DE102007041902A1 - Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen - Google Patents

Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen Download PDF

Info

Publication number
DE102007041902A1
DE102007041902A1 DE102007041902A DE102007041902A DE102007041902A1 DE 102007041902 A1 DE102007041902 A1 DE 102007041902A1 DE 102007041902 A DE102007041902 A DE 102007041902A DE 102007041902 A DE102007041902 A DE 102007041902A DE 102007041902 A1 DE102007041902 A1 DE 102007041902A1
Authority
DE
Germany
Prior art keywords
signals
safety
base part
control unit
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102007041902A
Other languages
English (en)
Inventor
Jürgen Holstegge
Robert Kagermeier
Eike Dr. Rietzel
Steffen Schröter
Dietmar Sierk
Andres Sommer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102007041902A priority Critical patent/DE102007041902A1/de
Priority to EP08104947.0A priority patent/EP2034463A3/de
Priority to US12/199,454 priority patent/US8391782B2/en
Publication of DE102007041902A1 publication Critical patent/DE102007041902A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • G08C17/02Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C25/00Arrangements for preventing or correcting errors; Monitoring arrangements
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C2201/00Transmission systems of control signals via wireless link
    • G08C2201/60Security, fault tolerance
    • G08C2201/63Redundant transmissions

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Magnetic Resonance Imaging Apparatus (AREA)
  • Selective Calling Equipment (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)

Abstract

Bei dem Verfahren und der Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines insbesondere medizinischen Behandlungsgeräts werden die zu übertragenden Signale kategorisiert, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K). Lediglich die sesondere als codierte Signale übertragen und auf Übertragungsfehlersicherheit überprüft. Die unkritischen Kommunikationssignale (K) werden demgegenüber ohne Sicherheitsüberprüfung übertragen. Durch diese Maßnahme ist eine einfachere programmtechnische Einrichtung und damit auch Überprüfung und Wartung ermöglicht.

Description

  • Die Erfindung betrifft ein Verfahren sowie eine Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil und einem Basisteil eines sicherheitskritischen Geräts, insbesondere eines medizinischen Behandlungsgeräts.
  • Ein derartiges Verfahren und eine derartige Vorrichtung sind in der DE 10 2004 040 959 A1 beschrieben. Bei sicherheitskritischen Geräten, insbesondere bei medizinischen Behandlungsgeräten, bei denen von dem Gerät selbst eine potenzielle Gefährdung für einen zu behandelnden Patienten ausgeht, muss bei einer drahtlosen, ferngesteuerten Bedienung des Gerätes eine Fehlfunktion infolge von Übertragungsfehlern bei den drahtlos übertragenen Signalen ausgeschlossen werden. Diese so genannte "Erstfehlersicherheit" wird gemäß der DE 10 2004 040 059 A1 erreicht, indem ein zu übertragendes Signal dupliziert und jede Kopie des duplizierten Eingangssignals auf einen separaten unabhängigen Softwarepfad geführt und an ein Basisteil drahtlos übermittelt wird. Im Basisteil werden dann die beiden Kopien auf Konsistenz getestet. Bei Übereinstimmung der Signale ergeht ein entsprechendes Ausgangssignal als Steuersignal für das Gerät.
  • Ein derartiges Verfahren benötigt eine vergleichsweise hohe Rechenleistung und führt zudem auch zu einer vergleichsweise hohen Komplexität, die bei Softwareänderungen oder -ergänzungen berücksichtigt werden muss.
  • Der Erfindung liegt daher die Aufgabe zugrunde, eine vereinfachte drahtlose Signalübertragung ohne sicherheitstechnische Einbußen gegenüber den bekannten Verfahren zu ermöglichen.
  • Die Aufgabe wird gemäß der Erfindung gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie durch eine Vorrichtung mit den Merkmalen des Anspruchs 14. Danach ist vorgesehen, dass die von einem mobilen Bedienteil zu einem festen Basisteil zu übertragenden Signale in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale eingeteilt werden, und dass lediglich die sicherheitsrelevanten Steuersignale auf Fehlersicherheit, nämlich Übertragungs- oder Erst-Fehlersicherheit, überprüft werden. Die unkritischen Kommunikationssignale werden demgegenüber ohne Sicherheitsprüfung und damit getrennt von den Steuersignalen zwischen dem Basisteil und dem Bedienteil übertragen.
  • Durch die Auftrennung in zwei Arten von Signalen und deren getrennte Übertragung auf eigenen Kanälen, die physikalisch oder logisch voneinander getrennt sind, ist eine deutliche Vereinfachung erzielt. Die logische Trennung wird beispielsweise dadurch erreicht, dass die Übertragung in voneinander abgegrenzten Bereichen eines gemeinsamen Übertragungsprotokolls spezifiziert ist.
  • Zum einen wird erreicht, dass der hohe Aufwand für die fehlersichere Übertragung lediglich im Hinblick auf diejenigen Signale durchgeführt wird, die tatsächlich sicherheitskritisch sind. Gleichzeitig wird durch die strikte Trennung dieser beiden Signaltypen auch sichergestellt, dass keine Vermengung zwischen den Signaltypen erfolgt. Es ist also sichergestellt, dass alle sicherheitsrelevanten Steuersignale tatsächlich auch fehlersicher übertragen werden. Durch die klare Trennung der Signalarten ist zudem eine leichte Änderbarkeit und Wartbarkeit der zugrunde liegenden Software, beispielsweise Bedien-Software, ermöglicht. Durch die Trennung dieser unterschiedlichen Signalarten wird eine Vermengung von sicherheitsrelevanten und nicht sicherheitskritischen Funktionen vermieden. Dies führt zu der leichten Handhabung der nicht sicherheitskritischen Funktionen. Diese Funktionen sind beispielsweise die Menu-Führung oder Anzeige-Optionen am Bedienteil. Auch können einem Bedienteil durch diese logische Trennung der Signaltypen ohne weiteres neue Geräte bekannt gemacht werden, die dann beispielsweise über eigene Menüs am Bedienteil ansteuerbar sind.
  • Unter Bedienteil, nachfolgend auch als Mobilteil bezeichnet, wird allgemein ein Eingabegerät verstanden, welches als so genannte Nutzerschnittstelle (User Interface) dient, über die der jeweilige Bediener Steuersignale an das Gerät übermittelt bzw. Signale über den Zustand des Geräts angezeigt bekommt. Dieses Bedienteil kann als Bedienpult mit Schalt- und Steuerelementen sowie mit einem optischen Anzeigeelement oder auch als ein tragbares Handgerät ausgestaltet sein.
