateMutex(0, FALSE, 0) } {
   }
   bool obtenir(int delai) const noexcept {
      assert(m);
      return WaitForSingleObject(m, delai)) == WAIT_OBJECT_0;
   }
   bool obtenir() const noexcept {
      return obtenir(INFINITE);
   }
   void relacher() const noexcept {
      assert(m);
      ReleaseMutex(m);
   }
   ~Mutex()  {
      if (m) CloseHandle(m);
   }
   Mutex(Mutex && autre) noexcept : m{ std::move(autre.m ) } {
      autre.m = INVALID_HANDLE_VALUE;
   }
   Mutex& operator=(Mutex && autre) noexcept {
      m = std::move(autre.m);
      autre.m = INVALID_HANDLE_VALUE;
      return *this;
   }
};
#endif

Mutex.cpp

#include "Mutex.h" // et c'est tout!

Les changements clés vont comme suit :

Il faut prévoir un état « nul » mais « légal » pour un Mutex, de sorte que suite à un mouvement d'états, l'original soit dans un état reconnaissable comme « vide ». Ici, du fait qu'un Mutex est un outil de synchronisation, donc un outil structurel clé, j'ai préféré faire en sorte qu'un Mutex « vide » plante si on tente de l'utiliser – à mes yeux, utiliser un Mutex « vide » serait une erreur de logique. Cette subtilité teinte, vous le remarquerez, l'ensemble de l'implémentation, qui doit maintenant tenir compte de cette possibilité partout
Pour le reste, cette modification permet, par l'ajout de deux méthodes (le constructeur de mouvement et l'affectation de mouvement) d'enrichir, à somme toute peu de frais, la gamme des opérations possibles sur notre outil de synchronisation... Et sur toutes les classes qui y auront recours, ce qui en est, sans doute, sa plus grande qualité

Meilleure synchronisation – verrou RAII

Les mutex sont de bons outils dans la mesure où ils sont bien utilisés. Cela signifie que les mutex doivent être obtenus au moment opportun, et relâchés précisément au bon moment. L'ennui principal d'une obtention et d'une libération manuelles d'un mutex est que, si une exception est levée pendant que le mutex est saisi par une méthode, alors ce mutex ne sera jamais relâché.

Par exemple, le code ci-dessous pourrait ne jamais relâcher le mutex m :

Mutex m; // globale... Beurk
void f();
void g() {
   m.obtenir();
   f(); // ceci lèvera-t-il une exception? On ne le sait pas ici
   m.relacher();
}

Dans de vrais systèmes, ce risque est bien réel, et est porteur de conséquences.

On peut résoudre ce problème avec ce que j'appellerai un Autoverrou, cas particulier d'objet RAII :

La classe Autoverrou possède un constructeur et un destructeur
Chaque instance de cette classe garde dans un attribut une référence à un Mutex – il est important qu'il s'agisse d'une référence et non d'une copie
Dans son constructeur, un Autoverrou obtient le Mutex qu'on lui confie
Dans son destructeur, il le libère
Dans le respect de l'idiome RAII, la durée de vie d'une instance de Autoverrou délimite la durée de l'obtention d'un Mutex

Une implémentation possible suit.

#ifndef MUTEX_H
#define MUTEX_H
// ... classe Mutex, omise pour fins d'économie ...
class Autoverrou {
   const Mutex &m;
public:
   Autoverrou(const Mutex &m) noexcept : m{ m } {
       m.obtenir();
   }
   ~Autoverrou() {
      m.relacher();
   }
};
#endif

Le secret ici est que dans un sous-programme donné, les destructeurs de toutes les variables locales seront appelés lors de la complétion du sous-programme, que cette complétion se produise suite à une levée d'exception ou qu'elle résulte de la fin normale du sous-programme (passage par return, ou rencontre de l'accolade fermante du sous-programme).

Du moment où une variable locale de type Autoverrou sera instanciée, le Mutex sera obtenu. À la fin de la vie d'un Autoverrou, son Mutex sera libéré. On utilisera donc des Autoverrou comme variables locales à des méthodes lorsqu'on voudra délimiter de manière sécurisée la durée d'obtention d'un Mutex.

