电外科系统、电外科控制装置、电外科器械和操作电外科系统的方法

摘要

提出了电外科系统、电外科控制装置、电外科器械和操作电外科系统的方法，该电外科系统包括：电外科控制装置(10)；可连接到该电外科控制装置的至少一个电外科器械(11、12)，其中，至少一个电外科器械(11、12)包括第一存储单元(30、31)，表征该电外科器械(11、12)的数据被或可以存储在第一存储单元上，至少一个电外科器械(11、12)被配置成在被连接到电外科控制装置(10)之后，将表征该电外科器械(11、12)的数据至少部分地作为第一数据发送到电外科控制装置(10)，并且电外科控制装置(10)被配置成基于由电外科器械(11、12)发送的第一数据确定该电外科器械(11、12)的允许操作参数。

说明书

技术领域

本发明涉及一种电外科系统，该电外科系统包括电外科控制装置和可连接到该电外科控制装置的至少一个电外科器械，其中：所述至少一个电外科器械包括第一存储单元，表征该电外科器械的数据被存储在该第一存储单元上或可以被存储在该第一存储单元上；所述至少一个电外科器械被配置成在连接到所述电外科控制装置之后将表征所述电外科器械的数据至少部分地作为第一数据发送到所述电外科控制装置；并且所述电外科控制装置被配置成基于由所述电外科器械发送的所述第一数据来确定所述电外科器械的允许操作参数。

本发明还涉及电外科控制装置、电外科器械和操作电外科系统的方法。

背景技术

电外科系统在医学上用于治疗人或动物患者的组织。在大多数情况下，高频交流电在电外科控制装置中产生并被引导到电外科器械，在电外科器械中，高频交流电通过一个或更多个治疗电极被引入组织。在其它方法中，交流电在流体中产生等离子体，然后使其与组织接触。

在一些电外科系统中，交流电用于激发电外科器械中的超声波振动，然后经由声极将其引入待治疗的组织中。

有时，直流电也用于电外科系统。

电外科控制装置可以是例如电外科发生器或超声波发生器。

在技术发展的过程中，已经开发了特别适合于某些外科手术的许多新颖的电外科器械。对于这些新型器械，通常限定高频交流电的特殊波形，以便能够特别有效地使用它们。

为了能够控制尽可能多的不同电外科器械，现代电外科控制装置因此能够在不同电功率下提供相应高数量的波形。

然而，不是每个波形都与各个器械兼容。因此，为了安全地操作电外科系统，控制装置必须只提供所连接的器械能够处理的那些波形和功率。

为此，已知电外科器械配备有存储器，在该存储器上存储表征电外科器械的数据。当器械被连接到控制装置时，该数据可以被发送到控制装置，并且控制装置可以使用该数据来限定电外科器械的允许操作参数。

表征电外科器械的数据可以是简单的识别码，例如类型名称。表征数据还可以直接包括允许操作参数，例如允许电压和/或由控制装置输送的AC电流的功率。

如果确保存储在电外科器械的存储器上的数据准确地表征对应的电外科器械，则根据现有技术实现的电外科系统可以提供可靠且安全的操作。这由电外科器械制造商在器械投放市场前验证。

然而，当电外科器械不是来自可信制造商时，可能出现问题。例如，新型电外科器械被第三方制造商复制并作为伪造产品上市是常见的情况。这样的假冒器械可以具有指定操作数据的特征数据，由于制造质量不足，该器械可能不适用于该操作数据。在电外科系统中使用这种假冒的电外科器械可能导致不充分的治疗结果或甚至对患者或主治医师造成危险。

发明内容

因此，本发明的目的是提供一种针对所述问题改进的电外科系统。

根据本发明的第一方面，该目的通过一种电外科系统来实现的，该电外科系统包括电外科控制装置和可连接到该电外科控制装置的至少一个电外科器械，其中：所述至少一个电外科器械包括第一存储单元，表征该电外科器械的数据被或可以被存储在该第一存储单元上；所述至少一个电外科器械被配置成在连接到所述电外科控制装置之后将表征所述电外科器械的数据至少部分地作为第一数据发送到所述电外科控制装置，并且所述电外科控制装置被配置成基于从所述电外科器械发送的所述第一数据来确定所述电外科器械的允许操作参数；其中，验证该电外科器械的数据被或可以被存储在该电外科器械的第一存储单元或第二存储单元上；所述电外科控制装置被配置成在连接到所述电外科器械之后向所述电外科器械发送第二数据；所述至少一个电外科器械被配置成将从由所述电外科控制装置发送的所述第二数据以及验证所述电外科器械的所述数据导出的第三数据发送到所述电外科控制装置；并且所述电外科控制装置被配置成基于由所述电外科器械发送的所述第三数据来设置所述电外科器械的允许功能范围。

由此，电外科控制装置可以识别电外科器械是否源自可信制造商。为此，验证电外科器械的数据不直接发送到电外科控制装置，使得该数据无法被轻易地复制并用于伪造的电外科器械。

如果电外科控制装置基于第三数据检测到器械是真实的电外科器械，则可以使用基于第一数据确定的操作参数来操作该器械。另一方面，如果器械不是真实的电外科器械，则操作可能限于一些简单的功能。类似地，电外科控制装置可以被设置成完全拒绝非真实电外科器械，即根本不允许任何功能。

在根据本发明的电外科系统的另一实施方式中，至少一个电外科器械可以被配置成根据加密方法从第二数据和验证电外科器械的数据确定第三数据。

在本发明的上下文中，加密方法被理解为不能被反向或仅能用大量努力被反向的方法。因此，即使第二数据和第三数据是已知的，例如通过窃听电外科控制装置和电外科器械之间的通信，也更难以确定验证数据。

电外科控制装置可以被配置成至少部分地根据随机过程来确定第二数据。这使得更难以通过窃听电外科控制装置和电外科器械之间的通信来生成第二数据和相关联的可允许的第三数据的列表。

在根据本发明的电外科系统的一个可能的实施方式中，密钥可以存储在第一或第二存储单元中。密钥可以是验证电外科器械的数据的一部分。

在根据本发明的电外科系统的一个实施方式中，电外科控制装置可以包括其上存储密钥的副本的第三存储单元。

在根据本发明的电外科系统的另一实施方式中，密钥可以是密钥对的一部分，并且电外科控制装置可以包括其上存储密钥对的另一部分的第三存储单元。

因此，加密方法可以是对称方法或非对称方法。

在根据本发明的电外科系统的实施方式中，该系统可以包括多个电外科器械，每个电外科器械包括其中存储有密钥的第一存储单元，并且在第三存储单元中可以存储各密钥的副本，或者对于每个密钥，可以存储相应密钥对的其它部分。

这样，电外科控制装置可以用不同的电外科器械操作。

根据本发明的第二方面，该目的通过根据上述实施方式的电外科系统的电外科控制装置来实现。

根据本发明的第三方面，该目的通过根据上述实施方式的电外科系统的电外科器械来实现。

关于由此可获得的优点和效果，在每种情况下明确参考上述内容。

根据本发明的第四方面，该目的通过一种操作包括电外科控制装置和至少一个电外科器械的电外科系统的方法来实现，该方法包括以下步骤：将电外科控制装置连接到至少一个电外科器械；将表征电外科器械的第一数据发送到电外科控制装置；以及基于所述第一数据确定用于所述电外科器械的允许操作参数；从所述电外科控制装置向所述电外科器械发送所述第二数据；从存储在所述电外科器械上的第二数据和验证所述电外科器械的数据导出第三数据；将所述第三数据发送到所述电外科控制装置；以及由所述电外科控制装置基于所述第三数据确定所述电外科器械的允许功能范围。

可以根据加密方法从第二数据和验证电外科器械的数据导出第三数据。

可以根据随机过程确定第二数据。

附图说明

下面参照示例性附图更详细地解释本发明。在这点上，以下示出的示例性实施方式仅旨在有助于更好地理解本发明而不限制本发明。

图1示出了电外科系统。

具体实施方式

图1示出了电外科系统1。该电外科系统1包括电外科控制装置10，其在所示示例中是电外科发生器。此外，电外科系统1还包括可以交替地或同时地连接到电外科控制装置10的两个电外科器械11、12。

电外科器械11包括可用作手柄的主体15和细长轴16，电极17设置在细长轴的远端。电外科器械11可以是例如单极电外科解剖刀。

电外科器械12还包括主体20和细长轴21。与电外科器械11不同，电外科器械12包括具有可移动分支23、24的钳爪22。分支23、24各自包括治疗电极25、26。在主体20上还设置有两个手柄杆28、29，这两个手柄杆可相对于彼此移动，用于致动分支23、24。电外科器械12可以是例如双极电凝钳。

电外科器械11、12各自配备有第一存储单元30、31，在电外科器械11、12连接到电外科控制装置10之后，电外科控制装置10可以读取该第一存储单元。为此，电外科控制装置10包括控制器35。表征电外科器械11、12的数据被存储在第一存储单元30、31上。这些数据可以包括例如电外科器械11、12的类型指定，和/或由电外科控制装置10递送到电外科器械11、12的交流电的直接允许参数。

基于从第一存储单元30、31读取的数据，控制器35确定可以用来操作电外科器械11、12的操作参数。电外科控制装置10可以包括用户界面(未示出)，通过该用户界面，电外科系统1的用户可以进一步调节这些操作参数。举例来说，基于从第一存储单元30、31读取的数据，控制器35可界定其中可由用户经由用户界面自由地选择操作参数的框架。

为了确保电外科器械11、12源自可信来源，它们另外包括第二存储单元40、41，其上存储有可用于验证电外科器械11、12的数据。存储在存储单元40、41上的验证数据可以是密钥。

为了避免验证数据的直接传输(其原则上可以被窃听)，控制器42、43与第二存储单元40、41中的每一个相关联。控制器42、43被设置为接收请求数据，经由加密函数将这些请求数据分别与存储在存储单元40和41上的验证数据关联，并且输出关联的结果作为响应数据。

下面示出了用于电外科器械11、12的两种可能的验证方法。

第一验证方法基于对称加密方法。在该方法中，密钥K1被存储在电外科器械11的第二存储单元40上，并且密钥K1的副本被存储在电外科控制装置10的第三存储单元50中。

现在，当电外科器械11连接到电外科控制装置10时，控制器35首先生成随机值Z并将其发送到电外科器械11。在电外科器械11中，控制器42接收随机值Z并用存储在第二存储单元40上的密钥K1对其进行加密以形成返回值R＝f(Z,K1)。该返回值R被发送回控制器35。

控制器35现在从第三存储单元50读取密钥K1的副本，并使用它根据反函数f

第二密钥K2可以存储在电外科器械12的第二存储单元41中，并且第二密钥K2的副本也存储在第三存储单元50中。因此，电外科控制装置10可以验证多种类型的电外科器械11、12。

可用的对称加密方法例如是“AES”、“Blowfish”或“Twofish”。

第二种可能的验证方法基于非对称加密方法。这里，私钥P1存储在电外科器械11的第二存储单元40上，而相应的公钥O1存储在第三存储单元50上。

为了验证电外科器械11，控制器35首先再次生成随机值Z，根据函数A＝g(Z,O1)对其加密以获得请求值A，并将该请求值A发送到电外科器械11。

控制器42接收请求值A并根据函数R＝g'(A,P1)使用私钥P1对其解密以获得返回值R，并将返回值R发送回电外科控制装置10。

控制器35现在检查返回值R是否对应于随机值Z。如果是这种情况，则已经成功地验证了电外科器械11，否则如上所述实现所提供的功能范围的部分或完全限制。

对于多种类型的电外科器械11、12，可以类似于上述实施方式使用多个秘钥对O1,P1、O2,P2。

非对称加密方法的使用具有以下优点：当引入新开发的电外科器械时，对于电外科器械将使用新的密钥，可以以直接的方式将相关联的公钥分发到位于现场的电外科控制装置，而无需为此目的泄露私钥。如果使用对称加密方法，则必须确保在将新密钥分发到现场的电外科控制装置时密钥不会落入错误的手中。

可能的非对称加密方法例如是“RSA”或“Elgamal”方法。

为了防止访问第二存储单元40、41的存储内容，这些存储单元与相关联的控制器42或43组合以形成安全模块。这可以是例如根据“可信计算组”(TCG)的规范的“可信平台模块”(TPM)。

为了简化电外科器械11、12的设计，第一和第二存储单元30和40或31和41可以组合成单个存储单元。