現(xiàn)在使用西門子TIA Portal  V19的工程師是越來越多了，V19有個顯著的變化就是訪問密碼的設(shè)置，很多小伙伴忽然發(fā)現(xiàn)已經(jīng)用了很多年的功能，在改動以后都不會設(shè)置了，那昌暉儀表網(wǎng)帶著您看一下如何才能在V19中正確的設(shè)置S7-1500訪問密碼。

1、軟件環(huán)境
如圖1所示，這是我們熟悉的非安全S7-1500/S7-1200 V4的訪問控制頁面，如果是安全CPU，則會在最上方多一個級別[完全訪問權(quán)限，包括故障安全(無任何保護)]。


圖1 傳統(tǒng)訪問控制

而當(dāng)我們在V19組態(tài)了V3.1的S7-1500系列CPU，訪問控制就變?yōu)榱巳鐖D2所示的樣子。我們今天的問題就這樣產(chǎn)生了，那我們應(yīng)該如何設(shè)置密碼呢？


圖2 新版訪問控制

如果我們的CPU不需要任何訪問密碼，那設(shè)置非常簡單，只需要激活圖2上方的“禁用訪問控制”選項就可以。

但如果需要訪問密碼，則需要啟用訪問控制了，啟動后就需要到安全設(shè)置里進行設(shè)置，那安全設(shè)置又是什么呢？需要如何進行設(shè)置呢？

2、安全設(shè)置
通常我們對PLC編程，一般都在左邊項目樹中添加PLC，然后展開，在其中進行組態(tài)編程，而下面的一些功能，恐怕很多人就說不上來了，而我們今天的關(guān)注點就是在這里，即圖3中紅框所在的安全設(shè)置。


圖3 項目樹之安全設(shè)置

早先安全設(shè)置主要是用于項目密碼，以及一些類似于S615支持防火墻等功能的路由器的設(shè)置，后來V14以后各種證書設(shè)置，例如OPC UA，讓我們開始逐漸關(guān)注安全設(shè)置的選項。

從V16開始，展開安全設(shè)置以后，開始變?yōu)榻裉斓臉幼樱纯梢栽O(shè)置用戶與角色了，如圖4所示。


圖4 安全設(shè)置

讓我們再來看看用戶與角色的設(shè)置，如圖5所示。


圖5 用戶與角色之用戶

默認(rèn)打開是用戶標(biāo)簽頁，新項目中只有一個匿名用戶，下方分配的角色是自帶角色，此時也沒有給任何角色分配給匿名用戶。
切換到角色標(biāo)簽頁，如圖6紅框所示。


圖6 用戶與角色之角色

映入眼簾的則變?yōu)閳D5中下方的所有角色，而下方是工程組態(tài)權(quán)限與運行系統(tǒng)權(quán)限等標(biāo)簽，新項目中目前都是空的，一旦我們在項目中組態(tài)了一個V3.1版本的S7-1500 CPU，運行系統(tǒng)權(quán)限即變?yōu)榱巳鐖D7所示的樣子。


圖7 運行系統(tǒng)權(quán)限

我們會發(fā)現(xiàn)運行系統(tǒng)權(quán)限中，左邊功能權(quán)限類別可以看到新建的S7-1500 V3.1 CPU，右邊功能權(quán)限有很多權(quán)限，包括三類：訪問級別、OPC UA、Web服務(wù)器，也就是說這三類都可以在這邊進行設(shè)置，本文只介紹訪問級別，另兩類設(shè)置方式類似，這里就不贅述了。
整個安全設(shè)置的基本操作步驟如圖8所示：


圖8 設(shè)置步驟

為了設(shè)置我們需要的訪問控制，此時我們就可以在上方新建角色了，例如命名為fullAccess，并為該角色分配新建CPU的運行系統(tǒng)權(quán)限“完全訪問權(quán)限”，如圖9紅框所示。所進行的操作是，雙擊添加新角色并命名，左鍵選中該角色，然后在下方運行系統(tǒng)權(quán)限中勾選所使用的權(quán)限。


圖9 新建角色及分配權(quán)限

之后轉(zhuǎn)到用戶標(biāo)簽頁，新增并激活本地用戶，建立用戶名與密碼，例如admin，并分配fullAccess角色，如圖10紅框所示。所進行的操作是，雙擊添加新增本地用戶并命名，設(shè)置相關(guān)密碼，左邊復(fù)選框中對勾激活該用戶，之后左鍵選中該用戶，在下方分配的角色中勾選所使用的角色。
??默認(rèn)情況下，密碼需要至少8位，包含至少1個數(shù)字、至少1個大寫字母與1個小寫字母。


圖10 新建用戶及分配角色

這樣CPU的訪問用戶設(shè)置，連同激活圖2的“啟用訪問控制”選項就都設(shè)置好了，下載生效后。當(dāng)需要CPU轉(zhuǎn)至在線或者上載下載程序等操作時，就會出現(xiàn)如圖11的對話框，選擇項目用戶，輸入圖10中新建的用戶名和密碼即可。


圖11 身份驗證之項目用戶

【問】如果需要像之前一樣，在訪問不同級別時輸入不同密碼，需要如何處理呢？
【答】可以在角色處建立多個角色，每個角色分配該CPU的不同運行權(quán)限，然后在用戶處同樣建立多個用戶，每個用戶分配不同角色即可。
??需要注意的是，一定確保有用戶有最高權(quán)限(即完全訪問權(quán)限)，否則無法編譯通過。

3、傳統(tǒng)密碼設(shè)置
如果還想像之前那樣在CPU組態(tài)時設(shè)置密碼，TIA Portal 軟件還提供了類似的組態(tài)方式，如圖 12 紅框所示。需要激活啟用訪問控制，并且激活通過訪問等級使用傳統(tǒng)的訪問控制。


圖12 傳統(tǒng)訪問控制

在這種情況下可以像之前一樣設(shè)置一個或者多個密碼，這樣當(dāng)需要CPU轉(zhuǎn)至在線或者上載下載程序時，就會出現(xiàn)如圖13的對話框，選擇“使用訪問級別密碼登錄”，輸入密碼即可。


圖13 身份驗證之訪問級別

4、 連接機制
此外還有一個重要問題沒有提及，就是連接機制的設(shè)置。

我們知道如果S7-1500需要作為S7單邊通信的服務(wù)器的話，需要激活連接機制中的“允許來自遠(yuǎn)程對象的PUT/GET通信訪問”，但是如果訪問等級設(shè)置為“不能訪問(完全保護)”時，就無法激活該功能。

對于我們現(xiàn)在的設(shè)置，如果使用禁用訪問控制，或者使用傳統(tǒng)訪問控制，訪問級別都會默認(rèn)選擇的“不能訪問(完全保護)”，最終導(dǎo)致連接機制無法設(shè)置如圖14所示。


圖14 無法設(shè)置連接機制

為了提升訪問級別，最簡單的辦法就是使用匿名用戶的功能，新建角色，設(shè)置其權(quán)限為HMI訪問權(quán)限，將該角色分配給匿名用戶，最終激活匿名用戶，如圖15、16所示。


圖15 新建角色并分配HMI訪問權(quán)限


圖16 分配角色給匿名用戶

這時我們再回到訪問等級這里，就已經(jīng)變?yōu)榱薍MI訪問權(quán)限，連接機制功能也可以激活了，如圖17所示。


圖17 可以設(shè)置連接機制

??需要注意的是匿名用戶不能濫用，因為匿名用戶沒有密碼，所以如果啟用匿名用戶并且給匿名用戶分配了完全訪問權(quán)限的角色，那設(shè)置的其他用戶或者密碼就形同虛設(shè)了。

5、HMI 訪問
在S7-1500 V3.1固件之前，如果如圖18所示，設(shè)置了不能訪問(完全保護)的權(quán)限，則HMI 訪問PLC需要設(shè)置密碼提升訪問權(quán)限，如圖19紅框所示。


圖18 不能訪問(完全保護)


圖19 HMI設(shè)置密碼

那使用了新的訪問方式會不會對HMI訪問產(chǎn)生影響呢？

經(jīng)測試，如果禁用訪問控制，或者啟用訪問控制+用戶名的方式，HMI訪問都不需要密碼。

僅僅是啟用訪問控制+傳統(tǒng)的訪問等級+無匿名用戶，才會使得HMI輸入密碼，如圖20所示。


圖20 使得HMI輸入密碼的訪問等級

6、總結(jié)
以上就是S7-1500 V3.1的新訪問控制設(shè)置方法，你都學(xué)會了嗎，不會用的小伙伴們趕快都去試一試，這個功能是支持仿真的，沒有CPU也可以測試。測試成功的話，還可以再去試試OPC UA與Web服務(wù)器的訪問，都是一樣的思路。