Ausschuss beim Flashen im Feld
Teams, die die Firmware erst nach der Auslieferung aus der PCBA-Fertigung aufspielen, melden den Ausschuss meist zu niedrig. Wenn eine Einheit auf dem Tisch des Integrators keine Firmware annimmt, wird sie nachgearbeitet, zurückgeschickt oder verschrottet, und die Kosten landen in einem anderen Konto als die PCBA-Kosten.
Misst man den Ausschuss durchgängig, liegt die Ausfallrate beim nachgelagerten Flashen üblicherweise bei 1 bis 4 Prozent. Bei einer Charge von 1000 Einheiten sind das 10 bis 40 vermeidbare Nacharbeits- oder Verlustfälle. Wird inline in der Produktion geflasht, sinkt diese Rate auf den meisten Linien unter 0,5 Prozent, da der Fehler bereits am Prüfplatz auffällt und nicht erst beim Integrator.
Konfigurationsdrift
Einheiten, die in unterschiedlichen Sessions, mit unterschiedlichen Firmware-Revisionen und von unterschiedlichen Bedienern geflasht werden, driften in ihrer Konfiguration auseinander. Kalibrierwerte, Netzwerkeinstellungen, Debug-Flags. Bei der Übergabe ist die Drift unsichtbar, bei der Integration wird sie teuer, sobald sich ein Gerät anders verhält als das nächste.
Beim Flashen in der Produktion durchläuft jede Einheit dieselbe Flash-Sequenz mit demselben Firmware-Hash, derselben Provisionierungsvorlage und demselben signierten Bootloader. Die Konfigurationsdrift fällt auf null.
Erzwungene signierte Firmware
Die Erzwingung eines signierten Bootloaders nachträglich in ein laufendes Produkt einzuziehen, ist mühsam. Das Brennen der Fuses, die Schlüsselübergabe, der Verifizierungszyklus, all das muss in einen Ablauf nachgerüstet werden, der nicht dafür ausgelegt war.
Wird die Produktionslinie von Anfang an um signierte Firmware herum entworfen, ist das trivial. Zuerst wird der Bootloader mit dem Verweis auf den Signaturschlüssel geschrieben, danach die Anwendung mit Hash-Prüfung, anschließend brennt die eFuse die Kette fest.
CRA-Bereitschaft
Der Cyber Resilience Act setzt eine Firmware-Rückverfolgbarkeit je Einheit voraus. Eine heute ausgelieferte Einheit braucht möglicherweise in drei Jahren ein Sicherheitsupdate, und der Hersteller muss wissen, mit welcher Firmware-Version sie ausgeliefert wurde.
Beim Flashen in der Produktion wird der Firmware-Hash zusammen mit der Seriennummer in einer Datenbank protokolliert. Das Flashen im Feld erzeugt dieses Protokoll nicht, es sei denn, der Integrator führt eines getrennt, was er meist nicht tut.
Wann sich das Flashen in der Produktion auszahlt
Grob: bei jedem Produkt, bei dem die Firmware-Revisionen stabil genug sind, um sich auf eine Produktionscharge festzulegen, und bei dem die Kosten pro Einheit für Feld-Flashing oder Konfigurationsdrift messbar sind. Für die meisten vernetzten Produkte in Industrie, Gebäudeautomation, Energie und Zutrittskontrolle ist diese Schwelle früh in der NPI erreicht.
Bei Produkten, deren Firmware sich während der NPI wöchentlich ändert, warten Sie mit dem Flashen in der Produktion, bis Bootloader und Signaturschlüssel stabil sind, und ziehen es dann inline.
Quellen
- Branchenberichte der IPC zu Produktionstest- und Flashing-Quoten
- Espressif, "Secure Boot v2"-Produktionsdokumentation
- NXP, "Secure boot and trust provisioning"-Produktionsleitfäden