《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 解決方案 > 單粒子翻轉(zhuǎn)與醫(yī)療器件

單粒子翻轉(zhuǎn)與醫(yī)療器件

2011-05-18
作者:美高森美公司

摘要

    隨著集成電路(IC)工藝節(jié)點(diǎn)不斷縮小,器件更容易受高能粒子的攻擊而發(fā)生單粒子翻轉(zhuǎn)(single-event upset, SEU)。特別應(yīng)該關(guān)注的是器件中的靜態(tài)RAM結(jié)構(gòu)。這些風(fēng)險(xiǎn)在太空應(yīng)用領(lǐng)域已經(jīng)是早被意識(shí)到的問題,如今這種擔(dān)憂也正在蔓延到其它領(lǐng)域,如網(wǎng)絡(luò)、航空電子、汽車,以及醫(yī)療器件。醫(yī)療器件不僅會(huì)受到自然環(huán)境存在的宇宙射線攻擊,而且還得在現(xiàn)代醫(yī)療機(jī)構(gòu)中常見的輻射環(huán)境中工作。由于這類風(fēng)險(xiǎn)是顯然的事實(shí),醫(yī)療器件設(shè)計(jì)人員如今在器件選型時(shí),也必須要考慮器件的SEU影響。本文將就這種風(fēng)險(xiǎn)給出定義,并討論在可編程邏輯器件內(nèi)減少和避免這些風(fēng)險(xiǎn)的方法。

引言

    CMOS存儲(chǔ)結(jié)構(gòu)(如靜態(tài)RAM單元和觸發(fā)器)在受到高能粒子轟擊時(shí)容易發(fā)生翻轉(zhuǎn)(即狀態(tài)改變)。這些高能粒子可能是阿爾法(alpha)粒子、中子、質(zhì)子或各種重離子,他們是由宇宙射線與大氣外層中的粒子碰撞,或宇宙射線釋放的粒子與宇宙射線二次碰撞而產(chǎn)生的

    宇宙射線的主要成分是中子,其次是占地球表面中子通量的7%至32%的質(zhì)子。

    這些粒子的其它來源是封裝和硅基片本身。集成電路的封裝材料含有微量的鈾和釷(thorium)。這兩種元素都會(huì)產(chǎn)生高能阿爾法粒子。此外,在多晶硅摻雜、基片摻雜,或硼磷硅玻璃(BPSG)中,要大量使用硼元素。當(dāng)這些常見的硼同位素(10B)之一被某一低能量(熱能)中子擊中(即所謂中子捕獲),就會(huì)產(chǎn)生一個(gè)鋰離子和一個(gè)阿爾法粒子。如果基片中硼元素和宇宙射線中的低能量中子達(dá)到一定濃度,這種輻射效應(yīng)可能會(huì)較大。由于這些粒子的源頭都在器件內(nèi)部,因此,再多的外部屏蔽措施也無法阻擋這些粒子。

   當(dāng)這些帶電粒子轟擊到IC的硅片上,將留下一道電離痕。類似地,當(dāng)一個(gè)高能粒子(如中子) 撞到硅片上,將與硅片內(nèi)的原子碰撞,釋放一群帶電粒子,這也會(huì)留下一道電離痕。這種電離作用會(huì)產(chǎn)生足以使柵極過壓,從而改變存儲(chǔ)單元狀態(tài)(位翻轉(zhuǎn))的電荷。這種存儲(chǔ)單元的狀態(tài)變化即單粒子翻轉(zhuǎn)(SEU)(參見圖1)。

     存儲(chǔ)單元的這種翻轉(zhuǎn)狀態(tài)是暫時(shí)性的,存儲(chǔ)器在下次寫入或重置(如重新上電)時(shí),翻轉(zhuǎn)就會(huì)被清除。目前還未見SEU導(dǎo)致電路永久性損壞的情況。

      存儲(chǔ)器電路的SEU敏感性正在隨器件的更新?lián)Q代而增加。隨著工藝尺寸的縮小,還會(huì)出現(xiàn)以下情況:

  • 供電電壓減小,發(fā)生SEU所需的閾值降低。
  • 柵極面積縮小,造成電容減小,進(jìn)而減小了能夠降低發(fā)生翻轉(zhuǎn)所需的臨界電荷。
  • 存儲(chǔ)單元面積縮小,截面面積減小,因此也減少了粒子轟擊的機(jī)會(huì)。

其后果是存儲(chǔ)器組件的SEU敏感性增加。這樣,原本僅在太空應(yīng)用中才需要關(guān)注的問題,如今甚至成為地面上的高可靠性設(shè)備(如醫(yī)療設(shè)備)設(shè)計(jì)人員的心病。

圖1:帶電粒子造成SEU

FPGA技術(shù)與SEU敏感性

     所有FPGA都有許多共同的特點(diǎn):都有一個(gè)邏輯陣列(即FPGA基礎(chǔ)架構(gòu)),一組嵌入式存儲(chǔ)器,可能還有一些其它特殊構(gòu)件(如乘法器或DSP),時(shí)鐘管理電路(如PLL)以及周邊的可編程I/O接口電路。不同F(xiàn)PGA產(chǎn)品系列間的關(guān)鍵差異之一是其邏輯陣列。不同供應(yīng)商之FPGA產(chǎn)品系列的邏輯模塊所采用的具體結(jié)構(gòu)和模塊互連方式都有所不同。而這種互連方式正是對(duì)SEU的關(guān)注的重點(diǎn)所在。

      FPGA有兩種走線方式:金屬連接和通孔連接。而FPGA中的這些通孔是可編程的,構(gòu)成整個(gè)可編程邏輯技術(shù)的基礎(chǔ)。

      這些可編程的通孔也用于各邏輯模塊和整個(gè)器件的配置設(shè)定,F(xiàn)PGA行業(yè)中采用三種類型的通孔連接技術(shù):反熔絲、快閃和SRAM。

反熔絲技術(shù)

       反熔絲技術(shù)(可編程鏈路)是一種金屬間的可編程互連組件,位于最上面的兩個(gè)金屬層之間。反熔絲一般處于開路狀態(tài),且當(dāng)編程后就形成一個(gè)永久性的無源低阻抗連接。由于對(duì)反熔絲編程需要多個(gè)高壓脈沖,因此,高能粒子不可能改變其編程狀態(tài)。

圖2: 反熔絲技術(shù)

反熔絲有如下主要特點(diǎn):

  • 一旦編程后,不可再重新編程;
  • 編程所需能量較高;
  • 編程是在板外完成的,作為OEM制造工藝的一部分;
  • 屬靜態(tài)結(jié)構(gòu),不涉及任何晶體管,斷電后結(jié)構(gòu)狀態(tài)仍然保持;
  • SEU免疫能力

快閃技術(shù)

    基于快閃技術(shù)的FPGA中采用的互連組件是一種快閃開關(guān)。與所有快閃存儲(chǔ)器一樣,這些快閃開關(guān)編程后的狀態(tài)是非易失性的。對(duì)一個(gè)快閃開關(guān)進(jìn)行編程/擦除需要的電壓和能量遠(yuǎn)遠(yuǎn)高于宇宙射線誘發(fā)的粒子所產(chǎn)生的電壓和能量。

圖3:快閃開關(guān)

快閃開關(guān)有如下主要特點(diǎn):

  • 可重新編程;
  • 互連快閃開關(guān)編程所需能量較高;
  • 屬靜態(tài)結(jié)構(gòu),斷電后結(jié)構(gòu)狀態(tài)仍然保持;
  • SEU免疫能力

SRAM技術(shù)

     基于SRAM的FPGA中的基本可編程通孔是一個(gè)僅有一個(gè)位的SRAM單元。這種SRAM通孔的編程和擦除方式與其它SRAM存儲(chǔ)器一樣。雖然SRAM通孔比一般SRAM組件更牢靠,但之后的狀態(tài)也很容易被宇宙射線引發(fā)的輻射撞擊產(chǎn)生的電荷改寫。

SRAM通孔有如下主要特點(diǎn):

  • 可重新編程;
  • 編程所需能量較??;
  • 編程本質(zhì)上就是對(duì)通孔狀態(tài)組構(gòu)存儲(chǔ)位的寫操作;
  • 由多個(gè)晶體管構(gòu)成的易失性結(jié)構(gòu),斷電后結(jié)構(gòu)狀態(tài)清除;
  • 易受SEU攻擊。

SEU——醫(yī)療設(shè)備領(lǐng)域不斷增大的關(guān)注

     與FPGA的其它產(chǎn)品領(lǐng)域一樣,人們也正在逐漸認(rèn)識(shí)SEU,以及其對(duì)醫(yī)療設(shè)備的影響。例如,1998年Bradley和Normand就報(bào)道了可植入心臟除顫器中發(fā)生SEU的事件。該報(bào)告給出了第一套表明植入醫(yī)療設(shè)備上發(fā)生宇宙射線輻射效應(yīng)的臨床數(shù)據(jù)。

    基于Bradley和Normand的發(fā)現(xiàn),加拿大的St. Jude Medical公司于2005年向醫(yī)生發(fā)出忠告,警告可植入心臟除顫器的存儲(chǔ)器如果發(fā)生SEU事件,有機(jī)會(huì)造成設(shè)備電池過度耗電。

     除了Bradley和Normand曾研究的那些地面水平誘發(fā)的錯(cuò)誤外,現(xiàn)代醫(yī)療設(shè)備,如便攜輸液泵、飛機(jī)上使用的心臟除顫器、起搏器,以及可植入心臟除顫器,都必須能在民航飛行環(huán)境(中子通量較大的飛行高度)運(yùn)行。

    電路的出錯(cuò)率通常正比于運(yùn)行環(huán)境中的相對(duì)中子通量。兩極航線附近40000英尺飛行高度的中子通量大約是美國紐約市地面(JESD98A定義的參考點(diǎn))的600倍,這個(gè)通量意味著在飛機(jī)上運(yùn)行的設(shè)備的SEU風(fēng)險(xiǎn)大幅度增加。因此,運(yùn)行在兩極附近如此飛行高度的設(shè)備的失效率(FIT)大約是低海拔運(yùn)行設(shè)備的600倍。

     然而,宇宙射線和器件材料并非醫(yī)療設(shè)備環(huán)境中電離輻射的唯一源頭。隨著新技術(shù)(如利用電離輻射來殺死癌細(xì)胞的治療方法)的興起,設(shè)計(jì)人員必須考慮在局部產(chǎn)生的粒子通量。事實(shí)上,Guo, et al曾研究過運(yùn)行在高能模式下的Varian直線加速器(LINAC)產(chǎn)生的通量。研究表明,典型的放射治療室中的翻轉(zhuǎn)事件率達(dá)每天38 SEUs/MB。對(duì)現(xiàn)代電子器件的存儲(chǔ)內(nèi)容而言,這個(gè)出錯(cuò)率的確相當(dāng)可觀。

SEU的抑制與免疫措施

      所有FPGA,無論是基于SRAM,快閃,還是反熔絲技術(shù)的,都含有易發(fā)SEU的SRAM存儲(chǔ)模塊和觸發(fā)器。觸發(fā)器是最穩(wěn)健的存儲(chǔ)結(jié)構(gòu),僅在高輻射環(huán)境中(如太空)才出現(xiàn)翻轉(zhuǎn)。抑制觸發(fā)器的固件錯(cuò)誤措施是眾所周知的;例如可通過三模塊冗余(triple-module redundancy,TMR)來實(shí)現(xiàn)。SRAM存儲(chǔ)構(gòu)件的翻轉(zhuǎn)也可借助一些用于檢測(cè)和糾正其它錯(cuò)誤的標(biāo)準(zhǔn)技術(shù)(如檢錯(cuò)糾錯(cuò)電路EDAC)來抑制。這樣,這類存儲(chǔ)結(jié)構(gòu)的翻轉(zhuǎn)可歸類為軟故障,且只要有抑制措施,就不會(huì)蔓延到系統(tǒng)的其余部分。

     基于SRAM的FPGA還有另一個(gè)與SEU事件相關(guān)的憂慮:FPGA器件的配置存儲(chǔ)器部分本質(zhì)上是一個(gè)大容量SRAM。因此,配置存儲(chǔ)器一旦發(fā)生SEU事件,就會(huì)以兩種方式之一改變器件的功能性:

  • 改變走線連接狀態(tài)(使原設(shè)計(jì)中不連接或斷開的線路發(fā)生連接或短路);
  • 改變存儲(chǔ)配置,因而改變邏輯單元和I/O結(jié)構(gòu)的功能(例如將某一輸入變成輸出)。

    這些錯(cuò)誤叫做固件錯(cuò)誤(相對(duì)于軟錯(cuò)誤),因?yàn)樗鼈儠?huì)影響器件的功能,且不能實(shí)時(shí)糾正。由于基于SRAM的FGPA中的配置存儲(chǔ)位眾多,潛在的SEU風(fēng)險(xiǎn)對(duì)系統(tǒng)的穩(wěn)定性影響極大。

    例如,Xilinx公司自行對(duì)工作在40,000英尺高度中子通量環(huán)境中的小容量Virtex®-5器件(XC5VLX50)的配置存儲(chǔ)位出錯(cuò)率估計(jì)是570,125 到809,971 FIT,即平均無故障時(shí)間(MTBF)相當(dāng)于1.23到2.61個(gè)月。由于許多設(shè)備會(huì)包含多個(gè)FPGA,其在某一處理任務(wù)期間發(fā)生固件錯(cuò)誤的可能性相當(dāng)高。

圖4:基于反熔絲、SRAM和快閃技術(shù)的FPGA的系統(tǒng)重置率預(yù)測(cè)

注:該圖給出的是40,000英尺高度的最大中子通量情況下的FIT預(yù)測(cè)值。AX1000APA1000中未曾觀察到固件錯(cuò)誤。這里給出的FIT值表示給定樣本的統(tǒng)計(jì)上限。

配置存儲(chǔ)構(gòu)件FIT

抑制基于SRAM的FPGA中的SEU

     由于對(duì)SEU的認(rèn)識(shí)逐漸加強(qiáng),基于SRAM的FPGA制造商提出了各種抑制技術(shù),從強(qiáng)力性技術(shù)到更復(fù)雜的技術(shù)都有。

    最簡單的方法是直接定期重新配置FPGA,清除積累的任何錯(cuò)誤。這種方法要成功,設(shè)計(jì)人員必須確定潛在錯(cuò)誤的影響,以及這些錯(cuò)誤蔓延所需的時(shí)間。其思路是在這個(gè)時(shí)間段之內(nèi)重新配置FPGA。雖然錯(cuò)誤仍然會(huì)蔓延,但潛在的損害被重新配置所限制。此外,F(xiàn)PGA內(nèi)的功能僅在重新配置完成之后才可使用。

    隨著基于SRAM的器件更新?lián)Q代,用戶會(huì)利用配置引擎中的內(nèi)置檢測(cè)方案。采用配置存儲(chǔ)回讀(readback)功能,可計(jì)算每個(gè)組態(tài)配置數(shù)據(jù)的循環(huán)冗余校驗(yàn)(CRC)值,并與某一標(biāo)準(zhǔn)CRC比較。如果檢測(cè)到失配情況,則說明有SEU發(fā)生,應(yīng)用程序就會(huì)重新配置FPGA。

      另外,應(yīng)用程序也可嘗試糾正錯(cuò)誤,以后臺(tái)方式重寫配置數(shù)據(jù)。同樣,雖然錯(cuò)誤仍然會(huì)蔓延,但其處于未糾正狀態(tài)的時(shí)間大大減小。

抑制不等于免疫

    無論采用何種方法,抑制都是事后糾錯(cuò);換句話說,抑制是試圖減少錯(cuò)誤的影響。在各種情況下,糾錯(cuò)方案只能應(yīng)對(duì)配置存儲(chǔ)器中單個(gè)位上的錯(cuò)誤。多個(gè)位發(fā)生錯(cuò)誤時(shí)就需要重新配置器件。而且,實(shí)現(xiàn)抑制方案需要耗費(fèi)額外的可靠性分析和重建時(shí)間。

    所以我們絕不能將抑制與免疫視作等同。采用抑制措施后,固件錯(cuò)誤仍然會(huì)出現(xiàn),并會(huì)在系統(tǒng)內(nèi)蔓延。這種措施的希望目標(biāo)是在發(fā)生實(shí)質(zhì)性影響前檢測(cè)和消除任何已經(jīng)發(fā)生的固件錯(cuò)誤。

    除對(duì)醫(yī)療設(shè)備(甚至采取了抑制措施的設(shè)備)中潛在SEU事件引起的可靠性擔(dān)憂外,潛在的固件錯(cuò)誤也產(chǎn)生責(zé)任性問題。如果某一廠家采用了眾所周知具有SEU敏感性的器件,那么,就可能卷入過失擔(dān)責(zé)的糾紛;直線加速器在治療過程中突然失效,產(chǎn)生過量輻射就是一個(gè)例子。如果控制電路都在一塊FGPA中,人們會(huì)認(rèn)為,是某個(gè)SEU事件導(dǎo)致該設(shè)備失效,而廠家采用具有SEU脆弱性的技術(shù)是有過失的。 

   使用具有SEU免疫能力的FPGA不僅能夠簡化系統(tǒng)設(shè)計(jì),而且還能讓設(shè)備廠家免除任何潛在的法律糾紛。

   正如iRoC Technologies公司的Olmos所演示的,與基于SRAM的FPGA不同,基于快閃和反熔絲的FPGA不會(huì)發(fā)生配置錯(cuò)誤(即不會(huì)被SEU影響)。因此,設(shè)計(jì)人員既不必分析這些固件錯(cuò)誤對(duì)系統(tǒng)的潛在影響,也不必設(shè)計(jì)和測(cè)試抑制方案。

結(jié)論

   SEU早就是太空應(yīng)用領(lǐng)域的所關(guān)注的問題,而且,隨著對(duì)這類問題的報(bào)道越來越多,醫(yī)療設(shè)備領(lǐng)域?qū)@個(gè)問題的憂慮也已突顯?;赟RAM的FPGA中的配置存儲(chǔ)器先天就有SEU脆弱性。這種脆弱性會(huì)導(dǎo)致器件設(shè)計(jì)功能改變,進(jìn)而影響病人的生命安全。雖然針對(duì)基于SRAM的FPGA中的配置存儲(chǔ)器有各種錯(cuò)誤抑制技術(shù),但錯(cuò)誤仍然會(huì)發(fā)生;要抑制這些固件錯(cuò)誤,必須清楚了解它們對(duì)系統(tǒng)可靠性的影響。相反,基于快閃和反熔絲的FPGA不會(huì)發(fā)生配置錯(cuò)誤,具有更高的系統(tǒng)可靠性

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。