# 27 设备控制 PRD

## 0. Demo开发摘要

- 一句话定位：设备控制负责把数据中心远程控制、联动策略、控制授权、双人复核、仿真校验、控制下发、回执确认、回退和审计统一治理，避免可控能力商业化后出现越权、误控、误联动和不可追溯风险。
- 菜单挂载：运维中心 / 可监可控 / 设备控制；与 CMDB、映射管理、边缘管理、动环监控、告警事件、变更窗口、值班、EHS、知识库、工作流、权限中心和报表中心联动。
- Demo主路径：创建控制申请 -> 校验授权 -> 仿真影响 -> 双人复核 -> 执行窗口确认 -> 下发控制命令 -> 接收设备回执 -> 失败回退或成功关闭 -> 导出控制审计报告。
- 核心页面：设备控制驾驶舱、控制申请台账、控制授权中心、联动策略编排、仿真与风险校验、双人复核工作台、控制下发与回执、回退与应急停止、控制审计与证据、控制策略配置。
- 复用智航能力：CMDB 设备与空间、映射管理点位、边缘网关、告警事件、工作流、权限中心、AI盒子/视频、操作审计、dcim-cli。
- 需要 Mock 的 API：控制申请、控制授权、联动策略、规则明细、仿真任务、复核任务、控制命令、设备回执、回退方案、证据、指标、审计日志。

## 1. 制度依据与行业依据

- 制度原文依据状态：本轮本地制度知识库 healthcheck 未定位到 `DATACENTER_OPS_KB_ROOT`，不能把内部制度条文写成已命中依据。以下内容属于基于仓库白皮书、现状盘点、规划文档和运维控制常识的产品化推导。
- 本地白皮书依据：DCOM 强调集中监控、集中运维、集中管理和全过程运维闭环；设备控制是“可控”能力的高风险入口，必须和流程、审计、复核、回退一起设计。
- 本地现状依据：智航已有 DCIM 工作台、边缘管理、告警事件、BPMN 工作流、知识库和 `dcim-cli`；设备控制不应直接裸露在设备页面，而应接入统一授权、审批、仿真、下发和审计。
- 本地规划依据：智航长期目标是完整可监可控 + DCIM + DCOM + 智能化专家服务；可控能力商业化必须先解决权限边界、控制窗口、联动策略风险、误操作拦截和证据链。
- 产品化推导：设备控制要落成控制申请、授权票据、联动策略、规则版本、仿真校验、复核任务、命令下发、设备回执、回退方案、审计日志和效果报表。

## 2. 现有能力复用分析

| 能力 | 复用对象 | 设备控制中的使用方式 | 新增边界 |
|---|---|---|---|
| CMDB | 站点、空间、设备、系统域、客户区域 | 定位控制对象、影响范围和客户归属 | 新增控制影响快照和设备组控制范围 |
| 映射管理 | 测点、控制点、协议、单位、模型 | 校验控制点位是否可写、单位是否一致、命令是否合法 | 新增控制点白名单和命令范围 |
| 边缘管理 | 边缘网关、驱动、协议、通道状态 | 承载控制命令下发、回执、超时和重试 | 新增边缘通道安全校验和回执固化 |
| 告警事件 | 告警、事件链、作战室 | 作为联动策略触发来源和控制效果验证依据 | 新增策略仿真和冲突检测 |
| 工作流 | 审批、会签、退回、加签 | 承载控制申请、策略启用、高风险复核、回退审批 | 新增双人复核和执行窗口节点 |
| 权限中心 | 用户、角色、组织、数据范围 | 决定谁能控、控什么、何时控、是否需复核 | 新增命令级授权和过期策略 |
| AI盒子/视频 | 现场视频、图片、识别结果 | 作为现场确认、回退恢复和证据链 | 新增控制前后现场证据 |
| 报表中心 | 运营报表、导出、订阅 | 输出控制成功率、阻断率、回退率、复核率和审计报告 | 新增控制主题数据集 |