  • Unter sicherheitsrelevanten Steuersignalen werden hierbei vorzugsweise derartige Signale verstanden, die eine Verstellbewegung und/oder Strahlungsparameter des Geräts beeinflussen. Allgemein sind sicherheitsrelevante derartige Signale, die eine Funktion des Geräts beeinflussen, die zu einer potenziellen Gefährdung insbesondere eines Patienten oder auch der grundsätzlichen Betriebsbereitschaft des Geräts führen kann. So muss beispielsweise sichergestellt sein, dass über die Steuersignale das Gerät nicht an eine Position verfahren wird, an der sich beispielsweise bereits der Patient befindet, oder an dem sich ein anderer Gegenstand befindet. Auch gelten bestimmte Randbedingungen für Geschwindigkeit, Beschleunigung, etc. der Verstellbewegungen. Weitere sicherheitsrelevanten Funktionen, insbesondere bei einem medizinischen Gerät sind die als Bestrahlungsparameter zusammengefassten Parameter, über die die Behandlung des Patienten gesteuert wird. Unter Behandlung wird hierbei jeglicher Eingriff in den Körper des Patienten mit Hilfe des medizinischen Geräts verstanden. Das medizinische Gerät ist beispielsweise ein Diagnosegerät, welches zu Diagnosezwecken den Patienten bestrahlt, wie z. B. ein Röntgengerät, ein Computertomografiegerät, ein Magnetresonanzgerät, etc. Alternativ ist das medizinische Gerät beispielsweise ein Therapiegerät, bei dem über Partikelbestrahlung eine direkte Tumorbehandlung erfolgt.
  • Unter Bestrahlungsparameter werden daher beispielsweise Parameter verstanden, über die die Bestrahlungsintensität, die Bestrahlungsdauer, die Art der Strahlung, der Fokus der Strahlung, der Abstand der Strahlquelle vom Patienten, etc. eingestellt werden.
  • Die sicherheitsrelevanten Signale werden – da sie Steuersignale für das Gerät sind – vorzugsweise lediglich unidirektional vom Bedienteil an das Basisteil übermittelt. Die Überprüfung auf Fehlersicherheit erfolgt also vorzugsweise lediglich in Richtung vom Bedienteil zum Basisteil. In einer alternativen Ausgestaltung werden die sicherheitsrelevanten Signale bidirektional übertragen und überprüft.
  • Die unkritischen Kommunikationssignale sind vorzugsweise wahlweise Grafiksignale oder Auswahlsignale. Unter Grafiksignalen werden hierbei derartige Signale verstanden, über die Anzeigeeinstellungen am Bedienteil oder auch am medizinischen Gerät verändert werden. Derartige Anzeigeeinstellungen sind beispielsweise spezielle Benutzeroberflächen eines Bedienmenus, das Ansteuern von Signalleuchten, etc. Unter Auswahlsignalen werden derartige Signale verstanden, über die nicht sicherheitsrelevante Gerätefunktionen angewählt und ausgewählt werden. Derartige Gerätefunktionen sind beispielsweise Funktionen im Hinblick auf die Bildaufbereitung, wie beispielsweise Zoomfaktor, Schärfeeinstellungen, Wahl der Bildausschnitte, Wahl der Daten, die angezeigt werden, etc. Üblicherweise wird nämlich während einer medizinischen Behandlung parallel an einem oder mehreren Monitoren der Fortgang oder das Ergebnis der aktuellen Behandlung angezeigt. Hierbei ist üblicherweise ein vielschichtiges Menu abrufbar. Die Ansteuerung der einzelnen Anzeigemonitore, die Auswahl des jeweiligen Menus, die Auswahl eines bestimmten Berechnungsalgorithmus, etc. sind hierbei Gerätefunktionen, welche keinen unmittelbaren Einfluss auf den Patienten haben und somit eine Gefährdung darstellen.
  • Um eine sichere und zuverlässige Übertragung der sicherheitsrelevanten Steuersignale zu gewährleisten, werden diese gemäß einer zweckdienlichen Ausgestaltung im Mobilteil mittels eines Prüfcodes codiert und im Basisteil wieder decodiert. Hierzu wird den Signalen eine so genannte Prüfinformation oder ein Prüfcode beigefügt, anhand dessen die fehlersichere Übertragung des jeweiligen Einzelsignals überprüft werden kann. Jedes Einzelsignal wird hierbei mit einer solchen speziellen eindeutigen Prüfinformation versehen. Insbesondere wird hierzu ein so genannter CRC (Cyclic Redundancy Code), bevorzugt ein 32-Bit-CRC, zugeordnet. Alternativ oder ergänzend werden zweckdienlicherweise die Steuersignale redundant übertragen, das heißt von dem jeweiligen zu übertragenden einzelnen Signal wird eine Kopie angefertigt, übertragen und dann am Basisteil wieder auf Übereinstimmung mit dem parallel übertragenen Original überprüft, wie dies gemäß der DE 10 2004 040 059 A1 vorgesehen ist.
  • Gemäß einer zweckdienlichen Weiterbildung ist im Bedienteil und/oder im Basisteil, vorzugsweise in beiden Teilen, eine Steuereinheit vorgesehen, mit deren Hilfe die Unterscheidung in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale erfolgt. In der jeweiligen Steuereinheit werden daher einerseits auf Seiten des Bedienteils und andererseits auf Seiten des Basisteils die Signale voneinander getrennt verarbeitet und für die Übertragung vorbereitet.
