CN113614016B - 用于结合于建筑物的人员运送设施的安全装置 - Google Patents
用于结合于建筑物的人员运送设施的安全装置 Download PDFInfo
- Publication number
- CN113614016B CN113614016B CN202080022990.2A CN202080022990A CN113614016B CN 113614016 B CN113614016 B CN 113614016B CN 202080022990 A CN202080022990 A CN 202080022990A CN 113614016 B CN113614016 B CN 113614016B
- Authority
- CN
- China
- Prior art keywords
- security
- module
- memory
- software package
- update module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B5/00—Applications of checking, fault-correcting, or safety devices in elevators
- B66B5/0006—Monitoring devices or performance analysers
- B66B5/0018—Devices monitoring the operating condition of the elevator system
- B66B5/0025—Devices monitoring the operating condition of the elevator system for maintenance or repair
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B5/00—Applications of checking, fault-correcting, or safety devices in elevators
- B66B5/0006—Monitoring devices or performance analysers
- B66B5/0018—Devices monitoring the operating condition of the elevator system
- B66B5/0031—Devices monitoring the operating condition of the elevator system for safety reasons
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B5/00—Applications of checking, fault-correcting, or safety devices in elevators
- B66B5/0006—Monitoring devices or performance analysers
- B66B5/0037—Performance analysers
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B66—HOISTING; LIFTING; HAULING
- B66B—ELEVATORS; ESCALATORS OR MOVING WALKWAYS
- B66B5/00—Applications of checking, fault-correcting, or safety devices in elevators
- B66B5/0087—Devices facilitating maintenance, repair or inspection tasks
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/656—Updates while running
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/658—Incremental updates; Differential updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2659—Elevator
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45583—Memory management, e.g. access or allocation
Abstract
