神经刺激系统的远程随访

技术领域

本发明涉及对用于神经刺激的治疗设备进行远程编程的方法以及对用于神经刺激的治疗设备进行远程编程的系统。特别地，本发明涉及促进对脊髓刺激(SCS)的治疗设备进行远程随访的方法和系统。

背景技术

通常，诸如植入式脉冲发生器(IPG)或试验刺激器之类的SCS治疗设备通过植入硬膜外腔中的引线传递电脉冲，以产生止痛效果。刺激程序被定义为一组刺激参数，其可以包括关于所选电极的信息以及治疗设置比如频率和/或脉冲模式、脉冲宽度和幅度范围或其组合。这些程序参数通常由临床医生编程器(例如可以是临床医生或公司代表)的用户定义。临床医生编程器可以允许用户创建一个以上的程序选项以供患者使用。然后，患者可以使用患者编程器(有时也称为患者远程控制)来选择哪个程序是活动的，并在允许的范围内调整程序的幅度。

下面，将解释一些标准的办公室内SCS编程功能。SCS治疗设备主要是通过面对面随访会话来编程。在这种所谓的办公室内随访期间，临床医生编程器的用户检查治疗设备(例如试验刺激器或植入式设备)的状态。临床医生编程器的用户为一个或多个程序选项定义程序参数。通常，当在临床医生编程器上更改参数时，它们会立即在治疗设备上生效。临床医生编程器的用户可以实时设置治疗设备的所有参数，包括幅度、脉冲宽度、频率和/或脉冲模式以及电极选择。

接下来，将解释一些标准的家用SCS功能。现有的SCS系统允许患者通过患者编程器控制刺激。SCS系统允许患者选择活动程序(从通过临床医生编程器定义的程序列表中)，并在允许的幅度范围内调整刺激幅度。患者编程器还提供了完全关闭然后重新打开刺激的能力。

一些市售的SCS系统通过患者编程器为患者提供高级的刺激控制选项以控制刺激，比如频率、脉冲宽度或程序内同时运行的刺激序列(称为“区域”或“子程序”)之间幅度的相对平衡。

这种用于SCS编程的常规方法存在的问题是，至少一些患者需要频繁或持续的调整以优化刺激治疗。在家庭环境中使用的患者编程器在这方面有两个主要限制：(1)常规患者编程器的技术功能受到限制，以致患者编程器没有临床医生编程器那样多的编程控制选项；(2)SCS患者通常不具备通过患者编程器执行更高级编程功能的专门知识，因此需要临床专家来进行调整。

因此，许多当前可用的系统要求患者旅行以与临床专家会面以便接受重新编程。特别是对于疼痛的患者，旅行可能给患者带来负担和挑战。在某些情况下，患者选择跳过重新编程的就诊，因此可能没有进行最佳的刺激治疗。

为了提供一些刺激编程的故障排除方法，而无需患者去诊所，一些临床专家会通过患者编程器向患者提供有关可以进行的更改的电话说明。一些患者编程器具有可用的更高级刺激参数。

文献US10124177B2公开了一种用于当患者远离临床医生时对植入的设备进行编程的系统。该系统包括患者编程器、临床医生编程器以及配置为促进患者编程器和临床医生编程器之间的安全通信的远程诊断服务器。远程诊断服务器配置为在患者编程器和临床医生编程器之间发起安全编程会话，从临床医生编程器接收提议的刺激程序，将提议的刺激程序传输给患者编程器，从患者编程器接收患者已接受提议的刺激程序的指示，并向临床医生编程器传输警报，该警报指示患者已接受提议的刺激程序。

希望允许患者得到远程协助，以(1)减少旅行以面对面随访就诊的需要，(2)鼓励更频繁和长期的优化，以最终获得更好的止痛效果。

通过远程协助患者进行编程更改，原则上可以更新所有高级编程功能选项，但是由于更新是由远程工作的专家设置的，因此患者无需接受培训或专业知识即可进行高级编程。

发明内容

本发明的目的是提供一种用于对治疗设备和相应系统进行远程编程的改进方法。例如，希望在远程随访过程中提高安全性，例如通过避免无意中引起不舒适甚至痛苦的患者体验。

根据第一方面，提供了一种对用于神经刺激的治疗设备进行远程编程的方法。该方法包括：通过临床医生编程器生成用于治疗设备的刺激程序；将刺激程序传送至患者编程器；从患者编程器将刺激程序加载在治疗设备上；以及通过患者编程器增加刺激程序的刺激幅度。在一实施例中，例如通过治疗设备将刺激程序的初始刺激幅度设置限制为最小剂量幅度。

该方法可以进一步包括例如通过到治疗设备的安全通信路径来检查刺激程序的有效性和/或真实性的步骤。该步骤可以在将初始幅度设置限制为最小剂量幅度之前执行。

根据第二方面，一种对用于神经刺激的治疗设备进行远程编程的系统包括：治疗设备，其配置成用于提供用于神经刺激的电刺激脉冲；临床医生编程器，其配置成用于生成用于治疗设备的刺激程序；患者编程器，其配置成用于接收刺激程序，治疗设备配置成用于从患者编程器接收刺激程序。临床医生编程器可以配置成用于确保所生成的刺激程序的刺激幅度设置被限制为最小剂量幅度。此外，可以将患者编程器配置为允许调整刺激幅度。

