醫院信息系統應用級容災體系的建設與實施

洪懷江，馬晟杰

麗水市中心醫院 信息中心，浙江麗水 320000

醫院信息系統應用級容災體系的建設與實施

洪懷江，馬晟杰

麗水市中心醫院 信息中心，浙江麗水 320000

本文詳細介紹了醫院信息系統的應用級容災體系的建設和實施過程。 為確保我院醫院信息系統（HIS）業務正常運行，并保證其在發生災難時也能在短時間恢復業務正常，我院在計算機房進行應用級容災系統建設，系統部署包括3部分：業務系統端部署、容災系統端部署和WEB管理端部署。

醫院信息系統；容災系統；數據備份；網絡安全

20世紀90年代以來，我國各大醫院紛紛建立了以醫院管理為核心的醫院信息系統（HIS）。2000年以后，我院先后建立了PACS（醫學影像存儲與傳輸系統）、RIS（放射信息管理系統）、LIS（實驗室信息管理系統）、EMR（電子病歷）系統等，使醫院業務量持續增長，數據信息量也在成倍地增長。醫院業務對信息系統的依賴程度也在加強，一旦信息系統發生災難，將會導致病人無法就診，醫生無法看病，將會使醫院就診處于無序狀態。雖然國內外很多醫療機構早在大數據信息時代來臨之際就著手加強對業務連續性系統的建設工作。但是，直到2001年911事件發生之后，世貿大廈里的大量數據化為烏有，導致大廈里的許多公司由于數據丟失而倒閉，這時人們才真正認識到災備建設的必要性、重要性，并投入大量財力、物力保證業務系統的可靠性和連續性[1]。

如何確保醫院核心業務系統安全、可靠地運行，以及在發生服務器、存儲器、數據庫故障時仍能確保整個業務信息系統穩定運行和數據安全是醫院IT人員重點思考的問題[2-3]。其次為提高業務系統性能，降低外圍業務對業務系統的壓力，將部分分析數據與統計業務數據分離到容災系統，也是本文考慮解決的問題。

1 我院現狀及需求

目前，我院HIS數據庫總數據量為127 GB左右，EMR數據庫為278G左右。為避免數據丟失造成嚴重損失，我院對核心數據庫進行了異地備份。采用IBMP720小機+SAN交換+IBM DS5020存儲以及Oracle 10g2數據庫和AIX6.1操作系統。利用OGG(數據復制技術）將源數據庫的在線日志或歸檔日志獲得的數據增刪改變化應用到目標數據庫，實現對核心數據庫的備份[4]。

HIS是醫院的核心業務系統，醫院的業務基本上都是圍繞著HIS開展，一旦HIS出現故障，病人無法正常就診、交費、取藥，醫生開不了處方、醫囑、檢驗單、檢查單，相關檢查科室取不到病人的基本信息，造成病人情緒不穩定，醫院處于全面癱瘓狀態[5]。我院目前用兩臺IBM P550小機+雙SAN交換+雙IBM DS4700存儲，雖然避免了單點故障的風險，但機房物理環境發生災難性事故，還是存在著相當大的風險；雖然有異地備份機制，但數據從備份恢復到正常需用時間周期長,并需要對客戶端進行相應配置更改。如何在短時間內恢復HIS的運行，減少信息系統故障對病人、醫務人員、社會造成的影響仍是迫切需解決的問題。

2 應用級容災的方案設計

2.1 容災系統拓撲架構

為確保我院HIS業務正常運行，并保證在發生災難時也能在短時間恢復業務正常，我院在外科大樓6層計算機房進行應用級容災建設，利用原有的IBMP720小機+SAN交換+IBM DS5020存儲以及Oracle 10g2數據庫和AIX6.1操作系統進行應用級容災部署。應用級容災部署后可以在業務系統和容災系統之間形成相互切換、相互恢復的容災關系。當業務系統出現異常或計劃內維護時，業務系統可以簡單地切換至容災系統，容災系統替代業務系統提供服務；業務系統硬件設備復原之后，容災系統可以回切至業務系統運行[6]。我院應用級容災的總體架構圖設計，見圖1。

