可视化巡检指挥调度技术方案

1. 项目概述与目标

本方案旨在为火力发电厂搭建一套私有化、高安全、低延迟的现场可视化指挥调度系统。通过为巡检、检修、运维等人员配备执法记录仪或可视化胸牌，实现现场视频、音频、定位信息实时回传至后台指挥中心，提升作业透明度、应急响应速度与安全管理水平。

2. 系统架构设计

系统采用 “前端采集—网络传输—私有化平台—指挥中心” 的四层架构，所有核心数据均存储在电厂内部或专属云服务器，确保数据主权与安全。

前端层：4G/5G执法记录仪、可视化胸牌（智能工牌）等移动终端。

传输层：利用电厂现有4G/5G专网或Wi-Fi网络，通过加密协议传输音视频与定位数据。

平台层：私有化部署的SmartEye服务器集群，包含流媒体服务、数据库服务、WEB应用服务。

应用层：指挥中心大屏、调度台PC客户端、管理员/监督员Web浏览器或移动端APP。

3. 私有化服务器部署方案

服务器部署核心要求如下：

3.1 硬件与系统要求

配置项	推荐配置	备注
操作系统	Windows Server 2019 或更高版本	需提前安装VC++运行库及必要补丁以兼容MySQL 8.0
CPU	8核以上（如Intel Xeon或i7/i9）	性能参考：12核i5处理器约支持230路视频并发
内存	16GB 或以上	视接入终端数量可扩展至32GB/64GB
硬盘	500GB SSD + 大容量机械盘	SSD用于系统与数据库，机械盘存储录像文件
网络	固定公网/私网IP，带宽建议≥10Mbps	保证多路视频上传与指挥中心访问流畅

3.2 软件环境与端口

关键端口（需在服务器防火墙及云安全组中开放）：

9701/TCP：设备信令与控制

9702/UDP：设备实时视频流传输

9703/UDP、9703/TCP：辅助媒体传输

9781/TCP：Web管理平台（HTTPS访问）

数据库：平台自带MySQL 8.0，无需额外安装。

安全提示：服务器需卸载360、瑞星等可能误删程序文件的杀毒软件，推荐使用Windows Defender或企业级白名单防护。

3.3 安装与初始化

运行安装程序：以管理员身份执行servere-版本号.exe，按提示完成安装。

防火墙与安全组配置：在Windows防火墙及云服务商控制台（如使用云主机）中添加入站规则，开放上述端口。

首次访问：安装后通过浏览器访问 https://服务器IP:9781，系统会自动初始化数据库（约1-2分钟）。默认管理员账号为admin/123456。

服务状态检查：访问运维中心 https://服务器IP:9781/center（超管账号superadmin/123456），确认所有服务状态均为“在线”。

4. 前端终端设备选型建议

针对火力发电厂高温、高噪、电磁干扰强的环境，推荐以下类型设备：

可视化胸牌/智能工牌：轻便佩戴，集成音视频通话、北斗/GPS定位、一键SOS告警，适用于常规巡检与人员定位管理。

5. 网络与带宽规划

上行带宽：每路视频按1080P、2Mbps码流计算，20路并发需至少40Mbps上行带宽。建议电厂利用内部4G/5G专网或企业级Wi-Fi 6网络，并为主干交换机配置QoS策略，优先保障视频流量。

下行带宽：指挥中心访问平台首页需加载约30MB资源，建议带宽不低于3Mbps，避免页面加载缓慢。

6. 平台核心功能实现

实时视频监控：后台可单呼、组呼查看任意前端设备实时画面，支持多画面分屏轮巡。

双向语音对讲：指挥中心与现场人员实时通话，下达指令或接收现场情况汇报。

 

录像与检索：所有视频自动云端存储，支持按时间、人员、设备快速检索回放。

GB/T 28181扩展：如需对接电厂现有视频监控平台（如海康、大华），可额外开通SIP端口（15060/15063等），实现国标设备接入与融合。

7. 限分配说明：用户视频访问控制

1. 权限管理架构

平台采用 “角色—用户—设备组” 三层授权模型：

角色：定义一组权限集合（如实时视频查看、录像回放、设备对讲、定位查看等）。

 

用户：平台操作人员，可隶属于一个或多个角色。

 

设备组：将前端设备按区域、部门或功能进行分组（如“锅炉区”“汽机区”“输煤区”“安监专用”等）。

权限控制的逻辑：用户通过角色获得某种操作权限，同时该角色的可见设备范围被限定在指定的设备组内。

2. 操作步骤（通过运管中心配置）

登录运管中心：访问 https://服务器IP:9781/center，使用 superadmin 账号进入。

创建设备组：在“设备管理”->“设备组”中，根据电厂组织架构或区域创建分组，并将前端设备移入对应组。

创建角色：在“系统管理”->“角色管理”中新增角色（如“值长”“安监专工”“检修班长”），勾选其允许的操作权限（如实时视频、对讲、云台控制、录像回放等），并在“可访问设备组”中指定该角色能查看的设备组。

创建用户：在“用户管理”中添加用户，分配一个或多个角色，并设置登录密码。用户登录普通Web平台（端口9781）后，其界面将只显示角色授权范围内的设备列表。

8. 补充技术要点：前端设备接入白名单与安全准入机制

1. 设备级认证准入（平台层）

SmartEye平台支持基于设备ID与密钥的双重认证，确保只有注册设备可接入：

设备注册绑定：每台执法记录仪或可视化胸牌拥有唯一的设备ID（如IMEI、SN或平台生成ID）。管理员需在平台“设备管理”中预先录入设备信息，设备首次上线时需携带注册凭证。

 

动态令牌认证：平台可配置为仅允许已注册设备登录，未录入设备即使网络可达，也无法通过认证握手，直接拒绝连接。

 

设备状态管控：管理员可随时将设备标记为“禁用”或“注销”，被禁设备即使持有正确ID也无法再次接入，适用于设备丢失或人员离场场景。

 

2. 网络层IP白名单（网络/防火墙层）

在服务器端及网络边界实施严格的IP访问控制：

服务器防火墙规则：在SmartEye服务器所在主机的Windows防火墙中，对关键端口（9701/TCP、9702/UDP、9703/UDP/TCP、9781/TCP）配置“远程IP地址”限制，仅允许电厂内部办公网段、4G/5G专网APN出口IP或指定VPN地址池访问。

操作示例：在防火墙入站规则中，于“作用域”选项卡下设置“远程IP地址”为允许列表（如10.10.0.0/16、172.16.0.0/12）。

 

云安全组/网络ACL：若服务器部署在云上，在云平台安全组中同样设置源IP限制，仅放行电厂出口公网IP或专线互联IP，拒绝其他公网IP的访问请求。

 

核心交换机ACL：在电厂核心交换机上配置访问控制列表，限制只有特定VLAN或物理端口的数据可访问服务器IP，进一步收紧网络边界。

 

9. 关键注意事项

多网卡环境：若服务器有多块网卡，需在平台配置中手动指定用于视频通信的本机IP地址。

 

密码找回：admin密码遗忘需联系厂商通过superadmin账号重置；superadmin密码可本地手工重置。

 

安全组策略：如部署在阿里云/华为云等公有云，务必在“安全组”中准确添加端口规则，仅允许电厂办公网IP访问管理端口。