APARELHO, MÉTODO PARA CRIAR UMA ASSINATURA DIGITAL EM UM APARELHO E MÉTODO PARA OPERAR UM SENSOR
HISTÓRICO DA INVENÇÃO A presente invenção relaciona-se a sensores com uma memória. Ela será descrita em particular cora relação aos sensores de oxímetro de pulso, mas é também igualmente aplicável a outros tipos de sensores.
Oximetria de Pulso A oximetria de pulso ê tipicamente utilizada para medir várias características do fluxo· sanguíneo incluindo, sem a ele se limitar, a saturação sangue-oxigênio da hemoglobina no sangue arterial, e a taxa de pulsações sanguíneas que correspondem a uma taxa de batidas do coração de um paciente. A medição dessas características foi realizada pela utilização de um sensor não-invasivo que passa luz através de uma parte do tecido do paciente onde o sangue irriga o tecido, e sente fotoeletricamente a absorção da luz em tal tecido. Um monitor, conectado ao sensor, determina a quantidade de luz absorvida e calcula a quantidade do constituinte do sangue que está sendo medido, por exemplo, a saturação de oxigênio arterial. A luz passada através do· tecido é selecionada para ser de um ou mais comprimentos de onda que são absorvidos pelo sangue em quantidade representativa da quantidade do constituinte do sangue presente no sangue. A quantidade de luz transmitida ou refletida passada através do tecido irá variar de acordo com a quantidade mutável do constituinte do sangue no tecido e a absorção de luz relacionada. Para medir o nível de oxigênio no sangue, tais sensores foram providos de fontes de luz e fotodetectores que são adaptados para operar em dois comprimentos de onda diferentes, de acordo com técnicas conhecidas para medir a saturação do oxigênio no sangue. Vários métodos foram propostos no passado para codificar a informação nos sensores, incluindo os sensores de oxímetro de pulso, para. transmitir informações úteis para um monitor. Por exemplo, um mecanismo de codificação é mostrado na Patente dos Estados Unidos NellCor número 4.700.708, a revelação da qual é aqui incorporada por referência. Este mecanismo relaciona-se a uma sonda de oxímetro óptico que utiliza um par de diodos emissores de luz (LEDs) para dirigir a luz através de tecido irrigado de sangue, com um detector para detectar a luz que não foi absorvida pelo tecido. A precisão do cálculo de saturação do oxigênio depende de conhecer os comprimentos de onda dos LEDs. Como os comprimentos de onda dos LEDs podem variar, um resistor de codificação é colocado na sonda com o valor do resistor indicando para o monitor os coeficientes de cálculo de saturação de oxigênio apropriados para os comprimentos de onda atuais de pelo menos um dos LEDs ou a combinação de comprimento de onda do LED para o sensor. Quando o instrumento oxímetro é ligado, ele primeiro aplica uma corrente ao resistor de codificação e mede a voltagem para determinar o valor do resistor e assim os coeficientes de cálculo de saturação apropriados a utilizar para os comprimentos de onda dos LEDs na sonda.
Outros mecanismos de codificação também foram propostos em Patentes dos Estados Unidos números 5.259.381; 4.942.877; 4.446.715; 3.790.910; 4.303.984; 4.621.643; 5.246.003; 3.720.177; 4.684.245; 5.645.059; 5.058.588; 4.858.615; e 4.942.877, as revelações das quais são todas aqui incorporadas por referência. A patente '877 era particular revela o armazenamento de uma variedade de dados em uma memória de sensor de oximetria de pulso, incluindo coeficientes para uma equação de saturação para oximetria.
Um problema com as técnicas de codificação de sensor da tecnologia anterior é que a codificação da informação pode às vezes ser imprecisa e/ou não autêntica. Isto resulta no monitor, às vezes, não ser capaz de obter leituras adequadas de um paciente, ou pior ainda, fazer cálculos imprecisos, tal que em casos extremos os códigos imprecisos e as leituras inadequadas resultantes podem significativamente prejudicar a segurança do paciente e contribuir para resultados ruins para o paciente. Códigos imprecisos podem resultar sob uma variedade de circunstâncias. Por exemplo, podem ocorrer erros durante o processo de fabricação ou durante o despacho do sensor. No entanto, mais comum é que os códigos imprecisos são de certa forma utilizados de propósito por fabricantes de sensores de terceiros de baixa qualidade e de descontos que não são licenciados ou autorizados pelo fabricante de monitor correspondente a fornecer sensores de alta qualidade compatíveis. Esses terceiros muitas vezes investir quantidades mínimas em pesquisa e simplesmente não compreendem para que servem os códigos pois eles não compreendem como o monitor funciona ou como o monitor utiliza os códigos. Como não são licenciados pelo fabricante do monitor, esta informação geralmente não está disponível do fabricante do monitor. A mais das vezes, esses terceiros optam por não investir tempo e despesas para aprender através de técnicas de engenharia reversa ou da ciência original como os monitores funcionam e como os códigos são utilizados para assegurar a segurança dos pacientes. Em vez disso, existem numerosos casos em que esses terceiros simplesmente examinam uma gama de valores de códigos utilizados no mercado para característica de dados que está sendo codificada, e toma um valor de código médio para todos os seus sensores de modo a ser "compatível" com determinado monitor. Embora em muitos casos a utilização de um valor de código médio simplesmente resultará em leituras estarem fora da especificação mas não sendo de outra forma particularmente perigosa, o valor de código médio pode ser suficientemente errado para introduzir erros significativos nos algoritmos de computação utilizados pelo monitor e causar significativos problemas de segurança para o paciente. Além disso, sempre que códigos imprecisos de terceiros contribuem para um resultado ruim para o paciente, o paciente prejudicado, ou seus herdeiros, podem tentar manter o fabricante do monitor, junto com os cuidadores diretos, responsáveis. Se os cuidadores não retiveram o sensor de terceiro de baixa qualidade utilizado e não fizeram qualquer registro de sua utilização, o que acontece, seria difícil para o fabricante do monitor estabelecer que o problema foi causado pela utilização do sensor de terceiro de baixa qualidade com seu monitor de outra forma de alta qualidade.
Outra razão de haver uma necessidade da autenticação dos dados digitais armazenados em associação com sensores médicos é a pequena mas real possibilidade de que os dados serão corrompidos entre o tempo da gravação na fábrica e o tempo da leitura pelo instrumento que está monitorando a condição de um paciente. Um exemplo muitas vezes citado de um mecanismo que pode causar tal corrupção é a modificação de um valor gravado na memória digital pela incidência de um raio cósmico energético. Uma fonte mais ordinária de corrompimento é o dano à célula da memória causado por descarga eletrostãtica.
Assim, existe uma necessidade na tecnologia de criar um meio de comunicar códigos complexos precisos e autênticos de um sensor para um monitor para assegurar cálculos precisos e o monitoramento preciso do paciente pelo monitor.
SUMÁRIO DA INVENÇÃO
Assim, é um objeto da invenção fornecer um sensor que tem códigos úteis para um monitor que pode ser autenticado como preciso.
Este e outros objetos são alcançados por um sensor que produz um sinal que corresponde a uma característica fisiológica mensurada de um paciente e que fornece códigos que podem ser assegurados de serem precisos e autênticos quando utilizados por um monitor. Uma memória associada ao sensor armazena os códigos e outros dados relacionados ao sensor, a memória também contendo uma assinatura digital. A assinatura digital autentica os controles de qualidade predeterminados, e assegura os códigos como precisos.
Em uma versão, a assinatura digital é produzida durante o processo de fabricação do sensor utilizando uma chave privada de um par chave privada/chave pública, com a assinatura então sendo verificada com a chave pública embutida em processadores em uma leitora do sensor externa (por exemplo, monitor). A assinatura pode ser separada dos dados. Ou, em vez de a assinatura ser apensada aos dados, a própria assinatura pode conter a totalidade ou pelo menos alguns dos dados e assim fornece um nível de mascaramento dos dados.
De acordo com uma versão da invenção, qualquer um de vários métodos de assinatura de chave pública/chave privada conhecidos podem ser utilizados. Esses incluem Diffie-Hellman (e suas variantes, como a Norma de Assinatura Digital do National Institute of Standards and Technology, El Gamai■ e as abordagens de curva elíptica), RSA (desenvolvido no Massachusetts Institute of Technology), e Rabín-Williams.
Em uma outra versão da invenção, uma compilação de uma parte dos dados a serem assinados é incluída na assinatura para verificar que erros nos dados não ocorreram. Cada peça de dado é preferivelmente organizada para incluir um ID de campo, indicando o tipo de dado a seguir, seguido de um elemento de comprimento de dado, seguido pela peça do dado. Um bit obrigatório também é preferivelmente fornecido indicativo de se o conhecimento de como utilizar a peça de dado pelo monitor é obrigatória para a operação do sensor com o monitor. Assim, um monitor mais velho que não reconhece uma peça de dado não crítica pode simplesmente desconsiderá-la, pois presumivelmente ela não implementará o recurso aprimorado que corresponde à peça de dado. No entanto, se a peça de dado for necessária para a operação apropriada de um sensor, o bit obrigatório será fixado, e a leitura/monitor do sensor indicará que ele não pode utilizar o determinado sensor que foi ligado.
Em ainda outra versão, o dado assinado armazenado com o sensor incluiría pelo menos um coeficiente de curva de calibração dependente do sensor utilizada para calcular a saturação do oxigênio por um monitor. Adicionalmente, os dados podem incluir limites de desligamento (OFF) do sensor e os coeficientes de calibração do termistor apropriados para sensores que incluem um termistor. Parte de tais dados podem ser incluídos dentro da assinatura, e isto ou outros dados poderíam ser incluídos fora da assinatura. Os dados fora da assinatura poderíam ser criptografados (ou mascarado), se desejado, com um algoritmo de criptografia de chave simétrica, por exemplo a Norma de Criptografia de Dados (DES) da NIST, e a chave simétrica podería ser incluída na assinatura. Alternativamente, a chave simétrica podería ser derivada da compilação , que é contida dentro da assinatura.
Para uma maior compreènsão da natureza e vantagens da invenção, referência deve ser feita à descrição seguinte tomada em conjunto com os desenhos acompanhantes.
DESCRIÇÃO SUCINTA DOS DESENHOS A Figura 1 é um diagrama de blocos de um sensor e do sistema de leitora do sensor que incorpora a invenção. A Figura 2 é um diagrama de blocos do conteúdo de uma memória do sensor mostrado na Figura 1. A Figura 3 é um diagrama de blocos que ilustra um sistema para a assinatura dos dados durante a fabricação de um sensor. A Figura 4 é um diagrama que ilustra o mecanismo de assinatura pelo sistema da Figura 3. A Figura 5 é um diagrama de fluxo de dados que ilustra os dados gerados no método da Figura 4. A Figura 6 é um diagrama de uma versão de uma leitora ou monitor de sensor, ilustrando diferentes módulos de software. A Figura 7 é um fluxograma que ilustra a leitura de um sensor de acordo com a invenção. A Figura 8 é um diagrama que ilustra o fluxo dos dados lidos no método da Figura 7. A Figura 9 é um diagrama de campos diferentes nos dados. A Figura 10 é um diagrama de blocos de um sistema de sensor que utiliza um adaptador com uma assinatura digital no adaptador.
