| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| artikel:nav_common:jtag_readout_mainboard_flash [Thu. 07.02.2019 07:17] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden go4it | artikel:nav_common:jtag_readout_mainboard_flash [Fri. 26.07.2019 18:48] – go4it |
|---|
| ====== Den Flash-Speicher vom Mainboard über JTAG auslesen ====== | ====== Mainboard Flash per JTAG auslesen und beschreiben ====== |
| |
| ===== Die Aufgabe ===== | ===== Ziel ===== |
| |
| Diese Anleitung beschreibt wie man den **kompletten Inhalt** des 32 MB großen Flash-Speichers vom Mainboard des FX auf den PC überträgt. | Der Flash-Speicher auf den Navigations-Mainboards (Spansion S29GL...) ist direkt am Hauptprozessor, einem Texas Instruments "OMAP5948ZXF" angeschlossen. Der OMAP verfügt über eine JTAG-Schnittstelle und darüber kann man auch den Inhalt des Flash auslesen bzw. programmieren. |
| |
| ===== Das Problem ===== | Alle in dieser Anleitung gezeigten Schritte werden mit einem **Segger J-Link** JTAG-Adapter durchgeführt: |
| |
| Der Flash-Speicher selbst hat keinen JTAG-TAP (Interface). Er ist mit dem Hauptprozessor, einem Texas Instruments "OMAP5948ZXF" verbunden. Der OMAP hat eine JTAG-Schnittstelle und somit ergibt sich die Möglichkeit darüber auch an den Inhalt des Flashs heranzukommen. | {{artikel:nav_fx:segger_j-link_edu.jpg?direct&200|}} |
| |
| Da der OMAP5948 eine Sonderproduktion für die Firma BOSCH ist, gibt es keinerlei öffentlich verfügbare Dokumentation darüber im Internet. Meine Recherchen haben aber ergeben das dieser mit hoher Wahrscheinlichkeit dem OMAP5912 entspricht. Mehr darüber im [[artikel:nav_mca-plus:teardown:omap5948:start|Grundlagenartikel über den OMAP5948]]. | Zum auslesen des Flash reicht dabei die "EDU"-Variante, welche für ca. 60,- € im Handel zu haben ist. Um den Flash auch löschen und programmieren zu können benötigt man jedoch spezielle Software-Lizenzen. Diese sind z.B. in der "PLUS"-Version des J-Link für um die 800,- € enthalten. Die Hardware ist bei allen Editionen exakt die gleiche, es sind nur zusätzliche Lizenzschlüssel in die Software einzutragen. |
| |
| Der OMAP enthält neben einer ARM9-CPU und einem DSP auch einen Coprozessor und zahlreiche andere Komponenten, ähnlich einem Mikrocontroller. RAM und Flash können per Design extern angeschlossen werden. Dieser Umstand ermöglicht eine gewisse Vorhersage wie und an welchen Pins der OMAP ein Flash bedient. Mit Hilfe eines JTAG-Flash-Readers und den richtigen Einstellungen ist es grundsätzlich kein Problem das Flash auszulesen. | :!: **ACHTUNG**: Vom Segger J-Link werden zahlreiche, billige "China-Clones" angeboten. Keine Ahnung ob welche davon genauso gut funktionieren wie das Original. Bei dem relativ günstigen Preis des "EDU" würde ich jedoch immer ein Original vorziehen, da dies sicher qualitativ hochwertiger ist und man keine Probleme bekommt! |
| |
| Es gibt jedoch ein Problem! Einzelne Sektoren lassen sich problemlos übertragen. Will man aber mehr als 5 oder 10 Sektoren übermitteln (das Flash enthält 256 Sektoren), kommt es zum Übertragungsabbruch: | **Watchdogs** |
| |
| {{artikel:nav_fx:flash-download_failed.jpg?direct&200|}} | {{:artikel:nav_common:watchdog-error.png?direct&200|}} |
| |
| Gleichzeitig kann beobachtet werden das der Stromverbrauch des Geräts gegen Null sinkt. An diesem Problem sind bislang alle die im Internet darüber berichten gescheitert. Niemand hat es bislang geschafft den Flash vollständig in einem Rutsch zu lesen. | Es gibt zwei Überwachungsmechanismen im Gerät, die Softwareabstürze erkennen und dann einen Prozessorneustart auslösen sollen. Beide stören aufgrund ihrer kurzen Timeout-Zeiten das auslesen/beschreiben des Flash-Speichers, zumindest wenn man mehr als einen Sektor bearbeiten will und müssen deaktiviert werden. |
| |
| Der Grund für diese Abbrüche ist schnell erklärt: Um via JTAG auf den Flash-Speicher zugreifen zu können wird als erstes die CPU angehalten und die Speicherverwaltungseinheit deaktiviert. Nur so können Zugriffskonflikte vermieden werden. Gleichzeit wird damit auch die auf dem OMAP laufende Anwendung gestoppt. Die Programmausführung auf dem OMAP wird jedoch von einem Watchdog im Radioprozessor (µPD70F3283) überwacht. Erhält dieser innerhalb von 10 Sekunden kein "Lebenszeichen" des laufenden Programms, löst er eine vollständige Abschaltung aus. Diese Keep-Alive Pakete werden mittels SPI-Schnittstelle vom OMAP zum Radioprozessor gesendet. | Auf dem Mainboard steuert und überwacht ein NEC V850 Mikrocontroller (der sog. "Radioprozessor") sämtliche Komponenten, auch den OMAP-Hauptprozessor. Hierzu erwartet der V850 vom OMAP sog. "Heartbeats". Bleiben diese für einen Zeitraum von mehr als 20 Sekunden aus, führt der V850 einen Reset beim OMAP durch. Die kann verhindert werden indem man über eine Drahtbrücke am Mainboard die Funktion deaktiviert ("Tuareg-Mode"). |
| |
| Um das Flash also vollständig (unterbrechungsfrei) herunterladen zu können, muss dieser Watchdog entweder deaktiviert werden, oder weiterhin Keep-Alive-Pakete für den Watchdog auf den SPI erzeugt werden. Letzteres wäre per Software sicher möglich. Viele Flash-Reader, wie auch der Segger, laden via JTAG nach anhalten der CPU eigenen Programmcode in den Arbeitsspeicher des OMAP und lassen ihn ausführen. Dieser Programmcode liest dann den Flash byteweise aus und sendet die Daten direkt über JTAG zum Programm auf dem PC. Das geht deutlich schneller als die Leseoperationen auf Signalebene über JTAG-Boundaryscan-Register zu emulieren. In diese Software könnte ein findiger Programmierer auch eine Routine für das senden der Keep-Alive-Pakete implementieren. | Zusätzlich gibt es auf dem OMAP noch einen Watchdog-Timer. Dieser löst ebenfalls einen Reset aus, wenn er nicht binnen 12 Sekunden immer wieder zurückgestellt wird. Dies geschieht normalerweise per Software. Stoppt man jedoch die CPU um den Flash lesen/beschreiben zu können, bleiben die Rückstellbefehle aus und der Watchdog schlägt zu. Um dies zu verhinden muss man gleich nach dem anhalten der CPU die Watchdog-Timer umprogrammieren, sodass diese keine Funktion mehr haben. |
| |
| Es gibt aber noch eine Alternative! Die Entwickler des Radios waren so freundlich einen IO-Port des Radioprozessors an den rechten, nicht bestückten, Serviceport zu legen mit dem es möglich ist den Radioprozessor und damit den Watchdog zu deaktivieren. Diese Methode beschreibe ich nachfolgend im Detail. Damit ist es problemlos möglich, **den Flash-Inhalt ohne weitere Hilfsmittel, Spezialsoftware oder sonstigem Hokuspokus komplett auszulesen!** | ===== Benötigte Teile und Hilfsmittel ===== |
| |
| ===== Die Lösung ===== | - Segger J-Link Adapter |
| | - Segger J-Flash, welches im Programmpaket "Segger J-Link Commander" enthalten ist und direkt und kostenlos von der [[https://www.segger.com/downloads/jlink/|Segger Homepage]] heruntergeladen werden kann |
| | - Ein paar möglichst kurze (wg. Störeinstrahlungen) Dupont-Wires (Anschlußvariante Male-Male) um die Pins vom J-Link Adapter mit denen der orangenen Micromatch-Buchse am Mainboard zu verbinden |
| |
| Für die Umsetzung verwende ich einen relativ preiswerten "Segger J-Link EDU": | ===== Schritt 1) JTAG-Interface mit dem Mainboard verbinden ===== |
| |
| {{artikel:nav_fx:segger_j-link_edu.jpg?direct&200|}} | Dieser Schritt ist hier erklärt: [[artikel:nav_common:jtag_connect_mainboard]] |
| |
| in Verbindung mit der zugehörigen Software (J-Flash). | ===== Schritt 2) Watchdogs deaktivieren ===== |
| |
| ==== Schritt 1) JTAG-Interface anschließen ==== | Zum aktivieren des "Tuareg-Modes" eine Drahtbrücke zwischen **Pin 3 (GND)** und **Pin 13 (/SEL)** des [[:artikel:nav_common:mainboard_service_connectors#pinbelegung_der_service-buchse_x3806|rechten Serviceports (X3806)]] vom Mainboards einlöten (ich habe einen Dupont-Wire Male-Female durchgeschnitten und mit so eine Steckbare Verbindung gebaut). |
| |
| [[artikel:nav_common:jtag_connect_mainboard|Den Segger J-Link am mit dem Serviceport des Mainboards verbinden]] | {{:artikel:nav_common:disable_wd_1.png?direct|}} |
| |
| ==== Schritt 2) Den Radioprozessor deaktivieren ==== | {{:artikel:nav_common:disable_wd_2.png?direct|}} |
| |
| Hierzu muss eine **Drahtbrücke zwischen Pin 3 und Pin 13** des [[artikel:nav_common:jtag_connect_mainboard|rechten Serviceports]] hergestellt werden. Ich habe mir hierfür aus dem Elektronikversand einen 14-poligen Micro-Match Header bestellt und aufgelötet. Dann kann ich mit einfachen Dupon-Kabeln die Brücke herstellen. Man kann hier natürlich auch einen Schalter oder einfach ein Stück Kuperleitung anlöten. | {{:artikel:nav_common:disable_wd_3.png?direct|}} |
| |
| ==== Schritt 3) Einstellungen im J-Flash vornehmen ==== | {{:artikel:nav_common:disable_wd_4.png?direct|}} |
| |
| In der recht umfangreichen Liste der unterstützten CPUs ist der OMAP5948 (ebenso wie der OMAP5912) leider nicht enthalten. Das ist aber kein Problem, den mit den richtigen Einstellungen kann man sich diese selbst herstellen. Hierzu unter "Options" den Menüpunkt "Project options..." auswählen und folgende Einstellungen vornehmen: | {{:artikel:nav_common:disable_wd_5.png?direct|}} |
| |
| {{artikel:nav_fx:projectopts_general.jpg?direct&200|}} {{artikel:nav_fx:projectopts_target-interface_maxspeed.jpg?direct&200|}} {{artikel:nav_nx:projectopts_mcu.jpg?direct&200|}} {{artikel:nav_fx:projectopts_flash-256.jpg?direct&200|}} {{artikel:nav_fx:projectopts_production.jpg?direct&200|}} {{artikel:nav_fx:projectopts_performance.jpg?direct&200|}} | Hier das Gesamtergebnis: |
| |
| {{artikel:nav_nx:setup_complete_256.jpg?direct&200|}} | {{:artikel:nav_common:disable_wd.png?direct&200|}} |
| |
| **Diese Einstellungen als Projektdatei Downloaden: {{artikel:nav_fx:omap5948zxf_flash_fx.jflash|OMAP5948ZXF_FLASH_FX.jflash}}** | |
| | ===== Schritt 3) J-Flash konfigurieren ===== |
| | |
| | In der recht umfangreichen Liste der unterstützten CPUs ist der OMAP5948 leider nicht enthalten. Dieser Chip wurde speziell für Bosch hergestellt und es existieren keine öffentlich verfügbaren Datenblätter darüber. Er basiert jedoch auf dem OMAP5912 und dieser enthält eine ARM926EJ-S CPU, welche wiederum von J-Flash unterstützt wird :-) |
| | |
| | Hierzu unter "Options" den Menüpunkt "Project options..." auswählen und folgende Einstellungen vornehmen: |
| | |
| | {{artikel:nav_fx:projectopts_general.jpg?direct|}} |
| | |
| | === JTAG-Einstellungen === |
| | |
| | {{artikel:nav_fx:projectopts_target-interface_maxspeed.jpg?direct|}} |
| | |
| | === CPU-Typ wählen === |
| | |
| | Einfach "ARM9" aus der CPU-Liste wählen: |
| | |
| | {{artikel:nav_nx:projectopts_mcu.jpg?direct|}} |
| | |
| | === Flash Chip einstellen === |
| | |
| | Auf "Select flash device" klicken und aus der Liste den "Spansion S29GL256N" (32MB) für das FX bzw. "Spansion S29GL512N" (64MB) für das NX oder MCA wählen: |
| | |
| | {{artikel:nav_fx:projectopts_flash-256.jpg?direct|}} |
| | |
| | === Weitere Einstellungen... === |
| | |
| | {{artikel:nav_fx:projectopts_production.jpg?direct|}} |
| | |
| | {{artikel:nav_fx:projectopts_performance.jpg?direct|}} |
| | |
| | === Einstellungen sichern === |
| | |
| | Am Ende erhält man eine Übersicht der Einstellungen im Hauptbildschirm: |
| | |
| | {{artikel:nav_nx:setup_complete_256.jpg?direct&640|}} |
| | |
| | Diese speichert man sich am besten als "Project" für spätere Versuche ab. |
| |
| ==== Schritt 4) Download starten ==== | ==== Schritt 4) Download starten ==== |
| |
| {{artikel:nav_fx:flash-download_entiry-chip.jpg?direct&200|}} | {{artikel:nav_fx:flash-download_entiry-chip.jpg?direct&640|}} |
| |
| {{artikel:nav_fx:flash-download_finished_256.jpg?direct&200|}} | {{artikel:nav_fx:flash-download_finished_256.jpg?direct&640|}} |
| |
| {{artikel:nav_fx:flash-download_done_256.jpg?direct&200|}} | {{artikel:nav_fx:flash-download_done_256.jpg?direct&640|}} |
| |
| ==== Schritt 5) Flashdump abspeichern ==== | ==== Schritt 5) Flashdump abspeichern ==== |
| ''Strg-S'' drücken, zu speichernden Bereich bestätigen und als Zielformat "*.bin" auswählen: | ''Strg-S'' drücken, zu speichernden Bereich bestätigen und als Zielformat "*.bin" auswählen: |
| |
| {{artikel:nav_fx:flash-download_save2bin_256.jpg?direct&200|}} | {{artikel:nav_fx:flash-download_save2bin_256.jpg?direct&640|}} |
| |
| ===== Weiterführende Informationen ===== | ===== Weiterführende Informationen ===== |
| |
| * Zu diesem Thema gibt es auch einen Blog von mir im mondeo-mk4.de Benutzerforum: [[https://mondeo-mk4.de/index.php/Thread/21164-Hacking-into-NavFX/?postID=302879#post302879]] | Zu diesem Thema gibt es auch einen Blog von mir im mondeo-mk4.de Benutzerforum: [[https://mondeo-mk4.de/index.php/Thread/21164-Hacking-into-NavFX/?postID=302879#post302879]] |
| |