(高清版)GBT 42123-2022 个人健康设备通信规范

个人健康设备通信规范I前言 2规范性引用文件 13术语和定义 14缩略语 25个人健康设备 25.1个人健康设备概述 25.2设备通信范围 35.3通信总体要求 35.4个人健康设备类型 46个人健康设备通信模型 56.1通信模型 56.2数据包格式 76.3数据单元 87通信过程 97.1个人健康设备通信状态 97.2设备寻址 7.3设备连接网络 7.4服务描述 7.5设备操作 7.6安全性要求 8通信数据 8.1总体要求和总体原则 8.2编码规范 8.3数据类型 8.4设备信息编码 9通信服务模型 9.1互操作工作流程 9.2设备与外部存储的传输流程 9.3通信的服务模型 9.4个人健康设备传输 10即插即用 10.1通信接口 10.2总体要求 10.3本地服务 Ⅱ 10.5管理程序 附录A(资料性)老年慢性病监测与个人健康设备的通信说明 A.2相关人员 A.3涉及的人员和角色类型 A.4疾病管理 A.5老年高血压数字管理(心脏病患者) A.6糖尿病 A.7老年糖尿病数字管理 A.8慢性阻塞性肺疾病 A.9呼吸暂停监测器(慢性肺病) 22A.10心脏病患者的移动健康监测 22A.11血压说明 A.12慢性肾脏病患者并发症监测 参考文献 ⅢGB/T42123—2022本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中华人民共和国工业和信息化部提出。本文件由全国通信标准化技术委员会(SAC/TC485)归口。本文件起草单位：北京理工大学、中国人民解放军总医院、中国电子技术标准化研究院、中国信息通信研究院、中国标准化研究院、国家粮食和物资储备局标准质量中心、中国计量科学研究院、中国科协创新战略研究院、中国老龄协会、北京正达康健生物医学科技有限公司、汕头大学医学院第一附属医院。1个人健康设备通信规范1范围本文件规定了个人健康设备通信规范，包括个人健康设备与健康信息管理终端(例如外部计算机、移动通信终端、机顶盒)之间的通信模型、协议构成以及即插即用等。本文件适用于医疗诊断或优化护理服务场景下的个人健康设备的即插即用和个人健康设备的通信设计。本文件不涉及个人健康设备的健康信息管理终端与其他上层管理系统(个人健康记录系统、康复管理系统等)。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T1988—1998信息技术信息交换用七位编码字符GB18030—2022信息技术中文编码字符集GB/T35273—2020信息安全技术个人信息安全规范GB/T37733.1—2019传感器网络个人健康状态远程监测第1部分：总体技术要求IEEE802.15.1aIEEE信息技术标准-LAN/MAN-特定要求第15a部分：无线个人区域网3术语和定义下列术语和定义适用于本文件。健康信息管理终端manager从一个或多个设备系统接收数据的节点。注：包括个人计算机、移动通信终端、机顶盒或计算机系统。域信息模型domaininformationmodel描述问题域的常见概念和关系的模型。在家庭日常生活中由持有者用来获取个人生命体征、运动状态和环境状态等数据，且所得数据用于医疗诊断或者优化护理服务的设备。2设备开始与健康信息管理终端进行连接后，健康信息管理终端接受设备的连接请求的通信状态。4缩略语下列缩略语适用于本文件。APDU:应用协议数据单元(ApplicationProtocolDataUnit)ASN.1:抽象语法表示法一(AbstractSyntaxNotationOne)BCD:二进码十进数(Binary-CodedDecimal)BER:基本编码规则(BasicEncodingRule)CE:消费电子设备(ConsumerElectronics)HDP:健康设备配置协议(HealthDeviceProfile)HTTPS:超文本传输安全协议(HypertextTransferProtocolSecure)IP:互联网协议(InternetProtocol)JSON:JS对象简谱(JavaScriptObjectNotation)MDER:医学可辨别编码规则(MedicalDistinguishedEncodingRules)PHD:个人健康设备(PersonalHealthDevice)TCP:传输控制协议(TransmissionControlProtocol)UDP:用户数据报协议(UserDatagramProtocol)UPnP:通用即插即用(UniversalPlugandPlay)URL:统一资源定位系统(UniformResourceLocator)USB:通用串行总线(UniversalSerialBus)WLAN:无线局域网(WirelessLocalAreaNetwork)XML:可扩展标记语言(EXtensibleMarkupLanguage)5个人健康设备个人健康系统中所涉及的实体包括个人健康设备、传输网络和健康信息管理终端。个人健康设备通过传输网络与健康信息管理终端连接，传递信息数据等内容。其信息主要为控制设备开关运行的控制指令信息和患者使用设备产生的健康管理信息。传输网络可为有线或无线的连接方式，无线连接方式包括蓝牙、zigbee、WLAN、蜂窝网络等。健康信息管理终端一般个人健康设备主要通过采集使用者的生命体征、运动状态、所处环境来实现对患者的个人健康管理。个人健康设备在疾病管理的应用主要分为三大类应用场景：疾病预防性检测、慢病实时监测和居家康复监测。如果以一定的方式传播，共享和使用这些数据，将会影响使用者的个人健康状态。个人健康设备的相关人员包括用户/患者、医疗专业人员、设备制造商和设备软件开发人员。其中用户/患者、医疗专业人员为个人健康设备的使用者，个人健康设备制造商和设备软件开发人员为个人3健康设备的设计和开发者，也是本文件主要面向群体。个人健康设备通信为个人健康设备与健康信息管理终端(个人计算机、移动通信终端、机顶盒)之间的应用层通信。不涉及个人健康设备的健康信息管理终端与其他上层管理系统(疾病预防检测、慢病实时监测、居家康复监测等)以及个人健康设备的5G通信。通信范围见图1。应用范围应用范围疾病预防检测慢病实时监测居家康复监测个人健康设备信息交互模型个人健康设备通信模型体重秤血压监测仪脉搏血氧仪机顶盒蜂窝网络、USB传输层移动通信终端个人!计算机健無信息管理终端个人健康设备要求分述如下。——考虑覆盖面积或半径。特定设备需要考虑设备通信覆盖面积，覆盖面积应符合表1。为保障传输距离，通信设计应符合以下相对应的标准：——考虑个人健康设备移动性，需移动的设备移动时应保持通信连续性，个人健康设备通信移动性应符合表1;——应采用设备通信安全防护措施，保证通信安全；——考虑实时性，特定设备通信传输进行实时分级，实时性应符合表1。设备是否考虑覆盖范围是否考虑移动通信实时性分级脉搏血氧仪是是毫秒级基础心电图仪是是毫秒级血压监测仪是是毫秒级体温计否是秒级体重秤否否秒级血糖仪否否秒级4表1设备通信要求(续)设备是否考虑覆盖范围是否考虑移动通信实时性分级身体成分分析仪否否秒级呼气流量峰值监测仪否否毫秒级尿液分析仪否否秒级连续血糖监测仪否否秒级药物监测器否否秒级5.4个人健康设备类型个人健康设备的功能见表2,其使用说明参照附录A。表2设备类型表设备名称功能脉搏血氧仪测量病人动脉血液中氧气含量的设备，利用动脉搏动期间光吸收量的变化通过无创方式测量血氧饱和度心电图仪记录用户心电信号的设备，电极根据不同的导联系统放置在人体表面特定位置，通过计算电极所在位置的电位差获取心电信号。心电采集现多采用12导联同步采集的方法，不同道数心电图在打印结果时有速度上的区别，如单道心电图仪一次只打印一个导联，打印十二次，速度最慢体重秤测量一个人体重的装置，也可测量其他生理参数(例如，体重指数或一个人的身高)。体重秤设备可使用各种方法测量体重，最常用的方法为在测量平面下放置几个应变式称重传感器，以将形变转换为质量血糖仪测量血液中葡萄糖浓度的装置。从工作原理上可分为光电型和电极型两种。光电血糖仪的探头暴露在空气中，误差大，使用寿命短。现在家用的血糖仪通常为电极型血糖仪，其电极口内藏，避免污染，精度高，大多数为有创型，并采用吸血式方法采血体温计测量人体某些部位温度的装置。根据温度传感器的不同，体温可通过多种原理获得尿液分析仪测量尿液中化学物质的量和一些性质(例如pH和密度)的装置。典型的尿液分析可以通过使用测试试剂条进行，将试剂条完全浸入新鲜尿液样品中，在30s或60s后读取颜色反应，颜色取决于用于定性测试的分析物呼气流量峰值监测仪测量哮喘等呼吸道疾病患者呼气功能的装置，通过记录呼气期间的空气流量和体积来测量受试者的肺功能连续血糖监测仪周期性连续获得血糖浓度的装置，通常从间质液中测量血糖。与血糖仪相比，连续血糖监测仪提供频繁测量使患者能更全面地了解全天血糖水平的波动，从而降低患糖尿病并发症的风险心血管健康与活动监测器测量个体的身体活动并记录对该活动的生理反应。此设备多样，可包括跑步机、健身自行车、心率监测器、计步器等，但监测值存在明显的共性药物监测器设备提供用户用药记录的设备，用来改善患者的药物依从性(即用药与医嘱的一致性)56个人健康设备通信模型6.1通信模型6.1.1通信模型总则本条描述个人健康设备的一般通信模型和过程，概述通信模型的总体规范，同时规定了关于通信过程的总则和限制。本条主要规范设备与健康信息管理终端进行会话交互的过程，包括建立连接、数据传送、释放连接和连接终止等，这些状态的转变是通过有限自动状态机来管理。设备与健康信息管理终端交互的数据是以数据单元的结构定义。通信模型中对拓扑结构、连接形式的规范如下：——通信模型拓扑结构可为一个或多个个人健康设备通过点对点的连接方式与健康信息管理终端进行通信； 如果健康信息管理终端要支持多个并发的个人健康设备(例如使用蓝牙),则健康信息管理终端应能处理多个连接指示并且能与这些设备中的每一个设备分开进行关联；——通信模型应支持设备可选择生成到健康信息管理终端的单个连接和关联，或者为健康信息管理终端生成多个连接指示和关联(例如每种形式的连接指示和关联);——设备选择实现多个连接指示和关联时，则不同关联中的对象实例应完全独立，关联由不同设备实现；——当设备需要连接到网络时，采用通过协议转换连接到网络。设备先向健康信息管理终端发送设备信息，再将健康数据进行封装为数据包。个人健康设备在通信时考虑数据包的大小对于通信的影响，数据包大小考虑以下因素：——通信的时间成本以及及时性要求；——系统复杂性；——设备检测的生理体征数量；——数据包以字节为单位；——若数据大小限制不允许在设备中包含一定数量的多个待定测量值，可使用多个事件报告发送；——应保证数据包的消息不能复制、不丢失、有序到达以及能侦查到错误情况的产生，当连接建立、断开和产生异常时，能通知健康信息管理终端的上层应用，同时也要支持流量控制，以避免耗尽接收方的缓冲区； 可在传输过程中被分段和重新组装，或者它们可能作为一个完整的单元被发送：——对于健康信息管理终端接受数据时，数据包大小应小于健康信息管理终端接受缓存区；如果一个健康信息管理终端收到一个比管理的接收缓冲区大的数据单元，应回应一个错误代码；——包含长度信息，会话层能分片和重组数据单元消息，该长度由厂商定义，通常是在头部位置，传输层并不维护，而是由健康信息管理终端的接收根据该信息将它作为完整的消息进行处理。6.1.3数据发送流程对于部分个人健康设备，需设备向健康信息管理终端发送流程如下。a)个人健康设备完成一次测量后，将测量数据保存在本地存储。b)个人健康设备与健康信息管理终端通过其支持的连接方式，完成双方间的传输层连接。6c)个人健康设备向健康信息管理终端发送应用层的连接请求，建立会话连接，并将自身设备ID和系统ID等信息填充至数据包中。d)健康信息管理终端接收到连接请求数据包，对其进行解析判断，若确认可建立会话，回复连接e)个人健康设备接收到连接确认后，将相应数据块标识位为1,将个人健康设备自身测量到的数据按格式填入数据包中发送给健康信息管理终端。若个人健康设备接收到拒绝连接数据包，则结束本次连接，释放传输层连接信道。若个人健康设备长时间没有连接确认响应(超过个人健康设备设置的超时时限),则判超时，并重新执行b)。f)健康信息管理终端接收到数据包后进行解析，若数据有误，则发送数据出错信息(将表示出错位置的标识位置置为1)指示设备重新发送，否则返回确认信息。若设备长时间未得到回复，则判超时，将重新发送数据。g)健康信息管理终端对接收到的监测信息数据进行校验，并对校验结果进行反馈。若数据传输出现错误，要求个人健康设备重新发送数据。h)数据确认发送成功后，个人健康设备清除释放测量数据存储或使用其他方式处理。i)个人健康设备判断无可发送数据后，发送释放连接请求，此次数据发送完成。在设备向健康信息管理终端发送的关联请求中的数据域字段结构包含以下内容。——关联请求至少应支持BER编码。——关联请求包含使用的命名法的设置。——关联请求包含函数单元，函数单元用以设置测试关联位。——关联请求包含系统类型。——关联请求包含系统ID:系统ID为个人健康设备的系统对象的系统ID属性的值。健康信息管理终端可使用此字段来确定它所关联的健康信息监测器的标识，并可选择实现简单访问限制策略。——关联请求包含开发配置ID;开发配置ID为设备系统的开发组ID属性的值。健康信息管理终端程序-连接响应在健康信息管理终端发送的关联响应消息中：——响应结果的字段应设置为本文件中定义的相应响应，例如，如果满足了关联协议的所有其他条件，则当健康信息管理终端识别设备的配置ID并接受接收连接请求时，将返回接受；——在连接响应时，应设置数据协议标识符；——数据协议信息字段应包含以下参数值的个人健康设备关联信息结构：●健康信息管理终端应使用由设备和健康信息管理终端支持的单个选定编码规则进行响应；●除了与测试关联相关的位外，功能数据单元位置应重置；●系统类型，用以表示健康信息管理终端的系统类型；●系统ID的字段应包含健康信息管理终端设备的唯一系统ID,应为有效的64位扩展唯一标记符(EUI-64);●设备配置ID,用以表示健康信息管理终端的配置响应；●数据请求模式功能。7在运行状态期间，测量数据和状态信息从设备传达。获取个人健康设备系统属性在健康信息管理终端请求特定的个人健康设备的对象属性时，由属性列表中的元素指示，设备应使用服务消息进行响应，其中属性列表包含所实现的个人健康设备系统对象的请求属性。若设备不需要支持此功能，或未实现此功能，设备应返回错误结果服务消息。个人健康设备的具体的属性列表和对象属性参考个人健康设备交互模型。个人健康设备向健康信息管理终端的数据传输过程如下：a)个人健康设备的测量数据传输应始终由设备启动，设备启动传输后，测量数据开始传输；b)为了限制在数据单元中传输的数据量，个人健康设备的单个事件报告中临时存储的测量值数量应被限制；c)如果可供传输的待定测量过多，可使用多个事件报告进行发送，如果有多个测量值，则应在单个事件报告中最多传输25个测量值；d)如果可供传输的待定测量值过多，可使用单个事件报告对每个测量到的数据进行传输。但是宜使用c)来降低总体信息大小和功耗。发送数据和操作指令时，个人健康设备和健康信息管理终端之间的时间同步功能用以协调时钟的一致性。如果使用时间同步，则应声明个人健康设备系统对象的个人健康设备的系统时间信息。6.2数据包格式内容见表3。表3数据包内容名称属性说明起始符字符串位于数据起始部分，ASCIⅡ字符应符合GB/T1988—1998,若包含汉字，应符合命令单元字节见6.2.2,可为空0x00标识符字符串见7.3,可自定义编码数据单元长度字描述数据单元的长度数据单元—见6.3校验码字检验数据的正确性，位于数据包最后部分，校验方法厂商根据需求自选数据单元加密字若设备无通信加密，用0x00表示，若具有，用0x01表示8命令标识为健康信息管理终端对于个人健康设备的操作命令标识。个人健康设备对于健康信息管理终端的操作指令的应答标识，当设备发送应答时，更新应答标识，保留应答时间。6.3数据单元6.3.1数据单元格式位于数据单元头部部分，由若干字段组成，可采用ASCⅡ编码。数据单元头部字段分为如下几个字段：——指令列别，用于命令类别的标示，传输安全控制，传输信道说明等；——指令码，用于指明指令列别中标示的指令类中的一个特定指令；数据信息域位于数据单元后端部分，用于传送具体度量值、操作指令、字节数等信息，要求如下：——由若干个数据帧组成；——包含命令的数据字段的字节数；——数据域用来传送数据。6.3.3关联请求数据单元当在传输层上个人健康设备和健康信息管理终端之间已建立连接时，个人健康设备和健康信息管理终端进入连接状态，并且个人健康设备对关联请求数据单元进行封装发送给健康信息管理终端。数据单元包括的信息如下所示。——该数据单元的类型。——该数据单元的所有信息的长度。——序列信息：为设备支持的数据协议的信息，设备支持的数据协议不同，设备传送的数据协议信息也不同。若设备支持ISO/IEEE11073-20601:2016优化交换协议标准，则序列信息使用PhdAssociationInformation结构。若设备支持制造商规定的数据协议，则序列信息使用由制造商定义的结构。——个人健康设备支持的编码规则，每个设备应支持MDER,设备也可支持XER[可扩展标记语言(XML)编码规则]和PER(压缩编码规则)。——个人健康设备是否支持测试关联以及进入测试关联的标识。——系统标识，表示该数据单元是由什么系统传送。——配置ID定义了设备支持的配置类型；配置类型包括标准配置、扩展配置和已知以前的扩展配9置。配置类型表示设备支持的数据请求模式，当健康信息管理终端启动的传输时，数据请求模式指示它支持的功能。数据模式请求功能所包含的模式信息如下所示：●停止正在运行的数据请求；●请求对象基于对象类；●请求对象基于对象句柄；●支持有限时间的数据请求；●支持无线时间的数据请求。6.3.4关联响应数据单元当健康信息管理终端收到关联请求时，健康信息管理终端将协议和操作参数与自己的协议和操作参数进行比较，并确定个人健康设备是否与健康信息管理终端兼容。关联响应返回的结果及原因如下：——拒绝：由于健康信息管理终端无法识别设备提供的配置信息，健康信息管理终端无法与设备关联，且没有明确拒绝的原因；——暂时拒绝：由于资源限制等过渡条件，健康信息管理终端无法接受关联；——未配置：关联响被接受，但设备需要将其配置发送给健康信息管理终端；——无通用协议拒绝：由于在健康信息管理终端和设备之间共享的DataProtoList中找不到公共数据协议，健康信息管理终端拒绝关联请求；——无通用参数拒绝：由于健康信息管理终端和设备在PhdAssociationInformation中没有公共的操作参数，健康信息管理终端拒绝关联请求；——未知原因拒绝：应谨慎使用，并且只有在上述返回码不适用时使用；——违背授权拒绝：健康信息管理终端确定设备未被授权连接而拒绝，该结果由供应商指定。6.3.5数据演示单元数据演示单元是个人健康设备与健康信息管理终端在建立会话与释放会话以外的所有数据传输表示单元，比如域信息模型中定义的一系列对象以及服务模型中定义的远程服务均由此数据单元封装。在数据演示单元设备与健康信息管理终端均应支持其在关联过程中协商好的编码协议。一个数据演示单元包含了一个字符串，该字符串中的值是根据个人健康设备系统对象列表中对象进行解析。该数据演示中包含的主要信息为个人健康设备采集的生命体征数据。数据单元应具体列出所调用的信息内容，给出选择调用的事件类型，根据调用的事件类型不同给出的报告信息也不同。7通信过程7.1个人健康设备通信状态一个或多个个人健康设备通过点对点连接到单个健康信息管理终端，对于每个点到点的动态系统的连接行为，需要定义个人健康设备和健康信息管理终端交互过程中不同阶段的状态以及引起状态转移的触发事件。状态机能有效直观地表示个人健康设备与健康信息管理终端的状态转移。个人健康设备与健康信息管理终端的状态转移示意图见图2;通信模型的状态描述见表4。未连接未连接连接释放响应操作配置反馈连接响应发送配置连接放弃连接放弃关联中未关联图2个人健康设备与健康信息管理终端的状态转移示意图表4通信模型的状态描述层级状态名状态描述第一层未连接状态机的初始状态，它表示健康信息管理终端与个人健康设备的传输层连接没有建立，或在传输过程中传输层断开连接，状态机也会回到该状态已连接通用传输层告知应用层已建立个人健康设备与健康信息管理终端间的物理连接。进入该状态后，第二层初始状态为“未关联”子状态第二层(已连接子状未关联第一层已连接状态的初始子状态，表示传输层连接已经建立关联中此状态表示个人健康设备开始与健康信息管理终端进行交互已关联此状态健康信息管理终端接受设备的连接请求解除关联此状态表示个人健康设备与健康信息管理终端处于连接释放状态第三层(关联中子状配置中该状态表示健康信息管理终端检测是否可识别设备的配置操作中该状态表示个人健康设备可向健康信息管理终端传送测量数据在通信模型中经常使用有限状态描述来表示对象的各种状态以及在这些状态之间转换的过程。有限状态描述个人健康设备与健康信息管理终端建立通信的过程，其中个人健康设备与健康信息管理终端具有不同的状态机模式，状态机模式见表5。表5状态模式状态编号状态个人健康设备健康信息管理终端1未连接有有2已连接但未关联有有3已连接关联中有无4已连接已关联，配置中发送配置有无5已连接已关联，配置中等待响应有无6已连接已关联，配置中等待配置无有7已连接已关联，配置中检查配置无有8已连接已关联，操作中有有9已连接释放关联有有个人健康设备主要包括以下几种状态。a)未连接状态该状态为个人健康设备启动后的初始状态。当个人健康设备上电但健康信息管理终端的物理连接尚未建立时，保持此状态。当个人健康设备发生通信异常或掉电或完成传输任务后，也将回到此状态。b)连接状态当个人健康设备与健康信息管理终端的传输层已经建立物理连接时，个人健康设备进入连接状态。该状态只代表个人健康设备与健康信息管理终端具有了进行通信的物理条件，即传输信道的建立，在此状态之下可进行会话连接请求、释放等一系列动作，所以个人健康设备的连接状态又分为未关联、关联中以及已关联三个子状态。c)未关联状态当个人健康设备与健康信息管理终端的物理连接建立后，个人健康设备默认以该状态作为初始状态，它可由建立物理连接进入此状态，也可由于连接的释放或会话请求被拒绝而回到此状态。d)关联中状态个人健康设备在进入未关联状态后，通常会发送一个会话连接请求，同时将自身状态迁移至该状态。若发生数据传输错误或超时等情况，则发起的会话连接请求会失败，返回未关联状态；若发起的会话连接请求成功，则进入已关联状态。e)已关联状态在该状态下，个人健康设备已经与健康信息管理终端建立了会话。该状态来自于健康信息管理终端对个人健康设备发起的会话请求的响应。这一状态可持续到一方发起释放请求或因异常而终止会话。在该状态下，可进行设备信息的配置以及数据的交互，已关联状态可分为两个子状态：操作以及配置中状态。f)配置中状态在个人健康设备发起会话请求后，健康信息管理终端可能直接接受请求，也可表示同意接受请求但由于不能识别设备配置需要个人健康设备发送自己的设备配置信息，这时个人健康设备会接受对方发来的相应并将自身转移至配置中状态。在该状态下，个人健康设备会尝试不断发送自身的配置信息给健康信息管理终端，直到对方能识别或发送了所有的信息并允许添加设备。如果在所有可能条件下仍无法被识别，则会退回到未关联状态。g)操作中状态在健康信息管理终端了解了配置的信息并接受了个人健康设备的会话请求后，双方均进入此状态。该状态为个人健康设备与健康信息管理终端进行操作的状态，数据的发送和服务模型的调用基本都在此状态下完成。h)释放关联状态与关联中状态类似，表示会话连接正在释放。当个人健康设备与健康信息管理终端不再需要进行数据传输时，个人健康设备会发送释放请求并将自身转移到该状态。有时在通信过程中的异常情况也会使个人健康设备自动进入释放会话连接的状态。7.1.4传输连接指令每当传输层已经建立连接时，触发传输连接指令。触发指令的触发事件机制如下所述。——每当个人健康设备确定要与健康信息管理终端关联时，触发关联请求事件。——当健康信息管理终端确定无法与个人健康设备进行会话时，触发拒绝，迫使个人健康设备返回未关联状态。——当个人健康设备与健康信息管理终端会话并发送会话请求后，等待健康信息管理终端回复。当得到接受的答复时，触发接受或接受未知配置条件。——在个人健康设备处于关联中、已关联或释放关联状态的任何时间内，个人健康设备可发送或接受一个会话中止消息。当此时间发生，个人健康设备从所处的状态转移到未关联状态。如果个人健康设备处于已关联状态，个人健康设备发送一个会话中止消息来通知健康信息管理终端发生了一个严重的故障。 当个人健康设备决定停止会话时，个人健康设备将自身转移释放关联状态并发送一个会话释放请求。该事件发生在正常的会话中止或个人健康设备配置改变，需要个人健康设备释放会话的时候，此时个人健康设备发送释放会话的请求。在下次个人健康设备发起会话时，将在会话请求中包含配置信息，由健康信息管理终端决定是否识别这些配置。—该事件代表释放当前会话的请求已经被允许的触发指令。——在任何情况下，个人健康设备和健康信息管理终端都可停止传输层连接，传输层连接也可能因发生错误而丢失。当传输层已断开的指令被接受后，个人健康设备转移至未连接状态。7.1.5响应等待时间健康信息管理终端向个人健康设备从发送缓存器发出指令到健康信息管理终端接受到设备收到指令的应答的时间间隔为响应等待时间。响应等待时间宜小于50ms。为了确保消息正确的收发，可采用多次发布的方式进行收发，但与设定次数重发不同，在一个限定的时间内，反复的重发，直到收到应答消息，或超时才停止重发。重发时间间隔宜小于400ms。7.2设备寻址若采用WLAN的个人健康设备的设备寻址应满足以下要求，若个人健康设备不采用WLAN通信时，无需进行设备寻址功能。a)对于及时性要求较高的设备，可选择动态主机配置协议(DHCP),并在设备首次连接到网络时搜索DHCP服务器。b)如果没有可用的DHCP服务器，网络不受管理，则设备使用预设IP来获取地址。c)设备可从一组保留的地址中选择IP地址。d)应测试所选的地址，以确定该地址是否已被使用。e)如果在DHCP交易期间，设备通过例如域名服务器转发获得了域名，则设备应在后续的网络操作中使用该名称；否则，设备应使用其他IP地址。7.3设备连接网络个人健康设备通过特定通信方式在连接网络时，应满足以下要求：a)连接网络应声明个人健康设备的类型；b)声明个人健康设备标识符；c)频繁连接和离开网络的个人健康设备应使用较短的持续时间，以便控制点可更准确地了解其可用性；d)个人健康设备应在发送声明信息之前具有小于100ms的随机间隔；e)个人健康设备应多次发送上述每个发现消息，为避免网络拥塞，发现消息的发送次数不应超过3次。7.4服务描述通信的服务模型的服务应描述以下内容：——服务应响应的健康信息管理终端命令或动作以及每个动作的参数或自变量；——服务描述定义了操作及其参数，状态变量及其数据类型，范围和事件特征。7.5设备操作个人健康设备具有的操作包括：——动作响应：根据健康信息管理终端的发送指令执行具体操作(显示数值、开始检测、发送数据等);——查询变量：查询数据和自身工作状态的情况，并具有将个人健康设备的变量信息通过事件报文通知健康信息管理终端的能力。7.6安全性要求个人健康设备在通信和数据交换时应满足以下安全性要求：——对于敏感数据或控制操作进行加密和认证策略，当对加密或签名用到的密钥进行保护时，宜采用硬件密码模块，保证密钥的存储和使用安全；——对传输数据进行签名，保证完整性；——具有安全保护机制协议；——个人信息保护应符合GB/T35273—2020第5章、第6章的规定；——根据隐私和安全设置提供允许的访问控制。——可参考的网络服务安全规范如下：8通信数据8.1总体要求和总体原则通信数据应满足数据完整性、保密性、鉴别性，其包含内容方面具体所述如下：——数据完整性：完整性意味着未经授权不得修改或删除数据。如果信息被不允许的人更改，则会违反完整性；——数据保密性：确保只有获得授权的人才能访问信息；——数据可鉴别性：意味着明确接收信息的来源。可参考GB/T36624—2018——数据宜包含时间序列；——通信数据可包含通信数据参数、设备状态、数据类型、单位和地址等。可鉴别的加密机制；8.2编码规范数据的编码从数据的内容、分段、字节长度三方面进行规范，编码所述如下。——个人健康设备的数据内容包括：——设备标识，用于家居网的通信识别的唯一标识。——信息格式由不同长度及被区域分隔符分隔的数据区组成。——段由分割符号分隔开，每个段由三字符的字节值开始，并在一个消息中标识该段。——段可按需要或任意定义，并允许重复。——所有数据可利用一个字符集表示为可显示字符。——数据字段需要支持消息或基本目标间的关系逻辑，其他字段被指定且可随意选择。——可附加具有局部特征的消息或部分消息。——具体编码参考GB/T16263.1—2006。——个人健康设备状态编码名称定义明确，层次清晰，具有一定扩展性和执行性。——设备状态的字节长度小，以直观显示个人健康设备的工作状态。8.3数据类型个人健康设备通信涉及数据类型包括对象属性ID、浮点型数据以及相关时间类型，具体数据类型应满足以下要求：——属性ID列表，具体参考个人健康设备交互模型；——为了提高性能和效率，对象定义使用浮点类型数据类型；——相对时间数据类型是相对于某个事件(例如，启动时的同步事件)的高分辨率时间定义；——高分辨率相对时间数据类型，数据类型是64位长，可由系统本身定义；——绝对时间数据类型指定为至少具有1s分辨率的一天中的时间。为了提高效率，结构中的值是BCD编码(即4位半字节);——日期数据类型用于指定某个日历日期。为了便于转换，数据类型与绝对时间数据类型具有相同的编码(即BCD)。8.4设备信息编码个人健康设备通信不仅要对采集的生命体征等健康数据进行编码，还需要对个人健康设备的状态信息和对象模型进行编码，设备信息的编码应满足以下要求：——使用ASN.1语言描述设备对象模型或APDU消息结构，可采用XML编码格式；——发送设备消息，需要把ASN.1定义的消息按照MDER转换为二进制的数据序列；——个人健康设备信息可使用DataList结构进行交换，可选择使用XML和JSON进行编码；——设备状态的DataList需添加可读的单元。9通信服务模型9.1互操作工作流程互操作指个人健康设备具有通过相关信息在不同平台或编程语言之间交换数据的能力。互操作重要的要求是不同个人健康设备都能进行信息资源的透明化，主要通过规范的协议和接口或包含身份标识和互操作信息数据的结构的数据包实现。互操作工作流程如下：a)个人健康设备获取健康信息数据或生理体征；b)健康信息管理终端对个人健康设备发送操作信息；c)健康信息管理终端进行数据接收相关配置。若个人健康设备为蓝牙通信，宜将健康信息管理终端的数据接收按BluetoothHealthAppConfiguration进行相关配置；d)个人健康设备或其他设备收到请求信息，根据请求信息进行操作；e)健康信息管理终端接收健康信息，进行存储、处理、判断操作。设备进行互操作工作时应有的功能和要求如下：——健康信息管理终端应嵌入设备和服务的版本号；——允许健康信息管理终端平台从设备中读取和写入数据，且可与一个或多个的个人健康设备使用；——健康信息管理终端与数据传输使用HTTPS传输协议，健康信息管理终端并保留连接外部存储器的通信功能。9.2设备与外部存储的传输流程部分个人健康设备需要储存历来测量到的健康信息，因此需要健康信息管理终端或外部存储对数据进行存储，存储的流程如下：a)使用控制个人健康设备的配置管理服务来获取将与外部存储设备连接的传感器设备的ID;b)检索应从个人健康设备接收数据的URL;c)使用ID和之前获取的传输URL将个人健康设备与数据存储区连接；d)从个人健康设备接收新数据并创建数据记录；e)可使用先前配置的传输URL将可用于个人健康设备的新数据记录直接传送到外部存储。9.3通信的服务模型作用交换生命体征信息和命令以进行个人健康设备的控制，可添加新的信息对象，独立于特定的信息对象定义的基本对象健康信息管理终端提供对受管理医疗对象的访问。对象管理服务功能所述a)报告有关托管对象实例的事件，该服务可以确认模式或未确认模式使用，在确认模式下，服务需要进行回复；b)修改托管对象实例中包含的属性数据，在确认模式下，服务呼叫需要响应；c)可添加扩展功能(例如、认证、访问控制、扩展对象选择);d)允许修改托管对象实例中包含的属性数据(例如，设置设备中的当前日期和时间);e)创建和删除对象的新实例；f)具备设备发现机制以搜索设备。9.4个人健康设备传输9.4.1个人健康设备数据传输要求在个人健康设备对信息进行传输的过程中，个人健康设备本身应符合以下要求：——节点数目限制；——通信环节考虑数据泄露风险，并具有一定的措施和机制；——对于IP丢失的情况，具有IP连接重建机制，可重新建立IP数据连接。9.4.2通信网关功能网关为负责个人健康设备与健康信息管理终端可能存在的IPv4/IPv6的协议转换与数据映射，健康系统中的网关应有的功能和要求如下：——在服务应用程序和网关之间建立会话；——具有消息交换功能[可使用消息队列遥测传输(MQTT)协议]。10即插即用10.1通信接口通信接口是连接个人健康设备与其他设备的桥梁，通过接口传输健康数据和操作指令。个人健康系统中的接口应具有以下功能：——支持扩展蓝牙、TCP/IP、WLAN、USB等通信传输协议；——接口需提供的服务：●连接到来或者连接断开时能通知核心协议；●为设备间的每个连接创建并维持唯一的ID标志；●核心协议请求建立一个新的连接；●新的APDU消息到达时通知核心协议；●接收核心协议要求发送的APDU消息，将它发送给对方设备；●根据核心协议要求启动或者停止定时器功能；●若插件采用多线程实现，则提供竞态条件下的保护机制；●接口实现流程；●通信初始化(蓝牙、TCP/IP等);●发送数据流；●网络连接断开和关闭。10.2总体要求若个人健康设备含有即插即用功能，应满足以下要求：——使用XML对健康数据进行编码；——使用广泛采用的数据格式，使用协议包括IP、TCP、UDP、HTTPS、XML、网络套接字(Web-——CE设备和PHD之间提供无缝接口；——使CE设备可访问用户的个人健康信息；——该个人健康设备提供两个UPnP服务：本地服务和个人服务。建议使用DeviceProtection服务将策略控制规则添加到UPnP服务，以便根据用户配置文件向UPnP服务添加策略控制注：即插即用框架以及相关内容在ISO/IEC29341-2:2008、ISO/IEC29341-8-11:2008中规定。本地服务主要位于个人健康设备，本地服务应提供的功能和要求如下。——本地服务为UPnP网络和PHD之间的接口，通常连接到健康信息管理终端，该健康信息管理终端负责处理的关联，连接和数据事务。——本地服务为以下内容提供UPnP操作：●列出与该服务关联的PHD;●连接和断开到一个特定的PHD;——本地服务可包含个人健康设备的状态变量。例如，蓝牙通信的健康设备，收到度量后，本地服务将具有此新度量的“最新测量”状态变量的事件发送给其他控制点。个人服务应提供的功能和要求如下：——个人健康服务提供一种在某处/从某处存储和检索健康信息的机制；——若支持远程监视和管理功能的系统，个人服务在健康信息管理终端进行使用；——PHD管理程序从接收到的消息中提取数据和操作错误。存储的健康数据被PHD的内存处理程序和消息处理程序提取并转换为传输消息。例如，将来自存储器的数值和脉搏率将插入到字段中，并通过PHD管理程序能实现从接收到的消息中提取数据和操作错误的功能。管理程序所包含子程序如下。——会话处理程序。管理与PHD管理员的通信会话；与健康信息管理终端保持连接，直到会话完成。——消息处理程序。消息处理程序生成并分析交换的消息，再根据测得的数据和操作错误构建消息。——内存处理程序。内存处理程序从健康设备的内存中提取数据，错误和系统配置，再将提取的数据，错误和配置将传递到消息处理程序。GB/T42123—2022(资料性)老年慢性病监测与个人健康设备的通信说明A.1概述对于独居的老年人，可将监测其生活健康方面的个人健康设备与智能家居中安装的其他设备结合使用。当今，健康设备和家居网络在彼此相系，相互沟通。未来的家庭将提供收集和解释来自所有可用来源的数据的设备，例如，通过家庭网络提供和分发数据，并促进通过因特网与医生和亲属共享该信息。在这些不同系统之间共享数据将需要一套共同的规范。例如，智能床和睡眠呼吸暂停治疗设备监测老年人睡眠情况。对于老年人在半夜离开床并且离开的时间超过一段时间，或是老年人因打鼾造成呼吸困难的情况发生时，则会向亲属或护理提供者发送警报。无线血压袖带可能配置为提醒用户测量他们的血压。然后可通过手机上的短信将结果转发给亲属，从而深入了解远程监控系统的正确操作以及已经发生的事件，例如，服用药物和测量血压。这些系统一旦被广泛采用，将有助于确保用户保持良好状态。与亲属或医疗专业人员进行全屏视频聊天最终将成为日常工作的一部分。A.2相关人员医疗专业人员，护理专业人员和家人参与了这个用例。典型的设置是家人和患者，但它可能会扩展到移动环境。适用于配备PHD的用户，以支持和监控他们在受伤或手术后康复期间的进展。最初，在医疗机构进行测量。然后，用户或患者从医院出院并作为门诊病人进入康复计划。康复需要患者定期在家中进行训练。他们接受初步培训，学习如何锻炼，然后继续在家独立锻炼。当今，患者需要经常回到实践中进行随访测量和重新评估以及适应锻炼计划。将来，可在用户家中进行测量，以提供有关个人进度的反馈并改进后续工作。为此目的，用户将接受额外的培训，例如，物理治疗师，如何进行训练和正确放置传感器，以及设备的应用和维护，这包括清洁、充电、更换电池或更换电极。这种类型的系统已经在研究环境中得到证明。正在进行装置开发以通过测量力，肢体角度和其他类型的活动传感器来支持这一点。治疗师和医疗专业人员在这个用例中发挥着重要作用，这种情况通常发生在医院或康复中心。延长治疗发生在用户家中或完全移动的环境中。A.4疾病管理用例以及使用的示例传感器和个人健康设备见表A.1。领域用例示例传感器和个人健康设备的使用高血压压力水平管理，血压管理简易药物分配器，血压监测仪，体重秤糖尿病疾病管理血糖仪，血压监测仪，体重秤、胰岛素泵单病人看护/看护中心独立生活/辅助生活计划血糖仪，血压监测仪，体重秤心脏病患者远程监控心脏事件/生活方式指导独立现场动态集线器，简易药物分配器，体重秤，温度计，脉搏血氧仪，基本心电图，动态心电图检测慢阻肺患者慢性哮喘，呼吸监测脉搏血氧仪，血压监测仪，峰值流量计，肺活量计这种情况涉及一组用户，例如，超重或高血压，因此他们面临严重健康威胁的风险增加，即使他们还没有患上这些疾病。建议制定明确的健康管理计划，以避免长期损害和慢性病的发展。这种预防性的健康管理可长期改善生活质量，并有助于避免在专业医疗保健的后期阶段可能出现的大量成本。患病用户群还包含患有慢性健康状况的人，例如，心脏病，糖尿病或肾衰竭。这些用户需要医疗或护理专业人员的治疗，但他们住在自己的家中。基本用例涉及简单的设备，如血压设备，血糖仪和脉搏A.5老年高血压数字管理(心脏病患者)A.5.1概述该组中的使用者表现出高血压的症状，但处于中度，非病态水平。典型的例子是在压力下工作的人，他们很难安排与医生定期会面。然而，他们可从监测他们的健康状况中获益，以避免对他们的身体造成任何进一步的健康损害或继发性影响。其他已经经历过严重心脏事件并且需要进一步低水平监测以使他们恢复正常生活的人，在医疗专业人员的一些指导下，也可通过非常少的时间，精力和金钱投入而获益。因此，患有高血压的用户可能配备有长期测量装置，用于血压、心率或心电图。数据可传输到另一个系统，以供个人健康教练进一步评估。教练帮助计划和跟进生活方式的变化，从适应的营养和锻炼计划到休息和再生阶段。远程访问来自所有个人健康设备的数据，并且可远距离测试系统状态。该用例可能包括受管制的医疗设备。作为可能的扩展，24小时心电图监测等在线服务是未来的可能。在线数据流增加了设备的复杂性，并要求非常高质量的传输方法以及服务质量措施。因此，它可能不会很快实施。类似的想法已经付诸实践，取得了良好的效果。更广泛的应用仍然是一个潜力越来越大的长期目标。A.6糖尿病A.6.1概述患有青少年糖尿病的用户使用血糖仪和手机或个人计算机(聚合健康信息管理终端)来监测他们的血糖水平。聚合健康信息管理终端提醒用户在白天定期检查他们的血糖，并且葡萄糖计在每次使用后无缝地将测量结果发送到手机，这将数据转发给维持用户长期历史的糖尿病监测服务。寻找趋势。如果读数异常或用户跳过测试，系统会自动联系负责人(父母),然后通过他们的手机立即呼叫用户。经典的糖尿病管理涉及成年人，管理青少年糖尿病还包括激励方面和提高青少年的个人意识。因此，手机应用和PHD需要提高可用性并且需要愉快地处理。A.6.2应用这种情况可能会将青少年糖尿病患者的医疗保健扩展到家中，并加强疾病管理计划。此外，在将来，这种设置将允许监测疾病进展，特别是利用血糖水平，活动，药物，营养和外周灌注的连续评估。然后可在适当的时间安排预约，并且可使用数据来分析治疗中的趋势。当今已经实施了各种方案来实施这些方案的要素。A.6.3身份管理和受监管设备在一个用户使用设备和一组用户彼此共享设备的情况之间存在许多基本差异。这些差异包括可用GB/T42123—2022PHD的单个用户通常拥有自己的设备。在其他情况下，专业人员为一组用户提供设备，例如，在老年护理院中作为服务的一部分，其也负责维护和操作。这就要求设备的可用性，刚性，功能和价格。因此支持以下两种模式，可同时使用。首先，用户可连接到家庭/移动环境中的现有健康信息管理终端，并且仪表的工作方式与任何其他PHD设备非常相似。每个用户通常使用一个设备进行测量，将另一个设备用作聚合健康信息管理终端其次，测量设备将具有存储功能的配置。该配置通常位于办公室/临床环境中，以在用户进入访问时定期使用。然后，该健康信息管理终端可下载数据并清除存储空间以准备下次访问。单个用户通常拥有一组稳定的设备。用户和设备之间的这种一对一关系打开了将患者身份自动添加到数据的可能性，该数据源自唯一识别的设备，例如，血压读数：用户将接收具有血压监测器的血压监测器。序列号，因此可安全地假设任何携带设备唯一序列号的数据项来自该用户/患者。可能需要采取其他预防措施，例如，明确指示用户不要让任何其他人使用该设备或要求提供其他标识符，如个人身份代码。还可假设没有人未经授权访问该设备，因此在某种程度上保护存储在该设备上的数据免受未授权的访问。在诸如家庭、团体住宅、老人护理院或医院的多个用户/患者环境中，通常将使用单个设备来测量多个人(体重秤、温度计、血压设备等)。一旦这些设备联网，就需要安全有效的方法来识别用户/患者。当今可用的专用标准和技术用于提供安全识别：智能卡，腕带，条形码，射频识别(RFID),印刷标签和其他技术都用于识别用户/患者和设备。未来的系统将集成设备数据和识别技术，以确保每个单件数据都以正确的用户身份存储。这在多用户环境中尤其必要，其中一个设备可供多个用户使用。在单用户和多用户设置中，无线连接通常已经到位。将来，这些也将用于携带设备数据。因此，在这种类型的所有应用中都需要考虑窃听。在多个患者的护理中心中，通常需要更高质量和耐用的设备，因为单个设备具有更高的利用率或“在线”时间。传输技术肯定在单个患者使用的PHD和多个患者在护理区域内使用的PHD之间存在差异。在医院中，传输可能性通常很明确且稳定，因此设备传输技术将在较长时间内保持不变。A.7老年糖尿病数字管理A.7.1概述患有糖尿病的用户/患者可配备自动血糖仪和药物分配器以记录血糖水平以及药物递送，还记录营养和活动水平。收集的数据通常由用户/患者评估，然后由医疗专业人员评估。记录哪些数据，并且测量之间的间隔适合于每个用户。在联网系统中，警报机制有助于向用户和医疗专业人员通知该用户当前的健康状况并触发支持活动。患有糖尿病的患者通过皮下传感器监测他们的血糖水平，每15min读取一次读数。用户完全可移动，去上班，去购物，并参加专业监督的锻炼方案，例如，在当地公园慢跑。如果葡萄糖监测器能发送数据，则可利用其他服务提供商的无线通信服务来共享信息。网关设备将数据中继到当地医院的中央监控站。这种类型的系统已经被展示，并且远程监控中心在全世界许多社区中运行，每月有数百万用户和数千次遥测接收。在这些设置中，用户可从中央服务器访问数据以获得他们自己的信息，例如，计划膳食并相应地调整药物。发送定期通知以提醒用户注射胰岛素。糖尿病通常会导致需要解决的其他健康问题。用于糖尿病管理用例的样品传感器和装置见表A.2。表A.2用于糖尿病管理用例的样品传感器和装置年龄、事件描述使用传感器和设备的实例Ⅱ型糖尿病糖尿病风险血糖仪高血压生活建议，智能个性化反馈血压监测仪心绞痛并发症风险评分，数据处理基本心电图(1～3导联)慢性心力衰竭应急处理血压监测仪，体重秤老年痴呆症长期监护独立现场动态集线器，简易药物分配器A.7.2A.7.2.1HbA1cHbAlc是临床评估长期血糖控制状况的金标准，是决定是否需要调整治疗的重要依据。正常参考值为4%～6%。治疗之初每3个月检测1次，达到治疗目标后可每6个月检查一次。对于患有贫血和血红蛋白异常疾病的患者，HbA1c的检测结果是不可靠的。A.7.2.2居家血糖测量居家血糖测量时间见表A.3。表A.3居家血糖测量时间表基点监测早、晚餐前基线监测三餐前十晚睡前全面监测三餐前十三餐后2h+晚睡前必要时监测凌晨2～3点，或特殊需要时特殊情况监测连续动态血糖监测(CGMS)以血糖为标准的糖尿病诊断如下：——负荷后2h血糖：≥11.1mmol/L;——随机血糖(复查):≥11.1mmol/L。A.7.3应用预计类似的系统在不久的将来