西门子6ES7322-1CF00-0AA0性能参数
1 启保停电路
该电路实现线圈(电机)的启动,保持和停止功能。实现了断电保持(意思是启动触点断开,电机也仍然运行)。这个是比较常用的一段。i1.0为启动,i1.1为停止。
2 多点启保停电路
与上面的启保停电路类似,更进一步地实现了多点控制。意思是多点控制断,多点控制启动。
3 互锁控制电路
用在一组相反控制,比如电机的正反等等。比如q0.1和q0.2线圈,q0.1的一个常闭触点接在q0.2回路中,q0.2同样,即可以实现互锁。
例子中互锁电路再加一个启保停,即实现了电机的正反转起停控制。
4 周期闪烁电路
周期地输出高电平和低电平,这两个高低波输出时间的长度由两个定时器决定。
如果需要两个输出端闪烁,即只需要在当中串一个定时器,形成顺连即可以了。
5 定时器接力电路
这个接力电路主要用在一些步进工序当中,入a动作开始运行10s后b开始动作,b动作5s后,c开始动作。c动作3s后再循环。
如此一个接力动作,即需要接力电路来控制接力的时间点。基本上也是顺接的一个意思。
这种电路中比较主要的一点是后一个定时器,它的输出是控制个定时器的一个常开触点,如此来构建一个循环。因为当后一个定时器有输出的瞬间,后一个线圈得电,个定时器前面的常闭触点断开,定时器被清零,导致所有定时器清理,无输出,一个循环结束。当后一个定时器被清理后,后一个线圈失电,常闭触点又闭合,下一个周期开始
我前几年做设备用的是三菱fx2n,对fx2n的研究已经很长时间了,已经非常熟悉。虽然用了很多方法来做程序保护,包括:
设置密码;
设定通讯格式;
设置记忆性的作为密码;
程序分二部分,先运行一次预先程序,再输入真正的软件运行;
读取的plc程序(程序+内存数据)写入新的plc,但一运行就报告出错;
程序大到6000-7000步,程序里面大部分是数字处理,使破解者难以读懂程序等等。
因为见到网上有人(福建的)写出帮人破解plc的过程里面提到的保护措施几乎跟我所采用的一致,后也不得不硬着头皮分析了6000多步的程序,终也破解了。所以我相信我做的设备可能已经被人破解了。
三菱fx3u标榜安全的加密方法,可以设置2级密码及防止上传等,所以本人比较感兴趣。去年从国内回来前,向好朋友阿干要了一个fx3u 16m
带过来研究,因为。我想试试究竟会不会被破解。
花了一个月左右的时间研究,当然每个星期多只有2天的休息时间来玩,已经对fx3u的物理影像地址、监控x,y,m,t,c,s位状态地址、fx3u强制位地址、c0-c255当前值、特殊数据d8000-d8511的地址、密码处理过程、通讯口波特率设置,gppw软件的通讯命令比较清楚,并用vb编写了“fx3u系列plc专用测试程序2.1.0”方便进行设备接线是否正确调试,也包含了保护状态读取和一级密码处理,如图2。
对于密码的研究结果:三菱的编程软件gppw对输入的2级密码进行了加密运算后再传送到plc,所以就算用串口监控软件读取的是加密后的数据,加密算法不得而知。
对于通讯波特率的研究结果:plc 在上电时产生一个随机数四个字节十六进制树存放在物理地址00ee8h上,gppw在通讯开始时先在9600波特率下读取了plc的地址00ee8h起四个8位字节的内容,经过了专用的算法计算(现在未知算法),把计算结果发送到plc地址00eech起的四个8位字节中,plc确认数值正确激活为:波特率可变模式,gppw再发送命令更改波特率。然而地址00ee8h的内容每次启动都是变化的,要想激活,这就需要知道计算的算法了。
我自己认为无法破解上述两个问题,去年5月份的时候就停止了研究了。阿干去年也跟我说过,拆机做些处理是可以破解的。
一年后的,有人在网上说出了破解方法,要做硬件处理,还不用拆机也可以,我就试一试看看是否真的可以破解。
运行三菱gppw软件先对fx3u plc进行2级密码+禁止所有在线操作,如图3,图4我设置的密码分别是:11111111, 22222222
然后运行我的软件进行查看,如图5、图6
然后plc断电,按别人说的进行plc硬件处理,过程不便在这里公开,再运行我的软件检查,如图7 。
保护状态变为了:第二关健字未设置,可以读取密码,这时的密码跟原始的密码是不同的。
然后再运行三菱编程gppw软件进行读取plc,要求输入密码时仅输入级密码(上面的),真的可以将参数设置、程序、软元件全部读取。
fx3u plc真的被破解了。