【作 者】劉炯

上海市醫(yī)療器械檢測(cè)所，上海市，201318

0 引言

我們已經(jīng)身處大數(shù)據(jù)時(shí)代，數(shù)據(jù)即將成為最大的交易商品。未來數(shù)據(jù)將會(huì)是一種基礎(chǔ)設(shè)施，是一種國(guó)家戰(zhàn)略資源。大數(shù)據(jù)時(shí)代的一個(gè)最重要的特點(diǎn)就是物聯(lián)網(wǎng)的快速發(fā)展。作為物聯(lián)網(wǎng)的一種醫(yī)學(xué)應(yīng)用，覆蓋全國(guó)的醫(yī)學(xué)信息網(wǎng)正在逐步形成。原先那些我們熟知的醫(yī)療設(shè)備就像眾多的信息孤島，各自承擔(dān)著自己的任務(wù)和完成著自己的預(yù)期用途，但是通過物聯(lián)網(wǎng)，這些醫(yī)療孤島相互聯(lián)系起來。這些信息化了的醫(yī)療設(shè)備相互進(jìn)行信息交換和通訊，實(shí)現(xiàn)了一種具有智能化診斷治療、自動(dòng)定位跟蹤、遠(yuǎn)程監(jiān)控和移動(dòng)管理等功能的一種十分復(fù)雜的醫(yī)療信息網(wǎng)絡(luò)。

近日，國(guó)家食品藥品監(jiān)督管理局發(fā)文：《關(guān)于開展先進(jìn)醫(yī)療設(shè)備標(biāo)準(zhǔn)體系研究工作的通知》（國(guó)械標(biāo)管函【2012】10號(hào)），這是為了順利推進(jìn)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)和國(guó)家食品藥品監(jiān)督管理總局關(guān)于《先進(jìn)醫(yī)療設(shè)備標(biāo)準(zhǔn)體系研究項(xiàng)目》的實(shí)施。其中特別針對(duì)醫(yī)療信息產(chǎn)品的安全有效性提出了前瞻性的研究要求。

1 典型的醫(yī)療信息產(chǎn)品

目前我們根據(jù)醫(yī)療信息產(chǎn)品的信息化的程度，可以把典型的醫(yī)療信息產(chǎn)品分為三類：

(1)單純的軟件產(chǎn)品 其中可以是單獨(dú)的客戶端產(chǎn)品，例如放射醫(yī)學(xué)圖像后處理工作站；也可以是網(wǎng)絡(luò)服務(wù)信息系統(tǒng)，例如PACS系統(tǒng)。PACS系統(tǒng)是一種典型的醫(yī)用網(wǎng)絡(luò)軟件。PACS主要的任務(wù)就是把日常產(chǎn)生的各種醫(yī)學(xué)影像（包括核磁，CT，超聲，各種X 光機(jī)等設(shè)備產(chǎn)生的圖像）通過各種接口（模擬，DICOM，網(wǎng)絡(luò)）以數(shù)字化的方式保存起來，當(dāng)需要的時(shí)候在一定的授權(quán)下能夠很快的調(diào)回使用，同時(shí)增加一些輔助診斷管理功能。

(2)帶有網(wǎng)絡(luò)功能的獨(dú)立的物理軟硬件產(chǎn)品 如磁共振成像系統(tǒng)，超聲診斷系統(tǒng)，心電監(jiān)護(hù)系統(tǒng)等。這些設(shè)備本身就可以獨(dú)立獲取患者的醫(yī)療信息，是獨(dú)立的物理硬件，同時(shí)又具有網(wǎng)絡(luò)信息傳輸?shù)哪芰Α．?dāng)不使用網(wǎng)絡(luò)功能時(shí)，基本不影響這些系統(tǒng)的預(yù)期用途和臨床性能。

(3)信息網(wǎng)絡(luò)和物理硬件結(jié)合的綜合系統(tǒng) 這種綜合系統(tǒng)是最復(fù)雜，信息化程度最高的系統(tǒng)，具有醫(yī)療物聯(lián)網(wǎng)的明顯特點(diǎn)。例如：醫(yī)療報(bào)警監(jiān)護(hù)系統(tǒng)，臨床信息系統(tǒng)（CIS）、放射學(xué)信息系統(tǒng)(RIS)、醫(yī)院信息系統(tǒng)(HIS)、實(shí)驗(yàn)室信息系統(tǒng)（LIS）等。這些系統(tǒng)的突出特點(diǎn)是無論離開物理硬件還是離開信息網(wǎng)絡(luò)，他們的預(yù)期用途都不能完成。

