Funktionsweise Skreem Modul (Wegfahrsperre)

    Hallo,

    da ich mich für mein Skreemulator Projekt (Ersatzmodul für das Skreem-Modul) sehr ausführlich mit dem Skreem-Modul beschäftigt habe und selbst in dem Werkstatthandbuch einiges nicht richtig drin steht, will ich hier meine Erfahrungen mit euch teilen.

    Was macht das Skreem-Modul?

    1. Die Hauptaufgabe ist natürlich das Entsperren der Wegfahrsperre
    2. Empfängt das Signal des Funkschlüssels und leitet dieses an das BCM weiter, sodass die ZV öffnet / schließt
    3. Betätigt die Blinker beim Öffnen / Schließen

    Wie funktioniert das mit der Wegfahrsperre?

    In jedem Skreem-Modul ist ein eindeutiger Schlüssel hinterlegt, die ECU (Motorsteuergerät) fragt über CAN jedes Mal, wenn man den Zündschlüssel auf Position 2 dreht (das ist, wenn die Kontrollleuchten im Kombiinstrument angehen) einen Code vom Skreem-Modul.

    Der dafür gesendete Befehlssatz ist immer gleich, heißt jedes Skreem wird darauf antworten. Das Skreem sendet nur, wenn es diesen Befehlssatz erhält, etwas auf dem CAN Bus. Das unterscheidet es zu anderen Steuergeräten, die regelmäßig ihren Status senden.

    Empfängt das Skreem den Befehlssatz, prüft es zuerst, ob der Transponder im Schlüssel richtig ist. In jedem Skreem sind 8 Transponder fest eingespeichert, Transponder 1+2 werden dabei für die Schlüssel, welche bei der Auslieferung des Crossfires dabei waren verwendet.

    Passt der Transponder, errechnet es mit seinem Schlüssel den nächsten Code für die ECU – ähnlich eines Rolling Code Systems, wie es z.B. elektrische Garagentorantriebe oder die Funkfernbedienung des Crossfire haben.

    Die ECU prüft, ob dieser Code ein nachfolgender Code von dem ist, welchen er gespeichert hat. Falls ja, speichert sie diesen Code und gibt die Wegfahrsperre frei. Falls nicht, wird der Crossfire nur kurz starten und sofort wieder ausgehen.

    Ich kann euch übrigens jedes Skreem in eure ECU oder eine neue ECU auf euer vorhandenes Skreem programmieren. So kann man z.B. zwei ECUs wechselseitig verwenden (z.B. eins mit Tuning und ein originales).

    Bei meinen Tests konnte ich auch nachweisen, dass die Codes die ein Skreem-Modul senden kann endlich sind, bedeutet irgendwann gibt es keinen neuen Code mehr und der Crossfire wird nicht mehr starten.

    Kann man jeden Funkschlüssel an seinem Skreem-Modul anlernen?

    Zuerst einmal, wenn euer Zündschlüssel mit leerer Batterie rumliegt, wird er vergessen welchen Code er zuletzt gesendet hat und kann den Crossfire nicht mehr öffnen/schließen.

    Das ist aber einfach zu beheben: neue Batterie einsetzen, sich in den Crossfire setzen, 5x auf oder zu drücken und innerhalb von 3 Sekunden die Zündung auf Position 2 drehen. Hat das synchronisieren geklappt, werden die Blinker kurz aufblinken (im Kombiinstrument).

    Leider ist es nicht möglich einen fremden Funkschlüssel anzulernen, also kauft euch keine gebrauchten Funkschlüssel bei eBay oder so. Ihr könnt von diesen Funkschlüsseln höchstens Bauteile zur Reparatur eures Schlüssels benutzen.

    Falls ihr einen neuen Schlüssel braucht, könnt ihr mich gerne ansprechen.

    Was passiert, wenn das Skreem-Modul defekt ist?

    Wenn es komplett defekt ist, werdet ihr den Crossfire schon nicht mehr mit dem Funkschlüssel öffnen können. Wenn es teilweise noch funktioniert und nur keinen Code zur Entsperrung der Wegfahrsperre sendet, werdet ihr folgende Symptome haben:

    • Der Crossfire startet für 1-2 Sekunden und geht dann wieder aus, dies macht er 2-3 Mal, dann dreht nicht einmal mehr der Anlasser, wenn ihr den Zündschlüssel ganz dreht.

    Wenn ihr nun die Batterie für 1 Minute ab- und wieder anklemmt und genau das Gleiche passiert, habt ihr ein Problem mit der Wegfahrsperre. Ihr könnt mich dann gerne kontaktieren, ich kriege euren Crossfire in dem Fall wieder zum Laufen.

    Ihr könnt euch in dem Fall sparen zum Chrysler/Fiat-Händler zu gehen, die können euch nicht helfen. Skreem-Module sind schon einige Jahre lang nicht mehr lieferbar und damit haben sie keine Möglichkeit euren Crossfire zu reparieren.

    Gruß, Andre

    Gruß Andre :thumbup:

    Hallo André,

    ich denke eher, dass es insgesamt 8 Speicherplätze für Transponder gibt, von denen ab Werk 2 für die serienmäßigen Funkschlüssel belegt sind.

    Dass die Anzahl der generierbaren Freigabecodes des Skreems endlich sein soll, erscheint mir unwahrscheinlich. Zumindest müsste es dann eine Resetmöglichkeit oder eine Autoresetfunktion geben.

    Dass die Wegfahrsperre nur einmal initial abgefragt wird, ist bei dieser Steuergerätegeneration nach meiner Einschätzung völlig normal.

    Dass die Funkschlüssel aus der Synchronisation laufen können, ist klar. Glücklicherweise hat man bei diesem System keine finale Sperrfunktion eingebaut; sowas gibt es bei anderen Herstellern und das ist dann wirklich Käse.

    Grüße, Markus :winke:

    Hallo Markus,

    doch die 8 Transponder sind fest eingespeichert. Diese werden sich natürlich, wenn man weiß wie errechnen lassen, aber man kann nicht jeden beliebigen Transponder mit dem Skreem "verheiraten".

    Zumindest kann mir die Software, welche ich für die Erstellung von neuen Funkschlüsseln verwende sagen welche Transpondernummer ( von 1 bis 8 ) der vorhandene Schlüssel hat und man kann wählen welche Nummer ( leider nur von 1-4 ) der neue haben soll.

    Und das die Freigabecodes endlich sind konnte ich eindeutig nachweisen, ich habe das EEPROM kopiert und dann mittels Skript immer wieder einen neuen Code angefragt. Irgendwann hat das Skreem nicht mehr geantwortet. Ich habe dann den letzten Code aufgeschrieben, das EEPROM mit der Sicherung überschrieben und das Skript wieder gestartet. Als das Skreem nicht mehr geantwortet hat, war der letzte Code identisch.

    Da es ein gebrauchtes Skreem war, kann ich natürlich nicht sagen welche Anzahl an Codes es sendet. Ich vermute 65.536 oder 131.072.

    Gruß Andre :thumbup:

    Hallo André,

    Ich habe das gerade mal aus dem Dokubereich rausgenommen, damit ich nicht immer freischalten muss. Verschiebe ich später gerne zurück.

    Isoliert betrachtet könnte es sein, dass die Anzahl der Skreem-Codes endlich ist. Aber hast Du das auch in Kombination mit der ECU und der Alarmsirene getestet? Ich denke, da gibt es auf jeden Fall einen Softreset. Alles andere macht ja überhaupt keinen Sinn.

    Fest vergebene Transpondercodes. OK, habe nochmal nachgeschaut, ist wahrscheinlich. Die in den Schlüsseln verwendeten PCF7930 haben 768 KB non volatile user memory. D.h. dort könnte der vorgegebene Wert aus dem Skreem eingetragen werden. Andererseits haben die Transponder aber auch fest vergebene Identifier. Insofern wäre beides möglich. Bedeutet aber natürlich auch, dass man den Code ggfs. aus dem Transponder auslesen und ins EEPROM eintragen kann, wenn das ganze unverschlüsselt läuft oder man den Hash hat. Ein KR55 bekommt das ja auch hin.

    Grüße, Markus :winke:

    Hallo Markus,

    ich verstehe nicht, was du mit einem Softreset meinst. Die ECU kann man mit einem Eintrag im EEPROM dazu bringen sich in einen "neutralen" Auslieferungszustand zu bringen. Neutral deshalb, weil sie danach erst programmiert werden muss, um irgendwo zu laufen.

    Die Alarmsirene ist komplett vom Skreem + ECU entkoppelt, diese wird vom BCM gesteuert.

    Mit einer ECU habe ich das ganze nicht getestet, da die ECU ja nur die Codes vom Skreem anfordert und danach prüft. Wenn das Skreem aber keine Codes mehr sendet, bleibt die Wegfahrsperre aktiviert.

    Meine Vermutung ist ja, dass die Codes ähnlich einem Rolling Code Systems berechnet werden.

    Das Skreem und die ECU haben von Chrysler/Mercedes ein gemeinsames Geheimnis in der Firmware, das Skreem dazu noch einen Schlüssel welches das Motorsteuergerät aus dem im EEPROM gespeicherten Skreem Codes errechnen kann. Nun gibt es nur noch den einen unbekannten, das ist der Zähler, welcher immer um eins hochgezählt wird. Diesen Zähler wird das Skreem speichern, da die Speicherchips damals teuer waren, vermute ich, dass dieser Zähler 16 Bit breit ist, daher die 65.536 möglichen Codes.

    Dass die ECU die Codes errechnet, konnte ich auch ganz einfach nachweisen. Wenn ich der ECU einen Code schicke, der z.B. 100 Codes weiter ist als der letzte Code, braucht die ECU mehrere Sekunden den als richtig zu beantworten.

    Wenn man direkt den nächsten Code sendet, dauert die Antwort nur Millisekunden.

    Gruß, Andre

    Gruß Andre :thumbup:

    Hallo André,

    wenn das so wäre wie Du es beschreibst, würde nach meinem Verständnis das Skreem-Modul nach 65.536 oder 131.072 Schließungen unbrauchbar. Nehmen wir mal an, dass ich den Crossfire am Tag 8x per Funk öffne / schließe, wäre es nach rund 23 Jahren im Eimer, da alle Codes aufgebraucht wären (bei 65.356 möglichen Codes). Das wäre nach meinem Ermessen eher ein grober Designfehler, als geplante Obsoleszenz. Mit Softreset meine ich in diesem Zusammenhang, dass ggf. ein anderes Steuergerät den Zähler im Skreem resettet.

    Ein Rolling Code System oder etwas Ähnliches macht deutlich mehr Sinn und wäre wesentlich sicherer. Ich vermute, die nutzen sowas wie einen Hash, ansonsten wäre das zu einfach zu knacken. Auch weil die Originalschlüssel ab Werk ohne weitere Programmierung in Betrieb genommen werden konnten und wohl vorab auf die VIN / hinterlegten Codes programmiert waren. D.h. der Transponder muss nur gelocked werden und dann funktioniert das System.

    Grüße, Markus :winke:

    Hallo Markus,

    in den USA mehren sich die Fehler mit defektem Skreem, also ist das mit den begrenzten Codes gar nicht so unwahrscheinlich. ;)

    Und eine geplante Obsoleszenz ist auch nicht so unwahrscheinlich, wenn viele Automobilhersteller in der heutigen Zeit die Lebenserwartung eines Autos mit 180.000 Km angeben.

    Gruß, Andre

    Gruß Andre :thumbup:

    Hallo André,

    eine geplante Obsoleszenz würde ich anders angehen. Da plane ich, dass die Funktion nach dem Auslaufen möglicher Garantieleistung nicht mehr gegeben ist und gleichzeitig die Ersatzteilversorgung noch besteht, sodass ich auf jeden Fall einen großen Reibach machen kann. Das scheint mir mit 65.536 oder respektive 131.072 Codes nicht sinnvoll gegeben zu sein.

    Habe gesehen, dass Du die Bauteile für den Skreemulator in der Anleitung / Dokumentation offengelegt hast. Das finde ich sehr gut.

    Grüße, Markus :winke:

    ... :whistling: ... alle Achtung!!! Ihr Zwei (André und Markus) seid ja echt tief in das Thema eingetaucht! Bisher bekam ich schon immer einen "Herzkasper", wenn mir der Schlüssel nur hingefallen ist - scheinbar gibt es jetzt eine Lösung! (Zumindest habe ich euren Austausch so verstanden). :wacko:

    Viele Grüße z.Zt. aus Cervinia/Zermatt, Joachim :winke:

    Hallo Joachim,

    ja es gibt eine Lösung: verlorene/defekte Schlüssel können einfach ersetzt werden, wenn es noch einen mit funktionierendes Fernbedienung gibt.

    Wenn keine Schlüssel mehr vorhanden sind, geht das auch, aber der Aufwand ist so hoch, dass es sich wirklich nur für jemanden lohnt, der unbedingt alles Original haben möchte.

    Und ein defektes Skreem kann auch ersetzt werden, entweder durch ein anderes gebrauchtes oder durch meinen Skreemulator.

    Gruß, Andre

    Gruß Andre :thumbup:

    Hallo Joachim,

    vielleicht noch als Ergänzung. Kompletter Schlüsselverlust ist mittlerweile kein Problem mehr. Die Problematik ist dann, dass die Geräte, mit denen man die neuen Schlüssel anlernt, relativ teuer sind und dass sich das erst ab einer gewissen Menge rentiert, weil die Geräte sehr spezialisiert sind. Aber ansonsten kein Problem.

    Grüße, Markus :winke:

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden