杨莉，劳颖谦，欧霏霏，钟薇，樊敬文

香港大学深圳医院 a. 医疗物料采购部；b. 财务部；c. 外科，广东 深圳 518053

引言

植入物，也称植入器械[1]，一般价格较为昂贵，因其会在患者体内长时间与机体组织相互作用，风险性和不良事件发生率较高，对其质量安全的管理也成为医疗机构和广大患者重视的问题[2]。

植入物追溯是对植入物从生产、流通、使用整个生命周期的所有信息进行跟踪监控[3]，实现来源可查、去向可追、责任可究[4]，可以有效地控制和解决植入物质量安全问题。目前植入物追溯系统有几点不足：① 存储的数据信息不完整，患者无法得到植入物全面的生产流通信息及医疗使用信息[5]；② 各类数据信息难以共享互通，各机构之间缺乏合理的互信机制和分享机制，容易形成“信息孤岛”，一方面如果一旦发生植入物不良事件，大多数医院难以第一时间追溯到该植入物的相关信息，由此带来的管理和医疗安全问题日益严峻[6]，另一方面在异地就医和医保报销时，绝大部分患者都难以随身携带准确全面的植入物材料信息和医疗信息，患者须通过两地奔波、复杂繁复的医疗行政流程才能得到，影响患者的就医体验感[7]；③ 数据信息的私密性无法保证，植入物供应链相关参与者与患者查询会得到相同的信息，容易造成个人信息泄露[8]。

区块链技术的出现可以很好地解决目前植入物追溯系统存在的存储信息不完整、共享共通以及信息私密性等问题。首先，区块链技术的去中心化和分布式存储特性可保证数据信息的公开透明性和数据流的完整可靠性[9]，提高患者对植入物的知情度，增加患者对医疗机构和企业的信任度，促进医患和谐发展。其次，区块链技术的分布式共享账本可以实现数据在不同公司、医疗机构和患者之间快速、高效、安全地进行共享和流通，有效减少医疗数据调用流程中的人工处理环节[10]，让数据多走路、患者少跑腿。区块链还可以让患者拥有个人信息的控制权，其他用户需要通过患者授权才能读取个人信息，有效保护患者隐私安全[11]。

1 基于区块链的植入物追溯系统需求分析

图1展示的是植入物追溯工作流程。植入物追溯工作的主要参与者（即系统使用者）有生产厂家、经销商、医院及患者，各参与者功能需求如下。

图1 植入物追溯工作流程图

（1）生产厂家需求：首先要对生产所需的原材料信息进行登记，当植入物投入批量生产后，还需要详细登记生产、加工、包装、质检和仓储等过程信息。生产完成后的每个植入物都有自己的独特身份，也就是唯一标识[12]，生产厂家也要对唯一标识进行登记和绑定，最后植入物贴码出厂。

（2）经销商需求：植入物出厂后进入运输分销阶段，由各级经销商构成的分销网络负责向医院供应植入物，经销商们需要把库存信息和销售信息录入系统中。另外，在运输过程中还会产生物流信息，例如物流订单信息、物流转运信息等，这些信息也需要进行登记和管理。

（3）医院需求：使用阶段是产品流通中与患者联系最为紧密的环节。医院首先要登记植入物的采购货源信息。另外在手术后，医院不仅要提供植入物的使用信息，还需通过身份验证将这些信息与患者的个人信息和诊疗信息相关联，例如将植入物唯一标识与患者诊疗号码、手术名称、手术时间信息等登记并绑定在一起。

（4）患者需求：患者最关心的就是植入物质量是否合格，知情度越高则信任度越高[13]。追溯系统中各环节信息对患者公开透明，患者的需求是随时通过系统或查询终端对植入物供应链过程的所有信息进行查询。另外，患者还需要直接控制自己的隐私数据，比如将植入物使用信息等加密之后把密钥交给患者，患者可以对其他用户的数据阅读请求进行验证[14]。

通过需求梳理可明确基于区块链的植入物追溯系统需要实现的功能模块，具体植入物追溯系统跨职能业务流程如图2所示。

图2 植入物追溯系统跨职能业务流程图

2 系统设计

2.1 总体设计思路

根据工信部指导发布的《中国区块链技术和应用发展白皮书（2016）》的解释：区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式共享账本[15]。植入物从原材料加工生产到最后使用到患者身上，基本可以看作是一个以时间为顺序的流程化的过程，区块链内信息同样也是按时间顺序排序并且可实时追溯的，两者刚好完美契合[16]。由于所有交易都记录在分布式共享账本，而区块链中的每个节点都保存了交易记录，因此很容易立即验证植入物、生产厂家和供应商的来源，实现植入物快速和准确的追溯[17]。系统的总体设计思路如下。

（1）每个植入物产品出厂时包装上会有唯一的标识，在植入物流通到生产厂家、经销商和医院时，以植入物唯一标识为键，在各自的客户端用经过内部认证的用户账号分别将植入物的生产信息、分销信息及使用信息上传集成到区块链。植入物流通过程中的每个参与者都可以对植入物的过程信息进行实时记录更新，保证数据流的可靠性与完整性，供患者自身、医院及供应链其他参与方访问。

（2）在植入物供应链各环节部署一系列节点，各节点通过客户端将数据保存并集成至区块链。当数据信息集成在区块链后，各节点的数据几乎是实时更新的，患者异地就医或转诊时，植入物使用记录、医疗记录等信息能快速同步到就诊医院的数据库供接诊医护人员查阅，这些数据在医疗体系内的流转可以大幅减少文书和医院行政工作，实现信息数据的共享互通，使医疗系统更为智能。

（3）患者的个人隐私信息数据通过密码学原理加密保存，由患者自己掌控这个数据，区块链其他用户需经患者验证后方能查阅，即使泄露，没有权限的人也无法解读，有效保证了患者的隐私安全。

2.2 系统架构

本研究所提出的基于区块链的植入物追溯系统整体架构包括区块链底层平台、应用层和第三方系统三个部分，具体如图3所示。

图3 系统架构模型

（1）区块链底层平台包括数据层、合约层和网络层，它的功能是对数据采集部分采集到的植入物数据进行存储，并通过合约层使各用户与区块链底层平台进行交互。其中数据层是区块链的核心部分，数据以区块式的数据结构永久储存，区块按时间顺序将植入物流通过程中产生的数据加密后逐个生成并连接成链，每一个区块记录了各节点发生的所有交易信息[18]；合约层是系统的核心，封装的是能够实现系统功能的智能合约[19]；网络层是区块链平台信息通讯传输的基础，通常采用P2P技术组织各个网络节点，确保同一网络中的每台计算机彼此对等，各个节点共同提供网络服务，再通过传播机制和数据验证机制实现通信功能[20]。

（2）应用层面向植入物流通过程中各个参与者，提供客户端与区块链底层平台的交互界面，包括数据输入接口和各种信息查询入口（图3），实现其追溯业务需求，其中患者客户端为植入物追溯查询入口。

（3）第三方系统主要是指生产厂家、经销商和医院的内部系统，如生产厂家的生产管理系统，经销商的销售及库存管理系统，医院的HERP系统、HIS系统、CIS系统等。第三方系统主要负责数据采集和共享，需要采集的数据包括植入物的生产信息、分销及物流信息，以及采购及使用信息，具体分类如表1所示。

表1 采集数据的分类和来源

2.3 系统软硬件基础

植入物唯一标识以条形码、二维码、RFID或NFC等作为载体，一物一码（芯）锚定产品个体[21]，通过对接第三方系统、PDA或扫码设备采集植入物各环节信息，采用中心化或多重签名的公证人机制（Centralized or Multisig Notart Schemes）、侧链/中继模式（Sidechain/relays）、哈西锁模式（Hash‐locking）进行跨链间的数据传输，并结合分布式私钥控制技术和同构多链结构实现跨链数据交互与性能的提升。

3 系统使用效果

以1次植入物追溯查询为例，用户登录客户端发起查询请求，客户端对登录的用户账户进行认证并发送服务器请求，服务器端在接收请求后会调用区块链平台模块进行数据查询。为了保证数据的隐私性，使患者的个人信息不被泄露，不同身份的用户请求将获得不同的数据信息，得到不同的查询结果，然后服务器端会把处理得到的植入物溯源信息数据返回到客户端，将查询结果显示给用户。下面对不同用户的使用效果进行举例。

3.1 患者使用效果

如果用户为患者，手术后患者登录追溯查询入口（例如医院微信公众号‐患者服务模块），账户认证通过后即可进行追溯查询，输入植入物唯一标识后可查询到植入物从生产到使用各个阶段的溯源信息，具体数据如图4所示。无论患者在任何地方接受医学治疗，患者的植入物信息和相关医疗记录都可以通过网络进行访问和查询，随着时间的推移，各参与方将继续增加这些记录并集成至区块链中，便于有价值信息的共享互通。

图4 植入物追溯查询结果显示界面

3.2 经销商使用效果

如果用户账户被认证为经销商，则该用户将不能获得植入物的使用信息和患者的个人信息（只有通过患者有效授权后方可阅读），而查询得到的是植入物的生产流通信息，具体数据如图5所示。

图5 植入物生产流通信息查询结果显示界面

3.3 患者个人信息查阅授权

本研究结合区块链的特性设置公钥和私钥，私钥和公钥均通过非对称加密算法对数据进行加密，且一个公钥对应一个私钥。如果用其中一个公钥加密数据，则只有对应的那个私钥才可以解密[22]。当第三方用户请求读取患者个人信息时，患者通过患者私钥获取账户权限，若患者同意授权，则系统将用患者私钥解密后的个人信息用指定第三方用户的公钥加密，然后调用区块链平台向指定的第三方用户账户发送加密的患者个人信息，指定的第三方用户账户自动同步患者个人信息区块数据，并用第三方用户的私钥解密患者个人信息进行查阅[23]，见图6。患者未授权时，则第三方用户读取的为不可破解的加密数据，因此该系统能够保证患者的隐私安全，避免个人信息外泄。患者个人信息查阅授权界面如图7所示。

图6 患者个人信息授权示意图

图7 患者个人信息授权界面

3.4 系统测试情况

为确保稳定可靠运行，对基于区块链的植入物追溯系统进行了功能测试和性能测试。主要业务模块功能测试结果如表2所示。系统性能测试主要针对患者追溯查询的响应时间，具体响应时间处于动态变化中，与查询命令发出时刻的网络速率有关。以其中50次查询结果为例，平均响应时间为43 ms，符合网络时延要求。当患者进行植入物溯源信息查询时，测试结果显示界面不会出现卡顿或崩溃，可以获得较好的用户体验。

表2 主要模块业务功能测试表

关于系统的安全性方面，本系统基于密码学原理对信息进行加密，从而实现区块链的不可篡改性和隐私信息安全性。同时，本系统采用分布式账本进行存储，当账本被恶意修改时，由于数据区块组合成链式结构，当某一节点的区块内容改变，节点间的连接也将断开，这样系统就可以在定时监测时发现某个节点的区块发生了改变，并通过共识算法来重新达成共识，将区块广播给有问题的节点进行修改，从而避免了账本内容被他人修改的情况[24]。

4 讨论

2015年常巧玲[25]提出的一种针对骨科植入物的条形码管理追溯系统，此系统可及时记录植入物的采购、使用、出库、收费等信息，确保植入物在使用后可追溯。2016年曹鸿静等[26]提出一种基于掌上电脑、二维条码、无线网络系统构建的质量追溯系统，此系统可实现植入物回收、清点、清洗、消毒、包装、灭菌、存储、发放和使用的无缝闭环管理。以上关于植入物的追溯系统都有自己的优势，但这些系统大多属于医院内部使用的管理系统，数据的存储和使用等仅限于医院的相关业务管理人员，难以同时满足信息全面、共享互通和信息私密性等要求。

结合区块链的技术优势和目前植入物追溯系统的不足，本研究从植入物的实际应用场景出发，提出了一个基于区块链的植入物追溯系统，系统模块包括植入物生产厂家、经销商、医院和患者客户端程序，涵盖了植入物生产加工、物流运输、使用收费等过程的主要功能。患者通过登录客户端输入植入物唯一标识进行查询，可得到植入物生产、流通及使用等全过程准确及完整的溯源信息，验证了设计方案的可行性与有效性。该系统操作简单便捷，同时借助区块链技术特性，使该系统有如下创新：该系统将区块链技术与植入物唯一标识相结合，解决了传统植入物追溯系统存在的存储信息不全面、互联互通等问题，在保证信息真实、可靠、完整的前提下实现植入物追溯。同时利用密码学原理对患者隐私信息加密保存，并由患者负责掌控信息查阅请求，有效保证了患者的隐私安全。

5 结论

区块链技术与追溯技术的结合应用，进一步完善了植入物追溯系统的性能[27]，利用区块链技术特点保证植入物数据的可靠性，实现植入物的全过程可追溯，且可追溯到链上的每一个参与者，打通供应链各环节的信息孤岛，提高信息的透明度，让患者拥有其植入物的全面信息，帮助医患双方提高信任，为远程医疗、异地就医和转诊医疗提供基础。

随着医疗器械唯一标识应用范围的不断扩大，基于区块链的追溯系统可以由植入物推广至更多的医用耗材、器械甚至药品上，以提高生产企业、流通企业和医疗机构医疗器械的质量安全管理水平，确保患者的使用安全，为医疗卫生事业的良好发展提供更有利的保障[28]。