西門子PLC的PPI協(xié)議分析.docx

西門子PLC的PPI協(xié)議分析/s/blog_4aaf50740100mfsi.html 西門子S7-200 PLC之間或者PLC與PC之間通信有很多種方式:自由口，PPI方式，MPI方式，Profibus方式。使用自由口方式進(jìn)行編程時(shí)，在上位機(jī)和PLC中都要編寫數(shù)據(jù)通信程序。使用PPI協(xié)議進(jìn)行通信時(shí)，PLC可以不用編程，而且可讀寫所有數(shù)據(jù)區(qū)，快捷方便。但是西門子公司沒有公布PPI協(xié)議的格式。用戶如果想使用PPI協(xié)議監(jiān)控，必須購買其監(jiān)控產(chǎn)品或第三方廠家的組態(tài)軟件。這樣給用戶自主開發(fā)帶來一定困難，特別是自行開發(fā)的現(xiàn)場設(shè)備就不能通過PPI協(xié)議接入PLC。其它通訊方式編程也存在編程復(fù)雜，需要購買軟件和授權(quán)等局限性(1)。通過數(shù)據(jù)監(jiān)視、分析的方法，我們找出了PPI協(xié)議的關(guān)鍵報(bào)文格式，可用于上位機(jī)、現(xiàn)場設(shè)備與S7-200 CPU之間通訊。PC與PLC采用主從方式通訊，PC按如下的格式發(fā)讀寫指令，PLC作出接收正確的響應(yīng)（返回應(yīng)答數(shù)據(jù)E5H或F9H見下文分析），上位機(jī)接到此響應(yīng)則發(fā)出確認(rèn)命令（10 02 5C 5E 16），PLC再返回給上位機(jī)相應(yīng)數(shù)據(jù)。一般上位機(jī)要連接PLC就要先發(fā)送如下數(shù)據(jù) 10 02 00 49 4B 16 你可以理解為我們常用的對講機(jī)通話模式：00呼叫02，聽到請回答 10起始符 02是之上位機(jī)要聯(lián)系的下位級(jí)的地址站號(hào) 00就是上位級(jí)本本身自己的站號(hào) 49尋呼指令 16終止符 其中4B為校驗(yàn)碼，是這樣得來的：02+00+49的最后兩位就是校驗(yàn)碼，這就是所說的偶校驗(yàn)或稱和校驗(yàn)。計(jì)算器在16進(jìn)制計(jì)算時(shí)公式（02+00+49）mod 100得出的數(shù)就是校驗(yàn)碼，你計(jì)算一下是不是等于4B啊！其他的所有ppi協(xié)議校驗(yàn)都是如此。假如02站號(hào)的PLC收到尋呼信號(hào)那么會(huì)回答： 10 00 02 00 02 16意思是：報(bào)告00 ，02收到，請指示這樣的解釋是不是有意思??！你有更好的解釋嗎？我們先來看看西門子老型號(hào)的PLC的讀密碼指令：PLC請用串口軟件以16進(jìn)制發(fā)送，端口設(shè)置9600；e；8；1發(fā)送:68 1B 1B 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10 02 00 08 00 00 03 00 05 E0 D2 16意思：要求傳送系統(tǒng)存儲(chǔ)區(qū)05E0位開始的8個(gè)字符。如果通訊無誤，PLC會(huì)返回 E5，意思：已經(jīng)收到那么這時(shí)上位機(jī)再次發(fā)送指令 10 02 00 5C 5E 16 意思：請執(zhí)行命令。那么這時(shí)PLC就真的執(zhí)行命令了返回如下字符：68 1D 1D 68 00 02 08 32 03 00 00 00 00 00 02 00 0C 00 00 04 01 FF 04 00 40 9B 98 02 06 9D 9A 00 76 7D 16好了，說到這里就此停止，大家看看密碼是多少??！你多做實(shí)驗(yàn)一定能得出結(jié)果的。CN plc中鮮為人知的二次加密：上面是plc所返回的密碼，但是已經(jīng)加密了，你如果不懂解碼，還是算不出密碼來。其實(shí)新版的plc不光cn一種，所有02版的plc在加密的時(shí)候都改動(dòng)了密碼，密碼在傳輸?shù)倪^程中進(jìn)行了再加密！這就是鮮為人知的二次加密！看下面我做的通過串口監(jiān)視截獲的數(shù)據(jù)：我下載程序，當(dāng)軟件要求我輸入下載密碼的時(shí)候，我輸入密碼：22222222，可是截獲的竟然是一組這樣的數(shù)據(jù)：68 21 21 68 02 00 7C 32 07 00 00 00 19 00 08 00 0C 00 01 12 04 11 45 01 00 FF 09 00 08 67 67 00 00 67 67 00 00 FE 16PLC提示： 67 67 00 00 67 67 00 00 其實(shí)就是我剛才輸入的8個(gè)2的密碼，在這里加密了。下面呢我公布一下二次加密的代碼。大家來算一下，這個(gè)數(shù)據(jù)是怎么得來的。密碼代碼：無大小寫區(qū)分0=651=642=673=664=615=606=637=628=6D9=6CA=14B=17C=16D=11E=10F=13G=12H=1DI=1CJ=1FK=1EL=19M=18N=1BO=1AP=05Q=04R=07S=06T=01X=0DY=0CZ=0F怎樣讀取PLC的版本號(hào)：我們在*中首先要確定的是PLC的版本號(hào)。就是要看看是老版本還是02版的，也好做出加*方案。他的通訊源碼是這樣的：68 1B 1B 68 02 00 7C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10 02 00 14 00 00 03 00 00 00 09 16發(fā)送完上面數(shù)據(jù)PLC返回E5.再次發(fā)送確認(rèn)指令：10 02 00 5C 5E 16 這時(shí)plc的版本號(hào)就返回來了。看下面：PLC資料網(wǎng)68 29 29 68 00 02 08 32 03 00 00 00 00 00 02 00 18 00 00 04 01 FF 04 00 A0 43 50 55 20 32 32 36 20 43 4E 20 20 20 20 20 20 30 32 30 31 D7 16你看這一段：43 50 55 20 32 32 36 20 43 4E 20 20 20 20 20 20 30 32 30 31 就是plc版本號(hào)的ascii碼。用asc方式顯示就會(huì)看的更明白上面數(shù)據(jù)是：CPU SP226SP CN 0201 （sp就是空格）讀取密碼保護(hù)位(保護(hù)等級(jí))指令68 1B 1B 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10 02 00 01 00 00 03 00 05 D8 C3 16全部清空plc指令：68 21 21 68 02 00 7C 32 07 00 00 00 24 00 08 00 0C 00 01 12 04 11 45 01 00 FF 09 00 08 16 19 06 0D 01 08 18 1E EE 16讀命令分析一次讀一條數(shù)據(jù)對于一次讀取一個(gè)數(shù)據(jù)，讀命令都是33個(gè)字節(jié)。前面的021字節(jié)是相同的，為 ：0123456789101112131415161718192021PLC資料網(wǎng)開始符長度長度開始符站號(hào)源地址功能碼SDLELerSDDASAFCPLC資料網(wǎng)681B1B6802006C320100000000000E00000401120A10012345678910SD LE LER SD DA SA FC DSAP68 1B 1B68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 102223242526272829303132PLC讀取長度數(shù)據(jù)個(gè)數(shù)存儲(chǔ)器類型偏移量校驗(yàn)結(jié)束DUFCSED0200080000030005E0D21668 1B 1B 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10 02 00 08 00 00 03 00 05 E0 D2 1668 1B 1B 68 02 00 7C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10 02 00 14 00 00 03 00 00 00 09 16因?yàn)槭荘C上發(fā)的讀PLC數(shù)據(jù)的命令，SA=00，DA=02，如果有b多個(gè)站，DA要改成相應(yīng)的站號(hào)。讀命令中從DA到DU的長度為1B即27個(gè)字節(jié)。從22字節(jié)開始根據(jù)讀取數(shù)據(jù)的類型、位置不同而不同。表一是讀不同存儲(chǔ)器命令的Byte2232。PLC資料網(wǎng)字節(jié)22 2324 2526 2728 29 303132功能讀取長度 數(shù)據(jù)個(gè)數(shù) 存儲(chǔ)器類型偏移量校驗(yàn) 結(jié)束讀q0.001 0001 0000 8200 00 006416讀m0.001 0001 0000 8300 00 006516讀M0.101 0001 0000 8300 00 016616讀SMB3402 0001 0000 0500 01 10F916讀VB10002 0001 0001 8400 03 208B16讀VW10004 0001 0001 8400 03 208D16PLC讀vd10006 0001 0001 8400 03 208F16讀i0.501 0001 0000 8100 00 056816讀i0.701 0001 0000 8100 00 076A16表 一 讀命令的Byte22-32從表中我們可以得出以下結(jié)果：Byte 22 讀取數(shù)據(jù)的長度01：1 Bit 02：1 Byte04：1 Word 06：Double WordByte 24數(shù)據(jù)個(gè)數(shù),這里是01 ，一次讀多個(gè)數(shù)據(jù)時(shí)見下面的說明。Byte 26 存儲(chǔ)器類型，01：V存儲(chǔ)器 00：其它Byte 27 存儲(chǔ)器類型04：S 05：SM 06：AI 07：AQ 1E: C81：I 82：Q 83：M 84：V 1F: TByte 28,29,30存儲(chǔ)器偏移量指針（存儲(chǔ)器地址*8），如：VB100，存儲(chǔ)器地址為100，偏移量指針為800,轉(zhuǎn)換成16進(jìn)制就是320H,則Byte 2829這三個(gè)字節(jié)就是：00 03 20。Byte 31 校驗(yàn)和，前面已說到這是從(DA+SA+DSAP+SSAP+DU) Mod 256 。一次讀多條數(shù)據(jù)PLC對于一次讀多個(gè)數(shù)據(jù)的情況，前21Byte與上面相似只是長度LD，LDr及Byte 14不同：Byte 14 數(shù)據(jù)塊占位字節(jié)，它指明數(shù)據(jù)塊占用的字節(jié)數(shù)。與數(shù)據(jù)塊數(shù)量有關(guān)，長度=4+數(shù)據(jù)塊數(shù)*10,如：一條數(shù)據(jù)時(shí)為4+10=0E(H)；同時(shí)讀M,V,Q三個(gè)不同的數(shù)據(jù)塊時(shí)為4+3*10=22(H)。Byte 22 總是02 即以Byte為單位。Byte 24 以字節(jié)為單位，連續(xù)讀取的字節(jié)數(shù)。如讀2個(gè)VD則Byte24=8Byte 19-30 按上述一次讀一個(gè)數(shù)據(jù)的格式依次列出，Byte 31-42 另一類型的數(shù)據(jù)，也是按上述格式給出。以此類推，一次最多讀取222個(gè)字節(jié)的數(shù)據(jù)。寫命令分析一次寫一個(gè)Double Word類型的數(shù)據(jù)，寫命令是40個(gè)字節(jié)，其余為38個(gè)字節(jié)。寫一個(gè)Double Word類型的數(shù)據(jù)，前面的021字節(jié)為 ：68 23 23 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10寫一個(gè)其它類型的數(shù)據(jù)，前面的021字節(jié)為 ：（與上面比較，只是長度字節(jié)發(fā)生變化）68 21 21 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10從22字節(jié)開始根據(jù)寫入數(shù)據(jù)的值和位置不同而變化。表二是幾個(gè)寫命令的Byte2240。字 節(jié) 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40PLC資料網(wǎng)寫入位置及值長度 個(gè)數(shù)類型偏移量位數(shù) 值、校驗(yàn)碼、結(jié)束符M0.0=1 01 00 01 00 00 82 00 00 00 00 03 00 01 01 00 71 16M0.0=0 01 00 01 00 00 83 00 00 00 00 03 00 01 00 00 70 16M0.1=1 01 00 01 00 00 83 00 00 01 00 03 00 01 01 00 72 16vb100=10 02 00 01 00 01 84 00 03 20 00 04 00 08 10 00 AE 16vb100=FF 02 00 01 00 01 84 00 03 20 00 04 00 08 FF 00 9D 16VW100=FFFF 04 00 01 00 01 84 00 03 20 00 04 00 10 FF FF A6 16VD100=FFFFFFFF 06 00 01 00 01 84 00 03 20 00 04 00 20 FF FF FF FF B8 160123456789101112131415161718192021PLC開始符長度長度開始符站號(hào)源地址功能碼00050501120A10PLC資料網(wǎng)6821216802007C320100000000000E00000401120A1068202068207C32100000E055112A10201018403200408CB916PLC資料網(wǎng)22232425262728293031323334353637數(shù)據(jù)長度數(shù)據(jù)個(gè)數(shù)存儲(chǔ)類型偏移量數(shù)據(jù)形式數(shù)據(jù)位數(shù)寫入值校驗(yàn)碼結(jié)束符020001000184000320000400080CB916PLC01000100008200000000030001017916表二 寫命令的Byte2240經(jīng)分析我們可以得出以下結(jié)果：Byte 22- Byte 30 寫入數(shù)據(jù)的長度、存儲(chǔ)器類型、存儲(chǔ)器偏移量與讀命令相同。T，C等不能用寫命令寫入。Byte 32 如果寫入的是位數(shù)據(jù)這一字節(jié)為03，其它則為04Byte 34 寫入數(shù)據(jù)的位數(shù)01: 1 Bit 08: 1 Byte 10H: 1 Word 20H: 1 Double WordByte 35-40值、校驗(yàn)碼、結(jié)束符如果寫入的是位、字節(jié)數(shù)據(jù)，Byte35就是寫入的值，Byte36=00，Byte37=檢驗(yàn)碼，Byte38=16H，結(jié)束。如果寫個(gè)的是字?jǐn)?shù)據(jù)（雙字節(jié)），Byte35,Byte36就是寫入的值， Byte37=檢驗(yàn)碼，Byte38=16H，結(jié)束。如果寫個(gè)的是雙字?jǐn)?shù)據(jù)（四字節(jié)），Byte3538就是寫入的值， Byte39=檢驗(yàn)碼，Byte40=16H，結(jié)束。PLC資料網(wǎng)1、報(bào)文數(shù)據(jù)長度和重復(fù)數(shù)據(jù)長度為自DA至DU的數(shù)據(jù)長度，校驗(yàn)碼為DA至DU數(shù)據(jù)的和校驗(yàn)，只取其中的末字節(jié)值。其中藍(lán)色的DA應(yīng)為SA，即從第二個(gè)其始符68H后一個(gè)字節(jié)到校驗(yàn)碼前一個(gè)字節(jié)。2