知財求人 - 知財ポータルサイト「IP Force」
特表2024-504819放射線が誘起した障害の自己保護回路およびアーキテクチャ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-01
(54)【発明の名称】放射線が誘起した障害の自己保護回路およびアーキテクチャ
(51)【国際特許分類】
G06F 11/07 20060101AFI20240125BHJP
G06F 15/78 20060101ALI20240125BHJP
【FI】
G06F11/07 199
G06F15/78 530
G06F15/78 516
G06F11/07 140J
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023546193
(86)(22)【出願日】2022-01-28
(85)【翻訳文提出日】2023-07-28
(86)【国際出願番号】 EP2022052060
(87)【国際公開番号】W WO2022162151
(87)【国際公開日】2022-08-04
(31)【優先権主張番号】LU102471
(32)【優先日】2021-01-29
(33)【優先権主張国・地域又は機関】LU
(81)【指定国・地域】
(71)【出願人】
【識別番号】523287746
【氏名又は名称】ユニヴェルシテ・デュ・ルクセンブルク
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】ラファル・グラチク
(72)【発明者】
【氏名】マーカス・ヴェルプ
(72)【発明者】
【氏名】パウロ・エスティーブス-ベリッシモ
【テーマコード(参考)】
5B042
5B062
【Fターム(参考)】
5B042GA13
5B042JJ18
5B042KK04
5B062AA08
5B062CC04
5B062JJ06
5B062JJ10
(57)【要約】
本発明は、放射線が増加した環境中で使用するための電子装置(回路、および、具体的にはタイル配置したマルチコアおよびメニーコアシステム様の、そのような回路を備えるシステム)に関する。本発明は、追加のビルディングブロックをそれらに適合させる、または提供して、電力遮断技法の使用を可能にすることによってこれらの装置を規定する、(メイン)回路(タイルとも示される)中の放射線効果を緩和するための、(動作)方法および装置(システム)を提供する。本発明は、装置自体のそれらのビルディングブロック(回路またはサブ回路)中の放射線効果をやはり緩和する。本発明は、現在は電力遮断サイクルを受けていないチップのそれらのリソース上で完全な機能性を保持するのを可能にし、したがって、それらの全部に同時に電力サイクルを行うのが回避される。
【特許請求の範囲】
【請求項1】
放射線が誘起した、好ましくは非過渡的な障害からの回復、および障害を防止するように適合される回路であって、メイン回路(10)と、前記メイン回路を電力線に接続する電力供給手段と、前記メイン回路を通信手段に接続する通信接続手段とを備え、そのような放射線が誘起した、好ましくは非過渡的な障害の発生を検出するための手段(40)と、前記電力供給手段または前記通信接続手段のいずれかと前記メイン回路との間、好ましくは両方に設けられる1つまたは複数の切換手段(30)であって、そのような放射線が誘起した好ましくは非過渡的な障害、または、前記障害発生検出の使用によって生成され、またシステムグランドに対して測定されるすべての電圧がゼロに低下するため、前記切断が十分に長いことを確実にするように維持される制御信号の受信の際にそれらの発生を防止するための行為の発生の場合に、それぞれをそこから切断しそこに再度接続し、その間に、前記デバイスを通る電流が流れないことを確実にし、それによって前記放射線が誘起した障害を取り除く切換手段(30)とを備える第1の保護手段(20)をさらに備えることを特徴とする、回路。
【請求項2】
複数の入力信号を受け取ること、および、前記複数の入力信号に基づいて(投票回路(210)に基づいて、好ましくは、前記入力信号が前記障害発生検出に基づく、または前記障害発生検出を考慮に入れる(図17))前記制御信号を生成することが可能な第2の保護手段(200)をさらに備える、請求項1に記載の回路(図16、図17、図18)。
【請求項3】
それ自体が電力線に接続され第1の保護手段を備える複数の前記第2の保護手段(200)と、そのような放射線が誘起した好ましくは非過渡的な障害の発生の場合または障害を防止する場合に、それぞれ、それらそれぞれの第1の保護手段を介した前記第2の保護手段の前記電力線を切断しそこに再度接続し、また、たとえば回路(310)を介して、前記第2の保護手段のうちの活性なものの結果である投票手法を実装する組合せまたはブーリアン関数を選択する第3の保護手段(300)とを備える、請求項2に記載の回路(図19)。
【請求項4】
前記メイン回路(10)が前記第2の保護手段(200)よりも複雑であり、該当する場合には、より複雑なものが放射線が誘起したイベントに対して本質的に抵抗力がより低いという点で、前記第2の保護手段が前記第3の保護手段(300)よりも複雑である、請求項1から3のいずれか一項に記載の回路。
【請求項5】
前記メイン、前記第2の保護手段または第3の保護手段のうちの1つまたは複数が、過渡的な放射線が誘起した障害に対処するメカニズムを備える、請求項1から4のいずれか一項に記載の回路。
【請求項6】
放射線が誘起した好ましくは非過渡的な障害から回復するおよび/または障害を防止するように適合され、請求項1から5のいずれか一項に記載の回路と、前記回路間の通信を可能にする、前記回路が接続される通信手段とを備える、システム(100)(図15(右図)、図20)。
【請求項7】
好ましくは過電流情報といった情報を受け取り、および/または、好ましくはそれから前記制御信号を生成する中央制御回路(110)をさらに備える、請求項6に記載のシステム(図2)。
【請求項8】
前記中央制御回路が、方法10から15のうちの1つまたは複数を実行するように適合される計算エンジンを備える、請求項7に記載のシステム。
【請求項9】
前記計算エンジンによって実行されると、方法10から15のうちの1つまたは複数を前記計算エンジンに実行させる命令を含む記憶媒体を備える、請求項8に記載のシステム。
【請求項10】
請求項6に記載のシステム(図17)中の反応的障害除去のための方法(図14)であって、それによって、前記メイン回路のうちの1つまたは複数中の、放射線が誘起した好ましくは非過渡的な障害の、好ましくは前記第1の保護手段および/または第2の保護手段を介した検出に基づいて、前記メイン回路および/または第2の保護手段を好ましくは前記第1の保護手段を介してオフに切り換える制御信号が生成され、たとえば、放射線が誘起した好ましくは非過渡的な障害の検出、前記関係する回路のオフへの切換、および、予め規定された期間が経過した後の前記回路のオンへの切換に関係する割込みといった情報を受け取るステップを含む、方法。
【請求項11】
請求項10に記載の方法に加えて、前記システム中の予防的障害除去のための方法(図12)が実行され、前記メイン回路および/または第2の保護手段を好ましくは前記第1の保護手段を介して周期的にオフおよびオンに切り換えるための制御信号が生成され、場合によっては(図13)、好ましくは適合可能な前記周期性が、たとえば、サイズおよび/もしくはタスク、たとえば重要性、依存性、ならびに/または、放射線レベル依存性の回路であって、放射線が誘起した好ましくは非過渡的な障害の検出に関する好ましくは割込みといった情報を受け取るステップと、および/または、予防的にオフに切り換えるための時間が来たことを決定し、それにしたがって、前記関連する回路をオフに切り換え、予め規定された期間が経過した後に前記回路をオンに切り換える、ステップとを備える、請求項6に記載のシステム中の障害除去のための方法(図11)。
【請求項12】
請求項7に記載のシステムで中央にあり、それによって、前記中央制御回路が前記制御信号を生成する、請求項11に記載の方法。
【請求項13】
分散され、それによって、前記回路自体が前記制御信号を生成する、請求項11に記載の方法。
【請求項14】
回路をオフに切り換える前に、可能なときには、タスク、たとえば前記タスクを実施するため前記メイン回路上で走るソフトウェア、または前記オフに切り換えられる回路の状態が別の回路に転送される、請求項10から13のいずれか一項に記載の方法(図10)。
【請求項15】
