KR20180005690A - 안전 관련 소프트웨어를 업데이트하는 방법 - Google Patents

안전 관련 소프트웨어를 업데이트하는 방법 Download PDF

Info

Publication number
KR20180005690A
KR20180005690A KR1020177035457A KR20177035457A KR20180005690A KR 20180005690 A KR20180005690 A KR 20180005690A KR 1020177035457 A KR1020177035457 A KR 1020177035457A KR 20177035457 A KR20177035457 A KR 20177035457A KR 20180005690 A KR20180005690 A KR 20180005690A
Authority
KR
South Korea
Prior art keywords
safety
software
updated version
activation
related software
Prior art date
Application number
KR1020177035457A
Other languages
English (en)
Inventor
프랭크 키르히호프
마틴 게오르그 월터 니다
마이클 윌크
헤르만 루드비히 로렌즈
피터 허켈
Original Assignee
오티스 엘리베이터 컴파니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오티스 엘리베이터 컴파니 filed Critical 오티스 엘리베이터 컴파니
Publication of KR20180005690A publication Critical patent/KR20180005690A/ko

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3407Setting or modification of parameters of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/0087Devices facilitating maintenance, repair or inspection tasks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/656Updates while running
    • G06F8/67
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23304Download program from host
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24161Use of key, in key is stored access level
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25064Update component configuration to optimize program execution
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2659Elevator

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Indicating And Signalling Devices For Elevators (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)

Abstract

본 개시는 사람용 컨베이어 시스템, 특히 엘리베이터 시스템(10)에서 안전 관련 소프트웨어를 업데이트하는 방법(200)에 관한 것으로, 방법은: 안전 관련 소프트웨어의 업데이트(210)된 버전을 제공하는 단계; 사람용 컨베이어 시스템의 안전 유닛(60)에 안전 관련 소프트웨어의 업데이트된 버전을 저장하는 단계(230); 사람용 컨베이어 시스템과 영구적으로 연관된 소프트웨어 업데이트 활성화 스위치를 동작시키는 단계를 포함하는, 안전 관련 소프트웨어의 업데이트된 버전을 활성화하는 단계(240); 및 안전 관련 소프트웨어의 업데이트된 버전의 성공적인 활성화의 경우, 안전 관련 소프트웨어(290)의 업데이트된 버전에 기초하여 사람용 컨베이어 시스템의 동작을 제어하는 단계를 포함한다.

Description

안전 관련 소프트웨어를 업데이트하는 방법
본 발명은 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에서 안전 관련 소프트웨어를 업데이트하는 방법에 관한 것이다. 본 발명은 또한 안전 관련 소프트웨어를 업데이트하는 이러한 방법을 수행하도록 구성된, 사람용 컨베이어 시스템의 동작을 제어하는 제어기를 포함하는 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에 관한 것이다.
사람용 컨베이어 시스템은 특별한 안전 요건의 적용을 받는다. 그러므로, 사람용 컨베이어의 동작을 제어하기 위해 사용되는 하드웨어 또는 소프트웨어는 이러한 안전 요건을 충족하기 위해 특정 조건을 따르는 중요한 부분이다. 제어되는 사람용 컨베이어 시스템의 각 기능 또는 동작의 안전 관련 정도에 따라, 상이한 수준의 안전 무결성 요건이 존재한다. 이들 안전 요건에 대한 일반적인 개요에 대해서는 IEC 61508-1 내지 IEC 61508-3의 국제 표준을 참조한다.
엘리베이터 시스템은 사람용 컨베이어 시스템의 특정한 예이다. 또 다른 예는 에스컬레이터 또는 무빙 워크웨이이다. 다음에서, 발명은 사람용 컨베이어 시스템에 대한 예시적 실시예로서 엘리베이터 시스템을 사용하여 설명하지만, 에스컬레이터 또는 무빙 워크웨이에 관해서도 상응하는 고찰이 적용됨이 이해된다.
사람용 컨베이어 시스템에서 안전 제어기(다음에서 안전 유닛라고도 함)에 연결된 센서 및/또는 스위칭 디바이스(다음에서 간단히 안전 스위치라고 함)를 사용하여 안전 필수 동작이 제어되거나 적어도 모니터링된다. 안전 스위치는 여러 "안전 지점"에서 종종 사용되는데, 이 지점에서 안전 필수 구성성분의 상태(예를 들면, 도어와 같은 움직이는 구성성분의 위치)는 동작이 시작되기 전에, 그리고 필요한 경우 이 동작의 과정 동안 모니터링되어야 한다. 일반적인 구성에서, 이들 다수의 안전 스위치는 모든 안전 스위치 또는 더 일반적인 용어로 스위칭 디바이스가 소정의 스위칭 상태를 취할 때만 동작이 시작되거나 계속될 수 있도록, 특히, 소위 "안전 체인"을 형성하게 직렬로 연결된다. 예를 들어, 엘리베이터 시스템의 경우, 엘리베이터 카의 출발 전 및 이동 중에 모든 도어(각 층의 랜딩 도어뿐만 아니라 카 도어)가 닫혀져 기계적으로 잠긴채로 있음이 보장되어야 한다. 따라서 엘리베이터 카의 이동은 일반적으로 도어의 닫힘 상태를 모니터링하는 각각의 안전 스위치를 연결하는 안전 체인의 모든 안전 스위치가 닫혀있지 않으면 허용되지 않는다.
통상적으로, 기계식 또는 자기-기계식 스위칭 디바이스가 안전 체인의 안전 스위치로서 사용되어 왔다. 요즘에는 전자 또는 전자기 스위칭 또는 센서 디바이스가 예를 들어 US 5 487 448 또는 EP 0 535 205 B1에 기재된 유형의 안전 체인에서 사용된다. 이러한 전자 또는 전자기 스위칭 또는 센서 디바이스는 접촉없이, 예를 들어 자석을 더 가깝게 또는 멀리 이동시킴으로써 전압을 유도하거나 유도하지 않음으로써 작동될 수 있다. 이들 유형의 스위칭 또는 센서 디바이스를 사용하여, 스위치 지점이 일반적으로 설정하기가 쉬우며 오랜 동작 기간 동안 안정된 채로 유지한다. 또한, 기계식 스위치에서 접촉 피스 및 다른 가동 구성성분의 마모로 인한 정지의 원인은 더 이상 적용할 수 없다. 그러나, 이러한 유형의 스위칭 또는 센서 디바이스가 무결함 기능을 테스트하는 것과, 또한 안전 체인의 스위치가 기능 오류에 이르게 되어 체인을 인터럽트하게 된 고장의 경우 가능한한 간단히 규명할 수 있는 것이 중요하다. 기계식 스위치와 달리, 전자식 스위칭 또는 센서 디바이스의 스위칭 상태는 일반적인 기계식 안전 스위치의 경우와 같이 광학적으로 규명될 수 없다. 따라서, 일반적으로 전자식, 비접촉식 및 테스트가능 스위칭 또는 센서 디바이스는 스위치/센서의 상태를 검출하고 테스트 목적을 위해 이 상태를 변경하는 센서 및 제어 전자장치를 갖는다. 이러한 전자 센서/스위칭 디바이스의 동작과 올바른 동작의 모니터링은 특정의 제어 절차와 테스트 절차에 의해 실현된다.
최근에 본원에 설명된 안전 유닛은 일반적으로 이의 동작을 제어하고 유닛의 올바른 기능 및 연결된 안전 스위치를 모니터링하는 소프트웨어를 수반한다. 사람용 컨베이어의 안전 체인에서 사용되는 안전 스위치의 무결함 기능을 테스트하기 위한 특정 테스트 프로토콜이 개발되었다. 언제 어떻게 이러한 테스트 프로토콜을 수행할지를 결정하는 절차, 및 테스트 프로토콜의 결과를 평가하는 방법은 안전 체인의 스위치가 연결되고 안전 체인의 동작 및 상태를 제어하는 안전 유닛에 있는 특정 안전 관련 소프트웨어에 의해 제어된다. 이러한 소프트웨어는 특정 안전 관련 기능을 수행하기 위해 보증된다. 이러한 안전 관련 소프트웨어를 프로그래밍하는 것은 극도의 주의를 필요로 하는데, 예를 들면, 일반적으로 제공되는 임의의 기능은 중복 기능을 제공해야 한다.
사람용 컨베이어 시스템에서 이러한 안전 관련 소프트웨어를 수시로 업데이트해야 한다는 요건이 있다. 이러한 안전 관련 소프트웨어를 업데이트할 때 주의를 기울여야 한다. 그러므로, 오늘날까지 사람용 컨베이어 분야에서 최첨단 기술은 이들 절차가 구현된 대응하는 하드웨어를 교체함으로써 안전 관련 제어 또는 모니터링 절차를 업데이트하는 것이다. 이것은 이들 절차가 순전히 소프트웨어에 의해 구현되는 경우에도 적용되는데, 즉, 업데이트는 단순한 소프트웨어 업데이트로 실현될 수도 있을 것이며 원칙적으로 하드웨어의 어떠한 변경도 요구하지 않는다.
비-안전 필수 소프트웨어 업데이트와 관련해서는 덜 엄격한 제한이 적용된다. 예를 들어, US 2008/0062981 A1는 소프트웨어 업데이트를 내포하는 이동 데이터 저장 단말이 각각의 목적지 디스패치 층 단말에 약 30cm 미만으로 근접하게 되었을 때 확립되는 근장 라디오 연속을 통해 엘리베이터 시스템 내의 목적지 디스패치 층 단말의 제어를 최신이 되게 하는 방법을 기술한다. 일단 근장 라디오 통신이 확립되면, 소프트웨어 업데이트는 이동 데이터 저장 단말로부터 목적지 디스패치 단말로 전송된다. 일단 이동 단말이 근장 범위를 벗어나면, 통신은 자동으로 종료되어 어떠한 다른 단말도 소프트웨어 업데이트의 영향을 받지 않도록 한다.
기술자가 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에서, 하드웨어를 교체할 필요없이, 안전 관련 소프트웨어를 업데이트할 수 있게 하는 것이 유익할 것이다.
본원에 기술된 실시예는 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에서 안전 관련 소프트웨어를 업데이트하는 방법을 제공하며, 이 방법은 안전 관련 소프트웨어의 업데이트된 버전을 제공하는 단계; 사람용 컨베이어 시스템의 안전 유닛에 안전 관련 소프트웨어의 업데이트된 버전을 저장하는 단계; 사람용 컨베이어 시스템과 영구적으로 연관된 소프트웨어 업데이트 활성화 스위치를 동작시키는 단계를 포함하는, 안전 관련 소프트웨어의 업데이트된 버전을 활성화하는 단계; 안전 관련 소프트웨어의 업데이트된 버전을 성공적으로 활성화한 경우 안전 관련 소프트웨어의 업데이트된 버전을 기반으로 사람용 컨베이어 시스템의 동작을 제어하는 단계를 포함한다.
다른 실시예는 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에 관한 것으로, 사람용 컨베이어 시스템의 동작을 제어하는 제어기를 포함하고, 제어기는 사람용 컨베이어 시스템의 안전 관련 기능을 제어하도록 구성된 적어도 하나의 안전 유닛을 포함하고, 안전 유닛은 본원에 설명된 안전 관련 소프트웨어를 업데이트하는 방법을 수행하도록 구성된다.
다른 실시예는 본원에 기재된 바와 같이 적어도 하나의 소프트웨어 업데이트 서버 및 적어도 하나의 사람용 컨베이어 시스템을 포함하는 시스템에 관한 것이다. 소프트웨어 서버는 사람용 컨베이어 시스템에 대한 안전 관련 소프트웨어 업데이트를 제공하도록 구성된다. 사람용 컨베이어 시스템은 데이터 네트워크를 통해 소프트웨어 업데이트 서버로부터 안전 관련 소프트웨어 업데이트를 수신하도록 구성된다.
본 발명은 도면에 도시된 예시적 실시예에 의해 보다 상세하게 설명될 것이다.
도 1은 실시예에 따른 엘리베이터 시스템을 도시한다;
도 2는 실시예에 따른 안전 유닛 및 엘리베이터 제어 시스템과 통신하는 중앙 서버 시스템을 포함하는 엘리베이터 제어 시스템을 포함하는 시스템의 개략도이다;
도 3은 도 2에 도시된 실시예에서 안전 관련 소프트웨어를 업데이트하는 방법의 흐름도를 도시한다.
도 1은 실시예에 따른 엘리베이터 시스템(10)을 개략적 및 간략화된 사시도로 도시한다. 엘리베이터 시스템(10)은 로프 또는 벨트(텐션 부재(16)는 도 1에 개략적으로만 도시됨)의 구성으로 텐션 부재(16)에 의해 연결된 카(12) 및 평형추(14)를 포함한다. 텐션 부재(16)는 이를테면 승강로(18)를 따라 카(12) 및 평형추(14)를 이동시키기 위해, 도 1에 도시되지 않은 엘리베이터 드라이브, 예를 들어, 견인 드라이브에 의해 구동된다. 승강로(18)의 상부는 도 1에 도시되지 않았지만, 엘리베이터 드라이브는 가장 높은 랜딩 위에 승강로의 상부에 위치된다. 엘리베이터 카(12) 및 평형추(14)는 또한 도 1에 도시되지 않은 가이드 레일을 따라 이동한다. 승강로(18)는 본질적으로 직사각형 단면을 가지며, 도 1엔 3개(좌측 측벽(18b), 우측 측벽(18c), 후방 벽(18d))가 도시된 4개의 수직 연장 측벽에 의해 둘러싸인다. 승강로의 전방 벽은 카와 평형추를 보여주기 위해 도 1에선 생략되었다. 전방 벽(18a)의 일부는 가장 낮은 랜딩(22)에서만 볼 수 있고, 랜딩 도어(20)는 전방 벽(18a) 내에 형성된다. 홀 호출을 입력하기 위한 홀 동작 패널은 도시되지 않았다. 전방 벽(18a)은 다른 랜딩에서 유사한 구성을 가질 것이다.
다른 랜딩과 달리, 최저 랜딩(22)에서, 제어 보드(24)는 승강로(18)의 전방벽(18a) 내에 제공된다. 제어 보드(24)는 이하에서 더 상세히 설명되는 바와 같이 소프트웨어 업데이트 활성화 스위치를 동작시킴으로써 소프트웨어 업데이트 동작 모드를 활성화하는데 사용된다. 제어 보드(24)는 키 록(28)에 의해 자체가 록된 전방 패널(26)에 의해 닫혀진다. 키 록(28)은 적합한 키, 예를 들면, 삼각형 키를 키 록(28)의 키 홀에 삽입함으로써 열릴 수 있다. 일단 전방 패널(26)이 열리면, 제어 보드(24)의 소프트웨어 업데이트 활성화 스위치는 액세스 가능할 것이다(소프트웨어 업데이트 활성화 스위치는 도 1에 도시되지 않았다). 도 1에 도시된 실시예에 대안으로서, 제어 보드(24)는 다른 실시예에서 엘리베이터(10)의 임의의 랜딩에 또는 근방에 위치될 수 있다. 최저 랜딩에 제어 보드(24)를 배치할 필요는 없다. 일반적으로 하나의 제어 보드(24)가 보다 안전한 방식으로 소프트웨어 업데이트를 제공하기에 충분할지라도, 일반적으로 하나 이상의 제어 보드(24)가 제공될 수도 있을 것이다.
일부 실시예에서, 제어 보드(24)는 소프트웨어 업데이트 동작 모드를 독점적으로 활성화시키는 기능을 제공하는 별도의 제어 보드일 수 있다. 다른 실시예에서, 소프트웨어 업데이트 활성화 스위치는 다른 기능을 제공하기 위해 사용되는 제어 보드(24)에 포함될 수 있다. 일 예에서, 도 1 내지 도 3에 도시된 바와 같이, 제어 보드(24)는 엘리베이터의 비상 전기 동작의 동작의 활성화를 위해 사용되고 비상 전기 동작 스위치를 포함한다. 전기 동작 비상 스위치의 동작은 제어 보드(24) 상에 제공된 각각의 수동 동작 스위치 또는 버튼을 동작함으로써 수동으로 엘리베이터 카(12)의 이동을 제어할 수 있게 한다. 정상 동작에서, 제어 보드(24)는 비활성이다.
도 1 내지 도 3에 도시된 실시예에서 나타낸 바와 같이, 소프트웨어 업데이트 동작 모드를 활성화할 때 서비스 요원의 입회가 보장될 필요가 있다. 이것은 적어도 제어 보드(24) 상의 하나의 소프트웨어 업데이트 활성화 스위치의 동작을 포함하는 일련의 수동 개입을 요구함으로써 달성된다. 일단 소프트웨어 업데이트 동작 모드가 활성화되면, 안전 유닛(60)은 이하 자세히 설명되는 바와 같이, 안전 유닛이 부팅 또는 재부팅 코맨드 후에 시동될 때 엘리베이터 제어 시스템(50)의 안전 유닛(60)의 제1 비활성 메모리에서 이용가능한 소프트웨어 업데이트를 찾을 것이다.
도 2는 본 발명의 실시예에 따른 안전 유닛(60)을 포함하는 엘리베이터 제어 시스템(50) 및 엘리베이터 제어 시스템(50)과 통신하는 중앙 서버 시스템(100)을 포함하는 시스템(150)의 개략도를 도시한다. 엘리베이터 제어 시스템(50)은 엘리베이터 기능, 예를 들면, 서비스 요청의 제어, 카 및 층 조명, 비상 호출, 일반적인 엘리베이터 안전 기능, 등의 전체 동작을 제어하기 위한 주 제어기(70)를 포함한다. 주 제어기(70)에는 엘리베이터 카(12) 및 승강로(16)에 제공된 여러 안전 스위치, 예를 들면, 승강로에서의 카의 위치를 나타내는 카 위치 센서, 랜딩 도어의 닫힘 상태를 나타내는 랜딩 도어 위치 센서, 등으로부터 정보가 제공된다. 주 제어기(70)에는 파워 릴레이(72)를 통해 전기 에너지가 공급된다. 엘리베이터 제어 시스템(50)은 카의 이동을 정지 또는 방지하는 브레이크뿐만 아니라 엘리베이터 카(12)를 구동하는 드라이브 머신을 제어하기 위한 드라이브 제어기(80)를 더 포함한다. 드라이브 제어기(80)에는 파워 릴레이(82)를 통해 전기 에너지가 공급된다. 엘리베이터 제어 시스템(50)은 카(12)가 랜딩에 정지할 때 카 도어 및 랜딩 도어를 열고 닫기 위해 엘리베이터 카(12)의 도어를 구동하는 엘리베이터 카(12)의 도어 드라이브를 구제어 하기 위한 도어 제어기(90)를 더 포함한다. 카 도어는 도어 드라이브에 의해 직접 동작되는 반면 각각의 랜딩 도어는 카 도어가 랜딩에서 열리거나 닫혀질 때 카 도어의 이동을 통해 간접적으로 동작된다. 도어 제어기(90)에는 또한 카 도어의 닫힘 상태를 나타내는 카 도어 안전 스위치로부터 신호가 제공된다. 도어 제어기(90)에는 파워 릴레이(92)를 통해 전기 에너지가 공급된다.
주 제어기(70), 드라이브 제어기(80), 및 도어 제어기(90)는 각각 안전 유닛(60)과 통신한다. 주 제어기(70), 드라이브 제어기(80) 및 도어 제어기(90)에 각각 할당된 임의의 안전 스위치의 상태에 대한 정보는 각각의 데이터 연결을 통해 안전 유닛(60)에 전달된다. 안전 유닛(60)은 또한 주 제어기(70), 드라이브 제어기(80), 또는 도어 제어기(90)에 의해 제어되는 임의의 안전 액추에이터를 작동시킬 수 있다. 일반적으로 이들 목적으로 버스 시스템이 사용된다. 보편적인 버스 시스템은 직렬 필드 버스 시스템, 예를 들어, CAN 버스 시스템을 포함한다. 안전 유닛(60)는 본원에 상세히 기술된 바와 같이 전기 안전 체인을 실현한다. 이러한 관점에서, 안전 유닛(60)은 메인 제어기(70), 드라이브 제어기(80) 및 도어 제어기(90)에 각각 연결된 안전 스위치들 중 임의의 것으로부터 상태 정보를 수신한다. 안전 유닛(60)은 안전 체인의 구성에서 이 정보를 평가한다. 일반적으로, 안전 유닛(60)은 엘리베이터 시스템의 상이한 서브-시스템(예를 들어, 엘리베이터 시스템의 주 전원 공급에 관련한 안전 체인, 카의 드라이브에 관련한 안전 체인, 또는 카의 도어 드라이브에 관련한 안전 체인, 등)에 관련하여 관계된 복수의 안전 체인을 각각 제어한다. 안전 체인은 모든 관련 안전 스위치의 직렬 연결의 구성을 갖는다. 안전 체인 내 안전 스위치 중 단일의 하나만이 적절한 상태 정보를 나타내지 않는 경우(예를 들어, 도어가 완전히 닫혀지지 않음을 나타내는), 이 안전 스위치의 상태는 열린 것으로 간주될 것이다. 안전 체인에 안전 스위치의 직렬 연결에 기인하여, 이 안전 스위치를 포함한 임의의 안전 체인은 열린 것으로 간주되어 엘리베이터 시스템 또는 엘리베이터 시스템의 각각의 서브-시스템(예를 들면, 카 도어 드라이브)이 안전하지 않은 조건에 있는 것으로 간주됨을 나타낸다. 이러한 경우에, 안전 유닛(60)은 안전 체인이 다시 닫혀질 때까지 엘리베이터 시스템의, 또는 각 엘리베이터 서브-시스템의 추가의 동작을 중지할 것이다. 특히, 안전 유닛(60)은 엘리베이터 서브-시스템에 대한 관련 제어기에 대한 전력 공급을 인터럽트할 수 있다. 예를 들어, 안전 유닛(60)은 카의 추가 이동을 정지시키기 위해 드라이브 제어기(80)로의 전력 공급을 인터럽트할 수 있고, 안전 유닛(60)은 카 도어의 더 이상의 움직임을 멈추게 하기 위해 도어 제어기(90)에 전력 공급을 인터럽트할 수 있고, 및/또는 안전 유닛(60)은 엘리베이터 시스템을 완전히 셧다운하기 위해 주 제어기(70)로의 전력 공급을 인터럽트할 수 있다.
안전 유닛(60)의 동작은 제어 소프트웨어에 의해 제어된다. 제어 소프트웨어는 안전 유닛(60)에 의해 모니터링되는 개별 안전 체인 또는 안전 회로를 정의한다. 또한, 제어 소프트웨어는 안전 체인에 각 안전 스위치의 올바른 동작을 체크하기 위한 특정 테스트 절차를 제공한다. 이들 테스트 절차는 안전 유닛(60)의 주도로 정기적으로 수행된다. 안전 유닛(60)에 대한 제어 및 테스트 절차는 엘리베이터 시스템의 제조자에 의해 프로그램되고 설치시에 안전 유닛(60)에 제공된다. 안전 유닛(60)에 대한 제어 및 테스트 절차는 수시로 업데이트된다. 이들 소프트웨어 업데이트는 또한 엘리베이터 시스템의 제조자에 의해 프로그래밍되고 제조자의 중앙 서버 유닛(100)에 의해 제공된다. 중앙 서버 유닛(100)은 동작시 단일 엘리베이터 시스템의 엘리베이터 제어 시스템(50) 외부에, 예를 들면, 엘리베이터 시스템(10)의 제조업체의 연구 및 개발 설비에 존재한다. 그러나, 중앙 서버 유닛(100)은 엘리베이터 제어 시스템(50)과 데이터 통신한다. 예를 들면, 도 2에 도시된 실시예에서, 안전 유닛(60)은 공공 데이터 네트워크(120), 예를 들어 인터넷을 통해 중앙 서버 유닛(100)에 연결된다. 안전 유닛(60)뿐만 아니라 임의의 다른 관련 제어기(70, 80, 90)에 상주하는 안전 관련 소프트웨어를 포함하는 소프트웨어의 임의의 업데이트는 중앙 서버 유닛(100)에 의해 엘리베이터 제어 시스템(50) 각각에 중앙집중식 방식으로 제공된다. 특히, 이들 엘리베이터 제어 시스템(50) 각각의 제어 시스템(50)은 서버 유닛(100)에 설치된 푸시 메커니즘에 의해(즉, 서버 유닛(100)은 소프트웨어 업데이트를 가진 패키지를 엘리베이터 제어 시스템(50)에 정기적으로 보낸다), 또는 엘리베이터 제어 시스템(50)에 의해 중앙 서버 유닛(100)으로 개시되는 소프트웨어 업데이트에 대해 정기적으로 실행되는 질의에 의해, 정기적으로 중앙 서버 유닛(100)으로부터 소프트웨어 업데이트를 수신한다. 새로운 소프트웨어 업데이트가 서버 유닛(100) 상에서 이용가능한 경우, 이들 업데이트는 각각의 엘리베이터 제어 시스템(50)에 다운로드된다. 그러나, 적어도 소프트웨어 업데이트가 안전 관련 절차와 관련되어 있는 경우, 다운로드가 완료된 직후 이러한 소프트웨어 업데이트는 활성화되지 않는다. 오히려, 다운로드된 소프트웨어 업데이트는 엘리베이터 동작의 제어를 실행하는데 사용되지 않는 각각의 엘리베이터 제어 시스템(50)의 "비활성" 메모리 섹션에(예를 들어, 안전 유닛(60)의 "비활성" 메모리 섹션에) 저장된다. 아래에 설명된 바와 같이 소프트웨어 업데이트를 서비스하기 위해 특정 활성화 절차가 요구된다.
도 3은 도 2에 도시된 시스템에서 안전 관련 소프트웨어를 업데이트하는 방법(200)의 흐름도를 도시한다. 도 2에 도시된 구성의 엘리베이터 제어 시스템(50)의 안전 유닛(60)에 구현된 안전 관련 소프트웨어의 업데이트된 버전은 엘리베이터 시스템의 제조업체에 의해 준비되고(단계(210)), 각각의 엘리베이터 제어 시스템(50)에 의해 다운로드하기 위한 업데이트 소프트웨어 패키지로서 서버 컴퓨터(100)에 제공된다. 다운로드를 위해 릴리즈되기 전에, 소프트웨어 업데이트 패키지에는, 다운로드 후 및 소프트웨어 업데이트 패키지의 활성화 전에 소프트웨어 업데이트 패키지의 수신자(엘리베이터 제어 시스템(50), 특히 안정 유닛(60))에 의해, 소프트웨어 업데이트 패키지가 제조업체에 의해 만들어지고 소프트웨어 제조업체에 의해 다운로드를 위해 릴리즈되었다는 것이 검증될 수 있도록, 디지털 서명이 제공된다(단계(220)).
단계(230)에서, 디지털적으로 서명된 소프트웨어 업데이트 패키지는 수신자, 즉 건물 내에 설치된 엘리베이터 시스템(10)의 제어 시스템(50)(안전 유닛(60))에 의해 다운로드되고 DownloadMemory라고도 지칭되는 제1 메모리 섹션에 저장된다. 일반적으로, 안전 관련 소프트웨어의 경우에, 다운로드된 소프트웨어 업데이트 패키지는 이 제어 시스템의 안전 유닛(60)에 의해 수신되고 저장될 것이지만, 다운로드된 소프트웨어 업데이트 패키지가 활성화될 때까지 어떤 다른 위치에 일시적으로 저장되는 다른 구성이 고려될 수 있다. 대부분의 경우, 다운로드는 소프트웨어 수정 패키지를 이에 대한 어떠한 수정없이 DownloadMemory에 카피하는 것을 수반할 것이지만 전송 목적을 위해 이 기술에 공지된 바와 같이 소프트웨어 업데이트 패키지에 일부 데이터 변환을 적용하는 것이 고려될 수도 있을 것이다(예를 들면, 패킹 알고리즘, 암호화 알고리즘, 등을 적용하는 것). 일반적으로, 다운로드된 소프트웨어 업데이트 패키지는 서버(100)에 의해 제공되어진 것과 본질적으로 동일한 형태로, 즉 컴파일되거나 아니면 변환되지 않고, 그리고 디지털 서명이 적용되어 DownloadMemory에 저장될 것이다. 소프트웨어 업데이트 패키지가 실행가능 프로그램 코드의 형태로 제공되어진 경우, 소프트웨어 업데이트 패키지는 주로 엘리베이터 제어 시스템(50)의 DownloadMemory에 저장된 형태로 쉽게 실행가능할 것이다. 그러나, DownloadMemory는 엘리베이터 시스템(10)의 동작을 제어하기 위한 프로그램 및 절차를 실행할 때 제어 시스템(50)에 의해 사용되지 않는 "비활성" 메모리 섹션이 될 것이다. 오히려, 제어 시스템(50)은 제어 소프트웨어의 일부가 업데이트되어야 하는 특정 명령이 존재하는 경우에만 DownloadMemory에 액세스하도록 프로그래밍될 것이다. 전형적으로, 이러한 소프트웨어 업데이트 절차는 (i) 아직 설치되지 않은 소프트웨어 업데이트 패키지가 DownloadMemory에 상주하고, (ii) 적어도 소프트웨어 업데이트 패키지가 안전 관련 소프트웨어에 관계된 경우에, 이 소프트웨어 업데이트 패키지의 활성화가 성공적으로 완료되어졌을 때(이하 기술된 바와 같이), 제어 시스템(50)의 재부팅 후에 수행될 것이다.
소프트웨어 업데이트 패키지의 다운로드가 온라인으로, 예를 들면, 데이터 통신 네트워크를 통해 또는 통상적인 소프트웨어 업데이트 메커니즘(데이터 캐리어 등을 제공하는)을 통해 행해지든지간에, 엘리베이터 제어 시스템(50)의 비활성 메모리 섹션에 소프트웨어 업데이트 패키지를 저장하는 것은 소프트웨어 업데이트 패키지가 이것이 독점적으로 DownloadMemory에 상주하는 한 아직 실행되지 않은 것을 보장한다.
일단 활성화가 달성되면, 소프트웨어 업데이트 패키지는 엘리베이터 제어 시스템(50)에 의해 실행될 것이다. 그러나, 활성화는 다음에 설명 된대로 서비스 요원의 입회를 요구한다.
DownloadMemory에 상주하는 소프트웨어 업데이트 패키지의 활성화는 도 3의 다운로드 단계(230)에 이은 다음 단계(240)로서 설명된다. 활성화는 소프트웨어 업데이트 패키지를 활성화할 때 서비스 요원이 엘리베이터 시스템에서 입회함을 확실히 하는 임의의 절차에 의해 수행될 수 있다. 이 단계는, 업데이트 절차가 시작되기 전에 엘리베이터 시스템을 안전한 조건에 가져가고 또한 엘리베이터 시스템이 업데이트 절차가 성공적으로 완료되고 엘리베이터 제어 시스템(50)이 업데이트 후에 정확하게 동작하는 것이 검증되어질 때까지 이 안전 조건에 유지함을 보장하기 위해서, 안전 관련 소프트웨어를 업데이트할 때 서비스 요원이 엘리베이터 시스템에 입회하는 것이 필요하기 때문에, 중요한 것으로 간주된다. 본원에 설명된 바와 같이 안전 관련 소프트웨어 업데이트 패키지의 안전 활성화를 제공하는 몇가지 가능성이 존재한다. 하나의 가능성은 소프트웨어 업데이트 패키지가 단계(230)에서 비활성 메모리 섹션으로 다운로드되고, 활성화 단계(240)가 성공적으로 완료된 후에만 활성 메모리 섹션으로 전송된다는 것이다.
단계(240)에서 활성화 절차 동안 서비스 요원의 입회는 엘리베이터 시스템과 고정적으로 연관된 수동 소프트웨어 업데이트 활성화 스위치를 동작시키는 것과 기정의된 소프트웨어 업데이트 활성화 시퀀스를 추가로 수행하는 것과의 조합을 요구함으로써 보장될 수 있다. 수동 소프트웨어 업데이트 활성화 스위치는 제어 보드에 추가의 스위치로서 또는 제어 보드 상의 임의의 스위치의 동작에(또는 이들 스위치의 임의의 조합의 동작에) 안전 관련 소프트웨어의 업데이트를 활성화하는 추가의 기능을 할당함으로써 제어 보드(24)에 포함될 수 있다. 기 정의된 소프트웨어 업데이트 활성화 시퀀스는 서비스 툴 또는 서비스 패널을 통해 서비스 요원에 의해 엘리베이터 제어 시스템(50)(특히, 안전 유닛(60))에 제공될 임의의 입력을 수반할 수 있다. 기정의된 소프트웨어 활성화 시퀀스는, 엘리베이터 제어 시스템(50)이 DownloadMemory에 상주하는 가용 소프트웨어 업데이트 패키지에 관한, 그리고 이러한 소프트웨어 업데이트 패키지에 의해 업데이트될 제어 절차의 세부사항에 관한 특정 정보를 서비스 요원에게 제공하고 서비스 요원이 소프트웨어 업데이트가 달성될 것을 확인할 것을 요청하도록 상호작용식일 수 있다.
도 4a 및 도 4b는 도 3의 단계(240)에 따른 예시적 상호작용 소프트웨어 업데이트 활성화 시퀀스의 과정에서 수행될 개별 단계를 보다 상세히 도시한다. 단계들의 시퀀스는 도 4b의 추가의 단계(2421)를 제외하고 도 4a 및 도 4b의 절차에 따라 동일하다. 제어 보드(24)는 디스플레이 및 입력 툴, 예를 들면, 터치 스크린 또는 키보드를 포함할 수 있거나 이와 연관될 수 있다. 대안적으로, 서비스 요원은 디스플레이 및 입력 툴을 포함하는 서비스 툴을 제어 보드(24)에 연결할 수 있다. 활성화 절차(240)는 주 메뉴가 서비스 요원에게 디스플레이되고 소프트웨어 업데이트가 수행될지 여부를 묻는 것으로 시작될 수 있다. 서비스 요원이 단계(2404)에서 소프트웨어 업데이트가 수행되도록 진입하는 경우, 제어 보드(24)는 단계(2406)에서 소프트웨어 활성화 절차를 진행할 것인지("1") 아니면 중단할 것인지("0")에 대한 질의와 함께 현재 소프트웨어 버전을 디스플레이한다. 서비스 요원이 단계(2408)에서 진행하기 위해 진입한 경우, 단계(2410)에서 업데이트를 수락할지("1") 아니면 중단할지("0")의 질의와 함께 업데이트 소프트웨어 버전이 디스플레이된다. 서비스 요원이 단계(2412)에서 진행을 위해 진입한 경우, 제어 보드(24)는 안전 유닛(60)에 신호 "수락"을 전송한다(단계(2414)). 단계(2414)에서 신호 "수락"을 수신한 후, 안전 유닛(60)은 단계(2418)에서 소프트웨어 업데이트 활성화 스위치가 턴온되었다는 것을 나타내는 신호 "스위치 온"을 기 정의된 시간 윈도우가 단계(2420)에서 수신하기를 기다린다(도 4a 및 도 4b에서 화살표 "예상 시간"를 참조). 소정의 시간 경과 후에 소프트웨어 업데이트 활성화 스위치가 턴온되지 않은 경우, 소프트웨어 업데이트 활성화 절차는 중단된다.
단계(2416)에서 디스플레이는 서비스 요원에게 소프트웨어 업데이트가 수락되었음을 나타내며 소프트웨어 업데이트 절차를 시작하도록 요청한다. 이 요청에 이어, 서비스 요원은 단계(2418)에서 소프트웨어 업데이트 활성화 스위치를 작동(턴온)해야 한다. 단계(2418)에서 소프트웨어 업데이트 활성화 스위치가 턴온된 경우, 단계(2420)에서 대응하는 신호 "스위치 온"이 안전 유닛(60)에 전송되고 안전 유닛에 의해 수신된다. 단계(2420)에서 안전 유닛(60)에 의한 "스위치 온" 신호의 수신은 예상 시간이 초과되는지 여부에 결정적이다. 단계(2418)에서 소프트웨어 업데이트 활성화 스위치를 활성화한 후에, 서비스 요원은 안전 유닛(60)으로 또 다른 신호 "시작"을 보내는 것을 트리거할 단계(2422)에서 "1"을 입력함으로써 업데이트 절차가 시작될 것임을 확인해야 한다. 안전 유닛(60)에서 "스위치 온" 신호의 수신(단계(2420))과 "시작" 신호의 수신(단계(2424)) 간의 시간차가 다시 검출되고, 이 시간차가 추가의 예상 시간 내에 있는지가 판단된다. 이 경우라면, 소프트웨어 활성화 절차는 시작되고 완료될 때까지 수행된다(단계(2426)).
또한, 안전 유닛(60)은 단계(2414)(신호 "수락"의 수신)와 단계(2414)(신호 "시작"의 수신) 사이의 총 시간차가 예상 시간 차이 내에 있는지 여부를 체크하고, 예상 시간 차이가 초과된 경우 소프트웨어 업데이트 활성화 프로세스를 중단할 수 있다.
도 4a와 관련하여 상술한 절차에서, 서비스 요원은 먼저 단계(2420)에서 소프트웨어 업데이트 활성화 스위치가 동작되어야 하고, 이어 단계(2422)에서 소프트웨어 업데이트 절차가 입력에 의해 시작될 것임을 알아야 한다. 대안적으로, 도 4b에 도시된 바와 같이, 절차의 이 부분은 상호작용적으로 수행될 수 있다. 단계(2420)에서 소프트웨어 활성화 스위치를 동작한 후, 디스플레이는 단계(2421)에서 소프트웨어 활성화 절차를 시작하고, 이어 단계(2422)에서 대응하는 입력을 할 것을 요청한다.
또한, 소프트웨어 업데이트 활성화는 예를 들어 서비스 요원에게 특정 PIN을 입력할 것을 요청하거나 바이오메딕 특징을 사용함으로써 서비스 요원의 인증의 체크를 수반할 수 있다. 이렇게 하여, 수동 소프트웨어 업데이트 활성화 스위치를 동작하는 요건은 서비스 요원의 입회와, 업데이트 절차 동안 엘리베이터 시스템의 안전한 상태를 보장한다. 추가의 소프트웨어 업데이트 활성화 시퀀스는 서비스 요원에 의한 의도하지 않은 소프트웨어 업데이트 활성화를 방지하고 또한 활성화 절차에 의해 선택되었지만 서비스 요원에 의하 적극적으로 확인된 특정 소프트웨어 업데이트 패키지만 실제로 활성화됨을 보장할 수 있다.
단계(240)가 DownloadMemory에 저장된 안전 관련 소프트웨어의 업데이트된 버전에 관련하여 업데이트 절차의 성공적인 활성화로 완료된 후, 엘리베이터 제어 시스템(50)은 단계(250에서 재부팅된다. 도 5는 단계(242)에서 업데이트 플래그가 설정되고 서비스 요원이 재부팅이 수행되어야 함을 확인한 후에만(단계(244)) 재부팅 절차(250)가 시작됨을 나타낸다. 수행될 소프트웨어 업데이트의 유형에 따라, 엘리베이터 시스템(10) 내의 제어 시스템들 중 임의의 시스템, 즉 엘리베이터 제어 시스템(50)(예를 들어, 안전 유닛(60), 주 제어 장치(70), 드라이브 제어(80), 도어 제어(90)를 포함하여))을 전체적으로 재부팅할 것이 요구될 수 있고, 또는 안전 유닛(60)만을 재부팅하는 것만으로 충분할 수 있다. 리부팅 절차 동안, 엘리베이터 제어 시스템(50)은 소프트웨어 업데이트 활성화 스위치가 동작되어졌음을 인지할 것이며(예를 들어, 도 5의 단계(242)에 도시된 바와 같이 업데이트 플래그를 체크함으로써), 그러므로, 임의의 이용가능하고 활성화된 소프트웨어 업데이트 패키지에 대해 DownloadMemory에서 체크할 것이다. 소프트웨어 업데이트 활성화 시퀀스에 따라, 재부팅 동안, 엘리베이터 제어 시스템(50)은 DownloadMemory에 상주하는 임의의 소프트웨어 업데이트 패키지를 활성화된 소프트웨어 패키지로서 간주할 수 있거나, 추가의 활성화 서명을 위해 DownloadMemory에 상주하는 임의의 소프트웨어 패키지를 체크할 수 있다. 엘리베이터 제어 시스템(50)이 DownloadMemory에 적어도 하나의 활성화된 소프트웨어 업데이트 패키지를 검출한 경우, 이 소프트웨어 업데이트 패키지를 실행함으로써 활성 메모리 내의 대응하는 소프트웨어 모듈을 대체하고(단계(280)), 추가 제어의 과정에서 소프트웨어 업데이트 패키지로부터 도출된 소프트웨어의 업데이트된 버전을 실행할 것이다(단계(290)).
단계(280)에서 DownloadMemory로부터 안전 관련 소프트웨어의 업데이트된 버전을 활성 메모리에 실제로 카피하기 전에, 엘리베이터 제어 시스템(50) 또는 안전 유닛(60)은 DownloadMemory에 저장된 소프트웨어 업데이트 패키지의 일관성을 체크하고(단계(260)), DownloadMemory에 저장된 소프트웨어 업데이트 패키지의 진위성을 체크하기 위한(단계(270)) 추가의 단계를 수행할 수 있다.
안전 관련 소프트웨어의 업데이트된 버전의 일관성을 체크하는 것은 엘리베이터 제어 시스템(50)의 활성 메모리 섹션에 안전 관련 소프트웨어의 임의의 기존 버전을 덮어쓰기 전에 수행될 것이고, 예를 들어, 소프트웨어 업데이트 패키지가 이미 설치된 것과 동일한 소프트웨어 또는 소프트웨어 모듈의 최신 버전과 관련이 있는지 체크하기 위해, 엘리베이터 제어 시스템(50)에 설치된 소프트웨어 또는 소프트웨어 모듈을 DownloadMemory에 저장된 소프트웨어 업데이트 패키지의 헤더 정보와 비교하는 것을 수반할 것이다. 추가의 일관성 체크로서, 소프트웨어 업데이트 패키지는 업데이트될 소프트웨어의 암호화된 버전을 포함할 수도 있을 것이다. 소프트웨어 업데이트 패키지는 엘리베이터 제어 시스템(50)에 설치된 안전 관련 소프트웨어의 특정 소프트웨어 모듈에 할당된 공개 키를 사용하여 암호화될 수도 있을 것이다. 이어, 엘리베이터 제어 시스템(50)은 소프트웨어 업데이트 패키지를 해독하기 위해 대응하는 사설 키를 사용할 수 있다. 이것은 암호화를 위해 사용된 공개 키에 대응하는 올바른 사설 키를 갖는 엘리베이터 시스템(50)만이 안전 관련 소프트웨어의 업데이트된 버전을 해독하고 실행가능 바이너리 파일을 생성할 수 있게 한다.
활성 메모리 섹션 엘리베이터 제어 시스템(50)에서 안전 관련 소프트웨어의 기존 버전을 덮어쓰기 전에, 활성화 절차의 맥락에서 안전 관련 소프트웨어의 업데이트된 버전의 진위성을 체크하는 것은 소프트웨어 업데이트 패키지 제작자의 사설 키를 사용하여 소프트웨어 업데이트 패키지에 제공된 디지털 서명의 도움을 받아 수행될 수 있다. 디지털 서명은 엘리베이터 제어 시스템(50)에 의해 제작자의 공개 키를 사용하여 검증될 수 있으므로, 설치될 소프트웨어 업데이트 패키지가 제작자에 의해 작성되어졌고 수정되지 않았음을 확실히 한다.
도 6은 일 실시예에 따라, 단계(250)에서 재부팅 코맨드 다음에 수행되는 절차를 보다 상세하게 도시한다. 재부팅 코맨드가 단계(250)에서 발행된 후, 단계(252)에서 업데이트 플래그의 상태가 체크된다. 업데이트 플래그(252)가 설정되지 않은 경우(임의의 소프트웨어 업데이트 없이 "정상" 재부팅이 수행될 것을 나타내는), 절차는 유효 플래그의 상태가 체크되는 단계(300)로 진행한다. 유효 플래그는 안전 유닛(60)이 유효한 상태인지 여부를 나타낸다. 유효 플래그가 안전 유닛이 유효한 상태가 아님을 나타내면, 시스템은 즉시 정지된다(단계(320)). 유효 플래그가 유효한 상태를 나타낸다면, 안전 유닛(60)의 활성 메모리 영역에 상주하는 소프트웨어는 단계(310)에서 무결성에 대해 체크된다(CRC 체크를 적용함으로써). 이 체크가 실패한 경우, 시스템은 정지된다(단계(320)). 그렇지 않다면, 시스템은 활성 메모리에 상주하는 소프트웨어의 실행을 시작함으로써 동작된다(단계(290)).
단계(252)에서 소프트웨어 업데이트 플래그가 설정된 경우, 절차는 소프트웨어 업데이트로 재부팅 절차를 수행한다. 단계(260)에서, 새롭게 다운로드된 소프트웨어 업데이트의 일관성 체크는 CRC 체크를 안전 유닛(60)의 패시브 메모리 영역, 즉 다운로드되지만 아직 설치되지 않은 소프트웨어 패키지가 저장된 메모리 영역에 적용함으로써 수행된다. 이 체크는 주로 다운로드가 완료되어 성공하였는지 여부를 체크한다. 단계(260)에서 CRC 체크가 실패하면, 단계(330)에서 업데이트 플래그가 클리어되고, 재부팅 절차는 상술한 바와 같이 소프트웨어 업데이트 없이 계속된다. 단계(260)에서 CRC 체크가 성공적이면, 절차는 예를 들면 다운로드된 소프트웨어 패키지에 적용된 디지털 서명을 체크함으로써 단계(270)에서 진위성 체크를 계속하는 것으로 계속된다. 단계(270)에서 CRC 체크가 실패하면, 단계(330)에서 업데이트 플래그가 다시 클리어되고, 재부팅 절차는 상술한 바와 같이 소프트웨어 업데이트 없이 계속된다. 단계(270)에서의 체크가 성공적이면, 단계(272)에서 유효 플래그가 클리어되어 현재 설치된 소프트웨어 버전이 더 이상 유효하지 않은 것으로 간주됨을 나타내며, 단계(280)에서, 다운로드된 소프트웨어 업데이트 패키지가 패시브 메모리 영역으로부터 활성 메모리 영역으로 카피된다. 단계(282)에서, 패시브 메모리 영역으로부터 활성 메모리 영역으로의 카피 절차가 성공적으로 완료되었음을 보장하기 위해, 추가 CRC 체크가 활성 메모리 영역에 새로이 카피된 소프트웨어 패키지에 적용된다. 카피 절차는 단계(280)에서 CRC 체크가 성공적일 때까지 반복된다. 이어, 소프트웨어 업데이트 플래그는 단계(330)에서 클리어되고, 구 소프트웨어 패키지가 업데이트된 소프트웨어 패키지로 대체되었다는 차이와 함께 재부팅 절차가 상기된 바와 같이 계속된다.
전술한 실시예는 기술자가 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에서 하드웨어를 교체할 필요없이 안전 관련 소프트웨어를 업데이트할 수 있게 한다.
제안된 바와 같이 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에서 안전 관련 소프트웨어를 업데이트하는 것은 안전 관련 소프트웨어의 업데이트 버전을 제공하고 안전 관련 소프트웨어의 업데이트된 버전을 사람용 컨베이어 시스템의 안전 유닛에 저장하는 것을 포함할 수 있다. 일단 저장되면, 안전 관련 소프트웨어의 업데이트된 버전은 사람용 컨베이어 시스템과 영구적으로 연관된 소프트웨어 업데이트 활성화 스위치를 동작함으로써 활성화될 수 있다. 안전 관련 소프트웨어의 업데이트된 버전의 성공적 활성화의 경우에, 사람용 컨베이어 시스템의 동작을 추가적 제어는 안전 관련 소프트웨어의 업데이트된 버전을 기반으로 할 것이다.
본원에 설명된 실시예와 관련하여 안전 유닛 또는 안전 제어기는 하드웨어 및/또는 소프트웨어를 포함할 수 있는 기기 또는 장치이다. 안전 유닛은 스위칭 디바이스 또는 센서 디바이스(안전 스위치라고도 함)에 의해 전달되는 입력 신호를 수신하고 이로부터 논리 조합 및 때로는 추가 신호 또는 데이터 처리 단계에 의해 출력 신호를 생성한다. 이어 출력 신호는 액추에이터에 공급될 수 있는데, 이는 입력 신호를 기반으로 환경에서 특정 동작이나 반응을 초래한다.
프로그램가능 안전 유닛 또는 제어기는 사용자가 자신의 필요에 따라 안전 유닛의 사용자 프로그램으로서 알려진 소프트웨어를 사용하여 논리 조합 및 가능하면 추가 신호 또는 데이터 처리 단계를 개별적으로 정의할 수 있게 한다. 프로그램가능성은 다양한 안전 디바이스 간에 정의된 배선에 의해 논리 조합이 생성되었던 이전의 해결책과 비교할 때 상당한 융통성을 갖게 한다. 예로서, 사용자 프로그램은 상업적으로 이용가능한 개인용 컴퓨터(PC)를 사용하고 적합히 셋업된 소프트웨어 프로그램을 사용하여 작성될 수 있다.
이러한 종류의 안전 유닛 또는 안전 제어기에 대한 응용의 선호된 영역은 비상 전원 차단이 요구되거나, 기계의 동작이 정지 또는 방지되어야 하는 안전하지 않은 상황을 모니터링하기 위한 기계 안전 분야이다. 사람용 컨베이어 시스템의 경우, 일반적으로 사람을 수송하는 이동가능 구성성분의 동작은 이동가능 구성성분의 움직임에 의해 사람이 부상당할 위험이 있을 땐 정지되거나 방지되어야 한다. 예를 들면, 엘리베이터 시스템에서, 랜딩 도어 중 하나가 열렸을 때, 또는 카 도어 중 하나가 적합하게 닫혀지지 않았을 때, 또는 카가 승강로에서 리미트 스위치가 트리거하였을 때, 안전 유닛에 입력 신호로서 공급되는 각각의 신호가 생성된다. 이에 응답하여, 안전 유닛은 드라이브 기계를 셧다운시키기 위해서 예를 들면 신호를 제공하거나 액추에이터를 사용함으로써 카의 추가의 이동을 방지한다.
예를 들어, 이 개시물의 도입 단락에서 설명된 바와 같이, 사람용 컨베이어 시스템에서 안전 스위치는 여러 안전 지점에 위치되며, 이에 안전-필수 구성성분(특히, 이동가능 구성성분의 위치, 예를 들어, 도어)은 작동 개시 전에, 그리고 필요하다면, 이 작동의 과정 동안 모니터링되어야 한다. 이들 안전 스위치는 모든 안전 스위치가 소정의 스위칭을 상태를 보일 때만 작동이 시작하거나 계속될 수 있도록 안전 체인을 형성하게 직렬로 연결될 수 있다. 예를 들어, 엘리베이터 시스템의 경우, 엘리베이터 카의 출발 전 및 이동 동안 모든 도어(각 층의 랜딩 도어뿐만 아니라 카 도어)는 닫혀져 기계적으로 록된 채로 유지되어야 한다. 따라서, 엘리베이터 카의 이동은 일반적으로 도어의 닫힘 상태를 모니터링하는 각각의 안전 스위치를 연결하는 안전 체인에 모든 안전 스위치가 닫혀 있지 않으면 허용되지 않는다.
엘리베이터 시스템에서, 안전 유닛은 엘리베이터 카가 출발하기 전에, 그리고 카가 이동하는 동안, 모든 도어(카 도어 및 랜딩)가 닫혀있고 기계적으로 록된 채로 유지됨을 보장하기 위해 엘리베이터 또는 다른 컨베이어에 사용되는 안전 체인을 전기적으로 모니터링하는 구성을 가질 수 있다. 안전 체인은 예컨대 US 5 487 448 및 US 6 732 839에 기술된 비접촉식으로 작동가능한 스위칭 디바이스를 사용하도록 구성될 수 있다.
안전 스위치 및 안전 체인에 대한 더 자세한 내용은 이 명세서의 도입 부분을 참조한다.
"정규" 제어기와 달리, 안전 유닛은 일반적으로 이에 또는 이에 연결된 디바이스에서 오동작이 발생하더라도 위험을 나타내는 설치 또는 기계의 안전 상태를 항상 보장할 것이 요구된다. 따라서 일반적으로 안전 유닛에 대해 자신의 고장안전 면에 대해 요구가 높아져, 안전 유닛의 개발, 제조 및 유지보수에 상당한 복잡성을 초래한다. 종종 안전 유닛은 이들이 사용되기 전에 독일의 TUV와 같은 관할 감독 당국에 의한 특별한 승인을 요구한다. 특정 실시예에서, 안전 유닛은, 예로서 국제 표준 IEC 61508, 파트 1 내지 3에 정해진 바와 같은 규정된 안전 표준을 준수할 것이 요구될 수 있다. 엘리베이터 분야에서, 전기 안전 유닛은 일반적으로 예를 들어 유럽 표준 EN 81-20(2014)에 명시된 특정 표준을 충족해야 한다. 소프트웨어 업데이트를 수행하기 위한 특정 실시예의 맥락에서, 안전 유닛은 적어도 EN 81-20(2014)의 섹션 5.11.2, 특히 서브섹션 5.11.2.6을 따르는 디바이스 또는 배열을 의미하는 것으로 이해될 수 있다.
본원에 설명된 제안에 따라, 안전 관련 소프트웨어의 업데이트된 버전은 자동화된 방식으로 안전 유닛에 저장될 수 있다. 그러나, 안전 관련 소프트웨어의 업데이트된 버전은 안전 관련 소프트웨어의 업데이트된 버전이 기존 코드를 대체하게 의도된 실행가능 코드를 포함하는 경우에도, 일단 저장되면 아직 활성이 되지 않을 것이다. 이러한 실행가능한 업데이트 코드가 원칙적으로 사람용 컨베이어 시스템에서 각 제어 절차를 수행하기 위해 안전 유닛 또는 사람용 컨베이어 시스템의 제어기에 의해 사용할 수 있을지라도, 실행가능한 업데이트 코드는 업데이트 코드가 안전 유닛에 저장되어진 후에 초기 단계 동안 비활성인 채로 유지될 것이 제안된다.
업데이트 코드는, 실행가능 코드를 포함하든지간에, 업데이트 코드가 활성화될 때까지 비활성인 채로 유지할 것이다. 활성화는 사람용 컨베이어를 안전한 상태로 가져오고 업데이트 코드가 완전하고 올바르게 저장되어졌고 완전하고 올바르게 설치된 것을 확실히 하기 위해, 사람용 컨베이어 사이트에 사람이 있을 것을 요구한다. 이것은 안전 관련 소프트웨어의 업데이트된 버전의 활성화가 사람용 컨베이어 시스템에 영구적으로 또는 고정적으로 연관된 소프트웨어 업데이트 활성화 스위치의 동작을 요구하는 요건에 의해 달성된다. 컨베이어 시스템과 영구적으로 또는 고정적으로 연관되어 있다는 것은 소프트웨어 업데이트 활성화 스위치가 간단한 수단에 의해 컨베이어 시스템에서 제거될 수 없고, 사람용 컨베이어 시스템에 손상이나 불가역적 변화의 어떤 형태를 일으키지 않고는 제거할 수 없다는 것을 의미한다. 일반적으로, 사람용 컨베이어 시스템은 소프트웨어 업데이트 활성화 스위치가 제거되어졌거나 어떤 방식으로 조작되어진 후에는 동작될 수 없다.
인증 절차 동안 사람의 존재는 사람 -일반적으로 서비스 요원- 이 소프트웨어 업데이트 프로세스를 제대로 모니터링할 수 있음을 보장한다. 그러나, 안전 관련 소프트웨어의 업데이트된 버전이 요구되는 각각 및 모든 위치에 서비스 요원이 있어야 할 필요는 없다. 그보다는, 소프트웨어 업데이트는 각각의 소프트웨어 업데이트 모듈에 제공될 수 있고, 각각의 소프트웨어 업데이트 모듈은 필요할 경우 각각의 위치에서 안전 유닛에 저장될 수 있다. 활성화 목적을 위해, 서비스 요원은 하드웨어를 교체할 필요가 없으므로 안전한 환경에서 동작할 수 있고, 오히려 서비스 요원은 소프트웨어 업데이트 활성화 스위치를 동작하기만 하면 된다.
그럼으로써, 새 하드웨어가 필요 없으므로 낮은 비용이 발생된다. 업데이트 절차는 쉽고 빠르므로 사람용 컨베이어의 더 높은 가용성을 제공할 수 있다. 활성화가 완료되기 전에 안전 관련 소프트웨어의 업데이트된 버전에 다양한 체크 및 제어 절차가 적용될 수 있다. 그럼으로써, 보안이 되고 안전한 업데이트 프로세스가 보장될 수 있다.
특정 실시예는 단독으로 또는 조합하여 임의의 다음 선택적 특징을 포함할 수 있다:
전술한 바와 같이, 안전 관련 소프트웨어의 업데이트된 버전은 실행가능 코드를 포함하는 파일로서 안전 유닛에 저장될 수 있다. 실행가능 코드(실행가능 파일 또는 실행가능 프로그램이라고도 함)는 컴퓨터 또는 마이크로프로세서에 의미있게 프로그램에 의해 파싱되어야 하는 데이터(데이트 파일)와는 대조적으로, 적절한 컴퓨터 또는 마이크로프로세서가 인코딩된 명령에 따라 지정된 작업을 수행하게 하는 코드를 의미한다. 실행가능 코드는 임의의 설치자 없이 실행될 수 있는 완전한 기능의 프로그램을 지칭한다. 실행가능 코드는 물리적 프로세서에 의해 실행될 기계 코드 명령을 주로 포함한다. 그러나, 일부 실시예에서, 보다 일반적인 의미에서, 소프트웨어 인터프리터에 대한 명령(예를 들어, 바이트 코드)을 내포하는 파일은 실행가능인 것으로 간주될 수 있다. 따라서 스크립팅 언어 소스 파일조차도 이러한 의미에서 실행가능인 것으로 간주될 수 있다. 실행가능 코드라는 용어는 반드시 전체 실행가능 파일을 구성하는 것은 아닌 실행가능 명령어의 시퀀스를 기술하기 위해 사용된다. 예를 들어, 실행가능 코드는 프로그램 내의 섹션을 참조할 수 있다.
비-실행가능 코드의 전형적인 예는 프로세서에 의해 실행될 수 있기 전에 컴파일될 필요가 있는 명령을 포함된 소스 코드일 것이다. 일단 컴파일되면, 소스 코드는 더 이상 존재하지 않지만 마이크로프로세서에 의해 실행될 수 있는 명령 세트로 변환된다.
소프트웨어를 다운로드하는 맥락에서, 어떤 설치자도 없는 완전한 기능의 프로그램(본원에서 사용되는 바와 같은 실행가능 코드일 것이다)은 종종 프로그램 바이너리 또는 바이너리(소스 코드와 대조적으로)라고도 한다.
안전 관련 소프트웨어의 업데이트된 버전은 임의의 수단에 의해 안전 유닛에 제공될 수 있다. 흔히 데이터 네트워크를 통해 제작자로부터 안전 유닛으로 이러한 소프트웨어를 다운로드하는 것은 선택적 방법이 될 것이다. 다운로드는 제작자 측에 서버에 의해 시작되거나("푸시" 유형의 데이터 전송과 유사한), 안전 유닛 측에서 시작될 수 있다(즉, 안전 유닛은 업데이트 서버 등에서 가용한 소프트웨어에 대해 체크하도록 프로그래밍된다). 서버로부터의 임의의 형태의 소프트웨어 다운로드 이외에, 예를 들면, 이동 데이터 처리 디바이스를 통해서 또는 적합한 데이터 캐리어를 통해 "수동으로", 업데이트된 소프트웨어 버전을 제공하는 것인, 보다 통상적인 형태의 데이터 전송의 임의의 다른 형태도 사용될 수 있다.
특히, 안전 관련 소프트웨어의 업데이트된 버전은 안전 유닛의 제1 메모리 섹션에 저장될 수 있으며, 제1 메모리 섹션은 비활성 메모리 섹션이다. 이 맥락에서 사용된 비활성 메모리 섹션은 엘리베이터 동작을 제어하는 맥락에서 안전 유닛에 의해 수행되는 임의의 제어 절차에 적극적으로 관여되지 않는 메모리 또는 메모리 섹션을 지칭한다. 이러한 비활성 메모리 섹션에 저장된 데이터는 사람용 컨베이어 시스템의 제어에 영향을 미치지 않으며, 특히 코드가 마이크로프로세서에 의해 직접 실행될 수도 있을 실행가능 프로그램 코드를 포함하는 경우에도 안전 기능에 영향을 미치지 않는다.
안전 관련 소프트웨어의 업데이트된 버전의 성공적 활성화의 경우에, 안전 유닛의 제2 활성 메모리 섹션에 있는 안전 관련 소프트웨어의 기존 버전은 이 안전 관련 소프트웨어의 업데이트된 버전으로 덮어씌여질 수 있다. 제2 메모리 섹션은 제2 메모리 섹션에 저장된 임의의 실행가능 코드가 동작 동안 사람용 컨베이어 시스템의 안전 관련 기능의 제어에 영향을 줄 것이라는 의미에서 안전 유닛의 활성 메모리 섹션이 될 것이다. 일반적으로, 실행가능 프로그램 코드(바이너리 코드)는 제2 메모리 섹션에 저장될 것이며 사람용 컨베이어의 안전 관련 기능을 제어하기 위해 실행될 것이다. 비-바이너리 코드가 제2 메모리 섹션에 저장된 경우, 이러한 비-바이너리 코드는 제어 절차의 시작 전에(예를 들어, 부팅 절차 또는 재부팅 절차의 과정에서) 또는 제어 절차가 실행되는 동안, 실행가능 코드(바이너리)로 전환될 수도 있을 것이다.
특정 실시예에서, 소프트웨어 업데이트 활성화 스위치의 동작은 사람용 컨베이어 시스템에 영구적으로 할당된 제어 보드에 고정적으로 부착된 스위치를 동작하는 것을 포함할 수 있다. 그럼으로써, 활성화 절차는 임의의 원격 위치에서 성공적으로 수행할 수 없다. 오히려, 안전 관련 소프트웨어의 업데이트된 버전을 안전 유닛에 다운로드하거나 저장하는 것이 완전히, 또는 최소한 널리, 자동화된 방식으로 달성될 수 있지만, 일반적으로 서비스 요원은 사람용 컨베이어 사이트에서, 안전 관련 소프트웨어의 업데이트된 버전을 활성화하기 위해 요구된다. 자동으로 활성화를 완료할 가능성도 없고(즉, 사람 동작과 상호작용하지 않고 활성화 스위치) 사람이 소프트웨어 업데이트 활성화 스위치를 원격으로 동작하는 것도 가능하지 않다.
이 사람들이 소프트웨어 업데이트 활성화 스위치를 동작하는 것이 허용되도록 사람에 대한 권한부여를 요구할 수도 있지만, 이는 특별한 요건은 아니다. 많은 경우에 권한부여는 요구하지 않으므로, 원칙적으로 누구나 소프트웨어 업데이트 활성화 스위치를 동작할 수도 있을 것이다. 소프트웨어 업데이트 활성화 스위치의 남용 동작을 피하기 위해, 일반적으로 소프트웨어 업데이트 활성화 스위치는 사람용 컨베이어의 동작에, 특히 안전 절차에 익숙한 사람만이 액세스할 수 있는 방식으로 제공될 것이다. 예를 들어, 소프트웨어 업데이트 활성화 스위치는 대개 사람용 컨베이어 시스템에 제공되므로 제어 보드에 포함될 수 있다. 한 예로, 대부분의 엘리베이터 안전 코드(예를 들면, EN 81-20(2014)의 섹션 5.12.1.6)에서 요구되는 바와 같이, 엘리베이터 카의 비상 전기 동작을 허용하기 위해 이러한 제어 보드가 제공될 수 있다. 예를 들어, 소프트웨어 업데이트 활성화 스위치의 동작은 이러한 제어 보드에 포함된 적어도 하나의 스위치를 동작시키는 것을 포함할 수 있다. 가장 간단한 형태로, 종래의 제어 보드는 제어 보드에 제공된 스위치 중 하나 또는 이들의 조합을 동작시킴으로써 안전 관련 소프트웨어의 업데이트를 활성화할 수 있는 가능성을 포함 할 수도 있다.
특정 실시예에서, 소프트웨어 업데이트 활성화 스위치는 사람에 의해 수동으로 동작되는 구성을 가질 수 있다. 가장 간단한 형태로, 이러한 수동 동작 스위치는 기계식 스위치의 구성을 가질 수 있다. 이것은 수동 동작 스위치가 원격으로 동작될 수 없으므로 안전 관련 소프트웨어의 업데이트 버전을 활성화하는데 있어 사람이 입회하게 될 것임을 보장한다.
남용을 피하기 위해, 소프트웨어 업데이트 활성화 스위치는 누구에게나 자유롭게 액세스될 수 없지만 소프트웨어 업데이트 활성화 스위치에 액세스하는 데 키가 요구되도록 제공될 수 있다. 예를 들어, 대부분의 사람용 컨베이어 시스템에서, 비상 전기 동작 제어 보드에 액세스하기 위해 특정 키(흔히 삼각형 키)가 요구된다. 동일한 키가 소프트웨어 업데이트 활성화 스위치에 액세스하는데 사용될 수 있다. 이러한 키는 반드시 특정인에게 할당될 필요는 없지만 어떤 요건을 충족시키는 임의의 사람(예를 들면, 특정한 사람용 컨베이어 시스템을 유지보수하고자 하는 사람)에게 제공될 수 있다.
소프트웨어 업데이트의 의도되지 않은 활성화를 방지하기 위해, 안전 관련 소프트웨어의 업데이트된 버전을 활성화하는 것은 기정의된 활성화 동작 프로토콜을 수행하는 것을 더 포함할 수 있다. 이러한 활성화 동작 프로토콜은 소프트웨어 업데이트 활성화 스위치를 동작하여 개시될 수 있다. 예를 들어, 활성화 동작 프로토콜은 기정의된 시퀀스로 소프트웨어 활성화 제어 보드 상에 특정 개수의 스위치를 동작시키는 것을 포함할 수 있다. 대안적으로, 또는 부가적으로, 활성화 동작 프로토콜은 상호작용식일 수 있으며, 따라서 사람과 안전 유닛 간에 어떤 다이얼로그 형태를 요구한다. 상호작용식 활성화 동작 프로토콜을 실현하는 한 가지 방법은 사람에게 이동 단말기를 안전 유닛에 연결하고 특정 질문에 답할 것을 요구함에 의한 것이다. 상호작용식 활성화 동작 프로토콜을 제공하는 것은 사람이 안전 유닛에서 가용한 소프트웨어 업데이트를 체크하고 활성화가 완료되기 전에 특정 소프트웨어가 활성화될 것임을 확인할 가능성을 더욱 허용한다.
업데이트된 소프트웨어 버전은 데이터 네트워크, 특히 인터넷과 같은 공공 데이터 네트워크를 통해 소스 컴퓨터에서 다운로드할 수 있다.
특정 실시예에서, 안전 관련 소프트웨어의 업데이트된 버전이 제공되어 암호화된 파일로서 안전 유닛에 저장될 수 있다. 추가적으로 또는 대안적으로, 안전 관련 소프트웨어의 업데이트된 버전은 디지털 서명을 포함할 수 있다. 이러한 조치는 공공 데이터 네트워크를 통해 안전 관련 소프트웨어의 업데이트된 버전을 다운로드할 때 특히 유용하지만 이들은 더 통상적인 형태의 데이터 전송에도 유용하다. 특히, 이들 조치는 사람용 컨베이어 시스템의 안전 유닛의 제2 (활성) 메모리 섹션에 안전 관련 소프트웨어의 기존 버전을 덮어쓰기 하기 전에, 활성화 절차의 맥락에서 안전 관련 소프트웨어의 업데이트된 버전의 진위성을 체크할 수 있게 한다. 예를 들어, 업데이트된 소프트웨어 버전의 진위성의 체크는 소프트웨어 업데이트 활성화 스위치의 동작 후에 수행될 수 있다. 또한, 진위성을 체크하는 것은 소프트웨어 업데이트의 제작자의 사설 키를 사용하여 안전 관련 소프트웨어의 업데이트된 버전에 제공된 디지털 서명의 도움을 받아 수행될 수 있다. 디지털 서명은 작성자의 공개 키를 사용하여, 수신자, 즉 사람용 컨베이어 시스템의 안전 유닛에 의해 검증될 수 있으므로, 소프트웨어 업데이트가 작성자에 의해 작성되어졌고 수정되지 않았음을 확실하게 한다.
안전 관련 소프트웨어의 업데이트된 버전을 활성화하는 것은 안전 관련 소프트웨어의 업데이트된 버전의 일관성을 체크하는 것을 포함할 수 있다. 또한, 이러한 일관성 체크는 사람용 컨베이어 시스템의 안전 유닛의 제2 (활성) 메모리 섹션에 안전 관련 소프트웨어의 기존 버전을 덮어쓰기 하기 전에 수행될 것이다. 일관성은 안전 유닛에 설치된 소프트웨어 또는 소프트웨어 모듈을 소프트웨어 업데이트와 비교하고, 소프트웨어 업데이트가 안전 유닛에 설치된 동일한 소프트웨어 또는 소프트웨어 모듈의 최신 버전에 관련이 있는지 체크함으로써 체크될 수 있다. 추가의 일관성 체크는 안전 관련 소프트웨어의 암호화된 업데이트 버전을 사용하여 고찰될 수 있는데, 예를 들면, 안전 유닛에 설치된 안전 관련 소프트웨어의 각 모듈은 각각의 사설 키와 연관될 수 있다. 이어서, 이들 소프트웨어 모듈 중 하나가 업데이트될 경우, 소프트웨어 모듈의 업데이트된 버전은 이 소프트웨어 모듈의 대응하는 공개 키를 사용하여 작성자에 의해 암호화될 수 있다. 안전 유닛은 이 소프트웨어 모듈의 사설 키를 사용하여, 암호화된 업데이트된 소프트웨어 버전을 해독할 수 있다. 이것은 암호화에 사용된 공개 키에 대응하는 올바른 사설 키를 가진 안전 유닛 만이 실행가능 바이너리 파일을 생성하기 위해 소프트웨어 모듈의 업데이트된 버전을 해독할 수 있음을 확실하게 한다.
안전 관련 소프트웨어의 업데이트된 버전의 일관성 체크는 안전 관련 소프트웨어의 업데이트된 버전의 진위성을 체크하기 전에 수행될 수 있다.
본원에 개시된 실시예는 또한, 사람용 컨베이어 시스템의 동작을 제어하기 위한 제어기를 포함하는 사람용 컨베이어 시스템, 특히 엘리베이터 시스템에 관한 것으로, 제어기는 사람용 컨베이어 시스템의 안전 관련 기능을 제어하도록 구성된 적어도 하나의 안전 유닛을 포함하고, 안전 유닛은 전술한 안전 관련 소프트웨어를 업데이트하는 방법을 수행하도록 구성된다. 사람용 컨베이어 시스템은 특히 상이한 랜딩 사이에서 사람을 운반하기 위한 적어도 하나의 이동가능 구성성분을 포함할 수 있으며, 제어기는 이 이동가능 구성성분의 동작을 제어할 수 있다. 엘리베이터 시스템의 경우, 이동가능 구성성분은 일반적으로 승강로를 따라, 건물내 상이한 층에 위치된 상이한 랜딩 사이에서 이동가능한 적어도 하나의 엘리베이터 카를 포함할 것이다.
또한, 본원에 개시된 실시예는 전술한 바와 같이 적어도 하나의 소프트웨어 업데이트 서버 및 적어도 하나의 사람용 컨베이어 시스템을 포함하는 시스템에 관한 것이다. 소프트웨어 서버는 사람용 컨베이어 시스템을 위한 안전 관련 소프트웨어의 업데이트를, 예를 들면, 사람용 컨베이어 시스템의 공급업체의 유지보수 센터에 서버 형태로, 제공하도록 구성될 것이다. 사람용 컨베이어 시스템은 데이터 네트워크를 통해 소프트웨어 업데이트 서버로부터 안전 관련 소프트웨어의 업데이트를 수신하고 안전 유닛에 저장된 업데이트된 소프트웨어 버전에 기초하여 본원에 설명된 업데이트 절차를 수행하도록 구성될 것이다.
본 발명이 특정한 예시적 실시예를 참조하여 설명되었지만, 본 발명은 이들 실시예들에 한정되지 않으며 첨부된 청구항의 범위에 의해 정의됨이 이해되어야 한다.
참조 부호 목록:
10 : 엘리베이터 시스템
12 : 엘리베이터 카
14 : 평형추
16 : 텐션 부재
18 : 승강로
18a : 전방 벽
18b : 좌측 측벽
18c : 우측 측벽
18d : 후방 벽
20 : 랜딩 도어
22 : 최저 랜딩
24 : 제어 보드
26 : 제어 보드의 전방 도어
28 : 제어 보드의 키 록
50 : 엘리베이터 제어 시스템
60 : 안전 유닛
70 : 주 제어기
72 : 주 제어기용 파워 릴레이
80 : 드라이브 제어기
82 : 드라이브 제어기용 파워 릴레이
90 : 도어 제어기
92 : 도어 제어기용 파워 릴레이
100 : 제조업체의 서버 시스템
120 : 데이터 네트워크
150 : 서버 시스템과 통신하는 엘리베이터 제어 시스템을 포함하는 시스템
200 : 안전 관련 소프트웨어를 업데이트하는 방법
210 : 안전 코드 생성
220: 안전 코드 업데이트 서명
230: 네트워크에서 DownloadMemory로 카피
240 : 서비스 요원의 보장된 입회와 함께 다운로드 활성화
250 : 재부팅
260 : 일관성 체크
270 : 인증 체크
280 :DownloadMemory를 ExecutableMemory에 카피
290 : 실행

Claims (16)

  1. 사람용 컨베이어 시스템, 특히 엘리베이터 시스템(10)에서 안전 관련 소프트웨어를 업데이트하는 방법(200)에 있어서,
    - 상기 안전 관련 소프트웨어(210)의 업데이트된 버전을 제공하는 단계;
    - 상기 사람용 컨베이어 시스템의 안전 유닛(60)에 상기 안전 관련 소프트웨어의 업데이트된 버전을 저장하는 단계(230);
    - 상기 사람용 컨베이어 시스템과 영구적으로 연관된 소프트웨어 업데이트 활성화 스위치를 동작시키는 것을 포함하는, 상기 안전 관련 소프트웨어의 업데이트된 버전을 활성화하는 단계(240);
    - 상기 안전 관련 소프트웨어의 업데이트된 버전의 성공적 활성화의 경우, 상기 안전 관련 소프트웨어(290)의 업데이트된 버전을 기반으로 상기 사람용 컨베이어 시스템의 동작을 제어하는 단계를 포함하는, 방법(200).
  2. 청구항 1에 있어서, 상기 안전 관련 소프트웨어의 업데이트된 버전은 실행가능 코드를 포함하는 파일로서 상기 안전 유닛(60)에 저장되는, 방법(200).
  3. 청구항 1 또는 2에 있어서, 상기 안전 관련 소프트웨어의 업데이트된 버전은 상기 안전 유닛(60)의 제1 메모리 섹션에 저장되고, 상기 제1 메모리 섹션은 비활성 메모리 섹션인, 방법(200).
  4. 청구항 1 내지 3 중 어느 한 항에 있어서, 상기 안전 관련 소프트웨어의 업데이트된 버전의 성공적인 활성화의 경우에, 상기 안전 관련 소프트웨어의 기존 버전을 상기 안전 유닛(280)의 제2 활성 메모리 섹션에 덮어쓰기 하는 단계(overwriting)를 더 포함하는, 방법(200).
  5. 청구항 1 내지 4 중 어느 한 항에 있어서, 상기 소프트웨어 업데이트 활성화 스위치를 동작하는 단계는 상기 사람용 컨베이어 시스템에 영구적으로 할당된 제어 보드(24)에 고정적으로 부착된 스위치를 동작시키는 단계를 포함하는, 방법(200).
  6. 청구항 5에 있어서, 상기 소프트웨어 업데이트 활성화 스위치는 비상 전기 동작 활성화 스위치를 포함하는, 방법(200).
  7. 청구항 1 내지 6 중 어느 한 항에 있어서, 상기 소프트웨어 업데이트 활성화 스위치는 사람에 의해 수동으로 동작되는, 방법(200).
  8. 청구항 1 내지 7 중 어느 한 항에 있어서, 상기 소프트웨어 업데이트 활성화 스위치는 키(28)를 사용하여, 특히 긴급 전기 동작 키를 사용하여, 액세스가능한, 방법(200).
  9. 청구항 1 내지 8 중 어느 한 항에 있어서, 상기 안전 관련 소프트웨어의 업데이트된 버전을 활성화하는 단계는 소정의 활성화 동작 프로토콜을 수행하는 단계를 더 포함하는, 방법(200).
  10. 청구항 9에 있어서, 상기 활성화 동작 프로토콜은 상호작용식 활성화 동작 프로토콜인, 방법(200).
  11. 청구항 1 내지 10 중 어느 한 항에 있어서, 상기 안전 관련 소프트웨어의 업데이트된 버전은 데이터 네트워크(120)를 통해, 특히 공공 데이터 네트워크를 통해 소스 컴퓨터(100)로부터 다운로드되는, 방법(200).
  12. 청구항 1 내지 11 중 어느 한 항에 있어서, 상기 안전 관련 소프트웨어의 업데이트된 버전은 암호화된 파일로서 저장되는, 방법(200).
  13. 청구항 1 내지 12 중 어느 한 항에 있어서, 상기 안전 관련 소프트웨어의 업데이트 버전은 디지털 서명을 포함하는, 방법(200).
  14. 청구항 1 내지 13 중 어느 한 항에 있어서, 상기 안전 관련 소프트웨어의 업데이트 버전을 활성화하는 단계는 상기 안전 관련 소프트웨어(270)의 업데이트 버전의 진위성을 체크하는 단계 및/또는 상기 안전 관련 소프트웨어(260)의 업데이트된 버전의 일관성을 체크하는 단계를 더 포함하는, 방법(200).
  15. 사람용 컨베이어 시스템, 특히 엘리베이터 시스템(10)에 있어서, 사람용 컨베이어 시스템의 동작을 제어하기 위한 제어기(50)를 포함하며, 상기 제어기(50)는 상기 사람용 컨베이어 시스템의 안전 관련 기능을 제어하도록 구성된 적어도 하나의 안전 유닛(60)을 포함하고, 상기 안전 유닛(60)은 청구항 1 내지 14 중 어느 한 항에 따른 안전 관련 소프트웨어를 업데이트하는 방법(200)을 수행하도록 구성되는, 엘리베이터 시스템(10).
  16. 청구항 15에 따른 적어도 하나의 소프트웨어 업데이트 서버(100) 및 적어도 하나의 사람용 컨베이어 시스템(10)을 포함하는 시스템(150)으로서, 성기 소프트웨어 서버(100)는 상기 사람용 컨베이어 시스템(10)에 대한 안전 관련 소프트웨어 업데이트를 제공하도록 구성되고, 상기 사람용 컨베이어 시스템(10)은 데이터 네트워크(120)를 통해 상기 소프트웨어 업데이트 서버(100)로부터 상기 안전 관련 소프트웨어 업데이트를 수신하도록 구성된, 시스템(150).


KR1020177035457A 2015-05-12 2015-05-12 안전 관련 소프트웨어를 업데이트하는 방법 KR20180005690A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/060475 WO2016180484A1 (en) 2015-05-12 2015-05-12 Method to update safety related software

Publications (1)

Publication Number Publication Date
KR20180005690A true KR20180005690A (ko) 2018-01-16

Family

ID=53189043

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177035457A KR20180005690A (ko) 2015-05-12 2015-05-12 안전 관련 소프트웨어를 업데이트하는 방법

Country Status (6)

Country Link
US (1) US20180157482A1 (ko)
EP (1) EP3295263B1 (ko)
KR (1) KR20180005690A (ko)
CN (1) CN107636607A (ko)
ES (1) ES2964006T3 (ko)
WO (1) WO2016180484A1 (ko)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015039984A1 (de) * 2013-09-18 2015-03-26 Inventio Ag Verfahren zum betrieb einer aufzugssteuerungseinrichtung
ES2845648T3 (es) * 2015-10-02 2021-07-27 Kone Corp Acceso a medio de control de un dispositivo de transporte de pasajeros
US10623188B2 (en) * 2017-04-26 2020-04-14 Fresenius Medical Care Holdings, Inc. Securely distributing medical prescriptions
EP3438032A1 (en) * 2017-07-31 2019-02-06 Inventio AG Method for updating software of an elevator system and updating system for updating a software of an elevator system
DE102017213405A1 (de) * 2017-08-02 2019-02-07 Franz Xaver Meiller Fahrzeug- Und Maschinenfabrik - Gmbh & Co Kg Aufzugsystem
US20190112148A1 (en) * 2017-10-13 2019-04-18 Otis Elevator Company Commissioning and upgrading remote software/firmware using augmented reality
CN111212805B (zh) * 2017-10-27 2021-07-09 因温特奥股份公司 用于建筑物的人员运送设备的安全系统
US11095502B2 (en) * 2017-11-03 2021-08-17 Otis Elevator Company Adhoc protocol for commissioning connected devices in the field
CN110077945B (zh) * 2018-01-26 2021-09-14 日立楼宇技术(广州)有限公司 一种电梯外召设备升级方法、装置、设备及其存储介质
EP3530602B1 (en) * 2018-02-23 2020-06-17 Otis Elevator Company Safety circuit for an elevator system, device and method of updating such a safety circuit
CN110569048A (zh) 2018-06-06 2019-12-13 奥的斯电梯公司 在关于新软件可用性的总运行计数数据上的自动升级
EP3617111A1 (en) 2018-08-30 2020-03-04 Inventio AG Downloading updates for control software on passenger transport systems
US11472663B2 (en) * 2018-10-01 2022-10-18 Otis Elevator Company Automatic software upgrade assistant for remote elevator monitoring experts using machine learning
US11372977B2 (en) * 2018-11-12 2022-06-28 Thirdwayv, Inc. Secure over-the-air firmware upgrade
AU2020242588B2 (en) * 2019-03-18 2023-07-06 Inventio Ag Security device for building-related passenger conveyor system
CN113382943B (zh) * 2019-03-28 2023-12-19 因温特奥股份公司 用于启用通信网关的方法和系统
CN110155841B (zh) * 2019-06-03 2020-12-08 日立楼宇技术(广州)有限公司 一种电梯元件识别系统、电梯及电梯元件识别方法
JP7177755B2 (ja) * 2019-07-24 2022-11-24 株式会社日立製作所 サーバ、ソフトウェア更新システム、およびソフトウェア更新装置
EP3915912A1 (en) * 2020-05-29 2021-12-01 KONE Corporation A people conveyor system and a method for updating software of a people conveyor component in a people conveyor system
WO2023083817A1 (en) * 2021-11-09 2023-05-19 Agtatec Ag Method for updating an automatic door system as well as automatic door system
WO2023117833A1 (en) * 2021-12-20 2023-06-29 Inventio Ag Method of deploying a safety-related software in a passenger transport installation, passenger transport installation, and safety-related software update infrastructure
WO2023156013A1 (en) * 2022-02-21 2023-08-24 Kone Corporation Functional safety management system and method for managing functional safety status of at least one equipment under control
DE102022107049A1 (de) 2022-03-25 2023-09-28 Tk Elevator Innovation And Operations Gmbh Aufzugsystem mit modular abrufbaren Funktionsmodulen sowie Computerprogrammprodukt, Verwendung und Verfahren
DE102022107050A1 (de) 2022-03-25 2023-09-28 Tk Elevator Innovation And Operations Gmbh Aufzugsystem und Verfahren jeweils zum einheitlichen Verarbeiten von Aufzugsystemparametern sowie Computerprogrammprodukt und Verwendung

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6173814B1 (en) * 1999-03-04 2001-01-16 Otis Elevator Company Electronic safety system for elevators having a dual redundant safety bus
DE112006003745T8 (de) * 2006-02-10 2009-04-16 Mitsubishi Electric Corp. Fernaktualisierungssystem für ein Aufzugssteuerprogramm
EP1857897B1 (de) * 2006-05-15 2014-01-15 ABB PATENT GmbH Verfahren und System zur Erstellung oder Änderung sicherheitsrelevanter Daten für eine Steuerungseinrichtung
SG141325A1 (en) * 2006-09-12 2008-04-28 Inventio Ag Method for modernizing the control of an elevator system
RU2496144C2 (ru) * 2008-12-18 2013-10-20 Отис Элевэйтор Компани Система контроля доступа и способ управления доступом для системы управления транспортером для перевозки людей
US8594850B1 (en) * 2012-09-30 2013-11-26 Nest Labs, Inc. Updating control software on a network-connected HVAC controller
US9122554B2 (en) * 2013-02-08 2015-09-01 Microsoft Technology Licensing, Llc Pervasive service providing device-specific updates
US9021462B2 (en) * 2013-03-13 2015-04-28 Johnson Controls Technology Company Systems and methods for provisioning equipment
EP2784015B1 (en) * 2013-03-25 2020-06-03 Kone Corporation System and method to prevent the use of pirate products in an elevator control
CN103663024B (zh) * 2013-09-06 2016-04-20 苏州汇川技术有限公司 电梯一体化控制器烧录系统、方法及智能手机
CN103942075B (zh) * 2014-04-09 2017-11-14 苏州汇川技术有限公司 一种电梯控制器固件烧录系统及方法

Also Published As

Publication number Publication date
CN107636607A (zh) 2018-01-26
ES2964006T3 (es) 2024-04-03
EP3295263A1 (en) 2018-03-21
WO2016180484A1 (en) 2016-11-17
US20180157482A1 (en) 2018-06-07
EP3295263B1 (en) 2023-08-23

Similar Documents

Publication Publication Date Title
KR20180005690A (ko) 안전 관련 소프트웨어를 업데이트하는 방법
US7286886B2 (en) Safety controller and method for loading a new operating program onto the safety controller
JP5550718B2 (ja) エレベータ安全制御装置
CN107848742B (zh) 电梯控制系统和包括所述电梯控制系统的电梯系统
US10214383B2 (en) Method and device for commissioning an elevator system
US11167955B2 (en) Method and system for generating maintenance data of an elevator door system
AU2018356262C1 (en) Safety system for a building-related passenger transportation system
EP3530602B1 (en) Safety circuit for an elevator system, device and method of updating such a safety circuit
CN108367888B (zh) 人员运送设备、维护方法以及维护控制器
KR20080083601A (ko) 프로그램 가능한 데이터 처리 장치를 위한 보호 유닛
US20160297641A1 (en) Safety system for an elevator, elevator system, and method for operating such a safety system
EP1850554A2 (en) Safe communications in a network
WO2018001830A1 (en) Elevator with safety chain overlay control unit comprising a safety plc monitoring safety switches and mirroring a switching state to an elevator control
US20180314512A1 (en) Software updating device
AU2020242588B2 (en) Security device for building-related passenger conveyor system
CN105636891A (zh) 电梯系统中的安全和非安全软件的管理
US20230183049A1 (en) System and method for access control for a robotic vehicle
WO2023088532A1 (en) Acquiring new set of elevator operation parameters
KR20100018434A (ko) 유지보수용 툴, 산업용 장치의 원격제어 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application