Fichier principal.cpp

#include "Mutex.h"
#include <random>
#include <iostream>
#include <algorithm>
#include <vector>
#include <windows.h>
using namespace std;
unsigned long __stdcall chic_thread(void *);
Mutex chic_mutex;
struct Etat {
   int &donnee;
   int indice;
   Etat(int &donnee, int indice) noexcept : donnee{ donnee }, indice{ indice } {
   }
};
int main() {
   enum { NTHREADS = 10 };
   HANDLE h[NTHREADS];
   vector<Etat> v;
   v.reserve(NTHREADS);
   int donnee = 10;
   for (int i = 0; i < NTHREADS; ++i) {
      v.emplace_back(donnee, i);
      h[i] = CreateThread(0, 0, chic_thread, &v[i], 0, 0);
   }
   WaitForMultipleObjects(NTHREADS, h, TRUE, INFINITE);
   for_each(begin(h), end(h), CloseHandle);
}
unsigned long __stdcall chic_thread(void *p) {
   auto &etat = *static_cast<Etat *>(p);
   random_revice rd;
   mt19937 prng { rd() };
   uniform_int_distribution<> de{ 0, etat.indice };
   bool poursuivre = true;
   do {
      // notez le recours localisé à l'Autoverrou : nous ne voulons pas
      // tenir le mutex plus longtemps que nécessaire pour éviter de
      // bloquer inutilement les autres fils d'exécution
      int lancer = de(prng);
      {
         Autoverrou av {chic_mutex};
         etat.donnee = lancer; // code risqué
      }
      if (lancer == 0) {
         cout << "Thread #" << etat.indice << "; arret" << endl;
         poursuivre = false;
      }
      Sleep(1);
   } while(poursuivre);
   return {};
}

On remarquera un allègement léger du code de chic_thread(), mais surtout un accroissement de la résilience du programme. Cette version perd toutefois un peu de souplesse en attendant systématiquement l'obtention du mutex (la précédente se suspendait si l'obtention était un échec), mais il existe une solution simple si vous en avez besoin.

Enfin : implémentation conforme aux usages de C++ 11

Allons-y maintenant avec une version plus proche des usages de C++ 11. Notez que malgré l'illustration qui suit, puisque ce standard offre un support plein et entier des mutex portables standards, vous devriez utiliser ces derniers si votre compilateur est à jour (plutôt qu'une version maison comme celle proposée ici).

Mutex.h

#ifndef IMUTEX_H
#define IMUTEX_H
#include <cassert>
#include <memory>
class Mutex { // implicitement incopiable, car l'attribut p est incopiable
   class Impl;
   std::unique_ptr<Impl> p;
public:
   Mutex();
   Mutex(Mutex &&) noexcept;
   Mutex& operator=(Mutex &&) noexcept;
   ~Mutex();
   bool obtenir() const noexcept;
   bool obtenir(int ms) const noexcept;
   void relacher() const noexcept;
};
// ... code d'Autoverrou, omis par souci d'économie...
#endif

Mutex.cpp

#include "Mutex.h"
#include "Incopiable.h"
#include <windows.h> // par exemple
class Mutex::Impl : Incopiable {
   HANDLE m;
public:
   Impl() : m{ CreateMutex(0, FALSE, 0) } {
   }
   ~Impl() {
      CloseHandle(m);
   }
   bool obtenir() const noexcept {
      return obtenir(INFINITE);
   }
   bool obtenir(int ms) const noexcept {
      return WaitForSingleObject(m, ms) == WAIT_OBJECT_0;
   }
   void relacher() const noexcept {
      ReleaseMutex(m);
   }
};
Mutex::Mutex() : p{ make_unique<Impl>() } {
}
Mutex::Mutex(Mutex &&autre) = default;
Mutex& Mutex::operator=(Mutex &&autre) = default;
Mutex::~Mutex() = default;

Remarquez la simplicité de cette implémentation. En effet :

Nous avons éliminé la manipulation de pointeurs bruts dans le code et nous les avons remplacés par une abstraction autodocumentée : le type standard std::unique_ptr, qui est un pointeur intelligent, incopiable et déplaçable. Sa présence allège le code de façon importante
À noter : il est possible de faire en sorte qu'un std::unique_ptr donné fasse autre chose que détruire le pointé à la fin de sa propre existence, ce qui peut être utile si nous souhaitons (par exemple) recycler les ressources
L'implémentation Impl est annoncée dans le fichier d'en-tête par une déclaration a priori, mais est pleinement définie dans le fichier source, à l'insu du code client. Nous avons donc entre une pleine et entière portabilité aux yeux de l'implémentation cliente