  • Die Unterscheidung in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale wird hierbei aus sicherheitstechnischen Überlegungen heraus zweckdienlicherweise hardwaretechnisch realisiert, insbesondere indem die sicherheitsrelevanten Steuersignale über eine definierte Kontaktbelegung (Pinbelegung) von Anschlusskontakten an der jeweiligen Steuereinheit bei dieser eingehen. Signale, die an diesen definierten Anschlusskontakten anliegen, werden automatisch als sicherheitsrelevante Steuersignale identifiziert. Hierzu erfolgt eine 1:1-Verdrahtung zwischen Bedienelementen, wie beispielsweise Steuerknöpfen, Tastern und Schaltern, und der Steuereinheit des Bedienteils. Es erfolgt also keine softwaretechnische Aufbereitung der Steuersignale. Die einzelnen Bedienelemente für die Ausübung der Steuersignale sind daher mit einem jeweiligen ihnen zugeordneten Eingangspin der Steuereinheit verbunden. Vorzugsweise ist jedem Bedienelement zumindest einer der Eingangspins zugeordnet.
  • Im Unterschied hierzu ist vorgesehen, dass die sicherheitsunkritischen Kommunikationssignale vorzugsweise über einen Datenbus, also eine einzige Datenleitung für unterschiedliche Signale, übermittelt werden.
  • Gemäß einer bevorzugten Weiterbildung umfasst die Steuereinheit ein Sicherheitsmodul zur Bearbeitung der sicherheitskritischen Steuersignale sowie ein weiteres Modul zur Bearbeitung der unkritischen Kommunikationssignale. Durch diese logische oder auch hardwaremäßige Unterteilung der Steuereinheit ist die Trennung der unterschiedlichen Signalarten konsequent weitergeführt. Dies erlaubt beispielsweise ein einfaches Konfigurieren, Ändern oder Warten der Software des weiteren Moduls für die unkritischen Kommunikationssignale. Hierbei sind keinerlei Wechselwirkungen mit der Bearbeitung der sicherheitskritischen Steuersignale zu befürchten. Insgesamt lassen sich daher auf einfache Weise Anpassungen vornehmen. Das weitere Modul ist insbesondere als so genannter Controller für die Grafikgeräte, für die Benutzerschnittstelle oder auch für die nicht sicherheitsrelevanten Gerätefunktionen ausgebildet. Insbesondere ist dieses weitere Modul auf Seiten des Bedienteils als Grafikcontroller für ein Anzeigeelement ausgebildet. Auf Seiten des Basisteils ist es als Controller (UI-Controller) für das so genannte User-Interface ausgebildet, über das die Funktionalität des User-Interface, also des mobilen Bedienteils, eingestellt, programmiert und verändert werden kann. Derartige Einstellungen betreffen beispielsweise die grafischen Einstellungen oder auch die Einstellungen, welche Art von Geräten vom Bedienteil aus ansteuerbar sind, etc. Von diesem UI-Controller nicht beeinflusst sind hingegen alle sicherheitskritischen Funktio nen, wie beispielsweise Steuersignale für Verstellbewegungen, etc. Dieses als UI-Controller ausgebildete weitere Modul wird auch als Bedienmodul bezeichnet, und übernimmt allgemein die Steuerung der Funktionalität des Mobilteils.
  • Zweckdienlicherweise sind sowohl im Basisteil als auch im Bedienteil eine Steuereinheit mit einem Sicherheitsmodul vorgesehen, wobei die beiden Sicherheitsmodule die Übertragung der Signale steuern. Das heißt, über die Sicherheitsmodule er folgt der Austausch und die Kommunikation sowohl im Hinblick auf die sicherheitskritischen Steuersignale als auch im Hinblick auf die unkritischen Kommunikationssignale. Im Sicherheitsmodul des Bedienteils erfolgt hierbei die Codierung und im Sicherheitsmodul des Basisteils die Decodierung der sicherheitsrelevanten Steuersignale.
  • Auf Geräteseite erfolgt die tatsächliche Ansteuerung des Geräts über das Basisteil. Zweckdienlicherweise erfolgt hierbei die sicherheitskritische Kommunikation mit einer Systemsteuerung des Geräts über das Sicherheitsmodul. Das Sicherheitsmodul übermittelt also die sicherheitskritischen Steuersignale, wohingegen der Austausch von Kommunikationssignalen mit dem Gerät über das Bedienmodul erfolgt. Auch hier ist wiederum zweckdienlicherweise vorgesehen, dass die sicherheitskritischen Steuersignale über eine 1:1-Verdrahtung zwischen dem Sicherheitsmodul des Basisteils und der Systemsteuerung erfolgen, wohingegen die Kommunikationssignale bevorzugt über einen Datenbus ausgetauscht werden.
  • Ein Ausführungsbeispiel der Erfindung wird im Folgenden anhand der Figur näher erläutert. Diese zeigt in einer stark vereinfachten Blockbilddarstellung eine Vorrichtung, die für eine drahtlose Übertragung von Signalen zwischen einem mobilen Bedienteil und einem Basisteil zur Ansteuerung eines sicherheitskritischen Gerätes, insbesondere eines medizinischen Behandlungsgerätes, ausgebildet ist.
  • Die Vorrichtung umfasst demnach ein Mobilteil 2, ein Basisteil 4 sowie eine Systemsteuerung 6. Diese drei Komponenten bilden Bestandteile eines hier nicht näher dargestellten sicherheitsrelevanten Geräts. Das Mobilteil 2 ist als eigenständiges und frei bewegliches, mit einem eigenen Gehäuse versehenes Teil ausgebildet, welches beispielsweise tragbar oder beliebig verfahrbar im Raum angeordnet ist. Das Basisteil 4 ist vorzugsweise fest mit einer Hauptkomponente des Gerätes verbunden, in der auch die Systemsteuerung integriert ist. Das sicherheitskritische Gerät ist insbesondere ein medizinisches Behandlungsgerät.
