Safra 알고리즘의 장애 허용 버전

초록

Safra의 분산 종료 검출 알고리즘을 토큰 링 구조 위에 그대로 두면서, 각 노드별 카운터와 백업 토큰을 도입해 크래시를 로컬하게 복구한다. 카운터를 노드별로 분리하고, 크래시 정보를 토큰에 포함시켜 모든 살아있는 노드가 동일한 카운트 집합을 사용하도록 함으로써, 추가 메시지 오버헤드 없이 무한대의 동시 크래시를 견디는 장애 내성 버전을 제시한다. 정밀한 수학적 증명과 mCRL2 기반 모델 검증을 통해 알고리즘의 안전성과 활성을 입증한다.

상세 분석

본 논문은 Safra 알고리즘의 핵심 메커니즘인 “토큰이 활성 노드만을 통과하고, 토큰에 포함된 카운터가 전송‑수신 차이를 누적한다”는 원리를 유지하면서, 장애 상황을 처리하기 위한 두 가지 주요 설계를 도입한다. 첫째, 전역 카운터를 N개의 로컬 카운터로 분할한다. 각 노드는 자신이 보낸 기본 메시지와 받은 기본 메시지의 차이를 자체 카운터에 기록하고, 토큰이 해당 노드에 도착하면 그 카운터 값을 토큰의 전역 카운터에 합산한다. 크래시가 발생한 노드의 카운터는 토큰에 포함되지 않으므로, 크래시 노드가 남긴 “가짜” 메시지 카운트가 전체 합산에 영향을 주지 않는다. 둘째, 토큰 링이 끊어지는 경우를 대비해 전임 노드가 즉시 백업 토큰을 생성한다. 토큰에 포함된 일련 번호(seq)와 색상(black/white) 정보를 활용해 중복 토큰을 식별하고, 오래된 토큰은 무시한다. 이 메커니즘은 토큰이 손실되거나 두 개가 동시에 존재하는 상황에서도 단일 토큰만이 유효하게 작동하도록 보장한다.

알고리즘은 완전 비동기 메시지 전달 모델을 가정하고, 완벽한 실패 탐지기(perfect failure detector)를 전제한다. 실패 탐지기는 크래시를 절대로 오탐지하지 않으며, 모든 크래시를 결국 감지한다. 이러한 가정 하에, 노드가 크래시를 감지하면 즉시 전임 노드에게 알리고, 전임 노드는 토큰을 재구성한다. 토큰 재구성 시, 새로운 토큰은 기존 토큰에 포함된 모든 카운터를 초기화하고, 현재 살아있는 노드 집합만을 대상으로 카운트를 다시 시작한다.

색상 관리 측면에서는 기존 Safra 알고리즘의 “black” 플래그를 단순 비트가 아니라 “black_t”라는 노드 ID로 확장한다. 이는 토큰이 현재까지 방문한 구간 중 어느 노드까지가 “검은색”(즉, 불일치 가능성이 있는) 상태인지를 명시한다. 메시지 전송 시 송신자의 시퀀스 번호와 ID를 piggyback 함으로써, 수신자는 해당 메시지가 토큰보다 앞서 전송되었는지 판단하고, 필요 시 자신의 black_i 값을 최장 노드 ID로 확장한다. 이렇게 하면 다중 노드가 동시에 종료를 감지하려 할 때 발생할 수 있는 “앞서간 메시지”에 의한 잘못된 종료 선언을 방지한다.

복구 메커니즘과 색상 관리가 결합된 결과, 알고리즘은 다음과 같은 강점을 가진다. (1) 크래시 수에 제한이 없으며, 동시에 여러 노드가 다운되더라도 토큰 링을 재구성할 수 있다. (2) 크래시 복구를 위해 추가적인 제어 메시지는 단 한 번(백업 토큰 전송)만 발생한다. (3) 토큰 크기가 O(N)인 비트 복잡도를 갖지만, 현대 고속 네트워크 환경에서는 토큰 전송 빈도가 낮아 전체 네트워크 부하에 큰 영향을 주지 않는다.

정형 검증 부분에서는 mCRL2 모델을 이용해 원본 Safra 알고리즘과 제안된 장애 내성 버전 모두를 모델 체크하였다. 모델 체크 결과, 원본 논문에 제시된 초기 버전에서는 특정 동시 크래시 상황에서 토큰이 두 개 이상 존재해 잘못된 종료를 선언할 수 있는 버그가 발견되었다. 논문은 이 버그를 수정하기 위해 토큰 일련 번호와 색상 업데이트 순서를 재정의하는 간단한 패치를 제안한다. 최종 검증에서는 모든 가능한 크래시 시나리오(단일·다중·동시)에서 안전성(liveness와 safety) 조건이 만족됨을 확인하였다.

전반적으로, 이 논문은 기존 Safra 알고리즘의 경량성과 저오버헤드 특성을 유지하면서, 장애 내성을 위한 설계 원칙을 명확히 제시하고, 수학적 증명과 자동 검증을 통해 그 타당성을 입증한 점에서 학술적·실용적 가치가 높다.