# 29 施工安全管理、环境安全管理、消防安全管理与员工工伤管理 PRD

## 0. Demo开发摘要

- 一句话定位：本模块把数据中心施工安全、环境安全、消防安全和员工工伤管理统一成 EHS 闭环，覆盖作业许可、风险评估、审批会签、现场证据、作业执行、暂停叫停、隐患整改、工伤调查、复盘归档和合规报表。
- 菜单挂载：运维中心 / 安全合规 / EHS 安全管理；与供应商、人员资质、门禁访客、视频 AI、消防监控、工单、知识库、工作流和报表中心联动。
- Demo主路径：创建动火/高处/临电作业许可 -> 风险评估 -> 消防与环境检查 -> 审批会签 -> 执行前复核 -> 作业执行 -> 异常暂停或验收关闭 -> 隐患整改 -> 工伤事件调查 -> 导出合规证据包。
- 核心页面：EHS 安全驾驶舱、安全作业许可台账、作业风险评估、环境安全检查、消防安全管理、员工工伤事件、审批与会签流程、现场证据与视频、隐患整改闭环、EHS 报表与审计。
- 复用智航能力：CMDB 空间与设备、供应商、人员资质、门禁访客、AI盒子/视频、消防告警、工作流、知识库、低代码表单、报表中心、权限中心、dcim-cli。
- 需要 Mock 的 API：许可、风险、控制措施、消防隔离、环境检查、工伤事件、流程任务、证据、整改、报表、审计日志。

## 1. 制度依据与行业依据

- 制度原文依据状态：本轮本地制度知识库仍未定位到 `DATACENTER_OPS_KB_ROOT`，不能把内部制度条文写成已命中依据。以下内容基于仓库白皮书、现状盘点、规划文档、EHS 常见管理动作和产品化推导。
- 本地白皮书依据：DCOM 强调集中监控、集中运维、集中管理和 ITIL 运行管理功能群；安全作业和消防/环境/工伤虽然不是传统 DCIM 设备监控本身，但属于数据中心运营管理的风险闭环。
- 本地现状依据：智航已有 BPMN 流程、供应商、人员、门禁、视频、AI盒子、知识库、告警事件和报表基础；EHS 模块应作为这些能力的安全合规编排层。
- 本地规划依据：智航向 DCOM 和 L4 自动化演进，不能只管理设备告警，还要管理作业风险、供应商现场行为、消防联动、客户影响和合规证据。
- 产品化推导：EHS 设计必须落成作业许可、风险评估、控制措施、审批矩阵、现场证据、整改复核、工伤调查、审计日志和指标报表，而不是简单登记安全事件。

## 2. 现有能力复用分析

| 能力 | 复用对象 | EHS 中的使用方式 | 新增边界 |
|---|---|---|---|
| CMDB | 站点、空间、设备、消防系统、客户区域 | 定位作业空间、影响设备和消防/环境对象 | 新增作业风险和空间影响快照 |
| 工作流 | BPMN、审批、会签、退回、转交 | 承载作业许可、风险审批、消防确认、客户确认、复工审批 | 新增 EHS 审批矩阵和暂停叫停节点 |
| 供应商 | 施工单位、资质、合同、人员 | 校验施工单位资质、黑名单和现场负责人 | 新增 EHS 风险评分和违规记录 |
| 人员资质 | 员工、外包、证照、角色 | 校验特种作业、消防监护、安全员和复工限制 | 新增证照到期和复工状态联动 |
| 门禁访客 | 出入记录、授权、访客 | 验证施工人员是否进入许可空间和时间窗 | 新增越界和超时风险提示 |
| AI盒子/视频 | 摄像头、识别、现场照片 | 作为 PPE、消防通道、动火监护、现场恢复证据 | 新增证据 hash、AI 识别置信度和审计有效性 |
| 消防告警 | 气灭、烟感、消防主机、报警策略 | 动火、隔离、旁路、恢复和报警联动确认 | 新增消防恢复闭环和旁路审计 |
| 知识库 | 安全规程、事故复盘、培训材料 | 推荐风险控制措施、复盘案例和整改模板 | 新增 EHS 案例沉淀和培训引用 |
| 报表中心 | 报表、导出、订阅 | 输出作业安全、环境、消防、工伤、整改和审计报告 | 新增 EHS 主题数据集 |

