杨利江　刘银莲　张伟　李金泉

摘要：随着化工企业自动化程度提升，信息设备逐渐增多，化工生产车间环境恶劣，伴随高温、电磁干扰、震动等因素造成设备振荡器提前老化，对自动控制系统运行的准确性与及时性造成影响。视频监控系统录像回放时间戳与真实发生时间不一致。如何解决企业内部计算机网络、工业控制系统、视频监控系统的时钟运行精确度，是当前必须解决的问题。

关键词：工控网；时钟同步；NTP

1.引言

大型化工企业都有内部局域网络、生产自控网络和视频监控网络。由于生产企业的特殊性，很多设备长年暴漏在户外和生产环境，内部元器饱受温湿度、化学腐蚀、电磁干扰等因素影响，随着时间累计，振荡器运行出现偏差，影响到生产管理系统与自控系统通信一致性，自控系统内部容易发生设备运行异常状况，影响到数据分析结果，甚至造成生产事故发生，从而给企业经营造成损失。

另一方面，大型化工企业各种检测、监测设备安装地点分散，有高空假设的、管道井内的、高速旋转设备的、高温高压等设备，现场人工操作难度大。个别企业受条件限制，无法采用GPS或其他无线授时系统。如何在有限的条件下解决企业内部网络及设备时钟同步，提升企业生产效率、降低维护成本。本文针对目前大多数企业面临的现状，给出了一套简单易行的局域网时钟授时方案。

2.名词解释

以太网：以太网（Ethernet）是由Xerox、Intel和DEC公司联合开发的基带局域网规范，是现在使用最广泛的局域网通信协议标准。

NTP（Network Time Protocol）网络时间协议：是用来使网络中的各种计算机时间同步的一种协议。

NTP Server：可以提供时间校对服务的计算机设备。

NTP Client：网络中需要时间校准的信息设备。

DNS（Domain Name System）域名系统：网络中能够将域名和IP地址相互映射的数据库。例如：计算机访问www.baidu.com这个域名时，会自动获取域名对应的IP地址，然后再去访问这个IP地址。这么做的目的是因为域名比IP地址更容易记忆。

DCS（Distributed Control System）分布式控制系统：国内称为集散控制系统，是过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统。

3.环境分析

目前国内大型化工企业的内部办公网络、视频监控网络、DCS工业控制网络，多数基于以太网络或兼容以太网络传输协议。在局域网搭建一台NTP Server授时服务器，结合DNS域名解析服务器，即可解决网络内部所有设备的时钟同步问题。下面就企业内部常见网络进行简要分析：

办公网络：是一个小范围的以太网络，网内设备主要以计算机和交换机为主。操作系统以Windwos进行举例，可利用Windwos系统自带的时钟同步域名，配合企业内部网络的DNS域名解析服务完成网络时间同步。优点是操作简单，计算机设备无需复杂设置即可保证全网时钟同步。

视频监控网络：近幾年的新设备组网技术都兼容以太网络协议，时钟同步方案分两种情况：第一，视频服务器不具备时钟授时功能，下级设备无法获取时间。此种情况，需要将全网设备的时钟获取地址与搭建的NTP Server保持同步。另一种情况，视频服务器具有NTP Server授时功能，所有下级设备也与服务器时钟一致。只要将视频服务器时间获取地址改为搭建好的NTP Server IP地址即可。

DCS工业控制网络是个多级计算机组成的通信网络，较早的国外系统没有时间同步机制，计算机与各控制模块时间独立运行，时间校准采用人工操作。近几年国内DCS系统逐步发展成熟，系统内部已具备了时间同步机制，但国内工业控制领域还没有完善的抗攻击、抗病毒防御能力，DCS网络还是一座信息孤岛，不能接入互联网实现数据共享与分析。基于现状，可采取较为安全的边界隔离方式将DCS系统与企业内部局域网打通，实现企业内部数据抽取、分析、共享，实现DCS网络与企业局域网时钟同步。

4.实现方法

企业内部办公网络通常采用防火墙作为边界隔离设备，核心层防火墙采用不同的访问控制策略将网络分为服务器区、安全管理区、办公区、视频监控区、生产网络区等安全域。NTP Server服务器和DNS服务器架设在安全管理区，能够保证设备抵御网络攻击，也能为各安全域提供信息服务。核心防火墙开启NTP Server服务器端口访问权限，为各安全域提供时钟同步授时通道。

为了减少硬件投入成本，NTP Server和DNS可架设在同一台服务器上。以Windwos系统为例，需开启NTP Server服务和本地CMOS时间作为时间源。新建DNS正向查找域：time.windows.com、time-a.nist.gov、temi-b.nist.gov、time-nw.nist.gov指向本服务器的IP地址，到此服务器端设置全部完成。

同样，以Windows系统为例。办公网络计算机仅需开启Windows Time服务，保持系统自带的NTP Server服务地址不变，各计算机终端在默认的时间间隔自动完成时钟同步。

视频监控网络作为企业内部局域网的一个子网，与办公网进行对接。时钟同步配置分两种情况：（1）视频服务器具备向下授时功能。仅需将视频服务器的NTP Server地址设置为搭建的NTP Server服务器的IP地址即可。（2）视频服务器不具备授时功能。这种情况，要将视频网内所有摄像机、硬盘录像机、编码器以及服务器的NTP Server地址改为自己的NTP Server IP地址。有些视频设备还有时区设置，默认是0，我们国家需要改成+8，否则时间同步后，总是相差8个小时。

对于DCS工业控制网络，由于地理区域分散、建设时期跨度大，各生产工房都有独立的网络和IP地址。从安全角度考虑，需要防御办公网络带来的攻击和传入的病毒。建议网络边界架设Buffer机（用于数据采集的计算机）和边界防火墙进行安全隔离。同时，使用二级授时方案保障网络安全。使工程师站—Buffer机、Buffer机—防火墙、防火墙—办公网，三个网段IP独立，Buffer机通过边界防火墙NAT转换接入办公局域网完成时钟同步。Buffer机可安装网络版杀毒软件与办公网杀毒服务器的病毒库保持同步更新。在Buffer机的配置上，既要作为NTP Client向上校准时间，也要充当NTP Server服务器对DCS工程师站进行授时，通过工程师站完成整个DCS网络的时钟同步。

5.结束语

本文讲述的时钟同步方案充分利用了企业现有条件，避免了大规模部署GPS授时系统或其他无线设备接入带来的安全隐患，基于企业现有网络结构，拓展了NTP协议的传输范围。技术难度低、易实施，在一定程度上提升了DCS系统和生产控制系统可靠性，能够准确还原视频录像回放的真实性。为办公网络审计系统、打印输出等系统提供可靠的时钟保障。