Funktionale Sicherheit

Das Risiko funkt mit

1. Juli 2019, 16:00 Uhr | Thorsten Langenhan (AVQ)

Fortsetzung des Artikels von Teil 1

Eigenschaften von Datenfunkverbindungen

Als Referenzmodell für Netzwerkprotokolle als Schichtenarchitektur dient das ISO Open System Interconnection Model (OSI). Es zeigt die jeweiligen Schichten der physikalischen, elektrischen und softwaretechnischen Verarbeitung von paketorientierten Datenverbindungen an, die jeder Funkdatenverbindung zugrunde liegen. Diese erstrecken sich von der Eingabe der Daten in der Anwendungsschicht (7) über verschiedene Protokollzusätze der Betriebssystemsoftware (6-2) bis hin zur elektrisch-physikalischen Ebene, in der das Bit als Funkwelle übertragen wird und entsprechend der Gliederung beim Empfänger wieder aufgeschlüsselt wird, bis die Daten in der Anwendungsschicht des Empfängers die erhoffte positive Wirkung beim Patienten erzielen können.

In dieser physikalischen Schicht bestimmen die Eigenschaften des allgemeinen Kurzstreckenfunks das Geschehen: die Reichweite, die Richtung der Ausstrahlung, die Ausrichtung und die Zuverlässigkeit der Funkstrecke. Die Reichweite wird durch die Sendeleistung bestimmt, die durch die sonstigen Vorschriften zur EMV und zu Funksendern beschränkt ist. Durch eine spezielle Antenne beziehungsweise deren Charakteristik kann die Funkreichweite zwar erhöht werden, jedoch kommen dann die Feinheiten der Ausrichtung zum Tragen. Die »Funkkeule« sollte so gerichtet sein, dass sie den Empfänger gut erreicht. Auf diesem direkten Weg können sonstige Hindernisse der Zuverlässigkeit der Funkstrecke entgegenstehen, beispielsweise verbauter Stahlbeton in Bauten oder sonstige metallene Gegenstände oder andere Funkobjekte.

Der paketorientierte Datenfunk ist in den meisten Fällen bidirektional organisiert. Das bedeutet, dass nicht nur der Sender dem Empfänger etwas sendet, sondern der Empfänger auch dem Sender den Empfang bestätigt. Diese Empfangsbestätigung kann gemäß des Schichtmodells über mehrere Ebenen reichen, je nachdem welche Protokolle in den Schichten 2-4 verwendet werden. Die Sitzungsschicht (5) hat noch die Eigenschaft, dass, bevor die Daten weitergeleitet werden, eine valide Sitzung mit Authentifizierung durchzuführen ist. Was eine Anmeldeprozedur mit entsprechender Verzögerung zur Folge hat.

AVQ
Bildliche Darstellung von möglichen Verbindungsstörungen durch die gegenseitige Beeinflussung mehrerer Sender.
© AVQ-Akademie

Fehlerbetrachtungen

Aus diesen Eigenschaften ergibt sich die Fehlerbetrachtung. Eine einzige Datenfunkverbindung, die korrekt aufgesetzt wurde, mag hinreichend zuverlässig funktionieren. Wenn viele Datenfunkverbindungen aufgebaut werden, dann kann es jedoch zu gegenseitigen Beeinflussungen kommen, beispielsweise bei dem Übergang von einem Repeater auf einen anderen oder durch eine temporäre Funkabschattung, die die Wiederanmeldung in der Sitzungsschicht des Empfängers erfordert. Das kann zu erheblichen Verzögerungen in der Datenzulieferung führen.

Für Datenfunkverbindungen gelten ebenso die Fehlerfolgen digitaler Datenverbindungen, diese sind im Wesentlichen Verfälschung und Zeitablauf. Erstere kann im Datensegment auftreten, dann werden die transportierten Daten verfälscht. Die Verfälschung kann ebenso im Steuersegment auftreten, dann werden die Daten gegebenenfalls an einen falschen Adressaten geliefert. Die Anforderungen der funktionalen Sicherheit sehen als Gegenmittel für die Entwicklung die Verwendung von fehlererkennenden und -korrigierenden Codes (englisch: error detecting and correcting code) vor, wie sie beispielsweise durch die zyklische Redundanzprüfung (englisch: cyclic redundancy checks, CRC) erreicht werden können. Es stellt sich dabei insbesondere die Frage, ob das Empfängergerät so entwickelt worden ist, dass es diese Codes nutzt und verfälschte Daten auch als solche erkennt.

Die Fehlerfolge Zeitablauf kann durch Unterbrechung der Datenverbindung geschehen, ebenso durch die Unterbrechung der Sitzung (Sitzungsschicht) oder dadurch, dass als falsch erkannte Datenpakete nochmals angefordert werden müssen oder wegen einer fehlerhaften Adressierung noch keine Empfangsquittierung erfolgt ist. Für den Zeitablauf gilt als weitere Fehlerfolge, dass sich die Frage stellt, ob eine Wirkung rechtzeitig eingeleitet werden kann, um das Safety-Ziel nicht zu verletzen, also den Patienten nicht unnötig zu schädigen.

Die angesprochenen Fehlerfälle sind an sich recht trivial und sowohl dem Physiker als auch beispielsweise dem Nutzer eines Bluetooth-Kopfhörers wohlbekannt. Nichtsdestotrotz kann dieses triviale Wissen verloren gehen, wenn neue teure Medizingeräte beschafft werden und durch die Attribute »neu« und »teuer« automatisch davon ausgegangen wird, dass damit auch grundsätzliche, triviale Probleme bereits gelöst sind.

Üblicherweise sollten Hersteller die genannten Fehlerfälle in Benutzungsanweisungen aufführen und mit Nutzungseinschränkungen oder deutlichen Hinweisen für den Betrieb versehen. Ob diese Betrachtungen auch in einer Risikoanalyse zum Betrieb des Gerätes verwendet werden, obliegt den Betreibern.

Szenarien

Aus der oben genannten VDE-Studie sind folgende Szenarien und deren Risiken zu bewerten:

  • Im Krankenhaus wird die komplexe, unübersichtliche Verkabelung gegen eine neue WLAN-Vernetzung für die IT-Systeme ausgetauscht, somit gegebenenfalls auch für das Patientendateninformationssystem (PDIS). Es stellt sich die Frage, ob zu jedem Zeitpunkt die korrekten Daten auch zur rechten Zeit am rechten Platz verfügbar sind.
  • Für die Telemedizin stellt sich die Frage, ob bei einer Sensorbild-Interpretation durch einen am entfernten Ort weilenden Arzt tatsächlich ein unverfälschtes und aktuelles Bild korrekt wiedergegeben wird.
  • Bei mobilen Anwendungen am Patienten wie Herzschrittmacher oder Patientendaten-Monitoringsysteme (PDMS), die eine Datenfunkschnittstelle nutzen, sollten Überlegungen zur Korrektheit der Daten beim Empfängersystem eingepflegt werden und die Reaktion beim Ausbleiben der Daten gegebenenfalls durch einen Funkschatten wohl überlegt werden.

Fazit & Ausblick

Für Datenfunkunterbrechungen sollte ein sicherer Zustand definiert und auch erreichbar sein. Sofern eine dauerhafte Verbindung zum Patienten sicherheitsrelevant ist, sollte die Verbindung weiterhin besser verkabelt sein. Auf jeden Fall sollten entsprechende Risikomanagement-Bewertungen die Charakteristiken von verwendeten Datenfunknetzen berücksichtigen.

Als Ausblick sei auf die neu erschienene Spezifikation des 5G-Mobilfunks verwiesen, die mit Eigenschaften wie »ultra-reliable machine-type communication (U-MTC)« und »radio link latency reaching a target ≤ 1 ms« Werbung für sich macht. Es ist abzusehen, dass auch dieser Standard den angesprochenen Trivialfehlern nicht ausweichen kann und somit die angesprochenen Erwägungen weiter in einer Risikoanalyse durchgeführt werden müssen.

Zuerst gesehen

Dieser Beitrag stammt aus der Medizin+elektronik Nr. 3 vom 02.05.2019.

Hier geht’s zur vollständigen Ausgabe.

 


  1. Das Risiko funkt mit
  2. Eigenschaften von Datenfunkverbindungen

Verwandte Artikel

elektroniknet