Modbus RTU协议说明

一、协议的基本特点

Modbus是施耐德电气于1979年为使用PLC通信而发表的一种串行通信协议。现在它已经成为工业领域通信协议的业界标准，并且是工业电子设备之间常用的连接方式。Modbus被广泛使用的原因主要有三个：

1、公开发表并且无版权要求。（免费）

2、易于部署和维护。（简单）

3、对供应商来说，修改移动本地的比特或字节没有很多限制。（修改简单）

Modbus通信协议作用在OSI模型的物理层（1层）、数据链路层（2层）及应用层（7层）。这里的OSI被称为开放系统互联参考模型，它定义了网络互连的七层框架，每层框架都有其各自的通信协议。

OSI

而通信协议其实就是一种约定，一种编码和解码的方式。例如用莫尔斯电码打出三短三长三短（编码），知道协议的人，就会明白这是在表示求救信号（解码），反之，则很难理解它的含义。Modbus也是如此，在之后的内容中我们将更加清楚的看到这一点。

二、协议的报文说明

Modbus协议有三类，分别是：Modbus-RTU、Modbus-ASCII、Modbus-TCP。一般来说，一个设备只有其中的一种协议，而且Modbus规定，Modbus-RTU是设备必须支持的协议，也是默认选项。所以大多数设备都采用了Modbus-RTU协议通信。那么本期视频我们主要介绍的就是Modbus-RTU协议的有关内容。

先来看一个简单的Modbus-RTU报文。首先声明一点，我们将电脑上的串口助手当作主站， M2101或M1002模块作为从站。根据命令的不同，使用的从站设备也有所不同。

报文使用设备

当主站或者说客户机发送了请求报文：01 02 00 00 00 04 79 C9，从站（M1001）或者说服务器会返回响应报文：01 02 01 0F E1 8C。报文中的每一小段都是由一个字节也就是两个十六进制码构成。例如0F，它的二进制是0000 1111。

那我们要怎样理解报文数据呢？以主站发送的报文为例，它可以分为三部分，分别是：地址域——01；协议数据单元（PDU）——02 00 00 00 04，它包含功能码和数据；差错校验——79 C9。而且响应报文与请求报文比较相似，我们将在之后的内容中一起说明。

报文分区

首先看地址域部分。它是由一个8位字节构成，那么理论上可以有256个不同的地址。这是否意味我们可以为主站连接256个从站设备呢？答案是否定的。因为在这256个地址空间中又有以下这些区别。Modbus规定地址0保留为广播地址，1～247为子节点单独地址，248～255为保留地址。所以从机的地址范围在1～247之间，而其他地址可以由用户自由扩展。这样就可以在满足用户特定需求的同时尽量保持协议的兼容性。当然，保留区也具有同样的功能，如设置特定地址段的广播指令等等。需要注意的是地址域只和从站有关，主站是没有地址标识的，而且每个从站的地址都是唯一的，以便于与其它从站区别。

报文的地址域

根据地址域的不同，Modbus分为广播与单播两种请求模式。

在广播模式下，所有从站必须执行主站命令，而无需应答返回。

广播模式

在单播模式中，一个Modbus事务处理包含两个报文：一个来自主节点（主站）的请求，一个来自子节点（从站）的应答。

单播模式

它的具体过程是：主节点发送请求后进入等待应答状态，只有特定子节点应答完成后，主节点才可以进行下一个事务处理。而且同一时刻，主节点只会发起一个Modbus事务处理。当然主节点在等待响应时会同步启动响应超时机制，避免主节点永远处于等待应答状态。不管是何种模式，子节点都不会主动发送数据，而且子节点间也不会互相通信。在报文中可以看到，无论是主站的请求还是从站的应答，报文的起始位都是地址域。

地址域在报文首位

接下来说明报文的协议报文单元（PDU），它由功能码和数据构成。功能码由一个字节表示，它可以分为三类：公共功能码、用户定义功能码和保留功能码。我们结合实例，说明公共功能码中常用的几个功能码以及数据域的内容。需要注意的是，下面的说明内容只包含报文中的PDU部分，而省略了它的地址域和校验域。在介绍具体的协议功能码前，先看看Modbus协议控制的寄存器的种类。如下图：

寄存器种类

我们可以将寄存器分为四类，每种寄存器都有其特定的地址区域。

Modbus-RTU协议的功能有很多，这里我们将结合实例为大家说明几个常用的功能码。

功能码

主站输入报文：01 00 02 00 06，

01功能码示例（主站）

报文的首字节是功能码域。01功能码是读线圈命令，可以读取线圈1至2000的连续状态。线圈其实就是DO（数字输出），它的对象类型是单个比特，1表示ON，0表示OFF。从站的线圈有很多，在执行01命令时，从站要从那个线圈开始读？需要读几个？这就要功能码后的数据域来定义了。以输入的00 02 00 06为例，前两个字节表示起始地址，其中00是线圈起始地址的高位，02是线圈起始地址的低位。后两个字节表示要读取的线圈数量，00表示读取数量的高位，06表示读取数量的低位。因为报文都是十六进制写的，所以00 02转换为十进制是2，00 06转换为十进制是6。那么数据域就表示从第3个线圈开始读，一直读到第8个线圈为止。

那么从站（M1002）的响应报文01 01 00的各个字节都有什么含义呢？

01功能码示例

开始的第一个字节还是功能码，表示从站执行的是主站请求的01命令。紧接着的一个字节01，表示从站返回的字节数，也就是返回1个字节，其中的00表示8-3线圈的状态，它的二进制是0000 0000从右至左依次表示3-8线圈的状态，最高两位用0填充，这是因为协议必须要输出一个完整的字节才行。

读取的线圈状态

读离散量的功能码是02，它的报文与读线圈功能码的报文相差无几，就不介绍了。

写线圈的功能码又分为写单个线圈05和写多个线圈0F，我们以0F功能码为例，说明报文的含义。0F功能码可以强制线圈序列中的每个线圈为ON或OFF。发送的请求报文是：0F 00 02 00 06 01 2A。

0F功能码示例（主站）

0F自然是功能码域，之后的四个字节分别是起始地址位00 02，输出数量00 06。紧接着的一个01字节表示要为线圈写入一个字节的内容，内容是2A，用二进制表示是0010 1010，对应的线圈顺序是8-3，数据字节中未使用的比特还是用零填充。

为线圈写入的状态

从站（M1002）的响应报文是0F 00 02 00 06。

0F功能码示例（从站）

0F是说明从站执行的功能码；之后的四个字节中，前两个字节是起始地址位，后两个字节是输出数量。我们发现，在执行0F命令时，响应报文和请求报文的前五个字节是完全相同的。

接着介绍04功能码，它可以读取1至125的连续寄存器。每个连续寄存器以两个字节表示。发送的请求报文是：04 00 67 00 04。

04功能码示例（主站）

04是它的功能码，寄存器的起始地址是00 67，00 04表示要读4个寄存器的值。所以请求报文是要读取寄存器104-107也就是M2101模块上的IN 3到IN 6这四个寄存器中的值。

模块的用户手册（一）

这些数值是怎样计算的呢？首先打开M2101模块的用户手册。

模块的用户手册（二）

在热电偶输入寄存器列表部分会看到各个寄存器的地址，这里的3x中的3通俗来讲就是区号，用来区分各种寄存器，不参与实际的计算过程。这里的x表示十进制，也就是说这里的数字是以十进制的方式书写的。如IN 3的地址是30104，其实它的地址就是十进制的104，转换为十六进制就是68。但是，在地址书写中十进制的寄存器地址是从1开始计数，而十六进制的寄存器地址却是从00开始计数，所以当我们要读取IN 3的寄存器的值时，要将十进制的地址减一，这样就变成了输入到报文中的67。

从站（M2101）返回的响应报文则是：04 08 F5 55 F5 55 18 63 01 1A。

04功能码示例（从站）

04功能字节后的08字节表示读取了8个字节的数据，其中F5是寄存器104的高八位，55是它的低八位，而F555正是模块在无温度数据下返回的默认值；01是寄存器107的高八位，1A是它的低八位，011A是模块采集的温度数据。011A是十六进制数据，转换为十进制就是282，因为模块的返回值是以0.1℃为单位的16位整形数据，所以表示的实际温度就是28.2℃。

最后介绍10功能码，它可以写连续寄存器块。发送的请求报文为：10 00 67 00 02 04 00 00 00 07。

10功能码示例（主站）

在功能码10之后是起始地址00 67，要写的寄存器数量00 02，需要写入的字节数04，它们是00 00 00 07。查看模块的用户手册，

模块的用户手册（三）

我们明白了请求报文要将IN 3通道的热电偶类型改变为B型，将IN 4通道改变为N型。

从站（M2101）的响应报文则是10 00 67 00 02，与请求报文的前五个字节并无差别，表明从站执行了请求命令。

10功能码示例（从站）

我们可以在软件上查看一下。关闭串口，打开Manager软件，找到设备后点击Function Config就可以看到通道的热电偶类型发生了改变。

模块测试热电偶类型发生改变

上述的Modbus-RTU协议报文我们可以这样理解：当主站要发送请求报文时，首先要确定报文是发送给谁的，也就是地址域；然后说明自己要干什么，也就是功能码；其次要确定这件事从哪里开始干，干到那里停止，也就是起始地址和输出数量；倘若有要求的话，主站还要在报文中写入自己的具体要求，也就是字节数和字节内容。从站的响应报文也可如此理解。

对于Modbus协议的其它功能码我们便不再一一介绍。它们的详细内容，大家可以参考Modbus协议说明。

三、协议的错误说明

到现在为止，我们已经说明了Modbus-RTU协议的大部分内容，但还有两个问题困扰着我们：如果出现错误怎么办？毕竟意外总会发生。还有一个则是，报文最后两字节的CRC校验应该怎样计算？下面就来解释这两个问题。

我们以一个实例来说明错误的响应报文有什么样的特点。当然，这里给出的还是省略地址域和校验域的报文。当主站发送请求报文02 00 00 00 05后，

错误的请求报文

从站（M1002）产生的响应报文是82 03。

应答报文

通过前面的介绍，我们可以知道主站的请求是要读取1至5的离散量输入（DI）状态。但返回的响应报文显然是错误的，为什么会这样？检查M-1002发现，模块上并没有五个离散量输入。

M1002模块

修改请求报文为02 00 00 00 04，

正确的请求报文

产生的响应报文为02 01 0F，这是正确的回执。

应答报文

那异常报文82 03具有什么样的特点呢？

我们将响应报文分为功能码域和数据码域。因为正常响应的所有功能码的最高有效位都为0，即功能码的值都低于十六进制的80（1000 0000）。所以异常响应报文的功能码出现的是正常功能码加80（十六进制）的值，也就是异常报文中显示的82。而数据域中的异常码03，定义了产生异常的从站状态。协议中定义的异常码如下图所示。

异常码定义

那么对实例中异常报文的解释就是：从站在执行02功能码时发生错误（82），出现错误的原因是，在从站想要查询的值中包含不可允许的值（03）。这样我们就可以通过异常响应报文，更轻松地找出错误发生的原因。

四、CRC校验说明

CRC校验也就是循环冗余校验，它由两个字节组成，并且会附加在报文后面发送出去，它的具体值由发送设备计算。而接收设备在接收报文时会重新计算CRC的值，并将结果和实际收到的CRC值相比较，如果两个值不相等，则为错误。

CRC 校验流程

CRC的生成过程如下：

将一个16位寄存器装入十六进制FFFF（全1），将之称作CRC寄存器。

将报文的第一个8位字节与16位CRC寄存器的低字节异或，结果置于CRC寄存器。

将CRC寄存器右移一位（向LSB方向），MSB充零，提取并检测LSB。

如果LSB为0，重复步骤3；如果LSB为1，对CRC寄存器异或多项式0xA001（1010 0000 0000 0001）。

重复步骤3和4，知道完成8次位移。当做完此操作后，将完成对8位字节的完整操作。

对报文中的下一个字节重复步骤2到5，继续此操作直到报文处理完毕。

CRC寄存器中的最终内容为CRC值。

当放置CRC值与报文时，高低字节必须交换。

现在我们一般使用程序自动生成CRC码。

程序自动生成CRC码

上述程序将所有可能的CRC值都预装在两个数组中，当计算报文内容时简单索引即可。函数的两个参数：unsigned char*puchMsg表示指向含有用于生成CRC的二进制数据报文缓冲区的指针；unsigned short usDataLen表示报文缓冲区的字节数。

五、报文的格式

对于Modbus-RTU报文我们最后还要说明的一点是：在RTU传输模式下每个字节都有11位，当然，我们只需要输入编码系统中的8位字节就可以了。11位字节的格式是这样的：

有校验位格式

1个起始位，8个数据位，首先发送最低有效位，1个奇偶校验位，一个停止位。除了8个数据位需要我们自己输入外，其它位都是由协议自动添加。同时Modbus协议也支持无校验，不过此时它的停止位就变成两位了。

无校验位格式

要注意的是：不管Modbus-RTU协议有无奇偶校验，CRC校验都是必须存在的。

文章的视频内容大家可以点击如下连接跳转观看，Modbus-RTU协议讲解。

文中出现的软件和模块可以到Smacq官网查看其详细内容。

如果您有什么问题，可以在评论区留言告诉我们或搜索公众号：Smacq思迈科华。

审核编辑 黄宇