Swift Digest
SE-0433 | Swift Evolution

同期相互排他ロック

Synchronous Mutual Exclusion Lock

Proposal
SE-0433
Authors
Alejandro Alonso
Review Manager
Stephen Canon
Status
Implemented (Swift 6.0)

このダイジェストはClaude Opus 4.7 / 4.8によって生成されたものです(License)。原文はこちら

01 何が問題だったのか

並行プログラムで共有されるミュータブルな状態へのアクセスを同期する手段は、Swiftにも複数用意されてきました。アクターは状態を自身の isolation domain に閉じ込め、ドメイン外からは await 越しにしか触れないようにすることで、デフォルトの選択肢として良く機能します。

しかし、すべてのコードがアクターを採用できる(あるいは採用したい)わけではありません。たとえば次のような事情があります。

  • 他のタスクが割り込まないよう、ある区間を同期的に実行しきる必要がある
  • async を持ち込めない既存のコードから、同じ保護対象にアクセスしたい

こうしたケースでは、従来型の同期的な相互排他ロック(mutex)が欲しくなります。mutexは「保護対象に触れる実行コンテキストが常にひとつだけ」であることを、ロックの取得と解放で保証する同期プリミティブです。

ところがSwiftの標準ライブラリにはこれまで公式のmutex型が存在せず、各プロジェクトが os_unfair_lock / pthread_mutex_t / SRWLOCK / futex などのプラットフォームAPIを独自にラップしていました。結果として実装ごとに作法が微妙に異なり、さらに以下のようなSwift固有の難しさも各自で解く必要がありました。

  • ロックは「単一の安定したメモリ位置」に置く必要があり、コピーされてはいけない
  • var 束縛にすると排他性チェック(Law of Exclusivity)が干渉しうる
  • 保護対象が non-Sendable な値だった場合、アクター間で共有しても安全だと静的に示す方法がない

標準的で安全なmutexが、標準ライブラリに必要でした。

02 どのように解決されるのか

SE-0410 で追加された Synchronization モジュールに、新しい同期プリミティブ Mutex<Value> を追加します。Atomic と同様に、使うにはモジュールを明示的に import します。

import Synchronization

final class FancyManagerOfSorts {
    let cache = Mutex<[String: Resource]>([:])

    func save(_ resource: Resource, as key: String) {
        cache.withLock {
            $0[key] = resource
        }
    }
}

Mutex は保護したい値を内部に持ち、withLock のクロージャ内でのみその値に inout でアクセスできます。クロージャの先頭でロックが取得され、抜けるときに解放されます。

型と基本API

Mutex~Copyablestruct で、保護対象の型 State 自体も ~Copyable で構いません。

public struct Mutex<State: ~Copyable>: ~Copyable {
    public init(_ state: sending consuming State)
}

extension Mutex: Sendable where State: ~Copyable {}

extension Mutex where State: ~Copyable {
    public borrowing func withLock<Result: ~Copyable, E: Error>(
        _ body: (sending inout State) throws(E) -> sending Result
    ) throws(E) -> sending Result

    public borrowing func withLockIfAvailable<Result: ~Copyable, E: Error>(
        _ body: (sending inout State) throws(E) -> sending Result?
    ) throws(E) -> sending Result?
}

withLockIfAvailable はロックを即時取得できたときだけクロージャを実行し、取得できなかった場合は nil を返します(tryLock 相当)。

基盤となるロック実装はプラットフォームごとに異なり、fairnessは保証されません。保証されるのは「同時に一つの実行コンテキストだけが critical section に入る」ことだけです。

  • Darwin系: os_unfair_lock
  • Linux: futex
  • Windows: SRWLOCK

Sendable と non-Sendable な保護対象

MutexState が何であっても無条件に Sendable です。これを安全に成立させているのが、初期化子とクロージャの sending 注釈(SE-0430)です。

  • init(_:) の引数が sending consuming なので、初期化に使った non-Sendable な値は以降呼び出し元で参照できません。
  • withLock のクロージャ引数 inout Statesending なので、クロージャ内で inout されている値をクロージャ外へ逃がすことはできません。

この仕組みによって、Mutex それ自体をひとつの isolation domain とみなせます。non-Sendable な参照や内部のポインタをロックの外へこっそり送り出す経路が静的に塞がれます。

class NonSendableReference {
    var prop: UnsafeMutablePointer<Int>
}

let nonSendableRef: NonSendableReference = ...
let lockedPointer = Mutex<UnsafeMutablePointer<Int>>(...)

func something() {
    lockedPointer.withLock {
        // error: sending 'inout' parameter transferred out
        //        but hasn't had a value transferred back in.
        nonSendableRef.prop = $0
    }
}

どうしても中身を外へ渡したい場合は、クロージャから抜ける前に新しい値を戻す($0 を再代入する)ことで、Mutexの domain に新しい値を「送り返した」ことを示します。

func something() {
    lockedPointer.withLock {
        nonSendableRef.prop = $0
        $0 = ...     // 新しい値を domain に送り込む
    }
}

var / inout / mutating の禁止

MutexAtomic と同じく @_staticExclusiveOnly が付き、var での宣言や inout 渡しはコンパイルエラーになります。これはロックの安定したアドレスを保ったまま、Swiftの動的排他性チェックと干渉しないようにするためです。let で保持し、borrowing または consuming で渡します。

非再帰であること

Mutex非再帰です。withLock の中で同じ Mutex に対して再び withLock / withLockIfAvailable を呼ぶと、プラットフォーム依存の挙動になり(デッドロック、プロセスパニック、未規定のいずれか)、少なくともロックが再取得されることはありません。

また、async な文脈でも withLock 自体は使えますが、クロージャ内に await は書けません。中断ポイントを挟んだ先でロックが別スレッドから解放される事態を避けるため、クロージャは同期的に実行しきる必要があります。長時間の非同期処理を守りたい場合はアクターなど別の仕組みを検討します。

アクターとの使い分け

mutexとアクターは、いずれも共有ミュータブル状態を守る仕組みですが性質が大きく異なります。

  • mutex: 同期的なロック。取得待ちのスレッドは前進できず、デッドロックやスレッド競合の可能性もある一方、async を持ち込めない同期コードからも使える。
  • アクター: 非同期。待機中のタスクは別の仕事を進められ、通常の使い方ではデッドロックしない。一方、中断ポイントでの再入(reentrancy)に伴う状態変化には注意が必要。

デフォルトではアクターで十分なことが多く、Mutex は「アクターが使えない/合わない」場面の補完として位置づけられます。

03 今後の見通し

Mutex の周辺にはいくつかの拡張案が将来の方向性として挙げられています。いずれも構想段階であり、実現を約束するものではありません。

ガードベースAPI

C++の std::lock_guard やRustの MutexGuard のように、ロック取得を表すトークンを返し、そのトークンのスコープでロックの寿命を表現するAPIが検討されています。lock() がガードを返し、ガードが破棄されるタイミングで自動的に unlock する形です。

func add(_ i: Int, to mutex: Mutex<Int>) {
    let mGuard = mutex.lock()
    mGuard.value += 1
    // スコープを抜けるとmGuardがデイニシャライズされてロックが解放される
}

ガードがロック本体より長く生き残ると安全性が崩れるため、戻り値を ~Copyable かつ ~Escapable にしてスコープ外への持ち出しを静的に禁じる案が示されています。non-escapable 型の整備が前提になるため、それを待つ必要があります。これが入れば、生の lock() / unlock() / tryLock() を直接公開する必要はなくなり、ガードベースAPIで同等の用途をより安全に賄えると見込まれています。

reader-writerロックや再帰ロック

Mutex は読み手であっても排他的にロックを取得する必要があり、読み込みが圧倒的に多いケースには不向きです。複数の読み手が同時にロックを取得でき、書き手だけは排他的に取得する reader-writer ロックを Synchronization モジュールに加える案があります。

また、同じスレッドが複数回ロックを取得でき、取得した回数と同じ回数だけ解放する必要がある再帰ロックも、別種の同期プリミティブとして検討されています。