Geekly articles weekly

Rekayasa terbalik industri

Kisah proses peminjaman dalam pengembangan elektronik pada contoh yang baik.



Merekam log lift sniffer buatan sendiri


Suatu kali saya perlu menyalin perangkat yang cukup sederhana. Perusahaan manufaktur tidak ada lagi, tetapi masih ada permintaan di seluruh negeri untuk penggantian perangkat yang rusak atau bekas.


Perangkat itu sendiri adalah tombol panggilan lift di foto di sebelah kiri. Untuk percobaan, mereka memberi saya dua salinan, salah satunya bisa dibongkar sepenuhnya.


Keseluruhan rencana kerja terlihat seperti ini:


  1. Mempelajari papan sirkuit;
  2. Mempelajari elemen dasar papan itu sendiri;
  3. Membuat sketsa rangkaian listriknya;
  4. Mencoba membaca file firmware dari mikrokontroler;
  5. Membongkar firmware;
  6. Mengekstraksi algoritma operasi;
  7. Pengembangan dewan baru;
  8. Menulis firmware baru.

Jika paragraf 4 gagal, rencana selanjutnya akan lebih rumit, tetapi saya beruntung.


Kami mempelajari eksperimen



Mikrokontroler utama



Sepotong sirkuit listrik lift, tempat papan kami dilingkari merah


Papan dirakit pada mikrokontroler 1997, AT89C2051 , yang didasarkan pada arsitektur Intel MCS-51 . Pada tahun 2020, ia merayakan hari jadinya yang ke-40 di pasar sistem embedded.


Penjelasan kecil: mikrokontroler adalah mikrokontroler yang berisi inti komputasi dan seperangkat periferal untuk mengendalikan perangkat eksternal. Sebagai contoh, dalam mesin cuci modern, mikrokontroler melakukan polling tombol kontrol, sensor, menampilkan informasi pada layar dan mengontrol pompa, pemanas, katup dan drum drive. Untuk sebagian besar fungsi ini, tidak memerlukan perangkat perantara, hanya satu set komponen elektronik pasif.


Kami membongkar papan sirkuit

Membuat sketsa diagram rangkaian asli papan di masa mendatang akan membantu untuk mengetahui tujuan pin mikrokontroler, yang diperlukan untuk mengurai kode firmware.


Perangkat asli dikembangkan oleh perusahaan Cina, dan oleh karena itu sirkuitnya sangat membingungkan dan dengan banyak komponen yang tidak perlu. Misalnya, relai dihidupkan melalui kaskade tripel dari transistor bipolar, optocoupler, dan pengontrol medan (dalam urutan itu).


Seorang kenalan yang bekerja dengan pabrik-pabrik Cina memberi tahu saya bahwa orang-orang Cina terlibat dalam komplikasi skema yang serupa untuk meningkatkan biaya pengembangan dan produksi, jika hanya satu orang yang melakukannya. Setelah ini, saya cenderung percaya padanya:



Tempat yang sama di papan dua lapisan Cina di kedua sisi. Tiga resistor besar tidak terhubung dengan apa pun. Saya bahkan menyorot papan dengan senter yang kuat untuk memastikan.


Skema disalin, tempat-tempat misterius dimodelkan dalam multisim , kami mengambil firmware.


Mencoba membaca firmware


Saya sangat beruntung bahwa perlindungan baca tidak diaktifkan di kedua papan di pengendali, jadi saya berhasil menggabungkan kedua opsi firmware dengan pornografi serupa:



Foto dari blog pribadi penggemar Amerika


Membongkar firmware


Langkah selanjutnya kita perlu mengubah kode mesin ini menjadi sesuatu yang lebih mudah dibaca:



Kami mengambil alat IDA Pro yang terkenal, yang sudah memiliki pengontrol kami dengan semua register periferal, dan membuka file firmware HEX:



Memproses data yang diterima oleh dewan dalam bahasa assembly


Setelah itu, ada proses yang agak membosankan untuk mempelajari set instruksi kernel komputasi kami, berkomentar dan mendekode kode assembler.


Penangan interupsi sendiri ditemukan di alamat tabel vektor interupsi, entri dalam register periferal memberikan informasi tentang konfigurasi antarmuka komunikasi. Langkah demi langkah, kode assembler yang tidak disebutkan namanya telah berubah menjadi sesuatu yang bisa dibaca.


Ekstraksi algoritma kerja


Karena saya perlu mengembangkan perangkat baru pada basis elemen yang berbeda, perlu untuk mengekstrak algoritma dari kode. Beberapa waktu kemudian, kode semu tersebut lahir:


void UartISR (void) { counter500ms = 0; //ClearFlag(isrFlags, ISR_FLAG_3); ProcessUart(recievedByte); } void ProcessUart(uint8_t recievedData) { static uint8_t uartPacketsToRxLeft, uartRecievedCmd, uartCurrPacketCRC; static uint8_t i, carryFlag; static uint16_t uartIsrPointer; static uint8_t uartBuffer1[8], uartBuffer2[6]; static uint8_t uartBuffer1Pos, uartBuffer2Pos; // 0 - // 1 - // 2 - // 3 - led state, 0x0F // 4 - // 5 - // 6 - // 7 - // 8 - buttons time static uint8_t dataRegisters[9]; // RAM:0050 uint8_t tmpVal, i; uint8_t dataToSend; if (GetFlag(UartISRFlags, UART_RECIEVED_FLAG)) { ClearFlag(UartISRFlags, UART_RECIEVED_FLAG); if (recieved9thBit) { switch (recievedData) { case 0xC1: uartPacketsToRxLeft = 8; uartRecievedCmd = 1; uartBuffer1Pos = 0; uartBuffer1[uartBuffer1Pos] = recievedData; //uartIsrPointer = 0x0037; //tmpVal_0037 = recievedData; uartCurrPacketCRC = recievedData; UartRxOn(); return; break; case 0xC2: uartPacketsToRxLeft = 3; uartRecievedCmd = 2;

Pemrosesan yang sama dari data yang diterima dalam C


Siapa yang peduli dengan protokol transfer:


Stasiun kontrol elevator berkomunikasi dengan papan tombol panggilan melalui antarmuka dupleks 24-volt penuh. Dalam mode normal, kartu tombol mendengarkan garis, menunggu paket data 9-bit. Jika alamat papan kami datang dalam paket ini (ditetapkan oleh saklar DIP di papan), maka papan beralih ke mode penerimaan 8-bit, dan semua paket selanjutnya diabaikan oleh sisa papan dalam perangkat keras.

Yang pertama setelah alamat adalah paket dengan kode perintah kontrol. Secara khusus, dewan ini hanya membawa 3 tim:
  1. Menulis ke register data. Misalnya, frekuensi dan durasi tombol berkedip pada panggilan;
  2. Menyalakan lampu latar tombol;
  3. Permintaan status tombol (ditekan atau tidak).


Byte terakhir adalah checksum, yang merupakan XOR sederhana dari semua byte setelah alamat.
Setelah checksum, papan kembali masuk ke mode siaga untuk alamatnya.

Pengembangan dewan baru


Untuk tahap pengembangan diagram kabel baru dan papan sirkuit cetak, saya tidak punya gambar, tapi itu seperti ini:


Pengkabelan dan pengkabelan dilakukan di Altium Designer . Pembuatan papan sirkuit cetak dipesan di Zelenograd " Resonite ".


Menulis firmware baru


Sementara papan baru kami sedang dalam produksi, kami pergi ke objek tempat tombol panggilan tersebut dipasang, dan memeriksa kebenaran dari protokol transfer yang dibongkar menggunakan sniffer yang terpasang pada arduino:

Sepotong sirkuit pemancar yang secara elektrik setara dengan aslinya. Penerima hanya optocoupler.


 //UART1 initialize // desired baud rate:19200 // actual baud rate:19231 (0,2%) // char size: 9 bit // parity: Disabled void uart1_init(void) { UCSR1B = 0x00; //disable while setting baud rate UCSR1A = 0x00; UCSR1C = 0x06; UBRR1L = 0x33; //set baud rate lo UBRR1H = 0x00; //set baud rate hi UCSR1B = 0x94; } #pragma interrupt_handler uart1_rx_isr:iv_USART1_RXC void uart1_rx_isr(void) { unsigned char tmp; unsigned int rcv = 0; if (UCSR1B & 0x02) { rcv = 0x100; } rcv |= UDR1; tmp = (rcv >> 4) & 0x0F; if (rcv & 0x100) { tmp |= 0xC0; } else { tmp |= 0x80; } txBuf12 = (rcv & 0x0F); txBuf11 = tmp; txState1 = 0; TX_ON(); msCounter0 = 5000; }

Bicara tentang sniffer kami di ICC AVR


Selanjutnya, perlu bertindak sangat hati-hati agar tidak membakar apa pun di lift dan mencegahnya berhenti.



Kami naik ke tombol panggilan. Kabel kuning tebal - papan daya dan antarmuka transmisi. Putih pada konektor 4-pin - menghubungkan tombol dan lampu latar.


Kami memeriksa bahwa semuanya berfungsi sebagaimana mestinya, memperbaiki jambs dan menulis firmware baru untuk perangkat kami:


 //ICC-AVR application builder : 11.02.2015 12:25:51 // Target : M328p // Crystal: 16.000Mhz #include <macros.h> #include <iccioavr.h> #include <avrdef.h> #include "types.h" #include "gpio.h" #define TX_OFF() UCSR0B &= 0b11011111; #define TX_ON() UCSR0B |= 0b00100000; #define TX_STATE() (UCSR0B & 0b00100000) #define MAX_TIMEOUT 3000 //#define SNIFFER_MODE 1 //#define MASTER_MODE 1 // #pragma avr_fuse (fuses0, fuses1, fuses2, fuses3, fuses4, fuses5) #pragma avr_fuse (0xFF, 0xD1, 0xFC) #pragma avr_lockbits (0xFC) // AVR signature is always three bytes. Signature0 is always the Atmel // manufacturer code of 0x1E. The other two bytes are device dependent. #pragma avr_signature (0x1E, 0x95, 0x0F) // atmega32 static GPIOx errorLed, rcvLed, butUp, butDn, ledUp, ledDn, butLedUp, butLedDn, ledButUp, ledButDn; static uint8_t msFlag = 0; static uint8_t ledState = 0, buttonsState = 0; static uint16_t rcvLedLitTime = 0, butMaskCalcTime = 0, timeoutTimer = 0; typedef struct { uint16_t buffer[10]; uint8_t dataLength; } UartPacket; static UartPacket txPacket, rxPacket; #ifdef SNIFFER_MODE static uint8_t txBuffer[64], txBufferLength = 0, bufferMutex = 0; #endif static uint8_t GetPacketCRC(UartPacket* packet); static void SendLedState(void); uint8_t GetAddress(void) { return (PINC & 0x3F); }

Kode C untuk papan baru berdasarkan mikrokontroler AVR ATmega328P


Kesederhanaan perangkat dan firmware dapat diperkirakan dengan jumlah kode, hanya berisi sekitar 600 baris dalam bahasa C.


Proses pembuatannya terlihat seperti ini:



Biayanya berbeda, tetapi prinsipnya sama


Saya tidak bisa melampirkan foto perangkat yang sudah jadi, hanya percaya bahwa itu masih diproduksi dan dijual.


Kesimpulan liris


Mengenai tombol lift "naik" dan "turun" di lantai. Saya perhatikan bahwa banyak orang benar-benar tidak memahami tujuan mereka dan mengguncang keduanya sekaligus.



Dari sini


Lift memiliki dua set tombol: di kabin terdapat panel pesanan, dan di lantai ada panel panggilan. Anda sudah dapat menebak dari nama bahwa panel pesanan memiliki prioritas kontrol yang lebih tinggi.


Semua elevator dengan panel panggilan dengan tombol naik dan turun bekerja dengan semacam algoritma optimasi perjalanan, yang tujuannya adalah untuk mengangkut jumlah penumpang maksimum dalam waktu minimum dan kondisi terpisah untuk waktu tunggu maksimum di lantai (diatur oleh standar negara).


Algoritma seperti itu biasanya melibatkan pemilihan penumpang di lantai jika mereka bepergian ke arah yang sama seperti yang ditunjukkan dengan menekan tombol panggilan "atas" atau "bawah".


Bayangkan sebuah situasi di mana lift dengan penumpang turun dan menerima panggilan "turun" dari lantai di bawah. Lift akan berhenti untuk menjemput penumpang (ya, masih ada akuntansi untuk memuat kabin oleh sensor berat, tapi kami akan menurunkannya).


Lift berjalan dan menerima panggilan "naik" dari lantai di bawah. Adalah logis bahwa lift tidak akan berhenti untuk mengambil penumpang, karena itu tidak akan mengubah arah perjalanan (ini juga diatur oleh standar), dan mengambil penumpang untuk turun dan kemudian naik - konsumsi energi dan ruang yang tidak berguna dalam lift.


Lift berjalan dan menerima dua panggilan "naik dan turun" dari lantai di bawah, yang ditekan oleh beberapa penumpang yang tidak sabar yang perlu naik. Adalah logis bahwa lift akan berhenti di lantai ini, tetapi penumpang tidak akan memasukinya, tetapi akan membutuhkan waktu orang di kabin untuk memperlambat dan menghentikan lift, membuka pintu, menunggu, menutup pintu dan mempercepat ke kecepatan pengenal.


Jika elevator hanya memiliki satu tombol di lantai, maka dalam 99% case lift bekerja sesuai dengan algoritma "kolektif turun", dan jika ada pesanan di kabin, lift hanya berhenti ketika bergerak turun.


Jika Anda memiliki keterampilan pemrograman dalam JS, maka Anda dapat mencoba menerapkan algoritma kontrol serupa di game online Elevator Saga . Ini memiliki semua aspek untuk mengoptimalkan perjalanan tanpa masuk jauh ke dalam hardcore seperti pengoperasian sirkuit pengaman elevator.



Di saluran telegram saya, saya memposting materi serupa. Sekarang di sana Anda dapat mengikuti pengembangan perangkat berikutnya.

Source: https://habr.com/ru/post/id459492/

More articles:


All Articles