Présentation - (CCT) du CNES
Transcription
Présentation - (CCT) du CNES
DIRECTION DES T ECHNIQUES SPATIALES SOUS-DIRECTION TECHNIQUES AEROSPATIALES DIVISION SYSTEMES ELECTRIQUES ET AUTOMATIQUES DEPARTEMENT INFORMATIQUE ET LOGICIELS BORD Réf. : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Nbre pages : 1/16 Date : 31/03/2003 CCT 5 - 15 °°°°°°°°°°° Compte-rendu de la 1 ère présentation orientée "Concepts" de la R&D réalisée par iRoC Technologies "Validation de concepts de tolérance aux transitoires dans les ASICs" M OTS CLES : ASIC, transitoire, SEE, SEU, SET, faute, tolérance RESUME : Cette note fournit un compte-rendu de la 1ère présentation orientée "Concepts" de la R&D réalisée par iRoC Technologies "Validation de concepts de tolérance aux transitoires dans les ASICs" ayant eu lieu les 28 novembre et 19 décembre 2002 au CNES Toulouse. Ce compte-rendu et les transparents de cette présentation sont diffusés aux participants par mél. Diffusion : Voir pages suivantes CENTRE NATIONAL D 'ETUDES S PATIALES Siège Centre de Toulouse 2, place Maurice Quentin - 75039 Paris Cedex 01 18, avenue Edouard Belin - 31401 Toulouse Cedex 4 Tél. : 33 (0)1 44 76 75 00 / Fax : 33 (0)1 44 46 76 76 Tél. : 33 (0) 5 61 27 31 31 / Fax : 33 (0) 5 61 27 31 79 Site Internet : http://www.cnes.fr RCS P ARIS B 775 665 912 - SIRET 775 665 912 000 82 / CODE APE 731Z N° d'identification TVA : FR 49 775 665 912 Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 2/16 DIFFUSION EXTERNE : Diffusion aux participants : AIRBUS France ASP Toulouse ASP Cannes ASTRIUM Toulouse ASTRIUM Vélizy ATMEL Nantes CEA-DAM HEINS Patrick BAGUENA Louis, CASTEL Laurent ZECCHINI Raphaël CHAMPETIER Calixte, LE ROY Marc, NOTEBAERT Olivier, PLANCHE Thierry TUAL Jean-Claude BRIET Michel, DE SAINT ROMAN Dominique LERAY Jean-Luc CSEM PIGUET Christian EADS-LV EADS-NUCLETUDES ESA iRoC Technologies CALVET Marie Catherine, CORMERY Patrick, HUBERT Guillaume POUPONNOT André CHARDONNEREAU Damien, DUPONT Eric, NICOLAIDIS Michaël, PEREZ Renaud ISIM / LIRMM THALES XILINX ROCHE Fernand Michel BOUCHET Marc LE MAUF Joël Diffusion complémentaire : ASP Toulouse ASP Valence ASTRIUM Toulouse ASTRIUM Vélizy DGA DGA-CEGramat DGA-CELAR INPG-TIMA MBDA France ONERA-DESP THALES ESTAVES Guy MAISTRE Pierre-François BOLEAT Christian, CERNI Marc, CHESSE Olivier, LALANDE Jacques COLDEFY Jean-François DALLOT Pierre, GRISON Xavier, PINNETERRE Vincent ZAISB A. DAVENEL F. VELAZCO Raoul BUTEL Philippe, FOULON Michel, GRAVES Philippe, NOUET Christophe, SAGET Brigitte, VIALLE Bruno, VIGIER Magali DUZELLIER Sophie APPEL Jean-Pierre, GREMILLET Patrick Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 DIFFUSION INTERNE : Diffusion aux participants : DSO/ED/MS/IM DTS/MPI/PS/EP DTS/AQ/QCP/D DTS/AQ/QCP/PR DTS/AQ/QCP/CE DTS/AE/SEA/ET DTS/AE/SEA/IL CARAYON Jean-Louis LASSERE François LACROIX Daniel BERNARD Vivian BELASIC Marielle, VENTURIN Jean-Louis, BERTRAND Jean, REMETEAN Emile, SABA Bruno BOSSARD François, VIGEANT Fabien, PIGNOL Michel Diffusion complémentaire : DLA/RAP/RTA/EGS DLA/AP/QL/S DLA/SDA/A/SEL DLA/SDA/SY/CS DLA/SDA/SY/SEL DPI/RTI/SO DEE/IR/TSI/AI DSO/PASO DSO/ED/MA/OB DSO/ED/MA/SY DSO/ED/PS/SL DSO/OT/SE/IA DSO/OT//OA DSO/RC/TR/SF DTS/CCT DTS/AQ/D DTS/AQ/EQE/D DTS/AQ/EQE/ER DTS/AQ/QIS/SF DTS/AQ/QCP/PR DTS/AQ/QCP/TP DTS/AQ/QCP/CE DTS/AE/D DTS/AE/SEA/D DTS/AE/SEA/ET DTS/AE/SEA/IL CASTANET Fabien VELLA Bruno MIRAMONT Philippe PILCHEN Guy BONNEROT Georges-Albert DAVID-VAUDEY Pierre, BELLAICHE Gilles JOCTEUR-MONROZIER François AGUTTES Jean-Paul MEYER Jean-Renaud LABORDE Bertrand ROBERT Emmanuel CARLIER Thierry GLEYZES Alain, PERRET Lionel, LAHERRERE Jean-Marc CASTETS Bernard SAHL Isabelle BOURDEIL Michel FORTEA Jean-Pierre BEZERRA Françoise, ECOFFET Robert LAULHERET Roland CHIAVASSA Florence, LORFEVRE Eric PUIG Olivier 1 ex. circ. AVIGNON Michel MARCHAL Philippe MOURY Gilles, 1 ex. circ. SEGUELA Dominique, 1 ex. circ. Page 3/16 Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 4/16 1 - OBJET Cette note fournit un compte-rendu de la 1ère présentation orientée "Concepts" de la R&D du CNES réalisée par iRoC Technologies "Validation de concepts de tolérance aux transitoires dans les ASICs" ayant eu lieu au CNES Toulouse : - le 28 novembre à l'attention de l'industrie, - et