  • Das Mobilteil 2 und das Basisteil 4 sind zur drahtlosen Kommunikation miteinander ausgebildet und weisen hierzu eine entsprechende drahtlose Kommunikationsschnittstelle 8 auf, die beispielsweise nach dem Bluetooth-Standard aufgebaut ist.
  • Das Mobilteil 2 weist eine erste Steuereinheit 10A auf, welches ein erstes Sicherheitsmodul 12A sowie ein zweites, weiteres Modul umfasst, welches nachfolgend als Grafik-Controller 14A bezeichnet wird. In ähnlicher Weise umfasst auch das Basisteil 4 eine zweite Steuereinheit 10B mit einem zweiten Sicherheitsmodul 12B und einem zweiten weiteren Modul, welches nachfolgend als Bedienmodul 14B bezeichnet wird. Alternativ kann das Bedienmodul 14B auch als UI-Controller (User Interface-Controller) bezeichnet werden.
  • Das Mobilteil 2 umfasst weiterhin eine Anzeige 16, beispielsweise einen Bildschirm. Schließlich sind auf Seiten des Mobilteils 2 Bedienelemente 18A, B vorgesehen, über die eine Bedienperson Eingaben tätigen kann, über die das medizinische Gerät gesteuert wird. Über die Anzeige 16 erhält der Bediener zugleich Informationen insbesondere über den Zustand des Geräts und es werden ihm unterschiedliche Menüs zur Auswahl angezeigt.
  • Bei den Bedienelementen 18A, B ist von besonderer Bedeutung, dass diese im Hinblick auf ihre Funktion unterschieden wer den. Die Elemente 18A dienen nämlich ausschließlich zur Eingabe von unkritischen Kommunikationssignalen K, wohingegen die Bedienelemente 18B ausschließlich zur Eingabe von sicherheitsrelevanten Steuersignalen S dienen. Während die ersten Bedienelemente 18A beliebiger Natur sein können und beispielsweise auch ein Touch Screen oder andere software-unterstützte Bedienelemente vorgesehen sind, sind die zweiten Bedienelemente 18B unmittelbar hardwaretechnisch, also über eine direkte Verdrahtung, mit dem ersten Sicherheitsmodul 12A verbunden. Lediglich beispielhaft illustriert sind hier in der Figur einzelne Kontaktgins 20 als Anschlusskontakte dargestellt. Es erfolgt also eine 1:1-Pinbelegung zwischen einem jeweiligen zweiten Bedienelement 18B und einem Kontaktpin 20 der ersten Steuereinheit 10A.
  • Die Steuersignale S werden von den zweiten Bedienelementen 18B an eine erste Rechnereinheit (Mikroprozessor) 22A des ersten Sicherheitsmoduls 12A übermittelt. Parallel hierzu werden die Kommunikationssignale K vom ersten Bedienelement 18A der Rechnereinheit 22 übermittelt. Alternativ hierzu besteht die Möglichkeit, dass die Kommunikationssignale K von den ersten Bedienelementen 18A über den Grafik-Controller 14A an die Rechnereinheit 22 übermittelt werden.
  • Wie sofort zu erkennen ist, erfolgt daher eine getrennte Zuführung der Signale K, S zu der Rechnereinheit 22, in der sie auch getrennt voneinander verarbeitet werden. Die Kommunikationssignale K werden ohne weitere sicherheitsrelevante Aufbereitung an die Kommunikationsschnittstelle 8 zur Übermittlung an das Basisteil 4 weitergeleitet. In dieser Kommunikationsschnittstelle 8 werden sie dann für die Übertragung aufbereitet und übermittelt.
  • Die sicherheitsrelevanten Steuersignale S hingegen werden in der Rechnereinheit 22 aufbereitet, und zwar insbesondere in der Art und Weise, wie sie in der DE 10 2004 040 059 A1 beschrieben ist. Insoweit wird auf diese Anmeldung Bezug genommen. Insbesondere erfolgt hierbei eine Duplizierung eines je weiligen Steuersignals S. Das heißt, jedes eingehende Steuersignal S wird dupliziert, so dass es redundant vorliegt. Es besteht hierbei die Möglichkeit, eine Kopie des duplizierten Steuersignals S zu invertieren. Anschließend werden das Original und die Kopie des jeweiligen einzelnen Steuersignals S mit einer Prüfinformation, nämlich einem so genannten CRC (Cyclic Redundancy Code) versehen und in dieser Form an die Kommunikationsschnittstelle 8 zur Aufbereitung und Übertragung weitergeleitet.
  • Die Signale K, S werden auf Seiten des Basisteils 4 von der dortigen Kommunikationsschnittstelle 8 empfangen und an eine dortige in dem zweiten Sicherheitsmodul 12B befindliche zweite Rechnereinheit 22B zur weiteren Verarbeitung weitergeleitet. Diese Rechnereinheit 22B unterscheidet zwischen den Kommunikationssignalen K und den Steuersignalen S. Während die Kommunikationssignale K im Wesentlichen ohne spezielle Verarbeitung weitergeleitet werden, erfolgt in der Rechnereinheit 22B die Decodierung der sicherheitsrelevanten Steuersignale S. Hierbei erfolgt zunächst eine Überprüfung der Prüfinformation, ob also die angekommenen Datensignale plausibel sind. Anschließend werden die redundant übermittelten Informationen des jeweiligen einzelnen Steuersignals S gegebenenfalls nach Invertierung miteinander auf Konsistenz verglichen. Sofern hier eine fehlersichere Übertragung identifiziert wird, werden die Steuersignale S an ein Signalausgangsmodul 26 übermittelt, über das dann die Steuersignale S an die Systemsteuerung 6 des medizinischen Gerätes weitergeleitet werden.
  • In gleicher Weise wie die zweiten sicherheitskritischen Bedienelemente 18B über eine 1:1-Pinbelegung mit der ersten Steuereinheit 10A verbunden sind, ist auch die Systemsteuerung 6 bezüglich der Steuersignale S mit dem zweiten Steuermodul 10B über entsprechende Kontaktgins 20 mittels einer 1:1-Pinbelegung und einer Verdrahtung verbunden.
  • Die Kommunikationssignale K werden von der Rechnereinheit 22B an das Bedienmodul 14B übermittelt, in dem diese dann aufbereitet und an die Systemsteuerung 6 weitergeleitet werden. Der Datenaustausch der Kommunikationssignale K zwischen dem Bedienmodul 14B und der Systemsteuerung 6 erfolgt hierbei vorzugsweise über ein Busmodul 28. Zur Übertragung ist hier ein Datenbus, beispielsweise der CAN-Bus, vorgesehen.
  • Im Bedienmodul 14B ist die Verwaltung und Ansteuerung der einzelnen Funktionen des Mobilteils 2 hinterlegt. Das heißt, die Funktionalität des Mobilteils 2 wird über dieses Bedienmodul 14B bestimmt. Unter Funktionalität wird hierbei verstanden, welche technischen Geräte vom Mobilteil 2 ansteuerbar sind oder auch welche Funktionen eines einzelnen technischen Geräts vom Mobilteil 2 ansteuerbar sind. Beispielsweise besteht die Möglichkeit, über das Mobilteil 2 einen Zugriff auf spezielle Daten oder spezielle Menustrukturen oder auch auf spezielle Gerätekomponenten des medizinischen Geräts einzurichten, zu unterdrücken oder auch nutzerabhängig zuzulassen. So können beispielsweise am medizinischen Gerät mehrere Monitore vorgesehen sein. Über das Bedienmodul 14B wird nunmehr die Funktionalität des Mobilteils 2 insoweit eingerichtet, als dass beispielsweise das Umschalten zwischen den unterschiedlichen Monitoren erlaubt ist. Nicht umfasst von dem Bedienmodul 14B ist die Beeinflussung der Funktionalität der sicherheitskritischen zweiten Bedienelemente 18B, da über diese die sicherheitskritischen Steuersignale S abgegeben werden.
  • Weiterhin ist das Bedienmodul 14B zur Konfiguration des Mobilteils 2 ausgebildet. Hierzu wird insbesondere eine Download-Funktionalität bereitgestellt, so dass bei Bedarf Konfigurationsdaten beispielsweise von der Systemsteuerung 6 über das Bedienmodul 14B als Kommunikationssignale K an den Grafikcontroller 14A übermittelt werden. Derartige Konfigurationsdaten sind beispielsweise Bitmaps, also Grafikdaten für die Benutzeroberfläche, oder auch Texte etc.
  • Wie sich aus der grafischen Darstellung in der Figur sofort erkennen lässt, ist eine strikte Trennung zwischen den Kommunikationssignalen K und den Steuersignalen S auf dem gesamten Signalweg zwischen dem Mobilteil 2 und letztendlich der Systemsteuerung 6 vorgenommen. Durch diese funktionale Trennung insbesondere auch auf Seiten der Steuereinheiten 10A, B, die logisch oder auch hardwaretechnisch jeweils ein eigenes Modul (Grafikmodul 14A bzw. Bedienmodul 14B) für die Kommunikationssignale K aufweisen, ist eine einfache und problemlose Einrichtung, Programmierung, Änderung, etc. der gesamten Kommunikationsebene möglich. Unter Kommunikationsebene werden hierbei sämtliche Komponenten verstanden, die für die Funktionalität im Hinblick auf die Kommunikationssignale K verantwortlich sind, also für die grafische Darstellung (Grafiksignale, Anzeigeeinstellungen) oder auch für so genannte Auswahlsignale zur Ansteuerung von nicht sicherheitsrelevanten Gerätefunktionen. Insgesamt ist dadurch eine einfache Wartung und Behandlung dieser Kommunikationsebene ermöglicht. Gleichzeitig bleibt die sicherheitskritische Übertragung der Steuersignale S unbeeinflusst.
    • 2
    Mobilteil
    4
    Basisteil
    6
    Systemsteuerung
    8
    Kommunikationsschnittstelle
    10A, B
    erste, zweite Steuereinheit
    12A, B
    erstes, zweites Sicherheitsmodul
    14A
    Grafikcontroller
    14B
    Bedienmodul
    16
    Anzeige
    18A, B
    erste, zweite Bedienelemente
    20
    Kontaktpin
    22A, B
    erste, zweite Rechnereinheit
    26
    Signalausgangsmodul
    28
    Busmodul
    K
    Kommunikationssignal
    S
    Steuersignal
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - DE 102004040959 A1 [0002]
    • - DE 102004040059 A1 [0002, 0013, 0028]

