S7-200_PPI协议1.docVIP

Siemens PPI协议分析 西门子S7-200 PLC之间或者PLC与PC之间通信有很多种方式:自由口，PPI方式，MPI方式，Profibus方式。使用自由口方式进行编程时，在上位机和PLC中都要编写数据通信程序。使用PPI协议进行通信时，PLC可以不用编程，而且可读写所有数据区，快捷方便。这也是我们之所以要研究、找出PPI协议的源动力！ 下面我们就要说说分析的方法了！ ??? 西门子的STEP 7 MicroWIN 是用于S7-200系列PLC的开发工具，它使用PC机上的COM口通过一条PC/PPI编程电缆连到PLC的编程口上。这说明，PC实际上是可以通过串口同S7-200 CPU通讯。只是我们不知道通讯协议而已。通过截获PC机串口上的收发数据，对照Step 7软件发出的指令，我们就有可能分析出有关指令的报文和通讯方式；然后，直接通过串口向PLC发送报文，以验证这些指令报文是否正确。本着这一思想，我们采用以下步骤获得这些报文。 PC与PLC采用主从方式通讯，PC按如下文的格式发读写指令，PLC作出接收正确的响应（返回应答数据E5H或F9H见下文分析），上位机接到此响应则发出确认命令（10 02 5C 5E 16），PLC再返回给上位机相应数据。一般上位机要连接PLC就要先发送如下寻呼数据 10 02 00 49 4B 16 同志们呐！我们可都是有血、有肉、有思想、有灵感的高级动物啊，面对这么多枯燥、无味、复杂、混乱的机器数字你怎么记呢？反正我是记不住啊！（^_^开始洗脑）这时你可以闭上眼睛，安静、静、再静。。。。。。想一想战争时期的战地对讲机通话模式，那么这个指令（10 02 00 49 4B 16）就可以理解为：00呼叫02，听到请回答。 10起始符 02是上位机要联系的下位级的地址站号，就是要找的人 00就是上位级本本身自己的站号 49寻呼指令 16终止符 其中4B为校验码，是这样得来的：02+00+49的最后两位就是校验码，这就是所说的偶校验或称和校验也称余校验，因为取的是余数。计算器在16进制计算时公式（02+00+49）mod 100得出的数就是校验码，你计算一下是不是等于4B啊！其他的所有PPI协议校验都是如此。假如02站号的PLC收到寻呼信号那么会回答： 10 00 02 00 02 16 意思是：报告00 ，02收到，请指示 这样的解释是不是有意思啊！你有更好的解释吗？接下来呢，找到了要寻呼的人PC就是司令啦就可以发号施令了，发号施令后PLC正确接收后就会发送 E5 字符，意思是：“02洞两明白”。其实啊，说到这里PLC只说他明白，他已经明白了上位机PC的指示，但并没有执行命令，那么要怎么他才执行命令呢？就是上位机PC发出确认命令后才执行。这时上位机会发出（10 02 5C 5E 16），意思是：“请立即执行”。然后PLC就干他应当干的工作了啊！原来PLC也不容易啊，怪不得叫下位机呢！ 说了这么多乱不乱呐！目的就是要理清上下级关系、主从关系，指令的顺序，用一个好的记忆方法记住枯燥无味的机器码。 读命令分析：一次读一条数据SD LE LER SD DA SA FC DASP SSAP DU FCS ED SD:(Start Delimiter)开始定界符(68H)LE:（Length）报文数据长度LER:（Repeated Length）重复数据长度SD: (Start Delimiter)开始定界符(68H)SA:（Source Address）目标地址，指该地址的值，就是PLC的地址DA:（Destination Address）本地地址，指该地址的指针，就是上位机自己的地址FC:（Function Code）功能码，5CH为交替周期触发，6CH为首次信息周期触发，7CH为交替周期触发。DSAP:（Destination Service Access Point）目的服务存取点SSAP:（Source Service Access Point）源服务存取点DU:（Data Unit）数据单元FCS:（Frame Check Sequence）校验码ED:（End Delimiter）结束分界符（16H）报文数据长度和重复数据长度为自DA至DU的数据长度，校验码为DA至DU数据的和校验，只取其中的末字节值关于这个校验码的计算方法同上面说明。在读写PLC的变量数据中，读数据的功能码为 6CH，写数据的功能码为 7CH。对于一次读取一个数据，读命令都是33个字节。前面的0—21字节是相同的，为 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 SD LE LER SD DA