圖1 應用級容災的總體架構圖

2.2 容災管理平臺的部署

Trust DBRA（災難備份系統）的部署分為3部分：業務系統端部署、容災系統端部署和WEB管理端部署。

（1）業務系統端部署：Trust DBRA在業務系統的數據庫實例上安裝一個Trust Diaster Backup Client Agent for Oracle（Trust Log Capture Service和 Trust Log Transfer Service），用來獲取Online redo log數據和傳輸Redo log數據[7]。如果需要進行應用服務器和文件數據同步，則需要同時部署Trust Backup Client Agent for App。

（2）容災系統端部署：Trust DBRA在容災系統為每個對應的Client Agent安裝Server模塊。多對一的部署方式，只需安裝一個Server模塊；一對一的部署方式，需要安裝多個Server模塊。

（3）WEB管理端部署：WEB管理端主要用來實現容災系統的WEB管理，可以實現多項任務合一模式下的集中化管理，包括總體監視、切換、容災操作、作業信息檢查、活動站點管理等功能。

3 容災切換技術及實現方式

3.1 數據庫復制技術

Oracle數據庫發出事務更新，日志寫入進程（LGWR），即完成Online Redo Log的寫入過程。具體過程是Trust Log Capture Service 實時讀取生產端在線日志信息，由Trust Log Service同步到災備中心端寫日志數據；在災難備份中心，Trust 災備Server進程接收Trust Log Service傳送過來的數據并且生成對應的災備端的Online Redo Log數據，在業務系統進行Log switch的時候同步在災難備份中心完成Log Switch，在災備端Trust Apply Service通過Oracle Physical Recover機制把相關Online Redo Log日志內容更新到災備中心數據庫（實時更新模式）或者直接把歸檔內容更新災難備份中心數據庫（異步模式），實現容災庫與生產庫的實時同步[8]，見圖2。

圖2 數據庫復制技術示意圖

3.2 應用復制技術

中間件（應用）同步簡稱APP同步，主要實現單個文件、多個文件、目錄、文件系統等內容的數據同步。APP同步可以安裝在數據庫服務器上，也可以安裝在中間件服務器或文件服務器上。APP同步時間間隔以分鐘為單位計算，時間長度可以按實際需要進行調整，一般不建議間隔時間太短，如＞5 min。APP同步缺省以首次全量同步，然后以增量同步的模式進行；每次增量同步時，自動檢查同步內容的文件時間和文件大小，若遇到文件時間和文件大小不一致時，會自動同步整個文件至容災服務器。APP同步支持斷點續傳功能，若遇到文件傳輸過程中出現意外，導致文件內容不完整等情形時，APP同步在增量掃描中會自動檢測到該文件，并實現斷點續傳功能。APP同步在遇到文件傳輸成功結束時，會自動校驗文件，以確認文件內容和生產端文件內容是否完全一致。

3.3 局部災難切換方式

在生產中心發生局部災難時，比如HIS本身發生災難（HIS服務器、存儲損壞等）致使HIS服務中斷，但HIS相關外圍接口系統及其他系統完好。此時可將HIS切換至災備中心，其他系統在生產中心運行。切換方法如下：

（1）通過Trust DBRA切換管理平臺，進行災備切換操作：① 停止生產端應用，停止生產端中間件數據庫，停止生產端數據庫(這個步驟在實際發生時，可能無需進行)；② 切換IP地址（要求在二層網絡下操作）；③ 啟動災備端數據庫、災備端中間件、災備端應用。

（2）由于生產中心其他應用系統、網絡處于正常運行狀態，因此，網絡不需要切換至容災匯聚點，而是通過生產匯聚點，訪問災備中心的HIS數據庫。

（3）根據備份策略，進行HIS的系統數據備份。

3.4 整體性災難切換方式

當整個生產中心發生災難或機房停電、火災、地震等情況下，所有應用系統不可用，將其切換到災備中心運行。可通過如下方式和步驟來進行切換：

（1）通過Trust DBRA容災切換平臺，根據預先制定的災難應急預案，進行應用級容災切換：① 停止生產端應用及數據庫；② 啟動災備端數據庫、啟動災備端中間件、啟動災備端應用；③ 啟動各業務系統的災備端數據庫、中間件和應用程序。

（2）通過三層網絡容災匯聚點，訪問災備中心的業務系統。

（3）業務系統在災備端運行后，根據預先制定的備份策略，進行應用系統備份和數據庫數據的備份。

4 容災活動站點的管理

為了減輕生產端負載，以及充分利用現有設備資源提高經濟效益，在容災節點通過啟動Trust DBRA站點來提供Oracle數據庫的活動數據查詢能力，分流主數據庫的壓力。在相關查詢的客戶端的tnsnames.ora文件中配置相關容災節點信息，這樣就能將相關的查詢和數據統計業務分擔給容災端[9]。

5 容災應急系統建立的意義

（1）容災端建設后，我院定期組織相關人員進行信息系統故障應急演練，提高臨床醫務人員處理信息系統故障能力，并在演練后形成書面總結報告，為以后系統維護提供應急方案[10-11]。

（2）實現院內異地災備建設，確保發生災難時信息數據的安全性和完整性。

（3）保證了醫院業務的連續性。我院IBM P550小機+IBMDS4700已運行多年，不時會出現一些硬件故障，在未建設容災系統時，進行硬件更換時需要關閉Oracle數據庫并停機，造成業務中斷。建了容災系統后，當業務系統出現異常或計劃內維護時，業務系統可以簡單的切換至容災系統，容災系統替代業務系統提供服務；業務系統硬設備復原之后，容災系統可以回切至業務系統，并保持業務的連續性，數據的完整性。

（4）把相關數據統計、數據分析等業務的客戶端指向災備端，提高了災備端設備資源利用率，減輕了生產端的運行壓力，已取得了良好的經濟效益和社會效益。

[1]翁錦陽,何萍,朱鐵兵.大型醫院信息系統的容災設計和應用[J].醫院數字化,2011,(1):59-61.

[2]夏旭.無線網絡在醫院信化中的應用優勢及不足的探討[J].信息與電腦,2011,(6):124.

[3]劉傳高.淺談醫院信息系統的安全管理[J].中華全科醫學,2012,(9):1474-1475.

[4]武冬春.基于GoldenGate技術實現關鍵業務容災的解決方案[J].信息通信,2013,(7):232-233.

[5]王晨光.醫院信息系統(HIS)安全維護措施探討[J].中國醫學創新,2013,(14):77-78.

[6]劉躍,宋兵.信息系統異地容災技術探討[J].中國傳媒科技,2012,(12):74-77.

[7]鄒先霞,賈維嘉,潘久輝.基于數據庫日志的變化數據捕獲研究[J].小型微型計算機系統,2012,(3):531-536.

[8]李民,曹陽.基于Oracle Data Guard構建醫院信息系統的容災備份方案[J].醫院數字化,2012,(8):45-47.

[9]江英琴.基于日志復制技術的容災系統研究與應用[J].電子技術與軟件工程,2014,(12):217-219.

[10]王玉珍,孫巍,郭建魁.醫院網絡入侵檢測系統聯動策略的實施[J].中國醫療設備,2015,30(8):87-89.

[11]王栩,劉佳.大型醫院HIS系統應急方案全流程[J].計算機軟件光盤與應用,2012,(11):143-144.

Construction and Implementation of the Application-level Disaster Tolerant System in the Hospital Information System

This paper introduced in details the implementation process of the application-level disaster tolerant system in the hospital information system.To ensure the proper function of the hospital information system (HIS),as well as to ensure the recovery of the HIS within short period of time during disaster,our hospital constructed the application-level disaster tolerant system,which includes three parts: business system end deployment,disaster tolerant system end deployment,and WEB management end deployment.

hospital information system;disaster tolerant system;data backup;network security

HONG Huai-jiang,MA Sheng-jie
Information Center,Lishui Central Hospital,Lishui Zhejiang 323000,China

TP393.08

A

10.3969/j.issn.1674-1633.2016.04.025

1674-1633(2016)04-0100-03

2015-10-26

2016-02-23

本文作者：洪懷江，醫院信息中心負責人，工程師。

作者郵箱：382912859@qq.com