Die vorliegende Erfindung betrifft eine IT-Architektur für Vorrichtungen, welche für gewöhnlich im Kontext von Blutbehandlungsanlagen zum Einsatz kommen. Derartige Vorrichtungen sind beispielsweise Blutbehandlungsgeräte, wie z.B. Dialysegeräte, Vorrichtung zur Wasseraufbereitung, vorzugsweise zur Herstellung von Dialysewasser, wie z.B. Umkehrosmoseanlagen, Wasservorbehandlungsvorrichtungen vorgeschaltet vor eine Umkehrosmoseanalge oder Filtrationsanlagen, oder Vorrichtungen zur Herstellung eines medizinischen Fluids, wie beispielsweise Konzentrataufbereitungsanlagen, beispielsweise für Dialysat oder Dialysat-Konzentrat.

Im medizinischen Bereich zum Einsatz kommende Geräte unterliegen bekanntlich einem aufwändigen Zulassungsverfahren, welches meist wiederholt werden muss, wenn ein entsprechendes Gerät angepasst oder modifiziert werden soll. Beispielsweise bringt meist schon eine relativ geringfügige Änderung eines Medizingeräts, wie z.B. eine Änderung der Gestaltung einer Benutzeroberfläche (GUI), die Notwendigkeit mit sich, das gesamte Medizingerät neu zuzulassen.

Dies führt dazu, dass das optische Erscheinungsbild der Benutzeroberflächen von Medizingeräten meist nur sehr schwer oder gar nicht anpassbar ist.

Vor diesem Hintergrund liegt der vorliegenden Erfindung die Aufgabe zugrunde, die Probleme des Stands der Technik abzumildern oder gar ganz zu beseitigen. Insbesondere liegt der vorliegenden Erfindung die Aufgabe zugrunde, eine flexible und kostengünstige Möglichkeit der Anpassung oder Aktualisierung der Software und / oder des optischen Erscheinungsbilds einer Benutzeroberfläche zu schaffen und gleichzeitig eine gleichbleibend hohe Patientensicherheit zu gewährleisten.

Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind Gegenstand der Unteransprüche.

Demnach ist eine Vorrichtung zur Herstellung einer medizinischen Flüssigkeit und / oder zur Überwachung der Herstellung einer medizinischen Flüssigkeit vorgesehen, mit: einem Gehäuse, einer ersten Steuerungseinheit, welche die Vorrichtung im Betrieb steuert; und einer Zugangskontrolleinheit, welche Schnittstellen zwischen der Vorrichtung und der Außenwelt bildet, wobei die erste Steuerungseinheit dazu ausgelegt ist, die Vorrichtung auch bei einem Ausfall der Zugangskontrolleinheit zu steuern, und die Steuerungseinheit und die Zugangskontrolleinheit jeweils auf einer separaten in dem Gehäuse angeordneten Platine konfiguriert sind, und die Zugangskontrolleinheit weiterhin eine Kommunikationseinheit zur Kommunikation mit der Außenwelt, und eine separat zu der Kommunikationseinheit ausgebildete Sicherheitseinheit aufweist, welche dazu ausgelegt ist, jegliche Kommunikation der ersten Steuerungseinheit über die Schnittstellen zu prüfen und nur nach einer festgestellten sicherheitstechnischen Unbedenklichkeit zuzulassen.

Gewissermaßen ist die Steuerungseinheit also vorzugsweise dazu ausgelegt, die Vorrichtung auch bei einem Ausfall der Zugangskontrolleinheit autark zu steuern. Autark bedeutet in diesem Kontext, dass die Steuereinheit bei jedweder Störung der Kommunikation mit der Außenwelt oder des Betriebs der Zugangskontrolleinheit bis hin zum Ausfall der Zugangskontrolleinheit uneingeschränkt und unabhängig davon die Vorrichtung steuern kann.

Ein Vorteil kann dabei darin bestehen, dass eine erfindungsgemäße Vorrichtung ohne Einschränkung der Cyber-Sicherheit oder der Konnektivitätsmöglichkeiten ohne jegliches externe Gateway betrieben kann. In anderen Worten kann man es so sehen, dass in an das Umfeld der Vorrichtung angepasster Weise Gateway-Funktionalität in die Vorrichtung integriert wird. Grundsätzlich kann eine erfindungsgemäße Vorrichtung bei jedweder Störung der Kommunikation mit der Außenwelt oder des Betriebs der Zugangskontrolleinheit bis hin zum Ausfall der Zugangskontrolleinheit auch in den Notbetrieb wechseln und hierfür gegebenfalls vorzugsweise eine weitere Steuerungseinheit verwenden, welche für einen Notbetrieb vorgesehen ist.

