Anleitung: Werksreset trotz Sicherheitsschlüssel Rollladenaktor HM_LC_Bl1PBU_FM

[Adimarantis]

Disclaimer: Diese Prozedur erfordert den Aktor zu zerlegen und mit Strom zu versorgen. Je nach Methode besteht Gefahr durch Netzspannung und der Aktor kann durch die Prozedur potentiell zerstört werden.

Anwendungsfall: Wenn man einen Sicherheitsschlüssel gesetzt hat und einem die CCU abraucht (man aber leider kein Backup hat und/oder den Sicherheitsschlüssel nicht notiert hat) oder aber einen gebrauchten Aktor gekauft hat, der nicht ordnungsgemäß zurückgesetzt wurde (und bei dem ein Sicherheitsschlüssel gesetzt war), dann hält normalerweise ein Stück Elektroschrott in der Hand. Beim Werksreset (5 Sekunden Config Taste) fängt der Aktor nicht zu blinken an, sondern zeigt ein rotes Dauerlicht. Der Reset wird verweigert.

Um den Aktor doch noch flott zu bekommen, muss der Aktor geöffnet werden, so dass man an die ICs der Steuerplatine herankommt, muss dann aber wieder mit Strom versorgt werden.

a) Sicherere Methode: Die Steuerplatine ausbauen und mit einem Netzgerät mit der benötigten Betriebsspannung versorgen. Dafür ist natürlich ein entsprechendes Netzteil Vorraussetzung, sowie das Wissen an welche PINs diese anzulegen ist.
b) Wer da unsicher ist, kann auch den Aktor "rückwärts" wieder zusammenbauen. Die Relaisplatine in den Deckel einsetzen, Zwischenplastik drauf und die Steuerplatine aufstecken. Damit sollten alle Teile die 220V führen gut eingepackt sein. Am Besten noch mit einem Gummiband sichern, damit das nicht wieder rausrutscht. (Trotzdem ist von der Methode abzuraten, da immer die Gefahr eines Stromschlags besteht)

Die eigentliche Prozedur basiert auf einem Trick den ich zufällig gefunden habe um bei einem PC ein gesetzes BIOS Passwort zu umgehen. Dafür wird verhindert, dass das Passwort aus dem EEPROM ausgelesen wird, indem man SDA und SDL am IC kurzschliesst. Der PC bekommt keine Daten vom EEPROM und bootet ohne Passwort.

Ich dachte mir: Vielleicht funktioniert das irgendwie auch mit den Aktoren. Da ich diese ohnehin schon abgeschrieben hatte, war mir das Risiko eines Totalverlusts egal.

Vorgehensweise:
1.) Die PINs SDA, SDL und die beiden Masse PINs mit einem Draht, Schraubendreher o.ä. überbrücken (siehe roter Balken auf dem Bild im Anhang, evtl. reicht auch nur SDA+SDL - das sind die beiden linken PINs auf dem Foto)
2.) Die Config Taste drücken und gedrückt halten
3.) Jetzt erst die Stromzufuhr aktivieren (mir sind da die Hände ausgegangen, da musste mir dann meine Frau zur Hand gehen)

Folgendes Verhalten ist zu erwarten:
Die LED blinkt alle ca. 5 Sekunden einmal grün auf. Ich habe viel rumprobiert mit der Reihenfolge oben und es hat nicht immer auf Anhieb geklappt. Am besten diesen Zustand für 3-4 mal Aufblinken beibehalten.

4.) Die Überbrückung entfernen, die Config Taste bleibt aber gedrückt
5.) Nach ca. 5 Sekunden sollte die LED rot zu blinken anfangen. Dann wie beim normalen Werkreset Config loslassen und wieder 5 Sekunden drücken bis die LED schnell blinkt.
6.) Config loslassen - der Aktor ist zurückgesetzt.

Die Methode ist möglicherweise nicht 100% deterministisch. Ich musste das immer mehrmals probieren, konnte so aber erfolgreich zwei zuvor gesperrte Aktoren wieder aktivieren und sie versehen jetzt brav ihren Dienst.

Möglicherweise lässt sich die Methode auch auf andere Aktoren (z.B. den fast baugleichen Schaltaktor) anwenden. Ich hatte noch eine gesperrte 12 Tasten Fernbedienung, diese war aber erstens uralt (Seriennummer EEQ....) und hatte zweitens einen anderen EEPROM Chip (nur 6 PINs statt 8 ). Hier war ich leider erfolglos.

Falls das bei euch bei einem anderen Aktor klappt, bitte in diesem Thread Aktoren und Firmware Version posten (ich hatte Aktoren mit der aktuellen FW 2.11).

Gruß,
Jörg

[frank]

achtung!!!

nach schaltplan des sw1pbu/bl1pbu ist pin8 vom eeprom aber 3v3!!!
somit gibt es ja einen kurzschluss mit masse am pin7.

edit:
pin8 ist in beiden schaltplänen identsch 3v3.
also nur die 3 linken pins brücken, nicht noch den rechten.

trotzdem danke für die anleitung. das werde ich demnächst mal probieren.

[frank]

HM-LC-SW1PBU-FM mit fw2.1 beim ersten mal erfolgreich resettet . 

ich habe es vor dem entfernen der brücke 4x blinken lassen. die pausen zwischen dem blinken haben bei mir gefühlt 10 sek gedauert. ich wollte fast schon aufgeben.

zur spannungsversorgung habe ich 2 neue mignon batterien (3,26v leerlaufspannung) zwischen die äusseren pins des verbindungssteckers geschaltet. natürlich alles ohne relaisplatine.
als brücke habe ich eine kleine krokoklemme über das eeprom geklemmt (pins 3,4,5,6 gebrückt), wodurch ich eine hand mehr hatte. 

nochmal danke für die super anleitung.

gruss frank

[frank]

als nächstes würde ich gerne ein HM-LC-SW1-PL2 resetten.
hier muss ich mir leider erst ein passenden torx T6 besorgen. meiner kommt nicht tief genug.

hat eventuell jemand eine bastelanleitung/schaltplan für diesen aktor? dann könnte ich mich schon mal vor dem öffnen schlau machen.

[Pfriemler]

das ist noch das alte Gehäuse, gell? Nein. Ich könnte höchstens mal einen neuen und einen alten aufmachen und vergleichen.
Für den neuen eckigen habe ich - aber Du sicher auch ...

[frank]

genau, die "spacigen" alten.
zu "zwischensteckern" habe ich gar keine schaltpläne.

[Pfriemler]

Der alte und neue PL sind doch extrem unterschiedlich. Anbei zwei Fotos meines "alten" offen.

edit: nein, ich habe die nicht zusammengelötet, die kamen so ab Werk

edit2: IC3 ist der Schaltregler (Viper), IC4 ist der EEPROM, der gleiche Chip wie im Rolladenaktor. Man sieht auf dem Foto direkt die beiden SDA- und SCL-Leitungen, die direkt zum Atmel gehen. _WC_ (bzw. im Bl1PBU WP genannt) sollte GND haben, also die drei brücken. Viel Glück!

Im neuen PL ist EEPROM IC3 gar nicht mehr bestückt, die Daten wird der Atmel also intern speichern. Da dürfte dann auch der Kurzschlusstrick nicht mehr helfen.

edit 3: Als Brücke könnte man auch ein Messkabel nemen und die Prüfspitze zwischen den beiden Pins parken (das andre Ende an GND).

[Pfriemler]

Also erst mal: sehr geil. Solche Hacks sind doch extremst mein Geschmack!

Möglicherweise lässt sich die Methode auch auf andere Aktoren (z.B. den fast baugleichen Schaltaktor) anwenden. Ich hatte noch eine gesperrte 12 Tasten Fernbedienung, diese war aber erstens uralt (Seriennummer EEQ....) und hatte zweitens einen anderen EEPROM Chip (nur 6 PINs statt 8 ). Hier war ich leider erfolglos.

Ich habe auch eine RC-12, aber ich finde auf meinen Dokufotos keinen 8 oder 6-Beiner. Leider auch kein Schaltplan. Was ein "DG2491" ist, verrät mir Google nicht.
(Das Teil hatte Probleme mit dem Rüttelkontakt und fror dann regelmäßig komplett ein - Ursache waren kalte Löststellen auf dem Verbinder zum Funkmodul.)

[Adimarantis]

Ich habe auch eine RC-12, aber ich finde auf meinen Dokufotos keinen 8 oder 6-Beiner. Leider auch kein Schaltplan. Was ein "DG2491" ist, verrät mir Google nicht.

Meiner war sehr alt und anders aufgebaut. Ich nehme mal an das die 8 leeren Kontakte mit der Beschriftung IC3 mal ein EEPROM beheimatet haben, aber wie schon oben diskutiert der Speicher jetzt in den Controller gewandert ist. Den "Jailbreak" hat EQ3 wohl bewusst oder unbewusst bei neuen Komponenten gefixt.

[frank]

ich habe jetzt zwei HM-LC-SW1-PL2 (fw1.9 und fw1.12) probiert.

leider klappt es hier (noch?) nicht. die led will einfach nicht blinken nach dem anschalten der spannung. wenn ich dann nach 30-60 sec warten, die eeprom brücke entferne, startet die erste phase des reset blinkens. allerdings verweigert er dann nach erneutem taster drücken, die 2. phase des reset.

ich vermute jetzt mal, dass der "trick" eventuell nur mit devices funktioniert, die ota-update fähig sind, da die einschaltprozedur zum manuellen starten des updates identisch ist.

[Damu]

Hallo

Hab gemeint das nur SEC Geräte nicht ohne Sicherheitsschlüssel zurückgesetzt werden können?
Bei allen anderen sollte das zurücksetzen doch auch ohne Schlüssel gehen?

[Pfriemler]

Nö, ich kenne das anders. SEC und nicht-SEC unterscheiden sich nur darin, dass SEC immer mit Signierung arbeitet. Bei den anderen kann sie optional zugeschaltet werden.
Mir ist nicht ganz klar, ob das Setzen eines eigenen AES-Schlüssels die Resetprozedur ebenfalls unterbindet oder ob der AES-Schlüssel bei einem Reset am Gerät nur nicht zurückgesetzt wird. Ein Gerät mit einem eigenen Sicherheitsschlüssel kann jedenfalls nicht mit einer Zentrale verwendet werden, die diesen Schlüssel nicht kennt.
Ein weiteres Problem liegt vor, wenn am Aktor der manuelle Reset gesperrt wurde (localResDis = on).

Die hier versuchte Prozedur soll verhindern, dass Geräte, bei denen AES-Signierung eingeschaltet wurde und die mit einem anderen Sicherheitsschlüssel versehen sind, diesen (nebst der gesamten Konfiguration) beim Booten aus dem Speicher lesen. Der Aktor verhält sich dann wie ein Gerät ohne AES mit Standardschlüssel und kann wieder manuell resettet werden, wobei das dann auch in den Speicher geschrieben wird. Der Aktor ist dann wieder "wie neu".

Wer's besser weiß, bitte sagen!

[Damu]

Hab deshalb bei eBay vor einem Kauf von Sec Devices immer zweimal nachgefragt und das Reset bestätigen lassen.
Da hat ich bei den Aktoren etc. wohl immer Glück.
Hab da im Homematic Forum aber nicht (noch nicht, werde da noch weiter suchen) viel gefunden.
Nur etwas von einer Tastersperre die das Anlernen unterbindet.
Diese wird dann wohl auch das Reset unterbinden.

[frank]

"Sec" sagt gar nichts bzg aes aus!

meine sec-sd(1) können gar kein aes.
bei meinen sec-sc/rhs war ab werk kein aes aktiv, aber ich kônnte es aktivieren. ebenso bei vielen devices ohne "sec"

sobald ein eigener aes key assigned ist, kann kein reset durch knöpfchen drücken gemacht werden. nur noch über eine zentrale, doie den key kennt.

nun.auch bei einigen devices ohne zentrale mit dem "trick".

[altobelli]

Hier noch ein weiteres Feedback zum "alternativen" Reset:

Soeben erfolgreich an einem HM-LC-Sw4-DR durchgeführtm, FW v2.8.
Bei dem Aktor waren die Gerätetasten gesperrt und er war nicht resettet. Ohne die Kanaltaste 1 ist aber kein Reset möglich.

3,3V mittels Netzgerät an IC2 angelegt, PIN 5+6 am IC4 gebrückt.
Sonstige Vorgehensweise wie vom TE beschrieben.

Ich danke dem TE für die hervorragende Anleitung!