EP4267503A1 - Elevator, method for controlling an elevator - Google Patents

Elevator, method for controlling an elevator

Info

Publication number
EP4267503A1
EP4267503A1 EP21843972.7A EP21843972A EP4267503A1 EP 4267503 A1 EP4267503 A1 EP 4267503A1 EP 21843972 A EP21843972 A EP 21843972A EP 4267503 A1 EP4267503 A1 EP 4267503A1
Authority
EP
European Patent Office
Prior art keywords
safety control
control unit
type
elevator
door
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21843972.7A
Other languages
German (de)
French (fr)
Inventor
Valerio Villa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inventio AG
Original Assignee
Inventio AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inventio AG filed Critical Inventio AG
Publication of EP4267503A1 publication Critical patent/EP4267503A1/en
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3423Control system configuration, i.e. lay-out
    • B66B1/3438Master-slave control system configuration
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/02Control systems without regulation, i.e. without retroactive action
    • B66B1/06Control systems without regulation, i.e. without retroactive action electric
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3446Data transmission or communication within the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3476Load weighing or car passenger counting devices
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3492Position or motion detectors or driving means for the detector
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/36Means for stopping the cars, cages, or skips at predetermined levels
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B13/00Doors, gates, or other apparatus controlling access to, or exit from, cages or lift well landings
    • B66B13/02Door or gate operation
    • B66B13/14Control systems or devices
    • B66B13/143Control systems or devices electrical
    • B66B13/146Control systems or devices electrical method or algorithm for controlling doors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B13/00Doors, gates, or other apparatus controlling access to, or exit from, cages or lift well landings
    • B66B13/22Operation of door or gate contacts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/0006Monitoring devices or performance analysers
    • B66B5/0018Devices monitoring the operating condition of the elevator system
    • B66B5/0031Devices monitoring the operating condition of the elevator system for safety reasons
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/02Applications of checking, fault-correcting, or safety devices in elevators responsive to abnormal operating conditions
    • B66B5/16Braking or catch devices operating between cars, cages, or skips and fixed guide elements or surfaces in hoistway or well
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B7/00Other common features of elevators
    • B66B7/12Checking, lubricating, or cleaning means for ropes, cables or guides
    • B66B7/1207Checking means
    • B66B7/1215Checking means specially adapted for ropes or cables

Definitions

  • Elevator method for controlling an elevator
  • the present invention relates to an elevator, in particular an elevator with a safety control system, and a method for controlling an elevator.
  • Elevators are generally used to transport people or objects in a vertical direction.
  • Safety control systems are used to avoid endangering persons or objects. These monitor, for example, with the help of sensors, that is, for example, using data or signals from sensors, current operating states of the elevator.
  • the safety control system can address actuators which are intended to bring the elevator system into a safe state.
  • the safety brake is such an actuator, for example.
  • the safety control system monitors a speed of the elevator. If an unsafe condition is detected, the safety control system activates certain actuators. For example, a safety gear for braking the elevator car is activated.
  • the security control system also ensures that no further calls are served. The highest demands are placed on the safety control system in terms of reliability and safety.
  • Elevators are known in the prior art which include a central safety control system. These central safety control systems are connected to a variety of sensors and actuators located at various positions within the elevator. If an unsafe operating state of the elevator is determined by the central safety control system, in particular by the sensors which are connected to this central safety control system, the central safety control system controls one or more activatable actuators in a suitable manner to put the elevator into a safe state attributed. For example, when an open shaft door is detected, the car is prevented from moving in the elevator shaft. This can happen, for example, by triggering the safety brake actuator. In such a system, signals from the sensors distributed in the elevator shaft are transmitted unprocessed to the central safety control system, which alone, i.e. exclusively, processes and interprets the data in order to then address the actuators directly.
  • a disadvantage of such a central security control system is that the signal propagation times can become very long. This is particularly the case for elevators with a large number of floors. But even in the case of elevators with only a few floors, the central architecture can cause a delay in the transmission of data from the sensors and in the intervention of the actuators. This is further exacerbated by the load on the central safety control system with a large number of monitoring functions, since the computing capacity of the central safety control system is limited. This can lead to reaction delays in the elevator. This in turn affects the safety of the elevator.
  • EP 2 022 742 A1 discloses an elevator with a decentralized safety control system.
  • the decentralized safety control system has a number of safety control units, the safety control units being connected to one another via a bus connection.
  • US 2011/302466 A1 discloses an elevator with a safety control system that includes a master unit and multiple slave units.
  • the slave units are respectively connected to sensors and switches, transmitting signals from these sensors and switches to the master unit.
  • the master unit processes the data and, if necessary, addresses actuators in order to bring the elevator into a safe state.
  • a disadvantage of the known security control systems is that by the Architecture of the system delays arise. In this way, the reaction of the lift to unsafe conditions is unnecessarily delayed.
  • the object is achieved by an elevator and by a method for monitoring an elevator according to the independent claims.
  • the elevator comprises a shaft, a car which can be moved in the shaft, a drive which is operatively connected to the car and by means of which the car can be moved, a brake, a plurality of shaft doors and a safety control system.
  • the safety control system comprises a first type safe safety control unit and at least one second type safe safety control unit.
  • the safety control unit of the first type and the at least one safety control unit of the second type are connected to one another.
  • the at least one safety control unit of the second type is designed in such a way that it can be used to determine the state of each of the shaft doors.
  • the safety control system is designed in such a way that the state of the shaft doors can be determined directly and exclusively by the at least one safety control unit of the second type.
  • the presence of two separate, secure safety control units, the clear assignment of the shaft doors to the at least one safety control unit of the second type and the exclusive direct recording of the status of the shaft doors by the at least one safety control unit of the second type specifically identify the safety control units for the survey assignment assigned to them can be executed.
  • the determination of the state of the shaft doors is relevant to safety, since people in the vicinity of the shaft are endangered when the shaft door is open. Furthermore, when the shaft door is open, movement of the car should be prevented or at least restricted.
  • a safety control unit is made available according to the invention, which is designed for this task. It is also important that all landing doors are monitored.
  • the at least one safety control unit of the second type is designed to be safe, so that it is ensured that the determination of the state of the shaft doors is reliable.
  • the safety control system can thus leave the monitoring of the state of the landing doors exclusively to the safety control unit of the second type and can be sure that this safety control unit will carry out the monitoring reliably.
  • a final and safely recorded state of the shaft doors i.e. a simple "door(s) closed / door(s) not closed” can then be transmitted in the safety control system via the connection to other units, in particular to the safe safety control unit of the first type.
  • the monitoring of each of the shaft doors by the at least one safety control unit of the second type makes it possible to design the safety control unit of the first type and possibly another safety control unit free of door monitoring-specific requirements. This allows a simple, efficient and safe safety control system to be provided.
  • a safety control unit which, for example, meets the standardized safety integrity level 1 (Safety Integrity Level, SIL 1), preferably SIL2 and particularly preferably SIL3 according to IEC61508 and/or EN8120 and/or EN8150, can be regarded as safe.
  • SIL 1 Safety Integrity Level 1
  • SIL2 SIL2 and particularly preferably SIL3 according to IEC61508 and/or EN8120 and/or EN8150
  • a state is to be understood above and below as a position of the landing doors existing at a certain point in time.
  • the state of the landing door to be closed or not closed, i.e. open.
  • the safety control unit of the second type directly and exclusively records the status of the shaft door, this does not rule out the possibility that the safety control unit of the second type forwards information based on this recorded status within the safety control system, for example to the safe control unit of the first type.
  • the exclusive and direct collection means that the evaluation of the sensor signal(s) and the derivation of the status from the signal(s) takes place exclusively through and in the safety control unit of the second type. This means that the safety control unit of the second type finally detects this state without the aid of another safety control unit of a different type.
  • the safety control system comprises one safe safety control unit of the second type per landing door.
  • the safety control units of the second type are preferably attached to the landing doors.
  • a safety control unit of the second type is attached to each of the landing doors.
  • each of the shaft doors to have a safety control unit of the second type which is specifically provided for this shaft door.
  • the safety control unit of the second type can thus be configured in a comparatively simple manner since it only has to monitor one shaft door.
  • the safety control unit of the second type is preferably arranged at the shaft door, as a result of which the safety control unit of the second type is directly at the shaft door and delays caused by the transmission of signals can thus be further reduced. Since the safety control unit of the second type is a safe safety control unit, the connection to at least some of the sensors and/or actuators, in particular a door lock sensor and door lock actuator, must be made safe. By arranging it directly at the relevant shaft door, there is no need to make connections over long distances.
  • a connection which, for example, meets the standardized safety integrity level 1 (Safety Integrity Level, SIL1), preferably SIL2 and particularly preferably SIL3 according to IEC 61508 and/or EN81-20 and/or EN81-50 can be regarded as secure.
  • SIL1 Safety Integrity Level 1
  • the safety control unit can be arranged in a box above the shaft door leaf, in which the door leaf can also be moved. This box can be arranged outside the shaft and/or inside the shaft.
  • the security control unit can also be mounted in a door post.
  • the safe safety control units are designed in such a way that at least one actuator assigned to them can be controlled by them.
  • the respective actuator can preferably be controlled directly and exclusively by this safety control unit.
  • the two components can be coordinated in their execution.
  • the safety control unit can be matched to the type of actuator with regard to the computing speed, ie the evaluation speed. So the safety control unit of the second type with a different evaluation speed, for example a lower evaluation speed and accordingly also with a different sensor readout rate, for example be performed at a lower read rate than, for example, the safety control unit of the first type.
  • the safety control unit of the second type can be designed for the processes at the shaft door without having to be designed for processes involving the safety-relevant braking of the car at the same time.
  • the safety control unit of the first type can be designed exclusively for the evaluation required for emergency braking (recovery). In this way, an inexpensive yet safe safety control system can be formed with different safety control units tailored to their purpose.
  • an actuator is to be understood as a component through which the physical state of the elevator can be changed (or maintained against other influences).
  • the brake in particular also the safety brake, as well as the drive, in particular also door drives, and door lock are actuators.
  • An actuator that is controlled directly and exclusively by a safety control unit means above and below that the specific control with the required signals and energy for changing the state of the actuator takes place exclusively through the respectively assigned safety control unit. This does not prevent the safety control unit assigned to the actuator receiving the abstract, indirect command from another safety control unit to change the state. So that the safety control unit can directly and exclusively control the associated actuator, the sensors required for this purpose, which make it possible to ascertain the state of the actuator, are connected to the safety control unit.
  • the safety control unit thus enables the implementation of a self-contained control loop of the actuator without having to resort to remote signals and/or evaluation capacity or information from other safety control units.
  • each shaft door comprises a secure door lock and/or an active door drive as an actuator.
  • the security control system is designed so that the door locks and / or the door drives can be directly controlled exclusively by the at least one safety control unit of the second type.
  • a door lock blocks opening of the shaft door in a first state and does not block this in a second state, that is to say it enables the door to be opened.
  • the door lock designed in such a way that the state in which the door lock blocks the opening of the door can only be assumed if the door or the door leaves are/are also in a blockable state (in other words, the door lock is «fail- safe” and can therefore be described as safe), simply by monitoring the two states “blocked” or “not blocked” of the door lock, it can be concluded whether the landing door is closed and blocked or open (not closed) and unblocked is.
  • a safe safety control unit of the second type assigned to the door lock can thus be provided, which can determine a safe state of the elevator in relation to the shaft door directly and exclusively, ie without additional sensors or actuators.
  • the door lock can be designed as a bolt that can be held in place by an electromagnet.
  • the bolt can preferably only move to a closed state using gravity when the door leaves are closed and the electromagnet is de-energized. This means that the door leaves block the bolt from falling down due to gravity as long as the doors are not locked.
  • a fail-safe door lock can be implemented, from which the state of the shaft doors can be determined easily and safely.
  • the shaft door can also be provided with an active drive.
  • the combination of safe safety control unit and active drive which can be controlled directly and exclusively by the safe safety control unit, also enables the state of the landing door to be checked locally, i.e. exclusively by the two components (safety control unit/drive) and, if necessary, sensors connected to the safety control unit. for example sensors for detecting the position of the door leaf (or the position of the locking bolt).
  • the combination safety control unit and active door drive can thus raise the critical status of open shaft doors.
  • the control system can thus ensure, by querying the door status in the safety control unit of the second type, that the car is only moved in the shaft when a safe status is present.
  • the advantage of a door lock and/or an active drive as described above and below is that there are no unexpected door opening movements.
  • An elevator can be built in which the landing door is controlled exclusively (i.e. unexpected opening of a landing door by a service technician with a triangular key, as is provided in many elevator systems) by the safe safety control unit of the second type.
  • Unexpected opening for example by a fitter, does not have to be taken into account when designing the safety control system. In particular, this reduces the speed requirements for the safety control system with regard to readout and evaluation speed. In this way, sensors can only be queried after a status change requested by the system. This eliminates the need for a quick survey of the state of the shaft doors designed to detect unforeseeable events.
  • the fail-safe design of the communication makes it possible for the connection between the safety control unit of the second type and the safety control unit of the first type to be designed as a simple, insecure wireless connection. This makes it possible to easily and inexpensively integrate the safety control unit of the second type, which is preferably present on each shaft door, into the safety control system.
  • An insecure connection is a connection that does not meet a standardized safety integrity level (Safety Integrity Level) or possibly a lower safety integrity level (Safety Integrity Level) than the relevant standard, e.g. EN61508 and/or EN8120 and/or EN8150 stipulates are met.
  • a so-called "black channel" communication is implemented in which two secure units via an insecure connection to communicate securely with each other.
  • the condition detected by the safety control unit of the second type is a condition of the door lock and/or the door drive.
  • the status signals a closed or not closed shaft door.
  • the receiving safety control unit can indicate non-receipt of this status information as a “door not closed ’ or, to put it another way, rate it as an unsafe condition. This eliminates the need to carry out this communication safely, since the status to be transmitted enables transmission in a "fail-safe” manner. In this way, the need for secure communication is limited to the safety-relevant actuators and sensors, which are installed in the secure safety control unit of the second type itself.
  • the safety control system is designed such that the brake can be directly controlled exclusively by the safety control unit of the first type, with the safety control unit of the first type and the brake preferably being arranged on the car.
  • the safety control unit of the first type must be designed to meet the requirement for safe braking of the elevator car. Due to the preferred arrangement of the safety control unit of the first type in physical proximity to the brake, reaction delays due to transmission delays are minimized.
  • the safety control unit of the second type is designed in such a way that the safety control unit of the second type sends a signal to check the communication at regular intervals sends to the safety control unit of the first type.
  • This interval is, for example, greater than 1 s, preferably greater than 30 s, and particularly preferably greater than 1 minute.
  • the regular transmission of a signal to check the communication between the safety control unit of the second type and the safety control unit of the first type can ensure that the safety control unit of the first type, i.e. the receiver unit of the status information, is informed at regular intervals that the Communication between the two units still works.
  • the safety control unit of the first type know that the communication is working and also that the safety control unit of the second type has recently sent status information on the safe state of the shaft door, the elevator has not initiated a state change of the shaft doors and that unexpected state changes of the shaft doors are not possible, the safety control unit of the first type can thus reliably conclude that the elevator is in a safe state in the area of the shaft doors. Details on the state of the door, ie sensor information from the sensors around the door, are not necessary in the safety control unit of the first type.
  • the safety control system comprises at least one safety control unit of a third type.
  • the third type of safety control unit enables safe torque-off of the drive.
  • the first type safety control unit and the third type safety control unit are connected to each other.
  • the safety control unit of the third type enables the safety-related function of safely switching off the torque (safe torque off) to be carried out by the actuator drive. It is thus ensured that the safety control unit of this actuator is also designed separately from the other safety control units and can therefore be arranged directly next to or in the immediate vicinity of the drive, if possible Delays due to transmission delays can be further reduced.
  • a connection between the safety control units is designed as a wireless and/or cable connection.
  • the connection between the safety control unit of the third type and the safety control unit of the first type is implemented as a cable connection.
  • the connection between the safety control unit of the first type and the at least one safety control unit of the second type is preferably implemented as a wireless connection, particularly preferably as an insecure wireless connection.
  • the signal from the safety control unit of the third type is a binary signal which, in a first state, allows the drive to operate in the normal operating state and which, in a second state, interrupts the connection of the converter to the machine, e.g. by means of electromagnetic contactors which disconnect or through Semiconductor switches that ensure that no more current flows into the machine. Due to the binary nature of this signal, the connection can be made very simply, for example by a two-wire cable connection. In addition, the communication is unidirectional, since the safety control unit of the third type, at least in its simplest embodiment of the safe torque-off, does not send back any confirmation or status information to the safety control unit of the first type.
  • the third type security control unit is a stand-alone security control unit which is in bi-directional communication with the first type security control unit.
  • the communication can be structured in the same way as the communication between the safety control unit of the first type and the safety control unit of the second type.
  • the communication within the safety control system i.e. between the safety control units of the first type and the safety control unit of the second type, is restricted to a minimum and designed in such a way that the communication is fail-safe, i.e. a lack of communication is considered an unsafe condition Is evaluated.
  • the requirement for the connection between these safety control units is therefore low.
  • the safety control unit of the second type can be arranged at the respective shaft doors and the safety control unit of the first type can be arranged on the car.
  • a wireless module can be present in the shaft door, which transmits the status information of the safety control unit of the second type, with a corresponding wireless receiver being present in the safety control unit of the first type, which receives this information.
  • a simple and inexpensive connection between the units can be implemented.
  • the safety control unit of the first type and/or the safety control unit of the second type includes an insecure interface for connection to sensors and/or actuators.
  • the safety control unit of the second type includes an insecure interface for connection to a sensor for detecting the presence of a car door, preferably a magnet sensor, and optionally for connection to a shaft door drive unit for controlling the shaft door movements.
  • the safety control unit of the first type includes an insecure interface for connection to position sensors and/or speed and acceleration sensors.
  • An insecure interface is an interface that does not meet a standardized safety integrity level (Safety Integrity Level) or possibly a lower safety integrity level (Safety Integrity Level) than the relevant standard, e.g. EN61508 and/or EN8120 and/or EN8150 requires fulfilled, to be looked at.
  • a standardized safety integrity level Safety Integrity Level
  • a lower safety integrity level Safety Integrity Level
  • the sensor for detecting the status of the door lock alone can already meet the required safety requirements with regard to the landing door.
  • a sensor that monitors the door movement due to the active drive is not relevant to safety in this case and therefore does not have to be designed to be safe.
  • the door movement sensor can be connected to the secure safety control unit of the second type via the insecure interface.
  • the safety control unit of the first type and/or the safety control unit of the second type includes a safe interface for connection to sensors and/or actuators.
  • the safety control unit of the second type includes a secure interface for connecting a door lock status sensor and an interface for controlling the electromagnet (actuator) of the door lock.
  • the safety control unit of the first type includes a safe interface for connecting a sleep rope detector and a load measuring device, as well as a safe interface for controlling the brake and/or the safe torque-off function (in the form of a signal from the safety control unit of the first type for triggering the STO condition (disconnecting the machine from the drive) or a connection to a separate, self-contained third type safe safety controller that implements the STO function).
  • An interface which, for example, meets the standardized safety integrity level 1 (Safety Integrity Level, SIL1), preferably SIL2 and particularly preferably SIL3 according to IEC61508 and/or EN8120 and/or EN8150 can be regarded as safe.
  • the safe interface enables the connection of the actuators and sensors relevant to the safety status of the elevator, thus enabling the provision of a safe safety control system through the provision of self-contained safe safety control units.
  • a method for controlling an elevator preferably as described above and below, also leads to the solution of the task, the method comprising the steps:
  • the state of a shaft door is indirectly ascertained via the state of an actuator, that is to say it is assessed.
  • the actuator is safe, that is, for example, designed to be fail-safe
  • a safe state determination can take place indirectly by determining the state of this safe actuator.
  • a fail-safe door lock or an active, safe door drive can be used as an actuator for indirectly ascertaining the safe state.
  • An actuator is suitable for indirect monitoring of the state of the object that can be actuated directly or indirectly by the actuator, i.e. that can be controlled by the actuator (in the present case the shaft door), if the actuator includes a safe control and the state to be monitored (e.g. closed /Not closed) of the object to be monitored (e.g. shaft door) can only be changed after/by actuating the actuator.
  • the actuator includes a safe control and the state to be monitored (e.g. closed /Not closed) of the object to be monitored (e.g. shaft door) can only be changed after/by actuating the actuator.
  • an elevator with a classic door switch which has to detect an unexpected door opening within a very short time at any time, the requirements for the safety control system of the second type, which records the status immediately, are reduced, in particular the monitored status has to be recorded less often.
  • the state distinction "closed” and “not closed” can be raised by a sensor, which only determines whether the landing door is in a closed state, whereby in all other cases, including the case in which the sensor fails, a state “not closed” is charged.
  • each of the shaft doors has a secure door lock, with the method for controlling the elevator
  • the method further comprises the steps:
  • the method further comprises the steps: - repeated sending of a signal to check the communication by the safety control unit of the second type to the safety control unit of the first type at a defined time interval,
  • this further comprises the step:
  • Fig. 1 a highly simplified and schematic representation of an elevator with an elevator shaft and a cabin
  • Fig. 2 a schematic block diagram of the safety control system.
  • Fig. 1 shows an elevator 2.
  • the elevator 2 is shown in a side view.
  • a Part of the elevator 2 is shown in a front view, this being indicated by the dot-dash line.
  • the elevator 2 includes a cabin 4 which can be moved along the shaft 3 .
  • the elevator car 4 is held by a suspension means, the suspension means being a cable or a belt, for example.
  • the suspension element is connected to a counterweight.
  • the suspension element is driven by a drive 6 .
  • the cabin 4 includes a cabin door 15 for opening and closing access to the cabin 4.
  • the cabin door is opened via an active door drive.
  • the car door drive can be controlled via a safety control unit of a first type 14 which is arranged on the car.
  • At least one shaft door 10 is provided on each of the plurality of stories 21', 21", 21"'.
  • the shaft door 10 can be opened or closed in order to permit or block access to the shaft 3, respectively.
  • the elevator 2 also includes an active drive on each shaft door 10 . This active drive enables the landing door to be opened or closed by laterally shifting the landing door leaves.
  • Each of the shaft doors 10 can be controlled by a second type 16 of its own safety control unit.
  • the elevator further comprises a car brake 8 on the car 4, the car brake 8 being controlled by the safety control unit of the first type 14.
  • a safety control unit of the second type 16 per floor 21', 21", 21'" and shaft door is arranged in a yoke of the door frame 25 above the door leaves 27. Also in this box 25 is a door lock 20 and an active door operator 22 and a wireless communication module for wireless connection 26 to the safety control unit of the first type 14, and a Sensor 36 for monitoring the status of the door lock.
  • the security control unit of the second type 16 comprises a secure interface 32 and an insecure interface 34.
  • the car 4 In normal operation of the elevator 2, the car 4 is moved from one floor 21'' to another floor 21'.
  • the elevator car is moved by the action of the drive on the suspension element.
  • the drive 6 is controlled in such a way that the car 4 stops when it reaches the corresponding floor. The passengers can now get on and off.
  • Fig. 2 shows the safety control system 12 of the elevator 2.
  • the safety control system 12 is divided schematically into three areas.
  • a first area 10 (identified by the box with the reference numeral 10) represents that part of the safety control system 12 which is located at the shaft doors 10 or in the immediate vicinity of the shaft doors.
  • a second area (identified by the border with the reference number 4 ) represents that part of the safety control system 12 which is arranged on the cab 4 .
  • the secure control unit of the second type 16 is connected via a secure interface 32 and a secure connection 28 both to a first actuator 20 in the form of a door lock and to a sensor 36 , this sensor monitoring the state of the door lock 20 . Furthermore, the secure safety control unit of the second type 16 is connected via an insecure interface 34 and an insecure connection 30 to other sensors 36, specifically a magnetic sensor for detecting a cabin near the shaft door, and an actuator 22 in the form of a door drive.
  • the safety control system 12 includes a safe safety control unit of the first type 14.
  • This safety control unit 14 is connected to a plurality of sensors 36, with four sensors 36 being shown in this exemplary embodiment.
  • a camera on the cabin roof and a camera on the cabin floor are connected as sensors 36 .
  • the cameras serve at least to monitor the room in which a service technician is working during maintenance.
  • These sensors 36 are connected to the safety control unit 14 via an insecure connection 30 via the insecure interface 34 .
  • an acceleration sensor and an absolute position sensor are also connected via an insecure interface 34 and link 30 .
  • three sensors 36 are connected to the safety control unit 14 via a secure connection 28 .
  • the safety control unit 14 is also connected via a secure connection 28 to two actuators 8, which are brakes.
  • the safety control unit also includes a secure connection 28 in the area of the drive 6, via which the STO function in the converter can be triggered.

Abstract

The invention relates to an elevator (2), comprising a shaft (3), a car (4) which can move in the shaft (3), a drive (6) which is operatively connected to the car (4) and by means of which the car (4) can be moved, a brake (8), a plurality of shaft doors (10) and a safety control system (12). The safety control system (12) comprises a secure safety control unit of a first type (14) and at least one secure safety control unit of a second type (16). The safety control unit of the first type (14) and the at least one safety control unit of the second type (16) are interconnected. The at least one safety control unit of the second type (16) is designed such that a state of any of the shaft doors (10) can be collected by the at least one safety control unit of the second type (16). The safety control system (12) is designed such that the state of the shaft doors (10) can be collected directly only by the at least one safety control unit of the second type (16).

Description

Aufzug, Verfahren zur Steuerung eines Aufzuges Elevator, method for controlling an elevator
Die vorliegende Erfindung betrifft einen Aufzug, insbesondere einen Aufzug mit einem Sicherheitssteuersystem, sowie einem Verfahren zur Steuerung eines Aufzuges. The present invention relates to an elevator, in particular an elevator with a safety control system, and a method for controlling an elevator.
Aufzüge dienen im Allgemeinen dazu, Personen oder Gegenstände in vertikaler Richtung zu transportieren. Um hierbei Gefährdungen der Person beziehungsweise der Gegenstände zu vermeiden, werden Sicherheitssteuersysteme eingesetzt. Diese überwachen zum Beispiel mithilfe von Sensoren, das heisst beispielsweise anhand von Daten oder Signalen von Sensoren, aktuelle Betriebszustände des Aufzuges. Weiter kann das Sicherheitssteuersystem beim Feststellen eines unsicheren Zustands des Aufzuges Aktoren ansprechen, welche das Aufzugsystem in einen sicheren Zustand überführen sollen. Die Fangbremse ist beispielsweise ein solcher Aktor. So überwacht das Sicherheitssteuersystem zum Beispiel eine Geschwindigkeit des Aufzuges. Wird ein unsicherer Zustand detektiert, aktiviert das Sicherheitssteuersystem gewisse Aktoren. Beispielsweise wird eine Fangeinrichtung zum Bremsen der Aufzugskabine aktiviert. Das Sicherheitssteuersystem stellt zusätzlich sicher, dass keine weiteren Rufe mehr bedient werden. An das Sicherheitssteuersystem werden höchste Anforderungen hinsichtlich Zuverlässigkeit und Sicherheit gestellt. Elevators are generally used to transport people or objects in a vertical direction. Safety control systems are used to avoid endangering persons or objects. These monitor, for example, with the help of sensors, that is, for example, using data or signals from sensors, current operating states of the elevator. Furthermore, when an unsafe state of the elevator is detected, the safety control system can address actuators which are intended to bring the elevator system into a safe state. The safety brake is such an actuator, for example. For example, the safety control system monitors a speed of the elevator. If an unsafe condition is detected, the safety control system activates certain actuators. For example, a safety gear for braking the elevator car is activated. The security control system also ensures that no further calls are served. The highest demands are placed on the safety control system in terms of reliability and safety.
Aus dem Stand der Technik sind Aufzüge bekannt, welche ein zentrales Sicherheitssteuersystem umfassen. Diese zentralen Sicherheitssteuersysteme sind mit einer Vielzahl von Sensoren und Aktoren verbunden, welche an verschiedenen Positionen innerhalb des Aufzuges angeordnet sind. Wird durch das zentrale Sicherheitssteuersystem, insbesondere durch die Sensoren, welche mit diesem zentralen Sicherheitssteuersystem verbunden sind, ein unsicherer Betriebszustand des Aufzuges festgestellt, so steuert das zentrale Sicherheitssteuersystem eine oder mehrere aktivierbare Aktoren geeignet an, um den Aufzug in einen sicheren Zustand zurückzuführen. Beispielsweise wird beim Erkennen einer offenen Schachttür das Verfahren der Kabine im Aufzugschacht verhindert. Dies kann beispielsweise durch das Auslösen des Aktors der Fangbremse geschehen. In einem solchen System werden Signale von den im Aufzugschacht verteilten Sensoren unverarbeitet an das zentrale Sicherheitssteuersystem übermittelt, welches allein, das heisst ausschliesslich die Daten verarbeitet und interpretiert, um anschliessend unmittelbar die Aktoren anzusprechen. Elevators are known in the prior art which include a central safety control system. These central safety control systems are connected to a variety of sensors and actuators located at various positions within the elevator. If an unsafe operating state of the elevator is determined by the central safety control system, in particular by the sensors which are connected to this central safety control system, the central safety control system controls one or more activatable actuators in a suitable manner to put the elevator into a safe state attributed. For example, when an open shaft door is detected, the car is prevented from moving in the elevator shaft. This can happen, for example, by triggering the safety brake actuator. In such a system, signals from the sensors distributed in the elevator shaft are transmitted unprocessed to the central safety control system, which alone, i.e. exclusively, processes and interprets the data in order to then address the actuators directly.
Ein Nachteil eines solchen zentralen Sicherheitssteuersystems ist, dass die Signallaufzeiten sehr lang werden können. Dies ist insbesondere bei Aufzügen mit einer grossen Anzahl von Stockwerken der Fall. Aber auch bei Aufzügen mit nur einigen Stockwerken kann durch die zentrale Architektur eine Verzögerung in der Übertragung der Daten der Sensoren, sowie dem Eingreifen der Aktoren entstehen. Dies wird weiter durch die Auslastung des zentralen Sicherheitssteuersystems mit einer Vielzahl von Überwachungsfunktionen verschärft, da die Rechenkapazität des zentralen Sicherheitssteuersystems beschränkt ist. So kann es zu Reaktionsverzögerungen im Aufzug kommen. Dies wiederum beeinträchtigt die Sicherheit des Aufzuges. A disadvantage of such a central security control system is that the signal propagation times can become very long. This is particularly the case for elevators with a large number of floors. But even in the case of elevators with only a few floors, the central architecture can cause a delay in the transmission of data from the sensors and in the intervention of the actuators. This is further exacerbated by the load on the central safety control system with a large number of monitoring functions, since the computing capacity of the central safety control system is limited. This can lead to reaction delays in the elevator. This in turn affects the safety of the elevator.
Die EP 2 022 742 Al offenbart einen Aufzug mit einem dezentralen Sicherheitssteuersystem. Das dezentrale Sicherheitssteuersystem weist mehrere Sicherheitssteuereinheiten auf, wobei die Sicherheitssteuereinheiten über eine Busverbindung miteinander verbunden sind. EP 2 022 742 A1 discloses an elevator with a decentralized safety control system. The decentralized safety control system has a number of safety control units, the safety control units being connected to one another via a bus connection.
Die US 2011/302466 Al offenbart einen Aufzug mit einem Sicherheitssteuersystem, welches eine Mastereinheit und mehrere Slaveeinheiten umfasst. Die Slaveeinheiten sind jeweils mit Sensoren und Schaltern verbunden, wobei sie Signale dieser Sensoren und Schalter an die Mastereinheit übermitteln. Die Mastereinheit verarbeitet die Daten und spricht bei Bedarf Aktoren an, um den Aufzug in einen sicheren Zustand zu überführen. US 2011/302466 A1 discloses an elevator with a safety control system that includes a master unit and multiple slave units. The slave units are respectively connected to sensors and switches, transmitting signals from these sensors and switches to the master unit. The master unit processes the data and, if necessary, addresses actuators in order to bring the elevator into a safe state.
Nachteilig bei den bekannten Sicherheitssteuersystemen ist, dass durch die Architektur des Systems Verzögerungen entstehen. So wird die Reaktion des Aufzuges auf unsichere Zustände unnötig verzögert. A disadvantage of the known security control systems is that by the Architecture of the system delays arise. In this way, the reaction of the lift to unsafe conditions is unnecessarily delayed.
Es ist deshalb die Aufgabe der vorliegenden Erfindung, einen Aufzug zu schaffen, welcher die Nachteile des Standes der Technik vermeidet und insbesondere einen Aufzug und ein Verfahren zur Steuerung eines Aufzuges zu schaffen, bei welchen Verzögerungen im Sicherheitssteuersystem möglichst reduziert werden und das Sicherheitssteuersystem vereinfacht wird, so dass der Aufzug möglichst schnell auf unsichere Zustände reagieren kann. It is therefore the object of the present invention to create an elevator which avoids the disadvantages of the prior art and in particular to create an elevator and a method for controlling an elevator in which delays in the safety control system are reduced as much as possible and the safety control system is simplified. so that the elevator can react to unsafe conditions as quickly as possible.
Die Aufgabe wird durch einen Aufzug sowie durch ein Verfahren zur Überwachung eines Aufzuges gemäss den unabhängigen Ansprüchen gelöst. The object is achieved by an elevator and by a method for monitoring an elevator according to the independent claims.
Erfindungsgemäss umfasst der Aufzug einen Schacht, eine im Schacht verfahrbare Kabine, einen Antrieb, welcher mit der Kabine wirkverbunden ist und durch welchen die Kabine verfahrbar ist, eine Bremse, eine Mehrzahl von Schachttüren und ein Sicherheitssteuersystem. Das Sicherheits Steuersystem umfasst eine sichere Sicherheitssteuereinheit eines ersten Typs und wenigstens eine sichere Sicherheitssteuereinheit eines zweiten Typs. Die Sicherheitssteuereinheit des ersten Typs und die wenigstens eine Sicherheitssteuereinheit des zweiten Typs sind miteinander verbunden. Die wenigstens eine Sicherheitssteuereinheit des zweiten Typs ist so ausgebildet, dass durch sie ein Zustand einer jeder der Schachttüren erhebbar ist. Erfindungsgemäss ist das Sicherheitssteuersystem so ausgebildet, dass der Zustand der Schachttüren unmittelbar ausschliesslich durch die wenigstens eine Sicherheitssteuereinheit des zweiten Typs erhebbar ist. According to the invention, the elevator comprises a shaft, a car which can be moved in the shaft, a drive which is operatively connected to the car and by means of which the car can be moved, a brake, a plurality of shaft doors and a safety control system. The safety control system comprises a first type safe safety control unit and at least one second type safe safety control unit. The safety control unit of the first type and the at least one safety control unit of the second type are connected to one another. The at least one safety control unit of the second type is designed in such a way that it can be used to determine the state of each of the shaft doors. According to the invention, the safety control system is designed in such a way that the state of the shaft doors can be determined directly and exclusively by the at least one safety control unit of the second type.
Vorteilhaft erweist sich, dass durch das Vorhandensein von zwei voneinander getrennten sicheren Sicherheitssteuereinheiten, durch die klare Zuweisung der Schachttüren zu der wenigstens einen Sicherheitssteuereinheit des zweiten Typs und durch die ausschliessliche unmittelbare Erhebung des Zustands der Schachttüren durch die wenigstens eine Sicherheitssteuereinheit des zweiten Typs die Sicherheitssteuereinheiten spezifisch für den ihnen zugeteilten Erhebungsauftrag ausgeführt werden können. Die Erhebung des Schachttürenzustands ist sicher- heitsrelevant, da bei offener Schachttür Personen in der Nähe des Schachts gefährdet sind. Des Weiteren soll bei offener Schachttür das Verfahren der Kabine verhindert oder wenigstens eingeschränkt werden. Mit der sicheren Sicherheits Steuereinheit des zweiten Typs wird erfindungsgemäss eine Sicherheitssteuereinheit zur Verfügung gestellt, welche für diese Aufgabe ausgelegt ist. Es ist ebenfalls wichtig, dass alle Schachttüren überwacht werden. Die wenigstens eine Sicherheitssteuereinheit des zweiten Typs ist sicher ausgestaltet, so dass sichergestellt ist, dass die Erhebung des Zustands der Schachttüren zuverlässig ist. Das Sicherheitssteuersystem kann so die Überwachung des Zustands der Schachttüren ausschliesslich der Sicherheitssteuereinheit des zweiten Typs überlassen und sicher sein, dass diese Sicherheitssteuereinheit die Überwachung zuverlässig ausfährt. Ein abschliessend und sicher erhobener Zustand der Schachttüren, sprich ein einfaches „Tür(en) geschlossen / Tür(en) nicht geschlossen“ kann anschliessend im Sicherheitssteuersystem über die Verbindung an andere Einheiten, insbesondere an die sichere Sicherheitssteuereinheit des ersten Typs übermittelt werden. So wird unter anderem ermöglicht, eine auf das Überwachen der Schachttüren spezifische Geschwindigkeitsanforderung in die Sicherheitssteuereinheit des zweiten Typs zu implementieren. Die Überwachung jeder der Schachttüren durch die wenigstens eine Sicherheitssteuereinheit des zweiten Typs ermöglicht es, die Sicherheitssteuereinheit des ersten Typs und gegebenenfalls eine weitere vorhandene Sicherheitssteuereinheit frei von türüberwachungsspezifischen Anforderung auszuführen. Dies erlaubt ein einfaches, effizientes und sicheres Sicherheitssteuersystem zur Verfügung zu stellen. It has proven to be advantageous that the presence of two separate, secure safety control units, the clear assignment of the shaft doors to the at least one safety control unit of the second type and the exclusive direct recording of the status of the shaft doors by the at least one safety control unit of the second type specifically identify the safety control units for the survey assignment assigned to them can be executed. The determination of the state of the shaft doors is relevant to safety, since people in the vicinity of the shaft are endangered when the shaft door is open. Furthermore, when the shaft door is open, movement of the car should be prevented or at least restricted. With the safe safety control unit of the second type, a safety control unit is made available according to the invention, which is designed for this task. It is also important that all landing doors are monitored. The at least one safety control unit of the second type is designed to be safe, so that it is ensured that the determination of the state of the shaft doors is reliable. The safety control system can thus leave the monitoring of the state of the landing doors exclusively to the safety control unit of the second type and can be sure that this safety control unit will carry out the monitoring reliably. A final and safely recorded state of the shaft doors, i.e. a simple "door(s) closed / door(s) not closed" can then be transmitted in the safety control system via the connection to other units, in particular to the safe safety control unit of the first type. This makes it possible, among other things, to implement a speed requirement specific to the monitoring of the shaft doors in the safety control unit of the second type. The monitoring of each of the shaft doors by the at least one safety control unit of the second type makes it possible to design the safety control unit of the first type and possibly another safety control unit free of door monitoring-specific requirements. This allows a simple, efficient and safe safety control system to be provided.
Als sicher kann eine Sicherheitssteuereinheit, die beispielsweise den normierten Sicherheits-Integritäts-Level 1 (Safety Integrity Level, SIL 1 ), bevorzugt SIL2 und besonders bevorzugt SIL3 nach IEC61508 und/oder EN8120 und/oder EN8150 erfüllt, angeschaut werden. A safety control unit which, for example, meets the standardized safety integrity level 1 (Safety Integrity Level, SIL 1), preferably SIL2 and particularly preferably SIL3 according to IEC61508 and/or EN8120 and/or EN8150, can be regarded as safe.
Ein Zustand ist vorangehend und im Folgenden als eine zu einem gewissen Zeitpunkt bestehende Lage der Schachttüren zu verstehen. Insbesondere kann der Zustand der Schachttür geschlossen oder nicht geschlossen, das heisst offen, sein. Während die Sicherheitssteuereinheit des zweiten Typs den Zustand der Schachttür unmittelbar ausschliesslich erhebt, ist damit nicht ausgeschlossen, dass die Sicherheitssteuereinheit des zweiten Typs eine auf diesem erhobenen Zustand basierende Information innerhalb des Sicherheitssteuersystems beispielsweise an die sichere Steuereinheit des ersten Typs weiterleitet. Mit dem ausschliesslichen und unmittelbaren Erheben ist gemeint, dass die Auswertung des/der Sensorsignal(e) und die Ableitung des Zustandes aus dem/den Signalen ausschliesslich durch und in der Sicherheitssteuereinheit des zweiten Typs geschieht. Das heisst, dass die Sicherheitssteuereinheit des zweiten Typs diesen Zustand ohne Zuhilfe einer anderen Sicherheitssteuereinheit eines anderen Typs abschliessend erhebt. A state is to be understood above and below as a position of the landing doors existing at a certain point in time. In particular, the state of the landing door to be closed or not closed, i.e. open. While the safety control unit of the second type directly and exclusively records the status of the shaft door, this does not rule out the possibility that the safety control unit of the second type forwards information based on this recorded status within the safety control system, for example to the safe control unit of the first type. The exclusive and direct collection means that the evaluation of the sensor signal(s) and the derivation of the status from the signal(s) takes place exclusively through and in the safety control unit of the second type. This means that the safety control unit of the second type finally detects this state without the aid of another safety control unit of a different type.
In einer bevorzugten Ausführungsform des Aufzuges umfasst das Sicherheitssteuersystem eine sichere Sicherheitssteuereinheit des zweiten Typs pro Schachttür. Die Sicherheitssteuereinheiten des zweiten Typs sind bevorzugt an den Schachttüren angebracht. Bevorzugt ist an jeder der Schachttüren eine Sicherheitssteuereinheit des zweiten Typs angebracht. In a preferred embodiment of the elevator, the safety control system comprises one safe safety control unit of the second type per landing door. The safety control units of the second type are preferably attached to the landing doors. Preferably, a safety control unit of the second type is attached to each of the landing doors.
Es wird so ermöglicht, dass jede der Schachttüren eine spezifisch für diese Schachttür vorgesehene Sicherheitssteuereinheit des zweiten Typs aufweist. Die Sicherheitssteuereinheit des zweiten Typs kann so vergleichsweise einfach ausgestaltet sein, da sie nur eine Schachttür überwachen muss. In dieser Ausführungsform ist die Sicherheitssteuereinheit des zweiten Typs bevorzugt an der Schachttür angeordnet, wodurch die Sicherheitssteuereinheit des zweiten Typs unmittelbar bei der Schachttür ist und so Verzögerungen durch Übertragungen von Signalen weiter reduziert werden können. Da die Sicherheitssteuereinheit des zweiten Typs eine sichere Sicherheitssteuereinheit ist, muss die Verbindung zu wenigstens einigen der Sensoren und/oder Aktoren, insbesondere einem Türschlosssensor und Türschlossaktor sicher ausgeführt sein. Durch die Anordnung unmittelbar bei der entsprechenden Schachttür entfällt der Aufwand, Verbindungen über lange Distanzen sicher ausführen zu müssen. Des Weiteren erweist sich das Anordnen an der Schachttür vorteilhaft, da so die Sicherheitssteuereinheit und die Verbindungen zu den auf der Schachttür vorhandenen Sensoren und Aktoren bereits in einer Fabrik hergestellt werden können. Eine Montage vor Ort durch den Monteur erübrigt sich. So ergibt sich eine einfach Sicherheitssteuereinheit des zweiten Typs, welche Verzögerungen weiter reduziert und somit eine erhöhte Sicherheit des Sicherheits Steuersystems ermöglicht. It is thus made possible for each of the shaft doors to have a safety control unit of the second type which is specifically provided for this shaft door. The safety control unit of the second type can thus be configured in a comparatively simple manner since it only has to monitor one shaft door. In this embodiment, the safety control unit of the second type is preferably arranged at the shaft door, as a result of which the safety control unit of the second type is directly at the shaft door and delays caused by the transmission of signals can thus be further reduced. Since the safety control unit of the second type is a safe safety control unit, the connection to at least some of the sensors and/or actuators, in particular a door lock sensor and door lock actuator, must be made safe. By arranging it directly at the relevant shaft door, there is no need to make connections over long distances. Furthermore, arranging the shaft door proves advantageous, since the safety control unit and the Connections to the sensors and actuators present on the shaft door can already be established in a factory. On-site assembly by the fitter is no longer necessary. This results in a simple safety control unit of the second type, which further reduces delays and thus enables increased safety of the safety control system.
Als sicher kann eine Verbindung, die beispielsweise den normierten Sicherheits- Integritäts-Level 1 (Safety Integrity Level, SIL1), bevorzugt SIL2 und besonders bevorzugt SIL3 nach IEC 61508 und/oder EN81-20 und/oder EN81-50 erfüllt, angeschaut werden. A connection which, for example, meets the standardized safety integrity level 1 (Safety Integrity Level, SIL1), preferably SIL2 and particularly preferably SIL3 according to IEC 61508 and/or EN81-20 and/or EN81-50 can be regarded as secure.
An der Schachttür angebracht meint vorangehend und im Folgenden, dass die Sicherheitssteuereinheit als Teil der Schachttür ausgeführt ist. So kann die Sicherheitssteuereinheit beispielsweise in einem Kasten oberhalb der Schachttürflügel angeordnet sein, in welchem auch die Türflügel verlagerbar geführt werden. Dieser Kasten kann ausserhalb des Schachtes und/oder innerhalb des Schachtes angeordnet sein. Die Sicherheits Steuereinheit kann alternativ auch in einem Türposten angebracht sein. Attached to the landing door means above and below that the safety control unit is designed as part of the landing door. For example, the safety control unit can be arranged in a box above the shaft door leaf, in which the door leaf can also be moved. This box can be arranged outside the shaft and/or inside the shaft. Alternatively, the security control unit can also be mounted in a door post.
In einer bevorzugten Ausführungsform des Aufzuges sind die sicheren Sicherheitssteuereinheiten so ausgebildet, dass jeweils wenigstens ein ihnen zugeordneter Aktor durch sie steuerbar ist. Der jeweilige Aktor ist bevorzugt unmittelbar ausschliesslich von dieser Sicherheitssteuereinheit steuerbar. In a preferred embodiment of the elevator, the safe safety control units are designed in such a way that at least one actuator assigned to them can be controlled by them. The respective actuator can preferably be controlled directly and exclusively by this safety control unit.
Durch die Zuordnung eines Aktors zu einer Sicherheitssteuereinheit und durch die unmittelbar ausschliessliche Ansteuerung dieses Aktors durch die Sicherheitssteuereinheit können die beiden Komponenten in ihrer Ausführung aufeinander abgestimmt werden. So kann die Sicherheitssteuereinheit beispielsweise in Bezug auf Rechen-, das heisst Auswertegeschwindigkeit auf die Art des Aktors abgestimmt werden. So kann die Sicherheitssteuereinheit des zweiten Typs mit einer anderen Auswertegeschwindigkeit, beispielsweise einer tieferen Auswertegeschwindigkeit und dementsprechend auch mit einer anderen Sensorausleserate, beispielsweise einer tieferen Ausleserate ausgeführt werden, als beispielsweise die Sicherheitssteuereinheit des ersten Typs. So kann beispielsweise die Sicherheitssteuereinheit des zweiten Typs auf die Vorgänge an der Schachttür ausgelegt sein, ohne dass sie gleichzeitig auch für Vorgänge des sicherheitsrelevanten Abbremsens der Kabine ausgelegt sein muss. Im Gegenzug kann die Sicherheitssteuereinheit des ersten Typs ausschliesslich auf die für die notfallmässige Abbremsung (Fang) benötigte Auswertung ausgelegt sein. Es kann so ein kostengünstiges und dennoch sicheres Sicherheitssteuersystem mit unterschiedlich auf ihren Zweck zugeschnittenen Sicherheitssteuereinheiten gebildet werden. By assigning an actuator to a safety control unit and by the direct exclusive control of this actuator by the safety control unit, the two components can be coordinated in their execution. For example, the safety control unit can be matched to the type of actuator with regard to the computing speed, ie the evaluation speed. So the safety control unit of the second type with a different evaluation speed, for example a lower evaluation speed and accordingly also with a different sensor readout rate, for example be performed at a lower read rate than, for example, the safety control unit of the first type. For example, the safety control unit of the second type can be designed for the processes at the shaft door without having to be designed for processes involving the safety-relevant braking of the car at the same time. In return, the safety control unit of the first type can be designed exclusively for the evaluation required for emergency braking (recovery). In this way, an inexpensive yet safe safety control system can be formed with different safety control units tailored to their purpose.
Ein Aktor ist vorangehend und im Folgenden als eine Komponente zu verstehen, durch welche der physikalische Zustand des Aufzuges verändert (oder entgegen sonstigen Einwirkungen beibehalten) werden kann. Beispielsweise ist die Bremse, insbesondere auch die Fangbremse, sowie der Antrieb, insbesondere auch Türenantriebe, und Türschloss ein Aktor. Mit einem Aktor, der unmittelbar ausschliesslich von einer Sicherheitssteuereinheit angesteuert wird, ist vorangehend und im Folgenden gemeint, dass die konkrete Ansteuerung mit den benötigten Signalen und Energie zur Zustandsänderung des Aktors ausschliesslich durch die jeweils zugeordnete Sicherheitssteuereinheit geschieht. Damit ist nicht ausgeschlossen, dass die dem Aktor zugeordnete Sicherheitssteuereinheit von einer anderen Sicherheitssteuereinheit den abstrakten, mittelbaren Befehl erhält, den Zustand zu ändern. Damit die Sicherheitssteuereinheit den zugeordneten Aktor unmittelbar ausschliesslich steuern kann, sind die dazu benötigten Sensoren, die den Zustand des Aktors erhebbar machen mit der Sicherheitssteuereinheit verbunden. Die Sicherheitssteuereinheit ermöglicht so die Implementierung eines in sich geschlossenen Regelkreises des Aktors, ohne dabei auf abgesetzte Signale und/oder Auswertekapazität oder Information anderer Sicherheitssteuereinheiten zurückgreifen zu müssen. Above and below, an actuator is to be understood as a component through which the physical state of the elevator can be changed (or maintained against other influences). For example, the brake, in particular also the safety brake, as well as the drive, in particular also door drives, and door lock are actuators. An actuator that is controlled directly and exclusively by a safety control unit means above and below that the specific control with the required signals and energy for changing the state of the actuator takes place exclusively through the respectively assigned safety control unit. This does not prevent the safety control unit assigned to the actuator receiving the abstract, indirect command from another safety control unit to change the state. So that the safety control unit can directly and exclusively control the associated actuator, the sensors required for this purpose, which make it possible to ascertain the state of the actuator, are connected to the safety control unit. The safety control unit thus enables the implementation of a self-contained control loop of the actuator without having to resort to remote signals and/or evaluation capacity or information from other safety control units.
In einer bevorzugten Ausführungsform des Aufzuges umfasst jede Schachttür als Aktor ein sicheres Türschloss und/oder einen aktiven Türantrieb. Das Sicherheitssteuersystem ist so ausgebildet, dass die Türschlösser und/oder die Türantriebe unmittelbar ausschliesslich durch die wenigstens eine Sicherheitssteuereinheit des zweiten Typs steuerbar sind. In a preferred embodiment of the elevator, each shaft door comprises a secure door lock and/or an active door drive as an actuator. The security control system is designed so that the door locks and / or the door drives can be directly controlled exclusively by the at least one safety control unit of the second type.
Ein Türschloss blockiert in einem ersten Zustand ein Öffnen der Schachttür und blockiert dieses in einem zweiten Zustand nicht, das heisst gibt das Öffnen der Tür frei. Ist das Türschloss so ausgeführt, dass der Zustand, in welchem das Türschloss das Öffnen der Tür blockiert, nur dann einnehmbar ist, wenn auch die Tür, beziehungsweise die Türflügel in einem blockierbaren Zustand ist/sind (in anderen Worten ist das Türschloss «fail-safe» ausgebildet und kann deshalb als sicher bezeichnet werden), so kann alleine durch die Überwachung der beiden Zustände „blockiert“, beziehungsweise „nicht blockiert“ des Türschlosses darauf geschlossen werden, ob die Schachttür zu und blockiert oder offen (nicht zu ) und unblockiert ist. Es kann somit ein dem Türschloss zugewiesene sichere Sicherheitssteuereinheit des zweiten Typs bereitgestellt werden, welche unmittelbar ausschliesslich, das heisst ohne weitere Sensoren beziehungsweise Aktoren, einen sicheren Zustand des Aufzuges in Bezug auf die Schachttür feststellen kann. Beispielsweise kann das Türschloss als ein durch einen Elektromagnet festhaltbaren Bolzen ausgeführt sein. Der Bolzen kann sich bevorzugt nur dann mithilfe der Schwerkraft in einen geschlossenen Zustand bewegen, wenn die Türflügel geschlossen sind und das Elektromagnet stromlos ist. Das heisst, die Türflügel blockieren das durch die Schwerkraft bewirkte Nachuntenfallen des Bolzens so lange, als die Türen nicht verschlossen sind. Mit der Überwachung der Position des Bolzens kann so eine fail-safe Türverriegelung ausgeführt werden, von welcher der Schachttürenzustand einfach und sicher erhebbar ist. Des Weiteren oder als Alternative kann die Schachttür auch mit einem aktiven Antrieb versehen sein. Die Kombination von sicherer Sicherheitssteuereinheit und aktivem Antrieb, welcher durch die sichere Sicherheitssteuereinheit unmittelbar und ausschliesslich gesteuert werden kann , ermöglicht ebenfalls den Zustand der Schachttür lokal, das heisst ausschliesslich durch die beiden Komponenten (Sicherheitssteuereinheit/ Antrieb ) und gegebenenfalls mit der Sicherheits Steuereinheit verbundenen Sensoren, beispielsweise Sensoren zur Detektion der Position der Türflügel (oder Position des Verriegelungsbolzen) sicherzustellen. Die Kombination Sicherheitssteuereinheit und aktiver Türantrieb kann so den kritischen Zustand von offenen Schachttüren erheben. So kann das Steuersystem über Abfrage des Türenzustandes bei der Sicherheitssteuereinheit des zweiten Typs sicherstellen, dass die Kabine im Schacht erst dann verfahren wird, wenn ein sicherer Zustand vorliegt. Der Vorteil eines Türschlosses und/oder eines aktiven Antriebs, wie oben und im Folgenden beschrieben ist, dass es keine unerwarteten Türöffnungsbewegungen gibt. Es kann so ein Aufzug gebaut werden, in welchem die Schachttür ausschliesslich (das heisst ein unerwartetes Öffnen einer Schachttür durch einen Servicetechniker mit Dreikantschlüssel, wie es in vielen Aufzugsanlagen vorgesehen ist, ist nicht möglich) durch die sichere Sicherheitssteuereinheit des zweiten Typs gesteuert wird. Ein unerwartetes Öffnen beispielsweise durch einen Monteur muss in der Auslegung des Sicherheits Steuersystems nicht mitberücksichtig werden. Dies reduziert insbesondere die Geschwindigkeitsanforderungen an das Sicherheitssteuersystem in Bezug auf Auslese- und Auswertegeschwindigkeit. So können Sensoren jeweils ausschliesslich nach einer durch das System beauftragten Zustandsänderung abgefragt werden. Es entfällt so die Notwendigkeit für ein schnelles, auf das Detektie- ren von unvorhersehbaren Ereignissen ausgelegtes Erheben des Schachttüren Zustandes. A door lock blocks opening of the shaft door in a first state and does not block this in a second state, that is to say it enables the door to be opened. Is the door lock designed in such a way that the state in which the door lock blocks the opening of the door can only be assumed if the door or the door leaves are/are also in a blockable state (in other words, the door lock is «fail- safe" and can therefore be described as safe), simply by monitoring the two states "blocked" or "not blocked" of the door lock, it can be concluded whether the landing door is closed and blocked or open (not closed) and unblocked is. A safe safety control unit of the second type assigned to the door lock can thus be provided, which can determine a safe state of the elevator in relation to the shaft door directly and exclusively, ie without additional sensors or actuators. For example, the door lock can be designed as a bolt that can be held in place by an electromagnet. The bolt can preferably only move to a closed state using gravity when the door leaves are closed and the electromagnet is de-energized. This means that the door leaves block the bolt from falling down due to gravity as long as the doors are not locked. By monitoring the position of the bolt, a fail-safe door lock can be implemented, from which the state of the shaft doors can be determined easily and safely. Furthermore, or as an alternative, the shaft door can also be provided with an active drive. The combination of safe safety control unit and active drive, which can be controlled directly and exclusively by the safe safety control unit, also enables the state of the landing door to be checked locally, i.e. exclusively by the two components (safety control unit/drive) and, if necessary, sensors connected to the safety control unit. for example sensors for detecting the position of the door leaf (or the position of the locking bolt). The combination safety control unit and active door drive can thus raise the critical status of open shaft doors. The control system can thus ensure, by querying the door status in the safety control unit of the second type, that the car is only moved in the shaft when a safe status is present. The advantage of a door lock and/or an active drive as described above and below is that there are no unexpected door opening movements. An elevator can be built in which the landing door is controlled exclusively (i.e. unexpected opening of a landing door by a service technician with a triangular key, as is provided in many elevator systems) by the safe safety control unit of the second type. Unexpected opening, for example by a fitter, does not have to be taken into account when designing the safety control system. In particular, this reduces the speed requirements for the safety control system with regard to readout and evaluation speed. In this way, sensors can only be queried after a status change requested by the system. This eliminates the need for a quick survey of the state of the shaft doors designed to detect unforeseeable events.
Weiter wird durch die fail-safe Ausführung der Kommunikation ermöglicht, dass die Verbindung zwischen der Sicherheitssteuereinheit des zweiten Typs und der Sicherheitssteuereinheit des ersten Typs als einfache, unsichere Wireless-Verbin- dungen ausgeführt sein kann. Dies ermöglicht es die bevorzugt an jeder Schachttür vorhandene Sicherheitssteuereinheit des zweiten Typs einfach und kostengünstig in das Sicherheitssteuersystem einzubinden. Furthermore, the fail-safe design of the communication makes it possible for the connection between the safety control unit of the second type and the safety control unit of the first type to be designed as a simple, insecure wireless connection. This makes it possible to easily and inexpensively integrate the safety control unit of the second type, which is preferably present on each shaft door, into the safety control system.
Eine unsichere Verbindung ist eine Verbindung, die kein normiertes Sicherheits- Integritäts-Level (Safety Integrity Level) erfüllt oder gegebenenfalls auch ein tieferes Sicherheits-Integritäts-Level (Safety Integrity Level) als das die relevante Norm, bspw. die EN61508 und/oder EN8120 und/oder EN8150 vorschreibt erfüllt, angeschaut werden. Es wird so eine sogenannte «Black Channel» Kommunikation implementiert, in welcher zwei sichere Einheiten über eine unsichere Verbindung sicher miteinander kommunizieren. An insecure connection is a connection that does not meet a standardized safety integrity level (Safety Integrity Level) or possibly a lower safety integrity level (Safety Integrity Level) than the relevant standard, e.g. EN61508 and/or EN8120 and/or EN8150 stipulates are met. A so-called "black channel" communication is implemented in which two secure units via an insecure connection to communicate securely with each other.
In einer bevorzugten Ausführungsform des Aufzuges ist der durch die Sicherheitssteuereinheit des zweiten Typs erhobene Zustand ein Zustand des Türschlosses und/oder des Türantriebs. Der Zustand signalisiert dabei eine geschlossene oder eine nicht geschlossene Schachttür. In a preferred embodiment of the elevator, the condition detected by the safety control unit of the second type is a condition of the door lock and/or the door drive. The status signals a closed or not closed shaft door.
Ist die Kommunikation auf den Austausch einer Statusinformation in Form einer binären Information („Tür zu“ entspricht einem sicheren Zustand / „Tür nicht zu“ entspricht einem unsicheren Zustand) beschränkt, so kann die empfangende Sicherheitssteuereinheit ein Nichtempfangen dieser Statusinformation als ein „Tür nicht zu“ oder anders ausgedrückt als unsicheren Zustand bewerten. Es entfällt so die Notwendigkeit, diese Kommunikation sicher auszuführen, da der zu übertragende Zustand die Übertragung in einer „fail-safe“ Art ermöglicht. So wird die Notwendigkeit einer sicheren Kommunikation auf die sicherheitsrelevanten Aktoren und Sensoren, welche in der sicheren Sicherheitssteuereinheit des zweiten Typs selbst angebracht sind, beschränkt. If the communication is limited to the exchange of status information in the form of binary information (“door closed” corresponds to a safe state / “door not closed” corresponds to an unsafe state), the receiving safety control unit can indicate non-receipt of this status information as a “door not closed ’ or, to put it another way, rate it as an unsafe condition. This eliminates the need to carry out this communication safely, since the status to be transmitted enables transmission in a "fail-safe" manner. In this way, the need for secure communication is limited to the safety-relevant actuators and sensors, which are installed in the secure safety control unit of the second type itself.
In einer bevorzugten Ausführungsform des Aufzuges ist das Sicherheitssteuersystem so ausgebildet, dass die Bremse unmittelbar ausschliesslich durch die Sicherheitssteuereinheit des ersten Typs steuerbar ist, wobei die Sicherheitssteuereinheit des ersten Typs und die Bremse bevorzugt an der Kabine angeordnet sind. In a preferred embodiment of the elevator, the safety control system is designed such that the brake can be directly controlled exclusively by the safety control unit of the first type, with the safety control unit of the first type and the brake preferably being arranged on the car.
Es muss so ausschliesslich die Sicherheitssteuereinheit des ersten Typs auf die Anforderung einer sicheren Bremsung der Aufzugskabine ausgelegt werden. Durch die bevorzugte Anordnung der Sicherheitssteuereinheit des ersten Typs in physikalischer Nähe der Bremse werden Reaktionsverzögerungen auf Grund von Übertragungsverzögerungen minimiert. Thus, only the safety control unit of the first type must be designed to meet the requirement for safe braking of the elevator car. Due to the preferred arrangement of the safety control unit of the first type in physical proximity to the brake, reaction delays due to transmission delays are minimized.
In einer bevorzugten Ausführungsform des Aufzuges ist die Sicherheitssteuereinheit des zweiten Typs so ausgebildet, dass die Sicherheitssteuereinheit des zweiten Typs in regelmässigem Abstand ein Signal zur Überprüfung der Kommunikation an die Sicherheitssteuereinheit des ersten Typs sendet. Dieser Abstand ist beispielsweise grösser als 1 s, bevorzugt grösser 30 s, und besonders bevorzugt grösser 1 min. In a preferred embodiment of the elevator, the safety control unit of the second type is designed in such a way that the safety control unit of the second type sends a signal to check the communication at regular intervals sends to the safety control unit of the first type. This interval is, for example, greater than 1 s, preferably greater than 30 s, and particularly preferably greater than 1 minute.
Durch die regelmässige Übermittlung von einem Signal zur Überprüfung der Kommunikation zwischen der Sicherheitssteuereinheit des zweiten Typs und der Sicherheitssteuereinheit des ersten Typs kann sichergestellt werden, dass die Sicherheitssteuereinheit des ersten Typs, das heisst die Empfängereinheit der Statusinformation, in regelmässigen Abständen darüber informiert wird, dass die Kommunikation zwischen den beiden Einheiten noch funktioniert. Weiss die Sicherheitssteuereinheit des ersten Typs, dass die Kommunikation funktioniert und weiter auch, dass die Sicherheitssteuereinheit des zweiten Typs kürzlich eine Statusinformation zum sicheren Zustand der Schachttür gesendet hat, der Aufzug keine Zustandsänderung der Schachttüren eingeleitet hat und dass unerwartete Zustandsänderungen der Schachttüren nicht möglich sind, so kann die Sicherheitssteuereinheit des ersten Typs zuverlässig auf einen sicheren Zustand des Aufzuges im Bereich der Schachttüren schliessen. Details zum Zustand der Tür, das heisst Sensorinformationen der Sensoren rund um die Tür sind in der Sicherheitssteuereinheit des ersten Typs dazu nicht nötig. The regular transmission of a signal to check the communication between the safety control unit of the second type and the safety control unit of the first type can ensure that the safety control unit of the first type, i.e. the receiver unit of the status information, is informed at regular intervals that the Communication between the two units still works. Does the safety control unit of the first type know that the communication is working and also that the safety control unit of the second type has recently sent status information on the safe state of the shaft door, the elevator has not initiated a state change of the shaft doors and that unexpected state changes of the shaft doors are not possible, the safety control unit of the first type can thus reliably conclude that the elevator is in a safe state in the area of the shaft doors. Details on the state of the door, ie sensor information from the sensors around the door, are not necessary in the safety control unit of the first type.
In einer bevorzugten Ausführungsform des Aufzuges umfasst das Sicherheitssteuersystem wenigstens eine Sicherheitssteuereinheit eines dritten Typs. Die Sicherheitssteuereinheit des dritten Typs ermöglicht einen Safe-Torque-Off des Antriebs. Die Sicherheitssteuereinheit des ersten Typs und die Sicherheitssteuereinheit des dritten Typs sind miteinander verbunden. In a preferred embodiment of the elevator, the safety control system comprises at least one safety control unit of a third type. The third type of safety control unit enables safe torque-off of the drive. The first type safety control unit and the third type safety control unit are connected to each other.
Durch die Sicherheitssteuereinheit des dritten Typs wird die durch den Aktor Antrieb auszuführende sicherheitsrelevante Funktion der sicheren Abschaltung des Drehmoments (Safe-Torque-Off) ermöglicht. Es wird so gewährleistet, dass auch die Sicherheitssteuereinheit dieses Aktors separat von den anderen Sicherheitssteuereinheiten ausgebildet wird und dadurch nach Möglichkeit direkt neben oder in unmittelbarer Nähe des Antriebs angeordnet werden kann, womit Verzögerungen auf Grund Übertragungsverzögerungen weiter reduziert werden können. The safety control unit of the third type enables the safety-related function of safely switching off the torque (safe torque off) to be carried out by the actuator drive. It is thus ensured that the safety control unit of this actuator is also designed separately from the other safety control units and can therefore be arranged directly next to or in the immediate vicinity of the drive, if possible Delays due to transmission delays can be further reduced.
In einer bevorzugten Ausführungsform des Aufzuges ist eine Verbindung zwischen den Sicherheitssteuereinheiten als Wireless- und/oder Kabelverbindung ausgeführt. Insbesondere die Verbindung der Sicherheitssteuereinheit des dritten Typs mit der Sicherheitssteuereinheit des ersten Typs ist als Kabelverbindung ausgeführt. Die Verbindung zwischen der Sicherheitssteuereinheit des ersten Typs und der wenigstens einen Sicherheitssteuereinheit des zweiten Typs ist bevorzugt als Wireless-Verbindung, besonders bevorzugt als unsichere Wireless-Verbin- dung, ausgeführt. In a preferred embodiment of the elevator, a connection between the safety control units is designed as a wireless and/or cable connection. In particular, the connection between the safety control unit of the third type and the safety control unit of the first type is implemented as a cable connection. The connection between the safety control unit of the first type and the at least one safety control unit of the second type is preferably implemented as a wireless connection, particularly preferably as an insecure wireless connection.
Das Signal der Sicherheitssteuereinheit des dritten Typs ist ein binäres Signal, welches dem Antrieb in einem ersten Zustand den Betrieb im Normalbetriebszustand ermöglicht und welches im zweiten Zustand die Verbindung des Umrichters mit der Maschine unterbricht, bspw. durch elektromagnetische Schütze, welche die Verbindung trennen oder durch Halbleiterschalter, welche sicherstellen, dass kein Strom mehr in die Maschine fliesst. Aufgrund der binären Natur dieses Signals kann die Verbindung sehr einfach, beispielsweise durch eine zweidrahtige Kabelverbindung ausgeführt werden. Hinzu kommt, dass die Kommunikation un- idirektional ist, da die Sicherheits Steuereinheit des dritten Typs zumindest in ihrer einfachsten Ausführungsform des Safe-Torque-Offs keine Bestätigung oder Statusinformation an die Sicherheitssteuereinheit des ersten Typs zurücksendet. The signal from the safety control unit of the third type is a binary signal which, in a first state, allows the drive to operate in the normal operating state and which, in a second state, interrupts the connection of the converter to the machine, e.g. by means of electromagnetic contactors which disconnect or through Semiconductor switches that ensure that no more current flows into the machine. Due to the binary nature of this signal, the connection can be made very simply, for example by a two-wire cable connection. In addition, the communication is unidirectional, since the safety control unit of the third type, at least in its simplest embodiment of the safe torque-off, does not send back any confirmation or status information to the safety control unit of the first type.
In einer weiteren Ausführungsform ist die Sicherheitssteuereinheit des dritten Typs eine eigenständige Sicherheitssteuereinheit, welche in bidirektionaler Kommunikation mit der Sicherheitssteuereinheit des ersten Typs steht. Dabei kann die Kommunikation so wie die Kommunikation zwischen der Sicherheitssteuereinheit des ersten Typs und die Sicherheitssteuereinheit des zweiten Typs aufgebaut ist aufgebaut sein. In a further embodiment, the third type security control unit is a stand-alone security control unit which is in bi-directional communication with the first type security control unit. The communication can be structured in the same way as the communication between the safety control unit of the first type and the safety control unit of the second type.
Wie vorangehend und im Folgenden beschrieben, ist durch die Ausführung des erfindungsgemässen Aufzuges die Kommunikation innerhalb des Sicherheitssteuersystems, das heisst zwischen den Sicherheitssteuereinheiten des ersten Typs und der Sicherheitssteuereinheit des zweiten Typs, auf ein Minimum beschränkt und so ausgebildet, dass die Kommunikation fail-safe ist, das heisst, dass ein Ausbleiben einer Kommunikation als unsicherer Zustand bewertet wird. Die Anforderung an die Verbindung zwischen diesen Sicherheitssteuereinheiten ist deshalb gering. Dies ist insbesondere vorteilhaft, da die Sicherheitssteuereinheit des zweiten Typs bei den jeweiligen Schachttüren und die Sicherheitssteuereinheit des ersten Typs auf der Kabine angeordnet sein kann. Beispielsweise kann in der Schachttür ein Wireless-Modul vorhanden sein, welches die Statusinformation der Sicherheitssteuereinheit des zweiten Typs sendet, wobei in der Sicherheitssteuereinheit des ersten Typs ein entsprechender Wireless-Empfänger vorhanden ist, der diese Information empfängt. So kann eine einfache und kostengünstige Verbindung zwischen den Einheiten realisiert werden. Insbesondere entfällt ein aufwendiges Verkabeln der Schachttüren und die Verbindung dieser auf die Kabine via Hängekabel. As described above and below, the execution of the elevator according to the invention, the communication within the safety control system, i.e. between the safety control units of the first type and the safety control unit of the second type, is restricted to a minimum and designed in such a way that the communication is fail-safe, i.e. a lack of communication is considered an unsafe condition Is evaluated. The requirement for the connection between these safety control units is therefore low. This is particularly advantageous since the safety control unit of the second type can be arranged at the respective shaft doors and the safety control unit of the first type can be arranged on the car. For example, a wireless module can be present in the shaft door, which transmits the status information of the safety control unit of the second type, with a corresponding wireless receiver being present in the safety control unit of the first type, which receives this information. In this way, a simple and inexpensive connection between the units can be implemented. In particular, there is no need for time-consuming cabling of the shaft doors and the connection of these to the cabin via a hanging cable.
In einer bevorzugten Ausführungsform des Aufzuges umfasst die Sicherheits Steuereinheit des ersten Typs und/oder die Sicherheitssteuereinheit des zweiten Typs eine unsichere Schnittstelle zur Verbindung mit Sensoren und/oder Aktoren. Insbesondere umfasst die Sicherheitssteuereinheit des zweiten Typs eine unsichere Schnittstelle zur Verbindung mit einem Sensor zur Detektion der Präsenz einer Kabinentür, bevorzugt einem Manget-Sensor, sowie gegebenenfalls zur Verbindung mit einer Schachttürantriebseinheit für die Steuerung der Schachtürbewegungen. Insbesondere umfasst die Sicherheitssteuereinheit des ersten Typs eine unsichere Schnittstelle zur Verbindung mit Positionssensoren und/oder Geschwin- digkeits- sowie Beschleunigungssensoren. In a preferred embodiment of the elevator, the safety control unit of the first type and/or the safety control unit of the second type includes an insecure interface for connection to sensors and/or actuators. In particular, the safety control unit of the second type includes an insecure interface for connection to a sensor for detecting the presence of a car door, preferably a magnet sensor, and optionally for connection to a shaft door drive unit for controlling the shaft door movements. In particular, the safety control unit of the first type includes an insecure interface for connection to position sensors and/or speed and acceleration sensors.
Eine unsichere Schnittstelle ist eine Schnittstelle, die kein normiertes Sicherheits- Integritäts-Level (Safety Integrity Level) erfüllt oder gegebenenfalls auch ein tieferes Sicherheits-Integritäts-Level (Safety Integrity Level) als das die relevante Norm, bspw. die EN61508 und/oder EN8120 und/oder EN8150 vorschreibt erfüllt, angeschaut werden. An insecure interface is an interface that does not meet a standardized safety integrity level (Safety Integrity Level) or possibly a lower safety integrity level (Safety Integrity Level) than the relevant standard, e.g. EN61508 and/or EN8120 and/or EN8150 requires fulfilled, to be looked at.
Während gewisse Sensoren für die Erhebung eines sicheren Zustands des überwachten Aktors/ Aktor en unerlässlich sind, können weitere Aktoren und/oder Sensoren, welche sicherheitsirrelevante Zustände erheben/bewirken vorhanden sein. So kann beispielsweise bei einer Schachttür mit aktivem Türantrieb und einem fail-safe Türschloss der Sensor zur Detektion des Zustands des Türschlosses allein bereits die geforderten Sicherheitsanforderungen in Bezug auf die Schachttüre erfüllen. Ein Sensor, der die Türbewegung aufgrund des aktiven Antriebs überwacht, ist in diesem Fall nicht sicherheitsrelevant und muss daher auch nicht sicher ausgeführt sein. So kann in diesem Fall der Türbewegungssensor über die unsichere Schnittstelle mit der sicheren Sicherheitssteuereinheit des zweiten Typs verbunden sein. While certain sensors are essential for ascertaining a safe state of the monitored actuator/actuators, other actuators and/or sensors which ascertain/cause states irrelevant to safety may be present. For example, in the case of a landing door with an active door drive and a fail-safe door lock, the sensor for detecting the status of the door lock alone can already meet the required safety requirements with regard to the landing door. A sensor that monitors the door movement due to the active drive is not relevant to safety in this case and therefore does not have to be designed to be safe. In this case, the door movement sensor can be connected to the secure safety control unit of the second type via the insecure interface.
In einer bevorzugten Ausführungsform des Aufzuges umfasst die Sicherheits Steuereinheit des ersten Typs und/oder die Sicherheitssteuereinheit des zweiten Typs eine sichere Schnittstelle zur Verbindung mit Sensoren und/oder Aktoren. Insbesondere umfasst die Sicherheitssteuereinheit des zweiten Typs eine sichere Schnittstelle zur Verbindung eines Türlockstatussensors, sowie eine Schnittstelle zur Ansteuerung des Elektromagneten (Aktor) des Türschlosses. Insbesondere umfasst die Sicherheitssteuereinheit des ersten Typs eine sichere Schnittstelle zur Verbindung eines Schlafseil-Detektors und einer Lastmessvorrichtung, sowie eine sichere Schnittstelle zur Ansteuerung der Bremse und/oder der Safe-Torque-Off- Funktion (in Form eines Signals aus der Sicherheitssteuereinheit des ersten Typs zur Auslösung des STO-Zustands (Trennung der Maschine vom Umrichter) oder eine Verbindung auf eine separate, eigenständige sichere Sicherheitssteuereinheit des dritten Typs, welche die STO-Funktion implementiert). In a preferred embodiment of the elevator, the safety control unit of the first type and/or the safety control unit of the second type includes a safe interface for connection to sensors and/or actuators. In particular, the safety control unit of the second type includes a secure interface for connecting a door lock status sensor and an interface for controlling the electromagnet (actuator) of the door lock. In particular, the safety control unit of the first type includes a safe interface for connecting a sleep rope detector and a load measuring device, as well as a safe interface for controlling the brake and/or the safe torque-off function (in the form of a signal from the safety control unit of the first type for triggering the STO condition (disconnecting the machine from the drive) or a connection to a separate, self-contained third type safe safety controller that implements the STO function).
Als sicher kann eine Schnittstelle, die beispielsweise den normierten Sicherheits- Integritäts-Level 1 (Safety Integrity Level, SIL1), bevorzugt SIL2 und besonders bevorzugt SIL3 nach IEC61508 und/oder EN8120 und/oder EN8150 erfüllt, angeschaut werden. Die sichere Schnittstelle ermöglicht die Verbindung der für den Sicherheitszustand des Aufzuges relevanten Aktoren und Sensoren, und ermöglicht so die Bereitstellung eines sicheren Sicherheitssteuersystems durch die Bereitstellung von in sich geschlossenen sicheren Sicherheitssteuereinheiten. An interface which, for example, meets the standardized safety integrity level 1 (Safety Integrity Level, SIL1), preferably SIL2 and particularly preferably SIL3 according to IEC61508 and/or EN8120 and/or EN8150 can be regarded as safe. The safe interface enables the connection of the actuators and sensors relevant to the safety status of the elevator, thus enabling the provision of a safe safety control system through the provision of self-contained safe safety control units.
Zur Lösung der Aufgabe führt ebenfalls ein Verfahren zur Steuerung eines Aufzuges, bevorzugt wie vorangehend und im Folgenden beschrieben, das Verfahren umfassend die Schritte: A method for controlling an elevator, preferably as described above and below, also leads to the solution of the task, the method comprising the steps:
- Erheben eines sicheren Zustands wenigstens einer, bevorzugt aller, Schachttüren einer Mehrzahl von Schachttüren durch Erhebung eines sicheren Zustandes eines Aktors der Schachttür durch wenigstens eine sichere Sicherheits Steuereinheit eines zweiten Typs, wobei der erhobene Zustand insbesondere entweder „Geschlossen“ oder „Nicht geschlossen“ signalisiert, - Assessing a safe state of at least one, preferably all, shaft doors of a plurality of shaft doors by ascertaining a safe state of an actuator of the shaft door by at least one safe safety control unit of a second type, the state ascertained in particular signaling either "closed" or "not closed". ,
- Übermitteln, insbesondere unsicheres übermitteln, insbesondere übermitteln über eine Wireless-Verbindung, des erhobenen Zustandes der wenigstens einen, bevorzugt aller, Schachttüren von der wenigstens einen Sicherheitssteuereinheit des zweiten Typs zu einer Sicherheitssteuereinheit eines ersten Typs. - Transmission, in particular insecure transmission, in particular transmission via a wireless connection, of the raised status of the at least one, preferably all, shaft doors from the at least one safety control unit of the second type to a safety control unit of a first type.
Beim vorangehenden und im folgenden beschriebenen Verfahren wird der Zustand einer Schachttür indirekt über den Zustand eines Aktors erhoben, das heisst beurteilt. Ist der Aktor sicher, das heisst beispielsweise fail-safe ausgeführt, kann eine sichere Zustandserhebung indirekt durch die Erhebung des Zustands dieses sicheren Aktors geschehen. Beispielsweis kann ein fail-safe Türschlosses oder ein aktiver, sicherer Türantrieb als Aktor zur indirekten Erhebung des sicheren Zustands benutzt werden. In the method described above and below, the state of a shaft door is indirectly ascertained via the state of an actuator, that is to say it is assessed. If the actuator is safe, that is, for example, designed to be fail-safe, a safe state determination can take place indirectly by determining the state of this safe actuator. For example, a fail-safe door lock or an active, safe door drive can be used as an actuator for indirectly ascertaining the safe state.
Ein Aktor eignet sich zur indirekten Überwachung des Zustandes des durch den Aktor direkt oder indirekt betätigbaren, das heisst durch den Aktor kontrollierbaren Objekts, (im vorliegenden Fall die Schachttür), wenn der Aktor eine sichere Ansteuerung umfasst und der zu überwachende Zustand (bspw. geschlossen/nicht geschlossen) des zu überwachende Objekts (bspw. Schachttür) ausschliesslich nach/durch Betätigung des Aktors veränderbar ist. Denn dadurch können unerwartete Zustandsänderung, bspw. ein manuelles Öffnen der Schachttür durch den Monteur ausgeschlossen werden. Im Gegensatz zu einem Aufzug mit klassischem Türschalter, welcher jeder Zeit eine unerwarteten Türöffnung innerhalb kürzester Zeit feststellen muss, werden die Anforderungen an das Sicherheitssteuersystem des zweiten Typs, welches den Zustand unmittelbar erhebt reduziert, insbesondere muss der überwachte Zustand weniger oft erhoben werden. An actuator is suitable for indirect monitoring of the state of the object that can be actuated directly or indirectly by the actuator, i.e. that can be controlled by the actuator (in the present case the shaft door), if the actuator includes a safe control and the state to be monitored (e.g. closed /Not closed) of the object to be monitored (e.g. shaft door) can only be changed after/by actuating the actuator. This means that unexpected changes in status, e.g. manual opening of the shaft door by the fitter, can be ruled out. In contrast to an elevator with a classic door switch, which has to detect an unexpected door opening within a very short time at any time, the requirements for the safety control system of the second type, which records the status immediately, are reduced, in particular the monitored status has to be recorded less often.
Die Zustandsunterscheidung „Geschlossen“ und „Nicht geschlossen“ kann dabei durch einen Sensor erhoben werden, welcher nur feststellt, ob die Schachttür in einem geschlossenen Zustand ist, wobei in allen anderen Fällen, inklusive dem Fall, in welchem der Sensor ausfällt ein Zustand „Nicht geschlossen“ erhoben wird. The state distinction "closed" and "not closed" can be raised by a sensor, which only determines whether the landing door is in a closed state, whereby in all other cases, including the case in which the sensor fails, a state "not closed” is charged.
In einer bevorzugten Ausführungsform weist jeder der Schachttüren ein sicheres Türschloss auf, wobei im Verfahren zur Steuerung des Aufzuges In a preferred embodiment, each of the shaft doors has a secure door lock, with the method for controlling the elevator
In einer bevorzugten Ausführungsform des Verfahrens zur Steuerung des Aufzuges umfasst das Verfahren weiter die Schritte: In a preferred embodiment of the method for controlling the elevator, the method further comprises the steps:
- Empfangen des übermittelten Zustandes durch die Sicherheitssteuereinheit des ersten Typs, - Receiving the transmitted status by the safety control unit of the first type,
- Freigabe eines Öffnens einer Bremse, insbesondere Lösen einer Bremse, durch die Sicherheitssteuereinheit des ersten Typs falls alle der Empfangen Zustände dem Zustand „Geschlossen“ entsprechen, - Release of an opening of a brake, in particular release of a brake, by the safety control unit of the first type if all of the received states correspond to the "closed" state,
- Blockieren eines Öffnens der Bremse durch die Sicherheitssteuereinheit des ersten Typs falls einer der empfangenen Zustände „Nicht geschlossen“ ist oder nicht alle Zustände empfangen wurden. - Blocking an opening of the brake by the safety control unit of the first type if one of the received states is "not closed" or not all states have been received.
In einer bevorzugten Ausführungsform des Verfahrens zur Steuerung des Aufzuges umfasst das Verfahren weiter die Schritte: - wiederholtes Senden eines Signals zur Überprüfung der Kommunikation durch die Sicherheitssteuereinheit des zweiten Typs an die Sicherheitssteuereinheit des ersten Typs im Abstand eines definierten Zeitintervalls, In a preferred embodiment of the method for controlling the elevator, the method further comprises the steps: - repeated sending of a signal to check the communication by the safety control unit of the second type to the safety control unit of the first type at a defined time interval,
- Feststellen der Kommunikationsfähigkeit zwischen der Sicherheitssteuereinheit des ersten Typs und der Sicherheitssteuereinheit des zweiten Typs bei Empfang des Signals zur Überprüfung der Kommunikation, und - determining the communication capability between the safety control unit of the first type and the safety control unit of the second type upon receipt of the communication verification signal, and
- Feststellen eines Fehlerzustandes der Kommunikation zwischen der Sicherheitssteuereinheit des ersten Typs und der Sicherheitssteuereinheit des zweiten Typs beim Ausbleiben eines Empfangs des Signals nach einer Zeitdauer, welche länger als das definierte Zeitintervall ist, wobei das definierte Zeitintervall bevorzugt länger als 1 Sekunde, bevorzugt länger als 30 Sekunden, besonders bevorzugt länger 2 Minuten ist. - Determination of an error state in the communication between the safety control unit of the first type and the safety control unit of the second type if the signal is not received after a period of time which is longer than the defined time interval, the defined time interval preferably being longer than 1 second, preferably longer than 30 Seconds, particularly preferably longer than 2 minutes.
In einer weiteren Ausführungsform des Verfahrens umfasst dieses weiter den Schritt: In a further embodiment of the method, this further comprises the step:
- Senden des STO-Befehls bzw. Freigabe eines STO-Betriebs von der Sicherheitssteuereinheit des ersten Typs zur Sicherheitssteuereinheit des dritten Typs. - Sending the STO command or enabling an STO operation from the safety control unit of the first type to the safety control unit of the third type.
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich anhand der nachfolgenden Beschreibung von Ausführungsbeispielen sowie anhand der Zeichnungen, in welchen gleiche oder funktionsgleiche Elemente mit identischen Bezugszeichen versehen sind. Further advantages, features and details of the invention result from the following description of exemplary embodiments and from the drawings, in which identical or functionally identical elements are provided with identical reference symbols.
Hierbei zeigen show here
Fig. 1 : eine stark vereinfachte und schematische Darstellung eines Aufzuges mit einem Aufzugschacht und einer Kabine, Fig. 1: a highly simplified and schematic representation of an elevator with an elevator shaft and a cabin,
Fig. 2: ein schematisiertes Blockdiagramm des Sicherheits Steuersystems. Fig. 2: a schematic block diagram of the safety control system.
Fig. 1 zeigt einen Aufzug 2. Der Aufzug 2 ist in einer Seitenansicht gezeigt. Ein Teil des Aufzuges 2 ist in einer Frontansicht gezeigt, wobei dies durch die ge- strichpunktete Linie angezeigt ist. Fig. 1 shows an elevator 2. The elevator 2 is shown in a side view. A Part of the elevator 2 is shown in a front view, this being indicated by the dot-dash line.
Der Aufzug 2 umfasst eine Kabine 4, welche entlang des Schachtes 3 verfahrbar ist. Die Aufzugskabine 4 ist durch ein Tragmittel gehalten, wobei das Tragmittel beispielsweise ein Seil oder ein Riemen ist. Am anderen Ende ist das Tragmittel mit einem Gegengewicht verbunden. Das Tragmittel wird über einen Antrieb 6 angetrieben. The elevator 2 includes a cabin 4 which can be moved along the shaft 3 . The elevator car 4 is held by a suspension means, the suspension means being a cable or a belt, for example. At the other end, the suspension element is connected to a counterweight. The suspension element is driven by a drive 6 .
Die Kabine 4 umfasst eine Kabinentür 15 zum Öffnen und Schliessen eines Zugangs zur Kabine 4. Die Kabinentür wird in diesem Ausführungsbeispiel über einen aktiven Türantrieb geöffnet. Der Kabinentürantrieb ist über eine Sicherheitssteuereinheit eines ersten Typs 14, welche auf der Kabine angeordnet ist, steuerbar. The cabin 4 includes a cabin door 15 for opening and closing access to the cabin 4. In this exemplary embodiment, the cabin door is opened via an active door drive. The car door drive can be controlled via a safety control unit of a first type 14 which is arranged on the car.
An jedem der Mehrzahl von Stockwerken 21’, 21”, 21”’ ist wenigstens eine Schachttür 10 vorgesehen. Die Schachttür 10 kann geöffnet bzw. geschlossen werden, um so Zugang zum Schacht 3 zu gewähren bzw. zu blockieren. Der Aufzug 2 umfasst weiter an jeder Schachttür 10 einen aktiven Antrieb. Dieser aktive Antrieb ermöglicht das Öffnen bzw. Schliessen der Schachttür durch ein laterales Verschieben der Schachttürflügel. Jede der Schachttüren 10 ist durch eine eigene Sicherheitssteuereinheit eines zweiten Typs 16 steuerbar. At least one shaft door 10 is provided on each of the plurality of stories 21', 21", 21"'. The shaft door 10 can be opened or closed in order to permit or block access to the shaft 3, respectively. The elevator 2 also includes an active drive on each shaft door 10 . This active drive enables the landing door to be opened or closed by laterally shifting the landing door leaves. Each of the shaft doors 10 can be controlled by a second type 16 of its own safety control unit.
Der Aufzug umfasst weiter an der Kabine 4 eine Kabinenbremse 8, wobei die Kabinenbremse 8 durch die Sicherheitssteuereinheit des ersten Typs 14 gesteuert wird. The elevator further comprises a car brake 8 on the car 4, the car brake 8 being controlled by the safety control unit of the first type 14.
In einem Joch des Türrahmens 25 oberhalb der Türflügel 27 ist eine Sicherheitssteuereinheit des zweiten Typs 16 pro Stockwerk 21’, 21”, 21’” und Schachttürangeordnet. Ebenfalls in diesem Kasten 25 befindet sich ein Türschloss 20 sowie ein aktiver Türantrieb 22 als auch ein Wireless-Kommunikationsmodul zur kabellosen Verbindung 26 zur Sicherheitssteuereinheit des ersten Typs 14, sowie ein Sensor 36 zur Überwachung des Zustandes des Türschlosses. Die Sicherheits Steuereinheit des zweiten Typs 16 umfasst eine sichere Schnittstelle 32 und eine unsichere Schnittstelle 34. A safety control unit of the second type 16 per floor 21', 21", 21'" and shaft door is arranged in a yoke of the door frame 25 above the door leaves 27. Also in this box 25 is a door lock 20 and an active door operator 22 and a wireless communication module for wireless connection 26 to the safety control unit of the first type 14, and a Sensor 36 for monitoring the status of the door lock. The security control unit of the second type 16 comprises a secure interface 32 and an insecure interface 34.
In einem Normalbetrieb des Aufzuges 2 wird die Kabine 4 von einem Stockwerk 21” zu einem anderen Stockwerk 21’ gefahren. Die Bewegung der Aufzugskabine geschieht dabei durch Einwirken des Antriebs auf das Tragmittel. Der Antrieb 6 ist dabei so gesteuert, dass die Kabine 4 bei Erreichen des entsprechenden Stockwerks anhält. Die Passagiere können nun aus- bzw. einsteigen. In normal operation of the elevator 2, the car 4 is moved from one floor 21'' to another floor 21'. The elevator car is moved by the action of the drive on the suspension element. The drive 6 is controlled in such a way that the car 4 stops when it reaches the corresponding floor. The passengers can now get on and off.
Fig. 2 zeigt das Sicherheitssteuersystem 12 des Aufzuges 2. Das Sicherheitssteuersystem 12 ist schematisch in drei Bereiche unterteilt. Ein erster Bereich 10 (durch die Umrandung mit dem Bezugszeichen 10 gekennzeichnet) stellt den Teil des Sicherheitssteuersystems 12 dar, welcher an den Schachttüren 10 oder in unmittelbarer Nähe der Schachttüren angeordnet ist. Ein zweiter Bereich (durch die Umrandung mit dem Bezugszeichen 4 gekennzeichnet) stellt den Teil des Sicherheitssteuersystems 12 dar, welcher an der Kabine 4 angeordnet ist. Weiter existiert ein dritter Teil (Umrandung mit dem Bezugszeichen 6 gekennzeichnet), welcher der Teil des Sicherheits Steuersystems 12 ist, welcher beim Antrieb 6 angeordnet ist. Fig. 2 shows the safety control system 12 of the elevator 2. The safety control system 12 is divided schematically into three areas. A first area 10 (identified by the box with the reference numeral 10) represents that part of the safety control system 12 which is located at the shaft doors 10 or in the immediate vicinity of the shaft doors. A second area (identified by the border with the reference number 4 ) represents that part of the safety control system 12 which is arranged on the cab 4 . There is also a third part (outline marked with the reference number 6 ) which is the part of the safety control system 12 which is arranged at the drive 6 .
Im Bereich der Schachttüren 10 sind zwei identische Sicherheitssteuereinheiten des zweiten Typs 16 und entsprechende Sensoren 36 und Aktoren 20, 22, 38 gezeigt. Die sichere Steuereinheit des zweiten Typs 16 ist über eine sichere Schnittstelle 32 und eine sichere Verbindung 28 sowohl auf einen ersten Aktor 20 in Form eines Türschlosses verbunden als auch auf einen Sensor 36, wobei dieser Sensor den Zustand des Türschlosses 20 überwacht. Weiter ist die sichere Sicherheitssteuereinheit des zweiten Typs 16 über eine unsichere Schnittstelle 34 und eine unsichere Verbindung 30 mit weiteren Sensoren 36, namentlich einem Magnetsensor zur Detektion einer Kabine in der Nähe der Schachttür, sowie einem Aktor 22 in Form eines Türantriebs verbunden. Im Bereich der Kabine 4 umfasst das Sicherheitssteuersystem 12 eine sichere Sicherheitssteuereinheit des ersten Typs 14. Diese Sicherheitssteuereinheit 14 ist mit einer Mehrzahl von Sensoren 36 verbunden, wobei in diesem Ausführungsbeispiel vier Sensoren 36 dargestellt sind. Es ist eine Kamera auf dem Kabinendach und eine Kamera an dem Kabinenboden als Sensor 36 angeschlossen. Die Kamera dienen dabei wenigstens der Überwachung des Raums, in welchem ein Servicetechniker während der Maintenance arbeitet. Diese Sensoren 36 sind über eine unsichere Verbindung 30 über die unsichere Schnittstelle 34 mit der Sicherheitssteuereinheit 14 verbunden. Weitere sind ein Beschleunigungssensor und ein Absolutpositionssensor ebenfalls über eine unsichere Schnittstelle 34 und Verbindung 30 verbunden. Weiter sind drei Sensoren 36 über eine sichere Verbindung 28 mit der Sicherheitssteuereinheit 14 verbunden. Es sind zwei Schlaffseilsensoren vorhanden und ein Sensor 36 zur Bestimmung des Gewichts in der Kabine 4. Die Sicherheitssteuereinheit 14 ist weiter über jeweils eine sichere Verbindung 28 mit zwei Aktoren 8, welches Bremsen sind, verbunden. Ebenfalls umfasst die Sicherheitssteuereinheit eine sichere Verbindung 28 in den Bereich des Antriebs 6, über welche die STO-Funktion im Umrichter ausgelöst werden kann. In the area of the shaft doors 10, two identical safety control units of the second type 16 and corresponding sensors 36 and actuators 20, 22, 38 are shown. The secure control unit of the second type 16 is connected via a secure interface 32 and a secure connection 28 both to a first actuator 20 in the form of a door lock and to a sensor 36 , this sensor monitoring the state of the door lock 20 . Furthermore, the secure safety control unit of the second type 16 is connected via an insecure interface 34 and an insecure connection 30 to other sensors 36, specifically a magnetic sensor for detecting a cabin near the shaft door, and an actuator 22 in the form of a door drive. In the area of the cabin 4, the safety control system 12 includes a safe safety control unit of the first type 14. This safety control unit 14 is connected to a plurality of sensors 36, with four sensors 36 being shown in this exemplary embodiment. A camera on the cabin roof and a camera on the cabin floor are connected as sensors 36 . The cameras serve at least to monitor the room in which a service technician is working during maintenance. These sensors 36 are connected to the safety control unit 14 via an insecure connection 30 via the insecure interface 34 . In addition, an acceleration sensor and an absolute position sensor are also connected via an insecure interface 34 and link 30 . Furthermore, three sensors 36 are connected to the safety control unit 14 via a secure connection 28 . There are two slack rope sensors and a sensor 36 for determining the weight in the cabin 4. The safety control unit 14 is also connected via a secure connection 28 to two actuators 8, which are brakes. The safety control unit also includes a secure connection 28 in the area of the drive 6, via which the STO function in the converter can be triggered.
Abschliessend ist darauf hinzuweisen, dass Begriffe wie „aufweisend“, „umfassend“ etc. keine anderen Elemente oder Schritte ausschliessen und Begriffe wie „eine“ oder „ein“ keine Vielzahl ausschliessen. Ferner sei darauf hingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen. Finally, it should be noted that terms such as "comprising," "comprising," etc. do not exclude other elements or steps, and terms such as "a" or "an" do not exclude a plurality. Furthermore, it should be pointed out that features or steps that have been described with reference to one of the above exemplary embodiments can also be used in combination with other features or steps of other exemplary embodiments described above. Any reference signs in the claims should not be construed as limiting.

Claims

Patentansprüche patent claims
1. Aufzug (2), umfassend einen Schacht (3), eine im Schacht (3) verfahrbare Kabine (4), einen Antrieb (6), welcher mit der Kabine (4) wirkverbunden ist und durch welchen die Kabine (4) verfahrbar ist, eine Bremse (8), eine Mehrzahl von Schachttüren (10) und ein Sicherheits Steuersystem (12), umfassend eine sichere Sicherheitssteuereinheit eines ersten Typs (14) und wenigsten eine sichere Sicherheitssteuereinheit eines zweiten Typs (16), wobei die Sicherheitssteuereinheit des ersten Typs (14) und die wenigstens eine Sicherheitssteuereinheit des zweiten Typs (16) miteinander verbunden sind, wobei die wenigsten eine Sicherheitssteuereinheit des zweiten Typs (16) so ausgebildet ist, dass durch die wenigstens eine Sicherheitssteuereinheit des zweiten Typs (16) ein Zustand einer jeder der Schachttüren (10) erhebbar ist, dadurch gekennzeichnet, dass das Sicherheitssteuersystem (12) so ausgebildet ist, dass der Zustand der Schachttüren (10) unmittelbar ausschliesslich durch die wenigsten eine Sicherheitssteuereinheit des zweiten Typs (16) erhebbar ist. 1. Elevator (2), comprising a shaft (3), a car (4) that can be moved in the shaft (3), a drive (6) that is operatively connected to the car (4) and by which the car (4) can be moved a brake (8), a plurality of landing doors (10) and a safety control system (12) comprising a safe safety control unit of a first type (14) and at least one safe safety control unit of a second type (16), the safety control unit of the first type (14) and the at least one safety control unit of the second type (16) are connected to one another, the at least one safety control unit of the second type (16) being designed in such a way that the at least one safety control unit of the second type (16) indicates a state of each of the shaft doors (10) can be raised, characterized in that the safety control system (12) is designed so that the state of the shaft doors (10) directly exclusively by the least one Safety control unit of the second type (16) can be raised.
2. Aufzug (2) nach Anspruch 1, wobei das Sicherheitssteuersystem (12) eine sichere Sicherheitssteuereinheit des zweiten Typs (16) pro Schachtür (10) umfasst, wobei die Sicherheitssteuereinheiten des zweiten Typs (16) bevorzugt an den Schachtüren (10) angebracht sind. The elevator (2) of claim 1, wherein the safety control system (12) comprises one second type safe safety control unit (16) per shaft door (10), the second type safety control units (16) preferably being attached to the shaft doors (10). .
3. Aufzug (2) nach einem der vorangehenden Ansprüche, wobei die sicheren Steuereinheiten (14, 16) so ausgebildet sind, dass jeweils wenigstens ein ihnen zugeordneter Aktor (8, 20, 22) durch sie steuerbar ist, wobei der jeweilige Aktor (8, 20, 22, 36) bevorzugt unmittelbar ausschliesslich von dieser Sicherheitssteuereinheit (14, 16) steuerbar ist. 3. Elevator (2) according to one of the preceding claims, wherein the safe control units (14, 16) are designed in such a way that at least one actuator (8, 20, 22) assigned to them can be controlled by them, wherein the respective actuator (8 , 20, 22, 36) can preferably be controlled exclusively by this safety control unit (14, 16).
4. Aufzug (2) nach einem der vorangehenden Ansprüche, wobei jede der Schachttüren (10) als Aktor ein sicheres Türschloss (20) und/oder einen aktiven Türantrieb (22) umfasst, wobei das Sicherheitssteuersystem (12) so ausgestaltet ist, dass die Türschlösser (20) und/oder die Türantriebe (22) unmittelbar ausschliesslich durch die wenigstens eine Sicherheitssteuereinheit des zweiten Typs (16) steuerbar sind. 4. Elevator (2) according to one of the preceding claims, wherein each of the landing doors (10) comprises a secure door lock (20) and/or an active door drive (22) as an actuator, wherein the safety control system (12) is designed such that the Door locks (20) and/or the door drives (22) can be controlled directly and exclusively by the at least one safety control unit of the second type (16).
5. Aufzug nach Anspruch 4, wobei der durch die Sicherheitssteuereinheit des zweiten Typs (16) erhobene Zustand, ein Zustand des Türschlosses (20) und/oder des Türantriebs (22) ist, wobei der Zustand eine geschlossene oder eine nicht geschlossene Schachttür (10) signalisiert. Elevator according to claim 4, wherein the condition collected by the safety control unit of the second type (16) is a condition of the door lock (20) and/or the door drive (22), the condition being a closed or an unclosed hoistway door (10 ) signaled.
6. Aufzug (2) nach Anspruch 3, wobei das Sicherheitssteuersystem so ausgebildet ist, dass die Bremse (8) unmittelbar ausschliesslich durch die Sicherheitssteuereinheit des ersten Typs (14) steuerbar ist, wobei diese bevorzugt an der Kabine (4) angebracht ist und die Bremse (8) bevorzugt als Kabinenbremse ausgeführt ist. 6. Elevator (2) according to claim 3, wherein the safety control system is designed such that the brake (8) can be directly controlled exclusively by the safety control unit of the first type (14), which is preferably attached to the car (4) and the Brake (8) is preferably designed as a cabin brake.
7. Aufzug nach einem der vorangehenden Ansprüche, wobei die wenigstens eine Sicherheitssteuereinheit des zweiten Typs (16) so ausgebildet ist, dass sie im Fall eines unsicheren Zustands eines durch sie steuerbaren Aktors (20, 22) eine Statusinformation an die Sicherheitssteuereinheit des ersten Typs (14) sendet. 7. Elevator according to one of the preceding claims, wherein the at least one safety control unit of the second type (16) is designed such that, in the event of an unsafe state of an actuator that it can control (20, 22), it sends status information to the safety control unit of the first type ( 14) sends.
8. Aufzug (2) nach einem der vorangehenden Ansprüche, wobei die Sicherheitssteuereinheit des zweiten Typs (16) so ausgebildet ist, dass die Sicherheitssteuereinheit des zweiten Typs (16) in regelmässigem Abstand ein Signal zur Überprüfung der Kommunikation an die Sicherheitssteuereinheit des ersten Typs (14) sendet, wobei dies in einem Abstand von beispielsweise grösser 1 Sekunde, bevorzugt grösser 30 Sekunden, besonders bevorzugt grösser 1 Minute geschieht. 8. Elevator (2) according to one of the preceding claims, wherein the safety control unit of the second type (16) is designed in such a way that the safety control unit of the second type (16) sends a signal for checking the communication to the safety control unit of the first type ( 14) sends, this happening at an interval of, for example, more than 1 second, preferably more than 30 seconds, particularly preferably more than 1 minute.
9. Aufzug (2) nach einem der vorangehenden Ansprüche, wobei das Sicherheitssteuersystem (12) wenigstens eine Sicherheitssteuereinheit eines dritten Typs (18) umfasst, wobei die Sicherheitssteuereinheit des dritten Typs (18) mit der Sicherheitssteuereinheit des ersten Typs (14) verbunden ist und einen Safe-Torque-Off des Antriebs (6) ermöglicht. 9. Elevator (2) according to any one of the preceding claims, wherein the safety control system (12) comprises at least one safety control unit of a third type (18) comprises, wherein the safety control unit of the third type (18) is connected to the safety control unit of the first type (14) and enables a safe torque-off of the drive (6).
10. Aufzug (2) nach einem der vorangehenden Ansprüche, wobei eine Verbindung (24) zwischen den Sicherheitssteuereinheiten (14, 16, 18) als Wireless- und/oder Kabelverbindung (24, 26) ausgeführt ist, wobei insbesondere die Verbindungen der Sicherheitssteuereinheit des dritten Typs (18) mit der Sicherheitssteuereinheit des ersten Typs (14) als Kabelverbindung ausgeführt ist, wobei die Verbindung zwischen der Sicherheitssteuereinheit des ersten Typs (14) und der Sicherheitssteuereinheit des zweiten Typs (16) bevorzugt eine Wireless-Verbindung (30), besonders bevorzugt als unsichere Wireless-Verbindung ausgeführt ist. 10. Elevator (2) according to one of the preceding claims, wherein a connection (24) between the safety control units (14, 16, 18) is designed as a wireless and/or cable connection (24, 26), wherein in particular the connections of the safety control unit of the third type (18) to the safety control unit of the first type (14) as a cable connection, the connection between the safety control unit of the first type (14) and the safety control unit of the second type (16) preferably being a wireless connection (30), particularly preferably implemented as an insecure wireless connection.
11. Aufzug (2) nach einem der vorangehenden Ansprüche, wobei die Sicherheitssteuereinheit des ersten Typs (14) und/oder die Sicherheitssteuereinheit des zweiten Typs (16) eine unsichere Schnittstelle (28) zur Verbindung mit Sensoren (36) und Aktoren (38) umfasst, insbesondere umfasst die Sicherheitssteuereinheit des zweiten Typs (16) eine unsichere Schnittstelle (34) zur Verbindung mit einer Schachttürantriebseinheit, wobei die Sicherheits Steuereinheit des ersten Typs (14) eine unsichere Schnittstelle (34) insbesondere zur Verbindung mit Positionssensoren (36) und/oder Geschwindigkeits- sowie Beschleunigungssensoren (36) umfasst. 11. Elevator (2) according to one of the preceding claims, wherein the safety control unit of the first type (14) and/or the safety control unit of the second type (16) has an insecure interface (28) for connection to sensors (36) and actuators (38). comprises, in particular, the security control unit of the second type (16) comprises an insecure interface (34) for connection to a shaft door drive unit, wherein the security control unit of the first type (14) comprises an insecure interface (34), in particular for connection to position sensors (36) and/ or speed and acceleration sensors (36).
12. Aufzug (2) nach einem der vorangehenden Ansprüche, wobei die Sicherheitssteuereinheit des ersten Typs (14) und/oder Sicherheitssteuereinheit des zweiten Typs (16) eine sichere Schnittstelle (30) zur Verbindung mit Sensoren (36) und/oder Aktoren (8, 20, 22, 38) umfasst, insbesondere umfasst die Sicherheitssteuereinheit des ersten Typs (14) eine sichere Schnittstelle (32) zur Verbindung eines Schlaffseilsensors (36) und eines Lastmesssensors (36), sowie eine sichere Schnittstelle (36) zur Ansteuerung der Bremse (8) und zur Verbindung der Sicherheitssteuereinheit des dritten Typs (18). 12. Elevator (2) according to one of the preceding claims, wherein the safety control unit of the first type (14) and/or safety control unit of the second type (16) has a safe interface (30) for connection to sensors (36) and/or actuators (8 , 20, 22, 38), in particular the safety control unit of the first type (14) includes a safe interface (32) for connecting a slack rope sensor (36) and a load measuring sensor (36), and a safe interface (36) for controlling the brake (8) and to connect the safety control unit of the third type (18).
13. Verfahren zur Steuerung eines Aufzuges (2), bevorzugt nach einem der vorangehenden Ansprüche, umfassend die Schritte 13. Method for controlling an elevator (2), preferably according to one of the preceding claims, comprising the steps
- Erheben eines sicheren Zustands wenigstens einer, bevorzugt aller, Schachttüren einer Mehrzahl von Schachttüren (10) durch Erhebung eines sicheren Zustandes eines Aktors der Schachttür durch wenigstens eine sichere Sicherheitssteuereinheit eines zweiten Typs (16), wobei der erhobene Zustand insbesondere entweder „Geschlossen“ oder „Nicht geschlossen“ signalisiert, - Assessing a safe state of at least one, preferably all, landing doors of a plurality of landing doors (10) by ascertaining a safe state of an actuator of the landing door by at least one safe safety control unit of a second type (16), with the ascertained state being either "closed" or "Not closed" signals,
- Übermitteln, insbesondere unsicheres übermitteln, insbesondere übermitteln über eine Wireless-Verbindung (26), des erhobenen Zustandes der wenigstens einen, bevorzugt aller, Schachttüren (10) von der wenigstens einen Sicherheitssteuereinheit des zweiten Typs (16) zu einer Sicherheitssteuereinheit eines ersten Typs (14). - Transmission, in particular insecure transmission, in particular transmission via a wireless connection (26), of the raised status of the at least one, preferably all, shaft doors (10) from the at least one safety control unit of the second type (16) to a safety control unit of a first type ( 14).
14. Verfahren nach Anspruch 13, das Verfahren weiter umfassend die Schritte14. The method of claim 13, the method further comprising the steps of
- Empfangen des übermittelten Zustandes durch die Sicherheitssteuereinheit des ersten Typs (14), - Receiving the transmitted status by the safety control unit of the first type (14),
- Freigabe eins Öffnens einer Bremse (8), insbesondere Lösen einer Bremse (8), durch die Sicherheitssteuereinheit des ersten Typs (14) falls alle der Empfangen Zustände dem Zustand „Geschlossen“ entsprechen, - release of an opening of a brake (8), in particular release of a brake (8), by the safety control unit of the first type (14) if all of the received states correspond to the "closed" state,
- Blockieren eins Öffnens der Bremse (8) durch die Sicherheitssteuereinheit des ersten Typs (14) falls einer der empfangenen Zustände „Nicht geschlossen“ ist oder nicht alle Zustände empfangen wurden. - blocking opening of the brake (8) by the safety control unit of the first type (14) if one of the received statuses is "not closed" or not all statuses have been received.
15. Verfahren nach einem der Ansprüche 13 oder 14, das Verfahren weiter umfassend die Schritte 15. The method according to any one of claims 13 or 14, the method further comprising the steps
- wiederholtes Senden eines Signals zur Überprüfung der Kommunikation durch die Sicherheitssteuereinheit des zweiten Typs (16) an die Sicherheitssteuereinheit des ersten Typs (14) im Abstand eines definierten Zeitintervalls, - Repeated sending of a signal to check the communication by the safety control unit of the second type (16) to the safety control unit of the first type (14) at a defined time interval,
- Feststellen der Kommunikationsfähigkeit zwischen der Sicherheitssteuereinheit des ersten Typs (14) und der Sicherheitssteuereinheit des zweiten Typs (16) bei Empfang des Signals zur Überprüfung der Kommunikation, und - Feststellen eines Fehlerzustandes der Kommunikation zwischen der Sicherheitssteuereinheit des ersten Typs (14) und der Sicherheitssteuereinheit des zweiten Typs (16) beim Ausbleiben eines Empfangs des Signals nach einer Zeitdauer, welche länger als das definierte Zeitintervall ist, wobei das definierte Zeitintervall bevorzugt länger als 1 Sekunde, bevorzugt länger als 30 Sekunden, besonders bevorzugt länger 2 Minuten ist. - determining the communication capability between the security control unit of the first type (14) and the security control unit of the second type (16) upon receipt of the communication verification signal, and - Determination of an error state in the communication between the safety control unit of the first type (14) and the safety control unit of the second type (16) if the signal is not received after a period of time which is longer than the defined time interval, the defined time interval preferably being longer than 1 second, preferably longer than 30 seconds, particularly preferably longer than 2 minutes.
EP21843972.7A 2020-12-22 2021-12-22 Elevator, method for controlling an elevator Pending EP4267503A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP20216358 2020-12-22
PCT/EP2021/087203 WO2022136504A1 (en) 2020-12-22 2021-12-22 Elevator, method for controlling an elevator

Publications (1)

Publication Number Publication Date
EP4267503A1 true EP4267503A1 (en) 2023-11-01

Family

ID=73856736

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21843972.7A Pending EP4267503A1 (en) 2020-12-22 2021-12-22 Elevator, method for controlling an elevator

Country Status (5)

Country Link
US (1) US20240034593A1 (en)
EP (1) EP4267503A1 (en)
CN (1) CN116670059A (en)
AU (1) AU2021405615A1 (en)
WO (1) WO2022136504A1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2022742B1 (en) 2007-08-07 2014-06-25 ThyssenKrupp Elevator AG Lift system
WO2010109748A1 (en) 2009-03-25 2010-09-30 三菱電機株式会社 Signal transmission device
BR112017010771B1 (en) * 2014-12-10 2022-02-22 Inventio Ag elevator system
WO2017191186A1 (en) * 2016-05-04 2017-11-09 Inventio Ag Passenger transport system having central control unit and multiple field devices having an optimised failure detection method
EP3492419B1 (en) * 2017-12-01 2020-06-10 Otis Elevator Company Elevator safety system, elevator system and method of operating an elevator system

Also Published As

Publication number Publication date
WO2022136504A1 (en) 2022-06-30
CN116670059A (en) 2023-08-29
AU2021405615A1 (en) 2023-07-06
US20240034593A1 (en) 2024-02-01

Similar Documents

Publication Publication Date Title
EP3599208B1 (en) Lift system having a plurality of cars and a decentralised safety system
EP2022742B1 (en) Lift system
EP1423326B1 (en) Situation-dependent reaction in the case of a fault in the vicinity of a door in a lift system
DE102017205354A1 (en) Multi-cabin elevator system and method for operating a multi-car elevator system
EP1427662A1 (en) Safety circuit for elevator doors
EP2457860B1 (en) Safety device for a lift
WO2013072184A1 (en) Lift with safety device
WO2016091779A1 (en) Elevator system comprising a safety monitoring system with a master/slave hierarchy
EP2370333B1 (en) Lift assembly with a safety device
DE112009004592T5 (en) Elevator apparatus and method for checking the same
DE112011105918T5 (en) Elevator safety control device
DE112016006975T5 (en) Safety control device and safety control method for a multi-cabin lift
WO2015058918A1 (en) Safety system for a lift, lift system and method for operating such a safety system
EP4267503A1 (en) Elevator, method for controlling an elevator
EP3257798A1 (en) Person transport assembly with a first and at least a second evaluation module
DE202016101183U1 (en) Elevator with a safety controller for directly influencing the braking force
WO2020249475A1 (en) Method for operating a passenger transportation system with an electronically sealable safety device
EP2463223A1 (en) Method and device for monitoring the stopping position of a lift cabin
WO2021023406A1 (en) Shaft-door-unlocking device and lift system having a shaft-door-unlocking device
WO2022058276A1 (en) Safety device for controlling safety-relevant ucm and udm functions in a lift system
EP4126733A1 (en) Safety monitoring device, and method for monitoring the safety of an elevator system
WO2022207768A1 (en) Elevator system and elevator door control method
EP2836453B1 (en) Monitoring device for a lift facility
EP3647246A1 (en) Modular elevator control and method for controlling an operation of actuator components of a lift assembly

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20230601

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)