基于PIX和XDS集成规范的个人健康信息共享方案的研究-V1_学霸学习网
基于PIX和XDS集成规范的个人健康信息共享方案的研究-V1
分类号密级 编号U D CCENTRAL SOUTHUNIVERSITY硕士学位论文论 文 题 目： 基于 PIX 和 XDS 集成规范的个 人健康信息共享方案的研究 学科、专业： 研究生姓名： 导师姓名及 专业技术职务： 肖晓旦 教授 情报学 李秀莉中 南 大 学 二 00 九年五月分类号 UDC密级硕士学位论文 基于 PIX 和 XDS 集成规范的 个人健康信息共享方案的研究Research on the Solution of Personal Health Information Sharing Based on PIX and XDS作 者 姓 名： 李秀莉 学 科 专 业： 情报学 学院（系、所） ：湘雅医学院医药信息系 指 导 教 师： 肖晓旦 教授论文答辩日期答辩委员会主席中 南 大 学 二 00 九年五月原创性声明本人声明，所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共 同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。作者签名：日期：年月日学位论文版权使用授权书本人了解中南大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允 许学位论文被查阅和借阅； 学校可以公布学位论文的全部或部分内容， 可以采用复印、缩印或其它手段保存学位论文。同时授权中国科学技 术信息研究所将本学位论文收录到《中国学位论文全文数据库》 ，并通 过网络向社会公众提供信息服务。作者签名：导师签名日期：年月日硕士学位论文摘 要摘 要区域健康信息共享建设是当前区域卫生信息化领域的一个研究 热点。 通过建立国家级的健康信息共享平台， 提升整体医疗服务质量、 降低医疗费用，是我国卫生事业发展的需要和必然趋势。 在健康信息共享建设中， 由于各医疗卫生服务机构很难用统一的 软件产品进行约束，因此需要通过以病人 ID 交叉索引（PIX）和跨 机构文档共享服务（XDS）为基础的健康信息共享平台，完成跨系统 跨平台的健康数据的整合和共享。基于此，本文研究设计了基于 PIX 和 XDS 集成规范的个人健康信息共享方案。 本文首先对个人健康信息共享平台的总体框架进行了研究， 重点 设计了个人健康信息共享平台的基础架构、功能架构以及服务架构。 接着对个人健康信息共享建设的基础， 即个人身份识别方法和标识技 术进行了深入研究。 通过对国内外各种个人身份识别方法和标识技术 的分析比较，尤其是 ID 匹配和合并方案，本文结合国情提出了适用 于我国个人健康信息共享建设的个人身份识别和标识方案――基于 IHE PIX 的跨域 MPI 协同模式。然后对比分析了两种医疗文档共享模 式，即 RID 共享模式和 XDS 共享模式，并探讨出了我国个人健康信息 共享建设宜采用的跨机构临床文档共享模式，即 XDS 共享模式。 在上述研究的基础上， 本文提出了基于 PIX 和 XDS 集成规范的个 人健康信息共享方案。重点研究了个人健康信息共享数据的存储方 式、个人健康信息共享的工作流程、注册中心信息模型的创建、PIX 系统和 XDS 系统的需求和功能， 并描绘了一个个人健康信息共享的实 例以展现临床相关域内个人健康信息共享的全景。 最后总结了本方案 的不足并给出了相应的改进措施。 关键词 健康信息共享，MPI，PIX，XDS，ebXMLI硕士学位论文AbstractAbstractThe construction of regional health information sharing is a very important issue in regional health information at present. It is needful and inevitable trend of Chinese health service development to build the national health information sharing platform, which will improve our overall health care quality and reduce medical costs. It is needed to establish the national health information sharing platform based on Patient Identifier Cross-referencing Integration Profile (PIX) and Cross Enterprise Document Sharing (XDS), so as to integrate and share health data cross-platform and cross-system, because it’s difficult to use a unified software product to restrict each health service institutions in the health information sharing construction. Therefore, a solution of personal health information sharing based on PIX and XDS was designed in this paper. First, the general framework of personal health information sharing platform was studied, the infrastructure, function architecture and service architecture of personal health information sharing platform were studied particularly. Second, personal identification and identification technologies were investigated, which was the foundation of personal health information sharing construction. Based on comparison and analysis of all kind of personal identification and identification technologies, particularly the identifier match and merger methods at home and abroad, a solution of personal identification and identification technologies――cross domain MPI interoperability based on IHE PIX was put forward according to our national conditions, which was suitable for our national personal health information sharing construction. And then, two types of medical document sharing models, that’s RID and XDS, were compared and analysed. Finally, this paper pointed out that XDS was the cross enterprise clinical document sharing model which should be applied to our national health information sharing construction.II硕士学位论文AbstractBased on the study mentioned above, the paper put forward the solution of personal health information sharing based on PIX and XDS. The data storage and workflow of personal health information sharing, the creation of information model of registry center, the requirements and functions of PIX system and XDS system were investigated. And it described an example of personal health information sharing in order to show an over view of personal health information sharing in clinical affinity domain. Finally, the paper summarized the shortcomings of the solution, and the improvement measures were proposed. KEY WORDS health information sharing，MPI，PIX，XDS，ebXMIII硕士学位论文目 录目 录摘 要............................................................... I Abstract........................................................... II 第一章 引 言....................................................... 1 1.1 研究背景 .................................................... 1 1.2 研究现状 .................................................... 1 1.3 研究意义 .................................................... 4 1.4 研究内容 .................................................... 4 1.5 论文创新性 .................................................. 5 第二章 标准规范和相关概念.......................................... 6 2.1 互操作性标准与集成规范 ...................................... 6 2.2 相关概念 .................................................... 8 第三章 个人健康信息共享平台总体框架............................... 11 3.1 个人健康信息共享平台基础架构 ............................... 11 3.2 平台功能架构 ............................................... 12 3.3 平台服务架构 ............................................... 13 第四章 个人身份识别方法和标识技术................................. 14 4.1 个人身份识别的需求 ......................................... 14 4.1.1 个人身份唯一性识别的需要.............................. 14 4.1.2 个人身份识别机制的功能................................ 15 4.1.3 个人身份标识符的应用域和应用层次...................... 15 4.2 个人身份识别方法和标识技术对比研究 ......................... 16 4.2.1 UID 方案 .............................................. 16 4.2.2 生物特征识别.......................................... 17 4.2.3 ID 匹配和合并 ........................................ 17 4.2.3.1 MPI 和 EMPI ..................................... 17 4.2.3.2 HL7 MPI Mediation .............................. 18 4.2.3.3 IHE PIX 集成方案 ............................... 18 4.2.4 分析与比较 ............................................ 25 4.2.5 建议.................................................. 28 4.3 基于 IHE PIX 的跨域 MPI 协同模式 ............................. 30IV硕士学位论文目 录第五章异构系统间的临床文档共享模式............................... 345.1 临床文档共享需求 ........................................... 34 5.2 临床文档共享模式对比研究 ................................... 34 5.2.1 RID 模式 .............................................. 34 5.2.2 XDS 共享模式 .......................................... 36 5.2.3 分析比较与建议........................................ 39 第六章 基于 PIX 和 XDS 的个人健康信息共享方案....................... 41 6.1 个人健康信息共享方案 ....................................... 41 6.1.1 方案概述.............................................. 41 6.1.2 个人健康信息共享数据的存储方式 ........................ 43 6.1.3 个人健康信息共享的工作流程 ............................ 46 6.2 注册中心信息模型的创建 ..................................... 48 6.2.1 XDS 类到 ebRIM 的映射 .................................. 48 6.2.2 文档间的关联.......................................... 51 6.2.3 XDS 元数据向 ebRIM 语义的映射 .......................... 52 6.3 系统需求和功能 ............................................. 56 6.3.1 系统需求.............................................. 57 6.3.1.1 PIX 系统需求 .................................... 57 6.3.1.2 XDS 系统需求 .................................... 63 6.3.2 系统功能.............................................. 70 6.3.2.1 PIX 系统功能 .................................... 70 6.3.2.2 XDS 系统功能 .................................... 71 6.4 个人健康信息共享实例 ....................................... 74 6.5 本方案存在的问题 ........................................... 76 参考文献........................................................... 79 区域卫生信息化建设综述............................................. 83 致 谢............................................................. 101 攻读学位期间主要的研究成果........................................ 102V硕士学位论文第一章 引 言第一章引 言1.1 研究背景2008 年 4 月，国家科技部社会发展科技司发布“‘十一五’国家科技 支撑计划重点项目”课题申报指南，其中一项就是“中国人个人健康管理 信息系统的构建与应用”，希望通过项目科技攻关，攻克一批国人个人健 康管理信息系统建设的关键技术，初步建立国人个人健康管理信息系统的 概念模型、信息模型和功能模型，普及现代健康管理理念、完善健康管理 服务体系、提高重大疾病的预防和诊疗的科技水平；初步建立 15 万人的电 子健康档案库，对 2 万人进行健康评估和疾病预警分析，开展慢病管理与 健康指导；以健康信息交互平台为依托，开展由综合性医院、社区卫生服 务机构、功能社区和体检中心共同参与的国人个人 健康管理信息系统示范 与应用研究，为广大人民群众提供具备科学性、实时性、便捷性、个体化 等特征的个人健康管理服务 [1] 。 2008 年 10 月，卫生部举行了首批数字化试点示范医院工作会议[2]。根据会议导向，今后国家在医疗卫生信息化方面，将着重搞以个人健康档案 为核心的区域协同数字化医疗系统。计划将建三级数据中心，即地区级、 省级、国家级。地区级主要存放个人健康档案，即个案；省级和国家级两 个数据中心主要为管理服务，不再存放个案，即省级和国家级主要负责统 计分析,数据交换,格式协议转换等工作。 2009 年 4 月 6 日，中央和国务院出台了《关于深化医药卫生体制改革 的意见》 ，其中第十四条明确提出要“建立实用共享的医药卫生信息系统” 。 目前，全国许多有实力的省、市、医院、以及一些相关机构都在进行 区域卫生信息化建设。例如上海市的“医联工程”[3]和深圳市目前正在全面 启动的区域卫生信息化建设 [4] 。 可以看出， 我国正在大力开展区域卫生信息， 尤其是个人健康信息共享方面的研究。1.2 研究现状（1）国外研究现状 在国外，医疗信息化起步较早的一些国家，已经由政府牵头，投入大 量资金，组织专业人员进行个人健康信息共享方面的研究。美、英、日、1硕士学位论文第一章 引 言韩等国家电子健康档案的发展已经提升到国家计划和政府推动层面。英、 美、加拿大、澳大利亚等一些国家先后开展了国家级及地方级的区域卫生 信息化建设，希望推动以个人健康信息共享为核心的全国性或区域性的卫 生信息网络建设，以提升整体医疗服务质量、提高医疗服务可及性、降低 医疗费用、减少医疗风险。 2002 年，美国提出建立国家健康信息网（NHII） ，实现医疗机构之间的 个人健康信息共享。为实现这一目标，政府增加了每年的卫生信息技术预 算，用于区域健康信息共享示范项目建设 [5] 。2004 年 11 月, HIT 协调官发 出了向公众征集有关发展国家健康信息网 （NHIN） 建议意见的请求， 2005 到 年初即收到 500 多份建议书，并组织专家对总数达 5000 多页的建议书进行 了认真细致的综合分析 [6]。随后开始了在加利福尼亚州，印第安纳，和马萨 诸塞州等地的实施工作 [7]。 2005 年 ， 英 国 卫 生 部 成 立 了 “ NHS 连 接 医 疗 （ NHS Connecting for Health） ”专门机构 [8]。该机构于 2005 年与 4 组 IT 供应商签订了英国历史 上最大的 IT 项目合同，拟搭建一个全国性的健康信息网基础设施，部署一 系列应用服务。计划于 10 年中投入 62 亿英镑建立全国的电子健康档案系 统。该项目把全英国划分为 5 个区域，分别由 4 个承包商建立连接各个医 院、诊所的电子病历系统。通过这个健康信息网，病患可以选择并预定医 院的服务，获得自身的电子健康档案，网上办理出院手续等；医生可以通 过该健康信息网实现包括电子健康档案、网上预约、电子处方、医学影像 共享及远程医疗咨询等。项目惠及英国的 5000 万人口，2.8 万家医疗机构 和 100 多万医务工作者 [9]。 韩国发展国家卫生信息网络和电子健康档案的做法主要是从两个方面 入手。一方面是健康信息标准化建设。卫生和福利部于 2004 年成立了国家 卫生信息标准委员会，每年由政府投入 100 万美元，用于相关信息标准的 研究和开发。另一方面是电子健康档案的集中研发。2005 年 12 月，卫生和 福利部成立了可互操作 EHR 研发中心，主要负责国家卫生信息网和 EHR 基 础架构、术语标准、知识库和 EHT 功能、认证标准的研发工作，成果开源 共享。从 2007 年到 2010 年总投入 3 亿美元，在 14 所医疗中心和 41 家总 医院实现共享的电子健康档案 [10] 。 在澳大利亚，国家级和省级的区域卫生信息化工作也有很大进展，国 家层面成立了 NEHTA（National eHealth Technology Architecture）来制 定卫生信息化领域的政策法规和标准 [ 11] 。南澳大利亚州政府通过在主要医 院建立以病人为中心的企业级临床信息系统，向医护人员提供 病人病史信2硕士学位论文第一章 引 言息访问，改变南澳洲医疗服务系统的信息保存、传递和访问手段，乃至传 统的医疗服务模式。该健康信息共享项目覆盖了省会城市阿德莱德的八家 主要公立医院，这几家医院服务全州 150 万人的 75%人口。新南威尔士洲、 昆士兰州等地都在进行类似的区域卫生信息化的建设工作 [12] 。 除以上各国，在欧洲部分国家，日本 [ 13] 以及新加坡等国也都在进行相 类似的区域卫生信息化建设。从国际趋势分析中 可以看出，在不同医疗体 制之下，不同的医疗市场环境当中，都或在开展 国家级或区域级的卫生信 息共享网络建设，或建立全国性的电子健康档案，以期实现个人健康信息 完全共享。 （2）我国研究现状 我国的医疗信息化建设由于体制和机制不健全，缺乏规划，缺少标准 等，个人健康信息共享水平相当低。由于基础研究投入少，信息标准研发 能力差，目前只能跟在国外研究后面追赶，系统集成和互操作应用水平不 高；同时，由于信息化应用的制度、规章和政策研究工作滞后，电子健康 档案应用发展仍然存在很大障碍和问题。但也开始了健康信息共享方面的 探索。 区域医疗信息化是目前我国医疗卫生信息化探索的方向，区域医疗信 息化的核心就是个人健康信息的共享和有效利用。卫生部制定的《全国卫 生信息化发展规划纲要
年》中，明确提出了区域卫生信息化的 工作目标 [14] 。国家科技部在“十一五”期间也列专题“区域协同医疗服务 示范工程”对其进行研究，研究的思想是以区域协同医疗健康数据中心为 基础，构建区域性健康信息网络，分别建立面向医疗机构和面向居民个人 服务的门户网站，通过统一的服务接口，以统一的界面提供不同的医疗信 息服务，实现个人与医院之间的信息交流、医院间的卫生资源共享 [15] 。 2005 年，在英特尔、GE、IBM 等公司支持下，卫生部信息中心牵头成 立了电子病历研究委员会，重点开展电子病历标准化的研究工作。其工作 思路是：在研究国外电子病历标准的基础上，逐步选择建立中国的电子病 历数据共享标准。目前，正在进行的是有关检验结果共享的标准研究[16]。同时，国内一些省市、大医院和一些有实力的机构也在开始探索区域 医疗信息化，以期在一定区域内实现医疗机构之间医疗信息的交换和共享。 例如， 深圳市从 2003 年开始了深圳市区域卫生信息网的建设 [17] ； 南宁市 2005 年开始构建医疗信息化标准化平台体系 [18]； 解放军总医院在 2007 年 5 月 31 日正式启动了其承接的科技部“区域协同医疗服务示范工程”课题 [19] ；无 锡市 2006 年启动以卫生局为建设主体的市民健康系统和以医管中心为建设3硕士学位论文第一章 引 言主体的区域医疗信息化服务平台，以实现市民健康信息和医疗信息在各医 疗保健机构间的共享 [20] ；上海市 2006 年年底启动了“医联工程” ，2008 年 4 月 1 日正式启用，16 家示范医院率先完成了对临床诊疗信息的整合，以 及实现了对病人临床诊疗信息的跨院调阅 [21] 。 这些研究，取得了一定的成果，但总体看，这些研究还比较零散，缺乏整体 性和系统性，而且在全国范围内的个人健康信息共享方面鲜有研究。1.3 研究意义在我国政府大力开展区域卫生信息化建设，积极鼓励个人健康信息共 享研究的大环境下进行本课题的研究具有重大现实意义。 一方面，我国在个人健康信息共享方面的研究，才刚刚起步，重实践， 重技术，而基础研究和理论研究较薄弱，本课题通过调研我国个人健康信 息共享的实际情况，从理论方面对个人健康信息共享涉及的方方面面进行 研究，同时大量借鉴国外相关经验，并结合我国国情，就我国个人健康信 息共享面对的各种问题从理论层次和体系高度提出相关解决方案，可供卫 生部主管部门和各级政府相关部门研究参考。同时，亦可供卫生系统的医 院管理、信息管理、数字化技术等方面领导、专家、工作人员和相关企业、 学校、研究单位参阅。 另一方面，个人健康信息可以容易地共享，或与卫生信息网络内的所 有实体（即：其它医院、门诊部、亚急性环境、雇主、付费方和病人）进 行交换，可以为医护人员提供完整的、实时的、随时随地的病人信息访问， 有助于提高医疗质量；通过个人健康信息共享，可以支持病人在医疗机构 之间的连续医疗；通过个人健康信息共享，有助于科学研究和相关卫生政 策的制定；通过个人健康信息共享，可以避免重复的检查检验，节约医疗 成本。1.4 研究内容本文研究设计了基于 PIX 和 XDS 集成规范的个人健康信息共享方案。主要 研究内容如下： 一、个人健康信息共享平台的总体框架。包括个人健康信息共享平台 的基础架构、功能架构以及服务架构。 二、个人身份识别方法和标识技术。 分析比较了国内外各种个人身份4硕士学位论文第一章 引 言识别方法和标识技术，尤其是 ID 匹配和合并方案，提出了适用于我国健康 信息共享建设的个人身份识别和标识方案，即基于 IHE PIX 的注册式跨域 MPI 协同模式。 三、异构系统间的临床文档共享模式。分析比较 RID 共享模式和 XDS 共享模式，探讨出我国个人健康信息共享建设宜采用的跨机构临床文档共 享模式。 四、基于 PIX 和 XDS 集成规范的个人健康信息共享方案。在上述研究 的基础上，提出基于 PIX 和 XDS 集成规范的个人健康信息共享方案，重点 研究个人健康信息共享数据的存储方式、个人健康信息共享的工作流程、 注册中心信息模型的创建、PIX 系统和 XDS 系统的需求和功能、并描绘一个 个人健康信息共享的实例以展现临床相关域内个人健康信息共享的全景。 最后 总结本方案的不足并给出改进措施。1.5 论文创新性本文的创新性表现在以下几个方面： 一、设计了我国全国范围内的个人健康信息共享平 台。调研发现，目 前尚无针对中国全国范围内的个人健康信息共享平台方面的研究。 二、系统而详细地对比研究了各类个人身份识别方法和标识技术， 并 提出了基于 PIX 的注册式跨域 MPI 协同模式，目前鲜有此研究。 三、研究设计的基于 PIX 和 XDS 集成规范的个人健康信息共享方案， 颇具创新性，且方案中提出的新的病人身份匹配规则，以及对 XDS 分类方 案的改进措施尤其具有创新性。5硕士学位论文第二章 标准规范和相关概念第二章标准规范和相关概念2.1 互操作性标准与集成规范医疗机构信息集成规范（Integrating the Healthcare Enterprise，IHE） 是目前国际上比较流行的医疗机构信息集成框架规范， 很多发达国家都采用了该 规范的框架要求。 IHE 技术框架提出了解决医疗信息接口标准的具体实现方法， 它通过规定事务通讯所必需遵循的医疗标准细节， 对如何选用标准来实现医院环 境中的工作流集成进行了规范。 IHE 技术框架从工作流集成的角度出发对医疗信 息系统接口标准进行了定义， 而且通过对象化实现策略，进一步简化了标准接口 的设计[22]。需要注意的是，IHE 并不是定义新的集成标准,而是基于现有成熟的 标准（例如 DICOM、HL7 和其他一些系统集成的行业标准）制定的一套集成方案。 IHE 定位在制定一套规范的流程，并通过 DICOM、HL7 等消息系统实现这种流程， 以实现不同系统的集成[23]。 病人标识交叉索引集成规范（Patient Identifier Cross-referencing Integration Profile，PIX）是 IHE 中有关病人标识交叉引用的集成规范， 也是实现 MPI 的一种方法（Patient Identifier Cross-referencing for MPI）。 PIX 集成规范定义了对不同标识域之间病人标识符相互映射的服务，使应用程序 可以用已知域的病人标识符查询同一个病人在其它域的标识符。IHE 允许每个参 与者在它们自己的域建立病人标识， 且每个应用系统对其内部的病人标识在本系 统中有完全的控制权，通过 PIX 对各个应用系统中的病人标识进行登记和管理， 支持其它应用的查询或主动通知信息变更， 而在每个应用系统中不需改变其标识 符的定义和格式，保证了不同应用系统之间病人标识的同步[24]。 病人人口学基本信息查询（Patient Demographics Query，PDQ），是 IHE 集成框架中的一个子框架， 是与 PIX 集成规范相配套的，它定义了基于 HL7 的服 务， 用病人标识符号或者部分的人口学特征数据查询完整的人口学特征数据记录 以及标识符号信息[25]。 在一个机构内分布的多个应用程序可以使用某种特定的查 询语法， 向一个病人信息中心服务器查询病人信息，查询结果可以直接被应用程 序所使用，包括病人的人口学基本信息，甚至可以包含就诊相关信息。 机构用户验证（Enterprise User Authentication，EUA）为每个用户分配 唯一的用户名， 此用户名可以登录进入机构的所有的设备和软件。这样可以极大 地方便医院内部的用户授权、验证和管理工作[26]。6硕士学位论文第二章 标准规范和相关概念获取显示所需信息（Retrieve Information for Display，RID）提供一种 简单快捷的方式来获取必要的病人信息。此规范支持对已存储文档的读取，包括 CDA、PDF、JPEG 等流行的文档格式。另外，为了临床的需要，此规范还支持读 取某些以病人为中心的关键信息，例如过敏信息、当前用药、报告汇总等。对于 用户面对电脑屏幕的工作或者应用应用程序而言， 此集成规范是在工作流程方面 的一个补充。 将此规范和另外两个规范 EUA 和 PIX 共同协作，可以促进一个机构 内部的组织之间相互作用[26] 。 跨机构文档共享（Cross Enterprise Document Sharing，XDS）是 IHE 集 成框架中的一个子框架， 此集成规范基于 ebXML Registry 标准、 SOAP 协议、 HTTP 协议和 SMTP 标准。它的目的是提供一个基于标准的规范来管理任意的医疗卫生 企业之间的文档共享。XDS 以 ebXML 注册或资源库的形式实现信息共享，通过规 范文档位置的元数据获取医疗文档，但不规范临床文档的具体内容[27]。XDS 引入 文档存储库(Document Repository)和文档注册库(Document Registry)概念，建 立了不同临床信息系统之间信息共享的机制和方法。 其主要组成部分的功能为： 文档存储数据库负责存储需要共享的临床文档描述，并预存相应文档检索的条 件； 文档注册器负责存储相关文档信息，以便病人临床医疗中能快速地找到临床 文档缓冲池中相应的文档。XDS 规范是以临床文档为描述单元的，故其能适用于 任何类型任何系统的电子病历系统的文档信息集成， XDS 集成规范解决了不同医 院临床病人医疗文档信息共享的需要[28]。ebXML 是联合国（UN/CEFACT，贸易促进和电子商务中心）和 OASIS（结构化 信息标准发展组织）共同倡导、全球参与开发和使用的规范。它是一组支持模块 化电子商务框架的规范。ebXML 支持一个全球化的电子市场，它使得任意规模的 企业通过交换基于 XML 的信息，不受地域限制地接洽和处理生意[29]。 CDA R2（HL7 临床文本架构标准第二版）是 HL7 开发的 V3 标准之一，用以 撰写临床文本。CDA R2 完全基于 HL7 RIM，支持结构化的临床信息表达。CDA R2 用同一模型提供撰写不同结构程度的临床文本的能力， 从而使不同结构程度的文 本可以方便地用同样的方式管理。CDA R2 将临床文本结构划分为三个层次，第 一层(CDA L1)支持最基本、最简单的 CDA 文本（符合 XML 的自由文本，可供人直 接阅读） ；第二层（CDA L2）的基本内容结构格式是从根节点开始向下生长的树 型章节层次结构， 通过 Section 节点自身的递归关系这棵结构树可以扩展到任意 深度；第三层（CDA L3）保留了第二层的全部文本结构功能，又在每个 Section 节点中加入一个编码信息入口节点(Entry)，Entry 节点代表一组 RIM 类用以结 构化描述一个临床行为， 并通过自身递归关系可以联系到下一级 Entry 节点。 HL7 V3 CDA R2 详见 HL7 v3（http://www.hl7.org） 。7硕士学位论文第二章 标准规范和相关概念一致时间（Consistent Time Integration Profile，CT）集成规范是一种 使网络中的多台电脑之间保证时间一致的方法。 该规范使多台电脑的中位时间差 小于 1 秒，这可以满足大多数应用要求。CT 集成规范定义了一套在多个角色和 多台电脑之间保持时间同步的机制。IHE 中的很多基础架构、安全、采集相关的 规范都要求多台电脑之间保持时间的一致性。 集成规范要求必需采用 RFC 1305 CT 中定义的网络时间协议（Network Time Protocol，NTP） 。当一个“时间服务器” 和一个“时间客户端”组合在一起，以便从更高一层的“时间服务器”读取时间 时， “时间客户端”应该使用 NTP 协议。对于那些没有与“时间服务器”组合在 一起的“时间客户端” ，可以使用 SNTP 协议[30]。 审计跟踪与节点验证（Audit Trail and Node Authentication，ATNA）集 成规范建立了一套安全检测的方法。在机构的安全政策和执行流程的基础上，此 方法可以保证病人信息的私密性、数据完整性、以及用户责任可记录性[30]。2.2 相关概念PID：病人身份识别码（Patient Identifier，PID），是指在 HIS 系统应用 中唯一标识一个病人的编号。 它的作用是在 HIS 系统中乃至全院任何一个与病人 相关的系统中代表着一个病人的唯一标识。一个病人有且只有一个 PID。当一个 病人拥有两个 PID 号时，在医院的任何一个系统中，将被视为两个病人，系统 分别按两个病人处理。 的编码机制可以由医院讨论决定， PID 可以是门诊病历号、 住院病历号，或者是卡号，也可以是一个无规则的序列号[31]。本文中 PID 有时是 一个泛指概念，泛指广义的用于标识个人身份的符号。 UID：病人唯一标识码（Unique Identifier）是指全国统一的、唯一的个 人标识符， 能够辅助进行病人信息唯一性识别，在该域或跨域各涉众均可见的病 人唯一编码[32]。本文中 UID 有时是一个泛指概念，泛指个人身份唯一标识符。 MPI：病人主索引（Master Patient Indexes）是指特定域内病人基本信 息的主索引，是唯一完整的病人标识，用以标识该域内每个病人实例并保持 其唯一性的编码。通常它只能由一个应用系统输入，并对其它应用系统进行 分发，以保证整个系统中病人基本信息的一致性，即有一个中心服务器负 责多个系统的病人数据，主 ID 生成，并将此主 ID 与不同系统的 ID 建立映 射关系 [33]。 EMPI：机构级个人主索引（Enterprise Master Person Index）是独立个人 身份识别的基础，用于整个医疗信息网络跨系统、数据记录识别和应用的参考。 从病人进入医疗服务机构的那一刻起，在网上能生成一个新的企业 ID 或者与现8硕士学位论文第二章 标准规范和相关概念存身份识别系统作一个链接。 此时，通过对新建或者旧有系统病人身份识别的管 理，访问和吸收来自多个不同数据源的病人信息[34]。 域：本文中所提及的域是指相对独立的信息系统所涉及的范围，各个域之间 存在着平级与包含的关系。域之间存在两种关系，即横向域关系与纵向域关系。 一般横向域有 HIS 系统与 LIS 系统，不同的医院之间。纵向域有医院与区域， 区域与国家[32]。 临床相关域（Clinical Affinity Domain）：一个临床相关域是一组医疗机 构， 这组医疗机构已达成协议使用一组共同的策略方针和相同的文档存储库和文 档注册库的基础架构[35]。 病人 ID 交叉索引域（Patient Identifier Cross-reference Domain）：由 一组“病人 ID 交叉管理器”所了解和管理的病人 ID 域共同构成。“病人 ID 交 叉管理器”角色负责提供同一病人在不同病人 ID 域中的不同 ID 的清单[35] 。 病人 ID 域（Patient Identifier Domain）：一个单独的系统或者一系列相 互连接的系统，他们共享同样的病人标识计划。这个计划包括：同一个 ID 生成 分配机构、向病人分配 ID 的流程、病人 ID 和相关特性的持久化记录、长期的维 护流程[35]。 病人主索引服务： 是指为保持在多域或跨域中用以标识病人实例所涉及的所 有域中病人实例的唯一性，所提供的一种跨域的系统服务[32]。 本文认为病人唯一标识与病人主索引存在一定的差异。 病人主索引可以是仅 信息系统内可见的， 只需保持其唯一性，允许其不具备信息系统中用户可见的特 性。 而病人唯一标识均要求其在信息系统中具有用户可见性，但其并不一定会被 指定为病人主索引，如传统的门诊号，住院号，病例号等，甚至有些病人唯一标 识还要求其包含一定可识别信息，如身份证号及某些医院制定的 X 线号编码规 则等[32] 。 EHR：电子健康记录（Electronic Health Record）是以个人健康、保健和 治疗为中心的数字记录，包括体检记录、门诊、病史、各种影像信息及相关的药 物治疗信息跟踪。 以数字化方式汇集了每个个体终生与健康有关的所有个人健康 信息，任何时候都能提供给授权用户在医疗活动中使用[36]。EHR-CR：诊疗提供记录，是对信息系统或诊疗提供组织系统的抽象，是在进 行具体的病人医疗活动场所（医院、社区、保健机构等）收集、处理和使用，最 常见的是在病人的就医场景中[37]。 EHR-LR：长期集成记录。代表了跨越不同就医过程的、病人健康信息的长期 集成记录，HER-LR 信息源自不同就医过程的诊断治疗活动，也为这些活动所使 用[37]。9硕士学位论文第二章 标准规范和相关概念LDAP 协议： 轻量级目录访问协议 （Lightweight Directory Access Protocol) 是一个访问在线目录服务的协议[38]。它是基于 X.500 标准的，支持 X.500 模型， 但不需要满足 X.500 目录访问协议所要求的资源，并且可以根据需要定制。与 X.500 不同，LDAP 支持 TCP/IP，这对访问 Internet 是必须的。在企业范围内实 现 LDAP 可以让运行在几乎所有计算机平台上的所有的应用程序从 LDAP 目录中获 取信息。LDAP 目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、 人力资源数据、公用密匙、联系人列表、个人信息、web 链结、jpeg 图像等。通 过把 LDAP 目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询 信息的步骤，甚至连主要的数据源都可以放在任何地方。10硕士学位论文第三章 个人健康信息共享平台总体框架第三章个人健康信息共享平台总体框架3.1 个人健康信息共享平台基础架构个人健康信息共享平台建设的核心目标是：依托国家公共卫生信息网，创建 一个物理上分散、 逻辑上集中的个人健康信息数据共享服务系统。拟建立纵向连 接国家、省、地（市） 、县（区） 、乡镇五级，横向连接医院、社区和保健机构等 各医疗机构的共享服务平台。 系统要整合全国各地已经建立的医疗信息系统或区 域数据中心的个人健康信息数据，在全国范围内逐步分批分级整合，最终形成一 个物理上分布、逻辑上统一的个人健康信息共享服务中心。 建立三级数据中心，即地区级、省级、国家级，将所有中国人的所有个人 健康信息都“汇总”到数据中心，实现全民个人健康信息的全面共享。地区级 （区域数据中心）根据各数据中心实际情况，可以存放个人健康信息实际 数据，也可以仅存放数据索引；省级和国家级两个数据中心主要为管理服 务，不再存放个人健康信息，即省级和国家级主要负责统计分析 、数据交 换、格式协议转换等工作。 各数据中心均设有索引中心和注册中心来支持个人健康信息的共享访问服 务。索引中心包括个人身份标识索引、个人健康信息（临床文档）索引以及医疗 机构信息或数据中心信息索引等。注册中心包括病人 ID 注册、临床文档注册以 及医疗机构或数据中心注册等。 图 3-1 为个人健康信息共享服务系统基础架构示意图。11硕士学位论文第三章 个人健康信息共享平台总体框架图 3-1 个人健康信息共享服务系统基础架构按照管理层次，整个个人健康信息共享服务系统主要分为三个部分：系统管 理中心、地区数据共享中心、基层医疗机构信息系统三部分，提供的服务除了个 人健康信息的共享服务外，还包括目录查询、决策支持、统计分析、综合服务、 业务管理以及信息发布等。系统管理中心建立在国家、省两级数据中心之上，负 责管理下属的各地区数据共享中心；地区数据共享中心建立在区域数据中心上。 其中， 建立在国家级数据中心上的系统管理中心为整个系统的顶级管理中心，负 责管理下属的各级数据中心。系统管理中心和各地区数据共享中心通过 LDAP 协 议组成一个系统目录树，使得相互之间的某些数据交换可以通过 LDAP 的复制策 略来完成。 系统管理中心、 地区数据共享中心和终端医疗机构各子系统之间的业 务申请通过 Web Service 来完成。3.2 平台功能架构顶级系统管理中心作为个人健康信息共享服务系统的顶级节点， 它是所有数 据中心 LDAP 目录服务器的根结点，所有数据中心作为其子节点挂接在顶级系统 管理中心下面。系统管理中心（包括顶级系统管理中心和子系统管理中心）的主 要功能有：下属数据中心管理、目录服务、信息检索、信息共享、信息发布、数 据收集和统计分析等。12硕士学位论文第三章 个人健康信息共享平台总体框架地区数据共享中心负责存储病人的基本信息和个人健康信息或对应的索引 信息。 其功能主要有收集、 统计分析流行病和传染病等信息并上报系统管理中心； 存储和管理各地区范围内的医疗机构的基本信息， 以及这些医疗机构产生的个人 健康信息和病人信息；提供地区范围内个人健康信息的共享服务。 个人健康信息共享系统的终端系统为各医疗机构的信息系统， 包括医院端子 系统、社区端子系统以及保健机构端子系统等。这些终端子系统的功能包括：病 人注册、个人健康信息生成、个人健康信息传输、个人健康信息检索和下载、个 人健康信息注册等。3.3 平台服务架构国家数据中心是整个数据共享服务系统的核心， 它是全国范围内提供个人健 康信息数据共享服务的平台， 可以提供全国范围内的个人健康信息数据的共享应 用，它要对整个数据共享服务系统进行总体配置和管理。 省级数据中心存储了在管理关系中所包含的各省范围内所有数据中心的数 据全集， 全部省级数据中心的数据全体经过抽取和整合后将提供给一个国家数据 中心。 区域数据中心存储了各地区范围内所有医疗机构的数据全集或各医疗机构 数据的索引信息， 全部区域数据中心的数据全体经过抽取和整合后将提供给一个 省级数据中心。 由于国家数据中心并不一定需要存储全部的数据， 因此省级数据中心起到了 为国家数据中心提供细节数据的功能。 当国家数据中心需要取得一个未存储在国 家数据中心的数据时， 将根据所需数据的来源信息自动到相应的省级数据中心获 得。 省级数据中心可提供省一级的数据共享服务， 在相应的数据中心上可部署不 同的数据应用服务和管理配置程序， 允许省一级的用户对个人健康信息数据进行 查询、分析和统计等应用。 区域数据中心可提供地区一级的数据共享服务，同样的，在相应的数据中心 上可部署不同的数据应用服务和管理配置程序， 允许地区一级的用户对个人健康 信息数据进行查询、分析和统计等应用。13硕士学位论文第四章 个人身份识别方法和标识技术第四章个人身份识别方法和标识技术个人身份识别(Personal identification)是医疗机构信息化的基础性工 作。 建立跨医疗机构的个人健康信息的交换共享，首先必须解决个人身份的唯一 识别问题， 尤其是同一个人在不同医疗机构、不同医疗信息系统里的个人标识号 如何关联的问题。 本章首先分析了个人健康信息共享建设中对个人身份识别的需求， 然后对国 际上现行的个人身份识别方法和标识技术进行了对比研究，并深入讨论了 IHE 提出的 PIX（Patient Identifier Cross－referencing Integration Profile） 集成规范，最后提出了基于 IHE PIX 的注册式跨域 MPI 协同模式方案，并重点研 究了个人身份匹配规则和 ID 合并算法。4.1 个人身份识别的需求4.1.1 个人身份唯一性识别的需要 个人健康信息共享建设中， 个人身份的唯一性识别是重中之重，它是个人健 康信息共享建设的重要基石。如果个人身份识别发生错误，通过健康信息共享给 医患双方带来的各种优势将大打折扣，由此造成健康信息与个人身份不匹配，进 而导致错误诊治，甚至有可能引发致命的灾难性后果。 在个人健康信息共享建设中， 对个人身份进行唯一性识别主要基于以下三方 面的需要： （1）集成个人健康信息的需要 通常，一个人不会只接受过一家医疗机构的医疗服务，因此，其健康信息常 常是分布在不同的医疗机构， 不同的应用系统中的，要将这个人的所有健康信息 都集成或关联起来， 首先必须判断出这些健康信息都属于此人，这就要求必须要 有一套个人身份唯一性识别机制， 如建立全国统一的、 唯一的个人标识符 （UID） 。 （2）共享和交换个人健康信息的需要 个人健康信息的共享和交换必然是跨医疗机构的， 然而目前不同的医疗机构 通常分配给病人不同的标识符（PID），这样在个人健康信息跨医疗机构共享中 会面对一个人有多个标识符，即个人标识符不唯一的问题。因此，要实现个人健 康信息的交换和共享， 首先必须判断出这些不同的 PID 是否指向同一个人，这就 要求建立一套个人身份唯一性识别机制， PID 索引关联机制， 如 或者全国统一的、14硕士学位论文第四章 个人身份识别方法和标识技术唯一的 UID 个人标识符。 （3）管理个人健康信息的需要 本文中的个人健康信息， 是指一个人从出身到死亡整个生命周期中所接受的 所有医疗服务过程中所产生的所有与健康有关的信息的总和，因此，必然涉及分 散在多家医疗机构的健康信息记录和多家医疗机构的多个标识符，要准确无误 地、系统地管理这些健康信息，必须建立一套个人身份唯一性识别机制，如 PID 索引关联机制，或者全国统一的、唯一的 UID 个人标识符。 4.1.2 个人身份识别机制的功能 个人身份识别机制的基本功能如下： （1）准确标识和识别病人 为确保医疗服务是提供给了正确的病人，必须 对病人身份进行准确的 识别，否则，由于身份识别错误，造成医生或医护工作者接收到的病人的 错误的个人健康信息 ，如果基于这些错误的健康信息对病人进行治疗，其 错误治疗的后果很可能将是灾难性的。 （2）自动链接到个人健康信息 将个体的个人健康信息进行自动链接 ，将极大的便利和简化个人健康 档案的创建。这不仅能为个体的连续医疗提供支持，并且 也为科研提供了 纵向的（匿名的）健康信息相关数据。 （3）简化健康记录管理 使健康记录的管理更高效。使用个人身份标识符来链接和访问个人健 康信息，由于个人身份标识符取代了个体人口学标识信息（如：姓名、地 址、性别、年龄、电话号码等） ，从而能够极大地简化健康记录。并且，通 过个人标识符可以快速完成健康信息的交换和共享。 （4）增强隐私保护 使用个人身份标识符可以对个人健康信息的访问进行控制，同时由于 用数字串形式的个人身份标识符取代了个体人口学标识信息（如：姓名、 地址、性别、年龄、电话号码等） ，因此，增强了对个人隐私的保护能力。 4.1.3 个人身份标识符的应用域和应用层次 目前，许多医疗机构都有自己的病人识别机制，有些机构甚至通过 MPI 机制实现了本机构内病人标识的唯一性。然而，在个人健康信息共享过程 中，仅仅通过在各医疗机构独立的域内保持病人标识的唯一性已经不能满 足共享的需求，因此，跨域 MPI 协同成为必然，这样就必须对个人身份标 识符的应用域和应用层次有一个明确的认识。 （1）应用域15硕士学位论文第四章 个人身份识别方法和标识技术纵向应用域：医辽机构、地区、省市和全国。 横向应用域：医院、诊所、社区、医保和公共卫生机构。 （2）应用层次 国家层次：最高层次，要求为每个公民分配一个全国统一的唯一的 个 人标识符（UID） ； 区域层次：在一个区域或省市范围内，跨多个医疗机构的 UID； 医疗机构层次：在一个医疗机构内的应用的 UID。 本文中讨论的 UID，是其最高应用层次―国家层次，即全国统一的唯一 的 UID。4.2 个人身份识别方法和标识技术对比研究针对个人身份唯一性标识和识别问题，目前可采用的解决方案主要有 分配序列号（UID） 、生物特征识别、以及 PID 匹配和合并等方法和技术。 4.2.1 UID 方案 本方案即是为个体分配一个全国统一的、唯一的个人标识符（ UID） ， 为个体分配一个全国统一的、唯一的序列号（UID）有两种方法： （1）使用已有的序列号 使用国家已经分发给公民的序列号，如社会保险号（Social Insurance Number，SIN） 、社会安全码（Social Security Number，SSN） 、身份证号 等。 （2）建立新的序列号 建立新序列号的方式有很多， 可以是直接建立一种新的序列号（如： UHID 方式） ，也可以是基于某种已有的序列号，通过指定的算法将其转换生 成新的序列号。 （如：基于 SSN 的 CHID 方式、银行信用卡方式等） [39]。 ① Universal Healthcare Identifier（UHID） UHID 方案是美国 ASTM 提出的通用卫生保健服务标识符解决方案， 该方 案对 UHID 定义了 30 个属性标准用于评价 UHID。UHID 包括 16 个数字序列 号、一个句点分隔符“.” ，6 个数字检验符和 6 个数字加密符，总共由 28 个数字和一个分隔符组成。UHID 方案需要设立一个专门的政府机构来管理 和处理 UHID 应用，包括分配 UHID、计算检验数字、选择加密算法、生成加 密 UHID（EUHID） 、管理 UHID 与 EUHID 的交叉索引或与 EUHID 加密对应的解 密机制 [40]。 ② Computed Healthcare Identifier (CHID)16硕士学位论文第四章 个人身份识别方法和标识技术在美国，该方案是基于 SSN 的，政府为各医疗服务提供商提供一个标 准的加密算法用于将病人的 SSN 转换成另外一个私有号码。该加密算法是 不可逆的，所需运算时间极短，任何一家医疗服务机构计算出的结果均是 一样的、唯一的，并且都包括一位检验数字。 4.2.2 生物特征识别 生物特征识别（Biometric Identification）指的是对个体的生理或 行为特征进行身份识别，它根据被称为生物特征样本的生理属性来验证身 份，如指纹、面部特征、手形、视网膜信息和虹膜信息等。在注册过程中， 生物特征识别系统将存储实体的生物特征样本，然后每当有人声称是该实 体时都将其与该样本进行匹配。生物特征识别系统通过使用模式识别算法 来判断提供的生理或行为特征样本是否真实。 4.2.3 ID 匹配和合并 个人身份标识的匹配元素有：姓名、性别、出身日期、社会保险号、 身份证号等。在对个人身份进行识别时，将这些元素与其个人健康记录进 行关联，并将其所有的健康信息都集成或关联起来。实际应用中，由于 ID 匹配和合并技术已经在许多医疗机构得到了较为成功的运用，因此 ，一些 人认为并没有实行全国统一的、唯一的个人身份标识（UID）的需要。ID 匹 配和合并方案的成功应用有如下一些实现技术： 4.2.3.1 MPI 和 EMPI MPI 是医院信息系统中病人基本信息的主索引，是唯一完整的病人标识，通 常它只能由一个应用系统输入，并对其它应用系统进行分发，以保证整个系统中 病人基本信息的一致性，即有一个中心服务器负责多个系统的病人数据，主 ID 生成，并将此主 ID 与不同系统的 ID 建立映射关系。如图所示，MPI 由一个应用 系统维护， 产生病人的基本信息， 并分发给其它应用系统， 如入出转院处 （ADT） 、 挂号处和放射科（RIS）等，这些应用系统中都不需要登记病人的基本信息，而 只产生本系统中的内部信息即可[41]。17硕士学位论文第四章 个人身份识别方法和标识技术图 4-1 MPI 方法MPI 往往通过 EMPI 实现， 在国外， 很多 IT 厂商供 EMPI 产品， 通过 EMPI 维 护所有应用系统的病人标识。EMPI 是独立个人身份识别的基础，用于整个医疗 信息网络跨系统、 数据记录识别和应用的参考。从病人进入医疗服务体机构的那 一刻起，在网上能生成一个新的企业 ID 或者与现存身份识别系统作一个链接。 此时， 通过对新建或者旧有系统病人身份识别的管理，访问和吸收来自多个不同 数据源的病人信息。EMPI 在识别过程中发挥着中心作用。 建立 EMPI 有两个途径，即被动型和主动型： ① 被动型 在病人首次访问完成后， 查询、匹配病人相关信息并且将相关信息集中到一 个现有的 ID 上，或者创建一个新的 ID；这是一个自动过程[42]。 ② 主动型 在病人首次访问中，在病人与医疗服务人员进行互动时，系统应用 EMPI 规 则，即时对病人身份信息进行匹配[42]。 4.2.3.2 HL7 MPI Mediation HL7 Mediation 使用 HL7 定义的事务标准来管理病人信息的查询和匹 配。HL7 Mediation 是一个用于查询和定位其他 MPI 系统中的病人的事务处 理软件，该软件使用 HL7 事务标准发送病人的人口学特征以查询和匹配接 受方 MPI 系统中对应病人的身份信息，从而进行病人身份的识别和 ID 的匹 配。个人身份信息越多越详细，匹配就越成功。HL7 Mediation 通过交叉索 引机制支持病人现有的多个 ID 的继续使用 [43] 。 4.2.3.3 IHE PIX 集成方案 2004 年， IHE 在其 IT 基础技术框架 （IHE IT Infrastructure Technical18硕士学位论文第四章 个人身份识别方法和标识技术Framework ） 中 提 出 PIX （ Patient Identifier Cross － referencing Integration Profile）集成规范，其目的在于从多个产生病人标识符的应 用中，实现病人标识的交叉引用。HL7 标准中有多个消息用来实现病人标识的 维护[44]。 PIX 的作用是在多个病人 ID 域之间，提供同一个病人的不同 ID 之间的相 互索引。 一旦建立了这多个系统间的交叉索引，同一个病人即使在多个信息系统 中有不同的 ID，也可能同时从多个系统中获取病人相关的信息。这样，医生就 可以拥有病人信息的完整视图[45]。 实现方式如下： ? ? 病人标识信息源将病人 ID 信息传送到 PIX 管理器。 通过查询/响应方式或者更新通知的方式， 实现读取交叉索引病人 ID 列 表的功能。 PIX 集成规范并不定义某种特定的机构政策或交叉索引算法，仅仅指定角色 之间的事务。通过将相关的行为封装为一个角色，PIX 提供了角色之间必要的交 互工作的能力， 同时也提供了足够的灵活性，使不同的机构可以根据自己的情况 选择合适的交叉索引政策和算法。 PIX 集成规范中定义了三种角色（Actors）：病人标识信息源、病人标识交 叉索引管理器（PIX 管理器）和病人标识交叉索引用户（PIX 用户）。同时，PIX 的应用需要三个事务支持：病人标识信息输入事务，PIX 更新通知事务，PIX 查 询事务。其中，PIX 更新通知事务是可选的。病人标识信息源角色参与病人标识 信息输入事务，PIX 用户参与 PIX 查询事务和 PIX 更新通知事务，PIX 管理器则 参与全部三个事务。HL7 有专门的消息机制来支持这些事务。 PIX 对角色和事务进行了规范[46]，如图 4-2 和表 4-1 所示。19硕士学位论文第四章 个人身份识别方法和标识技术病人标识信息源PIX 用户病人标识信息输入 [ITI-8]?? PIX 查询[ITI-9] ? PIX 更新通知[ITI-10]PIX 管理器图 4-2 PIX 事务处理框架表 4-1 PIX 角色和事务角色 病人标识信息源 PIX 用户事务 病人标识信息输入[ITI-8] PIX 查询[ITI-9] PIX 更新通知[ITI-10] 病人标识信息输入[ITI-8] PIX 查询[ITI-9] PIX 更新通知[ITI-10]可选项 R R O R R RPIX 管理器① 病人标识信息源（Patient Identity Source） 它是某个特定病人标识域（本地域）内 PID 的发行者，负责产生病人的本地 ID（本地域下的 PID）。当本地域内有新病人注册、病人资料更新或 PID 合并等 情况发生时，它将使用病人标识信息输入事务（Patient Identity Feed），把 这些情况通知 PIX 管理器。 事务支持：病人标识信息输入事务（发送方） ② PIX 管理器（Patient Identifier Cross-reference Manager） 它为一组特定的病人标识域服务，维护这些域下病人的本地 ID 及其相关资 料，并对同一个病人在不同标识域下的本地 ID 进行关联。将本地 ID 进行关联， 实际上就是建立不同域下本地 ID 的交叉索引， 也就是为每一个本地 ID 在全局域 下分配一个唯一的全局 ID，并且同一个病人在不同本地域下的本地 ID 对应同一 个全局 ID。 即全局 ID 与病人实体相关联， 理想情况下一个病人只有一个全局 ID。 交叉索引可用于查找特定标识域下的本地 ID 在其他域下对应的本地 IDs。此外， PIX 管理器还为每一个病人标识域分配一个唯一的域 ID，用以标识该域。 事务支持：20硕士学位论文第四章 个人身份识别方法和标识技术a）病人标识信息输入事务（接收方） b）PIX 查询事务（接收方） c）PIX 更新通知事务（发送方） ③ PIX 用户（Patient Identifier Cross-reference Consumer） 它发送 PIX 查询（PIX Query）消息到 PIX 管理器，查询其所属标识域下的 病人在其他域下对应的本地 ID。此外，它还可以向 PIX 管理器订阅更新通知， 当其关心的病人标识域下有本地 ID 变更或病人资料更新等情况发生时，PIX 管 理器会使用更新通知事务（PIX Update Notification）发送更新消息给订阅此 更新的 PIX 用户。 事务支持： a）PIX 查询事务（发送方） b）PIX 更新通知事务（接收方） 其中，PIX 更新通知事务可有可无。 ④病人标识信息输入事务（Patient Identity Feed） 将病人标识信息从病人标识源发送到病人标识交叉引用管理器，PIX 管理器 负责建立、维护病人标识[47]。图 4-3 为通过 HL7 消息发送病人标识的交互图。病人标识信息源PIX 管理器ADT^A01，A04，A05，A08，A40ACK^Axx图 4-3 病人标识发送交互图角色： a）病人标识源（Patient Identity Source） b）PIX 管理器（PIX Manager） HL7 消息： a）ADT^A01：住院病人登记 b）ADT^A04：门诊病人登记 c）ADT^A05：住院病人预约21硕士学位论文第四章 个人身份识别方法和标识技术d）ADT^A08：修改病人信息 e）ADT^A40：合并病人标识符 标识属性： a）PID-3：标识符列表（Patient Identifier List） b）PID-5：姓名（Patient Name） c）PID-6：母亲出嫁前的姓名（Mother’s Maiden Name） d）PID-7：出生日期（Date/Time of Birth） e）PID-8：性别（Administrative Sex） f）PID-11：地址（Patient Address） g）PID-13：家庭电话（Phone Number - Home） h）PID-14：单位电话（Phone Number - Work） i）PID-16：社会安全码（SSN Number - Patient） j）PID-25：驾驶证（Driver’s License Number） 其中，ADT^A01、ADT^A04、ADT^A05、ADT^A08 消息中都需要 PID 和 PVI 段， 且在 PID－3 字段放置病人在本应用中的唯一标识符。 ADT^A40 为合并病人标 识符的 HL7 消息，当发现同一个病人有两个标识符时，需要将它们合并。在传 递该消息时，需要用到 PID 和 MRG 段，在 PID－3 中是病人要保留的标识符，MRG －1 中的标识符是需要合并的。 ⑤ PIX 查询事务（PIX Query） 病人标识使用者通过对 PIX 管理者的查询／响应，得到病人标识。图 4-4 为 HL7 消息查询／响应病人标识的交互图。PIX 用户PIX 管理器QBP^Q23RSP^K23图 4-4 PIX 查询交互图角色： a）PIX 用户（PIX Consumer）22硕士学位论文第四章 个人身份识别方法和标识技术b）PIX 管理器（PIX Manager） HL7 消息： a）QBP^Q23 b）RSP^K23 QBP^Q23 消息中， 病人标识使用者提供病人在本应用中的病人标识，及其想 得到病人标识的应用名， 如果应用名为空，则是需要应答中返回所有应用的病人 标识。 ⑥ 更新通知事务（PIX Update Notification） PIX 管理者提供更改通知，通知病人标识使用者病人的标识信息和其变更。 图 4-5 为 HL7 消息更改病人标识的交互图。PIX 用户PIX 管理器ADT^A31ACK^A31图 4-5 HL7 消息更改病人标识的交互图角色： a）PIX 用户（PIX Consumer） b）PIX 管理器（PIX Manager） HL7 消息： a）ADT^A31 b）ACK^A31 ADT^A31 消息允许修改病人信息，与 ADT^A08 类似，但是 ADT^A08 是修改 当前的病人信息，而 ADT^A31 是修改病人以前的历史信息。 图 4-6 展示了 PIX 在应用域中的事务处理流程。 病人在不同的应用域 （子域） 中分别产生了病人标识（内部标识符），各子域通过病人标识信息输入事务将内 部标识符向 PIX 管理器发送，PIX 管理器通过病人 ID 交叉索引使各子域得到彼 此的信息[46]。23硕士学位论文第四章 个人身份识别方法和标识技术病人 ID 域 A病人标识 信息输入 与病人 ID 索引病人 ID 交叉索引域PIX 管理器病人标识 信息输入病人 ID 交叉索引病人标识 信息输入病人 ID 交叉索引病人标识信息源域内事务其它 IHE 角色病人标识信息源 PIX 用户 病人 ID 域 B域内事务其它 IHE 角色PIX 用户 病人 ID 域 C图 4-6 PIX 处理流程示意图图中包含两种 ID 域，一种是病人 ID 域，另一种是病人 ID 交叉索引域。 病人 ID 域的定义是： 这是一个独立的系统或者一组内部互联的系统。它们使 用同样的标识规划（指 ID 值以及分配 ID 值的流程）和同样的 ID 授权方式。一 个病人 ID 域有以下特征： ? ? ? ? 关于如何定义和管理 ID 的政策，是由本域内的特定需求决定的。 管理权限的授予，是受本域内的相关政策控制的。 作为病人 ID 来源的一个单独的系统，为每个病人相关的实体分配一个唯 一的 ID，同时记录此实体的特性。 理想情况下， 在一个病人 ID 域中， 一个病人应该仅有一个独一无二的 ID。 但在现实世界中， 一个病人标识信息源很可能为同一个病人分配多个 ID， 并把多个 ID 都发送给 PIX 管理器。 ? ? 在一个病人 ID 交叉索引域中， 每一个 ID 域都有自己唯一的标识符 （被称 为分配权限） 。 同一个病人 ID 域中，其它的系统都对本域中的病人标识信息源系统有依 赖关系。 一个病人交叉索引域中包含着多个病人 ID 域，这些病人 ID 域都是被 PIX 管理器角色所认识和管理的。PIX 管理器的职责是生成、维护和提供同一个病人 的在多个病人 ID 域中的 ID 清单。 图中 Domain A、B、C 都向 PIX 管理器注册病人标识，然后通过 PIX 管理器 查询病人标识交叉索引。 图 4-7 展示了一个 PIX 应用实例，子域 A、B、C 分别有多个内部 ID，这些 ID 都被发送到 PIX 管理器，PIX 管理器将指向同一人的 ID 进行匹配，这样当 C24硕士学位论文第四章 个人身份识别方法和标识技术域的用户请求查询 B 域中 ID 为 X456 的病人在 C 域中的 ID 时，PIX 管理器立刻 响应，在管理器内查询到匹配结果 B：X456=C：2RT，并返回需要的病人标识符 2RT 给 C 域发出请求的用户[46]。图 4-7 PIX 应用实例4.2.4 分析与比较 （1）UID 方案 UID 方案主要有两种实现方式， 一种是使用已有的序列号， 如加拿大采用 社会保险号（SIN）作为病人 UID，美国拟采用社会安全码（SSN）作为病人 UID，香港和欧洲采用身份证作为病人 UID；另一种是建立新的序列号，如 UHID 方式、和 CHID 方式，下面详细讨论各方案的优缺点。 加拿大实行全国唯一的个人标识符，具体做法是采用公民的社会保险号 （SIN）作为接受医疗服务时的个人唯一标识符。但这种做法存在问题：SIN 是 9 位数字，号码有限；SIN 不是一出生就有的；不是每个接受医疗服务的 人都有 SIN；在社会保险以外的其它服务中使用 SIN 存在法律问题；有些人 可能有多个 SIN，而由于某些原因，一个 SIN 也有可能分配给多个人，即存 在一人多号，多人一号的问题 [48] ；并且 SIN 号由于牵涉到个人信用历史，盗 用信用卡申请等一系列问题，有些国家立法是不给用的。 美国曾经考虑使用社会安全码（SSN）作为个人身份的唯一标识符，社 会安全法案和各种修改法案对其使用进行了非常严格的限制。 这种方案的 优点：公民可获得性；实施成本低；SSN 是当前已存在的个人身份识别符； 无需新建系统或机制，因此政府能够承担起实施成本。缺点：SSN 没有检验 数字；并非每个人都有资格获得 SSN，存在一人多号，多人一号的问题；对25硕士学位论文第四章 个人身份识别方法和标识技术于非美国公民，没有严格的法律来约束其 SSN 的信用，不能限制其使用； 需要建立一种身份证实机制；SSN 很容易伪造。在 1996 年 7 月出版的《健 康保险流通和责任法案》 HIPAA）中，曾将个人身份识别部分写进法律， （ 后因公众反对准确的个人身份识别，于是国会迅速撤销了该法案的这一部 分内容 [49]。 新西兰有全国统一的唯一标识符 NHI（National Health Index） ，已经 用了近 20 年，所有与病人有关的软件和程序都用它。NHI 为每个接受医疗 服务的人提供了一个唯一的序列号。 还有一些地区和国家使用身份证作为病人的 UID，如香港、欧洲等。但 这些都是较小的地区或国家，人口比较少，并且也存在一人多号、多人一 号的问题。 UHID 方案的优点：作为一种全新的 ID 分配方式，它没有前面各方案的 缺点和使用局限；6 位检验数字确保了 UHID 高度的准确性；加密机制可以 产生多个 EUHID，从而保护了病人隐私；可以遇见 UHID 有足够的能力解决 整个国家所有人的个人标识问题。缺点：UHID 总共由 28 个数字和一个分隔 符组成，其长度使得录入和转抄过程中极易发生错误；尚无一个详细具体 的规划方案和构建框架；成本特别高；最重要的是 UHID 方案需要设立一个 专门的政府机构来管理和处理 UHID 应用，因此，其能否成功施行关键就在 于能否成立这样一个专门的政府管理机构[50]。CHID 方案的优点：不需要改变已有的 SSN 号；每个 SSN 号经过转换算 法计算出的号码只有特定的、唯一的一个；相比建立一种全新 的标识符的 方案（如 CHID 方案） ，其施行成本大大降低；由于不直接使用 SSN 号，且 有一位检验数字，因此个人隐私得到极大保护。缺点：SSN 号存在的一些问 题，如一人多号、多人一号的问题，CHID 也存在；虽然能制定法律保护加 密算法、但由于加密算法将大范围的广泛的应用，使得加密算法很可能为 公众所知；该方案需要医疗服务机构修改其信息系统，施行成本高 。 在我国，公民没有社会安全码，也不是每个公民都有社会保险号，唯一使用 最广的用于证明身份的就是身份证， 因此有人提出用身份证号作为病人的唯一标 识，即 UID。这看似一个不错的选择，但实际应用中会存在很多问题：身份证不 是每个人出门都记得带的，也不是每个人都记着自己的身份证号；外籍人士、军 人、儿童没有身份证，而儿童的就诊率还很高；虽然法律明确规定每个人终身只 有一个身份证号，而且是全国唯一的，但事实上，由于人为因素，存在少量重复 的可能，据报道，国内有些地区的身份证号码重复率高达 20%以上[16]；可操作性 不强；由于诚信制度不健全，办假证和盗用身份证现象较多，而医疗机构没有能26硕士学位论文第四章 个人身份识别方法和标识技术力鉴别身份证真假的手段和能力， 医疗机构的应用系统只能根据身份证号的编码 规则对其进行简单审核，除非与公安系统联网，否则，无法真正保证持证人就是 身份证上标明的那个人； 另外还需考虑一个问题，那就是病人是否有匿名就医的 权利，这是个伦理学的问题，尤其对对某些敏感的病人，比如 AIDS，有些国家 保护隐私权，就立法不能实名制。 因此，在我国身份证号码无法作为病人的 UID，同样的，类似美国基于 SSN 号的 CHID 方案，在我国基于身份证号的转换方案也无法实施。若硬要为每个人 建立一个全国唯一的标识符 UID，唯一可以考虑的就是 UHID 方案，但中国有十 几亿人口，每人一个 ID 号，这个号码肯定短不了，会给实际应用带来很多 不便，因此，UHID 方案存在的问题，比起美国来，我国只会更多而不会减 少。 （2）生物特征识别 生物特征识别的优点：因为生物学特征每个人都有，且每个人都不一样，故 具有唯一性， 可以准确无误地进行身份识别，不存在前面各方案的缺点以及身份 识别错误的问题；不存在标识转换和交叉索引问题；已被法庭调查、情报部门、 政府部门、军队、国土安全部门、金融机构等广泛采纳，有成熟的识别方案和识 别工具。缺点：需要专门的仪器来阅读和扫描个人的生物学属性；身份识别时要 求本人到识别现场，然而，据统计实际上 80%的医疗服务（如医疗机构间传输个 人健康信息）是不需要本人到现场的；实时性弱；生物学属性信息需要转换成字 符串进行数字化存储；成本高；个人的生物学特征可能由于年龄的增长、身体损 伤和疾病等而改变。 （3）ID 匹配和合并 ID 匹配和合并，在实际上操作上，不论采取何种实施方法，基本上都是基 于 MPI 技术。 单纯 MPI 方案是早些年比较通用的方案， 即有一个中心服务器负责多个系统 的病人数据，主 ID 生成，并将此主 ID 与不同系统的 ID 建立映射关系。后来由 于 MPI 方案存在系统可扩展性差等缺点，无法满足越来越多的健康信息共享需 求，于是在此基础上又提出了 EMPI 方案，通过 EMPI 可以实现病人 ID 的跨医疗 机构应用与维护，但是 EMPI 机制不能判断信息内容的正确性，因此部分工作还 需要人工核对才能完成。 HL7 MPI Mediation 是另一种基于 MPI 技术的方案。该方案的优点：利用 病人的人口学属性和现有的标识符来查询和匹配病人，无需采用 UID；免除了建 立新标识符的精力、时间和费用开销。缺点：没有病人唯一标识符；不能完全满 足病人唯一性标识的功能需要； 其查询能力仅限于加入到该软件应用域的医疗机27硕士学位论文第四章 个人身份识别方法和标识技术构； 要求事先知道记录的位置和提供充分的身份识别信息、强大的安全机制和可 靠适用的查询和匹配算法； 仅靠软件无法确保匹配结果完全正确， 需要人工干预； 目前，该方案还在初步阶段，其未来发展取决于大型规划和执行计划情况[51]。 PIX 方案是 IHE 在其 IT 基础技术框架中提出的病人标识交叉索引集成规 范，通过应用病人标识交叉索引机制，可以保留各医疗机构系统中病人原有 的各个标识符， 通过运算法则可以实现病人标识的跨域匹配，可以低成本实现不 同应用系统之间病人标识的同步，不需要对各应用系统进行改变，与其它方案不 同的是 IHE 已经有相应的消息和事务机制支持 PIX， 这也是 PIX 方案优于其他 ID 匹配和和合并方案的地方。 综上，ID 匹配和合并方案的优点：不需要全国统一的、唯一标识符 UID；现 有系统的 ID 号可继续使用，降低了转换到统一的 UID 标识符的成本，免除了建 立新标识符的精力、时间和费用开销；缺点：能否在全国施行取决于具体方案的 查询、匹配和链接能力；取决于参与机构对标识信息的更新、匹配和链接能力； 取决于能否准确判断链接的健康信息是否属于同一人； 在某些情况下需要人工干 预以确保匹配正确。 4.2.5 建议 医疗领域的问题本就十分复杂， 我国尤其复杂： 标准不统一， HIT 产品众多， 各医疗机构各行其是等。可以预见，在相当长的一段时期内，病人就诊过程中产 生多个标识符（ID）的情况是无法避免的。因此，个人身份识别的重点是如何建 立一种机制能够在区域乃至全国范围内对病人进行统一识别，以及建立 ID 号码 合并等问题的合理工作流程。 在选择和确定具体的个人标识方案时，需要考虑以下三个原则[48]： 实用性： 选定的个人标识机制必须适用于任何一种医疗服务环境，并且易于 实施。 成本效益： 实施选定方案的成本必须在一个可接受范围内，在评估成本是否 可接受时，所有医疗机构的实施成本都必须考虑到。 隐私保护：选定方案必须有隐私保护机制，防止病人身份资料的泄露。这需 要立法、技术控制和管理等多种措施的结合。 关键就是要找到一种能够在实用性、 成本效益和隐私保护三者之间取得平衡 的个人标识方案。 基于上一章节各方案的比较分析结果，考虑三原则的平衡，以及我国当前各 医疗机构基本都有自己独立的 MPI 病人主索引系统的医疗现状，本文建议采用 ID 匹配和合并方案。而 ID 匹配和合并方案中又以 PIX 病人标识交叉索引技术为 最优， 因此本文进一步建议采用 PIX 病人标识交叉索引技术，下面详细阐述推荐28硕士学位论文第四章 个人身份识别方法和标识技术依据。 由于 HL7 MPI Mediation 方案在国外还处于初步阶段，在我国也无相关 应用和研究，因此排除该方案。下面重点讨论 MPI(EMPI)和 PIX 两种方案。 MPI（EMPI）系统可被视为 PIX 集成规范实施过程中的一个特例。MPI 是一 个十分宽泛的概念，但它通常是和病人主 ID 域的建立联系在一起的。这个主 ID 域相对其它的 ID 域，通常可以在更大的范围内适用，是一个“机构级别”的 ID 域。将多个病人 ID 域分级包含入一个“病人主 ID 域”中的方法，可以被看着是 交叉索引的一个特殊用法， 其中的多个 ID 域中的 ID 都和主 ID 域中的 ID 建立交 叉索引关系。图 4-8 描述了两种可能采用的配置方式。图 4-8 PIX 集成规范与 EMPI 的关系如图 4-8 所示，一个典型的 MPI 方式中的病人主 ID 域（域 A） ，可以被认为 是 PIX 方式中的一个普通的病人 ID 域。是否将一个覆盖全机构范围的系统作为 “主 ID 域”仅仅是一种配置选择。另外，有时候这种配置假设，域 C 中的系统 不仅要管理域 C 中的 ID，还需要知道域 A 中的 ID。在 PIX 集成规范中，某个系 统被设计部署为跨多个 ID 域进行工作，这是另外一种配置选择。以这种角度看， 被称作“MPI”的实体（图中用椭圆圈起）实际上是病人标识信息源角色和 PIX 管理器角色的结合体。 PIX 集成规范可以和一个已经部署了 MPI 的环境共存，还可以进一步为此环 境提供更大的扩展性。PIX 规范还支持很多其它配置方式，尤其是一个覆盖其它 ID 域的主 ID 域并不是必需的情况下。因此，当前相对最佳的方案是在各医疗机 构已有的 MPI 或各医疗集团各区域已有的 EMPI 基础上采用 PIX 集成规范。基于 此，本文提出了基于 IHE PIX 的跨域 MPI 协同模式，该协同模式可以很好地解决 病人身份的唯一标识问题。29硕士学位论文第四章 个人身份识别方法和标识技术4.3 基于 IHE PIX 的跨域 MPI 协同模式前文将 PID 的应用域划分为纵向和横向两个层次，由此，MPI 也分成了 两个层次：域内 MPI 以及跨域 MPI。在个人健康信息共享建设中，仅仅通过在 各医疗机构独立的域内保持病人标识的唯一性已经不能满足共享的需求， 因此，跨域 MPI 协同成为必然。即 MPI 的应用域由域内扩展到横向、纵向 多个域的跨域协同，并保持病人标识（全局 ID）在该域所涉范围内的唯一性。 目前已知的跨域 MPI 协同的工作模式主要有两类，一类为下发模式， 一种为注册模式。下发模式是将 MPI Service 产生的病人唯一标识下发给 各个子域，并被子域进行应用，比如国外很多厂商提供 EMPI 产品一般都 是按照此类模式处理。注册模式为各个子域在内部通过自己的 MPI 维护在 子域范围内的病人唯一标识。由于下发模式的 EMPI 协同方式越来受到扩展 性方面的局限性，使得注册模式的 MPI 协同方式逐渐被大家所熟悉，较之 下发式的跨域 MPI 协同模式具有更佳的可扩展性。因此，本文采用注册式 的跨域 MPI 协同模式。 注册式跨域 MPI 协同模式在 IHE PIX 集成规范中有两个经典案例，对 同一医院中不同的应用系统之间的病人标识和不同医院之间的病人标识采 取了不同的处理方法 [24] 。这两种处理方法分别描述了两个处于不同层次应 用域进行跨域 MPI 协同的两个实例，进行跨域 MPI 协同的模型相同。分为 四种情景： （1）各域 MPI 的识别，包括子域和上级域； （2）各域 MPI 的创建、跨域 MPI 注册，包括子域与顶级域的 MPI 创建 以及子域 MPI 向上级域的注册； （3）跨域查询协同； （4）各域完成 MPI 的合并。 下面几幅图依次为跨域 MPI 协同模式中新病人注册、跨域病人 MPI 的 创建、跨域病人信息查询、以及病人合并的交互图。30硕士学位论文第四章 个人身份识别方法和标识技术病人子域A子域B子域CPIX 管理器1：新病人 2：检查病人是否已注册 3：主域内MPI检查 4：确认是新病人 5：创建子域A中的病人MPI 6：进行新病人子域A的PID的主域MPI注册 7：生成新病人子域A的PID的主域MPI 8：完成新病人子域A的PID的主域MPI注册图 4-9 新病人注册病人子域A子域B子域CPIX 管理器1：该病人请求子域B的服务，并提供其子域A的MPI 2：主域MPI查询请求 3：查询该病人在主域的MPI及其在子域B的MPI 4：返回查询结果 5：创建此病人在子域B中的MPI6：进行该病人子域B的PID的主域MPI注册8：完成新病人子域B的PID的主域MPI注册图 4-10 跨域病人 MPI 的创建31硕士学位论文第四章 个人身份识别方法和标识技术病人子域A子域B子域CPIX 管理器1：跨域查询请求 2：向主域发送查询请求 3：定位查询请求所在域 4：返回需要查询的子域MPI注册信息5：向子域B发送查询请求6：返回查询结果图 4-11 跨域病人信息查询病人子域A子域B子域CPIX 管理器1：病人在子域C中接受服务 2：发现病人信息重复，进行子域C中该病人MPI的合并3：通知主域进行病人MPI的合并5：通知子域B进行病人子域MPI的更新4：完成主域MPI的合并6：通知子域A进行病人子域MPI的更新图 4-12 病人合并MPI 是相对于域存在的，在纵向的域之间，MPI 是相对的。从纵向域来 看，每两个纵向相邻域之间的跨域 MPI 协同模式是符合递归原则的，横向 域之间的 MPI 是相互独立的。而各个域中 MPI 的属性会根据不同域之间的 相互作用，域内的特定需求而有所不同。实现跨域 MPI 协同功能时，需要 满足在子域内部已经满足 MPI 的基本功能实现，并且包含实现跨域 MPI 协 同所必需的功能：能够为该域的各个挂接子域进行业务唯一性验证服务；32硕士学位论文第四章 个人身份识别方法和标识技术尽可能确保一个可识别唯一性的人员信息不被错误挂接或重复创建；能够 完成该域的 MPI 向上级域进行注册的功能； 能够向上下两级相邻域进行 MPI 变更通知服务；为跨域进行查询与消息反馈服务。 在跨域 MPI 协同模式中，PIX 服务主要包括两个方面：索引注册和索引 查询。索引注册是指将病人信息在 PIX 管理器登记，PIX 管理器在索引库中 查找匹配的病人索引，如果找到则将该病人信息加入原有索引，如果不能 找到匹配的索引，则作为新的索引增加到索引库。索引查询是指应用系统 在需要查询指定病人在其它系统的索引时， 把本系统该病人的信息发给 PIX 管理器，PIX 管理器在索引库中查找匹配的索引，如果找到则将交叉索引信 息返回给请求方。PIX 通过比较两个病人的基本信息来确定是否为同一人， 这个过程也称为索引匹配，即病人身份匹配。33硕士学位论文第五章 异构系统间的临床文档共享模式第五章异构系统间的临床文档共享模式5.1 临床文档共享需求当前， 各个医院间对病人的临床信息共享都有迫切要求。病人在某个医院就 诊时，如果能方便的看到他在其他医院就诊的资料，对加快医生诊断，提高诊断 的正确性，无疑是非常有利的。 个人健康信息中，无论是电子病历还是个人健康档案， 在各信息系统 中通常都是以文档的形式进行存储的，并且临床文档是不同信息系统数据 交换的基本单元，其电子形式可以是各种标准格式， 因此个人健康信息共 享服务系统的核心就是临床文档共享。这个核心问题解决了， 个人健康信 息共享服务系统的其他各项服务便迎刃而解。5.2 临床文档共享模式对比研究5.2.1 RID 模式 IHE 定义 RID 为一种使用 Web 服务描述语言（Web Service Description Language,WSDL）绑定 HTTP Get 操作的 Web 服务。RID 模式中定义了两个角色： 信息源（Information Source） ）和显示者（Display）[52]。图 5-1 RID 模式定义的角色和事务处理信息源存储了临床文档和病人的关键信息，比如过敏史，当前使用的药物， 以及报告摘要等。 它只负责将这些医疗相关语义信息转换成为 IHE 集成模式所称 的“展现” (Presentation）格式，提供给显示者。 显示者是信息源的访问者， 它负责把从信息源获取的 “展现” 数据进行处理， 并根据通用的医疗相关语义知识显示。由于信息源提供数据的局限性，或者显示 软件的限制（比如采用通用的 HL7 CDA Level one 样式） ，显示者系统对所获取 的同一份数据会有不同数据格式的显示。该共享模式关注的是虚拟展示，而不是 对结构化的数据进行完全的集成。文档的交换形式可以是 HL7 CDA Level one， PDF 或者是 JPEG。其中 HL7 CDA Level One 可以提供结构化的数据，这些数据可34硕士学位论文第五章 异构系统间的临床文档共享模式以很方便地通过 XSLT 样式转换成 XHTML 页面。 在信息源和显示者之间有两种事务处理： 获取特定信息 （Retrieve Specific Info for Display)和获取文档（Retrieve Document for Display)。这两种事 务的主要区别在于： 获取文档事务应用于取得唯一可识别的持久化对象场合。比 如在不同时间点上提取同一份文档，都将得到内容一致的数据以供显示。而获取 特定信息事务虽然都是查询某个病人的信息， 但是其内容随医疗过程是动态变化 的。 比如在不同时间点上查询病人的过敏史，可能会因为信息源系统的相关更新 而得到不同的内容。 在获取特定信息事务中， 存在获取报告摘要和获取列表两种事件触发。当要 获取报告摘要时，RID 要求显示者必须提供请求的摘要类型（requestType） ，病 人的标识号（PID）和需要返回的最近报告的数量（mostRecentResults ） 。显示 者也可以通过 lowerDateTime 和 upperDateTime 来指定所请求的摘要的起止时 间。对于病人临床记录中的详细信息，RID 规范了获取列表信息事件。进行获取 报告列表操作时，RID 要求显示者必须提供请求的摘要类型（requestTyPe）和 病人的标识号（PID） 。 与获取特定信息事务类似， 在获取文档事务中， 显示者也需要提供摘要类型， 不过此时它的值必须为“DOCUMENT ” 。同时，它还必须提供文档唯一标示号 （documentUID）和首选的文档类型(preferredContentType） 。documentUID 在 IT 技术框架文档中有规定，而 PreferredContentType 只能是以下三项值中的一 种： image/jpeg, application/x- hl7-cda-level-one+xml 或 application/pdf。 在真实的医疗环境中，RID 共享模式应用往往与其他的 IHE IT 基础领域集 成规范配合使用，比如借助 EUA 集成规范（医疗机构用户验证集成规范）来规范 访问控制；使用 ATNA 集成规范来确保信息传输安全，采用 PIX 集成规范来定位 病人标识信息。PIX 集成规范的引人使得信息源扩展成为“PIX 用户”角色，根 据交互索引信息从 PIX 管理者获得病人在不同域的标识号， 从而建立起显示者递 交的识别号与信息源系统识别号之间的映射关系。 为了保证只有经过认证的显示 者才能获取相应的信息源信息，RID 需要 EUA 集成规范配合。此时的信息源将承 担 Kerberos 服务器的角色，来验证 HTTP 请求中的 Kerberos 凭证（ticket） 。 而显示者会与一个“客户端认证代理” ( Client Authentication Agent）绑定， 一起提交它们的 Kerberos 凭证。如果希望在信息的传输过程上是安全可靠的， RID 还需要 ATNA 集成规范的配合，在显示者和信息源之间采用传输层安全 （Transport Layer Security）协议来封装 HTTP 数据流[53]。RID、EUA、ATNA 和 PIX 这四个集成规范的配合使用示意图如图 5-2。35硕士学位论文第五章 异构系统间的临床文档共享模式图 5-2 RID、EUA、ATNA 和 PIX 配合示意图5.2.2 XDS 共享模式 IHE XDS 集成框架的基本理念是采用 ebXML 注册／仓库机制来存储和分享医 疗文档。在该集成框架中，定义了一个叫临床相关域的概念[54]，在每个临床相关 域中的所有医疗卫生企业都使用一套相同的策略，并且共享一个通用的基础架 构。 在跨机构文档共享中， 文档的概念并不限于文本信息。由于跨机构文档共享 是与文档内容无关的， 所以它可以支持任何类型的临床信息，不论它的内容是什 么以及如何表示。这使得 XDS 能够平等地处理包含简单文本、格式化文本（例如 HL7 的临床文档架构版本 1） 、图像（例如 DICOM）或结构化的和词汇编码性的临 床信息（例如：CDA、CCR）的文档。为了确保在文档源和文档用户之间所必需的 协同工作能力，在一个临床相关域内，包括如何标识一个病人，如何获得访问某 文档的许可，如何控制对某文档的访问，还有临床信息的格式，内容，结构，组 织形式和表现形式都必须有一个确切的定义，而在这个集成框架文件内，并不对 这些定义有特殊的限制[55]。 在一个给定的应用区域内，一个病人的相关文档信息 有多个联合的文档储存库和一个单一的文档注册库共同维持，见图 5-3。36硕士学位论文第五章 异构系统间的临床文档共享模式图 5-3 XDS 临床相关域示意图文档储存库负责以透明，安全，可靠和持久的方式存储文档，并负责响应文 档提取请求。 文档注册库负责存储文档的相关信息，在查找病人文档时可以轻松 通过这些信息从文档储存库中将相应文档提取出来。 这里文档的概念并不局限于 文本信息，相反，由于 XDS 的文档内容无关性，它支持任何形式的临床信息存储[56]。XDS 定义的角色和事务处理如图 5-4 所示：图 5-4 XDS 集成框架的角色和事务处理文档源（Document Source)是文档的生成者和发布者，负责将文档发送到文 档存储库， 同时负责提供在文档储存库向文档注册库提交文档注册信息时所需要 的元数据。 文档用户（Document Consumer )是请求获得文档的角色，负责向文档注册 库发送文档访问请求，并从一个或多个文档存储库中获得所需要的文档。37硕士学位论文第五章 异构系统间的临床文档共享模式文档注册库（Document Registry ) 是存储并维护每个已注册文档的文档条 目相关的元数据的地方， 负责提供到文档存储所在地的连接，对文档用户发出的 文档提取请求进行响应， 在文档提交注册期间根据该临床相关域的一些具体策略 执行的一些必要验证。 文档存储库（Document Repository )是文档实际的存放地点。负责为文档 提供永久存储， 并负责为每次提交的文档到文档注册库进行注册，每个存储文档 提供一个统一资源标识符 URI（Uniform Resource Identifier） ，以方便日后的 提取。 病人标识信息源（Patient Identify Source )是提供病人身份标识的角色。 负责为每个病人提供一个唯一的身份标识， 并维护病人在不同地点不同时期所有 的标识号之间的联系。 提交与注册文档集（Provide and Register Document Set)：该事务由文档 源发起， 对于提交集合中的每一份文档，文档源都负责将文档本身以一种非透明 的字节流形式提交， 并将对应的元数据一并提交给文档存储库。文档存储库保存 好提交的文档， 并在注册文档务中将文档提交到文档注册库中注册，同时将前面 接收到的元数据也一并提交上去。 注册文档集（Register Document Set) ：该事务由文档存储库发起。在事 务处理过程中， 文档存储库可以通过向文档注册库提供相关文档注册所需要的元 数据来提交一份或者多份文档。 这些元数据将被用来作为注册库中 XDS 文档的入 口。 注册库本身负责验证这些元数据的合法性。如果在一次事务中有一个或者多 个文档无法通过元数据验证，那么本次事务提交的所有文档都将无}