在下文中，参考了本发明的上述两个方面。

例如，上面提到的最小剂量幅度可以对应于零幅度或接近零的幅度。例如，最小剂量幅度可以具有0.1mV的值。特别地，最小剂量幅度可以使得确保患者的安全性，即例如最小剂量幅度下的刺激不会对患者造成疼痛。

应当注意，生成所述刺激程序可以包括生成全新的刺激程序或编辑(更新)现有的刺激程序。还应注意，治疗设备可确保在所述刺激程序中将幅度设置为最小剂量。

此外，关于根据第二方面的系统，应当注意，临床医生编程器可以配置为自动确保所生成的刺激程序的刺激幅度设置被限制为最小剂量幅度。换句话说，例如，临床医生编程器可被预先配置，使得其根据规则来限制远程随访会话期间的编程能力，该规则限制远程随访期间编辑的任何程序可用的参数范围，其中根据所述规则，将刺激幅度参数限制为最小剂量幅度。

因此，本发明确保了远程编程的幅度处于低剂量，直到由患者编程器增加。相反，常规的系统和方法提供了临床医生借助于临床医生编程器来增加幅度并等待患者反馈。然而，如果在此过程中失去了远程连接，则可能会发生的情况是其中患者会受到超出可接受范围的幅度的刺激，并有可能引起不适甚至疼痛。在那种情况下，临床医生将不会收到任何反馈，因此将无法干预。本发明通过将初始幅度限制为最小剂量幅度并因此将对后续幅度调整的控制传送给患者来避免这种情况。

例如，在一实施例中，该方法可以进一步包括在所传送的刺激程序被加载到治疗设备上之前，通过患者编程器来接受所传送的刺激程序。相应地，系统可以包括患者编程器形式的患者控制器，其为患者提供接受更新的手段。因此，患者编程器可以用作要求患者在进行远程编程更改之前接受的网关。

在一实施例中，治疗设备配置为在加载刺激程序之前对新接收的刺激程序执行有效性检查。例如，有效性检查可以包括检查刺激程序是否具有最小剂量下的幅度。因此，可以通过让患者的治疗设备检查远程编辑的程序的真实性、授权和有效性(包括将幅度设置为最小剂量)来进一步提高患者安全。

此外，在一实施例中，临床医生编程器可以用于近实时地查看刺激幅度，例如，以确认患者适当地调整幅度。

在一实施例中，刺激程序通过中央服务单元从临床医生编程器传送到患者编程器。相应地，系统可以包括这样的中央服务单元，其配置成用于促进临床医生编程器与患者编程器之间的通信。例如，这开辟了使用与亲自随访中使用的相同临床医生编程器界面和/或到服务中心的另一界面来执行远程编程的可能性。中央服务单元还可以配置成用于根据用户的登录来管理和控制对治疗设备的访问权限和/或用作中央数据存储库。这样的中央服务单元也可以称为服务中心。

在第一方面的变型实施例中，在生成刺激程序的步骤之前，临床医生编程器接收治疗设备的状态信息。例如，可以经由患者编程器和服务中心，例如以如上所述的中央服务单元的形式，将这样的信息从治疗设备传送到临床医生编程器。例如，临床医生编程器可以因此充当用于临床专家的界面，以查看统计趋势、当前状态和/或设置，和/或进行更改以发送给患者的系统。

患者编程器和/或治疗设备可以允许将新的刺激幅度设置为刺激程序的新的默认幅度也在本发明的范围内。例如，患者可以使用患者编程器将刺激幅度增加到可接受的剂量，直至其达到可接受的目标幅度，然后可以将其保存为治疗设备中刺激程序的新的默认幅度。

总而言之，建议提供系统保护，以确保远程编程的幅度处于低剂量，直到患者编程器将其增大。因此，利用本发明，对刺激幅度的控制被传送给患者。在接受新生成或更新的刺激程序后，患者可以调整(增加)幅度，直到达到可接受的剂量。在该随访过程中，患者可以与发送新刺激程序的临床医生接触(例如通过电话)。因此，临床医生可能会立即收到有关患者的经历和状况的反馈。此外，临床医生编程器可以与患者编程器连接(例如经由中央服务单元)，因此可以近实时地查看当前刺激幅度。因此，临床医生可以监督患者对合适刺激幅度的调整和选择。

例如，根据本发明，用于神经刺激系统的远程编程可以包括执行以下功能而无需患者进入诊所的能力：检查患者的系统的状态以及随时间收集的统计数据(例如植入的引线完整性、目前的刺激设置以及与疼痛或系统使用相关的诊断趋势)；并根据患者需求定制系统，其可能包括：更改设置或参数，提供可用的新的刺激选项，更改现有刺激选项或移除刺激选项。所提出的解决方案可以导致增加的患者满意度和更好的患者结果。

