好的，我们来详细解析一下 Modbus 通信协议。这是一种在工业自动化领域应用极为广泛的串行通信协议。

核心定义：

Modbus 是一种应用层消息传递协议，它定义了设备之间、设备与监控系统之间如何进行结构化数据的请求和响应。它独立于底层的物理层（如 RS-232, RS-485, Ethernet TCP/IP, Modbus Plus 等），这意味着同样的协议规则可以在不同的硬件连接方式上运行。

历史起源：

• 由 Modicon 公司（后被施耐德电气收购）于 1979 年为其 PLC（可编程逻辑控制器）产品开发。
• 目的是实现 PLC 与工业设备（如传感器、执行器、HMI 人机界面、SCADA 系统）之间的简单、可靠通信。
• 因其简单性、开放性（免费、无版权、无许可费）和易实现性，迅速成为工业领域的事实标准通信协议。

核心工作原理：

1. 主从架构 (Master-Slave):

   • 主设备 (Master): 通常是 SCADA 系统、HMI、PLC 或 PC 软件。负责发起通信请求（Query）。
   • 从设备 (Slave): 通常是现场设备，如传感器、执行器、仪表、变频器或 PLC。被动等待主设备的请求，收到后执行操作并发送响应（Response）。
   • 一个 Modbus 网络上只有一个主设备（在 TCP/IP 环境下稍有不同，但逻辑上仍是主从模式），但可以有多个从设备（最多 247 个）。
   • 主设备按需轮询各个从设备获取数据或发送控制命令，从设备不能主动发起通信。

2. 数据模型 - 寄存器 (Registers):

   • Modbus 不直接定义设备的内存结构，而是将设备数据抽象为四种类型的、通过地址访问的寄存器：
     • 离散量输入 (Discrete Inputs / DI - 1XXXX): 只读的单比特数据位，通常代表设备的状态开关量（如：限位开关状态、故障信号）。地址范围通常为 10001 - 19999。
     • 线圈 (Coils / C - 0XXXX): 可读写的单比特数据位，通常用于控制设备的开关量输出（如：继电器通断、电机启停）。地址范围通常为 00001 - 09999。
     • 输入寄存器 (Input Registers / IR - 3XXXX): 只读的16位（2字节）数据，通常代表设备的模拟量输入（如：温度值、压力值、流量值）。地址范围通常为 30001 - 39999。
     • 保持寄存器 (Holding Registers / HR - 4XXXX): 可读写的16位数据，既可以表示模拟量输出设定值、配置参数，也可以存储各种中间数据。地址范围通常为 40001 - 49999。
   • 这里的 XXXX 是设备的内部寄存器偏移地址（0-based 偏移量）。例如，实际协议消息中访问保持寄存器地址 40001 时，传输的地址是 0；访问线圈 00001 时，传输的地址是 0。

3. 功能码 (Function Codes):

   • 主设备在请求中指定一个功能码 (1 byte)，告诉从设备要执行什么操作（读或写？操作哪种类型的数据？）。
   • 常用功能码示例：
     • 01 (0x01): 读取线圈状态 (读 0XXXX)
     • 02 (0x02): 读取离散量输入 (读 1XXXX)
     • 03 (0x03): 读取保持寄存器 (读 4XXXX) （非常常用）
     • 04 (0x04): 读取输入寄存器 (读 3XXXX)
     • 05 (0x05): 写单个线圈 (写一个 0XXXX)
     • 06 (0x06): 写单个保持寄存器 (写一个 4XXXX) （非常常用）
     • 15 (0x0F): 写多个线圈 (写多个 0XXXX)
     • 16 (0x10): 写多个保持寄存器 (写多个 4XXXX) （非常常用）
   • 如果从设备成功执行，则在响应中返回相同的功能码。
   • 如果执行出错（如地址非法、功能不支持、数据无效等），从设备在响应中将功能码最高位置 1（即原功能码+0x80），并附带一个错误码说明原因。例如，对于失败的读保持寄存器请求 (03), 从设备会回复 83 (0x03 + 0x80 = 0x83) + 具体错误码。

4. 协议数据单元 (PDU - Protocol Data Unit):

   • 这是 Modbus 协议的核心消息结构，独立于传输方式，包含两部分：
     • 功能码 (1 Byte)： 指定操作。
     • 数据域 (可变长度)： 包含请求/响应所需的具体数据，如寄存器起始地址、寄存器数量、实际数据值等。
   • PDU = 功能码 + 数据域

5. 传输方式 (物理层 + 数据链路层):

   • Modbus RTU (Remote Terminal Unit): (最常见)
     • 基于串行接口 (RS-232 / RS-485)。
     • 使用二进制编码，数据紧凑，效率高。
     • 依靠时间间隔 (T1.5 / T3.5) 来区分字符帧和消息帧。
     • 消息前后有起始符 (沉默时间) 和结束符 (CRC 校验)。
     • 帧结构： 从站地址 (1 Byte) + PDU + CRC 校验 (2 Bytes)。
   • Modbus ASCII:
     • 基于串行接口 (RS-232 / RS-485)。
     • 使用ASCII 字符 (人类可读的 0-9, A-F) 编码。
     • 每个字节（8 位）被编码为两个 ASCII 字符（例如，二进制 0x2B 编码为字符 '2' 和 'B'），效率低于 RTU。
     • 消息以 冒号 : (0x3A) 开头，以 回车换行 \r\n (0x0D 0x0A) 结尾。
     • 帧结构： 起始符 : + 从站地址 (2 ASCII) + PDU (功能码 2 ASCII + 数据域 N ASCII) + LRC 校验 (2 ASCII) + 结束符 \r\n。
   • Modbus TCP/IP:
     • 基于以太网 (TCP/IP 网络)。
     • 利用 TCP (端口号默认 502) 提供可靠的传输连接。
     • 封装结构： MBAP 头 (Modbus Application Protocol Header) + PDU。
       • MBAP 头 (7 Bytes): 事务标识符 (2B) + 协议标识符 (2B=0) + 长度 (2B, 指后续字节数) + 单元标识符 (1B, 常用来代替 RTU 中的从站地址)。
     • 无需 CRC/LRC 校验，由 TCP/IP 底层保证可靠性。
     • 可以轻松在局域网甚至互联网上传输。

典型通信过程示例 (RTU):

1. 主设备发送请求 (读保持寄存器): [Slave Address] [0x03] [Start Address Hi] [Start Address Lo] [Quantity Hi] [Quantity Lo] [CRC Lo] [CRC Hi]

   • 例如：读取从站地址为 1 的设备中，起始地址为 0（对应 HR 40001）的 2 个保持寄存器。
   • 0x01 (Slave Addr) + 0x03 (FC) + 0x00 (Start Addr Hi) + 0x00 (Start Addr Lo) + 0x00 (Qty Hi) + 0x02 (Qty Lo) + [CRC]

2. 从设备响应 (成功): [Slave Address] [0x03] [Byte Count] [Data1 Hi] [Data1 Lo] [Data2 Hi] [Data2 Lo] [CRC Lo] [CRC Hi]

   • 假设 HR40001 的值是 0x1234, HR40002 的值是 0x5678。
   • 0x01 (Slave Addr) + 0x03 (FC) + 0x04 (Byte Count=4 bytes) + 0x12 + 0x34 + 0x56 + 0x78 + [CRC]

主要应用场景：

• 连接 PLC 与各种 I/O 模块。
• PLC 与 HMI/SCADA 系统通信。
• 工业仪表（流量计、压力变送器、电表）的数据采集。
• 变频器 (VFD) 的启停控制和频率设定。
• 楼宇自动化系统 (BAS)。
• 能源监控系统。

优点：

• 简单易懂： 协议结构清晰，容易理解和实现。
• 开放免费： 没有专利和授权费用，鼓励广泛采用。
• 广泛支持： 几乎所有主流的 PLC、HMI、SCADA 软件和设备制造商都支持 Modbus。
• 通用性强： 能在多种物理介质上运行 (串行、以太网)。
• 轻量级： 消息开销小，效率相对较高（尤其 RTU）。
• 成熟稳定： 经过几十年工业现场验证，可靠性高。

缺点/局限性：

• 缺乏内置安全性： 原始 Modbus 协议本身没有提供任何加密或认证机制，容易遭受窃听、数据篡改、欺骗攻击。现代应用通常在外部通过 VPN、防火墙或在协议上层添加安全机制来解决。
• 单主站限制： 主从结构限制了灵活性，从站无法主动上报事件（除非使用轮询模拟，但效率低）。
• 最大地址限制： 标准定义了最多 247 个从设备地址（对于串行）。
• 数据模型简单： 只有 4 种寄存器类型和基本的读写操作，复杂数据类型需要拆分传输。
• 无数据类型规定： 协议不规定数据在寄存器中的格式（整数、浮点数、字符串等），需由设备文档或配置文件约定，容易出现兼容性问题。
• 串行 RTU/ASCII 的效率相对较低： 相比现代高速工业以太网协议。

总结：

Modbus 是工业自动化领域通信协议的基石。其核心价值在于其简单性、开放性和广泛的工业支持。虽然存在一些局限性（尤其是安全性），但其易于理解、实现和部署的特点使其在大量的存量设备和简单监控场合中仍占据绝对主导地位。理解 Modbus 的工作机制、寄存器类型、功能码和不同传输模式，是工业自动化工程师和系统集成人员的必备技能。对于需要更高性能、实时性或安全性的新系统，通常会在 Modbus TCP 基础上增加安全措施，或者转向基于工业以太网的协议（如 EtherNet/IP, PROFINET, Modbus TCP Sec, MQTT 等），但 Modbus 在可预见的未来仍将继续扮演重要角色。