基于物联网技术的福州市连坂污水处理厂二期建（构）筑变形自动化监测

陈锦堂

福建岩土工程勘察研究院有限公司 福建 福州 350108

建（构）筑常见的变形问题有裂缝、沉降和倾斜等几种，目前市场的监测手段是利用水准仪和全站仪进行光学式测量，采用这种测量方式耗时耗力，且受场地施工条件、气候等因素限制，造成提交观测成果慢且成果误差较大。为了改进监测精度，减少人力，提高效益，采用以物联网为基础的自动化监测系统进行监测。

1 工程案例

选择福州市连坂污水处理厂二期建（构）筑为实践对象，福州市连坂污水处理厂二期的滤池厂房和反冲洗泵房有明显的差异沉降，该沉降问题造成了建（构）筑的排水沟拉裂，反冲洗风管也有肉眼可见的变形，疑似发生挠曲，在构筑物的地下供水管廊处，有观察到顶板和墙体开裂，且伴有液体渗漏问题。结合现状，采用基于物联网的监测系统，观测地下滤池厂房、反冲洗泵房、供水管廊结构变形情况，依据相关规范预警值对建（构）筑变形情况加以评估，为建（构）筑结构、厂内设备和供水管廊的安全提供保障。

2 系统设计

2.1 移动端总体架构技术方案

图1 该物联网监测系统的总体设计架构

该监测系统采用以太网架构，服务器根据应用功能部署，地市终端与省中心机房之间的数据传输通过电力VPN专网通道，确保数据传输安全。物联网监测系统用MVP搭建了整个体系统的基础框架，整个系统被分成五个层次，即数据同步及数据存储模块、数据管理模块、基础公共模块、各个子建（构）筑监测情况模块、数据展示模块[1]。其中，数据同步及数据存储模块主要是通过KSyncLib数据同步框架，将主站端数据同步到移动终端SQLite数据库进行存储，这一框架的设计目的是为了降低系统对信号的依赖度，工厂的环境复杂，存在众多信号干扰因素，监测系统在运转中容易因为工厂环境的干扰作用导致监测效果受影响，依靠KSyncLib数据同步框架同步主站端的数据，可以降低监测系统对信号的依赖度，在弱网络或者无网络的情况下依然让程序保持足够的稳定性。

基础公共模块是各个子建（构）筑监测情况模块依赖的基础模块，包括不同模块间相同的建（构）筑监测情况逻辑代码，在该模块的支持下，各模块可以高效完成建筑的变形监测，并将搜集数据及时进行整理和上传。各建（构）筑监测情况模块是各个主要功能模块的核心建（构）筑监测情况，其中通过ARouter框架实现各个建（构）筑监测情况模块之间的通信。数据展示模块由系统与管理人员交互的各个界面组成。

2.2 后台端(PC)总体架构技术方案

图2 后台端(PC)总体架构

物联网监测系统主站端包含持久层、基础框架层、监测系统框架层这三个层次。首先是持久层，该层负责工程建筑信息的持久化记录，对于监测系统的结构化数据采用MySQL数据库，并采用1主2从1备的技改策略，保证数据的安全；对于监测系统的非结构化数据采用Minio文件存储服务存储，Minio是一个基于golang语言开发的AWS S3存储协议的开源实现，能够保证文件传输的高效性。

其次是基础框架，该层是监测系统运行的基础配置管理层，采用Jdk8和WebLogic来运行监测系统、使用Spring框架来解决项目中的IOC、AOP、TX需求，采用HTTP协议作为模块间的数据交互协议，同时基于KWEB框架来解决基础监测系统的数据管理功能，基础框架层是监测系统稳定运行的基础，对基础框架的灵活运用可以提高监测系统的可扩展性。

最后还是监测系统框架层，该层包含系监测系统建（构）筑监测情况模块中用到各类组件、各模块需要提供的服务器接口、以及模块中用到的工作流引擎等信息；

2.3 系统总体架构分析

系统总体架构如下图所示：

图3 该物联网监测系统的系统总体架构

应用监测系统由“基础支撑板块”、“监测系统服务板块”和“应用板块”三大板块组成，其中“基础支撑板块”将现有的和将来扩展的服务器、存储器、网络硬件、移动终端、物联网传感器等作为资源池进行统一管理，形成企业统一的计算资源、存储资源、网络资源和终端资源，将运用设施管理监测系统对资源按需分配，对资源的利用进行监控，构建一体化、分等级的安全防护体系，并对数据进行有组织有规律的定期备份。

3 安全防护措施

3.1 网络接入安全防护

物联网监测系统采用（安全接入监测系统）APN+VPN通道，实现移动终端与主站端之间的数据交互，数据传输全过程加密，即使传输过程中数据被盗用，也无法使用数据。大大提高了传输数据的安全性。

图4 网络接入安全防护图

3.2 移动终端的安全措施

移动终端设备加装南瑞科技有限公司的加密芯片，确保移动终端数据接入的安全性、可靠性。通过线下线上双结合的管理策略，严格执行终端登记使用制度，将移动终端的主机号与管理人员人员进行绑定[3]。移动终端数据安全保护：一是移动终端操作系统加密，二是移动终端应用登录加密，三是移动终端应用数据库加密。三次以上输入错误应用密码后数据自动摧毁。

3.3 主机安全措施

计算机服务器、桌面终端和操作系统是主机系统的防护重点。开启系统防火墙并配置最小访问权限设置（IPtables、Windows防火墙），目录访问控制（SELinux）；不必要系统服务的关闭（如：ftp，nfs，Sendmail等服务器）；禁用危险命令（如：rm -rf、reboot、halt等）。

3.4 操作系统安全措施

操作系统依据自动扫描或人工评估出的配置问题进行加固；加固应在非高峰建（构）筑监测情况时间进行，并制定回退计划；当对操作系统的加固完成后，设计人员要用弱点扫描对加固情况进行二次检验，确保加固的结果符合安全操作的需要，保证系统整体的安全性[4]。

身份认证措施是依靠对管理人员进行身份的鉴别来授予管理人员操作权限的安全防护方案，常见的身份认证包括口令识别、生物识别等，如采集管理人员的姓名、语音作为鉴别的因素，录制管理人员的指纹、面部特征来精确操作者身份，同时给予其对应的操作权限。

制定管理人员安全策略，定义管理人员口令管理方案以限定管理人员口令设置规则；应根据管理人员负责的监测内容和管理任务分配相应的权限，实现管理人员的权限分离，在权限授予上按照最小权限给予管理人员所需的操作权限。权限授予上要避免“一人多权”，如负责系统操作的管理人员不得再得到数据库管理的权限，负责数据库管理的人员不能得到操作系统的权限；同时需要制定管理人员访问策略，制定管理人员登录超时限制，防止管理人员长时间操作系统，增加其以权谋私的几率。

管理员权限限制，一般操作中，尽量采用一般权限管理人员，对于管理人员的访问和权限使用需要建立日志进行留痕记录，将每次操作人员的访问痕迹保留下来。管理人员改动自己的访问口令和密码均需上报，对于改动原因也要予以阐明，确保权限操作的正当性。

3.5 数据库安全措施

管理人员认证运用至少两种鉴别技术对管理人员身份鉴别，如采用管理人员名/口令与挑战应答、动态口令、物理设备、生物识别技术和数字证书方式的身份鉴别技术中的任意组合。制定管理人员安全策略包括管理人员管理、口令管理的相关安全策略。针对管理人员访问需求，合理分配管理人员权限[5]。管理存储过程中对敏感存储过程的使用进行限制，并经安全测试后加载数据库系统补丁，最后定期备份数据库中保存的数据，并定期或在系统环境出现变化时进行备份恢复测试，并采取数据异地保存措施。

3.6 应用安全措施

系统权限设计，系统加入权限控制模块，权限控制就是分为“管理人员登录身份验证”、“建（构）筑监测情况控制器方法权限控制”、“界面元素权限控制”三种控制方式，为系统提供很好的访问控制和权限控制，使得管理人员界面呈现菜单、Web界面的按钮和内容、建（构）筑监测情况的提交控制，均能在总体权限功能分配和控制之下。管理人员身份系统通过管理人员名及密码进行登陆，防止非法管理人员进入，从而保证系统访问安全。管理人员浏览系统时根据自身拥有的权限展示出对应web界面，不同权限的管理人员，拥有不一样的系统模块，界面元素控制具体到模块下面的子功能权限管理。在提取监测数据时，管理人员提交建（构）筑监测情况时验证管理人员是否有该建（构）筑监测情况的权限权限，如果没该建（构）筑监测情况的操作权限时给予管理人员友好提示，有该权限则建（构）筑监测情况正常处理。最后是权限特性，不同级别的管理人员权限不一样，管理员权限管理人员可以操作系统所有功能，建（构）筑监测情况管理人员根据不同的级别可以使用相应级别的系统功能模块。为了提供权限的灵活管理，加入角色管理，角色是某类权限的集合，只需要指定管理人员角色来实现管理人员的权限控制，支持多个角色分配。角色权限可以由拥有最高权限的admin编辑。

4 效益对比

将人工常规监测和自动化监测进行比对，其结果如表1所示。

表1 自动化监测与人工常规监测对比

从表1所示结果拉看，自动化监测相比常规监测，多出了软件系统和设备维护费用，所以在初期投入上比常规监测更高，但随着监测工作的推进，自动化监测“人力成本低”的优势开始发挥出来，在监测后期，由于监测系统能及时发展建（构）筑变形并发出预警，所以在倾斜等建（构）筑问题上能及时制止，整体费用反而低于常规监测，性价比优势更加突出。

5 结论

采用物联网传感技术构建工程建（构）筑的监测系统，节约人力成本，监测元件循环使用，提高经济效益，同时监测成果精确高、更及时，耐储存、易传送等优点。特别适用大型、需24小时不间断监测，因此该技术在工程项目中将更广泛推广应用。