楊莉，勞穎謙，歐霏霏，鐘薇，樊敬文

香港大學(xué)深圳醫(yī)院 a. 醫(yī)療物料采購(gòu)部；b. 財(cái)務(wù)部；c. 外科，廣東 深圳 518053

引言

植入物，也稱植入器械[1]，一般價(jià)格較為昂貴，因其會(huì)在患者體內(nèi)長(zhǎng)時(shí)間與機(jī)體組織相互作用，風(fēng)險(xiǎn)性和不良事件發(fā)生率較高，對(duì)其質(zhì)量安全的管理也成為醫(yī)療機(jī)構(gòu)和廣大患者重視的問題[2]。

植入物追溯是對(duì)植入物從生產(chǎn)、流通、使用整個(gè)生命周期的所有信息進(jìn)行跟蹤監(jiān)控[3]，實(shí)現(xiàn)來源可查、去向可追、責(zé)任可究[4]，可以有效地控制和解決植入物質(zhì)量安全問題。目前植入物追溯系統(tǒng)有幾點(diǎn)不足：① 存儲(chǔ)的數(shù)據(jù)信息不完整，患者無法得到植入物全面的生產(chǎn)流通信息及醫(yī)療使用信息[5]；② 各類數(shù)據(jù)信息難以共享互通，各機(jī)構(gòu)之間缺乏合理的互信機(jī)制和分享機(jī)制，容易形成“信息孤島”，一方面如果一旦發(fā)生植入物不良事件，大多數(shù)醫(yī)院難以第一時(shí)間追溯到該植入物的相關(guān)信息，由此帶來的管理和醫(yī)療安全問題日益嚴(yán)峻[6]，另一方面在異地就醫(yī)和醫(yī)保報(bào)銷時(shí)，絕大部分患者都難以隨身攜帶準(zhǔn)確全面的植入物材料信息和醫(yī)療信息，患者須通過兩地奔波、復(fù)雜繁復(fù)的醫(yī)療行政流程才能得到，影響患者的就醫(yī)體驗(yàn)感[7]；③ 數(shù)據(jù)信息的私密性無法保證，植入物供應(yīng)鏈相關(guān)參與者與患者查詢會(huì)得到相同的信息，容易造成個(gè)人信息泄露[8]。

區(qū)塊鏈技術(shù)的出現(xiàn)可以很好地解決目前植入物追溯系統(tǒng)存在的存儲(chǔ)信息不完整、共享共通以及信息私密性等問題。首先，區(qū)塊鏈技術(shù)的去中心化和分布式存儲(chǔ)特性可保證數(shù)據(jù)信息的公開透明性和數(shù)據(jù)流的完整可靠性[9]，提高患者對(duì)植入物的知情度，增加患者對(duì)醫(yī)療機(jī)構(gòu)和企業(yè)的信任度，促進(jìn)醫(yī)患和諧發(fā)展。其次，區(qū)塊鏈技術(shù)的分布式共享賬本可以實(shí)現(xiàn)數(shù)據(jù)在不同公司、醫(yī)療機(jī)構(gòu)和患者之間快速、高效、安全地進(jìn)行共享和流通，有效減少醫(yī)療數(shù)據(jù)調(diào)用流程中的人工處理環(huán)節(jié)[10]，讓數(shù)據(jù)多走路、患者少跑腿。區(qū)塊鏈還可以讓患者擁有個(gè)人信息的控制權(quán)，其他用戶需要通過患者授權(quán)才能讀取個(gè)人信息，有效保護(hù)患者隱私安全[11]。

1 基于區(qū)塊鏈的植入物追溯系統(tǒng)需求分析

圖1展示的是植入物追溯工作流程。植入物追溯工作的主要參與者（即系統(tǒng)使用者）有生產(chǎn)廠家、經(jīng)銷商、醫(yī)院及患者，各參與者功能需求如下。

圖1 植入物追溯工作流程圖

（1）生產(chǎn)廠家需求：首先要對(duì)生產(chǎn)所需的原材料信息進(jìn)行登記，當(dāng)植入物投入批量生產(chǎn)后，還需要詳細(xì)登記生產(chǎn)、加工、包裝、質(zhì)檢和倉(cāng)儲(chǔ)等過程信息。生產(chǎn)完成后的每個(gè)植入物都有自己的獨(dú)特身份，也就是唯一標(biāo)識(shí)[12]，生產(chǎn)廠家也要對(duì)唯一標(biāo)識(shí)進(jìn)行登記和綁定，最后植入物貼碼出廠。

（2）經(jīng)銷商需求：植入物出廠后進(jìn)入運(yùn)輸分銷階段，由各級(jí)經(jīng)銷商構(gòu)成的分銷網(wǎng)絡(luò)負(fù)責(zé)向醫(yī)院供應(yīng)植入物，經(jīng)銷商們需要把庫(kù)存信息和銷售信息錄入系統(tǒng)中。另外，在運(yùn)輸過程中還會(huì)產(chǎn)生物流信息，例如物流訂單信息、物流轉(zhuǎn)運(yùn)信息等，這些信息也需要進(jìn)行登記和管理。

（3）醫(yī)院需求：使用階段是產(chǎn)品流通中與患者聯(lián)系最為緊密的環(huán)節(jié)。醫(yī)院首先要登記植入物的采購(gòu)貨源信息。另外在手術(shù)后，醫(yī)院不僅要提供植入物的使用信息，還需通過身份驗(yàn)證將這些信息與患者的個(gè)人信息和診療信息相關(guān)聯(lián)，例如將植入物唯一標(biāo)識(shí)與患者診療號(hào)碼、手術(shù)名稱、手術(shù)時(shí)間信息等登記并綁定在一起。

（4）患者需求：患者最關(guān)心的就是植入物質(zhì)量是否合格，知情度越高則信任度越高[13]。追溯系統(tǒng)中各環(huán)節(jié)信息對(duì)患者公開透明，患者的需求是隨時(shí)通過系統(tǒng)或查詢終端對(duì)植入物供應(yīng)鏈過程的所有信息進(jìn)行查詢。另外，患者還需要直接控制自己的隱私數(shù)據(jù)，比如將植入物使用信息等加密之后把密鑰交給患者，患者可以對(duì)其他用戶的數(shù)據(jù)閱讀請(qǐng)求進(jìn)行驗(yàn)證[14]。

通過需求梳理可明確基于區(qū)塊鏈的植入物追溯系統(tǒng)需要實(shí)現(xiàn)的功能模塊，具體植入物追溯系統(tǒng)跨職能業(yè)務(wù)流程如圖2所示。

圖2 植入物追溯系統(tǒng)跨職能業(yè)務(wù)流程圖

2 系統(tǒng)設(shè)計(jì)

2.1 總體設(shè)計(jì)思路

根據(jù)工信部指導(dǎo)發(fā)布的《中國(guó)區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書（2016）》的解釋：區(qū)塊鏈?zhǔn)且环N按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊以順序相連的方式組合成的一種鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，并以密碼學(xué)方式保證的不可篡改和不可偽造的分布式共享賬本[15]。植入物從原材料加工生產(chǎn)到最后使用到患者身上，基本可以看作是一個(gè)以時(shí)間為順序的流程化的過程，區(qū)塊鏈內(nèi)信息同樣也是按時(shí)間順序排序并且可實(shí)時(shí)追溯的，兩者剛好完美契合[16]。由于所有交易都記錄在分布式共享賬本，而區(qū)塊鏈中的每個(gè)節(jié)點(diǎn)都保存了交易記錄，因此很容易立即驗(yàn)證植入物、生產(chǎn)廠家和供應(yīng)商的來源，實(shí)現(xiàn)植入物快速和準(zhǔn)確的追溯[17]。系統(tǒng)的總體設(shè)計(jì)思路如下。

（1）每個(gè)植入物產(chǎn)品出廠時(shí)包裝上會(huì)有唯一的標(biāo)識(shí)，在植入物流通到生產(chǎn)廠家、經(jīng)銷商和醫(yī)院時(shí)，以植入物唯一標(biāo)識(shí)為鍵，在各自的客戶端用經(jīng)過內(nèi)部認(rèn)證的用戶賬號(hào)分別將植入物的生產(chǎn)信息、分銷信息及使用信息上傳集成到區(qū)塊鏈。植入物流通過程中的每個(gè)參與者都可以對(duì)植入物的過程信息進(jìn)行實(shí)時(shí)記錄更新，保證數(shù)據(jù)流的可靠性與完整性，供患者自身、醫(yī)院及供應(yīng)鏈其他參與方訪問。

（2）在植入物供應(yīng)鏈各環(huán)節(jié)部署一系列節(jié)點(diǎn)，各節(jié)點(diǎn)通過客戶端將數(shù)據(jù)保存并集成至區(qū)塊鏈。當(dāng)數(shù)據(jù)信息集成在區(qū)塊鏈后，各節(jié)點(diǎn)的數(shù)據(jù)幾乎是實(shí)時(shí)更新的，患者異地就醫(yī)或轉(zhuǎn)診時(shí)，植入物使用記錄、醫(yī)療記錄等信息能快速同步到就診醫(yī)院的數(shù)據(jù)庫(kù)供接診醫(yī)護(hù)人員查閱，這些數(shù)據(jù)在醫(yī)療體系內(nèi)的流轉(zhuǎn)可以大幅減少文書和醫(yī)院行政工作，實(shí)現(xiàn)信息數(shù)據(jù)的共享互通，使醫(yī)療系統(tǒng)更為智能。

（3）患者的個(gè)人隱私信息數(shù)據(jù)通過密碼學(xué)原理加密保存，由患者自己掌控這個(gè)數(shù)據(jù)，區(qū)塊鏈其他用戶需經(jīng)患者驗(yàn)證后方能查閱，即使泄露，沒有權(quán)限的人也無法解讀，有效保證了患者的隱私安全。

2.2 系統(tǒng)架構(gòu)

本研究所提出的基于區(qū)塊鏈的植入物追溯系統(tǒng)整體架構(gòu)包括區(qū)塊鏈底層平臺(tái)、應(yīng)用層和第三方系統(tǒng)三個(gè)部分，具體如圖3所示。

圖3 系統(tǒng)架構(gòu)模型

（1）區(qū)塊鏈底層平臺(tái)包括數(shù)據(jù)層、合約層和網(wǎng)絡(luò)層，它的功能是對(duì)數(shù)據(jù)采集部分采集到的植入物數(shù)據(jù)進(jìn)行存儲(chǔ)，并通過合約層使各用戶與區(qū)塊鏈底層平臺(tái)進(jìn)行交互。其中數(shù)據(jù)層是區(qū)塊鏈的核心部分，數(shù)據(jù)以區(qū)塊式的數(shù)據(jù)結(jié)構(gòu)永久儲(chǔ)存，區(qū)塊按時(shí)間順序?qū)⒅踩胛锪魍ㄟ^程中產(chǎn)生的數(shù)據(jù)加密后逐個(gè)生成并連接成鏈，每一個(gè)區(qū)塊記錄了各節(jié)點(diǎn)發(fā)生的所有交易信息[18]；合約層是系統(tǒng)的核心，封裝的是能夠?qū)崿F(xiàn)系統(tǒng)功能的智能合約[19]；網(wǎng)絡(luò)層是區(qū)塊鏈平臺(tái)信息通訊傳輸?shù)幕A(chǔ)，通常采用P2P技術(shù)組織各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，確保同一網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)彼此對(duì)等，各個(gè)節(jié)點(diǎn)共同提供網(wǎng)絡(luò)服務(wù)，再通過傳播機(jī)制和數(shù)據(jù)驗(yàn)證機(jī)制實(shí)現(xiàn)通信功能[20]。

（2）應(yīng)用層面向植入物流通過程中各個(gè)參與者，提供客戶端與區(qū)塊鏈底層平臺(tái)的交互界面，包括數(shù)據(jù)輸入接口和各種信息查詢?nèi)肟冢▓D3），實(shí)現(xiàn)其追溯業(yè)務(wù)需求，其中患者客戶端為植入物追溯查詢?nèi)肟凇?/p>

（3）第三方系統(tǒng)主要是指生產(chǎn)廠家、經(jīng)銷商和醫(yī)院的內(nèi)部系統(tǒng)，如生產(chǎn)廠家的生產(chǎn)管理系統(tǒng)，經(jīng)銷商的銷售及庫(kù)存管理系統(tǒng)，醫(yī)院的HERP系統(tǒng)、HIS系統(tǒng)、CIS系統(tǒng)等。第三方系統(tǒng)主要負(fù)責(zé)數(shù)據(jù)采集和共享，需要采集的數(shù)據(jù)包括植入物的生產(chǎn)信息、分銷及物流信息，以及采購(gòu)及使用信息，具體分類如表1所示。

表1 采集數(shù)據(jù)的分類和來源

2.3 系統(tǒng)軟硬件基礎(chǔ)

植入物唯一標(biāo)識(shí)以條形碼、二維碼、RFID或NFC等作為載體，一物一碼（芯）錨定產(chǎn)品個(gè)體[21]，通過對(duì)接第三方系統(tǒng)、PDA或掃碼設(shè)備采集植入物各環(huán)節(jié)信息，采用中心化或多重簽名的公證人機(jī)制（Centralized or Multisig Notart Schemes）、側(cè)鏈/中繼模式（Sidechain/relays）、哈西鎖模式（Hash‐locking）進(jìn)行跨鏈間的數(shù)據(jù)傳輸，并結(jié)合分布式私鑰控制技術(shù)和同構(gòu)多鏈結(jié)構(gòu)實(shí)現(xiàn)跨鏈數(shù)據(jù)交互與性能的提升。

3 系統(tǒng)使用效果

以1次植入物追溯查詢?yōu)槔?，用戶登錄客戶端發(fā)起查詢請(qǐng)求，客戶端對(duì)登錄的用戶賬戶進(jìn)行認(rèn)證并發(fā)送服務(wù)器請(qǐng)求，服務(wù)器端在接收請(qǐng)求后會(huì)調(diào)用區(qū)塊鏈平臺(tái)模塊進(jìn)行數(shù)據(jù)查詢。為了保證數(shù)據(jù)的隱私性，使患者的個(gè)人信息不被泄露，不同身份的用戶請(qǐng)求將獲得不同的數(shù)據(jù)信息，得到不同的查詢結(jié)果，然后服務(wù)器端會(huì)把處理得到的植入物溯源信息數(shù)據(jù)返回到客戶端，將查詢結(jié)果顯示給用戶。下面對(duì)不同用戶的使用效果進(jìn)行舉例。

3.1 患者使用效果

如果用戶為患者，手術(shù)后患者登錄追溯查詢?nèi)肟冢ɡ玑t(yī)院微信公眾號(hào)‐患者服務(wù)模塊），賬戶認(rèn)證通過后即可進(jìn)行追溯查詢，輸入植入物唯一標(biāo)識(shí)后可查詢到植入物從生產(chǎn)到使用各個(gè)階段的溯源信息，具體數(shù)據(jù)如圖4所示。無論患者在任何地方接受醫(yī)學(xué)治療，患者的植入物信息和相關(guān)醫(yī)療記錄都可以通過網(wǎng)絡(luò)進(jìn)行訪問和查詢，隨著時(shí)間的推移，各參與方將繼續(xù)增加這些記錄并集成至區(qū)塊鏈中，便于有價(jià)值信息的共享互通。

圖4 植入物追溯查詢結(jié)果顯示界面

3.2 經(jīng)銷商使用效果

如果用戶賬戶被認(rèn)證為經(jīng)銷商，則該用戶將不能獲得植入物的使用信息和患者的個(gè)人信息（只有通過患者有效授權(quán)后方可閱讀），而查詢得到的是植入物的生產(chǎn)流通信息，具體數(shù)據(jù)如圖5所示。

圖5 植入物生產(chǎn)流通信息查詢結(jié)果顯示界面

3.3 患者個(gè)人信息查閱授權(quán)

本研究結(jié)合區(qū)塊鏈的特性設(shè)置公鑰和私鑰，私鑰和公鑰均通過非對(duì)稱加密算法對(duì)數(shù)據(jù)進(jìn)行加密，且一個(gè)公鑰對(duì)應(yīng)一個(gè)私鑰。如果用其中一個(gè)公鑰加密數(shù)據(jù)，則只有對(duì)應(yīng)的那個(gè)私鑰才可以解密[22]。當(dāng)?shù)谌接脩粽?qǐng)求讀取患者個(gè)人信息時(shí)，患者通過患者私鑰獲取賬戶權(quán)限，若患者同意授權(quán)，則系統(tǒng)將用患者私鑰解密后的個(gè)人信息用指定第三方用戶的公鑰加密，然后調(diào)用區(qū)塊鏈平臺(tái)向指定的第三方用戶賬戶發(fā)送加密的患者個(gè)人信息，指定的第三方用戶賬戶自動(dòng)同步患者個(gè)人信息區(qū)塊數(shù)據(jù)，并用第三方用戶的私鑰解密患者個(gè)人信息進(jìn)行查閱[23]，見圖6。患者未授權(quán)時(shí)，則第三方用戶讀取的為不可破解的加密數(shù)據(jù)，因此該系統(tǒng)能夠保證患者的隱私安全，避免個(gè)人信息外泄。患者個(gè)人信息查閱授權(quán)界面如圖7所示。

圖6 患者個(gè)人信息授權(quán)示意圖

圖7 患者個(gè)人信息授權(quán)界面

3.4 系統(tǒng)測(cè)試情況

為確保穩(wěn)定可靠運(yùn)行，對(duì)基于區(qū)塊鏈的植入物追溯系統(tǒng)進(jìn)行了功能測(cè)試和性能測(cè)試。主要業(yè)務(wù)模塊功能測(cè)試結(jié)果如表2所示。系統(tǒng)性能測(cè)試主要針對(duì)患者追溯查詢的響應(yīng)時(shí)間，具體響應(yīng)時(shí)間處于動(dòng)態(tài)變化中，與查詢命令發(fā)出時(shí)刻的網(wǎng)絡(luò)速率有關(guān)。以其中50次查詢結(jié)果為例，平均響應(yīng)時(shí)間為43 ms，符合網(wǎng)絡(luò)時(shí)延要求。當(dāng)患者進(jìn)行植入物溯源信息查詢時(shí)，測(cè)試結(jié)果顯示界面不會(huì)出現(xiàn)卡頓或崩潰，可以獲得較好的用戶體驗(yàn)。

表2 主要模塊業(yè)務(wù)功能測(cè)試表

關(guān)于系統(tǒng)的安全性方面，本系統(tǒng)基于密碼學(xué)原理對(duì)信息進(jìn)行加密，從而實(shí)現(xiàn)區(qū)塊鏈的不可篡改性和隱私信息安全性。同時(shí)，本系統(tǒng)采用分布式賬本進(jìn)行存儲(chǔ)，當(dāng)賬本被惡意修改時(shí)，由于數(shù)據(jù)區(qū)塊組合成鏈?zhǔn)浇Y(jié)構(gòu)，當(dāng)某一節(jié)點(diǎn)的區(qū)塊內(nèi)容改變，節(jié)點(diǎn)間的連接也將斷開，這樣系統(tǒng)就可以在定時(shí)監(jiān)測(cè)時(shí)發(fā)現(xiàn)某個(gè)節(jié)點(diǎn)的區(qū)塊發(fā)生了改變，并通過共識(shí)算法來重新達(dá)成共識(shí)，將區(qū)塊廣播給有問題的節(jié)點(diǎn)進(jìn)行修改，從而避免了賬本內(nèi)容被他人修改的情況[24]。

4 討論

2015年常巧玲[25]提出的一種針對(duì)骨科植入物的條形碼管理追溯系統(tǒng)，此系統(tǒng)可及時(shí)記錄植入物的采購(gòu)、使用、出庫(kù)、收費(fèi)等信息，確保植入物在使用后可追溯。2016年曹鴻靜等[26]提出一種基于掌上電腦、二維條碼、無線網(wǎng)絡(luò)系統(tǒng)構(gòu)建的質(zhì)量追溯系統(tǒng)，此系統(tǒng)可實(shí)現(xiàn)植入物回收、清點(diǎn)、清洗、消毒、包裝、滅菌、存儲(chǔ)、發(fā)放和使用的無縫閉環(huán)管理。以上關(guān)于植入物的追溯系統(tǒng)都有自己的優(yōu)勢(shì)，但這些系統(tǒng)大多屬于醫(yī)院內(nèi)部使用的管理系統(tǒng)，數(shù)據(jù)的存儲(chǔ)和使用等僅限于醫(yī)院的相關(guān)業(yè)務(wù)管理人員，難以同時(shí)滿足信息全面、共享互通和信息私密性等要求。

結(jié)合區(qū)塊鏈的技術(shù)優(yōu)勢(shì)和目前植入物追溯系統(tǒng)的不足，本研究從植入物的實(shí)際應(yīng)用場(chǎng)景出發(fā)，提出了一個(gè)基于區(qū)塊鏈的植入物追溯系統(tǒng)，系統(tǒng)模塊包括植入物生產(chǎn)廠家、經(jīng)銷商、醫(yī)院和患者客戶端程序，涵蓋了植入物生產(chǎn)加工、物流運(yùn)輸、使用收費(fèi)等過程的主要功能?；颊咄ㄟ^登錄客戶端輸入植入物唯一標(biāo)識(shí)進(jìn)行查詢，可得到植入物生產(chǎn)、流通及使用等全過程準(zhǔn)確及完整的溯源信息，驗(yàn)證了設(shè)計(jì)方案的可行性與有效性。該系統(tǒng)操作簡(jiǎn)單便捷，同時(shí)借助區(qū)塊鏈技術(shù)特性，使該系統(tǒng)有如下創(chuàng)新：該系統(tǒng)將區(qū)塊鏈技術(shù)與植入物唯一標(biāo)識(shí)相結(jié)合，解決了傳統(tǒng)植入物追溯系統(tǒng)存在的存儲(chǔ)信息不全面、互聯(lián)互通等問題，在保證信息真實(shí)、可靠、完整的前提下實(shí)現(xiàn)植入物追溯。同時(shí)利用密碼學(xué)原理對(duì)患者隱私信息加密保存，并由患者負(fù)責(zé)掌控信息查閱請(qǐng)求，有效保證了患者的隱私安全。

5 結(jié)論

區(qū)塊鏈技術(shù)與追溯技術(shù)的結(jié)合應(yīng)用，進(jìn)一步完善了植入物追溯系統(tǒng)的性能[27]，利用區(qū)塊鏈技術(shù)特點(diǎn)保證植入物數(shù)據(jù)的可靠性，實(shí)現(xiàn)植入物的全過程可追溯，且可追溯到鏈上的每一個(gè)參與者，打通供應(yīng)鏈各環(huán)節(jié)的信息孤島，提高信息的透明度，讓患者擁有其植入物的全面信息，幫助醫(yī)患雙方提高信任，為遠(yuǎn)程醫(yī)療、異地就醫(yī)和轉(zhuǎn)診醫(yī)療提供基礎(chǔ)。

隨著醫(yī)療器械唯一標(biāo)識(shí)應(yīng)用范圍的不斷擴(kuò)大，基于區(qū)塊鏈的追溯系統(tǒng)可以由植入物推廣至更多的醫(yī)用耗材、器械甚至藥品上，以提高生產(chǎn)企業(yè)、流通企業(yè)和醫(yī)療機(jī)構(gòu)醫(yī)療器械的質(zhì)量安全管理水平，確?；颊叩氖褂冒踩瑸獒t(yī)療衛(wèi)生事業(yè)的良好發(fā)展提供更有利的保障[28]。