CN111212805A - 用于建筑物的人员运送设备的安全系统 - Google Patents
用于建筑物的人员运送设备的安全系统 Download PDFInfo
- Publication number
- CN111212805A CN111212805A CN201880067027.9A CN201880067027A CN111212805A CN 111212805 A CN111212805 A CN 111212805A CN 201880067027 A CN201880067027 A CN 201880067027A CN 111212805 A CN111212805 A CN 111212805A
- Authority
- CN
- China
- Prior art keywords
- unit
- volatile memory
- security
- software
- updated software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B5/00—Applications of checking, fault-correcting, or safety devices in elevators
- B66B5/0087—Devices facilitating maintenance, repair or inspection tasks
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
一种用于建筑物的人员运送设备(10)的安全系统(36)包括:安全单元(40),用于从人员运送设备(10)的组件(26)接收对于安全关键的信号并且用于触发安全措施;以及更新单元(38),用于经由外部接口(42)接收更新的软件(50)并且用于经由内部接口(52)将更新的软件(50)发送至安全单元(40)。
Description
技术领域
本发明涉及一种用于建筑物的人员运送设备的安全系统以及一种用于更新该安全系统的软件的方法。
背景技术
建筑物的人员运送设备(例如升降梯、自动扶梯和移动步道)用于在建筑物内运输人员。升降梯设备例如用于在建筑物内在不同楼层之间运送人员。为此目的,升降梯轿厢通常可以在大多竖直的升降梯竖井内移动。在自动扶梯或移动步道的情况下,人员可以站在脚踏单元上沿倾斜或水平的行驶行程被运送。
为了能够确保人员安全,许多的建筑物人员运送设备都具有安全单元,该安全单元从对于安全关键的传感器接收信号,并对信号进行评估,如果发现不安全的状态,则触发安全措施。该安全措施可以例如包括通过将相应的信号传输到建筑物的人员运送设备的控制器来停住建筑物的人员运送设备。例如,在升降梯设备的门上通常安装有开关,利用开关能够检查门是否关闭。如果并非所有门都关闭,则安全单元防止升降梯轿厢在竖井中移动,例如以便防止人员被夹住或掉入竖井中。
由于安全单元通常被大量安装,因此会希望能够在外部例如经由因特网更新安全单元的软件。另一方面,必须保护外部接口免遭未经授权的干预。但是,安全单元的复杂度应保持得尽可能低,以确保安全功能随时且正确地执行。另外,通常必须对人员运送设备的安全单元进行认证,这随着安全单元的复杂性的增加而变得更加复杂,因此成本更高。
WO2016/180484A1、EP2916219A1和US6,170,614B1描述了用于更新升降梯设备的安全监控系统中的软件的方法。
发明内容
总体而言,会需要一种安全系统,该安全系统具有具备受良好保护的更新功能的、简单构造的安全单元。
可以通过独立权利要求的主题满足这种需要。有利的实施方式在从属权利要求和下面的说明书中描述。
本发明的一个方面涉及一种用于建筑物的人员运送设备的安全系统。如已经提到的,建筑物的人员运送设备可以是升降梯设备、自动扶梯系统或移动步道。
根据本发明的一种实施方式,该安全系统包括安全单元,该安全单元用于从人员运送设备的组件接收对于安全关键的信号并且用于触发安全措施。对于安全关键的信号例如可以来自建筑物的人员运送设备的安全传感器和/或可以通过总线发送给安全单元。安全传感器通常可以是对关于建筑物的人员运送设备的组件安全的信息加以检测的所有类型的传感器。针对这种传感器的示例是检测升降梯门是否正常关闭的门关闭传感器。安全单元可以直接与建筑物的人员运送设备的控制器相连接,该控制器例如对驱动器和/或其他促动器(例如开门器)加以控制。该安全措施可以包括例如安全单元向人员运送设备的控制器发送警告信号。如果安全单元发出警告信号,则控制器例如可以阻止驱动器和/或促动器运行。替代向控制器发送警告信号,安全单元还可以中断对人员运送设备的能量供应,从而停止人员运送设备。另外,可以设想其他的安全措施。
该安全系统还包括更新单元,该更新单元用于经由外部接口接收更新的软件并且用于经由内部接口将更新的软件发送至安全单元。外部接口可以例如通过一个或多个数据通信设备(例如路由器)与因特网连接。可以通过外部接口接收更新的软件。在此,更新单元可以检查:软件的提供方或发送者是否被授权和/或可以解密更新的软件。