圖1 遠(yuǎn)程醫(yī)療系統(tǒng)結(jié)構(gòu)實(shí)例Fig.1 Example of architecture of telemedicine system

2 常見的問題

標(biāo)準(zhǔn)不足是阻礙目前我國(guó)信息化醫(yī)療設(shè)備發(fā)展的重要因素[2]?，F(xiàn)在的醫(yī)療器械的標(biāo)準(zhǔn)體系基本上考慮的是硬件的安全有效性，而對(duì)于信息化的新特征，網(wǎng)絡(luò)化的新功能卻沒有很好地加以規(guī)范。現(xiàn)行的標(biāo)準(zhǔn)主要為：GB25000.51-2010。這份標(biāo)準(zhǔn)主要考慮了商用現(xiàn)貨軟件的廣告說明，說明書和軟件功能有效性[1]。這份標(biāo)準(zhǔn)的要求相對(duì)籠統(tǒng)，在實(shí)際執(zhí)行中容易產(chǎn)生歧義，把握的自由度過大。在我們開展信息設(shè)備檢驗(yàn)的4年中，我們發(fā)現(xiàn)業(yè)內(nèi)仍然存在如下一些主要問題：

(1)各種醫(yī)用軟件已經(jīng)比比皆是，而執(zhí)行的標(biāo)準(zhǔn)是借用軟件行業(yè)的標(biāo)準(zhǔn)，術(shù)語定義不統(tǒng)一[2]，部分條款完全不適合醫(yī)療領(lǐng)域。我們建議修改相關(guān)的標(biāo)準(zhǔn)體系，制定有針對(duì)性的新標(biāo)準(zhǔn)來加以規(guī)范。

(2)人機(jī)交互界面的易用性問題突出，功能顯示不準(zhǔn)確、界面不規(guī)范，使用有歧義，易引發(fā)與現(xiàn)有標(biāo)準(zhǔn)相抵觸的問題。當(dāng)使用web作為交互界面時(shí)，往往由于網(wǎng)絡(luò)擁塞或者網(wǎng)絡(luò)吞吐量的問題導(dǎo)致負(fù)載不穩(wěn)，使得實(shí)際的產(chǎn)品易用性大幅降低。

(3)企業(yè)標(biāo)準(zhǔn)對(duì)自身產(chǎn)品的可靠性和準(zhǔn)確性的要求過于籠統(tǒng)，應(yīng)通過測(cè)試解決許多通過網(wǎng)絡(luò)所提供的信息數(shù)據(jù)的可信度和比對(duì)問題，保證數(shù)據(jù)的接收端和發(fā)出端的信息一致，不應(yīng)該造成信息被修改，丟失等網(wǎng)絡(luò)問題，確保醫(yī)療信息設(shè)備給出的信息和功能是可信的，可測(cè)量或可認(rèn)證的。

(4)安全性考慮不足，沒有標(biāo)準(zhǔn)來要求產(chǎn)品抵抗非預(yù)期的數(shù)據(jù)修改，對(duì)于病人數(shù)據(jù)的隱私保密性基本沒有考慮，病人信息已經(jīng)大量外泄，還發(fā)現(xiàn)一些軟件遭到非預(yù)期的修改（如硬件故障導(dǎo)致）后引發(fā)了安全性的問題，各家軟件企業(yè)基本沒有要求用戶準(zhǔn)備防病毒防木馬的解決方案。

(5)兼容性問題嚴(yán)重，企業(yè)對(duì)于信息數(shù)據(jù)通過有線網(wǎng)絡(luò)，無線通訊網(wǎng)路等方式進(jìn)行傳輸時(shí)，鏈路完整性、傳輸兼容性考慮不周。數(shù)據(jù)格式不統(tǒng)一造成大量的資源浪費(fèi)。規(guī)范兼容性迫在眉睫。

3 測(cè)試技術(shù)

針對(duì)上述問題，我們建議了一些測(cè)試方法。需要指出的是國(guó)內(nèi)軟件測(cè)試行業(yè)剛剛起步，2001年的信息產(chǎn)業(yè)部5號(hào)令才開始規(guī)定軟件必須測(cè)試和登記。而對(duì)于作為醫(yī)療器械看待的醫(yī)療信息產(chǎn)品的第三方測(cè)試，開始的時(shí)間僅僅起步于2008年。而對(duì)于信息網(wǎng)絡(luò)的測(cè)試就更加少了。

按照測(cè)試深入的程度，一般分為白盒測(cè)試、黑盒測(cè)試和介于兩者之間的灰盒測(cè)試。

白盒測(cè)試也稱結(jié)構(gòu)測(cè)試，一般被企業(yè)內(nèi)部進(jìn)行的單元測(cè)試或者模塊測(cè)試所采用，測(cè)試人員依據(jù)程序內(nèi)部邏輯結(jié)構(gòu)的相關(guān)信息，對(duì)程序所有邏輯路徑進(jìn)行測(cè)試，檢查程序的所有模塊的狀態(tài)是否與預(yù)期的狀態(tài)一致。

黑盒測(cè)試著眼于程序外部結(jié)構(gòu)，主要針對(duì)軟件界面和軟件功能進(jìn)行測(cè)試。它檢查程序功能是否能夠按照需求規(guī)范文檔和功能規(guī)范文檔的規(guī)定正常使用，程序是否能適當(dāng)?shù)亟邮蛰斎霐?shù)據(jù)而產(chǎn)生正確的輸出信息。黑盒測(cè)試主要用于發(fā)現(xiàn)如下幾類錯(cuò)誤：(1)功能遺漏或錯(cuò)誤；(2)界面錯(cuò)誤；(3)數(shù)據(jù)訪問錯(cuò)誤；(4)性能偏離或錯(cuò)誤；(5)其他非預(yù)期的偏離或錯(cuò)誤。

注冊(cè)檢測(cè)作為一種第三方檢驗(yàn)一般不會(huì)深入到程序內(nèi)部的每一條邏輯路徑。近年來，第三方檢驗(yàn)已經(jīng)開始涉及到部分更加細(xì)節(jié)的地方，一些審評(píng)和風(fēng)險(xiǎn)要求使得第三方機(jī)構(gòu)也要針對(duì)一些原先系統(tǒng)黑盒測(cè)試不能完成的地方進(jìn)行分析，現(xiàn)在的測(cè)試更多的是一些介于白盒測(cè)試和黑盒測(cè)試之間的灰盒測(cè)試過程，即帶有部分邏輯路徑驗(yàn)證的功能測(cè)試。

3.1 人機(jī)和網(wǎng)絡(luò)交互測(cè)試

現(xiàn)在的眾多的醫(yī)用軟件中基于Web的應(yīng)用組件很多，一些HIS，CIS系統(tǒng)的客戶端就是基于Web的，甚至一些PACS系統(tǒng)的客戶端也有直接使用瀏覽器的Web客戶端，在這些客戶端中可以實(shí)現(xiàn)整個(gè)信息系統(tǒng)中大部分的圖像處理功能和一些信息錄入功能，部分簡(jiǎn)單的信息管理功能也能實(shí)現(xiàn)。Web應(yīng)用的簡(jiǎn)單實(shí)用和通用性強(qiáng)的特點(diǎn)為部署這些應(yīng)用提供了便利。

我們現(xiàn)在進(jìn)行的是客戶端和服務(wù)器端的檢驗(yàn)?？蛻舳藴y(cè)試，包括功能驗(yàn)證測(cè)試，用戶界面的交互性檢驗(yàn)。界面交互性測(cè)試，包含界面上的語言是否有利于醫(yī)療活動(dòng)，界面上的信息是否和隨機(jī)文件一致，醫(yī)療術(shù)語是否符合學(xué)術(shù)規(guī)范，顏色和聲響是否和現(xiàn)在已有的標(biāo)準(zhǔn)沖突等。

服務(wù)器端測(cè)試則主要考慮網(wǎng)絡(luò)測(cè)試。 網(wǎng)絡(luò)測(cè)試主要是利用一些網(wǎng)絡(luò)性能測(cè)試儀表，解碼分析儀表和一致性測(cè)試軟件／儀表產(chǎn)品對(duì)通訊網(wǎng)絡(luò)進(jìn)行檢驗(yàn)以便考察樣品的吞吐量，丟包率、延遲等指標(biāo)。同時(shí)也應(yīng)注意到網(wǎng)絡(luò)測(cè)試現(xiàn)在的測(cè)試重點(diǎn)將逐漸轉(zhuǎn)向可靠性測(cè)試和安全性測(cè)試，網(wǎng)絡(luò)協(xié)議的一致性測(cè)試。

協(xié)議分析儀是定位和排除故障的關(guān)鍵工具，對(duì)于網(wǎng)絡(luò)協(xié)議的一致性測(cè)試，一般有專門的測(cè)試工具來支持，比如說對(duì)ISDN、ATM、ADSL、幀中繼等的測(cè)試都有專門的測(cè)試儀，但是對(duì)于DICOM3.0的協(xié)議并沒有專業(yè)測(cè)試儀，對(duì)于那些已經(jīng)開發(fā)出的實(shí)驗(yàn)性的測(cè)試工具在穩(wěn)定性和可靠性上還不成熟[3]。

我們?cè)谶M(jìn)行網(wǎng)絡(luò)測(cè)試時(shí)主要進(jìn)行如下過程：

(1)網(wǎng)絡(luò)可靠性測(cè)試

使被測(cè)試網(wǎng)絡(luò)在較長(zhǎng)時(shí)間內(nèi)（通常是24～72 h）經(jīng)受較大負(fù)載，通過監(jiān)視網(wǎng)絡(luò)中發(fā)生的錯(cuò)誤和出現(xiàn)的故障，驗(yàn)證在高強(qiáng)度環(huán)境中網(wǎng)絡(luò)系統(tǒng)的存活能力。

(2)網(wǎng)絡(luò)瓶頸測(cè)試

測(cè)試中將要測(cè)試的計(jì)算系統(tǒng)按照每天吞吐量施加壓力，然后再在單個(gè)網(wǎng)絡(luò)組件上進(jìn)行該項(xiàng)測(cè)試，明確各自的最大吞吐量。通過單個(gè)組件的最大吞吐量和系統(tǒng)最大可支持吞吐量之間的差額，我們就能發(fā)現(xiàn)系統(tǒng)瓶頸的位置以及哪些組件有多余容量。

(3)網(wǎng)絡(luò)吞吐量測(cè)試

吞吐量測(cè)試檢測(cè)的是每秒鐘傳輸數(shù)據(jù)的字節(jié)數(shù)和數(shù)據(jù)報(bào)數(shù)，用于檢測(cè)服務(wù)器、磁盤子系統(tǒng)、適配卡等。

(4)網(wǎng)絡(luò)響應(yīng)時(shí)間測(cè)試

檢測(cè)醫(yī)療信息系統(tǒng)完成一系列任務(wù)所需的時(shí)間，本項(xiàng)測(cè)試是用戶最關(guān)心的。在不同負(fù)載，即不同實(shí)際或模擬用戶的數(shù)目下，運(yùn)行某一預(yù)先設(shè)定的測(cè)試用例，對(duì)每個(gè)被測(cè)試的應(yīng)用事件生成一個(gè)負(fù)載響應(yīng)時(shí)間曲線。

3.2 負(fù)載和壓力測(cè)試

根據(jù)GB25000.51要求的效率描述，我們認(rèn)為產(chǎn)品并不是簡(jiǎn)單的實(shí)現(xiàn)了功能，還有實(shí)現(xiàn)功能的效率問題。

服務(wù)器為了響應(yīng)多個(gè)客戶端的請(qǐng)求，有可能出現(xiàn)響應(yīng)錯(cuò)誤、響應(yīng)緩慢、數(shù)據(jù)丟失等錯(cuò)誤。用戶連接到Web應(yīng)用系統(tǒng)的速度根據(jù)上網(wǎng)方式的變化而變化，如果Web系統(tǒng)響應(yīng)時(shí)間太長(zhǎng)，用戶就會(huì)因沒有耐心等待而離開。導(dǎo)致醫(yī)療信息的損失。

