CN112703561A - 透析设备的安全控制 - Google Patents
透析设备的安全控制 Download PDFInfo
- Publication number
- CN112703561A CN112703561A CN201980060788.6A CN201980060788A CN112703561A CN 112703561 A CN112703561 A CN 112703561A CN 201980060788 A CN201980060788 A CN 201980060788A CN 112703561 A CN112703561 A CN 112703561A
- Authority
- CN
- China
- Prior art keywords
- medical device
- control device
- control
- protection system
- schs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M1/00—Suction or pumping devices for medical purposes; Devices for carrying-off, for treatment of, or for carrying-over, body-liquids; Drainage systems
- A61M1/14—Dialysis systems; Artificial kidneys; Blood oxygenators ; Reciprocating systems for treatment of body fluids, e.g. single needle systems for hemofiltration or pheresis
- A61M1/16—Dialysis systems; Artificial kidneys; Blood oxygenators ; Reciprocating systems for treatment of body fluids, e.g. single needle systems for hemofiltration or pheresis with membranes
- A61M1/1601—Control or regulation
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H40/00—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
- G16H40/60—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
- G16H40/63—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for local operation
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M1/00—Suction or pumping devices for medical purposes; Devices for carrying-off, for treatment of, or for carrying-over, body-liquids; Drainage systems
- A61M1/14—Dialysis systems; Artificial kidneys; Blood oxygenators ; Reciprocating systems for treatment of body fluids, e.g. single needle systems for hemofiltration or pheresis
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H20/00—ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance
- G16H20/40—ICT specially adapted for therapies or health-improving plans, e.g. for handling prescriptions, for steering therapy or for monitoring patient compliance relating to mechanical, radiation or invasive therapies, e.g. surgery, laser therapy, dialysis or acupuncture
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H40/00—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
- G16H40/60—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
- G16H40/67—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M1/00—Suction or pumping devices for medical purposes; Devices for carrying-off, for treatment of, or for carrying-over, body-liquids; Drainage systems
- A61M1/14—Dialysis systems; Artificial kidneys; Blood oxygenators ; Reciprocating systems for treatment of body fluids, e.g. single needle systems for hemofiltration or pheresis
- A61M1/28—Peritoneal dialysis ; Other peritoneal treatment, e.g. oxygenation
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M1/00—Suction or pumping devices for medical purposes; Devices for carrying-off, for treatment of, or for carrying-over, body-liquids; Drainage systems
- A61M1/36—Other treatment of blood in a by-pass of the natural circulatory system, e.g. temperature adaptation, irradiation ; Extra-corporeal blood circuits
- A61M1/3621—Extra-corporeal blood circuits
- A61M1/3623—Means for actively controlling temperature of blood
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M2205/00—General characteristics of the apparatus
- A61M2205/33—Controlling, regulating or measuring
- A61M2205/3327—Measuring
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M2205/00—General characteristics of the apparatus
- A61M2205/35—Communication
- A61M2205/3546—Range
- A61M2205/3553—Range remote, e.g. between patient's home and doctor's office
-
- A—HUMAN NECESSITIES
- A61—MEDICAL OR VETERINARY SCIENCE; HYGIENE
- A61M—DEVICES FOR INTRODUCING MEDIA INTO, OR ONTO, THE BODY; DEVICES FOR TRANSDUCING BODY MEDIA OR FOR TAKING MEDIA FROM THE BODY; DEVICES FOR PRODUCING OR ENDING SLEEP OR STUPOR
- A61M2205/00—General characteristics of the apparatus
- A61M2205/50—General characteristics of the apparatus with microprocessors or computers
Landscapes
- Health & Medical Sciences (AREA)
- Engineering & Computer Science (AREA)
- Biomedical Technology (AREA)
- Public Health (AREA)