Claims (14)

  1. Verfahren zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines sicherheitskritischen Geräts, insbesondere ein medizinisches Behandlungsgerät, dadurch gekennzeichnet, dass die zu übertragenden Signale kategorisiert werden, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K) und dass lediglich die sicherheitsrelevanten Steuersignale (S) auf Fehlersicherheit überprüft werden, wohingegen die unkritischen Kommunikationssignale (K) ohne Sicherheitsüberprüfung übertragen werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) Signale sind, die eine Verstellbewegung und/oder Bestrahlungsparameter des Geräts beeinflussen.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Kommunikationssignale (K) wahlweise Grafiksignale oder Auswahlsignale sind, wobei über die Grafiksignale Anzeigeeinstellungen verändert werden, und wobei über die Auswahlsignale nicht sicherheitsrelevante Gerätefunktonen angewählt werden.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) im Bedienteil (2) kodiert und im Basisteil (4) dekodiert werden.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) redundant übertragen werden und im Basisteil (4) auf Übereinstimmung überprüft werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Bedienteil (2) und/oder im Basisteil (4) eine Steuereinheit (10A, B) ist, in der eine Unterscheidung in die sicherheitsrelevanten Steuersignale (S) und die unkritischen Kommunikationssignale (K) erfolgt.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Steuereinheit (10A, B) Anschlusskontakte (20) aufweist über die die sicherheitsrelevanten Steuersignale (S) über eine definierte Kontaktbelegung der Anschlusskontakte (20) übertragen werden.
  8. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die Steuereinheit (10A, B) ein Sicherheitsmodul (12A, B) zur Bearbeitung der Steuersignale (S) sowie ein weiteres Modul (14A, B) zur Bearbeitung der unkritischen Kommunikationssignale (K) aufweist.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Steuereinheit (10B) im Basisteil (4) als weiteres Modul (14B) ein Bedienmodul aufweist, welches die Steuerung der Funktionalität des Bedienteils (2) übernimmt
  10. Verfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass sowohl im Basisteil (4) als auch im Bedienteil (2) jeweils eine Steuereinheit (10A, B) mit einem Sicherheitsmodul (12A, B) vorgesehen ist, wobei die Sicherheitsmodule (12A, B) die Übertragung der Signale (S, K) steuern.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Übermittlung der sicherheitsrelevanten Steuersignale (S) an eine System steuerung (6) des Geräts über das Sicherheitsmodul (12B) und der Austausch der Kommunikationssignale (K) mit dem Gerät über das weitere Modul (14B) des Basisteils (4) erfolgt.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Übertragung der sicherheitsrelevanten Steuersignale (S) über miteinander verdrahtete Anschlusskontakte (20) erfolgt.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die Übertragung der unkritischen Kommunikationssignale (K) über einen Datenbus erfolgt.
  14. Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines sicherheitskritischen Geräts, insbesondere medizinisches Behandlungsgerät, dadurch gekennzeichnet, dass das Bedienteil (2) und das Basisteil (4) derart ausgebildet sind, dass die zu übertragenden Signale kategorisiert werden, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K) und dass lediglich die sicherheitsrelevanten Steuersignale (S) auf Fehlersicherheit überprüft werden, wohingegen die unkritischen Kommunikationssignale (K) ohne Sicherheitsüberprüfung übertragen werden.
DE102007041902A 2007-09-04 2007-09-04 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen Withdrawn DE102007041902A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102007041902A DE102007041902A1 (de) 2007-09-04 2007-09-04 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen
EP08104947.0A EP2034463A3 (de) 2007-09-04 2008-08-01 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen
US12/199,454 US8391782B2 (en) 2007-09-04 2008-08-27 Wireless transmission of signals

