信息化时代下医院一卡通整体设计

王友民，彭丽娟

(四川大学华西第二医院，四川 成都 610000)

1 项目背景

十多年来，某医院的离线式一卡通系统为医院工作人员的院内消费等提供了方便，加强和规范了院内消费资金的管理和结算，保证了资金的安全完整。由于十多年前建设一卡通系统时软件开发商采用的技术相较现在的技术已显得落后，同时由于系统的软硬件设施设备使用年限较长，故障逐渐增加，要适应医院未来的发展，已显得越来越力不从心。

某医院决定对一卡通系统进行升级改造，建成新的在线式一卡通系统。

2 设计原则

建设以线下刷卡支付和以线上联通各类支付渠道的统一支付体系，全面覆盖各类应用场景，并支持对接(如停车场管理系统等)等线上缴费方式，进一步覆盖金融支付盲区，实现真正在线支付生态环境。整合一卡通账户和线上一账通账户，提供标准化支付接口，完善支付渠道，统一资金归集和清结算途径[1]。

建设全开放、统一规范、可管理的统一认证体系，实现通道设备、门禁设备、考勤设备、车辆管理设备融合，遵循统一管理、统一发卡、统一认证原则，实现智能关联授权、实时安全监控。

本系统在设计整个过程中遵循了以下原则：

(1)实用性：医院一卡通系统应遵循医院管理的特点，各应用系统的开发力求功能完善、操作简便、实用高效；

(2)先进性：医院一卡通系统的建设应以当今世界先进的、有广阔前景的技术为基础，由此实现的系统可以搭乘信息技术发展的巨轮而不断升级；

(3)易用性：医院一卡通的使用者，包括普通的患者、员工、商户等多种用户类别。所以必须是易用的系统，即用户学习成本和管理部门的教育成本低；

(4)可管理性：医院一卡通系统通过几千个终端设备来实现管理和服务功能，他们的管理很困难、维护成本很高，因此系统必须从整体架构上和具体功能上实现管理难度的降低、维护成本的下降，通过采用集中管理模式、图形化管理工具、监控工具，方便管理、使用、维护，同时能快速准确的定位故障；

(5)开放性：随着医院业务发展，医院一卡通系统将不断修复升级更新调整，系统须采用一套开放的架构、一个开放的平台，形成一套开放的产品，能提供完整的文档资料和软件接口，医院自主密钥和算法、采用公认的行业标准、衔接多种硬件平台，后续医院可自主扩展、自主采购青睐的终端设备等；

(6)安全性：系统牵涉资金、身份等重要的信息，所以必须采用严格的分级管理制度和技术，管理、查询人员分级权限操作；体系架构多层级划分，当单层次出现故障时，系统也可维持运行较长时间；敏感数据不得保留在系统运行中间环节，以避免财务风险；一旦经过排障正常运行后，系统能够自主识别切换状态；对于脱机运行的终端，通过有效措施保障用户利益；提供审计功能；

(7)扩展性：系统容量和功能上不仅应满足当下用户的需求，而且也能方便以后的扩容和升级，如：变更收费模式，混合充值方式等；

(8)可靠性：考虑到拥有情况复杂的应用场景，交易的每个环节考虑可靠性都不容忽视，包括可靠的应用和数据库设计等，确保系统在脱机、联机状态下的实时性强可靠性更高，及在大规模并发交易情况下系统的稳定、高效、可靠，有效避免单点故障[2]。

(9)保密性：系统设计上应充分考虑共享信息资源，也保护和隔离信息资源，针对不同的应用和网络通信环境，采取不同的举措，包括数据安全性等。要求系统加密传输数据，并保证加密技术的不可逆。

(10)规范性：采用金融行业标准的财务管理方法，设置标准财务核算科目。采用借贷记账法记账，能够提供会计核算需要的各种报表。

3 功能设计

根据应用的特殊性，采用物理卡刷卡、RFID刷卡、手机正向扫码、终端设备反向扫码、NFC的操作方式，在用户使用方面进行了如下功能设计：

(1)认证类：员工通道、办公区门禁、专用电梯、特殊病房等；

(2)消费类：食堂、超市、预约挂号、付款领药、无障碍停车场；

(3)接口：HIS系统、短信接口、第三方软件信息接口、社保卡接口、第三方支付认证接口。

4 整体设计

4.1 信息服务建设

随着移动端应用的普及，用户越来越依赖手机等移动设备娱乐、生活、办公。

因此，研发手机客户端(APP和微信小程序等)很有必要。通过在线支付技术，大大提高结算效率和账户安全。用户可通过扫码方式进行各类费用的支付。平台支持终端设备自主生成二维码和手机APP生成二维码，根据不同场合进行相应模式的支付[3]。

建成信息门户、自助多媒体服务与手机APP(小程序)三类模式，提供信息资源展示与用户卡业务服务。

4.2 流程整合规范

系统使用Web Service技术对第三方系统对接整合到一卡通平台中。将用户卡综合服务系统中数百个业务暴露出来，用户只要调用这些接口，就可完成各类复杂的业务处理。

4.3 关键业务设计

4.3.1 交易机制

用户卡综合服务平台本质上是线上交易平台，用户可以通过手机、终端设备进行在线消费。在线消费过程中，交易流水在后台数据库中直接处理。

同时后台服务器采用应用冗余和负载均衡部署，充分考虑服务请求高并发事件发生的情况，保证在高并发冲击下系统的高可用。

4.3.2 信息标准

一卡通综合服务系统是服务全院用户的综合性平台，平台须严格遵循国家信息化标准整体规划的信息标准，采用开放性设计，可以兼容多种操作系统，具有开放性对接接口，设备接入标准以及用户卡规划(卡结构)标准，可以与其他第三方系统对接。

(1)系统编码原则。

为了更好接入其他系统，须制定合理、科学的编码管理体系，遵循以下原则。

唯一性：系统内的每一种数据类型都有唯一且清晰的结构，结构简单，信息明确。

可使用性：数据结构的长度合适，并且考虑多种系统的数据长度，做到兼容。

规则性：系统信息编码按照一定的编码规则编制，符合通用信息编码的要求，不允许出现不符合规范的编码信息。

可读性：可根据编码识别出信息的用处。

扩展性：编码原则的制定应考虑不同系统的设计要求。且要对特殊情况留有裕量。

效率性：编码原则既要解读容易，还应考虑效率的提高。

(2)系统接入。

系统采用Web Service技术，将系统中多个业务暴露出来，第三方系统只要调用这些接口，就可完成各类复杂的业务处理。

①系统接入接口规范。Webservice 接口服务可以解决接口开放问题，并且无须为接入方提供专用动态库，只需遵循TCP/IP 协议即可。

②系统接入指标规范。在平台接入层面应该对业务系统做出指标规范，包括：性能指标、安全指标、使用效率指标、具体的业务指标。

(3)通信中间件。

一卡通系统应用范围是整个院区，显然不能采用传统的模式：各区域各种前置机透过ODBC直接访问本部的数据库，这种模式存在重大的数据安全隐患。

系统应架构在通讯平台上，信息总线以通讯平台为通道，连接各种信息系统的核心职能。通讯平台采用金融领域所采用的通信技术，有如下特点和优势：

①同时支持多种协议：应用程序采用TCP或SPX协议中的一种与路由网关建立可靠连接，同时双向通讯。路由网关支持的最大用户连接数为1800，当超过500个时考虑采用负载均衡。

②动态寻址：应用程序连接路由网关时无须指定路由网关的网络地址和端口号，能动态调整。应用程序可依据收到的广播信息中发现负载较轻的路由网关，并连接。

应用程序进行消息传递无须告诉通信对方的程序名(或具体的网络地址)，而只需给出目的路由网关编码，系统依靠每个消息头记录中的信息将消息发往不同的目的地，头记录中包含了目的地的代码，以便将该条消息发往目的地。

③开放性：系统对外接口均采用标准协议，独立模块，提供各种API，适于二次开发。不依赖于具体网络环境，从点对点、一点对多点、多点对多点的模式都能适应。便于应用于“实时交易”。

④扩展性：系统支持主要网络拓扑结构，支持多协议，并且具有简单规范的接口。尤其某些核心应用程序，它们本身相对独立，而且相互之间没有专用接口或接口效率低下，如果通过系统将它们连接起来，可以有效提高整个系统效率。

⑤高可靠性：利用NT的特性，既利用进程的独立性来让整个系统更加可靠，同时依靠多线程编程更加合理利用资源，利用冗余容错技术，确保系统全时高效稳定运行。

⑥高效性：采用GZIP压缩方法，节省医院的网络带宽。为确保数据在网络上以最短的路径传输，采用静态路由方法和OSPF协议。

⑦应用功能转发：应用程序将请求发给路由网关，再转发给应用服务，当某项功能不能被应用服务处理，但它又能判断谁具有处理能力的情况下，可调整请求数据包的目的地址，通过路由网关，再次寻址转发至目标应用服务进行处理。

⑧支持远程管理和监控：所有的路由网关都以NT服务方式运行，同时支持远程管理和监控。

⑨高安全性：时间戳和CRC保护鉴别协议远离采用众所周知的“重放攻击”的欺骗，鉴别流程须是唯一的、有序的、最新的。通信平台采用非对称(公开)密钥算法(RSA)对传输内容进行加密。