Проектирование информационных систем

Следует добавить, что одни пользователи предпочитают не выполнять никаких приложений на резервной машине, хотя другие наоборот стараются немного нагрузить резервный сервер в кластере. Возможность выбора конфигурации системы с помощью процедур начальной установки дает пользователям большую гибкость, позволяя постепенно использовать весь заложенный в системе потенциал.

Обеспечение высокой готовности должно поддерживаться средства операционной системы, которые должны включать следующие функции:

Журнализация файловой системы

Следствием журнализации изменений файловой системы является то, что файлы всегда находятся в готовом для использования состоянии. Когда система отказывает, журнализованная файловая система гарантирует, что файлы сохранены в последнем согласованном состоянии. Это позволяет осуществлять переключение на резервную систему без какой-либо порчи данных, а также либо вообще без каких-либо потерь данных, либо с потерей только одной последней транзакции. Такой подход отличается от систем, которые осуществляют журнализацию только метаданных файловой системы - процедура, которая помогает управлять целостностью файловой системы, но не целостностью данных.

Изоляция неисправного процесса

Для активно используемых компонентов программного обеспечения, таких как файловая система, часто применяется технология изоляции неисправных процессов, гарантирующая изоляцию ошибок в одной системе и невозможность их распространения за пределы этой системы.

Мониторы обработки транзакций

Иногда для управления переключением на резерв используются мониторы транзакций, гарантирующие отсутствие потерь данных. При этом для незавершенных транзакций может быть произведен откат назад, и базы данных возвращаются к известному согласованному состоянию. Для системы UNIX наиболее известными мониторами транзакций являются Tuxedo компании USL, Encina компании Transarc, CICS/6000 компании IBM и Top End компании NCR.

3. "Кластеризация" как способ обеспечения высокой готовности системы

Базовая модель VAX/VMS кластеров

Компания DEC первой анонсировала концепцию кластерной системы в 1983 году, определив ее как группу объединенных между собой вычислительных машин, представляющих собой единый узел обработки информации. По существу VAX-кластер представляет собой слабосвязанную многомашинную систему с общей внешней памятью, обеспечивающую единый механизм управления и администрирования.

VAX-кластер обладает следующими свойствами:

Разделение ресурсов. Компьютеры VAX в кластере могут разделять доступ к общим ленточным и дисковым накопителям. Все компьютеры VAX в кластере могут обращаться к отдельным файлам данных как к локальным.

Высокая готовность. Если происходит отказ одного из VAX-компьютеров, задания его пользователей автоматически могут быть перенесены на другой компьютер кластера. Если в системе имеется несколько контроллеров HSC и один из них отказывает, другие контроллеры HSC автоматически подхватывают его работу.

Высокая пропускная способность. Ряд прикладных систем могут пользоваться возможностью параллельного выполнения заданий на нескольких компьютерах кластера.

Удобство обслуживания системы. Общие базы данных могут обслуживаться с единственного места. Прикладные программы могут инсталлироваться только однажды на общих дисках кластера и разделяться между всеми компьютерами кластера.

Расширяемость. Увеличение вычислительной мощности кластера достигается подключением к нему дополнительных VAX-компьютеров. Дополнительные накопители на магнитных дисках и магнитных лентах становятся доступными для всех компьютеров, входящих в кластер.

Работа VAX-кластера определяется двумя главными компонентами. Первым компонентом является высокоскоростной механизм связи, а вторым - системное программное обеспечение, которое обеспечивает клиентам прозрачный доступ к системному сервису. Физически связи внутри кластера реализуются с помощью трех различных шинных технологий с различными характеристиками производительности.

Основные методы связи в VAX-кластере представлены на рисунке 1.

Рис. 1 VAX/VMS-кластер

Шина связи компьютеров CI (Computer Interconnect) работает со скоростью 70 Мбит/с и используется для соединения компьютеров VAX и контроллеров HSC с помощью коммутатора Star Coupler. Каждая связь CI имеет двойные избыточные линии, две для передачи и две для приема, используя базовую технологию CSMA, которая для устранения коллизий использует специфические для данного узла задержки. Максимальная длина связи CI составляет 45 метров. Звездообразный коммутатор Star Coupler может поддерживать подключение до 32 шин CI, каждая из которых предназначена для подсоединения компьютера VAX или контроллера HSC. Контроллер HSC представляет собой интеллектуальное устройство, которое управляет работой дисковых и ленточных накопителей.

Компьютеры VAX могут объединяться в кластер также посредством локальной сети

Ethernet, используя NI - Network Interconnect (так называемые локальные VAX-кластеры), однако производительность таких систем сравнительно низкая из-за необходимости делить пропускную способность сети Ethernet между компьютерами кластера и другими клиентами сети.

В начале 1992 года компания DEC анонсировала поддержку построения кластера на основе шины DSSI (Digital Storage System Interconnect). На шине DSSI могут объединяться до четырех компьютеров VAX нижнего и среднего класса. Каждый компьютер может поддерживать несколько адаптеров DSSI. Отдельная шина DSSI работает со скоростью 4 Мбайт/с (32 Мбит/с) и допускает подсоединение до 8 устройств. Поддерживаются следующие типы устройств: системный адаптер DSSI, дисковый контроллер серии RF и ленточный контроллер серии TF. DSSI ограничивает расстояние между узлами в кластере 25 метрами.

Во всем мире насчитывалось более 20000 установок VAX-кластеров. Почти все из них построены с использованием шинного интерфейса CI.

Системное программное обеспечение VAX-кластеров

Для гарантии правильного взаимодействия процессоров друг с другом при обращениях к общим ресурсам, таким, например, как диски, компания DEC использует распределенный менеджер блокировок DLM (Distributed Lock Manager). Очень важной функцией DLM является обеспечение когерентного состояния дисковых кэшей для операций ввода/вывода операционной системы и прикладных программ. Например, в приложениях реляционных СУБД DLM несет ответственность за поддержание согласованного состояния между буферами базы данных на различных компьютерах кластера.

Задача поддержания когерентности кэш-памяти ввода/вывода между процессорами в кластере подобна задаче поддержания когерентности кэш-памяти в сильно связанной многопроцессорной системе, построенной на базе некоторой шины. Блоки данных могут одновременно появляться в нескольких кэшах и, если один процессор модифицирует одну из этих копий, другие существующие копии не отражают уже текущее состояние блока данных. Концепция захвата блока (владения блоком) является одним из способов управления такими ситуациями. Прежде чем блок может быть модифицирован, должно быть обеспечено владение блоком.

Работа с DLM связана со значительными накладными расходами. Накладные расходы в среде VAX/VMS могут быть большими, требующими передачи до шести сообщений по шине CI для одной операции ввода/вывода. Накладные расходы могут достигать величины 20% для каждого процессора в кластере. Поставщики баз данных при использовании двухпроцессорного VAX-кластера обычно рассчитывают получить увеличение пропускной способности в 1.8 раза для транзакций выбора и в 1.3 раза для транзакций обновления базы данных.

14. Надежность эргономической составляющей ИС

1. Надежность человека-оператора

При создании современных ИС необходимо учитывать человеческий фактор, в частности, надежность системы, когда к ее контуру управления включен человек-оператор.

Отказам подвержен как сам оператор, так и интерфейс его взаимодействия с ИС. Особенность надежности человека состоит в том, что ему свойственен так называемый временный неустойчивый отказ (может прозевать в ответственный момент). В классической теории надежности такие отказы не рассматривают.

Другое отличие надежности человека состоит в том, что ее можно представить как в виде структурной, так и в виде функциональной надежности.

Структурная надежность - надежность работы организма.

Функциональная надежность - надежность выполнения функций оператора.

Будем рассматривать только функциональную надежность.

Функциональная надежность человека характеризуется следующими показателями:

1. Безошибочность

2. Готовность

3. Восстанавливаемость

4. Своевременность

Безошибочность характеризуется вероятностью безошибочной работы:

Pi = (Ni - ni)/ Ni ,

где Ni - общее число выполненных операций i-го типа;

ni - число ошибочно выполненных операций i-го типа.