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007041902A DE102007041902A1 (de) 2007-09-04 2007-09-04 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen

Publications (1)

Publication Number Publication Date
DE102007041902A1 true DE102007041902A1 (de) 2009-03-12

Family

ID=40149605

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007041902A Withdrawn DE102007041902A1 (de) 2007-09-04 2007-09-04 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen

Country Status (3)

Country Link
US (1) US8391782B2 (de)
EP (1) EP2034463A3 (de)
DE (1) DE102007041902A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8453160B2 (en) * 2010-03-11 2013-05-28 Honeywell International Inc. Methods and systems for authorizing an effector command in an integrated modular environment
EP3352030B1 (de) * 2017-01-24 2019-11-20 Siemens Healthcare GmbH Tragbare erweiterungseinheit für die bedienung eines medizintechnischen geräts und verfahren zum betrieb eines medizintechnischen geräts
EP3486915B1 (de) * 2017-11-17 2023-11-08 Siemens Healthcare GmbH Verfahren zur steuerung des betriebs einer medizintechnikeinrichtung, bediengerät, bediensystem und medizintechnikeinrichtung
US11239919B2 (en) * 2018-12-20 2022-02-01 Acacia Communications, Inc. Side channel communication for an optical coherent transceiver

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10317131A1 (de) * 2003-04-14 2004-10-28 Siemens Ag Verfahren zur Datenübertragung von sicherheitsrelevanten Informationen
DE102004040059A1 (de) 2004-08-18 2006-02-23 Siemens Ag Verfahren und Vorrichtung zur sicherheitsgerichteten drahtlosen Signalübertragung
DE102004040959A1 (de) 2004-08-24 2006-04-13 Erbe Elektromedizin Gmbh Chirurgisches Instrument

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5607458A (en) * 1995-07-13 1997-03-04 Pacesetter, Inc. Safety optimization in microprocessor controlled implantable devices
EP1107079A2 (de) * 1999-11-30 2001-06-13 Siemens Aktiengesellschaft Vorrichtung, Verfahren und System zur Übermittlung von kritischen Informationen
GB2363944B (en) * 2000-06-21 2004-05-12 Ericsson Telefon Ab L M Telecommunications systems
US7073083B2 (en) * 2001-07-18 2006-07-04 Thomas Licensing Method and system for providing emergency shutdown of a malfunctioning device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10317131A1 (de) * 2003-04-14 2004-10-28 Siemens Ag Verfahren zur Datenübertragung von sicherheitsrelevanten Informationen
DE102004040059A1 (de) 2004-08-18 2006-02-23 Siemens Ag Verfahren und Vorrichtung zur sicherheitsgerichteten drahtlosen Signalübertragung
DE102004040959A1 (de) 2004-08-24 2006-04-13 Erbe Elektromedizin Gmbh Chirurgisches Instrument

Also Published As

Publication number Publication date
US20090062937A1 (en) 2009-03-05
EP2034463A2 (de) 2009-03-11
US8391782B2 (en) 2013-03-05
EP2034463A3 (de) 2013-04-10

Similar Documents

Publication Publication Date Title
EP0384155B1 (de) Kombination aus einem Medizintechnische Gerät mit redundant aufgebauter Steuereinheit zur Infusionstherapie oder Blutbehandlung und einem Programmiergerät
EP2422271B1 (de) Verfahren und vorrichtung zum erstellen eines anwenderprogramms für eine sicherheitssteuerung
DE10353950C5 (de) Steuerungssystem
EP2098926B1 (de) Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
DE202005020802U1 (de) Steuersystem für Schienenfahrzeuge
EP2363770B1 (de) Sicherheitsvorrichtung mit einer konfigurierbaren Sicherheitssteuerung
EP2246756B1 (de) Verfahren und Bediengerät zum Bedienen einer sicherheitsgerichteten industriellen Automatisierungskomponente
EP4235323A2 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
WO2020087099A1 (de) Verfahren zum betreiben eines maschinensteuerungssystems sowie entsprechendes maschinensteuerungssystem
DE102007041902A1 (de) Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen
EP3271856A1 (de) Verfahren und vorrichtung zum verarbeiten und übertragen von daten innerhalb eines funktional sicheren elektrischen, elektronischen und/oder programmierbar elektronischen systems
EP2098928A1 (de) Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP2701019B1 (de) Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung
WO2009021901A1 (de) Verfahren zum auslösen von aktionen einer maschine durch sichere eingabeelemente
BE1026448B1 (de) Verfahren und Vorrichtung zur Konfiguration einer Hardwarekomponente
DE19834863A1 (de) Verfahren zur sicheren Datenübertragung zwischen einer numerischen Steuerung und einem räumlich getrennten Gerät
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
EP4168343B1 (de) Verfahren zum betreiben einer personentransportanlage durch zuverlässiges konfigurieren einer elektronischen sicherheitseinrichtung mittels visueller datenübertragung
DE102014217561B4 (de) Verfahren und Anordnung zum Test eines Multimediagerätes
DE10161924A1 (de) Verfahren zur Zweihandbedienung einer flächigen Anzeige- und Bedieneinheit, mit berührungssensitivem Display, HMI Gerät, Automatisierungssystem und Computerprogrammprodukt zur Durchführung des Verfahrens
EP3499324A1 (de) Verfahren zur modularen verifikation einer konfiguration eines geräts
EP1683016A1 (de) Sichere erfassung von eingabewerten
DE102018112697A1 (de) Verfahren und System zum Ändern einer Konfiguration eines Medizingerätes
DE102015205285B4 (de) Verfahren zum Betrieb eines medizinischen Geräts und medizinisches Gerät
DE102017216677A1 (de) Verfahren und Anordnung zum Bereitstellen eines Zugriffs auf mindestens ein Feldgerät einer technischen Anlage

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8139 Disposal/non-payment of the annual fee