1. 论文基本信息

1.1. 标题

MorphQPV: Exploiting Isomorphism in Quantum Programs to Facilitate Confident Verification

1.2. 作者

• Siwei Tan (浙江大学)
• Dabin Xiang (浙江大学)
• Liqiang Lu (浙江大学)
• Junlin Lu (北京大学)
• Qiuping Jiang (宁波大学)
• Mingshuai Chen (浙江大学)
• Jianwei Yin (浙江大学)

1.3. 发表期刊/会议

发表于 ASPLOS '24 (29th ACM International Conference on Architectural Support for Programming Languages and Operating Systems, Volume 3)，会议时间为 2024年4月27日-5月1日，地点在美国加利福尼亚州拉霍亚。

1.4. 发表年份

2024年

1.5. 摘要

与经典计算不同，量子程序验证 (QPV) 更具挑战性，因为量子态在测量后会塌缩且不可复制。现有方法依赖于演绎验证 (deductive verification)，其扩展性 (scalability) 较差。或者，它们需要详尽的断言 (exhaustive assertions)，但无法确保程序对所有输入都正确。本文提出了 MorphQPV，一种基于置信断言 (confident assertion-based) 的验证方法。其核心思想是利用量子程序中的同构性 (isomorphism)，这暗示着程序运行时状态之间存在结构保持关系。在断言语句中，定义了一个 tracepoint pragma (追踪点指令) 来标记被验证的量子态，并定义了一个 assume-guarantee primitive (假设-保证原语) 来指定状态之间的预期关系。然后，利用基于同构的近似 (isomorphism-based approximation) 来表征状态之间的真实关系，这可以有效地获得各种输入下的程序状态，同时避免重复执行。最后，将验证问题转化为一个约束优化问题 (constraint optimization problem)，并结合置信度估计模型 (confidence estimation model) 进行严格分析。实验表明，MorphQPV 在验证 27 量子比特 (qubit) 量子锁算法时，将程序执行次数减少了 107.9 倍，并在调试五个基准测试时，将成功概率提高了 3.3 倍至 9.9 倍。

1.6. 原文链接

/files/papers/6936b57f3183ab0eea09e020/paper.pdf (已正式发表)

2. 整体概括

2.1. 研究背景与动机

2.1.1. 论文试图解决的核心问题

量子程序验证 (QPV) 面临的核心问题是，由于量子力学固有的特性（如量子态的叠加性、纠缠性、不可复制性以及测量导致的塌缩），传统经典程序的验证方法无法直接适用。具体来说：

• 不可复制性 (Non-duplicability) 和测量塌缩 (collapse after measurement): 量子态在被测量后会改变（塌缩），并且无法像经典比特一样简单地复制。这意味着我们不能像调试经典程序那样，在不影响程序执行的情况下探测中间状态。每次探测都需要重复执行程序并进行量子态层析成像 (quantum state tomography)，这带来了巨大的开销。
• 叠加态 (Superposition state) 导致搜索空间爆炸: 量子比特可以同时处于多个状态的叠加态，这使得程序可能存在的 bug (错误) 搜索空间呈指数级增长，远超经典程序。
• 现有 QPV 方法的局限:
  • 演绎验证 (Deductive verification): 依赖于精确的数学公式（如量子霍尔逻辑 quantum Hoare logic），但其计算成本高昂，且需要大量的人工专业知识来识别归纳不变式 (inductive invariants)，自动化程度低，扩展性 (scalability) 差。
  • 运行时断言 (Runtime assertion): 这是一种轻量级的方法，通过测试不同输入下的程序状态来验证预设的断言。然而，这类方法通常只能验证程序在少量测试输入下的行为，无法将验证结果推广到所有可能的输入空间，导致验证的置信度 (confidence) 很低。例如，某些方法每次验证只测试单个输入，bug 可能根本不会被激活。
  • 穷举测试 (Exhaustive testing): 尽管一些工作尝试通过穷举测试大量输入来提高置信度，但这在连续的希尔伯特空间 (Hilbert space) 中是不可行的，会带来天文数字般的程序执行次数。

2.1.2. 为什么这个问题在当前领域是重要的？

随着量子计算技术的快速发展，构建复杂量子程序的需求日益增长。然而，量子程序中 bug 的存在会严重影响其可靠性和正确性。

• 量子软件质量的保障: 量子程序的正确性是其能够发挥超越经典计算能力的前提。缺乏有效的验证工具，开发者难以确保其量子算法的正确实现。
• 调试困难: 量子程序的调试远比经典程序困难。Stack Overflow 上量子程序相关问题的解决率远低于经典程序，凸显了对高级验证工具的迫切需求。
• 降低开发成本: 早期发现和修复 bug 可以显著降低量子软件开发的成本和时间。
• 提高置信度: 现有方法无法提供高置信度的验证结果，使得开发者对量子程序的可靠性缺乏信心。

2.1.3. 这篇论文的切入点或创新思路是什么？

本文的创新点在于：通过利用量子程序中固有的同构性 (isomorphism) 属性，来克服传统 QPV 方法在扩展性、开销和置信度方面的挑战。

• 同构性 (Isomorphism) 的利用: 核心洞察是程序输入和运行时状态之间存在结构保持关系。这意味着我们可以通过少量精心选择的输入来表征 (characterize) 程序的行为，然后将这些表征推广到更广泛的输入空间，而无需对每个输入都重复执行昂贵的量子程序。
• 多态断言 (Multi-state Assertion): 引入新的断言机制，不仅能检查单个状态的属性，还能指定程序中不同时间点状态之间的关系，提供更全面的程序行为描述。
• 基于同构的近似 (Isomorphism-based Approximation): 基于同构性构建近似函数，可以在经典计算机上高效地计算出运行时状态，从而显著减少量子程序的实际执行次数。
• 约束优化与置信度估计: 将验证问题建模为约束优化问题，自动寻找可能违反断言的反例 (counter-examples)。同时，提供一个量化的置信度估计模型，让开发者了解验证结果的可靠性。

2.2. 核心贡献/主要发现

MorphQPV 的主要贡献可以总结为以下几点：

• 多态断言 (Multi-state Assertion) 机制: 提出了一种新的多态断言，用于表征程序中不同时间点量子态之间的关系。这显著增强了程序验证的效率和表达能力。它通过 tracepoint pragma 标记关键状态，并使用 assume-guarantee primitive 定义这些状态之间的预期关系。
• 基于同构的近似技术 (Isomorphism-based Approximation Technique): 创新性地利用量子程序中的同构性，通过少量输入采样 (input sampling) 和量子态层析成像 (quantum state tomography) 来构建近似函数。这些函数能够在不重复执行量子程序的情况下，在经典计算机上高效地近似计算出各种输入下的运行时状态，从而大大降低了验证的计算成本。
• 输入无关的验证方法 (Input-Independent Validation Method): 将断言和近似函数整合为一个约束优化问题。该方法能够自动寻找违反断言的反例，而无需穷举测试所有输入。此外，它还提供了一个置信度估计模型，量化了验证结果对所有输入都有效的概率。
• 显著的性能提升: 实验结果表明，MorphQPV 在实际应用中表现出色：

  • 在验证 27 量子比特量子锁算法时，程序执行次数减少了 107.9 倍，显示出在处理大规模量子程序时的显著效率优势。

  • 在调试五个基准量子算法时，将成功率 (success probability) 提高了 3.3 倍至 9.9 倍，表明其在 bug 检测方面的有效性和可靠性。

    这些贡献共同解决了传统量子程序验证在扩展性、开销和置信度方面的关键挑战，为量子软件的开发和调试提供了强有力的支持。

3. 预备知识与相关工作

3.1. 基础概念

为了理解 MorphQPV 的工作原理，需要了解一些基本的量子计算概念和数学工具。

3.1.1. 量子态 (Quantum State)

在量子计算中，信息存储在量子比特 (qubit) 的量子态中。一个 $n$ 量子比特系统的量子态可以用密度矩阵 (density matrix) $\rho$ 来描述。

• 纯态 (Pure State): 可以用一个态矢量 $|\psi\rangle$ 表示，其密度矩阵为 $\rho = |\psi\rangle\langle\psi|$。纯态表示系统处于一个确定的量子态。
• 混态 (Mixed State): 表示系统以一定概率处于不同的纯态。一个混态的密度矩阵是纯态密度矩阵的线性组合： $$\rho = \sum_{i} p_{i} |\psi_{i}\rangle \langle \psi_{i}|$$
  • 符号解释：
    • $\rho$: 密度矩阵 (density matrix)，描述量子系统的状态。
    • $p_{i}$: 概率 (probability)，表示系统处于纯态 $|\psi_i\rangle$ 的概率，满足 $p_i \ge 0$ 且 $\sum_i p_i = 1$。
    • $|\psi_{i}\rangle$: 第 $i$ 个纯态 (pure state) 的态矢量 (state vector)。
    • $\langle \psi_{i}|$: 态矢量 $|\psi_{i}\rangle$ 的共轭转置 (conjugate transpose)，也称为对偶矢量 (dual vector)。
    • $|\psi_{i}\rangle \langle \psi_{i}|$: 表示纯态 $|\psi_{i}\rangle$ 的密度矩阵。 所有量子态的性质都可以通过其密度矩阵进行分析。例如，如果 $\rho$ 是纯态，则 $\rho^2 = \rho$（即 $\rho$ 是幂等的），或等价地，$\mathrm{tr}(\rho^2) = 1$。

3.1.2. 量子演化 (Quantum Evolution)

量子程序的核心是量子态的演化，这通常通过应用一系列量子门 (quantum gates) 实现。在数学上，一个量子门是一个酉矩阵 (unitary matrix) $U$。

• 对于一个密度矩阵 $\rho$ 描述的量子态，在应用酉矩阵 $U$ 后，其演化为新的密度矩阵 $\rho^{\prime}$： $$\rho^{\prime} = U \rho U^{\dagger} \quad (1)$$
  • 符号解释：
    • $\rho$: 初始量子态的密度矩阵。
    • $\rho^{\prime}$: 演化后的量子态的密度矩阵。
    • $U$: 酉矩阵 (unitary matrix)，代表量子门或一系列量子门的组合。酉矩阵满足 $U U^{\dagger} = U^{\dagger} U = I$，其中 $I$ 是单位矩阵，$U^{\dagger}$ 是 $U$ 的共轭转置。
    • $U^{\dagger}$: $U$ 的共轭转置 (conjugate transpose)，即将矩阵转置并对其每个元素取复共轭。

3.1.3. 量子测量 (Quantum Measurement)

量子测量是唯一能从量子比特中提取信息到经典计算机的操作。投影测量 (Projective measurement) 是一类常见的测量，由一组满足 $\sum_{O\in \{O\}}O^\dagger O = I$ 的算符 $\{O\}$ 执行。

• 测量量子态 $\rho$ 在算符 $O$ 上的期望值 (expectation) 为： $$\mathbb{E}_O[\rho ] = \mathrm{tr}(O\rho), \quad (2)$$
  • 符号解释：
    • $\mathbb{E}_O[\rho ]$: 量子态 $\rho$ 在算符 $O$ 上的期望值。
    • $\mathrm{tr}(\cdot)$: 矩阵的迹 (trace) 运算，即矩阵对角线元素的和。
    • $O$: 测量算符 (measurement operator)。
    • $\rho$: 量子态的密度矩阵。
• 测量过程会将状态 $\rho$ 演化为新的状态 $\rho^{\prime}$： $$\rho^{\prime} = \frac{O\rho O^{\dagger}}{\mathbb{E}_{O}[\rho ]}. \quad (3)$$
  • 符号解释：
    • $\rho^{\prime}$: 测量后塌缩的量子态的密度矩阵。
    • $O, \rho, O^{\dagger}, \mathbb{E}_{O}[\rho ]$: 定义与公式 (2) 相同。
    • 这个过程体现了量子测量的非破坏性 (non-destructive) 和不可复制性 (non-duplicability) 特征，因为测量会改变（塌缩）量子态，并且测量结果具有概率性。

3.1.4. 同构性 (Isomorphism)

• 数学定义: 在数学中，同构 (isomorphism) 定义为两个相同类型的空间之间的一种结构保持映射 (structure-preserving mapping)，并且这种映射可以通过逆映射 (inverse mapping) 回溯。例如，从 $\mathbb{R}_x$ 到 $\mathbb{R}_y$ 的映射 $x+1=y$ 是同构的，因为存在逆映射 $x=y-1$。
• 线性同构 (Linear Isomorphism): 当映射由可逆矩阵 (reversible matrices) 指定时，称为线性同构。量子演化是同构的，因为量子算符（如酉矩阵 $U$）是可逆的 ($U^{-1} = U^{\dagger}$)，测量算符 $O$ 在某些情况下也是可逆的 ($O^{-1} = O^{\dagger}$)。
• 线性同构的性质: 一个线性同构 $f$ 满足加性 (additivity) 和齐次性 (homogeneity)：
  • 加性 (Additivity): $f(u+v) = f(u) + f(v)$
  • 齐次性 (Homogeneity): $f(cu) = c f(u)$
  • 其中 $c$ 是常数，$u$ 和 $v$ 是同构 $f$ 输入空间中的元素。基于这些性质，以下等式成立： $$f(\sum_{k}c_{i}u_{i}) = \sum_{i}c_{i}f(u_{i}). \quad (4)$$
    • 符号解释：
      • $f$: 线性同构映射。
      • $c_i$: 常数。
      • $u_i$: 输入空间中的元素。 这个性质是 MorphQPV 能够利用少量采样输入来近似整个输入空间行为的关键。

3.2. 前人工作

本部分总结了论文中提及的关键先前研究，并补充了必要的背景知识。

3.2.1. 量子程序验证 (QPV) 方法

QPV 主要分为两大类：演绎验证和运行时断言。

• 演绎验证 (Deductive Verification):

  • 方法: 依赖于对程序行为的精确形式化描述，例如量子霍尔逻辑 (quantum Hoare logic) [52, 54, 55, 57] 或语义模型 (semantic model) [34]。通过将正确性编译成一组验证条件 (verification conditions)，并通过经典计算机来证明这些条件。
  • 挑战:
    • 计算成本: 验证条件的推导和证明通常需要巨大的计算资源。
    • 人工专业知识: 需要人类专家来识别归纳不变式 (inductive invariants)，这限制了自动化水平。
    • 扩展性差 (Poor scalability): 随着量子程序复杂性的增加，演绎验证的难度和开销呈指数级增长。
    • 代表工作:
      • 量子霍尔逻辑 (Quantum Hoare Logic) [57]: 将经典霍尔逻辑扩展到量子程序，使用前置条件和后置条件来推断程序正确性。
      • Twist [55]: 一种演绎验证方法，侧重于量子程序的纯度 (purity) 和纠缠 (entanglement) 特性。
      • NKA [34]: 通过非幂等克林代数 (non-idempotent Kleene algebra) 对量子程序进行代数推理。

• 运行时断言 (Runtime Assertion):

  • 方法: 一种轻量级的方法，通过在程序运行时检查特定状态的属性（谓词）来验证程序。如果谓词不满足，则认为程序有 bug。
  • 挑战:
    • 置信度低 (Low confidence): 现有方法通常只能在少量测试输入下验证断言，无法将验证结果推广到整个输入空间，导致对程序整体正确性的置信度不高。
    • 输入相关性: 需要为不同的输入重新声明断言。
    • 探测局限性: 由于量子测量的限制，只能探测有限的状态特征。
    • 代表工作:
      • Stat [20]: 基于统计分析的断言，检查程序状态的概率分布 (probability distribution)。
      • Proj [27]: 基于投影测量的断言，通过插入电路块来检查运行时状态是否在指定的态集内。
      • NDD [28, 29]: 基于非破坏性判别 (non-destructive discrimination) 的断言，也通过电路块检查状态是否属于某个态集。
      • SR [13]: 符号推理 (symbolic reasoning) 方法，可以验证非确定性量子程序。

3.2.2. 测试输入生成与 bug 发现

• 方法: 旨在通过生成多样化的输入来提高 bug 发现率或验证置信度。
• 挑战:
  • 输入空间爆炸: 量子程序的输入空间巨大，尤其是对于连续希尔伯特空间，穷举测试不可行。
  • 效率低下: 生成和测试大量输入会导致巨大的开销。
• 代表工作:
  • Quito [47]: 一种覆盖引导的测试生成器 (coverage-guided test generator)，通过网格搜索 (grid search) 遍历输入空间。例如，验证一个 11 量子比特的 QRAM 程序需要 $4.8 \times 10^6$ 次程序执行。
  • Fuzz [46]: 量子程序的模糊测试 (fuzz testing) 方法，随机生成输入以发现 bug。

3.3. 差异化分析

MorphQPV 与上述相关工作相比，主要在以下几个方面展现出核心区别和创新点：

• 断言表达能力:

  • 现有工作 [13, 27-29, 47]: 大多数现有断言方法局限于检查单个程序状态的属性，或只能判断状态是否属于某个预设的态集。它们难以表达程序中不同时间点状态之间的复杂关系，也无法进行“大于”或“小于”这类比较。对于不同输入，需要重复声明断言。
  • MorphQPV: 引入了 multi-state assertion 和 assume-guarantee primitive。它不仅可以检查单个状态的属性，更关键的是能够指定程序中不同时间点状态之间的“关系”（例如，输入状态与输出状态应相等，或具有特定的相位差）。通过将断言表达为经典函数，并能获得经典计算机上的密度矩阵，MorphQPV 支持更复杂的比较类型和更丰富的状态关系描述，且其断言是输入无关的。

• 程序表征 (Characterization) 方式与效率:

  • 现有工作 [27, 29, 47]: 这些方法在验证每个输入时，通常需要重复执行量子程序并进行量子态层析成像 (quantum state tomography)，或者执行特定的电路块来探测状态。这在面对大量输入时会导致巨大的计算开销，尤其是在量子硬件上执行时。
  • MorphQPV: 利用量子程序的同构性，提出了一种基于同构的近似技术。通过对少量精心选择的输入进行采样和层析成像，MorphQPV 构建了近似函数，可以在经典计算机上高效地推断（近似）出任意输入下的程序运行时状态。这显著减少了对量子硬件的依赖和程序执行次数，将高昂的量子操作转移到更廉价的经典计算中。

• 验证置信度与泛化能力:

  • 现有工作 [1, 13, 27-29, 46, 47, 55]: 现有的运行时断言方法通常只能验证程序在测试输入子集上的正确性，而不能泛化到整个输入空间。即使是穷举测试的方法，在面对连续的输入空间时也显得力不从心，导致验证置信度较低，无法保证程序对所有输入都正确。
  • MorphQPV: 将验证问题转化为一个约束优化问题，通过全局搜索来验证断言，而非简单地测试单个输入。这种方法能够识别出整个输入空间中可能存在的反例。更重要的是，MorphQPV 引入了一个置信度估计模型，能够量化验证结果对所有输入都有效的概率，为开发者提供了对程序可靠性的量化评估。

• 对非确定性 (Nondeterministic) 和反馈程序的支持:

  • 现有工作 [20, 27, 29]: 对于包含中间测量 (mid-measurement) 或反馈 (feedback) 的非确定性程序，通常需要为不同的测量结果重新定义谓词。
  • MorphQPV: 其近似模型在数学上被证明适用于包含中间测量和简单反馈的程序。assume-guarantee assertion 也可以通过断言测量后的状态来验证不同条件下的程序执行。

• 错误诊断与可解释性:

  • 现有工作 [27, 29]: 当断言失败时，这些方法通常不提供或提供很少的错误信息。

  • MorphQPV: 当程序存在 bug 时，约束优化问题能够输出导致 bug 的具体反例 (counter-example) 和程序中间状态的密度矩阵，大大提高了错误诊断的可解释性 (interpretability)。

    综上所述，MorphQPV 的核心创新在于，通过巧妙地利用量子程序的同构性，构建了一个能够在经典计算机上高效近似量子行为的框架，从而在保持高验证置信度的同时，显著降低了量子程序的执行开销，并提供了更强大的断言表达能力和错误诊断能力。

4. 方法论

MorphQPV 提出了一个三步验证流程，旨在克服传统量子程序验证在扩展性、开销和置信度方面的挑战。其核心在于利用量子程序中输入与运行时状态之间的同构性。

4.1. 方法原理

MorphQPV 的核心思想是利用量子程序中输入态和程序运行时内部态之间的同构性 (isomorphism)，即一种结构保持关系。这意味着如果程序是正确的，那么当输入态以某种方式变化时，内部态也会以一种可预测的、结构保持的方式变化。传统的量子程序验证方法需要对大量不同的输入进行昂贵的量子程序执行来探测其内部状态。MorphQPV 则通过少数精心选择的输入进行真实执行和状态层析成像 (state tomography) 来“学习”这种同构关系，然后构建一个近似函数。这个近似函数可以在经典计算机上，根据任意输入高效地预测程序内部状态，从而避免了对每个新输入都进行重复的量子程序执行。最后，将预期的程序行为（通过断言定义）和学习到的近似函数结合起来，转化为一个约束优化问题，以全局搜索可能存在的 bug，并提供验证结果的置信度。

4.2. 验证流程

Figure 3 概述了 MorphQPV 的验证工作流，包含三个主要步骤。

4.2.1. 断言语句 (Assertion Statement)

目标： 提供对程序行为的全面描述，特别关注不同输入下状态之间的关系。

1. 标记程序状态 (Labeling States):

   • 通过在量子程序代码中注入 tracepoint pragma (追踪点指令) 来标记程序中特定时间点和量子比特集上的状态。
   • 一个追踪点 $T_{i}$ 被定义为： $$T_{i} \equiv (\{Q_{i}\},time_{i}), Q_{i} \in Q, \quad (5)$$
     • 符号解释：
       • $T_{i}$: 第 $i$ 个追踪点。
       • $\{Q_{i}\}$: 在该追踪点被标记的量子比特集合 (set of qubits)。
       • $Q$: 量子程序的总量子比特集合。
       • $time_{i}$: 获得量子比特 $Q_i$ 的密度矩阵 $\rho_{T_i}$ 的时间点。
   • 追踪点以 pragma 形式声明，例如在 QASM 语言中为 "T index q[qubits]"。例如，7 T 2 q[1]; 表示在第 7 行代码处，在量子比特 1 上添加追踪点 $T_2$。

2. 定义假设-保证断言 (Assume-Guarantee Assertion):

   • 断言使用经典谓词 (classical predicates) 来表达追踪点状态的范围以及它们之间的关系。
   • 定义 1 (假设-保证断言): 一个假设-保证断言被定义为： $$assert(T_i,T_j) \equiv assume:P_1(\rho_{T_i}), P_2(\rho_{T_j}), \\ \text{guarantee}: P_3(\rho_{T_i},\rho_{T_j}), \quad (6)$$
     • 符号解释：
       • $assert(T_i, T_j)$: 声明一个关于追踪点 $T_i$ 和 $T_j$ 的断言。
       • $\rho_{T_i}, \rho_{T_j}$: 在追踪点 $T_i$ 和 $T_j$ 处的密度矩阵。
       • $P_k$: 谓词 (predicate)，是一个不等式 (inequality) 或目标函数 (objective function)。当谓词为真时，满足 $P_k \le 0$。
       • assume: 假设条件，定义了被验证的输入空间或中间状态的特征。
       • guarantee: 保证条件，指定了在 assume 条件满足时，程序应满足的期望行为。
   • 断言失败条件： 如果某个输入满足 $P_1$ 和 $P_2$ 但违反 $P_3$，则断言失败。
   • 断言位置的选择：
     • 已知状态信息的点：例如子程序的开始或结束。
     • 功能关键或易出错区域：帮助理解程序功能或怀疑存在问题的区域。
   • 优势： 这种断言机制受到经典 assume-guarantee 断言的启发，适用于量子程序的并行特性。与仅限于单个状态的经典断言不同，MorphQPV 的断言可以描述多个状态之间的关系，并且其假设部分可以过滤输入空间，减少验证开销，尤其适用于包含中间测量的程序。

3. 量子隐形传态 (Quantum Teleportation) 示例 (Figure 3):

   • 目标：验证量子隐形传态程序将 $q_{\mathrm{alice}}$ 的输入状态传输到 $q_{\mathrm{bob}}$ 的输出状态。
   • 追踪点：$T_1 = (\{q_{\mathrm{alice}}\}, 1)$ 标记输入状态，$T_2 = (\{q_{\mathrm{bob}}\}, 10)$ 标记输出状态。
   • 断言示例：
     • 验证输入纯态时输入输出相等： $$\mathrm{assume:}P_{1}(\rho_{\mathrm{T_1}}) = \lVert\rho_{\mathrm{T_1}}\rho_{\mathrm{T_1}}^{\dagger} - \rho_{\mathrm{T_1}}\rVert, \\ \qquad \text{when } \rho_{\mathrm{T_1}} \text{ is pure}, \\ \mathrm{guarantee:}P_{3}(\rho_{\mathrm{T_{1}}},\rho_{\mathrm{T_{2}}}) = \lVert\rho_{\mathrm{T_{1}}} - \rho_{\mathrm{T_{2}}}\rVert,$$
       • 符号解释：
         • $\rho_{\mathrm{T_1}}$: 追踪点 $T_1$ 处量子比特 $q_{\mathrm{alice}}$ 的密度矩阵（输入状态）。
         • $\rho_{\mathrm{T_2}}$: 追踪点 $T_2$ 处量子比特 $q_{\mathrm{bob}}$ 的密度矩阵（输出状态）。
         • $\|\cdot\|$: L2 范数 (L2 norm)。
         • $\rho_{\mathrm{T_1}}\rho_{\mathrm{T_1}}^{\dagger} - \rho_{\mathrm{T_1}}$: 当 $\rho_{\mathrm{T_1}}$ 为纯态时，此项为 0。因此，$P_1(\rho_{\mathrm{T_1}}) \le 0$ 意味着 $\rho_{\mathrm{T_1}}$ 是纯态。
         • $\rho_{\mathrm{T_{1}}} - \rho_{\mathrm{T_{2}}}$: 期望输入状态与输出状态相等，因此此项应为 0。
     • 验证反馈情况下的相位关系 (公式 7):
       • 例如，在时间点 8，当 $q_{\mathrm{alice}}$ 测量为 1 时，验证 $q_{\mathrm{bob}}$ 的状态与输入状态有 $\pi$ 的相位差。
       • 追踪点：$T_3 = (\{q_{\mathrm{alice}}\}, 8)$ 和 $T_4 = (\{q_{\mathrm{bob}}\}, 8)$。
       • 断言： $$\mathrm{assume:}P_1(\rho_{\mathrm{T_3}}) = \| L_{T_3} - |1\rangle\langle 1| \| , \\ \qquad \mathrm{when} q_{\mathrm{alice}} \mathrm{is} \mathrm{measured} 1, \\ \mathrm{guarantee:}\: P_3(\rho_{\mathrm{T_3}},\rho_{\mathrm{T_4}}) = \| \mathrm{tr}(\rho_{\mathrm{T_4}}^\dagger \rho_{\mathrm{in}})\cdot \mathrm{phase} - \pi \| .$$
         • 符号解释：
           • $L_{T_3}$: 在 $T_3$ 处的测量结果（表示 $q_{\mathrm{alice}}$ 被测量为 $|1\rangle$）。
           • $|1\rangle\langle 1|$: 纯态 $|1\rangle$ 的密度矩阵。因此，$P_1(\rho_{\mathrm{T_3}}) \le 0$ 意味着 $q_{\mathrm{alice}}$ 测量结果为 1。
           • $\mathrm{tr}(\rho_{\mathrm{T_4}}^\dagger \rho_{\mathrm{in}})$: 用于提取 $\rho_{\mathrm{T_4}}$ 相对于 $\rho_{\mathrm{in}}$ 的相位信息。
           • $\mathrm{phase}$: 提取出的相位。
           • $\pi$: 圆周率。
           • 此断言确保在 $q_{\mathrm{alice}}$ 测量为 1 的条件下，Bob 的量子比特状态 $\rho_{\mathrm{T_4}}$ 与原始输入状态 $\rho_{\mathrm{in}}$ 具有 $\pi$ 的相位差。

4.2.2. 程序表征 (Program Characterization)

目标： 建立输入态 $\rho_{\mathrm{in}}$ 与追踪点状态 $\rho_{\mathrm{T}_i}$ 之间的自然关系，表示为近似函数 $\rho_{\mathrm{T}_i} = f(\rho_{\mathrm{in}})$。

1. 输入采样 (Input Sampling):

   • 过程： 运行程序，对追踪点状态进行量子态层析成像 (tomography)。
   • 输入设计： 采样的输入必须精心设计，以确保高表征准确度。它们应该相互正交 (orthogonal)，覆盖更多的本征态 (eigenstates)，并易于制备。
   • 选择： 使用正交 Clifford 群 (orthogonal Clifford group) 的电路来制备输入，因为它们在表示叠加和纠缠方面比基态 (basis states) 更具表达力。
   • 结果： 记录 $N_{\text{sample}}$ 个输入-追踪点状态对 $\langle \sigma_{\mathrm{in},i}, \sigma_{T,i} \rangle$。
   • $N_{\text{sample}}$ 的确定： 采样的输入数量 $N_{\text{sample}}$ 根据预期的近似准确度预先确定。

2. 基于同构的近似 (Isomorphism-based Approximation):

   • 核心原理： 利用量子演化是同构的性质（见 3.1.4 节），即具有加性 (additivity) 和齐次性 (homogeneity)。
   • 关系推导： 如果输入 $\rho_{\mathrm{in}}$ 可以表示为采样输入 $\sigma_{\mathrm{in},i}$ 的线性组合： $$\rho_{\mathrm{in}} = \sum_{i}\alpha_{i}\sigma_{\mathrm{in},i}. \quad (8)$$
     • 符号解释：
       • $\rho_{\mathrm{in}}$: 待近似的输入量子态密度矩阵。
       • $\alpha_{i}$: 实数值参数，表示 $\rho_{\mathrm{in}}$ 在 $\sigma_{\mathrm{in},i}$ 上的“权重”。数学上，$\alpha_i$ 等于输入 $\rho_{\mathrm{in}}$ 在采样输入 $\sigma_{\mathrm{in},i}$ 上的期望值 $\mathbb{E}_{\sigma_{\mathrm{in},i}}(\rho_{\mathrm{in}})$。
       • $\sigma_{\mathrm{in},i}$: 第 $i$ 个采样输入密度矩阵。 那么，在相同输入下的追踪点状态 $\rho_{\mathrm{T}}$ 可以由对应的采样追踪点状态 $\sigma_{\mathrm{T},i}$ 的线性组合准确计算： $$\rho_{\mathrm{T}} = \sum_{i}\alpha_{i}\sigma_{\mathrm{T},i}. \quad (9)$$
     • 符号解释：
       • $\rho_{\mathrm{T}}$: 对应的追踪点量子态密度矩阵。
       • $\alpha_{i}$: 同公式 (8) 中的参数。
       • $\sigma_{\mathrm{T},i}$: 与采样输入 $\sigma_{\mathrm{in},i}$ 对应的真实追踪点状态密度矩阵，通过实际程序执行获得。 证明 (定理 1): 该近似函数 $\rho_{\mathrm{T}} = f(\rho_{\mathrm{in}})$ 是真实关系 $F$ 的下近似。即使程序中存在非重叠量子比特、中间测量或简单反馈（导致关系不是严格的酉演化），由于相关算符的线性性质，该近似也成立。
     • 示例 (Figure 4): 对于一个单量子比特程序，通过三个正交采样输入（例如 Bloch 球的 x, y, z 轴上的状态）及其对应的追踪点状态，可以近似任何输入状态下的追踪点状态。
   • 计算效率： 近似函数的计算复杂度是线性的，只需简单的求和运算，远低于模拟（指数级）和实际量子程序执行（需要状态层析成像）。

3. 近似准确度 (Approximation Accuracy):

   • 定理 2 (Approximation accuracy):
     1. 精确表示的输入： 对于能够被公式 (8) 精确表示的输入，近似准确度为 100%。
     2. 不能精确表示的输入： 对于具有无法被公式 (8) 表示的本征态 (eigenstates) 的输入，平均准确度为 $N_{\mathrm{sample}} / 2^{N_{\mathrm{in}}+1} \times 100\%$。
     • 符号解释：
       • $N_{\mathrm{sample}}$: 采样输入数量。
       • $N_{\mathrm{in}}$: 输入量子比特数量。
   • 含义： 准确度由采样的输入无法表示的空间造成。增加采样输入数量 $N_{\mathrm{sample}}$ 可以指数级增加精确表示输入的空间，并线性提高第二种情况的准确度。

4. 采样空间剪枝 (Pruning the Sample Space): 提高效率和准确度。

   • Strategy-adapt (自适应策略): 对程序输入空间进行特征分解 (eigendecomposition)，仅使用具有较大特征值 (large eigenvalues) 的特征向量作为采样输入，减少采样数量。例如，在验证量子神经网络时，可以使用训练数据集中具有大特征值的顶层特征向量。
   • Strategy-const (常数策略): 将部分输入量子比特的状态设置为常数，从而减少需要采样的输入空间大小。例如，对于量子加法器，可以固定一个输入，只验证另一个输入的变化。
   • Strategy-prop (属性策略): 如果断言只检查状态的特定属性（如概率分布、期望值、纯度），而不是整个密度矩阵，则可以只测量这些特定属性，从而简化层析成像的复杂度。

4.2.3. 断言验证 (Assertion Validation)

目标： 验证程序中表征的关系是否满足断言中定义的期望约束，并提供置信度估计。

1. 约束优化 (Constraint Optimization):

   • 将断言谓词和近似函数整合为一个约束优化问题。
   • 对于断言 $assert(T_1,T_2)$，验证转化为： $$\underset {\rho_{T_1},\rho_{T_2}}{\mathrm{maximize}} P_3(\rho_{T_1},\rho_{T_2}), \\ \mathrm{subject~to} P_1(\rho_{T_1})\le 0,\\ P_2(\rho_{T_2})\le 0, \quad (10)$$
     • 符号解释：
       • $P_3(\rho_{T_1},\rho_{T_2})$: 保证条件的目标函数，希望其最大值尽可能小（理想情况 $\le 0$）。
       • $P_1(\rho_{T_1})\le 0, P_2(\rho_{T_2})\le 0$: 假设条件，作为优化问题的约束。
   • 将追踪点状态替换为它们的近似函数（即 $\rho_{T_1} = f_1(\rho_{\mathrm{in}})$ 和 $\rho_{T_2} = f_2(\rho_{\mathrm{in}})$）： $$\underset{\rho_{\mathrm{in}}}{\mathrm{maximize}} P_3(f_1(\rho_{\mathrm{in}}),f_2(\rho_{\mathrm{in}})), \\ \mathrm{subject~to} P_1(f_1(\rho_{\mathrm{in}}))\le 0, \\ P_2(f_2(\rho_{\mathrm{in}}))\le 0.$$
     • 符号解释：
       • $\rho_{\mathrm{in}}$: 输入密度矩阵。
       • $f_1(\rho_{\mathrm{in}}), f_2(\rho_{\mathrm{in}})$: 分别将输入 $\rho_{\mathrm{in}}$ 映射到追踪点 $T_1$ 和 $T_2$ 的近似函数。
       • 优化目标：在满足假设条件的前提下，最大化保证条件的目标函数 $P_3$。
   • 验证结果判断：
     • 如果最大值 $\max \{P_3(\{\alpha \})\} \le 0$，则断言为真 (true)，程序在该方面正确。
     • 如果最大值 $\max \{P_3(\{\alpha \})\} > 0$，则断言为假 (false)，程序存在 bug。此时，导致该最大值的输入 $\rho_{\mathrm{in}}$（由参数 $\{\alpha_i\}$ 确定）就是反例 (counter-example)。
   • 求解器： 可以使用随机梯度下降 (stochastic gradient descent) [56]、遗传算法 (genetic algorithm) [24] 或二次规划 (quadratic programming) [51] 等求解器。

2. 置信度估计 (Confidence Estimation):

   • 目的： 量化验证结果对所有输入都有效的概率，解决近似引入的不确定性。
   • 影响因素： 近似准确度 (approximation accuracy) 和识别反例的准确度阈值 $\epsilon$。
   • 假设： 近似准确度服从 Beta 分布 $B(\beta_{1}, \beta_{2})$。参数 $\beta_{1}$ 和 $\beta_{2}$ 由采样数量 $N_{\mathrm{sample}}$ 和输入量子比特数量 $N_{\mathrm{in}}$ 决定，且 $\frac{\beta_{1}}{\beta_{1} + \beta_{2}} = \frac{N_{\mathrm{sample}}}{2^{N_{\mathrm{in}} + 1}}$ (对应定理 2 的平均准确度)。
   • 定理 3 (Confidence): 当验证没有发现反例时，程序正确的置信度为： $$\mathrm{confidence} = 1 - P(\mathrm{acc}< \epsilon). \quad (11)$$ 其中，$P(\mathrm{acc}< \epsilon) = \int_{0}^{\epsilon}B(x;\beta_{1},\beta_{2})dx$。
     • 符号解释：
       • $\mathrm{confidence}$: 验证结果对所有输入都有效的概率。
       • $\mathrm{acc}$: 近似准确度 (approximation accuracy)。
       • $\epsilon$: 识别反例的准确度阈值 (accuracy threshold)，即低于此准确度的错误可能无法被识别。
       • $P(\mathrm{acc}< \epsilon)$: 近似准确度低于阈值 $\epsilon$ 的概率，表示未被识别的反例存在的概率。
       • $B(x;\beta_{1},\beta_{2})$: Beta 分布的概率密度函数。
       • $\beta_{1}, \beta_{2}$: Beta 分布的形状参数。
   • 实际情况： 考虑到一个错误程序通常有多个反例，实际置信度会更高（因为需要所有反例的准确度都低于阈值才不被发现）。因此，公式 (11) 提供的是置信度的下界估计。

3. MorphQPV 复杂度 (Complexity):

   • 输入采样 (Input Sampling): 每个追踪点的状态层析成像复杂度为 $O(e^{N_T})$ (其中 $N_T$ 为追踪点涉及的量子比特数)。进行 $N_{\mathrm{sample}}$ 次输入采样的总复杂度为 $O(N_{\mathrm{sample}} \cdot e^{N_T})$。

   • 断言验证 (Assertion Validation): 优化问题有 $N_{\mathrm{sample}}$ 个参数。如果使用二次规划 (quadratic programming)，需要 $O(N_{\mathrm{sample}}^3)$ 次迭代来找到全局最大值。

   • 总体： 达到 100% 置信度需要 $2^{N_{\mathrm{in}} + 1}$ 个采样输入。表征的复杂度由 $N_{\mathrm{in}}$ 和追踪点量子比特数决定；验证的复杂度由 $N_{\mathrm{sample}}$ 决定。

     Figure 2. Overview of MorphQPV.

     该图像是一个示意图，展示了MorphQPV中量子程序的验证过程。左侧展示量子程序代码，右侧分为两步，第一步是通过假设和保证语句定义期望状态之间的关系，第二步则通过等价性确认状态之间的真实关系。

Figure 3. Example of assertions in quantum teleportation.

该图像是一个示意图，展示了量子程序中 $q_{alice}$ 和 $q_{bob}$ 两个量子比特的量子态操作流程以及相应的断言。图中标注了两个断言条件：第一个表示 $T_1$ 和 $T_2$ 的状态被断言为相等；第二个表示 $T_1$ 和 $T_4$ 的状态在测量 $q_{alice}$ 为 1 时被断言为具有相位差 $θ$。

Figure 4. Visual example of the approximation in a single-qubit program.

该图像是一个示意图，展示了量子程序中的输入采样和近似过程。图中展示了Clifford群的输入状态及其对应的参数近似关系，其中公式 $\rho_{T} = \alpha_{1}\sigma_{T,1} + \alpha_{2}\sigma_{T,2} + \alpha_{3}\sigma_{T,3}$ 表达了输入状态与近似状态的关系。

5. 实验设置

5.1. 数据集

论文使用以下五种量子算法作为基准测试 (benchmarks) 进行评估，这些程序在传统断言工作中不常被讨论，因为它们需要对错误输入进行搜索或进行复杂的中间状态比较。

• 量子锁 (Quantum Lock, QL) [30]:
  • 特点: 一种编码密钥的程序，只有当输入与密钥匹配时才输出 $|1\rangle$，否则输出 $|0\rangle$。在许多量子算法中用作相位回馈模块 (phase kickback module)。
  • 挑战: 错误通常是一个意外密钥 (unexpected key) 导致程序在错误输入下也输出 $|1\rangle$。这种 bug 难以通过少量测试输入发现，需要搜索特定的错误输入。
• 量子神经网络 (Quantum Neural Network, QNN) [23]:
  • 特点: 用于分类任务，例如 Iris 花卉物种分类。程序包含编码器和参数化门层。
  • 数据样本: Iris 数据集，包含 100 朵花，每朵有 4 个属性（如花瓣宽度）和 2 种物种（如 Setosa 和 Virginia）。
  • 挑战: 验证门剪枝 (gate pruning) 后模型的行为是否保持一致，或验证模型是否符合特定的先验知识 (prior knowledge)。
• 量子随机存取存储器 (Quantum Random Access Memory, QRAM) [14]:
  • 特点: 量子应用程序中的基本组件，允许基于地址访问数据。存储信息为值 $\theta_i \in [0, 2\pi]$，对应地址 $i$。
  • 挑战: 输入空间包含所有叠加态 (superposition states)，遍历整个空间是不可能的。需要高效地验证数据并识别错误地址。
• 量子纠错 (Quantum Error Correction, QEC) [37]:
  • 特点: 用于保护量子信息免受噪声影响。
• 交叉熵基准测试 (Cross Entropy Benchmarking, XEB) [2]:
  • 特点: 一种评估量子处理器性能的方法。
• Shor 算法 [9]:
  • 特点: 一种用于大数分解的量子算法。

5.2. 评估指标

论文使用了多个指标来评估 MorphQPV 的性能和有效性：

5.2.1. 程序执行次数 (Number of Program Executions)

• 概念定义: 指在量子硬件或模拟器上实际运行量子程序的总次数。在量子程序验证中，由于测量的破坏性，每次需要探测状态时通常都需要重复执行程序。
• 数学公式: 无特定数学公式，是直接计数值。
• 符号解释:
  • #executions: 程序执行的总次数。
  • 该指标衡量验证方法的效率，越少越好。

5.2.2. 成功率 (Success Rate)

• 概念定义: 定义为验证结果对所有输入都正确的概率。在 bug 调试场景中，指方法能够成功识别出程序中存在的 bug 的概率。
• 数学公式: 无特定数学公式，通常通过多次实验（例如，使用变异测试生成多个带 bug 的程序）来统计成功识别 bug 的比例。
• 符号解释:
  • Success rate (%): 成功识别 bug 的百分比。
  • 该指标衡量验证方法的有效性，越高越好。

5.2.3. 开销 (Overhead)

• 概念定义: 指为了验证程序而引入的额外计算资源，主要体现在量子操作的数量上。对于运行时断言，这包括为探测状态而插入的额外门和测量操作。
• 数学公式: 无特定数学公式，通常以量子操作的数量或等效时间来衡量。论文中以 $10^3$ 量子操作为单位。
• 符号解释:
  • Overhead (10^3operations): 验证过程中引入的量子操作数量（以千为单位）。
  • 该指标衡量验证方法的资源消耗，越少越好。

5.2.4. 近似准确度 (Approximation Accuracy)

• 概念定义: 衡量 MorphQPV 通过近似函数计算出的追踪点状态与程序实际执行得到的真实追踪点状态之间的相似程度。
• 数学公式: 使用 Hilbert-Schmidt 内积 (Hilbert-Schmidt inner product) 来衡量： $$\mathrm{acc} = \mathrm{tr}(\sqrt{\rho_{\mathrm{approx}}\rho_{\mathrm{truth}}})^2$$
  • 符号解释：
    • $\mathrm{acc}$: 近似准确度 (approximation accuracy)，取值范围通常在 [0, 1]。
    • $\mathrm{tr}(\cdot)$: 矩阵的迹 (trace) 运算。
    • $\sqrt{A}$: 矩阵 $A$ 的平方根。
    • $\rho_{\mathrm{approx}}$: MorphQPV 的近似函数计算出的密度矩阵。
    • $\rho_{\mathrm{truth}}$: 通过实际量子程序执行和量子态层析成像获得的真实密度矩阵。
  • 该指标衡量近似函数的精确性，越高越好。当两个状态完全相同时，$acc = 1$。

5.2.5. 置信度 (Confidence)

• 概念定义: 指验证结果对所有输入都有效的概率，即程序被验证为正确时，它在所有输入下都真正正确的概率。
• 数学公式: 论文基于 Beta 分布进行估计，详见方法论章节的公式 (11)。 $$\mathrm{confidence} = 1 - P(\mathrm{acc}< \epsilon).$$
  • 符号解释：
    • $\mathrm{confidence}$: 验证的置信度。
    • $P(\mathrm{acc}< \epsilon)$: 近似准确度低于阈值 $\epsilon$ 的概率。
    • $\mathrm{acc}$: 近似准确度。
    • $\epsilon$: 识别反例的准确度阈值。
  • 该指标衡量验证结果的可靠性，越高越好。

5.3. 对比基线

论文将 MorphQPV 与多种现有量子程序验证和测试方法进行了比较，包括：

• 运行时断言方法:
  • Stat [20]: 基于统计分析的断言方法。
  • Proj [27]: 基于投影测量的断言方法。
  • NDD [28, 29]: 基于非破坏性判别 (non-destructive discrimination) 的断言方法。
  • SR [13]: 基于符号推理 (symbolic reasoning) 的非确定性量子程序验证方法。
• 测试输入生成方法:
  • Quito [47]: 一种覆盖引导的测试生成器，通过网格搜索 (grid search) 生成测试输入。
  • Fuzz [46]: 量子程序的模糊测试方法。
• 演绎验证方法 (在附录中比较):
  • KNA [34]: 基于非幂等克林代数 (non-idempotent Kleene algebra) 的代数推理。
  • Twist [55]: 基于纯度 (purity) 和纠缠 (entanglement) 的演绎验证。
  • QHL [57]: 量子霍尔逻辑 (quantum Hoare logic)。
  • Automa [8]: 基于自动机 (automata) 的框架。

5.4. 实现细节

• 编程语言: Python (3.9.13)
• 依赖库: NumPy (1.23.1), PennyLane (0.33.1) (用于模拟程序执行), Qiskit (0.45.0) (用于量子模拟)。
• 优化求解器: Gurobi (11.0.0) (用于二次规划), 也评估了随机梯度下降和遗传算法。
• 量子硬件模拟: 使用 IBM Cairo 量子设备的噪声模型 (noise model) 模拟，单量子比特门保真度 99.45%，双量子比特门保真度 98.4%。
• 执行次数 (shots): 每次程序执行设置为 1000 次测量。
• 硬件环境: Linux 平台，双 64 核 AMD EPYC 9554 CPU，1.6TB 内存。
• 耗时估计: 基于 IBMQ 量子云平台，单量子比特门 60ns，双量子比特门 340ns，读出时间 732ns。

6. 实验结果与分析

本节详细分析了 MorphQPV 在案例研究、与现有工作的比较以及各项技术评估中的实验结果。

6.1. 案例研究

6.1.1. 案例研究 1: 量子锁 (Quantum Lock)

• 程序描述: 量子锁程序编码了一个密钥，仅当输入状态与密钥匹配时输出 $|1\rangle$，否则输出 $|0\rangle$。 \rho_{\text{output}} = \left\{ \begin{array}{ll}{|1\rangle \langle 1|,} & {\mathrm{if}}\ \rho_{\mathrm{in}} = \left|\ \mathrm{key}\right\rangle \left\langle \mathrm{key}\right|,}\\ {|0\rangle \langle 0|,} & {\mathrm{if}}\ \rho_{\mathrm{in}}\neq \left|\ \mathrm{key}\right\rangle \left\langle \mathrm{key}\right|.} \end{array} \right.

  • 符号解释：
    • $\rho_{\text{output}}$: 量子锁程序的输出密度矩阵。
    • $\rho_{\mathrm{in}}$: 量子锁程序的输入密度矩阵。
    • $|\mathrm{key}\rangle\langle \mathrm{key}|$: 编码的密钥对应的纯态密度矩阵。
    • $|1\rangle\langle 1|$: 纯态 $|1\rangle$ 的密度矩阵。
    • $|0\rangle\langle 0|$: 纯态 $|0\rangle$ 的密度矩阵。

• bug 场景: 当程序中存在一个意外密钥 (unexpected key) 时，该程序在输入意外密钥时也会输出 $|1\rangle$，即使该密钥不是预期的。这种 bug 很难通过少量输入发现，因为它可能只在特定的、少见的错误输入下被激活。

• 验证目标: 检查是否存在意外密钥。传统的穷举测试需要测试 $2^{N-1}/2$ 个输入，开销巨大。

• MorphQPV 断言:

  • 注入追踪点 $T_1$ (在量子比特 2, 3, 4 上) 和 $T_2$ (在量子比特 1 上)。
  • 断言： $$\mathrm{assume:}P_{1}(\rho_{T_{1}}) = (\rho_{T_{1}}\neq \left|\mathbf{key}\right\rangle \left\langle \mathbf{key}\right|), \\ \qquad \text{when input is not [key]} \\ \mathrm{guarantee:}P_{3}(\rho_{T_{1}},P_{T_{2}}) = \lVert P_{T_{2}} - |0\rangle \langle 0|\rVert, \\ \qquad \text{output } |0\rangle\langle 0|$$
    • 符号解释：
      • $\rho_{T_1}$: 追踪点 $T_1$ 处的密度矩阵（代表输入状态）。
      • $\rho_{T_2}$: 追踪点 $T_2$ 处的密度矩阵（代表输出状态）。
      • $|\mathbf{key}\rangle\langle \mathbf{key}|$: 预期的密钥对应的纯态密度矩阵。
      • $|0\rangle\langle 0|$: 纯态 $|0\rangle$ 的密度矩阵。
      • $P_1(\rho_{T_1})$: 当输入状态不等于预期密钥时，此谓词为真。
      • $P_3(\rho_{T_1},P_{T_2})$: 当输出状态不等于 $|0\rangle\langle 0|$ 时，此目标函数值大于 0。

• 结果: MorphQPV 使用二次规划求解器 Gurobi。

  • 对于 21 量子比特的量子锁算法，MorphQPV 相较于 Quito 和 NDD，将程序执行次数减少了 107.9 倍（从 $9.3 \times 10^5$ 减少到 8,974）。

  • 随着量子比特数量的增加，速度提升呈指数级增长。

    以下是原文 Figure 7 的结果：

    该图像是一个图表，展示了不同量子程序在增加量子位（#qubit）时的执行次数（#executions）。三条曲线分别代表了Quito、NDD和MorphQPV，MorphQPV在27个量子位时相较于Quito减少了执行次数53.9倍，显示出其优越性。

• 图表分析 (Figure 7): 该图展示了在不同量子比特数量下，Quito、NDD 和 MorphQPV 识别 bug 所需的采样输入数量。

  • Quito 和 NDD 的执行次数随着量子比特数量的增加呈指数级增长，因为它们需要测试大量输入或执行复杂的电路。
  • MorphQPV 的执行次数显著低于其他方法，并且增长趋势更平缓。
  • 对于 27 量子比特的量子锁，MorphQPV 需要的采样输入数量远少于其他方法，表明其在处理大规模量子程序时的优越性。

6.1.2. 案例研究 2: 量子神经网络 (Quantum Neural Network, QNN)

• 程序描述: QNN 模型用于分类 Iris 花卉物种。输入通过编码器，输出由第一个量子比特在 Z 轴上的期望值 $\mathbb{E}_Z(\rho)$ 决定（$\mathbb{E}_Z(\rho) > 0$ 为 Setosa，$\mathbb{E}_Z(\rho) \le 0$ 为 Virginia）。

• 验证目标:

  1. 验证门剪枝 (Gate Pruning): 检查在移除不重要量子门后，模型的预测行为是否保持不变。
     • 追踪点：$T_1$ (编码器后)，$T_2, T_3$ (每个被剪枝门后)，$T_4$ (输出前)。
     • 断言：比较剪枝前后的 QNN 模型 ($QNN^*$ 和 QNN') 在每个追踪点 $T_i \in \{T_2, T_3, T_4\}$ 的状态是否相似。 $$\mathrm{assume:} P_{1}(QNN^{*},\rho_{T_{1}}) = \lVert QNN^{*},\rho_{T_{1}}QNN^{*},\rho_{T_{1}}^{\dagger} - QNN^{*},\rho_{T_{1}}\rVert \\ \mathrm{guarantee:} P_{2}(QNN^{*},\rho_{T_{i}}, QNN^{\prime},\rho_{T_{i}}) = \lVert QNN^{*},\rho_{T_{i}} - QNN^{\prime},\rho_{T_{i}}\rVert$$
       • 符号解释：
         • $QNN^{*},\rho_{T_{1}}$: 剪枝前模型在 $T_1$ 处的密度矩阵。
         • $QNN^{\prime},\rho_{T_{i}}$: 剪枝后模型在 $T_i$ 处的密度矩阵。
         • $\lVert\cdot\rVert$: L2 范数。
         • $P_1$: 确保输入状态为纯态（或某种特定形态）。
         • $P_2$: 期望剪枝前后模型在 $T_i$ 处的密度矩阵相似（接近 0）。
     • 策略： 采用 Strategy-adapt 优化近似函数初始化。如果输出断言失败，则进行二分查找 (binary search) 定位错误的剪枝门。
  2. 验证先验知识 (Prior Knowledge): 检查模型是否符合生物学家提出的先验知识（例如，花萼长度在 [4,6] cm 的花属于 Setosa）。

     • 追踪点：$T_5$ (程序开始时第四个量子比特，编码花萼长度), $T_4$ (输出前)。

     • 断言： $$\mathrm{assume:}\begin{array}{l}{P_{1}(\rho_{\mathrm{T}_{5}}) = (4\leqslant \rho_{\mathrm{T}_{5}}[1][1]\leq 6),}\\ {\qquad \mathrm{when the word length is in}\;[4,6]\mathrm{cm}}\\ {\mathrm{guarantee:} P_{2}(\rho_{\mathrm{T}_{4}}) = (\mathbb{E}_{Z}(\rho_{\mathrm{T}_{4}}) > 0)\;.}\\ {\qquad \mathrm{the output should be Setosa}}\end{array}$$

       • 符号解释：
         • \rho_{\mathrm{T}_{5}}[1][1]: 追踪点 $T_5$ 处密度矩阵的特定元素，假定其编码了花萼长度。
         • $\mathbb{E}_{Z}(\rho_{\mathrm{T}_{4}})$: 输出前追踪点 $T_4$ 处在 Z 轴上的期望值。
         • $P_1$: 假设花萼长度在 [4,6] cm 范围内。
         • $P_2$: 保证输出应该分类为 Setosa（即 Z 期望值大于 0）。

     • 目标： 寻找花萼长度在 [4,6] cm 但被分类为 Virginia 的花。

       以下是原文 Figure 8 的结果：

       该图像是一个示意图，展示了在量子程序中利用属性验证和剪枝准确性的结构。图中包含了属性和预测的表格，使用了符号来表示参数化的门，并标出了一些验证步骤和公式 $E_z(\rho)$ 的条件。

• 图表分析 (Figure 8): 展示了一个 Iris 花卉分类的 QNN 模型架构，包括一个编码器和多层参数化门。图中标识了两个被剪枝的门 $P_1$ 和 $P_2$，以及多个追踪点 $T_1, T_2, T_3, T_4, T_5$ 的位置。这为理解 QNN 模型验证的上下文提供了视觉参考。

6.1.3. 案例研究 3: 量子随机存取存储器 (Quantum Random Access Memory, QRAM)

• 程序描述: QRAM 允许基于地址访问数据。输入叠加态到寻址量子比特，结果输出到数据量子比特。

  • 对于输入状态 $\sum_{i = 0}^{2^N-1} \lambda_{i} |i\rangle$，数据量子比特的输出为 $\sum_{i = 0}^{2^N-1} \lambda_{i} |\theta_{i}\rangle$。其中 $|\theta_i\rangle = \cos\theta_i|0\rangle + \sin\theta_i|1\rangle$。

• bug 场景: 当 QRAM 中存储的数据错误时，需要定位错误地址。

• 验证目标:

  1. 检查整体功能: 验证 QRAM 是否按预期将地址映射到值。
     • 追踪点：$T_1$ (寻址量子比特开始时), $T_2$ (数据量子比特结束时)。
     • 断言： $$\mathrm{assume:}~P_1(\rho_{T_1}) = ||\rho_{T_1} - \sum_{i,j = 0}^{2^N-1}\lambda_i\lambda_j^*|i\rangle \langle j||, \\ \qquad \mathrm{when~input ~state~is}~\sum_{i = 0}^{2^N-1}\lambda_i|i\rangle , \\ \mathrm{guarantee:}~P_2(\rho_{T_2}) = ||\rho_{T_2} - \sum_{i,j = 0}^{2^N-1}\lambda_i\lambda_j^*|\theta_i\rangle \langle \theta_j|| \\ \qquad \mathrm{the~output~state~is}~\sum_{i = 0}^{2^N-1}\lambda_i|\theta_i\rangle$$
       • 符号解释：
         • $\rho_{T_1}$: 追踪点 $T_1$ 处的密度矩阵。
         • $\rho_{T_2}$: 追踪点 $T_2$ 处的密度矩阵。
         • $\sum_{i,j = 0}^{2^N-1}\lambda_i\lambda_j^*|i\rangle \langle j|$: 由输入叠加态 $\sum \lambda_i|i\rangle$ 构成的密度矩阵。
         • $\sum_{i,j = 0}^{2^N-1}\lambda_i\lambda_j^*|\theta_i\rangle \langle \theta_j|$: 期望的输出叠加态的密度矩阵。
         • $||\cdot||$: L2 范数。
  2. 识别错误地址 (二分查找): 如果整体验证失败，使用二分查找策略定位错误地址。
     • 注入 $T_3$ 到程序中间。
     • 断言：检查 $T_3$ 之前的地址是否正确。 $$\mathrm{assume:}~P_{1}(\rho_{T_{1}}) = ||\rho_{T_{1}} - \sum_{i,j = 0}^{2^{N} / 2-1}\lambda_{i}\lambda_{j}^{*}|i\rangle \langle j||\,, \\ \mathrm{guarantee:}~P_{2}(\rho_{T_{3}}) = ||\rho_{T_{3}} - \sum_{i,j = 0}^{2^{N} / 2-1}\lambda_{i}\lambda_{j}^{*}|\theta_{i}\rangle \langle \theta_{j}||\,,$$
       • 符号解释：
         • 此处断言检查前一半地址 ($2^N/2$) 的输入和中间状态关系。
     • 重复此过程，直到识别出错误地址。

• 结果:

  • MorphQPV 相较于 Quito，在 QRAM 中识别错误所需的采样输入数量减少了 31,563.2 倍。

  • QRAM 的输入空间是更大的叠加态，具有更多的优化机会，因此相比量子锁算法，其性能提升更为显著。

    以下是原文 Figure 9 的结果：

    该图像是一个示意图，展示了量子随机存取存储器（QRAM）的结构，其中左侧是QRAM表，右侧是QRAM电路。表中列出了地址与对应的值，电路则通过多控RX门和T门实现对量子状态的操作。该结构的数学表达为：QRAM表 = QRAM电路。

• 图表分析 (Figure 9): 左侧展示了 QRAM 的逻辑结构，即地址到值的映射表。右侧展示了 QRAM 的电路实现，通过一系列多控 RX 门 (multi-controlled RX gates) 将地址信息编码到数据量子比特中。图中也标识了追踪点 $T_1$ 和 $T_2$ 的位置。这有助于理解 QRAM 的工作原理和验证其功能的挑战。

  以下是原文 Figure 10 的结果：

  该图像是图表，展示了在三种优化策略下不同量子比特（#qubit）条件下的样本输入数量（图2(a)）和实验的射击数量（图2(b)）。左侧图表中，baseline、strategy-adapt、strategy-const和strategy-prop四种策略的样本输入数量在不同量子比特时的变化情况，右侧图表则展示射击次数的对比。

• 图表分析 (Figure 10): 该图展示了在不同量子比特数量下，Quito、NDD 和 MorphQPV 在 QRAM 程序中识别 bug 所需的采样输入数量。与量子锁相似，Quito 和 NDD 的采样输入数量随量子比特数量呈指数级增长。MorphQPV 的采样输入数量显著低于其他方法，尤其在量子比特数量增加时，其效率优势更加明显，验证了其在 QRAM 这种复杂量子程序中的有效性。

6.2. 与现有工作的比较

6.2.1. 表达能力分析 (Expressiveness Analysis)

以下是原文 Table 2 的结果：

• 分析:
  • 验证对象 (Verified object): MorphQPV 和 SR [13] 能够直接验证程序的演化 (evolution)，这与特定输入无关，而其他方法（Stat [20], Proj [27], NDD [28]）通常只能验证特定输入下的单个状态。在状态类型上，除了 Stat [20] 仅关注概率分布，MorphQPV、Proj、NDD、SR 都能验证混态 (mixed state)。
  • 比较类型 (Comparison): Proj [27] 和 NDD [28] 只能检查运行时状态是否属于指定的态集（Equal & In），无法支持“大于”或“小于”等更复杂的比较。MorphQPV 由于能在经典计算机上获得密度矩阵，支持全面的复杂比较类型 (Full)。
  • 可解释性 (Interpretability): Stat [20] 只能输出错误状态的概率分布。Proj [27] 和 NDD [28] 不提供信息。MorphQPV 提供反例 (counter-example) 和中间状态的密度矩阵，并估计置信度，因此具有完全的可解释性 (Full)。
  • 处理反馈回路 (Debug circuit with feedback): Stat [20]、Proj [27] 和 NDD [28] 需要为不同的中间测量结果重新定义谓词。SR [13] 可以验证非确定性程序。MorphQPV 的近似在数学上适用于中间测量和反馈，且 assume-guarantee assertion 也能处理不同条件下的执行 (Full)。

6.2.2. 成功率分析 (Success Rate Analysis)

• 方法: 采用变异测试 (mutation testing) [21]，为每个程序生成 100 个带 bug 的测试用例（随机注入相位门）。每个验证方法测试 5 个输入。

• 指标: 成功率被定义为验证结果对所有输入都有效的概率。

  以下是原文 Table 4 的结果：

  Bench- mark	Success rate(%) NDD Quito Morph- [28] [47] QPV			Overhead($10^{3}$operations) NDD Quito Morph- [28] [47] QPV
  QL 9g	3q	38	36	100	10.0	5.0	5.0
  	5q	12	11	100	10.0	5.0	5.0
  	7q	3	2	100	10.0	5.0	5.0
  	9q	0	0	100	10.0	5.0	5.0
  QNN	3q	/	100	100	/	5.0	5.0
  	5q		100	100	/	5.0	5.0
  	7q	/	67	100	/	5.0	5.0
  	9q	/	50	100	/	5.0	5.0
  QEC	3q	100	0	100	$1.9\times 10^{3}$	5.0	5.0
  	5q	100	0	100	$4.3\times 10^{4}$	5.0	5.0
  	7q	100	0	100	$7.5\times 10^{7}$	5.0	5.0
  	9q	100	0	100	$2.4\times 10^{10}$	5.0	5.0
  Shor	3q	100	0	100	$2.0\times 10^{3}$	5.0	5.0
  	5q	100	0	100	$4.3\times 10^{4}$	5.0	5.0
  	7q	100	0	100	$9.0\times 10^{7}$	5.0	5.0
  	9q	100	0	100	$2.8\times 10^{10}$	5.0	5.0
  XEB	3q	100	100	100	$2.0\times 10^{3}$	5.0	5.0
  	5q	100	50	100	$4.4\times 10^{4}$	5.0	5.0
  	7q	100	44	100	$8.5\times 10^{7}$	5.0	5.0
  	9q	100	37	100	$2.6\times 10^{10}$	5.0	5.0

• 分析:

  • MorphQPV: 在所有五个基准测试中均达到 100% 的成功率，表明其在识别 bug 方面的强大能力。
  • Quito [47]: 成功率随量子比特数量的增加而指数级下降，尤其在 QL 和 XEB 程序中（量子比特数超过 3 时），成功率低于 50%。这主要是因为 bug 通常出现在追踪点状态的相位 (phase) 中，而 Quito 只验证概率分布 (probability distribution)。在 QEC 和 Shor 算法中，Quito 甚至无法发现任何 bug。
  • NDD [28]: 在 QEC、Shor 和 XEB 中表现出较高的成功率，因为它能够识别相位差。然而，在 9 量子比特的 QL 程序中，NDD 的成功率为 0%，因为该程序只有一个反例，NDD 无法发现。此外，NDD 无法调试 QNN，因为它只支持相等或包含比较，而 QNN 调试需要比较期望值。

6.2.3. 开销分析 (Overhead Analysis)

• 定义: 每个程序执行 1000 次测量 (shots)。开销定义为验证断言所引入的量子操作数量。

• 分析 (Table 4):

  • MorphQPV: 相比 NDD [29] 和 Quito [47]，MorphQPV 实现了显著的开销优化。例如，对于 9 量子比特的 Shor 算法，开销从 NDD 的 $2.8 \times 10^{10}$ 降至 MorphQPV 的 5.0 ($10^3$ operations)。
  • 原因: MorphQPV 通过近似函数在经典计算机上获取密度矩阵，而非重复执行昂贵的量子程序。NDD 需要合成酉门 (unitary gates) 到基门 (basis gates) 进行子空间投影 (sub-space projection)，这导致门数量随量子比特数呈指数级增长。
  • Quito [47]: 虽然开销最小 ($5.0 \times 10^3$)，但其置信度最低，因为它只检查概率分布。
  • 对于 QL 和 QNN 程序: MorphQPV 通过利用第 5.4 节中的优化策略（如剪枝表征空间）也实现了最小开销。

6.3. 详细评估

6.3.1. 定理评估

• 定理 1 (Approximation function) 评估:

  • 目标: 评估近似函数在获取中间程序状态方面的效率。
  • 比较: MorphQPV 与 Qiskit 模拟、量子态层析成像 (quantum state tomography) [10] 和量子过程层析成像 (quantum process tomography) [41]。
  • 结果 (Figure 11(a)):
    • 对于 10 量子比特程序，MorphQPV 相较于模拟、状态层析成像和过程层析成像，分别实现了 $74.3 \times$、$1.2 \times 10^4 \times$ 和 $7.3 \times 10^6 \times$ 的计算时间减少。
    • 量子过程层析成像获取 10 量子比特程序状态的密度矩阵需要 11.4 天，而 MorphQPV 仅需不到 0.5 秒。
  • 原因: MorphQPV 仅涉及密度矩阵的简单求和，而模拟需要大量矩阵乘法，层析成像需要测量所有基态 (basis)。

• 定理 2 (Approximation accuracy) 评估:

  • 目标: 评估近似准确度与量子比特数和采样输入数量的关系。
  • 结果 (Figure 11(b)):
    • 实验准确度曲线与定理 2 的情况 2（即平均准确度 $N_{\mathrm{sample}} / 2^{N_{\mathrm{in}}+1} \times 100\%$）非常接近，因为实验中随机生成的输入更可能属于情况 2。
    • 在 7 量子比特和 15 量子比特的量子隐形传态程序中（$N_{\mathrm{in}}=3$ 和 $N_{\mathrm{in}}=5$），当采样输入数量达到 $16 (2^{3+1})$ 和 $64 (2^{5+1})$ 时，实验准确度达到最大。
    • 实验准确度通常高于理论值，因为 Clifford 群在近似状态演化时具有较强的表达能力。

• 定理 3 (Confidence) 评估:

  • 目标: 评估置信度估计模型与实际 bug 识别成功率的吻合度。
  • 方法: 对 7 量子比特程序进行变异测试，比较估计置信度与正确验证结果的实际成功率。
  • 结果 (Figure 12):

    • 由于定理 3 提供的是置信度的下界估计，实际成功率通常高于理论值。

    • QEC 程序的反例较少，其曲线更接近估计置信度。

    • Shor 程序具有更多反例，因此其成功率更高。

      以下是原文 Figure 11 的结果：

      该图像是图表，展示了不同量子比特下使用MorphQPV、状态与过程成像的计算时间对比，以及在不同量子比特和采样输入数量下的近似准确性。图(a)比较了在6、8和10个量子比特中获得中间程序状态所需的时间，图(b)显示了准确性与量子比特数和采样数的关系，公式为 $accuracy \propto \frac{N_a}{2^{n_{qubits}}}$。

• 图表分析 (Figure 11):

  • (a) 部分展示了获取中间程序状态的计算时间对比。MorphQPV 在 10 量子比特时，相比其他方法具有极高的效率优势。

  • (b) 部分展示了近似准确度随量子比特数和采样输入数量的变化。实验结果验证了定理 2 的预测，即准确度随采样数量的增加而线性提高，并在达到特定采样数时趋于饱和。

    以下是原文 Figure 12 的结果：

    该图像是一个示意图，左侧(a)展示了一个因意外密钥而产生故障的4量子位锁，右侧(b)展示了在15量子位锁中验证结果的信心度随输入数量变化的曲线图，只有意外密钥能够帮助找到故障。

• 图表分析 (Figure 12): 该图比较了 MorphQPV 估计的置信度与 7 量子比特程序（QEC 和 Shor 算法）的实际成功率。蓝色线代表估计置信度，橙色线代表实际成功率。实际成功率通常高于估计置信度，这与定理 3 提供的置信度是下限估计的说法一致。

6.3.2. 技术评估

• 空间剪枝策略 (Space Pruning Strategies) 评估:

  • 目标: 评估第 5.4 节中提出的三种剪枝策略（Strategy-adapt, Strategy-const, Strategy-prop）对采样效率的影响。
  • 结果 (Figure 13(a)):
    • Strategy-adapt 和 Strategy-const 分别将采样输入数量减少了 $12.4 \times$ 和 $32.0 \times$。
    • Strategy-adapt 的减少源于修剪不重要的本征态 (eigenstates)。例如，对于 10 量子比特 QNN，2048 个样本减少到 90 个，减少了 $22.8 \times$，仍保持 95% 准确度。
    • Strategy-const 通过固定部分输入量子比特的状态来修剪输入空间。例如，对于 10 量子比特 Shor 算法，固定一半输入量子比特的状态，减少了 $32.0 \times$。
  • 结果 (Figure 13(b)):
    • Strategy-prop 在 10 量子比特程序中实现了 $82.1 \times$ 的 shots (测量次数) 减少，因为它避免了全面的状态层析成像。
    • 例如，验证 Shor 算法中 6 量子比特状态时，如果断言仅涉及幅度 (amplitudes)，则相比无优化基线，characterization (表征) 过程所需的 shots 减少了 $63.0 \times$。

• 噪声量子模拟器上的近似准确度评估 (Approximation Accuracy on Noisy Quantum Simulator):

  • 目标: 评估 MorphQPV 在存在噪声的量子硬件环境中的性能。
  • 方法: 在 Qiskit 模拟器上使用 IBM Cairo 量子设备的噪声模型进行评估。
  • 结果 (Figure 14):
    • 对于 15 量子比特的 Shor 和 QNN 算法，当追踪点间隔较远时，近似准确度较低（分别为 13.7% 和 1.6%），这主要是由于退相干误差 (decoherence errors)。
    • 通过注入中间追踪点 (intermediate tracepoints)，可以有效缓解噪声。例如，对于 15 量子比特 QNN 算法，注入 4 个中间追踪点后，准确度从 1.6% 提高到 13.6%；注入 9 个追踪点后，准确度进一步提高到 65.0%。

• 采用 Clifford 群的消融研究 (Ablation Study of Adopting Clifford Group):

  • 目标: 评估使用 Clifford 群作为采样输入相比使用基态 (basis states) 的优势。
  • 结果 (Figure 15(a)):
    • Clifford 群将达到 100% 准确度所需的采样输入数量减少了 $64.0 \times$。
    • 当采样输入数量为 $2^{10}$ 时，Clifford 群也实现了 82.2% 的准确度提升（从 10.9% 提高到 93.1%）。
  • 原因: Clifford 群制备的状态包含纠缠和叠加，比基态更具代表性。

• 不同求解器的优化时间评估 (Optimization Times Based on Different Solvers):

  • 目标: 比较不同优化求解器（随机梯度下降、遗传算法、二次规划）在验证阶段的优化时间。
  • 结果 (Figure 15(b)):

    • 二次规划求解器在量子比特数小于 12 的程序中表现出最短的验证时间（小于 12 分钟即可找到全局最优解）。

    • 验证成本随采样输入数量的增加呈多项式增长。

      以下是原文 Figure 13 的结果：

      该图像是图表，展示了在三种优化策略下不同量子比特（#qubit）条件下的样本输入数量（图2(a)）和实验的射击数量（图2(b)）。左侧图表中，baseline、strategy-adapt、strategy-const和strategy-prop四种策略的样本输入数量在不同量子比特时的变化情况，右侧图表则展示射击次数的对比。

• 图表分析 (Figure 13):

  • (a) 部分展示了在 QNN 和 Shor 算法中，三种剪枝策略对采样输入数量的减少效果。Strategy-adapt 和 Strategy-const 都显著降低了所需采样数量。

  • (b) 部分展示了 Strategy-prop 对程序测量次数 (shots) 的减少效果。通过只测量特定属性，可以大大减少所需的量子测量操作。

    以下是原文 Figure 14 的结果：

    该图像是一个示意图，展示了MorphQPV中量子程序的验证过程。左侧展示量子程序代码，右侧分为两步，第一步是通过假设和保证语句定义期望状态之间的关系，第二步则通过等价性确认状态之间的真实关系。

• 图表分析 (Figure 14): 该图展示了在噪声量子模拟器上，5 量子比特和 15 量子比特的 Shor 和 QNN 算法的近似准确度。通过注入不同数量的中间追踪点，可以有效提高近似准确度，表明 MorphQPV 在噪声环境下的鲁棒性。

  以下是原文 Figure 15 的结果：

  该图像是一个图表，展示了在9量子位程序中使用Clifford组的消融研究（图4的(a)部分），以及三种优化求解器的验证时间（图4的(b)部分）。横轴为样本数量或量子位数量，纵轴为准确率或时间（ext{time} ext{(ms)}）。数据表明，使用Clifford组可以显著提高准确性，并且不同求解器的验证时间随着量子位数量的增加而增长。

• 图表分析 (Figure 15):

  • (a) 部分对比了使用 Clifford 群和基态作为采样输入时的近似准确度，突显了 Clifford 群在减少采样数量和提高准确度方面的优势。
  • (b) 部分评估了在验证阶段使用不同优化求解器（随机梯度下降、遗传算法、二次规划）的优化时间，表明二次规划在特定量子比特规模下具有最佳性能。

6.3.3. 与演绎验证方法的比较 (Appendix B)

• 表达能力 (Table 5):

  • 演绎验证方法（KNA [34], Twist [55], QHL [57]）的验证对象和比较类型都有限，例如 Twist 只关注纯度。

  • MorphQPV 能够验证混态和演化 (Mixed state & Evolution)，并支持全面的比较类型。

  • 演绎方法提供部分可解释性，但不能直接输出反例，而 MorphQPV 可以。

    以下是原文 Table 5 的结果：

    	KNA [34]	Twist [55]	QHL [57]	MorphQPV
    Verified object Compa- rison Interpr- etability	Expectation Equal or greater Part	Purity Equal No	Expectation Equal or greater Part	Mixed state & Evolution Full

• 成功率和开销 (Table 6):

  • 成功率: MorphQPV 和两种演绎方法（Twist [55], Automa [8]）在识别 bug 方面都表现出高成功率。

  • 局限性: Twist 和 Automa 无法调试 QNN（因为它们不能获得程序状态的特定期望值），Twist 也无法验证 XEB（因为 bug 不改变纯度）。

  • 开销: Twist [55] 的计算成本很高，验证 20 量子比特 QEC 需要 $5.9 \times 10^6$ 秒。Automa [8] 开销较小，但其复杂度仍随量子比特数呈指数级增长。

  • MorphQPV 优势: MorphQPV 的复杂度不取决于程序的总量子比特数，而是取决于输入量子比特数。耗时部分主要在输入采样，可以通过并行技术进一步减少。

    以下是原文 Table 6 的结果：

    Bench- mark	Success rate (%)			Overhead (seconds)
    	Twist [55]	Automa [8]	Morph-QPV	Twist [55]	Automa [8]
    QEC	9g	98	100	0.3	0.3
    	10g	98	100	4.5	1.2
    	15g	99	100	156.5	3.1
    	20g	100	100	$5.9 \times 10^{6}$	4.8
    Shor	30g	100	100	1.1	0.7
    	10g	100	100	23.2	6.9
    	15g	100	100	$1.2 \times 10^{-5}$	22.2
    	20g	100	100	$6.1 \times 10^{4}$	65.5
    QNN	5g	/	/	100	/
    	10g	/	/	100	/
    	15g	/	/	100	/
    	20g	/	/	100	/
    XEB	5g	/	100	100	0.7
    	10g	/	100	160	0.6
    	15g	/	100	160	/
    	20g	/	100	160	/

7. 总结与思考

7.1. 结论总结

MorphQPV 提出了一种新颖的、基于置信断言的量子程序验证方法，显著提升了量子程序验证的成功率和效率。其核心贡献在于：

• 多态假设-保证断言 (Multi-state Assume-Guarantee Assertion): 引入了能够描述程序中不同时间点量子态之间关系的断言机制，极大地增强了验证的表达能力和效率。

• 基于同构的近似技术 (Isomorphism-based Approximation): 利用量子程序中固有的同构性，通过少量采样输入构建近似函数，从而在经典计算机上高效预测程序运行时状态，避免了对每个输入都进行昂贵的量子程序执行。

• 输入无关的约束优化验证 (Input-Independent Constraint Optimization Verification): 将验证问题转化为约束优化问题，能够自动发现反例，并提供了量化的置信度估计模型，从而提高了验证的可靠性和可解释性。

  实验结果强有力地支持了 MorphQPV 的有效性：

• 在验证 27 量子比特量子锁算法时，程序执行次数减少了 107.9 倍。

• 在调试五个基准量子算法时，成功概率提高了 3.3 倍至 9.9 倍。 MorphQPV 为处理量子程序验证中因量子特性（如不可复制性、测量塌缩和状态空间爆炸）带来的挑战提供了一条有前景的路径。

7.2. 局限性与未来工作

论文中未明确列出自身局限性，但从其方法论和实验结果中可以推断出一些潜在的局限性：

• 近似准确度的限制: 尽管 MorphQPV 提供了置信度估计，但其核心依赖于近似函数的准确性。对于那些程序行为不严格遵循同构性（例如，具有高度非线性的复杂反馈机制）或在噪声环境中导致同构性被严重破坏的情况，近似的准确度可能会下降，从而影响验证的可靠性。

• 采样成本: 尽管 MorphQPV 大幅减少了程序执行次数，但输入采样和状态层析成像本身仍是耗时且昂贵的操作，尤其对于高量子比特数或复杂状态。理论上，达到 100% 置信度需要 $2^{N_{\mathrm{in}}+1}$ 次采样，这对于 $N_{\mathrm{in}}$ 较大的程序仍然是一个挑战。

• 断言编写的复杂性: 编写精确且全面的多态 assume-guarantee 断言可能需要深入的程序理解和领域知识，这对于普通开发者来说可能是一个门槛。

• 对特定优化器的依赖: 约束优化问题的解决效率受限于所选优化器（如 Gurobi）的性能，这可能会成为更大规模问题的瓶颈。

• 噪声模型的泛化性: 尽管论文在噪声模拟器上进行了测试，但实际量子硬件上的噪声特性可能更为复杂和动态，目前的近似和置信度模型是否能完全捕捉这些细微之处仍待进一步验证。

• 复杂量子程序的适用性: 论文主要评估了量子锁、QNN、QRAM 等程序。对于具有更复杂控制流、高度非线性动力学或动态门集（例如自适应量子算法）的程序，同构性假设的有效性可能需要重新评估。

  未来工作可以探索以下方向：

• 更强大的近似理论: 探索在更复杂或噪声更大的量子程序中，如何构建更鲁棒、更准确的近似函数。

• 断言生成自动化: 开发工具或方法来辅助开发者自动生成或建议有用的 multi-state assertion，降低使用门槛。

• 软硬件协同优化: 结合量子硬件的特定特性（如拓扑结构、噪声模式）来进一步优化采样策略和近似模型，提高在真实量子设备上的性能。

• 支持更大规模量子程序: 进一步优化算法和实现，使其能够有效处理更多量子比特的程序，并探索分布式或异构计算在验证中的应用。

• 与形式化方法的结合: 将 MorphQPV 的高效运行时表征能力与形式化方法（如演绎验证）相结合，有望实现更高置信度的端到端验证。

7.3. 个人启发与批判

7.3.1. 个人启发

• 利用领域特性解决难题: MorphQPV 的核心在于洞察并利用了量子程序中输入与运行时状态之间的同构性。这提供了一个重要的启发：在处理新兴技术（如量子计算）的挑战时，深入理解其底层物理或数学特性，并将其转化为计算优势，是打破现有技术瓶颈的关键。这种“特性驱动”的方法比简单地将经典方法硬套到量子领域更有效。
• 经典计算辅助量子计算的潜力: MorphQPV 将量子程序的运行时状态表征和断言验证的大部分工作转移到经典计算机上进行，极大地减少了昂贵的量子硬件交互。这表明，在当前量子硬件资源稀缺且性能不佳的阶段，通过巧妙的经典-量子协同设计，可以有效地加速量子软件开发和调试过程。
• 分层抽象和近似的力量: 通过构建近似函数来模拟程序行为，MorphQPV 展示了分层抽象和近似在处理复杂系统时的巨大价值。它允许我们在不牺牲太多置信度的情况下，将一个计算密集型问题（量子程序执行）转换为一个更易处理的问题（经典近似计算）。
• 量化置信度的重要性: 论文引入置信度估计模型，为验证结果提供了量化指标。这对于开发者来说至关重要，它将“是否正确”的二元判断扩展为“有多大把握正确”的概率评估，有助于他们在不确定性环境中做出更明智的决策。

7.3.2. 批判

• 同构性假设的普适性限制: 尽管论文证明了同构性在中间测量和简单反馈下的适用性，但对于具有高度非线性、强耦合、复杂量子纠错码或动态自适应逻辑的更高级量子程序，其同构性是否仍然足够“干净”以支持高精度近似是一个疑问。如果程序行为偏离线性同构假设，近似的准确度将直接影响验证的可靠性。
• 近似误差对 bug 隐藏的风险: 尽管有置信度估计，但近似误差始终存在。如果一个 bug 导致的状态偏差非常小，或者只在近似函数无法精确捕捉的“角落情况”下出现，那么即使 MorphQPV 没有发现 bug，也可能只是因为近似不足以暴露它。这可能导致“漏报”问题，即程序存在 bug 但被报告为正确。
• 断言编写的挑战与潜在偏差: 尽管 MorphQPV 的断言表达能力很强，但编写全面、无遗漏且准确反映程序意图的断言本身就是一项挑战。如果断言本身有偏差或不完整，即使验证过程完美，也无法保证程序真正的正确性。特别是在量子领域，由于直觉与经典计算不同，正确地形式化预期行为可能更为困难。
• 量子态层析成像的开销和准确度: MorphQPV 的“学习”阶段仍然依赖于对少量采样输入的量子态层析成像。层析成像本身是一个实验开销巨大且易受噪声影响的过程。如果在“学习”阶段获得的真实状态就不够准确，那么后续的近似和验证的可靠性都会受到影响。
• 对优化器性能的依赖: 验证阶段的约束优化是一个非凸问题，其性能和全局最优解的找到依赖于所选优化器的能力。对于大规模问题，优化器能否在合理时间内找到真正的全局最优解，从而避免“误报”（将正确程序报告为有 bug，因为优化器找到了一个虚假的最大值），是另一个挑战。