Sections critiques portables

Si vous estimez ce qui suit intéressant, vous apprécierez probablement aussi les autres articles de cette section de h-deb.

Une section critique est un bout de code qui ne peut être interrompu pas d'autres threads d'un même processus pendant son exécution, donc qui se veut atomique dans un processus donné. Il doit donc être court (en temps d'exécution) et fini (ce n'est pas un bon endroit pour se lancer dans une série d'entrées/ sorties).

Les sections critiques constituent un mécanisme de synchronisation plus primitif mais aussi plus léger) que les mutex. Dans les cas où les deux pourraient être appliqués, les sections critiques tendent à permettre la rédaction de programmes plus performants.

Les sections critiques sous Win32

Pour en savoir plus sur le type CRITICAL_SECTION sous Win32, envisagez lire cet article. Lisez aussi les avertissements au début de l'article.

Sous Win32, une section critique est représentée par un enregistrement (un struct) nommé CRITICAL_SECTION. Cet enregistrement permet de gérer l'accès à la section critique et sait, entre autres choses :

Si elle est présentement possédée par un thread et, si oui, à quel thread exactement (le thread étant identifié par son HANDLE)
Quel est le Spin Count courant (voir Sections critiques et systèmes à plusieurs processeurs, plus bas)
La section critique est-elle utilisée récursivement par le thread qui en est propriétaire et, si oui, à quelle profondeur la récursivité se situe-t-elle présentement? etc.

Les principales fonctions Win32 ayant trait aux sections critiques sont :

La fonction InitializeCriticalSection() dont le rôle est d'initialiser une instance de CRITICAL_SECTION préalablement construite
La fonction EnterCriticalSection() dont le rôle est d'attendre que la section critique soit disponible, puis de s'en emparer et d'y entrer
La fonction LeaveCriticalSection() dont le rôle est de libérer une section critique préalablement obtenue; et Un thread donné peut entrer plusieurs fois récursivement dans une même section critique si elle lui appartient. La section critique est véritablement quittée par le thread lorsqu'il en est sorti autant de fois qu'il y était entré, et
La fonction DeleteCriticalSection() dont le rôle est de libérer les ressources attribuées pour une instance de CRITICAL_SECTION

Trois autres fonctions Win32 utiles à connaître pour qui s'intéresse aux sections critiques sur cette plateforme :

La fonction InitializeCriticalSectionAndSpinCount() qui combine en une seule fonction les opérations réalisées par InitializeCriticalSection() et par SetCriticalSectionSpinCount()
La fonction SetCriticalSectionSpinCount() qui fixe le Spin Count de la section critique (voir Sections critiques et systèmes à plusieurs processeurs, plus bas), et
La fonction TryEnterCriticalSection() qui, plutôt que de bloquer le thread appelant au point d'entrée de la section critique jusqu'à ce que celle-ci soit disponible, tente d'y entrer et retourne TRUE si et seulement si le droit d'accès a été obtenu. Ceci permet d'écrire du code client plus efficace si le thread appelant utilise à bon escient le temps d'attente avant d'obtenir l'accès à la section critique en question

Exemple procédural

Imaginons, pour fins de démonstration, un exemple un peu malsain de recours à une section critique. La raison pour laquelle cet exemple est malsain est que le code réalisé dans la section critique est très lent (on parle d'une projection de texte à la console), chose peu recommandable en pratique.

L'exemple procède comme suit :

Le recours à une variable globale ici n'est pas un besoin technique mais découle simplement d'un souci d'économie pour ce qui est de la complexité de l'exemple.

Il déclare une section critique Win32 (instance de CRITICAL_SECTION) globale
Le programme principal initialise la section critique et, éventuellement, libère les ressources qui lui sont associées
Pendant l'existence de la section critique, le programme lance quelques threads (l'ordre de lancement est aléatoire) et passe à chacun une chaîne de caractère distincte à afficher, puis attend la complétion des threads
Chaque thread entre dans la même section critique, affiche trois fois son message et quitte la section critique

La présence de la section critique dans ce code joue un rôle analogue à celui d'un mutex, soit empêcher plus d'un thread d'entrer en même temps dans une même section critique. Conséquence : le message affiché trois fois de chaque thread ne sera pas mêlé aux messages des autres threads. Ceci donnera au programme un affichage cohérent.