## 3. 用户角色与业务场景

| 角色 | 主要动作 | 关注点 |
|---|---|---|
| EHS 负责人 | 配置审批矩阵、查看风险态势、处理高风险升级和合规报表 | 重大风险、审批超期、事故趋势、整改关闭率 |
| 施工负责人 | 发起作业许可、提交风险信息、上传执行证据 | 审批通过、现场可执行、客户影响和作业窗口 |
| 安全员 | 风险评估、执行前复核、现场巡查、暂停叫停和整改复核 | 控制措施、PPE、停止条件、证据完整 |
| 消防负责人 | 确认消防隔离、动火监护、气灭锁定、消防恢复 | 消防联动、恢复状态、旁路审计 |
| 环境安全员 | 检查噪声、粉尘、危废、排水、通道和客户区域保护 | 环境指标、恢复验收、客户投诉 |
| 人事与安全员 | 登记工伤、组织调查、跟踪整改和复工评估 | 人员状态、上报时限、责任认定、复工限制 |
| 运营负责人 | 查看 EHS 指标、供应商风险和合规证据包 | 风险可视、事故下降、审计可查、供应商治理 |

核心业务场景：

1. 供应商需要在客户机房附近动火施工，施工负责人发起作业许可，选择空间、作业窗口、施工人员和供应商。
2. 系统基于 CMDB 空间、门禁、消防系统和客户区域识别影响范围，安全员补充危险源、控制措施和停止条件。
3. 消防负责人确认气灭锁定、报警旁路、灭火器和消防监护；环境安全员确认通道、粉尘、噪声和客户区域保护。
4. 作业进入审批会签，涉及客户影响或高风险作业时进入 EHS 负责人和客户代表会签。
5. 执行前安全员通过移动端或 AI盒子上传 PPE、围挡、消防器材、现场恢复照片，系统校验证据完整性。
6. 作业中若出现消防告警、门禁越界、客户投诉或现场条件变化，安全员暂停作业并生成隐患整改。
7. 作业完成后进行环境恢复和消防恢复验收，形成证据包；若发生工伤，进入调查、整改和复工评估。

## 4. 信息架构与页面清单

| 页面 | 路由 | 角色 | 页面目标 | 核心组件 |
|---|---|---|---|---|
| EHS 安全驾驶舱 | `/ehs/overview` | EHS 负责人 | 查看作业许可、环境风险、消防隐患、工伤事件和整改闭环态势 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 安全作业许可台账 | `/ehs/permit` | 施工负责人 | 发起动火、高处、临电、吊装、受限空间、割接等作业许可 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 作业风险评估 | `/ehs/risk` | 安全员 | 识别作业风险、控制措施、审批门槛、现场复核和停止条件 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 环境安全检查 | `/ehs/environment` | 环境安全员 | 管理噪声、粉尘、危废、排水、温湿度、施工影响和客户区域保护 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 消防安全管理 | `/ehs/fire` | 消防负责人 | 管理消防巡查、动火联动、气灭隔离、消防通道、报警联动和隐患整改 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 员工工伤事件 | `/ehs/injury` | 人事与安全员 | 登记工伤、急救、上报、调查、整改和复工评估 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 审批与会签流程 | `/ehs/workflow` | EHS 负责人 | 完成作业审批、风险会签、客户确认、消防确认和复工审批 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 现场证据与视频 | `/ehs/evidence` | 安全员 | 管理照片、视频、AI盒子识别、签字、测量记录和审计 hash | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| 隐患整改闭环 | `/ehs/rectify` | 整改责任人 | 跟踪隐患整改、复核关闭、逾期升级和复盘改进 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |
| EHS 报表与审计 | `/ehs/report` | 运营负责人 | 输出作业安全、环境、消防、工伤、整改和合规证据包 | 指标卡、筛选器、表格、详情抽屉、风险矩阵、证据墙、审批时间线、操作弹窗 |

### 4.1 EHS 安全驾驶舱

- 页面目标：查看作业许可、环境风险、消防隐患、工伤事件和整改闭环态势。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.2 安全作业许可台账

- 页面目标：发起动火、高处、临电、吊装、受限空间、割接等作业许可。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.3 作业风险评估

- 页面目标：识别作业风险、控制措施、审批门槛、现场复核和停止条件。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.4 环境安全检查

- 页面目标：管理噪声、粉尘、危废、排水、温湿度、施工影响和客户区域保护。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.5 消防安全管理

- 页面目标：管理消防巡查、动火联动、气灭隔离、消防通道、报警联动和隐患整改。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.6 员工工伤事件

- 页面目标：登记工伤、急救、上报、调查、整改和复工评估。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.7 审批与会签流程

- 页面目标：完成作业审批、风险会签、客户确认、消防确认和复工审批。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.8 现场证据与视频

- 页面目标：管理照片、视频、AI盒子识别、签字、测量记录和审计 hash。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.9 隐患整改闭环

- 页面目标：跟踪隐患整改、复核关闭、逾期升级和复盘改进。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

### 4.10 EHS 报表与审计

- 页面目标：输出作业安全、环境、消防、工伤、整改和合规证据包。
- 顶部指标：作业许可数、高风险作业数、审批超期数、暂停作业数、消防未恢复数、整改关闭率、工伤事件数、证据完整率。
- 筛选条件：数据中心、作业类型、空间、供应商、风险等级、状态、计划时间、客户影响、整改状态。
- 表格字段：许可编号、作业类型、站点、空间、供应商、风险等级、当前节点、责任人、计划窗口、状态、证据完整率。
- 主按钮：新建许可、风险评估、提交审批、执行前复核、暂停作业、验收关闭、登记工伤、导出证据包。
- 行操作：查看详情、上传证据、消防确认、环境检查、审批决策、创建整改、复核关闭、查看审计。
- 异常态：CMDB 不可用时允许手填空间但标记待核验；视频不可用时允许照片替代；消防联动失败时阻断动火许可。
- 权限态：施工负责人只能看本单位许可；安全员可叫停；消防负责人只处理消防节点；客户代表只能看授权区域和脱敏证据。

## 5. 业务流程与状态机

| 状态 | 中文名 | 进入条件 | 可执行动作 | 退出条件 |
|---|---|---|---|---|
| draft | 草稿 | 作业申请或检查记录创建，尚未提交 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| submitted | 已提交 | 进入安全评估和审批队列 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| risk_assessing | 风险评估中 | 安全员识别风险、控制措施、影响范围和审批门槛 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| reviewing | 会签中 | 专业、消防、客户、运维和供应商按矩阵会签 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| approved | 已批准 | 满足作业条件，可进入执行前复核 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| pre_checking | 执行前复核 | 现场人员、工具、隔离、消防、环境和证据要求复核 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| executing | 执行中 | 作业进行中，记录现场证据、巡查、异常和停止条件 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| suspended | 已暂停 | 现场条件变化、告警触发、客户影响或安全员叫停 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| pending_acceptance | 待验收 | 作业完成，等待现场复核、环境恢复和消防确认 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| rectifying | 整改中 | 存在隐患、违规、事故或证据缺失，需要整改闭环 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| closed | 已关闭 | 验收、整改、复盘、归档完成 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |
| voided | 已作废 | 申请撤销或作业取消，保留原因和审计 | 查看、编辑、提交、审批、复核、执行、暂停、整改、关闭 | 满足节点规则并生成审计记录 |

主流程：草稿 -> 已提交 -> 风险评估中 -> 会签中 -> 已批准 -> 执行前复核 -> 执行中 -> 待验收/整改中 -> 已关闭。

关键业务规则：

1. 高风险作业未完成风险评估和控制措施核验时，不允许进入审批。
2. 动火、消防隔离、气灭锁定类作业必须经过消防负责人确认。
3. 涉及客户区域、客户 SLA 或访问路径的作业必须经过客户确认或运营负责人确认。
4. 执行前复核未通过时，不允许开始作业。
5. 作业中出现消防告警、门禁越界、客户投诉、PPE 不合规或现场条件变化时，安全员可立即暂停作业。
6. 暂停作业必须填写原因、触发来源、现场证据和恢复条件。
7. 消防隔离或报警旁路未恢复时，不允许关闭作业。
8. 环境恢复未确认时，不允许关闭涉及环境影响的作业。
9. 工伤事件必须关联人员、时间、地点、急救结果、调查状态和复工状态。
10. 整改逾期必须升级给 EHS 负责人和运营负责人。