更新单元和安全单元可以通过内部接口交换数据。对于接口而言,术语“外部”可以表示:能够通过该接口与不属于建筑物的人员运送设备的组件交换数据。相反,对于接口而言,“内部”意味着只能与建筑物的人员运送设备的组件交换数据。例如,更新单元可以将更新的软件直接写入安全单元的存储器中。这样,可以将对于更新所需的安全单元的软件减少到最少。
安全单元和更新单元是分开的单元。安全单元和更新单元具有它们自已的硬件,即每个安全单元和更新单元都可以具有在其上运行其自己的软件组件的单独的硬件。因此,可以尽可能简单地设计安全单元的硬件和软件,这可以提高人身安全性并简化认证。对于安全单元不需要外部接口和复杂的更新的软件。相反,可以针对数据安全性优化更新单元。甚至更复杂的软件(例如用于解密/加密数据的软件)也可以出现在更新单元中,并可以快速处理。更新单元可以保护与安全单元的内部接口。更新单元的认证不是必需的,因此就此而言,更新单元的更大复杂性并不紧要。
安全单元包括第一处理器、第一易失性存储器和第一非易失性存储器。由被更新的软件代替的要被更新的软件可以位于第一非易失性存储器中,例如是闪存。也可以将需要更新的软件理解为安全设备的固件。安全单元可以是可编程逻辑控制器(SPS;英语:Programmable Logic Controller—PLC)。此外,安全单元可以包括端口(通信模块),用于通过内部接口与其他组件(例如控制器和安全传感器)进行数据通信。
更新单元包括第二处理器、第二易失性存储器和第二非易失性存储器。在更新单元的第二非易失性存储器中,例如可以存储更新软件,该更新软件包括操作系统、用于解密和加密并且用于经由内部和外部接口进行通信等的软件组件。此外,更新单元可以包括用于通过内部接口和外部接口进行数据通信的端口(通信模块)。
根据本发明的一种实施方式,安全单元和更新单元被安装在共同的壳体中。安全单元和更新单元可以是共用的结构组件。两个单元可以安装在同一块电路板上,因此很难在安全单元和更新单元之间搭接线路。但是,也可以将两个单元安装在布置于同一壳体中的单独的电路板上。
根据本发明的一种实施方式,安全系统包括多个(例如冗余的)安全单元。该安全系统还可以由多个安全单元组成:这些安全单元分散地布置并且各自执行不同的任务。可以将更新单元设计为向所有这些安全单元提供更新的软件。安全单元也可以包括由更新单元更新的冗余存储模块。
根据本发明的一种实施方式,用于接收更新的软件并将更新的软件发送到安全单元的更新软件存储在更新单元中。能够以加密形式将更新软件存储在第二非易失性存储器中。更新软件也能够以加密形式存储在受保护的非易失性存储器中。更新软件可以在执行之前由更新单元解密。
根据本发明的一种实施方式,更新单元包括不能通过外部接口改变的、受保护的非易失性存储器。该非易失性存储器(例如受保护的FLASH存储器)可以用于存储受保护的以防被外部接口未经授权的干预所更改的数据。
根据本发明的一种实施方式,更新单元的引导加载程序(Bootloader)被设计用于:解密更新软件并将其加载到更新单元的第二易失性存储器中。引导加载程序可以存储在受保护的非易失性存储器中。更新单元能够以如下方式执行安全的引导过程,使得:不能从外部更改的引导加载程序例如从能够从外部更改的非易失性存储器加载、解密更新的软件,并且在易失性存储器中启动。
根据本发明的一种实施方式,用于安全系统的私钥被存储在受保护的非易失性存储器中。利用该密钥可用于解密通过外部接口接收的数据。以加密形式存储在更新单元中的更新软件也可以使用私钥解密。私钥可以唯一地(一一对应地)分配给更新单元。
根据本发明的一种实施方式,更新的软件的提供方的公用密钥被存储在受保护的非易失性存储器中。使用此公用密钥,可以对提供方进行身份认证和/或为其加密数据。
根据本发明的一种实施方式,更新的软件以未加密的形式存储在安全单元的第一非易失性存储器中。由于安全单元受到更新单元的保护,免受来自外部的未经授权的干预,因此无需针对安全单元实施内部数据安全措施。
如上所述,本发明的另一方面涉及一种用于更新安全系统的软件的方法,如该方法在上下文中介绍的那样。例如所述方法可以由更新单元的处理器并且可选地由安全单元的处理器执行。应该认为,该方法的特征也可以是安全系统的特征,安全系统的特征也可以是该方法的特征。
根据本发明的一种实施方式,该方法包括:通过外部接口对更新的软件的提供方进行身份认证;由更新单元通过外部接口来接收具有更新的软件的数据包;通过内部接口将更新的软件传输到安全单元;以及将更新的软件存储在安全单元的非易失性存储器中。
可以使用提供方的公用密钥进行身份认证,该公用密钥存储在更新单元中。
具有更新的软件的数据包可以包含一个标头或者说头文件(Header),该标头只能使用安全单元的专用私钥解密。该标头可以包含有关数据包另一部分内容的信息,例如,只有在接收到标头后,提供方才能发送该信息。
例如,数据包仅包括要更新的软件的已更改组件,并且标头可以提供有关用更新的软件替换要更新的软件的哪些部分的情况。
例如,更新的软件可以直接由更新单元存储。然而,安全单元也可以具有自己的更新软件作为软件组件,该软件组件承担更新的软件的存储。
根据本发明的一种实施方式,该方法还包括:由更新单元解密数据包。数据包也可以用私钥解密。但是,至少一部分数据包也可以用更新的软件进行不同方式的加密。
根据本发明的一种实施方式,使用例如在AES(高级加密标准(AdvancedEncryption Standard))中定义的对称加密方法,用更新的软件来加密数据包或数据包的至少一部分。可以将用于对称加密方法的临时密钥与非对称加密方法的密钥(例如上述公用密钥和私有密钥)交换。
根据本发明的一种实施方式,该方法还包括:更新单元在提供方处对更新的软件的常规请求。更新软件可以承担检查是否有可用的更新的软件的任务。为此,例如可以查询存储在更新单元中的地址。
根据本发明的一种实施方式,该方法还包括:请求将更新的软件从更新单元传输到安全单元;以及在安全单元处于正常模式时,防止由安全单元进行传输。在正常模式下或在安全单元监控建筑物的人员运送设备的安全性的监控模式下,安全单元可以阻止经由内部接口的任何通信。
根据本发明的一种实施方式,仅当安全单元处于更新模式时,才传输更新的软件。例如,软件的更新必须由更新单元实施请求。仅当安全单元处于更新模式时(例如,停用建筑物的人员运送设备的所有促动器时),才能执行软件更新。在更新期间,安全单元可以发出警告信号,警告信号防止激活建筑物的人员运送设备的促动器。
要注意的是,本文参照不同的实施方式描述了本发明的一些可能的特征和优点。本领域技术人员认识到,能够以适当的方式组合、修改或交换这些特征,以便获得本发明的其他实施例。
附图说明
下面参照附图描述本发明的实施例,其中,附图和说明书均不应解释为对本发明的限制。
图1示意性地示出根据本发明的实施方式的具有安全系统的升降梯设备形式的、用于建筑物的人员运送设备。
图2示出根据本发明的实施方式的安全系统。
图3示出根据本发明的另一实施方式的安全系统。
图4示出根据本发明的实施方式的用于更新安全系统的软件的方法的流程图。
这些图仅是示意性的,并且没有按比例绘制。不同附图中的相同附图标记表示相同的或相同作用的特征。
具体实施方式
图1示出呈升降梯设备10形式的、用于建筑物的人员运送设备10。下面以示例的方式介绍升降梯设备。然而,应当认为,其他人员运送设备10(例如自动扶梯或移动步道)也可以具有安全系统,这如下所述那样。
升降梯设备10包括升降梯竖井12,升降梯轿厢14和对重16能够在升降梯竖井12中移动。为此,升降梯轿厢14和对重16被保持在绳索或皮带状的承载机构18上,该绳索或皮带状的承载机构18可以通过驱动机器20来驱动。升降梯设备10以及特别是驱动机器20的操作可以借助于中央控制单元22来控制。
为了能够确保升降梯设备10的正确功能以及尤其是安全性,在容纳升降梯设备10的建筑物24中容纳多个安全传感器26。这些安全传感器26分散地布置在建筑结构24中。安全传感器26可以例如包括门开关28或者可以与门开关28连接,门开关28可以监控升降梯设备10的门30,特别是楼层门的关闭状态。还可以将梯子32放置在升降梯竖井12的例如地面或井坑附近,例如通过与安全传感器26连接的开关33来监控梯子32在升降梯竖井12的侧壁上的正确安排的定位。
安全传感器26可以例如经由串行总线34与安全系统36连接,如果信号指示出存在安全问题,则安全系统36基于来自安全传感器26的信号来生成警告信号。当控制器22接收到警告信号时,它可以例如停止操作升降梯设备10或阻止其开始运行。
图2示出了安全系统36,其包括更新单元38和一个或多个安全单元40、40’、40”。更新单元38可以经由外部接口42与数据通信单元44交换数据,该数据例如经由互联网46由诸如互联网服务器的提供方48提供。特别地,提供方可以为安全单元40、40’、40”提供更新(后)的软件50,然后,更新的软件由更新单元38经由外部接口42下载并且在必要时解密。然后,通过内部接口52将更新的软件50导入一个或多个安全单元40、40’、40”中。
数据通信单元44可以是例如经由LAN(局域网(local area network))与更新单元38连接的路由器或移动无线电单元。例如,可以使用以太网来操作外部接口。
更新单元38可以是“嵌入式设备(embedded device)”,即为外部接口42和内部接口52提供相应的输入/输出组件的计算机。
一个或多个安全单元40、40’、40”也可以是嵌入式设备,其为内部接口52、安全传感器26和中央控制器22提供相应的输入/输出组件。一种可能性是,其中一个或多个安全单元40、40’、40”包括可编程逻辑控制器(SPS)。
可行的是,存在冗余的安全单元40、40’,该冗余的安全单元产生用于中央控制器22的警告信号。例如,冗余的安全单元40、40’可以彼此监控故障。可以在嵌入式设备和/或可编程逻辑控制器(SPS)中实现冗余安全单元40、40’。另外可行的是,另一安全单元40”产生用于设备10的另一控制器22”的另一警告信号。例如,具有多个驱动器20的升降梯设备可以具有多个控制器22、22’,当安全传感器26报告问题时,所有这些控制器都停止。
一个或多个安全单元40、40’、40”例如经由作为内部接口52的串行总线与更新单元38连接。通过将安全系统分成单元38、40、40’、40”(这些单元都具有自己的计算机),外部通讯和内部软件更新可以通过内部接口52相互分开。更新单元38能够以如下方式运行和优化,使得:数据安全性尽可能地高。一个或多个安全单元40、40’、40”能够以如下方式运行和优化,使得人身安全性尽可能地高并且结构尽可能简单。
图3示出了安全系统36,其中,更新单元38和安全单元40作为共用组件在共用的壳体54中提供。例如,更新单元38和安全单元40可以安装在共用的电路板上。
安全单元40(例如可编程逻辑控制器(SPS))包括:第一处理器56、第一易失性存储器58(例如RAM)和第一非易失性存储器60(例如闪存)。待更新的软件或固件62位于非易失性存储器中,待更新的软件或固件评估来自安全传感器26的信号并生成警告信号。软件62还可以包括负责对软件62更新的软件组件。
安全单元40还包括用于与更新单元38通信的输入/输出组件64。安全单元40和更新单元38之间的总线或数据通信线路可以完全容纳在壳体54中。按照这种方式,也不能从外部进行任何操作。
安全单元40还包括用于与控制器22和/或安全传感器26通信的输入/输出组件66。输入/输出组件66能够以如下方式配置,使得不能经由该输入/输出组件来更新软件62。例如,输入/输出组件66可以是纯模拟的。
更新单元38(例如嵌入式设备)包括:第二处理器68、第二易失性存储器70(例如RAM)和第二非易失性存储器72(例如FLASH存储器)。如下的软件或固件74位于非易失性存储器中:这些软件或固件负责与提供方48进行通信以及负责接收、解密和发送要更新的软件50。
此外,更新单元38可以包括受保护的非易失性存储器76,该受保护的非易失性存储器76被保护免于经由外部接口42被更新。例如,受保护的非易失性存储器76可以是FLASH存储器或EPROM,其只能通过在安全系统36中的机械干预(例如打开外壳54)被改变。
引导加载程序78可以位于受保护的非易失性存储器76中,引导加载程序对软件74进行解密,该软件只能以加密形式存储在存储器72中,并将该软件加载到易失性存储器70中。软件74也可以是至少部分地位于受保护的非易失性存储器76中。
在受保护的非易失性存储器76中,还可以存在用于更新单元38的私钥80,例如,可以使用私钥80对软件74进行解密。
另外,在受保护的非易失性存储器76中可以包含更新的软件50的提供方48的公用密钥82,例如,当与提供方48建立数据通信时,可以使用该公用密钥对提供方48进行身份认证。
更新单元38还包括用于与安全单元40通信的输入/输出组件84和用于例如通过以太网与数据通信单元44通信的输入/输出组件86。
应该认为,图2中所示的安全单元40、40’、40”与图3所示的安全单元40相同地构造。相同的方案适用于更新单元38和安全系统36。
图4示出用于更新安全系统36的软件的方法的流程图,该方法如在先前的附图中所示那样。
在步骤S10中,更新单元38在提供方48处通过外部接口42定期询问:是否有更新的软件50。例如,这可以每天进行一次。在此,更新的软件50的提供方48也可以被验证身份,即,可以检查提供方48是否真的是应当向其请求更新的软件50的提供方。身份验证可以例如通过公用密钥82进行。
例如,提供方48可以是由制造商和/或维护人员为系统10提供的用于软件更新的服务器。
如果存在更新的软件50,则在步骤S12中更新单元38经由外部接口42接收具有更新的软件50的数据包88。例如,可以首先接收数据包88的标头90,在标头中存储关于更新的软件50的范围的信息。可能并没有存储所有需要更新的软件62,而是仅一部分软件应被更新。这可以存储在标头90中。
数据包88或其主体和/或更新的软件50也可以使用对称加密方法来加密。为此,可以使用两个秘钥80、82确定关联的临时秘钥。
如果数据包88或更新的软件50被加密,则更新单元38在步骤S14中执行解密。这时,更新的软件50以解密的形式存在于更新单元38的易失性存储器70中。
对于内部接口52,可以在更新单元38和安全单元40之间存在更新协议,该更新协议尤其确保:仅当安全单元40处于更新模式时才传输更新的软件50。
为此目的,更新单元38可以在步骤S16中经由内部接口52向安全单元40询问:安全单元40是否准备好传送更新的软件50。如果还没有,例如因为安全单元处于正常模式,可以阻止这种传输。
此外,在该请求之后,安全单元40可以主动地切换到更新模式或等待机会(例如当系统10被停用时)来切换到更新模式。如果安全单元40处于更新模式,则安全单元可以经由内部接口52相应地通知更新单元38。
在步骤S18中,如果安全单元40处于更新模式,则通过内部接口52将更新的软件50发送到安全单元40。可以将更新的软件50以未加密形式存储在安全单元40的非易失性存储器60中。
总之,应当指出,诸如“具有”、“包括”等术语不排除其他元件或步骤,诸如“一个”或“一”等术语不排除多个。此外,应当指出,已经参考上述示例性实施例之一描述的特征或步骤也可以与上述其他示例性实施例的其他特征或步骤结合使用。权利要求中的附图标记不应视为限制。
Claims (14)
1.一种用于建筑物的人员运送设备(10)的安全系统(36),所述安全系统(36)包括:
安全单元(40),用于从人员运送设备(10)的组件(26)接收对于安全关键的信号并且用于触发安全措施;
更新单元(38),用于经由外部接口(42)接收更新的软件(50)并且用于经由内部接口(52)将更新的软件(50)发送至安全单元(40),
其特征在于,
安全单元(40)包括第一处理器(56)、第一易失性存储器(58)和第一非易失性存储器(60),以及
更新单元(38)包括第二处理器(68)、第二易失性存储器(70)和第二非易失性存储器(72)。
2.根据权利要求1所述的安全系统(36),其中,
安全单元(40)和更新单元(38)被安装在共同的壳体(54)中。
3.根据前述权利要求中任一项所述的安全系统(36),其中,
安全系统(36)包括多个安全单元(40、40’、40”);
更新单元(38)设计用于,为安全单元(40、40’、40”)提供更新的软件(50)。
4.根据前述权利要求中任一项所述的安全系统(36),其中,
在更新单元(38)中存储更新软件(74),用于接收更新的软件(50)以及用于将更新的软件(50)发送给安全单元(40);
更新软件(74)以加密的形式存储在第二非易失性存储器(72)中。
5.根据前述权利要求中任一项所述的安全系统(36),其中,
更新单元(38)包括受保护的非易失性存储器(76),所述受保护的非易失性存储器不能通过外部接口(42)改变。
6.根据权利要求5所述的安全系统(36),其中,
更新单元(38)的引导加载程序(78)被设计用于,将更新软件(74)解密并且加载到更新单元(38)的第二易失性存储器(70)中。
7.根据权利要求5或6所述的安全系统(36),其中,
用于安全系统(36)的私钥(80)存储在受保护的非易失性存储器(76)中;和/或
更新的软件(50)的提供方(48)的公用秘钥(82)存储在受保护的非易失性存储器(76)中。
8.根据前述权利要求中任一项所述的安全系统(36),其中,更新的软件(50)以未加密的形式存储在安全单元(40)的第一非易失性存储器(60)中。
9.一种用于对根据前述权利要求中任一项所述的安全系统(36)的软件进行更新的方法,所述方法包括:
通过外部接口(42)对更新的软件(50)的提供方(48)进行身份验证;
由更新单元(38)通过外部接口(42)接收具有更新的软件(50)的数据包(88),所述更新单元具有第二处理器(68)、第二易失性存储器(70)和第二非易失性存储器(72);
将更新的软件(50)通过内部接口(52)传输到安全单元(40),所述安全单元具有第一处理器(56)、第一易失性存储器(58)和第一非易失性存储器(60);
将更新的软件(50)存储在安全单元(40)的第一非易失性存储器(60)中。
10.根据权利要求9所述的方法,所述方法还包括:
通过更新单元(38)对数据包(88)加以解密。
11.根据权利要求10所述的方法,其中,
数据包(88)至少部分地利用对称的加密方法加密。
12.根据权利要求9至11中任一项所述的方法,所述方法还包括:
由更新单元(38)在提供方(48)处定期询问是否有更新的软件(50)。
13.根据权利要求9至12中任一项所述的方法,所述方法还包括:
请求将更新的软件(50)从更新单元(38)传输到安全单元(40);以及
在安全单元(40)处于正常模式时,防止由安全单元进行传输。
14.根据权利要求9至13中任一项所述的方法,其中,
仅当安全单元(40)处于更新模式中时,才传输更新的软件(50)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17198934 | 2017-10-27 | ||
| EP17198934.6 | 2017-10-27 | ||
| PCT/EP2018/078520 WO2019081332A1 (de) | 2017-10-27 | 2018-10-18 | Sicherheitssystem für gebäudegebundene personenbeförderungsanlage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111212805A true CN111212805A (zh) | 2020-05-29 |
| CN111212805B CN111212805B (zh) | 2021-07-09 |
Family
ID=60190740
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880067027.9A Active CN111212805B (zh) | 2017-10-27 | 2018-10-18 | 用于建筑物的人员运送设备的安全系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11718502B2 (zh) |
| EP (1) | EP3700850B1 (zh) |
| CN (1) | CN111212805B (zh) |
| AU (1) | AU2018356262C1 (zh) |
| WO (1) | WO2019081332A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3484802B1 (en) * | 2016-07-14 | 2021-03-31 | Inventio AG | Elevator with safety chain overlay control unit comprising a safety plc separately monitoring various safety switches for increasing a safety integrity level |
| BR112022025650A2 (pt) * | 2020-06-19 | 2023-01-17 | Inventio Ag | Método de operação de uma instalação de transporte de passageiros pela configuração confiável de um dispositivo de segurança eletrônico por meio de transmissão de dados visuais |
| JP7151941B2 (ja) | 2020-06-19 | 2022-10-12 | 三菱電機ビルソリューションズ株式会社 | エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法 |
| CN113548557B (zh) * | 2021-07-19 | 2023-03-24 | 广州广日电梯工业有限公司 | 电梯网络异常的保护方法以及计算机可读存储介质 |
| JP2023127066A (ja) * | 2022-03-01 | 2023-09-13 | 株式会社日立製作所 | エレベーターシステム及びファームウェア送信方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000039015A1 (en) * | 1998-12-29 | 2000-07-06 | Otis Elevator Company | Electronic overspeed governor for elevators |
| CN102070054A (zh) * | 2009-11-19 | 2011-05-25 | 上海三菱电梯有限公司 | 电梯运行控制软件自动测试系统 |
| CN102421691A (zh) * | 2009-05-15 | 2012-04-18 | 蒂森克虏伯电梯股份有限公司 | 电梯综合控制装置 |
| CN103257872A (zh) * | 2013-04-15 | 2013-08-21 | 中国信息安全测评中心 | 一种计算机的嵌入式控制系统及其更新方法 |
| EP2916219A1 (en) * | 2014-03-03 | 2015-09-09 | Kone Corporation | A system and a method for elevator software updating in elevator processor boards |
| CN105117651A (zh) * | 2015-09-16 | 2015-12-02 | 上海华为技术有限公司 | 一种控制单板安全启动的方法、软件包升级的方法及装置 |
| CN107040459A (zh) * | 2017-03-27 | 2017-08-11 | 高岩 | 一种智能工业安全云网关设备系统和方法 |
| US20170243007A1 (en) * | 2012-01-12 | 2017-08-24 | Facebook, Inc. | Multiple system images for over-the-air updates |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6173814B1 (en) * | 1999-03-04 | 2001-01-16 | Otis Elevator Company | Electronic safety system for elevators having a dual redundant safety bus |
| DE10017932A1 (de) | 2000-04-11 | 2001-10-31 | Siemens Ag | Vorrichtung und Verfahren zur Steuerung und/oder Regelung einer Anlage |
| US9489496B2 (en) | 2004-11-12 | 2016-11-08 | Apple Inc. | Secure software updates |
| CN101365642B (zh) | 2006-02-10 | 2011-03-23 | 三菱电机株式会社 | 电梯控制程序的远程更新系统 |
| EP1857897B1 (de) | 2006-05-15 | 2014-01-15 | ABB PATENT GmbH | Verfahren und System zur Erstellung oder Änderung sicherheitsrelevanter Daten für eine Steuerungseinrichtung |
| ES2499340T3 (es) * | 2007-08-07 | 2014-09-29 | Thyssenkrupp Elevator Ag | Sistema de elevador |
| RU2496144C2 (ru) | 2008-12-18 | 2013-10-20 | Отис Элевэйтор Компани | Система контроля доступа и способ управления доступом для системы управления транспортером для перевозки людей |
| US8594850B1 (en) | 2012-09-30 | 2013-11-26 | Nest Labs, Inc. | Updating control software on a network-connected HVAC controller |
| US9021462B2 (en) | 2013-03-13 | 2015-04-28 | Johnson Controls Technology Company | Systems and methods for provisioning equipment |
| JP6226709B2 (ja) * | 2013-11-15 | 2017-11-08 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
| CN107636607A (zh) | 2015-05-12 | 2018-01-26 | 奥的斯电梯公司 | 更新安全相关软件的方法 |
| US20180314512A1 (en) * | 2015-10-15 | 2018-11-01 | Otis Elevator Company | Software updating device |
-
2018
- 2018-10-18 CN CN201880067027.9A patent/CN111212805B/zh active Active
- 2018-10-18 AU AU2018356262A patent/AU2018356262C1/en active Active
- 2018-10-18 US US16/648,273 patent/US11718502B2/en active Active
- 2018-10-18 EP EP18785667.9A patent/EP3700850B1/de active Active
- 2018-10-18 WO PCT/EP2018/078520 patent/WO2019081332A1/de unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000039015A1 (en) * | 1998-12-29 | 2000-07-06 | Otis Elevator Company | Electronic overspeed governor for elevators |
| CN102421691A (zh) * | 2009-05-15 | 2012-04-18 | 蒂森克虏伯电梯股份有限公司 | 电梯综合控制装置 |
| CN102070054A (zh) * | 2009-11-19 | 2011-05-25 | 上海三菱电梯有限公司 | 电梯运行控制软件自动测试系统 |
| US20170243007A1 (en) * | 2012-01-12 | 2017-08-24 | Facebook, Inc. | Multiple system images for over-the-air updates |
| CN103257872A (zh) * | 2013-04-15 | 2013-08-21 | 中国信息安全测评中心 | 一种计算机的嵌入式控制系统及其更新方法 |
| EP2916219A1 (en) * | 2014-03-03 | 2015-09-09 | Kone Corporation | A system and a method for elevator software updating in elevator processor boards |
| CN105117651A (zh) * | 2015-09-16 | 2015-12-02 | 上海华为技术有限公司 | 一种控制单板安全启动的方法、软件包升级的方法及装置 |
| CN107040459A (zh) * | 2017-03-27 | 2017-08-11 | 高岩 | 一种智能工业安全云网关设备系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111212805B (zh) | 2021-07-09 |
| AU2018356262B2 (en) | 2021-12-02 |
| US20200283266A1 (en) | 2020-09-10 |
| AU2018356262C1 (en) | 2022-03-03 |
| WO2019081332A1 (de) | 2019-05-02 |
| EP3700850B1 (de) | 2021-12-01 |
| EP3700850A1 (de) | 2020-09-02 |
| AU2018356262A1 (en) | 2020-04-02 |
| US11718502B2 (en) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111212805B (zh) | 用于建筑物的人员运送设备的安全系统 | |
| EP3511280B1 (en) | Rescue operation in an elevator system | |
| EP3295263B1 (en) | Method to update safety related software | |
| EP3392191B1 (en) | Elevator control system | |
| CN110182661B (zh) | 用于电梯系统的安全电路、更新这种安全电路的装置和方法 | |
| KR102281782B1 (ko) | 무선 통신 시스템에서 단말의 어플리케이션을 원격으로 관리하는 방법 및 장치 | |
| US9434391B2 (en) | Braking system | |
| JP2009286600A (ja) | 遠隔監視システムの制御プログラム書替え方法 | |
| WO2022049636A1 (ja) | 制御モード切替装置、および制御モード切替方法 | |
| JP5996703B1 (ja) | エレベータのソフト更新システム | |
| CN110033535B (zh) | 服务人员的按需凭证 | |
| US20180314512A1 (en) | Software updating device | |
| EP3626664B1 (en) | Method and elevator group configured for establishing a secure data communication between a plurality of controllers in each of a plurality of elevators of the elevator group | |
| AU2020242588B2 (en) | Security device for building-related passenger conveyor system | |
| US20130139147A1 (en) | System for performing remote services for a technical installation | |
| WO2019167255A1 (ja) | エレベーター遠隔監視システム | |
| KR102259490B1 (ko) | 에너지 수요 제어를 위한 이중 보안 시스템 및 그의 동작 방법 | |
| US11281191B2 (en) | Global e-stop in an industrial safety system with local and global safety input devices | |
| JP2007308259A (ja) | エレベータ制御システム | |
| JP6551801B2 (ja) | 昇降装置の遠隔監視システム | |
| JP2017114645A (ja) | エレベーター保守管理システム | |
| JP2016162387A (ja) | 仮想サーバシステム、仮想サーバ制御方法、及び仮想サーバプログラム | |
| KR20100018434A (ko) | 유지보수용 툴, 산업용 장치의 원격제어 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |