Using Gappa to Formally Verify Floating-Point Division: Bounding Rounding Errors and Ensuring IEEE 754 Compliance in ARM Systems

在ARM-based系统开发中，浮点除法操作是数值计算的核心，但由于浮点数表示的固有局限性，舍入误差可能导致计算偏差，影响系统精度和可靠性。Gappa作为一个专为浮点和定点算术设计的证明工具，能够形式化验证这些操作，确保符合IEEE 754标准。本文聚焦于使用Gappa界定浮点除法舍入误差的工程实践，提供可落地的参数配置和验证清单，帮助开发者在ARM平台上构建可靠的数值模块。

浮点除法的挑战主要源于IEEE 754标准的舍入模式。在ARM的VFP（Vector Floating-Point）或NEON扩展中，浮点除法遵循IEEE 754双精度或单精度格式，但实际实现中，除法可能引入相对误差，尤其在除数接近零或结果接近下溢时。Gappa通过区间算术和形式证明，自动生成数学界限证明，验证计算结果的误差不超过预设阈值。例如，对于一个简单的除法x / y，Gappa可以证明|fl(x / y) - (x / y)| ≤ ε，其中fl表示浮点舍入，ε为用户定义的误差上界。这不仅避免了手动分析的繁琐，还能处理复杂表达式如(a / b) * c的连锁误差传播。

证据显示，Gappa已在CRlibm库中用于认证基本函数的正确性，包括除法操作的IEEE 754合规。CRlibm是一个高精度浮点函数库，Gappa为其生成证明，确保函数在所有输入下的舍入行为符合标准。在ARM系统上，VFP单元支持四种舍入模式：向最近（默认）、向零、向正无穷和向负无穷。Gappa的证明过程考虑这些模式，通过Coq证明助手或独立运行，输出可验证的证书，确认ARM硬件的浮点除法不会违反IEEE 754的异常处理，如除零产生无穷大或无效操作产生NaN。

要落地Gappa验证，首先安装工具。从Gappa官网下载最新版本1.6.0（2025年发布），支持Linux和ARM架构。编译需OCaml环境：opam install ocamlfind dose3 zarith。安装后，创建验证脚本.gappa文件，定义假设和目标。例如，假设输入x、y为双精度浮点数，y ≠ 0，目标为证明相对误差|fl(x / y) - (x / y)| / |x / y| ≤ 2^{-53}（双精度机器epsilon的一半）。脚本示例如下：

{- 假设输入范围 -} x in [-1e308, 1e308] y in [1e-308, 1e308] \ {0}

{- 目标误差界 -} |- (x / y) - round(x / y, nearest) | <= 2^(-52) * (x / y)

运行gappa script.gappa，若证明成功，输出证书文件，可用Coq检查。针对ARM特定性，集成Why3平台：Why3调用Gappa作为后端，编写Why3任务文件描述ARM VFP的舍入语义，确保证明覆盖NEON向量化除法。

工程参数配置包括：精度模式设为double（64位），舍入设为RM（向最近偶数），超时阈值设为300秒（复杂表达式）。监控要点：使用Gappa的--log选项记录证明步骤，若inconclusive则缩小输入区间或添加假设。回滚策略：若Gappa失败，手动用MPFR库模拟高精度除法对比，阈值设为1e-15相对误差。

验证清单：

1. 准备测试案例：覆盖正常除法（x=1.0, y=2.0）、边界（y接近0但非零）、异常（y=0，应产生Inf）。
2. 运行Gappa：gappa -m coq script.gappa，生成.v文件导入Coq。
3. ARM集成：编译C代码用__fp16或float128测试，链接Gappa生成的界限检查。
4. 性能评估：ARM Cortex-A系列，验证时间<10秒/案例，误差界<1ulp（单位最后位）。
5. 文档化：记录证明假设，集成到CI/CD管道中自动验证变更。

通过这些步骤，开发者可在ARM系统中实现浮点除法的形式化保证，避免隐蔽误差导致的系统故障。例如，在嵌入式AI推理中，除法用于归一化，Gappa证明确保输出精度不降级。总体而言，Gappa桥接了理论证明与工程实践，为ARM浮点计算注入数学严谨性，推动高可靠性应用的开发。

（字数：1024）