6ES7215-1AG40-0XB0参数

浅谈西门子PLC控制程序的保护

前言

　　随着中国整体经济实力的加强，制造和加工工业正逐步向中国转移，这给中国国内工业装备市场带来了大量的商机，国内各行业的制造商开发和制造出大量价廉物美的设备，取得了良好的经济和社会效应。但是，也有小部分的制造商，由于其自身能力和客观因素的限制，无法及时开发出合适的产品，但利益的驱动使他们把目准了同行，抄袭和仿制同行开发成功的产品，更有甚者是整机拷贝或者克隆。由于现代工业设备大量采用PLC作为主控制系统，PLC作为整个设备的核心部件，其软件包涵了生产工艺，控制逻辑，设备数据，加工参数及信息通讯等重要内容，从而成为设备仿制者重点要获取的目标之一。纵观目前中国上应用的主流品牌PLC，虽然在设计上都采用了各种软硬件加密的手段，但破解者运用的破解手段也越来越先进，从初的穷举法，端口侦听，软件跟踪，到现在可以通过直接复制提取内存芯片的内容来分析破解，更有甚者在互连网上公开讨论和传播破解方法和工具，因此所有产品无一例外地遭到了破解。这对中国众多的中小型OEM制造商来说是非常不利的，“我们几年的开发成果可能因此一夜之间付诸东流”当得知S7-200/300硬件加密也被破解后，一位OEM制造商无奈地说。由于仿制者的开发成本很低或几乎为零，因此开发者还没有来得及收回开发成本就陷入了低价竞争，这极大的影响了开发者开发新产品的积极性，对我国的装备工业的长远发展是十分有害的。

　　难道就这样束手无策，听任仿制者为所欲为了吗？答案是否定的，多年来一直关注和研究PLC控制程序保护方面的问题，笔者在实践中取得了一些经验和心得，在本文中愿意和同行们共同分享和讨论，大家共同为保护自己的劳动成果而努力。笔者多年来一直从事西门子SIAMTIC S7 PLC的应用，因此本文也只是从纯粹的技术层面出发，重点探讨SIMATIC S7 PLC控制程序的保护。

 在工业自动化生产中．无论是自动化单机还是组合机床以及自动化生产线，经常要用到机械手，以完成工件的取放。对于片状材料，所谓“手”，既可以是真空吸盘，也可以是电磁铁；对于棒形等材料，“手”既可以是夹钳，也可以是夹具。对机械手的控制主要是位置识别、运动方向控制以及对物料是否存在的判别。

    图7-27    机械手控制图

    【例7-7】某机械手的结构和工作过程如图7-27所示。它的任务是将A工作台的工件搬运到B工作台上。机械手是由能提供上下、左右运动的机械组成，上下与左右运动分别由双线圈两位电磁阀驱动气缸来实现。一旦某个方向电磁阀得电，机械手沿相应方向运动。当该方向电磁阀失电，机械手保持当前位置直至另一方向电磁阀得电为止。放松／夹紧是由一个单线圈两位电磁阀驱动气缸来实现的。当线圈得电时即为夹紧，失电时即为放松。由于夹紧操作中不使用限位开关，因此，当夹紧电磁阀得电后，就启动定时器计时，持续一定时间即认定为已经夹紧。同样，放松操作也是由定时器控制实现的。现要求完成PLC用于机械手控制的程序设计。机械手的工作过程如下：

