Чому в Кодексі перевірки необхідна перевірка перевірки

У класичному документі PLDI'98 Некули, "Розробка та реалізація сертифікуючого компілятора", верифікатор високого рівня використовує:

1. VCGen для створення умов підтвердження (предикати безпеки)
2. Логічна теорема першого порядку підтверджує умови
3. LF-перевірка для перевірки доказів із кроку (2)

Я трохи плутаю крок (3). Чому це взагалі потрібно? Чи не буде достатньо лише (1) та (2)? Чому ми просто не довіряємо доказу, сформованому доказом теореми?

Метою перевірки перевірки є мінімізація надійної обчислювальної бази .

Маючи перевірку перевірки, ні компілятор, ні доказ теореми не повинні бути правильними. У статті зазначено це на сторінці 3:

Neither the compiler nor the prover need to be correct in order to be guaranteed to   
detect incorrect compiler output. This is a significant advantage since the VCGen and  
the  proof checker are significantly simpler than the compiler and the prover.

Контрольна перевірка - це лише пара рядків коду, і її можна перевірити на предмет правильності. На відміну від цього, автоматизований довідник, який працює добре, надзвичайно складний і навряд чи буде правильним, хоча при добре перевірених і широко використовуваних доказів помилки будуть у крайніх випадках, які можуть бути непростими. Погляньте на кодекс LOC C 30k, який складається з Лінґелінга , найсучасніший вирішувач SAT, щоб побачити, наскільки складними є автоматизовані докази теореми. Без перевірки перевірки вам доведеться довести правильність цієї теореми. Це виходить за рамки того, що ми можемо зробити економічно у 2015 році.