特許7080982医療システムにおける医療装置の動作を制御する方法および医療システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-27
(45)【発行日】2022-06-06
(54)【発明の名称】医療システムにおける医療装置の動作を制御する方法および医療システム
(51)【国際特許分類】
G16H 40/67 20180101AFI20220530BHJP
【FI】
G16H40/67
【請求項の数】
12
(21)【出願番号】P 2020544156
(86)(22)【出願日】2018-11-15
(65)【公表番号】
(43)【公表日】2021-01-28
(86)【国際出願番号】 EP2018081308
(87)【国際公開番号】W WO2019096876
(87)【国際公開日】2019-05-23
【審査請求日】2020-05-13
(31)【優先権主張番号】17202302.0
(32)【優先日】2017-11-17
(33)【優先権主張国・地域又は機関】EP
【前置審査】
(73)【特許権者】
【識別番号】591003013
【氏名又は名称】エフ.ホフマン-ラ ロシュ アーゲー
【氏名又は名称原語表記】F. HOFFMANN-LA ROCHE AKTIENGESELLSCHAFT
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100147991
【弁理士】
【氏名又は名称】鳥居 健一
(72)【発明者】
【氏名】フリードリ,クルト
(72)【発明者】
【氏名】ミューラー,ミハエル
(72)【発明者】
【氏名】ダンクバルト,ニルス
【審査官】岡北 有平
(56)【参考文献】
【文献】特表2003-520648(JP,A)
【文献】米国特許出願公開第2016/0034658(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G16H 10/00 ー 80/00
(57)【特許請求の範囲】
【請求項1】
医療システムにおける医療装置の動作を制御する方法であって、前記医療システムは、医療装置と、
通信装置上で実行し、前記医療装置の遠隔操作制御に適合された医療装置アプリケーションを備えた通信装置と、
前記通信装置とのデータ通信に適合された安全装置であって、遠隔サーバ装置、又は前記医療装置とは異なる別の医療装置である、安全装置と、
を有し、
前記方法が、前記医療システムにおいて、
計算処理のための入力データを提供することと、
前記通信装置において第1の計算処理での前記計算処理によって前記入力データを処理することにより、第1の計算結果データを提供することと、
前記安全装置において、前記第1の計算処理とは別個に実行される第2の計算処理での前記計算処理によって前記入力データを処理することにより、第2の計算結果データを提供することと、
前記通信装置または前記安全装置において、前記第1の計算結果データと前記第2の計算結果データとを比較することと、
前記第1の計算結果データと前記第2の計算結果データが等しいことが判明した場合、前記通信装置上で実行している前記医療装置アプリケーションによる前記医療装置の遠隔操作制御を可能にすることと、
前記第1の計算結果データと前記第2の計算結果データとが等しくないことが判明した場合、前記通信装置上で実行している前記医療装置アプリケーションが前記医療装置の遠隔操作制御をすることを阻止することと
を含む、方法。
【請求項2】
前記通信装置および前記安全装置の両方における前記計算処理のための前記入力データを提供することと、前記安全装置において前記第2の計算処理での前記計算処理によって前記入力データを処理することと、
を更に含む、請求項1に記載の方法。
【請求項3】
前記通信装置および前記安全装置のうちの一方の装置において前記入力データを受信することと、前記一方の装置において前記入力データを暗号化することと、
前記暗号化された入力データを前記一方の装置から前記通信装置および前記安全装置のうちの他方の装置に送信することと、
前記暗号化された入力データを前記他方の装置において復号化することと、
を更に含む、請求項2に記載の方法。
【請求項4】
前記通信装置において前記計算処理のための前記入力データを提供することを更に含む、請求項1に記載の方法。
【請求項5】
前記安全装置において前記第1の計算結果データと前記第2の計算結果データとを提供することと、前記安全装置において前記第1の計算結果データと前記第2の計算結果データとを比較することと、
を更に含む、請求項1~4のいずれか一項に記載の方法。
【請求項6】
前記安全装置において比較結果データを提供することであって、前記比較結果データが、前記第1の計算結果データと前記第2の計算結果データとを比較した結果を示す、提供することと、前記比較結果データを前記安全装置から前記通信装置へ送信することと、
を更に含む、請求項5に記載の方法。
【請求項7】
前記通信装置において前記第1の計算結果データを暗号化することと、前記暗号化された第1の計算結果データを前記通信装置から前記安全装置に送信することと、
前記暗号化された第1の計算結果データを前記安全装置において復号化することと、
を更に含む、請求項2または3および請求項5または6に記載の方法。
【請求項8】
前記通信装置において前記第1の計算結果データと前記第2の計算結果データとを比較することを更に含む、請求項1~7のいずれか一項に記載の方法。
【請求項9】
前記安全装置において前記第2の計算結果データを暗号化することと、前記暗号化された第2の計算結果データを前記安全装置から前記通信装置に送信することと、
前記暗号化された第2の計算結果データを前記通信装置において復号化することと、
を更に含む、請求項2または8に記載の方法。
【請求項10】
前記計算処理、および、前記第1の計算結果データと前記第2の計算結果データとの前記比較を、単一の故障安全アーキテクチャの安全要素として提供することを更に含む、請求項1~9のいずれか一項に記載の方法。
【請求項11】
前記通信装置および前記安全装置の少なくとも1つに設けられたメモリ装置に、前記入力データ、暗号化された前記入力データ、前記第1の計算結果データ、暗号化された前記第1の計算結果データ、前記第2の計算結果データ、および暗号化された前記第2の計算結果データのうちの少なくとも1つを記憶することを更に含む、請求項1~10のいずれか一項に記載の方法。
【請求項12】
医療システムであって、医療装置と、
通信装置上で実行し、前記医療装置の遠隔操作制御に適合された医療装置アプリケーションを備えた通信装置と、
前記通信装置とのデータ通信に適合された安全装置であって、遠隔サーバ装置、又は前記医療装置とは異なる別の医療装置である、安全装置と、
を備え、
前記医療システムが、
計算処理のための入力データを提供し、
前記通信装置において第1の計算処理での前記計算処理によって前記入力データを処理することにより、第1の計算結果データを提供し、
前記安全装置において、前記第1の計算処理とは別個に実行される第2の計算処理での前記計算処理によって前記入力データを処理することにより、第2の計算結果データを提供し、
前記通信装置または前記安全装置において、前記第1の計算結果データと前記第2の計算結果データとを比較し、
前記第1の計算結果データと前記第2の計算結果データとが等しいことが判明した場合、前記通信装置上で実行している前記医療装置アプリケーションによる前記医療装置の遠隔操作制御を可能にし、
前記第1の計算結果データと前記第2の計算結果データとが等しくないことが判明した場合、前記通信装置上で実行している前記医療装置アプリケーションが前記医療装置の遠隔操作制御をすることを阻止する
ように適合される、医療システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、医療システムにおける医療装置の動作を制御する方法および医療システムに関する。
【背景技術】
【0002】
誤動作が医療装置のユーザに危険をもたらす可能性のある医療装置は、基準要件を順守するために機能安全原則に準拠する必要がある。非医療装置は通常、これらの原則に準拠していない。インスリン注入ポンプなどの医療装置を携帯電話などの非医療装置で制御する場合、医療装置の機能安全を確保する必要がある。
【0003】
米国特許第2015/0182694 A1号は、スマートフォンなどの遠隔制御装置と医療装置との間の中間装置として機能し、送信が医療装置に配信される前にスマートフォンからの送信を確認する保安処理装置を開示している。保安処理装置は、スマートフォンの種類およびバージョンと、スマートフォンに常駐するオペレーティングソフトウェアおよび/またはファームウェアのバージョンとをチェックすることで、スマートフォンが医療装置と互換性があるか否かを判断できる。保安処理装置はまた、スマートフォンに入力された操作コマンドが許容可能なパラメータ内にあるか否かをチェックできる。
【0004】
薬剤ポンプ装置の遠隔制御および/または無線(再)プログラミングのためのシステムおよび方法は、米国特許出願公開第2011/0275410 A1号に記載されている。様々な実施形態では、スマートフォンまたは他の無線ハンドヘルド装置を使用して、例えば、Wi-Fi、Bluetooth、または近距離通信リンクを介して、制御コマンドおよび/または薬剤送達プロトコルを薬剤ポンプ装置の無線受信機に送信する。スマートフォンにはドングルが備えられ、データ転送プロトコルの選択においてセキュリティや柔軟性を提供することができる。更に、スマートフォンは、ユーザとの対話を可能にし、不正な操作を阻止するセキュリティ機能を備えている可能性がある特別なソフトウェアアプリケーションを格納する場合がある。
【0005】
ポンプ注入システムの安全な遠隔プログラミングのために、米国特許出願公開第2011/0275410 A1号は、所定のプログラムを割り当て、プログラムされるプロトコルをポンプからのプロトコルと比較し、非医学的に認定された介在装置および手段の起こり得る誤りを排除し、プログラミングを実行することを開示する。
【0006】
米国特許第6,128,774号は、コード作成者によって供給された信頼できないソフトウェアを、コード消費者が実行しても安全であることを検証するコンピュータ実施方法を記載している。この方法は、コード消費者上の信頼できないソフトウェアの安全な動作条件を指定する安全ポリシーを定義するステップを含む。この方法はまた、信頼できないソフトウェアのコード消費者による実行が前記安全ポリシーに違反するか否かを判定する信頼できないソフトウェア用の安全述語を生成するステップと、前記安全述語が有効であることを証明する安全証明を生成するステップとを含む。この方法は、前記安全証明および前記安全述語に基づく実行のために、信頼できないソフトウェアを検証するステップを更に含む。
【0007】
米国特許出願公開第2011/0126188 A1号によれば、制御されていないデータ処理装置(UDPD)で安全上重要なアプリケーション(SCA)をホストするための方法および製品が提供されている。インストール、機能、ホストの整合性、共存、相互運用性、電源管理、および環境チェックの様々な組み合わせが様々なタイミングで実行され、安全上重要なアプリケーションが装置上で適切に動作するか否かが判定される。UDPD上でのSCAの動作は、それに応じて制御され得る。
【0008】
制御されていないデータ処理装置(UDPD)で安全上重要なアプリケーション(SCA)を検証するための方法およびシステムが、米国特許出願公開第2016/034658 A1号にも開示されている。安全上重要な機能の検証、SCA-UDPD互換性の検証、リソース管理を含む様々なチェックの組み合わせが様々なタイミングで実行され、SCAが装置上で適切に動作することを確実にする。UDPD上でのSCAの動作は、それに応じて制御され得る。
【0009】
米国特許出願公開第2012/066551 A1号によれば、プロセッサでの安全な動作は、通常はテストおよびソフトウェア開発にのみ使用される実行トレースモジュールを利用することで検証され得る。フィールドでのプロセッサの動作中に、一連の命令がプロセッサで実行され得る。実行の一部がトレースされ、一連のトレースデータを形成する。トレースデータのシーケンスは、チェックサムを形成するために圧縮される。チェックサムは参照チェックサムと比較され、チェックサムが参照チェックサムと一致しない場合は実行誤りが表示される。
【0010】
医療環境におけるシステムへのアクセスを制御する方法およびシステムは、米国特許出願公開第2008/256076 A1号に開示されている。この方法は、医療システムで使用可能な少なくとも1つのファイル用の署名値を計算することと、計算された署名値を署名ファイルに転送することと、署名ファイル内の少なくとも1つの署名値および少なくとも1つの関連ファイルを、医療システムによって受信されるように構成されたファイルシステムに提供することとを含む。少なくとも1つの署名値および少なくとも1つの関連ファイルが医療システムによって検査され、関連ファイルが既知の医療ソフトウェアアプリケーション資産であることを検証する。医療システムは、外部メモリ記憶装置を受け取るように構成された入出力データポートと、医療システムデータをメモリ記憶装置から読み取り、メモリ記憶装置に書き込むことができるオペレーティングシステムとを備える。
【0011】
ロックステッププロセッサシステムは、米国特許第5,915,082号から既知であり、これは1つ以上のロックステッププロセッサシステム機能、すなわち、制御出力、プロセッサ入力、I/Oバス、メモリアドレスバス、およびメモリデータバスに、誤り検出、分離、および回復ロジックを追加する。
【発明の概要】
【0012】
本開示の目的は、医療システムの動作および通信に関して、強化された安全性およびセキュリティを提供する医療システムにおける医療装置の動作を制御する方法を提供することである。更に、医療システムが提供されるものとする。
【0013】
この問題を解決するために、独立請求項1に記載の医療システムにおける医療装置の動作を制御する方法が提案される。更に、請求項14に記載の医療システムが提供される。代替実施形態は、従属請求項の主題である。
【0014】
一態様によれば、医療システムにおける医療装置の動作を制御する方法が提供される。医療システムは、医療装置と、通信装置上で実行し、医療装置の遠隔操作制御に適合された医療装置アプリケーションを備えた通信装置と、通信装置とのデータ通信に適合した安全装置とを有する。この方法は、医療システムにおいて、計算処理のための入力データを提供することと、通信装置において第1の計算処理での計算処理によって入力データを処理することにより、第1の計算結果データを提供することと、第1の計算処理とは別個に実行される第2の計算処理での計算処理によって入力データを処理することにより、第2の計算結果データを提供することと、第1の計算結果データと第2の計算結果データを比較することと、第1の計算結果データと第2の計算結果データが等しいことが判明した場合、通信装置上で実行している医療装置アプリケーションによる医療装置の遠隔操作制御を可能にすることと、第1の計算結果データと第2の計算結果データが等しくないことが判明した場合、通信装置上で実行している医療装置アプリケーションが医療装置の遠隔操作制御をすることを阻止することと、を含む。
【0015】
別の態様によれば、医療システムが提供される。医療システムは、医療装置と、通信装置上で実行し、医療装置の遠隔操作制御に適合された医療装置アプリケーションを備えた通信装置と、通信装置とのデータ通信に適合された安全装置とを有する。システムは、計算処理のための入力データを提供し、通信装置において第1の計算処理での計算処理によって入力データを処理することにより、第1の計算結果データを提供し、第1の計算処理とは別個に実行される第2の計算処理での計算処理によって入力データを処理することにより、第2の計算結果データを提供し、第1の計算結果データと第2の計算結果データを比較し、第1の計算結果データと第2の計算結果データが等しいことが判明した場合、通信装置上で実行している医療装置アプリケーションによる医療装置の遠隔操作制御を可能にし、第1の計算結果データと第2の計算結果データが等しくないことが判明した場合、通信装置上で実行している医療装置アプリケーションが医療装置の遠隔操作制御をすることを阻止する、ように適合される。
【0016】
第1の計算結果データおよび第2の計算結果データは、それぞれ第1の結果データおよび第2の結果データと呼ばれる場合もある。安全装置は、信頼できる装置と呼ばれる場合もある。
【0017】
一般に、装置の動作上の安全性は、多様な冗長アーキテクチャを実装することで向上する可能性がある。多様な冗長性は、例えば、IEC 61508およびIEC 61511規格で参照されている当該技術分野で既知である。多様な冗長性とは、同じタスクが、例えば多様性と呼ばれる様々な方法論および/または構成要素を使用して、別個の異なる方法で、冗長性と呼ばれる複数回実行されることを指す。そのようなタスクの1つを実行するための1つの多様な組の手段は、同じタスクを実行するための異なるチャネルとは別個のチャネルと呼ばれることがある。タスクを実行するための別個のチャネルは、そのように当該技術分野で知られている。
【0018】
方法は、通信装置および安全装置の両方における計算処理のための入力データを提供することと、安全装置における第2の計算処理での計算処理によって入力データを処理することとを含み得る。これにより、第1の計算処理および第2の計算処理は、2つの別個の装置で実行され得る。したがって、第1の計算結果データと第2の計算結果データとが等しいことが判明した場合、2つの別個の装置に同じ入力データが提供された後、2つの別個の装置が同じ計算結果を生成したことが判明する場合がある。第1の計算結果データと第2の計算結果データとが等しくないことが判明した場合、通信装置における第1の計算処理および安全装置における第2の計算処理のうちの少なくとも1つが、正しく実行されなかったと考えてもよい。
【0019】
方法は更に、通信装置および安全装置の第1の装置で入力データを受信することと、第1の装置において入力データを暗号化することと、暗号化された入力データを通信装置および安全装置の第1の装置から第2の装置に送信することと、暗号化された入力データを第2の装置において復号化することとを含み得る。例えば、入力データは、通信装置において受信され、暗号化されてもよい。暗号化された入力データは、安全装置に送信され、安全装置において復号化されてもよい。
【0020】
更にまたは代替として、計算処理を実施するためのソフトウェアアプリケーションは、通信装置および安全装置の第1の装置で受信されてもよく、通信装置および安全装置の第1の装置から第2の装置に送信されてもよい。ソフトウェアアプリケーションは、第1の装置および/または第2の装置のメモリおよびストレージ装置のうちの少なくとも1つに格納され得る。更に、ソフトウェアアプリケーションは、第1の装置で暗号化され得る。次に、暗号化されたソフトウェアアプリケーションは、第1の装置から第2の装置に送信され、第2の装置において復号化され得る。
【0021】
方法は、通信装置における計算処理のための入力データを提供することと、通信装置における第2の計算処理での計算処理によって入力データを処理することとを含み得る。第1の計算処理は、通信装置の第1のチャネルにおいて実行されてもよく、第2の計算処理は、第1のチャネルとは独立した通信装置の第2のチャネルにおいて実行されてもよい。第1の計算結果データと第2の計算結果データとが等しくないことが判明した場合、通信装置の第1のチャネルにおける第1の計算処理および通信装置の第2のチャネルにおける第2の計算処理のうちの少なくとも1つが、正しく実行されなかったと考えてもよい。
【0022】
この方法は、安全装置において第1の計算結果データと第2の計算結果データとを提供することと、安全装置において第1の計算結果データと第2の計算結果データとを比較することとを含み得る。安全装置において第1の計算結果データと第2の計算結果データとを提供することは、第1の計算結果データおよび/または第2の計算結果データを通信装置から安全装置に送信することを含み得る。
【0023】
方法は、安全装置において比較結果データを提供することであって、比較結果データは第1の計算結果データと第2の計算結果データとを比較した結果を示す、ことと、比較結果データを安全装置から通信装置に送信することとを更に含み得る。比較結果データは、安全装置において暗号化され得る。暗号化された比較結果データは、安全装置から通信装置に送信され、通信装置において復号化され得る。比較結果データは、第1の計算結果データと第2の計算結果データを比較した結果を示す任意のデータであり得る。例えば、比較結果データは、データパケットで送信される単一ビットで構成されてもよく、単一ビットは、第1の計算結果データと第2の計算結果データとが等しいか、または等しくないかが判明したことを示す。あるいは、比較結果データは、追加の情報、例えば第1の計算結果データと第2の計算結果データとを含み得る。比較結果データは、通信装置上で実行している医療装置アプリケーションによる医療装置の遠隔操作制御の許可または拒否を示し得る。
【0024】
第1の計算処理が通信装置において実行され、第2の計算処理が安全装置において実行され、第1の計算結果データと第2の計算結果データとの比較が安全装置において実行される実施形態では、方法は、通信装置において第1の結果データを暗号化することと、暗号化された第1の結果データを通信装置から安全装置に送信することと、暗号化された第1の結果データを安全装置において復号化することと、を含み得る。
【0025】
第1の計算処理および第2の計算処理が通信装置において実行され、比較結果データが、安全装置において提供され、安全装置から通信装置に送信される実施形態では、方法は、通信装置において第1の結果データと第2の結果データとを暗号化することと、暗号化された第1の結果データと第2の結果データとを通信装置から安全装置に送信することと、暗号化された第1の結果データと第2結果データとを安全装置内において復号化することと、を含み得る。
【0026】
第1の計算結果データおよび第2の計算結果データは、通信装置において比較されてもよい。通信装置における第1の計算結果データと第2の計算と結果データの比較は、安全装置における第1の計算結果データと第2の計算結果データとの比較に追加または代わるものであってもよい。
【0027】
第1の計算処理が通信装置において実行され、第2の計算処理が安全装置において実行され、第1の計算結果データと第2の計算結果データとの比較が通信装置において実行される実施形態では、方法は、安全装置において第2の結果データを暗号化することと、暗号化された第2の結果データを安全装置から通信装置に送信することと、暗号化された第2の結果データを通信装置において復号化することと、を含み得る。
【0028】
安全装置は、SDカードなどのメモリカード、NFCビーコン、遠隔サーバ装置、前記医療装置とは異なる別の医療装置の群から選択されてもよい。安全装置は、医療装置または非医療装置であり得る。安全装置は、多様な冗長アーキテクチャを備えていてもよい。
【0029】
例えば、安全装置は、当技術分野で既知である標準的なSDカードと比較して追加の機能を備えた医療装置SDカードであってもよい。医療装置SDカードは、標準のSDカードのように通信装置、例えば携帯電話に接続され、ファイルサービスなどの標準のSDカードの機能を提供してもよい。更に、安全装置に関して上記で参照した追加の機能を提供する安全な医療比較/計算アプリケーションは、医療装置SDカードの内部マイクロコントローラ上で実行していてもよい。医療装置SDカードは、安全装置に関して上記で参照したタスクのいずれかまたはすべてを、多様な冗長な方法で実行するように構成され得る。
【0030】
あるいは、安全装置は、通信装置に物理的に接続され得る他の任意の装置、例えば、USBドングルであってもよい。通信装置に物理的に接続され得るUSBドングルまたは他の装置は、医療用SDカードに関して上記で説明した機能を提供し得る。
【0031】
安全装置は、近距離無線通信(NFC)を介して通信装置に無線で接続することができる装置であり得る。NFCは既知である。安全装置は、通信装置に直接取り付けられ得るNFCビーコンであってもよい。例えば、安全装置は、通信装置に取り付けられたときに通信装置の通常の使用を妨げないほど十分に小さいNFCステッカーまたはスリムなNFC対応装置であり得る。
【0032】
この方法は、計算処理、および、第1の計算結果データと第2の計算結果データとの比較を、単一の故障安全アーキテクチャの安全要素として提供することを更に含み得る。単一の故障安全アーキテクチャでは、アーキテクチャ内で1つの(単一の)故障が発生する場合でも、ユーザに対する危険などの望ましくない結果は発生しない。例えば、故障の発生により、第1の計算結果データおよび第2の計算結果データのうちの1つが正しくないときに、第1の計算結果データと第2の計算結果データとが等しくないことが判明した場合、通信装置上で実行している医療装置アプリケーションが医療装置の遠隔操作制御をすることを阻止することにより、医療装置のユーザに対する危険を阻止することができる。
【0033】
この方法は、通信装置および安全装置の少なくとも1つに設けられたメモリ装置に、入力データ、暗号化された入力データ、第1の結果データ、暗号化された第1の結果データ、第2の結果データ、および暗号化された第2の結果データのうちの少なくとも1つを記憶することを更に含み得る。
【0034】
例えば、暗号化された入力データ、暗号化された第1の結果データおよび暗号化された第2の結果データは、安全装置のメモリ装置に格納されてもよい。次に、暗号化された入力データ、暗号化された第1の結果データおよび暗号化された第2の結果データは復号化され、入力データ、第1の結果データおよび第2の結果データは安全装置のメモリ装置に格納されてもよい。次に、入力データ、第1の結果データおよび/または第2の結果データを使用して、第1の結果データと第2の結果データとを比較してもよい。同様に、追加または代替として、データは、安全装置のメモリ装置に格納され、第1の結果データと第2の結果データとを比較するために使用されてもよい。
【0035】
入力参照データは、安全装置および通信装置のうちの少なくとも1つに提供されてもよい。入力参照データは、安全装置および通信装置のうちの少なくとも1つにおいて、入力データと比較されて、入力データが有効な入力データであるか否かを判定し得る。入力データが有効であることが判明した場合、通信装置上で実行している医療装置アプリケーションによる医療装置の遠隔操作制御が許可されてもよい。入力データが有効でないことが判明した場合、通信装置上で実行している医療装置アプリケーションが医療装置の遠隔操作制御をすることが阻止されてもよい。入力データと参照入力データとの比較は、第1の計算結果データと第2の計算結果データとを比較する前若しくは後に、または少なくとも部分的に同時に実行されてもよい。
【0036】
医療装置アプリケーションが実行されている通信装置は、任意の通信装置、例えば、携帯電話、スマートウォッチ、(モバイル)コンピュータ、または携帯型ディスプレイ装置などのモバイル通信装置であり得る。通信装置は、通信機能を備えていてもよい。通信装置は、無線で、または有線を介して、医療装置および/または安全装置に接続され得る。
【0037】
医療装置はインスリンポンプであり得る。あるいは、医療装置は、インスリンを患者に投与するためのペン装置であってもよい。更なる代替として、医療装置は、連続グルコースモニタリングまたは非連続グルコースモニタリングに適合されたグルコースモニタリング装置であり得るグルコースモニタリング装置であり得る。
【0038】
連続血中グルコースモニタリングに適合されたグルコースモニタリング装置は、連続グルコースモニタリング(CGM)用の完全または部分的に埋め込まれたセンサであるセンサを備えていてもよい。一般に、CGMの文脈では、血中のグルコース値またはレベルを示す検体値またはレベルが判定され得る。検体値は、間質液中で測定されてもよい。測定は皮下または生体内で行うことができる。CGMは、ほぼリアルタイムまたは準連続的なモニタリング手順として頻繁または自動的に実施されることができ、ユーザの対話なしに検体値を提供/更新してもよい。別の実施形態では、検体は、眼液を介してコンタクトレンズ内のバイオセンサで、または汗における経皮測定を介して皮膚上のバイオセンサで測定されることができる。CGMセンサは、数日から数週間は所定の位置にあってもよく、その後交換される必要がある。
【0039】
信頼できる装置は、安全に機能することが医療装置アプリケーションのプロバイダによって知られている装置であってもよい。例えば、信頼できる装置は、予想されるすべての動作条件下で、医療装置の遠隔制御操作に必要な動作を正しく実行することが医療装置アプリケーションのプロバイダによって確認されていてもよい。
【0040】
医療システムに関して、上述の代替実施形態は、必要な変更を加えて適用することができる。
【0041】
医療システムでは、安全装置は医療装置の統合装置であり得る。例えば、安全装置は、医療装置に設けられた、SDカードなどのメモリ装置であってもよい。あるいは、安全装置は、医療装置に提供され、医療装置の他の構成要素とは別個のハードウェア構成要素およびソフトウェア構成要素のうちの少なくとも1つを備えてもよい。
【0042】
この場合も、上記の方法および医療システムでは、通信装置は、その上で医療装置アプリケーションを実行するのに適しており、医療装置を遠隔制御するための医療装置とは別個のハードウェア装置であり得る。逆に、医療装置は、通信装置とは別個のハードウェア装置であってもよい。通信装置および医療装置は、特に医療装置を遠隔制御するために、互いに通信するように構成され得る。
【図面の簡単な説明】
【0043】
以下、図を参照して更なる実施形態を説明する。図において、以下を示す。
【図1】医療システムの略図。
【図2】更なる医療システムの略図。
【図3】医療装置の略図。
【図4】医療システムにおける医療装置の動作を制御するための更なる方法のステップの流れ図。
【図5】医療システムにおける医療装置の動作を制御するための更なる方法のステップの流れ図。
【図6】医療システムにおける医療装置の動作を制御するための更なる方法のステップの流れ図。
【図7】医療システムにおける医療装置の動作を制御するための更なる方法のステップの流れ図。
【図8】医療システムにおける医療装置の動作を制御するための更なる方法のステップの流れ図。
【発明を実施するための形態】
【0044】
図1は、医療装置100、通信装置101および安全装置102を含む医療システムの略図を示す。通信装置101は、処理装置103、メモリ装置104、およびトランシーバ105を備える。安全装置102は、制御装置106、信頼できるコンパレータ107およびトランシーバ108を備える。医療装置100は、医療装置100の所望の機能に必要な任意の要素を含み得る。示される実施形態では、医療装置100は、通信装置101上で実行する医療装置アプリケーションによって制御されるように構成されるインスリンポンプである。代替の実施形態では、医療装置100は、通信装置101を介して制御され得る任意の医療装置であり得る。医療装置100の例示的な実施形態は、図3を参照して以下に説明される。
【0045】
通信装置101の処理装置103は、通信装置101のトランシーバ105を介して医療装置100への接続を確立するように構成される。通信装置101のトランシーバ105は、医療装置100への無線データ接続のために構成される。通信装置101の処理装置103は、通信装置101のトランシーバ105および安全装置102のトランシーバ108を介して安全装置102への接続を確立するように更に構成される。示される実施形態では、通信装置101のトランシーバ105および安全装置102のトランシーバ108は、通信装置101と安全装置102との間の無線データ接続のために構成される。
【0046】
通信装置101の処理装置103は、メモリ装置104に格納された医療装置アプリケーションを実行するように構成される。安全装置102の制御装置106は、安全装置102のトランシーバ108を介してデータを受信および送信するように構成される。制御装置106は、信頼できるコンパレータ107を制御するように更に構成される。信頼できるコンパレータ107は、制御装置106からデータを受信し、図4~8を参照して以下でより詳細に説明されるように、医療装置100の動作を制御する方法のステップを実行し、データを制御装置106へ送信するように構成される。
【0047】
図2は、医療システムの異なる実施形態の略図を示す。図2に示される医療システムは、通信装置101および医療装置200を備える。通信装置101は、図1に示す通信装置101に対応する。医療装置200は、安全装置201およびトランシーバ202を備える。安全装置201は、医療装置200の統合装置として提供され、医療装置200のトランシーバ202を介して通信装置101への接続を確立するように構成される。医療装置200のトランシーバ202は、通信装置101のトランシーバ105への無線データ接続のために構成される。安全装置201は、図1に示す安全装置102の制御装置106および信頼できるコンパレータ107に対応する、制御装置および信頼できるコンパレータ(図示せず)を備える。
【0048】
医療装置200は、医療装置200の所望の機能に必要な少なくとも1つの更なる構成要素203を含む。示される実施形態では、医療装置200は、通信装置101上で実行する医療装置アプリケーションによって制御されるように構成されるインスリンポンプであり、少なくとも1つの更なる構成要素203は、医療装置200のインスリンポンプ機能を提供するように構成される。通信装置101の処理装置103は、通信装置101のトランシーバ105および医療装置200のトランシーバ202を介して、医療装置アプリケーションによって医療装置200を制御するための医療装置200の少なくとも1つの更なる構成要素203への接続を確立するように構成される。
【0049】
図3は、図示の実施形態ではインスリン注入ポンプである医療装置200の実施形態の略図を示す。医療装置200は、医療装置200に電力を供給するように構成された電源300と、医療装置200の機能を制御するように構成された制御ユニット301とを備える。制御ユニット301は、医療装置200の外部の装置、例えば通信装置101とのデータ通信のために、トランシーバ202に機能的に接続される。安全装置201はまた、医療装置200の外部の装置、特に通信装置101とのデータ通信のために、トランシーバ202に機能的に接続される。制御装置301は、安全装置201の機能を制御する。安全装置に設けられた信頼できるコンパレータ(図示せず)は、制御装置301を含む医療装置200の他の構成要素から機能的に分離されている。
【0050】
制御装置301は、医療装置200によって提供されるインスリン注入ポンプを更に制御する。アクチュエータユニット302は、医療装置200のユーザにインスリンを投与するための少なくとも1つのアクチュエータ、例えばポンプ装置を含む。センサユニット303は、少なくとも1つのセンサを含む。例えば、センサユニット303は、医療装置200のユーザに投与されるインスリンを収容しているリザーバ内の圧力を測定するように構成された圧力センサを含み得る。医療装置200は、例えば、ユーザインタフェース304のタッチスクリーンおよび/またはボタンを介してユーザ入力を受信し、医療装置200のユーザに信号を送信するように構成されたユーザインタフェース304を更に備える。医療装置200のユーザに送信される信号は、視覚的、音響的および/または触覚的信号を含み得る。例えば、ユーザインタフェース304は、視覚信号、音響信号、および触覚信号をそれぞれ送信するためのディスプレイ、スピーカ、および/または振動装置を備えてもよい。
【0051】
保護ユニット305は、アクチュエータユニット302の機能を有効化および/または無効化し、それにより、医療装置200のユーザへのインスリンの投与を許可または阻止する。保護ユニット305は、ユーザインタフェース304を介して、インスリンの投与の許可および/または阻止に関して、医療装置200のユーザにユーザフィードバックを提供するように構成される。保護ユニット305は、制御ユニット301から受信したデータおよび/またはコマンドに基づいて、アクチュエータユニット302の機能を有効および/または無効にする。制御ユニット301によって保護ユニット305に提供されるデータおよび/またはコマンドは、安全装置201から制御ユニット301で受信されるデータおよび/またはコマンドに、少なくとも部分的に基づくことができる。
【0052】
図4は、フロー図において、医療システムにおける医療装置100の動作を制御するための方法のステップを示す。方法のステップ400において、入力データは、通信装置101上で実行される医療装置アプリケーションにおいて提供され、医療装置アプリケーションは、医療装置100の遠隔操作制御に適合されている。例えば、入力データは、通信装置101において、ユーザ入力によって提供されてもよい。あるいは、入力データは、データ通信を介して通信装置101において受信されてもよい。更なる代替として、入力データは、通信装置101における動作、例えば計算動作の結果として提供されてもよい。入力データは、通信装置101で暗号化され、安全装置102に送信される。
【0053】
次に、ステップ401において、入力データは、第1の計算処理で通信装置101において処理され、第1の計算結果データをもたらす。ステップ402において、安全装置102において、入力データは、復号化され、第2の計算処理で処理され、第2の計算結果データをもたらす。第2の計算結果データは、暗号化されて、安全装置102から通信装置101に送信される。ステップ401および402は、任意の順序でまたは並行して実行することができる。
【0054】
ステップ403において、第2の計算結果データは、復号化され、通信装置101において第1の計算結果データと比較される。ステップ404において、第1の計算結果データと第2の計算結果データとが等しいことが判明した場合、通信装置101による医療装置100の遠隔制御操作が許可される。一方、第1の計算結果データと第2の計算結果データとが等しくないことが判明した場合、ステップ404において、通信装置101による医療装置100の遠隔制御操作が阻止される。
【0055】
図5は、通信装置101および安全装置102を更に備える医療システムにおける医療装置100の動作を制御する方法の異なる実施形態のステップを示す。ステップ500は、上記の図4を参照して説明されたステップ400に対応する。ステップ501において、入力データは、通信装置101において第1の計算処理で処理され、第1の計算結果データをもたらす。第1の計算結果データは、暗号化されて通信装置101から安全装置102に送信される。ステップ502において、安全装置102において、入力データは、復号化され、第2の計算処理で処理され、第2の計算結果データをもたらす。ステップ501および502は、任意の順序でまたは並行して実行することができる。
【0056】
第1の計算結果データは、復号化され、ステップ503で安全装置102において第2の計算結果データと比較され、第1の計算結果データと第2の計算結果データとの比較結果を示す比較結果データをもたらす。比較結果データは、暗号化され、安全装置102から通信装置101に送信される。ステップ504では、通信装置101において比較結果データは、復号化され、第1の計算結果データと第2の計算結果データとが等しいことが判明した場合、通信装置101による医療装置100の遠隔制御操作を可能にする。一方、第1の計算結果データと第2の計算結果データとが等しくないことが判明した場合、ステップ504において、通信装置101による医療装置100の遠隔制御操作が阻止される。
【0057】
図6は、通信装置101および安全装置102を更に備える医療システムにおける医療装置100の動作を制御する方法の異なる実施形態のステップを示す。ステップ600において、入力データは、通信装置101上で実行される医療装置アプリケーションにおいて提供される。ステップ600は、それぞれ図4および図5を参照して上述したステップ400およびステップ500に対応する。上記の図4を参照して説明したステップ401に対応するステップ601において、入力データは、通信装置101において第1の計算処理で処理され、第1の計算結果データをもたらす。
【0058】
ステップ602において、入力参照データが安全装置102に提供される。入力参照データは、有効な入力データを示す。ステップ603では、安全装置102において、入力データが復号化され、入力参照データと比較される。ステップ604において、入力データがステップ603で有効であると判明した場合、入力データは、第2の計算処理で処理され、第2の計算結果データをもたらす。第2の計算結果データは、暗号化されて安全装置102から通信装置101に送信される。ステップ603において入力データが有効でないと判明した場合、ステップ604において、入力無効データは、提供および暗号化され、安全装置102から通信装置101に送信される。ステップ605において、第2の計算結果データまたは入力無効データおよび入力データが安全装置102のメモリに格納される。更に、入力参照データおよび/または図6を参照して説明されたプロセスに関連する他の任意のデータは、安全装置102に格納されてもよい。
【0059】
ステップ600および602は、任意の順序でまたは並行して実行することができる。更に、ステップ601は、ステップ603および604のそれぞれの前若しくは後に、または並行して、少なくとも部分的に実行されてもよい。
【0060】
ステップ606において、暗号化された入力無効データが通信装置101において受信された場合、入力無効データが復号化される。その後、ステップ607において、通信装置101による医療装置100の遠隔制御操作が阻止される。
【0061】
暗号化された第2の計算結果データが通信装置101において受信されると、ステップ606で、暗号化された第2の計算結果データは、復号化され、通信装置101において第1の計算結果データと比較される。その後、ステップ607において、第1の計算結果データと第2の計算結果データとが等しいことが判明した場合、通信装置101による医療装置100の遠隔制御操作が許可される。一方、第1の計算結果データと第2の計算結果データとが等しくないことが判明した場合、ステップ607において、通信装置101による医療装置100の遠隔制御操作が阻止される。
【0062】
図7は、通信装置101および安全装置102を更に備える医療システムにおける医療装置100の動作を制御する方法の更なる実施形態のステップを示す。ステップ700において、入力データは、通信装置101上で実行される医療装置アプリケーションの第1のチャネルにおいて提供され、医療装置アプリケーションは、医療装置100の遠隔操作制御に適合されている。入力データは、第1の計算処理で第1のチャネルにおいて処理され、第1の計算結果データをもたらす。ステップ701において、入力データは、医療装置アプリケーションの第2のチャネルにおいて提供され、第2のチャネルは、第1のチャネルから分離されている。例えば、第1のチャネルおよび第2のチャネルは、通信装置101の異なるハードウェアを使用し、医療装置アプリケーションにおいて異なる方法論を使用して、同じ計算を実行することができる。入力データは、ステップ701において、第2の計算処理で第2のチャネルにおいて処理され、第2の計算結果データをもたらす。ステップ700および701は、任意の順序で、または少なくとも部分的に並行して実行することができる。
【0063】
ステップ702において、第1の計算結果データと第2の計算結果データとが比較され、第1の計算結果データと第2の計算結果データとの比較結果を示す比較結果データをもたらす。第1の計算結果データ、第2の計算結果データおよび比較結果データは、暗号化され、安全装置102に送信される。更に、入力データは、暗号化され、安全装置102に送信されてもよい。
【0064】
ステップ703では、安全装置102において、第1の計算結果データ、第2の計算結果データおよび比較結果データが復号化され、比較結果データを確認するために第1の計算結果データと第2の計算結果データとが比較される。更に、入力データが復号化されてもよく、更に確認機能が実行されてもよい。例えば、第3の計算結果データは、第3の計算処理で安全装置102において入力データを処理することによって生成されてもよく、第3の計算結果データは、比較結果データを確認するために第1の計算結果データおよび/または第2の計算結果データと比較されてもよい。安全装置102において、比較結果データの確認または比較結果データの確認の失敗を示す判定データが提供される。判定データ、第1の計算結果データ、第2の計算結果データおよび比較結果データは、暗号化され、通信装置101に送信される。
【0065】
判定データ、第1の計算結果データ、第2の計算結果データおよび比較結果データは、ステップ704において通信装置101において復号化される。第1の計算結果データと第2の計算結果データとが等しいことが判明し、比較結果データが判定データに基づいて確認された場合、通信装置101による医療装置100の遠隔制御操作が可能になる。第1の計算結果データと第2の計算結果データとが等しくないことが判明し、および/または、比較結果データが判定データに基づいて確認された場合、ステップ704において、通信装置101による医療装置100の遠隔制御操作が阻止される。
【0066】
図8は、通信装置101および安全装置102を更に備える医療システムにおける医療装置100の動作を制御するための方法における自己テスト手順を示す。ステップ800において、第1のランダムデータは、通信装置101上で実行される医療装置アプリケーションの第1のチャネルにおいて生成され、医療装置アプリケーションは、医療装置100の遠隔操作制御に適合されている。ステップ801では、第2のランダムデータが、医療装置アプリケーションの第2のチャネルで作成され、第2のチャネルは、第1のチャネルから分離されている。ステップ800および801は、任意の順序で、または少なくとも部分的に並行して実行することができる。
【0067】
ステップ802において、第1のランダムデータと第2のランダムデータとが比較され、第1のランダムデータと第2のランダムデータとの比較結果を示す比較結果データをもたらす。第1のランダムデータ、第2のランダムデータおよび比較結果データは、暗号化され、安全装置102に送信される。
【0068】
ステップ803では、安全装置102において、第1のランダムデータ、第2のランダムデータおよび比較結果データが復号化され、比較結果データを確認するために、第1のランダムデータと第2のランダムデータとが比較される。安全装置102において、比較結果データの確認または比較結果データの確認の失敗を示す判定データが提供される。判定データ、第1のランダムデータ、第2ランダムデータおよび比較結果データは、暗号化され、通信装置101に送信される。
【0069】
ステップ804において、判定データ、第1のランダムデータ、第2のランダムデータおよび比較結果データが通信装置101において復号化される。判定データに基づいて比較結果データが確認される場合、通信装置101による医療装置100の遠隔制御操作が許可される。ステップ804において、判定データに基づいて比較結果データが確認されない場合、通信装置101による医療装置100の遠隔制御操作が阻止される。
【0070】
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】