放疗设备和访问授权的制作方法

1.本公开涉及放疗设备。特别地，本公开涉及放疗设备部件的自动识别，以及确保现场维护工程师参与的放疗设备被正确地授权。


背景技术：

2.放疗设备是现代癌症治疗的重要工具。放疗设备是大型的、复杂的机器，具有很多移动构件和交互操作的机构。尽管进行精确设计和严密测试，放疗机器的一些部件构件在机器的寿命期间可能会退化。因此，放疗设备需要维修和维护，以确保它们一直以最佳的方式操作，并确保机器满足安全和规章要求。
3.希望的是确保放疗设备由这样的部件组成，该部件已经进行了测试并且被认为与该设备一起使用是安全的，并且该部件已经被正确地授权以与该设备一起使用。这允许放疗设备的制造商和所有者确保它们的设备一直满足安全性标准、规章要求并且一直以最佳的方式操作。
4.现有流程对于现场维护工程师而言是繁冗的，并且虽然就地进行安全检查，但仍然有人为失误的可能性，使得放疗设备的维护和维修程序延长。
5.另一个与先前设置相关的问题是，现场没有阻止未授权的工程师维护和试图维修放疗设备的机制。通常，未授权的人员不具有以确保设备仍然能够在安全和规章要求内操作的方式正确地维修放疗设备所必需的知识和经验。
6.还希望的是仅正确授权的人员能够安装、维修和/或维护放疗机器。这有助于使设备一直根据安全性和规章要求操作的可能性最大化。
7.本公开旨在通过提供一种确定放疗设备是否应该被授权使用的方法和一种确定维护工程师是否被授权维护特定放疗设备的方法，来解决现有技术中遇到的这些缺点和其他缺点。


技术实现要素：

8.本发明的各个方面在独立权利要求中阐述。可选特征在从属权利要求中阐述。
附图说明
9.现在参照附图仅通过示例的方式描述具体实施例，其中：
10.图1描绘了可以用于根据本公开的系统和方法的一种放疗设备；
11.图2描绘了根据本公开的一种系统的示意图；
12.图3描绘了根据本公开的一种方法；
13.图4描绘了根据本公开的一种方法；
14.图5描绘了根据本公开的一种方法；
15.图6描绘了根据本公开的一种方法。
具体实施方式
16.本技术一般性地涉及通过将与放疗机器的各个部件相关的识别数据与存储在授权数据库中的授权数据进行比较来确保满足安全标准或者安全准则。每个部件与诸如rfid标签的标识器耦合(例如连接)，该标识器能够提供关于与其耦合的部件的识别信息。如果安全标准或者安全准则被满足，则放疗设备被授权使用。一个或多个放疗设备可以包括直线加速器(linac)、mri机器和mr直线加速器中的任一个。
17.图1描绘了可以形成根据本公开的系统的一部分的直线加速器。直线加速器适于在放疗治疗期间向患者发送辐射束，并且被配置成在放疗治疗期间向患者发送辐射束。在操作中，直线加速器设备根据放疗治疗方案产生辐射束并且对辐射束整形，并且朝向患者体内的目标部位引导辐射束。
18.医疗直线加速器机器不可避免地是复杂的，具有很多交互操作的部件构件。将参照图1中描绘的直线加速器设备给出典型的直线加速器的操作的概述，图1中描绘的直线加速器设备包括射频波源、波导、电子源、包括一个或多个真空泵的能够形成强真空的系统、当被电子束撞击时产生x射线的重金属靶、和能够使电子束改向并且聚焦在靶上的复杂的磁体布置。图1中描绘的设备还包括容纳被配置成例如使所得x射线束准直和对所得x射线束整形的各种装置的治疗头。
19.射频波源102(例如磁控管)产生射频波。射频波源102(例如通过环行器)耦合至波导104，并且被配置成使射频波脉冲进入波导104中。射频波从射频波源102穿过rf输入窗进入rf输入连接管道或管。电子源106(例如电子枪)耦合至波导104，并且被配置成将电子注入波导104中。在电子源106中，当阴极丝被加热时，电子从阴极丝热离子发射。阴极丝的温度控制注入的电子的数量。电子向波导104的注入与射频波向波导104的泵送同步进行。射频波源102、电子源106和波导104的设计和操作使得当射频波和电子通过波导104传播时射频波将电子加速至非常高的能量。
20.波导104的设计取决于直线加速器是使用驻波还是使用行波来加速电子，但是波导通常包括一系列格或腔，每个腔由电子束可以穿过的孔或“隔膜(iris)”连接。这些腔耦合的顺序使得形成合适的电场图形，该电场图形对通过波导104传播的电子进行加速。当电子在波导104中进行加速时，由合适的环绕波导104的导向磁体或导向线圈布置来控制电子束路径。导向磁体布置可以包括例如两组四级磁体。
21.一旦电子已经被加速，它们就可以进入飞行管。飞行管可以通过连接管连接至波导。该连接管或连接结构可以称作漂移管。漂移管也形成真空管的一部分。rf波通过与漂移管耦合的rf输出连接管道或管离开波导。rf通过密封真空系统的rf输出窗从真空系统出来。
22.飞行管也通过泵系统保持在真空条件下。电子可以沿着回旋路径朝向重金属靶行进。靶可以包括例如钨。在电子穿过飞行管行进的同时，聚焦磁体布置发挥作用以引导束并将束聚焦在靶上。回旋路径允许减小直线加速器的整体长度，同时确保由具有小的能量扩散的电子所组成的加速电子束聚焦在靶上。
23.为了确保当电子束朝向靶行进时电子的传播不受阻碍，使用包括真空泵130或真空泵布置的真空系统排空波导104。泵系统能够在波导104中和飞行管中形成超高真空(uhv)条件。
24.当高能量电子撞击靶时，产生各个方向的x射线。靶位于飞行管内，并且位于飞行管的端部，以密封真空系统。飞行管还包括靶窗口，该靶窗口对于x射线是透明的，并且其定位成允许当操作直线加速器时产生的x射线从排空的飞行管穿过靶窗口进入治疗头110。此时，初级准直器阻挡x射线在某些方向上行进，并且仅使向前行进的x射线通过，以产生锥形的束。x射线被过滤，然后通过一个或多个离子室以进行剂量测量。可以通过束整形装置(例如通过使用多叶准直器)以各种方式对束整形，然后使束作为放疗治疗的一部分进入患者。
25.在一些实施方式中，直线加速器被配置成发射x射线束或者电子粒子束。这种实施方式允许设备提供电子束疗法，即，一种外部束疗法，其中将电子而非x射线朝向目标区域引导。可以通过调节直线加速器的部件来在发射x射线的第一模式和发射电子的第二模式之间“转换”。实质上，可以通过将重金属靶移入电子束路径或移出电子束路径并且用所谓的“电子窗”替换它，来在第一模式和第二模式之间转换。电子窗对于电子是基本透明的，并且允许电子离开飞行管。
26.飞行管的端部可以被包括靶和电子窗的部件密封。然后，可以通过移动飞行管使得电子束指向靶或者电子窗来在第一模式和第二模式之间转换。因此，将波导连接至飞行管的开端的漂移管是略有柔性的，以允许飞行管移动。换言之，当用户在使用电子和x射线能量之间变化时，飞行管将移动，这使得钨靶(x射线)或电子窗(电子)处于治疗位置。
27.直线加速器设备还包括若干其他部件和系统。整个系统通过水冷却系统(图中未示出)冷却。水冷却系统可以特别地用于冷却波导104、靶、和射频源102。为了确保直线加速器不泄漏辐射，还提供适当的屏蔽。本领域技术人员将理解，用于放疗治疗的直线加速器设备将具有附加装置，例如用于支撑和旋转直线加速器治疗头/辐射源的机架、患者支撑表面和被配置成控制直线加速器装置的控制器或处理器。设备还包括成像装置或设备，例如kv成像器，其可以与直线加速器交互操作以提供图像引导的放疗系统。
28.在某些实施方式中，放疗设备可以是mr直线加速器。mr直线加速器设备包括mr成像装置和放疗(rt)装置，放疗(rt)装置可以包括直线加速器设备。在操作时，mr成像器产生患者的mr图像，并且直线加速器设备根据放疗治疗方案产生辐射束，对辐射束进行整形，并且朝向患者体内的目标区域引导辐射束。技术人员将认识到，这种mr成像装置可以包括主要磁体、一个或多个梯度线圈、一个或多个接收线圈、和rf脉冲施加器。mr成像装置的操作通过控制器控制。
29.对象或者患者支撑表面被配置成在基本位于舱外的第一位置和基本位于舱内的第二位置之间移动。在第一位置，对象或者患者可以爬上患者支撑表面。然后，支撑表面和患者可以移入舱内到达第二位置，以使患者通过mr成像装置成像和/或使用rt装置成像或治疗。患者支撑表面的移动由对象支撑表面致动器(其可以被描述为致动机构)实现和控制。致动机构被配置成在平行于舱的中心轴线并且受舱的中心轴线限定的方向上移动对象支撑表面。
30.图2是根据本公开的系统的示意图。该系统包括放疗设备200。图中描绘的放疗设备包括直线加速器(linac)设备，并且还可以包括mr成像器，使得放疗设备可以被描述为mr直线加速器。
31.在本公开的放疗设备中，放疗设备的至少一个部件包括标识器。在优选的实施例中，放疗设备的多个部件各自包括相应的标识器。例如，以下部件的任一个可以包括它们各
自的标识器：磁控管、波导、电子枪、加速和聚焦磁体中的每个磁体、和剂量计以及直线加速器治疗头内的其他部件。
