1.1 S7-1200/1500的保护功能概述
针对不同的防护需求,S7-1200/1500提供了多种方式的保护功能,主要包括:
· CPU的访问保护
· 程序块的保护
· 项目的保护和用户管理
1.2 CPU的访问保护
对CPU的访问通常有以下三种,读访问、写访问和HMI访问,如下图所示。读访问,主要是指上载硬件组态和程序;写访问包括下载硬件组态、程序以及使用测试功能和固件更新等;HMI访问是指通过触摸屏、Wincc等上位机对CPU进行读写变量以及诊断等。
S7-1200/1500通过对不同权限进行加密设置,来保护对CPU的在线访问。标准S7-1200/1500提供了4种访问CPU的保护级别,可以满足不同的需求,如下图所示。
完全访问权限:这个级别不需要密码,所有用户都可以对CPU进行读写访问和HMI访问,所以相当于没有访问保护。当不需要对CPU进行访问保护时,才选择这个访问级别。
读访问权限:在不输入密码的情况下,允许对CPU进行读访问,还可以进行HMI访问。但不能进行写访问。这通常是为了保护CPU中的程序不被意外的更改。
HMI访问权限:在不输入密码的情况下,支持 HMI 访问,但不能进行读写访问,也就是不能上载、下载程序。这通常是为了保护CPU中的程序不被意外的获取。
不能访问:在不输入密码的情况下,不能对CPU进行读写访问,也不能进行 HMI 访问,这是最高级别的保护,最大程度保护CPU免遭未经授权的访问。
另外,CPU允许同时设置多层密码,来管理不同人员的访问权限,每个层级的密码对应相应层级的访问权限。
举个例子,某个工厂的CPU访问权限需要分层管理,要求高层管理人员可以对CPU进行所有操作,中层管理人员可以对CPU进行上载和HMI访问,但不能进行下载操作,基层管理人员可以对CPU进行HMI访问,但不能上下载操作,其他人员不允许进行任何操作。对于这种需求,就可以把CPU设置为“不能访问”级别,同时设置三层不同的密码,如图中的第一层、第二层和第三层密码。第一层密码拥有所有操作权限,分配给高层管理人员;第二层密码只有对CPU的读操作和HMI访问权限,没有下载权限,分配给中层管理人员;第三层密码只有HMI访问权限,分配给基层管理人员。
1.3 程序块的保护
程序块包括代码块和数据块。代码块包括FB、FC和OB块,数据块就是DB块。
对于程序块的保护方式,通常有专有技术保护、防拷贝保护和写保护。
1.3.1 程序块的专有技术保护
关键技术的泄漏对用户核心竞争力将会产生很大的负面影响,因此对关键程序块的加密保护是最常见的需求。TIA Portal提供专有技术保护功能,通过加密来保护程序块,
如下图所示.
设置了专有技术保护的代码程序块(FB、FC和OB),在没有密码的情况下,程序块的内容是不可见的。这样即使程序被人意外获取,也不能查看程序代码。
需要注意的一点是,DB块虽然也可以设置专有技术保护,但实际上只是写保护。也就是说不输入密码的情况下,也可以看到DB块的内容,只是不能更改,如下图所示。
1.3.2 程序块的防拷贝保护
对于设置了专有技术保护的程序块,在没有密码的情况下,虽然看不到程序的内容,但不影响程序块在CPU中的运行。这就意味着,如果有人意外获取了程序,就可以应用于相同功能的其他设备中。防拷贝保护功能就是基于这种应用场景,如下图所示。
防拷贝保护,是把代码块跟CPU或者存储卡的序列号进行绑定,绑定后代码块只能在该CPU或者存储卡中使用,否则下载将报错。
但仅仅设置防拷贝保护通常是不够的,因为一旦有人意外获取 了程序块,他可以修改绑定的序列号,甚至取消绑定。所以一般情况下,在设置防拷贝保护的基础上,再设置专有技术保护,这样的话,要修改序列号就必须先输入专有技术保护密码,就可以保护程序安全。
对于不用存储卡的S7-1200,只能选择绑定CPU;对于S7-1500或者使用存储卡的S7-1200,还可以选择绑定存储卡,这样当CPU故障时可以直接更换,在保护程序块的同时,减少停机时间。
对于需要大量下载的情况,如果每个设备都输入序列号,比较繁琐。TIA Portal提供了一种自动获取序列号的方式,这种方式需要设置密码验证,以保证是经过授权的人员才允许操作,如下图所示。
1.3.3 程序块的写保护
为了防止在设备调试或者维护过程中意外更改程序,导致程序出现问题,可以设置程序块的写保护,如下图所示。
设置了写保护的程序块,可以使用在线监控以及修改监视值等调试功能,如下图所示。但要修改程序,则需要输入密码。
1.4 项目保护
在一些大中型项目中,同一设备生产商可能会负责很多不同类型的设备,比如,PLC、HMI、驱动等。很多时候为了管理方便,会把这些设备集成到一个TIA Portal项目里。这一个TIA Portal项目可能会安排不同人员来负责不同的设备编程调试,有人只负责PLC,有人只负责HMI,有人只负责驱动,还有的人负责管理人员分配,如下图所示。为了避免意外更改不相关的设备,有必要对各负责人员进行权限管理。
TIA Portal提供了项目保护功能,可以对整个TIA Portal项目进行用户管理和保护。各个用户的权限是通过角色来分配。也就是说,每种角色指定了特定的功能权限,再把相应的角色分配给对应的用户,如下图所示。用户通过账号密码进行登录验证。
TIA Portal中已经包含了若干系统预先定义的角色,比如,工程组态管理员、工程组态标准角色等,这些角色包含的功能权限是不可更改的。如果这些角色不能满足要求,可以根据需要自定义角色。
自定义的角色可以自由分配功能权限,可选权限如下图所示。
您也可以通过“西门子工业1847学习平台”学习更多工业技术知识。