ModbusRTU通信协议报文剖析-牛翰网

ModbusRTU通信协议报文剖析

前言

大家好!我是付工。前面给大家介绍了Modbus协议的应用层面。终于有人把Modbus说明白了那么,今天跟大家聊聊关于Modbus协议报文的那些事。

一、真实案例

前段时间有个粉丝朋友,让我帮他解决一个问题。

这个粉丝朋友是负责Modbus主站调试的。

项目背景:这是一个船舶的项目,主站是一个贝加莱PLC,带4个从站,从站是西门子S7-1200PLC,分别是右配电板PLC、右发电机PMS、岸电PMS和岸电柜,触摸屏使用的是北尔的iXDeveloper。

故障现象:触摸屏上提示部分通信中断报警,并且读写设备速度很慢。

因为跟老外沟通不畅,必须找到绝对的证据。

我让他将RS485的AB端子,通过485转USB转换器接到一台电脑上,然后通过抓包软件来观察报文的异常情况。

发送:02 03 00 00 00 00 45 F9返回:02 83 03 F1 31

这是2号从站的一个错误报文帧,读取长度为0,因为有重发机制,所以会连续重发多次,导致通信延时。

发送:03 0F 00 04 00 00 00 29 CF

返回:03 8F 03 A5 F1

这是3号从站的一个错误报文帧,预置多线圈功能码返回错误,这里可能是起始地址错误,这个错误导致连续重发,引起通信延时。

通过报文分析最终找到原因,解决了这个现场问题。

 

 

前面说过,学习Modbus有两个层面,第一个是应用层面,第二个是报文层面。对于PLC工程师来说,掌握应用层面一般就够用了,但是如果遇到一些特殊的场景,掌握报文层面,会更有利于编写出优质的程序和快速定位问题。

二、通信协议

如何理解通信协议呢?

通信的目的是数据交互。如果我们把通信的过程比作公司需要传达一个消息。

 

 

其中会涉及到三个部分,简称通信三要素。第一是通信介质,它决定了途径,微信还是打电话。第二是通信协议,它决定了内容,具体是什么消息。第三是通信角色,它决定了谁主动发出,谁被动接收。通信协议的本质就是设备之间沟通的语言。设备与人不同,设备是固定的,只要双方提前约定好协议就行了。比如我们对接机器人系统时,约定好发送“XYZ”,对方就会回复XYZ的坐标值,这就是一种协议。

 

 

很多时候,我们认为这是一种自定义协议。我认为,通信协议有三种类型:一种是标准协议,比如Modbus协议等。一种是品牌协议,比如西门子S7、三菱MC协议等。还有一种是自定义协议,比如上面那个“XYZ”协议。从本质来说,所有的协议都是自定义协议,只是使用的人多了,慢慢形成了标准。

世上本没有路,走的人多了,便形成了路。

虽然协议种类很多,但并不需要都学,见招拆招,才是最重要的。

学习的时候只要搞懂1-2种,就能触类旁通。

我认为最适合学习的是ModbusRTU与ModbusTCP,至于ModbusASCII,一般很少用。

而且这两个协议,也不需要学两次,先学会ModbusRTU,ModbusTCP就能轻松驾驭。

三、通用格式

学习通信协议,首先要弄清楚通用报文格式。

所谓通用报文格式,其实就是一个公式规范。所有的通信报文,必须是符合这个公式规范的。ModbusRTU的通用报文格式如下:

【1】从站地址:这个报文发送给谁或来自于谁。

【2】功能码:要干什么,读/写/线圈/寄存器。

【3】数据部分:配合功能码提供对应的参数。

【4】校验部分:保证报文的正确性和完整性。

下面围绕这个公式,针对每个功能码进行阐述。

四、读取输出线圈

在通用格式基础上,针对功能码,我们进行细化。

读取输出线圈发送报文格式如下:

对比通用格式来看:就是将数据部分细化成了起始线圈地址和数量。

我们来分析一下这段发送报文:

【1】从站地址:0x01表示读取1号从站的数据。

【2】功能码:0x01表示读取的是输出线圈存储区。

【3】起始地址:十六进制0x00 0x13对应十进制为19,表示从19号线圈开始读取,这个19对应的Modbus地址为00020。

【4】线圈数量:十六进制0x00 0x1B对应十进制的27,表示读取线圈数量为27。

【5】CRC校验:0x8D 0x4C是对前面所有数据进行CRC校验后的结果。

注意:报文中的起始地址,就是我们前面说过的相对地址。对于任意一个存储区,相对地址都是从0开始的,所有的通信报文中使用的都是相对地址。

主站发送这段报文是想要读取1号从站输出线圈存储区,Modbus地址从 00020-00046,共27个线圈的状态值。当1号从站收到这段报文后,知道了主站的意图,便会响应,响应报文如下:

我们再来分析一下这段响应报文:

【1】从站地址:0x01表示由1号从站响应的报文。

【2】功能码:0x01表示响应的是0x01功能码报文。

【3】字节计数:0x04表示返回的数据共有4个字节。

【4】字节1至字节4:返回的具体数据分别为0xCD、0x6B、0xB2、0x05,这4个字节对 应32个线圈值,前面的27个线圈值即对应00020-00046的值。

【5】CRC校验:0x00 0x02是对前面所有数据进行CRC校验后的结果。

主站收到响应报文便获取到了自己要的数据,具体对应关系如下:

0xCD=1100 1101 对应 00027-00020

0x6B=0110 1011 对应 00035-00028

0xB2=1011 0010 对应 00043-00036

0x05=0000 0101 对应 00051-00044

至此,就完成了一次Modbus通信交互。至于读取输入线圈,与读取输出线圈几乎一致,唯一的区别就是功能码从0x01变成了0x02,这里就不做过多赘述了。

五、读取保持型寄存器

接下来我们对03功能码读取保持型寄存器进行说明,这个也是我们经常使用的一个功能码。

读取保持型寄存器发送报文格式如下:

这个与读取输出线圈是相似的,只不过这里的起始地址是寄存器地址。

我们来分析一下这段发送报文:

【1】从站地址:0x01表示读取1号从站的数据。

【2】功能码:0x03表示读取保持型寄存器存储区。

【3】起始地址:十六进制0x00 0x6B对应十进制为107,表示从107号寄存器开始读取,这个107对应的Modbus地址为40108。

【4】寄存器数量:0x00 0x02对应十进制的2,表示读取寄存器数量为2。

【5】CRC校验:0xB5 0xD7是对前面所有数据进行CRC校验后的结果。

主站发送这段报文是想要读取1号从站保持型寄存器存储区,Modbus地址 从40108-40109,共2个寄存器的数据值。

从站响应报文格式如下:

我们再来分析一下这段响应报文:

【1】从站地址:0x01表示1号从站响应的报文。

【2】功能码:0x03表示响应的是0x03功能码的报文。

【3】字节计数:0x04表示返回的数据共有4个字节。

【4】字节1至字节4:返回的具体数据分别为0x00、0xC8、0x01、0x2C,这4个字节对 应2个保持型寄存器的值,即对应40108-40109的值。

【5】CRC校验:0x7B、0x80是对前面所有数据进行CRC校验后的结果。

主站收到响应报文便获取到了自己要的数据,具体对应关系如下:

0x00 0xC8对应40108的值,16进制的0x00 0xC8对应十进制的200

0x01 0x2C对应40109的值,16进制的0x01 0x2C对应十进制的300

读取输入寄存器,与读取保持型寄存器报文格式几乎一致,唯一的区别就是功能码从0x03变成了0x04,这里就不做过多赘述了。

六、预置单线圈

我们对0x05功能码预置单线圈进行说明,发送报文格式如下: 

对比通用格式来看:将数据部分细化成了线圈地址和断通标志,如果是置位,则断通标志为0xFF 0x00,如果是复位,断通标志为0x00 0x00。

我们来分析一下这段发送报文:

【1】从站地址:0x01表示写入1号从站的数据。

【2】功能码:0x05表示写入单个输出线圈。

【3】线圈地址:十六进制0x00 0x1A对应十进制为26,表示写入26号线圈,这个26对应的Modbus地址为00027。

【4】断通标志:0xFF 0x00表示置位,要将该线圈状态设置为True。

【5】CRC校验:0xAD 0xFD是对前面所有数据进行CRC校验后的结果。

这段发送报文表示的含义是主站想要将1号从站输出线圈存储区,Modbus地址00027这个线圈置为True。

接收报文格式如下:

预置单线圈接收报文与发送报文一致,原报文返回。

七、预置单寄存器

我们对0x06功能码预置单寄存器进行说明,发送报文格式如下:

对比通用格式来看:将数据部分细化成了寄存器地址和写入值,单寄存器表示16位整数,占用2个字节。

我们来分析一下这段发送报文:

【1】从站地址:0x01表示写入1号从站的数据。

【2】功能码:0x06表示写入单个保持型寄存器。

【3】线圈地址:十六进制0x00 0x10对应十进制为16,表示写入16号寄存器,这个16对应的Modbus地址为40017。

【4】写入值:16进制0x03 0x00对应十进制768,就是将该寄存器的值设置为768。

【5】CRC校验:0x88 0xFF是对前面所有数据进行CRC校验后的结果。

这段发送报文表示的含义是主站想要将1号从站保持型寄存器存储区,Modbus地址 40017这个寄存器的值修改为768。

接收报文格式如下:

预置单寄存器接收报文与发送报文一致,原报文返回。

八、预置多线圈

0x0F功能码预置多线圈发送报文格式如下:

对比通用格式来看:将数据部分细化成了起始线圈地址、数量、字节计数和写入值。

我们来分析一下这段发送报文:

【1】从站地址:0x01表示写入1号从站的数据。

【2】功能码:0x0F表示写入多个输出线圈。

【3】起始地址:十六进制0x00 0x13对应十进制为19,表示从19号线圈开始写入,这个 19对应的Modbus地址为00020。

【4】数量:十六进制0x00 0x0A对应十进制为10,表示连续写入10个线圈,Modbus地 址从00020到00029。

【5】字节数:0x02表示2个字节,因为10个线圈至少要用2个字节来表示。

【6】写入值:0x0F 0x03表示写入的两个字节,第一个字节对应前8个线圈,第二个字节对应后面的线圈。

【7】CRC校验:0xA2 0x6A是对前面所有数据进行CRC校验后的结果。

这段发送报文表示主站想要对1号从站输出线圈存储区,从Modbus地址 00020开始的10个线圈值进行修改,0x0F对应二进制00001111,对应前8个线圈,就是将00020-00027写入11110000,0x03对应二进制00000011,对应后面的线圈,也就是将00028-00029写入11。

接收报文格式如下:

预置多输出线圈接收报文是在发送报文基础上除去字节数及写入值。

九、预置多寄存器

0x10功能码预置多寄存器发送报文格式如下:

对比通用格式来看:将数据部分细化成了起始寄存器地址、数量、字节计数和写入值。

我们来分析一下这段发送报文:

【1】从站地址:0x01表示写入1号从站的数据。

【2】功能码:0x10表示写入多个保持型寄存器。

【3】起始地址:十六进制0x00 0x10对应十进制为16,表示从16号寄存器开始写入,这个16对应的Modbus地址为40017。

【4】数量:十六进制0x00 0x02对应十进制为2,表示连续写入2个寄存器,Modbus地 址从40017到40018。

【5】字节数:0x04表示4个字节,因为1个寄存器对应2个字节,2个寄存器对应4个字节。

【6】写入值:0x01 0x0A 0x01 0x10表示写入的4个字节,前2个字节对应第1个寄存器, 后2个字节对应第2个寄存器。

【7】CRC校验:0xD3 0x01是对前面所有数据进行CRC校验后的结果。

这段发送报文表示的含义是主站想要对1号从站保持型存储区,从Modbus地址40017 开始的2个寄存器值进行修改,0x01 0x0A对应十进制266,对应第1个寄存器,也就是 将40017写入266,0x01 0x10对应十进制272,对应第2个寄存器,也就是将40018写入272。

接收报文格式如下:

预置多寄存器接收报文是在发送报文基础上除去字节数及写入值。

请登录后发表评论

    没有回复内容