hms/docs/discussions/2026-04-28-system-review-and-brainstorm.md

HMS 系统全景梳理与多专家头脑风暴

日期: 2026-04-28 | 参与者: iven, Claude (多专家角色)

背景

系统经过快速迭代，代码库规模已显著增长（18 crate, 77k 行 Rust, 163 前端文件, 409 次提交）。wiki 数据严重滞后于实际状态。本次全面梳理后召开多专家头脑风暴，确定下一阶段方向。

系统现状全景

关键数据（实际值 vs 之前 wiki 值）

指标	wiki 更新前	实际值
Rust crate	15	18
数据库迁移	72	76
erp-health 实体	34	44
Web 前端文件	133	163
Rust 代码行	~63k	~77k
Git 提交	301	409
后端测试	119	384（225 单元 + 159 集成）

架构优势

1. 模块化设计优秀 — ErpModule trait + 拓扑排序 + 依赖注入
2. 事件驱动完整 — EventBus + Outbox + LISTEN/NOTIFY + 幂等消费 + Dead Letter
3. 安全体系完善 — PII 加密(KEK/DEK) + HMAC 盲索引 + RLS + 审计哈希链
4. 健康模块业务域覆盖全面 — 44 实体覆盖患者/体征/预约/随访/咨询/告警/积分/透析等

主要风险

1. P1: AI 模块使用 placeholder 数据，HealthDataProviderImpl 全部 stub
2. P1: erp-dialysis 已拆分但 erp-server 未注册激活
3. P2: 4 个核心模块（config/message/workflow/ai）零单元测试
4. P2: i18n 未实现，所有前端文本硬编码中文

议题 A：erp-dialysis 模块归属决策

现状审计

• erp-dialysis crate：17 个源文件，~1,490 行 Rust
  • 2 个实体（dialysis_record, dialysis_prescription）
  • 完整的 entity/service/handler/dto 四层架构
  • DialysisModule 已实现 ErpModule trait
  • 4 个权限码（但用了 health.health-data.list/manage 而非专用 health.dialysis.*）
  • 依赖仅 erp-core，无其他业务依赖
• erp-health 中已无 dialysis 的 entity/service/handler（已完全迁出）
• erp-health 中残留：stats 端点引用透析统计、validation 中引用透析验证
• erp-server 中未注册 DialysisModule
• 集成测试在 erp-server/tests/ 下（2 个文件）

决策

接入并激活。代码已完整拆分，只需在 erp-server 注册 DialysisModule、挂载路由、修复权限码和测试引用。约 2 小时工作量。

待办

• erp-server/Cargo.toml 添加 erp-dialysis 依赖
• erp-server/main.rs 注册 DialysisModule
• 修复权限码：使用 health.dialysis.list/manage 替代借用的 health.health-data.*
• 迁移集成测试引用
• 清理 erp-health 中的残留引用

议题 B：测试覆盖率提升路径

现状

Crate	单元测试	集成测试	覆盖评估
erp-health	104	159	良好
erp-core	42	-	良好
erp-auth	38	3	中等
erp-plugin	31	2	中等
erp-dialysis	10	-	中等
erp-config	0	-	缺失
erp-message	0	-	缺失
erp-workflow	0	-	缺失
erp-ai	0	-	缺失

决策

按风险排序。优先补充业务风险最高、影响面最大的模块。

优先级

1. P0 erp-workflow — BPMN 引擎是业务核心，parser + executor + expression evaluator 零测试
2. P1 erp-ai — AI 输入脱敏 + Prompt 模板注入风险高
3. P2 erp-message — SSE 推送 + 事件消费者影响通知可靠性
4. P3 erp-config — CRUD 为主，风险最低

议题 C：AI 集成破局

现状

• erp-ai 4 个 SSE 分析端点（lab_report, trends, checkup_plan, report_summary）全部使用 placeholder 数据
• HealthDataProviderImpl 4 个方法全部 stub
• HealthDataProvider trait 定义在 erp-core，桥接实现放在 erp-health/src/health_provider_impl.rs
• AI 模块依赖 erp-health 但无法获取真实数据

决策

数据桥接优先。先实现 HealthDataProvider trait 的 4 个方法，从真实数据替换 placeholder。

数据桥接方向

1. 化验单解读 (lab_report) — 查询患者的 lab_report + vital_signs，构造结构化输入给 Claude
2. 趋势分析 (trends) — 查询时间序列体征数据（vital_signs + vital_signs_hourly），生成趋势描述
3. 体检方案 (checkup_plan) — 查询患者基本信息 + 诊断 + 体征，生成个性化体检建议
4. 报告摘要 (report_summary) — 查询健康档案 + 化验 + 诊断，生成综合健康报告

安全要求

• AI 输入必须经过 sanitization 模块脱敏
• AI 输出不可直接存入数据库，必须经过审核流程
• 患者数据跨模块传输通过 trait 接口，不直接依赖

议题 D：3 个月产品路线图

决策

AI 驱动路线。以 AI 数据桥接为核心主线，其他工作围绕它展开。

Phase 1：基础准备（第 1-2 周）

• 激活 erp-dialysis 模块（2 小时）
• 补充 erp-workflow 单元测试（P0）
• wiki 全面更新（已完成）

Phase 2：AI 数据桥接（第 3-6 周）

• 实现 HealthDataProviderImpl 4 个方法
• 替换所有 placeholder 数据为真实患者数据
• 补充 erp-ai 单元测试（Mock Claude API）
• AI 输入/输出安全脱敏完善

Phase 3：前端 AI 体验（第 7-8 周）

• AI 分析页面交互优化（流式响应 UI）
• 化验单解读结果展示组件
• 趋势图表 + AI 解读联动

Phase 4：小程序医护端（第 9-10 周）

• 医护端工作台完善
• 患者列表/详情/报告查看优化
• 随访管理流程打通

Phase 5：安全加固（第 11-12 周）

• 补充 erp-message 单元测试
• RLS 全面验证（多租户隔离测试）
• 安全扫描 + 修复

结论

4 个议题均已达成决策：

1. dialysis → 接入激活（2 小时工作量）
2. 测试 → 按风险排序（workflow > ai > message > config）
3. AI → 数据桥接优先，实现 HealthDataProvider 4 个方法
4. 路线图 → AI 驱动路线，3 个月分 5 个 Phase

产出物

• wiki 9 个文件更新（index/erp-health/erp-server/architecture/testing/database/frontend/erp-core + CLAUDE.md scope 表）
• 本讨论记录
• 后续：按路线图分阶段执行