WO2021255932A1 - エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法 - Google Patents

Abstract

エレベーターの監視を行うエレベーター制御装置において、遠隔監視機能の適正な利用を実現する。　エレベーター制御装置は、エレベーターを遠隔監視する遠隔監視サーバーに通信ネットワークを介して接続される。エレベーター制御装置は、エレベーターの監視を行う監視制御処理を行うプロセッサと記憶装置とを備える。記憶装置には、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される。遠隔監視機能は暗号化されて記憶装置に格納される。暗号化された遠隔監視機能を実行する場合、プロセッサは、通信機能を用いて遠隔監視機能の復号鍵を遠隔監視サーバーから受信し、復号鍵を用いて遠隔監視機能を復号し、監視制御処理を実行する。

Description

エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法

　本開示は、エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法に関する。

　エレベーター制御装置には、保守契約に基づくエレベーターの監視及び診断を行うための遠隔監視機能に関する制御プログラムが格納されている場合がある。特許文献１には、遠隔監視機能の適正な利用を実現するため、保守契約期間が終了した場合に制御プログラムを削除するための技術が開示されている。この技術では、保守契約中の制御プログラムの誤消去を防止するため、保守契約期間中に遠隔監視サーバーと最後に通信接続が成立してからの経過時間が第一時間閾値以上となり、且つエレベーター装置に対して最後に作業員が保守作業を行ってからの経過時間が第二閾値以上の場合に、保守作業に用いる制御プログラムを削除する。

日本特開２０１６－２１６１５１号公報

　エレベーター装置の設置されている地域によっては、通信ネットワークの安定性及び緊急時の保守体制に課題がある場合がある。このような地域では、エレベーター装置と遠隔監視サーバーとの通信が意図せずに切断されることも考えられる。上記の技術では、このような場合に遠隔監視機能の制御プログラムの消去条件が成立してしまい、使い勝手が悪いという課題がある。

　本開示は、上述のような課題を解決するためになされたもので、エレベーターの監視を行うエレベーター制御装置において、遠隔監視機能の適正な利用を実現することが可能なエレベーター制御装置、エレベーター監視システム及びエレベーター監視方法を提供することを目的とする。

　本開示は、エレベーターを遠隔監視する遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置に適用される。エレベーター制御装置は、エレベーターの監視を行う監視制御処理を行うプロセッサと、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、を備える。遠隔監視機能は暗号化されて記憶装置に格納される。プロセッサは、通信機能を用いて遠隔監視機能の復号鍵を遠隔監視サーバーから受信し、復号鍵を用いて遠隔監視機能を復号し、監視制御処理を実行するように構成される

　また、本開示は、エレベーターの遠隔監視を行う遠隔監視サーバーと、遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムに適用される。エレベーター制御装置は、エレベーターの監視制御処理を行うプロセッサと、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、を備える。遠隔監視機能は暗号化されて記憶装置に格納される。遠隔監視サーバーは、エレベーター制御装置から送信される遠隔監視機能の復号鍵の要求を受けて、復号鍵をエレベーター制御装置へ送信する。プロセッサは、通信機能を用いて復号鍵を遠隔監視サーバーから受信し、復号鍵を用いて遠隔監視機能を復号し、監視制御処理を実行するように構成される。

　また、本開示は、エレベーターの遠隔監視を行う遠隔監視サーバーと、遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムを利用したエレベーター監視方法に適用される。エレベーター制御装置には、エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、エレベーターの監視制御処理を行うための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される。遠隔監視機能は暗号化されて格納される。エレベーター制御装置が暗号化された遠隔監視機能を用いて監視制御処理を実行する場合、エレベーター監視方法は、エレベーター制御装置から遠隔監視サーバーに対して遠隔監視機能の復号鍵を要求し、遠隔監視サーバーが復号鍵を生成し、エレベーター制御装置が遠隔監視サーバーから送信された復号鍵を受信し、エレベーター制御装置が復号鍵を用いて遠隔監視機能を復号し、エレベーター制御装置が監視制御処理を実行する。

　本開示のエレベーター装置では、遠隔監視機能が暗号化されている。復号化するための復号鍵は遠隔監視サーバーから受信される。このように、本開示のエレベーター装置によれば、遠隔監視サーバーから受信した復号鍵を用いてエレベーター装置の遠隔監視機能を復号化することができる。これにより、遠隔監視機能の適正な利用を実現することが可能となる。

実施の形態１のエレベーター監視システムの例を示す図である。 入出力インターフェースの機能を示すブロック図である。 エレベーター制御装置の記憶装置の例を示すブロック図である。 エレベーター監視システムの復号化処理及び暗号化処理の動作を示す動作シーケンス図である。 エレベーター監視システムが復号化処理及び暗号化処理を実行する制御ルーチンを示すフローチャートである。 エレベーター監視システムが復号化処理及び暗号化処理を実行する制御ルーチンを示すフローチャートである。 エレベーター制御装置のハードウェア資源の変形例を示す図である。 実施の形態２におけるエレベーター監視システムにおいて実行される制御ルーチンを示すフローチャートである。

　以下、図面を参照して実施の形態について説明する。なお、各図において共通する要素には、同一の符号を付して、重複する説明を省略する。

１．実施の形態１．
１－１．エレベーター監視システムの構成
　図１は、実施の形態１のエレベーター監視システムの例を示す図である。エレベーター監視システム１００は、１又は複数の顧客ビル１０に個別に設けられるエレベーターの動作を監視センター７０から遠隔監視するためのシステムである。顧客ビル１０には、エレベーターの制御対象機器２０を制御するためのエレベーター制御装置３０及び監視装置４０が設置される。エレベーター制御装置３０及び監視装置４０は、通信ネットワーク８０を介して監視センター７０と接続される。通信ネットワーク８０は、電話回線、ＩＰ(Internet Protocol)、等を用いることができる。顧客ビル１０の立地及び数に限定はない。例えば、監視センター７０と接続される顧客ビル１０は、監視センター７０が設置されている第一国とは異なる第二国に設置されていてもよい。

　制御対象機器２０は、エレベーター制御装置３０によって制御される機器類である。制御対象機器２０には、例えば、エレベーターのかごを駆動する巻上機、かごのドアの開閉を行う開閉装置等が含まれる。エレベーター制御装置３０は、エレベーターの制御対象機器２０を制御する。エレベーター制御装置３０は、プロセッサ３２と、記憶装置３４と、入出力インターフェース３６とを備えている。

　プロセッサ３２は、各種処理を実行する。プロセッサ３２は、例えばマイクロコンピュータである。記憶装置３４には、各種情報が格納される。記憶装置３４としては、揮発性メモリ、不揮発性メモリ、等が例示される。プロセッサ３２がコンピュータプログラムである制御プログラムを実行することにより、プロセッサ３２による各種処理が実行される。制御プログラムは、記憶装置３４に格納されている、或いは、コンピュータ読み取り可能な記録媒体に記録されている。

　プロセッサ３２は、エレベーターの制御対象機器２０の運転を制御する運転制御処理を実行する。具体的には、プロセッサ３２は、巻上機の動作、かごのドアの開閉動作、等を制御する。

　また、プロセッサ３２は、エレベーターの運転状態を示す監視データを取得する監視制御処理を実行する。監視データは、例えば、エレベーターの制御対象機器２０の動作データ又は呼びデータである。動作データは、例えば走行状態、ドアの開閉状態、かご負荷、又はかご位置を含む。呼びデータは、例えばエレベーターの呼び登録、呼びの割り当て、又は呼びへの応答のデータを含む。取得された監視データは、記憶装置３４に格納される。

　図２は、入出力インターフェースの機能を示すブロック図である。この図に示すように、入出力インターフェース３６は、外部機器との入出力ポートとして、エレベーター機構接続部３６１と、監視装置接続部３６２と、保守端末接続部３６３と、を備えている。エレベーター機構接続部３６１は、エレベーターの制御対象機器２０と接続され、制御対象機器２０の運転制御処理のための指令値を送信するとともに、監視制御処理のための監視データを受信する。保守端末接続部３６３は、保守及び管理のための作業員が所持する保守端末６０を接続するためのポートである。監視装置接続部３６２は、監視装置４０が接続されるポートである。

　監視装置４０は、エレベーター制御装置３０と通信可能に接続されるとともに、通信ネットワーク８０を介して監視センター７０と通信可能に接続される。また、監視装置４０は、エレベーター制御装置３０から送信される監視データを受信する。また、監視装置４０は、エレベーターに設置された監視カメラの画像データ等、エレベーターの監視に必要な各種データを受信する。監視装置４０は、受信したデータに基づいてエレベーターの状態を総合的に監視し、その監視結果を監視情報として監視センター７０に定期的に送信する。

　また、監視装置４０は、監視センター７０に対して定期的にヘルスチェック要求を送信する。ここでのヘルスチェックは、監視装置４０が正常に稼働しているか否かの検査である。監視センター７０からヘルスチェック応答を受信した場合、監視装置４０は、受信したヘルスチェック応答をエレベーター制御装置３０に送信する。また、監視センター７０から後述する暗号鍵及び復号鍵を受信した場合、監視装置４０は、受信した暗号鍵及び復号鍵をエレベーター制御装置３０に送信する。

　監視センター７０は、１又は複数の顧客ビル１０に設置されているエレベーターを、顧客とのエレベーター保守契約に基づき遠隔監視する。監視センター７０は、遠隔監視サーバー７２と、記憶装置７４と、通信装置７６とを備える。遠隔監視サーバー７２は、監視装置４０から送信されたヘルスチェック要求に応じてヘルスチェック応答を生成する。また、遠隔監視サーバー７２は、監視装置４０から送信された後述する復号鍵要求に応じて復号鍵及び暗号鍵を生成する。

　記憶装置７４は、監視装置４０から受信した各種データを格納する。また、記憶装置７４は、遠隔監視サーバー７２において生成したヘルスチェック応答、復号鍵及び暗号鍵を格納する。

　通信装置７６は、データを送受信する機能を備える。通信装置７６は、通信ネットワーク８０を介して監視装置４０と通信する。

　図３は、エレベーター制御装置３０の記憶装置３４の例を示すブロック図である。記憶装置３４には、制御プログラムとして、基本通信機能３４１、遠隔監視機能３４２、及び保守端末機能３４３が格納されている。また、記憶装置３４には、暗号鍵と、上述した監視データとが適宜格納される。

　基本通信機能３４１は、監視装置４０を経由して監視センター７０と通信を行うための制御プログラムを含む。基本通信機能３４１は、暗号化されていない。このため、基本通信機能３４１は常時利用することができる。エレベーター制御装置３０のプロセッサ３２は、記憶装置３４に格納された基本通信機能３４１の制御プログラムを実行する。これにより、監視装置４０と監視センター７０との間の通信が行われる。

　遠隔監視機能３４２は、エレベーターの監視及び診断を行う監視制御処理のための制御プログラムを含む。遠隔監視機能３４２は、保守契約に基づく適正な利用を担保するために暗号化されている。このため、エレベーター制御装置３０のプロセッサ３２は、後述する復号化処理において復号鍵を取得し、遠隔監視機能３４２を復号する。そして、エレベーター制御装置３０のプロセッサ３２は、遠隔監視機能３４２の制御プログラムを実行することにより、監視制御処理を実行する。

　保守端末機能３４３は、保守端末６０とデータの送受を行うための制御プログラムを含む。保守端末機能３４３は暗号化されていない。このため、保守端末機能３４３は、保守端末６０の接続中において基本的に常時利用することができる。エレベーター制御装置３０のプロセッサ３２は、保守端末機能３４３の制御プログラムを実行することにより、保守端末機能３４３との間でデータの送受を行う。

　暗号鍵は、復号化された遠隔監視機能３４２を再度暗号化するためのものである。暗号鍵は、監視センター７０の遠隔監視サーバー７２において生成され、復号鍵とともにエレベーター制御装置３０に送信される。受信した暗号鍵は、記憶装置３４に格納され、後述する暗号化処理時に読み出される。

１－２．エレベーター監視システムの動作
　次に、エレベーター監視システム１００を利用したエレベーター監視方法について説明する。上述したように、遠隔監視機能３４２は予め暗号化されている。そこで、エレベーター監視システム１００は、保守契約に基づいて監視装置４０がエレベーター制御装置３０に適正に接続された場合に、復号鍵を用いて遠隔監視機能３４２を復号化する復号化処理を実行する。また、復号化された遠隔監視機能３４２の目的外利用を防ぐため、エレベーター監視システム１００は、予め定められた暗号化条件が成立した場合、遠隔監視機能３４２を再度暗号化する暗号化処理を実行する。

　図４は、エレベーター監視システムの復号化処理及び暗号化処理の動作を示す動作シーケンス図である。また、図５及び図６は、エレベーター監視システムが復号化処理及び暗号化処理を実行する制御ルーチンを示すフローチャートである。以下、図４も参照しながら、図５及び図６に示す制御ルーチンの具体的処理について説明する。

　図５に示す制御ルーチンのステップＳ１００では、先ず、エレベーター制御装置３０は、監視装置４０が接続されたか否かを判定する。その結果、監視装置４０がエレベーター制御装置３０に接続されていない場合、判定が成立するまでステップＳ１００の処理が繰り返し実行される。ステップＳ１００において、判定の成立が認められると、処理は次のステップＳ１０２に進む。

　ステップＳ１０２では、エレベーター制御装置３０は、遠隔監視機能３４２が暗号化されているか否かを判定する。その結果、遠隔監視機能３４２が暗号化されていない場合、復号化処理は不要であると判断されて、処理は図６に示す制御ルーチンのステップＳ１１２へ移行する。一方、遠隔監視機能３４２が暗号化されている場合、ステップＳ１０４からステップＳ１１０に示す復号化処理に進む。

　先ず、ステップＳ１０４では、エレベーター制御装置３０から監視装置４０に対して、遠隔監視機能３４２を復号するための復号鍵を要求する。指示を受けた監視装置４０は、監視センター７０に対して復号鍵を要求する。監視センター７０は、受信した復号鍵要求が保守契約に基づく適切な要求であるかを確認した上で、復号鍵を生成して監視装置４０に送信する。また、この際、監視センター７０は、遠隔監視機能３４２を再度暗号化するための暗号鍵を生成し、復号鍵とともに監視装置４０に送信する。復号鍵及び暗号鍵を受信した監視装置４０は、受信した復号鍵及び暗号鍵を更にエレベーター制御装置３０へと送信する。

　次のステップＳ１０６では、エレベーター制御装置３０が復号鍵及び暗号鍵を受信したか否かが判定される。その結果、エレベーター制御装置３０が復号鍵及び暗号鍵を受信していない場合、当該復号鍵及び暗号鍵を受信するまでステップＳ１０６の処理が繰り返し実行される。ステップＳ１０６において、判定の成立が認められると、処理は次のステップＳ１０８に進む。

　ステップＳ１０８では、エレベーター制御装置３０は、受信した復号鍵を用いて遠隔監視機能３４２の制御プログラムを復号化する。次のステップＳ１１０では、エレベーター制御装置３０は、受信した暗号鍵を記憶装置３４に格納する。ステップＳ１１０の処理が終了すると、復号化処理は終了されて、処理は図６に示す制御ルーチンのステップＳ１１２からステップＳ１２２に示す暗号化処理に進む。

　ステップＳ１１２では、エレベーター制御装置３０は、寿命タイマーを開始させる。寿命タイマーは、復号化した遠隔監視機能３４２の有効時間を設定したタイマーである。次のステップＳ１１４では、エレベーター制御装置３０は、遠隔監視機能３４２の制御プログラムを実行することにより、監視制御処理を実行する。

　次のステップＳ１１６では、エレベーター制御装置３０は、ヘルスチェックを受信したか否かを判定する。監視装置４０は、監視センター７０に対して定期的に、例えば一日一回、ヘルスチェック要求を送信している。ヘルスチェック要求を受けた監視センター７０は、ヘルスチェック応答を監視装置４０に送信する。ヘルスチェック応答を受信した監視装置４０は、受信したヘルスチェック応答を制御装置に送信する。

　ステップＳ１１６において、エレベーター制御装置３０がヘルスチェックを受信した場合、エレベーター制御装置３０と監視センター７０との間の通信状態が正常であると判断することができる。この場合、処理は再びステップＳ１１２に戻り、再度寿命タイマーがリセットされて初期値であるゼロ（０）から開始される。この処理は「初期化処理」とも呼ばれる。初期化処理によって、復号化した遠隔監視機能３４２の有効時間が更新される。

　一方、ステップＳ１１６において、エレベーター制御装置３０がヘルスチェックを受信していない場合、次のステップＳ１１８に進む。ステップＳ１１８では、暗号化条件の成立が判定される。ここでの暗号化条件は、寿命タイマーがタイムアウトしたときに成立する条件である。エレベーター制御装置３０は、寿命タイマーによってカウントされる連続時間が予め規定された規定時間に到達したか否かを判定する。なお、規定時間は、少なくともヘルスチェック要求の送信間隔よりも長い時間とされる。

　ステップＳ１１８において、寿命タイマーがタイムアウトしていない場合、暗号化条件の不成立が判定され、処理は再びステップＳ１１４に戻り、監視制御処理が継続して実行される。一方、ステップＳ１１８において、寿命タイマーがタイムアウトした場合、ヘルスチェック要求に対するヘルスチェック応答を受信していないと判断することができる。このような状況は、例えば、監視装置４０の接続がエレベーター制御装置３０から切断される等によって、監視装置４０とエレベーター制御装置３０との間の通信が不通である場合、監視装置４０と監視センター７０との間の通信が不通である場合等が考えられる。このような場合、復号化した遠隔監視機能３４２が適正に使用されない可能性があるとして暗号化条件の成立が判定され、次のステップＳ１２０に進む。

　ステップＳ１２０では、エレベーター制御装置３０は、記憶装置３４に格納されている暗号鍵を用いて遠隔監視機能３４２の制御プログラムを暗号化する。次のステップＳ１２２では、エレベーター制御装置３０は、記憶装置３４に格納されている暗号鍵を削除する。

　以上のような復号化処理によれば、監視センター７０から取得する復号鍵を用いて遠隔監視機能３４２の復号化が行われる。これにより、監視センター７０を介在しないで遠隔監視機能３４２を利用することを防ぐことができる。また、暗号化処理によれば、エレベーター制御装置３０が監視センター７０から送信されるヘルスチェックを受信できない場合に、遠隔監視機能３４２の暗号化が行われた上で暗号鍵が削除される。これにより、監視装置４０又は監視センター７０との通信が切断された状態で遠隔監視機能３４２が継続利用されることを防ぐことができる。

　また、本実施の形態の暗号化処理によれば、遠隔監視機能３４２は記憶装置３４から削除されない。このため、例えば停電等によって監視センター７０と監視装置４０との通信が長時間遮断された場合、遠隔監視機能３４２は削除されずに暗号化される。これにより、意図しない遠隔監視機能３４２の停止に対して、遠隔監視機能３４２を記憶装置３４に再度格納するような手間をかけることなく、遠隔監視機能３４２を容易に復帰させることができる。

１－３．実施の形態１の変形例
　実施の形態１のエレベーター監視システム１００は、以下のように変形した態様を適用してもよい。

１－３－１．監視装置４０
　本実施の形態において、監視装置４０の機能の一部または全部は、エレベーター制御装置３０に配置されていてもよい。また、エレベーター制御装置３０の機能の一部が、監視装置４０に配置されていてもよい。
１－３－２．エレベーター制御装置３０
　図７は、エレベーター制御装置のハードウェア資源の変形例を示す図である。図７に示す例では、エレベーター制御装置３０は、例えばプロセッサ３２、記憶装置３４、及び専用ハードウェア３５を含む処理回路３１を備える。図７は、エレベーター制御装置３０が有する機能の一部を専用ハードウェア３５によって実現する例を示す。エレベーター制御装置３０が有する機能の全部を専用ハードウェア３５によって実現しても良い。専用ハードウェア３５として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡ、又はこれらの組み合わせを採用できる。なお、上述のエレベーター制御装置３０の変形例は、後述する実施の形態２のエレベーター監視システムに対しても適用することができる。

実施の形態２．
２－１．エレベーター監視システムのシステム構成
　実施の形態２のエレベーター監視システムは、実施の形態１のエレベーター監視システム１００と同様のシステム構成を有している。実施の形態２のエレベーター監視システムのシステム構成は、実施の形態１の説明を参照することとし、ここではその説明を省略する。

２－２．実施の形態２のエレベーター監視システムの特徴
　保守端末６０を用いた作業員による保守作業は、監視センター７０との通信が切断されている状況でも実行できることが好ましい。そこで、記憶装置３４に格納されている保守端末機能３４３の制御プログラムは、監視センター７０が生成した暗号鍵による暗号化がなされていない。このため、入出力インターフェース３６の保守端末接続部３６３は、保守契約外の用途に利用されるおそれ又は保守契約の解除後に利用されるおそれがある。

　そこで、実施の形態２のエレベーター監視システムでは、エレベーター制御装置３０は、保守端末６０が入出力インターフェース３６の保守端末接続部３６３に連続して接続されている連続接続時間をカウントする。例えば、そして、カウントした連続接続時間が予め規定した規定接続時間に到達した場合、エレベーター制御装置３０は、接続された保守端末６０との通信を制限する通信制限処理を実行する。ここでの規定接続時間は、保守端末６０を接続して通常の保守作業を行う際に要する接続時間よりも長い時間に設定される。また、ここでの通信制限処理は、保守端末６０からのデータ送受要求に対して応答しないことにより保守端末６０へのデータ送受を停止する処理、或いは保守端末６０に対して意図的に大量のデータ送信を行うことにより保守端末６０からのデータ送受を制限する処理、等が例示される。

　また、エレベーター制御装置３０は、通信制限処理を実行してからの経過時間をカウントする。以下の説明では、この時間を「制限時間」と称する。そして、エレベーター制御装置３０は、カウントした制限時間が予め規定した規定制限時間に到達した場合、エレベーター制御装置３０は、実行している通信制限処理を終了する。

　以上のような通信制限処理によれば、保守端末接続部３６３からの不適切なデータ通信を制限することができる。また、通信制限処理は、規定制限時間の経過によって終了するため、保守端末６０の適切な利用に対して通信制限処理が行われた場合の救済の余地を残すことができる。

２－３．実施の形態２のエレベーター監視システムの具体的処理
　図８は、実施の形態２におけるエレベーター監視システムにおいて実行される制御ルーチンを示すフローチャートである。図８に示す制御ルーチンは、予め定められた制御周期で繰り返し実行される。図８に示す制御ルーチンのステップＳ１３０では、エレベーター制御装置３０は、保守端末６０が入出力インターフェース３６の保守端末接続部３６３に接続されたか否かを判定する。その結果、判定が成立しない場合、本ルーチンは終了される。一方、ステップＳ１３０において判定が成立した場合、処理は次のステップＳ１３２に進む。

　ステップＳ１３２では、エレベーター制御装置３０は、監視タイマーを開始させる。ここでの監視タイマーは、保守端末機能３４３を利用した保守端末処理の有効時間を設定するためのタイマーである。次のステップＳ１３４では、エレベーター制御装置３０は、保守端末機能３４３の制御プログラムを実行することにより、保守端末処理を実行する。

　次のステップＳ１３６では、エレベーター制御装置３０は、保守端末６０が入出力インターフェース３６の保守端末接続部３６３から切断されたか否かを判定する。その結果、判定が成立した場合、本ルーチンは終了される。一方、ステップＳ１３６において、判定が成立しない場合、次のステップＳ１３８に進む。

　ステップＳ１３８では、エレベーター制御装置３０は、監視タイマーがタイムアウトしたか否かを判定する。ここでは、エレベーター制御装置３０は、監視タイマーによって計測される連続接続時間が規定接続時間に到達したか否かを判定する。その結果、監視タイマーが未だタイムアウトしていない場合、処理は再びステップＳ１３４に戻り、保守端末処理が実行される。

　一方、ステップＳ１３８において監視タイマーがタイムアウトした場合、保守端末６０が保守以外の用途で連続して接続されている可能性があると判断することができる。このような状況は、例えば、保守端末６０が保守端末接続部３６３からエレベーターの監視データを常時読み出している等の利用形態が考えられる。このような場合、保守端末６０との通信を制限する必要があると判断されて、次のステップＳ１４０に進む。

　ステップＳ１４０では、エレベーター制御装置３０は、制限タイマーを開始させる。ここでの制限タイマーは、通信制限処理が実行されてからの経過時間である制限時間を計測するためのタイマーである。次のステップＳ１４２では、通信制限処理が実行される。次のステップＳ１４４では、エレベーター制御装置３０は、制限タイマーがタイムアウトしたか否かを判定する。ここでは、制限タイマーによって計測された制限時間が規定制限時間に到達したか否かを判定する。ステップＳ１４４の判定が成立しない場合、処理はステップＳ１４２に戻る。つまり、エレベーター制御装置３０は、ステップＳ１４４の判定が成立するまで通信制限処理を繰り返し実行する。一方、ステップＳ１４４において判定が成立した場合、通信制限処理は終了されて、本ルーチンは終了される。

　以上のように構成されたエレベーター監視システムによれば、保守端末６０が規定接続時間を越えて保守端末接続部３６３からデータの送受を行うことを防ぐことができる。

　１０　顧客ビル、　２０　制御対象機器、　３０　エレベーター制御装置、　３１　処理回路、　３２　プロセッサ、　３４　記憶装置、　３５　専用ハードウェア、　３６　入出力インターフェース、　４０　監視装置、　６０　保守端末、　７０　監視センター、　７２　遠隔監視サーバー、　７４　記憶装置、　７６　通信装置、　８０　通信ネットワーク、　１００　エレベーター監視システム、　３４１　基本通信機能、　３４２　遠隔監視機能、　３４３　保守端末機能、　３６１　エレベーター機構接続部、　３６２　監視装置接続部、　３６３　保守端末接続部

Claims (16)

1. 　エレベーターを遠隔監視する遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置であって、
   　前記エレベーター制御装置は、
   　前記エレベーターの監視を行う監視制御処理を行うプロセッサと、
   　前記エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、前記監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、
   　を備え、
   　前記遠隔監視機能は暗号化されて前記記憶装置に格納され、
   　前記プロセッサは、
   　前記通信機能を用いて前記遠隔監視機能の復号鍵を前記遠隔監視サーバーから受信し、
   　前記復号鍵を用いて前記遠隔監視機能を復号し、
   　前記監視制御処理を実行する
   　ように構成されるエレベーター制御装置。
2. 　前記通信機能を用いて前記復号鍵を前記遠隔監視サーバーから受信する場合、プロセッサは、
   　復号化された前記遠隔監視機能を再度暗号化するための暗号鍵を受信し、
   　受信した前記暗号鍵を前記記憶装置に格納し、
   　予め定められた暗号化条件が成立した場合、前記プロセッサは、
   　前記暗号鍵を用いて前記遠隔監視機能を暗号化し、
   　前記暗号鍵を削除する
   　ように構成される請求項１に記載のエレベーター制御装置。
3. 　前記暗号化条件は、前記遠隔監視サーバーからの応答を受信することなく経過した連続時間が予め規定された規定時間に達した場合に成立する条件である請求項２に記載のエレベーター制御装置。
4. 　前記遠隔監視サーバーからの応答は、定期的に実施されるヘルスチェック要求に対する応答である請求項３に記載のエレベーター制御装置。
5. 　前記復号鍵を用いて前記遠隔監視機能を復号した場合、前記プロセッサは、タイマーによって前記連続時間のカウントを開始し、カウントされた前記連続時間が前記規定時間に達した場合、前記暗号化条件の成立を判定し、
   　前記通信機能を用いて前記遠隔監視サーバーからの応答を受信した場合、前記タイマーを初期値にリセットする初期化処理を行う
   　ように構成される請求項３又は請求項４に記載のエレベーター制御装置。
6. 　前記エレベーター制御装置は、前記保守端末を接続するための保守端末接続部を含み、
   　前記保守端末機能は暗号化されずに前記記憶装置に格納され、
   　前記保守端末が連続して接続されている連続接続時間が予め規定された規定接続時間に達した場合、前記プロセッサは、前記保守端末との通信を制限する通信制限処理を実行する
   　ように構成される請求項１から請求項５の何れか１項に記載のエレベーター制御装置。
7. 　前記通信制限処理は、前記保守端末へのデータの送受を停止する処理である請求項６に記載のエレベーター制御装置。
8. 　前記通信制限処理が開始されてからの経過時間が予め規定された規定制限時間が経過した場合、前記プロセッサは、前記通信制限処理を終了する
   　ように構成される請求項６又は請求項７に記載のエレベーター制御装置。
9. 　前記エレベーター制御装置に接続されることにより、少なくとも前記通信機能の一部を担う監視装置と、を更に備え、
   　前記監視装置が前記エレベーター制御装置と接続された場合、前記プロセッサは、前記監視装置の前記通信機能を用いて復号鍵要求を前記遠隔監視サーバーへ送信し、
   　前記復号鍵要求を受けて生成された前記復号鍵を前記遠隔監視サーバーから受信する
   　ように構成される請求項１から請求項８の何れか１項に記載のエレベーター制御装置。
10. 　エレベーターの遠隔監視を行う遠隔監視サーバーと、前記遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムであって、
    　前記エレベーター制御装置は、
    　前記エレベーターの監視制御処理を行うプロセッサと、
    　前記エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、前記監視制御処理のための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納される記憶装置と、
    　を備え、
    　前記遠隔監視機能は暗号化されて前記記憶装置に格納され、
    　前記遠隔監視サーバーは、
    　前記エレベーター制御装置から送信される前記遠隔監視機能の復号鍵の要求を受けて、前記復号鍵を前記エレベーター制御装置へ送信し、
    　前記プロセッサは、
    　前記通信機能を用いて前記復号鍵を前記遠隔監視サーバーから受信し、
    　前記復号鍵を用いて前記遠隔監視機能を復号し、
    　前記監視制御処理を実行する
    　ように構成されるエレベーター監視システム。
11. 　前記遠隔監視サーバーは、
    　前記復号鍵の要求を受けて、復号化された前記遠隔監視機能を再度暗号化するための暗号鍵を前記エレベーター制御装置へ送信し、
    　前記プロセッサは、
    　前記通信機能を用いて前記暗号鍵を前記遠隔監視サーバーから受信し、
    　前記暗号鍵を前記記憶装置へ格納する
    　ように構成される請求項１０に記載のエレベーター監視システム。
12. 　予め定められた暗号化条件が成立した場合、前記プロセッサは、
    　前記暗号鍵を用いて前記遠隔監視機能を暗号化し、
    　前記暗号鍵を削除する
    　ように構成される請求項１１に記載のエレベーター監視システム。
13. 　前記暗号化条件は、前記遠隔監視サーバーからの応答を受信することなく経過した連続時間が予め規定された規定時間に達した場合に成立する条件である請求項１２に記載のエレベーター監視システム。
14. 　前記遠隔監視サーバーからの応答は、定期的に実施されるヘルスチェック要求に対する応答である請求項１３に記載のエレベーター監視システム。
15. 　前記復号鍵を用いて前記遠隔監視機能を復号した場合、前記プロセッサは、タイマーによって前記連続時間のカウントを開始し、カウントされた前記連続時間が前記規定時間に達した場合、前記暗号化条件の成立を判定し、
    　前記通信機能を用いて前記遠隔監視サーバーからの応答を受信した場合、前記タイマーを初期値にリセットする初期化処理を行う
    　ように構成される請求項１３又は請求項１４に記載のエレベーター監視システム。
16. 　エレベーターの遠隔監視を行う遠隔監視サーバーと、前記遠隔監視サーバーに通信ネットワークを介して接続されたエレベーター制御装置と、を有するエレベーター監視システムを利用したエレベーター監視方法であって、
    　前記エレベーター制御装置には、前記エレベーターの遠隔監視サーバーとの通信を行うための制御プログラムが格納された通信機能と、前記エレベーターの監視制御処理を行うための制御プログラムが格納された遠隔監視機能と、保守端末との接続のための制御プログラムが格納された保守端末機能と、が格納され、
    　前記遠隔監視機能は暗号化されて格納され、
    　前記エレベーター制御装置が暗号化された前記遠隔監視機能を用いて前記監視制御処理を実行する場合、前記エレベーター監視方法は、
    　前記エレベーター制御装置から前記遠隔監視サーバーに対して前記遠隔監視機能の復号鍵を要求し、
    　前記遠隔監視サーバーが前記復号鍵を生成し、
    　前記エレベーター制御装置が前記遠隔監視サーバーから送信された前記復号鍵を受信し、
    　前記エレベーター制御装置が前記復号鍵を用いて前記遠隔監視機能を復号し、
    　前記エレベーター制御装置が前記監視制御処理を実行する
    　エレベーター監視方法。

Images