在 HAKEEM 建设 EHR/EMR 平台多年,后来在 AFAQ 作为创始人继续这项工作,这段经历告诉我:可见的产品(UI、按钮、病历视图)或许只占让系统在医院内真正运转的15%。其余85%是你看不见的文书工作:法规、审计、互操作,以及那台凌晨三点的药房打印机期待的精确线格式。我培训过的每一位医疗工程师,在交付之前都低估了那85%,交付之后都理解了它。

冰山

想象一个初级工程师第一次演示”生命体征界面”。心率、血压、体温、一个好看的图表。看起来很棒。一个 sprint 里就交付了。

然后现实来了:

  • 这个体征必须来自六种不同品牌的设备,通过三种不同协议(HL7 v2 over TCP、供应商专有二进制格式、较新设备上的 FHIR REST API)。一半设备早于 FHIR,永远不会被升级。
  • 医生手动输入的数字必须与设备数字共存。哪个是权威?答案取决于谁的班次、哪家医院、哪个设备型号,以及哪个病区的规程文件。你需要的是一个来源字段,不是一个值字段。
  • 这个界面必须在六年后经得起审计。不是”显示同样的数字”——而是证明谁在什么时候看了什么,以及他们是否确认了它。这意味着不可变日志,不是覆盖写入。
  • 同一个界面不能跨租户泄漏数据。诊所 A 的生命体征不能出现在诊所 B 的员工面前,即使诊所 A 和诊所 B 有共同的轮岗员工。权限模型是一个关系图,不是一个角色枚举。
  • 监管标准会变。 HL7 v2 是2010年的标准;FHIR 是2025年的标准;2035年的标准是什么还不知道,但它必须能插进来而不用重写病历视图。

每一条都是没人买单的一周工作量。而且大多数不能推迟——它们从第一天起就是合同义务、法律要求或患者安全关键需求。

有帮助的框架

当我在医疗项目开始时就明确画出冰山,初级工程师会有更好的结果。可见产品是15%。可见范围是15%。Sprint 计划大约是15%。其余85%必须做好架构,因为事后补救的成本是两倍。

具体来说,在任何新医疗构建上,我会提前处理这五件事:

  1. 不可变审计日志。 每次对任何患者相关内容的写操作都追加,不更新。我不关心这是行级账本表、事件流还是平面文件——但它必须在第一个功能交付之前就存在。事后补这个,是我在医疗代码库里做过的单项成本最高的事。
  2. 溯源,而不是值。 每个字段有(值、来源、观察时间、置信度)。假装字段只是一个标量,在银行业还行;在两个临床医生从两个不同显示器输入不同数字的系统里,不行。
  3. 查询级别的租户隔离。 Postgres 的行级安全策略,或等效机制。不是”应用层在 tenant_id 上过滤”——因为总有一天应用层会不过滤,那一天就是一次数据泄露。
  4. 互操作层,而不是直接集成。 一个会说 HL7 v2 + FHIR + 各种供应商二进制的小服务,对你应用的其余部分暴露一个干净的内部格式。你会增加格式。你永远不会删除它们。
  5. 常规监管评审节奏。 不是一个关卡,是一个节奏。每个季度,有专人关注 HIPAA / GDPR / 本地等效规定的人看已交付的内容并提出关切。如果没有这个,你会在上线前六个月有一次巨大的恐慌关卡。

简历上掩盖的东西

在我的简历上,AFAQ 是两行:“为医院构建 EHR/EMR 平台。” HAKEEM 是两行:“为公立医院建设国家级 EHR。”

这两行没有说的:

  • 在 AFAQ,我用类 MUMPS 代码写了药物相互作用检查的第一个版本,因为那是药房系统需要的输入格式。我交付它的那周,一个临床医生感谢了我,因为之前的流程是一份放在桌上的 PDF 打印件。
  • 在 HAKEEM,我经历了跨多家医院的部署稳定化,阻塞不是代码——是让六位不同的医疗主任就数据模型里”入院”的含义达成一致。我们几周内交付了代码。达成共识花了几个月。共识才是真正的可交付物。
  • 两个系统至今还在运行,某处。我在2012年写的代码至今仍在约旦某家医院里路由生命体征。这不是吹嘘——这是一个提醒:医疗系统会比它的设计者和合同活得更长。 从第一天就为此做计划。

2026年的转折

说一个安静的部分:AI 辅助工程对那85%来说是非凡的加速器。 那些你看不见的文书工作基本上都是模式工作——审计接线、溯源转换、互操作适配器、租户过滤器。这些正是 LLM 在你用对方式框架时擅长生成的东西。可见产品的那15%是人类判断依然最重要的地方,因为那是临床工作流与 UI 相遇的地方,错误的选择会毁掉人们的下午。

我在2026年看到的错误是相反的:团队用 AI 生成炫目的 dashboard,然后对审计层轻描淡写。正确的顺序是反过来的。用 AI 快速正确地补上那85%;把你的人类注意力花在护士真正触碰的那15%上。

每个医疗工程师应该学的一件事

如果我明天要给一个新工程师做医疗项目入职,我会让他们花第一周阅读来自真实医院 IT 系统的事故报告。不是 HIPAA 违规申报(那是律师的事)。是来自医院 IT 社区的真实事后复盘——打印错误剂量的药房系统、丢失了半个百分点实验室结果的互操作适配器、把三年前患者记录恢复出来却没人发现一周的备份。

那一周会告诉你那85%为什么存在。每一个”我们不需要那个”的捷径,都是别人上个星期二的故事。读够了,你就不会再申请跳过审计日志了。