医疗监测系统中的嵌入式系统的制作方法

医疗监测系统中的嵌入式系统
1.优先权
2.本技术要求根据2020年12月31日提交的美国的35u.s.c.
§
119(e)的美国临时专利申请号63/132,631的权益，其通过引用并入本文。


背景技术：

3.所公开的主题涉及在医疗设备中操作的嵌入式系统的部件和功能，例如用于监测分析物水平的传感器，例如，葡萄糖、酮、乳酸盐、氧、血红蛋白a1c、白蛋白、酒精、碱性磷酸酶、丙氨酸转氨酶、天冬氨酸转氨酶、胆红素、血尿素氮、钙、二氧化碳、氯化物、肌酐、血细胞比容、乳酸盐、镁、氧、ph、磷、钾、钠、总蛋白、尿酸等。
4.虽然这些医疗设备中的一些配备了强大的处理器并使用永久电源运行，但其他医疗设备被设计为使用很少的功率高效运行。有源医疗传感器，包括用于监测分析物水平的传感器，是这种医疗设备的一个示例。医疗传感器可以包括感测硬件，以检测已被确定为与分析物水平相关的信号的原始值。医疗传感器还可以被配置为执行设备上处理，例如，将算法和校准参数应用于信号，以将原始值转换成有用于监测患者状况或用于诊断和治疗的分析物水平。医疗传感器可以进一步确定患者体内分析物水平的模式或趋势。可以将这种处理过的信息提供给患者或其他相关方以供查看。为了提高效率，医疗传感器的部件可以专用于处理的特定功能，部件的专业化程度的提高也会增加医疗传感器中使用的部件的成本。
5.有源医疗传感器也是可以结合无线通信能力的医疗设备的示例。为了便于查看收集的关于用户的医疗信息，医疗传感器可以经由有线或无线通信与其他设备通信，以卸载收集的数据进行存储和/或分析。这种其他设备可以包括专用于与医疗传感器一起使用的专用构建设备，或者可以包括已经被配置用于与医疗传感器一起使用的多用途医疗设备。有线通信可以用于与仍然附接到患者但会限制或抑制患者移动的医疗传感器通信。在从患者身上移除医疗传感器后，有线通信会降低连续和方便监测的可用性。无线通信可以更方便地允许进行通信而不涉及到另一设备的物理连接。然而，对于最终用户来说，以无缝的方式高效地将医疗传感器与其他设备配对，同时仍然保护敏感数据免受拦截和篡改，这可能是一项挑战。
6.此外，至少部分地因为有源医疗传感器可以由患者佩戴，例如附接到患者的皮肤上，所以医疗传感器可以被设计成使用内部电源长时间操作。当内部电源耗尽时，可以丢弃低功率医疗设备。因此，对于可以体现在低功率医疗设备中并由其实施的系统和方法，有机会提高设备的计算效率和功率效率，同时降低医疗设备的生产成本并保持医疗设备执行预期功能的能力，例如安全的无线通信、简单的应用和激活以及与各种接收设备的兼容性。


技术实现要素：

7.所公开的主题的目的和优点将在下面的描述中阐述并显而易见，并且将通过所公开的主题的实践来学习。所公开的主题的额外优点将通过在书面描述和权利要求书以及附
图中特别指出的方法和系统来实现和达到。
8.为了实现这些和其他优点，并且根据所公开的主题的目的，如所体现和广泛描述的，所公开的主题包括由医疗传感器使用的嵌入式系统及其操作方法。医疗传感器的示例性配置可以包括医疗传感器，该医疗传感器包括专用集成电路(asic)、医疗硬件和通信模块。医疗硬件可以被配置为部分插入患者体内。作为示例，医疗硬件可以被配置为检测体温、心率、分析物水平或运动读数。作为示例而非限制，通过分析物传感器测量的分析物可以包括，葡萄糖、酮、乳酸盐、氧、血红蛋白a1c、白蛋白、酒精、碱性磷酸酶、丙氨酸转氨酶、天冬氨酸转氨酶、胆红素、血尿素氮、钙、二氧化碳、氯化物、肌酐、血细胞比容、乳酸盐、镁、氧、ph、磷、钾、钠、总蛋白、尿酸等。asic可以通信地耦接到医疗硬件和通信模块。asic可以被配置为接收来自医疗硬件的测量信号，并将测量信号提供给通信模块。通信模块可以被配置为将测量信号处理为测量结果。如本文所体现的，通信模块可以进一步被配置为经由无线通信将测量结果提供给接收设备以用于显示。如本文所体现的，通信模块可以操作用于处理测量信号的应用层和用于管理向远程设备提供测量结果的链路层。通信模块可以是与asic物理分离的模块。如本文所体现的，通信模块还可以被配置为检测医疗传感器的温度变化，并响应于温度变化来调整与无线通信相关联的发射功率。
9.根据所公开的主题的方面，asic可以被配置为经由第一通信信道检测来自计算设备的激活请求，并将激活请求传送到通信模块。通信模块可以被配置为经由第二通信信道向计算设备发送认证请求。如本文所体现的，asic可以进一步被配置为当检测到来自计算设备的激活请求时接收无线功率并使用无线功率来引起通信模块的激活。如本文所体现的，通信模块可以进一步被配置为经由第二通信信道向计算设备发送用于促进医疗传感器和计算设备之间的通信的通信参数。如本文所体现的，第一通信信道可以符合近场通信协议，并且第二通信信道可以符合蓝牙低能量协议。根据所公开的主题的方面，通信模块可以包括存储器，该存储器存储与asic唯一相关联的设备专用数据。通信模块可以进一步被配置为，在激活医疗传感器时，从asic的存储器读取设备专用数据，并将从asic的存储器读取的设备专用数据与存储在通信模块的存储器中的设备专用数据进行比较，以验证设备专用信息的完整性。如本文所体现的，asic或通信模块可以被配置为检测来自计算设备的通信请求，该通信请求包括对应于计算设备的制造商代码，并且响应于该通信请求，将制造商代码与存储在asic的存储器中的一组制造商代码进行比较。对通信请求的响应可以基于比较的结果。如本文所体现的，通信模块可以被配置为响应于通信请求，将制造商代码与存储在通信模块的存储器中的一组制造商代码进行比较。对通信请求的响应可以基于比较的结果。
10.根据所公开的主题的方面，系统和方法可以包括通过医疗传感器的专用集成电路(asic)检测供应到asic的电压已经下降到低于阈值水平。asic可以确定电压已经低于阈值水平的时间量。基于所确定的时间量，asic可以响应于供应到asic的电压低于阈值水平。如本文所体现的，asic可以确定供应到asic的电压满足第二阈值水平。当所确定的时间量低于阈值时间量时，响应电压低于阈值水平可以包括使asic复位。如本文所体现的，asic可以确定供应到asic的电压满足第二阈值水平。当所确定的时间量高于阈值时间量时，响应电压低于阈值水平可以包括使asic进入存储或关机模式。如本文所体现的，医疗传感器可以在检测到供应到asic的电压已经下降到低于阈值水平之前收集医疗数据。然后，响应电压
低于阈值水平可以包括擦除收集的医疗数据。附加地或可替代地，响应电压低于阈值水平可以进一步包括取消由医疗传感器收集的一个或多个未来测量的资格。如本文所体现的，医疗数据可以包括体温、心率、血糖水平或运动读数。应当理解，以上一般描述和以下详细描述都是示例性的，并且旨在提供对所公开的主题的进一步解释。
11.包括并入本说明书并构成本说明书一部分的附图，以示出并提供对所公开的主题的方法和系统的进一步理解。附图与说明书一起解释了所公开的主题的原理。
附图说明
12.通过研究附图，本文阐述的主题的结构和操作方面的细节将变得显而易见，其中，相同的附图标记指代相同的部分。
13.图1是示出根据所公开的主题的示例性实施例的示例传感器和用于与示例传感器通信的接收机的图。
14.图2是示出根据所公开的主题的示例性实施例的传感器的功能块的图。
15.图3是示出根据所公开的主题的示例性实施例的传感器的部件之间的示例接口的图。
16.图4是示出根据所公开的主题的示例性实施例的传感器的正常操作条件的示例的图。
17.图5是示出根据所公开的主题的示例性实施例的传感器的示例操作的图。
18.图6是示出根据所公开的主题的示例性实施例的传感器在错误条件下的示例操作的图。
19.图7是示出根据所公开的主题的示例性实施例的传感器的专用集成电路的示例状态的图。
20.图8是示出根据所公开的主题的示例性实施例的传感器的通信模块的示例状态的图。
21.图9a至图9b是示出在示例性激活操作期间传感器的示例功能和传感器的部件之间的消息的图。
22.图10是示出在示例性插入检测操作期间传感器的示例功能和传感器的部件之间的消息的图。
23.图11是示出在示例性测量操作期间传感器的示例功能和传感器的部件之间的消息的图。
24.图12是示出传感器的示例任务的生命周期的示例状态的图。
25.图13是示出根据所公开的主题的示例性实施例的传感器的部件在接收到中断请求时的示例功能的图。
26.图14是示出根据所公开的主题的示例性实施例的低功率检测和响应的图表。
27.图15a至图15b是示出在示例性断电处理操作期间传感器的示例功能和传感器的部件之间的消息的图。
28.图16a至图16b是示出根据所公开的主题的示例性实施例的传感器在错误条件下的示例操作的图。
29.图17是示出在示例性错误终止操作期间传感器的示例功能和传感器的部件之间
的消息的图。
30.图18是示出在示例性正常终止操作期间传感器的示例功能和传感器的部件之间的消息的图。
31.图19是示出根据所公开的主题的示例性实施例的温度检测和响应的图表。
32.图20a至图20b是示出在示例性连接操作期间传感器和接收机的示例功能和传感器和接收机之间的消息的图。
33.图21是示出在示例性关机操作期间传感器和接收机的示例功能和传感器和接收机之间的消息的图。
34.图22是示出根据所公开的主题的示例性实施例的沿着传感器的热敏电阻的测量的示例功能的图。
35.图23是示出根据所公开的主题的示例性实施例的传感器的模拟前端的示例功能的图。
36.图24是示出根据所公开的主题的示例性实施例的传感器的asic的示例功能的图。
37.图25是用于读取分析物传感器的值的示例电路的图。
38.图26是用于读取分析物传感器的值的示例电路的图。
39.图27是用于可变浮动平衡电压发生器的示例电路的示意图。
40.图28是具有在测量配置中具有浮动可变平衡电压电路的传感器的示例电路的图。
41.图29是具有在校准配置中具有浮动可变平衡电压电路的传感器的示例电路的图。
42.图30是用于可变浮动平衡电压发生器的示例电路的示意图。
43.图31是用于可变浮动平衡电压发生器的示例电路的示意图。
44.图32是用于可变浮动平衡电压发生器的示例电路的示意图。
45.图33是用于可变浮动平衡电压发生器的示例电路的示意图。
46.图34是用于可变浮动平衡电压发生器的示例电路的示意图。
47.图35是示出在示例性连接操作期间传感器和接收机的示例功能和传感器和接收机之间的消息的图。
具体实施方式
48.现在将详细参考所公开的主题的各种示例性实施例，其示例性实施例在附图中示出。将结合系统的详细描述来描述所公开的主题的结构和相应的操作方法。
49.本文提出的系统和方法可以用于医疗监测系统中使用的传感器的安全操作。如本文所使用的，“医疗传感器”或“传感器”可以指能够从用户接收用于医疗目的的传感器信息的任何设备，包括但不限于体温传感器、血压传感器、脉搏或心率传感器、葡萄糖水平传感器、分析物传感器、身体活动传感器、身体运动传感器或用于医疗目的的任何其他传感器。所公开的主题的目的和优点将在下面的描述中阐述并显而易见。所公开的主题的额外优点将通过在书面描述和权利要求书以及附图中特别指出的方法、装置和设备来实现和达到。
50.医疗传感器包括专用集成电路(asic)、医疗硬件和通信模块。asic通信地耦接到医疗硬件和通信模块。asic被配置为接收来自医疗硬件的测量信号，并将测量信号提供给通信模块。通信模块被配置为将测量信号处理为测量结果，并将测量结果发送至移除设备。通信模块包括用于处理测量信号的应用层和用于传输测量结果的链路层。asic被配置为检
测供应到asic的电压低于阈值水平，并确定电压已经低于阈值水平的时间量。asic进一步被配置为基于所确定的时间量响应于供应到asic的电压低于阈值水平。根据所公开的主题，出于说明而非限制的目的，医疗传感器可以包括专用集成电路(asic)、医疗硬件和通信模块。医疗硬件可以被配置为部分插入患者体内。例如，医疗硬件可以被配置为检测体温、心率、分析物水平或运动读数。作为示例而非限制，通过分析物传感器测量的分析物可以包括，葡萄糖、酮、乳酸盐、氧、血红蛋白a1c、白蛋白、酒精、碱性磷酸酶、丙氨酸转氨酶、天冬氨酸转氨酶、胆红素、血尿素氮、钙、二氧化碳、氯化物、肌酐、血细胞比容、乳酸盐、镁、氧、ph、磷、钾、钠、总蛋白、尿酸等。asic可以通信地耦接到医疗硬件和通信模块。asic可以被配置为接收来自医疗硬件的测量信号，并将测量信号提供给通信模块。通信模块可以被配置为将测量信号处理为测量结果。如本文所体现的，通信模块可以进一步被配置为经由无线通信将测量结果提供给接收设备以用于显示。如本文所体现的，通信模块可以操作用于处理测量信号的应用层和用于管理向远程设备提供测量结果的链路层。通信模块可以是与asic物理分离的模块。如本文所体现的，通信模块还可以被配置为检测医疗传感器的温度变化，并响应于温度变化来调整与无线通信相关联的发射功率。
51.根据所公开的主题的方面，asic可以被配置为经由第一通信信道检测来自计算设备的激活请求，并将激活请求传送到通信模块。通信模块可以被配置为经由第二通信信道向计算设备发送认证请求。如本文所体现的，asic可以进一步被配置为当检测到来自计算设备的激活请求时接收无线功率并使用无线功率来引起通信模块的激活。如本文所体现的，通信模块可以进一步被配置为经由第二通信信道向计算设备发送用于促进医疗传感器和计算设备之间的通信的通信参数。如本文所体现的，第一通信信道可以符合近场通信协议，并且第二通信信道可以符合蓝牙低能量协议。
52.根据所公开的主题的方面，通信模块可以包括存储器，该存储器存储与asic唯一相关联的设备专用数据。通信模块可以进一步被配置为，在激活医疗传感器时，从asic的存储器读取设备专用数据，并将从asic的存储器读取的设备专用数据与存储在通信模块的存储器中的设备专用数据进行比较，以验证设备专用信息的完整性。如本文所体现的，asic或通信模块可以被配置为检测来自计算设备的通信请求，该通信请求包括对应于计算设备的代码或更具体地制造商代码，并且响应于该通信请求，将制造商代码与存储在asic的存储器中的一组制造商代码进行比较。对通信请求的响应可以基于比较的结果。如本文所体现的，通信模块可以被配置为响应于通信请求，将制造商代码与存储在通信模块的存储器中的一组制造商代码进行比较。对通信请求的响应可以基于比较的结果。
53.根据所公开的主题的方面，系统和方法可以包括通过医疗传感器的专用集成电路(asic)检测供应到asic的电压已经下降到低于阈值水平。asic可以确定电压已经低于阈值水平的时间量。基于所确定的时间量，asic可以响应于供应到asic的电压低于阈值水平。如本文所体现的，asic可以确定供应到asic的电压满足第二阈值水平。当所确定的时间量低于阈值时间量时，响应电压低于阈值水平可以包括使asic复位。如本文所体现的，asic可以确定供应到asic的电压满足第二阈值水平。当所确定的时间量高于阈值时间量时，响应电压低于阈值水平可以包括使asic进入存储或关机模式。如本文所体现的，医疗传感器可以在检测到供应到asic的电压已经下降到低于阈值水平之前收集医疗数据。然后，响应电压低于阈值水平可以包括擦除收集的医疗数据。附加地或可替代地，响应电压低于阈值水平
可以进一步包括取消由医疗传感器收集的一个或多个未来测量的资格。如本文所体现的，医疗数据可以包括体温、心率、血糖水平或运动读数。
54.低功率医疗监测系统可以包括部件的系统，其被设计成提供关于人体或动物身体的医疗统计的监测，或者可以基于各种部件的配置提供其他医疗操作。例如，低功率医疗监测系统可以向用户提供连续的葡萄糖监测，或者可以提供药物和其他药物的输送。如本文所体现的，该系统可以包括低功率医疗设备110，也称为由用户佩戴或附接到正在收集信息的身体的传感器。如本文所体现的，传感器110可以是密封的一次性设备，以提高易用性并降低篡改的风险，如本文进一步讨论的。低功率医疗监测系统100可以进一步包括数据读取设备120，该数据读取设备如本文所描述的配置，以便于从传感器110检索数据并将相关信息传送给用户。数据读取设备120可以是专门为与传感器110通信而创建的单用途设备。如本文所体现的，数据读取设备120可以包括多用途硬件设备—例如移动电话、平板电脑、个人计算设备或能够通过通信链路与传感器110通信的其他类似计算设备—进一步配置有许可给第三方的软件库或应用。当执行软件库或应用程序时，多用途设备可以安全地与传感器110通信。如本文所使用的，数据接收设备或接收机同等地指专用数据接收设备或多用途数据接收设备。
55.在整个本公开中，为了简单起见，可以将低功率医疗设备110称为传感器。如本文所体现的，传感器110可以包括具有预定有效使用寿命(例如，1天、14天、30天等)的小型、单独包装的一次性设备。传感器110可以应用于患者身体的皮肤，并且在传感器寿命的持续时间内保持粘附。如本文所体现的，传感器110可以被设计成选择性地移除并在重新应用时保持功能。传感器110的作用可以由体现在传感器110中的医疗硬件的性质来定义。
56.出于说明而非限制的目的，参考用于与图1中所示的公开主题一起使用的传感器110的示例性实施例。图1示出了根据与本文描述的嵌入式系统架构和通信方案兼容的示例性实施例的示例传感器110的框图。如本文所体现的，传感器110可以包括用作传感器的电子部件的背板的印刷电路板(“pcb”)。与pcb耦接的是专用集成电路(“asic”)130，该专用集成电路与通信模块140、为传感器110的监测功能选择的医疗硬件155以及热敏电阻157通信地耦接。asic 130和通信模块140还可以耦接到电池150，电池向asic 130、通信模块140和未示出的传感器110的其他部件供电。asic 130和通信模块140可以是物理上分离的模块，如图1中所示。可替代地，asic 130和通信模块140都可以集成在单个芯片中。
57.如本文所体现的，由于传感器110被设计成功率高效、低成本并且可以是一次性的，asic 130可以包括板载非易失性存储器131。asic可以包括单个参考时钟，用于通信和编程、存储器管理、芯片上定时器等。asic 130可以从电池150接收由功率管理器137调节的功率。在本文描述的条件下，asic 130的部件可以经由与嵌入在asic 130中的通信芯片组(例如，与nfc无线电前端135)耦接来接收来自附近场的功率。nfc无线电前端135可以符合相关的功率传送标准。如本文所描述的，一旦连接了电池150，就可以激活nfc无线电前端135。可替代地，nfc无线电前端135可以用于激活传感器110并打开电池150。asic 130可以进一步包括串行外围接口(spi)133和模拟前端(afe)139，用于与传感器110的其他部件通信。例如，spi 133可以用于与本文所述的通信模块140通信。spi 133还可以用于在制造期间对传感器110的部件进行测试和编程。类似地，afe 139可以用于与医疗硬件160通信。传感器110还可以包括通信模块140，如将在本文中描述的。
802.15或ieee802.11协议，或根据红外数据协会标准(irda)的红外通信协议等。通信模块140可以经由与接收机120的具有类似能力的通信模块160的交互来发送和接收数据和命令。如本文所描述的，通信模块140可以包括微控制器143，用于执行在存储软件块145的存储器中定义的软件操作。软件145可以作为一次性可编程存储器写入适当的存储器。软件145可以包括指向应用层146和链路层147的软件。应用层146可以包括编程到通信模块的应用软件，以控制传感器110与医疗操作、记录测量、分析测量、数据处理、安全应用、反欺诈应用、错误处理和其他定制功能相关的功能。链路层147可以包括编程到通信模块140的软件，用于促进使用所选择的通信协议的通信。作为示例，在通信模块包括ble芯片组的情况下，链路层147可以包括被配置为使用ble协议管理通信的软件。链路层147可以由通信模块140的制造商预先配置或更新，而应用层146可以由传感器110的制造商专门配置或更新。
63.通信模块140可以进一步包括用于支持微控制器143的操作的存储器141。通信模块140可以进一步包括用于与传感器110的其他部件通信的接口(未示出)。如本文所体现的，通信模块140的微控制器143可以比asic 130相对更有能力。如本文所描述的，通信模块140的微控制器143可以是通用的可重新编程处理器，其被配置为处理比asic 130更多的处理密集型任务。
64.如本文所体现的，传感器110可以是具有预定寿命的一次性设备，并且没有广域网通信能力。如本文所体现的，通信模块140可以提供电池供电下的通信。尽管本公开是关于传感器110的示例性配置来描述的，但是可以设想其他合适的配置。作为示例，传感器110的处理硬件可以被实施为另一类型的专用处理器，例如现场可编程门阵列(fpga)。如本文所体现的，传感器110(例如，通信模块140的)的处理硬件可以包括通用处理单元(例如，cpu)或由软件临时配置以执行传感器110的功能的另一可编程处理器。更一般地，处理硬件可以使用硬件、固件、软件或硬件、固件和软件的合适组合来实施。出于说明而非限制的目的，传感器110的处理硬件可以由一个或多个因素来定义，包括计算能力、功率容量、存储器容量、网络连接的可用性等。
65.如本文所体现的，可以基于计算复杂度和计算资源来划分asic 130和通信模块140的处理责任。asic 130可以被配置为专注于解释来自医疗硬件155的测量和其他数据。例如，asic 130可以被专门配置为解释由医疗硬件155输出并由asic 130通过afe 139接收的模拟信号。通过解释，asic 130可以创建适用于在由通信模块140执行的算法中使用的数字测量。通信模块140又可以对从asic 130接收的原始测量信号执行进一步处理。例如，通信模块140可以分析测量信号以导出分析物水平并识别患者的趋势和可操作的响应，然后将其传输到接收机120。在某些实施例中，asic 130还可以被配置为在将分析提供给通信模块140以传输到接收机120之前，导出分析物水平并识别患者的趋势和可操作的响应。
66.为了执行其医疗功能，传感器100可以进一步包括适合其功能的合适医疗硬件155。如本文所体现的，例如，医疗硬件155可以包括为患者开处方的用于自我施用药物或其他药剂的自动注射器。因此，医疗硬件155可以包括驱动注射器的针或柱塞以便皮下输送药物的机构。注射器可以预先填充药物，并且可以响应于触发事件而操作。例如，该机构可以将针驱动到患者体内，并推进柱塞以经由针将药物输送到皮下。
67.如本文所体现的，传感器110可以被配置作为可附接到患者身体组织(例如，皮肤、器官、肌肉等)的体上注射器并且能够在受控或选择的时间段内自动输送固定或患者选择
剂量的药物的皮下注射。在这样的实施例中，医疗硬件155或低功率医疗设备可以包括，例如，用于将医疗硬件155临时附接到患者身体组织的粘合剂或其他装置，用于存储药物或药剂的主容器，被配置为驱动或允许释放柱塞以从主容器中排出药物的驱动机构，套管针(例如，实心针)，布置在套管针周围的柔性套管，被配置为将套管针和/或柔性套管插入患者并可选地缩回套管针以将柔性套管留在患者中的插入机构，被配置为在设备激活时在主容器和柔性套管之间建立流体连通的流体路径连接器，以及被配置为激活设备的致动器(例如，用户可移位按钮)。如本文所体现的，可以预填充和/或预加载体上注射器。
68.除了机械部件之外，医疗硬件155可以包括电气和/或电子部件。例如，电子开关可以耦接到该机构。传感器110可以建立认证通信，接收加密信号，使用本公开的技术解密信号，确定信号包括操作开关的命令，并使开关驱动针。因此，本文所体现的低功率计算设备可以被配置为响应于远程命令使用医疗硬件155来执行医疗功能。
69.如本文所体现的，医疗硬件155可以包括行进传感器和模数转换器(adc)，以生成指示针或柱塞行进距离的数字信号。在输送药剂时，传感器110可以从传感器获得读数，使用本公开的技术对读数进行加密，并且将读数安全地报告给对等设备14。附加地或可替代地，传感器110可以报告其他测量值或参数，例如输送药剂的时间、输送药剂的体积、输送药剂时遇到的任何问题等。传感器110可以被配置为向远程设备提供与医疗硬件155的操作相关的数据。
70.医疗硬件155可以被配置为实施一个或多个医疗功能的任何合适组合，并且可以包括一个或多个感测部件。这样的感测部件可以被配置为检测传感器110的操作状态(例如，未包装/准备给药、无菌屏障移除、与患者身体组织的接触、套管和/或针插入、药物输送开始、致动器或按钮移位、药物输送完成、柱塞位置、流体路径阻塞等)、传感器110或其中包含的药物的状况(例如，温度、冲击或振动暴露、光暴露、药物颜色、药物浊度、药物粘度、地理位置、空间取向、时间信息、环境空气压力等)，和/或关于患者的生理信息(例如，体温、血压、脉搏或心率、葡萄糖水平、身体活动或运动、指纹检测等)。
71.医疗硬件155可以经由多个电连接(例如，工作连接、参考连接、反连接)电连接到pcb。在医疗硬件155包括结合多个电极的分析物传感器的实施例中，每个电连接可以对应于一个或多个电极。来自这些连接的电压可以传送到asic 130(例如，通过模拟前端139)。分析物传感器可以产生电流，该电流在电极之间流动并且取决于分析物浓度和温度。分析物传感器的环境条件也可以随着时间而改变，这可以影响来自提供给asic130的医疗硬件的电压读数。可以相应地调节一个或多个电连接(例如，反连接)的电位，以确保相对于其他电连接(例如，参考连接)的相对恒定的目标电压，进行解释以确定分析物水平。
72.热敏电阻157可以包括一个或多个热敏电阻，以测量传感器110所附接的患者的皮肤温度或传感器110的操作环境的其他方面，尤其是医疗硬件155。如本文所体现的，可以利用asic 130内的单元件热敏电阻和调整的电阻元件来实施用户皮肤测量。热敏电阻可以被定位成使得其有源元件被定位成紧邻传感器元件(例如，分析物传感器感测元件)并且与患者的皮肤尽可能紧密地热接触。图22示出了热敏电阻测量功能2200的示意图。为了测量热敏电阻温度，asic 130将热敏电阻元件2210与在asic 130中包括的调整的电阻元件2220和电阻元件2230串联偏置。asic 130测量电阻元件2220和2230两端的电压。asic 130可以根据所选择的采样频率对多个测量结果进行平均。到温度的转换可以是迭代计算，首先基于
调整的电阻元件值和热敏电阻的施泰因哈特系数来计算温度。然后，对电阻元件应用温度校正来执行第二计算。计算可以进一步包括asic 130提供的设备专用参数。
73.图1进一步示出了与所公开的主题一起使用的接收机120的示例性实施例的架构图。如本文所体现的，接收机120可以包括小形状因子设备。接收机120可以可选地不像传感器110那样受到存储器或处理能力的限制，并且如本文所体现的，接收机120可以包括用于操作软件存储和数据存储的足够的存储器，以及用于软件执行以与本文所描述的传感器110通信的足够的ram。接收机120可以包括与通信模块170通信耦接的cpu 160、存储器161和存储装置163。接收机120的部件的功率可以由功率模块167输送，如本文所体现的，功率模块可以包括可充电电池，允许持续操作和连续使用。
74.接收机120可以被配置为与传感器110无线耦接或扫描传感器110并从中检索数据，例如敏感医疗数据。如本文所体现的，接收机120可以可选地包括类似于传感器110的医疗硬件155或从其扩展的医疗硬件165。仅作为示例，而不是作为限制，在传感器110的医疗硬件155被配置用于连续葡萄糖监测的实施例中，接收机120的医疗硬件167可以配置有与血糖测试条兼容使用的血糖仪，从而扩展了传感器110的血糖监测。在附加实施例中，接收机120不包括附加医疗硬件165。
75.如本文所体现的，接收机120可以被配置为相对于本文所描述的传感器110经由通信模块170的特定模块作为nfc扫描仪和ble端点进行操作。如本文所体现的，接收机120可以被配置用于经由通信模块170的通用串行总线(usb)进行通信。如本文所体现的，接收机120的板载存储装置163能够在延长的时间段内存储从传感器110接收的医疗数据。此外，接收机120可以被配置为经由广域网与用户计算设备或远程云服务器通信。
76.一旦接收机120成功激活传感器110，传感器110可以被配置为收集医疗数据并使该数据可用于接收机120。接收机120充当收集器。作为示例，接收机可以通过nfc接口与传感器110配对，向传感器110提供短程功率，并通过所述nfc接口与传感器110通信耦接。可替代地，接收机120可以通过中程接口，例如蓝牙或蓝牙低能量(“ble”)接口或与传感器110实施的通信协议兼容的任何合适接口，与传感器110通信地耦接，如本文所描述的。传感器110可以传输用于医疗监测和报警功能的医疗数据。
77.如贯穿本公开所使用的，蓝牙低能量指的是被配置为使蓝牙设备的配对对最终用户来说是简单的中程通信协议。如本文所描述的，在传感器110上使用ble可以可选地不依赖蓝牙的标准ble实施方式来实现安全性，而是可以使用使用一个或多个分组密码的应用层加密来建立相互认证和加密。使用在应用层实现的非标准加密设计有几个好处。这种方法的一个好处是，用户可以仅通过nfc扫描完成传感器110和接收机120的配对，而不需要用户提供额外的输入，例如输入安全pin或确认数据接收设备和传感器110之间的ble配对。另一个好处是，这种方法减轻了允许不在紧邻传感器110的设备无意或有意配对的可能性，至少部分地是因为用于支持配对过程的信息是经由短距离而不是长距离ble信道上的备用短距离通信链路(例如，nfc)共享的。此外，由于不涉及ble配对和结合方案，传感器110的配对可以避免芯片供应商的实现问题或ble规范中的漏洞。
78.由于由传感器110收集并在传感器110和数据接收设备之间交换的数据属于关于用户的医疗信息，因此数据是高度敏感的，并且可以有利于被保护。与患者相关联的医疗数据是敏感数据，至少部分是因为该信息可以用于各种目的，包括用于健康监测和药物剂量
决策。如本文所体现的，加密和认证可以用作提供保护特征的两个主要技术控制。如本文所体现的，传感器110和接收机120可以被配置为符合被设计成保护该通信和相关联数据的机密性、完整性和可用性(“cia”)的安全接口。为了解决这些cia问题，可以在硬件和软件的设计中加入安全功能。
79.为了便于数据的保密性，传感器110和接收机120之间的通信连接可以在由任一设备发送敏感数据之前相互认证。可以使用设备唯一或会话唯一的加密密钥对通信连接进行加密。为了保证数据的完整性，为了确保患者数据未被修改，可以利用内置在通信中的传输完整性检查来验证传感器110和接收机120之间的加密通信。如本文所体现的，可以用于加密通信的会话密钥信息可以在两个设备已经各自被认证之后在两个设备之间交换。
80.如本文所体现的，传感器110和接收机120可以各自采用各种安全实践来确保在通信会话上交换的数据的机密性，并促进相关设备找到并建立与可信端点的连接。作为示例，传感器110可以将通信模块140配置为使用具有公共设备地址的预先配置的通告参数。通信模块可以发送可连接的非定向通告事件，并处理来自所有接收机120的扫描和连接请求。传感器110可以请求通信模块140在其被激活后立即开始通告。通信模块140可以继续通告，直到它接收并接受连接请求分组。一旦连接到接收机120，通信模块140就不再可被发现。没有其他设备可以连接到它。如果在预定义的时间量(例如，两秒、四秒)内没有接收到连接请求分组，则通信模块140也可以停止通告。传感器110可以通过将通信模块配置为不可发现模式来停止通告。一旦处于不可发现模式，通信模块140停止发送通告事件，并且没有设备可以发现或连接到它。为了重新开始通告，当记录测量时，传感器110请求通信模块140在每隔一个实例上进行通告。因此，如果传感器110没有连接到接收机120，则它可以每两分钟重新开始通告。当传感器110被激活并且处于没有记录测量数据的状态时，传感器110可以使用定时器来继续相同的通告时间表。
81.这些特征可以防止特定的拒绝服务攻击，特别是防止ble接口上的拒绝服务攻击。如本文所体现的，用于连接到传感器110的标识符可以是可变的，以降低在单个传感器110连接到一个或多个数据接收设备时对其进行跟踪的能力。仅作为示例，用于传感器110或数据接收设备的连接标识符可以包括唯一或半唯一的设备标识符、用于设备的通信模块的媒体访问控制地址、配置用于特定通信协议的设备地址(例如，蓝牙地址等)、互联网协议地址、由低功率医疗监测系统分配给设备的标识符、用于正在广播的设备类型的通用标识符等。传感器110可以在传感器110激活和与第一接收机120配对之间改变标识符。如果传感器110在其活动使用时间线期间与第一接收机120断开连接，则传感器110可以在断开连接时或在接收到与第二接收机120的新连接的请求时改变连接标识符。
82.如本文所体现的，传感器可以通过存储与数据接收设备相关联的加密和认证密钥来支持建立长期连接对，或者支持数据接收设备在长时间内存储传感器110的加密和认证密钥。例如，传感器110或数据接收设备可以将另一方的连接标识符与另一方使用的加密和认证密钥相关联地关联到交换。这样做，传感器110可以更快地与数据接收设备建立连接，至少部分是因为传感器110可以避免与该数据接收设备建立新的认证配对，并且可以经由本文描述的加密通信协议直接进行信息交换。在成功建立连接之后，这两个设备可以避免广播连接标识符和其他信息以建立新的连接，并且可以使用商定的信道跳转方案进行通信，以减少第三方监听通信的机会。作为另一示例，传感器110可以被配置为扫描可用的连
接点，并优选与它已经连接到的那些设备的连接，例如传感器110先前已经建立了认证交换的那些设备。当其他可信数据接收设备在通信范围内时，扫描并连接到已知设备可以减少恶意第三方与认证交换交叉的机会。
83.出于说明而非限制的目的，参考如图2中所示的被配置用于由通信模块140操作的软件145的示例性实施例。图2示出了本文相对于示例性实施例描述的软件块145的示例分层组织。如本文所体现的，所有软件块可以单独安装在通信模块140上并在通信模块140上运行(例如，通过微控制器143)、单独安装在asic 130上，和/或可以在通信模块140和asic 130之间分配。
84.如本文所体现的，软件块被安装在通信模块140上，并且asic 130被配置为没有嵌入式处理器并且没有软件或可重编程逻辑。因此，通过在通信模块140上安装和执行软件块，传感器110可以利用通信模块140的处理能力来降低asic 130的成本。可以降低合适的asic 130的复杂度，使得asic 130被配置为执行为其指定的操作，而不是更多。基于有限的复杂性和功能性，也可以减少asic 130在传感器110内的占地面积。附加地，因为asic 130不一定需要是通用处理器，所以可以提高asic 130和传感器110的整体效率。
85.附加地或可替代地，一个或多个软件块可以安装在asic 130(未示出)上或由asic 130(未示出)以其他方式实现，使得asic 130可以被配置为具有嵌入式处理器和可重编程逻辑和存储器。因此，通过在asic 130上安装和执行至少一些软件块(例如，除了在通信模块140上安装一些软件块之外)，传感器110可以利用可编程asic 130和通信模块140的增加的灵活性来至少部分地扩展传感器110的有用性，因为asic 130将不需要被替换来增加asic 130的功能。例如，asic 130可以通过固件或软件更新来更新(例如，使用类似于本文描述的用于更新通信模块140的过程)。此外，这些实施例中的asic 130可以包括被配置为执行更复杂的分析物检测和处理算法的处理器，并且传感器110可以使用asic 130和通信模块140的组合处理能力。
86.图2中示出了软件块145的总体架构。指定为sdk 290的虚线下方的块存在于只读存储器中，并且被定型为只读存储器。可以由传感器110的制造商编写的所有其他软件块被加载到通信模块140的一次性可编程(otp)存储器中。
87.寿命管理器软件块205可以包括用于管理传感器110的整体寿命操作的软件功能。软件功能可以包括更新传感器110的激活操作时间的计数器、管理传感器激活、插入检测、更新传感器状况以及更新传感器状态的功能。数据处理软件块210可以包括用于管理传感器100的数据处理方面的软件功能。具体地，通信模块140处理传感器的数据处理块，从而减轻了传感器的大部分数据处理需求。软件功能可以包括用于在发布后处理原始数据、存储历史数据以及将当前测量数据发送到经过认证的接收设备的功能。nfc管理器215可以包括处理与发送和接收nfc通信相关的操作(例如，通过asic 130)的软件功能。软件功能可以包括向asic nfc无线电135发送数据、从asic nfc无线电135接收数据以及处理接收到的命令的功能。
88.持久存储器管理器220可以包括软件功能以管理通信模块140的存储器141中的存储器的存储。例如，持久存储器141可以存储与传感器110相关的诊断数据以及由医疗硬件155记录、由asic 130解释并发送到通信模块140的测量的历史数据。软件功能可以包括与传感器110的工厂配置、历史测量数据、传感器事件记录、记录传感器状态数据、管理动态算
法使用的ram、管理对各种存储器硬件的访问和存储(包括静态和动态持久ram、动态系统ram)、管理对一次性可编程存储器的访问以及通过api提供对持久存储器的访问相关的功能。错误处理器225可以包括本文详细描述的软件功能，以管理对传感器110在性能中检测到的错误的说明(例如，在记录测量时)。固件更新软件块230可以包括能够远程更新和升级传感器110的固件的软件功能。
89.安全软件块235可以包括与由通信模块140存储的敏感数据的加密和解密、与传感器110(例如，与接收机120)之间的通信的加密和解密以及通信中的设备的认证相关的软件功能。安全软件块235还可以包括与传感器110使用的安全密钥和公钥的管理相关的功能。算法软件块240可以包括用于处理和解释医疗硬件155经由asic 130报告的原始测量数据的软件功能。软件功能可以包括处理快速数据(例如，瞬时测量)和慢速数据(例如，多个测量趋势)、数据质量访问器、计算当前测量结果(例如，瞬时葡萄糖测量)、计算历史测量结果(例如，历史葡萄糖趋势)的功能。测量软件块245可以包括用于直接管理医疗硬件155的软件功能。软件功能可以包括启动和终止测量以及配置与医疗硬件155接口的模拟前端139的功能。稳定性测试软件块250可以包括用于在制造期间或之后执行传感器测试的软件功能。
90.通信模块140可以包括一个或多个中程通信无线电148(例如，具有比asic 130的nfc无线电135更长的范围)。作为示例，通信模块140可以包括蓝牙无线电或蓝牙低能量(ble)无线电。软件块145可以包括用于管理通信无线电的软件。作为示例，软件块145可以包括ble管理器255。管理器255可以包括与ble无线电的维护相关的软件功能，如ble配置、发送到接收机120、从接收机120接收数据、从接收机120接收命令(例如，关机)以及处理通告，通信模块通过该通告尝试识别通信模块140可以尝试与其建立连接的设备。具体地，与ble连接相关的参数可以包括发射机功率、连接间隔、从机延迟和监督超时。发射机功率参数可以被控制，如本文关于图19所体现的。传感器110可以使用ble连接参数更新过程来请求接收机120使用一组优选连接参数。在接收机120完成认证过程之后，传感器120可以设置其优选参数以请求对优选连接间隔、延迟和监督超时的更新。该更新过程可以通过最大化无线电处于低功率模式的时间来降低功耗，同时保持与接收机120的连接。
91.类似地，软件块145可以包括ble服务软件块260，该ble服务软件块260具有提供接口以使ble无线电可用于通信模块140的计算硬件的软件功能。这些软件功能可以包括ble逻辑接口和接口解析器。由通信模块提供的ble服务可以包括通用访问配置文件服务、通用属性服务、通用访问服务、设备信息服务、数据传输服务和安全服务。数据传输服务可以是用于传输数据的主要服务，如传感器控制数据、传感器状态数据、医疗测量数据(历史和当前)和事件日志数据。传感器状态数据可以包括错误数据、当前活动时间和软件状态。如本文所体现的，传感器110可以被配置为在与接收机120的初始认证连接时，当传感器状态改变时，或者根据来自接收机120的请求，向连接的接收机120发送传感器状态数据。医疗测量数据可以包括诸如当前和历史原始测量值的信息(例如，血糖、温度等)、由通信模块140使用适当算法处理后的当前和历史值、测量水平的预测和趋势(例如，血糖水平或温度水平的趋势等)、其他值与患者特定平均值的比较、由通信模块的算法确定的动作调用(例如，使得接收机仅充当显示设备，而通信模块140处理安全计算)以及其他类似类型的数据。
92.安全服务可以用于提供认证以与传感器110操作通信。认证可以包括质询和响应命令、质询数据命令、安全证书数据以及与其一起使用的安全密钥。ble堆栈265可以包括由
通信模块140的ble部件使用的附加软件功能。
93.出于说明而非限制的目的，参考用于与图20a至图20b中所示的公开主题一起使用的传感器-接收机连接的过程2000的示例性实施例。图20a至图20b示出了用于在接收机120和传感器110之间建立初始连接和重新连接的ble序列的示例图。在2001，传感器110在搜索要连接到的接收机120时，重复地向其环境通告其连接信息。如本文所描述的，传感器110可以定期重复通告，直到建立连接。接收机120检测通告分组，并扫描和过滤传感器120以通过通告分组中提供的数据进行连接。在2002，接收机120发送扫描请求命令，并且在2003，传感器110用提供附加细节的扫描响应分组进行响应。接收机120通过通告和扫描响应分组中提供的数据来扫描和过滤传感器110。一旦找到传感器110并且接收机120获知蓝牙设备地址，则在2004，接收机120使用与接收机120相关联的蓝牙设备地址发送连接请求。如果接收机120被配置用于这种能力，则接收机120还可以连续地请求建立到具有特定蓝牙设备地址的传感器110的连接。在2005，设备建立初始连接，允许它们开始交换数据。然后，设备开始初始化数据交换服务并执行相互认证程序的过程。
94.在传感器110和接收机120之间的第一连接期间，在2006，接收机120可以初始化服务、特征和属性发现过程。接收机120可以评估传感器110的这些特征并存储它们以在后续连接到同一传感器110期间使用。在2007，设备启用用于传感器110和接收机120的相互认证的定制安全服务的通知。从安全特征的描述符启用通知。在2008，相互认证过程被添加到典型的蓝牙交换序列中，以确保尝试访问传感器110的接收机120被认证。相互认证过程是自动化的，不需要用户交互。在2009，在成功完成相互认证过程之后，传感器110发送连接参数更新以请求接收机120使用传感器110优选的并被配置为最大寿命的连接参数设置。在2010，接收机120启用来自数据特征的描述符的通知。该通知还用作对传感器110的通知，即接收机120准备好接收加密数据，并且能够在数据到达时解密该数据。
95.接收机120然后执行传感器控制过程以回填历史数据、当前数据、事件日志和工厂数据。在2011，接收机120发送请求以启动用于历史测量读取数据(例如，历史葡萄糖读数)的回填过程。该请求可以指定接收机120感兴趣接收的记录的范围，其中该范围是基于测量值、时间戳或类似物来定义的。在2012，传感器110发送历史测量数据，直到传感器110的存储器中的所有先前未发送的数据被传送到接收机120。在2013，接收机120发送请求以启动用于当前测量读取数据(例如，临床葡萄糖读数)的回填过程。与历史测量一样，该请求可以指定接收机120感兴趣接收的记录的范围，其中该范围是基于测量值、对测量有贡献的原始读取值、时间戳或类似物来定义的。在2014，传感器110发送测量数据，直到传感器110的存储器中的所有先前未发送的数据被传送到接收机120。在2015，接收机120发送请求以启动用于事件日志数据的回填过程。转到图20b，在2016，传感器110将记录的事件数据发送到接收机120，直到传感器110的存储器中的所有先前未发送的数据被传送。在2017，接收机120发送请求以启动用于传感器110设备出厂数据的回填处理。在2018，传感器110将存储的工厂数据发送到接收机120，直到传感器110的存储器中的所有先前未发送的数据被传送。
96.每个请求可以包括将接收数据的顺序的规范(例如，从最早到最新、从最新到最早、从最高到最低等)。在任何时刻，如果传感器110在传感器110已经在处理先前接收到的请求时接收到回填请求，则传感器110可以自动地以指示传感器110被占用的错误消息来响应。传感器110还可以以错误响应任何格式错误的请求(例如，数据记录类型无效、顺序无
效、时间戳无效或格式错误、或记录不可用)。响应可以指示格式错误。尽管未示出，但传感器110可以响应来自接收机120的回填请求，即所有数据已经被发送。在每个请求之后，接收机120可以检测到没有额外的数据正在被发送，并将其解释为所有数据已经被传送的确认。可替代地，传感器110可以肯定地传送传输完成消息。传感器110还可以支持接收回填中止命令。一旦接收到中止命令，如果传感器110当前正在处理另一个命令，则传感器110可以用错误响应来响应。否则，传感器110确定正在中止的回填操作是否实际上正在进行中(如果不是，则发送错误)，终止该过程，并向接收机120发送成功通知。在完成回填更新后，传感器110和接收机120准备开始常规测量读数传输。在2019，接收机120可以向传感器110发送指示其准备接收常规测量读数的通知。该通知可以作为对传感器110的提醒，即接收机120准备好接收加密的测量数据并解密测量数据。传感器110在两个通知中发送当前数据，在2020和2021示出，包括在重复的基础上当前测量的第一通知(2020)和当前葡萄糖结果的第二通知(2021)。如本文所体现的，第一通知和第二通知可以是冗余通知，以确保数据被正确传输。可替代地，这两个通知可以组成单个有效载荷，并级联在一起，以形成用于单个测量的完整数据集合。作为示例，传感器120可以每分钟发送通知，直到连接被中断或设备断开连接。
97.出于说明而非限制的目的，参考用于与图21中所示的公开主题一起使用的传感器-接收机连接的过程2100的示例性实施例。图21示出了用于向传感器110发送关机命令的ble序列的示例图。关机命令请求传感器110将其自身关闭。如本文所描述的，如果传感器110处于错误状态620、插入失败状态540或传感器过期状态565中，则立即执行关机操作。如果传感器110不在这些状态中，传感器110将在其内部存储器141中寄存命令，并且当传感器110转换到错误状态620或传感器过期状态565中时，执行关机。在接收机120发送关机命令之前，传感器110和接收机120可以已经交换了数据。例如，在2101，传感器110和接收机120已经执行了本文描述的回填操作，或者在2102，传感器110和接收机120已经发送了本文描述的事件记录和测量数据。在2103，接收机120向传感器110发送适当格式化的关机命令。在2104，如果传感器110正在主动处理另一命令，则传感器110将以指示传感器110忙的标准错误响应来响应。否则，在2105，一旦接收到命令，传感器110就发送响应。此外，在2106，传感器110通过传感器控制特征发送成功通知，以确认传感器110已经接收到命令。在2107，传感器110登记关机命令。在下一个适当时机(例如，取决于当前传感器状态，如本文所描述的)，传感器110将关闭。在一些实施例中，接收机120使用关机命令来通知传感器110接收机120已经成功地回填了所有当前测量数据、历史测量数据和事件日志。
98.如本文所体现的，传感器110和接收机120可以被配置为符合被设计成保护该通信和相关联数据的机密性、完整性和可用性(“cia”)的安全接口。为了解决这些cia问题，可以在硬件和软件的设计中加入安全功能。在具体实施例中，传感器110可以被配置为仅将某些功能的访问限制到授权方。医疗监测系统100的操作者可以控制哪些方能够访问特定功能，并且可以在合理的时间范围内撤销对功能的访问。此外，传感器110本身可以基于接收授权的证据来限制对某些功能的访问，同时仍然保持可以用于接收机120、多用途数据接收设备130(例如，执行由医学监测系统100的操作者提供的经认证的应用和/或软件库)以及用于调试、重编程和其他制造特定特征的其他授权方。通过硬件和软件实施的安全特征来保持存储在设备上和在设备之间传输的命令和用户数据的机密性。可以保证会话数据和命令的
源完整性。此外，软件特征可以授权其他特征，例如限制对一个或多个所选接收机120的通信接口的访问，包括但不限于通信模块140、nfc无线电135等。在具体实施例中，所选接收机120可以包括最后通过另一通信接口与传感器110配对的一个或多个接收机120(或其他设备)。在具体实施例中，可以基于对需要接近的通信接口(例如，nfc)的最后访问来限制对更远程通信接口(例如，ble、wifi)的访问。本文将描述实现这些目标的系统和技术。
99.传感器110和接收机120都可以确保通信会话中另一方的授权。为了确定一方是否具有例如发出某个命令或接收某个数据的授权，可以对该方的身份进行认证。在具体实施例中，可以通过两个特征来执行身份认证。首先，声明其身份的一方(例如，传感器110到接收机120或接收机120到传感器)提供由设备制造商或医疗监测系统100的操作者签名的验证证书。第二，可以通过使用由医疗监测系统100的设备建立的或由医疗监测系统100的操作者建立并提供给设备的公钥和私钥来实施认证。为了确认另一方的身份，该方可以提供该方控制其私钥的证明。如本文所描述的，可以通过相互认证或建立相互安全密钥来建立控制的证明。
100.在一些实施例中，由传感器110提供的证书的格式和大小可以不同于由接收机120或由在多用途医疗监测设备130上执行的应用程序提供的证书的格式和大小。作为示例，接收机120使用的证书可以使用额外的存储器(与传感器110相比)，并在其证书内提供额外的信息。证书可以包括证书安全版本、接收机120的标识符、有效性修订值、访问控制配置信息、接收机公钥和数字签名。证书安全版本可以用于确定证书有效所需的结构和/或签名密钥。标识符可以用于确保证书对应于正在交换证书的接收机120。此外，传感器110可以存储用于该方的所支持的证书修订的数据库(例如，作为查找表)。在具体实施例中，在安全更新期间，例如但不限于在制造期间、在制造商或可信代理的服务期间、在固件更新期间等，可以将支持方修订数据库加载到传感器110的存储器。有效性修订值可以用于确定证书是否有效并由传感器110支持。访问控制配置信息可以用于直接确定接收机120可访问传感器110的哪些特征和功能。接收机公钥可以对应于根据医疗监测系统100的接收机120的公钥。数字签名可以用于提供证书的有效性，并检测或防止恶意方对证书的篡改。数字签名可以由医疗监测系统100的操作者的私钥来签名，并且由传感器110持有的相应密钥来验证。
101.传感器110可以基于验证与证书相关联的某些信息来接受证书为有效的。例如，传感器110可以检查证书安全版本是否是传感器110支持的版本。如本文所讨论的，安全版本可以被医疗监测系统100的操作者拒绝。传感器110可以拒绝被拒绝或其他不受支持的证书安全版本。作为另一示例，传感器110可以确定数字签名是否有效。如上所描述的，数字签名可以由医疗监测系统100的操作者的私钥来签名。在安全操作期间，可以将对应的公钥写入传感器110。可以使用公钥加密来验证数字签名以及相应地存储在证书中的信息。作为另一示例，传感器110可以检查证书是否未过期。在某些情况下，证书数据可以包括明示或隐式的到期日期。传感器110可以将到期日期与可信的时间源进行比较，并且如果到期日期已经过去，则拒绝证书。在其他情况下，传感器110不能访问可信的时间源。在这种情况下，可以使用证书有效性修订。如果证书有效性修订小于传感器110为该方存储的支持修订，则该证书被认为是无效的。也可以使用其他有效性检查。一旦所有有效性检查都通过，就可以提取证书中嵌入的公钥以供使用。
102.作为示例，传感器110使用的证书可以包括证书安全版本、传感器序列号或其他唯
一标识符、制造日期戳、传感器公钥和数字签名。与接收方证书一样，证书安全版本可以用于确定证书有效所需的结构和/或签名密钥。传感器序列号或其他唯一标识符可以用于确保证书对应于正在交换证书的接收机120。此外，接收机120可以存储对应于选择的传感器标识符的数据库(例如，作为查找表)，如黑名单(以阻止已知被恶意方使用的旧传感器或传感器标识符)或白名单(以加速对来自可信传感器的证书的识别)。传感器公钥可以对应于根据医疗监测系统100的传感器110的公钥。数字签名可以用于提供证书的有效性，并检测或防止恶意方对证书的篡改。数字签名可以由医疗监测系统100的操作者的私钥来签名，并且由接收机120持有的相应密钥来验证。
103.接收机120可以基于验证与证书相关联的某些信息来接受证书为有效的。例如，接收机120可以检查证书安全版本是否是接收机120支持的版本。如本文所讨论的，安全版本可以对医疗监测系统100的操作者无效。接收机110可以拒绝无效的或其他不受支持的证书安全版本。作为另一示例，传感器110可以确定数字签名是否有效。如上所描述的，数字签名可以由医疗监测系统100的操作者的私钥来签名。在安全操作期间，可以将对应的公钥写入接收机110。可以使用公钥加密来验证数字签名以及相应地存储在证书中的信息。作为另一示例，接收机110可以检查制造日期戳是否与有效的日期范围相关联，并且特别地不与过期的传感器110相关联。如本文所讨论的，传感器110可以是相对低成本的，并且被设计成一次性的，具有有限保质期。接收机120可以使用传感器110的已知保质期来确定与证书相关联的传感器110是否可能过期。此外，接收机120可以检查传感器标识符是否存储在已知传感器标识符的数据库中，并且特别地确定与证书相关联的标识符是否被列入黑名单。也可以使用其他有效性检查。一旦所有有效性检查都通过，就可以提取证书中嵌入的公钥以供使用。
104.为了便于数据的保密性，传感器110和接收机120之间的通信连接可以在由任一设备发送敏感数据之前相互认证。具体地，一旦传感器110和接收机120两者都接受了证书，就可以在相互认证过程中使用从证书中提取的公钥。有了公钥，双方必须证明他们可以访问相应的私钥。可以使用挑战-响应机制来建立这种证明。在这种机制期间，一方使用私钥向另一方发送要加密或签名的数据。接收方使用私钥对数据进行签名或加密，并将其返回给发起方。发起方对加密数据进行解密，并验证明文是否正确。为了防止重放攻击，所使用的明文数据是不可预测的(例如，真正随机的)和/或不可重复的。
105.示例相互认证方案包括使用数字签名算法对随机数据进行直接签名。传感器110和接收机120发送要用对方的私钥签名的随机字节序列。然后，传感器110和接收机120检查签名数据的签名。作为另一示例，传感器110和接收机120可以使用对称加密来执行相互认证。使用恢复的公钥，传感器110和接收机120进行密钥交换以获得用于前向消息传递安全性的共享对称密钥。在具体实施例中，所使用的密钥交换可以基于或源自行业标准和/或政府监管的安全密钥交换。
106.在一个实施例中，设备使用的密钥交换可以基于利用未授权方发现某些数学运算中使用的基数大数(例如，素数)的不可行性。在一个示例中，密钥交换的双方可以同意使用特定的大阶有限循环群和群内的生成元素，例如公共模和基数，其中基数是模的本原根。每一方都生成一个公共值，该值的基数是私钥对公共模的幂。交换结果。用交换的结果重复该操作以得到秘密密钥。例如，a方有秘密值a，b方有秘密值b。a和b同意使用模m和基数c。a计
算值a'＝camod p。b计算值b'＝c
b mod p。a和b交换a'和b'。然后，a计算共享密钥s＝b'
a mod p，b计算共享密钥s＝a'
b modp。在另一示例中，密钥交换的每一方可以选择两个大素数和一个辅助值。每一方都可以基于对公众保密的两个大素数生成公钥。大素数可以形成私钥。使用公钥编码的消息只能通过私钥解密。具体地，如本文所描述的，公钥可以用于对共享秘密密钥进行编码。更具体地，每一方选择两个不同的素数p和q。在整个过程中，p和q是关键秘密。公钥n的一部分被计算为n＝pq。计算了函数a(n)＝lcm(p-1，q-1)。选择整数e，使得e和a(n)是互素的。整数e作为公钥释放。最后，选择私钥指数d作为e模a(n)的模乘逆元。那么，公钥包括n和e。私钥由d组成，d可以从同样保密的p、q和a(n)中导出。各方可以交换并签署共享密钥，该共享密钥可从各方的公钥导出，并可从各方的私钥验证。
107.在另一实施例中，设备使用的密钥交换可以基于利用未授权方发现随机椭圆曲线元素相对于公知基点的离散对数的不可行性。换句话说，所述密钥交换的安全性基于在给定原始对和乘积对的情况下无法容易地计算点乘法的被乘数。这样的密钥交换实施方式具有减小必要的密钥大小的额外好处，允许减少用于保存结果密钥的存储器的存储量的好处，以及减少用于建立共享密钥的网络流量。
108.在另一实施例中，由设备使用的密钥交换可以基于循环群g上与计算离散对数相关的问题的难度。例如，g可以是以n为模的整数的乘法群。像本文描述的其他实施例一样，密钥交换基于公钥-私钥对。为了生成密钥，一方用生成器g生成q阶的循环群g。元素e表示g的单位元素。整数x是从{1，
…
，q-1}的群中随机选择的。计算值h＝g
x
。公钥是值g、q、g和h的集合。私钥是x。为了加密消息m，第二方将m映射到g的元素m。第二方从整数集{1，
…
，q-1}中选择一个整数y。共享秘密s被计算为s＝hy。密文c1和c2计算为c1＝gy和c2＝m
·
s。在接收到c1和c2后，第一方可以将共享秘密生成为s＝c
1x
。原始消息m从m＝c2·
s-1
重新映射。双方可以使用共享秘密s作为共享对称密钥来交换数据，或者可以为每个消息交换新生成共享秘密以增加安全性。
109.一旦建立，共享对称密钥然后被用于执行相互认证，使得每个设备通过到达相同的对称密钥并能够使用该密钥完成相互认证来证明对相应私钥的控制。在认证之后要建立用于通信的加密信道的情况下，这种版本的相互认证可以特别有利(因为共享对称密钥可以用于使用加密信道来加密通信)。此外，可以使用共享对称密钥进行后续认证。就计算复杂度和网络流量使用而言，除了在初始密钥的建立期间，开销是不必要的。传感器110和接收机120可以在随后的通信尝试中提供共享对称密钥的控制的证据。附加地或可替代地，如本文所体现的，可以用于加密通信的会话密钥信息可以在每个设备已经被认证之后在传感器110和接收机120之间交换。传感器110和接收机120可以在随后的通信尝试中提供会话密钥的控制的证据。所使用的对称相互认证技术可以实施、基于或源自两次通过或三次通过的认证技术。在某些实施例中，可以使用四次通过或五次通过认证，其中传感器110和/或接收机120的制造商或医疗监测系统100的操作者充当可信的附加方。
110.图35示出了证书交换和验证过程以及对称相互认证的概述。在3501，接收机120发送初始化连接过程的请求。在3502，接收机120将接收机120的证书数据发送到传感器110。发送证书数据可以包括警告传感器110接收机120将发送证书数据、传送证书数据以及向传感器110发送指示证书数据已经被传送的确认消息。在3503，传感器110使用本文描述的技术检查证书数据是否有效。在3504，在确定证书数据有效之后，传感器110从证书数据中提
取对应于接收机120的公钥。
111.在3505，传感器110可以向接收机120发送指示证书数据已被接受的通知。在3506，传感器110将传感器110的证书数据发送到接收机120。发送证书数据可以包括警告接收机120传感器110将发送证书数据、传送证书数据以及向接收机120发送指示证书数据已经被传送的确认消息。
112.在3507，接收机120使用本文描述的技术检查证书数据是否有效。在3508，在确定证书数据有效之后，接收机120从接收的证书数据中提取对应于传感器110的公钥。在3509，接收机120生成用于相互认证的新公钥和私钥对。如本文描述的，接收机120可以使用随机值或随机、已知和非顺序值的组合来生成公钥和私钥对。在3510，接收机120启动相互认证过程。接收机120可以向传感器110发送通知或请求。接收机120可以附加地或可替代地发送在3509处生成的公钥。接收机120可以附加地在已经发送完整公钥时通知传感器110。在3511，传感器110生成新的公钥和私钥对，以使用本文描述的技术用于相互认证。在3512，传感器110将在3511处生成的公钥发送到接收机120。传感器110可以向接收机120发送通知或请求。传感器110可以附加地或可替代地发送在3511处生成的公钥。传感器110可以附加地在已经发送公钥时通知接收机120。在3513，接收机120使用接收机120的私钥、传感器120的公钥、任何先前同意的秘密值(例如，由传感器120或接收机110的制造商或医疗监测系统100的操作者提供)和/或任何选择的随机数值来生成用于相互认证的共享密钥。类似地，在3514，传感器110生成用于相互认证的共享密钥。在3515，传感器110和接收机120可以协调以使用共享密钥和生成的校验值来执行相互认证方案。
113.未授权的接收机120可以通过保持连接或重复尝试连接到传感器110来阻止其他设备连接到传感器110，从而发起针对传感器110的拒绝服务攻击。为了防止这种类型的攻击，如果在预定义的时间量内没有完成对称相互认证，则可以终止传感器110和授权接收机120之间的连接。附加地或可替代地，还可以在一段时间内阻止未授权设备发起后续通信请求。这允许授权设备在传感器110再次变得可连接时(例如，当未授权设备被阻止时)访问传感器110。
114.在某些实施例中，使用第一通信协议交换的数据可以用于进一步增强使用第二通信协议的通信的安全性。作为示例，第一通信协议可以是短距离通信协议，其中由于例如协议的通信范围(例如，nfc)而需要物理接近。第二通信协议可以是长距离通信协议，其中通信范围更长并且因此物理接近度不可预测(例如，ble、wifi)。在这样的实施例中，可以使用第一通信协议在传感器110和接收机120之间共享秘密。在具体实施例中，秘密可以是传感器和接收机120之间的绑定密钥或绑定标识符。该秘密可以用于随后的认证尝试(例如，与用于对称相互认证的随机化数据结合使用)。该秘密可以被生成为通过短距离通信协议共享的加密值。在其他设备可以使用第一通信协议窥探在传感器110和接收机120之间交换的数据的环境中，可以使用第一通信协议执行相互认证的形式，其中结果被用作秘密。
115.传感器110可以使用该秘密来优先建立与特定接收机120的通信会话。例如，传感器110可以存储与接收机120共享的秘密的列表。接收机110可以拒绝与接收机120建立通信会话，即使它们具有预先存在的共享密钥，除非它们能够提供最新的秘密。因此，该秘密可以用于撤销其他接收机120(例如，在用户升级之后的较旧接收机)对传感器110的访问。附加地或可替代地，接收机110可以拒绝与具有比最近的秘密更旧的秘密的接收机120的连
接，直到已经经过阈值量的时间为止(例如，如果优选接收机120不可用)。秘密的交换给相互认证方案增加了一层物理安全，因为使用第一通信协议交换秘密可能需要物理接近。
116.如本文所体现的，在制造期间，在认证过程中使用的某些值被提供给设备。作为示例，可以由它们相应的制造商设置传感器110或接收机120持有的私钥和证书值。诸如私钥和证书值之类的值可以通过有限次数的重写写入存储器，例如以容器化的方式的不可重编程或一次性可编程(otp)存储器。在具体实施例中，这些值可以随着安全性增强的进行而更新，或者为了减少未授权实体可用的已知值。可以通过作废现有容器并将执行流重定向到具有更新值的替换容器来更新值。在具体实施例中，归属于传感器110或接收机120的安全配置的版本号、时间戳或其他标识符可以被试图认证传感器110或接收机120的另一设备使用，以确定如何评估所提供的证书或公钥。因此，安全架构可以随时间更新，并且可以支持重叠的环境，该重叠的环境可以发展为例如传感器110被设计为单次或有限使用的设备并且不可重新编程。
117.通过类似的机制，与接收机120和/或在与传感器110通信的接收设备上执行的软件应用相关联的证书可以被无效或拒绝使用。作为示例，传感器110的制造商或医疗监测系统110的操作者可以撤销制造商或操作者与先前授权的实体之间的证书协议，以确保消费者安全。制造商可以将新生产的传感器110上的安全版本更新为不支持与先前授权的实体相关联的证书的版本，这将导致传感器110排除或拒绝与与该实体相关联的接收机120连接。由于传感器110可以被设计成具有有限的可用寿命和/或保质期，较旧的传感器120最终将老化，从而确保证书撤销有效。附加地或可替代地，可以通过更新存储在传感器110中的数据库来撤销与接收机120的各个制造商相关联的证书，以获得该方所支持的证书修订。当建立通信会话时，传感器110使用接收机120的制造商标识符来查询证书修订值数据库。如果接收机120提供的证书修订值与传感器110支持的版本号不匹配，则拒绝通信会话，有效地撤销证书并阻止接收机120对传感器110的访问。
118.asic硬件抽象层200可以包括使通信模块能够经由串行外围接口300与asic 130通信的软件功能。如连接asic硬件抽象层200和其他部件的箭头所示，asic硬件抽象层200包括各种功能，以使通信模块140能够写入、读取和控制asic 130。例如，asic硬件抽象层200支持将asic130的各种功能暴露给通信模块的asic驱动器270。otp仿真器275可以包括软件功能，以仿真和允许通信模块140访问asic 130的otp存储器131，例如内部ram和串行存储器。
119.核心框架280可以包括asic 130的基本操作的基础功能。这些功能包括允许asic 130执行的必要核心操作，例如处理器调度器、中断处理器、存储器管理器和定时器实用程序。硬件抽象层285可以包括绑定到asic 130的各种低级硬件部件中的功能。这些功能包括与引导序列器、功率管理器、电压监测器和其他硬件驱动器相关的功能。
120.出于说明而非限制的目的，参考用于与图3中所示的公开主题一起使用的asic 130和通信模块140之间的物理和逻辑串行外围接口300的示例性实施例。spi逻辑接口映射到asic 130的寄存器和寄存器设置。asic130的某些寄存器是只读的。附加地或可替代地，某些寄存器可以被写入以及被读取。指定操作允许spi主导读取和写入asic寄存器。只读的逻辑接口(和asic 130的有效寄存器)的元素包括中断请求。仅写入的逻辑接口(和asic 130的有效寄存器)的元素包括nfc响应标志和错误代码、nfc响应有效有效载荷和nfc响应
数据。可以读取和写入的逻辑接口(以及asic 130的有效寄存器)的元素包括唯一标识符、计算数据、修整数据、异常值状态、温度测量、测量状态和当前测量结果。
121.例如，如图3中所示，串行外围接口300的asic硬件包括asic数字部分310和物理串行外围接口硬件133。spi硬件133可以包括spi时钟325。通信模块的spi硬件包括数字部分330。在所示实施例中，asic 130和通信模块140中的一个被指定为spi主导者的角色，并且另一个被指定为spi从属者。具体地，asic 130是spi从属者，并且具有从属逻辑接口340。通信模块140是spi主导者，并且具有主导逻辑接口350。从属逻辑接口340和主导逻辑接口350经由逻辑连接来连接。spi逻辑接口300在逻辑寄存器级指定asic 130和通信模块140之间的连接。软件块145的asic硬件抽象层200模块以它们的参数作为spi主导者形成消息，并且asic数字部分310包含寄存器和读取和写入它们的逻辑。如本文所体现的，spi时钟频率被设置为asic 130允许的最大值(例如，3mhz)。图3进一步示出了asic 130的spi硬件133和通信模块的数字部分330之间的四线物理spi接口。物理spi接口包括asic 130的sel引脚361和通信模块140的对应物371、asic 130的clk引脚363和通信模块140的对应物373、asic 130的mosi引脚365和通信模块140的对应物375、asic 130的miso引脚367和通信模块140的对应物377之间的连接。出于说明而非限制的目的，本文参考相应的图描述了适合于实现系统的各种功能和用例场景的读取和写入消息的示例性序列。
122.出于说明而非限制的目的，参考如图4中所示的传感器在其操作期间的成功生命周期的高级功能描述的示例性实施例。图4示出了本文相对于示例性实施例描述的传感器110的标称、成功的生命周期的示例活动图。本文描述了通信连接过程(例如，建立安全连接状态450和保持连接状态460)。一旦激活了传感器110，通信堆栈尝试通过建立的通信过程(例如，标准ble通信协议)连接到配对的接收机120，并完成专有认证过程。由状态450表示的通信连接过程和由状态460表示的连接的维护可以并行发生，并且可以与由状态420至440表示的测量过程是异步的。测量数据从asic 130传送到通信模块140以通知接收机120。
123.状态410表示传感器110生命周期的激活传感器状态。激活传感器过程由asic 130和通信模块140之间的一系列事务(例如，nfc事务)组成，由无线电硬件抽象层200促进。激活传感器状态410在本文中更详细地描述，例如参考图9a至图9b。在激活传感器110之后，传感器110可以前进到插入检测状态420。
124.插入检测状态420表示传感器110生命周期的阶段，其中传感器110，基于硬件的类型(如适用)，确定传感器110是否已经成功地附接到患者的身体，以及医疗硬件155是否已经正确地附接。例如，如果医疗硬件155包括血糖分析物传感器，则传感器110可以确定医疗硬件155是否已经被适当地插入并且能够适当地读取葡萄糖水平。插入检测状态420在本文中更详细地描述，例如，参考图10。在验证传感器110的插入之后，传感器110可以前进到测量生命周期状态430。
125.测量生命周期状态430表示传感器110主动记录来自医疗硬件155的测量并将测量传输到适用接收机120的阶段。测量生命周期状态430在本文中更详细地描述，例如，参考图11至图12。在传感器测量生命周期结束时，传感器可以进入正常终止状态440，在此期间传感器结束操作并准备处置。正常终止状态在本文中更详细地描述，例如，参考图18。
126.出于说明而非限制的目的，参考如图5中所示的传感器110可以采取的动作的状态机表示500的高级描述的示例性实施例。图5示出了本文相对于示例性实施例描述的传感器
的功能的状态机表示。在初始化之后，传感器进入状态505，其涉及传感器的制造。在制造状态期间，传感器110可以被配置用于操作，例如，可以写入通信模块的一次性可编程存储器。可以相对于传感器执行需要增加的安全协议的其它操作。在处于状态505的不同时间，传感器可以触发状态510，其中传感器检查接收到的命令是否是转到存储状态515的命令。如果没有接收到“转到存储状态”命令，则传感器110返回到状态505。如果已经接收到“转到存储状态”命令，则传感器110前进到存储状态515。
127.在进入存储状态515时，传感器执行软件完整性检查。当处于存储状态515时，传感器可以执行其他操作，例如，包括重置与传感器110的操作相关的变量，诸如传感器110的操作的激活时间、传感器110的激活时间、经认证以与传感器110通信的设备的标识信息，以及重置数据管理功能(例如，从设备保存或擦除敏感数据)。存储状态515通常可以涉及有助于使传感器110对最终用户(例如，患者)可用的操作。如本文所体现的，存储状态515还可以涉及数据恢复和保存操作(例如，将存储在易失性存储器中的数据提交到非易失性存储器)，使得传感器110可以以受控方式关闭并避免数据丢失。
128.当处于存储状态时，传感器可以接收传感器测试模式命令并前进到测试状态520。测试状态520可以用于修复或调试传感器110，并且可以涉及启用附加安全特权以分析在正常操作期间通常不可用的传感器的存储器和操作。当传感器110处于测试状态520时，功能测试器系统可以检查传感器110的部件是否按设计工作。可以通过对配置参数的调整来对通信模块140进行编程。功能测试可以包括，例如但不限于，参考板测试、关断电流测试、读取asic 130寄存器、asic 130泄漏测试、电流偏移校准、诊断比例因子校准、功耗测试、通信模块无线电功能测试或编程。
129.当处于存储状态时，传感器还可以接收激活请求命令并前进到状态520，其中传感器确定激活是否已经成功完成，如本文所描述的。如果激活不成功，则传感器返回到存储状态515。如果激活成功，则传感器110前进到插入检测状态525。
130.在进入状态525时，传感器110可以存储与经认证以与激活期间设置的传感器通信的设备相关的信息，初始化与进行和解释来自医疗硬件155的测量相关的算法，初始化传感器110的asic 130，如本文所描述的。传感器110还可以初始化生命周期定时器，其负责维持传感器110的操作时间的有效计数，并开始与经认证的设备通信以传输记录的数据。在处于插入检测状态525时，传感器110还可以执行附加的操作，包括附加的软件完整性检查、使用医疗硬件155和相关软件功能记录初始测量、记录测量以及将结果传输到经认证的接收机120。传感器110还可以适当地递增操作时间。
131.当处于插入检测状态525时，传感器可以进入状态530，其中传感器110检查操作时间是否等于预定阈值。如本文所描述的，该操作时间阈值可以对应于用于确定插入是否已经成功的超时函数。如果还没有达到阈值，则传感器100返回到插入检测状态525并继续监测测量。如果操作时间已经达到阈值，则传感器110前进到状态535，其中传感器110检查平均数据读取是否大于对应于用于触发成功插入的检测的预期数据读取量的阈值量。如果在状态535中数据读取量低于阈值，则传感器前进到状态540，其对应于插入失败。如果数据读取量满足阈值，则传感器前进到激活配对状态555。
132.插入失败状态540对应于用于确定失败插入的来源并在可能的情况下从失败插入中恢复的操作。在进入插入失败状态540时，传感器110可以递增用于跟踪特定传感器110的
插入故障次数的计数器，并且可以将asic130发送到存储模式状态。传感器110还可以开始操作以确定在传感器110中是否存在可恢复的错误。例如，传感器110可以执行软件完整性检查以确定错误是否与通信模块的编程相关，传感器110还可以确定传感器110是否经由通信模块140连接到接收设备。如果没有，则传感器110可以尝试建立连接(例如，卸载任何记录的数据)。当处于插入失败状态540时，传感器110可以接收关机命令545，其可以使传感器返回到存储状态515。如果没有接收到关机命令，则在状态550，在操作时间已经超过预定的不成功操作时间(例如，30分钟、1小时、2小时、12小时等)之后，传感器110可以自动恢复到存储状态515。如果没有接收到肯定的关机命令并且操作时间没有超过阈值，则传感器110保持在插入失败状态540。
133.传感器110的激活配对状态555通过记录测量、处理测量并将其适当地报告给经认证并连接的接收机120来反映当传感器110正常操作时的状态。当处于激活配对状态555时，传感器110发送测量结果或尝试与经认证的接收机120建立连接以发送测量结果。如本文所讨论的，传感器110还递增操作时间。如本文所描述的，传感器110可以被配置为仅操作固定的时间段，例如，由于医疗硬件155精确记录测量值的能力的限制，或者为了保护患者的健康。在状态560，传感器110监测操作时间的阶段。如果操作时间没有达到阈值，则传感器110保持在激活配对状态555。一旦传感器110达到预定阈值操作时间(例如，一旦操作时间达到预定阈值)，传感器110转换到激活过期状态565。
134.传感器110的激活过期状态565反映了当传感器110已经经操作了其最大预定时间量时的状态。当处于激活过期状态565时，传感器110通常可以执行与停机操作相关的操作，并确保所收集的测量已经根据需要安全地传输到接收设备。例如，当处于激活过期状态565时，传感器110可以发送收集的数据，并且如果没有可用的连接，则可以增加努力来发现附近的经认证的设备并与其建立连接。当处于激活过期状态565时，传感器110可以在状态570接收关机命令。例如，传感器110可以在卸载存储的测量之后接收关机命令。如果没有接收到关机命令，则在状态575，传感器110还可以检查操作时间是否已经超过最终操作阈值。最终操作阈值可以基于传感器110的电池寿命，目标是确保有足够的可用电池来执行数据的最终传输。如果超过阈值，则在状态575，传感器110转换到正常终止状态580。传感器110还可以在状态570接收到关机命令时转换到正常终止状态580。正常终止状态580对应于传感器110的最终操作并最终关闭传感器110。
135.出于说明而非限制的目的，参考如图6所示的传感器110可以采取的动作的状态机表示600的示例性实施例。图6示出了本文描述的传感器的示例性功能的状态机表示。例如，状态机表示600涉及传感器110的错误状态。传感器110可以在asic 130或通信模块140的中断请求或其他类似中断的提示下进入错误状态机。在初始化之后，在状态610，传感器110首先确定错误是否是致命错误。例如，致命错误是传感器110不能从中恢复的错误。如果错误是致命错误，则传感器110立即前进到错误终止状态650。如果错误不是致命错误，则传感器110前进到错误状态620。
136.一旦进入错误状态620，传感器110启动与传感器110已经处于错误状态的时间量相关的终止定时器。传感器110还试图通过与接收机120通信或试图与接收机120建立通信来将存储的数据卸载到更永久的存储器(例如，卸载到适用的接收机120)。在状态630，传感器110可以例如在卸载其存储的测量数据之后接收关机命令，并前进到错误终止状态650。
如果在状态630没有接收到关机命令，则在状态640，传感器110确定终止定时器是否已经超过预定阈值。预定阈值可以涉及在传感器110的电池预期耗尽之前传感器110可以尝试抢救所存储的数据的时间量。如果没有超过阈值，则传感器110保持在错误状态620。如果超过阈值，则传感器110转换到错误终止状态650。
137.错误终止状态650涉及传感器110在遇到错误后准备关闭时执行的处理。一旦进入错误终止状态650，传感器110停止终止定时器并启动新的关机定时器。一旦传感器110进入错误终止状态650，在强制关机之前，传感器110可以具有预定量的时间来操作，例如，出于安全原因可以选择该预定量的时间，例如通过触发错误或其他传感器故障来降低非法访问传感器的风险。在状态660，传感器110确定强制关机之前关机定时器是否已经达到阈值时间量。如果不是，则传感器110保持在错误终止状态650。如果关机定时器已经超过阈值，则在状态670，传感器110确定是否已经设置了高优先级禁用关机标志。如果已经设置了禁用关机标志，则传感器保持在错误终止状态650，直到该标志未设置。可以设置禁用关机标志作为传感器110从接收机120接收关机命令的结果。如果禁用关机标志未设置，则传感器终止。
138.出于说明而非限制的目的，参考如图7所示的asic 130可以采取的动作的状态机表示700的示例性实施例。图7示出了本文相对于示例性实施例描述的asic 130的功能的状态机表示700。在初始化之后，asic 130进入存储模式状态710。当nfc场接近asic 130时，asic 130转换到唤醒状态720。当asic 130附近的nfc场下降时，aisc 130返回到存储模式状态710。当处于唤醒状态时，如果在nfc场下降之前验证了一次性可编程存储器，则asic 130转换到激活序列730。而在激活序列730中，asic 130可以接收多个命令以将asic 130返回到存储模式状态710。例如，asic 130可以确定其在激活过程期间并且响应于默认的存储模式710而超时。作为另一示例，asic 130可以通过串行外围接口300接收“转到存储模式”命令。
139.而在激活序列730中，asic 130还可以通过串行外围接口300接收“转到自检”命令。作为响应，asic 130前进到自检状态740。自检电路(例如，参考内置自检)检测将医疗硬件155连接到asic 130的参考端子上的泄漏电流。在医疗硬件是分析物传感器的示例中，被测量的传感器电流可以如此之低，以至于传感器110的电路板应该被设计成减少和捕获由于少量的例如污染和水分引起的被测量电流的表面泄漏。焊剂残留物或处理可能会造成污染。在与多电极分析物传感器的不同电极的连接处(例如在工作电极连接处和在参考电极连接处)还会出现泄漏。作为设备偏移校准的一部分，可以捕获工作电极连接处的泄漏。如果泄漏水平超过阈值(例如，如果所需的偏移太大)，则可以在制造期间拒绝分析物传感器。内置自检可以用于检查在参考电极连接处的泄漏(可以用于与工作电极连接的电压进行比较)。在完成内置自检之后，asic返回到激活序列状态730。图24示出了内置自检的示例拓扑结构2400。
140.而在激活序列730中，asic 130还可以通过串行外围接口300接收“转到测量”命令。作为响应，asic 130前进到测量模式760。
141.在激活序列730或测量模式760期间，asic 130可以响应于例如检测到如本文参考图15a至图15b所述的断电而前进到恢复序列750。在边际断电的情况下，供应到asic 130的电池电压暂时下降到低于电池水平阈值稍长于标称阈值时间，该时间将足够长而使asic处
于存储模式并且不可恢复，即使电池电压最终要恢复。由于可能期望使asic 130从可能是静电放电的结果的边际断电条件中唤醒，因此asic 130可以使用中断请求(irq)引脚(例如，对应于来自通信模块140的irq警报的输入-输出引脚)来唤醒。
142.当asic 130从断电恢复时，asic 130返回到激活序列730。如果asic130在恢复序列750中时没有从断电恢复，则asic 130返回到存储模式710。
143.出于说明而非限制的目的，参考如图8所示的通信模块140可以采取的动作的状态机表示800的示例性实施例。图8示出了本文相对于示例性实施例描述的通信模块140的功能的状态机表示800。在初始化之后，通信模块140转换到active_rc状态810。当处于active_rc状态810时，如果通信模块140接收到“转到xtal命令”，则通信模块140转换到active_xtal状态820。在active_xtal状态820中，通信模块140的无线电是激活的，并且微控制器143执行应用代码(例如，未决任务)。
144.当处于active_rc状态810或active_xtal状态820时，如果通信模块140的微控制器143没有未决任务，则通信模块前进到睡眠状态830。当在睡眠状态830中时，通信模块进入低功率模式。通信模块140可以接收睡眠定时器中断请求，使得通信模块140转换回active_xtal状态820。
145.当在任何状态(例如，active_rc状态810、active_xtal状态820和睡眠状态830)中时，通信模块140接收芯片禁用命令。作为响应，通信模块140转换到禁用状态840。当处于禁用状态840时，通信模块可以接收启用命令，该启用命令使得通信模块140转换到active_rc状态810。
146.如本文所体现的，通信模块140可以通过使用通用输入输出(gpio)引脚来驱动其启用线为高，从而独立于asic 130保持其自身启用。以这种方式，通信模块140的gpio引脚可以直接短接到相应的启用引脚，该启用引脚也可以连接到asic 130的启用输出引脚。如本文所描述的，当传感器110处于保质(例如，待机或存储)模式时，通信模块140处于禁用状态840，其中所述gpio和启用引脚处于高阻抗状态，并且asic 130的启用输出引脚驱动启用线为低。在存在nfc场的情况下，当asic 130进入激活状态730以启用无线电时，asic 130最终可以驱动启用线为高。基本上同时，当通信模块通电时，gpio引脚可以短暂地被配置作为带有下拉电阻的输入。asic 130具有足够的驱动强度以在该过程期间保持启用线为高。在通信模块140已经初始化之后，gpio引脚可以被重新配置作为输出，并因此驱动启用引脚为高。如果系统遇到断电事件，即使当asic130将启用线驱动为低时，启用线也将由通信模块140的gpio保持为高，这至少部分是可能的，因为asic 130的弱低输出水平。
147.出于说明而非限制的目的，参考用于与图9a至图9b中所示的公开主题一起使用的传感器激活的过程410的示例性实施例。传感器激活过程包括asic 130和通信模块140之间的一系列事务，这可以由硬件抽象层200来促进。在激活传感器之前，asic 130处于低功率存储模式状态710。在存储模式状态710中，asic 130的电池开关打开，并且通信模块140处于待机或低功率状态。在这一点上，直到进入的rf场(例如，nfc场)驱动到asic 130的电源电压高于复位阈值，激活过程才开始，这导致传感器130进入唤醒状态720。当处于唤醒状态720时，在901，asic 130将otp数据下载到存储器131中的主寄存器中并进入激活序列状态730。在902，电池开关将被闭合，允许常规功率流向传感器110的部件。在903，asic 130通过沿spi 300声明适当的命令来唤醒通信模块140。在904，声明传递到asic硬件抽象层200，并
在905传递到通信模块140。
148.在906，通信模块140被初始化，初始化无线电148，触发开机自检970。开机自检970可以包括asic 130使用从asic存储器131的各种寄存器读取和写入数据的规定序列与通信模块140通信，以验证存储器和一次性可编程存储器没有损坏，并且asic 130和通信模块140可以成功通信。作为示例，asic 130可以由制造商用其存储器中的设备专用内容来编程，例如校准和配置数据、用于识别asic 130的唯一值等。在传感器110的制造期间，asic 130的设备专用信息也可以被写入通信模块140的存储器并被验证。在开机自检970期间，可以使用设备专用信息作为从asic存储器131读取的对象数据。具体地，可以由通信模块140读取设备专用信息，并与先前存储的设备专用信息进行比较，以确保数据完整性。如果比较指示没有错误，则完成开机自检。如果确定数据中存在差异，则传感器110可以触发错误终止状态650。在907，通信模块140启动激活定时器。在908，asic 130发送库存响应。
149.在909，asic 130接收进入的nfc请求。在911，asic 130通过在910处通过asic硬件抽象层200声明irq引脚来向通信模块140通知进入的nfc请求，该irq引脚被传递到通信模块140上。在912，通信模块140请求读取包含irq状态的寄存器。asic硬件抽象层200在913处将适当格式化的请求传递给asic 130，asic 130在914处通过asic硬件抽象层200在915处返回irq状态数据。在916，传感器110接收nfc命令和有效载荷，并且在917，在918处清除irq之前回复nfc命令。在919，通过asic硬件抽象层200，传感器将适当的数据写入指定的寄存器。
150.仍然参考图9b，920至931示出了经认证激活请求的示例性处理。在920，asic 130接收进入的nfc请求。在922，asic 130通过在921处通过asic硬件抽象层200声明irq引脚来向通信模块140通知进入的nfc请求，该irq引脚被传递到通信模块140上。在923，通信模块140请求读取包含irq状态的寄存器。asic硬件抽象层200在924处将适当格式化的请求传递给asic 130，asic 130在925处通过asic硬件抽象层200在926处返回irq状态数据。在927，传感器110接收nfc命令和有效载荷。在928，通信模块140认证激活请求。在929，传感器在930处清除irq之前回复nfc命令。在931，通过asic硬件抽象层200，传感器将适当的数据写入asic存储器131中的指定的寄存器。
151.继续参考图9b，930至944示出了用于在接收到另一nfc命令之后前进到测量模式状态760的示例性过程。在932，asic 130接收进入的nfc请求。在934，asic 130通过在933处通过asic硬件抽象层200声明irq引脚来向通信模块140通知进入的nfc请求，该irq引脚被传递到通信模块140上。在935，通信模块140请求读取包含irq状态的寄存器。asic硬件抽象层200在936处将适当格式化的请求传递给asic 130，asic 130在937处通过asic硬件抽象层200在938处返回irq状态数据。在939，传感器110接收nfc命令和有效载荷。在940，传感器在941处清除irq之前回复nfc命令。在942，通过asic硬件抽象层200，传感器将适当的数据写入asic存储器131中的指定的寄存器。此外，在943，通信模块140发出进入测量模式状态760的命令。在944，通过将命令写入适当的寄存器，将命令传递给asic 130。asic 130然后转换到测量模式状态760，而通信模块140转换到插入检测状态525。
152.出于说明而非限制的目的，参考用于与图10中所示的公开主题一起使用的插入检测的过程420的示例性实施例。最初，例如并且如本文所体现的，asic 130处于测量模式状态760，并且通信模块处于插入检测模式525。当asic 130第一次进入测量模式760时，执行
插入检测序列，以在可以进行适当的测量之前验证传感器110已经被适当地安装到患者的身体上。在1001，通信模块140发出命令以激活测量配置过程。在1002，asic硬件抽象层200发出命令以在asic 130中设置命令寄存器，从而使asic130进入测量命令模式。在1003，asic数字部分310将命令转换为驱动预定寄存器中的适当工作偏置电压。传感器110暂停，并且通信模块1005在设置工作偏置电压之后等待计数器驱动环路稳定。然后，传感器110暂时进入测量生命周期状态430，以运行预定数量的连续测量，以测试是否已经成功插入。在1005，通信模块140评估测量结果以确定插入成功。在1007，当认为插入成功时，传感器110进入测量生命周期430，其中传感器110开始进行常规测量(例如，温度、葡萄糖和反电位)。
153.在1006，如果传感器110确定插入不成功，则传感器110被触发进入插入失败模式，其中asic 130被命令回到存储模式710，而通信模块140禁用其自身。在某些实施例中，插入失败模式首先确定是否已经建立通信连接(例如，与适用的接收机120的蓝牙连接)。如果存在现有连接，则接收机120发送用于传感器110返回到存储状态的命令。如果不存在现有连接，或者连接丢失，则传感器110等待预定时间段以建立连接，从而允许传感器110从接收机120接收转到存储状态命令。如果经过预定时间段而没有成功连接，则传感器110进入存储状态。
154.出于说明而非限制的目的，参考用于与图11中所示的公开主题一起使用的测量生命周期430的过程的示例性实施例。asic 130在测量模式状态760中开始测量生命周期430。测量序列以irq状态、先前测量结果、模式状态、异常值状态、测量配置和其它寄存器的突发读取开始。通信模块140检查这些数据的应用完整性，以确保传感器110能够执行下一次测量。例如，在1101，通信模块发出获得先前测量结果的请求。在1102，asic硬件抽象层200格式化并发出命令以从asic存储器131的相关寄存器读取适当的数据。在1103，当spi时钟切换时，asic数字部分310在1104通过asic硬件抽象层200将来自寄存器的数据提供给通信模块140。在图11中，1105至1108示出了用于确保asic 130寄存器中的值的一致性的过程。在1105，通信模块发出检索寄存器数据的请求。在1106，asic硬件抽象层200格式化并发出命令以从asic存储器131的相关寄存器读取适当的数据。在1107，当spi时钟切换时，asic数字部分310在1108通过asic硬件抽象层200将来自寄存器的数据提供给通信模块140。
155.在测量生命周期430期间，如本文所描述的，可以检测到asic断电，并且传感器可以转换到断电处理过程1400。如果在测量生命周期430期间，传感器110确定活动模式不是测量模式，则传感器110确定其由于意外错误而进入测量生命周期430，并转换到错误终止状态650。如果通信模块140确定asic寄存器和测量配置信息中的不匹配，则在1109，通信模块140启动测量错误处理过程，例如本文关于图16a至图16b描述的测量错误处理过程。如果在启动如下所述的测量序列之前，当前测量没有被设置为0，则通信模块1110激活异常值过滤器模式。在1112，asic硬件抽象层200将异常值命令写入asic数字部分310，这使得asic 130在1112启用异常值过滤器。
156.在1113，由通信模块140在测量模式下发出“开始测量”命令来启动asic测量序列。在1114，asic硬件抽象层200向asic数字部分310写入开始测量命令，asic数字部分310又在1115处指示asic 130开始测量过程。在测量过程期间，在1116，asic 130将asic 130内的测量状态标志设置为“忙碌”。因此，如果asic 130在测量序列正在进行时接收到另一个“开始测量”命令，则asic 130忽略该新命令。asic 130通过afe139执行测量(例如，温度测量、传
感器电流测量、反电位测量)。例如，如本文所体现的，测量序列可以遵循响应于每个接收到的“开始测量”命令从一种类型的测量前进到另一种类型的一组测量模式。例如，患者皮肤温度测量可以先于传感器电流测量，传感器电流测量可以先于反电位测量。可以以任何合适的顺序执行测量，并且可以被配置为促进结果数据的高效处理。如本文所体现的，asic测量序列器可以具有用于确定每次测量的采样率和采样数量的可配置字段。作为示例，可以将采样频率设置为从约8hz到约703hz的各种频率中的一个，优选地组合为16hz。类似地，每次测量的样品数量可以设置为从每次测量约1个样品到每次测量约10000个样品或更多的各种量中的一个，优选地量为每次测量约512个样品。例如但不限于，可以在制造时配置这些字段，或者可以在由特定患者使用之前或在使用时(例如，由患者或医疗专业人员)进行更新。所使用的配置设置可以确定成功执行测量所需的时间、检索数据的分辨率或收集的离散样本的数量。测量完成后，测量数据稳定，并且测量状态标志设置为“空闲”，允许接收额外的“开始测量”命令。如本文所描述的，通信模块140而不是asic 130可以基于收集的测量来处理结果数据。
157.出于说明而非限制的目的，参考用于与图12中所示的公开主题一起使用的测量、计算和传输单个测量的过程1200的示例性实施例。如本文所体现的，每个激活任务可以一次执行一个，没有重叠，并且以预定义的顺序执行。可替代地，如果合适，本文描述的激活任务可以并行地或至少部分并行地执行。测量周期1200开始于传感器110转换到测量任务1210，例如测量生命周期430。在测量任务1210之后，传感器110执行算法任务1220，例如分析由传感器110报告的原始测量数据并使用适当的算法来计算与医疗硬件155的类型相关的数据(例如，计算血糖水平)。在算法任务1220之后，传感器110执行数据记录任务1230，例如将算法任务的结果存储在要检索和传送的适当日志中。在数据记录任务1230之后，传感器110执行通信任务1240，例如将算法任务的一个或多个结果传送到接收机120或其他设备。如本文所体现的，asic 130可以假设通信模块140总是能够及时响应命令。因此，asic 130将有效载荷数据与任何可用的内容组装在一起。然而，在一些情况下，当在接收机120有时间准备对先前命令的响应之前从asic 130接收到有效载荷时，接收机120可以锁定。因此，如本文所体现的，如果通信模块140不能及时提供响应，则可以防止asic 130发送任何响应。以这种方式，接收机140可以重新发送命令并避免锁定。
158.在通信任务1240之后，传感器110执行结果处理任务1250，例如将结果和测量存储到长期存储器中，将结果集成到趋势计算中，等等。在结果处理任务1250之后，传感器110执行操作时间任务1260，例如递增内部管理的操作时间变量，该变量用于跟踪传感器进行的测量的数量和传感器110已经使用的时间量。例如，传感器110可以被配置为仅执行阈值数量的测量和测量周期，因为用于测量例如患者的血糖水平的化学过程只能在特定数量的测量或时间量内是稳定和准确的。在1270，传感器110可以确定操作时间是否低于寿命终止(eol)阈值。如果是，则传感器110可以返回到测量任务1210。在传感器110已经完成一个序列之后，传感器110可以等待预定义的时间间隔以再次执行序列1200。然而，如果操作时间变量处于或已经超过eol阈值，则测量过程1200可以终止。
159.根据所公开的主题的其他方面，本文描述了用于处理在传感器110的操作期间可能发生的各种错误条件的部件和技术。错误处理技术可以包括，例如但不限于，中断请求(irq)处理、断电恢复、测量状态错误处理和硬件dq、测量结果错误处理和应用错误处理。
160.出于说明而非限制的目的，参考用于与图13中所示的公开主题一起使用的irq处理1300的示例性实施例。例如但不限于，irq处理1300可以涉及处理asic断电和进入的nfc命令。在1310，在接收到中断请求时调用irq处理器。例如，响应于nfc命令、断电复位、断电恢复和电源监测条件的存在，可以提示中断请求，如本文所描述的(例如，见图14至图16b)。如本文所体现的，用于电源为低或再次返回高的标志以及nfc命令可以被屏蔽寄存器屏蔽，因此irq线将不会被屏蔽的诊断提升，并且相应的irq状态寄存器将不会被设置。附加地或可替代地，屏蔽中断触发器还可以防止irq线被拉高，同时允许设置其相应的irq状态寄存器。
161.在1320，传感器110评估通过irq上拉发送的信号。例如，irq上拉可以评估某些寄存器，并确定是否有通信错误的标志和断电事件的指示。如果存在断电事件，则在1350，调用本文描述的断电处理过程。在1350之后，在1360，取消下一个测量的资格。然后，irq处理方法1300终止。如果在1320，寄存器指示已经启动nfc命令(例如，如果nfc场已经被带入asic 130的通信范围)，则在1330，调用本文描述的处理nfc命令的过程。在处理nfc命令之后，在1340，清除未决nfc命令寄存器。然后，irq处理1300终止。
162.低于指定复位阈值的电池电压下降可以导致asic 140声明irq，导致启动irq处理1300。在这种状态下，asic 130处于复位状态，并且不会对命令作出响应。断电被定义为电池供电电压v
bat
的短暂中断。断电的持续时间被定义为v
bat
低于复位阈值和v
bat
返回高于释放阈值之间的时间。asic 140能够从中恢复的断电持续时间可以至少部分地基于在断电事件期间经历的最低v
bat
水平而变化。
163.仅出于说明的目的，参考图14中所示的图表来说明和描述用于断电恢复的示例性技术。图表1400示出了具有两个轴的图表，标记为v
bat
的纵轴对应于由asic 130接收的电池供电电压，并且标记为断电时间的横轴对应于经过的时间量。v
bat
轴包括多个分界点。第一点v
th,off
对应于定义的阈值，用于确定电池供电电压的下降是否为显著下降。例如，阈值可以被定义为标称电源电压的百分比(例如，40％、50％、60％等)。轴上的第二点v
th,reset
对应于定义的阈值，用于确定是否已经返回足够量的电池供电电压以允许在某些情况下的断电恢复。沿着断电时间轴，标记单个点t
brownout_threshold
，其对应于在恢复风险大于预定容差之前asic 130经历断电的时间量。这些阈值在轴上的关系创建了多个区域1410、1420、1430和1440，这些区域定义了asic 130响应于断电的潜在行为。区域1410对应于正常操作，其中电池供电电压可以波动，但不会下降到低于v
th,off
。在操作区域1410中，aisc将从断电事件中恢复,与断电持续时间无关。区域1420对应于电池供电电压下降到低于v
th,off
，持续时间小于t
brownout_threshold
。在操作区域1420中，asic将如本文所描述的进行恢复。为了清楚起见，区域1430对应于其中asic 130已经处于存储模式710的情况，这降低了对电池供电电压水平的消耗，直到接收到唤醒命令。区域1440对应于电池供电电压水平下降到低于v
th,off
，持续时间大于t
brownout_threshold
。区域1440可以被认为是未定义的环境，其中asic 130可以恢复或不能恢复，在这种情况下，asic 130进入强制存储模式以保护测量数据。
164.出于说明而非限制的目的，参考用于与图15a至图15b中所示的公开主题一起使用的测量断电处理1350的过程的示例性实施例。出于说明而非限制的目的，断电处理1350可以用于处理在通信模块140处于睡眠模式时可能发生的断电。在1501，asic 130向通信模块140指示irq已经被接收并且必须被处理。例如，asic 130可以在asic 130的指定寄存器上
设置值，该值由通信模块140读取。在1502，如果需要，asic 130还向通信模块140发送唤醒命令。在1503，通信模块140从asic 130的适当寄存器读取irq状态。在1504，asic 130向通信模块发送irq状态数据。如果irq状态指示irq是通信错误(例如，不是断电事件)的结果，则在1505，通信模块140启动与阈值恢复时间相关联的定时器。阈值恢复时间(例如，10ms+/-2ms)可以被选择并用于避免不必要地引起错误终止。如果asic 130未能在阈值时间量内恢复，则传感器110前进到错误终止状态650。如果asic 130在阈值时间量内恢复，则在1506，asic修改irq以指示其已经恢复。在1507，asic 130触发与通信模块的连接请求，并且在1508，再次修改irq。然后，asic 130继续执行本文描述的激活序列730以刷新其自身。在1509，通信模块从asic 130的适当寄存器读取irq状态。在1510，asic 130向通信模块140发送irq状态数据。在1511，通信模块140清除断电标志，该断电标志可以在激活序列期间或在asic 130接收irq之前设置。在1512，asic 130重置irq。然后，传感器110使asic 130重新初始化，使得传感器130可以完全恢复。
165.现在参考图15b，如果在1504之后，通信模块140确定irq是断电事件的结果，则asic 130被设置到状态730，其中它执行激活序列。然后，在1513，通信模块清除对应于断电事件的标志。作为响应，在1514，asic130修改irq寄存器以指示标志已被清除。然后，传感器130使asic 130重新初始化，使得asic 130可以恢复。然后，将asic 130设置为测量模式状态760。
166.除了中断请求之外或作为中断请求的替代，传感器110可以被配置为在操作期间处理诊断和测量错误。诊断可以分为三个类别。运行时诊断发生在整个操作期间，包括对每个测量周期进行的循环测试。例如但不限于，运行时诊断可以包括电源的实时监测。启动诊断可以相对不频繁地发生，例如当传感器110被激活时或在激活后不久。在制造期间进行的制造诊断可以确认，例如但不限于，传感器110是正确构建的，没有故障或缺失的部件，和/或根据设置的阈值范围进行校准。
167.运行时诊断包括测量诊断。在本文描述的实施例中，如果运行时诊断失败，则与诊断失败相关联的相应数据用数据质量错误代码标记，并且可以被搁置并且不用于计算。仅作为示例，数据质量错误代码可以被分配来表示，例如但不限于：如果asic 130在测量期间检测到低电池供电电压；如果测量值高于或低于异常值阈值；如果在测量模式中检测到nfc场；如果在测量期间检测到断电；如果asic 130寄存器或测量配置值不匹配；如果与医疗硬件155相关联的电压在正常操作范围之外；如果检测到插入失败；以及其他相关事件。对检测到数据质量错误代码的响应可以包括拒绝当前测量数据、拒绝一个或多个未来测量周期的测量数据、或者拒绝测量数据直到传感器130肯定地移除数据质量错误代码。
168.运行时诊断进一步包括与asic 130相关联的附加运行时诊断，其中一些在上面的讨论中被引用。这些运行时诊断包括在asic 130处于测量模式状态760时nfc场的检测。nfc场的检测设置了由传感器110使用的标志，该标志可以在新测量开始时被清除。asic 130进一步包括电源监测器137，其监测沿着电池150和asic 130之间的各种连接的电压水平。这些连接包括经由nfc rf场提供的电力、来自电池150的标准电源和反相电荷泵电源。电源监测器137可以设置指示功率下降和恢复功率的标志，其可以包括声明中断请求。asic 130可以包括外部热敏电阻，以充当温度监测器来确定当前温度是否在asic 130的操作温度范围之外。如果温度在目标范围之外，则可以设置标志以潜在地导致asic 130停止操作以保护
asic 130和电池150。
169.附加地或可替代地，可以基于监测从医疗硬件155(例如，分析物传感器)的各种电极读取的电流和电压的asic 130的模拟前端139来导出诊断。图23示出了模拟前端139的示例图2300，其示出了分析物传感器2310和传感器110的pcb 2320之间的模拟前端139的功能。如本文所体现的，图23示出了工作电极2312、参考电极2314和反电极2316，其中分析物感测元件2318位于工作电极2312和参考电极2314之间。由模拟前端139用带隙参考电压vbg驱动反电极，然后在提供给参考电极2314之前对其进行调节。分析物感测元件2318向工作电极2312提供附加电压。工作电极2312处的电压和在参考电极2314处的电压之间的差，称为平衡电压，用于确定存在的分析物的量。还监测在参考电极2314处的电压。在工作电极2312、参考电极2314和反电极2316中的每一个之间可以是一个或多个附加电阻源(未示出)，例如将传感器电极连接到具有传感器连接器的连接点的迹线的电阻以及从pcb连接器到电子器件的电阻。pcb可以包括跨阻放大器2322，其可以包括从带隙参考电压vbg的可编程偏移。跨阻放大器可以将来自工作电极的电流信号转换成输出电压，然而，必须去除共模电压(例如，wrk)才能确定真实的测量结果。在替代实施例中，可以使用如图26中所示的差分放大器2600。注意，对于差分放大器2600，电阻器之间必须精确匹配才能起作用。
170.在替代实施例中，传感器110可以包括多个工作电极。图25示出了传感器110的配置的示例。如本文所体现的，图25示出了包括具有第一工作电极电流2511(wrk 1)和第二工作电极电流(2512(wrk 2)的分析物传感器2510的示例电路2500。分析物传感器2510进一步包括类似于在分析物传感器2310中设置的参考电极2514(ref)和反电极2516(ctr)。如图23中所示，来自每个工作电极的电流可以被馈送到跨阻放大器2522和2523。每个跨阻放大器可以包括从带隙参考电压vbg的独立可编程偏移。跨阻放大器可以将来自工作电极的电流信号转换成输出电压。在替代实施例中，可以使用如图26中所示的差分放大器，然而，必须去除共模电压(例如，wrk)才能确定真实的测量结果。在替代实施例中，可以使用一个或多个差分放大器，例如图26中所示的差分放大器2600。
171.如本文所体现的，模拟前端139可以被配置为监测至少来自工作电极(例如，工作电极2312)和反电极(例如，反电极2316)的电流和电压。模拟前端139可以监测低工作电流。模拟前端139或asic 130可以被配置有最小工作电流阈值，该阈值是在分析物传感器已被插入患者体内之后传感器110继续操作所需的。此外，模拟前端139可以特别地在用户插入传感器之后的预定时间段内监测低工作电流。除了监测最小工作电流阈值的工作电流之外，模拟前端139和asic 130可以监测目标工作电流值的阈值范围内的工作电流值。模拟前端139可以进一步监测高工作电流。模拟前端139或asic 130可以被配置有最大工作电流阈值，该阈值对应于低于分析物传感器饱和度的值，在该点处不能认为传感器值是准确的。模拟前端139可以进一步监测低反电极电压。具体地，工作电极和反电极之间的分析物传感器电压可以通过伺服放大器来维持，该伺服放大器例如响应于来自参考电极的负反馈来调节反电极处的电压。当分析物传感器的条件改变时，反电极电压自动调整以将参考电压维持在预定量，其可以用于将目标平衡电压维持在合适的范围内。模拟前端139或asic 130可以被配置有最小反电压阈值，该阈值是分析物传感器继续正确操作所需的。模拟前端139可以进一步监测高反电极电压。具体地，因为分析物传感器部分地通过测量工作电极和反电极之间的电压差来工作，所以为了使分析物传感器正常工作，来自反电极的电压可以不高于
工作电极。模拟前端139或asic 130可以被配置有适当的最大反电压阈值。这些模拟前端诊断检查可以用于评估分析物传感器故障模式，包括传感器连接问题。
172.可以使用硬件强制或可编程平衡电压源来维持平衡电压。可编程平衡电压源的目的是偏置工作电极和参考电极之间的电压差，以确保测量范围在适用于分析物测量的目标范围内。为了用硬件强制平衡电压源改变平衡电压，设置平衡电压的电阻器网络必须重新计算为新的预期平衡电压并改变。因此，为了改变平衡电压，电路板被拆卸并且电阻器被替换为新的值，这可能是不方便的，例如如果具有合适值的电阻器不可用。因此，可编程平衡电压允许灵敏度分析物传感器在分析物传感器的寿命期间根据开发条件进行调节。例如，可以由微处理器控制产生平衡电压的电路，该微处理器可以通过经由微处理器的dac引脚输出必要的电压来设置平衡电压。这允许快速和自动校准平衡电压。dac设置可以通过软件例程进行优化，并存储以供以后使用。
173.图27示出了可以用作可变浮动平衡电压发生器的示例电路。如图27中所示的电路2700使用四个电阻器2711、2712、2713和2714、n沟道mosfet 2720和两个运算放大器2731和2732，一个用作电流源2731，另一个用作反相放大器2732。由来自微处理器的dac1 2741和dac2 2742引脚设置平衡电压。运算放大器2732将会将来自dac2 2742的电压反相为等于负的dac2 2742的电压。运算放大器2731被配置作为用运算放大器的正输入编程的电流源。“平衡高”2751和“平衡低”2752之间的差异是平衡电压，并且由流过电阻器2711的电流控制(如图28中所示)。“平衡高”2752处的电压由图28所示的放大器驱动，该放大器还控制传感器工作电极处的电压。运算放大器2731和mosfet 2720将控制2760处的电压，使得其等于2761处的电压。电阻器2712两端的电压由dac1 2711和dac2 2712的设置控制。流过电阻器2712的电流与流过电阻器2711的电流相同。以这种方式，可以独立于wrk处的电压来控制平衡电压。利用该电路，如果由于传感器电流的变化而需要改变wrk处的电压，则即使wrk处的电压改变，平衡电压也将保持不变。
174.图28示出了具有浮动可变平衡电压电路(例如，电路2700)的测量配置中的传感器的示例配置。从wrk电极和ref电极测量的平衡电压将等于从平衡高和平衡低测量的电压。如本文所描述的，分析物传感器2710是具有在使用期间与分析物传感器反应的化学物质的传感器。
175.图29示出了具有浮动可变平衡电压电路(例如，电路2700)的校准配置中的传感器的示例配置2900。在校准期间，模拟分析物传感器2910可以与两个电阻器2911和2912一起使用，如图29中所示。数字电压表(dvm)2920将测量wrk和ref之间的电压，并将测量结果反馈给微处理器2930，以调整dac1和dac2，并使平衡电压达到所需值。在传感器测量配置中，平衡电压将在校准期间预先设置，并且wrk运算放大器将提供图27的电阻器2711两端的电流。
176.当分析物传感器2810附接到图28中的电路2800时，在wrk 2821和ref 2821之间连接的传感器部分将在其与分析物接触时产生电流。可变平衡电压可以允许传感器通过调节正域和负域中的无功电流来检测各种分析物。电流将通过z
ctr 2831和r
meas 2832向下流动。ctr电极2823处的电压将根据分析物传感器2810产生的电流而变化，因此ref电极2822处的电压将根据流过r
meas 2832和z
ctr 2831的电流而变化。正是由于这个原因，需要浮动平衡电压。ref运算放大器2842的反馈环路包括wrk运算放大器2842和电阻器2711。ref运算放大器
2842的电压输出到达wrk运算放大器2841的正极端子，这将导致输出调整wrk运算放大器2841的负极端子以匹配正极端子，ref运算放大器2842的反馈环路继续通过电阻器2711，其电压将等于数字设置的平衡电压。由于该反馈环路，ref电极2822和wrk电极2821处的电压将因电阻器2711两端的电压而不同，该电压是由微处理器2850设置和校准的平衡电压。
177.图30示出了浮动可变平衡电压电路3000的替代配置。该电路包括三个单电源运算放大器或运算放大器3010、3011和3012、一个nmos晶体管3020、一个pmos晶体管3025、一个电容器3030和三个电阻器3040、3041和3042。注意，如在本公开和附图中使用的，标签wrk指的是工作终端所在的位置。标签ref是参考端子连接的地方。dac1 3051和dac2 3052表示来自微控制器或独立dac部件的两个dac输出。为了使传感器正常工作，重要的是没有电流流过ref端子。因此，将ref连接到运算放大器3011的非反相输入确保了该端子处的高阻抗节点。在稳态操作中，运算放大器3012的反相输入将与ref处的电压相匹配。结果，电阻器3041两端的电压成为平衡电压。运算放大器3012、电阻器3041和电容器3030的电路配置也被称为跨阻放大器，其将电流转换为电压。包括运算放大器3010、运算放大器3011、nmos晶体管3020、pmos晶体管3025、电阻器3040和电阻器3042的双向电流源产生由dac1 3051和dac2 3052处的值确定的电流。当该电流流过电阻器3041时，在wrk和ref之间形成平衡电压。换句话说，平衡电压与双向电流源产生的电流成线性比例。为了产生正平衡电压，dac1 3051将被设置为vdd(例如，3v)以关断pmos晶体管3025。运算放大器3010将驱动nmos晶体管3020以产生大约等于dac2 3052处的值除以电阻器3040处的值的平均电流。相同的电流流过电阻器3041，因此平衡电压等于dac2 3052处的值除以电阻器3041和3040处的值的乘积。另一方面，如果需要负平衡电压，则dac2 3052被设置为0v，因此nmos晶体管3020将被关断。这种情况下产生的电流等于vdd减去dac1 3051处的值除以电阻器3042处的值。此时，所产生的电流将以相反方向流过电阻器3041，从而产生负平衡电压。现在，ref电压高于wrk电压。
178.图31至图34示出了浮动可变平衡电压电路的各种替代配置。图31中所示的电路3100包括四个单电源运算放大器3110、3111、3112和3113，四个电阻器3120、3121、3122和3123，两个电容器3130和3131，以及两个晶体管3140和3141。运算放大器3110、电阻器3120和电容器3130被配置在第一跨阻放大器中，而运算放大器3111、电阻器3121和电容器3131被配置在第二跨阻放大器中。由于高阻抗，这种配置确保ref端子处的泄漏最小。电阻器3122和3123可以是本文所讨论的可编程dac源，或者可以是外部电阻器。注意，这种配置只能产生具有正极性的平衡电压。
179.图32中所示的电路3200包括一个运算放大器3210、两个电阻器3220和3221、dac源3230、3231和3232。一个dac源3232偏置ref端子。dac源3231偏置wrk端子。该dac源3231可以使用本文描述的技术在ref电压之上或之下变化，以实现正和负平衡电压。与其他一些配置相比，这种配置具有更少的部件数量，但在这种配置中，wrk端子电压无法跟踪ref端子处的变化，这可能会影响传感器的精度。
180.图33中所示的电路3300包括两个运算放大器3310和3311、两个电阻器3320和3321、电容器3330、晶体管3340和复用器/解复用器3350。利用复用器/解复用器3350，wrk和ref端子可以编程交换以产生具有双极性的平衡电压。vref 3355可以是指dac输出或参考电压(例如，使用外部电阻器来改变平衡电压)。这种配置包括更多的部件，并且可能会增加功耗并增加泄漏风险。
181.图34中所示的电路3400包括运算放大器3410、电阻器3410和3411，并具有负增益的ref端子3420的特征。在这种情况下，wrk端子处的电流等于ref端子处的电流加上两倍vref。注意，这种配置虽然简单，但ref端子处具有低阻抗。因此，电流可能会导致测量不准确。
182.异常值过滤器可以集成到asic 130的数字信号处理模块中，并且可以用于在处理结果之前监测未决测量。异常值过滤器可以通过将未决结果与来自上一个周期的要报告的结果进行比较来将当前结果与最近过去的结果(例如，紧接在前的结果)进行比较。如果当前结果被识别为异常值(例如，偏离先前的结果)，则移除该结果。作为示例，要从具有异常值的周期中报告的结果可以用先前的结果替换，用新的测量覆盖，或者用指示存在异常值错误的默认值替换。可以在测量处理期间存储和检索对于每个测量周期记录的异常值的数量。可以为每个样本报告异常值，其中测量包括多个样本的组合。asic 130的数字信号处理模块还可以包括平均过滤器，其计算来自单个测量序列的所有样本的平均值。
183.出于说明而非限制的目的，参考用于与如图16a至图16b所示的公开主题一起使用的测量错误处理的流程图1600的示例性实施例。在1605，传感器110确定温度测量结果是否低于预定阈值t
th
(例如，19摄氏度)。如本文所体现的，传感器110被配置为在特定温度范围内操作。例如，为了保护传感器110的电池或传感器110的医疗硬件155，传感器110可以选择性地禁用某些部件。如果温度测量结果低于阈值量，则传感器110前进到1615，其中传感器禁用使用通信模块140的通信。如果温度测量结果处于或高于阈值量，则传感器110前进到1610，其中启用通信。传感器110从1610或1615前进到1620，其中传感器110确定asic 130或通信模块140当前是否繁忙(例如，是否存在优先于处理当前测量的未决任务)。如果是，则传感器110转换到错误终止状态650，并且该过程随后结束。
184.否则，传感器110从1620前进到1625，其中传感器110取消最近记录的测量的资格。由于检测到数据质量错误，传感器110开始，因此，由于本文描述的原因，可以至少部分地由于硬件故障而阻止使用测量。传感器110从1625前进到1630，其中传感器110确定asic 130是否遇到了断电(例如，检测asic 130的断电标志是否已经在asic存储器131的适当寄存器中设置)，或者asic存储器131的寄存器是否与在asic 130或通信模块140的一次性编程期间设置的预定值不匹配。如果这些条件都不为真，则传感器110前进到本文关于图16b描述的1650。如果任一条件为真，则系统前进到1635。
185.在1635，传感器110递增对应于在1630中确定的故障的计数器。例如，如果asic 130已经遇到断电，则传感器110递增断电计数器。如果asic 130具有寄存器不匹配，则传感器110递增不匹配计数器。在1635，传感器110将计数器的当前状态与阈值进行比较。如果数据质量故障计数器(例如，断电计数器或不匹配计数器)中的任何一个满足或超过阈值，则传感器将前进到错误终止状态650，并且测量错误处理1600终止。仅作为示例，至少部分地因为传感器110对asic断电是相对稳健的，并且定义了用于恢复的过程，所以可以将断电计数器阈值设置为相对高的值(例如，100、128、150、200、255)。相反，至少部分是因为不匹配将是罕见的，并且可能指示已经发生了更严重的错误或者已经检测到试图篡改，所以不匹配计数器阈值可以相对较低(例如，1，3，5，10)。如果没有阈值被满足，则传感器110前进到1640，其中传感器110使asic 130被重新初始化(例如，使asic 130进入激活序列状态730)，这将重置asic 130中的数据。在1645中，传感器110还取消下一次测量的资格，以确保在患
者的测量中不包括携带错误。然后，测量错误处理1600终止。
186.现在参考图16b，在1630，传感器110确定没有asic 130断电或寄存器不匹配，并且在1650，传感器110复位用于断电或寄存器不匹配错误的计数器。传感器110可以被编程为跟踪重复性错误，因为它们是传感器110的重大故障的指示符。如果传感器110已经进入测量错误处理方法1600，并且故障不是由于断电事件或寄存器不匹配，则传感器110可以转而继续诊断问题并相应地响应。在1655，传感器110确定来自asic 130电源或反相电荷泵电源的电压是否低于阈值。当asic 130的电源监测器137调节电源时，可以检测到这些。如果电源或反相电荷泵电源下降到低于设置阈值，则电源监测器137可以设置由传感器110读取的标志。如果检测到这些错误中的一个，则在1665，传感器110递增指定电源错误的计数器。如果这两个错误都没有被检测到，传感器100转而前进到1660，其中计数器被复位。在1675，传感器110处理在检测到测量错误之前已经导出的结果数据。
187.传感器从1665前进到1670，其中传感器110将电源计数器的当前状态与阈值进行比较。如果电源计数器满足或超过阈值，则传感器110将进入错误终止状态650，并且该方法将终止。仅作为示例，电源计数器阈值可以被设置为试图在正常操作期间估计这些类型的电源错误的发生的值，使得如果电源计数器阈值高于阈值，则可能发生错误。如果还没有达到阈值，则传感器110前进到1675，其中传感器处理在检测到测量错误之前已经导出的结果数据。
188.传感器110从1675前进到1680，其中传感器确定由asic 130的电源监测器137设置的低电压标志是否仍然被设置。如本文所体现的，低电压标志可以包含由电源监测器137响应于确定电压在预定持续时间内未能满足预设阈值而设置的寄存器值。因此，不一定在所有情况下都设置该标志。如果设置了该标志，则传感器110前进到1685，其中传感器110在该方法终止之前复位或清除该低电压标志。如果未设置低电压标志，则该方法简单地终止。
189.附加地或可替代地，如本文所体现的，在传感器110初始化期间可以遇到中断请求。通常，可以忽略触发中断请求的条件，并且可以清除相应的irq状态标志。例如，如果在电池开关闭合之前(例如，在传感器110初始化完成之前)触发低电压或再次高电压标志，则该标志反映从附近的nfc场而不是从电池获取能量的asic电源的状态。在初始化期间，可以通过清除它们的寄存器来忽略这种中断。如果在这种情况下检测到nfc命令，则可以清除相应的寄存器，例如允许应用程序或接收机120重新发送nfc命令。在通信模块140在初始化期间检测到断电事件的情况下，至少因为asic 130可以再次触发相同的中断，所以可以清除相应的寄存器。如果再次检测到断电，则通信模块完全唤醒，因此可以通过正常的断电序列来处理它。
190.出于说明而非限制的目的，参考用于与图17中所示的公开主题一起使用的处于错误终止状态650的传感器110的过程的示例性实施例。当发生不可恢复的错误时，传感器110可以进入错误终止状态650。当在插入失败状态540、激活配对状态555或激活过期状态565中检测到错误时，传感器110可以在关闭之前保持在错误终止状态650中一段固定的时间，其中启用通信模块140接口，使得可以将来自传感器110的剩余数据发送到接收机120。如果先前没有建立与经认证的接收机120的通信会话或通信连接，则传感器130可以在重复的基础上通告，直到连接成功。例如，传感器110可以每分钟通告一次，直到建立连接，而不会显著影响电池容量。在错误终止状态650中，传感器110可以在通过禁用通用输入-输出引脚上
的活动来禁用系统之前等待短时间段(例如，10分钟)，例如在传感器110终止自身之前允许与通信模块140进行通信以用于调试目的。相反，可以在没有这样的等待时间的情况下配置正常终止状态580。
191.如本文所描述的，传感器110在遇到不可恢复的错误时进入错误终止状态650。在1701，通信模块140将错误和相关事件记录在适当的日志中。通信模块140还激活定时器来记录传感器110试图卸载所有数据的时间量。通信模块递增定时器，同时重复评估是否已经建立了使用通信模块140的与经认证的接收机120的连接。在1702，如果没有建立连接，则通信模块尝试在重复的基础上(例如，通过每分钟通告)建立连接。在1703，如果已经建立了连接，则通信模块140和asic硬件抽象层尝试将测量数据从传感器110上传到接收机120。通信模块140可以重复1702和1703，直到定时器到期或所有未决数据已经上传。一旦定时器到期或所有未决数据已经上传，在1704，通信模块140通过asic硬件抽象层200向asic 130发送“转到存储模式”命令，asic硬件抽象层200在1705通过将命令写入适当的寄存器来重新格式化命令并将命令转发到asic 130。然后，asic130进入存储模式515。在1706，通信模块140进入最终错误终止状态。在1707，通信模块1707等待预定时间段。在1708，通信模块140通过闭合传感器110的通用输入-输出引脚来终止传感器110。
192.出于说明而非限制的目的，参考用于与图18中所示的公开主题一起使用的处于正常终止状态580的传感器110的过程的示例性实施例。当传感器110已经达到其预期的操作结束时，例如当操作时间已经达到其阈值时，或者当接收到肯定的关机命令时，传感器110进入正常终止状态580。在1801，通信模块140将任何先前的事件记录在适当的日志中。通信模块140还激活定时器来记录传感器110试图卸载所有数据的时间量。通信模块1140递增定时器，同时重复评估是否已经建立了使用通信模块140的与经认证的接收机120的连接。如果先前没有建立与经认证的接收机120的通信会话或通信连接，则传感器130将在重复的基础上通告，直到它成功。在1802，如果没有建立连接，则通信模块140尝试在重复的基础上(例如，通过每分钟通告)建立连接。在1803，如果已经建立了连接，则通信模块140和asic硬件抽象层200尝试将延迟测量数据从传感器110上传到接收机120。通信模块140可以重复1802和1803，直到定时器到期或所有未决数据已经上传。一旦定时器到期或所有未决数据已经上传，在1804，通信模块140通过asic硬件抽象层200向asic 130发送“转到存储模式”命令，asic硬件抽象层200在1805通过将命令写入适当的寄存器来重新格式化命令并将命令转发到asic 130。然后，asic 130进入存储模式710。在1806，通信模块140进入最终正常终止状态。在1807，通信模块140通过闭合传感器110的通用输入-输出引脚来终止传感器110。
193.在某些实施例中，由asic 130或由与通信模块140相关联的温度传感器检测的温度可以用于调节通信模块的发射机功率。除了影响来自通信模块140的信号可被接收机120检测的能力之外，接收机120可以解释发射机功率以确定传感器110和接收机120之间的距离。例如，接收机120可以将接收信号的感知发射功率与指定或预期的发射机功率进行比较，以确定下降或差异的水平，并推断传感器110和接收机之间的距离。接收机可以向用户提供该信息，以帮助用户定位传感器110或传感器110所附接的患者。接收机120可以进一步警告用户传感器110超出范围或几乎超出范围。
194.通信模块140可以被配置为在温度未能满足阈值温度时禁用传输。通信模块140可
以进一步被配置为在温度越过某些临时阈值时增加或减少发射机功率。例如，传感器110可以已经定义了用于通信模块的全功率传输(例如，+4.6dbm)的阈值(例如，23摄氏度)。传感器110还可以已经定义了用于关闭发射机功能的阈值(例如，19摄氏度)。在两个阈值之间，可以使用临时发射机功率(例如+0.4dbm)。此外，通信模块140可以集成基准值以抵消潜在的滞后效应，其中发射机功率的变化导致温度的变化，从而减轻潜在的竞争条件。例如，0.2摄氏度的滞后值可以用作基准。
195.图19示出了描绘通信模块140的发射机功率设置和记录的温度之间的潜在关系的曲线图1900。图19中的曲线图包括两个轴：对应于温度的横轴和对应于发射机功率设置的纵轴。横轴包括四个标记位置。这四个位置包括两个温度阈值ta和tb以及由滞后值h、ta+h和tb+h增强的两个温度阈值。纵轴包括三个标记位置。这三个位置包括三个功率级别：tx0、tx1、和tx2。在某些实施例中，tx0对应于关闭发射机功率，tx2对应于最大允许发射机功率，并且tx1对应于临时发射机功率。该曲线图包括四条线，1910、1920、1930和1940，每条线示出了与温度相关的发射机功率水平的示例性变化。线1910示出对于温度ta和ta+h之间的温度，发射机功率保持在tx0。但是，当温度达到ta+h(例如，超过滞后值)时，发射机功率可以转移到tx1。对于ta+h和tb+h之间的温度，如线1930所示，发射机功率保持在tx1。当温度达到tb+h(例如，温度超过第二阈值和滞后值)时，发射机功率增加到tx2。过程与此相反。如线1940所示，随着温度从tb+h降低到tb，发射机功率保持在tx2。一旦温度达到tb，发射机功率就会降低到tx1。在温度tb和ta之间，发射机功率保持在tx1。然而，一旦温度达到ta，发射机功率就会降低到tx0。
196.除了下面要求保护的特定实施例之外，所公开的主题还涉及具有下面要求保护的从属特征和上面以及附图中公开的从属特征的任何其他可能组合的其他实施例。因此，本文公开的特定特征可以在所公开的主题的范围内以其他方式彼此组合，使得所公开的主题应该被认为也具体针对具有任何其他可能组合的其他实施例。因此，出于说明和描述的目的，已经呈现了对所公开的主题的特定实施例的前述描述。其并非旨在穷举或将所公开的主题限制于所公开的那些实施例。
197.对本领域技术人员来说，显而易见的是，在不脱离所公开的主题的精神或范围的情况下，可以对所公开的主题的方法和系统进行各种修改和变化。因此，所公开的主题包括在所附权利要求及其等同物的范围内的修改和变化。
198.本文公开的实施例包括：
199.a.一种医疗传感器，包括专用集成电路(asic)、医疗硬件和通信模块；其中：asic通信地耦接到医疗硬件和通信模块；asic被配置为接收来自医疗硬件的测量信号，并将测量信号提供给通信模块；并且通信模块被配置为将测量信号处理为测量结果。
200.b.一种方法，包括通过医疗传感器的专用集成电路(asic)：检测供应到asic的电压已经下降到低于阈值水平；确定电压已经低于阈值水平的时间量；以及基于确定的时间量，响应于供应到asic的电压低于阈值水平。
201.c.一种被布置成提供通信的医疗传感器，该医疗传感器包括：专用集成电路(asic)；用于检测供应到asic的电压已经下降到低于阈值水平的装置；用于确定电压已经低于阈值水平的时间量的装置；用于基于确定的时间量，响应于供应到asic的电压低于阈值水平的装置。
202.d.一种计算机程序、计算机程序产品或计算机可读介质，其包括指令，当由计算设备或医疗传感器执行时，使计算设备或医疗传感器执行实施例b的方法的步骤。
203.实施例a、b、c和d中的每一个可以具有以下任意组合的附加元素中的一个或多个：元素1：其中，通信模块操作应用层和链路层。元素2：其中，通信模块是与asic物理分离的模块。元素3：其中，通信模块进一步被配置为经由无线通信将测量结果提供给接收设备以用于显示。元素4：其中，通信模块进一步被配置为检测医疗传感器的温度变化，并响应于温度变化来调整与无线通信相关联的发射功率。元素5：其中，医疗硬件被配置为部分插入患者体内。元素6：其中，asic被配置为经由第一通信信道检测来自计算设备的激活请求，并将激活请求传送到通信模块；并且其中，通信模块被配置为经由第二通信信道向计算设备发送认证请求。元素7：其中，asic进一步被配置为当检测到来自计算设备的激活请求时接收无线功率并使用无线功率来引起通信模块的激活。元素8：其中，通信模块进一步被配置为经由第二通信信道向计算设备发送用于促进医疗传感器和计算设备之间的通信的通信参数。元素9：其中，第一通信信道符合近场通信协议，并且第二通信信道符合蓝牙低能量协议。元素10：其中，通信模块包括存储器，该存储器存储与asic唯一相关联的设备专用数据；并且其中，通信模块进一步被配置为在激活医疗传感器时，从asic的存储器读取设备专用数据；将从asic的存储器读取的设备专用数据与存储在通信模块的存储器中的设备专用数据进行比较，以验证设备专用信息的完整性。元素11：其中，asic或通信模块被配置为检测来自计算设备的通信请求，该通信请求包括对应于计算设备的制造商代码；并且asic被配置为响应于通信请求，将制造商代码与存储在asic的存储器中的一组制造商代码进行比较，其中，对通信请求的响应基于比较的结果。元素12：其中，asic或通信模块被配置为检测来自计算设备的通信请求，该通信请求包括对应于计算设备的制造商代码；并且通信模块被配置为响应于通信请求，将制造商代码与存储在通信模块的存储器中的一组制造商代码进行比较，其中，对通信请求的响应基于比较的结果。元素13：其中，医疗硬件被配置为检测体温、心率、血糖水平或运动读数。
204.元素14：进一步包括确定供应到asic的电压满足第二阈值水平，其中：所确定的时间量低于阈值时间量；响应电压低于阈值水平包括使asic复位。元素15：进一步包括确定供应到asic的电压满足第二阈值水平，其中：所确定的时间量高于阈值时间量；响应电压低于阈值水平包括使asic进入存储或关机模式。元素16：其中，医疗传感器在检测到供应到asic的电压已经下降到低于阈值水平之前收集医疗数据；并且其中，响应电压低于阈值水平包括擦除收集的医疗数据。元素17：其中，响应电压低于阈值水平进一步包括取消由医疗传感器收集的一个或多个未来测量的资格。元素18：其中，医疗数据包括体温、心率、血糖水平或运动读数。
205.元素19：进一步包括用于实施根据元素14至18中任一项的方法的装置。
206.作为非限制性示例，适用于实施例a的示例性添加或组合包括：元素1与元素2至13中的任一个；元素2与元素1和3至13中的任一个；元素3与元素1至2和4至13中的任一个；元素4与元素1至3和5至13中的任一个；元素5与元素1至4和6至13中的任一个；元素6与元素1至5和7至13中任一个；元素7与元素1至6和8至13中任一个；元素8与元素1至7和9至13中任一个；元素9与元素1至8和10至13中任一个；元素10与元素1至9和13中任一个；元素11与元素1至10和12至13中任一个；元素12与元素1至11和13中的任一个。元素13与元素1至12中的
任一个。
207.作为非限制性示例，适用于实施例b的示例性添加或组合包括：元素13与元素14至18中的任一个；元素14与元素13和15至18中的任一个；元素15与元素13至14和16至18中任一个；元素16与元素13至15和17至18中任一个；元素17与元素13至16和18中任一个；元素18与元素13至17中的任一个。
208.作为非限制性示例，适用于实施例c的示例性添加或组合包括元素19。
209.附加地或可替代地，适用于实施例a、b、c和d的任何元素和组合也适用于适用于实施例a、b、c和d的任何其他元素和组合。

技术特征：
1.一种医疗传感器，包括专用集成电路(asic)、医疗硬件和通信模块；其中：所述asic通信地耦接到所述医疗硬件和所述通信模块；所述asic被配置为接收来自所述医疗硬件的测量信号，并将所述测量信号提供给所述通信模块；以及所述通信模块被配置为将所述测量信号处理为测量结果。2.根据权利要求1所述的医疗传感器，其中，所述通信模块操作应用层和链路层。3.根据权利要求1所述的医疗传感器，其中，所述通信模块是与所述asic物理分离的模块。4.根据权利要求1所述的医疗传感器，其中，所述通信模块进一步被配置为经由无线通信将所述测量结果提供给接收设备以用于显示。5.根据权利要求4所述的医疗传感器，其中，所述通信模块进一步被配置为：检测所述医疗传感器的温度变化；以及响应于所述温度变化来调整与所述无线通信相关联的发射功率。6.根据权利要求1所述的医疗传感器，其中，所述医疗硬件被配置为部分插入患者体内。7.根据权利要求1所述的医疗传感器，其中，所述asic被配置为经由第一通信信道检测来自计算设备的激活请求，并将所述激活请求传送到所述通信模块；以及其中，所述通信模块被配置为经由第二通信信道向所述计算设备发送认证请求。8.根据权利要求7所述的医疗传感器，其中，所述asic进一步被配置为当检测到来自所述计算设备的所述激活请求时接收无线功率并使用所述无线功率来使所述通信模块的激活。9.根据权利要求7所述的医疗传感器，其中，所述通信模块进一步被配置为经由所述第二通信信道向所述计算设备发送用于促进所述医疗传感器和所述计算设备之间的通信的通信参数。10.根据权利要求7所述的医疗传感器，其中，所述第一通信信道符合近场通信协议，并且所述第二通信信道符合蓝牙低能量协议。11.根据权利要求1所述的医疗传感器，其中，所述通信模块包括存储器，所述存储器存储与所述asic唯一相关联的设备专用数据；并且其中，所述通信模块进一步被配置为在激活所述医疗传感器时：从所述asic的存储器读取设备专用数据；将从所述asic的所述存储器读取的所述设备专用数据与存储在所述通信模块的所述存储器中的所述设备专用数据进行比较，以验证所述设备专用信息的完整性。12.根据权利要求1所述的医疗传感器，其中，所述asic或所述通信模块被配置为检测来自计算设备的通信请求，所述通信请求包括对应于所述计算设备的制造商代码；以及所述asic被配置为响应于所述通信请求，将所述制造商代码与存储在所述asic的存储器中的一组制造商代码进行比较，其中，对所述通信请求的响应基于所述比较的结果。13.根据权利要求1所述的医疗传感器，其中，所述asic或所述通信模块被配置为检测来自计算设备的通信请求，所述通信请求包括对应于所述计算设备的制造商代码；以及所述通信模块被配置为响应于所述通信请求，将所述制造商代码与存储在所述通信模
块的存储器中的一组制造商代码进行比较，其中，对所述通信请求的响应基于所述比较的结果。14.根据权利要求1所述的医疗传感器，其中，所述医疗硬件被配置为检测体温、心率、血糖水平或运动读数。15.一种方法，包括通过医疗传感器的专用集成电路(asic)：检测供应到所述asic的电压已经下降到低于阈值水平；确定所述电压已经低于所述阈值水平的时间量；以及基于所确定的时间量，响应于供应到所述asic的所述电压低于阈值水平。16.根据权利要求15所述的方法，进一步包括确定供应到所述asic的所述电压满足第二阈值水平，其中：所确定的时间量低于阈值时间量；以及响应所述电压低于阈值水平包括使所述asic复位。17.根据权利要求15所述的方法，进一步包括确定供应到所述asic的所述电压满足第二阈值水平，其中：所确定的时间量高于阈值时间量；以及响应所述电压低于阈值水平包括使所述asic进入存储或关机模式。18.根据权利要求15所述的方法，其中，所述医疗传感器在检测到供应到所述asic的所述电压已经下降到低于所述阈值水平之前收集医疗数据；以及其中，响应所述电压低于所述阈值水平包括擦除所收集的医疗数据。19.根据权利要求18所述的方法，其中，响应所述电压低于所述阈值水平进一步包括取消由所述医疗传感器收集的一个或多个未来测量的资格。20.根据权利要求18所述的方法，其中，所述医疗数据包括体温、心率、血糖水平或运动读数。

技术总结
一种医疗传感器包括专用集成电路(ASIC)、医疗硬件和通信模块。ASIC通信地耦接到医疗硬件和通信模块。ASIC被配置为接收来自医疗硬件的测量信号，并将测量信号提供给通信模块。通信模块被配置为将测量信号处理为测量结果，并将测量结果发送至移除设备。通信模块包括用于处理测量信号的应用层和用于传输测量结果的链路层。ASIC被配置为检测供应到ASIC的电压低于阈值水平，并确定电压已经低于阈值水平的时间量。ASIC进一步被配置为基于所确定的时间量响应于供应到ASIC的电压低于阈值水平。响应于供应到ASIC的电压低于阈值水平。响应于供应到ASIC的电压低于阈值水平。


技术研发人员：华宣东 西奥多
受保护的技术使用者：雅培糖尿病护理公司
技术研发日：2021.08.31
技术公布日：2023/9/9