MCGS触摸屏程序逆向分析:当设备厂家失联,如何从老设备里“挖”出点位表?
MCGS触摸屏程序逆向分析:当设备厂家失联,如何从老设备里“挖”出点位表?
在工业自动化现场,最令人头疼的莫过于遇到"孤儿设备"——那些厂家已经倒闭或失联,却仍在产线上服役的老旧设备。当这些设备需要改造或维护时,缺乏原始点位表就像在迷宫中失去了地图。而触摸屏程序,往往成为破解这一困局的关键钥匙。
MCGS作为国内广泛应用的组态软件,其工程文件中隐藏着大量与PLC通讯的变量信息。本文将分享一套完整的逆向工程方法论,从工程文件上传到变量分析,帮助工程师在缺乏技术文档的情况下,重建设备通讯点位表。不同于常规的上传教程,我们将重点放在如何从上传后的.mcp文件中提取有价值的信息,并转化为可用的点位表。
1. 工程文件上传前的关键准备
逆向分析的第一步是获取触摸屏中的组态工程文件。与常规认知不同,并非所有MCGS工程都能直接上传。在实际操作中,我们经常遇到上传失败的情况,这往往源于工程下载时的配置问题。
工程上传的三大前提条件:
- 原始工程下载时必须勾选"支持工程上传"选项(位于下载配置窗口)
- TPC设备存储空间未被完全占用(需保留至少10%空余空间)
- 当前用户权限足够(部分老型号需要管理员权限)
对于U盘上传方式,一个常被忽略的细节是U盘的文件系统格式。老型号TPC通常只支持FAT32格式,而新型号可能兼容exFAT。我曾在一个现场遇到上传失败的问题,最终发现是因为使用了NTFS格式的U盘。
网络上传时,除了确保IP地址在同一网段外,还需要注意:
- 关闭PC端的防火墙或添加例外规则
- 避免使用192.168.1.x这类常见网段(可能与设备内部网络冲突)
- 老设备建议使用百兆网口而非千兆(兼容性问题)
提示:如果确定原始工程未开启上传功能,可尝试联系同型号设备的其他用户,获取可上传的工程副本作为参考。
2. 工程文件结构解析与关键文件定位
成功获取.mcp文件后,用MCGSPro打开工程,真正的逆向工作才刚刚开始。MCGS工程实际上是一个压缩包,包含多个关键组件:
| 文件类型 | 路径 | 包含信息 |
|---|---|---|
| 变量定义文件 | /Data/Variable.bin | 所有变量名、地址、数据类型 |
| 画面配置文件 | /Screen/*.scr | 画面元素绑定的变量信息 |
| 脚本文件 | /Script/*.txt | 逻辑脚本中的变量引用 |
| 通讯配置文件 | /Config/Comm.cfg | PLC类型、站号、通讯参数 |
变量定义的四种查找方式:
- 直接解析Variable.bin:使用十六进制编辑器查看原始数据,适合紧急情况
- 通过画面元素反向追踪:右键点击画面中的IO域,查看"变量连接"属性
- 脚本搜索法:在脚本编辑器中搜索"GetData"/"SetData"等函数调用
- 报警记录分析:报警配置中通常包含关键变量的引用
一个实用的技巧是优先检查"系统参数"→"设备窗口"中的PLC配置。某次在分析一条老旧包装线时,发现设备实际使用三菱FX系列PLC,但工程中配置的是西门子S7-200驱动,这种偏差会导致变量地址解析错误。
3. 变量命名规律与地址映射技巧
面对上千个无注释的变量名,如何判断其对应的PLC地址?这需要结合工程特征和PLC协议特点进行分析。
常见变量命名模式对照表:
| 命名模式 | 可能对应地址 | 典型用途 |
|---|---|---|
| M_Alarm_01 | M100 | 报警触发位 |
| V_Speed_Set | D100 | 速度设定值 |
| B_Start | X0 | 启动按钮输入 |
| T_Cycle_Time | T0 | 定时器 |
| C_Part_Count | C200 | 计数器 |
对于不同品牌的PLC,地址映射规则差异很大:
- 三菱系列:X/Y输入输出,M辅助继电器,D数据寄存器
- 西门子S7:I/Q输入输出,M位存储器,DB数据块
- 欧姆龙:CIO区,W工作区,H保持区
在分析某台注塑机的案例中,发现变量"Press_Mold_Pos"实际对应PLC的D210寄存器,但工程中显示为VD210。这是因为MCGS对西门子PLC的V区变量会自动添加"V"前缀,而实际地址需要去掉这个前缀。
注意:部分老工程会使用变量组来区分不同功能区域,如"IN_"前缀表示输入,"OUT_"前缀表示输出,这种命名规范能大幅提高分析效率。
4. 脚本分析与逻辑验证方法
组态工程中的脚本是理解设备逻辑的金矿。MCGS支持三种脚本类型:
- 画面脚本:与特定画面关联
- 事件脚本:响应按钮点击等事件
- 周期脚本:定时执行的背景逻辑
关键脚本模式识别:
// 典型数据读取脚本 GetData(Device1, "MODBUS RTU", "3x", 100, 1) // 典型控制命令 SetData(Device1, "MODBUS RTU", "0x", 5, 1, 1)分析脚本时的实用步骤:
- 搜索所有"GetData"/"SetData"调用,建立地址映射表
- 识别高频使用的变量,这些通常是关键控制点
- 注意脚本中的常数偏移量(如地址+10可能表示数组元素)
- 检查脚本注释(如果有的话)
在某次逆向工程中,通过分析周期脚本发现了一个隐藏的温度控制算法:当"Temp_Actual"超过设定值时,会触发"M_Cooling_Start"位,同时将冷却时间写入"D_Cooling_Timer"。这种逻辑关系帮助重建了整个温控点的地址映射。
5. 实战案例:老旧生产线改造中的逆向工程
以一条2008年的装配线改造为例,演示完整的逆向流程:
现场条件:
- MCGS TPC7062K触摸屏
- 厂家已倒闭,无任何技术文档
- 需要新增质量检测功能
逆向过程记录:
- 通过U盘上传获取工程文件(耗时15分钟)
- 使用MCGSPro打开工程,发现变量总数达1247个
- 按以下优先级筛选关键变量:
- 出现在主画面的变量(36个)
- 报警记录中的变量(28个)
- 周期脚本中高频调用的变量(17个)
- 通过交叉验证确认:
- "Speed_Line"对应PLC的D150寄存器(16位整数)
- "B_Start"对应X10输入点
- "M_Alarm"占用M200-M215共16个位
- 新建测试工程验证关键点位,准确率达92%
最终,通过两周的分析,成功重建了包含387个关键点的点位表,为后续改造提供了坚实基础。这个案例表明,即使面对复杂的老旧系统,系统化的逆向方法也能有效解决问题。
6. 常见问题与专家技巧
高频问题解决方案:
问题1:上传后的工程无法在线模拟
解决方法:检查驱动配置,特别是PLC类型和站号必须与实际一致问题2:变量地址显示为"*"或无效
解决方法:可能是地址越界,尝试相邻地址(如D100无效则试D99或D101)问题3:脚本语法错误导致分析中断
解决方法:注释掉出错行,或使用MCGS不同版本软件打开
提升效率的五个技巧:
- 使用正则表达式批量搜索变量(如"^M_.*"匹配所有M区变量)
- 导出变量列表到Excel进行筛选和分类
- 对关键画面截图并标注变量关系
- 建立临时测试工程验证可疑点位
- 利用WinMerge等工具对比类似设备的工程文件
在逆向过程中,保持详细的记录至关重要。建议创建一个分析日志,记录每个重要发现和验证结果。这不仅能提高当前项目的效率,也为未来类似工作积累经验。