形式手法特論：公平性制約の位相的特徴づけ #kernelvm / Kernel VM Study Kansai 12th

Transcript

1. 形式手法特論 公平性制約の 位相的特徴づけ #kernelvm チェシャ猫 (@y_taka_23) Kernel/VM 探検隊@関西 12 回目

   (30th May. 2026)

2. 夏に向けて今からダイエット つまりは痩せる話をしましょう

3. はじめに：定義と記述の時代 • 仕様を「記述すること」への重心の移動 ◦ AI はそれらしい実装を高速・大量に生成できる ◦ 明示されたコンテキスト外の事情は汲んでくれない • 今後は仕様の「検証可能性」がより問われる時代に

   ◦ ニュアンスを定式化し、厳密に記述する技術 ◦ 機械的・確実に検証できるモデル検査や定理証明

4. 理解は全てに先立つ そして理解とは記述である

5. 並行システムと仕様 • 安全性：悪いことが決して起こらない ◦ 例「在庫数は決してマイナスにならない」 • 活性：良いことがいつか起こる ◦ 例「リクエストの後、いつかレスポンスが返る」 •

   安全性と活性は両方検査して初めて意味がある ◦ 安全性だけだと「何もしない」も OK になる

6. Defining Liveness B. Alpern, F. B. Schneider (IPL 1985) https://doi.org/10.1016/0020-0190(85)90056-0

7. 実行列のなす位相空間 • 状態を並べた無限列を考える • 実行列（通過した状態の履歴）の間に距離を定義 ◦ 先頭から何ステップ目まで一致しているか見る ◦ 長く一致している列同士は「近い」と考える ◦

   実数の小数点表示における「近さ」と似ている • この定義により、実行列は位相空間をなす

8. S A B S σ_1 = A S B S

   A S σ_2 = A S A S A S σ_3 = A S B S B σ_1 と σ_2 は 3 ステップ目まで同じ σ_1 と σ_3 は 5 ステップ目まで同じなので σ_1 と σ_2 より距離が近い

9. 安全性の位相的定義 • 定義：安全性とは閉集合である • 実行列の言葉で言うと、 条件違反がある場合には、有限ステップまで見れば それが違反であることが確定する ような性質 • 例「在庫数は決してマイナスにならない」

10. 活性の位相的定義 • 定義：活性とは稠密集合である • 実行列の言葉で言うと、 今までの実行列がどうだろうと、そこから後を 好きに選んでいいなら全体としては成立させられる ような性質 • 例「リクエストの後、いつかレスポンスが返る」

11. 安全性-活性分解定理 • 任意の仕様を安全性と活性に分解できる素敵な定理 • 位相の言葉を利用した上手い定式化が背景にある 任意の仕様 P が与えられたとき、ある安全性 S と活性

    L が 存在して、P は「S かつ L」と表現できる 定理（Alpern-Schneider, 1985）

12. 代表的な公平性制約 • 弱公平性（weak fairness） ある遷移が生じ得る条件が常に成り立ち続けるなら、 その遷移は実際に無限回生じる • 強公平性（strong fairness） ある遷移が生じ得る条件が無限回成り立つなら、

    その遷移は実際に無限回生じる

13. 「いつか何かが発生する」なら 公平性と活性は同じなのか？

14. 公平性 != 活性（1） • 例「A と B が共に無限回生じる」 ◦ 公平性っぽく、活性でもある

    ◦ 先頭部分に関わらず、その後 ASBS… を着ければ成立 • 例「ある時点以降、決して A が生じない」 ◦ 公平性っぽくないが、活性ではある ◦ 先頭部分に関わらず、その後 BSBS… を着ければ成立 S A B

15. 公平性 != 活性（2） • 例「冒頭からずっと A と B が交互に生じる」 ◦

    公平性っぽいが、活性ではなく安全性 ◦ ASA か BSB が出現した時点で違反確定 • 公平性は連言（かつ）について閉じていて欲しい ◦ 「A の公平性かつ B の公平性」も公平性っぽい ◦ 一般には活性（稠密集合）は共通部分に閉じない S A B

16. では公平性をどう定式化すべきか？

17. Defining Fairness H. Völzer, D. Varacca, E. Kindler (CONCUR 2005)

    https://doi.org/10.1007/11539452_35

18. 公平性の位相的定義 • 定義：閉包の内部が空な集合を疎集合と呼ぶ • 定義：可算個の疎集合の和を痩集合（meager set）と呼ぶ 公平性とはその補集合が痩集合（co-meager）な集合である 定義（Völzer-Varacca-Kindler, 2005）

19. なぜ co-meager として定義したのか？

20. 公平性の位置付け • 公平性は「検査の前提」となることが多い ◦ スケジューラの公平性を「仮定した上」で、 並行プロセス実行について何かを検査したい ◦ つまり「典型的な実行例」は公平でありたい ◦ 逆に言えば、補集合は「例外的なエッジケース」

    • この「例外っぽさ」「珍しさ」が痩（meager）に対応

21. 例：有理数の Meager 性 • 有理数と無理数は、実数の中でともに稠密 ◦ 実数は有理数で小数点以下、任意精度で近似可能 ◦ 稠密性という意味では有理数と無理数は対等 •

    しかし有理数は可算集合で、実数の中では「少数派」 • 有理数は痩（meager）集合、無理数は co-meager ◦ 1 点集合が疎集合なので、可算集合は痩集合

22. Co-Meager 性の直感的理解（1） • 「0 ステップ目以降、一回でも A が発生」かつ • 「1 ステップ目以降、一回でも

    A が発生」かつ • 「2 ステップ目以降、一回でも A が発生」かつ • 「3 ステップ目以降、一回でも A が発生」かつ …… • =「A が無限回発生」

23. Co-Meager 性の直感的理解（2） • 公平性（っぽい）F を「事象 A が無限回発生」と定義 • A_n を「n

    ステップ目以降、一回でも A が発生」と定義 ◦ A_n の否定は閉集合、つまり A_n 自身は開集合 ◦ A_n は稠密集合 • F は全ての n に関する可算個の A_n の共通部分 ◦ F は G_δ 集合で、かつ Baire 空間なので稠密

24. Co-Meager 性の直感的理解（3） Baire 空間において、集合 F が co-meager であることと、 ある稠密 G_δ

    集合 E が存在し E ⊆ F となることは同値 命題（Baire 空間の定義から従う） • co-meager 性と「無限回発生」との結び付けの正当化 • なお可算個の co-meager な集合の共通部分も co-meager

25. 本日のまとめ • 位相を利用した安全性と活性の定義 ◦ クリアな分解定理が成り立つ、上手い定式化の例 • 公平性は活性の一部だが、それだけだと条件不足 ◦ 明らかに公平性ではないものまで含まれる •

    Völzer らが公平性を co-meager 性として特徴づけ ◦ 「無限回発生する」というニュアンスとよく合致

26. One does not simply fold fairness into liveness! Presented By

    チェシャ猫 (@y_taka_23)