Оптимальное формирование избыточной структуры для отказоустойчивых информационных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

Оптимальное формирование избыточной структуры для отказоустойчивых информационных систем

Ковалев И.В. fkovalev@wave.krs.ru) (1), Савин С.В. (2)

(1)НИИ Систем управления, волновых процессов и технологий Минобразования России, (2)Сибирский государственный аэрокосмический университет

Проектирование отказоустойчивых систем обработки информации предъявляет высокие требования по надежности, как к техническим, так и программным средствам. Существует ряд критичных областей науки и промышленности, где невыполнение этого требования и, как следствие, сбой работы системы могут повлечь за собой значительные экономические потери в рамках, как предприятия, так и целого региона. Такими областями являются банковская система, финансовые организации, космос, подводные и подземные исследования, атомная промышленность, химическое производство, прогнозирование и т.д. Поэтому одной из основных задач проектировщиков становится создание таких информационных систем (ИС), которые обеспечивали бы устойчивость системы к программным и аппаратным сбоям [4], а также обеспечивали катастрофоустойчивое решение [2], главная задача которого - сохранение данных и продолжение работы в условиях массовых и, возможно, последовательных отказов систем и связанных между собой подсистем корпоративной информационной структуры.

Технология отработки отказов требует учета взаимосвязанности структурных компонент и способности систем специфически реагировать на каждый вариант последовательности развития событий, так называемый, сценарий катастрофы с целью обеспечения максимально возможной сохранности защищаемой информации [2].

Для обеспечения надежности информационных систем предложено множество подходов, включая организационные методы разработки, различные технологии и технологические программные средства, что требует, очевидно, привлечения значительных ресурсов [9]. Однако отсутствие общепризнанных критериев надежности не позволяет ответить на вопрос, насколько надежнее становится система при соблюдении предлагаемых процедур и технологий и в какой степени оправданы затраты на ее дальнейшее развитие. Таким образом, приоритет задачи оценки надежности и оптимизации плана развития отказоустойчивой структуры системы обработки информации должен быть выше приоритета задачи ее обеспечения, что в настоящее время становится общепризнанным [3].

В данной работе рассматривается первый этап (этап надежностного проектирования) в рамках двухэтапной процедуры формирования и

управления развитием отказоустойчивой структуры системы обработки информации [7].

При использовании на первом этапе алгоритма, предложенного в [5] для оптимизации сложной системы обработки информации по критерию надежности, не требуется дополнительных мероприятий, связанных с выбором и расчетом количества резервируемых компонент системы. Определяется вариант системы и способы надежностной реализации каждой из подсистем, которые доставляют экстремум целевой функции Р и обеспечивают успешное решение всех задач обработки информации с вероятностями не ниже заданных, при этом затраты на проект ИС ограничены.

В отличие от обобщенных описаний структур сложных систем, имеющихся в литературе, в работе рассматриваются только принципиально возможные варианты системы, демонстрирующие применение предлагаемого подхода к оптимизации структуры системы обработки информации, в частности, для финансовой структуры. Очевидно, что применение специальных методов и средств обеспечения устойчивости функционирования сложных информационно-управляющих систем требует значительных затрат по их внедрению и повседневному использованию (закупка высококачественной техники и резервирование аппаратуры; дополнительная память для копирования данных; затраты времени на процедуры контроля, диагностики и т. п.) [9].

Основная идея данного подхода заключается в представлении процесса решения в виде многоступенчатой структуры, каждая ступень которой связана с проверкой наличия тех или иных свойств у подмножества вариантов, что ведет к непосредственному сокращению (или к возможности сокращения) исходного множества вариантов. Указанная схема базируется на общих идеях теории последовательных статистических решений А. Вальда [1]. Предлагаемый в работе алгоритм использует методологию последовательного анализа и отсеивания вариантов путем отсеивания бесперспективных компонент кластерной архитектуры ИС как по ограничениям, так и по целевой функции без построения начальных частей вариантов и их дальнейшего развития.

Следуя [5], будем рассматривать систему обработки информации, которая состоит из отдельных подсистем, каждая из которых может быть реализована иц способами. Отказ любой из подсистем приводит к отказу всей системы в целом. Математическая модель этой задачи имеет следующий вид: определить вариант системы (т.е. выбрать способ реализации каждой подсистемы) уехгг, доставляющий максимум целевой функции

р(^)=пР к«) а)

1=1

при наличии ограничений

gp (v) = 2 gp Ц (lJ)) ^ g p (p =1,-.., q) (2)

j=1

n

gp (v) = 2 gp (u j (j)) ^ g p (p = q+1,-5 0

j=1

v e F, ыт eUj (j= 1,..., n), (3) где ={ Ци,..., Uj(ij)t t Uj(gj)} (j= 1,...,n) - совокупность компонент различных

типов, которые могут использоваться в j-й подсистеме (количество элементов в множестве Uj равно <E,j ); v - текущий вариант системы

(F = riUj);

j=1

Pj(uj(ij)} - надежность элемента j-й подсистемы lj-го типа, определяемая как вероятность безотказной работы на заданном интервале времени;

gp(uj(ij)), gp(v) и gp* - значения р-го ограничивающего фактора для элемента lj-го типа j-й подсистемы, количество р-го ограничивающего фактора, израсходованного на всю систему и максимально возможное количество р-го ограничивающего фактора для всей системы в целом соответственно.

Представленная выше постановка (1 )-(3) эквивалентна следующей задаче максимизации:

n

f (v) = 2 fj (Uj j)) ^ max (4)

j=1

при наличии ограничений (2) и (3) и с учетом того, что fj(Ujj) = lgPj(Ujj) так как логарифм является монотонным преобразованием. Именно для таких функций эффективно работает условие отсева алгоритма по ограничениям, и, как показано в [5], нахождение «безусловного» оптимального варианта для каждой рассматриваемой функции (как и проверка условия отсева) требует 2nj=1 kj вычислений значений этих функций и не более 1/2{2nj=1 kj (kj +1)} сравнений этих значений.

Для повышения надежности проектируемой системы обработки

*

информации путем резервирования определяется максимальная X jj и

о** г

минимальная X jj кратность резервирования (максимальное и минимальной возможное число резервных элементов) для lj-го типа j-й подсистемы. Используются постоянные для каждого модуля величины

&gp=gp*-gp(v,v(l)Uj)

(p=1, ..., Q, j=1, ..., n).

*

Максимальную кратность резервирования Xjj для каждого элемента определим по формуле:

г Agp

_ gp (uj (j))

Таким образом, предлагаемый метод позволяет определить вводимую избыточность резервных элементов и произвести оптимальный выбор

X ®)=pmi

-1

(5)

состава компонент, используемых при формировании надежных структур систем обработки информации, реализуемых в дальнейшем с использованием кластеризации [8].

Ниже представлены результаты работы системы программной поддержки, оценки и управления развитием информационной структуры, состоящей из трех подсистем: подсистемы доходов, платежей и бухгалтерии. Для существующей ИС в организации проведен анализ функций указанных подсистем [7], реализованных в виде автоматизированных рабочих мест (на ПЭВМ), снабженных устройствами дополнительного питания OPS, сроком действия 5 мин., сетевого оборудования и нескольких серверов. Резервный сервер установлен для сервера NT. Поэтому если основной сервер выходит из строя, запросы клиентов направляются к резервному серверу. Однако резервный сервер при этом полностью не дублирует работу основного, поскольку в противном случае оба сервера взаимодействуют с контроллерами, удваивая нагрузку на промышленную сеть, и сокращая, следовательно, общую производительность. Только основной сервер взаимодействует с контроллерами. Одновременно он обменивается данными с резервным сервером, постоянно обновляя его статус. Если обмен данными с основным сервером прекращается, резервный сервер полагает что основной вышел из строя и берет на себя его функции. После того, как неисправность в основном сервере будет устранена и он будет снова включен, основной сервер считает текущее состояние с резервного сервера и восстановит свою роль в качестве основного.

Существующую систему обработки информации следует считать достаточно ненадежной, так как дублирование информации происходит для данных, передаваемых по сети NT, т.е. выход из строя сервера NetWare повлечет за собой прекращение функционирования подсистемы доходов. Все серверы находятся в одном помещении на расстоянии друг от друга, не превышающем 5 метров, т.е. возгорание и тому подобные форс-мажорные обстоятельства (катастрофы) приведут к полной потере данных и длительному отказу информационной системы. Выход из строя хотя бы одного канала передачи информации в данной системе приведет к нарушению контроля за исполнением финансовых операций и повлечет за собой существенные убытки в рамках, как данной финансовой структуры, так и целого региона.

В работе представлена процедура формирования надежной структуры указанной информационной системы, состоящей из трех независимо выходящих из строя подсистем. Причем определено, что первая подсистема может быть реализована с использованием 6 типов элементов, для второй - 4, для третьей - 3. Проведен анализ параметров и дана краткая характеристика элементов оборудования. Итак, необходимо выбрать вариант системы, обладающий максимальной надежностью, применяя резервирование

^_г *

элементов подсистем. При этом не должны нарушаться ограничения ^ ) на систему в целом, наложенные финансовыми возможностями организации:

□ по стоимости - 5000 у.е.;

□ по суммарной емкости винчестеров - 400 Гб;

□ по габаритам - 250000 см (в силу наличия стойки соответствующих размеров).

На начальном этапе проводится отсев элементов по типам, не применяя резервирование, упорядочив элементы по строкам по возрастанию. Показано, что необходимые условия существования допустимых решений выполняются. Ниже представлены результаты отсева по ограничениям на

№ системы Тип элемента Емкость Стоимость Габариты Надежность

1 2 140 3505 92474,89 99,920

5 180 1420 11478,30 99,940

2 2 90 759 72015,48 99,14

3 72 3113 12676,06 99,91

4 54 980 18458,90 99,2

3 1 120 3135 24975,21 99,87

2 36,4 1985 36547,02 99,840

3 90 980,00 18095,78 99,210

систему в целом:

Для каждого из оставшихся типов элементов в каждой подсистеме определена максимальная кратность резервирования по формуле (5). Результаты представлены в таблице 1.

Таблица 1. Расчет максимальной кратности резервирования

№ системы Тип элемента * £ 1/ £1 емкость * £ 2/ £2 стоимость * £ з/ £з габариты шт-1

1 2 2,41 1,20 2,19 0

5 2,20 2,97 17,66 1

2 3,96 5,83 2,85 2

2 3 4,95 1,42 16,20 0

4 6,59 3,51 11,13 2

1 3,07 1,38 9,14 0

3 2 10,11 2,18 6,25 0

3 4,09 3,41 12,62 2

С учетом максимальной кратности резервирования и параметров системы получены исходные данные для задачи оптимизации (1)-(4). После применения ограничений по целевой функции оставшиеся комбинации представляются в виде таблицы (фрагмент которой для единственной комбинации, удовлетворяющей условиям, - вариант 5 - представлен ниже) и для них рассчитаны параметры для всей системы в целом.

№ Оставшиеся комбинации Емкость Стоимость Габариты

5 1.2.5 2.2.2 3.2.2 396,40 4923,00 192056,28

Далее представлены характеристики полученного проекта информационной системы:

Подсистема Тип устройства Емкость, Гб Стоимость, у.е. Габариты, см3 Надежность

Отдел платежей Внешняя дисковая RAID система Adaptec 2400A в составе RAID-контроллер Infortrend, 2 канала UWSCSI, 8Mb кэш (до 128Mb), корпус Rack 19" на 7 дисков с салазками для "горячей замены" для 7 дисков SCSI-3, поддержка уровней RAID 0, 1, 0+1, 3, 5 180 1420,00 11478,30 99,94

Отел бухгалтерии HP server tc4100 PIII-1.4 256MB U3-SCSI NIC CD M1 90 759,00 72015,48 99,14

HP server tc4100 PIII-1.4 256MB U3-SCSI NIC CD M1 90 759,00 72015,48 99,14

Отдел доходов Dell Power Edge 6300 PIII Xeon 4xPIII500Mhz/512Kb, 2GB RAM, 4*9.1GB HDD, Rackmount 6U 36,4 1985,00 36547,02 99,84

Полученный вариант системы обработки информации неулучшаем по надежности и следовательно является оптимальным. Отметим только, что дисковая система, установленная в подсистеме платежей, является наиболее надежной и емкой из всех серверов в системе. Это объясняется тем фактом, что в отделе платежей накапливается и дополняется первичная информация, являющаяся основой для остальных подсистем. Достоинством этой системы является ее функционирование под сетью NetWare. RAID 1 увеличивает ресурс дисковой подсистемы, её время наработки на отказ.

В подсистеме бухгалтерии надежность обеспечивается за счет зеркалирования серверов путем создания избыточности системы и возможности в любой момент произвести переключение на резервный сервер в случае отказа оборудования или ПО основного сервера. Это позволяет снизить время простоя сети и обеспечить постоянную работу пользователей. Зеркалирование информации осуществляется по выделенному соединению между серверами при помощи двух дополнительных сетевых карт. Поддержание идентичности данных серверов основано не на копировании файлов, а на зеркальной обработке транзакций.

Для сформированного варианта информационной системы оценен экономический эффект по методике Advisor Client & Server Model (методика подсчета времени простоя [6]) от внедрения ИС повышенной надежности.

Для данных условий реализации ИС и принятых ограничений рассчитанный показатель надежности составил 99,9163%, что на 0,72% выше существующего значения в организации. Таким образом, в случае использования предложенного варианта системы временной показатель отказов (время простоя) сократится с 4,58 часов до 36,66 минут в год.

Результаты экономической оценки подтвердили эффективность и целесообразность применения подхода, разработанного для формирования избыточной структуры информационной системы. Новая система, даже с учетом дополнительных затрат, связанных с приобретением оборудования, снизит общие расходы в случае отказа ИС на 279861,35 руб. (133,52%).

Литература

1. Вальд, А. Последовательный анализ/ А. Вальд.- М.: Физматгиз, 1960.

2. Елагин, В. Кластеры против катастроф / В. Елагин // Открытые системы. - 2002. - № 6. - С. 29-36.

3. Ковалев, И. В. Избыточное программирование надежных программных комплексов/ И. В. Ковалев, С. В. Савин// Доклады международной научно-практической конференции II-го Сибирского авиационно-космического салона.- Красноярск: СибГАУ, 2002. С. 171.

4. Коржов, В. Адекватные системы / В. Коржов // Открытые системы. -

2001. - № 12. - С. 14-18.

5. Михалевич, В.С. Вычислительные методы исследования и проектирования сложных систем/ В.С. Михалевич, В.Л. Волкович. - М: Наука, 1982.

6. Мурадян А. ТСО изнутри/ А. Мурадян// Компьютерра, № 10, 1998. -С. 9-18.

7. Савин, С.В. Двухэтапная модель развития структуры корпоративной информационной системы/ С.В. Савин// Сборник материалов межрегионального научного фестиваля «Молодежь и наука - третье тысячелетие»/ Сост. В.В. Сувейзда; КРО НС «Интеграция».- Красноярск,

2002. С. 221-222.

8. Савин, С.В. Анализ вариантов развития информационных технологий в организационных системах/ С.В. Савин, М.Ю. Слободин// Современные проблемы информатизации в технике и технологиях: Сб. трудов. Вып. 9/ Под ред. д.т.н., проф. О.Я. Кравца - Воронеж: Изд-во «Научная книга», 2004.- С. 213-214.

9. Ширяев, Д. Выбор оптимальной информационной системы/ Д. Ширяев, В. Аншелес, В. Мочалин// Открытые системы, №10, 2001. - С.20-26.