Способ генерирования контрольного сигнала с использованием контролирующего средства или модуля безопасности

Область техники, к которой относится изобретение

Настоящее изобретение относится к генерированию контрольного сигнала при мониторировании лабораторных показателей пациента с использованием медицинского приложения (в процессе чего выполнение этого медицинского приложения контролируется с помощью контролирующего средства или модуля безопасности) и медицинской системы, такой как система инфузионного насоса, в частности система инсулиновой помпы.

Уровень техники

Современные медицинские устройства, такие, например, как инсулиновые помпы, приобретают все меньшие размеры. Вследствие этого органы управления таких небольших устройств могут оказаться слишком малыми для манипуляции ими пациентом. Поэтому в некоторых случаях управление этими медицинскими устройствами целесообразно осуществлять с помощью отдельного устройства, например мобильного устройства, соединенного с медицинским устройством. Например, медицинскими устройствами сегодня можно управлять с помощью смартфона. Тем не менее, поскольку медицинские устройства могут осуществлять жизненно важные для пациента действия, такие как введение ему лекарственного средства, может оказаться необходимым контролировать ход выполнения медицинской программы (работу медицинского приложения) в смартфоне в связи с тем, что при разработке смартфонов, как правило, не учитываются нормы для создания безопасного медицинского изделия, содержащего программное обеспечение, в соответствии с таким стандартом как IEC 62304.

Инфузионный насос представляет собой медицинское устройство, используемое для введения в организм пациента контролируемого количества жидкостей, таких как питательные вещества и лекарственные средства. Инфузионные насосы широко используются как в клинической практике, например в больницах и домах престарелых, так и в домашних условиях.

Работой инфузионного насоса обычно управляет обученный пользователь, программирующий скорость и продолжительность введения жидкости с помощью встроенного программного интерфейса. Использование инфузионных насосов обеспечивает значительные преимущества по сравнению с введением жидкостей вручную, включающие возможность введения очень малых объемов жидкостей и введения жидкостей с точно запрограммированной скоростью или через автоматически отсчитываемые промежутки времени. Эти насосы могут осуществлять введение питательных веществ или лекарственных средств, таких как инсулин или другие гормоны, антибиотики, препараты, используемые для проведения химиотерапии, и болеутоляющие средства.

Существует множество типов инфузионных насосов, в том числе насосы больших объемов, насосы для контролируемой пациентом анальгезии - РСА (от англ. Patient-Controlled Analgesia), эластомерные насосы, шприцевые насосы, инфузионные насосы с функцией энтерального питания и инсулиновые помпы. Некоторые из этих насосов предназначены, главным образом, для стационарного использования у постели лежачего пациента. Другие, называемые амбулаторными инфузионными насосами, предназначены для переноски или ношения на себе.

В связи с тем, что инфузионные насосы часто используют для введения жизненно важных жидкостей, в том числе проводя лекарственную терапию с высокой степенью риска, неисправность такого насоса может иметь серьезные последствия для безопасности пациента. Многие инфузионные насосы оснащены средствами обеспечения безопасности, такими как тревожная сигнализация или иные средства оповещения пользователя, активируемые в случае возникновения какой-либо проблемы. Например, в конструкции некоторых насосов предусмотрено оповещение пользователя об образовании воздушной или иной пробки в трубке, по которой жидкость вводится пациенту. В некоторых новейших инфузионных насосах, часто называемых "умными" насосами, предусмотрено оповещение пользователя в случае возникновения риска неблагоприятного взаимодействия лекарств или установки пользователем параметров насоса вне предписанных пределов безопасности.

Помповая инсулинотерапия, часто называемая методом непрерывной подкожной инфузии инсулина, или методом CSII (от англ. Continuous Subcutaneous Insulin Infusion), полностью имитирует естественную работу

поджелудочной железы, обеспечивая непрерывную подачу в организм пациента инсулина, в том числе, по мере необходимости, дополнительных доз последнего.

При использовании переносной инсулиновой помпы отпадает необходимость в инъекциях. Вместо этого насос осуществляет управляемую непрерывную подачу в организм пациента необходимого ему инсулина через вводимую подкожно канюлю.

Один из способов контроля выполнения компьютерной программы известен под названием "программирование COMEFROM". В этом способе отдельные подпроцессы компьютерной программы передают промежуточные результаты выполнения данного подпроцесса следующему процессу, причем в ходе этого процесса-адресата может быть выполнена проверка, разрешен ли вызов следующего процесса в настоящее время. В результате выполнение компьютерной программы как целого контролируется отдельными модулями этой компьютерной программы, проверяющими правильность последовательности их активации. Когда же число последовательностей процессов превышает единицу, причем отдельные процессы двух последовательностей воздействуют друг на друга, способ COMEFROM становится неэффективным, поскольку в нем, как правило, не предусмотрено взаимодействие между модулями отдельных последовательностей. Поскольку, кроме того, существует вероятность возникновения ситуации, когда некоторые процессы из первой последовательности могут быть выполнены только в случае выполнения ряда отдельных процессов из другой последовательности, способ COMEFROM не обеспечивает удовлетворительных результатов.

Раскрытие сущности изобретения

Изобретение относится к способу генерирования контрольного сигнала при мониторировании лабораторных показателей пациента с использованием мобильного устройства и контролирующего средства или модуля безопасности, а также к соответствующей системе, включающей мобильное устройство и контролирующее средство или модуль безопасности. Варианты осуществления изобретения приведены в зависимых пунктах формулы изобретения.

В отношении настоящей заявки испрашивается приоритет по дате подачи патентной заявки ЕР 14184795, содержание которой полностью включено в настоящую заявку путем ссылки.

Согласно изобретению контрольный сигнал генерируется при мониторировании лабораторных показателей пациента с использованием

медицинского приложения. Медицинское приложение выполняется в мобильном устройстве пациента под наблюдением контролирующего средства. Контролирующее средство содержит по меньшей мере исполняемые программные команды, а медицинское приложение содержит исполняемые команды для выполнения по меньшей мере одной последовательности процессов, которые включают процессы измерения по меньшей мере одного лабораторного показателя пациента, сравнения измеренных значений с заданным диапазоном допустимых значений и генерирования контрольного сигнала в ответ на обнаружение выхода по меньшей мере одного из измеренных значений за пределы этого заданного диапазона. Способ генерирования контрольного сигнала также включает этапы выполнения первого процесса из последовательности процессов, причем результатом указанного выполнения является генерирование информации. Информация о выполненном процессе после этого посылается в контролирующее средство и оценивается последним. В зависимости от результата указанной оценки затем может быть начато выполнение второго процесса из последовательности процессов.

Согласно изобретению контрольный сигнал генерируется при мониторировании лабораторных показателей пациента с использованием медицинского приложения. Медицинское приложение выполняется в мобильном устройстве пациента под наблюдением контролирующего средства или модуля безопасности. Контролирующее средство или модуль безопасности содержит по меньшей мере исполняемые программные команды, а медицинское приложение содержит исполняемые команды для выполнения по меньшей мере одной последовательности процессов для генерирования контрольного сигнала, причем указанные процессы включают процессы, критически важные с точки зрения безопасности. Последовательность процессов запускается путем выполнения измерения уровня гликемии пациента. В некоторых вариантах осуществления изобретения последовательность процессов включает процессы измерения или определения по меньшей мере одного лабораторного показателя пациента, сравнения измеренного или определенного значения с заданным диапазоном допустимых значений и генерирования контрольного сигнала в ответ на обнаружение выхода по меньшей мере одного из измеренных или определенных значений за пределы этого заданного диапазона. Способ генерирования контрольного сигнала также включает этапы выполнения первого процесса из последовательности процессов, причем результатом указанного выполнения

является генерирование информации. Информация о выполнении процесса после этого посылается в контролирующее средство или модуль безопасности и оценивается им. В зависимости от результата указанной оценки затем может быть начато выполнение второго процесса из последовательности процессов.

В соответствии с изобретением процессам последовательности присваивают идентификаторы, причем контролирующее средство или модуль безопасности получает возможность доступа к таблице последовательностей. Таблица последовательностей содержит записи, определяющие допустимые и запрещенные последовательности процессов, причем информация, получаемая контролирующим средством или модулем безопасности и относящаяся к выполненным процессам, включает идентификатор второго процесса, который будет выполняться вслед за первым процессом. Затем контролирующее средство или модуль безопасности путем проведения поиска в таблице последовательностей проверяет, может ли второй процесс вслед быть выполнен за первым процессом. В случае обнаружения недопустимости выполнения второго процесса вслед за первым процессом контролирующее средство или модуль безопасности прерывает выполнение последовательности.

Существует также возможность пересылки процессами, подлежащими выполнению, своего идентификатора в контролирующее средство или модуль безопасности с целью проверки последним допустимости выполнения в данный момент только что запущенного процесса. В этом случае может быть необходимо, чтобы время реагирования контролирующего средства или модуля безопасности было меньше времени выполнения процесса, поскольку в противном случае контролирующее средство или модуль безопасности окажется не в состоянии прервать выполнение процесса до его завершения.

Изобретение в различных вариантах его осуществления обеспечивает то преимущество, что благодаря сличению идентификаторов процессов и проверке правильности порядка их выполнения ни один процесс не будет выполнен слишком рано, например до выполнения другого процесса, необходимого для выполнения второго процесса. Как следствие, можно избежать пропуска критически важного процесса. В этом случае таблица последовательностей может также содержать записи, определяющие процессы из другой последовательности, которые должны быть выполнены до выполнения какого-либо процесса из первой последовательности. Таким образом, предусмотрено также выполнение контролирующего средства или модуля безопасности с

возможностью проверки правильности порядка выполнения процессов из некоторой совокупности последовательностей.

Кроме того, одним из преимуществ настоящего изобретения является использование центрального контролирующего средства или модуля безопасности, получающего информацию о каждом выполненном процессе. В зависимости от этой информации контролирующее средство или модуль безопасности затем определяет, может ли быть выполнен следующий процесс из последовательности процессов. Следует отметить, что это также относится к случаю параллельного выполнения более чем одной последовательности процессов. Например, в случае двух последовательностей контролирующее средство или модуль безопасности получает информацию о процессах из обеих последовательностей и может затем принять основанное на этой информации решение, могут ли быть выполнены следующие процессы. В результате может, например, оказаться, что какой-либо процесс из первой последовательности процессов выполняется лишь в том случае, если уже завершено выполнение ряда процессов из второй последовательности, на что указывает информация, полученная контролирующим средством или модулем безопасности. Так, в частности, процессы, критически важные с точки зрения безопасности, выполняются только в случае соблюдения всех требований для их выполнения, таких, например, как предварительное выполнение других процессов.

В контексте вышесказанного под процессом, критически важным с точки зрения безопасности, может пониматься процесс, могущий причинить вред пациенту в случае ненадлежащего его выполнения. Допустим, например, что мобильное устройство представляет собой смартфон пациента, страдающего от диабета. Медицинское приложение, выполняемое в этом смартфоне, может быть, например, адаптировано для получения данных измерений из устройства, предназначенного для непрерывного измерения уровня гликемии пациента и имплантированного в ткани последнего. Используя эти данные измерений, медицинское приложение может, например, определить текущий уровень гликемии и отобразить для пациента соответствующую информацию на дисплее. На основе этого уровня гликемии медицинское приложение может указать на необходимость инъекции инсулина в ткани пациента.

Если медицинское приложение не работает ожидаемым образом, то может случиться, что пациент увидит на дисплее ошибочные значения уровня гликемии, побуждающие его сделать инъекцию инсулина. Поскольку это может

причинить серьезный вред пациенту, требуется осуществлять контроль за процессами определения уровня гликемии пациента и вывода предупреждений. Таким образом, определение уровня гликемии и контроль предельных значений для вывода предупреждения можно отнести к процессам, критически важным с точки зрения безопасности. Другими процессами, критически важными с точки зрения безопасности, могут быть, например, калибровка измерений уровня гликемии, соединение смартфона с каким-либо модулем, подобным модулю безопасности, или приведение в исходное состояние датчика для непрерывного измерения уровня гликемии. Далее, смартфон или медицинское устройство может содержать последовательности самотестирования, такие как тестирование среды выполнения и самотестирование при включении питания, которые тоже необходимо контролировать.

Генерирование контрольного сигнала при реализации данного способа может иметь ряд последствий. В некоторых вариантах осуществления изобретения контрольный сигнал обеспечивает возможность приведения в действие мобильного устройства для выполнения экстренного вызова. Это может быть полезно, например, в случае выполнения медицинским приложением мониторирования лабораторных показателей пациента, таких как пульс, насыщение крови кислородом, уровень гликемии или другие жизненно важные показатели, когда обнаружение выхода измеренных или определенных значений за пределы заданного диапазона может означать, что пациент находится в состоянии, угрожающем его жизни. Экстренный вызов, автоматически посылаемый сразу после выхода измеряемого или определяемого значения за пределы заданного диапазона, может в таком случае сократить время реагирования, например, службы скорой помощи.

В некоторых вариантах осуществления изобретения мобильное устройство соединяется с медицинским устройством пациента, а контрольный сигнал обеспечивает возможность запуска медицинского устройства для начала или прекращения введения лекарственного средства пациенту, в результате чего лабораторные показатели пациента оказываются в пределах заданного диапазона. Например, медицинское устройство может представлять собой инсулиновую помпу, а мониторирование ориентировано на уровень гликемии пациента. При обнаружении медицинским приложением слишком высокого или слишком низкого уровня гликемии пациента это приложение может активировать или деактивировать медицинское устройство либо ускорить или

замедлить работу этого устройства, которое в данном случае может представлять собой инсулиновую помпу, так что пациент будет получать достаточное количество инсулина. Этот общий подход может обеспечивать преимущества, если мониторируемый лабораторный показатель представляет жизненно важную функцию, восстанавливаемую в результате введения лекарственного средства.

В примере с инсулиновой помпой процесс, критически важный с точки зрения безопасности, может представлять собой установку значения базальной скорости или временной базальной скорости введения инсулина, измерение уровня гликемии самим медицинским устройством, установку значения болюсной дозы инсулина, начало/прекращение введения инсулина и задание начальных условий процесса, например после замены инфузионного устройства.

В другом варианте осуществления изобретения контрольный сигнал обеспечивает возможность приведения в действие мобильного устройства для подачи воспринимаемого человеком сигнала тревоги. Если, например, медицинское приложение выполняет мониторирование лабораторного показателя (например, температуры), текущее значение которого не является критически важным для жизни пациента, то может оказаться достаточной подача сигнала тревоги, если температура пациента будет слишком высокой или слишком низкой, поскольку, как правило, в принятии немедленных мер по нормализации слишком высокой или слишком низкой температуры нет необходимости.

В ряде вариантов осуществления изобретения выполнение первого процесса приводит к получению промежуточного результата, передаваемого во второй процесс для дальнейшей обработки. В этом случае информация включает указанный промежуточный результат, а контролирующее средство или модуль безопасности проверяет, находится ли этот промежуточный результат, полученный с информацией, в пределах определенного диапазона результатов. Кроме того, второй процесс из последовательности процессов выполняется только в том случае, если установлено, что данный результат находится в пределах определенного диапазона результатов.

Например, последовательность процессов, приводящая в конечном счете к генерированию контрольного сигнала, может запускаться с первого процесса, что подразумевает получение данных измерений из медицинского устройства и преобразование полученных данных в формат, считываемый следующими

процессами. По завершении этого первого процесса происходит пересылка результата (то есть преобразованных данных, полученных из медицинского устройства) в контролирующее средство или модуль безопасности. Контролирующее средство или модуль безопасности может содержать таблицу, включающую информацию о формате результата первого процесса или об ожидаемом диапазоне результатов выполнения первого процесса.

После этого контролирующее средство или модуль безопасности может проверить, находятся ли в допустимых пределах формат полученного результата и значение последнего, и разрешить, в случае положительного ответа, выполнение второго процесса. Далее, предусмотрено выполнение контролирующего средства или модуля безопасности с возможностью пересылки результата первого процесса во второй процесс таким образом, что выполнение второго процесса без участия контролирующего средства или модуля безопасности будет невозможно. Тем не менее, существует также возможность непосредственной передачи промежуточных результатов процессов в следующий процесс.

В некоторых вариантах осуществления изобретения контролирующее средство или модуль безопасности генерирует запускающий сигнал в ответ на определение нахождения результата в пределах заданного диапазона и передает этот запускающий сигнал в мобильное устройство. По получении запускающего сигнала мобильным устройством последнее запускается для выполнения второго процесса. Благоприятный эффект здесь заключается в том, что второй процесс может быть выполнен только в том случае, если контролирующим средством или модулем безопасности уже получен промежуточный результат первого процесса и подтверждено, что этот полученный промежуточный результат находится в пределах заданного диапазона, тем самым подтвердив отсутствие каких-либо ошибок при выполнении данной последовательности процессов.

В некоторых вариантах осуществления изобретения контролирующее средство или модуль безопасности переводит мобильное устройство в отказоустойчивое состояние, то есть в безопасное состояние или в безопасный рабочий режим с ограниченной функциональностью, удаляя некорректно работающие функции из общего функционального набора системы, если установлено, что промежуточный результат не находится в пределах определенного диапазона результатов. Благоприятный эффект здесь может заключаться в том, что некорректное выполнение последовательности процессов

не оказывает опасного или критического для жизни влияния на пациента, поскольку как только контролирующее средство или модуль безопасности обнаруживает, что один из процессов данной последовательности выполняется не так, как ожидалось, он переводит мобильное устройство в безопасное состояние или в безопасный рабочий режим с ограниченной функциональностью, тем самым предотвращая любые дальнейшие действия, могущие причинить вред пациенту.

В некоторых вариантах осуществления изобретения предусмотрено выполнение контролирующего средства или модуля безопасности с возможностью создания файла журнала во время выполнения какой-либо последовательности процессов. Файл журнала содержит идентификаторы процессов, уже выполненных в ходе выполнения последовательности или последовательностей процессов.

Изобретение в различных вариантах его осуществления обеспечивает то преимущество, что в случае прерывания последовательности процессов из-за некорректного выполнения одного из них существует возможность воссоздания ситуации, после которой произошел отказ медицинского приложения. Для этого необходимо лишь установить, какие процессы были успешно выполнены и на каком процессе выполнение прервалось.

В некоторых вариантах осуществления изобретения таблица последовательностей также содержит информацию, определяющую набор процессов, которые должны быть выполнены до выполнения второго процесса, причем контролирующее средство или модуль безопасности на следующем этапе проверяет, выполнен ли уже этот набор процессов, проводя поиск в таблице последовательностей и сравнивая идентификаторы этого набора с идентификаторами, содержащимися в файле журнала. Изобретение в различных вариантах его осуществления обеспечивает проверку выполнения всех релевантных этапов процесса до начала выполнения второго процесса.

В некоторых вариантах осуществления изобретения контролирующее средство или модуль безопасности удаляет файл журнала в случае успешного завершения последовательности процессов, которая должна была выполняться во время выполнения медицинского приложения. Этим обеспечивается то преимущество, что дисковое пространство мобильного устройства не расходуется на хранение не нужных более файлов журнала.

В некоторых вариантах осуществления изобретения контролирующее средство или модуль безопасности переводит мобильное устройство в отказоустойчивое, то есть в безопасное, состояние, если установлена недопустимость выполнения второго процесса вслед за первым процессом. Согласно некоторым вариантам осуществления изобретения, безопасное состояние характеризуется обратимым ограничением функциональности мобильного устройства, так что мобильное устройство, находясь в безопасном состоянии, не может более выполнять экстренные вызовы и/или инициировать введение или прекращение введения или изменение параметров введения лекарственного средства инфузионным устройством и/или подавать воспринимаемый человеком сигнал тревоги. Кроме того, безопасное состояние может поддерживаться в течение заданного промежутка времени или до тех пор, пока системный администратор не установит причину прерывания выполнения медицинского приложения из-за сбоя в выполнении процесса. Возможно также, что при переводе мобильного устройства в безопасное состояние это мобильное устройство или контролирующее средство или модуль безопасности автоматически выполняет передачу уведомления администратору медицинского или мобильного устройства, информирующего о прерывании выполнения медицинского приложения из-за сбоя в выполнении процесса и о дополнительных подробностях ситуации, в которой было прервано это выполнение. Например, это уведомление может содержать идентификаторы уже выполненных процессов или процесса, результат выполнения которого находится за пределами заданных диапазонов допустимых результатов.

