S7-1500驱动控制器
产品简介
详细信息
6ES7615-4DF10-0AB0西门子
SIMATIC S7-1500, 驱动控制器 CPU 1504D TF 带集成式 SINAMICS S120; 接口:12 DI, 16 DI/DQ,4 DRIVE-CLiQ, 3 PROFINET:3+1+1 接口, 1 PROFIBUS, 需要 SIMATIC 存储卡
在用户管理功能中为特定用户设置用密码保护的访问权限。
9.2 组态 CPU 的访问保护
自动化系统
系统手册, 11/2019, A5E-AF 223
9.2 组态 CPU 的访问保护
简介
CPU 提供了四个访问级别,用于限制对特定功能的访问。
设置访问等级和密码后,需输入密码才能访问功能和存储区。将在 CPU 的对象属性中指
定各种访问级别及其关联的密码。
密码规则
确保密码的安全性足够高。请遵循以下规则:
● 分配的密码长度至少为 8 个字符。
● 使用不同格式和字符:大写/小写、数字和特殊字符。
CPU 的访问级别
表格 9- 1 访问级别和访问限制
访问级别 访问限制
访问(无
保护)
每个用户都可以读取和更改硬件配置及相应块。
读访问 使用此访问级别,仅允许在不输入密码的情况下对硬件配置和块进行读
访问。可将硬件配置和块加载到编程设备中。此外,还可访问 HMI 和
诊断数据。
如果不输入密码,则不能将块或硬件配置下载到 CPU 中。此外,如果
没有密码,也无法进行以下操作:写测试功能和固件更新(在线)。
HMI 访问 在这一级访问中,不输入密码只能访问 HMI 和诊断数据。
如果不输入密码,既不能将块和硬件配置加载到 CPU 中,也无法从
CPU 中将块和硬件配置加载到编程设备中。
此外,如果没有密码,也无法进行以下操作:测试功能、切换操作模式
(RUN/STOP)、固件更新以及显示在线/离线比较状态。
无访问(
保护)
对 CPU 进行全面保护时,不能对硬件配置和块进行读/写访问(不提供
密码形式的访问权限)。同样无法进行 HMI 访问。PUT/GET 通信的服
务器功能在该访问级别中被禁用(无法更改)。
必须通过密码验证,才能提供 CPU 的访问权。
STEP 7 在线帮助的“设置保护选项”(Setting options for the protection) 条目中列举了不同
访问级别中可用功能的列表。
保护
9.2 组态 CPU 的访问保护
自动化系统
224 系统手册, 11/2019, A5E-AF
访问级别的属性
无论是哪一种访问级别,都可以无限制地访问某些功能而无需输入密码。例如,使用“可
访问的设备”(Accessible devices) 功能进行识别。
CPU 的默认设置为“无限制”(No restriction) 和“无密码保护”(No password protection)。要
保护对 CPU 的访问,必须编辑 CPU 的属性并设置密码。在默认的访问级别“访问权
限(无保护)”(Full access (no protection)) 下,每个用户都可以读取和更改硬件配置和
块。对于在线访问,没有设置密码且无需密码。
除非在“无访问权限”(No access)(保护)访问级别中禁用 PUT/GET 通信,否则
CPU 间的通信(通过块中的通信功能)不受 CPU 访问级别的限制。
权限密码条目允许访问对应级别中允许的所有功能。
说明
组态一个访问级别并不能取代专有技术保护
通过组态访问等级,可提供一个较高的防护等级,有效防止通过网络访问对 CPU 进行未
经的更改。访问级别可用于限制将硬件和软件组态下载到 CPU 的权限。但不会对
SIMATIC 存储卡上的块设置受读写保护。使用专有技术保护则可以保护 SIMATIC 存储卡
上的代码块。
不同访问级别下的功能特性
STEP 7 在线帮助提供了一张表,其中列出了不同访问级别下可以使用的在线功能。
保护
9.2 组态 CPU 的访问保护
自动化系统
系统手册, 11/2019, A5E-AF 225
组态访问级别
要组态 S7-1500 CPU 的访问级别,请按以下步骤操作:
1. 在巡视窗口中,打开 S7-1500 CPU 的属性。
2. 在区域导航中打开“保护和安全”(Protection & Security) 条目。
将在巡视窗口中显示一张列有各种访问级别的表格。
图 9-1 可能的访问级别
3. 激活表格列中所需的保护等级。此列中相应访问级别右侧的绿色复选标记将指示
如不输入密码仍可执行的操作。在上例中(图:可能的访问级别),没有密码仍可进
行读访问和 HMI 访问。
4. 在“输入密码”(Enter password) 列中, 在行“访问权限”(Full access) 的密
码。在“确认密码”(Confirm password) 列中,再次输入所选密码以免输入错误。
5. 根据需要为其它访问级别分配密码。
6. 下载硬件配置以使访问级别生效。
CPU 会通过条目将以下操作记录到诊断缓冲区中:
● 输入正确密码,或可能输入错误密码
● 访问级别组态的更改
保护
9.2 组态 CPU 的访问保护
自动化系统
226 系统手册, 11/2019, A5E-AF
操作期间受密码保护的 CPU 的行为
CPU 保护在将设置下载到 CPU 之后才会对在线连接生效。
在执行在线功能之前,STEP 7 检查所需的权限,必要时将提示用户输入密码。在任何时
刻,只能在一个 PG/PC 执行受密码保护的功能。其它 PG/PC 无法登录。
会在在线连接持续时间内或 STEP 7 打开的时间段内应用对受保护数据的登录权限。菜单
命令“
在线> 清除访问权限”(Online > Clear access rights) 会清除登录权限。
在 RUN 状态下,可在显示屏本地限制对受密码保护的 CPU 的访问。这样,即使输入密
码也无法进行访问。
故障安全 CPU 的访问级别
故障安全 CPU 除了上述四种访问级别外,还有另外一种访问级别。关于该访问级别的更
多信息,请参见故障安全系统的相关描述 SIMATIC Safety 编程和操作手册 SIMATIC
Safety - 组态和编程 (http://support.automation.siemens.com/WW/view/en/)。
保护
9.3 使用显示屏设置其它密码保护
自动化系统
系统手册, 11/2019, A5E-AF 227
9.3 使用显示屏设置其它密码保护
禁止访问受密码保护的 CPU 在 S7-1500 CPU 的显示屏上,可防止对受密码保护的 CPU 进行访问(密码的本地阻
止)。如果模式选择器设为 RUN,则阻止有效。
阻止访问需要在 STEP 7 中组态保护等级,且独立于密码保护使用。这也就是说,即使通
过连接的编程设备访问 CPU,并且输入了正确的密码,也无法访问 CPU。
可以分别在显示屏上为每个访问级别设置访问阻止。例如,可允许在本地进行读取访问,
但是不允在本地进行写入访问。
操作步骤
如果要通过显示屏阻止访问 CPU,需要在 STEP 7 中组态使用密码的访问级别。
在显示屏上设置 S7-1500 CPU 的本地访问保护时,请按以下步骤操作:
1. 在显示屏上,选择“设置 > 保护”(Settings > Protection) 菜单。
2. 单击“确定”(OK) 确认选择,并为每种访问级别组态是否允许在模式选择器设为 RUN 时
进行访问:
– 允许:使用 STEP 7 中的相应密码,可访问 CPU。 – 在 RUN 下取消激活:如果模式选择器设为 RUN,则不能再使用该访问级别的权限
登录 CPU。即使用户知道密码,也会拒绝其访问。STOP 操作状态会会再次允许通
过密码进行访问。
显示屏访问保护 在 STEP 7 中,在 CPU 的特性中组态显示屏密码。这样便可通过本地密码实现本地访问
保护。
保护
9.4 使用用户程序设置其它访问保护
自动化系统
228 系统手册, 11/2019, A5E-AF
9.4 使用用户程序设置其它访问保护
通过用户程序进行访问保护
除了通过显示屏实现访问保护之外,还有另一种实现方法。在 STEP 7 中,也可使用指令
ENDIS_PW 限制对受密码保护的 CPU 的访问。
有关该指令的更多信息,请参见 STEP 7 在线帮助中的“ENDIS_PW:限制和启用密码合
法性”。
9.5 专有技术保护
应用
可以使用专有技术保护来保护程序中一个或多个 OB、FB、FC 块以及全局数据块,防止
受未经的访问。可以输入密码限制对块的访问。密码可提高高级别防护功能,以防止
对块进行未经的读取或篡改。专有技术保护不涉及 CPU(STEP 7 中的离线访问)。
密码提供程序
除了手动输入密码,也可为 STEP 7 分配一个密码提供程序。使用密码提供程序时,可从
可用的密码列表中选择一个密码。打开一个受保护块时,STEP 7 会连接该密码提供程序
并检索相应的密码。
要连接密码提供程序,则需安装该程序并进行激活。此外,还需提供设置文件,用于定义
密码提供程序的使用方式。
密码提供程序具有以下优势:
● 通过密码提供程序,定义和管理密码。在打开专有技术保护块时,将使用密码对应的
符号名称。例如,在密码提供程序中,使用符号名称“Machine_1”标记密码。
“Machine1”背后的实际密码,对用户仍不可知。
用户本身不知道密码,因此密码提供程序可提供块保护。
● STEP 7 将自动打开专有技术保护块,而无需直接输入密码。这将节省大量时间。
有关连接密码提供程序的更多信息,请参见 STEP 7 在线帮助。
保护
9.5 专有技术保护
自动化系统