Mainboard Flash per JTAG auslesen und beschreiben

Ziel

Der Flash-Speicher auf den Navigations-Mainboards (Spansion S29GL…) ist direkt am Hauptprozessor, einem Texas Instruments „OMAP5948ZXF“ angeschlossen. Der OMAP verfügt über eine JTAG-Schnittstelle und darüber kann man auch den Inhalt des Flash auslesen bzw. programmieren.

Alle in dieser Anleitung gezeigten Schritte werden mit einem Segger J-Link JTAG-Adapter durchgeführt:

:!: Zum auslesen des Flash reicht dabei die „EDU“-Variante, welche für ca. 60,- € im Handel zu haben ist. Um den Flash auch löschen und programmieren zu können benötigt man jedoch spezielle Software-Lizenzen. Diese sind z.B. in der „PLUS“-Version des J-Link für um die 800,- € enthalten. Die Hardware ist bei allen Editionen exakt die gleiche, es sind nur zusätzliche Lizenzschlüssel in die Software einzutragen.

In der recht umfangreichen Liste der unterstützten CPUs von J-Flash ist der OMAP5948 leider nicht enthalten. Dieser Chip wurde speziell für Bosch hergestellt und es existieren keine öffentlich verfügbaren Datenblätter darüber. Er basiert jedoch auf dem OMAP5912 und dieser enthält eine ARM926EJ-S CPU, welche wiederum von J-Flash unterstützt wird.

:!: ACHTUNG: Vom Segger J-Link werden zahlreiche, billige „China-Clones“ angeboten. Keine Ahnung ob welche davon genauso gut funktionieren wie das Original. Bei dem relativ günstigen Preis des „EDU“ würde ich jedoch immer ein Original vorziehen, da dies sicher qualitativ hochwertiger ist und man keine Probleme bekommt!

Benötigte Teile und Hilfsmittel

  1. Segger J-Link Adapter
  2. Segger J-Flash, welches im Programmpaket „Segger J-Link Commander“ enthalten ist und direkt und kostenlos von der Segger Homepage heruntergeladen werden kann
  3. Ein paar möglichst kurze (wg. Störeinstrahlungen) Dupont-Wires (Anschlußvariante Male-Male) um die Pins vom J-Link Adapter mit denen der orangenen Micromatch-Buchse am Mainboard zu verbinden

"Warnung vor dem Hunde" - Das Watchdog-Problem

Es gibt zwei Überwachungsmechanismen im Gerät, die Softwareabstürze erkennen und dann einen Prozessorneustart auslösen sollen. Beide stören aufgrund ihrer kurzen Timeout-Zeiten das auslesen/beschreiben des Flash-Speichers, zumindest wenn man mehr als einen Sektor bearbeiten will und müssen deaktiviert werden.

Auf dem Mainboard steuert und überwacht ein NEC V850 Mikrocontroller (der sog. „Radioprozessor“) sämtliche Komponenten, auch den OMAP-Hauptprozessor. Hierzu erwartet der V850 vom OMAP sog. „Heartbeats“. Bleiben diese für einen Zeitraum von mehr als 20 Sekunden aus, führt der V850 einen Reset beim OMAP durch. Die kann verhindert werden indem man über eine Drahtbrücke am Mainboard das laden der Firmware im Flash des V850 verhindert und somit die Watchdog-Funktion deaktiviert ist (Bosch nennt dies den „Tuareg-Mode“).

Zusätzlich gibt es auf dem OMAP auch noch einen Watchdog-Timer. Dieser löst ebenfalls einen Reset aus, wenn er nicht binnen 12 Sekunden immer wieder zurückgestellt wird. Dies geschieht normalerweise per Software. Stoppt man jedoch die CPU um den Flash lesen/beschreiben zu können, bleiben die Rückstellbefehle aus und der Watchdog schlägt zu. Um dies zu verhinden muss man gleich nach dem anhalten der CPU die Watchdog-Timer umprogrammieren, sodass diese keine Funktion mehr haben.

Zum Thema gibt es noch Hintergrundinformationen im Forum

Grundsätzliches Setup zum lesen und schreiben des Flash

Schritt 1.) JTAG-Interface mit dem Mainboard verbinden

Pins des JTAG-Interface mit dem Mainboard verbinden: JTAG Verbindung am Mainboard

Schritt 2.) Den "Tuareg"-Modus aktivieren

Drahtbrücke zwischen Pin 3 (GND) und Pin 13 (/SEL) des rechten Serviceports (X3806) vom Mainboards einlöten (ich habe einen Dupont-Wire Male-Female durchgeschnitten und mit so eine Steckbare Verbindung gebaut).

Schritt 3.) J-Flash konfigurieren

Sämtliche Einstellungen habe ich in ein sog. „Project-File“ (Datei mit der Endung *.jflash) gepackt, welches hier heruntergeladen werden kann:

Im grunde sind das alles diesselben Dateien, einzig das beim FX eine andere Flash-Chip Variante zum Einsatz kommt (256N anstelle 512N, weil das FX nur einen 32 MB Flash-Chip drauf hat und das MCA und NX einen 64 MB).

In J-Flash dann einfach über „File“ → „Open project…“ die Datei auswählen und einladen.

Image vom Mainboard-Flash herunterladen

Schritt 1.)

Strg-S drücken, zu speichernden Bereich bestätigen und als Zielformat „*.bin“ auswählen. Die Länge wird automatisch anhand der Größe des Flash-Speichers ausgefüllt, hier einfach nur mit „OK“ bestätigen:

Mainboard-Flash mit neuem Image programmieren

Schritt 1.) Image Datei laden

„File“ → „Open data file…“ → Datei wählen → Ladestartadresse „0“ belassen.

Schritt 2.) Stromversorgung herstellen

Nun 12V am Stromanschluß des Radios einschalten. Die Stromaufnahme liegt aufgrund des Tuareg-Mode bei nur ca. 200 mA.

Schritt 3.) Mainboard Flash löschen

Bevor wir programmieren können, muss der Flash zunächst gelöscht werden (Merke: Beim Flash können Bits nur auf „0“ programmiert und durch löschen auf „1“ gesetzt werden):

„Target“ → „Manual Programming“ → „Erase Chip (F4)“

Schritt 4.) Geladenes Image ins Flash programmieren

„Target“ → „Manual Programming“ → „Program (F5)“

Schritt 5.) Stromversorgung trennen

Nach erfolgtem auslesen oder programmieren

  1. Stromversorgung abschlaten
  2. JTAG-Adapter trennen
  3. Drahtbrücke für Tuareg-Mode entfernen
  4. Gerät testweise wieder an Stromversorgung anklemmen. Gerät muss starten (Stromverbrauch ohne Display ca. 650 mA).