CN112469468A - 安全关键电子设备锁 - Google Patents

安全关键电子设备锁 Download PDF

Info

Publication number
CN112469468A
CN112469468A CN201980048876.4A CN201980048876A CN112469468A CN 112469468 A CN112469468 A CN 112469468A CN 201980048876 A CN201980048876 A CN 201980048876A CN 112469468 A CN112469468 A CN 112469468A
Authority
CN
China
Prior art keywords
electronic device
nvm
implantable component
processor
fault
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201980048876.4A
Other languages
English (en)
Inventor
H·C·埃德尔
M·特里尤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cochlear Ltd
Original Assignee
Cochlear Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cochlear Ltd filed Critical Cochlear Ltd
Publication of CN112469468A publication Critical patent/CN112469468A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61NELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
    • A61N1/00Electrotherapy; Circuits therefor
    • A61N1/02Details
    • A61N1/025Digital circuitry features of electrotherapy devices, e.g. memory, clocks, processors
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61NELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
    • A61N1/00Electrotherapy; Circuits therefor
    • A61N1/02Details
    • A61N1/08Arrangements or circuits for monitoring, protecting, controlling or indicating
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61NELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
    • A61N1/00Electrotherapy; Circuits therefor
    • A61N1/18Applying electric currents by contact electrodes
    • A61N1/32Applying electric currents by contact electrodes alternating or intermittent currents
    • A61N1/36Applying electric currents by contact electrodes alternating or intermittent currents for stimulation
    • A61N1/36036Applying electric currents by contact electrodes alternating or intermittent currents for stimulation of the outer, middle or inner ear
    • A61N1/36038Cochlear stimulation
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61NELECTROTHERAPY; MAGNETOTHERAPY; RADIATION THERAPY; ULTRASOUND THERAPY
    • A61N1/00Electrotherapy; Circuits therefor
    • A61N1/18Applying electric currents by contact electrodes
    • A61N1/32Applying electric currents by contact electrodes alternating or intermittent currents
    • A61N1/36Applying electric currents by contact electrodes alternating or intermittent currents for stimulation
    • A61N1/3605Implantable neurostimulators for stimulating central or peripheral nerve system
    • A61N1/36128Control systems
    • A61N1/36142Control systems for improving safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/40ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management of medical equipment or devices, e.g. scheduling maintenance or upgrades
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/50Testing of electric apparatus, lines, cables or components for short-circuits, continuity, leakage current or incorrect line connections
    • G01R31/52Testing for short-circuits, leakage current or ground faults
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/81Threshold

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Public Health (AREA)
  • Nuclear Medicine, Radiotherapy & Molecular Imaging (AREA)
  • Radiology & Medical Imaging (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • Veterinary Medicine (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Neurology (AREA)
  • Otolaryngology (AREA)
  • Epidemiology (AREA)
  • Medical Informatics (AREA)
  • Primary Health Care (AREA)
  • Heart & Thoracic Surgery (AREA)
  • Neurosurgery (AREA)
  • Electrotherapy Devices (AREA)
  • Prostheses (AREA)

Abstract

本文中呈现了用于响应于检测到安全关键故障而电子锁定电子设备的技术。如本文中所使用的,“安全关键故障”为可能对使用该设备的个人造成伤害的故障。特别地,根据本文中所呈现的某些实施例的电子设备被配置为确定电子设备何时经历了安全关键故障。作为响应,电子设备自动重启自身,并且在重启之后,自动被迫进入锁定模式。锁定模式防止执行电子设备中存储的运行时程序。

Description

安全关键电子设备锁
技术领域
本发明一般涉及用于响应于安全关键故障而电子锁定设备的技术。
背景技术
个人每天使用多种电子设备,诸如电视、计算机、移动计算设备等。个人子集使用称为医疗设备的特定类型的电子设备。医疗设备为执行一个或多个医疗功能的电子设备。例如,近几十年来,具有一个或多个可植入部件的医疗假体/设备(本文中统称为可植入医疗假体)已经向设备接受者(即,植入该部件的个人)提供了范围广泛的治疗益处。特别地,诸如听觉假体(例如,骨骼传导设备、机械刺激器、耳蜗植入物等)、可植入起搏器、除颤器、功能性电刺激设备以及其他可植入医疗设备等之类的部分植入医疗假体或完全植入医疗假体已经在执行拯救生命和/或改善生活方式功能方面获得了成功了多年。
多年以来,可植入医疗假体的类型和由此执行的功能范围已经得以增加。例如,现在许多可植入医疗假体通常包括永久或暂时植入接受者体内的一个或多个仪器、装置、传感器、处理器、控制器、或其他功能性机械部件或电气部件。这些功能性设备通常用于诊断、预防、监测、治疗或管理疾病/其伤害或症状,或研究、更换或修改解剖结构或生理过程。这些功能设备中的许多功能设备利用从作为可植入医疗假体的一部分或与之结合操作的外部设备接收的功率和/或数据。
发明内容
在一个方面中,提供了一种方法。该方法包括:使用医疗设备的可植入部件确定该可植入部件已经经历了安全关键故障;以及自动重启可植入部件;以及在重启可植入部件之后,自动迫使可植入部件进入锁定模式,其中锁定模式防止执行可植入部件中存储的运行时程序。
在另一方面中,提供了一种电子设备。该电子设备包括非易失性存储器(NVM),该NVM被配置为存储运行时程序;以及至少一个处理器,该至少一个处理器被配置为执行运行时程序,其中执行运行时程序检测在电子设备的操作中的安全关键故障并且有意破坏NVM;重启电子设备并且发起锁定模式,其中锁定模式包括对设备的NVM的验证;确定NVM受损;以及响应于确定NVM受损,防止重新执行运行时程序。
在另一方面中,提供了一个或多个非暂态计算机可读存储介质,其使用指令进行编码。当一个或多个非暂态计算机可读存储介质由处理器执行时,指令使得处理器:使用来自电子设备的集成诊断机构的数据确定该电子设备已经经历了安全关键故障;自动重启电子设备;确定电子设备的非易失性存储器(NVM)是否受损;以及响应于确定NVM受损,无限地执行电子设备的只读存储器(ROM)中存储的代码。
附图说明
本文中结合附图对本发明的各个实施例进行描述,其中
图1是图示了根据本文中所呈现的某些实施例的耳蜗植入物的框图;
图2是根据本文中所呈现的某些实施例的处理单元的示意性框图;
图3是根据本文中所呈现的某些实施例的方法的详细流程图;
图4是图示了根据本文中所呈现的某些实施例的在图3的方法中执行的某些操作的次序的时间线;
图5是图示了根据本文中所呈现的某些实施例的脊髓刺激器的示意性框图;以及
图6是根据本文中所呈现的某些实施例的方法的流程图。
具体实施方式
本文中呈现了用于响应于检测到安全关键故障而电子锁定电子设备的技术。如本文中所使用的,“安全关键故障”为可能对使用该设备的个人造成伤害的故障。特别地,根据本文中所呈现的某些实施例的电子设备被配置为确定电子设备何时经历了安全关键故障。作为响应,电子设备自动重启自身,并且在重启之后,自动被迫进入锁定模式。锁定模式防止执行电子设备中存储的运行时程序。
仅为了便于描述,本文中主要参考一个说明性电子设备(即,一种被称为耳蜗植入物的可植入医疗假体)对本文中所呈现的技术进行了描述。然而,应当领会,本文中所呈现的技术还可以与可能遭受安全关键故障的多种其他电子设备(诸如向接受者提供范围广泛的治疗益处的医疗假体的可植入部件)一起使用。例如,应当领会,本文中所呈现的技术可以与除了耳蜗植入物以外的听觉假体以及其他可植入部件一起使用,这些听觉假体包括声学助听器、听觉脑干刺激器、骨骼传导设备、中耳听觉假体、直接声学刺激器、双模听觉假体、双侧听觉假体等,这些其他可植入部件诸如可植入起搏器、脊髓刺激器、深部大脑刺激器、运动皮层刺激器、骶神经刺激器、阴部神经刺激器、迷走神经刺激器、三叉神经刺激器、视网膜或其他视觉假体/刺激器、枕叶皮质植入物、隔膜(隔)起搏器、止痛刺激器、其他神经或神经肌肉刺激器等。
图1是示例性耳蜗植入物100的示意图,该示例性耳蜗植入物100被配置为实现本文中所呈现的技术的各个方面。耳蜗植入物100包括外部部件102和内部部件/可植入部件(植入物)104。外部部件102被配置为直接或间接附接到接受者的身体,并且通常包括外部线圈106,并且通常包括相对于外部线圈106固定的磁体(图1中未示出)。外部部件102还包括声音处理单元112。
声音处理单元112包括用于接收声音信号的一个或多个声音输入设备。图1图示了一个示例声音输入设备,即,麦克风108。然而,应当领会,声音处理单元112中还可以包括附加麦克风和附加类型的声音输入设备(例如,拾音线圈等)。声音处理单元112还包括声音处理器109和射频(RF)收发器110。
