EP2034463A2 - Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen - Google Patents

Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen Download PDF

Info

Publication number
EP2034463A2
EP2034463A2 EP08104947A EP08104947A EP2034463A2 EP 2034463 A2 EP2034463 A2 EP 2034463A2 EP 08104947 A EP08104947 A EP 08104947A EP 08104947 A EP08104947 A EP 08104947A EP 2034463 A2 EP2034463 A2 EP 2034463A2
Authority
EP
European Patent Office
Prior art keywords
signals
safety
control
base part
control signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP08104947A
Other languages
English (en)
French (fr)
Other versions
EP2034463A3 (de
Inventor
Jürgen Holstegge
Robert Kagermeier
Steffen Schröter
Dietmar Sierk
Eike Dr. Rietzel
Andres Sommer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2034463A2 publication Critical patent/EP2034463A2/de
Publication of EP2034463A3 publication Critical patent/EP2034463A3/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • G08C17/02Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C25/00Arrangements for preventing or correcting errors; Monitoring arrangements
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C2201/00Transmission systems of control signals via wireless link
    • G08C2201/60Security, fault tolerance
    • G08C2201/63Redundant transmissions

Definitions

  • the invention relates to a method and a device for the wireless transmission of signals between a mobile operating part and a base part of a safety-critical device, in particular a medical treatment device.
  • Such a method and such a device are in the DE 10 2004 040 959 A1 described.
  • a malfunction due to transmission errors in the wirelessly transmitted signals must be ruled out in the case of wireless, remote-controlled operation of the device.
  • This so-called “first fault safety” is performed according to the DE 10 2004 040 059 A1 achieved by duplicating a signal to be transmitted, and passing each copy of the duplicated input signal to a separate independent software path and transmitting it wirelessly to a base part. In the base part, the two copies are then tested for consistency. If the signals match, a corresponding output signal is issued as a control signal for the device.
  • Such a method requires comparatively high computing power and also leads to a comparatively high degree of complexity, which must be taken into account in the event of software changes or additions.
  • the invention is therefore based on the object to enable a simplified wireless signal transmission without security losses compared to the known methods.
  • the object is achieved according to the invention by a method having the features of claim 1 and by a device having the features of claim 14. Thereafter, it is provided that the signals to be transmitted from a mobile control unit to a fixed base part in safety-related control signals and uncritical communication signals be divided, and that only the safety-related control signals for fail-safety, namely transmission or initial fail-safety, to be checked. In contrast, the uncritical communication signals are transmitted without safety testing and thus separated from the control signals between the base part and the control unit.
  • the logical separation is achieved, for example, by specifying the transmission in separate areas of a common transmission protocol.
  • the high outlay for fail-safe transmission is carried out only with regard to those signals which are actually safety-critical.
  • the strict separation of these two signal types also ensures that there is no mixing between the signal types. It is thus ensured that all safety-related control signals are actually transmitted fail-safe. Due to the clear separation of the signal types, it is also possible to easily change and maintain the underlying software, for example operating software.
  • the separation of these different types of signal avoids the mixing of safety-related and non-safety-critical functions. This leads to the easy handling of the non-safety-critical functions.
  • These functions are, for example, the menu guidance or display options on the control panel. Also can a keypad through this logical Separation of the signal types readily new devices are made known, which are then controlled, for example, on their own menus on the control panel.
  • control part hereinafter also referred to as a handset, is generally understood an input device which serves as a so-called user interface (user interface), via which the respective operator transmits control signals to the device or signals about the state of the device gets displayed.
  • This control panel can be configured as a control panel with switching and control elements and with an optical display element or as a portable handset.
  • safety-relevant control signals are preferably understood to be signals which influence an adjustment movement and / or radiation parameters of the device.
  • General are safety-relevant such signals that affect a function of the device, which can lead to a potential danger in particular of a patient or the basic operational readiness of the device. For example, it must be ensured that the control device does not move the device to a position at which, for example, the patient is already located or where another object is located. Certain boundary conditions for speed, acceleration, etc. of the adjustment movements also apply.
  • Further safety-relevant functions, in particular in the case of a medical device are the parameters summarized as irradiation parameters, by means of which the treatment of the patient is controlled. Treatment means any intervention in the patient's body with the aid of the medical device.
  • the medical device is, for example, a diagnostic device which irradiates the patient for diagnostic purposes, such as an X-ray device, a computed tomography device, a magnetic resonance device, etc.
  • the medical device is, for example, a therapy device in which a direct tumor treatment takes place via particle irradiation.
  • irradiation parameters are understood as meaning, for example, parameters via which the irradiation intensity, the irradiation duration, the type of radiation, the focus of the radiation, the distance of the beam source from the patient, etc. are set.
  • the safety-relevant signals are - since they are control signals for the device - preferably transmitted only unidirectional from the control panel to the base part.
  • the check for failure safety is thus preferably only in the direction of the control panel to the base part.
  • the security-relevant signals are transmitted bidirectionally and checked.
  • the uncritical communication signals are preferably optional graphic signals or selection signals.
  • Graphic signals are understood to mean signals of this kind, via which display settings on the control unit or also on the medical device are changed. Such display settings are, for example, special user interfaces of a control menu, the activation of signal lights, etc.
  • Selection signals are understood as signals via which non-safety-relevant device functions are selected and selected. Such device functions are, for example, functions with regard to the image processing, such as zoom factor, sharpness settings, selection of image sections, choice of data displayed, etc.
  • the control of the individual display monitors, the selection of the respective menu, the selection of a specific calculation algorithm, etc. are in this case device functions, which have no direct influence on the patient and thus represent a hazard.
  • the safety-related control signals are encoded according to an expedient embodiment in the handset by means of a check code and decoded again in the base part.
  • a so-called test information or a test code is added to the signals, by means of which the fail-safe transmission of the respective individual signal can be checked.
  • Each individual signal is provided with such special unique test information.
  • a so-called CRC Cyclic Redundancy Code
  • a 32-bit CRC assigned.
  • control signals are expediently transmitted redundantly, that is to say a copy is made of the respective individual signal to be transmitted, transmitted and then checked again for conformity with the original transmitted in parallel at the base part, as described in US Pat DE 10 2004 040 059 A1 is provided.
  • a control unit is provided in the control unit and / or in the base part, preferably in both parts, with the aid of which the distinction is made in safety-relevant control signals and uncritical communication signals.
  • the signals are processed separately on the one hand on the side of the control panel and on the other hand on the side of the base part and prepared for the transmission.
  • safety-related control signals and uncritical communication signals are expediently realized hardware-technically for safety-related considerations, in particular by the safety-relevant control signals being received by a connection at the respective control unit via a defined pin assignment (pin assignment). Signals present at these defined connection contacts are automatically identified as safety-relevant control signals.
  • the individual operating elements for the exercise of the control signals are therefore connected to a respective input pin of the control unit assigned to them.
  • each control element is associated with at least one of the input pins.
  • the security-critical communication signals are preferably transmitted via a data bus, that is to say a single data line for different signals.
  • the control unit comprises a security module for processing the safety-critical control signals and a further module for processing the uncritical communication signals.
  • a security module for processing the safety-critical control signals
  • a further module for processing the uncritical communication signals.
  • UI controller for the so-called user interface, via which the functionality of the user interface, so the mobile control panel, can be set, programmed and changed.
  • Such settings relate, for example, to the graphic settings or also the settings as to which type of devices can be controlled from the control panel, etc.
  • all safety-critical functions are not influenced by this UI controller.
  • This designed as a UI controller further module is also referred to as a control module, and generally takes over the control of the functionality of the handset.
  • a control unit with a security module are provided both in the base part and in the control unit, wherein the two security modules control the transmission of the signals. That is, via the security modules, the exchange and the communication takes place both with regard to the safety-critical control signals and with regard to the non-critical communication signals.
  • the coding takes place and in the security module of the base part, the decoding of the security-relevant control signals.
  • the actual activation of the device takes place via the base part.
  • this is the safety-critical communication with a system control of the device via the security module.
  • the safety module thus transmits the safety-critical control signals, whereas the exchange of communication signals with the device takes place via the operating module.
  • the safety-critical control signals via a 1: 1 wiring between the security module of the base part and the system control done, whereas the communication signals are preferably exchanged via a data bus.
  • FIG. 1 shows in a greatly simplified block diagram representation of a device which is designed for wireless transmission of signals between a mobile control unit and a base part for controlling a safety-critical device, in particular a medical treatment device.
  • the device accordingly comprises a handset 2, a base part 4 and a system controller 6. These three components form components of a safety-relevant device not shown here.
  • the handset 2 is formed as an independent and freely movable, provided with its own housing part, which is arranged, for example, portable or arbitrarily movable in space.
  • the base part 4 is preferably firmly connected to a main component of the device, in which the system control is integrated.
  • the safety-critical device is in particular a medical treatment device.
  • the handset 2 and the base part 4 are designed for wireless communication with each other and for this purpose have a corresponding wireless communication interface 8, which is constructed, for example, according to the Bluetooth standard.
  • the mobile part 2 has a first control unit 10A, which comprises a first security module 12A and a second, further module, which is referred to below as a graphics controller 14A.
  • the base part 4 comprises a second control unit 10B with a second security module 12B and a second further module, which is referred to below as the adjustment module 14B.
  • the operating module 14B may also be referred to as a UI controller (user interface controller).
  • the handset 2 further comprises a display 16, for example a screen.
  • a display 16 for example a screen.
  • controls 18A, B are provided, via which an operator can make inputs over which the medical device is controlled.
  • the display 16 also provides the operator with information, in particular about the state of the device, and different menus are displayed for selection.
  • the elements 18A, B serve exclusively for the input of uncritical communication signals K, whereas the operating elements 18B serve exclusively for the input of safety-related control signals S.
  • the first control elements 18A can be of any desired nature and, for example, also a touch screen or other software-supported control elements are provided
  • the second control elements 18B are directly connected to the first security module 12A, ie via a direct wiring. Illustrated by way of example only, individual contact pins 20 are shown here as connection contacts in the figure. Thus, there is a 1: 1 pin assignment between a respective second operating element 18B and a contact pin 20 of the first control unit 10A.
  • the control signals S are transmitted from the second operating elements 18B to a first computer unit (microprocessor) 22A of the first security module 12A.
  • the communication signals K are transmitted from the first operating element 18A to the computer unit 22.
  • the communication signals K are transmitted from the first operating elements 18A via the graphics controller 14A to the computer unit 22.
  • the safety-related control signals S are processed in the computer unit 22, in particular in the manner as described in the DE 10 2004 040 059 A1 is described.
  • this duplicates a respective Control signal S. That is, each incoming control signal S is duplicated so that it is redundant. It is possible here to invert a copy of the duplicated control signal S. Subsequently, the original and the copy of the respective individual control signal S with a check information, namely a so-called CRC (Cyclic Redundancy Code) provided and forwarded in this form to the communication interface 8 for processing and transmission.
  • CRC Cyclic Redundancy Code
  • the signals K, S are received on the side of the base part 4 of the local communication interface 8 and forwarded to a local located in the second security module 12B second computer unit 22B for further processing.
  • This computer unit 22B distinguishes between the communication signals K and the control signals S. While the communication signals K are forwarded substantially without any special processing, the decoding of the security-relevant control signals S takes place in the computer unit 22B. In this case, the check information is initially checked, that is to say whether the arrived data signals are plausible. Subsequently, the redundantly transmitted information of the respective individual control signal S is optionally compared with each other for consistency after being inversed. If a fail-safe transmission is identified here, the control signals S are transmitted to a signal output module 26, via which the control signals S are then forwarded to the system controller 6 of the medical device.
  • the system controller 6 is also connected to the second control module 10B via corresponding contact pins 20 by means of a 1: 1 pin assignment with respect to the control signals S. connected to a wiring.
  • the communication signals K are transmitted from the computer unit 22B to the operating module 14B in which they are then processed and forwarded to the system controller 6.
  • the data exchange of the communication signals K between the operating module 14B and the system controller 6 is preferably carried out via a bus module 28.
  • a data bus for example the CAN bus, is provided here.
  • the management and control of the individual functions of the handset 2 is deposited. That is, the functionality of the handset 2 is determined via this operating module 14B.
  • functionality is understood to mean which technical devices can be activated by the mobile part 2 or also which functions of a single technical device can be controlled by the mobile part 2.
  • several monitors can be provided on the medical device.
  • the functionality of the mobile part 2 is now set up via the operating module 14B insofar as, for example, the switching between the different monitors is permitted.
  • Not included in the operating module 14B is the influencing of the functionality of the safety-critical second operating elements 18B, since the safety-critical control signals S are output via them.
  • the adjustment module 14B is designed to configure the mobile part 2.
  • a download functionality is provided so that configuration data, for example, from the system controller 6 via the operating module 14B as communication signals K to the graphics controller 14A are transmitted.
  • configuration data are, for example, bitmaps, that is graphic data for the user interface, or else texts, etc.
  • the communication level means all components which are responsible for the functionality with regard to the communication signals K, that is to say for the graphical representation (graphic signals, display settings) or also for so-called selection signals for controlling non-safety-relevant device functions. Overall, this allows easy maintenance and treatment of this level of communication. At the same time, the safety-critical transmission of the control signals S remains unaffected.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Selective Calling Equipment (AREA)
  • Magnetic Resonance Imaging Apparatus (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)

Abstract

Bei dem Verfahren und der Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines insbesondere medizinischen Behandlungsgeräts werden die zu übertragenden Signale kategorisiert, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K). Lediglich die sicherheitsrelevanten Steuersignale (S) werden insbesondere als codierte Signale übertragen und auf Übertragungsfehlersicherheit überprüft. Die unkritischen Kommunikationssignale (K) werden demgegenüber ohne Sicherheitsüberprüfung übertragen. Durch diese Maßnahme ist eine einfachere programmtechnische Einrichtung und damit auch Überprüfung und Wartung ermöglicht.

Description

  • Die Erfindung betrifft ein Verfahren sowie eine Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil und einem Basisteil eines sicherheitskritischen Geräts, insbesondere eines medizinischen Behandlungsgeräts.
  • Ein derartiges Verfahren und eine derartige Vorrichtung sind in der DE 10 2004 040 959 A1 beschrieben. Bei sicherheitskritischen Geräten, insbesondere bei medizinischen Behandlungsgeräten, bei denen von dem Gerät selbst eine potenzielle Gefährdung für einen zu behandelnden Patienten ausgeht, muss bei einer drahtlosen, ferngesteuerten Bedienung des Gerätes eine Fehlfunktion infolge von Übertragungsfehlern bei den drahtlos übertragenen Signalen ausgeschlossen werden. Diese so genannte "Erstfehlersicherheit" wird gemäß der DE 10 2004 040 059 A1 erreicht, indem ein zu übertragendes Signal dupliziert und jede Kopie des duplizierten Eingangssignals auf einen separaten unabhängigen Softwarepfad geführt und an ein Basisteil drahtlos übermittelt wird. Im Basisteil werden dann die beiden Kopien auf Konsistenz getestet. Bei Übereinstimmung der Signale ergeht ein entsprechendes Ausgangssignal als Steuersignal für das Gerät.
  • Ein derartiges Verfahren benötigt eine vergleichsweise hohe Rechenleistung und führt zudem auch zu einer vergleichsweise hohen Komplexität, die bei Softwareänderungen oder -ergänzungen berücksichtigt werden muss.
  • Der Erfindung liegt daher die Aufgabe zugrunde, eine vereinfachte drahtlose Signalübertragung ohne sicherheitstechnische Einbußen gegenüber den bekannten Verfahren zu ermöglichen.
  • Die Aufgabe wird gemäß der Erfindung gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie durch eine Vorrichtung mit den Merkmalen des Anspruchs 14. Danach ist vorgesehen, dass die von einem mobilen Bedienteil zu einem festen Basisteil zu übertragenden Signale in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale eingeteilt werden, und dass lediglich die sicherheitsrelevanten Steuersignale auf Fehlersicherheit, nämlich Übertragungs- oder Erst-Fehlersicherheit, überprüft werden. Die unkritischen Kommunikationssignale werden demgegenüber ohne Sicherheitsprüfung und damit getrennt von den Steuersignalen zwischen dem Basisteil und dem Bedienteil übertragen.
  • Durch die Auftrennung in zwei Arten von Signalen und deren getrennte Übertragung auf eigenen Kanälen, die physikalisch oder logisch voneinander getrennt sind, ist eine deutliche Vereinfachung erzielt. Die logische Trennung wird beispielsweise dadurch erreicht, dass die Übertragung in voneinander abgegrenzten Bereichen eines gemeinsamen Übertragungsprotokolls spezifiziert ist.
  • Zum einen wird erreicht, dass der hohe Aufwand für die fehlersichere Übertragung lediglich im Hinblick auf diejenigen Signale durchgeführt wird, die tatsächlich sicherheitskritisch sind. Gleichzeitig wird durch die strikte Trennung dieser beiden Signaltypen auch sichergestellt, dass keine Vermengung zwischen den Signaltypen erfolgt. Es ist also sichergestellt, dass alle sicherheitsrelevanten Steuersignale tatsächlich auch fehlersicher übertragen werden. Durch die klare Trennung der Signalarten ist zudem eine leichte Änderbarkeit und Wartbarkeit der zugrunde liegenden Software, beispielsweise Bedien-Software, ermöglicht. Durch die Trennung dieser unterschiedlichen Signalarten wird eine Vermengung von sicherheitsrelevanten und nicht sicherheitskritischen Funktionen vermieden. Dies führt zu der leichten Handhabung der nicht sicherheitskritischen Funktionen. Diese Funktionen sind beispielsweise die Menu-Führung oder Anzeige-Optionen am Bedienteil. Auch können einem Bedienteil durch diese logische Trennung der Signaltypen ohne weiteres neue Geräte bekannt gemacht werden, die dann beispielsweise über eigene Menüs am Bedienteil ansteuerbar sind.
  • Unter Bedienteil, nachfolgend auch als Mobilteil bezeichnet, wird allgemein ein Eingabegerät verstanden, welches als so genannte Nutzerschnittstelle (User Interface) dient, über die der jeweilige Bediener Steuersignale an das Gerät übermittelt bzw. Signale über den Zustand des Geräts angezeigt bekommt. Dieses Bedienteil kann als Bedienpult mit Schalt- und Steuerelementen sowie mit einem optischen Anzeigeelement oder auch als ein tragbares Handgerät ausgestaltet sein.
  • Unter sicherheitsrelevanten Steuersignalen werden hierbei vorzugsweise derartige Signale verstanden, die eine Verstellbewegung und/oder Strahlungsparameter des Geräts beeinflussen. Allgemein sind sicherheitsrelevante derartige Signale, die eine Funktion des Geräts beeinflussen, die zu einer potenziellen Gefährdung insbesondere eines Patienten oder auch der grundsätzlichen Betriebsbereitschaft des Geräts führen kann. So muss beispielsweise sichergestellt sein, dass über die Steuersignale das Gerät nicht an eine Position verfahren wird, an der sich beispielsweise bereits der Patient befindet, oder an dem sich ein anderer Gegenstand befindet. Auch gelten bestimmte Randbedingungen für Geschwindigkeit, Beschleunigung, etc. der Verstellbewegungen. Weitere sicherheitsrelevanten Funktionen, insbesondere bei einem medizinischen Gerät sind die als Bestrahlungsparameter zusammengefassten Parameter, über die die Behandlung des Patienten gesteuert wird. Unter Behandlung wird hierbei jeglicher Eingriff in den Körper des Patienten mit Hilfe des medizinischen Geräts verstanden. Das medizinische Gerät ist beispielsweise ein Diagnosegerät, welches zu Diagnosezwecken den Patienten bestrahlt, wie z.B. ein Röntgengerät, ein Computertomografiegerät, ein Magnetresonanzgerät, etc. Alternativ ist das medizinische Gerät beispielsweise ein Therapiegerät, bei dem über Partikelbestrahlung eine direkte Tumorbehandlung erfolgt.
  • Unter Bestrahlungsparameter werden daher beispielsweise Parameter verstanden, über die die Bestrahlungsintensität, die Bestrahlungsdauer, die Art der Strahlung, der Fokus der Strahlung, der Abstand der Strahlquelle vom Patienten, etc. eingestellt werden.
  • Die sicherheitsrelevanten Signale werden - da sie Steuersignale für das Gerät sind - vorzugsweise lediglich unidirektional vom Bedienteil an das Basisteil übermittelt. Die Überprüfung auf Fehlersicherheit erfolgt also vorzugsweise lediglich in Richtung vom Bedienteil zum Basisteil. In einer alternativen Ausgestaltung werden die sicherheitsrelevanten Signale bidirektional übertragen und überprüft.
  • Die unkritischen Kommunikationssignale sind vorzugsweise wahlweise Grafiksignale oder Auswahlsignale. Unter Grafiksignalen werden hierbei derartige Signale verstanden, über die Anzeigeeinstellungen am Bedienteil oder auch am medizinischen Gerät verändert werden. Derartige Anzeigeeinstellungen sind beispielsweise spezielle Benutzeroberflächen eines Bedienmenus, das Ansteuern von Signalleuchten, etc. Unter Auswahlsignalen werden derartige Signale verstanden, über die nicht sicherheitsrelevante Gerätefunktionen angewählt und ausgewählt werden. Derartige Gerätefunktionen sind beispielsweise Funktionen im Hinblick auf die Bildaufbereitung, wie beispielsweise Zoomfaktor, Schärfeeinstellungen, Wahl der Bildausschnitte, Wahl der Daten, die angezeigt werden, etc. Üblicherweise wird nämlich während einer medizinischen Behandlung parallel an einem oder mehreren Monitoren der Fortgang oder das Ergebnis der aktuellen Behandlung angezeigt. Hierbei ist üblicherweise ein vielschichtiges Menu abrufbar. Die Ansteuerung der einzelnen Anzeigemonitore, die Auswahl des jeweiligen Menus, die Auswahl eines bestimmten Berechnungsalgorithmus, etc. sind hierbei Gerätefunktionen, welche keinen unmittelbaren Einfluss auf den Patienten haben und somit eine Gefährdung darstellen.
  • Um eine sichere und zuverlässige Übertragung der sicherheitsrelevanten Steuersignale zu gewährleisten, werden diese gemäß einer zweckdienlichen Ausgestaltung im Mobilteil mittels eines Prüfcodes codiert und im Basisteil wieder decodiert. Hierzu wird den Signalen eine so genannte Prüfinformation oder ein Prüfcode beigefügt, anhand dessen die fehlersichere Übertragung des jeweiligen Einzelsignals überprüft werden kann. Jedes Einzelsignal wird hierbei mit einer solchen speziellen eindeutigen Prüfinformation versehen. Insbesondere wird hierzu ein so genannter CRC (Cyclic Redundancy Code), bevorzugt ein 32-Bit-CRC, zugeordnet. Alternativ oder ergänzend werden zweckdienlicherweise die Steuersignale redundant übertragen, das heißt von dem jeweiligen zu übertragenden einzelnen Signal wird eine Kopie angefertigt, übertragen und dann am Basisteil wieder auf Übereinstimmung mit dem parallel übertragenen Original überprüft, wie dies gemäß der DE 10 2004 040 059 A1 vorgesehen ist.
  • Gemäß einer zweckdienlichen Weiterbildung ist im Bedienteil und/oder im Basisteil, vorzugsweise in beiden Teilen, eine Steuereinheit vorgesehen, mit deren Hilfe die Unterscheidung in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale erfolgt. In der jeweiligen Steuereinheit werden daher einerseits auf Seiten des Bedienteils und andererseits auf Seiten des Basisteils die Signale voneinander getrennt verarbeitet und für die Übertragung vorbereitet.
  • Die Unterscheidung in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale wird hierbei aus sicherheitstechnischen Überlegungen heraus zweckdienlicherweise hardwaretechnisch realisiert, insbesondere indem die sicherheitsrelevanten Steuersignale über eine definierte Kontaktbelegung (Pinbelegung) von Anschlusskontakten an der jeweiligen Steuereinheit bei dieser eingehen. Signale, die an diesen definierten Anschlusskontakten anliegen, werden automatisch als sicherheitsrelevante Steuersignale identifiziert. Hierzu erfolgt eine 1:1-Verdrahtung zwischen Bedienelementen, wie beispielsweise Steuerknöpfen, Tastern und Schaltern, und der Steuereinheit des Bedienteils. Es erfolgt also keine softwaretechnische Aufbereitung der Steuersignale. Die einzelnen Bedienelemente für die Ausübung der Steuersignale sind daher mit einem jeweiligen ihnen zugeordneten Eingangspin der Steuereinheit verbunden. Vorzugsweise ist jedem Bedienelement zumindest einer der Eingangspins zugeordnet.
  • Im Unterschied hierzu ist vorgesehen, dass die sicherheitsunkritischen Kommunikationssignale vorzugsweise über einen Datenbus, also eine einzige Datenleitung für unterschiedliche Signale, übermittelt werden.
  • Gemäß einer bevorzugten Weiterbildung umfasst die Steuereinheit ein Sicherheitsmodul zur Bearbeitung der sicherheitskritischen Steuersignale sowie ein weiteres Modul zur Bearbeitung der unkritischen Kommunikationssignale. Durch diese logische oder auch hardwaremäßige Unterteilung der Steuereinheit ist die Trennung der unterschiedlichen Signalarten konsequent weitergeführt. Dies erlaubt beispielsweise ein einfaches Konfigurieren, Ändern oder Warten der Software des weiteren Moduls für die unkritischen Kommunikationssignale. Hierbei sind keinerlei Wechselwirkungen mit der Bearbeitung der sicherheitskritischen Steuersignale zu befürchten. Insgesamt lassen sich daher auf einfache Weise Anpassungen vornehmen. Das weitere Modul ist insbesondere als so genannter Controller für die Grafikgeräte, für die Benutzerschnittstelle oder auch für die nicht sicherheitsrelevanten Gerätefunktionen ausgebildet. Insbesondere ist dieses weitere Modul auf Seiten des Bedienteils als Grafikcontroller für ein Anzeigeelement ausgebildet. Auf Seiten des Basisteils ist es als Controller (UI-Controller) für das so genannte User-Interface ausgebildet, über das die Funktionalität des User-Interface, also des mobilen Bedienteils, eingestellt, programmiert und verändert werden kann. Derartige Einstellungen betreffen beispielsweise die grafischen Einstellungen oder auch die Einstellungen, welche Art von Geräten vom Bedienteil aus ansteuerbar sind, etc. Von diesem UI-Controller nicht beeinflusst sind hingegen alle sicherheitskritischen Funktionen, wie beispielsweise Steuersignale für Verstellbewegungen, etc. Dieses als UI-Controller ausgebildete weitere Modul wird auch als Bedienmodul bezeichnet, und übernimmt allgemein die Steuerung der Funktionalität des Mobilteils.
  • Zweckdienlicherweise sind sowohl im Basisteil als auch im Bedienteil eine Steuereinheit mit einem Sicherheitsmodul vorgesehen, wobei die beiden Sicherheitsmodule die Übertragung der Signale steuern. Das heißt, über die Sicherheitsmodule erfolgt der Austausch und die Kommunikation sowohl im Hinblick auf die sicherheitskritischen Steuersignale als auch im Hinblick auf die unkritischen Kommunikationssignale. Im Sicherheitsmodul des Bedienteils erfolgt hierbei die Codierung und im Sicherheitsmodul des Basisteils die Decodierung der sicherheitsrelevanten Steuersignale.
  • Auf Geräteseite erfolgt die tatsächliche Ansteuerung des Geräts über das Basisteil. Zweckdienlicherweise erfolgt hierbei die sicherheitskritische Kommunikation mit einer Systemsteuerung des Geräts über das Sicherheitsmodul. Das Sicherheitsmodul übermittelt also die sicherheitskritischen Steuersignale, wohingegen der Austausch von Kommunikationssignalen mit dem Gerät über das Bedienmodul erfolgt. Auch hier ist wiederum zweckdienlicherweise vorgesehen, dass die sicherheitskritischen Steuersignale über eine 1:1-Verdrahtung zwischen dem Sicherheitsmodul des Basisteils und der Systemsteuerung erfolgen, wohingegen die Kommunikationssignale bevorzugt über einen Datenbus ausgetauscht werden.
  • Ein Ausführungsbeispiel der Erfindung wird im Folgenden anhand der Figur näher erläutert. Diese zeigt in einer stark vereinfachten Blockbilddarstellung eine Vorrichtung, die für eine drahtlose Übertragung von Signalen zwischen einem mobilen Bedienteil und einem Basisteil zur Ansteuerung eines sicherheitskritischen Gerätes, insbesondere eines medizinischen Behandlungsgerätes, ausgebildet ist.
  • Die Vorrichtung umfasst demnach ein Mobilteil 2, ein Basisteil 4 sowie eine Systemsteuerung 6. Diese drei Komponenten bilden Bestandteile eines hier nicht näher dargestellten sicherheitsrelevanten Geräts. Das Mobilteil 2 ist als eigenständiges und frei bewegliches, mit einem eigenen Gehäuse versehenes Teil ausgebildet, welches beispielsweise tragbar oder beliebig verfahrbar im Raum angeordnet ist. Das Basisteil 4 ist vorzugsweise fest mit einer Hauptkomponente des Gerätes verbunden, in der auch die Systemsteuerung integriert ist. Das sicherheitskritische Gerät ist insbesondere ein medizinisches Behandlungsgerät.
  • Das Mobilteil 2 und das Basisteil 4 sind zur drahtlosen Kommunikation miteinander ausgebildet und weisen hierzu eine entsprechende drahtlose Kommunikationsschnittstelle 8 auf, die beispielsweise nach dem Bluetooth-Standard aufgebaut ist.
  • Das Mobilteil 2 weist eine erste Steuereinheit 10A auf, welches ein erstes Sicherheitsmodul 12A sowie ein zweites, weiteres Modul umfasst, welches nachfolgend als Grafik-Controller 14A bezeichnet wird. In ähnlicher Weise umfasst auch das Basisteil 4 eine zweite Steuereinheit 10B mit einem zweiten Sicherheitsmodul 12B und einem zweiten weiteren Modul, welches nachfolgend als Bedienmodul 14B bezeichnet wird. Alternativ kann das Bedienmodul 14B auch als UI-Controller (User Interface-Controller) bezeichnet werden.
  • Das Mobilteil 2 umfasst weiterhin eine Anzeige 16, beispielsweise einen Bildschirm. Schließlich sind auf Seiten des Mobilteils 2 Bedienelemente 18A,B vorgesehen, über die eine Bedienperson Eingaben tätigen kann, über die das medizinische Gerät gesteuert wird. Über die Anzeige 16 erhält der Bediener zugleich Informationen insbesondere über den Zustand des Geräts und es werden ihm unterschiedliche Menüs zur Auswahl angezeigt.
  • Bei den Bedienelementen 18A,B ist von besonderer Bedeutung, dass diese im Hinblick auf ihre Funktion unterschieden werden. Die Elemente 18A dienen nämlich ausschließlich zur Eingabe von unkritischen Kommunikationssignalen K, wohingegen die Bedienelemente 18B ausschließlich zur Eingabe von sicherheitsrelevanten Steuersignalen S dienen. Während die ersten Bedienelemente 18A beliebiger Natur sein können und beispielsweise auch ein Touch Screen oder andere software-unterstützte Bedienelemente vorgesehen sind, sind die zweiten Bedienelemente 18B unmittelbar hardwaretechnisch, also über eine direkte Verdrahtung, mit dem ersten Sicherheitsmodul 12A verbunden. Lediglich beispielhaft illustriert sind hier in der Figur einzelne Kontaktpins 20 als Anschlusskontakte dargestellt. Es erfolgt also eine 1:1-Pinbelegung zwischen einem jeweiligen zweiten Bedienelement 18B und einem Kontaktpin 20 der ersten Steuereinheit 10A.
  • Die Steuersignale S werden von den zweiten Bedienelementen 18B an eine erste Rechnereinheit (Mikroprozessor) 22A des ersten Sicherheitsmoduls 12A übermittelt. Parallel hierzu werden die Kommunikationssignale K vom ersten Bedienelement 18A der Rechnereinheit 22 übermittelt. Alternativ hierzu besteht die Möglichkeit, dass die Kommunikationssignale K von den ersten Bedienelementen 18A über den Grafik-Controller 14A an die Rechnereinheit 22 übermittelt werden.
  • Wie sofort zu erkennen ist, erfolgt daher eine getrennte Zuführung der Signale K,S zu der Rechnereinheit 22, in der sie auch getrennt voneinander verarbeitet werden. Die Kommunikationssignale K werden ohne weitere sicherheitsrelevante Aufbereitung an die Kommunikationsschnittstelle 8 zur Übermittlung an das Basisteil 4 weitergeleitet. In dieser Kommunikationsschnittstelle 8 werden sie dann für die Übertragung aufbereitet und übermittelt.
  • Die sicherheitsrelevanten Steuersignale S hingegen werden in der Rechnereinheit 22 aufbereitet, und zwar insbesondere in der Art und Weise, wie sie in der DE 10 2004 040 059 A1 beschrieben ist. Insoweit wird auf diese Anmeldung Bezug genommen. Insbesondere erfolgt hierbei eine Duplizierung eines jeweiligen Steuersignals S. Das heißt, jedes eingehende Steuersignal S wird dupliziert, so dass es redundant vorliegt. Es besteht hierbei die Möglichkeit, eine Kopie des duplizierten Steuersignals S zu invertieren. Anschließend werden das Original und die Kopie des jeweiligen einzelnen Steuersignals S mit einer Prüfinformation, nämlich einem so genannten CRC (Cyclic Redundancy Code) versehen und in dieser Form an die Kommunikationsschnittstelle 8 zur Aufbereitung und Übertragung weitergeleitet.
  • Die Signale K,S werden auf Seiten des Basisteils 4 von der dortigen Kommunikationsschnittstelle 8 empfangen und an eine dortige in dem zweiten Sicherheitsmodul 12B befindliche zweite Rechnereinheit 22B zur weiteren Verarbeitung weitergeleitet. Diese Rechnereinheit 22B unterscheidet zwischen den Kommunikationssignalen K und den Steuersignalen S. Während die Kommunikationssignale K im Wesentlichen ohne spezielle Verarbeitung weitergeleitet werden, erfolgt in der Rechnereinheit 22B die Decodierung der sicherheitsrelevanten Steuersignale S. Hierbei erfolgt zunächst eine Überprüfung der Prüfinformation, ob also die angekommenen Datensignale plausibel sind. Anschließend werden die redundant übermittelten Informationen des jeweiligen einzelnen Steuersignals S gegebenenfalls nach Invertierung miteinander auf Konsistenz verglichen. Sofern hier eine fehlersichere Übertragung identifiziert wird, werden die Steuersignale S an ein Signalausgangsmodul 26 übermittelt, über das dann die Steuersignale S an die Systemsteuerung 6 des medizinischen Gerätes weitergeleitet werden.
  • In gleicher Weise wie die zweiten sicherheitskritischen Bedienelemente 18B über eine 1:1-Pinbelegung mit der ersten Steuereinheit 10A verbunden sind, ist auch die Systemsteuerung 6 bezüglich der Steuersignale S mit dem zweiten Steuermodul 10B über entsprechende Kontaktpins 20 mittels einer 1:1-Pinbelegung und einer Verdrahtung verbunden.
  • Die Kommunikationssignale K werden von der Rechnereinheit 22B an das Bedienmodul 14B übermittelt, in dem diese dann aufbereitet und an die Systemsteuerung 6 weitergeleitet werden. Der Datenaustausch der Kommunikationssignale K zwischen dem Bedienmodul 14B und der Systemsteuerung 6 erfolgt hierbei vorzugsweise über ein Busmodul 28. Zur Übertragung ist hier ein Datenbus, beispielsweise der CAN-Bus, vorgesehen.
  • Im Bedienmodul 14B ist die Verwaltung und Ansteuerung der einzelnen Funktionen des Mobilteils 2 hinterlegt. Das heißt, die Funktionalität des Mobilteils 2 wird über dieses Bedienmodul 14B bestimmt. Unter Funktionalität wird hierbei verstanden, welche technischen Geräte vom Mobilteil 2 ansteuerbar sind oder auch welche Funktionen eines einzelnen technischen Geräts vom Mobilteil 2 ansteuerbar sind. Beispielsweise besteht die Möglichkeit, über das Mobilteil 2 einen Zugriff auf spezielle Daten oder spezielle Menustrukturen oder auch auf spezielle Gerätekomponenten des medizinischen Geräts einzurichten, zu unterdrücken oder auch nutzerabhängig zuzulassen. So können beispielsweise am medizinischen Gerät mehrere Monitore vorgesehen sein. Über das Bedienmodul 14B wird nunmehr die Funktionalität des Mobilteils 2 insoweit eingerichtet, als dass beispielsweise das Umschalten zwischen den unterschiedlichen Monitoren erlaubt ist. Nicht umfasst von dem Bedienmodul 14B ist die Beeinflussung der Funktionalität der sicherheitskritischen zweiten Bedienelemente 18B, da über diese die sicherheitskritischen Steuersignale S abgegeben werden.
  • Weiterhin ist das Bedienmodul 14B zur Konfiguration des Mobilteils 2 ausgebildet. Hierzu wird insbesondere eine Download-Funktionalität bereitgestellt, so dass bei Bedarf Konfigurationsdaten beispielsweise von der Systemsteuerung 6 über das Bedienmodul 14B als Kommunikationssignale K an den Grafikcontroller 14A übermittelt werden. Derartige Konfigurationsdaten sind beispielsweise Bitmaps, also Grafikdaten für die Benutzeroberfläche, oder auch Texte etc.
  • Wie sich aus der grafischen Darstellung in der Figur sofort erkennen lässt, ist eine strikte Trennung zwischen den Kommunikationssignalen K und den Steuersignalen S auf dem gesamten Signalweg zwischen dem Mobilteil 2 und letztendlich der Systemsteuerung 6 vorgenommen. Durch diese funktionale Trennung insbesondere auch auf Seiten der Steuereinheiten 10A,B, die logisch oder auch hardwaretechnisch jeweils ein eigenes Modul (Grafikmodul 14A bzw. Bedienmodul 14B) für die Kommunikationssignale K aufweisen, ist eine einfache und problemlose Einrichtung, Programmierung, Änderung, etc. der gesamten Kommunikationsebene möglich. Unter Kommunikationsebene werden hierbei sämtliche Komponenten verstanden, die für die Funktionalität im Hinblick auf die Kommunikationssignale K verantwortlich sind, also für die grafische Darstellung (Grafiksignale, Anzeigeeinstellungen) oder auch für so genannte Auswahlsignale zur Ansteuerung von nicht sicherheitsrelevanten Gerätefunktionen. Insgesamt ist dadurch eine einfache Wartung und Behandlung dieser Kommunikationsebene ermöglicht. Gleichzeitig bleibt die sicherheitskritische Übertragung der Steuersignale S unbeeinflusst.
    • Bezugszeichenliste
    • 2
    Mobilteil
    4
    Basisteil
    6
    Systemsteuerung
    8
    Kommunikationsschnittstelle
    10A,B
    erste, zweite Steuereinheit
    12A,B
    erstes, zweites Sicherheitsmodul
    14A
    Grafikcontroller
    14B
    Bedienmodul
    16
    Anzeige
    18A,B
    erste, zweite Bedienelemente
    20
    Kontaktpin
    22A,B
    erste, zweite Rechnereinheit
    26
    Signalausgangsmodul
    28
    Busmodul
    K
    Kommunikationssignal
    S
    Steuersignal

Claims (14)

  1. Verfahren zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines sicherheitskritischen Geräts, insbesondere ein medizinisches Behandlungsgerät,
    dadurch gekennzeichnet, dass die zu übertragenden Signale kategorisiert werden, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K) und dass lediglich die sicherheitsrelevanten Steuersignale (S) auf Fehlersicherheit überprüft werden, wohingegen die unkritischen Kommunikationssignale (K) ohne Sicherheitsüberprüfung übertragen werden.
  2. Verfahren nach Anspruch 1,
    dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) Signale sind, die eine Verstellbewegung und/oder Bestrahlungsparameter des Geräts beeinflussen.
  3. Verfahren nach Anspruch 1 oder 2,
    dadurch gekennzeichnet, dass die Kommunikationssignale (K) wahlweise Grafiksignale oder Auswahlsignale sind, wobei über die Grafiksignale Anzeigeeinstellungen verändert werden, und wobei über die Auswahlsignale nicht sicherheitsrelevante Gerätefunktonen angewählt werden.
  4. Verfahren nach einem der vorhergehenden Ansprüche,
    dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) im Bedienteil (2) kodiert und im Basisteil (4) dekodiert werden.
  5. Verfahren nach einem der vorhergehenden Ansprüche,
    dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) redundant übertragen werden und im Basisteil (4) auf Übereinstimmung überprüft werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche,
    dadurch gekennzeichnet, dass im Bedienteil (2) und/oder im Basisteil (4) eine Steuereinheit (10A,B) ist, in der eine Unterscheidung in die sicherheitsrelevanten Steuersignale (S) und die unkritischen Kommunikationssignale (K) erfolgt.
  7. Verfahren nach Anspruch 6,
    dadurch gekennzeichnet, dass die Steuereinheit (10A,B) Anschlusskontakte (20) aufweist über die die sicherheitsrelevanten Steuersignale (S) über eine definierte Kontaktbelegung der Anschlusskontakte (20) übertragen werden.
  8. Verfahren nach Anspruch 6 oder 7,
    dadurch gekennzeichnet, dass die Steuereinheit (10A,B) ein Sicherheitsmodul (12A,B) zur Bearbeitung der Steuersignale (S) sowie ein weiteres Modul (14A,B) zur Bearbeitung der unkritischen Kommunikationssignale (K) aufweist.
  9. Verfahren nach Anspruch 8,
    dadurch gekennzeichnet, dass die Steuereinheit (10B) im Basisteil (4) als weiteres Modul (14B) ein Bedienmodul aufweist, welches die Steuerung der Funktionalität des Bedienteils (2) übernimmt
  10. Verfahren nach einem der Ansprüche 6 bis 9,
    dadurch gekennzeichnet, dass sowohl im Basisteil (4) als auch im Bedienteil (2) jeweils eine Steuereinheit (10A,B) mit einem Sicherheitsmodul (12A,B) vorgesehen ist, wobei die Sicherheitsmodule (12A,B) die Übertragung der Signale (S,K) steuern.
  11. Verfahren nach Anspruch 10,
    dadurch gekennzeichnet, dass die Übermittlung der sicherheitsrelevanten Steuersignale (S) an eine Systemsteuerung (6) des Geräts über das Sicherheitsmodul (12B) und der Austausch der Kommunikationssignale (K) mit dem Gerät über das weitere Modul (14B) des Basisteils (4) erfolgt.
  12. Verfahren nach einem der vorhergehenden Ansprüche,
    dadurch gekennzeichnet, dass die Übertragung der sicherheitsrelevanten Steuersignale (S) über miteinander verdrahtete Anschlusskontakte (20) erfolgt.
  13. Verfahren nach Anspruch 12,
    dadurch gekennzeichnet, dass die Übertragung der unkritischen Kommunikationssignale (K) über einen Datenbus erfolgt.
  14. Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines sicherheitskritischen Geräts, insbesondere medizinisches Behandlungsgerät,
    dadurch gekennzeichnet, dass das Bedienteil (2) und das Basisteil (4) derart ausgebildet sind, dass die zu übertragenden Signale kategorisiert werden, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K) und dass lediglich die sicherheitsrelevanten Steuersignale (S) auf Fehlersicherheit überprüft werden, wohingegen die unkritischen Kommunikationssignale (K) ohne Sicherheitsüberprüfung übertragen werden.
EP08104947.0A 2007-09-04 2008-08-01 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen Withdrawn EP2034463A3 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007041902A DE102007041902A1 (de) 2007-09-04 2007-09-04 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen

Publications (2)

Publication Number Publication Date
EP2034463A2 true EP2034463A2 (de) 2009-03-11
EP2034463A3 EP2034463A3 (de) 2013-04-10

Family

ID=40149605

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08104947.0A Withdrawn EP2034463A3 (de) 2007-09-04 2008-08-01 Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen

Country Status (3)

Country Link
US (1) US8391782B2 (de)
EP (1) EP2034463A3 (de)
DE (1) DE102007041902A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3352030A1 (de) * 2017-01-24 2018-07-25 Siemens Healthcare GmbH Tragbare erweiterungseinheit für die bedienung eines medizintechnischen geräts und verfahren zum betrieb eines medizintechnischen geräts
EP3486915A1 (de) * 2017-11-17 2019-05-22 Siemens Healthcare GmbH Verfahren zur steuerung des betriebs einer medizintechnikeinrichtung, bediengerät, bediensystem und medizintechnikeinrichtung

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8453160B2 (en) * 2010-03-11 2013-05-28 Honeywell International Inc. Methods and systems for authorizing an effector command in an integrated modular environment
US11239919B2 (en) * 2018-12-20 2022-02-01 Acacia Communications, Inc. Side channel communication for an optical coherent transceiver

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004040059A1 (de) 2004-08-18 2006-02-23 Siemens Ag Verfahren und Vorrichtung zur sicherheitsgerichteten drahtlosen Signalübertragung
DE102004040959A1 (de) 2004-08-24 2006-04-13 Erbe Elektromedizin Gmbh Chirurgisches Instrument

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5607458A (en) * 1995-07-13 1997-03-04 Pacesetter, Inc. Safety optimization in microprocessor controlled implantable devices
EP1107079A2 (de) * 1999-11-30 2001-06-13 Siemens Aktiengesellschaft Vorrichtung, Verfahren und System zur Übermittlung von kritischen Informationen
GB2363944B (en) * 2000-06-21 2004-05-12 Ericsson Telefon Ab L M Telecommunications systems
US7073083B2 (en) * 2001-07-18 2006-07-04 Thomas Licensing Method and system for providing emergency shutdown of a malfunctioning device
DE10317131A1 (de) * 2003-04-14 2004-10-28 Siemens Ag Verfahren zur Datenübertragung von sicherheitsrelevanten Informationen

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004040059A1 (de) 2004-08-18 2006-02-23 Siemens Ag Verfahren und Vorrichtung zur sicherheitsgerichteten drahtlosen Signalübertragung
DE102004040959A1 (de) 2004-08-24 2006-04-13 Erbe Elektromedizin Gmbh Chirurgisches Instrument

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3352030A1 (de) * 2017-01-24 2018-07-25 Siemens Healthcare GmbH Tragbare erweiterungseinheit für die bedienung eines medizintechnischen geräts und verfahren zum betrieb eines medizintechnischen geräts
US10993695B2 (en) 2017-01-24 2021-05-04 Siemens Healthcare Gmbh Portable expansion unit for operating a medical device, and method for operating a medical device
EP3486915A1 (de) * 2017-11-17 2019-05-22 Siemens Healthcare GmbH Verfahren zur steuerung des betriebs einer medizintechnikeinrichtung, bediengerät, bediensystem und medizintechnikeinrichtung
US10966680B2 (en) 2017-11-17 2021-04-06 Siemens Healthcare Gmbh Method for controlling the operation of a medical technology device, operator device, operating system and medical technology device

Also Published As

Publication number Publication date
DE102007041902A1 (de) 2009-03-12
US8391782B2 (en) 2013-03-05
EP2034463A3 (de) 2013-04-10
US20090062937A1 (en) 2009-03-05

Similar Documents

Publication Publication Date Title
EP0384155B1 (de) Kombination aus einem Medizintechnische Gerät mit redundant aufgebauter Steuereinheit zur Infusionstherapie oder Blutbehandlung und einem Programmiergerät
DE10353950C5 (de) Steuerungssystem
EP2098926B1 (de) Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP2363770B1 (de) Sicherheitsvorrichtung mit einer konfigurierbaren Sicherheitssteuerung
DE202005020802U1 (de) Steuersystem für Schienenfahrzeuge
EP1325458A2 (de) System und verfahren zur zentralen steuerung von einrichtungen, die während einer operation benutzt werden
EP2246756B1 (de) Verfahren und Bediengerät zum Bedienen einer sicherheitsgerichteten industriellen Automatisierungskomponente
EP4235323A2 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
WO2020087099A1 (de) Verfahren zum betreiben eines maschinensteuerungssystems sowie entsprechendes maschinensteuerungssystem
EP2034463A2 (de) Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen
EP2098928A1 (de) Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP3082002A1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
EP3776206B1 (de) Verfahren und überwachungseinheiten für sicherheitsrelevante grafische benutzeroberflächen
WO2009021901A1 (de) Verfahren zum auslösen von aktionen einer maschine durch sichere eingabeelemente
DE102004020994B4 (de) Verfahren und Vorrichtung zum computergestützten Konstruieren einer sicherheitsgerichteten elektrischen Schaltung
EP3873702B1 (de) Verfahren zum betreiben eines maschinensteuerungssystems sowie maschinensteuerungssystem
DE19834863A1 (de) Verfahren zur sicheren Datenübertragung zwischen einer numerischen Steuerung und einem räumlich getrennten Gerät
DE19826875A1 (de) Numerische Steuerung mit einem räumlich getrennten Eingabegerät
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
EP2246761B1 (de) Verfahren zum sicheren Ändern von Parametern einer fehlersicheren industriellen Automatisierungskomponente
DE102017216677A1 (de) Verfahren und Anordnung zum Bereitstellen eines Zugriffs auf mindestens ein Feldgerät einer technischen Anlage
EP3411767A1 (de) Luftfahrzeug
EP3396480B1 (de) Verfahren zum programmieren einer sicherheitssteuerung
EP3048498B1 (de) Verfahren zum Auslesen von Diagnosedaten aus einer Sicherheitssteuerung
DE102022204210A1 (de) Steuersystem für eine medizinische Anlage und medizinische Anlage

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

RIC1 Information provided on ipc code assigned before grant

Ipc: G08C 25/00 20060101ALI20130304BHEP

Ipc: G08C 17/02 20060101AFI20130304BHEP

AKY No designation fees paid
REG Reference to a national code

Ref country code: DE

Ref legal event code: R108

REG Reference to a national code

Ref country code: DE

Ref legal event code: R108

Effective date: 20131218

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20131011