医院信息建设指南(HIS)

2

医院信息系统的建设一、HIS系统建设的信息工程学观点二、实施HIS系统的一般步骤三、实施HIS系统基本策略的选择四、实施HIS系统建设的相关技术五、实施HIS系统的组织和领导2009/10/291一、HIS系统的的信息工程学观点1、医院信息流分析

2、HIS系统是管理医院信息流的基本途径3、HIS系统的信息工程学观点2009/10/2921、医院信息流分析一个医院，其实是通过医院内部流动的、大量而复杂的各种业务数据实施管理和运作的。一个现代医院的基本要求是:保证医院内部的所有数据能够快速、准确地流动，以使所有具有权限的医护人员和管理人员随时使用所需数据。2009/10/293

从分析医院产生和使用的数据看，基本上有两大类：一类流向面向临床业务部门；一类流向面向管理业务部门。流向这两类部门的数据基本分成4个层次：系统设备层、业务系统层、知识管理层和决策支持层。在不同层次，流向这两类部门的数据既有完全共享和部分共享的，也有完全独立的。（见P158图8-2双塔模型）2009/10/294双塔模型图8-2：

2009/10/2952、HIS系统是管理医院信息流的基本途径

如何实现对医院大量而复杂的数据进行科学化管理，建设HIS系统这是目前国内外医院选择的唯一途径。因为HIS系统的基本功能就是：将医院的所有业务数据抽象成为信息流，并通过现代计算机和信息技术将其置于系统之中，从而实现借助先进的科学技术对医院各种信息流的管理和使用，真正做到所有信息在医院内部快速准确传递、数据规范统一和所需数据共享等。因此，要建设一个现代化医院，建设一个实用的HIS系统，是一条必经之路。2009/10/2963、HIS系统的信息工程学观点

建设一个HIS系统其实在很大程度上是一个计算机系统或信息系统工程问题。作为一个工程问题，通常它有三个基本特征：（1）阶段实施（2）版本控制（3）过程监理2009/10/297（1）阶段实施一个工程建设，通常要分成多个阶段，每个阶段由不同的人员参与以完成不同的工作。一个HIS系统的建设，通常要分成下面一些基本阶段：需求调研阶段、设计阶段、开发阶段、测试和维护阶段等。2009/10/298（2）版本控制在一定时期内，一个系统只能解决某些问题，不可能寄希望开始建设一个HIS系统就能解决医院的所有问题。因为既有对医院信息的理解和获取有个过程问题，也有信息技术本身的发展限制问题。因此当时的HIS系统只能代表当时的水平或只是当时的版本。只有在使用HIS系统中，随着时间的不断推入，不断使用新的技术和理念，完善和升级已经建成的HIS系统，以产生新的版本。这就是微软公司提出的所谓工程版本控制问题。2009/10/299（3）过程监理工程监理一般是相对大型工程建设而言的。它的基本作用就是通过专业的监理机构，对一项工程的成本预算、工程质量、工程进度等进行监管。建设一个HIS系统，通常在百万元以上，因此有必要进行监理。例如北京市规定200万元以上的计算机系统工程必须要有监理。2009/10/2910二、实施HIS系统的一般步骤一般步骤，下面提出一种解决方案：1、准备项目计划书2、挑选HIS系统供应商3、需求分析4、系统设计5、数据准备与装入6、系统测试7、用户培训2009/10/29111、准备项目计划书这实际上是建设HIS系统的准备阶段。这个阶段的主要任务就是要说明上线HIS系统总的目标和完成功能的一揽子解决方案。按照国外通常的做法，这个解决方案多聘请专业咨询公司来实施。2009/10/2912

