Modellierung Fehlertoleranter Asynchroner Logik (FATAL)

Ziel des Projekts FATAL ist die Entwicklung der mathematisch/formalen Grundlagen eines Frameworks für die hierarchische Modellierung and Analyse von fehlertoleranten asynchronen VLSI-Schaltungen, auf der Grundlage fehlertoleranter verteilter Algorithmen und der experimentellen Evaluation des Fehlverhaltens moderner VLSI- Technologien unter ionisierender Strahlung und Metastabilität. FATAL ist ein gemeinsames Projekt des Instituts für Technische Informatik and des Institut für Elektrische Mess- und Schaltungstechnik an der TU Wien. Die Entwicklung von VLSI-Schaltungen, die heutzutage Millionen von Transistoren mit Taktfrequenzen im GHz- Bereich beherbergen, wird immer schwieriger: Abgesehen von der funktionalen Komplexität sehen sich die Entwickler mit steigenden Fertigungskosten und Ausschuß-Raten, der "Erosion" der bequemen syn-chronen Abstraktion, hohem Leistungsverbrauch und steigenden Fehlerraten konfrontiert. Moderne VLSI-Schaltungen werden daher zunehmend als mehr oder weniger lose gekoppelte Systeme von interagierenden Subsystemen betrachtet - Stichwort Systems-on-Chip. Derartige Systeme haben viele Gemeinsamkeiten mit den lose gekoppelten verteilten Computersystemen, die seit Jahrzehnten Gegenstand der Forschung im Bereich verteilter Algorithmen sind: Im Zuge dieser Arbeiten wurde ein reicher Fundus an verschiedenen Berechnungs- und Fehlermodellen, Algorithmen & Protokollen sowie theoretischen Resultaten bezüglich der Lösbarkeit von Problemen und der erreichbaren Performance geschaffen. Einige jüngere Arbeiten haben gezeigt, daß ein Teil dieser Ergebnisse erfolgreich im Bereich VLSI angewandt werden kann. Besonderes Anliegen von FATAL ist Modell/Spezifikations-basierendes Design & Analyse: Es unterstützt sowohl die Komposition existierender Schaltungen/Spezifikationen (Bottom-Up) als auch die Dekomposition einer Schaltung/Spezifikation auf höherer Abstraktionsebene in solche auf niedrigerer Ebene (Top-Down). Besonderes Augenmerk wird auf die detaillierte Modellierung des Verhältnisses zwischen Schaltung und Umgebung gelegt. Zur Verringerung der Beweiskomplexität werden hierarchische Korrektheitsbeweise und Performance- Analysetechniken verwendet. In scharfem Kontrast zur gängigen Praxis des VLSI-Designs, wo Fehler als Ausnahmesituationen mit (sehr) kleiner Auftrittswahrscheinlichkeit betrachtet werden, basiert FATAL auf dem deterministischen Ansatz, wie er in verteilten Algorithmen üblich ist: Fehler werden dort als Teil der normalen Operation betrachtet. Eine Schaltung wird hier durch die Menge aller möglichen Verhaltensweisen beschrieben, auch dann, wenn ein bestimmtes (aber mögliches) Verhalten nur mit sehr kleiner Wahrscheinlichkeit auftritt. Dies erlaubt deterministische Korrektheitsbeweise und worst-case Performance-Analysen (Wahrscheinlichkeiten können allerdings später hinzugefügt werden). Besondere Herausforderungen stellen die Notwendigkeit der Verwendung eines kontinuierlichen Zeitbegriffs, die adäquate Behandlung der hohen Parallelität durch die Vielzahl gleichzeitig "rechnender" logischer Gatter, und die schwerwiegenden Ressource-Einschränkungen in VLSI-Schaltungen dar, die selbst elementare Operationen wie das Senden einer Nachricht oder die Addition zweier Zahlen sehr teuer machen. Ein weiterer zentraler Teil von FATAL ist die Definition geeigneter (realistischer, aber leicht zu handhabender) Fehlermodelle. Konkretes Ziel ist die Entwicklung einer Hierarchie von Fehlermodellen unterschiedlicher Komplexität, welche zur Beschreibung des beobachtbaren Fehlverhaltens von Schaltungen auf genügend hohem Abstraktionslevel geeignet sind. Die Identifikation solcher Modelle erfordert eine gründliche Untersuchung des beobachtbaren Fehlverhaltens moderner VLSI-Schaltungen, was für "klassische" Fehlerquellen in der einschlägigen Literatur ausreichend dokumentiert ist. Dies gilt allerdings nicht für die heutzutage immer wichtiger werdenden Fehler durch ionisierende Strahlung und für Metastabilitätseffekte, die für fehlertolerante asynchrone Schaltungen besonders gefährlich sind: Metastabilität kann jedes Error-Containment und somit jede Architektur- Fehlertoleranzmaßnahme überwinden und jeden Korrektheitsbeweis ungültig machen. FATAL umfaßt daher auch eine systematische experimentelle Evaluation von Fehlereffekten durch ionisierende Strahlung und Metastabilität. Für diesen Zweck werden zwei spezielle VLSI-Schaltungen entwickelt, deren Realisierung beträchtliche technologische Herausforderungen stellt: Die Integration komplexer analoger und digitaler Schaltungen auf einem Chip, was etwa die Verwendung digitaler Standard-Libraries ausschließt, die Notwendigkeit der Entwicklung sehr genauer Simulationsmodelle, was die Verwendung von "Push-Button" Designs ausschließt, und schließlich die Integration sowohl strahlungssensitiver als auch strahlungsinsensitiver Schaltungen auf einem Chip, was spezielle Lösungsansätze erfordert.

Ziel des FATAL-Projekts war die Entwicklung der Grundlagen eines Frameworks für die hierarchische Modellierung und Analyse von fehlertoleranten asynchronen Very-Large Scale Integrated (VLSI) Schaltungen, zusammen mit der experimentellen Untersuchung von strahlungsinduzierten Fehlern und Metastabilität. FATAL war ein gemeinsames Projekt des Instituts für Technische Informatik (E182) und des Instituts für Electrodynamics, Microwave and Circuit Engineering (E354) der TU Wien.Moderne VLSI-Chips werden zunehmend als lose gekoppelte Systeme interagierender Subsysteme (Systems-on-Chip) betrachtet, die viele Gemeinsamkeiten mit jenen verteilten Systemen haben, die seit Jahrzehnten unter dem Schlagwort fehlertolerante Systeme erforscht werden. In FATAL wurden einige der existierenden Berechnungs- und Fehlermodelle, Algorithmen & Protokolle und theoretischen Resultate für den VLSI-Kontext adaptiert und, wo erforderlich, neue Instanzen geschaffen. Die Hauptergebnisse sind:Ein neues zeitkontinuierliches, wertdiskretes Modellierungs- und Analyse-Framework für asynchrone VLSI-Schaltungen. Anstatt auf zeitdiskreten Zustandsübergängen basiert es auf kontinuierlicher Berechnung, unterstützt hierarchische Komposition/Dekomposition von Modellen und Implementierungen und erlaubt modulare Korrektheitsbeweise auf niedriger Abstraktionsebene. In scharfem Kontrast zur derzeitigen Praxis im VLSI-Design werden Fehler als normal betrachtet und formal durch erlaubte Abweichungen vom korrekten Verhalten, einem geeigneten Fehlermodell entsprechend, spezifiziert.Durch ionisierende Teilchen in den Transistoren eines VLSI Chips erzeugte Single-Event Transients (SETs) dominieren mittlerweile die Fehlerraten. Ein substantieller Teil von FATAL war daher der Messung und Modellierung von SETs gewidmet: Spezielle on-chip Messverstärker wurden dazu verwendet, um die detaillierten SET-Pulsformen in typischen Zielstrukturen (wie Invertern und Muller C-Gates) in Microbeam-Strahlungsexperimenten zu erfassen. Die Resultate wurden für die Kalibrierung einer detaillierten physikalischen Simulation und eines analogen Simulationsmodells mit double-exponential SET-Injektion herangezogen. Letzteres wurde für die Validierung des Designs eines umfangreichen digitalen ASICs für das Langzeit-Monitoring von SETs verwendet.Ein unvermeidbares Problem in asynchronen digitalen Schaltungen ist Metastabilität, die in der Unmöglichkeit der präzisen zeitlichen Ordnung von Zustandsübergängen in verschiedenen Teilen einer Schaltung begründet ist. Im Falle eines speichernden Elements kann das zu nicht definierten Zwischenzuständen oder schneller Oszillation führen. Ein substantieller Teil von FATAL war daher der experimentellen Untersuchung von Metastabilität in moderner VLSI-Technologie und der Frage nach einer möglichen Einbettung in das rein digitale FATAL Modellierungs- und Analyse-Framework gewidmet.In allen diesen Gebieten konnten beträchtliche wissenschaftliche Fortschritte erzielt werden, die im Rahmen zweier kürzlich bewilligter Folgeprojekte weiter verfolgt werden.