最小化在医疗装置仪器上使用未授权医疗装置一次性物的授权方案

摘要

提供了用于针对生物流体处理装置仪器的一次性组件认证的系统、方法、设备和计算机可读介质。示例仪器认证系统包括实施使用一次性组件的生物流体处理仪器的配置和操作的计算机。通过计算机提供第一接口并且服务技师使用该第一接口来为一定数量的一次性组件配置生物流体处理仪器，并且向服务技师提供验证码。码生成器接受来自服务技师的验证码，并且响应于输入的验证码来生成认证码。通过计算机提供第二接口，该第二接口提示服务技师输入认证码，其中，认证码授权一定数量的一次性组件用于生物流体处理仪器。

说明书

技术领域

本发明总体上涉及授权医疗装置仪器的方法、系统和设备，更具体地涉及使用授 权码来授权一次性组件在医疗装置仪器中的使用的方法、系统和设备。

背景技术

医疗装置仪器的一个示例是血液分离仪器。血液分离仪器用于从整个血液中分离 血液成分。这样的血液分离仪器可以从各种来源购买到，这样的仪器包括可以从伊利 诺伊州、苏黎世湖的Fenwal公司获取的仪器和ALYX^TM血液处理系统。这 样的仪器(也已知为“分离器”)通常通过使供血者的血液通过仪器而从整个血液中 分离选择的血液成分，以从整个血液中分离一种或者多种血液成分。然后，整个血液 中的剩余部分返回到供血者的循环系统。因此，这是体外血液成分收集处理。

仪器利用离心分离机来分离血液成分。一次性血液分离组件连接到仪器，以收集 所需的血液成分。仪器具有移动供血者血液并且将供血者血液导向通过组件的阀门、 泵和夹具。组件的部分包括所需血液成分被收集到其中的袋子。组件的大部分剩余部 分可在完成收集处理之后抛弃。这样的组件通常称为“一次性物”。

发明内容

某些示例提供对使用一次性组件的生物流体处理仪器上的处理进行授权的系统、 方法、计算机程序产品以及设备。

某些示例提供了用于对使用一次性组件的处理进行授权的方法。所述方法包括： 在生物流体处理仪器中装纳一次性组件；在生物流体处理仪器处确认控制器计算机和 验证计算机之间的通信；经由验证计算机上的接口接受认证码的用户输入；使用验证 计算机来验证认证码；以及在验证认证码失败时禁用生物流体处理仪器。

某些示例提供了一种生物流体处理仪器一次性组件授权系统。所述系统包括实施 使用一次性组件的生物流体处理仪器的配置和操作的计算机。由该计算机提供第一接 口，并且服务技师使用该第一接口来对于多个一次性组件配置生物流体处理仪器并且 向服务技师提供验证码。码生成器从服务技师接受验证码，并且响应于输入的验证码 生成认证码。通过该计算机提供第二接口，该第二接口提示服务技师输入认证码，其 中，认证码授权用于生物流体处理仪器的一定数量的一次性组件的使用。

某些示例提供具有用于在计算机装置上执行的一组指令的计算机可读介质。所述 一组指令被执行时，配置计算装置，以实施用于授权一次性组件和生物流体处理仪器 的使用的方法。所述方法包括：在生物流体处理仪器中装纳一次性组件；在生物流体 处理仪器处确认控制器计算机和验证计算机之间的通信；经由验证计算机上的接口接 受认证码的用户输入；使用验证计算机来验证认证码；以及在验证认证码失败时禁用 生物流体处理仪器。

附图说明

本发明的某些示例实施方式以及其技术特征和优点可以通过参考结合附图进行 的以下描述而变得清楚，在附图中，相同的附图标记表示相同的元件，并且在附图中：

图1是具有内部产物选项计算器的血液处理系统的立体图；

图2至图5提供了能够结合在此描述的血液收集和/或者处理系统使用的示例联 网系统；

图6示出了示例密码输入画面；

图7示出了医疗装置仪器认证系统的示例；

图8描述了示例授权码生成界面；

图9是对于使用一次性组件的医疗装置仪器和/或者利用一次性组件进行的治疗 处理执行的用户和装置认证的方法的流程图；

图10示出了用于配置和授权医疗装置仪器的使用的系统和处理流程图；

图11是能够用于和/或者编程为实施在此描述的示例系统和方法的示例处理器平 台的示意图。

在结合附图阅读上述发明内容以及以下对本发明的某些实施方式的详细描述时 将能够获得更好的理解。出于示出本发明的目的，在附图中示出了某些实施方式。但 是应该明白，本发明不限于在所附附图中示出的布置和手段。

具体实施方式

应该理解，本发明可以在不脱离其精神的情况下以其他特定形式来实施。因此， 在所有方面都应将这些示例和实施方式视为示例性而非限制性的，并且本发明不限于 在此描述的细节。

虽然以下公开了示例方法、设备、系统以及包括固件和/或在硬件上执行的软件 的制造物件，但是应该理解，这样的方法、设备、系统以及制造物件仅仅是示例性的， 并且不应该认为是限制性的。例如，可以想到的是，这些固件、硬件和/或者软件组 件中的任何或者全部都可以仅以硬件来实施，仅以软件来实施、仅以固件来实施、或 者以硬件、软件和/或者固件的任何组合来实施。因此，虽然以下描述了示例方法、 设备、系统和/或者制造物件，但是提供的示例并不是实施所述方法、设备、系统和/ 或者制造物件的唯一方式。

在一些示例中，通过用户认证来最小化生物流体处理仪器上的未授权一次性物的 使用。此外，用户授权允许追踪使用的一次性物的实际数量。生物流体处理仪器可以 包括血液处理或者血液分离系统，诸如系统、系统等，以从供 血者/患者收集一种或者多种血液产物。

图1示出了血液处理系统100，例如，可以从Fenwal公司购买的系 统，用于收集血液产物。系统100包括验证102以及内部产物选项计算器120。例如， 内部产物选项计算器120可以包括诸如微处理器、微控制器等的数字处理器。仪器 100使用离心分离机来分离血液成分。一次性血液分离组件连接到医疗装置仪器100， 用于收集所需的血液成分。仪器100包括移动并且引导供血者的血液通过组件的阀 门、泵和夹具。组件的部分包括所需血液被收集到其中的袋子。组件的大部分剩余部 分可在完成收集处理之后抛弃。这样的组件通常称为“一次性物”。

显示器102可以包括触敏区域104-111，这些触敏区域104-111用于输入例如用 于选择血液成分收集信息的默认信息。通过触敏区域104-111输入的设置也可以被指 定为“预选”。在收集处理之前没有输入关于供血者的具体信息的情况下，这些预选 能够建立将由产物选项计算器使用的信息。替选地和/或附加地，仪器100可以包括 用于输入默认信息的一个或者多个输入装置，例如键盘、一个或者多个开关(未示出)、 一个或者多个按钮(未示出)等。在某些示例中，可以由诸如操作员或者管理员的用 户建立一组默认参数。例如，可以为单针处理、双针处理建立默认参数，和/或者为 单针和双针处理建立公共默认值。在某些示例中，在处理之间不为了后续处理中的使 用而存储或者保持信息。然而，之前通过血液收集中心输入的预设可以对于随后的处 理保持不变。

某些示例可以与一个或者多个血液收集和/或者处理装置结合使用，并且能够并 入到血液中心、血液成分收集仪器等之间的数据通信和信息交换的网络中。例如，某 些示例提供了用于在生物流体收集和/或者处理设施中收集、使用和存储信息的系统、 设备和/或者方法。某些示例能够通过升级现有的硬件和软件而并入到现有的设施系 统中。某些示例提供了实验室仪器、生物处理仪器(如在美国专利No.09/325,599中 公开的病原体灭活仪器)以及给自身提供供血者的自动化跟踪和/或追踪和生物流体 数据日志的收集设施的管理信息系统之间的数据连接，所述实验室仪器包括但不限于 现有的血液和血液成分收集仪器，如由Fenwal公司提供的Autopheresis-C、ALYX和 /或AMICUS仪器，如在PCT公开No.WO 01/17584、美国专利No.5,581,687和No. 5,956,023以及美国专利No.09/037,356中描述的那些系统，上述文献通过引用并入这 里。可以经由供血者、操作员、软件工具以及仪器数据的综合来提供可追踪性。

在某些示例中，系统被设计用于生物流体收集和/或者处理设施并且作为在这些 设施中使用的仪器的配件。系统的一般目的在于增加处理生物流体的效率和合规处理 中的辅助。该目的主要通过对更多信息和更多精确信息的收集来实现。当前，设施工 作人员必须手动地跟踪信息，例如通过在记录本上书写信息来跟踪信息，但是本发明 的系统允许工作人员和操作员跳过纸件/手动步骤。该系统还可以提供下述优点：已 经手动收集的数据的提高的精确性和完整性；为诊断使用而收集的更多数据，这将有 利于更好的用于设计或检修实验室仪器的信息；收集更多的数据以便于中心来生成点 对点统计报告，该报告可以与任何数量的变量相关，所述变量例如为每天/一天的每 次的供血者、错误率、按照供血者的类型的收集量等；收集更多的数据以便于中心用 于确定不同操作员的效率和错误率，这进而能够通知决定对设施操作员进行更好的训 练，或者可以证实对于设施操作员的抱怨；由于更少的纸件工作而导致更高操作效率 (efficiency on the floor)；由于较少的办公纸件工作而导致更低的成本；研究对于单 个处理或者单个供血者的历史的所有详细信息，以便于找到属于供血者抱怨的信息或 者关于产物的问题，或者任何其它抱怨或者错误；更完整的记录和统计以趋势报告以 有助于容易的抱怨检查；准确监视设施处理；收集可以有助于设施的工作人员改进其 效率/工作流程的信息。

在某些示例中，一个或者多个生物流体处理仪器、实验室仪器和/或者数据输入 装置与其他数据处理应用一起连接到以太网和/或者其他网络。某些示例还适合于连 接到老式仪器，该老式仪器经由串联或者并联接口和协议转换器来自动传输或者能够 被配置为周期性地传输数据。用作服务器/网关的计算机运行应用，以接收传输的数 据，并且将其路由到数据库和超文本标记语言(HTML)应用。每个数据分组标有唯 一的标识符，该标识符识别数据的源。

在某些示例中，用户可以使用标准浏览器应用接口来在局域网上、通过广域网、 在因特网上或者通过上述网络中的两个或更多的组合来执行数据获取和报告。装置操 作的实时观看和更新能够在浏览器上被配置为用于任何数量的装置。此外，服务器还 向无线个人数字助理(PDA)展示简要数据，其中，所述PDA也运行用于便携式信 息查看和提示以及事件通知的标准应用浏览器接口。PDA还用于与设备操作关联的 数据输入(通过键盘触摸画面、扫描或者其他输入方法-所有这些可以在这里互换地 使用)。因此，某些示例包括在具有数据的实时更新和访问以及便携式数据观看、报 告、通知和输入的不同设备环境中的开放标准架构。

生物流体处理仪器和/或者一次性组件使用、授权以及审核可以经由网络和架构 来进行和监视。例如，包括嵌入的一次性套件使用的验证码可以经由网络传送到 PDA、移动电话(例如，智能电话)和/或者其它计算装置。第二或者第三网络服务 器可以向技师、销售人员和/或者其他用户提供验证和/或者授权码，以用于例如现场 的一次性套件使用授权。例如，授权软件可以位于手持装置(例如，智能电话)上， 以使销售人员能够在血液分离机器附近和并且授权一些数量的一次性套件的使用。

在一些示例中，生物流体处理仪器和/或者关联的授权/验证系统可以被包括在数 据通信网络中和/或与数据通信网络结合地操作。参考图2，例如，系统/设备10包括 第一网络12，该第一网络12包括系统服务器34以及至少一个无线数据接口(如PDA 和/或扫描仪26)，该系统服务器34包括存储器、通信驱动器以及能够运行嵌入的java 脚本代码的HTML应用。在某些示例中，该至少一个无线数据接口包括：足以同时 用于若干设施操作员和/或者供血者的PDA和扫描仪；以及无线接入点28。

在图3中示出的第二网络实施方式中，设备10包括硬件和软件组件部分，并且 提供了处理间通信。图3示出了第一网络12。第一网络12包括：实验室仪器20a、 20b、20c；串行/并行到以太网转换器24a、24b、24c(在需要的情况下)，诸如由位 于加州圣地亚哥的Lightner Engineering提供的PicoWeb^TM装置或者由Fenwall公司提 供的NetDev^TM装置；第一以太网30；以及包括存储器、用于血液分离仪器的通信驱 动器、通信协议转换器以及具有嵌入java脚本代码的HTML应用的系统服务器34。 第一网络12可以经由互联网通过网络交换机50进行通信。可以并入在系统服务器 34内的网络交换机50包括处理器，该处理器允许交换机区分其接收的信息的源。

图4示出了一对网络12、14。网络交换机50提供了网络12、14之间的通信链 路。而且，网络交换机50包括处理器，该处理器允许交换机区分其接收的信息的源。 第一网络12包括实验室仪器20a、20b、20c，串行/并行到以太网转换器24a、24b、 24c(在需要的情况下)，第一以太网30以及包括存储器、用于仪器的通信驱动器、 通信协议转换器、以及能够运行嵌入java脚本代码的HTML应用的系统服务器34。

第二网络14包括第二以太网40以及数据接口44a、44b、44c、44d，例如，运 行服务器和浏览器软件的个人计算机。数据接口44a、44b、44c中的至少一个装配有 条形码扫描仪，以设置设施操作员并且将其与预先打印的标识牌相关联。第二网络 14还包括至少一个无线数据接口以及无线接入点28，该无线数据接口优选为PDA和 /或者扫描仪26，但是更优选地为足以同时用于若干设施操作员和/或供血者的PDA 和扫描仪。

通常位于远处的中央服务器48可以使用诸如调制解调器、数字订户线等的通信 链路并且利用网络交换机50经由互联网与第一和第二网络12、14进行通信。因此， 中央服务器48可以访问存储在系统服务器34中的与仪器20a、20b、20c相关的数 据。

第一网络12主要建立在系统服务器34和仪器20a、20b、20c之间。除了通过网 络交换机50之外，该第一网络12没有直接连接到因特网或者任何其他子网络。网络 交换机50适于防止在被配置为向所有端口转发可用以太网数据数据报广播分组 (“UDP”)的同时与外部服务器进行不想要的通信和/或其它方式的数据通信。

系统服务器34控制整个系统10中的数据的分发，包括验证、授权和/或者审核 数据。系统服务器34运行操作系统，诸如运行SuSE 6.4的Linux机器，或者更优选 地为运行Microsoft 2000的个人计算机。系统服务器34经由串行/并行到以太网转换 器24a和/或者设备10内的其他接口中的一个从仪器20a接收数据。因此，系统服务 器34包括：一个或者多个以太网卡，以将血液分离仪器20a、20b、20c组连接到系 统服务器34；以及至少一个额外的以太网卡，以将系统服务器34连接到还连接到中 央服务器48的设施的办公室网络。系统服务器34还运行网络浏览器，诸如Apache， 或者更加优选地为利用Microsoft 2000提供的Microsoft因特网信息服务器。

通过诸如互联网协议(“IP”)地址和序列号的唯一的数字来识别连接到设备10 的每个仪器20a、20b、20c。某些老式仪器提供来自于并行端口的数据分组的成帧字 节。串行/并行到以太网转换器24a、24b、24c从仪器20a、20b、20c收集数据，并且 将数据递送到以太网帧缓冲器。数据经由第一以太网30传输到系统服务器34。服务 器软件获取数据并且输出信息的网页。应该注意的是，以太网转换器24a、24b、24c 对于某些老式装置而言是必须的，并且对于本系统10的每个应用而言可以不是必须 的。

参考图5，仪器20a是用于系统10的数据的主要源。仪器20a可以向串行/并行 到以太网转换器24a提供并行数据分组，其中所述转换器24a将分组转换为可用以太 网数据报(用户数据报协议/互联网协议(“UDP/IP”分组)。第一以太网30将UDP 数据分组传输到系统服务器34。

系统服务器34内的软件执行两个分离的功能。第一功能从仪器20a、20b、20c 收集数据。该功能从第一以太网30接收UDP分组。通过发送和接收远程方法调用 (“RMI”)数据，第二功能向网络客户端输出HTML文件。因此，服务器软件包括 用于执行这些功能的分离的模块。

仍然参考图5，包括java程序的核心模块60与第一以太网30通信，并且还与系 统服务器34内的其他模块通信。核心模块60处理对于数据库模块62的访问并缓存 来自仪器20a的经由数据接口44b和/或PDA 26基于频度监视的信息。核心模块60 还对高分辨率日志填写系统63进行写入，并且执行大部分业务逻辑。中央或核心数 据库62(和/或分布式数据库实施)可以用来跟踪一次性套件与生物流体处理机器(例 如，血液处理和/或收集，透析等)的使用，以实施对于一次性组件使用的审核。多 台仪器可以与数据库62通信使用信息(例如，套件的数目和使用频度)。

首先，核心模块60从仪器20a中的一个接收UDP分组，并且跟踪仪器的处理。 转换器网络协议模块包括描述仪器20a、20b、20c和系统服务器34之间的网络通信 的协议以及与包含用于仪器20a、20b、20c的IP地址的BOOTP(引导协议)服务器 结合使用的转换器引导程序。BOOTP服务器包含因特网协议，其允许无盘工作站发 现其自己的IP地址、BOOTP服务器在网络上的IP地址、以及将加载到存储器中以 引导机器的文件。这使得工作站能够在不要求硬盘或软盘驱动器的情况下进行引导。 转换器网络协议和转换器引导程序模块是规范而不是软件。

从仪器20a、20b、20c传输到核心模块60的数据可以用来创建HTML网页以经 由结构化查询语言(SQL)开放式数据库连接接口(ODBC)监测仪器。核心模块60 向数据库模块62进行写入，该数据库模块62包括SQL数据库服务器，以保存和管 理仪器数据。JavaScript用于在SQL服务器上创建数据库表，并创建用于每个表和字 段的定义。SQL数据库服务器存储除了高分辨率日志之外的所有设备数据。

SQL数据库服务器优选地使用MySQL，并且更加优选地使用Microsoft SQL服 务器。SQL数据库服务器将数据保存到磁盘阵列。HTML文件中的Java代码提供了 到SQL数据库服务器62的SQL接口。

包括网络服务器的网页模块64可以使用ODBC接口来访问SQL数据库服务器。 网页模块64在第二以太网40上提供网页，使得第一以太网30上的仪器20a、20b、 20c没有受到干扰。第二以太网40允许查看诸如JavaScript和超文本预处理器(PHP) 代码的标准。能够使用JavaScript和/或PHP来查询和搜索数据库。

网页模块64经由RMI数据传输与核心模块60进行通信。核心模块60将RMI 数据发送到网页模块64。由网页模块64生成的超文本传输协议(HTTP)数据经由 网页模块64和第二以太网40提供到网页浏览器44b或者从网页浏览器44b接收。网 页浏览器44b可以用作用于监视血液收集设施内的工作流程的中央工作站。HTTP数 据可以进一步提供到设施的供血者管理系统(“DMS”)65，和从设施的供血者管理系 统(“DMS”)65接收。

移动模块66控制系统服务器34与PDA/扫描仪26的通信。因此，诸如由Symbol 提供的Palm Pilot^TM的PDA/扫描仪26也是系统服务器34的数据源。优选地，每个PDA /扫描仪26包括无线RF链路和内置的条形码扫描仪。PDA/扫描仪26的无线特征允 许用户在例如血液中心的房间内自由移动，并且扫描条形编码的材料，从而知道其被 记录到数据库中。因此，消除了在记录表上手动写下数字的人为错误。

通过向移动模块66发送RMI数据和从移动模块66接收RMI数据，核心模块60 经由移动模块66与PDA/扫描仪26通信。核心模块60也可以实时或接近实时地向 PDA/扫描仪26提供与仪器20a、20b、20c相关的数据，诸如仪器的画面显示或状态。 因此，无线接入点28提供系统服务器34和PDA/扫描仪26之间的链路。

移动模块66向和从PDA/扫描仪传输HTTP数据。PDA/扫描仪26可以用来扫描 塑料一次性套件、血液编号、供血者ID卡、操作员ID卡以及仪器本身的条形码，并 且将信息经由移动模块66传输到核心模块60。过去要在血液中心处手动记录的数据 现在可以被条形编码和电子地记录，并且经由PDA/扫描仪26无线地记录。日期和 时间被自动地与这些信息一起进行记录。

最终，停机时间模块包含java程序，该java程序执行包括软件更新的停机时间 任务。

中央服务器48通常位于远处，并且优选地运行Windows 2000操作系统。中央服 务器48也被称为作为总部(HQ)服务器。中央服务器48通过IP网络连接到设施网 络，并且因此，由于具有更大的数据库规模，从而需要比设施的系统服务器34更大。 中央服务器48必须能够在任何时候与任何远程服务器进行联系。在HQ级，没有无 线基站28或仪器20a、20b、20c。在总部办公室的个人计算机通过HQ办公室网络(IP) 连接到中央服务器48。在设施处的个人计算机也可以连接到中央服务器48。具有浏 览器接口和互联网/网络能力的其他计算机装置也可以利用适当的安全密码和/或识别 连接到服务器。

类似于系统服务器34，中央服务器48包括执行预定功能的模块，这样的模块包 括中央核心模块70、中央数据库模块70和中央网页模块72。此外，中央服务器包含 中央管理模块74、数据库连接文件和安装处理。

中央管理模块74是交互式Java程序，其由HQ管理用于执行不断的备份和软件 更新，而数据库连接文件是包含用于SQL服务器数据库的密码的文件。安装处理是 用于安装启动初始设施网络升级处理所需的服务器网络和包括设置程序的文件的处 理。

中央数据库模块74装纳由所有设施的数据库合并在一起构成的数据库。中央数 据库模块74可以设计成通过确保各码的定义不冲突来实施数据库的合并。所有的数 据由设施的数据库模块64收集，并且存在于设施的数据库模块64内。能够存在与中 央服务器48通信的很多这样的设施数据库模块64。系统服务器34是用于与供血者 管理系统65进行的所有通信的服务器。

可选地，运行每个都具有它自己的系统服务器34的若干设施的公司也可以具有 专用中央数据库。该专用中央数据库等同于数据库模块64，不同之处在于：(1)因 为中央服务器48没有连接到任何无线装置或血液分离仪器，所以数据库模块64的许 多功能不能使用；以及(2)需要附加程序来运行具有若干系统数据库的内容的专用 中央数据库。该同步程序直接与系统服务器进行通信，并且将任何变化从系统服务器 34更新到中央服务器48。

在使用时，通过在系统服务器将存储用于处理的数据之前，HTTP调用从其供血 者管理系统初始的每个处理，设施将输入提供到系统服务器34。除了来自中央服务 器48的HTTP基于浏览器的报告接口之外，设施可以使用编程接口发出对于来自它 们系统服务器34的用于受限的血液摘要字段的数据的HTTP请求。

设备10可以称为“分布式系统”，然而，系统服务器34按照如同它不是分布式 系统的一部分那样独立地操作。根据需要，中央或HQ服务器48主动在两个方向上 复制数据。

系统服务器34始终在相对于与总部和其他系统的通信的服务器模式中操作，并 且从不在客户端模式中运行。供血者管理系统和中央服务器48在客户端模式下操作。 在服务器模式下，系统服务器34等待请求，并且不与其他服务器发起业务。这实现 了集中式数据管理功能(如备份)的好处，同时保留独立的服务器的鲁棒性。

因此，各种系统、数据库和/或网络配置能够用来支持固定、移动和/或手持计算 装置上的一次性组件使用的验证和授权。一次性组件使用的审核和跟踪能够现场实施 和/或使用诸如上面描述的各种系统、数据库和/或网络配置远程地实施。能够使用这 样的网络系统协调一个或多个地点的多台仪器并且监视数据。

在某些示例中，一个或多个认证方案可以应用到诸如血液成分收集和/或处理装 置的生物流体仪器。可以使用认证方案来减少或者帮助最小化诸如血液成分收集仪器 的医疗装置仪器上的未授权仪器一次性物的使用。例如，与锁定或解锁装置操作结合 使用认证方案能够帮助减少或最小化医疗设备仪器上的未授权仪器一次性物的使用。 此外，授权处理允许对使用的一次性物的实际数量进行跟踪。

某些示例提供了两步的授权方案。每个医疗装置提供了唯一的验证码(例如，通 过加密算法)。验证码然后与多个生物流体处理一次性物组合使用以生成授权码(例 如，通过加密算法)。在一些示例中，诸如站点位置、客户数量等的一个或多个额外 的参数也可以用来生成授权码。授权码然后被输入到生物流体处理仪器中，这将允许 一定数量的生物流体处理一次性物的使用。一旦授权的一次性物的数量达到零，生物 流体处理仪器被禁用和/或无法使用，直到另外的一次性物被授权。验证码还能够包 括与使用的一次性物的实际数量相关的信息。此信息有助于对销售的一次性物的数量 进行审核，并提供了跟踪未授权一次性物的使用的辅助方式。

在一些示例中，各授权码与每个生物流体处理一次性物相关联。各授权码可以是 唯一代码编号、唯一条形码、智能卡、射频标识卡(RFID)等的形式。在这些示例 中，生物流体处理仪器的操作员在使用生物流体处理一次性物之前输入授权码。此外， 生物流体处理一次性物的制造将授权码放置到每个一次性物上。

在某些示例中，在生物流体处理仪器的显示画面(例如，Amicus显示画面)上 替换、添加和/或覆盖允许密码输入的画面。诸如Amicus主处理器单元(MPU)的计 算机将画面命令发送给验证计算机以生成画面显示。在这个示例中，由Amicus MPU 计算机发送的画面被保存，并且替换为由Amicus验证计算机生成的密码输入画面。 验证计算机能够拦截用户的交互，并且在不改变Amicus MPU软件的情况下接受码输 入，并且能够通过不在接受码输入来阻止仪器(例如，血液分离仪器)的进一步使用。

诸如图6中所示的输入画面600的密码输入画面接受包括文字与数字的密码 810，例如四位数字、八位数字、多个四位数字的组合等的密码。可以通过诸如小键 盘、键盘、触摸屏等的输入620输入密码。在一些示例中，替代和/或在密码输入验 证之外，能够使用基于卡(例如，RFID、磁条等)和/或生物特征(例如，基于眼的 扫描、指纹扫描、声纹扫描等)的技术来进行授权/验证。如果输入了不正确的密码， 则验证计算机不允许显示另一个画面。当输入了正确的密码时，显示由MPU计算机 发送的缓冲画面，并且仪器继续正常运行。

在某些示例中，验证计算机能够停止与MPU装置的通信，这使MPU装置进入 安全状态，并停止运行，直到电源重启。如果在一次性组件准备好(priming)之后 暂停通信和装置操作，则一次性组件将被丢弃，这是因为已准备好的组件不能够复原。 因此，能够毁坏与认证码不匹配的伪造的组件。

使用两台电脑(一台计算机控制生物流体处理仪器(例如，血液收集和/或处理 仪器)并且一台计算机控制具有数据输入功能的显示器)，认证画面可以被显示为覆 盖一个或多个现有画面。验证画面可以接受码。如果码是无效的，则验证计算机能够 停止与控制仪器的计算机的通信，有效地使控制仪器在没有来自验证计算机的输入的 情况下不能够进一步进行任何给定的处理。如果输入了有效码，则可以显示原来想要 的画面，并且控制仪器的计算机能够继续操作，因为其现在从显示器接收了适当的输 入。

如图7中所示，生物流体处理仪器认证系统700包括经由通信协议通信的两个连 接的计算机系统。第一计算机系统710是控制器。第二计算机系统720是验证计算机。 操作员能够经由诸如触摸屏或键盘的输入730来在验证计算机上输入和观看数据。

两台计算机710、720经由通信链路740(例如，有线和/或无线的计算机到计算 机链路、内部互联网、因特网和/或其它通信链路)以规定的间隔来进行通信。如果 在任何时候两台电脑710、720停止通信，则计算机710、720中的一个或者两者进入 其中操作员不能使用它们来进行其通常预期目的的状态。由于这两台电脑710、720 一起运行以满足其预期目的，因此一旦计算机710或720停止以预期的方式运行，系 统700就无法使用，使相关的血液处理仪器750暂时无法使用。

在任何时候，计算机710、720可以要求操作员输入认证码。一定次数(X次) 的尝试输入有效认证码的失败可以导致验证计算机720停止与控制器计算机进行通 信。由于正常的系统700操作涉及规律的通信，所以系统700可以停止进行预期的使 用。

系统700可以作为诸如Fenwal的装置的生物流体处理仪器的一部分来 执行和/或与其结合地执行。Amicus装置进行各种血液成分收集和治疗处理。Amicus 装置包括已知为主处理单元(MPU)的控制器计算机，以及已知为前面板控制器(FPC) 的验证计算机。前面板控制器经由触摸屏接收用户输入。这两台计算机经由串行协议 来发送信息的分组。主处理单元周期性向前面板控制器发出信息的分组。前面板控制 器处理分组，并通过将分组发回到主处理单元来进行确认。如果主处理单元在x秒内 不能够将分组发送到前面板控制器，则前面板控制器进入故障模式。如果前面板控制 器不能够在X毫秒对来自主处理器单元的分组进行确认，则主处理器单元进入故障 模式。

在处理中的某时间点显示一次性组件认证码输入画面。前面板控制器通常描绘出 从主处理单元作为数据发送到其的画面。在某些示例中，在前面板控制器中构造和控 制认证码输入画面。这允许前面板控制器软件独立于主处理器单元来进行升级。前面 板控制器的认证码软件能够被添加到现有的软件配置中。由于前面板控制器基本上暂 时取代来自主处理单元的画面，所以所期望的画面被保持在验证计算机的存储器中， 直到接收到有效认证码。一旦已输入有效认证码，则从验证计算机的存储器获取正常 画面，并且处理继续。未能输入认证码导致验证计算机进入故障模式，这将阻止所有 的用户输入。

在一些示例中，当系统在处理中进入故障模式时的时刻被选择为使得未授权组件 将已经准备好。这涉及用流体填充组件来取代空气。一旦组件已经准备好，则必须将 其用于期望的处理。通过选择处理中的位置和/或时间点等使得因为由于认证失败而 使处理已经终止从而导致未授权的组件将是无用的，所述组件不能再重新使用。

某些示例提供多种方式来接受认证码的数据输入。数据输入例如可以包括串行连 接、条形码阅读器、触摸屏、键盘和/或数据卡。认证可以用于一个或多个应用程序。 虽然本文提供的示例着重于防止未授权一次性物在医疗装置仪器上使用，但是使用认 证码的任何处理都可以受益于双计算机方法。另一个示例是输入密码以验证计算系统 (例如，血液处理装置和/或其他计算系统)上的授权用户。

在一些示例中，验证码输入画面被包括在血液分离装置(例如，Amicus QNX) 前面板控制器(FPC)软件中。用户与接收到的每个一次性组件一起接收验证码。在 准备好仪器和组件之后，验证计算机向用户呈现请求组件认证码的画面。经过若干次 尝试，验证计算机锁定并显示诸如“无效组件，请使用正版Fenwal组件”的消息。 然后，操作员仅能够关闭机器，从而操作员无法使用现在准备好的组件，并且被强制 扔掉组件。使用这种方法，没有改变控制器计算机，并且仅将验证计算机修改为提供 认证码输入。对于认证和用户输入的变化将涉及更新或升级到新的验证计算机，但不 需要控制器计算机的更新。

在一些示例中，除了使用计算机应用程序来提供授权码，码输入指令可以存在于 授权服务器上。然后，服务人员可以登录并提供验证码，以生成授权码。在一些示例 中，可以从跟踪销售数量、以前使用的一次性物的数量(例如，三个月的平均量)和 /或一次性物的未来预测的其他商业应用程序来自动生成多个授权一次性物。如果医 疗装置仪器具有到网络，例如，虚拟专用网络和/或因特网的直接连接，则授权服务 器能够直接向医疗装置仪器提供授权码，这将消除例如对仪器处的服务人员的需要。

图8描绘了授权码生成界面800的示例。界面800包括多个字段810，这些字段 810允许管理员和/或其他操作员提供诸如仪器序列号、授权单针套件的数量、授权双 针套件的数量、授权单核细胞(MNC)套件的数量和/或验证码等的识别信息。选择 生成按钮820为用户提供授权码830。例如界面800也可以提供使用过的单针套件、 双针套件和/或MNC套件的更新后的数量840，以例如帮助用户保持跟踪可用的、授 权的一次性组件库存和/或限制将与单个授权码一起使用的组件/套件的数量。使用界 面800，用户可以授权若干数量的一次性套件和/或其他一次性组件，并可以查看实际 与仪器一起使用的套件的数量。例如，生成的授权码830可以包括嵌入在码830中的 使用过的一次性套件的数量，并且可以实施授权的一次性套件与假冒的一次性套件的 审核。

图9是整体上指定为900的流程图，该流程图用于对于具有一次性组件的生物流 量处理仪器和/或利用一次性组件进行的治疗处理执行的用户和装置认证方法。在 910，将血液收集和/或处理仪器配置为用于对于供血者/病人的操作。在920，将一次 性组件安装在仪器中。在930，准备好仪器和一次性组件。例如，仪器进行测试，并 且准备好用于血液通过一次性组件的压力和流体流。

在940，在仪器中的控制器计算机(例如，MPU)和验证计算机(例如，FPC) 之间发生通信。进行通信以确认控制器计算机和验证计算机可操作且已连接。例如， 计算机之间的通信可以被加密。在945，如果控制器计算机和验证计算机之间的通信 没有发生，则暂时锁定或禁用仪器。也就是说，如果控制器计算机和验证计算机不能 够相互通信，则仪器将变为暂时无法使用，以防止未授权的使用或故障。例如，授权 的操作员能够检查并再次启动仪器的操作。

在950，仪器根据加载的一次性组件和处理配置来进行操作。例如，仪器启动对 于供血者的血小板和/或其他血液收集处理的操作。在960，提示用户输入认证码。例 如，仪器上的触摸屏和/或其他输入允许用户输入包含数字和字母的码来授权用于特 定处理的仪器和/或一次性组件的使用。在965，如果没有输入有效的授权码，则暂时 锁定和/或禁用设备。例如，仪器被锁定和/或禁用，以防止仪器和/或假冒的一次性组 件的未授权或欺诈的使用。

在970，在控制器计算机和验证计算机之间进行通信，以确认两个系统的操作和 连接。在975，如果控制器计算机和验证计算机之间没有进行通信，那么暂时锁定或 禁用仪器。也就是说，如果控制器计算机和验证计算机不能相互通信，则仪器将变为 暂时无法使用，以防止未授权的使用或故障。例如，授权的操作者能够检查并再次启 动仪器的操作。

在980，如所配置的那样进行仪器的操作。例如，如果输入了正确的授权码，并 且控制器计算机和验证计算机可操作并且正在通信，则用户可以操作仪器，以执行想 要的处理。例如，启动整个血液和/或血液成分收集处理，以从供血者收集整个血液 或一种或更多血液成分。在另一示例中，启动血液处理和过滤处理，以对病人(诸如 具有肾病的病人)进行治疗。

方法900的步骤可以以图9中所示的顺序来实施，和/或可以以该顺序的一个或 多个变化来实施。在某些示例中，可以跳过或省略一个或多个步骤。方法900的步骤 可以例如以硬件，软件和/或固件的一个或多个组合来实施。例如，方法900的步骤 可以实施为一组指令，以在计算机和/或其他机器可读介质(诸如盘、硬盘驱动器和/ 或其他存储器(RAM，ROM，闪存等))上执行。

图10示出了整体标记为1000的系统和处理流程图，该流程图用于配置和授权生 物流体处理仪器的使用。在1010，服务技师在生物流体处理仪器(例如，血液分离 装置)上安装验证计算机。在120，服务技师进入配置画面，以对仪器进行配置。 在1030，服务技师配置安装在仪器上的验证计算机的版本。画面1031提供软件版本 信息1033、剩余一次性套件的数量1035以及配置码1037，以便于技师1039在配置 仪器时使用。例如，配置码1037能够包括仪器所使用的一次性套件的数量的指示。

在1040，服务技师向码管理器(key master)1055提供仪器验证或者配置码。在 1050，密钥管理器1055向服务技师提供授权码。在1060，服务技师经由界面画面1061 来设置配置。为单针、双针和MNC处理提供剩余的套件的数量1065。用户可以基于 提供的信息经由接口1061来设置仪器配置1067。

在1070，服务技师经由触摸屏和/或其他键盘1077将授权码输入到设置在生物流 体处理仪器上的界面画面1075的一个或多个字段1073中。在1080，服务技师重启 仪器以实施改变。在一些示例中，一旦剩余组件的数量达到零，则在选择处理之后显 示通信消息的缺少。用户将不能够进行处理直到为该处理提供了额外的授权组件。还 提供了剩余的组件的数量1065。

因此，服务技师能够拉出界面画面，以获取设备专有的配置码。技师能够提供配 置码，以基于对将为给定仪器授权多少一次性套件的系统信息来产生授权码。产生的 授权码能够提供给仪器，以授权用于与该仪器一起使用的一定数量的一次性组件。

图10中的步骤可以以图10中所示的顺序来实施，和/或以该顺序的一个或多个 变化来实施。在某些示例中，可以跳过或省略一个或多个步骤。图10的可以能够例 如以硬件、软件和/或固件的一个或多个组合来实施。例如，图10的步骤可以实施为 一组指令，以在计算机和/或诸如盘、硬盘驱动器和/或其他存储器(RAM、ROM、闪 存等)的其他机器可读介质上执行。

图11是可以用于和/或编程为实施上述示例系统和方法的示例处理器平台P100 的示意图。例如，处理器平台P100可以通过一个或多个通用处理器、处理器核心、 微控制器等来实施。

图11的示例的处理器平台P100包括至少一个通用可编程处理器P105。处理器 P105执行存在于处理器P105的主存储器(例如，在RAM P115和/或ROM P120)中 的编码指令P110和/或P112。处理器P105可以是任何类型的处理单元，诸如处理器 核心、处理器和/或微控制器。除其他之外，处理器P105可以执行图9-10的示例处 理，以实施此处所述的示例方法和设备。

处理器P105经由总线P125与主存储器(包括ROM P120和/或RAM P115)进 行通信。RAM P115可以通过动态随机存取存储器(DRAM)、同步动态随机存取存 储器(SDRAM)和/或任何其他类型RAM装置来实施，并且ROM可以通过闪存和/ 或任何其他想要的类型的存储器装置来实施。可以通过存储器控制器(未示出)控制 对存储器P115和存储器P120的访问。示例存储器P115可用于实施在此所述的示例 数据库。

该处理器平台P100还包括接口电路P130。接口电路P130可以通过诸如外部存 储器接口、串口、通用输入/输出等的任何类型的接口标准来实施。一个或多个输入 装置P135和一个或多个输出装置P140连接到接口电路P130。输入装置P135可用于 例如从远程服务器和/或数据库接收病人文档。示例输出装置P140可用于例如提供病 人文档，以在远程服务器和/或数据库处进行查看和/或存储。

因此，某些示例提供了对血液收集和/或处理仪器中一次性物的使用的授权。某 些示例生成用于血液收集和/或处理过程的仪器配置的授权码。某些示例有助于简化 和避免用于从供血者处收集的一种或多种血液成分(例如，全部血液、血小板、红细 胞和/或血浆)的收集和/或处理的处理选择和仪器配置中的错误。

虽然已示出和描述了发明的特定实施方式，但是对于本领域的技术人员明显的 是，在不脱离本发明的广义范围的情况下，可以对其进行各种的变化和修改。

本领域的技术人员应该清楚的是，在不脱离在此广泛描述的本发明的精神和范围 的情况下，可以对如特定实施方式和/或者方面中所示的本发明进行各种变化和修改。 因此，这些实施方式和方面被认为是示例性的而不是限制性的。以上参考附图描述了 若干实施方式。这些附图示出了实施本发明的系统、方法和程序的特定实施方式的细 节。然而，参考附图对本发明的描述不应该被认为是对本发明施加了与附图中所示的 特征相关的限制。本发明提出了适合于完成其操作的电子装置和/或者机器可读介质 上的方法、系统和程序产品。例如，本发明的某些实施方式可以使用现有的计算机处 理器来实施，和/或者可以通过为此或另外目的集成的专用计算机处理器，或者通过 硬线系统来实施。

本发明的范围内的实施方式包括包含用于携带或具有机器可执行指令或其上存 储有数据结构的计算机可读介质的程序产品。这种机器可读介质能够是任何可用的介 质，其能够通过通用或专用计算机或具有处理器的其他机器来访问。例如，这种机器 可读介质可以包括RAM、ROM、PROM、EPROM、EEPROM、闪存、CD-ROM或 其他光盘存储、磁盘存储或其他磁性存储装置、或者能够用来携带或存储机器可执行 指令或者数据结构的形式的想要的程序代码并且能够通过通用或专用计算机或具有 处理器的其他机器访问的任何其他媒介。当信息通过网络或其他通信连接(硬线、无 线或硬线或无线的组合)而传递或提供到机器时，所述机器适当地将所述连接视为机 器可读介质。因此，任何这样的连接都可以适当地被称为机器可读介质。以上的组合 也被包括在机器可读介质的范围内。机器可执行指令包括例如将使通用计算机、专用 计算机或专用处理机器执行特定的功能或功能组的指令和数据。