pub open spec fn has_safe_slot(paddr: Paddr) -> bool
{ &&& paddr % PAGE_SIZE == 0 &&& paddr < MAX_PADDR }