le 19 décembre 2002 à l'attention du personnel CNES. On notera une forte participation industrielle à cette présentation : 36 personnes dont 24 extérieurs. Ceci montre bien l'intérêt de la communauté spatiale et militaire vis à vis des problèmes des transitoires dans les ASICs. Les principaux éléments abordés lors des questions / réponses et des débats qui ont eu lieu durant cette présentation sont synthétisés dans ce document. L'avis/agenda est fourni en annexe 1, la liste des participants est fournie en annexe 2. Ce compte-rendu et les transparents de cette présentation sont diffusés par mél aux participants ainsi qu'à ceux qui en ont fait la demande. 2 – RAPPEL DE L'OBJET DE CETTE R&D Le développement de l'électronique spatiale passe de façon incontournable par les ASICs. Or, avec des technologies de plus en plus rapides, il ne sera plus possible de négliger les transitoires générés dans la logique combinatoire par les particules (ions lourds, protons), la durée du "spike" généré se rapprochant de plus en plus de la période d'horloge. Par conséquent, il est nécessaire pour les futurs ASICs de trouver des mécanismes de protection qui permettent d'éviter les durcissements fonctionnels lourds tel que tripliquer l'ensemble de l'ASIC (pour cause de complexité / fiabilité / consommation). Il est également souhaitable de disposer de solutions performantes vis à vis des autres problèmes liés aux ions lourds. Fin 2000, le CNES a engagé la réalisation d'une phase de validation par maquettage et test sous faisceau d'ions lourds de concepts de détection / correction d'erreurs au niveau "conception VHDL", concepts brevetés par l'université de Grenoble (TIMA) et la spin-off iRoC Technologies, et industrialisés par iRoC Technologies. Le maquettage est basé sur l'IP ("Intellectual Property") d'un microcontroleur 8 bits CoolRISC très basse consommation développé par le laboratoire Suisse CSEM et concerne la réalisation de quatre ASICs prototypes : CoolRISC de référence (i.e. sans tolérance), CoolRISC tolérant aux ions lourds, deux ASICs (quatre fonctions) de test spécifiques à la caractérisation fine des mécanismes de tolérance et de la durée des transitoires. Les prototypes ASICs seront reçus début 2003. Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 5/16 3 – SYNTHESE DES PRINCIPAUX ELEMENTS ABORDES LORS DES DEBATS Des bibliothèques de durcissement à la dose sont en cours de développement (cf. travaux ESA). Les problèmes "dose" et "SEE" ("Single Event Effect") sont indépendants et les solutions SEE de iRoC Technologies s'adaptent quelles que soient les bibliothèques. On notera que la réduction des lithographies va dans le bon sens pour la tenue à la dose des technologies commerciales. Le test sous faisceau n'a pas pour but de caractériser la technologie mais de générer des erreurs. A ce titre, seul l'un des ions de plus forte énergie sera utilisé (typiquement le Brome). La couverture de test fondeur n'est pas réduite par l'implémentation des mécanismes de tolérance aux SEE car le circuit est toujours testable de la même façon, et les D-FF/latch du "time redundancy" sont testables à 100 % grâce au scan-path qui permet d'injecter un bit faux sur les comparateurs. Le choix du support pour l'implémentation des mécanismes d'iRoC Technologies s'est porté naturellement sur un ASIC ; ceci était incontournable pour caractériser finement ces mécanismes. La problématique des FPGA est différente. En effet, les FPGA volatiles ("SRAM based") sont également sensibles au niveau de la configuration du circuits ("le bitstream") ; dans leur cas, une reprise avec le contexte du cycle d’horloge n-1 ne permet pas de se prémunir des erreurs de routage, la triplication restant alors la solution pour garantir la non propagation d’un upset. Il s'agit donc d'un autre domaine applicatif qui nécessite une étude spécifique. Les technologies commerciales peuvent être traitées au niveau design vis à vis des SEE comme la présentation le montre. L’objet de l’étude n’est pas de qualifier la technologie CMOS 0,18µm d’UMC. En effet, le problème des SEL n’a pas été traité : sous faisceau, le CoolRISC sera protégé par un délatcheur. Néanmoins, il semble que les technologies commerciales soient de plus en plus résistantes au phénomène