Présentation - (CCT) du CNES

DIRECTION DES T ECHNIQUES SPATIALES
SOUS-DIRECTION TECHNIQUES AEROSPATIALES
DIVISION SYSTEMES ELECTRIQUES ET AUTOMATIQUES
DEPARTEMENT INFORMATIQUE ET LOGICIELS BORD
Réf. : DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Nbre pages : 1/16
Date : 31/03/2003
CCT 5 - 15
°°°°°°°°°°°
Compte-rendu de la 1 ère présentation orientée
"Concepts" de la R&D réalisée par iRoC
Technologies
"Validation de concepts de tolérance
aux transitoires dans les ASICs"
M OTS CLES : ASIC, transitoire, SEE, SEU, SET, faute, tolérance
RESUME :
Cette note fournit un compte-rendu de la 1ère présentation orientée "Concepts" de la R&D réalisée par
iRoC Technologies "Validation de concepts de tolérance aux transitoires dans les ASICs" ayant eu lieu
les 28 novembre et 19 décembre 2002 au CNES Toulouse.
Ce compte-rendu et les transparents de cette présentation sont diffusés aux participants par mél.
Diffusion :
Voir pages suivantes
CENTRE NATIONAL
D 'ETUDES
S PATIALES
Siège
Centre de Toulouse
2, place Maurice Quentin - 75039 Paris Cedex 01
18, avenue Edouard Belin - 31401 Toulouse Cedex 4
Tél. : 33 (0)1 44 76 75 00 / Fax : 33 (0)1 44 46 76 76
Tél. : 33 (0) 5 61 27 31 31 / Fax : 33 (0) 5 61 27 31 79
Site Internet : http://www.cnes.fr
RCS P ARIS B 775 665 912 - SIRET 775 665 912 000 82 / CODE APE 731Z
N° d'identification TVA : FR 49 775 665 912
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 2/16
DIFFUSION EXTERNE :
Diffusion aux participants :
AIRBUS France
ASP Toulouse
ASP Cannes
ASTRIUM Toulouse
ASTRIUM Vélizy
ATMEL Nantes
CEA-DAM
HEINS Patrick
BAGUENA Louis, CASTEL Laurent
ZECCHINI Raphaël
CHAMPETIER Calixte, LE ROY Marc, NOTEBAERT Olivier, PLANCHE
Thierry
TUAL Jean-Claude
BRIET Michel, DE SAINT ROMAN Dominique
LERAY Jean-Luc
CSEM
PIGUET Christian
EADS-LV
EADS-NUCLETUDES
ESA
iRoC Technologies
CALVET Marie Catherine, CORMERY Patrick,
HUBERT Guillaume
POUPONNOT André
CHARDONNEREAU Damien, DUPONT Eric, NICOLAIDIS Michaël,
PEREZ Renaud
ISIM / LIRMM
THALES
XILINX
ROCHE Fernand Michel
BOUCHET Marc
LE MAUF Joël
Diffusion complémentaire :
ASP Toulouse
ASP Valence
ASTRIUM Toulouse
ASTRIUM Vélizy
DGA
DGA-CEGramat
DGA-CELAR
INPG-TIMA
MBDA France
ONERA-DESP
THALES
ESTAVES Guy
MAISTRE Pierre-François
BOLEAT Christian, CERNI Marc, CHESSE Olivier, LALANDE Jacques
COLDEFY Jean-François
DALLOT Pierre, GRISON Xavier, PINNETERRE Vincent
ZAISB A.
DAVENEL F.
VELAZCO Raoul
BUTEL Philippe, FOULON Michel, GRAVES Philippe, NOUET
Christophe, SAGET Brigitte, VIALLE Bruno, VIGIER Magali
DUZELLIER Sophie
APPEL Jean-Pierre, GREMILLET Patrick
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
DIFFUSION INTERNE :
Diffusion aux participants :
DSO/ED/MS/IM
DTS/MPI/PS/EP
DTS/AQ/QCP/D
DTS/AQ/QCP/PR
DTS/AQ/QCP/CE
DTS/AE/SEA/ET
DTS/AE/SEA/IL
CARAYON Jean-Louis
LASSERE François
LACROIX Daniel
BERNARD Vivian
BELASIC Marielle, VENTURIN Jean-Louis, BERTRAND Jean,
REMETEAN Emile, SABA Bruno
BOSSARD François, VIGEANT Fabien, PIGNOL Michel
Diffusion complémentaire :
DLA/RAP/RTA/EGS
DLA/AP/QL/S
DLA/SDA/A/SEL
DLA/SDA/SY/CS
DLA/SDA/SY/SEL
DPI/RTI/SO
DEE/IR/TSI/AI
DSO/PASO
DSO/ED/MA/OB
DSO/ED/MA/SY
DSO/ED/PS/SL
DSO/OT/SE/IA
DSO/OT//OA
DSO/RC/TR/SF
DTS/CCT
DTS/AQ/D
DTS/AQ/EQE/D
DTS/AQ/EQE/ER
DTS/AQ/QIS/SF
DTS/AQ/QCP/PR
DTS/AQ/QCP/TP
DTS/AQ/QCP/CE
DTS/AE/D
DTS/AE/SEA/D
DTS/AE/SEA/ET
DTS/AE/SEA/IL
CASTANET Fabien
VELLA Bruno
MIRAMONT Philippe
PILCHEN Guy
BONNEROT Georges-Albert
DAVID-VAUDEY Pierre, BELLAICHE Gilles
JOCTEUR-MONROZIER François
AGUTTES Jean-Paul
MEYER Jean-Renaud
LABORDE Bertrand
ROBERT Emmanuel
CARLIER Thierry
GLEYZES Alain, PERRET Lionel, LAHERRERE Jean-Marc
CASTETS Bernard
SAHL Isabelle
BOURDEIL Michel
FORTEA Jean-Pierre
BEZERRA Françoise, ECOFFET Robert
LAULHERET Roland
CHIAVASSA Florence, LORFEVRE Eric
PUIG Olivier
1 ex. circ.
AVIGNON Michel
MARCHAL Philippe
MOURY Gilles, 1 ex. circ.
SEGUELA Dominique, 1 ex. circ.
Page 3/16
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 4/16
1 - OBJET
Cette note fournit un compte-rendu de la 1ère présentation orientée "Concepts" de la R&D du
CNES réalisée par iRoC Technologies "Validation de concepts de tolérance aux transitoires
dans les ASICs" ayant eu lieu au CNES Toulouse :
- le 28 novembre à l'attention de l'industrie,
- et le 19 décembre 2002 à l'attention du personnel CNES.
On notera une forte participation industrielle à cette présentation : 36 personnes dont 24
extérieurs. Ceci montre bien l'intérêt de la communauté spatiale et militaire vis à vis des
problèmes des transitoires dans les ASICs.
Les principaux éléments abordés lors des questions / réponses et des débats qui ont eu lieu
durant cette présentation sont synthétisés dans ce document.
L'avis/agenda est fourni en annexe 1, la liste des participants est fournie en annexe 2.
Ce compte-rendu et les transparents de cette présentation sont diffusés par mél aux
participants ainsi qu'à ceux qui en ont fait la demande.
2 – RAPPEL DE L'OBJET DE CETTE R&D
Le développement de l'électronique spatiale passe de façon incontournable par les ASICs. Or,
avec des technologies de plus en plus rapides, il ne sera plus possible de négliger les
transitoires générés dans la logique combinatoire par les particules (ions lourds, protons), la
durée du "spike" généré se rapprochant de plus en plus de la période d'horloge. Par
conséquent, il est nécessaire pour les futurs ASICs de trouver des mécanismes de protection
qui permettent d'éviter les durcissements fonctionnels lourds tel que tripliquer l'ensemble de
l'ASIC (pour cause de complexité / fiabilité / consommation). Il est également souhaitable de
disposer de solutions performantes vis à vis des autres problèmes liés aux ions lourds.
Fin 2000, le CNES a engagé la réalisation d'une phase de validation par maquettage et test
sous faisceau d'ions lourds de concepts de détection / correction d'erreurs au niveau
"conception VHDL", concepts brevetés par l'université de Grenoble (TIMA) et la spin-off iRoC
Technologies, et industrialisés par iRoC Technologies. Le maquettage est basé sur l'IP
("Intellectual Property") d'un microcontroleur 8 bits CoolRISC très basse consommation
développé par le laboratoire Suisse CSEM et concerne la réalisation de quatre ASICs
prototypes : CoolRISC de référence (i.e. sans tolérance), CoolRISC tolérant aux ions lourds,
deux ASICs (quatre fonctions) de test spécifiques à la caractérisation fine des mécanismes de
tolérance et de la durée des transitoires. Les prototypes ASICs seront reçus début 2003.
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 5/16
3 – SYNTHESE DES PRINCIPAUX ELEMENTS ABORDES LORS DES DEBATS
Des bibliothèques de durcissement à la dose sont en cours de développement (cf. travaux
ESA). Les problèmes "dose" et "SEE" ("Single Event Effect") sont indépendants et les solutions
SEE de iRoC Technologies s'adaptent quelles que soient les bibliothèques. On notera que la
réduction des lithographies va dans le bon sens pour la tenue à la dose des technologies
commerciales.
Le test sous faisceau n'a pas pour but de caractériser la technologie mais de générer des
erreurs. A ce titre, seul l'un des ions de plus forte énergie sera utilisé (typiquement le Brome).
La couverture de test fondeur n'est pas réduite par l'implémentation des mécanismes de
tolérance aux SEE car le circuit est toujours testable de la même façon, et les D-FF/latch du
"time redundancy" sont testables à 100 % grâce au scan-path qui permet d'injecter un bit faux
sur les comparateurs.
Le choix du support pour l'implémentation des mécanismes d'iRoC Technologies s'est porté
naturellement sur un ASIC ; ceci était incontournable pour caractériser finement ces
mécanismes. La problématique des FPGA est différente. En effet, les FPGA volatiles ("SRAM
based") sont également sensibles au niveau de la configuration du circuits ("le bitstream") ;
dans leur cas, une reprise avec le contexte du cycle d’horloge n-1 ne permet pas de se prémunir
des erreurs de routage, la triplication restant alors la solution pour garantir la non propagation
d’un upset. Il s'agit donc d'un autre domaine applicatif qui nécessite une étude spécifique.
Les technologies commerciales peuvent être traitées au niveau design vis à vis des SEE
comme la présentation le montre. L’objet de l’étude n’est pas de qualifier la technologie CMOS
0,18µm d’UMC. En effet, le problème des SEL n’a pas été traité : sous faisceau, le CoolRISC
sera protégé par un délatcheur. Néanmoins, il semble que les technologies commerciales
soient de plus en plus résistantes au phénomène de latch-up : les fondeurs présents confirment
qu'en 0,8 et 0,5 µm il y avait beaucoup de SEL, et qu'il y en a beaucoup moins en 0,25 et 0,18
µm. Cela pourrait s’expliquer par l’utilisation quasi généralisée d’une couche d’épitaxie, la
diminution de l’épaisseur du substrat et l’utilisation d’isolation de type "trench" entre les puits ;
ceci n’est évidemment pas une règle absolue. Une société présente a cité l’exemple de
l'approvisionnement d'un 1er lot de DRAM "SEL-free" suivi d’un deuxième lot qui s’est révélé
sensible aux latch-up. Cependant, même dans les technologies tolérantes aux radiations
qualifiées spatiales, on constate que certains runs sont "SEL-free" mais pas forcément tous.
Le circuit CoolRISC-FT a été développé uniquement dans un but de caractérisation des
mécanismes d'iRoC Technologies ; il n'a pas de vocation commerciale. L'offre d'iRoC
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 6/16
Technologies n'est pas seulement de vendre des IP durcies aux SEE de type "boîte noire" mais
aussi de durcir aux SEE des circuits conçus par les industriels.
Les structures de type IP prennent de plus en plus d'importance. Néanmoins, il est parfois
difficile de négocier avec les fournisseurs d'IPs vis à vis des problèmes de responsabilité du
bon fonctionnement une fois l'IP intégré dans un System-on-Chip (SoC). La difficulté concernant
l'implantation des techniques d'iRoC Technologies dans des IPs approvisionnées est qu’en
général on ne peut pas maîtriser le contenu de l'IP sans l’aide du concepteur ; de toute façon, il y
a fort à parier que le fournisseur d’IPs refusera que l’on modifie son code VHDL ou alors se
dégagera de toute responsabilité.
Cependant, les concepteurs de SoC reconnaissent de plus en plus la nécessité d’ajouter des
IPs supplémentaires pour faire fonctionner le circuit final : il s’agit d’ajouter des IP de debug, de
test, de réparation, ou encore des IPs pour analyser et améliorer le rendement. Ces IPs sont
appelées « Infrastructure IPs » et correspondent au secteur des sociétés telles que LogicVision,
HPL, Rambus, Vector12, etc. ; iRoC Technologies se positionne sur ce créneau.
Afin de proposer des produits finis et prêts à être intégrés dans un SoC, iRoC Technologies
cherche à développer des partenariats avec des fournisseurs d’IPs. A ce jour, des accords ont
été signés pour fournir des IPs "SEE-free" avec : Artisan Component, Virage Logic pour les
mémoires embarquées, et Mentor/Inventra pour l’ensemble de leur catalogue (microprocesseur,
microcontrôleur, …). En ce qui concerne les ASIC, iRoC Technologies apporte une boîte à
outils pour la protection contre les SEE qui s’interfacent avec les outils de conception de
synthèse logique.
Dans le cadre de l’étude commandée par le CNES, le choix s’est porté sur une IP, le CoolRISC
du CSEM, car son fonctionnement n’est plus à démontrer (il est déjà commercialisé par la
Société XEMICS) et parce que le CSEM s’est montré intéressé par le concept de tolérance aux
transitoires qui devient nécessaire dans les circuits très basse consommation (car très basse
tension, donc a priori de plus grande susceptibilité). Le durcissement d’IPs n’est cependant pas
la vocation d'iRoC Technologies, les cibles visées par iRoC Technologies sont plutôt les
fabricants de semi-conducteurs et les concepteurs d’ASICs.
Les mécanismes de protection d'iRoC Technologies ne sont pas intrusifs et ne changent donc
pas le circuit d’origine. Cependant, une vérification fonctionnelle du circuit à la fin de l’insertion
est faite pour s’assurer que la fonction d’origine du circuit a été préservée. Pour ce faire, iRoC
Technologies utilise les "test-benches" développés par le fournisseur de l’IP. Ces "testbenches" sont dédiés à la vérification de chacun des modules dans les différents modes de
fonctionnement du circuit d’origine. Ensuite, iRoC Technologies développe ses propres "testbenches" dédiés à l’injection de fautes et permettant de valider l’efficacité des méthodes de
protection à l’aide d’injection de fautes.
L'architecture du CoolRISC à base de latches, dont l'horloge d'un bloc peut être inhibée s'il n'est
pas utilisé lors d'un cycle d'horloge (aspect "très basse consommation"), est un peu pénalisante
du point de vue de l'expansion du silicium nécessaire à la tolérance aux fautes car la logique d'
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 7/16
"enable" de l'horloge doit être redondée. Par ailleurs, de la logique spécifique au test a dû être
ajoutée. Enfin, pour tenir les délais de départ en fonderie, l'optimisation de ce taux d'expansion
n'a pas été poussée à son maximum, l'aspect "assurance du résultat" ayant parfois prévalu. A
contrario, le double arbre d'horloge existant intrinsèquement dans l'architecture du CoolRISC a
évité d'avoir à implémenter un deuxième arbre d'horloge comme le nécessite normalement les
D-FF/latches du "time redundancy".
La technique de protection de la logique implantée dans le CoolRISC-FT est le "Time
Redundancy (TR)". Cette technique consiste à comparer la sortie d’un bloc logique à un instant
T et à T+? . Le "time redundancy" nécessite donc une deuxième horloge retardée de ? , ce délai
? devant être supérieur à la durée estimée du "spike" dû à un transitoire. Etant donné que la
durée du transitoire est supposée plus ou moins indépendante de la réduction des
lithographies, ce délai ? limite donc la fréquence de fonctionnement du circuit. Par conséquent,
pour les circuits devant fonctionner à très haute fréquence (e.g. au dessus du GHz), la
redondance temporelle n’est plus envisageable.
Pour les circuits tres rapides, iRoC Technologies a donc également développé une technique
de "Space Redundancy" qui est basée sur un code détecteur d'erreurs qu'est le contrôle de la
parité. Cette technique consiste à analyser le circuit et déterminer l'intersection des cônes
logiques ("fan-in") en entrée des cellules mémoires (latches et flip-flops) ; un cône logique est un
réseau de portes impliquées dans la construction d'un signal donné. Ensuite, les signaux sont
partitionnés dans des groupes distincts où chaque groupe ne contient que des signaux dont les
cônes n'ont pas d'intersection. Pour chacun des groupes, la parité du groupe ainsi qu’un
prédicteur de parité sont générés. La comparaison entre la parité réelle et la parité prédite
permet de détecter les erreurs.
L'outil de génération automatique de iRoC Technologies est capable d’implanter ces deux
types de redondance. Le "space redundancy" n'a pas encore, pour l'instant, été implanté pour
un client.
La correction utilise la D-FF ("D flip-flop", bascule D) de détection pour re-exécuter l’instruction
qui a subi l’erreur. En cas de détection de faute, le système de correction arrête l’exécution de
l’instruction et recharge dans chaque registre fonctionnel (latch) la valeur contenue dans la D-FF
de détection. Du fait des différences de fonctionnement entre les latches et les D-FF, la D-FF
de détection contient la nouvelle donnée venant du niveau de pipeline précèdent et n’est donc
pas erronée. Il est bien sûr supposé qu’aucune erreur ne soit apparue au niveau n-1 du pipeline
quand une erreur est détectée au niveau n. Ensuite, le circuit continue son exécution. La
correction est transparente en absence de faute, et fait perdre un cycle d'horloge suite à une
détection et correction de faute (le retour en arrière d'un cycle est global à toute la puce). Vu le
taux d’occurrence des SET en orbite (probablement quelques uns par mois ou semaine), cela
ne pénalisera pas la puissance de calcul.
Néanmoins, la perte d’un cycle d’horloge nécessite des précautions sur les entrées/sorties : par
exemple la transmission d'un UART en serait perturbée. Pour les périphériques, il faut voir au
cas par cas les problèmes posés en fonction de leur fonctionnement précis et/ou de leur
utilisation système. Par exemple, certains cas pourraient être transparents : les périphériques
asynchrones disposant d'un handshaking (i.e. répondant par un signal "data valid" telle qu'une
mémoire asynchrone), les périphériques de communication utilisés dans des protocoles
disposant de contrôle (type "parité") et de fonction "retransmission sur erreur". Pour les
périphériques incompatibles avec la perte d'un cycle, un masquage (et non plus une correction)
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 8/16
est nécessaire. Autre solution : mettre systématiquement un cycle d'attente au cas où une
correction serait nécessaire, mais l'on perdrait un facteur 2 sur la fréquence de fonctionnement,
ce qui n'est pas souhaitable. Dans le cas du CoolRISC-FT, les périphériques n'ont pas fait
l'objet de protections spécifiques car ils ne seront pas utilisés lors des tests sous faisceaux ; ils
seront seulement utilisés lors de la phase de développement (chargement logiciel, etc.).
