Formal that "Floats" High: Formal Verification of Floating Point Arithmetic

Dieser Beitrag stellt eine skalierbare Methode zur formalen Verifikation von Gleitkommaarithmetik vor, die durch direkte RTL-zu-RTL-Modellprüfung, eine modulare Zerlegungsstrategie und den Einsatz von KI-gestützter Eigenschaftsgenerierung mit menschlicher Rückkopplung Abstraktionslücken überwindet und eine höhere Abdeckungseffizienz als herkömmliche Ansätze erreicht.

Das Wesentliche

🧠 Der große Bauplan-Check: Wie KI und Mathematik sicherstellen, dass Computerrechnen nicht verrückt spielt

Stellen Sie sich vor, Sie bauen einen riesigen, hochkomplexen Schokoladenautomaten. Dieser Automat soll nicht nur Schokolade ausgeben, sondern auch ganz präzise berechnen, wie viel Schokolade in ein Glas passt, wenn Sie einen Knopf drücken. Das Problem: Wenn der Automat auch nur eine winzige Krümel zu viel oder zu wenig rechnet, könnte das ganze Glas überlaufen oder leer bleiben. In der Welt der Computer nennt man das Gleitkommazahlen (Floating-Point).

Diese Arbeit von Hansa Mohanty und seinem Team ist wie ein Super-Inspektor, der diesen Schokoladenautomaten nicht nur testet, sondern beweist, dass er unter allen denkbaren Umständen perfekt funktioniert.

1. Das Problem: Der alte Weg war wie eine schlechte Übersetzung

Früher haben Ingenieure, um zu prüfen, ob ihr Schokoladenautomat (die Hardware) richtig rechnet, erst eine theoretische Anleitung auf Papier geschrieben (in einer Programmiersprache namens C). Dann haben sie versucht, diese Anleitung mit dem echten Automaten zu vergleichen.

Das Problem dabei: Es ist wie der Versuch, ein deutsches Kochrezept mit einem chinesischen Kochbuch zu vergleichen, indem man es erst ins Englische und dann ins Französische übersetzt. Irgendwo geht immer etwas verloren, oder die Übersetzung ist ungenau. Das nennt man eine "Abstraktionslücke". Wenn der echte Automat dann doch einen Fehler macht, liegt es vielleicht nicht am Automaten, sondern an der schlechten Übersetzung.

2. Die Lösung: Der direkte Vergleich (RTL-zu-RTL)

Die Autoren sagen: "Vergessen wir die Übersetzungen!"
Statt eine theoretische Anleitung zu schreiben, bauen sie einen zweiten, perfekten Schokoladenautomaten (ein "Golden Reference Model"). Dieser zweite Automat ist zwar etwas langsamer und nicht für den echten Verkauf gedacht, aber er rechnet mathematisch perfekt nach den Regeln der Welt (IEEE-754).

Dann stellen sie den echten, schnellen Automaten und den perfekten, langsamen Automaten nebeneinander. Ein riesiger mathematischer Prüfer (ein "Formaler Verifizierer") schaut sich jeden einzelnen Zahnrad-Dreh und jeden Schokoladenfluss an und vergleicht: Macht der echte Automat exakt das Gleiche wie der perfekte?

Das ist wie ein Zwillings-Test: Wenn einer der beiden auch nur einen Millimeter abweicht, schreit der Prüfer sofort: "Hier stimmt was nicht!"

3. Die Strategie: Das Puzzle zerlegen (Divide and Conquer)

Ein ganzer Schokoladenautomat ist zu riesig, um ihn auf einmal zu prüfen. Das Gehirn des Prüfers würde explodieren.
Also zerlegen die Autoren den Automaten in kleine, überschaubare Stationen:

1. Die Ausrichtung: Welches Schokoladenstück ist größer?
2. Die Addition: Jetzt wird es gemischt und gerundet.

Sie prüfen jede Station einzeln. Wenn die erste Station passt, prüfen sie die zweite. Das macht die Aufgabe viel einfacher und schneller. Wenn etwas schiefgeht, weiß der Prüfer sofort, an welcher Station der Fehler sitzt, und nicht, wo er im ganzen Gebäude suchen muss.

4. Der neue Held: Die KI-Agenten (Agentic AI)

Hier kommt das wirklich Coolste ins Spiel. Früher mussten Menschen hunderte von Regeln (Assertions) selbst schreiben, um den Prüfer zu instruieren. Das ist mühsam und fehleranfällig.

In dieser Arbeit haben die Autoren eine KI-Gruppe eingesetzt, die wie ein Team von Spezialisten arbeitet:

• Der Planer: Schaut sich die Baupläne an und sagt: "Wir müssen hier aufpassen."
• Der Generator: Schreibt automatisch die Regeln für den Prüfer (in einer Sprache, die der Computer versteht).
• Der Kritiker: Überprüft, ob die Regeln Sinn ergeben.
• Der Korrektor: Behebt Fehler.

Aber die KI ist noch nicht perfekt. Sie macht manchmal Fehler, wie ein Schüler, der die Aufgabe nicht ganz verstanden hat. Deshalb gibt es einen Menschen im Loop (HITL). Das ist wie ein Lehrer, der den Schüler korrigiert: "Nein, das ist nicht ganz richtig, denk nochmal über die Rundung nach."

Das Ergebnis: Die KI schreibt die meisten Regeln, der Mensch gibt nur noch den Feinschliff. Das geht viel schneller, als wenn der Mensch alles von Hand schreiben müsste.

5. Der Stresstest: Was passiert, wenn wir den Automaten kaputt machen?

Um sicherzugehen, dass ihr System wirklich gut ist, haben die Autoren absichtlich Fehler in den echten Automaten eingebaut (Fault Injection).

• "Was passiert, wenn wir das Schokoladenstück falsch herum drehen?"
• "Was, wenn wir die Rundung falsch machen?"

Das System hat alle diese eingebauten Fehler sofort gefunden. Das beweist, dass der Prüfer nicht nur oberflächlich schaut, sondern wirklich tief in die Mechanik hineinsieht.

🏆 Das Fazit in einem Satz

Diese Arbeit zeigt, dass man Computer-Hardware, die komplexe Mathematik macht, am besten prüft, indem man sie direkt mit einem perfekten mathematischen Zwilling vergleicht (ohne Umwege über andere Programmiersprachen) und dabei eine KI als Assistenten nutzt, die die Regeln schreibt, während ein Mensch sie nur noch kurz überprüft. Das macht den Prozess schneller, sicherer und zuverlässiger als alles, was es vorher gab.

Kurz gesagt: Wir haben einen mathematischen Doppelgänger gebaut, um unsere Computer-Chips zu testen, und eine KI geholfen, die Testregeln zu schreiben. So verhindern wir, dass Computerrechnen in Zukunft "verrückt spielt".

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papiers „Formal Verification of Floating Point Arithmetic" auf Deutsch:

Titel: Formale Verifikation von Gleitkomma-Arithmetik: Eine skalierbare RTL-zu-RTL-Methodik mit agenter KI-Unterstützung

Veröffentlichung: 37. IEEE International Conference on Microelectronics (ICM), Dezember 2025, Kairo.
Autoren: Hansa Mohanty, Vaisakh Naduvodi Viswambharan, Deepak Narayan Gadde (Infineon Technologies).

---

1. Problemstellung

Die formale Verifikation von Gleitkomma-Arithmetik (Floating-Point Units, FPUs) stellt eine der anspruchsvollsten Aufgaben im Hardware-Design dar. Die Hauptherausforderungen liegen in:

• Nicht-linearem Verhalten: Die komplexe Interaktion zwischen diskreter Steuerlogik (Control Path) und arithmetischen Datapfaden.
• IEEE-754-Konformität: Strenge Anforderungen an Rundung, Normalisierung, Exponenten-Alignment und den Umgang mit Sonderfällen (z. B. Denormale, Überlauf, Unterlauf).
• Limitationen bestehender Ansätze: Herkömmliche Methoden verlassen sich oft auf C-Modelle auf hoher Abstraktionsebene, die gegen RTL-Designs (Register Transfer Level) geprüft werden. Dies führt zu:
  • Abstraktionslücken (Abstraction Gaps) zwischen Spezifikation und Implementierung.
  • Übersetzungs-Overhead und semantischen Mismatches.
  • Skalierbarkeitsproblemen bei datenpfadintensiven RTL-Designs.

2. Methodik

Das Papier stellt eine skalierbare Methodik vor, die direkte RTL-zu-RTL-Modellprüfung (Model Checking) verwendet, um eine Implementierung gegen ein goldenes Referenzmodell zu verifizieren, ohne auf C-Modelle zurückzugreifen.

Kernkomponenten der Methodik:

• Direkte RTL-zu-RTL-Verifikation: Ein SystemVerilog-Referenzmodell (goldene Referenz) wird direkt mit der zu verifizierenden RTL-Implementierung verglichen. Beide sind bitgenau und IEEE-754-konform.
• Divide-and-Conquer-Strategie (Hierarchische Zerlegung):
  • Der FPU-Addierer wird in modulare Stufen zerlegt: Mantissa-Alignment-Stufe und Add-Round-Stufe.
  • Ein Hauptkorrektheits-Theorem wird durch Zwischen-Lemmas und helper-Assertions bewiesen.
  • Dies reduziert den Cone of Influence (COI), senkt die Beweis-Komplexität und verbessert die Konvergenz.
• CEX-gesteuerte Verfeinerung (Counterexample-Guided): Bei Fehlern (CEX) wird die Implementierung oder die Eigenschaftssammlung iterativ verfeinert, bis der Beweis erfolgreich ist.
• Agente KI für Eigenschaftsgenerierung:
  • Ein Multi-Agent-System (MAS) generiert SystemVerilog-Assertions (SVAs) aus natürlichen Sprachbeschreibungen.
  • Workflow: Ein Lead Agent erstellt einen Plan, ein Property Generation Agent (LLM) erstellt die Assertions, ein Critic Agent prüft die Logik und ein Error Correction Agent behebt Fehler.
  • Human-in-the-Loop (HITL): Expertenfeedback wird integriert, um Mehrdeutigkeiten zu klären und die Assertions zu verfeinern.

3. Schlüsselbeiträge

1. Verzicht auf C-Modelle: Erstmals wird eine vollständige formale Verifikation von Gleitkomma-Datapfaden direkt auf RTL-Ebene gegen ein RTL-Referenzmodell durchgeführt, was Abstraktionslücken eliminiert.
2. Modulare Beweisführung: Durch die Zerlegung in Mantissa-Alignment und Add-Round-Stufen wird die Verifikation handhabbar und fehlerlokalisation wird erleichtert.
3. KI-gestützte Eigenschaftsgenerierung: Integration von LLMs (z. B. GPT-5, Llama 3.3) in den Verifikationsworkflow, unterstützt durch HITL, um Assertions automatisch zu generieren und zu optimieren.
4. Robustheitsanalyse: Systematisches Fault Injection (Fehleinspeisung) zur Validierung der Empfindlichkeit der formalen Eigenschaften gegenüber datenpfadkritischen Fehlern.

4. Ergebnisse und Evaluation

Die Evaluation erfolgte an einem Open-Source Gleitkomma-Addierer (Single Precision) unter Verwendung der Cadence Jasper Formal Verification Platform.

• Fehlererkennung: Die Methodik identifizierte und korrigierte reale Implementierungsfehler, wie falsche Operandenauswahl bei gleichen Exponenten und fehlerhafte Inversionslogik bei der Subtraktion.
• Fault Injection: Alle vier injizierten Fehler in der Mantissa-Alignment-Stufe und alle vier in der Add-Round-Stufe (z. B. Carry-In-Manipulation, Rundungsverletzungen) wurden erfolgreich erkannt.
• Vergleich: Handgeschriebene vs. KI-generierte Assertions (mit Referenzmodell):
  • Handgeschrieben: 2 Assertions, 98,42 % Abdeckung, Beweiszeit 0,073 s.
  • KI (ohne HITL): Benötigte 7–15 Assertions, um ähnliche Abdeckung zu erreichen, mit längeren Beweiszeiten und redundanten Assertions.
  • KI (mit HITL): Nach menschlicher Verfeinerung erreichten alle LLMs (inkl. GPT-5) eine hohe Effizienz. GPT-5 benötigte nur 3 Assertions und 1,318 s, um die Abdeckung zu erreichen.
• Standalone-Verifikation (ohne Referenzmodell):
  • Ohne goldenes Referenzmodell sank die Abdeckung signifikant (z. B. auf ~62–79 % bei LLMs ohne HITL).
  • Viele "unreachable" Cover-Items zeigten, dass LLMs Schwierigkeiten haben, den gültigen Zustandsraum ohne mikroskopische Architektur-Leitlinien einzuschränken.
  • HITL war hier essenziell, um die Abdeckung auf bis zu 92,30 % (GPT-5) zu steigern, indem spezifische Gleitkomma-Regeln (z. B. Sticky-Bit-Propagation) hinzugefügt wurden.

5. Bedeutung und Fazit

Das Papier demonstriert, dass direkte RTL-zu-RTL-Modellprüfung in Kombination mit agenter KI und menschlichem Feedback eine überlegene Strategie für die Verifikation komplexer arithmetischer Datapfade darstellt.

• Effizienz: Die Methode ist effizienter als herkömmliche Standalone-Verifikation oder C-basierte Ansätze, da sie weniger Assertions benötigt und eine höhere Abdeckung bei kürzerer Beweiszeit erreicht.
• Skalierbarkeit: Die hierarchische Zerlegung ermöglicht die Skalierung auf komplexere Einheiten (z. B. Multiplizierer, Dividierer).
• Rolle der KI: KI-Modelle können Assertions effektiv generieren, benötigen jedoch zwingend HITL-Unterstützung, um redundante Logik zu entfernen und architekturspezifische Randbedingungen korrekt abzubilden, insbesondere wenn kein Referenzmodell vorhanden ist.

Diese Arbeit legt einen Grundstein für die nächste Generation skalierbarer, KI-gestützter formaler Verifikation in der Halbleiterindustrie.