Modbus通信协议剖析及应用
1.1 Modbus基础知识概念
Modbus通信协议由Modicon公司(现在的施耐德电气Schneider Electric)于1979年为可编程逻辑控制(即PLC)通信而发表。目前,Modbus已经成为工业领域通信协议的业界标准,并且现在是工业电子设备之间常用的连接方式。Modbus作为目前工业领域应用最广泛的协议,与其他通信协议相比,有以下特点:
- Modbus协议标准开放、公开发表且无版权要求
- Modbus协议支持多种电气接口,包括RS232、RS485、TCP/IP等,还可以在各种介质上传输,如双绞线、光纤、红外、无线等
- Modbus协议消息帧格式简单、紧凑、通俗易懂。用户理解和使用简单,厂商容易开发和集成,方便形成工业控制网络
Modbus协议是一种应用层报文传输协议,包括ASCII、RTU、TCP三种报文类型,协议本身并没有定义物理层,定义了控制器能够认识和使用的消息结构,不管它们是经过何种网络进行通信的。
Modbus协议使用串口传输时可以选择RTU或ASCII模式,并规定了消息、数据结构、命令和应答方式并需要对数据进行校验。ASCII 模式采用LRC校验,RTU模式采用16 位CRC校验。通过以太网传输时使用TCP,这种模式不使用校验,因为TCP协议是一个面向连接的可靠协议。
Modbus协议规定了4个存储区,如下表所示:
| 区号 | 名称 | 读写 | 范围 |
|---|---|---|---|
| 0区 | 输出线圈 | 可读可写 | 00001-09999 |
| 1区 | 输入线圈 | 只读 | 10001-19999 |
| 3区 | 输入寄存器 | 只读 | 30001-39999 |
| 4区 | 保持寄存器 | 可读可写 | 40001-49999 |
Modbus协议同时规定了二十几种功能码,但是常用的只有8种,用于针对上述存储区的读写,如下表所示:
功能码表格
| 功能码 | 功能说明 |
|---|---|
| 01H | 读取输出线圈 |
| 02H | 读取输入线圈 |
| 03H | 读取保持寄存器 |
| 04H | 读取输入寄存器 |
| 05H | 预置单线圈 |
| 06H | 预置单寄存器 |
| 0FH | 预置多线圈 |
| 10H | 预置多寄存器 |
工欲善其事,必先利其器,Modbus学习配合相关的调试软件,可以达到事半功倍的效果,Modbus学习必备的三大神器分别是ModbusPoll、ModbusSlave及VSPD,ModbusPoll软件主要用于仿真Modbus主站或Modbus客户端,ModbusSlave软件主要用于仿真Modbus从站或Modbus服务器,而VSPD全称Configure Virtual Serial Port Driver,是用来给电脑创建虚拟串口使用的。
1.2 ModbusRTU/ASCII协议分析
ModbusRTU与ModbusASCII在报文数据发送格式上几乎一样,但也存在一些区别,具体体现在:
1) ModbusASCII有开始字符和结束字符(CR LF),可以作为一帧数据开始和结束的标志,而ModbusRTU没有这样的标志,需要用时间间隔来判断一帧报文的开始和结束,协议规定的时间为3.5个字符周期,就是说一帧报文开始前,必须有大于3.5个字符周期的空闲时间,一帧报文结束后,也必须要有3.5个字符周期的空闲时间否则就会出现粘包的情况。
注意:针对3.5个字符周期,其实是一个具体时间,但是这个时间跟波特率相关。
在串口通信中,1个字符包括1位起始位、8位数据位(一般情况)、1位校验位(或者没有)、1位停止位(一般情况下),因此1个字符包括11个位,那么3.5个字符就是38.5个位,波特率表示的含义是每秒传输的二进制位的个位,因此如果是9600波特率,3.5个字符周期=1000/9600*38.5=4.01ms。
2) 两者校验方式不同,ModbusRTU是CRC循环冗余校验,ModbusASCII是LCR纵向冗余校验。
3) 在Modbus标准中,RTU是必须要求的,而ASCII是可选项,即作为一个Modbus通信设备可以只支持RTU,也可以同时支持RTU和ASCII,但不能只支持ASCII。
下面针对具体报文进行分析,Modbus协议在串行链路上的报文格式如下所示:
| 从站地址 | 功能码 | 数据 | CRC/LRC |
|---|---|---|---|
| 1 byte | 1 byte | N bytes | 2 bytes |
有了以上理论基础之后,下面针对各个功能码进行详细分析:
1.2.1 读取输出线圈
发送报文格式如下:
| 从站地址 | 功能码 | 起始(高) | 起始(低) | 数量(高) | 数量(低) | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x01 | 0x00 | 0x13 | 0x00 | 0x1B | XXXX |
发送报文含义:读取1号从站输出线圈,起始地址为0x13=19,对应地址为00020,线圈数量为0x1B=27,即读取1号从站输出线圈,地址从00020-00046,共27个线圈的状态值。
注意:协议中的起始地址指的是索引,后面的地址指的是具体地址,对于任意一个存储区,索引都是从0开始的,但是对应的具体地址,与存储区是相关的,比如输出线圈,0对应00001;输入线圈,0对应10001;输入寄存器,0对应30001;保持寄存器,0对应40001。
返回报文格式如下:
| 从站地址 | 功能码 | 字节计数 | 字节1 | 字节2 | 字节3 | 字节4 | 校验 |
|---|---|---|---|---|---|---|---|
| 0x01 | 0x01 | 0x04 | 0xCD | 0x6B | 0xB2 | 0x05 | XXXX |
返回报文含义:返回1号从站输出线圈00020-00046,共27个线圈的状态值,返回字节数为4个,分别为CD 6B B2 05。
CD=1100 1101 对应 00020-00027 6B=01101011 对应 00028-00035
B2=1011 0010 对应 00036-00043 05=00000101 对应 00044-00046
1.2.2读取输入线圈
发送报文格式如下:
| 从站地址 | 功能码 | 起始(高) | 起始(低) | 数量(高) | 数量(低) | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x02 | 0x00 | 0xC4 | 0x00 | 0x1D | XXXX |
发送报文含义:读取1号从站输入线圈,起始地址为0xC4=196,对应地址为10197,线圈数量为0x1D=29,即读取1号从站输入线圈,地址从10197-10225,共29个线圈的状态值。
返回报文格式如下:
| 从站地址 | 功能码 | 字节计数 | 字节1 | 字节2 | 字节3 | 字节4 | 校验 |
|---|---|---|---|---|---|---|---|
| 0x01 | 0x02 | 0x04 | 0xCD | 0x6B | 0xB2 | 0x05 | XXXX |
返回报文含义:返回1号从站输入线圈10197-10225,共29个线圈的状态值,返回字节数为4个,分别为CD 6B B2 05。
CD=1100 1101 对应 10197-10204 6B=01101011 对应 10205-10212
B2=1011 0010 对应 10213-10220 05=00000101 对应 10221-10225
1.2.3读取保持寄存器
发送报文格式如下:
| 从站地址 | 功能码 | 起始(高) | 起始(低) | 数量(高) | 数量(低) | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x03 | 0x00 | 0x6B | 0x00 | 0x02 | XXXX |
发送报文含义:读取1号从站保持寄存器,起始地址为0x6B=107,对应地址为40108,寄存器数量为0x02=2,即读取1号从站保持寄存器,地址从40108-40109,共2个寄存器的数值。
返回报文格式如下:
| 从站地址 | 功能码 | 字节计数 | 1高 | 1低 | 2高 | 2低 | 校验 |
|---|---|---|---|---|---|---|---|
| 0x01 | 0x03 | 0x04 | 0x02 | 0x2B | 0x01 | 0x06 | XXXX |
返回报文含义:返回1号从站保持寄存器40108-40109,共2个寄存器的数值,返回字节数为4个,分别为02 2B 01 06,40108对应数值为0x022B,40109对应数值为0x0106。
1.2.4 读取输入寄存器
发送报文格式如下:
| 从站地址 | 功能码 | 起始(高) | 起始(低) | 数量(高) | 数量(低) | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x04 | 0x00 | 0x6B | 0x00 | 0x02 | XXXX |
发送报文含义:读取1号从站输入寄存器,起始地址为0x6B=107,对应地址为30108,寄存器数量为0x02=2,即读取1号从站保持寄存器,地址从30108-30109,共2个寄存器的数值。
返回报文格式如下:
| 从站地址 | 功能码 | 字节计数 | 1高 | 1低 | 2高 | 2低 | 校验 |
|---|---|---|---|---|---|---|---|
| 0x01 | 0x04 | 0x04 | 0x02 | 0x2B | 0x01 | 0x06 | XXXX |
返回报文含义:返回1号从站输入寄存器30108-30109,共2个寄存器的数值,返回字节数为4个,分别为02 2B 01 06,30108对应数值为0x022B,30109对应数值为0x0106。
1.2.5 预置单线圈
发送报文格式如下:
| 从站地址 | 功能码 | 线圈(高) | 线圈(低) | 断通标志 | 断通标志 | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x05 | 0x00 | 0xAC | 0xFF | 0x00 | XXXX |
发送报文含义:预置1号从站单个线圈的值,线圈地址为0x00AC=172,对应地址为00173,断通标志0xFF00表示置位,0x0000表示复位,即置位1号从站输出线圈00173。
返回报文格式如下:
| 从站地址 | 功能码 | 线圈(高) | 线圈(低) | 断通标志 | 断通标志 | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x05 | 0x00 | 0xAC | 0xFF | 0x00 | XXXX |
返回报文含义:预置单输出线圈原报文返回。
1.2.6 预置单寄存器
发送报文格式如下:
| 从站地址 | 功能码 | 寄存器高 | 寄存器低 | 写入值高 | 写入值低 | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x06 | 0x00 | 0x87 | 0x03 | 0x9E | XXXX |
发送报文含义:预置1号从站单个保持寄存器的值,寄存器地址为0x0087=135,对应地址为40136,写入值为0x039E,即预置1号从站保持寄存器40136值为0x039E。
返回报文格式如下:
| 从站地址 | 功能码 | 寄存器高 | 寄存器低 | 写入值高 | 写入值低 | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x06 | 0x00 | 0x87 | 0x03 | 0x9E | XXXX |
返回报文含义:预置单保持寄存器原报文返回。
1.2.7 预置多线圈
发送报文格式如下:
| 从站地址 | 功能码 | 起始高 | 起始低 | 数量高 | 数量低 | 字节数 | 字节 | 校验 |
|---|---|---|---|---|---|---|---|---|
| 0x01 | 0x0F | 0x00 | 0x13 | 0x00 | 0x0A | 0x02 | 0xCD00 | XXXX |
发送报文含义:预置1号从站多个线圈的值,线圈地址为0x0013=19,对应地址为00020,线圈数为0x0A=10,写入值为0xCD00,即预置1号从站线圈00020-00027=0xCD=11001101,00028-00029=0x00=0000 0000。
返回报文格式如下:
| 从站地址 | 功能码 | 起始高 | 起始低 | 数量高 | 数量低 | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x0F | 0x00 | 0x13 | 0x00 | 0x0A | XXXX |
返回报文含义:预置多输出线圈返回报文是在原报文基础上除去字节数及具体字节后返回。
1.2.8 预置多寄存器
发送报文格式如下:
| 从站地址 | 功能码 | 起始高 | 起始低 | 数量高 | 数量低 | 字节数 | 字节 | 校验 |
|---|---|---|---|---|---|---|---|---|
| 0x01 | 0x10 | 0x00 | 0x87 | 0x00 | 0x02 | 0x04 | 0x01050A10 | XXXX |
发送报文含义:预置1号从站多个寄存器的值,寄存器地址为0x0087=135,起始地址为40136,寄存器数量为0x02=2,结束地址为40137,写入值为0x0105和0x0A10,即预置1号从站寄存器40136=0x0105,40137=0x0A10。
返回报文格式如下:
| 从站地址 | 功能码 | 起始高 | 起始低 | 数量高 | 数量低 | 校验 |
|---|---|---|---|---|---|---|
| 0x01 | 0x10 | 0x00 | 0x87 | 0x00 | 0x02 | XXXX |
返回报文含义:预置多保持寄存器返回报文是在原报文基础上除去字节数及具体字节后返回。
