■ 錢崇強 解春生

目前，醫(yī)院信息系統(tǒng)還是在20世紀90年代引進開發(fā)的，經(jīng)過十多年的磨合，發(fā)現(xiàn)子系統(tǒng)之間集成整合、信息互通共享等問題難于解決，數(shù)據(jù)集與有關(guān)的標準符合程度較低，應(yīng)用軟件的適用性、系統(tǒng)整體性能以及安全可靠性亟待提高，升級換代已勢在必行。

醫(yī)院信息系統(tǒng)升級變更過程中，方案的確立、集成商的選擇、實施過程中需求的變更不可避免，如果不能對需求變更進行及時有效地控制管理，很可能給系統(tǒng)升級帶來許多不確定因素，進而影響項目實施的工作量、工期及質(zhì)量［1］。如何界定升級變更的風險因素，采取必要的、有針對性的風險管理與控制，是順利完成系統(tǒng)升級工作的關(guān)鍵。

1 醫(yī)院信息系統(tǒng)升級風險識別

醫(yī)院信息系統(tǒng)結(jié)構(gòu)復(fù)雜，升級變更工作的環(huán)節(jié)眾多，要清醒的認識到哪些操作可能對系統(tǒng)帶來嚴重的影響，這就是控制系統(tǒng)風險評估。只有對風險充分認識并制定相應(yīng)對策，才能避免故障擴大化，實現(xiàn)系統(tǒng)穩(wěn)定升級。

1.1 信息系統(tǒng)升級風險的分解

信息系統(tǒng)升級風險的分解可以根據(jù)項目風險的相互關(guān)系將其分解為若干個子系統(tǒng)，其分解的程度要能夠使項目管理人員較容易的識別出系統(tǒng)變更過程中存在的風險，使風險識別具有針對性、準確性、完整性和系統(tǒng)型。

根據(jù)醫(yī)院信息系統(tǒng)的特點，系統(tǒng)升級風險的分解可以按以下途徑進行：

1.1.1 目標維。即按信息系統(tǒng)升級目標進行分解，也就是考慮影響系統(tǒng)升級的投資、進度、軟件的適用性（質(zhì)量）和信息數(shù)據(jù)安全目標實現(xiàn)的各種風險。

1.1.2 時間維。即按信息系統(tǒng)升級變更項目實施的各個階段進行分解，也就是考慮項目實施不同階段的不同風險。

1.1.3 結(jié)構(gòu)維。即按信息系統(tǒng)升級變更項目組成內(nèi)容分解，也就是考慮醫(yī)院信息系統(tǒng)的業(yè)務(wù)特點分步驟、分系統(tǒng)實施，分析臨床信息系統(tǒng)、管理信息系統(tǒng)以及醫(yī)院行政主管部門推行的其他軟件之間的接口與集成等方面的風險。

1.1.4 因素維。即按信息系統(tǒng)升級變更項目風險因素的分類分解，政治、社會、經(jīng)濟、自然、技術(shù)等方面的風險。醫(yī)院信息系統(tǒng)升級變更的風險分析過程，按時間維、目標維和因素維三個方面分解，見圖1。

1.2 信息系統(tǒng)升級風險的識別信息系統(tǒng)升級變更風險的識別，就是分析變更過程中每個環(huán)節(jié)存在的風險，是一項極具挑戰(zhàn)性的工作，要靠醫(yī)院和HIS承包商雙方眾多的項目人員的不斷實踐、探索與總結(jié)。在系統(tǒng)升級變更過程中需要識別的風險主要集中在人員、資金、需求、設(shè)備、技術(shù)等方面。

1.2.1 人員。信息系統(tǒng)變更項目需要醫(yī)院和HIS承包商雙方的人員必須熟悉醫(yī)院信息系統(tǒng)的現(xiàn)狀、了解用戶的需求，通過努力工作，相互協(xié)作，才能有利于項目的實施，達到預(yù)期的目標。對于醫(yī)院來講，不同專業(yè)背景的高級用戶的培訓至關(guān)重要。對于承包商來講，現(xiàn)場項目經(jīng)理的組織協(xié)調(diào)能力、危機處置能力、新舊系統(tǒng)的認知程度等都是系統(tǒng)變更是否順利的重要風險因素。

1.2.2 投資。資金問題不是醫(yī)院和HIS承包商雙方項目經(jīng)理可以解決的問題，但是也應(yīng)該作為重要的風險因素認真分析。對于新系統(tǒng)的投資比較好掌握，還可以將風險通過招標轉(zhuǎn)嫁給集成商，系統(tǒng)升級變更則難于準確估算投資，因為舊系統(tǒng)的運行需要維持，新系統(tǒng)的需求不十分明確，項目周期的拖延，都是需要增加投資的風險因素。

1.2.3 需求。用戶需求的變更是信息系統(tǒng)發(fā)生變化的主要因素，要求集成商入場后應(yīng)該認真仔細的分析醫(yī)院的具體需求，尤其是用戶對舊系統(tǒng)已經(jīng)接受的情況下，這對預(yù)測需求風險具有重要意義。通過對用戶明示的、潛在的需求進行分析、評估，可以有效地保證用戶的需求變更時，不會超出已經(jīng)討論的范圍，至少可以很容易的歸入相應(yīng)的難度等級，依據(jù)預(yù)先制定的變更策略進行處理，并及時反饋給

用戶可靠的信息，保證項目工期。

1.2.4 設(shè)備。信息系統(tǒng)升級需要配置更多的設(shè)備，這些設(shè)備一方面為新系統(tǒng)的開發(fā)、測試、培訓以及試運行提供足夠的支持，另一方面還要確保舊系統(tǒng)的穩(wěn)定可靠運行，這些都涉及到網(wǎng)絡(luò)資源配置、設(shè)備布局、供電負荷限制等風險因素。出現(xiàn)新的需求，還需要考慮新的風險因素，及時做出風險評估和對策。

1.2.5 技術(shù)。技術(shù)風險是信息系統(tǒng)升級變更最主要的風險因素之一，新系統(tǒng)采用的技術(shù)首先就是最大風險，能否達到《衛(wèi)生部醫(yī)院管理信息系統(tǒng)規(guī)范》的要求，滿足醫(yī)院五年之內(nèi)的發(fā)展要求。舊系統(tǒng)的數(shù)據(jù)能不能完整的嵌入新系統(tǒng)，新舊系統(tǒng)的數(shù)據(jù)轉(zhuǎn)換、切換過程的風險評估等都是需要解決的問題。在HIS設(shè)計中要特別重視醫(yī)院需求和工作流程的分析與再造風險，恰當采用成熟而先進的技術(shù)，如Web服務(wù)、XML、IHE、RFID、WLAN等，對提高系統(tǒng)維護的安全性意義重大。

2 醫(yī)院信息系統(tǒng)升級故障案例

案例一：2010年5月8日，數(shù)據(jù)庫版本從Caché 5.0.8升級到Caché 5.2.4，客戶端訪問數(shù)據(jù)庫由文件服務(wù)器過渡到ECP構(gòu)架，升級后終端訪問速度極慢，LIS的結(jié)果不能上傳，收費、辦理住院窗口出現(xiàn)排隊現(xiàn)象。

根據(jù)故障現(xiàn)象初步分析為對此次升級變更的風險評估不足，原以為Caché 5.2.4版64位數(shù)據(jù)庫可以直接安裝在AIX 5.3.04系統(tǒng)上，實際需要升級到AIX 5.3.10，而且提前沒有在備機上試裝，只能安裝32位的數(shù)據(jù)庫，浪費了寶貴的時間，升級變更后硬件系統(tǒng)的資源沒有得到充分利用。舊系統(tǒng)是C/S結(jié)構(gòu)，啟用ECP后，需要將客戶端的配置文件逐一修改，由于是在星期六夜間升級，大量的儀器設(shè)備不工作，沒有經(jīng)過現(xiàn)場的充分測試，造成白天上班時實驗室的結(jié)果發(fā)不出去，直接影響到臨床的正常業(yè)務(wù)。

案例二：2010年5月13日，誤操作造成長期醫(yī)囑重復(fù)滾動，引起病區(qū)藥房兩個上午多發(fā)（錯發(fā)、不能正常發(fā)）藥、給患者多計費等故障現(xiàn)象，影響極壞。

經(jīng)檢查發(fā)現(xiàn)，由于工程師對新系統(tǒng)配置規(guī)則沒掌握，對舊系統(tǒng)及相關(guān)業(yè)務(wù)也不熟悉，面對舊系統(tǒng)移植到新平臺后出現(xiàn)的故障束手無策，對調(diào)整生產(chǎn)數(shù)據(jù)庫系統(tǒng)的風險估計不足，沒有應(yīng)急措施，沒有辦法在最短的時間恢復(fù)系統(tǒng)。

通過此次故障分析，決定加強對醫(yī)院和HIS承包商雙方人員的系統(tǒng)操作權(quán)限、賬號密碼等方面的管理工作，嚴格控制對正在運行的系統(tǒng)在線操作，減少不必要的冒險操作，以降低類似故障再次發(fā)生時對醫(yī)院正常業(yè)務(wù)的沖擊。

案例三：2010年5月16日，異地數(shù)據(jù)備份服務(wù)器開始沒有自動備份數(shù)據(jù)。

在排除服務(wù)器的備份程序沒有問題，磁盤空間滿足要求后，再查主庫的備份文件，發(fā)現(xiàn)故障是由于升級后備份文件名稱改變造成的。此故障排除比較容易，問題反映出醫(yī)院和HIS承包商雙方項目人員溝通不夠，預(yù)案制定有遺漏，升級變更后沒有移交文檔。

3 醫(yī)院信息系統(tǒng)升級風險管理

隨著醫(yī)院信息系統(tǒng)升級變更工作的持續(xù)進展，還會有一些問題逐步暴露出來，這就迫切要求盡快形成積極有效的風險管理機制，充分識別風險，努力降低風險，為系統(tǒng)升級變更的順利實施、穩(wěn)定運行保駕護航。

3.1 加強硬件系統(tǒng)建設(shè)與管理

醫(yī)院信息系統(tǒng)的硬件環(huán)境涉及到網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫服務(wù)器系統(tǒng)、不間斷電源系統(tǒng)與機房空調(diào)等系統(tǒng)，是制約醫(yī)院信息系統(tǒng)升級變更的首要風險因素。

將目前運行的系統(tǒng)推倒，重新引進一套來實現(xiàn)醫(yī)院信息系統(tǒng)升級變更是不現(xiàn)實的，這就要求認真分析上述風險因素對升級變更過程的影響程度，要解決網(wǎng)絡(luò)容量、數(shù)據(jù)庫服務(wù)器配置、電源的負荷以及對機房的環(huán)境的影響等，在硬件環(huán)境最小變更的前提下，保證新系統(tǒng)的開發(fā)、測試、正式運行。

3.2 相關(guān)標準、規(guī)范的強制執(zhí)行

以前的醫(yī)院信息系統(tǒng)存在可靠性、適應(yīng)性、靈活性和系統(tǒng)響應(yīng)性能差等風險因素，與相關(guān)標準、規(guī)范的符合程度較低有直接關(guān)系，新的系統(tǒng)在項目初期就應(yīng)重視和加強標準應(yīng)用的基礎(chǔ)性工作，從設(shè)計思想、信息模型、系統(tǒng)架構(gòu)、選用技術(shù)、開發(fā)方法、集成整合、信息安全等方面逐項落實。

涉及醫(yī)院信息系統(tǒng)選用的國際標準（如ICD10、DICOM 3、HL7）很多，依據(jù)《全國衛(wèi)生信息化發(fā)展規(guī)劃綱要》制定醫(yī)院的信息化建設(shè)規(guī)劃，合理采用適合我國國情的各種必要的醫(yī)療標準，有助于實現(xiàn)互操作性。規(guī)范的醫(yī)療術(shù)語、基本信息標準數(shù)據(jù)集以及電子病歷符合衛(wèi)生部《電子病歷基本構(gòu)架與數(shù)據(jù)標準》和《電子病歷基本規(guī)范（試行）》等相關(guān)要求，是信息系統(tǒng)符合衛(wèi)生部《醫(yī)院信息系統(tǒng)基本功能規(guī)范》，全面提升軟件質(zhì)量的基本要求，減少重復(fù)開發(fā)操作次數(shù)，避免不必要的風險。

3.3 加強技術(shù)培訓，完善技術(shù)交底，提高維護質(zhì)量

加強醫(yī)院信息系統(tǒng)知識培訓，明確醫(yī)院信息系統(tǒng)中存在的風險，做好危險因素的辨識工作。對軟、硬件系統(tǒng)故障進行認真剖析，總結(jié)經(jīng)驗，加強技術(shù)交流，尋求最佳解決方案。理論先于實踐，避免用事故換來教訓。

工程師必須明確的知道每一步操作的作用以及操作失誤將帶來的后果，并做好操作記錄，以便事后分析處理。制定醫(yī)院信息系統(tǒng)故障操作卡，詳細記錄工作全過程，包括安全措施執(zhí)行情況，網(wǎng)絡(luò)系統(tǒng)、服務(wù)器、數(shù)據(jù)庫運行狀況，操作時間及步驟，故障排除情況，明確主任工程師的責任。

對于臨床一線醫(yī)護人員，必須要按照標準作業(yè)程序（Standard Operation Procedure，SOP）的要求操作，避免因操作失誤引起不必要的麻煩，提高工作效率。

3.4 實施變革管理

由于醫(yī)院管理的需要提出信息系統(tǒng)的升級變更，管理者希望借助信息系統(tǒng)的升級變更來完成業(yè)務(wù)流程的變革，而信息系統(tǒng)的升級變更又會導致業(yè)務(wù)流程再造、人員技能變更等變革［2］。因此，需要采用妥善的措施來管理一切可能產(chǎn)生的變革，如門診實行“儲值就診卡”，需要收費、掛號窗口二合一，需要管理部門及時對人員、崗位進行調(diào)整。因此，信息系統(tǒng)升級、變更及實施，要有事先規(guī)劃并嚴格管理，從項目的策劃、論證、招投標、啟動、運行、驗收的每一個環(huán)節(jié)都要召集會議、明確任務(wù)和目標，采用循序漸進的方式進行變革。

3.5 加強溝通和交流

在信息系統(tǒng)升級的過程中，需要注意溝通與交流，溝通與交流是醫(yī)院信息系統(tǒng)升級不可忽視的因素。項目實施過程中相互理解、充分溝通，管理與控制不確定因素，確保工程質(zhì)量與工期［3］。

升級過程中涉及到醫(yī)院和HIS承包商雙方項目團隊之間、團隊內(nèi)部、新舊系統(tǒng)軟硬件供應(yīng)商、醫(yī)院管理層以及用戶的溝通與交流，適當控制超計劃的變更需求，確保系統(tǒng)升級的每一步、每個過程都要有人負責協(xié)調(diào)，認真測試、重視驗收，杜絕推諉扯皮。

隨著醫(yī)院信息技術(shù)（HIT）的發(fā)展和應(yīng)用，醫(yī)院管理的需要對信息系統(tǒng)開發(fā)、維護提出了更高的要求，HIS風險管理有助于系統(tǒng)的穩(wěn)定可靠運行、提高維護效率、避免故障擴大。在系統(tǒng)建設(shè)、維護過程中，只有明確風險的存在，了解風險帶來的影響，才能很好地、及時地排除故障，最大限度的降低故障帶來的負面影響。需要項目管理者不斷探索、不斷總結(jié)，逐步形成一套完整的、可操作的風險管理機制才能夠準確的評估風險，有效的抑制升級風險。

［1］王繼中.對我國醫(yī)院信息系統(tǒng)升級換代的期盼與建議［OL］.（2009-04-09）［2010-09-02］.http://www.ciotimes.com.

［2］覃正，郝曉玲，方一丹.IT操作風險管理理論與務(wù)實［M］.北京：清華大學出版社，2009.

［3］孫大峰，趙明元.醫(yī)院信息系統(tǒng)升級中的需求變更管理［J］.中華醫(yī)院管理雜志，2008，24（8）：564-565.

錢崇強：中國石油中心醫(yī)院信息中心主任，高級工程師。

E-mail：qiancq@263.net