WO2021048101A1 - Computer-hardware für ein computergesteuertes medizingerät und verfahren zur steuerung eines computergesteuerten medizingeräts - Google Patents

Computer-hardware für ein computergesteuertes medizingerät und verfahren zur steuerung eines computergesteuerten medizingeräts Download PDF

Info

Publication number
WO2021048101A1
WO2021048101A1 PCT/EP2020/075037 EP2020075037W WO2021048101A1 WO 2021048101 A1 WO2021048101 A1 WO 2021048101A1 EP 2020075037 W EP2020075037 W EP 2020075037W WO 2021048101 A1 WO2021048101 A1 WO 2021048101A1
Authority
WO
WIPO (PCT)
Prior art keywords
medical device
gate control
computer
hardware module
internal network
Prior art date
Application number
PCT/EP2020/075037
Other languages
English (en)
French (fr)
Inventor
Lars Fiedler
Jens Bojko
Original Assignee
Carl Zeiss Meditec Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Carl Zeiss Meditec Ag filed Critical Carl Zeiss Meditec Ag
Priority to US17/641,505 priority Critical patent/US20220311739A1/en
Publication of WO2021048101A1 publication Critical patent/WO2021048101A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3234Power saving characterised by the action undertaken
    • G06F1/3287Power saving characterised by the action undertaken by switching off individual functional units in the computer system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/10Current supply arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Definitions

  • a firewall is additionally implemented in hardware and / or software.
  • This gate control cannot be “switched off” or bypassed, even if requested by the operator, thus opening up a direct path between the communication network and the internal network. Direct access from the communication network without a request from the internal network is therefore always blocked and this blocking cannot be circumvented under any circumstances, as there is no possibility of "switching off” or modifying to a direct one Gives access. This restricts the freedom of the operator, but also prevents erroneous interventions by the operator, which could enable direct access from the communication network, which increases the security of the medical device with regard to the prevention of erroneous or malicious manipulation of the medical device from the communication network elevated.
  • the gate control provides data services in order to secure the transmission of data via interfaces of the medical device.
  • an ophthalmological laser therapy system 100 that is to say an exemplary special computer-controlled medical device, is described in more detail in order to show how largely the medically relevant functions of such a device Medical device, in particular a medical device with therapeutic functions, are.
  • the surgeon positions the height of the device head 1 by means of a joystick 10 on this device head 1, with which the translational movement of the device head 1 over the device base 2 can be controlled. In doing so, it is based on the image supplied by the camera 9, which is visible on the therapy screen 12 and / or on the planning screen 31 including an overlaid symbol of a swiveled down laser swivel arm 3.
  • the positioning can also take place by means of inputs on one of the two screens 12, 31 or via buttons on the laser therapy system 100.
  • the surgeon triggers the motorized pivoting down of the laser pivot arm 3 in and together with its pivot arm housing 6; a corresponding button used for this purpose is not shown in the figures. Due to the pre-positioning and the still retracted laser exit opening 8 of the laser swivel arm, a free space remains between the laser exit opening 8 and the patient's eye, which is advantageously between 50 mm and 150 mm in size.
  • the surgeon then initiates the release of the movement of the laser swivel arm 3 within the swivel arm housing 6 by means of a joystick rotation of the joystick 11 on the swivel arm housing 6, or alternatively by means of a separate button (not shown).
  • the movement can also be triggered automatically by the attached contact glass.
  • the laser exit opening 8 with the contact glass moves towards the eye.

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Epidemiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Laser Surgery Devices (AREA)

Abstract

Die Erfindung betrifft eine Computer-Hardware (200) für ein computergesteuertes Medizingerät (100), ein computergesteuertes Medizingerät und ein Verfahren zur Steuerung eines computergesteuerten Medizingerätes. Ihre Aufgabe ist es, eine Computer-Hardware für ein computergesteuertes Medizingerät so zu konfigurieren, dass eine von außerhalb des Medizingerätes gesteuerte Manipulation von medizinisch relevanter Software ausgeschlossen ist. Diese Aufgabe wird gelöst durch eine Computer-Hardware (200), die ein Steuer-Hardware-Modul (300), das ein internes Netzwerk (600) des Medizingeräts bedient, und ein Gate-Control-Hardware-Modul (400), das ein Kommunikationsnetzwerk (500) bedient, umfasst, wobei das Steuer-Hardware-Modul und die Gate-Control-Hardware-Modul so zueinander angeordnet sind, dass eine vollständige Trennung von Kommunikationsnetzwerk und internem Netzwerk des Medizingeräts erfolgt, und das Gate-Control-Hardware-Modul eine Sicherheitsinstanz zwischen dem Kommunikationsnetzwerk und dem internen Netzwerk des Medizingeräts bildet. Die Aufgabe wird weiterhin gelöst durch ein Verfahren zur Steuerung eines Medizingerätes, in dem die medizinisch relevante Software in einem internen Netzwerk des Medizingerätes betrieben wird, das vollständig getrennt ist von einer Gate-Control, mittels der das Medizingerät mit einem externen Kommunikationsnetzwerk kommuniziert und die das Medizingerät gegenüber dem externen Kommunikationsnetzwerk absichert.

Description

Computer-Hardware für ein computergesteuertes Medizingerät und Verfahren zur Steuerung eines computergesteuerten Medizingeräts
Die vorliegende Erfindung betrifft eine Computer-Hardware für ein computergesteuertes Medizingerät, ein computergesteuertes Medizingerät und ein Verfahren zur Steuerung eines computergesteuerten Medizingerätes.
Moderne medizinische Lösungen benötigen Konnektivität. Dazu müssen diese Medizingeräte vernetzt werden. Die Vernetzung solcher Systeme ist technisch möglich (typisch LAN/WAN/WLAN etc.), jedoch besteht dadurch die Gefahr der Manipulation von Funktionen oder Daten auf den Medizingeräten. Um diese Gefährdungen zu minimieren sind Absicherungen der Geräteschnittstellen notwendig, die aufgrund ständig neuer externer Bedrohungen regelmäßig aktualisiert werden müssen. In der Regel wird dabei das Betriebssystem des jeweiligen Gerätes aktualisiert. Das Betriebssystem eines Medizingerätes stellt aber auch die Grundlage für die medizinisch relevante Software dar, so dass Veränderungen hier eine umfangreiche Neu-Verifikation der Gesamt-Software des Medizingerätes erfordern. Eventuell könnte sogar eine neuere Version des Betriebssystems die bestehende Computer-Hardware nicht mehr unterstützen, so dass auch die Hardware des Medizingerätes verändert werden muss. Der Austausch von Komponenten mit größerer Leistungsaufnahme ist aber zulassungsrelevant (List of critical components), so dass hier schnell große Aufwände entstehen können.
Nur eine generelle Absicherung eines Kommunikationsnetzwerkes, wie zum Beispiel eines Klinik-Kommunikationsnetzwerkes zu schaffen, jedoch ein Medizingerät 100A mit einem Steuer-Computer 300A mit medizinisch relevanter Software 600A ohne Absicherung gegen mögliche Angriffe aus dem verbundenen Klinik- Kommunikationsnetzwerk 500A zu betreiben, wie in Fig 1a gezeigt, ist mittlerweile kaum noch möglich. Die in letzter Zeit gehäuften Hackerangriffe auf Klinik- Kommunikationsnetzwerke 500A zeigen die Notwendigkeit, Medizingeräte 100A mit einem Schutz der internen Gerätefunktionalität auszustatten. Auch regulatorisch werden konkrete Schutzmechanismen inklusive Netzwerkabsicherung gefordert. Eine Firewall 700B als ein mögliches Sicherungssystem vor dem Medizingerät 100B selbst, bzw. konkret vor dessen Steuer-Computer 300B mit dessen medizinisch relevanter Software 600B, wie in Fig. 1b dargestellt, beschränkt den Netzwerkzugriff auf das Klinik-Kommunikationsnetzwerk 500B basierend auf festen Regeln für den Datenverkehr. Sicherheitslücken der dahinterliegenden Dienste bleiben aber bestehen. Bei Ausnutzung der Sicherheitslücken oder Überwindung der Firewall 700B ist ein direkter Zugriff auf den Steuer-Computer 300B des Medizingerätes 100B möglich.
Angriffe auf den Steuer-Computer 300C eines Medizingerätes 100C, auf denen sowohl die medizinisch relevante Gerätesoftware 600C als auch die Firewall 700C läuft, wie in der Fig. 1c gezeigt, haben größere Möglichkeiten als bei getrennten Lösungen, durch Software-Fehler der Firewall 700C als auch anderer Dienste den Schutz zu manipulieren und zu umgehen. Damit würden potentielle Angreifer direkten Zugriff auf den Steuer-Computer 700C des Medizingerätes 100C erhalten. Updates der Firewall 700C und des Betriebssystems des Steuer-Computers 300C sind weiterhin notwendig und können auch hier zu Inkompatibilitäten mit der bestehenden Hardware führen.
Aufgabe der vorliegenden Erfindung ist es deshalb, eine Computer-Hardware für ein computergesteuertes Medizingerät so zu konfigurieren, dass eine von außerhalb des Medizingerätes gesteuerte Manipulation von medizinisch relevanter Software, insbesondere aus einem externen Kommunikationsnetzwerk, ausgeschlossen ist. Zudem soll ein entsprechendes Verfahren zur Steuerung eines computergesteuerten Medizingerätes beschrieben werden.
Die Erfindung ist in den unabhängigen Ansprüchen definiert. Die abhängigen Ansprüche betreffen bevorzugte Weiterbildungen.
Eine erfindungsgemäße Computer-Hardware für ein computergesteuertes Medizingerät umfasst ein Steuer-Hardware-Modul, das ein internes Netzwerk des Medizingeräts bedient, und ein Gate-Control-Hardware-Modul, das ein Kommunikationsnetzwerk bedient. Das Steuer-Hardware-Modul und die Gate- Control-Hardware-Modul sind dabei so zueinander angeordnet, dass eine vollständige logische und physische Trennung von Kommunikationsnetzwerk und internem Netzwerk des Medizingeräts erfolgt, und das Gate-Control-Hardware-Modul eine Sicherheitsinstanz zwischen dem Kommunikationsnetzwerk und dem internen Netzwerk des Medizingeräts bildet. Das Gate-Control-Hardware-Modul wirkt also nicht nur als eine Art „Schaltmodul“, das ggf., wenn vom Bediener gewünscht, auch „ausgeschaltet“ bzw. umgangen werden könnte und somit ein direkter Weg zwischen dem Kommunikationsnetzwerk und dem internen Netzwerk freigemacht werden könnte. Es ist vielmehr der alleinige Weg zwischen Kommunikationsnetzwerk und internen Netzwerk, dessen Kontrolle und Blockierung eines direkten Zugriffs aus dem Kommunikationsnetzwerk heraus, ohne dass es dafür eine Anforderung aus dem internen Netzwerk gibt, nicht „ausgeschaltet“ bzw. anderweitig umgangen werden kann. Diese Sicherheitsinstanz macht einen automatischen oder auch nur versehentlichen Zugriff auf das Steuer- Hardware-Modul und damit auch auf das interne Netzwerk des Medizingerätes unmöglich: Sie sorgt dafür, dass aus dem externen Kommunikationsnetzwerk kommende Daten, Updates und andere Anfragen nur auf explizite Anforderung (durch den Bediener oder das Medizingerät selbst) in das interne Netzwerk gelangen oder Daten vom internen Netzwerk in das externe Kommunikationsnetzwerk abgegeben werden, indem beispielsweise ein Bediener durch mehrfache aktive Bestätigung dies auslöst oder das Medizingerät selbst aus seinem internen Netzwerk heraus eine solche Prozedur startet.
Bei dem Kommunikationsnetzwerk handelt es sich insbesondere um ein Klinik- Kommunikationsnetzwerk. Dieses kann ein gegenüber einem öffentlichem Kommunikationsnetzwerk komplett getrenntes Kommunikationsnetzwerk sein, oder aber ein Kommunikationsnetzwerk, das auch Zugang zu einem allgemeinen, öffentlichen Kommunikationsnetzwerk bietet, der wiederum direkt sein kann oder aber mittels mindestens einer zusätzlichen Kontrollinstanz gegenüber dem öffentlichen Kommunikationsnetzwerk abgesichert sein kann. Ein Kommunikationsnetzwerk beinhaltet dabei ein Netzwerk, das Daten zur Verfügung stellt, abfragt und weiterleitet, dass aber auch Steuerbefehle zur Verfügung stellt, abfragt und weiterleitet. Das interne Netzwerk des Medizingeräts umfasst die Steuerung sämtlicher Komponenten des Medizingeräts, die für seine medizinische Nutzung erforderlich sind. Der Begriff „Steuerung“ beinhaltet dabei sowohl die Ansteuerung aller relevanten Komponenten des Medizingerätes (bei einem ophthalmologischen Lasertherapiesystem beispielsweise die Ansteuerung des Lasers, der Scanner, der Optik, aber auch integrierter Untersuchungseinrichtungen), als auch die Datenerfassung, Datenverarbeitung und Datenausgabe vor, während oder nach dem Einsatz des Medizingerätes.
Das Steuer-Hardware-Modul kann, um sämtliche Komponenten des Medizingerätes zu steuern, ein einziges zentrales Modul umfassen, die alle Komponenten bedient. In diesem Fall ist das interne Netzwerk des Medizingerätes ein ideelles Netzwerk auf dem Steuer-Hardware-Modul. Bevorzugt umfasst das Steuer-Hardware-Modul jedoch mehrere Steuer-Hardware-Modul-Bausteine, die auch räumlich voneinander getrennt sein können und untereinander kommunizieren, so dass das interne Netzwerk des Medizingerätes in diesem Fall ein reales Netzwerk ist.
Es erfolgt also eine Segregation zwischen dem medizinisch relevanten Bereich des Medizingerätes mit der entsprechend relevanten Software zum Aufrufen der Funktionen des Medizingeräts und dem Bereich des Medizingerätes, der die Funktionalitäten für die Konnektivität, also der Kommunikation des Medizingeräts mit dem Klinik-Kommunikationsnetzwerk, enthält. Das Gate-Control-Hardware-Modul schützt dadurch Geräteschnittstellen des Medizingeräts vor äußeren Angriffen.
Das Gate-Control-Hardware-Modul stellt also eine Sicherheitsinstanz des Medizingerätes dar, die leicht und ohne vollständige Verifikation der medizinisch relevanten Hard- und Software des Medizingerätes mit Sicherheits-Updates versorgt und ausgetauscht werden kann.
Besonders bevorzugt ist die Computer-Hardware eingerichtet, die Steuerung des Gate-Control-Hardware-Moduls ausschließlich aus dem internen Netzwerk des Medizingeräts zu betreiben. Während alle Kommunikationsnetzwerkdienste auf dem Gate-Control-Hardware- Modul realisiert sind, wird dieses selbst jedoch ausschließlich aus dem internen Netzwerk des Medizingeräts mittels des Steuer-Hardware-Moduls gesteuert, was verhindert, dass es durch äußere Manipulation, also beispielsweise mittels unerlaubten Eindringens auf das Medizingerät über das Kommunikationsnetzwerk, nicht korrumpiert werden kann.
Sehr vorteilhaft ist eine Computer-Hardware, die so ausgebildet ist, dass benötigte Daten über proprietäre Protokolle in das interne Netzwerk des Medizingeräts weitergeleitet werden.
Es gibt also keinen Netzwerk-Gateway, über den Daten unkontrolliert in das interne Netzwerk des Medizingeräts gelangen könnten. Dabei sind jedoch Variationen im Protokoll zwischen dem externen Kommunikationsnetzwerk und dem internen Netzwerk des Medizingerätes, also Variationen des Protokolls bzw. des Interfaces zwischen dem Gate-Control-Hardware-Modul und dem Steuer-Hardware-Modul des Medizingerätes, möglich, wie zum Beispiel Ethernet, CAN, SPI, I2C, RS485, RS232.
In einer Ausführungsform der erfindungsgemäßen Computer-Hardware ist die Leistungsaufnahme des Gate-Control-Hardware-Moduls begrenzt. Besonders bevorzugt ist dabei die Leistungsaufnahme des Gate-Control-Hardware-Moduls kleiner als 15W bei einer Stromstärke von kleiner 7A.
Dadurch werden Änderungen am Gate-Control-Hardware-Modul regulatorisch und/oder normativ irrelevant.
Von besonderem Vorteil ist eine erfindungsgemäße Computer-Hardware für ein computergesteuertes Medizingerät, die eingerichtet ist, Sicherheits-Aktualisierungen ausschließlich für die Software des Gate-Control-Hardware-Moduls anzuwenden.
Eine Sicherheits-Aktualisierung, ein sogenanntes Security-Update, für die Software, einschließlich des Betriebssystems, ist damit leicht ausführbar, ohne die medizinisch relevante Software auf dem Steuer-Hardware-Modul, das das interne Netzwerk des Medizingeräts bedient, zu gefährden. Damit kann ein Betriebssystem genutzt werden, das regelmäßige Sicherheits- Updates und/oder Long-Term-Support umfasst.
Variationen des verwendeten Betriebssystems der Gate-Control-Hardware-Moduls sind damit zudem grundsätzlich möglich.
In einer Ausführungsform der erfindungsgemäßen Computer-Hardware ist zusätzlich eine Firewall in Hardware und/oder Software implementiert.
Eine Firewall zur weiteren Erhöhung des Schutzes des Medizingerätes vor externen Angriffen oder auch nur vor von extern eingetragenen Fehlfunktionen kann als zusätzliches Hardware-Modul zwischen dem Gate-Control-Hardware-Modul und dem Steuer-Hardware-Modul oder dem Kommunikationsnetzwerk und dem Gate-Control- Hardware-Modul bereitgestellt werden. Eine Firewall kann jedoch auch als Software in einem Gate-Control-Hardware-Modul oder einem Steuer-Hardware-Modul realisiert sein.
Vorteilhaft ist eine erfindungsgemäße Computer-Hardware, die eingerichtet ist, Schnittstellen des Medizingerätes zur Übertragung von Daten dadurch abzusichern, dass von dem Gate-Control-Hardware-Modul Daten-Dienste bereitgestellt werden.
Solche Schnittstellen, auch Interfaces genannt, können beispielsweise USB- Schnittstellen sein.
Weiterhin günstig ist eine Computer-Hardware für ein computergesteuertes Medizingerät, die eingerichtet ist, die Stromversorgung des Gate-Control-Hardware- Moduls aus der Stromversorgung des Medizingerätes abzuleiten.
Dies kann beispielsweise durch Verwendung von Power over Ethernet (PoE) erfolgen. Damit wird verhindert, dass das Gate-Control-Hardware-Modul betrieben werden kann, ohne dass das Medizingerät in Betrieb ist. Dies ist eine weitere Maßnahme, um eine die Gefahr einer Manipulation des Medizingerätes weiter zu verringern. Eine weitere Maßnahme, Manipulationen des Medizingerätes zu verhindern, besteht in der Minimierung von Netzwerkdiensten, die durch die Gate-Control-Software auf dem Gate-Control-Hardware-Modul bereitgestellt werden. Der Austausch von Daten des Medizingerätes über das Kommunikationsnetzwerk wird also ermöglicht, aber auf das absolut notwendige Minimum begrenzt.
Eine alternative Lösung zu einem in das Medizingerät integrierten Gate-Control- Hardware-Modul bietet eine Computer-Hardware, in der das Gate-Control-Hardware- Modul aus dem Medizingerät ausgelagert angeordnet ist und eine mechanische Sicherung der Verbindung zum Steuer-Hardware-Modul des Medizingeräts umfasst. Diese mechanische Sicherung ist so konzipiert, dass es ein unbemerktes „Abklemmen“ des Gate-Control-Hardware-Moduls unmöglich macht. Eine Manipulation des Medizingeräts durch zeitweise unbemerkte „Überbrückung“ des Gate-Control-Hardware-Moduls wird zudem vorzugsweise dadurch ausgeschlossen, dass ein Neustart des Medizingerätes bei einer Trennung der mechanischen Sicherung der Verbindung zwischen Gate-Control-Hardware-Modul und Steuer- Hardware-Modul bzw. einem zeitweisen „Verschwinden“ des Gate-Control-Hardware- Moduls unmöglich gemacht wird.
Die Aufgabe der Erfindung wird auch gelöst durch ein computergesteuertes Medizingerät mit einer erfindungsgemäßen Computer-Hardware wie oben beschrieben. Insbesondere wird sie gelöst durch ein ophthalmologisches Lasertherapiesystem, das eine solche erfindungsgemäße Computer-Hardware enthält.
In einem erfindungsgemäßen Verfahren zur Steuerung eines computergesteuerten Medizingerätes wird die medizinisch relevante Software ausschließlich in einem internen Netzwerk des Medizingerätes betrieben. Das Medizingerät kommuniziert ausschließlich mittels einer Gate-Control mit einem externen Kommunikationsnetzwerk. Diese Gate-Control sichert das Medizingerät gegenüber dem externen Kommunikationsnetzwerk dadurch ab, dass so lange kein Datenverkehr zwischen internem Netzwerk und Gate-Control und damit auch zum externen Kommunikationsnetzwerk zugelassen wird, bis eine Anforderung aus dem internen Netzwerk oder eine qualifizierte manuelle Eingabe eines Bedieners erfolgt. Dabei erfolgt durch die Gate Control eine vollständige logische und physische Trennung von Kommunikationsnetzwerk und internem Netzwerk des Medizingeräts.
Eine Anforderung aus dem internen Netzwerk kann dabei über dort etablierte Routinen erfolgen, während eine qualifizierte manuelle Eingabe ausschließlich mit vom Bediener identifizierenden Mitteln erfolgt und bevorzugt mehrfach passwortgeschützt erfolgen sollte.
Die Funktion der Steuerung der Komponenten des Medizingeräts und damit der medizinisch relevanten Prozesse des Medizingeräts wird also von der Funktion der Konnektivität mit einem externen Kommunikationsnetzwerk und der Absicherung gegenüber diesem externen Netzwerk segregiert. Durch die Gate-Control werden Geräteschnittstellen des Medizingeräts vor äußeren Angriffen geschützt.
Diese Gate Control kann nicht etwa, auch wenn vom Bediener gewünscht, „ausgeschaltet“ bzw. umgangen werden und somit ein direkter Weg zwischen dem Kommunikationsnetzwerk und dem internen Netzwerk freigemacht werden. Ein direkter Zugriff aus dem Kommunikationsnetzwerk heraus, ohne dass es dafür eine Anforderung aus dem internen Netzwerk gibt, wird also stehts blockiert und diese Blockierung kann unter keinen Umständen umgangen werden, da es diesbezüglich keine Möglichkeit zum „Ausschalten“ bzw. Modifizieren hin zu einem direkten Zugriff gibt. Damit werden zwar die Freiheiten des Bedieners eingeschränkt, aber es werden auch irrtümliche Eingriffe des Bedieners, die einen direkten Zugriff aus dem Kommunikationsnetzwerk ermöglichen könnten, verhindert, was die Sicherheit des Medizingeräts bzgl. einer Verhinderung einer irrtümlichen oder böswilligen Manipulation des Medizingeräts aus dem Kommunikationsnetzwerk heraus erhöht.
Besonders vorteilhaft ist es, wenn in einem solchen erfindungsgemäßen Verfahren die Steuerung der Gate-Control ausschließlich aus dem internen Netzwerk des Medizingeräts erfolgt. Weiterhin vorteilhaft ist es, wenn in einem solchen erfindungsgemäßen Verfahren vom Medizingerät benötigte Daten über proprietäre Protokolle in das interne Netzwerk des Medizingeräts weitergeleitet werden.
Auch ist es günstig, wenn in einem Verfahren zur Steuerung eines computergesteuerten Medizingerätes die Leistungsaufnahme eines Gate-Control- Hardware-Moduls begrenzt wird, insbesondere auf eine Leistungsaufnahme kleiner 15W bei einer Stromstärke von kleiner 7A.
Für die Sicherheit des computergesteuerten Medizingerätes ist es besonders günstig, wenn in einem erfindungsgemäßen Verfahren zur Steuerung dieses Medizingerätes Sicherheits-Aktualisierungen von Software, insbesondere des Betriebssystems, ausschließlich für die Gate-Control angewendet werden.
Einen zusätzlichen Schutz bietet ein erfindungsgemäßes Verfahren zur Steuerung dieses Medizingerätes, in dem eine zusätzliche in Hardware und/oder Software implementierte Firewall eingesetzt wird.
In einer Ausgestaltung des erfindungsgemäßen Verfahrens zur Steuerung eines Medizingerätes werden Netzwerkdienste, die durch die Gate-Control, insbesondere die Software der Gate-Control, bereitgestellt werden, systematisch minimiert.
In einer weiteren Ausgestaltung des erfindungsgemäßen Verfahrens zur Steuerung eines Medizingerätes stellt die Gate-Control Daten-Dienste bereit, um die Übertragung von Daten über Schnittstellen des Medizingerätes abzusichern.
Weiterhin günstig ist ein Verfahren zur Steuerung eines Medizingerätes, in dem die Stromversorgung der Gate-Control aus der Stromversorgung des Medizingeräts abgeleitet wird, insbesondere durch Verwendung von Power over Ethernet (PoE).
Nachfolgend wird die Erfindung beispielsweise anhand der beigefügten Figuren, die auch erfindungswesentliche Merkmale offenbaren, noch näher erläutert. Die Fig. 1a bis 1c zeigen Lösungen einer Computersteuerung für ein computergesteuertes Medizingerät nach dem Stand der Technik wie oben bereits beschrieben.
Die Fig. 2 zeigt eine erfindungsgemäße Computer-Flardware 200 für ein computergesteuertes Medizingerät 100, das hier insbesondere ein ophthalmologisches Lasertherapiesystem 100 darstellen kann. Diese Computer- Hardware 200 umfasst ein Steuer-Hardware-Modul 300, das ein internes Netzwerk 600 des Medizingeräts bedient, und ein Gate-Control-Hardware-Modul 400, das ein Kommunikationsnetzwerk 500 bedient. Dabei sind das Steuer-Hardware-Modul 300 und die Gate-Control-Hardware-Modul 400 so zueinander angeordnet, dass eine vollständige logische und vorzugsweise auch physische Trennung von Kommunikationsnetzwerk 500 und internem Netzwerk 600 des Medizingeräts erfolgt, und das Gate-Control-Hardware-Modul 400 eine Sicherheitsinstanz zwischen dem Kommunikationsnetzwerk 500 und dem internen Netzwerk 600 des Medizingeräts 100 bildet. Das Gate-Control-Hardware-Modul unterhält dabei die Schnittstellen 900 des computergesteuerten Medizingerätes zum externen Kommunikationsnetzwerk, also in diesem Falle dem Klinik-Kommunikationsnetzwerk. Es unterhält weiterhin Schnittstellen 800 zum internen Netzwerk 600 des Medizingerätes 100.
Dabei erfolgt in diesem Fall die Steuerung des Gate-Control-Hardware-Moduls 400 ausschließlich aus dem internen Netzwerk 600 des Medizingeräts 100, das durch das Steuer-Hardware-Modul 300 gesteuert wird. Vom Medizingerät 100 benötigte Daten werden über proprietäre Protokolle in das interne Netzwerk 600 des Medizingeräts 10Oweitergeleitet.
Zudem enthält die erfindungsgemäße Computer-Hardware 200 optional eine Firewall 700, 700‘, die als externe Firewall 700 hardwaretechnisch ausgebildet vor das Gate- Control-Hardware-Modul gestellt ist und/oder als interne Firewall über eine entsprechende Software im Gate-Control-Hardware-Modul 400 dargestellt ist.
In der Fig. 3 ist ein ophthalmologisches Lasertherapiesystem 100, also ein beispielhaftes spezielles computergesteuertes Medizingerät, näher beschrieben, um zu zeigen, wie weitgehend die medizinisch relevanten Funktionen eines solchen Medizingerätes, insbesondere eines Medizingerätes mit therapeutischen Funktionen, sind.
Das beispielhafte ophthalmologische Lasertherapiesystem 100 erzielt eine Korrektur des Sehvermögens eines Patientenauges mittels eines Lasersystems, insbesondere mittels eines gepulsten und fokussierten Femtosekunden-Laserstrahls, der in seinem Fokuspunkt Gewebe innerhalb des Auges, insbesondere innerhalb der Hornhaut und/oder der Linse des Patientenauges trennt. Eine Korrektur der Fehlsichtigkeit kann beispielsweise mittels einer Separation eines schmalen Lentikels in der Hornhaut und darauffolgender Extraktion des Lentikels über eine kleine Öffnung in der Hornhaut erfolgen.
Das ophthalmologische Lasertherapiesystem 100 der Fig. 3 zeichnet sich aus durch einen am Gerätekopf 1 um eine horizontale Achse 4 schwenkbar befestigten Laserschwenkarm 3, der zwischen einer Ruheposition und einer Arbeitsposition hin- und hergeschwenkt werden kann. Da dieser Laserschwenkarm 3 für die Lasertherapie am Patientenauge über den Patienten geschwenkt wird, in Schritten jedoch, in denen der Laserschwenkarm 3 nicht benötigt wird, in eine Ruheposition zurückverbracht werden kann, um den Raum über der Arbeitsposition anderweitig zu nutzen, wird der Laserschwenkarm 3 dadurch geschützt, dass der Laserschwenkarm 3 von einem Schwenkarmgehäuse 6 umfasst ist, das koaxial zum Laserschwenkarm 3 am Gerätekopf 1 schwenkbar befestigt ist („Arm-in-Arm-Prinzip“).
Das Schwenkarmgehäuse 6 weist eine Laseraustrittsöffnung 8 auf, die so positioniert ist, dass sie bei in Arbeitsposition verbrachtem Laserschwenkarm 3 auf das zu behandelnde Auge eines Patienten gerichtet ist, der auf der Patientenliege 5 entsprechend platziert und positioniert werden kann.
Das ophthalmologische Lasertherapiesystems 100 setzt sich dabei zusammen aus einer Gerätebasis 2 und einem auf dieser Gerätebasis 2 in der Höhe über einer Bodenebene, also der z-Richtung, und in seiner Position in der Ebene, also in x- und y-Richtung, verstellbaren Gerätekopf 1. Der Gerätekopf 1 enthält einen ersten Teil der zur Durchführung der Lasertherapie erforderlichen Lasertherapieoptik. Der Gerätekopf 1 enthält im Ausführungsbeispiel auch die zur Erzeugung eines entsprechenden gepulsten Laserstrahls erforderliche Laserquelle, die hier eine Femtosekunden-Laserquelle ist.
Der zweite Teil der Lasertherapieoptik ist in einem Laserschwenkarm 3 um eine horizontale erste Achse 4 drehbar gelagert. Der Laserschwenkarm 3 kann um diese erste Achse 4 von einer Ruheposition, in der er ungefähr senkrecht nach oben ragt, in eine Arbeitsposition, in der er etwa waagerecht am Gerätekopf 1 , also etwa parallel zur Bodenebene, angeordnet ist, sowie zurück geschwenkt werden.
Wird neben dem Laserschwenkarm 3 des Weiteren Gebrauch gemacht von einem weiteren selbständigen Untersuchungsschwenkarm 14, der insbesondere ein Operationsmikroskop 15 enthält, so sind dieser um eine Achse derart schwenkbar angeordnet, dass sämtliche Arbeitsschritte einer Lasertherapie am Auge eines Patienten so ausgeführt werden können, dass der Wirkungsort aller Arbeitsschritte unter Zuhilfenahme des Laserschwenkarms 3 bzw. des Untersuchungsschwenkarms 6 immer fest bleibt, die Position des Patientenauges während der gesamten Lasertherapie also nicht verändert werden muss. Die Position des Patientenauges im ersten Arbeitsschritt bestimmt die Position aller nachfolgenden Arbeitsschritte und damit den Wirkungsort ihrer jeweils notwendigen Einrichtungen an den verschiedenen Schwenkarmen 3, 14. Dies wird ermöglichst durch eine spezielle Anordnung 300 der Schwenkachsen 4, 16 der verschiedenen Schwenkarme 3, 14 zueinander am Gerätekopf 1 des ophthalmologischen Lasertherapiesystems 100, wobei die erste Achse 4 des Laserschwenkarms 3 und die zweite Achse 16 des Untersuchungsschwenkarms 14 am Gerätekopf 1 eine entsprechende Anordnung 300 zueinander aufweisen, und sowohl ein am Schwenkarmgehäuse 6 beweglich befestigter Therapiebildschirm 12 mit der Bewegung des Schwenkarmgehäuse 6 als auch das Operationsmikroskop 15, das beweglich befestigt ist am Untersuchungsschwenkarm 14, mit der Bewegung des Untersuchungsschwenkarms 14 so gekoppelt sind, das der Therapiebildschirm 12 wie auch das Operationsmikroskop 15 stets unverkippt erhalten bleiben.
Je nach Therapieschritt befindet sich dabei einer der beiden Arme, also entweder der Laserschenkarm 3 oder der Untersuchungsschwenkarm 14 in Arbeitsposition über den Patienten geschwenkt und der andere der beiden Arme in Ruheposition (hochgeklappt). Das gesamte ophthalmologische Lasertherapiesystem 100 wird dabei von einer erfindungsgemäßen Computer-Hardware 200 gesteuert, wie sie in Fig. 2 beschrieben ist, und die im Inneren des ophthalmologischen Lasertherapiesystems 100 angeordnet ist und mehrere Module umfasst, die räumlich und funktionell voneinander getrennt sind.
Im Folgenden wird nun ein typischer Behandlungsablauf, wie er beispielsweise für die Separation eines Lentikels in der Hornhaut eines Patientenauges und die anschließende Extraktion des Lentikels durch eine schmale Öffnung erfolgen kann, unter Nutzung eines oben beschriebenen ophthalmologischen Lasertherapiesystems 100 beschrieben:
Zunächst erfolgt die Planung der Behandlungs- bzw. Therapieparameter an einem Planungsbildschirm 31, der in diesem Ausführungsbeispiel ebenfalls direkt am ophthalmologischen Lasertherapiesystem 100 angeordnet ist. Alternativ kann der Planungsbildschirm 31 aber auch vom ophthalmologischen Lasertherapiesystem 100 räumlich getrennt sein. Während der Planung befindet sich das ophthalmologische Lasertherapiesystem 100 vorzugsweise im einer Standby-Position, d.h. , der Laserschwenkarm 3 wie ggf. auch der Untersuchungsschwenkarm 14 ist in Ruheposition am System vertikal hochgeschwenkt.
Der Patient wird auf der Patientenliege 5 platziert. Aufgrund des hochgeschwenkten Laserschwenkarms 3 ist dies bequem möglich.
Der Operateur positioniert dann die Höhe des Gerätekopfes 1 mittels eines Joysticks 10 an diesem Gerätekopf 1, mit dem die Translationsbewegung des Gerätekopfes 1 über der Gerätebasis 2 gesteuert werden kann. Dabei orientiert er sich an dem von der Kamera 9 gelieferten Bild, welches auf dem Therapiebildschirm 12 und/oder auf dem Planungsbildschirm 31 inklusive eines überlagerten Sinnbildes eines heruntergeschwenkten Laserschwenkarmes 3 sichtbar ist. Alternativ zum Joystick kann in anderen Ausführungen die Positionierung auch durch Eingaben an einem der beiden Bildschirme 12, 31 oder über Tasten am Lasertherapiesystem 100 geschehen. Der Operateur löst das motorische Herunterschwenken des Laserschwenkarms 3 in und gemeinsam mit seinem Schwenkarmgehäuse 6 aus; ein entsprechender hierfür verwendeter Taster ist in den Figuren nicht dargestellt. Durch die Vorpositionierung und die noch eingezogene Laseraustrittsöffnung 8 des Laserschwenkarms verbleibt ein Freiraum zwischen der Laseraustrittsöffnung 8 und dem Patientenauge, der günstig zwischen 50mm und 150mm groß ist.
Falls dies noch nicht in der Ruheposition des Laserschwenkarms 3 geschehen ist, wird nun ein Kontaktglas an die Laseraustrittsöffnung 8 angesetzt. Das Festhalten des Kontaktglases an der Laseraustrittsöffnung 8 erfolgt mittels eines Unterdrucks. Das Ein- und Ausschalten des Festhaltens mittels eines Unterdrucks geschieht dabei, indem das Kontaktglas gegen die Laseraustrittsöffnung 8 gedrückt wird, diese dabei in ihrer eingezogenen Stellung noch geringfügig bewegt wird und den Schaltvorgang auslöst. Dies ist vorteilhaft gegenüber bislang üblichen Lasertherapiesystemen: Dort wird das Festhalten des Kontaktglases separat geschaltet. Somit passiert es, dass das Kontaktglas beim Lösen herunterfällt. In der hier beschriebenen Lösung hat der Operateur bzw. Bediener das Kontaktglas beim Schaltvorgang hingegen immer in der Hand.
Der Operateur veranlasst dann die Freigabe der Bewegung des Laserschwenkarms 3 innerhalb des Schwenkarmgehäuses 6 mittels einer Joystickdrehung des Joysticks 11 am Schwenkarmgehäuse 6, oder alternativ mittels eines nicht dargestellten separaten Tasters. In anderen Ausführungen ist auch ein automatisches Auslösen der Bewegung durch das angesetzte Kontaktglas möglich. Die Laseraustrittsöffnung 8 mit dem Kontaktglas bewegt sich dabei auf das Auge zu.
Schließlich erfolgt die Andockphase, also die Phase, in der das Kontaktglas fixiert wird: Der Operateur steuert dabei mit dem Joystick 11 unter Beobachtung mittels des Videomikroskops 13 das Kontaktglas auf das Auge des Patienten. Bei Erreichen der richtigen Position wird die Fixierung des Auges durch ein Ansaugen des Auges am Kontaktglas mit einem Taster am Joystick 11 veranlasst. In einer Ausgestaltung ist es möglich, die richtige Positionierung bzw. Zentrierung des Kontaktglases oder eines anderen Patienteninterfaces auf dem Auge unterstützen, indem das Videomikroskop- Bild verarbeitet und zur Steuerung des Gerätekopfes 1 herangezogen wird. Damit kann nun schließlich der eigentliche Lasertherapieschritt durch Einschalten des Laserstrahls, der durch die Lasertherapieoptiken und die Laseraustrittsöffnung geleitet und im Patientenauge fokussiert wird, mittels eines Fußschalters, der hier nicht dargestellt wird, gestartet werden.
Nach Abschluss dieses Lasertherapieschritts wird das Ansaugen des Auges mittels des Unterdrucks gelöst, indem hier wieder der Druck erhöht wird, der Laserschwenkarm 3, und damit auch die Laseraustrittsöffnung 8, wieder in das Schwenkarmgehäuse 6 eingeschwenkt und der Gerätekopf 1 durch ein Verfahren in z-Richtung etwas hochgefahren. Damit ist wieder ein Sicherheitsabstand zum Auge vorhanden. Das Kontaktglas oder das Patienteninterface kann von der Laseraustrittsöffnung 8 abgenommen werden, wobei die Freigabe durch ein kurzes Drücken nach oben erfolgt.
Der Laserschwenkarm 3 wird nun zusammen mit seinem Schwenkarmgehäuse 6 wieder hochgeschwenkt, der Freiraum über dem Patienten ist wiederhergestellt. Es können nun weitere Arbeitsschritte durchgeführt werden, oder der Patient kann seine Position auf der Patientenliege 5 verlassen. Das Hochschwenken des Laserschwenkarms 3 mit seinem Schwenkarmgehäuse 6 wird elektronisch, hier durch einen Tastendruck, initiiert. Alternativ kann der Laserschwenkarms 3 mit seinem Schwenkarmgehäuse 6 manuell angeschoben werden, ein Positionssensor am Schwenkarmgehäuse erkennt dies, daraufhin übernimmt ein Motor die Bewegung.
Sollen jedoch beide Augen eines Patienten behandelt werden, so kann vor dem Hochschwenken des Laserschwenkarms 3 mit seinem Schwenkarmgehäuse 6 in seine Ruheposition der Gerätekopf 1 durch eine Translationsbewegung in x- und/oder y-Richtung über der Gerätebasis 2 so bewegt werden, dass der Laserschwenkarm 3 mit seinem Schwenkarmgehäuse 6 über dem anderen Auge positioniert wird. Eine Behandlung des zweiten Auges kann dann in gleicher Weise erfolgen, indem ein neues Kontaktglas oder Patienteninterface an der Laseraustrittsöffnung 8 und mittels eines Unterdrucks festgehalten wird, und alle daraufhin folgenden Schritte wie oben beschrieben ausgeführt werden. Am Gerätekopf 1 ist in diesem Ausführungsbeispiel eines erfindungsgemäßen ophthalmologischen Lasertherapiesystems 100 weiterhin auch ein Untersuchungsschwenkarm 14 um eine zweite Achse 16 schwenkbar befestigt, der eine Untersuchungseinrichtung, in diesem Fall ein Operationsmikroskop 15, enthält. Ein solches Operationsmikroskop ist beispielsweise für den zweiten Hauptarbeitsschritt der „SMILE“-Behandlung erforderlich oder zumindest angeraten. Dazu wird die Behandlung nach dem Hochschwenken des Laserschwenkarms 3 mit seinem Schwenkarmgehäuse 6 in seine Ruheposition nach der Beendigung des eigentlichen Lasertherapieschritts wie hier beschrieben, folgendermaßen fortgesetzt:
Der Operateur initiiert das motorische Herunterschwenken des Untersuchungsschwenkarms 14 durch Tastendruck. Der Motor bewegt den Untersuchungsschwenkarm 14 in seine Arbeitsposition, wo er auf einem Anschlag aufliegt. Die Arbeitsposition ist durch die günstige Wahl der Lage der beiden Schwenkachsen, also der ersten Achse 4 und der zweiten Achse 16 und die durch den Anschlag bestimmte Endposition des Untersuchungsschwenkarms 14 so bestimmt, dass das weiter zu behandelnde Auge direkt nach dem Herunterschwenken des Untersuchungsschwenkarmes 14 im Untersuchungsvolumen des Operationsmikroskops 15 liegt.
Geringfügige Korrekturen, sofern nötig, sind durch die Verstellung der Position des Gerätekopfes 1 zur Gerätebasis 2 mittels Translationsbewegungen möglich. Hierzu dient entweder der an der Gerätebasis 2 vorhandene Joystick 10, ein separates Fußschaltpult oder ein am Operationsmikroskop 15 vorhandener Joystick.
Ist der Untersuchungsschwenkarm 14 mit dem Operationsmikroskop 15 entsprechend positioniert, wird durch den Operateur die Lentikelextraktion durchgeführt.
Nach Beendigung der Lentikelextraktion wird der Untersuchungsschwenkarm 14 mit dem Operationsmikroskop 15 motorisch hochgeschwenkt und damit in seine Ruheposition zurückgeschwenkt. Dies kann mittels eines Tastendrucks oder aber - wie oben schon beschrieben für das Schwenkarmgehäuse 6 und den Laserschwenkarm 3 - durch ein Anschieben initiiert werden. Der Freiraum über dem Patienten ist damit wiederhergestellt.
Die meisten dieser Arbeitsschritte bergen Gefahren für den Patienten, wenn die Steuerung des internen Netzwerkes 600 des ophthalmologischen Lasertherapiesystems 100 korrumpiert ist: Bei Lagebewegungen kann dies zu Quetschungen des Patientenauges führen, die Fixierung des Patientenauges am Kontaktglas kann während der Therapie gelöst werden, auch der Einsatz des Therapielaserstrahls kann bei fehlerhafter Weitergabe der Charakterisierungsdaten des Auges oder aber bei fehlerhafter Übermittlung von Steuerdaten des ophthalmologischen Lasertherapiesystems an anderer Stelle erfolgen als geplant, falsche Messwerte können zu falschen Therapiedurchführungen führen. Deshalb werden all diese Funktionen nun gesondert geschützt durch die erfindungsgemäße Computer-Hardware und ein entsprechendes Verfahren zur Steuerung eines computergesteuerten Medizingerätes wie oben beschrieben.
Die vorstehend genannten und in verschiedenen Ausführungsbeispielen erläuterten Merkmale der Erfindung sind dabei nicht nur in den beispielhaft angegebenen Kombinationen, sondern auch in anderen Kombinationen oder allein einsetzbar, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
Eine auf Verfahrensmerkmale bezogene Beschreibung einer Vorrichtung gilt bezüglich dieser Merkmale analog für das entsprechende Verfahren, während Verfahrensmerkmale entsprechend funktionelle Merkmale der beschriebenen Vorrichtung darstellen.

Claims

Patentansprüche
1. Computer-Hardware (200) für ein computergesteuertes Medizingerät (100), die ein Steuer-Hardware-Modul (300), das ein internes Netzwerk (600) des Medizingeräts bedient, und ein Gate-Control-Hardware-Modul (400), das ein Kommunikationsnetzwerk (500) bedient, umfasst, wobei das Steuer-Hardware-Modul (300) und die Gate-Control-Hardware-Modul (400) so zueinander angeordnet sind, dass eine vollständige logische und physische Trennung von Kommunikationsnetzwerk (500) und internem Netzwerk (600) des Medizingeräts erfolgt, und das Gate-Control-Hardware-Modul (400) eine Sicherheitsinstanz zwischen dem Kommunikationsnetzwerk (500) und dem internen Netzwerk (600) des Medizingeräts (100) bildet.
2. Computer-Hardware (200) nach Anspruch 1 , die eingerichtet ist, die Steuerung des Gate-Control-Hardware-Moduls (400) ausschließlich aus dem internen Netzwerk (600) des Medizingeräts zu betreiben.
3. Computer-Hardware (200) nach Anspruch 1 oder 2, die so ausgebildet ist, dass benötigte Daten über proprietäre Protokolle in das interne Netzwerk (600) des Medizingeräts weitergeleitet werden.
4. Computer-Hardware (200) nach einem der Ansprüche 1 bis 3, in der die Leistungsaufnahme des Gate-Control-Hardware-Moduls (400) begrenzt ist, insbesondere in dem die Leistungsaufnahme des Gate-Control-Hardware-Moduls (400) kleiner als 15W bei einer Stromstärke von kleiner 7A ist.
5. Computer-Hardware (200) nach einem der Ansprüche 1 bis 4, die eingerichtet ist, Sicherheits-Aktualisierungen für die Software des Gate-Control-Hardware-Moduls (400) anzuwenden.
6. Computer-Hardware (200) nach einem der Ansprüche 1 bis 5, wobei zusätzlich eine Firewall (700, 700‘) in Hardware und/oder Software implementiert ist.
7. Computer-Hardware (200) nach einem der Ansprüche 1 bis 6, die eingerichtet ist, Schnittstellen des Medizingerätes (800, 900) zur Übertragung von Daten dadurch abzusichern, dass von Gate-Control-Hardware-Modul (400) Daten-Dienste bereitgestellt werden.
8. Computer-Hardware (200) nach einem der Ansprüche 1 bis 7, die eingerichtet ist, die Stromversorgung des Gate-Control-Hardware-Moduls (400) aus der Stromversorgung des Medizingerätes (100) abzuleiten.
9. Computer-Hardware (200) nach einem der Ansprüche 1 bis 8, wobei das Gate- Control-Hardware-Modul (400) aus dem Medizingerät (100) ausgelagert angeordnet ist und eine mechanische Sicherung zum Steuer-Hardware-Modul (300) des Medizingeräts (100) umfasst.
10. Computergesteuertes Medizingerät (100), insbesondere ophthalmologisches Lasertherapiesystem, mit einer Computer-Hardware (200) gemäß einem der Ansprüche 1 bis 9.
11. Verfahren zur Steuerung eines computergesteuerten Medizingerätes, in dem die medizinisch relevante Software ausschließlich in einem internen Netzwerk (600) des Medizingerätes (100) betrieben wird, das Medizingerät (100) ausschließlich mittels einer Gate-Control mit einem externen Kommunikationsnetzwerk (500) kommuniziert, und die Gate-Control das Medizingerät (100) gegenüber dem externen Kommunikationsnetzwerk (500) dadurch absichert, dass so lange kein Datenverkehr zwischen internem Netzwerk und Gate-Control und damit auch zum externen Kommunikationsnetzwerk zugelassen wird, bis eine Anforderung aus dem internen Netzwerk oder eine qualifizierte manuelle Eingabe eines Bedieners erfolgt, wobei durch die Gate Control eine vollständige logische und physische Trennung von Kommunikationsnetzwerk (500) und internem Netzwerk (600) des Medizingeräts erfolgt.
12. Verfahren nach Anspruch 11 , wobei die Steuerung der Gate-Control ausschließlich aus dem internen Netzwerk (600) des Medizingeräts (100) erfolgt.
13. Verfahren nach Anspruch 11 oder 12, in dem vom Medizingerät (100) benötigte Daten werden über proprietäre Protokolle in das interne Netzwerk (600) des Medizingeräts (100) weitergeleitet werden.
14. Verfahren nach einem der Ansprüche 11 bis 13, in dem die Leistungsaufnahme eines Gate-Control-Hardware-Moduls (400) begrenzt wird, insbesondere auf eine Leistungsaufnahme kleiner 15W bei einer Stromstärke von kleiner 7A.
15. Verfahren nach einem der Ansprüche 11 bis 14, in dem Sicherheits- Aktualisierungen von Software, insbesondere des Betriebssystems, ausschließlich für die Gate-Control angewendet werden.
16. Verfahren nach einem der Ansprüche 11 bis 15, in dem eine zusätzliche in Hardware und/oder Software implementierte Firewall (700, 700‘) eingesetzt wird.
17. Verfahren nach einem der Ansprüche 11 bis 16, in dem Netzwerkdienste, die durch die Gate-Control, insbesondere die Software der Gate-Control, bereitgestellt werden, systematisch minimiert werden.
18. Verfahren nach einem der Ansprüche 11 bis 17, in dem die Gate-Control Daten- Dienste bereitstellt, um die Übertragung von Daten über Schnittstellen (800, 900) des Medizingerätes abzusichern.
19. Verfahren nach einem der Ansprüche 11 bis 18, in dem die Stromversorgung der Gate-Control aus der Stromversorgung des Medizingeräts (100) abgeleitet wird, insbesondere durch Verwendung von Power over Ethernet (PoE).
PCT/EP2020/075037 2019-09-10 2020-09-08 Computer-hardware für ein computergesteuertes medizingerät und verfahren zur steuerung eines computergesteuerten medizingeräts WO2021048101A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US17/641,505 US20220311739A1 (en) 2019-09-10 2020-09-08 Computer hardware for a computer-controlled medical device and method for controlling a computer-controlled medical device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019213707.5A DE102019213707A1 (de) 2019-09-10 2019-09-10 Computer-Hardware für ein computergesteuertes Medizingerät und Verfahren zur Steuerung eines computergesteuerten Medizingeräts
DE102019213707.5 2019-09-10

Publications (1)

Publication Number Publication Date
WO2021048101A1 true WO2021048101A1 (de) 2021-03-18

Family

ID=72422189

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2020/075037 WO2021048101A1 (de) 2019-09-10 2020-09-08 Computer-hardware für ein computergesteuertes medizingerät und verfahren zur steuerung eines computergesteuerten medizingeräts

Country Status (3)

Country Link
US (1) US20220311739A1 (de)
DE (1) DE102019213707A1 (de)
WO (1) WO2021048101A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021133253A1 (de) * 2021-12-15 2023-06-15 Vivonic Gmbh IT-Architektur für Blutbehandlungsanlagen

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000072508A1 (en) * 1999-05-25 2000-11-30 Engineering Systems Solutions, Inc. System and method for high assurance separation of internal and external networks
WO2010011399A2 (en) * 2008-05-14 2010-01-28 Arizona Board Of Regents For And On Behalf Of Arizona State University Methods and circuits for thwarting semi-invasive and non-invasive integrated circuit security attacks
US20150229638A1 (en) * 2014-02-07 2015-08-13 Oracle International Corporation Mobile cloud service architecture
US20160088022A1 (en) * 2014-09-24 2016-03-24 Oracle International Corporation Proxy servers within computer subnetworks
US20190190952A1 (en) * 2017-12-20 2019-06-20 Mercy Health Systems and methods for detecting a cyberattack on a device on a computer network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070022474A1 (en) * 2005-07-21 2007-01-25 Mistletoe Technologies, Inc. Portable firewall
US9656092B2 (en) * 2009-05-12 2017-05-23 Chronicmobile, Inc. Methods and systems for managing, controlling and monitoring medical devices via one or more software applications functioning in a secure environment
WO2019222641A1 (en) * 2018-05-18 2019-11-21 Corindus, Inc. Remote communications and control system for robotic interventional procedures
CA3130429A1 (en) * 2019-03-27 2020-10-01 Alcon Inc. System and method of utilizing data of medical systems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000072508A1 (en) * 1999-05-25 2000-11-30 Engineering Systems Solutions, Inc. System and method for high assurance separation of internal and external networks
WO2010011399A2 (en) * 2008-05-14 2010-01-28 Arizona Board Of Regents For And On Behalf Of Arizona State University Methods and circuits for thwarting semi-invasive and non-invasive integrated circuit security attacks
US20150229638A1 (en) * 2014-02-07 2015-08-13 Oracle International Corporation Mobile cloud service architecture
US20160088022A1 (en) * 2014-09-24 2016-03-24 Oracle International Corporation Proxy servers within computer subnetworks
US20190190952A1 (en) * 2017-12-20 2019-06-20 Mercy Health Systems and methods for detecting a cyberattack on a device on a computer network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Embedded security in cars: securing current and future automotive IT applications", 1 January 2006, SPRINGER, Berlin, ISBN: 978-3-540-28384-3, article MARKO WOLF ET AL: "Secure In-Vehicle Communication", pages: 95 - 109, XP055561773, DOI: 10.1007/3-540-28428-1_6 *

Also Published As

Publication number Publication date
DE102019213707A1 (de) 2021-03-11
US20220311739A1 (en) 2022-09-29

Similar Documents

Publication Publication Date Title
EP3426205B1 (de) Ophthalmologisches lasertherapiesystem
EP1993493B1 (de) System zur behandlung oder diagnose am auge
DE19914914B4 (de) Verfahren und Anordnung zur zielgerichteten Applikation eines Therapiestrahls, insbesondere zur Behandlung kranker Bereiche im Auge
EP2120820A1 (de) Ophthalmologische vorrichtung für die auflösung von augengewebe
EP1404265A2 (de) Verfahren und vorrichtung zur darstellung eines operationsgebietes bei laseroperationen
WO2013004255A1 (de) Vorrichtung und verfahren für ein lasergestützes augenchirurgisches behandlungssystem
DE102012018421A1 (de) Augenchirurgische Refraktionskorrektur
WO2011116900A1 (de) Ophthalmologische laser-behandlungseinrichtung
WO2017182342A1 (de) Behandlungssystem für ophthalmologische zwecke mit überlastungsschutz
DE102013105738A1 (de) Laserbehandlungsvorrichtung für die Refraktivchirurgie
DE102012022079A1 (de) Augenchirurgisches Verfahren
WO2021048101A1 (de) Computer-hardware für ein computergesteuertes medizingerät und verfahren zur steuerung eines computergesteuerten medizingeräts
DE102014225635A1 (de) Vorrichtung und Verfahren zur Festlegung einer relativen geometrischen Lage eines Auges
DE102019219122A1 (de) Positioniereinrichtung
DE102011108645A1 (de) "Nachbehandlung bei augenchirurgischer Refraktionskorrektur"
DE102016206568A1 (de) Behandlungssystem für ophthalmologische Zwecke mit Ablage
WO2014140182A1 (de) Augenchirurgisches verfahren
DE102012014769A1 (de) Fortsetzung von unterbrochenen augenchirurgischen Schnitten
WO2017182341A1 (de) Ophthalmologische untersuchungs- und/oder therapievorrichtung mit koppelbaren gelenkarmen
EP4216889A1 (de) Anordnung zur laserbearbeitung von augentrübungen
DE102019219123A1 (de) Beobachtungseinrichtung
WO2020058064A1 (de) Erzeugung von schnitten im inneren des auges
WO2021048115A1 (de) Augenchirurgische behandlungsvorrichtung
WO2021048116A1 (de) Augenchirurgische behandlungsvorrichtung
EP4027958A1 (de) Ophthalmologisches lasertherapiesystem mit beleuchtungsanordnung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20768035

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20768035

Country of ref document: EP

Kind code of ref document: A1