ES2964006T3 - Método para actualizar software relacionado con la seguridad - Google Patents

Método para actualizar software relacionado con la seguridad Download PDF

Info

Publication number
ES2964006T3
ES2964006T3 ES15723205T ES15723205T ES2964006T3 ES 2964006 T3 ES2964006 T3 ES 2964006T3 ES 15723205 T ES15723205 T ES 15723205T ES 15723205 T ES15723205 T ES 15723205T ES 2964006 T3 ES2964006 T3 ES 2964006T3
Authority
ES
Spain
Prior art keywords
software
security
safety
people
related software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15723205T
Other languages
English (en)
Inventor
Frank Kirchhoff
Martin Georg Walter Hnida
Michael Wilke
Hermann Ludwig Lorenz
Peter Herkel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Otis Elevator Co
Original Assignee
Otis Elevator Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Otis Elevator Co filed Critical Otis Elevator Co
Application granted granted Critical
Publication of ES2964006T3 publication Critical patent/ES2964006T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/3407Setting or modification of parameters of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/0087Devices facilitating maintenance, repair or inspection tasks
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/656Updates while running
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23304Download program from host
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24161Use of key, in key is stored access level
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25064Update component configuration to optimize program execution
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2659Elevator

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Indicating And Signalling Devices For Elevators (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)

Abstract

La presente divulgación se refiere a un método (200) para actualizar software relacionado con la seguridad en un sistema de transporte de personas, particularmente en un sistema de ascensor (10), comprendiendo el método: los pasos de proporcionar una versión actualizada del software relacionado con la seguridad (210)); almacenar (230) la versión actualizada del software relacionado con la seguridad en una unidad de seguridad (60) del sistema transportador de personas; activar (240) la versión actualizada del software relacionado con la seguridad, incluyendo el paso de activación operar un interruptor de activación de actualización de software asociado permanentemente con el sistema transportador de personas; y en caso de activación exitosa de la versión actualizada del software relacionado con la seguridad, controlar el funcionamiento del sistema de transporte de personas en base a la versión actualizada del software relacionado con la seguridad (290). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Método para actualizar software relacionado con la seguridad
La presente invención se refiere a un método para actualizar software relacionado con la seguridad en un sistema transportador de personas, particularmente en un sistema de ascensor. La presente invención también se refiere a un sistema transportador de personas, particularmente un sistema de ascensor, que comprende un controlador para controlar el funcionamiento del sistema transportador de personas, el controlador configurado para llevar tal método de actualización de software relacionado con la seguridad.
Los sistemas transportadores de personas están sujetos a requisitos de seguridad particulares. Por lo tanto, el hardware o software usado para controlar el funcionamiento de los transportadores de personas está sujeto en gran parte a condiciones específicas para cumplir con dichos requisitos de seguridad. Existen diferentes niveles de requisitos de integridad de seguridad, dependiendo del grado de relevancia de seguridad de las funciones u operaciones respectivas del sistema transportador de personas controlado. Para una visión general de estos requisitos de seguridad, se hace referencia a las normas internacionales IEC 61508-1 a IEC 61508-3.
Los sistemas de ascensor son un ejemplo particular de un sistema transportador de personas. Un ejemplo adicional serían las escaleras mecánicas o las pasarelas móviles. A continuación, se describirá la invención usando un sistema de ascensor como una realización ejemplar para un sistema transportador de personas, entendiéndose que las consideraciones correspondientes se aplican también con respecto a una escalera mecánica o pasarela móvil.
En los sistemas transportadores de personas, las operaciones críticas para la seguridad se controlan, o al menos se monitorizan, usando sensores y/o dispositivos de conmutación (en adelante denominados simplemente conmutadores de seguridad) conectados a un controlador de seguridad (a continuación también se denomina unidad de seguridad). Los conmutadores de seguridad se usan a menudo en los diversos "puntos de seguridad", en los que se debe monitorizar el estado de los componentes críticos para la seguridad (por ejemplo, la posición de componentes móviles, tal como las puertas) antes de iniciar una acción y, si es necesario, durante el curso de esta acción. En configuraciones típicas, varios de estos conmutadores de seguridad, en particular, se conectan en serie para formar una denominada "cadena de seguridad", para que la acción solo puede iniciarse o continuarse cuando todos los conmutadores de seguridad o, en términos más generales, los dispositivos de conmutación adopten un estado de conmutación predeterminado. Por ejemplo, en el caso de un sistema de ascensor, se debe asegurar que antes del inicio y durante la traslación de la cabina de ascensor, todas las puertas (tanto puertas de la cabina como las puertas de rellano en cada planta) permanezcan cerradas y bloqueadas mecánicamente. Por lo tanto, en general no se permite la traslación de una cabina de ascensor a menos que estén cerrados todos los conmutadores de seguridad en una cadena de seguridad que conecta los respectivos conmutadores de seguridad que monitorizan el estado de cierre de las puertas.
Convencionalmente, en una cadena de seguridad como conmutadores de seguridad se han usado dispositivos de conmutación mecánicos o magnetomecánicos. En la actualidad, en una cadena de seguridad se utilizan dispositivos de conmutación o sensores electrónicos o electromagnéticos, por ejemplo, del tipo descrito en el documento U<s>5487 448 o en el documento EP 0 535 205 B1. Tales dispositivos de sensores o de conmutación electrónicos o electromagnéticos pueden accionarse sin contacto, por ejemplo, acercando o alejando un imán, induciendo o no induciendo así una tensión. Con este tipo de dispositivos de conmutación o sensores, el punto de conmutación es generalmente más fácil de establecer y también permanece estable durante periodos de funcionamiento más largos. Además, las causas de las paradas que son atribuibles en los conmutadores mecánicos a un desgaste de las piezas de contacto y otros componentes móviles ya no son aplicables. Sin embargo, es importante para este tipo de dispositivo de conmutación o sensor comprobar el funcionamiento sin fallos y, además, poder determinar de la manera más simple posible en el caso de una avería qué conmutador en una cadena de seguridad ha conducido a un error funcional e interrumpido la cadena. A diferencia de los conmutadores mecánicos, el estado de conmutación de los dispositivos de conmutación o sensores electrónicos no puede determinarse ópticamente, como es el caso en los conmutadores de seguridad mecánicos típicos. Por lo tanto, típicamente los dispositivos de conmutación o sensor electrónicos, sin contacto y comprobables tienen un sensor y electrónica de control para detectar el estado del conmutador/sensor y alterar este estado para propósitos de prueba. El funcionamiento y el control del correcto funcionamiento de dichos dispositivos de sensor/conmutación electrónicos se realiza mediante procedimientos de control y procedimientos de prueba específicos.
Hoy en día una unidad de seguridad como se describe en esta memoria típicamente implica software para controlar su funcionamiento y para monitorizar el correcto funcionamiento de la unidad y los conmutadores de seguridad conectados. Se han desarrollado protocolos de prueba específicos para probar el funcionamiento sin fallos de los conmutadores de seguridad utilizados en la cadena de seguridad de un transportador de personas. Los procedimientos que determinan cuándo y cómo llevar a cabo tales protocolos de prueba, y cómo evaluar los resultados de los protocolos de prueba son controlados por un software específico relacionado con la seguridad que reside en una unidad de seguridad a la que se conectan los conmutadores de la cadena de seguridad y que controla el funcionamiento y el estado de la cadena de seguridad. Dicho software se certifica para realizar funciones específicas relacionadas con la seguridad. La programación de dicho software relacionado con la seguridad requiere un cuidado extremo, por ejemplo, típicamente cualquier función proporcionada necesita proporcionar redundancia.
Hay un requisito para actualizar dicho software relacionado con la seguridad en un sistema transportador de personas de vez en cuando. Se debe tener cuidado al actualizar dicho software relacionado con la seguridad. Por lo tanto, hasta hoy es el estado de la técnica en el campo de los transportadores de personas actualizar los procedimientos de control o monitorización relacionados con la seguridad reemplazando el hardware correspondiente en el que se implementan estos procedimientos. Esto se aplica incluso en el caso de que estos procedimientos se implementen puramente por software, es decir, una actualización podría realizarse por medio de una mera actualización de software y, en principio, no requeriría ningún cambio en el hardware.
Se aplican restricciones menos severas con respecto a actualizaciones de software no críticas para la seguridad. P. ej. El documento US 2008/0062981 A1 describe un método para modernizar el control de las terminales de planta de despacho de destino en un sistema de ascensor a través de una conexión de radio de campo cercano que se establece cuando un terminal de almacenamiento de datos móvil que contiene la actualización de software se lleva a una proximidad cercana de menos de aproximadamente 30 cm a una terminal de despacho de destino respectiva. Una vez que se establece la comunicación de radio de campo cercano, la actualización de software se transmite desde el terminal de almacenamiento de datos móvil al terminal de despacho de destino. Una vez que el terminal móvil se saca del alcance de campo cercano, la comunicación termina automáticamente, asegurando así que ningún otro terminal se vea afectado por la actualización de software.
El documento US 2014/282458 A1 divulga sistemas y métodos para el aprovisionamiento de equipos de construcción. Un sistema de aprovisionamiento incluye una unidad de control principal que tiene un circuito de procesamiento, un dispositivo de memoria y una interfaz de comunicaciones de datos. El sistema de aprovisionamiento incluye además una unidad de control auxiliar y un dispositivo de almacenamiento de datos portátil. El dispositivo de almacenamiento de datos portátil se separa físicamente de la unidad de control principal y tiene un archivo de actualización almacenado en el mismo. El archivo de actualización incluye una pluralidad de particiones, cada partición incluye datos de aprovisionamiento y metadatos. La unidad de control principal identifica una primera partición del archivo de actualización que contiene los primeros datos de aprovisionamiento para la unidad de control principal y una segunda partición del archivo de actualización que contiene los segundos datos de aprovisionamiento para la unidad de control auxiliar. El circuito de procesamiento se configura para extraer los datos de aprovisionamiento de las particiones identificadas y aplicar los datos de aprovisionamiento extraídos a la unidad de control principal y la unidad de control auxiliar.
El documento US 2009/049441 A1 divulga un sistema de actualización remota para un programa de control de ascensor, que es capaz de realizar secuencialmente la actualización de programas de control de una pluralidad de ascensores con tiempo y costes de comunicación reducidos sin detener la pluralidad de ascensores al mismo tiempo. Un servidor entrega a un ascensor representativo datos de actualización que incluyen información diferencial entre el programa de control de una versión antes de la actualización y el programa de control de la última versión a actualizar a través de una línea de comunicación, y el ascensor representativo y otros ascensores transfieren secuencialmente los datos de actualización según un orden de transferencia predeterminado, y actualizan sus propios programas de control con base en los datos de actualización que incluyen los datos diferenciales.
Sería beneficioso permitir a un técnico actualizar el software relacionado con la seguridad en un sistema transportador de personas, particularmente en un sistema de ascensor, sin tener que reemplazar el hardware.
Las realizaciones descritas en esta memoria proporcionan un método de actualización de software relacionado con la seguridad en un sistema transportador de personas, particularmente en un sistema de ascensor, según la reivindicación independiente 1.
Otras realizaciones se refieren a un sistema transportador de personas, particularmente un sistema de ascensor, que comprende un controlador para controlar el funcionamiento del sistema transportador de personas, el controlador incluye al menos una unidad de seguridad configurada para controlar las funciones relacionadas con la seguridad del sistema transportador de personas, la unidad de seguridad configurada para llevar a cabo el método de actualización de software relacionado con la seguridad descrito en esta memoria.
Otras realizaciones se refieren a un sistema que comprende al menos un servidor de actualización de software y al menos un sistema transportador de personas como se describe en esta memoria. El servidor de software se configura para proporcionar una actualización de software relacionada con seguridad para el sistema transportador de personas. El sistema transportador de personas se configura para recibir la actualización de software relacionada con seguridad desde el servidor de actualización de software a través de una red de datos.
La invención se describirá con más detalle por medio de una realización ejemplar como se muestra en las figuras.
La Figura 1 muestra un sistema de ascensor según una realización;
la Figura 2 muestra un diagrama esquemático de un sistema que incluye un sistema de control de ascensor que comprende una unidad de seguridad según una realización y un sistema de servidor central en comunicación con el sistema de control de ascensor;
la Figura 3 muestra un diagrama de flujo de un método para actualizar software relacionado con la seguridad en la realización mostrada en la Figura 2.
La Figura 1 muestra un sistema de ascensor 10 según una realización en una vista en perspectiva esquemática y simplificada. El sistema de ascensor 10 comprende una cabina 12 y un contrapeso 14 conectado por un miembro de tensión 16 en la configuración de una cuerda o correa (el miembro de tensión 16 solo se indica esquemáticamente en la Figura 1). El miembro de tensión 16 es accionado por un accionador de ascensor, por ejemplo, un accionador de tracción, que no se muestra en la Figura 1, de manera que mueva la cabina 12 y el contrapeso 14 a lo largo de un hueco de elevación 18. Aunque la parte superior del hueco de elevación 18 no se muestra en la Figura 1, el accionador de ascensor se ubica en la parte superior del hueco de elevación por encima del rellano más alto. La cabina de ascensor 12 y el contrapeso 14 se mueven a lo largo de los carriles de guía que tampoco se muestran en la Figura 1. El hueco de elevación 18 tiene una sección transversal esencialmente rectangular y está rodeado por cuatro paredes laterales que se extienden verticalmente, tres de las cuales (pared lateral izquierda 18b, pared lateral derecha 18c, pared trasera 18d) se muestran en la Figura 1. La pared delantera del hueco de elevación se omite en la Figura 1 para mostrar la cabina y el contrapeso. Solo en el rellano más bajo 22 es visible una parte de la pared delantera 18a con una puerta de rellano 20 formada en la pared delantera 18a. No se muestra un panel de operación de sala para introducir llamadas de sala. La pared delantera 18a tendrá una configuración similar en otros rellanos.
A diferencia de los otros rellanos, en el rellano inferior 22 se proporciona una placa de control 24 en la pared delantera 18a del hueco de elevación 18. La placa de control 24 se utiliza para activar un modo de funcionamiento de actualización de software mediante el funcionamiento de un conmutador de activación de actualización de software, como se describe con más detalle a continuación. La placa de control 24 es cerrado por un panel delantero 26 que está bloqueado por sí mismo por una cerradura de llave 28. La cerradura de llave 28 puede abrirse insertando una llave adecuada, por ejemplo una llave triangular, en el agujero de llave de la cerradura de llave 28. Una vez abierto el panel delantero 26, se podrá acceder al conmutador de activación de actualización de software de la placa de control 24 (el conmutador de activación de actualización de software no se muestra en la Figura 1). Alternativamente a la realización mostrada en la Figura 1, la placa de control 24 puede ubicarse en cualquier rellano o en las proximidades del ascensor 10 en otras realizaciones. No se requiere colocar la placa de control 24 en el rellano más bajo. Puede proporcionarse incluso más de una placa de control 24, aunque típicamente una placa de control 24 será suficiente para proporcionar actualizaciones de software de una manera más segura.
En algunas realizaciones, la placa de control 24 puede ser una placa de control separada que proporciona la función de activar el modo de funcionamiento de actualización de software exclusivamente. En otras realizaciones, el conmutador de activación de actualización de software puede incluirse en una placa de control 24 utilizada para proporcionar otras funciones. En un ejemplo, como se muestra en las Figuras 1 a 3, la placa de control 24 se utiliza para la activación de la operación eléctrica de emergencia del ascensor e incluye un conmutador de operación eléctrica de emergencia. El funcionamiento del conmutador de emergencia de operación eléctrica permite controlar el movimiento de la cabina de ascensor 12 manualmente mediante la operación de los respectivos conmutadores o botones de operación manual proporcionados en la placa de control 24. En funcionamiento normal, la placa de control 24 está inactiva.
Como se indica en la realización mostrada en las Figuras 1 a 3, la asistencia de la persona de servicio debe asegurarse cuando se activa el modo de funcionamiento de actualización de software. Esto se consigue requiriendo una secuencia de intervenciones manuales, incluyendo al menos el accionamiento de un conmutador de activación de actualización de software en la placa de control 24. Una vez activado el modo de funcionamiento de actualización de software, la unidad de seguridad 60 buscará actualizaciones de software que estén disponibles en una primera memoria inactiva de una unidad de seguridad 60 de un sistema de control de ascensor 50 cuando la unidad de seguridad se está iniciando después de una orden de arranque o reinicio, como se describe en detalle a continuación.
La Figura 2 muestra un diagrama esquemático de un sistema 150 que incluye un sistema de control de ascensor 50 que comprende una unidad de seguridad 60 según una realización y un sistema de servidor central 100 en comunicación con el sistema de control de ascensor 50. El sistema de control de ascensor 50 comprende un controlador principal 70 para controlar el funcionamiento general de las funciones de ascensor, por ejemplo, el control de las solicitudes de servicio, la iluminación de la cabina y los suelos, las llamadas de emergencia, las funciones generales de seguridad de ascensor, etc. El controlador principal 70 está provisto de información de diversos conmutadores de seguridad provistos en la cabina de ascensor 12 y el hueco de elevación 16, por ejemplo, sensores de posición de cabina que indican la posición de la cabina en el hueco de ascensor, sensores de posición de puerta de rellano que indican el estado de cierre de puertas de rellano, y otros. El controlador principal 70 se provee de energía eléctrica mediante un relé de potencia 72. El sistema de control de ascensor 50 comprende además un controlador de accionamiento 80 para controlar la máquina de accionamiento que acciona la cabina de ascensor 12 así como los frenos que detienen o evitan el movimiento de la cabina. El controlador de accionamiento 80 se provee de energía eléctrica a través de un relé de potencia 82. El sistema de control de ascensor 50 comprende además un controlador de puerta 90 para controlar el accionamiento de puerta de la cabina de ascensor 12 que acciona las puertas de la cabina de ascensor 12 de manera que abra y cierre las puertas de la cabina y las puertas de rellano cuando la cabina 12 se detiene en un rellano. Las puertas de cabina se accionan directamente por el accionador de puerta mientras que las respectivas puertas de rellano se accionan indirectamente a través del movimiento de las puertas de cabina cuando las puertas de cabina se abren o cierran en un rellano. Al controlador de puerta 90 también se le proporciona una señal procedente de un conmutador de seguridad de puerta de cabina que indica el estado de cierre de la puerta de cabina. El controlador de puertas 90 se provee de energía eléctrica a través de un relé de potencia 92.
El controlador principal 70, el controlador de accionamiento 80 y el controlador de puerta 90 están en comunicación con la unidad de seguridad 60. La información sobre el estado de cualquiera de los conmutadores de seguridad asignados al controlador principal 70, controlador de accionamiento 80 y controlador de puerta 90, respectivamente, se comunica a la unidad de seguridad 60 a través de las conexiones de datos respectivas. La unidad de seguridad 60 también puede accionar cualquier accionador de seguridad controlado por el controlador principal 70, el controlador de accionamiento 80 o el controlador de puerta 90. Normalmente, para estos fines se utiliza un sistema de bus. Un sistema de bus popular incluye un sistema de bus de campo serie, por ejemplo, un sistema de bus CAN. La unidad de seguridad 60 realiza una cadena de seguridad eléctrica, como se describe en detalle en esta memoria. A este respecto, la unidad de seguridad 60 recibe información de estado de cualquiera de los conmutadores de seguridad conectados al controlador principal 70, controlador de accionamiento 80 y controlador de puerta 90, respectivamente. La unidad de seguridad 60 evalúa esta información en la configuración de una cadena de seguridad. Generalmente, la unidad de seguridad 60 controla una pluralidad de cadenas de seguridad relevantes con respecto a diferentes subsistemas del sistema de ascensor, respectivamente (por ejemplo, una cadena de seguridad con respecto a la alimentación eléctrica principal del sistema de ascensor, una cadena de seguridad con respecto al accionamiento de una cabina, o una cadena de seguridad con respecto al accionamiento de la puerta de una cabina, etc.). Una cadena de seguridad tiene la configuración de una conexión en serie de todos los conmutadores de seguridad relevantes. En caso de que solo uno de los conmutadores de seguridad en la cadena de seguridad no muestre una información de estado adecuada (por ejemplo, indique un estado de una puerta no completamente cerrada), el estado de ese conmutador de seguridad se considerará abierto. Debido a la conexión en serie de los conmutadores de seguridad en la cadena de seguridad, cualquier cadena de seguridad, incluido ese conmutador de seguridad, se considerará abierta, lo que indica que el sistema de ascensor, o un subsistema del sistema de ascensor respectivo (por ejemplo, el accionamiento de puerta de cabina), se considera que está en una condiciones no seguras. En dicho caso, la unidad de seguridad 60 detendrá el funcionamiento adicional del sistema de ascensor, o del subsistema de ascensor respectivo, hasta que la cadena de seguridad se cierre de nuevo. En particular, la unidad de seguridad 60 puede interrumpir el suministro de energía al controlador relevante para el subsistema de ascensor. Por ejemplo, la unidad de seguridad 60 puede interrumpir la alimentación eléctrica al controlador de accionamiento 80, para detener el movimiento adicional de la cabina, la unidad de seguridad 60 puede interrumpir la alimentación eléctrica al controlador de puerta 90 para detener el movimiento adicional de la puerta de la cabina, y/o la unidad de seguridad 60 puede interrumpir la alimentación eléctrica al controlador principal 70 para apagar completamente el sistema de ascensor.
El funcionamiento de la unidad de seguridad 60 se controla mediante un software de control. El software de control define las cadenas de seguridad individuales o circuitos de seguridad monitorizados por la unidad de seguridad 60. El software de control también proporciona procedimientos de prueba específicos para comprobar el correcto funcionamiento de cada uno de los conmutadores de seguridad en las cadenas de seguridad. Estos procedimientos de prueba se llevan a cabo regularmente por iniciativa de la unidad de seguridad 60. Los procedimientos de control y prueba para la unidad de seguridad 60 son programados por el fabricante del sistema de ascensor y proporcionados a la unidad de seguridad 60 tras la instalación. Los procedimientos de control y prueba para la unidad de seguridad 60 se actualizan de vez en cuando. Estas actualizaciones de software también son programadas por el fabricante del sistema de ascensor y son proporcionadas por una unidad de servidor central 100 del fabricante. La unidad de servidor central 100 reside fuera del sistema de control de ascensor 50 de los sistemas de único ascensor en funcionamiento, por ejemplo, en una instalación de investigación y desarrollo del fabricante del sistema de ascensor 10. Sin embargo, la unidad de servidor central 100 está en comunicación de datos con el sistema de control de ascensor 50. Por ejemplo, en la realización mostrada en la Figura 2, la unidad de seguridad 60 se conecta a la unidad de servidor central 100 a través de una red de datos públicos 120, por ejemplo, Internet. Cualquier actualización de software, incluyendo software relacionado con la seguridad que reside en la unidad de seguridad 60, pero también en cualquier otro controlador relevante 70, 80, 90, se proporciona de una manera centralizada por la unidad de servidor central 100 a cada uno de los sistemas de control de ascensor 50. Particularmente, los sistemas de control 50 de cada uno de estos sistemas de control de ascensor 50 reciben regularmente dichas actualizaciones de software desde la unidad de servidor central 100, ya sea por medio de un mecanismo de empuje instalado en la unidad de servidor 100 (es decir, la unidad de servidor 100 envía regularmente paquetes con actualizaciones de software a los sistemas de control de ascensor 50), o por medio de una consulta ejecutada regularmente para actualizaciones de software iniciadas por los sistemas de control de ascensor 50 a la unidad de servidor central 100. En caso de que estén disponibles nuevas actualizaciones de software en la unidad de servidor 100, estas actualizaciones se descargan en los respectivos sistemas de control de ascensor 50. Sin embargo, al menos en el caso de que las actualizaciones de software se relacionen con procedimientos relacionados con la seguridad, dichas actualizaciones de software no se activan inmediatamente después de que se ha completado la descarga. Más bien, la actualización de software descargada se almacena en una sección de memoria "inactiva" del sistema de control de ascensor respectivo 50 (por ejemplo, en una sección de memoria "inactiva" de la unidad de seguridad 60) que no se usa para ejecutar el control de las operaciones de ascensor. Se requiere un procedimiento de activación específico para poner la actualización de software en servicio, como se describe a continuación.
La Figura 3 muestra un diagrama de flujo de un método 200 de actualización de software relacionado con la seguridad en un sistema como se muestra en la Figura 2. El fabricante del sistema de ascensor (etapa 210) prepara una versión actualizada de software relacionado con la seguridad que se implementará en una unidad de seguridad 60 de un sistema de control de ascensor 50 de la configuración mostrada en la Figura 2 y se proporciona en el ordenador servidor 100 como un paquete de software de actualización para descargar por los respectivos sistemas de control de ascensor 50. Antes de ser liberado para descarga, el paquete de actualización de software se proporciona con una firma digital (etapa 220) de manera que puede ser verificado por el receptor del paquete de actualización de software (sistema de control de ascensor 50, particularmente la unidad de seguridad 60) después de la descarga y antes de la activación del paquete de actualización de software que el paquete de actualización de software fue creado por el fabricante y fue liberado para descarga por el fabricante.
En la etapa 230, el paquete de actualización de software firmado digitalmente es descargado y almacenado por el receptor, es decir, el sistema de control 50 (unidad de seguridad 60) de un sistema de ascensor 10 instalado en un edificio, en una primera sección de memoria, también denominada memoria de descarga. Normalmente, en el caso de software relacionado con la seguridad, el paquete de actualización de software descargado será recibido y almacenado por la unidad de seguridad 60 de ese sistema de control, pero son concebibles otras configuraciones en las que el paquete de actualización de software descargado se almacena temporalmente en alguna otra ubicación hasta que se activa. En la mayoría de los casos, la descarga implicará simplemente una copia del paquete de actualización de software en la memoria de descarga sin ninguna modificación a la misma, pero podría ser concebible aplicar algunas transformaciones de datos al paquete de actualización de software para fines de transmisión (por ejemplo, aplicar algoritmos de empaquetado, algoritmos de cifrado, y similares) como se conoce principalmente en la técnica. Usualmente, el paquete de actualización de software descargado se almacenará en la memoria de descarga esencialmente en la misma forma que ha sido proporcionada por el servidor 100, es decir sin haberse compilado o transformado de otro modo, y con la firma digital aplicada al mismo. En caso de que el paquete de actualización de software se haya proporcionado en forma de código de programa ejecutable, el paquete de actualización de software será principalmente fácilmente ejecutable en la forma en que se almacena en la memoria de descarga del sistema de control de ascensor 50. Sin embargo, la memoria de descarga será una sección de memoria "inactiva" no utilizada por el sistema de control 50 cuando se ejecutan sus programas y procedimientos para controlar el funcionamiento del sistema de ascensor 10. En su lugar, el sistema de control 50 se programará para acceder a la memoria de descarga solo en caso de que existan instrucciones específicas de que parte del software de control debe actualizarse. Típicamente, dicho procedimiento de actualización de software se llevará a cabo después de un reinicio del sistema de control 50, dado que (i) un paquete de actualización de software aún no instalado reside en la memoria de descarga y (ii) al menos en caso de que el paquete de actualización de software se relacione con software relacionado con la seguridad, una activación de ese paquete de actualización de software (como se describe a continuación) se ha completado satisfactoriamente.
Si la descarga del paquete de actualización de software se realizará en línea, por ejemplo, a través de una red de comunicación de datos, o a través de un mecanismo de actualización de software tradicional (que proporciona una portadora de datos, o similar), almacenar el paquete de actualización de software en una sección de memoria inactiva del sistema de control de ascensor 50 garantiza que el paquete de actualización de software no se ejecute todavía siempre que resida en la memoria de descarga exclusivamente.
Una vez completada la activación, el paquete de actualización de software será ejecutado por el sistema de control de ascensor 50. Sin embargo, la activación requiere la asistencia de una persona de servicio, como se describe a continuación.
La activación del paquete de actualización de software que reside en la memoria de descarga se describe como la siguiente etapa 240 después del etapa de descarga 230 en la Figura 3. La activación puede llevarse a cabo mediante cualquier procedimiento que asegure que una persona de servicio esté presente en el sistema de ascensor en el momento de la activación del paquete de actualización de software. Esta etapa se considera importante, porque es necesario que una persona de servicio asista al sistema de ascensor cuando se actualiza el software relacionado con la seguridad, con el fin de poner el sistema de ascensor en una condición segura antes de que se inicie el procedimiento de actualización y también garantizar que el sistema de ascensor permanezca en tal condición segura hasta que el procedimiento de actualización se complete con éxito y se haya verificado que el sistema de control de ascensor 50 funciona correctamente después de la actualización. Existen varias posibilidades de proporcionar una activación segura de un paquete de actualización de software relacionado con la seguridad, como se describe en esta memoria. Según la presente invención, el paquete de actualización de software se descarga en una sección de memoria inactiva en la etapa 230, y se transfiere a una sección de memoria activa solo después de que la etapa de activación 240 se ha completado con éxito.
La asistencia de la persona de servicio durante el procedimiento de activación en la etapa 240 se asegura al requerir una combinación de accionar un conmutador de activación de actualización de software manual asociado de manera fija con el sistema de ascensor y llevar a cabo adicionalmente una secuencia de activación de actualización de software predefinida. El conmutador de activación de actualización de software manual puede incluirse en la placa de control 24, ya sea como un conmutador adicional en ese placa de control, o asignando a la operación de cualquiera de los conmutadores en ese placa de control (o a la operación de cualquier combinación de estos conmutadores) la función adicional de activar una actualización de software relacionado con la seguridad. La secuencia de activación de actualización de software predefinida implica entradas que serán proporcionadas por la persona de servicio al sistema de control de ascensor 50 (particularmente, a la unidad de seguridad 60) a través de una herramienta de servicio. La secuencia de activación de software predefinida es interactiva de modo que el sistema de control de ascensor 50 proporciona información específica a la persona de servicio con respecto a los paquetes de actualización de software disponibles que residen en la memoria de descarga y con respecto a los procedimientos de control específicos que se van a actualizar mediante dichos paquetes de actualización de software, y solicita a la persona de servicio que confirme que se va a efectuar la actualización de software.
Las Figuras 4A y 4B muestran con más detalle las etapas individuales que se van a llevar a cabo en el transcurso de secuencias de activación de actualización de software interactivas a modo de ejemplo según la etapa 240 en la Figura 3. La secuencia de etapas es idéntica según los procedimientos de las Figuras 4A y 4B, excepto por una etapa adicional 2421 en la Figura 4B. La persona de servicio conecta una herramienta de servicio que incluye una pantalla y una herramienta de entrada a la placa de control 24. El procedimiento de activación 240 puede comenzar con un menú principal que se muestra a la persona de servicio y que pregunta si se va a llevar a cabo una actualización de software. En caso de que la persona de servicio introduzca que se va a llevar a cabo una actualización de software en la etapa 2404, la placa de control 24 muestra la versión de software actual en la etapa 2406 junto con una consulta sobre si continuar ("1") o abortar el procedimiento de activación de software ("0"). En caso de que la persona de servicio entre para proceder en la etapa 2408, la versión de software de actualización se muestra en la etapa 2410 junto con una consulta sobre si aceptar la actualización ("1") o si abortar ("0"). En caso de que la persona de servicio entre para proceder en la etapa 2412, la placa de control 24 envía una señal "aceptar" a la unidad de seguridad 60 (etapa 2414). Después de recibir la señal "aceptar" en la etapa 2414, la unidad de seguridad 60 espera a que una ventana de tiempo predefinida reciba en la etapa 2420 una señal de "encendido" que indica que el conmutador de activación de actualización de software se ha encendido en la etapa 2418 (véase la flecha "expectativa de tiempo" en la Fig. 4A y 4B). En caso de que el conmutador de activación de actualización de software no se haya activado después de un lapso de tiempo predeterminado, se aborta el procedimiento de activación de actualización de software.
En la etapa 2416, la pantalla muestra a la persona de servicio que la actualización de software es aceptada y pide iniciar el procedimiento de actualización de software. Después de esta solicitud, la persona de servicio tiene que operar (encender) el conmutador de activación actualizado por software en la etapa 2418. En caso de que el conmutador de activación de actualización de software se encienda en la etapa 2418, se envía una señal correspondiente "conmutador encendido" a la unidad de seguridad 60 y se recibe por la unidad de seguridad en la etapa 2420. La recepción de la señal de "encendido" por la unidad de seguridad 60 en la etapa 2420 es decisiva si se supera o no la expectativa de tiempo. Después de activar el conmutador de activación de actualización de software en la etapa 2418, la persona de servicio tiene que confirmar que el procedimiento de actualización se va a iniciar introduciendo "1" en la etapa 2422 que desencadenará el envío de otra señal de "inicio" a la unidad de seguridad 60. La diferencia de tiempo entre la recepción de la señal de "encendido" (etapa 2420) y la recepción de la señal de "inicio" (etapa 2424) en la unidad de seguridad 60 se detecta de nuevo y se decide si esta diferencia de tiempo está dentro de una expectativa de tiempo adicional. Si este es el caso, el procedimiento de activación de software se inicia y se lleva a cabo hasta la finalización (etapa 2426).
Además, la unidad de seguridad 60 comprueba si la diferencia de tiempo total entre la etapa 2414 (recepción de la señal "aceptar") y la etapa 2414 (recepción de la señal "inicio") está dentro de una diferencia de tiempo esperada, y abortar el proceso de activación de actualización de software en caso de que se exceda la diferencia de tiempo esperada.
En el procedimiento descrito anteriormente con respecto a la Figura 4A, la persona de servicio tiene que saber que primero el conmutador de activación de actualización de software se va a accionar en la etapa 2420, y después el procedimiento de actualización de software se va a iniciar mediante una entrada en la etapa 2422. Alternativamente, esta parte del procedimiento puede llevarse a cabo de manera interactiva, como se muestra en la Figura 4B. Después de accionar el conmutador de activación de software en la etapa 2420, la pantalla pide en la etapa 2421 iniciar el procedimiento de activación de software, seguido por la entrada correspondiente en la etapa 2422.
Además, la activación de actualización de software puede implicar una comprobación de la autenticación de la persona de servicio, por ejemplo, solicitando a la persona de servicio que introduzca un PIN específico o usando características biométricas. De esta manera, el requisito de accionar un conmutador de activación de actualización de software manual asegura la asistencia de una persona de servicio, y además el estado seguro del sistema de ascensor durante el procedimiento de actualización. La secuencia de activación de actualización de software adicional evita una activación no intencionada de la actualización de software por parte de la persona de servicio y además podría asegurar que solo se active realmente un paquete de actualización de software específico seleccionado por el procedimiento de activación, pero confirmado activamente por la persona de servicio.
Después de que se ha completado la etapa 240 con la activación satisfactoria de un procedimiento de actualización con respecto a una versión actualizada del software relacionado con la seguridad almacenado en la memoria de descarga, el sistema de control de ascensor 50 se reinicia en la etapa 250. La Figura 5 indica que el procedimiento de reinicio 250 se inicia solo después de que se haya establecido una marca de actualización en la etapa 242 y la persona de servicio haya confirmado que se va a llevar a cabo un reinicio (etapa 244). Dependiendo del tipo de actualización de software a llevar a cabo, puede ser necesario reiniciar cualquiera de los sistemas de control en el sistema de ascensor 10, es decir, el sistema de control de ascensor 50 en su conjunto (incluyendo, por ejemplo, la unidad de seguridad 60, el control principal 70, el control de accionamiento 80, el control de puerta 90), o puede ser suficiente para reiniciar solo la unidad de seguridad 60. Durante el procedimiento de reinicio, el sistema de control de ascensor 50 reconocerá que el conmutador de activación de actualización de software se ha operado (por ejemplo, comprobando la marca de actualización, como se muestra en el etapa 242 en la Figura 5), y por lo tanto registrará la memoria de descarga para cualquier paquete de actualización de software disponible y activado. Dependiendo de la secuencia de activación de actualización de software, durante el reinicio el sistema de control de ascensor 50 puede considerar cualquier paquete de actualización de software que resida en la memoria de descarga como paquetes de software activados, o puede comprobar cualquier paquete de software que resida en la memoria de descarga para una firma de activación adicional. En caso de que el sistema de control de ascensor 50 detecte al menos un paquete de actualización de software activado en la memoria de descarga, reemplazará el módulo de software correspondiente en su memoria activa ejecutando ese paquete de actualización de software (etapa 280) y ejecutará la versión actualizada del software como se deriva del paquete de actualización de software en el curso de su control adicional (etapa 290).
Antes de copiar realmente la versión actualizada del software relacionado con la seguridad desde la memoria de descarga a la memoria activa en la etapa 280, el sistema de control de ascensor 50 o la unidad de seguridad 60 pueden llevar a cabo etapas adicionales para comprobar la consistencia del paquete de actualización de software almacenado en la memoria de descarga (etapa 260) y para comprobar la autenticidad del paquete de actualización de software almacenado en la memoria de descarga (etapa 270).
La comprobación de consistencia de la versión actualizada del software relacionado con la seguridad se llevará a cabo antes de sobrescribir cualquier versión existente del software relacionado con la seguridad en la sección de memoria activa del sistema de control de ascensor 50 y puede implicar comparar el software o módulos de software instalados en el sistema de control de ascensor 50 con información de cabecera en el paquete de actualización de software almacenado en la memoria de descarga, por ejemplo, para comprobar si el paquete de actualización de software se refiere a una versión más reciente del mismo software o módulo de software que ya está instalado. Como una comprobación de consistencia adicional, el paquete de actualización de software podría incluir una versión cifrada del software que se va a actualizar. El paquete de actualización de software podría cifrarse usando una clave pública asignada al módulo de software particular de software relacionado con la seguridad instalado en el sistema de control de ascensor 50. A continuación, el sistema de control de ascensor 50 puede usar su clave privada correspondiente para descifrar el paquete de actualización de software. Esto asegura que solo un sistema de ascensor 50 que tiene la clave privada correcta correspondiente a la clave pública utilizada para el cifrado puede descifrar la versión actualizada del software relacionado con la seguridad y crear un archivo binario ejecutable.
La comprobación de la autenticidad de la versión actualizada del software relacionado con la seguridad en el contexto del procedimiento de activación, antes de sobrescribir la versión existente del software relacionado con la seguridad en el sistema de control de ascensor de sección de memoria activa 50 se puede llevar a cabo con la ayuda de una firma digital proporcionada al paquete de actualización de software utilizando una clave privada del autor del paquete de actualización de software. La firma digital puede ser verificada por el sistema de control de ascensor 50 usando la clave pública del autor, asegurándose de esta manera que el paquete de actualización de software a ser instalado ha sido escrito por el autor y no ha sido modificado.
La Figura 6 muestra con más detalle los procedimientos llevados a cabo después de la orden de reinicio en la etapa 250, según una realización. Después de que se emite la orden de reinicio en la etapa 250, se comprueba el estado de la marca de actualización en la etapa 252. En caso de que no se haya establecido la marca de actualización 252 (que indica que se va a llevar a cabo un reinicio "normal" sin ninguna actualización de software), el procedimiento avanza a la etapa 300 en la que se comprueba el estado de una marca válida. La marca válida indica si la unidad de seguridad 60 está en un estado válido. Si la marca válida indica que la unidad de seguridad no está en un estado válido, el sistema se detiene inmediatamente (etapa 320). Si la marca válida indica un estado válido, se comprueba la integridad del software que reside en el área de memoria activa de la unidad de seguridad 60 (aplicando una comprobación CRC) en la etapa 310. En caso de que esta comprobación falle, el sistema se detiene (etapa 320). De lo contrario, el sistema funciona iniciando la realización del software que reside en la memoria activa (etapa 290).
En caso de que la marca de actualización de software se establezca en la etapa 252, el procedimiento lleva a cabo el procedimiento de reinicio con una actualización de software. En la etapa 260 se lleva a cabo una comprobación de consistencia de la actualización de software recién descargada aplicando una comprobación CRC al área de memoria pasiva de la unidad de seguridad 60, es decir, el área de memoria donde se almacena el paquete de software descargado, pero aún no instalado. Esta comprobación comprueba principalmente si la descarga ha sido completa y satisfactoria. Si la comprobación de CRC en la etapa 260 falla, la marca de actualización se borra en la etapa 330, y el procedimiento de reinicio continúa sin actualización de software como se ha descrito anteriormente. Si la comprobación CRC en la etapa 260 tiene éxito, el procedimiento continúa con la realización de una comprobación de autenticidad en la etapa 270, por ejemplo, comprobando una firma digital aplicada al paquete de software descargado. Si la comprobación de CRC en la etapa 270 falla, la marca de actualización se borra de nuevo en la etapa 330, y el procedimiento de reinicio continúa sin actualización de software como se ha descrito anteriormente. Si la comprobación en la etapa 270 tiene éxito, la marca válida se borra en la etapa 272 indicando que la versión de software instalada actualmente se considera que ya no es válida, y el paquete de actualización de software descargado se copia desde el área de memoria pasiva al área de memoria activa en la etapa 280. En la etapa 282 se aplica una comprobación CRC adicional al paquete de software recién copiado en el área de memoria activa para asegurar que el procedimiento de copia desde el área de memoria pasiva al área de memoria activa fue exitoso y completo. El procedimiento de copiado se repite hasta que la comprobación de CRC en la etapa 280 tiene éxito. A continuación, la marca de actualización de software se borra en la etapa 330, y el procedimiento de reinicio continúa como se ha descrito anteriormente con la diferencia de que el paquete de software antiguo se ha reemplazado por el paquete de software actualizado.
Las realizaciones descritas anteriormente permiten a un técnico actualizar el software relacionado con la seguridad en un sistema transportador de personas, particularmente en un sistema de ascensor, sin tener que reemplazar el hardware.
Como se sugiere, la actualización del software relacionado con la seguridad en un sistema transportador de personas, particularmente en un sistema de ascensor, puede incluir proporcionar una versión actualizada del software relacionado con la seguridad y almacenar la versión actualizada del software relacionado con la seguridad en una unidad de seguridad del sistema transportador de personas. Una vez almacenada, la versión actualizada del software relacionado con la seguridad puede ser activada al accionar un conmutador de activación de actualización de software permanentemente asociado con el sistema transportador de personas. En caso de activación satisfactoria de la versión actualizada del software relacionado con la seguridad, el control adicional del funcionamiento del sistema transportador de personas se basará en la versión actualizada del software relacionado con la seguridad.
Una unidad de seguridad o controlador de seguridad en el contexto de las realizaciones descritas en esta memoria es un aparato que puede incluir hardware y/o software. La unidad de seguridad recibe señales de entrada suministradas por dispositivos de conmutación o dispositivos sensores (también denominados conmutadores de seguridad), y produce señales de salida de los mismos por medio de combinaciones lógicas y a veces etapas de procesamiento de señales o datos adicionales. Las señales de salida pueden entonces suministrarse a los accionadores, los cuales efectúan acciones o reacciones específicas en el ambiente en función de las señales de entrada.
Una unidad o controlador de seguridad programable permite al usuario definir individualmente las combinaciones lógicas y posiblemente etapas de procesamiento de señales o datos adicionales según sus necesidades utilizando software, lo que se conoce como el programa de usuario de la unidad de seguridad. La programabilidad permite una gran flexibilidad en comparación con soluciones anteriores, en las que las combinaciones lógicas se producían mediante cableado definido entre diversos dispositivos de seguridad. A modo de ejemplo, un programa de usuario puede escribirse usando un ordenador personal (PC) disponible comercialmente y usando programas de software configurados apropiadamente.
Un área de aplicación preferida para una unidad de seguridad o controlador de seguridad de este tipo está en el campo de la seguridad de la máquina para monitorizar situaciones inseguras donde se requiere un corte de energía de emergencia, o donde el funcionamiento de una máquina se va a detener o prevenir. En el caso de un sistema transportador de personas, normalmente el funcionamiento del componente móvil que transporta personas debe detenerse o prevenirse cuando existe el riesgo de que las personas puedan resultar lesionadas por el movimiento de ese componente móvil. Por ejemplo, en un sistema de ascensor, cuando una de las puertas de rellano está abierta, o cuando una de las puertas de cabina no está cerrada correctamente, o cuando la cabina ha activado un conmutador de límite en el hueco de elevación, se produce una señal respectiva que se suministra a la unidad de seguridad como una señal de entrada. En respuesta a ello, la unidad de seguridad evita el movimiento adicional de la cabina, por ejemplo, proporcionando una señal, o usando un accionador, para apagar la máquina de accionamiento.
Por ejemplo, como se describe en los párrafos introductorios de esta divulgación, en sistemas transportadores de personas se ubican conmutadores de seguridad en diversos puntos de seguridad, en los que se debe monitorizar el estado de los componentes críticos para la seguridad (particularmente, la posición de los componentes móviles, tal como, p. ej. las puertas) antes de iniciar una acción y, si es necesario, durante el curso de esta acción. Estos conmutadores de seguridad pueden conectarse en serie para formar una cadena de seguridad de manera que la acción solo puede ser iniciada o continuada cuando todos los conmutadores de seguridad muestran un estado de conmutación predeterminado. Por ejemplo, en el caso de un sistema de ascensor, se debe asegurar que antes del inicio y durante la traslación de la cabina de ascensor, todas las puertas (tanto puertas de cabina como las puertas de rellano en cada planta) permanezcan cerradas y bloqueadas mecánicamente. Por lo tanto, en general no se permite la traslación de una cabina de ascensor a menos que estén cerrados todos los conmutadores de seguridad en una cadena de seguridad que conecta los respectivos conmutadores de seguridad que monitorizan el estado de cierre de las puertas.
En un sistema de ascensor, la unidad de seguridad puede tener una configuración para monitorizar eléctricamente una cadena de seguridad como se usa en ascensores u otros transportadores para asegurar que antes de que la cabina de ascensor arranque, y mientras la cabina se está trasladando, todas las puertas (puertas de cabina y puertas de rellano) están cerradas y permanecen bloqueadas mecánicamente. La cadena de seguridad puede configurarse de tal manera que utilice dispositivos de conmutación accionables sin contacto, como se describe en los documentos US 5487448 y US 6732839, por ejemplo.
Para más detalles sobre conmutadores de seguridad y cadenas de seguridad, se hace referencia a la parte introductoria de esta memoria.
En contraste con un controlador "normal", normalmente se requiere una unidad de seguridad para asegurar siempre un estado seguro de la instalación o máquina que presenta el peligro incluso si se produce un mal funcionamiento en ella o en un dispositivo conectado a ella. Por lo tanto, normalmente se exigen altas exigencias de unidades de seguridad en términos de su propia seguridad frente a fallos, lo que resulta en una complejidad considerable para el desarrollo, fabricación y mantenimiento de unidades de seguridad. A menudo, las unidades de seguridad requieren una aprobación particular por parte de las autoridades de supervisión competentes, como la TUV en Alemania, antes de su utilización. En realizaciones particulares, la unidad de seguridad puede estar obligada a observar las normas de seguridad prescritas establecidas, a modo de ejemplo, en la norma internacional IEC 61508, partes 1 a 3. En el campo de los ascensores, normalmente se requiere una unidad de seguridad eléctrica para cumplir normas específicas, como se establece en la norma europea EN 81-20 (2014), por ejemplo. En el contexto de realizaciones particulares para llevar a cabo actualizaciones de software, puede entenderse que una unidad de seguridad significa un dispositivo o una disposición que cumple al menos la sección 5.11.2, en particular la subsección 5.11.2.6, de la EN 81-20 (2014).
Siguiendo la sugerencia descrita en esta memoria, la versión actualizada del software relacionado con la seguridad puede almacenarse en la unidad de seguridad de una manera automatizada. Sin embargo, la versión actualizada almacenada del software relacionado con la seguridad no estará todavía activa una vez almacenada, incluso en el caso de que la versión actualizada del software relacionado con la seguridad incluya código ejecutable destinado a reemplazar código existente. Aunque dicho código de actualización ejecutable podrá, en principio, ser utilizado por el controlador de la unidad de seguridad o el sistema transportador de personas para llevar a cabo los respectivos procedimientos de control en el sistema transportador de personas, se sugiere que el código de actualización ejecutable permanezca inactivo durante las etapas iniciales después de que el código de actualización se haya almacenado en la unidad de seguridad.
El código de actualización, ya sea que incluya código ejecutable o no, permanecerá inactivo hasta que haya tenido lugar una activación del código de actualización. La activación requiere la presencia de una persona en el sitio de transporte de personas, con el fin de llevar el transportador de personas a un estado seguro y para asegurarse de que el código de actualización se ha almacenado completa y correctamente, y se instala completa y correctamente. Esto se logra por el requisito de que la activación de la versión actualizada del software relacionado con la seguridad requiere el accionamiento de un conmutador de activación de actualización de software asociado de manera permanente o fija al sistema transportador de personas. Estar permanentemente o fijamente asociado con el sistema transportador implica que el conmutador de activación de actualización de software no puede ser retirado del sistema transportador por medios simples, en particular no es retirable sin causar alguna forma de daño o cambio irreversible al sistema transportador de personas. Normalmente, el sistema transportador de personas no puede ponerse en funcionamiento después de que el conmutador de activación de actualización de software se ha eliminado o se ha manipulado de alguna manera.
La presencia de una persona durante el procedimiento de autenticación asegura que una persona - normalmente una persona de servicio - es capaz de monitorizar el proceso de actualización de software adecuadamente. Sin embargo, no se requiere que la persona de servicio esté presente en cada ubicación, donde se requiere una versión actualizada del software relacionado con la seguridad. Más bien, la actualización de software puede proporcionarse en módulos de actualización de software respectivos, y cada módulo de actualización de software puede almacenarse en la unidad de seguridad en las ubicaciones respectivas donde se necesite. Para el propósito de la activación, la persona de servicio puede operar en un ambiente seguro, ya que no se requiere reemplazar hardware, sino más bien la persona de servicio solo necesita accionar el conmutador de activación de actualización de software.
De este modo, se incurre en costes más bajos, ya que no se requiere nuevo hardware. El procedimiento de actualización puede ser fácil y rápido, proporcionando así una mayor disponibilidad del transportador de personas. Se pueden aplicar diversas comprobaciones y procedimientos de control a la versión actualizada del software relacionado con la seguridad antes de que se complete la activación. De este modo, se puede garantizar un proceso de actualización seguro y protegido.
Las realizaciones particulares pueden incluir cualquiera de las siguientes características opcionales, solas o en combinación:
Como se ha descrito anteriormente, la versión actualizada del software relacionado con la seguridad puede almacenarse en la unidad de seguridad como un archivo que incluye código ejecutable. El código ejecutable (también denominado archivo ejecutable o programa ejecutable) pretende ser código que hace que un ordenador o un microprocesador adecuado realice las tareas indicadas según instrucciones codificadas, en contraposición a los datos (archivo de fecha) que deben ser analizados por un programa para que sean significativos para el ordenador o el microprocesador. El código ejecutable se refiere a un programa completamente funcional que puede ejecutarse sin ningún instalador. El código ejecutable comprende principalmente instrucciones de código de máquina para ser ejecutadas por un procesador físico. Sin embargo, en algunas realizaciones, en un sentido más general, un archivo que contiene instrucciones (tales como código de bytes) para un intérprete de software también se puede considerar ejecutable. Incluso un archivo fuente de lenguaje de scripting puede por lo tanto considerarse ejecutable en este sentido. El término código ejecutable se utiliza para describir secuencias de instrucciones ejecutables que no constituyen necesariamente un archivo ejecutable completo. Por ejemplo, el código ejecutable puede hacer referencia a secciones dentro de un programa.
Un ejemplo típico para código no ejecutable sería código fuente que incluye instrucciones que necesitan ser compiladas antes de que puedan ser ejecutadas por un procesador. Una vez compilado, el código fuente ya no está presente, sino que se ha transformado en un conjunto de instrucciones que pueden ser ejecutadas por un microprocesador.
En el contexto de la descarga de software, un programa completamente funcional sin ningún instalador (que sería código ejecutable como se usa en esta memoria) también se denomina a menudo programa binario, o binarios (en oposición al código fuente).
La versión actualizada del software relacionado con la seguridad puede proporcionarse a la unidad de seguridad por cualquier medio. A menudo, descargar dicho software desde el autor a la unidad de seguridad a través de una red de datos será el método de elección. La descarga puede ser iniciada por un servidor en el lado del autor (similar a una transferencia de datos del tipo "push"), o puede ser iniciada en el lado de la unidad de seguridad (es decir, la unidad de seguridad se programa para comprobar el software disponible en un servidor de actualización o similar). Además de cualquier forma de descarga de software desde un servidor, también se pueden usar otras formas de forma más convencional de transferencia de datos, por ejemplo, la provisión de la versión de software actualizada "manualmente" a través de dispositivos de procesamiento de datos móviles o a través de portadoras de datos adecuadas.
En particular, la versión actualizada del software relacionado con la seguridad puede almacenarse en una primera sección de memoria de la unidad de seguridad, la primera sección de memoria es una sección de memoria inactiva. La sección de memoria inactiva tal como se usa en este contexto está destinada a referirse a una memoria, o una sección de memoria, que no está involucrada activamente en ningún procedimiento de control llevado a cabo por la unidad de seguridad en el contexto del control del funcionamiento del ascensor. Los datos almacenados en dicha sección de memoria inactiva no influyen en el control del sistema transportador de personas, particularmente no afectan a ninguna característica de seguridad, incluso en el caso de que el código incluya código de programa ejecutable que podría ser ejecutado directamente por un microprocesador.
En caso de activación satisfactoria de la versión actualizada del software relacionado con la seguridad, una versión existente del software relacionado con la seguridad que reside en una segunda sección de memoria activa de la unidad de seguridad puede ser sobrescrita por la versión actualizada de ese software relacionado con la seguridad. La segunda sección de memoria será una sección de memoria activa de la unidad de seguridad en el sentido de que cualquier código ejecutable almacenado en la segunda sección de memoria influirá en el control de las funciones relacionadas con la seguridad del sistema transportador de personas durante el funcionamiento. Normalmente, el código de programa ejecutable (código binario) se almacenará en la segunda sección de memoria y se ejecutará para controlar las funciones relacionadas con la seguridad del transportador de personas. En caso de que se almacene código no binario en la segunda sección de memoria, dicho código no binario podría convertirse en código ejecutable (binario) antes del inicio de un procedimiento de control (por ejemplo, en el transcurso de un procedimiento de arranque o un procedimiento de reinicio) o mientras se ejecuta el procedimiento de control.
En realizaciones particulares, el funcionamiento del conmutador de activación de actualización de software puede incluir el funcionamiento de un conmutador unido de forma fija a una placa de control asignada permanentemente al sistema transportador de personas. Por lo tanto, el procedimiento de activación no puede llevarse a cabo satisfactoriamente desde cualquier ubicación remota. Más bien, aunque la descarga o almacenamiento de una versión actualizada de software relacionado con la seguridad en la unidad de seguridad puede lograrse de una manera completamente, o al menos ampliamente, automatizada, se requiere la asistencia de una persona, normalmente una persona de servicio, en el sitio del transportador de personas para activar la versión actualizada del software relacionado con la seguridad. No hay posibilidad de completar la activación automáticamente (es decir, sin interacción con una persona que acciona el conmutador de activación), ni es posible que la persona accione el conmutador de activación de actualización de software de forma remota.
Aunque puede ser posible requerir una autorización para personas, de manera que estas personas puedan accionar el conmutador de activación de actualización de software, este no es un requisito particular. En muchos casos, no se requerirá ninguna autorización, de modo que, en principio, cualquiera podría accionar el conmutador de activación de actualización de software. Con el fin de evitar el funcionamiento abusivo del conmutador de activación de actualización de software, normalmente el conmutador de activación de actualización de software se proporcionará de tal manera que sea accesible solo para personas familiarizadas con el funcionamiento del transportador de personas, en particular con sus procedimientos de seguridad. Por ejemplo, el conmutador de activación de actualización de software puede estar incluido en una placa de control, como se proporciona normalmente en un sistema transportador de personas. En un ejemplo, dicha placa de control puede proporcionarse para permitir una operación eléctrica de emergencia de la cabina de ascensor, como se requiere en la mayoría de los códigos de seguridad de ascensor (por ejemplo, sección 5.12.1.6 de la EN 81-20(2014)). Por ejemplo, el funcionamiento del conmutador de activación de actualización de software puede incluir el funcionamiento de al menos un conmutador incluido en dicha placa de control. En la forma más simple, una placa de control convencional también puede incluir la posibilidad de activar actualizaciones de software relacionado con la seguridad al accionar uno, o una combinación de, los conmutadores proporcionados en la placa de control.
En realizaciones particulares, el conmutador de activación de actualización de software puede tener una configuración para ser accionada manualmente por una persona. En una forma más simple, tal conmutador accionado manualmente puede tener la configuración de un conmutador mecánico. Esto asegura que una persona estará presente para activar la versión actualizada del software relacionado con la seguridad, ya que un conmutador accionado manualmente no puede ser accionado remotamente.
Con el fin de evitar el abuso, el conmutador de activación de actualización de software puede no ser accesible libremente por cualquier persona, pero puede proporcionarse de tal manera que se requiere una clave para acceder al conmutador de activación de actualización de software. Por ejemplo, en la mayoría de los sistemas transportadores de personas, se requiere una llave particular (a menudo una llave triangular) para acceder a una tarjeta de control de operación eléctrica de emergencia. La misma clave se puede utilizar para acceder al conmutador de activación de actualización de software. Dicha llave no necesita necesariamente ser asignada a una persona específica, sino que puede ser dada a cualquier persona que cumpla ciertos requisitos (por ejemplo, a cualquier persona que desee llevar a cabo el mantenimiento a un sistema transportador de personas particular).
Con el fin de evitar la activación no intencionada de la actualización de software, la activación de la versión actualizada del software relacionado con la seguridad puede incluir además llevar a cabo un protocolo de operación de activación predefinido. Dicho protocolo de operación de activación se puede iniciar accionando el conmutador de activación de actualización de software. Por ejemplo, el protocolo de operación de activación puede incluir accionar un número específico de conmutadores en una placa de control de activación de software en una secuencia predefinida. Alternativamente, o además, el protocolo de operación de activación puede ser interactivo y por lo tanto requerir alguna forma de diálogo entre la persona y la unidad de seguridad. Una forma de realizar un protocolo de operación de activación interactiva sería mediante la exigencia de que la persona conecte un terminal móvil a la unidad de seguridad y responda a preguntas específicas. Proporcionar un protocolo de operación de activación interactiva permite además la posibilidad de que la persona compruebe las actualizaciones de software disponibles en la unidad de seguridad y confirme que se pretende que un software específico se active antes de que se complete la activación.
La versión de software actualizada puede descargarse desde un ordenador fuente a través de una red de datos, particularmente una red de datos públicos como Internet.
En realizaciones particulares, la versión actualizada del software relacionado con la seguridad puede proporcionarse y almacenarse en la unidad de seguridad como un archivo cifrado. Además, o alternativamente, la versión actualizada del software relacionado con la seguridad puede incluir una firma digital. Aunque tales medidas son particularmente útiles cuando se descarga la versión actualizada del software relacionado con la seguridad a través de una red de datos públicos, también son útiles para formas más convencionales de transferencia de datos. En particular, estas medidas permiten comprobar la autenticidad de la versión actualizada del software relacionado con la seguridad en el contexto del procedimiento de activación, antes de sobrescribir la versión existente del software relacionado con la seguridad en la segunda sección de memoria (activa) de la unidad de seguridad del sistema transportador de personas. Por ejemplo, la comprobación de la autenticidad de la versión de software actualizada puede llevarse a cabo después del accionamiento del conmutador de activación de actualización de software. Además, la comprobación de autenticidad puede llevarse a cabo con la ayuda de una firma digital proporcionada a la versión actualizada del software relacionado con la seguridad utilizando una clave privada del autor de la actualización de software. La firma digital puede ser verificada por el destinatario, es decir, la unidad de seguridad del sistema transportador de personas, utilizando la clave pública del autor, asegurándose de esta manera de que la actualización de software ha sido escrita por el autor y no ha sido modificada.
La activación de la versión actualizada del software relacionado con la seguridad puede incluir además comprobar la consistencia de la versión actualizada del software relacionado con la seguridad. Además, dicha comprobación de consistencia se llevará a cabo antes de sobrescribir la versión existente del software relacionado con la seguridad en la segunda sección de memoria (activa) de la unidad de seguridad del sistema transportador de personas. La consistencia puede comprobarse comparando el software o módulos de software instalados en la unidad de seguridad con la actualización de software, y comprobando si la actualización de software se refiere a una versión más reciente del mismo software o módulo de software instalado en la unidad de seguridad. Una comprobación de consistencia adicional podría ser concebible usando una versión actualizada encriptada del software relacionado con la seguridad, por ejemplo, cada módulo de software relacionado con la seguridad instalado en la unidad de seguridad puede asociarse con una clave privada respectiva. Entonces, en caso de que uno de estos módulos de software deba ser actualizado, la versión actualizada del módulo de software puede ser encriptada por el autor utilizando la clave pública correspondiente de ese módulo de software. La unidad de seguridad puede desencriptar la versión de software actualizada encriptada utilizando la clave privada de ese módulo de software. Esto asegura que solo una unidad de seguridad que tiene la clave privada correcta correspondiente a la clave pública utilizada para el cifrado puede descifrar la versión actualizada del módulo de software con el fin de crear un archivo binario ejecutable.
La comprobación de la consistencia de la versión actualizada del software relacionado con la seguridad puede llevarse a cabo antes de la comprobación de la autenticidad de la versión actualizada del software relacionado con la seguridad. Las realizaciones divulgadas en esta memoria se refieren a un sistema transportador de personas, particularmente un sistema de ascensor, que comprende un controlador para controlar el funcionamiento del sistema transportador de personas, el controlador incluye al menos una unidad de seguridad configurada para controlar las funciones relacionadas con la seguridad del sistema transportador de personas, la unidad de seguridad configurada para llevar a cabo el método de actualización de software relacionado con la seguridad como se ha descrito anteriormente. El sistema transportador de personas particularmente puede incluir al menos un componente móvil para transportar personas entre diferentes rellanos, y el controlador puede controlar el funcionamiento de ese componente móvil. En el caso de un sistema de ascensor, el componente móvil comprenderá al menos una cabina de ascensor móvil entre diferentes rellanos ubicados en diferentes pisos en un edificio, normalmente a lo largo de un hueco de elevación. Además, las realizaciones descritas en esta memoria se refieren a un sistema que comprende al menos un servidor de actualización de software y al menos un sistema transportador de personas como se ha descrito anteriormente. El servidor de software se configurará para proporcionar una actualización de software relacionado con la seguridad para el sistema transportador de personas, por ejemplo, en forma de servidor en un centro de mantenimiento del proveedor del sistema transportador de personas. El sistema transportador de personas se configurará para recibir la actualización de software relacionado con la seguridad desde el servidor de actualización de software a través de una red de datos y llevar a cabo los procedimientos de actualización descritos en esta memoria en función de la versión de software actualizada almacenada en la unidad de seguridad.
Aunque la invención se ha descrito haciendo referencia a realizaciones ejemplares específicas, debe entenderse que la invención no se limita a estas realizaciones y se define por el alcance de las reivindicaciones adjuntas.
Lista de signos de referencia:
10: sistema de ascensor
12: cabina de ascensor
14: contrapeso
16: miembro de tensión
18: Hueco de elevación
18a: pared lateral delantera
18b: pared lateral izquierda
18c: pared lateral derecha
18d: pared lateral trasera
20: puerta de rellano
22: el rellano más bajo
24: placa de control
26: Puerta delantera de la placa de control
28: Cerradura de llave de la placa de control
50: sistema de control de ascensores
60: unidad de seguridad
70: controlador principal
72: relé de alimentación para el controlador principal
80: controlador de accionamiento
82: relé de alimentación para controlador de accionamiento
90: controlador de puerta
92: relé de alimentación para controlador de puerta
100: sistema servidor del fabricante
120: red de datos
150: sistema que incluye un sistema de control de ascensor en comunicación con el sistema servidor 200: método para actualizar software relacionado con la seguridad
210: crear código de seguridad
220: firmar actualización de código de seguridad
230: copiar de la red a la memoria de descarga
240: activar la descarga con la asistencia asegurada de la persona de servicio
250: reinicio
260: comprobación de consistencia
270: comprobación de autenticación
280: copiar memoria de descarga en memoria ejecutable
290: ejecutar

Claims (11)

REIVINDICACIONES
1. Un método (200) para actualizar software relacionado con la seguridad en un sistema transportador de personas, particularmente en un sistema de ascensor (10), en donde el método incluye llevar a cabo un protocolo de operación de activación interactiva predefinida que comprende las etapas de:
- proporcionar una versión actualizada del programa informático relacionado con la seguridad (210);
- almacenar (230) la versión actualizada del software relacionado con la seguridad en una primera sección de memoria de una unidad de seguridad (60) del sistema transportador de personas, siendo la primera sección de memoria una sección de memoria inactiva que no se utiliza para ejecutar el control de las operaciones del ascensor;
- conectar una herramienta de servicio que incluye una pantalla y una herramienta de entrada al sistema transportador de personas;
- mostrar una consulta sobre si aceptar la actualización en la pantalla y consultar una entrada que indique si se debe continuar o abortar el procedimiento de activación de software,
- enviar una señal de "aceptación" a la unidad de seguridad (60) si se ha introducido una entrada que indica que se debe proceder a través de la herramienta de entrada;
- después de que la señal "aceptar" haya sido recibida por la unidad de seguridad (60), esperar durante un período de tiempo predeterminado para recibir una señal de "encendido" que indica que se ha accionado un conmutador de activación de actualización de software asociado permanentemente con el sistema transportador de personas;
- en caso de que la señal "conmutador encendido" se reciba dentro del período de tiempo predeterminado, esperar una confirmación que indique que el procedimiento de activación de software debe iniciarse para ser introducido a través de la herramienta de entrada dentro de una expectativa de tiempo predeterminada;
- en caso de que la confirmación se haya introducido dentro de la expectativa de tiempo predeterminada, activar (240) la versión actualizada del software relacionado con la seguridad; y
- en caso de activación satisfactoria de la versión actualizada del software relacionado con la seguridad, sobrescribir una versión existente del software relacionado con la seguridad en una segunda sección de memoria activa de la unidad de seguridad (280) y controlar el funcionamiento del sistema transportador de personas en función de la versión actualizada del software relacionado con la seguridad (290).
2. El método (200) según la reivindicación 1, en donde la versión actualizada del software relacionado con la seguridad se almacena en la unidad de seguridad (60) como un archivo que incluye código ejecutable.
3. El método (200) según cualquiera de las reivindicaciones 1 o 2, en donde la etapa de funcionamiento del conmutador de activación de actualización de software incluye el funcionamiento de un conmutador unido de forma fija a una placa de control (24) asignada permanentemente al sistema transportador de personas.
4. El método (200) según la reivindicación 3, en donde el conmutador de activación de actualización de software comprende un conmutador de activación de funcionamiento eléctrico de emergencia.
5. El método (200) según cualquiera de las reivindicaciones 1 a 4, en donde el conmutador de activación de actualización de software debe ser accionado manualmente por una persona.
6. El método (200) según cualquiera de las reivindicaciones 1 a 5, en donde el conmutador de activación de actualización de software es accesible usando una clave (28), particularmente usando una clave de operación eléctrica de emergencia.
7. El método (200) según cualquiera de las reivindicaciones 1 a 6, en donde la versión actualizada del software relacionado con la seguridad se descarga desde un ordenador fuente (100) a través de una red de datos (120), particularmente a través de una red pública de datos.
8. El método (200) según cualquiera de las reivindicaciones 1 a 7, en donde la versión actualizada del software relacionado con la seguridad se almacena como un archivo cifrado y/o incluye una firma digital.
9. El método (200) según cualquiera de las reivindicaciones 1 a 8, en donde activar la versión actualizada del software relacionado con la seguridad incluye además comprobar la autenticidad de la versión actualizada del software relacionado con la seguridad (270) y/o comprobar la consistencia de la versión actualizada del software relacionado con la seguridad (260).
10. Un sistema transportador de personas, particularmente un sistema de ascensor (10), que comprende un controlador (50) para controlar el funcionamiento del sistema transportador de personas, el controlador (50) incluye al menos una unidad de seguridad (60) configurada para controlar las funciones relacionadas con la seguridad del sistema transportador de personas, la unidad de seguridad (60) configurada para llevar a cabo el método (200) para actualizar software relacionado con la seguridad según cualquiera de las reivindicaciones 1 a 9.
11. Un sistema (150) que comprende al menos un servidor de actualización de software (100) y al menos un sistema transportador de personas (10) según la reivindicación 10, el servidor de software (100) configurado para proporcionar una actualización de software relacionada con la seguridad para el sistema transportador de personas (10), el sistema transportador de personas (10) configurado para recibir la actualización de software relacionada con la seguridad desde el servidor de actualización de software (100) a través de una red de datos (120).
ES15723205T 2015-05-12 2015-05-12 Método para actualizar software relacionado con la seguridad Active ES2964006T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2015/060475 WO2016180484A1 (en) 2015-05-12 2015-05-12 Method to update safety related software

