-
Die Erfindung betrifft ein Sicherheitssystem für ein oder mehrere medizinische Behandlungsgeräte, ein Strahlentherapiegerät sowie ein Verfahren zur Sicherung eines Zugriffs auf medizinische Behandlungsgeräte mittels eines solchen Sicherheitssystems.
-
In sicherheitskritischen Bereichen, beispielsweise im medizinischen Gesundheitswesen, gelten in der Regel strenge Vorschriften für die Vergabe von Zugangsberechtigungen zu medizinischen Systemen. Ein Sicherheitsrisiko kann dabei durch Fehlverhalten einzelner Mitarbeiter entstehen. Eine schriftliche Niederlegung von Passwörtern, eine Verwendung derselben Passwörter für verschiedene Instanzen oder die Verwendung eines einfachen, leicht nachvollziehbaren Passworts können einem missbräuchlichen Zugang zu dem System Vorschub leisten.
-
Aus der Sicht eines Benutzers sind manuelle Eingaben von Registrierungsdaten in ein elektronisches System mühsam, wodurch ein unsicherer Umgang mit den sensiblen Daten verstärkt wird. Besonders heikel ist dieses Thema im Bereich des Gesundheitswesens, wo die Sicherheit sensibler, personenbezogene Daten immer gewährleistet und die Berechtigung zum Zugang zu Behandlungsgeräten, z.B. Krebstherapiegeräten, nachgewiesen sein muss.
-
Darüber hinaus werden medizinische Behandlungsgeräte häufig in Kombination mit geeigneten medizinischen Subsystemen verwendet. Beispielsweise werden Röntgenstrahlenquelle bei einer intraoperativen Strahlentherapie in der Regel mit anwendungs- und/oder patientenspezifischen Applikatoren versehen. Aus dem Stand der Technik sind medizinische Behandlungsgeräte bekannt, die in der Lage sind, zu erkennen, ob ein medizinisches Subsystem durch einen Bediener mit dem medizinischen Behandlungsgerät gekoppelt wurde, beispielsweise über ein Interlock. Diese Behandlungsgeräte sind jedoch nicht dazu eingerichtet, zu erkennen, um welches Subsystem es sich handelt oder ob Risikofaktoren gegen einen Einsatz des Subsystems am medizinischen Behandlungsgerät sprechen, so dass eine Fehlbedienung nicht ausgeschlossen werden kann.
-
Für die Behandlung relevante Daten des medizinischen Behandlungsgeräts und/oder des medizinischen Subsystems, wie beispielsweise Seriennummer, Reinigungszyklen, Kalibriedaten etc. werden bisher manuell in eine Software des medizinischen Behandlungsgeräts eingegeben.
-
In der Regel liegen diese Daten dem Behandlungsgerät beziehungsweise dem Subsystem in Form einer Daten-CD oder als Textdokument bei. Die manuelle Datenübertragung ist fehleranfällig, so dass der Behandlungserfolg bei einer Falscheingabe gefährdet ist.
-
Aus der
US 2006/0129140 A1 ist es bekannt, eine ophthalmologische Vorrichtung mit einer RFID-Lesevorrichtung zu versehen. Eine Zusatzkomponente der ophthalmologischen Vorrichtung kann einem RFID-Chip ausgestattet werden. Auf dem RFID-Chip abgelegte Daten, zum Beispiel ein Autorisierungscode, können über die RFID-Lesevorrichtung ausgelesen werden. Basierend auf den ausgelesenen Daten wird ein Betrieb der ophthalmologischen Vorrichtung erlaubt oder unterbunden.
-
Eine Aufgabe der vorliegenden Erfindung besteht darin, eine Vorrichtung bereitzustellen, die einen sicheren Betrieb eines medizinischen Behandlungsgeräts, insbesondere eines Strahlentherapiesystem für eine intraoperative Strahlenbehandlung, gewährleistet und Fehlbedienungen weitgehend ausschließt. Eine weitere Aufgabe besteht in der Angabe eines Verfahrens zum Betrieb der erfindungsgemäßen Vorrichtung.
-
Die Aufgaben werden gelöst durch ein Sicherheitssystem mit den Merkmalen des Anspruchs 1, ein Strahlentherapiesystem mit den Merkmalen des Anspruchs 8 sowie ein Verfahren zur Sicherung eines Zugriffs auf medizinische Behandlungsgeräte mit den Merkmalen des Anspruchs 9.
-
Ein erfindungsgemäßes Sicherheitssystem für ein oder mehrere medizinische Behandlungsgeräte umfasst eine zentrale Vergabestelle, die dazu eingerichtet ist, Zugangsberechtigungen anzulegen und zu verwalten, und die eine Schnittstelle zur Datenübertragung zu dem einen oder den mehreren medizinischen Behandlungsgeräten aufweist. Ferner umfasst das Sicherheitssystem einen Transponder, der dazu eingerichtet ist, Daten zu speichern, sowie eine Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten. Die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten steht zumindest zeitweise mit der zentralen Vergabestelle und zumindest zeitweise mit dem einen oder den mehreren Behandlungsgeräten in Verbindung. Die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten kann dabei gleichzeitig oder in überlappenden Zeitintervallen oder nacheinander mit der zentralen Vergabestelle und dem einen oder den mehreren Behandlungsgeräten in Verbindung stehen. Unter einer Verbindung ist dabei allgemein eine Verbindung zur Übertragung von Daten zu verstehen, die insbesondere aber nicht ausschließlich kontaktlos ausgestaltet sein kann. Die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten ist weiterhin dazu eingerichtet, einen Datenabgleich zwischen den aus dem Transponder ausgelesenen Daten und den in der zentralen Vergabestelle angelegten Zugangsberechtigungen vorzunehmen und in Abhängigkeit von dem Ergebnis des Datenabgleichs eine oder mehrere Funktionen des einen oder der mehreren medizinischen Behandlungsgeräte anzusteuern. Bevorzugt ist der Transponder sterilisierbar ausgeführt.
-
In einer Ausgestaltung der Erfindung umfassen die auf dem Transponder gespeicherten Daten ein Identifikationsmerkmal und die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten ist dazu eingerichtet, nach einem Auslesen des Identifikationsmerkmals und nach Durchführung eines Datenabgleichs zwischen dem Identifikationsmerkmal und den in der zentralen Vergabestelle hinterlegten Zugangsberechtigungen das eine oder die mehreren medizinischen Behandlungsgeräte freizuschalten. Das Identifikationsmerkmal kann insbesondere für jeden Transponder des Sicherheitssystems individuell und unterscheidbar vergeben sein. Auf diese Weise ist es möglich, Transponder durch Auslesen des Identifikationsmerkmal individuell zu identifizieren. Diese Funktionalität kann dazu genutzt werden, um den Zugriff von Personen zu dem medizinischen Behandlungsgerät zu steuern. Hierfür werden Transponder mit individuell unterscheidbaren Identifikationsmerkmalen den zugangsberechtigten Benutzern zur Verfügung gestellt und die Identifikationsmerkmale werden in der zentralen Vergabestelle hinterlegt. Nach einem Datenabgleich zwischen dem mit Hilfe der Auslesevorrichtung ausgelesenen Identifikationsmerkmal auf dem Transponder und dem in der zentralen Vergabestelle hinterlegten Identifikationsmerkmal kann beispielsweise ein Zugriff für bestimmte Benutzer auf ein oder mehrere medizinische Behandlungsgeräte freigegeben werden.
-
In einer weiteren Ausgestaltung der Erfindung sind der Transponder und die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten dazu eingerichtet, Daten mittels RFID- und/oder NFC-Technologie zu übertragen oder auszutauschen. Daten können somit kontaktlos ausgetauscht werden, wodurch die Handhabung des Sicherheitssystems vereinfacht ist. Der Transponder kann beispielsweise auch als RFID-Klebesticker ausgeführt sein.
-
In einer weiteren Ausgestaltung der Erfindung sind die Daten auf dem Transponder und/oder die Zugangsberechtigungen auf der zentralen Vergabestelle verschlüsselt abgelegt. Dadurch ist die Gefahr eines Missbrauchs verringert.
-
In einer weiteren Ausgestaltung der Erfindung ist der Transponder an einem medizinischem Subsystem angebracht oder befestigbar, welches eine Schnittstelle zu dem einen oder den mehreren medizinischen Behandlungsgeräte aufweist. Damit ist ein unmittelbarer Bezug geschaffen zwischen dem Transponder und dem medizinischen Subsystem. Besonders vorteilhaft ist es, wenn in dieser Ausgestaltungsform relevante Daten des Subsystems wie Seriennummer, Kalibrierdaten, die Anzahl bereits durchgeführter Reinigungs- oder Sterilisierungszyklen etc. auf dem Transponder abgelegt sind, die nach dem Auslesen zur Einstellung, Kalibrierung und/oder Freigabe des medizinischen Behandlungsgeräts in Abhängigkeit von dem medizinischen Subsystem verwendet werden.
-
In einer weiteren Ausgestaltung der Erfindung weist die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten eine Schnittstelle zu dem einen oder den mehreren medizinischen Behandlungsgeräten auf oder sie ist an dem einen medizinischen Behandlungsgerät angebracht. Damit ist ein unmittelbarer Bezug geschaffen zwischen der Auslesevorrichtung und dem medizinischen Behandlungsgerät. Besonders vorteilhaft ist es, wenn in dieser Ausgestaltungsform für den Betrieb des medizinischen Behandlungsgeräts relevante Daten auf dem Transponder abgelegt sind, die zur Einstellung, Kalibrierung und/oder Freigabe des medizinischen Behandlungsgeräts verwendet werden.
-
In einer weiteren Ausgestaltung der Erfindung weist der Transponder und/oder die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten einen Ferrit Absorber auf. Dadurch lässt sich das medizinische Behandlungsgeräten beziehungsweise gegebenenfalls das medizinische Subsystem von Störstrahlung insbesondere bei einer kontaktlosen Datenverbindung zwischen Transponder und Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten wirkungsvoll abschirmen.
-
Ein erfindungsgemäßes Strahlentherapiesystem zur intraoperativen Strahlentherapie umfasst ein medizinisches Behandlungsgerät in Form einer Röntgenstrahlenquelle und einen Applikator zur Befestigung an der Röntgenstrahlenquelle. Das Strahlentherapiesystem ist ferner mit einem Sicherheitssystem nach einem der Ansprüche 1 bis 7 ausgestattet, wobei der Transponder dem Applikator zugeordnet und/oder an dem Applikator befestigt ist und wobei die zentrale Vergabestelle mit der Röntgenstrahlenquelle in Verbindung steht.
-
Ein erfindungsgemäßes Verfahren zur Sicherung eines Zugriffs auf medizinische Behandlungsgeräte mittels eines Sicherheitssystems nach einem der Ansprüche 1 bis 7 umfasst die Verfahrensschritte:
- - Speichern von Zugangsberechtigungen in der zentralen Vergabestelle;
- - Auslesen von auf dem Transponder gespeicherten Daten mittels einer Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten;
- - Abgleich der ausgelesenen Daten mit den in der zentralen Vergabestelle gespeicherten Zugangsberechtigungen;
- - Freigabe von Funktionen des einen oder der mehreren medizinischen Behandlungsgeräte in Abhängigkeit von dem Abgleich der ausgelesenen Daten mit den gespeicherten Zugangsberechtigungen.
-
In einer Ausgestaltung umfasst das Verfahren ferner die Verfahrensschritte:
-
Speichern eines Identifikationsmerkmals eines medizinischen Subsystems auf dem Transponder; Identifikation des medizinischen Subsystems nach dem Auslesen der auf dem Transponder gespeicherten Daten anhand eines Abgleichs des Identifikationsmerkmals mit einem in der zentralen Vergabestelle gespeicherten Identifikationsmerkmal; Überprüfen einer Zuordnung des medizinischen Subsystems zu dem einen oder den mehreren medizinischen Behandlungsgeräten; Freigabe einer Funktion des einen oder der mehreren medizinischen Behandlungsgeräte in Abhängigkeit von dem Ergebnis der Überprüfung. Das medizinische Subsystem kann in dieser Ausgestaltung beispielsweise als persönliche Identifikationsvorrichtung (zum Beispiel ID-Karte) eines Benutzers oder als ein für eine medizinische Behandlung erforderliches Hilfsgerät (zum Beispiel ein Applikator für eine Strahlenquelle eines Strahlentherapievorrichtung zur intraoperativen Strahlentherapie) ausgeführt sein.
-
In einer weiteren Ausgestaltung umfasst das Verfahren die Verfahrensschritte: Speichern von Kalibrierdaten auf dem Transponder; Kalibrierung des einen medizinischen Behandlungsgeräts oder der mehreren medizinischen Behandlungsgeräte nach dem Auslesen der auf dem Transponder gespeicherten Daten in Abhängigkeit von den gespeicherten Kalibrierdaten. Damit ist insbesondere eine automatische Anpassung des medizinischen Behandlungsgeräts an ein dem Transponder zugeordnetes medizinisches Subsystem möglich.
-
In einer weiteren Ausgestaltung umfasst das Verfahren die Verfahrensschritte: Speichern eines Zählerstands auf dem Transponder; Vergleich des Zählerstands mit einem in der zentralen Vergabestelle hinterlegten maximalen Zählerstand nach dem Auslesen der auf dem Transponder gespeicherten Daten; Freigabe des medizinischen Behandlungsgerät nur dann, wenn der im Transponder hinterlegte Zählerstand geringer und/oder gleich ist wie der in der zentralen Vergabestelle hinterlegte maximale Zählerstand. Auf diese Weise lässt sich die maximale Anzahl der Einsätze des medizinischen Subsystems begrenzen.
-
In einer weiteren Ausgestaltung umfasst das Verfahren den Verfahrensschritt: Erhöhen des Zählerstands auf dem Transponder vor dem Trennen einer Verbindung zwischen dem Transponder und der Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten. Ist die zentrale Vergabestelle mit mehreren medizinischen Behandlungsgeräten verbunden und wird das medizinische Subsystem in Kombination mit mehreren dieser Behandlungsgeräte eingesetzt, lassen sich die Einsätze des medizinischen Subsystems auch über mehrere Behandlungsgeräte hinweg kontrollieren und ggf. begrenzen, wenn eine maximale Anzahl erreicht ist.
-
In einer weiteren Ausgestaltung umfasst das Verfahren den Verfahrensschritt: Datenaustausch zwischen Transponder und Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten mittels RFID- und/oder NFC-Technologie. Daten können somit kontaktlos ausgetauscht werden, wodurch die Handhabung des Sicherheitssystems vereinfacht ist.
-
In einer weiteren Ausgestaltung des Verfahrens ist das medizinische Behandlungsgerät als Röntgenstrahlenquelle eines Strahlentherapiesystems zur intraoperativen Strahlentherapie ausgestaltet, wobei der Transponder einem Applikator zugeordnet oder mit dem Applikator verbunden ist. In dieser Ausgestaltung umfasst das Verfahren die Verfahrensschritte:
- - Befestigen des Applikators an der Röntgenstrahlenquelle; und
- - Freigabe von Funktionen der Röntgenstrahlenquelle in Abhängigkeit des Abgleichs der ausgelesenen Daten des Transponders mit den in der zentralen Vergabestelle gespeicherten Zugangsberechtigungen.
-
Im Folgenden wird die Erfindung anhand von Ausführungsbeispielen erläutert.
-
In einem ersten Ausführungsbeispiel umfasst ein Strahlentherapiesystem zur intraoperativen Strahlentherapie ein medizinisches Behandlungsgerät in Form einer Röntgenstrahlenquelle sowie einen Applikator, welcher an der Röntgenstrahlenquelle befestigt werden kann. Der Applikator steht während einer medizinischen Behandlung in Kontakt mit dem zu bestrahlenden Gewebe, so dass dem Bestrahlungsgebiet eine definierte Form aufgeprägt wird. Durch die Verwendung geeigneter Abschirmmittel am Applikator lässt sich weiterhin das von der Röntgenstrahlenquelle abgegebene Strahlenfeld beeinflussen und an den Bestrahlungsfall anpassen.
-
Das Strahlentherapiesystem umfasst ferner ein Sicherheitssystem mit einer zentralen Vergabestelle, einem Transponder und einer Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten.
-
Der Transponder ist mit dem Applikator lösbar oder unlösbar verbunden. In dem Transponder sind für die Anwendung relevante Daten des Applikators, der Röntgenstrahlenquelle und/oder des Strahlentherapiesystems gespeichert. Der Applikator und/oder der Transponder verfügt vorzugsweise über einen Strahlungsabsorber, beispielsweise in Form eines Ferrit Absorbers. Dieser dient dazu, einen störenden Einfluss von Strahlung, die aus dem Transponder und/oder der Auslesevorrichtung austritt, auf das medizinische Behandlungsgerät zu minimieren und/oder das Strahlungsfeld der abgegebenen Strahlung zu beeinflussen.
-
Die Röntgenstrahlenquelle ist über eine Datenleitung mit der zentralen Vergabestelle des Sicherheitssystems koppelbar, welche bevorzugt in ein Steuergerät integriert ist. Über ein Benutzerinterface kann ein Benutzer in der zentralen Vergabestelle Zugangsberechtigungen anlegen und/oder verwalten.
-
Die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten ist über Datenleitungen zumindest zeitweise mit der zentralen Vergabestelle und der Röntgenstrahlenquelle koppelbar. Sie ist ferner dazu eingerichtet, aus dem Transponder ausgelesene Daten oder Datensätze mit entsprechenden Daten oder Datensätzen, die in der zentralen Vergabestelle angelegt sind, abzugleichen und in Abhängigkeit von einem Ergebnis des Abgleichs Funktionen der Röntgenstrahlenquelle anzusteuern, das heißt freizugeben, zu verändern, zu regeln und/oder anderweitig zu beeinflussen.
-
Das beschriebene Strahlentherapiesystem weist eine Vielzahl von Vorteilen auf. Mit Hilfe des Datenabgleichs lassen sich Eigenschaften des verwendeten Applikators wie Seriennummer, Kalibrierdaten, Anzahl durchgeführter Reinigungszyklen etc. sicher ermitteln. Insbesondere lässt sich ermitteln, ob der verwendete Applikator mit einem Behandlungsplan für eine anstehende Behandlung übereinstimmt. Wenn dies der Fall ist, werden alle relevanten Daten aus dem Transponder übernommen, die Röntgenstrahlenquelle wird mit Hilfe der im Transponder gespeicherten Daten kalibriert und die Behandlung wird freigegeben. Nach erfolgter Behandlung wird bevorzugt ein Zähler für die Anzahl der Verwendungen des Applikators um ein erhöht und der neue Zählerstand im Transponder hinterlegt. Ergibt sich eine Diskrepanz zwischen den aus dem Transponder ausgelesenen Daten und den in der zentralen Vergabestelle hinterlegten Daten, kann beispielsweise ein Warnung an den Benutzer ausgegeben und/oder ein Behandlungsstart blockiert werden.
-
In einem zweiten Ausführungsbeispiel umfasst ein Strahlentherapiesystem zur intraoperativen Strahlentherapie ebenfalls ein medizinisches Behandlungsgerät in Form einer Röntgenstrahlenquelle sowie ein Sicherheitssystem mit einer zentralen Vergabestelle, einem Transponder und einer Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten.
-
Ohne Einschränkung der Allgemeinheit ist der Transponder in diesem Ausführungsbeispiel als ID-Karte oder als RFID-Klebesticker ausgeführt. Auf dem Transponder ist ein eindeutiges, einmalig vergebenes Identifikationsmerkmal gespeichert, welches im einfachsten Fall aus einer individuellen ID-Nummer besteht.
-
Die Röntgenstrahlenquelle ist über eine Datenleitung mit der zentralen Vergabestelle des Sicherheitssystems koppelbar, welche bevorzugt in ein Steuergerät integriert ist. Über ein Benutzerinterface kann ein Benutzer in der zentralen Vergabestelle Zugangsberechtigungen anlegen und/oder verwalten.
-
Die Vorrichtung zum Auslesen der auf dem Transponder gespeicherten Daten ist über Datenleitungen zumindest zeitweise mit der zentralen Vergabestelle und der Röntgenstrahlenquelle koppelbar. Sie ist ferner dazu eingerichtet, ein aus dem Transponder ausgelesenes Identifikationsmerkmal mit einem Identifikationsmerkmal, das in der zentralen Vergabestelle angelegt sind, abzugleichen und in Abhängigkeit von einem Ergebnis des Abgleichs Funktionen der Röntgenstrahlenquelle anzusteuern, das heißt freizugeben, zu verändern, zu regeln und/oder anderweitig zu beeinflussen.
-
Das Sicherheitssystem gemäß diesem Ausführungsbeispiel ermöglicht über ein bevorzugt automatisches, kontaktloses Auslesen des Identifikationsmerkmal eine Abfrage von Zugangsdaten. Zur Verbesserung der Sicherheit kann das Identifikationsmerkmal verschlüsselt hinterlegt sein. Das Identifikationsmerkmal bzw. die Zugangsdaten sind für den Benutzer nicht sichtbar, wodurch die Gefahr eines missbräuchlichen Zugangs verringert wird.
-
Zugangsberechtigte Benutzer werden Identifikationsmerkmale zugeordnet, die in der zentralen Vergabestelle hinterlegt werden. Die dazu passende Zugangshardware in Form der ID-Karte oder des RFI-Klebestickers wird dem berechtigten Benutzer zur Verfügung gestellt. Der Benutzer erhält Zugriff zu einem oder mehreren Strahlentherapievorrichtungen oder anderen medizinischen Geräten durch bevorzugt kontaktlose Bestätigung seiner Person mittels des Transponders.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 2006/0129140 A1 [0007]