西门子模块总代理商-大同

由于现代工业设备大量采用PLC作为主控制系统，PLC作为整个设备的核心部件，其软件包涵了生产工艺，控制逻辑，设备数据，加工参数及信息通讯等重要内容，从而成为设备仿制者重点要获取的目标之一。纵观目前中国上应用的主流品牌PLC，虽然在设计上都采用了各种软硬件加密的手段，但破解者运用的破解手段也越来越先进，从初的穷举法，端口侦听，软件跟踪，到现在可以通过直接复制提取内存芯片的内容来分析破解，更有甚者在互连网上公开讨论和传播破解方法和工具，因此所有产品无一例外地遭到了破解。这对中国众多的中小型OEM制造商来说是非常不利的，“我们几年的开发成果可能因此一夜之间付诸东流”当得知S7-200/300硬件加密也被破解后，一位OEM制造商无奈地说。由于仿制者的开发成本很低或几乎为零，因此开发者还没有来得及收回开发成本就陷入了低价竞争，这极大的影响了开发者开发新产品的积极性，对我国的装备工业的长远发展是十分有害的。 

S7-1500 自动化系统具有模块化的结构，可包含多 32 个模块。它拥有丰富的模块，这些模块可进行各种组合。S7-1500 自动化系统支持单层组态，其中的所有模块均安装在一个 DIN 导轨上（请参见手册以了解要求）。

系统包含下列组件：

控制器：

CPU 具有不同性能等级，并具有集成 PROFINET 接口或 PROFINET 和 PROFIBUS 接口，用于连接分布式 I/O 或用于编程设备、操作员面板、其它 SIMATIC 控制器或非西门子设备的通信。

SIMATIC S7-1500 适合使用多种型号的 CPU：标准 CPU（MFP 版本：能够在控制器上执行 C/C++ 代码）

紧凑型 CPU 不仅配备数字型和模拟型输入输出，还配备计数器输入和高速输出，将技术功能直接集成在 CPU 上。

故障安全型 CPU（MFP 版本：能够在控制器上执行 C/C++ 代码）适用于在同一台PC上执行标准程序和安全相关的程序。

具有扩展运动控制功能的 T-CPU，如同步运行（通过指定同步位置进行同步）、凸轮功能以及运动控制功能。

用于数字量和模拟量输入/输出的信号模块。

工艺模块用于高速计数、位置检测或测量等功能。

通信模块和通信处理器可通过通信接口将控制器进行扩展

根据具体要求，也可使用下列模块：

在 CPU 向背板总线的输出对于所有连接的模块来说不够充分的情况下，电源模块 (PS) 通过背板总线为 S7-1500 模块的内部电路供电。另外，60 W 24/48/60 V DC HF PS 还可让 CPU 性存储整个工作存储器的内容（数据）。

用于将 SIMATIC S7-1500 连接到 120/230 VAC 电源的负载电源模块 (PM)。

接口模块用于连接基于 S7-1500 的分布式 I/O。

设计

简单的设计使得 SIMATIC S7-1500 多功能，便于维护。

集成背板总线：

集成背板总线；背板总线集成在模块上。模块通过 U 形连接器相连，总线连接器插在机箱的背面。可以节省安装时间。

模块组装在 S7-1500 DIN 导轨上：

具有各种长度，包括切割至定长的型号。由于具有集成 DIN 导轨，可以卡装广泛的标准部件，如附加端子、小型断路器或小型继电器。

性能可靠，接线方便：I/O 信号是通过统一的 40 针前连接器来连接的。信号模块和前连接器之间具有机械编码，可防止因意外的错误插入而对电路造成破坏。

为了对前连接器进行简单接线，可将该连接器置于“预接线位置”。在此位置上，插头尚未与模块电路接触。此位置还可用于在运行过程中进行改动。用户可借助于前盖内侧的一个印制接线图进行连接。

前连接器作为带螺钉型端子或弹簧型端子的型号提供。两个型号都可以连接线芯截面积为 0.252 ~ 1.5 mm2（AWG 24 ~ AWG 16）的导线。

另外，数字量信号模块可通过 TOP Connect 进行系统接线。通过 TOP Connect，可以快速而清晰地连接到现场的传感器和执行器，并可在控制柜中进行简便接线。

对于模拟量模块，可以直接在模块上进行屏蔽；随模块提供了一个屏蔽连接套件，无需工具即可进行安装。

设备特定标签：

标签条可用于 SIMATIC S7-1500 的信号模块。可使用标准激光打印机来打印这些 DIN A4 标签纸上的标签。可以从 TIA Portal 进行自动打印，而无需重新输入符号或地址。通过这些标签条的设计形式，可为通道或诊断显示 1:1 分配标签。如果前盖打开，则诊断显示到端子的这种 1:1 分配会保留。

可变和可扩展的站组态：信号模块和通信处理器可以不受限制地以任何方式连接。系统可自行组态。

难道就这样束手无策，听任仿制者为所欲为了吗？答案是否定的，多年来一直关注和研究PLC控制程序保护方面的问题，笔者在实践中取得了一些经验和心得，在本文中愿意和同行们共同分享和讨论，大家共同为保护自己的劳动成果而努力。笔者多年来一直从事西门子SIAMTIC S7 PLC的应用，因此本文也只是从纯粹的技术层面出发，重点探讨SIMATIC S7 PLC控制程序的保护。 


 在系统设计的初期，我们应该从系统的角度来考虑PLC控制程序的保护： 

1. T.I.A（全集成自动化）的概念有助于保护我们的KNOW HOW 
T.I.A实现了组态和编程，数据管理和通讯，自动化与驱动产品（包括PLC控制器、HMI人机界面、网络、驱动器等产品）的高度集成。实践证明，采用T.I.A集成概念设计的控制系统很难被抄袭。同一个软件平台，相同的硬件组成，一样的总线通讯，完全可以设计出截然不同的控制系统，这是一个让开发者自由发挥的平台。例如，一个CPU315-2DP和2个MM440变频器进行PROFIBUS-DP的通讯，除了PLC和变频器有常规的数据交换，如果用户使用了DRIVES ES的工程软件，还能实现2个MM440之间的直接的快速数据交换，另外通过DRIVES ES还能实现PLC和MM440之间超过10个总共16个PZD过程数据的交换，实现PLC批量下载变频器参数的功能。而这一切的实现从表面上看，硬件没有发生任何的变化，仿制者很难从硬件上来判断出系统是如何控制这两台驱动器的速度的。不熟悉西门子产品的仿制者无法轻易更换硬件配置或修改软件，而即使仿制者是个西门子产品的专家，要独自分析清楚具体细节问题也不是件容易的事情。从某种程度上说，T.I.A大大提高了对仿制者的技术水平要求的门槛，达到西门子系统集成专家水平的技术人员一是不多，二很少有愿意做这些不齿的事情的。 
此外，对于一些较大系统的OEM开发商，路由通讯功能，iMAP软件包等都是很不错的T.I.A系统功能或工具，我们应该尽量利用T.I.A给我们带来的技术优势，占领技术制高点，加大仿制或抄袭的技术难度。 
2. 使用通讯功能 
在实际的工作中，我们往往会遇到一些系统间需要数据交换的问题（如PLC-PLC之间，PLC与驱动器之间，PLC与仪表之间），无论是西门子产品之间还是西门子产品与第三方产品之间，建议使用通讯的方案来代替模拟量或开关量之间的信号互连的方案。对于前者，仿制者只能看见一条硬件的通讯线，至于有多少数据是如何通过通讯交换的，仿制者必须要花精力研究具体的用户程序才能搞清楚；而对于后者，开发者是省心省力了，仿制者也是一目了然，尽收眼底。 
PLC与驱动器的通讯，除了了控制字/状态字、设定值/反馈值及过程变量的数据通讯，驱动器工作的参数好也能由PLC通过软件下载，这样即可以降低终用户维护系统的技术要求，同时可以防止仿制者通过驱动器工作参数分析系统尤其在驱动方面的工作原理和设计思路。西门子公司的工程软件DRIVE ES BASIC/SIAMTIC，为广大的西门子产品用户实现此类功能提供了一个强大的工具；而使用SIMATIC PLC却使用第三方驱动器的用户，也可以自行开发针对性的参数读写程序，一般支持PROFIBU-DP的驱动器都可以实现。 
有时候我们的控制系统会由多个子控制系统构成，由此形成多CPU加人机界面的网络，西门子S7-200产品常见的是PPI网络，S7-300/400产品常见的是MPI网络，通常是人机界面与CPU之间的数据交换，而我们也可在CPU的用户程序中添加一些无须组态的S7基本通讯功能（S7-200可用NETR/NETW指令，S7-300/400可以用X_PUT/X_GET指令），定时或不定时地在CPU之间进行少量数据交换，通过这些数据实现子系统控制逻辑的互锁。对于这样的系统，仿制者要分析某一子系统的程序也不是件十分容易事情。 

3. 使用面板类型的人机界面 
尽量在自动化系统中使用面板类型的人机界面来代替单一的按钮指示灯，虽然按钮指示灯的功能是无法保密的，但目前为止，面板型人机界面能够实现程序上载并实现反编译的产品还不多见，开发者可以在面板的画面上加上明显的厂家标识和联系方式等信息，仿制者还不至于傻到连这个也原样照抄吧。这样迫使仿制者必须重新编写操作面板的程序甚至于PLC的程序，而开发者则可利用面板和PLC数据接口的一些特殊功能区（如西门子面板的区域指针，或VB脚本）来控制PLC的程序执行。这样的PLC程序在没有HMI源程序的情况下只能靠猜测和在线监视来获取PLC内部变量的变化逻辑，费时费力，极大的增加了仿制抄袭的难度。 

4. 采用语言编写部分重要的工艺程序 
这一点主要针对采用S7-300/400或WINAC产品的控制设备，除了使用STEP 7提供的LAD，STL，FBD标准编程语言来开发控制程序，我们还可以使用SCL，S7-GRAPH等语言来开发一些重要的工艺程序，WINAC还可以使用ODK软件包开发出专有的程序块。一般的仿制者是不容易搞到这些开发工具的，即使有也不一定会使用，更不用说来读懂这些程序了。 

 在项目具体实施的过程中，我们应该从软件开发技巧的角度来考虑PLC控制程序的保护： 

1. 编程方式的采用 
a) 采用模块化的程序结构，采用符号名，参数化来编写子程序块 
b) S7-300/400尽量采用背景数据块和多重背景的数据传递方式 
c) 多采用间接寻址的编程方式 
d) 复杂系统的控制程序尤其是一些带有顺序控制或配方控制的程序，可以考虑采用数据编程的方式，即通过数据的变化来改变系统的控制逻辑或控制顺序。 
用户应该尽量采用以上几种层次的编程方式，这样编出来的程序中嵌入系统的保护加密程序，才不容易被发现和破解 

2. 主动保护方法 
a) 利用系统的时钟 
b) 利用程序卡或者CPU的ID号和序列号 
c) 利用EEPROM的反写入功能，及一些需要设置的内存保持功能 
d) 利用系统提供的累时器功能 
e) 在用户程序的数据块中设置密码 
f) 软件上设置逻辑陷阱 
g) 可以反向利用自己在编程时犯的错误 

3. 被动保护方法 
a) 在内存容量利用许可的条件下，不要删除被认为是无用的程序 
b) 在数据块里留下开发者的标识，以便于将来遭到侵权时可以取证 

4. 应用反破解技术的注意事项 
a) 在用户程序中嵌入保护程序要显得自然一些，不能很突兀的加出一段程序来，代码要尽量精简，变量符号名应与被嵌入程序段的变量保持一致 
b) 往往一种保护加密手段是不够的，应该多种方法并用，并且这些保护程序一旦激活后对系统造成的后果也应该尽量不同，造成所谓的“地雷效应”，从而增加程序被破解的难度，时间与成本，短时间内让抄袭者束手无策， 
c) 保护好程序的原代码，如果需要交付程序的，在不影响用户对设备维护的前提下，应对交付的程序做适当的技术处理，如删除部分符号名，采用上载的程序或数据块 
d) 做好严格的测试，以避免保护程序的不完善引起的误动作而带来的不必要的麻烦，同时也能降低售后服务的的费用 

 运用保护手段的原则 

我们虽然掌握了一些加密保护的手段，有一点必须明白，密码和锁的道理是一样的，天下没有打不开的锁，也没有解不开的密码，我们从技术上采取的措施来防止侵权的作用还是十分有限的，因此大家不能把所有的希望都寄托在所谓的加密技术或破解与反破解技术上；除此之外我们还可以通过专利的申请等其他诸如法律手段来保护我们的知识产权；但重要的是我们不能安于现状，而是要勇于创新，不断地利用新技术开发新产品，占领技术新高地，争做行业的领头人，才能使我们的企业立于不败之地。