Nuove tecnologie di telemonitoraggio in Italia C. Guglielmetti, M. Gaiani

Il sistema ALS Con-Tel II costituisce un processo complesso di monitorizzazione cli- nica presso il domicilio dell’assistito e strutturalmente si compone di due elementi:

- ALS Con-Tel II: dispositivo elettromedicale domiciliare.

- ALS Gate: portale Web dedicato per la consultazione e la valutazione dei para- metri clinici acquisiti.

ALS Con-Tel II

ALS Con-Tel II è un dispositivo medico attivo e dipendente, per il suo funziona- mento, da una fonte d’energia elettrica ed è utilizzato da solo o in combinazione con altri dispositivi medici.

La sua caratteristica principale è rivolta a fornire a medici od operatori di set- tore tutte le informazioni riguardanti l’analisi, la diagnosi precoce, il controllo o il trattamento di condizioni cliniche, di stati di salute, di malattie o di malformazio- ni congenite.

Certificazione

Per i dispositivi medici esistono disposizioni legislative che impongono che le tec- nologie siano progettate, costruite, mantenute e fatte funzionare in modo efficace, efficiente e soprattutto sicuro.

ALS Con-Tel II è costruito secondo quanto prescritto dalle leggi e dalle diretti- ve vigenti ed è provvisto di marchio CE051 (sistema completo di garanzia di qua- lità) (Fig. 1).

Quadro di riferimento delle norme di sistema

- UNI EN ISO 9001 (2000) Sistemi di gestione per la Qualità – Requisiti

- UNI CEI EN ISO 13485 (2002) Sistemi di gestione per la Qualità – Requisiti particolari per l’applicazione della UNI EN ISO 9001

- UNI EN ISO 9000 (2000) Sistemi di gestione per la Qualità – Fondamenti e ter- minologia.

Quadro di riferimento delle norme di prodotto

- EN 60601-1 Norme generali per la sicurezza 12 - 1998

- CEI EN 60601-1- 4 General requirements - programmable electrical medical systems

- UNI EN 865 2000 Pulse oximeters - particular requirements.

- CEI EN 60601-1-2:1993 Medical electrical equipment - Part 1 general require- C. Guglielmetti, M. Gaiani

Soltanto i popoli che fanno scoperte hanno l’avvenire della civiltà

(B. Auerbach, Tausend Gedanken des Collaborators)

ment for safety 2 - Collateral standard: Electromagnetic compatibility - Requirement and test

- CEI EN 60601-1-2:2001 Medical electrical equipment- Part 1-2 general requi- rement for safety Collateral standard: Electromagnetic compatibility - Requirement and test

- UNI CEI EN ISO 14971 Applicazione della gestione dei rischi ai dispositivi medici - EN 980 Graphical symbols for use in the labelling of medical devices

- EN 1041 Information supplied by the manufacturer with medical devices.

Quadro di riferimento delle leggi

- 93/42/CEE Council directive concerning medical devices. Council of European Communities

- 89/336 CEE Compatibilità elettromagnetica

- D.L.vo 24.02.1997 n 46 Attuazione della Direttiva del Consiglio 93/42/CEE del 14 giugno 1993 concernente i dispositivi medici

- D.P.R. 24.05.1988 n 224 Responsabilità per danno da prodotti difettosi - D.L.vo 17/3/1995 n 115 Sicurezza generale dei prodotti.

L’analisi dei rischi per il presente dispositivo è stata eseguita seguendo i crite- ri espressi dalla Norma EN 14971.

Per le sue caratteristiche “non è uno strumento salva-vita e non può essere usato per l’emergenza”.

Proprietà

ALS Con-Tel II è un dispositivo medico modulare e permette di valutare, quantita- tivamente e in modo non invasivo, la saturazione d’ossigeno nell’emoglobina arte- riosa. Inoltre, esso presenta caratteristiche aggiuntive che consentono di acquisire

mondiale Livelli

europeo

nazionale

Vecchio approccio

Nuovo approccio Altri settori

ISO International Standard

Organisation Settore elettrotecnico

ed elettronico

IEC

International Electrotechnical Commission

CEN Comité Européen de Normalisation CENELEC

Comité Européen de Normalisation Electrotechnique

UNI Ente Nazionale Italiano di Unificazione

Organismi di certificazione (IMQ, ....)

Ente notificatore CE

nel settore dei dispositivi medici e non CEI

Comitato Elettrotecnico Italiano

Fig. 1. Requisiti del sistema Qualità per la produzione e il controllo

e memorizzare i parametri strumentali da dispositivi medici e da sensori esterni.

I dati in ingresso provenienti dai dispositivi esterni e il dato acquisito dalla scheda ossimetro integrata non subiscono elaborazioni di nessun tipo prima di essere salvati su disco rigido. I parametri clinici sono acquisiti da dispositivi recanti la marcatura CE tramite un protocollo fornito dal costruttore.

ALS Con-Tel II, tramite un’interfaccia grafica semplice e intuitiva gestibile inte- ramente dal monitor touch-screen, presenta una serie di funzionalità aggiuntive che permettono:

• Il trasferimento delle informazioni memorizzate, con linea PSTN oppure con LAN, a un portale Web dedicato sia mediante un processo automatico che on demand.

• Lo scambio di successive informazioni cliniche quali avvisi e risposte a ques- tionari personalizzati.

• La modalità multi-lingua (italiano, inglese, francese, spagnolo, tedesco).

• Eventi programmati segnalati da un’agenda e da notice che avvisano l’assisti- to dell’approssimarsi della scadenza delle acquisizioni.

Sicurezza

Sicurezze software controllano che:

• il dato da trasmettere sia quello corretto;

• i dati riesumati dalla memoria al momento dell’invio siano effettivamente quelli desiderati;

• non avvenga il crash del sistema gestendo gli errori sui campi di input desti- nati all’utilizzatore.

Inoltre:

• la selezione mediante il tocco di un dito sull’area di schermo corrispondente è individuabile univocamente mediante colori in contrasto con lo sfondo;

• una serie di menu, accessibili da una finestra protetta da password, permette all’installatore di avere accesso alle funzioni di configurazione delle porte seri- ali assegnandovi un dispositivo tra quelli in elenco.

Il software è protetto da routine che impediscono, a eventuali errori di input sia umani sia hardware, di provocare il crash del sistema rendendo inutilizzabile il dispositivo medico.

Il sistema operativo consente di rilevare e quindi gestire i guasti hardware con messaggi e avvertimenti; eventuali errori di connessione sono possibili nonostante le porte seriali siano contrassegnate da numeri che le identificano univocamente.

Cadute di tensione dovute a eventi che comportano l’improvviso spegnimento del dispositivo non causano alcun danno. Il riavvio avviene automaticamente. Una volta ristabilita la tensione e il ripristino, il mancato o incompleto invio di dati, verso il portale Web dedicato, è ristabilito automaticamente portando a compi- mento i task aperti.

Caratteristiche tecniche (Fig. 2) Trasmissione dati

- Telefonica PSTN: Modem 56K

- LAN (local area network): connettore Ethernet RJ45 (scheda Ethernet 10/100)

Connessione dispositivi medici esterni - n° 4 porte seriali femmina RS 232 - n° 2 porte USB 1.1

- n° 1 porta sensore pulso-ossimetro dedicata - n° 1 connettore PS2/tastiera esterna

Motherboard

- Scheda PC 104 CPU VIA Eden ESP 700D 733 MhZ Memoria di massa

- HDD 2.5” 20 Gbyte - Memoria RAM 128 Mbyte - Memoria ROM 512 Kbyte Tipologia video

- Schermo touch screen – display LCD TFT 10.4” retro-illuminato – risoluzione grafica da 640 per 480 a 1024 per 768

Sistema operativo

- XP Embedded totalmente pre-installato e configurato

2 1

L

L

L B A

C D A

1 1

B

30 C

D

1 1 1 1

L

+

LVDS primary channel connector:

14-pin MOLEX 53047-1410

COM1 connector:

TOP-YANG 23110-2201002N or equivalent (10-pin dual row 2 mm pitch) LPT connector:

TOP-YANG 23128-2201002N or equivalent (28-pin dual row 2 mm pitch)

COM2 connector:

TOP-YANG 23110-2201002N or equivalent (10-pin dual row 2 mm pitch) LVDS secondary

channel connector:

10-pin MOLEX 53047-1010

CRT connector:

10-pin MOLEX 53047-1010

USB connector:

8-pin MOLEX 53047-0810

FAN connector:

3-pin MOLEX 53047-0310

Audio connector:

4-pin MOLEX 53047-0410

POWER connector:

PHOENIX CONTACT 1881477 PS2 interface for

keyboard and mouse on a connector:

TOP-YANG 23110-2201002N or equivalent (10-pin dual row 2 mm pitch) HD connector:

NUVAL TMA44T or equivalent (44-pin dual row 2 mm pitch) LCD Voltage selector:

(+3.3 V or +5 V):

2.5 mm pitch jumper

PC-104 + BUS

ETHERNET connector:

MOLEX 87332-0820

PC-104 + BUS

Fig. 2. Caratteristiche tecniche della motherboard

Software applicativo

- Sviluppato in Visual Basic 6 (ambiente Microsoft) con funzioni di progettazio- ne dell’interfaccia completamente visuali e con linguaggio di tipo event-driven Formato dati output

- Il collegamento tra il dispositivo e il portale Web dedicato avviene con un col- legamento SOAP (formato XML) su TCP-IP.

ALS Gate

Si tratta di un portale Web dedicato e sviluppato utilizzando una nuova tecnologia Microsoft che ha reso possibile l’attuazione di un’applicazione molto personaliz- zabile, difficilmente realizzabile con tecnologie tradizionali.

Il nucleo principale dell’applicazione è un sistema di gestione dell’informazione totalmente configurabile. Il sistema permette di definire le caratteristiche di ogni sin- gola informazione e il modo in cui deve essere visualizzato. Tutti i moduli dell’applica- zione si appoggiano a questo nucleo per l’organizzazione delle informazioni da gestire.

Essendo un applicazione Web, garantisce l’accessibilità da parte di utenti dis- tribuiti sul territorio e accesso con molteplici piattaforme (PC, Pocket PC, UMTS etc.) (Fig. 3).

Sicurezza

Lavorando in ambiente Web, la sicurezza è garantita dal protocollo di criptazione SSL a 128 bit. Tutte le comunicazioni Internet tra client e server viaggiano su proto-

Fig. 3. ALS Gate

collo HTTPS (HyperText Transfer Protocol over Secure Socket Layer) che è una ver- sione sicura del protocollo HTTP adottato comunemente per l’Internet-browsing.

Per una maggiore comprensione del fattore sicurezza per la gestione di para- metri di natura clinica, è importante tracciare correttamente la suddivisione tra sicurezza applicativa e sicurezza di infrastruttura.

Sicurezza applicativa

La sicurezza applicativa è stata ideata e realizzata, in fase di analisi e sviluppo, per garantire integrità e tutela dei dati trattati.

A ogni utente sono attribuiti una coppia di codici identificativi personali:

• codice Login

• codice Password

Questi codici sono generati tramite algoritmi che ne garantiscono univocità e irripetibilità per tutte le strutture sanitarie.

Ogni esame è abbinato univocamente dai codici identificativi personali dell’u- tente proprietario dei dati e memorizzati in archivi giornalieri.

Per motivi di sicurezza, l’applicazione che riceve le richieste di invio degli esami (Web server) risiede su un opportuno server, separato da quello che gesti- sce l’archiviazione dei referti.

Gli archivi cifrati giornalieri contenenti i referti sono memorizzati, in cartelle differenti, in un data server diverso dal Web server.

Durante tutto il periodo d’archiviazione, la cifratura, sugli archivi giornalieri, è mantenuta.

La visualizzazione degli esami mediante browser utilizza il protocollo SSL, che integra una cifratura simmetrica a chiave privata.

Sicurezza di infrastruttura

Per quanto riguarda la sicurezza di infrastruttura è stato creato tutto ciò che a livello di hardware e software permette di garantire la continuità del servizio ero- gato e la protezione a fronte d’attacchi di malintenzionati e/o d’attacchi non diret- ti quali virus.

Tale architettura prevede la divisione del servizio applicativo da quello servi- zio gestione dati.

Questa segmentazione permette di isolare fisicamente le due macchine e di aumentare la ridondanza dei servizi stessi.

A fronte di un guasto che sarà hardware o software, il ripristino dell’architettura diventerà sicuramente più semplice e rapido, data la selettività dei servizi erogati.

Ciò permette, inoltre, una maggiore celerità nell’analisi e nel recupero dei guasti.

Il frazionamento dei servizi permette di isolare e limitare il più possibile le connessioni tra Servizi Web e Servizi Data Base, diminuendo così l’esposizione a rischi d’attacchi programmatici e non.

Un successivo livello di sicurezza è la possibilità di isolare i server dedicati ai

due diversi servizi, che di seguito andremo ad analizzare, in due sottoreti separa-

te, connesse esclusivamente attraverso router, e con la possibilità di regolare il traf-

fico attraverso un firewall.

Servizio applicativo

Questo servizio Web è ciò che, a fronte di “richieste utente” (connessioni via Web o device), risponde in svariati modi e con svariati formati e formattazioni di dati.

Il servizio applicativo espone infine all’utente un’interfaccia Web attraverso Web browser che permette di interagire consultando o immettendo dati nel sistema.

Il servizio applicativo implementa un server Web che attraverso il protocollo HTTP permette di implementare i certificati di crittografia (SSL) per crittografa- re i dati trasportati su protocollo HTTP. I dati sensibili (utente, password, dati paziente etc.) in questo tipo d’architettura sono protetti attraverso questo mecca- nismo di crittografia.

Tale protocollo protegge la comunicazione da intercettazioni, generando una chiave di cifratura diversa per ogni singola trasmissione e usata per cifrare i dati trasmessi in entrambe le direzioni.

A ogni successivo collegamento è generata una nuova chiave di cifratura, ren- dendo quindi inutili i precedenti tentativi di decifratura dei messaggi.

Tale metodo è usato,ad esempio,dai siti di commercio elettronico per impedire l’in- tercettazione dei numeri di carta di credito o altri dati personali inviati al Web server.

Fig. 4. Data management server

Servizi Applicazioni

• Ricevente richieste

• Risposta pagine Web

• Generazione Cod. ID personali

Servizi Gestione Dati

• Arch. Cod. ID personali

• Arch. dei referti

• Arch. cifrati giornalieri

• Arch. in cartelle differenziate per laboratorio

Servizio gestione dati

Questo servizio permette la gestione di database per multilingua e multiapplica- zione, servizi che permettono la connessione multipla a questi stessi database, ser- vizi che gestiscono l’archiviazione dei database a fronte di pianificazioni di backup e disaster recovery e infine servizi che gestiscono la sicurezza per l’accesso ai data- base stessi a livello utente (Fig. 4).

Microsoft SQL Server 2000 implementa tutti questi servizi in una suite e una console di gestione ottimizzata per i sistemi operativi Microsoft.

Nella Figura 4 si vuole incentrare l’attenzione sulla suddivisione tra i due livel- li del servizio fornito.

I due livelli corrispondono anche a due Virtual LAN (VLAN) isolate se non per accessi regolati da router che abilitano la connessione a livello di controllo d’indi- rizzo IP e porte di connessione.

La VLAN DMZ (o demilitarizzata), in cui è presente il server applicativo, cor- risponde alla rete esposta a Internet, a cui i client Web accedono attraverso il pro- tocollo HTTPS (HTTP - SSL).

La VLAN DMZ è protetta da firewall data l’esposizione forzata alla rete Internet e dato l’alto rischio che questo impone.

La sicurezza applicativa permette di gestire regole fondamentali di sicurezza legate alla password. Scadenza, lunghezza minima, ricorrenza delle password sono gestite a livello applicativo.

La Figura 5 chiarisce come la struttura frazioni i componenti applicativi rela- zionati nella sezione sicurezza applicativa.

Protezione

I dati riguardanti l’infrastruttura di rete e dei server su cui si appoggiano i servi- zi del portale Web dedicato sono gestiti nella seguente configurazione: presenza di un server applicativo che prevede un firewall in ingresso per proteggere l’accesso ai server Web da Internet, rete esposta a ogni tipo d’attacco, sia premeditato sia non.

I server Web dislocati nella zona demilitarizzata sono configurati in network load balancing (NLB) (Fig. 5). NLB garantisce sia ridondanza del servizio sia bilanciamento di carico. In questa configurazione è, inoltre, possibile aggiornare i server senza peraltro dare disservizi.

I server Web in NLB, grazie all’installazione e alla configurazione di Microsoft Internet Information Services, garantiscono l’emissione di un servizio Web effi- ciente e integrato alla sicurezza della crittografia SSL.

È presente un server gestione dati in cui sono salvati i dati e che prevede più di un database; gli stessi sono associati a pianificazioni d’archiviazione per evitare tempi inaccettabili di stop del servizio in caso di disastro e quindi di necessario recupero di una situazione dal zero.

Il server dati è isolato da connessioni esterne essendo installato in una sotto- rete o VLAN separata da quella del server applicativo e non esposta direttamente a Internet.

La corretta ricezione dei dati è garantita da un formato (XML) ampiamente

collaudato e inoltre sono implementate sicurezze software che garantiscono la coerenza tra quanto trasmesso e quanto ricevuto dal portale Web dedicato (con- fronto tra il dato in memoria e il dato ricevuto dal server; fino a che il confronto non ne avrà stabilito la perfetta identicità il dato in uscita non sarà rilasciato).

La trasmissione dei dati dal centro (server) al dispositivo periferico (client) è bi-direzionale ed è effettuata tramite chiamate SOAP (formato XML) su TCP-IP.

Il server quindi pubblica in Internet un servizio Web che è utilizzato da tutti i

Fig. 5. Servizio gestione dati

dispositivi remoti per eseguire le sincronizzazioni.

Il client, quando si connettono a Internet tramite modem, eseguono le chia- mate ai metodi del servizio Web, compiendo così la sincronizzazione dei dati.

Sincronizzazione dati

Come già detto, la procedura di scambio dati è bi-direzionale; per questo motivo il servizio Web mette a disposizione 2 metodi:

- Upload Data: invio dei dati del dispositivo al centro.

- Download Setting: ricezione configurazione dispositivo dal centro.

In entrambi i casi, i dati (formattati in XML) sono trasmessi in pacchetti bina- ri compressi in modo da minimizzare il tempo di sincronizzazione e quindi la durata della chiamata che il client deve fare attraverso modem.

La compressione dei dati è stata eseguita tramite l’algoritmo Bzip2 che gene- ralmente crea file che sono il 60-70% della dimensione dei corrispondenti ottenu- ti usando gzip.

L’alta compressione assicura anche la correttezza dei dati in quanto la modifi- ca di un solo byte nel contenuto del buffer compresso non ne permetterebbe la sua decompressione, generando così un errore che indica di eseguire nuovamente il trasferimento dati.

I dati, da quando sono generati e spediti, a quando sono ricevuti e salvati, pas- sano attraverso diversi strati di protocolli (TCP-IP, HTTP, SOAP, BZIP) che ne con- trollano l’integrità e l’autenticità.

Per questo motivo, una volta ricevuti i pacchetti correttamente e dopo aver

decompresso le informazioni senza errori c’è la certezza che i dati trasmessi sono

gli stessi di quelli ricevuti.