D’autres méthodes peuvent être implémentées pour la protection d’un circuit. L’utilisation de
latches durcies est un exemple. Cette méthode suppose cependant le développement de
latches durcies et est fortement dépendante du process technologique utilisé. De plus, elle
permet de s’affranchir des erreurs de type upset mais pas des erreurs transitoires. Aussi, la
méthode de triplication-vote des registres associée avec 2 décalages temporels pour l’horloge
(les 3 registres ayant chacun une horloge décalée d'un délai ? de façon séquentielle par rapport
aux autres) peut être utilisée. Cette technique est plus coûteuse en surface et en performance
mais elle est systématique en ce qui concerne l’implémentation.
Les MBU ("Multiples Bits Upset") et multiples SET ("Single Event Transient") qui pourraient se
produire dans le cœur processeur n'ont pas été pris en compte dans le cadre de cette étude.
Pour pouvoir les traiter, certaines précautions sont nécessaires. Concernant les mémoires, la
protection aux MBU peut se traiter au niveau implémentation en ségrégant bien les parties qui
ne doivent pas être perturbées simultanément ; la plupart des fournisseurs de mémoires utilisent
déjà des méthodes de « scrambling » pour éviter les MBU. Au niveau des bascules, les MBU
qui perturberaient un D-FF/latch nominal et son D-FF/latch de "time redundancy" seraient bien
évidemment non détectables ; là encore une implémentation judicieuse pourrait réduire /
supprimer le phénomène. Quand au problème des multiples SET qui pourraient perturber
plusieurs portes combinatoires dans un même bloc logique, cela n'a pas été pris en compte
dans le cadre de cette étude ; le besoin de protection à de tels phénomènes reste cependant à
confirmer ; aujourd'hui, le problème de MBU est mis essentiellement en évidence dans les
composants mémoires où la densité de points mémoire est très forte comparée à celle d’un
processeur.
Les transitoires sur un arbre d'horloge pourraient générer un front de prise en compte parasite
des D-FF/latches. Comme pour les MBU, si un seul des arbres d'horloge est perturbé, la non
cohérence entre couples D-FF/latch nominal et son D-FF/latch de "time redundancy" permettra
de détecter les erreurs ainsi générées. Par contre, la correction est difficile à mettre en œuvre
car tout le système sera perturbé. Ce cas n’a pas été pris en compte dans le cadre de cette
étude mais il est possible d’envisager un signal d’erreur spécifique pour ce type de fautes et de
résoudre le problème par un reset général du système. Le durcissement de l'arbre d'horloge
peut aussi être étudié. Des précautions peuvent être prises lors de la phase de placement du
circuit. Néanmoins, la probabilité d’apparition d’un tel phénomène sur les SoC actuels est très
faible du fait de la surface réduite de l’arbre d’horloge par rapport au reste du circuit.
Tous les SET dans la combinatoire seront détectés. Par contre, quelques précautions sont
nécessaires pour détecter tous les SEU dans les D-FF/latches. En effet, si un bloc combinatoire
est très rapide, le SEU dans la D-FF/latch amont pourrait avoir le temps de se propager dans
ce bloc combinatoire rapide et ainsi être latché par l'étage synchrone aval. Il faut donc vérifier
que les durées de propagation des différents blocs combinatoires soient bien équilibrées, quitte
à ajouter des délais ("buffers") pour ralentir les blocs trop rapides. Dans le cas du CoolRISC, on
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 9/16
notera que la conception était bien optimisée et que tous les blocs combinatoires avaient à peu
près le même nombre de couches électroniques ; aucune intervention à ce niveau n'a donc été
nécessaire.
L'ASIC de test nommé "SET-Probe" ne cherche pas à mesurer le phénomène analogique du
"spike" au niveau de la porte sur laquelle il apparaît, mais essentiellement la durée temporelle
du transitoire (remis en forme logique par d'autres couches de portes). Une autre étude réalisée
par iRoC Technologies s'attache plus à la caractérisation analogique du transitoire sur la porte
où il apparaît.
La logique de mesure dans l'ASIC de test nommé "SET-Probe" n'est pas protégée mais on sait
discrétiser les SEE dans la partie "sous test" de ceux dans la partie "mesure". Il n'a pas
cependant été possible de sortir à l'extérieur les signaux permettant d'en avoir connaissance
pour un problème de limitation du nombre de broches disponibles en sortie du circuit. La
surface sensible de la partie "sous test" étant d'environ un tiers, deux SEE sur trois toucheront la
partie "mesure" (ce qui provoque alors un reset de la logique, sans que l'extérieur en soit averti)
; ceci ne perturbe pas la mesure.