一种用于结合于建筑物的人员运送设施(10)的安全装置(36),包括具有存储器(58)、处理器(56、56)和通信接口(54)的微控制器(42);其中存储器(58)中存储有安全模块(40),安全模块当其被在处理器(56、56′)上执行时接收来自人员运送设施(10)的部件(26)的安全相关的信号(52),对这些信号进行安全问题方面的评估,并且在存在安全问题的情况下,向人员运送设施(10)的控制器(22)发送警告信号(52′);其中存储器(58)中存储有更新模块(38),更新模块当其在处理器(56、56′)上被执行时通过通信接口(54)接收软件包(50)并使用软件包(50)更新安全模块(40)的至少部分;并且其中微控制器(42)被配置为使得安全模块(40)只能被更新模块(38)修改。
Description
技术领域
本发明涉及一种用于结合于建筑物的人员运送设施的安全装置和一种用于更新这种安全装置的软件的方法。
背景技术
结合于建筑物的人员运送设施,例如升降梯、自动扶梯和自动人行道,用于在建筑物内运送人员。升降梯设施用于例如在建筑物内的不同楼层之间运送人员。为此,升降梯轿厢通常可以在几乎竖直的升降梯井道内移位。在自动扶梯或自动人行道的情况下,人们可以沿着倾斜的或水平的行进路径站在踏行单元上被运送。
为了能够保证人员的安全,许多结合于建筑物的人员运送设施都具有安全装置,其可以接收来自安全相关传感器的信号,对其进行评估,并且如果确定为非安全状态,则停止结合于建筑物的人员运送设施,所述停止通过发送一个相应的信号到结合于建筑物的人员运送设施的控制装置来进行。例如,升降梯设施的门上通常安装有开关,通过开关可以检查门是否关闭。如果并非所有门都关闭,则安全装置可以阻止升降梯轿厢在井道中移动,以例如防止人员被困或掉入井道中。
由于安全装置通常大量安装,因此可能希望能够从外部更新安全设备的软件,例如通过互联网。另一方面,必须保护外部接口免受未经授权的访问。但是,对于安全装置,应尽可能保持低复杂性,以确保始终正确执行安全功能。
WO 2016/180484 A1描述了一种用于更新升降梯设施的安全监测系统中的软件的方法。
发明内容
总体而言,可能需要一种带有被良好地保护的更新功能的结构简单的安全装置。
本发明的一个方面涉及一种用于结合于建筑物的人员运送设施的安全装置。如已经阐明的,结合于建筑物的人员运送设施可以是升降梯设施、自动扶梯设施或自动人行道设施。
根据本发明的一个实施方式,安全装置包括带有存储器、处理器和通信接口的微控制器。微控制器可以包括半导体芯片,在该半导体芯片中实现了上述部件,即存储器、处理器和通信接口。
在存储器中存储有安全模块,当所述安全模块被在处理器上执行时,该安全模块从人员运送设施的部件接收与安全相关的信号,在安全问题方面对它们进行评估,并在出现安全问题时向人员运送设施的控制器发送警告信号。所述安全模块以及通常的软件模块,例如下面描述的更新模块,可以是包含用于处理器的指令的软件部件。例如,软件模块可以存储在微控制器的非易失性部分中。
与安全相关的信号可以来自结合于建筑物的人员运送设施的安全传感器和/或例如可以通过总线发送到所述安全装置。所述通信接口可以例如通过该总线进行通信。安全传感器通常可以是所有类型的传感器,它们用于检测关于结合于建筑物的人员运送设施的部件的安全相关的信息。这种传感器的示例是检测升降梯门是否正常关闭的门关闭传感器。所述安全装置可以直接连接到结合于建筑物的人员运送设施的控制装置,该控制装置例如控制驱动器和/或其他致动器(例如开门器)。当安全模块发出警告信号,该警告信号例如可以通过总线发送到控制器,控制器可以例如阻止所述驱动器和/或致动器运行。
在微控制器的存储器中还存储有更新模块,当所述更新模块被在处理器上执行时,该更新模块通过通信接口接收软件包并用该软件包更新所述安全模块的至少部分。
所述通信接口可以例如通过一个或多个数据通信设备(例如路由器)连接到互联网。通过所述通信接口,所述更新模块可以接收所述软件包。收到后,所述安全模块可以检查软件的提供者或发送者是否是预先确定的提供者或发送者,和/或可以解密软件包或检查软件包在其传输过程中是否已损坏。
微控制器还被配置成只能,也就是说仅能通过所述更新模块来更改所述安全模块。以此方式,可以防止通过通信接口发生对安全模块的不希望的外部访问。安全模块只能通过更新模块进行更改,其可以检查所述更改(即接收到的软件包)是否来自所希望的来源以及它是否包含未损坏的(unkompromittierte)指令。
处理器具有在其上执行所述安全模块的第一处理器内核和在其上执行所述更新模块的第二处理器内核。这里,第二处理器内核的访问被限制到存储器的其中存储了安全模块的区域上。所述微控制器也可以这样配置,即只有,也就是说仅有第二处理器内核才能访问存储器的其中存储了安全模块的区域。例如,所述的处理器内核们可以具有分开的存储器或分开的存储器区域。
