fix(health): 修复 5 角色深度测试发现的 8 个问题

P0 修复:
- 告警状态机新增 active 合法状态 + 转换规则 (active→acknowledged/dismissed)
- 前端路由守卫改为默认拒绝，未注册路由返回 403

P1 修复:
- 侧边栏菜单根据用户权限码过滤，非 admin 隐藏无权限菜单项
- Critical-alerts handler 增加详细错误日志 + div_ceil 安全防护
- 仪表盘统计 API 调用使用 silent 模式避免 500 触发全局 toast

P2 修复:
- 随访类型映射新增 visit → 上门 (前后端同步)
- 随访 fallback 选项新增 visit 类型

排除的假 BUG (代码已正确):
- 患者性别/血型: MCP fill() 不兼容 Select 组件，正常交互正确
- 随访筛选/对话框关闭: 代码逻辑验证正确

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

apps/web/src/App.tsx

@@ -144,16 +144,23 @@ function PrivateRoute({ children }: { children: React.ReactNode }) {
   if (!isAuthenticated) return <Navigate to="/login" replace />;
 
   const path = location.pathname;
+
+  // 冻结路由检查
+  if (FROZEN_ROUTES.some((frozen) => path.startsWith(frozen))) {
+    return <FrozenRoute />;
+  }
+
+  // 首页/工作台始终放行
+  if (path === '/' || path === '') return <>{children}</>;
+
   const matchedPrefix = Object.keys(ROUTE_PERMISSIONS).find((prefix) => path.startsWith(prefix));
   if (matchedPrefix) {
     const required = ROUTE_PERMISSIONS[matchedPrefix];
     const hasAccess = required.some((r) => permissions.includes(r));
     if (!hasAccess) return <ForbiddenPage />;
-  }
-
-  // 冻结路由检查
-  if (FROZEN_ROUTES.some((frozen) => path.startsWith(frozen))) {
-    return <FrozenRoute />;
+  } else {
+    // 未在 ROUTE_PERMISSIONS 中注册的路由，默认拒绝
+    return <ForbiddenPage />;
   }
 
   return <>{children}</>;