回路をオフに切り換える前に、タスク、たとえば前記タスクを実施するため前記メイン回路上で走るソフトウェア、または前記オフに切り換えられる回路の状態が別の回路に転送され、任意選択で、ある種のタスクのために確保される回路の量が前記放射線レベルの関数として適合されるのが可能であることが確実になるように回路が確保されるという点で前記システムが管理される、請求項10から14のいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、原子力発電所の原子炉チャンバの近傍、航空機の中、地球近傍軌道、深宇宙および地球外天体で動作する宇宙船の中、ならびに、放射線治療機器制御のための核医学においてなどといった、放射線が増加した環境中で使用するための電子装置(回路、および、具体的にはタイル配置したマルチコアおよびメニーコアシステム様の、そのような回路を備えるシステム)、特に、そのような放射線環境中で電子装置を使用する際に生じる問題に対処することが可能な電子装置(および、関係する実行方法または動作方法)に関する。
【背景技術】
【0002】
概略
放射線は、さらに記載されるように、単数および複数のビット反転ならびにラッチアップによる短絡を引き起こすことによって、集積回路に影響をおよぼす。ビット反転は、典型的には、非永続的性質のものであって、電子回路(たとえば、メモリセル)の状態を変化させるが、一度この状態が上書きされると、回路は正常に機能し続ける。いくつかの状況では、反転が誘起した状態変化が永続的となって、状態をフリーズさせ、回路を使用不可能にする、または、専用の行為が行われない場合に、回路を他の回路に対して不正で有害なものにする可能性がある。
放射線は、さらに記載されるように、単数および複数のビット反転ならびにラッチアップによる短絡を引き起こすことによって、集積回路に影響をおよぼす。ビット反転は、典型的には、非永続的性質のものであって、電子回路(たとえば、メモリセル)の状態を変化させるが、一度この状態が上書きされると、回路は正常に機能し続ける。いくつかの状況では、反転が誘起した状態変化が永続的となって、状態をフリーズさせ、回路を使用不可能にする、または、専用の行為が行われない場合に、回路を他の回路に対して不正で有害なものにする可能性がある。
【0003】
上で述べたように、ラッチアップは、対処しないままにすると、半導体のダイを局所的に過熱させることによって、永続的なダメージをもたらし、熱焼損または熱ストレスおよび機械的破損モードが引き起こされる可能性がある効果の1つである。
【0004】
従来の方法は、高価で専用の放射線強化設計を適用すること、または、そのような効果を呈さないことが知られている製造用の専用材料を使用することによって、これらの効果を回避することを狙っている。(シリコンオンインシュレータなど)。他のものでは、これらの効果をチップの粒度において緩和し、全ICをオフにしてリセットし、ソフトウェアスタックを再度インスタンス化して新規のメモリおよびレジスタ内容をアップロードすることによって、半導体のダイの不要なサイリスタ効果および単発反転を抑制するのに十分なほどの長さにわたって電力供給を取り除くことにより単発ラッチアップを取り除く。
【0005】
動作を維持するために、従来のシステムは、複数のチップを含み、冗長な機能性を実装しなければならず、緩和方法は、複数のチップを同時にディセーブルにしないことを確実にしなければならない。マルチまたはメニープロセッサシステムオンチップ(MPSoC)でのコア数が増えることによって、高価なチップ間通信に起因し、同時に単一チップ中の全コアを電力サイクルする要件に起因して、そのような解決策はますます非効率になる。
【0006】
技術的な規定
単発ラッチアップ(SEL)は、CMOSシリコンオンインシュレータ(SOI)または半導体のバルク中に寄生サイリスタをもたらさない均等な技術以外のCMOSファミリー技術で製造されるマイクロエレクトロニクス回路において発生する可能性がある、知られている放射線効果である。SELは、半導体格子との高エネルギー粒子の相互作用の期間に発生した電荷によって、寄生サイリスタ(シリコン制御した整流器、SCR)スイッチをオンにする結果となる。SELは、影響を受けた半導体デバイスまたはその部分から電源供給を取り除くことによってのみオフに切り換えることができる。対処されないSELは、半導体デバイスの熱的破壊、すなわち、物理的な燃焼または温度が誘起した熱ストレスに起因する半導体ダイのクラックをもたらす可能性がある。ラッチアップは半導体ダイ中で局所的に誘起されるが、放射線レベル(粒子束および粒子エネルギー)に応じて、物理的に離れた半導体デバイス(したがって、いくつかのタイル中)において、独立した、複数の単発ラッチアップが発生する可能性がある。
単発ラッチアップ(SEL)は、CMOSシリコンオンインシュレータ(SOI)または半導体のバルク中に寄生サイリスタをもたらさない均等な技術以外のCMOSファミリー技術で製造されるマイクロエレクトロニクス回路において発生する可能性がある、知られている放射線効果である。SELは、半導体格子との高エネルギー粒子の相互作用の期間に発生した電荷によって、寄生サイリスタ(シリコン制御した整流器、SCR)スイッチをオンにする結果となる。SELは、影響を受けた半導体デバイスまたはその部分から電源供給を取り除くことによってのみオフに切り換えることができる。対処されないSELは、半導体デバイスの熱的破壊、すなわち、物理的な燃焼または温度が誘起した熱ストレスに起因する半導体ダイのクラックをもたらす可能性がある。ラッチアップは半導体ダイ中で局所的に誘起されるが、放射線レベル(粒子束および粒子エネルギー)に応じて、物理的に離れた半導体デバイス(したがって、いくつかのタイル中)において、独立した、複数の単発ラッチアップが発生する可能性がある。
【0007】
単発機能遮断(SEFI)とは、内部の機能不全に起因して、電子デバイスの一部または全部の機能性が動作を停止する状態である。このタイプの障害は休止状態であり、これは、過渡的なマイクロラッチアップまたは他の理由によって引き起こされてタイル中に存在するが、影響を受けた機能性を実行しようと試みる期間だけそのことが明らかになる。
【0008】
マイクロラッチアップは、最新集積回路の複雑な構造およびトポロジーに起因して、その発生が直ちに認識できないタイプのSELである。マイクロラッチアップは、以下に起因して、電流測定によって容易に検出することができない。
- 集積回路の複雑な(大きい変動性、高いサージの)定格電力消費の特徴的性質。
- ラッチアップが弱く(寄生SCR抵抗値は典型的なものより高い)、したがって、比較的低い障害電流がもたらされる。
- 集積回路の複雑な(大きい変動性、高いサージの)定格電力消費の特徴的性質。
- ラッチアップが弱く(寄生SCR抵抗値は典型的なものより高い)、したがって、比較的低い障害電流がもたらされる。
【0009】
特定の我々自身の従来技術
特許出願EP3580681A1は、単発または複数回の反転が引き起こした障害の緩和が制御されないのを防止するための技法に言及し、より具体的には、低レベルシステムソフトウェア(たとえば、オペレーティングシステムのカーネル)およびある程度のハードウェアにおける、単一障害点シンドロームをなくすための方法および装置を提供する。これらの技法は、アクセス制御と投票者の組合せを有する、タイル配置したマルチコアおよびメニーコアシステムオンチップを拡張するために、構造上の混成をやはり活用する(アクセス制御と投票者の組合せが一緒に保護ユニットを形成し、何らかの重大な動作が、特にアクセス制御の状態を変えて、複製の定数を超える障害のしきい値に意見の一致を必要とする方法で相互運用する)。
特許出願EP3580681A1は、単発または複数回の反転が引き起こした障害の緩和が制御されないのを防止するための技法に言及し、より具体的には、低レベルシステムソフトウェア(たとえば、オペレーティングシステムのカーネル)およびある程度のハードウェアにおける、単一障害点シンドロームをなくすための方法および装置を提供する。これらの技法は、アクセス制御と投票者の組合せを有する、タイル配置したマルチコアおよびメニーコアシステムオンチップを拡張するために、構造上の混成をやはり活用する(アクセス制御と投票者の組合せが一緒に保護ユニットを形成し、何らかの重大な動作が、特にアクセス制御の状態を変えて、複製の定数を超える障害のしきい値に意見の一致を必要とする方法で相互運用する)。
【0010】
多くの他のシステムのような上述の手法は、認識できる方式でクラッシュすることによって、信用された信頼できる構成要素がもっぱら機能しなくなり、そのようなクラッシュの後に、クラッシュした構成要素からまたはそれに関連するタイルだけを残すことからダメージが生じる可能性がないという固有の仮定の下で動作する。明らかに、放射能のある環境は、これらの仮定に反する。というのは、SELは、クラッシュした信用された信頼できる構成要素において、またはクラッシュした後にもはや制御できないタイルにおいて、とても明らかに増加する場合があるためである。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特許出願EP3580681A1