根据本发明的一个实施方式,微控制器包括虚拟机监视器(Hypervisor),该虚拟机监视器限制被执行的软件模块对存储器的访问。虚拟机监视器可以将更新模块的访问限制到存储器的其中存储了安全模块的区域上。虚拟机监视器可以是微控制器的硬件部件和/或可以是存储在存储器中的软件模块。虚拟机监视器对哪个软件模块和/或哪个处理器内核可以访问内存的哪些内存区域以及不能访问哪些内存区域进行管理。虚拟机监视器还可以对软件模块如何相互通信以及是否允许相互通信和/或是否允许它们访问通信接口进行管理。
根据本发明的一个实施方式,虚拟机监视器被实施为将人员运送设施的部件的安全相关的信号转发到安全模块并且将软件包转发到更新模块。虚拟机监视器可以通过通信接口监控软件模块的数据通信。某些数据(例如所述软件包和相关通信)被分配给更新模块,而其他数据(例如安全相关的信号和警告信号)被分配给安全模块。通过这种方式,例如可以防止更新模块产生警告信号。
根据本发明的一种实施方式,更新模块通过通信接口接收与安全相关的信号并将它们转发给安全模块。微控制器可以被配置为使得只有,即仅有更新模块可以通过通信接口进行通信。例如,管理程序可以阻止安全模块或在其上执行安全模块的处理器内核与通信接口之间的通信。
根据本发明的一个实施方式,在存储器中存储有多个安全模块,其中,更新模块被实施对这些安全模块进行更新。可能的是,借助于微控制器,不同的安全功能被映射到不同的安全模块。微控制器可以配置为使得各个安全模块不能相互影响。例如,微控制器可以以这样的方式配置,即每个安全模块都被分配了不允许其他安全模块访问的存储区域。微控制器还可以配置为不允许安全模块相互通信。
根据本发明的一个实施方式,存储器包括非易失性存储器和易失性存储器。非易失性存储器不能通过通信接口更改。在该非易失性存储器(例如受保护的闪存)中,可以存储像是更新模块这样的数据,所述数据被保护以防止被经由通信接口的未经授权的访问更改。
根据本发明的一个实施方式,更新模块以加密形式存储在非易失性存储器中。在非易失性存储器中还可以存储引导加载程序模块(Bootloadermodul),当在处理器上执行引导加载程序模块时,其对更新模块进行解密并将其加载到易失性存储器中。
根据本发明的一个实施方式,用于安全装置的私钥存储在微控制器的受保护的非易失性存储器中。软件包提供者的公钥也可以存储在微控制器的受保护的非易失性存储器中。这些无法通过通信接口更改的密钥可用于对加密的更新模块和/或加密的软件包进行解密。私钥可以被一一对应地分配给安全设备或更新模块。借助于公钥可以对软件包的提供者进行认证(authentifiziert)和/或可以加密用于其的数据。
根据本发明的一个实施方式,软件模块以未加密的形式存储在非易失性存储器中。由于安全模块是被保护以防止来自外部的未授权访问的,因此无需为安全模块实施内部数据安全措施。
本发明的另一方面涉及一种用于更新如上文和下文所述安全装置的软件的方法。例如,该方法可以由微控制器的一个或多个处理器执行。应当理解,该方法的特征也可以是安全装置的特征,且反之亦然。
根据本发明的一个实施方式,该方法包括:通过更新模块经由通信接口对软件包的提供者进行认证;通过更新模块经由通信接口接收软件包;以及通过更新模块用软件包更新安全模块的至少一部分。所述认证可以使用提供者的公钥进行,该公钥存储在更新模块和/或微控制器的非易失性存储器中。
所述软件包可以包括报头,该报头只能,即仅能用安全装置和/或更新模块的私有的、单独的密钥来解密。所述私钥可以存储在更新模块和/或微控制器的非易失性存储器中。所述报头可以包含关于软件包的另一部分的内容的信息,例如,只有在收到报头后,提供者才能发送该部分。
例如,所述软件包可以只包括要更新的安全模块的被改变的部件,并且所述报头可以提供关于安全模块的哪些部分要被替换的信息。
根据本发明的一个实施方式,该方法还包括:由更新模块对软件包进行解密。软件包也可以用私钥解密。然而,也可能的是,以不同的方式加密具有更新软件的软件包的至少一部分。
根据本发明的一个实施方式,软件包或软件包的至少一部分是使用对称加密方法加密的,所述对称加密方法例如是在AES(高级加密标准)中定义的加密方法。对称加密方法的临时密钥可以与非对称加密方法的密钥(例如上述公钥和私钥)交换。
根据本发明的一个实施方式,该方法还包括:更新模块规律地向提供者查询软件包。更新部软件可以承担检查新软件包何时可用的任务。为此,例如可以查询存储在更新模块和/或微控制器的非易失性存储器中的地址。
应当注意,本发明的一些可能的特征和优点在此参照不同的实施方式进行描述。本领域技术人员认识到,可以以合适的方式组合、修改或交换这些特征以达到本发明的进一步实施方式。
附图说明
下面参照附图对本发明的实施方式进行描述,其中,附图和所述描述均不应解释为对本发明的限制。
图1示意性地示出了带有根据本发明的实施方式的安全装置的升降梯设施形式的结合于建筑物的人员运送设施。
图2示出了根据本发明实施方式的安全装置。
图3示出了根据本发明的另一实施方式的安全装置。
图4示出了用于根据本发明的又一实施方式的安全装置的微控制器。
图5示出了用于根据本发明的又一实施方式的安全装置的微控制器。
图6示出了用于更新根据本发明实施方式的安全装置的软件的方法的流程图。
这些图只是示意性的,且没有按比例绘制。在各个附图中,相同的附图标记表示相同或作用相同的特征。
具体实施方式
图1示出了升降梯设施10形式的结合于建筑物的人员运送设施10。下面通过示例的方式来描述一个升降梯设施。然而,应当理解,其他的人员运送设施10,例如自动扶梯或自动人行道,也可以如下所述地具有安全装置。
升降梯设施10包括升降梯井道12,升降梯轿厢14和配重16可在该升降梯井道中移动。为此目的,升降梯轿厢14和对重16被保持在绳状或带状的承载装置18上,所述承载装置可以被驱动机20移位。升降梯设施10并且特别是驱动机20的运行可以借助于中央控制单元22来控制。
为了能够确保正确的运行以及特别是升降梯设施10的安全,多个安全传感器26被容纳在容纳了升降梯设施10的结构24中。这里,所述安全传感器26布置成遍布在结构24上。安全传感器26可以例如包括门开关28或连接到门开关28,其可以监测升降梯设施10的门30的关闭状态,特别是层站门的关闭状态。例如,在升降梯井道12的地板或井坑附近,还可以安装梯子32,其在升降梯井道12的侧壁上的正确整洁的定位被监控,例如借助于连接到安全传感器26的开关33实施定位。
安全传感器26可以例如经由串行总线34连接到安全装置36,如果信号指示存在安全问题,则安全装置36基于来自安全传感器26的信号产生警告信号。如果控制器22接收到警告信号,则它可以例如调整或停止升降梯设施10的运行或防止其开始运行。
图2示出了安全设备36的功能结构,其中多个软件模块(例如更新模块38和一个或多个安全模块40、40′、40″)由微控制器42执行。安全设备36可以通过数据通信单元44交换数据,所述数据例如由提供者48(例如因特网服务器)经由因特网46提供。特别地,提供者(Bereitsteller)可以为安全模块40、40′、40″中的一个或多个提供软件包50,其可以由更新模块38借助于数据通信单元44下载并且在必要时被解密。更新模块38然后可以使用来自软件包50的数据来更新安全模块40、40′、40″中的一个或多个。
数据通信单元44可以例如是路由器或移动无线电单元,其通过LAN(局域网)连接到安全装置36或集成在其中。
安全模块40、40′、40″执行人员运送设施10的安全相关的功能。在这样做时,其从安全传感器26接收安全相关的信号52并为中央控制器22提供警告信号52′。可能的是,设有冗余的安全模块40、40′,它们为中央控制器22生成警告信号52′。例如,冗余的安全模块40、40′可以相互监测功能故障。例如,相同的软件代码可以在微控制器42的不同内核上作为冗余的安全模块40、40′来执行。另外可能的是,另一个安全模块40″还为用于人员运送设施10的另一个控制装置22″生成另外的警告信号52′。例如,具有多个驱动机20的升降梯设施可以具有多个控制器22、22′,它们在安全传感器26报告问题时都应被停止。
各种软件模块,例如安全模块40、40′、40″和更新模块38,可以在微控制器42中相互屏蔽。这可以通过将一些或所有软件模块分配给其他软件模块不能访问的、它们自己的存储区域来完成,和/或通过限制软件模块之间的数据通信来完成。
图3更详细地示出了安全装置36,尤其是其微控制器42。安全装置36可以包括数据通信单元44,利用该数据通信单元可以经由串行总线34接收和发送数据。这些数据可以包括软件包50、来自安全传感器26的安全相关的信号52和到中央控制器22的警告信号52′。
微控制器42包括通信接口54,所述微控制器可以通过该通信接口与数据通信单元44交换数据。微控制器42还可以包括多个处理器内核56、56′。软件模块可以在这些处理器内核56、56′中的一个或多个上被执行。
微控制器42还包括存储器58,其可以由非易失性存储器60和易失性存储器62构成。当不再向安全装置36或微控制器42供电时,存储在非易失性存储器60中的数据仍被存储。存储在易失性存储器62中的数据可能会在该情况下丢失。
所述非易失性存储器60例如可以是受保护的存储器,其只能通过安全装置36中的机械干预(例如打开外壳)而被改变。
在所述非易失性存储器60中可以存储引导加载程序(Bootloader)64、所述更新模块38和一个或多个安全模块40。借助于引导加载程序64(其可以在安全装置36启动时被调用),以加密形式存储在非易失性存储器60中的更新模块38可以被解密。
用于安全设备36的私钥66和/或软件包50的提供者48的公钥68也可以位于非易失性存储器60中。可能的是,只有,即仅是其中存储了引导加载程序64和密钥66、68的存储器区域被如上所述地保护。
所述更新模块38可以用所述私钥66解密。借助于所述公钥68,可以对提供者48进行认证,例如,在与其建立数据通信时。