32.标识器适合于识别放疗设备的相应部件，并且被配置成识别放疗设备的相应部件。标识器可以被描述为标牌或标签。标识器承载有、含有或者以其他方式包括允许部件被识别的信息。标识器可以是例如射频识别镶嵌物，或者标签。标识器可以被描述为“识别数据载体”，因为它们被配置成承载关于识别它们所附接的构件的数据。
33.标识器被配置成提供关于它们所关联的部件的识别信息(其可以被描述为识别数据)。该识别信息可以包括在制造过程中分配的与该部件相关的唯一id。识别信息还可以包括诸如部件“类型”的信息，例如部件是磁控管、电子枪还是其他部件种类。
34.放疗设备包括读取器241，其被配置成从每个唯一标识器接收信息。如将在下文更详细地讨论的，读取器可以包括rfid读取器、天线、摄像机、扫描仪或者读取物理符号的机构。读取器241耦合至设备控制器并且被配置成向设备控制器240提供指示放疗设备200的多个部件中的每一个部件的身份的信号。
35.图2中描绘的放疗设备200是示意图，并且仅意在解释说明的目的。设备200包括飞行管206，弯曲导向磁体215、225、220，波导204，和电子枪202。这些都是可以设置标识器的部件的示例。另外，任何放疗设备都可以设置标识器，例如磁控管、束整形装置(例如mlc)、环行器、处理器和存储设备等等。
36.标识器的第一实施方式-rfid
37.在第一实施方式中，标识器包括rfid标签或镶嵌物。rfid标签附接至放疗设备的部件。在第一实施方式中，系统包括rfid读取器，rfid读取器包括天线241。天线241与设备控制器240以通信方式耦合，并且设备控制器240被配置成接收和处理rfid读取器所获取的数据。天线241可以被描述为rfid读取器并且可以是rfid发起器的一部分。在根据本公开的系统中，包括天线241的rfid读取器可以被描述为rfid发起器，而标识器的rfid标签可以被描述为目标。
38.有两种原理的rfid操作模式。在第一模式中，每个标识器包括主动rfid标签，并且在第二模式中，每个标识器包括被动rfid标签。在主动模式中，每个标识器包括供电器。这可以是内部电池或者至外部电源的连接件。每个标签被配置成产生其自己的电磁场并且发送(即，提供)识别信息。标识器可以响应于从rfid发起器接收的信号提供识别信息(所谓的应答器或者“主动应答器”系统)或者以规律的间隔提供识别信息(所谓的“信标”系统)。每个标识器可以包括供电器和主动发送器，该主动发送器被配置成重复地发送识别部件的识别数据。在第二被动操作模式中，每个标识器的rfid标签从天线241获取电力。发起器天线241创建电磁载波场，并且每个rfid目标以特定的方式调制载波场，以便提供识别信息。
39.在根据第一实施方式的一示例中，设备控制器240控制一个或多个固定天线241的操作，使得设备控制器240可以与包括放疗设备200的部件的rfid标签通讯。在该示例中，标识器包括被动rfid标签，并且一个或多个天线241(也称作读取器天线)向每个标识器提供射频波形式的电力。
40.在该示例中，放疗设备200包括设备控制器240，该设备控制器240耦合至rfid标签读取器，例如以241描绘的天线241。放疗设备还包括至少一个部件并且优选地包括多个部件，每一个部件装配有、设置有或以其他方式包括标识器，该标识器包括被动rfid标签。在
操作时，控制器向rfid标签读取器发送信号，并且还控制rfid标签读取器询问部件标识器。然后设备控制器240可以从每个标识器接收识别信息，并且以本文别处描述的方式与中央处理器270交互，以确保每个部件被正确地授权以与设备200一起使用。这个示例的优点是，机器是自动的，并且可以在任何时间在被设备控制器240提示时执行其自己的“授权检查”。
41.在相关的示例中，放疗设备可以包括多个rfid标签读取器，每一个rfid标签读取器与设备控制器240耦合。这可以被描述为读取器网络或者传感器网络。每一个标签读取器可以设置在设备周围或附近，以确保设备200上的每个rfid标签被询问并且其产生的信号被接收。
42.在第二示例中，现场维护工程师使用专用rfid读取器或者扫描仪来扫描设备200。读取器被配置成与rfid标签通讯、从每一个标签接收指示识别信息的信号、以及将这些信号或者解码的识别信息传递给设备控制器240。
43.因此，设备控制器240被配置成从设备200的每个部件接收标识器已经提供的识别信息。该信息可以存储在设备控制器存储器240中。
44.标识器的第二实施方式-光学标记识别
45.在根据本公开的第二实施方式中，每个标识器包括光学标记或光学标识器。举例而言，光学标识器可以是qr码或条形码。光学标记可以替代rfid标签和其他公开的标识器使用或者与rfid标签和其他公开的标识器结合使用。
46.在公开的实施方式中，光学标记可以包括序列号。放疗设备的若干部件可以包括序列号识别牌。序列号识别牌可以固定至待添加到放疗设备的备用构件，或者可替代地防篡改标牌，其使得维护工程师能够扫描构件身份。
47.这些标记可以被专用光学扫描仪读取，该专用光学扫描仪可以位于放疗设备周围或者包括在放疗设备之内。在一个示例中，放疗设备包括多个光学读取器/扫描仪，例如摄像机，每一个被配置且定位成扫描放疗设备的至少一个部件的标识器。每个光学读取器或扫描仪耦合至设备控制器240，以便向设备控制器提供关于多个部件中的每一个部件的识别信息。在另一个示例中，每个现场维护工程师携带有被配置成读取每个部件的光学标记/标识器的专用光学扫描仪。
48.标识器的第三实施方式-物理标记
49.在根据本公开的第三实施方式中，每个标识器包括含有识别信息的物理标记。物理标记可以包括例如一起形成指示唯一部件id的标记的纹路。例如，类似于qr码的物理标记可以与序列号或其他识别详细信息一起被“打印”在固定至设备或部件的标签上。
50.还设想可以使用不同标识器类型的组合。例如，系统可以包括rfid标签和/或光学标记和/或物理标记的组合。
51.技术人员将认识到虽然讨论了rfid、光学标记和物理标记，但是可以使用任何自动识别技术。
52.在设备控制器存储部件id的清单或者日志
53.在一个公开的实施例中，设备控制器通过读取器241从标识器接收识别信息，并且维护存储在设备控制器存储器245的部件清单、日志或数据库。在一个使用rfid标签的示例中，读取器241定期地询问放疗设备200的每个标识器，并且设备控制器定期地更新存储在本地存储器245的数据库。例如，设备可以在每天例如每日午夜进行这一授权检查。如果需
要的话，可以通过设备控制器240查看、访问和更新存储在设备控制器/本地存储器245的数据库。设备控制器还定期地与中央控制器270同步数据库。这可以被描述为向中央控制器270发送识别放疗设备的至少一个部件的数据。然后，中央控制器270可以将在中央控制器270接收的识别数据(例如数据库内包括的数据)以本文别处所描述的方式与授权数据进行比较。
54.将包含标识器的设备的部件
55.放疗设备的任何和所有部件都可以包含标识器。示例性部件包括磁控管、电子枪、环行器、波导、一个或多个真空泵、成像面板、束整形装置(例如mlc)、弯曲/转向磁体，mr成像装置可以包括主要磁体、梯度线圈、接收线圈、rf脉冲施加器(等)。可以设想至少更昂贵/更高价的部件将装配标识器。
56.显窃启/防篡改机构
57.此外，在一些实施方式中，每个识别器具有防篡改或显窃启机构。这样的机构允许放疗设备的制造商和所有者阻止或者获悉任意移除标识器(例如，以伪造或者未经授权地转售设备部件)的意图。
58.例如，可以具有对于视觉查看的项目(例如“如果封条被破坏，请勿使用”的标签)的物理保护。该物理手段允许标签目视检查，以核查标签本身的出处。
59.系统特征：处理器和授权数据库
60.放疗设备还包括设备控制器240和设备控制器存储器245。设备控制器240被配置成接收或者基于由至少一个标识器提供的信息产生识别放疗设备的至少一个部件的识别信息。设备控制器240与设备控制器存储器245电耦合和/或以通信方式耦合。
61.设备控制器240与中央控制器270(例如通过网络250)以通信方式耦合。设备控制器240被配置成向中央控制器270传送(即，发送)诸如识别信息的数据。中央存储器275可以包括作为云存储解决方案的一部分的若干不同服务器中的服务器。中央控制器270通过网络250与多个放疗设备(图中未示出)以通信方式耦合。每个放疗设备包括设备控制器、设备控制器存储器和多个附接有标识器的部件。
62.设备控制器240与中央控制器270可以各自被描述为处理器、计算机或计算设备。控制器可以彼此连接(例如：网络连接)和/或与局域网(lan)、内联网、外联网或者互联网中的其他机器连接(例如：网络连接)。控制器可以各自作为客户端服务器网络环境中的服务器或者客户端机器操作，或者作为对等(或分布式)网络环境中的对等机器操作。控制器可以各自是个人计算机(pc)、平板电脑、机顶盒(stb)、个人数字助理(pda)、移动电话、网络设备、服务器、网络路由器、交换机或网桥、或者能够(顺序地或者以其他方式)执行一组命令(其指定由机器执行的动作)的任何机器。此外，虽然图2中描绘了仅两个控制器，术语“控制器”也应被视作包括多个机器(例如计算机)的任何合集，多个机器单独地或者共同地执行一组(或多组)命令，以实施本文所讨论的一个或多个方法。
63.本公开的方法可以在一个或多个设备控制器存储器和远程控制器存储器或者任何其他计算机可读的介质上实施。介质可以是非瞬时性计算机可读介质。计算机可读介质承载有计算机可读指令，该计算机可读指令被设置为在处理器上执行，以使得控制器/处理器执行本文所描述的任何方法或者所有方法。本文使用的术语“计算机可读介质”是指存储用于使得处理器以特定方式操作的数据和/或指令的任何介质。这种存储介质可以包括非
易失性介质和/或易失性介质。非易失性介质可以包括例如光盘或者磁盘。易失性介质可以包括动态存储器。存储介质的示例性形式包括软盘、柔性盘、硬盘、固态盘、磁带或者任何其他磁性数据存储介质、cd-rom、任何其他光学数据存储介质、具有一个或多个孔图案的任何物理介质、ram、prom、eprom、flash-eprom、nvram和任何其他存储器芯片或者盒式磁带。
64.本公开的布置、系统和方法包括认证数据库。认证数据库保存关于哪些部件被授权与哪些放疗设备一起使用的信息。形成认证数据库的数据存储在中央存储器275上，并且可由中央控制器270查询。认证数据库包括关于已经设置有标识器的放疗设备的每一个部件的信息。认证数据库存储每一个唯一部件id以及关于每个部件被制造商授权与哪个放疗设备一起使用的信息。每个放疗设备可通过唯一设备id识别。每个唯一部件id可以与特定的唯一放疗设备id关联。可替代地或者另外地，每个唯一部件id可以与特定的服务合同关联。与每个放疗设备一样，每个服务合同具有其自己的唯一识别id。每个放疗设备具有其自己的服务合同，并且可通过服务合同的条款管理哪个部件被授权与该机器一起使用。
65.授权数据库还可以包括关于设备所有者的信息。授权数据库可以被查询以确定例如目前哪个部件形成特定放疗设备的一部分、谁拥有放疗设备、以及形成机器的一部分的部件是否被授权与该机器一起使用。授权数据库还可以包括关于特定部件的保修期剩余的时间的信息、关于部件的剩余使用寿命的信息、以及关于部件是否在维修和保养期间已经报废或被认为使用不安全的信息。例如，授权数据库可以存储指示特定磁控管(如被其唯一部件id标识)已经被报废的信息。授权数据库还可以包括关于特定部件的操作状态的信息。部件的操作状态可以指示部件被认为是可使用的、使用不安全、在保修期内或保修期外、被列为已经报废或者“考虑报废”、丢失、不授权被任何设备使用等等。
66.举例而言，如果磁控管显示出故障的迹象，则可在原地诊断和修理问题。可替代地，可以通过所谓的维修环路(有时涉及原供应商)送出磁控管。供应商或者其他非现场的检测点可以修理磁控管并将其返还到现场的放疗设备。可替代地，供应商或者其他非现场的检测点可以确定特定的磁控管有故障并且不能被修复。在这种情况下，更新授权数据库以指示该部件不再有效/授权使用。如果中央控制器270获悉该部件被任何放疗设备使用，则很可能安全标准将不再被满足，并且中央控制器270确定该设备不被授权使用。
67.放疗设备200还包括授权机构290。授权机构290由设备控制器240控制。授权机构290被配置成基于设备控制器所提供的信息允许或不允许放疗设备的操作。在一个示例性实施方式中，授权机构290包括可以使放疗设备200停止或者关闭的自动停止或者关闭机构。授权机构290是安全机构，其被配置成在形成设备200的一部分的任何部件不被授权与该机器一起使用的情况下中断放疗设备200的操作。
68.在授权机构290的简单的示例性实施方式中，该机构包括位于被配置成向放疗设备200供电的电源和设备200本身之间的可控开关。当开关关闭时，根据设备的通常操作向放疗设备200供电。然而，如果设备控制器240意识到安全标准未被满足，则开关打开并且因此放疗设备200无法通电，使得放疗设备200不能操作。如将在本文别处更详细地讨论地，安全标准可以涉及特定部件是否被授权与该机器一起使用、部件是否已经或者应该被报废、或者部件的年限是否超出其使用寿命。
69.授权机构可以并入现有的已知的临床安全检查。例如，已知进行检查以确认系统是否可以在临床上使用，其总是在当临床用户登录时检查。这种简单的机构可以是授权机
构的实施方式。
70.也可以具有多个机构，以便对特定的部件停电。例如，如果电子枪未被授权与机器一起使用，则可以停断朝向该电子枪供应的电。在另一个示例中，如果检测出成像平板有故障，但是用户在此期间不对患者成像，则设备可以被确定为被授权使用并且设备仍能够运转。可以设想基于预计的用户在此期间使用的(临床)技术而具有多个授权机构。如果所有的授权检查都成功了，则设备被授权使用并且用户可以继续工作。
71.方法
72.图3的流程图描绘了根据本公开的方法。所述方法适合于例如由中央控制器270执行。在步骤310，接收识别放疗设备的至少一个部件的数据。该数据可以被描述为识别数据或识别信息。可以从与放疗设备200关联的设备控制器240接收识别数据，或者直接从专用读取器(例如rfid读取器或者光学标记扫描仪)接收识别数据。识别数据包括允许放疗设备的特定部件被识别的信息。识别数据可以包括在制造部件时分配给部件的唯一id，如在本文别处所讨论的。识别信息也可以包括识别放疗设备200的唯一设备id。换言之，识别数据可以包括允许放疗设备以及放疗设备的至少一个部件被识别的信息。
73.在优选的实施例中，识别数据包括允许放疗设备或机器的多个部件的每一个部件被识别的信息。识别放疗设备的至少一个部件的数据可以包括部件id的清单或者目录。
74.在简单的示例中，设备控制器240从直线加速器设备的磁控管、电子枪或者剂量计接收识别信息。识别信息包括磁控管、电子枪和剂量计的每一个的唯一id以及它们形成其一部分的放疗设备的唯一id。设备控制器240可以通过网络250将该识别信息传递给中央控制器270，并且中央控制器在步骤310接收该识别信息。
75.在步骤320，基于至少一个授权标准来比较识别信息和授权数据。授权标准也可以被描述为安全标准。授权数据存储在授权数据库中。比较可以包括由中央控制器270查询存储在中央存储器275中的授权数据库。比较包括检查是否满足安全标准。检查是否满足安全标准可以包括检查在步骤310接收的识别数据中识别的每一个部件被列为被授权与它们形成其一部分的放疗机器200一起使用。对于每一个部件，安全标准可以是部件以特定的操作状态列出。例如，步骤320可以包括，根据包含在授权数据库中的信息，确保部件不被认为已经丢失、报废或者损坏，或者不被认为是在其安全参数之外操作。检查是否满足安全标准可以包括检查每一个部件是否根据特定服务合同被授权使用。服务合同可以通过唯一识别id来识别，进而服务合同可以与特定的放疗设备或机器绑定。这意味着特定部件可以在特定服务合同下被授权使用，其进而授权该部件与特定机器一起使用。
76.在步骤330，确定是否满足安全标准。该步骤基于上述讨论的步骤320的比较。换言之，通过比较识别数据与授权数据来确定是否满足安全标准。
77.如果满足安全标准，则在步骤340授权放疗设备进行使用。换言之，设备被认为是安全的并且适于操作。在上文给出的识别数据包括关于仅三个部件(即，磁控管、电子枪和剂量计)的信息的简单示例中，可以确定这些部件的每一个部件在与它们当前所在的放疗设备绑定的服务合同下被授权使用。因此，设备被视为操作是安全的。将理解，安全标准可以根据制造商的具体目标来设计，例如以确保满足规章要求、应该已经报废的部件不存在于设备中、以及没有部件被不正确地安装在部件未被授权使用的机器中。如果不满足安全标准，则在步骤350使设备不被授权使用。这可以包括确定设备操作不安全。
78.可选地，在步骤340和350之一或者两者之后，该方法还包括向设备控制器240发送指示是否至少一个部件被授权与放疗设备一起使用的讯息或指示。换言之，所述指示指明已经满足该至少一个安全标准，或者不满足该至少一个安全标准。这将参照图4更详细地讨论。在所公开的实施方式中，响应于在步骤350确定放疗设备的部件不被授权使用，向设备所有者和/或医科达(elekta)维护工程师发送指示授权失败原因的邮件或其他讯息。这允许所有者或者工程师来决定系统是否需要人为干预。
79.图4的流程图描绘了根据本公开的方法。所述方法适合于例如由放疗设备200的设备控制器240执行，或者由专用标识器/标签读取器和设备控制器240的组合来执行。
80.在步骤410，接收识别放疗设备的至少一个部件的数据。接收数据的方式取决于自动识别技术的特定实施方式。例如，可以在由与设备控制器通讯的天线询问设置在每个部件上的rfid标签之后，在设备控制器接收识别信息。可替代地，现场维护工程师可以使用rfid、光学标记或者物理标记扫描仪或读取器来扫描与放疗设备关联的每个标识器。扫描仪或读取器可以包括允许扫描仪或读取器处理接收自部件标识器的信号或信息的处理器。
