西门子PLC模块授权总经销商 6ES7131-6FD01-0BB1 ET 200SP 数字输入模块

西门子PLC模块授权总经销商 6ES7131-6FD01-0BB1 ET 200SP 数字输入模块

某些通信服务需要进行连接。连接需要占用所用 CPU、CP 和 CM 中的资源（例如，CPU 操作系统中的存储区域）。大多数情况下，每个 CPU/CP/CM 都将占用一个连接。在 HMI 通信中， 每个 HMI 连接*多需要 3个连接资源。 具体可用的连接资源，取决于所用的 CPU、CP 和 CM，且不得超出自动化系统中定义的上限。 站中的可用连接资源站中*大的可用资源数量取决于 CPU。 每个 CPU 都会为 PG、HMI 和 Web 服务器通信预留一定数量的连接资源。此外，还会为SNMP、电子邮件连接、HMI 和 S7 通信以及开放式通信等其它通信服务提供资源。 何时占用连接资源？连接资源的占用时间，取决于连接建立、自动连接、编程或组态的方式（参见“建立连接 (页 34)”部分）。 更多信息有关连接资源占用以及连接资源在 STEP 7 中显示的更多信息，请参见“连接资源 (页 341)”部 分。 4.4 建立连接 自动连接如果将 PG/PC 接口物理连接到 CPU 的接口，并通过 STEP 7 中的“转至在线”(Go online) 对话框进行了接口分配，则 STEP 7 将自动建立连接（例如，PG 或 HMI 连接）。 建立编程连接 在 STEP 7的程序编辑器中，可根据所选 CPU 使用相应的通信指令（如 TSEND_C）建立编程连 接。 34 通信 功能手册, 11/2022,A5E03735819-AK 通信服务 4.4 建立连接 指定连接参数（在巡视窗口、指令属性中）时，通过用户界面使得操作更为方便快捷。图 4-1  通过编程建立连接 35 通信服务 4.4 建立连接 通信 功能手册, 11/2022,A5E03735819-AK 建立组态连接 根据所选的 CPU 或软件控制器，可在 STEP 7的“设备与网络”(Devices & networks) 编辑器中的 网络视图内建立组态的连接。 图4-2  通过组态建立连接 对 CPU 连接资源的影响通常，可以选择通过组态建立连接或者通过编程建立连接。如果选择通过编程建立连接，则将在数据传输结束后释放连接资源。与路由连接类似，编程的连接仍无法保证，也就是说，仅当资源可用时才会建立这类连接。建立组态的连接时，下载组态后资源处于可用状态，直至组态再次更改。因此，相应资源将预留，通过所组态的连接进行连接建立。在 CPU 巡视窗口中 的“连接资源”(Connectionresources) 表格中，简要列示了已使用的连接资源和仍然可使用的连 接资源。 36 通信 功能手册, 11/2022,A5E03735819-AK 通信服务 4.4 建立连接 如何建立连接？ 表格 4-4  建立连接 连接 自动连接通过编程建立连接 通过组态建立连接 编程设备连接 √ - - HMI 连接 √ - √ Web 通信 √ - -OPC UA 服务器通信 √ - - OPC UA 客户端通信 - √ - 通过 TCP/IP 连接实现开放式通信- √ √ 通过 ISO-on-TCP 连接实现开放式通 信 - √ √ 通过 UDP 连接实现开放式通信 - √ √ 通过 ISO连接实现开放式通信 - √ √ 通过 FDL 连接实现开放式通信 - √ √ 通过 Modbus TCP 连接进行通信 - √ -电子邮件连接 - √ - FTP 连接 - √ - S7 连接* - - √ *请注意，对于 S7-1500 CPU，必须在 CPU的属性中启用 PUT/GET 通信。有关该主题的更多信息，请参 见 STEP 7 在线帮助。 更多信息 有关连接资源占用以及连接资源在STEP 7 中显示的更多信息，请参见“连接资源 (页 341)”部 分。 4.5 数据的一致性 定义在数据传输中，数据一致性至关重要。因此在组态通信任务时，必需注意。否则，可能导致故 障发生。同步运行中无法修改的数据区又称为一致性数据区。即，在超出一致性数据区所允许*大空间 的连续数据区中，可同时包含新数据和旧数据。一个通信指令中断时（如，由高优先级的硬件中断 OB 进行中断），将导致不一致现象。这会 导致数据区域传输中断。如果 OB中的用户程序对通信指令尚未处理的数据进行了更改，则每 次传输的数据将不同： 37 通信服务 4.5 数据的一致性 通信 功能手册,11/2022, A5E03735819-AK 下图显示的数据区空间小于一致性数据区允许的*大空间。此时，可确保进行数据访问时，用户程序不会中断数据区域的传输，从而有效避免了数据变更。 5(&25' ⴞḷᮠᦞ४Ⓚᮠᦞ४ ①源数据区小于一致性数据区允许的*大空间 (②)。该指令将数据一同传输到目标数据区中。 ② 一致性数据区的*大空间 图4-3  数据的一致性传输 下图显示的数据区空间大于一致性数据区允许的*大空间。在这种情况下，数据会因传输中断而发生更改。将该数据区传输到多个地方时，也可能会发生传输中断。如果因传输中断而导致 数据更改，则每次传输的数据将不同。 ⴞḷᮠᦞ४ⴞḷᮠᦞ४ ᰦ䰤Ѫ7ᰦⲴⓀᮠᦞ४ ᰦ䰤Ѫ7ᰦⲴⓀᮠᦞ४ ① 源数据区大于一致性数据区允许的*大空间 (③)。在 T1时刻，该指令仅将源数据区中大小与一 致性数据区相同的数据量传送到目标数据区中。 ② 在 T2时刻，该指令将源数据区中其余的数据传输到目标数据区中。传输完成时，目标数据区中包含不同时刻传输的数据。此时，如果源数据区中的数据发生变更，则会导致数据不一致。 ③ 一致性数据区的*大空间 图4-4  传输的数据量超出了一致性数据的*大数量 38 通信 功能手册, 11/2022,A5E03735819-AK 通信服务 4.5 数据的一致性 数据不一致的示例下图举例说明了数据过程中数据的变更。目标数据区中包含不同时刻传输的数据。  ① 一致性数据区的*大空间 图4-5  示例：在数据传输过程中，数据发生变更 S7‑1500 中，系统特定的一致性数据的*大数量：如果遵循系统中所指定的一致性数据的*大数量，则不会产生不一致现象。在程序循环过程 中，S7-1500 *多可将块中 512个字节的通信数据一致性地复制到或传出用户存储器。超出 该数据区时，将无法确保数据的一致性。如果要定义确保数据的一致性，则 CPU内用户程序 中的通信数据长度不能超过 512 个字节。之后，即可在 HMI 设备上通过 Read/Write 变量对这些数据进行一致性访问。 如果需一致性传输的数据量超出了系统指定的数据*大量，则需在应用程序中使用特殊措施确 保数据的一致性。确保数据一致性 通过指令访问公共数据： 如果在用户程序中通过一些通信指令访问公共数据（如 TSEND/TRCV），则可使用诸如“DONE”等参数对该数据区进行访问。因此，在用户程序中使用指令进行数据传输，可确保 通信过程中数据区中数据的一致性。 说明用户程序中采取的具体措施 要确保数据一致性，可将待传输数据复制到一个单独的数据区（如，全局数据块）中。用户程序继续传输源数据时，可通过通信指令将一致性地传输单独数据区中存储的数据。 在复制过程中，系统将使用相应的不可中断型指令，如UMOVE_BLK 或 UFILL_BLK。这些指令 可确保高达 16 KB 的数据一致性。 使用 PUT/GET 指令或通过 HMI通信进行 Write/Read 操作： 使用 PUT/GET 指令进行 S7 通信或通过 HMI 通信进行 Write/Read操作时，编程或组态中需考 虑一致性数据区的大小。将 S7-1500 用作服务器时，用户程序没有可用于数据传输的指令。在用户程序运行过程中，可通过 PUT/GET 指令进行数据交换，对 S7-1500 进行更新。但在循环执行用户程序时，不支持对数据进行一致性传输。待传送数据区的长度应小于 512 个字 节。 39 通信服务 4.5 数据的一致性 通信功能手册, 11/2022, A5E03735819-AK 更多信息 •有关通信模块所支持的一致性数据*大数量，请参见设备手册中的相应技术规范。 • 有关数据一致性的更多信息，请参见 STEP 7在线帮助中的指令说明。 4.6 安全通信 4.6.1 安全通信的基础知识 4.6.1.1 有关安全通信的实用信息 在 STEP 7(TIA Portal) V14 及更高版本和固件版本 V2.0 及更高版本的 S7-1500 CPU 中，设计了大量的安全通信选项。 “S7-1500 CPU”是指 S7-1500F、S7-1500T、S7-1500C 系列 CPU 和S7-1500pro CPU 和 ET200SP CPU。 在后续版本中，其它组件也将支持安全通信（如 OUC安全通信），详见下一部分。 在 S7-1200 CPU 固件版本 V4.4 及以上版本中，还支持安全通信。 要求 • 支持带有 DTTCON_IP_V4_SEC 或 SDT TCON_QDN_SEC 结构的连接描述 DB 的 CPU，包括 以下 CPU： –S7-1200（固件版本 V4.4 及以上版本） – S7-1500（固件版本 V2.0 及以上版本） • 也可通过以下 CP： –CP 1243-1（固件版本 V3.2 及以上版本） – CP 1243-8 IRC（固件版本 V3.2 及以上版本） –CP 1543‑1（固件版本 V2.0 及以上版本） – CP 1545‑1 – CP 1543SP-1 CP1242-7 GPRS V2 不支持安全通信。 公钥基础结构 (PKI) “安全”(secure) 属性用于识别以 PublicKey Infrastructure (PKI) 为基础的通信机制（例如，RFC 5280 ，用于Internet X.509Public Key Infrastructure Certificate and Certificate RevocationList Profile）。Public Key Infrastructure (PKI)是一个可签发、发布和检查数字证书的系统。PKI 通 过签发的数字证书确保计算机通信安全。如果 PKI采用非对称密钥加密机制，则可对网络中的 消息进行数字签名和加密。 在 STEP 7 (TIA Portal)中组态用于安全通信的组件，将使用一个非对称密钥加密机制，使用一 个公钥 (Public Key) 和一个私钥 (PrivateKey) 进行加密。并使用 TLS (Transport Layer Security) 作为加密协议。TLS 是 SSL(Secure Sockets Layer) 协议的后继协议。 40 通信 功能手册, 11/2022, A5E03735819-AK通信服务 4.6 安全通信 安全通信的目的 安全通信可用于实现以下目标： • 机密性 即，数据安全/窃听者无法读取。 • 完整性即，接收方接收到的消息与发送方发送的消息完全相同，未经更改。消息在传送过程中未 经更改。 • 端点认证即，端点通信伙伴确实是声称为参与通信的本人。对伙伴方的身份进行检查。 在过去，这些目标通常仅与 IT和计算机网络相关。但如今，包含有敏感数据的工业设备和控制系统也开始面临相同的信息安全高风险。这是因为，这些设备它们同样实现了网络互联，因 而必须满足严格的数据交换安全要求。在过去，往往会采用单元保护机制，通过防火墙或 VPN 连接保护自动化单元安全（如，使用 安全模块），而如今同样如此。但是，通过企业内部网或公共网络以加密形式将数据传送到外部计算机变得越来越重要。 安全通信的通用原则 无论采用何种机制，安全通信都基于Public Key Infrastructure (PKI) 理念，包含以下组成部 分： • 非对称加密机制： –使用公钥或私钥对消息进行加密/解密。 – 验证消息和证书中的签名。发送方/认证机构通过自己的私钥对消息/证书进行签名。接收方/验证者使用发送方/认证 机构的公钥对签名进行验证。 • 使用 X.509证书传送和保存公钥。 – X.509 证书是一种数字化签名数据，根据绑定的身份对公钥进行认证。 – X.509证书中还包含有公钥使用的详细说明或使用限制。例如，证书中公钥的生效日期 和过期日期。 – X.509证书中还包含证书颁发方的安全相关信息。 在后续的章节中，将简要介绍在 STEP 7 (TIA Portal) 中管理证书和编写secure Open User Communication (sOUC) 通信指令等所需的基本知识。 使用 STEP 7进行安全通信： 在 STEP 7 V14 及其更高版本中，提供了安全通信的组态和操作所需的 PKI。 示例： • 基于 TLS(Transport Layer Security) 协议，将 Hypertext Transfer Protokoll (HTTP)转换成 Hypertext Transfer Protokoll Secure (HTTPS)。由于 HTTPS 中集成了 HTTP和 TLS 协议，因 此在相应的 RFC 中，又称为“HTTP over TLS”。在该浏览器中，可清楚地查看到所用的协议 为HTTPS：浏览器地址栏中 URL 为“https://”，而非“http://”。在大多数浏览器中，这类的安 全连接将突出显示。 •将 Open User Communication 转换为 secure Open UserCommunication。这种通信方式的 底层协议同样为 TLS。 • 电子邮件服务提供商同样支持基于“Secure SMTPover TLS”协议进行访问，从而提高电子邮 件通信的安全性。 41 通信服务 4.6 安全通信 通信 功能手册, 11/2022,A5E03735819-AK 下图显示了通信层中的 TLS 协议。 3/&SURJUDP2SHQXVHUFRPPXQLFDWLRQ :HEVHUYHU $SSOLFDWLRQ/D\HU 6HVVLRQ/D\HU7UDQVSRUW/D\HU 1HWZRUN/D\HU 'DWD/LQN/D\HU 3K\VLFDO/D\HU 7/67&38'3 ,3Y (WKHUQHW 7&21 6HFXUH28& +7736 28& +773 76(1'75&9 图 4-6  通信层中的 TLS 协议。 采用 OPC UA 的安全通信 固件版本 V2.0及更高版本的 S7-1500 CPU 中，具有 OPC UA 服务器功能。OPC UA Security 中 也涉及使用 X.509数字证书进行认证、加密以及数据完整性检查，并且同样采用 Public Key Infrastructure(PKI)。根据应用的具体要求，端点安全可选择不同安全等级。我们将在一个单 独章节中对 OPC UA 服务器功能进行介绍。PG/HMI 间安全通信 在 V17 及以上版本中集成有*新型控制器和*新型 HMI 设备，TIA Portal、STEP 7 和WinCC 的主要组件可实现创新型 PG/PC 和 HMI 标准安全通信（简称为 PG/HMI 通信）。 更多信息 有关 OPC UA的更多信息，请参见“将 S7-1500 用作 OPC UA 服务器 (页 178)”部分。 有关安全编程设备/HMI通信的更多信息，请参见“PG/HMI 间安全通信 (页 82)”部分。