- General Health & Medical Sciences (AREA)
- Heart & Thoracic Surgery (AREA)
- Urology & Nephrology (AREA)
- Epidemiology (AREA)
- Primary Health Care (AREA)
- Medical Informatics (AREA)
- Hematology (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Emergency Medicine (AREA)
- Vascular Medicine (AREA)
- Anesthesiology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Veterinary Medicine (AREA)
- Nuclear Medicine, Radiotherapy & Molecular Imaging (AREA)
- Surgery (AREA)
- External Artificial Organs (AREA)
Abstract
本发明涉及一种用于保护透析设备(DG)和控制设备(SG)之间的通信连接的保护设计,所述控制设备远离所述透析设备(DG)。为此,实现一种安全协议,所述安全协议在服务器侧的集成电路模块(sMC)中和在客户侧的集成电路模块(cMC)中实施。
Description
技术领域
本发明涉及医疗设备尤其透析设备通过远程控制设备的安全控制。
背景技术
透析设备是血液治疗设备,在所述血液治疗设备中,患者的流体经由流体管路输送给流体治疗部件,通过流体治疗部件进行治疗并且经由能够划分成动脉分支和静脉分支的流体管路再次返回给患者。这种血液治疗设备的实例尤其是血液透析设备。这种血液治疗设备是申请人的DE 198 49 787 C1的主题,其内容就此完全并入本申请的公开内容中。通常借助自动的例如由申请人所销售的血液透析设备执行血液透析、血液过滤和血液透析过滤的方法。血浆分离设备用于执行血浆分离,即如下血液治疗方法,在所述血液治疗方法中,将患者血液分离成血浆和其血球成分(细胞)。经分离的血浆被清洁或通过取代溶液替代,并且经清洁的血浆或取代溶液被返回给患者。腹膜透析设备用于执行腹膜透析,在所述腹膜透析中,患者的腹腔经由穿过腹壁引导的导管填充透析液体,所述透析液体相对于身体自身的液体具有血液物质诸如电解质(例如钠、钙和镁)的浓度梯度。经由作用为膜的腹膜(Peritoneum),身体中存在的有毒物质从在腹膜中伸展的血管转入到腹腔中。在几个小时之后,处于患者的腹腔中的、现在掺有从身体中转移出来的有毒物质的透析液体被更换。通过渗透过程,患者的血液中的水能够经由腹膜转入到透析液体中,从而使患者脱水。
上面提及的和目前市场上存在的所述透析设备通常是自给的,也就是说,用于控制设备的程序流逻辑处于设备本身上。在透析设备上,至少一个用户界面构成为输入单元和输出单元。
为了提高灵活性所期望的是,透析设备的控制也能够在远程控制设备上进行。
然而,与其他技术设备相比,在医疗设备中,安全要求明显提高。因此,在远程控制装置中也必须实行对应的安全设计,以便能够一方面安全地排除待保护的数据(PHI数据,受保护的健康数据,例如患者相关的数据)的滥用,并且另一方面安全地排除对医疗设备的控制(例如通过接通到控制线路上)的无意的从而可能危害患者的影响。
发明内容
因此,本发明的目的是,提供一种用于医疗设备或一组所述设备的改进的安全设计,所述安全设计一方面能够实现操作和维护的提高的灵活性,并且在此另一方面也能够通过结构上构造措施来满足提高的安全要求。
根据本发明,所述目的通过根据所附的并列的权利要求所述的设备、系统和方法来实现。
在下文中,借助根据所述设备的目的解决方案从而借助控制设备描述本发明。在此提及的特征、优点或替选的实施方式同样也可转用于其他要求保护的主题,并且反之亦然。换言之,基于方法的权利要求也能够通过结合控制设备描述和/或要求保护的特征来改进,并且反之亦然。在此,所述方法的对应的功能性特征通过系统或产品的对应的实体模块、尤其通过电子的硬件模块或微处理器模块构成,并且反之亦然。因此,例如能够通过对应的信号发生器来执行初始化信号的检测,所述信号发生器例如能够是在界面上构成的开关面。
根据第一方面,本发明涉及一种控制设备,其用于构造安全的通信连接以控制至少一个远程的医疗设备尤其透析设备。控制设备因此与医疗设备分离地设置或设置在医疗设备外部,并且包括至少一个控制实体并且通常包括多个控制实体,所述控制实体分别被授权控制至少一个医疗设备。为此,控制设备还构成有:
-(控制设备侧的或服务器侧的)通信装置,其用于与医疗设备进行通信;
-集成电路模块,其构成用于实现安全协议以建立用于控制医疗设备的安全的通信连接,并且其中安全协议交换标识消息,用于一对一地标识医疗设备并且用于一对一地标识控制设备上的相应的控制实体。
根据本发明的一个优选的实施方式,通过检测控制设备上的初始化消息来初始化安全协议在控制设备上的实施。初始化消息通常从医疗设备发送给控制设备。由此,用于构造安全的通信连接的方法的启动基于医疗设备。这具有如下技术背景:在某种程度上可以说控制情况的主权在待控制的医疗设备上。由此,能够提高安全性,其方式为,能够禁止远程触发的折衷试验。
根据本发明的另一优选的实施方式,控制设备包括用户接口。用户接口用于检测用于控制医疗设备的控制信号。累积地或替选地,用户接口能够不仅用于(控制指令的)数据输入,而且用于医疗设备的状态数据的数据输出。因此,尤其能够输出设备状态和/或治疗状态。所述用户接口例如能够是直接在控制设备上构成的界面、尤其图形界面。替选地也可行的是,在独立的设备中且不在控制设备上构成用户接口。由此,能够提高对于用于构造安全的通信信道的设备耦联的灵活性。在这种情况下,独立的用户界面或用户接口与控制设备进行数据交换。
在另一方面中,所述目的通过经由远程控制设备控制的医疗设备实现。医疗设备包括客户侧的通信装置,所述客户侧的通信装置构成用于与控制设备的服务器侧的通信装置进行数据交换。此外,所述医疗设备包括集成电路模块,所述集成电路模块构成用于实现安全协议以建立至控制设备的安全的通信连接,并且其中安全协议交换标识消息以一对一地标识医疗设备并且一对一地标识控制设备上的相应的控制实体,其中控制实体分别确定用于专门地控制特定的医疗设备。
在另一方面中,所述目的通过一种控制系统实现,所述控制系统用于构造安全的通信连接以控制至少一个医疗设备、尤其透析设备,所述控制系统具有远程控制设备。控制系统包括:
-待控制的医疗设备;
-控制设备,如上所述,其中参与的设备经由至少一个网络(无线地和/或有线地)进行数据交换。
在本发明的一个有利的实施方式中,控制系统能够附加地可选地包括用户接口,所述用户接口能够要么在控制设备上要么在控制设备外部且与控制设备独立地或分离地构成,例如在移动的通信装置、如移动无线电设备或其他电子设备或终端设备上构成。在此,独立的设备借助于用户接口与控制设备和/或与控制系统进行双向数据交换。由此能够提高灵活性。在一个有利的设计方案中确保,仅当外部的用户接口处于医疗设备的空间环境或附近时,外部的用户接口才能够经由医疗设备与控制设备进行通信。这例如能够经由位置求取来实施,如在专利文献EP2925381B1中详细描述的那样。由此进一步使经由无线电网络的未授权的访问变得困难。
在另一方面中,所述目的通过一种用于至少一个医疗设备、尤其用于透析设备的安全方法实现。所述安全方法用于在医疗设备和远程设置的控制设备之间构造安全的通信连接,其中控制设备包括至少一个控制实体,所述至少一个控制实体分别被授权控制至少一个医疗设备。安全方法包括在医疗设备上实施的第一部分和在控制设备上实施的第二部分。这两个部分共同形成用于在控制设备和医疗设备上实施安全协议以建立安全的通信连接来(之后)控制医疗设备的分布式方法。安全协议与医疗设备交换标识消息以一对一地标识医疗设备并且一对一地标识控制设备上的相应的控制实体。
在本发明的一个有利的实施方式中,安全方法能够在实施安全协议之前附加地包括如下方法步骤:
-在医疗设备上检测触发信号,以便触发安全协议的实施。由此确保:耦联过程的启动基于医疗设备。这能够改进安全性。
在本发明的一个有利的实施方式中,安全协议的实施包括以下步骤:
-将具有用于医疗设备的一对一的设备标识的初始化消息从医疗设备发送给控制设备并且尤其发送给控制设备上的所有控制实体;如果所述系统中使用多个控制设备,那么也能够将初始化消息发送给所有控制设备。这能够优选地以广播消息的形式实施。
-在控制设备上接收初始化消息;
-控制设备方面:作为对接收到的初始化消息的响应,将第一确认消息发送给具有相关联的控制实体的标识的医疗设备;
-在医疗设备上接收第一确认消息;以及
-医疗设备方面:作为接收到的第一确认消息的响应,将第二确认消息发送给控制设备。
在本发明的一个有利的实施方式中,在接收到初始化消息之后,作为对接收到的初始化消息的响应,配置控制设备。所述配置例如能够包括确定用于相应的医疗设备的特定的控制实体从而将其分配给设备(分配过程)。所述配置能够包括确定参数(针对特定的医疗设备的参数化)。这尤其在如下情况下是有利的:控制设备应并行控制多个医疗设备,或应在控制设备与不同的医疗设备之间构造多个安全的通信连接。由此能够实现如下技术优点:能够经由对应的网络连接并行或同时操作和控制多个医疗设备。因此,(例如利用保存在数据库中的可预配置的控制方案)简化一组设备的中央的和统一的控制。
换言之,能够在控制设备上构成有(用于多个医疗设备的)多个控制实体。优选地,于是初始化消息是到控制设备的所有控制实体处的广播消息。替选地或累积地,多个控制设备也能够连接在相同的网络中。
在本发明的另一有利的实施方式中,初始化消息包括代表医疗设备的技术配备的配备码。术语“配备”涉及设备的技术装配并且能够包括以下参数:设备的版本、所实现的硬件和/或软件、设备的模块和/或设备的使用目的和/或功率数据和或另外的技术参数。替选地或累积地,初始化消息也能够包括校准数据。
在本发明的另一有利的实施方式中,在实施安全协议之后,在控制设备和/或医疗设备的用户接口上显示耦联结果。耦联结果能够表示关于安全方法或耦联过程的成果的说明。耦联结果能够以消息的形式构成,以便例如发出安全的配对是成功的还是失败的信号。
在本发明的另一有利的实施方式中,在实施安全协议之后,借助于激活硬件模块发出耦联结果的信号。硬件模块能够构成用于并行显示至少两个状态:成功的耦联的第一状态以及错误的或不成功的耦联的第二状态。这能够尤其以交通灯信号的形式来进行(例如以电子交通灯的形式:绿色表示成功的耦联和安全的通信信道的构造,而红色表示失败的耦联)。
在本发明的另一有利的实施方式中,安全协议的实施包括:
-控制设备方面:评估是否作为对接收到的第一确认消息的响应在控制设备上在预定义的超时时间段内接收到第二确认消息,并且在否定的情况下:至少在控制设备上(和/或在另外的电子实体上、尤其在医疗设备上)输出错误耦联消息;和/或在肯定的情况下:在控制设备上输出耦联消息(=耦联消息用发出成功的结果的信号)。随后能够进行安全的通信连接的构造。只要所述安全的通信连接被构造,那么医疗设备能够由控制设备以安全的方式远程控制。
根据另一方面,所述目的通过一种用于控制设备的服务器保护系统实现,所述控制设备经由安全的通信连接控制远程的医疗设备、尤其透析设备。服务器保护系统为此包括:
-检查单元,其构成用于实施包括两个方面的检查,即,连续地检验安全的通信连接是否继续存在并且治疗过程是否正确,使得不存在患者危害状态,并且如果是(即如果安全的通信连接继续存在并且如果在透析设备处的治疗过程正确),那么借助于至少一个将在下文中提到的指令指示释放单元。检查“治疗过程是否正确”优选地借助于检查算法基于经由安全的通信连接交换的数据实施。所述检查控制在透析设备处的方法过程的正确性。因此,检查的第一方面涉及通信(数据完整性)的正确性,并且第二方面涉及数据内容本身(例如温度低于界限值…)的检查。在这两种情况下,如果这两个检查中的一个未通过,那么不产生释放信号。在本发明的一个有利的实施方式中,能够仅仅在医疗设备上实施检查算法。由此能够提高安全性。
-释放单元,其在通过检查单元指示时将释放信号发送给医疗设备,或通过另一电子单元实现释放信号的发送。
根据另一方面,所述目的通过一种用于医疗设备尤其透析设备的客户保护系统实现,所述医疗设备由控制设备经由安全的通信连接控制。客户保护系统为此包括:
-监控单元,其构成用于连续和自动地监控在预定义的故障公差时间内是否接收到至少一个释放信号。可选地,能够附加地监控第二方面,即,治疗过程是否正确,并且如果包括这两个方面的监控在至少一个方面中是不成功的,那么借助于对应的指令(如下所述)指示传输逻辑;
-传输逻辑,其构成用于,如果所述传输逻辑由监控单元根据监控的结果来指示,例如在情况良好时经由监控单元的另一不产生的释放信号或在监控的情况不良时(即如果所述方面中的至少一个方面不指明成功的状态)经由禁止信号来指示,那么将医疗设备自动地转变成安全的设备状态。
传输逻辑是电子模块(硬件和/或软件),所述电子模块在医疗设备上实现并且所述设备从运行状态转变成安全的设备状态,并且反之亦然。在比喻的意义上,传输逻辑因此作用为开关。传输逻辑通过对应的输入信号尤其禁止信号或另一释放信号来控制。安全的设备状态通过不会触发危害患者安全性的措施来表征。在特殊情况下,如果医疗设备应被转换到安全的设备状态中,那么所述医疗设备也能够部分或完全地停用。在本发明的一个优选的实施方式中,可提前配置的是,应能够在安全的设备状态中运行或实施何种功能(例如停止至患者的血流)。因此,通常关闭至患者的动脉和静脉夹,使得确保在透析设备和患者之间的能量和/或流体运输不再可能。在其他情况下,也能够配置:(例如在内部电压过高的情况下)停止血液泵或也关断透析设备。还存在另外的情况,其中例如允许回血。
在本发明的一个优选的实施方式中,在客户保护系统中提出,监控单元在医疗设备(例如发送单元和/或客户侧的通信装置)上指示医疗设备或另一电子实体,如果在预定义的故障公差时间内接收到至少一个释放信号,那么将状态数据包经由安全的通信连接发送给服务器保护系统。
根据另一方面,所述目的通过一种用于分布式保护系统的运行方法来实现,所述分布式保护系统包括客户保护系统,所述客户保护系统在医疗设备尤其透析设备上实现;并且还包括服务器保护系统,所述服务器保护系统能够在远离医疗设备设置的控制设备上实现,并且其中连续检验:在医疗设备与控制设备之间是否继续存在安全的通信连接,所述运行方法包括以下自动实施的步骤:
-在服务器保护系统上:基于信号交换地检查在医疗设备和控制设备之间是否继续存在安全的通信连接并且治疗过程是否正确或是否存在患者危害状态,并且如果检查是成功的(安全的通信连接继续存在并且治疗过程正确或不存在患者危害状态):将至少一个释放信号周期性地发送给医疗设备;
-客户保护系统方面:全自动地、计算机实现式地监控在预定义的故障公差时间内是否接收到至少一个释放信号,并且在否定的情况下:将医疗设备自动地转变成安全的设备状态。
在本发明的一个优选的实施方式中,能够通过如下方式实施基于信号交换的检查:医疗设备周期性地将状态数据包发送给保护系统并且保护系统分析状态数据包的相继正确的接收。这具有如下技术优点:能够使用总归待传输的数据包、例如传感器数据或状态数据,以便作为服务器侧的检查的基础。
在根据本发明的运行方法的另一有利的实施方式中,状态数据包能够包括时间戳或序号(作为连续号码)。这尤其在如下情况下是有帮助的:数据包在其他情况下在其时间信号方面是不可区分的。
在运行方法的另一有利的实施方式中,服务器保护系统能够在控制设备上、优选地在控制设备的受保护的存储器区域中实现。替选地,服务器保护系统也能够在硬件技术上分开地实现的第二控制设备上实现。由此能够改进安全性。
在运行方法的另一有利的实施方式中,所述运行方法完全自动地和以计算机实现的方式并且尤其无用户交互地实施。由此能够通过排除用户的错误输入的方式使得保护系统的运行更安全。
根据本发明的另一方面,所述目的通过一种用于医疗设备,尤其透析设备的分布式实现的保护系统实现,所述医疗设备由远程控制设备控制,并且其中保护系统包括:
-服务器保护系统,如在上文中所描述的那样,以及
-客户保护系统,如同样将在下文中所描述的那样。
运行方法的第一部分能够在控制设备上实施并且第二部分能够在医疗设备上实施。第二部分也能够在独立的实体尤其保护系统上实现。也可行的是,保护系统至少部分地在控制设备上实现。为了确保安全性,必须确保,在透析设备中必须总是实现保护系统的一部分,即根据“看门狗”的类型运行的至少一个模块或监控单元。
在本发明的一个优选的实施方式中,能够在运行方法中通过如下方式实施检查(是否有效接收到至少一个释放信号):医疗设备周期性地和/或基于事件地(即根据可预定的事件)将状态数据包发送给保护系统,并且保护系统监控状态数据包的相继正确的接收。关于这一点,“相继正确”是指,监控电子消息、即状态数据包的次序。发送的次序必须对应于接收到的次序。只要确定区别(例如如果发送的次序是1-3-5-7-..,而接收到的次序是1-5-3-7-),那么虽然在最终结果中可能接收到所有状态数据包,但是检查过程或检查提供错误。这例如能够推测,网络连接暂时并且尤其在包5的传输过程期间中断并且数据包5的发送在之后的时间点补上。
在运行方法的一个优选的实施方式中,状态数据包能够包括时间戳。由此,能够通过如下方式改进检查“是否已经存在释放信号并且尤其释放信号是否有效”的质量:不仅检验次序(信号的序列),而且检验其时间戳。时间戳必须是连续的次序,例如在1-分钟-网格中,序列必须是:分钟1、分钟2、分钟3、分钟4等。如果例如在3处检测到时间戳1,那么这表明:次序中断并且指明安全的通信信道的(可能)短暂的中断。所述中间结果能够在用户接口上输出。
在运行方法的另一优选的实施方式中,保护系统能够在控制设备上、优选地在受保护的存储器区域中实现。替选地,保护系统能够作为独立的电子模块(硬件和/或软件模块)经由对应的数据连接与控制设备连接并且除了所述控制设备之外接入到所述系统中。
根据另一方面,所述目的通过一种用于医疗设备、尤其用于透析设备的分布式实现的保护系统实现,所述医疗设备由远程控制设备控制,并且其中保护系统根据上述运行方法运行。在此,控制设备的用户接口能够外部的(例如移动的)实体接通。
原则上并且为了遵循安全规定,透析设备仅分别接受控制实体和保护系统实体。通过使用触发信号,确保在透析设备与控制设备之间的耦联,即安全的通信连接的构造,仅在医疗治疗(透析治疗)之外是可行的。为此,也能够使用监控单元,以便阻止能够不在治疗期间切换到配对模式中。
被控制实体发送给医疗设备的第一确认消息优选是加密的。这能够借助于在工厂方面由设备的制造商提供的“秘密”实现。例如,透析设备在第一确认消息中预测到检查数,所述检查数由控制实体基于秘密和医疗设备的待关联的标识号码来求取。因此也能够确保,医疗设备仅接受本身特定的确认消息并且不接受相邻设备的确认消息。因此防止由未授权的实体/黑客处理确认消息。
然而,秘密不必强制性地在工厂方面实现,而是例如也能够通过服务技术员通过交互即通过软件下载或可插接的硬件在医疗设备上引入并且同样通过服务技术员引入或手动输入到控制设备中(键盘、语音)。由此,在秘密中较大的多样性是可行的。同样可行的是,在医疗设备中在工厂方面保存多个预定义的秘密中的一个,但是服务技术员必须在控制设备处设定、配置或完全或部分地输入所述秘密。