DESCRIÇÃO DAS VERSÕES ESPECÍFICAS
Definições DADOS ASSINADOS são dados que foram incluídos na computação de uma compilação (pela utilização de uma função aleatória (hash)), esta compilação sendo, por sua vez, incluída na computação de uma assinatura digital, de modo que qualquer alteração posterior dos dados será detectado por uma falha da verificação da assinatura digital. Dados que foram assinados podem eventualmente residir quer dentro ou fora da assinatura digital. No processo conhecido como "assinatura digital com recuperação de mensagem", os dados residem inteiramente dentro da assinatura digital. Até que a assinatura seja verificada, os dados estão em forma misturada, de modo que o observador casual não poderá compreendê-los. 0 processo matemático que verifica a assinatura desmistura, ou "recupera" os dados. No processo conhecido como "assinatura digital com recuperação parcial", que é preferida para a invenção aqui descrita, uma parte dos dados assinados é incluída dentro da assinatura, e dados adicionais residem fora da assinatura. A parte de dados dentro da assinatura é obscurecida até a assinatura ser verificada, mas a parte externa permanece facilmente legível, a menos que um processo de máscara é utilizado para obscurecê-la. DADOS MASCARADOS, como o termo é aqui utilizado, são dados que foram criptografados de modo a serem recuperados com uma chave de desmascaramento que é incluída dentro da assinatura. Durante a verificação da assinatura, a chave de desmascaramento é recuperada. Essa chave de desmascaramento pode então ser utilizada para descriptografar os dados mascarados. Em uma versão preferida, os dados mascarados são criptografados sob uma chave simétrica, que quer dizer que as chaves de criptografia e de descriptografia (isto é, as chaves de mascaramento e de desmascaramento} são idênticas. Em uma versão especialmente preferida, a compilação da mensagem que é incorporada na assinatura digital é utilizada como uma chave simétrica para o mascaramento e o desmascaramento dos dados fora da assinatura.
Leitor/Monitor do sensor A Figura 1 é um diagrama de blocos de uma versão preferida da invenção. A Figura 1 mostra um oxímetro de pulso 17 (ou leitora de sensor) que é conectado a um sensor não-invasivo 15 afixado ao tecido do paciente 18. Luz dos LEDs do sensor 14 passa dentro do tecido do paciente 18, e após ser transmitida através ou refletida do tecido 18, a luz é recebida pelo fotosensor 16. Dois ou mais LEDs podem ser utilizados dependendo da versão da presente invenção. 0 fotosensor 16 converte a energia recebida em um sinal elétrico, que é então alimentado ao amplificador de entrada 20.
Fontes de luz diferentes dos LEDs podem ser utilizadas. Por exemplo, lasers poderíam ser uitilizados, ou uma fonte de luz branca podería ser utilizada com filtros de comprimento de onda apropriados quer na extremidade transmissora ou na receptora. A Unidade de Processamento de Tempo (TPU) 48 envia sinais de controle para o acionador de LED 32, para ativar os LEDs, tipicamente em alternação. Mais uma vez, dependendo da versão, o acionador pode controlar dois ou qualquer número desejado adicional de LEDs. 0 sinal recebido do amplificador de entrada 20 é passado através de três canais diferentes como é mostrado na versão da Figura 3 para três comprimentos de onda diferentes. Alternativamente, dois canais para dois comprimentos de onda poderíam ser utilizados, ou N canais para N comprimentos de onda. Cada canal inclui um comutador analógico 40, um filtro de passagem baixa 42, e um conversor analógico para digital (A/D) 38. Linhas de controle do TPU 48 selecionam o canal apropriado quando o LED correspondente 14 estiver sendo acionado, em sincronização. Um módulo serial enfíleirado (QSM) 46 recebe os dados digitais de cada um dos canais através de linhas de dados dos conversores A/D. A CPU 50 transfere os dados do QSM 46 dentro da RAM 52 à medida que o TSM 46 enche periodicamente. Em uma versão, QSM 46, TPU 48, CPU 50 e RAM 52 são parte de um circuito integrado, como uma mi crocontroladora.
Memória do sensor 0 sensor 15, que inclui o fotodetector 16 e os LEDs 14, tem uma memória de sensor 12 a ele associada. A memória 12 está conectada à CPU 50 na leitora do sensor ou no monitor 17. A memória 12 podería ser embalada em um corpo do sensor 15 ou em uma tomada elétrica conectada ao sensor. Alternativamente, a memória 12 podería ser embalada em um acondicionamento que é afixado a uma superfície externa do monitor, ou a memória 12 podería ser localizada em qualquer lugar em uma via de sinal entre o corpo do sensor e o monitor. Especificamente, de acordo com algumas versões preferidas, o conteúdo da memória de sensor 12 podería ser constante para todos os sensores associados a um modelo de sensor em particular. Neste caso, em vez de colocar uma memória individual 12 em cada sensor associado a este modelo, a memória 12 podería, em vez disso, ser incluída em um cabo de extensão reutilizável associado ao modelo do sensor. Se o modelo do sensor for um sensor descartável, neste caso uma única memória 12 podería ser incorporada em um cabo de extensão reutilizável. 0 cabo reutilizável podería então ser utilizado com múltiplos sensores descartáveis. A Figura 2 é um diagrama do conteúdo da memória 12 da Figura 1 de acordo com uma versão preferida. Uma assinatura digital 60 ocupa uma primeira parte da memória, com a assinatura preferivelmente incluindo dados relacionados ao sensor. Uma segunda parte 62 contém dados que são assinados e mascarados. Uma terceira parte 64 inclui dados que são assinados mas permanecem claros (isto é, eles não são mascarados). Finalmente, uma parte 66 é reservada para gravar na memória do sensor pela leitora do sensor. A parte 66 não é nem assinada nem mascarada. Embora esta versão preferida seja mostrada para fins de ilustração, deve ser compreendido que a memória 12 pode conter muitos blocos -di-ferentes de dados fora da assinatura digital, cada um dos quais pode ser assinado e/ou mascarado de acordo com os requisitos de determinada versão. Esses blocos diferentes de dados podem ser dispostos em qualquer ordem desejada, por exemplo, múltiplos blocos assinados e não assinados podem ser entrelaçados, e múltiplos blocos mascarados e não mascarados podem ser entrelaçados. Também deve ser compreendidos que os dados gravados na memória 12 pela leitora do sensor é um recurso opcional, e que tais dados podem opcionalmente ser mascarados.
Gravação da assinatura na fábrica A Figura 3 é um diagrama de blocos de uma versão de um sistema utilizado em uma fábrica para gravar a assinatura na memória do sensor 12. É mostrado na Figura 3 um computador pessoal 70 e um coprocessador criptográfico associado 72 que contém e utiliza uma chave privada de um par de chave pública/privada. A chave privada é contida dentro de uma memória dentro do coprocessador 72. Esta chave é preferivelmente não lida por qualquer um para preservar a segurança. A chave pública correspondente pode ser conhecida tanto pelo PC 70 como pelo coprocessador 72, ou pode ser emitida pelo coprocessador 72.
Os dados que são assinados pelo coprocessador 72 podem vir de mais de uma fonte. É mostrado um testador 76 para testar o sensor para determinar o valor de certos componentes do sensor 78, como o comprimento de onda do LED, resistência do termistor, etc. Esses valores de dados são então fornecidos ao PC 70 ao longo da linha 80. Informações adicionais 82 podem ser entradas por um teclado ou de outra base de dados ao longo das linhas 84, Esses dados podem incluir, por exemplo, um número de série para o sensor, uma data de fabricação, um número de lote, uma compilação da parte dos dados a serem assinados, ou outra informação.
Os dados a serem assinados e os outros dados a serem incluídos na memória 12 são passados do PC para o coprocessador criptográfico 72, O coprocessador 72 calcula uma compilação dos dados que estão sendo assinados, e assina, com a chave privada, a compilação e os outros dados cuja assinatura ê desejada. A assinatura e os dados nela contidos podem incluir uma chave simétrica para outros dados que estão sendo mascarados, ou informações das quais uma chave simétrica pode ser derivada. O coprocessador transmite a assinatura de volta ao PC 70. O PC 70 preferivelmente mascara alguns dos dados que não estão incluídos na assinatura, e combina os dados mascarados, a assinatura e dados em claro e transmite tudo isso para a memória 12 nas linhas 86. A Figura 4 ê um diagrama que ilustra a operação do sistema da Figura 3. A Figura 5 ilustra o fluxo de dados de acordo com o método da Figura 4.
Primeiro, o sensor é testado e os parâmetros medidos 88 do sensor, como comprimento de onda de LED, são fornecidos. A seguir, qualquer outros dados 89 são entrados. Os dados são então ordenados (etapa 90). Esta ordenação resulta no primeiro dado 91 a ser assinado, o segundo dado 92 a ser mascarado, e o terceiro dado 93, que estará em claro, isto é, nem mascarado nem assinado. Para verificar que nenhum erro ocorre em qualquer um dos dados 91, 92, 93 durante a fabricação ou durante uma etapa subsequente de leitura/descriptografação quando o sensor é utilizado, uma compilação 95 é criada (etapa 94) de todos os dados 91, 92, 93 durante a fabricação e é incluída dentro da assinatura. A compilação é produzida como uma saída de uma função aleatória aplicada aos dados 91, 92, 93. A compilação pode ser comparada a um CRC complicado. Quando os dados e a compilação são posteriormente lidos por um monitor subseqüente â descriptografação, se um ou mais bits de erro ocorrerem em qualquer um dos dados 91, 92, 93, uma segunda compilação que o monitor criará dos dados lidos não corresponderá a compilação extraída da memória, assim indicando que um ou mais erros foram introduzidos em algum lugar na gravação ou nos processos de verificação da assinatura. Um exemplo de uma função aleatória adequada é SHA-1, descrita na Publicação de Normas de Processamento de Informação Federal, PUB 180-1, Secure Hash Standard (Norma Segura de Aleatoriedade), National Institute of Standards & Technology, 1995. A compilação 95 e os dados 91 são assinados juntamente com dados de formatação 99 acrescentados na etapa 100 para produzir uma assinatura 101 na etapa 96. Os dados de formatação são acrescentados na etapa 100, por exemplo, de acordo com a Norma Internacional ISO/IEC 9796-2, uma norma para assinaturas digitais. Os dados 92 são mascarados na etapa 103. Esta assinatura 101, os dados mascarados 103 e os dados em claro 93 são então combinados pelo coprocessador 72 e o PC 70 e armazenados na memória do sensor 12. A chave privada utilizada para assinar os dados 91 é preferivelmente um algoritmo de assinatura digital Rabin-Williams, um exemplo do qual é descrito em ISO 9796-2.
Em uma versão, o bloco original de dados a serem assinados, bloco 91, é de 73 bytes ou menos mais uma compilação de 20 bytes mais 3 bytes de dados de formatação 99. Isto produz uma mensagem assinada de 96 bytes. Assinaturas mais longas também podem ser utilizadas, por exemplo, assinaturas com 128 bytes com 106 bytes sendo recebidos como dados úteis 91. O comprimento da assinatura depende do grau de segurança desejado e da quantidade de capacidade de descriptografaçao do monitor.
Leitura da assinatura pela leitora/monitor no campo A Figura 6 ilustra uma parte de uma leitora de sensor ou monitor 17 para verificar a assinatura digital e recuperar os dados de um sensor quando utilizado em um paciente. Os dados são primeiro recuperados da memória do sensor e armazenados em uma memória 110 pela CPU 50. A leitura do sensor tem uma chave pública em uma memória 112, que é tipicamente carregada na ocasião da fabricação do monitor ou é fornecida como uma atualização do monitor. Um programa de verificação de assinatura e de recuperação de dados é armazenado em uma parte da memória 114. A Figura 7 ilustra a operação do programa de verificação da assinatura e de recuperação dos dados da parte da memória 114 da Figura 6. A Figura 8 é um diagrama que ilustra o movimento dos dados de acordo com o fluxograma da Figura 7. Os dados são primeiro recuperados da memória do sensor na etapa 106. Os dados 102 recuperados são mostrados na Figura 8 como consistindo da assinatura 101, dos dados mascarados 107 e dos dados em claro 93. A chave pública 112 é então recuperada da memória do monitor (etapa 108) . A assinatura e a chave pública são então fornecidas-como entradas para um transforme criptográfico para obter os dados de assinatura 91 e a compilação da memória 95 (etapa 109). A compilação da memória é utilizada para determinar a chave simétrica dos dados mascarados, e esta chave é então utilizada para descriptografar os dados mascarados 107 para obter os dados originais 92 que foram mascarados (etapa 116) .
Para verificar a precisão de todos os dados 91, 92, 93, uma segunda compilação é então criada pelo monitor dos dados assinados descriptografados 91, dos dados não mascarados 92, e dos dados em claro 93 utilizando uma função aleatória 118 (etapa 120). Isto criará uma nova compilação 122 que pode então ser comparada com a compilação original 95 (lida da memória) em uma etapa 124. Se as compilações são as mesmas, a assinatura é verificada e a mensagem (dados combinados 91, 92, 93) é autenticada (etapa 126). 0 monitor então utiliza a mensagem em sua operação. Se, por outro lado, as compilações não forem as mesmas, a mensagem é determinada como sendo corrompida e o monitor indicará um sinal de sensor defeituoso para o usuário do monitor e não utilizara a mensagem (128) .
Como pode ser observado, a invenção aplica singularmente assinaturas digitais a sensores e, em particular, sensores de oxímetro de pulso. A aplicação singular a um sensor permite que a leitora/monitor do sensor verifique a precisão da mensagem (dados), a autenticidade quanto a sua origem e a qualidade do sensor, e protege informações de especificação do sensor sensíveis de serem facilmente descobertas e utilizadas erroneamente por fabricantes de sensor não inovadores.
Campos de assinatura A Figura 9 ilustra em maior detalhe uma versão dos dados de assinatura 91, da compilação 95 e dos dados de formatação 99. Em particular, os dados de assinatura 91 são decompostos em um número arbitrário de campos 132, seguido de um CRC 134. Cada campo 132 inclui um CD de campo de um byte 136, que identifica o tipo de dados apresentados em seu campo. Um único bit 138 indica se aquele campo é ou não obrigatório. A seguir, há 7 bits em um bloco 140 que identifica o comprimento do campo. Finalmente, os dados de campo são fornecidos em um bloco de byte 142.
Em operação, se um monitor ou leitora de sensor existente não for capaz de lidar ou não reconhecer o ID de campo em particular 136, ele pode procurar pelo comprimento do campo 140 e calcular quantos dados saltar para chegar ao próximo campo. No entanto, ele primeiro verifica o bit obrigatório 138 para determinar se este dado é obrigatório para a operação do sensor. Se ele for obrigatório, o monitor ou a leitora do sensor produzirá uma mensagem de erro indicando que não é capaz de ler apropriadamente o sensor anexado. Se não for obrigatório, o monitor ou leitora do sensor simplesmente ignorará este campo de dado.
Este formato de campo assim fornece flexibilidade em embalar dados dentro do bloco de dados de assinatura, e também a capacidade de atualização e a compatibilidade com as leitoras de sensor existentes e gerações futuras de sensores e de monitores.
Em uma versão, um identificador de campo de um valor selecionado é designado como um "caractere de escape", indicando que o caractere seguinte é o identificador de um conjunto extenso. Isto permite a capacidade de acrescentar, apagar, deslocar, comprimir ou esticar os campos que são incluídos em uma mensagem sem ter de apelar para endereços fixos.
Tipos de dados 0 seguinte são exemplos de tipos de dados que podem ser incluídos na memória 12 em uma versão.
Os coeficientes atuais ou dados a serem aplicados às equações para o cálculo de saturação para o oxímetro de pulso poderíam ser armazenados. Esses coeficientes podem ser armazenados em vez de armazenar um valor que corresponde ao comprimento de onda de LED medido. 0 resultado é flexibilidade grandemente aumentada no projeto do sensor, pois as curvas de calibração não são limitadas a um pequeno conjunto de curvas que foram fornecidas em instrumentos.
Alternativamente aos coeficientes ou em aditamento aos mesmos, os comprimentos de onda de LED poderíam simplesmente ser armazenados. Outrossim, as características de comprimento de onda de emissão secundária poderíam ser armazenados, e outros parâmetros de LED.
Certos sensores podem ter termistores utilizados para medir a temperatura local para fins como a compensação de curvas de calibração para a temperatura do sensor, ou para impedir a queima do paciente. Os coeficientes de calibração para o termistor poderíam ser armazenados.
Outros dados que podem ser incluídos na memória 12 poderíam incluir, por exemplo, um código de lote que permitirá o tracejamento do sensor, um sinalizadox de sensor ruim, uma data de fabricação, informação do teste de fabricação, a versão do programa de software de assinatura utilizado para a assinatura, características V/I de encaminhamento de LED, características de potência óptica de LED, uma característica da eficiência do detector, uma potência de LED segura máxima, um nível de revisão do conjunto de dados do sensor (indicando as características incluídas no sensor), um ID do modelo do sensor, um sinalizador de consulta adulto/neonatal (para disparar uma faixa de limite de alarme desejado dependendo de se um neonato ou um adulto é monitorado, com diferentes níveis de saturação de oxigênio normal para a oximetria de pulso), um sinalizador de gravar uma vez/gravar muitas vezes, um tamanho de página, um número de páginas, e um número máximo de eventos de reciclagem.
Alternativamente, qualquer um dos tipos de dados mencionados acima ou descritos nas referências da tecnologia anterior citadas poderíam ser utilizadas e armazenadas quer nos dados mascarados 92, nos dados de assinatura 91, ou nos dados em claro 93. A Figura 10 é um diagrama de blocos de um sistema de sensor que incorpora um adaptador com uma assinatura digital no adaptador. A Figura 10 mostra um sensor 202 conectado a um adaptador 204, que, por sua vez, é conectado a um monitor 206. 0 adaptador inclui circuito de condicionamento de sinal 208, uma memória com uma assinatura digital 210, e um monitor interno 212, Uma utilização de tal adaptador seria para uma classe de sensores projetados para serem conectados a tal adaptador sem uma assinatura digital. O próprio adaptador podería fornecer a assinatura digital ao monitor externo 206. Assim, por exemplo, em vez de cada sensor ser certificado, um método diferente para determinar que os sensores são certificados pode ser utilizado, com o adaptador fornecendo a certificação para o monitor externo.
Na versão mostrada na Figura 10, o adaptador também inclui um monitor interno 212. Este monitor interno pode ser utilizado para fornecer tela de saída ou outros sinais que são diferentes, ou variações, das saídas e telas fornecidas pelos monitores externos 206 no campo. Para assegurar que quaisquer saídas ou telas pelos dois monitores são consistentes, o bloco de condicionamento de sinal 208 pode modificar o sinal do sensor de modo que, em sua forma modificada, o sinal emitido na linha 214 para o monitor externo 206 fará com que o monitor externo 206 crie um sinal de saída correspondente àquele produzido pelo monitor interno 212. Por exemplo, um sinal de paciente pode ser obtido do sensor 202 que corresponde a um valor do oxímetro de pulso. Uma estimativa de saturação e de taxa de batidas do coração pode ser gerada no monitor interno 212, com o bloco 208 gerando um sinal CA sintético que ele envia para o monitor externo 206. A construção de um sinal sintético seria tal de modo a assegurar que o monitor externo calcule uma taxa de batidas de coração similar e uma saturação para o monitor interno 212. A assinatura digital pode ser uma assinatura de qualquer dado incluindo dados de paciente não filtrados, dados de paciente filtrados, um sinal fisiológico de paciente sintético ou qualquer outro dado.
Como será compreendido pox aqueles de habilidade na tecnologia, a presente invenção pode ser incorporada em outras formas específicas sem desviar das características essenciais da invenção. Assim, o que antecede pretende ser ilustrativo, sem ser limitativo, do escopo da invenção que é estabelecido nas reivindicações seguintes.