医疗设备的在透析环境中利用消耗品所进行的运行的安全机制的制作方法

1.本发明涉及医疗技术领域并且涉及医疗设备如透析设备和反渗透设施的运行，所述医疗设备借助于消耗品(例如一次性用品)来运行。本发明尤其涉及一种保护设备防止未授权的运行的方法、一种计算机程序、一种保护模块、一种医疗设备和一种系统。


背景技术：

2.就此而言,相对于其他非医疗的运行方法，医疗设备的运行具有如下特殊性：设备运行涉及患者的健康。就此而言在此需遵守特殊的安全措施。一些运行方法提出使用消耗品(一次性用品，例如透析器)。因此，血液透析中的透析治疗例如在如下透析设备上进行，所述透析设备能够位于例如透析中心处，通常使得患者在透析设备处登记以便执行透析。在透析时，患者的血液引导穿过体外回路，所述体外回路例如能够构成为一次性用品。为此，能够使用由患者携带或为患者提供的一套消耗品(例如具有软管管路、过滤器模块、连接器、滴注室等的软管套件)。
3.关于治疗本身，患者能够使用位于相同或不同的透析中心(有时分布在世界各地)的不同的透析设备。从医学角度来看重要的是保证：以所设置的方式使用该套消耗品。特定的应用例如需要：该套消耗品仅允许使用一次，而其他应用允许有限次数的重复使用。然而，无论如何，需保证该套消耗品仅用于正好一名患者(因此不允许将其“借给”病友)。然而，能够允许用于不同的机器。
4.在现有技术的已知系统中，迄今为止仅不充分地检查对消耗品的使用的授权。通常，这通过治疗人员手动地，例如通过手动地询问患者来进行。显然，这种方法与部分严重的缺点相联系。一方面，检查可能被工作人员完全忘记并因此不做，另一方面，信息源是不可靠的。这影响设备运行的安全性并且会对整个治疗过程产生不利影响。
5.例如从wo2015024647a2中已知，给使用品设置传感器，以便能够检测和处理在治疗的过程中的测量值。例如能够是以使用品为例的透析液容器的液位传感器或者是用于检测温度的温度传感器。
6.如果想起透析治疗时的实际情况，那么对于患者而言期望由尽可能高的灵活性。患者有时应具有如下可行性：允许在任意的透析中心(例如分布在世界各地)的任意的透析设备上进行治疗，以便在该处允许用其携带的一套消耗品进行治疗。因此，在专用设备上对消耗品的使用进行本地检查是不充分的。
7.此外，重要的是，关于患者、消耗品等所存储的数据的安全性满足对数据保护的要求并且尤其满足对phi数据(私人或受保护的健康信息)的保护的要求，并且未经授权的人员无法查看所存储的数据。


技术实现要素：

8.因此，本发明基于如下目的，提出一种技术实现形式，借助于所述技术实现形式能
够提高设备运行的安全性并且能够降低对于患者的风险，并且在此确保或更加提高运行者或患者的灵活性，例如通过选择任意的治疗设备。此外，应改进设备运行的可追溯性，尤其所实施的治疗的可追溯性，以便实现关于相应设备的结论并且改进其文档编制。此外，技术实现形式应当是高效的，使得能够避免由于在设备处的检查措施而引起的长的等待时间。
9.该目的通过独立权利要求的主题来实现，尤其通过一种方法、一种计算机程序、一种保护模块、一种具有这种保护模块的医疗设备和一种系统来实现。在从属权利要求和以下描述中描述了本发明的有利的实施方式。
10.根据第一方面，本发明因此涉及一种用于保护医疗环境中的设备防止设备未经授权的运行的方法，其中授权与在设备运行的过程中两个或更多个链接伙伴之间的链接事件相关，其中所述设备至少暂时连接到网络上以与其他设备进行数据交换，并且其中链接伙伴之一是在设备运行中使用的使用品，所述方法具有下述方法步骤：
11.‑
读入第一(数字)标识符，所述第一(数字)标识符一对一标识第一链接伙伴，并且读入第二(数字)标识符，所述第二(数字)标识符一对一标识第二链接伙伴。读入能够经由设备的读入接口执行；
12.‑
将至少一个第一计算规则应用于所读入的第一标识符并且将第二计算规则应用于第二标识符以计算一对一地表示第一和第二链接伙伴之间的链接事件的文档编制值；第三计算规则能够用于计算文档编制值；所述计算在数字处理单元上进行，所述数字处理单元能够是保护模块的组成部分；
13.‑
在网络的所有的或所选择的设备(优选多个设备)的分布式存储器结构的存储器中同步经计算的(并且可选地：经验证的)文档编制值的存储。
14.优选地保证：所有参与的设备都知道计算规则。因此，在本发明的一个优选的实施方式中，提出准备阶段，所述准备阶段用于交换所使用的计算规则，包括第一、第二和可选的第三计算规则，以便使设备能够将数据写入分布式数据结构中和从其中读出数据。
15.根据另一方面，本发明涉及一种用于对医疗设备的设备运行进行防伪的文档编制的方法，所述医疗设备应利用使用品(针对特定患者)运行。为此，链接事件以数字形式表现在文档编制值中。文档编制值以防伪方式表现用于特定患者的特定使用品(例如透析器)在特定的设备(尤其透析设备)处的使用，或者特定的使用品(例如膜)在特定设备(尤其反渗透设施)处的使用。通过存储计算出的文档编制值进行防伪的文档编制。所述方法同样具有上述读入、应用和同步存储的方法步骤。
16.在下文中描述的本发明的替选的实施方式能够涉及所述方法的这两种变型形式。
17.在一个有利的改进形式中，所述方法能够包括：通过应用共识算法对来自网络中的一组设备一方的经计算的文档编制值进行验证，使得只有在验证成功时才执行设备运行的存储和/或授权。
18.在所述方法的一个有利的改进形式中，所述方法能够包括：在验证成功时对于第一和第二链接伙伴或者通过第一和第二链接伙伴授权设备运行或使能所述设备。否则，在验证失败时至少能够阻止设备用于借助于相应的链接伙伴的使用。
19.保护方法是有效的，能够在不需要中央的实体的分布式智能设备(例如iot设备，iot：物联网)上执行，并且还具有高的篡改防护性。
20.能够在一组可配置的设备上对计算出的文档编制值进行验证。所述组优选由多个
设备形成。能够配置为，使得基本上所有设备都用于验证或仅所选择的设备(例如具有足够的计算能力)用于验证。
21.链接伙伴构成有物理标记或通过标签表示，经由所述物理标记或标签能够一对一地标识所述链接伙伴。例如，标记能够构成为码(例如条形码或qr码)。该标记一对一地与标识符相关联，或者能够借助于映射规则转换为该标识符。标识符必须以适合的方式提供和传输给网络中的设备，以便可执行保护方法。
22.在本发明的一个实施方式中，能够将链接伙伴与电子设备(患者的手机/智能电话)相关联，在所述电子设备中保存有标识所述链接伙伴的标记的相应数字表示或实体(例如，应用程序中的患者id)。然后能够将该数字表示作为患者标识符传输给设备以进行进一步处理。
23.在本发明的另一实施方式中，例如能够给使用品设置物理标记(例如条形码或rfid芯片)。该标识能够经由相应的读取机构(扫描仪，例如条形码扫描仪或rfid读取器)读取，并且将转换为数字实体，所述数字实体此后作用为使用品的数字标识符。读取机构能够集成到设备(例如透析设备)中或与其相关联。也可行的是，直接和手动地(例如经由用户界面)在设备上输入标识相应的链接伙伴的标识符。
24.在本发明的第一实施方式中，设备(例如透析设备或反渗透设施)本身构成有用于执行所述方法的保护模块并且具有用于读入第一和第二标识符的接口。
25.在本发明的第二实施方式中，设备本身不构成有保护模块，而是至少暂时地或阶段性地与所述保护模块进行数据交换。于是，保护模块在作用为网关或中介的另一设备上构成。术语“网关”在此应就中间节点来理解并且例如能够构成为智能电话或平板电脑或另一类型的移动终端设备。
26.链接伙伴经由优选无线网络(例如无线电、wlan、光学等)将其标识符发送给网络的设备。链接伙伴(例如一次性用品)能够将其物理标记例如作为条形码发送给读取机构或读入设备(例如条形码扫描仪)，所述读取机构或读入设备将所读入的码转换为数字的标识符并将其发送给透析设备。
27.在本发明的该实施方式中，因此能够实现两个不同的网络：在链接伙伴(例如具有rfid芯片的一次性用品)和与其相关联的设备或读取机构(例如rfid扫描仪)之间的(第一)网络；和另一(第二)网络，所述另一网络用于在如下设备之间进行数据交换，在所述设备上应该应用安全程序(透析设备或网关)并且其存储器形成分布式数据结构。后者尤其能够基于ip协议。
28.在下文中详细说明本技术的概念性和本发明的有利的实施方式。
29.设备能够是医疗设备(例如透析设备)或在医疗环境中使用的非医疗设备(例如反渗透设施，其在下文中基于英文术语“reverse osmosis”简称ro设备)或者是在治疗性单采的过程中借助于使用品来运行的设备。医疗设备例如能够是血液透析设备、血液透析滤过设备或腹膜透析设备。透析设备优选在设备的复合体中运行。因此，透析设备能够与其他设备并行地在透析中心中运行。但是，透析设备也能够作为家用透析设备运行。在此，能够在世界各地运行不同的透析中心。所提出的解决方案的一个实质性优点在于，设备来自不同的制造商和/或能够由不同的运行者运行，以便能够参与保护方法。
30.设备还能够是家用血液透析设备。恰好在该处，出于经济原因，透析器的重复使用
是相当重要的。然而，另一方面，患者基本上没有医疗专业人员的监督。也就是说，在该处，超过在健康方面允许的重复次数可能未察觉地出现(或者出于成本原因甚至被忽视)，使得根据本发明的保护或检查关于不出现过多的重复是非常有帮助的。同时，已证实对于健康保险和制造公司而言所期望是，当出现不允许的重复次数时能够保证防伪地进行文档编制。因此可选地能够澄清责任问题并且证明对治疗计划的遵守。
31.使用品能够是消耗品。使用品能够构成为用于透析设备的一次性制品或多次使用制品，例如透析器、血液管路或透析液管路，所述血液管路或透析液管路能够构成为软管管路。使用品同样能够涉及反渗透设施的膜或另一使用品。在另一应用示例中，使用品也能够是透析过滤器，如用于血液透析和/或血液透析滤过的透析器。在另一应用示例中，使用品还能够是治疗性单采法的吸附剂。在本发明的有利的改进形式中，使用品也能够是另一对象或与所述设备一起使用或运行的另一设备。
32.授权基于对使用品用于医疗设备和/或患者的使用的可允许性的自动检查。在此，根据应用能够配置不同的可允许性前提，例如仅使用一次或多次使用如下使用品，所述使用品对于相应的链接伙伴(例如透析机)具有允许的使用次数的可配置的限制或其他可允许性标准(例如最大使用寿命、最大运行持续时间等)。授权能够包括使能设备和/或阻止设备借助于使用品进行所计划的运行。授权还能够包括其它可允许性检查(例如，参见上文：检查可允许性前提)。
33.第一链接伙伴能够是在透析设备上被治疗的患者，而第二链接伙伴能够是通过透析设备使用的使用品(透析器、用于体外血液回路的软管套件等)。替选地，第一链接伙伴能够是反渗透设施，而第二链接伙伴能够是用于反渗透设施的膜或另一使用品。链接伙伴能够具有一对一地标识所述链接伙伴的标记(例如呈qr码形式)。该标记以一对一的方式与数字标识符相关联。因此，每个患者例如都具有标识其的患者标识符，并且每个使用品都具有标识其的一次性用品标识符。
34.设备能够是网络中的通信伙伴，所述通信伙伴经由优选无线网络(例如，wlan，根据ieee802.11系列的标准的协议)进行数据交换，并且尤其能够将数据写入分布式存储器结构中和从其中读取数据。
35.第一和第二标识符分别用于一对一地标识第一和第二链接伙伴。标识符优选是可数字地或电子地处理的标识码，其双射地与直接施加在链接伙伴(使用品被标记)上的或者与其相关联(患者具有患者卡，所述患者卡标识所述患者)的标记相关联。标识符例如能够经由随机生成器生成并且用算法处理，使得保证：确保标识符和链接伙伴之间的一对一的关联性，以至于恰好一个标识符与恰好一个链接伙伴相关联。
36.标记是物理标签、标牌或记号并且能够直接施加在使用品上，例如作为可粘贴的电子标签。标记例如能够包括数字、字母、特殊字符以及其组合。标记也能够一对一地与链接伙伴相关联。经由相应的接口或读取机构(数据接口或光学传感器、扫描仪)检测或读入标记。标记能够是如下标志，所述标志用于一对一标识链接伙伴(条形码、qr码)，并且可电子地检测和评估。当标记被读入后，其于是能够借助一对一的映射规则与标识符相关联。
37.链接事件表示至少两个链接伙伴的链接。在此，“链接”是指使用者在运行时或在运行期间对使用品的共同运行或使用。设备能够在链接事件中协作。链接事件能够在设备的加装、准备、调试和/或运行期间进行。换言之，链接例如表示特定的透析器或软管套件作
为在透析设备中的使用品用于特定患者的使用或特定的膜在反渗透设施中的使用。首先，由链接伙伴中的至少一个针对或查询链接事件。这例如能够通过如下方式触发：患者将其id卡插入设备上的容纳设备中和/或在用户界面上输入相应的用户输入，和/或读入在此待使用的使用品的标识符。为了提高安全性，至少防伪地、可调用地对链接事件进行文档编制和存储。此外能够提出，并非相同地实现链接，而是首先检查所计划的使用是否也是授权的。为此，利用所限定的访问算法访问分布式存储器结构。能够基于可配置的标准检测链接事件。链接事件的检测能够基于时间(例如在时间上时钟控制地进行或在一定次数的使用之后)或基于事件(例如在插入或执行特定操作/动作之后)进行。链接事件的检测能够包括验证。但是也可能的是，检测包括读入、应用和验证。换言之，这些方法步骤仅在满足触发标准(基于时间、基于事件)时才执行。在本发明的一个实施方式中，能够读入标识符并且能够应用计算规则。
38.第一、第二、第三和/或另外的计算规则和/或链接函数能够是在数字的计算单元上待执行的规则。在本发明的一个优选的实施方式中，这些计算规则是相同的。在一个简单的实施方案中，这两个标识符彼此散列运算并从而产生值。在这种简单的情况下，不会进行其他运算。也就是说，这里使用一个标识符作为用于相应另一标识符的散列的种子。
39.然而，计算规则，尤其第一和第二计算规则，也能够不同地构成。将第一计算规则应用于第一标识符，以便计算第一子结果，并且将第二计算规则应用于第二标识符，以便计算第二子结果。链接函数用于根据第一和第二子结果计算文档编制值。计算规则和/或链接函数尤其能够是密码学的。计算规则和/或链接函数例如能够是密码学的散列函数或简单的散列函数，例如应用sha、md5或其他算法。
40.文档编制值从第一子结果(第一计算规则应用于第一标识符)和第二子结果(第二计算规则应用于第二标识符)中计算。第三计算规则能够应用于第一和第二子结果，以便计算文档编制值。在本发明的替选的实施方式中，文档编制值此外还能够包括其他数据，尤其测量数据，所述其他数据在利用链接伙伴(例如利用在透析治疗期间的相应的一次性用品)进行设备使用期间出现。能够利用根据本发明的方法可靠地进行文档编制的其他数据能够是：
41.‑
设备id、部件id、所在地数据、治疗数据如平均血压、清除率、透析液的平均电导率(na浓度)等。
42.‑
关于通信连接的信息(延迟、ip地址、mac地址、物理位置)。跟踪该数据具有如下技术优点：以通信连接的质量可预测的方式构成通信连接和/或该系统能够由此整体上更加可靠地构成。
43.‑
根据本发明的方法在该设备上的执行持续时间。在此，不同硬件的执行持续时间可能不同。优点基于改进的可预测性。
44.‑
所述其他数据的上述列表是可扩展的。基本上，所有治疗数据以及环境数据都是可考虑的，例如血压以及药物管理，例如肝素、epo等。此外，警报能够是其他数据的一部分。
45.网络是用于交换数字数据以执行保护方法的网络。网络优选能够构成为对等网络并且给通信参与者提供如下可行性：以权利相同的方式使用来自其他通信参与者的服务和资源。该网络对所有网络参与者是开放的。这并非是安全风险，因为保存在分布式存储器结构中的数据安全地保存并且优选是密码学加密的，从而即使在窃听时也不以纯文本形式存
在。
46.在此，将“程序”或“程序指令”理解为包括用于控制计算机的功能性的机器可读的指令的任意类型的计算机程序。计算机程序能够作为可执行的程序文件通常以所谓的机器代码形式存储在数据载体上，所述程序文件被加载到计算机的工作存储器中以执行。所述程序被处理和从而构成为计算机的一个或多个处理器的机器命令，即处理器命令的序列。程序能够作为可执行代码、源代码或翻译代码存在。
47.将“接口”理解为经由其能够接收和发送数据的接口(通信接口)。通信接口能够配置为是接触式或非接触式的。通信接口能够是内部接口或外部接口，其例如借助于线缆或无线地与相关联的设备连接。通信能够经由网络进行。在此将“网络”理解为具有用于通信的连接的任意的传输介质，尤其是本地连接或本地网络，尤其局域网(lan)，私有网络，尤其内联网，以及虚拟私有网络(virtual private network(虚拟私有网络)
‑
vpn)。例如，计算机系统能够具有用于连接到wlan上的标准无线电接口。其也能够是公共网络，例如因特网。根据实施方式，也能够经由移动无线电网络进行通信。
48.在此，将“存储器”理解为易失性和非易失性电子存储器或数字存储介质。将“非易失性存储器”理解为用于永久地存储数据的电子存储器。非易失性存储器能够配置为不可改变的存储器，其也称为只读存储器(rom)，或能够配置为可改变的存储器，其也称为非易失性存储器(nvm)。尤其是，其能够是eeprom，例如flash
‑
eeprom，简称flash。非易失性存储器的特征在于，即使在切断能量供给后，存储在其上的数据仍会保留。在此，将“易失性电子存储器”理解为用于临时存储数据的存储器，其特征在于，在切断能量供给之后所有数据都丢失。尤其是，其在此情况下能够是易失性直接访问存储器，其也称为随机存取存储器(ram)，或者是处理器的易失性工作存储器。
49.将“处理单元”理解为电子模块。其通常是数字处理单元，所述数字处理单元能够实现为软件模块，例如作为虚拟机的一部分。处理单元例如能够构成为用于基于计算机地、自动地执行命令的处理器并且包括用于执行程序指令的逻辑电路。逻辑电路能够在一个或多个分立器件上实现，尤其在芯片上实现。尤其是，将“处理器”理解为微处理器或者由多个处理器核和/或多个微处理器构成的微处理器系统。
50.上面关于处理单元的说明同样相应地也适用于保护模块。该保护模块也能够构成为软件模块，例如作为虚拟机的一部分。
51.在本发明的一个优选的实施方式中，文档编制值附加地能够提供关于相应的链接事件的其他信息，所述其他信息例如允许做出关于透析机的加装是否充分并且适应于能够与体外回路的相应的部分接合的结论。此外，文档编制值能够提供关于链接事件的其他元数据(时间点、持续时间、迄今为止的使用次数、可选地，重复率、剩余使用次数等)。
52.共识算法分布式地在多个节点或设备上执行并且用于关于值建立共识或一致性和从而验证所述值。所述共识算法在文档编制法的所有或所选择的设备或参与者上统一执行，以便实现一致的评估基础。共识算法根据共识协议运行并且能够构成为工作量证明算法或(委托)权益证明算法。共识算法基本上是指经由去中心化网络的状态(status)以达到统一协定(consensus)的机制。共识算法简化检查和验证写入(存储)到分布式数据结构(dl，总账)中的信息。由此保证：在分布式数据结构中仅记录可靠数据。关于在共识协议中的应用的规则是硬编码的，由所有参与者共同商定，并且是检查规则的唯一来源，使得能够
保证所存储的信息是可信的，而不需要中央实体。对于其他细节，请参阅以下论文“blockchain consensus protocols in the wild”(c cachin,marxiv预印本arxiv:1707.01873，2017
‑
arxiv.org(v2))。仅当文档编制值可被验证时，其才能以同步方式存储在链接伙伴的所有存储器中，所述存储器形成分布式存储器结构。共识算法包括访问分布式存储器结构。借助于共识算法的验证用于本地搜索是否相应的值已经保存一次并且如果情况如此那么多频繁。在一个扩展方案中，在此还能够执行其他步骤，例如应用在规则库中可用的规则和/或基于其的计算机实现的算法。验证类似于经典区块链来进行，其方式为：网络中的参与者(网关或设备)尝试通过如下方式来验证计算的值(对应于例如比特币的交易)：尝试产生同一(相同)签名。在分布式总账中的搜索能够直接在签名之后进行并且由此与经由存储器地址和区块名等的搜索相比是更快的。
53.能够配置为，使得设备运行仅当其已利用相应的链接伙伴评估为已授权时才可激活。对于评估而言，成功的验证(如上文基于经计算的文档编制值所阐述的)是强制性的前提。对于设备的授权，可能能够执行更进一步的检查(基于时间、基于事件等)。由此能够以灵活和分布式的方式保护设备运行防止未授权的运行。
54.同步存储表示：只要文档编制值能够被成功验证，那么所述文档编制值相同地存储在保护方法或保护系统的设备的所有存储器中。所述设备例如能够是一组透析设备和/或反渗透设施。验证方法的设备不必一定与链接伙伴一致。由此能够并非直接在链接伙伴上而是在其他基于计算机的节点或实体上执行用于保护设备运行的核心步骤，即验证，例如在网关或与设备相关联的节点上执行。设备的所有存储器始终处于同一状况并且具有相同的存储器状态。由此产生分布式存储结构。
55.分布式存储结构优选是分布式总账结构(dlt结构)，所述分布式总账结构能够在保护方法的所有潜在设备和参与者上实现。所述设备为此配备有机构(包括存储机构和软件机构)，以便参与分布式总账结构。分布式总账系统(distributed ledger system)能够存储如下数据，所述数据指明多个计算设备(例如多个透析设备)之间的或者所述多个计算设备的不同交易或计算。分布式总账系统能够构成为包括多个“区块”的区块链总账系统，所述“区块”分别是在计算设备之间发生的一个或多个离散交易。每个区块都能够包括能够与先前产生的区块链接的数据，由此在产生存储在分布式总账中的数据和之后使用该数据之间产生完整的链(例如，用于建立用于患者的消耗品在设备中的使用的完整的链)。存储在不同的交易/区块中的数据能够以加密、设有密码的方式或以其他方式防止无权的访问(例如读访问、写访问和/或删除访问)。在一个非限制性示例中，存储在不同的区块中的信息能够不可逆地散列运算，使得经散列运算的数据能够用于检查交易的真实性，其中保证：经散列运算的数据无法被逆向开发，以便仅基于经散列运算的信息来求取实质的信息。由此能够以安全的方式分配安全关键的医疗数据。此外，能够给在不同的计算机之间传输的数据加密(例如，通过使用公钥对/私钥对来对数据进行数字签名和/或验证)，使得存储在区块链内的区块能够由多个设备验证，所述设备具有对公钥和/或私钥的访问。在检查(验证)待存储在区块链中的数据后，能够如上所述对数据进行散列运算和存储。对于关于概念“分布式系统/分布式总账”的其他细节，应参考a.s.tanenbaum,m.van steen:verteilte systeme(2007，尤其第7.5章)。用于执行根据本发明的文档编制方法的过程在各个分布式计算实体或计算机上运行。在分布式系统中的不同的计算实体上的过程通过发送消息彼此
通信。在此，所述过程必须遵守规则，例如关于格式，所交换的消息的含义和对于传输所需的操作的规则。这些规则称为协议。
56.利用根据本发明的保护方法，在大量链(chains)中创建区块(数据区块)(与区块链相反，在区块链处通常存在恰好一条链)。链的区块形成数据集合。分布式存储器结构能够构成为改型的区块链结构。改型涉及如下：根据本发明的一个基本实施方式的数据块仅由经计算的文档编制值(散列值)构成，所述文档编制值是唯一的签名。数据区块不必包含对链的其他区块的引用。为了计算数据区块，与经典区块链相比，不必使用矿池。计算能够明显更快地并且也在性能较弱的计算机单元上执行，并且尽管如此仍然防伪地保存。与区块链的架构的另一结构上的差异在于，改型的区块链结构包括多个链和从而是多链数据空间。在此，在第一实施方式中，链能够分别涉及链接伙伴，例如患者或反渗透设施。多个链(例如每个使用品或每个患者一个链)能够存储在分布式存储器结构中(例如在一组透析设备上)。因为患者一方面通常不改变其标识符，但另一方面使用许多消耗品(所述消耗品分别具有个体的标识符)，所以每个患者应产生大量链——但每个使用品仅产生一个。
57.在本发明的一个优选的实施方式中，在透析设备上提供存储器或存储器区域，在所述存储器或存储器区域中保存分布式存储器结构的实体(例如作为改型的区块链)。在该处，存储所有在透析设备上进行的(即已验证)和/或指定的(尚未验证)的链接事件。链接事件能够涉及不同的消耗品和/或不同的患者。这具有如下技术优点：能够借助于验证检查本地地在参与者(设备)上执行保护。尤其是，当与其他设备暂时没有(或没有充分的)通信连接时，也能够有利地执行验证检查，因为设备的存储器始终是同步的。
58.在本发明的一个实施方式中，文档编制值的计算包括重复值的计算。重复值在此以一对一的方式表示第一和第二链接伙伴之间的链接事件的重复率或允许的重复次数。由此，能够以安全的方式追溯性地并且可区分地进行文档编制：是否已经检测链接事件的重复，并且如果情况如此，那么已经检测到链接事件重复多少次。在配置阶段中例如可配置的是，链接事件重复多次被认为是允许的。因此，在一些应用中例如能够允许：用于特定的患者的一套一次性用品允许被患者使用多于一次。然而，可能定义了可配置的最大重复次数，以便限制超出所述最大重复次数的使用。大的优点在于，由于分布式存储器结构能够确保：患者能够利用不同的透析机使用最初与所述患者链接/一对一分配给所述患者的一次性用品。
59.在本发明的另一实施方式中，通过将(例如密码学的)第三计算规则应用于第一子结果和第二子结果来计算文档编制值，以提供第三子结果。通过将第一计算规则应用于第一标识符来计算第一子结果。根据将第二计算规则应用于第二标识符来计算第二子结果。在一个有利的变型形式中，能够可选地将另一(数学)链接函数应用于第三子结果，以便计算总结果。否则，第三子结果也能够用作为总结果。在选择适合的链接函数和/或计算规则时，所述方法和系统不会被破坏或只能被持续时间非常长、耗费的计算方法破坏。
60.在本发明的另一优选的实施方式中，在验证不成功时至少对于相应的链接伙伴的指定的应用自动地禁止所述设备。这具有如下优点：设备由此对于其他已授权的链接伙伴而言能够继续运行。所述禁止能够利用警告指示来表示，所述警告指示能够在用户界面上输出。由此，能够提高设备运行的安全性。通过自动禁止设备能够避免和排除因手动放弃的检查而导致的错误。
61.优选地，当所有设备访问分布式存储器结构时，所有设备应用同一计算规则来计算文档编制值。
62.根据本发明的一个有利的改进形式，链接事件的验证和/或授权能够在时间上以时钟控制的方式和/或基于事件地执行。这具有如下技术背景：对于特定类型的一次性用品而言需要监控其使用了多长时间(在何种时间间隔中)和/或以何种量使用。这尤其在治疗性单采法中在监控吸附剂的使用时是重要的。根据可预配置的方案(例如时间方案)检测链接事件。因此变得可行的是，产生链接事件的时间上的时钟控制，以便使运行时间和/或停机时间可检查并且防篡改地进行存储。
63.在上文中已经根据所述方法描述了所述目的的解决方案。在此所提及的特征、优点或替选的实施方式也可转用于其他要求保护的主题，并且反之亦然。换言之，实体性权利要求(其例如针对系统或设备或保护模块)也能够包括结合所述方法所描述和/或要求保护的特征，并且反之亦然。所述方法的相应的功能特征在此通过系统或产品的相应的实体性模块，尤其硬件模块或微处理器模块形成，并且反之亦然。
64.根据另一方面，本发明涉及一种具有程序代码的计算机程序，当计算机程序在计算机或基于计算机的处理单元或保护模块上执行时，所述程序代码适合于执行在上文中描述的保护方法。计算机程序能够存储在存储器中并且例如可作为透析设备和/或反渗透设施上的应用程序使用。然而，其也能够在与相应的设备进行数据交换(通信连接)的中央的计算单元上实现。所述程序也能够通过经由基于计算机的单元的网络连接的下载来加载。
65.在另一方面中，本发明涉及一种用于医疗设备的保护模块，应用程序能够被加载到所述模块上并且在其上执行，以便当在数字处理单元例如在保护模块上执行所述应用程序时，执行根据上述方法权利要求所述的方法。为此，保护模块包括：
66.‑
用于读入第一和第二标识符的读入接口；
67.‑
构成用于执行如在上文中所描述的保护方法的电子处理单元；
68.‑
用于存储经计算的文档编制值的存储器；替选地，所述存储器能够转移，使得在保护模块上仅集成有至存储器的接口；
69.‑
至网络的接口，所述设备经由所述接口交换数据。
70.本发明的该方面涉及所述目的的同一解决方案，然而上述方法在此并非直接在设备(透析设备或反渗透设施)上执行，而是在单独的基于计算机的数字单元，即保护模块上执行，所述保护模块与设备进行数据交换并且用于通过执行所述方法进行附加的保护。然后，保护模块能够——根据保护方法的结果——向设备发送使能或禁止信号。保护模块例如能够构成为移动的电子终端设备(平板电脑、智能电话等)。保护模块也能够在透析设备或另一设备上实现。保护模块能够作为软件模块提供并且能够是虚拟机的一部分。
71.在本发明的一个实施方式中，包括保护模块的单元或保护模块本身具有至网络的其他设备的其他保护模块的接口，以便与相应相关联的存储器整体上形成分布式存储器结构，所述分布式存储器结构例如能够构成为dlt结构。
72.在另一方面中，本发明涉及一种具有如在上文中所描述的保护模块的医疗设备。在这种情况下，保护模块实现为不具有其他功能性的纯电子处理单元，例如微处理器或集成电路装置(fpga等)。
73.在另一方面中，本发明涉及一种系统，所述系统用于保护医疗环境中的设备防止
设备的未授权运行，其中所述授权与在设备运行的过程中两个链接伙伴之间的链接事件相关，其中所有的或所选择的链接伙伴以一对一的方式与标识符相关联。链接伙伴之一是在设备运行时所使用的使用品。一个重要的方面在于，设备在分布式设备复合体中运行，并且应该能够在没有中央控制实体的情况下执行对设备复合体中的所述设备之一的保护。为此，每个设备包括如在上文中所描述的保护模块，所述保护模块经由网络与分布式存储器结构进行数据交换。
74.在本发明的一个实施方式中，设备的存储器形成分布式数据结构(尤其分布式总账)，然而所述数据结构是连续同步的，使得对本地设备的存储器的本地访问足以验证文档编制值。当假设患者通常访问同一诊所时，至少并且尤其是同步的数据组在本地存在，在该设备上(在医院装置内)有一定最小概率需要所述数据组。由此，既能够提高所述方法的效率并且能够节约所需的(网络)资源。并非本地存在的组也能够经由网络寻址。可选地，为此——根据可用带宽——对于接下来的授权的验证可能需要略长的时间。如果设备的存储器是有限的，使得分布式总账结构的仅一部分应该本地存储，那么能够有利地选择本地保持可用的部分，使得所述部分涉及如下患者，在所述患者处提高所述患者重新在该处被治疗的概率。再次在该处接受治疗的提高的概率例如能够自动地从如下数据组中读出：患者曾在该处接受过治疗。由此产生如下优点：通过将与总账的本地保持可用的部分进行比较，授权方法可能是可行的。这与可选地从远程的和缓慢联接的设备下载总账部分相比可能又是更快的。在每个设备仅保持总账的一部分可用的变型形式中，所述方法的该变型形式将是特别有利的。
75.在本发明的一个实施方式中，第一链接伙伴(例如一次性医疗用品)的标记能够是电子处理单元(例如rfid芯片)，其中电子处理单元设立用于存储一对一的一次性用品标记，所述一次性用品标记又以一对一的方式与一次性用品标识符相关联。第二链接伙伴能够是想要在设备上用一次性用品进行透析治疗的患者。患者具有标识其的患者标识码(例如患者的id卡，例如健康卡，所述患者用所述健康卡登录透析设备)。链接事件表示在治疗期间用于相应的患者的相应的一次性用品在特定的医疗设备上的使用。
76.在本发明的另一有利的实施方式中，第一链接伙伴是用标识指示标记的膜。标记例如能够以集成或所施加的rfid芯片的形式实现，所述rfid芯片用作为电子处理单元。该标记能够经由适合的读取机构(扫描仪)读入并且以一对一的方式与膜标识符(作为数字的数据组)相关联。第二链接伙伴是反渗透设施，所述反渗透设施同样可一对一地经由设施标识符标识。链接事件表示膜在反渗透设施中的使用。
77.另一目的解决方案提出一种计算机程序产品，所述计算机程序产品具有计算机程序代码，当所述计算机程序在计算机上执行时，所述计算机程序代码用于执行在上文中详述的方法的所有方法步骤。在此也可行的是，将计算机程序存储在可由计算机读取的介质上。计算机程序产品例如能够构成为存储的可执行文件，可选地具有其他组成部分(例如库、驱动器等)，或者构成为具有已经安装的计算机程序的计算机。
附图说明
78.在以下详细的附图描述中，根据附图的图示阐述了应理解为非限制性的实施例与其特征和其他优点。在该附图中示出：
79.图1示出在具有多个透析设备时根据本发明的第一实施方式的分布式存储器结构的示意性概览，在所述透析设备上能够治疗不同的患者；
80.图2示出在具有多个反渗透设施时根据本发明的第二实施方式的分布式存储结构的示意性概览，所述反渗透设施能够通过不同的膜运行；
81.图3示出关于在设备和分布式存储器结构之间的交互和消息交换的示意图；和
82.图4示出根据本发明的一个优选的实施方式的方法的流程图。
具体实施方式
83.本发明用于提高透析设备dg或其他医疗设备例如反渗透设施的设备运行的安全性，所述透析设备借助于消耗品运行，所述消耗品如一次性用品(例如透析器)，所述反渗透设施借助于膜运行。
84.在本发明的第一实施方式中，第一链接伙伴涉及患者，所述患者可经由诸如患者卡的标识机构的代码或标识符一对一地标识并且借助其标识符登录透析设备。设置用于治疗患者的透析套件是第二链接伙伴。该实施方式的背景是：例如呈透析器/软管套件形式的使用品被提供给患者供其自主使用并且然后患者能够借助该套件登陆其选择的任意的透析机，以便执行治疗。根据应用情况，使用品应仅使用一次或仅使用有限的重复次数，但无论如何只能用于同一患者，例如防止病原体在两名患者之间转移，这可能通过对有限地可重复使用一次性用品清洁或消毒也无法完全消除。本发明通过如下方式解决所述问题：提供一种文档编制方法，所述文档编制方法被扩展为，使得能够防伪地并且此外匿名地对链接事件的重复进行文档编制和/或检查，并且能够检查：特定的链接伙伴是否已经经历链接事件。此外，能够保证：已经链接的伙伴不能以其他方式链接。由于存在感染风险，绝不能将使用品从一名患者交换给另一名患者。本发明实现了一种系统，借助于所述系统能够自动地保证这一点。这尤其通过医疗技术语境中的设备来确保，在所述设备中应使用一次性用品。所述设备独立地并且自动地检查链接伙伴的链接的可允许性，并且可选地阻止或限制治疗。
85.在本发明的第二实施方式中，第一链接伙伴涉及应在反渗透设施(第二链接伙伴)中运行的膜。膜被标记并且例如可利用电子标记经由rfid芯片一对一地标识。所述标记能够由例如在ro设施上构成的读取设备读取并且以数字标识符的形式提供用于进一步处理。可以说，膜利用该标识符登录反渗透设施。在该实施方式中，需监控：反渗透设施始终以所允许的方式运行，并且消耗品(例如膜)在此并不是在所设置的使用期限中使用。因此，在此所提出的文档编制方法被扩展为，使得能够实现特定数量的相同的链接事件，但是能够阻止所有其他的链接事件。如果例如渗透膜的使用时间超过所设置的时间，那么水质不再能够得到确保并且经由反渗透设施供给的透析机不再能够根据安全标准运行。在反渗透设施中仅透过载液(溶剂)并且留住所溶解的物质(溶质)的渗透膜必须能够经受住这种高压。如果压力差超过对渗透梯度的补偿，溶剂分子如在过滤器中一样穿过膜，而“杂质分子”则被留住。因此，膜是非常敏感的。为了防止损坏膜，能够在上游连接过滤器。精细过滤器能够防止机械损伤，活性炭过滤器能够防止化学损伤(例如因氯引起)。
86.基本上，在此所提出的解决方案旨在将如下事件进行文档编制，所述事件是两个链接伙伴的链接(例如使用品/一次性用品和患者，所述患者在其透析治疗中使用所述一次
性用品)。具体地，这种链接事件例如能够表示如下情况：人员在治疗中使用诸如透析器的使用品(消耗品在这一点上也被称为“一次性用品”)。
87.在一个改进形式中，不仅能够将设备的运行进行文档编制，而且还能够保护设备防止消耗品在设备上未经授权的使用。如果两个链接伙伴的指定的链接事件已经被评估为未授权，那么所述设备能够至少恰好针对借助于这两个链接伙伴的该使用被禁止。但是，在紧急情况下手动的特许通过如下方式是可行的，进行手动的重写。为此，可能需要在设备上输入预先定义的使能码。
88.前提是，相应的链接伙伴能够经由分别与其相关联的标记或标识符一对一地标识。因此，患者例如能够经由其患者卡来标识，并且患者携带的透析器经由不可脱开地与其连接的rfid芯片来标识。同样地，膜也能够经由不可脱开地安置在其上的rfid芯片来标识。
89.链接事件通过如下方式来进行文档编制：
90.a)将第一数学函数f应用于第一标识符(例如id
‑
d)：f(id
‑
d)，
91.b)将第二数学函数g应用于第二标识符(例如id
‑
p)：g(id
‑
p)，
92.c)f(id
‑
d)和g(id
‑
p)在数学上(通过应用另一计算规则φ(rv3，简称φ)链接：以便计算文档编制值w。通过应用函数，链接伙伴的标识符流入文档编制中。
93.d)在更一般的形式中，文档编制值扩展了参数k：
[0094][0095]
[在k＝1时于是产生出自c)的情况]
[0096]
e)将经计算的文档编制值w写入存储器mem。
[0097]
第一和第二数学函数能够是相同的。
[0098]
在最简单的情况下，f是乘以1，于是f(id
‑
d)＝id
‑
d。在一种优选的情况下，f是密码学函数或散列函数(也称为散列值函数)，例如sha、sha
‑
1、md5。其他函数是可设想的。
[0099]
这类似地适用于g。
[0100]
这也类似地适用于另一计算规则
[0101]
在一个优选的实施例中，f、g、是散列函数，使得所产生的文档编制值具有固定地限定的长度并且近似表示标识符的指纹。随后产生的文档编制值具有密码学价值并且不能轻易预测或归因于初始值id
‑
d和id
‑
p。这具有如下优点：数据组中的实际id(id
‑
d或id
‑
p)无法以纯文本形式识别，这既迎合对维护隐私提出的更高的要求也使伪造一次性用品的序列号变难。
[0102]
在一个优选的实施例中，标识符id
‑
d和id
‑
p是唯一的并且以困难或不可预测的方式产生，例如利用随机数生成器。
[0103]
如果现在有大量一次性用品d_1到d_1000，那么所有这些一次性用品具有不同的、猜测不到或不可预测的一对一的标识符id
‑
d_1到id
‑
d_1000。
[0104]
如果现在此外将多个人员p_1至p_1000与不同的、猜测不到或不可预测的一对一的标识符id
‑
p_1至id
‑
p_1000相关联，那么对于最后提到的优选的实施例而言处于起始位置中。
[0105]
对于链接伙伴(d_i，p_j)的每个任意的组合，借助于该想法产生一对一的、密码学
上安全的、不可预测的文档编制值上安全的、不可预测的文档编制值通过为f、g和选择合适的密码学函数，能够使对原始值的反向计算随机地困难直至在实践上不可行。也就是说，经计算的文档编制值w是在链接事件中所参与的链接伙伴的一对一模式或一对一签名。
[0106]
不知悉标识符的攻击者必须花费大量精力来猜测一个有意义的组合，因为标识符无法容易地猜到。而这对于能够本地地读入两个链接伙伴的标识符的设备是容易的。这具有如下技术优点：能够非常有效地执行对分布式存储器结构dl的读取访问。
[0107]
关于经计算的文档编制值w/模式的存储：
[0108]
这些文档编制值w(在下文中也简称为：值)必须在其计算后分别存储。在最简单的情况下，这能够简单地是值本身。在经扩展的变型形式中，时间戳或其他数据也能够与所述模式一起存储。
[0109]
特定方法的所有值w存储在共同的数据结构中，所述数据结构设立为分布式总账dl。
[0110]
在一个优选的变型形式中，将标识符(id
‑
d、id
‑
p)和函数f、g、的特性选择为，使得所有可利用所述方法产生的值都具有恒保持不变的大小和/或保持不变的格式。由此产生具有相同大小的区块的存储。可选地，可能需要用零或一填充(padding)到统一的区块大小。
[0111]
在一个优选的变型形式中，存在存储区块，在所述存储区块中分别保存单个值w。
[0112]
存储能够本地地在执行所述方法的终端设备(例如透析设备、反渗透设施、用户的移动终端设备)中进行。存储能够远程地在云端中、在服务器上或者在后台中进行，其中在后一种情况下需要本地的网关设备。优选地，存储进行为，使得所有参与的设备直接在产生之后本地地存储所述模式并且随后将其分配给连接在网络中的设备。该过程称为“同步存储”。
[0113]
优选地，存在大量在网络中连接的设备，所述设备执行所述方法并且例如经由互联网借助于例如对等通信递增地将其存储器同步，使得在一定时间之后所有产生的值i存在于所有设备的本地的分布式总账dl中。如此架设的网络不需要中央实体。
[0114]
替选地，将模式分配到连接在网络中的设备上能够借助于算法来控制，使得并非每个设备都存储所有模式，而是一个所限定的组内的所有模式被通信连接的设备存储至少一次，优选地冗余地存储。根据基本上已知的方法分配用于存储的模式能够在没有专用的中央管理主机的情况下进行。在此优选地，存储能够与所使用的标识符的设备相关联地重复地、本地地在该设备中进行，以便减少网络流量。
[0115]
优选地，在此使用分布式总账技术，以便在设备网络内关于所有通过所述值w进行文档编制的链接事件达成一致，并且在网络中更新该值w。因此产生分散的链接事件数据库。
[0116]
优选地，存在共识机制以确保分布式总账dl在所有参与的实体上的相同的副本。
[0117]
对所存储的模式的处理：
[0118]
如果希望引起链接事件(例如透析治疗)并且知悉两个链接伙伴的标识符(id
‑
d、id
‑
p)，那么能够利用一个设备执行所述方法并且获得模式或关于所述伙伴计算的文档编制值w。现在能够遍寻分布式总账dl：在其中是否恰好存储有该值w。在此决定性的是，该值
不能本地地存储，而是能够存储在分布式总账dl的另一实体上，例如存在另一设备上，并且这也自动地通过查询分布式总账dl来检测。
[0119]
如果未找到所查找的值w，那么这意味着：尚未将这两个链接伙伴的链接事件进行文档编制。在本发明的一个简单的实施方式中，该值由此被视为是经验证的。
[0120]
如果发现所查找的值w，那么这在一个优选的实施方式中意味着：已经存在这两个链接伙伴的链接事件。在一个变型形式中，这可能导致不允许其他链接事件并且该值未经验证。作为对缺少授权的响应能够自动地禁止设备运行。
[0121]
对执行根据本发明的方法的设备提出的要求是：
[0122]
‑
所述设备必须能够知悉id
‑
d(通过手动输入、用于条形码或qr码的扫描仪、rfid读取器、图像识别、数据接收)
[0123]
‑
所述设备必须能够知悉id
‑
p(通过患者卡读取器和上述方法)
[0124]
‑
所述设备必须具有通信连接。
[0125]
‑
所述设备必须具有存储器。
‑
密码学计算能够在本地或远程地进行。如果要在本地进行，那么所述设备当然必须能够计算，也就是说，知悉计算规则并且具有足够的处理器和存储器资源。
[0126]
‑
能够直接地或经由中间实体(例如本地wifi)进行因特网连接。
[0127]
这些设备例如能够是：治疗机(透析设备dg)、智能电话和/或平板电脑作为使能治疗的网关。
[0128]
将链接事件的重复进行文档编制：
[0129]
利用基本方法，同一链接伙伴的两个链路事件的值w看起来相同，因为对于这两个事件而言计算都将是
[0130]
因此，所述方法被扩展用于使这种重复可区分。如果重复是可区分的，那么能够将所述重复进行文档编制并且能够求取重复次数。
[0131]
借助于区块链方法能够通过如下方式解决该问题：通过对值w(n)进行散列运算来计算出值w(n+1)。也就是说，这于是可能是：
[0132][0133][0134][0135][0136]
所述方法虽然可能在密码学上是可行的和可区分的，但会是极其耗费的，尤其在如下方面：提前检查哪些输入值适合于此而哪些会导致不明确的结果(“冲突”)或中断。此外，其对于计算已经发生多少次重复不提供任何捷径。必须强力地重复散列函数，直到在分布式总账中不再找到类似的结果。
[0137]
因此，本发明提出另一设计理念。为此，引入第三标识符id
‑
n作为参数k，所述第三标识符标记所述重复。在最简单的情况下，id
‑
n简单地是自然数n本身，所述自然数对应于
链接事件的重复。
[0138]
但是也可考虑的是，例如存在如下表，所述表使标识符id
‑
n与每个n相关联。在这种情况下重要的是，所有参与所述方法的实体以相同的方式将标识符id
‑
n与重复值n相关联。换言之：其必须是可预测的，由此所有参与的设备和实体能够在没有外部干预的情况下从一次重复的所述值“摆动”到下一次重复。
[0139]
如此计算出的值于是是：
[0140]
a)在k＝id
‑
(n+1)时：
[0141][0142]
b)在k＝h(id
‑
(n+1))：
[0143]
其中h能够是类似于f和g的密码学函数。
[0144]
c)或者，如果链的文档编制的提高的安全性链仍是所期望的(如在区块链中那样)，那么
[0145]
在为id
‑
n选择适合的值时因此能够保证：关于不同的重复(即具有不同的重复次数n)的值w是不同的。
[0146]
在变型形式a)和b)中，也不必计算关于不同的重复的整个系列的值来计算关于当前的重复的新的值w。
[0147]
如果设备不知道曾执行了多少重复并且期望求取这一点，那么所述设备能够相继计算出关于当前的链接伙伴的不同的值w并且在分布式总账dl中遍寻值w。在遍寻时所找到的关于最高的重复次数的值w对应于迄今为止已经进行的和经文档编制的重复次数。
[0148]
检查链接伙伴是否已经链接：
[0149]
对于应用该方法的一个改进形式而言一个实际情况是：需保证适合于并且设置用于多次使用的特定的一次性用品d(例如透析器)只被同一人员p使用。利用在上文中示出的方法能够产生两个链接伙伴的链接事件并且对相同事件的重复进行文档编制以及求取。
[0150]
然而，如果一次性用品d首先与第一患者p_1链接，那么在上述方法中不存在如下指示：所述一次性用品不应(以授权的方式)与第二患者p_2链接。
[0151]
在一个变型形式中，现在为了保证与第一患者p_1链接过一次的伙伴d不能与另一伙伴p_2链接而是始终只能(重复地)与伙伴p_1链接，所述方法被如下扩展：
[0152]
在第一次链接一次性用品d时，产生两个值w(n＝0)和w(n＝1)并且存储在分布式总账dl中的共同的数据结构中。在此，w(n＝0)仅根据id
‑
n和id
‑
d产生：
[0153][0154]
但是再次使用id
‑
p来产生w(n＝1)：
[0155][0156]
照常产生以下值w(n>1)。
[0157]
如果现在网络中的任意实体扫描到id
‑
d并且应用所述方法，那么首先产生值w(0)并且然后在分布式总账dl中查找。如果找到该值，那么清楚的是，在此之后立即存储id
‑
d和
id
‑
p的唯一允许的呈w(1)形式的组合。如果现在链接伙伴p想要引起恰好与具有id
‑
d的一次性用品的链接事件，那么设备扫描其id
‑
p并且计算关于链接伙伴的该组合的值w(1)。如果该值w(1)匹配于在关于具有标识符id
‑
d的一次性用品所找到的值w(0)之后所存储的值，那么清楚的是，其是在经过文档编制的链接事件w(1)中相同的链接伙伴p。
[0158]
如果所计算的值w(1)与所存储的值w(1)不匹配，那么参与的链接伙伴p是不相同的。
[0159]
也就是说，在以上示例中，设备将输出错误信息并且禁止设备或拒绝启动。附加地，还能够触发其他措施，例如要求手动的重写或“手动覆写”来进行启动(这又将防伪地被文档编制)、向主干网发送错误消息、呼叫护士和/或等等。
[0160]
在一个改进形式中，链接逻辑被倒转并且只允许尚不存在的链接。
[0161]
最大重复次数和中断：
[0162]
所述方法的一个改进形式实现：允许特定的重复次数n_max并且此后(n>n_max)不再允许链接事件的其他重复。
[0163]
在实现这一点的一个简单的变型形式中，所参与的实体会知悉最大次数——要么在本地要么在设备网络中要么在中央实体中保存n_max。这种情况可能隐藏攻击风险——尤其在本地存储中。但是，无论在什么情况下，超过最大值的重复也会在分布式分类帐dl中进行文档编制并且能够排除责任。
[0164]
在一个改进形式中，次数n_max是链接伙伴d的特定特性，并且以密码学方式包含在其标识符id
‑
d中，例如作为校验和。
[0165]
在一个改进形式中，重复次数n_max特定于每个链接伙伴p地规定并且编码到其标识符id
‑
p中。
[0166]
在一个改进形式中，重复次数与p和d相关，并且从最大值的空间中根据id
‑
d和id
‑
p确定值。
[0167]
在一个改进形式中，重复次数n的标识符id
‑
n仅针对高至所选择的n_max的特定的数量n限定，例如针对出自直至n_max＝10的(1
‑
10)的n个元素或针对出自n_max＝3的(0
‑
3)的n个元素。如果实体现在尝试产生值w(n>n_max)，那么其将失败，因为所述实体无法为n>n_max产生标识符id
‑
n。出现错误，所述错误能够在用户界面上作为“达到最大重复次数”输出和/或被文档编制，可选地接着进行中断或进行担保失效的警告等等。
[0168]
在一个改进形式中，id
‑
n利用一个关于n的函数形成，所述函数对于值n>n_max不提供任何结果或任何有意义的结果。例如，id
‑
n能够具有函数t(n)，所述函数对于n＝0到n＝n_max＝10提供实数结果并且对于大于10的自然数n提供虚数结果：
[0169]
t(n)＝v(9.99
‑
n)
[0170]
替选地，在关于在上文中所描述的检查链接伙伴是否已经链接的变型形式中，在产生值w(0)之后立即与id
‑
n(n＝n_max)进行链接，并且在每个其他使用中被递减。在达到n＝1时，于是将达到最大允许的重用次数，并且在下一个递减(n＝0)时函数可能会抛出无效结果。
[0171]
其他应用示例：
[0172]
第一应用情况是例如目前通常仅设置用于一次性使用的透析器的多次使用。出于不同的卫生和健康原因所期望的是，透析器——如果有的话——仅被同一患者多次使用。
因此期望对出自患者id和透析器id/一次性用品(一次性产品)id的链接进行文档编制。在此，为此使用同一透析机并不特别重要。但这是可考虑的并且在改进形式中也能够被文档编制。能够被文档编制的其他参数是治疗持续时间和其他治疗参数，以及在第一次使用后的允许的使用时间。但这不是该方法的核心。然而，利用所述方法还能够保证：仅在医学上所确定的对同一透析器的重复使用次数是可行的，例如重复五次。
[0173]
该方法的另一应用情况是治疗性单采法。这是基于设备的用于借助于过滤器和吸附器从血液中去除致病物质的治疗。其他在下文中描述的应用情况尤其涉及吸附器在血浆过滤设备和免疫分离设备的运行过程中的使用及其安全的文档编制。
[0174]
吸附器能够作为一次性用品对于同一患者重复使用——甚至在单一的治疗中多次重复使用。每个患者能够使用至少一个可换新的吸附器。作为使用品，例如两个吸附器能够交替运行。在此，使用第一吸附器并且同时再生第二吸附器(使用氯化钠)。因为吸附器是昂贵的产品，所以非常鼓励多次使用一次性用品，更确切地说对于如下而言：
[0175]
‑
在个别的疗程期间的多次使用，和
[0176]
‑
在多个疗程中多次使用。
[0177]
在使用吸附器时重要的是，检查它已使用多长时间或还能以授权方式使用多长时间。
[0178]
利用在此所介绍的方法和系统，基本上可行的是，检查一次性用品(无论是膜或透析器还是另一类型的医用一次性用品)的运行时间。链接事件能够在时间上以时钟控制的方式检测(例如每小时或每分钟一个链接事件)，以便能够将设备中消耗品的重复使用进行文档编制和/或控制。这样做的原因是：这种膜并非每次治疗都插入，而是在特定的持续时间内插入，所述持续时间通常比一个治疗周期长。因此，对于每个预定义的时间单位检测或验证新的链接事件，例如每小时一个链接事件。链接事件的检测包括验证的方法步骤。
[0179]
另一应用情况是类似透析器的过滤器，所述过滤器在治疗设备中附加地用于过滤透析水或透析液体。利用这种过滤器从液体中滤除或留住细菌、病毒和内毒素。这些过滤器仅允许受限地使用。所述限制能够涉及所允许的重复次数、持续时间、在患者使用方面的限制或其他方面。该应用情况是累积应用多个(在此：三个)不同的(使用)标准来授权利用一次性用品(在此：过滤器)的设备运行的示例。针对最大使用的三个不同标准是：
[0180]
‑
最大次数。例如，这种过滤器最大允许规定次数的化学消毒周期，例如借助于氯或次氯酸盐。
[0181]
‑
最大的运行持续时间。过滤器仅允许使用规定的最大允许持续时间。
[0182]
‑
最大的停机时间。过滤器仅允许达到特定的最大的停机时间，即，当装入设备中达到特定的持续时间时——无论其是在运行中还是经过化学消毒，达到时间上限。
[0183]
在本发明的一个优选的实施方式中提出，在所述方法的进行准备的配置阶段中，如下标准是可配置的，所述标准能够由操作员预设或从预定义的菜单中选择，并且在设备运行期间自动对所述标准的遵循进行监控。
[0184]
在其他应用中，也能够定义和检查用于一次性用品的允许的使用的仅两个或其他标准。该实施例应说明：根据本发明的方法还能够用于对多种类型的链接事件进行文档编制和/或控制。为此，所述设备需要多个不同的标识符——取决于作用：第一标识符用于与
链接伙伴的运行持续时间相关的链接事件，第二标识符用于与链接伙伴的消毒过程相关的链接事件，和第三标识符用于与链接伙伴的停机时间相关的链接事件。由此对所有三个使用标准或过程类型进行文档编制是可行的。在应防止超出允许的重复上限的使用的方法中确保对所有三个参数检查：是否达到最大重复次数。
[0185]
此外，所述设备在每个消毒过程中创建具有机器消毒标识符和过滤器的链接事件。
[0186]
附加地，所述设备在运行时针对每个开始的时间单位创建具有机器运行标识符和过滤器的链接事件。
[0187]
也就是说，对于由机器标识符停机时间和过滤器标识符构成的配对，检测在插入设备中时的链接并且如果过滤器保留在其中，那么以固定的时间间隔检测，例如每周检测一个链接。替选地，仅在首次插入过滤器时才检测具有设备的停机时间标识符的链接事件——并且经由分布式总账中的时间戳(timestamp)求取：过滤器是否仍允许使用。在diasafe产品中，最大允许的停机时间为例如约12周——否则因细菌和微生物生长引起的风险过大。后一种情况将保证：在机器出故障时，即，所述机器于是不再能够对其他停机链接进行文档编制，但是仍然不超过停机时间。
[0188]
虽然过滤器能够在不同的设备中使用，但是能够对所有相关的链接事件都进行监控和文档编制，因为所有类型的事件都与一对一的过滤器标识符链接，使得能够文档编制、检查并且可选地防止超出允许的运行参数。
[0189]
在该应用中，存在如下形式的多个链的链接：关于一个过滤器标识符存在多个子链，即每个标识符类型存在一个(运行时间、消毒、停机时间)。仅当执行根据本发明的方法的设备知悉哪些链合成整体时，即在这种情况中哪些三个链属于同一一次性用品时，才可以进行这种连续的检查。就此而言，这些链因此至少必须彼此链接使得设备能够检测相关的数据。所述链接例如能够经由一组函数f1、f2、f3来实现，借助于所述函数能够从一次性用品
‑
id id
‑
d中生成三个不同的数据头——分别用于停机时间f1(id
‑
d)、运行时间f2(id
‑
d)和消毒次数f3(id
‑
d)。如果f1、f2和f3之间的关系是可追溯和系统化的，那么以这种方式也可将所述链识别为是链接的，如果知悉f1、f2和f3之间的关系的话。在实际的应用情况中，所述函数应该处于这种系统化的关系中。
[0190]
该方法的另一应用情况是借助于反渗透(r.o.表示反渗透)将膜用于净化水的使用进行文档编制。恰好便携式设备可能会使用如下膜，所述膜仅可在例如500或5000运行小时内使用。在这种情况下，能够将更小的单位进行文档编制，即，重复于是将不是使用，而是针对流量等创建关于每个开始的运行小时或每个开始的运行分钟递增的n的条目。
[0191]
为了完整起见，应陈述一种简单的但是可考虑的情况：
[0192][0193]
w＝id
‑
d*id
‑
p*k
[0194]
在下文中，根据特定的实施例结合附图更详细地阐述本发明。
[0195]
因此，图1示出用于保护透析设备dg防止未授权的应用的方法的示例。如果例如对于不同的患者要使用同一一次性用品，或者如果一次性用品使用超过允许的最大使用次数，那么该应用是未授权的。在此，一组透析设备dg1、dg2、...dgn在设备构成的复合体中经由对等网络连接。例如，透析设备dg能够设置在透析中心中。所述透析设备在此也能够遍布
全球地位于不同的机构中。作为保护方法的参与者，每个透析设备dg包括保护模块sm。保护模块sm能够直接在透析设备dg上或在与该透析设备相关联的并且与其进行数据交换的网关上实施。保护模块sm能够与使能/禁止信号发生器相互作用，以便针对患者p和一次性用品d的指定的治疗实现使能或禁止透析设备dg。此外，保护模块sm能够构成有用于示出结果或子结果(例如经计算的文档编制值)的用户界面。保护模块sm能够包括以下构件：
[0196]
1.读入接口i。也能够存在读入接口的两个实体，如在图1中示意性示出的那样，即读入接口i的第一实体，其确定用于读入患者标识符id
‑
p，以及读入接口i的第二实体，其确定用于读入一次性标识符id
‑
d。
[0197]
2.数字处理单元v，其能够构成为处理器、芯片或电路装置并且用于：基于所读入的标识符id
‑
p、id
‑
d(或id
‑
m，id
‑
ro)执行保护方法，并且与设备dg的本地存储器mem和分布式存储器结构dl进行数据交换，以及可选地与其他模块进行数据交换。
[0198]
3.存储器mem；
[0199]
4.除了医疗运行模块之外，可选地能够在透析设备上提供其他处理器和其他模块。因此，上述模块的边界线在图1中用点划线示出。
[0200]
相应的透析设备dg1、dg2、...、dgm的所有存储器mem1、mem2、memn形成分布式存储器结构，其能够构成为分布式总账。
[0201]
患者p必须首先登录和标识保护模块sm或透析设备dg并且给透析设备dg提供其(第一)标识符id
‑
p。为此，基本上给患者提供不同的选项。例如，患者能够激活或调用其移动设备h(智能电话、平板电脑)上的应用程序，所述应用程序要求其输入其患者标识符id
‑
p。否则，设备h和/或透析设备dg能够构成有读取机构或设备(代码扫描器)，以便例如从患者卡或健康卡读出患者标识符id
‑
p作为代码。于是，处于卡上的代码(例如条形码)对应于患者p的物理“标记”，其随后被转换为标识患者的数字标识符id
‑
p以进行进一步处理并与该患者对应。此外，患者也能够直接经由用户界面u1，即手动地在设备dg上输入其第一标识符id
‑
p。这在图1中用虚线示出。
[0202]
以相应的方式检测一次性用品d的第二标识符id
‑
d。为此，一次性用品d能够构成有rfid标记或不同类型设计的标签——在图1中用附图标记l表示——，其由读取设备，在此即扫描仪s检测并且以数字的第二标识符id
‑
d的形式经由读入接口i输送给处理单元v用于进一步处理。
[0203]
在经由读入接口i读入第一和第二标识符id
‑
p、id
‑
d后，将其提供给处理单元v，所述处理单元将第一计算规则rv1应用于第一标识符id
‑
p并且将第二计算规则rv2应用于第二标识符id
‑
d，以便利用第三计算规则(在图3中为rv3或在正文中也称为)处理所产生的两个子结果，以便计算文档编制值w。
[0204]
如在图1中所看到的那样，透析设备dg并且尤其保护模块sm(在图1中示例性地示出)还能够包括用户界面u1和使能和/或禁止单元fs，所述使能/和/或禁止单元仅仅在对于运行与相应的链接伙伴d，p有经授权的链接的情况下才使能设备dg。如果无法进行授权，那么能够至少针对这两个相应的链接伙伴d、p禁止设备运行。为此，能够在用户界面ui上输出相应的指示，所述指示表示禁止的原因(例如“使用品已用于另一患者”或“达到使用品的允许的最大重复使用次数”)。
[0205]
如果将所述方法用作纯粹的文档编制方法，那么现在能够将如此计算的文档编制
值w直接写入存储器mem中。
[0206]
如果将所述方法用作为保护和授权方法，那么经计算的文档编制值w并非直接写入存储器mem中，而是首先进行验证。验证能够借助于共识算法来执行，所述共识算法包括访问分布式存储结构dl以便检查：关于使用品的文档编制值w是否保存在存储器结构dl中，并且如果是这种情况，那么具有何种重复值。根据在配置阶段已经预先配置了哪些规定，尤其如果文档编制值尚未存储(新的链接事件)或者如果文档编制值对于同一患者但是在最大允许重复率(允许的重复使用)内已经存储，那么所述相应的文档编制值w被视为是经验证的；否则是未验证的。仅在验证成功时才进行文档编制值w到分布式总账结构dl中的同步存储并且对于相应的链接伙伴d、p能够授权设备运行。
[0207]
图2示出另一实施例。在此应监控：反渗透设施ro是否以允许的方式运行。反渗透设施ro用于提供经制备的净化过得水以用于透析设备dg。所述反渗透设施基于反渗透原理并且为此包括泵和过滤器、液体容器和膜m作为使用品。设施ro的组成部分在图2中仅示意性地示出。通过所述保护方法检查：在此所使用的并且在设备ro中所使用消耗品，如膜m，是否仍允许使用以及尚未过于频繁地使用。为此，反渗透设施ro构成有处理单元v，并且使用品，例如膜m标记有物理标签l(条形码、条码、rfid码等)。第一标识符id
‑
m、id
‑
m1、id
‑
m2等以一对一的方式与标签l相关联或能够转换成所述标签。替选地并且在图2中用点划线示出：标签l能够由扫描器s读取并且以第一标识符id
‑
m2的形式输送给处理单元v以进行进一步处理。第一标识符id
‑
m是数字的数据组并且由处理单元v借助于所提供的算法来处理。此外，将ro设备的第二标识符id
‑
ro输送给处理单元v，以便将计算规则rv1、rv2、rv3应用于数据组。
[0208]
膜m的标签l被检测(例如经由扫描仪s)并且作为第一标识符id
‑
m被读入，并且反渗透设施ro的id代码id
‑
ro作为第二标识符被读入。现在执行与在上文中结合图1所描述的基本上相同的方法，以便授权或禁止反渗透设施ro的借助于膜m的设备运行。
[0209]
在上述示例中，对于本领域技术人员而言应理解的是，第一标识符和第二标识符也能够互换。同样如在图4中所表明的那样，对这两个标识符id
‑
p、id
‑
d、id
‑
ro、id
‑
m的检测也能够并行地或以不同的时间顺序执行。
[0210]
如在图1和2中示例性地对于第一设备dg、ro所表明的那样，经计算的文档编制值w首先被暂存在本地的缓冲存储器中。然后能够可选地执行验证，以便授权借助于相应的链接伙伴d、m的设备运行。这能够通过访问分布式总账dl的分布式数据结构来执行。因此能够实现：不允许的链接尝试完全不存储在分布式数据结构dl中，而是仅存储那些已经成功验证的链接尝试。
[0211]
图3在示意性视图中示出数据组的数据交换和关联性。在第一设备dg1上相继利用不同的一次性用品组d治疗不同患者p。在图3中时间对应于箭头方向从上到下绘制。因此，第一患者p11在第一设备dg1上使用一次性用品d11。文档编制值w11如在上文中所描述的那样计算并且通过共识算法验证。因为所述文档编制值尚未存储，所以将其输入到dl结构dl中。此后，另一患者p12(在该示例中在同一透析设备dg1上)想要使用同一一次性用品d11。经计算的文档编制值w未被存储，因为其无法被验证，因为同一一次性用品已用于另一患者(p11)。另一患者p13现在想使用一次性用品d12。这被判断为是允许的，并且将值12存储到分布式总账dl中，依此类推。
[0212]
所有设备dg进行数据交换并且访问分布式总账结构dl。第i个透析设备dgi由患者pi1借助于一次性用品di1应用。这已被计算为是允许的，使得将值wi1存储到分布式总账dl中。第二患者pi2想要使用一次性用品di2并且与之相应地在分布式总账dl中遍寻计算值wi2。
[0213]
对于i＝1的情况，上述示例中的验证失败，因为一次性用品d11已经由第一患者p11在第一设备dg1上使用。这直接在设备dgi上检测，所述设备例如能够位于德国，虽然例如第一设备dg1位于日本。
[0214]
对于i＝2的情况，授权将成功，因为相应的链接事件尚未存储在分布式总账dl中并从而存在新链接。
[0215]
与验证相反，授权还能够包括其他检查(例如在访问规则库的条件下检查其他以规则的形式保存的标准，例如用于相应的链接伙伴的指定的治疗类型等)。
[0216]
图4在流程图中示出一个实施例的方法的典型流程。在所述方法开始之后，在步骤s1中读入第一标识符id
‑
p。在步骤s2中读入第二标识符id
‑
d。步骤s1和s2也能够以相反的顺序执行。将第一计算规则rv1应用于第一标识符id
‑
p，将第二计算规则rv2应用于第二标识符id
‑
d，以便提供子结果，所述子结果借助于第三计算规则rv3来处理，以便在步骤s3中提供或计算文档编制值w。在步骤s4中，能够在访问分布式总账dl的条件下执行共识算法来验证经计算的文档编制值w。在验证成功时在步骤s5中将值w同步地存储在分布式总账dl中，并且在步骤s6中，设备dg能够利用相应的一次性d作为链接伙伴来使能。这通过有针对性地操控设备dg、ro来进行。此后能够迭代地执行或终止所述方法。上述流程能够用于在使用一次性用品d时保护透析设备dg并且用于在使用膜m时保护反渗透设施ro。
[0217]
最后，应当指出，本发明的说明书和实施例基本上不应理解为是在本发明的特定的物理实施方面的限制。结合本发明的各个实施方式所阐述和示出的所有特征能够以不同的组合设置在根据本发明的主题中，以便同时实现其有利效果。
[0218]
对于本领域技术人员而言尤其清楚的是，本发明不仅能够应用于透析设备dg和反渗透设施ro，还能够用于使用消耗品的其他医疗设备，其使用应在相应的设备处或利用相应的设备来检查。此外，保护模块sm的构件也能够分布式地在多个物理产品上实现。
[0219]
本发明的保护范围由所附的权利要求给出并且不受在说明书中所阐述或在附图中所示出的特征的限制。