状态转换限制：

- draft -> submitted：必须填写作业类型、空间、供应商、计划窗口、施工负责人和作业内容。
- submitted -> risk_assessing：系统创建风险评估任务并锁定基础信息。
- risk_assessing -> reviewing：至少一条危险源、一条控制措施和一条停止条件通过校验。
- reviewing -> approved：安全、消防、环境、客户或运维节点均完成决策。
- approved -> pre_checking：进入执行当天或人工触发执行前复核。
- pre_checking -> executing：所有必填控制措施核验通过，证据完整率达到门槛。
- executing -> suspended：安全员叫停、系统告警、门禁越界、客户投诉或现场条件变化。
- executing -> pending_acceptance：施工负责人提交完工，现场证据和恢复记录齐全。
- pending_acceptance -> closed：消防恢复、环境恢复、现场验收和整改项均关闭。
- rectifying -> closed：整改责任人提交证据，安全员或 EHS 负责人复核通过。
- any -> voided：申请撤销、作业取消或窗口失效，必须保留原因。

## 6. 数据库设计摘要

| 表名 | 中文名 | 设计目的 |
|---|---|---|
| ehs_work_permit | 安全作业许可主表 | permit_id PK、permit_code、permit_type、site_id、space_ref_id 等字段 |
| ehs_risk_assessment | 作业风险评估表 | assessment_id PK、permit_id FK、hazard_type、risk_source、impact_scope 等字段 |
| ehs_control_measure | 控制措施明细表 | measure_id PK、permit_id FK、assessment_id FK、measure_type、measure_desc 等字段 |
| ehs_fire_isolation | 消防隔离与联动表 | fire_id PK、permit_id FK、fire_system_ref、isolation_type、bypass_scope 等字段 |
| ehs_environment_check | 环境安全检查表 | env_check_id PK、permit_id FK、check_type、metric_code、baseline_value 等字段 |
| ehs_injury_incident | 员工工伤事件表 | injury_id PK、incident_code、site_id、person_id、person_type 等字段 |
| ehs_workflow_task | 审批会签任务表 | task_id PK、object_type、object_id、node_code、node_name 等字段 |
| ehs_evidence | 现场证据表 | evidence_id PK、object_type、object_id、evidence_type、file_id 等字段 |
| ehs_rectification | 隐患整改表 | rectify_id PK、source_type、source_id、hazard_desc、severity 等字段 |
| ehs_metric_daily | EHS 指标快照表 | metric_id PK、site_id、metric_date、permit_count、high_risk_permit_count 等字段 |
| ehs_audit_log | 审计日志表 | audit_id PK、object_type、object_id、actor_id、actor_role 等字段 |

落库原则：作业许可是聚合根；风险、控制措施、消防、环境、证据、整改、工伤事件独立建表；所有审批和关键状态写入任务表和审计日志；指标快照按日汇总，避免实时数据变化影响历史报表。

