JP2022529885A - 医療デバイス及び医療デバイスの遠隔制御のための方法 - Google Patents

医療デバイス及び医療デバイスの遠隔制御のための方法 Download PDF

Info

Publication number
JP2022529885A
JP2022529885A JP2021556900A JP2021556900A JP2022529885A JP 2022529885 A JP2022529885 A JP 2022529885A JP 2021556900 A JP2021556900 A JP 2021556900A JP 2021556900 A JP2021556900 A JP 2021556900A JP 2022529885 A JP2022529885 A JP 2022529885A
Authority
JP
Japan
Prior art keywords
remote control
medical
medical device
remote
actuators
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021556900A
Other languages
English (en)
Other versions
JPWO2020216664A5 (ja
Inventor
カミーラ ヨハネッソン,
ミカエル リンダルト,
ニクラス メビウス,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gambro Lundia AB
Original Assignee
Gambro Lundia AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gambro Lundia AB filed Critical Gambro Lundia AB
Publication of JP2022529885A publication Critical patent/JP2022529885A/ja
Publication of JPWO2020216664A5 publication Critical patent/JPWO2020216664A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • AHUMAN NECESSITIES
    • A61MEDICAL OR VETERINARY SCIENCE; HYGIENE
    • A61BDIAGNOSIS; SURGERY; IDENTIFICATION
    • A61B5/00Measuring for diagnostic purposes; Identification of persons
    • A61B5/0002Remote monitoring of patients using telemetry, e.g. transmission of vital signals via a communication network
    • A61B5/0015Remote monitoring of patients using telemetry, e.g. transmission of vital signals via a communication network characterised by features of the telemetry system
    • A61B5/0022Monitoring a patient using a global network, e.g. telephone networks, internet

Landscapes

  • Health & Medical Sciences (AREA)
  • Engineering & Computer Science (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Public Health (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Epidemiology (AREA)
  • Primary Health Care (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Biophysics (AREA)
  • Pathology (AREA)
  • Heart & Thoracic Surgery (AREA)
  • Molecular Biology (AREA)
  • Surgery (AREA)
  • Animal Behavior & Ethology (AREA)
  • Veterinary Medicine (AREA)
  • External Artificial Organs (AREA)
  • Infusion, Injection, And Reservoir Apparatuses (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

本開示は、医療デバイスの分野に関し、より具体的に、医療デバイスを遠隔制御するための技術に関する。第1態様によれば、本開示は、遠隔システムが医療デバイスを遠隔制御することを可能にするように医療デバイスを動作させる方法に関し、医療デバイスは、医療処置を制御するように構成された1つ以上のアクチュエータ(17)を備える。医療デバイス(10)は、医療処置中の医療デバイスの動作に関与する1つ以上の医療プロセスと、遠隔制御プロセスとを含むソフトウェア・システムによって制御される。本方法は、少なくとも1つの事前に決定された第1基準が満たされると(S5)、1つ以上のアクチュエータ(17)のオーナーシップを、1つ以上の医療プロセスから遠隔制御プロセスに引き渡すことS6と、遠隔プロセスによって、1つ以上のアクチュエータの制御のオーナーシップが引き渡されたことに応じて(S6)、アクティブ化確認を遠隔システム及び/又は医療デバイス(10)のユーザ・インタフェースへ送信すること(S7)とを含む。アクティブ化確認は、1つ以上のアクチュエータの遠隔制御がアクティブであることを示している。

Description

本開示は医療デバイスの分野に関し、より具体的には、自動医療デバイスを遠隔制御するための技術に関する。
自動医療デバイスは、単独で使用されても組み合わせて使用されても、製造者によって医療目的で人間又は動物に使用されることが意図された機械である。このような医療目的は、病気、怪我、又はハンディキャップの診断、予防、観察、治療又は緩和を含んでもよい。
自動医療デバイスは、ヘルスケア部門でしばしば使用され、安全かつ効率的であることを保証するために厳格な規制の枠組みの対象となる。
一般に、自動医療デバイスは、健康的意義を有しうる誤動作のリスクを軽減するように慎重に設計される必要がある複雑なシステムであるソフトウェア・システム(例えば、医療デバイスにインストールされるもの)によって動作される。ソフトウェア・システムは典型的に、医療治療又は医療診断のような医療処置を医療デバイスに実行させるように構成されたソフトウェアを備える。いくつかの状況では、例えば、テストを実行するために、又はサービス目的で、医療デバイスを遠隔で制御することが望ましいかもしれない。
しかし、医療デバイスの制御されていない遠隔アクセスは、例えば医療デバイスによって実行される将来の医療処置について、安全性のリスクを意味しうる。このリスクは、種々の方法で対処されうる。例えば、アーバン・バーニック・ステファン・ドブラベック及びマルコ・メザによる「ソフトウェア動作の医療デバイスのためのセキュアな遠隔管理モジュールの設計」(https://doi.org/10.1515/bmt-2017-0005)は、遠隔管理サービスから通常のデバイス機能を厳密に切り離すことにより、遠隔接続リスクを排除する多層機械設計解決策を提案する。より具体的に、この文書は、ソフトウェア動作の医療デバイスの遠隔更新及び管理のためのモジュラ・システムを提示する。モジュラ・システムは、管理機能と通常動作機能を設計により物理的に分離し、これによって保守スタートアップ・モードの間だけ遠隔操作を可能にし、通常動作中に起こりうるリスクを完全に防止する。この解決策は、限られた数の機能への遠隔アクセス、すなわち、デバイスの動作パラメータへの遠隔アクセス、デバイスの遠隔構成及び管理、及び遠隔デバイス・ソフトウェア更新を可能にする。さらに、この解決策はまた、遠隔アクセスがアクティブ化されるために医療デバイスがリブートされることを必要とする。このように、この遠隔制御は、所定の機能の遠隔制御のみをサポートし、また、通常動作と遠隔制御との間のリスタートを必要とする。したがって、制御された方法で医療デバイスを遠隔制御するより柔軟な方法が必要とされている。
したがって、本開示の目的は、制御された方法で医療デバイスを遠隔制御することに関連する従来技術の制限を回避することである。特に、医療デバイスをその間にリブートする必要なしに、遠隔システムが医療デバイスのアクチュエータを直接制御する方法を提供することが目的である。医療処置の安全性に影響を及ぼすことなく、医療デバイスの通常動作(すなわち、デフォルトのメイン・システム状態)と医療デバイスのアクチュエータの遠隔制御との間の切り替えを可能にする方法を提供することがさらなる目的である。
第1態様によれば、本開示は、遠隔システムが医療デバイスを遠隔制御することを可能にするように医療デバイスを動作させる方法に関する。医療デバイスは、医療処置を制御するように構成された1つ以上のアクチュエータを備える。医療デバイスは、医療処置中の医療デバイスの動作に関与する1つ以上の医療プロセスを含むソフトウェア・システムによって制御される。医療デバイスはまた、遠隔制御プロセスを含む。遠隔制御プロセスは、1つ以上の医療プロセスとは別個である。さらに、遠隔制御プロセスは、遠隔システムからの医療デバイスの遠隔制御を管理するように構成される。本方法は、遠隔システムから遠隔制御プロセスによって、1つ以上のアクチュエータの遠隔制御を要求するアクティブ化要求を受信することを含む。本方法は、少なくとも1つの事前に決定された第1基準が満たされると、1つ以上の医療プロセスから遠隔制御プロセスに、1つ以上のアクチュエータの制御のオーナーシップを引き渡すことをさらに含む。本方法は、遠隔制御プロセスによって、アクティブ化確認を遠隔システム及び/又は医療デバイスのユーザ・インタフェースへ送信することをさらに含む。アクティブ化確認は、1つ以上のアクチュエータの制御のオーナーシップが引き渡されることに応じて送信される。アクティブ化確認は、1つ以上のアクチュエータの遠隔制御がアクティブであることを示す。その後、医療デバイスは、1つ以上のアクチュエータを制御するために、遠隔システムからの遠隔要求に対応する。このようにして、遠隔システムは、医療デバイスのアクチュエータを直接制御してもよく、医療デバイスにおけるソフトウェア・アプリケーションに限定されない。したがって、遠隔システム(又は遠隔システムのオペレータ)は、どのような動作が遠隔で実行されるべきかに関して完全な柔軟性を有する。
しかし、遠隔制御は、1つ以上の事前に決定された第1基準が満たされる場合にのみ、例えば、安全であると考えられる場合にのみアクティブ化される。したがって、医療処置の安全性は危険にさらされない。さらに、遠隔操作がアクティブ化される場合に、アクチュエータの制御を専用の遠隔操作プロセスに引き渡すことによって、想定されていない場合に、遠隔システムが誤ってアクチュエータを制御することが回避される。
したがって、提案される方法は、医療処置の安全性を危険にさらすことなく、また中間のリブートなしに、医療デバイス上で、例えば診断及び製造テスト・シーケンスを遠隔で実行することを可能にする。より具体的に、提案される方法は、遠隔サービス・センタから医療環境(例えば、病院)内の医療デバイスに対して、例えば診断テストを実行することを可能にする。
いくつかの実施形態において、少なくとも1つの事前に決定された第1基準は、医療処置がアイドルであること、医療デバイスのサービスがアイドルであること、安全性を危険にさらすことなく制御を引き渡すことができること、及び遠隔システムが既知であり、認可されていることを含む。したがって、遠隔制御は、特定の制御された状況下でのみアクティブ化されてもよい。
いくつかの実施形態において、1つ以上のアクチュエータは、医療デバイスがスイッチ・オンされる各個別の時点で、1つ以上の医療プロセスによって、又は遠隔制御プロセスによって所有される。したがって、アクチュエータが複数のソースから、また場合によっては競合する入力で制御されることが回避される。
いくつかの実施形態において、遠隔制御プロセス及び1つ以上の医療プロセスが分離されていることは、それらが別個のメモリ空間、異なるプライオリティ、個別のプロセス状態を有すること、及び/又はプロセス間通信を使用して通信していることを意味する。したがって、プロセスのうちの1つにおけるエラーは、医療デバイスにおける他のプロセスに伝播しえない。
いくつかの実施形態において、本方法は、1つ以上のアクチュエータの制御のオーナーシップを1つ以上の医療プロセスから遠隔制御プロセスに引き渡す前に、1つ以上のアクチュエータを制御された状態に設定することを含む。したがって、遠隔制御がアクティブ化される前に、医療デバイスが遠隔制御される準備が整っていることが保証される。
いくつかの実施形態において、本方法は、遠隔制御プロセスによって遠隔システムから、1つ以上のアクチュエータを制御するための制御データを受信することと、遠隔制御プロセスによって、遠隔制御がアクティブになると、制御データに基づいて1つ以上のアクチュエータを制御することとを含む。したがって、遠隔制御プロセスは、遠隔制御がアクティブ化された場合にのみ、そのような制御データで動作する。
いくつかの実施形態において、制御データは、1つ以上のアクチュエータによって使用される1つ以上のアクチュエータ設定値と、バルブを開く及び/又は閉じるためにアクチュエータを制御するデータと、及び/又は医療デバイス内のデバイスの回転速度を調整するためにアクチュエータを制御するデータとを含む。したがって、医療デバイスのコンポーネントを制御するアクチュエータは、制御データに基づいて直接制御されてもよい。言い換えれば、医療デバイスの多様な機能が遠隔制御されてもよい。
いくつかの実施形態において、本方法は、遠隔制御プロセスによって、遠隔システムから非アクティブ化要求を受信することを含む。非アクティブ化要求は、医療デバイスに、1つ以上のアクチュエータの遠隔制御を非アクティブ化することを要求する。本方法は、遠隔制御プロセスによって、1つ以上のアクチュエータを制御された状態に設定することと、1つ以上のアクチュエータの制御のオーナーシップを引き戻すこととをさらに含む。本方法は、遠隔制御プロセスから遠隔システムへ、オーナーシップが引き戻されたことに応じて、1つ以上のアクチュエータの遠隔制御が非アクティブとなったことを示す解放確認を送信することをさらに含む。これにより、遠隔システムは、もはや必要とされない場合に遠隔制御を非アクティブ化できる。
いくつかの実施形態において、医療デバイスは、医療処置を監督するように構成された保護システムを備え、本方法は、少なくとも1つの事前に決定された第1基準が満たされると、保護システムを非アクティブ化することを含む。したがって、保護システムは、医療デバイスが治療を実行している間のみアクティブである。したがって、遠隔制御は、さもなければ警報などを発する可能性があるアクティブな監督プロセスを有することなく実行されてもよい。
いくつかの実施形態において、保護システムは、1つ以上の医療プロセスとは別個の監督プロセスを含み、監督プロセスは、1つ以上の補助アクチュエータを使用して保護システムを制御するように構成され、本方法は、事前に決定された第2基準が満たされると、1つ以上の補助アクチュエータの制御のオーナーシップを監督プロセスから保護システムの遠隔制御プロセスに引き渡すことを含む。これらの実施形態において、監督プロセスから1つ以上の補助アクチュエータの制御のオーナーシップを保護システムの遠隔制御プロセスが引き継ぐことに応じてアクティブ化確認が送信される。したがって、保護システムの遠隔制御状態を制御するのはメイン・システムである。これにより、メイン・システムと保護システムとが異なる遠隔制御状態にある(すなわち、一方が「遠隔制御アクティブ」であり、他方が「遠隔制御非アクティブ」である)ことが回避される。
いくつかの実施形態において、事前に決定された第2基準は、医療処置がアイドルであること、保護システムが非アクティブ又はアイドルであること、安全性を危険にさらすことなく制御を引き渡すことができること、及び/又は遠隔システムが既知であり、認可されていることを含む。したがって、1つ以上の医療プロセスはアクティブであり、例えば、サービスが進行中である場合、又はそれが不適切であると考えられる他の状況で治療を実行する間に、監督プロセスは、遠隔制御のためにその監督をオフにすることができないかもしれない。
いくつかの実施形態において、1つ以上のアクチュエータの制御のオーナーシップは、遠隔制御プロセスに、インタフェースへの書き込みのオーナーシップを与え、それによって遠隔制御プロセスが1つ以上のアクチュエータを制御するパラメータを変更することを可能にすることによって引き渡される。言い換えれば、オーナーシップは、すべてのプロセスが各時点で誰がオーナーであるかを認識していることを意味する。したがって、プロセスは、それらがアクチュエータの制御のオーナーである場合にのみ、インタフェースに書き込む権限を有する。
いくつかの実施形態において、1つ以上のアクチュエータは、医療処置を実行する間に使用されるバルブ、ポンプ、及びヒータのうちの少なくとも1つを制御するように構成される。したがって、遠隔システムは、アクチュエータを制御することによって医療処置を実行する場合に使用されるハードウェアにアクセスしてもよい。それによって、遠隔システムは、医療デバイスのテスト又はサービスを実行してもよい。
いくつかの実施形態において、本方法は、遠隔システムが医療デバイスの動作を監視することを可能にするセンサ・データを遠隔システムに提供することを含む。センサ・データはまた、医療デバイスのテスト又はサービスを実行する間に使用されてもよい。
第2態様によれば、本開示は、医療処置を実行するように構成された対応する医療デバイスに関する。医療デバイスは、1つ以上のアクチュエータと、通信インタフェースと、プロセッサの集合と、メモリとを備える。1つ以上のアクチュエータは、医療処置を制御するように構成される。通信インタフェースは、遠隔システムとの通信を可能にするように構成される。メモリは、プロセッサの集合による実行のためのソフトウェア・システムを記憶している。ソフトウェア・システムは、医療処置中の医療デバイスの動作に関与する1つ以上の医療プロセスと、1つ以上の医療プロセスとは別個の遠隔制御プロセスとを含む。遠隔制御プロセスは、遠隔システムからの医療デバイスの遠隔制御を管理するように構成される。さらに、ソフトウェア・システムは、プロセッサの集合によって実行されると、第1態様にしたがって方法を実行する。
第3態様によれば、本開示は、医療処置を実行するように医療デバイスを動作させるためのソフトウェア・システムを備えるコンピュータ可読媒体に関し、ソフトウェア・システムは、医療処置中の医療デバイスの動作に関与する1つ以上の医療プロセスと、1つ以上の医療プロセスとは別個の遠隔制御プロセスとを含み、遠隔制御プロセスは、遠隔システムからの医療デバイスの遠隔制御を管理するように構成され、ソフトウェア・システムは、医療デバイスのプロセッサの集合によって実行されると、第1態様による方法を実行する。
開示された技術の実施形態を実施してもよい医療デバイスを説明する。 図1a~図1cの医療デバイスの制御システムをより詳細に説明する。 医療デバイスを遠隔制御するように構成された遠隔システムを説明する。 医療デバイスを動作させるためのソフトウェア・システムを概念的に説明する。 遠隔システムが医療デバイスを遠隔制御することを可能にするように医療デバイスを動作させるための方法のフローチャートである。 1つの例示の実装による提案された方法を実行する場合の医療デバイスのソフトウェア・システムのプロセス間の内部シグナリングのシーケンス図である。
本開示は、医療デバイスの制御アクチュエータへの遠隔システム・アクセスを与える柔軟な方法を提案し、これは特別なモードで医療デバイスをリスタートする必要がない。その代わりに、本書では、遠隔制御を扱うために専用プロセスを使用することが提案される。このプロセスは、遠隔システムからの要求を受信し、遠隔制御がアクティブ化される場合にのみこれらの要求に対応するように構成されている。特定のアクティブ化手順は、遠隔制御をアクティブ化するために使用される。アクティブ化手順は、例えば進行中又は将来の治療に対する安全性を危険にさらすことなく、遠隔制御が起動されうることを検証してもよい。医療デバイスは、遠隔制御機能が最初に首尾よくアクティブ化された場合に、医療デバイスのアクチュエータを遠隔制御することの要求を処理するだけである。いくつかの実施形態において、遠隔制御下で実行される動作が将来の医療処置に影響を及ぼさないように、医療デバイスを通常動作モードにするために非アクティブ化手順が使用される。このようにして、制御された条件下で、遠隔システムが医療デバイスのアクチュエータを直接制御することを可能にすることができる。
本発明をより良く理解するために、いくつかの例示的な医療デバイスが最初に記載される。医療デバイスは、オプションで1つ以上の他の医療デバイスと組み合わせて、人間又は動物の対象に関して医療処置を実行するように動作するように構成された自動装置又は機械である。本書で使用されるように、医療処置は、病気、怪我、又はハンディキャップの診断、予防、観察、処置若しくは緩和、又はそれらの検出のための観察のうちの1つ以上を含んでもよい。
図1aは、例えば血液透析、血液透析濾過、血液濾過、又は単離限外濾過のような腎機能代替療法の一部として、体外血液処置を行う医療処置に関与してもよい2つの例示的な医療デバイス10、10´を説明する。10で示される医療デバイスは血液処理装置であり、これは、例えば血管アクセスにおいて、対象100の循環系に接続するための血液採取ライン11A及び血液戻りライン11Bを備える。矢印で示されるように、医療デバイス10は、対象100から血液を採取し、透析器(図示せず)内で血液を処理し、処理された血液を、例えば血液ポンプによって制御された方法で対象100に戻すように動作可能である。透析器では、血液は半透膜の一方の側を通過し、透析流体は当該膜の他方の側を通過する。膜は廃棄粒子及び水が血液から透析流体に移動することを可能にし、所望の粒子が透析流体から血液に移動することを可能にする。血液処理装置10はまた、シリンジ・ポンプによって駆動されるシリンジを含んでもよく、シリンジは、ヘパリン注入又はカルシウム注入のために使用される。10´で示される医療デバイスは、血液処理装置10によって使用される流体を準備するように動作可能であり、流体を血液処理装置10に供給するための流体ライン11を備える。1つの例で、医療デバイス10´は水調製装置であり、流体は精製水である。例えば、水処理装置10´は、当技術分野で知られているように、逆浸透によって入ってくる水を濾過してもよい。
説明される例において、医療デバイス10は、ディスプレイ12と、制御ボタン13(1つが示されている)と、インジケータ・ランプ14と、ラウドスピーカ15と、制御システム16と、血液採取ライン11A及び血液戻りライン11Bを介して対象100への血液の制御された採取、処理、及び戻りを行うための1つ以上のアクチュエータ17と、血液処理装置によって行われる医療処置を示すセンサ・データを提供するための1つ以上のセンサ18とを備える。医療処置はまた、例えば、プライミング及び機能チェックを含んでもよい。アクチュエータ17及びセンサ18は、医療デバイス10の内部コンポーネント(破線で示す)又は外部コンポーネント、あるいはその両方を含んでもよい。
アクチュエータ17は例えば、医療処置が実行される間、バルブ、ポンプ、及び/又はヒータを制御するように構成される。言い換えると、アクチュエータ17は、医療処置を制御するように構成される。アクチュエータ17及びセンサ18はまた、医療処置を監督するために使用される補助センサ18´及び補助アクチュエータ17´を備えてもよい。補助アクチュエータ17´は例えば、医療手順を中断するための緊急バルブ又は緊急ブレーキを制御するように構成される。例えば流体流速を変更するために、ユーザは典型的に、ディスプレイ12上に生成された、例えばグラフィカル・ユーザ・インタフェース(GUI)を介して、又は制御ボタン13を使用して、流体流量の設定値を入力する。その後、この設定値は1つ以上のアクチュエータ設定値、すなわち、対応するアクチュエータを制御する値に変換される。例えば、300ml/分の流体流速(設定値)は例えば、rpm又はパーセントのポンプ速度(アクチュエータ設定値)に変換される。
制御システム16は、血液処理装置の意図された医療処置を実行するために、ならびに医療処置に関連して必要に応じてディスプレイ12、インジケータ・ランプ14、及びラウドスピーカ15を動作させるために、アクチュエータ17及びセンサ18の動作を調整し、制御ボタン13を介してユーザ入力を取得するように構成される。例えば、ディスプレイ12は医療デバイス10のユーザに命令を提示するように動作されてもよく、インジケータ・ランプ14は医療デバイス状態を示すように動作されてもよく、ラウドスピーカ15はアラーム信号などを生成するように動作されてもよい。
医療デバイス10は、遠隔システム20(1つのみが示されているが、複数であってもよい)に接続されている。遠隔システム20は例えば、医療デバイスを遠隔監視及び/又は制御するように構成される。遠隔システム20については、図2bでさらに説明される。
医療デバイス10´は、説明される詳細さのレベルにおいて、医療デバイス10と同様のコンポーネントの集合を有してもよく、これ以上説明しない。医療デバイス10´は、医療デバイス10と同様に、遠隔システム20にも接続されている。医療デバイス10、10´は、簡潔にするために本書では説明しない、図示されているよりも多くのコンポーネントを含んでもよい。
図1bは、制御された方法で、対象100の腹腔に透析液を輸送し、続いて、両頭矢印によって示されるように、そこから透析液を除去するように動作可能である別の例示的な医療デバイス10を説明する。この医療処置は一般に自動腹膜透析として知られており、医療デバイス10はしばしば「PDサイクラ」と呼ばれる。PDサイクラは例えば、透析液の混合、輸送及び除去のいずれかのためのポンプを含む。図1bの医療デバイス10は、図1aの医療デバイス10と比較して、説明される詳細さのレベルで同様の(しかし、典型的には減少された)コンポーネントの集合を有してもよく、また、遠隔システム20に接続されてもよい。図1bの医療デバイス10は、簡潔にするために本書で説明されない、図示されているよりも多い又は少ないコンポーネントを含んでもよい。医療デバイス10はまた、透析液を混合するために使用される精製水を得るために、図1aに示されるように、別の医療デバイス10´に接続されてもよい。
図1cは、矢印によって示されるように、制御された方法で、例えば対象100の循環系に、人間のような対象100の身体に医療流体を輸送するように動作可能であるさらなる例示的な医療デバイス10を説明する。医療流体は薬物及び/又は栄養素を含むが、これらに限定されない任意の適切な流体であってもよい。このタイプの医療デバイス10は、一般に「注入ポンプ」として知られている。注入ポンプの1つ以上のアクチュエータは、指定された速度で薬物及び/又は栄養素を対象100に送り込むように1つ以上のポンプを制御するように構成される。ライン・オクルーダ及び/又はバルブは、ポンピング中に流体流量を制御するために作動される。図1cの医療デバイス10は、同様の(しかし、典型的には減少された)コンポーネントの集合を有してもよく、説明される詳細さのレベルで図1bの医療デバイス10のように遠隔システム20に接続されてもよく、さらに説明されない。図1cの医療デバイス10は、簡潔にするために本書では説明されない、図示されているよりも多くのコンポーネントを含んでもよい。
図2aは、1つの例示的な実施形態による、図1a~cの例示的な医療デバイスのいずれかの制御システム16をより詳細に説明する。制御システム16は、プロセッサ161と、通信インタフェース162と、メモリ163とを備える。プロセッサ161は、中央処理装置(CPU)、デジタル信号プロセッサ(DSP)、マイクロプロセッサ、マイクロコントローラ、フィールド・プログラマブル・ゲート・アレイ(FPGA)、特定用途向け集積回路(ASIC)、又は任意の他の電子プログラマブル論理デバイス、又はそれらの組合せのような任意の市販の処理デバイスであってもよい。
通信インタフェース162は、遠隔システム20(図1a~c)との通信を可能にするように構成される。通信は、ワイヤレス及び/又は有線であってもよい。有線通信は、有線イーサネット(登録商標)接続、RS-232、RS-485、又はUARTを使用して実行されてもよい。ワイヤレス通信は、Bluetooth(登録商標)、WiFi(登録商標)、Zigbee(登録商標)、Z-Wave(登録商標)、ワイヤレス・ユニバーサル・シリアル・バス(「USB」)、赤外線プロトコルのいずれか、又はその他の適切なワイヤレス通信技術を介して実行されてもよい。通信インタフェース162は例えば、プロセッサ161によって制御されるように構成されたBluetoothチップである。遠隔システム20と医療デバイスとの間の通信は、インターネット・プロトコル又は独自のプロトコルのような、任意の適切な通信プロトコルを使用して実行されてもよい。
メモリ163は、リード・オンリ・メモリ(ROM)、プログラマブル・リード・オンリ・メモリ(PROM)、電気的消去可能プログラマブル・リード・オンリ・メモリ(EEPROM)、フラッシュ・メモリ、リムーバブル・メモリ、ランダム・アクセス・メモリ(RAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、スタティックRAM、キャッシュ・メモリ、ハード・ドライブ、記憶媒体などを含んでもよいがこれらに限定されない、不揮発性メモリ又は揮発性メモリ、あるいはこれらの組合せを含んでもよい。メモリ163は、プロセッサ161による実行のためのソフトウェア・システムを記憶する。ソフトウェア・システムは、特定の機能又は機能の集合を実現するように編成されたソフトウェア・アイテムの統合された集まりであり、医療デバイスに関するISO規格IEC62304を参照されたい。ソフトウェア・システムは、アプリケーション・ソフトウェアと、ソフトウェア・アプリケーションを管理し、医療デバイスのアプリケーションとハードウェアとの間の仲介として機能するソフトウェア・プラットフォーム(典型的には、オペレーティング・システムを含む)とを含む。ソフトウェア・システムは、通信インタフェース162を介して遠隔システム20によってアクセスされてもよい。
ソフトウェア・システムは、本書に記載する動作を実行するためにプロセッサ161によって実行可能なメモリ163に記憶された1つ以上の命令によって特定される。ソフトウェア・システムは、例えば医療処置を実行するように医療デバイス10を制御するように構成される。言い換えると、ソフトウェア・システムは、医療処置中の医療デバイス10の動作に関与する1つ以上の医療プロセスPMEDと、1つ以上の医療プロセスPMEDとは別個の遠隔制御プロセスPRCとを含む。プロセスが互いに分離されているというコンセプトは以下の図4a~4cに関連してさらに説明される。遠隔制御プロセスPRCは、遠隔システム20からの医療デバイス10の遠隔制御を管理するように構成される。ソフトウェア・システムは、プロセッサ161によって実行される場合に、以下に詳細に説明する第1態様(図4a~c)の方法を実行する。
プロセッサ161及びメモリ163は、それらが個別に動作可能なユニットであるという意味で「別個」であるが、それらは例えば集積回路のような共通の基板上に任意の組合せで配置されてもよいし、配置されなくてもよい。簡単にするために、図2aの制御システム16は、1つのプロセッサ161及びメモリ163のみを備えるものとして示されている。しかし、医療デバイス10は、1つ以上のプロセッサ161を備えるプロセッサの集合を備えてもよく、メモリ163は1つ以上の記憶デバイスによって実装されてもよいことが理解されるべきである。
図2bは、例示的な遠隔システム20をさらに詳細に説明する。遠隔システム20は、医療デバイスの一体化された部分ではない任意のシステムであり、より具体的に、医療デバイス10の制御システム16のプロセッサ161の集合によって実行されるソフトウェア・システムである。遠隔システム20は例えば、サービス又はサポート・システムである。遠隔システムは、サーバ、ワークステーション・ラップトップ、コンピュータ等のうちの1つ以上を含んでもよい。実際には、任意の処置を、医療処置でさえも、遠隔で実行することが可能である。遠隔システム20は、オンサイトに配置されてもよいし、オフサイトに配置されてもよい。最も単純な形態では、遠隔システムは、タブレット又はパーソナル・コンピュータのようなユーザ・デバイスであり、これはそこに設置された医療デバイス10を遠隔制御するように構成されたソフトウェアを有する。遠隔システム20は、プロセッサ21と、通信インタフェース22と、メモリ23とを備える。プロセッサ21は、CPU、DSP、マイクロプロセッサ、FPGA、ASIC、又は任意の他の電子プログラマブル論理デバイス、又はそれらの組合せなどのような任意の市販の処理デバイスであってもよい。
通信インタフェース22は、医療デバイス10との通信を可能にするように構成される。通信は、ワイヤレス及び/又は有線であってもよい。有線通信は、有線イーサネット接続、RS-232、RS-485、又はUARTを使用して実行されてもよい。ワイヤレス通信は、Bluetooth、WiFi、Zigbee、Z-Wave、ワイヤレス・ユニバーサル・シリアル・バス(「USB」)、赤外線プロトコルのいずれか、又はその他の適切なワイヤレス通信技術を介して実行されてもよい。通信インタフェース22は例えば、プロセッサ21によって制御されるように構成されたBluetoothチップである。遠隔システム20と医療デバイス10との間の通信は、インターネット・プロトコル又は独自のプロトコルのような任意の適切な通信プロトコルを使用して実行されてもよい。
メモリ23は、ROM、PROM、EEPROM、フラッシュ・メモリ、リムーバブル・メモリ、RAM、DRAM、SRAM、キャッシュ・メモリ、ハード・ドライブ、記憶媒体等を含むがこれらに限定されない不揮発性メモリ又は揮発性メモリ、又はこれらの組合せを含んでもよい。メモリ23は、プロセッサ21による実行のためのソフトウェアを記憶する。ソフトウェアは例えば、例えばサービス、サポートを実行するように医療デバイス10を制御するように構成される。
簡単にするために、図2bの遠隔システム20は、ただ1つのプロセッサ21及びメモリ23を備えるものとして示されている。しかし、遠隔システム20はいくつかのプロセッサを含んでもよく、メモリ23は1つ以上の記憶デバイスによって実装されてもよいことが理解されるべきである。
遠隔システム20は、通信インタフェース22を介して、医療デバイス10から、例えばセンサ18によって提供されるセンサ・データのような情報を受信するように構成される。遠隔システム20はまた、例えばサービス、テスト(例えば、診断テスト又は製造テスト)、又は他のサポート手順を実行するためにアクチュエータ17を遠隔制御するための遠隔制御情報を医療デバイス10へ送信してもよい。例えば、遠隔制御情報は、1つ以上のアクチュエータ設定値を含む。したがって、医療デバイス10は、遠隔制御情報を変換する必要がない。通信は、典型的には通信インタフェース22を介して通信されるメッセージを用いて実施される。メッセージは種々のコマンド(要求及び応答)を示してもよく、又はデータ(例えば、アクチュエータ制御データ及び/又はセンサ・データ)を搬送してもよい。
遠隔制御は例えば、遠隔システム20において、ソフトウェア・アプリケーション、例えば、診断テスト又は製造テストを実行することによって実行される。したがって、いくつかの実施形態において、遠隔システム20は、医療デバイス10のアクチュエータ17を制御する遠隔制御情報を生成するように構成されたソフトウェア・アプリケーションを備える。このようなソフトウェア・アプリケーションは、医療デバイス10を変更することなく、ニーズに基づいて追加されてもよく、これにより、診断及びサポートの柔軟性が増すことに留意されたい。
代替的に、遠隔システム20は、遠隔制御がアクティブ化された場合にユーザが医療デバイス10の個別のアクチュエータ17を遠隔制御してもよいユーザ・インタフェースを含んでもよい。
ここで、図3~図5を参照して、提案される技術を説明する。
図3a及び図3bは、提案される技術の非限定的な例による、医療デバイス10を制御するように構成された例示的なソフトウェア・システムのブロック図である。図3aは、通常動作中に医療デバイス10を動作させる場合、例えば医療処置を実行する場合のソフトウェア・システムを示す。図3bは、例えばサービス又はテスト目的で医療デバイス10の動作を遠隔制御する場合のソフトウェア・システムを示す。
説明されるソフトウェア・システムは、SS1~SS4と表される4つのサブシステムSSを含む。サブシステムSS1~SS4は、医療処置を実行する際の医療デバイスの動作に関して特定の機能を提供するために独立して開発され、テストされうるコンピュータ実行可能命令のソフトウェア・モジュールであると考えられてもよい。各個別のサブシステムは、個別のサブシステムの文脈内で実行されるソフトウェア・プロセス(又はスレッド)で構成される。したがって、サブシステム内のソフトウェア・プロセスは、サブシステムの特定の機能を提供するために、調整されたプロセスのグループを実行するように設計されてもよい。本書のプロセスは、スケジューラによって独立して管理されうる命令のシーケンスを指し、スケジューラは典型的に、医療デバイス10の制御システム16のプロセッサ161によって実行されるソフトウェア・システムのオペレーティング・システムの一部である。プロセスの実装は、オペレーティング・システムによって異なる。異なるプロセスは、通常、メモリ空間のようなリソースを共有しない。ソフトウェア・プロセスは、Linux(登録商標)プロセスやグリーン・ヒルズ・インテグリティ・プロセスなどである。オペレーティング・システムは典型的に、所定のセキュリティ・ルールに基づいて着信及び発信ネットワーク・トラフィックを監視し、制御する、Netfilterのような標準のファイアウォールを含む。
異なるサブシステムのプロセスは、プロセス間通信(IPC)を使用して通信し、IPCは、プロセスが共有データを管理できるようにするオペレーティング・システムのメカニズムを指す。例えば、プロセス間通信は、クライアント及びサーバを使用し、クライアントはデータを要求し、サーバはクライアントの要求に応答する。プロセス間通信は実装次第である。
また、サブシステムが、医療デバイスの動作に関与しない1つ以上のソフトウェア・プロセスを含むことも考えられる。さらに、サブシステムは、他のサブシステムとの通信を管理するための通信スタック、技術的エラーを管理するためのエラー・マネージャ、通知を管理するための通知マネージャなどのような、ソフトウェア・システムにおける基本的な機能又はサービスを実行するミドルウェア及び/又は低レベル・ソフトウェア・コンポーネントのような、さらなるソフトウェア・コンポーネントを含んでもよい。サブシステムのうちの1つ以上は、ハードウェア及びソフトウェア・リソースに関してオペレーティング・システムによって提供されるサービスを利用するために、1つ以上のオペレーティング・システムの上で動作されてもよい。実装に応じて、プロセッサ161によって実行されるソフトウェア・システムのサブシステムのオペレーティング・システムは例えば、リアルタイム・オペレーティング・システム、組み込みオペレーティング・システム、シングル・タスキング・オペレーティング・システム、又はマルチ・タスキング・オペレーティング・システム、あるいはそれらの任意の組合せを含んでもよい。また、サブシステムのうちの1つ以上がオペレーティング・システムなしで動作し、医療デバイスのハードウェア・リソースと直接やり取りするように構成されることも考えられる。
提案される技術に関連するプロセスが、図3aを参照して説明される。第1サブシステムSS1は、医療処置を制御するように構成された1つ以上の医療プロセスPMEDを含む。したがって、第1サブシステムSS1は、本書では医療デバイス10のメイン・システムと呼ばれる。
医療処置を制御するメイン・システム、又はこのようなメイン・システムによって使用されるハードウェア・コンポーネントのいずれかにおける動作障害の場合に健康リスクを対象にもたらす医療処置を実行する多くの医療デバイスは、並列に動作し、メイン・システムから独立している保護システム(監督システムとも呼ばれる)を含むことが必要とされる。保護システムが潜在的な動作障害(例えば、実際の状態に合致しない状態の予測)を検出するときはいつでも、医療デバイスは安全な動作状態に切り替わる。したがって、この例では、第3サブシステムSS3が、医療処置の動作を監督するように構成された監督プロセスPを含む。第3サブシステムSS3は、本書では医療デバイス10の保護システムとも呼ばれる。言い換えると、ソフトウェア・システムは、医療処置中の医療デバイス10の動作に関与する1つ以上の医療プロセスPMEDを含む。いくつかの実施形態において、医療デバイス10はまた、医療処置中にソフトウェア・システムを監督するように構成された保護システムを備える。いくつかの実施形態において、保護システムは、1つ以上の医療プロセスPMEDから分離されている監督プロセスPを含む。しかし、提案される技術は、保護システムSS3を含まない医療デバイスにおいても同様に実施されてもよいことに留意されたい。したがって、保護システムのプロセスは、図3a及び図3bに破線で示されている。保護システムが省略されるならば、対応するSS3及びSS4(及び対応する機能)のプロセスは単に省略される。
サブシステムSS2及びSS4は、それぞれ、メイン・システムSS1及び保護システムSS3によって生成されたコマンド/信号に基づいて、医療デバイス10のアクチュエータ17及び/又はセンサ18の異なる集合と通信するように構成されたI/Oシステムである。このために、サブシステムSS2、SS4のそれぞれは、個別のサブシステムSS2、SS4に接続された周辺機器(例えば、アクチュエータ17及び/又はセンサ18(図1a~c))へのアクセスを提供するためのソフトウェア・プロセスを備えてもよい。図3a及び3bにおいて、これらのプロセスは、PI/O(I/Oプロセスの略)及びPS‐I/O(監督I/Oプロセスの略)と表される。メイン・システムSS1と保護システムSS3との間の独立性を実現するために、メイン・システムSS1は、(サブシステムSS2を介して)メイン・センサ18及びメイン・アクチュエータ17の集合に接続されてもよく、保護システムSS3は、(サブシステムSS4を介して)補助センサ18´及び補助アクチュエータ17´の別個の集合に接続されてもよい。
サブシステムSS1~SS4は、いくつかの実施形態において、独立性を実現するために、別個のプロセッサ上に実装される。したがって、通常動作中(すなわち、医療処置を実行する場合)、医療プロセスPMED(すなわち、メイン・システム)及び監督プロセスP(すなわち、保護システム)はアクチュエータ17のオーナーであり、これは、1つ以上の医療プロセスPMEDとI/OプロセスPI/Oとの間の矢印、及び1つ以上の監督プロセスPとI/OプロセスPS‐I/Oとの間の矢印によって示される。プロセスがアクチュエータ17に関するオーナーとして指定されていることは、他のプロセスがアクチュエータを制御又はアクチュエータに書き込むこと、すなわち、アクチュエータ値を設定することを許可されていないことを意味する。プロセスは、アクチュエータの値を設定することが許可されている唯一のプロセスであるという意味で、オーナー、つまり制御中のプロセスである。
メイン・システムSS1はまた、1つ以上の医療プロセスPMEDとは別個の遠隔制御プロセスPRCを含む。保護システムSS3はまた、(存在する場合に、)補助アクチュエータ17´の遠隔制御を可能にする、監督プロセスPとは別個の遠隔制御プロセスPS‐RCを含んでもよい。
メイン・システムSS1の遠隔制御プロセスPRCは、遠隔システム20からメイン・システムSS1を遠隔制御すること、より具体的に遠隔システム20から医療デバイス10のアクチュエータ17を遠隔制御することを可能にすることに責任を負う。メイン・システムSS1の遠隔制御プロセスPRCは、遠隔システム20から要求を受信し、遠隔制御がアクティブであるならば、医療デバイス10は、図4a~4cに記載されるように、それに応じて制御される。補助アクチュエータ17´を制御することの要求は、保護システムSS3の遠隔制御プロセスPS‐RCに転送される。保護システムSS3の遠隔制御プロセスPS‐RCは、遠隔システム20から保護システムSS3を遠隔制御すること、より具体的には遠隔システム20から医療デバイス10の補助アクチュエータ17´を遠隔制御することを可能にすることに責任を負う。言い換えると、遠隔操作処理PRC、PS‐RCは、遠隔システム20からの医療デバイス10の遠隔制御を管理するように構成される。
遠隔制御がアクティブである場合に、1つ以上の医療プロセスPMED(すなわち、メイン・システム)は、アクチュエータ17の制御のオーナーシップを遠隔制御プロセスPRCに引き渡す。同様に、監督プロセスP(すなわち保護システム)は、補助アクチュエータ17´の制御のオーナーシップを保護システムの遠隔制御プロセスPS‐RCに引き渡す。
アクチュエータを制御するオーナーシップの概念を、遠隔制御中、すなわち遠隔制御がアクティブ化されている場合に医療デバイス10を動作させるためのソフトウェア・システムを説明する図3bを参照して記載する。実際には、概念は、アクチュエータの単一のオーナー(典型的には1つ又は場合によっては数個のプロセス)が常に存在することを意味する。このオーナーは、アクチュエータを制御することの排他権又は権限を有する。オーナーシップは、ソフトウェア・システム内で規定又は実施される権利(又は権限に対応する。これは、アクチュエータの「オーナー」のみがそれを変更する権限を有することを推論する「ルール」がソフトウェア・システム内に存在することを意味する。ソフトウェア・システムは、このルールにしたがってプログラムされ、それに応じて動作する。したがって、オーナーシップは、ソフトウェア・システムの外部に公開されない。オーナーシップは、ソフトウェア・システムがアクチュエータ設定の制御を維持することを支援する。オーナーシップは、例えばどのプロセスがアクチュエータを制御中であるかを規定する状態、変数、又はパラメータを使用して実装されてもよい。その後、アクチュエータを制御する前に、状態、変数、又はパラメータがチェックされる。オーナーシップは、図4aでさらに説明されるように、プロセス間のハンドシェイクによって引き渡される(すなわち、変更される)。
遠隔システム20からのアクチュエータ17(及びもしあれば補助アクチュエータ17´)を制御することは、遠隔システム20が医療デバイス10(図1a~c)のアクチュエータ17の制御を引き継ぐことを意味する。この状況では、1つ以上の医療プロセスPMEDはアイドル状態であり、遠隔制御がアクティブである限りアクチュエータ17を制御しない。監督プロセスP(存在する場合)もアイドル状態であり、遠隔制御がアクティブである限り補助アクチュエータ17´を制御しない。代わりに、メイン・システムSS1の遠隔制御プロセスPRC及び保護システムSS3の遠隔制御プロセスPS‐RCが、アクチュエータ制御のオーナーである。これは、図3bにおいて、メイン・システムSS1の遠隔制御プロセスPRCとI/OプロセスPI/Oとの間の矢印と、保護システムSS3の遠隔制御プロセスPS‐RCと監督I/OプロセスPS‐I/Oとの間の矢印とによって示されている。
したがって、ソフトウェア・システムは、どのプロセス(又は複数のプロセス)がアクチュエータ17のオーナーである(すなわち、制御中である)か、すなわち、どのプロセス又は複数のプロセスがアクチュエータ値を設定することを許可されているかを継続的に追跡し、管理する。これは、1つ以上の制御アクチュエータ17は、医療デバイス10がスイッチ・オンされる各個別の時点において、1つ以上の医療プロセスPMED又は遠隔制御工程PRCによって所有されることを意味する。したがって、遠隔システム20がアクチュエータを制御しようとするならば、遠隔制御プロセスPRCがアクチュエータ17への書き込みのオーナーでない場合に、要求は無視される。このように、アクチュエータが常に1つの単一プロセスによって制御され、アクチュエータ制御の切り換えが制御された方法で行われるため、競合が回避される。
言い換えると、遠隔操作がアクティブ化される場合に、医療プロセスPMED及び監督プロセスPは、メイン・システムの遠隔制御プロセスPRC及び保護システムのPS‐RCにそれぞれ、アクチュエータの制御のオーナーシップを引き渡す。遠隔制御が非アクティブである場合に、オーナーシップは医療プロセスPMED及び監督プロセスPに戻される。
ここで、図4(a)~(c)のフローチャートを参照して、提案される技術をさらに詳細に記載する。図4a~4cは、遠隔システム20が医療デバイス10を遠隔制御することを可能にするために、図1a~1cの医療デバイス10のような医療デバイス10を動作させる例示的な方法を説明する。本方法は例えば、医療デバイス10が例えば患者を治療するために使用される、病院のような医療環境に配置された医療デバイス10において実行される。本方法はまた、患者の自宅の医療デバイス10において実行されてもよい。本方法は、医療環境の外部に位置する遠隔システム(及びそのようなシステムのオペレータ)に、例えば医療デバイス10を診断するために、治療の間に機械にアクセスさせることを可能にする。
上述したように、医療デバイス10は、医療処置中に医療デバイス10の動作に関与する1つ以上の医療プロセスPMEDと、1つ以上の医療プロセスPMEDとは別個の遠隔制御プロセスPRCとを含むソフトウェア・システムによって制御される。遠隔制御プロセスPRCと1つ以上の医療処理PMEDとが別個であることは、例えばこれらが別個の記憶空間、異なるプライオリティ、個別のプロセス状態又はモードを有し、かつ/又はプロセス間通信を使用して通信していることを意味する。いくつかの実施形態において、医療デバイス10は、医療処置を監督するように構成された保護システムSS3を備える。しかし、本方法はまた、保護システムSS3を有しない医療デバイス10において実施されてもよい。このシナリオでは、手順は同様であるが、保護システムSS3とのシグナリングが存在しない。
本方法は典型的に、プロセッサの集合によってプログラムが実行される場合に、コンピュータに本方法を実行させる命令を含むコンピュータ・プログラムとして実施される。いくつかの実施形態によれば、コンピュータ・プログラムは、プロセッサの集合によって実行される場合に、コンピュータに本方法を実行させる命令を含むコンピュータ可読媒体に記憶される。
本方法は、医療デバイス10がスイッチ・オンされた場合にいつでも実行されてもよい。本方法を実行できることの前提条件は典型的には「遠隔制御」のために使用される通信機能、例えば、通信インタフェース162が有効にされていることである。また、メイン・システムSS1は、「遠隔制御アクティブ化/非アクティブ化」通知を受信する(例えば、サブスクライブする)ように構成される必要があってもよい。
ここで、図4aを参照して、アクチュエータ17の遠隔制御及び遠隔制御の開始について説明する。遠隔制御がアクティブ化されることを可能にするために、遠隔システム20は、遠隔システム20が医療デバイス10と通信できるように、最初に医療デバイス10に接続されなければならない。したがって、情報を交換するためのセキュアな接続が、例えば通信インタフェース162を使用して、遠隔システム20と医療デバイス20との間で確立されなければならない。接続は例えば、一般に知られている技術を使用して確立される暗号化されたワイヤレス又は有線リンクである。言い換えると、いくつかの実施形態において、本方法は、遠隔システム20とのセキュアな接続をセットアップすることS0を含む。
医療デバイス10と遠隔システム20との間に接続が確立された場合に、医療デバイス10は、情報、例えばセンサ18によって得られたセンサ・データを遠隔システム20へ連続的に送信してもよい。より具体的に、遠隔制御プロセスPRCは、図3a~3cで説明されたように、医療デバイス10のアクチュエータ17及び/又はセンサ18の異なる集合と通信するように構成されたI/Oシステムを介してセンサ18とやり取りできる。センサ・データは、センサ18によって医療デバイス10内で測定された圧力、回転速度、温度等を示してもよい。遠隔システム20は、種々のタイプのセンサ・データ、例えばログ・データを要求してもよい。遠隔システム20は、医療デバイス10の動作を監視するために、得られたセンサ・データを使用してもよい。言い換えると、いくつかの実施形態において、本方法は、遠隔システム20が医療デバイス10の動作を監視することを可能にするセンサ・データを遠隔システムに提供することS1を含む。
遠隔システム20が医療デバイス10の制御を引き継ぎたい場合に、遠隔システム20から医療デバイス10へアクティブ化要求が送信される。アクティブ化要求は、遠隔システムが医療デバイスの1つ以上のアクチュエータ17の制御を引き継ぎたいことを医療デバイス10に知らせる情報を含むメッセージである。アクティブ化要求は例えば、遠隔システム20内のサービス又はサポート・プログラムによって生成される。アクティブ化要求は、通信インタフェース162によって受信される。医療デバイス10はまた、遠隔制御プロセスPRCに転送される前に、アクティブ化要求が有効であることをチェックするソフトウェア(図示せず)を含んでもよい。例えば、遠隔システム20が既知であり、医療デバイス10の遠隔制御を実行することが認可されていることがチェックされる。その後、アクティブ化要求は、遠隔システム20との通信を処理するプロセスであるので、遠隔制御プロセスPRCによって受信される。言い換えると、本方法は、遠隔制御プロセスPRCによって、遠隔システム20から、1つ以上のアクチュエータ17の遠隔制御を要求するアクティブ化要求を受信することS2を含む。
しかし、医療デバイス10は、少なくとも1つの事前に決定された第1基準が満たされる場合にのみ、遠隔制御されることを受諾する。医療処置の途中で遠隔制御をアクティブ化することが一般に安全ではないので、少なくとも1つの事前に決定された第1基準は例えば、医療処置がアイドルである(すなわち、治療が進行中ではない)ことを含む。これは、医療処置を扱うソフトウェア・プロセスのモード又は状態をチェックすることによって検出されうる。例えば、以前に開始された全ての治療(例えば、タスク)が、仕上げられなければ又は終了されなければならない。典型的に、開始されたサービスが中断されないことが望ましいので、少なくとも1つの事前に決定された第1基準はまた、医療デバイスのサービスがアイドルである(すなわち、サービスが進行中でない)ことを含んでもよい。これは、医療デバイスのサービスを扱うソフトウェア・プロセスのモード又は状態をチェックすることによって容易に検出されうる。例えば、以前に開始されたすべてのサービス(例えば、タスク)が、仕上げられなければ又は終了されなければならない。
いくつかの実施形態において、少なくとも1つの事前に決定された第1基準は、安全性を危険にさらすことなく制御を引き渡せることを含む。これは、遠隔制御が安全であると考えられる場合にのみ、遠隔制御がアクティブ化されることを示す。したがって、遠隔制御が制御されていない圧力上昇、流体のフロー等を引き起こさないような動作が行われる。チェックされうる別の基準は、遠隔システム20が既知であり、認可されていることである。
少なくとも1つの事前に決定された第1基準が満たされるならば、遠隔制御のアクティブ化が開始される。医療デバイス10が、医療処置を監督するように構成された保護システムSS3を備えるならば、保護システムSS3は、典型的に遠隔制御中は非アクティブである。いくつかの実施形態において、以下でさらに説明されるように、代わりに、遠隔制御を監督するように構成された代替の保護システムがアクティブ化される。したがって、これらの実施形態において、本方法は、少なくとも1つの事前に決定された第1基準が満たされるとS3、保護システムSS3を非アクティブ化することS4を含む。
また、遠隔制御がアクティブ化される場合に、医療デバイス10がニュートラル又は少なくとも既知の状態であることを常に確認することが望ましいかもしれない。したがって、バルブ、ポンプなどは、典型的には漏れ又は他の損傷の危険性がないニュートラル状態であるべきである。例えば、ポンプが回転している間に医療デバイス10の制御を引き渡すことは不適切であると考えられうるので、遠隔制御がアクティブ化される前にすべてのポンプが停止される。したがって、いくつかの実施形態において、本方法は、1つ以上のアクチュエータ17の制御のオーナーシップを1つ以上の医療プロセスPMEDから遠隔制御プロセスPRCに引き渡す前に、1つ以上のアクチュエータ17を制御された状態に設定することS5をさらに含む。制御された状態は例えば、製造者によって規定されたデフォルト状態である。
医療デバイス10が遠隔制御される準備が整った場合に、アクチュエータの制御は遠隔制御プロセスPRCに引き渡される。これは、遠隔制御プロセスPRCが遠隔システム20からコマンドを受信し、それに応じてアクチュエータ17を制御してもよいことを意味する。実際に、これは、例えば、遠隔制御がアクティブであることを1つ以上の医療プロセスPMEDが遠隔制御プロセスPRCに知らせることを意味する。それにより、1つ以上の医療プロセスPMEDは、アクティブ化要求をバリデートした。さらに、1つ以上の医療プロセスPMED及び遠隔制御プロセスPRCは、その状態を「遠隔制御がアクティブ」に更新する。これにより、遠隔制御プロセスはアクチュエータ17を担当し、1つ以上の医療プロセスPMEDはアイドルである。関与するすべてのプロセスは、典型的にはこれについて知らされ、及び/又はこれを認識する。言い換えると、本方法は、少なくとも1つの事前に決定された第1基準が満たされるとS3、1つ以上の医療プロセスPMEDから遠隔制御プロセスPRCへ、1つ以上のアクチュエータ17の制御のオーナーシップを引き渡すことすることS6をさらに含む。いくつかの実施形態において、制御のオーナーシップは、1つ以上の医療プロセスPMEDと遠隔制御プロセスPRCとの間でハンドシェイクを実行することによって引き渡される。ハンドシェイクは、すべてのプロセスが同じ遠隔制御状態(すなわち、アクティブ化されている又は非アクティブ化されている)を有することを保証する。遠隔制御がアクティブ化されるならば、これは、遠隔制御プロセスがアクチュエータ17の制御のオーナーであることを意味し、その逆も成り立つ。
オーナーシップは、例えば規定されたインタフェースに書き込むことによって、アクチュエータ値を設定する権利をプロセスに与える。いくつかの実施形態において、1つ以上のアクチュエータ17の制御のオーナーシップは、1つ以上のアクチュエータ17を制御するパラメータを遠隔処理プロセスPRCが変更することを可能にするインタフェースへの書込みのオーナーシップを遠隔処理プロセスPRCに与えることによって引き渡される。
すべてのプロセスは、典型的には遠隔制御のアクティブ化を認識するか又はそれについて知らされ、それに応じて動作する。特に、遠隔制御プロセスは、遠隔制御がアクティブである場合にのみ、遠隔システム20からの要求に応じて動作する。
保護システムSS3が監督プロセスPを含むならば、図4bに示されるように、監督プロセスPによって同様の手順が実行される。したがって、1つ以上の事前に決定された第2基準が満たされるならばS41、1つ以上の補助アクチュエータ17´の制御のオーナーシップは、監督プロセスPから保護システムSS3の遠隔制御プロセスPS‐RCに引き渡される。1つ以上の事前に決定された第2基準は、進行中の治療が危険にさらされないこと、及び/又は医療デバイス10が例えば、漏れ又は圧力上昇を引き起こす危険な状態又は制御されていない状態に設定されないことを保証する。言い換えると、いくつかの実施形態において、1つ以上の事前に決定された第2基準は、医療処置がアイドルであることを含む。これは、例えば、保護システムP3が非アクティブ又はアイドルである場合、すなわち、監督が行われない場合である。いくつかの実施形態において、事前に決定された第2基準は、安全性を危険にさらすことなく(例えば、漏れ又は圧力上昇を引き起こすことなく)制御が引き渡されうること、及び/又は遠隔システム20が既知であり、認可されていることを含む。言い換えると、いくつかの実施形態において、本方法は、事前に決定された第2基準が満たされるとS41、1つ以上の補助アクチュエータ17´の制御のオーナーシップを監督プロセスから保護システムSS3の遠隔制御プロセスPS‐RCに引き渡すことS43を含む。いくつかの実施形態において、制御が遠隔制御プロセスに引き渡される前に、補助アクチュエータ17´は制御された状態に設定されるS42。
ここで、遠隔制御はアクティブである。その後、遠隔制御プロセスは、アクチュエータを遠隔制御し始めてもよいことを知らされる。したがって、医療環境の外部の人は、遠隔システム20から医療デバイス10に対する診断を実行し始めてもよい。言い換えると、本方法は、遠隔制御プロセスPRCによって、アクティブ化確認(すなわち、アクティブ化確認を示すメッセージ)を遠隔システム20及び/又は医療デバイス10のユーザ・インタフェースへ送信することS7を含む。アクティブ化確認は、1つ以上のアクチュエータ17の制御のオーナーシップが引き渡されることに応じて送信される。アクティブ化確認は、1つ以上のアクチュエータ17(存在する場合、補助アクチュエータ17´を含む)の遠隔制御がアクティブであることを示す。その後、医療デバイス10は、1つ以上のアクチュエータ17を制御することの遠隔要求に対応する。言い換えると、1つ以上のアクチュエータ17の遠隔制御がアクティブである場合に、遠隔制御要求は、遠隔制御プロセスPRCによって処理される。アクティブ化確認は、遠隔制御要求が無視されないことを示す。
保護システムSS3が存在するならば、アクティブ化応答は、典型的にはメイン・システムSS1と保護システムSS3との両方がそれぞれの個別のアクチュエータ17、17´の制御のオーナーシップを個別の遠隔制御プロセスに引き渡した場合にのみ送信される。言い換えれば、保護システムSS3の遠隔制御プロセスPS‐RCも、監視処理Pから1つ以上のアクチュエータ17及び1つ以上の補助アクチュエータ17´の制御のオーナーシップを引き渡すことに応じて、アクティブ化確認が送信される。
図4(a)に戻る。遠隔制御がアクティブ化されると、アクチュエータは、遠隔システム20によって遠隔制御されてもよい。ここで、遠隔システム20は例えば、サポート又は診断プログラムを実行し始めてもよい。これは、遠隔システム20内で専用の診断又はサポート・ソフトウェア・アプリケーションを実行することによって行われてもよい。代替的に、技術者は、コマンド(例えば、アクチュエータ設定値)を遠隔システム20のユーザ・インタフェースに入力し、このようにして、医療デバイス10のアクチュエータ17を直接制御してもよい。
したがって、本方法は、遠隔制御プロセスPRCによって遠隔システム20から、1つ以上のアクチュエータ17を制御するための制御データを受信することS8を含む。いくつかの実施形態において、制御データは、1つ以上のアクチュエータによって使用される1つ以上のアクチュエータ設定値を含む。例えば、1つ以上のアクチュエータ設定値は、ヒータの温度又はポンプの速度を制御してもよい。いくつかの実施形態において、制御データは、バルブ又は同様のものを開く及び/又は閉じるためにアクチュエータを制御するデータを含む。
いくつかの実施形態において、制御データは、医療デバイス内のデバイスの回転速度を調整するためにアクチュエータを制御するデータを含む。制御データは例えば、所定のシーケンス又は方式にしたがって回転速度を制御してもよい。
遠隔制御がアクティブであると判断されたならばS9、アクチュエータ17は、制御データに基づいて制御される。センサ18は、アクチュエータ設定値の変化の影響として変化しうる任意の関連するセンサ値を観察するように構成されてもよい。言い換えれば、本方法は、遠隔制御プロセスPRCによって、遠隔制御がアクティブである場合にS9、制御データに基づいて1つ以上のアクチュエータ17を制御することS10をさらに含む。ステップS8~S10は、典型的には遠隔制御がアクティブである間に、受信される1つ以上のアクチュエータ17を制御するためのすべての制御データについて繰り返される。
遠隔制御は、遠隔システム20が非アクティブ化要求を送信するまで、典型的にはアクティブのままである。その後、非アクティブ化手順が開始され、これについて図4cを参照して記載される。
非アクティブ化は典型的には遠隔システム20によって送信される非アクティブ化要求(すなわち、非アクティブ化することの要求を示すメッセージ)によってトリガーされる。代替的に、非アクティブ化要求は、別の方法、例えばユーザ・インタフェースを介して受信される。言い換えれば、本方法は、遠隔制御プロセスPRCによって、遠隔システム20からの非アクティブ化要求を受信することS11をさらに含む。非アクティブ化要求は、1つ以上のアクチュエータ17の遠隔制御を非アクティブ化することを医療デバイス10に要求する。
遠隔制御が非アクティブ化される前に、医療デバイスは典型的に、例えば遠隔システム20によって実行されるテスト又はサービスが将来の治療に影響を及ぼさないようにリセットされる。言い換えれば、本方法は、遠隔制御プロセスPRCによって、前述したように、1つ以上のアクチュエータ17を制御された状態に設定することS12をさらに含む。
その後、本方法は、遠隔制御を非アクティブ化する。言い換えれば、本方法は、1つ以上のアクチュエータのうちの1つ以上のものの制御のオーナーシップを1つ以上の医療プロセスに引き戻すことS13を含む。本方法は、遠隔制御プロセスPRCから遠隔システムに解放確認を送信することS14をさらに含む。解放確認は、1つ以上のアクチュエータ17の遠隔制御が非アクティブ化されたことを示すメッセージである。解放確認は、オーナーシップが引き戻されたことに応じて送信される。その後、すべての関与するプロセスは典型的には非アクティブ化を認識し、及び/又は非アクティブ化を知らされる。したがって、すべての関与するプロセスは、各時点において、遠隔制御状態(「遠隔制御がアクティブ化されている」/「遠隔制御が非アクティブである」)を認識し、したがって、誰がアクチュエータ17(存在する場合には補助アクチュエータ17´を含む)のオーナーであるかを認識する。
図5a~図5cは、例示的な実施形態による、図4a~図4cの提案される方法を実行する場合の、医療デバイス10の例示的なソフトウェア・システムのソフトウェア(SW)アイテム間の内部シグナリングを説明するシーケンス図である。この例示的な実施はまた、図1a~1cの医療デバイス、及び図3a及び3bに関連して上述された例示的なソフトウェア・アーキテクチャ(サブシステムSS1、SS2、SS3、及びSS4を含む)にも言及する。
サブシステムSS1、SS2、SS3及びSS4(図3a、3b)は、医療デバイス10の種々の機能を管理する複数のSWアイテムによって実施される。SWアイテムは、ソフトウェア・アーキテクチャの機能部分である。SWアイテムは、1つ以上のソフトウェア・プロセスによってデプロイされうる。一方、1つのソフトウェア・プロセスは、1つ以上のSWアイテムを実施してもよい。
しかし、プロセスとSWアイテムとの間の1対1のマッピングを選択することが多い。例えば、メイン・システムSS1及び保護システムSS3の遠隔制御機能は、遠隔制御プロセスPRCと呼ばれる、上述の1つのソフトウェア・プロセスによって典型的に実施される、遠隔制御マネージャと呼ばれるSWアイテムである。しかし、このSWアイテムを2つのソフトウェア・プロセスとして実施することも可能である。ただし、前提条件は、プロセスが、医療プロセス(PMED)として上記で参照された、医療処置を実施するプロセスとは別のものであることである。
簡単にするために、医療デバイス10の遠隔制御に関与するSWアイテムのみが図5a~5cに説明される。
メイン・システムSS1とも呼ばれる第1サブシステムは、GUIマネージャと、デバイス制御(DC)マネージャと、モード及びアクセス(M&A)マネージャと、遠隔システム通信(RSC)マネージャと、遠隔制御(RC)マネージャとを備える。第2サブシステムSS2及び第4サブシステムSS4は、I/Oマネージャを備える。第3サブシステム、すなわち保護システムSS3は、監督(SV)マネージャと遠隔制御(RC)マネージャとを含む。この例では、2つのSWアイテムによって実現されるRSCを除くすべてのプロセスが1つの対応するSWアイテムによって実施される。
デバイス制御マネージャは、医療デバイス10の制御を担当する。1つ以上の医療プロセスPMEDは、医療処置の実行に関与するすべてのプロセスを指す。したがって、この例示的な実施では、デバイス制御マネージャを実施するプロセスは、医療プロセスPMEDに対応する(図4a~c)。
GUIマネージャは、ディスプレイ12上のグラフィック表示と、ユーザ入力及びユーザ出力の管理とを担当する。
モード及びアクセス・マネージャは、現在ログインしているユーザ(又は複数のユーザ)のアクセス・レベルと、ユーザの権限、及びシステム・モード及び状態との管理を担当する。モード及びアクセス・マネージャはまた、医療デバイス10が、要求されたユーザ権限を伴う要求されたシステム状態にあるならば、進行するための権限を、要求するSWアイテムに与える。SWアイテムは例えば、ソフトウェア更新を実行するか、又は遠隔からアクチュエータ17を制御する権限を要求できる。
監督マネージャは、医療処置中の医療デバイスの監督を担当する。監督プロセスPは、医療処置の監督に関与する1つ以上のプロセスを指す。したがって、この例示の実装では、監視マネージャを実装するプロセスは、監督プロセスPに対応する(図4a~c)。
I/Oマネージャは、図3a及び図3bに関連して説明したように、対応するサブシステムに接続された周辺装置へのアクセスを提供することを担当する。
遠隔制御マネージャ(メイン・システムSS1に1つ、保護システムSS3に1つ)は、医療デバイスのアクチュエータ17(SS1内)又は補助アクチュエータ17´(SS3内)を遠隔制御できるようにすることを担当する。これにより、医療デバイス10に対して、例えば、診断及び製造テスト・シーケンスを遠隔から実行することが可能とある。遠隔制御がアクティブである場合に、デバイス制御マネージャ及び監視マネージャは、(上記及び下記のように、)対応する遠隔制御マネージャにアクチュエータの制御のオーナーシップを引き渡す。遠隔制御が非アクティブである場合に、オーナーシップはデバイス制御マネージャ及び監視マネージャに戻される。
遠隔システム通信(RSC)は、遠隔システム20へのセキュアな(適用可能であれば、認証され暗号化された)接続を確立することを担当する。遠隔システム通信は、遠隔システムとのデータ通信も担当する。この例示的な実施において、遠隔システム通信は、以下のSWアイテムに分割される。
・RSCマネージャ:(構成マネージャから読み出された)有効な機能を遠隔システムに向けてアクティブ化し、内部プロトコルに変換することを担当する。
・RSCトランスポート:一般的に、外部プロトコルのフォーマット及び暗号化を担当する。
遠隔システム通信は典型的に、デバイス内部SWアイテムにサービスを提供しているクライアントであり、医療デバイス内部SWアイテムは、典型的には遠隔システム通信の存在に依存しないので、反対方向ではない。
ここで、遠隔制御アクティブ化中のサブシステムSS1及びSS3におけるプロセス間のシグナリングについて、図5aを参照して記載する。
典型的に、アクティブ化が開始される前にいくつかの前提条件が満たされる必要がある。例えば、遠隔システム20は、医療デバイス10に接続されなければならず、「遠隔制御」のために使用される通信機能が有効にされなければならない。さらに、装置制御マネージャは、「RCへのサブスクライブ」と呼ばれる方式において、「遠隔制御アクティブ化/非アクティブ化」通知をサブスクライブしなければならない(ステップ50)かもしれない。さらに、セキュアな接続によって使用される暗号鍵が、例えば製造時に医療デバイスにインストールされる必要がある。
また、遠隔制御マネージャにはいくつかの制約があってもよい。SS1の遠隔制御マネージャは典型的に、0~1人のサブスクライバをサポートする。サブスクライバは遠隔制御アクティブ化/非アクティブ化要求をチェーンとして転送する責任があり、その後、サブスクライバは、SS1の遠隔制御マネージャに遠隔制御アクティブ化/非アクティブ化の受諾/不受諾を返す。サブスクライバが存在しない場合に、SS1の遠隔制御マネージャは典型的に、モード及びアクセス・マネージャから続行する権限があれば、アクティブ化/非アクティブ化要求を受諾する。SS3の遠隔制御マネージャはサブスクライバをサポートしないが、SS1の遠隔制御マネージャから制御される。
アクティブ化は、RSCが通信インタフェース162を介して遠隔システム20から「遠隔制御(RC)アクティブ化」要求を受信した場合に開始される。RSCマネージャは、SS1の遠隔制御マネージャへ要求を転送する(ステップ51)。これらのステップは、図4aのステップS2に対応する。
遠隔制御マネージャは、要求を承認する権限を有することをモード及びアクセス・マネージャとともにチェックする(ステップ52)。続行する権限を有するならば、遠隔制御マネージャは、「遠隔制御(RC)アクティブ化」要求が受信されたことをデバイス制御マネージャに通知する(ステップ53)。デバイス制御マネージャは、デバイス制御マネージャの観点から要求をバリデートする(ステップ54)。これらのステップは、図4aのステップS3に対応する。
バリデーションが肯定的であるならば、デバイス制御マネージャは、監督マネージャへ「遠隔制御(RC)アクティブ化」要求を送信し(ステップ55)、これは監督がアクティブ化されるべきことを要求する。監督マネージャは、要求をバリデートする(ステップ56)。監視が制御された(Ctrl)状態に設定され(ステップ57)、「OK」をデバイス制御マネージャへ送信する(ステップ58)。これらのステップは、図4bのステップS4~S42に対応する。
デバイス制御マネージャは、アクチュエータ17を制御された状態に設定する(ステップ59)。このステップは、図4aのステップS5に対応する。
デバイス制御マネージャは、遠隔制御受諾(RC受諾)をSS1内の遠隔制御マネージャへ送信する(ステップ60)。このステップは図4aのステップS6の第1部分に対応し、ここではS6(a)と示される。
遠隔制御を受諾された場合に、SS1の遠隔制御マネージャは、SS3の遠隔制御マネージャに、遠隔制御がアクティブであること(RCアクティブ)を知らせる(ステップ61)。SS3の遠隔制御マネージャは、自身の状態をアクティブ状態に更新し、SS1の遠隔制御マネージャにOKを返す(ステップ62)。このステップは、図4bのステップS43に対応する。
その後、SS1の遠隔制御マネージャは、自身の状態を「遠隔制御アクティブ(RCアクティブ)」に更新する(ステップ63)。医療デバイス10は、ここで、遠隔からアクチュエータを制御することの要求を受諾する。このステップは図4aのステップS6の第2部分に対応し、ここではS6(b)と示される。
遠隔制御マネージャはOKをRSCマネージャに返し(ステップ64)、これは次いで遠隔システム20に知らせる。このステップは、図4aのステップS7に対応する。
その後、GUIマネージャは、遠隔制御マネージャから、医療デバイスが現在遠隔制御中であるという情報を読み出し(ステップ65)、それに応じてディスプレイ12上に当該情報を示す(ステップ66)。例えば、ディスプレイ12は、「遠隔制御アクティブ」と読め、その後、ユーザは、ディスプレイ12上でいかなるコマンドも入力しない、即ち、システムはユーザをロックアウトする。
(ステップ52で質問された際に)遠隔制御マネージャに続行する権限を有しないならば:遠隔制御マネージャによって「遠隔制御アクティブ化」要求が拒否され、「遠隔制御が許可されなかった」が(RSCマネージャを介して)遠隔システム20に返される。
遠隔制御がデバイス制御マネージャ又は監督マネージャによって承認されないならば:「遠隔制御アクティブ化」要求は遠隔制御マネージャによって拒否され、「遠隔制御のアクティブ化が承認されない」が(RSCマネージャを介して)遠隔システム20に返される。
ここで、遠隔システム20からアクチュエータを制御している間のサブシステムSS1、SS2、SS3、及びSS4におけるプロセス間のシグナリングについて、図5bを参照して説明される。
遠隔制御がアクティブ化されると、遠隔システム20は、アクチュエータを制御することの1つ以上の要求を含むメッセージを送信できる。要求は、典型的に、遠隔制御されるアクチュエータの1つ以上のアクチュエータ設定値を含む。代替的に、1つ以上のアクチュエータ設定値は、後続のメッセージで受信される。1つ以上のアクチュエータが設定されることを要求することが可能である。アクチュエータはSS2又はSS4によって制御される。RSCマネージャは、1つ以上の要求(RC要求)をSS1の遠隔制御マネージャに転送する(ステップ67)。このステップは、図4aのステップS8に対応する。
遠隔制御マネージャは、遠隔制御がアクティブであることを検証し(ステップ68)、適用可能なアクチュエータがどのサブシステム内に配置されているかを見つける。SS1の遠隔制御マネージャは、SS2に配置された(すなわち、SS2によって制御される)アクチュエータ17についてのアクチュエータ設定値を検証する(ステップ69)。SS2内に配置されていないアクチュエータ17について、遠隔制御マネージャは、遠隔制御要求をSS3の遠隔制御マネージャへ送信する(ステップ70)。SS3の遠隔制御マネージャは、アクチュエータ設定値を適用する前に、遠隔制御がアクティブであることを検証し(ステップ71)、SS4のアクチュエータについてアクチュエータ設定値を検証し(例えば、アクチュエータ設定値のタイプ及び範囲を検証し)(ステップ72)、SS1の遠隔制御マネージャにOKを返す(ステップ73)。SS1の遠隔制御マネージャがSS3からOK応答を受信した場合に、これはOKをRSCマネージャに返し、SS2にコマンドを送信することによって、SS2アクチュエータ設定値(もしあれば)を適用する(すなわち、アクチュエータを制御する)。これらのステップは基本的に図4aのステップS8に対応する。
SS1の遠隔制御マネージャは、システム間通信(ISC)を介してSS2のI/Oマネージャにアクチュエータ設定値を書き込む(ステップ74)。その後、SS2内のI/Oマネージャは、アクチュエータ要求に基づいて動作する。SS3の遠隔制御マネージャは、ISCを介してSS4のI/Oマネージャにアクチュエータ設定値を書き込む(ステップ75)。その後、SS4内のI/Oマネージャは、アクチュエータ要求に基づいて動作する。これらのステップは、図4aのステップS10に対応する。
その後、SS1についてのアクチュエータ設定値の範囲及びタイプ(規定されている場合)が検証され、例えば、アクチュエータ設定値が正しい範囲及びタイプであることが検証される。例えば、アクチュエータに対応する各ソフトウェア・パラメータについて、例えばメタデータを使用して、特定の範囲及びタイプが規定されてもよい。例えば、ポンプは、0~90%の承認範囲及びタイプ=intを有しうる。
遠隔制御要求が受信された場合に遠隔制御が非アクティブであるならば、SS1又はSS3のいずれかの遠隔制御マネージャは要求を拒否し、それらのいずれも要求のアクチュエータ設定値を適用しない。遠隔システム20に「遠隔制御非アクティブ」エラー・メッセージが返される。
要求によって示されるアクチュエータが未知であるならば、SS1又はSS3のいずれかの遠隔制御マネージャは遠隔制御要求を拒否し、それらのいずれも遠隔制御要求に含まれるアクチュエータ設定値を適用しない。「未知のアクチュエータ」エラー・メッセージ又は信号が遠隔システム20に返される。
1つ以上のアクチュエータ設定値が無効(例えば、アクチュエータの取りうるアクチュエータ設定値の事前に規定された範囲外など)であるならば、SS1又はSS3のいずれかの遠隔制御マネージャは、遠隔制御要求を拒否し、それらのいずれも遠隔制御要求に含まれるアクチュエータ設定値を適用しない。「無効なアクチュエータ設定値」エラー・メッセージ又は信号が遠隔システムに返される。
図5bのステップは、遠隔制御がアクティブである間に、遠隔システム20から受信されたアクチュエータ17を制御するための要求ごとに繰り返される。
ここで、遠隔制御非アクティブ化中のサブシステムSS1及びSS3におけるプロセス間のシグナリングについて、図5cを参照して説明される。
遠隔システム20から「遠隔制御非アクティブ化要求」を受信することが可能である。「遠隔制御非アクティブ化要求」を受信した場合に、RSCマネージャは、SS1の遠隔制御マネージャに要求を転送する(ステップ76)。このステップは、図4cのステップS11に対応する。
遠隔制御マネージャは、遠隔制御がアクティブであるかどうかをチェックし(ステップ77)、将来の遠隔制御アクチュエータ設定値を承認せず、デバイス制御マネージャのサブスクライバに、「遠隔制御非アクティブ化」要求が受信されたことを通知する(ステップ78)。デバイス制御マネージャは、デバイス制御の観点から要求をバリデートし(ステップ79)、その後、「遠隔制御非アクティブ化」要求を監督マネージャへ送信する(ステップ80)。監督マネージャは、要求をバリデートし(ステップ81)、アクチュエータ17´が制御された状態に設定され(ステップ82)、OKをデバイス制御マネージャに返す(ステップ83)。
デバイス制御マネージャのアクチュエータ17は制御された状態に設定され(ステップ84)、「遠隔制御非アクティブ化」受諾(すなわち、要求ステップ78の肯定応答)をSS1の遠隔制御マネージャへ送信する(ステップ85)。遠隔制御非アクティブ化が受諾された場合に、SS1の遠隔制御マネージャは、遠隔制御が非アクティブであることをSS3の遠隔制御マネージャに知らせる(ステップ86)。SS3の遠隔制御マネージャは、ここで、非アクティブ状態に設定され(ステップ87)、SS1の遠隔制御マネージャにOKを返す(ステップ88)。SS1の遠隔制御マネージャは、自身ステータスを「遠隔制御がアクティブでない」に更新する(ステップ89)。遠隔制御マネージャは、OKをRSCマネージャに返す(ステップ90)。これらのステップは、図4cのステップS12~S14に対応する。
その後、GUIマネージャは、遠隔制御マネージャから、医療デバイスが現在遠隔制御されていないという情報を読み出し(ステップ91)、それに応じてディスプレイ上の情報を示す(ステップ92)、例えばGUIマネージャは、ここで、ユーザ入力を再び可能にする。
遠隔制御非アクティブ化がデバイス制御又は監督マネージャによって承認されないならば:非アクティブ化要求は、SS1の遠隔制御マネージャによって拒否され、「遠隔制御非アクティブ化が承認されない」が(RSCマネージャを介して)遠隔システム20に返される。
遠隔操作されたアクチュエータは、遠隔操作を非アクティブ化する場合に、制御されていない状態である:デバイス制御及び監督は、遠隔制御を非アクティブ化にする場合に、すべてのアクチュエータを制御された状態にする。
本発明は現在最も実用的で好ましい実施形態であると考えられるものに関連して説明されてきたが、本発明は開示された実施形態に限定されるべきではなく、反対に、添付の特許請求の範囲の精神及び範囲内に含まれる種々の変形及び均等な構成を包含することが意図されることを理解されたい。

Claims (16)

  1. 遠隔システム(20)が医療デバイス(10)を遠隔制御することを可能にするように前記医療デバイス(10)を動作させる方法であって、前記医療デバイス(10)は、医療処置を制御するように構成された1つ以上のアクチュエータ(17)を備え、前記医療デバイス(10)は、前記医療処置中の前記医療デバイス(10)の動作に関与する1つ以上の医療プロセス(PMED)と、前記1つ以上の医療プロセス(PMED)とは別個の遠隔制御プロセス(PRC)とを含むソフトウェア・システムによって制御され、前記遠隔制御プロセス(PRC)は、前記遠隔システム(20)からの前記医療デバイス(10)の遠隔制御を管理するように構成され、前記方法は、
    ‐前記遠隔制御プロセス(PRC)によって、前記遠隔システム(20)から、前記1つ以上のアクチュエータ(17)の遠隔制御を要求するアクティブ化要求を受信すること(S2)と、
    ‐少なくとも1つの事前に決定された第1基準が満たされると(S3)、前記1つ以上のアクチュエータ(17)の制御のオーナーシップを前記1つ以上の医療プロセス(PMED)から前記遠隔制御プロセス(PRC)に引き渡すこと(S6)と、
    ‐前記1つ以上のアクチュエータ(17)の制御のオーナーシップが引き渡されたことに応じて、前記遠隔制御プロセス(PRC)によって、前記遠隔システム(20)へ及び/又は前記医療デバイス(10)のユーザ・インタフェースへアクティブ化確認を送信すること(S7)であって、前記アクティブ化確認は、前記1つ以上のアクチュエータ(17)の遠隔制御がアクティブであることを示す、ことと、を有する方法。
  2. 請求項1に記載の方法であって、前記少なくとも1つの事前に決定された第1基準は、
    ・前記医療処置がアイドルであることと、
    ・前記医療デバイスの前記サービスがアイドルであることと、
    ・安全性を危険にさらすことなく制御を引き渡すことができることと、
    ・前記遠隔システム(20)が既知であり、認可されていることと、
    のうちの少なくとも1つを含む、方法。
  3. 請求項1又は2に記載の方法であって、前記1つ以上のアクチュエータ(17)は、前記医療デバイスがスイッチ・オンされる各個別の時点において、前記1つ以上の医療プロセス(PMED)又は前記遠隔制御プロセス(PRC)のいずれかによって所有される、方法。
  4. 請求項1乃至3の何れか1項に記載の方法であって、前記遠隔制御プロセス(PRC)と前記1つ以上の医療プロセス(PMED)とが別個であることは、それらが別個のメモリ空間、異なるプライオリティ、個別のプロセス状態を有し、及び/又はプロセス間通信を使用して通信していることに対応する、方法。
  5. 請求項1乃至4の何れか1項に記載の方法であって、
    ‐前記1つ以上のアクチュエータ(17)の制御のオーナーシップを前記1つ以上の医療プロセス(PMED)から前記遠隔制御プロセス(PRC)に引き渡す前に、前記1つ以上のアクチュエータ(17)を制御された状態に設定すること(S5)を有する、方法。
  6. 請求項1乃至5の何れか1項に記載の方法であって、
    ‐前記遠隔制御プロセス(PRC)によって、前記遠隔システム(20)から、前記1つ以上のアクチュエータ(17)を制御するための制御データを受信すること(S8)と、
    ‐前記遠隔制御プロセス(PRC)によって、遠隔制御がアクティブになると、前記制御データに基づいて前記1つ以上のアクチュエータを制御すること(S10)と、を有する、方法。
  7. 請求項5に記載の方法であって、前記制御データは、
    ‐前記1つ以上のアクチュエータによって使用される1つ以上のアクチュエータ設定値と、
    ‐バルブを開く及び/又は閉じるようにアクチュエータを制御するデータと、
    ‐前記医療デバイス内のデバイスの回転速度を調整するためにアクチュエータを制御するデータと、
    のうちの少なくとも1つを含む、方法。
  8. 請求項1乃至7の何れか1項に記載の方法であって、
    ‐前記遠隔制御プロセス(PRC)によって、前記1つ以上のアクチュエータ(17)の遠隔制御を非アクティブ化することを前記医療デバイス(10)に要求する非アクティブ化要求を遠隔システム(20)から受信すること(S11)と、
    ‐前記遠隔制御プロセス(PRC)によって、前記1つ以上のアクチュエータ(17)を制御された状態に設定し(S12)、前記1つ以上のアクチュエータの制御のオーナーシップを引き戻す(S13)ことと、
    ‐オーナーシップが引き戻されたことに応じて、前記遠隔制御プロセス(PRC)から前記遠隔システムへ、前記1つ以上のアクチュエータ(17)の遠隔制御が非アクティブとなったことを示す解放確認を送信すること(S14)と、を有する、方法。
  9. 請求項1乃至8の何れか1項に記載の方法であって、前記医療デバイス(10)は、前記医療処置を監督するように構成された保護システムを含み、前記方法は、
    ‐前記少なくとも1つの事前に決定された第1基準が満たされると、前記保護システムを非アクティブ化すること(S4)を有する、方法。
  10. 請求項9に記載の方法であって、前記保護システムは、前記1つ以上の医療プロセス(PMED)とは別個の監督プロセス(P)を含み、前記監督プロセス(P)は、1つ以上の補助アクチュエータ(17´)を使用して前記保護システムを制御するように構成され、前記方法は、
    ‐事前に決定された第2基準が満たされると(S41)、前記監督プロセスから前記保護システム(SS3)の遠隔制御プロセス(PS‐RC)に前記1つ以上の補助アクチュエータ(17´)の制御のオーナーシップを引き渡すこと(S43)を有し、
    前記保護システムの前記遠隔制御プロセス(PS‐RC)が前記監督プロセス(P)から前記1つ以上の補助アクチュエータ(17´)の制御のオーナーシップを引き継ぐことに応じて、前記アクティブ化確認が送信される、方法。
  11. 請求項10に記載の方法であって、前記事前に決定された第2基準は、
    ‐前記医療処置がアイドルであることと、
    ‐前記保護システム(P3)が非アクティブ又はアイドルであることと、
    ‐安全性を危険にさらすことなく制御を引き渡すことができることと、
    ‐前記遠隔システム(20)が既知であり、認可されていることと、
    を含む、方法。
  12. 請求項1乃至11の何れか1項に記載の方法であって、前記1つ以上のアクチュエータ(17)の制御のオーナーシップは、前記遠隔制御プロセス(PRC)が前記1つ以上のアクチュエータ(17)を制御するパラメータを変更することを可能にするインタフェースへの書き込みのオーナーシップを前記遠隔制御プロセス(PRC)に与えることによって引き渡される、方法。
  13. 請求項1乃至12の何れか1項に記載の方法であって、前記1つ以上のアクチュエータ(17)は、前記医療処置の実行中に使用されるバルブと、ポンプと、ヒータとのうちの少なくとも1つを制御するように構成される、方法。
  14. 請求項1乃至13の何れか1項に記載の方法であって、
    ‐前記遠隔システム(20)が前記医療デバイス(10)の動作を監視することを可能にするセンサ・データを前記遠隔システムに提供すること(S1)を有する、方法。
  15. 医療処置を実行するように構成された医療デバイス(10)であって、前記医療デバイス(10)は、
    ‐前記医療処置を制御するように構成された1つ以上のアクチュエータ(17)と、
    ‐遠隔システム(20)との通信を可能にするように構成された通信インタフェース(162)と、
    ‐プロセッサ(161)の集合と、プロセッサの前記集合による実行のソフトウェア・システムを記憶するメモリ(163)とを備え、前記ソフトウェア・システムは、前記医療処置中に前記医療デバイス(10)の動作に関与する1つ以上の医療プロセス(PMED)と、前記1つ以上の医療プロセス(PMED)とは別個の遠隔制御プロセス(PRC)とを含み、前記遠隔制御プロセス(PRC)は、前記遠隔システム(20)からの前記医療デバイス(10)の遠隔制御を管理するように構成され、前記ソフトウェア・システムは、プロセッサの前記集合によって実行される場合に、請求項1乃至14の何れか1項に記載の方法を実行する、医療デバイス(10)。
  16. 医療処置を実行するように医療デバイス(10)を動作させるためのソフトウェア・システムを含むコンピュータ可読媒体であって、前記ソフトウェア・システムは、前記医療処置中に前記医療デバイス(10)の動作に関与する1つ以上の医療プロセス(PMED)と、前記1つ以上の医療プロセス(PMED)とは別個の遠隔制御プロセス(PRC)とを含み、前記遠隔制御プロセス(PRC)は、前記遠隔システム(20)からの前記医療デバイス(10)の遠隔制御を管理するように構成され、前記ソフトウェア・システムは、前記医療デバイス(10)のプロセッサの集合によって実行される場合に、請求項1乃至14の何れか1項に記載の方法を実行する、コンピュータ可読媒体。
JP2021556900A 2019-04-24 2020-04-16 医療デバイス及び医療デバイスの遠隔制御のための方法 Pending JP2022529885A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP19170756.1 2019-04-24
EP19170756 2019-04-24
PCT/EP2020/060643 WO2020216664A1 (en) 2019-04-24 2020-04-16 Medical device and method for remote-control of a medical device

Publications (2)

Publication Number Publication Date
JP2022529885A true JP2022529885A (ja) 2022-06-27
JPWO2020216664A5 JPWO2020216664A5 (ja) 2023-02-01

Family

ID=66251630

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021556900A Pending JP2022529885A (ja) 2019-04-24 2020-04-16 医療デバイス及び医療デバイスの遠隔制御のための方法

Country Status (7)

Country Link
US (1) US20220223277A1 (ja)
EP (1) EP3959726A1 (ja)
JP (1) JP2022529885A (ja)
CN (1) CN113728397A (ja)
AU (1) AU2020262140A1 (ja)
CA (1) CA3130186A1 (ja)
WO (1) WO2020216664A1 (ja)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060235549A1 (en) * 2005-02-24 2006-10-19 Andrea Hearn Method for operating a medical device
EP2001188A1 (en) * 2007-06-08 2008-12-10 F.Hoffmann-La Roche Ag Method for authenticating a medical device and a remote device
US8976021B2 (en) * 2011-12-28 2015-03-10 Turkcell Teknoloji Arastirma Ve Gelistirme Anonim Sirketi Remote patient management device and method
US8907909B2 (en) * 2012-05-29 2014-12-09 General Electric Company Dynamic modular control system
DE102013100428B4 (de) * 2013-01-16 2014-08-07 MAQUET GmbH Verfahren und Vorrichtung zur drahtlosen Steuerung eines Operationstischs
KR102224465B1 (ko) * 2014-07-17 2021-03-10 주식회사 케이티 원격 제어 방법 및 서버
US20170372600A1 (en) * 2015-01-16 2017-12-28 Nokia Technologies Oy Method, apparatus, and computer program product for local control through intermediate device
US10426342B2 (en) * 2016-03-31 2019-10-01 Zoll Medical Corporation Remote access for ambulatory medical device
DE102016111971A1 (de) * 2016-06-30 2018-01-04 Fresenius Medical Care Deutschland Gmbh Dediziertes Fernsteuern von mehreren Dialysegeräten

Also Published As

Publication number Publication date
US20220223277A1 (en) 2022-07-14
AU2020262140A1 (en) 2021-10-07
EP3959726A1 (en) 2022-03-02
CN113728397A (zh) 2021-11-30
WO2020216664A1 (en) 2020-10-29
CA3130186A1 (en) 2020-10-29

Similar Documents

Publication Publication Date Title
US11302442B2 (en) Communication with home dialysis machines using a network connected system
JP2021072915A (ja) 透析機械のユーザインタフェースを介した水処理装置の制御
US20240096488A1 (en) Method and Device for Remote Monitoring and Control of Medical Fluid Management Devices
US9417614B2 (en) System for the central control of devices used during an operation
JP7506727B2 (ja) 遠隔機械更新および制御を含む医療流体送達システム
US20030046439A1 (en) Medical device with dual communications bus
JP2018538049A (ja) 透析装置のユーザインタフェースの設定
US11386994B2 (en) Optimized bedside safety protocol system
JP2022529885A (ja) 医療デバイス及び医療デバイスの遠隔制御のための方法
CN116686054A (zh) 管理与互联健康系统的通信
CA3130191A1 (en) Medical device and method for remotely accessing a medical device
EP3637429A1 (en) Operating a medical device during startup and shutdown
US20230145918A1 (en) Control device for a blood treatment apparatus, blood treatment apparatus, system and method
US20240100232A1 (en) Dialysis system having remote monitoring and control
AU2014221308B2 (en) Remote control of dialysis machines
AU2016200278A1 (en) Remote control of dialysis machines

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230123

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240604