Warum sollte man die Firmware von DC/DC-Wandlern ändern wollen?
Da DC/DC-Wandler sich weiterentwickelt haben und komplexer und leistungsfähiger geworden sind, haben sich mehrere Szenarien herausgebildet, in denen ein Firmware-Update nach der Auslieferung der Bauteile von Vorteil sein kann:
- Manche Kundenbedürfnisse gehen über die von PMBus-Befehlen abgedeckten Funktionen hinaus: Zum Beispiel die Anpassung von ‘Ereignisdatensätzen’ oder das Hinzufügen eindeutiger Teilekennungen
- Änderungen der grundlegenden Funktionalität: Dies kann bei kundenspezifischen DC/DC-Wandlern vorkommen, bei denen Bauteile zur Unterstützung von Prototypensystemen geliefert werden, deren Spezifikationen sich noch in der Entwicklung befinden.
- Installation von Hersteller-Upgrades zur Funktionserweiterung: Verbesserte Algorithmen zur Erreichung der aktuellen Aufteilung könnten beispielsweise Aktualisierungen erfordern.
- Firmware-Verifizierung: Die Neuinstallation der Standard-Firmware könnte zur Überprüfung der Systemintegrität beitragen.
- Neue Fehlerbehebungen angekündigt: Behebung festgestellter Probleme nach der Bereitstellung
Ein moderner DC/DC-Wandler mit PMBus-Schnittstelle und integrierter Firmware.
Firmware-Zugriff ermöglichen – die Herausforderungen
Aktuell sind DC/DC-Wandler in der Regel nicht so ausgelegt, dass sie den Zugriff auf die Firmware ermöglichen, um die Sicherheit zu gewährleisten, das Gerät vor ungültigen und potenziell schädlichen Änderungen zu schützen und das geistige Eigentum des Herstellers zu wahren. Theoretisch könnte eine bestehende PMBus-Schnittstelle genutzt werden, um Firmware-Änderungen mit den entsprechenden Sicherheitsvorkehrungen vorzunehmen. Dies wird in der vorgeschlagenen PMBus-1.5-Spezifikation berücksichtigt, einer Version, die erweiterte Sicherheitsmaßnahmen und verschlüsselungsbasierte Authentifizierung definiert, um gezielt bestimmte Geräte anzusprechen und die Schreibberechtigungen für Befehle einzuschränken.
In der Praxis könnten als Komponenten gelagerte DC/DC-Wandler so konstruiert werden, dass Firmware-Updates über den PMBus mithilfe einer speziellen Vorrichtung und eines PCs mit einer vom Hersteller bereitgestellten Softwareanwendung möglich sind. Dies wäre vergleichbar mit einer grafischen Benutzeroberfläche (GUI) zur Konfiguration, beispielsweise dem Flex Power Designer. Während des Updates müsste die Spannung über die Vorrichtung an den Eingang des DC/DC-Wandlers angelegt werden, um den internen Prozessor und den Speicher mit Strom zu versorgen.
Die Aktualisierung der Firmware installierter DC/DC-Wandler birgt erhebliche Herausforderungen. Ein externer Prozessor, der die Aktualisierung durchführt, wird üblicherweise über den DC/DC-Ausgang mit Strom versorgt, der während des Upload-Vorgangs nicht unterbrochen werden darf. Da der Wandler jedoch nur über einen einzigen Speicherbereich verfügt, kann er während der Aktualisierung nicht arbeiten, da beim Upload als erstes der Speicher gelöscht wird. Dadurch fehlt der Code zur Steuerung der DC/DC-Wandlung und somit auch die Ausgangsleistung. Eine mögliche Lösung besteht darin, den neuen Firmware-Code in einen sekundären Speicherbereich zu laden und diesen nach erfolgreicher Prüfung zum Hauptspeicher zu machen. Dies ermöglicht nicht nur die Ausgabespannung während des Upload-Vorgangs, sondern erlaubt auch die Rückkehr zu bekanntem, funktionierendem Code im Fehlerfall.
Theoretisch ließe sich der Speicher in unterschiedlich große Partitionen aufteilen, wobei eine Partition lediglich eine grundlegende Wiederherstellungsfunktion in einem kleineren Speicherbereich bereitstellt. In der Praxis könnten Wandler jedoch parallel oder ähnlich geschaltet sein, sodass der gesamte Code für einen korrekten und sicheren Start der Komponenten vorhanden sein muss. Daher wären höchstwahrscheinlich zwei Speicherbereiche in voller Größe pro DC/DC-Wandler erforderlich, was zusätzliche Kosten und einen größeren Platzbedarf zur Folge hätte. Eine weitere Möglichkeit bestünde darin, die Speicherbereiche physisch zu partitionieren, sodass die grundlegende Leistungswandlungsfunktionalität beim Hochladen nicht gelöscht wird, wobei die Einschränkung in Kauf genommen würde, dass diese nicht aktualisiert werden kann. Auch die Implementierung dieser Variante würde einen erheblichen Hardware-Overhead verursachen.
Da ein Upload während der Lebensdauer des DC/DC-Wandlers mehrmals erfolgen kann, besteht ein praktisches Problem darin, dass der zusätzliche Speicher vom Typ Flash-Speicher sein muss, der teurer ist als der gängige OTP-Speicher (One Time Programmable). Die verbesserte Funktionalität geht daher mit einer größeren Gerätegröße, höherer Komplexität und höheren Herstellungskosten einher.
Schlussgedanken
Die Ermöglichung des Fernzugriffs auf die Firmware von Komponenten wie DC/DC-Wandlern bietet viele potenzielle Vorteile, beispielsweise die Möglichkeit, Updates durchzuführen und so einen effizienten Systembetrieb aufrechtzuerhalten. Allerdings müssen die Implementierungskosten und die damit verbundenen Sicherheitsrisiken sorgfältig abgewogen werden. Darüber hinaus sind neue Gesetze, wie der European Cyber Resilience Act (CRA), zu berücksichtigen, die Hersteller von Endgeräten mit digitalen Komponenten verpflichten, Software-Updates zur Behebung identifizierter Sicherheitslücken bereitzustellen.
Mit der Weiterentwicklung des Konzepts, Fernzugriff auf die Firmware von Komponenten zu ermöglichen, müssen die Hersteller von Endgeräten und DC/DC-Wandlern eng zusammenarbeiten, um eine verbesserte Funktionalität und Sicherheit ohne untragbare Zusatzkosten und eine übermäßige Vergrößerung der Komponenten zu gewährleisten.