    (1)机械手位于初始位置（压合SQ2、SQ4）时，按下启动按钮SB，下降电磁阀YV1得电，机械手下降直至压合SQ1为止。

    (2)夹紧电磁阀YV2得电，同时启动定时器，2.3s后工件夹紧。

    (3)上升电磁阀YV3得电，机械手抓起工件上升，直至压合SQ2为止。

    (4)机械手右移电磁阀YV4得电，机械手右移直至压合SQ3。

    (5)YV1得电，机械手下降直至压合SQ1。

    (6)夹紧电磁阀YV2失电，放工件到B台，2s后认定已放松。

    (7)YV3得电，机械手上升，直至压合SQ2。

    (8)机械手向左电磁阀YV5得电，机械手左移，直至压合SQ4，机械手回到原点，完成一个循环。

    下面根据上述要求设计机械手控制的PLC程序。

    (1)根据控制要求，画出顺序功能图，如图7-28所示，控制过程为单一顺序过程。

    (2)进行I/O分配，如表7-10所示。根据输入5点、输出5点，选择S7 CPU222 AC/DC/继电器型。

    (3)根据顺序功能图，画出梯形图，如图7-29所示。

    图7-28    机械手控制顺序功能图

    图7-29    机械手控制梯形图程序

    表7-10    机械手控制的I/O分配

　　Ø 在系统设计的初期，我们应该从系统的角度来考虑PLC控制程序的保护：

1. T.I.A（全集成自动化）的概念有助于保护我们的KNOW HOW

　　T.I.A实现了组态和编程，数据管理和通讯，自动化与驱动产品（包括PLC控制器、HMI人机界面、网络、驱动器等产品）的高度集成。实践证明，采用T.I.A集成概念设计的控制系统很难被抄袭。同一个软件平台，相同的硬件组成，一样的总线通讯，完全可以设计出截然不同的控制系统，这是一个让开发者自由发挥的平台。例如，一个CPU315-2DP和2个MM440变频器进行PROFIBUS-DP的通讯，除了PLC和变频器有常规的数据交换，如果用户使用了DRIVES ES的工程软件，还能实现2个MM440之间的直接的快速数据交换，另外通过DRIVES ES还能实现PLC和MM440之间超过10个总共16个PZD过程数据的交换，实现PLC批量下载变频器参数的功能。而这一切的实现从表面上看，硬件没有发生任何的变化，仿制者很难从硬件上来判断出系统是如何控制这两台驱动器的速度的。不熟悉西门子产品的仿制者无法轻易更换硬件配置或修改软件，而即使仿制者是个西门子产品的专家，要独自分析清楚具体细节问题也不是件容易的事情。从某种程度上说，T.I.A大大提高了对仿制者的技术水平要求的门槛，达到西门子系统集成专家水平的技术人员一是不多，二很少有愿意做这些不齿的事情的。

　　此外，对于一些较大系统的OEM开发商，路由通讯功能，iMAP软件包等都是很不错的T.I.A系统功能或工具，我们应该尽量利用T.I.A给我们带来的技术优势，占领技术制高点，加大仿制或抄袭的技术难度。

2. 使用通讯功能

　　在实际的工作中，我们往往会遇到一些系统间需要数据交换的问题（如PLC-PLC之间，PLC与驱动器之间，PLC与仪表之间），无论是西门子产品之间还是西门子产品与第三方产品之间，建议使用通讯的方案来代替模拟量或开关量之间的信号互连的方案。对于前者，仿制者只能看见一条硬件的通讯线，至于有多少数据是如何通过通讯交换的，仿制者必须要花精力研究具体的用户程序才能搞清楚；而对于后者，开发者是省心省力了，仿制者也是一目了然，尽收眼底。

　　PLC与驱动器的通讯，除了了控制字/状态字、设定值/反馈值及过程变量的数据通讯，驱动器工作的参数好也能由PLC通过软件下载，这样即可以降低终用户维护系统的技术要求，同时可以防止仿制者通过驱动器工作参数分析系统尤其在驱动方面的工作原理和设计思路。西门子公司的工程软件DRIVE ES BASIC/SIAMTIC，为广大的西门子产品用户实现此类功能提供了一个强大的工具；而使用SIMATIC PLC却使用第三方驱动器的用户，也可以自行开发针对性的参数读写程序，一般支持PROFIBU-DP的驱动器都可以实现。