IEC 60601-1Netzwerkisolatoren und elektrische Sicherheit im Krankenhaus
Technical PaperJuni 2016
2
IT-Sicherheit im KrankenhausIT-Netzwerke in Krankenhäusern umfassen heutzutage unterschiedlichste Produkte und Technologien. Darunter fallen sowohl PACS, KIS, RIS, PDMS, als auch Kommunikations- server, Schwesternrufanlagen, digitale Beschilderung und Ortung, Entertainment- Systeme, IPTV, Wireless AP, sowie mobile Visite und Arbeitsplätze, Telemedizin-Software und VPN. Doch auch die IP-basierte Gebäudeautomation und Gefahrenmanagement- Systeme werden durch IT-Netzwerke ermöglicht. Eine steigende Anzahl an Medizingeräten bekommt eine Netzwerk-Schnittstelle und geht ans IT-Netz. Als Beispiele seien hier Vitaldatenmonitore, EKG, Blutzuckermessgeräte, Infusionspumpen und Zentral- überwachungsstationen genannt.
Abbildung 1: Intelligentes managebares LAN im Krankenhaus – Chancen und Risiken
Somit wachsen die IT- und Medizintechnik zunehmend enger zusammen. Mit diesen gemischten Netzwerken sind jedoch auch besondere Risiken verbunden, von denen eventuell Menschenleben abhängen können. Entsprechend verlangen die Normen wie IEC 800011 und IEC 60601-1 ein professionelles Risikomanagement, welches speziell auf ein IT-Netz mit Medizinprodukten und -systemen ausgerichtet ist. Dieses Technical Paper betrachtet den Einsatz von intelligenten, managebaren Switches mit integrierten Isolatoren im medizinischen Sektor („KRITIS“). Solche Switches gewährleisten maximale Sicherheit für Patienten und Geräte – unter Berücksichtigung knapper Investitions- und Service-Bud-gets.
1 Die Norm zum Risikomanagement bei vernetzter Medizintechnik
3
Gesetzliche Anforderungen an medizinischeGeräte und SystemeDas Krankenhaus als Betreiber der medizinischen und datentechnischen Einrichtungen trägt die Verantwortung für die elektrische Sicherheit der eingesetzten Geräte. Es muss alle betriebenen Medizingeräte mit einer Netzwerkschnittstelle vor dem Einsatz im Kranken- hausnetzwerk im Rahmen von Risikoanalysen bewerten, ob sie zusammen mit Nicht- Medizin-Geräten (bzw. PCs, Drucker, Patientenüberwachungskameras) oder an das un-gesicherte hausinterne Netz (fehlerhaft oder beabsichtigt) angebunden werden können.
In diesem Zusammenhang ist die Norm IEC 60601-1 relevant. Diese definiert allgemeine Anforderungen an die Sicherheit von medizinischen elektrischen Geräten und Systemen mit einem Anschluss an das Versorgungsnetz, die gemäß der Herstellerangaben zur Diagnose, Behandlung oder Überwachung von Patienten bestimmt sind. IEC 60601-1 ist der global anerkannte Standard, in Deutschland ist der als DIN EN 60601-1 bekannt.
IEC/DIN EN 60601-1 „Medizinische elektrische Geräte“ (Auszug):
Ein medizinisch elektrisches (ME-) Gerät ist ein Gerät, das zur Diagnose, Behandlung, Versorgung oder Überwachung von Patienten bestimmt ist und in Kontakt mit dem Patienten steht (oder stehen kann). Ein medizinisches (ME-) System ist ein Zusammenschluss2 von mehreren elektrischen Geräten, von denen mindestens eines ein medizinisch elektrisches Gerät ist.
Die Netzwerkverbindung zwischen einem Medizingerät und dem Ethernet-Netzwerk wird von der IEC 60601-1 als eine potenzielle Gefahrenquelle eingestuft. Als Folge von Spannungsdifferenzen zwischen den Erdpotenzialen der angeschlossenen Netzwerk- komponenten kann ein Ableitstrom entstehen, welcher für das Leben des Patienten lebens-gefährlich sein kann.
Solche Spannungsdifferenzen können durch eine fehlerhafte Verlegung (z. B. bei Falsch-belegung mit dem metallischen Kontakt zwischen den Schirm- oder Datenleitungen und spannungsführenden Teilen innerhalb der Kabelführung), als Folge eines Installations- oder Auslegungsfehlers, Alterungsprozesse oder Feuchtigkeit in kupferbasierten Netzen entstehen.
Der Einsatz von ungeschirmten Kabeln ist dabei keine sichere Lösung! Solche Kabel können keine galvanische Trennung für Datenverbindungen gemäß den Standardanforderungen gewährleisten. Weiterhin haben sie eine schlechtere EMV-Performanz, die im medizinischen Bereich ausschlaggebend ist.
2 über Schnittstellen oder gemeinsame Stromversorgung
4
Besonders hohe Sicherheitsanforderungen bei dem Aufbau und Betrieb von elektrischen Geräten und Systemen werden an die Geräte gestellt, die in der direkten Patientenumge-bung3 betrieben werden.
a. Direkte Patientenumgebung nach IEC 60601-1
In der Norm IEC 60601-1 werden folgende Begriffe definiert:
„Patientenumgebung… ist jeder Bereich, in dem beabsichtigt oder unbeabsichtigt eine elektrisch leitende Verbindung zustande kommen kann, und zwar zwischen dem Patienten und Teilen des ME-Gerätes oder des ME-Systems oder zwischen einem Patienten und anderen Personen, die Teile des ME-Gerätes oder des ME-Systems berühren… Der Patient ist ein Lebewesen (Mensch oder Tier), das einem medizinischen, chirurgischen, oder zahn-medizinischem Verfahren unterzogen wird“.
Die Norm IEC 60601-1 gilt nur für die Geräte und Systeme, die in direktem körperlichen oder elektrischen Kontakt zum Patienten („in der direkten Patientenumgebung“) stehen.
Abbildung 2: Patientenumgebung. Umkreis mit einem Radius von 1,5 m rund um den liegenden Patienten
Zur Unterbrechung aller elektrisch leitenden Verbindungen zwischen den angeschlossenen Netzwerkgeräten und medizinischen Geräten in Ethernet-basierten Netzen müssen laut IEC 60601-1 medizinische Netzwerkisolatoren eingesetzt werden. Die Netzwerkisolatoren ermöglichen die galvanische Entkopplung des medizinischen Netzes von dem Datennetz und bieten einen sicheren Schutz vor Gleich- und Wechselspannungen bis zu 4kV.
b. Netzwerkisolation
Die Netzwerkisolatoren verhindern die Übertragung von unerwünschten Spannungen und Strömen zwischen den Teilen eines medizinisch elektrischen Systems. Sie schalten sich direkt an der Netzwerkschnittstelle ein, wo die Stromquellen und gefährliche Ableitströme entstehen.
3 Dort, wo die berührbaren, elektrisch leitenden Teile des Gehäuses direkt oder indirekt, z.B. über den Körper der behandelnden Person, in elektrischen Kontakt mit dem Patienten geraten
1,5 m
1,5 m 1,5 m
2,5
m
5
Nur die Netzwerkisolatoren bieten ausreichenden Schutz4. IEC 60601-1 fordert, dass medizinisches Equipment, welches in Kontakt mit Patienten kommen kann, mit zwei voneinander unabhängigen Sicherheitsvorkehrungen ausgestattet ist, so dass die elektrische Sicherheit auch beim Ausfall einer der Vorkehrungen weiter gewährleistet wird. Des Weiteren definiert die IEC 60601-1 unterschiedliche Klassen von Isolierung, Luft- und Kriechstrecken, Leckstrom und Erdungen je nach dem gewünschten MOOP- oder MOPP-Level.
MOOP = Means of Operator Protection, Schutzmaßnahmen zum Operator- und Anwenderschutz MOPP5 = Means of Patient Protection, Schutzmaßnahmen zum Patientenschutz, zur Verminderung des Risikos eines elektrischen Schlages
Klassifizierung Spannungsfestigkeit Kriechstrecken Isolierung1 MOOP 1500 VAC 2,5 mm Basic2 MOOP 3000 VAC 5 mm Double1 MOPP 1500 VAC 4 mm Basic2 MOPP 4000 VAC 8 mm Double
Laut gesetzlichen Vorgaben ist sicherzustellen, dass die Ethernet-Verbindung zwischen dem Netzwerkswitch und dem Medizinprodukt durch einen Netzwerkisolator gemäß IEC 60601-1 galvanisch entkoppelt ist. Die Netzwerkisolatoren lassen sich je nach Means of Protection in 4 Klassen aufteilen, wobei 2 MOPP und Spannungsfestigkeit von bis zu 4kV zurzeit den besten Schutz gewährleisten.
Die Ableitströme, die vom Gehäuse oder Anwendungsteilen in ungewollter Weise über den Patienten in Richtung Erde fließen, dürfen nach IEC 60601-1 den Wert von 0,5 mA nicht überschreiten6.
Die folgende Tabelle (aus der Systemnorm IEC 60601-1-1 für medizinisch elektrische Geräte) beschreibt verschiedene Einsatzszenarien von medizinischen und nicht medizinischen elektrischen Geräten sowie deren technische Lösung im Krankenhausnetz-werk.
4 Achtung! Wenn der Gerätehersteller in den Begleitunterlagen keine Angaben über die Erfordernisse an die galvanische Trennung der Gerätschnittstellen macht, ist es ein Zeichen für eine fehlende galvanische Trennung! Für jede betroffene Netzwerkschnittstelle muss dann getrennt ein Netzwerkisolator beschafft und fest mit dem Gerät verbunden werden. Der Netzwerkisolator muss so nah wie möglich an das zu schützende Gerät angeordnet werden. Das Berühr- und Auszugsrisiko muss dabei ausgeschlossen werden.
5 Aufgrund der erhöhten Risiken für Patienten beim Kontakt mit elektrischen oder elektronischen Geräten und Systemen gelten höhere Anforderungen an MOPP (zum Schutz von Patienten) als an MOOP (zum Schutz von Anwendern).
6 Größere Stromstärken können fatale Auswirkungen auf die Gesundheit der Patienten haben, die geschwächt, bewegungs- unfähig, bewusstlos oder narkotisiert sind.
6
Tabelle „ME-Geräte und nicht-ME-Geräte in unterschiedlichen Einsatzszenarien/Auszug aus der Norm IEC 60601-1“
Situation
Medizinischer RaumNichtmedizinischerRaum
LösungInnerhalb der Patienten- umgebung
Außerhalb der Patienten- umgebung
1. 1a. Geräte A und B in der Patienten- umgebung
1b. Geräte A und B in der Patienten- umgebung
Für B:Zusätzliche Schutzerde oder Trenntransformator
1c. Gerät A, ge-speist vom Netzteil vom Gerät B in der Patientenumgebung
Für B:Zusätzliche Schutzerde oder Trenntransformator
2. 2a. Gerät A in der Patientenumgebung und Gerät B immedizinischen Raum
2b. Gerät A in der Patientenumgebung und Gerät B immedizinischen Raum
Für B:Klausel 19.201
3. 3a. Gerät A in der Patientenumgebung und Gerät B in dem nicht-medizinischen Raum
Für B:Klausel 19.201
3b. Gerät A in der Patientenumgebung und Gerät B in dem nicht-medizinischen Raum
Für B:Zusätzliche Schutzerde oder Isolator
Anmerkung:
• Die blauen Felder symbolisieren medizinische elektrische Geräte, z. B. Dentalkameras, Ultraschallgeräte, spezielle Medizin-PCs, usw. Sie sind der IEC 60601-1 konform.
• Die roten Felder symbolisieren allgemein die Geräte der Informationstechnik, z.B. PC, Server, Drucker, IP-Telefone, usw. Sie sind nicht IEC 60601-1 konform. Hier muss ein Netzwerkisolator zwischengeschaltet werden.
• Die rot-blauen Felder deuten an, dass beide Varianten (rot oder blau) möglich sind.
Gemeinsame Schutzerde
Schutzerde Schutzerde mit Potentialun-terschied
A B
A
A
A
A
A
A
B
B
B
B
B
B
7
Die optimale Lösung wäre, ausschließlich medizinische Geräte wie Medizin-PC, Medizin-Server, Medizin-Laptops, usw. mit integrierten Isolatoren gemäß IEC 60601-1 einzusetzen. Dies wäre aber mit weit höheren Kosten verbunden und aus weiteren Gründen nicht realisierbar. Eine Alternative wäre und ist, jeden Teilnehmerport mit einem separaten, Standalone Netzwerkisolator auszustatten.
Eine kosteneffizientere Lösung stellen die sogenannten Medical Switches mit integrierten galvanischen Isolatoren dar.
8
Erster Gigabit-Switch für absolute Patienten-sicherheit in kritischen Infrastrukturen (KRITIS)Switches sind der Dreh- und Angelpunkt eines modernen Ethernet-Netzwerks. Sie dienen der Portvervielfältigung und ermöglichen effizientes Management des Netz-werkes. Intelligente Switches „wissen“, welche Geräte und Systeme an bestimmte Ports angeschlossen sind, und senden daher Datenpakete gezielt an die „gewünschten“ Ports. Ein moderner Switch weist einen möglichst geringen Energieverbrauch (unter 5 W) auf und leistet dabei dennoch einen hohen Datendurchsatz (1 Gigabit pro Teilnehmerport).
Um die Netzwerkanforderungen von Krankenhäusern und Pflegeinrichtungen an leistungsstarke und sichere IT-Infrastrukturen bestens zu erfüllen, wurde der erste „Medical“ Switch (unter dem Namen LANactive Medical Switch) mit integrierten, eingebauten Isola-toren gemäß IEC 60601-1 entwickelt.
Technische Kennzahlen:
• 4 integrierte, passive Isolatoren für die Teilnehmerports• Schutz für Patienten durch 2 MOPP mit Überspannungsschutz von 4 kV• Exzellente elektromagnetische Verträglicheit (für den Einsatz im Labor, in Röntgen-
Stationen, in OP-Räumen)• Hohe Leistungsperformance: garantiert 1 Gigabit pro Teilnehmerport• Erweiterte IT-Sicherheit-Features (SNMPv3, IEEE 802.1x, RADIUS, SSH, HTTPS, usw.)
und AES-Verschlüsselung (128 Bit)• MTBF über 400 Jahre
Für das Krankenhaus-IT-Netzwerk ist das Thema Redundanz von besonderer Bedeutung. Der Ausfall oder die Beeinträchtigung der Krankenhaus-IT-Dienste kann dramatische Folgen für Gesundheit und Leben der Menschen nach sich ziehen. Krankenhäuser haben
integrierteIsolatoren
9
daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienste und Prozesse sicher-zustellen.
Der LANactive Medical GigaSwitch ermöglicht daher nicht nur erweiterte Redundanz- und Ausfallsicherheitskonzepte, sondern ist kompatibel zu den Geräten und Systemen der führenden Hersteller im Bereich Medizin- und Netzwerktechnik.
Produkteigenschaften:
• Ermöglicht erweiterte Sicherheitskonzepte, einschl. Hochverfügbarkeit und Ausfallsicherheit
• Absolute Redundanz• Geprüfte Interoperabilität mit den Systemen der führenden Medizintechnikhersteller
und Hersteller der Netzwerkkomponenten• optional antibakterielle Beschichtung• Geräuschlos• Qualität „Made in Germany“
Einsatzgebiet: Operationsräume und Intensivstationen, Kardiologie, Chirurgie, Radio-onkologie, Zahnmedizin, usw. – dort, wo medizinische Geräte an Datennetze angeschlossen und große Datenvolumina zuverlässig und sicher verarbeitet ( z.B. DICOM, RIS) werden und wo die Ableitstromgefahr besteht.
Einbauorte: im Kabelkanal, in den Kommunikationssäulen, in der Möbelgarnitur, in den Bodentanks, an der Wand. Der Switch lässt sich nahtlos in den bestehenden Raum integrieren. Der Switch ist besonders leicht zu reinigen und zu desinfizieren.
Vorteile:• Erfüllt die aktuellsten technischen Anforderungen an Netzwerkkommunikation und
Sicherheit im Netz• Reduziertes Risikomanagement• Die Switches sind untrennbare Teile der vorhandenen Netzwerkinfrastruktur• Sie sind intelligent und managebar • Sie ermöglichen erweiterte Redundanzkonzepte • Evaluiert: kompatibel mit den Systemen der führenden Hersteller der Medizintechnik • Bester Hackerschutz: sicheres Netz, sichere Daten
10
Ein Vergleich zwischen Standalone-Netzwerkisolatoren und dem Switch mit integrierten Isolatoren finden Sie im Anhang zu diesem Dokument.
Fazit:
• Der Switch entlastet das Krankenhauspersonal von der Aufgabe, sich um die galvanische Trennung der Netzwerkschnittstelle zu kümmern und jedes Mal, wenn ein neues Gerät ans Netz angeschlossen wird, die Risikobewertung neu zu erstellen.
• Besonders in großen medizinischen Einrichtungen reduziert der Switch den Verwaltungsaufwand erheblich und ist daher eine kostengünstigere Lösung. Die Berühr- und Auszugssicherungsmaßnahmen entfallen dabei komplett.
Hinweis: Kein Netzteil ist erforderlich, der Switch wird direkt an 230 VAC angeschlossen.
AnwendungsbeispieleDer LANactive Medical GigaSwitch ist ein Access Level Switch. Das ist ein Einsatzgerät für Port-Vervielfältigung und Netzwerk-Erweiterung. Dieser kann in Verbindung mit Kupfer, aber auch mit LWL-Verkabelungstechnik eingesetzt werden.
Abbildung 3: Einsatzszenarien von dem „Medical“ Switch
Wann soll der „Medical” Switch eingesetzt werden?
1b. Geräte A und B in der Patienten- umgebung
Mehrere Geräte, medizinische und nicht medizinische, in der direkten Patienten- umgebung, im gleichen medizinischen Raum.
2b. und 3b. Gerät A in der Patienten- umgebung und Gerät B im medizinischen oder in einem anderen Raum
Ein medizinisches Gerät ist in der unmittel-baren Patientenumgebung und ein nicht- medizinisches Gerät (ein PC, Drucker-Fax- Gerät) außerhalb der Patientenumgebung, aber im gleichen medizinischen oder im nicht-medizinischen Raum.
Patientenumgebung Patientenumgebung
A B
A B
11
Der Switch eignet sich sowohl für FTTO7 basierte Netze als auch für strukturierte Verkabelung auf Basis von Twisted Pair-Verkabelung.
Abbildung 4: LANactive Medical GigaSwitch in einem FTTO Netzwerk
7 Fibre to the Office. Mehr dazu auf www.nexans.de/ans
Core Access
KH-Netz
Mehr über das Verkabelungskonzept „Fiber To The Office (FTTO)“
erfahren Sie aus dem Nexans White Paper „Zukunftssicherheit mit FTTO“
oder „Moderne glasfaserbasierte Lösungen für Krankenhäuser“.
Therapieraum
OP-Raum,
Patientenumgebung
Patientenzimmer
Notaufnahme
12
ZusammenfassungDer Nexans LANactive Medical GigaSwitch entspricht im vollen Maße der Norm IEC 60601-1.
Der Switch hat vier integrierte passive Isolatoren zur elektrischen Entkoppelung von medizinischen und datentechnischen Netzen. Er bietet einen normkonformen Überspannungs- schutz von bis zu 4 kV, ist geräuschlos und ermöglicht verlustfreie Ethernet-Kommunikation in einer hochsensiblen Umgebung.
Der Switch gewährleistet den sicheren und kostengünstigen Anschluss von digitalen medizinischen Geräten (wie EKG, Patientenüberwachungssystemen, Infusionspumpen, Blutzuckermessgeräten, Vitaldatenmonitoren und weiteren lebenswichtigen elektronischen Geräten im Gesundheitswesen) ans Datennetz.
Der Switch darf in der unmittelbaren Patientenumgebung (im Umkreis von 1,5 m um den Patienten) installiert werden.
13
AnhangA.Ist der Einsatz eines Switches sinnvoller als der Einsatz eines Standalone Netzwerk- isolators?
Die Tabelle fasst die Vorteile und Nachteile jeder Option zusammen.
Parameter Standalone Netzwerkisolator Switch mit integrierten Isolatoren
Channel Länge Begrenzt, typ. 60-80 m Volle 100 m garantiert für einen Twisted Pair-Uplink
KommunikationVerlustbehaftete Kommunikation, Return Loss und Dämpfung im Werte von mehreren dB
Verlustfrei
IEC 11801 Channel Model Netzwerkisolatoren sind NICHT in einer Verkabelungsstrecke vorgesehen. Keine Qualitätsbeurteilung möglich.
Volle Konformität
Infrastruktur Einfach zu entfernen, Risiko von Verlust oder Beschädigung
Fester Bestandteil der Infrastruktur
Risikomanagement Erhöhtes Risiko: z.B. die Gefahr, dass das ankommende, ungeschütze Kabel in der direkten Patientenumgebung ist und vom Patienten, dem behandelnden Arzt oder vom Pflegepersonal berührt wird. Extra-Berührungsschutz und Aus-zugssicherung sind notwendig.
Eingebautes Isolatormodul -> kein Verlust-, Berühr- oder Auszugsrisiko
Drastische Reduzierung des Kabel- volumens, mehr Flexibilität für dieOperationssäule
Monitoring-Funktion auf TP- und Glasfaser Links
LösungRisikomanagementEin Netzwerkisolator pro Schnittstelle -> mehrere Schnittstellen, mehrere Isola-toren, steigende Kosten
Risikomanagement nur für den Switch4 integrierte Isolatoren im Switch –> 4 galvanisch abgetrennte Geräte
Die Beschaffung von 4 Standalone Netzwerkisolatoren ist erheblich kostenintensiver als die Bechaffung von einem Switch mit 4 integrierten Isolatoren!
B. Schlussfolgerungen aus A
Switches mit integrierten passiven Isolatoren sind eine normkonforme Standardlösung. Ein einziger Switch sichert bis zu vier angeschlossene Geräte / eventuell den ganzen medizinischen Raum ab. Nicht-medizinische Geräte dürfen in einem Netz auch gemein-sam mit medizinischen Geräten betrieben werden. Man darf Standardcomputer statt Me-dizin-PC, Standard-Monitore statt Medizin-Monitore, Standarddrucker statt Medizin-Dru-cker, ohne aufwendige Risikoanalyse und Geschwindigkeitsverluste verwenden. Das Krankenhaus profitiert von dem drastisch reduzierten administrativen Aufwand und der hohen Flexibilität der Lösung. Das spart Zeit und schont das Budget.
14
Notizen
15
Notizen
Offices
Nexans Cabling SolutionsAlsembergsesteenweg 2, b3 B-1501 BuizingenBelgiumTel: +32 (0)2 363 38 00Fax: +32 (0)2 365 09 99
Nexans Cabling Solutions UK 2 Faraday Office ParkFaraday Road - BasingstokeHampshire RG24 8QQTel: +44 (0)1256 486640Fax: +44 (0)1256 486650
Advanced Networking SolutionsBonnenbroicher Str. 2-1441238 MoenchengladbachGermanyTel: +49 (0)2166 27-2220Fax:+49 (0)2166 27-2499
www.nexans.com/LANsystems [email protected]
© 2
01
6 •
Nex
ans
Cab
ling
Solu
tions
. A
ll rig
hts
rese
rved
. LA
Nm
ark,
LA
Nse
nse
and
GG
45
are
reg
iste
red
trade
mar
ks o
f N
exan
s. R
elea
se d
ate:
Juli
20
16
. kd
-13
50
d02