可植入部件104包括植入物本体(主模块)114、引线区域116、以及耳蜗内刺激组件118,它们均被配置为植入在接受者的皮肤/组织(组织)105下方。植入物本体114通常包括气密密封壳体115,RF接口电路124、植入物处理单元125、电池129和刺激器单元130设置在该壳体115中。植入物本体114还包括内部线圈/可植入线圈122,其通常在壳体115的外部,但是经由气密馈通(图1中未示出)连接到RF接口电路124。
如所指出的,刺激组件118被配置为至少部分植入接受者的耳蜗(图1中未示出)中。刺激组件118包括多个纵向间隔的耳蜗内电刺激触点(电极)126,其共同形成用于将电刺激(电流)递送到接受者耳蜗的触点或电极阵列128。刺激组件118延伸通过接受者的耳蜗中的开口(例如,耳蜗造口、圆窗等),并且具有经由引线区域116和气密馈通(图1中未示出)连接到刺激器单元120的近侧端。引线区域116包括多个导体(导线),其将电极126电耦合到刺激器单元120。
如所指出的,耳蜗植入物100包括外部线圈106和可植入线圈122。线圈106和122通常为各自由多匝电绝缘的单股或多股铂或金线组成的导线天线线圈。通常,磁体相对于外部线圈106和可植入线圈122中的每个线圈固定。相对于外部线圈106和可植入线圈122固定的磁体促进外部线圈与可植入线圈的操作对准。线圈106和122的这种操作对准使得外部部件102能够经由在外部线圈106与可植入线圈122之间形成的紧密耦合的无线链路123将数据以及可能功率传输到可植入部件104。在某些示例中,紧密耦合的无线链路123为射频(RF)链路。然而,各种其他类型的能量传递(诸如红外(IR)传输、电磁传输、电容传输和电感传输)可以用于将功率和/或数据从外部部件传递到可植入部件,如此,图1仅图示了一个示例布置。
如上文所指出的,声音处理单元112包括声音处理器133,该声音处理器133被配置为将输入音频信号转换为刺激控制信号以用于刺激接受者的第一耳朵(即,声音处理器133被配置为对在声音处理单元112处接收的输入音频信号执行声音处理。换句话说,声音处理器133(例如,实现固件、软件等的一个或多个处理元件)被配置为将捕获的输入音频信号转换为表示电刺激的刺激控制信号,以递送到接受者。
在图1的实施例中,声音处理器109所生成的刺激控制信号被提供给RF收发器110,该RF收发器110经由外部线圈106和可植入线圈122将刺激控制信号(例如,以编码方式)经皮传递到可植入部件104。也就是说,刺激控制信号经由可植入线圈122在RF接口电路124处被接收,并且被提供给刺激器单元120。刺激器单元120被配置为利用刺激控制信号来生成电刺激信号(例如,电流信号)以用于经由一个或多个刺激触点126递送到接受者的耳蜗。这样,耳蜗植入物100电刺激接受者的听觉神经细胞,从而绕过缺失或缺陷的听毛细胞,这些听毛细胞通常以使得接受者感知输入音频信号的一个或多个分量的方式将声学振动转化为神经活动。
如上文所指出的,可植入部件104还包括植入物处理单元125。一般而言,植入物处理单元125被配置为发起并控制可植入部件104的操作。另外,可植入部件104被配置为实现针对可植入部件的诊断安全机构,并且如下文所描述的,当检测到安全关键故障时,电子“锁定”可植入部件。
更具体地,植入物处理单元125实现一种或多种诊断安全机构,其在接受者正在使用可植入部件时是激活的。这些诊断安全机构可以被配置为例如监测植入物电子器件和/或电极阵列128处的短路状况,监测电池129(例如,监测以确定是否已经达到/超过最大电池电压阈值、监测电池过充电状况等),监测电压测量系统中的故障,监测对组织的漏电,监测存储器硬误差等。
根据本文中所呈现的某些实施例,当植入物处理单元125的这些诊断安全机构检测到可植入部件104的操作中的故障时,植入物处理单元125被配置为执行可植入部件的重置以确保可植入部件立即停止操作,并且使之处于安全状态(即,对接受者的任何潜在风险/危险得以补救的状态)。可植入部件的重置可以以若干种不同方式来实现。在一个示例中,重置将所有电极与组织断开连接,停止/终止所有处理,并且将内部电池129与另一内部电路系统断开连接(从而如果没有供应外部功率,则使植入物断电)。
在重置之后,植入物处理单元125重启操作并且确定重置的原因。如果植入物处理单元125确定重置的原因是“安全关键故障”(即,对接受者造成潜在风险情形的故障/状况),则植入物处理单元125被配置为发起另一重置,并且使得可植入部件进入电子“锁定模式”,其中仅支持基本非风险功能。该功能性可以包括例如允许询问可植入部件的内部存储器以及解锁可植入部件的能力。该解锁仅允许在例如诊所中在经过训练有素的临床医生或工程师对与触发安全检查的故障相关联的风险进行评估之后进行。下文参考图2和图3对关于可植入部件104的电子锁定的更多细节进行更进一步描述。
更具体地,图2是图示了图1的植入物处理单元125的一个实施例的功能图,而图3是图示了根据本文中的某些实施例的用于操作植入物处理单元125的方法160的详细流程图。
首先,参考图2,植入物处理单元125包括只读存储器(ROM)150、程序存储器/随机存取存储器(RAM)152、非易失性存储器(NVM)154、以及至少一个处理器(例如,微处理器、微控制器等)156。ROM 150包括代码151,其有时在本文中称为ROM代码或引导代码(例如,硬连线到ASIC中)。NVM 154包括运行时程序159、植入物锁定存储器块157、以及故障信息存储器块158。
接下来参考图3,方法160在162处开始,在162处,启动或重启可植入部件104(即,为其通电/上电)。例如,响应于从声音处理单元112或另一外部设备接收的命令(例如,响应于外部设备处的按钮按下,响应于检测到外部设备相对于可植入部件的存在/接近等),可以为可植入部件104通电。在164处,响应于可植入部件104上电,ROM 150中的ROM代码151由至少一个处理器156执行。至少一个处理器156执行ROM代码151本文中被称为可植入部件156的“ROM模式”。
当由至少一个处理器156执行时,ROM代码151被配置为:除了其他操作之外,还执行对NVM 154的验证。也就是说,在168处,ROM代码151被配置为确定NVM是否有效或受损(例如,包括任何受损存储器块)。例如,ROM代码151可以被配置为对NVM 154执行循环冗余校验(CRC)的检查。
如果在168处,ROM代码151确定NVM 154无效/受损(即,包括一个或多个受损存储器块),则如箭头165所示,可植入部件104无限保持处于ROM模式。这将在下文进行进一步描述。
如果在168处,ROM代码151能够成功验证NVM 154,则在170处,运行时程序159从NVM 154加载到程序存储器152中,并且由至少一个处理器156执行。这在图2中由箭头155示出。
如本文中所使用的,运行时程序159是指代码、指令等的集合,其当由至少一个处理器156执行时,使得可植入部件104能够执行其预期操作功能。在可植入部件104的特定情况下,这些预期操作功能除其他操作之外,还包括从声音处理单元112接收刺激命令并且经由电极126将电刺激信号传递到接受者。因此,如果NVM 154没有受损,可植入部件104退出ROM模式并且进入“运行时模式”或“运行时状态”。
当运行时程序159被加载并且首先由至少一个处理器156执行时,在172处,确定可植入部件104是否由于响应于安全关键故障的重置而被加电。可以通过检查暂态重置寄存器153来做出该确定。这些暂态重置寄存器152是诊断安全机构的一部分或由该诊断安全机构使用(作为运行时程序159的一部分运行)以立即存储与检测到的故障相关联的信息。这些暂态重置寄存器153并未响应于可植入部件的重置而被重置/擦除。如此,这些暂态重置寄存器153可以在172处由运行时程序159询问,以确定故障原因,并因而确定重置原因。然而,这些暂态重置寄存器153不能被外部设备读取,并且使用各种信息连续更新,使得其中存储的任何信息会在一定时间段内清除。
该确定由运行时程序159的初始代码/初步代码(即,前几个代码行)做出,并且本身为可植入部件在运行时模式下执行的前一些操作中的一个操作。更具体地,可以在接受者暴露于任何潜在风险状况之前,诸如在将刺激递送到接受者之前,做出该确定。附加地,可以在连接电池之前,在执行电池电压或电流测量之前,以及在启用麦克风之前,做出该确定。
在其中可植入部件104正常上电的情形中(例如,响应于从声音处理单元112接收的指令/命令),则可植入部件104确定重启(或最早实例中的开始)并非由于重置而引起的,并且方法进行到174。附加地,在某些情形中,可植入部件104可以确定可植入部件在重置之后上电,但是该重置是由于所谓的从暂态重置寄存器153确定的所谓“未分类故障”或“非安全关键故障”引起的。再者,在这种情况下,该方法进行到174(即,来源未知的故障)。
在174处,可植入部件104在运行时模式下操作(即,提供可植入部件的全部功能性),直到在176处检测到故障或经由正常过程使可植入部件断电(图3中未示出)。如果在176处检测到故障,则在182处基本上立即重置可植入部件182,以便将可植入部件置于安全状态,在该状态下,对接受者的任何潜在风险/危险均得以补救。下文对关于故障检测的更多细节进行更进一步的描述。
如上文所指出的,在176处检测到故障之后在182处基本上立即重置可植入部件。特别地,在该阶段,关于故障的信息不会存储在故障信息存储器块158中(即,遭受的故障为未分类故障)。在176处检测到故障之后在182处基本上立即重置可植入部件的一个原因是避免当可植入部件潜在处于不安全状态时的任何不必要的处理。
在重置可植入部件之后,方法160返回到164。也就是说,重置使得可植入部件在ROM模式下重启。如所指出的,当处于ROM模式时,可植入部件104被配置为确定NVM有效还是受损(例如,对NVM 154执行CRC的检查)。此时,由于导致最后一次重置的故障为未分类故障,所以可植入部件104尚未执行任何操作来更改NVM 154的有效性。如此,方法进行到170,其中运行时程序159从NVM 154加载到程序存储器152中,并且由至少一个处理器156执行。再者,这在图2中由箭头155示出。
如上文所指出的,当运行时程序159被加载并且首先由至少一个处理器156执行时,在172处,确定可植入部件104是否由于响应于安全关键故障而导致的重置而被通电。可以通过检查暂态重置寄存器153来再次做出该确定。
如所指出的,172处的确定由运行时程序159的初始代码/初步代码(即,前几个代码行)做出,并且本身为可植入部件在运行时模式下执行的前一些操作中的一个操作(即,在接受者暴露于任何潜在风险状况之前,诸如在将刺激递送到接受者之前)。
如果在172处,由于非安全关键故障而重置可植入部件102,则在174处,可植入部件104在运行时模式下操作,直到在176处检测到另一故障或经由正常过程使可植入部件断电。然而,如果在172处确定可植入部件104所遭受的故障为安全关键故障,则在178处,可植入部件104将关于该故障的信息(例如,关于该故障的缘由、原因和/或类型的信息)存储在NVM 154的故障信息存储器块158中。附加地,在180处,可植入部件104故意损坏植入物锁定存储器块157。也就是说,植入物锁定存储器块157是为了在检测到可植入部件104的安全关键故障时被损坏的目的而被添加到NVM 154中的专用存储器块。如下文所进一步描述的,损坏NVM 154中的植入物锁定存储器块157使NVM 154受损/无效。
在信息中关于故障的原因已经被存储在故障信息存储器块158中(在178处)并且植入物锁定存储器块157已经被损坏(在180处)之后,则在182处重置可植入部件182。此时可以执行178和180的操作的一个原因在于在运行时模式开始时(即,在启用全部功能性之前)检测到安全关键故障172。如此,此时的附加处理不会给接受者带来风险。
在180处重置可植入部件之后,方法160再次返回到164(即,可植入部件再次在ROM模式下重启)。如所指出的,当在ROM模式下时,可植入部件104被配置为在168处确定NVM154有效还是受损(例如,对NVM 154执行CRC的检查)。此时,由于导致最后一次重置的故障先前已经被确定为安全关键故障,所以可植入部件104在180处执行操作,以故意损坏植入物锁定存储器块157。因此,在这种情形下,ROM代码151确定在168处,NVM 154无效/受损(即,包括受损植入物锁定存储器块157)。因此,如箭头165所示,可植入部件104无限保持处于ROM模式。
在166处,可植入部件104保持处于ROM模式,直到可植入部件104被肯定解锁为止。可植入部件104可以例如经由从诸如临床医生所使用的计算设备或适配系统之类的外部设备接收的命令来解锁。换句话说,如果NVM 154受损(即,其中包括的一个或多个存储器块受损),则可植入部件104将不会且不能在没有从外部设备接收命令的情况下退出ROM模式。可植入部件104保持处于ROM模式有时被称为可植入部件104的“锁定模式”或“锁定状态”。当可植入部件104处于该锁定模式时,可植入部件只能执行有限功能。这些有限功能可以包括:仅允许从辅助设备到可植入部件104的NVM 154的有限读取和写入功能(即,启用对可植入部件的询问,从而允许临床医生或其他个人确定何种状况导致锁定),从而允许临床医生或其他个人解锁植入物,并且允许临床医生或其他个人使用新固件对NVM 154进行重新编程。
图4是图示了在图3的上述示例中执行的操作的次序的无单元时间线183。图4的时间线183在174处开始,在174处,可植入部件104在运行时模式下正常操作(即,不是在故障触发的重置之后)。
如上文所指出的,当检测到安全关键故障时,电子锁定可植入部件104,以确保可植入部件不会并且不能继续在该故障的情况下进行操作。本文中所描述的电子锁定机构可以例如防止由于故障而产生更严重的后果,并且确保接受者去诊所就诊,在该诊所中,可以适当地评估导致锁定的状况,并且可以做出有关将来使用植入物的判定。如上文所指出的,安全关键故障为可能对使用该设备的个人(即,在可植入部件的情况下,为接受者)造成伤害的故障。
如上文所指出的,被配置为实现本文中所呈现的技术的设备(诸如可植入部件104)还被配置为实现一个或多个诊断安全机构,后者在个人正在使用该设备时是激活的。这些诊断安全机构被配置为检测故障的发生,并且在适当时存储关于这些故障的信息。在可植入部件的特定情况下,这些诊断安全机构可以检测到的安全关键故障的一个示例可能为植入物电子器件和/或植入式电极阵列的短路状况(例如,通过检查电池放电电流来确定)。可以通过这些诊断安全机构检测到的安全关键故障的另一示例为其中植入式电池的电压已经达到或超过最大电池电压阈值的状况(例如,通过直接测量电池电压和/或测量电池充电电流来确定)。可以通过这些诊断安全机构检测到的安全关键故障的另一示例为其中植入式电池已经被过充电的状况(即,电池过充电状况,其通过测量电池电压和/或测量电池充电电流来确定)。可以通过这些诊断安全机构检测到的安全关键故障的另一示例为其中可植入部件的电压测量系统存在误差的状况(例如,通过检查是否可以测量系统内不可能存在的电压来确定)。可以通过这些诊断安全机构检测到的安全关键故障的再一示例为其中对接受者的组织存在漏电的状况(例如,通过检查组织中的电极是否被拉向不受控制的电位来确定)。可以通过这些诊断安全机构检测到的安全关键故障的另一示例为其中可植入部件的存储器已经经历了硬故障/误差的状况(例如,通过定期读回程序存储器中的已经从NVM中加载之后的块并且对程序存储器的读回块执行CRC来确定)。应当领会,上文所描述的安全关键故障为安全关键故障的类型的说明,并不代表根据本文中所呈现的实施例可以检测到的安全关键故障的详尽列表。实际上,不同的设备可能总共具有不同类型的故障,这些不同类型的故障可能被认为对安全至关重要,从而产生了电子锁定设备。
