La présente invention concerne le domaine des circuits numériques électroniques adaptés pour détecter ou masquer des fautes.

Il existe différentes techniques, dans les circuits électroniques, permettant de détecter ou masquer des erreurs passagères (en anglais « soft errors ») causées par des activités radioélectriques ou électromagnétiques de type effet singulier transitoire (SEU, « Single Event Upset » en anglais ou SET, « Single Event Transient »).

Une première technique est la redondance modulaire triple ou TMR (en anglais « Triple Modular Redundancy »), dans laquelle les éléments matériels d'un circuit électronique sont triplés, les mêmes données d'entrée sont fournies en parallèle à chacun des composants triplés, et des modules de vote associés à ces composants triplés sélectionnent comme résultat fourni par le triplet de composants le résultat commun fourni en parallèle par au moins deux des composants. Cette première technique nécessite cependant un grand nombre de composants, ce qui est un inconvénient important, notamment en termes de compacité des circuits électroniques.

Une deuxième technique est la redondance temporelle, typiquement la redondance temporelle triple (TTR), selon laquelle les mêmes données d'entrée sont fournies trois fois successivement au même composant matériel qui délivre trois résultats, et des modules de vote associés au composant sélectionnent comme résultat fourni par le composant le résultat fourni au moins deux fois par le composant parmi les trois résultats.

La présente invention concerne plus particulièrement cette deuxième technique, et notamment un procédé de synthèse automatisée d'un circuit électronique adapté pour détecter ou masquer des fautes par redondance temporelle, ledit procédé comprenant une étape mise en œuvre par ordinateur, selon laquelle pour mettre en œuvre une fonction de cellule mémoire du circuit électronique, on insère dans le circuit électronique un bloc mémoire comprenant une chaîne de retard comportant N cellules mémoires en série, N≥2, et un bloc de sélection (voteur / détecteur) qui, dans un mode de fonctionnement correspondant à une redondance temporelle d'ordre n1, impliquant n1 réexécutions, n1e[1,N], compare le contenu courant des n1 cellules mémoires stockant n1 données d'entrée redondantes successivement fournies au bloc mémoire, et - si n1>2, sélectionne comme données de sortie de la fonction de cellule mémoire, le contenu majoritaire des n1 cellules mémoires et optionnellement délivre en outre un signal de faute si les contenus de deux cellules mémoires diffèrent ;

- si n1=2, délivre comme données de sortie de la fonction de cellule mémoire, le contenu d'une des deux cellules mémoires contenant la donnée redondante courante et délivre en outre un signal de faute si les contenus de ces deux cellules mémoires diffèrent ;

- si n1=1, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu de la cellule mémoire déterminée.

n\— \ n\

Si n1>2, le circuit masque E[— -— fautes et optionnellement détecte E[— ] fautes, où £ est la fonction « partie entière ». Si n2=1, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu de la cellule mémoire déterminée.

Le document US 7,200,822 B1 est un exemple de circuits avec redondance temporelle triple et plus. La technique qui y est décrite diminue cependant le débit de traitement du circuit.

A cet effet, suivant un premier aspect, l'invention propose un procédé de synthèse automatisée d'un circuit électronique adapté pour détecter ou masquer des fautes par redondance temporelle du type précité caractérisé en ce qu'on insère en outre un bloc de contrôle du circuit adapté pour émettre des signaux de commande des blocs mémoires, et en ce que le bloc de mémoire inséré est adapté pour, en fonction d'un signal de commande de basculement reçu du bloc de contrôle, basculer entre ledit mode de fonctionnement correspondant à une redondance temporelle d'ordre n1 et un autre mode de fonctionnement correspondant à une redondance temporelle d'ordre n2 e [1,N] selon lequel le circuit effectue n2 réexécutions, n2≠n1, dans lequel le bloc de sélection compare le contenu courant de n2 cellules déterminées parmi les N cellules mémoires stockant n2 données d'entrée redondantes successivement fournies au bloc mémoire, et :

si n2>2, sélectionne comme donnée de sortie de la fonction de cellule mémoire, le contenu majoritaire desdites n2 cellules mémoires ;

si n2=2, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu d'une des deux cellules mémoires et délivre un signal de faute si les contenus des deux cellules mémoires diffèrent ;

si n2=1, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu de la cellule mémoire déterminée. L'invention permet d'adapter dynamiquement le compromis entre les corrections/détections de fautes et le débit de sortie du circuit.

Une telle redondance temporelle dynamique permet de changer en cours d'exécution le nombre de réexécutions. Quand ce nombre est égal à 1, le circuit fonctionne sans réexécution et sans surcoût.

L'adaptation dynamique du niveau de redondance temporelle mise en œuvre selon l'invention permet notamment d'adapter le fonctionnement du circuit fabriqué selon l'invention aux fluctuations des radiations dans l'environnement du circuit.

Une telle redondance temporelle dynamique permet notamment d'obtenir des circuits masquant une erreur à l'aide de moyens équivalent à une redondance temporelle double au lieu de triple. Le principe est de tirer parti des K cycles d'horloge suivant l'occurrence d'une faute pendant lesquels, par hypothèse, aucune nouvelle faute n'aura lieu. Dans un circuit selon l'invention, suite à une détection d'erreur dans un mode de redondance double, le circuit bascule en mode non redondant pour faire une troisième exécution du calcul erroné, sans que le débit observé en sortie du circuit ne change (voir la section « Combinaison de la redondance temporelle dynamique double et de l'enregistrement avec retour arrière » ci-après).

Dans des modes de réalisation, le procédé de synthèse automatisée d'un circuit électronique tolérant aux fautes par redondance temporelle suivant l'invention comporte en outre une ou plusieurs des caractéristiques suivantes :

- le bloc de mémoire inséré comporte en outre, quand N>2, un bloc de retard supplémentaire disposé en sortie de la chaîne de retard et comportant au moins

N - l

E[— -— cellules mémoires ; en mode de fonctionnement correspondant à une redondance temporelle d'ordre n, n>2, tous les n cycles, le bloc de sélection sélectionne comme donnée de sortie de la fonction de cellule mémoire, le contenu majoritaire des n cellules mémoires de la chaîne de retard, et chaque ^me cycle suivant lesdits n cycles, avec 1≤i<n, sélectionne comme donnée de sortie de la fonction de cellule mémoire, le contenu majoritaire d'un ensemble de dernières cellules de la chaîne de retard et de cellules du bloc de retard supplémentaire, lesdites cellules de l'ensemble stockant des données d'entrée redondantes ayant été successivement fournies au bloc mémoire ; cet ensemble comporte par exemple audit ^me cycle, les (n-i) dernières cellules de la chaîne de retard et de / ^' cellules du bloc à retard supplémentaire ; -N=3, n1=1, n1=2, ou n1=3 et n2, n2≠n1, prend une valeur égale à 1, 2 ou 3 en fonction de la commande de basculement ; ce mode de réalisation correspond à une redondance dynamique triple, qui inclut donc les modes de fonctionnement d'ordre n=1, n=2 et n=3 ainsi que toutes les transitions possibles entre ces trois modes de fonctionnement ;

-N=2, n1=1 ou n1=2 et n2, n2≠n1, prend une valeur égale à 7 ou 2 en fonction de la commande de basculement ; ce mode de réalisation correspond à une redondance dynamique double, qui inclut donc les modes de fonctionnement d'ordre n=1 et n=2 ainsi que toutes les transitions possibles entre ces deux modes de fonctionnement ;

- la commande de basculement du mode de fonctionnement selon une redondance temporelle d'ordre 2 vers le mode de fonctionnement selon une redondance temporelle d'ordre 1, et réciproquement, est déclenchée suite à la réception par le bloc de commande d'un signal de faute délivré par un des blocs mémoires ;

- la deuxième cellule de la chaîne de retard mémorise, à chaque cycle d'horloge du circuit, le contenu mémorisé au cycle d'horloge précédent, dans la première cellule de la chaîne de retard, le bloc de mémoire inséré comporte en outre une chaîne d'enregistrement adaptée pour, sur réception d'un signal de commande d'enregistrement du bloc de contrôle, mémoriser la valeur de signal d'entrée du bloc mémoire également fournie en parallèle à la première cellule de la chaîne de retard, et en mode de fonctionnement selon une redondance d'ordre 2, le signal de commande d'enregistrement est émis tous les deux cycles de sorte que, lorsque des données redondantes mémorisées dans les deux cellules mémoires de la chaîne de retard sont comparées par le bloc de sélection, la dernière cellule de la chaîne d'enregistrement comporte en mémoire les données qui étaient mémorisées deux cycles auparavant dans chacune des deux cellules mémoires de la chaîne de retard ;

