Prova Taşıma Kodunda Prova Denetleyicisi neden gereklidir?

Necula'nın "Sertifikasyon derleyicisinin tasarımı ve uygulanması" adlı klasik PLDI'98 belgesinde, üst düzey doğrulayıcı şunları kullanır:

1. VCGen doğrulama koşulları üretecek (güvenlik tahminleri)
2. Koşulları ispatlamak için birinci dereceden mantık teoremi
3. Adım 2'deki kanıtı kontrol etmek için LF geçirmez kontrol cihazı

Adım (3) ile biraz kafam karıştı. Neden gerekli? Sadece (1) ve (2) yeterli olmayacak mı? Neden sadece bir teorem kanıtlayıcının yarattığı kanıtlara güvenmiyoruz?

Prova denetleyicisinin amacı güvenilir bilgi işlem tabanını en aza indirmektir .

Bir kanıt denetleyicisine sahip olmakla, ne derleyici ne de teorem kanıtlayıcının doğru olması gerekmez. Makale bu noktayı Sayfa 3'te göstermektedir:

Neither the compiler nor the prover need to be correct in order to be guaranteed to   
detect incorrect compiler output. This is a significant advantage since the VCGen and  
the  proof checker are significantly simpler than the compiler and the prover.

Prova denetleyicisi yalnızca birkaç satır koddur ve doğruluk açısından elle denetlenebilir. Buna karşılık, iyi performans gösteren otomatik bir kanıtlayıcı son derece karmaşıktır ve doğru olma olasılığı düşüktür, ancak iyi test edilmiş ve yaygın olarak kullanılan kanıtlayıcılarda, hatalar tetiklenmesi kolay olmayabilecek uç durumlarda olacaktır. Otomatik teoremin ne kadar karmaşık olabileceğini görmek için son teknoloji ürünü bir SAT çözümleyicisi olan Lingeling'i oluşturan 30k LOC C koduna bir göz atın . Bir kanıt denetleyicisi olmadan, bu teorem kanıtlayıcısının doğru olduğunu kanıtlamanız gerekir. Bu, 2015 yılında ekonomik olarak yapabileceğimiz şeyin ötesinde.