TLA+2 증명 관리 시스템: 계층적 증명과 자동 검증의 통합

본 논문은 TLA+ 사양 언어에 증명 작성을 위한 구문을 추가하고, 이를 검증하기 위한 Proof Manager(PM)를 설계·구현한 내용을 상세히 기술한다. TLA+는 기존에 시스템 행동을 기술하고 그 속성을 검증하기 위한 사양 언어였으나, 증명 메커니즘이 부재했다는 한계가 있었다. 이를 보완하기 위해 저자들은 TLA+2라는 확장 언어를 정의하고, 증명은 “현재 의무(current obligation)”라는 논리적 단위로 구성한다. 현재 의무는 컨텍스트(이미 알려진 사실·정의·선언)와 목표(goal)로 이루어지며, 목표가 컨텍스트에 의해 논리적으로 따라야 함을 의미한다. PM은 증명을 계층적 구조로 파싱한다. 증명은 레벨 토큰(hn i)과 라벨(hn i l)로 구분된 단계들로 이루어지며, 각 단계는 선언, 정의, 목표 변경, 혹은 명시적 증명을 포함한다. leaf 단계는 “obvious”, “by”, “use” 등으로 표시되며, 이 단계들은 자동 프로버가 직접 검증할 수 있는 수준으로 간주된다. 비leaf 단계는 하위 증명을 포함하는 서브프루프이며, 최종 단계는 “qed” 토큰으로 현재 목표가 증명되었음을 선언한다. PM은 이러한 계층적 증명을 독립적인 증명 의무 집합으로 변환한다. 각 leaf 단계는 별도의 의무로 분리되어 백엔드 프로버에게 전달된다. 현재 구현된 백엔드 프로버는 Zenon과 Isabelle/TLA+이다. Zenon은 1차 논리와 등식이 포함된 클래식 테이블루 프로버이며, 성공 시 Isar 스크립트를 생성해 Isabelle이 검증한다. Zenon이 실패하거나 타임아웃될 경우, PM은 직접 Isabelle의 자동 전술을 호출한다. 이렇게 두 단계 검증을 거치면, 최종적으로 Isabelle/TLA+에 의해 모든 의무가 인증된다. 논문은 또한 증명 구문의 주요 구성 요소를 소개한다. “assume/prove”는 전제와 목표를 명시하고, “define”은 증명 내부에서 사용할 새로운 정의를 도입한다. “case” 구문은 경우 분석을 지원하며, “by” 구문은 자동 프로버에게 알려줄 힌트를 제공한다. “use”와 “hide”는 사실·정의를 활성화·비활성화함으로써 증명 컨텍스트를 조절한다. 이러한 구문들은 인간 독자가 증명 흐름을 이해하기 쉽게 만들 뿐 아니라, 자동 프로버가 탐색해야 할 검색 공간을 효과적으로 축소한다. 예시로 제시된 Cantor 정리 증명은 TLA+2 증명 언어의 실제 사용 방법을 구체적으로 보여준다. 정리의 전체 명제는 최상위 목표가 되며, 먼저 ∀S와 ∀f∈