應(yīng)用負(fù)載壓力測(cè)試正是用來檢驗(yàn)效率的。那些宣稱能在一定的多用戶多任務(wù)下并行處理請(qǐng)求的醫(yī)療信息處理系統(tǒng)，例如遠(yuǎn)程醫(yī)療系統(tǒng)或者是PACS系統(tǒng)，我們即可以通過逐步增加系統(tǒng)負(fù)載，測(cè)試系統(tǒng)性能的變化，最終確定在什么負(fù)載條件下系統(tǒng)性能不能達(dá)到其宣稱的那樣，并以此來獲得系統(tǒng)能提供的最大服務(wù)級(jí)別。也可以直接達(dá)到系統(tǒng)宣稱的服務(wù)級(jí)別，觀察在這個(gè)壓力下系統(tǒng)的性能是否變得不可接受。我們會(huì)針對(duì)系統(tǒng)的特點(diǎn)靈活選擇如下測(cè)試計(jì)劃：① 單用戶下多任務(wù)的壓力測(cè)試；② 多用戶下的單任務(wù)并發(fā)壓力測(cè)試；③ 多用戶下的多任務(wù)并發(fā)壓力測(cè)試；④ 長(zhǎng)時(shí)間多任務(wù)的循環(huán)強(qiáng)度測(cè)試；⑤ 大數(shù)據(jù)量訪問測(cè)試。

目前可以利用一些商業(yè)化的測(cè)試工具結(jié)合適當(dāng)?shù)呢?fù)載壓力測(cè)試計(jì)劃進(jìn)行測(cè)試，例如：Loadrunner，ApacheJMeter，Testmaker等。我們以系統(tǒng)資源監(jiān)控的指標(biāo)（網(wǎng)絡(luò)，數(shù)據(jù)庫(kù)，服務(wù)器）和程序的響應(yīng)時(shí)間為主要的指針來判斷實(shí)驗(yàn)的成功與否，包括CPU占用率，內(nèi)存使用率，磁盤I/O，網(wǎng)絡(luò)吞吐量等。

負(fù)載壓力測(cè)試可以幫助企業(yè)確定樣品的如下一些特點(diǎn)：① 確定用戶的實(shí)際可能的響應(yīng)時(shí)間；② 考察硬件或者軟件要求的配置表是否正確；③ 檢查系統(tǒng)功能性能一致性；④ 驗(yàn)證系統(tǒng)容量與隨機(jī)文件的一致性。

3.3 準(zhǔn)確性和可靠性測(cè)試

國(guó)家標(biāo)準(zhǔn)GB25000.51要求，所有軟件產(chǎn)品供應(yīng)商在說明書中給出的功能都必須可用。我們認(rèn)為功能的可用和可靠性是不能分開的。可靠性指的是醫(yī)用信息產(chǎn)品在規(guī)定的條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定功能的能力，或者說信息產(chǎn)品應(yīng)該在使用說明書允許的任何負(fù)載下保持所有功能的可用，給出的結(jié)果也是可靠的。我們認(rèn)為醫(yī)療信息系統(tǒng)的可靠性測(cè)試主要針對(duì)如下情況：

(1)應(yīng)用環(huán)境的復(fù)雜性

醫(yī)用軟件內(nèi)部邏輯高度復(fù)雜，驅(qū)動(dòng)的硬件可能簡(jiǎn)單到只有一臺(tái)電腦也可能復(fù)雜到如磁共振整機(jī)等大型設(shè)備，雖然硬件的安全防護(hù)有大量成熟的國(guó)家標(biāo)準(zhǔn)，但是軟件的標(biāo)準(zhǔn)不成熟，而且軟件失效發(fā)生的概率很高[4]。所以遍歷所有功能是必要的。我們的手段是編制功能列表和編制UI訪問入口或菜單項(xiàng)的列表，并且要求將這些列表寫入企業(yè)標(biāo)準(zhǔn)等審批資料，按照功能列表和菜單項(xiàng)列表進(jìn)行測(cè)試用例的設(shè)計(jì)和遍歷。