Зная алгоритм работы оператора, т.е. зная числа Тi , Ki {Тi - длительность выполнения i-й операции, Ki - число выполненных операций (за смену, за час)}, можно найти вероятность безошибочного выполнения i-го алгоритма:

Pб/о = П Pi Ki Тi

Готовность характеризуется коэффициентом готовности

Kг = (T - T0) / T

где Т - общее время работы;

T0 - время, в течение которого оператор не готов выполнять работу.

Восстанавливаемость - возможность самоконтроля и исправления допущенных ошибок. Характеризуется вероятностью допущенных ошибок и считается:

Pиспр = Рконтр * Робн. * Рn.

Рконтр. - вероятность выдачи сигнала контроля системой при допущенной ошибке (загорелась лампочка).

Робн. - вероятность обнаружения оператором этого сигнала.

Рn - вероятность исправления своих ошибок при повторном решении.

Своевременность. Даже правильные, но несвоевременные действия приводят к отказам И.С. Рассчитывается:

 Pcв = ? f(t) dt

Pcв - вероятность своевременных действий

f(t) - плотность распределения времени решения задачи

tл - допустимый лимит времени на ее решение

Перечисленные показатели являются частными критериями надежности. После их вычисления может быть найдена интегральная надежность оператора.

2. Оценка надежности и эффективности информационной системы по уровню обученности специалиста

Конечная цель обучения специалиста - достижение такого функционального состояния, которое обеспечивает требуемое качество деятельности.

Можно выделить три уровня подготовки.

Требования I уровня заключаются в выполнении действий по контролю состояния системы, по изменению ее состояния и переходу от одной операции к другой.

На первом уровне действия основаны только на умении. Специалист не представляет тех изменений, которые происходят в системе, не знает объекта управления и не представляет, как происходит управление объектом. Он может работать как оператор и выполнять действия по контролю процесса, действуя строго по инструкции. Работая безошибочно, исполнитель может обеспечить требуемую надежность системы, при этом вероятность безошибочного выполнения системой функций не выше вероятности безотказной работы технических средств.

Преимущества первого уровня. Небольшой объем информации, необходимый для усвоения, а, следовательно, затраты времени и средств на обучение минимальны.

Требования II уровня:

Исполнитель работает, понимая сущность происходящих явлений и процессов. Он должен производить поиск и обнаружение неисправностей в системе, может производить замену неисправного элемента на исправный элемент из ЗИПа (запчасти, имущество, принадлежности), должен реагировать на аварийную ситуацию и возвращать систему в исправное состояние.

Требования III уровня:

Уровень подготовленности специалистов высокой квалификации.

Специалист способен устранить неисправность в системе до элемента. Он ясно представляет себе связи, существующие между конструктивными элементами системы.

На III уровне обученности объем информации, который необходимо усвоить, на 1-2 порядка больше, чем на II уровне. Поэтому увеличивается время и стоимость обучения и, следовательно, появляется следующая оптимизационная задача: Сколько специалистов I II и III уровней должна иметь данная информационная система для обеспечения надежного функционирования с точки зрения экономического критерия.

3. Методы оценки и способы повышения надежности эргатической составляющей ИС

Оценка надежности эргономической составляющей, как и других подсистем информационной системы, может быть проведена на основе:

1. Расчета автомоделей;

2. Имитации

3. Эмпирически.

В принципе эти методы не отличаются от методик расчета других подсистем. Для повышения надежности эргономической составляющей используются методы

1. Методы контроля функционирования системы;

2. Обучение операторов;

3. Введение избыточности.

Следует также учитывать ряд особенностей присущих человеку, правильная оценка которых позволяет повысить надежность важной составляющей ИС - человека-оператора. Рассмотрим эти особенности подробнее.

