TLA+2 증명 관리 시스템: 계층적 증명과 자동 검증의 통합

초록

TLA+에 증명 구문을 추가하고, Proof Manager(PM)를 통해 계층적 증명을 자동으로 검증한다. PM은 증명을 독립적인 증명 의무로 분해하고, Zenon과 Isabelle/TLA+ 같은 백엔드 프로버에 전달한다. 예제로 제시된 Cantor 정리 증명은 단계별로 구체화되며, 사용·숨김, by·use 구문을 통해 증명 흐름을 명확히 제어한다.

상세 분석

이 논문은 기존 TLA+ 사양 언어에 증명 작성을 위한 구문을 도입하고, 이를 지원하는 Proof Manager(PM)를 설계·구현한 점에서 의미가 크다. TLA+는 본래 시스템 행동을 기술하고 그 속성을 검증하기 위한 사양 언어였으나, 증명 메커니즘이 없었다는 한계가 있었다. 저자들은 TLA+2라는 확장 언어를 정의하고, 증명은 “현재 의무(current obligation)”라는 개념 아래, 컨텍스트(이미 알려진 사실·정의·선언)와 목표(goal)로 구성된 논리적 추론 단위로 본다.

PM은 증명 트리를 계층적으로 파싱하여 각 leaf 단계—즉 “obvious”, “by”, “use” 등으로 표시된 단계—를 독립적인 증명 의무로 변환한다. 이러한 의무는 백엔드 프로버에게 전달되며, 현재 구현된 백엔드는 Zenon(클래식 1차 논리 테이블루 프로버)과 Isabelle/TLA+(Isabelle/Pure 위에 구현된 TLA+ 전용 공리계)이다. Zenon이 성공하면 Isar 스크립트를 생성해 Isabelle이 검증하고, 실패하면 Isabelle의 자동 전술을 직접 호출한다. 이중 검증 구조는 높은 신뢰성을 제공한다.

증명 구문 자체는 선언적이며, Isabelle/Isar와 유사한 “assume/prove”, “define”, “case”, “by” 등을 제공한다. 단계 번호(h1i1, h2i2 등)와 레벨 토큰(hn i)으로 계층을 명시함으로써, 인간 독자가 증명 흐름을 쉽게 파악할 수 있다. 특히 “use”와 “hide”를 통해 사실·정의를 명시적으로 활성화·비활성화함으로써 자동 프로버의 탐색 공간을 제한하고, 증명의 가독성을 높인다.

예시로 제시된 Cantor 정리 증명은 전형적인 다중 레벨 증명의 흐름을 보여준다. 먼저 전체 정리를 선언하고, 존재량화와 전제(f ∈