组态访问级别 (S7-1500) 以下部分介绍了如何为 S7-1200/1500 CPU 组态访问等级并输入密码。 通过为 CPU 输入多个密码,可以为不同的用户组设置不同的访问权限。 以每个密码分配一个访问等级的方式在表中输入密码。 密码的工作方式显示在“访问等级”(Access level) 列中,并在表下面的文本中说明。 示例 为标准 CPU(而不是 F-CPU)选择“无访问权限(完全保护)”访问等级,并为表中每个位 于其上方的访问等级输入单独的密码。 对于不知道任何密码的用户,CPU 将受到全面保护。甚至也无法访问 HMI。 对于知道其中一个设定密码的用户,具体作用取决于密码所在的表行: • 第 1 行中的密码(完全访问权限(无保护))允许将 CPU 作为完全未受保护的状态进行 访问。知道此密码的用户可以不受限制地访问 CPU。 • 第 2 行中的密码(读访问权限)允许将 CPU 作为受写保护的状态进行访问。尽管知道密 码,但是知道该密码的用户只能对 CPU 进行读取访问。 • 第 3 行中的密码(HMI 访问权)允许将 CPU 作为受读/写保护的状态进行访问。获知该密 码的用户只获得 HMI 访问权。
访问等级的详细信息 下文介绍了现有的访问等级以及各个访问等级可使用的功能。 • 完全访问权限,包括故障安全(无保护)- jinxian F-CPU: STEP 7 和 HMI 应用程序的用户有权访问所有标准功能和故障安全功能。无需密码。 更多信息,请参见编程和操作手册《SIMATIC 安全 - 组态和编程》。 • 完全访问权限(无保护): STEP 7 的用户有权访问标准功能。HMI 应用程序可访问所有功能(故障安全功能和标准 功能)。 • 读访问权: 基于该访问等级,无需输入密码即可对硬件配置和块进行只读访问。即,可将硬件配置 和块上传到编程设备中。此外,还可进行 HMI 访问并访问诊断数据、显示离线/在线比较 结果、切换操作状态 (RUN/STOP) 并设置时间。 无法将块或硬件配置下载到 CPU 中。同时,也不支持测试功能和固件更新。 • HMI 访问: 只支持 HMI 访问和诊断数据访问 示例:基于 HMI 访问等级,可转至在线并查看诊断图标以确定对象的状态。 可以通过 HMI 设备读写变量。 在此访问等级,既不能将块和硬件配置下载到 CPU 中,也无法从 CPU 中将块和硬件配置 加载到编程设备中。 此外,不适用以下应用:测试功能、切换操作模式 (RUN/STOP)、固件更新以及显示在线/ 离线比较结果。 • 无访问权限(完全保护): 例如,只能通过“可访问设备”读取标识数据。 无法对硬件配置和块进行读写访问。同样无法进行 HMI 访问。PUT/GET 通信的服务器功 能在此访问等级下都处于禁用状态(无法更改)。 如果组态的密码合法,则可以根据相关的保护等级进行访问。* 在 STEP 7 V14 及以上版本中,“HMI 访问”的访问等级不足,无法显示在线/离线的比较结果。 如,项目转为在线时,块、PLC 数据类型或 PLC 变量的比较结果。要显示在线/离线比较结果,则 需具有读取访问权限。原因:STEP 7 通过比较软件和文本列表的校验和,确定在线/离线数据是 否相等。而读取校验和访问时,需要具有“读取访问”访问等级。 操作期间受密码保护的模块的行为 CPU 保护在将设置下载到 CPU 之后才生效。 在执行在线功能之前,检查所需的权限,必要时将提示用户输入密码。 将密码保护 CPU 转至在线 在 STEP 7 V14 及以上版本中,将受密码保护的 CPU 转至在线需要具有读取访问权限。转至 在线时,需输入读取访问的密码;或者果未组态密码,则需输入完全访问的密码。 使用完全受保护 CPU 的 HMI 访问密码进行访问时,则不会查询读取访问密码。系统将提示 输入 HMI 访问的密码。但在进行在线/离线比较时,HMI 访问权限不够,仍要求具有读取访 问权限。 示例: • 组态具有只读访问权限的模块,要执行“修改变量”(Modify tags) 测试功能。由于测试功 能需要具有写入访问权限,则需输入组态的密码才能执行该功能(完全访问密码)。 • 为模块组态了 HMI 访问权限,且希望通过 STEP 7 将该模块转至在线。由于 STEP 7 中判 断在线和离线对象是否相等的数据(校验和)需要具有读取访问权限,因此系统在转至 在线时将提示输入读取访问密码。如果中止了密码输入密码对话框,则不会建立与该模 块的在线连接。并在在线/离线比较的比较图标列中,显示一个问问。 受保护数据的访问权限在在线连接时间内有效。如果在中断后恢复在线连接,则无需再次输 入访问数据。要手动取消访问权限,可单击“在线 > 删除访问权限”(Online > Delete access rights)。 每个访问等级都允许在不输入密码的情况下对某些功能进行无限制访问,例如,使用“可访 问设备”功能进行识别。操作步骤 要组态 CPU 的访问等级,请按以下步骤操作: 1. 在巡视窗口中打开模块的属性。 2. 在导航区域中打开“保护和安全 > 访问控制”(Protection & Security > Access control) 条目。 将在巡视窗口中显示一张列有各种访问等级的表格。 3. 在表的第一列中选择所需的访问等级。此列中相应保护等级右侧的绿色复选标记将指示如不 输入密码仍可执行的操作。 4. 如果选择了“完全访问权限”之外的访问等级: 在“密码”(Password) 列的第一行中指定完全访问权限的密码。 在“确认”(Confirmation) 列中,再次输入密码以免输入错误。 确保密码足够安全,即,不要按照机器可识别的模式来设置密码。 必须在第一行“完全访问权限(无保护)”中输入密码。知道此密码的用户便可以不受限制 地访问 CPU,而无论所选保护等级是什么。 5. 如果所选访问等级允许的话,可以根据需要将额外的密码分配到其它访问等级。 6. 下载硬件配置,使访问等级可以生效。 结果 根据设定的访问等级,保护硬件配置和块免受未经授权的在线访问。如果由于设定的访问等 级原因,在没有密码的情况下无法执行操作,则会显示一个用于输入密码的对话框。
模块更换时的密码传输 (S7-1500) 如果指定的保护等级需要输入密码,则 CPU 将通过一个特定算法对输入进行转换。即,为 该密码保存一个特殊的校验和。 STEP 7 自己从不保存密码,也不会对密码进行重构并保存在 CPU 中。如果密码丢失,则需 加载新的 CPU 组态。具体信息,参见下文。 根据密码生成或加密校验和的算法与时俱进,时刻提供Zui强有力的安全保护,防范未经授权 的访问。而这对组态过程(模块更换除外)并无影响。由于更换 CPU 后不能使用当前的密 码组态,因此需根据受影响 CPU 的固件版本(待更换 CPU 和更换的 CPU),将原算法升级 为Zui新算法,或根据提示指定一个新的密码。 如果待更换的 CPU 与更换 CPU 使用的算法相同,则无需执行任何操作:直接传送密码组态 和其它参数设置。 这一规则同样适用于 CPU Web 服务器中组态的用户:创建的用户具有特定权限,则必须为 每个用户组态一个密码。与之前相同,更换模块时如果算法不兼容,则系统将提醒用户,可 能需要创建一个新的用户和密码。 忘记密码 - 加载新的 CPU 组态 如果忘记 CPU 保护密码,则该 CPU 无法在线加载新的组态(含新密码)。 此时,要加载新的组态(含新密码),请按以下步骤操作: 1. 将 SIMATIC 存储卡插入编程设备的读卡器中。 2. 在项目树中,将包含新组态的 CPU 文件夹拖放到读卡器中 SIMATIC 存储卡符号上。 3. 在加载对话框中,确定将覆盖当前受密码保护的 CPU 组态和程序。 模块更换时,受密码保护 CPU 的行为 • 将 S7-1500 CPU(固件版本 < 2.0)更换为 S7-1500(固件版本 ≥ 2.0): 系统将提醒用户,将使用更新的算法进行密码加密。此时,可单击该按钮应用新算法,也 可出于兼容性考虑保留原算法。 • 将 S7-1500 CPU(固件版本 ≥ 2.0)更换为 S7-1500(固件版本 < 2.0): 系统将提醒用户,之前的密码将丢失,必须组态新的密码。模块更换时,带已组态 Web 服务器用户的 CPU 行为 要创建用户并指定特定权限,必须为每个用户组态一个密码。类似规定同样适用受密码保护 CPU 的模块更换: • 将 S7-1500 CPU(固件版本 < V2.0)更换为 S7-1500(固件版本 ≥ V2.0): 系统将提醒用户,将使用更新的算法进行密码加密。此时,可单击该按钮应用新算法,也 可出于兼容性考虑保留原算法。 • 将 S7-1500 CPU(固件版本 ≥ V1.7 但 ≤ V1.8)更换为 S7-1500(固件版本 ≤ 1.6),或 者 • 将 S7-1500 CPU(固件版本 ≥ 2.0)更换为 S7-1500(固件版本 < 2.0): 系统将提醒用户删除所有已组态的用户,并将“Everyone”复位为默认用户权限。 此时,必须重新创建用户并设置用户权限和密码。 通信服务限制 (S7-1500) 简介 CPU 可以作为多种通信服务的服务器。 这也就是说,即使还没有为 CPU 组态和编程建立连 接,其它通信参与者也可以访问 CPU 数据。 因此作为服务器的本地 CPU 无法控制与客户端的通信。 CPU 参数的“保护”(Protection) 区域中的参数“连接机制”(Connection mechanisms) 用于指 定运行期间本地 CPU 是否允许执行此类通信。 允许借助 PUT/GET 通信从远程伙伴访问 默认情况下,禁用“允许借助 PUT/GET 通信从远程伙伴访问 (...) ”(Permit access with PUT/GET communication from remote partners (...)) 选项。如果激活该选项,则只能在本地 CPU 和通信伙伴间需要通过组态或编程建立的通信连接中对 CPU 数据进行读写访问。 例如, 可以通过 BSEND/BRCV 指令进行访问。 本地 CPU 仅作为服务器的连接(即表示本地 CPU 上不存在使用通信伙伴进行的通信组态/编 程),因此无法在操作 CPU 时进行。例如, • 在通过通信模块进行 PUT/GET、FETCH/WRITE 或 FTP 访问时 • 在从其它 S7 CPU 进行 PUT/GET 访问时 • 在通过 PUT/GET 通信实现 HMI 访问时。