Gemäß einer Ausführungsform der Erfindung steht die Sicherheitseinheit mit der Außenwelt über mindestens zwei separate Kommunikationspfade in Verbindung, wobei ein erster Kommunikationspfad von außen kommend zunächst zu der Kommunikationseinheit und daraufhin zu der Sicherheitseinheit führt und ein zweiter Kommunikationspfad von außen kommend direkt zu der Sicherheitseinheit führt und die Sicherheitseinheit dazu ausgelegt ist, jegliche Kommunikation der ersten Steuerungseinheit über die ersten und zweiten Kommunikationspfade zu prüfen und nur nach einer festgestellten sicherheitstechnischen Unbedenklichkeit zuzulassen.

Vorzugsweise sind die Kommunikationseinheit und die Sicherheitseinheit als zwei separate Webserver oder als zwei separate und voneinander autonome Teile eines Kommunikationsmoduls, beispielsweise eines Webservers .realisiert. Weiter vorzugsweise sind die Kommunikationseinheit und die Sicherheitseinheit als zwei separate und voneinander autonome Teile eines als Software umgesetzten sogenannten Kommunikationsmoduls realisiert. Der Funktionsumfang von Webservern weist beinahe den gesamten Funktionsumfang von Kommunikationsmodulen auf. Daher ist die Gestaltung als Kommunikationsmodul gegenüber Webservern zu bevorzugen einerseits, aber andererseits bietet es sich an, Webserver als einen Großteil der Funktionalität abdeckenden Teil bzw. Teile eines solchen Kommunikationsmoduls zu gestalten.

Auf diese Weise lässt sich die Cyber-Sicherheit der Vorrichtung erhöhen.

Weiterhin kann eine erfindungsgemäße Vorrichtung einer zweiten Steuerungseinheit ausgestattet sein, welche die Vorrichtung im Notbetrieb steuert; wobei die zweite Steuerungseinheit auf einer separaten, in dem Gehäuse angeordneten dritten Platine konfiguriert ist und die Sicherheitseinheit weiterhin dazu ausgelegt ist, jegliche Kommunikation der zweiten Steuerungseinheit mit der Außenwelt zu prüfen.

Vorzugsweise bildet die Sicherheitseinheit eine sicherheitstechnische Trennung zwischen einem ersten Bereich der Vorrichtung und einem zweiten Bereich der Vorrichtung aus, wobei der erste Bereich die Kommunikationseinheit und der zweite Bereich die erste und optional die zweite Steuerungseinheit aufweist.

Auf diese Weise lassen sich mittels der Sicherheitseinheit die für eine Zulassung als Medizingerät relevanten Komponenten der Vorrichtung von anderen Komponenten der Vorrichtung, wie z.B. der Kommunikationseinheit, trennen bzw. abschirmen. Das kann vorteilhaft ermöglichen, dass z.B. die Kommunikationseinheit durch Updates verändert werden kann, während die als Medizingerät zugelassenen Komponenten weiterhin unverändert sind und daher nicht deren Zulassung in Frage gestellt wird. Oder durch diese Trennung wird eine Zulassung oder eine Wiederzulassung erleichtert.

Die Kommunikationseinheit ist vorzugsweise dazu ausgelegt, einen Kommunikationspfad zur Netzwerkkommunikation bereitzustellen, beispielsweise indem sie mittels eines Webservers eine Webseite hostet und / oder einen Cloud-Service hostet und / oder eine Verbindung mit einem Cloud-Server bereitstellt.

Da die Kommunikationseinheit mittels der Sicherheitseinheit von den Steuerungseinheiten, die für eine Zulassung als Medizingerät relevante Komponenten der Vorrichtung darstellen, getrennt ist, kann eine Kommunikation der Vorrichtung mit der Außenwelt erfolgen, ohne dass die Zulassung der Vorrichtung als Medizingerät hiervon betroffen wäre. Oder es kann dadurch die Zulassung oder zumindest die Wiederzulassung als Medizingerät - nach einer Änderung der außerhalb der Sicherheitseinheit gelegenen Bestandteile - erheblich vereinfacht werden, weil die Änderungen im Bereich der Kommunikationseinheit (z.B. Aktualisierung der Kommunikationsprotokolle oder anderer Kommunikationsmittel zur Erhöhung der Cyber-Security) sich auf einen Bereich der Vorrichtung beschränken, welcher außerhalb der sicherheitstechnischen Trennung liegen und damit den beispielsweise als Medizingerät eingestuften Bereich nicht betreffen.

Vorzugsweise sind mittels des ersten Kommunikationspfads mindestens Informationen von der ersten Steuereinheit nach außen übertragbar und mittels des zweiten Kommunikationspfads Informationen von der ersten Steuereinheit nach außen übertragbar sind und/oder Informationen von außen zur ersten Steuereinheit übertragbar sind und/oder ein Zugriff auf die erste Steuerungseinheit von außen erfolgen kann, wenn die Sicherheitseinheit eine sicherheitstechnische Unbedenklichkeit festgestellt hat. Dabei führt der zweite Kommunikationspfad insofern direkt von der Außenwelt zur ersten Steuerungseinheit, dass er nur über die Sicherheitseinheit und nicht über die Kommunikationseinheit führt. Über diesen Kommunikation kann ein Steuerzugriff über die direkte Übertragung von Befehlen von außen an die Steuerungseinheit erfolgen.

Weiterhin weist eine erfindungsgemäße Vorrichtung vorzugsweise mindestens eine Anzeigeeinheit auf, welche Teil der Vorrichtung ist und vorzugsweise als Bildschirm ausgestaltet ist, wobei die Anzeigeeinheit mit der ersten und / oder zweiten Steuerungseinheit verbunden ist. Diese Anzeigeeinheit ist vorzugsweise beispielsweise als Bildschirm oder Touch-Screen ausgestaltet und in bzw. an der Vorrichtung verbaut.

Alternativ oder zusätzlich kann eine erfindungsgemäße Vorrichtung eine weitere Anzeigeeinheit aufweisen, welche mit der Kommunikationseinheit verbunden oder verbindbar ist, wobei die Kommunikationseinheit vorzugsweise dazu ausgelegt ist, von der Anzeigeeinheit angezeigte Inhalte zu bestimmen und / oder anzupassen. Beispielsweise kann diese Anzeigeeinheit als der Vorrichtung zugeordnetes externes Endgerät, wie z.B. als Tablet oder als Laptop, ausgestaltet sein.

Vorzugsweise sind weiterhin mittels der Anzeigeeinheit(en) Eingaben vorzugsweise bezüglich des Betriebs der Vorrichtung tätigbar. Beispielsweise kann mittels der Anzeigeeinheit eine direkte und lokale Steuerung der Vorrichtung erfolgen, z.B. indem manuell Steuerungsbefehle eingegeben werden. Die Anzeigeeinheiten können zum Zweck der Eingaben über Eingabemittel verfügen, wie z.B. eine Tastatur oder Schalter, Knöpfe etc. oder Berührungen des Nutzers erfassen (z.B. Touch Screens).

Mittels der Kommunikationseinheit können beispielsweise Websites angepasst werden, welche mittels der Anzeigeeinheit abrufbar sind, sodass das auf der Anzeigeeinheit dem Benutzer präsentierte Erscheinungsbild flexibel anpassbar oder aktualisierbar ist.

Eine erfindungsgemäße Vorrichtung kann beispielsweise ein medizinisches Gerät und / oder ein Gerät zur Bereitstellung medizinischen Wassers oder medizinischer Lösungen sein. Eine erfindungsgemäße Vorrichtung kann allerdings auch lediglich das medizinische Gerät und / oder ein Gerät zur Bereitstellung medizinischen Wassers oder medizinischer Lösungen überwachen.

Ebenso ist es denkbar, dass die Vorrichtung ein Blutbehandlungsgerät, insbesondere ein Dialysegerät, ist.

Die Vorrichtung kann auch ein Gerät zur Wasservorbehandlung einschließlich verschiedener Behandlungsstufen wie beispielsweise physikalische Filter, Aktivkohlefilter, Enthärter, eine Umkehrosmoseanlage oder anderweitige Reinwasseranlage zur Bereitstellung von Dialysewasser, eine Konzentratmischanlage für Dialysat-Konzent- rat, eine wassertechnische Leitstelle, eine Mischanlage zur zentralen Bereitung von Dialysat oder eine sonstige Vorrichtung, welche bei der Bereitstellung von Flüssigmedien für die Dialyse zum Einsatz kommt, sein.

Vorzugsweise ist die Vorrichtung weiterhin dazu ausgelegt, mittels mindestens eines Sensors einen Parameter einer medizinischen Flüssigkeit zu erfassen, wobei der Sensor entweder ein Bestandteil der Vorrichtung ist oder mit der Vorrichtung über eine Leitung, beispielsweise eine elektrische Leitung, eine drahtlose Verbindung o- der eine Flüssigkeitsleitung verbunden ist. Mittels des Sensors kann die erfindungsgemäße Vorrichtung vorzugsweise die Bereitstellung eines Flüssigmediums für die Blutbehandlung, medizinischen Wassers oder einer sonstigen medizinischen Lösung überwachen.

Weiterhin betrifft die vorliegende Erfindung eine Verwendung einer erfindungsgemäßen Vorrichtung in einer Klinik oder Dialyseeinrichtung und / oder zur Herstellung einer medizinischen Flüssigkeit und / oder zur Wasseraufbereitung, vorzugsweise zur Herstellung eines Flüssigmediums für die Dialyse wie Dialysewasser, Dialysat- Konzentrat oder Dialysat.

In anderen Worten ausgedrückt, läßt sich die Erfindung wie folgt beschreiben:

Demnach ist eine Vorrichtung mit einem Gehäuse, einer ersten Steuerungseinheit, welche die Vorrichtung im Normalbetrieb steuert, und einer Zugangskontrolleinheit, welche eine Schnittstelle zwischen der Vorrichtung und der Außenwelt bildet, vorgesehen, wobei die Steuerungseinheit und Zugangskontrolleinheit jeweils auf einer separaten, in dem Gehäuse angeordneten Platine konfiguriert sind, und die Zugangskontrolleinheit weiterhin eine Kommunikationseinheit, mittels welcher Aspekte der Vorrichtung durch einen Benutzer anpassbar sind, und eine separat zu der Kommunikationseinheit ausgebildete Sicherheitseinheit aufweist, welche dazu ausgelegt ist, jegliche Kommunikation der ersten Steuerungseinheit mit der Außenwelt zu prüfen.

Die Zugangskontrolleinheit ist in der Kommunikation zwischen der Außenwelt und den Steuerungseinheit(en) der Vorrichtung zwischengeschaltet. Während die Steu- erungseinheit(en) den Betrieb der Vorrichtung direkt steuern und somit z.B. in einem Fall, in welchem die Vorrichtung ein Blutbehandlungsgerät ist, Teil des Medizingeräts und somit zulassungsrelevant sind, gibt die Zugangskontrolleinheit lediglich Informationen wie z.B. Steuerungsbefehle von der Außenwelt an die Steuerungseinheit(en) der Vorrichtung weiter, ohne selbst eine Steuerung auszuführen. Hinsichtlich eines Zulassungsverfahrens als Medizingerät gilt die Zugangskontrolleinheit somit nicht notwendigerweise als Teil des Medizingeräts, sodass Änderungen der Zugangskontrolleinheit keine Neuzulassung der Vorrichtung erfordern.

Die Sicherheitseinheit bildet hierbei vorzugsweise eine sicherheitstechnische Trennung zwischen einem ersten Bereich der Vorrichtung und einem zweiten Bereich der Vorrichtung, wobei der erste Bereich die Kommunikationseinheit und der zweite Bereich die erste und / oder die zweite Steuerungseinheit aufweist.

In anderen Worten werden durch die Sicherheitseinheit zwei getrennte Bereiche geschaffen und die Funktionen der Steuerung des Medizingeräts und der Anpassung bzw. Aktualisierung, z.B. des optischen Erscheinungsbilds der Benutzeroberfläche, sowie die hierfür erforderliche Kommunikation mit der Außenwelt werden klar voneinander getrennt.

So ist es möglich, eine Aktualisierung der Benutzeroberfläche vorzunehmen, ohne dass dadurch die für die Steuerung bzw. den Betrieb und somit für das Zulassungsverfahren des Medizingeräts relevanten Komponenten, insbesondere die Steuerungseinheiten, in irgendeiner Weise berührt würden.

Die Komponenten, deren Änderung eine Neuzulassung des Medizingeräts erforderlich machen würden, insbesondere die Steuerungseinheiten, werden somit durch die Sicherheitseinheit abgeschirmt und von der Kommunikationseinheit entkoppelt. Es entstehen somit durch die Trennwirkung der Sicherheitseinheit zwei unabhängige Bereiche, in welchen die zulassungsrelevanten Funktionen des Medizingeräts von anderen Komponenten, beispielsweise von der Kommunikationseinheit oder auch von einem Kommunikationsklienten zum Datenaustausch mit der Außenwelt getrennt vorliegen. Ein besonderer Vorteil besteht hierbei darin, dass sowohl die Zugangskontrolleinheit als auch die Steuerungseinheit(en) innerhalb der Vorrichtung, insbesondere innerhalb eines Gehäuses der Vorrichtung, vorgesehen sind und vorzugsweise jeweils auf separaten Platinen (Circuit Boards) vorhanden sind.

Somit fällt die Notwendigkeit separater Geräte weg, da die notwendige IT- Infrastruktur bereits in einer jeden erfindungsgemäßen Vorrichtung verbaut ist. Die strenge, auch räumliche, Trennung der Zugangskontrolleinheit und der Steuerungseinheiten) innerhalb der Vorrichtung verbessert die Patientensicherheit, da so eine besonders verlässliche Trennung der Bereiche gewährleistet werden kann.

Vorzugsweise sind die Kommunikationseinheit und die Sicherheitseinheit als zwei separate Webserver oder als zwei separate Teile eines Webservers realisiert, welche auf derselben Platine wie die Zugangskontrolleinheit vorhanden sind. Auch andere Ausgestaltungen als eine Ausgestaltung als Webserver wären denkbar, so lange eine saubere Trennung der der Kommunikationseinheit und die Sicherheitseinheit gewährleistet ist.

Vorzugsweise erzeugt die Kommunikationseinheit eine Benutzeroberfläche auf einer Anzeigeeinheit der Vorrichtung. Die Kommunikationseinheit hat vorzugsweise keinerlei direkten Zugriff bzw. keinerlei direkte Kommunikation mit den Steuerungsein- heit(en) der Vorrichtung, sondern kann mit diesen nur über die Sicherheitseinheit kommunizieren.

Die Sicherheitseinheit fungiert in anderen Worten vorzugsweise als Art Fire-Wall in der Kommunikation mit den Steuerungseinheit(en)der Vorrichtung und führt beispielsweise Funktionen der Authentifizierung, Datenpaketverifikation, Audit-Protokollierung, und Erstellung und Überprüfung von Benutzermodellen aus. Lediglich von der Sicherheitseinheit hinsichtlich der sicherheitstechnischen Unbedenklichkeit positiv geprüfte Signale werden von der Sicherheitseinheit an die Steuerungseinheit(en) weitergeleitet. Grundsätzlich kann eine erfindungsgemäße Vorrichtung auch bei einem Ausfall der Zugangskontrolleinheit autark durch die erste und / oder zweite Steuerungseinheit betrieben werden.

Um für einen Notbetrieb optimal gerüstet zu sein, kann eine erfindungsgemäße Vorrichtung weiterhin eine zweite Steuerungseinheit aufweisen, welche dazu ausgelegt ist, die Vorrichtung im Notbetrieb zu steuern, beispielsweise wenn eine Verbindung zur Außenwelt und somit die Möglichkeit eines Fernzugriffs, nicht besteht.

Die zweite Steuerungseinheit ist vorzugsweise auf einer separaten, in dem Gehäuse angeordneten Platine konfiguriert. Ähnlich wie die erste Steuerungseinheit wird auch die zweite Steuerungseinheit durch die Sicherheitseinheit nach außen abgeschirmt. In anderen Worten ist die Sicherheitseinheit somit vorzugsweise weiterhin dazu ausgelegt, jegliche Kommunikation der zweiten Steuerungseinheit mit der Außenwelt zu prüfen. Auch die Kommunikation der zweiten Steuerungseinheit mit der Außenwelt verläuft somit vorzugsweise nicht direkt, sondern indirekt über die Sicherheitseinheit, wie dies auch für die erste Steuerungseinheit der Fall ist.

Vorzugsweise weist die Zugangskontrolleinheit weiterhin einen Kommunikationsklienten zum Datenaustausch mit der Außenwelt, beispielsweise einer Cloud, auf. Der Kommunikationsklient dient beispielsweis dazu, Daten bezüglich des Betriebs der Vorrichtung an ein digitales Logbuch in der Cloud zu senden.

Auch der Kommunikationsklient hat vorzugsweise keinerlei direkten Zugriff bzw. keinerlei direkte Kommunikation mit der Steuerungseinheit(en) der Vorrichtung, sondern kann mit diesen nur über die Sicherheitseinheit kommunizieren.

Die Kommunikation einer erfindungsgemäßen Vorrichtung erfolgt vorzugsweise stets über die Zugangskontrolleinheit. Die Zugangskontrolleinheit ist hierbei vorzugsweise dazu ausgelegt, vorzugsweise über ein Gateway, mit der Außenwelt zu kommunizieren und Steuerungsbefehle beispielsweise von einem lokalen Netzwerk oder von fern beispielsweise über eine Cloud zu erhalten. Alternativ oder zusätzlich erfolgt die Kommunikation der Vorrichtung über eine Anzeigeeinheit, welche vorzugsweise auch als Eingabeeinheit fungiert und mit der Zugangskontrolleinheit verbunden ist.

Die Anzeigeeinheit ist hierbei vorzugsweise Teil der Vorrichtung und ist beispielsweise als Bildschirm, insbesondere Touch-Screen, ausgestaltet, wobei die Kommunikationseinheit mit der Anzeigeeinheit verbunden und dazu ausgelegt ist, von der Anzeigeeinheit angezeigte Inhalte zu bestimmen und / oder anzupassen.

Weiterhin sind mittels der Anzeigeeinheit Eingaben vorzugsweise bezüglich des Betriebs der Vorrichtung tätigbar, beispielsweise können Steuerungsbefehle eingegeben werden. Derartige Eingabe werden über die Zugangskontrolleinheit, insbesondere über die Sicherheitseinheit, an die Steuerungseinheit(en) kommuniziert.

Grundsätzlich kann eine erfindungsgemäße IT-Infrastruktur auf jegliche Vorrichtung angewandt werden. Vorzugsweise ist eine erfindungsgemäße Vorrichtung jedoch eine Vorrichtung, welche im Rahmen einer Blutbehandlungsanlage zum Einsatz kommt.

Beispielsweise kann die Vorrichtung ein medizinisches Gerät, vorzugsweise ein Blutbehandlungsgerät, insbesondere ein Dialysegerät, sein.

Die Vorrichtung kann aber auch eine Vorrichtung zur Wasseraufbereitung, vorzugsweise zur Herstellung von Dialysewasser, oder zur Herstellung eines medizinischen Fluids sein. Beispielsweise kann die Vorrichtung eine Komponente einer Wasseraufbereitungsanlage, wie z.B. eine Umkehrosmosevorrichtung, eine Filtereinrichtung o- der eine zugehörige Sensorik sein. Die Vorrichtung kann auch eine Vorrichtung zur Herstellung eines medizinischen Fluids, beispielsweise zur Herstellung von Dialysierflüssigkeit aus Konzentraten, sein.

Ein weiterer Aspekt der Erfindung betrifft eine Verwendung einer erfindungsgemäßen Vorrichtung in oder mit einer Dialyseanlage und / oder zur Herstellung eines medizinischen Fluids und / oder zur Wasseraufbereitung, vorzugsweise zur Herstellung von Dialysewasser. An dieser Stelle wird darauf hingewiesen, dass, wenn im Rahmen der vorliegenden Offenbarung ein Element im Singular genannt ist, die Erfindung nicht darauf beschränkt ist, sondern auch das Element im Plural umfassen kann, und umgekehrt.

Zudem können sämtliche offenbarten Merkmale, Effekte und Vorteile der Erfindung beliebig voneinander isoliert oder miteinander kombiniert werden.

Weitere Vorteile, Merkmale und Effekte der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung einer Ausführungsform der Erfindung unter Bezugnahme auf die Figur.

Figur 1 zeigt schematisch eine erfindungsgemäße Vorrichtung;

Fig. 2 zeigt schematisch, wie eine erfindungsgemäße Vorrichtung oder erfindungsgemäße Vorrichtungen z.B. im Rahmen einer Klinik zum Einsatz kommen können.

Wie in Fig. 1 gezeigt weist eine erfindungsgemäße Vorrichtung ein Gehäuse 1 auf. Innerhalb des Gehäuses 1 sind jeweils auf einer separaten Platine eine Zugangskontrolleinheit 2 sowie eine erste Steuerungseinheit 3 für den Normalbetrieb der Vorrichtung und eine zweite Steuerungseinheit 4 für den Notbetrieb der Vorrichtung vorgesehen.

Die Zugangskontrolleinheit 2 dient als Kommunikationsschnittstelle zwischen der Vorrichtung und der Außenwelt. Beispielsweise kann von außen über ein optionales Gateway 5 mit der Vorrichtung bzw. zunächst deren Zugangskontrolleinheit 2 kommuniziert werden, der Zugriff auf die Vorrichtung kann hierbei über einen Fernzugriff beispielsweise aus der Cloud oder auch über ein lokales Netzwerk, beispielsweise das lokale Netzwerk einer Klinik, welcher eine Blutbehandlungsanlage angeschlossen ist, erfolgen. Die Zugangskontrolleinheit 2 weist eine Kommunikationseinheit 6 und eine Sicherheitseinheit 7 auf, welche in dieser Ausgestaltung als zwei separate und autonome Webserver (Webserver #1 und Webserver #2) ausgebildet sind.

Die Kommunikationseinheit 6 steht mit einer Anzeigeeinheit 8 der Vorrichtung in Verbindung und generiert auf dieser eine bestimmte Benutzeroberfläche. Mittels der Anzeigeeinheit 8 können auch Eingaben getätigt werden, welche von der Kommunikationseinheit 6 an die Sicherheitseinheit 7 weitergegeben werden können, wie dies durch den Kommunikationsfluss 9 angedeutet ist. Die Anzeigeeinheit 8 ist vorzugsweise ein separates Gerät wie ein Touch-Display, ein Tablet oder ein Laptop, welches mit der Vorrichtung vorezugsweise drahtlos verbunden und / oder verbindbar ist.

Die Vorrichtung weist zudem eine weitere Anzeigeeinheit 8a auf, mittels welcher auch Eingaben getätigt werden können. Die Anzeigeeinheit 8a steht mit der ersten Steuerungseinheit 3 und / oder der zweiten Steuerungseinheit in Verbindung und ermöglicht vorzugsweise eine lokale oder eine Direktsteuerung der Vorrichtung 1 , beispielsweise, indem lokal direkt Steuerungsbefehle manuell eingegeben werden. Die Anzeigeeinheit 8a ist vorzugsweise einTeil der Vorrichtung 1 und beispielsweise mit der Vorrichtung verbaut und / oder fest verbunden.

