用于操作医疗系统的方法、医疗系统以及安全模块与流程

背景技术

这种医疗系统可以提供有一种远程控制装置，该远程控制装置被配置为提供用于操作医疗装置的控制命令。

文献EP 3155958 A2公开了一种用于操作系统的方法，该系统包括：医疗装置，其具有用于感测医疗数据的传感器装置和用于输送药物的药物输送装置中的至少一个；便携式电子消费装置；中间装置，其提供有用于与便携式电子消费装置和第二通信装置进行数据通信的第一通信协议；以及控制模块，其设置在中间装置中。该方法包括：在控制模块中，通过设置在控制模块中的接收功能从便携式电子消费装置接收控制数据，控制数据被配置用于控制医疗装置的操作；确定控制数据是否能够通过设置在控制模块中的确认功能来确认；以及，如果确认了控制数据，则通过设置在控制模块中的传输功能将控制数据传输到医疗装置。

技术实现要素：

本公开的一个目的是提供一种用于操作医疗系统的方法，用于改进设置在医疗系统中的医疗装置的可靠和安全操作。本公开的另一目的是提供一种医疗系统和/或安全模块，用于改进其在医疗系统中的可靠和安全操作

为了解决至少一个目的，提供了一种根据权利要求1的用于操作医疗系统的方法。此外，提供了分别根据权利要求11和13的一种医疗系统和一种安全模块。从属权利要求中提及了其他实施例。

根据一个方面，提供了一种用于操作医疗系统的方法，该医疗系统具有远程控制装置、安全模块和医疗装置。所述方法包括：提供用于非对称密码的密钥对，所述密钥对包括公钥和私钥，其中所述公钥设置在所述远程控制装置和所述医疗装置两者中，并且所述私钥设置在所述安全模块中；在所述远程控制装置中，生成通过将所述公钥应用于被配置为控制所述医疗装置的操作的控制命令而加密的加密控制命令；在所述安全模块中接收经加密控制命令；在所述安全模块中，通过应用所述私钥来解密所述经加密控制命令，所述解密包括确定所述控制命令是通过应用所述公钥加密的；在所述安全模块中，通过将所述私钥应用于经解密控制命令或从所述经解密控制命令导出并被配置为控制所述医疗装置的操作的修改的医疗控制命令来生成安全模块加密控制命令；在所述医疗装置中接收所述安全模块加密控制命令；在所述医疗装置中，通过应用所述公钥来解密所述安全模块加密控制命令；以及如果所述控制命令或经修改控制命令已经被在所述安全模块和所述医疗装置之一中接收的用户确认输入所确认，则根据所述控制命令和所述经修改控制命令中的一者来控制所述医疗装置的操作。

根据另一个方面，提供了一种医疗系统，所述系统包括远程控制装置、安全模块和医疗装置。所述系统组件被配置为：设置用于非对称密码的密钥对，所述密钥对包括公钥和私钥；在所述远程控制装置和所述医疗装置中均设置所述公钥；在所述安全模块中设置所述私钥；在所述远程控制装置中，生成通过将所述公钥应用于控制命令而加密的经加密控制命令；在所述安全模块中接收所述经加密控制命令；在所述安全模块中，通过应用所述私钥来解密所述经加密控制命令，所述解密包括确定所述控制命令是否是通过应用所述公钥加密的；在所述安全模块中，通过将所述私钥应用于经解密控制命令或从所述经解密控制命令导出并被配置为控制所述医疗装置的操作的修改的医疗控制命令来生成安全模块加密控制命令；在所述医疗装置中接收所述安全模块加密控制命令；在所述医疗装置中，通过应用所述公钥来解密所述安全模块加密控制命令；以及如果所述控制命令或经修改控制命令已经被在所述安全模块和所述医疗装置之一中接收的用户确认输入所确认，则根据所述控制命令和所述经修改控制命令之一来控制所述医疗装置的操作。

根据又一方面，提供了一种用于医疗系统的安全模块。所述安全模块包括：数据存储器，包括分配给用于非对称密码的密钥对的私钥，所述密钥对包括所述私钥和公钥；一个或多个数据处理器，以及用于与远程控制装置和医疗装置进行数据通信的数据通信接口。所述一个或多个数据处理器被配置为：从所述远程控制装置接收经加密控制命令，所述经加密控制命令是通过将所述公钥应用于被配置为控制所述医疗装置的操作的控制命令来加密的；通过应用所述私钥来解密所述经加密控制命令，所述解密包括确定所述控制命令是否是通过应用所述公钥来加密的；通过将所述私钥应用于经解密控制命令或从所述经解密控制命令导出并被配置为控制所述医疗装置的操作的修改的医疗控制命令来生成安全模块加密控制命令；将所述安全模块加密控制命令传输至所述医疗装置。

所提出的技术提供了所述远程控制装置和所述医疗装置之间的医疗系统内的数据通信的改进的安全性。

所述远程控制装置可以是非管制装置。在这种情况下，所提出的技术也确保节省医疗装置的数据通信和操作。关于非管制装置，例如，美国食品药品监督管理局(FDA)管制与医疗装置一起使用或用作医疗装置的装置，以确保其安全性和有效性。例如，存在一种国家程序，其被设计用来控制不必要的曝光，并确保电离和非电离辐射发射电子产品的安全和有效使用。例如FDA的规章提供了规定，即，管理条例，其定义了对这些产品的一般控制水平。在本公开的含义内的非管制装置是可以满足或不满足这种条例的规定，但尚未被认证为满足这种条例的装置。在其他国家，适用类似的官方规定。此外，所述远程控制装置可以是智能电话、个人数字助理、手持计算机、笔记本或平板。

所述安全模块可以是分离的装置，即，与所述远程控制装置和所述医疗装置分离。可替代地，所述安全模块可以集成在或附接到所述远程控制装置或所述医疗装置。进一步可替代地，所述远程控制装置和所述医疗装置可以各自包括集成或附接的安全模块。

在所述用于操作医疗系统的方法中，如果所述安全模块断定或确定所述控制命令未被所述公钥正确加密，则所述安全模块可阻止所述控制命令传输到所述医疗装置。此外，如果所述安全模块确定所接收的所述经加密控制命令还没有被所述远程控制装置提交，则可以阻止所述控制命令的传输。作为响应，所述安全模块可以删除所述经加密控制命令和/或所述经解密控制命令，从而防止在所述安全模块中存储这种数据。

所述安全模块加密控制命令可以直接从所述安全模块传输到所述医疗装置。在替代实施例中，安全模块加密控制命令经由远程控制装置和/或一个(一些)中间装置从所述安全模块间接地传输到所述医疗装置。

用于非对称密码的所述密钥对可以在制造所述安全模块时存储在所述安全模块中。在所述安全模块中制造之后提供所述密钥对的情况下，其仍然可以在安全模块被带到现场(例如，交付给顾客或用户)之前完成。

所述密钥对为所述安全模块和所述远程控制装置之间以及所述医疗装置和所述远程控制装置之间的加密和保护的数据通信提供了选择。所述远程控制装置本身不拥有(免)私钥。这同样适用于所述医疗装置。但是，也可以为所述安全模块设置所述私钥和所述公钥两者。所述安全模块可以向公众提供所述公钥，使得所述安全模块可以与所述医疗装置和/或遥控器通信，所述医疗装置和/或遥控器最初没有被设置所述公钥，但是从所述安全模块接收所述公钥。

所述医疗系统的组件可以提供有用于数据通信的一个或多个数据通信协议。可以存在应用于所述远程控制装置和所述安全模块之间的数据通信的第一数据通信协议。可以提供用于所述安全模块和所述医疗装置之间的数据通信的第二数据通信协议。在替代实施例中，相同的数据通信协议可以应用于所述远程控制装置和所述安全模块之间的数据通信以及所述医疗装置和所述安全模块之间的数据通信两者。

所述医疗系统的组件提供有用于通过在相应系统组件上运行的一个或多个软件应用来执行或实现所提出的技术的步骤或措施的功能，诸如加密功能和解密功能。

所述远程控制装置可以提供有用于生成和加密控制命令的软件应用，所述控制命令被配置为控制所述医疗装置的操作。这种控制命令也可以被称为医疗装置控制命令。在所述远程控制装置上使用这种软件应用之前，可以要求用户以不同方式“成功地通过”本身已知的双因素认证。类似地，可以在允许用户使用所述安全模块和/或所述医疗装置之前应用双因素认证。

在所述方法中，生成安全模块加密医疗装置可以进一步包括以下项：对所述经加密控制命令应用命令安全检查，包括根据所述安全模块中提供的批准的命令控制信息，确定所述控制命令是否是批准用于所述医疗装置的远程控制的批准的控制命令；以及如果确定所述控制命令是批准的控制命令，则生成所述安全模块加密控制命令。在所述命令安全检查中，所述安全模块将确定所接收的控制命令是否被允许用于医疗装置。可以检查已经从其接收到控制命令的远程控制装置是否被允许向所述医疗装置发送或应用所述控制命令。在所述安全模块中提供的批准的命令控制信息(数据)可以标识允许应用于所述医疗装置的一个或多个控制命令和/或仅允许用于所述远程控制装置的控制命令。此外，所述远程控制装置不允许应用的控制命令可以由所述批准的命令控制信息来指示。所述命令安全检查可以包括确定由所述控制命令提供或定义的控制数据(控制信号)是否在批准的限制内，例如由包括泵的医疗装置递送或施加的泵体积的限制。例如，可以检查由所述控制命令定义的胰岛素量的输送是否在量限制内。

生成所述安全模块加密控制命令可以进一步包括：对所述经加密控制命令应用错误检测检查，包括确定所述控制命令是否被所述远程控制装置正确加密；以及如果所述控制命令被正确加密，则生成所述安全模块加密控制命令。所述错误检测检查可以包括循环冗余校验(CRC)，CRC是在数字网络或存储装置中用于检测数据的意外改变的错误检测码。CRC校验本身是已知的，并且可以用于进一步提高所述医疗系统中数据通信的安全性。

在所述方法中，生成所述安全模块加密控制命令可以进一步包括以下各项：对所述经加密控制命令应用装置安全检查，包括根据所述安全模块中提供的批准的装置控制信息，确定所述控制命令是否是从批准用于所述医疗装置的远程控制的批准的远程控制装置接收的；以及如果确定所述远程控制装置是批准的远程控制装置，则生成所述安全模块加密控制命令。可以基于批准的装置控制信息在所述安全模块中应用装置安全检查，所述批准的装置控制信息标识被允许或被批准用于远程控制所述医疗装置的操作的一个或多个远程控制装置。所述批准的装置控制信息可以存储在所述安全模块的本地存储或存储器中。可替代地，所述安全模块可以通过无线数据通信从远程服务器装置接收这种信息。

所述方法还可以包括：在所述医疗装置中，将所述命令安全检查、所述错误检测检查和所述装置安全检查中的至少一个应用于所述安全模块加密控制命令。可以将针对所述安全模块中的经加密控制命令的应用而描述的不同检查应用于所述医疗装置自身中的所述安全模块加密控制命令，以进一步提高关于所述医疗装置的数据通信和操作控制的安全性。例如，所述装置安全检查可以被配置为确定从其接收到所述安全模块加密控制命令的所述安全模块是否被批准向所述医疗装置提交这种命令。

提供用于非对称密码的所述密钥对可以包括在所述安全模块中的只读数据存储器中提供所述私钥。以“只读存储器”为特征的存储装置本身可以以不同的类型使用。例如，所述只读数据存储器可以通过物理不可克隆功能(PUF)来实现，PUF是物理定义的“数字指纹”，用作诸如微处理器的半导体器件的唯一标识。PUF是体现在物理结构中的物理实体。PUF通常在集成电路中实现。用于非对称密码的所述私钥可以存储在专用存储器分配中。非对称密码的私钥和/或公钥可以存储在EEPROM，即电可擦除可编程只读存储器中。

所述方法可以进一步包括将所述安全模块提供为所述远程控制装置和所述医疗装置之一中的装置组件。所述安全模块可以与所述远程控制装置或所述医疗装置一起实现。例如，所述安全模块可以是这种装置之一的插件组件。一个或多个软件应用可以在所述远程控制装置或所述医疗装置上运行，用于实现所述安全模块提供的功能。

所述方法可以进一步包括将所述安全模块设置为与所述远程控制装置和所述医疗装置分离的便携式装置。在这样的实施例中，所述安全模块由与所述远程控制装置和所述医疗装置均分离的便携式装置提供。所述便携式装置被配置为应用一个或多个数据通信协议与所述远程控制装置和所述医疗装置进行无线数据通信。

在所述方法中，对所述装置控制命令或所述修改后的控制命令的确认可以包括以下各项：通过在所述远程控制装置、所述安全模块和所述医疗装置中的至少一者上提供的用户接口的输出装置来输出命令用户信息，所述命令用户信息指示所述装置控制命令或所述修改的装置控制命令；以及通过所述用户界面的输入装置接收所述用户确认输入。所述用户接口允许输出信息或数据例如用户信息或数据，并接收用户输入。它可以由一个或多个软件和硬件组件来实现。所述医疗系统的用户接口可以提供有独立的用户接口，所述用户接口提供有系统组件，诸如所述远程控制装置、所述安全模块和所述医疗装置。所述命令用户信息可以由所述输出装置输出的音频和/或视频数据提供。所述输出装置可以例如包括诸如一个或多个(彩色)灯的信号装置。可以使用不同类型的输入装置，诸如开关、按钮、触敏装置和/或语音记录，用于在所述医疗系统的一个或多个系统组件中接收用户输入。包括用户界面的相应系统组件还可被配置为将经由用户界面接收的用户确认输入传输到所述安全模块和/或所述医疗装置以供进一步处理。

在所述方法中，所述操作控制可以进一步包括控制选自下组的医疗装置的操作：医用泵装置、胰岛素泵和血糖测量装置。

所述远程控制装置可以是便携式控制装置。所述控制装置可以是便携式的。例如，消费电子装置可以实现诸如移动电话、平板计算机和膝上型计算机的远程控制装置。

以上针对所述方法描述的实施例原则上可以适用于医疗系统和/或安全模块。

具体实施方式

接下来，通过参考附图描述进一步的实施例。在附图中示出：

图1包括远程控制装置、安全模块和医疗装置的医疗系统的示意图；以及

图2操作医疗系统的方法的示意性流程图。

图1示出了包括以下部件的医疗系统1的示意图：远程控制装置2、安全模块或装置3和医疗装置4。例如，医疗装置4可以提供有：用于输送药物的泵，例如胰岛素泵；测量装置，例如用于采集或收集医疗数据的传感器装置；或者分析装置，例如用于确定体液样品的装置。医疗系统1的这种组件可以提供有用于无线和/或有线数据通信的一个或多个数据通信协议。可用的不同技术同样可应用于实现医疗系统1的组件之间的数据通信，例如蓝牙或近场通信(NFC)。可以在医疗系统1的组件上实现不同的软件应用，用于提供不同的功能，例如数据或信息的加密和解密。其他功能涉及数据传输、数据接收、数据存储和数据处理。医疗系统1的每个组件可以包括被配置为处理电子数据的一个或多个数据处理器。此外，组件可以具有一个或多个用于本地存储电子数据的存储装置。此外，可以从一个或多个远程服务器装置接收数据和/或向其传输数据。

可以将远程控制装置2提供为消费电子装置，例如移动电话、平板电脑或膝上型计算机。软件应用在远程控制装置2上运行，用于至少生成被配置为控制医疗装置4的操作的控制命令(也称为装置控制命令或医疗装置控制命令)。控制命令被配置为控制在操作模式中为医疗装置4提供的至少一个功能。远程控制装置2可以被配置为在允许用户使用提供用于生成控制命令的功能的软件应用之前应用双因素认证。

在图1所示的实施例中，医疗系统1的组件被示出为分离的系统组件。在替代实施例中，安全模块3可以是远程控制装置2和医疗装置4之一的一部分，例如，插入式装置组件。

参照图2，描述了用于操作提供有远程控制装置2、安全模块3和医疗装置4的医疗系统1的方法。在步骤20中，在医疗系统1中提供用于非对称密码的密钥对。密钥对包括公钥和私钥。医疗系统1的密码基础设施可以包括用于非对称密码的一个或多个另外的密钥对。密钥对的公钥至少被提供给远程控制装置2和医疗4两者。公钥的副本也可以在安全模块2中获得。私钥提供在安全模块3中。总之，在所描述的实施例中，远程控制装置2和医疗装置4二者都没有接收到或访问保存在安全模块3中的私钥。密钥对被分配给医疗系统1中的安全模块2。

如果模式控制装置2的用户想要响应于在远程控制装置2中接收的用户输入对医疗装置4应用操作的控制，则在步骤21中由在远程控制装置2上运行的软件应用生成控制命令。控制命令被配置为控制医疗装置4的操作。例如，可以提供控制命令来控制医疗装置4对药物的施加。例如，如果医疗装置4提供有用于输送诸如胰岛素的药物的泵装置，则产生泵控制命令，例如由泵装置输送的药物量。

接下来，在步骤22中，通过将公钥应用于控制命令，在远程控制装置2中生成经加密控制命令。

在步骤23中，将经加密控制命令从远程控制装置2传输到安全模块3。在步骤24中，安全模块3通过应用私钥来解密经加密控制命令。在这样做时，由安全模块3确定控制命令是否通过应用公钥被正确加密。此外，安全模块3可以检查是否已经从远程控制装置2接收到经加密控制命令。安全模块3可以确认远程控制装置2被批准为医疗装置4提供控制命令。可以在安全模块3的存储装置中提供关于批准的远程控制装置的信息。可替代地或附加地，可以从远程服务器装置接收这种信息。安全模块3还可以对从远程控制装置2接收的经加密控制命令应用错误检测检查。例如，可以执行循环冗余测试(CRC)校验。可以通过安全模块3应用一种或多种安全检查。

如果在安全模块3中确认所接收的控制命令被一种或多种安全检查确定为正确(允许)，则在步骤24中，安全模块3将通过将私钥应用于控制命令或从控制命令导出的经修改控制命令来生成安全模块加密控制命令。例如，经修改控制命令可以将一个或多个操作参数限制到允许的限度，这种操作参数指示控制命令中不允许用于医疗装置4的限度。在步骤25中，将安全模块加密控制命令从安全模块3传输到医疗装置4。作为响应，医疗装置4将通过应用公钥来解密安全模块加密控制命令。

在步骤26中，根据控制命令和修改后的控制命令中的一者来控制医疗装置4的操作。如果用户确认已经确认控制命令或经修改控制命令，则应用这种操作控制。响应于通过提供有医疗系统1的用户接口的输出装置输出命令用户信息而接收这种用户确认，命令用户信息指示装置控制命令或修改的装置控制命令。通过这种命令用户信息，通知用户关于打算应用于医疗装置4的控制命令/经修改控制命令。用户可以检查是否应该应用这种控制命令。通过经由医疗系统1的用户接口的输入装置输入用户确认输入，用户确认可以应用控制命令。

命令用户信息可以与音频/或视频数据一起提供。命令用户信息可以通过远程控制装置2、安全模块3和医疗装置4之一的输出装置输出。可以输出音频数据和/或视频数据以向用户提供命令用户信息。例如，命令用户信息可以向用户指示将由控制命令控制的医疗装置4的功能。此外，命令用户信息可以根据控制命令指示要应用于操作医疗装置4的一个或多个控制参数。对于操作参数，可以由命令用户信息指示参数限制。

响应于接收经加密控制命令，可以在安全模块3中生成命令用户信息输出。作为替代或附加地，命令用户信息可以在接收到安全模块加密控制命令之后由医疗装置4生成并输出。因此，根据控制命令或经修改控制命令控制医疗装置4的操作将仅在接收到用户输入确认之后应用。

可以提供的是，仅远程控制装置2包括用于生成控制命令的功能，而安全模块3不包括。另一方面，只有安全模块3设置有私钥。因此，只有安全模块3(不同于远程控制装置2)能够产生安全模块加密控制命令，该安全模块加密控制命令可以在医疗装置4中解密，用于医疗装置4的操作的实际控制。由于从远程控制装置2接收到这种控制命令，因此不需要并且不要求安全模块3设置有有用于生成控制命令的功能。因此，安全模块3没有设置有用于生成控制命令的功能。