Als Referenzmodell für Netzwerkprotokolle als Schichtenarchitektur dient das ISO Open System Interconnection Model (OSI). Es zeigt die jeweiligen Schichten der physikalischen, elektrischen und softwaretechnischen Verarbeitung von paketorientierten Datenverbindungen an, die jeder Funkdatenverbindung zugrunde liegen. Diese erstrecken sich von der Eingabe der Daten in der Anwendungsschicht (7) über verschiedene Protokollzusätze der Betriebssystemsoftware (6-2) bis hin zur elektrisch-physikalischen Ebene, in der das Bit als Funkwelle übertragen wird und entsprechend der Gliederung beim Empfänger wieder aufgeschlüsselt wird, bis die Daten in der Anwendungsschicht des Empfängers die erhoffte positive Wirkung beim Patienten erzielen können.
In dieser physikalischen Schicht bestimmen die Eigenschaften des allgemeinen Kurzstreckenfunks das Geschehen: die Reichweite, die Richtung der Ausstrahlung, die Ausrichtung und die Zuverlässigkeit der Funkstrecke. Die Reichweite wird durch die Sendeleistung bestimmt, die durch die sonstigen Vorschriften zur EMV und zu Funksendern beschränkt ist. Durch eine spezielle Antenne beziehungsweise deren Charakteristik kann die Funkreichweite zwar erhöht werden, jedoch kommen dann die Feinheiten der Ausrichtung zum Tragen. Die »Funkkeule« sollte so gerichtet sein, dass sie den Empfänger gut erreicht. Auf diesem direkten Weg können sonstige Hindernisse der Zuverlässigkeit der Funkstrecke entgegenstehen, beispielsweise verbauter Stahlbeton in Bauten oder sonstige metallene Gegenstände oder andere Funkobjekte.
Der paketorientierte Datenfunk ist in den meisten Fällen bidirektional organisiert. Das bedeutet, dass nicht nur der Sender dem Empfänger etwas sendet, sondern der Empfänger auch dem Sender den Empfang bestätigt. Diese Empfangsbestätigung kann gemäß des Schichtmodells über mehrere Ebenen reichen, je nachdem welche Protokolle in den Schichten 2-4 verwendet werden. Die Sitzungsschicht (5) hat noch die Eigenschaft, dass, bevor die Daten weitergeleitet werden, eine valide Sitzung mit Authentifizierung durchzuführen ist. Was eine Anmeldeprozedur mit entsprechender Verzögerung zur Folge hat.
Fehlerbetrachtungen
Aus diesen Eigenschaften ergibt sich die Fehlerbetrachtung. Eine einzige Datenfunkverbindung, die korrekt aufgesetzt wurde, mag hinreichend zuverlässig funktionieren. Wenn viele Datenfunkverbindungen aufgebaut werden, dann kann es jedoch zu gegenseitigen Beeinflussungen kommen, beispielsweise bei dem Übergang von einem Repeater auf einen anderen oder durch eine temporäre Funkabschattung, die die Wiederanmeldung in der Sitzungsschicht des Empfängers erfordert. Das kann zu erheblichen Verzögerungen in der Datenzulieferung führen.
Für Datenfunkverbindungen gelten ebenso die Fehlerfolgen digitaler Datenverbindungen, diese sind im Wesentlichen Verfälschung und Zeitablauf. Erstere kann im Datensegment auftreten, dann werden die transportierten Daten verfälscht. Die Verfälschung kann ebenso im Steuersegment auftreten, dann werden die Daten gegebenenfalls an einen falschen Adressaten geliefert. Die Anforderungen der funktionalen Sicherheit sehen als Gegenmittel für die Entwicklung die Verwendung von fehlererkennenden und -korrigierenden Codes (englisch: error detecting and correcting code) vor, wie sie beispielsweise durch die zyklische Redundanzprüfung (englisch: cyclic redundancy checks, CRC) erreicht werden können. Es stellt sich dabei insbesondere die Frage, ob das Empfängergerät so entwickelt worden ist, dass es diese Codes nutzt und verfälschte Daten auch als solche erkennt.
Die Fehlerfolge Zeitablauf kann durch Unterbrechung der Datenverbindung geschehen, ebenso durch die Unterbrechung der Sitzung (Sitzungsschicht) oder dadurch, dass als falsch erkannte Datenpakete nochmals angefordert werden müssen oder wegen einer fehlerhaften Adressierung noch keine Empfangsquittierung erfolgt ist. Für den Zeitablauf gilt als weitere Fehlerfolge, dass sich die Frage stellt, ob eine Wirkung rechtzeitig eingeleitet werden kann, um das Safety-Ziel nicht zu verletzen, also den Patienten nicht unnötig zu schädigen.
Die angesprochenen Fehlerfälle sind an sich recht trivial und sowohl dem Physiker als auch beispielsweise dem Nutzer eines Bluetooth-Kopfhörers wohlbekannt. Nichtsdestotrotz kann dieses triviale Wissen verloren gehen, wenn neue teure Medizingeräte beschafft werden und durch die Attribute »neu« und »teuer« automatisch davon ausgegangen wird, dass damit auch grundsätzliche, triviale Probleme bereits gelöst sind.
Üblicherweise sollten Hersteller die genannten Fehlerfälle in Benutzungsanweisungen aufführen und mit Nutzungseinschränkungen oder deutlichen Hinweisen für den Betrieb versehen. Ob diese Betrachtungen auch in einer Risikoanalyse zum Betrieb des Gerätes verwendet werden, obliegt den Betreibern.
Szenarien
Aus der oben genannten VDE-Studie sind folgende Szenarien und deren Risiken zu bewerten:
Fazit & Ausblick
Für Datenfunkunterbrechungen sollte ein sicherer Zustand definiert und auch erreichbar sein. Sofern eine dauerhafte Verbindung zum Patienten sicherheitsrelevant ist, sollte die Verbindung weiterhin besser verkabelt sein. Auf jeden Fall sollten entsprechende Risikomanagement-Bewertungen die Charakteristiken von verwendeten Datenfunknetzen berücksichtigen.
Als Ausblick sei auf die neu erschienene Spezifikation des 5G-Mobilfunks verwiesen, die mit Eigenschaften wie »ultra-reliable machine-type communication (U-MTC)« und »radio link latency reaching a target ≤ 1 ms« Werbung für sich macht. Es ist abzusehen, dass auch dieser Standard den angesprochenen Trivialfehlern nicht ausweichen kann und somit die angesprochenen Erwägungen weiter in einer Risikoanalyse durchgeführt werden müssen.
Zuerst gesehen |
---|
Dieser Beitrag stammt aus der Medizin+elektronik Nr. 3 vom 02.05.2019. |