81.在放疗设备包括多个部件，每个部件具有其自己的标识器的示例中，识别放疗设备的至少一个部件的数据可以包括识别多个设备的数据。这可以是部件id的清单或目录的形式。
82.在步骤420，将识别信息发送至中央处理器以与授权数据进行比较。将理解，扫描仪或读取器可以与网络250通讯，并因此可以将从标识器收集的信息直接发送至中央处理器270。可替代地，扫描仪或读取器可以向设备控制器240发送该信息，以允许设备控制器240将识别数据发送至中央控制器270。参照图3的流程图，在步骤310，由中央处理器接收识别放疗设备的至少一个部件的数据。
83.在步骤430，接收指示是否至少一个部件被授权与放疗设备一起使用的指示。可以在步骤330确定是否满足至少一个安全标准之后从中央处理器270接收指示。
84.响应于步骤430的接收指示，设备控制器240可以向授权机构发送信号。设备控制器240基于所接收的指示向授权机构290发送信号，授权机构290基于该信号允许设备200操作或者使设备200停止操作。在一个示例中，设备控制器240响应于接收的该设备的所有部件被授权与放疗设备一起使用的指示而允许放疗设备进行操作。
85.在简单示例中，参照图3和图4的方法，在中央控制器270接收识别形成特定放疗机器的一部分的特定磁控管的数据。将该识别数据与形成授权数据库的一部分的数据进行比较，并且确定该磁控管被错误地安装在特定放疗设备中。存储在授权数据库中的数据表明磁控管相反被授权与同一医院所拥有的另一个不同的放疗机器一起使用。因此，不满足安全标准，并且该特定的放疗设备不被授权使用。中央处理器270将该决定传送至设备控制器240，设备控制器240进而命令授权机构阻止该设备进行操作。阻止设备进行操作，直至已经用正确授权的部件替代该磁控管部件，并且设备控制器240已经从中央控制器270接收到该正确授权的指示。
86.在一些实施方式中，不同于利用可以控制设备是否可以操作的授权机构，或者除了该功能之外，在步骤340的授权或者步骤350确定设备不应被授权之后，可以发布一个或多个通知。例如，在步骤350之后，可以向设备制造商发布通知，告知制造商在步骤330放疗设备中不满足安全标准或者安全准则的任何部件。例如，可以告知制造商一个或多个部件
未被授权与它们现在形成其一部分的放疗设备一起使用。也可以向设备所有者发送通知，告知不满足安全标准或准则的任何部件。通知本身可以显示为在显示控制屏上的警告或者自动生成的邮件，以告知制造商哪些部件授权检查不成功。未被授权与放疗设备一起使用的部件的识别可以导致在存储于设备控制器存储器245和/或中央控制器存储器275中的事件日志中记录任何这样的部件。
87.本文公开的方法减少了与人工检查放疗设备的部件被正确授权相关的时间和可能的错误。所公开的方法允许对哪些部件形成放疗设备的一部分具有更强的控制。因此，它可以确保仅认证的或者授权的部件形成设备的一部分。在服务期间宣布设备可操作之前，替换机器部件的伪造、未经授权的维修和转售可以被识别并阻止。本方法有助于制造商、机器所有者和其他供应链实体确保规章的遵守并且确保伪造的或者未认证的再修复的部件不能流通和不能使用。
88.数据日志
89.授权数据库还可以包括对特定设备部件执行的、用特定设备部件进行的或者与特定设备部件关联的所有服务相关的动作的日志。这可以被描述为由工程师执行的动作的服务日志。例如，每次进行特定部件的维修，现场维护工程师利用维修的详情更新数据库。当服务动作涉及更换部件时，这应该被记录并且由自动启动程序验证。结合定期接收的识别形成设备的一部分的特定设备部件的信息的历史(例如，本地存储在设备中或中央存储的初始清单)以及服务动作的事件日志，使得现场维护工程师能够在本地或者远程地确认装配了哪些新构件、它们什么时候更换的、以及由谁更换的。
90.数据日志可以存储除了服务相关的数据以外的其他数据或者替代服务相关的数据的其他数据。该方法可以包括维护数据日志，该数据日志存储所接收的识别多个部件的每一个部件的数据。数据日志可以本地存储在设备中，或者中央存储。数据日志可以形成中央授权数据库的一部分。
91.在一个示例中，多个部件中的每一个部件的安装时长可以来自于数据日志。在该示例中，数据日志存储所接收的识别数据以及指示数据接收日期的时间戳。从与那一部件关联的最早时间戳直到当前时间的时间表示那一部件的安装时长。该方法包括在数据日志中存储该数据。在该示例中，授权数据包括多个部件中的一个或多个部件的使用寿命，并且授权标准包括安装时间阈值。因此，确定是否满足至少一个授权标准可以包括基于安装时间阈值比较安装时长与使用寿命。根据一个示例，放疗设备电子枪的使用寿命在授权数据库中被列为12个月。该寿命可以基于由制造商提供的信息，或者可以基于来自与该特定电子枪关联的服务相关的动作的数据。使用寿命可以基于从电子枪和/或设备接收关于电子枪的性能的数据。在放疗设备的数据日志指示从电子枪接收的最早记录的识别信息在11个月前被接收。基于1个月的电子枪的安装时间阈值，即，离到达其使用寿命结束为1个月，放疗设备被认为不被授权使用。该方法还可以包括，在电子枪的安装时间临近使用寿命时向用户设备制造商发送一系列指示和/或警告。这种安装时间与使用寿命的比较可以用于触发备用构件的订购或者服务点的预约，从而减少机器停工期。
92.在另一个示例中，授权阈值不是基于安装时间，而是预期位置。在该示例中，每一个标识器包括供电器和主动发送器，该主动发送器被配置成重复地发送识别该部件的数据。放疗设备包括接收器，该接收器被配置成从标识器的主动发送器接收信号。基于接收器
处的信号强度，使用诸如三角测量的已知技术可以确定主动发送器的位置，并因此确定固定有该标识器的部件或物品的位置。这样，多个部件的每一个部件的位置可以源自于数据日志。在该示例中，该方法还包括当从主动发送器接收识别部件的数据时确定信号强度，以及将信号强度随同所接收的识别数据记录在数据日志中。用户可以查看数据日志，以查看每个ping位置，以便查看标识器的移动，以及因此查看标识器所附着的部件的移动。用户可以请求多个部件中的一个或更多个部件的最后获知的位置，并且放疗设备处理器将响应于该请求而向用户提供所述位置。所述位置可以提供给用户用其进行请求的设备。如下文所述，多个接收器的使用允许更精确地在两个或更多个坐标轴中确定部件的位置。例如，沿着平行于地面的轴线空间上分离的两个接收器可以与用于确定在该轴线上的标识器的大概坐标。
93.在该示例中，授权数据可以包括多个部件中的一个或多个部件的预期位置，并且授权标准可以包括距离阈值。确定是否满足至少一个授权标准包括基于距离阈值比较部件的确定位置与部件的预期位置。在一个示例中，基于离放疗机器的距离测量值，可以确定部件已经被卸载或者没有正确地安装到正确的放疗机器。该功能可以用于解决现场部件的违规操作，该违规操作有时候会导致部件被安装在不正确的放疗机器上。
94.该方法还可以包括从与新安装的部件耦合的标识器接收识别放疗设备的新安装的部件的数据。与该部件相关的识别数据在存储于放疗设备存储器中的数据日志中找不到，这说明该部件是新部件。可以通过查询中央授权数据库来证实这种确定，以确定新部件是否被授权与该放疗机器一起使用。因此，该方法还可以包括基于所接收的识别数据和存储在数据日志中的数据确定新安装的部件是新安装的，基于从新安装的部件接收的识别信息和授权数据来确定是否满足至少一个授权标准。如果满足至少一个授权标准，则放疗设备被授权使用。
95.扫描和查看替换部件
96.在特定的实施方式中，当放疗设备首次在现场(例如在医院)构建时，直到用中心授权数据库检查每个部件的身份并且被中央控制器授权之后，放疗设备才会进行操作。之后，每次机器被维护或维修时，在设备变得可操作之前，将再次检查其部件是否在其变得可操作之前被授权使用。
97.在一个简单的示例中，现场维护工程师参与已经确定为操作欠佳的设备。工程师确定该故障与磁控管相关。工程师确定为了纠正该故障，必须更换磁控管。在下面的程序中，工程师从放疗机器移除旧的、有故障的磁控管，并更新中央数据库以指示磁控管已经被报废。类似地，可以更新数据库以指示旧磁控管的操作状态是有故障或者不能操作。现场维护工程师更新数据库，以反映新的替换磁控管已经安装在放疗机器中。新的磁控管现在被列为被授权由该放疗机器使用，而旧的有故障的磁控管现在被列为不被授权与任何放疗机器一起使用。当放疗机器已经被修复并且通电以进行操作时，识别替换磁控管的数据在设备控制器被接收，并且发送至中央控制器，以与授权数据进行比较。只有当新的部件被授权时该设备才可以操作。类似地，如果在以后的日子，在中央控制器270接收到与旧的报废的磁控管相关的唯一id，则该部件的授权将失败，并且含有报废磁控管的设备将不被视为可操作的。
98.追踪部件从放疗设备的移除
99.根据一个示例，该方法可以包括：将每一个标识器的供电器与设备电源连接；确定多个部件中的部件已经与设备电源断开连接；以及继续接收识别数据并将信号强度以及所接收的识别数据记录在数据日志中。