(2) 物理退化

軟件不存在物理退化現(xiàn)象，硬件失效則主要由于物理退化所致。這就決定了軟件正確性與軟件可靠性密切相關(guān)，一個(gè)正確的軟件任何時(shí)刻均可靠，然而，一個(gè)正確的硬件元器件或系統(tǒng)，則可能在某個(gè)時(shí)刻失效。硬件失效是軟件能否做出適當(dāng)?shù)膽?yīng)有的反應(yīng)對(duì)于醫(yī)療系統(tǒng)的安全至關(guān)重要。這里可以參考IEC60601-1-4的要求進(jìn)行考慮[5]。

(3)醫(yī)療信息系統(tǒng)的可移植性要求

軟件產(chǎn)品本身是惟一的，軟件拷貝不改變軟件本身，而任何兩個(gè)硬件環(huán)境和軟件環(huán)境不可能絕對(duì)相同。醫(yī)療信息系統(tǒng)的遷移有時(shí)沒有仔細(xì)考慮。所以我們不接受任何移植覆蓋的建議，所有移植環(huán)境都將被合理的遍歷。

(4)版本更新較快

硬件通常更新周期較慢，硬件產(chǎn)品一旦定型一般就不會(huì)更改，而軟件產(chǎn)品通常受需求的變更，軟件缺陷的修復(fù)而造成軟件版本更新較快，這也給軟件可靠性評(píng)估帶來較大難度。所以每一次檢驗(yàn)都將記錄產(chǎn)品的版本號(hào)，對(duì)于何種程度的更新需要申報(bào)注冊(cè)，何種程度的更新（如bugfix）則不需要申報(bào)注冊(cè)的問題則需要管理部門的決定。

(5)最好的可靠性是設(shè)計(jì)出來的

按照產(chǎn)品可靠性的形成，可靠性可分為固有可靠性和使用可靠性。固有可靠性是通過設(shè)計(jì)、制造賦予產(chǎn)品的可靠性；雖然有多重模型可以選擇用來評(píng)估產(chǎn)品的可靠性，但是最終仍然依靠設(shè)計(jì)和管理，我們重點(diǎn)檢查的是產(chǎn)品是否含有的冗余設(shè)計(jì)，檢錯(cuò)設(shè)計(jì)，降低復(fù)雜度設(shè)計(jì)，這些設(shè)計(jì)是否有貫穿于整個(gè)研發(fā)流程的可靠性管理。

3.4 安全性測(cè)試

安全性測(cè)試主要考察醫(yī)療信息系統(tǒng)的用戶認(rèn)證機(jī)制，系統(tǒng)加密機(jī)制和安全防護(hù)策略，數(shù)據(jù)備份和恢復(fù)手段。醫(yī)用信息系統(tǒng)中的信息不僅含有一般的身份信息，還有很多醫(yī)療人體生理信息，對(duì)于用戶來說極端重要，所以我們認(rèn)為所有醫(yī)療信息系統(tǒng)的制造商都應(yīng)該陳述系統(tǒng)所需要的安全環(huán)境，包括自帶或者要求提供的防病毒系統(tǒng)，防木馬系統(tǒng)等。

對(duì)系統(tǒng)進(jìn)行全面保障的安全體系，主要體現(xiàn)在以下5個(gè)層次：① 物理層面 基礎(chǔ)設(shè)施的物理安全；② 軟環(huán)境層面 網(wǎng)絡(luò)平臺(tái)、計(jì)算機(jī)操作系統(tǒng)、基本通用應(yīng)用平臺(tái)（服務(wù)，數(shù)據(jù)庫(kù)等）的安全 ③ 數(shù)據(jù)訪問層面 系統(tǒng)數(shù)據(jù)的機(jī)密性、完整性、訪問控制和可恢復(fù)性 ④ 通信鏈路層面 系統(tǒng)之間數(shù)據(jù)通信和會(huì)話訪問不被非法侵犯 ⑤文檔提示 在用戶手冊(cè)上對(duì)系統(tǒng)安全性的動(dòng)態(tài)維護(hù)和保障提供說明，人員應(yīng)該監(jiān)控由于時(shí)間推移和系統(tǒng)運(yùn)行導(dǎo)致安全性的變化。

針對(duì)一個(gè)產(chǎn)品而言，應(yīng)該重點(diǎn)關(guān)注如下測(cè)試方向：

(1)防火墻和入侵檢測(cè)