Die Anzeigeeinheiten 8, 8a, welche vorzugswiese auch als Eingabeeinheiten fungieren, können beispielsweise fest an oder in der Vorrichtung verbaut sein, beispielsweise in Form eines Monitors oder Touch-Screens oder es kann sich jeweils um ein der Vorrichtung 1 zugehöriges Endgerät, wie z.B. einen Laptop oder ein Tablet handeln.

In dieser Ausgestaltung ist die Kommunikationseinheit 6 als Webserver dazu befähigt, Webseiten (z.B. html) zu hosten, die Kommunikationseinheit 6 kann aber auch dazu ausgelegt sein, einen anderen digitalen Kommunikationspfad bereitzustellen, auf welchen über ein Netzwerk (Internet, Intranet, WAN, WLAN, LAN etc.) von außen zugegriffen werden kann. Die Sicherheitseinheit 7 steht über Verbindungen 10 und 11 , welche beispielsweise als Serial Bus ausgestaltet sind, mit den ersten und zweiten Steuerungseinheiten 3 und 4 in Verbindung. In der vorliegenden Ausgestaltung weist die Sicherheitseinheit 7 ein REST-Protokoll (auch „REST engine“) als Kommunikationsprotokoll auf. Dies ist jedoch rein beispielhaft zu verstehen und die Sicherheitseinheit 7 könnte auch ein beliebiges anderes Kommunikationsprotokoll verwenden.

Lediglich Signale, wie z.B. von außen kommende Steuerungsbefehle, welche die Sicherheitseinheit 7 hinsichtlich ihrer Sicherheit beispielsweise durch Überprüfung von Benutzerrollen, Abfrage von Zertifikaten etc. positiv geprüft hat, werden von der Sicherheitseinheit 7 an die Steuerungseinheiten 3 und 4 weitergeleitet.

Wie dies durch den Kommunikationsfluss 12 angedeutet ist, können von außen kommende Signale, wie z.B. von einer Klinik-Infrastruktur-Software kommende Steuerungsbefehle, der Sicherheitseinheit 7 direkt zugehen. Somit kann auf eine erfindungsgemäße Vorrichtung stets auch lokal zugegriffen werden, um einen sicheren Betrieb auch dann zu gewährleisten, wenn eine Fernkommunikation ausfällt.

Alternativ oder zusätzlich erhält die Sicherheitseinheit 7, wie dies durch den Kommunikationsfluss 13 angedeutet ist, Signale über einen Kommunikationsklienten 15, welcher beispielsweise im Datenaustausch mit einer Cloud steht. Der Kommunikationsklient 15 ist optional, grundsätzlich kann die Zugangskontrolleinheit 2 einer erfindungsgemäßen Vorrichtung auch nur die Sicherheitseinheit 7 und die Kommunikationseinheit 6 aufweisen. Alternativ kann die Zugangskontrolleinheit 2 so ausgestaltet sein, dass die Kommunikationseinheit 6 einen Kommunikationsklienten zum Datenaustausch mit einer Cloud aufweist, aber keinen Webserver.

Sämtliche von außen kommende Kommunikationsflüsse 12, 13 und 9 verlaufen wie dies in Fig. 1 gezeigt ist, zu der Sicherheitseinheit 7, welche somit die Steuerungseinheiten 3 und 4 nach außen abschirmt. Lediglich wenn eine Prüfung eines einkommenden Signals durch die Sicherheitseinheit hinsichtlich der sicherheitstechnischen Unbedenklichkeit positiv ausgefallen ist, gibt die Sicherheitseinheit dieses Signal an die Steuerungseinheiten 3 und 4 weiter.

Die Sicherheitseinheit 7 bildet somit eine Trennung zwischen einem geschützten Bereich, welcher die Steuerungseinheiten 3 und 4 aufweist, und einem zur Außenwelt offenen Bereich, welcher die Zugangskontrolleinheit 2 und insbesondere die Kommunikationseinheit 6 sowie den Kommunikationsklienten 15 umfasst. Somit lassen sich die zulassungsrelevanten Komponenten zur Steuerung der Vorrichtung zuverlässig von anderen Komponenten, welche beispielsweise der Anpassung oder Aktualisierung von Benutzeroberflächen dienen, trennen.

Eine erfindungsgemäße Vorrichtung zeichnet sich somit durch einen modularen Aufbau mit mindestens zwei als getrennte Platinen bzw. Schaltkreise in demselben Gerät / Gehäuse aus, wobei die eine Platine eine Steuerungseinheit aufweist, welche die harten Kontrollfunktionen realisiert, und die andere Platine eine Zugangskontrolleinheit aufweist, welche in der Gestalt der Sicherheitseinheit 7 die Trennung zwischen innen und außen der Vorrichtung im Sinne der Cyber-Security realisiert. Auf der letzteren Platine sind mindestens zwei unabhängige Software-Instanzen vorgesehen, welche mindestens zwei unterschiedliche Kommunikationskanäle nach Extern bereitstellen.

