Siemens_PPI_串口通讯协议分析.doc

Siemens PPI协议分析 大家好：我是山东临沂的郝金红，PLC解密网是我的个人网站。由于前段时间的疯狂的研究西门子PPI协议解密之故，所以无心插柳的研究出了较实用的西门子S7-200 PPI协议，今天奉献大家。我们经常要用于上位机、现场设备与S7-200CPU之间的通讯，但是西门子公司没有公布PPI协议的格式，用户如果想使用PPI协议监控，必须购买其监控产品或第三方厂家的组态软件。大家要知道国内的组态王、紫金桥、力控等等组态公司是花了多少钱才得到的PPI的深层协议吗？其实西门子工控产品的超高价垄断掠夺行为已经引起了我们国家及业内人士的抵制和抗议，他们的什么软件都需要授权且对于系统的霸道性是有目共睹的，而且我是深受其害的。^_^我最近弄了个WINCC，装了一个星期还没装上，网友告诉我要重做系统才可以，悲哀啊。。。。。。 这样给用户自主开发就带来了一定的困难，特别是想用VB、VC等语言自行开发，根本没办法接入PLC，要么你大把掏钱给他们。洋为中用，最近在国外网站得到一个串口监视软件，带协议分析的相当不错，你吧！我就是通过此软件的数据监视、分析方法，找出了PPI协议的关键报文格式所在。 其实西门子S7-200 PLC之间或者PLC与PC之间通信有很多种方式:自由口，PPI方式，MPI方式，Profibus方式。使用自由口方式进行编程时，在上位机和PLC中都要编写数据通信程序。使用PPI协议进行通信时，PLC可以不用编程，而且可读写所有数据区，快捷方便。这也是我们之所以要研究、找出PPI协议的源动力！ 下面我们就要说说分析的方法了！ ??? 西门子的STEP 7 MicroWIN 是用于S7-200系列PLC的开发工具，它使用PC机上的COM口通过一条PC/PPI编程电缆连到PLC的编程口上。这说明，PC实际上是可以通过串口同S7-200 CPU通讯。只是我们不知道通讯协议而已。通过截获PC机串口上的收发数据，对照Step 7软件发出的指令，我们就有可能分析出有关指令的报文和通讯方式；然后，直接通过串口向PLC发送报文，以验证这些指令报文是否正确。本着这一思想，我们采用以下步骤获得这些报文。 首先你这个英文的串口监控软件，英文不好的网友可以用金山快译翻译一下，你必须使用这个软件，因为我先前使用过很多的监控软件，在收发数据很多的情况下都有死机现象，造成数据丢失，容易给我们错误分析。接下来你先打开这个软件，新建、选择端口COM1,然后再将PC/PPI编程电缆接在COM1上，这样，Step7 Micro/Win发给PLC的报文就可以在监视软件上完全裸露的展现在你的面前了。我们按S7-200系统手册设置好串口参数：9600，8，E偶校验，1位停止位。然后设置好Step7软件，使之能与S7-200 CPU正常通讯。从Step7软件中发出一个明确指令，监视软件就能显示这条报文了（用16进制显示，ASCII码的只能看到几个版本号之类的，其他都没有意义）。 我们的破解策略就是通过软件监视的方法，分析PLC内部固有的PPI通讯协议，然后上位机采用VB编程，遵循PPI通讯协议，读写PLC数据，实现人机操作任务。这种通讯方法，与一般的自由通讯协议相比，省略了PLC的通讯程序编写，只需编写上位机的通讯程序资源。S7-200的编程口物理层为RS-485结构，SIEMENS提供MicroWin软件，采用的是PPI(Point to Point)协议，关于232串口转485你可以采用我们网站开发研制的自制PPI电缆，效果倍好哦！ 还是自己动手，丰衣足食啊！ 不能光说不练啊！下面我们就说说西门子PLC到底是怎么通讯的。 PC与PLC采用主从方式通讯，PC按如下文的格式发读写指令，PLC作出接收正确的响应（返回应答数据E5H或F9H见下文分析），上位机接到此响应则发出确认命令（10 02 5C 5E 16），PLC再返回给上位机相应数据。一般上位机要连接PLC就要先发送如下寻呼数据 10 02 00 49 4B 16 同志们呐！我们可都是有血、有肉、有思想、有灵感的高级动物啊，面对这么多枯燥、无味、复杂、混乱的机器数字你怎么记呢？反正我是记不住啊！（^_^开始洗脑）这时你可以闭上眼睛，安静、静、再静。。。。。。想一想战争时期的战地对讲机通话模式，那么这个指令（10 02 00 49 4B 16）就可以理解为：00呼叫02，听到请回答。 现在我们来简单的分析一下这个指令的具体含义： 10起始符 02是上位机要联系的下位机的地址站号，就是要找的人 00就是上位级本身自己的站号 49寻呼指令 16终止符 其中4B为校验码，是这样得来的：02+00+49的最后两位就是校验码，这就是所说的偶校验或称和校验也称余校