Может оказаться полезным Frama-C .
Оценки, выполненные людьми, не являющимися разработчиками Frama-C, см. в этих двух статьях .Некоторые инженеры, разрабатывающие код, критичный для безопасности (например, DO-178B уровня A), нашли формальные аннотации и анализ, основанные на самых слабых методах предварительных условий , которые стоят инвестиций , но традиционные тесты для них очень дороги.Эта последняя ссылка о Caveat, анализаторе с закрытым исходным кодом, который Frama-C намеревается заменить в свое время.
Ваш вопрос звучит так, как будто вы, возможно, оцените Frama-C Aoraï плагин.
Является ли это все время, проведенное в вашем случае, вероятно, больше зависит от того, считаете ли вы изучение этих методов радостью или делом.