Сложность управления технологическими объектами и невозможность обеспечения их полной независимости от влияния окружающей среды создают ряд проблем и приводят к заметному числу случайных, нештатных ситуаций. Даже при высоком уровне организации автоматического управления объектом неоспорима важность индивидуального действия оператора не только как фактор, повышающий надежность функционирования человеко-машинной системы, но и как возможная причина возникновения или усугубления опасной ситуации. Цели операторов в управлении безопасностью объекта, определяются режимами его работы. Так, при нормальных эксплуатационных режимах оператор должен предотвратить нежелательные тенденции развития технологического процесса, не подвести объект к опасной ситуации. При отклонении от нормального режима - предотвратить развитие аварийно-опасной ситуации и вывести систему в безопасное состояние. И, наконец, участвовать в управлении безопасностью в аварийных ситуациях. Активная, творческая основа деятельности оператора требует (новых подходов к анализу и обеспечению безошибочности его деятельности) разностороннего изучения всех внешних и внутренних факторов, которые могут отдельно или в сочетании явиться причиной ошибок оператора.

Все сведения, необходимые для обеспечения функционирования современных технологических объектов и технической части подвижных объектов, человек-оператор получает опосредованно от различного рода информационных систем (рис.1).

Функции информационного обеспечения не ограничиваются предоставлением оператору необходимых данных и сведений. В любом случае, так или иначе, информационная система подспудно влияет на психологические характеристики человека, изменяя его поведение за счет формирования установок, намерений, представлений, оценок, предпочтений, т.е. определяет характер отражения сложившейся ситуации в сознании оператора, тем самым управляя его деятельностью. Это влияние весьма значимо, особенно в нетипичных ситуациях, требующих экстренных (чрезвычайных) действий с возможными дополнительными целями и нестандартными планами действий. То есть качество работы оператора зависит как от содержательной стороны информационного обеспечения, так и от способов его подачи.

Оператор центрального поста управления основную информацию получает от систем отображения информации. Это преимущественно визуальная информация, сопровождающаяся сигналами предупреждения и тревоги. При необходимости оператор получает дополнительную звуковую информацию с местных постов управления или руководящие указания от управленческих (командных) структур.

По функциональному назначению можно выделить три вида информации, поступающей к оператору: собственно информационное обеспечение, предоставляющее оператору информацию об объекте и сложившейся на данный момент ситуации, на основании которой он должен выработать линию поведения; информация, получаемая от систем поддержки оперативных решений («советчики» оператора); и информация, дающая оценку деятельности оператора.

На этом информационном фоне, а также на базе прошлого опыта в сознании оператора формируется смысл события, как его интеллектуальная (содержательная), так и эмоциональная стороны. Происходит преломление события в индивидуальном сознании, как бы субъективная его трактовка оператором.

Считается неоспоримым. Что ошибки чаще возникают из-за того, что оператор не опоздал, а поторопился.

От эмоционального состояния оператора во многом зависит безошибочность его работы (рис. 2).

Эмоциональная сторона смысла события определяет значимость-тревожность события для оператора. Предполагается, что адекватная оценка значимости-тревожности ситуации зависит от успешности решения оператором подобных задач в прошлом, формирования на основании прошлого опыта или обучения соответствующих установок, особенностей личности.

Рис.2. Эмоциональные помехи, способствующие ошибкам оператора. Другим важным фактором, влияющим на качество работы оператора, является мотивация.

* Высокая мотивация к труду повышает безошибочность работы.

* Поведение операторов обусловливается либо стремлением к успеху и, как следствие, низкой мотивацией и небрежным отношением к «простым», с их точки зрения, задачам, либо стремлением избежать неудач и низкой мотивацией при сложных задачах.

* Из-за свойственного людям преувеличения вероятности желательных событий и преуменьшения нежелательных, при равной степени мотивации побеждает тот мотив, который быстрее реализуется.

* В конфликте мотивов «выгода - безопасность» часто побеждает мотив выгоды.

Роль оценочной информации в деятельности оператора влияет на отношение оператора к труду, его мотивацию, эмоциональное состояние.

Поощрительная оценка (положительная стимуляция) должна поддерживать в сознании оператора установку на престижность безошибочной работы и постыдность нарушения правил эксплуатации, усиливать мотивацию «безопасности» в конфликте мотивов «выгода -- безопасность».

Размещено на Allbest.ru