#include <string>
#include <algorithm>
#include <random>
#include <iostream>
#include <windows.h>
CRITICAL_SECTION g_CritSect;
unsigned long __stdcall afficheur(void *);
int main() {
   using namespace std;
   random_device rd;
   mt19937 prng{ rd() };
   InitializeCriticalSection(&g_CritSect);
   const string MESSAGES [] = { "Yo", "Coucou", "Hey!", "Ouf..." };
   enum { N = sizeof (MESSAGES)/ sizeof (MESSAGES[0]) }
   HANDLE h[N] = { 0 };
   for (int i = 0; i < N; ++i)
      h[i] = CreateThread(
         0, 0, afficheur, const_cast<string*>(MESSAGES + i), CREATE_SUSPENDED, 0
      );
   shuffle(begin(h), end(h), prng);
   for_each(begin(h), end(h), ResumeThread);
   WaitForMultipleObjects(N, h, TRUE, INFINITE);
   for_each(begin(h), end(h), CloseHandle);
   DeleteCriticalSection(&g_CritSect);
}
unsigned long __stdcall afficheur(void *p) {
   using namespace std;
   auto &texte = *static_cast<string *>(p);
   EnterCriticalSection(&g_CritSect);
   cout << texte << endl;
   cout << texte << endl;
   cout << texte << endl;
   LeaveCriticalSection(&g_CritSect);
   return {};
}

Les aléas usuels d'une approche procédurale comme celle de cet exemple s'appliquent ici. En particulier, si une exception ou un bris anormal du flot d'un programme se produit, il y a un risque qu'une section critique entrée ne soit jamais effectivement quittée.

Il y a aussi, si de telles circonstances surviennent, un risque que des ressources attribuées au préalable ne soient jamais libérées. Clairement, appliquer une approche OO sera bénéfique.

Exemple OO non portable

Une approche OO au même problème s'implémente assez facilement avec les techniques que nous connaissons déjà, surtout si nous ne visons pas du code pleinement portable. Notre exemple utilisera :

La classe Incopiable pour empêcher la copie d'une section critique et en simplifier la gestion. Notre SectionCritique dérivera de manière privée de Incopiable pour devenir impossible à copier
La classe SectionCritique encapsule le CRITICAL_SECTION local à la plateforme Win32 et offre des services pour entrer dans la section critique, la quitter, l'initialiser (dans le constructeur) et la libérer (dans le destructeur). Le recours à une classe pour encapsuler l'initialisation et le nettoyage garantira la bonne libération des ressources
Remarquez que l'exemple propose des méthodes entrer() et quitter() privées. En effet, nous voulons éviter que le code client n'invoque directement ces méthodes puisque cela ouvrirait la porte à un oubli d'invoquer quitter()
À la place, une petite classe utilitaire nommée SectionCritique::Pogneur(), classe amie de SectionCritique (ce qui lui donne accès aux méthodes privées), est offerte pour jouer un rôle similaire à celui d'un autoverrou mais en automatisant l'entrée dans une section critique et la sortie de cette section critique. Ceci impose de facto un idiome sécuritaire d'utilisation de cette stratégie de synchronisation

Le code suit. Remarquez que, en excluant les classes (qui sont réutilisables d'une projet à l'autre), le code client (main() et afficheur()) est à la fois plus concis, plus simple et beaucoup moins dangereux.

#include "Incopiable.h"
#include <string>
#include <algorithm>
#include <random>
#include <iostream>
#include <windows.h>
class SectionCritique : Incopiable {
   CRITICAL_SECTION sect;
   friend class Pogneur;
   void entrer() noexcept {
      EnterCriticalSection(&sect);
   }
   void quitter() noexcept {
      LeaveCriticalSection(&sect);
   }
public :
   class Pogneur {
      SectionCritique &sect;
   public :
      Pogneur(SectionCritique &sect) noexcept : sect{sect} {
         sect.entrer();
      }
      ~Pogneur() {
         sect.quitter();
      }
   };
   SectionCritique() noexcept {
      InitializeCriticalSection(&sect);
   }
   ~SectionCritique() {
      DeleteCriticalSection(&sect);
   }
};
SectionCritique g_CritSect;
unsigned long __stdcall afficheur(void *);
int main() {
   using namespace std;
   random_device rd;
   mt19937 prng{ rd() };
   const string MESSAGES [] = { "Yo", "Coucou", "Hey!", "Ouf..." };
   enum { N = sizeof (MESSAGES)/ sizeof (MESSAGES[0]) }
   HANDLE h[N] = { 0 };
   for (int i = 0; i < N; ++i)
      h[i] = CreateThread(
         0, 0, afficheur, const_cast<string *>(MESSAGES + i), CREATE_SUSPENDED, 0
      );
   shuffle(begin(h), end(h), prng);
   for_each(begin(h), end(h), ResumeThread);
   WaitForMultipleObjects(N, h, TRUE, INFINITE);
   for_each(begin(h), end(h), CloseHandle);
}
#include <iostream>
unsigned long __stdcall afficheur(void *p) {
   using namespace std;
   auto& texte = *static_cast<string *>(p);
   SectionCritique::Pogneur pogn(g_CritSect);
   cout << texte << endl;
   cout << texte << endl;
   cout << texte << endl;
   return {};
}

