由于网上找到的大部分指令解析资料都是以1200、300 等为主的指令,并未见到200smart系列,且恰巧项目需要与该plc通讯读写数据。虽然找到一些现有c#的工程代码不过对200smart系列通讯总有些问题,若用opc需要资金成本,故觉定自行开发通讯软件,找时间进行学习指令。
参考文档:
西门子PLC以太网 通讯协议 解析
常用PLC通讯协议
抓包工具 - Wireshark(详细介绍与TCP三次握手数据分析)
使用kepwareOPC服务器以及Wireshark网络数据抓包工具实现对s7-200smart PLC通讯指令分析,最终通过软件组合对应指令实现数据读取。
先配好OPC服务器,并通过quick client能正确读取到指定内存地址的数据。
根据网上资料显示西门子PLC通讯前需进行两次握手指令,而opc服务器仅在有客户端连接时才会发送指令。故:
1、先启动抓包软件监听与PLC连接的网卡,设置过滤规则只显示TCP协议;
2、启动quick client让opc服务器开始发送指令;
3、关闭quick client,观察抓取到的数据:
注:
本机IP:192.168.1.10 ;PLC:192.168.1.121
抓包软件中通过源IP及目标IP确定指令收发方向,在封包数据中只需观察以下几行数据即可:
Wireshark软件将数据包及协议进行明显的标识方便能查看到对应数据。
本机发送:(红框)
从数据包中可看到上位机发送的指令为
03 00 00 16 11 E0 00 00 00 01 00 C0 01 09 C1 02 02 00 C2 02 02 01
其中每一位的意义说明如下:
s7-200smart只需注意倒数第四项Source TSAP和倒数第一项Destination TSAP,分别代表PLC参数中的localTASP和RemotTASP参数,默认为 0x0200 及 0x0201
PLC回复(上图黄框)
从图中可看到回复的指令以及每一位对应意义
03 00 00 16 11 D0 00 01 00 08 00 C0 01 09 C1 02 02 00 C2 02 02 01
本机发送:
每一位对应如上图,对比资料发现第二次握手数据为固定格式。
03 00 00 19 02 F0 80 32 01 00 00 00 38 00 08 00 00 F0 00 00 01 00 01 00 F0
PLC回复:
自行对照
03 00 00 1B 02 F0 80 32 03 00 00 00 38 00 08 00 00 00 00 F0 00 00 01 00 01 00 F0
本次测试读取PLC M20区一个字节、Q0区一个字、V0区双字;
注:OPC服务器会将多种读取目标组合成一个指令
本机发送:
发送的指令为:
上图中从0030行中的“03 00 …”开始至结尾,每一位对应上上图。
此处读取的数据长度为十进制的十六进制显示,例如长度1,表示为0x01,长度4,表示为0x04.
该指令中包含三组读取指令,每组以
12 0A 10 02 ...
开头,后面紧跟两个字节为读取的长度,以字节为单位
PLC回复:
依然从0030行的“03 00 …”开始至结尾
每一位对应意义如下图:
由图中可知三组数据依次为:0x00,0x4000,0x00000000
软件介绍判断时可先判断指令中的成功读取标志:0xff然后截取对应长度的数据即可
此处长度表示为 ( 字节长度 x 8 ) 即位的数量,例如:1 指令中为0x08, 长度2在指令中为 0x10 长度4在指令中为0x20