100.当安装在放疗设备上时，主动标识器的内部电源由于其与放疗设备电源的连接而持续充电。当从设备提取出时，部件追踪信号将被激活。例如，形成标识器的一部分的芯片或小处理器将确定它不再被放疗设备充电。放疗设备本身也可以确定标识器已经与设备电源断开连接，并且确定部件正在经历维护动作、正在被替换、或者与放疗设备断开连接的其他情况。
101.作为在更换构件时当前生效的“拆卸”动作的一部分，fse给返还事件标记id(构件 序列号#)。根据出站事件协议，将登记部件位置。每个ping都会被记录，直至超出范围。由于留在医院场所收集的物品将被快递员收走，部件在被收走之前将仍在范围内。
102.更新和维护中央数据库的准确性
103.特定的现场维护工程师可以根据其资历、资格证和/或在服务和维修行业工作的时长等被授予数据库访问权。还可以授予物流和供应链的工作人员特定的访问权，使得他们能够根据他们的相应访问权更新授权数据库。
104.在一些示例中，部件唯一id在制造时生成。部件被分配特定id，例如其序列号，并且在授权数据库中为该部件创建条目。该条目指示部件的类型和其唯一id以及其状态。部件的状态可以指示例如其已经被维护/维修实体购买和/或可以表示该构件在仓库中。每个状态还可以具有关联的时间戳，这允许授权数据库用于确定特定物品或部件已经贮存了多长时间。
105.一旦确定特定放疗设备需要替换部件，例如通过现场维护工程师进行现场测试或者通过预测性或诊断性维护技术确定，就可以为该部件处理订单，并且其状态可以从它在仓库中的指示更新为它在去往特定放疗设备途中的指示。此时，更新授权数据库以指示特定部件用于与特定放疗设备一起使用。
106.可替代地，在安装新部件或替换部件时，可以由授权的现场维护工程师在设备现场更新授权数据库。在该示例中，工程师通过自己的专用计算机或者通过设备控制器240更新数据库，以指示部件已经被安装在特定设备并因此该部件被授权与该设备一起使用。
107.其他实施例
108.将理解，上述具体实施例的描述仅通过示例的方式进行，并不意在限制本公开的范围。设想了所描述的实施例的很多修改，现在将描述其中一些修改，所描述的实施例的很多修改意在落入本公开的范围。
109.库存管理
110.rfid标签在放疗设备的各个部件上的存在还有益于库存管理和资产跟踪领域。中央数据库可以存储关于与每个特定部件关联的“事件”的信息。这些事件可以具有关联的事件数据，例如读取每个部件的标识器的位置和由哪个rfid读取器读取。作为这些实施方式的一部分，多个天线读取器沿着供应链放置，以便读取器可以在设备部件的使用寿命中在关键时间和关键位置扫描设备部件。事件数据可以包括部件由标签(标识器)读取器扫描的位置和时间。事件数据还可以包括识别标签读取器所扫描的部件的信息。
111.例如，参照图3和图4的方法，在一个示例中，工程师更新中央授权数据库，以指示
放疗设备的至少一个部件不满足安全标准，和/或至少一个部件不再被授权与特定放疗设备一起使用。该部件可以是电子枪，例如，该电子枪已经临近其有用的使用寿命的末尾并因此不再适合于用于放疗设备。工程师更新数据库以反映电子枪将要报废和毁灭。可来源于标识器的与电子枪关联的识别数据现在与存储在中央存储器的授权数据相关联，该授权数据指示电子枪已经报废并且不被授权与任何放疗设备一起使用。
112.在已经确定一构件需要报废和/或毁灭时，现场的现场维护工程师将其移除并将其带到报废场所，或者安排收集该构件并运输到报废场所。这些动作由物流程序确定。
113.标识器的存在允许在电子枪去往官方认证的报废场所时在其旅途上追踪电子枪。标签读取器可以放置在制造商装载车辆的入口/出口处，以便对哪些部件和机器构件已经装载到车辆上进行记录和录入。在该示例中，当报废的电子枪在医院场所装载到车辆上以从现场带走以便报废时，车辆装载门处的天线标签读取电子枪标签，并且中央授权数据库进行更新以反映有关该部件已经发生了新事件，即，该部件已经被装载到车辆上以运输至报废场所。当从运输车辆上卸载该部件时并且当该部件到达报废场所时，也类似地扫描部件并且记录相关的事件数据。这种功能有助于确保，当部件被认为不适于在放疗设备中使用时，部件确实被完全地报废或妥善处置，并且因此有助于制造商作为维修供应商满足他们的规章要求。
114.在所公开的实施方式的其他示例中，还在将部件装运/运输到现场时使用该功能。例如，当部件离开工厂或仓库时，放置在仓库出口的标签读取器读取标签，并且更新中央数据库以记录与该部件相关的新事件。例如，新事件数据可以指示部件已经离开了仓库。之后的事件可以包括当部件被装载到运输车辆上时扫描部件并且读取其标识器，并且当部件到达医院和其他机器现场时再次扫描部件并且读取其标识器。
115.一起使用所公开的方法，可以确定与构件(例如，磁控管)的供应商和设备的供应商之间的关系相关的保修期什么时候开始(例如，该保修期可以在当构件提供给设备供应商时开始)，以及与放疗设备的供应商和放疗设备的客户/购买者之间的关系相关的保修期什么时候开始(该保修期可以在当购买者/所有者开始使用设备时开始)。使得有库存的构件的保修期可见，有助于各个公司更有效地并且以确保构件在正确保修期内提供的方式来管理他们的库存。所公开的方法还有助于避免不希望的保修期不匹配的情况，保修期不匹配会导致放疗设备的供应商有义务维修有故障的构件的情况，即使当该构件由第三方供应商提供时。
116.使用现有技术的布置和方法的问题是，工程师/快递员经常在医院场所定位实物物品(包括用于放疗设备的部件)方面具有困难。医院很大，杂乱复杂，具有多个入口点(一个或多个接待处、进货、附属建筑等等)，这意味着追踪交货和/或取货点会是困难或者不可能的。
117.本技术涉及对放疗设备的多个部件和/或与放疗设备维修和组装相关的其他实物物品装配能够提供关于部件的识别信息的标识器。例如，唯一id。优选地，标识器包括电源和主动发送器，主动发送器被配置成重复地(例如以规律的或者间歇的间隔)发送识别信息。由用于授权方案的部件/机器生成的信号可以用于例如使用rfid/wifi定位部件和附近的物品。
118.这种位置感应和追踪方案可以在整个供应链使用。例如，用于递送的部件可以装
有小电源，该电源由发送店在接收到向医院地点运送设备的部件或者其他物品的请求时启动。该启动过程获取部件的唯一id(物品 序列号#)，并且更新授权数据库以指示该部件与特定装运信息(订单 追踪id)相关。标识器被配置成在专用频道上间歇地发送id信号，该id信号可以由一定范围内的接收器接收。一旦进入任何这种接收器(例如形成放疗设备的一部分的一个或多个接收器)的范围，部件位置就被登记在中央授权数据库上并且基于每个ping进行更新。
119.如上所述，当在适当配置的接收器的范围内时，每个ping位置可以存储在日志文件中，以显示标识器的移动以及因此显示标识器所附着的部件的移动。工程师/操作者可以访问位置数据库以查看部件的实时(最后获知的)位置。该数据日志可以用于计算部件或者物品在超出范围时的潜在向量(potential vector)。该潜在向量可用于帮助追踪到部件或物品(例如，如果认为部件或物品丢失的话)。“接收器”(形成放疗机器的一部分和/或在整个医院适当地布置)将具有可变的接收器位点，以便检测横向平面上的位置和相对于机器的升高。放疗设备可以包括多个接收器，所述多个接收器在空间上彼此分离，每一个接收器被配置成从标识器接收信号，标识器发送关于它们的部件/物品的识别数据。因此，接收器可以用于确定多个坐标轴中部件的位置，例如基于在多个接收器中的每一个接收器接收的信号强度通过使用三角测量技术来确定。多个机器(每一个机器具有一个或多个接收器)的组合允许计算相对距离，以便更加精确地确定部件的位置。
120.根据一个示例，每个医院都被绘制3d地图，其中在地图上标注放疗设备的位置。这给予工程师和或操作用户可视化表示，以便确定部件的相对位置，以及基于所确定的部件离各个接收器中的每一个接收器的距离，确定部件有可能被安装在哪个设备上或者在医院的何处可以找到部件或者物品。
121.授权数据和事件数据之间的相互作用
122.在所公开的构思的其他实施方式中，所存储的涉及特定部件的授权数据和所存储的关于特定部件的事件数据之间的差异可以被自动地标记。
123.例如，如果磁控管已经被远程维护工程师视作有故障，其认证数据将指示它不被授权与任何放疗设备一起使用。该指示将与显示例如部件已经返回仓库而非报废场所的事件数据不一致。更一般地说，该授权数据将也与指示有故障的磁控管已经被装载到运输车辆上但是从未到达报废场所的事件数据不一致。这些差异可以被标记并且由中央控制器/处理器处理。
124.在另一个示例中，可以确定特定部件例如波导被授权与特定医院的特定放疗设备一起使用。然后，最后可获得的事件数据指示波导已经被运送至不同的场所。因此，使用所公开的方法，将具有至少两种确认该波导已经被安装在其未被授权的设备中的可能方法。在第一种方法中，当波导被安装在“不正确”的放疗设备时，它将根据图3和图4中示出的流程图中所公开的方法进行自我授权检查。该设备将读取波导上的标签并因此接收(410)识别波导的数据、将识别数据发送(420)至中央处理器以与授权数据进行比较，并且接收(430)波导不被授权与放疗设备一起使用的指示。这可以触发其他动作，例如设备不在规章内和/或安全要求下操作的警报、屏幕上的提示，中央数据库可以进行更新以便安排维护工程师来访以检查波导的授权状态，该设备可以被授权机构阻止操作，等等。在不依靠由设备进行的自我授权检查的另一种独立的方法中，中央处理器可以检查数据库的不一致或“标
记”。当注意到指示波导被授权与“正确”的放疗设备或者特定顾客或医院一起使用的波导授权数据与事件数据指示的波导被交付的位置不匹配时，将产生不一致。这可以触发任何、一些或全部上述的触发。
125.使用所公开的方法，“事件数据”(即，部件被扫描的位置和时间)和“授权数据”(即，部件被授权使用的位置和医院)之间的差异可以用算法、使用ai或者由人识别和发现并且快速地采取行动。
126.本文公开的方法减少了与人工检查放疗设备的部件被正确授权相关的时间和可能错误。所公开的方法允许对形成放疗设备的一部分的部件的更强的控制。因此，它可以确保仅认证的或者授权的部件形成设备的一部分。替换机器构件的伪造和未授权的维修和转售可以在维护期间在宣布设备可操作之前被确认和阻止。本方法有助于制造商、机器所有者和其他供应链实体确保规章服从性和确保伪造的或未认证的修复的构件不能流通和使用。
127.本文公开的方法允许自动追踪每个放疗设备上的关键机器构件的变化。有利于阻止未授权的构件被安装在设备上，或者至少识别这种安装。可以通过供应链和仓库中追踪部件构件，包括在fse货车和fse个人仓库中持续追踪构件。关键构件可以在它们返还制造商以进行报废时进行追踪。本文公开的方法允许自动触发服务点预约和备用构件下单。可以用年限追踪各个部件的使用，并且可以监控特定部件(例如昂贵构件)的重复变化。可以保留设备出厂时的设备建造状态(配置)。可以追踪单个部件构件在整个系统(包括设备到设备)的移动。可以追踪fco的实施和兼容性管理。可以定位和追踪根据原构件制造商的建议确认的有故障的构件。通过追踪作为识别数据的一部分的部件构件类型版本，可以快速地确认控制系统软件与某些构件类型版本不兼容的情况。
128.现场维护工程师授权
129.当在一场所进行维修或者预约的维护时，现场维护工程师(fse)经常需要访问设备控制器，即，位于放疗设备的位置现场的计算机或计算机系统。现场维护工程师可能需要查看与设备操作有关的信息，例如之前几个星期或几个月的信息，以帮助诊断问题。例如，现场维护工程师可以查看与过去几个星期供应给特定部件的电流或电力相关的信息。通过将数据与已经阈值和数据模式进行比较，通常可以诊断出特定的问题，或者排除问题的可能原因。设备控制器还控制设备的一些操作参数。现场维护工程师可以调节这些参数以便进行诊断测试。可替代地，现场维护工程师可以调节这些参数以便解决特定问题，并因此确保设备在安全参数内继续操作。
130.例如，待供应给电子枪的阴极以便提供特定直线加速器束能量的最佳电流随着阴极丝的老化和衰减而日益降低。因此，确保特定直线加速器能量的最大剂量率所需的通过丝的电流随着时间而减少。校正用于特定直线加速器能量的最佳枪电流是由现场维护工程师进行的常规服务检查的一部分。
131.此外，当放疗设备在操作期间遇到问题和发生安全性中断时，与中断相关的信息(例如中断的时间和原因)将被存储在设备控制器中。取决于安全性中断的性质，设备控制器可能需要授权的工程师访问设备控制器，并且确认问题已经被解决和/或放疗设备重新适合于操作。
132.然而，将理解，对设备控制器的访问应限于授权的现场维护工程师或者其他授权
的人员，例如临床医生。常常一般工程师甚至现场的临床医生会去企图修理或维修设备，然而，在没有正确知识和培训的情况下，即使看起来简单的修理也会导致复杂化和错误。
133.因此，在所公开的方法中，放疗设备可以要求潜在维护工程师识别他们自己并且通过授权检查之后，他们被视为被授权维护和/或维修放疗设备。
134.在该方法中，授权数据库存储关于哪些维护工程师被授权维护特定放疗机器的数据。授权数据库存储与每个维护工程师有关的数据。授权数据可以指示特定工程师被授权例如维护特定类型或者种类的所有机器。工程师可以被授权执行某些活动而不执行其他活动；例如，工程师可以被授权安装特定设备而不维修特定设备。授权数据可以根据设备特性(例如种类、型号、年限)以及谁拥有设备(例如，特定医院)指示特定工程师被授权执行特定维修活动。授权数据可以根据与特定顾客、设备、设备组、设备类型等相关的维护合同的内容来对工程师授权。授权数据可以根据设备所有者或者与设备关联的医院指示特定工程师被授权进行特定维修活动，例如，工程师可以被授权维护特定医院拥有的所有直线加速器放疗设备，而非不同的医院拥有的直线加速器放疗设备。不同的工程师还可以用部件或构件种类授权。例如，特定工程师可能已经进行了特定部件的培训，并因此被授权维护磁控管和相关的装置，但是可能没有进行与被授权维护电子枪相关的培训。这种授权通常基于工程师进行的培训以及阅读过的材料和/或他们被培训以使用的硬件和软件工具。
135.装置和设施
136.用于执行方法的装置和基础设施与上述的装置和基础设施大体上相似。中央计算机、处理器或“控制器”270可以访问存储在中央存储器275中的授权数据库。位于放疗设备200的计算机、处理器或者“控制器”240(例如，通过网络250)以通信方式耦合至中央处理器270。以上文概括性地描述的方式，设备控制器240能够从中央控制器270和中央存储器275请求和接收信息，并且中央处理器270能够从设备控制器240和设备控制器存储器245请求和接收信息。
137.另外，在执行该进一步的方法时，每个设备控制器都以通信方式耦合至输入装置。输入装置可以包括输入设备、系统或布置。输入装置被布置成从潜在维护工程师收集识别信息，并且将识别信息传递给设备控制器240。输入装置可以包括以下任一者：键盘，触摸屏或gui，生物特征识别的扫描仪或输入机构(例如指纹扫描仪，视网膜扫描仪，作为面部识别系统的一部分被配置成扫描潜在维护工程师的面部的摄像机布置，或者作为声音识别系统的一部分被配置成捕捉和评估/审查潜在维护工程师的声音的麦克风布置)。输入装置可以包括允许收集关于潜在维护工程师的签名的信息的装置，例如，输入装置可以包括电子笔和便签或类似的系统，其允许根据已知的签名分析和授权方法测量工程师签名的特性，例如形状、尺寸和签名时签字的压力和笔的倾斜角度等等。
138.在一个示例中，每个现场维护工程师(fse)具有其自己的便携式处理设备，例如笔记本电脑。笔记本电脑可以由现场维护工程师工作的维护和维修公司提供。笔记本电脑是输入装置，并且可以与设备控制器240连接，设备控制器240位于放疗设备处并且耦合至放疗设备。例如，现场维护工程师的笔记本电脑可以通过lan或以太网络线耦合至设备控制器。一旦耦合到设备控制器，现场维护工程师的笔记本电脑就可以向控制器发送查询请求，以确定放疗设备的身份。然后放疗设备控制器发回识别放疗设备的识别信息，例如设备的唯一id号。如将在下文更详细地解释的，现场维护工程师的笔记本电脑和其他处理装置可
以存储或寄存专用的访问权控制应用，该访问权控制应用存储与特定现场维护工程师的访问权相关的信息。
139.云/中央计算机“视角”的方法
140.图5的流程图描绘了根据本公开的方法。该方法适于由例如中央控制器270执行。在步骤510，接收识别至少一个潜在维护工程师的工程师识别数据。该数据可以被描述为识别数据或者识别信息，其识别至少一个潜在授权的维护工程师。可以从与放疗设备200关联的设备控制器240接收该识别数据，或者直接从与潜在工程师自己关联的处理设备(例如他们的移动设备)接收识别数据。识别数据的形式和内容取决于使用的输入装置。工程师识别数据由工程师通过输入装置输入或者提供。例如，在利用键盘或触摸屏的使用的实施方式中，识别数据可以包括用户名和密码。
141.在步骤520，接收识别至少一个放疗设备的设备识别数据或者设备识别信息。这可以包括设备唯一id。设备识别数据可以包括产品名称、类型、年限、维修和维护状态和所有者信息。应当注意步骤520可以在步骤510之前执行，或者该信息可以作为同一查询、通讯或消息的一部分同时提供给中央控制器。
142.在步骤530，基于至少一个授权标准比较识别数据与授权数据。该比较可以包括通过中央控制器270查询存储在中央存储器275的授权数据库。在步骤540，确定是否满足至少一个授权标准。步骤530和540可以被描述为基于工程师识别数据、设备识别数据和授权数据确定是否满足授权标准。
143.授权标准基于存储在授权数据库中的信息。授权数据库可以存储任何或者所有以下信息：与每个现场维护工程师的技能/培训相关的信息；可用于维修多个放疗设备中的每一个放疗设备的硬件和软件工具；在维修放疗设备时可能对现场维护工程师有用的手册或其他文件；特定机器配置信息，例如，基于安装的基础信息的特定机器配置信息和/或在安装每个设备时上传的特定机器配置信息；计划在机器上执行的动作的类型，例如修正性、有计划的或者预防性维护；可选或强制性的升级，或新的安装；已经在过去现场来访期间更改或安装的构件(硬件和软件两者)的数据。该数据将更新记录在安装基础(installed base)数据库中的机器配置；以及与每个机器相关的维护合同。
144.授权标准可以基于存储在授权数据库中任何或所有的信息。授权标准可以简单地是：通过工程师识别数据识别的工程师，应当在授权数据库中列为被授权维护通过装置识别数据识别的放疗设备。
145.每个现场维护工程师可以具有授权“级别”。分配给特定现场维护工程师的授权级别可以基于任何他们已经进行的课程和培训、他们的资历和/或经验、他们已经表明的他们已经阅读的材料，以及存储在授权数据库中的上面详述的任何其他因素。授权级别对于特定现场维护工程师可以是个人化的。授予现场维护工程师的访问权可以基于现场维护工程师的授权级别。例如，调节与特定机器部件相关的操作参数的能力可以基于授权级别进行限制。
146.如果满足了授权标准，则在步骤550授权工程师维护放疗设备。将该维护工程师授权维护设备的通知或通讯发送给设备控制器240。该通知可以指示特定的工程师特有的访问权。授权工程师维护放疗设备可以包括，通过设备控制器或者与现场维护工程师关联的便携式处理设备向工程师提供存储的或一次性的密码和/或用户名，其给予对设备控制器
的特定访问权。如果生成一次性密码，密码可以具有时间限制，使得现场维护工程师被授权以仅在限制的时间内(例如，特定的那天)具有特定访问权。在该时间之后，现场维护工程师访问权到期并且他或她必须再次通过授权检查。
147.如果通过现场维护工程师的笔记本电脑或其他便携式处理设备准予访问，则通过笔记本电脑上的访问控制应用来控制访问权的到期。每隔一段时间，笔记本重新建立与被访问的机器上的授权软件的连接。
148.在该步骤之后，可以基于通信的访问权，授予设备控制器240上某些功能的访问。换言之，访问权和/或许可可以被授予授权的维护工程师。该访问权可以包括：调节与放疗设备的操作相关的参数的能力，例如放疗设备的特定部件处的电流和电力水平或者供应给放疗设备的特定部件的电流和电力水平，使用束对准系统调节束的对准的能力，等等。该访问权可以包括查看和编辑与放疗设备的部件相关的使用数据的能力。该访问权可以包括查看和编辑关于放疗设备的每个部件的手册和技术信息的能力。
149.如在本文别处所讨论的，授予现场维护工程师的访问权由产品和特定现场维护工程师的技能来确定。一些放疗设备可以具有单级别的维护访问权。然而，一些复杂的产品，例如直线加速器设备，可以具有不同的访问级别，即，可以向不同的现场维护工程师分配不同的授权级别。例如，辐射能量的校准是需要大量知识和培训的非常有技术的技能，并且需要不同于更换一些其他机械/电子构件的培训。再举另一个例子，与马达或电位计相关以及与几何校准有关的维护工作需要与更换磁控管不同的技能。
150.可替代地，如果不满足授权标准，则在步骤560，该工程师不被授权维护放疗机器。在这种情况下，不授予上述某些访问权和/或许可。另外，可以更新授权数据库以指示未授权的工程师试图在设备控制器240访问受限的信息或者功能。
151.在某些实施方式中，用指示有人试图维护放疗设备或访问设备控制器240的事件数据更新授权数据库。可以用任何以下信息对识别的放疗设备更新授权数据库：维护工程师的名字，工程师试图维护或访问放疗设备(无论该试图是否成功)的时间，等等。
152.位于放疗设备的计算机“视角”的方法
153.图6的流程图描绘了根据本公开的方法。该方法适于由例如放疗设备200的设备控制器240来执行，或者由与潜在授权的维护工程师关联的专用移动或便携式设备和设备控制器240的组合来执行。
154.在步骤s610，接收识别至少一个潜在维护工程师的数据。接收数据的方式取决于特定的实施方式。例如，可以从输入装置接收工程师识别信息。在输入装置是指纹扫描仪的示例中，工程师识别信息通过指纹扫描仪收集并且传送给设备控制器240。
155.在步骤s620，将工程师识别信息和设备识别数据发送给中央处理器以与授权数据进行比较。在某些实施方式中，设备与特定的放疗设备关联，并且这种关联被存储在设备存储器245中，这表示它可以通过设备控制器240自动地提供给中央处理器。在其他实施方式中，设备识别数据可以由潜在维护工程师输入或者提供。
156.在步骤630，接收指示潜在维护工程师是否被授权维护或访问放疗设备的指示。可以在步骤540确定是否满足至少一个安全标准之后，从中央处理器270接收该指示。在收到工程师被授权的指示和访问权应该被授予识别的维护工程师的指示之后，基于该通知将访问权和权限授予维护工程师。
157.简单示例
158.在根据图5和图6的流程图的一个简单示例中，工程师通过耦合至与特定放疗设备关联的计算机的键盘输入用户名和密码。该用户名和密码可以由设备制造商提供，或者由根据维护合同被授权提供维修服务的维修和维护公司提供。
159.维护工程师输入的用户名和密码通过键盘输入装置在设备计算机上被接收(步骤610)，并且传送给中央服务器或计算机(步骤620)。设备计算机还将与放疗设备关联的唯一id传送给中央服务器。
160.该服务器接收用户名和密码(步骤510)和唯一id(步骤520)，并且基于存储在授权数据库中的信息确定维护工程师是否被授权维护放疗机器(步骤530和540)。例如，授权数据库可以指示工程师已经接受了合适的课程和培训，并因此被认证维护和维修由制造所识别的放疗设备的公司制造的所有放疗设备。因此，中央处理器确定该工程师被授权为设备提供维护(步骤550)，并且向设备控制器传送工程师应当被授予完全的访问权和权限。设备控制器从中央处理器接收该讯息或指示(步骤630)并且授予该工程师完全的访问权以维护放疗设备。
161.所公开的方法由于若干原因是有利的。放疗设备的制造商和维护和维修供应商通过控制访问权可以确保仅授权的维护工程师可以维护机器。例如，通过确保仅授权的维护工程师可以调节与设备的操作相关的参数，可以确保设备一直根据安全和规范要求操作。所公开的方法还允许放疗设备的所有者(例如医院)，例如通过确保他们仅雇佣正确地认证和培训的维护工程师来维修和维护他们的放疗设备，对关于他们的机器的维护做出更明智的决定。
162.离线实施方式
163.在另一公开的实施方式中，每个现场维护工程师有他们自己的便携式处理设备，例如笔记本电脑、计算机、移动电话或平板。专用访问控制应用安装在该处理设备上。便携式处理器和设备控制器之间的通讯可以意味着与中央服务器或数据库之间的实时通讯不是必须的。
164.访问控制应用存储授权数据。该授权数据可以包括与现场维护工程师的访问权相关的信息，例如现场维护工程师登录与特定放疗设备关联的设备控制器的权利，和/或现场维护工程师调节和查看与放疗设备相关的特定数据和功能的权利。授权数据可以包括任何上述讨论的授权数据，例如与现场维护工程师下载到他们的便携式设备上的材料相关的数据，例如现场维护工程师是否下载了最新的手册、知识文章或软件工具。如上所述，授权数据可以包括授予工程师的指示他/她具有执行特定部件的维修和保养工作的技能的资格证。
165.如果放疗设备现场没有与网络的连接，该应用可以支持离线工作流程。当医院有严格政策或者网络接入不可靠时，或者当放疗设备安装在军事场所时，可能具有这种情况。此外，在治疗室中，wifi通常不可用。将离线工作流程用作安全备份也是有利的，例如在特定场所的网络不可靠或因其他原因不工作时，允许现场维护工程师访问设备控制器并且维修设备。
166.图5的方法也可以与现场维护工程师关联的(例如所拥有的)便携式处理设备来执行。在步骤510，便携式处理设备接收识别至少一个潜在授权的维护工程师的识别数据。这
可以是用户名和密码或上述其他信息。可替代地，该应用可以从本地存储器检索工程师识别数据。工程师识别数据可以是指访问凭证。工程师识别信息也可以包括访问凭证最近被中央数据库认证的日期和/或时间。
167.在步骤520，接收设备识别信息或数据。该设备识别数据可以通过设备控制器获得。在一个示例中，现场维护工程师将便携式处理设备(例如通过lan或以太网电缆)连接或耦合至设备控制器，访问控制应用查询设备控制器并且接收关于放疗设备的身份的信息。
168.在步骤530，以类似于上述方式的简单方式，基于授权标准将接收的识别信息与授权数据进行比较。然而，授权检查不是被中央处理器或服务器执行，而是由专用访问控制应用执行，并且授权数据存储在本地的可由访问控制应用访问的存储器中。
169.在一些示例中，便携式处理设备首先检查网络接入是否可用，如果可用，将工程师识别数据和设备识别数据发送给中央处理器以与授权数据进行比较，如上文参照图6的流程图的步骤620所描述的。如果网络接入不可用，则在本地进行所述过程，即，查阅存储在本地的授权数据。
170.在一些示例中，访问控制应用定期地与中央数据库通讯，以便更新本地地存储在便携式处理设备的授权数据。便携式处理设备与特定现场维护工程师关联，并且因此与该现场维护工程师相关的授权信息被下载和存储在可由便携式处理设备访问的本地存储器中。在一个示例中，便携式处理设备可以进行定期的(例如每天)在中央控制器的“签到”。定期的签到确保当与存储在中央授权数据库中的授权数据相比时本地存储的授权数据是正确的。如果中央存储的授权数据已经被更新，则将该更新下载和本地存储在现场维护工程师的便携式处理设备。
171.在其他实施例中，图5中描绘的方法包括可选的附加步骤：检查是否满足与本地存储的授权数据关联的时间标准。例如，如果确定在一定时间段内，本地存储在便携式处理设备的授权数据还没有随中央数据库更新，则不向现场维护工程师授予访问权并且现场维护工程师不被授权维护放疗机器。该时间段可以被描述为时间阈值，其可以是例如一周或特定天数。
172.上述授权检查阻止以前的现场维护工程师在例如他们的雇佣已经结束时获得设备控制器的访问权。时间阈值用于确保人们不能试图使用带有过期授权数据的便携式处理设备规避授权检查。所述时间段还用于确保现场维护工程师访问最后的和最新的维护信息。例如，如果可获得关于特定放疗设备或特定放疗设备的其中一个部件的新诊断测试、新修理或者新安全信息，则正确的授权检查和时间段的组合将确保现场维护工程师已经阅读了相关材料并且相应地更新了他们的培训。而且，除非fse定期地更新他们的知识和培训，fse获得的一些培训和资格证是有时间限制的并因此可能失效。例如，如果fse被授权进行束校正的资格证已经过期，这将会在中央数据库中更新。在当将要进行校正时实时查阅中央数据库的实施方式中，fse在步骤540的授权检查将会失败，并将不会被授予访问权，即，fse将被视为不被授权维护放疗机器。如果由于没有网络而不能进行实时检查，将查阅存储在fse的便携式处理设备中的授权数据。由于存储在那里的授权数据定期地随中央数据库更新，本地存储的授权数据在由阈值时间段限定的阈值内将是最新的。
173.访问控制应用可以具有其他用途。例如，该应用可以存储和更新一系列电子发布的软件和手册。该应用管理这些电子工具(软件、手册和知识文章)并且通过与中央处理器
同步和通讯来确保这些是最新的。
174.在一个示例中，如果现场维护工程师还没有下载最新的手册、知识文章或者软件工具，则可以阻止该工程师访问机器或其一些功能。该应用也可以管理需要定期校正的类似测量设备的硬件工具。这些工具可以以与上文关于放疗设备部件标识器描述的方式类似或相同的方式通过手机等可读的条码或qr码来识别，例如通过部件或硬件工具标识器来识别。简而言之，存储在现场维护工程师的笔记本电脑上的应用可以拥有工程师在做某些任务时应当使用的可用硬件和软件工具、手册和知识文章的数据库。该数据库还应当拥有授予工程师的指示他/她已经具有进行该工作的技能的资格证。如果fse不具有最新的软件或硬件工具，或者不具有用于计划执行的维护的相关资格证或培训，则他们不被授予对设备的访问权。
175.在附加功能的示例中，在笔记本电脑无论任何原因不能与授权软件连接的紧急情况下，可以由专用求助台授予时间到期的密码。
176.双因素验证或多因素验证
177.本公开还包括多因素验证的要素。这可以通过与特定fse关联的多个便携式处理设备(例如移动电话和笔记本电脑)的组合来实现。在这样的示例中，在授予访问权和他们被授权维护放疗设备之前，fse必须出示两个因素(即，两件证据)。
178.在公开的示例中，参照图5和图6，在通过输入装置和/或他的笔记本电脑输入识别信息之后，在步骤550对现场维护工程师授权。然而，作为多因素验证机制的一部分，中央处理器可以另外向fse的移动设备发送讯息。该讯息可以是sms或者其他基于文字的消息、即时消息或者邮件。该讯息提供“一次性”登录详细信息，其可以包括用户名和密码。该一次性密码在一定量的时间之后过期。然后在授予fse访问权之前，必须向设备控制器提供该一次性密码。以这种方式，提供了多因素验证：请求访问设备控制器的人必须提供第一因素(例如，我具有与授权的fse关联的笔记本电脑和/或我能够通过输入装置提供与授权的fse关联的识别信息)，并且还提供第二因素(我具有对于授权的fse关联的移动设备的访问权)。
179.本文公开的是确定维护工程师是否被授权维修或维护放疗设备的方法，该放疗设备包括直线加速器并且被配置成向患者提供治疗辐射。所述方法包括：接收识别至少一个维护工程师的数据；基于工程师识别数据和授权数据确定是否满足至少一个授权标准；和如果满足至少一个授权标准，则授权维护工程师维修或维护放疗设备。授权维护工程师维修或维护放疗设备可以包括：提供允许维护工程师访问设备控制器的登录详细信息，所述设备控制器被配置成存储关于放疗设备的操作的数据并且被配置成控制放疗设备的操作。
180.本文描述的方法可以在计算机可读介质上实施，计算机可读介质可以是非暂时性计算机可读介质。计算机可读介质承载有计算机可读指令，该计算机可读指令被设置为在处理器上执行，以使得处理器执行本文描述的任何或所有方法。
181.本文使用的术语“计算机可读介质”是指存储用于使得处理器以特定方式运行的数据和/或指令的任何介质。这样的存储介质可以包括非易失性介质和易失性介质。非易失性介质可以包括例如光盘或磁盘。易失性介质可以包括动态存储器。存储介质的示例性形式包括软盘、柔性盘、硬盘、固态驱动器、磁带或任何其他磁性数据存储介质、cd-rom、任何其他光学数据存储介质、具有一个或多个孔图案的任何物理介质、ram、prom、eprom、flash-eprom、nvram和任何其他存储芯片片或盒式磁带。
182.本文公开了以下编号的条款：
183.1、一种确定放疗设备是否应被授权使用的方法，其中所述放疗设备被配置成向患者提供治疗辐射，所述方法包括：接收识别放疗设备的至少一个部件的数据；通过比较识别数据和授权数据，来确定是否满足至少一个授权标准；以及如果至少一个授权标准被满足，则确定放疗设备被授权使用。
184.2、一种确定放疗设备是否应被授权使用的方法，其中所述设备被配置成向患者提供治疗辐射，所述方法包括：接收识别放疗设备的至少一个部件的数据；将识别数据发送至中央处理器，以与授权数据进行比较；以及接收指示放疗设备是否被授权使用的指示。
185.3、根据条款1或条款2所述的方法，其中所述至少一个部件包括被配置成提供识别所述至少一个部件的数据的至少一个标识器。
186.4、根据条款3所述的方法，其中所述至少一个标识器是被动rfid标签、主动rfid标签、光学标记或者物理标记中的一者。
187.5、根据前述条款任一条款所述的方法，其中比较识别数据和授权数据包括：检查在识别数据中识别的至少一个部件在授权数据库中被列为授权与放疗设备一起使用。
188.6、根据前述条款任一条款所述的方法，其中接收识别放疗设备的至少一个部件的数据包括：从放疗设备的多个部件的各个相应部件接收识别信息。
189.7、根据前述条款任一条款所述的方法，还包括：如果不满足至少一个授权标准，则确定放疗设备不被授权使用。
190.8、根据条款7所述的方法，其中响应于确定放疗设备不被授权使用，所述方法还包括下列项的至少一项：向设备所有者发送指示设备不被授权的指示，向设备制造商发送指示设备不被授权的指示，和更新授权数据库以指示设备不被授权使用。
191.9、一种系统，包括被配置成向患者提供治疗辐射的放疗设备和具有设备存储器的设备处理器，设备处理器与中央处理器以通信方式耦合，设备处理器具有计算机可执行指令，当该计算机可执行指令被设备处理器执行时，使得设备处理器执行前述条款中任一条款所述的方法。
192.10、根据条款9所述的系统，还包括rfid标签询问器。
193.11、一种确定现场维护工程师是否被授权维修和/或维护放疗设备的方法，所述方法包括：接收识别至少一个潜在授权的现场维护工程师的工程师识别数据；接收识别至少一个放疗设备的设备识别数据；将工程师识别数据和设备识别数据与授权数据进行比较；基于所述比较确定是否满足授权标准；和如果满足至少一个授权标准，则确定潜在授权的现场维护工程师被授权维修和/或维护放疗设备。
194.12、一种确定现场维护工程师是否被授权维修和/或维护放疗设备的方法，所述方法包括：接收识别至少一个潜在授权的现场维护工程师的工程师识别数据；将工程师识别数据和设备识别数据发送给中央处理器，以与授权数据进行比较；接收指示潜在授权的现场维护工程师是否被授权维修和/或维护放疗设备的指示。
195.已经仅通过示例的方式描述了上述实施方式，并且所描述的实施方式和布置被认为在所有方面仅是说明性的而非限制性的。将理解，所描述的实施方式和布置可以在不脱离本发明的范围的情况下进行变化。