Исследование протокола системы контроля давления воздуха в шинах автомобиля (TPMS)
Система дистанционного контроля давления воздуха в шинах автомобиля (англ. аббревиатура TPMS — Tyre Pressure Monitoring System) предназначена для оперативного информирования пользователя о снижении давления в шинах и о критической температуре шин. Датчики имеют внутреннее или внешнее исполнение. Внутренние устанавливаются внутрь покрышки бескамерного колеса, внешние навинчиваются на штуцер колеса. Колесо с внутренним датчиком на внешний вид совершенно идентично колесу без датчика. Такое колесо просто накачивать. Внешний датчик заметен, его можно украсть и при накачивании колеса его надо предварительно открутить. Также он подвергается влиянию атмосферных явлений.
Исследовать протокол работы системы TPMS меня побудила идея установить такую систему на детскую коляску для оперативного слежения за давлением в шинах.
Рис. 1. Внешний вид системы TPMS
Рис. 2. Плата контроллера системы TPMS
Просто так установить штатный приемный блок не было возможности, так как минимальное допустимое значение давления у него 1.1 Bar, а в детской коляске меньше. Поэтому модуль постоянно пищит, информируя о низком давлении в шинах. Почитать про разработку контроллера для «Умной» детской коляски «Максимка», в которой как раз и применены результаты исследования, можно в моей статье [1].
Сбор информации о работе TPMS начал с поиска статей в Интернет. Но, к сожалению, информации мало. Да и она касается обычно штатных систем автомобилей, которые немного сложнее и много дороже. А мне надо было информацию о простой китайской дешевой системе. Какое-то минимальное понимание у меня сложилось, теперь надо было приступить к экспериментам.
Итак, вооружаемся USB-свистком DVB-тюнера, запускаем RTL-SDR и смотрим эфир. Датчики работают на частоте 433.92 МГц в модуляции FSK. Изначально я записывал эфир и потом вручную разбирал протокол. Тут начались сложности. Ранее сталкивался только с OOK-модуляцией. Там все просто. Здесь немного сложнее. Информация кодируется двумя частотами. Поэтому изучал примеры, теорию по модуляциям. Потом увидел как применяют программу URH-Universal Radio Hacker [2, 3]. Пробовал поставить, но на мою WinXP 32bit она не идет. Пришлось искать компьютер с win8 64bit и тогда программа установилась. Подробнее о ее работе можно почитать на сайте разработчика. URH-мне в чем-то облегчила процесс, т.к. она производит захват сигнала с эфира, отображает его осциллограммой и сразу декодирует в сырой цифровой вид как в двоичном, так и в hex-виде.
Рис. 3. Screenshot программы с захваченным кадром посылки TPMS
Датчик шлет несколько посылок друг за другом за один сеанс. Период между сеансами может достигать минуты или даже более. Если случается тревожная ситуация, то датчик немедленно начинает слать пакеты данных. Звуковой файл посылки от датчика [8]. Пример одной посылки от датчика взятый из программы URH: 010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101010101011001100110100110101001011001011010011010100110101001100101010101011010010101010101010110101001011001101010010101100101101001010101011001011001100110101001
В шестнадцатиричном виде эта посылка примет вид: 5555555555555555555555555555555555555555555555555555555555555555555556669a965a6a6a6555a5555a966a565a556599a9
Видно было что все 4 посылки за одну сессию имели одни и те же данные, а значит пакет принялся верно и можно приступать к его анализу.
На примере выше видно преамбулу (последовательность 01010101….), потом идут данные. Почитав Интернет, понимаем, что перед нами посылка, закодированная кодировкой Манчестер (G.E. Thomas). Каждый бит кодируется двумя битами 01 или 10. Я изначально кодировал вручную, тем самым, закрепляя теорию кодирования/декодирования. Но потом решил обратиться к онлайн декодировщику [4,5,6] что очень ускорило процесс.
Итак, декодировав исходную посылку от датчика кодом Манчестер, получим000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000010101101110010011011101110100000011000000001110010111000100110000010010101110
Первые 136 нулей это преамбула, ее можно отбросить. Нас интересуют только данные.
Переведя их в шестнадцатиричный вид, получим: 0×15B937740C03971304AE
Это уже есть красивые исходные данные, в которых где-то кроется идентификатор, давление в шинах и температура.
Для дальнейшего исследования необходимо набрать статистику данных. Для этого я накрутил один датчик к колесу и захватывал эфир, параллельно записывая что показывает оригинальное табло системы. Спускал давление, накачивал, клал колесо в морозилку для отрицательной температуры, нагревал. Потом добивался тех же условий для другого датчика, чтобы выяснить байты температуры и давления.
Вся посылка занимает 10 байт. Если выстроить полученные декодированные данные в столбец, то видно постоянные данные и изменяющиеся.15B937740C03971304AE
15B937740C03A1FC00A4
15B937740C03A700087B
На датчиках на корпусе имеется наклейки. На каждом датчике разные: 0A, 1B, 2C, 3D.
Стереотипность мышления тут сыграло не на пользу. Я подумал что это и есть ID-датчика. Засомневался, почему ID занимает всего 1 байт, но потом забыл про это и пытался в потоке искать эти идентификаторы. Потом в меню оригинального приемника системы увидел что к этому приемнику можно привязывать другие датчики, а сам приемник показывает идентификатор датчика на каждом колесе. И, о чудо, обнаружил что датчик четвертого колеса имеет ID=3774. 15B937740C03971304AE
Значит 3-й и 4-й байты посылки это идентификатор колеса. Сравнил с другими датчиками и также идентификаторы совпали с теми что отображает штатная панель.
1-й байт я посчитал за префикс начала данных, а 2-й байт как идентификатор подсистемы TPMS.
Ниже привел для сравнения посылки от разных датчиков15B9F3FA2300BE1B007B
Датчик 0A ID=0xF3FA15B91AA43201B71B002A
Датчик 1B ID=0×1AA415B9ABFF32027B1B029B
Датчик 2C ID=0xABFF15B937740C03971304AE
Датчик 3D ID=0×3774
И понял что надписи на датчиках (0A, 1B, 2C, 3D) это всего лишь нумерация колес в цифровом виде и в буквенном, а не шестнадцатиричный идентификатор колеса. Но, тем не менее, 6-й байт в посылке очень сходится с порядковым номером датчика. Для себя сделал вывод что это идентификатор колеса. А значит, еще один байт декодирован.
Последний байт, скорее всего, контрольная сумма, которую пока не знаю как считать. Это для меня оставалось загадкой до последнего.
Следующий декодированный байт это температура колеса. Тут повезло. Температура занимает 1 байт и представлена в целых градусах. Отрицательная температура в дополнительном коде. Значит в байт уместится температура -127…128 градусов Цельсия.
В нашей посылке температура это 8-й байт15B9F3FA2300BE1B007B
0×1B соответствует +27 градусам15B937740C03A1FC00A4
0xFC соответствует -4 градусам
Осталось три нераспознанных байта 5-й, 7-й, 9-й. Судя по динамике изменения давление в шинах скрывается в 7 байта, а в 9-ом байте, скорее всего, статусные биты датчика. По разным источникам информации в Интернет, а также по функционалу моей системы TPMS там должен быть бит разряженной батареи, бит быстрой потери давления и еще пару бит, которые не ясно для чего.
Итак, будем анализировать 7-й байт, т.к. подразумеваем, что давление прячется в нем.
Набрав статистику по разным датчикам с разным давлением, я не смог четко определить формулу, пересчитывающую давление. Да и не ясно в каких единицах по умолчанию датчик передает давление (Bar, PSI). В итоге таблица, построенная в Excel, не давала точное соответствие со штатным табло TPMS. Можно было бы пренебречь этой разницей в 0.1 Bar, но хотелось понятия протокола до последнего бита. Азарт брал верх.
Если не получается понять как формируется байт давления, то надо сделать эмулятор датчика давления и, меняя значение давления, смотреть что отображает штатная панель.
Оставалось выяснить назначение 5-го и 9-го байтов пакета, но они редко меняются, поэтому можно принять их значения как в оригинальном пакете, меняя только байт давления. Теперь вопрос только в расчете контрольной суммы. Без нее штатная панель проигнорирует мой пакет и ничего не покажет.
Для эмуляции датчика надо было передать пакет. Для этого у меня имелся трансивер SI4432 подключенный к PIC16F88, когда-то использовавшийся для других целей.
Рис. 4. Фото тестовой платы
Воспользовавшись старыми наработками по передаче данных, я набросал программу для PIC, которая передает один из пакетов, принятых мною программой URH. Спустя некоторое время после включения передатчика панель отобразила данные что передал в нее! Но это готовый пакет с готовой CRC, а чтобы мне менять байт давления, надо и CRC пересчитывать.
Начал читать, искать информацию о том какие CRC используются, пробовал разные Xor, And и прочее, но ничего не получалось. Уже думал, что ничего не получится и придется довольствоваться давлением, которое получил по своей таблице, но немного не сходящееся с оригинальным табло. Но вот на просторах Интернет увидел статью про подбор CRC. Там была программа, которой даешь несколько пакетов, а она пытается подобрать контрольную сумму и, в случае успеха, выдает величину полинома и значение инициализации CRC. [7]
Задаем программе несколько пакетов:
reveng -w 8 -s 15B9ABFF3202AA1B0017 15B9ABFF3202AA1B0249 15B9F3FA2300D01A00D8 15B937740C037B130089 15B937740C03BD18025E 15B9ABFF32028F150834
Программа выдает:
width=8 poly=0×2f init=0×43 refin=false refout=false xorout=0×00 check=0×0c residue=0×00 name=(none)
Написал программу расчета CRC с учетом этих данных и прогнал по пакетам, что получил ранее — все сошлось!
// Считаю CRC для этого
crc=0x43; // Начальное значение для корректного расчета
for(j=0;j<9;j++)
{
crc ^= tmp[j];
for(i=0;i<8;i++)
crc=crc&0x80 ? (crc<<1)^0x2F : crc<<1; // Полином 0x2F для расчета корректной CRC
}
Руки чесались передать в эфир данные по давлению. Дополнив тестовую программу расчетом CRC, я передал первый пакет. Штатная панель приняла сигнал и отобразила давление и температуру. Небольшая проблема была в том, что штатная панель имела один разряд после запятой и, передавая значение в эфир, на экране отображалась всегда одно и тоже давление, т.к. остальные разряды были не видимы. Передавал значение байта 0…255. Но снова как-то не ясно. Оказалось, что давление 0.00 Bar начинается когда 7-й байт содержит значение 97. Не ясно почему так. Но зато далее с дискретностью 0,01 Bar все четко.
Байт P Давление, Bar
255 1,58
254 1,57
… …
107 0,10
106 0,09
105 0,08
104 0,07
103 0,06
102 0,05
101 0,04
100 0,03
99 0,02
98 0,01
97 0,00
Судя по таблице, максимальное давление, которое умещается в одном байте всего 1,58 Bar, но система позволяет замерять давление до 4 Атм. Значит где-то еще прячется 1 бит старшего разряда. Перебирать все байты и менять в них биты не было желания. Было найдено колесо от автомобиля, на него накручен датчик, произведен захват сигнала. Любопытство брало верх, я в уме делал ставки на то, в каком месте появится этот бит. И что это будет именно один бит, а не какая-то другая схема кодировки.
Декодировав пакет, я увидел этот бит. Он является 7-м битом 6-го байта. А значит, 6-й байт содержит не только номер колеса, но и старший бит давления в шинах.15B937740C833C18025C
Старший бит от 0×83 и 0×3C дают 0×13C = 219 что соответствует давлению 2,19 Bar
Формула для пересчета давления в Bar: P=(ADC-97)/100,
Где ADC = (B7>>7)*0×100+B6, где B6 и B7 это значение байта 6 и байта 7.
При значении 511 имеем максимальное давление 4,14 Bar. Также не ясно было почему планка в 4,14 Bar, но догадываюсь что это равно 4 Атм — максимального допустимого давления для датчика.
Осталось понять, за что отвечают статусные биты. Путем стравливания давления, подключения датчика к регулируемому блоку питания и, снижая напряжение, были получены биты. Остались не выясненными 2 бита. Может, есть и еще, но они не разу не принимали значение единицы за все время экспериментов.
Для упрощения анализа была написана программа [8]
Рис. 5. Внешний вид интерфейса программы для исследования пакетов TPMS
В программу можно задать сырой пакет из программы URH в шестнадцатиричном виде и программа декодирует пакет, считает контрольную сумму и отображает данные в нормальных единицах температуры и давления.
Как-то полез снова в меню штатной панели и увидел что идентификатор датчика это не два байта, а четыре. Панель имеет большой и маленький индикаторы и я сразу не обратил внимание на то что 2-й и 5-й байты тоже входят в идентификатор датчика.15B937740C833C18025C
Тем самым нераспознанным остается только 1-й байт, но он всегда 0×15 (0b010101), а это похоже на некую преамбулу пакета или идентификатора его начала.
Также не распознаны точно биты статуса, но тех, что есть хватает.
Любопытство узнать что внутри датчика брало верх и я разобрал один из них (рис. 6)
Рис. 6. Датчик системы TPMS
В основе лежит микросхема Infineon SP372 с небольшой обвязкой. Поиск документации именно этой микросхемы ничего не дал. Те, что нашел либо обзорные, либо рекламные. Так что выяснить про протокол не удалось. Но в статьях упоминается про то, что это программируемый контроллер, поэтому программа может быть любой. Поэтому не рискнул купить микросхему отдельно.
Протокол
Теперь о приеме данных от датчика на трансивер SI4432. Изначально планировалось принимать сырые данные от SI4432, чтобы контроллер декодировал Манчестер и собирал байты. Но у данного трансивера есть функция обработки пакета. То есть для передачи можно настроить передатчик на нужную частоту, модуляцию, девиацию, задать длину преамбулу, кодировку, синхрослово, скорость потока, длину данных. Потом записать в буфер передатчика исходный пакет данных (например наш 15B937740C833C18025C) и запустить передачу. Трансивер сам сформирует пакет и выдаст его в эфир, соблюдая все заданные параметры, а контроллер в это время свободен для обработки другой информации.
В идеале хотелось получить от SI4432 пакетную обработку данных при приеме. Чтобы приемник принял пакет и сформировал прерывание о том, что пакет принят. Тогда контроллер просто читает буфер приема, в котором хранятся уже данные в чистом виде, тем самым освобождается процессорное время на другие функции.
Начал изучать настройку регистров для работы трансивера на прием. Это оказалось гораздо труднее, чем передать пакет. Тут надо хорошо знать теорию радиоприема, которой у меня нет. Для этого трансивера имеются таблицы расчета регистров в Excel, но они либо не работают из-за того, что Excel русский, либо урезанные. Также есть приложение от разработчика, но там тоже все не особо прозрачно. Перебрав много примеров и просмотрев расчетные таблицы, вручную считал значения регистров по документации.
Подключил на выход приемника логгер и захватывал эфир, смотря на то, что выдает приемник. В итоге удалось настроить фильтры приемника чтобы он пропустил мой пакет. Манипулировал со скоростью потока, бил в бубен. Теория, к сожалению, мне все же не ясна.
Для того чтобы приемник смог принять пакет данных, ему надо указать длину преамбулы, синхрослово, которое обязательно должно присутствовать, а также длину данных. Также можно чтобы приемник сам считал контрольную сумму, но в SI4432 алгоритм расчета не соответствует алгоритму CRC датчиков давления.
Обязательное присутствие синхрослова из двух байт могло омрачить идею приема пакета, но тут повезло, что посылка от датчика начинается на 0×15B9 (15B937740C833C18025C) и одинакова для всех датчиков. А значит, для синхрослова было задано 0×15B9. Длина пакета данных составляет 8 байт, анализ контрольной суммы отключен. Выставляем генерацию прерывания при приеме пакета и запускаем процедуру приема.
Когда приемник примет преамбулу, синхрослово 0×15B9 и 8 байт данных, то он выдаст прерывание основному контроллеру, который просто считает из буфера приемника 8 байт данных. Далее основной контроллер рассчитает контрольную сумму, сравнит ее и декодирует принятые данные. К счастью, все получилось, как было задумано!
Рис. 7. Фото штатного индикатора TPMS и дисплея «умной» коляски
Далее приведу пример инициализации трансивера SI4432 на прием
WriteSI4432(0x06, 0x05); // interrupt all disable
WriteSI4432(0x07, 0x01); // to ready mode
WriteSI4432(0x09, 0x7f); // cap = 12.5pf
WriteSI4432(0x0A, 0x06); // uC CLK: 1 MHz
WriteSI4432(0x73, 0x00); // no frequency offset
WriteSI4432(0x74, 0x00); // no frequency offset
WriteSI4432(0x75, 0x53); // 430-440MHz range
WriteSI4432(0x76, 0x62); // 0x621A-433.924 кГц
WriteSI4432(0x77, 0x1A); // младшая часть
WriteSI4432(0x79, 0x00); // no frequency hopping
WriteSI4432(0x7a, 0x00); // no frequency hopping
// Настройка регистров приемника для скорости 9090/2
WriteSI4432(0x1C, 0x81); // 01 IF Filter Bandwidth регистр
WriteSI4432(0x1D, 0x44); // 44 AFC Loop Gearshift Override регистр
WriteSI4432(0x1E, 0x0A); // 0A AFC Timing Control
WriteSI4432(0x1F, 0x05); // 00 Clock Recovery Gearshift Override
WriteSI4432(0x20, 0x28); // 64 Clock Recovery Oversampling Ratio регистр
WriteSI4432(0x21, 0xA0); // 01 Clock Recovery Offset 2 регистр
WriteSI4432(0x22, 0x18); // 47 Clock Recovery Offset 1 регистр
WriteSI4432(0x23, 0xD2); // AE Clock Recovery Offset 0 регистр
WriteSI4432(0x24, 0x08); // 12 Clock Recovery Timing Loop Gain 1 регистр
WriteSI4432(0x25, 0x19); // 8F Clock Recovery Timing Loop Gain 0 регистр
WriteSI4432(0x2A, 0x00); // 00 AFC Limiter регистр
WriteSI4432(0x69, 0x60); // 60 AGC Override 1
WriteSI4432(0x70, 0x26); // Кодирование Manchester, данные в инверсии
WriteSI4432(0x71, 0x22); // Модуляция FSK, FIFO
WriteSI4432(0x72, 31); // Девиация 31*625=19375 Гц (можно пробовать убрать в режиме приема)
WriteSI4432(0x34,10); // 10 - длина преамбулы в 4-битных ниблах
WriteSI4432(0x35,0x1A); // preambula threshold
WriteSI4432(0x36,0x15); // Синхрослово 3 равно 0x15
WriteSI4432(0x37,0xB9); // Синхрослово 2 равно 0xB9
WriteSI4432(0x27,0x2C); // RSSI
// Настройки заголовков
WriteSI4432(0x33, 0x0A); // fixpklen=1, Synchronization Word 3 and 2
WriteSI4432(0x32, 0x00); // Отключаю фильтрацию заголовков
WriteSI4432(0x30, 0x80); // Skip2ph, Enable Packet RX Handling=0 (можно попробовать убрать Skip2ph...)
WriteSI4432(0x3E, 0x08); // Длина принимаемых данных 8 байт
WriteSI4432(0x0B, 0x12); // настройка GPIO0 для включения режима передачи TX
WriteSI4432(0x0C, 0x15); // настройка GPIO1 для включения режима приема RX
// Сброс FIFO TX
WriteSI4432(0x08, 0x01);//запись 0x01 в Operating Function Control 2 регистр
WriteSI4432(0x08, 0x00);//запись 0x00 в Operating Function Control 2 регистр
// Сброс FIFO RX
WriteSI4432(0x08, 0x02);//запись 0x02 в Operating Function Control 2 регистр
WriteSI4432(0x08, 0x00);//запись 0x00 в Operating Function Control 2 регистр
//Отключение всех прерываний кроме: Прием преамбулы, Прием синхрослова, Прием пакета
WriteSI4432(0x05, 0x02); // Прерывание при приеме пакета
WriteSI4432(0x06, 0x00);
//Чтение регистров статусов прерываний, для очистки текущих прерываний и сброса NIRQ в лог. 1
SI4432_stat[0] = ReadSI4432(0x03);
SI4432_stat[1] = ReadSI4432(0x04);
WriteSI4432(0x07, 0x05); // Включаю ПРИЕМ эфира
Сам прием данных будет выглядеть так:
if (si_int) // Если пришло прерывание от приемника SI4432
{
//чтение статусных регистров для очистки флагов прерываний
SI4432_stat[0] = ReadSI4432(0x03);
SI4432_stat[1] = ReadSI4432(0x04);
SI4432_RSSI = ReadSI4432(0x26);
if (SI4432_stat[0]&0x02)
{
WriteSI4432(0x07, 0x01); // Завершаю прием. Тем самым можно потом продолжить.Если не завершить, то пакеты больше не примутся
SI4432_ReadFIFO(); // Читаю из FIFO 8 принятых байт
TPMS_Parsing(); // Проверка CRC и разбор данных
// Сброс FIFO
WriteSI4432(0x08, 0x02); // запись 0x02 в Operating Function Control 2 регистр
WriteSI4432(0x08, 0x00); // запись 0x00 в Operating Function Control 2 регистр
//WriteSI4432(0x07, 0x05); // Включаю ПРИЕМ эфира
}
else
{
// Сброс FIFO TX
WriteSI4432(0x08, 0x01);//запись 0x01 в Operating Function Control 2 регистр
WriteSI4432(0x08, 0x00);//запись 0x00 в Operating Function Control 2 регистр
// Сброс FIFO RX
WriteSI4432(0x08, 0x02);//запись 0x02 в Operating Function Control 2 регистр
WriteSI4432(0x08, 0x00);//запись 0x00 в Operating Function Control 2 регистр
}
if (SI4432_stat[0]&0x80)
{
// Сброс FIFO RX
WriteSI4432(0x08, 0x02);//запись 0x02 в Operating Function Control 2 регистр
WriteSI4432(0x08, 0x00);//запись 0x00 в Operating Function Control 2 регистр
}
WriteSI4432(0x07, 0x05); // Включаю ПРИЕМ эфира
si_int=0;
}
Функция SI4432_ReadFIFO () просто читает 8 байт из буфера приемника, которые содержат данные от датчика.
Функция TPMS_Parsing () производит анализ контрольной суммы и декодирует информацию в конечные единицы давления и температуры, а также статусную информацию.
Проблемы:
1. Читая информацию про датчики, упоминалась синхронизация датчиков между собой. Зачем-то надо спаривать датчики, что-то было про скорость движения более 20 км/ч на протяжении 30 минут. Не ясно зачем это надо. Может быть это связано с моментом передачи информации, но это моя догадка.
2. Не выяснил до конца функции статусных битов датчика давления.
3. Не ясно про настройку трансивера SI4432 на прием, про скорость передачи с применением кодировки Манчестер. У меня работает, но осознания принципа пока нет.
Результаты работы
Исследования, освещенные в данной статье, заняли около месяца свободного времени.
В результате работы по исследованию протокола работы системы контроля давления в шинах затронуты вопросы передачи и приема данных по эфиру, вкратце рассмотрены кодировки сигнала, опробован трансивер SI4432 на передачу и прием. Данная задача позволила интегрировать TPMS в основной проект «умной» детской коляски. Зная протокол обмена, можно подключить большее количество датчиков и интегрировать в свою разработку. Причем контролируемое давление может находиться в широких пределах, а не как в штатной системе 1.1–3.2 Bar, т.к. давление вне этого диапазона сопровождается тревожным писком системы штатного центрального блока. Также теперь TPMS можно применять для контроля давления в шинах мотоцикла, велосипеда или, например, надувного матраса. Останется лишь физически установить датчик и написать программу верхнего уровня.
Ссылки
- «Умная» детская коляска «Максимка»
- github.com/jopohl/urh
- habr.com/ru/company/neuronspace/blog/434634
- www.rapidtables.com/convert/number/hex-to-binary.html
- www.rapidtables.com/convert/number/binary-to-hex.html
- eleif.net/manchester.html
- hackaday.com/2019/06/27/reverse-engineering-cyclic-redundancy-codes
- Мои утилиты, пример пакета, подбор CRC. Пароль архива «tPmSutiLity» dropmefiles.com/MtS9W»
- i56578-swl.blogspot.com/2017/08/eavesdropping-wheels-close-look-at-tpms.html
- www.rtl-sdr.com/tag/tpms