為什么想要更改DC/DC轉(zhuǎn)換器的固件

服務(wù)器中使用的大多數(shù)高性能DC/DC轉(zhuǎn)換器都帶有內(nèi)置在固件中的數(shù)字監(jiān)控與控制功能。在本博客文章中，我們討論了該固件是否能夠供用戶訪問以進(jìn)行修改，以及可能產(chǎn)生的影響。

在任何產(chǎn)品中，提供固件代碼訪問權(quán)限都是一個(gè)敏感話題。以汽車行業(yè)為例，最新車型的駕駛員希望定期進(jìn)行空中升級(jí)（OTA）更新來(lái)改善功能并修復(fù)錯(cuò)誤。為了增強(qiáng)安全性，這些更新依賴于可信平臺(tái)模塊（TPM）技術(shù)和安全加密處理器，以防止意外更改、篡改或安裝惡意代碼。

雖然類似這樣的系統(tǒng)級(jí)更新十分常見，但對(duì)于較低級(jí)別組件，例如為服務(wù)器應(yīng)用程序中的處理器供電的DC/DC轉(zhuǎn)換器等，用戶希望允許更改其固件的興趣日益濃厚。這些轉(zhuǎn)換器提供必要的電壓和電流，但越來(lái)越多地附帶數(shù)字控制和監(jiān)控功能。這使得制造商能配置一款通用于多個(gè)應(yīng)用的平臺(tái)產(chǎn)品，或允許用戶自定義參數(shù)，如電壓設(shè)定點(diǎn)、故障檢測(cè)限值、有時(shí)甚至是環(huán)路頻率響應(yīng)等。這些通常都是通過具有基本安全功能的PMBus接口完成的。但是，DC/DC轉(zhuǎn)換器的核心功能儲(chǔ)存在非易失性內(nèi)存中，用戶仍然無(wú)法接觸到相關(guān)固件。

為什么想要更改DC/DC轉(zhuǎn)換器的固件？

隨著DC/DC轉(zhuǎn)換器的發(fā)展進(jìn)化，以及產(chǎn)品復(fù)雜程度和性能的提升，某些場(chǎng)景下，在部件發(fā)貨后更新固件可能會(huì)更有好處：

· 一些客戶可能需要使用某些功能，這些功能超出了PMBus指令涵蓋的范圍。例如，自定義“事件記錄數(shù)據(jù)”或添加唯一部件標(biāo)識(shí)符。

· 基本功能改動(dòng)。這種情況可能發(fā)生在定制DC/DC轉(zhuǎn)換器設(shè)計(jì)中。部件會(huì)提前發(fā)貨，以支持規(guī)格仍然不斷變更的原型系統(tǒng)。

· 制造商安裝更新以增強(qiáng)功能。例如，想要改進(jìn)實(shí)現(xiàn)電流均流的算法，可能需要更新固件。

· 固件驗(yàn)證。重裝默認(rèn)固件能夠幫助驗(yàn)證系統(tǒng)完整性。

· 已宣布的新bug修復(fù)，解決組件部署后發(fā)現(xiàn)的問題。

允許固件訪問面臨的挑戰(zhàn)

目前，DC/DC轉(zhuǎn)換器通常不允許用戶訪問固件，以確保安全性，保護(hù)設(shè)備免受無(wú)效和潛在有害更改的影響，并保護(hù)制造商的知識(shí)產(chǎn)權(quán)。理論來(lái)說(shuō)，可以使用現(xiàn)有的PMBus接口在適當(dāng)?shù)陌踩?jí)別下進(jìn)行固件更改。目前擬議的PMBus 1.5規(guī)范解決了這個(gè)問題，該版本定義了強(qiáng)化的安全措施和基于加密的身份驗(yàn)證，以針對(duì)特定設(shè)備并限制命令寫入功能。

實(shí)際上，可以將作為零部件儲(chǔ)存的DC/DC轉(zhuǎn)換器設(shè)計(jì)為允許通過PMBus接口進(jìn)行固件更新，借助定制夾具和裝有制造商提供的軟件應(yīng)用程序的PC來(lái)完成。這類似于使用諸如Flex Power Designer的GUI（圖形用戶界面）工具來(lái)完成配置。更新固件時(shí)，需要通過夾具將電壓施加到DC/DC輸入端來(lái)給內(nèi)部處理器和內(nèi)存供電。

為已安裝的DC/DC轉(zhuǎn)換器更新固件則存在重大潛在挑戰(zhàn)。處理更新的任何外部處理器通常都由DC/DC轉(zhuǎn)換器的輸出本身供電，因此在上傳過程中，供電不能中斷。但是，當(dāng)只有一個(gè)內(nèi)存空間時(shí)，轉(zhuǎn)換器在更新期間無(wú)法正常運(yùn)行，因?yàn)樯蟼鲿r(shí)內(nèi)存會(huì)首先被擦除。這樣，就沒有代碼來(lái)控制DC/DC轉(zhuǎn)換過程，也不會(huì)再產(chǎn)生輸出功率。解決此問題的一個(gè)可能的方案是將DC/DC轉(zhuǎn)換器的新固件代碼加載到輔助內(nèi)存區(qū)域，然后在驗(yàn)證后將該區(qū)域設(shè)為主內(nèi)存區(qū)域。這不僅可以在上傳過程中正常產(chǎn)生輸出電壓，而且如果上傳失敗，還能夠恢復(fù)到已知的好代碼。

理論上，內(nèi)存可以被分成不同大小的分區(qū)，其中一個(gè)分區(qū)在較小的內(nèi)存空間中僅提供基本的“恢復(fù)”功能。然而，在實(shí)踐中，轉(zhuǎn)換器可能以并聯(lián)或類似模式捆綁在一起，需要啟用所有代碼才能使各部件正確且安全地啟動(dòng)。因此，很可能每個(gè)DC/DC轉(zhuǎn)換器都需要兩個(gè)全尺寸的內(nèi)存空間，隨之而來(lái)的是額外成本與尺寸需求。另一種可能性是對(duì)內(nèi)存空間進(jìn)行物理分區(qū)，這樣上傳期間不會(huì)擦除基本的功率轉(zhuǎn)換功能，但同時(shí)要接受其無(wú)法更新的限制。同樣，實(shí)現(xiàn)這一點(diǎn)將會(huì)是一項(xiàng)巨大的硬件開銷。

在DC/DC轉(zhuǎn)換器的使用壽命內(nèi)可能會(huì)發(fā)生多次上傳，所以一大實(shí)際的問題在于額外的內(nèi)存需要是“閃存”型，這比流行的“一次性可編程”內(nèi)存更昂貴。通過更新固件提升的功能性，代價(jià)是犧牲設(shè)備尺寸、復(fù)雜性和制造成本。

結(jié)語(yǔ)

對(duì)DC/DC轉(zhuǎn)換器等組件中的固件啟用遠(yuǎn)程訪問具有許多潛在優(yōu)勢(shì)，例如允許更新固件來(lái)保持系統(tǒng)高效運(yùn)行。但是，還必須仔細(xì)考慮實(shí)行的成本和相關(guān)安全風(fēng)險(xiǎn)。此外，還需要考慮新的立法，例如歐盟的《網(wǎng)絡(luò)彈性法案（CRA）》，該法案要求帶有“數(shù)字組件”的終端設(shè)備的制造商允許軟件更新以解決已發(fā)現(xiàn)的任何安全漏洞……

隨著允許遠(yuǎn)程訪問組件固件這一概念的不斷發(fā)展，終端設(shè)備和DC/DC轉(zhuǎn)換器制造商需要密切溝通，以確保實(shí)現(xiàn)功能改進(jìn)與安全性，同時(shí)又避免不可持續(xù)的額外成本和組件尺寸。