प्रूफ कैरी कोड में प्रूफ चेकर की आवश्यकता क्यों है

नेचुला द्वारा शास्त्रीय PLDI'98 पेपर में, "एक प्रमाणित कंपाइलर का डिज़ाइन और कार्यान्वयन", उच्च-स्तरीय एम्पलीफायर:

1. सत्यापन की स्थिति उत्पन्न करने के लिए VCGen (सुरक्षा की भविष्यवाणी करता है)
2. शर्तों को साबित करने के लिए प्रथम-क्रम तर्क प्रमेय कहावत
3. कदम से सबूत की जांच करने के लिए LF प्रूफ चेकर (2)

मैं चरण (3) से थोड़ा भ्रमित हूं। इसकी आवश्यकता क्यों है? क्या सिर्फ (1) और (2) पर्याप्त नहीं होगा? हम सिर्फ एक प्रमेय कहावत से उत्पन्न प्रमाण पर भरोसा क्यों नहीं करते?

प्रूफ चेकर का उद्देश्य विश्वसनीय कंप्यूटिंग बेस को कम करना है ।

प्रूफ चेकर होने से, न तो कंपाइलर और न ही प्रमेय प्रोवर को सही होने की आवश्यकता है। कागज इस बिंदु को पेज 3 पर बनाता है:

Neither the compiler nor the prover need to be correct in order to be guaranteed to   
detect incorrect compiler output. This is a significant advantage since the VCGen and  
the  proof checker are significantly simpler than the compiler and the prover.

एक प्रूफ चेकर कोड की एक जोड़ी लाइनें है, और शुद्धता के लिए हाथ से निरीक्षण किया जा सकता है। इसके विपरीत, एक स्वचालित कहावत जो अच्छा प्रदर्शन करती है, वह बेहद जटिल है और सही होने की संभावना नहीं है, हालांकि अच्छी तरह से परीक्षण और व्यापक रूप से उपयोग किए जाने वाले त्रुटियों के साथ, गलतियां ऐसे मामलों में होंगी जो ट्रिगर करना आसान नहीं होगा। 30k LOC C कोड पर एक नजर डालें जो लिंगलिंग बनाते हैं , एक अत्याधुनिक SAT सॉल्वर है जो सिर्फ यह देखने के लिए है कि स्वचालित स्वचालित प्रमेय कितना जटिल हो सकता है। प्रूफ चेकर के बिना, आपको उस प्रमेय कहावत को सही साबित करना होगा। यह हम 2015 में आर्थिक रूप से कर सकते हैं से परे है।