微控制器42现在被配置为,安全模块40只能被,也就是说仅能被更新模块38改变。以此方式,可以防止对安全模块40的无意的或未经授权的改变或至少使对安全模块40的无意的或未经授权的改变变得更加困难。下面仅讨论安全模块40。应该理解的是,这也始终意味着其他安全模块40′、40″。
微控制器42的一种可能的配置是安全模块40在第一处理器内核56上执行并且更新模块38在第二处理器内核56′上执行,第二处理器内核56′的访问被限制在存储器58的其中存储了安全模块40的区域。这可以例如通过为处理器内核56、56′中的每一个分配其自己的、其他处理器内核56、56′不能访问的独占存储器区域来实现。
微控制器42还可以具有虚拟机监视器70,其限制从正在执行的软件模块到存储器58的访问。虚拟机监视器70可以是微控制器42的硬件部件。然而,虚拟机监视器70也可能是存储在存储器58中的软件模块。虚拟机监视器70可以配置成其限制软件模块对存储器58的访问和/或软件模块彼此之间和/或与通信接口54之间的数据通信。
例如,虚拟机监视器70可以将更新模块38的访问限制到存储器58的其中存储了安全模块40的区域。
图4和5示出了微控制器42的实施方式,其中软件模块之间的通信受到虚拟机监视器70的限制。应当理解,软件模块可以在相同或不同的处理器内核中执行和/或它们可以访问的存储器区域也可以受到限制。
图4示出了微控制器42的示例,其中,借助于虚拟机监视器70将外部通信限于更新模块38。虚拟机监视器70将完整的通信通过通信接口54转发给更新模块38。此外,虚拟机监视器70阻止安全模块40经由所述通信接口的通信。更新模块38接收安全相关的信号52并将它们转发给安全模块40。反过来,安全模块40向更新模块38发送警告信号52′,该警告信号52′被更新模块38通过通信接口54转发。此外,更新模块38可以利用来自软件包50的数据更新安全模块40。
在图5的示例中,所述虚拟机监视器将相应软件模块的通信限制到允许其发送和接收的数据上。虚拟机监视器70将来自人员运送设施10的传感器26的安全相关的信号52转发到安全模块40并且还将警告信号52′转发到通信接口54。此外,虚拟机监视器70将软件包50转发给更新模块38。更新模块不可能生成警告信号52。更新模块38可以用来自软件包50的数据更新安全模块40。然而,安全模块40不可能改变更新模块38的数据或代码。
图6示出了用于更新例如在前面的图中所示的安全装置36的软件的方法的流程图。
在步骤S10中,更新模块38通过外部接口规律地向提供者48查询软件包50是否可用。这可以例如每天进行一次。其中,更新软件50的提供者48也可以被认证,即,可以检查提供者48是否确实是应向其请求软件包50的那一方。所述认证可以例如使用公钥66来进行。
例如,提供者48可以是由设施10的制造商和/或维护人员为软件更新提供的服务器。
如果有更新软件,则在步骤S12中,相应的软件包50由更新模块38通过通信接口54接收。例如,可以首先接收软件包50的报头或者说标头(Header),其中存有关于待更新软件的范围的信息。可能不是所有的软件而是只有、即仅有其中的一部分应该被更新。这可以存储在报头中。
还可能的是,使用对称加密方法对软件包50和/或更新软件进行加密。为此,可以使用两个密钥66、68来确定相关联的临时密钥。
如果软件包50或其部分被加密,则更新模块38在步骤S14中执行解密。
在步骤S16中,安全模块40的要更新的软件被更新模块替换。这里,非易失性存储器60的相应存储区域可以被覆盖。
最后,应当指出,诸如“具有”、“包括”等术语不排除任何其他的要素或步骤,并且诸如“一”或“一个”之类的术语不排除多个。还应当指出,已经参考上述实施例之一描述的特征或步骤也可以与上述其他实施例的其他特征或步骤结合使用。权利要求中的附图标记不应被视为限制。
Claims (14)
1.一种用于结合于建筑物的人员运送设施(10)的安全装置,其中,
所述安全装置(36)包括微控制器(42),所述微控制器具有存储器(58)、处理器和通信接口(54);
在所述存储器(58)中存储有安全模块(40),当所述安全模块被在所述处理器上执行时,所述安全模块从人员运送设施(10)的部件(26)接收安全相关的信号(52),对这些信号进行安全问题方面的评估,并且在存在安全问题的情况下,向人员运送设施(10)的控制器(22)发送警告信号(52′);
在所述存储器(58)中存储有更新模块(38),当所述更新模块被在所述处理器上执行时,该更新模块通过所述通信接口(54)接收软件包(50)并用所述软件包(50)更新所述安全模块(40)的至少部分;
所述微控制器(42)被配置为,使得所述安全模块(40)只能,也就是说仅能通过所述更新模块(38)被改变;
所述处理器具有第一处理器内核(56),所述安全模块(40)被在所述第一处理器内核上执行;
所述处理器具有第二处理器内核(56′),所述更新模块(38)被在所述第二处理器内核上执行;
