1 设计说明
本工程设计范围包括以下弱电智能化安防系统:
音视频监控系统
机房工程(含门禁、UPS系统)
背景音乐与应急/公共广播系统系统
周界报警系统
1)视频监控系统:主要对景区内和上山走道、周边区域进行监视,并对主要地方进行视频监控主干道路进行24小时监控;
2)机房工程:对机房进行建设,为核心设备、平台和管理人员提供一个安全、舒适的工作环境;
3)背景音乐与应急/公共广播系统系统:在景区主要出入口区域、走道区域增加广播音箱,方便发布一些寻人消息和广播提示。
4)出入口(门禁)控制管理系统:对主要控制区域设置门禁管理系统,对人员进行管理,防止个别功能区域人防隐患。
5)室外管网工程:主要是弱电系统室外管线敷设,预埋管、电源线、信号线、网线等工作。
6)周界报警系统:主要用于防范景区周界安全,防范景区院内围墙以及景区室内非法人员入侵等安全隐患。
2 总体设计思路
监控项目按照高规模、高起点、科学性、先进性、和实用性相结合的原则进行统一规划设计,并为今后系统功能的扩展留有充分发展余地,具有更好的前瞻性和扩展性。基于上述指导思想:整个安全防范系统的设计就遵循以下原则:
1)安全可靠性
系统设计中应根据其功能、重要性等分别采用冗余、容错等技术,确保系统的长期稳定运行;对系统主要的信息实行自动备份,以保证系统的异常情况的补救,并设有系统自动恢复机制。
2)先进性
从系统集成的观点出发,使信息资源能得到充分、快速的应用,应用目前最先进的高科技手段为小区高效运营加载信息网络服务。
系统在保证稳定可靠的前提下,采用数字化、网络化技术,与新材料、新设备、新能源相结合,体现的主题。
3)成熟性
选用技术上成熟的、具有发展后劲的国际名牌产品。最大限度地满足大厦现在和未来发展的需求,确保实用可靠。
4)开放性
考虑到信息技术的飞速发展,在今后一个相当长时期内仍能满足使用要求,系统的设计应遵循开放式原则,便于升级、换代,随着技术的发展,系统可得到不断的完善和提高。
5)扩展性
本系统在设计时考虑了小区现在应用以及今后的可能扩展和系统的扩容,充分保护系统的投资;应用软件具备一定的开放性,设置扩展接口;系统的设计、开发将采用分布对象技术和方法,以达到系统的合理性、可扩充性和可维护性。
6)标准化
选用的设备应符合国际国内通用标准、以便在不同厂家、不同类型的产品之间实现互联。
7)集成性
充分考虑整个弱电系统各子系统的集成,以便实现集中管理、监测和分散控制,达到信息共享。
8)经济性
在保证实现系统功能,保证系统先进性、可靠性、扩展性的基础上,尽量降低系统的成本造价,做到物美价廉。
9)简便性
系统应满足操作简便,凡与用户交互的界面均具有汉字显示,不必要求使用者有专业的计算机知识,就能使管理人员方便的使用。
10)环保与节能
在设计中充分体现可持续发展的思想,采用世界先进可行的环保技术、最大限度地利用自然通风和自然采光;在节省能源和资源、固体废弃物处理、电磁辐射及光污源的防护、消耗臭氧层物质(ODS)替代产品的应用等方面,树立环保典范。
针对以上设计原则和建设目标,进行系统设计时,应充分考虑了当前技术发展的潮流,并紧密结合我国的实际情况,尤其是充分了解了业主需求,一切以先进、实用、可靠、满足用户需求为本。
3 音视频监控系统
3.1 音视频监控系统概述
本系统采用高清视频监控技术,实现视频图像信息的高清采集、高清编码、高清传输、高清存储、高清显示;系统基于IP网络传输技术,提供视频质量诊断等智能分析技术,实现全网调度、管理及智能化应用,为用户提供一套“高清化、网络化、智能化”的视频图像监控系统,满足用户在视频图像业务应用中日益迫切的需求。
1) 前端设备均采用高清IPC,从而实现高清视频采集,同时为满足前端多种应用场景的不同需求,推荐不同类型、不同功能的IPC;
2) 采用磁盘阵列存储模式对实时视频进行分布式存储,实现存储系统的高可靠、高性价比;
3) 部署模块化、集成化的视频综合平台,结合高清显示大屏实现视频图像、电脑信号的上墙显示、拼接控制等功能;同时视频综合平台还配置服务器板卡,为部署平台软件提供必要环境,实现软硬件一体化;
4) 建立统一的视频信息管理应用平台,实现对系统的统一管理;同时引入视频质量诊断技术,保障系统稳定运行。
3.2 视频监控系统建设原则和标准
视频监控系统结构原理分析
整个方案从逻辑上可分为视频前端系统、传输网络、监控中心和应用管理平台四部分内容,视频存储、视频解码拼控和大屏显示等内容在监控中心部分进行设计。下图为系统拓扑图:
图1. 系统逻辑结构图
图2. 系统物理结构图
1)视频前端部分:前端支持多种类型的摄像机接入,本方案配置高清网络枪机、高清网络半球摄像机、高速智能球机、人脸摄像机等,前端网络摄像机将采集的网络数字信号,按照标准的音视频编码格式及标准的通信协议,可直接接入网络并进行视频图像的传输。
2)传输网络部分:传输网络部分主要是对前端接入到核心交换机之间的网络进行设计,前端系统通过光纤网络交换机将新建前端网络高清摄像机信号汇聚到中心的核心交换机,监控中心端的接入交换机负责PC工作站和磁盘阵列存储等设备的接入。
3)监控中心部分:监控中心采用磁盘阵列将高清视频图像进行存储,解决数据落地问题;配置视频综合平台,完成视频的解码解码、拼接;监控中心部署LCD大屏用来将视频进行上墙显示等。系统可将模拟摄像机、网络摄像机和数字摄像机都接入到视频综合平台,实现统一的管理平台、统一的切换控制系统和统一的显示系统,实现对整个系统的统一配置和管理。
4)平台部分:应用管理平台部署在视频综合平台的服务器板卡上,形成一体化的配置,应用管理平台可以对高清视频和用户进行统一管控,并且配置PC工作站进行预览、回放、下载等操作。
视频监控系统建设原则和标准
视频安防系统是本次监控项目弱电系统的基础设施,其设计必须满足当前各项需求应用,又面向未来快速增长的发展需求,因此必须是高质量的、高安全可靠灵活的、开放的。我们在进行设计时,遵循以下设计原则:
1) 系统具备高可靠性、高开放性的特征:通过采用业内成熟、主流的设备来提高系统可靠性,尤其是录像存储的稳定性,另外系统可接入其他厂家的摄像机、编码器、控制器等设备,能与其他厂家的平台无缝对接;
2) 具备高智能化、低码流的特征:运用智能分析、带有智能功能的摄像机等提高系统智能化水平,同时通过先进的编码技术降低视频码流,减少存储成本和网络成本,减弱对网络的依赖性,提高视频预览的流畅度;
3) 具备快速部署、及时维护的特征:通过采用高集成化、模块化设计的设备提高系统部署效率,减少系统调试周期,系统能及时发现前端监控系统的故障并及时告警,快速相应;
4) 具备高度整合、充分利旧的特征:新建系统能与原有系统高度整合、无缝对接,能充分利用原有监控资源,避免前期投资的浪费。
在本工程中,视频监控系统的建设标准达到地方行业标准。
3.3 视频前端部分
系统需求
本次监控项目设计要求如下:
摄像头的布设原则:视频监控系统以公共防范区域、重点防范部位为防范设计准则。在景区周界,主要过道、出入口及主干道路等主要部位安装适合不同部位特点的摄像机。
前端摄像监控点要求在静态图像时无死角,满足全方位监控要求。
监控系统具有以下的基本功能:监控录像功能;图像切换显示功能。
图像效果的要求:为了达到录像取证的效果,每台监视器所切换的画面清晰度及录像回放质量都要达到国家标准,主观评价不低于5级损伤制标准的“四级”的要求,黑白图像质量不低于10级灰度等级标准的8级。
需具备人脸检测、区域入侵检测、越界检测、进入区域、离开区域、徘徊、人员聚集、逆行、场景变更、音频异常等功能。
摄像机数量与选型的要求:摄像机的选型,要与现场环境和照度适应,满足24小时昼夜监控需要。摄像机的使用数量,应以符合风险等级和设计规范要求为准。从优化设计出发,在充分考虑性价比的前提下,确定各类摄像机的使用量。
所以摄像机的图像要求全部实时记录,动态录像资料保存期不少于30天。
系统设计应具有功能扩展、容量扩展功能,并为今后的发展留有扩容余地,同时具备联网、防破坏、设备自检功能。
3.4 传输网络部分
3.4.1 系统需求
监控传输网络系统主要作用是接入各类监控资源,为中心管理平台的各项应用提供基础保障,能够更好的服务于各类用户。网络结构如下图所示:
核心层
数据中心核心网
核心层主要设备是核心交换机,作为整个网络的大脑,核心交换机的配置性能较高。目前核心交换机一般都具备双电源、双引擎,故核心交换机一般不采用双核心交换机部署方式,但是对与核心交换机的背板带宽及处理能力要求较高。
接入层
前端视频资源接入
前端网络采用独立的IP地址网段,完成对前端多只监控设备的互联。前端视频资源通过IP传输网络接入监控中心或者数据机房进行汇聚。
用户接入
对于用户端接入交换机部分,需要增加相应的用户接入交换机,提供用户上网服务。监控中心部署接入交换机,通过万兆/千兆光纤链路接入到传输网络中。保证监控中心解码器及客户端的正常适用。
3.4.2 设计要求
网络的整体设计不仅关系到整个网络系统的性能,还涉及到未来网络系统如何有效地与新技术接轨以及系统的平滑升级等问题。本系统立足于满足高清视频接入、转发、存储、解码等需求,同时选择适合的有发展前途的网络技术,充分满足未来五年监控系统业务的需求。因此首先对监控系统网络的建网思路做一个整体规划,监控网络系统应考虑如下几个方面:
1)网络传输协议要求
系统网络层应支持 IP 协议,传输层应支持TCP 和UDP 协议。
2)媒体传输协议要求
视音频流在基于IP的网络上传输时应支持RTP/RTCP协议;视音频流的数据封装格式应符合标准要求。
3)信息传输延迟时间
当信息(包括视音频信息、控制信息及报警信息等)经由IP网络传输时,端到端的信息延迟时间(包括发送端信息采集、编码、网络传输、信息接收端解码、显示等过程所经历的时间)应满足要求: 前端设备与信号直接接入的监控中心相应设备间端到端的信息延迟时间应不大于2s。
前端设备与用户终端设备间端到端的信息延迟时间应不大于4s。
4)网络传输带宽
联网系统网络带宽设计满足前端设备接入监控中心、监控中心互联、用户终端接入监控中心的带宽要求,并留有余量。
核心层交换机到接入交换机的网络采用光模块来传输,带宽需达到千兆以上,原有带宽未达到要求的,增加带宽
5)网络传输质量
联网系统IP网络的传输质量(如传输时延、包丢失率、包误差率、虚假包率等)应符合如下要求:
网络时延上限值为 400ms;
时延抖动上限值为 50ms;
丢包率上限值为1×10-3;
包误差率上限值为1×10-4。
6)网络设备可靠性
网络设备的可靠性主要通过关键部件冗余备份、设备冗余备份、传输告警抑制和快速链路故障检测来进行保障。
关键部件冗余备份是指网络设备提供主控、电源等关键部件的1+1冗余备份;另外系统各单板及电源、风扇模块均具有热插拔功能。这些设计使得设备或网络出现严重异常时,系统能够快速地恢复和作出反应,从而提高系统的平均无故障运行时间,尽可能地降低不可靠因素对正常业务的影响。
设备冗余备份是指通过双机虚拟化或虚拟路由器冗余协议等方式实现网络设备的冗余备份。一旦出现设备不可用的情况,可提供动态的故障转移机制,允许网络系统继续正常工作。
传输告警抑制是指对告警进行过滤和抑制,避免网络频繁振荡,因为当接口启动快速检测功能后,告警信息上报速度加快,会引起接口的物理层状态频繁在Up和Down之间切换。
快速链路故障检测是一套全网统一的检测机制,用于快速检测、监控网络中链路或者IP路由的转发连通状况。
3.5 监控中心部分
3.5.1 系统需求
监控中心是整个视频监控系统的核心,实现视频图像资源的汇聚,并对视频图像资源进行统一管理和调度。其中,磁盘阵列实现视频图像资源的存储及调用,并且通过N+1冗余模式,确保录像资源的可靠稳定;视频综合平台完成视频解码上墙和图像的拼接控制,同时其在硬件层面支撑管理平台,并通过网络键盘进行视频切换和控制,通过高清大屏对高清视频进行精彩展现。
监控中心建设内容具体包括视频存储子系统、视频解码拼控子系统、大屏显示子系统、平台管理软件等。
3.5.2 系统结构
监控中心系统结构图如下图:
1)存储子系统
存储子系统采用磁盘阵列的存储模式,通过N+1冗余方式,实现对视频的存储,提高了系统的可靠性。其中IPC不与平台直接对接,而是先接入磁盘阵列,再通过磁盘阵列接入平台。IPC与磁盘阵列之间实现了直接对接,而直接对接模式一般采用底层协议而非SDK方式,更有利于提高接入效率。磁盘阵列直接获取IPC的音视频直接存在本机上,实现视频直存。
视频存储系统结构设计及视频流向如下图所示:
存储空间计算
在计算存储空间时需先计算出所有路数存储一定的时间所需的存储总空间,用总路数乘以每路码流大小,再乘以总的存储时间即可算出总的存储空间,在计算过程中保持单位的一致性。本项目保证录像时间达到30天;
2)解码拼控子系统
解码拼控子系统主要是以解码、控制、拼控等功能集于一体的视频综合平台来进行设计,满足解码拼控等功能。
视频综合平台集所有控制解码设备于一体,参考ATCA ( Advanced Telecommunications Computing Architecture 高级电信计算架构)标准设计,支持模拟及数字视频的矩阵切换、视频图像行为分析、视音频编解码、集中存储管理、网络实时预览、视频拼接上墙等功能,是一款集图像处理、网络功能、日志管理、用户和权限管理、设备维护于一体的电信级视频综合处理交换平台,解码拼控子系统采用视频综合各平台,性能强大,集成度高。
3)大屏显示子系统
大屏幕显示子系统建设的总体目标是:系统充分考虑到先进性、可靠性、经济性、可扩充性和可维护性等原则,建成一套采用先进成熟的技术、遵循布局设计优良、设备应用合理、界面友好简便、功能有序实用、升级扩展性好的液晶大屏幕拼接系统,以达到满足大屏幕图像和数据显示的需求。
大屏显示子系统不仅包含用来视频图像显示的大屏显示部分,还包括解码控制等产品。
图3. 大屏系统结构图
整个大屏系统可以分为以下几个部分:
前端信号接入部分:大屏显示子系统支持各类型信号的接入,如模拟摄像机、高清数字摄像机网络摄像机等信号,除接入远端摄像机之外还能接入本地的VGA信号及DVD信号以及有线电视信号等,满足用户所有信号类型的接入。
解码、控制部分:前端摄像机信号接入视频综合平台之后,可由视频综合平台对各种信号进行解码或控制,并输出到大屏显示屏幕上,并可通过在控制主机上安装的拼接控制软件实现对整个大屏显示系统的控制与操作,实现上墙显示信号的选择与控制。
上墙显示部分:上墙显示部分是由LCD、DLP或监视器等组合而成的显示墙,对视频综合平台传输的视频信号进行上墙显示,大屏显示系统支持BNC信号、VGA信号、DVI信号、HDMI信号等多种信号的接入显示,通过控制软件对已选择需要上墙显示的信号进行显示。
4)平台管理软件
由于视频综合平台是整个系统核心,包括流媒体服务器也部署在内,所以核心交换机到视频综合平台之间的网络承载的压力很大。为了保证整体系统稳定高效,设计采用链路汇聚(LACP)功能,在核心交换机和视频综合平台间用两条千兆网线连接,并进行设置。
3.6 管理平台部分
1)平台介绍
综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动。以电子地图为载体,融合各系统能力实现丰富的智能应用。平台基于“统一软件技术架构”先进理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、统一配置、统一管理和统一调度。
需求分析
子系统的融合
信息孤岛问题一直是困扰客户的最大难题,如果能够将各接入子系统看作是平台的管理模块,实现平台的统一管理、各接入子系统的协调运行,进行整套系统的有机结合,才符合客户的真正期望。
智能化的运行管理
庞大的系统建设随之带来的就是运维的人员成本增加;同时也会影响系统的使用,直接导致使用效率低下;另一方面,随着行业技术的进一步发展,平台的智能化运行管理应用越来越被客户认可,已成为行业的一种趋势。
业务能力平滑扩展
以往一般通过在平台中增加功能模块,或依赖于一个平台去接入其它业务系统。由于整体的复用性较差,带来了相当高的开发维护成本。同时,也影响了产品品质,已经越来越不能适应发展需要。
智能化的应用
安防产品“智能化”的概念提出多年,传统的图像识别和图像处理算法仍然存在着识别准确率低、环境适应性差、识别种类少等问题,严重限制了智能应用的普及。
开放的对接模式
项目运作中,经常会遇到不同品牌之间的合作共建一套智能化弱电系统。第三方业务系统的数据交互、资源共享等问题成为系统集成的一个瓶颈,平台的集成与被集成成为难题,客户希望得到一个非常顺畅的资源交互环境。
平台目标
子系统统一集成
平台对各子系统进行统一的管理和控制,实现将分散的、相互独立的子系统用相同的环境、相同的软件界面进行集中管理。提供人员、组织、资源等基础数据的统一管理,保证同一个物理资源在一个产品或者多个产品中的唯一性,可关联并实现一处录入多处使用,为产品互相集成提供机制保障。
平台运行统一监控
平台运行管理中心,给系统交付及维护人员提供一站式安装、运行、维护的服务。通过运行管理中心,可实时获知软件的运行状态,根据运管中心提供的信息方便地定位并解决问题,保障系统的正常运行。
业务弹性扩展
平台基于组件化设计,以新增组件的方式满足业务的横向扩展。只需在一套软件下通过增加相应的业务组件即可实现复杂项目的需求,避免以往一个项目部署多套平台的冗杂情况,彻底解决一线人员的痛点。
智能化的应用
平台以各类功能与应用整合和集成为核心,实现单纯的图像监控向基于深度学习算法的车牌识别、人脸识别等智能应用领域的广泛拓展与延伸。
应用接口开放
平台基于软件集成框架和统一规范,通过Web Service及http接口提供基础服务,实现应用接口的开放,支持第三方应用快速集成,接口遵循RESTful规范。平台通过动态新增设备接入驱动,实现对第三方设备的接入。
平台设计
设计原则
组件化
统一软件技术架构以组件化方式构成产品,综合安防管理平台集成了消息中间件、数据库服务、分布式缓存、应用容器、事件分发、流媒体转发、设备接入、存储接入、短信接入、邮件接入等各类服务,由各个组件承载相关服务能力,提供平台及支撑组件的各种功能需求。
综合安防管理平台业务组件主要包括:视频监控、门禁管理、停车场、入侵报警、行车监控、考勤管理、食堂消费管理、梯控、可视对讲、访客管理、巡更、人脸监控、图上监控、电视墙、网络管理、安保区域管理、安保用户管理、安保基础数据、安保区域管理,各组件间可以方便的根据自身功能需要相互调用,功能的复用同时也完善了自身的能力。
可深缩性
综合安防管理平台根据项目规模和应用场景,设计时考虑了各服务的水平扩展能力,尤其是设备接入、流分发、流存储、事件、数据库等关键服务。系统容易出现的性能瓶颈的问题点,考虑到这些状况,综合安防管理平台采用分布式设计,平台可根据物理服务器资源及服务容量情况,将平台内组件独立部署到不同服务器,提升组件的可用物理资源,提升其容量及稳定性。并且对于部分关键服务比如媒体网关(负责媒体转发),通过部署集群,以支持大规模大带宽要求的流媒体转发。
对于业务体量小或者资源缩容的情况,也可将服务重新部署到少量的服务器或者部署到单台服务器中。满足根据业务动态调整资源容量的需要。
同时还采用各种技术支持对大规模应用,采用反向代理、分布式缓存、websocket协议、事件分发机制等技术来提升响应速度、减少各环节交互的性能损失,提高系统运行流畅度。
可维护性
综合安防管理平台界面设计人性化,采用B/S管理、C/S操作模式、APP辅助,使系统管理和维护更方便快捷,无论是系统管理中,对各业务的参数配置管理;运维管理中,对系统各服务参数配置;还是对前端监控的远程控制、检索、回放录像资料、日志查询等都通过WEB方式来完成,界面交互友好,能够让用户快速掌握操作方式,并同时支持桌面应用和移动应用。
平台自带运行管理中心,提供服务运行监控,日志采集、告警,运行参数调整等各类平台运维功能,并且支持将掉线的服务自动远程控制启动,或者通过界面人工触发重启或者停止服务,方便平台使用的运行维护。
多层次的安全设计
综合安防管理平台从设备、网络、主机、数据、应用多个层面考虑各类安全防护点并采用多种安全控制策略。
设备层面:访问存储设备、前端设备等各类设备均需通过设备的身份认证才能访问。
网络层面:访问平台支持https访问,敏感数据传输统一经过安全认可的加密方式加密后传输,对非本地局域网的外网通过映射少量端口即可访问平台。
主机层面:通过操作系统防火墙控制非平台使用端口的访问。
数据层面:针对敏感数据,尤其像是密码数据无明文落地,数据加密满足当前业界安全要求的加密标准,产品开发过程中禁止组件使用过时不安全的加密算法。
应用层面:服务端的调用有IP白名单控制,禁止陌生不受信服务器访问平台服务;产品设计中提供统一的用户身份认证、服务接口访问认证,要求用户页面需要登录认证,服务接口调用需要服务接口认证;并且用户登录密码数据采用防篡改及不可逆算法进行加密,防止密码泄露及被篡改风险。
可扩展性
综合安防管理平台组件化设计,组件分为业务(可分为行业业务组件、共性业务组件)、通用服务、基础环境多层架构,平台包含这几层组件,可对每一层面组件进行能力扩充,通过对已有组件进行升级扩展能力,或者通过新增组件扩展能力,以此来支持平台自身规模扩展或功能扩展。
平台支持扩展包机制,可通过扩展包进行组件能力调整或者能力扩展;平台支持组件运行过程中安装或者卸载,满足平台不同时期的不同能力需求及资源充分利用率。
综合安防管理平台为通用综合安防产品,对于行业综合安防产品可在综合安防产品基础上开发行业业务组件,结合从通用综合安防产品中裁剪掉行业综合安防产品不需要的组件,组合构建成行业综合安防产品。
高兼容性
综合安防管理平台对前端接入设备的兼容能力:全面兼容全系列海康、大华等国内主流厂商监控设备,平台支持ONVIF设备接入,兼容国内外主流的报警主机:Bosch、Honeywell等,而且通过设备厂商提供稳定的SDK与主流协议,兼容SONY、Samsung、Axis等多个厂商设备。
支持多架构组合
综合安防管理平台满足模数混合架构(摄像机-编码器-CVR/云存储、摄像机-硬盘录像机)、纯数字架构(网络摄像机-CVR/NVR/云存储)等不同的架构方式,满足安防系统的实际应用需求。
1) 模数混合监控架构
前端采用模拟摄像机,经过编码器编码后通过网络传输,在集中存储服务器中或者云存储进行统一存储,或者直接通过DVR进行编码和存储。或采用模拟摄像机与网络数字摄像机并存模式。
2) 纯数字监控架构
前端采用高清网络摄像机或者标清网络摄像机作为图像采集和数字化编码,经过网络传输,采用NVR进行分布式存储或者采用CVR、云存储等中心存储设备进行集中存储。
设计标准
《公共安全视频监控联网系统 信息传输、交换、控制技术要求》GB/T 28181-2016
《智能建筑设计标准》GB/T50314-2015
《安全防范工程技术规范》GB50348—2018
《信息技术互连国际标准》ISO/IEC11801-95
《计算机软件开发规范》GB8566
平台架构
业务架构
图4. 业务架构图
综合安防管理平台采用组件架构,每个组件承担不同能力,从能力上分为共性业务组件、通用服务组件、基础环境组件。
上图可以看到,业务整体分为:视频监控业务、一卡通业务、车辆管控业务、报警检测业务、综合管控和系统管理,每类业务由各自领域的组件组合而成。业务组件依赖通用服务组件及基础环境组件的能力。
逻辑架构
图5. 逻辑架构图
通过门户、客户端、移动客户端可以访问平台,上图中可以看到,门户为web集成框架,集成各web组件提供的菜单界面;客户端基于客户端框架实现,通过客户端框架集成多个客户端组件形成完整的客户端;移动客户端基于移动客户端框架实现,通过移动客户端集成多个移动客户端组件形成移动端应用。业务组件基于核心服务和系统管理及通用服务、基础环境的能力实现自身业务能力。各组件提供接口进行功能调用。
各类设备由设备接入框架、智能接入框架接入,运行管理中心提供平台运维能力。
数据架构
图6. 数据架构图
上图所示,平台包含结构化的业务数据、资源数据、录像数据、图片数据及缓存;业务数据存储在PostgreSQL中,资源数据存储在目录服务(LDAP)中,录像数据存储在NVR、CVR、云存储中,图片数据存储在asw组件(存储接入服务)中,部分高热访问数据存储在redis缓存中。
组件都是独立数据库设计,方便组件后续升级、迁移、扩容及维护。
部署架构
平台物理架构,实际物理部署可按组件独立拆分部署,支持内外网访问平台。
图7. 部署架构图-单机部署
上图为平台单机部署场景,平台可按组件维度进行拆分部署。从图中可以看,拆分可以将数据库独立部署到独立服务器,可以将tomcat容器中的组件拆分部署到独立服务器,也可以将设备接入框架、媒体网关、视频点播、级联网关等组件独立部署到其它服务器,还可以将核心服务单独部署。
支持多线路访问平台,支持的场景有:支持用户的浏览器、客户端、移动客户端都在平台外部网域;支持设备在外部网络访问平台。
平台只需开放少量端口既可以支持外部访问平台的要求。
平台网络拓扑参考如下:
图8. 部署架构图-单机部署
2)平台模块
综合管控
综合管控组件提供丰富的业务联动和集成应用,用于事件的监控、检索、查看,支持基于电子地图的图上监控以及基于人脸识别技术的智能应用。
视频监控
平台视频监控系统通过对前端编码设备、后端存储设备、中心传输显示设备、解码设备的集中管理和业务配置,提供视频监控、录像回放、解码上墙、图片查询等应用。
一卡通
一卡通业务包括门禁管理组件、人员发卡组件、梯控组件、可视对讲组件、访客管理组件、考勤管理组件、巡更组件、食堂消费管理组件,利用卡片、人脸、指纹等媒介,实现身份识别、出入管控、巡更、考勤、食堂消费等智能应用。采用B/S架构配置、C/S架构控制结合的方式对资源、卡片、人员、权限等进行一体化管理,实现设备接入、业务配置和功能应用。以中心、区域为单位实现了物理概念与逻辑概念的巧妙融合,从而在满足用户对出入口安全需求的同时,给予统一、集中、系统化管理的解决方案。
车辆管控
利用车牌识别、GPS定位、雷达测速等技术,实现车辆的停车收费管理、行车全程监控、园区测速布控。采用B/S架构配置、C/S架构控制结合的方式实现设备接入、业务配置和功能应用。
报警检测
报警检测通过接入报警主机和动环主机,配合各种探测器和传感器,对区域进行布防和对环境量监控。平台采用B/S架构配置、C/S架构控制结合的方式,通过报警设备和动环设备的接入,实现防区的入侵报警和机房的动环监控。
入侵报警
入侵报警通过报警主机和探测器配合平台组成报警系统,对防区进行布防,探测器检测到入侵行为后通过报警主机上报到平台,便于用户对防区内的入侵行为和意外事件迅速感知和高效处理,保护用户生命财产安全,实现探测、上报、处警等功能的一个即时防范系统。
动环监控
动环监控通过传感器采集并记录温湿度、电压、扬尘等环境数据,并支持阈值设置进行告警,对机房内的动力设备和环境进行实时检测和故障侦测,并通知人员处理,进行遥控、遥调操作,实现机房的少人、无人值守,提升机房的自动化管理水平,让用户可以对机房中的动力设备及环境量进行集中管控。
网络管理
网络管理提供对视频设备状态巡检、录像监控、视频诊断、告警查询,以及门禁设备的状态巡检,实现对视频监控系统和门禁系统的可视、可控、可管理,提升故障发现、处置效率,保证视频、门禁系统的可靠运行,实现对视频、门禁设备“全天候、全过程、全方位”的集中监控、集中展现、集中维护。
系统管理
系统管理实现对安保基础数据(人员/组织/车辆)、用户权限、安保区域、设备管理、综合管控配置、视频监控配置、一卡通配置、车辆管控配置、报警检测配置、网络管理配置、高级参数配置、界面配置等配置操作进行集中管理。
平台关键技术
组件化
组件化提高了产品的能力复用,可通过组件复用的方式提供其它产品或者功能使用该能力,并且可以复用到各个行业。组件由熟悉该领域的专人团队开发和维护,能提供更优的领域解决方案,并提高研发及问题修复效率。
组件化对产品能力的扩展有先天性的优势,动态的增加组件即可满足能力的扩展需要,只需花费少量的产品打包调整成本。
组件开发引入的带来的难点:多个组件涉及到集成问题;另外多个组件由不同的服务提供能力,各组件有各自独立的数据库,彼此隔离,数据一致性及接口调用会变复杂,需要更多的逻辑处理异常情况,增加了程序逻辑复杂度。
分布式
产品采用分布式技术,通过将产品分布式化,采用多服务部署形式,增强产品在大型应用场景下的系统容量及性能扩展,同时分布式部署能显著提升服务可用率,减小单点故障影响整个平台的可用性。
产品中多服务也支持部署在同一台服务器上,能适应小型业务场景部署要求,提高了产品适应能力。
产品将性能要求高,负载压力大的服务独立出来,能提升服务自身的可用性,同时也能减少自身的处理性能及压力给其它服务带来的影响。
统一资源模型
根据公司内各行业的资源数据特征,设计统一通用模型,满足各业务场景使用,并且支持扩展资源属性。统一人、组织、区域、车辆等资源模型,方便海康自研软件产品集成及数据交换,对第三方集成及数据使用,提供了统一标准。
约定统一的资源目录,资源存取按照规范约定,减少资源集成过程中的各种重复确认。
单点登录
产品由多个组件构成,访问组件功能需要进行身份认证,产品支持单点登录,一次登录多处使用,方便用户使用。
支持WEB端、客户端、移动端登录访问系统。
支持第三方系统登录对接。
完善的安全性
平台默认使用https访问,通过授信证书,降低恶意中间人服务劫持安全风险,并且https加密传输保护信息明文传输过程中数据嗅探带来的信息泄漏。
通过代理访问平台,并且配置符合安全要求的加密算法访问,减少内部服务端口直接对外暴露,提高服务安全性。
服务只响应守信IP的访问,防御对于跨站点攻击,及非授信服务器的恶意访问。
各组件存储独立加密,秘钥各自保管,互相隔离,即使少量组件安全秘钥攻破也不影响其它组件存储数据的安全性。
用户密码等高敏感安全数据,存储采用防篡改及不可逆加密算法,保障原始密码的安全及不可篡改。
前端到后端请求,敏感说明传输采用https的同时,使用非对称加密算法进行数据加密后传输,进一步保障数据传输的安全性。
秘钥存储使用公司的安全盒子进行加密存储管理。
平台访问存储、访问设备时采用各自的安全认证进行访问。
产品运维一体化
产品提供配套运维系统(运行管理中心),支持监控服务器状态,服务运行状态,对异常状态的服务器或者服务发出告警,对于掉线的服务尝试进行启动。
支持远程界面配置服务运行参数,并且界面支持重启服务生效,减少人工去服务器手工修改配置文件及手工停启服务。支持自动采集及清理日志,减少人工清理日志、方便日志查询。
界面支持组件安装、卸载、打补丁包、资源包的更新。
支持多线路配置、校时配置及手工添加服务,授权文件导入及反激活。
支持系统数据的备份及还原,以及定期自动备份。
提供知识库查询解决常规平台问题,及提供平台菜单管理。
数据存储技术
平台提供多种视频存储方式:前端设备存储、嵌入式服务器存储以、CVR存储及云存储,多种存储方式可并存。海康阵列也内置CVR服务器,调取底层sdk直接取流存储,节省硬件服务器,且可以更好的满足视频子系统7*24小时不间断运行的需求。
平台图片数据存入asw组件(存储接入服务),支持可覆盖的存储及不可覆盖的存储配置。
平台业务结构化数据统一存入关系数据库中,方便增删改查等各类关系数据操作。
平台资源数据集中存储在目录服务(LDAP)中,提供直观的树形结构,方便查询及共享。
多线路
平台通过多线路配置,能够适应多局域网、公网混合,含有防火墙、网关、网闸隔离的物理网络;亦能适应跨多个隔离网域的更复杂情况。支持端(浏览器、客户端、移动端)、设备在不同的线路访问平台。
网域隔离
多网域多线路
平台安全性
存储加密
1)敏感数据(设备密码)采用AES对称加密256位加密方案;
2)用户密码采用基于HMAC的SHA256加盐值算法获取摘要信息;
传输加密
1)服务接口调用采用DH共享秘钥交换加密传输;
2)外部网络或者公网web请求采用https传输;
3)WEB页面到服务端敏感数据采用RSA非对称加密2048位加密方案;
身份认证
1)人对机安全认证:
访问平台:登录用户身份认证,密码输入错误3次增加验证码;
访问设备:设备用户名加密码认证;
2)机对机安全认证:
服务接口调用认证:采用token认证,采用基于HMAC算法生成认证token;
4 机房工程(含门禁、UPS系统)
4.1 中控机房工程概述
主控控制中心机房场地环境系统建设是融合了电力、空调、装修和安全等多方面的综合设计和施工的系统化、科学化的工程。主控机房内部设备的整体规划工程的目标不仅是要为机房工作人员提供一个舒适而良好的工作环境,更是必须保证计算机设备、存储设备等高级设备能长期而可靠地运行。
主控机房建设包括基础装修装修工程、配电工程、防雷防静电与电子屏蔽工程、安全防范工程及辅助线路设计等部分。
中控机房建设的预期目标:
(1)集成系统的节能化考虑,新技术的应用,以节约日后的运行成本;
(2)合理的信息路由结构设计,以防止可能造成系统互联的阻塞;
(3)机构紧密的供配电设计,以减少网络设备的电磁干扰;
(4)要体现出作为重要信息会聚地的室内空间特点,在充分考虑网络系统、空调系统、UPS系统等设备的安全性、先进性的前提下,达到美观、大方的风格,有现代感。
(5)机房环境要做到简明、淡雅、柔和,并充分考虑环保因素,有利于工作人员的自身健康。
4.2 机房工程建设原则和标准
主控控制中心机房是监控项目弱电系统的基础设施,其设计必须满足当前各项需求应用,又面向未来快速增长的发展需求,因此必须是高质量的、高安全可靠灵活的、开放的。我们在进行设计时,遵循以下设计原则:
1)实用性和先进性:
采用先进成熟的技术和设备,满足当前的需求,兼顾未来的业务需求,尽可能采用最先进的技术、设备和材料,以适应高速的数据传输需要,使整个系统在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来信息产业业务的发展和技术升级的需要。
2)安全可靠性:
为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对主控控制中心机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施提高机房的安全可靠性。
3)灵活性与可扩展性:
主控控制中心机房必须具有良好的灵活性与可扩展性,能够根据今后业务不断深入发展的需要,扩大设备容量和提高用户数量和质量的功能。具备支持多种网络传输、多种物理接口的能力,提供技术升级、设备更新的灵活性。
4)标准化:
主控控制中心机房系统的结构设计,基于国际标准和国家颁布的有关标准,包括各种建筑、机房设计标准,电力电气保障标准以及计算机局域网、广域网标准,坚持统一规范的原则,从而为未来的业务发展,设备增容奠定基础。
5)工程的可分期性:
在该项目设计中,控制中心机房的工程和设备都为模块化结构,相当于将该工程分期实施,而各期工程可以无缝结合,不造成重复施工和浪费。
6)经济性/投资保护:
应以较高的性能价格比构建主控机房,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
7)可管理性:
由于主控控制中心机房具有一定复杂性,随着业务的不断发展,管理的任务必定会日益繁重。所以在主控机房的设计中,必须建立一套全面、完善的机房管理和监控系统。所选用的设备应具有智能化,可管理的功能,同时采用先进的管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个电脑机房的运行状况,实时灯光、语音报警,实时事件记录,这样可以迅速确定故障,提高的运行性能、可靠性,简化机房管理人员的维护工作,从而为其数据中心机房安全、可靠的运行提供最有力的保障。
主控机房是集电气、安装、网络、通信等多个方面于一体,控制中心机房设计与施工的优劣直接关系到机房内设备是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。由于主控机房的环境必须满足计算机等各种设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。所以,一个合格的现代化主控机房,应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。
控制中心机房建设包括供配电、空调系统、视频监控等部分,应分别根据国家标准及行业标准设计和施工;
主控机房设置在景区的专用房间, 在防盗安全门口设置出入控制读卡器以识别身份,防止无关人员闯入。另外在门前通道安装入侵探测器,并安装摄像机进行图像复核,以确保中心控制室值班人员的安全;
安防中心配备专用的空调,以保证室内环境温度和相对湿度符合标准,满足控制系统使用要求:室内温度一般保持在16-30ºC、相对湿度30-75%,新鲜空气的补充要保持10%左右;
敷设抗静电地板,以防止静电对系统设备的损害;设置专门的地线连接之控制台,接地电阻小于4欧姆;
依据相关用电标准规范,电源功率应≧1.5倍系统总功率。根据系统的用电负荷:本工程系统中心控制设备采用分别统一供电方式,电源选用10KVA UPS不间断电源,在线延时1小时;
在本工程中,主控控制中心机房的建设标准为国家级中等标准机房建设。
门禁管理系统1套。
5 背景音乐与应急/公共广播系统
5.1 背景音乐与应急
为了提高景区的公共环境打造轻松休闲的氛围,满足现代化景区多样化使用需求,现拟在景区的公共区域设计安装背景音乐广播系统,背景音乐广播系统设计满足景区日常背景音乐播放和语音广播、信息传播、广播通知等。
景区背景音乐广播属于服务性广播,系统主要满足景区区域的业务广播,系统设计要求以实用性、先进性、经济型、稳定性、可扩展性为设计原则,结合景区对系统的使用需求,通过科学合理的设计,满足景区的需求,背景音乐系统要求有一下使用功能。
1、 背景音乐系统有自动运行功能,实现系统无人值守;
2、 背景音乐系统具有广播寻呼功能,通过配合监控系统,广播寻呼可进行广播找人,引导游客,语言广播等功能。
5.2 背景音乐与应急
本项目广播系统采用数字化IP公共广播,数字化IP网络公共广播,是将模拟音频信号数字编码,通过网络传输后,再由终端解码成模拟音频信号。可多路、单向或双向传输,局域网内延迟时间不超过200ms,并具有自动流量调整、声音补修功能。标准的TCP/IP协议,支持跨网管、跨路由、互联网传输,是世界上最先进的网络音频传输技术之一。数字化IP网络公共广播适合多区域音频分布,点对点的长距离音频传输。可借助已有的以太网网络,安装成本是目前最低的,配置和使用也最为简单。
数字化IP网络公共广播系统完全不同于传统的广播系统。传统的广播普遍采用音频或调频方式,会受到电压、功率、阻抗等因素影响,传输距离短,频率低,容易受干扰,系统扩展性差。数字化IP网络公共广播是建立在网络平台上,采用网络数字音频编解码技术来传输,解决了传统广播系统存在的传输距离短,音质不佳,维护管理复杂,互动性能差的问题,全面显著的体现了其技术的先进性和优越性。
功能特点
(1)传输数字化
数字化IP网络公共广播采用独有的CD质量的数据文件格式,将音源转换为数据文件传送到网络适配器。全程数字化传输避免了传统音频广播的信号衰减与噪音,提供高保真音质的声音。
(2)终端个性化
数字化IP网络公共广播基于IP数据网络,每个网络广播适配器都可以有独立的IP地址,可以拥有完全个性化的节目。
(3)前端网络化
数字化IP网络公共广播将前端音源扩展到整个网络,节目定时播放都可以通过网络远程操控,网络化的管理,还可以对不同的用户设置不同的权限。
(4)播放自动化
数字化IP网络公共广播能够实现自动化播放,并为各个节目指定播放时间,服务器将自动进行播放,并且播放内容与对象范围可以任意指定。
(5)操作人性化
数字化IP网络公共广播为提供了人性化的图形菜单界面、人性化的操作,轻松简便,专业实用,提高了使用的效率。
(6)应用智能化
数字化IP网络公共广播有很多智能化的设计,可以在广播过程实现录音、变速、列表循环播放等语音功能;还可以实现定时设置,实现广播自动播放;并能够远程编排、维护、管理等。
(7)工程简单化
数字化IP网络公共广播工程简单,对于现在有局域网设每一个IP广播点,只需要增加网络广播适配器安装即可,如果没有搭建网络,数据网络的工程量也相对简单,只需要铺设网线即可,一旦建设,广播系统与计算机网络系统可以共用,减少多网重复建设。
(8)系统零维护
数字化IP网络公共广播在物理上与网络共用,所以并不在网维护之外增加额外的维护工作。在应用上,系统可设置独立网段与计算机系统分隔,各网络广播适配器嵌入式系统程序固化,不会受到病毒感染;系统整体稳定可靠,基本没有维护工作。
公共广播系统由主控设备、音源设备和前端设备组成,主控设备和音源设放在中控机房,在景区区域安装室外壁挂式音箱,网络示意图如下图所示:
图9. 公共广播系统结构示意图
6 周界报警系统
针对本项目特点,对本项目景区周界进行报警系统部署,主要防范非法人员通过不正规手段闯入景点破坏,以及对景区环境的保护。
周界报警器原理大多是:探测器前端感应报警信息,如有人入侵触发报警,则周界报警探测器就会将检测到的报警信号传到报警主机,报警主机则会通过联动设备或者发声报警设备提示前端报警。
鉴于景区建筑情况,主要周界报警系统布放以景区建筑为主,针对景区内以及院墙的入侵防护。
入侵报警系统通过对监控区域部署探测器,形成防区,以被动响应的形式实现警情的上报。整个系统以网络报警主机为核心。报警主机对前端探测器进行管控,当探测器进入布防状态时,一旦被触发,就会通过RVV线缆将IO信号上传给报警主机。报警主机接收到该信号,形成防区报警事件,并将报警事件上传至监控中心,中心管理人员接收到警情即可迅速做出反应及时处警。
报警探测器作为系统的前端设备,是整个系统的原始信号源,和报警信号采集器,其应用将影响整个系统的可靠性。探测器的选型应根据所需监视场所的区域情况,选择不同范围的、不同种类的报警探测器进行监视。根据实际应用需要,在选择报警探测器时须按照以下原则:
场景结合性强;
误报率低;
良好的性能价格比。
系统示意图如下所示:
针对本项目情况,周界报警系统架构图设备搭配情况如下所示:
本项目报警系统主要有报警主机、双鉴探测器、红外对射、声光报警器等等设备组成。