除非另外明确指出，否则上述和以下实施例的所有方面和特征可以彼此组合。

附图说明

参考以下详细描述和附图中所示的实施例，可以更容易地理解本发明的各种特征和优点。在此：

图1示意性且示例性地示出了根据一个或多个实施例的对用于神经刺激的治疗设备进行远程编程的系统；

图2示意性且示例性地示出了根据一个或多个实施例的对用于神经刺激的治疗设备进行远程编程的方法的步骤；

图3示意性且示例性地示出了处于编辑模式(上部)和处于患者查看模式(下部)的临床医生编程器的界面的实施例；

图4示意性且示例性地示出了具有组合的编辑模式和患者查看模式的临床医生编程器的界面的另一实施例；

图5示意性且示例性地示出了用于调整幅度的患者编程器的界面的实施例；以及

图6示意性且示例性地示出了具有两个子程序的处于编辑模式的临床医生编程器的界面的实施例(上部)和用于调整幅度的患者编程器的界面的实施例(右下部)。

具体实施方式

图1示意性且示例性地示出了根据本发明的一个或多个实施例的涉及远程随访的系统5的部件。为了能够远程检查系统状态并提供对刺激程序的更新，系统5可以包括多个部件1-4。下面将描述系统部件1-4及其各自的作用。

系统5包括治疗设备1，其可以是例如植入式刺激装置和/或外部刺激装置(例如植入式脊髓刺激器和/或脊髓刺激试验刺激器)。治疗设备1可以存储至少一个刺激程序，和/或通过植入的引线和/或感测能力提供治疗刺激。

此外，提供了临床医生编程器2形式的编程界面。例如，临床医生编程器2可以用于远程查询和查看系统状态，基于用户(例如临床医生专家如医师或公司代表)的输入来改变刺激参数设置以及传输那些设置。例如，在一实施例中，临床医生编程器2可以是用于临床中对治疗设备1进行编程的同一临床医生编程器。在其他实施例中，临床医生编程器2可以是诸如智能电话或平板电脑的移动设备或者台式计算机，其可装有特定的软件应用程序(App)。

系统5还包括患者编程器3，其可以用作患者接受远程编程传输并控制新近可用的刺激程序的界面。在一实施例中，患者编程器3可以是诸如智能电话或平板计算机之类的移动设备，其可以装有特定的软件应用程序(App)。在其他实施例中，患者编程器3可以是特别被制成用于与治疗设备1通信的患者设备。

作为另一部件，系统5可以包括中央服务单元4，其可以例如执行以下一个或多个功能：

a.用作中央数据存储库；

b.管理访问权限并控制对治疗设备1的访问，例如根据用户的登录；

c.有助于通过患者编程器3与治疗设备1进行通信。

例如，通过提供这样的中央服务单元4，远程随访服务不限于使用单个临床医生编程器2。

在一实施例中，中央服务单元4可以是基于云的服务中心。在另一实施例中，中央服务单元4可以包括服务器、服务器场等。

图2示出了根据本发明及其实施例的用于执行远程编程的步骤的示例性概述，其中以框图的形式示例性并且示意性地示出了用于远程随访使用案例的工作流程。作为示例性实施例，以下从将由临床专家和患者执行的临床工作流程的角度描述本发明。

第一步骤S1可以提供医师和患者的授权。例如，在进行任何远程随访之前，负责的医师可以授权针对特定患者的潜在远程随访。医师和患者可以输入其授权的电子文档，以允许通过临床医生编程器2、患者编程器3上的界面或其他界面进行远程随访。例如，临床医生编程器2可以包括“条款和条件”声明供医师和患者查阅以及通过触摸屏界面输入签名的位置。这种集成的授权功能有利于确保对医师和患者进行教育并保护公司责任。通过以电子方式收集授权，临床医生编程器2可以将授权信息发送到中央服务单元4。然后，中央服务单元4又将检查授权是否完成，然后进行任何远程随访。可替代地，临床医生编程器2可以与中央服务单元4一起检查授权是否完成，并且如果授权完成，则仅允许用户打开远程随访功能。

作为进一步的步骤S2，可以进行诊所内编程(也称为办公室内编程)。例如，在进行任何远程随访之前，临床专家可以使用临床医生编程器2进行办公室内编程。临床专家可以在治疗设备中设置一个或多个初始刺激程序，其可用于患者编程器3上的患者。此外，临床专家可以使用临床医生编程器2将用于远程随访的设置编程为“开”。开启或关闭远程随访功能的选项可以是通过临床医生编程器2可编程的特定于被询问的治疗设备1的设置之一。可选地，临床医生编程器2可以执行中央服务单元4数据的检查，以确保在允许治疗设备1的远程随访功能开启之前授权已由中央服务单元4存档。例如，在治疗设备1中开启远程随访功能之前或之时，临床医生编程器可以要求用户为治疗设备1定义患者组。临床医生编程器2用户可以将该患者分配给限定的患者组，这又可以限制可通过将来的远程随访过程访问该患者的临床医生编程器2用户。

