на TJ

{"id":2175,"url":"\/distributions\/2175\/click?bit=1&hash=803b6e1bcbd9dfc4ba9456fda887a878c80d24df8d3a575913b14876e18923a5","title":"TJ \u0437\u0430\u043a\u0440\u043e\u0435\u0442\u0441\u044f 10 \u0441\u0435\u043d\u0442\u044f\u0431\u0440\u044f \u2014\u00a0\u043f\u0440\u043e\u0447\u0438\u0442\u0430\u0439\u0442\u0435 \u0430\u043d\u043e\u043d\u0441 \u0441 \u0434\u0435\u0442\u0430\u043b\u044f\u043c\u0438","buttonText":"\u0427\u0438\u0442\u0430\u0442\u044c","imageUuid":"d1d355d8-93a3-5140-aeae-14b03046b760","isPaidAndBannersEnabled":false}

Kircore

10 авг 2020 10.08.2020

Рассказ о процессе заимствования при разработке электроники на наглядном примере.

0 просмотров

Запись лога работы лифта самодельным сниффером

Однажды мне понадобилось скопировать довольно простое устройство. Компания-производитель перестала существовать, но по всей стране ещё был спрос на замену сломанных или отработавших свой ресурс девайсов.

Само устройство — кнопка вызова лифта на фото слева. Для опытов мне дали два экземпляра, один из которых можно было полностью разобрать.

Общий план работы выглядел примерно так:

Изучение схемы подключения платы;
Изучение элементной базы самой платы;
Срисовывание её электрической схемы;
Попытка считывания файла прошивки из микроконтроллера;
Дизассемблирование прошивки;
Извлечение алгоритма работы;
Разработка новой платы;
Написание новой прошивки.

При неудаче пункта 4, дальнейший план выглядел бы сложнее, но мне повезло.

Изучаем подопытного

Плата собрана на микроконтроллере 1997 года выпуска AT89C2051, в основе которого лежит архитектура Intel MCS-51. В 2020 году она празднует свой 40-летний юбилей на рынке встраиваемых систем.

Небольшое пояснение: микроконтроллер — это такая микросхема, содержащая вычислительное ядро и набор периферии для управления внешними устройствами. Например, в современной стиральной машине микроконтроллер опрашивает кнопки управления, датчики, выводит информацию на экран и управляет насосами, нагревателем, клапанами и приводом барабана. Для большинства перечисленных функций ему не требуются промежуточные устройства, только набор пассивных электронных компонентов.

Разбираем плату для срисовывания электросхемы

Срисовывание оригинальной электросхемы платы в будущем поможет узнать назначение пинов микроконтроллера, которое необходимо для разбора кода прошивки.

Оригинальное устройство разработано китайской компанией, а потому его схема крайне запутана и со множеством лишних компонентов. Например, включение реле производилось через тройной каскад из биполярного транзистора, оптопары и полевика (именно в таком порядке).

Знакомый, работающий с китайскими производствами, рассказал мне, что китайцы занимаются подобным усложнением схем для увеличения стоимости разработки и производства, если то и другое делают одни люди. После такого я склонен ему верить:

Одно и то же место на китайской двухслойной плате с обеих сторон. Три огромных резистора ни к чему не подключены. Я даже просвечивал плату мощным фонариком, чтобы убедиться.

Схема срисована, загадочные места смоделированы в мультисиме, берёмся за прошивку.

Пытаемся считать прошивку

Мне очень повезло, что на обоих платах в контроллерах не включена защита от чтения, поэтому я успешно слил два варианта прошивки подобной порнографией:

Фото из личного блога американского энтузиаста

Дизассемблирование прошивки

Следующим этапом нам нужно преобразовать этот машинный код во что-то более читаемое:

Берём известный инструмент IDA Pro, в котором уже есть наш контроллер со всеми регистрами периферии, и открываем HEX файл прошивки:

[{"title":"\u041e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u043c\u044b\u0445 \u043f\u043b\u0430\u0442\u043e\u0439 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 \u0430\u0441\u0441\u0435\u043c\u0431\u043b\u0435\u0440\u0430","image":{"type":"image","data":{"uuid":"e8a3b705-d4c5-8fcc-9199-5f11500feb27","width":871,"height":639,"size":47994,"type":"png","color":"0505dd","hash":"","external_service":[]}}},{"title":"\u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u044f \u043f\u043e \u043d\u0430\u0431\u043e\u0440\u0443 \u043a\u043e\u043c\u0430\u043d\u0434 \u043c\u0438\u043a\u0440\u043e\u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0430","image":{"type":"image","data":{"uuid":"6a926582-8a21-0c7e-98fa-d8833ebf1541","width":858,"height":473,"size":312914,"type":"png","color":"413e43","hash":"","external_service":[]}}},{"title":"\u0412\u0441\u0451 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0435 \u0441\u0432\u0435\u0434\u0435\u043d\u043e \u0432 \u0442\u0430\u0431\u043b\u0438\u0446\u0443","image":{"type":"image","data":{"uuid":"24db436f-3add-cb01-41dd-9ac7229686f3","width":1198,"height":941,"size":875915,"type":"png","color":"323139","hash":"","external_service":[]}}},{"title":"","image":{"type":"image","data":{"uuid":"bc978986-24de-f372-7082-4c6ce8befa5e","width":1197,"height":951,"size":878934,"type":"png","color":"313139","hash":"","external_service":[]}}}]

После этого идёт довольно нудный процесс изучения набора команд нашего вычислительного ядра, комментирование и расшифровка ассемблерного кода.

По адресам таблицы векторов прерываний нашлись сами обработчики прерываний, записи в регистры периферии дали информацию о конфигурации интерфейса связи. Шаг за шагом безымянный ассемблерный код превратился в то, что можно читать.

Извлечение алгоритма работы

Так как мне нужно было разработать новое устройство на другой элементной базе, из кода необходимо было извлечь алгоритм. Некоторое время спустя родился такой псевдокод:

Та же самая обработка принимаемых данных на языке Си

Кому интересен протокол передачи:

Станция управления лифтом общалась с платами кнопок вызовов по полнодуплексному 24-вольтовому интерфейсу. В обычном режиме платы кнопок слушали линию, ожидая 9-битный пакет данных. Если в этом пакете приходил адрес нашей платы (задавался DIP-переключателем на плате), то плата переключалась на 8-битный режим приёма, и все последующие пакеты аппаратно игнорировались остальными платами.
Первым после адреса шёл пакет с кодом команды управления. Конкретно эта плата принимала всего 3 команды:
1. Запись в регистры данных. Например частота и длительность мигания кнопки при вызове;
2. Включение подсветки кнопок;
3. Запрос состояния кнопок (нажаты или нет).
Последним байтом шла контрольная сумма, которая представляет собой простой XOR всех байт после адреса.
После контрольной суммы плата опять переходила в режим ожидания своего адреса.

Разработка новой платы

Для этапа разработки новой электросхемы и печатной платы у меня нет картинок, но всё было примерно так:

Составление электросхемы и разводка платы делались в Altium Designer. Изготовление печатной платы заказывалось в зеленоградском «Резоните».

Написание новой прошивки

Пока наша новая плата на изготовлении, едем на объект, где установлены такие кнопки вызова, и проверяем правильность разобранного протокола передачи с помощью собранного на ардуине сниффера:

[{"title":"\u041a\u0443\u0441\u043e\u043a \u0441\u0445\u0435\u043c\u044b \u043f\u0435\u0440\u0435\u0434\u0430\u0442\u0447\u0438\u043a\u0430, \u044d\u043b\u0435\u043a\u0442\u0440\u0438\u0447\u0435\u0441\u043a\u0438 \u044d\u043a\u0432\u0438\u0432\u0430\u043b\u0435\u043d\u0442\u043d\u044b\u0439 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b\u0443. \u041d\u0430 \u043f\u0440\u0438\u0451\u043c\u043d\u0438\u043a\u0435 \u043f\u0440\u043e\u0441\u0442\u043e \u043e\u043f\u0442\u043e\u043f\u0430\u0440\u0430.","image":{"type":"image","data":{"uuid":"b8626b6e-cb5e-6705-01ac-9ce9af581f97","width":1220,"height":576,"size":97945,"type":"png","color":"b3bab6","hash":"","external_service":[]}}},{"title":"\u0413\u043e\u0432\u043d\u043e\u043a\u043e\u0434\u0438\u043c \u0432 ICC AVR \u043d\u0430\u0448 \u0441\u043d\u0438\u0444\u0444\u0435\u0440","image":{"type":"image","data":{"uuid":"47bab454-1073-d045-3652-a40915123859","width":779,"height":705,"size":326612,"type":"png","color":"e1e0de","hash":"","external_service":[]}}}]

Дальше нужно было действовать крайне аккуратно, чтобы не спалить ничего в лифте и не допустить его остановки.

[{"title":"\u041b\u0435\u0437\u0435\u043c \u0432 \u043a\u043d\u043e\u043f\u043a\u0443 \u0432\u044b\u0437\u043e\u0432\u0430. \u0422\u043e\u043b\u0441\u0442\u044b\u0435 \u0436\u0451\u043b\u0442\u044b\u0435 \u043f\u0440\u043e\u0432\u043e\u0434\u0430 - \u043f\u0438\u0442\u0430\u043d\u0438\u0435 \u043f\u043b\u0430\u0442\u044b \u0438 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438. \u0411\u0435\u043b\u044b\u0435 \u043d\u0430 4-\u043f\u0438\u043d\u043e\u0432\u043e\u043c \u0440\u0430\u0437\u044a\u0451\u043c\u0435 - \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 \u043a\u043d\u043e\u043f\u043a\u0438 \u0438 \u0435\u0451 \u043f\u043e\u0434\u0441\u0432\u0435\u0442\u043a\u0438.","image":{"type":"image","data":{"uuid":"c30704fe-0934-3d5b-0f36-9990c7962507","width":960,"height":1280,"size":218553,"type":"jpg","color":"b1a190","hash":"","external_service":[]}}},{"title":"\u0426\u0435\u043f\u043b\u044f\u0435\u043c \u0441\u043d\u0438\u0444\u0444\u0435\u0440 \u0438 \u043f\u0438\u0448\u0435\u043c \u043b\u043e\u0433 \u0432 \u0444\u0430\u0439\u043b","image":{"type":"image","data":{"uuid":"e5cc9631-4bd0-49f6-d702-528d7210a8fb","width":960,"height":800,"size":2363430,"type":"png","color":"e3ceb8","hash":"","external_service":[]}}}]

Проверяем, что всё работает как надо, исправляем косяки и пишем новую прошивку под наше устройство:

Код на Си для новой платы на основе микроконтроллера AVR ATmega328P

Простоту устройства и прошивки можно оценить по объёму кода, он содержит всего лишь около 600 строк на языке Си.

Процесс сборки выглядел так:

Да, плата другая, но станок тот же

Фотографию готового устройства приложить не могу, просто поверьте, что оно до сих пор производится и продаётся.

Лирическое заключение

По поводу кнопок лифта «вверх» и «вниз» на этаже. Я заметил, что многие люди совершенно не понимают их назначение и жмут обе сразу.

Отсюда

У лифта есть два набора кнопок: в кабине — панель приказов, и на этаже — панель вызова. Уже по названию можно догадаться, что панель приказов имеет более высокий приоритет управления.

Все лифты, имеющие панели вызовов с кнопками «вверх» и «вниз», работают с каким-то из вариантов алгоритма оптимизации поездок, целью которых является перевозка максимального числа пассажиров за минимальное время и отдельное условие максимального времени ожидания на этаже (регулируется госстандартом).

Такой алгоритм обычно предполагает подбор пассажиров на этажах, если они едут в том же направлении, которое указывают нажатием кнопки вызова «вверх» или «вниз».

Представим ситуацию, что лифт с пассажирами едет вниз и по пути получает с этажа ниже вызов «вниз». Лифт остановится для подбора пассажира (да, есть ещё учёт загрузки кабины по весовому датчику, но его мы опустим).

Лифт едет дальше и получает с этажа ниже вызов «вверх». Логично, что лифт не остановится для подбора пассажира, так как не будет менять направление движения (это тоже регулируется стандартом), а подбирать пассажира, чтобы поехать вниз, а затем вверх — бесполезный расход энергии и места в лифте.

Лифт едет дальше и получает с этажа ниже сразу два вызова «вверх и «вниз», которые нажал какой-то нетерпеливый пассажир, которому нужно ехать вверх. Логично, что лифт остановится на этом этаже, но пассажир в него не войдёт, зато потратит время людей в кабине на замедление и остановку лифта, открытие дверей, ожидание, закрытие дверей и разгон до номинальной скорости.

Если у лифта только одна кнопка на этаже, то в 99% случаев он работает по алгоритму «собирательный вниз», и при наличии приказов в кабине останавливается только при движении вниз.

Если у вас есть навыки программирования на JS, то можете попробовать реализовать подобный алгоритм управления в онлайновой игре Elevator Saga. В ней есть все аспекты оптимизации поездок без углубления в хардкор вроде работы цепей безопасности лифта.

Я завёл себе телеграм-канал, где буду выкладывать подобные материалы. Прямо сейчас там можно следить за разработкой очередного устройства.

Отдельное спасибо Роману Персианинову, который помог это всё прилично оформить.