第二处理器内核(56′)的访问被限制到存储器(58)的存储了所述安全模块(40)的区域。
2.根据权利要求1所述的安全装置,其中,
所述微控制器(42)包括虚拟机监视器(70),其限制被执行的软件模块对所述存储器(58)的访问;
所述虚拟机监视器(70)限制所述更新模块(38)对存储器的存储了所述安全模块(40)的区域的访问。
3.根据权利要求2所述的安全装置,其中,
所述虚拟机监视器(70)是所述微控制器(42)的硬件部件。
4.根据权利要求2所述的安全装置,其中,
所述虚拟机监视器(70)是被存储在所述存储器(58)内的软件模块。
5.根据权利要求2至4中任一项所述的安全装置,其中,
所述虚拟机监视器(70)被实施为,将来自人员运送设施(10)的部件(26)的所述安全相关的信号(52)转发到所述安全模块(40)并将所述软件包(50)转发到所述更新模块(38)。
6.根据权利要求1至4中任一项所述的安全装置,其中,
所述更新模块(38)通过所述通信接口(54)接收所述安全相关的信号(52)并将它们转发给所述安全模块(40)。
7.根据权利要求1至4中任一项所述的安全装置,其中,
在所述存储器(58)中存储有多个安全模块(40、40′、40″)
所述更新模块(38)被设计成对这些安全模块(40、40′、40″)进行更新。
8.根据权利要求1至4中任一项所述的安全装置,其中,
所述存储器(58)包括非易失性存储器(60)和易失性存储器(62)。
9.根据权利要求8所述的安全装置,其中,
所述更新模块(38)被以加密的形式存储在非易失性存储器(60)中;
在所述非易失性存储器(60)中存储有引导加载程序模块(64),在所述引导加载程序模块被在所述处理器上执行时,所述引导加载程序模块解密所述更新模块(38)并将其加载到所述易失性存储器(62)中。
10.根据权利要求1至4中任一项所述的安全装置,其中,
用于所述安全装置(36)的私钥(66)被置于所述微控制器(42)的受保护的非易失性存储器(60)中;和/或
所述软件包(50)的提供者(48)的公钥(68)被置于所述微控制器(42)的受保护的非易失性存储器(60)中。
11.一种用于更新根据前述权利要求中任一项所述的安全装置(36)的软件的方法,该方法包括:
通过所述更新模块(38)经由所述通信接口(54)来认证所述软件包(50)的提供者(48);
通过所述更新模块(38)经由所述通信接口(54)接收所述软件包(50);
通过更新模块(38)用所述软件包(50)更新所述安全模块(40)的至少一部分。
12.根据权利要求11所述的方法,还包括:
通过所述更新模块(38)解密所述软件包(50)。
13.根据权利要求12所述的方法,其中,
所述软件包(50)至少部分地被用对称的加密方法加密。
14.根据权利要求11至13中任一项所述的方法,还包括:
通过所述更新模块(38)向所述提供者(48)规律地请求用于更新所述安全模块(40)的软件包(50)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19163412.0 | 2019-03-18 | ||
| EP19163412 | 2019-03-18 | ||
| PCT/EP2020/055515 WO2020187554A1 (de) | 2019-03-18 | 2020-03-03 | Sicherheitsgerät für gebäudegebundene personenbeförderungsanlage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113614016A CN113614016A (zh) | 2021-11-05 |
| CN113614016B true CN113614016B (zh) | 2023-05-05 |
Family
ID=65818308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080022990.2A Active CN113614016B (zh) | 2019-03-18 | 2020-03-03 | 用于结合于建筑物的人员运送设施的安全装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20220177270A1 (zh) |
| EP (1) | EP3941871A1 (zh) |
| CN (1) | CN113614016B (zh) |
| AU (1) | AU2020242588B2 (zh) |
| BR (1) | BR112021018665A2 (zh) |
| WO (1) | WO2020187554A1 (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5200583A (en) * | 1991-10-31 | 1993-04-06 | Otis Elevator Company | Adaptive elevator security system |
| CN1295966A (zh) * | 1999-11-11 | 2001-05-23 | 因温特奥股份公司 | 设定电梯控制的方法 |
| EP1621505A1 (de) * | 2004-06-18 | 2006-02-01 | Inventio Ag | Vorrichtung und Verfahren zum Informieren von Passagieren einer Aufzugsanlage |
| EP2336070A1 (de) * | 2009-12-18 | 2011-06-22 | ThyssenKrupp Aufzugswerke GmbH | Verfahren zur Ferndiagnose einer Aufzuganlage und Aufzuganlage zur Durchführung des Verfahrens |
| CN102405184A (zh) * | 2009-04-20 | 2012-04-04 | 奥的斯电梯公司 | 用于安全装置的参数的自动调节 |
| CN204958039U (zh) * | 2015-09-18 | 2016-01-13 | 广州日滨科技发展有限公司 | 一种电梯安全报警装置及电梯 |
| CN107636607A (zh) * | 2015-05-12 | 2018-01-26 | 奥的斯电梯公司 | 更新安全相关软件的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5523443B2 (ja) * | 2009-03-25 | 2014-06-18 | 三菱電機株式会社 | エレベータの信号伝送装置 |
| DE102016200711A1 (de) * | 2016-01-20 | 2017-07-20 | Robert Bosch Gmbh | Verfahren zum Aktualisieren von Software eines Steuergerätes, vorzugsweise für ein Kraftfahrzeug |
-
2020
- 2020-03-03 AU AU2020242588A patent/AU2020242588B2/en active Active
- 2020-03-03 EP EP20706758.8A patent/EP3941871A1/de active Pending
- 2020-03-03 US US17/593,300 patent/US20220177270A1/en active Pending
- 2020-03-03 CN CN202080022990.2A patent/CN113614016B/zh active Active
- 2020-03-03 BR BR112021018665A patent/BR112021018665A2/pt unknown
- 2020-03-03 WO PCT/EP2020/055515 patent/WO2020187554A1/de unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5200583A (en) * | 1991-10-31 | 1993-04-06 | Otis Elevator Company | Adaptive elevator security system |
| CN1295966A (zh) * | 1999-11-11 | 2001-05-23 | 因温特奥股份公司 | 设定电梯控制的方法 |
| EP1621505A1 (de) * | 2004-06-18 | 2006-02-01 | Inventio Ag | Vorrichtung und Verfahren zum Informieren von Passagieren einer Aufzugsanlage |
| CN102405184A (zh) * | 2009-04-20 | 2012-04-04 | 奥的斯电梯公司 | 用于安全装置的参数的自动调节 |
| EP2336070A1 (de) * | 2009-12-18 | 2011-06-22 | ThyssenKrupp Aufzugswerke GmbH | Verfahren zur Ferndiagnose einer Aufzuganlage und Aufzuganlage zur Durchführung des Verfahrens |
| CN107636607A (zh) * | 2015-05-12 | 2018-01-26 | 奥的斯电梯公司 | 更新安全相关软件的方法 |
| CN204958039U (zh) * | 2015-09-18 | 2016-01-13 | 广州日滨科技发展有限公司 | 一种电梯安全报警装置及电梯 |
Non-Patent Citations (1)
| Title |
|---|
| 物联网技术的电梯安全监控系统研究;陈家焱;《中国计量学院学报》;20130331;第231-236页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020187554A1 (de) | 2020-09-24 |
| CN113614016A (zh) | 2021-11-05 |
| AU2020242588B2 (en) | 2023-07-06 |
| AU2020242588A1 (en) | 2021-10-14 |
| EP3941871A1 (de) | 2022-01-26 |
| US20220177270A1 (en) | 2022-06-09 |
| BR112021018665A2 (pt) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11718502B2 (en) | Safety system for building-related passenger transportation system | |
| EP3295263B1 (en) | Method to update safety related software | |
| CN110182661B (zh) | 用于电梯系统的安全电路、更新这种安全电路的装置和方法 | |
| EP3392191B1 (en) | Elevator control system | |
| CN102742243B (zh) | 检查用于ied的配置修改的方法及装置 | |
| US9434391B2 (en) | Braking system | |
| CN108694761A (zh) | 用于来访者控制的组访问管理 | |
| JP2009286600A (ja) | 遠隔監視システムの制御プログラム書替え方法 | |
| CN113614016B (zh) | 用于结合于建筑物的人员运送设施的安全装置 | |
| US20180314512A1 (en) | Software updating device | |
| KR102130202B1 (ko) | 엘리베이터 그룹의 원격 보수 관리 시스템 | |
| EP3626664B1 (en) | Method and elevator group configured for establishing a secure data communication between a plurality of controllers in each of a plurality of elevators of the elevator group | |
| US9940116B2 (en) | System for performing remote services for a technical installation | |
| EP4103501A1 (en) | Method of operating a computer-controlled device for establishing a secure data communication in a distributed control system of a passenger transportation arrangement | |
| US20220380173A1 (en) | Elevator system and method for restoring operation of an elevator car | |
| WO2023117833A1 (en) | Method of deploying a safety-related software in a passenger transport installation, passenger transport installation, and safety-related software update infrastructure | |
| CN116360300A (zh) | 工业功能安全系统、方法及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40053329 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |