西门子PPI协议分析.doc

PC与PLC采用主从方式通讯，PC按如下文的格式发读写指令，PLC作出接收正确的响应（返回应答数据E5H或F9H见下文分析），上位机接到此响应则发出确认命令（10 02 5C 5E 16），PLC再返回给上位机相应数据。一般上位机要连接PLC就要先发送如下寻呼数据 10 02 00 49 4B 16 同志们呐！我们可都是有血、有肉、有思想、有灵感的高级动物啊，面对这么多枯燥、无味、复杂、混乱的机器数字你怎么记呢？反正我是记不住啊！（^_^开始洗脑）这时你可以闭上眼睛，安静、静、再静。。。。。。想一想战争时期的战地对讲机通话模式，那么这个指令（10 02 00 49 4B 16）就可以理解为：00呼叫02，听到请回答。 10起始符 02是上位机要联系的下位级的地址站号，就是要找的人 00就是上位级本本身自己的站号 49寻呼指令 16终止符 其中4B为校验码，是这样得来的：02+00+49的最后两位就是校验码，这就是所说的偶校验或称和校验也称余校验，因为取的是余数。计算器在16进制计算时公式（02+00+49）mod 100得出的数就是校验码，你计算一下是不是等于4B啊！其他的所有PPI协议校验都是如此。假如02站号的PLC收到寻呼信号那么会回答： 10 00 02 00 02 16意思是：报告00 ，02收到，请指示这样的解释是不是有意思啊！你有更好的解释吗？接下来呢，找到了要寻呼的人PC就是司令啦就可以发号施令了，发号施令后PLC正确接收后就会发送 E5 字符，意思是：“02洞两明白”。其实啊，说到这里PLC只说他明白，他已经明白了上位机PC的指示，但并没有执行命令，那么要怎么他才执行命令呢？就是上位机PC发出确认命令后才执行。这时上位机会发出（10 02 5C 5E 16），意思是：“请立即执行”。然后PLC就干他应当干的工作了啊！原来PLC也不容易啊，怪不得叫下位机呢！ 说了这么多乱不乱呐！目的就是要理清上下级关系、主从关系，指令的顺序，用一个好的记忆方法记住枯燥无味的机器码。 读命令分析：一次读一条数据SD LE LER SD DA SA FC DASP SSAP DU FCS ED SD Start Delimiter)开始定界符(68H)LE:（Length）报文数据长度LER:（Repeated Length）重复数据长度SD: (Start Delimiter)开始定界符(68H)SA:（Source Address）目标地址，指该地址的值，就是PLC的地址DA:（Destination Address）本地地址，指该地址的指针，就是上位机自己的地址FC:（Function Code）功能码，5CH为交替周期触发，6CH为首次信息周期触发，7CH为交替周期触发。DSAP:（Destination Service Access Point）目的服务存取点SSAP:（Source Service Access Point）源服务存取点DU:（Data Unit）数据单元FCS:（Frame Check Sequence）校验码ED:（End Delimiter）结束分界符（16H）报文数据长度和重复数据长度为自DA至DU的数据长度，校验码为DA至DU数据的和校验，只取其中的末字节值关于这个校验码的计算方法同上面说明。在读写PLC的变量数据中，读数据的功能码为 6CH，写数据的功能码为 7CH。对于一次读取一个数据，读命令都是33个字节。前面的0—21字节是相同的，为 对于一次读取一个数据，读命令都是33个字节。前面的0—21字节是相同的，为 　 1 2 3 4 5 6 7 8 9 10 SD LE LER SD DA SA FC 　 　 　 　 开始符 长度 长度 开始符 站号 源地址 功能码 协议识别 远程控制 冗余识别 冗余识别 68 1B 1B 68 2 0 6C 32 1 0 0 11 12 13 14 15 16 17 18 19 20 21 　 　 　 　 　 　 　 　 　 　 　 协议数据 单元参考 参数长度 参数长度 数据长度 数据长度 04读05写 变量地址数 　 　 　 0 0 0 0E 0 0 4 1 12 0A 10 下面我们列表分析读取PLC密码的指令：68 1B 1B 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10 02 00 08 00 00 03 00 05 E0 D2 16 22 23 24 25 26 27 28 29 30 31 32 　 　 　 　 　 　 　 　 DU FCS DE 读取长度 数据个数 存储器类型 偏移量 校验码 结束符 2 0