## 7. 接口契约摘要

| Method | Path | 用途 | 关键入参 | 返回 |
|---|---|---|---|---|
| GET | /api/dcim/ehs/permits | 作业许可分页查询 | siteId,type,status,riskLevel,contractorId,dateRange,page,pageSize | 许可列表、风险、审批、执行和整改摘要 |
| POST | /api/dcim/ehs/permits | 创建作业许可 | permitType,siteId,spaceRefId,workContent,contractorId,plannedRange | permitId,permitCode,auditId |
| GET | /api/dcim/ehs/permits/{permitId} | 作业许可详情 | permitId | 主表、风险、控制措施、消防、环境、审批、证据、整改 |
| PATCH | /api/dcim/ehs/permits/{permitId} | 更新作业许可 | workContent,plannedRange,customerImpactFlag,riskLevel | updatedAt,auditId |
| POST | /api/dcim/ehs/permits/{permitId}/submit | 提交作业审批 | comment,evidenceIds,reviewMode | workflowTaskId,nextState,auditId |
| PUT | /api/dcim/ehs/permits/{permitId}/risk-assessment | 保存风险评估 | hazards[],controlMeasures[],stopConditions[] | assessmentIds,riskLevel,auditId |
| PUT | /api/dcim/ehs/permits/{permitId}/control-measures | 核验控制措施 | measureResults[],evidenceIds | verifiedCount,blockingCount,auditId |
| PUT | /api/dcim/ehs/permits/{permitId}/fire-isolation | 配置消防隔离联动 | fireSystemRef,isolationType,bypassScope,restorePlan | fireId,restoreStatus,auditId |
| PUT | /api/dcim/ehs/permits/{permitId}/environment-checks | 保存环境检查 | checks[],baseline,threshold,evidenceIds | checkResult,rectifyRequired |
| GET | /api/dcim/ehs/permits/{permitId}/workflow | 查询审批会签 | permitId | 节点、任务、SLA、意见、阻断项 |
| POST | /api/dcim/ehs/workflow/tasks/{taskId}/decision | 审批决策 | decision,comment,delegateTo,evidenceIds | nextNode,nextState,auditId |
| POST | /api/dcim/ehs/permits/{permitId}/pre-check | 执行前复核 | checkItems[],evidenceIds,现场确认人 | preCheckStatus,blockingItems,auditId |
| PATCH | /api/dcim/ehs/permits/{permitId}/execution-status | 执行状态回写 | status,actualTime,comment,evidenceIds | permitStatus,auditId |
| POST | /api/dcim/ehs/permits/{permitId}/suspend | 暂停作业 | reason,triggerSource,evidenceIds | permitStatus,rectifyId,auditId |
| POST | /api/dcim/ehs/permits/{permitId}/accept | 作业验收关闭 | acceptResult,environmentRestore,fireRestore,evidenceIds | permitStatus,closeReportId |
| POST | /api/dcim/ehs/injury-incidents | 登记工伤事件 | personId,injuryType,severity,occurredAt,firstAid,evidenceIds | injuryId,incidentCode,workflowTaskId |
| PATCH | /api/dcim/ehs/injury-incidents/{injuryId}/investigation | 提交工伤调查 | rootCause,责任认定,rectifyActions,evidenceIds | investigationStatus,auditId |
| PATCH | /api/dcim/ehs/injury-incidents/{injuryId}/return-work | 复工评估 | returnWorkResult,medicalEvidenceIds,restrictions | returnWorkStatus,auditId |
| POST | /api/dcim/ehs/rectifications | 创建隐患整改 | sourceType,sourceId,hazardDesc,severity,ownerId,dueAt | rectifyId,status |
| PATCH | /api/dcim/ehs/rectifications/{rectifyId}/verify | 整改复核关闭 | verifyResult,comment,evidenceIds | rectifyStatus,auditId |
| GET | /api/dcim/ehs/evidence | 证据链查询 | objectType,objectId,evidenceType,dateRange | 附件、照片、视频、签字、hash |
| GET | /api/dcim/ehs/reports/compliance | EHS 合规报表 | siteId,dateRange,permitType,riskLevel | 作业、环境、消防、工伤、整改和审计指标 |
| GET | /api/dcim/ehs/audit-logs | 审计日志查询 | objectType,objectId,actorId,action,dateRange | 审计日志分页 |

接口规则：所有写接口必须写入 `ehs_audit_log`；涉及审批、暂停、消防恢复、工伤调查和整改关闭的接口必须校验状态机、权限、证据和 SLA；跨模块调用 CMDB、门禁、消防、视频和供应商时必须保留来源系统和 request_id。

## 8. 字段、权限、异常与审计

- 字段一致性：页面字段、字段字典、数据库字段、接口入参、Mock 数据和埋点属性必须统一，特别是作业类型、风险等级、空间、供应商、消防恢复、环境恢复和工伤状态。
- 权限模型：施工负责人可创建和提交；安全员可评估、复核和叫停；消防负责人处理消防节点；环境安全员处理环境节点；人事与安全员处理工伤；EHS 负责人处理升级和报表。
- 异常处理：CMDB 不可用、门禁越界、消防未恢复、视频不可用、证据缺失、审批超期、整改逾期、工伤上报缺失都必须可见、可追踪、可升级。
- 审计留痕：创建、提交、评估、审批、消防确认、环境检查、执行开始、暂停、验收、整改、工伤调查、复工、导出都必须记录 actor、object、before_state、after_state、request_id 和时间。

## 9. 埋点、报表与经营指标

| event | 触发时机 | 属性 | 指标用途 |
|---|---|---|---|
| ehs_permit_view | 查看作业许可详情 | permit_id/site_id/permit_type/status/user_role | 按许可追踪访问和下钻 |
| ehs_permit_create | 创建作业许可 | permit_type/site_id/space_ref_id/contractor_id | 统计作业类型和来源 |
| ehs_permit_submit | 提交作业审批 | permit_id/risk_level/customer_impact/comment_length | 追踪审批发起和高风险比例 |
| ehs_risk_create | 新增风险评估 | hazard_type/risk_level/impact_scope/control_count | 统计危险源和控制措施 |
| ehs_risk_review | 评审风险控制 | assessment_id/decision/blocking_count/reviewer_role | 分析风险退回和阻断 |
| ehs_fire_review | 消防确认 | fire_id/isolation_type/restore_status/decision | 追踪消防隔离和恢复 |
| ehs_environment_review | 环境检查确认 | check_type/check_result/threshold_hit/rectify_required | 分析环境风险 |
| ehs_precheck_verify | 执行前复核 | permit_id/pass_count/fail_count/evidence_count | 判断作业前置条件是否满足 |
| ehs_execution_start | 作业开始 | permit_id/executor_role/fire_watch_owner/customer_impact | 统计执行开始和现场监护 |
| ehs_execution_complete | 作业完成 | permit_id/duration_minutes/evidence_count/restore_status | 计算完成率和证据完整度 |
| ehs_suspend_submit | 暂停作业 | permit_id/reason/trigger_source/severity | 统计叫停原因和风险 |
| ehs_accept_decision | 作业验收决策 | permit_id/accept_result/environment_restore/fire_restore | 追踪验收质量 |
| ehs_injury_create | 登记工伤事件 | injury_type/severity/person_type/linked_permit | 统计工伤事件 |
| ehs_injury_review | 工伤调查复盘 | injury_id/root_cause/rectify_count/return_work_status | 跟踪调查和复工 |
| ehs_rectify_create | 创建隐患整改 | source_type/severity/owner_id/due_at | 统计隐患来源 |
| ehs_rectify_verify | 整改复核 | rectify_id/verify_result/reopen_count/evidence_count | 统计关闭率和重开率 |
| ehs_report_export | 导出 EHS 报告 | report_type/date_range/format/watermark | 追踪合规报表导出 |
| ehs_cli_command | CLI 调用 | command/user/result/trace_id | 审计自动化调用 |
| ehs_agent_suggest | 智能体建议 | intent/source_count/accepted | 评估 AI 建议采纳 |

核心指标：作业许可数、高风险作业占比、审批超期率、执行前复核通过率、暂停作业率、消防恢复率、环境恢复率、整改关闭率、整改逾期数、工伤事件数、证据完整率、供应商违规次数、客户影响次数。

## 10. CLI/智能体与 Demo 验收

CLI 命令组：

- `zhihang ehs permit list --site IDC-A --risk P1`：查询高风险作业许可；输出 许可、风险、审批、执行状态。
- `zhihang ehs permit validate EHS-P-202606-0001`：执行前条件校验；输出 缺控制措施、缺证据、消防未恢复。
- `zhihang ehs risk explain EHS-P-202606-0001`：解释作业风险；输出 危险源、影响范围、控制措施。
- `zhihang ehs fire-check EHS-P-202606-0001`：检查消防隔离恢复；输出 气灭锁定、报警旁路、恢复状态。
- `zhihang ehs env-check EHS-P-202606-0001 --after-work`：检查环境恢复；输出 噪声、粉尘、通道、客户区域影响。
- `zhihang ehs suspend EHS-P-202606-0001 --reason alarm`：暂停作业；输出 暂停任务、整改ID、审计ID。
- `zhihang ehs injury report --site IDC-A --month 2026-06`：导出工伤事件报告；输出 事件、调查、整改、复工。
- `zhihang ehs rectify overdue --site IDC-A`：查询逾期整改；输出 整改责任人、逾期天数、升级建议。
- `zhihang ehs evidence verify --object EHS-P-202606-0001`：校验证据链；输出 hash、采集来源、审计有效性。
- `zhihang ehs report compliance --site IDC-A --month 2026-06`：导出合规报表；输出 作业、环境、消防、工伤、整改指标。

智能体能力：

- 作业风险评审助手：结合空间、作业类型、供应商、消防状态、门禁和历史隐患，生成风险提示和控制措施缺口。
- 现场证据检查助手：识别 PPE、消防器材、通道占用、围挡、动火监护和环境恢复证据是否齐全。
- 工伤调查助手：基于事件、人员、现场证据、门禁和任务记录，生成调查问题清单和整改建议。
- 整改复盘助手：分析重复隐患、逾期原因、供应商风险和知识库沉淀建议。

Demo 验收脚本：

1. 打开 EHS 安全驾驶舱，看到作业、高风险、消防、环境、工伤和整改指标。
2. 新建动火作业许可，选择站点、空间、供应商、计划窗口和客户影响。
3. 在风险评估页新增危险源、控制措施、PPE 和停止条件。
4. 完成消防隔离和环境检查，上传现场证据。
5. 提交审批，会签节点能显示安全员、消防负责人、客户确认和 EHS 负责人。
6. 执行前复核通过后开始作业，模拟消防告警或门禁越界并暂停作业。
7. 创建隐患整改并复核关闭，作业验收时检查消防和环境恢复。
8. 登记工伤事件，完成调查和复工评估，导出合规证据包。

### 10.1 页面字段与动作深化

| 页面 | 字段/动作 | 数据来源 | 业务规则 | 验收方式 |
|---|---|---|---|---|
| EHS 安全驾驶舱 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 安全驾驶舱 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 安全作业许可台账 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 作业风险评估 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 环境安全检查 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 消防安全管理 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 员工工伤事件 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 审批与会签流程 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 现场证据与视频 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| 隐患整改闭环 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 许可状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 风险等级 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 供应商 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 空间路径 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 客户影响 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 证据完整率 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 审批节点 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 整改状态 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 消防恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |
| EHS 报表与审计 | 环境恢复 | CMDB/工作流/证据/作业许可/整改台账 | 字段变化必须触发权限校验、状态机校验和审计日志 | 页面可见、接口返回、Mock 有值、埋点可追踪 |

### 10.2 风险目录与控制措施

| 风险场景 | 典型触发条件 | 必填控制措施 | 阻断规则 |
|---|---|---|---|
| 动火作业 | 客户机房、气灭区、消防报警旁路、易燃材料附近 | 动火监护、灭火器、气灭锁定、消防确认、完工恢复 | 消防未确认或恢复计划缺失时阻断 |
| 高处作业 | 高于限定高度、吊顶、桥架、冷站平台 | 安全带、监护人、工具防坠、区域隔离、视频证据 | PPE 缺失或监护人缺失时阻断 |
| 临电作业 | 临时电源、配电间、UPS/PDU 附近 | 电气资质、绝缘工具、停送电确认、双人复核 | 资质缺失或回退动作缺失时阻断 |
| 吊装搬运 | 设备搬入、机柜搬迁、重物移动 | 路线确认、承重校验、围挡、门禁授权、客户通知 | 路线与客户区域冲突时阻断 |
| 受限空间 | 夹层、管井、冷站封闭区域 | 气体检测、监护、通风、应急联络、进出登记 | 气体检测缺失时阻断 |
| 消防隔离 | 气灭锁定、报警旁路、烟感隔离 | 隔离范围、恢复时间、消防负责人、恢复证据 | 恢复状态不是已恢复时禁止关闭 |
| 环境影响 | 粉尘、噪声、危废、排水、异味 | 基线记录、过程检查、恢复验收、客户区域保护 | 环境恢复未确认时禁止关闭 |
| 客户影响 | 客户区域施工、访问路径占用、SLA 影响 | 客户确认、通知记录、影响窗口、恢复承诺 | 客户确认缺失时阻断 |

### 10.3 审批矩阵

| 条件 | 必经节点 | 可退回原因 | 升级规则 |
|---|---|---|---|
| P0/P1 高风险作业 | 安全员 -> EHS 负责人 -> 运营负责人 | 控制措施不足、证据不足、窗口冲突 | 审批超期 2 小时升级运营负责人 |
| 动火或消防隔离 | 安全员 -> 消防负责人 -> EHS 负责人 | 消防恢复计划缺失、监护人缺失 | 作业开始前未确认自动阻断 |
| 客户区域或客户影响 | 安全员 -> 客户代表 -> 运营负责人 | 客户通知不足、影响范围不清 | 客户确认缺失不得开工 |
| 供应商高风险或黑名单 | 安全员 -> 供应商管理员 -> EHS 负责人 | 资质过期、违规未闭环 | 供应商风险分超阈值自动升级 |
| 工伤复工 | 人事与安全员 -> EHS 负责人 -> 运营负责人 | 医疗证据不足、复工限制不清 | 重伤或重复事故必须复盘会签 |

### 10.4 异常处理清单

| 异常 | 页面提示 | 系统动作 | 审计要求 |
|---|---|---|---|
| CMDB 空间不可用 | 显示空间待核验并提示手填 | 允许暂存但禁止审批通过 | 记录手填人和后续核验人 |
| 视频平台不可用 | 提示视频证据不可采集 | 允许照片替代并标记证据降级 | 记录降级原因和审批人 |
| 消防系统未恢复 | 显示消防恢复阻断 | 禁止关闭作业并创建整改 | 记录消防负责人和恢复时间 |
| 门禁越界 | 显示人员越界和许可不匹配 | 暂停作业并通知安全员 | 记录门禁事件和人员ID |
| 审批超期 | 显示超期节点和责任人 | 催办并升级 EHS 负责人 | 记录催办次数和升级链路 |
| 整改逾期 | 显示逾期天数和影响范围 | 升级运营负责人并锁定关闭动作 | 记录整改责任人和延期理由 |
| 工伤信息缺失 | 显示缺人员、急救或证据 | 禁止调查关闭和复工通过 | 记录补录人和补录时间 |
| 权限不足 | 隐藏操作并说明所需角色 | 返回 403，不写业务状态 | 记录访问对象和角色 |

### 10.5 验收清单

| 验收项 | 合格标准 | 证据 |
|---|---|---|
| 作业许可闭环 | 可从新建、审批、复核、执行、验收到关闭走完 | Demo 点击、API Mock、审计日志 |
| 高风险阻断 | 缺风险评估、缺消防确认、缺执行前复核时不能开工 | 状态机和弹窗提示 |
| 消防恢复闭环 | 消防隔离必须恢复后才能关闭作业 | 消防表、证据、验收状态 |
| 环境恢复闭环 | 环境检查异常必须整改或复核 | 环境检查表和整改单 |
| 工伤事件闭环 | 登记、调查、整改、复工状态可追踪 | 工伤事件表和流程任务 |
| 证据链完整 | 照片、视频、签字、hash、采集来源可查 | 证据表和导出报告 |
| 权限隔离 | 施工、安全、消防、客户、运营角色动作不同 | 权限矩阵和按钮状态 |
| 埋点可用 | 关键动作生成 ehs_* 事件 | TRACKING_PLAN 和审计报告 |
| CLI 可用 | 可查询、校验、暂停、导出、审计 | CLI_AND_AGENT_SPEC |
| 命名一致 | Excel 标准名、PRD 标题、Demo 标题一致 | 命名审计脚本 |

## 11. 非目标范围

- 不替代国家/地方 EHS 制度原文和公司正式制度审批，本模块只承载产品化执行和证据闭环。
- 不新建消防监控、视频平台、门禁系统、供应商系统和人员资质系统，只做集成引用和审计固化。
- 不自动批准高风险作业，不自动解除消防隔离或气灭锁定。
- Demo 可使用 Mock 数据，但字段、状态、接口、埋点、证据和审计必须映射真实智航底座。