如何应对不同类别医院信息系统切换的风险？

来源：HIT专家网 作者：郭立川

国家对医疗信息化的发展要求日益增强，医疗机构信息系统更新换代的速度越来越快，很多医院经历过4代甚至5代以上的主体程序更新与切换。如何掌控系统切换风险，确定较为安全高效的切换方案，需要医院信息部门在实践中及时总结。

本文以天津某大型三甲医院的三次系统切换为例，根据业务系统切换条件的类型不同，通过分析系统切换的背景、过程、风险以及常见问题，尝试总结相关经验。

三次系统切换的背景分析

本文涉及的三次系统切换，背景情况分别是：

（1）2014年，天津市医保系统接口升级，全市统一的对接时间不容变更。医院原业务系统厂商不能继续提供服务，因此引入新的系统厂商，要求在14天内更换业务系统，同时完成医保接口的改造和对接。

这次系统切换属于新旧两套系统的更换，包括HIS、LIS、PACS、电子病历等，难点在于用户培训和基础数据的准备。为保障成功，首先要确定必需的更新范围，其他未更换的系统要定好更新计划；在不能使用系统期间，各科室应启动应急预案，直到更换系统稳定运行为止。

（2）2019年，医院地址变更，整体“搬家”，同时因医院诊疗范围扩充，需要同时完成新增科室的业务系统安装调试，如：手术室、重症监护、一卡通、智慧医院等系统，准备时间为60天。

这次系统切换属于扩展性切换，难点在于新科室系统的用户培训。同时因涉及诊疗流程调整与患者就医习惯改变，因此影响范围较大。

（3）2020年，勒索病毒攻击导致系统主要业务瘫痪。经过病毒溯源和分析发现，病毒在医院内传播较广，需要全面更换网络区分，并对客户终端逐一查杀，计划依据“主要业务优先”原则，按照先门诊、后住院，先医嘱、后医技的顺序，在7天内全面恢复。

这次系统切换属于灾后系统重建，系统和应用范围没有变化，难点在于完全恢复过程中的应急预案执行，以及院内科室和患者的解释工作。

不同切换方式的风险研判

（1）直接切换

2014年的系统切换，基于不同厂商的不同系统，在确保业务不间断的基础上，采用“直接切换”方式（如图1所示），主要风险点分析如表1所示。

（2）并行切换

2019年的系统切换，是基于同一HIS厂商的不同版本产品，在确保业务不间断的基础上，采用“并行方式”（如图2所示），主要风险点分析如表2所示。

（3）逐步切换

2020年的系统切换，是基于同一厂商的同一版本产品，在业务间断的情况下，采用“逐步切换”的方式（如图3所示），主要风险点分析如表3所示。

共性解决方案与经验总结

通过上述三次系统切换工作，笔者总结出部分共性解决方案经验，系统切换流程的关键步骤与环节如图4所示。

1.组建有效的组织领导架构：院长挂帅，各部门协同，建立信息沟通小组，各司其职，统一听从临时切换领导小组办公室的指挥；还应考虑面向患者和职工的宣传，消除职工和患者对新系统的疑虑，便于配合系统切换工作。

2.专家或者小组论证确认整体方案：通过专家或院内小组论证，确定新系统与老系统的区别，认可系统使用和内部流程的改变，最大程度地让院内人员适应新系统。在系统不能满足的情况下，考虑用系统外的方式弥补，比如：人工、电话沟通等。

3.构建网络拓扑图：硬件网络是承载软件的基础，在新系统上线前一定要验证网络性能，确保在更换系统后的稳定运行，与软件系统的故障进行“解耦”。同时，根据医院情况将各个区域明确划分，该实现物理隔离的地方不能使用虚拟隔离，在确保安全的前提下确保网络畅通。

4.搭建测试环境：在时间允许的情况下，尽可能使用正式数据进行测试数据库的搭建。测试环境的主要目的除了验证新系统的适用性外，还需要作为培训环境，让全体职工适应新界面，尽早发现问题，提出合理建议，系统厂商尽可能调整和修改。在修改完成之前，准备应对方案。正式切换前，将测试环境准备的内容清理干净，作为基础环境转到正式环境中，同时保留测试环境用作以后的测试。

5.根据医院业务明确系统切换的先后顺序，比如：先住院、后门诊，先收费、后医生，先医嘱、后医技的顺序。特殊情况另行商定，灾难恢复的顺序需要根据业务需要，先满足大部分患者要求，再处理小范围需求。

6.根据业务顺序，配套相关软件接口搭建顺序。因医院的系统越来越丰富，涉及各个业务流程，个别医院由一家供应商承建，但大多数医院的系统分门别类地由多家厂商开发完成，主要业务流程的接入顺序也会影响到系统切换的平稳性。如图5所示。

7.全员培训，根据不同业务进行不同培训，合理安排时间，培训方案需要一直保持到正式系统切换平稳运行后。

三次系统切换过程也暴露出一些人为因素带来的问题：

1.沟通消耗：组织机构建立了，但各部门都缺乏经验，部分科室或个人不了解、不清楚应该做什么。比如：在切换时间确定后，信息部门往往需要在晚上工作（如提前安装程序环境、检查客户端杀毒情况等），到达相关点位时往往是在非正常工作时间；此时有些点位找不到人开门，需要另外沟通，降低了切换效率。

2.局部调整：系统切换应遵守“局部服从全局、个人服从集体”原则，但实践中经常有个别部门因自身工作习惯，要求对已论证确定的工作流程进行调整，此时往往都是系统在“妥协”。这就需要有个通观全局的开发团队，在尽可能短的时间内确认相关调整能够到位，并进行全员培训。

3.病毒查杀：在调试新环境的时候，有些工作人员为了快速工作，不注意有关病毒查杀的规定，有些网络环境也没有进行安全检查的设置，导致携带病毒入网。这个小小的操作很可能给整个系统带来颠覆性的毁灭。系统切换前需要一个安全干净的网络环境，包括：客户端、各网络节点、服务器、存储设备，以及入网线路的边界设备，如防火墙、交换机等。条件允许时，最好全部杀毒检查，同时设置准入条件。如果全范围达不到，最小范围也应将核心机房区域做好全覆盖，并保证病毒版本库处于最新状态，进行重点防护。

4.应急预案：各科室制定全人工应急预案，并进行实际演练。在这三次系统切换时，发现有的部门对系统切换有着“莫名的信任感”，不考虑人工应急，或者等待信息部门出具其他科室的应急方案。这种想法是错误的。应急预案应该由小而大、由局部到全面，各个窗口或职能部门都应制定自己的应急预案，再由行政职能科室汇总、制定整体应急预案，信息部门出具技术处理、故障排除的应急预案，这样才能将出现故障后的问题影响降低到最小，也才能快速解决问题、恢复生产。

小结

根据笔者三次系统切换的亲身经历，个人认为最优方案是“逐步切换”，但需要周边环境来配合，比如：网络环境稳定安全、时间充裕、各个业务系统边界明确等。

“并行切换”的方式需要的资源较多，并行时间越长，带来的问题就会越多，所以要注意进行严格的时间把控，才能提高成功率。

“直接切换”看上去失败的概率很高，不过根据实际环境来确定方案的时候，往往代价会很低，但是要求从医院整体出发制定人工应急预案，而这套应急预案的主体应是从实际业务出发的，而不是从信息角度来应急。

【作者简介】

郭立川，任职于天津医科大学朱宪彝纪念医院（代谢病医院），信息办公室主任。

【责任编辑：秦勉】