- suite à la réception par le bloc de commande d'un signal de faute délivré par un bloc mémoire signalant que des données redondantes mémorisées dans les deux cellules mémoires de la chaîne de retard diffèrent, le bloc de commande fournit au bloc de mémoire une commande de retour arrière suite à laquelle le bloc mémoire délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu courant de la dernière cellule de la chaîne d'enregistrement; ce mode de réalisation permet de masquer une erreur avec seulement une redondance double au lieu de triple ; - on insère en outre à l'entrée du circuit électronique un bloc d'entrée du circuit recevant la donnée extérieure courante à traiter suréchantillonnée deux fois,

le bloc d'entrée, dans le mode de fonctionnement selon une redondance temporelle d'ordre 2, mémorisant la donnée extérieure courante reçue et fournissant en outre simultanément au circuit ladite donnée extérieure courante reçue et, le bloc d'entrée, dans le mode de fonctionnement selon une redondance temporelle d'ordre 1, fournissant au circuit des données extérieures successives non redondantes précédemment mémorisées par le bloc d'entrée pour permettre une troisième exécution de ces données par le circuit ; et

selon lequel on insère en outre à la sortie du circuit électronique un bloc de sortie du circuit recevant la donnée délivrée par le circuit, ledit bloc de sortie, dans le mode de fonctionnement selon une redondance temporelle d'ordre 2, mémorisant les données délivrées par le circuit et appliquant un retard donné avant de les délivrer, et le bloc de sortie, dans le mode de fonctionnement selon une redondance temporelle d'ordre 1, délivrant sans retard les données délivrées par le circuit, dupliquant des données délivrées par le circuit et délivrant les données dupliquées,

le recouvrement de fautes par le circuit étant ainsi masqué vis-à-vis de l'amont du circuit et de l'aval du circuit par lesdits blocs d'entrée et de sortie. Les blocs d'entrée et de sortie permettent en mode sans redondance temporelle (n2=1) de rendre l'étape de retour en arrière et de recalcul transparent vis-à-vis de l'environnement extérieur.

Suivant un deuxième aspect, la présente invention propose un programme d'ordinateur à installer dans un outil de fabrication automatisée d'un circuit électronique adapté pour détecter ou masquer des fautes par redondance temporelle, ledit programme comportant des instructions pour mettre en œuvre les étapes d'un procédé selon le premier aspect de l'invention lors d'une exécution du programme par des moyens de traitement de l'outil de fabrication automatisé de circuit électronique.

Suivant un troisième aspect, la présente invention propose un circuit électronique adapté pour détecter ou masquer des fautes par redondance temporelle comprenant un ensemble de bloc(s) mémoire(s), chaque bloc mémoire dudit ensemble comprenant une chaîne de retard comportant N cellules mémoires en série, N≥2, et un bloc de sélection qui, dans un mode de fonctionnement correspondant à une redondance temporelle d'ordre n1, n1 e [1,N], compare le contenu courant de n1 desdites N cellules mémoires stockant n1 données d'entrée redondantes successivement fournies au bloc mémoire, et - si n1>2, sélectionne comme donnée de sortie de la fonction de cellule mémoire, le contenu majoritaire des n1 cellules mémoires et optionnellement délivre en outre un signal de faute si les contenus de deux cellules mémoires diffèrent ;

- si n1=2, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu d'une des deux cellules mémoires et délivre en outre un signal de faute si les contenus des deux cellules mémoires diffèrent ;

- si n1=1, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu de la cellule mémoire déterminée ; ledit circuit électronique étant caractérisé en ce qu'il comporte un bloc de contrôle du circuit adapté pour émettre des signaux de commande desdits blocs mémoires, et en ce que chacun desdits blocs mémoires est adapté pour, en fonction d'un signal de commande de basculement reçu du bloc de contrôle, basculer entre ledit mode de fonctionnement correspondant à une redondance temporelle d'ordre n1 et un autre mode de fonctionnement correspondant à une redondance temporelle d'ordre n2 e [1,N], n2≠n1, dans lequel le bloc de sélection compare le contenu courant de n2 cellules déterminées, parmi lesdites N cellules mémoires, stockant n2 données d'entrée redondantes successivement fournies au bloc mémoire, et :

- si n2>2, sélectionne comme donnée de sortie de la fonction de cellule mémoire, le contenu majoritaire desdites n2 cellules mémoires ;

- si n2=2, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu d'une des deux cellules mémoires et délivre un signal de faute si les contenus des deux cellules mémoires diffèrent ;

- si n2=1, délivre comme donnée de sortie de la fonction de cellule mémoire, le contenu de la cellule mémoire déterminée.

Ces caractéristiques et avantages de l'invention apparaîtront à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple, et faite en référence aux dessins annexés, sur lesquels :

- la figure 7 est une représentation d'un circuit numérique avant transformation selon l'invention ;

la figure 2 est une vue d'un outil de synthèse automatisée de circuits électroniques tolérants aux fautes dans un mode de réalisation de l'invention ; la figure 3 est une vue d'un circuit numérique après transformation dans un mode de réalisation de l'invention ; la figure 4 est une vue d'un bloc mémoire de la figure 3 dans un mode de réalisation de l'invention ;

la figure 5 est une vue du bloc mémoire de la figure 3 dans un mode de réalisation de l'invention correspondant à une redondance temporelle dynamique double ;

la figure 6 est une vue du bloc mémoire de la figure 3 dans un mode de réalisation de l'invention correspondant à une redondance temporelle dynamique triple ;

la figure 7 représente un exemple de voteur utilisé en figure 6 ;

la figure 8 est une vue d'un bloc mémoire de la figure 3 disposant d'un mécanisme d'enregistrement/retour arrière dans un mode de réalisation de l'invention ;

la figure 9 est une vue d'un bloc mémoire de la figure 3 dans un mode de réalisation de l'invention combinant les fonctionnalités de redondance temporelle dynamique double et de mécanisme d'enregistrement/retour arrière ;

la figure 10 est une vue d'un circuit numérique dans un mode de réalisation de l'invention correspondant à une redondance temporelle double avec retour arrière ;

la figure 11 représente une mémoire tampon d'entrée dans un mode de réalisation de l'invention de redondance dynamique double avec retour arrière ;

la figure 12 représente une mémoire tampon de sortie dans un mode de réalisation de l'invention de redondance dynamique double avec retour arrière ;

la figure 13 est une vue d'une machine à états finis d'un bloc de contrôle dans un mode de réalisation de l'invention de redondance dynamique double avec retour arrière ;

la figure 14 représente des étapes d'un procédé dans un mode de mise en œuvre de l'invention ;

la figure 15 décrit des étapes d'un flot de conception de circuits intégrés dans un mode de réalisation de l'invention.

Dans les figures, des références identiques repèrent des éléments similaires. La figure 7 est une représentation générale d'un circuit numérique 10, comprenant une partie combinatoire 77 et une partie séquentielle 72, pilotées par un signal d'horloge clk.

La partie combinatoire 77, comportant des portes combinatoires AND, OR, NOT etc., réalise une fonction booléenne sans mémoire φ.

La partie séquentielle 72 comporte des cellules mémoires ou Flip-Flops (FF) qui mémorisent chacune un bit, ou Flip-Flops (FF) destinées à mémoriser les données délivrées par la partie combinatoire 77. Une cellule mémoire 73 est représentée en figure 7. Elle reçoit sur un fil d'entrée D un signal si et délivre sur un fil de sortie Q un signal de sortie so (on notera qu'ici une flip-flop de type D est décrite, mais l'invention est bien sûr applicable à tout type de cellule mémoire).

Le circuit numérique 10 prend en entrée un vecteur de bits d'entrée primaire PI et délivre en sortie un vecteur de bits de sortie primaire PO à chaque cycle d'horloge.

On note Cl , respectivement CO , le vecteur de bits d'entrée, respectivement le vecteur de bits de sortie, de la partie combinatoire 77. On note SI , respectivement SO , le vecteur de bits d'entrée, respectivement le vecteur de bits de sortie, de la partie séquentielle 72.

Ces vecteurs satisfont les égalités suivantes :

CO = (p(CI) CÎ = PÎ ® SÔ CÔ = PÔ ® SÎ (1 ) où ® est l'opération de concaténation de vecteur.

On note v, la valeur du vecteur de bits v au ^me cycle d'horloge dans le circuit. On nomme v une composante quelconque du vecteur de bits v .

Les modèles de faute considérés sont de la forme « au plus m effets singuliers transitoires (SET) tous les K cycles d'horloge », dénotés SET(m,K). Ceci englobe les SEUs directes d'une cellule mémoire et les SEUs conséquence d'un SET dans la partie combinatoire. Selon le modèle de faute SET(1,K), il n'y a pas d'occurrence de faute dans les cycles d'horloge suivant la dernière occurrence de faute.