这个方案的文档一般包括：医院概况及拟建HIS系统的总的目标HIS系统的基本功能及子系统的划分系统所需软硬件资源的需求网络工程的描述开发费用的估算质量和进度控制等。2009/10/29132、挑选HIS系统供应商这实际上也是建设HIS系统的准备阶段工作。如果要购买一个供应商现成的HIS系统或聘请其来开发HIS系统，那么必须对该供应商做深入考察和选择。考察和选择的内容必须包括如图8-3所示的几个方面：产品（演示和案例）功能；技术水平评价（可聘请计算机教授、IT专家进行）；供应商开发资质；价格分析2009/10/2914P161图8-3评价和挑选供应商过程图：

2009/10/29153、需求分析这是开发小组具体实施HIS系统的总体规划阶段。这个阶段的主要任务是：确定开发目标、进行可行性分析、调研用户需求、规定实施计划等。2009/10/2916

确定开发目标理性确定HIS系统的开发目标，既要眼观未来，又要注重现实。进行可行性分析最基本的包括技术上可行和资金上可行两个方面。在技术上是否可行，可使用原型方法开发一个演示系统，以便用户先睹为快。2009/10/2917

调研用户需求要详细调查和了解所有用户现行的工作流程及对HIS系统的功能需求。规定实施计划对总体目标从功能上和时间上进行子系统的划分。2009/10/2918

这个阶段形成的文档（概念模型）主要有：项目目标及结构说明书系统可行性分析报告书用户需求说明书系统功能及演示说明书等2009/10/29194、系统设计这是建设HIS系统中最重要的一个系统功能分析和程序设计的阶段。按照教材的安排，这个阶段包括多个过程：系统的子系统分析系统模块划分程序流程及其代码设计2009/10/2920系统的子系统分析在总体规划和需求分析的基础上，从宏观角度出发按照不同的功能将系统划分成若干负责完成HIS系统中一组功能的子系统。从工程逻辑上看，这个过程是实现将医院的概念模型转换成逻辑模型。2009/10/2921系统模块划分在子系统划分的基础上，按照微观角度将每个子系统进一步细划成若干小的模块，每个模块一般只负责完成一个特定的功能。从工程逻辑上看，这个过程是将逻辑模型转换成物理（功能）模型。2009/10/2922程序流程及其代码设计根据前面的工作，具体将每一个功能模块按照用户的需求，将其转换成技术上的操作。显然这个过程需要做的事必须有：为每个模块编写程序实现的程序流程图；选择相关算法，确定并进行程序代码的设计。2009/10/2923

从产生文档角度看，这个阶段一般主要产生有：系统功能分析及其功能划分说明书（概念设计和逻辑设计说明书）；系统物理结构和程序结构设计说明书2009/10/29245、数据准备与装入这也是应该属于系统设计阶段的任务。这里的基本任务就是编写数据字典并将其录入HIS系统。编写数据字典的基本目的是将医院的各种数据按照系统的统一要求和格式，将其组织起来。由于医院的数据数量巨大、形式复杂，既有可供全院使用的，也有只供科室自身使用的，因此编写数据字典的工作是一项工作量非常大的工作。注意：有关数据字典的含义后面将会多次介绍。2009/10/29256、系统测试系统测试也是HIS系统建设中一个不可忽缺的重要阶段。这个阶段的任务一般是要进行Alpha测试、Beta测试和Release测试等。这个阶段产生的文档一般有：测试报告书、验收报告书、用户操作手册、系统维护手册等2009/10/29267、用户培训这个阶段是HIS系统建设中一个后期工作。其培训对象既包括医院计算机专业人员，也包括医院各个业务部门的相关人员。培训的内容一般是：HIS系统的基本功能；HIS系统的使用方法；使用中应该注意的一些问题等。2009/10/2927三、实施HIS基本策略的选择1、预期目标的确定2、系统规模和类型的确定3、开发方法的选择2009/10/29281、预期目标的确定建设HIS系统的预期目标包括：需求目标效益目标功能目标技术目标2009/10/29292、系统规模和类型的确定建设HIS系统的规模和类型的确定，取决于医院的实际情况（医院规模、资金来源、技术力量）。通常要考虑一些基本问题：是一次性完成，还是分期完成？是只建设基本的HIS系统，还是要建设成含有CLS系统、RIS系统和PACS系统在内的IHIS系统？是建设成只限医院内部使用局域网系统，还是要建设成能够与Internet/Extranet相连的开放式网络系统？2009/10/29303、开发方法的选择通常有四种方法：自主开发；合作开发；市场购买；托管公司管理（国外新出现：委托给专门应用服务提供商ASP：ApplicationServiceProvider进行全权管理）。2009/10/2931四、实施HIS建设的相关技术1、HIS建设中的基本技术2、HIS系统的工作模式3、HIS系统的开发工具和数据接口4、HIS系统的安全5、一个小型HIS系统的技术指标示例2009/10/29321、HIS建设中的基本技术HIS系统一般是一个大型应用软件，必须依靠计算机硬件、软件和网络的支撑，其中涉及的基本技术有：（1）网络技术（Network）（2）服务器技术（Server）（3）操作系统（OS）（4）关系数据库系统（RDBMS）（5）应用软件（ApplicationSoftware）（6）信息融合(InformationMerge)2009/10/2933（1）网络技术（Network）应建立覆盖全院的局域网络，或者建立基于Internet/Intranet的局域网络。网络带宽，即网络数据传输速度，主干网的带宽一般应至少在100Mb/s以上，一般工作站可在10Mb/s以上，但对于图形工作站也应在100Mb/s以上。网络拓扑形式大多采用以太网（Ethernet）快速以太网、光纤环网FDDI、ATM网等。2009/10/2934（2）服务器技术（Server）由于医院信息量大，特别是大型医院，需要的服务器类型很多，而且对服务器的性能指标也有较高的要求。2009/10/2935（3）操作系统（OS）在HIS系统中，必须配置具有企业级管理功能的网络操作系统。网络操作系统通常为：Windows2000Server以上：易于使用和管理；Linux：开放的源代码便于扩充系统功能；UNIX：只适用大型网络系统，但使用不方便。客户机操作系统一般用Windows2000Professional以上版本即可。2009/10/2936（4）关系数据库系统（RDBMS）数据库系统是HIS系统的核心支撑软件，特别是对于后台数据库系统，更应该注意它的先进性能。数据库系统通常为：SQLServer2000；Oracle；Sybase；Cache等。2009/10/2937（5）应用软件（ApplicationSoftware）必须开发一个功能完整、方便使用，并能集成各种不同类型系统和具有连接各种厂商设备接口的HIS应用软件。开发应用软件可以说是建设HIS系统最主要的工作所在。2009/10/2938（6）信息融合(InformationMerge)由于HIS系统涉及众多设备、部门和模块的信息，因此需要通过各种接口，实现医院业务流程与HIS系统信息流转的融合。2009/10/29392、HIS系统的工作模式HIS的工作模式主要有二种形式：（1）客户机/服务器（Client/Server）（2）多层结构模式（如Browse/Server）目前使用最多的是客户机/服务器模式。多层结构，如客户机（浏览器）/中间服务器/数据库服务器模式应该是发展的方向。2009/10/29403、HIS的开发工具和数据接口（1）开发工具选择开发工具的原则（4个适应）：适应操作界面的变动；适应数据报表的动态制作；适应多层结构的开发环境；适应向Internet环境的转移等。常用的开发工具有：VisualC++、VisualBasic、BorlandDelphi、PowerBuilder、OracleDeveloper等。2009/10/2941

（2）数据接口常用的数据接口与设计其它应用软件时所使用的接口基本相同，如：DAO、ADO+OLEDB、BDE等，其中尤以ADO+OLEDB使用更为广泛。2009/10/29424、HIS系统的安全（1）系统安全性的含义（2）数据的安全性（3）网络的安全性（4）系统的安全性2009/10/2943（1）系统安全性的含义HIS系统一般每天承担着数千门诊和住院病人的医疗、病历和财务等重要信息的运行，承担着医院本身的医疗药品、财务物资和人力资源等大量数据的管理，因此对于HIS系统及其数据的安全性提出了很高的要求。对于HIS系统的数据安全性，一般包括两个方面：一是确保数据免遭意外而丢失；二是防止数据被不合法地使用。2009/10/2944（2）数据的安全性这里数据的安全性是指下面几个方面：数据读写的安全性数据存储系统的安全性数据库访问的安全性2009/10/2945数据读写的安全性数据读写的安全性主要是要防止非法用户进行读写操作。防止的方法很多，比如：在打开数据文件之前，必须通过身份认证；或者对某些重要数据直接进行数据加密算法处理等。2009/10/2946数据存储系统的安全性对于数据存储系统的安全性，目前较多采用冗余磁盘阵列RAID（RedundantArrayIndependentDisks）技术。2009/10/2947什么是RAID技术？简单地说，它是将多个独立的硬盘（物理盘）按照不同方式组合起来形成一个硬盘组（逻辑盘），从而提供比单个硬盘更高的存储空间和数据冗余。而且这种技术可以保证，其中任何一个磁盘出现故障都不会影响用户数据的丢失和中断。因为RAID的基本功能是：当用户数据一旦发生损坏，阵列将利用冗余信息使损坏数据得到恢复，从而保证数据的安全性。2009/10/2948

组成磁盘阵列的不同方式是由不同的RAIDLevels决定的。不同的级别其功能略有不同。RAID的常用级别有：RAID0、RAID1、RAID2、RAID3、RAID4、RAID5、RAID6、RAID7、RAID10、RAID53等，2009/10/2949数据库访问的安全性在数据库安全中，当主体（Subject）访问客体（Object）时，可采取安全措施有：身份标识和鉴别方法堵塞隐蔽通道方法并发控制中的故障恢复技术上述主体和客体是指：主体：数据库的访问者，如进程、线程、数据库用户和数据库管理员等；客体：数据库中的数据及其载体，如数据表、视图、存储过程和数据文件等。2009/10/2950身份标识和鉴别方法身份标识和鉴别（IdentificationandAuthentication）方法是一种最常用的方法。多采用用户名和口令、密码字、指纹或虹膜（iris）识别等2009/10/2951堵塞隐蔽通道方法在主体访问客体中，一般是通过正常路径进行，这些路径都要经过TCB的安全检查。但是实际上存在多种非正常访问路径，逃过了TCB的检查，这种非法路径就叫隐蔽通道（HiddingCannel）。为了数据的安全性，必须要想法堵塞可能出现的隐蔽通道。注意：这里的TCB是指可信计算基（TrustedComputingBase）,它是专门负责实施、检查和监督数据库安全的机构。2009/10/2952并发控制中的故障恢复技术在网络环境中，往往同时有多个应用或者多个事务（它由若干不可分割的数据库操作组成，数据库应用程序的基本逻辑工作单位）访问数据库，即并发执行。如果这种并发执行不加控制，就可能造成数据失态或产生故障。2009/10/2953

如果产生故障，其恢复策略一般是：对于小型故障的恢复：这种类型的故障是：在执行事务过程中产生了逻辑错误，如数据输入错误、数据溢出、死锁等引起了事务执行失败。恢复的方法是撤消执行事务的操作，将其恢复事务的起点。2009/10/2954

对于中型故障的恢复：这类故障是由系统故障或外部影响所致，如CPU故障、OS或DBMS故障、或停电等造成整个系统停止工作，内存数据损坏，但数据库未被破坏。恢复方法：如果事务为非正常中止，则采用撤消操作；如果事务已完成提交，则采用事务重做操作。2009/10/2955

对于大型故障的恢复：这类故障是因磁盘受损、病毒或黑客入侵造成数据库受到损坏。恢复的方法有两种：一是拷贝备份：即如果故障前做了数据转储备份，则可拷贝备份，再对日志中事务操作做相关修改；二是磁盘镜像：即将整个数据库实时拷贝到另一个磁盘上，每当数据库更新时，系统会自动将更新的数据复制到磁盘镜像中，保证主数据与镜像数据一致。如果一旦主数据出现故障，则可自动切换到磁盘镜像继续使用，并实施对主数据库的修补。2009/10/2956（3）网络的安全性这里的网络安全性主要指下面一些方面：选择FDDI网络链路加强Internet安全管理建立必要的安全网关限制Java程序的安全执行2009/10/2957选择FDDI网络链路从网络的拓扑结构看，FDDI网是两个环型结构所构成的光纤网络。这种网络一个基本特点是；当外环一旦发生故障时，系统将立即启动内环接替工作，从而保证网络运行的安全性和可靠性。2009/10/2958加强Internet安全管理一般做法有：对网络配置文件、访问文件等进行正确设置。例如运行在系统上的所有不必要的服务时，特别要拒绝执行来自远程的命令。对一些系统活动进行跟踪。可通过启动日志程序对用户的注册时间、从何注册、做了什么等都记录下来，以便追踪安全侵害者，或对系统进行重构和评估等。2009/10/2959建立必要的安全网关为了防止网络上的IP地址欺骗（指某台计算机伪装成另一台计算机，诱使其它计算机接受，并向它发送数据或允许它修改数据），通常是利用路由器将网络进一步划分成子网的方法。为了防止非法用户入侵网络内部，最常见的方法是安装防火墙。2009/10/2960限制Java程序的安全执行由于Java允许在Internet上下载可执行程序，并让它立即在系统中执行。这样客户机就可能受到外部的Java程序有意或无意的攻击。为了系统的安全性，防止上述现象的发生，通常的方法是限制未签名的Java程序的执行。2009/10/2961（4）系统的安全性这里的系统安全性主要指下面两个方面：供电设备的安全性（这种安全措施，常见的做法是配备大容量的UPS（不间断电源））服务器系统的安全性2009/10/2962服务器系统的安全性为解决服务器系统安全性的问题，目前采用的是群集技术。什么是群集技术？所谓群集（Cluster）是由一组独立的计算机（服务器）连接（在物理上通过电缆连接，在逻辑上通过群集软件连接）在一起，相互协同共同运行一组应用程序，并为用户和应用程序提供类似单机系统的服务。2009/10/2963

群集技术的功能：群集技术的目的是在发生故障或停机时，仍然可以保证客户机对应用程序和资源的访问。它的基本功能是在应用上具有高可用性、可伸缩性和可管理性：高可用性是指它具有“故障转移/故障恢复”功能。即在发生故障时，群集可将资源所有者、磁盘驱动器IP地址等自动从故障服务器转移到另一台可用的服务器上。2009/10/2964

可伸缩性是指它具有“活动/活动”和“活动/备用”等不同的群集形式。

“活动/活动”群集：即群集中每一台服务器都是“活动”的，都可处理实际工作，并且都可以恢复群集中任何其它服务器资源和工作负荷。

“活动/备用”群集：即一台服务器执行日常工作，另一台处于热备份状态。当主服务器发生故障不能工作时，备用服务器将立即接管主服务器工作。2009/10/2965

可管理性是指它具有可利用群集管理器（应用程序）对群集进行有效管理的功能。群集管理器管理的基本做法是：它通过一个控制台或称主域控制器实施对群集进行配置、监视和处理群集的活动。

如下图所示：2009/10/2966负责用户登录和群集监控运行HIS主服务器备用服务器心跳线，检测和传递信息交换机主域控制器服务器1服务器2磁盘阵列Hearbeat（可用性能稳定的PC机替代）