主要参考耳蜗植入物对本文中所呈现的各个实施例进行了描述,并且特别地,已经参考被配置为实现所呈现的技术的耳蜗植入物的一种示例布置对图1至图4进行了大致地描述。然而,如其他地方所指出的,本文中所呈现的技术还或可替代地可以与可能遭受安全关键故障的其他类型的耳蜗植入物和其他类型的电子设备(诸如向接受者提供范围广泛的治疗益处的医疗假体的可植入部件)一起使用。例如,应当领会,本文中所呈现的技术可以与除了耳蜗植入物以外的听觉假体以及其他可植入部件一起使用,这些听觉假体包括声学助听器、听觉脑干刺激器、骨骼传导设备、中耳听觉假体、直接声学刺激器、双模听觉假体、双侧听觉假体等,这些其他可植入部件诸如可植入起搏器、脊髓刺激器、深部大脑刺激器、运动皮层刺激器、骶神经刺激器、阴部神经刺激器、迷走神经刺激器、三叉神经刺激器、视网膜或其他视觉假体/刺激器、枕叶皮质植入物、隔膜(隔)起搏器、止痛刺激器、其他神经或神经肌肉刺激器等。
例如,图5是图示了其中可以实现本文中所呈现的某些实施例的脊髓刺激器500的简化示意图。
更具体地,脊髓刺激器500包括植入在接受者的皮肤/组织(组织)下方的刺激组件518以及植入物本体(主模块)514。植入物本体514通常包括气密密封壳体515,植入物处理单元525、电池529和刺激器单元530设置在该壳体515中。植入物本体514还包括用于在外部设备内通信的通信机构524。通信机构524可以包括例如无线收发器、内部/可植入线圈、以及RF接口电路等。
刺激组件518被植入在接受者内的与接受者脊髓527相邻/接近的位置,并且包括五(5)个刺激电极526,其被称为刺激电极526(1)至526(5)。刺激电极526(1)至526(5)设置在电绝缘体584中,并且经由延伸通过电绝缘体584的导体(未示出)电连接到刺激器530。
在植入之后,植入物处理单元525被配置为生成刺激信号,以经由刺激电极526(1)至526(5)递送到脊髓527。尽管图5中未示出,但是还可以提供外部控制器以将信号通过接受者的皮肤/组织传输到植入物处理单元525,以便控制刺激信号。
与上文所描述的实施例类似,植入物处理单元525被配置为实现一个或多个诊断安全机构,其在接受者正在使用可植入部件时是激活的。这些诊断安全机构可以被配置为例如监测植入物电子器件和/或电极阵列528处的短路状况,监测电池529(例如,监测以确定是否已经达到/超过最大电池电压阈值、监测电池过充电状况等),监测电压测量系统中的故障,监测对组织的漏电,监测存储器硬误差等。
根据本文中所呈现的某些实施例,当植入物处理单元525的这些诊断安全机构检测到脊髓刺激器500的操作中的故障时,植入物处理单元125被配置为执行脊髓刺激器500的重置以确保脊髓刺激器立即停止操作并且被置于安全状态(即,其中对接受者的任何潜在风险/危险得以补救的状态)。脊髓刺激器500的重置可以以若干种不同方式来实现。在一个示例中,重置使所有电极与组织断开连接,停止/终止所有处理,并且使内部电池529与其他内部电路断开连接(如果没有供应外部功率,则使植入物断电)。
重置之后,植入物处理单元525重启操作并且确定重置的原因。如果植入物处理单元525确定重置的原因为“安全关键故障”(即,对接受者造成潜在风险情形的故障/状况),则植入物处理单元525被配置为发起另一重置并且使得可植入部件进入电子“锁定模式”,其中仅支持基本非风险功能性。该功能性可以包括例如允许对可植入部件的内部存储器的询问以及解锁可植入部件的能力。解锁可以仅被允许在例如诊所中在训练有素的临床医生或工程师对与触发安全检查的故障相关联的风险进行评估之后进行。对关于诸如脊髓刺激器500之类的可植入部件的电子锁定的更多细节已经在下文参考图2和图3进一步进行了描述。换句话说,植入物处理单元525可以被配置为以与上文参考图2和图3所描述的植入物处理单元125类似的方式进行操作。
图6是根据本文中所呈现的实施例的方法690的流程图。方法690在691处开始,在691处,医疗设备的可植入部件确定该可植入部件已经经历了安全关键故障。在692处,可植入部件自动重启可植入部件。在694处,在重启可植入部件之后,可植入部件被迫进入锁定模式,其中锁定模式防止执行可植入部件中存储的运行时程序。
如上文所详述的,本文中呈现了用于在电子设备内(诸如在可植入医疗部件(可植入部件)中)实现电子“锁定模式”的技术。特别地,本文中所呈现的技术配置可植入部件,使得如果检测到严重性质的故障(即,安全关键故障),则可植入部件立即停止正常操作,并且在操作最少的情况下转移到锁定模式(例如,可能包括将所有电极与阻止断开连接,停止所有处理,并且将内部电池与内部电路断开连接)。然后,接受者可以例如前往诊所进行问题诊断。
应当领会,上文所描述的实施例并非互相排斥,并且各种实施例可以以各种方式和布置来组合。
由于本文中所公开的特定优选实施例旨在作为对本发明的几个方面的说明而非限制,所以本文中所描述和要求保护的发明的范围不受这些实施例的限制。任何等同实施例都旨在处于本发明的范围之内。实际上,根据前述描述,除了本文中所示出和描述的那些实施例之外,对于本领域技术人员而言,本发明的各种修改将变得显而易见。这样的修改也旨在落入所附权利要求的范围之内。

Claims (24)

1.一种方法,包括:
使用医疗设备的可植入部件确定所述可植入部件已经经历了安全关键故障;
自动重启所述可植入部件;以及
在重启所述可植入部件之后,自动迫使所述可植入部件进入锁定模式,
其中所述锁定模式防止执行所述可植入部件中存储的运行时程序。
2.根据权利要求1所述的方法,其中所述锁定模式仅允许从辅助设备到所述可植入部件的存储器的有限读取和写入功能。
3.根据权利要求1所述的方法,其中自动迫使所述可植入部件进入所述锁定模式包括:
重启所述可植入部件,使得所述可植入部件执行所述可植入部件的只读存储器ROM中存储的代码,其中执行所述ROM中存储的所述代码针对受损存储器块检查所述可植入部件的非易失性存储器NVM;
确定所述NVM中的存储器块受损;
响应于确定所述NVM中的所述存储器块受损,无限执行所述ROM中存储的所述代码。
4.根据权利要求3所述的方法,其中确定所述NVM中的所述存储器块受损包括:
对所述NVM执行循环冗余校验(CRC)的检查。
5.根据权利要求1所述的方法,其中在确定所述可植入部件已经经历了所述安全关键故障之前,所述方法包括:
确定所述可植入部件已经经历了未分类故障;
重启所述可植入部件,使得所述可植入部件执行所述可植入部件的只读存储器ROM中存储的代码,其中执行所述ROM中存储的所述代码针对受损存储器块检查所述可植入部件的非易失性存储器NVM;
执行所述ROM中存储的所述代码,而未检测到任何受损存储器块;
将所述运行时程序加载到程序存储器中以供执行;以及
在执行所述运行时程序之后,确定所述未分类故障为安全关键故障。
6.根据权利要求5所述的方法,其中响应于确定所述未分类故障是安全关键故障,所述方法包括:
将所述故障的指示存储在所述NVM中;以及
在自动重启所述可植入部件之前,损坏所述NVM中的专用存储器块。
7.根据权利要求1所述的方法,其中检测安全关键故障包括:
检测所述可植入部件中的短路状况。
8.根据权利要求1所述的方法,其中所述可植入部件包括可植入电池,并且其中检测安全关键故障包括:
检测所述可植入电池的电压已经达到最大电压阈值,或检测所述可植入电池已经过充电。
9.一种电子设备,包括:
非易失性存储器NVM,被配置为存储运行时程序;以及
至少一个处理器,被配置为:
执行所述运行时程序,其中执行所述运行时程序检测所述电子设备的操作中的安全关键故障,并且损坏所述NVM;
重启所述电子设备并且发起锁定模式,其中所述锁定模式包括对所述设备的所述NVM的验证;
确定所述NVM受损;以及
响应于确定所述NVM受损,防止重新执行所述运行时程序。
10.根据权利要求9所述的电子设备,其中所述锁定模式仅允许从辅助设备到所述NVM的有限读取和写入功能。
11.根据权利要求9所述的电子设备,其中为了验证所述设备的所述NVM,所述处理器被配置为对所述NVM执行循环冗余校验(CRC)的检查。
12.根据权利要求9所述的电子设备,其中在确定所述电子设备已经经历了所述安全关键故障之前,所述处理器被配置为:
确定所述电子设备已经经历了未分类故障;
响应于确定所述电子设备已经经历了所述未分类故障,重启所述电子设备,并且执行所述电子设备的只读存储器ROM中存储的代码;
验证所述NVM;
在成功验证所述NVM之后,将所述运行时程序加载到程序存储器中以供执行;以及
在执行所述运行时程序之后,确定所述未分类故障为安全关键故障。
13.根据权利要求12所述的电子设备,其中响应于确定所述未分类故障为安全关键故障,所述处理器被配置为:
将所述故障的指示存储在所述NVM中;以及
在重启所述电子设备之前,损坏所述NVM中的专用存储器块。
14.根据权利要求9所述的电子设备,其中为了防止重新执行所述运行时程序,所述处理器连续执行所述电子设备的只读存储器ROM中存储的代码。
15.根据权利要求9所述的电子设备,其中所述电子设备为医疗设备的可植入部件,并且其中所述NVM和所述至少一个处理器被配置为植入所述可植入部件的接受者内。
16.一种或多种非暂态计算机可读存储介质,其使用指令进行编码,所述指令当由处理器执行时,使得所述处理器:
使用来自电子设备的集成诊断机构的数据,确定所述电子设备已经经历了安全关键故障;
自动重启所述电子设备;
确定所述电子设备的非易失性存储器NVM是否受损;以及
响应于确定所述NVM受损,无限地执行所述电子设备的只读存储器ROM中存储的代码。
17.根据权利要求16所述的非暂态计算机可读存储介质,其中使得所述处理器无限地执行所述电子设备的所述ROM中存储的代码的所述指令包括使得所述处理器执行以下操作的指令:
防止执行所述电子设备的NVM中存储的运行时程序。
18.根据权利要求16所述的非暂态计算机可读存储介质,其中使得所述处理器无限地执行所述电子设备的所述ROM中存储的代码的所述指令包括使得所述处理器执行以下操作的指令:
仅允许从辅助设备到所述电子设备的所述NVM的有限读取和写入功能。
19.根据权利要求16所述的非暂态计算机可读存储介质,其中使得所述处理器无限地执行所述电子设备的所述ROM中存储的代码的所述指令包括使得所述处理器执行以下操作的指令:
仅允许从辅助设备到所述电子设备的所述NVM的有限读取和写入功能。
20.根据权利要求16所述的非暂态计算机可读存储介质,其中使得所述处理器确定所述电子设备的所述NVM是否受损的所述指令包括使得所述处理器执行以下操作的指令:
对所述NVM执行循环冗余校验(CRC)的检查。
21.根据权利要求16所述的非暂态计算机可读存储介质,还包括以下指令,该指令在确定所述电子设备已经经历了所述安全关键故障之前,使得所述处理器:
确定所述电子设备已经经历了未分类故障;
响应于确定所述电子设备已经经历了所述未分类故障,以所述处理器执行所述ROM中存储的所述代码的模式重启所述电子设备,其中以所述ROM模式存储的所述代码针对受损存储器块检查所述NVM;
执行所述ROM中存储的所述代码,而未检测到任何受损存储器块;
将运行时程序加载到程序存储器中以供执行;以及
在执行所述运行时程序之后,确定所述未分类故障为安全关键故障。
22.根据权利要求21所述的非暂态计算机可读存储介质,还包括以下指令,该指令响应于确定所述未分类故障为安全关键故障,使得所述处理器:
将所述故障的指示存储在所述NVM中;以及
在自动重启所述电子设备之前,损坏所述NVM中的专用存储器块。
23.根据权利要求16所述的非暂态计算机可读存储介质,其中使得所述处理器确定所述电子设备已经经历了安全关键故障的所述指令包括使得所述处理器执行以下操作的指令:
检测所述电子设备中的短路状况。
24.根据权利要求16所述的非暂态计算机可读存储介质,其中所述电子设备为可植入部件,所述可植入部件包括可植入电池,并且其中使得所述处理器确定所述电子设备已经经历了安全关键故障的所述指令包括使得所述处理器执行以下操作的指令:
检测所述可植入电池的电压已经达到最大电压阈值,或检测所述可植入电池已经过充电。
CN201980048876.4A 2018-09-12 2019-09-06 安全关键电子设备锁 Pending CN112469468A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862730166P 2018-09-12 2018-09-12
US62/730,166 2018-09-12
PCT/IB2019/057535 WO2020053725A1 (en) 2018-09-12 2019-09-06 Safety critical electronic device lock

Publications (1)

Publication Number Publication Date
CN112469468A true CN112469468A (zh) 2021-03-09

Family

ID=69778004

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980048876.4A Pending CN112469468A (zh) 2018-09-12 2019-09-06 安全关键电子设备锁

Country Status (3)

Country Link
US (1) US20210268265A1 (zh)
CN (1) CN112469468A (zh)
WO (1) WO2020053725A1 (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6662049B1 (en) * 1997-12-17 2003-12-09 Pacesetter, Inc. Implantable device with a programmable reset mode and method of operation
US20070208261A1 (en) * 2006-03-02 2007-09-06 Jeremy Maniak Implantable medical device with embedded programmable non-volatile memory
US20090132061A1 (en) * 2005-05-05 2009-05-21 Cardiac Pacemakers, Inc. System and method for recovering from transient faults in an implantable medical device
CN105705197A (zh) * 2013-09-06 2016-06-22 波士顿科学神经调制公司 将移动装置配置为可植入医疗装置的外部控制器的医疗装置应用
CN106132477A (zh) * 2014-01-30 2016-11-16 美敦力公司 在经历设备复位之后继续执行特殊操作模式的方法、可植入医疗设备和系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5653735A (en) * 1995-06-28 1997-08-05 Pacesetter, Inc. Implantable cardiac stimulation device having an improved backup mode of operation and method thereof
US6635048B1 (en) * 1999-04-30 2003-10-21 Medtronic, Inc. Implantable medical pump with multi-layer back-up memory
US6282450B1 (en) * 1999-04-30 2001-08-28 Medtronic, Inc. System and method for storing firmware in a human-implantable medical treatment device
US7177690B2 (en) * 1999-07-27 2007-02-13 Advanced Bionics Corporation Implantable system having rechargeable battery indicator
EP1562675B1 (en) * 2002-10-31 2006-08-23 Medtronic, Inc. Failsafe programming of implantable medical devices
US7389144B1 (en) * 2003-11-07 2008-06-17 Flint Hills Scientific Llc Medical device failure detection and warning system
US7489561B2 (en) * 2005-10-24 2009-02-10 Cyberonics, Inc. Implantable medical device with reconfigurable non-volatile program
JP2009521276A (ja) * 2005-12-22 2009-06-04 プロテウス バイオメディカル インコーポレイテッド 植え込み型集積回路
FI3920471T3 (fi) * 2009-09-08 2024-02-07 Abbott Diabetes Care Inc Menetelmiä ja tuotteita turvallisuuskriittisen sovelluksen isännöintiin valvomattomassa tietojenkäsittelylaitteessa
US9238143B2 (en) * 2011-05-10 2016-01-19 Biotronik Se & Co. Kg Implantable medical device with electrode fault detection
US9320883B2 (en) * 2013-12-02 2016-04-26 Cardiac Pacemakers, Inc. Auto-configuration circuit for safety mode operation of implantable medical device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6662049B1 (en) * 1997-12-17 2003-12-09 Pacesetter, Inc. Implantable device with a programmable reset mode and method of operation
US20090132061A1 (en) * 2005-05-05 2009-05-21 Cardiac Pacemakers, Inc. System and method for recovering from transient faults in an implantable medical device
US20070208261A1 (en) * 2006-03-02 2007-09-06 Jeremy Maniak Implantable medical device with embedded programmable non-volatile memory
CN105705197A (zh) * 2013-09-06 2016-06-22 波士顿科学神经调制公司 将移动装置配置为可植入医疗装置的外部控制器的医疗装置应用
CN106132477A (zh) * 2014-01-30 2016-11-16 美敦力公司 在经历设备复位之后继续执行特殊操作模式的方法、可植入医疗设备和系统

Also Published As

Publication number Publication date
US20210268265A1 (en) 2021-09-02
WO2020053725A1 (en) 2020-03-19

Similar Documents

Publication Publication Date Title
US9446252B2 (en) System and method for resetting an implantable medical device
US8386051B2 (en) Disabling an implantable medical device
US20100106215A1 (en) Systems and methods to detect implantable medical device configuaration changes affecting mri conditional safety
US7373200B2 (en) System and method for providing tachyarrhythmia therapy by implantable device in presence of system faults
US7925350B1 (en) Systems and methods for detecting an error associated with an implantable device
US7363080B2 (en) System and method for providing bradycardia therapy by implantable device in presence of system faults
US9320883B2 (en) Auto-configuration circuit for safety mode operation of implantable medical device
US11413464B2 (en) Methods, implantable medical devices, and systems to continue implementing a special mode of operation after experiencing a device reset
US10543370B2 (en) Method and device to manage modifications of protected registers in an implantable medical device
US20220355108A1 (en) Capacitor testing for implantable stimulators
CN111375130A (zh) 绑定患者控制设备与有源植入设备的方法及医用控制设备
US20130198463A1 (en) Retrieval of information from an implantable medical device
CN112469468A (zh) 安全关键电子设备锁
US8750963B2 (en) Implantable device
US20220401743A1 (en) Implantable System for Stimulating a Human Heart or an Animal Heart
CN113066557B (zh) 一种用于神经刺激设备的安全实现的方法和系统
US20230181912A1 (en) Secondary verification of mri exposure at an implantable medical device
WO2024104706A1 (en) Implantable medical device having an automatic surgery recognition mode

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination