洪懷江，馬晟杰

麗水市中心醫(yī)院 信息中心，浙江麗水 320000

醫(yī)院信息系統(tǒng)應(yīng)用級容災(zāi)體系的建設(shè)與實(shí)施

洪懷江，馬晟杰

麗水市中心醫(yī)院 信息中心，浙江麗水 320000

本文詳細(xì)介紹了醫(yī)院信息系統(tǒng)的應(yīng)用級容災(zāi)體系的建設(shè)和實(shí)施過程。 為確保我院醫(yī)院信息系統(tǒng)（HIS）業(yè)務(wù)正常運(yùn)行，并保證其在發(fā)生災(zāi)難時(shí)也能在短時(shí)間恢復(fù)業(yè)務(wù)正常，我院在計(jì)算機(jī)房進(jìn)行應(yīng)用級容災(zāi)系統(tǒng)建設(shè)，系統(tǒng)部署包括3部分：業(yè)務(wù)系統(tǒng)端部署、容災(zāi)系統(tǒng)端部署和WEB管理端部署。

醫(yī)院信息系統(tǒng)；容災(zāi)系統(tǒng)；數(shù)據(jù)備份；網(wǎng)絡(luò)安全

20世紀(jì)90年代以來，我國各大醫(yī)院紛紛建立了以醫(yī)院管理為核心的醫(yī)院信息系統(tǒng)（HIS）。2000年以后，我院先后建立了PACS（醫(yī)學(xué)影像存儲與傳輸系統(tǒng)）、RIS（放射信息管理系統(tǒng)）、LIS（實(shí)驗(yàn)室信息管理系統(tǒng)）、EMR（電子病歷）系統(tǒng)等，使醫(yī)院業(yè)務(wù)量持續(xù)增長，數(shù)據(jù)信息量也在成倍地增長。醫(yī)院業(yè)務(wù)對信息系統(tǒng)的依賴程度也在加強(qiáng)，一旦信息系統(tǒng)發(fā)生災(zāi)難，將會導(dǎo)致病人無法就診，醫(yī)生無法看病，將會使醫(yī)院就診處于無序狀態(tài)。雖然國內(nèi)外很多醫(yī)療機(jī)構(gòu)早在大數(shù)據(jù)信息時(shí)代來臨之際就著手加強(qiáng)對業(yè)務(wù)連續(xù)性系統(tǒng)的建設(shè)工作。但是，直到2001年911事件發(fā)生之后，世貿(mào)大廈里的大量數(shù)據(jù)化為烏有，導(dǎo)致大廈里的許多公司由于數(shù)據(jù)丟失而倒閉，這時(shí)人們才真正認(rèn)識到災(zāi)備建設(shè)的必要性、重要性，并投入大量財(cái)力、物力保證業(yè)務(wù)系統(tǒng)的可靠性和連續(xù)性[1]。

如何確保醫(yī)院核心業(yè)務(wù)系統(tǒng)安全、可靠地運(yùn)行，以及在發(fā)生服務(wù)器、存儲器、數(shù)據(jù)庫故障時(shí)仍能確保整個(gè)業(yè)務(wù)信息系統(tǒng)穩(wěn)定運(yùn)行和數(shù)據(jù)安全是醫(yī)院IT人員重點(diǎn)思考的問題[2-3]。其次為提高業(yè)務(wù)系統(tǒng)性能，降低外圍業(yè)務(wù)對業(yè)務(wù)系統(tǒng)的壓力，將部分分析數(shù)據(jù)與統(tǒng)計(jì)業(yè)務(wù)數(shù)據(jù)分離到容災(zāi)系統(tǒng)，也是本文考慮解決的問題。

1 我院現(xiàn)狀及需求

目前，我院HIS數(shù)據(jù)庫總數(shù)據(jù)量為127 GB左右，EMR數(shù)據(jù)庫為278G左右。為避免數(shù)據(jù)丟失造成嚴(yán)重?fù)p失，我院對核心數(shù)據(jù)庫進(jìn)行了異地備份。采用IBMP720小機(jī)+SAN交換+IBM DS5020存儲以及Oracle 10g2數(shù)據(jù)庫和AIX6.1操作系統(tǒng)。利用OGG(數(shù)據(jù)復(fù)制技術(shù)）將源數(shù)據(jù)庫的在線日志或歸檔日志獲得的數(shù)據(jù)增刪改變化應(yīng)用到目標(biāo)數(shù)據(jù)庫，實(shí)現(xiàn)對核心數(shù)據(jù)庫的備份[4]。

HIS是醫(yī)院的核心業(yè)務(wù)系統(tǒng)，醫(yī)院的業(yè)務(wù)基本上都是圍繞著HIS開展，一旦HIS出現(xiàn)故障，病人無法正常就診、交費(fèi)、取藥，醫(yī)生開不了處方、醫(yī)囑、檢驗(yàn)單、檢查單，相關(guān)檢查科室取不到病人的基本信息，造成病人情緒不穩(wěn)定，醫(yī)院處于全面癱瘓狀態(tài)[5]。我院目前用兩臺IBM P550小機(jī)+雙SAN交換+雙IBM DS4700存儲，雖然避免了單點(diǎn)故障的風(fēng)險(xiǎn)，但機(jī)房物理環(huán)境發(fā)生災(zāi)難性事故，還是存在著相當(dāng)大的風(fēng)險(xiǎn)；雖然有異地備份機(jī)制，但數(shù)據(jù)從備份恢復(fù)到正常需用時(shí)間周期長,并需要對客戶端進(jìn)行相應(yīng)配置更改。如何在短時(shí)間內(nèi)恢復(fù)HIS的運(yùn)行，減少信息系統(tǒng)故障對病人、醫(yī)務(wù)人員、社會造成的影響仍是迫切需解決的問題。

2 應(yīng)用級容災(zāi)的方案設(shè)計(jì)

2.1 容災(zāi)系統(tǒng)拓?fù)浼軜?gòu)

為確保我院HIS業(yè)務(wù)正常運(yùn)行，并保證在發(fā)生災(zāi)難時(shí)也能在短時(shí)間恢復(fù)業(yè)務(wù)正常，我院在外科大樓6層計(jì)算機(jī)房進(jìn)行應(yīng)用級容災(zāi)建設(shè)，利用原有的IBMP720小機(jī)+SAN交換+IBM DS5020存儲以及Oracle 10g2數(shù)據(jù)庫和AIX6.1操作系統(tǒng)進(jìn)行應(yīng)用級容災(zāi)部署。應(yīng)用級容災(zāi)部署后可以在業(yè)務(wù)系統(tǒng)和容災(zāi)系統(tǒng)之間形成相互切換、相互恢復(fù)的容災(zāi)關(guān)系。當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)異?；蛴?jì)劃內(nèi)維護(hù)時(shí)，業(yè)務(wù)系統(tǒng)可以簡單地切換至容災(zāi)系統(tǒng)，容災(zāi)系統(tǒng)替代業(yè)務(wù)系統(tǒng)提供服務(wù)；業(yè)務(wù)系統(tǒng)硬件設(shè)備復(fù)原之后，容災(zāi)系統(tǒng)可以回切至業(yè)務(wù)系統(tǒng)運(yùn)行[6]。我院應(yīng)用級容災(zāi)的總體架構(gòu)圖設(shè)計(jì)，見圖1。

圖1 應(yīng)用級容災(zāi)的總體架構(gòu)圖

2.2 容災(zāi)管理平臺的部署

Trust DBRA（災(zāi)難備份系統(tǒng)）的部署分為3部分：業(yè)務(wù)系統(tǒng)端部署、容災(zāi)系統(tǒng)端部署和WEB管理端部署。

（1）業(yè)務(wù)系統(tǒng)端部署：Trust DBRA在業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫實(shí)例上安裝一個(gè)Trust Diaster Backup Client Agent for Oracle（Trust Log Capture Service和 Trust Log Transfer Service），用來獲取Online redo log數(shù)據(jù)和傳輸Redo log數(shù)據(jù)[7]。如果需要進(jìn)行應(yīng)用服務(wù)器和文件數(shù)據(jù)同步，則需要同時(shí)部署Trust Backup Client Agent for App。

（2）容災(zāi)系統(tǒng)端部署：Trust DBRA在容災(zāi)系統(tǒng)為每個(gè)對應(yīng)的Client Agent安裝Server模塊。多對一的部署方式，只需安裝一個(gè)Server模塊；一對一的部署方式，需要安裝多個(gè)Server模塊。

（3）WEB管理端部署：WEB管理端主要用來實(shí)現(xiàn)容災(zāi)系統(tǒng)的WEB管理，可以實(shí)現(xiàn)多項(xiàng)任務(wù)合一模式下的集中化管理，包括總體監(jiān)視、切換、容災(zāi)操作、作業(yè)信息檢查、活動站點(diǎn)管理等功能。

3 容災(zāi)切換技術(shù)及實(shí)現(xiàn)方式

3.1 數(shù)據(jù)庫復(fù)制技術(shù)

Oracle數(shù)據(jù)庫發(fā)出事務(wù)更新，日志寫入進(jìn)程（LGWR），即完成Online Redo Log的寫入過程。具體過程是Trust Log Capture Service 實(shí)時(shí)讀取生產(chǎn)端在線日志信息，由Trust Log Service同步到災(zāi)備中心端寫日志數(shù)據(jù)；在災(zāi)難備份中心，Trust 災(zāi)備Server進(jìn)程接收Trust Log Service傳送過來的數(shù)據(jù)并且生成對應(yīng)的災(zāi)備端的Online Redo Log數(shù)據(jù)，在業(yè)務(wù)系統(tǒng)進(jìn)行Log switch的時(shí)候同步在災(zāi)難備份中心完成Log Switch，在災(zāi)備端Trust Apply Service通過Oracle Physical Recover機(jī)制把相關(guān)Online Redo Log日志內(nèi)容更新到災(zāi)備中心數(shù)據(jù)庫（實(shí)時(shí)更新模式）或者直接把歸檔內(nèi)容更新災(zāi)難備份中心數(shù)據(jù)庫（異步模式），實(shí)現(xiàn)容災(zāi)庫與生產(chǎn)庫的實(shí)時(shí)同步[8]，見圖2。

圖2 數(shù)據(jù)庫復(fù)制技術(shù)示意圖

3.2 應(yīng)用復(fù)制技術(shù)

中間件（應(yīng)用）同步簡稱APP同步，主要實(shí)現(xiàn)單個(gè)文件、多個(gè)文件、目錄、文件系統(tǒng)等內(nèi)容的數(shù)據(jù)同步。APP同步可以安裝在數(shù)據(jù)庫服務(wù)器上，也可以安裝在中間件服務(wù)器或文件服務(wù)器上。APP同步時(shí)間間隔以分鐘為單位計(jì)算，時(shí)間長度可以按實(shí)際需要進(jìn)行調(diào)整，一般不建議間隔時(shí)間太短，如＞5 min。APP同步缺省以首次全量同步，然后以增量同步的模式進(jìn)行；每次增量同步時(shí)，自動檢查同步內(nèi)容的文件時(shí)間和文件大小，若遇到文件時(shí)間和文件大小不一致時(shí)，會自動同步整個(gè)文件至容災(zāi)服務(wù)器。APP同步支持?jǐn)帱c(diǎn)續(xù)傳功能，若遇到文件傳輸過程中出現(xiàn)意外，導(dǎo)致文件內(nèi)容不完整等情形時(shí)，APP同步在增量掃描中會自動檢測到該文件，并實(shí)現(xiàn)斷點(diǎn)續(xù)傳功能。APP同步在遇到文件傳輸成功結(jié)束時(shí)，會自動校驗(yàn)文件，以確認(rèn)文件內(nèi)容和生產(chǎn)端文件內(nèi)容是否完全一致。

3.3 局部災(zāi)難切換方式

在生產(chǎn)中心發(fā)生局部災(zāi)難時(shí)，比如HIS本身發(fā)生災(zāi)難（HIS服務(wù)器、存儲損壞等）致使HIS服務(wù)中斷，但HIS相關(guān)外圍接口系統(tǒng)及其他系統(tǒng)完好。此時(shí)可將HIS切換至災(zāi)備中心，其他系統(tǒng)在生產(chǎn)中心運(yùn)行。切換方法如下：

（1）通過Trust DBRA切換管理平臺，進(jìn)行災(zāi)備切換操作：① 停止生產(chǎn)端應(yīng)用，停止生產(chǎn)端中間件數(shù)據(jù)庫，停止生產(chǎn)端數(shù)據(jù)庫(這個(gè)步驟在實(shí)際發(fā)生時(shí)，可能無需進(jìn)行)；② 切換IP地址（要求在二層網(wǎng)絡(luò)下操作）；③ 啟動災(zāi)備端數(shù)據(jù)庫、災(zāi)備端中間件、災(zāi)備端應(yīng)用。

（2）由于生產(chǎn)中心其他應(yīng)用系統(tǒng)、網(wǎng)絡(luò)處于正常運(yùn)行狀態(tài)，因此，網(wǎng)絡(luò)不需要切換至容災(zāi)匯聚點(diǎn)，而是通過生產(chǎn)匯聚點(diǎn)，訪問災(zāi)備中心的HIS數(shù)據(jù)庫。

（3）根據(jù)備份策略，進(jìn)行HIS的系統(tǒng)數(shù)據(jù)備份。

3.4 整體性災(zāi)難切換方式

當(dāng)整個(gè)生產(chǎn)中心發(fā)生災(zāi)難或機(jī)房停電、火災(zāi)、地震等情況下，所有應(yīng)用系統(tǒng)不可用，將其切換到災(zāi)備中心運(yùn)行?？赏ㄟ^如下方式和步驟來進(jìn)行切換：

（1）通過Trust DBRA容災(zāi)切換平臺，根據(jù)預(yù)先制定的災(zāi)難應(yīng)急預(yù)案，進(jìn)行應(yīng)用級容災(zāi)切換：① 停止生產(chǎn)端應(yīng)用及數(shù)據(jù)庫；② 啟動災(zāi)備端數(shù)據(jù)庫、啟動災(zāi)備端中間件、啟動災(zāi)備端應(yīng)用；③ 啟動各業(yè)務(wù)系統(tǒng)的災(zāi)備端數(shù)據(jù)庫、中間件和應(yīng)用程序。

（2）通過三層網(wǎng)絡(luò)容災(zāi)匯聚點(diǎn)，訪問災(zāi)備中心的業(yè)務(wù)系統(tǒng)。

（3）業(yè)務(wù)系統(tǒng)在災(zāi)備端運(yùn)行后，根據(jù)預(yù)先制定的備份策略，進(jìn)行應(yīng)用系統(tǒng)備份和數(shù)據(jù)庫數(shù)據(jù)的備份。

4 容災(zāi)活動站點(diǎn)的管理

為了減輕生產(chǎn)端負(fù)載，以及充分利用現(xiàn)有設(shè)備資源提高經(jīng)濟(jì)效益，在容災(zāi)節(jié)點(diǎn)通過啟動Trust DBRA站點(diǎn)來提供Oracle數(shù)據(jù)庫的活動數(shù)據(jù)查詢能力，分流主數(shù)據(jù)庫的壓力。在相關(guān)查詢的客戶端的tnsnames.ora文件中配置相關(guān)容災(zāi)節(jié)點(diǎn)信息，這樣就能將相關(guān)的查詢和數(shù)據(jù)統(tǒng)計(jì)業(yè)務(wù)分擔(dān)給容災(zāi)端[9]。

5 容災(zāi)應(yīng)急系統(tǒng)建立的意義

（1）容災(zāi)端建設(shè)后，我院定期組織相關(guān)人員進(jìn)行信息系統(tǒng)故障應(yīng)急演練，提高臨床醫(yī)務(wù)人員處理信息系統(tǒng)故障能力，并在演練后形成書面總結(jié)報(bào)告，為以后系統(tǒng)維護(hù)提供應(yīng)急方案[10-11]。

（2）實(shí)現(xiàn)院內(nèi)異地災(zāi)備建設(shè)，確保發(fā)生災(zāi)難時(shí)信息數(shù)據(jù)的安全性和完整性。

（3）保證了醫(yī)院業(yè)務(wù)的連續(xù)性。我院IBM P550小機(jī)+IBMDS4700已運(yùn)行多年，不時(shí)會出現(xiàn)一些硬件故障，在未建設(shè)容災(zāi)系統(tǒng)時(shí)，進(jìn)行硬件更換時(shí)需要關(guān)閉Oracle數(shù)據(jù)庫并停機(jī)，造成業(yè)務(wù)中斷。建了容災(zāi)系統(tǒng)后，當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)異常或計(jì)劃內(nèi)維護(hù)時(shí)，業(yè)務(wù)系統(tǒng)可以簡單的切換至容災(zāi)系統(tǒng)，容災(zāi)系統(tǒng)替代業(yè)務(wù)系統(tǒng)提供服務(wù)；業(yè)務(wù)系統(tǒng)硬設(shè)備復(fù)原之后，容災(zāi)系統(tǒng)可以回切至業(yè)務(wù)系統(tǒng)，并保持業(yè)務(wù)的連續(xù)性，數(shù)據(jù)的完整性。

（4）把相關(guān)數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)分析等業(yè)務(wù)的客戶端指向?yàn)?zāi)備端，提高了災(zāi)備端設(shè)備資源利用率，減輕了生產(chǎn)端的運(yùn)行壓力，已取得了良好的經(jīng)濟(jì)效益和社會效益。

[1]翁錦陽,何萍,朱鐵兵.大型醫(yī)院信息系統(tǒng)的容災(zāi)設(shè)計(jì)和應(yīng)用[J].醫(yī)院數(shù)字化,2011,(1):59-61.

[2]夏旭.無線網(wǎng)絡(luò)在醫(yī)院信化中的應(yīng)用優(yōu)勢及不足的探討[J].信息與電腦,2011,(6):124.

[3]劉傳高.淺談醫(yī)院信息系統(tǒng)的安全管理[J].中華全科醫(yī)學(xué),2012,(9):1474-1475.

[4]武冬春.基于GoldenGate技術(shù)實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)容災(zāi)的解決方案[J].信息通信,2013,(7):232-233.

[5]王晨光.醫(yī)院信息系統(tǒng)(HIS)安全維護(hù)措施探討[J].中國醫(yī)學(xué)創(chuàng)新,2013,(14):77-78.

[6]劉躍,宋兵.信息系統(tǒng)異地容災(zāi)技術(shù)探討[J].中國傳媒科技,2012,(12):74-77.

[7]鄒先霞,賈維嘉,潘久輝.基于數(shù)據(jù)庫日志的變化數(shù)據(jù)捕獲研究[J].小型微型計(jì)算機(jī)系統(tǒng),2012,(3):531-536.

[8]李民,曹陽.基于Oracle Data Guard構(gòu)建醫(yī)院信息系統(tǒng)的容災(zāi)備份方案[J].醫(yī)院數(shù)字化,2012,(8):45-47.

[9]江英琴.基于日志復(fù)制技術(shù)的容災(zāi)系統(tǒng)研究與應(yīng)用[J].電子技術(shù)與軟件工程,2014,(12):217-219.

[10]王玉珍,孫巍,郭建魁.醫(yī)院網(wǎng)絡(luò)入侵檢測系統(tǒng)聯(lián)動策略的實(shí)施[J].中國醫(yī)療設(shè)備,2015,30(8):87-89.

[11]王栩,劉佳.大型醫(yī)院HIS系統(tǒng)應(yīng)急方案全流程[J].計(jì)算機(jī)軟件光盤與應(yīng)用,2012,(11):143-144.

Construction and Implementation of the Application-level Disaster Tolerant System in the Hospital Information System

This paper introduced in details the implementation process of the application-level disaster tolerant system in the hospital information system.To ensure the proper function of the hospital information system (HIS),as well as to ensure the recovery of the HIS within short period of time during disaster,our hospital constructed the application-level disaster tolerant system,which includes three parts: business system end deployment,disaster tolerant system end deployment,and WEB management end deployment.

hospital information system;disaster tolerant system;data backup;network security

HONG Huai-jiang,MA Sheng-jie
Information Center,Lishui Central Hospital,Lishui Zhejiang 323000,China

TP393.08

A

10.3969/j.issn.1674-1633.2016.04.025

1674-1633(2016)04-0100-03

2015-10-26

2016-02-23

本文作者：洪懷江，醫(yī)院信息中心負(fù)責(zé)人，工程師。

作者郵箱：382912859@qq.com