Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen

Abstract

 Bei dem Verfahren und der Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines insbesondere medizinischen Behandlungsgeräts werden die zu übertragenden Signale kategorisiert, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K). Lediglich die sicherheitsrelevanten Steuersignale (S) werden insbesondere als codierte Signale übertragen und auf Übertragungsfehlersicherheit überprüft. Die unkritischen Kommunikationssignale (K) werden demgegenüber ohne Sicherheitsüberprüfung übertragen. Durch diese Maßnahme ist eine einfachere programmtechnische Einrichtung und damit auch Überprüfung und Wartung ermöglicht.

Beschreibung

[0001] Die Erfindung betrifft ein Verfahren sowie eine Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil und einem Basisteil eines sicherheitskritischen Geräts, insbesondere eines medizinischen Behandlungsgeräts.

[0002] Ein derartiges Verfahren und eine derartige Vorrichtung sind in der DE 10 2004 040 959 A1 beschrieben. Bei sicherheitskritischen Geräten, insbesondere bei medizinischen Behandlungsgeräten, bei denen von dem Gerät selbst eine potenzielle Gefährdung für einen zu behandelnden Patienten ausgeht, muss bei einer drahtlosen, ferngesteuerten Bedienung des Gerätes eine Fehlfunktion infolge von Übertragungsfehlern bei den drahtlos übertragenen Signalen ausgeschlossen werden. Diese so genannte "Erstfehlersicherheit" wird gemäß der DE 10 2004 040 059 A1 erreicht, indem ein zu übertragendes Signal dupliziert und jede Kopie des duplizierten Eingangssignals auf einen separaten unabhängigen Softwarepfad geführt und an ein Basisteil drahtlos übermittelt wird. Im Basisteil werden dann die beiden Kopien auf Konsistenz getestet. Bei Übereinstimmung der Signale ergeht ein entsprechendes Ausgangssignal als Steuersignal für das Gerät.

[0003] Ein derartiges Verfahren benötigt eine vergleichsweise hohe Rechenleistung und führt zudem auch zu einer vergleichsweise hohen Komplexität, die bei Softwareänderungen oder -ergänzungen berücksichtigt werden muss.

[0004] Der Erfindung liegt daher die Aufgabe zugrunde, eine vereinfachte drahtlose Signalübertragung ohne sicherheitstechnische Einbußen gegenüber den bekannten Verfahren zu ermöglichen.

[0005] Die Aufgabe wird gemäß der Erfindung gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie durch eine Vorrichtung mit den Merkmalen des Anspruchs 14. Danach ist vorgesehen, dass die von einem mobilen Bedienteil zu einem festen Basisteil zu übertragenden Signale in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale eingeteilt werden, und dass lediglich die sicherheitsrelevanten Steuersignale auf Fehlersicherheit, nämlich Übertragungs- oder Erst-Fehlersicherheit, überprüft werden. Die unkritischen Kommunikationssignale werden demgegenüber ohne Sicherheitsprüfung und damit getrennt von den Steuersignalen zwischen dem Basisteil und dem Bedienteil übertragen.

[0006] Durch die Auftrennung in zwei Arten von Signalen und deren getrennte Übertragung auf eigenen Kanälen, die physikalisch oder logisch voneinander getrennt sind, ist eine deutliche Vereinfachung erzielt. Die logische Trennung wird beispielsweise dadurch erreicht, dass die Übertragung in voneinander abgegrenzten Bereichen eines gemeinsamen Übertragungsprotokolls spezifiziert ist.

[0007] Zum einen wird erreicht, dass der hohe Aufwand für die fehlersichere Übertragung lediglich im Hinblick auf diejenigen Signale durchgeführt wird, die tatsächlich sicherheitskritisch sind. Gleichzeitig wird durch die strikte Trennung dieser beiden Signaltypen auch sichergestellt, dass keine Vermengung zwischen den Signaltypen erfolgt. Es ist also sichergestellt, dass alle sicherheitsrelevanten Steuersignale tatsächlich auch fehlersicher übertragen werden. Durch die klare Trennung der Signalarten ist zudem eine leichte Änderbarkeit und Wartbarkeit der zugrunde liegenden Software, beispielsweise Bedien-Software, ermöglicht. Durch die Trennung dieser unterschiedlichen Signalarten wird eine Vermengung von sicherheitsrelevanten und nicht sicherheitskritischen Funktionen vermieden. Dies führt zu der leichten Handhabung der nicht sicherheitskritischen Funktionen. Diese Funktionen sind beispielsweise die Menu-Führung oder Anzeige-Optionen am Bedienteil. Auch können einem Bedienteil durch diese logische Trennung der Signaltypen ohne weiteres neue Geräte bekannt gemacht werden, die dann beispielsweise über eigene Menüs am Bedienteil ansteuerbar sind.

[0008] Unter Bedienteil, nachfolgend auch als Mobilteil bezeichnet, wird allgemein ein Eingabegerät verstanden, welches als so genannte Nutzerschnittstelle (User Interface) dient, über die der jeweilige Bediener Steuersignale an das Gerät übermittelt bzw. Signale über den Zustand des Geräts angezeigt bekommt. Dieses Bedienteil kann als Bedienpult mit Schalt- und Steuerelementen sowie mit einem optischen Anzeigeelement oder auch als ein tragbares Handgerät ausgestaltet sein.

[0009] Unter sicherheitsrelevanten Steuersignalen werden hierbei vorzugsweise derartige Signale verstanden, die eine Verstellbewegung und/oder Strahlungsparameter des Geräts beeinflussen. Allgemein sind sicherheitsrelevante derartige Signale, die eine Funktion des Geräts beeinflussen, die zu einer potenziellen Gefährdung insbesondere eines Patienten oder auch der grundsätzlichen Betriebsbereitschaft des Geräts führen kann. So muss beispielsweise sichergestellt sein, dass über die Steuersignale das Gerät nicht an eine Position verfahren wird, an der sich beispielsweise bereits der Patient befindet, oder an dem sich ein anderer Gegenstand befindet. Auch gelten bestimmte Randbedingungen für Geschwindigkeit, Beschleunigung, etc. der Verstellbewegungen. Weitere sicherheitsrelevanten Funktionen, insbesondere bei einem medizinischen Gerät sind die als Bestrahlungsparameter zusammengefassten Parameter, über die die Behandlung des Patienten gesteuert wird. Unter Behandlung wird hierbei jeglicher Eingriff in den Körper des Patienten mit Hilfe des medizinischen Geräts verstanden. Das medizinische Gerät ist beispielsweise ein Diagnosegerät, welches zu Diagnosezwecken den Patienten bestrahlt, wie z.B. ein Röntgengerät, ein Computertomografiegerät, ein Magnetresonanzgerät, etc. Alternativ ist das medizinische Gerät beispielsweise ein Therapiegerät, bei dem über Partikelbestrahlung eine direkte Tumorbehandlung erfolgt.

[0010] Unter Bestrahlungsparameter werden daher beispielsweise Parameter verstanden, über die die Bestrahlungsintensität, die Bestrahlungsdauer, die Art der Strahlung, der Fokus der Strahlung, der Abstand der Strahlquelle vom Patienten, etc. eingestellt werden.

[0011] Die sicherheitsrelevanten Signale werden - da sie Steuersignale für das Gerät sind - vorzugsweise lediglich unidirektional vom Bedienteil an das Basisteil übermittelt. Die Überprüfung auf Fehlersicherheit erfolgt also vorzugsweise lediglich in Richtung vom Bedienteil zum Basisteil. In einer alternativen Ausgestaltung werden die sicherheitsrelevanten Signale bidirektional übertragen und überprüft.

[0012] Die unkritischen Kommunikationssignale sind vorzugsweise wahlweise Grafiksignale oder Auswahlsignale. Unter Grafiksignalen werden hierbei derartige Signale verstanden, über die Anzeigeeinstellungen am Bedienteil oder auch am medizinischen Gerät verändert werden. Derartige Anzeigeeinstellungen sind beispielsweise spezielle Benutzeroberflächen eines Bedienmenus, das Ansteuern von Signalleuchten, etc. Unter Auswahlsignalen werden derartige Signale verstanden, über die nicht sicherheitsrelevante Gerätefunktionen angewählt und ausgewählt werden. Derartige Gerätefunktionen sind beispielsweise Funktionen im Hinblick auf die Bildaufbereitung, wie beispielsweise Zoomfaktor, Schärfeeinstellungen, Wahl der Bildausschnitte, Wahl der Daten, die angezeigt werden, etc. Üblicherweise wird nämlich während einer medizinischen Behandlung parallel an einem oder mehreren Monitoren der Fortgang oder das Ergebnis der aktuellen Behandlung angezeigt. Hierbei ist üblicherweise ein vielschichtiges Menu abrufbar. Die Ansteuerung der einzelnen Anzeigemonitore, die Auswahl des jeweiligen Menus, die Auswahl eines bestimmten Berechnungsalgorithmus, etc. sind hierbei Gerätefunktionen, welche keinen unmittelbaren Einfluss auf den Patienten haben und somit eine Gefährdung darstellen.

[0013] Um eine sichere und zuverlässige Übertragung der sicherheitsrelevanten Steuersignale zu gewährleisten, werden diese gemäß einer zweckdienlichen Ausgestaltung im Mobilteil mittels eines Prüfcodes codiert und im Basisteil wieder decodiert. Hierzu wird den Signalen eine so genannte Prüfinformation oder ein Prüfcode beigefügt, anhand dessen die fehlersichere Übertragung des jeweiligen Einzelsignals überprüft werden kann. Jedes Einzelsignal wird hierbei mit einer solchen speziellen eindeutigen Prüfinformation versehen. Insbesondere wird hierzu ein so genannter CRC (Cyclic Redundancy Code), bevorzugt ein 32-Bit-CRC, zugeordnet. Alternativ oder ergänzend werden zweckdienlicherweise die Steuersignale redundant übertragen, das heißt von dem jeweiligen zu übertragenden einzelnen Signal wird eine Kopie angefertigt, übertragen und dann am Basisteil wieder auf Übereinstimmung mit dem parallel übertragenen Original überprüft, wie dies gemäß der DE 10 2004 040 059 A1 vorgesehen ist.

[0014] Gemäß einer zweckdienlichen Weiterbildung ist im Bedienteil und/oder im Basisteil, vorzugsweise in beiden Teilen, eine Steuereinheit vorgesehen, mit deren Hilfe die Unterscheidung in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale erfolgt. In der jeweiligen Steuereinheit werden daher einerseits auf Seiten des Bedienteils und andererseits auf Seiten des Basisteils die Signale voneinander getrennt verarbeitet und für die Übertragung vorbereitet.

[0015] Die Unterscheidung in sicherheitsrelevante Steuersignale und unkritische Kommunikationssignale wird hierbei aus sicherheitstechnischen Überlegungen heraus zweckdienlicherweise hardwaretechnisch realisiert, insbesondere indem die sicherheitsrelevanten Steuersignale über eine definierte Kontaktbelegung (Pinbelegung) von Anschlusskontakten an der jeweiligen Steuereinheit bei dieser eingehen. Signale, die an diesen definierten Anschlusskontakten anliegen, werden automatisch als sicherheitsrelevante Steuersignale identifiziert. Hierzu erfolgt eine 1:1-Verdrahtung zwischen Bedienelementen, wie beispielsweise Steuerknöpfen, Tastern und Schaltern, und der Steuereinheit des Bedienteils. Es erfolgt also keine softwaretechnische Aufbereitung der Steuersignale. Die einzelnen Bedienelemente für die Ausübung der Steuersignale sind daher mit einem jeweiligen ihnen zugeordneten Eingangspin der Steuereinheit verbunden. Vorzugsweise ist jedem Bedienelement zumindest einer der Eingangspins zugeordnet.

[0016] Im Unterschied hierzu ist vorgesehen, dass die sicherheitsunkritischen Kommunikationssignale vorzugsweise über einen Datenbus, also eine einzige Datenleitung für unterschiedliche Signale, übermittelt werden.

[0017] Gemäß einer bevorzugten Weiterbildung umfasst die Steuereinheit ein Sicherheitsmodul zur Bearbeitung der sicherheitskritischen Steuersignale sowie ein weiteres Modul zur Bearbeitung der unkritischen Kommunikationssignale. Durch diese logische oder auch hardwaremäßige Unterteilung der Steuereinheit ist die Trennung der unterschiedlichen Signalarten konsequent weitergeführt. Dies erlaubt beispielsweise ein einfaches Konfigurieren, Ändern oder Warten der Software des weiteren Moduls für die unkritischen Kommunikationssignale. Hierbei sind keinerlei Wechselwirkungen mit der Bearbeitung der sicherheitskritischen Steuersignale zu befürchten. Insgesamt lassen sich daher auf einfache Weise Anpassungen vornehmen. Das weitere Modul ist insbesondere als so genannter Controller für die Grafikgeräte, für die Benutzerschnittstelle oder auch für die nicht sicherheitsrelevanten Gerätefunktionen ausgebildet. Insbesondere ist dieses weitere Modul auf Seiten des Bedienteils als Grafikcontroller für ein Anzeigeelement ausgebildet. Auf Seiten des Basisteils ist es als Controller (UI-Controller) für das so genannte User-Interface ausgebildet, über das die Funktionalität des User-Interface, also des mobilen Bedienteils, eingestellt, programmiert und verändert werden kann. Derartige Einstellungen betreffen beispielsweise die grafischen Einstellungen oder auch die Einstellungen, welche Art von Geräten vom Bedienteil aus ansteuerbar sind, etc. Von diesem UI-Controller nicht beeinflusst sind hingegen alle sicherheitskritischen Funktionen, wie beispielsweise Steuersignale für Verstellbewegungen, etc. Dieses als UI-Controller ausgebildete weitere Modul wird auch als Bedienmodul bezeichnet, und übernimmt allgemein die Steuerung der Funktionalität des Mobilteils.

[0018] Zweckdienlicherweise sind sowohl im Basisteil als auch im Bedienteil eine Steuereinheit mit einem Sicherheitsmodul vorgesehen, wobei die beiden Sicherheitsmodule die Übertragung der Signale steuern. Das heißt, über die Sicherheitsmodule erfolgt der Austausch und die Kommunikation sowohl im Hinblick auf die sicherheitskritischen Steuersignale als auch im Hinblick auf die unkritischen Kommunikationssignale. Im Sicherheitsmodul des Bedienteils erfolgt hierbei die Codierung und im Sicherheitsmodul des Basisteils die Decodierung der sicherheitsrelevanten Steuersignale.

[0019] Auf Geräteseite erfolgt die tatsächliche Ansteuerung des Geräts über das Basisteil. Zweckdienlicherweise erfolgt hierbei die sicherheitskritische Kommunikation mit einer Systemsteuerung des Geräts über das Sicherheitsmodul. Das Sicherheitsmodul übermittelt also die sicherheitskritischen Steuersignale, wohingegen der Austausch von Kommunikationssignalen mit dem Gerät über das Bedienmodul erfolgt. Auch hier ist wiederum zweckdienlicherweise vorgesehen, dass die sicherheitskritischen Steuersignale über eine 1:1-Verdrahtung zwischen dem Sicherheitsmodul des Basisteils und der Systemsteuerung erfolgen, wohingegen die Kommunikationssignale bevorzugt über einen Datenbus ausgetauscht werden.

[0020] Ein Ausführungsbeispiel der Erfindung wird im Folgenden anhand der Figur näher erläutert. Diese zeigt in einer stark vereinfachten Blockbilddarstellung eine Vorrichtung, die für eine drahtlose Übertragung von Signalen zwischen einem mobilen Bedienteil und einem Basisteil zur Ansteuerung eines sicherheitskritischen Gerätes, insbesondere eines medizinischen Behandlungsgerätes, ausgebildet ist.

[0021] Die Vorrichtung umfasst demnach ein Mobilteil 2, ein Basisteil 4 sowie eine Systemsteuerung 6. Diese drei Komponenten bilden Bestandteile eines hier nicht näher dargestellten sicherheitsrelevanten Geräts. Das Mobilteil 2 ist als eigenständiges und frei bewegliches, mit einem eigenen Gehäuse versehenes Teil ausgebildet, welches beispielsweise tragbar oder beliebig verfahrbar im Raum angeordnet ist. Das Basisteil 4 ist vorzugsweise fest mit einer Hauptkomponente des Gerätes verbunden, in der auch die Systemsteuerung integriert ist. Das sicherheitskritische Gerät ist insbesondere ein medizinisches Behandlungsgerät.

[0022] Das Mobilteil 2 und das Basisteil 4 sind zur drahtlosen Kommunikation miteinander ausgebildet und weisen hierzu eine entsprechende drahtlose Kommunikationsschnittstelle 8 auf, die beispielsweise nach dem Bluetooth-Standard aufgebaut ist.

[0023] Das Mobilteil 2 weist eine erste Steuereinheit 10A auf, welches ein erstes Sicherheitsmodul 12A sowie ein zweites, weiteres Modul umfasst, welches nachfolgend als Grafik-Controller 14A bezeichnet wird. In ähnlicher Weise umfasst auch das Basisteil 4 eine zweite Steuereinheit 10B mit einem zweiten Sicherheitsmodul 12B und einem zweiten weiteren Modul, welches nachfolgend als Bedienmodul 14B bezeichnet wird. Alternativ kann das Bedienmodul 14B auch als UI-Controller (User Interface-Controller) bezeichnet werden.

[0024] Das Mobilteil 2 umfasst weiterhin eine Anzeige 16, beispielsweise einen Bildschirm. Schließlich sind auf Seiten des Mobilteils 2 Bedienelemente 18A,B vorgesehen, über die eine Bedienperson Eingaben tätigen kann, über die das medizinische Gerät gesteuert wird. Über die Anzeige 16 erhält der Bediener zugleich Informationen insbesondere über den Zustand des Geräts und es werden ihm unterschiedliche Menüs zur Auswahl angezeigt.

[0025] Bei den Bedienelementen 18A,B ist von besonderer Bedeutung, dass diese im Hinblick auf ihre Funktion unterschieden werden. Die Elemente 18A dienen nämlich ausschließlich zur Eingabe von unkritischen Kommunikationssignalen K, wohingegen die Bedienelemente 18B ausschließlich zur Eingabe von sicherheitsrelevanten Steuersignalen S dienen. Während die ersten Bedienelemente 18A beliebiger Natur sein können und beispielsweise auch ein Touch Screen oder andere software-unterstützte Bedienelemente vorgesehen sind, sind die zweiten Bedienelemente 18B unmittelbar hardwaretechnisch, also über eine direkte Verdrahtung, mit dem ersten Sicherheitsmodul 12A verbunden. Lediglich beispielhaft illustriert sind hier in der Figur einzelne Kontaktpins 20 als Anschlusskontakte dargestellt. Es erfolgt also eine 1:1-Pinbelegung zwischen einem jeweiligen zweiten Bedienelement 18B und einem Kontaktpin 20 der ersten Steuereinheit 10A.

[0026] Die Steuersignale S werden von den zweiten Bedienelementen 18B an eine erste Rechnereinheit (Mikroprozessor) 22A des ersten Sicherheitsmoduls 12A übermittelt. Parallel hierzu werden die Kommunikationssignale K vom ersten Bedienelement 18A der Rechnereinheit 22 übermittelt. Alternativ hierzu besteht die Möglichkeit, dass die Kommunikationssignale K von den ersten Bedienelementen 18A über den Grafik-Controller 14A an die Rechnereinheit 22 übermittelt werden.

[0027] Wie sofort zu erkennen ist, erfolgt daher eine getrennte Zuführung der Signale K,S zu der Rechnereinheit 22, in der sie auch getrennt voneinander verarbeitet werden. Die Kommunikationssignale K werden ohne weitere sicherheitsrelevante Aufbereitung an die Kommunikationsschnittstelle 8 zur Übermittlung an das Basisteil 4 weitergeleitet. In dieser Kommunikationsschnittstelle 8 werden sie dann für die Übertragung aufbereitet und übermittelt.

[0028] Die sicherheitsrelevanten Steuersignale S hingegen werden in der Rechnereinheit 22 aufbereitet, und zwar insbesondere in der Art und Weise, wie sie in der DE 10 2004 040 059 A1 beschrieben ist. Insoweit wird auf diese Anmeldung Bezug genommen. Insbesondere erfolgt hierbei eine Duplizierung eines jeweiligen Steuersignals S. Das heißt, jedes eingehende Steuersignal S wird dupliziert, so dass es redundant vorliegt. Es besteht hierbei die Möglichkeit, eine Kopie des duplizierten Steuersignals S zu invertieren. Anschließend werden das Original und die Kopie des jeweiligen einzelnen Steuersignals S mit einer Prüfinformation, nämlich einem so genannten CRC (Cyclic Redundancy Code) versehen und in dieser Form an die Kommunikationsschnittstelle 8 zur Aufbereitung und Übertragung weitergeleitet.

[0029] Die Signale K,S werden auf Seiten des Basisteils 4 von der dortigen Kommunikationsschnittstelle 8 empfangen und an eine dortige in dem zweiten Sicherheitsmodul 12B befindliche zweite Rechnereinheit 22B zur weiteren Verarbeitung weitergeleitet. Diese Rechnereinheit 22B unterscheidet zwischen den Kommunikationssignalen K und den Steuersignalen S. Während die Kommunikationssignale K im Wesentlichen ohne spezielle Verarbeitung weitergeleitet werden, erfolgt in der Rechnereinheit 22B die Decodierung der sicherheitsrelevanten Steuersignale S. Hierbei erfolgt zunächst eine Überprüfung der Prüfinformation, ob also die angekommenen Datensignale plausibel sind. Anschließend werden die redundant übermittelten Informationen des jeweiligen einzelnen Steuersignals S gegebenenfalls nach Invertierung miteinander auf Konsistenz verglichen. Sofern hier eine fehlersichere Übertragung identifiziert wird, werden die Steuersignale S an ein Signalausgangsmodul 26 übermittelt, über das dann die Steuersignale S an die Systemsteuerung 6 des medizinischen Gerätes weitergeleitet werden.

[0030] In gleicher Weise wie die zweiten sicherheitskritischen Bedienelemente 18B über eine 1:1-Pinbelegung mit der ersten Steuereinheit 10A verbunden sind, ist auch die Systemsteuerung 6 bezüglich der Steuersignale S mit dem zweiten Steuermodul 10B über entsprechende Kontaktpins 20 mittels einer 1:1-Pinbelegung und einer Verdrahtung verbunden.

[0031] Die Kommunikationssignale K werden von der Rechnereinheit 22B an das Bedienmodul 14B übermittelt, in dem diese dann aufbereitet und an die Systemsteuerung 6 weitergeleitet werden. Der Datenaustausch der Kommunikationssignale K zwischen dem Bedienmodul 14B und der Systemsteuerung 6 erfolgt hierbei vorzugsweise über ein Busmodul 28. Zur Übertragung ist hier ein Datenbus, beispielsweise der CAN-Bus, vorgesehen.

[0032] Im Bedienmodul 14B ist die Verwaltung und Ansteuerung der einzelnen Funktionen des Mobilteils 2 hinterlegt. Das heißt, die Funktionalität des Mobilteils 2 wird über dieses Bedienmodul 14B bestimmt. Unter Funktionalität wird hierbei verstanden, welche technischen Geräte vom Mobilteil 2 ansteuerbar sind oder auch welche Funktionen eines einzelnen technischen Geräts vom Mobilteil 2 ansteuerbar sind. Beispielsweise besteht die Möglichkeit, über das Mobilteil 2 einen Zugriff auf spezielle Daten oder spezielle Menustrukturen oder auch auf spezielle Gerätekomponenten des medizinischen Geräts einzurichten, zu unterdrücken oder auch nutzerabhängig zuzulassen. So können beispielsweise am medizinischen Gerät mehrere Monitore vorgesehen sein. Über das Bedienmodul 14B wird nunmehr die Funktionalität des Mobilteils 2 insoweit eingerichtet, als dass beispielsweise das Umschalten zwischen den unterschiedlichen Monitoren erlaubt ist. Nicht umfasst von dem Bedienmodul 14B ist die Beeinflussung der Funktionalität der sicherheitskritischen zweiten Bedienelemente 18B, da über diese die sicherheitskritischen Steuersignale S abgegeben werden.

[0033] Weiterhin ist das Bedienmodul 14B zur Konfiguration des Mobilteils 2 ausgebildet. Hierzu wird insbesondere eine Download-Funktionalität bereitgestellt, so dass bei Bedarf Konfigurationsdaten beispielsweise von der Systemsteuerung 6 über das Bedienmodul 14B als Kommunikationssignale K an den Grafikcontroller 14A übermittelt werden. Derartige Konfigurationsdaten sind beispielsweise Bitmaps, also Grafikdaten für die Benutzeroberfläche, oder auch Texte etc.

[0034] Wie sich aus der grafischen Darstellung in der Figur sofort erkennen lässt, ist eine strikte Trennung zwischen den Kommunikationssignalen K und den Steuersignalen S auf dem gesamten Signalweg zwischen dem Mobilteil 2 und letztendlich der Systemsteuerung 6 vorgenommen. Durch diese funktionale Trennung insbesondere auch auf Seiten der Steuereinheiten 10A,B, die logisch oder auch hardwaretechnisch jeweils ein eigenes Modul (Grafikmodul 14A bzw. Bedienmodul 14B) für die Kommunikationssignale K aufweisen, ist eine einfache und problemlose Einrichtung, Programmierung, Änderung, etc. der gesamten Kommunikationsebene möglich. Unter Kommunikationsebene werden hierbei sämtliche Komponenten verstanden, die für die Funktionalität im Hinblick auf die Kommunikationssignale K verantwortlich sind, also für die grafische Darstellung (Grafiksignale, Anzeigeeinstellungen) oder auch für so genannte Auswahlsignale zur Ansteuerung von nicht sicherheitsrelevanten Gerätefunktionen. Insgesamt ist dadurch eine einfache Wartung und Behandlung dieser Kommunikationsebene ermöglicht. Gleichzeitig bleibt die sicherheitskritische Übertragung der Steuersignale S unbeeinflusst.

Bezugszeichenliste

[0035] 

2

Mobilteil

4

Basisteil

6

Systemsteuerung

8

Kommunikationsschnittstelle

10A,B

erste, zweite Steuereinheit

12A,B

erstes, zweites Sicherheitsmodul

14A

Grafikcontroller

14B

Bedienmodul

16

Anzeige

18A,B

erste, zweite Bedienelemente

20

Kontaktpin

22A,B

erste, zweite Rechnereinheit

26

Signalausgangsmodul

28

Busmodul

K

Kommunikationssignal

S

Steuersignal

Ansprüche

1. Verfahren zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines sicherheitskritischen Geräts, insbesondere ein medizinisches Behandlungsgerät,
dadurch gekennzeichnet, dass die zu übertragenden Signale kategorisiert werden, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K) und dass lediglich die sicherheitsrelevanten Steuersignale (S) auf Fehlersicherheit überprüft werden, wohingegen die unkritischen Kommunikationssignale (K) ohne Sicherheitsüberprüfung übertragen werden.

2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) Signale sind, die eine Verstellbewegung und/oder Bestrahlungsparameter des Geräts beeinflussen.

3. Verfahren nach Anspruch 1 oder 2,
dadurch gekennzeichnet, dass die Kommunikationssignale (K) wahlweise Grafiksignale oder Auswahlsignale sind, wobei über die Grafiksignale Anzeigeeinstellungen verändert werden, und wobei über die Auswahlsignale nicht sicherheitsrelevante Gerätefunktonen angewählt werden.

4. Verfahren nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) im Bedienteil (2) kodiert und im Basisteil (4) dekodiert werden.

5. Verfahren nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass die sicherheitsrelevanten Steuersignale (S) redundant übertragen werden und im Basisteil (4) auf Übereinstimmung überprüft werden.

6. Verfahren nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass im Bedienteil (2) und/oder im Basisteil (4) eine Steuereinheit (10A,B) ist, in der eine Unterscheidung in die sicherheitsrelevanten Steuersignale (S) und die unkritischen Kommunikationssignale (K) erfolgt.

7. Verfahren nach Anspruch 6,
dadurch gekennzeichnet, dass die Steuereinheit (10A,B) Anschlusskontakte (20) aufweist über die die sicherheitsrelevanten Steuersignale (S) über eine definierte Kontaktbelegung der Anschlusskontakte (20) übertragen werden.

8. Verfahren nach Anspruch 6 oder 7,
dadurch gekennzeichnet, dass die Steuereinheit (10A,B) ein Sicherheitsmodul (12A,B) zur Bearbeitung der Steuersignale (S) sowie ein weiteres Modul (14A,B) zur Bearbeitung der unkritischen Kommunikationssignale (K) aufweist.

9. Verfahren nach Anspruch 8,
dadurch gekennzeichnet, dass die Steuereinheit (10B) im Basisteil (4) als weiteres Modul (14B) ein Bedienmodul aufweist, welches die Steuerung der Funktionalität des Bedienteils (2) übernimmt

10. Verfahren nach einem der Ansprüche 6 bis 9,
dadurch gekennzeichnet, dass sowohl im Basisteil (4) als auch im Bedienteil (2) jeweils eine Steuereinheit (10A,B) mit einem Sicherheitsmodul (12A,B) vorgesehen ist, wobei die Sicherheitsmodule (12A,B) die Übertragung der Signale (S,K) steuern.

11. Verfahren nach Anspruch 10,
dadurch gekennzeichnet, dass die Übermittlung der sicherheitsrelevanten Steuersignale (S) an eine Systemsteuerung (6) des Geräts über das Sicherheitsmodul (12B) und der Austausch der Kommunikationssignale (K) mit dem Gerät über das weitere Modul (14B) des Basisteils (4) erfolgt.

12. Verfahren nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass die Übertragung der sicherheitsrelevanten Steuersignale (S) über miteinander verdrahtete Anschlusskontakte (20) erfolgt.

13. Verfahren nach Anspruch 12,
dadurch gekennzeichnet, dass die Übertragung der unkritischen Kommunikationssignale (K) über einen Datenbus erfolgt.

14. Vorrichtung zur drahtlosen Übertragung von Signalen zwischen einem mobilen Bedienteil (2) und einem Basisteil (4) eines sicherheitskritischen Geräts, insbesondere medizinisches Behandlungsgerät,
dadurch gekennzeichnet, dass das Bedienteil (2) und das Basisteil (4) derart ausgebildet sind, dass die zu übertragenden Signale kategorisiert werden, nämlich in sicherheitsrelevante Steuersignale (S) und unkritische Kommunikationssignale (K) und dass lediglich die sicherheitsrelevanten Steuersignale (S) auf Fehlersicherheit überprüft werden, wohingegen die unkritischen Kommunikationssignale (K) ohne Sicherheitsüberprüfung übertragen werden.

Zeichnung