服務器中使用的大多數高性能DC/DC轉換器都帶有內置在固件中的數字監(jiān)控與控制功能。在本博客文章中，我們討論了該固件是否能夠供用戶訪問以進行修改，以及可能產生的影響。

在任何產品中，提供固件代碼訪問權限都是一個敏感話題。以汽車行業(yè)為例，最新車型的駕駛員希望定期進行空中升級（OTA）更新來改善功能并修復錯誤。為了增強安全性，這些更新依賴于可信平臺模塊（TPM）技術和安全加密處理器，以防止意外更改、篡改或安裝惡意代碼。

雖然類似這樣的系統(tǒng)級更新十分常見，但對于較低級別組件，例如為服務器應用程序中的處理器供電的DC/DC轉換器等，用戶希望允許更改其固件的興趣日益濃厚。這些轉換器提供必要的電壓和電流，但越來越多地附帶數字控制和監(jiān)控功能。這使得制造商能配置一款通用于多個應用的平臺產品，或允許用戶自定義參數，如電壓設定點、故障檢測限值、有時甚至是環(huán)路頻率響應等。這些通常都是通過具有基本安全功能的PMBus接口完成的。但是，DC/DC轉換器的核心功能儲存在非易失性內存中，用戶仍然無法接觸到相關固件。

為什么想要更改DC/DC轉換器的固件？

隨著DC/DC轉換器的發(fā)展進化，以及產品復雜程度和性能的提升，某些場景下，在部件發(fā)貨后更新固件可能會更有好處：

· 一些客戶可能需要使用某些功能，這些功能超出了PMBus指令涵蓋的范圍。例如，自定義“事件記錄數據”或添加唯一部件標識符。

· 基本功能改動。這種情況可能發(fā)生在定制DC/DC轉換器設計中。部件會提前發(fā)貨，以支持規(guī)格仍然不斷變更的原型系統(tǒng)。

· 制造商安裝更新以增強功能。例如，想要改進實現電流均流的算法，可能需要更新固件。

· 固件驗證。重裝默認固件能夠幫助驗證系統(tǒng)完整性。

· 已宣布的新bug修復，解決組件部署后發(fā)現的問題。

允許固件訪問面臨的挑戰(zhàn)

目前，DC/DC轉換器通常不允許用戶訪問固件，以確保安全性，保護設備免受無效和潛在有害更改的影響，并保護制造商的知識產權。理論來說，可以使用現有的PMBus接口在適當的安全級別下進行固件更改。目前擬議的PMBus 1.5規(guī)范解決了這個問題，該版本定義了強化的安全措施和基于加密的身份驗證，以針對特定設備并限制命令寫入功能。

實際上，可以將作為零部件儲存的DC/DC轉換器設計為允許通過PMBus接口進行固件更新，借助定制夾具和裝有制造商提供的軟件應用程序的PC來完成。這類似于使用諸如Flex Power Designer的GUI（圖形用戶界面）工具來完成配置。更新固件時，需要通過夾具將電壓施加到DC/DC輸入端來給內部處理器和內存供電。

為已安裝的DC/DC轉換器更新固件則存在重大潛在挑戰(zhàn)。處理更新的任何外部處理器通常都由DC/DC轉換器的輸出本身供電，因此在上傳過程中，供電不能中斷。但是，當只有一個內存空間時，轉換器在更新期間無法正常運行，因為上傳時內存會首先被擦除。這樣，就沒有代碼來控制DC/DC轉換過程，也不會再產生輸出功率。解決此問題的一個可能的方案是將DC/DC轉換器的新固件代碼加載到輔助內存區(qū)域，然后在驗證后將該區(qū)域設為主內存區(qū)域。這不僅可以在上傳過程中正常產生輸出電壓，而且如果上傳失敗，還能夠恢復到已知的好代碼。

理論上，內存可以被分成不同大小的分區(qū)，其中一個分區(qū)在較小的內存空間中僅提供基本的“恢復”功能。然而，在實踐中，轉換器可能以并聯或類似模式捆綁在一起，需要啟用所有代碼才能使各部件正確且安全地啟動。因此，很可能每個DC/DC轉換器都需要兩個全尺寸的內存空間，隨之而來的是額外成本與尺寸需求。另一種可能性是對內存空間進行物理分區(qū)，這樣上傳期間不會擦除基本的功率轉換功能，但同時要接受其無法更新的限制。同樣，實現這一點將會是一項巨大的硬件開銷。

在DC/DC轉換器的使用壽命內可能會發(fā)生多次上傳，所以一大實際的問題在于額外的內存需要是“閃存”型，這比流行的“一次性可編程”內存更昂貴。通過更新固件提升的功能性，代價是犧牲設備尺寸、復雜性和制造成本。

結語

對DC/DC轉換器等組件中的固件啟用遠程訪問具有許多潛在優(yōu)勢，例如允許更新固件來保持系統(tǒng)高效運行。但是，還必須仔細考慮實行的成本和相關安全風險。此外，還需要考慮新的立法，例如歐盟的《網絡彈性法案（CRA）》，該法案要求帶有“數字組件”的終端設備的制造商允許軟件更新以解決已發(fā)現的任何安全漏洞……

隨著允許遠程訪問組件固件這一概念的不斷發(fā)展，終端設備和DC/DC轉換器制造商需要密切溝通，以確保實現功能改進與安全性，同時又避免不可持續(xù)的額外成本和組件尺寸。