① 是否提供或者是否在隨機(jī)文檔中指出防火墻的要求；② 足否支持對(duì)HTTP、FTP、SMTP等服務(wù)類型的訪問控制；③ 是否支持對(duì)日志的統(tǒng)計(jì)分析功能，同時(shí)，日志是否可以存儲(chǔ)在本地和網(wǎng)絡(luò)數(shù)據(jù)庫(kù)上；④ 對(duì)防火墻本身或受保護(hù)網(wǎng)段的非法攻擊系統(tǒng)，是否提供多種告警方式以及多種級(jí)別的告警；⑤能否在檢測(cè)到入侵事件時(shí)自動(dòng)執(zhí)行切斷服務(wù)、記錄入侵過程、郵件報(bào)警等動(dòng)作；⑥ 能否提供多種方式對(duì)監(jiān)視引擎和檢測(cè)特征的定期更新服務(wù)。

(2)病毒防治

① 是否提示和要求配置一定的防病毒服務(wù)；②自身能否支持對(duì)病毒和木馬的防治；③ 是否支持補(bǔ)丁升級(jí)服務(wù)；④ 必要時(shí)進(jìn)行模擬攻擊實(shí)驗(yàn)，例如DDOS攻擊等。

(3)證書服務(wù)水平

① 證書認(rèn)證系統(tǒng)是否采用國(guó)家密碼主管部門審批的簽名算法完成簽名操作；② 是否提供證書的簽發(fā)、管理和撤銷；③ 證書/證書撤銷列表的發(fā)布以及證書的審核注冊(cè)。

(4)密鑰管理能力和密碼服務(wù)系統(tǒng)

① 是否制定了密鑰管理策略；② 是否具備密鑰生成、密鑰發(fā)送、密鑰存儲(chǔ)、密鑰 查詢、密鑰撤消、密鑰恢復(fù)等基本功能；③ 密鑰庫(kù)管理功能是否完善，例如是否包含審計(jì)、 認(rèn)證、恢復(fù)、統(tǒng)計(jì)功能；④ 隨機(jī)文檔中是否要求了系統(tǒng)、設(shè)備、數(shù)據(jù)、人員等管理的嚴(yán)密性說明；⑤ 能否提供對(duì)多密碼算法的支持；⑥ 密鑰長(zhǎng)度能否達(dá)到主流水平，是否在說明書中向用戶表明信息。如有必要進(jìn)行系統(tǒng)速度測(cè)試，對(duì)應(yīng)用層的服務(wù)器端進(jìn)行密碼破解測(cè)試。

我們認(rèn)為最基本的安全防護(hù)系統(tǒng)來自于冗余設(shè)計(jì)，供應(yīng)商應(yīng)該指出產(chǎn)品的故障恢復(fù)能力；醫(yī)用信息設(shè)備應(yīng)該具備數(shù)據(jù)備份能力；如果能提供容災(zāi)備份能力，那就特別值得提倡。

3.5 信息系統(tǒng)的兼容性測(cè)試

兼容性的考察主要有如下3個(gè)層次：

(1)硬件環(huán)境兼容性

包括主機(jī)兼容性，驅(qū)動(dòng)硬件兼容性，附件兼容性等，這主要是依據(jù)GB25000.51的要求考察最低配置是否能夠滿足系統(tǒng)運(yùn)行的需要。在最低配置下，所有的軟件功能必須能夠完整地實(shí)現(xiàn)，軟件運(yùn)行速度、響應(yīng)時(shí)間應(yīng)在產(chǎn)品說明文檔規(guī)定的效率的范圍內(nèi)?？疾燔浖?duì)運(yùn)行硬件環(huán)境有無特殊說明。對(duì)于服務(wù)器，是否允許多種服務(wù)部署在一臺(tái)主機(jī)上。

(2)軟件環(huán)境兼容性

包括操作系統(tǒng)平臺(tái)兼容性，數(shù)據(jù)庫(kù)兼容性，與其他軟件的兼容性等。Windows系統(tǒng)，Linux系統(tǒng)，Unix系統(tǒng)等都應(yīng)該單獨(dú)測(cè)試，同一種系統(tǒng)的不同版本之間也應(yīng)該單獨(dú)測(cè)試，因?yàn)橐话闳魏尾僮飨到y(tǒng)公司都不作支持兼容性的承諾，Linux系統(tǒng)即使內(nèi)核相同，只要發(fā)行版的不同也一樣不兼容。SQL數(shù)據(jù)庫(kù)，Oracle 8i，Oracle 9i，DB2等相互兼容性也不能全部保證的。對(duì)于含有數(shù)據(jù)庫(kù)的系統(tǒng)應(yīng)該檢查原數(shù)據(jù)庫(kù)中各種對(duì)象是否能全部移入新數(shù)據(jù)庫(kù)，同時(shí)比較數(shù)據(jù)表中數(shù)據(jù)內(nèi)容數(shù)是否相同。模擬普通用戶操作應(yīng)用的過程，對(duì)應(yīng)用進(jìn)行操作并檢查運(yùn)行結(jié)果，從以往的測(cè)試經(jīng)驗(yàn)來看，如果開發(fā)中使用了數(shù)據(jù)庫(kù)存儲(chǔ)過程，那么在數(shù)據(jù)庫(kù)移植時(shí)最容易出現(xiàn)問題。

我們?cè)谏蟽身?xiàng)測(cè)試通過后，可以針對(duì)服務(wù)器數(shù)據(jù)庫(kù)進(jìn)行性能測(cè)試，并與在原數(shù)據(jù)庫(kù)下的性能基準(zhǔn)數(shù)據(jù)進(jìn)行比照，觀察在數(shù)據(jù)移植后，性能是否有所改變。

(3)網(wǎng)絡(luò)環(huán)境兼容性

主要考察數(shù)據(jù)接口兼容性、通訊線路兼容性等。應(yīng)該確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸中數(shù)據(jù)丟失的補(bǔ)償措施。丟包率的測(cè)試是一種有效的手段。不同企業(yè)的數(shù)據(jù)格式不兼容，應(yīng)該統(tǒng)一一些醫(yī)療軟件的常用格式，增強(qiáng)醫(yī)用信息設(shè)備的擴(kuò)展性，避免一些格式不統(tǒng)一所導(dǎo)致的資源浪費(fèi)，也可以解決現(xiàn)在大量存在的兼容性問題。

4 總結(jié)

上述內(nèi)容簡(jiǎn)單介紹了信息化設(shè)備的測(cè)試技術(shù)和方法，這些測(cè)試在電子通訊領(lǐng)域是廣泛采用的，但是在醫(yī)療設(shè)備領(lǐng)域，由于標(biāo)準(zhǔn)的缺失，這些測(cè)試基本沒有得到應(yīng)用。使得現(xiàn)在市場(chǎng)上的醫(yī)療信息產(chǎn)品發(fā)展水平層次不齊，魚龍混雜。很多產(chǎn)品的宣傳與實(shí)際效果相差甚遠(yuǎn)。兼容性和安全性問題也導(dǎo)致醫(yī)院和病患在使用這些設(shè)備時(shí)遇到了困難和障礙。這些都需要盡快使用標(biāo)準(zhǔn)加以規(guī)范。相信以這些測(cè)試技術(shù)為技術(shù)支撐，信息化的醫(yī)療設(shè)備的標(biāo)準(zhǔn)很快就會(huì)出現(xiàn)，這將掃清我國(guó)數(shù)字醫(yī)療信息化發(fā)展的最大障礙之一，加快我國(guó)醫(yī)療信息設(shè)備的發(fā)展和進(jìn)步。

[1]中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 25000.51-2010 軟件工程 軟件產(chǎn)品質(zhì)量要求與評(píng)價(jià)（SQuaRE）商業(yè)現(xiàn)貨（COTS）軟件產(chǎn)品的質(zhì)量要求和測(cè)試細(xì)則[S].

[2]中國(guó)醫(yī)院協(xié)會(huì)信息管理專業(yè)委員會(huì).中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(2011-2012年度)[R].

[3]羅靜.DICOM測(cè)試方法的研究與實(shí)現(xiàn)[D].浙江大學(xué),2006.

[4]國(guó)家食品藥品監(jiān)督管理局.YY/T 0664-2008 醫(yī)療器械軟件 軟件生存周期過程[S].

[5]IEC 60601-1-4: 2000 Medical electrical equipment-Part 1-4: General requirements for safety – Collateral Standard:Programmable electrical medical systems[S].