Ein Kanal, welcher durch die Sicherheitseinheit 7 gebildet wird, ermöglicht einen protokollbasierten direkten Durchgriff, mit dem Informationen gesendet und Steuerbefehle empfangen werden können. Der zweite Kanal, welcher durch die Kommunikationseinheit 6 und / oder einen Kommunikationsklienten 15 gebildet wird, ermöglicht eine gehostete, damit weniger direkte Kommunikation - beispielsweise durch einen lokalen Webserver oder eine Anbindung an eine remote Cloud.

In Fig. 2 ist ein System 1000 gezeigt, welches eine oder mehrere erfindungsgemäße Vorrichtungen umfasst und welches in einer Klinik zum Einsatz kommt. Das Bezugszeichen 101 bezeichnet eine erfindungsgemäße Vorrichtung, welche als Wasser- Vorbehandlungs-Einrichtung ausgestaltet ist. Das Bezugszeichen 102 bezeichnet eine erfindungsgemäße Vorrichtung, welche als Umkehrosmoseanlage ausgestaltet ist. Das Bezugszeichen 103 bezeichnet eine erfindungsgemäße Vorrichtung, welche als Dialysat-Konzentrat-Bereitungsvorrichtung oder Dialysat-Bereitungsvorrichtung ausgestaltet ist. Das Bezugszeichen 104 bezeichnet eine erfindungsgemäße Vorrichtung, welche als Wasserbehandlungsleitwarte oder Wasserbehandlungs-Senso- rik-Vomchtung ausgestaltet ist. Das Bezugszeichen 105 bezeichnet eine erfindungsgemäße Vorrichtung, welche als Hämodialyse-Behandlungs-Vorrichtung ausgestaltet ist.

Das System 1000 weist zumindest eine der Vorrichtungen 101-105 auf, vorzugsweise weist es die Vorrichtungen 102 und 103 auf. Wenn das System 1000 lediglich auf die Bereitstellung von Flüssigmedien fokussiert werden soll, ist keine Vorrichtung 105 vorgesehen, da diese Behandlungsmaschine keine Flüssigmedien bereitstellt, sondern diese verwendet. Dabei kann eine oder mehrere der Vorrichtungen Wasser- Vorbehandlungs-Einrichtung 101 , Umkehrosmoseanlage 102, Dialysat-Konzentrat- Bereitungsvorrichtung oder Dialysat-Bereitungsvorrichtung 103, Wasserbehandlungsleitwarte oder Wasserbehandlungs-Sensorik-Vorrichtung 104, Hämodialyse- Behandlungs-Vorrichtung 105 gemäß der Erfindung ausgeführt sein. Ein System aufweisend derartige Vorrichtungen, wobei manche gemäß der Erfindung gestaltet sind, und manche nicht gemäß der Erfindung gestaltet sind, ist ebenso mit umfasst. Das System kann eine oder mehrere identische Vorrichtungen aufweisen.

Die Vorrichtungen 101 , 102, 103 und 105 sind miteinander über die als Pfeile wiedergegebenen Leitungen für Flüssigmedium verbunden. Die Vorrichtung 104 erfasst mittels Sensorleitungen oder Datenverbindungen mindestens einen Parameter des Flüssigmediums an oder in der Vorrichtung 101 und / oder in der Leitung zwischen der Umkehrosmose- Vorrichtung 105 und der Hämodialyse-Behandlungs-Vorrichtung 105.

Die Vorrichtungen 101- 105 können mit einem Gateway 5 in wechselseitiger Datenverbindung stehen. Das Gateway 5 ist aber im Kontext der Erfindung völlig optional. Insbesondere können Dank der Erfindung eine oder mehrere der Vorrichtungen Wasser-Vorbehandlungs-Einrichtung 101 , Umkehrosmoseanlage 102, Dialysat-Kon- zentrat-Bereitungsvorrichtung oder Dialysat-Bereitungsvorrichtung 103 und Wasserbehandlungsleitwarte oder Wasser-behandlungs-Sensorik-Vorrichtung 104 auch ohne jegliches Gateway 5 direkt mit dem Netzwerk einer Klinik, eines Krankenhauses, eines Behandlungszentrums oder dem Internet bzw. einer Cloud verbunden sein. Das Gateway 5 ist mit einem lokalen Rechenzentrum 300 bzw. der lokalen IT- Struktur der Klinik verbunden und steht ebenso mit der Cloud 900 in Kommunikation.