Gestione

La gestione dei sistemi di videosorveglianza

Il mondo IP: dispositivi e reti

La trasformazione digitale ha profondamente modificato, non solo il concetto di videosorveglianza nel significato più stretto del termine, che ha portato a cambiarne gli acronimi da TVCC (Televisione a circuito chiuso) – prettamente legato al mondo della trasmissione dei segnali acquisiti via cavo coassiale del mondo analogico – a quello di VSS (Video Surveillance System) in cui le telecamere e tutti i sistemi di acquisizione, registrazione e visualizzazione sono di fatto dispositivi IP (Internet Protocol) digitali e di conseguenza connessi ad una rete Ethernet privata e/o pubblica.

Questo capitolo tratterà della gestione delle immagini e del coordinamento di una sala controllo.

E’ quindi necessario comprendere come ogni singolo oggetto, connettibile su una rete dati, deve sottostare a ben precise caratteristiche beneficiando in primo luogo della condivisione di un’infrastruttura di rete di comunicazione.
Per poter collegare tra loro diversi dispositivi sulla stessa rete dati, serve un cavo UTP con un connettore RJ45 il quale parte dal dispositivo e si attesta ad uno switch di rete (apparato multiporta) col compito di coordinare e distribuire le informazioni con cui comunicano i vari apparati. Lo switch si occupa altresì di gestire le “collisioni” dei pacchetti dei dati che ogni dispositivo invia di continuo in rete (datalink). Ad ogni dispositivo deve essere assegnato un indirizzo diverso (es. 192.168.0.32) istruendo la scheda di rete a comunicare attraverso una Netmask o Subnet mask (es. 255.255.255.0) ed un Gateway (es. 192.168.0.1). Tutti i dispositivi connessi sullo stesso switch e configurati con un set di indirizzi IP diversi tra loro ma con la stessa netmask e gateway potranno ora comunicare tra loro.
Una rete (sia casalinga, che aziendale), interconnessa a diversi apparati forma una rete LAN (Local Area Network). Se questi devono potersi connettere esternamente e pubblicare i propri indirizzi per raggiungere altri dispositivi, via internet ad esempio, occorre disporre di un Router, dall’Inglese routing (instradare); uscendo dalla LAN è possibile raggiungere siti per navigare in internet digitando direttamente il loro indirizzo IP per esteso (in base al servizio erogato) oppure semplicemente il nome, che, attraverso il DNS server (Domain Name System) viene tradotto in un indirizzo completo registrato.
Questa modalità di connessione extra LAN è detta WAN (Wide Area Network). Una porta specifica del Router atto alla comunicazione geografica, scambierà messaggi sulla rete cercando accesso al primo Router che fornisce la disponibilità ad acquisire ed instradare il messaggio (pacchetto dati o parte di esso) che gli è stato consegnato al fine di raggiungere l’indirizzo finale di destinazione. L’apparato IP che deve comunicare all’esterno, settando la scheda in DHCP (Dinamic Host Configuration Protocol) ottiene un diverso indirizzo identificativo (appunto dinamico) ogni qualvolta accede all’esterno della propria LAN. Se invece si ha la necessità di un identificativo univoco o accedere continuativamente ad dispositivo che rimanga assegnato nel tempo, si deve richiedere al proprio ISP (Internet Service Provider) un indirizzo statico, che normalmente è a pagamento.
Una modalità di comunicazione globale ma “privata” sfruttando l’interconnessione della rete pubblica, è detta VPN (Virtual Private Network) ovvero un collegamento dedicato virtuale che connette due realtà direttamente, senza consentire a terzi l’intromissione e accesso, un vero e proprio “tunneling” comunicativo garantendo un collegamento privato, riservato e sicuro.
Cosa succede se viene configurato più di un dispositivo con lo stesso indirizzo IP?
E’ utile sapere che ogni scheda elettronica prodotta a livello mondiale che consente il collegamento su una rete Ethernet, ha un proprio identificativo fisico univoco detto MAC address (Media Access Control) sia esso connesso fisicamente ad una rete dati via cavo o sia esso un apparato mobile o che sfrutta una rete Wireless.
Nel momento in cui ci colleghiamo pubblicando il nostro indirizzo IP, diventiamo “visibili” e di conseguenza “attaccabili”.
Riuscire ad accedere all’interno di una rete aziendale per carpire segreti, trafugare i progetti, copiare la nuova linea di una maison di moda, o sottrarre per rivendere o ricattare l’azienda stessa ottenendo denaro in cambio della non divulgazione o rivendita di ciò di cui si è venuti in possesso, è pratica molto comune.
I sistemi VSS Video Surveillance System sono dispositivi nati e basati su rete dati TCP/IP e quindi come tali sono sottoposti alle stesse necessità di protezione di qualsiasi dispositivo connettibile ad una rete Ethernet.

Dimensionamento della Sala Controllo

Nel variegato mondo dei dispositivi e sistemi di sicurezza, la videosorveglianza detiene lo scettro della volatilità ed obsolescenza tecnologica, gli apparati e le telecamere sono in continuo miglioramento.
Lo sviluppo della tecnologia ci ha permesso quindi di lasciare il mondo della telecamera analogica che per i suoi limiti costruttivi era in grado di restituire immagini PAL 625 linee, 704 x 576 pixel (circa 0,4 megapixel) qualità DVD o 4CIF. Le prime telecamere IP avevano la stessa risoluzione delle analogiche il formato di riferimento era VGA 640 x 480 per poi crescere sempre più in quanto la tecnologia CMOS e la sua miniaturizzazione ha consentito di aumentare le celle necessarie del valore di pixel pur mantenendo la stessa superficie del Chip. Parliamo di telecamere Megapixel quando il numero dei pixel supera il valore di un milione.
La risoluzione di una telecamera da 1,3 Megapixel, come densità di pixel del sensore, equivale alla sommatoria di 4 telecamere analogiche 4CIF, offrendo quindi un vantaggio in termini di un minor numero di telecamere da installare per monitorare una determinata area, a parità di risoluzione, aumentando così il livello di definizione.
Come si traduce quanto esposto sopra in funzione di: connettività, banda passante, elaborazione, acquisizione e registrazione oltre alla visualizzazione delle immagini?
Per poter dimensionare correttamente una sala regia occorre comprendere dei semplici aspetti tecnici che portino a comprendere come sia indispensabile predisporre un’architettura di sistema che sia in grado di espletare questa funzione sia dal punto di vista elaborativo e sia dal punto di vista qualitativo.
Il DSP (Digital Signal Processor) a bordo telecamera è un processore dedicato da 16bit a virgola fissa per applicazioni audio e 24 o 32 bit a virgola mobile, per applicazioni evolute come nell’elaborazione di immagini tridimensionali, ed è progettato appositamente per streaming video real-time. L’elaborazione multi dimensionale del processore avviene su ogni singolo Pixel del sensore video di acquisizione.
Il termine PIXEL ha origine dalla contrazione delle parole inglesi «picture» ed «element» (pict-el, dunque pixel) e serve a identificare ogni singolo «puntino» che compone la matrice di elementi sensibili a bordo del sensore di immagini. Ogni pixel ha un valore preciso (codifica in bit) dato dalla sua posizione, dal colore e dall’intensità luminosa, profondità cromatica: Per la codifica RGB, ovvero 16 milioni di colori serve una decodifica da 256 bit.

Una immagine PAL da 640×480 pixel richiede 38,5 KB di memoria (640×480/8=38.400)

Una immagine 4K da 4000×3000 pixel richiede 1,5 GB di memoria (4000×300/8=1.500.000)

Stiamo parlando di una immagine, ovvero di un frame. Quando l’immagine deve diventare un filmato in tempo reale, che non sia una sequenza di frame, ma fluido e senza scatti il valore del risultato è espresso in “fps” ovvero frame per secondo ed il tempo reale ne richiede 25.
Per ottenere un filmato in tempo reale i valori sopra espressi di occupazione di memoria da elaborare, vanno moltiplicati per 25.
Teniamo presente che, elaborando ad un bitrate video elevato, sicuramente si ottiene una quantità di informazioni maggiori e di conseguenza una qualità eccellente, tuttavia si potrebbe mettere a dura prova l’hardware di acquisizione ed elaborazione dello streaming video che, se non adeguato, genera una qualità video pessima con effetti non piacevoli di mancata ricostruzione delle immagini, perdita di frame o alla peggio, riproporre il video a scatti o immagini con pixel non ricostruiti.
Se si immagina tutto questo, moltiplicato per un numero di telecamere in campo che può variare da alcune unità o decine, fino a quantità decisamente più elevate, appare fondamentale progettare un sistema facilmente scalabile e compatibile con l’espansione del sistema.

Architettura del sistema: due approcci

Esistono due principali filosofie di approccio per un’architettura strutturata di videosorveglianza:

  • Telecamera -> Personal Computer
  • Telecamera -> NVR -> Work Station.

Il primo metodo: Telecamera-PC, nasce proprio dagli albori della videosorveglianza su IP quando alcune aziende hanno investito e sposato la filosofia del prodotto/dispositivo IP compatibile, scalzando il concetto della TVCC ovvero la telecamera su un circuito chiuso collegata fisicamente all’apparato di acquisizione e registrazione visto e pensato come limitante. Collegando l’oggetto, in questo caso la telecamera, su una rete Ethernet questo limite si può superare e beneficiare di una distribuzione modulare ed anche territoriale delle immagini acquisite.
Dopo lo sviluppo dei prodotti IP, sono nate società specializzate nello sviluppo di software dedicati agli aspetti di acquisizione, registrazione, decodifica, videostreaming strutturato ed organizzato.
Ogni costruttore aveva un proprio linguaggio di comunicazione ed ogni modello di telecamera poteva avere delle caratteristiche diverse e non comuni col modello precedente, introducendo magari variabili qualitative, aggiungendo o comunque modificando il codice di data streaming di comunicazione che risultavano diversi da modello a modello, ecco che, chi sviluppava software per acquisire e gestire lo specifico modello di telecamera doveva per forza di cose implementare il protocollo dati specifico.
Dietro la necessità del mercato di libertà di scelta ed interoperabilità dei sistemi, ci fu la scelta nel 2008 da parte di diverse case produttrici di fondare il comitato Open Network Video Interface Forum – ONVIF, proprio allo scopo di sviluppare un protocollo di comunicazione comune in modo creare una standardizzazione comunicativa che favorisse lo scambio di informazioni fra tutti i produttori.
ONVIF di fatto divenne uno standard globale per le comunicazioni IP nel comparto della videosorveglianza.

Quindi la prima soluzione di sala controllo di supervisione con un VMS basato su un software evoluto installato su una piattaforma Personal Computer “ONVIF Compliant” è in grado di acquisire, registrare, decodificare e visualizzare le immagini provenienti dalle telecamere IP a lui connesse di diverse case produttrici.
Dimensionare correttamente la “macchina di elaborazione” è assolutamente fondamentale. Si comprenderà come installando un software VMS su un Personal Computer di mercato, anche fosse di ultima generazione, potrebbe non riuscire ad acquisire, registrare, decodificare e visualizzare correttamente e a pieno schermo, una quantità di telecamere Megapixel che invece servirebbe gestire e controllare.
Occorre quindi aver ben presente diversi fattori e, partendo dalla telecamera, sapere:

  • quante,
  • di che tipo,
  • a quale frame rate lavorano,
  • la dimensione del frame da acquisire,
  • se la trasmissione è a bitrate costante o variabile,
  • quale compressore viene utilizzato,
  • se ciò che vogliamo riprendere avrà un’immagine prevalentemente statica (es. un’uscita di sicurezza) piuttosto con elevata dinamica (piazza cittadina o un gate della metropolitana o in un aeroporto).

Tutti questi parametri sono fondamentali per una attenta analisi del dimensionamento della macchina. Tenete presente che virtualmente un software VMS è stato scritto per poter gestire un numero di canali pressocché illimitato. E’ l’hardware che ne pone i limiti funzionali, legati ai suoi processori, alla memoria, ai coprocessori matematici, alla GPU multicore disponibile (che consente l’elaborazione grafica) e tutta la contemporaneità delle funzionalità necessarie al corretto funzionamento legati ai requisiti prestazionali della macchina stessa bilanciando correttamente per ogni canale video uno specifico bitrate in funzione della capacità totale di elaborazione.

Soluzione A

L’approccio A, ovvero acquisire, registrare, elaborare, decodificare e visualizzare su una unica macchina che funge da Control Center di gestione e supervisione, si traduce nell’installare un software specifico VMS a bordo di una macchina Server. La “semplicità” e snellezza dell’infrastruttura deve fare i conti con una serie di circostanze funzionali/operative legate in primis al fatto che i server sono di fatto dei PC evoluti e che quindi hanno come core SW un S.O. (sistema operativo) Windows based dove lo stesso normalmente è installato su hard disk. In caso di crash del disco è probabile che si perdano i dati registrati, ma ci sarà la necessità di re-installare l’intero sistema operativo con l’impossibilità di ripristinare ciò che è andato perduto.

Aggiornamenti e patch. Gli aggiornamenti necessari (aggiustamenti, driver, controlli, bugs risolti, implementazione sulla sicurezza, ecc.) potrebbero destabilizzare il sistema, in quanto per far acquisire gli aggiornamenti potrebbero andare perse registrazioni.

Driver. Tutte le funzionalità di Windows sono basate sull’uso di driver specifici, così per leggere la memoria, scrivere su disco, attivare sessioni, gestire porte di comunicazione ecc… utilizzano delle sub routine generiche (non specifiche per la videosorveglianza) e siccome devono tenere conto di innumerevoli variabili di utilizzo, non risultando mirate all’uso sprecando molte risorse sia dal punto di vista elaborativo e sia per complessità e pesantezza del driver che alloca memoria la quale potrebbe divenire maggiormente utile per elaborare, ad esempio, lo streaming.

Hard Disk. Cosi come appena spiegato anche la gestione della scrittura e lettura su disco rigido avviene attraverso una modalità standard del sistema operativo il quale ha il suo limite funzionale, per poterlo superare serve installare dei service pack specifici che consentono la gestione di grandi dati attraverso la creazione di dischi virtuali in quanto la macchina stessa non è progettata per gestire direttamente dischi di grosse dimensioni quindi le istanze devono essere segmentate per far credere al sistema operativo, ad esempio, che sta scrivendo su un disco da 2TB mentre ne sono installati altri di capacità molto superiore.
Nella videosorveglianza, soprattutto per impianti e sistemi di medie-grandi dimensioni con telecamere da diversi megapixel, è fondamentale approcciare lo storage senza che soccomba all’enorme quantità di dati che riceve e deve scrivere e rileggere. Una modalità di espansione della capacità di recording della macchina, potrebbe essere l’utilizzo dell’iSCSI (Internet Small Computer Systems Interface) di fatto un protocollo di comunicazione via rete, preferibilmente via fibra ottica, permette un’enorme datarate del file transfer di archiviazione su dispositivi fisici SCSI ma virtualizzati, dando l’illusione al server di lavorare su dischi locali, le unità di registrazione connesse via rete devono essere dotate oltre che di dischi SCSI anche di opportuni controller in grado di ricevere i comandi dal server, l’iSCSI è molto usato tant’è che molti produttori di NAS lo integrano nativamente ma bisogna fare attenzione comunque ai limiti di scalabilità del server utilizzato.

NAS e JBOD. Il NAS (Network-attached Storage) nasce per essere uno strumento in grado di superare i limiti di archiviazione dei Computer e/o Server aggirandone le loro limitazioni. Di fatto un disk array (o storage pool), ovvero un contenitore multidisco con una scheda elettronica di controllo connesso ad una rete dati proprio allo scopo di essere un dispositivo di archiviazione modulare di grandi dimensioni.
La modalità JBOD consente di vedere e utilizzare tutti i dischi disponibili nell’array come unica unità anche avendo a disposizione dischi con capacità diverse, è un sistema che consente un accorpamento logico simulando una relazione dei cluster dei vari dischi restituendo al controller della macchina una visione globale sfruttando appieno la capacità del sistema. I dischi rigidi possono essere trattati indipendentemente o possono essere combinati in uno o più volumi ed i files non vengono scritti sequenzialmente ma bilanciati e distribuiti in base alla percentuale di capacità di ciascun disco, la traduzione letterale di JBOD è Just a Bunch of Disk (giusto un mucchio di dischi).

Scalabilità. Affrontando come prima istanza la capacità di calcolo della macchina scelta che deve essere dimensionata affinché sia in grado di espletare tutte le funzionalità di un videoserver calibrato per il numero e tipo di telecamere scelte, laddove per calcolo matematico, risultasse insufficiente ad una sola macchina server avere la capacità elaborativa richiesta, va affrontato il tema della scalabilità. Potrebbe risultare infatti, nonostante il software sia in grado di gestire 100, 200 o illimitati canali, l’hardware non riesca a supportare il carico elaborativo restituendo una capacità per un numero decisamente più limitato di canali video in real time, occorrerà dunque aumentare la capacità di calcolo aumentando maggiormente la potenza della macchina per ottenere maggiore throughput. Occorre intervenire e ricalibrare l’architettura dell’hardware aumentando i processori o le macchine, creando una struttura server master-slave distribuendo così la capacità elaborativa su più processori aumentando la scala delle funzioni.

VM Virtual Machine. Una macchina virtuale (denominata guest) viene creata all’interno di un ambiente digitale (denominato host). In un host possono esistere contemporaneamente più macchine virtuali. I principali file che compongono una macchina virtuale includono un file di registro, un file di impostazione della NVRAM, un file del disco virtuale e un file di configurazione. Le macchine virtuali sono di fatto dei software specifici installati su computer fisici ed offrono le stesse funzionalità legate al sistema operativo in essere eseguendo l’applicazione software specifica. Le macchine virtuali sono file digitali creati per eseguire attività specifiche sul server ospitante con la possibilità di eseguire più sistemi operativi virtuali sul singolo computer fisico funzionando con più istanze multiple in parallelo.

Visualizzazione. Si dà per scontato che un videoserver visualizzi le immagini delle telecamere che acquisisce e gestisce. L’utilizzo di codec evoluti ci viene sicuramente in aiuto per poter inviare grandi mole di dati e poter acquisire e trattare anche telecamere il cui flusso è in alta definizione, tuttavia tali informazioni devono a loro volta essere decodificate ed inviate al supporto di visualizzazione (monitor).
Decodificare e visualizzare un filmato in tempo reale mentre si espletano tutte le altre attività, per la cpu del computer è un’impresa davvero onerosa ed il sistema ricevente deve avere lo stesso codec dell’apparato inviate che può essere di tipo inter frame (I-frame) che è un’immagine completa, pur utilizzando le tecniche del compressore H.264 o H.265 i cui frame sono la sequenza di immagini reali, interposte o predittive ed in base al numero di immagini reali si aumenta la qualità del video, indicato nell’acronimo GOP (group of picture) oppure P-frame dove le immagini o parte di essa è puramente predittiva e si inviano e ricostruiscono solamente le variazioni rispetto al frame precedente. Sarà quindi necessario aumentare la potenza di calcolo.
Torniamo quindi al concetto di scalabilità o di dedicare diverse macchine ognuna col proprio compito, ad esempio un videoserver, per acquisire, elaborare e gestire, una unità NAS per registrare, una Work Station per decodificare e visualizzare.

Soluzione B

La soluzione B prevede l’utilizzo di apparati pensati, concepiti e sviluppati per essere verticalmente dedicati alla videosorveglianza, Telecamera – Appliance server – Work station.
Attualmente esistono sistemi basati su hardware specifico dedicato all’acquisizione dello streaming video proveniente da telecamere ad alta definizione col compito di acquisire, elaborare, registrare localmente e rimandare il flusso video ad una Work Station di decodifica e visualizzazione immagini.
Nasce così l’Appliance Server. Un apparato multipurpose (ovvero che espleta diversi compiti) basato su un Sistema Operativo dedicato e sviluppato con linguaggi aperti, più sicuro e meno vulnerabile, difficilmente attaccabile in rete, con i registri visibili solamente dall’amministratore che ne ha scritto il programma diventando inattaccabile.
Non necessita di aggiornamenti o di driver generici, lavora egregiamente in multi-istanze, ogni sub-routine viene scritta in modo dedicato per il compito che deve svolgere, snello, leggero, indirizzato alla funzione, assolutamente modulare, non è soggetto ad aggiornamenti che potrebbero compromettere la stabilità dei processi.
Un Appliance server, correttamente dimensionato, restituisce una maggiore stabilità operativa, crea, manipola e fornisce informazioni ad altre istanze o ad altri dispositivi informatici collegati in rete. Costruito per montaggio a rack in sala server condivide funzionalità di rete, i sistemi più evoluti hanno sensori interni che ne controllano le vibrazioni e la temperatura sia interna e sia ambientale attivando correttamente i flussi delle ventole d’estrazione, è noto infatti come sia fondamentale gli hard disk lavorino ad una temperatura attorno ai 35°C, superare la soglia dei 40-45°C interni significa predisporli ad una vita molto breve se non al loro crash, se non si allestisce una sala con una corretta climatizzazione gli hard disk che come abbiamo detto lavorano h24 7/7 possono arrivare facilmente ai 65°- 70°C inducendoli sicuramente a rottura.
Dimensionati per garantire la gestione di flussi video fino ed oltre i 100 canali contemporaneamente coordinano direttamente il controllo e governo dello storage in RAID6 proprio per vanificare l’eventuale perdita di dati visto si è detto, i dischi sono attualmente la parte debole di un sistema.
Ciò che si può guastare oltre ai dischi è il dispositivo di alimentazione ma, disponendo di base di doppio alimentatore con un terzo in back-up caldo ed un controller di monitoraggio degli stessi, anche questo aspetto è stato considerato.
Gli Appliance server progettati e sviluppati per la gestione verticale delle problematiche della videosorveglianza, assolutamente moltiplicabili e scalabili, lasciano il compito ad una o più Work station Client la decodifica e visualizzazione delle immagini così da poter garantire la loro continuità operativa senza perdita di dati.

ANIE_Sicurezza_TVCC_Download

Scarica il PDF
con la GUIDA COMPLETA

ANIE_Sicurezza_TVCC_Download

Scarica il PDF
di QUESTO CAPITOLO

Vuoi tornare al percorso?