450-3

Zwei Türgriffe... check Lenkrad rechts, Tacho links... check Unlesbare "Schrift"... check CAD... https://isitai.com/ai-image-detector/ https://app.illuminarty.ai/

Hier gibt es ein paar Bilder (KLICK)

KI und Motorsteuergerät. SAM könnte noch sein, falls bei der Freischaltung die dort gespeicherten Ausstattungscodes aktualisiert werden, in der Variantenkodierung findet sich jedenfalls nichts dazu. Technisch wäre es aber auch nicht nötig, denn die Paddel-Befehle sind in einer CAN-Nachricht enthalten, die vom KI kommt. SAL = "Schalten am Lenkrad"

Das sind die normalen Rückleuchten vom Coupé ab 2003. Die OBD-Buchse neben dem Lenkrad kann man auch sehen, da wird wohl die Beschreibung nicht ganz stimmen.

Falls jemand Lust zu knobeln hat, hier ist eine Liste von Challenge-Response Codes. Jeweils erst das, was das Motorsteuergerät an das SAM als Frage sendet (grün), dann die berechnete Antwort (rot). Da sieht man dann auch gleich Die Fragen sind nicht zufällig, sie wiederholen sich, solange die Zündung an ist, in einer Schleife. Echte Zufallszahlen sind hier aber auch nicht unbedingt nötig, es zeigt aber mal wieder, dass in der Software wirklich an allen Ecken Rechenzeit gespart wird. Gleiche Fragen bekommen auch immer die gleichen Antworten. Es wird also ein statischer geheimer Wert für die Berechnung verwendet. Das könnte ein Wert sein, der beim anlernen der Schlüssel zwischen MEG und SAM ausgehandelt wird. Sonstige Erkenntnisse Für alle Funkschlüssel wird derselbe geheime Wert für die Berechnung verwendet. Wird die Zündung eingeschaltet, ohne vorher über den Funkschlüssel zu entriegeln, sendet das SAM immer FE FF FF FF FF FF FF FF als Antwort. Dann hat man etwa vier Sekunden lang Zeit, während das MEG regelmäßig neue Requests sendet, die Entriegelungstaste auf dem Schlüssel zu drücken, und die WFS wird entsperrt. Andernfalls muss man die Zündung abschalten, dann den Schlüsseltaster drücken und danach die Zündung wieder einschalten. Solange die Zündung an ist, werden sonst keine Eingaben vom Funkschlüssel angenommen. Dann habe ich noch meinen MEG-Simulator so erweitert, dass damit auch beliebige Requests an das SAM geschickt werden können, die dann (fast) immer brav beantwortet wurden. "00 00 00 00 00 00 00" hat leider nicht geklappt, so doof sind die bei VDO/Siemens dann doch nicht Und bevor gleich die Meckerpolizei kommt: Wenn das System vernünftig entwickelt wurde, hat jedes Auto einen anderen geheimen Wert für die Berechnung. Hier geht es höchstens darum, vielleicht zufällig den Algorithmus herauszufinden, den das SAM verwendet, um aus der Frage und dem geheimen Wert die Antwort für das MEG zu berechnen. Um damit vielleicht einen smart zu klauen, braucht man immer auch den im MEG und SAM gespeicherten Wert, der (hoffentlich) bei allen Autos anders ist.

Habe gerade noch ein paar Sachen getestet. Wenn das MEG komplett fehlt, fährt das SAM das bekannte Startprogramm ab: Schlüssel auf 2 -> Bit in Nachricht 0x220 gesetzt -> Entlastungsrelais wird abgeschaltet (Lüfter, Fensterheber, usw. sind deaktiviert) solange der Schlüssel auf Position 2 bleibt. Nur halt ohne Anlasser und Motor. Ist ein Fake-MEG anwesend, das einfach während der Challenge-Phase den OK-Code in Nachricht 0x110 sendet, verhält sich das SAM so, dass bei Schlüssel in Pos. 2 nur das Bit in Nachricht 0x220 gesetzt wird aber das Entlastungsrelais nicht abgeschaltet wird. Ohne MEG scheint das SAM also eher im "Normalmodus" zu arbeiten. Mit einem erkannten MEG werden dann noch mehr Parameter berücksichtigt, vielleicht braucht dann das Entlastungsrelais noch den laufenden Anlasser als Bedingung.

Das KI hat mit der WFS nichts zu tun, ist wohl bei anderen Herstellern wie VW manchmal so, hier aber nicht. Sieht man daran, dass die Schlüssel tatsächlich nur dann neu angelernt werden müssen, wenn MEG oder SAM/ZEE getauscht wurden. Mit dem Austausch zwischen MEG und SAM/ZEE für die WFS habe ich mich noch nicht beschäftigt. Meine kleine total ungeprüfte Theorie dazu ist aber, dass das SAM/ZEE gegenüber dem MEG quasi so tut, als wäre es der Transponder im Schlüssel und die Antwort halt selbst berechnet, die das Motorsteuergerät hören will, damit die WFS entriegelt wird. Der Hersteller Bosch baut die Software für die Motorsteuergeräte aus einer Art Software-Lego zusammen und wird vermutlich für einen kleinen Hüpfer wie smart keine großen Änderungen an der kritischen und bereits hundertfach überprüften WFS-Komponente im Code vorgenommen haben. Am Ende ist das aber sicherlich alles keine Raketentechnik, dafür waren die Entscheider damals noch einerseits zu geizig, um auch nur einen Cent mehr für einen leistungsfähigeren Prozessor zu zahlen, der noch Luft für vernünftige Verschlüsselung hat und anderseits so arrogant zu glauben, dass außerhalb der heiligen deutschen Automobilbranche eh alle zu doof sind, um die geile XOR-Crypto zu knacken Naja und der 451, das ist ein großen Teile elektronisch gesehen ein anderes Auto. Die CAN IDs wurden fast alle einmal neu ausgewürfelt, neue Steuergeräte sind dazugekommen usw. Da stehen die Chancen auf Kompatibilität zwischen ZEE 450 und SAM 450/452 noch am besten, denke ich. Du willst doch das MEG sowieso rausschmeißen, da ist das doch eigentlich egal, wie die Kommunikation zwischen den beiden abläuft. Wenn es nur um das Bit in 0x220 für den Zündschlüssel auf Position 2 geht, das wird doch immer vom SAM gesetzt, egal ob WFS an oder aus?

Nach den Schaltplänen gab es für ZEE-smarts zwei grundsätzlich verschiedene Alarmanlagen ab Werk. Die erste Variante wurde bis 01.07.1999 verbaut, hatte das Relais K39/1 aus dem Bild oben und verwendete die normale Hupe als Signalgeber. Das "Relais" scheint auch noch eine Logikschaltung für irgendwas integriert zu haben (nennen sie ja auch "Relais Intelligente Hupe" ) und es hängt hinter dem Lastausgang von Relais "D", um die Hupe unabhängig davon bestromen zu können. Relais "D" wird für die Alarmierung also im Zweifelsfall komplett umgangen. Die zweite Variante, verbaut ab dem 01.07.1999 bis zum 19.01.2003 (Umstellung auf SAM), hat das Relais K39/1 nicht mehr und bringt eine eigene Tröte mit Zusatzbatterie zur Alarmierung mit, so wie es aussieht (nennt sich H3 in den Plänen, statt H2 für die normale Hupe). Es ist keine Verbindung mehr zur normalen Hupenschaltung eingezeichnet und Relais "D" ist damit auch aus dem Spiel. Die Hupenschaltung ist beim 2000er ZEE-smart noch super einfach ausgeführt. Stromversorgung über Sicherung 16 zu Relais "D" und direkt über die Kontakte im Lenkrad geschaltet. Stecker am Lenkrad: Pin 1 Braun an Masse, Pin 2 Schwarz/Braun zum Steuerkreis vom Relais. Wenn man am Stecker zum Lenkrad fahrzeugseitig Pin 1 und 2 verbindet, muss es hupen, wenn nicht liegt das Problem vor dem Stecker, sonst irgendwo zwischen Stecker, Wickelspule und den Schaltkontakten unter der silbernen Spange vom Lenkrad. Sicherheitshalber möchte ich noch sagen, dass gerade die ganz alten Schaltpläne aus der Anfangszeit vor 2003 nicht immer korrekt sind. Daher bitte nicht steinigen, falls die Produktion mal wieder was anderes gebaut hat, als die Pläne zeigen

Du könntest mal schauen, ob bei gezogener Sicherung 27 = deaktiviertes MEG, das Bit in Nachricht 0x220 nicht trotzdem gesetzt wird. Bei mir war es jedenfalls so, wenn ich mich richtig erinnere. Habe das aber nur am Rande mitbekommen, als ich für deinem anderen Beitrag etwas getestet hatte.

Viel offizielle Infos gibt es dazu natürlich nicht - alles super-duper-mega-geheim. Außer das, was wir z.B. hier im Forum über die Jahre an Infos zusammengetragen haben, ist nicht viel zu finden. Die WFS vom 450/452 ist ein zweiteiliges System, das über einen Schlüssel abgewickelt wird. Andere Lösungen aus der Zeit haben einen getrennten Funksender für die Entriegelung der Türen und einen Transponderchip für die Freigabe der Wegfahrsperre verwendet. Smart hat sich den Transponderchip (und damit auch den zusätzlichen Empfänger) gespart und wickelt beide Funktionen nur über den Funkschlüssel ab. Der Empfänger für den Funkschlüssel ist am SAM/ZEE angeschlossen, d.h. dort liegt die Logik, um die gesendeten Daten vom Schlüssel zu dekodieren und zu verifizieren. Wird ein Schlüssel erkannt, werden die Türen entriegelt. In einem zweiten Schritt kommunizieren SAM/ZEE und das Motorsteuergerät über CAN, um die WFS freizugeben. Das sind zwei unabhängige Schritte, denn es kann durchaus sein, dass das SAM/ZEE zwar noch den Schlüssel erkennt und die Türen entriegelt aber die Wegfahrsperre blockiert bleibt, wenn die Synchronisierung zwischen SAM/ZEE und MEG nicht mehr funktioniert. Diesen Fehler kann man einfach durch neues anlernen der Schlüssel beheben. Dabei dürfte dann auch die Verbindung zwischen MEG und SAM/ZEE neu aufgebaut werden, damit der Request/Response-Mechanismus wieder funktioniert.

Ja, das war ein Übertragungsfehler aus meiner Doku, die ist offenbar nicht so richtig DBC kompatibel. Ich bleibe wohl besser bei meinem Format, da muss man nicht um so viele Ecken denken

In dem DBC-Schnippsel? Das ist doch ok, 400 dezimal ist 190 in hex Die Startposition passt aber glaube ich nicht, müsste doch eher so aussehen, wenn man vom LSB anfängt zu zählen: SG_ RequestRadiatorFan : 13|1@1+ (1,0) [0|1] "" SAM_450

Nachricht 0x190, Bit 3 im zweiten Byte gesetzt:

Ja, wirklich nett von dir, nur der entscheidende Teil fehlt halt. Die Frage des TE war, wie man den 60 KW Motor im ausgebauten Zustand ohne Papiere erkennt. Du schreibst, dass man das natürlich anhand der eingeschlagenen Nummer wie auf dem Foto feststellen kann. Nur wie aus den Zahlen der Motor zugeordnet wird, schreibst du nicht. So ist die Info für den TE doch ziemlich nutzlos.

Um die Teilenummer geht es ja gar nicht. Du hast geschrieben, dass die Nummer auf dem Foto eine Motornummer wäre: Nur sehen die Motornummern halt in den Papieren irgendwie anders aus, z.B. Motornummer: 160920 40 806369 BENZINER 45KW / 61 PS (M160/1) Motornummer: 160920 40 528701 BENZINER 37KW / 50 PS (M160/1) Motornummer: 160910 40 405506 51KW BENZINER EU3 / 70 PS = Crossblade Motornummer: 160923 40 721075 BENZINER 74KW / 101 PS (M160/1) Motornummer: 160922 40 528015 BENZINER 60KW / 81 PS (Roadster) In der letzten Zeile ist ein 60 KW Roadster Motor, erkennbar am Variantencode "922". Ich würde eigentlich nur gerne verstehen, wie die Zahlen auf dem Foto in Verbindung zur Motornummer stehen, die Mercedes in den Datenkarten verwendet, denn der Aufbau passt ja nun mal offensichtlich nicht zusammen. Aber echt mal! Wir sind schließlich nicht hier, um Wissen auszutauschen oder mal was neues zu lernen 🤣

Nur wie man mit dem Zahlensalat den 82 PS Motor identifizieren kann, wissen wir jetzt noch immer nicht. Na komm, @EddyC, erleuchte uns!

Okay, dann oute ich mich auch mal als einer der 90% ahnungslosen aber wie kann man denn aus den Zahlen auf dem Foto die Motorvariante ermitteln? Die Motornummern in den Datenkarten sehen jedenfalls anders aus. Falls das in der zweiten Zeile die Seriennummer ist, fehlt doch noch der Teil mit dem Variantencode "160.9??".

War früher mal Pflicht, wurde aber vor ein paar Jahren von Mercedes mit einem Update der StarDiagnose abgeschafft.

Der QBS war gemeint, die ABS Sensoren wurden von neverhope ja schon über die Diagnose getestet. Der Text zum Fehlercode in der StarDiagnose ist dazu auch eindeutig: "C1104 - B24/2 Querbeschleunigungssensor".

Kann mich erinnern, dass hier schon von kaputten Leitungen zwischen Sensor und Motorsteuergerät berichtet wurde. Irgendwo auf dem Weg nach hinten zum Motorkabelbaum gibt es ein paar mögliche Problemstellen für die Kabel. Der alte Sensor hat aber anscheinend auch nicht den besten Ruf, was die Haltbarkeit angeht.

Ich könnte schwören, dass das in der SD änderbar war, aber jetzt wo du es sagst, in meinen Bastel-Screenshots finden sich auch nur Bilder mit Auswahllisten für die Freigaben. Vielleicht habe ich es wirklich falsch in Erinnerung, ist alles lange her. Inzwischen bastel ich ja nur noch mit Vediamo und damit geht es. Hier ein Fall wo ich DriveLock nachträglich aktiviert habe. Anderer Timingblock aber man sieht, dass auch Zahlenwerte geändert werden können. Nachschauen kann ich gerade nicht. Die SD staubt in der Firma ein, da muss ich die nächsten paar Wochen zum Glück nicht hin

Normales Verhalten, würde ich sagen. Die Fensterheber hängen mit am Relais vom Heizgebläse und das wird während des Startvorgangs zur Entlastung kurz abgeschaltet.

Ui ui, was war da denn los. Das sollte eigentlich unkastriert heißen

Nicht dass ich wüsste. Mit einer unkatastrierten CBF-Datei geht es aber sicher irgendwie. So doof werden die bei Mercedes ja nicht sein, dass sie falsch programmierte Steuergeräte freiwillig wegschmeißen, wenn in der Produktion mal was schief gelaufen ist. Bei zahlenden Kunden ist das natürlich was anderes

In der Variantenkodierung. Bei mir gibt es im Hauptmenü des SAM einen Eintrag Entwicklungsdaten und dann Steuergeräte-Anpassungen. Dein Parameter steht in "Timingblock 3". Vorher aber noch im Menüpunkt "Ansteuerungen" das Steuergerät entriegeln mit "SG_Entriegelung (DJ_SG_Entriegelung) und nach der Kodierung ein Reset mit "ECU Reset". Ich mache das inzwischen immer mit Vediamo, da gibt es einen praktischen Dialog, der alle Parameter an einer Stelle zusammenfasst. Dann muss man nicht so viel klicken. P.S. Den Wert besser nur auf 5.000 setzen, statt auf 5000 Und noch ein paar Bildchen. So sieht es bei mir in der SD aus: Und so in Vediamo: