CN107636607A - 更新安全相关软件的方法 - Google Patents
更新安全相关软件的方法 Download PDFInfo
- Publication number
- CN107636607A CN107636607A CN201580080011.8A CN201580080011A CN107636607A CN 107636607 A CN107636607 A CN 107636607A CN 201580080011 A CN201580080011 A CN 201580080011A CN 107636607 A CN107636607 A CN 107636607A
- Authority
- CN
- China
- Prior art keywords
- software
- security
- redaction
- personnel
- activation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0426—Programming the control sequence
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B1/00—Control systems of elevators in general
- B66B1/34—Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B1/00—Control systems of elevators in general
- B66B1/34—Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
- B66B1/3407—Setting or modification of parameters of the control system
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B5/00—Applications of checking, fault-correcting, or safety devices in elevators
- B66B5/0087—Devices facilitating maintenance, repair or inspection tasks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/656—Updates while running
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23304—Download program from host
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24161—Use of key, in key is stored access level
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25064—Update component configuration to optimize program execution
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2659—Elevator
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Indicating And Signalling Devices For Elevators (AREA)
- Maintenance And Inspection Apparatuses For Elevators (AREA)
Abstract
本公开涉及一种更新人员输送机系统,特别是电梯系统(10)中的安全相关软件的方法(200),所述方法包括以下步骤:提供所述安全相关软件的更新版本(210);将所述安全相关软件的所述更新版本存储在所述人员输送机系统的安全单元(60)中(230);激活所述安全相关软件的所述更新版本(240),所述激活步骤包括操作与所述人员输送机系统永久相关联的软件更新激活开关;以及在成功激活所述安全相关软件的所述更新版本的情况下,基于所述安全相关软件的所述更新版本来控制所述人员输送机系统的操作(290)。
Description
本发明涉及一种更新人员输送机系统,特别是电梯系统中的安全相关软件的方法。本发明还涉及一种人员输送机系统,特别是一种电梯系统,该人员输送机系统包括用于控制人员输送机系统的操作的控制器,该控制器被配置来实现这种更新安全相关软件的方法。
人员输送机系统须符合特殊的安全要求。因此,为了满足这些安全要求,用于控制人员输送机操作的硬件或软件是须符合特定条件的重要部分。根据所控制的人员输送机系统的相应功能或操作的安全相关度,存在不同水平的安全完整性要求。有关这些安全要求的一般概述,请参考国际标准IEC 61508-1至IEC 61508-3。
电梯系统是人员输送机系统的一个特例。另一示例是自动扶梯或自动人行道。在下文中,将使用电梯系统作为人员输送机系统的示例性实施方案来描述本发明,应当理解,相应的考虑也适用于自动扶梯或自动人行道。
在人员输送机系统中,使用连接到安全控制器(下文中也称为安全单元)的传感器和/或开关设备(下文中简称为安全开关)来控制或至少监控安全关键操作。通常在各“安全点”使用安全开关,在这些“安全点”,必须在开始某一动作之前,并且如有必要,在这一动作过程中,监控安全关键部件的状态(例如,诸如门等可移动部件的位置)。在典型的配置中,具体而言,多个这样的安全开关串联连接起来以形成所谓的“安全链”,使得只有当所有安全开关或者(更广义地说)开关设备处于预定的开关状态时,该动作才开始或继续。例如,在电梯系统的情形中,必须确保在电梯轿厢启动之前和行进过程中,所有的门(每个楼层上的轿厢门以及层站门)保持关闭并机械锁定。因此,除非连接监控门的关闭状态的各安全开关的安全链中的所有安全开关均闭合,否则通常不允许电梯轿厢的行进。
传统上,一直使用机械或磁力机械开关设备作为安全链中的安全开关。如今,在安全链中使用电子或电磁开关或传感器设备,例如,在US 5 487 448或EP 0 535 205 B1中描述的类型的电子或电磁开关或传感器设备。此类电子或电磁开关或传感器设备可以在不接触的情况下致动,例如通过移近或移远磁体从而感应或不感应出电压。使用这些类型的开关或传感器设备,开关点通常更容易设置,并且在较长的操作期间也保持稳定。另外,不再存在可能在机械开关中导致接触片和其他可移动部件的磨损的停机原因。然而,对于这种类型的开关或传感器设备,对无故障运行进行测试是重要的,另外,能够在发生故障的情况下尽可能简单地确定安全链中的哪个开关导致了功能错误并中断了安全链也是重要的。与机械开关不同,电子开关或传感器设备的开关状态无法像典型的机械安全开关那样通过光学方式确定。因此,通常,电子、非接触和可测试的开关或传感器设备具有用于检测开关/传感器的状态并为了测试目的而改变该状态的传感器和控制电子器件。通过特定的控制流程和测试流程来实现对此类电子传感器/开关设备的正确运行的操作和监控。
现今,本文中所描述的安全单元通常涉及软件来控制其操作和监控所连接的单元和安全开关的正确运行。已经开发了特定的测试协议,用于测试人员输送机的安全链中使用的安全开关的无故障运行。确定何时以及如何执行此类测试协议以及如何评估测试协议的结果的流程由驻留在安全单元中的特定安全相关软件来控制,该安全单元与安全链的开关连接,并控制安全链的操作和状态。经过认证,这种软件执行特定的安全相关功能。这种安全相关软件的编程需要非常小心,例如,通常,所提供的任何功能都需要提供冗余。
需要不时地更新人员输送机系统中的这种安全相关软件。在更新这种安全相关软件时需要小心。因此,直到今天,在人员输送机领域的现有技术中,也通过替换实现这些流程的相应硬件来更新安全相关控制或监控流程。即使在这些流程纯粹由软件实现,即,可以通过仅更新软件并且原则上不需要硬件的任何改变来实现更新的情况下,也是这样。
对于非安全关键软件更新,限制不太严重。例如,US 2008/0062981 A1描述了一种通过近场无线电连接来使对电梯系统中的目的地楼层调度楼层终端的控制现代化的方法,当移动包含软件更新的移动数据存储终端使之距离相应的目的地楼层调度终端小于约30cm时,该近场无线电连接建立。一旦建立了近场无线电通信,则将软件更新从移动数据存储终端传输到目的地楼层调度终端。一旦将移动终端移出近场范围,通信即将自动终止,从而确保没有其他终端受到软件更新的影响。
允许技术人员在不替换硬件的情况下更新人员输送机系统中,特别是电梯系统中的安全相关软件将是有益的。
本文中描述的实施方案提供了一种更新人员输送机系统中,特别是电梯系统中的安全相关软件的方法,该方法包括以下步骤:提供该安全相关软件的更新版本;将该安全相关软件的该更新版本存储在该人员输送机系统的安全单元中;激活该安全相关软件的该更新版本,该激活步骤包括操作与该人员输送机系统永久相关联的软件更新激活开关;以及在成功激活该安全相关软件的该更新版本的情况下,基于该安全相关软件的该更新版本来控制该人员输送机系统的操作。
其他实施方案涉及一种人员输送机系统,特别是一种电梯系统,该人员输送机系统包括用于控制人员输送机系统的操作的控制器,该控制器包括被配置来控制人员输送机系统的安全相关功能的至少一个安全单元,该安全单元被配置来实现本文中描述的更新安全相关软件的方法。
其他实施方案涉及一种包括至少一个软件更新服务器和至少一个如本文中所描述的人员输送机系统的系统。该软件服务器被配置来为该人员输送机系统提供安全相关软件更新。该人员输送机系统被配置来通过数据网络从该软件更新服务器接收安全相关软件更新。
将通过如图所示的示例性实施方案更详细地描述本发明。
图1示出根据实施方案的电梯系统;
图2示出包括根据实施方案的电梯控制系统和与该电梯控制系统通信的中央服务器系统的系统的示意图,该电梯控制系统包括安全单元;
图3示出在图2所示的实施方案中更新安全相关软件的方法的流程图。
图1以示意性和简化的透视图示出根据实施方案的电梯系统10。电梯系统10包括轿厢12和配重14,轿厢12和配重14通过配置为绳或带的张力构件16连接(图1中仅示意性地示出张力构件16)。张力构件16由电梯驱动器,例如,图1中未示出的牵引驱动器,进行驱动,以便沿着井道18移动轿厢12和配重14。虽然图1中未示出井道18的顶部,但电梯驱动器位于最高层站上方的井道顶部。电梯轿厢12和配重14沿着同样未在图1中示出的导轨移动。井道18具有大致矩形的横截面,并由四个竖直延伸的侧壁包围,图1示出其中三个侧壁(左侧壁18b、右侧壁18c、后壁18d)。图1中省略了井道的前壁,以显示轿厢和配重。只有在最低层站22,前壁18a的一部分才是可见的,其中在前壁18a中形成有层站门20。未示出用于输入大厅呼叫的大厅操作面板。前壁18a在其他层站具有类似的配置。
与其他层站不同,在最低层站22,控制板24设置在井道18的前壁18a中。控制板24用于通过操作软件更新激活开关来激活软件更新操作模式,如下文进一步详细描述。控制板24被前面板26封闭,前板26本身通过钥匙锁28锁定。钥匙锁28可以通过向钥匙锁28的钥匙孔插入合适的钥匙来打开,例如,三角形钥匙。一旦前面板26打开,就可以对控制板24的软件更新激活开关进行操作(图1中未示出软件更新激活开关)。在图1所示的实施方案的替代方案中,在其他实施方案中,控制板24可以位于任何层站或电梯10附近。不必须将控制板24放置在最低层站。甚至可以提供一个以上控制板24,尽管通常一个控制板24将足以以更安全的方式提供软件更新。
在一些实施方案中,控制板24可以是独立地提供激活软件更新操作模式的功能的单独控制板。在其他实施方案中,软件更新激活开关可以包含在用于提供其他功能的控制板24中。在一个示例中,如图1至图3所示,控制板24用于激活电梯的应急电气操作,并包括应急电气操作开关。电气操作应急开关的操作允许通过操作设置在控制板24上的各个手动操作开关或按钮来手动控制电梯轿厢12的移动。在正常运行过程中,控制板24是非活动的。
如图1至图3所示的实施方案所示,当激活软件更新操作模式时,需要确保服务人员的参与。这是通过要求一系列手动干预来实现的,这一系列手动干预至少包括操作控制板24上的一个软件更新激活开关。一旦激活软件更新操作模式,当安全单元在启动或重启命令之后启动时,安全单元60将寻找在电梯控制系统50的安全单元60的第一非活动存储器中可用的软件更新,如下文详细描述。
图2示出包括根据本发明的实施方案的电梯控制系统50和与该电梯控制系统50通信的中央服务器系统100的系统150的示意图,该电梯控制系统50包括安全单元60。电梯控制系统50包括用于控制电梯功能的整体运行的主控制器70,例如,控制服务请求、轿厢和楼层的照明、紧急呼叫、一般电梯安全功能等。向主控制器70提供来自设置在电梯轿厢12和井道16中的各种安全开关的信息,例如,指示轿厢在井道中的位置的位置传感器、指示层站门的关闭状态的层站门位置传感器等。通过功率继电器72为主控制器70提供电能。电梯控制系统50还包括用于控制驱动电梯轿厢12的驱动机的驱动控制器80以及停止或防止轿厢移动的制动器。通过功率继电器82为驱动控制器80提供电能。电梯控制系统50还包括用于控制电梯轿厢12的门驱动器的门控制器90,该门驱动器驱动电梯轿厢12的门,从而当轿厢12在层站停止时打开和关闭轿厢门和层站门。轿厢门由门驱动器直接操作,而各层站门则通过当轿厢门在层站打开或关闭时轿厢门的移动来间接操作。还向门控制器90提供来自轿厢门安全开关的指示轿厢门的关闭状态的信号。通过功率继电器92为门控制器90提供电能。
主控制器70、驱动控制器80和门控制器90各自与安全单元60通信。关于分配给主控制器70、驱动控制器80和门控制器90的安全开关中任一安全开关的状态的信息通过相应的数据连接传送到安全单元60。安全单元60还可以致动由主控制器70、驱动控制器80或门控制器90控制的任何安全致动器。通常,使用总线系统用于这些目的。流行的总线系统包括串行现场总线系统,例如,CAN总线系统。安全单元60实现电安全链,如本文详细描述。就此而言,安全单元60分别从连接到主控制器70、驱动控制器80和门控制器90的任何安全开关接收状态信息。安全单元60以安全链的方式评估该信息。通常,安全单元60分别控制与电梯系统的不同子系统相关的多个安全链(例如,相对于电梯系统的主电源的安全链、相对于轿厢的驱动器的安全链,或相对于轿厢的门驱动器的安全链等)。安全链具有所有相关安全开关的串行连接的配置。如果安全链中只有一个安全开关没有显示正确的状态信息(例如,指示门的未完全关闭状态),则该安全开关的状态将被视为断开。由于安全链中的安全开关的串联连接,包括该安全开关的任何安全链将被视为断开,指示电梯系统或电梯系统的相应子系统(例如,轿厢门驱动器)被认为处于不安全状态。在这种情况下,安全单元60将停止电梯系统或相应电梯子系统的进一步运行,直到安全链再次闭合。具体而言,安全单元60可以中断对电梯子系统的相关控制器的供电。例如,安全单元60可以中断对驱动控制器80的供电,以便停止轿厢的进一步移动,安全单元60可以中断对门控制器90的供电以停止轿厢门的进一步移动,和/或安全单元60可以中断对主控制器70的供电以完全关闭电梯系统。
安全单元60的操作由控制软件控制。控制软件定义了由安全单元60监控的各安全链或安全电路。控制软件还提供了用于检查安全链中每个安全开关的正确运行的特定测试流程。这些测试流程由安全单元60主动定期执行。安全单元60的控制和测试流程由电梯系统的制造商编程,并在安装时提供给安全单元60。安全单元60的控制和测试流程会不时更新。这些软件更新也由电梯系统的制造商编程,并由制造商的中央服务器单元100提供。中央服务器单元100驻留在运行中的单个电梯系统的电梯控制系统50的外部,例如,驻留在电梯系统10的制造商的研发设施中。然而,中央服务器单元100与电梯控制系统50进行数据通信。例如,在图2所示的实施方案中,安全单元60通过公共数据网络120,例如,互联网,连接到中央服务器单元100。中央服务器单元100以集中的方式向每个电梯控制系统50提供任何软件更新,包括驻留在安全单元60,以及任何其他相关控制器70、80、90中的安全相关软件。具体而言,这些电梯控制系统50中的每一个的控制系统50或者通过安装在服务器单元100中的推送机制(即,服务器单元100定期地发送具有针对电梯控制系统50的软件更新的数据包),或者通过电梯控制系统50向中央服务器单元100发起的定期执行的软件更新查询,来定期地从中央服务器单元100接收这样的软件更新。如果服务器单元100上存在新的软件更新,则将这些更新下载到相应的电梯控制系统50。然而,至少在软件更新涉及安全相关流程的情况下,这些软件更新并不会在下载完成后立即激活。而是,下载的软件更新存储在相应电梯控制系统50的不用于执行电梯操作的控制的“非活动”存储器部分中(例如,存储在安全单元60的“非活动”存储器部分中)。需要特定的激活流程来将软件更新投入使用,如下所述。
图3示出在图2所示的系统中更新安全相关软件的方法200的流程图。电梯系统的制造商准备待在具有图2所示配置的电梯控制系统50的安全单元60中实现的安全相关软件的更新版本(步骤210),并将其作为更新软件包提供在服务器计算机100上以供相应的电梯控制系统50下载。在发布供下载之前,为软件更新包提供数字签名(步骤220),使得软件更新包的接收者(电梯控制系统50,具体是安全单元60)在下载软件更新包之后激活之前可以对其进行验证,确认软件更新包由制造商创建并由制造商发布供下载。
在步骤230中,经数字签名的软件更新包由接收者,即安装在建筑物中的电梯系统10的控制系统50(安全单元60),下载并存储在第一存储器部分中,也称为下载存储器。通常,对于安全相关软件,下载的软件更新包将由该控制系统的安全单元60接收和存储,但也可以设想到其他配置,其中将下载的软件更新包临时存储在某个其他位置,直到它被激活。在大多数情况下,下载仅简单地涉及将软件更新包复制到下载存储器中,而不对其进行任何修改,但如本领域中大多技术人员已知的,可以设想到针对软件更新包应用一些数据转换以便传输(例如,应用打包算法、加密算法等)。通常,下载的软件更新包将以与服务器100提供的基本相同的形式存储在下载存储器中,即未经编译或以其他方式转换,并对其应用数字签名。在软件更新包以可执行程序代码的形式提供的情况下,软件更新包以存储在电梯控制系统50的下载存储器中的形式就是基本可执行的。然而,下载存储器是在控制系统50运行其用于控制电梯系统10的操作的程序和流程时不使用的“非活动”存储器部分。而是,控制系统50将被编程为仅在存在指示控制软件的该部分应当更新的特定指令的情况下才访问下载存储器。通常,这样的软件更新流程将在控制系统50的重启之后执行,条件是(i)尚未安装的软件更新包驻留在下载存储器中,以及(ii)至少在软件更新包涉及安全相关软件的情况下,该软件更新包的激活(如下所述)已经成功完成。
无论软件更新包的下载是将在线进行,例如,通过数据通信网络,还是通过传统的软件更新机制(提供数据载体等),将软件更新包存储在电梯控制系统50的活动存储器部分中确保了只要软件更新包仍单独驻留在下载存储器中就不会被执行。
一旦激活完成,软件更新包将由电梯控制系统50执行。然而,激活需要服务人员的参与,如下所述。
将驻留在下载存储器中的软件更新包的激活描述为图3中下载步骤230之后的下一步骤240。激活可以通过确保在激活软件更新包时服务人员在电梯系统现场的任何流程来执行。这一步骤被认为是重要的,因为在更新安全相关软件时,服务人员有必要留意电梯系统,以便在更新流程开始之前使电梯系统进入安全状态,并且还确保电梯系统保持处于这样的安全状态,直到更新流程成功完成并且已经验证电梯控制系统50在更新之后正确运行。存在几种提供安全相关软件更新包的安全激活的可能性,在此将进行描述。一种可能性是在步骤230中将软件更新包下载到非活动存储器部分中,并且仅在激活步骤240已经成功完成之后才将其传输到活动存储器部分中。
可以通过要求以下两者的组合来确保步骤240中激活流程过程中服务人员的参与:操作与电梯系统固定性关联的手动软件更新激活开关,并且除此之外,执行预定义的软件更新激活序列。手动软件更新激活开关可以包括在控制板24中,或者作为该控制板上的额外开关,或者通过向该控制板上开关中的任一开关的操作(或这些开关的任意组合的操作)分配额外的激活安全相关软件更新的功能。预定义的软件更新激活序列可以涉及待由服务人员通过服务工具或服务面板向电梯控制系统50(具体是安全单元60)提供的任何输入。预定义的软件激活序列可以是交互式的,使得电梯控制系统50向服务人员提供关于驻留在下载存储器中的可用软件更新包,以及关于将通过这样的软件更新包更新的控制流程的细节的特定信息,并请求服务人员确认将实施软件更新。
图4A和图4B更详细地示出在根据图3中的步骤240的示例性交互式软件更新激活序列过程中要执行的各个步骤。除了图4B中的附加步骤2421之外,根据图4A和图4B的流程,步骤的顺序是相同的。控制板24可以包括显示器和输入工具,例如,触摸屏或键盘,或者与其相关联。或者,服务人员可以将包括显示器和输入工具的服务工具连接到控制板24。激活流程240可以开始于向服务人员显示主菜单,并询问是否要执行软件更新。如果在步骤2404中服务人员输入要执行软件更新,则在步骤2406中,控制板24显示当前的软件版本,以及询问是否继续(“1”)或中止软件激活流程(“0”)的询问。如果在步骤2408中服务人员输入要继续,则在步骤2410中,显示更新软件版本以及询问是否接受更新(“1”)或是否中止(“0”)的查询。如果在步骤2412中服务人员输入要继续,则控制板24向安全单元60发送“接受”信号(步骤2414)。在步骤2414中接收到“接受”信号之后,安全单元60等待预定时间窗口以在步骤2420中接收“接通”信号,指示在步骤2418中软件更新激活开关已经接通(见图4A和图4B中的箭头“时间期限”)。如果在经过预定时间之后软件更新激活开关尚未接通,则软件更新激活流程中止。
在步骤2416中,显示器向服务人员显示软件更新已接受并要求启动软件更新流程。根据该请求,在步骤2418中,服务人员必须操作(接通)软件更新激活开关。如果在步骤2418中软件更新激活开关接通,则在步骤2420中,相应的“接通”信号被发送到安全单元60并由安全单元接收。在步骤2420中安全单元60接收到“接通”信号决定了是否超过了时间期限。在步骤2418中激活软件更新激活开关之后,在步骤2422中,服务人员必须通过输入“1”开始更新流程,输入“1”将触发将另一“开始”信号发送到安全单元60。再次检测在安全单元60处接收到“接通”信号(步骤2420)与接收到“开始”信号(步骤2424)之间的时间差,并确定该时间差是否处于另一时间期限内。如果是这种情况,开始并执行软件激活流程直到完成(步骤2426)。
此外,安全单元60可以检查步骤2414(接收到“接受”信号)与步骤2414(接收到“开始”信号)之间的总时间差是否在预期时间差内,并且如果超过预期时间差,中止软件更新激活过程。
在以上关于图4A描述的流程中,服务人员必须知道,首先要在步骤2420中操作软件更新激活开关,然后要在步骤2422中通过输入来开始软件更新流程。或者,流程的这一部分可以交互地执行,如图4B所示。在步骤2420中操作软件激活开关之后,显示器在步骤2421中请求开始软件激活流程,随后是步骤2422中的相应输入。
此外,软件更新激活可以涉及检查服务人员的可信性,例如,通过请求服务人员输入特定的PIN或使用生物特征。以这种方式,操作手动软件更新激活开关的要求确保了服务人员的参与,以及更新流程期间电梯系统的安全状态。额外的软件更新激活序列防止了服务人员意外激活软件更新,并且还可以确保只有通过激活流程选择但由服务人员主动确认的特定软件更新包才确实被激活。
在步骤240已经完成之后,其中就存储在下载存储器中的安全相关软件的更新版本而言,成功激活了更新流程,在步骤250中重启电梯控制系统50。图5指示只有在步骤242中设置了更新旗标并且服务人员已经确认要执行重启(步骤244)之后,才启动重启流程250。根据要执行的软件更新的类型,可能需要重启电梯系统10中的任何控制系统,即,整个电梯控制系统50(包括例如安全单元60、主控制70、驱动控制80、门控制90),或者仅仅重启安全单元60就足够了。在重启流程期间,电梯控制系统50将知道软件更新激活开关已被操作(例如,通过检查更新旗标,如图5中步骤242所示),并且因此将在下载存储器中检查任何可用且激活的软件更新包。根据软件更新激活序列,在重启期间,电梯控制系统50可以认为驻留在下载存储器中的任何软件更新包是激活的软件包,或者电梯控制系统50可以检查驻留在下载存储器中的任何软件包进一步寻找激活签名。如果电梯控制系统50在下载存储器中检测到至少一个激活的软件更新包,它将通过执行该软件更新包来替换其活动存储器中的对应软件模块(步骤280),并在其进一步控制过程中执行源于软件更新包的软件的更新版本(步骤290)。
在步骤280中将安全相关软件的更新版本从下载存储器实际复制到活动存储器之前,电梯控制系统50或安全单元60可以执行额外的步骤来检查存储在下载存储器中的软件更新包的一致性(步骤260),并检查存储在下载存储器中的软件更新包的真实性(步骤270)。
检查安全相关软件的更新版本的一致性将在重写电梯控制系统50的活动存储器部分中安全相关软件的任何现有版本之前进行,并且可以涉及将安装在电梯控制系统50中的软件或软件模块与存储在下载存储器中的软件更新包中的头信息进行比较,例如以便检查软件更新包是否与已经安装的相同软件或软件模块的较新版本相关。作为进一步的一致性检查,软件更新包可能包括要更新的软件的加密版本。软件更新包可能使用分配给安装在电梯控制系统50中的安全相关软件的特定软件模块的公钥来加密。然后,电梯控制系统50可以使用其相应的私钥来解密软件更新包。这确保只有具有与用于加密的公钥相对应的正确私钥的电梯系统50才可以解密安全相关软件的更新版本并创建可执行二进制文件。
在重写电梯控制系统50的活动存储器部分中的安全相关软件的现有版本之前,在激活流程的上下文中检查安全相关软件的更新版本的真实性可以借助于使用软件更新包的作者的私钥提供给软件更新包的数字签名来执行。数字签名可以由电梯控制系统50使用作者的公钥进行验证,从而确保安装的软件更新包是由作者撰写的并且没有被修改。
图6更详细地示出根据实施方案的在步骤250中重启之后执行的流程。在步骤250中下发重启命令之后,在步骤252中检查更新旗标的状态。在未设置更新旗标252(指示将执行无任何软件更新的“正常”重启)的情况下,流程前进到步骤300,其中检查有效旗标的状态。有效旗标指示安全单元60是否处于有效状态。如果有效旗标指示安全单元不处于有效状态,则系统立即停止(步骤320)。如果有效旗标指示有效状态,则在步骤310中检查驻留在安全单元60的活动存储器区域中的软件的完整性(通过应用CRC检查)。如果该检查失败,系统停止(步骤320)。否则,通过开始执行驻留在活动存储器中的软件来操作系统(步骤290)。
如果在步骤252中设置了软件更新旗标,则流程通过软件更新来执行重启流程。在步骤260中,通过对安全单元60的被动存储器区域,即存储有已下载但未安装的软件包的存储器区域,应用CRC检查来执行新下载的软件更新的一致性检查。这种检查主要检查下载是否完整和成功。如果步骤260中的CRC检查失败,则在步骤330中清除更新旗标,重启流程如上所描述的那样继续而不进行软件更新。如果步骤260中的CRC检查成功,则流程继续在步骤270中执行真实性检查,例如,通过检查应用于下载的软件包的数字签名。如果步骤270中的CRC检查失败,则在步骤330中再次清除更新旗标,重启流程如上所描述的那样继续而不进行软件更新。如果步骤270中的检查成功,则在步骤272中清除有效旗标,指示当前安装的软件版本被认为不再有效,并在步骤280中将下载的软件更新包从被动存储器区域复制到活动存储器区域。在步骤282中,对活动存储器区域中的新复制的软件包再次应用CRC检查,以确保从被动存储器区域到活动存储区域的复制流程是成功且完整的。复制流程重复进行,直到步骤280中的CRC检查成功。然后,在步骤330中清除软件更新旗标,并且重启流程如上所描述的那样继续,不同之处在于旧的软件包已被更新的软件包替换。
上文所描述的实施方案允许技术人员在不必替换硬件的情况下更新人员输送机系统中,特别是电梯系统中的安全相关软件。
如上所述,更新人员输送机系统,特别是电梯系统中的安全相关软件,可以包括提供安全相关软件的更新版本,并将安全相关软件的更新版本存储在人员输送机系统的安全单元中。一旦存储完成,就可以通过操作与人员输送机系统永久相关联的软件更新激活开关来激活安全相关软件的更新版本。在成功激活安全相关软件的更新版本的情况下,对人员输送机系统的操作的进一步控制将基于安全相关软件的更新版本。
本文所述实施方案的上下文中的安全单元或安全控制器是可以包括硬件和/或软件的器械或装置。安全单元接收由开关设备或传感器设备(也称为安全开关)下发的输入信号,并通过逻辑组合以及有时其他的信号或数据处理步骤来根据输入信号产生输出信号。然后可以将输出信号提供给致动器,致动器根据输入信号在环境中实现特定动作或反应。
可编程安全单元或控制器允许用户根据其需要,使用被称为安全单元的用户程序的软件来单独地定义逻辑组合以及可能的其他信号或数据处理步骤。与以前的解决方案相比,可编程性带来很高的灵活性,其中通过经定义的各种安全设备之间的接线来产生逻辑组合。例如,可以使用市售的个人计算机(PC)并使用适当设置的软件程序来写入用户程序。
这种安全单元或安全控制器的首选应用领域是在机器安全领域,用于监控需要应急电源切断的不安全情况,或者需要停止或防止机器的运行。对于人员输送机系统,通常在运输人员的可移动部件的移动可能使人受伤时,需要停止或防止该可移动部件的运行。例如,在电梯系统中,当其中一个层站门打开时,或者当其中一个轿厢门未正确关闭时,或者当轿厢已经触发了井道中的限位开关时,会产生作为输入信号提供给安全单元的相应信号。响应于此,安全单元防止轿厢的进一步移动,例如,通过提供信号或使用致动器来关闭驱动机。
例如,如本公开的引言段落所述,在人员输送机系统中,安全开关位于各安全点,在这些安全点,必须在开始某一动作之前,并且如有必要,在这一动作过程中,监测安全关键部件的状态(特别是诸如门等可移动部件的位置)。这些安全开关可以串联连接起来以形成安全链,使得只有当所有安全开关显示预定的开关状态时,该动作才开始或继续。例如,在电梯系统的情形中,必须确保在电梯轿厢启动之前和行进过程中,所有的门(每个楼层上的轿厢门以及层站门)保持关闭并机械锁定。因此,除非连接监测门的关闭状态的各安全开关的安全链中的所有安全开关均闭合,否则通常不允许电梯轿厢的行进。
在电梯系统中,安全单元可以具有用于以电气方式监控电梯或其他输送机中使用的安全链的配置,以确保在电梯轿厢启动之前,以及当轿厢行进时,所有门(轿厢门和层站门)关闭并保持机械锁定。例如,如US 5 487 448和US 6 732 839中所述,安全链可被配置为使用非接触致动的开关设备。
有关安全开关和安全链的更多详细信息,请参阅本说明书的引言部分。
与“正常”控制器相比,通常要求安全单元始终确保安装的安全状态或者即使机器中或连接到机器的设备中发生故障机器也能显示危险状况。因此,通常对安全单元在其自身的故障安全性方面提出很高的要求,这导致了安全单元的开发、制造和维护的高度复杂性。通常情况下,安全单元在使用之前需要得到主管监督机构的特别批准,例如德国的在特定实施方案中,可能要求安全单元遵守例如国际标准IEC 61508第1部分至第3部分中规定的安全标准。在电梯领域,通常要求电气安全单元满足特定的标准,例如欧洲标准EN 81-20(2014)中规定的标准。在用于执行软件更新的特定实施方案的上下文中,可以将安全单元理解为指至少符合EN 81-20(2014)的第5.11.2节,特别是第5.11.2节第6子节的设备或装置。
按照本文所述的建议,安全软件的更新版本可以以自动方式存储在安全单元中。然而,即使在安全相关软件的更新版本包含用于替换现有代码的可执行代码的情况下,存储的安全相关软件的更新版本也不会一旦存储就是活动的。虽然这种可执行更新代码原则上可由安全单元或人员输送机系统的控制器使用来执行人员输送机系统中的相应控制流程,但建议在更新代码已经存储在安全单元中之后使可执行更新代码在初始阶段期间保持处于非活动状态。
无论是否包括可执行代码,更新代码将保持处于非活动状态,直到发生更新代码的激活。激活需要人员在人员输送机现场,以使人员输送机处于安全状态,并确保更新代码已被完整且正确地存储,并被完整且正确地安装。这是通过以下要求实现的:激活安全相关软件的更新版本要求操作与人员输送机系统永久地或固定地相关联的软件更新激活开关。与输送机系统永久地或固定地相关联意味着软件更新激活开关不能通过简单的手段从输送机系统中移除,特别是不能在不对人员输送机系统造成某种形式的损坏或不可逆转的变化的情况下移除。通常,在软件更新激活开关已被移除或以某种方式操纵之后,无法使人员输送机系统进入运行状态。
认证流程中人员的在场确保人员---通常是服务人员---能够正确地监控软件更新过程。然而,并不要求服务人员在需要安全相关软件的更新版本的每个位置都在场。而是,可以在相应的软件更新模块中提供软件更新,并且每个软件更新模块可以存储在需要该软件更新模块的相应位置处的安全单元中。为了激活,服务人员可以在安全的环境中操作,因为不需要更换硬件,而是服务人员只需要操作软件更新激活开关。
因此,由于不需要新的硬件,成本更低。更新流程可以容易和快速,从而提供更高的人员输送机可用性。在激活完成之前,可以对安全相关软件的更新版本应用各种检查和控制流程。因此,可以确保可靠且安全的更新过程。
特定实施方案可以包括以下任何可选特征,单独地或以组合方式:
如上所述,安全相关软件的更新版本可以作为包括可执行代码的文件存储在安全单元中。可执行代码(也称为可执行文件或可执行程序)意为使合适的计算机或微处理器根据编码指令执行指示的任务的代码,而不是必须通过程序解析以便对计算机或微处理器有意义的数据(数据文件)。可执行代码是指无需任何安装程序就可以执行的完全可运行的程序。可执行代码主要包括待由物理处理器执行的机器码指令。然而,在一些实施方案中,在更一般的意义上,包含用于软件解释器的指令(如字节码)的文件也可以被认为是可执行的。因此,在此意义上,即使脚本语言源文件也可以被认为是可执行的。术语可执行代码用于描述不一定构成整个可执行文件的可执行指令序列。例如,可执行代码可以指程序内的部分。
不可执行代码的典型示例是源代码,其中包含在能够通过处理器执行之前需经编译的指令。一旦被编译,源代码就不再存在,而是被转换成一组可由微处理器执行的指令。
在下载软件的上下文中,无需任何安装程序的完全可运行的程序(将是在此所称的可执行代码)通常也称为程序二进制文件,或二进制文件(与源代码相对)。
安全相关软件的更新版本可以通过任何方式提供给安全单元。通常,所选择的方法将通过数据网络将这种软件从作者下载到安全单元。下载可以由作者侧的服务器发起(类似于“推送”类型的数据传输),或者可以在安全单元的一侧发起(即,安全单元被编程来检查更新服务器等处的可用软件)。除了任何形式的从服务器下载软件之外,也可以使用任何其他形式的更常规的数据传输形式,例如,通过移动数据处理设备或通过合适的数据载体“手动”提供更新的软件版本。
具体而言,安全相关软件的更新版本可以存储在安全单元的第一存储器部分中,第一存储器部分是非活动存储器部分。在本上下文中使用的非活动存储器部分意在指非主动参与在控制电梯操作的上下文中由安全单元执行的任何控制流程的存储器或存储器部分。存储在这种非活动存储器部分中的数据不影响人员输送机系统的控制,特别是不影响任何安全特征,即使在代码包括可由微处理器直接执行的可执行程序代码的情况下。
在成功激活安全相关软件的更新版本的情况下,驻留在安全单元的第二活动存储器部分中的安全相关软件的现有版本可以被该安全相关软件的更新版本覆盖。第二存储器部分将是安全单元的活动存储器部分,因为存储在第二存储器部分中的任何可执行代码都将影响运行过程中人员输送机系统的安全相关功能的控制。通常,可执行程序代码(二进制代码)将被存储在第二存储器部分中,并将被执行以控制人员输送机的安全相关功能。在非二进制代码被存储在第二存储器部分中的情况下,在开始控制流程之前(例如,在启动流程或重启流程的过程中),或者当执行控制流程时,这种非二进制代码可能被转换成可执行代码(二进制)。
在特定实施方案中,软件更新激活开关的操作可以包括操作固定地附接到永久分配给人员输送机系统的控制板上的开关。因此,无法从任何远程位置成功地执行激活流程。而是,虽然可以以完全或至少宽泛的自动方式实现将安全相关软件的更新版本下载或存储到安全单元,但为了激活安全相关软件的更新版本,人员,通常是服务人员,在人员输送机现场是必需的。不可能自动(即,在不通过人员操作与激活开关交互的情况下)完成激活,也不可能远程地操作软件更新激活开关。
虽然可能需要对人员的授权,使得这些人员被允许操作软件更新激活开关,但这并不是特定的要求。在很多情况下,不需要授权,从而原则上任何人都可以操作软件更新激活开关。为了避免滥用软件更新激活开关的操作,通常将以如下方式提供软件更新激活开关:只有熟悉人员输送机的操作,特别是其安全流程的人员才能操作软件更新激活开关。例如,可以将软件更新激活开关包括在控制板中,因为人员输送机系统中通常提供控制板。在一个示例中,可以提供这种控制板,以允许电梯轿厢的应急电气操作,如大多数电梯安全码(例如,EN 81-20(2014)的第5.12.1.6节)中所要求的那样。例如,软件更新激活开关的操作可以包括操作包含在这种控制板中的至少一个开关。在最简单的形式中,常规的控制板还可以包括通过操作控制板中提供的开关的其中之一或其组合来激活安全相关软件的更新的可能性。
在特定实施方案中,软件更新激活开关可以具有由人员手动操作的配置。在最简单的形式中,这种手动操作开关可以具有机械开关的配置。这确保了人员将参与激活安全相关软件的更新版本,因为手动操作的开关无法远程操作。
为了避免滥用,软件更新激活开关可能不是任何人都可以自由操作的,而是可以以操作软件更新激活开关需要钥匙的方式提供。例如,在大多数人员输送机系统中,需要特定的钥匙(通常是三角形钥匙)来操作应急电气操作控制板。可以使用同一钥匙来操作软件更新激活开关。这种钥匙不一定需要分配给特定人员,而是可以给予满足某些要求的任何人(例如,给予希望对特定的人员输送机系统进行维护的任何人员)。
为了防止意外的软件更新激活,激活安全相关软件的更新版本可以进一步包括执行预定义的激活操作协议。可以通过操作软件更新激活开关来启动这种激活操作协议。例如,激活操作协议可以包括以预定顺序在软件激活控制板上操作特定数量的开关。作为替代,或者除此之外,激活操作协议可以是交互式的,因此需要人员与安全单元之间的某种形式的对话。一种实现交互式激活操作协议的方式是要求人员将移动终端连接到安全单元并回答特定问题。提供交互式激活操作协议还允许人员检查安全单元处可用的软件更新并确认在激活完成之前需要激活特定软件的可能性。
更新的软件版本可以通过数据网络从源计算机下载,特别是像互联网这样的公共数据网络。
在特定实施方案中,安全相关软件的更新版本可以作为加密文件提供并存储在安全单元中。除此之外,或者作为替代,安全相关软件的更新版本可以包括数字签名。虽然这些措施在通过公共数据网络下载安全相关软件的更新版本时特别有用,但它们对于更常规的数据传输形式也是有用的。具体而言,这些措施允许在重写人员输送机系统的安全单元的第二(活动)存储器部分中的安全相关软件的现有版本之前,在激活流程的上下文中检查安全相关软件的更新版本的真实性。例如,可以在操作软件更新激活开关之后执行对更新的软件版本的真实性的检查。另外,可以借助于使用软件更新的作者的私钥提供给安全相关软件的更新版本的数字签名来检查真实性。数字签名可以由接收者,即人员输送机系统的安全单元,使用作者的公钥进行验证,从而确保软件更新是由作者撰写的并且没有被修改。
激活安全相关软件的更新版本可以进一步包括检查安全相关软件的更新版本的一致性。此外,在重写人员输送机系统的安全单元的第二(活动)存储器部分中的安全相关软件的现有版本之前,将进行这种一致性检查。可以通过将安装在安全单元中的软件或软件模块与软件更新进行比较,并检查软件更新是否与安装在安全单元中的相同软件或软件模块的较新版本相关来检查一致性。可以设想到使用安全相关软件的加密更新版本来进行进一步的一致性检查,例如,可以将安装在安全单元中的安全相关软件的每个模块与相应的私钥相关联。然后,如果要更新这些软件模块之一,则可以由作者使用该软件模块的对应公钥来加密软件模块的更新版本。安全单元可以使用该软件模块的私钥来解密加密的更新软件版本。这确保只有具有与用于加密的公钥相对应的正确私钥的安全单元才可以解密软件模块的更新版本以创建可执行二进制文件。
检查安全相关软件的更新版本的一致性可以在检查安全相关软件的更新版本的真实性之前进行。
本文公开的实施方案还涉及一种人员输送机系统,特别是一种电梯系统,该人员输送机系统包括用于控制人员输送机系统的操作的控制器,该控制器包括被配置来控制人员输送机系统的安全相关功能的至少一个安全单元,该安全单元被配置来实现上文描述的更新安全相关软件的方法。具体而言,人员输送机系统可以包括用于在不同层站之间输送人员的至少一个可移动部件,并且控制器可以控制该可移动部件的运行。在电梯系统的情况下,可移动部件将包括至少一个电梯轿厢,该电梯轿厢可在位于建筑物中不同楼层的不同层站之间(通常沿着井道)移动。
此外,本文公开的实施方案涉及包括至少一个软件更新服务器和如前所述的至少一个人员输送机系统的系统。软件服务器将被配置来为人员输送机系统提供安全相关软件的更新,例如,以人员输送机系统的供应商的维修中心处的服务器的形式。人员输送机系统将被配置来通过数据网络从软件更新服务器接收安全相关软件的更新,并基于存储在安全单元中的更新的软件版本来执行本文所述的更新流程。
尽管通过参考具体示例性实施方案描述了本发明,但应理解,本发明并不限于这些实施方案,并且由所附权利要求的范围限定。
参考符号清单:
10:电梯系统
12:电梯轿厢
14:配重
16:张力构件
18:井道
18a:前侧壁
18b:左侧壁
18c:右侧壁
18d:后侧壁
20:层站门
22:最低层站
24:控制板
26:控制板前门
28:控制板钥匙锁
50:电梯控制系统
60:安全单元
70:主控制器
72:主控制器的功率继电器
80:驱动控制器
82:驱动控制器的功率继电器
90:门控制器
92:门控制器的功率继电器
100:制造商的服务器系统
120:数据网络
150:包括与服务器系统通信的电梯控制系统的系统
200:更新安全相关软件的方法
210:创建安全代码
220:对安全代码更新进行签名
230:从网络复制到下载存储器
240:在确保服务人员参与的情况下,激活下载
250:重启
260:一致性检查
270:真实性检查
280:从下载存储器复制到可执行存储器
290:执行
Claims (16)
1.一种更新人员输送机系统,特别是电梯系统(10)中的安全相关软件的方法(200),所述方法包括以下步骤:
-提供所述安全相关软件的更新版本(210);
-将所述安全相关软件的所述更新版本存储在所述人员输送机系统的安全单元(60)中(230);
-激活所述安全相关软件的所述更新版本(240),所述激活步骤包括操作与所述人员输送机系统永久相关联的软件更新激活开关;
-在成功激活所述安全相关软件的所述更新版本的情况下,基于所述安全相关软件的所述更新版本来控制所述人员输送机系统的操作(290)。
2.根据权利要求1所述的方法(200),其中所述安全相关软件的所述更新版本作为包括可执行代码的文件存储在所述安全单元(60)中。
3.根据权利要求1或2所述的方法(200),其中所述安全相关软件的所述更新版本存储在所述安全单元(60)的第一存储器部分中,所述第一存储器部分是非活动存储器部分。
4.根据权利要求1至3中任一项所述的方法(200),其还包括在成功激活所述安全相关软件的所述更新版本的情况下,重写所述安全单元的第二活动存储器部分中所述安全相关软件的现有版本(280)。
5.根据权利要求1至4中任一项所述的方法(200),其中所述操作所述软件更新激活开关的步骤包括:操作固定地附接到永久分配给所述人员输送机系统的控制板(24)的开关。
6.根据权利要求5所述的方法(200),其中所述软件更新激活开关包括应急电气操作激活开关。
7.根据权利要求1至6中任一项所述的方法(200),其中所述软件更新激活开关将由人员手动操作。
8.根据权利要求1至7中任一项所述的方法(200),其中所述软件更新激活开关可通过使用钥匙(28),特别是使用应急电气操作钥匙来操作。
9.根据权利要求1至8中任一项所述的方法(200),其中激活所述安全相关软件的所述更新版本还包括执行预定义的激活操作协议。
10.根据权利要求9所述的方法(200),其中所述激活操作协议是交互式激活操作协议。
11.根据权利要求1至10中任一项所述的方法(200),其中通过数据网络(120),特别是通过公共数据网络,从源计算机(100)下载所述安全相关软件的所述更新版本。
12.根据权利要求1至11中任一项所述的方法(200),其中所述安全相关软件的所述更新版本存储为加密文件。
13.根据权利要求1至12中任一项所述的方法(200),其中所述安全相关软件的所述更新版本包括数字签名。
14.根据权利要求1至13中任一项所述的方法(200),其中激活所述安全相关软件的所述更新版本还包括检查所述安全相关软件的所述更新版本的真实性(270)和/或检查所述安全相关软件的所述更新版本的一致性(260)。
15.一种人员输送机系统,特别是一种电梯系统(10),其包括用于控制所述人员输送机系统的操作的控制器(50),所述控制器(50)包括被配置来控制所述人员输送机系统的安全相关功能的至少一个安全单元(60),所述安全单元(60)被配置来实现根据权利要求1至14中任一项所述的更新安全相关软件的方法(200)。
16.一种包括至少一个软件更新服务器(100)和至少一个根据权利要求15所述的人员输送机系统(10)的系统(150),所述软件服务器(100)被配置来提供所述人员输送机系统的安全相关软件更新(10),所述人员输送机系统(10)被配置来通过数据网络(120)从所述软件更新服务器(100)接收所述安全相关软件更新。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2015/060475 WO2016180484A1 (en) | 2015-05-12 | 2015-05-12 | Method to update safety related software |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107636607A true CN107636607A (zh) | 2018-01-26 |
Family
ID=53189043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580080011.8A Pending CN107636607A (zh) | 2015-05-12 | 2015-05-12 | 更新安全相关软件的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20180157482A1 (zh) |
| EP (1) | EP3295263B1 (zh) |
| KR (1) | KR20180005690A (zh) |
| CN (1) | CN107636607A (zh) |
| ES (1) | ES2964006T3 (zh) |
| WO (1) | WO2016180484A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110077945A (zh) * | 2018-01-26 | 2019-08-02 | 日立楼宇技术(广州)有限公司 | 一种电梯外召设备升级方法、装置、设备及其存储介质 |
| CN110155841A (zh) * | 2019-06-03 | 2019-08-23 | 日立楼宇技术(广州)有限公司 | 一种电梯元件识别系统、电梯及电梯元件识别方法 |
| CN110182661A (zh) * | 2018-02-23 | 2019-08-30 | 奥的斯电梯公司 | 用于电梯系统的安全电路、更新这种安全电路的装置和方法 |
| CN113614016A (zh) * | 2019-03-18 | 2021-11-05 | 因温特奥股份公司 | 用于结合于建筑物的人员运送设施的安全装置 |
| US20210373880A1 (en) * | 2020-05-29 | 2021-12-02 | Kone Corporation | People conveyor system and a method for updating software of a people conveyor component in a people conveyor system |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2014323212B2 (en) * | 2013-09-18 | 2017-07-20 | Inventio Ag | Method for operating an elevator control device |
| ES2845648T3 (es) * | 2015-10-02 | 2021-07-27 | Kone Corp | Acceso a medio de control de un dispositivo de transporte de pasajeros |
| US10623188B2 (en) * | 2017-04-26 | 2020-04-14 | Fresenius Medical Care Holdings, Inc. | Securely distributing medical prescriptions |
| EP3438032A1 (en) * | 2017-07-31 | 2019-02-06 | Inventio AG | Method for updating software of an elevator system and updating system for updating a software of an elevator system |
| DE102017213405A1 (de) * | 2017-08-02 | 2019-02-07 | Franz Xaver Meiller Fahrzeug- Und Maschinenfabrik - Gmbh & Co Kg | Aufzugsystem |
| US20190112148A1 (en) * | 2017-10-13 | 2019-04-18 | Otis Elevator Company | Commissioning and upgrading remote software/firmware using augmented reality |
| EP3700850B1 (de) | 2017-10-27 | 2021-12-01 | Inventio AG | Sicherheitssystem für gebäudegebundene personenbeförderungsanlage |
| US11095502B2 (en) * | 2017-11-03 | 2021-08-17 | Otis Elevator Company | Adhoc protocol for commissioning connected devices in the field |
| US11016751B2 (en) | 2018-06-06 | 2021-05-25 | Otis Elevator Company | Automatic upgrade on total run count data on availability of new software |
| EP3617111A1 (en) | 2018-08-30 | 2020-03-04 | Inventio AG | Downloading updates for control software on passenger transport systems |
| US11472663B2 (en) * | 2018-10-01 | 2022-10-18 | Otis Elevator Company | Automatic software upgrade assistant for remote elevator monitoring experts using machine learning |
| US11372977B2 (en) * | 2018-11-12 | 2022-06-28 | Thirdwayv, Inc. | Secure over-the-air firmware upgrade |
| AU2020247061B2 (en) * | 2019-03-28 | 2023-07-06 | Inventio Ag | Method and system for commissioning of a communication gateway |
| JP7177755B2 (ja) * | 2019-07-24 | 2022-11-24 | 株式会社日立製作所 | サーバ、ソフトウェア更新システム、およびソフトウェア更新装置 |
| WO2023083817A1 (en) * | 2021-11-09 | 2023-05-19 | Agtatec Ag | Method for updating an automatic door system as well as automatic door system |
| WO2023117833A1 (en) * | 2021-12-20 | 2023-06-29 | Inventio Ag | Method of deploying a safety-related software in a passenger transport installation, passenger transport installation, and safety-related software update infrastructure |
| CN118715170A (zh) * | 2022-02-21 | 2024-09-27 | 通力股份公司 | 用于管理至少一个受控设备的功能安全状态的功能安全管理系统和方法 |
| DE102022107049A1 (de) | 2022-03-25 | 2023-09-28 | Tk Elevator Innovation And Operations Gmbh | Aufzugsystem mit modular abrufbaren Funktionsmodulen sowie Computerprogrammprodukt, Verwendung und Verfahren |
| DE102022107050A1 (de) | 2022-03-25 | 2023-09-28 | Tk Elevator Innovation And Operations Gmbh | Aufzugsystem und Verfahren jeweils zum einheitlichen Verarbeiten von Aufzugsystemparametern sowie Computerprogrammprodukt und Verwendung |
| WO2024153308A1 (en) * | 2023-01-16 | 2024-07-25 | Kone Corporation | Software update mechanism for time critical applications |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1342129A (zh) * | 1999-03-04 | 2002-03-27 | 奥蒂斯电梯公司 | 电梯的电子安全系统 |
| CN101365642A (zh) * | 2006-02-10 | 2009-02-11 | 三菱电机株式会社 | 电梯控制程序的远程更新系统 |
| CN103663024A (zh) * | 2013-09-06 | 2014-03-26 | 苏州汇川技术有限公司 | 电梯一体化控制器烧录系统、方法及智能手机 |
| CN103942075A (zh) * | 2014-04-09 | 2014-07-23 | 苏州汇川技术有限公司 | 一种电梯控制器固件烧录系统及方法 |
| US20140227976A1 (en) * | 2013-02-08 | 2014-08-14 | Microsoft Corporation | Pervasive service providing device-specific updates |
| CN104071659A (zh) * | 2013-03-25 | 2014-10-01 | 通力股份公司 | 用于防止在电梯控制装置中使用盗版产品的系统和方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1857897B1 (de) * | 2006-05-15 | 2014-01-15 | ABB PATENT GmbH | Verfahren und System zur Erstellung oder Änderung sicherheitsrelevanter Daten für eine Steuerungseinrichtung |
| SG141325A1 (en) * | 2006-09-12 | 2008-04-28 | Inventio Ag | Method for modernizing the control of an elevator system |
| US8770350B2 (en) * | 2008-12-18 | 2014-07-08 | Otis Elevator Company | Access control system and access control method for a people conveyor control system |
| US8594850B1 (en) * | 2012-09-30 | 2013-11-26 | Nest Labs, Inc. | Updating control software on a network-connected HVAC controller |
| US9021462B2 (en) * | 2013-03-13 | 2015-04-28 | Johnson Controls Technology Company | Systems and methods for provisioning equipment |
-
2015
- 2015-05-12 CN CN201580080011.8A patent/CN107636607A/zh active Pending
- 2015-05-12 KR KR1020177035457A patent/KR20180005690A/ko not_active Application Discontinuation
- 2015-05-12 EP EP15723205.9A patent/EP3295263B1/en active Active
- 2015-05-12 US US15/572,948 patent/US20180157482A1/en not_active Abandoned
- 2015-05-12 ES ES15723205T patent/ES2964006T3/es active Active
- 2015-05-12 WO PCT/EP2015/060475 patent/WO2016180484A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1342129A (zh) * | 1999-03-04 | 2002-03-27 | 奥蒂斯电梯公司 | 电梯的电子安全系统 |
| CN101365642A (zh) * | 2006-02-10 | 2009-02-11 | 三菱电机株式会社 | 电梯控制程序的远程更新系统 |
| US20140227976A1 (en) * | 2013-02-08 | 2014-08-14 | Microsoft Corporation | Pervasive service providing device-specific updates |
| CN104071659A (zh) * | 2013-03-25 | 2014-10-01 | 通力股份公司 | 用于防止在电梯控制装置中使用盗版产品的系统和方法 |
| CN103663024A (zh) * | 2013-09-06 | 2014-03-26 | 苏州汇川技术有限公司 | 电梯一体化控制器烧录系统、方法及智能手机 |
| CN103942075A (zh) * | 2014-04-09 | 2014-07-23 | 苏州汇川技术有限公司 | 一种电梯控制器固件烧录系统及方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110077945A (zh) * | 2018-01-26 | 2019-08-02 | 日立楼宇技术(广州)有限公司 | 一种电梯外召设备升级方法、装置、设备及其存储介质 |
| CN110077945B (zh) * | 2018-01-26 | 2021-09-14 | 日立楼宇技术(广州)有限公司 | 一种电梯外召设备升级方法、装置、设备及其存储介质 |
| CN110182661A (zh) * | 2018-02-23 | 2019-08-30 | 奥的斯电梯公司 | 用于电梯系统的安全电路、更新这种安全电路的装置和方法 |
| CN113614016A (zh) * | 2019-03-18 | 2021-11-05 | 因温特奥股份公司 | 用于结合于建筑物的人员运送设施的安全装置 |
| CN113614016B (zh) * | 2019-03-18 | 2023-05-05 | 因温特奥股份公司 | 用于结合于建筑物的人员运送设施的安全装置 |
| CN110155841A (zh) * | 2019-06-03 | 2019-08-23 | 日立楼宇技术(广州)有限公司 | 一种电梯元件识别系统、电梯及电梯元件识别方法 |
| US20210373880A1 (en) * | 2020-05-29 | 2021-12-02 | Kone Corporation | People conveyor system and a method for updating software of a people conveyor component in a people conveyor system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3295263B1 (en) | 2023-08-23 |
| US20180157482A1 (en) | 2018-06-07 |
| ES2964006T3 (es) | 2024-04-03 |
| WO2016180484A1 (en) | 2016-11-17 |
| EP3295263A1 (en) | 2018-03-21 |
| KR20180005690A (ko) | 2018-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107636607A (zh) | 更新安全相关软件的方法 | |
| JP4773093B2 (ja) | 安全制御装置および新規動作プログラムを安全制御装置上にロードする方法 | |
| EP3511280B1 (en) | Rescue operation in an elevator system | |
| JP5550718B2 (ja) | エレベータ安全制御装置 | |
| AU2018356262C1 (en) | Safety system for a building-related passenger transportation system | |
| CN107108152B (zh) | 解锁装置、具有解锁装置的电梯设备和用于操作解锁装置的方法 | |
| US10214383B2 (en) | Method and device for commissioning an elevator system | |
| EP3530602B1 (en) | Safety circuit for an elevator system, device and method of updating such a safety circuit | |
| CN108367888B (zh) | 人员运送设备、维护方法以及维护控制器 | |
| EP3322660A1 (en) | Elevator control system | |
| CN102087524A (zh) | 现场总线系统 | |
| US20160297641A1 (en) | Safety system for an elevator, elevator system, and method for operating such a safety system | |
| US20180314512A1 (en) | Software updating device | |
| CN115515878B (zh) | 通过可靠地配置电子安全装置来运行人员运送设备的方法 | |
| CN108475202B (zh) | 安全控制器以及用于改变安全控制器的功能范围的方法 | |
| CN113614016B (zh) | 用于结合于建筑物的人员运送设施的安全装置 | |
| US20220006863A1 (en) | Method for processing application programs in a distributed automation system | |
| US20230183049A1 (en) | System and method for access control for a robotic vehicle | |
| JP2006056676A (ja) | エレベータの保守システム | |
| WO2024153308A1 (en) | Software update mechanism for time critical applications | |
| JP2021080082A (ja) | エレベーターシステム及び復帰方法 | |
| KR20100018434A (ko) | 유지보수용 툴, 산업용 장치의 원격제어 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180126 |