ในกระดาษคลาสสิก PLDI'98 โดย Necula "การออกแบบและการใช้งานคอมไพเลอร์ที่ได้รับการรับรอง" ตัวตรวจสอบระดับสูงใช้:
ฉันสับสนเล็กน้อยตามขั้นตอน (3) ทำไมถึงต้องมีเลย? แค่ (1) และ (2) จะไม่พอเพียง? ทำไมเราไม่เชื่อหลักฐานที่สร้างขึ้นโดยนักพิสูจน์ทฤษฎีบท?
คำตอบ:
วัตถุประสงค์ของการตรวจสอบหลักฐานคือการลดฐานการคำนวณที่เชื่อถือได้
โดยมีตัวตรวจสอบหลักฐานไม่จำเป็นต้องมีคอมไพเลอร์และทฤษฎีบทที่ถูกต้อง กระดาษทำให้จุดนี้ในหน้า 3:
Neither the compiler nor the prover need to be correct in order to be guaranteed to
detect incorrect compiler output. This is a significant advantage since the VCGen and
the proof checker are significantly simpler than the compiler and the prover.
เครื่องมือตรวจสอบหลักฐานเป็นเพียงโค้ดสองบรรทัดและสามารถตรวจสอบความถูกต้องได้ด้วยมือ ในทางตรงกันข้ามผู้ตรวจสอบอัตโนมัติที่ทำงานได้ดีมีความซับซ้อนมากและไม่น่าจะถูกต้องถึงแม้ว่าจะมีผู้ทดสอบที่ผ่านการทดสอบและใช้กันอย่างแพร่หลาย แต่ความผิดพลาดจะอยู่ในกรณีขอบซึ่งอาจไม่ใช่เรื่องง่าย ลองดูที่รหัส LOC C ขนาด 30k ซึ่งประกอบไปด้วยLingelingตัวแก้ SAT ที่ล้ำสมัยเพื่อดูว่าผู้พิสูจน์ทฤษฎีบทอัตโนมัติที่ซับซ้อนนั้นมีความซับซ้อนเพียงใด หากไม่มีเครื่องตรวจสอบหลักฐานคุณจะต้องพิสูจน์ให้ถูกต้องว่าบทพิสูจน์ทฤษฎีบทนั้น นี่คือสิ่งที่เราสามารถทำได้ในปี 2558