В некоторых вариантах осуществления изобретения предусмотрена возможность обращения контролирующего средства или модуля безопасности к мобильному устройству для выполнения алгоритма обработки данных. Кроме того, контролирующее средство или модуль безопасности предоставляет мобильному устройству данные для обработки с помощью указанного алгоритма обработки данных, а мобильное устройство в ответ на обращение контролирующего средства или модуля безопасности выполняет этот алгоритм, генерируя тем самым некоторый результат. В ответ на это контролирующее средство или модуль безопасности проверяет результат, сгенерированный мобильным устройством, и в случае положительного исхода проверки этого результата мобильное устройство начинает выполнение второго процесса.

Например, контролирующее средство или модуль безопасности может послать мобильному устройству запрос на выполнение простой математической операции с заданными начальными значениями, уже имея в памяти, например, сохраненное решение математического уравнения для этих заданных значений. Сравнивая результат выполнения этой операции мобильным устройством с результатом, сохраненным в памяти, контролирующее средство или модуль безопасности может проверить, работает ли мобильное устройство в соответствии с ожиданиями. Если, например, блок обработки данных мобильного устройства не работает ожидаемым образом, то результат реализации запрошенного алгоритма обработки используемых исходных данных будет отличаться от результата, сохраненного в памяти контролирующего средства или модуля безопасности. Таким образом, с помощью запроса на выполнение мобильным устройством обработки данных, результат которой уже имеется в контролирующем средстве или модуле безопасности можно проверить, надлежащим ли образом работает блок обработки данных мобильного устройства.

В некоторых вариантах осуществления изобретения предусмотрено обращение контролирующего средства или модуля безопасности к мобильному устройству с целью реализации описанного выше алгоритма обработки данных, если не определен допустимый диапазон для полученного с информацией промежуточного результата выполнения какого-либо процесса из последовательности процессов. Этим может обеспечиваться то преимущество, что даже в случае невозможности проверки результата как такового существует возможность проверки корректности работы блока обработки данных мобильного устройства. Поэтому некорректное выполнение последовательности процессов можно обнаружить без проверки допустимости данной последовательности или данного диапазона результатов.

В некоторых вариантах осуществления изобретения мобильное устройство соединяется с измерительным средством, причем при выполнении процесса измерения по меньшей мере одного лабораторного показателя пациента мобильное устройство обращается к измерительному средству для проведения соответствующего измерения и выдачи соответствующих значений измерения. Например, мобильное устройство может соединяться с измерительным средством путем беспроводной передачи данных, что повышает удобство

использования системы, включающей мобильное устройство и измерительное средство, благодаря отсутствию необходимости в кабельном соединении.

В качестве другого объекта изобретения предлагается система для генерирования контрольного сигнала при мониторировании лабораторных показателей пациента, содержащая мобильное устройство, соединяемое с контролирующим средством и способное выполнять по меньшей мере одно медицинское приложение, причем выполнение медицинского приложения в этом мобильном устройстве контролируется контролирующим средством, содержащим по меньшей мере исполняемые программные команды, а медицинское приложение содержит исполняемые команды для выполнения по меньшей мере одной последовательности процессов, включающей следующие процессы:

- измерение по меньшей мере одного лабораторного показателя пациента,

- сравнение измеренных значений с заданными диапазонами допустимых значений и

- генерирование контрольного сигнала в ответ на обнаружение выхода по меньшей мере одного из измеренных значений за пределы заданного диапазона.

Кроме того, мобильное устройство выполнено с возможностью выполнения первого процесса из последовательности процессов, причем результатом указанного выполнения является генерирование информации и ее передача в контролирующее средство, выполненное с возможностью оценки этой информации, причем мобильное устройство выполнено также с возможностью выполнения второго процесса из данной последовательности процессов в зависимости от результата указанной оценки.

В соответствии с изобретением процессам последовательности присвоены идентификаторы, причем контролирующее средство или модуль безопасности выполнен(-о) с возможностью доступа к таблице последовательностей, которая содержит записи, определяющие допустимые последовательности процессов, причем информация включает идентификатор второго процесса. Контролирующее средство или модуль безопасности путем проведения поиска в таблице последовательностей проверяет, может ли второй процесс быть выполнен вслед за первым процессом, и в случае обнаружения недопустимости выполнения второго процесса вслед за первым процессом контролирующее средство или модуль безопасности прерывает выполнение последовательности.

Другим объектом изобретения является система, содержащая мобильное устройство, соединяемое с контролирующим средством или модулем безопасности и способное выполнять по меньшей мере одно медицинское приложение, причем выполнение медицинского приложения в этом мобильном устройстве контролируется контролирующим средством или модулем безопасности, контролирующее средство или модуль безопасности содержит по меньшей мере исполняемые программные команды, медицинское приложение содержит исполняемые команды для выполнения по меньшей мере одной последовательности процессов для генерирования контрольного сигнала, указанные процессы включают процессы, критически важные с точки зрения безопасности, а последовательность процессов запускается путем выполнения измерения уровня гликемии пациента, причем мобильное устройство выполнено с возможностью выполнения первого процесса из последовательности процессов, а результатом указанного выполнения является генерирование информации и ее передача в контролирующее средство или модуль безопасности в котором предусмотрена возможность оценки этой информации, причем мобильное устройство выполнено также с возможностью выполнения второго процесса из данной последовательности процессов в зависимости от результата указанной оценки.

В некоторых вариантах осуществления изобретения контролирующее средство или модуль безопасности содержит по меньшей мере один процессор, телекоммуникационный интерфейс и запоминающее устройство, содержащее по меньшей исполняемые команды для оценки информации. Процессор контролирующего средства или модуля безопасности выполнен с возможностью исполнения команд, содержащихся в запоминающем устройстве, а также с возможностью установления связи с мобильным устройством с помощью коммуникационного интерфейса. Например, возможна реализация контролирующего средства или модуля безопасности в карте со встроенным микропроцессором (смарт-карте), предохранительном элементе, аппаратном модуле защиты или модуле, вставляемом в мобильное устройство.

Телекоммуникационный интерфейс может быть, например, выполнен с возможностью установления связи с мобильным устройством посредством беспроводной технологии передачи данных с низким энергопотреблением Bluetooth™ Low Energy (BLE). Использование BLE для установления связи между контролирующим средством или модулем безопасности и мобильным устройством может обеспечивать преимущество, заключающееся в возможности питания контролирующего средства или модуля безопасности электроэнергией посредством, например, единственной аккумуляторной батареи в форме таблетки, поскольку система связи на основе BLE потребляет лишь незначительное количество энергии аккумулятора. Благодаря этому обеспечивается длительное использование контролирующего средства или модуля безопасности без замены или перезарядки аккумулятора. Поскольку трафик данных между контролирующим средством или модулем безопасности и мобильным устройством может удерживаться на очень низком уровне, уменьшенная ширина полосы пропускания BLE не является фактором, ограничивающим применение данной технологии в соответствии с настоящим изобретением.

Прочие возможные комбинации существенных признаков в различных вариантах осуществления изобретения могут включать следующее:

1. Способ контроля выполнения последовательности процессов посредством контролирующего средства или модуля безопасности, в котором предусмотрена функциональная связь контролирующего средства или модуля безопасности с медицинским устройством и который включает:

• получение из медицинского устройства первой информации, сгенерированной в ходе выполнения первого процесса из последовательности процессов,

• оценку полученной первой информации, и

• передачу в медицинское устройство второй информации, свидетельствующей о разрешении или запрещении выполнения второго процесса из последовательности процессов, следующего в этой последовательности за первым процессом.

2. Способ, характеризуемый комбинацией 1 признаков, в котором первая информация показывает промежуточный результат, полученный в ходе выполнения первого процесса и используемый при выполнении второго процесса, а оценка полученной первой информации включает проверку нахождения промежуточного результата в пределах заданного диапазона результатов, причем в случае подтверждения нахождения этого результата в пределах заданного диапазона результатов вторая информация свидетельствует о разрешении выполнения второго процесса.

3. Способ, характеризуемый комбинацией 2 признаков, в котором вторая информация обеспечивает, в ответ на определение нахождения промежуточного результата в пределах заданного диапазона, функциональную возможность запуска выполнения второго процесса медицинским устройством и в котором вторая информация обеспечивает, в ответ на определение выхода промежуточного результата за пределы заданного диапазона, функциональную возможность запуска самостоятельного перехода медицинского устройства в безопасное состояние.

4. Способ, характеризуемый одной из предыдущих комбинаций признаков, в котором процессам последовательности присваивают идентификаторы, причем для контролирующего средства или модуля безопасности предусмотрена возможность доступа к таблице последовательностей, содержащейся в этом контролирующем средстве или модуле безопасности и включающей записи, определяющие допустимые последовательности процессов, причем первая информация содержит идентификатор второго процесса, а контролирующее средство или модуль безопасности проводит поиск в таблице последовательностей, проверяя, может ли быть выполнен второй процесс вслед за первым процессом, и вторая информация содержит разрешение выполнения второго процесса вслед за первым процессом только в случае подтверждения допустимости такого выполнения.

5. Способ, характеризуемый комбинацией 4 признаков, в котором предусмотрено выполнение контролирующего средства или модуля безопасности с возможностью создания файла журнала во время выполнения последовательности процессов, причем файл журнала содержит идентификаторы процессов, уже выполненных в ходе выполнения этой последовательности процессов.

