Switchover – Cambio de Sistema Primario a Respaldo

El switchover es un concepto central en el diseño y operación de sistemas resilientes y de alta disponibilidad, especialmente en aviación, TI, distribución eléctrica y otros sectores críticos para la misión. Esta entrada de glosario explora la definición, mecanismos, configuraciones y el contexto normativo del switchover, y lo distingue de otras estrategias de continuidad como el failover y la recuperación ante desastres.

¿Qué es el Switchover?

Un switchover es una operación planificada y deliberada para transferir el control del sistema, el procesamiento de datos o la provisión de servicios de un sistema o componente primario a uno de respaldo (en espera). A diferencia del failover—que es reactivo y se activa por fallas no planificadas—el switchover suele iniciarse manualmente o mediante automatización programada para fines como:

• Mantenimiento rutinario
• Actualizaciones o correcciones de sistema
• Auditorías o verificaciones de cumplimiento
• Pruebas de recuperación ante desastres (DR)

El switchover está diseñado para la continuidad: tanto los sistemas primario como de respaldo se sincronizan antes de la transferencia, minimizando o eliminando el tiempo de inactividad y la pérdida de datos. En TI de aviación, por ejemplo, el switchover permite a los controladores cambiar las operaciones de gestión del tráfico aéreo a un clúster de servidores de respaldo durante el mantenimiento, sin interrupción de servicios críticos para la seguridad. Las normas de la OACI (Organización de Aviación Civil Internacional), como el Anexo 10 y el Doc 9854, exigen redundancia y validación regular del switchover para sistemas regulados.

Características Clave

• Planificado: Se activa por mantenimientos programados, actualizaciones o cumplimiento, no por fallos.
• Controlado: Los pasos son coordinados, validados y registrados.
• Sincronizado: El sistema de respaldo está actualizado y listo para asumir operaciones.
• Tiempo de Inactividad Mínimo: La transición es transparente, con poco o ningún impacto en los usuarios.

Switchover vs. Failover

El failover es una transferencia automática de operaciones a un sistema de respaldo en respuesta a fallos no planificados, como fallos de hardware, caídas de software o interrupciones de red. Se activa por monitoreo de salud, temporizadores watchdog o alarmas de sistema, a menudo en cuestión de segundos.

• Switchover: Planificado, manual/automatizado, utilizado para eventos rutinarios o de cumplimiento.
• Failover: No planificado, automático, utilizado ante eventos de falla.

En ambos casos, el sistema de respaldo se convierte en el nuevo primario, pero los desencadenantes, procedimientos y requisitos normativos difieren. Los sistemas críticos de aviación y TI deben soportar ambos mecanismos, con pruebas y documentación exhaustivas.

Switchover en Aviación y TI Crítica

La redundancia y el switchover son pilares de la seguridad y fiabilidad en la aviación y en la TI crítica. Los estándares de la OACI exigen que los sistemas que soportan navegación aérea, vigilancia y comunicaciones:

• Ofrezcan redundancia para eliminar puntos únicos de falla
• Soporten switchover planificado con transferencia transparente de servicios
• Registren, documenten y prueben periódicamente la capacidad de switchover

Por ejemplo, los sistemas de control de tráfico aéreo pueden usar el switchover para cambiar operaciones entre centros de datos geográficamente separados durante ejercicios de recuperación ante desastres, sin perder datos ni continuidad de servicio.

Configuraciones de Switchover

Active-Active

En una configuración active-active, dos o más sistemas operan simultáneamente, compartiendo la carga de trabajo. El switchover en este contexto puede implicar redistribuir la carga si un nodo se retira por mantenimiento.

• Ventajas: Máximo rendimiento, sin punto único de falla, transferencia transparente.
• Desafíos: Complejidad, riesgo de inconsistencia de datos (split-brain), mayor costo.

Active-Passive (Activo-En Espera)

En las configuraciones active-passive (o activo-en espera), el sistema primario maneja todas las operaciones mientras el respaldo permanece sincronizado y listo.

• Ventajas: Gestión más sencilla, monitoreo enfocado, menor uso de recursos.
• Desafíos: El sistema en espera puede tardar algunos segundos en asumir el control, posible breve tiempo de inactividad.

Clústeres de Failover

Los clústeres de failover son grupos de servidores que pueden transferir cargas de trabajo automáticamente entre nodos. El switchover puede ser manual (para pruebas) o automatizado (para failover).

• Se utilizan para gestión de tráfico aéreo, procesamiento de datos de radar y bases de datos críticas.

Mecanismos de Switchover

Switchover Manual

• Realizado por operadores mediante interfaz gráfica, línea de comandos o interruptores físicos.
• Requiere listas de verificación, validación y comunicación con interesados.

Switchover Automatizado

• Orquestado por scripts o herramientas de gestión, generalmente en una programación establecida.
• Incluye pre-chequeos (sincronización de datos, salud del sistema), notificaciones y registro detallado.

Pasos Clave

1. Validación: Confirmar que tanto el sistema primario como el de respaldo estén sanos y sincronizados.
2. Notificación: Avisar a usuarios e interesados sobre el switchover programado.
3. Transferencia: Promover el sistema de respaldo a activo; dejar en espera el primario original.
4. Verificación: Confirmar que todos los servicios funcionan como se espera en el nuevo primario.
5. Registro y Auditoría: Registrar todas las acciones para cumplimiento y resolución de problemas.

Normas y Regulaciones para Switchover

La aviación y otros sectores regulados requieren adherencia a normas internacionales y nacionales para switchover y redundancia:

• Anexo 10 de la OACI: Redundancia en sistemas de comunicación y navegación.
• Doc 9854 de la OACI: Migración de sistemas, procedimientos de switchover y failover.
• IEC 60947-6-1: Normas para interruptores automáticos de transferencia (ATS) en sistemas eléctricos.
• Códigos eléctricos nacionales: Requisitos para la transferencia de energía en instalaciones críticas.

Las pruebas regulares, la documentación y las auditorías son obligatorias para la certificación.

Conceptos Relacionados

Sistema/Sitio de Respaldo (En Espera)

Un sistema de respaldo es un componente secundario y sincronizado, listo para asumir el rol operativo durante un switchover o failover. Los respaldos pueden ser locales (mismo sitio) o remotos (recuperación ante desastres), y su preparación se valida mediante simulacros regulares.

Sistema/Sitio Primario

El sistema primario lleva las operaciones en vivo y es la fuente de referencia. Replica datos al respaldo y se monitorea su salud y rendimiento.

Interruptor Automático de Transferencia (ATS)

Un ATS cambia automáticamente las cargas eléctricas de una fuente primaria a una de respaldo (como generador) durante cortes, garantizando operación ininterrumpida en torres de control, centros de datos y hospitales.

Replicación

La replicación sincroniza datos y el estado operativo entre los sistemas primario y de respaldo. Puede ser síncrona (sin pérdida de datos) o asíncrona (con posible desfase).

Redundancia

La redundancia es la duplicación de sistemas críticos para eliminar puntos únicos de falla. Puede ser a nivel de hardware, software o red y es un requisito normativo en aviación.

Recuperación ante Desastres (DR)

La recuperación ante desastres abarca estrategias y procesos para restaurar operaciones tras grandes interrupciones. El switchover es clave para simulacros planificados de DR, mientras que el failover se usa durante incidentes reales.

RTO y RPO

• Recovery Time Objective (RTO): Máximo tiempo de inactividad aceptable tras una interrupción.
• Recovery Point Objective (RPO): Máxima pérdida de datos aceptable, medida como el tiempo desde la última replicación o respaldo.

Cómo Funciona el Switchover: Ejemplo

En un sistema de control de tráfico aéreo:

1. Se programa el mantenimiento para el clúster de servidores primario.
2. Los operadores inician el switchover desde la consola de gestión.
3. El clúster de respaldo, continuamente sincronizado, se promueve a activo.
4. Todas las conexiones y flujos de datos en vivo se redirigen sin inconvenientes.
5. El primario original pasa a modo espera, listo para revertir el proceso.
6. Los operadores validan el estado y registran el evento para cumplimiento.

Buenas Prácticas de Switchover

• Verificaciones previas al switchover: Asegurar sincronización de datos, salud del sistema y notificación a interesados.
• Automatización: Utilizar scripts o herramientas de orquestación para reducir errores humanos.
• Registro: Mantener auditorías completas.
• Pruebas: Probar regularmente los procedimientos tanto de switchover como de failover.
• Documentación: Mantener los procedimientos actualizados y accesibles.

Switchover en Otros Sectores

Aunque la aviación establece algunos de los estándares más estrictos, el switchover es fundamental en:

• Centros de datos: Para continuidad de servidores, almacenamiento y red.
• Salud: Para sistemas de soporte vital y monitoreo.
• Banca/Finanzas: Para procesamiento de transacciones y cumplimiento.
• Energía/servicios públicos: Para gestión de redes y infraestructura crítica.

Conclusión

El switchover es un proceso planificado y controlado que permite a las organizaciones mantener operaciones continuas durante mantenimientos, actualizaciones o eventos de cumplimiento. Al asegurar que los sistemas de respaldo estén siempre listos para asumir el rol primario, el switchover minimiza los riesgos de inactividad, pérdida de datos e incumplimientos normativos. En aviación y otros campos críticos, cumplir con estándares rigurosos, realizar pruebas periódicas y mantener una documentación exhaustiva son condiciones innegociables para la seguridad y fiabilidad operativa.

El switchover, junto con el failover, la redundancia y la recuperación ante desastres, forma la columna vertebral del diseño de sistemas resilientes, permitiendo a las organizaciones ofrecer servicios ininterrumpidos y de alta integridad frente a desafíos tanto rutinarios como extraordinarios.