进一步的步骤S3可以包括开始接触：患者可以在家庭使用期间照常使用患者编程器3。如果患者遇到与SCS系统有关的问题或疑问，则患者和临床专家可以进行口头和/或视觉连接，以讨论该问题。系统5可以提供在临床医生编程器2与患者编程器3之间或者在个人电话与患者编程器3或临床医生编程器2之间的口头和/或视觉通信的手段。可以包括视频通信。临床专家所使用的临床医生编程器2的界面可以提供预远程检查前清单或决策工具，以帮助确定患者描述的情况是否适合尝试通过远程随访解决。例如，临床医生编程器2的界面可以为临床专家提供用于在办公室内或远程随访中提取过去数据记录的手段。

在进一步的步骤S4中，临床专家可以查看远程检查前清单：如果临床专家确定患者的问题适合尝试通过远程随访解决，则临床专家可以在进行远程随访会话之前与患者一起检查病情清单。临床专家使用的临床医生编程器2的界面可以提供电子清单或工具，以帮助确定患者和SCS系统是否满足进行远程随访的所有标准。

可选地，在允许用户继续进行远程编程会话之前，界面可以要求临床医生编程器2用户确认/检查每个清单项目和/或特定于患者状况/状态的输入信息。可选地，在允许进行远程随访之前，界面可能需要第二因素身份验证。例如，可以使用生物特征识别、SMS传递的代码、交易身份验证号、基于时间的一个时间因素算法等来完成第二因素身份验证。

作为进一步的步骤S5，可以进行远程询问：临床专家可以使用临床医生编程器2从临床专家有权查看的患者设备列表中选择患者设备(例如根据患者组，临床专家已被分配访问权限)。可选地，临床医生编程器2可以经由中央服务单元4(也可以称为服务中心4)向患者编程器3发送在允许临床医生编程器2远程访问患者的SCS系统之前患者必须接受的消息。然后，临床专家可以经由临床医生编程器2建立到患者的SCS系统的远程连接。然而，在一些实施例中，由于临床专家已经被授权远程查看患者信息，因此患者的接受可能不是必需的，并且患者信息可以与中央服务单元4持续同步。

例如，在一实施例中，该信息可以在中央服务单元4上恒定地同步，即对于患者在治疗设备1中所做的每次更改，患者编程器3立即将状态同步到中央服务单元4。同样，临床医生编程器2可以立即实时或根据用户需要同步(例如单击“刷新”按钮)。

在另一实施例中，临床医生编程器2可以用于经由中央服务单元4向患者编程器3发送消息，其(如果需要)可以从治疗设备1请求当前更新并将该信息通过中央服务单元4发送回临床医生编程器2。

在另一实施例中，临床医生编程器2可以用于直接向患者编程器3发送消息，其(如果需要)可以从治疗设备1请求当前更新并将该信息发送回临床医生编程器2。

在任何变型中，临床专家可以查阅以下信息，例如：

a.引线状态信息(引线阻抗和相对引线位置)

b.刺激是打开还是关闭

c.当前活动程序参数

d.患者可以使用的其他程序和相关参数

e.治疗设备1的当前电池状态

f.有关治疗设备1的其他状态信息(比如是否处于MRI模式)

g.治疗设备1收集的其他统计信息(比如历史刺激使用、活动跟踪、姿势跟踪等)

g.由患者经由患者编程器3输入或由患者编程器3以其他方式收集的其他信息(例如疼痛调查响应、注释、药物跟踪等)。

在进一步的步骤S6中，可以执行远程调整：临床专家可以使用临床医生编程器2来修改现有刺激程序的参数或创建新的刺激程序。例如，参数修改可以本地显示在临床医生编程器2上，但可能尚未传输到患者的SCS系统。例如，在临床医生编程器2上修改的参数可以包括：

a.频率或其他刺激时间参数

b.脉冲宽度

c.电极配置

d.子程序之间的幅度平衡

e.程序名称

然而，可以规定，在远程随访期间不可能编辑程序幅度，因为对于任何远程编辑的程序，幅度被固定在最小剂量。

进一步的步骤S7可以包括更新的传输：一旦针对编辑的刺激程序完成所有参数改变，则临床专家可以传输编辑的程序。(应该注意的是，可以规定，在完成后续步骤之前，患者的治疗设备1中不会发生任何变化。)然后，临床医生编程器2可以打包有关新刺激程序的数据，并通过服务中心4将其发送到适当的患者编程器3。例如，整个程序以批处理而不是以增量方式进行传输可以确保参数一致，并且网络延迟不会导致部分编程。对于患者和临床医生而言，这都可以被视为安全因素和可用性优势。

进一步的步骤S8可以包括患者接受：在临床专家传输更新之后，患者可以在患者编程器3上接收要求患者接受新程序的消息。在此过程中，临床专家可能会与患者保持通话以协助解决任何问题。例如，患者可以单击消息的“接受”。此时，可以将从临床医生编程器发送的程序数据发送到治疗设备1。治疗设备1可以在加载新程序之前对新接收的程序数据执行有效性检查。在有利的变型中，出于安全目的，治疗设备1可以检查以确保新接收的程序具有最小剂量下的幅度。

进一步的步骤S9可以包括向临床医生提供远程编程状态。例如，一旦治疗设备1被更新，中央服务单元4就可以被更新以在治疗设备1中反映这些新的永久参数。每次患者进行后续参数更新时(如下所述)，治疗设备1可以被更新，并且可以自动更新治疗设备参数的中央服务单元4的副本。

可以在进一步的步骤S10中执行幅度调整：患者可以像患者通常在患者编程器3上那样增加更新后的刺激程序的幅度。可选地，患者编程器3可以包括提示以帮助患者进行此过程。临床专家可以使用临床医生编程器2来近实时地查看幅度，以确认患者正在适当地调整幅度。一旦患者达到目标幅度，患者就可以选择使用患者编程器3来将该幅度设置为刺激程序的新的默认幅度。

进一步的步骤S11可以涉及报告：在远程随访完成之后，临床专家可以使用临床医生编程器2来保存最终刺激程序信息。临床专家可能能够存储和导出编程记录，以生成编程参数的报告，其可被交付给接下来的医师或由其访问。另外或可替代地，编程变更的记录也可以自动地保存在中央服务单元4中，使得其可用于未来查询。

仍参考参考图1和2，以下描述根据一个或多个实施例的用于提供远程随访的技术步骤的顺序的概述，其具有关于系统5的每个部件1-4的功能的一些附加细节。

如上所述，服务中心4(即中央服务单元4)可以提供注册临床医生编程器2用户并控制他们对远程随访的访问的手段。

临床医生编程器2或其他界面可以允许医师和/或患者以电子方式提供同意以供将来参与远程随访。例如，临床医生编程器2可以具有开启或关闭执行未来远程随访(其只能在面对面编程时被访问)的能力的手段。然后，治疗设备1存储该设置。在进行远程随访之前，临床医生编程人员2在允许访问远程随访之前可能需要用户登录以及可选的其他身份验证步骤。服务中心4可以提供对用户认证和授权的支持。

在远程随访期间，临床医生编程器2可以与服务中心4通信，以便显示已登录用户有权对其进行远程随访的治疗设备1的列表，并允许用户选择用于执行远程随访的治疗设备1。

然后，患者编程器3可以从治疗设备1接收数据，并使用来自治疗设备1的最新信息来更新服务中心4中存储的数据。例如，在一些实施例中，治疗设备1可以将数据打包并发送至患者编程器3。可替代地或另外，患者编程器3可以直接发送数据。例如，患者编程器3可以选择让患者与服务中心4手动重新同步数据，或者与服务中心4同步手动打开和关闭。在优选实施例中，治疗设备1和患者编程器3与服务中心4持续同步，而无需患者采取任何行动。

临床医生编程器2可以从服务中心4(即中央服务单元4)接收数据以显示SCS系统的状态，比如引线完整性信息、电池状态、当前使用的程序以及可从治疗设备1获得的其他统计信息。

此外，临床医生编程器2为用户提供界面以在现有程序或新创建的程序内编辑刺激参数设置，然后经由服务中心4和患者编程器3将更新的参数设置传输至治疗设备1。临床医生编程器2可以具有在用户输入程序调整时应用的编程规则和计算。例如，临床医生编程器2可以根据可配置的规则在远程随访会话期间对编程能力施加某些限制。例如，临床医生编程器2可以限制在远程随访期间编辑的任何程序可用的参数范围。因此，例如，对于任何远程编辑的程序，可以将刺激幅度固定在最小剂量。

临床医生编程器2可以本地反映(并存储)程序参数改变，然后，在用户传输更新的程序之后，临床医生编程器2可以将更新的程序信息发送到服务中心4。然后，服务中心4可以通过患者编程器3向治疗设备1发送真实有效的程序更新。

例如，临床医生编程器2可以使用传输层安全性(TLS)在安全信道上与服务中心4通信。可以授权访问，例如使用基于令牌的系统(例如OAuth2)，其使临床医生编程器2与服务中心4定期进行通信，以进行随访记录通信和技术通信。例如，该相同通信信道可以用于发送远程编程命令，并确保将其安全地传输到服务中心4。

在一实施例中，服务中心4可以负责将患者编程器3映射到适当的患者。例如，服务中心4可以维持与每个患者编程器3的安全通信。所有通信可以例如使用TLS信道。可以使用基于令牌的方法，使用每个患者编程器3唯一的已编程凭证来授权访问。此外，患者编程器3可以与服务中心4进行定期通信，以确保服务中心4可以收集用户数据，并且患者对其刺激程序所做的任何更改都将同步。

服务中心4还可以维持到治疗设备1的安全信道。这可以确保即使在患者编程器3受到损害的情况下，所有消息都被秘密地发送，是真实的并且受到完整性保护。

患者编程器3可以从服务中心4接收所传输的程序更新，并且可以向患者提供提示患者接受的消息。一旦患者接受，患者编程器3可以将程序更新信息发送到治疗设备1。

治疗设备1可以加载新传输的程序。例如，在患者接受之后，远程发送的程序可以像治疗设备1中的任何其他永久存储的程序一样完全生效。在一实施例中，治疗设备1检查所接收的程序信息的真实性、授权和/或有效性。另外，治疗设备1可确保任何远程编辑的程序具有在最小剂量设置下的幅度。

患者编程器3可以配置为读取和显示更新的程序信息。此外，患者编程器3可以照常使用以调整刺激幅度或其他患者可访问的设置。重要的是，患者编程器3可以用于保存新的起始幅度，因为远程编辑的程序最初限于最小剂量幅度设置。

患者编程器3可使治疗设备1编程信息同步回到服务中心4，临床医生编程器2可以从那里读取最新的编程信息。例如，临床医生编程器2可以具有刷新显示的信息以反映患者编程器3和治疗设备1的当前状态的手段，以便临床医师编程器2的用户可以继续查看患者在远程随访期间所做的更改。

例如，应当注意，用于对治疗设备1进行远程编程的方法不必包括上述示例性实施例的所有步骤S1-S11。相反，如本领域技术人员将理解的，在一些实施例中，该方法可以仅包括以各种组合的所述步骤的子集。当然，该方法还可包括附加步骤。

此外，应当注意，以上参考图1和2描述的方法步骤S1-S11可以使用图1的系统5来执行。因此，上面关于对治疗设备1进行远程编程的方法所描述的内容可以类似地应用于系统5及其上述部件1-4，反之亦然。

在下文中，描述了用于在远程改变刺激参数期间确保患者安全的方法和系统的其他实施例。

在远程编程过程中，通过确保将远程编程的治疗剂量设置为非常低的水平幅度(所谓的最小剂量幅度，例如零或接近零，例如0.1mV)并要求患者增加幅度达到适当的治疗水平来确保安全。如果患者感到不适，这可以使患者停止治疗增加。系统设计保证了此安全特征，因此即使发生安全漏洞，攻击者也无法绕过此保护机制。

目的是想出一种简单的方法来限制网络安全漏洞的影响，以使它们不会对患者安全造成不可接受的风险，同时又不会使系统变得过于复杂。特殊的挑战是，需要保证的最终资产是治疗设备的计算能力有限，并且需要将其纳入解决方案中。因此，系统设计的方法是执行防御和深度方法，然后对系统施加约束，即最终刺激幅度只能由患者编程，而不能通过远程界面编程。

系统采用了基本的安全范例，其确保新远程程序或对任何现有程序的更改都会将能量的大小设置为零或有效地为零(例如0.1mV)，并且系统确保这是在尽可能靠近治疗设备时进行的。理想地，治疗设备将其作为接受传入命令的一部分来执行，或者创建不允许直接对幅度进行编程的界面。

如图1所示，系统5包括临床医生编程器2、服务中心4、患者编程器3和治疗设备1。

临床医生编程器2可负责以下一个或多个方面：

-允许用户(例如临床医生)启用/禁用远程编程特征(仅在门诊内随访期间)。

-允许用户选择他们有权进行远程编程的患者。

-呈现用于服务中心4的用户界面，以利用第二因素认证来认证用户。

-在远程编程会话期间，从服务中心4获取治疗设备1的最新状态信息。

-允许用户添加/修改患者的治疗程序，但更改的程序限于不可编辑的零幅度(低剂量)。这比此级别的控制更加是可用性特征。

-治疗程序的定义还包括由用户定义的最大幅度限制。

-仅当患者编程器3与服务中心4和治疗设备1处于活动连接时才允许用户传输治疗程序。

-在用户完成更改后，将配置的治疗程序中继到服务中心4。

服务中心4可负责以下一个或多个方面：

-验证临床医生用户以登录到临床医生编程器2。

-使用临床医生编程器2通过第二因素身份验证对临床医生用户进行身份验证。

-访问控制以确保临床医生可以访问适当的患者。

-从临床医生编程器2接收程序并路由到适当的患者编程器3。

-通知临床编程器2无法与患者编程器3通信。

-将患者编程器3中继到治疗设备1连接性并且将状态信息中继到临床编程器2。

-通知临床编程器2有关程序的传输进度。

患者编程器3可负责以下一个或多个方面：

-通过安全链路从服务中心4接收程序。

-提示患者是否希望将远程传输的程序安装到治疗设备1。

-如果患者接受该请求，则将程序中继到治疗设备1。

-如果患者拒绝该请求，则通知服务中心4并丢弃该请求。

-定期或在某些事件中询问治疗设备1，并将数据转发到服务中心4。

-在从治疗设备1收到成功安装程序的确认后，允许患者激活它们并根据需要配置幅度(直到临床医生指定的最大值)。

治疗设备1可负责以下一个或多个方面：

-通过安全链路从服务中心4接收程序。

-确保使用加密控件从有效发件人发送了程序。

-确保将初始程序的起始幅度设置为最小剂量幅度(参见下文)。

-如果有效，则安装接收的程序。

-如果无效，则拒绝它们。

-向患者编程器3发送确认其已经接受或拒绝远程程序的确认。

治疗设备是具有大量程序的复杂设备，每个程序包含一组N个子程序(N是自然数)，从而导致大量潜在的不一致和错误，其可能导致设备无法正常运行。为了防止这种情况，可以选择在治疗设备中构建具有参数规则处理的系统，但这将导致该领域中与传统解决方案相比大量的处理复杂性。同样，某些参数设置可能具有逻辑意义并通过标准检查，但当针对特定患者时仍会造成伤害，从而使该解决方案在实践中无法实现。例如，某些患者进行充分治疗所需的幅度范围可能导致其他患者痛苦。因此，没有一套通用的参数范围对所有患者有意义或有效安全。

传递给患者的能量的量可以是频率、脉冲宽度、电极配置和/或脉冲幅度的函数。本方法将所有治疗的起始幅度限制为最小剂量幅度(零或非常低的值，如0.1mV)，并要求患者随后将幅度增加至临床医生传达给他们的期望水平。当患者控制幅度的增加时，他/她可以离散的增量控制剂量，并在感到不适时停止。有临床数据支持：(1)患者在不适之前会因刺激而感觉到；(2)患者在受到刺激的任何损害作用之前会感到不适。因此，即使在恶意编程的情况下，以最小剂量幅度开始幅度并依靠患者增加其的方法也可以确保安全性。恶意编程尝试可能针对系统中的多个攻击面。例如，具有足够技术知识的黑客可以绕过编程界面(Web或应用程序)上的控件，以将恶意的参数集发送给治疗设备，或者可以操纵传输到治疗设备的编程命令。如本文所述的在治疗设备中具有简单的机构可以防止多种不同的攻击途径。

为了确保程序有效，包括具有零(或非常低)的起始幅度，远程发送的程序将以允许治疗设备识别该程序已通过远程编程信道发送的方式到达患者编程器。当治疗设备经由远程编程信道接收新的或更新的程序时，治疗设备可以使用远程信道独有的密码功能来解密和/或完整性检查程序的内容。实现此的一种方法可能是确保与治疗设备的所有通信均通过安全服务中心进行路由。服务中心可能具有每个治疗设备独有的工厂共享凭据，其可以与加密和/或身份验证算法一起使用以保护每个消息。治疗设备可以对照至少包括零幅度规则的一组规则检查程序内容，以确保所接收的程序内容适于经由远程信道所允许的那些。如果程序内容未通过检查，则治疗设备将主动拒绝该程序(意味着将不允许将其写入治疗设备的工作存储器)。如果接收到的程序内容通过检查，则治疗设备可以将程序写入其工作存储器。

可选地，患者编程器本身可以另外针对一组规则检查程序的内容以确定该程序是否有效，包括具有最小剂量幅度的起始幅度。

在一实施例中，患者可以具有由单个子程序构成的治疗程序。在这种情况下，临床医生编程器需要将单个零(或低)幅度向下发送到治疗设备，然后患者可以使用患者编程器将幅度倾斜至期望水平。在这种情况下，零幅度规则将验证刺激幅度等于零。可选地，临床医生编程器的用户可以为该程序设置不允许患者超过的最大幅度。同时，临床医生编程器为用户提供了在患者编程器上查看由患者控制的当前活动参数的能力。这可以通过“刷新”按钮的形式来完成，以在编辑模式和患者查看模式之间切换。或者，临床医生编程器可以具有患者参数的内置实时显示(其可以包括患者编程器屏幕本身的视图)。这些选项如图3和图4所示。

可替代地，设计可以发送治疗设备用于信息目的的最终目标幅度(例如在患者编程器上显示为期望目标幅度的指示器)，并且治疗设备以最小剂量幅度开始刺激。同样，使用来自患者编程器的命令将刺激倾斜到所需的安全和舒适水平。在目标幅度的情况下，患者编程器上的用户界面示例如图5所示。

在另一实施例中，治疗程序可以包括多个子程序。在这种情况下，需要将幅度矢量(包括每个子程序的一个幅度)传输到治疗设备，并且将幅度倾斜到目标幅度的解决方案必须考虑到所有幅度最初必须为零(或低)，但临床医生需要能够设置子程序之间的相对幅度，以控制患者舒适度和治疗效果。例如，在目标刺激水平上，第一组电极(例如电极A和B)上的第一子程序可能需要处于3mA，而第二组电极(例如电极B和电极C)上的第二子程序可能需要2mA。因此，系统设计需要：

-从零开始幅度值，

-使幅度以递增的方式倾斜上升至期望值，以使患者在多个步骤中都能感觉到刺激的增加，以及

-确保目标幅度的相对差异如临床医生所期望的。

各种方法可以实现此，比如(但不限于)：

(1)从临床医生编程器发送最终目标幅度，并使治疗设备计算用于刺激的起始幅度，该起始幅度从零开始并以单调方式递增，以使所有幅度同时达到其各自的目标值。倾斜可以是线性的或成比例的。示例是将所传递的刺激确定为强度乘以最终值的比率。强度从零开始，无法编程。这里不需要明确的零幅度规则，因为远程用户没有能力对起始幅度进行编程。