6. Способ, характеризуемый комбинацией 5 признаков, в котором таблица последовательностей содержит информацию, определяющую набор процессов, которые должны быть выполнены до выполнения второго процесса, причем способ включает проверку выполнения этого набора процессов путем поиска в таблице последовательностей и сравнения идентификаторов этого набора процессов с идентификаторами, содержащимися в файле журнала, а вторая информация содержит разрешение только в том случае, если установлено выполнение этого набора процессов.

7. Способ, характеризуемый одной из предыдущих комбинаций признаков, в котором оценка первой информации включает:

• передачу в медицинское устройство для выполнения третьей информации, содержащей алгоритм обработки данных, и соответствующих данных, предназначенных для обработки,

• получение из медицинского устройства результата выполнения алгоритма обработки данных и

• проверку полученного результата,

причем вторая информация содержит разрешение только в том случае, если установлена корректность полученного результата.

8. Контролирующее средство или модуль безопасности, для которого предусмотрена возможность реализации способа, характеризуемого одной из предыдущих комбинаций признаков.

9. Компьютерный программный продукт, содержащий машиноисполняемые команды для реализации способа, характеризуемого одной из предыдущих комбинаций 1-7 признаков.

Еще одним объектом изобретения является медицинская система, содержащая инфузионный насос для введения в организм пациента жидкости, такой как питательное вещество и/или лекарственное средство, такое как инсулин. Инфузионный насос содержит коммуникационный интерфейс для получения параметра управления с целью управления скоростью введения жидкости. Инфузионный насос выполнен с возможностью соединения с мобильным устройством, имеющим соответствующий коммуникационный интерфейс для установления связи с инфузионным насосом. Мобильное устройство может быть выполнено в виде мобильного ручного электронного прибора с питанием от аккумуляторной батареи, такого как мобильное телекоммуникационное устройство, в частности мобильное ручное телекоммуникационное устройство с питанием от аккумуляторной батареи, такое как смартфон. Мобильное устройство может быть, в частности, выполнено с возможностью соединения с цифровой беспроводной сетью сотовой телефонной связи и/или с беспроводной локальной вычислительной сетью.

Коммуникационный интерфейс мобильного устройства, предназначенный для установления связи с инфузионным насосом, может быть выполнен с возможностью установления прямого канала связи с инфузионным насосом без использования промежуточного звена в виде какой-либо сети. Например, коммуникационный интерфейс мобильного устройства, предназначенный для установления связи с инфузионным насосом, может быть выполнен с возможностью установления проводного или беспроводного соединения на основе таких стандартных технологий как радиочастотная идентификация RFID (от англ. Radio Frequency Identification), ближняя бесконтактная связь NFC (от англ. Near Field Communication) или Bluetooth, в частности на основе BLE.

Мобильное устройство выполнено с возможностью выполнения прикладной программы, инсталлируемой в это мобильное устройство. Прикладная программа может быть реализована в виде так называемого приложения, которое можно загрузить в мобильное устройство из какого-либо хранилища приложений, особенно если данное мобильное устройство работает на основе операционной системы Android или Apple iOS. Прикладная программа, инсталлируемая в мобильное устройство, служит для управления инфузионным насосом и поэтому называется ниже медицинским приложением.

Мобильное устройство также соединяется с датчиком, выполненным с возможностью восприятия по меньшей мере одного физиологического параметра пациента. Датчик и/или инфузионный насос могут быть имплантированы в тело (под кожу) пациента в виде единого имплантата или отдельных имплантатов.

Датчик может содержать отдельный коммуникационный интерфейс для установления связи с соответствующим коммуникационным интерфейсом мобильного устройства либо он может представлять собой составную часть инфузионного насоса, так что передача воспринятого физиологического параметра от датчика в мобильное устройство осуществляется посредством коммуникационного интерфейса инфузионного насоса.

Кроме того, медицинская система содержит модуль тестирования, предназначенный для тестирования мобильного устройства. Этот модуль тестирования может быть выполнен, как сказано выше, в виде контролирующего средства или модуля безопасности.

В частности, модуль тестирования может быть выполнен в виде аппаратного модуля отдельно от мобильного устройства. Этот аппаратный модуль может питаться от аккумуляторной батареи и содержать коммуникационный интерфейс для установления связи с соответствующим коммуникационным интерфейсом мобильного устройства на основе такой стандартной технологии как Bluetooth, в частности BLE.

Аппаратный модуль содержит микропроцессор для выполнения тестовой процедуры с целью проверки, находится ли мобильное устройство в рабочем состоянии. Мобильное устройство может выйти из своего нормального рабочего состояния в случае, например, возникновения ошибки операционной системы этого мобильного устройства, в частности ошибки, возникшей в результате обновления операционной системы, в результате инсталляции дополнительного приложения, которое вызывает сбои в работе мобильного устройства и/или содержит вредоносную программу, такую как вирус, в результате получения мобильным устройством сообщения, такого как сообщение по электронной почте или CMC, содержащее вредоносные программы или данные, такие как вирус, или вследствие каких-либо других программных и/или аппаратных сбоев в работе мобильного устройства. Например, тестовая процедура может включать операции, связанные с валидацией, когда аппаратный модуль выполняет проверку правильности решения валидационной задачи, найденного мобильным устройством.

В процессе работы мобильное устройство получает воспринятое датчиком значение физиологического параметра. Это значение физиологического параметра, полученное мобильным устройством от датчика, вводится этим устройством в медицинское приложение. В ответ на получение мобильным устройством значения физиологического параметра и ввода этого значения в медицинское приложение последнее осуществляет определение параметра управления для управления инфузионным насосом, реализуя алгоритм управления, в котором данный физиологический параметр используется в качестве входного значения. Затем определенное таким путем значение параметра управления посылается из медицинского приложения через коммуникационный интерфейс мобильного устройства в инфузионный насос для регулирования скорости введения последним жидкости в соответствии с определенным значением параметра управления.

Для защиты пациента от сбоев в работе мобильного устройства в медицинском приложении предусмотрена возможность передачи в модуль тестирования запроса на выполнение тестирования до посылки параметра управления в инфузионный насос. Запрос на выполнение тестирования инициирует выполнение модулем тестирования тестовой процедуры, которая дает положительный результат в случае нахождения мобильного устройства в рабочем состоянии. Это защищает пациента от сбоев в работе мобильного устройства, результатом которых могло бы явиться получение неверного значения параметра управления, что, в свою очередь, могло бы иметь серьезные последствия для здоровья пациента.

Настоящее изобретение в различных вариантах его осуществления обеспечивает, в частности, то преимущество, что оно позволяет использовать для безопасного управления инфузионным насосом произвольное мобильное устройство типа смартфона, при разработке которого не учитывались нормы для создания безопасного медицинского изделия. Это реализуется благодаря проверке состояния мобильного устройства модулем тестирования, который может быть выполнен в виде отдельного аппаратного средства, разработанного с учетом норм для создания безопасного медицинского изделия. Выполнение модулем тестирования тестовой процедуры применительно к мобильному устройству может быть многократно инициировано до посылки значения параметра управления в инфузионный насос, например в ответ на получение значения воспринятого физиологического параметра до того как это значение будет отображено на экране мобильного устройства и/или до реализации медицинским приложением алгоритма управления, в котором данный физиологический параметр используется в качестве входного значения.

Согласно изобретению медицинская система представляет собой систему инсулиновой помпы, в которой инфузионный насос представляет собой инсулиновую помпу для введения инсулина в организм пациента, а датчик представляет собой подкожный датчик для измерения уровня гликемии пациента.

Следует иметь в виду, что один или более вариантов изобретения, описанных выше, могут быть скомбинированы друг с другом при условии, что комбинируемые варианты осуществления изобретения взаимно не исключают друг друга.

Краткое описание чертежей

Варианты осуществления изобретения более подробно описаны ниже только в качестве примера и со ссылками на чертежи, на которых показано:

на фиг.1 - блок-схема системы, содержащей мобильное устройство, контролирующее средство или модуль безопасности и медицинское устройство,

на фиг. 2 - схематическое изображение последовательности процессов, контролируемых контролирующим средством или модулем безопасности с использованием идентификаторов процессов,

на фиг. 3 - схематическое изображение последовательности процессов, корректное выполнение которой проверяется контролирующим средством или модулем безопасности путем проверки результатов отдельных процессов,

на фиг. 4 - блок-схема системы, содержащей смартфон в качестве клиента и контролирующее средство или модуль безопасности в качестве сервера,

на фиг. 5 - схематическое изображение потока данных между смартфоном (клиентом) и контролирующим средством или модулем безопасности (сервером),

на фиг. 6 - схема последовательностей, иллюстрирующая начало выполнения медицинского приложения и соединения мобильного устройства и контролирующего средства или модуля безопасности,

на фиг. 7 - схема последовательностей, иллюстрирующая проверку корректности работы мобильного устройства контролирующим средством или модулем безопасности,

на фиг. 8 - блок-схема алгоритма выполнения медицинского приложения,

на фиг. 9 - блок-схема процедуры сканирования модулей BLE,

на фиг. 10 - блок-схема процедуры валидации,

на фиг. 11 - схема последовательностей, иллюстрирующая запуск выполнения медицинского приложения и сканирования контролирующего средства или модуля безопасности,

на фиг. 12 - схема последовательностей, иллюстрирующая запрос идентификатора,

на фиг. 13 - схема последовательностей, иллюстрирующая выполнение последовательности запрограммированных критически важных процессов,

на фиг. 14 - схема последовательностей, иллюстрирующая процедуру валидации, выполняемую контролирующим средством или модулем безопасности.

Элементы на данных чертежах, имеющие одинаковые численные обозначения, являются эквивалентными или выполняют одинаковые функции. Элементы, упоминавшиеся ранее в описании чертежей, не обязательно упоминаются применительно к следующим чертежам, если там они выполняют эквивалентные функции.

Осуществление изобретения

На фиг. 1 показан пример системы 100, содержащей мобильное устройство 102, медицинское устройство 104 и контролирующее средство или модуль безопасности 106. Мобильное устройство 102 содержит центральный процессор 108 и коммуникационный интерфейс 110. Через коммуникационный интерфейс 110 мобильное устройство 102 может быть соединено с медицинским устройством 104. Медицинское устройство 104 содержит интерфейс 112 для установления связи с мобильным устройством 102, а также содержит центральный процессор 114. Мобильное устройство 102 также соединяется через коммуникационный интерфейс 110 с контролирующим средством или модулем безопасности 106.

Контролирующее средство или модуль безопасности 106 содержит запоминающее устройство 116, коммуникационный интерфейс 118 и центральный процессор 120.

Для мониторирования лабораторных показателей пациента центральный процессор 108 мобильного устройства 102 содержит программный модуль, называемый далее медицинским приложением 122. Медицинское приложение 122 выполнено с возможностью обращения к медицинскому устройству 104 через коммуникационный интерфейс 110 с запросом относительно лабораторных показателей пациента. Получив запрос от медицинского приложения 122 мобильного устройства 102, медицинское устройство 104 может выполнить программный модуль 124 для измерения лабораторных показателей пациента. Результатом выполнения программного модуля 124 центральным процессором 114 медицинского устройства 104 может быть сбор данных, относящихся, например, к анализу крови пациента, таких как данные по уровню гликемии или насыщению кислородом либо другие данные, характеризующие текущее состояние пациента. Затем медицинское устройство 104 посылает собранные им данные в мобильное устройство 102 через интерфейсы 112 и 110. После этого медицинское приложение 122 может обработать полученные данные, чтобы проверить, находятся ли лабораторные показатели, вычисленные из полученных данных, в пределах заданного диапазона. Например, медицинское приложение 122 может проверить, является ли уровень гликемии пациента слишком высоким или слишком низким.

Если медицинским приложением 122 установлено, что уровень гликемии находится за пределами заданных диапазонов, то приложение 122 может направить в медицинское устройство 104 запрос об инициировании контрмер путем генерирования соответствующего контрольного сигнала и передачи этого сигнала в медицинское устройство 104. По получении контрольного сигнала медицинское устройство 104 выполняет еще один программный модуль 126 посредством центрального процессора 114. Выполнение программного модуля 126 может иметь следствием введение медицинским устройством 104 лекарственного средства пациенту с целью оказания такого воздействия на организм пациента, чтобы его лабораторный показатель сместился в пределы заданного диапазона. Например, если медицинским приложением 122 установлено, что уровень гликемии пациента слишком высок, то выполнение программного модуля 126 может иметь следствием введение медицинским устройством 104 инсулина в ткани пациента.

Возможно также, что медицинское приложение 122, обнаружившее выход лабораторного показателя пациента за пределы заданного диапазона, инициирует выполнение мобильным устройством 102 экстренного вызова. На этот случай мобильное устройство 102 может быть запрограммировано таким образом, что при выполнении этого экстренного вызова оно автоматически передает информацию о пациенте, значение лабораторного показателя, выходящее за пределы заданного диапазона, и местонахождение пациента.

Еще одна возможность заключается в том, что медицинское приложение 122, обнаружившее выход мониторируемого лабораторного показателя за пределы заданного диапазона, инициирует подачу мобильным устройством 102 воспринимаемого человеком сигнала тревоги, например звукового, вибрационного или импульсно-светового, с целью информирования пациента о его текущем состоянии.

Выполнение медицинского приложения 122 обычно включает выполнение некоторой последовательности процессов. Например, выполнение последовательности процессов может включать первый процесс, служащий для определения лабораторного показателя пациента, второй процесс, служащий для вывода заключения о том, находится ли этот лабораторный показатель в пределах заданного диапазона, третий процесс, служащий для демонстрации значения этого лабораторного показателя пациенту, четвертый процесс, служащий для запроса подтверждения о необходимости принятия контрмер, и пятый процесс, служащий для фактического инициирования этих контрмер. В этом случае этап инициирования контрмер не должен выполняться, пока не будет выполнен этап запроса подтверждения от пациента. Для обеспечения корректности выполнения отдельных процессов медицинского приложения 122 центральный процессор 108 мобильного устройства 102 может также содержать контролирующее средство или модуль безопасности 128. В этом случае контролирующее средство или модуль безопасности 128 реализуется в программном модуле операции, выполняемом центральным процессором 108 мобильного устройства 102.

Согласно изобретению в результате выполнения отдельных процессов медицинского приложения 122 центральным процессором 108 генерируется информация, которая направляется в контролирующее средство или модуль безопасности 128. Используя эту информацию, контролирующее средство или модуль безопасности 128 может затем проверить корректность выполнения медицинского приложения 122, и в случае, если контролирующее средство или модуль безопасности 128 установит, что медицинское приложение 122 выполняется некорректно, он может прервать работу этого приложения.

Как показано на фиг. 1, контролирующее средство или модуль безопасности 106 можно также реализовать в отдельном модуле, содержащем запоминающее устройство 116, коммуникационный интерфейс 118 и центральный процессор 120, причем в функции центрального процессора 120 входит выполнение программного модуля 130 с целью оценки информации, сгенерированной в ходе выполнения медицинского приложения 122. Если в результате оценки информации, полученной из мобильного устройства 102, контролирующее средство или модуль безопасности 106 установит, что медицинское приложение 122 выполняется некорректно, он может прервать работу этого приложения. Для этого необходимо, чтобы у контролирующего средства или модуля безопасности 106 имелась возможность непосредственно влиять на работу и функции центрального процессора 108.

Согласно изобретению медицинское устройство 104 может представлять собой инфузионный насос для ведения жидкости в организм пациента, такой как инсулиновая помпа для введения инсулина, используемая при терапии диабета. Медицинское устройство 104 может быть соединено с датчиком для восприятия по меньшей мере одного физиологического параметра пациента, то есть лабораторного показателя, такого как уровень гликемии пациента.

Датчик и/или медицинское устройство 104 могут быть имплантированы в тело (под кожу) пациента в виде единого имплантата или двух отдельных имплантатов. Сигналы, поступающие из датчика, оцениваются программным модулем 124, следствием чего является определение физиологического параметра, значение которого затем передается в мобильное устройство 102 через коммуникационный интерфейс 112 медицинского устройства 104. Мобильное устройство 102 может быть выполнено в виде мобильного телекоммуникационного устройства, такого как смартфон.

Мобильное устройство 102 использует медицинское приложение 122, в которое вводится значение физиологического параметра. Медицинское приложение 122 выполняет алгоритм управления, в котором данный физиологический параметр используется в качестве входного значения, для определения значения параметра управления с целью управления скоростью введения жидкости инфузионным насосом. Например, в случае применения для оказания помощи больным диабетом алгоритм управления может представлять собой любой подходящий алгоритм, соответствующий известному уровню техники и предназначенный для управления скоростью введения инсулина в организм пациента в зависимости от измеренного значения, определяющего уровень гликемии пациента и/или другие дополнительные параметры, которые могут быть получены, введены или сохранены в мобильном устройстве 102.

Мобильное устройство 102 посылает значение параметра управления в медицинское устройство 104. Значение параметра управления вводится в программный модуль 126 для управления инфузионным насосом в соответствии со значением параметра управления, при котором производится соответствующее регулирование скорости введения жидкости.

С целью повышения безопасности медицинской системы, представленной в настоящем описании, корректность работы мобильного устройства 102 контролируется модулем тестирования, который может быть выполнен в виде контролирующего средства 128, реализованного как программный модуль, или в виде модуля 106 безопасности, реализованного как отдельный аппаратный модуль.

В альтернативном варианте для обеспечения максимальной безопасности можно использовать и контролирующее средство 128, выполненное в виде программного средства, и модуль 106 безопасности, выполненный в виде аппаратного средства. Ниже в качестве примера рассматривается модуль 106 безопасности, выполненный в виде аппаратного средства.

Прежде чем медицинское приложение 122 пошлет значение параметра управления в медицинское устройство 104, медицинское приложение 122 посылает в модуль 106 безопасности "информацию", содержащую запрос на выполнение тестирования. По получении этого запроса инициируется выполнение программного модуля 130 для проведения тестовой процедуры.

Тестовая процедура может включать в себя обмен различными тестовыми сообщениями между мобильным устройством 102 и модулем 106 безопасности с целью проверки, находится ли мобильное устройство 102 в рабочем состоянии. В частности, программный модуль 130 может выполнять процедуру валидации, описанную ниже, в частности, применительно к фиг. 4 и 10.

Если после выполнения программного модуля 130 тестирование дает положительный результат, показывающий, что мобильное устройство 102 находится в рабочем состоянии, то из модуля 106 безопасности поступает соответствующий ответ в мобильное устройство 102. Получив из модуля 106 безопасности ответ с положительным результатом тестирования, медицинское приложение 122 лишь посылает значение параметра управления в медицинское устройство 104 для регулирования скорости подачи инфузионного насоса.

Если результат тестирования отрицателен, то модуль 106 безопасности может послать сигнал "Останов" для прерывания выполнения медицинского приложения и/или инициирования подачи мобильным устройством 102 предупредительного сигнала (визуального, акустического и/или тактильного) с целью информирования пациента о сбое в работе мобильного устройства и/или перевода мобильного устройства 102 в безопасное состояние, например путем блокирования коммуникационного интерфейса 111, благодаря чему предотвращается посылка мобильным устройством 102 значения параметра управления в медицинское устройство 104.

Ниже описываются два возможных способа осуществления контроля выполнения последовательности процессов. Первый возможный вариант осуществления контроля последовательности процессов изображен на фиг. 2. Процесс, показанный на фиг. 2, включает четыре этапа. В данном случае медицинское устройство 104 может представлять собой инсулиновую помпу, в которой также предусмотрена функция мониторирования уровня гликемии пациента. На первом этапе процесса определяется уровень гликемии путем, например, запроса медицинским приложением 122 соответствующих данных из медицинского устройства 104. После ввода значения гликемии начинается второй этап процесса, состоящий в повторном показе этого значения пациенту. В ходе этого повторного показа медицинское приложение может запросить у пациента подтверждение, содержащее разрешение на принятие соответствующих контрмер. Только после получения такого подтверждения начинается четвертый этап, включающий дальнейшую обработку значения гликемии, который может, например, завершиться введением инсулина.

Как упоминалось выше, выполнение этих четырех процессов контролирует контролирующее средство или модуль безопасности 106. Контролирующее средство или модуль безопасности содержит таблицу 132, в которой представлена корректная последовательность этапов выполнения процессов. Для этого в таблицу 132 могут быть включены идентификатор (ID) текущего процесса, идентификатор следующего ожидаемого процесса и значения идентификаторов процессов, выполнение которых вслед за текущим процессом является недопустимым.

В ситуации, показанной на фиг. 2, этап процесса, относящийся к обработке значения гликемии и имеющий идентификатор ID 4, не может быть выполнен до получения подтверждения пациента в результате выполнения этапа, имеющего идентификатор ID 3. В ходе выполнения отдельных процессов идентификатор текущего процесса направляется в контролирующее средство или модуль безопасности 106. Контролирующее средство или модуль безопасности 106 затем проверяет, действительно ли является допустимым выполнение текущего процесса. Если, например, контролирующее средство или модуль безопасности 106 установит, что процесс с идентификатором ID 3 выполняется после процесса с идентификатором ID 1, то контролирующее средство или модуль безопасности прервет выполнение данного процесса.

Таблица 132 может быть, как правило, сформирована таким образом, что она содержит информацию о точной последовательности идентификаторов (правиле для ID) процессов, выполнение которых не допускается после какого-либо предыдущего процесса с конкретным идентификатором. Таблица 132 может также содержать идентификаторы текущего процесса и процесса, который должен выполняться следующим. Как правило, способ, показанный на фиг. 2, можно использовать для проверки корректности выполнения последовательности процессов во время выполнения медицинского приложения.

В способе, показанном на фиг. 3, контролирующее средство или модуль безопасности 106 тоже содержит таблицу 134, но в этом случае для контролирующего средства или модуля безопасности 106 предусмотрена также возможность проверки промежуточных результатов, сгенерированных в ходе выполнения отдельных процессов. Например, процесс №1, выполняемый центральным процессором 108 мобильного устройства 102, приводит к результату №1. Контролирующее средство или модуль безопасности 106 может тогда обратиться к таблице 134 и проверить, находится ли результат процесса №1 в пределах допустимого диапазона результатов, который в данном случае лежит между значениями а и b. Если это так, то контролирующее средство или модуль безопасности 106 может затем направить результат процесса №1 в процесс №2, что обеспечивает возможность выполнения процесса №2 центральным процессором. Существует, однако, также возможность самостоятельной отправки процессом №1 результата его выполнения в процесс №2. По выполнении процесса №2 и получении результата №2 этот результат снова направляется в контролирующее средство или модуль безопасности 106, который проверяет результат процесса №2, проводя поиск в таблице 134. Как упоминалось выше, если результат №2 находится в пределах допустимого диапазона результатов, то контролирующее средство или модуль безопасности 106 направляет результат процесса №2 в процесс №3 и т.д.

Следует отметить, что в ситуации, изображенной на фиг. 2, выполнение последовательности процессов будет продолжаться до тех пор, пока контролирующее средство или модуль безопасности не обнаружит недопустимость выполнения какого-либо процесса, после чего прервет выполнение этой последовательности процессов. В ситуации, изображенной на фиг. 3, выполнение какого-либо процесса зависит от подтверждения контролирующим средством или модулем безопасности 106 корректности выполнения предыдущего процесса. Таким образом, в ситуации, изображенной на фиг. 2, контролирующее средство или модуль безопасности лишь осуществляет наблюдение и вмешивается, если что-то пошло не так, тогда как на фиг. 3 контролирующее средство или модуль безопасности является непосредственно вовлеченным в последовательность процессов медицинского приложения.

Следует отметить, что в варианте осуществления изобретения, показанном на фиг. 1, может быть также предусмотрено выполнение контролирующим средством или модулем безопасности 106 контроля работы программного модуля 128, выполняемого центральным процессором 108 мобильного устройства 102.

На фиг. 4 показана блок-схема системы 200, содержащей смартфон 202 в качестве мобильного устройства и контролирующее средство или модуль безопасности 204. В смартфон инсталлировано медицинское приложение 206, выполнением которого может управлять пользователь 208 посредством сенсорного дисплея смартфона 202. С помощью сенсорного дисплея смартфона 202 пользователь 208 может вызывать функции приложения 206 и получать ответную реакцию, характеризующую статус запущенной функции. Приложение 206 выполнено с возможностью установления связи с контролирующим средством или модулем безопасности 204 через интерфейс, основанный на беспроводной технологии передачи данных с низким энергопотреблением Bluetooth™ Low Energy (BLE). Контролирующее средство или модуль безопасности 204 представляет собой устройство, физически отделенное от смартфона 202, что налагает ряд граничных условий, которые должны быть выполнены при конструировании этого контролирующего средства или модуля безопасности 204. Контролирующее средство или модуль безопасности 204 имеет свой собственный источник питания, чем обеспечивается ограниченное энергопотребление. По этой причине используется интерфейс BLE.

Контролирующее средство или модуль безопасности 204 функционирует как сервер, в то время как смартфон 202 можно рассматривать как клиента. В качестве клиента смартфон 202 может подсоединяться к множеству серверов BLE. При этом смартфон 202 не использует физический интерфейс. В качестве клиента смартфон 202 инициирует процедуру соединения и посылает запрос в подсоединяемый сервер. Так, смартфон 202 может запросить идентификатор или запустить процедуру валидации, выполняемую контролирующим средством или модулем безопасности 204. Идентификатор служит в качестве ввода для установления связи на основе BLE. Идентификатор является единственной запрашиваемой характеристикой, значение которой будет показано пользователю 208 на дисплее в случае успешной передачи данных.

Процедура валидации является главной функцией контролирующего средства или модуля безопасности 204 и представляет собой тестирование приложения 206 с целью проверки корректности его работы. Для этого в контролирующем средстве или модуле безопасности 204 предусмотрена возможность вмешательства в работу приложения 206 в случае если оно собирается выполнить какую-либо последовательность запрограммированных критически важных процессов. Приложение 206 не имеет полномочий на выполнение такой последовательности запрограммированных критически важных процессов и должно запросить на это разрешение у контролирующего средства или модуля безопасности 204. В этой связи контролирующее средство или модуль безопасности 204 может послать валидационную задачу, которая должна быть решена смартфоном 202. В случае правильного результата решения валидационной задачи приложение 206 получит от контролирующего средства или модуля безопасности 204 разрешение на выполнение этой последовательности запрограммированных критически важных процессов. В случае некорректного результата контролирующее средство или модуль безопасности 204 запрещает выполнение этой последовательности запрограммированных критически важных процессов. Соответствующий поток данных между смартфоном 202 (клиентом) и контролирующим средством или модулем безопасности 204 (сервером) показан на фиг. 5.

На фиг. 6 показана схема последовательностей, иллюстрирующая способ запуска работы приложения 206, сканирования с целью поиска контролирующего средства или модуля безопасности 204 и предоставления идентификатора. Осуществление способа начинается с запуска пользователем 208 приложения 206, предусмотренного в смартфоне 202. При этом система 200 находится в режиме замкнутого цикла, ожидая ввода пользователя. При нажатии пользователем 208 кнопки запуска процедуры сканирования приложение 206 начинает поиск устройств BLE. Найденное устройство BLE возвращает имя и адрес в приложение 206, которое демонстрирует эту информацию пользователю 208 посредством дисплея смартфона 202, в котором выполняется приложение 206. Пользователь 208 выбирает обнаруженный модуль, после чего результат этого выбора демонстрируется пользователю 208. Затем приложение 206 переходит в режим замкнутого цикла, ожидая следующего ввода пользователя. При нажатии пользователем 208 кнопки в приложении 206, означающем посылку в контролирующее средство или модуль безопасности 204 запроса относительно идентификатора, приложение 206 устанавливает соединение с контролирующим средством или модулем безопасности 204 и получает из последнего некоторую характеристику. Затем приложение 206 посылает запрос относительно идентификатора, который присылается контролирующим средством или модулем безопасности 204. Приложение 206 демонстрирует идентификатор и разрывает соединение с контролирующим средством или модулем безопасности 204. Приложение 206 возвращается в режим замкнутого цикла, ожидая следующего ввода пользователя.

На фиг. 7 показана схема последовательностей, иллюстрирующая способ проверки корректности работы мобильного устройства 102 контролирующим средством или модулем безопасности 106 в случае, когда должна быть запущена критически важная последовательность, выполняемая в ходе выполнения медицинского приложения 122 в мобильном устройстве 102. Критически важная последовательность может представлять собой, например, последовательность этапов осуществления способа, во время которых пациенту должно быть введено лекарственное средство, критически важное для его здоровья. Для предотвращения, например, введения медицинским устройством 104, управляемым медицинским приложением 122, выполняемым в мобильном устройстве 102, дозы лекарственного средства со скоростью, неверно выбранной вследствие сбоя в мобильном устройстве 102, требуется проверка (валидация) корректности выполнения медицинского приложения 122 до выполнения критически важных последовательностей.

В начальном состоянии, показанном на фиг. 7, медицинское приложение находится в режиме замкнутого цикла, ожидая ввода пользователя. Если пользователь медицинского приложения 122 решает запустить критически важную последовательность медицинского приложения 122, например процедуру введения лекарственного средства, то он может активировать соответствующую функцию медицинского приложения 122 путем нажатия соответствующей кнопки интерфейса медицинского приложения 122. Медицинское приложение, к которому обратился пользователь, может при этом проверить, является ли последовательность, которую намерен использовать пользователь, критически важной. Медицинское приложение 122 может быть выполнено с возможностью не выполнять последовательности, помеченные как критически важные, без разрешения контролирующего средства или модуля безопасности 106.

Таким образом, если медицинское приложение 122 обнаруживает, что последовательность, активированная пользователем, является критически важной, то медицинское приложение 122 или мобильное устройство 102 устанавливает телекоммуникационное соединение с контролирующим средством или модулем безопасности 106 посредством, например, беспроводной технологии передачи данных с низким энергопотреблением Bluetooth™ Low Energy. Затем медицинское приложение 122 обращается к контролирующему средству или модулю безопасности за валидацией, тем самым запрашивая разрешение на запуск критически важной последовательности, активированной пользователем.

После обращения медицинского приложения 122 контролирующее средство или модуль безопасности 106 посылает в медицинское приложение 122 арифметическую задачу. Эта задача может представлять собой, например, простое сложение двух чисел. Контролирующее средство или модуль безопасности 106 может, далее, содержать таблицу, включающую множество пар чисел и соответствующие результаты их сложения. Получив эту арифметическую задачу, медицинское приложение 122 решает ее с помощью центрального процессора 108 мобильного устройства 102 и посылает полученное таким путем решение обратно в контролирующее средство или модуль безопасности 106. Затем контролирующее средство или модуль безопасности 106 проверяет правильность решения этой арифметической задачи.

Если контролирующее средство или модуль безопасности 106 устанавливает правильность решения, присланного медицинским приложением 122, то он разрешает этому медицинскому приложению выполнить критически важную последовательность, активированную пользователем. Медицинское приложение 122 выполняет критически важную последовательность и посылает, в случае необходимости, результат ее выполнения пользователю. По завершении выполнения критически важной последовательности медицинское приложение 122 может инициировать отсоединение мобильного устройства 102 от контролирующего средства или модуля безопасности 106, ожидая дальнейших вводов пользователя.

Если, однако, контролирующее средство или модуль безопасности 106 устанавливает неправильность решения, присланного медицинским приложением 122, то он запрещает этому медицинскому приложению выполнить критически важную последовательность. В ответ на получение этого запрещения медицинское приложение 122 может вывести на дисплей сообщение об ошибке для пользователя. Затем медицинское приложение 122 может инициировать отсоединение мобильного устройства 102 от контролирующего средства или модуля безопасности 106 и завершить цикл своей работы, поскольку корректное выполнение последовательностей уже не может быть гарантировано.

Необходимо отметить, что ввод пользователя на схемах, представленных на фиг.6 и 7, следует рассматривать как один из иллюстративных примеров применения описываемых вариантов осуществления изобретения. В других примерах применения могут быть реализованы другие вводы и выводы в пределах объема изобретения, охватываемого формулой изобретения.

На фиг. 8 показана блок-схема алгоритма главной активности медицинского приложения 206. Главная активность представляет собой стартовую активность, позволяющую пользователю 208 выбрать функции приложения 206. После запуска приложения 206 последнее сначала проверяет, активирован ли интерфейс BLE смартфона 202, и в случае, если интерфейс BLE неактивен, запрашивает пользователя 208, будет ли активирован интерфейс BLE. После этого пользователь 208 может, например, запустить поиск модулей BLE, нажав соответствующую кнопку. При этом процесс поиска модулей BLE происходит в другой активности, появляющейся при нажатии пользователем соответствующей кнопки. Эта процедура сканирования модулей BLE описана ниже со ссылкой на фиг. 9. Затем пользователь 208 может запросить идентификатор или процедуру валидации для последовательности запрограммированных процессов, указанной как критически важная, нажав соответствующую кнопку на экране главной активности. Процедура валидации описана ниже со ссылкой на фиг. 10. Следует отметить, что на блок-схеме, представленной на фиг. 8, показана лишь часть приложения 206, относящаяся к мерам безопасности, связанным с выполнением последовательностей запрограммированных критически важных процессов.

На фиг. 9 показана блок-схема процедуры сканирования модулей BLE. В ходе этой процедуры пользователь 208 может провести поиск модулей BLE, таких как контролирующее средство или модуль безопасности 204. Например, процедура сканирования модулей BLE может представлять собой процедуру составления списка, обеспечивающую ряд возможностей для отображения данных в виде списка. Найденные модули BLE могут отображаться с именем и адресом, что позволяет пользователю 208 сделать выбор после завершения поиска. После этого имя и адрес выбранного модуля BLE сохраняются в памяти. Если в ходе процедуры поиска производится выход из окна активности сканирования модулей BLE, то поиск прекращается. Пользователь 208 может самостоятельно остановить в любой момент процедуру поиска с помощью соответствующей кнопки, а также может запустить эту процедуру заново. Длительность процедуры поиска может составлять, например, около 2 секунд.

На фиг. 10 показана блок-схема, иллюстрирующая процедуру валидации с целью проверки корректности работы смартфона 202. Функция валидации активируется в главной активности в случае если предполагается выполнение последовательности запрограммированных процессов, помеченных как критически важные. Следующими этапами после активации функции валидации являются установление связи с контролирующим средством или модулем безопасности 204 и запуск процедуры валидации этим контролирующим средством или модулем безопасности 204. Для этого в контролирующем средстве или модуле безопасности 204 выбирается какая-либо характеристика. Изменение этой характеристики интерпретируется контролирующим средством или модулем безопасности 204 как сигнал к запуску процедуры валидации. После этого происходит получение валидационной задачи в два этапа. Контролирующее средство или модуль безопасности 204 присваивает соответствующим характеристикам значения из валидационной таблицы, содержащейся в этом контролирующем средстве или модуле безопасности 204. Значение, присвоенное вторым, задается как "уведомление" при запуске валидации. В результате приложение 206 обнаружит изменение значения характеристики.

В случае изменения значения и уведомления приложения 206 об этом изменении происходит считывание второго значения и поиск решения валидационной задачи смартфоном 202. После передачи результата решения этой валидационной задачи контролирующее средство или модуль безопасности 204 посылает некоторое целочисленное значение в приложение, которое выполнено с возможностью интерпретации этого целочисленного значения как разрешение или запрещение выполнения последовательности запрограммированных критически важных процессов. В случае разрешения запускается процедура выполнения последовательности запрограммированных процессов, помеченных как критически важные. В случае запрещения пользователю 208 поступает сообщение о том, что запрос на выполнение отклонен, и приложение 206 закрывается.

Описанная и проиллюстрированная на фиг. 10 валидационная задача представляет собой простой пример валидационной задачи, включающей только суммирование двух слагаемых. Могут быть, однако, также использованы более сложные для решения задачи взаимной валидации.

На фиг. 11 показана схема последовательностей, иллюстрирующая запуск главной активности приложения 206 и сканирования модулей BLE, таких как контролирующее средство или модуль безопасности 204. При запуске приложения 206 производится проверка статуса интерфейса BLE смартфона 202, и если этот интерфейс еще не активирован, то пользователю 208 посылается запрос, должен ли быть активирован интерфейс BLE. Если интерфейс BLE смартфона 202 активирован, то пользователь может инициировать поиск модулей BLE, нажав соответствующую кнопку запуска сканирования. После выбора одного из показанных на дисплее модулей BLE соответствующие данные передаются в главную активность для дальнейшей обработки и отображения на дисплее пользователя 208.

На фиг. 12 показана схема последовательностей, иллюстрирующая запрос идентификатора у контролирующего средства или модуля безопасности 204. После активации пользователем 208 кнопки запроса идентификатора в приложении 206 устанавливается контакт с выбранным модулем BLE посредством соответствующей функции и у этого модуля BLE запрашивается характеристика идентификации. Это служит входом в процедуру установления связи посредством BLE. В случае успешной передачи характеристики ее значение отображается на дисплее пользователя 208. Характеристику идентификации предоставляет только контролирующее средство или модуль безопасности 204. Если модуль BLE, с которым установлено соединение, не предоставляет характеристики идентификации, то этот модуль не является контролирующим средством или модулем безопасности 204. В этом случае приложение 206 закрывается с выводом на дисплей сообщения, означающего отсутствие возможности обнаружения контролирующего средства или модуля безопасности, и выполнение приложения должно быть запущено снова.

На фиг. 13 показана схема последовательностей, иллюстрирующая выполнение последовательности запрограммированных критически важных процессов. После активации кнопки запуска последовательности запрограммированных процессов запускается активность валидации. В этой активности выполняется валидация приложения 206 посредством контролирующего средства или модуля безопасности 204. Выполнить валидацию означает проверить, работают ли смартфон 202 и приложение 206 в соответствии с ожиданиями. Процедура валидации показана на фиг. 14 и описана ниже. В первом случае, изображенном на фиг. 13, результатом валидации является вывод контролирующим средством или модулем безопасности 204 разрешения на выполнение последовательности запрограммированных критически важных процессов. Результат выполнения этой последовательности запрограммированных критически важных процессов затем отображается на дисплее пользователя 208. Во втором случае контролирующее средство или модуль безопасности 204 выводит запрещение, которое демонстрируется пользователю. В этом случае последовательность запрограммированных критически важных процессов не выполняется.

На фиг. 14 показана схема последовательностей, иллюстрирующая процедуру валидации, выполняемую контролирующим средством или модулем безопасности 204. Как показано на фиг. 14, процедура валидации запускается главной активностью приложения 206. С этой целью активность валидации, вызванная главной активностью, инициирует установление соединения с контролирующим средством или модулем безопасности 204. После успешного установления соединения характеристики "слагаемоеодин" и "полномочия" помечаются меткой "уведомление" с целью получения их соответствующего значения в случае их изменения. Затем запускается процесс валидации путем задания характеристики "валидация_запуск". С этой целью контролирующее средство или модуль безопасности 204 создает валидационную задачу и задает начальные условия, включающие, например, два слагаемых "слагаемое_один" и "слагаемое_два". Сначала в соответствующую характеристику записывается "слагаемое_два", а затем - "слагаемое_один". Эта процедура записи обнаруживается приложением 206 благодаря активированной функции уведомления через BLE, в результате чего приложение 206 извлекает второе слагаемое путем посылки запроса на считывание. После этого валидационная задача извлекается смартфоном 202. Смартфон 202 должен решить эту задачу и послать результат контролирующему средству или модулю безопасности 204 в характеристике "вычисление_результат". Контролирующее средство или модуль безопасности 204 проверяет результат, проводя поиск в таблице, и выдает, в зависимости от результата этой проверки, разрешение или запрещение в характеристике "полномочия". Характеристика "полномочия" также помечается меткой "уведомление" и в качестве результата передается в валидационную активность для дальнейшей обработки. В случае получения разрешения выполняется последовательность запрограммированных критически важных процессов. В случае получения запрещения пользователь информируется об этом посредством соответствующего сообщения, и выполнение приложения завершается.

Необходимо отметить, что ввод пользователя на схемах, представленных на фиг. 12, 13 и 14, следует рассматривать как один из иллюстративных примеров применения описываемых вариантов осуществления изобретения. В других примерах применения могут быть реализованы другие вводы и выводы в пределах объема изобретения, охватываемого формулой изобретения.

Прочие варианты осуществления, связанные с изобретением, описаны в приложенной формуле изобретения.

Ссылочные обозначения

100 Система

102 Мобильное устройство

104 Медицинское устройство

106 Модуль безопасности (Контролирующее средство)

108 Центральный процессор

110 Коммуникационный интерфейс

112 Интерфейс

114 Центральный процессор

116 Запоминающее устройство

118 Коммуникационный интерфейс

120 Центральный процессор

122 Медицинское приложение

124 Программный модуль

126 Программный модуль

128 Контролирующее средство

130 Программный модуль

132 Таблица

134 Таблица

200 Система

202 Смартфон/Клиент

204 Контролирующее средство или модуль безопасности / Сервер

206 Приложение

208 Пользователь

1. Способ генерирования контрольного сигнала при мониторировании лабораторных показателей пациента с использованием медицинского приложения (122), выполняемого в мобильном устройстве (102) пациента под наблюдением контролирующего средства или модуля безопасности (106, 128), причем контролирующее средство или модуль безопасности (106, 128) содержит по меньшей мере исполняемые программные команды (130), а медицинское приложение (122) содержит исполняемые команды для выполнения по меньшей мере одной последовательности процессов для генерирования контрольного сигнала, причем указанные процессы включают процессы, критически важные с точки зрения безопасности, а последовательность процессов запускается путем выполнения измерения лабораторных показателей, таких как уровень гликемии пациента, включающий:

- выполнение первого процесса из последовательности процессов, причем результатом указанного выполнения является генерирование информации,

- посылку информации о выполненном процессе в контролирующее средство или модуль безопасности (106, 128),

- оценку полученной информации контролирующим средством или модулем безопасности (106, 128) и

- выполнение второго процесса из последовательности процессов в зависимости от результата указанной оценки,

причем процессам последовательности присваивают идентификаторы, причем контролирующее средство или модуль безопасности (106, 128) получает возможность доступа к таблице (132) последовательностей, которая содержит записи, определяющие допустимые последовательности процессов, причем информация включает идентификатор второго процесса, причем контролирующее средство или модуль безопасности (106, 128) путем проведения поиска в таблице (132) последовательностей проверяет, может ли второй процесс быть выполнен вслед за первым процессом, и в случае обнаружения недопустимости выполнения второго процесса вслед за первым процессом контролирующее средство или модуль безопасности (106, 128) прерывает выполнение последовательности.

2. Способ по п. 1, в котором последовательность процессов включает процессы:

- измерения или определения по меньшей мере одного лабораторного показателя пациента,

- сравнения измеренных значений с заданными диапазонами допустимых значений и

- генерирования контрольного сигнала в ответ на обнаружение выхода по меньшей мере одного из измеренных или определенных значений за пределы заданного диапазона.

3. Способ по п. 1 или 2, в котором контрольный сигнал обеспечивает возможность приведения в действие мобильного устройства (102) для выполнения экстренного вызова.

4. Способ по любому из предыдущих пунктов, в котором мобильное устройство (102) соединяется с медицинским устройством (104) пациента, а контрольный сигнал обеспечивает возможность приведения в действие медицинского устройства (104) для введения лекарственного средства таким образом, чтобы лабораторные показатели пациента оказались в пределах заданного диапазона.

5. Способ по любому из предыдущих пунктов, в котором контрольный сигнал обеспечивает возможность приведения в действие мобильного устройства (102) для подачи воспринимаемого человеком сигнала тревоги.

6. Способ по любому из предыдущих пунктов, в котором выполнение первого процесса приводит к получению промежуточного результата, передаваемого во второй процесс для дальнейшей обработки, причем информация включает указанный промежуточный результат, а контролирующее средство или модуль безопасности (106, 128) проверяет, находится ли этот промежуточный результат в пределах заданного диапазона результатов, причем второй процесс из последовательности выполняется только в том случае, если установлено, что данный результат находится в пределах определенного диапазона результатов.

7. Способ по п. 6, в котором контролирующее средство или модуль безопасности (106, 128) генерирует запускающий сигнал в ответ на определение нахождения результата в пределах заданного диапазона и передает этот запускающий сигнал в мобильное устройство, причем по получении запускающего сигнала мобильным устройством (102) последнее запускается для выполнения второго процесса.

8. Способ по п. 6 или 7, в котором в ответ на определение выхода промежуточного результата за пределы определенного диапазона результатов контролирующее средство или модуль безопасности (106, 128) переводит мобильное устройство (102) в безопасное состояние.

9. Способ по п. 1, в котором предусмотрена возможность создания контролирующим средством или модулем безопасности (106, 128) файла журнала во время выполнения последовательности процессов, причем файл журнала содержит идентификаторы процессов, уже выполненных в ходе выполнения последовательности процессов.

10. Способ по п. 9, в котором таблица последовательностей также содержит информацию, определяющую набор процессов, которые должны быть выполнены до выполнения второго процесса, причем контролирующее средство или модуль безопасности (106, 128) на следующем этапе проверяет, выполнен ли уже этот набор процессов, проводя поиск в таблице (132) последовательностей и сравнивая идентификаторы этого набора процессов с идентификаторами, содержащимися в файле журнала.

11. Способ по п. 9 или 10, в котором контролирующее средство или модуль безопасности (106, 128) удаляет файл журнала в случае успешного завершения последовательности процессов.

12. Способ по любому из предыдущих пунктов, в котором контролирующее средство или модуль безопасности (106, 128) переводит мобильное устройство в безопасное состояние, если установлена недопустимость выполнения второго процесса вслед за первым процессом.

13. Способ по п. 8 или 12, в котором безопасное состояние мобильного устройства (102) характеризуется обратимым ограничением его функциональности, в результате чего мобильное устройство (102), находясь в безопасном состоянии, не может более выполнять экстренные вызовы и/или запускать медицинское устройство (104) с целью введения лекарственного средства и/или подавать воспринимаемый человеком сигнал тревоги.

14. Способ по любому из предыдущих пунктов, в котором предусмотрена возможность обращения контролирующего средства или модуля безопасности (106, 128) к мобильному устройству (102) для выполнения алгоритма обработки данных, причем контролирующее средство или модуль безопасности (106, 128) предоставляет мобильному устройству (102) данные для обработки с помощью указанного алгоритма обработки данных, а мобильное устройство (102) в ответ на обращение контролирующего средства или модуля безопасности (106, 128) выполняет указанный алгоритм обработки данных, тем самым генерируя результат, причем в ответ на генерирование этого результата мобильным устройством (102) контролирующее средство или модуль безопасности (106, 128) проверяет этот результат и, в случае положительного исхода проверки этого результата, инициирует выполнение мобильным устройством (102) второго процесса.

15. Способ по п. 14, в котором контролирующее средство или модуль безопасности (106, 128) обращается к мобильному устройству (102) для выполнения алгоритма обработки данных, если не определен допустимый диапазон для промежуточного результата, полученного с информацией.

16. Способ по любому из предыдущих пунктов, в котором мобильное устройство (102) соединяется с измерительным средством (104), причем при выполнении процесса измерения по меньшей мере одного лабораторного показателя пациента мобильное устройство (102) обращается к измерительному средству (104) для проведения соответствующего измерения и выдачи соответствующих значений измерения.

17. Система (100) для генерирования контрольного сигнала при мониторировании лабораторных показателей пациента, содержащая мобильное устройство (102), соединяемое с контролирующим средством или модулем безопасности (106, 128) и способное выполнять по меньшей мере одно медицинское приложение (122), причем выполнение медицинского приложения (122) в мобильном устройстве (102) контролируется контролирующим средством или модулем безопасности (106, 128), содержащим по меньшей мере исполняемые программные команды (130), медицинское приложение (122) содержит исполняемые команды для выполнения по меньшей мере одной последовательности процессов для генерирования контрольного сигнала, указанные процессы включают процессы, критически важные с точки зрения безопасности, а последовательность процессов запускается путем выполнения измерения уровня гликемии пациента, причем мобильное устройство (102) выполнено с возможностью выполнения первого процесса из последовательности процессов, а результатом указанного выполнения является генерирование информации и ее передача в контролирующее средство или модуль безопасности (106, 128), для которого предусмотрена возможность оценки этой информации, причем мобильное устройство (102) выполнено также с возможностью выполнения второго процесса из данной последовательности процессов в зависимости от результата указанной оценки, причем процессам последовательности присвоены идентификаторы, причем контролирующее средство или модуль безопасности (106, 128) выполнен(-о) с возможностью доступа к таблице (132) последовательностей, которая содержит записи, определяющие допустимые последовательности процессов, причем информация включает идентификатор второго процесса, причем контролирующее средство или модуль безопасности (106, 128) путем проведения поиска в таблице (132) последовательностей проверяет, может ли второй процесс быть выполнен вслед за первым процессом, и в случае обнаружения недопустимости выполнения второго процесса вслед за первым процессом контролирующее средство или модуль безопасности (106, 128) прерывает выполнение последовательности.

18. Система по п. 17, в которой контролирующее средство или модуль безопасности (106) содержит по меньшей мере один процессор (120), телекоммуникационный интерфейс (118) и запоминающее устройство (116), содержащее по меньшей мере исполняемые команды (130) для оценки информации, причем процессор (120) контролирующего средства или модуля безопасности (106) выполнен с возможностью выполнения исполняемых команд (130), содержащихся в запоминающем устройстве (116), а также с возможностью установления связи с мобильным устройством (102) с помощью коммуникационного интерфейса (116).