Sicherheitsisolation in Healthcare-Produkten
Schnittstellen sicher getrennt
Medizinische Healthcare-Produkte erobern zunehmend unser Zuhause und den öffentlichen Raum. Daher muss das Thema Sicherheit verglichen mit der aktuellen Medizintechnikgeneration für den Klinikeinsatz neu überdacht werden. Das gilt auch für die verschiedenen Schnittstellen derartiger Systeme. Dies zeigt das Beispiel von automatisierten externen Defibrillatoren, wie sie an vielen Bahnhöfen und Flughäfen installiert sind und selbst von Laien gehandhabt werden können.
Automatisierte externe Defibrillatoren (AED) sind in der Lage, einen Laien per Sprache und in grafischer Form in die Bedienung des Geräts einzuweisen und ihm zu zeigen, wie die Überwachungssensoren und Paddles zu platzieren sind. Anschließend entscheidet das Gerät, ob und mit wie viel Energie der in Not befindlichen Person geholfen werden muss. Gleichzeitig verhindert es, dass der ungeschulte Benutzer sich selbst oder dem Patienten Schaden zufügt.
Wenn der Rettungswagen eintrifft, kann dessen Personal Daten aus dem Defibrillator herunterladen und an die behandelnden Mediziner im Krankenhaus übergeben. Dies macht deutlich, was technisch möglich ist und welche Herausforderungen existieren. Die Medizintechnik wird mehr und mehr Einzug in unser Alltagsleben halten. Das Spektrum der Geräte ist breit und reicht von hilfreichen Kalorienzähler-Apps fürs Smartphone über Herzfrequenz-Monitore an unserem Hometrainer bis hin zu lebenserhaltenden Infusionspumpen, Langzeit-Überwachungsgeräten für Vitalzeichen sowie Notfallgeräten wie einem AED. Um das Vordringen medizinischer Überwachungs- und Dosiergeräte in den privaten Bereich voranzubringen, müssen sich die Geräte in verschiedener Weise verändern:
- Sie müssen mobiler und kompakter werden, weniger Strom verbrauchen und auch von älteren Menschen einfach bedienbar sein.
- Sie müssen »intelligenter« werden und Überwachungsfunktionen besitzen, um die korrekte Konfiguration für ihren Verwendungszweck zu gewährleisten oder Hilfe anzufordern.
- Sie müssen sicherer werden und in elektrischer und betrieblicher Hinsicht die volle Sicherheit der früheren Klinikgeräte bieten, auch wenn sie von Laien bedient werden.
- Sie müssen vernetzt sein, um das Programmieren, Updaten und Auslesen zu erleichtern. Hier ist besonders die Vernetzung mit nichtmedizinischen Geräten wie zum Beispiel konventionellen Computernetzwerken anzustreben, um die Kommunikation mit weit entfernten medizinischen Einrichtungen zu ermöglichen.
Sicherheit steht im Vordergrund
Die Revolution bei den Healthcare-Geräten macht es notwendig, das Thema Sicherheit verglichen mit der aktuellen Medizintechnikgeneration für den Klinikeinsatz eher noch mehr in den Vordergrund zu rücken. Hier gilt es mehrere Aspekte zu beachten. So müssen die Geräte Selbstdiagnosefunktionen besitzen, um den korrekten Anschluss und den Zustand des Patienten zu überprüfen, und Missbrauch oder böswillige Manipulationen müssen ausgeschlossen sein.
Der Datenschutz verlangt ferner, dass Patientendaten sicher gespeichert und übertragen werden. Auch elektrische Sicherheit ist notwendig, damit beim Anschluss an nichtmedizinische Kommunikationsgeräte oder andere Geräte im Haus keine ungewollten Wege für hohe Spannungen oder Leckströme durch den Patienten entstehen.
Großenteils ist es die Isolation, die für die elektrische Sicherheit sorgt, denn sie unterbricht die elektrisch leitenden Verbindungen zum Stromnetz oder zu anderen medizinischen Geräten wie etwa Defibrillatoren, die hohe Spannungen erzeugen. Nachfolgend beschäftigen wir uns damit, wie die Sicherheitsisolation an den Anschlüssen medizinischer Geräte speziell für den nichtklinischen Einsatz angewandt wird, während sie gleichzeitig die Kommunikation der Geräte möglich macht.
Der menschliche Körper besteht zu einem großen Teil aus salzhaltigem Wasser (Blut und Zytoplasma), während die Haut als schützende Hülle dient. Salzwasser leitet den elektrischen Strom bekanntlich gut, während die Haut in trockenem Zustand ein recht guter Isolator ist. Medizinische Geräte, die das Geschehen im Innern des Körpers überwachen sollen, reduzieren den Übergangswiderstand der Haut mithilfe großflächiger Elektroden oder eines leitenden Gels. Dies aber hat zur Folge, dass durch unerwünschte Signale, die von diesen Geräten ausgehen, leicht elektrische Ströme in den Körper des Patienten eingeleitet werden können, die das Nervensystem lahmlegen oder Muskeln (z.B. die des Herzens) stören können.
Die strengen elektrischen Sicherheitsanforderungen bei der Herstellung elektrisch sicherer Elektronik sind Bestandteil des medizinischen Sicherheitsstandards IEC 60601. Selbst scheinbar harmlose Applikationen wie die Herzfrequenzmesser von Trainingsgeräten müssen den dort festgelegten Isolationsvorschriften genügen, damit die Sicherheit gewährleistet ist. Noch strengere Standards gelten für Geräte mit lebenswichtiger Funktion.
Störungen auf der Versorgungsspannung
Das Stromversorgungsnetz ist die wichtigste Quelle unerwünschter Signale in elektronischen Geräten. Eine Medizintechnik-Applikation muss daher das Einstreuen von Wechselströmen aus dem 50-Hz- beziehungsweise 60-Hz-Netz unterbinden und auch Spannungsspitzen durch Blitzschlag, Schaltstörungen oder Netzfehler abblocken. Diese Forderung gilt durchaus nicht nur für medizinische Geräte.
Im Bereich der Medizintechnik sind die Vorschriften jedoch strenger, und die zulässigen Leckströme werden von der Art und Weise bestimmt, wie ein Gerät mit dem Patienten verbunden wird. Zu isolieren sind auch die Verbindungen zum Patienten. Man erreicht damit, dass beim Anschluss mehrerer Geräte an ein und denselben Patienten keine Ströme über die Verbindung eines anderen Geräts zurückfließen. So wird verhindert, dass an nicht vorgesehenen Stellen Ströme fließen.
Sollte der Patient Gegenstände berühren können, die mit der Schutzerde des betreffenden Gebäudes verbunden sind (z.B. ein Elektrogerät oder ein metallenes Bettgestell), muss ausgeschlossen sein, dass Ströme über diese Gegenstände fließen. Die Isolation zum Patienten hin erfordert den Einsatz zweier unabhängiger Isolationssysteme oder eines Systems, das erwiesenermaßen mit zwei separaten Systemen gleichzusetzen ist. Man bezeichnet dies als »2MOPP« (two Means Of Patient Protection, zwei Maßnahmen zum Patientenschutz), wobei die Prüfspannung 4 kV beträgt. Die Herausforderung besteht nun darin, die Sicherheit der Kommunikations- und Stromversorgungsleitungen eines medizintechnischen Geräts für den Einsatz zu Hause zu gewährleisten.
Leitungsgebundene oder drahtlose Kommunikation?
Der erste Weg besteht darin, vollständig auf elektrische Verbindungen zu verzichten und die Kommunikation stattdessen drahtlos - beispielsweise per Low-Power-Bluetooth (BLE) oder ZigBee - abzuwickeln. Ein batteriebetriebenes medizinisches Gerät mit einem nichtleitenden Gehäuse würde die erforderliche elektrische Isolation in vollem Umfang aufweisen.
Die Bluetooth-Technik hätte den Vorteil, dass sie von den meisten Laptops und Smartphones unterstützt wird, sodass diese Geräte für die Datenaufzeichnung oder Fernbedienung genutzt werden könnten. ZigBee-Schnittstellen dagegen würden spezielle Schnittstellenhardware erfordern, um im privaten Bereich die Kommunikation mit nichtmedizinischen Netzwerkgeräten wie etwa Laptop-Computern zu ermöglichen.
Ideal wäre dies für Überwachungsgeräte, bei denen die Datenraten gering sind und Leitungen hinderlich wären. Nachteilig an der drahtlosen Kommunikation sind die Anfälligkeit gegenüber hochfrequenten Störungen und die potenzielle Empfindlichkeit gegen böswillige Manipulationen. Da das Signal per Funk ausgestrahlt wird, verlangen die Datenschutzvorschriften nach einer Verschlüsselung. Diese aber kann bei einfachen Geräten einen beträchtlichen Teil der Applikations-Ressourcen verschlingen. Hinzu kommt, dass das Einrichten der drahtlosen Verbindung gewisse Kenntnisse voraussetzt und speziell für ältere Patienten nicht immer einfach zu bewerkstelligen ist.
Die drahtlose Kommunikation erfüllt somit alle Sicherheitsvorschriften, ist aber aufgrund ihrer manchmal mangelhaften Robustheit schwieriger für lebenswichtige Applikationen einzusetzen. Der Vorteil der Mobilität wird jedoch nach Expertenmeinung künftig dafür sorgen, dass die Funkübertragung zum bevorzugten Kommunikationsmedium werden wird. Zu den Anwendungen dieser Technik gehören Pflaster mit integrierten Überwachungsgeräten oder Blut-zuckermessgeräte, die ihre Ergebnisse automatisch aufzeichnen. Das ständige Funktionieren der Funkverbindung ist hier nicht notwendig, um die Sicherheit des Anwenders zu garantieren.
Mechanische Sicherungen
Leitungsgebundene Schnittstellen bewähren sich überall dort am besten, wo Datenintegrität und Robustheit gefordert werden. Es sind hohe Datenraten möglich, Übertragungsfehler treten praktisch nicht auf, und nicht zuletzt kann auch die Stromversorgung über das Kabel erfolgen. Gängige Schnittstellenstandards sind USB, RS-232 oder RS-485.
Derartige Interfaces sind sogar so zuverlässig, dass sie sich für die Datenaufzeichnung, zur Übertragung wichtiger Steuerungsinformationen in lebenserhaltenden Applikationen sowie für Updates der Gerätesoftware eignen. Als Schnittstelle zu Heimelektronik wie PCs und Mobiltelefone kommt nur USB in Frage, jedoch muss auch dieses Interface die strengen Isolationsanforderungen der IEC 60601 erfüllen.
Häufig anzutreffen ist die Praxis, eine nichtisolierte Schnittstelle nur dann zu nutzen, wenn das Gerät keinen Patientenkontakt hat. Zum Beispiel kann der USB-Anschluss unter einer Abdeckung angeordnet werden, die sich nur dann öffnen lässt, wenn sich das Gerät nicht im Einsatz befindet. Diese Lösung hat den Vorteil, dass sie kostengünstig ist. Sie schränkt jedoch die Einsatzmöglichkeiten ein, wenn eine Echtzeitüberwachung erforderlich ist oder die zum Patienten führenden Verbindungen nicht ohne weiteres entfernt werden können.
Sie eignet sich also für Geräte, die nicht ständig an den Patienten angeschlossen sein müssen, erweist sich aber als ungeeignet beispielsweise für Infusionspumpen, die in der Klinik invasiv mit dem Patienten verbunden werden müssen. Eine andere Art mechanischer Sperren findet man bei Defibrillatoren im öffentlichen Bereich. Diese können mit direkten, in das Gehäuse eingebauten Netzwerkverbindungen versehen sein, sodass der Defibrillator an das Netzwerk und die Ladestromversorgung angeschlossen ist, solange er sich in seinem Wandschrank befindet.
Das Gerät prüft hier periodisch seine Einsatzbereitschaft und den Zustand seiner Batterien und gibt per Netzwerk Statusmeldungen ab. Wenn der Defibrillator für einen Einsatz aus der Wandhalterung entnommen wird, werden die Netzwerkverbindung und die Stromversorgung automatisch getrennt. Als letzte Art mechanischer Sperre bleibt das austauschbare Speicherelement. Analog wie einer Digitalkamera werden die Daten in eine Speicherkarte geschrieben, die sich später entnehmen und in ein spezielles Lesegerät einsetzen lässt. Die Daten können dann an den erforderlichen Bestimmungsort übertragen werden. Dies ist die arbeitsintensivste Methode, da man den Patienten kaum auffordern wird, diese Aufgabe selbst zu erledigen.
Isolierte Schnittstellen
Die zuverlässigste Kommunikationslösung ist eine leitungsgebundene isolierte Schnittstelle, welche die Betriebssicherheit einer Leitungsverbindung bietet und mithilfe eines isolierten DC/DC-Wandlers auch für die Stromversorgung genutzt werden kann. Sie lässt hohe Upload- und Download-Übertragungsraten zu und lässt sich auch bei aktiven Verbindungen zum Patienten nutzen.
Da eine leitungsgebundene Schnittstelle keine Datenverschlüsselung erfordert, verringert sich der Arbeitsaufwand für den Prozessor. Auch die Wartung der Software ist möglich, während sich das Gerät im Einsatz befindet. Diese Schnittstelle kann außerdem für die Echtzeit-Patientenüberwachung mit hohen Datenraten eingerichtet werden, sodass Mediziner bei der Routine-Nachsorge eines Patienten beispielsweise aus der Ferne ein EKG aufnehmen können. Die Isolation solcher Schnittstellen wurde in der Vergangenheit meist mit Optokopplern realisiert, die allerdings in ihrer Geschwindigkeit eingeschränkt sind und sich schlecht integrieren lassen.
Sie werden in neuen Anwendungen deshalb zunehmend von medizintauglichen Digitalisolatoren verdrängt, die frei von diesen Nachteilen sind. Die im Abschnitt über mechanische Sperren erwähnten Kommunikationsschnittstellen lassen sich mit geeigneten Digitalisolatoren isolieren. Jahrelang bildeten RS-232 und RS-485 das Rückgrat der isolierten Kommunikation in der Medizintechnik.
Hierbei können Bauelemente wie der »ADuM2201« von Analog Devices mit 2MOPP-Zulassung gemäß IEC 60601 eingesetzt werden. Leider findet man diese Schnittstellen außerhalb der Medizintechnik so gut wie nicht mehr vor, sodass einzig der USB als meistverwendete und verbreitetste Schnittstelle bleibt. Zur Isolation eines USB-Ports eignet sich der »ADuM4160«, um einen defibrillatorsicheren 2MOPP-Schutz zu erzielen (Bild 1).
Der Baustein wird in Infusionspumpen, Defibrillatoren, nichtinvasiven Blutzuckermessgeräten und einer Vielzahl von Patientenüberwachungsgeräten für den klinischen Einsatz verwendet. Mit diesem IC lassen sich solche Geräte direkt an einen nichtmedizinischen PC anschließen, um beispielsweise eine Echtzeitüberwachung zu realisieren. Die Verbindung ist dennoch uneingeschränkt defibrillatorsicher und erfüllt die einschlägigen Leckstrom-Vorschriften. Selbst in Systemen mit drahtloser Kommunikation wird für kritische Aufgaben wie die Softwarepflege und das Laden des Akkus ein USB-Port vorgesehen.
Da es immer Situationen gibt, in denen der USB-Anschluss genutzt wird, werden die Ports aus Sicherheitsgründen isoliert ausgeführt. Nachteilig an leitungs-gebundenen Schnittstellen ist stets die eingeschränkte Mobilität.
Isolation von Defibrillatoren
Der in Bild 2 gezeigte Defibrillator eignet sich sehr gut, die isolierten Kommunikationsschnittstellen zu beschreiben, denn er verfügt über verschiedene Interfaces mit einer Vielzahl von Isolationstechniken. Das Gerät benötigt eine EKG-Funktion, um die Herzaktivität des Patienten zu überwachen und daraufhin zu entscheiden, ob eine Defibrillation angezeigt ist.
Der EKG-Datenpfad muss jedoch vom Hochspannungsteil des Defibrillators isoliert werden, damit die empfindliche EKG-Elektronik nicht von der hohen Defibrillationsspannung zerstört wird. Diese Isolation kann intern mit isolierten Gate-Treibern und Digitalisolatoren erfolgen. Außerdem kann das Gerät mit einem Ethernet-Port ausgestattet sein, um seine Funktionsfähigkeit überprüfen zu können, solange es sich in seiner Wandhalterung befindet.
Durch eine mechanische Verriegelung ist gewährleistet, dass die Ethernet-Schnittstelle nach Entnahme des Geräts aus der Wandhalterung nicht mehr genutzt werden kann. Auf ähnliche Weise wird das Akkuladesystem in der Wandhalterung angeschlossen und nach Entnahme gesperrt. Als letzte Funktion, die eine Isolation erfordert, bleibt der Kommunikationsanschluss, über den die EKG- und Defibrillationsdaten zur Prüfung durch einen Mediziner heruntergeladen werden können. Hierfür wird in der Regel ein isolierter USB-Port verwendet, damit ein Abrufen der Daten möglich ist, ohne die Verbindungen zum Patienten zu entfernen.
Über den Autor:
Mark Cantrell ist Applikationsingenieur in der Digital Isolation Group bei Analog Devices.
Lesen Sie mehr zum Thema