(2)发送小于零的值，其中最高幅度设置为零，其他幅度为负偏移。然后，设计确保负值不会传递刺激。然后，子程序的幅度以线性方式增加。当它们变为正时，它们就变为活动的并传递治疗。图6中对此行为进行了说明。在所示的情况下，临床医生编程器的用户定义了目标子程序幅度，且临床医生编程器将这些转换为偏移值。这些偏移值用于确定相对于屏幕上显示的幅度的每个子程序幅度。这里，零幅度编程规则将强制所有起始幅度均小于或等于零。

而且，治疗设备可以维持与一个或多个外部设备的多个连接，并且每一个可以具有不同级别的访问或信任，使得治疗设备可以允许在某些界面上而不是在其他界面上的某些选择的命令。在图2所示的示例系统中，治疗设备具有三种外部连接类型：

-临床医生编程器连接，其持续时间受到限制，但允许访问所有命令。

-患者编程器连接，其是长期连接，但仅允许访问有限的命令集。示例限制在于它不能改变最大刺激幅度，但可以增加幅度直到这一点。

-长期的远程编程连接，其允许进行新程序，但确保其幅度为零。此连接也不允许使用任何命令来增加设备的幅度。

在临床医生编程器或患者编程器连接的情况下，可以动态地建立这样的连接。这意味着使用配对过程，其可以将物理接近度与加密措施组合在一起以确保安全性。许多解决方案都是可能的，例如应用磁体来确保接近，然后使用证书和算法(例如Diffie-Hellman)进行相互密码认证和密钥协商。结果是共享一个或多个对称密钥，其是唯一的并且特定于连接类型。

在远程编程连接的情况下，可以预共享一个或多个对称密钥，以在工厂中在服务中心和治疗设备之间建立安全信道。也可以预共享证书，并使服务中心和治疗设备执行相互身份验证和密钥协议，以根据需要导出对称密钥。同样，此密钥特定于远程编程连接，并且所有远程编程都必须通过加密完整性检查，以证明它们来自正确信道并且未被篡改。

因此，在建立连接之前，可以对每个连接进行认证技术，然后所有通信都由每个连接唯一的安全性控制和凭证来保护。

这些访问规则和零幅度方法的组合可能会导致深度架构的防御，其中攻击者将需要折衷多个子系统，以通过远程编程界面对患者造成伤害。例如，他们将需要首先使用通过所有密码控制的远程编程连接将程序发送到治疗设备。在此，系统将处于意外状态，但仍不会对患者造成伤害。然后，他们将需要折衷与该患者相关的特定患者编程器，以发送命令来增加幅度。

在一实施例中，提供了一种用于安全启动治疗程序的系统。该系统可以包括：

-配置为创建程序的临床编程器(或基于Web的用户界面)(例如通过从头开始创建新程序或通过修改现有程序)；

-包括处理器的治疗设备(例如诸如神经刺激器的可植入医疗设备)，其中处理器配置为执行程序；

-服务中心(例如远程服务器)；

-患者编程器(或中继设备)；以及

-配置为将程序从临床医生编程器传送到治疗设备的通信网络，例如通过服务中心和/或通过患者编程器。

患者编程器可以配置为：

-由患者操作；

-至少从服务中心接收程序安装指令；和/或

-将程序安装指令传输到治疗设备，

其中程序安装指令在由处理器执行时包括将程序安装在治疗设备上的指令。

治疗设备的处理器可以配置为：

-取决于希望与治疗设备进行通信的外部参与者(例如通过本地会话的临床医生、患者编程器、通过通信网络进行远程编程)，维护一个或多个单独的安全通信信道；

-经由通信信道(例如远程编程连接)从通信网络接收程序；

-解密并完整性检查程序的内容；

-评估程序接收到的命令是否适合通过远程信道允许的命令并主动拒绝不适当的命令；和/或

-以最小剂量幅度(例如零幅度或类似的有效低治疗剂量，例如0.1mV)执行程序(或多个程序)。

只能在患者编程器界面上增加程序的幅度。这允许患者增加参数以使得患者可以对感觉不适做出反应，并且子程序在目标值处的相对幅度是临床医生所期望的。

临床医生编程器(或基于Web的用户界面)可能使用户能够：

-定义程序的最大幅度；

-定义子程序幅度之间的偏移；

-定义程序或子程序的幅度；和/或

-查看(例如实时地)在治疗设备中活动的并且由患者编程器控制的当前参数。

患者编程器可能能够：

-检查远程接收程序的适用性；

-指导用户将幅度增加到目标幅度；和/或

-保持子程序幅度之间的偏移。

附图标记列表

1治疗设备

2临床医生编程器

3患者编程器

4中央服务单元

5系统

S1-S11方法步骤