Un SET dans la partie combinatoire 77 d'un circuit peut conduire à la corruption non déterministe de n'importe quelle cellule mémoire connectée (par un trajet purement combinatoire) à l'endroit où le SET a eu lieu. Un SET dans la partie combinatoire 77 à un cycle / ^' peut provoquer la corruption de sortie(s) dans POi et d'entrée(s) dans Sh , ce qui alors cause la corruption de cellules mémoires dans la partie séquentielle 72. Cette dernière corruption est visible au cycle d'horloge Un SET peut arriver sur n'importe quel fil du circuit (connexions entre portes logiques, cellules mémoire, entrées, sorties).

La figure 2 représente un outil 1 de synthèse automatisée de circuits électroniques tolérants aux fautes dans un mode de réalisation de l'invention. Cet outil 1 comprend un microprocesseur 2 et une mémoire 3. Dans la mémoire 3, un programme d'instructions logicielles P est stocké qui, lorsqu'il est exécuté par le microprocesseur 2, est adapté pour mettre en œuvre les étapes indiquées ci-dessous de transformation automatique du design du circuit.

Un tel outil 1 est adapté pour, à partir d'une description d'un circuit numérique de type réseau de portes logiques (en anglais « netlist ») comprenant des portes AND, OR, NOT et des cellules mémoires ou Flip-Flops, effectuer une étape de transformation automatique du design du circuit pour obtenir un circuit transformé, puis pour fabriquer un circuit FGPA ou un circuit ASIC à partir du circuit transformé sous forme de netlist.

Les vecteurs en lettres minuscules, par exemple pi , po , représentent les signaux dans un circuit numérique transformé par l'outil de fabrication de circuit numérique qui correspondent aux vecteurs en lettres majuscules, par exemple PI , PO . Ils satisfont aux mêmes égalités (1) indiquées précédemment.

Redondance temporelle dynamique

Suivant un premier aspect de l'invention, l'outil 1 met en œuvre une étape de transformation automatique 100 du design du circuit pour obtenir un circuit à tolérance aux fautes par redondance temporelle dynamique.

Un circuit tel qu'obtenu après transformation est adapté pour basculer, sans interruption de calcul, d'un mode de fonctionnement selon une redondance temporelle d'ordre n à un mode de fonctionnement selon une redondance temporelle d'ordre m, avec n≠m, suite à un signal de commande de basculement de mode indiquant le passage de l'ordre n à l'ordre m, ce qui permet un compromis dynamique entre le débit et la tolérance aux fautes.

Dans cette étape de transformation 100, l'outil 1 remplace chaque cellule mémoire 13 d'entrée SI, de sortie SO et prévue dans le circuit d'origine, par un bloc mémoire 14 d'entrée si et de sortie so et ajoute en outre un bloc de contrôle 15 qui génère des signaux de contrôle, comme représenté par les modules 12 et 15 de la figure 3. Le bloc mémoire 14 implémente un mécanisme de redondance temporelle dynamique adapté pour masquer et/ou détecter des fautes causées par des SETs dans au moins un des modes de fonctionnement du bloc mémoire 14. Le bloc mémoire 14 est adapté pour basculer au cours du fonctionnement opérationnel du circuit, d'un mode de fonctionnement selon une redondance temporelle d'ordre n à un mode de fonctionnement selon une redondance temporelle d'ordre m, avec n et m nombres entiers et n≠m, suite à une commande de basculement de mode indiquant le passage de l'ordre n à l'ordre m.

Dans un mode de réalisation, le bloc de contrôle 15 détermine les signaux de commande du bloc mémoire 14 en fonction notamment de l'ordre n de la redondance temporelle couramment sélectionné pour le circuit. Il est implémenté par exemple à l'aide d'une machine à états finis, par exemple elle-même protégée par TMR.

Ci-après on nomme mode n le mode de fonctionnement avec redondance temporelle d'ordre n (n entier naturel) :

- le flux d'entrée PI du circuit est sur-échantillonné n fois et noté pi , le débit du circuit initial est n fois plus important que le débit du circuit transformé ;

n le bloc mémoire 14 est adapté pour détecter ou masquer jusqu'à ^[—] fautes

[E[.] représente la fonction « partie entière ») quand n est supérieur ou égal à 2, en fonction de comparaisons entre elles, tous les n cycles d'horloge, des n données successivement mémorisées par le bloc mémoire et correspondant aux n signaux d'entrée si, redondants (dans le cas d'un masquage de faute, la donnée de sortie sélectionnée par le bloc mémoire est la donnée majoritaire parmi les n données comparées). Un bloc mémoire 14 comporte un pipeline de retard dynamique, une ligne de retard supplémentaire et un voteur/détecteur.

Le pipeline de retard dynamique est adapté pour, dans un mode de redondance temporelle d'ordre n, mémoriser n signaux successifs fournis en entrée du bloc mémoire. Il est adapté pour modifier dynamiquement sa fonction de retard n en fonction de signaux de commande transmis par le bloc de contrôle 15.

La chaîne de retard supplémentaire est adaptée pour, dans un mode de n -\

redondance temporelle d'ordre n, mémoriser E\ signaux ayant été successivement fournis en entrée du bloc mémoire 14, de manière à permettre la réalisation par le voteur/détecteur 18 de n décisions de vote/détection successives (dans d'autres modes ation, la ligne de retard supplémentaire est adaptée pour sauvegarder plus de signaux ayant été successivement fournis).

Le bloc mémoire 14 comporte un voteur/détecteur adapté pour déterminer n décisions de type masquage ou/et détection de fautes, successives, en mode de redondance temporelle d'ordre n, en fonction de données mémorisées dans le pipeline et/ou dans la ligne de retard supplémentaire.

Un bloc de mémoire 14 est représenté dans un mode de réalisation, en figure 4.

Le pipeline 76 de retard dynamique comporte N (N≥2) cellules mémoires 13 disposées en cascade et N-2 multiplexeurs 20 (on notera que d'autres implantations sont possibles : par exemple, on pourrait ne pas utiliser de multiplexeurs 20 et changer le voteur/détecteur pour sélectionerles cellules à comparer/voter.

Les N cellules mémoires successives sont nommées respectivement di, d ₂ , d _N -

Un multiplexeur 20 est disposé entre chaque cellule d, et chaque cellule d _i+1 , \e[1,N-2] (quand N>2). La cellule d-i a pour signal d'entrée le signal si. La cellule d _N a pour signal d'entrée le signal de sortie de d _N -i- La sortie de chaque cellule d,, ie[1,N-2], est délivrée sur l'entrée 0 du multiplexeur 20 disposé entre chaque cellule d, et chaque cellule dj+i. Le signal si est délivré sur l'entrée 7 du multiplexeur 20 disposé entre chaque cellule d, et chaque cellule d _i+ i. La sortie du multiplexeur 20 disposé entre les cellules d, et d _i+ i cellule d,, ie[1,N-2], est délivrée sur l'entrée de la cellule d _i+ i.

De façon connue, un bus de contrôle, nommé ici modeS, indique à chaque multiplexeur 20, celle de ses entrées 0 et 7 qui doit être délivrée en sortie du multiplexeur 20 (si le signal du bus de contrôle modeS est égal à 7 : l'entrée 7, recevant si est délivrée en sortie du multiplexeur ; si le signal du bus de contrôle modeS est égal à 0 : l'entrée 0, recevant la sortie de la cellule précédente, est délivrée en sortie du multiplexeur). Ce fonctionnement connu d'un multiplexeur est aussi celui des autres multiplexeurs décrits plus loin et ne sera donc pas rappelé systématiquement.

La sortie des cellules d,, i=1 à N, est en outre fournie au voteur/détecteur 18 sur le bus de données dataA.

Les signaux de contrôle modeS sont fonction du mode de redondance temporelle sélectionné. n -\

La ligne de retard supplémentaire 77 comporte k= E\ cellules mémoires d, , d _k en série. L'entrée de d^ est alimentée par la sortie de d _N . L'entrée de of _y+1 est alimentée par la sortie de d , avec j≥1. Les contenus de ces cellules sont fournis sur le n -\

bus de données dataB. El de ces cellules sont utilisées par le voteur/détecteur 18

2

pour réaliser les n-1 dernières décisions relatives à n données redondantes en entrée du bloc mémoire 14.

Le voteur/détecteur 18 est adapté pour déterminer le signal de sortie so en fonction de données redondantes présentes sur les bus dataA et dataB et pour prendre des décisions de masque et/ou détection d'erreur suivant l'ordre n courant de redondance temporelle. Dans une décision de masquage, le voteur/détecteur compare les entrées qui lui sont fournies et sélectionne comme signal so la valeur majoritaire parmi ces entrées.

Si n=1 (mode de fonctionnement = mode 7), il n'y a pas de redondance temporelle. Le débit du circuit transformé est le même que le débit du circuit initial. Il n'y a pas détection, ni correction de fautes.

Dans le mode de réalisation décrit, le signal si est fourni en entrée de la cellule d _N - par contrôle des multiplexeurs 20 (dans d'autres modes de réalisation, par exemple sans multiplexeur 20, il est fourni à chaque cellule). C'est le contenu de la cellule d _N -i qui est délivré comme signal so par le voteur/détecteur 18 (ainsi le signal so au cycle / est le signal fourni en entrée du bloc mémoire 14 au cycle i-1).

Si n=2 (mode de fonctionnement = mode 2), le signal si est fourni en entrée de la cellule d _N .i à un cycle pair 2/ ; au cycle 2Ί+1, le signal si redondant est à son tour fourni en entrée de la cellule d _N -i tandis que la sortie de la cellule d _N -i est fournie en entrée de la cellule d _N . Le voteur/détecteur 18 fournit comme signal so le contenu de d _N à chaque cycle. Il compare, au cycle 2/ ^' , les données (issues de données d'entrée redondantes) mémorisées dans les cellules d _N .i et d _N mémoire après qu'elles aient été fournies en entrée du bloc mémoire 14 au cycle 2Ί-1 et 2/ ^' -2, et délivre un signal fail indiquant 0 si les données comparées sont égales (aucune faute détectée) et indiquant 1 si les données comparées ne sont pas égales (faute détectée). Aux cycles impairs, la valeur du signal fail est ignorée car la comparaison effectuée porte sur des données non redondantes. La valeur de ce signal fail est par exemple fournie au bloc de contrôle 15 ou en sortie du circuit. Si n=3 (mode de fonctionnement = mode 3), les cellules d _N . ₂ , d _N -i et d _N sont utilisées ainsi que , similairement aux cellules respectives d, d', d" et s de la figure 6 dont le fonctionnement est décrit plus bas.

De façon générale, en redondance temporelle d'ordre n≥3 (mode de fonctionnement = mode n), les cellules du pipeline d _N . _n+ i, d _N -i et d _N sont utilisées, ainsi que les cellules de la ligne de retard supplémentaire d^ , d _{n l} . Si n est l'ordre du

^Εί Ύ ^]

mode de redondance couramment sélectionné pour le fonctionnement du circuit, les mêmes données d'entrée sont fournies n fois à la partie combinatoire 11 du circuit qui recalcule n fois le même résultat, qui se retrouve alors progressivement sauvé dans les n cellules mémoires d d ₂ , d _n du pipeline 16. Ces n résultats redondants constituent le jeu courant de résultats redondants

Lorsque ces n résultats redondants sont stockés dans les n cellules d d ₂ , d _n, le voteur/détecteur 18 prend une première décision en fonction de ces n résultats qui lui sont fournis en entrée sur le bus dataA. Puis les données redondantes en sortie de la cellule d _N sont successivement mémorisées dans la ligne de retard supplémentaire 17,

n -\

qui vont en contenir jusqu'à E\ dans les n-1 cycles suivants au cours desquels le

2

décideur/voteur prend n-1 décisions sur les résultats redondants du jeu courant mémorisés dans les cellules mémoires du pipeline 16 et de la ligne de retard supplémentaire 17, via les bus de données dataA et dataB. Ainsi au ^me (i<n) cycle suivant, la décision porte sur la valeur majoritaire parmi les (n-i) résultats redondants du

n -\ jeu courant de résultats redondants dans les cellules d _Nn .i _+i , d _N et les min(i , El )

2 premières cellules de la ligne de retard supplémentaire 17 stockant également ce résultat redondant (soit d d _η ). Ainsi au (n-1) ^eme cycle suivant, la décision porte sur le mm(i,E[—— ]) seul résultat redondant du jeu courant de résultats redondants dans la cellule d _N et sur les

n -\

résultats redondants du jeu courant de résultats redondants dans les E cellules de

2

la ligne de retard supplémentaire 17 considérées. Alors, dans le pipeline 16, les n-1 résultats redondants du jeu suivant de résultats redondants sont contenus dans les cellules d _N . _n +i et d _N -i-

Les signaux de commande fetchA indiquent à chaque cycle d'horloge, en fonction de l'ordre de redondance temporelle couramment sélectionné, celle(s) des sorties des cellules mémoires sur les bus dataA, dataB, que le voteur/décideur 18 doit considérer dans sa décision courante.

A titre d'illustration d'un mode de réalisation de l'invention, un circuit est produit avec des modes alternatifs de fonctionnement 2 et 5, qui ainsi soit détecte un seul SET (mode 2), soit masque jusqu'à deux SETs (mode 5).

Les signaux de contrôle modeS, fetchA sont déterminés par le bloc de contrôle 15, en fonction notamment du mode de redondance temporelle sélectionné et du cycle courant. Un changement de mode temporel est réalisé, selon les modes de réalisation, de façon automatisée ou non, par exemple lors du franchissement d'un seuil de radiations dans l'environnement du circuit ou suivant l'occurrence d'une faute.

Lors des changements de modes, les modules interfacés au circuit doivent s'adapter aux changements d'ordre de redondance, notamment le niveau de suréchantillonnage doit suivre l'ordre de redondance.

Les cas N=2 et N=3 sont détaillés ci-après.

Redondance temporelle dynamique double

Dans un mode de réalisation de l'invention considéré à présent, la valeur de N est choisie égale à 2, le circuit fabriqué selon l'invention disposant ainsi d'un mécanisme de redondance temporelle dynamique double selon le principe exposé ci-dessus conformément auquel le fonctionnement du circuit peut basculer entre les modes de redondance temporelle d'ordre n=1 et n=2.

La transformation 100 comprend donc la mise en œuvre de moyens de suréchantillonnage double du flux d'entrée PI qui sont activés lorsque n=2, la substitution de chaque cellule mémoire prévue dans le circuit original par un bloc mémoire 140 et l'ajout d'un bloc de contrôle 15.

Dans ce circuit, en référence à la figure 5, le bloc mémoire 140, remplaçant chaque cellule mémoire prévue dans le circuit original, comporte un pipeline 16 comportant les cellules d et d', correspondant respectivement aux cellules d _N -i, d _N de la figure 4 et un voteur/détecteur 18.

Le voteur/détecteur 18 comporte un multiplexeur 21 et un comparateur 22.

Le multiplexeur 21 comporte deux entrées 0 et 1. Le signal de sortie so du bloc mémoire est le signal de sortie du multiplexeur. Il est égal soit à l'entrée 1, soit à l'entrée 0 en fonction des signaux de contrôle modeS. Le signal si est fourni en entrée de la cellule d, la sortie de la cellule d est fournie en entrée de la cellule d', en entrée du comparateur 22 et en entrée 0 du multiplexeur 27. La sortie de la cellule d' est fournie en entrée 7 du multiplexeur 27.

Le comparateur 22 est adapté pour comparer les valeurs fournies à chaque cycle d'horloge sur ses deux entrées, et délivrer un signal fail=0 quand les valeurs sont égales et un signal fail=1 quand les valeurs diffèrent.

Mode n=1

En mode n=1, p/ ^' , = P\ , V/ ^' entier non nul. Au cycle / ^' , le bit s/, est donné en entrée de la cellule d. Dans ce mode, le multiplexeur 27 est piloté, par le signal modeS=0 émis par le bloc de contrôle 75, de sorte que la sortie multiplexeur 27, Le., le signal so, soit toujours égale à l'entrée 0 du multiplexeur Le., à la sortie de la cellule d.

Mode n=2

En mode n=2, le flux d'entrée du circuit est suréchantillonné deux fois : p/ ₂ = pi

Les cellules d et d' contiennent donc des données redondantes à chaque cycle pair (par convention, le premier cycle est numéroté 0). Par exemple, si =u, si ₂ =u, alors la paire (d, d') va contenir successivement les valeurs (0,0), (u,0), (u,u) ... en supposant que les valeurs initiales dans (d, d') étaient (0,0).

Le voteur/détecteur 18 fournit comme signal so à chaque cycle le contenu de d'.

Dans ce mode, le multiplexeur 27 est piloté, par le signal modeS émis par le bloc de contrôle 75, de sorte que sa sortie, Le., le signal so, soit toujours égale à l'entrée 7 du multiplexeur.

La valeur du signal fail retournée par le comparateur 22 n'est pas significative aux cycles impairs, puisqu'alors d et d' ne contiennent pas des données redondantes.

A un cycle pair 2/ ^' , une valeur de signal fail égale à 7 signale la détection d'une erreur dans la redondance des données alors mémorisées dans d et d', Le., fournies en entrée du bloc mémoire 740 aux cycles 2/ et 2/ ^' -7.

La redondance temporelle dynamique double selon l'invention permet, en mode n=2, de détecter des erreurs dans le modèle de faute SET(1,K) pour tout K≥2, et en mode n=1 d'avoir le même débit que le circuit initial.

Redondance temporelle dynamique triple

Dans un autre mode de réalisation de l'invention considéré à présent, la valeur de N est choisie égale à 3, le circuit fabriqué selon l'invention disposant ainsi d'un mécanisme de redondance temporelle dynamique triple selon le principe général exposé ci-dessus, selon lequel le fonctionnement du circuit peut basculer entre les modes de redondance temporelle d'ordre n=1, n=2 et n=3.

La transformation 100 comprend donc la mise en œuvre de moyens de suréchantillonnage (x n) qui sont activés lorsque n=2 ou n=3, la substitution de chaque cellule mémoire prévue dans le circuit original par un bloc mémoire 141 et l'ajout d'un bloc de contrôle 15.

Dans ce circuit, en référence à la figure 6, le bloc mémoire 141, remplaçant chaque cellule mémoire prévue dans le circuit original, comporte un pipeline 16 comportant les cellules d, d' et d", correspondant respectivement aux cellules d _N . ₂ , d _N - d _N de la figure 4, la ligne de retard supplémentaire 13 et un voteur/détecteur 18.

Un multiplexeur 20, comportant deux entrées 0 et 1, est disposé en amont de l'entrée de la cellule d'. L'entrée de d' est la sortie du multiplexeur 20. Le multiplexeur 20 reçoit sur son entrée 1 le signal si et sur son entrée 0 la sortie de la cellule d. Le signal de commande modeS indique celle des entrées 0 ou 1 à laquelle la sortie du multiplexeur 20 est égale : modeS=0 (n=3), la longueur du pipeline 16 est 3 : la sortie du multiplexeur est fixée égale à l'entrée 0 ; modeS=1 (n=1 ou n=2), la longueur active du pipeline 16 est 2 : la sortie du multiplexeur est fixée égale à l'entrée 1.

La ligne de retard supplémentaire 13 comporte une cellule mémoire s correspondant à la cellule représentée en figure 4.

Le voteur/détecteur 18 comporte deux multiplexeurs 23, 23' et un voteur 24.

Le voteur 24 reçoit 3 entrées. Ces 3 entrées sont les sorties de d' et des multiplexeurs 23, 23'. Le voteur 24 compare les trois entrées, sélectionne parmi elles la valeur d'entrée majoritaire, cette valeur sélectionnée constituant le signal de sortie so délivré par le bloc mémoire 141. Le voteur 24 compare en outre les sorties de d' et d" et délivre un signal fail=0 si elles sont égales et un signal fail=1 dans le cas contraire.

Un exemple de structure d'un tel voteur 24 est représenté en figure 7, où le signal fail est le résultat d'une comparaison entre a et b, et so est le résultat du vote majoritaire effectué sur les entrées a, b et c.

Mode n=3

En mode n=3 (redondance d'ordre 3), en fonctionnement normal (i.e., sans le comportement de tous les blocs mémoires est décrit par les équations suivantes V/ ^' entier non nul, s/ , = = d' _i+2 = d" _i+3 = s,+4 = so ,+3 (2)

Les signaux d'entrée et de sortie suréchantillonnés du circuit satisfont les équations {1), à savoir :

coi = (p(cii) cii = pi _i ® SO _Î coi = po _i ® sii (3)

Le flux de bits d'entrée d'ori ine PI est suréchantillonné 3 fois :

Le signal de contrôle modeS est égal à 0.

A partir des équations (2), (3) et (4), il découle que le flux de bits de sortie de la partie combinatoire co après la transformation 100 du circuit est le flux de sortie CO du circuit original suréchantillonné trois fois :

COîi-2 = COîi-l = COîi = COi

Dans ce mode de fonctionnement, les trois cellules d, d', d" ont un contenu égal tous les (3/ ^' -2) cycles, soit : d _3j _ ₂ = d' _3j _ ₂ = d" _3j _ ₂ .

A chaque cycle, un vote du voteur/détecteur 18 sélectionnant la valeur majoritaire parmi les contenus des trois cellules d, d', d" masque ainsi une faute. Et seul le résultat de ce vote est fourni via so à la partie combinatoire du circuit.

Au premier cycle suivant chaque cycle spécifique où les trois cellules d, d', d" ont un contenu égal, la cellule s mémorise la valeur redondante stockée au cycle spécifique dans d", puis au deuxième cycle suivant, la cellule s mémorise la valeur redondante stockée au cycle spécifique dans d', soit : s _3j _ = d" _3j _ ₂ et s _3j = d' _3j _ ₂ , ce qui permet de garder le niveau de redondance nécessaire dans le bloc mémoire.

Le vote au cycle spécifique 3/ ^' -2 est réalisé sur les contenus des cellules d, d' et d" et le vote est réalisé à la place sur le contenu des cellules d', d" et s les deux cycles suivants, sélectionnant la valeur majoritaire parmi ces trois contenus. Cette fonctionnalité est mise en œuvre à l'aide du signal de commande fetchA émis par le bloc de contrôle 15 : fetchA=1 à chaque cycle 3Ί-2 (i.e. sortie du multiplexeur 23 est fixée égale à l'entrée 1 du multiplexeur 23) et fetchA=0 les cycles 3Ί-1 et 3/ (i.e. sortie du multiplexeur 23 est fixée égale à l'entrée 0 du multiplexeur 23).

Supposons qu'au cycle 3/ ^' -2, d, d' et d" comportent une valeur correcte redondante a ; le vote a lieu sur (a, a, a) stocké dans {d, d', d") ; le vote au cycle 3Ί-1 aura lieu sur (a, a, a) stocké dans (d d", s), d contenant alors la prochaine valeur du bit sur le flux initial, appelons-le b ; et au cycle 3i, le vote a lieu sur (b, a, a) stocké dans (cf, d", s), d et d' contenant alors chacun la valeur b. Ainsi si d" est corrompu à ce cycle 3/, le vote peut retourner une valeur erronée qui sera propagée au bloc suivant. Mais cette valeur erronée étant précédée de deux valeurs correctes, elle sera corrigée au prochain cycle dans le bloc suivant (un SET supplémentaire ne pouvant survenir alors selon le modèle de faute considéré).

Mode n=2

En mode n=2 (redondance d'ordre 2), en fonctionnement normal (i.e., sans faute), le comportement de tous les blocs est décrit par les égalités suivantes :

V/ ^' entier non nul, sii = dm = d' _i+2 = d" _i+ 3 = s _i+4 = so _i+2

Pour fixer la sortie du multiplexeur 20 égale à l'entrée 7 du multiplexeur 20, le signal de control modeS est donc fixé à 7 par le bloc de contrôle 15 dans ce mode.

Le signal fetchA est fixé égal à 1.

La cellule s ne participa pas aux décisions.

En mode n=2, le flux d'entrée du circuit est suréchantillonné deux fois : p/ ₂ = pi 21 = ^Pl > ^■

Le flux de bits de sortie de la partie combinatoire co après la transformation 100 du circuit est le flux de sortie CO du circuit original suréchantillonné deux fois :

iétés de détection sont basées sur l'égalité suivante : V/ ^' entier non nul,

Une nouvelle valeur a sur si est fournie à d et d', puis au cycle suivant est propagée à d" tandis qu'une donnée redondante de valeur a est à nouveau fournie sur si à d et d'.

La détection d'erreur est réalisée par le voteur/détecteur 18 en comparant d' et d" chaque (2i-1)ème cycle, puisqu'en l'absence de faute, leur contenu devrait être égal d'après l'équation (5). Si leur contenu n'est pas égal, un signal fail=1 est émis.

so est le résultat du vote (sélectionnant la valeur majoritaire) sur d, d', d" à chaque cycle.

Un SET sur si peut corrompre à la fois d et d' et le vote ne masquera pas cette faute. Mais si un SEU a lieu sur l'une des trois cellules d, d', d" lors d'un cycle impair, il sera masqué par le vote. Mode n=1

En mode n=1 (pas de redondance), en fonctionnement normal (i.e. sans faute), le comportement de chaque bloc de mémoire est décrit par les équations suivantes :

V/ ^' entier non nul, sii = d _i+ i = d' _i+ i = d" _i+2 = s _i+ 3 = so _i+ i (6)

Pour fixer la sortie du multiplexeur 20 égale à l'entrée 7 du multiplexeur 20, le signal de control modeS est donc fixé à 7 par le bloc de contrôle 15 dans ce mode.

Le signal fetchA est fixé égal à 1.

En mode n=1, le flux d'entrée du circuit n'est pas suréchantillonné : p/ ^' , = PI , ^■ . Le flux de bits de sortie de la partie combinatoire co après la transformation 100 du circuit est le flux de sortie CO du circuit original : co, = CO, . Dans ce mode, le circuit ne dispose pas de propriété de détection de faute, ni de masquage de faute.

Les signaux de contrôle correspondants sont fetchA=1 et modeS=1.

D'après l'équation (6), en l'absence de faute, d égale d' à chaque cycle d'horloge. Par conséquent, le vote par le voteur/détecteur 18 retourne la valeur de d (et d à chaque cycle. Formellement co, = c , ₊ i = o", ₊ i = d"i+2 = c/ ^' , ₊ i . Si d et/ou c/' sont corrompues alors le vote sur {d, d', d"} peut retourner une valeur erronée (sans mettre le signal fail à 1). C'est pourquoi ce mode ne masque ni ne détecte les fautes.

La redondance temporelle dynamique triple selon l'invention permet de masquer les SETs du modèle SET(1,K) pour tout K supérieur à 4 cycles.

Mécanisme d'enregistrement avec retour arrière

Suivant un autre aspect de l'invention qui peut être mis en œuvre indépendamment de la redondance temporelle dynamique exposée précédemment, l'outil 1 met en œuvre une étape de transformation automatique 101 du design du circuit pour obtenir un circuit doté d'un mécanisme d'enregistrement de l'état du circuit, cet enregistrement étant déclenché par un signal de commande nommé save, et doté en outre d'un mécanisme de retour arrière de l'état du circuit dans l'état ainsi enregistré, ce retour arrière étant déclenché ultérieurement par un signal de commande nommé rollBack.

Pour ce faire, dans une étape de transformation 101, l'outil 1 remplace chaque cellule mémoire 13 d'entrée si, de sortie so et prévue dans le circuit d'origine représenté en figure 1, par un bloc mémoire 30 d'entrée si et de sortie so comme représenté en figure 8, et ajoute en outre un bloc de contrôle qui génère des signaux de contrôle save et rollBack.

Le bloc mémoire 30 comporte une cellule mémoire 13 recevant sur son entrée D un signal si, délivrant sur sa sortie Q un signal à l'entrée 0 d'un multiplexeur mux. Le bloc mémoire 30 comporte en outre un bloc d'enregistrement 29 adapté pour enregistrer le signal si qui lui est fourni en entrée quand un signal save égal à 1 lui est adressé. Le signal si ainsi enregistré par le bloc d'enregistrement est fourni en entrée 1 du multiplexeur mux.

Le bloc d'enregistrement 29, comporte, dans le cas présent, une cellule mémoire 31, nommée copy. La cellule mémoire 31 stocke, quand un signal save égal à 1 lui est fourni sur son entrée E (enable), le signal si qui lui est fourni sur son entrée D, en parallèle de sa fourniture sur l'entrée D de la cellule 13. Quand save est égal à 0, le signal si n'est pas mémorisé dans la cellule mémoire copy 31.

La sortie Q de la cellule copy 31 est fournie en entrée 1 du multiplexeur mux.

Le multiplexeur mux délivre en sa sortie le signal so. Le signal so est égal à l'entrée 0 du multiplexeur lorsque rollBack est égal à 0 et est égal à l'entrée 1 du multiplexeur 31 lorsque rollBack est égal à 1.

Ainsi, tant que rollBack est égal à 0, la sortie so est égale au contenu de la cellule 13. Quand rollBack devient égal à 1, c'est le contenu de la cellule copy, correspondant à la dernière mise à 1 du signal save, qui est fourni en sortie so.

Un même signal save à 1 fourni au cycle / à l'ensemble (ou à un sous-ensemble) des blocs mémoires 30 du circuit permet d'enregistrer dans les cellules copy 31 l'état courant des cellules 13 du circuit au cycle / ^' . Cet état reste mémorisé tant qu'un nouvel signal save à 1 n'est pas fourni.

Combinaison de la redondance temporelle dynamique double et de l'enregistrement avec retour arrière

Dans un mode de réalisation de l'invention considéré à présent, les aspects de redondance temporelle dynamique double et d'enregistrement avec retour arrière sont combinés.

La valeur de N est choisie égale à 2, le fonctionnement du circuit peut basculer entre les modes de redondance temporelle d'ordre n=1 et n=2.

Un tel circuit est adapté pour masquer des erreurs en utilisant seulement une redondance temporelle de niveau 2 au lieu d'une redondance temporelle de niveau 3. Pour ce faire, dans une étape de transformation 102, l'outil 1 remplace chaque cellule mémoire 13, d'entrée si et de sortie so, prévue dans le circuit d'origine représenté en figure 1, par un bloc mémoire 40, d'entrée si et de sortie so comme représenté en figure 9, et ajoute en outre un bloc de contrôle 15 qui génère des signaux de contrôle save et rollBack. Une vue du circuit transformé résultant de cette transformation est représentée en figure 10.

Une telle transformation implique la mise en œuvre de moyens de suréchantillonnage double des entrées primaires du circuit qui, dans le mode de réalisation considéré, sont toujours activées indépendamment de la valeur de l'ordre de redondance actif, l'ajout de mémoires tampons d'entrée à tous les entrées primaires PI du circuit initial, et enfin l'ajout de mémoires tampons de sortie à tous les sorties primaires PO du circuit initial.

<p(c/ ^' ) est calculé deux fois, les résultats sont comparés et si une erreur est détectée, <p(c/ ^' ) est calculée une troisième fois, grâce au contenu des mémoires tampons d'entrée.

Le flux d'entrée, suréchantillonné deux fois, vérifie : pi _2l = pi _2i = PI , .

Le bloc mémoire 40 comporte ainsi les cellules d et d' disposées en série pour sauvegarder des données redondantes. Il comporte en outre un comparateur EQ comparant le contenu des cellules d et d' avec émission d'un signal fail indiquant le résultat de la comparaison.

Le bloc mémoire 40 comporte en outre un bloc d'enregistrement 29 adapté pour mémoriser le signal si qui lui est fourni en entrée quand le signal de contrôle save est mis à 1. La sortie du bloc d'enregistrement est fournie à l'entrée 1 du multiplexeur muxA, tandis que la sortie de la cellule d est fournie sur l'entrée 0 du multiplexeur muxA. Le multiplexeur muxA est piloté par le signal save également.

Dans le mode de réalisation considéré, le bloc d'enregistrement 29 comporte les cellules r et r' disposées en série, le signal si est fourni en entrée D de la cellule r, la sortie Q de la cellule r est fournie en entrée D de la cellule r', la sortie Q de la cellule r' est la sortie du bloc d'enregistrement 29. La mémorisation par les cellules r et r' du signal qui leur est fourni sur leur entrée D n'a lieu que lorsque le signal de commande save fourni sur leur entrée £ est mis à 1.

Un multiplexeur muxB reçoit sur son entrée 1 la sortie mu du multiplexeur muxA et reçoit sur son entrée 0 la sortie de la cellule d'. Le multiplexeur muxB est piloté par le signal de contrôle rollBack. Quand rollBack=0 (similaire au cas modeS=1 dans la redondance dynamique double), la sortie so du multiplexeur muxB est égale à son entrée 0 et quand rollBack=1, la sortie so du multiplexeur muxB est égale à son entrée 1.

Quand le signal de contrôle rollback=0 (similaire au cas modeS=1 dans la redondance dynamique double), le mode de fonctionnement est une redondance temporelle d'ordre 2 et la sortie du bloc mémoire so est égale au contenu de la cellule d'.

Quand le signal de contrôle rollback=1 (ce qui équivaut au signal modeS=0), le mode de fonctionnement est sans redondance temporelle (i.e., d'ordre 1). La sortie du bloc mémoire so est égale au contenu de la cellule d quand save est égal à 0 et la sortie du bloc mémoire so est égale à la sortie du bloc d'enregistrement, i.e., dans le mode de réalisation considéré au contenu de la cellule r' quand save est égal à 1.

Le bloc d'enregistrement 29 permet de mémoriser la valeur de si pendant 4 cycles d'horloge et de permettre au circuit de se repositionner sur cette valeur mémorisée en cas de détection d'erreur. Comme indiqué plus haut, une mémoire tampon d'entrée 50 est en outre insérée après chaque entrée primaire PI du circuit d'origine pour mémoriser les deux derniers bits du flux d'entrée (chaque entrée correspond à une composante du vecteur pi ). Cette mémoire tampon d'entrée 50, représentée en figure 11 dans un mode de réalisation, est implémentée par un pipeline de deux cellules mémoires b et b', pi désigne l'entrée primaire du circuit original. Le signal de contrôle rB est mis à 1 par le bloc de contrôle pendant la phase de récupération, après une détection d'erreur réalisée par le comparateur EQ pendant un cycle impair. Le contenu des cellules b et b' n'est utilisé que lors de la phase de récupération pour ré-exécuter les deux derniers cycles. Ces bits sont fournis à la partie combinatoire 11 du circuit à la place des bits du flux d'entrée. Les cellules b et b' servent aussi à stocker les entrées qui sont fournies pendant ces deux cycles. Pendant la phase de récupération, le vecteur ci comprend ainsi le vecteur p/ ^' qui vient des mémoires tampons d'entrée et le vecteur so en provenance des blocs de mémoire repositionnés. Si l'erreur est détectée au cycle / ^' , alors le retour arrière est réalisé au cycle i+1 et le vecteur ρ/ ^' ,. _ ₁ ® so, -i est fourni à la partie combinatoire, soit exactement le vecteur d'entrée déjà fourni deux cycles auparavant.

De pi _2j _ = pi _2i = PI , , il s'ensuit que b et b' représentent deux bits suréchantillonnés identiques (respectivement distincts) à chaque cycle impair (respectivement pair) : i> ₂ /-i = b' _2i _^ . Puisqu'une faute est détectée au cycle impair, la phase de récupération qui commence un cycle plus tard, va alors lire deux entrées différentes (i.e., pas la même entrée suréchantillonnée) dans b et b', ce qui est pertinent avec le mode sans redondance, i.e., accéléré, mis en œuvre pendant la phase de récupération. Le comportement des mémoires tampons d'entrée est illustré dans les tableaux 7 et 2.

La phase de récupération (mode sans redondance temporelle) perturbe le flux des vecteurs co du circuit par rapport au mode de fonctionnement normal (mode en redondance d'ordre 2). Pour masquer cet effet au niveau des sorties primaires, une mémoire tampon de sortie est insérée avant chaque sortie primaire po (chaque sortie po correspond à une composante du vecteur po ). Une telle mémoire tampon de sortie 60 est représentée dans un mode de réalisation en figure 72. Le signal co provient de la partie combinatoire 77. La mémoire tampon 60 est adaptée pour être tolérante à un SET survenant dans la mémoire tampon 60 ou sur ses sorties. Pour cela, les sorties primaires sont triplées : poA, poB et poC sont les sorties primaires du circuit transformé correspondant à la sortie primaire po du circuit initial.

Les mémoires tampons de sortie garantissent qu'au moins deux des sorties triplées sont correctes à chaque cycle pair. Le circuit environnant peut ainsi lire ces sorties au cycle pair et procéder à un vote sur ces sorties lues pour masquer tout SET. Dans des modes de réalisation différents, d'autres blocs de sortie (par exemple, ignorant les fautes aux sorties) ou d'autres spécifications d'interface pourraient être utilisées.

Le comportement des mémoires tampons de sortie pendant la phase de récupération est également illustré dans le tableau 2.

Les tableaux 7 et 2 ci-dessous illustrent un cas de détection de faute au cycle / ^' . Dans les tableaux 7 et 2, un vecteur v corrompu par un nombre de bits corrompus quelconque est noté†v .

Dans les tableaux grisés 7a et 2b sont indiquées les valeurs des signaux qui auraient été obtenues en l'absence de détection de faute. clk pî b V d 7' r r' fail save rollBack

1-3 PÎi-3 pîi-4 PÎi-5 PÎi-3 » SI -S sîi-4 SI -S sîi- ₅ sîi-7 ? 1 0

1-2 pîi-2 PÎi-3 PÎi-4 Ρΐ;- θ sîi-4 sîi-3 sîi-4 sîi-3 sîi-5 0 0 0

1-1 pîi-1 pîi-2 PÎi-3 pîi-1 ® sîi-3 sîi-2 SÎi-3 sîi-3 sîi-5 ? 1 0 i pî; pîi-1 Pîi-2 pî _B t sîi-2 fsîi-l fsii-2 fsîi-l SÎi-3 1 0 0 i+i pîi+1 pî; pîi-1 pîi-1 sîi-3 tsîi fsîi-l fsîi-l SÎi-3 ? 1 1 i+2 pîi+2 pîi+1 pît pîi+i _® sîi-1 sîi-2 tsîi sîi-2 fsîi-l ? 0 1 i+3 pîi+3 pîi+2 pîi+1 PÎi+3 e ^~ sîi+l sîi+i SÎi-2 sîi-2 fsîi-l ? 0 1 i+4 pîi+4 pîi+3 Pîi+2 PÎi+4e ^~ sîi+3 sîi+3 sîi+i sîi-2 fsîi-l ? 0 1 i+5 PÎi+5 pîi+4 Pîi+3 PÎi+5e ^~ sîi+3 SÎj+4 SÎi+3 sîi-i fsîi-l ? 1 0 i+e pîi+e PÎi+5 Pîi+4 pîi+e si i+4 Sli+5 SÎj+4 sîi+5 sîi-2 0 0 0 i+7 PÎi+7 pîi+e PÎi+5 PÎi'-7 ^~ SÎi'+5 SÎi+6 Sli+5 sîi+5 sîi-2 ? 1 0 i+8 pîi+8 PÎi+7 pîi+e PÎ i+8 « si i+e Sli+7 SÎi+6 sîi+7 sîi+5 0 0 0

Tableau 1

Tableau 1 a

Les sigles† et correspondent à deux cas exclusifs de fautes (qui ne peuvent arriver en même temps).

i pîi ignore 0 0 0 0 0

Tableau 2

Tableau 2b

Les sigles† et correspondent à deux cas de fautes (qui ne peuvent arriver en même temps). ( <- ) indique une substitution de données réalisée par les multiplexeurs muxAs, muxBs, muxCs, muxDs d'une mémoire tampon de sortie 60.

Les signaux de contrôle save, rollBack, rB et subst sont générés par le bloc de contrôle 15 pour mettre en œuvre la fonctionnalité du circuit transformé pendant le mode de fonctionnement normal et la phase de récupération. L'entrée du bloc de contrôle 15 est le signal fail de détection de faute (des signaux fail disjoints proviennent des différents blocs mémoire 14 et des mémoires tampons de sortie 60) La figure 13 représente la machine à états finis (FSM) du bloc de contrôle 15 dans un mode de réalisation de l'invention. La notation a b indique ici que le changement d'état est réalisé si la condition est a=b est vraie, par exemple si un signal fail est détecté égal à

0 dans le cas fail 1 0. Le signe = indique l'action d'affecter une valeur à un signal, par exemple si un signal fail est détecté égal à 1, on affecte la valeur 1 aux signaux rB, save, rollBack et subst pendant le cycle suivant. Sur cette figure, tous les signaux de commande émis par le bloc de contrôle 15 et non mentionnés lors d'un changement d'état sont mis à 0. Les états norml et norm2 correspondent au mode de fonctionnement normal, qui donne lieu à la mise à 1 alternée du signal save. Quand une faute est détectée (réception d'un signal fail égal à 1), la FSM entre en phase de récupération pour 4 cycles correspondant aux états successifs « error », « recovl », « recov2 », « recov3 ».

Le bloc de contrôle 15 lui-même n'est pas protégé contre les SETs par redondance temporelle. Dans un mode de réalisation, il est protégé par TMR. Les valeurs prises par les signaux de commande dans les différents états sont indiquées dans les tableaux 1 et 2.

Mode de fonctionnement normal

Tant qu'aucune faute n'est détectée aux cycles impairs, le mode de fonctionnement du circuit est le mode de fonctionnement normal (mode en redondance d'ordre 2).

Pendant ce mode, la valeur du signal de commande rollBack est toujours positionnée à 0 par le bloc de contrôle 15.

Le signal save est positionné à 1 à chaque cycle pair : save _2j ^ = 0 et save _2j = 1 .

Comme save est le signal (signal « enable ») de déclenchement de mémorisation des cellules r et r', il est mis en place un retard de quatre cycles entre si et r' en mode de fonctionnement normal.

Le comportement interne de chaque bloc mémoire 40 en mode de fonctionnement normal est alors décrit par les équations suivantes (7) :

roll = 0

save _2i _ _l = 0 , save _2j = 1 .

Comme vu précédemment, la comparaison de d et d' n'est pertinente que lors des cycles impairs, les cellules d et d' comportant alors, sauf faute, des données redondantes. Le circuit transformé vérifie les mêmes équations (1 ) que le circuit d'origine :

coi = (p(cii) c = pi _i Θ soi coi = po _i Θ su (8)

Des équations (7) et (8) et de l'égalité pi _2i _ = pi _2i = Pli dérivent deux propriétés du mode fonctionnement normal.

Propriété 1 : tout d'abord le flux de bits de sortie co de la partie combinatoire 11 après la transformation du circuit est un suréchantillonnage double du flux de bits CO du circuit original. Formellement : cou i = cou = COi pour tout / ^' entier naturel.

Propri en outre, à chaque cycle impair, les sorties des cellules d et d' sont égales : du-ι pour tout / ^' entier naturel.

La détection d'erreur correspond à une détermination d'une violation de cette propriété 2 par le comparateur EQ.

Si, lors d'un cycle impair, les contenus des cellules d et d' diffèrent, une erreur est ainsi détectée et le signal fail est mis à 1 (fail _2j -i=1). Le circuit doit alors effectuer un retour arrière à l'état correct enregistré dans r' et recalculer le pas précédent. Le retour arrière est réalisé en propageant le contenu de la cellule r' à so .

Il découle des équations (17) que r'u-i = , ce qui signifie qu'au moment d'une détection de faute (et au cycle d'horloge qui suit), le contenu de la cellule mémoire de récupération /-' est égal à la valeur qu'avait le signal d'entrée 3 cycles auparavant. Phase de récupération

Quand une faute est détectée, le circuit effectue un retour arrière lors du cycle suivant la détection de faute, puis effectue trois cycles consécutifs pendant lesquels la redondance temporelle d'ordre 2 dans les blocs mémoires est remplacée par un mode sans redondance temporelle et par l'application par le bloc de contrôle 15 de la séquence des signaux de commande save, rollBack, subst et rB représentée en figure 13 entre l'état « error » jusqu'à revenir à l'état « norm2 ».

Le tableau 1 contient les valeurs des vecteurs de bits dans le circuit transformé cycle par cycle quand une faute est détectée au cycle / ^' . Le comportement du circuit en mode normal (i.e., en l'absence de faute) est indiqué dans le tableau 1 a.

En mode normal, le vecteur ci au cycle / ^' est tel cU = pi ₍ ® soi = pi _i ® sii-2 . Le principe de retour arrière est que les blocs de mémoire 40 ré-injectent le dernier état sauvé dans les cellules r' (vecteur si ) tandis que les mémoires tampons d'entrée réinjectent les entrées primaires correspondantes ( vecteur pi ) qui y étaient mémorisées.

Au cycle (i+1) qui suit la détection d'erreur du cycle / ^' , la phase de récupération débute et l'état correct mémorisé dans la cellule r' est propagé à travers le signal so. En conséquence, soi ₊ ι = = sii-3 à la place de S A attendu dans le mode de fonctionnement normal. Par conséquent, la seconde composante de c//+i est sus . Le vecteur d'entrée primaire est aussi remplacé par le vecteur mémorisé dans la mémoire tampon d'entrée : ainsi au cycle i+1, p/ ^' , ₊₁ est remplacé par pi _l On rappelle que, pendant la phase de récupération, le circuit opère avec le débit du circuit d'origine, qui est deux fois plus rapide que dans le mode normal. En particulier, pendant les cycles i+2, i+3 et i+4, le contenu de la cellule mémoire d est propagé directement à travers les sorties so de chaque bloc mémoire 40, en court-circuitant les cellules mémoires d'. Ceci est mis en œuvre en fixant le signal de commande rollBack à 1, en gardant à 0 le signal save qui commande les multiplexeurs muxA et muxB de façon appropriée. Ceci est sans conséquence puisque le modèle de faute SET(1,K) garantit qu'aucune faute additionnelle ne survient pendant les K cycles après un SET.

Au cycle i+2, la seconde composante de c +2 est SUA (s -2 , qui est identique à sii-i , a été sautée). De façon similaire, le vecteur d'entrée primaire est remplacé par p/ _i+1 puisque, dans les mémoires tampons d'entrée, b'i+2 = pi , et p/ _i+1 = p/ ^' , . Il s'ensuit que C//+1 = pi ® si i-3 et ci i+2 = pi , ₊₁ ® si ,-1 .

Tous les signaux corrompus ont disparu du circuit dans les 6 cycles suivant la détection d'erreur. Le circuit complet retourne dans un état correct après au plus 8 cycles après la détection. Dans d'autres modes de réalisation d'un circuit transformé par combinaison des aspects de redondance temporelle dynamique double et d'enregistrement avec retour arrière sont combinés, une seule cellule r' est utilisée à la place des cellules r et r'. Le signal de commande save est mis à 1 tous les deux cycles. La détection d'erreur et la fonctionnalité de récupération demeurent moyennant un amoindrissement de la tolérance aux fautes. Un SET sur le fil si , par exemple causée par un SET dans la logique combinatoire, peut dans ce cas corrompre simultanément r' et d si save=1. L'erreur est détectée au cycle suivant et la récupération a lieu en utilisant l'information corrompue de la cellule r'. La cellule r joue en réalité un rôle d'isolation qui empêche une ré-écriture du bit de récupération jusqu'à ce que cette information ait été vérifiée par le comparateur EQ.

Dans des modes de réalisation, les architectures des mémoires tampon de sortie sont simplifiées, la fonction principale étant maintenue : mettre en œuvre un retard sur le signal co en mode de fonctionnement normal avec un mécanisme pour propager co à po pendant la phase de récupération.

Un circuit transformé selon ce mode de réalisation de l'invention réalise la propagation du signal à travers la partie combinatoire du circuit deux fois avant la comparaison, avec un retour arrière et une réexécution quand une erreur est détectée. Selon un modèle de faute SET(1, K), aucune erreur ne survenant dans les cycles après la dernière occurrence de faute, le mécanisme de redondance de niveau 2 est alors supprimé et le circuit est accéléré deux fois. Il retourne dans son état correct (Le., l'état du circuit si aucune erreur n'était survenue) après 8 cycles après détection ou 10 cycles après l'occurrence du SET.

Un circuit transformé selon ce mode de réalisation peut également fonctionner en mode accéléré (n=7) lorsque la tolérance aux fautes n'est pas nécessaire.

La figure 14 représente des étapes d'un procédé de fabrication automatisée d'un circuit électronique tolérant aux fautes par redondance temporelle, qui est mis en œuvre dans un mode de réalisation de l'invention.

Ces étapes, par exemple mises en œuvre par un outil de synthèse automatisée de circuits électroniques, sont :

étape 80 de réception d'un design du circuit original au niveau logique ;

étape 90 de choix de la transformation requise et du type de redondance dynamique (niveau de redondance, modes de fonctionnement et propriétés de tolérance aux fautes) ;

étape 700 de transformation des blocs mémoires du circuit original en blocs mémoires pour la mise en œuvre de la redondance dynamique choisie, comprenant :

i/ étape 101 : génération du bloc mémoire ;

ii/ étape 102 : remplacement de chaque cellule mémoire du circuit original par le bloc mémoire généré dans le design du circuit ;

Ni/ étape 103 : génération du bloc de contrôle (et pour la redondance dynamique double avec retour arrière, des mémoires tampons d'entrée et de sortie) ;

iv/ étape 104 : insertion du bloc de contrôle (et dans le cas de redondance dynamique double avec retour arrière, des mémoires tampons d'entrée et de sortie) dans le design du circuit et interconnexions entre le bloc de contrôle et les blocs de mémoire transformés du circuit (et dans le cas de la redondance dynamique double avec retour arrière, avec les mémoires tampons d'entrée et de sortie).

La figure 15 décrit différentes étapes du flot de conception (en anglais « design flow ») de circuits intégrés correspondant à différents niveaux d'abstraction dans un mode de réalisation de l'invention :

étape 201 : synthèse au niveau système, sur la base de spécifications du circuit, comprenant l'allocation ou la répartition entre logiciel et matériel, dont un des résultats est une description haut-niveau et comportementale du circuit ;

étape 202 : synthèse du circuit de haut niveau sur la base de cette description (transformation, planification, sélection de modules), dont un des résultats est une description architecturale, au niveau « Transfert de registres » ou RTL : cette modélisation revient à décrire l'implémentation sous forme d'éléments séquentiels (registres, bascules) et de combinaisons logiques entre les différentes entrées/sorties des éléments séquentiels et des entrées/sorties primaires du circuit :

étape 203 : synthèse logique du circuit en fonction de cette description RTL, qui transforme la description RTL du circuit en une description au niveau logique, en termes de portes logiques (Gâte netlist) : cette étape 203 comprenant les sous-étapes successives suivantes :

fonctions de RTL vers Booléen ;

optimisations indépendantes de la technologie ;

transformation 100 du circuit pour la redondance dynamique selon l'invention ;

mise en correspondance de technologie (« mapping technology ») ;

optimisations dépendantes de la technologie ;

étape 204 : synthèse de masque physique du circuit sur la base de la description logique. Pour des circuits VLSI, cette synthèse comprend la description du circuit au niveau des transistors (placement, routage, distribution d'horloge) et délivre une description du circuit au niveau du masque. Pour des circuits FPGA, cette synthèse comprend la traduction, la topographie (placement, routage) et délivre un fichier de programmation. La transformation 100 apporte les propriétés de tolérance aux fautes au circuit. Dans le mode de réalisation décrit, elle est mise en œuvre après les optimisations indépendantes de la technologie (les propriétés seront donc préservées par les étapes ultérieures) et avant la séparation du flot en technologie VLSI ou technologie FPGA, ce qui permet de l'appliquer conjointement aux deux technologies.