S7-200PPI通信協議

PPI通信協議是一種主從式的通信協議，上位機即PC機為主，PLC為從。通信開始由計算機發起，PLC予以響應。

1）、計算機按通信任務，用一定格式，向PLC發送通信命令。

2）、PLC收到命令后，進行命令校驗，如無誤，則向計算機發送數據E5H或F9H，作出初步應答。

3）、計算機收到初步應答后，再向PLC發送SD DA SA FCFCS ED確認命令。

這里，SD為起始字符，為10H；DA為目的，即PLC地址02H；SA為數據源，即計算機地址00H；FC為功能碼，取5CH；FCS為SA、DA、FC和的256余數，為5EH；末字節ED為結束符，也是16H。如按以上設定的計算機及PLC地址，則發送10、02、00、5C、5E、及16，6個字節的十六進制數據，以確認所發命令。

4）、PLC收到此確認后，執行計算機所發送的通信命令，并向計算機返回相應數據。它的通信過程要往復兩次才完成一次的通信，比較麻煩，但較嚴謹，不易出錯。

SD  LE LER  SD  DA SA  FC  DASP SSAP  DU  FCS  ED

SD:(Start Delimiter)開始定界符，占1字節，為68H

LE:（Length）報文數據長度，占1字節，標明報文以字節計，從DA到DU的長度；

LER:（Repeated Length）重復數據長度，同LE

SD: (Start Delimiter)開始定界符(68H)

DA:（DestinationAddress）目標地址，占1字節，指PLC在PPI上地址，一臺PLC時，一般為02，多臺PLC時，則各有各的地址；

SA:（Source Address）源地址，占1字節，指計算機在PPI上地址，一般為00；

FC:（Function Code）功能碼，占1字節，6CH一般為讀數據，7CH一般為寫數據

DSAP:（Destination Service Access Point）目的服務存取點，占多個字節

SSAP:（Source Service Access Point）源服務存取點，占多個字節

DU:（Data Unit）數據單元，占多個字節

FCS:（Frame CheckSequence）占1字節，從DA到DU之間的校驗和的256余數；

ED:（End Delimiter）結束分界符，占1字節，為16H

命令類型

1）讀命令 讀命令長度都是33個字節。字節0～21，都是相同的，為：“68 1B 1B 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10”。而從字節22開始，將根據讀取數據的軟器件類型及地址的不同而不同。

字節22，表示讀取數據的單位。為01時，1bit；為02時，1字節；為04時，1字；為06時，雙字。

字節23，恒0。

字節24，表示數據個數。01，表示一次讀一個數據。如為讀字節，最多可讀208個字節，即可設為DEH。

字節25，恒0.

字節26，表示軟器件類型。為01時，V存儲器；為00時，其它。

字節27，也表示軟器件類型。為04時，S；為05時，SM；為06時，AI；為07時AQ；為1E時，C；為81時，I；為82時，Q；為83時，M；為84時，V；為1F時，T。

字節28、29及30，軟器件偏移量指針（存儲器地址乘8），如：VB100，存儲器地址為100，偏移量為800，轉換成十六進制就是320H，則字節28到30這三個字節就是00、03、及20.

字節31、32為FCS和ED。

返回數據  與發送命令格式數據相同，但包含一條數據。具體是：

SD  LE LER  SD  DA SA  FC  DASP SSAP  DU  FCS  ED

SD  LE LER  SD  DA SA  FC  DASP SSAP  DU  FCS  ED

這里的SD、LE、Ler、SD、SA及FC與命令含義相同。但SD為PLC地址，DA為計算機地址。此外：

字節16：數據塊占用的字節數，即從字節21到校驗和前的字節數。一條數據時：字，為06；雙字，為08；其它為05.

字節22：數據類型，讀字節為04.

