¿Por qué se requiere el comprobador de pruebas en el código de prueba?

En el clásico artículo PLDI'98 de Necula, "El diseño e implementación de un compilador certificador", el verificador de alto nivel utiliza:

1. VCGen para generar condiciones de verificación (predicados de seguridad)
2. Probador del teorema lógico de primer orden para probar las condiciones
3. Comprobador de pruebas LF para verificar la prueba del paso (2)

Estoy un poco confundido por el paso (3). ¿Por qué se requiere en absoluto? ¿Solo (1) y (2) no serán suficientes? ¿Por qué no confiamos simplemente en la prueba generada por un probador de teoremas?

El propósito del comprobador de pruebas es minimizar la base informática confiable .

Al tener un comprobador de pruebas, ni el compilador ni el probador de teoremas deben ser correctos. El documento hace este punto en la página 3:

Neither the compiler nor the prover need to be correct in order to be guaranteed to   
detect incorrect compiler output. This is a significant advantage since the VCGen and  
the  proof checker are significantly simpler than the compiler and the prover.

Un comprobador de pruebas es solo un par de líneas de código y puede inspeccionarse a mano para verificar que sea correcto. Por el contrario, un comprobador automatizado que funciona bien es extremadamente complejo y es poco probable que sea correcto, aunque con comprobadores bien probados y ampliamente utilizados, los errores se producirán en casos extremos que podrían no ser fáciles de activar. Eche un vistazo al código LOC C de 30k que conforma Lingeling , un solucionador SAT de última generación para ver cuán complicados pueden ser los comprobadores de teoremas automatizados. Sin un comprobador de pruebas, tendrías que demostrar que ese teorema es correcto. Esto está más allá de lo que podemos hacer económicamente en 2015.