现在使用西门子TIA Portal V19的工程师是越来越多了,V19有个显著的变化就是访问密码的设置,很多小伙伴忽然发现已经用了很多年的功能,在改动以后都不会设置了,那昌晖仪表网带着您看一下如何才能在V19中正确的设置S7-1500访问密码。
1、软件环境
如图1所示,这是我们熟悉的非安全S7-1500/S7-1200 V4的访问控制页面,如果是安全CPU,则会在最上方多一个级别[完全访问权限,包括故障安全(无任何保护)]。
图1 传统访问控制
而当我们在V19组态了V3.1的S7-1500系列CPU,访问控制就变为了如图2所示的样子。我们今天的问题就这样产生了,那我们应该如何设置密码呢?
图2 新版访问控制
如果我们的CPU不需要任何访问密码,那设置非常简单,只需要激活图2上方的“禁用访问控制”选项就可以。
但如果需要访问密码,则需要启用访问控制了,启动后就需要到安全设置里进行设置,那安全设置又是什么呢?需要如何进行设置呢?
2、安全设置
通常我们对PLC编程,一般都在左边项目树中添加PLC,然后展开,在其中进行组态编程,而下面的一些功能,恐怕很多人就说不上来了,而我们今天的关注点就是在这里,即图3中红框所在的安全设置。
图3 项目树之安全设置
早先安全设置主要是用于项目密码,以及一些类似于S615支持防火墙等功能的路由器的设置,后来V14以后各种证书设置,例如OPC UA,让我们开始逐渐关注安全设置的选项。
从V16开始,展开安全设置以后,开始变为今天的样子,即可以设置用户与角色了,如图4所示。
图4 安全设置
让我们再来看看用户与角色的设置,如图5所示。
图5 用户与角色之用户
默认打开是用户标签页,新项目中只有一个匿名用户,下方分配的角色是自带角色,此时也没有给任何角色分配给匿名用户。
切换到角色标签页,如图6红框所示。
图6 用户与角色之角色
映入眼帘的则变为图5中下方的所有角色,而下方是工程组态权限与运行系统权限等标签,新项目中目前都是空的,一旦我们在项目中组态了一个V3.1版本的S7-1500 CPU,运行系统权限即变为了如图7所示的样子。
图7 运行系统权限
我们会发现运行系统权限中,左边功能权限类别可以看到新建的S7-1500 V3.1 CPU,右边功能权限有很多权限,包括三类:访问级别、OPC UA、Web服务器,也就是说这三类都可以在这边进行设置,本文只介绍访问级别,另两类设置方式类似,这里就不赘述了。
整个安全设置的基本操作步骤如图8所示:
图8 设置步骤
为了设置我们需要的访问控制,此时我们就可以在上方新建角色了,例如命名为fullAccess,并为该角色分配新建CPU的运行系统权限“完全访问权限”,如图9红框所示。所进行的操作是,双击添加新角色并命名,左键选中该角色,然后在下方运行系统权限中勾选所使用的权限。
图9 新建角色及分配权限
之后转到用户标签页,新增并激活本地用户,建立用户名与密码,例如admin,并分配fullAccess角色,如图10红框所示。所进行的操作是,双击添加新增本地用户并命名,设置相关密码,左边复选框中对勾激活该用户,之后左键选中该用户,在下方分配的角色中勾选所使用的角色。
⚠️默认情况下,密码需要至少8位,包含至少1个数字、至少1个大写字母与1个小写字母。
图10 新建用户及分配角色
这样CPU的访问用户设置,连同激活图2的“启用访问控制”选项就都设置好了,下载生效后。当需要CPU转至在线或者上载下载程序等操作时,就会出现如图11的对话框,选择项目用户,输入图10中新建的用户名和密码即可。
图11 身份验证之项目用户
【问】如果需要像之前一样,在访问不同级别时输入不同密码,需要如何处理呢?
【答】可以在角色处建立多个角色,每个角色分配该CPU的不同运行权限,然后在用户处同样建立多个用户,每个用户分配不同角色即可。
⚠️需要注意的是,一定确保有用户有最高权限(即完全访问权限),否则无法编译通过。
3、传统密码设置
如果还想像之前那样在CPU组态时设置密码,TIA Portal 软件还提供了类似的组态方式,如图 12 红框所示。需要激活启用访问控制,并且激活通过访问等级使用传统的访问控制。
图12 传统访问控制
在这种情况下可以像之前一样设置一个或者多个密码,这样当需要CPU转至在线或者上载下载程序时,就会出现如图13的对话框,选择“使用访问级别密码登录”,输入密码即可。
图13 身份验证之访问级别
4、 连接机制
此外还有一个重要问题没有提及,就是连接机制的设置。
我们知道如果S7-1500需要作为S7单边通信的服务器的话,需要激活连接机制中的“允许来自远程对象的PUT/GET通信访问”,但是如果访问等级设置为“不能访问(完全保护)”时,就无法激活该功能。
对于我们现在的设置,如果使用禁用访问控制,或者使用传统访问控制,访问级别都会默认选择的“不能访问(完全保护)”,最终导致连接机制无法设置如图14所示。
图14 无法设置连接机制
为了提升访问级别,最简单的办法就是使用匿名用户的功能,新建角色,设置其权限为HMI访问权限,将该角色分配给匿名用户,最终激活匿名用户,如图15、16所示。
图15 新建角色并分配HMI访问权限
图16 分配角色给匿名用户
这时我们再回到访问等级这里,就已经变为了HMI访问权限,连接机制功能也可以激活了,如图17所示。
图17 可以设置连接机制
⚠️需要注意的是匿名用户不能滥用,因为匿名用户没有密码,所以如果启用匿名用户并且给匿名用户分配了完全访问权限的角色,那设置的其他用户或者密码就形同虚设了。
5、HMI 访问
在S7-1500 V3.1固件之前,如果如图18所示,设置了不能访问(完全保护)的权限,则HMI 访问PLC需要设置密码提升访问权限,如图19红框所示。
图18 不能访问(完全保护)
图19 HMI设置密码
那使用了新的访问方式会不会对HMI访问产生影响呢?
经测试,如果禁用访问控制,或者启用访问控制+用户名的方式,HMI访问都不需要密码。
仅仅是启用访问控制+传统的访问等级+无匿名用户,才会使得HMI输入密码,如图20所示。
图20 使得HMI输入密码的访问等级
6、总结
以上就是S7-1500 V3.1的新访问控制设置方法,你都学会了吗,不会用的小伙伴们赶快都去试一试,这个功能是支持仿真的,没有CPU也可以测试。测试成功的话,还可以再去试试OPC UA与Web服务器的访问,都是一样的思路。