【特許文献2】特許出願P138211EP
【発明の概要】
【発明が解決しようとする課題】
【0012】
ラッチアップとは、(原理的にそれと適合性があるが)放射線強化技術に全く依拠することなく、(たとえば、電力サイクルとしてやはり規定される、回路から電源供給を取り除いて再度確立することによって)取り除くことができる効果であるという事実を明白に利用することによって、そのような放射能のある環境中で電子装置を使用する際に生じる、(放射線が誘起した)(非過渡的な)障害、特にラッチアップを処理することが可能な電子装置(回路およびそのような回路を備えるシステム)(および関連する実行方法または動作方法)を提供することが、本発明の目的である。放射線強化技術を回避することによって、電力消費&処理能力の点で最良の技術を使用できることを確実にする。
【0013】
放射能の高い環境で使用するための、コスト効率的でより高い性能を実現するが、放射線強化したMPSoCでない(全く依拠しない)電子装置(したがって、回路およびそのような回路を備えるシステム)を提供することが本発明の目的である。
【0014】
ラッチアップ問題に加えて、マイクロラッチアップのような、単発機能遮断(SEFI)をやはり治して、やはり対処することが、本発明の目的である。
【0015】
具体的には特に、宇宙のように放射線に敏感な環境において現場で使用するために設計されたチップを再使用することに依拠することが要求されるときに、安全で確実であることが求められるシステムが本発明から恩恵を被ることを強調することができる。
【課題を解決するための手段】
【0016】
本発明は、追加のビルディングブロックをそれらに適合させる、または提供して、電力遮断技法の使用を可能にすることによってこれらの装置を規定する、(メイン)回路(タイルとも示される)中の放射線効果を緩和するための、(動作)方法および装置(システム)を提供する。本発明は、放射線強化されていないチップ上で完全に機能することを可能にする。本発明は、装置自体のそれらのビルディングブロック(回路またはサブ回路)中の放射線効果をやはり緩和する。本発明は、現在は電力遮断サイクルを受けていないチップのそれらのリソース上で完全な機能性を保持するのを可能にし、したがって、それらの全部に同時に電力サイクルを行うのが回避される。
【0017】
本発明は、最新技術のMPSoCを増強するのを可能にするが、全部のコアに同時に電力サイクルを行う必要なしに、放射能が強い環境に耐える能力を有する新規の設計も可能にする。このことを達成するために、従来システムがMPSoC上に放射線強化した方式で実装されなければならない一方で、単発反転の効果が、MPSoCの全ソフトウェアスタックに影響をおよぼすことになる制御されない方式で伝播できないことが確実になることは、強調する価値がある。ラッチアップが生じることができない、(たとえば、シリコンオンインシュレータ上の)放射線強化した実装用のそのような保護の原理は既に示されている。
【0018】
本発明では、異なる種類のメイン回路、つまり能動的回路(コア+それらのローカルメモリを有するネットワークインターフェースカードのような周辺部、これらをタイルとして要約する)と受動的回路(オンチップネットワーク中で他のタイルにそれを接続し、オンチップまたはオフチップメモリブロックを共有するネットワークセグメント)を区別することができる。後者は、メインメモリ中のデータにタイルが動作するという意味で、リソースとも呼ばれる。本発明内では、場合によって最初にそれらの状態を動かすことによって、それら全部に電力サイクルを行うことができる。
【0019】
タイルは、コプロセッサ、DSPブロック、通信インターフェース、メモリ/メモリコントローラであってよい。これは、チップ上のネットワークのルータを意味することもできる。また、通信構造は、放射線が誘起した障害に敏感であると考えることができ、たとえば、障害は、マルチプレクサ/デマルチプレクサまたはアドレスデコーダにおいて発生している。要するに、タイルは、機能性を含む何らかのものである(プロセッサコアなど、しかし、ルータ、アドレスデコーダなどといった通信手段をやはり含む)。あるいは、タイルは、本発明によって対処される障害モデルが適用しているすべてのものとして示すことができる。
【0020】
本発明は、それが制御するシステムを動作させるのに必要な機能性を保持する一方で、オンチップリソースのサブセットを回復できるのを確実にすることによって、従来のマルチチップ解決策以上に改善する。俯瞰的観点から、議論される解決策は、従来型システムでは放射線強化した方式でMPSoC上に実装されなければならない電力サイクル制御を一体化する一方で、単発反転の効果が、MPSoCの全ソフトウェアスタックに影響をおよぼすことになる制御されない方式で伝播できないことを確実にする。
【0021】
ここで、ラッチアップを起こしやすい技術ノード上で、ラッチアップ制御を単に一体化することによって、この制御回路がラッチアップしやすいままとなることを強調する価値がある。外部の(強化した)ラッチアップ制御回路を通した微細な粒度制御では、コアを電力遮断し、制御されない反転の伝播からシステムを保護するために、チップ上の必要なアンカーポイントとインターフェースするために(たとえば、複数の外部ワイヤといった)高いコストがもたらされ、強化されないMPSoC上に実装されるこれらのインターフェースおよびアンカーポイントは、依然としてラッチアップしやすいまま残ることになる。
【0022】
本発明は、偶発的で不正な障害の制御されない伝播を防止するために、(それが保護するメイン回路と比較して)専用(放射線に弱くない)(保護)回路を導入することによって、構造上の混成の概念を活用しており、そのような回路は、電力サイクルに必要なステップ(の部分)を実行またはサポートし、その後、ラッチアップを取り除いた後コアによって実装される機能性を再度インスタンス化するように設計される。
【0023】
本発明は、それらの全部に電力サイクルを行うこと、および、(たとえば、FPGAとして)再構成可能な構造として実装されるこれらを再度インスタンス化することによって、個別のタイル(メイン回路)および他のサポート回路(たとえば、上で言及した専用保護回路のような信用された信頼できる構成要素およびネットワークセグメント)を活性化させるという点で、活性化の概念を活用する。
【0024】
本発明の実施形態では、マイクロラッチアップがやはり対応される。マイクロラッチアップが実用的でないために、電流測定を通して検出するのが不可能でない場合、信頼できる結果を出すための処理ユニットの能力を確保することができない(単発機能遮断)。したがって、休止状態だがまだ永続的でない障害を取り除くため周期的電力サイクルなどの予防的技法に依拠しなければならない。
【0025】
特許出願P138211EPは、単発または複数回の反転が引き起こした障害の緩和が制御されないのを防止するための技法に言及し、より具体的には、低レベルシステムソフトウェア(たとえば、オペレーティングシステムのカーネル)およびある程度のハードウェアにおける、単一障害点シンドロームをなくすための方法および装置を提供する。これらの技法は、アクセス制御と投票者の組合せを有する、拡張しタイル配置したマルチコアおよびメニーコアシステムオンチップに、構造上の混成をやはり活用する(アクセス制御と投票者の組合せが一緒に保護ユニットを形成し、何らかの重大な動作、特にアクセス制御の状態を変えて、複製の定数を超える障害のしきい値に意見の一致を必要とする方法で相互運用する)。
【0026】
認識できる特定のダメージのない方式でクラッシュすることによって、(特別に設けられる保護回路のように)信用された信頼できる構成要素がもっぱら機能しなくなる、固有の仮定の下で動作するシステムとは対照的に、本発明は、これらの仮定に反する放射能のある環境に対処する。というのは、SELは、そのようなクラッシュした信用された信頼できる構成要素において、またはクラッシュした後でもはや制御できないタイルにおいて、とても明らかに増加する場合があるためである。本発明は、まさにこの保護、すなわち、信頼できる構成要素およびそれらに関連するタイルを帰納的に保護する一方で、全部の重大な動作にわたる冗長な低レベルシステムソフトウェア制御を通して他のシステムが提示する、(異なる放射能のある環境へを含む)柔軟性および適応性を保持することを実現する。特に、本発明の1つの事例によって、そのような複製カーネルが可能になり、これによってもはや言及した従来技法に基づいた単一障害点とならなくして、認知された放射線レベルにしたがって、MPSoCのどの部分に電力サイクルを行うかの時間を制御することができる。
【0027】
記載の全体を通して、回路という言葉で電子回路を意味する。手段という言葉で、たとえば電力供給手段(電源および/もしくはグランド)および/または通信接続手段、ならびに第1の保護手段中で、典型的には、1つまたは複数の電気の(電流または電圧を運ぶ)ラインおよび/またはスイッチ(切換手段とも示される)のような他の基本回路を含むものおよび/または(抵抗器のような)(たとえば電子回路測定の部分として抵抗器にわたる電流を測定するための)電子素子を意味する。さらなる例として、そのような(放射線が誘起した)(非過渡的)障害の発生を検出するための手段(40)は、ちょうど記載したような過電流検出回路であってよい。
【0028】
電力サイクル(回路またはタイルを停止し再スタートすることを意味する)の概念は、電力供給から切断しそれに(また、好ましくは、回路が接続される他のデバイスにも)再度接続するように説明することができる。本発明の目的では、特に、少なくとも(放射線が誘起した)非過渡的な障害に対処または防止する点では、前記切断は、前記(放射線が誘起した)障害を取り除くのに時間が十分に長い。
【0029】
本発明は、メイン回路が第1の保護手段と、前記第1の保護手段とかなり同様のある種の保護手段をそれ自体が有する第2の保護手段とを備えるという点で、本発明の技法を帰納的に適用する。
【0030】
したがって、本発明は、第1の態様として、(放射線が誘起した)(非過渡的)障害からの回復を助けるように適合され、メイン回路、前記メイン回路を電力線(電源および/もしくはグランド)に接続する電力供給手段、ならびに(または)、前記メイン回路を通信手段に接続する通信接続手段を備え、そのような(放射線が誘起した)(非過渡的な)障害の発生を(たとえば、電力線に沿って電流を測定することによって(図1の中のOCを参照))検出するための手段と、前記電力供給手段または前記通信接続手段のいずれかと前記メイン回路との間に設けられる1つもしくは複数の切換手段であって、制御信号(図1の中のSHDN)で作動する切換手段とを備える第1の保護手段をさらに備えることを特徴とする、回路(その例が図1に示される)を提供する。
【0031】
本発明は、第2の態様として、(図2の中のように)1つまたは複数(図3、4、5、7)の中央制御回路を有し、前記制御信号を生成する、(その回路またはタイルのうちの1つもしくは複数における)(放射線が誘起した)(非過渡的な)障害から回復するように適合されるシステム(アーキテクチャ)、または、前記制御信号を共同で生成する回路もしくはタイル(図8)を提供する。
【0032】
本発明は、これらの回路および/もしくはシステムの設計、ならびに/または、関連する方法のパラメータを調整するのに好適なすべての種類のシミュレータにやはり関し、たとえば放射線レベルが変化するミッション期間にそのような回路および/またはシステムのすべての可能性のある使用にさらに関する。
【図面の簡単な説明】
【0033】
【図1】第1の保護手段によって提供されるISOL分離メカニズムの回路(タイル)および例を示す図である。
【図5】たとえば図1でのような、各々が(一般的な)保護手段を備える複数の回路、および、状態転送を有する2重または直列型の電力サイクル(中央)制御回路またはコントローラ手法を備えるシステムを示す図である。
【図6】さらなる特徴として、前記第1、第2、または第3の保護手段の部分であってよい、発振器ベースコントローラにおいて使用するための発振器回路を示す図である。発振器は、SDHNを高くして、時間tiの間にpi毎にオフセットφiでOCを接続するように静的に構成される。任意選択で、通信手段との接続が設けられる。
【図7】複数の制御入力の使用の概念と、したがって、そのような場合に、(SHDN)信号対(電力サイクルのための)スイッチの投票される活性化についての投票回路を少なくとも有する、(前記第1の保護手段への制御を実行する)第2の保護手段を有するための要件を紹介する図である。
【図8】たとえば図1の中のような複数の(相互接続された)回路と、前記回路との互いの間で通信(ここで通常の回路またはタイル上に電力サイクル制御が実装される)を可能にする通信手段とを備え、複数の制御入力の使用の概念と、したがって、そのような場合に、(電力サイクルのため)切り換えるための投票回路を少なくとも有する、(前記第1の保護手段への制御を実行する)第2の保護手段を有するための要件とをやはり使用する、システム(アーキテクチャ、装置)を示す図である。
【図9】電力供給手段および/または通信手段に接続されるもしくは接続可能なメイン回路(タイル)と、そこから切断する(またそこに再度接続する)ための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)、および複数の第2の保護手段であって、それら自体が、第3の保護手段の制御下でメイン回路(タイル)としてそこから切断して再度接続するための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)をやはり有する、複数の第2の保護手段とを示す。
【図10】電力供給手段および/または通信手段に接続されるもしくは接続可能なメイン回路(タイル)と、そこから切断する(またそこに再度接続する)ための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)、および複数の第2の保護手段であって、それら自体が、第3の保護手段の制御下でメイン回路(タイル)としてそこから切断して再度接続するための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)をやはり有する、複数の第2の保護手段とを示す。
【図15】左図は複数の(相互接続された)回路を備えるシステムを示し、右図は複数の(相互接続された)回路を示し、各々は、(一般的で)(同じまたは同様であることが最も可能性が高い保護手段を備えるが、このことは必要ではない)保護手段を備える図である。
【図16】複数の制御入力の使用の概念と、したがって、そのような場合に、(電力サイクルのための)(SHDN)信号対スイッチおよびレジスタの投票される活性化についての投票回路を少なくとも有する、(前記第1の保護手段への制御を実行する)第2の保護手段を有するための要件を(予防的方法の部分として)紹介する図である。
【図17】複数の制御入力の使用の概念と、したがって、そのような場合に、(電力サイクルのための)(SHDN)信号対スイッチおよびレジスタおよび過電流検出信号(OC)を有する帰還ループの投票される活性化についての投票回路を少なくとも有する、(前記第1の保護手段への制御を実行する)第2の保護手段を有するための要件を(反応的方法と予防的方法の組合せの部分として)同様に紹介する図である。
【図18】図6の概念(発振器ベースコントローラ)を図16の実施形態と組み合わせた図である。この概念は、図17の実施形態と組み合わせることもできる。さらに、通信ネットワークからのスイッチに対して直接入力を任意選択で有するさらなる特徴が示される。
【図19】電力供給手段および/または通信手段に接続されるもしくは接続可能なメイン回路(タイル)と、そこから切断する(またそこに再度接続する)ための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)、および複数の第2の保護手段(ここで、それらの投票メカニズムを有する)であって、それら自体が、第3の保護手段の制御下でメイン回路(タイル)としてそこから切断して再度接続するための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)をやはり有する、複数の第2の保護手段とを示し、それ自体は、第2の保護手段の結果を、たとえばORゲートまたは別の好適なブーリアン関数を介して組み合わせる図である。
【図20】(本発明で説明される帰納的方法論の例示的な実施形態として)各々が(一般的で)(ここでは同様の)保護手段を備える、より具体的には、各回路が第1の保護手段、複数の(いわゆる)第2の保護手段を備え、これらの第2の保護手段の各々が第1の保護手段をやはり備える、複数の(相互接続された)回路を備えるシステムを示す図である。
【発明を実施するための形態】
【0034】
規定
構造上の混成は、信用された信頼できる構成要素の識別および使用を提案する概念であって、これは別個の障害モデルに従い、これによって、あまり信用されない構成要素を強化するために機能性を減らすことを行う。本発明は、偶発的で不正な障害の制御されない伝播を防止するため、および電力サイクルに必要なステップを実行し、その後、ラッチアップを取り除いた後にコアによって実装される機能性を再度インスタンス化するため、信用された信頼できる回路を導入することによって、この概念を活用する。電力サイクルは、軽減されないラッチアップに起因する永続的なダメージを回避するため、これらの信用された信頼できる構成要素を(帰納的に)保護しなければならない。
構造上の混成は、信用された信頼できる構成要素の識別および使用を提案する概念であって、これは別個の障害モデルに従い、これによって、あまり信用されない構成要素を強化するために機能性を減らすことを行う。本発明は、偶発的で不正な障害の制御されない伝播を防止するため、および電力サイクルに必要なステップを実行し、その後、ラッチアップを取り除いた後にコアによって実装される機能性を再度インスタンス化するため、信用された信頼できる回路を導入することによって、この概念を活用する。電力サイクルは、軽減されないラッチアップに起因する永続的なダメージを回避するため、これらの信用された信頼できる構成要素を(帰納的に)保護しなければならない。
【0035】
活性化は、構成要素を、少なくとも初期と同じ程度に良好な状態に戻すための概念である。本文書では、たとえば、欠陥のあるまたは損なわれた複製を修復するための複製の文脈では、予防的活性化と反応的活性化を区別する。本発明は、個別のタイルおよび他のサポート回路(たとえば、信用された信頼できる構成要素およびネットワークセグメント)を、それらを電力サイクルすることによって活性化させる。本発明は、ソフトウェアとハードウェアの両方がトリガする予防的活性化(たとえば、冗長なグローバルクロック信号に周期的に基づく)ならびに反応的活性化(たとえば、ラッチアップを検出した際)をサポートする。具体的には、予防的活性化は、検出を妨げるラッチアップに対して保護するために適用される。
【0036】
電力サイクルは、デバイスをオフにし、次いでそれを再びオンにするプロセスである。電力供給は、すべての電圧が、システムグランドに対して測定してゼロに落ちる一方で、デバイスを通して電流が流れないことが確実となる十分長い期間、デバイス(電子システム、サブシステム、構成要素、集積回路、半導体ダイ)から取り除かれる(ブロックされる、分離される)ことになる。このことは、デバイスの入出力線を通した寄生供給がないことを仮定している。最新技術の電力サイクルは、チップ全体の粒度において動作する、外部の放射線強化したデバイスを通して制御される。
【0037】
コールドスペア能力は、いくつかのタイル、タイルの組、または処理ノードが、それらがコールドスペアで動作可能である方法で設計および製造されるという概念である。すなわち、それらは、それらの入出力接続を切り離す必要なしに電力サイクルを行うことができる。コールドスペア能力によって、それらの入出力ポートを通した寄生電力が発生する危険なしに、タイル入出力ポートからの電圧の除去を省略することが可能になる。そのような場合には、コールドスペア可能タイルをそれらの通信インフラストラクチャから切断する役目を担う分離回路の部分が必要でない(しかし、依然として存在してよい)。本発明は、コールドスペア可能タイルと不可能タイルの両方をサポートする。
【0038】
タイル配置したマルチコアまたはメニーコアシステムは、タイルとして、計算リソースおよび記憶リソースの組織化を示唆するハードウェアアーキテクチャであって、記憶リソースを何らかの種類の相互接続を通して接続する。タイルは、コア、メモリ、デバイス、センサ、フィールドプログラム可能ゲートアレイ(FPGA)構造、アクセラレータ、およびグラフィカル処理ユニット(GPU)を含む、任意の種類の回路用の、プレースホルダでありインスタンス化ポイントである。本発明は、放射線強化していない技術ノード上に実装される、タイル配置したマルチコアおよびメニーコアシステム上で構築し、それらを拡張する。
【0039】
本発明は、最初に、本記載の様々な図面を概説することによって全体的に記載される。
【0040】
図1は、電力供給手段および/または通信手段に接続されるメイン回路(タイル)と、そこから切断する(またそこに再度接続する)ための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)とを示す。
【0041】
【0042】
【0043】
図6は、前記第1、第2の保護手段、および/または第3の保護手段の部分であってよい、さらなる特徴を示す。
【0044】
図7は、複数の制御入力の使用の概念と、したがって、そのような場合に、投票回路を少なくとも有する、(前記第1の保護手段への制御を実行する)第2の保護手段を有するための要件を紹介する。
【0045】
図8は、図1中のような複数の回路と、前記回路との互いの間で通信を可能にするための通信手段とを備え、やはり、複数の制御入力の使用の概念と、したがって、そのような場合に、投票回路を少なくとも有する、(前記第1の保護手段への制御を実行する)第2の保護手段を有するための要件を使用する、システム(アーキテクチャ、装置)を示す。
【0046】
図9および図10は、電力供給手段および/または通信手段に接続されるもしくは接続可能なメイン回路(タイル)と、そこから切断する(またそこに再度接続する)ための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)、および複数の第2の保護手段であって、それら自体が、第3の保護手段の制御下でメイン回路(タイル)としてそこから切断して再度接続するための1つまたは複数の切換手段を有する第1の保護手段(タイルの周りの境界)をやはり有する、複数の第2の保護手段とを示す。
【0047】
【0048】
図11は、反応的障害除去のための方法と、予防的障害除去のための方法との同時使用を強調しており、特に、予防(いわゆる活性化)では、周期性は、放射線レベル依存性である。
【0049】
図12は、予防的障害除去のための方法を示す。
【0050】
図13は、予防的障害除去のための方法を示しており、特に、予防(いわゆる活性化)では、周期性は、放射線レベル依存性である。
【0051】
図14は、反応的障害除去のための方法を示す。
【0052】
本発明は、放射線効果(および他の偶発的なタイプの障害)を軽減するための装置のいくつかの事例を規定する。装置は、SELおよび他の放射線効果からMPSoCを補填する電子回路を確保するためのユニットによって拡張されるマルチコアおよびメニーコアシステムオンチップ(MPSoC)である。特に、SHARCSは、(SOIとは異なり)放射線効果に対して何ら自然抵抗力を有さない技術ノード上で実装されるこれらのMPSoCに焦点を合わせている。SHARCSユニットがマルチコアおよびメニーコアシステムに一体化して、本発明の装置を形成し、回路のサブセットに電力サイクルを行って回復する一方で、残りの活性であるサブセットに要求される機能性を再配置する。
【0053】
マルチコアおよびメニーコアシステムの部分にだけ電力サイクルを行う能力は、現在電力サイクルされていない計算リソース上のシステムの機能性のほとんどを使用可能に保ちながら、チップにわたって移動するのを回避するのに不可欠である。
【0054】
以下の装置は、単発および複数回の反転に起因する障害の制御されない伝播に対する保護、および、SHARCのSEL対抗策の実装の効率を漸進的に改善する。これらのSEL対抗策は、電力サイクルコントローラによって制御される電力サイクルメカニズムとして抽象的に記載されており、SEL対抗策は、各タイル、オンチップネットワークセグメント、およびシステム中の他の回路への電力供給を予防的または反応的にオフにするときを示す。以下は、これらの抽象的ユニットの具体的な事例である。
【0055】
電力サイクルメカニズム
SHARCS装置は、電力サイクルプロセス期間に回路(この例ではタイル)をシステムの残りから電気的に分離するために、以下の電力遮断メカニズムを使用する。これらのメカニズムは、分離回路または短くISOLと呼ばれる。
SHARCS装置は、電力サイクルプロセス期間に回路(この例ではタイル)をシステムの残りから電気的に分離するために、以下の電力遮断メカニズムを使用する。これらのメカニズムは、分離回路または短くISOLと呼ばれる。
【0056】
全部の電力供給線および全部の入出力線に対して、電気的分離を適用するべきである。図1中の例では、これらはタイル中の回路に電力を供給する、電源(Vsup)およびグランド(GND)電力線であり、および、タイルをオンチップネットワークに接続する全部の入出力線である。電源供給を取り除くことは、全部の供給電圧を切断することおよび(任意選択で)それらの全部をグランドに短絡することによるべきであり、一方で、入出力バッファが全部の入力および出力を切断し、システムの残りからタイルのIOラインを電気的分離する。分離回路は、単一の信号、SHDN(SHutDowN)によって制御され、これは、電力供給をオフにするためにイネーブルにされ、電力を再度供給するためにディセーブルにされる。電力サイクルコントローラは、SHDN信号を監視して反転を検出し、それを駆動して埋め込んだ回路の電力サイクルを行う。さらに、電力サイクルコントローラは、OC(過電流)信号に接続して、規則的SELを検出する。
