Modbus协议在TCP/IP上的运用

1 Modbus规约

1. Modbus规约是典型的一问一答的通信规约，支持多种电气接口，可在各种介质上传输，并且消息帧格式简单、紧凑、易懂，方便形成工业控制网络。

2. 通用的Modbus帧由4个部分组成：地址域、功能码、数据和差错校验。整个帧被称为应用数据单元（ADU），功能码和数据组成协议数据单元（PDU）。如下图所示：
   

3. 通信连接方式主要分为2种，串口和TCP/IP物理层，而串口里又细分为RTU模式和ASCII模式。串口的报文都需要差错校验，但是TCP/IP不需要。
   

4. 对于串口部分本文不涉及，本文主要围绕Modbus TCP/IP规约的几种常见功能码进行介绍。

2 Modbus TCP/IP

2.1 概要

1. Modbus TCP/IP最大帧数据长度为260字节，不需要校验功能，因为
   • 底层TCP/IP确保端到端的连接
   • TCP/IP链路层确保传输数据的准确性
2. 其中，MBAP报文头占用7个字节，分别是：
   • 2个字节的传输标识符（Transaction Id），包序号，可设为0，也可每次通信自动+1，在同一时刻，这个标识符必须唯一；
   • 2个字节的协议标识符（Protocol Id），Modbus协议为0，所以值为0x0000；
   • 2个字节的字节长度（Length），记录后续的字节个数，由服务器应答时生成，其他三个都是复制
   • 1字节的单元标识符（Unit Id），识别从机设备，为从站地址，即Slave Id
3. 报文头后，就是功能码+数据部分。如下图：
   
4. 下文是常见的功能码使用，所讲结构单指PDU部分。注意：当响应异常时，异常功能码=正常功能码+0x80。

2.2 0x01读线圈

1. 该功能码的功能是读取各离散输出的开关（ON/OFF）状态。一个寄存器是2个字节，一个字节有8比特位，该功能就是读每个比特位的状态0/1。
2. 请求PDU结构为：1字节的功能码+2字节的起始地址+2字节的线圈数量，如下图所示：
   
3. 响应PDU结构为：1字节功能码+1字节数+N个字节的线圈状态，如下图所示：
   
4. 举例，请求读离散量输出20-38的实例：
   • 请求PDU为：01 0013 0013，功能码0x01；起始地址0x0013，从0开始寻址线圈；输出数量0x0013，从20-38一共19个点
   • 响应PDU：01 03 CD 6B 05，功能码0x01；字节数0x03，一字节8比特位，要知道19个状态，需要3个字节；输出状态27-20为0xCD；输出状态35-28为0x6B；输出状态38-36为0x05。用零填充剩余高比特位。

2.3 0x03读保持寄存器

1. 功能：使用该功能码读取保持寄存器连续块的内容，从0开始寻址寄存器。
2. 请求PDU结构：1字节功能码+2字节起始地址+2字节寄存器数量（从起始地址开始要读多少个寄存器）
   
3. 响应PDU：1字节功能码+1字节字节数+字节数个字节表示寄存器值。
   
4. 举例，请求读寄存器108-110的值
   • 请求PDU：03 006B 0003，功能码0x03；起始地址0x006B，因为从0开始寻址，所以108对应107；寄存器数量0x0003，108-110共3个寄存器
   • 响应PDU：03 06 023B 0000 0065，功能码0x03，字节数0x06，3个寄存器，每个寄存器有2个字节，所以6个字节；寄存器108值0x023B；寄存器109值0x0000；寄存器110值0x0065

2.4 0x05写单个寄存器

1. 功能：使用该功能码写单个输出为ON或OFF，0xFF00表示ON，0x0000表示OFF，其余都为非法值。从0开始寻址线圈。
2. 请求PDU：1字节功能码+2字节输出地址+2字节输出值
   
3. 响应PDU：1字节功能码+2字节输出地址+2字节输出值。当响应正常时，请求PDU和响应PDU是一样的；异常时，1字节异常功能码+1字节异常码组成。
4. 举例，请求写线圈173为ON：
   • 请求PDU：05 00AC FF00，功能码0x05；输出地址0x00AC，因为从0开始寻址线圈，所以173对应172；输出值0xFF00表示ON
   • 响应PDU：05 00AC FF00

2.5 0x06写单个寄存器

1. 功能：使用该功能码写单个保持寄存器，从0开始寻址寄存器

2. 请求PDU：1字节功能码+2字节寄存器地址+2字节寄存器值
   

3. 响应PDU：1字节功能码+2字节寄存器地址+2字节寄存器值。当响应正常时，请求PDU和响应PDU是一样的；异常时，1字节异常功能码+1字节异常码组成。

4. 举例，请求将0x0003写入寄存器2中：

   • 请求PDU：06 0001 0003，功能码0x06；寄存器地址0x0001，从0开始寻址，所以寄存器2对应1；寄存器值0x0003
   • 响应PDU：06 0001 0003

2.6 0x10写多个寄存器

1. 功能：使用该功能码写连续寄存器块。从0开始寻址。
2. 请求PDU：1字节功能码+2字节起始地址+2字节寄存器数量+1字节的字节数+字节数个字节的寄存器值
   
3. 响应PDU：1个字节功能码+2字节起始地址+2字节寄存器数量
   
4. 举例，请求将0x000A和0x0102写入以2为开始的两个寄存器
   • 请求PDU：10 0001 0002 04 000A 0102，功能码0x10；起始地址0x0001；寄存器数量0x0002；字节数量0x04；写入值0x000A和0x0102
   • 响应PDU：10 0001 0002

3 实例（ADU）

1. 客户端和服务端通过TCP/IP进行连接，下面为通信信息。
2. 客户端请求：19B2 0000 0006 06 03 0027 0002
   • 0x19B2，MBAP报文头里的Transaction Id，服务端只要复制该内容，通常表示这一来回的序列号
   • 0x0000，MBAP报文头的Protocol Id，Modbus TCP/IP规定协议为0x0000，服务端只要复制该内容
   • 0x0006，MBAP报文头的Length，表示该字节以后的字节数量，服务器回时要自行计算。实例可见，该部分后06 03 0027 0002共有6个字节
   • 0x06，MBAP报文头的Unit Id，表示从站设备地址，slave Id
   • 0x03，功能码为0x03，读保持寄存器
   • 0x0027，起始地址，从寄存器40开始，因为从0寻址
   • 0x0002，寄存器数量，从起始寄存器开始读2个寄存器
3. 服务端正常响应：19B2 0000 0007 06 03 04 0000 0000
   • 0x0007，表示其后的字节数，响应报文是7个字节，所以与请求报文的0x0006不同
   • 0x04，表示读寄存器的字节数，读2个寄存器，共4个字节
   • 0x0000 0000，读取的内容
4. 服务端异常响应：19B2 0000 0003 06 83 02
   • 0x83，异常功能码是由正常功能码+0x80计算而来
   • 0x02，异常码，表示异常原因为非法数据地址。对于服务器（或从站）来说，询问中接收到的数据地址是不可允许的地址。比如：本次请求为读寄存器40-41的值，但是从站只有40个寄存器，这时将产生异常码0x02
   • 异常码还有许多，自行搜索查看