## 3. 用户角色与业务场景

| 角色 | 主要动作 | 关注点 |
|---|---|---|
| 控制负责人 | 配置控制等级、审批矩阵、黑白名单和控制报表 | 误控风险、越权控制、回退能力、审计完整 |
| 控制工程师 | 发起控制申请、执行下发、查看回执和处理失败 | 窗口、命令、设备状态、边缘通道 |
| 策略工程师 | 配置联动策略、规则版本、冲突组和启停范围 | 策略冲突、触发条件、影响范围、版本治理 |
| 值班长 | 执行双人复核、现场确认和窗口确认 | 高风险操作、班组责任、执行时机 |
| 安全复核人 | 判断控制风险、客户影响和回退有效性 | 风险评估、客户影响、回退路径、停止条件 |
| 应急负责人 | 执行紧急停止、回退和恢复确认 | 快速阻断、恢复路径、客户通知 |
| 审计员 | 查询控制链路、导出审计报告和追踪异常 | 谁控、何时控、控了什么、结果如何 |

核心业务场景：

1. 控制工程师需要远程切换某机房精密空调运行模式，系统先校验人员授权、设备状态、控制点白名单和时间窗口。
2. 策略工程师配置高温告警触发的联动策略，系统在仿真环境中验证命中次数、影响设备、客户区域和冲突策略。
3. P1/P0 控制申请进入双人复核，值班长确认窗口，安全复核人确认回退方案，客户影响时追加客户代表或运营负责人。
4. 控制命令下发到边缘网关，系统记录命令 payload、通道、前值、后值、回执状态和错误码。
5. 如果控制失败、设备状态异常或效果偏离，系统触发回退方案或应急停止，并固化证据和审计日志。

## 4. 信息架构与页面清单

| 页面 | 路由 | 角色 | 页面目标 | 核心组件 |
|---|---|---|---|---|
| 设备控制驾驶舱 | `/control/overview` | 控制负责人 | 查看控制权限、联动策略、下发成功率、拦截风险和审计态势 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 控制申请台账 | `/control/request` | 控制工程师 | 发起远程控制、手动控制、批量控制、策略试运行和控制窗口申请 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 控制授权中心 | `/control/authority` | 权限管理员 | 管理人员、角色、设备、控制点位、时间窗和客户范围的授权 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 联动策略编排 | `/control/policy` | 策略工程师 | 配置告警、环境、容量、能效、门禁、消防和客户 SLA 触发策略 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 仿真与风险校验 | `/control/simulation` | 安全复核人 | 模拟策略命中、设备影响、客户影响、回退路径和阻断条件 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 双人复核工作台 | `/control/dual-review` | 值班长 | 完成高风险控制的双人复核、班组确认、变更窗口确认和现场确认 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 控制下发与回执 | `/control/dispatch` | 控制工程师 | 下发控制命令、查看边缘回执、设备状态和超时重试 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 回退与应急停止 | `/control/rollback` | 应急负责人 | 执行回退方案、紧急停止、锁定设备和恢复确认 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 控制审计与证据 | `/control/audit` | 审计员 | 查看控制链路、审批意见、指令报文、回执、证据和操作日志 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |
| 控制策略配置 | `/control/config` | 系统管理员 | 配置控制等级、授权模板、审批矩阵、仿真规则和黑白名单 | 指标卡、筛选器、表格、详情抽屉、策略画布、仿真报告、审批时间线、命令回执、操作弹窗 |

### 4.1 设备控制驾驶舱

- 页面目标：查看控制权限、联动策略、下发成功率、拦截风险和审计态势。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.2 控制申请台账

- 页面目标：发起远程控制、手动控制、批量控制、策略试运行和控制窗口申请。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.3 控制授权中心

- 页面目标：管理人员、角色、设备、控制点位、时间窗和客户范围的授权。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.4 联动策略编排

- 页面目标：配置告警、环境、容量、能效、门禁、消防和客户 SLA 触发策略。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.5 仿真与风险校验

- 页面目标：模拟策略命中、设备影响、客户影响、回退路径和阻断条件。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.6 双人复核工作台

- 页面目标：完成高风险控制的双人复核、班组确认、变更窗口确认和现场确认。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.7 控制下发与回执

- 页面目标：下发控制命令、查看边缘回执、设备状态和超时重试。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.8 回退与应急停止

- 页面目标：执行回退方案、紧急停止、锁定设备和恢复确认。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.9 控制审计与证据

- 页面目标：查看控制链路、审批意见、指令报文、回执、证据和操作日志。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

### 4.10 控制策略配置

- 页面目标：配置控制等级、授权模板、审批矩阵、仿真规则和黑白名单。
- 顶部指标：控制申请数、高风险控制数、授权拦截数、仿真阻断数、下发成功率、回退次数、双人复核率、审计完整率。
- 筛选条件：数据中心、设备类型、设备、点位、命令类型、风险等级、状态、控制窗口、申请人、客户影响。
- 表格字段：申请编号、控制对象、命令类型、目标值、风险等级、当前节点、窗口、复核人、下发状态、回执状态、更新时间。
- 主按钮：新建申请、授权校验、发起仿真、提交复核、下发命令、执行回退、紧急停止、导出审计。
- 行操作：查看详情、查看授权、查看仿真、审批决策、命令回执、回退计划、证据链、审计日志。
- 异常态：边缘离线时禁止下发；点位非白名单时阻断；回退方案无效时禁止高风险控制；客户影响未确认时阻断。
- 权限态：控制工程师只能提交授权范围内申请；值班长仅复核本班组窗口；审计员只读；智能体只能建议不能直接下发。

## 5. 业务流程与状态机

| 状态 | 中文名 | 进入条件 | 可执行动作 | 退出条件 |
|---|---|---|---|---|
| draft | 草稿 | 控制申请或联动策略创建，尚未提交 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| submitted | 已提交 | 申请进入风险校验和审批队列 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| risk_checking | 风险校验中 | 系统校验点位、设备状态、客户影响、联动范围和回退方案 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| reviewing | 复核审批中 | 值班长、安全复核人、客户代表或控制负责人会签 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| approved | 已批准 | 满足控制条件，等待执行窗口或触发条件 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| simulating | 仿真中 | 策略在影子环境中验证命中、影响和回退 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| ready_to_dispatch | 待下发 | 进入执行窗口，授权、复核、仿真和现场状态均满足 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| dispatching | 下发中 | 指令发送到边缘控制器或可控底座 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| executed | 已执行 | 收到成功回执并完成设备状态核验 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| rollback_required | 需回退 | 控制失败、状态异常或效果偏离，需要执行回退方案 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| rolled_back | 已回退 | 回退命令执行并完成恢复确认 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| blocked | 已阻断 | 权限、风险、窗口、仿真或现场条件不满足 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| closed | 已关闭 | 审批、执行、回执、证据和审计归档完成 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |
| voided | 已作废 | 申请撤销或策略停用，保留原因和审计 | 查看、编辑、提交、仿真、复核、下发、回退、阻断、关闭 | 满足状态规则并写入审计 |

主流程：草稿 -> 已提交 -> 风险校验中 -> 复核审批中 -> 已批准 -> 仿真中 -> 待下发 -> 下发中 -> 已执行/需回退 -> 已关闭。

关键业务规则：

1. 没有控制授权时，不允许提交控制申请。
2. 控制点位不在白名单或映射不可写时，必须阻断。
3. P0/P1 控制必须完成双人复核和回退方案校验。
4. 客户影响为 true 时必须增加客户确认或运营负责人确认。
5. 不在执行窗口内时禁止下发，只允许仿真。
6. 边缘网关离线、设备离线或点位状态异常时禁止下发。
7. 联动策略启用前必须完成仿真并解决冲突组。
8. 控制命令必须记录 payload hash、下发通道、回执和前后值。
9. 控制失败或超时必须进入回退或人工确认。
10. 紧急停止必须保留原因、范围、操作人和现场证据。

状态转换限制：

- draft -> submitted：必填设备、点位、命令、目标值、窗口和申请原因。
- submitted -> risk_checking：系统创建授权、点位、边缘、客户影响和回退校验任务。
- risk_checking -> reviewing：风险校验通过或带警告进入人工复核。
- reviewing -> approved：复核节点均同意且未存在阻断项。
- approved -> simulating：联动策略或高风险控制必须进入仿真。
- simulating -> ready_to_dispatch：仿真通过，冲突为 0，回退有效。
- ready_to_dispatch -> dispatching：当前时间在执行窗口内，边缘和设备在线。
- dispatching -> executed：收到成功回执且前后值符合目标。
- dispatching -> rollback_required：失败、超时、状态异常或效果偏离。
- rollback_required -> rolled_back：回退命令执行并完成恢复确认。
- any -> blocked：授权、窗口、仿真、回退、客户确认或现场状态不满足。
- executed/rolled_back/blocked -> closed：证据、回执、审计和复盘完成。