【0057】
残りの図では、分離回路を長方形で示すことになり、それが保護する回路を取り囲んで、分かりやすくするためにそれが制御する具体的なIO線および電力線を省略する。
【0058】
オンチップ電力サイクルメカニズムおよび制御
中央単一オンチップ電力遮断コントローラ(A.0)
図2は、どのようにしてシングルトン電力サイクルコントローラ(CTRL)が電力サイクルメカニズムに(SHARCSのISOLの場合、SHDNおよびOC信号を)接続して、どのタイルが電力サイクルを受け(赤)、どのタイルが活性のままである(緑)かを制御する概要を示す。提示しやすいように信号を別個に示すが、もちろん、CTRLは、同時に両方のワイヤの組に接続し、その一方で、異なる時に選択されたSHDN信号のみにおいてそれらを駆動する。
中央単一オンチップ電力遮断コントローラ(A.0)
図2は、どのようにしてシングルトン電力サイクルコントローラ(CTRL)が電力サイクルメカニズムに(SHARCSのISOLの場合、SHDNおよびOC信号を)接続して、どのタイルが電力サイクルを受け(赤)、どのタイルが活性のままである(緑)かを制御する概要を示す。提示しやすいように信号を別個に示すが、もちろん、CTRLは、同時に両方のワイヤの組に接続し、その一方で、異なる時に選択されたSHDN信号のみにおいてそれらを駆動する。
【0059】
明らかに、CTRL中の何らかの反転およびこの回路中の何らかのSELは、全部のタイルのSHDN信号を偶発的に駆動すること、またはCTRL中の未処理のSELに起因する熱的破壊によって、システム機能性の可用性を脅かす可能性があり、障害の発生にかかわらずタイルの途切れることのない動作を保証すると考えられる保護メカニズムをオフにする可能性がある。
【0060】
それらの問題を緩和するため、CTRL回路は、高信頼性、SEU耐性、およびSEL免疫技術で製造するべきである。高い複雑さおよび性能の回路であるべきタイルとは異なり、CTRLは、タイルの挙動の監視および障害の発生からのそれらの予防的反応的回復の管理だけを担い、そのため、それを堅牢にすることは、十分で実現可能の両方であるべきである。
【0061】
放射線が誘起した誤りに敏感であるコアの安全性保証のために採用され、高信頼性技術で製造される外部コントローラによって実施される、保護メカニズム適用のタイルレベルの粒度およびシステム全体の動作の編成を含む提示された設定は、それ自体が、保護を主張するのに十分な発明性のあるステップを含む解決策である。
【0062】
直列型電力サイクルコントローラ(A.1)
図3に図示されるような直列型制御は、直列対の一方のコントローラが他方をディセーブルすることが可能になることによってCTRLラッチアップに起因する可能なダメージを回避する。電力サイクルの間、CTRL1、CTRL2は、CTRL1からOCi線を切断し、そのコントローラの責務を引き継いで、過電流に対処する。CTRL2は、CTRL1のSHDNi線をやはり切断し、同様に、電力遮断サイクルを受ける回路用にこれらの信号を駆動するCTRL1の役割を担う。CTRL1の電力サイクルが一度完了したら、CTRL2がそのようなサイクルを受けて、CTRL1がその役割を引き継ぐ。
図3に図示されるような直列型制御は、直列対の一方のコントローラが他方をディセーブルすることが可能になることによってCTRLラッチアップに起因する可能なダメージを回避する。電力サイクルの間、CTRL1、CTRL2は、CTRL1からOCi線を切断し、そのコントローラの責務を引き継いで、過電流に対処する。CTRL2は、CTRL1のSHDNi線をやはり切断し、同様に、電力遮断サイクルを受ける回路用にこれらの信号を駆動するCTRL1の役割を担う。CTRL1の電力サイクルが一度完了したら、CTRL2がそのようなサイクルを受けて、CTRL1がその役割を引き継ぐ。
【0063】
直列型回路での実装課題は、電力サイクルをやはり受けない別の回路を導入することなしに、電力遮断サイクルにある回路の状態を交換するため同時に必要なことにある。直列型において安全な状態の交換についての解決策を提供する前に、この問題を回避するために、図4でアーキテクチャを導入しよう。
【0064】
3重電力遮断コントローラ(A.2)
3重電力サイクルコントローラアーキテクチャは、3つの電力サイクルコントローラをインスタンス化し、各々は、保護される回路のSHDNiおよびOCi信号に接続され、コントローラおよびそれらの各対は、同様に電力サイクルすることができる、それらの間の状態要素を有する。コントローラは責務を交代する一方で、活性な対間(すなわち、制御を引き渡すものと電力遮断制御を受け取るもの)の状態要素を通して状態を移行する。第3のものと制御を引き渡すものの間の状態要素は、それによって使用されず、この引渡しの中で電力サイクルすることができる。
3重電力サイクルコントローラアーキテクチャは、3つの電力サイクルコントローラをインスタンス化し、各々は、保護される回路のSHDNiおよびOCi信号に接続され、コントローラおよびそれらの各対は、同様に電力サイクルすることができる、それらの間の状態要素を有する。コントローラは責務を交代する一方で、活性な対間(すなわち、制御を引き渡すものと電力遮断制御を受け取るもの)の状態要素を通して状態を移行する。第3のものと制御を引き渡すものの間の状態要素は、それによって使用されず、この引渡しの中で電力サイクルすることができる。
【0065】
直列状態転送(A.1a)
図5に示されるように、CTRLは、同時に、コントローラのうちの1つが活性である(SHDNi線上が活動)一方で、他のコントローラが受動的である(SHDNi線上が観測状態)ような方式で設計およびプログラムすることができる。受動的コントローラは、どのようにSHDNiがアサートされ、アサート停止されるかを観測することによって、活性コントローラ上で走るタイル電力サイクルアルゴリズムの実行に追従して、CTRLトグル線を活性化することによって、活性なものから制御に介在して引き継ぐことができる。SHDNi線へのCTRLインターフェースは、入出力短絡または障害時スタックが他のコントローラに伝播しない方式で設計および実装されなければならない。同様に、OCi線インターフェースは、オンエラーが他のコントローラに伝播されるのを確実にしなければならない。
図5に示されるように、CTRLは、同時に、コントローラのうちの1つが活性である(SHDNi線上が活動)一方で、他のコントローラが受動的である(SHDNi線上が観測状態)ような方式で設計およびプログラムすることができる。受動的コントローラは、どのようにSHDNiがアサートされ、アサート停止されるかを観測することによって、活性コントローラ上で走るタイル電力サイクルアルゴリズムの実行に追従して、CTRLトグル線を活性化することによって、活性なものから制御に介在して引き継ぐことができる。SHDNi線へのCTRLインターフェースは、入出力短絡または障害時スタックが他のコントローラに伝播しない方式で設計および実装されなければならない。同様に、OCi線インターフェースは、オンエラーが他のコントローラに伝播されるのを確実にしなければならない。
【0066】
コントローラ内部
ここまで、コントローラインスタンスCTRLiの内部を抽象的のままにしていた。以下では、それらの任意の組合せが、下で議論される効果でインスタンス化できるという理解で、重要なビルディングブロックを導入する。
ここまで、コントローラインスタンスCTRLiの内部を抽象的のままにしていた。以下では、それらの任意の組合せが、下で議論される効果でインスタンス化できるという理解で、重要なビルディングブロックを導入する。
【0067】
周期的にトリガされる電力サイクル(C.1)
回路の電力遮断は、周期的にトリガして、検出されないSELを逸することを回避するため、他の回路の電力遮断に対して位相をシフトしなければならない。したがって、コントローラ要素C.1は、ある回路iのSHDNi信号を、この回路からSELを取り除くのに十分長い時間tiの間、周期pi、およびオフセットφiで周期的に立てる。パラメータti、pi、およびφiは、保護回路、放射能のある環境の厳しさに依存し、依存する回路を電力サイクルする時間がきたら信号をアサートさせるように選択するべきである。たとえば、同様の種類のタイルと、これらのタイルを接続するネットワークオンチップ(NoC)セグメントの特別なインスタンスでは、全周期piおよび電力サイクル時間tiは、ほぼ同じ値tおよびpを仮定している。したがって、タイルの位相およびNoCセグメントを接続するそのデータが同じでなければならない一方で、位相は、tの倍数でなければならず、その結果、どの2つのタイルも同じ位相を有さない。p>tnをさらに仮定し、nがシステム中のタイルの数である場合、φi=tiに設定すると、この条件を満足する。図6はそのようなコントローラを図示する。
回路の電力遮断は、周期的にトリガして、検出されないSELを逸することを回避するため、他の回路の電力遮断に対して位相をシフトしなければならない。したがって、コントローラ要素C.1は、ある回路iのSHDNi信号を、この回路からSELを取り除くのに十分長い時間tiの間、周期pi、およびオフセットφiで周期的に立てる。パラメータti、pi、およびφiは、保護回路、放射能のある環境の厳しさに依存し、依存する回路を電力サイクルする時間がきたら信号をアサートさせるように選択するべきである。たとえば、同様の種類のタイルと、これらのタイルを接続するネットワークオンチップ(NoC)セグメントの特別なインスタンスでは、全周期piおよび電力サイクル時間tiは、ほぼ同じ値tおよびpを仮定している。したがって、タイルの位相およびNoCセグメントを接続するそのデータが同じでなければならない一方で、位相は、tの倍数でなければならず、その結果、どの2つのタイルも同じ位相を有さない。p>tnをさらに仮定し、nがシステム中のタイルの数である場合、φi=tiに設定すると、この条件を満足する。図6はそのようなコントローラを図示する。
【0068】
しきい値がトリガした電力サイクル(C.2)
(強いラッチアップによって引き起こされる過電流イベントを探し出すための)電流測定は、もちろん、検出できるそれらのラッチアップに反応でき、反応するべきである。そのような検知信号が一度しきい値を超えたら、OC信号がアサートされて、ラッチアップ検出を示す。図5は、そのような検出のための回路要素を示す。
(強いラッチアップによって引き起こされる過電流イベントを探し出すための)電流測定は、もちろん、検出できるそれらのラッチアップに反応でき、反応するべきである。そのような検知信号が一度しきい値を超えたら、OC信号がアサートされて、ラッチアップ検出を示す。図5は、そのような検出のための回路要素を示す。
【0069】
ソフトウェアがトリガした電力サイクル(C.3)
場合によっては環境のセンサを通して接続されるマイクロコントローラ上で実行されるソフトウェアでSHDN信号の上昇/下降を制御することによって、最高の柔軟性、特に、変化する環境条件に調整する可能性が達成される。この種類のソフトウェアは、標準的な制御ループパターンにしたがう。すなわち、環境を読み出し、内部状態を調整し、出力を導出する(たとえば、C.1に示されるような周期的な信号の形であるが、周期は、システムの現在のリソース使用に対して調整され(たとえば、不使用のタイルは電力サイクルを受ける自然な候補である)、周期piは、認知された環境条件(たとえば、測定された放射線レベル)に対して調整される)。
場合によっては環境のセンサを通して接続されるマイクロコントローラ上で実行されるソフトウェアでSHDN信号の上昇/下降を制御することによって、最高の柔軟性、特に、変化する環境条件に調整する可能性が達成される。この種類のソフトウェアは、標準的な制御ループパターンにしたがう。すなわち、環境を読み出し、内部状態を調整し、出力を導出する(たとえば、C.1に示されるような周期的な信号の形であるが、周期は、システムの現在のリソース使用に対して調整され(たとえば、不使用のタイルは電力サイクルを受ける自然な候補である)、周期piは、認知された環境条件(たとえば、測定された放射線レベル)に対して調整される)。
【0070】
コントローラの組合せ(C.1~C.3)
示されるように、上のコントローラは、図6に図示されるように、それらの組み合わせた効果をもたらすため円滑に一体化する。センサ、発振器、またはNoCにわたるソフトウェアからの対応するメッセージの受信がSHDNをトリガする。明らかに、後者が機能するには、より重要には再度イネーブルされるがディセーブル信号がトリガされるネットワークセグメントは、保護されるタイルと同時に電力サイクルを受けてはならない。したがって、別個に電力サイクルされることになる別のネットワークセグメントからこの信号を引き出すことが示唆される。
示されるように、上のコントローラは、図6に図示されるように、それらの組み合わせた効果をもたらすため円滑に一体化する。センサ、発振器、またはNoCにわたるソフトウェアからの対応するメッセージの受信がSHDNをトリガする。明らかに、後者が機能するには、より重要には再度イネーブルされるがディセーブル信号がトリガされるネットワークセグメントは、保護されるタイルと同時に電力サイクルを受けてはならない。したがって、別個に電力サイクルされることになる別のネットワークセグメントからこの信号を引き出すことが示唆される。
【0071】
合意に基づく電力サイクル制御
これまで導入された装置は、電力サイクルコントローラ中、特に、SHDNおよびOCへ接続するワイヤ中の反転に対して保護をほとんど示していない。したがって、以下の拡張では、電力サイクル制御と反転保護を一体化する。タイルが電力遮断される場合でも、そのインターフェースワイヤにおいて反転が発生する可能性がある。この信号が制御されない方式でシステムを通して伝播するのが可能である場合、システムの他の構成要素に後続の障害を引き起こす可能性がある。そのような伝播に対して保護するため、それらがすべて、制御されない伝播を防ぐために信用された信頼できる構成要素を含む、いくつかの技法を適用することができる。たとえば、そのような構成要素は、送信の期間のエラーを検出するため外に行く信号をエンコードすること、または、正当でない送信をブロックすることができる。主な制約は、アクセスおよび障害の伝播を防ぐのに好適な何らかのそのような保護メカニズムは、タイルが電力サイクルされるときでさえ、活性のままでいなければならないことである。しかし、電力サイクルコントローラ(CTRL)で見てきたように、高い信頼性の技術で実装されない場合に、シングルトンの活性な回路は、SELダメージの危険を負っている。
これまで導入された装置は、電力サイクルコントローラ中、特に、SHDNおよびOCへ接続するワイヤ中の反転に対して保護をほとんど示していない。したがって、以下の拡張では、電力サイクル制御と反転保護を一体化する。タイルが電力遮断される場合でも、そのインターフェースワイヤにおいて反転が発生する可能性がある。この信号が制御されない方式でシステムを通して伝播するのが可能である場合、システムの他の構成要素に後続の障害を引き起こす可能性がある。そのような伝播に対して保護するため、それらがすべて、制御されない伝播を防ぐために信用された信頼できる構成要素を含む、いくつかの技法を適用することができる。たとえば、そのような構成要素は、送信の期間のエラーを検出するため外に行く信号をエンコードすること、または、正当でない送信をブロックすることができる。主な制約は、アクセスおよび障害の伝播を防ぐのに好適な何らかのそのような保護メカニズムは、タイルが電力サイクルされるときでさえ、活性のままでいなければならないことである。しかし、電力サイクルコントローラ(CTRL)で見てきたように、高い信頼性の技術で実装されない場合に、シングルトンの活性な回路は、SELダメージの危険を負っている。
【0072】
障害の伝播を防止するための第2の態様は、電力サイクルを含む任意の重要な動作が合意に基づく方式で制御されることを確実にすることである。すなわち、潜在的に障害を起こす可能性のある構成要素が単一で、そのような重要な動作をトリガすることが可能であるべきでない。代わりに、そのような決定は、常に、障害のある複製がこの決定に影響をおよぼすことができないような方式で、そのような決定について構成要素の組(そのうちの一部が障害のある)が一致に到達した結果であるべきである。ビザンチン合意に関連する作業によって、fが障害がある可能性があるn個の構成要素の濃度に対して信用された信頼できる構成要素での合意についてのこの結果が定量化される。ここで、nおよびfは、n=2f+1として関連する。n個の構成要素から最大k個が電力サイクルを同時に受けなければならない場合、この数は、k(すなわち、n=2f+1+k)だけ増加する一方で、残りのn-k個の構成要素は、このプロセスについて合意に達し続ける一方で、最大f個の障害のある複製の提案がマスクされる。
【0073】
以下では、ここで、合意に基づく電力サイクルに必要な装置を導入する。
【0074】
SHDNの投票される活性化/不活性化(AC1)
図7は、SHDNの投票される活性化を図示しており、ここで、シャットダウンは、同時に活性なCTRLの定足数が同意したときにアサートされる。各SHDNi信号は、SHDNi jがCTRLjに接続されるような、n個の信号SHDNi j([1、…、n]中のj)として反映される。ベクトルSHDNi jは、次いで、組合せロジックで、またはアナログ方式(ワイヤ投票およびしきい値比較器として演算増幅器を使用して)のいずれかで設定されたビットの数を数えることによってSHDNiにマッピングされる。(C.1~C.3)の実装に応じて、CTRL複製は、C.1またはC.2または専用マイクロコントローラ(C.3)として記載される電子回路の組合せとなってよい。
図7は、SHDNの投票される活性化を図示しており、ここで、シャットダウンは、同時に活性なCTRLの定足数が同意したときにアサートされる。各SHDNi信号は、SHDNi jがCTRLjに接続されるような、n個の信号SHDNi j([1、…、n]中のj)として反映される。ベクトルSHDNi jは、次いで、組合せロジックで、またはアナログ方式(ワイヤ投票およびしきい値比較器として演算増幅器を使用して)のいずれかで設定されたビットの数を数えることによってSHDNiにマッピングされる。(C.1~C.3)の実装に応じて、CTRL複製は、C.1またはC.2または専用マイクロコントローラ(C.3)として記載される電子回路の組合せとなってよい。
【0075】
CTRLとしてのタイル(AC2)
一度障害耐性の特権行使が(たとえば、Midirの統合および適合を通して)実施されると、図8に図示されるように、通常のタイルは、制御ソフトウェアをホストして、提案の際に投票されるものに(場合によっては、C.1および/またはC.2での組合せで)寄与することができる。
一度障害耐性の特権行使が(たとえば、Midirの統合および適合を通して)実施されると、図8に図示されるように、通常のタイルは、制御ソフトウェアをホストして、提案の際に投票されるものに(場合によっては、C.1および/またはC.2での組合せで)寄与することができる。
【0076】
しかし、上で述べたように、電力サイクルされない複数の回路が残らなければならず、SELが増加する可能性がある。したがって、最終的な要因は以下となる。
【0077】
状態分離した信用された信頼できる構成要素を通した直列障害封じ込め
図9に示される
図9に示される
【0078】
少なくとも1つの信用された信頼できる構成要素が活性であって、障害のある要求の制御されない伝播を防止するために利用可能なままとなる要件を満たすため、SHARCSは、CTRLに導入される直列の概念を活用する。信用された信頼できる構成要素(ここでは、例として、MidirのT2H2)が複製され、その結果、構成要素のうちの1つが活性のままで残る一方で、他のものは、電力サイクルを受けることができる。この状態分離した設定では、ちょうど電力サイクルした構成要素は、状態把握ができない、または、それを再び再使用することができる前にその正規の再構成インターフェースを通して他の構成要素によって再構成されるのいずれかでなければならない。Midirの場合、これらは、レジスタにインストールされる値についての投票される動作である。トグル型Tフリップフロップ(TFF)によって、2つの構成要素のどちらが現在活性であり、T3H3すなわち(限定しないが、例の中で示されるT2H2のように)タイルとそれらの第1のレベルのハイブリッドブロックとの両方を保護および管理する第2のレベルのハイブリッドの不可欠な部分であるかを制御する。
【0079】
T3H3は、所与のタイルが保護されるべきであるかについての票を集める、以前に述べたようなデジタルまたはアナログの信用された投票者からなる。定足数が達成される場合、パルスが生成されて≧1ゲート(論理的に言い換えると、「論理和」)へと供給される。所与のタイルを電力サイクルするための定足数および合意が達成されない場合、投票によって生成されるパルスの代わりに、局所的発振器回路によってクロック供給されるオーバフローウォッチドッグカウンタ(WDT)によって別のパルスが生成されることになる。いずれにしても、パルスは、≧1ゲート(論理和ゲート)を通して伝播し、タイルのISOL分離回路にSHDN信号として、また、トグル型フリップフロップTFFへのクロックとして提供され、トグル型フリップフロップTFFをT2H2ハイブリッド保護モジュール間でトグルさせる。
【0080】
状態結合した信用された信頼できる構成要素での直列障害封じ込め
図10に示されるように、いくつかの信用された信頼できる構成要素では、構成要素が外部ユニットによって再度初期化されることは、安全性または性能的理由で示されない。これは、たとえば、主な材料が得られる場合、または状態を再度インスタンス化するための動作が高価になりすぎる場合である。この場合、T3H3は、TTFに順番だけの考えを信号伝達するが、電力サイクルされる順番の構成要素を電力遮断する前に状態転送が完了するのを待つことによって、両方の信用された構成要素を活性に保つように適合することができる。
図10に示されるように、いくつかの信用された信頼できる構成要素では、構成要素が外部ユニットによって再度初期化されることは、安全性または性能的理由で示されない。これは、たとえば、主な材料が得られる場合、または状態を再度インスタンス化するための動作が高価になりすぎる場合である。この場合、T3H3は、TTFに順番だけの考えを信号伝達するが、電力サイクルされる順番の構成要素を電力遮断する前に状態転送が完了するのを待つことによって、両方の信用された構成要素を活性に保つように適合することができる。
【0081】
本発明の様々な態様および例示的な実施形態は、ここで、以下のように言い換えることができる。
【0082】
(放射線が誘起した)(非過渡的)障害から回復するように適合された、適切に適合した回路(タイル)が提供される。例示的な実施形態では、過電流検出回路が使用されてそのような障害を検出する。たとえば、電流の第1のしきい値を超えると同時に好適な制御信号を生成する、局所的なアプローチで自律的過電流イベント検出に好適な回路が提供される。同様に、グローバルなアプローチをサポートする自律的過電流イベント検出に好適な回路も提供される。さらに、これらのアプローチを組み合わせることができる。
【0083】
いくつかの実施形態では、1つまたは複数のパルス生成回路であって、1つまたは複数の発振回路によって局所的に生成される、またはさもなくば、通信手段を介したタイミング信号を受け取るよう適合されるタイミング信号によって提供される、パルス生成回路が提供される。
【0084】
(通信された)過電流を比較するためのしきい値は、同時にシャットダウンするのを回避するために、意図的に回路(主なおよび/または第2の保護手段)ごとに(好適な制御信号を生成するプロセスにおいて)異なってよい。
【0085】
本発明は、システム中の障害を取り除くための方法が、反応的方法と予防的方法の組合せに基づき、場合によっては、(予防的)方法は、(反応的)方法の最新のトリガを考慮に入れることを示唆する。
【0086】
本発明内で、前記第2の保護手段は状態機械と考えることができ、したがって、方法は(可能な場合には)、第2の保護手段の切換の前に、オフにされる前記第2の保護手段の状態が、前記複数の第2の保護手段のうちの他のものの中の1つまたは複数に転送されるのを確実にする。これは、隣接する回路にであってよいが、そのことは必要でない。
【0087】
本発明は、放射線レベルを決定するためのセンサの存在を活用することができる。あるいは、本発明は、(予期される)放射線レベルについての情報を入力するための手段に依拠する場合がある。さらに別の代替形態は、(経験された)放射線レベルが、反応的障害除去方法の活性化から決定されるものである。(経験された)放射線レベルは、回路のうちの1つまたは複数においてもたらされる、過渡的な放射線が誘起した障害に対処するための、(ECC補正のような)メカニズムの活性化から決定することもできる。これらの様々な方法も組み合わせることができる。
【符号の説明】
【0088】
10 メイン回路
20 第1の保護手段
30 切換手段
40 障害の発生を検出するための手段
100 システム
110 中央制御回路
200 第2の保護手段
210 投票回路
300 第3の保護手段
310 回路
20 第1の保護手段
30 切換手段
40 障害の発生を検出するための手段
100 システム
110 中央制御回路
200 第2の保護手段
210 投票回路
300 第3の保護手段
310 回路
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【国際調査報告】