Exemple OO portable

Pour en arriver à une implémentation sécuritaire, portable et efficace, il convient d'appliquer plusieurs schémas de conception et plusieurs idiomes de programmation.

La structure globale minimale dont nous aurons besoin pour arriver à nos fins sera :

De définir une strate OO utilisable. Nous lui donnerons le nom le plus significatif possible (SectionCritique) puisque c'est elle qui sera visible du code client. Cette strate sera aussi la fabrique de son implémentation sous-jacente
J'ai choisi de conserver le nom de classe SectionCritique::Pogneur comme outil automatisant la sortie d'une section critique préalablement entrée, ceci dans le but de réduire l'impact du design portable sur le code client
De définir une strate isolante abstraite (une interface nommée ISectionCritique) pour que la strate utilisable soit coupée de la strate non portable
De joindre à la strate isolante une stratégie de fabrication et de libération (méthodes de classe SectionCritique::creer() et SectionCritique::liberer()) pour que la strate utilisable ait un point de vue abstrait sur l'obtention et sur la libération des ressources propres à la plateforme, et
De définir une strate non portable, nommée ici SectionCritiqueWin32, qui ne sera pas révélée au code client (pas même à l'intérieur de SectionCritique) et qui implémentera les méthodes abstraites de l'interface de manière à tisser le lien entre services à offrir et implémentation effective

Toute invocation d'un service de la strate utilisable (SectionCritique) provoquera une invocation polymorphique d'un service de l'interface isolante ISectionCritique qui résultera en fin de compte en une invocation des services locaux à la plateforme par SectionCritiqueWin32. Seule l'invocation polymorphique ne pourra être optimisée de manière statique par un compilateur – le prix à payer pour devenir pleinement portable est une indirection à travers une table de pointeurs.

Le code des différents fichiers impliqués suit.

Strate isolante et strate d'utilisation – Fichier SectionCritique.h

Le type Impl représente l'implémentation (cachée, pImpl) du concept de section critique. La strate utilisable est exactement telle qu'elle était auparavant, à ceci près qu'elle devient portable de par son recours à Impl, la strate isolante, plutôt qu'à du code local à la plateforme pour solliciter les services de section critique locaux.

#ifndef SECTION_CRITIQUE_H
#define SECTION_CRITIQUE_H
#include <memory>
class SectionCritique {
   struct Impl;
   std::unique_ptr<Impl> sect;
   friend class Pogneur;
   void entrer() noexcept;
   void quitter() noexcept;
public:
   class Pogneur {
      SectionCritique &sect;
   public:
      Pogneur(SectionCritique &sect) noexcept : sect{sect} {
         sect.entrer();
      }
      ~Pogneur() {
         sect.quitter();
      }
   };
   SectionCritique();
   ~SectionCritique();
};
#endif

Strate isolante – Fichier SectionCritique.cpp

Le fichier SectionCritique.cpp propose une implémentation des méthodes de fabrication et de nettoyage qui sera appropriée à la plateforme pour laquelle le code est compilé. Ce fichier est éminemment non portable. Son rôle est d'encapsuler dans un ensemble OO sécurisé tout en demeurant facile à optimiser les fonctions non portables pour faciliter l'expression du reste du code serveur.

Si plusieurs plateformes devaient être supportées par votre code, il faudrait adapter ce fichier.

#include "SectionCritique.h"
#include <windows.h>
class SectionCritique::Impl {
   CRITICAL_SECTION sect;
public:
   Impl() noexcept {
      InitializeCriticalSection(&sect);
   }
   ~Impl() {
      DeleteCriticalSection(&sect);
   }
   void entrer() noexcept {
      EnterCriticalSection(&sect);
   }
   void quitter() noexcept {
      LeaveCriticalSection(&sect);
   }
};
SectionCritique::SectionCritique() : sect{ make_unique<Impl>() } {
}
SectionCritique::~SectionCritique() = default;
void SectionCritique::entrer() {
   sect->entrer();
}
void SectionCritique::quitter() {
   sect->quitter();
}

Code client – Fichier Principal.cpp

Le programme de démonstration suit et n'a, à une directive d'inclusion de fichier près, pas changé d'un poil. Clairement, la démarche proposée n'implique pas de transformations nuisibles pour le code client.

Notez au passage que ce fichier inclut <windows.h> pour le recours aux threads. Si nous avions isolés les threads aussi, alors ce programme aurait été un programme multiprogrammé, synchronisé mais aussi rapide et pleinement portable.

#include "SectionCritique.h"
#include <string>
#include <algorithm>
#include <random>
#include <windows.h>
SectionCritique g_CritSect;
unsigned long __stdcall afficheur(void *);
int main() {
   using namespace std;
   random_device rd;
   mt19937 prng{ rd() };
   const string MESSAGES [] = { "Yo", "Coucou", "Hey!", "Ouf..." };
   enum { N = sizeof (MESSAGES)/ sizeof (MESSAGES[0]) };
   HANDLE h[N] = { 0 };
   for (int i = 0; i < N; ++i)
      h[i] = CreateThread(
         0, 0, afficheur, const_cast<string *>(MESSAGES + i), CREATE_SUSPENDED, 0
      );
   shuffle(begin(h), end(h), prng);
   for_each(begin(h), end(h), ResumeThread);
   WaitForMultipleObjects(N, h, TRUE, INFINITE);
   for_each(begin(h), end(h), CloseHandle);
}
#include <iostream>
unsigned long __stdcall afficheur(void *p) {
   using namespace std;
   auto &texte = *static_cast<string *> (p);
   SectionCritique::Pogneur pogn{g_CritSect};
   cout << texte << endl;
   cout << texte << endl;
   cout << texte << endl;
   return {};
}

Sections critiques et systèmes à plusieurs processeurs

L'implémentation à bas niveau d'une section critique est simple :

Une opération atomique cherche à réserver la ressource (sous Win32, cela se fait en utilisant le CRITICAL_SECTION réservé à cet effet)
Si cette opération atomique mène à un succès, la ressource est marquée en conséquence pour éviter qu'un autre thread n'obtienne un droit d'accès à la section critique en question pendant que celle-ci est occupée
En contrepartie, si l'opération atomique échoue, alors le thread appelant est suspendu à l'aide d'un mutex jusqu'à ce qu'il obtienne un droit d'accès

La section critique, en pratique, évite parfois la synchronisation par un mutex, ce qui la rend un peu plus efficace que le verrouillage systématique, plus coûteux qu'on le suspecterait a priori.

Il se trouve que, sur un système à plusieurs processeurs (ou à un seul processeur muni de plusieurs coeurs), la suspension d'un thread désireux d'entrer dans une section critique devient si coûteuse qu'une alternative est privilégiée : le thread demandeur d'accès bouclera sur lui-même un certain nombre d'itérations en tentant d'obtenir le droit d'accès et ne sera suspendu que si la section critique n'a pas encore été libérée suite à cette boucle.

Le nombre d'itérations à réaliser avant suspension du thread demandeur d'accès à une section critique est ce qu'on nomme le Spin Count de cette section critique. Sur un système à un seul processeur, un Spin Count de zéro (mise en attente automatique si la section critique n'est pas immédiatement disponible) est convenable.

Sur plusieurs processeurs ou sur un processeur muni de plusieurs coeurs, on voudra habituellement un Spin Count plus élevé. L'exemple proposé par MSDN pour démontrer l'utilisation de la fonction InitializeCriticalSectionAndSpinCount() a recours à un Spin Count de 0x80000400.

La fonction InitializeCriticalSectionAndSpinCount() combine donc les étapes d'initialisation de la section critique et du Spin Count en un seul appel. De son côté, la fonction SetCriticalSectionSpinCount() se limite à fixer un Spin Count pour une section critique déjà initialisée.