字節23、24：讀字節時，為數據個數，單位以位計，1個字節為08；2個字節為10（16進制計），余類推。

字節25及其后至校驗和之前，為返回所讀值。

如讀VB100開始3個字節，其命令碼為：

68 1B 1B 68 02 00 6C 32 01 00 0000 00 00 0E 00 00 04 01 12 0A 10 02 00 03 00 01 84 00 03 20 8D 16(紅色02為字節為單位，03為讀3個字節)

68 1B 1B 68 02 00 6C 3201 00 00 00 00 00 0E 00 00 04 01 12 0A 10 04 00 01 00 01 84 00 0D 08 84 16

返回碼：

68 18 18 68 00 02 08 32 03 00 0000 00 00 02 00 07 00 00 04 01 FF 04 00 18 99 34 568B 16

（這里紅色99、34、56分別為VB100、VB101、VB102的值）

2）寫命令 寫一個字節，命令長為38個字節，字節0～字節21為：

68 20 2068 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10

寫一個字，命令長為39個字節，字節0～字節21為：

68 21 2168 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10

寫一個雙字數據，命令長為41個字節，字節0～21為：

68 23 23 68 02 00 6C 32 01 00 0000 00 00 0E 00 00 04 01 12 0A 10

字節22～字節30，為寫入數據的長、存儲器類型、存儲器類型、存儲器偏移量。這些與讀數據的命令相同。字節32如果是寫入的是位數據，這一字節為03，，其它則為04.

字節34寫入數據的位數：01：1位，08：1字節，10H：1字，20H：1雙字。

字節35～字節40為校驗碼、結束符。

如果寫入的是位、字節數據，字節35就是寫入的值，字節36為00，字節37為校驗碼，字節38為16H、結束碼。如果寫入的是字數據（雙字節），字節35、字節36就是寫入的值，字節37為校驗碼，字節38為16H、結束碼.如果寫入的是雙字數據（4字節），字節35～字節38就是寫入的值，字節39為校驗碼，字節40為16H、結束碼。

如寫入QB0=FF，其命令為：

68 20 20 68 02 00 7C 32 01 00 0000 00 00 0E 00 05 05 01 12 0A 1002 00 01 00 00 82 00 00 0000 04 00 08 FF 86 16

如寫入VB100=12，其命令如下：

68 20 20 68 02 00 7C 32 01 00 0000 00 00 0E 00 05 05 01 12 0A 1002 00 01 00 01 84 00 03 200004 00 08 12 BF16

PLC返回數據 E5 后，確認寫入命令，發送以下數據：

10 02 00 5C 5E 16

PLC返回數據 E5 后，寫入成功。

如寫入VW100=1234，其命令如下：

68 21 21 68 02 00 7C 32 01 00 0000 00 00 0E 00 06 05 01 12 0A 1004 00 01 00 01 84 00 03 20 00 040010 12 34 FE 16

PLC返回數據 E5 后，確認寫入命令，發送以下數據：

10 02 00 5C 5E 16

PLC返回數據 E5 后，寫入成功。

請注意以上紅體字的含義。

以上命令如執行成功，則返回

68 12 12 68 00 02 08 32 03 00 0000 00 00 02 00 01 00 00 05 01 FF 47 16

否則返回：

68 0F 0F 68 00 02 08 32 02 00 0000 00 00 00 00 00 85 00 C3 16

3）STOP命令 stop命令使得S7-200CPU從run狀態轉換到stop狀態（此時cpu模塊上的模式開關應處于run或term位置）。計算機發出如下命令：

68 1D 1D 68 02 00 6C 32 01 00 0000 00 00 10 00 00 29 00 00 00 00 00 09 50 5F 50 52 4F 47 52 41 4D AA 16

PLC返回：E5，同時PLC即轉為stop狀態。

但計算機再發確認報文（10 02 00 5C 5E 16）

PLC將返回：68 10 10 68 00 02 08 32 03 00 00 00 00 00 01 00 00 00 00 29 69 16

到此，才算完成這個通信過程。

4）RUN命令 run命令使得S7-200 cpu從stop狀態轉換到run狀態（此時cpu模塊上的模式開關應處于run或term位置）。PC機發出如下命令：

68 21 21 68 02 00 6C 32 01 00 0000 00 00 14 00 00 28 00 00 00 00 00 00 FD 00 00 09 50 5F 50 52 4F 47 52 41 4DAA 16

PLC返回：E5，同時PLC即轉為RUN狀態。

但計算機再發確認報文（10 02 00 5C 5E 16）

PLC將返回：68 10 10 68 00 02 08 32 03 00 00 00 00 00 01 00 00 00 00 29 69 16

至此，才算完成這個通信過程。

注：以上介紹的不是西門子發布的正式通信協議，還有其它內容。

建議結合些通信的例子來進行測試。

   PC與PLC采用主從方式通訊，PC按如下文的格式發讀寫指令，PLC作出接收正確的響應（返回應答數據E5H或F9H見下文分析），上位機接到此響應則發出確認命令（1002 5C 5E 16），PLC再返回給上位機相應數據。一般上位機要連接PLC就要先發送如下尋呼數據10 02 00 49 4B 16 同志們吶！我們可都是有血、有肉、有思想、有靈感的高級動物啊，面對這么多枯燥、無味、復雜、混亂的機器數字你怎么記呢？反正我是記不住�。。╚_^開始洗腦）這時你可以閉上眼睛，安靜、靜、再靜。。。。。。想一想戰爭時期的戰地對講機通話模式，那么這個指令（1002 00 49 4B 16）就可以理解為：00呼叫02，聽到請回答。 10起始符 02是上位機要聯系的下位級的地址站號，就是要找的人 00就是上位級本本身自己的站號49尋呼指令 16終止符 其中4B為校驗碼，是這樣得來的：02+00+49的最后兩位就是校驗碼，這就是所說的偶校驗或稱和校驗也稱余校驗，因為取的是余數。計算器在16進制計算時公式（02+00+49）mod100得出的數就是校驗碼，你計算一下是不是等于4B��！其他的所有PPI協議校驗都是如此。假如02站號的PLC收到尋呼信號那么會回答： 10 00 02 0002 16  意思是：報告00 ，02收到，請指示  這樣的解釋是不是有意思��！你有更好的解釋嗎？接下來呢，找到了要尋呼的人PC就是司令啦就可以發號施令了，發號施令后PLC正確接收后就會發送E5 字符，意思是：“02洞兩明白”。其實啊，說到這里PLC只說他明白，他已經明白了上位機PC的指示，但并沒有執行命令，那么要怎么他才執行命令呢？就是上位機PC發出確認命令后才執行。這時上位機會發出（1002 5C 5E 16），意思是：“請立即執行”。然后PLC就干他應當干的工作了��！原來PLC也不容易啊，怪不得叫下位機呢！

  說了這么多亂不亂吶！目的就是要理清上下級關系、主從關系，指令的順序，用一個好的記憶方法記住枯燥無味的機器碼。

讀命令分析：一次讀一條數據
SD LE LER SD DA SA FC DASP SSAP DU FCS ED 
SD:(Start Delimiter)開始定界符(68H)
LE:（Length）報文數據長度
LER:（Repeated Length）重復數據長度
SD: (Start Delimiter)開始定界符(68H)
SA:（Source Address）目標地址，指該地址的值，就是PLC的地址
DA:（Destination Address）本地地址，指該地址的指針，就是上位機自己的地址
FC:（Function Code）功能碼，5CH為交替周期觸發，6CH為首次信息周期觸發，7CH為交替周期觸發。
DSAP:（Destination Service Access Point）目的服務存取點
SSAP:（Source Service Access Point）源服務存取點
DU:（Data Unit）數據單元
FCS:（Frame Check Sequence）校驗碼
ED:（End Delimiter）結束分界符（16H）
報文數據長度和重復數據長度為自DA至DU的數據長度，校驗碼為DA至DU數據的和校驗，只取其中的末字節值關于這個校驗碼的計算方法同上面說明。
在讀寫PLC的變量數據中，讀數據的功能碼為 6CH，寫數據的功能碼為 7CH。
對于一次讀取一個數據，讀命令都是33個字節。前面的0—21字節是相同的，為

下面我們列表分析讀取PLC密碼的指令：68 1B 1B 68 02 00 6C32 01 00 00 00 00 00 0E 00 00 04 01 12 0A10 02 00 08 00 00 03 00 05 E0 D2 16

因為是PC上發的讀PLC數據的命令，SA=00，DA=02，如果有多個站，DA要改成相應的站號。讀命令中從DA到DU的長度為1B即27個字節。從22字節開始根據讀取數據的類型、位置不同而不同。上表是讀不同存儲器命令的Byte22—32。

上表讀命令的Byte22-32從表中我們可以得出以下結果：
Byte 22 讀取數據的長度
01：1 Bit 02：1 Byte 
04：1 Word 06：Double Word
Byte 24數據個數,這里是01 ，一次讀多個數據時見下面的說明。
Byte 26 存儲器類型，01：V存儲器 00：其它
Byte 27 存儲器類型
04：S 05：SM 06：AI 07：AQ 1E: C
81：I 82：Q 83：M 84：V 1F: T

Byte 28,29,30存儲器偏移量指針（存儲器地址*8），如：VB100，存儲器地址為100，偏移量指針為800,轉換成16進制就是320H,則Byte 28—29這三個字節就是：00 03 20。
Byte 31 校驗和，前面已說到這是從(DA+SA+DSAP+SSAP+DU) Mod 256 。
一次讀多條數據
對于一次讀多個數據的情況，前21Byte與上面相似只是長度LD，LDr及Byte 14不同：
Byte 14 數據塊占位字節，它指明數據塊占用的字節數。與數據塊數量有關，長度=4+數據塊數*10,如：一條數據時為4+10=0E(H)；同時讀M,V,Q三個不同的數據塊時為4+3*10=22(H)。
Byte 22 總是02 即以Byte為單位。
Byte 24 以字節為單位，連續讀取的字節數。如讀2個VD則Byte24=8
Byte 19---30 按上述一次讀一個數據的格式依次列出，
Byte 31---42 另一類型的數據，也是按上述格式給出。
以此類推，一次最多讀取222個字節的數據。

寫命令分析：一次寫一個Double Word類型的數據，寫命令是40個字節，其余為38個字節。寫一個Double Word類型的數據，前面的0—21字節為 ：

68 23 23 68 02 00 6C 32 0100 00 00 00 00 0E 00 00 04 01 12 0A10
寫一個其它類型的數據，前面的0—21字節為 ：（與上面比較，只是長度字節發生變化）
68 21 21 68 02 00 6C 32 0100 00 00 00 00 0E 00 00 04 01 12 0A 10

從22字節開始根據寫入數據的值和位置不同而變化。上表是幾個寫命令的Byte22—40。
字 節 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 3839 40
寫入位置及值長度 個數 類型 偏移量 位數 值、校驗碼、 結束符
M0.0=1 01 00 01 00 00 83 00 00 00 00 03 00 01 01 00 71 16 
M0.0=0 01 00 01 00 00 83 00 00 00 00 03 00 01 00 00 70 16 
M0.1=1 01 00 01 00 00 83 00 00 01 00 03 00 01 01 00 72 16 
vb100=10 02 00 01 00 01 84 00 03 20 00 04 00 08 10 00 AE 16 
vb100=FF 02 00 01 00 01 84 00 03 20 00 04 00 08 FF 00 9D 16 
VW100=FFFF 04 00 01 00 01 84 00 03 20 00 04 00 10 FF FF A6 16 
VD100=FFFFFFFF 06 00 01 00 01 84 00 03 20 00 04 00 20 FF FF FF FF B8 16

寫命令的Byte22—最后， 經分析我們可以得出以下結果：
Byte 22-- Byte 30 寫入數據的長度、存儲器類型、存儲器偏移量與讀命令相同。T，C等不能用寫命令寫入。 
Byte 32 如果寫入的是位數據這一字節為03，其它則為04
Byte 34 寫入數據的位數
01: 1 Bit 08: 1 Byte 10H: 1 Word 20H: 1 Double Word 
Byte 35--40值、校驗碼、結束符
如果寫入的是位、字節數據，Byte35就是寫入的值，Byte36=00，Byte37=檢驗碼，Byte38=16H，結束。如果寫個的是字數據（雙字節），Byte35,Byte36就是寫入的值， Byte37=檢驗碼，Byte38=16H，結束。如果寫個的是雙字數據（四字節），Byte35—38就是寫入的值， Byte39=檢驗碼，Byte40=16H，結束。

看完上面的指令分析我們現在就舉例幾個常用的PPI協議來分析一下：
PC尋呼：10 02 00 49 4B 16 
PLC返回：10 00 02 02 04 16
PC發送:10 02 00 5C5E 16 
PLC返回: E5
我們先來看看西門子S7－200PLC的讀取密碼指令：
請用串口軟件以16進制發送，端口設置9600；e；8；1 
發送:68 1B 1B 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 120A 10 02 00 08 00 00 0300 05 E0 D2 16意思：要求傳送系統存儲區05E0位開始的8個字符（這就是8個密碼數值）。
如果通訊無誤，PLC會返回 E5，意思：已經收到
那么這時上位機再次發送指令 10 02 00 5C 5E 16 意思：請執行命令。（說到這里打住一下，PLC返回E5指令后上位機PC要在很短的時間內發送確認指令，晚了剛才的指令就無效了具體多長時間我也沒測準，反正1、2秒時間是沒有問題的。）那么這時PLC就真的執行命令了返回如下字符：68 1D 1D 68 00 02 08 32 03 00 00 00 00 00 02 00 0C 00 00 04 01 FF 04 00 40 9B 98 02 06 9D9A 00 76 7D 16

寫指令：先發10 02 00 5C 5E 16 后發寫指令

1、寫一位M區（例子M0.0）

先發10 02 00 5C 5E 16 收到E5后

發   68 20 20 68 02 00 7C32 01 00 00 00 00 00 0E 0005 05 01 12 0A 10 01 00 01 00 00 83 00 00 00 00 03 00 01 0180 16

收到E5 說明寫入完成（只要報文長度，跟校驗碼對了，就會回復E5）

報文長度為： 目標地址 到 倒數第二位的校驗位前面 的字節長度（根據寫入值不通報文長度不同）

功能碼：7C表示寫入；6C表示讀取。

17位：05表示寫入；04表示讀取。

16位： 16位的05表示寫入的是 位或者字節（即用一個字節存儲）

       06 表示 字；  08表示雙字（4個字節）； 0C表示8個字節

數據長度（22位）：01位；02字節；04字；06雙字。

數據個數：0100表示一個；0200表示連續的兩個；0400連續的4個。

存儲類型：26位：01 V區；00其他。

27位：04 S區；05 SM區；06 AI；07 AQ；1E C；

81 I；82 Q；83 M；84 V ；1F T

偏移量： 0000 0000 0000 0000 0000 0XXX （XXX表示位）

例如：10.3=101 0.011 即00 00 53

數據形式：03表示位；04表示其他。

數據位數：即寫入數據多少位。01一位；08八位；10十六位；20三十二位。

寫入值：寫入位，字節均用一個字節存儲；寫入雙字得用四個字節。

校驗碼：即報文的偶校驗（所有之和Mod 100H）

終止符：16H

若M10.3=1寫入，  00 00 53             01 D3 （校驗碼D3是從開頭第五個02到倒數第三個01的所有數字的偶校驗（算術和））      

因為 0101 0.011（10.3）為00 00 53

即：68 20 20 68 02 00 7C 32 01 00 00 00 00 00 0E 00 05 05 01 120A 10          01 00 01 00 00 8300 00 5300 03 00 01 01D3 16

M10.3=0

即：68 20 20 68 02 00 7C 32 01 00 00 00 00 00 0E 00 05 05 01 120A 10          01 00 01 00 00 8300 00 5300 03 00 01 00D2 16

2、寫V區一個字節（例子VB100=10H）

先發10 02 00 5C 5E 16 收到E5后

發：68 20 20 68 02 00 7C 32 0100 00 00 00 00 0E 00 05 05 01 12 0A10           02 00 01 00 01 8400 03 2000 04 00 08 10 bd16

3、寫V區一個字（雙字）

發：68 21 21 68 02 00 7C32 01 00 00 00 00 00 0E 00 06 05 01 12 0A 10           04 00 01 00 01 84 00 03 20 00 04 0010ab cd 30 16

發：68 23 23 68 02 00 7C32 01 00 00 00 00 00 0E 00 08 05 01 12 0A 10           06 00 01 00 01 84 00 03 20 00 04 0020ab cd ef fe 31 16

讀指令：先發讀指令，后發10 02 005C 5E 16

1、讀取數據（例子讀取VW10的值，值為FF FF）

先發讀取命令：

68 1B 1B 68 02 00 6C 32 01 00 00 00 00 00 0E 00 00 04 01 12 0A 10             02 00 02 0001 84 00 00 50 B9 16  (紅色或者改為04 00 01 00 校驗也得改)

回復 E5

然后發送 10 02 00 5C 5E 16

收到數據：

68 17 17 68 00 02 08 32 03 00 0000 00 00 02 00 0600 00 04 01 FF0400 10 FF FF 5D 16

讀指令的前21位都是相同的。讀取長度，數據個數，存儲類型，偏移量都與寫指令里面的定義一樣。

收到數據中的

16位：05表示收到數據用一個字節存儲，可能是PLC位，也可能是一個字節；06表示用兩個字節存儲，即一個字；08雙字；0C表示8個字節。

22位：數據形式，03表示位；04表示其他。（主要針對C,T可能是位也可能是計數值，計數時間）

24位：表示讀取數值的位數。01表示一位；08八位；10十六位；20三十二位。

25位之后幾位：要讀取的數值。