Gateway Q
Ура! Наконец-то я подружил свою приборку и магнитолу с машиной.
Старый и новый довольно похожи 🙂
Что такое Gateway?
Это шлюз CAN (Controller-Area-Network) — шин автомобиля, посредством которого разное оборудование общается между собой. Passat в частности имеет насколько таких шин (отдельно на двигатель, на блоки комфорта и т.д.).
У меня стоял гейт C, я поменял на Q. Грубоговоря новый гейт имеет бОльшую пропускную способность, может передавать больше информации за единицу времени.
Зачем менять? Что это даёт?
В моём случае, когда была установлена приборная панель и магнитола от рестайлового пассата, они не до конца понимали где очутились. Часть информации была недоступна, что-то работало некорректно банально из-за того, что они передавали информацию не так как этого ожидала машина (Чаще передавали пакеты, или пакеты были большего объема; я точно не знаю но факт в том, что они как-бы говорили на разных, пускай и очен похожих языках).
Это выливалось в различного рода проблемы:
1) На руле не было информации про магнитолу, я мог регулировать только громкость, но не менять треки и смотреть информацию.
2) Блок #17 (это приборка) был банально недоступен, я не мог до конца адаптировать приборку под машину
3) Разряд аккумулятора. Магнитола не засыпала, даже когда вынимаешь ключи. На самом деле магнитолой можно пользоваться и без ключей в обычном режиме, но как только вы её отключаете, она полностью засыпает и не просаживает аккум.
Процесс замены
До того как всё начать, нужно запомнить настройки старого блока Gateway. Этот парень должен знать про всё установленное в машине оборудование, иначе обрежете себе комплектацию, в лучшем случае 🙂
Подключаем VAG-COM и запоминаем что у нас стоит. После замены блока, там будет пустота и нужно будет заново выставить имеющееся оборудование. Заметили, что новый гейт поддерживает на много больше всего? Одна из причин его замены! Достаточно снять накладку под рулём и радоваться у кого небольшие руки, гейт спрятался глубоко.
Блок getaway за что отвечает
В данной статье пойдет речь о применении автомобильных гейтвеев на примере Toyota RAV4 4-го поколения. Этот автомобиль выбран неспроста: гейтвей на нем появился в середине жизненного цикла, поэтому можно провести наглядное сравнение до/после в рамках одной модели. Также данный блок оказался сравнительно простым, без экзотических интерфейсов: CAN и только CAN.
Статья поможет ответить на следующие вопросы:
Мешает ли гейтвей прослушивать трафик через разъем OBD2?
Как внедрение гейтвея повлияло на процедуру диагностики?
Как внедрение гейтвея повлияло на загрузку данных, например, обновление калибровок?
Что же такое автомобильный гейтвей?
Гейтвеем в автомобиле называют центральный узел сети, который отвечает за надежный и безопасный обмен данными между функциональными доменами автомобиля:
Протоколы при этом могут быть самыми разными: CAN, LIN, FlexRay, Ethernet и т.д.
К основным возможностям гейтвея относят:
фильтрация трафика (изолирование сетей от уязвимых или избыточных данных, например изоляция диагностического разъема OBD2 от прикладных данных);
маршрутизация прикладных данных (обеспечение обмена «рабочими» данными между блоками автомобиля, например: обороты коленвала, состояние подушек безопасности и т.д.);
маршрутизация диагностических данных (обеспечение надежного соединения между диагностическим оборудованием и диагностируемым блоком);
трансляция протоколов (например, преобразование и передача данных из CAN в LIN и наоборот).
К расширенным возможностям можно отнести:
обнаружение вторжения (например, появление подозрительного трафика на CAN-шине двигателя с целью обхода иммобилайзера);
обновление блоков (например, с помощью OTA, с последующей перезагрузкой и проверкой состояния блока);
хранение сертификатов и ключей автомобиля (например, для безопасной работы телематики).
Гейтвеи становятся умнее с каждым новым поколением автомобилей и выполняют все больше функций, поэтому этот список постоянно растет.
До появления гейтвеев в явном виде, часть их функций по организации работы сети могли брать на себя другие модули, например блок комфорта. Кроме того, даже при наличии гейтвея в автомобиле могут существовать участки сети, недоступные ему напрямую, а, например, только через блок управления двигателем.
Конкретный пример: Toyota
Чтобы перейти от общего к частному, изучим главного героя статьи поближе. Это деталь с партномером 89111-42020, компактная пластиковая коробочка с одним разъемом на 24 пина. Произведем вскрытие, чтобы увидеть, что у нее внутри:
На борту оказались микроконтроллер uPD70F4178 фирмы Renesas и high-speed CAN трансиверы TJA1049 фирмы NXP Semiconductors. Согласно информации из даташита, uPD70F4178 может использовать до 6 CAN шин. И действительно, на плате можно насчитать все 6 трансиверов, что многовато, т.к. RAV4 использует только 4 из них, но позже мы поймем, почему их столько.
Пинов у блока не так много, поэтому на основе электросхем можно быстро восстановить распиновку гейтвея:
Пины CAN с буквенным индексом — терминирующие, там просто резисторы.
Пользуясь распиновкой и остатками проводки, запитываем гейтвей на столе и пробуем поговорить с ним по диагностическому протоколу. Чтобы это сделать, нужно знать два адреса: по какому отправлять запрос и по какому получать ответ. На это ушло некоторое время, т.к. ни один адрес из распространенного диагностического диапазона 0x700 — 0x7FF не подходил, блок продолжал упорно молчать. Все остальные возможные 11-битные адреса тоже не давали результатов. Ну раз это гейтвей, то может быть он использует расширенные 29-битные адреса для диагностики? Можно попробовать перебрать, но и адресов там гораздо больше.
Чтобы не тратить время на перебор, провернем следующий трюк — притворимся автомобилем и пообщаемся через CAN шину с диагностическим ПО Techstream. После нескольких попыток узнаем, что правильный адрес запроса — это 0x750 и 0x5F в нулевом байте, то есть обмен выглядит так:
где 0x758 — это адрес ответа. Один байт полезных данных всегда занят значением 0x5f, снижая полезную нагрузку кадра.
Это любопытный момент, потому что обычно утилиты для обнаружения диагностируемых блоков не предполагают наличие дополнительного байта адресации.
Они работают следующим образом: в пределах выбранного диапазона адресов рассылаются UDS запросы DiagnosticSessionControl (0x10) с переключением в defaultSession (0x01), т.к. это самый базовый и относительно безобидный запрос, и ожидается ответ. Далее предполагаются три варианта развития событий: 1) блок откликнется подтверждением операции (0x50), 2) блок откликнется отказом (0x7f), 3) блок не откликнется совсем. В случаях 1 и 2 адрес отклика может потенциально скрывать за собой искомый блок, ну а в случае 3 адрес инкрементируется и поиски продолжаются.
Наконец-то заполучив адреса, переберем все возможные значения сессий для запроса DiagnosticSessionControl (0x10) и посмотрим на отфильтрованный результат:
где 0x01 — defaultSession, 0x02 — programmingSession; 0x5f попадает в диапазон vehicleManufacturerSpecific, а 0x60 и 0x70 — в диапазон systemSupplierSpecific.
Проделаем тоже самое для сервиса SecurityAccess (0x27):
Обнаружены 3 действующих варианта запроса, каждый из который возвращает seed длиной в 16 байт. Посылка рандомных ключей разной длины дает понять, что длина ключа тоже 16 байт.
Что скрывается за этими сессиями и уровнями доступа — пока неинтересно, но мы ими еще займемся.
Занимательная картография
А как выглядит гейтвей в естественной среде обитания, в автомобиле?
Настоящего, физического RAV4 у нас нет, поэтому окунемся с головой в электросхемы Toyota. Как упоминалось в начале статьи, RAV4 4-го поколения пережил внедрение гейтвея приблизительно в середине своего существования. Этот переход хорошо видно, если сравнить электросхемы для автомобилей выпущенных до и после октября 2015 года.
Примечание: изначальные схемы упрощены для наглядности; изображены все возможные блоки, некоторые из которых не устанавливаются вместе.
Начнем с анализа исходной системы (до октября 2015 года):
На схеме видно, что большинство блоков автомобиля подключены к одной шине, которая ведет к диагностическому разъему DLC3 (Data Link Connector), он же OBD2. Есть несколько изолированных участков сети, например, соединение между блоком управления двигателем (ECM) и трансмиссией. За блоком Main Body ECU спрятана еще одна небольшая сеть, отвечающая за комфорт и камеру заднего вида. Правый блок контроля слепых зон (Blind Spot Monitor Sensor RH) изолирован от основной шины и общается с ней через левый блок контроля слепых зон (Blind Spot Monitor Sensor LH).
