WO2021255932A1 - エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法 - Google Patents

エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法 Download PDF

Info

Publication number
WO2021255932A1
WO2021255932A1 PCT/JP2020/024222 JP2020024222W WO2021255932A1 WO 2021255932 A1 WO2021255932 A1 WO 2021255932A1 JP 2020024222 W JP2020024222 W JP 2020024222W WO 2021255932 A1 WO2021255932 A1 WO 2021255932A1
Authority
WO
WIPO (PCT)
Prior art keywords
remote monitoring
elevator
function
control device
monitoring
Prior art date
Application number
PCT/JP2020/024222
Other languages
English (en)
French (fr)
Inventor
明彦 渡邊
Original Assignee
三菱電機ビルテクノサービス株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機ビルテクノサービス株式会社 filed Critical 三菱電機ビルテクノサービス株式会社
Priority to PCT/JP2020/024222 priority Critical patent/WO2021255932A1/ja
Priority to CN202080102109.XA priority patent/CN115734930A/zh
Priority to JP2022531232A priority patent/JP7151941B2/ja
Priority to US18/010,214 priority patent/US11945688B2/en
Priority to KR1020227039435A priority patent/KR102497834B1/ko
Priority to DE112020007335.1T priority patent/DE112020007335T5/de
Priority to TW110102268A priority patent/TWI842975B/zh
Publication of WO2021255932A1 publication Critical patent/WO2021255932A1/ja

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/0006Monitoring devices or performance analysers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/0006Monitoring devices or performance analysers
    • B66B5/0018Devices monitoring the operating condition of the elevator system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3415Control system configuration and the data transmission or communication within the control system
    • B66B1/3446Data transmission or communication within the control system

Definitions

  • This disclosure relates to an elevator control device, an elevator monitoring system, and an elevator monitoring method.
  • the elevator control device may store a control program related to the remote monitoring function for monitoring and diagnosing the elevator based on the maintenance contract.
  • Patent Document 1 discloses a technique for deleting a control program when the maintenance contract period has expired in order to realize proper use of the remote monitoring function.
  • the elapsed time since the last communication connection with the remote monitoring server was established during the maintenance contract period is equal to or greater than the first time threshold, and the elevator device
  • the control program used for the maintenance work is deleted.
  • the present disclosure has been made to solve the above-mentioned problems, and is an elevator control device and an elevator monitoring system capable of realizing proper use of a remote monitoring function in an elevator control device that monitors an elevator. And to provide an elevator monitoring method.
  • the elevator control device stores a communication function that stores a control program for communicating with a processor that performs monitoring and control processing that monitors the elevator and a remote monitoring server for the elevator, and a control program for monitoring and control processing. It is provided with a remote monitoring function, a maintenance terminal function in which a control program for connecting to the maintenance terminal is stored, and a storage device in which the control program is stored.
  • the remote monitoring function is encrypted and stored in the storage device.
  • the processor is configured to receive the decryption key of the remote monitoring function from the remote monitoring server using the communication function, decode the remote monitoring function using the decryption key, and execute the monitoring control process.
  • the present disclosure is applied to an elevator monitoring system having a remote monitoring server for remote monitoring of an elevator and an elevator control device connected to the remote monitoring server via a communication network.
  • the elevator control device has a communication function that stores a control program for communicating with a processor that performs monitoring and control processing of the elevator and a remote monitoring server of the elevator, and a remote that stores a control program for monitoring and control processing. It includes a monitoring function, a maintenance terminal function in which a control program for connecting to the maintenance terminal is stored, and a storage device in which the control program is stored.
  • the remote monitoring function is encrypted and stored in the storage device.
  • the remote monitoring server receives the request for the decryption key of the remote monitoring function transmitted from the elevator control device, and transmits the decryption key to the elevator control device.
  • the processor is configured to receive the decryption key from the remote monitoring server using the communication function, decode the remote monitoring function using the decryption key, and execute the monitoring control process.
  • the present disclosure is applied to an elevator monitoring method using an elevator monitoring system having a remote monitoring server for remote monitoring of an elevator and an elevator control device connected to the remote monitoring server via a communication network.
  • the elevator control device has a communication function that stores a control program for communicating with the remote monitoring server of the elevator, a remote monitoring function that stores a control program for performing monitoring and control processing of the elevator, and a maintenance terminal.
  • the maintenance terminal function that stores the control program for connection with and is stored.
  • the remote monitoring function is encrypted and stored.
  • the elevator control device Generates a decryption key, the elevator control device receives the decryption key transmitted from the remote monitoring server, the elevator control device decodes the remote monitoring function using the decryption key, and the elevator control device executes the monitoring control process. ..
  • the remote monitoring function is encrypted.
  • the decryption key for decryption is received from the remote monitoring server.
  • the remote monitoring function of the elevator device can be decoded by using the decryption key received from the remote monitoring server. This makes it possible to realize proper use of the remote monitoring function.
  • FIG. It is a figure which shows the example of the elevator monitoring system of Embodiment 1.
  • FIG. It is a block diagram which shows the function of an input / output interface. It is a block diagram which shows the example of the storage device of an elevator control device. It is an operation sequence diagram which shows the operation of the decryption process and the encryption process of an elevator monitoring system. It is a flowchart which shows the control routine which performs the decryption process and the encryption process by an elevator monitoring system. It is a flowchart which shows the control routine which performs the decryption process and the encryption process by an elevator monitoring system. It is a figure which shows the modification of the hardware resource of an elevator control device. It is a flowchart which shows the control routine which is executed in the elevator monitoring system in Embodiment 2.
  • FIG. 1 is a diagram showing an example of the elevator monitoring system of the first embodiment.
  • the elevator monitoring system 100 is a system for remotely monitoring the operation of elevators individually provided in one or a plurality of customer buildings 10 from the monitoring center 70.
  • an elevator control device 30 and a monitoring device 40 for controlling the elevator control target device 20 are installed.
  • the elevator control device 30 and the monitoring device 40 are connected to the monitoring center 70 via the communication network 80.
  • As the communication network 80 a telephone line, IP (Internet Protocol), or the like can be used.
  • IP Internet Protocol
  • the customer building 10 connected to the monitoring center 70 may be installed in a second country different from the first country in which the monitoring center 70 is installed.
  • the control target device 20 is a device controlled by the elevator control device 30.
  • the controlled device 20 includes, for example, a hoisting machine for driving an elevator car, a switchgear for opening and closing a car door, and the like.
  • the elevator control device 30 controls the device 20 to be controlled by the elevator.
  • the elevator control device 30 includes a processor 32, a storage device 34, and an input / output interface 36.
  • the processor 32 executes various processes.
  • the processor 32 is, for example, a microcomputer.
  • Various information is stored in the storage device 34. Examples of the storage device 34 include volatile memory, non-volatile memory, and the like.
  • the processor 32 executes a control program which is a computer program, various processes by the processor 32 are executed.
  • the control program is stored in the storage device 34 or recorded on a computer-readable recording medium.
  • the processor 32 executes an operation control process that controls the operation of the elevator control target device 20. Specifically, the processor 32 controls the operation of the hoist, the opening / closing operation of the car door, and the like.
  • the processor 32 executes a monitoring control process for acquiring monitoring data indicating the operating state of the elevator.
  • the monitoring data is, for example, operation data or nominal data of the controlled device 20 of the elevator.
  • the operation data includes, for example, a running state, a door open / closed state, a car load, or a car position.
  • Call data includes, for example, elevator call registration, call assignment, or response to call data.
  • the acquired monitoring data is stored in the storage device 34.
  • FIG. 2 is a block diagram showing the functions of the input / output interface.
  • the input / output interface 36 includes an elevator mechanism connection unit 361, a monitoring device connection unit 362, and a maintenance terminal connection unit 363 as input / output ports for external devices.
  • the elevator mechanism connection unit 361 is connected to the elevator control target device 20, transmits a command value for operation control processing of the control target device 20, and receives monitoring data for monitoring control processing.
  • the maintenance terminal connection unit 363 is a port for connecting the maintenance terminal 60 possessed by a worker for maintenance and management.
  • the monitoring device connection unit 362 is a port to which the monitoring device 40 is connected.
  • the monitoring device 40 is communicably connected to the elevator control device 30 and is communicably connected to the monitoring center 70 via the communication network 80. Further, the monitoring device 40 receives the monitoring data transmitted from the elevator control device 30. Further, the monitoring device 40 receives various data necessary for monitoring the elevator, such as image data of a monitoring camera installed in the elevator. The monitoring device 40 comprehensively monitors the state of the elevator based on the received data, and periodically transmits the monitoring result as monitoring information to the monitoring center 70.
  • the monitoring device 40 periodically sends a health check request to the monitoring center 70.
  • the health check here is an inspection as to whether or not the monitoring device 40 is operating normally.
  • the monitoring device 40 transmits the received health check response to the elevator control device 30.
  • the encryption key and the decryption key described later are received from the monitoring center 70, the monitoring device 40 transmits the received encryption key and the decryption key to the elevator control device 30.
  • the monitoring center 70 remotely monitors the elevators installed in one or more customer buildings 10 based on the elevator maintenance contract with the customer.
  • the monitoring center 70 includes a remote monitoring server 72, a storage device 74, and a communication device 76.
  • the remote monitoring server 72 generates a health check response in response to the health check request transmitted from the monitoring device 40. Further, the remote monitoring server 72 generates a decryption key and an encryption key in response to a decryption key request described later transmitted from the monitoring device 40.
  • the storage device 74 stores various data received from the monitoring device 40. Further, the storage device 74 stores the health check response, the decryption key, and the encryption key generated in the remote monitoring server 72.
  • the communication device 76 has a function of transmitting and receiving data.
  • the communication device 76 communicates with the monitoring device 40 via the communication network 80.
  • FIG. 3 is a block diagram showing an example of the storage device 34 of the elevator control device 30.
  • the storage device 34 stores a basic communication function 341, a remote monitoring function 342, and a maintenance terminal function 343 as control programs. Further, the storage device 34 appropriately stores the encryption key and the above-mentioned monitoring data.
  • the basic communication function 341 includes a control program for communicating with the monitoring center 70 via the monitoring device 40.
  • the basic communication function 341 is not encrypted. Therefore, the basic communication function 341 can always be used.
  • the processor 32 of the elevator control device 30 executes the control program of the basic communication function 341 stored in the storage device 34. As a result, communication between the monitoring device 40 and the monitoring center 70 is performed.
  • the remote monitoring function 342 includes a control program for monitoring and control processing for monitoring and diagnosing the elevator.
  • the remote monitoring function 342 is encrypted to ensure proper use based on the maintenance contract. Therefore, the processor 32 of the elevator control device 30 acquires the decoding key in the decoding process described later, and decodes the remote monitoring function 342. Then, the processor 32 of the elevator control device 30 executes the monitoring control process by executing the control program of the remote monitoring function 342.
  • the maintenance terminal function 343 includes a control program for sending and receiving data to and from the maintenance terminal 60.
  • the maintenance terminal function 343 is not encrypted. Therefore, the maintenance terminal function 343 can be basically always used while the maintenance terminal 60 is connected.
  • the processor 32 of the elevator control device 30 transmits / receives data to / from the maintenance terminal function 343 by executing the control program of the maintenance terminal function 343.
  • the encryption key is for re-encrypting the decrypted remote monitoring function 342.
  • the encryption key is generated in the remote monitoring server 72 of the monitoring center 70, and is transmitted to the elevator control device 30 together with the decryption key.
  • the received encryption key is stored in the storage device 34 and is read out during the encryption process described later.
  • the elevator monitoring system 100 executes a decoding process for decoding the remote monitoring function 342 using the decoding key when the monitoring device 40 is properly connected to the elevator control device 30 based on the maintenance contract. Further, in order to prevent the decrypted remote monitoring function 342 from being used for purposes other than the intended purpose, the elevator monitoring system 100 executes an encryption process for re-encrypting the remote monitoring function 342 when a predetermined encryption condition is satisfied. do.
  • FIG. 4 is an operation sequence diagram showing the operation of the decryption process and the encryption process of the elevator monitoring system.
  • 5 and 6 are flowcharts showing a control routine in which the elevator monitoring system executes the decryption process and the encryption process.
  • FIGS. 5 and 6 specific processing of the control routines shown in FIGS. 5 and 6 will be described with reference to FIG. 4.
  • step S100 of the control routine shown in FIG. 5 first, the elevator control device 30 determines whether or not the monitoring device 40 is connected. As a result, when the monitoring device 40 is not connected to the elevator control device 30, the process of step S100 is repeatedly executed until the determination is established. If the determination is confirmed in step S100, the process proceeds to the next step S102.
  • step S102 the elevator control device 30 determines whether or not the remote monitoring function 342 is encrypted. As a result, when the remote monitoring function 342 is not encrypted, it is determined that the decryption process is unnecessary, and the process proceeds to step S112 of the control routine shown in FIG. On the other hand, when the remote monitoring function 342 is encrypted, the process proceeds from step S104 to the decryption process shown in step S110.
  • the elevator control device 30 requests the monitoring device 40 for a decryption key for decoding the remote monitoring function 342.
  • the monitoring device 40 requests the monitoring center 70 for the decryption key.
  • the monitoring center 70 generates a decryption key after confirming whether the received decryption key request is an appropriate request based on the maintenance contract, and transmits the decryption key to the monitoring device 40.
  • the monitoring center 70 generates an encryption key for re-encrypting the remote monitoring function 342 and transmits it to the monitoring device 40 together with the decryption key.
  • the monitoring device 40 that has received the decryption key and the encryption key further transmits the received decryption key and the encryption key to the elevator control device 30.
  • next step S106 it is determined whether or not the elevator control device 30 has received the decryption key and the encryption key. As a result, when the elevator control device 30 has not received the decryption key and the encryption key, the process of step S106 is repeatedly executed until the decryption key and the encryption key are received. If the determination is confirmed in step S106, the process proceeds to the next step S108.
  • step S108 the elevator control device 30 decodes the control program of the remote monitoring function 342 using the received decoding key.
  • the elevator control device 30 stores the received encryption key in the storage device 34.
  • step S112 the elevator control device 30 starts the life timer.
  • the life timer is a timer that sets the effective time of the decoded remote monitoring function 342.
  • step S114 the elevator control device 30 executes the monitoring control process by executing the control program of the remote monitoring function 342.
  • the elevator control device 30 determines whether or not a health check has been received.
  • the monitoring device 40 periodically sends a health check request to the monitoring center 70, for example, once a day.
  • the monitoring center 70 transmits a health check response to the monitoring device 40.
  • the monitoring device 40 that has received the health check response transmits the received health check response to the control device.
  • step S116 When the elevator control device 30 receives the health check in step S116, it can be determined that the communication state between the elevator control device 30 and the monitoring center 70 is normal. In this case, the process returns to step S112 again, the life timer is reset again, and the process starts from the initial value of zero (0). This process is also called "initialization process". The initialization process updates the valid time of the decrypted remote monitoring function 342.
  • step S118 it is determined that the encryption condition is satisfied.
  • the encryption condition here is a condition that is satisfied when the life timer times out.
  • the elevator control device 30 determines whether or not the continuous time counted by the life timer has reached a predetermined predetermined time. The specified time is at least longer than the transmission interval of the health check request.
  • step S118 If the life timer has not timed out in step S118, it is determined that the encryption condition has not been satisfied, the process returns to step S114 again, and the monitoring control process is continuously executed. On the other hand, if the life timer times out in step S118, it can be determined that the health check response to the health check request has not been received. In such a situation, when the communication between the monitoring device 40 and the elevator control device 30 is interrupted due to, for example, the connection of the monitoring device 40 being disconnected from the elevator control device 30, the monitoring device 40 and the monitoring center It is conceivable that the communication with the 70 is interrupted. In such a case, it is determined that the encryption condition is satisfied because the decrypted remote monitoring function 342 may not be used properly, and the process proceeds to the next step S120.
  • step S120 the elevator control device 30 encrypts the control program of the remote monitoring function 342 using the encryption key stored in the storage device 34.
  • step S122 the elevator control device 30 deletes the encryption key stored in the storage device 34.
  • the remote monitoring function 342 is decrypted using the decryption key acquired from the monitoring center 70. This makes it possible to prevent the remote monitoring function 342 from being used without the intervention of the monitoring center 70.
  • the remote monitoring function 342 is encrypted and the encryption key is deleted. This makes it possible to prevent the remote monitoring function 342 from being continuously used in a state where communication with the monitoring device 40 or the monitoring center 70 is disconnected.
  • the remote monitoring function 342 is not deleted from the storage device 34. Therefore, when the communication between the monitoring center 70 and the monitoring device 40 is interrupted for a long time due to, for example, a power failure, the remote monitoring function 342 is encrypted without being deleted. As a result, the remote monitoring function 342 can be easily restored to the unintended stop of the remote monitoring function 342 without the trouble of storing the remote monitoring function 342 in the storage device 34 again.
  • Embodiment 1 The elevator monitoring system 100 of Embodiment 1 may apply the modified embodiment as follows.
  • FIG. 7 is a diagram showing a modified example of the hardware resource of the elevator control device.
  • the elevator control device 30 includes, for example, a processing circuit 31 including a processor 32, a storage device 34, and dedicated hardware 35.
  • FIG. 7 shows an example in which a part of the functions of the elevator control device 30 is realized by the dedicated hardware 35. All the functions of the elevator control device 30 may be realized by the dedicated hardware 35.
  • the dedicated hardware 35 a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, an ASIC, an FPGA, or a combination thereof can be adopted.
  • the above-mentioned modification of the elevator control device 30 can also be applied to the elevator monitoring system of the second embodiment described later.
  • the elevator monitoring system of the second embodiment has the same system configuration as the elevator monitoring system 100 of the first embodiment.
  • the description of the first embodiment will be referred to, and the description thereof will be omitted here.
  • the maintenance work by the worker using the maintenance terminal 60 can be performed even in a situation where the communication with the monitoring center 70 is cut off. Therefore, the control program of the maintenance terminal function 343 stored in the storage device 34 is not encrypted by the encryption key generated by the monitoring center 70. Therefore, the maintenance terminal connection unit 363 of the input / output interface 36 may be used for purposes other than the maintenance contract, or may be used after the maintenance contract is canceled.
  • the elevator control device 30 counts the continuous connection time in which the maintenance terminal 60 is continuously connected to the maintenance terminal connection unit 363 of the input / output interface 36. For example, when the counted continuous connection time reaches a predetermined connection time, the elevator control device 30 executes a communication restriction process for restricting communication with the connected maintenance terminal 60.
  • the specified connection time here is set to be longer than the connection time required for connecting the maintenance terminal 60 and performing normal maintenance work.
  • the communication restriction process here is a process of stopping data transmission / reception to the maintenance terminal 60 by not responding to a data transmission / reception request from the maintenance terminal 60, or an intentionally large amount of data to the maintenance terminal 60.
  • An example is a process of restricting data transmission / reception from the maintenance terminal 60 by performing transmission.
  • the elevator control device 30 counts the elapsed time since the communication restriction process is executed. In the following description, this time will be referred to as "time limit". Then, when the counted time limit reaches the predetermined time limit, the elevator control device 30 ends the communication restriction process being executed.
  • FIG. 8 is a flowchart showing a control routine executed in the elevator monitoring system of Embodiment 2.
  • the control routine shown in FIG. 8 is repeatedly executed in a predetermined control cycle.
  • step S130 of the control routine shown in FIG. 8 the elevator control device 30 determines whether or not the maintenance terminal 60 is connected to the maintenance terminal connection unit 363 of the input / output interface 36. As a result, if the determination is not established, this routine is terminated. On the other hand, if the determination is established in step S130, the process proceeds to the next step S132.
  • step S132 the elevator control device 30 starts the monitoring timer.
  • the monitoring timer here is a timer for setting the effective time of the maintenance terminal process using the maintenance terminal function 343.
  • step S134 the elevator control device 30 executes the maintenance terminal process by executing the control program of the maintenance terminal function 343.
  • step S136 the elevator control device 30 determines whether or not the maintenance terminal 60 is disconnected from the maintenance terminal connection unit 363 of the input / output interface 36. As a result, if the determination is established, this routine is terminated. On the other hand, if the determination is not established in step S136, the process proceeds to the next step S138.
  • step S138 the elevator control device 30 determines whether or not the monitoring timer has timed out.
  • the elevator control device 30 determines whether or not the continuous connection time measured by the monitoring timer has reached the specified connection time. As a result, if the monitoring timer has not yet timed out, the process returns to step S134 again, and the maintenance terminal process is executed.
  • step S138 if the monitoring timer times out in step S138, it can be determined that the maintenance terminal 60 may be continuously connected for purposes other than maintenance. In such a situation, for example, a usage mode in which the maintenance terminal 60 constantly reads out the monitoring data of the elevator from the maintenance terminal connection unit 363 can be considered. In such a case, it is determined that it is necessary to restrict communication with the maintenance terminal 60, and the process proceeds to the next step S140.
  • step S140 the elevator control device 30 starts the limit timer.
  • the limit timer here is a timer for measuring the time limit, which is the elapsed time since the communication restriction process is executed.
  • the communication restriction process is executed.
  • step S144 the elevator control device 30 determines whether or not the limit timer has timed out. Here, it is determined whether or not the time limit measured by the time limit timer has reached the specified time limit. If the determination in step S144 is not established, the process returns to step S142. That is, the elevator control device 30 repeatedly executes the communication restriction process until the determination in step S144 is established. On the other hand, if the determination is established in step S144, the communication restriction process is terminated and this routine is terminated.
  • the elevator monitoring system configured as described above, it is possible to prevent the maintenance terminal 60 from transmitting / receiving data from the maintenance terminal connection unit 363 beyond the specified connection time.

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Indicating And Signalling Devices For Elevators (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)

Abstract

エレベーターの監視を行うエレベーター制御装置において、遠隔監視機能の適正な利用を実現する。 エレベーター制御装置は、エレベーターを遠隔監視する遠隔監視サーバーに通信ネットワークを介して接続される。エレベーター制御装置は、エレベーターの監視を行う監視制御処理を行うプロセッサと記憶装置とを備える。記憶装置には、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される。遠隔監視機能は暗号化されて記憶装置に格納される。暗号化された遠隔監視機能を実行する場合、プロセッサは、通信機能を用いて遠隔監視機能の復号鍵を遠隔監視サーバーから受信し、復号鍵を用いて遠隔監視機能を復号し、監視制御処理を実行する。

Description

エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法
 本開示は、エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法に関する。
 エレベーター制御装置には、保守契約に基づくエレベーターの監視及び診断を行うための遠隔監視機能に関する制御プログラムが格納されている場合がある。特許文献1には、遠隔監視機能の適正な利用を実現するため、保守契約期間が終了した場合に制御プログラムを削除するための技術が開示されている。この技術では、保守契約中の制御プログラムの誤消去を防止するため、保守契約期間中に遠隔監視サーバーと最後に通信接続が成立してからの経過時間が第一時間閾値以上となり、且つエレベーター装置に対して最後に作業員が保守作業を行ってからの経過時間が第二閾値以上の場合に、保守作業に用いる制御プログラムを削除する。
日本特開2016-216151号公報
 エレベーター装置の設置されている地域によっては、通信ネットワークの安定性及び緊急時の保守体制に課題がある場合がある。このような地域では、エレベーター装置と遠隔監視サーバーとの通信が意図せずに切断されることも考えられる。上記の技術では、このような場合に遠隔監視機能の制御プログラムの消去条件が成立してしまい、使い勝手が悪いという課題がある。
 本開示は、上述のような課題を解決するためになされたもので、エレベーターの監視を行うエレベーター制御装置において、遠隔監視機能の適正な利用を実現することが可能なエレベーター制御装置、エレベーター監視システム及びエレベーター監視方法を提供することを目的とする。
 本開示は、エレベーターを遠隔監視する遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置に適用される。エレベーター制御装置は、エレベーターの監視を行う監視制御処理を行うプロセッサと、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、を備える。遠隔監視機能は暗号化されて記憶装置に格納される。プロセッサは、通信機能を用いて遠隔監視機能の復号鍵を遠隔監視サーバーから受信し、復号鍵を用いて遠隔監視機能を復号し、監視制御処理を実行するように構成される
 また、本開示は、エレベーターの遠隔監視を行う遠隔監視サーバーと、遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムに適用される。エレベーター制御装置は、エレベーターの監視制御処理を行うプロセッサと、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、を備える。遠隔監視機能は暗号化されて記憶装置に格納される。遠隔監視サーバーは、エレベーター制御装置から送信される遠隔監視機能の復号鍵の要求を受けて、復号鍵をエレベーター制御装置へ送信する。プロセッサは、通信機能を用いて復号鍵を遠隔監視サーバーから受信し、復号鍵を用いて遠隔監視機能を復号し、監視制御処理を実行するように構成される。
 また、本開示は、エレベーターの遠隔監視を行う遠隔監視サーバーと、遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムを利用したエレベーター監視方法に適用される。エレベーター制御装置には、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、エレベーターの監視制御処理を行うための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される。遠隔監視機能は暗号化されて格納される。エレベーター制御装置が暗号化された遠隔監視機能を用いて監視制御処理を実行する場合、エレベーター監視方法は、エレベーター制御装置から遠隔監視サーバーに対して遠隔監視機能の復号鍵を要求し、遠隔監視サーバーが復号鍵を生成し、エレベーター制御装置が遠隔監視サーバーから送信された復号鍵を受信し、エレベーター制御装置が復号鍵を用いて遠隔監視機能を復号し、エレベーター制御装置が監視制御処理を実行する。
 本開示のエレベーター装置では、遠隔監視機能が暗号化されている。復号化するための復号鍵は遠隔監視サーバーから受信される。このように、本開示のエレベーター装置によれば、遠隔監視サーバーから受信した復号鍵を用いてエレベーター装置の遠隔監視機能を復号化することができる。これにより、遠隔監視機能の適正な利用を実現することが可能となる。
実施の形態1のエレベーター監視システムの例を示す図である。 入出力インターフェースの機能を示すブロック図である。 エレベーター制御装置の記憶装置の例を示すブロック図である。 エレベーター監視システムの復号化処理及び暗号化処理の動作を示す動作シーケンス図である。 エレベーター監視システムが復号化処理及び暗号化処理を実行する制御ルーチンを示すフローチャートである。 エレベーター監視システムが復号化処理及び暗号化処理を実行する制御ルーチンを示すフローチャートである。 エレベーター制御装置のハードウェア資源の変形例を示す図である。 実施の形態2におけるエレベーター監視システムにおいて実行される制御ルーチンを示すフローチャートである。
 以下、図面を参照して実施の形態について説明する。なお、各図において共通する要素には、同一の符号を付して、重複する説明を省略する。
1.実施の形態1.
1-1.エレベーター監視システムの構成
 図1は、実施の形態1のエレベーター監視システムの例を示す図である。エレベーター監視システム100は、1又は複数の顧客ビル10に個別に設けられるエレベーターの動作を監視センター70から遠隔監視するためのシステムである。顧客ビル10には、エレベーターの制御対象機器20を制御するためのエレベーター制御装置30及び監視装置40が設置される。エレベーター制御装置30及び監視装置40は、通信ネットワーク80を介して監視センター70と接続される。通信ネットワーク80は、電話回線、IP(Internet Protocol)、等を用いることができる。顧客ビル10の立地及び数に限定はない。例えば、監視センター70と接続される顧客ビル10は、監視センター70が設置されている第一国とは異なる第二国に設置されていてもよい。
 制御対象機器20は、エレベーター制御装置30によって制御される機器類である。制御対象機器20には、例えば、エレベーターのかごを駆動する巻上機、かごのドアの開閉を行う開閉装置等が含まれる。エレベーター制御装置30は、エレベーターの制御対象機器20を制御する。エレベーター制御装置30は、プロセッサ32と、記憶装置34と、入出力インターフェース36とを備えている。
 プロセッサ32は、各種処理を実行する。プロセッサ32は、例えばマイクロコンピュータである。記憶装置34には、各種情報が格納される。記憶装置34としては、揮発性メモリ、不揮発性メモリ、等が例示される。プロセッサ32がコンピュータプログラムである制御プログラムを実行することにより、プロセッサ32による各種処理が実行される。制御プログラムは、記憶装置34に格納されている、或いは、コンピュータ読み取り可能な記録媒体に記録されている。
 プロセッサ32は、エレベーターの制御対象機器20の運転を制御する運転制御処理を実行する。具体的には、プロセッサ32は、巻上機の動作、かごのドアの開閉動作、等を制御する。
 また、プロセッサ32は、エレベーターの運転状態を示す監視データを取得する監視制御処理を実行する。監視データは、例えば、エレベーターの制御対象機器20の動作データ又は呼びデータである。動作データは、例えば走行状態、ドアの開閉状態、かご負荷、又はかご位置を含む。呼びデータは、例えばエレベーターの呼び登録、呼びの割り当て、又は呼びへの応答のデータを含む。取得された監視データは、記憶装置34に格納される。
 図2は、入出力インターフェースの機能を示すブロック図である。この図に示すように、入出力インターフェース36は、外部機器との入出力ポートとして、エレベーター機構接続部361と、監視装置接続部362と、保守端末接続部363と、を備えている。エレベーター機構接続部361は、エレベーターの制御対象機器20と接続され、制御対象機器20の運転制御処理のための指令値を送信するとともに、監視制御処理のための監視データを受信する。保守端末接続部363は、保守及び管理のための作業員が所持する保守端末60を接続するためのポートである。監視装置接続部362は、監視装置40が接続されるポートである。
 監視装置40は、エレベーター制御装置30と通信可能に接続されるとともに、通信ネットワーク80を介して監視センター70と通信可能に接続される。また、監視装置40は、エレベーター制御装置30から送信される監視データを受信する。また、監視装置40は、エレベーターに設置された監視カメラの画像データ等、エレベーターの監視に必要な各種データを受信する。監視装置40は、受信したデータに基づいてエレベーターの状態を総合的に監視し、その監視結果を監視情報として監視センター70に定期的に送信する。
 また、監視装置40は、監視センター70に対して定期的にヘルスチェック要求を送信する。ここでのヘルスチェックは、監視装置40が正常に稼働しているか否かの検査である。監視センター70からヘルスチェック応答を受信した場合、監視装置40は、受信したヘルスチェック応答をエレベーター制御装置30に送信する。また、監視センター70から後述する暗号鍵及び復号鍵を受信した場合、監視装置40は、受信した暗号鍵及び復号鍵をエレベーター制御装置30に送信する。
 監視センター70は、1又は複数の顧客ビル10に設置されているエレベーターを、顧客とのエレベーター保守契約に基づき遠隔監視する。監視センター70は、遠隔監視サーバー72と、記憶装置74と、通信装置76とを備える。遠隔監視サーバー72は、監視装置40から送信されたヘルスチェック要求に応じてヘルスチェック応答を生成する。また、遠隔監視サーバー72は、監視装置40から送信された後述する復号鍵要求に応じて復号鍵及び暗号鍵を生成する。
 記憶装置74は、監視装置40から受信した各種データを格納する。また、記憶装置74は、遠隔監視サーバー72において生成したヘルスチェック応答、復号鍵及び暗号鍵を格納する。
 通信装置76は、データを送受信する機能を備える。通信装置76は、通信ネットワーク80を介して監視装置40と通信する。
 図3は、エレベーター制御装置30の記憶装置34の例を示すブロック図である。記憶装置34には、制御プログラムとして、基本通信機能341、遠隔監視機能342、及び保守端末機能343が格納されている。また、記憶装置34には、暗号鍵と、上述した監視データとが適宜格納される。
 基本通信機能341は、監視装置40を経由して監視センター70と通信を行うための制御プログラムを含む。基本通信機能341は、暗号化されていない。このため、基本通信機能341は常時利用することができる。エレベーター制御装置30のプロセッサ32は、記憶装置34に格納された基本通信機能341の制御プログラムを実行する。これにより、監視装置40と監視センター70との間の通信が行われる。
 遠隔監視機能342は、エレベーターの監視及び診断を行う監視制御処理のための制御プログラムを含む。遠隔監視機能342は、保守契約に基づく適正な利用を担保するために暗号化されている。このため、エレベーター制御装置30のプロセッサ32は、後述する復号化処理において復号鍵を取得し、遠隔監視機能342を復号する。そして、エレベーター制御装置30のプロセッサ32は、遠隔監視機能342の制御プログラムを実行することにより、監視制御処理を実行する。
 保守端末機能343は、保守端末60とデータの送受を行うための制御プログラムを含む。保守端末機能343は暗号化されていない。このため、保守端末機能343は、保守端末60の接続中において基本的に常時利用することができる。エレベーター制御装置30のプロセッサ32は、保守端末機能343の制御プログラムを実行することにより、保守端末機能343との間でデータの送受を行う。
 暗号鍵は、復号化された遠隔監視機能342を再度暗号化するためのものである。暗号鍵は、監視センター70の遠隔監視サーバー72において生成され、復号鍵とともにエレベーター制御装置30に送信される。受信した暗号鍵は、記憶装置34に格納され、後述する暗号化処理時に読み出される。
1-2.エレベーター監視システムの動作
 次に、エレベーター監視システム100を利用したエレベーター監視方法について説明する。上述したように、遠隔監視機能342は予め暗号化されている。そこで、エレベーター監視システム100は、保守契約に基づいて監視装置40がエレベーター制御装置30に適正に接続された場合に、復号鍵を用いて遠隔監視機能342を復号化する復号化処理を実行する。また、復号化された遠隔監視機能342の目的外利用を防ぐため、エレベーター監視システム100は、予め定められた暗号化条件が成立した場合、遠隔監視機能342を再度暗号化する暗号化処理を実行する。
 図4は、エレベーター監視システムの復号化処理及び暗号化処理の動作を示す動作シーケンス図である。また、図5及び図6は、エレベーター監視システムが復号化処理及び暗号化処理を実行する制御ルーチンを示すフローチャートである。以下、図4も参照しながら、図5及び図6に示す制御ルーチンの具体的処理について説明する。
 図5に示す制御ルーチンのステップS100では、先ず、エレベーター制御装置30は、監視装置40が接続されたか否かを判定する。その結果、監視装置40がエレベーター制御装置30に接続されていない場合、判定が成立するまでステップS100の処理が繰り返し実行される。ステップS100において、判定の成立が認められると、処理は次のステップS102に進む。
 ステップS102では、エレベーター制御装置30は、遠隔監視機能342が暗号化されているか否かを判定する。その結果、遠隔監視機能342が暗号化されていない場合、復号化処理は不要であると判断されて、処理は図6に示す制御ルーチンのステップS112へ移行する。一方、遠隔監視機能342が暗号化されている場合、ステップS104からステップS110に示す復号化処理に進む。
 先ず、ステップS104では、エレベーター制御装置30から監視装置40に対して、遠隔監視機能342を復号するための復号鍵を要求する。指示を受けた監視装置40は、監視センター70に対して復号鍵を要求する。監視センター70は、受信した復号鍵要求が保守契約に基づく適切な要求であるかを確認した上で、復号鍵を生成して監視装置40に送信する。また、この際、監視センター70は、遠隔監視機能342を再度暗号化するための暗号鍵を生成し、復号鍵とともに監視装置40に送信する。復号鍵及び暗号鍵を受信した監視装置40は、受信した復号鍵及び暗号鍵を更にエレベーター制御装置30へと送信する。
 次のステップS106では、エレベーター制御装置30が復号鍵及び暗号鍵を受信したか否かが判定される。その結果、エレベーター制御装置30が復号鍵及び暗号鍵を受信していない場合、当該復号鍵及び暗号鍵を受信するまでステップS106の処理が繰り返し実行される。ステップS106において、判定の成立が認められると、処理は次のステップS108に進む。
 ステップS108では、エレベーター制御装置30は、受信した復号鍵を用いて遠隔監視機能342の制御プログラムを復号化する。次のステップS110では、エレベーター制御装置30は、受信した暗号鍵を記憶装置34に格納する。ステップS110の処理が終了すると、復号化処理は終了されて、処理は図6に示す制御ルーチンのステップS112からステップS122に示す暗号化処理に進む。
 ステップS112では、エレベーター制御装置30は、寿命タイマーを開始させる。寿命タイマーは、復号化した遠隔監視機能342の有効時間を設定したタイマーである。次のステップS114では、エレベーター制御装置30は、遠隔監視機能342の制御プログラムを実行することにより、監視制御処理を実行する。
 次のステップS116では、エレベーター制御装置30は、ヘルスチェックを受信したか否かを判定する。監視装置40は、監視センター70に対して定期的に、例えば一日一回、ヘルスチェック要求を送信している。ヘルスチェック要求を受けた監視センター70は、ヘルスチェック応答を監視装置40に送信する。ヘルスチェック応答を受信した監視装置40は、受信したヘルスチェック応答を制御装置に送信する。
 ステップS116において、エレベーター制御装置30がヘルスチェックを受信した場合、エレベーター制御装置30と監視センター70との間の通信状態が正常であると判断することができる。この場合、処理は再びステップS112に戻り、再度寿命タイマーがリセットされて初期値であるゼロ(0)から開始される。この処理は「初期化処理」とも呼ばれる。初期化処理によって、復号化した遠隔監視機能342の有効時間が更新される。
 一方、ステップS116において、エレベーター制御装置30がヘルスチェックを受信していない場合、次のステップS118に進む。ステップS118では、暗号化条件の成立が判定される。ここでの暗号化条件は、寿命タイマーがタイムアウトしたときに成立する条件である。エレベーター制御装置30は、寿命タイマーによってカウントされる連続時間が予め規定された規定時間に到達したか否かを判定する。なお、規定時間は、少なくともヘルスチェック要求の送信間隔よりも長い時間とされる。
 ステップS118において、寿命タイマーがタイムアウトしていない場合、暗号化条件の不成立が判定され、処理は再びステップS114に戻り、監視制御処理が継続して実行される。一方、ステップS118において、寿命タイマーがタイムアウトした場合、ヘルスチェック要求に対するヘルスチェック応答を受信していないと判断することができる。このような状況は、例えば、監視装置40の接続がエレベーター制御装置30から切断される等によって、監視装置40とエレベーター制御装置30との間の通信が不通である場合、監視装置40と監視センター70との間の通信が不通である場合等が考えられる。このような場合、復号化した遠隔監視機能342が適正に使用されない可能性があるとして暗号化条件の成立が判定され、次のステップS120に進む。
 ステップS120では、エレベーター制御装置30は、記憶装置34に格納されている暗号鍵を用いて遠隔監視機能342の制御プログラムを暗号化する。次のステップS122では、エレベーター制御装置30は、記憶装置34に格納されている暗号鍵を削除する。
 以上のような復号化処理によれば、監視センター70から取得する復号鍵を用いて遠隔監視機能342の復号化が行われる。これにより、監視センター70を介在しないで遠隔監視機能342を利用することを防ぐことができる。また、暗号化処理によれば、エレベーター制御装置30が監視センター70から送信されるヘルスチェックを受信できない場合に、遠隔監視機能342の暗号化が行われた上で暗号鍵が削除される。これにより、監視装置40又は監視センター70との通信が切断された状態で遠隔監視機能342が継続利用されることを防ぐことができる。
 また、本実施の形態の暗号化処理によれば、遠隔監視機能342は記憶装置34から削除されない。このため、例えば停電等によって監視センター70と監視装置40との通信が長時間遮断された場合、遠隔監視機能342は削除されずに暗号化される。これにより、意図しない遠隔監視機能342の停止に対して、遠隔監視機能342を記憶装置34に再度格納するような手間をかけることなく、遠隔監視機能342を容易に復帰させることができる。
1-3.実施の形態1の変形例
 実施の形態1のエレベーター監視システム100は、以下のように変形した態様を適用してもよい。
1-3-1.監視装置40
 本実施の形態において、監視装置40の機能の一部または全部は、エレベーター制御装置30に配置されていてもよい。また、エレベーター制御装置30の機能の一部が、監視装置40に配置されていてもよい。
1-3-2.エレベーター制御装置30
 図7は、エレベーター制御装置のハードウェア資源の変形例を示す図である。図7に示す例では、エレベーター制御装置30は、例えばプロセッサ32、記憶装置34、及び専用ハードウェア35を含む処理回路31を備える。図7は、エレベーター制御装置30が有する機能の一部を専用ハードウェア35によって実現する例を示す。エレベーター制御装置30が有する機能の全部を専用ハードウェア35によって実現しても良い。専用ハードウェア35として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又はこれらの組み合わせを採用できる。なお、上述のエレベーター制御装置30の変形例は、後述する実施の形態2のエレベーター監視システムに対しても適用することができる。
実施の形態2.
2-1.エレベーター監視システムのシステム構成
 実施の形態2のエレベーター監視システムは、実施の形態1のエレベーター監視システム100と同様のシステム構成を有している。実施の形態2のエレベーター監視システムのシステム構成は、実施の形態1の説明を参照することとし、ここではその説明を省略する。
2-2.実施の形態2のエレベーター監視システムの特徴
 保守端末60を用いた作業員による保守作業は、監視センター70との通信が切断されている状況でも実行できることが好ましい。そこで、記憶装置34に格納されている保守端末機能343の制御プログラムは、監視センター70が生成した暗号鍵による暗号化がなされていない。このため、入出力インターフェース36の保守端末接続部363は、保守契約外の用途に利用されるおそれ又は保守契約の解除後に利用されるおそれがある。
 そこで、実施の形態2のエレベーター監視システムでは、エレベーター制御装置30は、保守端末60が入出力インターフェース36の保守端末接続部363に連続して接続されている連続接続時間をカウントする。例えば、そして、カウントした連続接続時間が予め規定した規定接続時間に到達した場合、エレベーター制御装置30は、接続された保守端末60との通信を制限する通信制限処理を実行する。ここでの規定接続時間は、保守端末60を接続して通常の保守作業を行う際に要する接続時間よりも長い時間に設定される。また、ここでの通信制限処理は、保守端末60からのデータ送受要求に対して応答しないことにより保守端末60へのデータ送受を停止する処理、或いは保守端末60に対して意図的に大量のデータ送信を行うことにより保守端末60からのデータ送受を制限する処理、等が例示される。
 また、エレベーター制御装置30は、通信制限処理を実行してからの経過時間をカウントする。以下の説明では、この時間を「制限時間」と称する。そして、エレベーター制御装置30は、カウントした制限時間が予め規定した規定制限時間に到達した場合、エレベーター制御装置30は、実行している通信制限処理を終了する。
 以上のような通信制限処理によれば、保守端末接続部363からの不適切なデータ通信を制限することができる。また、通信制限処理は、規定制限時間の経過によって終了するため、保守端末60の適切な利用に対して通信制限処理が行われた場合の救済の余地を残すことができる。
2-3.実施の形態2のエレベーター監視システムの具体的処理
 図8は、実施の形態2におけるエレベーター監視システムにおいて実行される制御ルーチンを示すフローチャートである。図8に示す制御ルーチンは、予め定められた制御周期で繰り返し実行される。図8に示す制御ルーチンのステップS130では、エレベーター制御装置30は、保守端末60が入出力インターフェース36の保守端末接続部363に接続されたか否かを判定する。その結果、判定が成立しない場合、本ルーチンは終了される。一方、ステップS130において判定が成立した場合、処理は次のステップS132に進む。
 ステップS132では、エレベーター制御装置30は、監視タイマーを開始させる。ここでの監視タイマーは、保守端末機能343を利用した保守端末処理の有効時間を設定するためのタイマーである。次のステップS134では、エレベーター制御装置30は、保守端末機能343の制御プログラムを実行することにより、保守端末処理を実行する。
 次のステップS136では、エレベーター制御装置30は、保守端末60が入出力インターフェース36の保守端末接続部363から切断されたか否かを判定する。その結果、判定が成立した場合、本ルーチンは終了される。一方、ステップS136において、判定が成立しない場合、次のステップS138に進む。
 ステップS138では、エレベーター制御装置30は、監視タイマーがタイムアウトしたか否かを判定する。ここでは、エレベーター制御装置30は、監視タイマーによって計測される連続接続時間が規定接続時間に到達したか否かを判定する。その結果、監視タイマーが未だタイムアウトしていない場合、処理は再びステップS134に戻り、保守端末処理が実行される。
 一方、ステップS138において監視タイマーがタイムアウトした場合、保守端末60が保守以外の用途で連続して接続されている可能性があると判断することができる。このような状況は、例えば、保守端末60が保守端末接続部363からエレベーターの監視データを常時読み出している等の利用形態が考えられる。このような場合、保守端末60との通信を制限する必要があると判断されて、次のステップS140に進む。
 ステップS140では、エレベーター制御装置30は、制限タイマーを開始させる。ここでの制限タイマーは、通信制限処理が実行されてからの経過時間である制限時間を計測するためのタイマーである。次のステップS142では、通信制限処理が実行される。次のステップS144では、エレベーター制御装置30は、制限タイマーがタイムアウトしたか否かを判定する。ここでは、制限タイマーによって計測された制限時間が規定制限時間に到達したか否かを判定する。ステップS144の判定が成立しない場合、処理はステップS142に戻る。つまり、エレベーター制御装置30は、ステップS144の判定が成立するまで通信制限処理を繰り返し実行する。一方、ステップS144において判定が成立した場合、通信制限処理は終了されて、本ルーチンは終了される。
 以上のように構成されたエレベーター監視システムによれば、保守端末60が規定接続時間を越えて保守端末接続部363からデータの送受を行うことを防ぐことができる。
 10 顧客ビル、 20 制御対象機器、 30 エレベーター制御装置、 31 処理回路、 32 プロセッサ、 34 記憶装置、 35 専用ハードウェア、 36 入出力インターフェース、 40 監視装置、 60 保守端末、 70 監視センター、 72 遠隔監視サーバー、 74 記憶装置、 76 通信装置、 80 通信ネットワーク、 100 エレベーター監視システム、 341 基本通信機能、 342 遠隔監視機能、 343 保守端末機能、 361 エレベーター機構接続部、 362 監視装置接続部、 363 保守端末接続部

Claims (16)

  1.  エレベーターを遠隔監視する遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置であって、
     前記エレベーター制御装置は、
     前記エレベーターの監視を行う監視制御処理を行うプロセッサと、
     前記エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、前記監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、
     を備え、
     前記遠隔監視機能は暗号化されて前記記憶装置に格納され、
     前記プロセッサは、
     前記通信機能を用いて前記遠隔監視機能の復号鍵を前記遠隔監視サーバーから受信し、
     前記復号鍵を用いて前記遠隔監視機能を復号し、
     前記監視制御処理を実行する
     ように構成されるエレベーター制御装置。
  2.  前記通信機能を用いて前記復号鍵を前記遠隔監視サーバーから受信する場合、プロセッサは、
     復号化された前記遠隔監視機能を再度暗号化するための暗号鍵を受信し、
     受信した前記暗号鍵を前記記憶装置に格納し、
     予め定められた暗号化条件が成立した場合、前記プロセッサは、
     前記暗号鍵を用いて前記遠隔監視機能を暗号化し、
     前記暗号鍵を削除する
     ように構成される請求項1に記載のエレベーター制御装置。
  3.  前記暗号化条件は、前記遠隔監視サーバーからの応答を受信することなく経過した連続時間が予め規定された規定時間に達した場合に成立する条件である請求項2に記載のエレベーター制御装置。
  4.  前記遠隔監視サーバーからの応答は、定期的に実施されるヘルスチェック要求に対する応答である請求項3に記載のエレベーター制御装置。
  5.  前記復号鍵を用いて前記遠隔監視機能を復号した場合、前記プロセッサは、タイマーによって前記連続時間のカウントを開始し、カウントされた前記連続時間が前記規定時間に達した場合、前記暗号化条件の成立を判定し、
     前記通信機能を用いて前記遠隔監視サーバーからの応答を受信した場合、前記タイマーを初期値にリセットする初期化処理を行う
     ように構成される請求項3又は請求項4に記載のエレベーター制御装置。
  6.  前記エレベーター制御装置は、前記保守端末を接続するための保守端末接続部を含み、
     前記保守端末機能は暗号化されずに前記記憶装置に格納され、
     前記保守端末が連続して接続されている連続接続時間が予め規定された規定接続時間に達した場合、前記プロセッサは、前記保守端末との通信を制限する通信制限処理を実行する
     ように構成される請求項1から請求項5の何れか1項に記載のエレベーター制御装置。
  7.  前記通信制限処理は、前記保守端末へのデータの送受を停止する処理である請求項6に記載のエレベーター制御装置。
  8.  前記通信制限処理が開始されてからの経過時間が予め規定された規定制限時間が経過した場合、前記プロセッサは、前記通信制限処理を終了する
     ように構成される請求項6又は請求項7に記載のエレベーター制御装置。
  9.  前記エレベーター制御装置に接続されることにより、少なくとも前記通信機能の一部を担う監視装置と、を更に備え、
     前記監視装置が前記エレベーター制御装置と接続された場合、前記プロセッサは、前記監視装置の前記通信機能を用いて復号鍵要求を前記遠隔監視サーバーへ送信し、
     前記復号鍵要求を受けて生成された前記復号鍵を前記遠隔監視サーバーから受信する
     ように構成される請求項1から請求項8の何れか1項に記載のエレベーター制御装置。
  10.  エレベーターの遠隔監視を行う遠隔監視サーバーと、前記遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムであって、
     前記エレベーター制御装置は、
     前記エレベーターの監視制御処理を行うプロセッサと、
     前記エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、前記監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、
     を備え、
     前記遠隔監視機能は暗号化されて前記記憶装置に格納され、
     前記遠隔監視サーバーは、
     前記エレベーター制御装置から送信される前記遠隔監視機能の復号鍵の要求を受けて、前記復号鍵を前記エレベーター制御装置へ送信し、
     前記プロセッサは、
     前記通信機能を用いて前記復号鍵を前記遠隔監視サーバーから受信し、
     前記復号鍵を用いて前記遠隔監視機能を復号し、
     前記監視制御処理を実行する
     ように構成されるエレベーター監視システム。
  11.  前記遠隔監視サーバーは、
     前記復号鍵の要求を受けて、復号化された前記遠隔監視機能を再度暗号化するための暗号鍵を前記エレベーター制御装置へ送信し、
     前記プロセッサは、
     前記通信機能を用いて前記暗号鍵を前記遠隔監視サーバーから受信し、
     前記暗号鍵を前記記憶装置へ格納する
     ように構成される請求項10に記載のエレベーター監視システム。
  12.  予め定められた暗号化条件が成立した場合、前記プロセッサは、
     前記暗号鍵を用いて前記遠隔監視機能を暗号化し、
     前記暗号鍵を削除する
     ように構成される請求項11に記載のエレベーター監視システム。
  13.  前記暗号化条件は、前記遠隔監視サーバーからの応答を受信することなく経過した連続時間が予め規定された規定時間に達した場合に成立する条件である請求項12に記載のエレベーター監視システム。
  14.  前記遠隔監視サーバーからの応答は、定期的に実施されるヘルスチェック要求に対する応答である請求項13に記載のエレベーター監視システム。
  15.  前記復号鍵を用いて前記遠隔監視機能を復号した場合、前記プロセッサは、タイマーによって前記連続時間のカウントを開始し、カウントされた前記連続時間が前記規定時間に達した場合、前記暗号化条件の成立を判定し、
     前記通信機能を用いて前記遠隔監視サーバーからの応答を受信した場合、前記タイマーを初期値にリセットする初期化処理を行う
     ように構成される請求項13又は請求項14に記載のエレベーター監視システム。
  16.  エレベーターの遠隔監視を行う遠隔監視サーバーと、前記遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムを利用したエレベーター監視方法であって、
     前記エレベーター制御装置には、前記エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、前記エレベーターの監視制御処理を行うための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納され、
     前記遠隔監視機能は暗号化されて格納され、
     前記エレベーター制御装置が暗号化された前記遠隔監視機能を用いて前記監視制御処理を実行する場合、前記エレベーター監視方法は、
     前記エレベーター制御装置から前記遠隔監視サーバーに対して前記遠隔監視機能の復号鍵を要求し、
     前記遠隔監視サーバーが前記復号鍵を生成し、
     前記エレベーター制御装置が前記遠隔監視サーバーから送信された前記復号鍵を受信し、
     前記エレベーター制御装置が前記復号鍵を用いて前記遠隔監視機能を復号し、
     前記エレベーター制御装置が前記監視制御処理を実行する
     エレベーター監視方法。
PCT/JP2020/024222 2020-06-19 2020-06-19 エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法 WO2021255932A1 (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
PCT/JP2020/024222 WO2021255932A1 (ja) 2020-06-19 2020-06-19 エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法
CN202080102109.XA CN115734930A (zh) 2020-06-19 2020-06-19 电梯控制装置、电梯监视系统以及电梯监视方法
JP2022531232A JP7151941B2 (ja) 2020-06-19 2020-06-19 エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法
US18/010,214 US11945688B2 (en) 2020-06-19 2020-06-19 Elevator control device, elevator monitoring system, and elevator monitoring method with encrypted remote monitoring
KR1020227039435A KR102497834B1 (ko) 2020-06-19 2020-06-19 엘리베이터 제어 장치, 엘리베이터 감시 시스템 및 엘리베이터 감시 방법
DE112020007335.1T DE112020007335T5 (de) 2020-06-19 2020-06-19 Aufzugsteuervorrichtung, Aufzugsüberwachungssystem und Aufzugsüberwachungsverfahren
TW110102268A TWI842975B (zh) 2020-06-19 2021-01-21 升降梯控制裝置、升降梯監視系統以及升降梯監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/024222 WO2021255932A1 (ja) 2020-06-19 2020-06-19 エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法

Publications (1)

Publication Number Publication Date
WO2021255932A1 true WO2021255932A1 (ja) 2021-12-23

Family

ID=79267742

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/024222 WO2021255932A1 (ja) 2020-06-19 2020-06-19 エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法

Country Status (6)

Country Link
US (1) US11945688B2 (ja)
JP (1) JP7151941B2 (ja)
KR (1) KR102497834B1 (ja)
CN (1) CN115734930A (ja)
DE (1) DE112020007335T5 (ja)
WO (1) WO2021255932A1 (ja)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005035759A (ja) * 2003-07-17 2005-02-10 Mitsubishi Electric Corp 昇降機の保守管理システム
WO2005113400A1 (ja) * 2004-05-21 2005-12-01 Mitsubishi Denki Kabushiki Kaisha 昇降機の遠隔監視制御システム
JP2006163508A (ja) * 2004-12-02 2006-06-22 Fujitsu Ltd 情報処理装置
JP2007039166A (ja) * 2005-08-01 2007-02-15 Mitsubishi Electric Corp エレベータの遠隔監視システム
JP2008273732A (ja) * 2007-05-07 2008-11-13 Mitsubishi Electric Building Techno Service Co Ltd エレベータートランク室解錠・施錠制御装置、エレベータートランク室解錠・施錠制御方法及びエレベータートランク室解錠・施錠制御システム
JP2010150016A (ja) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp エレベータの遠隔監視システム
JP2010228907A (ja) * 2009-03-30 2010-10-14 Mitsubishi Electric Building Techno Service Co Ltd エレベーターの保守システム及び保守方法、並びに保守端末装置
CN205087727U (zh) * 2015-10-12 2016-03-16 广州广日电梯工业有限公司 通过识别加密二维码召梯的控制系统
US20190210837A1 (en) * 2018-01-11 2019-07-11 Otis Elevator Company Rescue operation in an elevator system

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004051283A (ja) * 2002-07-18 2004-02-19 Hitachi Ltd エレベーター制御システム
JP2006124119A (ja) * 2004-10-29 2006-05-18 Mitsubishi Electric Corp エレベータの遠隔制御装置
KR100711378B1 (ko) * 2005-11-02 2007-05-02 미쓰비시덴키 가부시키가이샤 승강기의 원격 감시 제어 시스템
RU2496144C2 (ru) 2008-12-18 2013-10-20 Отис Элевэйтор Компани Система контроля доступа и способ управления доступом для системы управления транспортером для перевозки людей
JP5495819B2 (ja) * 2010-01-28 2014-05-21 東芝エレベータ株式会社 エレベータ基板の照合方法
CA2966679A1 (en) * 2014-11-12 2016-05-19 Inventio Ag System and method for monitoring a transport of a passenger transportation device or transport unit
JP5996699B1 (ja) * 2015-03-30 2016-09-21 東芝エレベータ株式会社 エレベータシステム及び無線通信方法
JP6342845B2 (ja) 2015-05-15 2018-06-13 株式会社日立ビルシステム エレベータの監視装置、エレベータの監視システム及びエレベータ制御プログラムの消去方法
JP5976894B1 (ja) * 2015-07-01 2016-08-24 東芝エレベータ株式会社 エレベータの遠隔監視システム及び制御装置
WO2018134110A1 (en) 2017-01-20 2018-07-26 Inventio Ag Method and devices for authenticated controlling of safety relevant actions in a passenger transport system
EP3392191B1 (en) 2017-04-21 2021-06-23 Inventio AG Elevator control system
US11718502B2 (en) 2017-10-27 2023-08-08 Inventio Ag Safety system for building-related passenger transportation system
DE102018211776A1 (de) 2018-07-16 2020-01-16 Vestner Aufzüge GmbH Aufzugsteuerungs- und überwachungssystem
ES2916385T3 (es) 2018-09-21 2022-06-30 Inventio Ag Método y grupo de ascensores configurados para establecer una comunicación de datos segura entre una pluralidad de controladores en cada uno de una pluralidad de ascensores del grupo de ascensores
CN114747178A (zh) * 2019-11-21 2022-07-12 因温特奥股份公司 用于确保计算机网络中的数据通信安全的方法
US11671251B1 (en) * 2019-11-29 2023-06-06 Amazon Technologies, Inc. Application programming interface to generate data key pairs

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005035759A (ja) * 2003-07-17 2005-02-10 Mitsubishi Electric Corp 昇降機の保守管理システム
WO2005113400A1 (ja) * 2004-05-21 2005-12-01 Mitsubishi Denki Kabushiki Kaisha 昇降機の遠隔監視制御システム
JP2006163508A (ja) * 2004-12-02 2006-06-22 Fujitsu Ltd 情報処理装置
JP2007039166A (ja) * 2005-08-01 2007-02-15 Mitsubishi Electric Corp エレベータの遠隔監視システム
JP2008273732A (ja) * 2007-05-07 2008-11-13 Mitsubishi Electric Building Techno Service Co Ltd エレベータートランク室解錠・施錠制御装置、エレベータートランク室解錠・施錠制御方法及びエレベータートランク室解錠・施錠制御システム
JP2010150016A (ja) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp エレベータの遠隔監視システム
JP2010228907A (ja) * 2009-03-30 2010-10-14 Mitsubishi Electric Building Techno Service Co Ltd エレベーターの保守システム及び保守方法、並びに保守端末装置
CN205087727U (zh) * 2015-10-12 2016-03-16 广州广日电梯工业有限公司 通过识别加密二维码召梯的控制系统
US20190210837A1 (en) * 2018-01-11 2019-07-11 Otis Elevator Company Rescue operation in an elevator system

Also Published As

Publication number Publication date
TW202218970A (zh) 2022-05-16
KR102497834B1 (ko) 2023-02-08
US20230192443A1 (en) 2023-06-22
JPWO2021255932A1 (ja) 2021-12-23
US11945688B2 (en) 2024-04-02
JP7151941B2 (ja) 2022-10-12
CN115734930A (zh) 2023-03-03
DE112020007335T5 (de) 2023-04-06
KR20220158080A (ko) 2022-11-29

Similar Documents

Publication Publication Date Title
JP4550704B2 (ja) 通信システム及び通信管理方法
US7640349B2 (en) Systems and methods for providing secure access to household terminals
EP2112806B1 (en) Information collecting system
RU2526754C2 (ru) Система и способ подбора функций управления мобильными устройствами
KR20030083406A (ko) 라디우스 프로토콜의 플로우 제어방법
WO2004107088A3 (en) Home network system
US10044812B2 (en) Communication device, terminal device, and computer program product
US8305625B2 (en) Image forming apparatus, log control method, and program product
WO2020179706A1 (ja) 通信制御装置および通信システム
US7299264B2 (en) System and method for monitoring a connection between a server and a passive client device
EP4097879A1 (en) Network message transmissions reduction systems and methods
WO2021255932A1 (ja) エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法
CN105743925A (zh) 一种数据传输控制方法及视频监控系统
JP4480316B2 (ja) 分散処理システム
JP4437797B2 (ja) ネットワークへの不正接続防止システム及び方法並びにそのプログラム
CN107241332B (zh) 网关权限的处理方法和装置
KR100777537B1 (ko) 분산 네트워크 시스템의 통합관리를 위한 플랫폼 시스템및 통합관리 방법
JP4798286B2 (ja) 通信装置、通信システムおよびアクセス制御方法
JP4788264B2 (ja) 暗号化通信方法および通信装置
US9239769B2 (en) Method for remote maintenance of a device
KR101382605B1 (ko) 단말기 디버그 시리얼 접속 보안 방법
US10742480B2 (en) Network management as a service (MaaS) using reverse session-origination (RSO) tunnel
JP3893055B2 (ja) ネットワークのセキュリティシステム及びそのセキュリティ方法
WO2020179709A1 (ja) 通信制御装置および通信システム
WO2020179708A1 (ja) 通信制御装置および通信システム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20941294

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2022531232

Country of ref document: JP

Kind code of ref document: A

ENP Entry into the national phase

Ref document number: 20227039435

Country of ref document: KR

Kind code of ref document: A

122 Ep: pct application non-entry in european phase

Ref document number: 20941294

Country of ref document: EP

Kind code of ref document: A1