de latch-up : les fondeurs présents confirment qu'en 0,8 et 0,5 µm il y avait beaucoup de SEL, et qu'il y en a beaucoup moins en 0,25 et 0,18 µm. Cela pourrait s’expliquer par l’utilisation quasi généralisée d’une couche d’épitaxie, la diminution de l’épaisseur du substrat et l’utilisation d’isolation de type "trench" entre les puits ; ceci n’est évidemment pas une règle absolue. Une société présente a cité l’exemple de l'approvisionnement d'un 1er lot de DRAM "SEL-free" suivi d’un deuxième lot qui s’est révélé sensible aux latch-up. Cependant, même dans les technologies tolérantes aux radiations qualifiées spatiales, on constate que certains runs sont "SEL-free" mais pas forcément tous. Le circuit CoolRISC-FT a été développé uniquement dans un but de caractérisation des mécanismes d'iRoC Technologies ; il n'a pas de vocation commerciale. L'offre d'iRoC Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 6/16 Technologies n'est pas seulement de vendre des IP durcies aux SEE de type "boîte noire" mais aussi de durcir aux SEE des circuits conçus par les industriels. Les structures de type IP prennent de plus en plus d'importance. Néanmoins, il est parfois difficile de négocier avec les fournisseurs d'IPs vis à vis des problèmes de responsabilité du bon fonctionnement une fois l'IP intégré dans un System-on-Chip (SoC). La difficulté concernant l'implantation des techniques d'iRoC Technologies dans des IPs approvisionnées est qu’en général on ne peut pas maîtriser le contenu de l'IP sans l’aide du concepteur ; de toute façon, il y a fort à parier que le fournisseur d’IPs refusera que l’on modifie son code VHDL ou alors se dégagera de toute responsabilité. Cependant, les concepteurs de SoC reconnaissent de plus en plus la nécessité d’ajouter des IPs supplémentaires pour faire fonctionner le circuit final : il s’agit d’ajouter des IP de debug, de test, de réparation, ou encore des IPs pour analyser et améliorer le rendement. Ces IPs sont appelées « Infrastructure IPs » et correspondent au secteur des sociétés telles que LogicVision, HPL, Rambus, Vector12, etc. ; iRoC Technologies se positionne sur ce créneau. Afin de proposer des produits finis et prêts à être intégrés dans un SoC, iRoC Technologies cherche à développer des partenariats avec des fournisseurs d’IPs. A ce jour, des accords ont été signés pour fournir des IPs "SEE-free" avec : Artisan Component, Virage Logic pour les mémoires embarquées, et Mentor/Inventra pour l’ensemble de leur catalogue (microprocesseur, microcontrôleur, …). En ce qui concerne les ASIC, iRoC Technologies apporte une boîte à outils pour la protection contre les SEE qui s’interfacent avec les outils de conception de synthèse logique. Dans le cadre de l’étude commandée par le CNES, le choix s’est porté sur une IP, le CoolRISC du CSEM, car son fonctionnement n’est plus à démontrer (il est déjà commercialisé par la Société XEMICS) et parce que le CSEM s’est montré intéressé par le concept de tolérance aux transitoires qui devient nécessaire dans les circuits très basse consommation (car très basse tension, donc a priori de plus grande susceptibilité). Le durcissement d’IPs n’est cependant pas la vocation d'iRoC Technologies, les cibles visées par iRoC Technologies sont plutôt les fabricants de semi-conducteurs et les concepteurs d’ASICs. Les mécanismes de protection d'iRoC Technologies ne sont pas intrusifs et ne changent donc pas le circuit d’origine. Cependant, une vérification fonctionnelle du circuit à la fin de l’insertion est faite pour s’assurer que la fonction d’origine du circuit a été préservée. Pour ce faire, iRoC Technologies utilise les "test-benches" développés par le fournisseur de l’IP. Ces "testbenches" sont dédiés à la vérification de chacun des modules dans les différents modes de fonctionnement du circuit d’origine. Ensuite, iRoC Technologies développe ses propres "testbenches" dédiés à l’injection de fautes et permettant de valider l’efficacité des méthodes de protection à l’aide d’injection de fautes. L'architecture du CoolRISC à base de latches, dont l'horloge d'un bloc peut être inhibée s'il n'est pas utilisé lors d'un cycle d'horloge (aspect "très basse consommation"), est un peu pénalisante du point de vue de l'expansion du silicium nécessaire à la tolérance aux fautes car la logique d' Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 7/16 "enable" de l'horloge doit être redondée. Par ailleurs, de la logique spécifique au test a dû être ajoutée. Enfin, pour tenir les délais de départ en fonderie, l'optimisation de ce taux d'expansion n'a pas été poussée à son maximum, l'aspect "assurance du résultat" ayant parfois prévalu. A contrario, le double arbre d'horloge existant intrinsèquement dans l'architecture du CoolRISC a évité d'avoir à implémenter un deuxième arbre d'horloge comme le nécessite normalement les D-FF/latches du "time redundancy". La technique de protection de la logique implantée dans le CoolRISC-FT est le "Time Redundancy (TR)". Cette technique consiste à comparer la sortie d’un bloc logique à un instant T et à T+? . Le "time redundancy" nécessite donc une deuxième horloge retardée de ? , ce délai ? devant être supérieur à la durée estimée du "spike" dû à un transitoire. Etant donné que la durée du transitoire est supposée plus ou moins indépendante de la réduction des lithographies, ce délai ? limite donc la fréquence de fonctionnement du circuit. Par conséquent, pour les circuits devant fonctionner à très haute fréquence (e.g. au dessus du GHz), la redondance temporelle n’est plus envisageable. Pour les circuits tres rapides, iRoC Technologies a donc également développé une technique de "Space Redundancy" qui est basée sur un code détecteur d'erreurs qu'est le contrôle de la parité. Cette technique consiste à analyser le circuit et déterminer l'intersection des cônes logiques ("fan-in") en entrée des cellules mémoires (latches et flip-flops) ; un cône logique est un réseau de portes impliquées dans la construction d'un signal donné. Ensuite, les signaux sont partitionnés dans des groupes distincts où chaque groupe ne contient que des signaux dont les cônes n'ont pas d'intersection. Pour chacun des groupes, la parité du groupe ainsi qu’un prédicteur de parité sont générés. La comparaison entre la parité réelle et la parité prédite permet de détecter les erreurs. L'outil de génération automatique de iRoC Technologies est capable d’implanter ces deux types de redondance. Le "space redundancy" n'a pas encore, pour l'instant, été implanté pour un client. La correction utilise la D-FF ("D flip-flop", bascule D) de détection pour re-exécuter l’instruction qui a subi l’erreur. En cas de détection de faute, le système de correction arrête l’exécution de l’instruction et recharge dans chaque registre fonctionnel (latch) la valeur contenue dans la D-FF de détection. Du fait des différences de fonctionnement entre les latches et les D-FF, la D-FF de détection contient la nouvelle donnée venant du niveau de pipeline précèdent et n’est donc pas erronée. Il est bien sûr supposé qu’aucune erreur ne soit apparue au niveau n-1 du pipeline quand une erreur est détectée au niveau n. Ensuite, le circuit continue son exécution. La correction est transparente en absence de faute, et fait perdre un cycle d'horloge suite à une détection et correction de faute (le retour en arrière d'un cycle est global à toute la puce). Vu le taux d’occurrence des SET en orbite (probablement quelques uns par mois ou semaine), cela ne pénalisera pas la puissance de calcul. Néanmoins, la perte d’un cycle d’horloge nécessite des précautions sur les entrées/sorties : par exemple la transmission d'un UART en serait perturbée. Pour les périphériques, il faut voir au cas par cas les problèmes posés en fonction de leur fonctionnement précis et/ou de leur utilisation système. Par exemple, certains cas pourraient être transparents : les périphériques asynchrones disposant d'un handshaking (i.e. répondant par un signal "data valid" telle qu'une mémoire asynchrone), les périphériques de communication utilisés dans des protocoles disposant de contrôle (type "parité") et de fonction "retransmission sur erreur". Pour les périphériques incompatibles avec la perte d'un cycle, un masquage (et non plus une correction) Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 8/16 est nécessaire. Autre solution : mettre systématiquement un cycle d'attente au cas où une correction serait nécessaire, mais l'on perdrait un facteur 2 sur la fréquence de fonctionnement, ce qui n'est pas souhaitable. Dans le cas du CoolRISC-FT, les périphériques n'ont pas fait l'objet de protections spécifiques car ils ne seront pas utilisés lors des tests sous faisceaux ; ils seront seulement utilisés lors de la phase de développement (chargement logiciel, etc.). D’autres méthodes peuvent être implémentées pour la protection d’un circuit. L’utilisation de latches durcies est un exemple. Cette méthode suppose cependant le développement de latches durcies et est fortement dépendante du process technologique utilisé. De plus, elle permet de s’affranchir des erreurs de type upset mais pas des erreurs transitoires. Aussi, la méthode de triplication-vote des registres associée avec 2 décalages temporels pour l’horloge (les 3 registres ayant chacun une horloge décalée d'un délai ? de façon séquentielle par rapport aux autres) peut être utilisée. Cette technique est plus coûteuse en surface et en performance mais elle est systématique en ce qui concerne l’implémentation. Les MBU ("Multiples Bits Upset") et multiples SET ("Single Event Transient") qui pourraient se produire dans le cœur processeur n'ont pas été pris en compte dans le cadre de cette étude. Pour pouvoir les traiter, certaines précautions sont nécessaires. Concernant les mémoires, la protection aux MBU peut se traiter au niveau implémentation en ségrégant bien les parties qui ne doivent pas être perturbées simultanément ; la plupart des fournisseurs de mémoires utilisent déjà des méthodes de « scrambling » pour éviter les MBU. Au niveau des bascules, les MBU qui perturberaient un D-FF/latch nominal et son D-FF/latch de "time redundancy" seraient bien évidemment non détectables ; là encore une implémentation judicieuse pourrait réduire / supprimer le phénomène. Quand au problème des multiples SET qui pourraient perturber plusieurs portes combinatoires dans un même bloc logique, cela n'a pas été pris en compte dans le cadre de cette étude ; le besoin de protection à de tels phénomènes reste cependant à confirmer ; aujourd'hui, le problème de MBU est mis essentiellement en évidence dans les composants mémoires où la densité de points mémoire est très forte comparée à celle d’un processeur. Les transitoires sur un arbre d'horloge pourraient générer un front de prise en compte parasite des D-FF/latches. Comme pour les MBU, si un seul des arbres d'horloge est perturbé, la non cohérence entre couples D-FF/latch nominal et son D-FF/latch de "time redundancy" permettra de détecter les erreurs ainsi générées. Par contre, la correction est difficile à mettre en œuvre car tout le système sera perturbé. Ce cas n’a pas été pris en compte dans le cadre de cette étude mais il est possible d’envisager un signal d’erreur spécifique pour ce type de fautes et de résoudre le problème par un reset général du système. Le durcissement de l'arbre d'horloge peut aussi être étudié. Des précautions peuvent être prises lors de la phase de placement du circuit. Néanmoins, la probabilité d’apparition d’un tel phénomène sur les SoC actuels est très faible du fait de la surface réduite de l’arbre d’horloge par rapport au reste du circuit. Tous les SET dans la combinatoire seront détectés. Par contre, quelques précautions sont nécessaires pour détecter tous les SEU dans les D-FF/latches. En effet, si un bloc combinatoire est très rapide, le SEU dans la D-FF/latch amont pourrait avoir le temps de se propager dans ce bloc combinatoire rapide et ainsi être latché par l'étage synchrone aval. Il faut donc vérifier que les durées de propagation des différents blocs combinatoires soient bien équilibrées, quitte à ajouter des délais ("buffers") pour ralentir les blocs trop rapides. Dans le cas du CoolRISC, on Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 9/16 notera que la conception était bien optimisée et que tous les blocs combinatoires avaient à peu près le même nombre de couches électroniques ; aucune intervention à ce niveau n'a donc été nécessaire. L'ASIC de test nommé "SET-Probe" ne cherche pas à mesurer le phénomène analogique du "spike" au niveau de la porte sur laquelle il apparaît, mais essentiellement la durée temporelle du transitoire (remis en forme logique par d'autres couches de portes). Une autre étude réalisée par iRoC Technologies s'attache plus à la caractérisation analogique du transitoire sur la porte où il apparaît. La logique de mesure dans l'ASIC de test nommé "SET-Probe" n'est pas protégée mais on sait discrétiser les SEE dans la partie "sous test" de ceux dans la partie "mesure". Il n'a pas cependant été possible de sortir à l'extérieur les signaux permettant d'en avoir connaissance pour un problème de limitation du nombre de broches disponibles en sortie du circuit. La surface sensible de la partie "sous test" étant d'environ un tiers, deux SEE sur trois toucheront la partie "mesure" (ce qui provoque alors un reset de la logique, sans que l'extérieur en soit averti) ; ceci ne perturbe pas la mesure. Il faut faire attention à ce que les fonctions de tests nominales du circuit, telle que le JTAG, soient protégées ou inhibées de façon sûre pour qu'un SEE ne puisse les activer de façon inopportune. Par exemple, dans le CoolRISC-FT la logique de reset a été protégée (par un filtrage sur un nombre de cycles d'horloge suffisants). Autre exemple, les logiques de division de fréquence ont été particulièrement protégées par l’utilisation de TMR. Une conclusion du débat est que, même si la méthode est assez générique (d'ailleurs grandement implémentée via des outils automatiques ou autres scripts), il faut néanmoins descendre suffisamment dans le design pour prendre un certain nombre de précautions. Cependant, ceci ne nécessite pas une connaissance très fine de la fonctionnalité du circuit ; par exemple, hormis quelques fonctions comme les arbres de reset, d'horloge, le JTAG, etc., un bloc logique est considéré comme une "boîte noire". Le travail se fait plus au niveau de l'architecture du circuit (ensemble de blocs combinatoires séparés par des étages pipeline synchrones). Il a fallu environ 5 h.mois pour implémenter la tolérance aux SEE du cœur CoolRISC ; cette implémentation a été presque entièrement automatisée (scripts, etc.), l'implémentation de la tolérance dans les mémoires étant, elle, entièrement automatisée. Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 10/16 4 – CONCLUSION / REMERCIEMENTS Le nombre et la diversité des sociétés qui ont assisté à la présentation de cette R&D du CNES montre bien l'acuité des problèmes engendrés par les transitoires dans les ASICs actuellement ou dans un futur proche. Les organisateurs remercient les présentateurs, la société iRoC Technologies et le laboratoire Suisse CSEM, ainsi que l'ensemble des participants pour avoir permis cet échange et ces débats intéressants sur ce thème. Il est rappelé qu'une deuxième présentation des résultats de cette R&D aura lieu vers mi-2003 ; cette présentation sera plus orientée "Méthodologie de test des prototypes ASIC et résultats obtenus lors de leur validation et lors de la campagne d'injection sous faisceau d'ions lourds". Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 ANNEXE 1 °°°°°°°°°° Avis de présentation Page 11/16 Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 12/16 Le développement de l'électronique spatiale passe de façon incontournable par les ASICs. Or, avec des technologies de plus en plus rapides, il ne sera plus possible de négliger les transitoires générés dans la logique combinatoire par les ions lourds. Par conséquent, il est nécessaire pour les futurs ASICs de trouver des mécanismes de protection qui permettent d'éviter de tripliquer l'ensemble de la fonction de l'ASIC (pour cause de complexité / fiabilité / consommation). Il est également souhaitable de disposer de solutions performantes vis à vis des autres problèmes liés aux ions lourds. Le spatial, qui a depuis longtemps dû prendre en compte les effets des ions lourds, n'est plus le seul domaine concerné ; avec la réduction des lithographies, l'électronique industrielle (aéronautique, automotive, etc.) est, ou sera, également confronté à ces phénomènes. Fin 2000, le CNES a engagé la réalisation d'une phase de validation par maquettage et test sous faisceau d'ions lourds de concepts de détection / correction d'erreurs au niveau "conception VHDL", concepts brevetés par l'université de Grenoble (TIMA) et la spin-off iRoC Technologies, et industrialisés par iRoC Technologies. Le maquettage est basé sur une IP d'un microcontroleur 8 bits CoolRISC très basse consommation développé par le laboratoire Suisse CSEM et concerne la réalisation de quatre ASICs prototypes : CoolRISC de référence (i.e. sans tolérance), CoolRISC tolérant aux ions lourds, deux ASICs de tests spécifiques à la caractérisation fine des mécanismes de tolérance. Les prototypes ASICs seront reçus début 2003. Vous êtes conviés à la présentation finale des résultats de cette étude réalisée par iRoC Technologies, qui aura lieu en deux parties distinctes : - première partie le 28/11/2002 et le 19/12/2002 : présentation des solutions de tolérance et des maquettages de validation ; - deuxième partie vers mi 2003 : présentation des résultats de test des prototypes ASICs. La première de ces deux présentations aura lieu : - au CNES Toulouse, - le jeudi 28 novembre de 10h00 à 13h00 ainsi que le jeudi 19 décembre de 9h15 à 12h30. Pour des raisons d'organisation, merci de confirmer votre participation par mail à : [email protected] Ci-joint résumé de la présentation et un plan d'accès au CNES. Agenda du 28/11/2002 et du 19/12/2002 : - Introduction du CNES : contexte et présentation de l'étude (10 mn). - Introduction d'iRoC Technologies (E. Dupont) (10 mn). - Introduction du CSEM (C. Piguet) (10 à 20 mn). - Pause café (15 mn). - Présentation du CoolRisc : le circuit de référence, les protections (D. Chardonnereau) (1h00). - Présentation des deux ASICs de tests (R. Perez) (45 mn). - Présentation de la méthodologie de test (D. Chardonnereau) (15 mn). - Questions / réponses (15 mn). Cordialement. Jean Bertrand / Michel Pignol CNES 18 avenue Edouard Belin 31401 Toulouse Cedex 4 FRANCE Jean BERTRAND DTS/AQ/QCP/CE Email : [email protected] Phone : +33 (0)5.61.28.21.76 Fax : +33 (0)5.61.28.13.30 Michel PIGNOL DTS/AE/SEA/IL Email : [email protected] Phone : +33 (0)5.61.27.43.61 Fax : +33 (0)5.61.28.19.96 Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 13/16 Systèmes Tolérants aux Fautes Transitoires Présentation du projet CoolRisc SYSTEMES TOLERANTS AUX FAUTES TRANSITOIRES Jeudi 28 novembre 2002 de 10h00 à 13h00 CNES, Centre Spatial de Toulouse, Bâtiment Poincaré, Salle de Conférence Projet CoolRisc L'étude réalisée par la société iRoC Technologies pour le CNES présente les méthodes mises en oeuvre pour la conception de circuits intégrés complexes tolérants aux erreurs de type Upset et Transitoire appelées plus généralement Soft Errors. Suite à l'augmentation de la fréquence de fonctionnement des circuits, à la diminution de la géométrie de gravure et à la réduction des tensions d'alimentation, la fiabilité des circuits intégrés submicroniques est affectée par de plus en plus de problèmes. En particulier, les effets des Soft Errors générées par diverses particules au niveau terrestre étaient auparavant négligés ou partiellement pris en compte au niveau spatial alors qu'ils représentent aujourd'hui une sérieuse menace dans les circuits utilisant les technologies les plus avancées, c'est à dire inférieures à 0.25?m. En première partie, l'implémentation des techniques de protection sur le Système sur Puce CoolRISC sera présentée. Une seconde partie exposera quatre circuits permettant une caractérisation plus détaillée de ces techniques. Pour mettre en oeuvre ses techniques, la société iRoC Technologies s'est basée sur un cœur de microcontrôleur 8 bits: le CoolRISC, développé par le laboratoire CSEM a Neuchatel. Ce cœur a été protégé puis intégré dans un Système sur Puce (SoC) avec des mémoires et des périphériques qui ont eux aussi été protégés. Le circuit de référence non protégé ainsi que le circuit protégé sont en cours de fabrication afin de comparer les résultats sous faisceau. Les différents éléments du système CoolRISC ont été analysés et protégés contre les Soft Errors en appliquant des techniques différentes en fonction qu'il s'agisse de mémoires, de logique pure ou de registres. Les méthodes utilisées pour la protection des mémoires sont des méthodes de type ECC (Error Code Correction) mêlées à des techniques propres à iRoC Technologies permettant une optimisation en performance et en surface de silicium. Concernant les éléments de logique et les registres, la méthode de redondance temporelle a été implémentée. Elle consiste à détecter et corriger des erreurs de type Upset ou Transitoire apparaissant dans les cellules séquentielles (latches et flip-flop). Afin de caractériser plus en détail ces techniques, quatre autres circuits ont été conçus. Ils implémentent respectivement un circuit de caractérisation de la protection contre les Upsets, de la protection contre les Transients, un circuit de détection de largeur des impulsions de type Transient, et un circuit de caractérisation à haute vitesse des techniques de redondance temporelle. La conclusion abordera la méthodologie de test et la campagne de sous faisceau permettant de valider ces concepts. La participation à ce séminaire est libre et gratuite, après inscription auprès de Mylene Ho-Tin-Noe : [email protected] Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 ANNEXE 2 °°°°°°°°°° Liste des participants Page 14/16 Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 15/16 Centres de Compétence Technique du CNES FICHE DE PARTICIPATION AUX ANIMATIONS (Séminaires, Ateliers, Colloques) CCT organisateur(s) Tit re de l'animation Date 05 & 15 1ère présentation iRoC "Validation de concepts de tolérance aux transitoires dans les ASICs" Présentation à l'industrie 28/11/02 ORGANISMES (Préciser le sigle CNES ou le nom de l'organisme auquel vous appartenez) Nom/Prénom PIGNOL Michel BERTRAND Jean VENTURIN JeanLouis HEINS Patrick BAGUENA Louis CASTEL Laurent ZECCHINI Raphaël CHAMPETIER Calixte LE ROY Marc NOTEBAERT Olivier PLANCHE Thierry TUAL Jean-Claude BRIET Michel DE SAINT ROMAN Dominique LERAY Jean-Luc PIGUET Christian CALVET Marie Catherine CORMERY Patrick HUBERT Guillaume CHARDONNEREAU Damien DUPONT Eric NICOLAIDIS Michaël PEREZ Renaud ROCHE Fernand Michel BOUCHET Marc LE MAUF Joël CNES INDUSTRIE AUTRES ORGANISMES DTS/AE/SEA/IL DTS/AQ/QCP/CE DTS/AQ/QCP/CE Adhérez vous à un CCT ? Si OUI N° e- m a i l téléphone 05-15-18 15 15 [email protected] " " 05 61 27 43 61 05 61 28 21 76 05 61 27 39 26 [email protected] prenom.nom @space-alcatel.fr " [email protected] 05 61 93 07 08 05 34 35 59 12 AIRBUS France ASP Toulouse ASP Toulouse ASP Cannes ASTRIUM Toulouse ASTRIUM Toulouse ASTRIUM Toulouse ASTRIUM Toulouse ASTRIUM Vélizy ATMEL Nantes prenom.nom @astrium-space.com marc.leroy @astrium-space.com prenom.nom @astrium-space.com " 15 ATMEL Nantes CEA-DAM Bruyères-leChâtel 15 CSEM EADS-LV EADS-LV EADSNUCLETUDES iRoC Tech. iRoC Tech. iRoC Tech. iRoC Tech. ISIM / LIRMM THALES XILINX 05 34 35 64 79 04 92 92 61 02 05 61 28 15 35 05 62 19 64 87 05 62 19 78 76 05 62 19 74 23 05 62 19 66 75 " prenom.nom @nto.atmel.com dominique.de-saint-roman @nto.atmel.com [email protected] 01 34 88 34 70 02 40 18 19 63 [email protected] prenom.nom @launchers.eads.net " +41327205227 01 39 06 12 91 [email protected] 01 60 92 61 00 [email protected] 04 38 12 07 63 " " " [email protected] [email protected] prenom.nom @fr.thalesgroup.com [email protected] " " " 04 67 41 85 22 02 40 18 18 02 01 69 26 79 26 01 39 06 25 11 01 34 81 46 87 02 40 18 59 27 Réf. CNES : DTS/AE/SEA/IL/02-219 Edit. : 1 Rév. : 0 Date : 31/03/2003 Page 16/16 Centres de Compétence Technique du CNES FICHE DE PARTICIPATION AUX ANIMATIONS (Séminaires, Ateliers, Colloques) CCT organisateur(s) Titre de l'animation Date 05 & 15 1ère présentation iRoC "Validation de concepts de tolérance aux transitoires dans les ASICs" Présentation au CNES 19/12/02 ORGANISMES (Préciser le sigle CNES ou le nom de l'organisme auquel vous appartenez) Nom/Prénom PIGNOL Michel BERTRAND Jean VENTURIN JeanLouis CARAYON JeanLouis LASSERE François LACROIX Daniel BERNARD Vivian BELASIC Marielle REMETEAN Emile SABA Bruno BOSSARD François VIGEANT Fabien POUPONNOT André CHARDONNEREAU Damien PEREZ Renaud Adhérez vous à un CCT ? Si OUI N° e- m a i l téléphone DTS/AE/SEA/IL DTS/AQ/QCP/CE DTS/AQ/QCP/CE 05-15-18 15 15 [email protected] " " 05 61 27 43 61 05 61 28 21 76 05 61 27 39 26 DSO/ED/MS/IM 05 - 15 " 05 61 27 43 07 DTS/MPI/PS/EP DTS/AQ/QCP/D DTS/AQ/QCP/PR DTS/AQ/QCP/CE DTS/AE/SEA/ET DTS/AE/SEA/ET DTS/AE/SEA/IL DTS/AE/SEA/IL 15 15 15 15 15 15 5 05 61 27 48 37 05 61 27 46 33 05 61 28 15 48 05 61 28 16 69 05 61 28 18 27 05 61 28 28 76 05 61 27 42 21 05 61 27 49 64 +31715653685 iRoC Tech. " " " " " " " " [email protected] [email protected] iRoC Tech. " " CNES INDUSTRIE AUTRES ORGANISMES ESTEC 04 38 12 07 63