Переходим к следующей схеме, уже с гейтвеем (после октября 2015 года):
Теперь сеть разбита на 4 отдельных домена, каждому из которых можно присвоить свое имя, на основании его функций:
диагностический (черного цвета), к которому подключается диагностическое оборудование через разъем OBD2;
основной (синего цвета), внутри которого находятся критически важные блоки управления двигателем, трансмиссией и кузовной электроникой;
ассистентов (желтого цвета), объединяет сенсоры, радары и камеры, которые помогают водителю;
инфотейнмента (красного цвета), содержит в себе навигацию, головное устройство, и модуль телематики.
Поменялась не только общая структура сети, но и количество ее узлов. Был добавлен блок телематики и целая группа блоков помощи водителю, которые устанавливались только при наличии гейтвея, и у этого есть веские причины.
Телематику и головное устройство обычно изолируют, так как они подвержены удаленной атаке, которая потенциально может привести к контролю над некоторыми функциями автомобиля. Пример, ставший уже классическим — взлом Jeep Cherokee в 2015 году.
А вот системе ADAS (Advanced Driver Assistance System) отводят отдельный домен, поскольку ее основные узлы — это камеры и разнообразные датчики, генерирующие большой поток данных, который нужно обрабатывать в реальном времени. Большинству модулей автомобиля этот трафик не нужен и только нагружает сеть, поэтому его можно без проблем вынести «за скобки».
В принципе, на этом можно было бы переходить к следующему этапу, но не помешает вспомнить о двух «лишних» трансиверах, которые были обнаружены в прошлом параграфе. Как оказалось, блок с такой же начинкой можно найти и в других автомобилях производителя.
Например, в Lexus RX 4-го поколения, где модуль гейтвея заведует уже всеми 6-ью шинами. Разнообразной электроники там тоже побольше — люкс, все-таки:
Сегменты сети, по порядку:
диагностический (красного цвета);
двигателя (зеленого цвета);
инфотейнмента (голубого цвета);
рулевого управления, ходовой части и тормозов (синего цвета);
комфорта и кузовной электроники (черного цвета);
ассистентов (бежевого цвета).
При этом за кадром осталась подсеть головного устройства «AVC-LAN», которая имеет отдельную схему в документации Lexus.
Обычно автопроизводители считают каждый цент и выгрызают все опциональные компоненты, но конкретно в этом случае Toyota не экономила и запаивала их даже там, где они не используются. Скорее всего в целях унификации или упрощения технологии производства.
Таблицы фильтрации: дубль первый
Результаты первых экспериментов показали, что модуль относительно несложный и просто выполняет фильтрацию на основе адреса принятого сообщения.
Теперь, когда известна распиновка гейтвея и подключаемые к нему домены, можно приступить к нудному, но любопытному процессу — перебору всех адресов для всех возможных сочетаний доменов. Так мы получим искомые таблицы фильтрации.
Всего имеется 4 домена, которые образуют 12 возможных пар:
Примечание: далее ради компактности обозначения доменов будут применяться сокращения: DIAG — диагностический, MAIN — основной, ASSI — ассистентов, INFO — инфотейнмента.
Для каждой пары нужно перебрать все 2048 (0x800) возможных адресов, это число обусловлено размером 11-битного CAN ID. Для каждого сочетания подключаем два CAN-интерфейса, один из которых будет передавать сообщения, а второй — принимать. Адреса «просеянных» сообщений вынесем в результирующую таблицу.
Первая таблица справедлива для всех сочетаний, в которых есть домен DIAG , то есть для всех случаев, когда к автомобилю подключено диагностическое оборудование через разъем OBD2: ASSI->DIAG , MAIN->DIAG , INFO->DIAG , DIAG->ASSI , DIAG->MAIN , DIAG->INFO .
Пропускаются только определенные сообщения с адресами из диагностического диапазона (0x700 — 0x7FF). Таблица содержит адреса и запросов и ответов, то есть может работать в обе стороны, и одинакова для всех доменов. Гейтвей не мешает диагностическим сообщениям, он для них прозрачен.
Остальные таблицы спрятаны под спойлер, чтобы не перегружать статью.
Дальнейшие таблицы регулируют обмен только собственных модулей автомобиля, без какого либо оборудования, подключенного к разъему OBD2.
Но что интересно, они все равно содержат диагностический диапазон, причем без пробелов. Любой модуль может отправлять в любой домен диагностическое сообщение и беспрепятственно получить ответ.
Выглядит это не очень безопасно. Давайте представим, что хакер смог заполучить контроль над модулем телематики из домена INFO . Поскольку правила фильтрации никак не ограничивают рассылку диагностических запросов из этого домена во все остальные, у потенциального злоумышленника открываются широкие просторы для творчества. Например, он может начать рассылать команды hard reset по всем адресам, погружая электронику автомобиля в хаос.
Таблица для пары MAIN->ASSI :
Таблица для пары INFO->ASSI :
Таблица для пары ASSI->MAIN :
Таблица для пары INFO->MAIN :
Таблица для пары ASSI->INFO :
Таблица для пары MAIN->INFO :
Пока все выглядит очень гладко, если бы не один момент: отсутствие адресов 0x001 и 0x002 при работе с диагностической шиной (самая первая таблица параграфа).
Дело в том, что для заливки калибровочных данных Toyota использует свой очень специфичный протокол, подробно описанный в популярной работе Adventures in Automotive Networks and Control Units.
Краткая выдержка протокола из этой работы
Адреса 0x001 и 0x002 должны быть указаны в правилах фильтрации, иначе было бы невозможно калибровать автомобили через диагностический разъем, например, во время отзывных кампаний.
Но где же они в таблицах?
Погружение в CUW
Чтобы разобраться с этим вопросом, вернемся к обнаруженным ранее сессиям и уровням доступа, вполне вероятно, что среди них кроется ответ. Сами по себе номера этих сервисов ничего не говорят, поэтому пришло время расковырять утилиту для калибровки CUW в поисках подробной информации.
CUW (Calibration Update Wizard) — это отдельная программа, входящая в состав диагностического комплекса Techstream от Toyota. Ее основная задача — это загрузка калибровочных данных в блоки автомобиля через диагностический интерфейс Toyota или другой J2534-совместимый интерфейс. Размер исполняемого файла программы всего несколько мегабайт и беглый просмотр показывает наличие большого количества текстовых символов и отладочных строк.
Открываем дизассемблер Ghidra и скармливаем ей CUW.
После пристального поиска находим некую сущность CCentralGWModeChanger в состав которой входят функции CollateSeedKey() и ChangeMode() , которые вызывают особый интерес. Давайте посмотрим, что у них внутри:
Хорошо видно, как буфер подготавливается к отправке, сначала в него загружаются идентификаторы сервиса — 0x27 для запроса seed и 0x10 для смены сессии, а далее мы видим уже знакомые байты 0x02/0x60 и 0x4f/0x51 соответственно. Выбор между этими байтами происходит по определенному условию.
Дальнейший поиск привел к двум функциям-оберткам ChangeToReprogMode() и ChangeToReprogGWMode() , которые и контролируют это условие, передавая флаг в качестве аргумента в CollateSeedKey() и ChangeMode() :
Блок комфорта в Пассат Б5
Автор: Александр Хряк 18.05.2020 Время прочтения: 4 минут 22 482 просмотров комментария 4
Многие люди покупают иномарки с блоком комфорта . Это специальный агрегат, имеющий похожие логические схемы и обеспечивающий набор опций при определенных действиях собственника: включает свет в авто, отвечает за двери, правильную работу подъемника стекла и так далее. Блок комфорта Фольксвагена Б5 состоит из грамотно созданной схемы, с защитой от скачков напряжения, переполюсовки и импульсных помех.
Где находится блок комфорта на Пассат б5
Итак, где находится блок комфорта пассат б5, и как его найти:
Если коротко, то вначале надо снять накладку по левому борту (там, где ручка открывания капота), после этого убрать подставку для левой ноги, затем потребуется потянуть вверх накладку порога (она на защелках), и в конце необходимо отогнуть ковер в районе ног и там будет проводка (скрутки) и сам блок! Расположение у него не самое лучшее, но найти можно.
Функционал
Стандартный список функций блока комфорта vw passat b5:
- освещение автосалона;
- удаленное открывание и закрывание замка;
- подъемники стекла;
- сигнализация;
- противоугонного типа системы;
- регулирование зеркал;
- подогрев заднего станка;
- активация световой техники при включении или отключении охранного режима.
Важно! Водитель Фольксвагена может перекодировать параметры под удобное для себя меню.
Электрическая схема и распиновка блока комфорта
Распиновка Пассат Б5:
23-х контакты.
23/1. Звуковое оповещение открытия водительской двери, выход.
23/2. Кнопка открытия багажного отделения E188, вход.
23/3. Не эксплуатируется, выход.
23/4. Открытие задней дверцы от Е165 (лишь универсал), вход.
23/5. Редко используется, вход.
23/6. Автошина CAN-L.
23/7. Концевой выключатель багажного отделения F5, вход.
23/8. Система управления люком на J245, выход.
23/9. Автошина CAN-H.
23/10. Концевой выключатель багажного отделения, вход.
23/11. К-лайн, диагностические манипуляции.
23/12. Управление люком на J245, выход.
23/13. Открытие багажного отделения личинкой в багажнике F218, (лишь седан), вход.
23/14. Не применяется, вход.
23/15. Сигнализатор скорости от устройства V-Signal, вход.
23/16. Сигнал активации подогрева зеркал от регулятора расположения зеркал E231, вход.
23/17. Звуковое оповещение наличия ключа, клемма 86s, вход.
23/18. Система управления актуатором замка багажного отделения V53, выход.
23/19. Не эксплуатируется, вход.
23/20. Питание на лампочки, выход.
23/21. Земля на арматуру освещения, выход.
23/22. Клеммная колодка 30 через предохранительную систему S14, вход.
23/23. Клеммная колодка 31, масса.
15 Разъем для контактов.
15/1. Клеммная колодка 31, масса (разрыв — выключение основной сигнализации).
15/2. Средства измерения объема G273 и G274, вход.
15/3. Шина LIN на автономного типа сирену H12.
15/4. Не эксплуатируется.
15/5. Вход концевого выключателя капота F120, вход.
15/6. Не применяется.
15/7. Клеммная колодка 31, масса.
15/8. Блокирование стандартной сигнализации на реле J433, выход.
15/9. Выключающее устройство внутренних средств измерений объема E267, вход.
15/10. Антенна радиоприемника, вход.
15/11. Сирена автосигнализации H8, выход.
15/12. Клеммная колодка 30 на питание сирены H8 через, вход.
15/13. Клемма 30 на питание сигналов поворота, вход.
15/14. Поворотник слева, выход.
15/15. Поворотник справа, выход.
Распиновка вполне понятная. «Проблемными» проводками в жгуте БК считаются:
23/20 — подсвечивание салона (красно-черный)
23/6 и 23/9 — CAN автошина (оранжево-коричневый)
Как «вылечить» блок комфорта
Если вам достался Фольксваген б5 1998 года с неисправностями, которые связаны именно с блоком комфорта, то есть выход.
Какие проблемы можно решить с помощью инструкции:
- Освещение в автосалоне.
- КАН шина.
- Плавная деактивация освещения и подсветки.
- Подтверждение открытия/закрытия авто светом.
- Проблемы с акселератором.
Описание процедуры ремонта:
Сначала доберитесь до расположения блока комфорта Volkswagen, потом снимите: накладку порога наполовину, накладку площадки для ног, обшивку стойки, отогните ковролин с звукоизоляцией. За освещение здесь отвечает провод красно-чёрного цвета 20 пин большого разъёма, если он обрезан, видимо это сделали из-за короткого замыкания этой цепи, проблема возникла в плафоне освещения «бардачка», рассеиватель расплавила лампа (вывод ставьте светодиоды, а не лампочки).
Если с CAN — шиной что-то не так, возможно, сгнило место соединения (расположения) нескольких проводков в жгуте идущему к БК, ведь они отвечают за нее.
В первом и втором случаях проблема решается высококачественной пайкой, герметизацией пайки и термической усадкой.
В случае плавного отключения освещения в салоне, виновник 21 пин разъёма, наверняка, он сгнил именно в корпусе разъёма на проводке, вылечить можно припайкой нового.
Если появились проблемы с подтверждением открытия и закрытия транспорта, значит сгнил красный проводок в области протыкания изоляции. Сначала нужно вырезать гниль, а потом провести лечение паяльником и термоусадкой и небольшим куском провода.
В случае с педалью газа (если загорается спираль, и нет реакции на нажатие хотя бы один раз) тоже можно решить проблему. Если нет времени на ремонт, может помочь выключение зажигания.
Если вы готовы к «лечению», перелопатьте всё саму педаль, проверьте состояние дорожек, усиков внутри и разъем идущий из салона. Возможно, причина кроется в окислении.
Последовательный процесс замены реле на БК:
- Для начала откройте крышку блока, которая находится сзади, для этого поджимайте контакты, чтобы вытащить плату.
- Прозвоните контакт, и после выявления неисправности, переходите к замене детали.
- Уберите ножиком лак с контактов реле, смотрите не переусердствуйте.
- Обработайте флюсом контакты, и запаяйте все.
- Уберите все олово посредством отсоса.
- Выньте нерабочее реле, установите новое и запаяйте его осторожно.
- Уберите проспиртованной тряпкой остатки флюса, не используйте воду.
- Соберите данный БК в обратной последовательности.
- Установите его в машину.
Важно! Пользователи, пожалуйста, запомните, если блок комфорта был заменен, потребуется «обучить» ключи, чтобы они распознавали автомобиль. Подобную процедуру в основном выполняют с использованием VCDS.
Gateway Q
Ура! Наконец-то я подружил свою приборку и магнитолу с машиной.
Что такое Gateway?
Это шлюз CAN (Controller-Area-Network) — шин автомобиля, посредством которого разное оборудование общается между собой. Passat в частности имеет насколько таких шин (отдельно на двигатель, на блоки комфорта и т.д.).
У меня стоял гейт C, я поменял на Q. Грубоговоря новый гейт имеет бОльшую пропускную способность, может передавать больше информации за единицу времени.
Зачем менять? Что это даёт?
В моём случае, когда была установлена приборная панель и магнитола от рестайлового пассата, они не до конца понимали где очутились. Часть информации была недоступна, что-то работало некорректно банально из-за того, что они передавали информацию не так как этого ожидала машина (Чаще передавали пакеты, или пакеты были большего объема; я точно не знаю но факт в том, что они как-бы говорили на разных, пускай и очен похожих языках).
Это выливалось в различного рода проблемы:
1) На руле не было информации про магнитолу, я мог регулировать только громкость, но не менять треки и смотреть информацию.
2) Блок #17 (это приборка) был банально недоступен, я не мог до конца адаптировать приборку под машину
3) Разряд аккумулятора. Магнитола не засыпала, даже когда вынимаешь ключи. На самом деле магнитолой можно пользоваться и без ключей в обычном режиме, но как только вы её отключаете, она полностью засыпает и не просаживает аккум.
Процесс замены
До того как всё начать, нужно запомнить настройки старого блока Gateway. Этот парень должен знать про всё установленное в машине оборудование, иначе обрежете себе комплектацию, в лучшем случае
Блок getaway за что отвечает
Блок Gateway кодировка
Gateway, он же Блок 19 или Диагностический интерфейс шин данных.
Вася диагност.
Хочу взглянуть на прописанные блоки, и кое чем дооснастить, но увы нету КОДА ДОСТУПА. Подсказка не вылазит. Код 20103 не подходит. Без кода не попасть ни в список оборудования (там пусто), ни в длинное кодирование. Может кто поделится кодом доступа на кайен?
Прикладываю ссылку на драйв, все скриншоты менюшек есть, к которым нужен доступ https://www.drive2.ru/l/543934450648482193/
Piwis
Gateway ->
Кодирование ->
Общие кодировки (на этой страничке ничего нет больше) ->
Непонятные 10-15 цифр без букв (слева в окне написано "VIN", справа можно откорректировать эти цифры, эти цифры никак не соответствуют вину)
Блок getaway за что отвечает
agafon, Да. Подойдёт.
Я себе потом с буквой Q поставил и VCDS 10.6 настроил и закодировал.
GATEWAY
Есть такой вопрос : поставил себе магнитолу RSD-210, gateway стоит 1K0 907 530 C
вопрос: будет ли разряжаться акумулятор?
если да то какой gateway нужно поставить? где преобрести? и скока стоит?
Замена Gateway на 7N0.
Привет всем..
Может кто знает, могу ли я заменить свой гетевей (1K0 709 530 E) на 7N0 709 530 AFZ. Проблема состоит как и у многих в том, что не показывает на экране парктроник, батарея держится примерно дня два, ну и некоторые проблемы с радио. В инете я вычетал что надо сменить Gateway и желательно на 1K0 709 530 Q и прописать. у меня Touran 2005 HigLine c PDC(парксенсоры только с зади), радио ZENEC NC2011D(старое стояло RNS MFD2). Был в сервисе, мне сказали что 1K0 709 530 Q уже не актуален и снят с производства, но есть возможность заказать 7N0 709 530 AFZ и этот модуль взаимозаменяем(так стояло у них в "ETKA"). Купить проблем нет, но неохота деньги выкидывать на ветер, потому-что здать обратно я не смогу из за того что не подходит. Да и вообще кто знает какие возможности у него есть(какие функции примерно) и возможно ли его адаптировать перекодировать.
У меня есть шнур VAG 11.11 rev.B HEX-CAN-USB Daul-K(китайский) и прога к нему VCDS 11.11.3 en. Подскажите смогу ли я прописать этим шнуром "7N0 709 530 AFZ", стоит заморачиваться или всё-таки нужно искать этот "1K0 709 530 Q"
Gateway Q
Ура! Наконец-то я подружил свою приборку и магнитолу с машиной.
Старый и новый довольно похожи
Что такое Gateway?
Это шлюз CAN (Controller-Area-Network) — шин автомобиля, посредством которого разное оборудование общается между собой. Passat в частности имеет насколько таких шин (отдельно на двигатель, на блоки комфорта и т.д.).
У меня стоял гейт C, я поменял на Q. Грубоговоря новый гейт имеет бОльшую пропускную способность, может передавать больше информации за единицу времени.
Зачем менять? Что это даёт?
В моём случае, когда была установлена приборная панель и магнитола от рестайлового пассата, они не до конца понимали где очутились. Часть информации была недоступна, что-то работало некорректно банально из-за того, что они передавали информацию не так как этого ожидала машина (Чаще передавали пакеты, или пакеты были большего объема; я точно не знаю но факт в том, что они как-бы говорили на разных, пускай и очен похожих языках).
Это выливалось в различного рода проблемы:
1) На руле не было информации про магнитолу, я мог регулировать только громкость, но не менять треки и смотреть информацию.
2) Блок #17 (это приборка) был банально недоступен, я не мог до конца адаптировать приборку под машину
3) Разряд аккумулятора. Магнитола не засыпала, даже когда вынимаешь ключи. На самом деле магнитолой можно пользоваться и без ключей в обычном режиме, но как только вы её отключаете, она полностью засыпает и не просаживает аккум.
Процесс замены
До того как всё начать, нужно запомнить настройки старого блока Gateway. Этот парень должен знать про всё установленное в машине оборудование, иначе обрежете себе комплектацию, в лучшем случае
Подключаем VAG-COM и запоминаем что у нас стоит. После замены блока, там будет пустота и нужно будет заново выставить имеющееся оборудование. Заметили, что новый гейт поддерживает на много больше всего? Одна из причин его замены! Достаточно снять накладку под рулём и радоваться у кого небольшие руки, гейт спрятался глубоко.
gateway в автомобиле что это
В процессе эксплуатации, когда появилось желание дооснащать автомобиль полезными штатными опциями, выяснилось, что на автомобиле установлен блок Gateway 7N0 907 530 AK без шины CAN-ext, что делало невозможным установку некоторых, очень полезных опций.
Так как автомобиль не мой, а отцу трудновато объяснять необходимость дооснащения, пришлось изискивать собственные денежные резервы для покупки нового Gateway 7N0 907 530 AN c расширенной CAN, ведь желание есть)) Так я и сделал, перед новым годом, заказывая зеркало для своей Фабии, я у этого же продавца на Allegro заказал и Gateway.
С завода был установлен такой, у него аппаратная часть новее, чем у купленного, но это не критично.
Перед заменой нужно сохранить список установленных блоков и кодировку самого блока Gateway.
Для замены нужно открутить воздуховод в ноги водителя, прикручен 15 Torx. Иначе его трудно увидеть, да и руки нужны будут «супергинекологические».
Затем открывается такая картина:
Сам гейтвей держится на таких фиксаторах — усиках, которые для снятия сжимаются, как на фото:
После снятия, групповое фото:
После установки нужно сообщить «новому» Gateway, какое оборудование установлено. У меня не получилось сразу после замены войти в блок не включая зажигания, поэтому пришлось его включить и схлопотать кучу ошибок. Для того, чтобы перекодировать и отметить нужные блоки в Gateway нужно зайти в (19) блок и в «Списке оборудования» отметить галочками блоки из ранее сохраненного файла, если блок не новый, то там будут отмечены ненужные блоки, которые нужно отключить, а потом в длинном кодировании поменять кодировку, на ту же, что и в сохранном файле.
И вот казалось бы все, но тут возникла одна непредвиденная ситуация, а именно, блок №61 — управление АКБ, хоть и был отключен в списке Gateway, всё равно был в списке установленного оборудования и по нему висела ошибка.
Для ее устранения нужно зайти в сам блок №61, это не очевидно, но в него можно зайти.
Затем в длинном кодировании в нулевом байте снять галочки с LIN — генератор установлено и LIN — АКБ установлено. После этого, блока в списке установленного оборудования, как и не бывало.
Вот такой сюрприз.
Спасибо Александру, который сталкивался с такой же проблемой.
Распиновка Gateway, переходник-разветвитель. CAN-шина, виды, назначения.
Устанавливаю различное дополнительное штатное оборудование в Пассат, которое работает посредством CAN шин. Как многие знают, блок Gateway в Пассате расположен крайне не удобно, и найти там штатные скрутки шин, чтобы подключиться к ним без резания проводки — это не реально.
Можно сделать конечно переходник на каждой новой шине (как на картинке), но это тоже не удобно, т.к. всё равно нужно лезть и распиновывать каждый раз разъём Гейтвея.
У китайцев был подсмотрен полноценный переходник-разветвитель для Гейтвея, цена его там около 18$.
Сделал такой сам.
Закупился разными CAN шинами, разёмами и пинами. Вот их номера:
Разъёмы 3pin
Tyco 1-968700-1 B / VAG 1K0 973 333
Tyco 1355620-1 / VAG 1C0 973 119 B
Пины
Tyco 928999-1 / VAG N 907 647 01
Tyco 928918-1
Разъёмы 20pin
Tyco 1534095-1 / VAG 8E0 972 420
и ответная часть (номер не известен)
Теперь для подключения новой шины достаточно просто вставить разъём в разветвитель.
Сделал схемку распиновки блока Gateway общую для Passat CC 1-го и 2-го поколений (B6/B7) (на основе схем из Elsa).
Ниже расписал — какие блоки по каким шинам работают.
Распиновка Gateway, разъём T20e.
1 питание «+», коммутационный блок, T40/24, предохранитель SB15 5А (красн/бел 0.5мм2)
2 шина LIN (син/фиол 0.35мм2)
3 разделительное реле шины CAN-привод, T9c/4 (жёлт 0.5мм2) (до 11.2010)
4 блок ELV, T10k/8 (крас/зел 0.5мм2) (до 11.2010)
11 питание «-«, масса (корич 0.5мм2)
12 шина LIN (чёрн/корич)
14 питание «+», блок предохранителей С, предохранитель SC7 5А (чёрн/фиол 0.5мм2)
5 CAN-Low шина CAN-комфорт (оранж/корич)
15 CAN-High шина CAN-комфорт (оранж/зел)
6 CAN-Low шина CAN-привод (оранж/корич)
16 CAN-High шина CAN-привод (оранж/чёрн)
7 CAN-Low шина CAN-расширенная (сер/красн) (с 11.2010)
17 CAN-High шина CAN-расширенная (сер/бел) (с 11.2010)
8 CAN-Low шина CAN-комбинация приборов (корич)
18 CAN-High шина CAN-комбинация приборов (жёлт)
9 CAN-Low шина CAN-диагностика (оранж/корич)
19 CAN-High шина CAN-диагностика (оранж/чёрн)
10 CAN-Low шина CAN-информационно-командная (оранж/корич)
20 CAN-High шина CAN-информационно-командная (оранж/фиол)
Расширенную КАН шину (CAN-Extended) я сделал оранж/серая и оранж/корич.
Список блоков на шинах CAN и LIN Passat CC (B6/B7). В данном списке только блоки связанные непосредственно через Gateway.
CAN-комфорт (CAN-Komfort)
J136 — Блок управления для регулировки положения сидения и рулевой колонки с функцией памяти
J255 — Блок управления Climatronic (только для а/м с Climatronic)
J301 — Блок управления климатической установки (Climatic) (только для а/м с климатической установкой)
J345 — Блок управления распознавания прицепа
J386 — Блок управления двери водителя
J387 — Блок управления двери переднего пассажира
J393 — Центральный блок управления систем комфорта
J519 — Блок управления бортовой сети
J527 — Блок управления рулевой колонки
J605 — Блок управления крышки/двери багажного отсека (Variant)
J608 — Блок управления для спецавтомобилей
J810 — Блок управления регулировки сиденья водителя (для а/м с электроприводом регулировки сидений и функцией памяти)
CAN-привод (CAN-Drivetrain, CAN-Antrieb)
J104 — Блок управления ABS
J217 — Блок управления АКПП
J743 — Блок Mechatronik КП DSG
J234 — Блок управления подушек безопасности
J250 — Блок управления системы электронного регулирования демпфирования
J788 — Разделительное реле шины CAN привод (до 11.2010)
J428 — Блок управления адаптивного круиз-контроля (через разделительное реле) (до 11.2010)
J431 — Блок управления корректора фар (до 11.2010)
J745 — Бдок управления системы адаптивного освещения и корректора фар (AFS) (до 11.2010)
J446 — Блок управления парковочного ассистента
J791 — Блок управления парковочного автопилота
J492 — Блок управления полного привода
J500 — Блок управления усилителя рулевого управления
J527 — Блок управления рулевой колонки
J623 — Блок управления двигателя
J844 — Блок управления ассистента управления дальним светом (B7)
Y7 — Электрохромное внутреннее зеркало (только дя а/м с ассистентом управления дальним светом) (B7)
CAN-расширенная (CAN-Extended) (с 11.2010)
J428 — Блок управления адаптивного круиз-контроля
R242 — Передняя камера вспомогательных систем водителя
J502 — Блок управления контроля давления в шинах (за задним бампером)
J745 — Блок управления системы адаптивного освещения и корректора фар (AFS) (за вещевым ящиком)
J431 — Блок управления корректора фар
CAN-комбинация приборов (CAN-Instrument cluster, CAN-Kombi)
J285 — Блок управления комбинации приборов
K — Комбинация приборов
CAN-диагностика
U31 — Диагностический разъём
CAN-информационно-командная (CAN-Infotainment)
R12 — Усилитель (под сиденьем водителя)
R78 — ТВ-тюнер
R184 — Усилитель цифровой аудиосистемы (с 11.2010)
R190 — Цифровой спутниковый радиотюнер (до 05.2009)
J503 — Блок управления с дисплеем радионавигационной системы
R — Головное устройство (Магнитола)
R212 — Камера системы ночного видения (с 11.2010)
R215 — Интерфейс для внешних мультимедийных устройств (MEDIA-IN)
J364 — Блок управления дополнительного жидкостного отопителя
J412 — Блок управления электроники управления мобильного телефона
J738 — Блок управления панели управления телефона
R36 — Приёмно-передающее устройство телефона
E508 — Панель управления для подключения мобильного телефона
J772 — Блок управления камеры заднего вида
G197 — Датчик магнитного поля для компаса
Шины LIN
T20e/2 LIN син/фиол
Y — Аналоговые часы (с 11.2010)
J394 — Блок управления шторки люка (B7)
J245 — Блок управления сдвижного люка (B7)
J878 — Блок управления подъёмного люка (CC)
T20e/12 LIN чёрн/корич (только для а/м с системой Старт-стоп)
J367 — Блок управления для контроля аккумуляторной батареи
CX1 — Генератор с регулятором напряжения (с 11.2010)
C — Генератор / C1 — Регулятор напряжения (до 11.2010)
Если есть дополнения или замечания — пишите.
Замена Gateway на 3C0 907 530H
К замене гейтвея меня сподвигло желание заменить штатную магнитолу RCD300 без mp3 и без возможности подключить AUX на новую RCD330 Plus производства Desay. В Пассатах B6 первых годов выпуска (примерно до 2008) обычно стоят блоки 3C0907530 с буквами A или C на конце, они однозначно идут под замену, поскольку при подключении новых магнитол приводят к глубокому разряду аккумуляторной батареи в короткие сроки.
Наверное, как и у многих, у меня изначально возник вопрос по поводу поддержки гейтов с различных моделей VW. Приведу цитату с одного из форумов, на которую я и ориентировался в дальнейшем:
«Что касается блока Gateway, то чтобы не было проблемы разряда аккумулятора, то нужен блок не ниже версии 1k0 907 530L (это примерно 2008 модельный год).
1K0 — начиная с «L», также «K» с версией софта 0178
3C0 — начиная с «E», также «B» и «C» с версией софта 0048
7N0 — любой».
В дальнейшем выяснилось, что:
1. Прошить свой блок с буквой C до необходимой версии софта не удастся (по крайней мере, доказательств работоспособности и способов прошивки блока мне найти не удалось, да и портить свой блок, не имея запасного, не хотелось).
2. Блоки, номера которых начинаются на 7N0, ставятся на Пассат B7. При установке таких блоков на B6 возникают проблемы взаимодействия с другими блоками. Как я понял, данный вариант будет интересен тем, кто захочет поставить приборку от B7, возможно, ещё какие-то функции, и при этом готов менять сразу и некоторые другие блоки. Но это уже совсем другая история.
3. С принадлежностью блоков 1K0 к определённой модели до конца не разобрался, скорее всего это блоки от Golf или Jetta. По аналогии с 7N0 решил не рисковать.
4. А вот блоки 3C0 предназначены как раз для Passat B6. Правда, некоторые пишут, что не все блоки с буквой E подходят для замены магнитолы, а только начиная с определённой даты (апрель-май 2008). Если кто-то может подтвердить или опровергнуть данное утверждение, пожалуйста, напишите в комментариях.
В большинстве случаев предлагается менять гейты на новые 3C0 с буквой L или Q (самый последний и функциональный на данный момент). Однако найти их не так просто в связи с их популярностью. В абсолютном большинстве в объявлениях встречаются как раз старые блоки 3C0907530C. У одного из продавцов были в наличии L и Q по 100 BYN, однако мне посчастливилось найти блок 3C0 907 530H за вдвое меньшую цену. Беру!
Далее выключаем зажигание (клемму с аккумулятора можно не снимать). Снимаем защиту и воздушный патрубок под ногами у водителя. Гейт держится с помощью трёх пластиковых защёлок на металлическом кронштейне справа возле отопителя. Снимаем старый гейт и ставим новый. Подключаем Васю, открываем Блок 19 и выставляем галочки напротив тех пунктов, которые были отмечены ранее, попутно снимая с лишних. Сохраняем, выходим.
Если гейт снимался при подключённом аккумуляторе, появятся несколько ошибок, связанных с временным отсутствием связи между блоками. Удаляем их и проверяем, не появились ли новые.
У меня появились — перестали работать лампа заднего хода и задний ПТФ. Причём ошибка «Лампа правого противотуманного фонаря», но у меня-то только левый.
Ещё раз проверил ошибки, проблем с лампами больше нет. Новых ошибок также не появилось, так что можно сделать заключение, что блок полностью рабочий.
Gateway Q
Ура! Наконец-то я подружил свою приборку и магнитолу с машиной.
Что такое Gateway?
Это шлюз CAN (Controller-Area-Network) — шин автомобиля, посредством которого разное оборудование общается между собой. Passat в частности имеет насколько таких шин (отдельно на двигатель, на блоки комфорта и т.д.).
У меня стоял гейт C, я поменял на Q. Грубоговоря новый гейт имеет бОльшую пропускную способность, может передавать больше информации за единицу времени.
Зачем менять? Что это даёт?
В моём случае, когда была установлена приборная панель и магнитола от рестайлового пассата, они не до конца понимали где очутились. Часть информации была недоступна, что-то работало некорректно банально из-за того, что они передавали информацию не так как этого ожидала машина (Чаще передавали пакеты, или пакеты были большего объема; я точно не знаю но факт в том, что они как-бы говорили на разных, пускай и очен похожих языках).
Это выливалось в различного рода проблемы:
1) На руле не было информации про магнитолу, я мог регулировать только громкость, но не менять треки и смотреть информацию.
2) Блок #17 (это приборка) был банально недоступен, я не мог до конца адаптировать приборку под машину
3) Разряд аккумулятора. Магнитола не засыпала, даже когда вынимаешь ключи. На самом деле магнитолой можно пользоваться и без ключей в обычном режиме, но как только вы её отключаете, она полностью засыпает и не просаживает аккум.
До того как всё начать, нужно запомнить настройки старого блока Gateway. Этот парень должен знать про всё установленное в машине оборудование, иначе обрежете себе комплектацию, в лучшем случае
Еще раз о диагностике CAN-шины
В предыдущей статье мы поговорили о проблемах в шине передачи данных CAN, возникших в результате износа аккумуляторной батареи и просадки питающего напряжения при запуске ниже порога работоспособности шины. Сегодня продолжим разговор о CAN-шине, но немного в другом ключе: прежде всего вспомним принцип ее работы, а затем рассмотрим один из случаев топологии шины и разберем осциллограмму дефекта.
Эта шина используется чаще всего как средство обмена данными в системах, для которых критично быстродействие и время принятия решения. Таковыми являются, например, система управления движением, объединяющая между собой блоки управления двигателем, автоматической трансмиссией, антиблокировочной системой тормозов, усилителем руля и т.п.
Конструктивно шина представляет собой неэкранированную витую пару. Провода шины называются CAN High и CAN Low.
Шина может находиться в двух состояниях:
Рассмотрим форму сигнала шины, чтобы обосновать ее помехоустойчивость:
На рисунке показаны доминантный и рецессивный уровни шины, а также воздействие на шину электромагнитной помехи. Особенностью обработки сигналов шины является то, что в расчет берется не сам уровень сигнала, а разница уровней между проводами CAN High и CAN Low. При рецессивном уровне эта разница близка к нулю, при доминантном уровне она максимальна.
В витой паре провода располагаются очень близко друг к другу. Если возникает внешняя электромагнитная помеха X, то она является синфазной и наводит одинаковый всплеск напряжения в обоих проводах шины. В итоге на обоих проводах появляется наведенный помехой импульс, но разница потенциалов между проводами при этом не меняется. Это позволяет эффективно подавлять внешние помехи, что является большим преимуществом CAN-шины.
На самом деле витая пара – давно известный способ борьбы с помехами. В медицине, например, в кардиостимуляторах, где требуется высочайшая помехоустойчивость, она применяется очень широко.
Сигнал шины поступает в блок управления на дифференциальный усилитель и обрабатывается. Иллюстрация поясняет процесс обработки:
Большинство автопроизводителей придерживаются скорости передачи 500 кБд, соответственно, продолжительность одного бита при этом составит 2 мкс.
Поговорим о топологии CAN-шины. Физически у шины нет начала и нет конца, шина – это просто единая сеть. Чаще всего встречаются два типа топологии: линейная топология и топология «пассивная звезда», а также их сочетания.
На современных автомобилях шина CAN очень разветвленная. Чтобы не перегружать линию большим количеством передаваемых данных, шина может состоять из нескольких ветвей, объединенных межсетевым шлюзом, иначе называемым Gateway. В итоге сеть представляет собой несколько ответвлений, в том числе и на диагностический разъем, использующих разную скорость и протоколы обмена.
Поэтому топология шины – вопрос для диагноста очень актуальный и, к сожалению, довольно сложный. Из тех электрических схем, которыми располагает диагност, не всегда можно понять топологию. Но в документации некоторых автопроизводителей приводится полная и подробная информация, в этом случае задача сильно упрощается.
Не зная тонкостей организации шины, найти в ней неисправность бывает достаточно сложно. Например, при наличии окисления контактов в разъеме пропадает связь с целым рядом блоков управления. Наличие под рукой топологии шины позволяет легко находить подобные проблемы, а отсутствие приводит к большой потере времени.
Ну что ж, мы немного освежили в памяти теорию шины, теперь самое время перейти к практике.
Нам повезло – Nissan относится к тому узкому кругу производителей, которые дают диагностам качественную и полноценную информацию. В том числе есть в документации и подробная топология бортовой шины обмена данными. Открываем, смотрим:
Следует сказать, что приведенная блок-схема достаточно общая. В документации имеется гораздо более подробная электрическая схема со всеми проводами и номерами контактов в блоках, но сейчас она нам пока что ни к чему, нам важно понять общую топологию.
Итак, первое, что нужно увидеть, это то, что вся сеть разделена на три большие ветви, обведенные пунктиром:
Первые две цепи связаны между собой посредством CAN gateway (найдите его на иллюстрации). Цепь шасси связана с цепью CAN 2 через блок управления шасси, который также играет роль своеобразного Gateway.
А теперь вновь обратимся к сканеру и посмотрим, какие из блоков управления не выходят на связь. Дилерский сканер предоставляет нам очень удобную функцию: на экран выводятся блоки каждой из цепей по отдельности, а цветом отображается возможность (зеленый) либо невозможность (красный) установить с ними связь. Вот блоки цепи CAN 1 :
Давайте обмерим ее с помощью линеек.
Просто идеальное соответствие теории и практики. Конечно, полосы пропускания нашего прибора явно недостаточно для корректного отображения сигнала, слишком уж широк его спектр. Однако, если закрыть на это глаза, то вполне можно оценить качество сигнала и сделать необходимые выводы.
Для наглядности масштаб осциллограмм на обеих иллюстрациях один и тот же.
То, что вы видите на этой осциллограмме, называется «мусор». Часто диагносты так и говорят: блок мусорит в шину. Вот только как найти блок, который это делает? Методика здесь очень проста и сводится она к поочередному отключению блоков и повторному наблюдению за сигналом шины.
Где именно находится тот или иной блок на автомобиле, в документации, как правило, показано. Например, на этом «финике» блоки расположены так:
Но в нашем случае все проще. Кстати, маленький лайфхак, возьмите на заметку. В автомобилях Nissan и Infiniti чаще всего причиной наличия мусора в CAN-шине является блок ABS. Сняв разъем с блока, сразу получаем нормальный обмен и связь сканера со всеми блоками ветви CAN 2 :
Обратите внимание на то, что связь в цепи CAN 2 есть со всеми блоками, кроме блока ABS, ведь он отключен.
Завершая разговор, хотелось бы обратить ваше внимание еще на один важный нюанс. Частота следования импульсов по CAN-шине составляет 500 кГц. Поэтому при получении осциллограммы необходимо задействовать максимально возможную частоту дискретизации мотортестера, на какую только он способен.
Если частоту дискретизации вы зададите низкую, то импульсы на осциллограмме будут сильно искажены. В качестве примера посмотрите, как выглядит осциллограмма сигнала CAN-шины при специально сниженной частоте дискретизации прибора:
Блок getaway за что отвечает
В данной статье пойдет речь о применении автомобильных гейтвеев на примере Toyota RAV4 4-го поколения. Этот автомобиль выбран неспроста: гейтвей на нем появился в середине жизненного цикла, поэтому можно провести наглядное сравнение до/после в рамках одной модели. Также данный блок оказался сравнительно простым, без экзотических интерфейсов: CAN и только CAN.
Статья поможет ответить на следующие вопросы:
Мешает ли гейтвей прослушивать трафик через разъем OBD2?
Как внедрение гейтвея повлияло на процедуру диагностики?
Как внедрение гейтвея повлияло на загрузку данных, например, обновление калибровок?
Что же такое автомобильный гейтвей?
Гейтвеем в автомобиле называют центральный узел сети, который отвечает за надежный и безопасный обмен данными между функциональными доменами автомобиля:
Протоколы при этом могут быть самыми разными: CAN, LIN, FlexRay, Ethernet и т.д.
К основным возможностям гейтвея относят:
фильтрация трафика (изолирование сетей от уязвимых или избыточных данных, например изоляция диагностического разъема OBD2 от прикладных данных);
маршрутизация прикладных данных (обеспечение обмена «рабочими» данными между блоками автомобиля, например: обороты коленвала, состояние подушек безопасности и т.д.);
маршрутизация диагностических данных (обеспечение надежного соединения между диагностическим оборудованием и диагностируемым блоком);
трансляция протоколов (например, преобразование и передача данных из CAN в LIN и наоборот).
К расширенным возможностям можно отнести:
обнаружение вторжения (например, появление подозрительного трафика на CAN-шине двигателя с целью обхода иммобилайзера);
обновление блоков (например, с помощью OTA, с последующей перезагрузкой и проверкой состояния блока);
хранение сертификатов и ключей автомобиля (например, для безопасной работы телематики).
Гейтвеи становятся умнее с каждым новым поколением автомобилей и выполняют все больше функций, поэтому этот список постоянно растет.
До появления гейтвеев в явном виде, часть их функций по организации работы сети могли брать на себя другие модули, например блок комфорта. Кроме того, даже при наличии гейтвея в автомобиле могут существовать участки сети, недоступные ему напрямую, а, например, только через блок управления двигателем.
Конкретный пример: Toyota
Чтобы перейти от общего к частному, изучим главного героя статьи поближе. Это деталь с партномером 89111-42020, компактная пластиковая коробочка с одним разъемом на 24 пина. Произведем вскрытие, чтобы увидеть, что у нее внутри:
На борту оказались микроконтроллер uPD70F4178 фирмы Renesas и high-speed CAN трансиверы TJA1049 фирмы NXP Semiconductors. Согласно информации из даташита, uPD70F4178 может использовать до 6 CAN шин. И действительно, на плате можно насчитать все 6 трансиверов, что многовато, т.к. RAV4 использует только 4 из них, но позже мы поймем, почему их столько.
Пинов у блока не так много, поэтому на основе электросхем можно быстро восстановить распиновку гейтвея:
Пины CAN с буквенным индексом — терминирующие, там просто резисторы.
Пользуясь распиновкой и остатками проводки, запитываем гейтвей на столе и пробуем поговорить с ним по диагностическому протоколу. Чтобы это сделать, нужно знать два адреса: по какому отправлять запрос и по какому получать ответ. На это ушло некоторое время, т.к. ни один адрес из распространенного диагностического диапазона 0x700 — 0x7FF не подходил, блок продолжал упорно молчать. Все остальные возможные 11-битные адреса тоже не давали результатов. Ну раз это гейтвей, то может быть он использует расширенные 29-битные адреса для диагностики? Можно попробовать перебрать, но и адресов там гораздо больше.
Чтобы не тратить время на перебор, провернем следующий трюк — притворимся автомобилем и пообщаемся через CAN шину с диагностическим ПО Techstream. После нескольких попыток узнаем, что правильный адрес запроса — это 0x750 и 0x5F в нулевом байте, то есть обмен выглядит так:
где 0x758 — это адрес ответа. Один байт полезных данных всегда занят значением 0x5f, снижая полезную нагрузку кадра.
Это любопытный момент, потому что обычно утилиты для обнаружения диагностируемых блоков не предполагают наличие дополнительного байта адресации.
Они работают следующим образом: в пределах выбранного диапазона адресов рассылаются UDS запросы DiagnosticSessionControl (0x10) с переключением в defaultSession (0x01), т.к. это самый базовый и относительно безобидный запрос, и ожидается ответ. Далее предполагаются три варианта развития событий: 1) блок откликнется подтверждением операции (0x50), 2) блок откликнется отказом (0x7f), 3) блок не откликнется совсем. В случаях 1 и 2 адрес отклика может потенциально скрывать за собой искомый блок, ну а в случае 3 адрес инкрементируется и поиски продолжаются.
Наконец-то заполучив адреса, переберем все возможные значения сессий для запроса DiagnosticSessionControl (0x10) и посмотрим на отфильтрованный результат:
где 0x01 — defaultSession, 0x02 — programmingSession; 0x5f попадает в диапазон vehicleManufacturerSpecific, а 0x60 и 0x70 — в диапазон systemSupplierSpecific.
Проделаем тоже самое для сервиса SecurityAccess (0x27):
Обнаружены 3 действующих варианта запроса, каждый из который возвращает seed длиной в 16 байт. Посылка рандомных ключей разной длины дает понять, что длина ключа тоже 16 байт.
Что скрывается за этими сессиями и уровнями доступа — пока неинтересно, но мы ими еще займемся.
Занимательная картография
А как выглядит гейтвей в естественной среде обитания, в автомобиле?
Настоящего, физического RAV4 у нас нет, поэтому окунемся с головой в электросхемы Toyota. Как упоминалось в начале статьи, RAV4 4-го поколения пережил внедрение гейтвея приблизительно в середине своего существования. Этот переход хорошо видно, если сравнить электросхемы для автомобилей выпущенных до и после октября 2015 года.
Примечание: изначальные схемы упрощены для наглядности; изображены все возможные блоки, некоторые из которых не устанавливаются вместе.
Начнем с анализа исходной системы (до октября 2015 года):
На схеме видно, что большинство блоков автомобиля подключены к одной шине, которая ведет к диагностическому разъему DLC3 (Data Link Connector), он же OBD2. Есть несколько изолированных участков сети, например, соединение между блоком управления двигателем (ECM) и трансмиссией. За блоком Main Body ECU спрятана еще одна небольшая сеть, отвечающая за комфорт и камеру заднего вида. Правый блок контроля слепых зон (Blind Spot Monitor Sensor RH) изолирован от основной шины и общается с ней через левый блок контроля слепых зон (Blind Spot Monitor Sensor LH).
Переходим к следующей схеме, уже с гейтвеем (после октября 2015 года):
Теперь сеть разбита на 4 отдельных домена, каждому из которых можно присвоить свое имя, на основании его функций:
диагностический (черного цвета), к которому подключается диагностическое оборудование через разъем OBD2;
основной (синего цвета), внутри которого находятся критически важные блоки управления двигателем, трансмиссией и кузовной электроникой;
ассистентов (желтого цвета), объединяет сенсоры, радары и камеры, которые помогают водителю;
инфотейнмента (красного цвета), содержит в себе навигацию, головное устройство, и модуль телематики.
Поменялась не только общая структура сети, но и количество ее узлов. Был добавлен блок телематики и целая группа блоков помощи водителю, которые устанавливались только при наличии гейтвея, и у этого есть веские причины.
Телематику и головное устройство обычно изолируют, так как они подвержены удаленной атаке, которая потенциально может привести к контролю над некоторыми функциями автомобиля. Пример, ставший уже классическим — взлом Jeep Cherokee в 2015 году.
А вот системе ADAS (Advanced Driver Assistance System) отводят отдельный домен, поскольку ее основные узлы — это камеры и разнообразные датчики, генерирующие большой поток данных, который нужно обрабатывать в реальном времени. Большинству модулей автомобиля этот трафик не нужен и только нагружает сеть, поэтому его можно без проблем вынести «за скобки».
В принципе, на этом можно было бы переходить к следующему этапу, но не помешает вспомнить о двух «лишних» трансиверах, которые были обнаружены в прошлом параграфе. Как оказалось, блок с такой же начинкой можно найти и в других автомобилях производителя.
Например, в Lexus RX 4-го поколения, где модуль гейтвея заведует уже всеми 6-ью шинами. Разнообразной электроники там тоже побольше — люкс, все-таки:
Сегменты сети, по порядку:
диагностический (красного цвета);
двигателя (зеленого цвета);
инфотейнмента (голубого цвета);
рулевого управления, ходовой части и тормозов (синего цвета);
комфорта и кузовной электроники (черного цвета);
ассистентов (бежевого цвета).
При этом за кадром осталась подсеть головного устройства «AVC-LAN», которая имеет отдельную схему в документации Lexus.
Обычно автопроизводители считают каждый цент и выгрызают все опциональные компоненты, но конкретно в этом случае Toyota не экономила и запаивала их даже там, где они не используются. Скорее всего в целях унификации или упрощения технологии производства.
Таблицы фильтрации: дубль первый
Результаты первых экспериментов показали, что модуль относительно несложный и просто выполняет фильтрацию на основе адреса принятого сообщения.
Теперь, когда известна распиновка гейтвея и подключаемые к нему домены, можно приступить к нудному, но любопытному процессу — перебору всех адресов для всех возможных сочетаний доменов. Так мы получим искомые таблицы фильтрации.
Всего имеется 4 домена, которые образуют 12 возможных пар:
Примечание: далее ради компактности обозначения доменов будут применяться сокращения: DIAG — диагностический, MAIN — основной, ASSI — ассистентов, INFO — инфотейнмента.
Для каждой пары нужно перебрать все 2048 (0x800) возможных адресов, это число обусловлено размером 11-битного CAN ID. Для каждого сочетания подключаем два CAN-интерфейса, один из которых будет передавать сообщения, а второй — принимать. Адреса «просеянных» сообщений вынесем в результирующую таблицу.
Первая таблица справедлива для всех сочетаний, в которых есть домен DIAG , то есть для всех случаев, когда к автомобилю подключено диагностическое оборудование через разъем OBD2: ASSI->DIAG , MAIN->DIAG , INFO->DIAG , DIAG->ASSI , DIAG->MAIN , DIAG->INFO .
Пропускаются только определенные сообщения с адресами из диагностического диапазона (0x700 — 0x7FF). Таблица содержит адреса и запросов и ответов, то есть может работать в обе стороны, и одинакова для всех доменов. Гейтвей не мешает диагностическим сообщениям, он для них прозрачен.
Остальные таблицы спрятаны под спойлер, чтобы не перегружать статью.
Дальнейшие таблицы регулируют обмен только собственных модулей автомобиля, без какого либо оборудования, подключенного к разъему OBD2.
Но что интересно, они все равно содержат диагностический диапазон, причем без пробелов. Любой модуль может отправлять в любой домен диагностическое сообщение и беспрепятственно получить ответ.
Выглядит это не очень безопасно. Давайте представим, что хакер смог заполучить контроль над модулем телематики из домена INFO . Поскольку правила фильтрации никак не ограничивают рассылку диагностических запросов из этого домена во все остальные, у потенциального злоумышленника открываются широкие просторы для творчества. Например, он может начать рассылать команды hard reset по всем адресам, погружая электронику автомобиля в хаос.
Таблица для пары MAIN->ASSI :
Таблица для пары INFO->ASSI :
Таблица для пары ASSI->MAIN :
Таблица для пары INFO->MAIN :
Таблица для пары ASSI->INFO :
Таблица для пары MAIN->INFO :
Пока все выглядит очень гладко, если бы не один момент: отсутствие адресов 0x001 и 0x002 при работе с диагностической шиной (самая первая таблица параграфа).
Дело в том, что для заливки калибровочных данных Toyota использует свой очень специфичный протокол, подробно описанный в популярной работе Adventures in Automotive Networks and Control Units.
Краткая выдержка протокола из этой работы
Адреса 0x001 и 0x002 должны быть указаны в правилах фильтрации, иначе было бы невозможно калибровать автомобили через диагностический разъем, например, во время отзывных кампаний.
Но где же они в таблицах?
Погружение в CUW
Чтобы разобраться с этим вопросом, вернемся к обнаруженным ранее сессиям и уровням доступа, вполне вероятно, что среди них кроется ответ. Сами по себе номера этих сервисов ничего не говорят, поэтому пришло время расковырять утилиту для калибровки CUW в поисках подробной информации.
CUW (Calibration Update Wizard) — это отдельная программа, входящая в состав диагностического комплекса Techstream от Toyota. Ее основная задача — это загрузка калибровочных данных в блоки автомобиля через диагностический интерфейс Toyota или другой J2534-совместимый интерфейс. Размер исполняемого файла программы всего несколько мегабайт и беглый просмотр показывает наличие большого количества текстовых символов и отладочных строк.
Открываем дизассемблер Ghidra и скармливаем ей CUW.
После пристального поиска находим некую сущность CCentralGWModeChanger в состав которой входят функции CollateSeedKey() и ChangeMode() , которые вызывают особый интерес. Давайте посмотрим, что у них внутри:
Хорошо видно, как буфер подготавливается к отправке, сначала в него загружаются идентификаторы сервиса — 0x27 для запроса seed и 0x10 для смены сессии, а далее мы видим уже знакомые байты 0x02/0x60 и 0x4f/0x51 соответственно. Выбор между этими байтами происходит по определенному условию.
Дальнейший поиск привел к двум функциям-оберткам ChangeToReprogMode() и ChangeToReprogGWMode() , которые и контролируют это условие, передавая флаг в качестве аргумента в CollateSeedKey() и ChangeMode() :
Блок комфорта в Пассат Б5
Автор: Александр Хряк 18.05.2020 Время прочтения: 4 минут 22 482 просмотров комментария 4
Многие люди покупают иномарки с блоком комфорта . Это специальный агрегат, имеющий похожие логические схемы и обеспечивающий набор опций при определенных действиях собственника: включает свет в авто, отвечает за двери, правильную работу подъемника стекла и так далее. Блок комфорта Фольксвагена Б5 состоит из грамотно созданной схемы, с защитой от скачков напряжения, переполюсовки и импульсных помех.
Где находится блок комфорта на Пассат б5
Итак, где находится блок комфорта пассат б5, и как его найти:
Если коротко, то вначале надо снять накладку по левому борту (там, где ручка открывания капота), после этого убрать подставку для левой ноги, затем потребуется потянуть вверх накладку порога (она на защелках), и в конце необходимо отогнуть ковер в районе ног и там будет проводка (скрутки) и сам блок! Расположение у него не самое лучшее, но найти можно.
Функционал
Стандартный список функций блока комфорта vw passat b5:
- освещение автосалона;
- удаленное открывание и закрывание замка;
- подъемники стекла;
- сигнализация;
- противоугонного типа системы;
- регулирование зеркал;
- подогрев заднего станка;
- активация световой техники при включении или отключении охранного режима.
Важно! Водитель Фольксвагена может перекодировать параметры под удобное для себя меню.
Электрическая схема и распиновка блока комфорта
Распиновка Пассат Б5:
23-х контакты.
23/1. Звуковое оповещение открытия водительской двери, выход.
23/2. Кнопка открытия багажного отделения E188, вход.
23/3. Не эксплуатируется, выход.
23/4. Открытие задней дверцы от Е165 (лишь универсал), вход.
23/5. Редко используется, вход.
23/6. Автошина CAN-L.
23/7. Концевой выключатель багажного отделения F5, вход.
23/8. Система управления люком на J245, выход.
23/9. Автошина CAN-H.
23/10. Концевой выключатель багажного отделения, вход.
23/11. К-лайн, диагностические манипуляции.
23/12. Управление люком на J245, выход.
23/13. Открытие багажного отделения личинкой в багажнике F218, (лишь седан), вход.
23/14. Не применяется, вход.
23/15. Сигнализатор скорости от устройства V-Signal, вход.
23/16. Сигнал активации подогрева зеркал от регулятора расположения зеркал E231, вход.
23/17. Звуковое оповещение наличия ключа, клемма 86s, вход.
23/18. Система управления актуатором замка багажного отделения V53, выход.
23/19. Не эксплуатируется, вход.
23/20. Питание на лампочки, выход.
23/21. Земля на арматуру освещения, выход.
23/22. Клеммная колодка 30 через предохранительную систему S14, вход.
23/23. Клеммная колодка 31, масса.
15 Разъем для контактов.
15/1. Клеммная колодка 31, масса (разрыв — выключение основной сигнализации).
15/2. Средства измерения объема G273 и G274, вход.
15/3. Шина LIN на автономного типа сирену H12.
15/4. Не эксплуатируется.
15/5. Вход концевого выключателя капота F120, вход.
15/6. Не применяется.
15/7. Клеммная колодка 31, масса.
15/8. Блокирование стандартной сигнализации на реле J433, выход.
15/9. Выключающее устройство внутренних средств измерений объема E267, вход.
15/10. Антенна радиоприемника, вход.
15/11. Сирена автосигнализации H8, выход.
15/12. Клеммная колодка 30 на питание сирены H8 через, вход.
15/13. Клемма 30 на питание сигналов поворота, вход.
15/14. Поворотник слева, выход.
15/15. Поворотник справа, выход.
Распиновка вполне понятная. «Проблемными» проводками в жгуте БК считаются:
23/20 — подсвечивание салона (красно-черный)
23/6 и 23/9 — CAN автошина (оранжево-коричневый)
Как «вылечить» блок комфорта
Если вам достался Фольксваген б5 1998 года с неисправностями, которые связаны именно с блоком комфорта, то есть выход.
Какие проблемы можно решить с помощью инструкции:
- Освещение в автосалоне.
- КАН шина.
- Плавная деактивация освещения и подсветки.
- Подтверждение открытия/закрытия авто светом.
- Проблемы с акселератором.
Описание процедуры ремонта:
Сначала доберитесь до расположения блока комфорта Volkswagen, потом снимите: накладку порога наполовину, накладку площадки для ног, обшивку стойки, отогните ковролин с звукоизоляцией. За освещение здесь отвечает провод красно-чёрного цвета 20 пин большого разъёма, если он обрезан, видимо это сделали из-за короткого замыкания этой цепи, проблема возникла в плафоне освещения «бардачка», рассеиватель расплавила лампа (вывод ставьте светодиоды, а не лампочки).
Если с CAN — шиной что-то не так, возможно, сгнило место соединения (расположения) нескольких проводков в жгуте идущему к БК, ведь они отвечают за нее.
В первом и втором случаях проблема решается высококачественной пайкой, герметизацией пайки и термической усадкой.
В случае плавного отключения освещения в салоне, виновник 21 пин разъёма, наверняка, он сгнил именно в корпусе разъёма на проводке, вылечить можно припайкой нового.
Если появились проблемы с подтверждением открытия и закрытия транспорта, значит сгнил красный проводок в области протыкания изоляции. Сначала нужно вырезать гниль, а потом провести лечение паяльником и термоусадкой и небольшим куском провода.
В случае с педалью газа (если загорается спираль, и нет реакции на нажатие хотя бы один раз) тоже можно решить проблему. Если нет времени на ремонт, может помочь выключение зажигания.
Если вы готовы к «лечению», перелопатьте всё саму педаль, проверьте состояние дорожек, усиков внутри и разъем идущий из салона. Возможно, причина кроется в окислении.
Последовательный процесс замены реле на БК:
- Для начала откройте крышку блока, которая находится сзади, для этого поджимайте контакты, чтобы вытащить плату.
- Прозвоните контакт, и после выявления неисправности, переходите к замене детали.
- Уберите ножиком лак с контактов реле, смотрите не переусердствуйте.
- Обработайте флюсом контакты, и запаяйте все.
- Уберите все олово посредством отсоса.
- Выньте нерабочее реле, установите новое и запаяйте его осторожно.
- Уберите проспиртованной тряпкой остатки флюса, не используйте воду.
- Соберите данный БК в обратной последовательности.
- Установите его в машину.
Важно! Пользователи, пожалуйста, запомните, если блок комфорта был заменен, потребуется «обучить» ключи, чтобы они распознавали автомобиль. Подобную процедуру в основном выполняют с использованием VCDS.
Gateway Q
Ура! Наконец-то я подружил свою приборку и магнитолу с машиной.
Что такое Gateway?
Это шлюз CAN (Controller-Area-Network) — шин автомобиля, посредством которого разное оборудование общается между собой. Passat в частности имеет насколько таких шин (отдельно на двигатель, на блоки комфорта и т.д.).
У меня стоял гейт C, я поменял на Q. Грубоговоря новый гейт имеет бОльшую пропускную способность, может передавать больше информации за единицу времени.
Зачем менять? Что это даёт?
В моём случае, когда была установлена приборная панель и магнитола от рестайлового пассата, они не до конца понимали где очутились. Часть информации была недоступна, что-то работало некорректно банально из-за того, что они передавали информацию не так как этого ожидала машина (Чаще передавали пакеты, или пакеты были большего объема; я точно не знаю но факт в том, что они как-бы говорили на разных, пускай и очен похожих языках).
Это выливалось в различного рода проблемы:
1) На руле не было информации про магнитолу, я мог регулировать только громкость, но не менять треки и смотреть информацию.
2) Блок #17 (это приборка) был банально недоступен, я не мог до конца адаптировать приборку под машину
3) Разряд аккумулятора. Магнитола не засыпала, даже когда вынимаешь ключи. На самом деле магнитолой можно пользоваться и без ключей в обычном режиме, но как только вы её отключаете, она полностью засыпает и не просаживает аккум.
Процесс замены
До того как всё начать, нужно запомнить настройки старого блока Gateway. Этот парень должен знать про всё установленное в машине оборудование, иначе обрежете себе комплектацию, в лучшем случае