Il faut faire attention à ce que les fonctions de tests nominales du circuit, telle que le JTAG,
soient protégées ou inhibées de façon sûre pour qu'un SEE ne puisse les activer de façon
inopportune. Par exemple, dans le CoolRISC-FT la logique de reset a été protégée (par un
filtrage sur un nombre de cycles d'horloge suffisants). Autre exemple, les logiques de division de
fréquence ont été particulièrement protégées par l’utilisation de TMR.
Une conclusion du débat est que, même si la méthode est assez générique (d'ailleurs
grandement implémentée via des outils automatiques ou autres scripts), il faut néanmoins
descendre suffisamment dans le design pour prendre un certain nombre de précautions.
Cependant, ceci ne nécessite pas une connaissance très fine de la fonctionnalité du circuit ; par
exemple, hormis quelques fonctions comme les arbres de reset, d'horloge, le JTAG, etc., un
bloc logique est considéré comme une "boîte noire". Le travail se fait plus au niveau de
l'architecture du circuit (ensemble de blocs combinatoires séparés par des étages pipeline
synchrones). Il a fallu environ 5 h.mois pour implémenter la tolérance aux SEE du cœur
CoolRISC ; cette implémentation a été presque entièrement automatisée (scripts, etc.),
l'implémentation de la tolérance dans les mémoires étant, elle, entièrement automatisée.
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 10/16
4 – CONCLUSION / REMERCIEMENTS
Le nombre et la diversité des sociétés qui ont assisté à la présentation de cette R&D du CNES
montre bien l'acuité des problèmes engendrés par les transitoires dans les ASICs actuellement
ou dans un futur proche.
Les organisateurs remercient les présentateurs, la société iRoC Technologies et le laboratoire
Suisse CSEM, ainsi que l'ensemble des participants pour avoir permis cet échange et ces
débats intéressants sur ce thème.
Il est rappelé qu'une deuxième présentation des résultats de cette R&D aura lieu vers mi-2003 ;
cette présentation sera plus orientée "Méthodologie de test des prototypes ASIC et résultats
obtenus lors de leur validation et lors de la campagne d'injection sous faisceau d'ions lourds".
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
ANNEXE 1
°°°°°°°°°°
Avis de présentation
Page 11/16
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 12/16
Le développement de l'électronique spatiale passe de façon incontournable par les ASICs. Or, avec des
technologies de plus en plus rapides, il ne sera plus possible de négliger les transitoires générés dans la logique
combinatoire par les ions lourds. Par conséquent, il est nécessaire pour les futurs ASICs de trouver des
mécanismes de protection qui permettent d'éviter de tripliquer l'ensemble de la fonction de l'ASIC (pour cause de
complexité / fiabilité / consommation). Il est également souhaitable de disposer de solutions performantes vis à vis
des autres problèmes liés aux ions lourds.
Le spatial, qui a depuis longtemps dû prendre en compte les effets des ions lourds, n'est plus le seul domaine
concerné ; avec la réduction des lithographies, l'électronique industrielle (aéronautique, automotive, etc.) est, ou
sera, également confronté à ces phénomènes.
Fin 2000, le CNES a engagé la réalisation d'une phase de validation par maquettage et test sous faisceau d'ions
lourds de concepts de détection / correction d'erreurs au niveau "conception VHDL", concepts brevetés par
l'université de Grenoble (TIMA) et la spin-off iRoC Technologies, et industrialisés par iRoC Technologies. Le
maquettage est basé sur une IP d'un microcontroleur 8 bits CoolRISC très basse consommation développé par le
laboratoire Suisse CSEM et concerne la réalisation de quatre ASICs prototypes : CoolRISC de référence (i.e. sans
tolérance), CoolRISC tolérant aux ions lourds, deux ASICs de tests spécifiques à la caractérisation fine des
mécanismes de tolérance. Les prototypes ASICs seront reçus début 2003.
Vous êtes conviés à la présentation finale des résultats de cette étude réalisée par iRoC Technologies, qui aura
lieu en deux parties distinctes :
- première partie le 28/11/2002 et le 19/12/2002 : présentation des solutions de tolérance et des maquettages de
validation ;
- deuxième partie vers mi 2003 : présentation des résultats de test des prototypes ASICs.
La première de ces deux présentations aura lieu :
- au CNES Toulouse,
- le jeudi 28 novembre de 10h00 à 13h00 ainsi que le jeudi 19 décembre de 9h15 à 12h30.
Pour des raisons d'organisation, merci de confirmer votre participation par mail à :
[email protected]
Ci-joint résumé de la présentation et un plan d'accès au CNES.
Agenda du 28/11/2002 et du 19/12/2002 :
- Introduction du CNES : contexte et présentation de l'étude (10 mn).
- Introduction d'iRoC Technologies (E. Dupont) (10 mn).
- Introduction du CSEM (C. Piguet) (10 à 20 mn).
- Pause café (15 mn).
- Présentation du CoolRisc : le circuit de référence, les protections (D. Chardonnereau) (1h00).
- Présentation des deux ASICs de tests (R. Perez) (45 mn).
- Présentation de la méthodologie de test (D. Chardonnereau) (15 mn).
- Questions / réponses (15 mn).
Cordialement.
Jean Bertrand / Michel Pignol
CNES
18 avenue Edouard Belin
31401 Toulouse Cedex 4
FRANCE
Jean BERTRAND
DTS/AQ/QCP/CE
Email : [email protected]
Phone : +33 (0)5.61.28.21.76
Fax : +33 (0)5.61.28.13.30
Michel PIGNOL
DTS/AE/SEA/IL
Email : [email protected]
Phone : +33 (0)5.61.27.43.61
Fax : +33 (0)5.61.28.19.96
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 13/16
Systèmes Tolérants aux Fautes
Transitoires
Présentation du projet CoolRisc
SYSTEMES TOLERANTS AUX FAUTES TRANSITOIRES
Jeudi 28 novembre 2002 de 10h00 à 13h00
CNES, Centre Spatial de Toulouse, Bâtiment Poincaré, Salle de Conférence
Projet CoolRisc
L'étude réalisée par la société iRoC Technologies pour le CNES présente les méthodes mises en oeuvre pour la
conception de circuits intégrés complexes tolérants aux erreurs de type Upset et Transitoire appelées plus
généralement Soft Errors.
Suite à l'augmentation de la fréquence de fonctionnement des circuits, à la diminution de la géométrie de gravure
et à la réduction des tensions d'alimentation, la fiabilité des circuits intégrés submicroniques est affectée par de
plus en plus de problèmes. En particulier, les effets des Soft Errors générées par diverses particules au niveau
terrestre étaient auparavant négligés ou partiellement pris en compte au niveau spatial alors qu'ils représentent
aujourd'hui une sérieuse menace dans les circuits utilisant les technologies les plus avancées, c'est à dire
inférieures à 0.25?m.
En première partie, l'implémentation des techniques de protection sur le Système sur Puce CoolRISC sera
présentée. Une seconde partie exposera quatre circuits permettant une caractérisation plus détaillée de ces
techniques.
Pour mettre en oeuvre ses techniques, la société iRoC Technologies s'est basée sur un cœur de microcontrôleur
8 bits: le CoolRISC, développé par le laboratoire CSEM a Neuchatel. Ce cœur a été protégé puis intégré dans un
Système sur Puce (SoC) avec des mémoires et des périphériques qui ont eux aussi été protégés. Le circuit de
référence non protégé ainsi que le circuit protégé sont en cours de fabrication afin de comparer les résultats sous
faisceau.
Les différents éléments du système CoolRISC ont été analysés et protégés contre les Soft Errors en appliquant
des techniques différentes en fonction qu'il s'agisse de mémoires, de logique pure ou de registres.
Les méthodes utilisées pour la protection des mémoires sont des méthodes de type ECC (Error Code Correction)
mêlées à des techniques propres à iRoC Technologies permettant une optimisation en performance et en surface
de silicium. Concernant les éléments de logique et les registres, la méthode de redondance temporelle a été
implémentée. Elle consiste à détecter et corriger des erreurs de type Upset ou Transitoire apparaissant dans les
cellules séquentielles (latches et flip-flop).
Afin de caractériser plus en détail ces techniques, quatre autres circuits ont été conçus. Ils implémentent
respectivement un circuit de caractérisation de la protection contre les Upsets, de la protection contre les
Transients, un circuit de détection de largeur des impulsions de type Transient, et un circuit de caractérisation à
haute vitesse des techniques de redondance temporelle.
La conclusion abordera la méthodologie de test et la campagne de sous faisceau permettant de valider ces
concepts.
La participation à ce séminaire est libre et gratuite, après inscription auprès de
Mylene Ho-Tin-Noe : [email protected]
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
ANNEXE 2
°°°°°°°°°°
Liste des participants
Page 14/16
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 15/16
Centres de Compétence Technique du CNES
FICHE DE PARTICIPATION AUX ANIMATIONS
(Séminaires, Ateliers, Colloques)
CCT
organisateur(s)
Tit re de l'animation
Date
05 & 15
1ère présentation iRoC "Validation de concepts de
tolérance aux transitoires dans les ASICs"
Présentation à l'industrie
28/11/02
ORGANISMES
(Préciser le sigle CNES ou le nom de l'organisme
auquel vous appartenez)
Nom/Prénom
PIGNOL Michel
BERTRAND Jean
VENTURIN JeanLouis
HEINS Patrick
BAGUENA Louis
CASTEL Laurent
ZECCHINI Raphaël
CHAMPETIER
Calixte
LE ROY Marc
NOTEBAERT Olivier
PLANCHE Thierry
TUAL Jean-Claude
BRIET Michel
DE SAINT ROMAN
Dominique
LERAY Jean-Luc
PIGUET Christian
CALVET Marie
Catherine
CORMERY Patrick
HUBERT Guillaume
CHARDONNEREAU
Damien
DUPONT Eric
NICOLAIDIS Michaël
PEREZ Renaud
ROCHE Fernand
Michel
BOUCHET Marc
LE MAUF Joël
CNES
INDUSTRIE
AUTRES
ORGANISMES
DTS/AE/SEA/IL
DTS/AQ/QCP/CE
DTS/AQ/QCP/CE
Adhérez vous à
un CCT ?
Si OUI
N°
e- m a i l
téléphone
05-15-18
15
15
[email protected]
"
"
05 61 27 43 61
05 61 28 21 76
05 61 27 39 26
[email protected]
prenom.nom
@space-alcatel.fr
"
[email protected]
05 61 93 07 08
05 34 35 59 12
AIRBUS France
ASP Toulouse
ASP Toulouse
ASP Cannes
ASTRIUM
Toulouse
ASTRIUM
Toulouse
ASTRIUM
Toulouse
ASTRIUM
Toulouse
ASTRIUM Vélizy
ATMEL Nantes
prenom.nom
@astrium-space.com
marc.leroy
@astrium-space.com
prenom.nom
@astrium-space.com
"
15
ATMEL Nantes
CEA-DAM
Bruyères-leChâtel
15
CSEM
EADS-LV
EADS-LV
EADSNUCLETUDES
iRoC Tech.
iRoC Tech.
iRoC Tech.
iRoC Tech.
ISIM / LIRMM
THALES
XILINX
05 34 35 64 79
04 92 92 61 02
05 61 28 15 35
05 62 19 64 87
05 62 19 78 76
05 62 19 74 23
05 62 19 66 75
"
prenom.nom
@nto.atmel.com
dominique.de-saint-roman
@nto.atmel.com
[email protected]
01 34 88 34 70
02 40 18 19 63
[email protected]
prenom.nom
@launchers.eads.net
"
+41327205227
01 39 06 12 91
[email protected]
01 60 92 61 00
[email protected]
04 38 12 07 63
"
"
"
[email protected]
[email protected]
prenom.nom
@fr.thalesgroup.com
[email protected]
"
"
"
04 67 41 85 22
02 40 18 18 02
01 69 26 79 26
01 39 06 25 11
01 34 81 46 87
02 40 18 59 27
Réf. CNES :
DTS/AE/SEA/IL/02-219
Edit. : 1
Rév. : 0
Date : 31/03/2003
Page 16/16
Centres de Compétence Technique du CNES
FICHE DE PARTICIPATION AUX ANIMATIONS
(Séminaires, Ateliers, Colloques)
CCT
organisateur(s)
Titre de l'animation
Date
05 & 15
1ère présentation iRoC "Validation de concepts de
tolérance aux transitoires dans les ASICs"
Présentation au CNES
19/12/02
ORGANISMES
(Préciser le sigle CNES ou le nom de l'organisme
auquel vous appartenez)
Nom/Prénom
PIGNOL Michel
BERTRAND Jean
VENTURIN JeanLouis
CARAYON JeanLouis
LASSERE François
LACROIX Daniel
BERNARD Vivian
BELASIC Marielle
REMETEAN Emile
SABA Bruno
BOSSARD François
VIGEANT Fabien
POUPONNOT André
CHARDONNEREAU
Damien
PEREZ Renaud
Adhérez vous à
un CCT ?
Si OUI
N°
e- m a i l
téléphone
DTS/AE/SEA/IL
DTS/AQ/QCP/CE
DTS/AQ/QCP/CE
05-15-18
15
15
[email protected]
"
"
05 61 27 43 61
05 61 28 21 76
05 61 27 39 26
DSO/ED/MS/IM
05 - 15
"
05 61 27 43 07
DTS/MPI/PS/EP
DTS/AQ/QCP/D
DTS/AQ/QCP/PR
DTS/AQ/QCP/CE
DTS/AE/SEA/ET
DTS/AE/SEA/ET
DTS/AE/SEA/IL
DTS/AE/SEA/IL
15
15
15
15
15
15
5
05 61 27 48 37
05 61 27 46 33
05 61 28 15 48
05 61 28 16 69
05 61 28 18 27
05 61 28 28 76
05 61 27 42 21
05 61 27 49 64
+31715653685
iRoC Tech.
"
"
"
"
"
"
"
"
[email protected]
[email protected]
iRoC Tech.
"
"
CNES
INDUSTRIE
AUTRES
ORGANISMES
ESTEC
04 38 12 07 63