铁路企业音视频监控集成平台方案研究

程若厅，江新乐，夏 雷，王学斌，傅 鹏

（1. 中国铁路上海局集团有限公司 科技和信息化部（总工程师室），上海 200071；2. 上海申铁信息工程有限公司，上海 200071）

音视频监控系统是一种主动探测手段，可以把多个探测结果关联起来，实现实时动态监控，所记录的信息具有完整性和真实性，不仅可记录事件发生时的状态，还可记录事件发展的过程和处置结果，常作为事后调查的证据。为此，音视频监控系统广泛应用于多种安全生产管理场景，成为作业过程控制、安全管理的重要技术手段。

近年来，随着网络传输能力不断增强、移动互联和图像智能分析技术飞速发展，音视频监控系统在铁路企业中的应用场景更加多样化，与其它应用系统的信息融合更加紧密。房建、车务、货运、工务、机务、客运、车辆、供电、非运输企业等为实现对重要设备设施、生产作业场所、重点安防区域等处所的动态监控，配置了大量音视频监控资源（摄像机、拾音器、数字对讲机、执法记录仪、手持终端等）及应用系统。这些音视监控频资源和应用系统的运用，为铁路运输指挥、生产作业、公安保卫等各项工作的有序开展提供了强有力的技术保障，有效提升了铁路安全生产管理水平[1]。

然而，大量音视频监控资源的分散和重复建设，造成资源浪费、资源不能共享、建设标准不统一、系统网络安全和应用安全不可控等问题，迫切需要从铁路局集团公司层面对铁路企业既有的音视频监控资源加以深度集成和有效融合，制定技术规范和平台运用管理办法，实现音视频监控资源的统一管理、维护，进一步挖掘音视频监控资源的应用价值[2]。

为此，提出“一套标准、一个平台、一张专网”的集成平台建设思路，开展铁路企业音视频监控集成平台（简称：集成平台）方案研究，在中国铁路上海局集团有限公司（简称：上海局）层面实现既有音视频监控资源的整合，构建统一的安全认证体系，研发以综合监控、图像智能分析、资源管理、智能运营维护（简称：运维）为核心的业务应用，面向铁路各级用户的应用需求开发定制化服务，为监督检查、应急指挥和决策分析提供强有力的技术支撑。

1 现状调查及问题分析

1.1 现状调查

对上海局及其下属各单位既有的除综合视频监控系统之外的音视频监控资源及应用系统建设与运用情况进行全面调研，调研结果如表1所示。

表1 上海局音视频监控资源调查统计表

上述音视频监控资源和应用系统的建设投资模式较为复杂，包括铁路投资、外单位投资、租赁视频厂商服务、铁路投资与租赁组合等；其主要应用场景包括：铁路外部场所监控（设备状态监控、公共场所安保监控、新线建设施工监控、道口、货场等）、车间工厂等铁路内部场所监控（车站内场所监控、站场区域监控、邻近营业线施工安全监控等）以及其他场景监控等。

1.2 问题分析

（1）信息安全缺乏保障：部分单位建设或租用的音视频监控系统运行在互联网环境上，大部分不满足网络安全等级保护要求，缺乏完善的网络安全防护措施，安全防护能力和管控能力较弱，易遭受外部网络攻击，可能造成铁路企业数据泄露，对企业形象造成不良影响；有些系统涉及铁路敏感数据，却直接部署在路外厂商机房中，存在一定的数据安全风险。

（2）音视频监控信息共享难以实现：由于缺乏统一的建设标准，前端音视频监控设备、存储设备、系统应用的厂家众多，各站段单位使用的音视频监控系统运行在互联网、点对点专线、局域网、办公网等不同网络环境中，系统之间难以互联互通；这些系统基本是封闭运行，缺乏统一管理，数据编码不统一，系统接口不规范，无法实现系统之间的数据共享和有效联动，给音视频监控资源的统一接入、音视频文件集中存储、数据共享造成不便；对于部分站段单位租赁的路外单位建设的音视频监控资源，其信息接入和共享的难度更大。

（3）音视频监控系统运维管理分散而混乱：目前，各站段单位使用的音视频监控系统的运维管理较为混乱，有些单位直接将系统委托给路外单位维保，但对委托单位缺乏有效管理和监督；有些系统无专人负责运维管理，设备故障或系统功能丧失后不能及时得到处理，设备或系统更不能有效开展计划性维护保养，给使用和监管单位带来不便，也造成系统使用效率低和资源浪费，给后续集中管控、开发智能分析应用等带来较大困难。

（4）音视频监控资源管理缺失：各站段单位建设的音视频监控资源规模庞大，应用系统繁多，着重满足本单位监控业务需求，音视频监控资源缺乏规范化管理，大多数未建立设备台账管理，无法全面准确掌握各类前端音视频监控设备的详情及运行状况，无法给音视频监控资源改扩建提供准确决策依据，造成音视频监控资源的重复和无序建设。

2 建设目标

研究建设一个统一、安全、高效、实用、智能的音视频监控集成平台，为上海局各单位提供安全生产管控工具，满足日趋紧迫的安全管理需求。

2.1 提升音视频监控系统的网络安全防护能力

集成平台构建“云管端”三位一体安全认证体系，从“云管端”3个层级进行全流程的安全管控，按照等保2.0标准进行规划建设，注重主动防御，做到事前、事中、事后全流程管理，具备安全可信、动态感知和全面审计等功能。

2.2 实现音视频监控资源的统一接入和数据集中存储

集成平台能够接入支持国标协议和主流厂商私有协议的设备，并为非国标、非主流厂商的设备接入提供国标网关模块[3]，实现对既有音视频监控资源最大范围的接入；依托上海局的音视频私有云平台服务，实现音视频数据集中存储管理，为音视频监控信息共享和集成应用开发奠定基础。

2.3 实现音视频监控资源的信息共享和集成应用

针对铁路企业用户（包括上海局及所属站段）各类应用场景中对音视频监控信息资源的访问需求，集成平台提供定制化信息共享服务；同时，集成平台提供集成框架和统一规范，支持第三方应用快速集成，满足横向和纵向的无缝扩展要求，适应智能化应用等新技术的快速发展，为铁路企业安全生产管理提供广泛的音视频资源共享服务。

2.4 提供音视频监控资源的统一运维管理

对接入集成平台的音视频监控资源实行统一运维管理，按照统一规范建立既有音视频监控资源的履历档案，开发音视频监控设备运行监控、故障诊断、维护保养及更新改造的管理工具，提供统一的音视频监控系统运维管理服务，支持音视频监控资源全生命周期管理，并为音视频监控系统的改扩建决策提供准确可靠的参考依据。

3 平台架构设计

3.1 技术架构

音视频监控集成平台依托上海局私有云平台资源构建，采用“一基座三中台”架构设计。“一基座三中台”包括一个承载中台的基于微服务的集群部署架构的私有云能力基座、媒体中台、数据中台、解析中台，如图1所示。

图1 集成平台技术架构示意

（1）私有云能力基座：基于云计算环境部署，实现自动化部署、高可用、弹性调度、路由管理、存储管理及监控告警，并为上层应用提供基础服务能力支撑，包括统一设备、统一配置、统一权限、统一工单、统一项目及统一日志。

（2）媒体中台：提供统一的媒体服务能力，专注于实现各种不同媒体资源统一接入和处理。传统的视频监控平台、视频会议平台等只能接入某一种前端媒体数据，而媒体服务中台支持多种协议接入，可同时接入视频监控、视频会议等，实现统一转码、分发、调取；并能提供标准的无插件媒体服务，可方便地实现任何资源点信息的一键调阅。

（3）数据中台：提供统一的数据存储和访问服务，以分布式云存储和数据库为核心，数据读写性能更好，数据可靠性更高；采用各种可扩展的大数据分析组件，支持数据建模，实现各种多维大数据的关联分析，同时提供可扩展的数据分析服务，能够支撑丰富的视频大数据应用。

（4）解析中台：提供统一的智能分析服务框架，支持算法仓库，可统一管理和调度车辆分析、人像分析、结构化分析等不同的分析算法引擎，也可同时管理调阅图形处理器分析资源，并提供统一的算法调度接口，为前端应用提供快捷的算法服务，以快速实现各种智能分析应用。

3.2 部署架构

集成平台按照中心节点、区域节点分布式架构进行设计，部署架构如图2所示。

图2 集成平台部署架构示意

中心节点机房作为集成平台的中心节点，其各类系统应用和数据库部署在上海局自建的私有云平台上，为集成平台提供计算、存储、网络和安全等资源；在杭州、南京等区域节点机房部署区域节点平台，就近接入该区域内音视频监控资源。中心节点采用GB/T 28181-2016国标标准，接入下层的区域节点，实现上海局管辖区域内各类音视频监控资源的汇聚接入。

私有云平台采用超融合基础架构，用软件定义技术来构建计算、存储、网络和安全的统一资源池，并提供运维管理、容灾备份、智能监控等特性，为集成平台系统应用提供稳定、可线性扩容、安全、高效的私有云资源服务[4]。

4 网络安全体系设计

集成平台构建“云管端”三位一体安全认证体系，注重主动防御，做到事前、事中、事后全流程管理，具备安全可信、动态感知和全面审计等功能。所构建的网络安全体系既能满足国家的法律法规和中国国家铁路集团有限公司的要求，又要确保用户方便使用，同时建设成本可控，全面保障音视频监控集成平台的安全[5]。

4.1 设备准入安全

为确保联网设备的接入安全，制定严格的设备准入规则。准入认证机制具备主动扫描现网设备（IPC、PC、NVR等）的功能，以构建资产库，采用设备特征指纹技术，对前端设备的身份进行合规性认证，有效防范前端设备的非法私接仿冒行为。对传输数据进行深度协议过滤，准入认证设备部署在网络汇聚层，对所有前端设备流量进行深度检测，只放行音频、视频、图片等数据流，阻止病毒、恶意流量进入专网环境，设备准入机制如图3所示。

图3 设备准入机制示意图

准入认证设备具备前端设备身份认证、传输数据协议过滤、高可靠性、弹性扩展、图形化展示等功能。即使有攻击者通过伪造身份冒名接入网络，攻击行为也会被准入认证设备实时阻断并告警，确保安全防护的准确性和时效性。

4.2 网络安全设计

平台侧安全设备和安全策略按照网络安全等级保护三级要求进行配置和部署。搭建逻辑隔离的软件 定 义 广 域 网（SD-WAN，Software Defined Wide Area Network）视频专网通道，前端音视频监控设备和用户监控终端通过视频专网链路通道实现专网接入；设立网络隔离安全区，集团公司互联网网站群应用与音视频监控集成平台在隔离区进行数据交互，保证应用和数据的安全。

4.2.1 有线传输安全

集成平台的有线传输采用直连光纤、铁路点对点专线或SD-WAN加密通道（SD-WAN组网架构如图4所示），除了对具备条件的应用场景采用直连光纤和点对点专线进行物理隔离外，其他场景均采用SD-WAN专网加密通道进行传输，对认证过程和传输过程中的数据进行加密，并在虚拟专线上传输，以保证数据的私密性和安全性[6]。

图4 SD-WAN组网架构示意

4.2.2 无线接入安全

对于前端音视频监控设备不具备有线联网条件的，均采用虚拟专有拨号网络（VPDN，Virtual Private Dial Network）无线专网流量方式进行传输。从运营商申请的物联网卡开通私有接入点（APN，Access Point Name）用于VPDN业务，并为用户配置一个VPDN专用域名，建立起虚拟专用网络（VPN，Virtual Private Network）专用隧道，实现与互联网通道的逻辑隔离，确保安全的无线数据传输。

4.3 平台应用安全

集成平台的安全准入参考铁路企业标准Q/CR 722-2019《铁路移动智能终端互联网安全接入平台技术条件》[7]和上海局对平台的网络安全管理要求，在联网层面保证音视频监控资源和终端用户的可信接入，数据传输过程完整可靠，针对特定点位可实现从传输到存储全程加密。集成平台具备资产管理和安全管控等功能，资产管理主要包括终端资产注册、注销和管理；安全管控主要包括用户认证和行为监控，用户登录时启动准入检查，通过数字证书认证、用户名/口令绑定设备标识码认证等方式，对用户进行身份认证，保证数据安全共享。

5 应用功能设计

音视频监控集成平台是一套集成化、智能化的信息融合系统，以地理信息系统 （GIS，Geographic Information System）地图为载体，融合各系统能力，满足音视频监控丰富的基础应用和智能应用需求。通过接入各类音视频监控资源，实现安防信息化集成与联动，应用功能主要包括8个模块：汇聚接入、综合监控、运维管理、设备履历管理、配置管理、图像分析、性能优化、日志管理，系统功能结构如图5所示。

图5 系统功能结构示意

5.1 汇聚接入

完成媒体网关、离线转储、节点汇聚的功能配置，实现音视频监控资源的整合接入。

（1） 媒体网关：配置国标媒体网关功能模块，实现非国标、非主流厂商的音视频监控设备的国标转码接入。

（2） 离线转储：在用户端配置采集站设备，对离线音视频监控设备存储的音视频文件进行集中存储管理，采集站通过有线专网链路接入集成平台，实现离线音视频文件集中存储和远程调用。

（3） 节点汇聚：各区域节点接入的音视频监控资源通过有线专网链路统一汇聚到中心节点系统，实现音视频监控资源的集中接入和统一管理。

5.2 综合监控

提供实时视频预览、录像回放与检索、云镜控制、语音对讲、电视墙管理等基本功能，方便各类用户访问所需的音视频监控信息资源。

（1） 实时视频预览：用户可对监控点进行图片抓拍、快速上屏、即时回放、码流选择、窗口轮巡、画面布局自定义、桌面预案、定时任务等操作。

（2） 录像回放与检索：用户可对指定监控点的录像文件进行多功能回放、随机回放、单帧回放，回放时可进行暂停、快放、慢放等操作。

（3） 云镜控制：用户可对指定监控点进行云台和快球的方向控制、自动扫描、光圈焦距管理、镜头缩放、云台速度调节、预置位巡航设置、焦距调节等操作。

（4） 语音对讲：用户可对指定监控点进行实时语音对讲和客户端语音主动呼叫操作。

（5） 电视墙管理：根据用户现场实际电视墙布置，选择相应显示风格的电视墙，并配置好对应通道的解码器，按照不同用户需求，提供基于电视墙的画面浏览、电视墙窗口轮巡等功能。

5.3 运维管理

支持无插件视频预览和基于电子地图的查询调阅，提供监控点巡检、视质分析、告警管理，方便运维人员实现音视频监控资源的统一运维管理。

（1） 监控点巡检：开发智能巡检算法，对监控点的在线状态、设备告警状态、网络拓扑等参数进行实时检测，提供监控点在线数、离线数、告警数等分类统计信息展示。

（2） 视质分析：开发图像质量分析算法，能够检测和分析设备码流状态、图像状态（视频遮挡、视频模糊、场景变更、视频信号丢失、亮度异常等），定期分析图像质量，及时发现图像质量问题。

（3） 告警管理：告警中心对各类告警信息进行集中管理，实现实时告警、历史告警、告警配置、告警知识库等告警信息管理功能。

5.4 设备履历管理

完成设备数据录入、设备查询、统计分析，实现对音视频监控资源的“一机一档”规范化管理，详细记录音视频监控设备的履历参数，提供全生命周期的履历台账管理，为音视频监控系统的改扩建决策提供准确可靠依据。

（1） 数据录入：既有音视频监控资源建设单位完成设备数据的录入，再由专业部门主管单位对录入的设备数据进行单条或批量审核。

（2） 设备查询：提供对不同类型的音视频监控设备数据的查询、录入、编辑、查看详情、删除、导入导出、模板设置、地图操作等功能，可查看指定类型的设备数据，设备类型、筛选条件、设备列表展示字段均可灵活设置。

（3） 统计分析：可按监控区域、设备类型、联网方式、专业部门等不同维度，对音视频监控设备信息进行统计分析，并以图表形式直观展示。

5.5 配置管理

集成平台采用B/S架构，支持多终端应用访问（包括网页端、客户端、移动端、数据大屏），提供统一认证和权限管理，支持灵活的系统组织架构设置，以及细粒度的用户和角色管理，方便系统管理员按照信息共享方案，控制不同用户信息访问权限。

（1） 组织架构：设置所属机构的单位名称、单位级别、单位类型、单位简称、所属辖区、单位编号、单位地址、联系人名称、联系人电话、单位描述，提供组织机构的增、删、改和查询功能。

（2） 用户管理：提供用户增、删、改和查询功能；一个用户可以关联多个角色，可设置用户的有效期限及绑定IP；可设置用户登录后的业务主页及同时播放的实时视频路数。

（3） 角色管理：可为集成平台用户设置不同角色名称、角色级别、角色描述，可为不同角色的用户设置其登录平台后指定的菜单管理权限及功能使用权限；用户可按视频分组、视频设备、设备属性进行视频资源访问授权；可设置不同角色对视频资源的操作权限，包含实时查看、历史回放、PTZ（Pan/Tilt/Zoom）控制、录像下载等。

5.6 图像分析

使用智能图像分析算法，通过数据标注、算法训练和应用开发，实现对音视频监控设备采集的图像信息的分析处理，将分析结果进行记录或与其他信息进行联动[8]。

（1） 数据标注：利用矩形框标注、多边形标注、关键点标注等方法对动态图片、静态图片中的目标进行准确框定，通过人工方式，可在人脸特征点的规定位置上标注关键点，训练人脸识别模型。

（2） 算法训练：主要对图像分类模型、物体检测模型、图像文字识别模型、图像比对模型、视频分类模型、视频行为分析模型等进行算法训练；算法主要识别图片中是否含有指定物体、状态或场景，物体的位置和标记点名称，提取图片中的文字进行识别，提取前景图与背景图中差异的像素区域，识别视频中的对象属性或场景属性等信息。

（3） 异常检测与预警：针对铁路企业安全生产的各种应用场景，基于图像分析算法，定制各类异常检测与预警应用，实现对作业现场、站场区域的烟雾、火光、大机侵线、移动侦测、越界报警、扶梯逆行检测、人群密度报警、电子围栏周界警戒等异常情况的实时检测和预警联动。

5.7 性能优化

利用码流转发机制，有效降低前端设备网络负载，利用时间同步机制为实时采集的音视频数据准确标记时间戳，保证集成平台的可用性和用户体验。

（1） 层级码流转发：某个监控点视频可能会被多个不同层级的不同用户并发调阅，例如A-B-C三级域，A和B都调阅C的一个前端监控点，C需要同时向A和B发送两路码流，带宽消耗大；鉴于前端监控点的网络带宽资源有限，使用层级转发后，C只需要向B发送一路码流，B再向A转发码流。

（2） 时间同步：集成平台提供网络时间协议（NTP，Network Time Protocol）同步机制，实现中心节点上层平台与区域节点下层平台时间同步，中心节点平台到用户监控终端时间同步，中心节点平台到前端音视频监控设备时间同步。

5.8 日志管理

制定统一的操作日志和系统日志规范，提供日志查看、调用链分析等功能，方便系统管理员掌握系统运行情况及用户使用情况，为故障诊断、系统调优、用户使用情况分析、安全审计提供支持。

（1） 操作日志查看：可按指定条件查询操作日志，列表查看详细的日志记录，包括日志时间、操作用户名、登录IP地址、操作动作、操作对象类型、操作对象、操作结果、操作内容详情及操作（查看详情或调用链）等信息。

（2） 系统日志查看：可查看指定服务器、组件和服务的系统日志信息，通过其中的错误码可详细了解系统错误情况及相应的处理建议。

（3） 调用链分析：支持查看操作日志及系统日志中的调用链，方便系统管理员了解一次业务操中涉及到的所有组件间的调用关系，以及这些组件的异常状况及相关日志，以快速定位异常问题原因。

6 结束语

音视频监控集成平台对各专业部门独立建设和运用的既有音视频监控资源进行接入和整合，实现音视频监控资源分区域、分专业和全局共享，提高了上海局范围内的音视频监控资源利用率，充分满足各专业部门、各级安全生产指挥中心对音视频监控资源的不同使用需求，成为铁路运输指挥、生产

作业监控、治安防范、安全生产监督的重要辅助手段，对提升管理效能具有重要意义。集成平台从“云管端”3个层级进行全方位安全管控，保证铁路企业音视频数据的安全；通过实现设备统一运维管理和规范化履历管理，大大提升音视频监控资源使用效率，可为音视频监控系统的改扩建决策提供准确依据，有助于改变以往音视频监控资源分散建设、重复投资的不利局面。

按照“一套标准、一张专网、一个平台”的建设原则，集成平台旨在集团公司层面实现各类音视频监控资源的统一接入、统一调阅、统一分析、统一运维、统一管理和统一防护。为规范和加强管理，充分发挥集成平台在铁路运输安全和生产指挥中的作用，特制定《中国铁路上海局集团有限公司音视频监控平台（系统）建设管理指导意见》和《中国铁路上海局集团有限公司音视频监控平台运用维护管理办法》，明确规定前端设备接入、专网传输通道、后台服务等运用及维护管理的具体要求。