更换部件方案 如果将固件版本< V3.1 的 CPU 更换为固件版本为 V3.1 或更高的 CPU,存储在存储卡上的程序按原来的方式运行。组态的访问级别、OPC UA 服务器和 Web 服务器的用户与之前的 CPU 保持一致。 在这种情况下,无法通过Web 服务器 API 实现“更改密码功能”(Change password function), 因为组态后的 CPU 固件版本< V3.1,并且不支持本地用户管理。 更换 CPU(升级) 如果在 TIA Portal 中将 CPU(固件版本 <V3.1)更换为Zui新 CPU(固件版本为 V3.1 或更高 版本),则对组态的用户数据有如下影响: • 来自 OPC UA 服务器和Web 服务器的用户数据被传输到“用户和角色”(Users and roles) 编 辑器的项目导航中。 注意 更换 CPU时密码丢失 更换 CPU 之前,请确保已获取密码。必须在“用户和角色”(Users and roles) 编辑器中输入此密码。否则,必须分配新密码并通知用户。 • 在“用户和角色”(Users and roles) 编辑器中为每个 Web服务器用户创建相应的角色;角 色名包含 CPU 名称、“Web”字符串和已组态的 Web 服务器用户名。这样,通过在“用户和角色”(Users and roles) 编辑器中分配这些角色,即可轻松恢复每个 CPU 的原始权限。 • 为每个 OPC UA服务器用户创建“OPC UA 服务器访问”(OPC UA server access) 角色。 • OPC UA 访客访问权限和Web 服务器“每个人”(Everybody) 被移植到“匿名”(Anonymous) 用户。 • 每个 OPC UA 用户和每个Web 服务器用户都列在用户和角色编辑器的“用户”(User) 列中。 如果 Web 服务器用户和 OPC UA用户的名称相同,则只创建一个用户。 • 对于受保护的项目,可选择 CPU 执行的操作: –移植用户(要求:已使用具有用户和角色管理权限以及项目/组态编辑权限的用户身份 进行登录。 – 删除用户 •设置“通过访问级别实现传统访问控制”(Legacy access control via access levels) 选项。
更换 CPU(降级) 如果在TIA Portal 中将 CPU(自固件版本 V3.1 起)更换为旧型号 CPU(固件版本 < V3.1),则对组态的用户数据有如下影响: • 本地用户管理不再可用。 • Web 服务器的用户及其角色和功能权限保留在“用户和角色”(Usersand roles) 编辑器中。 它们不会传送到 CPU 属性区域(“Web 服务器 > 用户管理”(Web server> User administration)),也不会生效。 • OPC UA服务器的用户及其角色和功能权限保留在“用户和角色”(Users and roles) 编辑器 中。没有用户移至 CPU 参数的“OPCUA”区域。 对于用户身份验证设置,仍旧采用默认设置(“OPC UA > 服务器 > 安全 > 用户身份验证”(OPC UA > Server > Security > Userauthentication)):将启用访客身份验证。 • 用户无法继续在运行期间更改密码(通过 Web 服务器 API)。应了解的访问级别知识 (S7-1500) 访问等级 以下内容将介绍如何使用 S7-1200/1500 CPU的各种访问等级。本说明适用于固件版本不超 过 V4.6 的 S7-1200 CPU 或固件版本不超过 V3.0 的 S7-1500CPU。在后续固件版本中,在 用户和角色编辑器的项目导航中使用本地用户管理功能。访问级别在此表示为同名的功能权限,可通过角色将其分配给各个用户。 这些 CPU 提供各种访问等级,以限制对特定功能的访问。 将在 CPU的对象属性中指定各种访问等级以及相关的密码。可在表中分配访问等级的参数。各个访问等级右侧列中的绿色复选标记指定在不知道此访问等级的密码的情况下,可以执行的操作。 如果要使用未在“访问”(Access) 列中选择的域功能,那么需要输入密码: 示例:设置了访问等级“读访问权”。可以从表中看到,如果不输入密码,则无法在操作过程中使 用写访问权。该表还显示使用“写入”功能需要具有完全访问权限。 要在操作过程中使用需要写访问权的功能,则必须输入完全访问权限的密码。 注意组态访问等级不会代替专有技术保护 通过限制向 CPU 下载的权限,组态访问等级可提供较高的防护等级,从而防止未经授权的更改。但不会对存储卡上的块设置受读写保护。而使用专有技术保护则可以保护存储卡上 的代码块。 默认特性系统默认的访问等级为“无访问权限(完全保护)”。
访问等级的详细信息下文介绍了现有的访问等级以及各个访问等级可使用的功能。 • 完全访问权限,包括故障安全(无保护)- jinxian F-CPU:STEP 7 和 HMI 应用程序的用户有权访问所有标准功能和故障安全功能。无需密码。 更多信息,请参见编程和操作手册《SIMATIC安全 - 组态和编程》。 • 完全访问权限(无保护): STEP 7 的用户有权访问标准功能。HMI应用程序可访问所有功能(故障安全功能和标准 功能)。 • 读访问权:基于该访问等级,无需输入密码即可对硬件配置和块进行只读访问。即,可将硬件配置 和块上传到编程设备中。还可进行 HMI访问并访问诊断数据、显示离线/在线比较 结果、切换操作状态 (RUN/STOP) 并设置时间。 无法将块或硬件配置下载到 CPU中。也不支持测试功能和固件更新。 • HMI 访问: 只支持 HMI 访问和诊断数据访问 示例:基于 HMI访问等级,可转至在线并查看诊断图标以确定对象的状态。 可以通过 HMI 设备读写变量。 在此访问等级,既不能将块和硬件配置下载到CPU 中,也无法从 CPU 中将块和硬件配置 加载到编程设备中。 不适用以下应用:测试功能、切换操作模式(RUN/STOP)、固件更新以及显示在线/ 离线比较结果。 • 无访问权限(完全保护): 例如,只能通过“可访问设备”读取标识数据。无法对硬件配置和块进行读写访问。同样无法进行 HMI 访问。PUT/GET 通信的服务器功能在此访问等级下都处于禁用状态(无法更改)。 如果组态的密码合法,则可以根据相关的保护等级进行访问。* 在 STEP 7 V14及以上版本中,“HMI 访问”的访问等级不足,无法显示在线/离线的比较结果。 如,项目转为在线时,块、PLC 数据类型或 PLC变量的比较结果。要显示在线/离线比较结果,则 需具有读取访问权限。原因:STEP 7通过比较软件和文本列表的校验和,确定在线/离线数据是 否相等。而读取校验和访问时,需要具有“读取访问”访问等级。操作期间受密码保护的模块的行为 CPU 保护在将设置下载到 CPU 之后才生效。在执行在线功能之前,检查所需的权限,必要时将提示用户输入密码。 将密码保护 CPU 转至在线 在 STEP 7 V14及以上版本中,将受密码保护的 CPU 转至在线需要具有读取访问权限。转至在线时,需输入读取访问的密码;或者果未组态密码,则需输入完全访问的密码。 使用完全受保护 CPU 的 HMI访问密码进行访问时,则不会查询读取访问密码。系统将提示 输入 HMI 访问的密码。但在进行在线/离线比较时,HMI访问权限不够,仍要求具有读取访 问权限。 示例: • 组态具有只读访问权限的模块,要执行“修改变量”(Modify tags)测试功能。由于测试功 能需要具有写入访问权限,则需输入组态的密码才能执行该功能(完全访问密码)。 • 为模块组态了 HMI访问权限,且希望通过 STEP 7 将该模块转至在线。由于 STEP 7 中判断在线和离线对象是否相等的数据(校验和)需要具有读取访问权限,系统在转至在线时将提示输入读取访问密码。如果中止了密码输入密码对话框,则不会建立与该模块的在线连接。并在在线/离线比较的比较图标列中,显示一个问问。受保护数据的访问权限在在线连接时间内有效。如果在中断后恢复在线连接,则无需输 入访问数据。要手动取消访问权限,可单击“在线> 删除访问权限”(Online > Delete access rights)。每个访问等级都允许在不输入密码的情况下对某些功能进行无限制访问,例如,使用“可访 问设备”功能进行识别。组态访问级别(S7-1500) 以下部分介绍了如何为 S7-1200/1500 CPU 组态访问等级并输入密码。 通过为 CPU输入多个密码,可以为不同的用户组设置不同的访问权限。 以每个密码分配一个访问等级的方式在表中输入密码。密码的工作方式显示在“访问等级”(Access level) 列中,并在表下面的文本中说明。 示例 为标准 CPU(而不是F-CPU)选择“无访问权限(完全保护)”访问等级,并为表中每个位 于其上方的访问等级输入单独的密码。对于不知道任何密码的用户,CPU 将受到全面保护。甚至也无法访问 HMI。对于知道其中一个设定密码的用户,具体作用取决于密码所在的表行: • 第 1 行中的密码(完全访问权限(无保护))允许将 CPU作为完全未受保护的状态进行 访问。知道此密码的用户可以不受限制地访问 CPU。 • 第 2 行中的密码(读访问权限)允许将 CPU作为受写保护的状态进行访问。知道密 码,知道该密码的用户只能对 CPU 进行读取访问。 • 第 3 行中的密码(HMI访问权)允许将 CPU 作为受读/写保护的状态进行访问。获知该密 码的用户只获得 HMI 访问权。