Publications (1)

Publication Number Publication Date
ES2964006T3 true ES2964006T3 (es) 2024-04-03

Family

ID=53189043

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15723205T Active ES2964006T3 (es) 2015-05-12 2015-05-12 Método para actualizar software relacionado con la seguridad

Country Status (6)

Country Link
US (1) US20180157482A1 (es)
EP (1) EP3295263B1 (es)
KR (1) KR20180005690A (es)
CN (1) CN107636607A (es)
ES (1) ES2964006T3 (es)
WO (1) WO2016180484A1 (es)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR112016005447B1 (pt) * 2013-09-18 2022-10-18 Inventio Ag Método para operar um dispositivo de controle de elevador e dispositivo de controle de elevador
CN108140090B (zh) * 2015-10-02 2021-11-09 通力股份公司 访问乘客运送设备控制装置
US10623188B2 (en) * 2017-04-26 2020-04-14 Fresenius Medical Care Holdings, Inc. Securely distributing medical prescriptions
EP3438032A1 (en) * 2017-07-31 2019-02-06 Inventio AG Method for updating software of an elevator system and updating system for updating a software of an elevator system
DE102017213405A1 (de) * 2017-08-02 2019-02-07 Franz Xaver Meiller Fahrzeug- Und Maschinenfabrik - Gmbh & Co Kg Aufzugsystem
US20190112148A1 (en) * 2017-10-13 2019-04-18 Otis Elevator Company Commissioning and upgrading remote software/firmware using augmented reality
WO2019081332A1 (de) 2017-10-27 2019-05-02 Inventio Ag Sicherheitssystem für gebäudegebundene personenbeförderungsanlage
US11095502B2 (en) * 2017-11-03 2021-08-17 Otis Elevator Company Adhoc protocol for commissioning connected devices in the field
CN110077945B (zh) * 2018-01-26 2021-09-14 日立楼宇技术(广州)有限公司 一种电梯外召设备升级方法、装置、设备及其存储介质
EP3530602B1 (en) 2018-02-23 2020-06-17 Otis Elevator Company Safety circuit for an elevator system, device and method of updating such a safety circuit
CN110569048A (zh) 2018-06-06 2019-12-13 奥的斯电梯公司 在关于新软件可用性的总运行计数数据上的自动升级
EP3617111A1 (en) 2018-08-30 2020-03-04 Inventio AG Downloading updates for control software on passenger transport systems
US11472663B2 (en) * 2018-10-01 2022-10-18 Otis Elevator Company Automatic software upgrade assistant for remote elevator monitoring experts using machine learning
US11372977B2 (en) * 2018-11-12 2022-06-28 Thirdwayv, Inc. Secure over-the-air firmware upgrade
BR112021018665A2 (pt) * 2019-03-18 2021-11-23 Inventio Ag Aparelho de segurança para instalações de transporte de pessoas relacionada a edifícios
US20220191092A1 (en) * 2019-03-28 2022-06-16 Inventio Ag Method and system for commissioning of a communication gateway
CN110155841B (zh) * 2019-06-03 2020-12-08 日立楼宇技术(广州)有限公司 一种电梯元件识别系统、电梯及电梯元件识别方法
JP7177755B2 (ja) * 2019-07-24 2022-11-24 株式会社日立製作所 サーバ、ソフトウェア更新システム、およびソフトウェア更新装置
EP3915912A1 (en) * 2020-05-29 2021-12-01 KONE Corporation A people conveyor system and a method for updating software of a people conveyor component in a people conveyor system
JP7786057B2 (ja) * 2021-07-09 2025-12-16 三菱電機ビルソリューションズ株式会社 エレベーターの制御装置
EP4430471A1 (en) * 2021-11-09 2024-09-18 ASSA ABLOY Entrance Systems AB Method for updating an automatic door system as well as automatic door system
CN118575442A (zh) * 2021-12-20 2024-08-30 因温特奥股份公司 在乘客运输设备中部署安全相关软件的方法、乘客运输设备和安全相关软件更新基础设施
WO2023156013A1 (en) * 2022-02-21 2023-08-24 Kone Corporation Functional safety management system and method for managing functional safety status of at least one equipment under control
DE102022107050A1 (de) 2022-03-25 2023-09-28 Tk Elevator Innovation And Operations Gmbh Aufzugsystem und Verfahren jeweils zum einheitlichen Verarbeiten von Aufzugsystemparametern sowie Computerprogrammprodukt und Verwendung
DE102022107049A1 (de) 2022-03-25 2023-09-28 Tk Elevator Innovation And Operations Gmbh Aufzugsystem mit modular abrufbaren Funktionsmodulen sowie Computerprogrammprodukt, Verwendung und Verfahren
CN120435708A (zh) * 2023-01-16 2025-08-05 通力股份公司 用于时间关键应用的软件更新机制
CN116462064A (zh) * 2023-03-24 2023-07-21 深圳优地科技有限公司 梯控系统升级方法、装置、电子设备及存储介质
WO2024252057A1 (en) * 2023-06-07 2024-12-12 Kone Corporation A method and a software maintenance task management system for managing software maintenance tasks of a people conveyor system
EP4530831A1 (en) * 2023-09-27 2025-04-02 Otis Elevator Company Printed circuit board
EP4538212A1 (de) * 2023-10-13 2025-04-16 Ziehl-Abegg SE Aufzugelektronikeinheit sowie zugehörige aufzuganlage, verfahren für eine autonome sicherheitsüberprüfung einer aufzugelektronikeinheit
CN120500678A (zh) 2023-12-13 2025-08-15 现代电梯株式会社 电梯维护管理设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6173814B1 (en) * 1999-03-04 2001-01-16 Otis Elevator Company Electronic safety system for elevators having a dual redundant safety bus
US8204970B2 (en) * 2006-02-10 2012-06-19 Mitsubishi Electric Corporation Remote update system for elevator control program
EP1857897B1 (de) * 2006-05-15 2014-01-15 ABB PATENT GmbH Verfahren und System zur Erstellung oder Änderung sicherheitsrelevanter Daten für eine Steuerungseinrichtung
MX2007010438A (es) * 2006-09-12 2009-02-03 Inventio Ag Procedimiento para modernizar el control de una instalacion de ascensor.
KR101425464B1 (ko) * 2008-12-18 2014-08-01 오티스 엘리베이터 컴파니 승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법
US8594850B1 (en) * 2012-09-30 2013-11-26 Nest Labs, Inc. Updating control software on a network-connected HVAC controller
US9122554B2 (en) * 2013-02-08 2015-09-01 Microsoft Technology Licensing, Llc Pervasive service providing device-specific updates
US9021462B2 (en) * 2013-03-13 2015-04-28 Johnson Controls Technology Company Systems and methods for provisioning equipment
ES2805778T3 (es) * 2013-03-25 2021-02-15 Kone Corp Sistema y procedimiento para evitar el uso de productos pirata en el control de un ascensor
CN103663024B (zh) * 2013-09-06 2016-04-20 苏州汇川技术有限公司 电梯一体化控制器烧录系统、方法及智能手机
CN103942075B (zh) * 2014-04-09 2017-11-14 苏州汇川技术有限公司 一种电梯控制器固件烧录系统及方法

Also Published As

Publication number Publication date
EP3295263B1 (en) 2023-08-23
CN107636607A (zh) 2018-01-26
KR20180005690A (ko) 2018-01-16
US20180157482A1 (en) 2018-06-07
EP3295263A1 (en) 2018-03-21
WO2016180484A1 (en) 2016-11-17

Similar Documents

Publication Publication Date Title
ES2964006T3 (es) Método para actualizar software relacionado con la seguridad
JP4773093B2 (ja) 安全制御装置および新規動作プログラムを安全制御装置上にロードする方法
ES2687898T3 (es) Procedimiento y dispositivo para la puesta en servicio de una instalación de ascensor
CA2119343C (en) Procedure and apparatus for supplying, storing and displaying elevator control data
US20180321929A1 (en) Method and system for software installation in a vehicle
CN107250021B (zh) 用于运行具有临时参与者的电子安全系统的方法
CN103294505B (zh) 医学设备以及用于检验医学设备的检验系统、方法和装置
BR0204423B1 (pt) Sistema para o transporte ou para o controle de acesso de pessoas ou bens em prédio, método e dispositivo para a manutenção de um sistema, e método para reequipar um prédio com um sistema.
EP3530602B1 (en) Safety circuit for an elevator system, device and method of updating such a safety circuit
CN102139825B (zh) 电梯基板、电梯以及电梯基板的校核方法
AU2018356262C1 (en) Safety system for a building-related passenger transportation system
AU2016369385B2 (en) Passenger transport installation, servicing method and servicing controller
CN107250020A (zh) 用于运行具有临时参与者的电子安全系统的方法
NO327645B1 (no) Fremgangsmate for drift av et heisanlegg og heisstyring
RU2412104C2 (ru) Транспортная установка и способ ее пуска
BR112017011121B1 (pt) Processo para operação de um sistema de segurança de uma instalação de elevador, sistema de segurança para uma instalação de elevador e instalação de elevador
CN107108153B (zh) 用于电梯系统的配置设备和主安全电路及电梯系统
US20220177270A1 (en) Security device for building-related passenger conveyor system
EP4686685A1 (en) Modular elevator system with configurable architecture
CN120435708A (zh) 用于时间关键应用的软件更新机制
JP2006056676A (ja) エレベータの保守システム
JP2011190095A (ja) エレベータの制御装置
US20260072675A1 (en) Method and a software maintenance task management system for managing software maintenance tasks of a people conveyor system
CN110011593A (zh) 用于乘客运输设施的安全电路板
JP2009169554A (ja) 出入管理システム