西门子S7协议及报文格式详解

西门子S7协议及报文格式详解

西门子S7协议是西门子S7系列PLC的核心通信协议，广泛应用于工业自动化领域。本文将详细介绍S7协议的报文格式，包括两次握手过程和数据读取/写入的具体格式，帮助读者深入理解这一重要协议的工作原理。

一、简介

S7Comm（S7 Communication）是西门子专有的协议，属于西门子S7通讯协议簇的一种。S7通信协议是西门子S7系列PLC内部集成的一种通信协议，是S7系列PLC的核心技术之一。它是一种运行在传输层之上的（会话层/表示层/应用层）、经过特殊优化的通信协议，其信息传输可以基于MPI网络、PROFIBUS网络或者以太网。

S7在TCP连接上后还需要进行两次握手。S7协议的TCP/IP实现依赖于面向块的ISO传输服务。S7协议被封装在TPKT和ISO-COTP协议中，这使得PDU（协议数据单元）能够通过TCP传送。可以使用Wireshark抓包工具查看详细的发送报文格式。

二、第一次握手

当PDU类型为0x0E（CR Connect Request连接请求）时，报文格式如下：

TPKT协议结构

COTP连接包的结构

第一次握手发送返回字节格式包括支持的PUD类型和参数代码TPDU-Size。

三、第二次握手

当PDU类型为0xF0（DT Data，数据传输）时，报文格式如下：

COTP功能包的格式

S7Comm协议结构

第二次握手发送返回字节格式包括ROSCTR类型。

四、数据读取/写入报文格式

数据读取/写入报文发送返回字节格式包括S7协议的地址（偏移量）运算方式。S7协议的地址（偏移量）是按照位来运算的，因此需要地址值乘以8。地址的三个字节范围为0x000000~0x08FFFF。

例如：

• M30000，实际地址就是30000*8=240000，然后转化为3个字节。240000=0x03A980，对应三个字节【03 A9 80】
• DB21234.40000，其中DB号21234为0x52F2，DB编号对应两个字节【52 F2】
• 偏移量（地址）40000乘以8就是320000，也就是0x04E200，对应三个字节【04 E2 00】

功能码

区域类型

SyntaxID类型

PLC区域类型块

1 Merker： [M]任意标记变量或标志寄存器驻留在这里。
2
3 Data Block： [DB] DB区域是存储设备不同功能所需数据的最常见位置，这些数据块编号为地址的一部分。
4
5 Input： [I]数字和模拟输入模块值，映射到存储器。
6
7 Output： [Q]类似的存储器映射输出。
8
9 Counter： PLC程序使用的不同计数器的[C]值。
10
11 Timer： PLC程序使用的不同定时器的[T]值。

西门子不同区域地址类型及其范围