能够进行如下预先配置:触发信号仅能够通过授权人员的操作实现,以便进一步提高安全性。
在构造安全的通信连接(配对过程)期间,优选使用广播消息。广播消息包含相应的耦联伙伴,使得所有网络参与者获悉:其是否被接受以构造安全的通信连接并且哪个设备是配对伙伴。通过在显示相关联的设备标识号码的情况下显示耦联结果,经授权的人员(服务技术员)例如能够在结束时还检验一次过程的正确性。这提高安全性和透明性。只要加密是有效的(从第一确认消息起,其他参与者确定所述情况并且能够输出对应的通知),那么从那时起使用单播消息。
来自初始化消息的设备标识号码在开始时就已经能够在控制设备的用户接口上显示给服务技术员,以便能够及早中断错误的配对过程。
优选地,网络是私人的即物理上独立的医院网络。尤其地,其能够是线缆连接的网络或具有受限的无线电有效范围的无线电网络。
在本发明的一个实施方式中提出,校准数据能够在设备中例如同样在耦联过程结束时或在控制实体的实体化期间从医疗设备传输给控制设备。
在下文中详细定义本申请的术语。
控制设备是具有处理器或微处理器的电子终端设备,所述处理器或微处理器执行用于控制医疗设备的应用程序。控制设备能够直接或间接构成有用户接口。关于这一点,“间接”是指,,用户接口也能够在外部的设备上构成(例如移动无线电设备),所述外部的设备经由对应的网络连接(例如WLAN)或接口与控制设备进行数据交换。控制设备能够构成为服务器。控制设备能够尤其构成为物理的和/或虚拟的服务器并且由操作系统(英文:operating system)运行。控制设备能够构成用于(中央地)控制多个医疗设备。控制设备能够为此构成为具有至少一个控制实体。控制实体例如能够是确定用于控制专门的医疗设备的应用程序。控制实体和待控制的医疗设备之间的关联是一对一的。换言之,医疗设备由恰好一个控制实体控制。这用于满足提高的安全需求。
应在控制设备和待控制的医疗设备之间构造安全的通信连接。这意味着,通信信道被附加地确保安全。这通过如下方式实现:保存具有待交换的消息的预定义的数据交换协议,并且检验:是否遵循具有预定义的消息的次序的数据交换协议(根据协议)。经由在控制设备和待控制的医疗设备之间的安全的通信连接,能够将控制指令传输给医疗设备和/或将状态数据传输给控制设备。安全的通信连接因此优选能够构成用于双向的数据交换。
医疗设备能够是提供医疗功能的电子设备。其尤其能够是透析设备或涉及另一血液治疗设备。
为了总的来说在控制设备和医疗设备之间提供数据交换,控制设备构成有用于优选有线地与医疗设备进行通信的通信装置。处于控制设备上的通信装置也称为服务器侧的通信装置。与此相应地,每个医疗设备同样具有能够称为客户侧的通信装置的通信装置。
在本发明的另一优选的实施方式中,控制系统不仅包括医疗设备和控制设备,而且附加地还包括第三电子设备,所述第三电子设备近似表现为用于控制设备的终端设备的移动的用户接口。由此还能够提高操作的灵活性。然而也为了能够确保安全性,应在控制设备上自动地检测移动的第三用户接口设备何时接近。因此在本发明的一个优选的实施方式中提出,医疗设备探测移动终端设备(用户接口)、通信装置或控制设备的另一模块的空间接近(并且在说明一对一的地址的情况下附加地通知,其是哪个设备)。为此能够应用如在欧洲专利号2925381中所描述的方法,就此而言参考其公开内容。由此可行的是,例如附加地通过地点上的定位确保作为移动的操作者接口的平板电脑的安全。仅当移动的操作者接口(手机/平板电脑)处于透析设备的可预先配置的米数周围,例如耦联或配对才是变得可行。经由位置检测的所述附加的安全确保也能够在本发明的另外的实施方式中应用,例如也用作为相对于与透析机的配对的附加功能,而不需要使用控制设备。
服务器侧的和客户侧的通信装置用于经由至少一个网络(例如,LAN、WLAN、近场区域中的无线通信工具,如蓝牙、NFC(近场通信)、DSRC(专用短程通信),或也是有线的通信工具)的数据交换并且尤其用于实施安全协议。
集成电路模块构成用于实现安全协议以建立用于控制医疗设备的安全的通信连接。集成电路模块也能够作为处理器、微处理器、控制器或其他硬件模块来提供。为此,集成电路模块能够包括服务器侧的和客户侧的组成部分。与之对应地,计算机程序的第一部分构成用于在控制设备的服务器侧的集成电路模块上实施安全协议。对应的类似的单元重新作为医疗设备上的客户侧的集成电路模块,在所述客户侧的集成电路模块上实现用于实施安全协议的计算机程序的第二部分。
安全协议用于一对一地标识医疗设备并且用于一对一地标识控制设备上的相应的控制实体。在正确实施安全协议之后,能够有利地确保,在医疗设备上确定由哪个控制设备或由哪个控制实体控制;并且反之亦然在控制设备上确定应控制哪个医疗设备。如果例如由医疗设备上的其他设备接收控制信号,那么所述控制信号是不允许的,并且同时能够排除允许使用所述控制信号进行控制。安全协议是完全以计算机实现的并且自动地实施。
任选地,能够在构造安全的通信连接之后或在实施安全协议之后激活加密方法,以便附加地、即近似双倍地、确保安全的通信连接。这能够实现,能够通过加密可靠地排除“陌生的”、即不允许的控制数据包和/或状态数据包的假定。由此能够进一步改进安全性。
标识消息是在医疗设备和控制设备之间交换的电子数据包。在本发明的一个优选的实施方式中,所述电子数据包包括至少一个初始化消息和/或至少一个第一确认消息和/或至少一个第二确认消息。替选地和可选地,标识消息还能够包括状态信息(例如传感器数据、设备状态数据、硬件和/或软件等的版本号)。
初始化消息是电子消息。所述电子消息——作为第一步骤——用于开始实施安全协议。初始化消息在医疗设备上局部地产生。初始化消息能够包括医疗设备的一对一的设备标识。可选地,另外的数据区还能够包含于初始化消息中,例如时间戳、配置数据等。初始化消息从医疗设备发送给一个控制设备或多个控制设备。如果能够正确产生初始化消息并且无错误地在控制设备上接收,那么能够仅实施安全协议。
触发信号是电子信号。所述电子信号用于引起或用于触发安全协议实施并且位于初始化消息产生之前。在本发明的一个优选的实施方式中,如果能够检测到触发信号,那么仅产生初始化消息。局部在医疗设备上检测触发信号。能够预设,主动地(例如以用户接口上的输出的形式)要求触发信号。此外能够预设,在不正确的输入触发信号或缺少对触发信号的检测时,再次重复查询触发信号和/或在其他情况下产生对应的输出(例如就“未检测到触发信号->不能够构造安全的通信连接”而言)。触发信号能够通过如下方式提高所述方法的被监控是否遵守的安全性:在某种程度上可以说实现第二安全性阶段(第一安全性阶段:检测触发信号,第二安全性阶段:产生和发送初始化消息)。能够经由输入预定义的用户信号实现触发信号,所述触发信号有时在局部在医疗设备上构成的初始化模块上被检测。初始化模块能够构成为(例如图形)用户界面上的开关面或构成为医疗设备上的按键和/或开关。初始化消息从医疗设备发送给控制设备。此外,在本发明的一个有利的变型方案中提出,触发信号不必明确通过用户输入,而是能够间接从设备状态中自动地产生和引起。因此,能够例如提出,在第一次接通医疗设备时和/或在开始运行程序的过程中和/或由于由其他预先配置的事件自动地产生触发信号。
在控制设备上检测到的控制信号用于(远程)控制医疗设备。控制信号能够自动地产生。控制信号也能够直接从用户的用户输入中产生。替选地或累积地,控制信号也能够基于所检测到的用户输入计算。控制信号能够由唯一的指令(例如激活/停用医疗设备)或由一系列指令序构成(在医疗设备上执行和操控的第一指示、第二至少、…第n指示)。
耦联结果是自动地生成的电子消息。耦联结果能够根据本发明的实施方式不同地构成。在最简单的情况下,耦联结果是消息(成功地进行安全的耦联:耦联消息,和/或未成功进行安全的耦联:错误耦联消息)。替选地,能够在耦联结果中构成另外的数据区,例如显示所构造的安全的通信信道开始的时间戳。替选地,安全的通信信道能够构成有“期满数据”,使得在预定义的时间段期满之后自动地再次消除或解除安全的通信信道。此外,耦联结果还能够包括另外的元数据。耦联结果能够借助于为此构成的硬件模块输出。硬件模块例如能够是交通灯电路(绿色信号表示成功的构造,而红色信号表示失败的构造)。除了上述基于配色的信号化之外或附加于上述基于配色的信号化,能够提出声学的信号发送。替选地或累积地,能够设有第三(例如橙色)信号,橙色信号表明目前恰好实施用于构造安全的通信连接的安全协议。
在构造安全的通信信道之后,根据本发明的另一方面提出,连续地检验安全的通信连接是否继续存在。由此,能够进一步提高分布式系统的安全性。因此也立刻检测:虽然已经能够成功构造安全的通信连接,但是安全的通信连接在一定是时间之后是否不再存在或中断(例如在短暂的网络故障的情况下)。在现有技术中,在这种情况下无法确保安全性,因为设备在中断时间段中不能够实施控制信号,但是下一控制信号的序列在中断结束之后如计划那样实施。因此,仅能够困难地或甚至无法识别到先前的控制信号的缺失。这因此能够引起医疗设备的错误控制。根据本申请的一个方面,这能够通过如下方式可靠地排除:连续和自动地监控或检验(一次)构造的安全的通信连接的继续存在。
连续地进行检查。能够在预定义的时间模式之后和/或在接收到新的电报/数据包之后实施检查。因此,能够在配置阶段中定义:在时间区间期满之后自动地触发检查。同样地和/或累积地,能够基于事件地(例如在医疗设备上检测输入信号之后、在特定的(例如尤其安全性相关的)控制指令的检测之后和实施之前),在重新启动医疗设备和/或控制设备之后或根据其他事件触发检查。基于信号地进行检查。换言之,优选地自动地从而无用户交互地实施检查。由此,能够提高运行和控制方法的安全性。然而,至少在先前确定的故障公差时间之内进行检查。
释放信号可能并非是简单的1位信号,所述1位信号经由安全的通信连接发送给医疗设备。释放信号必须可靠地编码。关于这一点,“可靠”是指,通过信号传输和/或信号处理引起的失真不以高的概率导致通过透析设备的假阳性的解释。可设想的是使用来自大的数集的码字或在使用1位信号的情况下附加地使用合适的检查总和。这用于,在医疗设备上能够监控释放信号的接收。为此,能够提前(同样)定义协议,所述协议例如确定,在特定的时间区间中和/或在可预先定义的故障公差时间内和/或在可预先定义的质量中(例如以正确的检查总和)接收释放信号。
安全方法和运行方法能够作为计算机程序,尤其作为微处理器程序提供。
因此,另一目的解决方案在于一种计算机程序产品,所述计算机程序产品已加载或可加载在计算机或者电子的或医疗技术的设备的存储器中,所述计算机程序产品具有计算机程序,当在计算机或者电子的或医疗技术的设备上运行计算机程序时,所述计算机程序用于执行在上文中详细阐述的安全方法和/或运行方法。
另一目的解决方案提出一种计算机程序,当在计算机、电子的或医疗技术的设备上运行计算机程序时,所述计算机程序用于执行在上文中详细阐述的方法的所有方法步骤。在此也可行的是,计算机程序存储在对于计算机或者电子的或医疗技术的设备可读的介质上。
另一目的解决方案提出一种数据协议,所述数据协议根据上述安全协议构成。数据协议通过标识消息的交换来表征,所述标识消息根据本发明的一个优选的实施方式包括初始化消息以及第一确认消息和第二确认消息。
附图说明
在下文中详细的附图描述中,根据附图讨论不应限制性理解的实施例与其特征和另外的优点。
图1在示意图中示出一组透析设备,所述透析设备由根据本发明的一个有利的实施方式的控制单元控制。
图2是安全方法的流程图的实例,所述安全方法用于设立用于安全地远程控制透析设备的通信连接。
图3是示例性的交互图,所述交互图具有在控制设备与其控制实体和透析设备之间的信号和消息的数据交换。
图4以框图的形式示出用于设立控制设备和透析设备之间的安全的通信连接的电子模块的视图。
图5示出用于保护系统的持续监控安全的通信信道是否持续存在的运行方法的示例性的交互图,所述交互图具有信号和消息的数据交换,,以及
图6是具有根据本发明的一个优选的实施方式的分布式保护系统的电子单元的框图。
具体实施方式
在下文中根据实施例结合附图详细描述本发明。
图1示出作为医疗设备的一个实例的透析设备DG,仅当已经在医疗设备和控制设备SG之间构造安全的通信连接时,所述医疗设备才应由所述控制设备控制。
如在图1中示意性示出的那样,能够运行一组多个透析设备中的一个透析设备并且中央地由控制设备控制,其中控制设备例如能够构成为控制服务器。为此,在作用为控制设备SG的服务器上构成有多个控制实体SI,所述多个控制实体分别与恰好一个待控制的透析设备DG相关联。在图1中示例性针对1至n个透析设备DG设有1至n个控制实体SI。透析设备DG能够经由不同的网络与控制设备SG连接,例如经由总线系统或经无线网络NW与控制设备SG连接以进行数字的数据交换。
为了构造安全的通信连接,透析设备DG包括客户侧的通信装置cK,所述客户侧的通信装置确定用于,出于该目的与服务器侧的通信装置sK进行通信。此外,能够在透析设备DG上构成有客户侧的集成电路模块cMC,以及存储器mem和例如能够是图形的用户接口GUI。
控制设备SG包括多个控制实体SI,其中第一控制实体1与第一透析设备DG1相关联,第二控制实体2与第二透析设备DG2等相关联。为了通信,控制设备SG包括服务器侧的通信装置。此外,在控制设备SG上构成服务器侧的集成电路模块sMC并且可选地构成存储器以及可选地构成用户界面GUI。
在本发明的一个替选的实施方式中,累积地或替选地,用户界面能够在外部的设备上构成,所述外部的设备在数据技术方面与控制设备SG耦联。这在图4中通过如下来表征:用户接口GUI也能够以虚线形式独立地和在控制设备外部提供。于是,优选地使用附加的确保安全方法,例如经由应作用为用户界面GUI的移动的接口设备的位置定位。
控制设备SG能够——如在图1中所表明的那样——与数据库DB进行数据交换。在该处例如能够构成和保存有用于构成安全协议的规则,所述规则也能够与透析设备DG和控制设备SG无关地改变。可选地,所述透析设备或所选出的或所有透析设备能够与数据库DB连接,以便例如能够访问配置和规则。
构造安全的连接局部地从透析设备DG处触发和/或启动。为此,能够(可选地)——如在图2和图3中示出的那样——在第一步骤S1中在透析设备DG上检测触发信号t,以便在步骤S2中触发安全的通信连接的构造和安全协议的实施。实施安全协议S2优选包括以下步骤:
-将具有用于医疗设备DG的一对一的设备标识的初始化消息BROADC1从医疗设备DG发送S21给控制设备SG;
-在控制设备SG上接收S22初始化消息BROADC1;
-控制设备SG方面:作为对初始化消息的响应,将第一确认消息ACK1发送S23给具有相关联的控制实体的标识的医疗设备DG;
-在医疗设备DG上接收S24第一确认消息ACK1;以及
-医疗设备DG方面:作为对所接收到的第一确认消息ACK1的响应,将第二确认消息ACK2发送S25给控制设备SG。
可选地,能够在步骤S22期间或之前实施相应的控制实体SI的配置。然而,尤其在步骤S22之后基于借助于初始化消息BROADC1接收到的数据进行配置。这有时在如下情况下是有帮助的:初始化消息BROADC1包含医疗设备DG的配置数据(例如版本号、配备码等)。此外,能够实现自动性,所述自动性在需要的情况下自动地生成或设置新的所需的服务器实体SI。
图3示出在透析设备DG上的客户侧的通信装置cK和在控制设备SG上的服务器侧的通信装置sK之间的交互图。首先,在透析设备DG上检测触发信号t并且然后将其发送给控制设备SG。触发信号用于首先使透析设备DG进入配对模式。在无所述触发信号(透析设备DG处的预定义的过程,例如首次开始运行程序例如能够作用为触发信号)的情况下,设备DG必须防止启动配对模式。这是一种保护功能性。因此,首先确保,在治疗期间配对模式不能够变得有效。所述步骤能够在时间上与以下步骤解耦从而在图3中以虚线示出。随后,将初始化消息BROADC1发送给控制设备SG,所述控制设备响应于此将第一确认消息ACK1发送给透析设备DG,这在该处借助于第二确认消息ACK2的发送(优选作为广播消息发送)来应答。在所述预定义的握手协议之后,才在这两个实体之间构造安全的通信连接。
如果多个控制设备SG同时尝试在透析设备DG中出于构造用于控制设备DG的安全的通信连接的目的而登记,那么通过接收第二确认消息ACK2一对一地标识控制设备SG/被确定用于控制的服务器或服务器实体SI。在可预定义的时间段内未获得证明其是所接受的服务器机构SI的第二确认消息ACK2的其他设备/实体不可靠耦联,并且这能够经由对应的报告发出信号。可选地,可靠地耦联的控制设备SG能够输出关于耦联结果的对应的通知。
图4示意性再次概览式示出根据本发明的解决方案的结构构架。用户在远程控制设备SG上进行其输入以控制透析设备DG。为了确保这两个实体之间的通信信道也是安全的,在这两个集成电路模块cMC、sMC中存储和实施安全协议。仅当已经正确地实施安全协议并且已经建立安全的通信连接时,才能够将控制指令从控制设备SG传输给透析设备DG。
在本发明的一个替选的有利的实施方式中,——如在图4中以虚线示出的那样——用户接口GUI也能够设置在控制设备SG外部,例如设置在用户的经由无线通信连接与控制设备SG连接的移动终端设备上。由此,所述控制方法还能够更灵活地设计,而同时满足所需的安全性要求。在此,用户接口GUI能够是另外的自动性和与透析设备DG的交互的一部分。例如,能够自动地检测移动终端设备向透析设备DG的靠近(参见:EP2925381B1),于是,用户接口GUI能够从控制设备SG或从透析设备DG处自动地查询当前的治疗数据和输入掩码并且在用户接口GUI上显示。(基于无线电的靠近识别/定位例如通过蓝牙“GoogleEddystone”/“Apple iBeacon”)。然而,与此不同,通信过程容易改变。在GUI已经接收到也包含透析设备-标识DG-ID的“Beacon”之后,用户接口GUI与控制设备SG进行通信并且从该控制设备处获得数据,或将输入发送给控制设备SG,而不是直接发送给透析设备DG。这也示意性在图4中示出。原则上也可行的是,移动终端设备(例如平板电脑)将其标识数据传输给医疗设备DG并且所述医疗设备然后将所述标识数据转送给控制设备SG。然后,控制设备SG将相应的内容直接发送给移动设备。
参考图5,详细阐述用于分布式保护系统SchS的运行方法。为此,提前根据上述方法之一构造安全的通信连接(安全方法)。保护系统或运行方法现在用于连续地检查:所构造的安全的通信连接是否也继续可靠地存在。
分布式保护系统SchS包括:在透析设备DG上实现的客户保护系统C-SchS,和能够在远程控制设备SG上实现的服务器保护系统S-SchS,并且其中连续地检验:在医疗设备DG和控制设备SG之间是否继续存在安全的通信连接(检查的第一方面)并且,治疗过程是否正确(检查的第二方面),例如通过与可预定义的参考过程的比较或通过监控诸如血液温度、导电率的关键参数并且从而间接地监控透析液的组成、体外血液循环中的空气自由度,所述参考过程限定:不存在患者危害状态,。运行方法能够为此实施以下自动实施的步骤:
在服务器保护系统S-SchS上进行基于信号交换的检查:在医疗设备DG和控制设备SG之间是否继续存在安全的通信连接,并且如果是,那么将至少一个释放信号f周期性地发送给医疗设备DG。如果例如在发送时间点A和紧接着的用于释放信号的发送时间点B之间识别到:医疗设备DG未将错误的或过少的数据传输给控制设备SG,那么在时间点B不产生释放信号的发送。