## 6. 数据库设计摘要

| 表名 | 中文名 | 设计目的 |
|---|---|---|
| control_request | 控制申请主表 | request_id PK、request_code、request_type、site_id、scope_type 等字段 |
| control_authorization | 控制授权表 | auth_id PK、subject_type、subject_id、role_id、site_id 等字段 |
| control_policy | 联动策略主表 | policy_id PK、policy_code、policy_name、site_id、scene_type 等字段 |
| control_policy_rule | 联动策略规则表 | rule_id PK、policy_id FK、version_id、condition_expr、trigger_metric 等字段 |
| control_simulation_job | 仿真校验任务表 | job_id PK、object_type、object_id、version_id、simulation_scope 等字段 |
| control_review_task | 复核审批任务表 | task_id PK、object_type、object_id、node_code、node_name 等字段 |
| control_command | 控制指令表 | command_id PK、request_id FK、policy_id FK、device_id、point_id 等字段 |
| control_receipt | 控制回执表 | receipt_id PK、command_id FK、edge_gateway_id、device_id、point_id 等字段 |
| control_rollback_plan | 回退方案表 | rollback_id PK、object_type、object_id、rollback_type、rollback_command 等字段 |
| control_evidence | 控制证据表 | evidence_id PK、object_type、object_id、evidence_type、file_id 等字段 |
| control_metric_daily | 控制指标快照表 | metric_id PK、site_id、metric_date、request_count、high_risk_count 等字段 |
| control_audit_log | 控制审计日志表 | audit_id PK、object_type、object_id、actor_id、actor_role 等字段 |

落库原则：控制申请、联动策略、命令、回执和审计必须分表；已下发命令不可物理删除；回执原文保留 hash；策略规则版本化；授权有有效期和命令范围；指标快照按日汇总。

## 7. 接口契约摘要

| Method | Path | 用途 | 关键入参 | 返回 |
|---|---|---|---|---|
| GET | /api/dcim/control/requests | 控制申请分页查询 | siteId,type,status,riskLevel,deviceId,page,pageSize | 申请列表、审批、仿真、下发和回退摘要 |
| POST | /api/dcim/control/requests | 创建控制申请 | requestType,siteId,deviceId,pointId,commandType,targetValue,window | requestId,requestCode,auditId |
| GET | /api/dcim/control/requests/{requestId} | 控制申请详情 | requestId | 主数据、风险、授权、复核、命令、回执、证据、审计 |
| PATCH | /api/dcim/control/requests/{requestId} | 更新控制申请 | targetValue,plannedWindow,riskLevel,customerImpactFlag | updatedAt,auditId |
| POST | /api/dcim/control/requests/{requestId}/submit | 提交风险校验 | comment,evidenceIds,reviewMode | simulationJobId,nextState,auditId |
| GET | /api/dcim/control/authorizations | 控制授权查询 | subjectId,siteId,deviceType,pointId,commandScope | 授权列表和有效期 |
| POST | /api/dcim/control/authorizations | 创建控制授权 | subject,role,siteId,deviceScope,pointScope,timeWindow,maxRisk | authId,auditId |
| POST | /api/dcim/control/requests/{requestId}/simulate | 控制仿真校验 | snapshotId,simulateMode,rollbackCheck | jobId,riskResult,conflicts |
| GET | /api/dcim/control/simulations/{jobId} | 仿真结果查询 | jobId | 命中链路、影响设备、客户影响、回退有效性 |
| POST | /api/dcim/control/review/tasks/{taskId}/decision | 复核审批决策 | decision,comment,evidenceIds,delegateTo | nextNode,nextState,auditId |
| POST | /api/dcim/control/requests/{requestId}/dispatch | 下发控制命令 | dispatchMode,operatorConfirm,evidenceIds | commandId,commandStatus,auditId |
| GET | /api/dcim/control/commands/{commandId}/receipt | 控制回执查询 | commandId | 回执状态、前后值、设备状态、错误码 |
| POST | /api/dcim/control/commands/{commandId}/retry | 控制命令重试 | reason,operatorConfirm | retryCount,commandStatus,auditId |
| POST | /api/dcim/control/requests/{requestId}/rollback | 执行回退 | rollbackId,reason,evidenceIds | rollbackStatus,receiptId,auditId |
| POST | /api/dcim/control/requests/{requestId}/emergency-stop | 紧急停止控制 | reason,scope,evidenceIds | blockedStatus,auditId |
| GET | /api/dcim/control/policies | 联动策略分页查询 | siteId,sceneType,status,riskLevel,enabled | 策略列表、版本、仿真、冲突摘要 |
| POST | /api/dcim/control/policies | 创建联动策略 | policyName,sceneType,triggerSource,ownerId | policyId,versionId,auditId |
| PUT | /api/dcim/control/policies/{policyId}/rules | 保存联动规则 | rules[],conflictCheck,simulateRequired | ruleCount,conflictCount,auditId |
| POST | /api/dcim/control/policies/{policyId}/enable | 启用联动策略 | versionId,effectiveRange,approvalTaskId | policyStatus,auditId |
| POST | /api/dcim/control/policies/{policyId}/disable | 停用联动策略 | reason,evidenceIds | policyStatus,auditId |
| GET | /api/dcim/control/reports/audit | 控制审计报告 | siteId,dateRange,objectType,riskLevel | 控制、阻断、回退、复核和审计指标 |
| GET | /api/dcim/control/audit-logs | 控制审计日志查询 | objectType,objectId,actorId,action,dateRange | 审计日志分页 |

接口规则：所有写接口必须写入 `control_audit_log`；下发、回退、急停、策略启停必须校验权限、状态机、窗口、仿真、边缘在线和回退有效性；跨边缘、告警、CMDB、权限中心调用必须保留 request_id。

## 8. 字段、权限、异常与审计

- 字段一致性：页面字段、字段字典、数据库字段、接口入参、Mock 数据和埋点属性必须统一，特别是设备、点位、命令、目标值、风险、窗口、回执和回退状态。
- 权限模型：控制负责人配置策略，控制工程师提交和执行，策略工程师维护联动，值班长双人复核，安全复核人确认风险，应急负责人回退，审计员只读。
- 异常处理：授权不足、点位不可写、边缘离线、设备离线、窗口过期、仿真冲突、客户未确认、回退无效、命令超时都必须可见、可阻断、可审计。
- 审计留痕：创建、授权、仿真、审批、启用、停用、下发、重试、回执、回退、急停、导出都必须记录 actor、object、before_state、after_state、payload_hash、request_id 和时间。

## 9. 埋点、报表与经营指标

| event | 触发时机 | 属性 | 指标用途 |
|---|---|---|---|
| control_request_view | 查看控制申请详情 | request_id/site_id/risk_level/status/user_role | 按申请追踪访问 |
| control_request_create | 创建控制申请 | request_type/device_id/point_id/command_type | 统计控制申请来源 |
| control_request_submit | 提交控制风险校验 | request_id/risk_level/customer_impact/window_minutes | 追踪审批发起 |
| control_auth_create | 创建控制授权 | subject_type/command_scope/max_risk_level/expire_at | 统计授权变化 |
| control_auth_denied | 授权校验失败 | subject_id/device_id/point_id/reason | 统计权限拦截 |
| control_policy_create | 创建联动策略 | scene_type/trigger_source/risk_level/owner_id | 统计策略来源 |
| control_policy_simulate | 联动策略仿真 | policy_id/risk_result/conflict_count/rollback_valid | 评估策略质量 |
| control_dual_review_decision | 双人复核决策 | task_id/decision/reviewer_role/sla_status | 分析复核效率 |
| control_dispatch_start | 控制下发开始 | command_id/channel/device_id/point_id | 追踪下发链路 |
| control_dispatch_receipt | 控制回执收到 | command_id/receipt_status/error_code/duration_ms | 计算成功率和延迟 |
| control_dispatch_blocked | 控制被阻断 | request_id/block_reason/risk_level/source | 统计安全拦截 |
| control_rollback_start | 回退开始 | rollback_id/request_id/reason/operator_id | 追踪回退动作 |
| control_rollback_complete | 回退完成 | rollback_id/result/duration_seconds/evidence_count | 计算回退成功率 |
| control_emergency_stop | 紧急停止 | request_id/scope/reason/operator_id | 追踪急停事件 |
| control_policy_enable | 启用联动策略 | policy_id/version_id/effective_from/risk_level | 追踪策略上线 |
| control_policy_disable | 停用联动策略 | policy_id/reason/operator_id | 追踪策略下线 |
| control_report_export | 导出控制审计报告 | report_type/date_range/format/watermark | 追踪报表导出 |
| control_cli_command | CLI 调用 | command/user/result/trace_id | 审计自动化调用 |
| control_agent_suggest | 智能体建议 | intent/source_count/accepted | 评估 AI 建议采纳 |

核心指标：控制申请数、高风险控制占比、授权拦截数、仿真阻断数、控制下发成功率、命令超时率、回退次数、回退成功率、双人复核率、策略冲突数、审计完整率、客户影响控制数。

## 10. CLI/智能体与 Demo 验收

CLI 命令组：

- `zhihang control request list --site IDC-A --risk P1`：查询高风险控制申请；输出 申请、风险、复核、下发状态。
- `zhihang control auth check --user U001 --device UPS-01 --command switch`：检查控制授权；输出 是否允许、原因、审批要求。
- `zhihang control simulate CTRL-202606-0001`：仿真控制申请；输出 影响设备、客户影响、冲突和回退有效性。
- `zhihang control policy diff POL-01 --from V1 --to V2`：比较联动策略版本；输出 触发条件、目标命令和风险变化。
- `zhihang control dispatch CTRL-202606-0001 --dry-run`：模拟下发控制；输出 通道、边缘网关、预计回执。
- `zhihang control receipt CMD-1001 --watch`：观察控制回执；输出 状态、前后值、错误码。
- `zhihang control rollback CTRL-202606-0001 --reason failed`：执行回退；输出 回退命令、回执、审计ID。
- `zhihang control block CTRL-202606-0001 --reason out-of-window`：阻断控制申请；输出 阻断原因、通知对象。
- `zhihang control report audit --site IDC-A --month 2026-06`：导出控制审计报告；输出 成功率、阻断、回退、复核指标。
- `zhihang control audit CTRL-202606-0001 --trace`：查询完整审计链路；输出 申请、审批、命令、回执、证据。

智能体能力：

- 控制风险评审助手：结合授权、点位、设备、客户、边缘状态和历史控制，输出风险缺口和阻断建议。
- 联动策略仿真助手：对策略规则进行命中回放、冲突检测、影响范围和回退有效性解释。
- 回执异常解释助手：根据命令 payload、边缘日志、设备状态和告警事件解释失败原因。
- 审计问答助手：回答谁在何时对什么设备下发了什么命令、结果如何、是否回退。

Demo 验收脚本：

1. 打开设备控制驾驶舱，看到控制申请、授权拦截、仿真阻断、下发成功率和回退指标。
2. 新建控制申请，选择站点、设备、点位、命令、目标值和执行窗口。
3. 执行授权校验，模拟授权不足、窗口过期、点位不可写三类阻断。
4. 配置联动策略，运行仿真，展示影响设备、客户影响、策略冲突和回退有效性。
5. 提交双人复核，查看值班长、安全复核人和客户确认节点。
6. 在执行窗口内下发命令，展示边缘通道、命令状态和设备回执前后值。
7. 模拟命令超时或设备状态异常，执行回退或紧急停止。
8. 导出控制审计报告，能串起申请、授权、仿真、审批、命令、回执、回退和证据。

### 10.1 页面字段与动作深化

| 页面 | 字段/动作 | 数据来源 | 业务规则 | 验收方式 |
|---|---|---|---|---|
| 设备控制驾驶舱 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 设备控制驾驶舱 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制申请台账 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制授权中心 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 联动策略编排 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 仿真与风险校验 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 双人复核工作台 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制下发与回执 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 回退与应急停止 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制审计与证据 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 授权状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 点位可写 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 边缘在线 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 执行窗口 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 风险等级 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 客户影响 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 仿真结论 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 复核节点 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 命令状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 回执状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 控制策略配置 | 回退状态 | CMDB/映射/边缘/工作流/控制命令/审计日志 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |

### 10.2 风险目录与阻断规则

| 风险场景 | 典型触发条件 | 必填控制措施 | 阻断规则 |
|---|---|---|---|
| 越权控制 | 人员、角色、时间窗或命令范围不匹配 | 授权票据、审批记录、复核人 | 授权校验失败直接阻断 |
| 点位不可写 | 映射管理标记只读、单位不一致、协议不支持 | 点位白名单、命令范围、协议校验 | 点位不可写时禁止下发 |
| 边缘离线 | 网关离线、驱动异常、通道不可用 | 边缘在线校验、备用通道、人工确认 | 边缘离线时只允许仿真 |
| 客户影响 | 设备归属客户区域或影响 SLA | 客户确认、影响窗口、恢复承诺 | 客户未确认时阻断 |
| 策略冲突 | 同一设备存在互斥策略或优先级冲突 | 冲突组、优先级、仿真报告 | 冲突未解决禁止启用 |
| 回退无效 | 无回退命令、回退目标不明确、恢复验证缺失 | 回退方案、恢复确认、证据要求 | 回退无效禁止高风险控制 |
| 窗口过期 | 当前时间不在审批通过窗口内 | 执行窗口、值班确认、延期审批 | 窗口外禁止下发 |
| 命令失败 | 超时、设备拒绝、回执错误码 | 重试规则、回退方案、人工升级 | 失败后进入需回退或人工确认 |

### 10.3 审批矩阵

| 条件 | 必经节点 | 可退回原因 | 升级规则 |
|---|---|---|---|
| P0/P1 高风险控制 | 控制工程师 -> 值班长 -> 安全复核人 -> 控制负责人 | 回退不足、窗口不合理、客户影响不清 | 审批超期升级运营负责人 |
| 客户影响控制 | 控制工程师 -> 客户代表 -> 控制负责人 | 客户通知缺失、影响范围不清 | 客户未确认禁止下发 |
| 联动策略启用 | 策略工程师 -> 安全复核人 -> 控制负责人 | 仿真冲突、规则不清、回退无效 | 冲突未清零禁止启用 |
| 紧急停止 | 应急负责人 -> 控制负责人 | 范围不清、证据不足 | 可先阻断后补审批，但必须审计 |
| 授权变更 | 权限管理员 -> 控制负责人 -> 审计员备案 | 授权范围过大、有效期过长 | 超范围授权自动预警 |

### 10.4 验收清单

| 验收项 | 合格标准 | 证据 |
|---|---|---|
| 控制申请闭环 | 可从创建、授权、仿真、复核、下发、回执到关闭走通 | Demo、API、审计日志 |
| 授权阻断 | 无授权、超范围、过期授权均不能下发 | 授权中心和弹窗提示 |
| 策略仿真 | 启用前展示影响设备、冲突和回退有效性 | 仿真报告和策略状态 |
| 双人复核 | P0/P1 控制必须双人复核 | 流程任务和审批记录 |
| 命令回执 | 下发后展示前后值、状态和错误码 | 回执表和页面详情 |
| 回退闭环 | 失败控制可执行回退并确认恢复 | 回退表、证据和审计 |
| 急停能力 | 可按范围阻断控制或策略 | 急停记录和状态变化 |
| 审计完整 | 申请、授权、仿真、审批、命令、回执、回退全链路可查 | 审计日志和导出报告 |
| 埋点可用 | 关键动作生成 control_* 事件 | TRACKING_PLAN |
| CLI 可用 | 可查询、校验、仿真、下发、回执、回退和审计 | CLI_AND_AGENT_SPEC |

## 11. 非目标范围

- 不直接绕过边缘控制、PLC、BA、动环或厂家系统做底层协议控制，本模块负责治理、审批、仿真、下发编排和审计。
- 不自动批准高风险控制，不允许智能体直接下发真实控制命令。
- 不替代正式变更管理；涉及生产影响的控制必须与变更窗口或值班窗口联动。
- Demo 可使用 Mock 数据，但字段、状态、接口、埋点、命令回执和审计必须映射真实智航底座。