新闻资讯

所在位置:首页 > 行业动态

西门子s7-200教程:带你全面认识西门子s7-200 西门子S7-200系列PLC之反拆机加密

发布日期:2017-7-13 20:18:44 浏览次数：1730 [返回]

1、S7-200的基本结构

西门子S7-200系列属于整体式小型plc，用于代替继电器的简单控制场合，也可以用于复杂的自动化控制系统。

整体式PLC将CPU模块、I/O模块和电源装在一个箱型机壳内，S7-200称为CPU模块。图1中的前盖下面有RUN/STOP开关、模拟量电位器和扩展I/O连接器。S7-200系列PLC提供多种具有不同I/O点数的CPU模块和数字量、模拟量I.O扩展模块供用户选用，CPU模块和扩展模块用扁平电缆连接。

整体PLC还配备有许多专用的特殊功能模块，例如模拟量输入/输出模块、热电偶、热电阻模块、通信模块等，使PLC得功能得到扩展。

S7-200可以选用梯形图、语句表(即指令表)和功能模块语言来编程。它的指令丰富，指令功能强，易于掌握，操作方便。内置有高速计数器、高速输出、PID控制器、RS485通信/编程接口、PPI通信协议、MPI通信协议和自由方式通信功能。最多可以扩展到248点数字量I/O或35路模拟量I/O。最多有26kB程序和数据存储空间。

2、S7-200的CPU模块

S7-200有5种CPU模块，CPU221无扩展功能，适于做小点数的微型控制器;CPU222有扩展功能;CPU224是具有较强控制功能的控制器;CPU226和CPU226 XM适用于复杂的中小型控制系统。

S7-200系列PLC不同型号CPU的技术参数如表1所示

S7-200有传送、比较、移位、循环、求补码、调用子程序、脉冲宽度调制、脉冲序列输出、跳转、数据转换、算数运算、字逻辑运算、浮点运算、开平方、三角函数和PID控制指令等，采用主程序、最多8级子程序和中断程序的程序结构，用户可以使用1-255ms的定时中断。用户程序可设3级口令保护，有监控定时器(看门狗)功能。

数字量输入中有4个用作硬件中断，6个用于高速功能。32位高速加/减计数器的最高计数频率为30kHz，可以对增量式编码器的两个互差90的脉冲列计数，计数值等于设定值或计数方向改变时产生中断，在中断程序中可以及时地对输出进行操作。两点高速输出可以输出频率最高为20kHz频率和宽度可调的脉冲列。

可选的存储器卡可以永久保存程序、数据和组态信息，可选的电池卡保存数据的典型事件值为200天。DC输出型电路用场效应晶体管(MOSFET)作为功率放大器元件，仅DV输出型有高速脉冲输出，最高输出频率为20kHz。

3、S7-200的扩展模块

不同信号的S7-200 CPU上已经集成了一定数量的数字量I/O点，若实际需要的I/O点数超过该CPU的I/O点数时，则通过增加输入/输出扩展模块来达到扩展功能、扩大控制能力。扩展模块有输入/输出扩展、热电偶/热电阻输入扩展和通讯扩展三种类型，通过总线连接器(插件)和CPU模块连接。

扩展单元正常工作需要+5VDC工作电源，此电源由CPU通过总线连接器提供，扩展单元的24VDC输入点和输出点电源，可由基本单元的24VDC电源供电，但要注意基本单元所提供的******电流能力。

CPU 221无I/O扩展能力;CPU 222最多可连接2个扩展模块(数字量或模拟量);CPU224和CPU226最多可连接7个扩展模块。

(1)输入/输出扩展模块

S7-200系列PLC目前提供如下扩展模块：

①数字量输入扩展模块 EM221(8DI);

②数字量输出扩展模块 EM222(8DO);

③数字量输入和输出混合扩展模块 EM223(8I/O，16I/O，32I/O);

④模拟量输入扩展模块 EM231(3AI，A/D转换时间为25μs，12位);

⑤模拟量输入和输出混合扩展模板 EM235(3AI/1AO，其中A/D转换时间为25μs，D/A转换时间100μs，位数均为12位)

(2)热电偶/热电阻扩展模块

热电偶、热电阻模块(EM231)与CPU222，CPU224，CPU226配套使用，多种分度号热电偶(mV信号)和热电阻(电阻信号)可通过EM231模块将信号送入S7-200。用户通过EM231上的DIP开关来选择热电偶或热电阻的分度号、接线方式、测量单位和开路故障的方向。

(3)通讯扩展模块

除了CPU集成通讯口外，S7-200还可以通过通讯扩展模块连接成更大的网络。S7-200系列目前有两种通讯扩展模块：PROFIBUS-DP扩展从站模块EM277和AS-i接口扩展模块CP243-2。

S7-200系列PLC输入/输出扩展模块的主要技术性能如表2所示。

4、S7-200的通信功能

S7-200的CPU模块自带的RS485串行通信支持PPI、DP/T、自由通信口协议和PROFIBUS点对点协议。每个网络最多126个站，最多32个主站。通信接口可以实现与下列设备的通信：运行编程软件的计算机、文本显示器TD200、OP(操作员面板)、以及S7-200 CPU之间的通信;通过自由通信口协议，可以与其他厂家的设备进行串行通信。

EM277 PROFIBUS-DP从站模块用于将S7-200 CPU连接到PROFIBUS-DP网络。通信速率为9600-12Mbit/s。

工业以太网通讯模块CP243-1的通信速率为10Mbit/s或100Mbit/s，半双工/全双工通信，RJ-45接口使用TCP/IP协议。可用STEP 7-Micro/WIN软件实现通过工业以太网配置和远程编程服务(上载、下载程序，监视状态)，通过工业以太网连接其他的CPU，通过S7-OPC在计算机上处理数据。

EM241 Modem(调制解调器)模块支持远程维护或远传诊断、PLC之间的通信、PLC与PC的通信、给手机发送短消息等，EM241参数化向导集成在Micro/WIN V3.2中。

通过CP243-2 AS-i通信处理器，S7-200 CPU可以作为AS-i的主站，最多可以连接62个AS-i从站，接入496个远程数字量输入/输出点。

5、S7-200的编程软件

STEP 7-Micro/WIN 32是专门为S7-200设计的在个人计算机Windows操作系统下运行的编程软件。CPU通过PC/PPI电缆或插在计算机中CP 55111或CP 5611通信卡与计算机通信。通过PC/PPI电缆，可以在Windows下实现多主站通信方式。

STEP 7-Micro/WIN 32的用户程序机构简单清晰，通过一个主程序调用子程序或中断程序，还可以通过数据块进行变量的初始化设置。用户可以用语句表(STL)、梯形图(LAD)和功能块图(FBD)编程，不同的编程语言编制的程序可以相互转换，可以用符号表来定义程序中使用的变量地址对应的符号，是程序便于设计和理解。

STEP 7-Micro/WIN 32为用户提供两套指令集，即SIMATIC指令集(S7-200方式)和国际标准指令集(IEC1131-1)方式。通过调制解调器可以实现远程编程，可以用单次扫描和强制输出等方式来调试程序和进行故障诊断。

S7-200是在美国德州仪器公式的小型PLC的基础上发展起来的，S7-300/400的前身是西门子公司的S5系列PLC，其编程软件为STEP 7。S7-200和S7-300/300虽然有许多共同之处，但是在指令系统、程序结构和编程软件定方面均有相当大的差异。

SIMATIC S7-200 SMART订货数据

①中央处理单元CPU订货号

CPU SR20模块主要参数：AC/DC/RLY 12DI/8DO 订货号：6ES7 288-1SR20-0AA0

CPU SR40模块主要参数：AC/DC/RLY 24DI/16DO 订货号：6ES7 288-1SR40-0AA0

CPU ST40模块主要参数：DC/DC/DC 24DI/16DO 订货号：6ES7 288-1ST40-0AA0

CPU CR40模块主要参数：AC/DC/RLY 24DI/16DO 订货号：6ES7 288-1CR40-0AA0

CPU SR60模块主要参数：AC/DC/RLY 36DI/24DO 订货号：6ES7 288-1SR60-0AA0

CPU ST60模块主要参数：DC/DC/DC 36DI/24DO 订货号：6ES7 288-1ST60-0AA0

②I/O扩展模块EM订货号

EM DI08数字量输入模块主要参数：8×24VDC输入订货号：6ES7 288-2DE08-0AA0

EM DR08数字量输出模块主要参数：8×继电器输出订货号：6ES7 288-2DR08-0AA0

EM DR16数字量输入/输出模块主要参数：8×24VDC输入/8×继电器输出订货号：6ES7 288-2DR16-0AA0

EM DR32数字量输入/输出模块主要参数：16×24VDC输入/8×继电器输出订货号：6ES7 288-2DR32-0AA0

EM DT08数字量输入/输出模块主要参数：8×24VDC输出订货号：6ES7 288-2DT08-0AA0

EM DT16数字量输入/输出模块主要参数：8×24VDC输入/8×24VDC输出订货号：6ES7 288-2DT16-0AA0

EM DT32数字量输入/输出模块主要参数：16×24VDC输入/16×24VDC输出订货号：6ES7 288-2DT32-0AA0

EM AI04模拟量输入模块主要参数：4路输入订货号：6ES7 288-3AE04-0AA0

EM AQ02模拟量输入模块主要参数：2路输出订货号：6ES7 288-3AQ02-0AA0

EM AM06模拟量输入/输出模块主要参数：4路输入/2路输出订货号：6ES7 288-3AM06-0AA0

EM AR02热电阻输入模块主要参数：2路通道订货号：6ES7 288-3AR02-0AA0

③通信扩展信号板SB订货号

SB CM01通信扩展信号板主要参数：R485/R232 订货号：6ES7 288-5CM01-0AA0

SB DT04数字量扩展信号板主要参数：2×24VDC输入/2×24VDC输出订货号：6ES7 288-5DT04-0AA0

SB AQ01模拟量扩展信号板主要参数：1×12位模拟量输出订货号：6ES7 288-5AQ01-0AA0

浅谈西门子S7-200系列PLC之反拆机加密

1.先了解普遍的PLC解密方式。知己知彼才能百战不殆，你只有全面的了解了现行的PLC普遍解密方式，才能以此作出更好的加密方案。现在出售的都是拆机解密软件，还没有直读软件出世，都是通过拆取EEPROM芯片，修改其系统块而去除了密码保护得到程序的。这样的解密方法确实达到了读取程序的目的，但是这个药方副作用太大，完全改变了系统块的原始设置。由于不知道也无法知道原始系统块的设置，匆匆忙忙就用一个从其他PLC得到的系统块替换过来，完全改变了原有的设置，那么由此我们就可以根据他的这个缺陷而制造出有针对性的反拆机加密。现在您可以先下载例程看看了。

2.一定要设置4级密码保护。2.0以上版本的PLC都具备4级加密功能，这也是*********别的加密，如果您单独设置3级加密那么很容易被破解。因为只需拆机读取了芯片就得到了原始密码，无需修改芯片，有了密码凭密码就可以上载程序了。所以您如果只是设置了3级加密保护那么等于是白给，必须设置*********别4级保护。那么4级保护怎么厉害呢?看下图说明，4级密码保护是无法上载的，无论你是否知道密码，意思是你即使已经知道了密码你也无法上载。拆机解密为了能够达到上载的目的采用的是整个系统块替换的方法，替换后就是没有加密功能的系统块了，程序就可以上载了，但是他改变你原有的设置，所以接下来我再教你如何对付这种替换系统块解密。

3.通讯端口设置不能默认。你点击一下下图中的那个默认值按钮就可以知道，系统块的通讯设置默认值都是波特率9600站号2，为了能够达到破解后让敌人无法通讯的目的你最好设置187.5kbps的波特率，但是如果您的电缆不支持这个通讯速率那么还是算了吧!PLC的地址不要默认2，这样太弱智了，选择其他站号地址吧。这样搞，即使被破解也可以达到让别人无法通讯连接的目的，特别你有触摸屏或者上位机与之通讯就更好了，破解后由于跟你原先的通讯设置对不上，外部的设备就无法通讯了，最后还得找您。好，真好!!

4.设置特种断电保持区，不要默认。看下图的断电数据保持区的设置，都是系统默认的数值，如果你懒得从这里做一下手脚，完全使用系统默认的设置，那么你的加密即使是4级也是枉然，因为他们就是采用的系统默认的系统块替换你的4级加密文件的。

那么到底如何从这个系统块是设置里改变默认设置来达到防破解的目的呢?这个方法就多了，千变万化，就看你的聪明才智了，下面我举例一个方法您看看，你可以依次类推，举一反三。

5.检测掉电保持区数据是否丢失。用编程的方法检测查找你预先埋入的数值是否还完好，运行后埋入的地雷是否爆炸了，检测你的程序是否遭到了拆机解密，废话少说看图：

当然这只是简单的加密，实际应用中不可能这么简单真好懂，你应当尽量做的复杂，以至于无法读懂程序，数据要多变换、传送、转移、计算等进行一系列复杂的逻辑运算，最后才用于停机。你在系统块的掉电保持区中可以设置vb0-vb40为掉电保持区，而vb40以后的要求掉电清空，你在程序中可以设置在plc上电的初始时期是否有数据，如果有数据那么停机，如果没有开机，然后再检测掉电保持区的数据，你事先埋下数值地雷，检测你之前写入的数值如果没有了那么停机吧!

以下是相关提问：

1、西门子S7-200系列PLC的优点