Чи безпечна нитка! = Перевірити?

Я знаю, що такі складні операції, як, наприклад i++, не є безпечними для потоків, оскільки вони включають кілька операцій.

Але чи перевірка посилання на себе є потоком безпечної роботи?

a != a //is this thread-safe

Я спробував це запрограмувати і використовувати кілька потоків, але це не вийшло з ладу. Я думаю, я не міг імітувати гонку на своїй машині.

Редагувати:

public class TestThreadSafety {
    private Object a = new Object();

    public static void main(String[] args) {

        final TestThreadSafety instance = new TestThreadSafety();

        Thread testingReferenceThread = new Thread(new Runnable() {

            @Override
            public void run() {
                long countOfIterations = 0L;
                while(true){
                    boolean flag = instance.a != instance.a;
                    if(flag)
                        System.out.println(countOfIterations + ":" + flag);

                    countOfIterations++;
                }
            }
        });

        Thread updatingReferenceThread = new Thread(new Runnable() {

            @Override
            public void run() {
                while(true){
                    instance.a = new Object();
                }
            }
        });

        testingReferenceThread.start();
        updatingReferenceThread.start();
    }

}

Це програма, яку я використовую для перевірки безпеки потоку.

Дивна поведінка

Оскільки моя програма починається між деякими ітераціями, я отримую значення вихідного прапора, а це означає, що !=перевірка посилання не вдається на одній посиланні. АЛЕ після деяких ітерацій вихід стає постійним значенням, falseа потім виконання програми протягом тривалого часу не генерує єдиного trueвиходу.

Як показує вихід після деяких n (нефіксованих) ітерацій, вихід здається постійним значенням і не змінюється.

Вихід:

Для деяких ітерацій:

1494:true
1495:true
1496:true
19970:true
19972:true
19974:true
//after this there is not a single instance when the condition becomes true

За відсутності синхронізації цей код

Object a;

public boolean test() {
    return a != a;
}

може виробляти true. Це байт-код дляtest()

    ALOAD 0
    GETFIELD test/Test1.a : Ljava/lang/Object;
    ALOAD 0
    GETFIELD test/Test1.a : Ljava/lang/Object;
    IF_ACMPEQ L1
...

як ми бачимо, що він завантажує поле aдо локальних змін двічі, це неатомна операція, якщо aзмінити між ними іншим потоком порівняння може призвести false.

Також тут проблема актуальності пам’яті пам’яті, немає жодної гарантії, що зміни, aвнесені іншим потоком, будуть помітні в поточному потоці.

Чи a != aбезпечна нитка перевірки ?

Якщо aпотенційно можна оновити іншим потоком (без належної синхронізації!), Тоді Ні.

Я спробував це запрограмувати і використовувати декілька потоків, але не провалився. Я думаю, не міг імітувати гонку на моїй машині.

Це нічого не означає! Проблема полягає в тому, що якщо виконання, в якому aоновлений іншим потоком, дозволено JLS, код не є безпечним для потоків. Той факт, що ви не можете спричинити те, що стан перегонів відбувається з певним тестовим випадком на певній машині та конкретною реалізацією Java, не перешкоджає цьому відбуватися за інших обставин.

Чи означає це, що a! = A може повернутися true.

Так, теоретично, за певних обставин.

Крім того, a != aможна повернутись, falseхоча aзмінювався одночасно.

Щодо "дивної поведінки":

Оскільки моя програма починається між деякими ітераціями, я отримую значення вихідного прапора, що означає, що посилання! = Check не вдається в одній і тій же посилання. АЛЕ після деяких ітерацій висновок стає постійним значенням false, а потім виконання програми протягом тривалого часу не генерує єдиного справжнього виводу.

Ця "дивна" поведінка відповідає наступному сценарію виконання:

1. Програма завантажується і JVM починає інтерпретувати байт-коди. Оскільки (як ми бачили з результатів javap) байт-код робить два навантаження, ви (мабуть) час від часу бачите результати стану гонки.

2. Через деякий час код складається компілятором JIT. Оптимізатор JIT помічає, що два навантаження одного і того ж гнізда пам'яті ( a) близько один до одного, і оптимізує друге. (Насправді є ймовірність, що він повністю оптимізує тест ...)

3. Тепер умова гонки вже не проявляється, бо більше немає двох навантажень.

Зауважте, що це все відповідає тому, що JLS дозволяє виконувати Java.

@kriss прокоментував так:

Це виглядає так, що це може бути те, що програмісти C або C ++ називають "Невизначена поведінка" (залежність від реалізації). Здається, у Java на таких кутових випадках, як у цьому, може бути кілька UB.

Модель пам'яті Java (вказана в JLS 17.4 ) визначає набір передумов, згідно з якими один потік гарантовано бачить значення пам'яті, записані іншим потоком. Якщо один потік намагається прочитати змінну, написану іншою, і ці передумови не виконуються, то може бути ряд можливих виконань ... деякі з яких, ймовірно, будуть неправильними (з точки зору вимог програми). Іншими словами, визначено набір можливих способів поведінки (тобто набір "добре сформованих страт"), але ми не можемо сказати, яка з цих форм поведінки відбудеться.

Компілятору дозволено комбінувати та упорядковувати навантаження та зберігати (та робити інші речі) за умови, що кінцевий ефект коду однаковий:

• коли виконується однією ниткою, і
• при виконанні різними потоками, які правильно синхронізуються (відповідно до моделі пам'яті).

Але якщо код не синхронізується належним чином (і, отже, відносини «трапляються раніше» недостатньо обмежують набір добре сформованих виконань), компілятору дозволяється переупорядковувати навантаження та зберігати таким чином, що дасть «неправильні» результати. (Але це насправді просто говорить про те, що програма неправильна.)

Доведено тест-нг:

public class MyTest {

  private static Integer count=1;

  @Test(threadPoolSize = 1000, invocationCount=10000)
  public void test(){
    count = new Integer(new Random().nextInt());
    Assert.assertFalse(count != count);
  }

}

У мене 2 помилки на 10 000 викликів. Так ні , це НЕ безпечно для потоків

Ні, це не так. Для порівняння Java VM повинна поставити два значення для порівняння на стек і виконати інструкцію порівняння (яке залежить від типу "a").

Java VM може:

1. Прочитайте «а» два рази, покладіть кожен на стек, а потім і порівняйте результати
2. Прочитайте "a" лише один раз, покладіть його на стек, повторіть його (інструкція "дублювання") та запустіть порівняння
3. Виключіть вираз повністю і замініть його false

У першому випадку інший потік може змінити значення для "а" між двома зчитуваннями.

Яка стратегія буде обрана, залежить від компілятора Java та Java Runtime (особливо компілятора JIT). Це навіть може змінитися під час виконання вашої програми.

Якщо ви хочете переконатися в тому, як доступ до змінної, ви повинні зробити її volatile(так званий "бар'єр наполовину пам'яті") або додати повний бар'єр пам'яті ( synchronized). Ви також можете використовувати API більш високого рівня (наприклад, AtomicIntegerяк згадував Юнід Ахасан).

Докладніше про безпеку потоку читайте в JSR 133 ( Модель пам'яті Java ).

Це все добре пояснив Стівен С. Для задоволення ви можете спробувати запустити той самий код із такими параметрами JVM:

-XX:InlineSmallCode=0

Це повинно запобігти оптимізації JIT (це робиться на сервері Hotspot 7), і ви побачите trueназавжди (я зупинився на 2 000 000, але я вважаю, що це продовжується і після цього).

Для інформації нижче - код JIT'ed. Якщо чесно, я не читаю складання досить вільно, щоб знати, чи тест справді зроблений чи звідки беруться два вантажі. (рядок 26 - випробування, flag = a != aа рядок 31 - дужка закриття while(true)).

  # {method} 'run' '()V' in 'javaapplication27/TestThreadSafety$1'
  0x00000000027dcc80: int3   
  0x00000000027dcc81: data32 data32 nop WORD PTR [rax+rax*1+0x0]
  0x00000000027dcc8c: data32 data32 xchg ax,ax
  0x00000000027dcc90: mov    DWORD PTR [rsp-0x6000],eax
  0x00000000027dcc97: push   rbp
  0x00000000027dcc98: sub    rsp,0x40
  0x00000000027dcc9c: mov    rbx,QWORD PTR [rdx+0x8]
  0x00000000027dcca0: mov    rbp,QWORD PTR [rdx+0x18]
  0x00000000027dcca4: mov    rcx,rdx
  0x00000000027dcca7: movabs r10,0x6e1a7680
  0x00000000027dccb1: call   r10
  0x00000000027dccb4: test   rbp,rbp
  0x00000000027dccb7: je     0x00000000027dccdd
  0x00000000027dccb9: mov    r10d,DWORD PTR [rbp+0x8]
  0x00000000027dccbd: cmp    r10d,0xefc158f4    ;   {oop('javaapplication27/TestThreadSafety$1')}
  0x00000000027dccc4: jne    0x00000000027dccf1
  0x00000000027dccc6: test   rbp,rbp
  0x00000000027dccc9: je     0x00000000027dcce1
  0x00000000027dcccb: cmp    r12d,DWORD PTR [rbp+0xc]
  0x00000000027dcccf: je     0x00000000027dcce1  ;*goto
                                                ; - javaapplication27.TestThreadSafety$1::run@62 (line 31)
  0x00000000027dccd1: add    rbx,0x1            ; OopMap{rbp=Oop off=85}
                                                ;*goto
                                                ; - javaapplication27.TestThreadSafety$1::run@62 (line 31)
  0x00000000027dccd5: test   DWORD PTR [rip+0xfffffffffdb53325],eax        # 0x0000000000330000
                                                ;*goto
                                                ; - javaapplication27.TestThreadSafety$1::run@62 (line 31)
                                                ;   {poll}
  0x00000000027dccdb: jmp    0x00000000027dccd1
  0x00000000027dccdd: xor    ebp,ebp
  0x00000000027dccdf: jmp    0x00000000027dccc6
  0x00000000027dcce1: mov    edx,0xffffff86
  0x00000000027dcce6: mov    QWORD PTR [rsp+0x20],rbx
  0x00000000027dcceb: call   0x00000000027a90a0  ; OopMap{rbp=Oop off=112}
                                                ;*aload_0
                                                ; - javaapplication27.TestThreadSafety$1::run@2 (line 26)
                                                ;   {runtime_call}
  0x00000000027dccf0: int3   
  0x00000000027dccf1: mov    edx,0xffffffad
  0x00000000027dccf6: mov    QWORD PTR [rsp+0x20],rbx
  0x00000000027dccfb: call   0x00000000027a90a0  ; OopMap{rbp=Oop off=128}
                                                ;*aload_0
                                                ; - javaapplication27.TestThreadSafety$1::run@2 (line 26)
                                                ;   {runtime_call}
  0x00000000027dcd00: int3                      ;*aload_0
                                                ; - javaapplication27.TestThreadSafety$1::run@2 (line 26)
  0x00000000027dcd01: int3   

Ні, a != aне безпечна нитка. Цей вираз складається з трьох частин: завантажувати a, aзнову завантажувати та виконувати !=. Можливо, щоб інший потік набув внутрішнього блокування на aбатьківському батьківщині та змінив значення aміж двома операціями навантаження.

Ще одним фактором є те, чи aє місцевим. Якщо aлокальний, то жоден інший потік не повинен мати доступ до нього, і тому він повинен бути безпечним для потоків.

void method () {
    int a = 0;
    System.out.println(a != a);
}

також слід завжди друкувати false.

Визначення aяк volatileби не вирішило проблему, якщо вона aє staticабо інстанцією. Проблема не в тому, що потоки мають різні значення a, а в тому, що одна нитка завантажується aдвічі з різними значеннями. Це на самому ділі може зробити так менше потокобезпечна .. Якщо aНЕ volatileтоді aможе кешувати і зміна в іншому потоці не впливатиме на кешированниє значення.

Щодо дивної поведінки:

Оскільки змінна aне позначена як volatile, в якийсь момент вона може мати значення aкешування потоком. Тоді обидва as a != aє кешованою версією і, таким чином, завжди є однаковою (сенс flagтепер є завжди false).

Навіть просте читання не є атомним. Якщо aє longта не позначено як, volatileто на 32-бітних JVM long b = aне є безпечними для потоків.