[西门子] 【工控安全】初识西门子PLC~S7-200

[复制链接]
查看17781 | 回复0 | 2024-5-8 21:35:25 | 显示全部楼层 |阅读模式


声   明

本文由Tide安全团队成员“VllTomFord”首发于FreeBuf TideSec专栏:

https://www.freebuf.com/column/202499.html

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

PLC控制系统,Programmable Logic Controller,可编程逻辑控制器,专为工业生产设计的一种数字运算操作的电子装置,它采用一类可编程的存储器,用于其内部存储程序,执行逻辑运算,顺序控制,定时,计数与算术操作等面向用户的指令,并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。是工业控制的核心部分。本文以西门子S7-200PLC基础知识为例来初识PLC基本工作原理。

S7-200系统构成

S7-200属于中型控制系统,根据CPU型号的不同可将S7-200 PLC分为五类,分别为CPU 221(6DI/4DO)、CPU 222 CN(8DI/6DO)、CPU 224(14DI/10DO)、CPU 224 XP CN(14DI/10DO+2AI/1AO)和CPU 226 CN(24DI/16DO)。

在功能扩展上,CPU 221:无扩展能力,CPU 222:最多可以扩展2个模块,CPU 224 224XP 226:最多可以扩展7个模块。其中只有CPU 224XP型号才有模拟量输入与输出。(符号含义:DI:数字量输入 DO:数字量输出 AI:模拟量输入 AO:模拟量输出。)CPU 224 XP型号结构示意图:



根据图中红色圈内区域,依次从上往下、从左往右进行结构讲解:


    AI&AO模拟量输入与输出;

    数字量输出模块;

    电源模块1:用于外部给CPU供电的电源;

    PLC指示灯:用来显示CPU的工作状态;

    扩展插槽模块;(图中白色长方形模块)

    拨码开关:通过拨码开关可以设置CPU的状态,包括停止、运行等状态;

    接口:用于扩展模块使用;

    模拟量调节器:可以模拟0~255范围内的一个数;

    通讯端口:负责PLC与PLC之间的通信或者PLC与电脑之间的通信;

    数字量输入模块;

    电源模块:表示CPU输出供给其他部件使用的电源,属于输出电源;


从侧面来看PLC结构:



S7-200基本组成系统

S7-200 系统至少要包含一个CPU基本单元和一个扩展模块,通过PLC的扩展模块插槽与扩展模块的连接电缆接头相连接来实现扩展。如果有第二个扩展模块,则需要与第一个扩展模块(右图)进行连接,以此类推实现扩展功能。



S7-200 模块扩展方式的优点

1.扁平电缆的扩展方式,提高抗震性能;

2.扩展简单可靠;

3.扩展模块无槽位限制;

4.提供总线长电缆0.8米,用于双机架安装,节省柜内空间;

S7-200 PLC扩展卡模块

1.时钟电池模块:对于221、222 CPU的PLC是无内置时钟模块的,为了更好的实现完整的异常报警信息功能,需要安装一个时钟模块。另外,CPU本身存放数据的地方是通过RAM来存储,如果需要实现PLC掉电保持功能(CPU内部的电容容量有限,掉电保持只能在100小时左右),需要安装一个电池模块,保证数据的完整性,安装电池模块后,掉电保持能长达200天。

2.电池模块:此模块主要用来内部数据的备份。

3.存储卡模块:主要针对数据记录和配方功能使用。如果S7-200使用以上任意一种功能,则必须安装存储卡模块。



4.数字量模块:按照模块类型来分,可分为数字量输入模块EM221、数字量输出模块EM222和数字量输入/输出模块EM223;按照输入类型来分,可分为直流24VDC输入模块和交流120/230VAC输入模块;按照输出类型分,可分为晶体管输出模块、继电器输出模块和可控硅输出模块。

5.模拟量模块:按照模块类型来分,可分为模拟量输入模块EM231、热电阻模块EM231、热电偶模块EM231、模拟量输出模块EM232、模拟量输入/输出模块EM235;按照信号类型分,可分为电压输入模块、电流输入模块、热电阻模块、热电偶模块、电压输出模块、电流输出模块。

6.定位模块EM253:EM253是一个用于简单定位任务的功能模块(1轴)。可以将它连接到步进电机和伺服电机,通过高频脉冲输入从MicroStepper连接到高性能伺服驱动器。EM253定位模块以与扩展模块相同的方式进行安装,通过一体化连接电缆连接到S7-200扩展总线,连接之后,从CPU自动读出配置数据。该模块具有以下特点:


    用于来自过程信号的5位输入;

    驱动器直接激活用24脉冲输出(向前/向后或者速度/方向);

    2控制输出(DIS;CLR);

    12个状态LED;




7.通信模块:可分为调制解调器模块(Modem)、PROFIBUS DP从站模块、以太网模块、和AS-i主站模块。Modem模块EM241应用较少,主要有3个应用(远程服务程序上传/下载、远程监控维护,使用PPI和ModBUS通信协议进行远程数据交换,发送事件触发法警、过程值等短信息服务)。

Profibus从站模块EM277支持从9.6k-12Mbps通讯速率,支持PPI、MPI、和Profibus协议,带有网络地址设置旋钮。

以太网模块CP243-1,在工业控制系统中有广泛的应用,采用RJ45接口,能够快速、大量传送数据。以太网模块基于S7协议(西门子内部协议),方便与S7设备通讯,能够同时最多连接8个控制器。

S7-200编程软件

S7-200编程软件是一款专业的PLC编程软件,专为西门子S7-200系列可编程控制器而设计开发的一款工业化编程工具,S7-200 SMART 系列微型可编程逻辑控制器可以控制各种设备以满足您的自动化控制需要。适用于所有SIMATIC S7-200 PLC机型软件编程。该工具基于Windows系统而开发,功能强大,既可用于开发用户程序,又可实时监控用户程序的执行状态,是西门子PLC用户不可缺少的开发工具。



S7-200通讯和网络

工业控制网络架构体系如下图所示:



从上往下一次是以太网络、PEOFIBUS网络、MPI网络和AS-I网络。

PROFIBUS是一个用在自动化技术的现场总线标准,在1987年由德国西门子公司等十四家公司及五个研究机构所推动,PROFIBUS是程序总线网络(PROcess FIeld BUS)的简称。PROFIBUS和用在工业以太网的PROFINET是二种不同的通信协议。

MPI网络是一种简单的通讯网络,主要用于电脑对PLC的一些编程和下载场景,其次还可能会用于一些PLC与PLC之间的简单数据交换。另外,最常用的应用是PLC与触摸屏之间的数据交换,常用MPI通讯网络。

S7-200还支持PPI/自由门,PPI协议是专门为S7-200开发的通信协议。S7-200 CPU的通信口(Port0、Port1)支持PPI通信协议,S7-200的一些通信模块也支持PPI协议。S7-200 CPU的通信口可以设置为自由口模式。选择自由口模式后,用户程序就可以完全控制通信端口的操作,通信协议也完全受用户程序控制。S7-200 CPU上的通信口在电气上是标准的RS-485半双工串行通信口。

S7-200支持的通讯网络协议与接口标准:


    PPI协议(RS485)

    MPI协议(RS485)

    自由门通讯(RS485)

    Profibus DP协议(RS485)

    AS-i协议

    以太网(S7协议 RJ45)

    OPC


思考:为什么工业控制网络底层架构不采用以太网络?

解答:以太网络是我们日常生活中使用最多的网络,以访问某个网站为例,早上访问某网站的速度可能会很快,而中午访问某网站的速度可能会变慢,甚至到了晚上网络高峰期,访问某网站的速度会变得更慢,所以以太网络存在的延时比较高。在工业控制系统中,如果发送一个指定另某个设备停止运转,则必须要求网络几乎无延时,所以工业控制网络底层架构采用专用网络。工业控制网络的上层网络主要是将底层的数据放入数据库(网络的时间确定性需要不高),其次由于传输数据量比较大,因此上层网络采用以太网络。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册哦

x
您需要登录后才可以回帖 登录 | 注册哦

本版积分规则