自客户保护系统C-SchS一方实现全自动的监控:在预定义的故障公差时间内是否接收到至少一个释放信号f(从而能够评估为正确的释放信号),并且如果否,那么将医疗设备DG自动地转变成安全的设备状态,所述安全的设备状态不危害患者安全性。这具有如下优点:有时能够自动地探测控制设备SG中的故障和/或控制设备SG和透析设备DG之间的数据连接的损失或中断,以便能够自动地开始安全性相关的措施。服务器保护系统S-SchS的意义的目的是,在控制设备SG上的相应的保护系统实体(或控制实体SI)监控同样作为控制设备SG的一部分的操作系统的控制信号,并且仅在控制信号正确时将另一释放信号发送给透析设备DG,以便因此由控制设备SG/控制实体SI确认操作系统部分的之前的数据。
在图6中示出具有根据一个实施例的分布式保护系统SchS的模块的框图。因为保护系统SchS在多个物理产品SG、DG上分布式地实现,所以在图6中以虚线示出。服务器保护系统S-SchS包括检查单元P和释放单元F,而客户保护系统C-SchS包括传输逻辑T和监控单元UE。
在通过前述安全方法构造安全的通信连接之后,经由所述连接连续促使状态数据包DP自透析设备一方发送。所述数据包DP能够有利地包含时间戳、序列号码和/或传感器信号。于是,检查单元P在服务器保护系统S-SchS上检查:数据包是否已经在相继正确的序列中被接收。为此,要么能够预设期望序列,要么将参考序列存储在中央的数据库中并且用于比较。在检查成功时(仅仅正确的接收还不够),将释放信号f发送给客户保护系统C-SchS。该处的监控单元UE现在用于持续监控:是否能够检测释放信号f。为此,能够保存预先确定的检查方案(例如基于时间,例如每5分钟,和/或基于事件,例如在出现可预先确定的事件之后)。如果是,那么继续发送数据包DP并且能够保持运行,因为确保了安全的通信连接继续存在并且治疗过程正确,也就是说,没有患者危害。否则,立刻产生禁止信号sp,所述禁止信号被转发给内部传输逻辑T,以便将透析设备DG转变成安全的状态。替代禁止信号sp,也能够设有另一释放信号,如果在其他情况下已经发送禁止信号sp,那么不发送所述另一释放信号。因此,如果安全的通信连接继续存在并且治疗过程正确(不存在患者危害状态),那么发送所述另一释放信号。如果安全的通信连接不继续存在或如果治疗过程不正确(或存在患者危害状态),那么不发送所述另一释放信号。可选地,能够附加地在透析设备DG和/或控制设备SG的用户接口上进行输出(例如作为报警指示)。所述输出能够在硬件模块上实现,所述硬件模块能够以交通灯的形式构成,具有对应的信号发出:表示“安全的通信连接中断+传送到安全的设备状态”的红色,和表示“安全的通信连接继续存在+透析设备在确保安全的远程模式中的继续运行”的绿色。
重要的是,透析设备DG由控制设备SG控制,更确切地说,由控制设备SG上的控制实体SI或操作系统实体控制。所述控制实体或将操作系统实体将控制信号发送给透析设备DG(例如用于控制执行器)。在此之前和/或之后,透析设备DG已经将数据包(传感器信号、关于透析设备DG的状态信息等)传送给控制实体SI。这均在“片段”/时间段内实现。如果控制实体SI在检查数据包和必要时检查控制实体的控制信号后推断出不存在患者危害,那么控制实体SI将所述另一释放信号发送给透析设备DG。例如,控制实体SI能够从透析设备DG的数据包中评估血液温度,以便确定:所述血液温度高于所允许的例如41℃的值,使得控制实体SI不发送释放信号。或:控制实体SI确定:操作系统实体不遵循其工作顺序并且控制信号部分缺失或以错误的顺序传送给设备DG,使得同样不发送另外的释放信号。通常可行的是,与检查的第二部分一致(方法过程正确,例如血液温度低于界限值)的保护系统保持在透析设备DG中并且仅操作系统在外部的控制设备SG中实现。由此能够确保更高程度的安全性。
总之,本申请借助于一种安全方法和运行方法和对应的电子单元提供了一种保护设计,以便能够实现医疗设备的确保安全的远程操作。在此,确保安全被持续地检验,以便只要检测到安全的通信连接不再存在或已经短暂或完全中断或是错误的,就将待控制的设备自动地置于安全的状态中。通过实施安全协议作为握手协议,有利地被多重确保通信连接的安全。
最后应指出的是,本发明的描述和实施例原则上不应理解为在本发明的特定的物理实现方面是限制性的。结合本发明的各个实施方式阐述的和所示的所有特征能够以不同的组合在根据本发明的主题中提出,以便同时实现其有利的效果。因此,例如同样在本发明的范畴内,除了网络NW之外或替代网络NW,在透析设备DG和控制设备SG之间设有其他接口或连接部。对于本领域技术人员尤其明显的是,本发明不仅能够应用于透析设备(例如用于血液透析设备或腹膜透析设备),而且还能够应用于必须以确保安全的方式经由远程控制设备SG控制的其他医疗设备。
此外,医疗设备DG和控制设备SG的模块、如用户界面GUI等能够以分布到多个物理产品上的方式实现。
本发明的保护范围通过权利要求给出,并且不通过在说明中所阐述的或在附图中所示的特征限制。
Claims (28)
1.一种控制设备(SG),所述控制设备用于构造安全的通信连接以控制至少一个医疗设备(DG),尤其透析设备,其中所述控制设备(SG)远离所述医疗设备(DG)设置并且包括至少一个控制实体(SI),所述至少一个控制实体分别被授权用于控制至少一个医疗设备(DG),所述控制设备具有:
-服务器侧的通信装置(sK),所述服务器侧的通信装置用于与所述医疗设备(DG)进行通信;
-集成电路模块(cMC),所述集成电路模块构成用于实现安全协议以建立安全的通信连接来控制所述医疗设备(DG),并且其中所述安全协议在所述医疗设备(DG)和所述控制设备(SG)之间交换标识消息用于一对一地标识所述医疗设备(DG)并且用于一对一地标识所述控制设备(SG)上的相应的控制实体(SI)。
2.根据上一项权利要求所述的控制设备(SG),其中通过在所述控制设备(SG)上接收初始化消息(BROADC1)来激活所述控制设备(SG)以实施所述安全协议。
3.根据针对所述控制设备(SG)的上述权利要求中任一项所述的控制设备(SG),其中所述控制设备(SG)包括用户接口(GUI)和/或与独立的用户接口(GUI)进行数据交换,其中所述用户接口(GUI)确定用于检测控制信号(s)和/或用于输出所述医疗设备(DG)的状态数据,所述控制信号用于控制所述医疗设备(DG)。
4.一种医疗设备(DG),其经由远程控制设备(SG)控制,所述医疗设备具有:
-客户侧的通信装置(cK),所述客户侧的通信装置构成用于与所述控制设备(SG)的服务器侧的通信装置(sK)进行数据交换,
-集成电路模块(cMC),所述集成电路模块构成用于实现安全协议以建立至所述控制设备(SG)的安全的通信连接,并且其中所述安全协议交换标识消息用于一对一地标识医疗设备(DG)并且用于一对一地标识在所述控制设备(SG)上的相应的控制实体(SI),其中控制实体(SI)分别确定用于专门地控制特定的医疗设备(DG)。
5.一种控制系统,所述控制系统用于借助于远程控制设备(SG)构造安全的通信连接以控制至少一个医疗设备(DG),尤其透析设备,所述控制系统具有以下单元:
-至少一个根据关于所述医疗设备(DG)的上一项权利要求所述的医疗设备(DG);
-根据关于所述控制设备(SG)的上述权利要求中任一项所述的控制设备(SG);
其中所述单元中的所有单元经由至少一个网络(NW)进行数据交换。
6.根据上一项权利要求所述的控制系统,其中所述控制设备(SG)的用户接口(GUI)在所述控制设备(SG)外部的独立的设备上构成,所述独立的设备与所述控制设备(SG)进行双向的数据交换。
7.根据上一项权利要求所述的控制系统,其中仅当位置传感器识别到所述用户接口(GUI)处于医疗设备(DG)的空间附近时,所述用户接口(GUI)才能够——尤其经由所述医疗设备(DG)——与所述远程控制设备(SG)进行通信。
8.一种用于在至少一个医疗设备(DG)和远程控制设备(SG)之间构造安全的通信连接的安全方法,所述医疗设备尤其是透析设备,其中所述控制设备(SG)包括至少一个控制实体(SI),所述至少一个控制实体分别被授权用于控制至少一个医疗设备(DG),所述安全方法具有以下方法步骤:
-在所述控制设备(DG)和所述医疗设备(DG)上实施(S2)安全协议以建立安全的通信连接来控制所述医疗设备(DG),其中所述安全协议与所述医疗设备(DG)交换标识消息用于一对一地标识所述医疗设备(DG)并且用于一对一地标识在所述控制设备(SG)上的相应的控制实体(SI)。
9.根据上一项方法权利要求所述的安全方法,所述安全方法附加地包括如下方法步骤:
-在所述医疗设备(DG)上检测(S1)触发信号(t),以便引起所述安全协议的实施。
10.根据上述方法权利要求中任一项所述的安全方法,所述安全协议的实施(S2)包括:
-将具有用于所述医疗设备(DG)的一对一的设备标识的初始化消息(BROADC1)从所述医疗设备(DG)发送(S21)给所述控制设备(SG);
-在所述控制设备(SG)上接收(S22)所述初始化消息(BROADC1);
-自所述控制设备(SG)一方:作为对所述初始化消息(BROADC1)的响应,将第一确认消息(ACK1)发送(S23)给具有相关联的控制实体(SI)的标识的所述医疗设备(DG);
-在所述医疗设备(DG)上接收(S24)所述第一确认消息(ACK1)以及
-自所述医疗设备(DG)一方:作为对接收到的第一确认消息(ACK1)的响应,将第二确认消息(ACK2)发送(S25)给所述控制设备(SG)。
11.根据上一项方法权利要求所述的安全方法,其中在接收到所述初始化消息(BROADC1)之后,作为对接收到的初始化消息(BROADC1)的响应,配置所述控制设备(SG)。
