センサに関するデータの電子署名を有するセンサ
【課題】正確と認証され得るモニタに有用なコードを有するセンサを提供すること。
【解決手段】センサは、正確と認証され得るモニタに有用なコードを有する。上記センサは、測定された生理的特徴に対応した信号を生成し、モニタによって用いられる場合に、正確かつ本物であることが保証され得るコードを提供する。上記センサと関連したメモリは、上記センサに関するデータと電子署名との両方を格納する。上記電子署名は、上記コードが所定の品質制御を有するエンティティによって生成されたことを保証することによって、コードの品質を認証し、上記コードが正確であることを保証する。
【解決手段】センサは、正確と認証され得るモニタに有用なコードを有する。上記センサは、測定された生理的特徴に対応した信号を生成し、モニタによって用いられる場合に、正確かつ本物であることが保証され得るコードを提供する。上記センサと関連したメモリは、上記センサに関するデータと電子署名との両方を格納する。上記電子署名は、上記コードが所定の品質制御を有するエンティティによって生成されたことを保証することによって、コードの品質を認証し、上記コードが正確であることを保証する。
【発明の詳細な説明】
【技術分野】
【0001】
(発明の背景)
本発明は、メモリを有するセンサに関する。特に、パルスオキシメーターセンサに関して説明するが、他の種類のセンサにも等しく適用可能である。
【背景技術】
【0002】
(パルス酸素計測法)
パルス酸素計測法は通常、動脈血内の血色素の血中酸素の飽和率、および患者の心拍数に対応した血液の脈動速度を含む(但し、これらに限定されない)
種々の血流特徴を測定するために用いられる。このような特性を測定することは、血液が組織の中を潅流する、患者の組織の一部に光を通過させ、このような組織内における光吸収を光電的に感知する、非侵襲性センサを用いることによって達成される。センサに接続されたモニタは、吸収された光量を判定し、測定された血液成分量、例えば、動脈酸素飽和率を計算する。
【0003】
組織中を通過させる光を選択する場合、一つ以上の光波長が、血液中に存在する血液成分の量を表す量の分に、血液中に吸収されるように、選択を行う。組織を通過する、透過光または反射光の量は、組織内の血液成分量および関連した光吸収を変化させることによって、変化する。血中酸素レベルの測定に関して、このようなセンサは、血中酸素飽和率を測定する公知の技術によって、二つの異なる光波長において動作するように適合された光源および光検出器を備える。
【0004】
有用な情報をモニタに伝えるパルスオキシメーターセンサを含む、センサ内のコーディング情報に関する種々の方法が過去に提案されてきた。例えば、エンコーディングのメカニズムは、Nellcorに対する米国特許第4,700,708号に示され、同文献の開示は、本明細書中に参考として援用する。このメカニズムは、一対の発光ダイオード(LED)を用いて、血中に潅流された組織を通過する光を方向付け、組織によって吸収されなかった光を検出する検出器を備えた、光オキシメータープローブに関する。酸素飽和率を計算する正確さは、LEDの光波長を知ることに依存する。LEDの光波長が変化し得るため、LEDのうちの少なくとも一つの実際の光波長、またはこのセンサ用のLED光波長の組み合わせに適した、オキシメーター酸素飽和率計算係数をモニタに示す、レジスタの値を備えたコーディングレジスタが、プローブ内に配置される。オキシメーター計器に電源を入れると、オキシメーター計器はまず、コーディングレジスタに電流を印加し、次いで電圧を測定し、レジスタ値、およびこれゆえに、プローブ内のLEDの光波長に用いる適切な飽和率計算係数が判定される。
【0005】
他のコーディングメカニズムは、米国特許第5,259,381号、第4,942,877号、第4,446,715号、第3,790,910号、第4,303,984号、第4,621,643号、第5,246,003号、第3,720,177号、第4,684,245号、第5,645,059号、第5,058,588号、第4,858,615号および第4,942,877号にも提案されており、これらすべての文献の開示は、本明細書中に参考として援用する。第‘877号は特に、オキシメーターの飽和率の式の係数を含む、パルスオキシメーターセンサメモリ内に種々のデータを格納する工程を開示する。
【0006】
従来技術のセンサコーディング技術の問題は、情報のエンコーディングが時には不正確および/または認証的ではないことである。この結果、モニタは時には、患者から十分な読み取りを得ることができず、またよりいっそう悪い場合には、不正確な計算を行い、極端な場合には、不正確なコードおよび結果生じた読み取りが不十分であることにより、患者の安全が著しく損われ、患者に悪影響を及ぼす。不正確なコードは、種々の環境下において生じ得る。例えば、エラーは、センサの製造プロセスの間、またはセンサの出荷の際に生じ得る。しかし、より一般的には、不正確なコードは、互換性を有した高品質センサを供給する、対応したモニタ製造業者によって、ライセンスも許可も付与されていない、格安で低品質の第3者のセンサ製造業者によって、やや目的をもって用いられる。これらの第3者は、しばしば、研究に最小限量の投資をし、いかにモニタが動作し、いかにモニタがコードを用いるかを理解しないため、コードが何のためにあるかを単に理解しない。これらの第3者はモニタ製造業者によってライセンスを付与されていないため、概して、モニタ製造業者からこの情報を得ることは不可能である。しばしば、これらの第3者は、逆行分析技術(reverse engineering techniques)または元の科学(original science)によって、いかにモニタが動作し、患者の安全を保証するためにいかにコードを用いるかを研究するために、時間および費用を投資することを選択しない。むしろ、このような第3者は単に、エンコードされる各データ特徴に関して、市場において用いられるコード値の範囲を調査し、特定のモニタと「互換性」を有するように、これらすべてのセンサに平均コード値を用いる例が多く存在する。平均コード値を用いる多くの例において、読み取りは単に仕様外となるだけ(この場合、特に危険である)だが、平均コード値が、モニタによって用いられる計算アルゴリズムに著しいエラーをもたらし、患者の安全に著しい問題を生じるだけに十分に間違っている場合がある。さらに、第3者の不正確なコードが患者に悪影響を与える場合、被害を受けた患者、または患者の継承者は、責任を有する、直接介護する人と共に、モニタの製造業者を支援しようとし得る。あることだが、介護人が、用いた低品質の第3者のセンサを保持せず、この使用に関する記録を残さない場合、低品質ではない別の高品質モニタを備える低品質の第3者のセンサを用いることによって、問題が生じたということを、モニタ製造業者が証明することは困難である。
【0007】
医療センサと関連して格納されたデジタルデータを認証する必要があるという別の理由は、工場で記録した時間から、患者の状態をモニタリングする計器が読み取る時間までに、データが壊れる可能性が、少ないが実際にあることである。このような破損をもたらし得るメカニズムのよく引用される例は、エネルギーの宇宙線の発生率によってデジタルメモリに記録された値の変化である。より一般的な破損の原因は、静電放電によって生じるメモリセルに対する損害である。
【0008】
したがって、モニタによる正確な計算および正確な患者のモニタリングを保証するために、正確で、認証された複合コードを、センサからモニタに通信する方法を工夫する必要性が当該技術において存在する。
【発明の概要】
【発明が解決しようとする課題】
【0009】
(発明の要旨)
したがって、本発明の目的は、正確と認証され得るモニタに有用なコードを有するセンサを提供することである。
【課題を解決するための手段】
【0010】
この目的および他の目的は、患者の測定された生理的特徴に対応した信号を生成し、モニタによって用いられる場合に、正確かつ認証されることが保証され得るコードを提供するセンサによって達成される。上記センサと関連したメモリは、上記コードおよび上記センサに関する他のデータを格納し、上記メモリは、電子署名も含む。上記電子署名は、上記コードが所定の品質制御を有するエンティティによって生成されたことを保証することによって、上記コードおよびデータの品質を認証し、上記コードが正確であることを保証する。
【0011】
一実施形態において、上記電子署名は、秘密鍵と公開鍵との対の秘密鍵を用いて、センサ製造プロセスの間に、生成される。次いで、上記署名は、外部センサ読み取り器(例えば、モニタ)内のプロセッサ内に組み込まれた公開鍵によって検証される。上記署名は、上記データから離すことが可能である。または、上記署名を上記データに付帯させる代わりに、上記署名自体が、上記データのすべて、または上記データの少なくともいくつかを含み得、これにより、上記データのマスキングレベルを提供する。
【0012】
本発明の一実施形態によると、いくつかの公知の公開/秘密鍵署名方法のうちの任意の一つを用いることが可能である。これらの方法は、Diffie−Hellman(および、National Institute of Standards & Technologのデジタル署名規格、El Gamal、または楕円曲線アプローチなどのこの変種)、RSA(マサチューセッツ工科大学において開発される)およびRabin−Williamsを含む。
【0013】
本発明のさらなる実施形態において、上記データ内にエラーが生じていないことを検証するために、上記署名されるべきデータの一部のダイジェストが、上記署名内に含まれる。各データは好適には、フィールドIDを含むように組織されて、続くデータの種類、データの長さの要素、および各データを示す。必須ビットは好適には、上記モニタによって各データをいかに用いるかの知識が、上記モニタによる上記センサの動作の際に必須であるか否かを示すためにも提供される。したがって、重要でないデータを認識しない旧型のモニタは単にこのデータを廃棄する。これは、旧型のモニタが恐らく、各データに対応した向上した機能を実施しないためである。しかし、各データがセンサの適切な動作に必要であれば、上記必須のビットが設定されて、上記センサ読み取り器/モニタは、プラグが差し込まれた上記特定のセンサを用い得ないことを示す。
【0014】
さらに別の実施形態において、上記センサによって格納された上記署名データは、モニタによって酸素飽和率を計算するために用いられる、少なくともセンサに依存した飽和率較正曲線係数を含む。さらに、上記データは、センサOFF閾値およびサーミスタを含むセンサに適したサーミスタ較正係数を含み得る。このようなデータのいくつかは、上記署名内に含まれ得、このデータまたは他のデータは、上記署名外に含まれ得る。上記署名外のデータは、所望の場合には、例えば、NISTのデータ暗号化規格(DES)などの対称鍵暗号化アルゴリズムによって、暗号化(またはマスキング)され得、上記対称鍵は上記署名内に含まれ得る。あるいは、上記対称鍵を、上記署名内に含まれる上記ダイジェストから得ることもできる。
本発明は、例えば以下の項目を含む。
【0015】
(項目1) 測定された生理的特徴に対応した信号を提供するための出力を有するセンサ(15)と、該センサと関連し、該センサの信号を受信するモニタ(206)の外部に設置されたメモリ(12)とを備える装置であって、該メモリは、該センサに関するデータを含み、該メモリは、さらに電子署名を含むことを特徴とする、装置。
【0016】
(項目2) 前記署名は、秘密鍵を用いて署名され、該署名は、前記モニタ内の公開鍵によって検証可能な、項目1に記載の装置。
【0017】
(項目3) 前記署名は、Rabin−Williams署名、RSA署名、Diffie−Hellman署名、El Gamal署名、または楕円曲線署名である、項目1に記載の装置。
【0018】
(項目4) 前記データの少なくとも第1の部分は、前記電子署名内に含まれる、項目1に記載の装置。
【0019】
(項目5) 前記データの第2の部分は、前記電子署名外にあり、該電子署名内に含まれる対称鍵を用いてマスキングされる、項目4に記載の装置。
【0020】
(項目6) 前記メモリは、前記データの一部のダイジェストのハッシュ関数を含み、前記ダイジェストは、前記電子署名内に含まれる、項目5に記載の装置。
【0021】
(項目7) 前記対称鍵は、前記ダイジェストから得ることが可能な、項目6に記載の装置。
【0022】
(項目8) 前記データの第3の部分は、マスキングされず、前記電子署名外にあり、前記ダイジェストは、前記第1、第2および第3の部分から生成される、項目7に記載の装置。
【0023】
(項目9) 前記データは、前記署名外にマスキングデータと、該マスキングデータをデコーディングするための対称鍵とを含み、該対称鍵は、前記電子署名内に含まれる、項目1に記載の装置。
【0024】
(項目10) メッセージダイジェストが、少なくともいくつかの前記データの正確さを認証するための前記署名内に含まれる、項目9に記載の装置。
【0025】
(項目11) 前記データのフィールドは、必須/オプションのビットフラグを含み、該フラグは、前記メモリを読み取るモニタによって、該データのフィールドをいかに用いるかの知識が、前記センサによる該モニタの動作の際に必須であるか否かを示す、項目1に記載の装置。
【0026】
(項目12) 前記センサは、パルスオキシメーターセンサであり、前記データの少なくとも一部は、前記署名内に含まれ、該一部は、飽和率計算係数、センサOFF閾値およびサーミスタ較正係数のうちの少なくとも一つを含む、項目1に記載の装置。
【0027】
(項目13) 前記データは、製造日、ロットコード、不良センサフラグ、製造コンポーネントテストデータ、LED転送V/I特徴、LED光源特徴、検出器の能率特徴、最大限に安全なLED電力、センサデータが設定するレビジョンレベル、ライトワンス/ライトメニーフラグ、ページサイズ、ページ数、センサモデルの種類、最大数のリサイクルイベントおよび大人/新生児クエリフラグのうちの少なくとも一つも含む、項目12に記載の装置。
【0028】
(項目14) 測定された生理的特徴に対応した信号を提供するための出力を有するセンサと関連したメモリを含む装置内にデジタル信号を生成する方法であって、該方法は、
電子署名を生成するために、該センサに関した前記データの少なくとも一部を署名する工程と、
該メモリ内に該電子署名を格納する工程と、
該メモリ内に該センサに関するデータを格納する工程と、
を包含する、方法。
【0029】
(項目15) 公開鍵および秘密鍵の対を生成する工程と、
メモリ内の該公開鍵をセンサ読み取り器内に組み込む工程と、
前記データを署名し、前記電子署名を生成するために、該秘密鍵を用いる工程と、
をさらに包含する、項目14に記載の方法。
【0030】
(項目16) 前記電子署名は、Rabin−Williams署名、RSA署名、Diffie−Hellman署名、El Gamal署名、または楕円曲線署名である、項目14に記載の方法。
【0031】
(項目17) 前記データの少なくとも一部を前記電子署名内に組み込む工程をさらに包含する、項目14に記載の方法。
【0032】
(項目18) 前記メモリデジタルデータから得られたメッセージを読み取ることによって、前記電子署名を検証し、認証し、該メッセージから第1のダイジェストを生成して、該第1のダイジェストと該電子署名内に含まれる第2のダイジェストとを識別するために比較するためのプログラムをさらに含む、項目14に記載の方法。
【0033】
(項目19) 前記データの第2の部分は、前記電子署名外にあり、対称鍵を用いてマスキングされる、項目14に記載の方法。
【0034】
(項目20) 署名されるべき前記データの一部のダイジェストのハッシュ関数を生成する工程をさらに包含し、該ダイジェストは、前記電子署名内に含まれる、項目19に記載の方法。
【0035】
(項目21) 前記対称鍵は、前記ダイジェストから得ることが可能な、項目20に記載の方法。
【0036】
(項目22) 前記データの第3の部分は、マスキングされず、前記電子署名外にあり、前記ダイジェストは、前記第1、第2および第3のデータ部分から生成される、項目21に記載の方法。
【0037】
(項目23) ハウジングと、
測定された生理的特徴に対応したセンサから信号を受信するためのセンサ入力と、
該センサ入力に接続されたセンサ処理回路と、
該センサと関連したメモリ内に格納されたデジタルデータを受信するためのメモリ入力であって、該デジタルデータは、電子署名を含む、メモリ入力と、
該デジタルデータを格納するための該メモリ入力に接続された第1のセンサ読み取りメモリと、
署名検証鍵を格納する第2のセンサ読み取りメモリと、
該署名検証鍵を用いて、該デジタルデータの該電子署名を検証するために、プログラムを格納する第3のセンサ読み取りメモリと、
該デジタルデータの少なくとも一部を該センサ処理回路に提供するための転送回路と、
を含む、センサ読み取り器。
【0038】
(項目24) 前記第1および第2のセンサ読み取り器メモリは、物理的に同じメモリの異なる部分である、項目23に記載のセンサ読み取り器。
【0039】
(項目25) 前記センサ処理回路は、マイクロプロセッサを含む、項目23に記載のセンサ読み取り器。
【0040】
(項目26) 前記署名検証鍵は、秘密鍵と公開鍵との対の公開鍵である、項目23に記載のセンサ読み取り器。
【0041】
(項目27) 前記署名は、Rabin−Williams署名である、項目23に記載のセンサ読み取り器。
【0042】
(項目28) 前記デジタルデータの少なくとも一部は、前記電子署名内に組み込まれる、項目23に記載のセンサ読み取り器。
【0043】
(項目29) (a)測定された生理的特徴に対応した信号を提供するための出力を有するセンサと、
該センサと関連したセンサメモリであって、該センサメモリは、該センサに関するデジタルデータを有し、さらに、電子署名を有し、該電子署名は、該データの少なくとも一部の署名である、センサメモリと、
を含むセンサ装置と、
(b)センサ読み取りハウジングと、
測定された生理的特徴に対応した該センサから該信号を受信するためのセンサ入力と、
該センサ入力に接続されたセンサ処理回路と、
該センサメモリから該デジタルデータを受信するためのメモリ入力と、
該デジタルデータを格納するための該メモリ入力に接続された第1のセンサ読み取りメモリと、
署名検証鍵を格納する第2のセンサ読み取りメモリと、
該署名検証鍵を用いて、該電子署名を検証するために、プログラムを格納する第3のセンサ読み取りメモリと、
を含むセンサ読み取り器と、
を備えるシステム。
【0044】
(項目30) センサと関連したメモリ内のデータの少なくとも1つのフィールドを格納する工程と、
該データのフィールド内に必須/オプションのフラグを格納する工程と、
センサ読み取り器によって、該フラグを読み取る工程と、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドがオプションであることを示す場合、該データのフィールドを無視する工程と、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドが必須であることを示す場合、該センサを用いることが出来ないことを示すエラー信号を生成する工程と、
を包含する、センサを動作するための方法。
【0045】
(項目31) 前記フィールドと関連したフィールドの長さを格納する工程と、
該フィールドの長さを読み取る工程と、
前記センサ読み取り器が該フィールドを認識せず、前記フラグが該フィールドがオプションであることを示す場合、該フィールドの長さを用いることによって、該フィールドをスキップする工程と、
をさらに包含する、項目30に記載の方法。
【0046】
(項目32) 前記センサと関連した前記メモリは、前記センサと前記モニタとの間に接続されたアダプタ内に取り付けられる、項目1に記載の装置。
【0047】
(項目33) 前記センサと関連した前記メモリは、前記センサとモニタとの間に接続されたアダプタ内に取り付けられる、項目14に記載の方法。
【0048】
(項目34) 前記センサと関連した前記メモリは、前記センサと前記センサ読み取り器との間に接続されたアダプタ内に取り付けられる、項目29に記載のシステム。
【0049】
(項目35) 測定された生理的特徴に対応したセンサ信号を提供するための出力を有するセンサと、
該センサに接続されたアダプタであって、該アダプタは、メモリを含み、該メモリは、センサデータを含み、電子署名を含む、アダプタと、
を備える装置。
【0050】
(項目36) 前記生理的特徴に対応した出力信号を提供するための前記アダプタ内の内部モニタと、
合成センサ信号を生成するために、前記センサ信号を改変するための回路検査であって、これにより、該合成センサ信号を用いて、第2の外部モニタが、該内部モニタの該出力信号に対応した出力を生成する、回路検査と、
をさらに含む、項目35に記載の装置。
【0051】
(項目37) 測定された生理的特徴に対応した信号を出力するように構成された第1の要素と、
データの電子署名を出力に提供するように構成された第2の要素と、
を含む装置。
【0052】
(項目38) 測定された生理的特徴に対応した信号を提供する工程と、
データの電子署名を出力に提供する工程と、
を包含する方法。
【図面の簡単な説明】
【0053】
【図1】図1は、本発明を組み込んだセンサおよびセンサ読み取りシステムのブロック図である。
【図2】図2は、図1に示すセンサメモリのコンテンツのブロック図である。
【図3】図3は、センサ製造中に、データを署名するシステムを示すブロック図である。
【図4】図4は、図3のシステムによって、メカニズムを署名するところを示す図である。
【図5】図5は、図4の方法で生成されるデータを示すデータフロー図である。
【図6】図6は、異なるソフトウェアモジュールを示す、センサ読み取りまたはモニタの一実施形態の図である。
【図7】図7は、本発明による、センサの読み取りを示すフローチャートである。
【図8】図8は、図7の方法で読み取られるデータのフローを示す図である。
【図9】図9は、データ内の異なるフィールドの図である。
【図10】図10は、アダプタ内に電子署名を含むアダプタを用いた、センサシステムのブロック図である。
【発明を実施するための形態】
【0054】
本発明の特性および利点をさらに理解するために、添付の図面と共に以下の説明を参照されたい。
【0055】
(特定の実施形態の詳細)
(定義)
署名データは、(ハッシュ関数を用いることによって)ダイジェストの計算に含まれるデータである。このダイジェストは、電子署名の計算に含まれ、これにより、あらゆる後のデータ変更が、電子署名の検証結果が失敗となることによって検出され得る。署名されたデータは最終的には、電子署名内または電子署名外のいずれかに置くことができる。「メッセージ回復用電子署名」として公知のプロセスにおいて、データは完全に、電子署名内にある。署名が検証されるまで、偶然のオブザーバーがデータを理解し得ないように、データはスクランブルの状態である。署名を検証する数学的プロセスによって、データはスクランブル状態から脱するか、または「回復」される。本明細書において記載する本発明に好適な「一部回復用電子署名」として公知のプロセスにおいて、署名されたデータの一部は、署名内に含まれ、さらなるデータは署名外にある。署名内のデータ部分は、署名が検証されるまで不明瞭であるが、署名外の部分は、マスキングプロセスを用いてこの部分が不明瞭にされるまでは、容易に読むことできるままである。
【0056】
本明細書においてこの用語を用いるように、マスキングデータは、署名内に含まれる非マスキング鍵によって回復できるように、暗号化されたデータである。署名の検証の間、非マスキング鍵が回復される。次いで、非マスキング鍵を、マスキングデータを解読するために使用し得る。好適な実施形態において、マスキングデータは、対称鍵の下で暗号化される。対称鍵は、すなわち、同一の暗号化鍵および解読鍵(すなわち、マスキング鍵および非マスキング鍵)である。特に好適な実施形態において、電子署名に組み込まれたメッセージダイジェストは、署名外のマスキングデータおよび非マスキングデータ用の対称鍵として用いられる。
【0057】
(センサ読み取り器/モニタ)
図1は、本発明の好適な実施形態のブロック図である。図1は、患者の組織18に取り付けられた非侵襲性センサ15に接続されたパルスオキシメーター17(またはセンサ読み取り器)を示す。センサLED14からの光は、患者の組織18内を通過し、組織18を透過または組織18から反射された後、光センサ16によって受け取られる。本発明の実施形態に応じて、2つ以上のLEDを用いることが可能である。光センサ16は、受け取ったエネルギーを電気信号に変換し、次いで、電気信号は、入力増幅器20に供給される。
【0058】
LED以外の光源を用いることが可能である。例えば、レーザーを用いてもよいし、送り側または受け取り側のいずれかにおいて、適切な光波長フィルターを備えた白色光源を用いてもよい。
【0059】
時間処理ユニット(TPU)48は、制御信号をLEDドライブ32に送信し、通常交代でLEDを起動する。ここでも、実施形態に応じて、ドライブは、2つまたは任意のさらなる所望の数のLEDを制御し得る。
【0060】
入力増幅器20から受信した信号は、図3の実施形態に示すように、3つの異なる光波長用に、3つの異なるチャンネルを通過する。あるいは、2つの光波長用に、2つのチャンネル、またはN光波長用に、Nチャンネルを用いてもよい。各チャンネルは、アナログスイッチ40、ローパスフィルタ42およびアナログ/デジタル(A/D)コンバータ38を含む。TPU48からの制御ラインは、対応するLED14が駆動される時間に、適切なチャンネルを同時に選択する。キュー(queued)シリアルモジュール(QSM)46は、A/Dコンバータからのデータラインを介して、チャンネルのそれぞれからデジタルデータを受信する。CPU50は、QSM46が定期的にいっぱいになるため、QSM46からRAM52内にデータを伝送する。一実施形態において、QSM46、TPU48、CPU50およびRAM52は、マイクロコントローラなど、集積回路の一部である。
【0061】
(センサメモリ)
光検出器16およびLED14を含むセンサ15は、このセンサに関するセンサメモリ12を有する。メモリ12は、センサ読み取り器またはモニタ17内のCPU50に接続される。センサ15のボディ内、またはセンサに接続された電気プラグ内に、メモリ12をパッケージ化し得る。あるいは、モニタの外部表面に取り付け可能なハウジング内に、メモリ12をパッケージ化してもよいし、センサボディとモニタとの間の信号パス内の任意の場所に、メモリ12を設置してもよい。特に、いくつかの好適な実施形態によると、センサメモリ12のコンテンツを、特定のセンサモデルと関連したすべてのセンサに対し、一定にすることが可能である。この場合、このモデルと関連した各センサ上に個々のメモリ12を設置する代わりに、センサモデルと関連した再利用可能な延長ケーブル内に、メモリ12を含ませることが可能である。センサモデルが使い捨てセンサである場合、一つのメモリ12を、再利用可能な延長ケーブル内に組み込むことが可能である。次いで、複数の使い捨てセンサによって、再利用可能なケーブルを用いることが可能である。
【0062】
図2は、好適な実施形態による、図1のメモリ12のコンテンツの図である。電子署名60は、センサに関するデータを好適には含む署名と共に、メモリの第1の部分を占める。第2の部分62は、署名およびマスキングされたデータを含む。第3の部分64は、署名されるがクリアなままの(すなわち、マスキングされていない)データを含む。最後に、部分66は、センサ読み取り器によってセンサメモリに書き込むために確保される。部分66は、署名もマスキングもされていない。この好適な実施形態を例示を目的として示し、それぞれが、特定の実施形態の要件によって、署名および/またはマスキングされ得るデジタル信号外の多くの異なるデータブロックを、メモリ12が含み得ることが理解されるべきである。これらの異なるデータブロックを、任意の所望の順序で配列してもよい。例えば、複数の署名されたブロックおよび非署名ブロックを相互配置しても、複数のマスキングブロックおよび非マスキングブロックを相互配置してもよい。センサ読み取り器によってメモリ12に書き込まれたデータが、オプション機能であり、このようなデータは、必要に応じてマスキングされ得ることも理解されるべきである。
【0063】
(工場における署名の書き込み)
図3は、センサメモリ12内に署名を書き込むために、工場において用いられるシステムの一実施形態のブロック図である。図3に示すものは、パーソナルコンピュータ70、および秘密/公開鍵の対の秘密鍵を含み、かつ利用する、関連した暗号化共同プロセッサ72である。秘密鍵は、共同プロセッサ72内のメモリ内に含まれる。セキュリティを維持するために、すべての人がこの鍵を読み取れるわけではないことが好適である。対応する公開鍵は、PC70および共同プロセッサ72の両方にとって既知のものであってもよいし、または共同プロセッサ72によって出力されてもよい。
【0064】
共同プロセッサ72によって署名されたデータは、一つより多いソースから入来し得る。図示するものは、LED光波長、サーミスタ抵抗など、特定のセンサコンポーネント78の値を判定するセンサをテストするためのテスター76である。次いで、これらのデータ値は、ライン80を介して、PC70に供給される。キーボードによって、またはライン84を介して別のデータベースから、さらなる情報82を入力してもよい。このデータは、例えば、センサのシリアル番号、製造日、ロット番号、署名されるべきデータの一部のダイジェスト、または他の情報を含み得る。
【0065】
署名されるべきデータ、およびメモリ12内に含まれるべき他のデータは、PCから暗号化共同プロセッサ72に伝達される。共同プロセッサ72は、署名されたデータからダイジェストを計算し、署名が望ましい秘密鍵、ダイジェストおよび他のデータによって署名する。本明細書に含まれる署名およびデータは、マスキングされた他のデータ、またはそのデータから対称鍵が取得され得る情報用に対称鍵を含み得る。共同プロセッサは、署名をPC70に伝送し返す。PC70は好適には、署名内に含まれないデータのいくつかをマスキングし、マスキングされたデータ、署名およびクリアデータを組み合わせ、これらすべてを、ライン86上のメモリ12に伝送する。
【0066】
図4は、図3のシステムの動作を示す図である。図5は、図4の方法による、データフローを示す。
【0067】
最初に、センサはテストされ、LED光波長などのセンサの測定されたパラメータ88が提供される。次に、任意の他のデータ89が入力される。次いで、データはソーティングされる(工程90)。このソーティングによって、署名されるべき第1のデータ91、マスキングされるべき第2のデータ92、および、クリアになる、すなわち、マスキングも署名もされない、第3のデータ93が生じる。製造の間、またはセンサが用いられた後の読み出し/解読工程の間に、データ91、92、93のいずれかにおいて、エラーが生じないことを検証するために、ダイジェスト95が、製造の間に、データ91、92、93すべてから、製造され(工程94)、署名内に含まれる。ダイジェストは、データ91、92、93に適用されたハッシュ関数の出力として生成される。ダイジェストを複雑なCRCと比較することが可能である。解読後に、モニタによってデータおよびダイジェストを後に読み取る場合において、データ91、92、93のいずれかにおいて1ビットより大きなエラーが生じると、モニタが読み取られたデータから生成する第2のダイジェストは、メモリから抽出されたダイジェストに対応せず、これゆえに、1つ以上のエラーが、書き込みプロセスまたは署名検証プロセスのどこかで生じたことが示される。適切なハッシュ関数の例は、SHA−1であり、これは、Federal Information Processing
Standard Publication FIPS, PUB 180−1、「Secure Hash Standard」、National Institute of Standards & Technology、1995年に記載されている。ダイジェスト95およびデータ91は、工程100において追加されたフォーマッティングデータ99と共に署名されて、工程96において署名101を生成する。フォーマッティングデータは、例えば、International Standard ISO/IEC 9796−2の電子署名用の規格によって、工程100において追加される。データ92は、工程103においてマスキングされる。次いで、この署名101、マスキングデータ103およびクリアデータ93を、共同プロセッサ72およびPC70によって組み合わせ、センサメモリ12内に格納する。
【0068】
データを署名するために用いられる秘密鍵は好適には、Rabin−Williams電子署名アルゴリズム(ISO9796−2に記載される一例)である。
【0069】
一実施形態において、署名されるべき元のデータブロック、ブロック91は、73バイトより少ないバイトに、20バイトのダイジェストを加算し、3バイトのフォーマッティングデータ99を加算したものである。これによって、96バイトの署名メッセージが生じる。より長い署名、例えば、128バイトを有する署名(うち、有用なデータ91として106バイトが受信可能である)も用いることが可能である。署名の長さは、所望のセキュリティの程度およびモニタの解読能力の量に依存する。
【0070】
(フィールド内の読み取り器/モニタによる署名読み取り)
図6は、患者に用いられる場合に、電子署名を検証し、センサからデータを回復するためのセンサ読み取り器またはモニタ17の一部を示す。まずデータをセンサメモリから取り出して、CPU50によってメモリ110内に格納する。センサ読み取り器は、メモリ112内に公開鍵を有し、この公開鍵は通常、モニタの製造時にロードされるか、モニタのアップグレードとして提供される。署名検証およびデータ回復プログラムは、メモリ114の一部内に格納される。
【0071】
図7は、署名検証の動作、および図6のメモリ部分114のデータ回復プログラムを示す。図8は、図7のフローチャートによる、データの移動を示す図である。工程106において、データはまず、センサメモリから取り出される。署名101、マスキングデータ107およびクリアデータ93から形成される、取り出されたデータ102を、図8に示す。次いで、公開鍵112を、モニタのメモリから取り出す(工程108)。
【0072】
次いで、署名データ91およびメモリダイジェスト95を取得するために、署名および公開鍵を、暗号化変形に入力として提供する(工程109)。
【0073】
メモリダイジェストを、マスキングデータ対称鍵を判定するために用い、次いで、この鍵を、マスキングデータ107を解読して、マスキングされた元のデータ92を取得するために用いる(工程116)。
【0074】
データ91、92、93すべての正確さを検証するために、次いで、ハッシュ関数118を用いて、モニタによって、解読された署名データ91、非マスキングデータ92およびクリアデータ93から、第2のダイジェストを生成する(工程120)。これにより、工程124において、元のダイジェスト95(メモリから読み出される)と比較され得る、新たなダイジェスト122が生成される。ダイジェストが同じである場合、署名が検証されて、メッセージ(組み合わされたデータ91、92、93)が認証される(工程126)。次いで、モニタは、動作においてこのメッセージを用いる。一方、ダイジェストが同じでない場合、メッセージは不正であると判定されて、モニタは、モニタユーザに不良センサ信号を示し、このメッセージを用いない(工程128)。
【0075】
見受けられ得るように、本発明は一意的に、センサ、特にパルスオキシメーターに、電子署名を付与する。センサへの一意的な付与によって、センサ読み取り器/モニタが、メッセージ(データ)の認証性、ソースに関する信頼性およびセンサの品質を検証し、革新的ではないセンサの製造業者が、感度センサの仕様情報を容易に発見したり、間違って用いることから守る。
【0076】
(署名フィールド)
図9は、署名データ91、ダイジェスト95およびフォーマッティングデータ99の一実施形態をより詳細に示す。特に、署名データ91は、任意の数のフィールド132、続いてCRC134に分割される。各フィールド132は、フィールド内にあるデータの種類を識別する、1バイトのフィールドID136を含む。1ビット138は、フィールドが必須であるか否かを示す。次に、ブロック140内に7ビットがあり、これにより、フィールドの長さが識別される。最後に、フィールドデータが、1バイトのブロック142内に提供される。
【0077】
動作の間、既存のモニタまたはセンサ読み取り器が、特定のフィールドID136を処理することができないか、特定のフィールドID136を認識しない場合、フィールドの長さ140を探し、次のフィールドに到着するためにどのぐらいのデータをスキップするかを算定することが可能である。しかし、モニタまたはセンサ読み取り器はまず、必須のビット138をチェックし、このデータがセンサの動作に必須であるか否かを判定する。このデータが必須である場合、モニタまたはセンサ読み取り器は、取り付けられたセンサを正しく読み取ることができないことを示す、エラーメッセージを生成する。このデータが必須でない場合、モニタまたはセンサ読み取り器は単に、このデータフィールドを無視する。
【0078】
したがって、このフィールドフォーマットは、署名データブロック内にデータをパッキングする際に柔軟性を提供し、さらに、既存のセンサ読み取り器および未来の世代のセンサおよびモニタとのアップグレードの可能性および互換性も提供する。
【0079】
一実施形態において、選択された値のフィールド識別子は、次の文字が拡張された組の識別子であることを示す「エスケープ文字」として指定される。これにより、固定アドレスに頼る必要なく、メッセージ内に含まれるフィールドを、追加、削除、移動、圧縮または伸長する能力が可能となる。
【0080】
(データの種類)
以下は、一実施形態におけるメモリ12内に含まれ得るデータの種類の例である。
【0081】
パルスオキシメーターの飽和率計算用の式に適用されるべき実際の係数またはデータを格納してもよい。測定されたLED光波長に対応した値を格納する代わりに、これらの係数を格納する。この結果、較正曲線が、計器内に提供された小さな一組の曲線に制限されないため、センサの設計の柔軟性が著しく増す。
【0082】
係数に代わって、または係数に追加して、LED光波長を単に格納してもよい。さらに、二次放出光波長の特徴および他のLEDパラメータを格納してもよい。
【0083】
特定のセンサは、センサ温度用の較正曲線の補償などを目的として、低温度を測定するため、または患者のやけどを防ぐために用いられるサーミスタを有し得る。サーミスタ用の較正係数を格納してもよい。
【0084】
メモリ12内に含まれ得る他のデータは、例えば、センサのトレーサビリティーを可能にするロットコード、不良センサフラグ、製造日、製造テスト情報、署名に用いられる署名ソフトウェアプログラムのバージョン、LED転送V/I特徴、LED光源特徴、検出器の能率特徴、最大限に安全なLED電力、センサデータが設定するレビジョンレベル(センサ内に含まれる特徴を示す)、センサモデルID、大人/新生児クエリフラグ(新生児または大人がモニタリングされるか否かに応じて、所望の警告限界範囲をパルス酸素計測法に対する異なる通常の酸素飽和率レベルによって、トリガーする)、ライトワンス/ライトメニーフラグ(write once/write many flag)、ページサイズ、複数のページおよび最大数のリサイクルイベントを含み得る。
【0085】
あるいは、上述または引用した従来技術の参考文献内に記載する任意のデータの種類を用い、マスキングデータ92、署名データ91、またはクリアデータ93のいずれかに格納してもよい。
【0086】
図10は、アダプタ内に電子署名を有するアダプタを組み込んだセンサシステムのブロック図である。図10は、アダプタ204に接続されたセンサ202(アダプタ204は次いで、モニタ206に接続される)を示す。アダプタは、信号回路検査208、電子署名210を備えたメモリおよび内部モニタ212を含む。このようなアダプタの一つの使用法は、電子署名なしで、このようなアダプタに接続されるように設計されたクラスのセンサ向けのものである。アダプタ自体は、外部モニタ206に電子署名を提供し得る。したがって、例えば、各センサが認定される代わりに、外部モニタに認定を提供するアダプタによって、センサが認定されていることを判定する異なる方法を用いることが可能である。
【0087】
図10に示す実施形態において、アダプタは、内部モニタ212も含む。フィールド内の外部モニタ206によって提供される出力または表示とは異なるか、またはフィールド内の外部モニタ206によって提供される出力または表示の変種である、出力表示または他の信号を提供するために、この内部モニタを用いることが可能である。2つのモニタによる任意の出力または表示が一致していることを保証するには、信号検査ブロック208は、センサ信号を改変し得、これにより、その改変された形態において、ライン214上の外部モニタ206への信号出力により、外部モニタ206が内部モニタ212によって生成された出力信号に対応した出力信号を生成する。例えば、パルス酸素計測法の値に対応したセンサ202から、患者の信号を取得することが可能である。合成AC信号(これは、ブロック208が外部モニタ206に送信する)を生成するブロック208によって、内部モニタ212上で、推定の飽和率および心拍数を生成することが可能である。合成信号の構築は、外部モニタが、内部モニタ212と同様の心拍数および飽和率を計算することを保証するように、行われる。
【0088】
電子署名は、フィルターされていない患者のデータ、フィルターされた患者のデータ、合成の患者の生理的信号または任意の他のデータを含む任意のデータの署名であり得る。
【0089】
当業者であれば、本発明は、本発明の本質的な特徴から逸脱することなく、他の特定の形態で具現化され得ることを理解する。したがって、上述した説明は、上掲の特許請求の範囲内に記述する本発明の範囲内であり、例示的であるが、本発明を限定することを意図しない。
【技術分野】
【0001】
(発明の背景)
本発明は、メモリを有するセンサに関する。特に、パルスオキシメーターセンサに関して説明するが、他の種類のセンサにも等しく適用可能である。
【背景技術】
【0002】
(パルス酸素計測法)
パルス酸素計測法は通常、動脈血内の血色素の血中酸素の飽和率、および患者の心拍数に対応した血液の脈動速度を含む(但し、これらに限定されない)
種々の血流特徴を測定するために用いられる。このような特性を測定することは、血液が組織の中を潅流する、患者の組織の一部に光を通過させ、このような組織内における光吸収を光電的に感知する、非侵襲性センサを用いることによって達成される。センサに接続されたモニタは、吸収された光量を判定し、測定された血液成分量、例えば、動脈酸素飽和率を計算する。
【0003】
組織中を通過させる光を選択する場合、一つ以上の光波長が、血液中に存在する血液成分の量を表す量の分に、血液中に吸収されるように、選択を行う。組織を通過する、透過光または反射光の量は、組織内の血液成分量および関連した光吸収を変化させることによって、変化する。血中酸素レベルの測定に関して、このようなセンサは、血中酸素飽和率を測定する公知の技術によって、二つの異なる光波長において動作するように適合された光源および光検出器を備える。
【0004】
有用な情報をモニタに伝えるパルスオキシメーターセンサを含む、センサ内のコーディング情報に関する種々の方法が過去に提案されてきた。例えば、エンコーディングのメカニズムは、Nellcorに対する米国特許第4,700,708号に示され、同文献の開示は、本明細書中に参考として援用する。このメカニズムは、一対の発光ダイオード(LED)を用いて、血中に潅流された組織を通過する光を方向付け、組織によって吸収されなかった光を検出する検出器を備えた、光オキシメータープローブに関する。酸素飽和率を計算する正確さは、LEDの光波長を知ることに依存する。LEDの光波長が変化し得るため、LEDのうちの少なくとも一つの実際の光波長、またはこのセンサ用のLED光波長の組み合わせに適した、オキシメーター酸素飽和率計算係数をモニタに示す、レジスタの値を備えたコーディングレジスタが、プローブ内に配置される。オキシメーター計器に電源を入れると、オキシメーター計器はまず、コーディングレジスタに電流を印加し、次いで電圧を測定し、レジスタ値、およびこれゆえに、プローブ内のLEDの光波長に用いる適切な飽和率計算係数が判定される。
【0005】
他のコーディングメカニズムは、米国特許第5,259,381号、第4,942,877号、第4,446,715号、第3,790,910号、第4,303,984号、第4,621,643号、第5,246,003号、第3,720,177号、第4,684,245号、第5,645,059号、第5,058,588号、第4,858,615号および第4,942,877号にも提案されており、これらすべての文献の開示は、本明細書中に参考として援用する。第‘877号は特に、オキシメーターの飽和率の式の係数を含む、パルスオキシメーターセンサメモリ内に種々のデータを格納する工程を開示する。
【0006】
従来技術のセンサコーディング技術の問題は、情報のエンコーディングが時には不正確および/または認証的ではないことである。この結果、モニタは時には、患者から十分な読み取りを得ることができず、またよりいっそう悪い場合には、不正確な計算を行い、極端な場合には、不正確なコードおよび結果生じた読み取りが不十分であることにより、患者の安全が著しく損われ、患者に悪影響を及ぼす。不正確なコードは、種々の環境下において生じ得る。例えば、エラーは、センサの製造プロセスの間、またはセンサの出荷の際に生じ得る。しかし、より一般的には、不正確なコードは、互換性を有した高品質センサを供給する、対応したモニタ製造業者によって、ライセンスも許可も付与されていない、格安で低品質の第3者のセンサ製造業者によって、やや目的をもって用いられる。これらの第3者は、しばしば、研究に最小限量の投資をし、いかにモニタが動作し、いかにモニタがコードを用いるかを理解しないため、コードが何のためにあるかを単に理解しない。これらの第3者はモニタ製造業者によってライセンスを付与されていないため、概して、モニタ製造業者からこの情報を得ることは不可能である。しばしば、これらの第3者は、逆行分析技術(reverse engineering techniques)または元の科学(original science)によって、いかにモニタが動作し、患者の安全を保証するためにいかにコードを用いるかを研究するために、時間および費用を投資することを選択しない。むしろ、このような第3者は単に、エンコードされる各データ特徴に関して、市場において用いられるコード値の範囲を調査し、特定のモニタと「互換性」を有するように、これらすべてのセンサに平均コード値を用いる例が多く存在する。平均コード値を用いる多くの例において、読み取りは単に仕様外となるだけ(この場合、特に危険である)だが、平均コード値が、モニタによって用いられる計算アルゴリズムに著しいエラーをもたらし、患者の安全に著しい問題を生じるだけに十分に間違っている場合がある。さらに、第3者の不正確なコードが患者に悪影響を与える場合、被害を受けた患者、または患者の継承者は、責任を有する、直接介護する人と共に、モニタの製造業者を支援しようとし得る。あることだが、介護人が、用いた低品質の第3者のセンサを保持せず、この使用に関する記録を残さない場合、低品質ではない別の高品質モニタを備える低品質の第3者のセンサを用いることによって、問題が生じたということを、モニタ製造業者が証明することは困難である。
【0007】
医療センサと関連して格納されたデジタルデータを認証する必要があるという別の理由は、工場で記録した時間から、患者の状態をモニタリングする計器が読み取る時間までに、データが壊れる可能性が、少ないが実際にあることである。このような破損をもたらし得るメカニズムのよく引用される例は、エネルギーの宇宙線の発生率によってデジタルメモリに記録された値の変化である。より一般的な破損の原因は、静電放電によって生じるメモリセルに対する損害である。
【0008】
したがって、モニタによる正確な計算および正確な患者のモニタリングを保証するために、正確で、認証された複合コードを、センサからモニタに通信する方法を工夫する必要性が当該技術において存在する。
【発明の概要】
【発明が解決しようとする課題】
【0009】
(発明の要旨)
したがって、本発明の目的は、正確と認証され得るモニタに有用なコードを有するセンサを提供することである。
【課題を解決するための手段】
【0010】
この目的および他の目的は、患者の測定された生理的特徴に対応した信号を生成し、モニタによって用いられる場合に、正確かつ認証されることが保証され得るコードを提供するセンサによって達成される。上記センサと関連したメモリは、上記コードおよび上記センサに関する他のデータを格納し、上記メモリは、電子署名も含む。上記電子署名は、上記コードが所定の品質制御を有するエンティティによって生成されたことを保証することによって、上記コードおよびデータの品質を認証し、上記コードが正確であることを保証する。
【0011】
一実施形態において、上記電子署名は、秘密鍵と公開鍵との対の秘密鍵を用いて、センサ製造プロセスの間に、生成される。次いで、上記署名は、外部センサ読み取り器(例えば、モニタ)内のプロセッサ内に組み込まれた公開鍵によって検証される。上記署名は、上記データから離すことが可能である。または、上記署名を上記データに付帯させる代わりに、上記署名自体が、上記データのすべて、または上記データの少なくともいくつかを含み得、これにより、上記データのマスキングレベルを提供する。
【0012】
本発明の一実施形態によると、いくつかの公知の公開/秘密鍵署名方法のうちの任意の一つを用いることが可能である。これらの方法は、Diffie−Hellman(および、National Institute of Standards & Technologのデジタル署名規格、El Gamal、または楕円曲線アプローチなどのこの変種)、RSA(マサチューセッツ工科大学において開発される)およびRabin−Williamsを含む。
【0013】
本発明のさらなる実施形態において、上記データ内にエラーが生じていないことを検証するために、上記署名されるべきデータの一部のダイジェストが、上記署名内に含まれる。各データは好適には、フィールドIDを含むように組織されて、続くデータの種類、データの長さの要素、および各データを示す。必須ビットは好適には、上記モニタによって各データをいかに用いるかの知識が、上記モニタによる上記センサの動作の際に必須であるか否かを示すためにも提供される。したがって、重要でないデータを認識しない旧型のモニタは単にこのデータを廃棄する。これは、旧型のモニタが恐らく、各データに対応した向上した機能を実施しないためである。しかし、各データがセンサの適切な動作に必要であれば、上記必須のビットが設定されて、上記センサ読み取り器/モニタは、プラグが差し込まれた上記特定のセンサを用い得ないことを示す。
【0014】
さらに別の実施形態において、上記センサによって格納された上記署名データは、モニタによって酸素飽和率を計算するために用いられる、少なくともセンサに依存した飽和率較正曲線係数を含む。さらに、上記データは、センサOFF閾値およびサーミスタを含むセンサに適したサーミスタ較正係数を含み得る。このようなデータのいくつかは、上記署名内に含まれ得、このデータまたは他のデータは、上記署名外に含まれ得る。上記署名外のデータは、所望の場合には、例えば、NISTのデータ暗号化規格(DES)などの対称鍵暗号化アルゴリズムによって、暗号化(またはマスキング)され得、上記対称鍵は上記署名内に含まれ得る。あるいは、上記対称鍵を、上記署名内に含まれる上記ダイジェストから得ることもできる。
本発明は、例えば以下の項目を含む。
【0015】
(項目1) 測定された生理的特徴に対応した信号を提供するための出力を有するセンサ(15)と、該センサと関連し、該センサの信号を受信するモニタ(206)の外部に設置されたメモリ(12)とを備える装置であって、該メモリは、該センサに関するデータを含み、該メモリは、さらに電子署名を含むことを特徴とする、装置。
【0016】
(項目2) 前記署名は、秘密鍵を用いて署名され、該署名は、前記モニタ内の公開鍵によって検証可能な、項目1に記載の装置。
【0017】
(項目3) 前記署名は、Rabin−Williams署名、RSA署名、Diffie−Hellman署名、El Gamal署名、または楕円曲線署名である、項目1に記載の装置。
【0018】
(項目4) 前記データの少なくとも第1の部分は、前記電子署名内に含まれる、項目1に記載の装置。
【0019】
(項目5) 前記データの第2の部分は、前記電子署名外にあり、該電子署名内に含まれる対称鍵を用いてマスキングされる、項目4に記載の装置。
【0020】
(項目6) 前記メモリは、前記データの一部のダイジェストのハッシュ関数を含み、前記ダイジェストは、前記電子署名内に含まれる、項目5に記載の装置。
【0021】
(項目7) 前記対称鍵は、前記ダイジェストから得ることが可能な、項目6に記載の装置。
【0022】
(項目8) 前記データの第3の部分は、マスキングされず、前記電子署名外にあり、前記ダイジェストは、前記第1、第2および第3の部分から生成される、項目7に記載の装置。
【0023】
(項目9) 前記データは、前記署名外にマスキングデータと、該マスキングデータをデコーディングするための対称鍵とを含み、該対称鍵は、前記電子署名内に含まれる、項目1に記載の装置。
【0024】
(項目10) メッセージダイジェストが、少なくともいくつかの前記データの正確さを認証するための前記署名内に含まれる、項目9に記載の装置。
【0025】
(項目11) 前記データのフィールドは、必須/オプションのビットフラグを含み、該フラグは、前記メモリを読み取るモニタによって、該データのフィールドをいかに用いるかの知識が、前記センサによる該モニタの動作の際に必須であるか否かを示す、項目1に記載の装置。
【0026】
(項目12) 前記センサは、パルスオキシメーターセンサであり、前記データの少なくとも一部は、前記署名内に含まれ、該一部は、飽和率計算係数、センサOFF閾値およびサーミスタ較正係数のうちの少なくとも一つを含む、項目1に記載の装置。
【0027】
(項目13) 前記データは、製造日、ロットコード、不良センサフラグ、製造コンポーネントテストデータ、LED転送V/I特徴、LED光源特徴、検出器の能率特徴、最大限に安全なLED電力、センサデータが設定するレビジョンレベル、ライトワンス/ライトメニーフラグ、ページサイズ、ページ数、センサモデルの種類、最大数のリサイクルイベントおよび大人/新生児クエリフラグのうちの少なくとも一つも含む、項目12に記載の装置。
【0028】
(項目14) 測定された生理的特徴に対応した信号を提供するための出力を有するセンサと関連したメモリを含む装置内にデジタル信号を生成する方法であって、該方法は、
電子署名を生成するために、該センサに関した前記データの少なくとも一部を署名する工程と、
該メモリ内に該電子署名を格納する工程と、
該メモリ内に該センサに関するデータを格納する工程と、
を包含する、方法。
【0029】
(項目15) 公開鍵および秘密鍵の対を生成する工程と、
メモリ内の該公開鍵をセンサ読み取り器内に組み込む工程と、
前記データを署名し、前記電子署名を生成するために、該秘密鍵を用いる工程と、
をさらに包含する、項目14に記載の方法。
【0030】
(項目16) 前記電子署名は、Rabin−Williams署名、RSA署名、Diffie−Hellman署名、El Gamal署名、または楕円曲線署名である、項目14に記載の方法。
【0031】
(項目17) 前記データの少なくとも一部を前記電子署名内に組み込む工程をさらに包含する、項目14に記載の方法。
【0032】
(項目18) 前記メモリデジタルデータから得られたメッセージを読み取ることによって、前記電子署名を検証し、認証し、該メッセージから第1のダイジェストを生成して、該第1のダイジェストと該電子署名内に含まれる第2のダイジェストとを識別するために比較するためのプログラムをさらに含む、項目14に記載の方法。
【0033】
(項目19) 前記データの第2の部分は、前記電子署名外にあり、対称鍵を用いてマスキングされる、項目14に記載の方法。
【0034】
(項目20) 署名されるべき前記データの一部のダイジェストのハッシュ関数を生成する工程をさらに包含し、該ダイジェストは、前記電子署名内に含まれる、項目19に記載の方法。
【0035】
(項目21) 前記対称鍵は、前記ダイジェストから得ることが可能な、項目20に記載の方法。
【0036】
(項目22) 前記データの第3の部分は、マスキングされず、前記電子署名外にあり、前記ダイジェストは、前記第1、第2および第3のデータ部分から生成される、項目21に記載の方法。
【0037】
(項目23) ハウジングと、
測定された生理的特徴に対応したセンサから信号を受信するためのセンサ入力と、
該センサ入力に接続されたセンサ処理回路と、
該センサと関連したメモリ内に格納されたデジタルデータを受信するためのメモリ入力であって、該デジタルデータは、電子署名を含む、メモリ入力と、
該デジタルデータを格納するための該メモリ入力に接続された第1のセンサ読み取りメモリと、
署名検証鍵を格納する第2のセンサ読み取りメモリと、
該署名検証鍵を用いて、該デジタルデータの該電子署名を検証するために、プログラムを格納する第3のセンサ読み取りメモリと、
該デジタルデータの少なくとも一部を該センサ処理回路に提供するための転送回路と、
を含む、センサ読み取り器。
【0038】
(項目24) 前記第1および第2のセンサ読み取り器メモリは、物理的に同じメモリの異なる部分である、項目23に記載のセンサ読み取り器。
【0039】
(項目25) 前記センサ処理回路は、マイクロプロセッサを含む、項目23に記載のセンサ読み取り器。
【0040】
(項目26) 前記署名検証鍵は、秘密鍵と公開鍵との対の公開鍵である、項目23に記載のセンサ読み取り器。
【0041】
(項目27) 前記署名は、Rabin−Williams署名である、項目23に記載のセンサ読み取り器。
【0042】
(項目28) 前記デジタルデータの少なくとも一部は、前記電子署名内に組み込まれる、項目23に記載のセンサ読み取り器。
【0043】
(項目29) (a)測定された生理的特徴に対応した信号を提供するための出力を有するセンサと、
該センサと関連したセンサメモリであって、該センサメモリは、該センサに関するデジタルデータを有し、さらに、電子署名を有し、該電子署名は、該データの少なくとも一部の署名である、センサメモリと、
を含むセンサ装置と、
(b)センサ読み取りハウジングと、
測定された生理的特徴に対応した該センサから該信号を受信するためのセンサ入力と、
該センサ入力に接続されたセンサ処理回路と、
該センサメモリから該デジタルデータを受信するためのメモリ入力と、
該デジタルデータを格納するための該メモリ入力に接続された第1のセンサ読み取りメモリと、
署名検証鍵を格納する第2のセンサ読み取りメモリと、
該署名検証鍵を用いて、該電子署名を検証するために、プログラムを格納する第3のセンサ読み取りメモリと、
を含むセンサ読み取り器と、
を備えるシステム。
【0044】
(項目30) センサと関連したメモリ内のデータの少なくとも1つのフィールドを格納する工程と、
該データのフィールド内に必須/オプションのフラグを格納する工程と、
センサ読み取り器によって、該フラグを読み取る工程と、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドがオプションであることを示す場合、該データのフィールドを無視する工程と、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドが必須であることを示す場合、該センサを用いることが出来ないことを示すエラー信号を生成する工程と、
を包含する、センサを動作するための方法。
【0045】
(項目31) 前記フィールドと関連したフィールドの長さを格納する工程と、
該フィールドの長さを読み取る工程と、
前記センサ読み取り器が該フィールドを認識せず、前記フラグが該フィールドがオプションであることを示す場合、該フィールドの長さを用いることによって、該フィールドをスキップする工程と、
をさらに包含する、項目30に記載の方法。
【0046】
(項目32) 前記センサと関連した前記メモリは、前記センサと前記モニタとの間に接続されたアダプタ内に取り付けられる、項目1に記載の装置。
【0047】
(項目33) 前記センサと関連した前記メモリは、前記センサとモニタとの間に接続されたアダプタ内に取り付けられる、項目14に記載の方法。
【0048】
(項目34) 前記センサと関連した前記メモリは、前記センサと前記センサ読み取り器との間に接続されたアダプタ内に取り付けられる、項目29に記載のシステム。
【0049】
(項目35) 測定された生理的特徴に対応したセンサ信号を提供するための出力を有するセンサと、
該センサに接続されたアダプタであって、該アダプタは、メモリを含み、該メモリは、センサデータを含み、電子署名を含む、アダプタと、
を備える装置。
【0050】
(項目36) 前記生理的特徴に対応した出力信号を提供するための前記アダプタ内の内部モニタと、
合成センサ信号を生成するために、前記センサ信号を改変するための回路検査であって、これにより、該合成センサ信号を用いて、第2の外部モニタが、該内部モニタの該出力信号に対応した出力を生成する、回路検査と、
をさらに含む、項目35に記載の装置。
【0051】
(項目37) 測定された生理的特徴に対応した信号を出力するように構成された第1の要素と、
データの電子署名を出力に提供するように構成された第2の要素と、
を含む装置。
【0052】
(項目38) 測定された生理的特徴に対応した信号を提供する工程と、
データの電子署名を出力に提供する工程と、
を包含する方法。
【図面の簡単な説明】
【0053】
【図1】図1は、本発明を組み込んだセンサおよびセンサ読み取りシステムのブロック図である。
【図2】図2は、図1に示すセンサメモリのコンテンツのブロック図である。
【図3】図3は、センサ製造中に、データを署名するシステムを示すブロック図である。
【図4】図4は、図3のシステムによって、メカニズムを署名するところを示す図である。
【図5】図5は、図4の方法で生成されるデータを示すデータフロー図である。
【図6】図6は、異なるソフトウェアモジュールを示す、センサ読み取りまたはモニタの一実施形態の図である。
【図7】図7は、本発明による、センサの読み取りを示すフローチャートである。
【図8】図8は、図7の方法で読み取られるデータのフローを示す図である。
【図9】図9は、データ内の異なるフィールドの図である。
【図10】図10は、アダプタ内に電子署名を含むアダプタを用いた、センサシステムのブロック図である。
【発明を実施するための形態】
【0054】
本発明の特性および利点をさらに理解するために、添付の図面と共に以下の説明を参照されたい。
【0055】
(特定の実施形態の詳細)
(定義)
署名データは、(ハッシュ関数を用いることによって)ダイジェストの計算に含まれるデータである。このダイジェストは、電子署名の計算に含まれ、これにより、あらゆる後のデータ変更が、電子署名の検証結果が失敗となることによって検出され得る。署名されたデータは最終的には、電子署名内または電子署名外のいずれかに置くことができる。「メッセージ回復用電子署名」として公知のプロセスにおいて、データは完全に、電子署名内にある。署名が検証されるまで、偶然のオブザーバーがデータを理解し得ないように、データはスクランブルの状態である。署名を検証する数学的プロセスによって、データはスクランブル状態から脱するか、または「回復」される。本明細書において記載する本発明に好適な「一部回復用電子署名」として公知のプロセスにおいて、署名されたデータの一部は、署名内に含まれ、さらなるデータは署名外にある。署名内のデータ部分は、署名が検証されるまで不明瞭であるが、署名外の部分は、マスキングプロセスを用いてこの部分が不明瞭にされるまでは、容易に読むことできるままである。
【0056】
本明細書においてこの用語を用いるように、マスキングデータは、署名内に含まれる非マスキング鍵によって回復できるように、暗号化されたデータである。署名の検証の間、非マスキング鍵が回復される。次いで、非マスキング鍵を、マスキングデータを解読するために使用し得る。好適な実施形態において、マスキングデータは、対称鍵の下で暗号化される。対称鍵は、すなわち、同一の暗号化鍵および解読鍵(すなわち、マスキング鍵および非マスキング鍵)である。特に好適な実施形態において、電子署名に組み込まれたメッセージダイジェストは、署名外のマスキングデータおよび非マスキングデータ用の対称鍵として用いられる。
【0057】
(センサ読み取り器/モニタ)
図1は、本発明の好適な実施形態のブロック図である。図1は、患者の組織18に取り付けられた非侵襲性センサ15に接続されたパルスオキシメーター17(またはセンサ読み取り器)を示す。センサLED14からの光は、患者の組織18内を通過し、組織18を透過または組織18から反射された後、光センサ16によって受け取られる。本発明の実施形態に応じて、2つ以上のLEDを用いることが可能である。光センサ16は、受け取ったエネルギーを電気信号に変換し、次いで、電気信号は、入力増幅器20に供給される。
【0058】
LED以外の光源を用いることが可能である。例えば、レーザーを用いてもよいし、送り側または受け取り側のいずれかにおいて、適切な光波長フィルターを備えた白色光源を用いてもよい。
【0059】
時間処理ユニット(TPU)48は、制御信号をLEDドライブ32に送信し、通常交代でLEDを起動する。ここでも、実施形態に応じて、ドライブは、2つまたは任意のさらなる所望の数のLEDを制御し得る。
【0060】
入力増幅器20から受信した信号は、図3の実施形態に示すように、3つの異なる光波長用に、3つの異なるチャンネルを通過する。あるいは、2つの光波長用に、2つのチャンネル、またはN光波長用に、Nチャンネルを用いてもよい。各チャンネルは、アナログスイッチ40、ローパスフィルタ42およびアナログ/デジタル(A/D)コンバータ38を含む。TPU48からの制御ラインは、対応するLED14が駆動される時間に、適切なチャンネルを同時に選択する。キュー(queued)シリアルモジュール(QSM)46は、A/Dコンバータからのデータラインを介して、チャンネルのそれぞれからデジタルデータを受信する。CPU50は、QSM46が定期的にいっぱいになるため、QSM46からRAM52内にデータを伝送する。一実施形態において、QSM46、TPU48、CPU50およびRAM52は、マイクロコントローラなど、集積回路の一部である。
【0061】
(センサメモリ)
光検出器16およびLED14を含むセンサ15は、このセンサに関するセンサメモリ12を有する。メモリ12は、センサ読み取り器またはモニタ17内のCPU50に接続される。センサ15のボディ内、またはセンサに接続された電気プラグ内に、メモリ12をパッケージ化し得る。あるいは、モニタの外部表面に取り付け可能なハウジング内に、メモリ12をパッケージ化してもよいし、センサボディとモニタとの間の信号パス内の任意の場所に、メモリ12を設置してもよい。特に、いくつかの好適な実施形態によると、センサメモリ12のコンテンツを、特定のセンサモデルと関連したすべてのセンサに対し、一定にすることが可能である。この場合、このモデルと関連した各センサ上に個々のメモリ12を設置する代わりに、センサモデルと関連した再利用可能な延長ケーブル内に、メモリ12を含ませることが可能である。センサモデルが使い捨てセンサである場合、一つのメモリ12を、再利用可能な延長ケーブル内に組み込むことが可能である。次いで、複数の使い捨てセンサによって、再利用可能なケーブルを用いることが可能である。
【0062】
図2は、好適な実施形態による、図1のメモリ12のコンテンツの図である。電子署名60は、センサに関するデータを好適には含む署名と共に、メモリの第1の部分を占める。第2の部分62は、署名およびマスキングされたデータを含む。第3の部分64は、署名されるがクリアなままの(すなわち、マスキングされていない)データを含む。最後に、部分66は、センサ読み取り器によってセンサメモリに書き込むために確保される。部分66は、署名もマスキングもされていない。この好適な実施形態を例示を目的として示し、それぞれが、特定の実施形態の要件によって、署名および/またはマスキングされ得るデジタル信号外の多くの異なるデータブロックを、メモリ12が含み得ることが理解されるべきである。これらの異なるデータブロックを、任意の所望の順序で配列してもよい。例えば、複数の署名されたブロックおよび非署名ブロックを相互配置しても、複数のマスキングブロックおよび非マスキングブロックを相互配置してもよい。センサ読み取り器によってメモリ12に書き込まれたデータが、オプション機能であり、このようなデータは、必要に応じてマスキングされ得ることも理解されるべきである。
【0063】
(工場における署名の書き込み)
図3は、センサメモリ12内に署名を書き込むために、工場において用いられるシステムの一実施形態のブロック図である。図3に示すものは、パーソナルコンピュータ70、および秘密/公開鍵の対の秘密鍵を含み、かつ利用する、関連した暗号化共同プロセッサ72である。秘密鍵は、共同プロセッサ72内のメモリ内に含まれる。セキュリティを維持するために、すべての人がこの鍵を読み取れるわけではないことが好適である。対応する公開鍵は、PC70および共同プロセッサ72の両方にとって既知のものであってもよいし、または共同プロセッサ72によって出力されてもよい。
【0064】
共同プロセッサ72によって署名されたデータは、一つより多いソースから入来し得る。図示するものは、LED光波長、サーミスタ抵抗など、特定のセンサコンポーネント78の値を判定するセンサをテストするためのテスター76である。次いで、これらのデータ値は、ライン80を介して、PC70に供給される。キーボードによって、またはライン84を介して別のデータベースから、さらなる情報82を入力してもよい。このデータは、例えば、センサのシリアル番号、製造日、ロット番号、署名されるべきデータの一部のダイジェスト、または他の情報を含み得る。
【0065】
署名されるべきデータ、およびメモリ12内に含まれるべき他のデータは、PCから暗号化共同プロセッサ72に伝達される。共同プロセッサ72は、署名されたデータからダイジェストを計算し、署名が望ましい秘密鍵、ダイジェストおよび他のデータによって署名する。本明細書に含まれる署名およびデータは、マスキングされた他のデータ、またはそのデータから対称鍵が取得され得る情報用に対称鍵を含み得る。共同プロセッサは、署名をPC70に伝送し返す。PC70は好適には、署名内に含まれないデータのいくつかをマスキングし、マスキングされたデータ、署名およびクリアデータを組み合わせ、これらすべてを、ライン86上のメモリ12に伝送する。
【0066】
図4は、図3のシステムの動作を示す図である。図5は、図4の方法による、データフローを示す。
【0067】
最初に、センサはテストされ、LED光波長などのセンサの測定されたパラメータ88が提供される。次に、任意の他のデータ89が入力される。次いで、データはソーティングされる(工程90)。このソーティングによって、署名されるべき第1のデータ91、マスキングされるべき第2のデータ92、および、クリアになる、すなわち、マスキングも署名もされない、第3のデータ93が生じる。製造の間、またはセンサが用いられた後の読み出し/解読工程の間に、データ91、92、93のいずれかにおいて、エラーが生じないことを検証するために、ダイジェスト95が、製造の間に、データ91、92、93すべてから、製造され(工程94)、署名内に含まれる。ダイジェストは、データ91、92、93に適用されたハッシュ関数の出力として生成される。ダイジェストを複雑なCRCと比較することが可能である。解読後に、モニタによってデータおよびダイジェストを後に読み取る場合において、データ91、92、93のいずれかにおいて1ビットより大きなエラーが生じると、モニタが読み取られたデータから生成する第2のダイジェストは、メモリから抽出されたダイジェストに対応せず、これゆえに、1つ以上のエラーが、書き込みプロセスまたは署名検証プロセスのどこかで生じたことが示される。適切なハッシュ関数の例は、SHA−1であり、これは、Federal Information Processing
Standard Publication FIPS, PUB 180−1、「Secure Hash Standard」、National Institute of Standards & Technology、1995年に記載されている。ダイジェスト95およびデータ91は、工程100において追加されたフォーマッティングデータ99と共に署名されて、工程96において署名101を生成する。フォーマッティングデータは、例えば、International Standard ISO/IEC 9796−2の電子署名用の規格によって、工程100において追加される。データ92は、工程103においてマスキングされる。次いで、この署名101、マスキングデータ103およびクリアデータ93を、共同プロセッサ72およびPC70によって組み合わせ、センサメモリ12内に格納する。
【0068】
データを署名するために用いられる秘密鍵は好適には、Rabin−Williams電子署名アルゴリズム(ISO9796−2に記載される一例)である。
【0069】
一実施形態において、署名されるべき元のデータブロック、ブロック91は、73バイトより少ないバイトに、20バイトのダイジェストを加算し、3バイトのフォーマッティングデータ99を加算したものである。これによって、96バイトの署名メッセージが生じる。より長い署名、例えば、128バイトを有する署名(うち、有用なデータ91として106バイトが受信可能である)も用いることが可能である。署名の長さは、所望のセキュリティの程度およびモニタの解読能力の量に依存する。
【0070】
(フィールド内の読み取り器/モニタによる署名読み取り)
図6は、患者に用いられる場合に、電子署名を検証し、センサからデータを回復するためのセンサ読み取り器またはモニタ17の一部を示す。まずデータをセンサメモリから取り出して、CPU50によってメモリ110内に格納する。センサ読み取り器は、メモリ112内に公開鍵を有し、この公開鍵は通常、モニタの製造時にロードされるか、モニタのアップグレードとして提供される。署名検証およびデータ回復プログラムは、メモリ114の一部内に格納される。
【0071】
図7は、署名検証の動作、および図6のメモリ部分114のデータ回復プログラムを示す。図8は、図7のフローチャートによる、データの移動を示す図である。工程106において、データはまず、センサメモリから取り出される。署名101、マスキングデータ107およびクリアデータ93から形成される、取り出されたデータ102を、図8に示す。次いで、公開鍵112を、モニタのメモリから取り出す(工程108)。
【0072】
次いで、署名データ91およびメモリダイジェスト95を取得するために、署名および公開鍵を、暗号化変形に入力として提供する(工程109)。
【0073】
メモリダイジェストを、マスキングデータ対称鍵を判定するために用い、次いで、この鍵を、マスキングデータ107を解読して、マスキングされた元のデータ92を取得するために用いる(工程116)。
【0074】
データ91、92、93すべての正確さを検証するために、次いで、ハッシュ関数118を用いて、モニタによって、解読された署名データ91、非マスキングデータ92およびクリアデータ93から、第2のダイジェストを生成する(工程120)。これにより、工程124において、元のダイジェスト95(メモリから読み出される)と比較され得る、新たなダイジェスト122が生成される。ダイジェストが同じである場合、署名が検証されて、メッセージ(組み合わされたデータ91、92、93)が認証される(工程126)。次いで、モニタは、動作においてこのメッセージを用いる。一方、ダイジェストが同じでない場合、メッセージは不正であると判定されて、モニタは、モニタユーザに不良センサ信号を示し、このメッセージを用いない(工程128)。
【0075】
見受けられ得るように、本発明は一意的に、センサ、特にパルスオキシメーターに、電子署名を付与する。センサへの一意的な付与によって、センサ読み取り器/モニタが、メッセージ(データ)の認証性、ソースに関する信頼性およびセンサの品質を検証し、革新的ではないセンサの製造業者が、感度センサの仕様情報を容易に発見したり、間違って用いることから守る。
【0076】
(署名フィールド)
図9は、署名データ91、ダイジェスト95およびフォーマッティングデータ99の一実施形態をより詳細に示す。特に、署名データ91は、任意の数のフィールド132、続いてCRC134に分割される。各フィールド132は、フィールド内にあるデータの種類を識別する、1バイトのフィールドID136を含む。1ビット138は、フィールドが必須であるか否かを示す。次に、ブロック140内に7ビットがあり、これにより、フィールドの長さが識別される。最後に、フィールドデータが、1バイトのブロック142内に提供される。
【0077】
動作の間、既存のモニタまたはセンサ読み取り器が、特定のフィールドID136を処理することができないか、特定のフィールドID136を認識しない場合、フィールドの長さ140を探し、次のフィールドに到着するためにどのぐらいのデータをスキップするかを算定することが可能である。しかし、モニタまたはセンサ読み取り器はまず、必須のビット138をチェックし、このデータがセンサの動作に必須であるか否かを判定する。このデータが必須である場合、モニタまたはセンサ読み取り器は、取り付けられたセンサを正しく読み取ることができないことを示す、エラーメッセージを生成する。このデータが必須でない場合、モニタまたはセンサ読み取り器は単に、このデータフィールドを無視する。
【0078】
したがって、このフィールドフォーマットは、署名データブロック内にデータをパッキングする際に柔軟性を提供し、さらに、既存のセンサ読み取り器および未来の世代のセンサおよびモニタとのアップグレードの可能性および互換性も提供する。
【0079】
一実施形態において、選択された値のフィールド識別子は、次の文字が拡張された組の識別子であることを示す「エスケープ文字」として指定される。これにより、固定アドレスに頼る必要なく、メッセージ内に含まれるフィールドを、追加、削除、移動、圧縮または伸長する能力が可能となる。
【0080】
(データの種類)
以下は、一実施形態におけるメモリ12内に含まれ得るデータの種類の例である。
【0081】
パルスオキシメーターの飽和率計算用の式に適用されるべき実際の係数またはデータを格納してもよい。測定されたLED光波長に対応した値を格納する代わりに、これらの係数を格納する。この結果、較正曲線が、計器内に提供された小さな一組の曲線に制限されないため、センサの設計の柔軟性が著しく増す。
【0082】
係数に代わって、または係数に追加して、LED光波長を単に格納してもよい。さらに、二次放出光波長の特徴および他のLEDパラメータを格納してもよい。
【0083】
特定のセンサは、センサ温度用の較正曲線の補償などを目的として、低温度を測定するため、または患者のやけどを防ぐために用いられるサーミスタを有し得る。サーミスタ用の較正係数を格納してもよい。
【0084】
メモリ12内に含まれ得る他のデータは、例えば、センサのトレーサビリティーを可能にするロットコード、不良センサフラグ、製造日、製造テスト情報、署名に用いられる署名ソフトウェアプログラムのバージョン、LED転送V/I特徴、LED光源特徴、検出器の能率特徴、最大限に安全なLED電力、センサデータが設定するレビジョンレベル(センサ内に含まれる特徴を示す)、センサモデルID、大人/新生児クエリフラグ(新生児または大人がモニタリングされるか否かに応じて、所望の警告限界範囲をパルス酸素計測法に対する異なる通常の酸素飽和率レベルによって、トリガーする)、ライトワンス/ライトメニーフラグ(write once/write many flag)、ページサイズ、複数のページおよび最大数のリサイクルイベントを含み得る。
【0085】
あるいは、上述または引用した従来技術の参考文献内に記載する任意のデータの種類を用い、マスキングデータ92、署名データ91、またはクリアデータ93のいずれかに格納してもよい。
【0086】
図10は、アダプタ内に電子署名を有するアダプタを組み込んだセンサシステムのブロック図である。図10は、アダプタ204に接続されたセンサ202(アダプタ204は次いで、モニタ206に接続される)を示す。アダプタは、信号回路検査208、電子署名210を備えたメモリおよび内部モニタ212を含む。このようなアダプタの一つの使用法は、電子署名なしで、このようなアダプタに接続されるように設計されたクラスのセンサ向けのものである。アダプタ自体は、外部モニタ206に電子署名を提供し得る。したがって、例えば、各センサが認定される代わりに、外部モニタに認定を提供するアダプタによって、センサが認定されていることを判定する異なる方法を用いることが可能である。
【0087】
図10に示す実施形態において、アダプタは、内部モニタ212も含む。フィールド内の外部モニタ206によって提供される出力または表示とは異なるか、またはフィールド内の外部モニタ206によって提供される出力または表示の変種である、出力表示または他の信号を提供するために、この内部モニタを用いることが可能である。2つのモニタによる任意の出力または表示が一致していることを保証するには、信号検査ブロック208は、センサ信号を改変し得、これにより、その改変された形態において、ライン214上の外部モニタ206への信号出力により、外部モニタ206が内部モニタ212によって生成された出力信号に対応した出力信号を生成する。例えば、パルス酸素計測法の値に対応したセンサ202から、患者の信号を取得することが可能である。合成AC信号(これは、ブロック208が外部モニタ206に送信する)を生成するブロック208によって、内部モニタ212上で、推定の飽和率および心拍数を生成することが可能である。合成信号の構築は、外部モニタが、内部モニタ212と同様の心拍数および飽和率を計算することを保証するように、行われる。
【0088】
電子署名は、フィルターされていない患者のデータ、フィルターされた患者のデータ、合成の患者の生理的信号または任意の他のデータを含む任意のデータの署名であり得る。
【0089】
当業者であれば、本発明は、本発明の本質的な特徴から逸脱することなく、他の特定の形態で具現化され得ることを理解する。したがって、上述した説明は、上掲の特許請求の範囲内に記述する本発明の範囲内であり、例示的であるが、本発明を限定することを意図しない。
【特許請求の範囲】
【請求項1】
センサを動作させるための方法であって、
該センサと関連したメモリ内のデータの少なくとも1つのフィールドを格納することと、
該データのフィールド内に必須/オプションのフラグを格納することと、
センサ読み取り器によって、該フラグを読み取ることと、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドがオプションであることを示す場合、該データのフィールドを無視することと、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドが必須であることを示す場合、該センサを用いることが出来ないことを示すエラー信号を生成することと
を包含する、方法。
【請求項2】
前記フィールドと関連したフィールドの長さを格納することと、
該フィールドの長さを読み取ることと、
前記センサ読み取り器が該フィールドを認識せず、前記フラグが該フィールドがオプションであることを示す場合、該フィールドの長さを用いることによって、該フィールドをスキップすることと
をさらに包含する、請求項1に記載の方法。
【請求項1】
センサを動作させるための方法であって、
該センサと関連したメモリ内のデータの少なくとも1つのフィールドを格納することと、
該データのフィールド内に必須/オプションのフラグを格納することと、
センサ読み取り器によって、該フラグを読み取ることと、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドがオプションであることを示す場合、該データのフィールドを無視することと、
該センサ読み取り器が該データのフィールドを認識せず、該フラグが該フィールドが必須であることを示す場合、該センサを用いることが出来ないことを示すエラー信号を生成することと
を包含する、方法。
【請求項2】
前記フィールドと関連したフィールドの長さを格納することと、
該フィールドの長さを読み取ることと、
前記センサ読み取り器が該フィールドを認識せず、前記フラグが該フィールドがオプションであることを示す場合、該フィールドの長さを用いることによって、該フィールドをスキップすることと
をさらに包含する、請求項1に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−62547(P2011−62547A)
【公開日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願番号】特願2010−277547(P2010−277547)
【出願日】平成22年12月13日(2010.12.13)
【分割の表示】特願2001−526093(P2001−526093)の分割
【原出願日】平成12年9月28日(2000.9.28)
【出願人】(595181003)マリンクロッド・インコーポレイテッド (203)
【氏名又は名称原語表記】Mallinckrodt INC.
【Fターム(参考)】
【公開日】平成23年3月31日(2011.3.31)
【国際特許分類】
【出願日】平成22年12月13日(2010.12.13)
【分割の表示】特願2001−526093(P2001−526093)の分割
【原出願日】平成12年9月28日(2000.9.28)
【出願人】(595181003)マリンクロッド・インコーポレイテッド (203)
【氏名又は名称原語表記】Mallinckrodt INC.
【Fターム(参考)】
[ Back to top ]