обучение пульта 433 мгц
Обучаемый 433МГц пультик для клонирования статичного кода.
Эта статья является небольшим логическим продолжением статьи «Кодграббер статичного кода».
На пробу были приобретены «обучаемые брелки для копирования», чтобы посмотреть как это сделано.
Стоимость примерно 120 и 140 рублей за штуку.
Заявлено, что эти брелки позволяют записать посылку из существующего устройства и воспроизвести по нажатию кнопки. Ограничены протоколом посылок SC2262 и подобных.
Далее мы посмотрим что у них там внутри и попробуем настроить под себя.
Первым сюрпризом было то, что в одном из брелков используется элемент А27, который тоньше А23. Пришлось дозаказывать ещё и батарейки.
Пробуем обучить.
Перед обучением стираем все запомненные ранее коды, для этого одновременно нажимаем две верхние кнопки и удерживаем какое-то время.
Светодиод загорится, потом заморгает.
Для обучения нажимаем и удерживаем обучаемую кнопку. Вплотную подносим копируемого и включаем на передачу.
Светодиод заморгает, значит сигнал пойман и записан.
После этого обученная кнопка при нажатии и удержании будет выдавать в эфир запомненный код.
Перезаписать отдельную кнопку нельзя. Сначала стираем всё, затем программируем каждую кнопку.
Всё работает как и описано, но возникают трудности с копированием слабых сигналов.
Чувствительность приёмника в копировщике «никакая», подносить приходится антенна к антенне.
К тому же, хочется записывать коды просто «из головы», не копировать, а самостоятельно составлять и воспроизводить.
Немного реверс-инжиниринга.
Внутри пультика видим различную мелкую рассыпуху, четырнадцатиногую микросхему без маркировки и EEPROM с I2C интерфейсом AT24C02.
Вполне очевидно, что все данные хранятся внутри внешней EEPROM, осталось только понять что и как там хранится.
Впоследствии оказалось, что при внешней схожести микросхем основного контроллера в брелках, они всё-таки разные. Используют разные адреса, по разному запоминают данные.
Начнём с брелка с антеннкой.
Подключаем логический анализатор «USBEE» к пинам SDA и SCL микросхемы EEPROM.
Стираем, обучаем, воспроизводим и при этом смотрим, какие адреса и данные EEPROM используются.
В процессе выяснилась непонятная особенность работы логического анализатора.
Это недорогая китайская поделка на CY7C68013, которая может притворяться и USBEE и Logic-U.
Оказалось Logic-U почему-то не распознаёт часть посылки.
На картинках видно, что не рашифровывается считываемый байт.
Logic-U 
USBEE 
Разбираться я не стал, воспользовался USBEE софтом, хотя Logic-U удобнее.
После некоторых экспериментов с клонированием различных пультиков получаем:
базовый адрес в EEPROM для каждой кнопки:
Верхняя правая: 0x06
Нижняя правая: 0x10
Верхняя левая: 0x1A
Нижняя левая: 0x24
данные для каждой из четырёх кнопок
base_addr+0x00 — признак что кнопка запрограммирована (0 — запрограммирована)
base_addr+0x01 — записывается 0, при чтении не используется
base_addr+0x02 — тайминг 1t, ориентировочно 340 ед/мс (для расчёта значения необходимо время 1t в мс умножить на 340)
base_addr+0x03 — младшие 8 бит кода (0 — короткий импульс, 1 — длинный имульс)
base_addr+0x04 — средние 8 бит кода (0 — короткий импульс, 1 — длинный имульс)
base_addr+0x05 — старшие 8 бит кода (0 — короткий импульс, 1 — длинный имульс)
base_addr+0x06 — записывается 0, чтается при воспроизведении
base_addr+0x07 — записывается 0x18, может быть количество байт в посылке
base_addr+0x08 — тайминг 1t, дублируется base_addr+0x02
Формируем свою посылку.
Теперь попробуем заставить брелок воспроизводить любой код в формате SC2262 и подобных.
Например, для управления радиоуправляемой розеткой из статьи на хабре ««Заводим» радиоуправляемые розетки без пульта».
Переключателем розетка может быть настроена на один из восьми каналов.
Запрограммируем наш пультик так, чтобы управлять на четвёртом и пятом каналах.
4 канал, код включения «000100001000»
в формате HS2272
«0» — соответствует «короткий + короткий импульс»
«1» — соответствует «длинный + длинный импульс»
«F» — соответствует «короткий + длинный импульс» 
в формате обучаемого брелка каждый импульс кодируется одним битом
0 — короткий импульс
1 — длинный имульс
значит «000100001000» преобразуется в 000000110000000011000000 = 0x0300C0 (в память оно ляжет младшим байтом вперёд).
Аналогично:
4 канал, код выключения «000100000000» преобразуется в 0x030000
5 канал, код включения «011000001000» преобразуется в 0x3С00С0
5 канал, код выключения «011000000000» преобразуется в 0x3С0000
Настройка таймингов.
Вскроем наш приёмник сигналов, и посмотрим какой резистор Rosc установлен у микросхемы HS2272.
По цветовой маркировке получается 390К, тестер показывает 394К.
По графику из pdf пытаемся прикинуть частоту OSC, но в разных pdf по разному рисуют графики зависимости.
Поэтому, напрямую осциллографом смотрим частоту на OSC2 ножке микросхемы.
У меня получилась частота около 70 КГц.
В pdf написано что при приёме в импульс должно помещаться от 2,5 до 8 клоков OSC.
Расчётное значение 1t получается 0,114 мс, но с таким таймингом приёма нет.
На практике получилось, что работает с таймингами 1t = 0,150-0,350 мс. Всё что быстрее или медленнее не принимается.
Почему так — не понимаю, если больше поэкспериментировать с разными приёмниками, то может чего и прояснилось бы.
Выберем значение «с потолка» 0,25 мс * 340 = 85 (0x55).
Запрограммируем любым доступным I2C программатором (CH341 например), подключившись к SDA, SCL, GND, VCC ножкам EEPROM.
левая верхняя кнопка — включение канала 4
с адреса 0x1A запишем данные 0x00 0x00 0x55 0xC0 0x00 0x03 0x00 0x18 0x55
левая нижняя кнопка — выключение канала 4
с адреса 0x24 запишем данные 0x00 0x00 0x55 0x00 0x00 0x03 0x00 0x18 0x55
правая верхняя кнопка — включение канала 5
с адреса 0x06 запишем данные 0x00 0x00 0x55 0xC0 0x00 0x3C 0x00 0x18 0x55
правая нижняя кнопка — выключение канала 5
с адреса 0x10 запишем данные 0x00 0x00 0x55 0x00 0x00 0x3C 0x00 0x18 0x55
Перед заливкой данных через программатор, необходимо нажать и удерживать любую кнопку на пультике, иначе линии SDA и SCL притянуты к земле.
Проверяем, работает.
Дополнительно можно защитить от стирания, подняв 7 ножку EEPROM и посадив её на 8 ногу.
Второй брелок, без антенны с А27 батарейкой имеет другую «карту памяти».
Базовый адрес:
Нижняя правая: 0x0A
Нижняя левая: 0x14
Верхняя правая: 0x1E
Верхняя левая: 0x28
Данные:
base_addr+0x00 — признак что кнопка запрограммирована (см. примечание *)
base_addr+0x01 — младшие 8 бит кода (0 — короткий импульс, 1 — длинный имульс)
base_addr+0x02 — средние 8 бит кода (0 — короткий импульс, 1 — длинный имульс)
base_addr+0x03 — старшие 8 бит кода (0 — короткий импульс, 1 — длинный имульс)
base_addr+0x04 — тайминг 1t
*примечание — если у предыдущего брелка признак запрограммированности кнопки — значение 0 по соответствующему адресу (остальные значения воспринимаются как «кнопка не запрограммирована»), то здесь для каждой кнопки индивидуальные значения.
При стирании:
по адресу 0x0A пишется значение 0x30,
по адресу 0x14 пишется 0x3A,
по адресу 0x1E пишется 0x44,
по адресу 0x28 пишется 0x4E.
При запоминании:
по адресу 0x0A пишется значение 0x0A,
по адресу 0x14 пишется 0x14,
по адресу 0x1E пишется 0x1E,
по адресу 0x28 пишется 0x28.
Кроме того, при стирании по адресу 0x6E пишется 0x6E, при запоминании любой кнопки туда пишется 0x00.
Дополнительную сложность представляет то, что контроллер после окончания обмена с EEPROM не освобождает линию SCL, и мне не удалось записать EEPROM программатором не выпаивая микросхему.
Тайминги у контроллеров также отличаются. В первом брелке мы записывали 0x55, во втором оно сохраняется как 0x43.
P.S.
Хорошо бы сравнить дальнобойность этих брелков с какими-нибудь другими, необучаемыми.
Да и живучесть батарейки также может отличаться, потребление в режиме сна разное.
Но, мне кажется, что эти параметры будут примерно одинаковые.
Схему срисовывать не стал.
Вот фотографии с двух сторон, все дорожки навиду. 
Комментарии ( 13 )
В процессе выяснилась непонятная особенность работы логического анализатора.
Это недорогая китайская поделка на CY7C68013, которая может притворяться и USBEE и Logic-U.
Оказалось Logic-U почему-то не распознаёт часть посылки.
то здесь для каждой кнопки индивидуальные значения.
Любопытно выглядят — на адреса похожи. А по адресам 30/3А/44/4Е какие-то данные есть?
Схему с брелков не снимал? Любопытно взглянуть на реализацию RF-части.
Полный дамп памяти у второго брелка не считывал.
Надо EEPROM выпаивать. Несложно вроде. Но «зачем»?
Схему, опять же, не снимал.
Мне не к чему, в RF я слабо разбираюсь, повторять самостоятельно не планирую.
Мне не к чему, в RF я слабо разбираюсь, повторять самостоятельно не планирую.
Ну, для меня сними, мне интересно
Самостоятельное программирование пультов от шлагбаума
Программирование пульта для шлагбаума не всегда выполняется по единому алгоритму. В зависимости от производителя и особенностей модели принципы этой процедуры могут меняться. Поэтому, чтобы благополучно прописать требуемые настройки, следует ознакомиться с алгоритмами программирования.
Как запрограммировать пульт от шлагбаума
В большинстве случаев программирование пультов для ворот и шлагбаумов выполняется посредством копирования кода. Так, чтобы настроить брелоки Nice или Faac, потребуется записать ПДУ в приемник.
Другие модели программируются с помощью переноса параметров от главного брелока. После такой операции остальные приборы деактивируются. Способ популярен из-за отсутствия необходимости постоянной настройки каждого пульта.
Подобная система не отличается высокой безопасностью, поскольку опытный злоумышленник сможет взломать ее за несколько минут. Для этого ему нужно перенести сигнал с идентичного брелока и перепрограммировать девайс. Поэтому использовать такое оборудование на предприятиях нецелесообразно.
В качестве альтернативного решения применяются системы GANT и Doorhan. Принцип их действия заключается в том, что каждый пульт записывается в приемник за счет динамичных кодов. Однако в этих системах есть ограничения по числу записанных девайсов, но они обладают повышенной степенью безопасности, т.к. скопировать сигнал невозможно. Для организаций такое решение наиболее предпочтительное.
Чтобы запрограммировать пульт от шлагбаума, необходимо предварительно удалить старые настройки с приемника. По умолчанию процедура выполняется путем удерживания кнопки на приемном устройстве.
Professional
Пульты этого бренда программируются по следующему алгоритму:
В результате сигнал будет сохранен. Если нужно настроить другие пульты, сделайте идентичные операции. Микросхема Professional поддерживает до 100 брелоков. Чтобы удалить пульт из памяти, необходимо кликнуть по кнопке Learn и удерживать ее до 10 секунд.
На пульте находится клавиша Prog, отвечающая за программирование системы. Если удерживать ее несколько секунд, произойдет включение светодиода. Затем следует кликнуть на кнопку брелока. Выравнивание световой индикации будет указывать на благополучное сохранение настроек.
Новые брелоки копируют настройки с предыдущих систем. Чтобы не допустить ошибок, стоит руководствоваться таким алгоритмом действий:
Для регистрации остальных девайсов действие повторяется по идентичному алгоритму.
Запись брелоков Faac выполняется посредством удерживания кнопок P1 и P2. Они отпускаются только после загорания индикатора.
Затем необходимо зажать клавишу платы приемника, пока не сработает светодиод. Во время мерцания индикации следует кликнуть на кнопку, отвечающую за открытие воротных створок. Спустя 3 секунды клавиша отпускается.
Принцип копирования выполняется по тем же алгоритмам, что и в системе Came:
Doorhan
Клавиша на приемном устройстве задерживается на 3 секунды. После загорания индикатора Led1 брелок начнет запись. Удерживание кнопки пульта занимает не меньше 3 секунд. Оставшиеся ПДУ настраиваются идентичным методом.
Hormann
ПДУ программируются путем регистрации передатчика по идентичной инструкции.
Компания Nice предлагает 2 типа пультов дистанционного управления шлагбаумами:
Устройства с постоянным кодом настраиваются путем 2-диапазонных тумблеров. Они присутствуют как на приемнике, так и на корпусе брелока. Являясь системами старого образца, такие модели эксплуатируются гораздо реже динамических вариантов.
Чтобы записать еще один девайс, на основном ПДУ следует повернуть переключатель в идентичное положение. Процедура копирования выполняется по такой инструкции:
На этом процедура программирования завершается.
Чтобы отформатировать память приемника, следует подержать кнопку до появления 3-кратных индикаций.
Изделия компании BFT
Изделия BFT работают на частоте 433 МГц. Чтобы запрограммировать их, следует нажать на кнопку OK и дождаться появления приветствующего сигнала. Затем следует еще раз кликнуть на эту кнопку, перейти в раздел «Параметры» и переключиться в меню Radio. Для открытия меню добавления ПДУ еще раз нажимают на OK.
Универсальный пульт для ворот
В продаже доступны универсальные программируемые брелоки, которые могут оснащаться четырехканальными и восьмиканальными передатчиками, работающими на разных частотах. Они предназначаются для разных типов ворот с автоматическим приводом, включая секционные, откатные и поворотно-откатные. Средний ценник составляет 700 руб.
Как можно самому сделать копию пульта, имея на руках оригинал
Существуют разные типы пультов, разработанных специально для копирования кодового шифра. Они могут различаться внешним исполнением, частотным диапазоном и списком поддерживаемых устройств. Так, одни дубликаторы предназначаются для копирования динамического кода, а остальные — для решения других задач. Принцип их действия зависит от установленной микросхемы.
Существуют и специализированные модели, работающие на частотах 433,92 МГц или 868 МГц. Перенести код с такого устройства проблематично. Поэтому следует рассмотреть основные варианты решения проблемы.
Вводим пульт в режим программирования
В первую очередь следует активировать режим программирования путем удержания на дубликаторе кнопок A и B в течение 3 секунд. После медленного мерцания светодиода следует отпустить кнопки A и B, чтобы дубликатор вошел в режим программирования. Когда произойдет соответствующее оповещение, можно начинать процедуру.
Приступаем к копированию
Копирование брелока — самый сложный этап, во время которого многие пользователи допускают ошибки. Специалисты рекомендуют размещать устройства на небольшом расстоянии, используя принцип «корпус к корпусу», поскольку это обеспечит четкое и ровное считывание информации. В сети доступны многочисленные руководства, где люди решают задачу с большой дистанции, но такой метод неэффективен.
Основной ПДУ следует повернуть таким образом, чтобы элементы управления находились снизу, а дублирующий девайс лежал клавишами вверх. Это позволит следить за эффективностью копирования.
Затем стоит нажать на основную кнопку главного брелока и клавишу программирования на новом пульте. В процессе следует наблюдать за индикацией светодиодов. После благополучной синхронизации они начнут быстро мерцать. Через 2 секунды после этого кнопки отпускаются.
Основные ошибки и как их не допустить
Распространенная ошибка при программировании пульта — попытка записать следующие устройства по такому же алгоритму, что и основной брелок. Однако после подобной записи блок стирает сигнал и перестает реагировать даже на первый девайс.
Еще одна ошибка — регистрация несовместимых моделей по общепринятой инструкции. Для устройств от разных производителей есть специальное руководство с подробным описанием процедуры программирования.
Возврат на заводские настройки
Чтобы вернуться на заводские настройки, следует нажать на клавиши A и C. Опция востребована для тех случаев, если нужно поставить универсальный девайс. Для возврата на настройки по умолчанию следует указать заводской шифр на каждую кнопку.
Как запрограммировать пульты для ворот
Программируемый пульт – универсальное устройство, которое поможет решить проблему доступа на территорию нескольких пользователей, заменить утерянный брелок, открывать одним девайсом несколько ворот. Чтобы прописать пульт, достаточно приобрести аналогичный ПДУ, выполнить несколько простых действий – алгоритм зависит от производителя, модификации.
Professional
Программирование пульта для ворот бренда Professional происходит по инструкции:
Если Led-лампочка несколько раз замигала и погасла – пульт настроен, им можно открыть шлагбаум, ворота. Модели от Professional поддерживают копирование более 100 брелоков.
В дальнейшем, перед тем, как перепрограммировать пульт для нового шлагбаума, необходимо зажать кнопку Learn в течение 10 секунд, таким образом произойдёт очистка внутренней памяти до заводских настроек.
Came – компания из Италии, предлагающая российским потребителям несколько интересных моделей Twin с защитой от копирования.
Особенности моделей TW2EE и TW4EE
Серия Twin предлагает варианты с двумя (TW2EE) или четырьмя (TW4EE) программируемыми кнопками. Передача данных обеспечивается на частоте 433, 92 МГц, что обеспечивает хороший сигнал, независимо от уровня радиопомех в области установки. И TW2EE и TW4EE способны функционировать, в режиме Twin (защита от клонирования сигнала злоумышленниками), или в более популярных стандартах передачи радиосигнала TOP и TAM. Обе модели взаимозаменяемы, при условии, что управление осуществляется при помощи радиоплаты управления воротами нового поколения CAME AF43TW.
Копирование пульта при использовании технологии TOP и TAM
Алгоритм действий, чтобы прописать пульт по стандарту TOP и TAM:
Если программирование брелка прошло успешно, индикатор трижды моргнёт и погаснет. Перед использованием рекомендуется проверить новый ПДУ на работоспособность, нажав последовательно каждую кнопку, отвечающую за работу автоматических ворот.
Как обновить настройки, если включён защитный режим
Под задней крышкой пульта Came есть 10 микропереключателей. По умолчанию, они выставлены в режиме «Выкл». Защита пульта активируется созданием уникальной комбинации, путём передвижения части тумблеров в положение «Вкл», таким образом, происходит программирование пульта для шлагбаума с защитой Twin. После установки кода, рекомендуется сохранить шифр, записав в таблицу.
После установки кода, рекомендуется записать шифр в таблицу для хранения. Чтобы сохранить выбранную установленную защитную комбинацию, необходимо:
В дальнейшем, перед тем, как запрограммировать брелок, потребуется выставить пользовательский код.
Чтобы сохранить выбранную установленную защитную комбинацию, необходимо:
В дальнейшем, перед тем, как запрограммировать брелок, потребуется выставить пользовательский код.
Процедура копирования при активированном защитном режиме
Если необходимо выполнить повторное программирование пульта для ворот, пользователю следует:
Если пульт не программируется, Led-будет продолжать гореть. При успешном завершении диод трижды моргнёт и погаснет. С этого момента можно управлять воротами с нового ПДУ.
Итальянский бренд FAAC производит несколько моделей, которые работают на частоте 868,35 МГц, радиус действия ограничен 50 метрами, что немного меньше, чем у других итальянских производителей. При добавлении новых пультов дистанционного управления используется классический алгоритм: во главе системы управления головной пульт, от которого можно обучать остальные.
В заводской инструкции «Как программировать пульт», кнопки маркируются последовательно P1-P4, что соответствует количеству точек, промаркированный непосредственно на ПДУ.
Процесс клонирования брелка происходит так:
Об успешности операции новый пульт просигнализирует двойной индикацией.
Doorhan
Пульты для ворот Doorhan, в отличие от других брендов, не кодируются с мастер ПДУ. Для перепрограммирования необходимо иметь доступ к приёмнику. С одной стороны это усложняет настройку пульта Дорхан, увеличивая время на привязку нового устройства. С другой стороны, злоумышленники практически лишаются возможности сделать дубликат.
Инструкция «Как запрограммировать пульт от ворот Дорхан» выглядит так:
После завершения процедуры следует проверить ПДУ, нажав каждую кнопку возле шлагбаума.
Hormann
Проблем с тем, как прописать пульт, у владельцев ПДУ Hormann возникнуть не должно. Для копирования достаточно зажать программируемую клавишу на новом устройстве, пока не загорится индикатор Led1. С этого момента брелок готов к записи, пользователю следует последовательно нажимать кнопки на основном и обучаемом брелоках в течение трёх секунд. По окончании процедуры рекомендуется проверить новый Hormann, правильно ли запрограммировались все клавиши.
При взаимодействии техники Nice используется динамический код, что соответствует трендам, минимизирует возможность несанкционированного перехвата радиосигнала.
Как скопировать пульт? Достаточно:
ПДУ производства BFT взаимодействуют с радиоприёмником на частоте 433 МГц. Для копирования таких моделей требуется кликнуть OK, дождаться приветственного сигнала. Затем повторно кликнуть ОК, зайти в «Параметры», выбрать режим Radio. Чтобы активировать режим привязки, требуется ещё раз нажать ОК, выполнить сопряжение устройств.
Универсальный пульт для ворот
Существуют универсальные модели, которые комплектуются четырёхканальными, восьмиканальными радиопередатчиками, поддерживающими работу на разных частотах. Они подходят для шлагбаумов с разным типом привода (секционные, откатные, поворотно-откатные). Помимо известных европейских, американских брендов, в продаже представлены и китайские брелоки, которые по функциям, не сильно отличаются от именитых аналогов, при этом они дешевле.
При использовании программируемых пультов стоит учитывать, что устройства производства Came, FAAC и Nice настраиваются в несколько движений, но сигнал легко перехватить, сделать копию брелка. Если потенциальный преступник получит доступ к головному пульту на две минуты, он сможет сделать дубликат. Чтобы избежать этого, рекомендуется хранить мастер ПДУ в сейфе, не передавать его посторонним.