12.根据上述方法权利要求中任一项所述的安全方法,其中在所述控制设备(SG)上构成有多个控制实体(SI)或者多个控制设备(SG)处于网络中,并且其中所述初始化消息(BROADC1)是到所有控制实体(SI)处的广播消息。
13.根据上述方法权利要求中任一项所述的安全方法,其中所述初始化消息(BROADC1)包括代表所述医疗设备(DG)的技术配备的配备码和/或校准数据。
14.根据上述方法权利要求中任一项所述的安全方法,其中在实施所述安全协议之后,在所述控制设备(SG)和/或所述医疗设备(DG)的用户接口上显示耦联结果。
15.根据上述方法权利要求中任一项所述的安全方法,其中在实施所述安全协议之后,借助于激活硬件模块将耦联结果以信号形式发出。
16.根据上述方法权利要求中任一项所述的安全方法,其中所述安全协议的实施包括:
-自所述控制设备(SG)一方:评估是否作为对接收到的第一确认消息(ACK1)的响应在所述控制设备(SG)上在预定义的超时时间段内接收到第二确认消息(ACK2),并且在否定的情况下:在所述控制设备(SG)上输出错误耦联消息;和/或在肯定的情况下:在所述控制设备(SG)上输出耦联消息。
17.一种用于控制设备(SG)的服务器保护系统(S-SchS),所述控制设备经由安全的通信连接控制远程的医疗设备(DG),尤其透析设备,所述服务器保护系统包括:
-检查单元(P),所述检查单元构成用于连续地检验所述安全的通信连接是否继续存在并且治疗过程是否正确,并且如果是,那么指示释放单元(F);
-所述释放单元(F),其在通过所述检查单元(P)指示时将释放信号(f)发送给所述医疗设备(DG)。
18.根据针对服务器保护系统的上一项权利要求所述的服务器保护系统(S-SchS),其中所述服务器保护系统(S-SchS)包括位置检测装置,所述位置检测装置能够探测应作用为外部的用户接口(GUI)的移动终端设备的空间上的接近。
19.一种用于医疗设备(DG)、尤其透析设备的客户保护系统(C-SchS),所述医疗设备由控制设备(SG)经由安全的通信连接控制,所述客户保护系统包括:
-监控单元(UE),所述监控单元构成用于连续和自动地监控在预定义的故障公差时间内是否接收到至少一个释放信号(f),并且所述监控单元在其他情况下构成用于
-向传输逻辑(T)发出指示:将所述医疗设备(DG)自动地转变成安全的设备状态。
20.根据上一项权利要求所述的客户保护系统(C-SchS),其中所述监控单元(UE)指示所述医疗设备(DG):如果在预定义的故障公差时间内接收到至少一个释放信号(f),那么经由所述安全的通信连接将状态数据包(DP)发送给所述服务器保护系统(S-SchS)。
21.根据针对客户保护系统的上述权利要求中任一项所述的客户保护系统(C-SchS),其中通过如下方式伪装禁止信号(sp)的发送:不生成另一释放信号或不施加电压信号,并且其中所述传输逻辑(T)构成用于,如果所述传输逻辑未从所述监控单元(UE)获得这种另一释放信号,那么将所述医疗设备(DG)自动地转变成安全的设备状态。
22.一种用于分布式保护系统的运行方法,所述分布式保护系统包括:客户保护系统(C-SchS),所述客户保护系统在医疗设备(DG)尤其透析设备上实现;和服务器保护系统(S-SchS),所述服务器保护系统能够在远程控制设备(SG)上实现,并且其中连续检验:在所述医疗设备(DG)和所述控制设备(SG)之间是否继续存在安全的通信连接,所述运行方法包括以下自动实施的步骤:
-在所述服务器保护系统(S-SchS)上:基于信号交换地检查:在所述医疗设备(DG)和所述控制设备(SG)之间是否继续存在安全的通信连接并且所述治疗过程是否正确,并且在肯定的情况下:将至少一个释放信号(f)周期性地发送给所述医疗设备(DG);
-自所述客户保护系统(C-SchS)一方:全自动地监控在预定义的故障公差时间内是否接收到所述至少一个释放信号(f),并且在否定的情况下,将所述医疗设备(DG)自动地转变成安全的设备状态。
23.根据上一项方法权利要求所述的运行方法,其中通过如下方式实施基于信号交换的检查:所述医疗设备(DG)将状态数据包(DP)周期性地发送给所述服务器保护系统(S-SchS),并且所述服务器保护系统(S-SchS)分析所述状态数据包(DP)的相继正确的接收。
24.根据上一项运行方法权利要求所述的运行方法,其中所述状态数据包(DP)包括时间戳和/或序列号。
25.根据针对所述运行方法的上述权利要求中的至少一项所述的运行方法,其中通过如下方式检查所述治疗过程是否正确:经由所述安全的通信连接传送的数据的内容经受检查算法,所述检查算法通过包含在所传送的数据中的参数值与预定义的期望值的比较来实施风险分析。
26.根据针对所述运行方法的上述权利要求中的至少一项所述的运行方法,其中所述服务器保护系统(S-SchS)在所述控制设备(SG)上、优选地在受保护的存储器区域中,或在硬件方面分开地实现的第二控制设备(SG)中实现。
27.根据针对所述运行方法的上述权利要求中的至少一项所述的运行方法,完全自动地和以计算机实现的方式并且尤其在无用户交互的情况下实施所述运行方法。
28.一种用于医疗设备(DG)、尤其透析设备的分布式实现的保护系统,所述医疗设备由远程控制设备(SG)控制,并且其中所述保护系统(SchS)包括:
-根据针对服务器保护系统(S-SchS)的上述权利要求中任一项所述的服务器保护系统(S-SchS);以及
-根据针对客户保护系统(C-SchS)的上述权利要求中任一项所述的客户保护系统(C-SchS)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018123011.7 | 2018-09-19 | ||
| DE102018123011.7A DE102018123011A1 (de) | 2018-09-19 | 2018-09-19 | Sichere Steuerung von Dialysegeräten |
| PCT/EP2019/074345 WO2020058077A1 (de) | 2018-09-19 | 2019-09-12 | Sichere steuerung von dialysegeraeten |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112703561A true CN112703561A (zh) | 2021-04-23 |
Family
ID=67956778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980060788.6A Pending CN112703561A (zh) | 2018-09-19 | 2019-09-12 | 透析设备的安全控制 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11491266B2 (zh) |
| EP (1) | EP3853863A1 (zh) |
| CN (1) | CN112703561A (zh) |
| DE (1) | DE102018123011A1 (zh) |
| WO (1) | WO2020058077A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117771460A (zh) * | 2024-02-27 | 2024-03-29 | 中国人民解放军东部战区总医院 | 一种便携式血液透析设备远程监测方法及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2020263812A1 (en) * | 2019-04-24 | 2021-10-07 | Gambro Lundia Ab | Medical device and method for remotely accessing a medical device |
| US11394784B2 (en) | 2020-11-18 | 2022-07-19 | Fresenius Medical Care Deutschland Gmbh | Managing communications with a connected health system |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19849787C1 (de) * | 1998-10-28 | 2000-02-24 | Fresenius Medical Care De Gmbh | Blutbehandlungsgerät |
| US20060143455A1 (en) | 2004-12-28 | 2006-06-29 | Gitzinger Thomas E | Method and apparatus for secure pairing |
| US20070078678A1 (en) * | 2005-09-30 | 2007-04-05 | Disilvestro Mark R | System and method for performing a computer assisted orthopaedic surgical procedure |
| US8149108B2 (en) * | 2007-11-14 | 2012-04-03 | Stryker Corporation | System and method for automatically powering on and synchronizing a wireless remote console to a central control unit so as to allow remote control of a medical device |
| US8488013B2 (en) * | 2008-01-30 | 2013-07-16 | Siemens Medical Solutions Usa, Inc. | System for remote control of a medical imaging system |
| US8190651B2 (en) * | 2009-06-15 | 2012-05-29 | Nxstage Medical, Inc. | System and method for identifying and pairing devices |
| US8694600B2 (en) * | 2011-03-01 | 2014-04-08 | Covidien Lp | Remote monitoring systems for monitoring medical devices via wireless communication networks |
| DE102011107795A1 (de) * | 2011-07-15 | 2013-01-17 | Fresenius Medical Care Deutschland Gmbh | Verfahren und Vorrichtung zur entfernten Überwachung und Steuerung von medizinischen Fluidmanagementgeräten |
| DE102012111523A1 (de) | 2012-11-28 | 2014-05-28 | Fresenius Medical Care Deutschland Gmbh | Vorrichtung und Verfahren zur Autorisierung der Bedienung eines medizinischen Geräts |
| US9426185B1 (en) * | 2013-06-03 | 2016-08-23 | Ayla Networks, Inc. | Proximity based communication with embedded system |
| DE102016105199A1 (de) * | 2016-03-21 | 2017-09-21 | Fresenius Medical Care Deutschland Gmbh | Entferntes Steuern von Meldungen für ein Dialysegerät |
| US11141518B2 (en) * | 2018-06-15 | 2021-10-12 | Fresenius Medical Care Holdings, Inc. | Smart connector for a medical device |
-
2018
- 2018-09-19 DE DE102018123011.7A patent/DE102018123011A1/de active Pending
-
2019
- 2019-08-26 US US16/551,199 patent/US11491266B2/en active Active
- 2019-09-12 CN CN201980060788.6A patent/CN112703561A/zh active Pending
- 2019-09-12 WO PCT/EP2019/074345 patent/WO2020058077A1/de unknown
- 2019-09-12 EP EP19769128.0A patent/EP3853863A1/de active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117771460A (zh) * | 2024-02-27 | 2024-03-29 | 中国人民解放军东部战区总医院 | 一种便携式血液透析设备远程监测方法及系统 |
| CN117771460B (zh) * | 2024-02-27 | 2024-05-03 | 中国人民解放军东部战区总医院 | 一种便携式血液透析设备远程监测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11491266B2 (en) | 2022-11-08 |
| DE102018123011A1 (de) | 2020-03-19 |
| US20200086025A1 (en) | 2020-03-19 |
| WO2020058077A1 (de) | 2020-03-26 |
| EP3853863A1 (de) | 2021-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112703561A (zh) | 透析设备的安全控制 | |
| EP2798887B1 (en) | Low cost proximity pairing mechanism in wireless personal area networks | |
| CN103246213B (zh) | 冗余控制装置之间的备用同步连接 | |
| CA2813983C (en) | System and method to protect against local control failure using cloud-hosted control system back-up processing | |
| US9621358B2 (en) | Method of conducting safety-critical communications | |
| ES2751098T3 (es) | Equipo de acoplamiento a red y procedimiento de transmisión para redes de datos basadas en paquetes en sistemas de mando de procesos o sistemas de mando de la operación | |
| CN104065508A (zh) | 应用服务健康检查方法、装置和系统 | |
| US20230186753A1 (en) | On-premises communication bridges for premises security systems | |
| RU2630585C2 (ru) | Способ безопасной передачи данных и система связи для его осуществления | |
| EP2854358A1 (en) | A method for automatically establishing a wireless connection between a mobile device and at least one stationary device | |
| KR20150132103A (ko) | 비보안 통신네트워크를 통해 안전필수장치를 조작하기 위한 시스템 및 방법 | |
| CN112532663B (zh) | 一种家庭智能网关登录方法及装置 | |
| KR20080063921A (ko) | 장애 관리 시스템에서 알람 동기화 장치 및 방법 | |
| CN105915375B (zh) | 双机热备系统的主备状态管理方法 | |
| RU2020114622A (ru) | Система и способ для передачи данных о состоянии здоровья в среде медицинского контроля | |
| EP3563382B1 (en) | Connection unit for connecting a plurality of medical devices and system comprising same | |
| US10240973B2 (en) | Two-channel communication systems | |
| JP4137304B2 (ja) | パケット通信網の障害検出方法 | |
| KR100606888B1 (ko) | 이동통신 시스템에서 디지털 송수신기 보드 제어 이중화장치 및 방법 | |
| RU2725654C1 (ru) | Система охранной пожарной сигнализации | |
| JP3721153B2 (ja) | データ通信装置間システム試験装置および方法 | |
| RU46874U1 (ru) | Система охранно-пожарной сигнализации | |
| KR101601639B1 (ko) | 에프피지에이 기반 3중화 제어 장치의 동작 건전성 감시 장치 및 방법 | |
| EP3343414A1 (en) | Connection unit for connecting a plurality of medical devices and system comprising same | |
| JP2022171146A (ja) | 監視制御装置、広域監視制御システム、通信制御方法および通信制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |