大型化工企業(yè)局域網(wǎng)時(shí)鐘同步方案

楊利江　劉銀蓮　張偉　李金泉

摘要：隨著化工企業(yè)自動(dòng)化程度提升，信息設(shè)備逐漸增多，化工生產(chǎn)車間環(huán)境惡劣，伴隨高溫、電磁干擾、震動(dòng)等因素造成設(shè)備振蕩器提前老化，對(duì)自動(dòng)控制系統(tǒng)運(yùn)行的準(zhǔn)確性與及時(shí)性造成影響。視頻監(jiān)控系統(tǒng)錄像回放時(shí)間戳與真實(shí)發(fā)生時(shí)間不一致。如何解決企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、視頻監(jiān)控系統(tǒng)的時(shí)鐘運(yùn)行精確度，是當(dāng)前必須解決的問題。

關(guān)鍵詞：工控網(wǎng)；時(shí)鐘同步；NTP

1.引言

大型化工企業(yè)都有內(nèi)部局域網(wǎng)絡(luò)、生產(chǎn)自控網(wǎng)絡(luò)和視頻監(jiān)控網(wǎng)絡(luò)。由于生產(chǎn)企業(yè)的特殊性，很多設(shè)備長年暴漏在戶外和生產(chǎn)環(huán)境，內(nèi)部元器飽受溫濕度、化學(xué)腐蝕、電磁干擾等因素影響，隨著時(shí)間累計(jì)，振蕩器運(yùn)行出現(xiàn)偏差，影響到生產(chǎn)管理系統(tǒng)與自控系統(tǒng)通信一致性，自控系統(tǒng)內(nèi)部容易發(fā)生設(shè)備運(yùn)行異常狀況，影響到數(shù)據(jù)分析結(jié)果，甚至造成生產(chǎn)事故發(fā)生，從而給企業(yè)經(jīng)營造成損失。

另一方面，大型化工企業(yè)各種檢測(cè)、監(jiān)測(cè)設(shè)備安裝地點(diǎn)分散，有高空假設(shè)的、管道井內(nèi)的、高速旋轉(zhuǎn)設(shè)備的、高溫高壓等設(shè)備，現(xiàn)場(chǎng)人工操作難度大。個(gè)別企業(yè)受條件限制，無法采用GPS或其他無線授時(shí)系統(tǒng)。如何在有限的條件下解決企業(yè)內(nèi)部網(wǎng)絡(luò)及設(shè)備時(shí)鐘同步，提升企業(yè)生產(chǎn)效率、降低維護(hù)成本。本文針對(duì)目前大多數(shù)企業(yè)面臨的現(xiàn)狀，給出了一套簡單易行的局域網(wǎng)時(shí)鐘授時(shí)方案。

2.名詞解釋

以太網(wǎng)：以太網(wǎng)（Ethernet）是由Xerox、Intel和DEC公司聯(lián)合開發(fā)的基帶局域網(wǎng)規(guī)范，是現(xiàn)在使用最廣泛的局域網(wǎng)通信協(xié)議標(biāo)準(zhǔn)。

NTP（Network Time Protocol）網(wǎng)絡(luò)時(shí)間協(xié)議：是用來使網(wǎng)絡(luò)中的各種計(jì)算機(jī)時(shí)間同步的一種協(xié)議。

NTP Server：可以提供時(shí)間校對(duì)服務(wù)的計(jì)算機(jī)設(shè)備。

NTP Client：網(wǎng)絡(luò)中需要時(shí)間校準(zhǔn)的信息設(shè)備。

DNS（Domain Name System）域名系統(tǒng)：網(wǎng)絡(luò)中能夠?qū)⒂蛎虸P地址相互映射的數(shù)據(jù)庫。例如：計(jì)算機(jī)訪問www.baidu.com這個(gè)域名時(shí)，會(huì)自動(dòng)獲取域名對(duì)應(yīng)的IP地址，然后再去訪問這個(gè)IP地址。這么做的目的是因?yàn)橛蛎菼P地址更容易記憶。

DCS（Distributed Control System）分布式控制系統(tǒng)：國內(nèi)稱為集散控制系統(tǒng)，是過程控制級(jí)和過程監(jiān)控級(jí)組成的以通信網(wǎng)絡(luò)為紐帶的多級(jí)計(jì)算機(jī)系統(tǒng)。

3.環(huán)境分析

目前國內(nèi)大型化工企業(yè)的內(nèi)部辦公網(wǎng)絡(luò)、視頻監(jiān)控網(wǎng)絡(luò)、DCS工業(yè)控制網(wǎng)絡(luò)，多數(shù)基于以太網(wǎng)絡(luò)或兼容以太網(wǎng)絡(luò)傳輸協(xié)議。在局域網(wǎng)搭建一臺(tái)NTP Server授時(shí)服務(wù)器，結(jié)合DNS域名解析服務(wù)器，即可解決網(wǎng)絡(luò)內(nèi)部所有設(shè)備的時(shí)鐘同步問題。下面就企業(yè)內(nèi)部常見網(wǎng)絡(luò)進(jìn)行簡要分析：

辦公網(wǎng)絡(luò)：是一個(gè)小范圍的以太網(wǎng)絡(luò)，網(wǎng)內(nèi)設(shè)備主要以計(jì)算機(jī)和交換機(jī)為主。操作系統(tǒng)以Windwos進(jìn)行舉例，可利用Windwos系統(tǒng)自帶的時(shí)鐘同步域名，配合企業(yè)內(nèi)部網(wǎng)絡(luò)的DNS域名解析服務(wù)完成網(wǎng)絡(luò)時(shí)間同步。優(yōu)點(diǎn)是操作簡單，計(jì)算機(jī)設(shè)備無需復(fù)雜設(shè)置即可保證全網(wǎng)時(shí)鐘同步。

視頻監(jiān)控網(wǎng)絡(luò)：近幾年的新設(shè)備組網(wǎng)技術(shù)都兼容以太網(wǎng)絡(luò)協(xié)議，時(shí)鐘同步方案分兩種情況：第一，視頻服務(wù)器不具備時(shí)鐘授時(shí)功能，下級(jí)設(shè)備無法獲取時(shí)間。此種情況，需要將全網(wǎng)設(shè)備的時(shí)鐘獲取地址與搭建的NTP Server保持同步。另一種情況，視頻服務(wù)器具有NTP Server授時(shí)功能，所有下級(jí)設(shè)備也與服務(wù)器時(shí)鐘一致。只要將視頻服務(wù)器時(shí)間獲取地址改為搭建好的NTP Server IP地址即可。

DCS工業(yè)控制網(wǎng)絡(luò)是個(gè)多級(jí)計(jì)算機(jī)組成的通信網(wǎng)絡(luò)，較早的國外系統(tǒng)沒有時(shí)間同步機(jī)制，計(jì)算機(jī)與各控制模塊時(shí)間獨(dú)立運(yùn)行，時(shí)間校準(zhǔn)采用人工操作。近幾年國內(nèi)DCS系統(tǒng)逐步發(fā)展成熟，系統(tǒng)內(nèi)部已具備了時(shí)間同步機(jī)制，但國內(nèi)工業(yè)控制領(lǐng)域還沒有完善的抗攻擊、抗病毒防御能力，DCS網(wǎng)絡(luò)還是一座信息孤島，不能接入互聯(lián)網(wǎng)實(shí)現(xiàn)數(shù)據(jù)共享與分析?；诂F(xiàn)狀，可采取較為安全的邊界隔離方式將DCS系統(tǒng)與企業(yè)內(nèi)部局域網(wǎng)打通，實(shí)現(xiàn)企業(yè)內(nèi)部數(shù)據(jù)抽取、分析、共享，實(shí)現(xiàn)DCS網(wǎng)絡(luò)與企業(yè)局域網(wǎng)時(shí)鐘同步。

4.實(shí)現(xiàn)方法

企業(yè)內(nèi)部辦公網(wǎng)絡(luò)通常采用防火墻作為邊界隔離設(shè)備，核心層防火墻采用不同的訪問控制策略將網(wǎng)絡(luò)分為服務(wù)器區(qū)、安全管理區(qū)、辦公區(qū)、視頻監(jiān)控區(qū)、生產(chǎn)網(wǎng)絡(luò)區(qū)等安全域。NTP Server服務(wù)器和DNS服務(wù)器架設(shè)在安全管理區(qū)，能夠保證設(shè)備抵御網(wǎng)絡(luò)攻擊，也能為各安全域提供信息服務(wù)。核心防火墻開啟NTP Server服務(wù)器端口訪問權(quán)限，為各安全域提供時(shí)鐘同步授時(shí)通道。

為了減少硬件投入成本，NTP Server和DNS可架設(shè)在同一臺(tái)服務(wù)器上。以Windwos系統(tǒng)為例，需開啟NTP Server服務(wù)和本地CMOS時(shí)間作為時(shí)間源。新建DNS正向查找域：time.windows.com、time-a.nist.gov、temi-b.nist.gov、time-nw.nist.gov指向本服務(wù)器的IP地址，到此服務(wù)器端設(shè)置全部完成。

同樣，以Windows系統(tǒng)為例。辦公網(wǎng)絡(luò)計(jì)算機(jī)僅需開啟Windows Time服務(wù)，保持系統(tǒng)自帶的NTP Server服務(wù)地址不變，各計(jì)算機(jī)終端在默認(rèn)的時(shí)間間隔自動(dòng)完成時(shí)鐘同步。

視頻監(jiān)控網(wǎng)絡(luò)作為企業(yè)內(nèi)部局域網(wǎng)的一個(gè)子網(wǎng)，與辦公網(wǎng)進(jìn)行對(duì)接。時(shí)鐘同步配置分兩種情況：（1）視頻服務(wù)器具備向下授時(shí)功能。僅需將視頻服務(wù)器的NTP Server地址設(shè)置為搭建的NTP Server服務(wù)器的IP地址即可。（2）視頻服務(wù)器不具備授時(shí)功能。這種情況，要將視頻網(wǎng)內(nèi)所有攝像機(jī)、硬盤錄像機(jī)、編碼器以及服務(wù)器的NTP Server地址改為自己的NTP Server IP地址。有些視頻設(shè)備還有時(shí)區(qū)設(shè)置，默認(rèn)是0，我們國家需要改成+8，否則時(shí)間同步后，總是相差8個(gè)小時(shí)。

對(duì)于DCS工業(yè)控制網(wǎng)絡(luò)，由于地理區(qū)域分散、建設(shè)時(shí)期跨度大，各生產(chǎn)工房都有獨(dú)立的網(wǎng)絡(luò)和IP地址。從安全角度考慮，需要防御辦公網(wǎng)絡(luò)帶來的攻擊和傳入的病毒。建議網(wǎng)絡(luò)邊界架設(shè)Buffer機(jī)（用于數(shù)據(jù)采集的計(jì)算機(jī)）和邊界防火墻進(jìn)行安全隔離。同時(shí)，使用二級(jí)授時(shí)方案保障網(wǎng)絡(luò)安全。使工程師站—Buffer機(jī)、Buffer機(jī)—防火墻、防火墻—辦公網(wǎng)，三個(gè)網(wǎng)段IP獨(dú)立，Buffer機(jī)通過邊界防火墻NAT轉(zhuǎn)換接入辦公局域網(wǎng)完成時(shí)鐘同步。Buffer機(jī)可安裝網(wǎng)絡(luò)版殺毒軟件與辦公網(wǎng)殺毒服務(wù)器的病毒庫保持同步更新。在Buffer機(jī)的配置上，既要作為NTP Client向上校準(zhǔn)時(shí)間，也要充當(dāng)NTP Server服務(wù)器對(duì)DCS工程師站進(jìn)行授時(shí)，通過工程師站完成整個(gè)DCS網(wǎng)絡(luò)的時(shí)鐘同步。

5.結(jié)束語

本文講述的時(shí)鐘同步方案充分利用了企業(yè)現(xiàn)有條件，避免了大規(guī)模部署GPS授時(shí)系統(tǒng)或其他無線設(shè)備接入帶來的安全隱患，基于企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，拓展了NTP協(xié)議的傳輸范圍。技術(shù)難度低、易實(shí)施，在一定程度上提升了DCS系統(tǒng)和生產(chǎn)控制系統(tǒng)可靠性，能夠準(zhǔn)確還原視頻錄像回放的真實(shí)性。為辦公網(wǎng)絡(luò)審計(jì)系統(tǒng)、打印輸出等系統(tǒng)提供可靠的時(shí)鐘保障。