第一安全控制单元、操作第一安全控制单元的方法、第二安全控制单元、操作第二控制单元的方法以及电梯系统与流程

本发明涉及第一安全控制单元、操作第一安全控制单元的方法、第二安全控制单元、操作第二控制单元的方法，以及电梯系统。

背景技术：

目前最先进的电梯系统配有硬件接线的安全电路。由于有多个安全触点及其在电梯系统上的分布，这些安全电路往往很复杂。

技术实现要素：

根据本说明书的一方面，提供了一种电梯系统的安全网络的第一安全控制单元。第一安全控制单元包括至少一个处理器、至少一个包括计算机程序代码的存储器、至少一个数字通信模块、多个安全输入和至少一个安全输出。至少一个存储器和计算机程序代码被配置为与至少一个处理器、至少一个数字通信模块、多个安全输入和至少一个安全输出使第一安全控制单元至少确定多个安全输入的第一多个安全输入状态。第一安全控制单元还配置为通过数字通信模块从安全网络的第二安全控制单元接收第二多个安全输入状态，并且根据多个第一安全输入状态和根据多个第二安全输入状态确定至少一个安全输出的安全输出状态。

优势性地使用并联方式监测物理安全触点的安全输入状态，替换现有技术的硬件接线安全电路，现有技术的硬件接线安全电路消耗了大量的单股线。传统上是串联和并联连接混合的网络的复杂安全电路布线，由于并联布线而简化。并联方式(parallelsupply)具有减少以前的布线的优点。因此，由于较短的股线、较少的布线以及实现整个电梯安全电路的简化而降低了成本。较短的股线是由于在物理安全触点/安全传感器所在的局部点提供安全控制单元和必要的安全输入导致的。较短的股线允许降低安全输入的供电电压水平。长安全电路长度不再是问题，因为电缆长度大大减少。因此，所提供的第一安全控制单元能够释放轿顶空间并简化底坑的安装、电梯控制系统和控制柜的设备将大大简化。而且，用于提供安全触点的电压降低是可行的。

针对电梯控制器系统的输入和连接点的数量可以大大减少，这保证了硬件、系统接线时间并且使得系统维护更容易，因此可以显著降低成本。输出的安全状态可通过对应的可配置的逻辑控制功能来确定。例如，由于可在逻辑控制功能中的多个位置包含物理旁路触点的安全输入状态，物理旁路触点/开关可以具有明显更少的安全触点，例如只有一个安全触点，可节省空间和成本。这同样适用于物理紧急电动开关或物理检修开关。

另一优点是可以省去用于旁路安全触点的复杂且昂贵的安全模块，并且由第一安全控制单元的逻辑控制功能的相应部分替代。此外，不再需要用于低于额定标准的缓冲器和预开门再平层的安全模块。特别是不再需要用于安全扭矩关断变频器的电梯电动机的功率模块上的安全模块。

接收到的表示第二安全控制单元安全输入状态的第二多个状态被映射到安全电路网络中。从第一安全控制单元获得的第一和第二多安全状态可以监测所有安全状态。换句话说，可以在任何给定时间对所有连接的物理安全触点进行简单而完整的监测(所有开关不是串联的，而是并联的)。优势性：安全控制单元可以减少安全网络中安全控制实体间的单股线缆。特别是在电梯轿厢的情况下，较低质量的移动电缆连接到电梯轿厢是有利的。

可以监视安全输入状态。因此，通过总线进行完整的安全电路监测或通过输出监测几个主要标准安全电路点是可行的。这些输出可以很容易地用于第三方控制器系统。特别地，监测可以轻松测试短路/旁路门安全触点。此外，现有的电梯设施可以通过安全控制单元进行升级，以获得比以前更高的运行安全水平。

总之，在对维护电梯系统达到必要安全水平时降低了电梯系统的建造、改造和维护的成本。

根据有利示例，第一安全控制单元包括监测输出，其中，第一安全控制单元被配置为根据多个第一状态的至少一部分与多个第二状态的至少一部分来确定监测输出的状态。有利地，安全控制单元提供监测输出，该监测输出可以自由配置以提供所连接和接收的安全输入状态的情况的所需信息。例如，现有的电梯控制系统可以通过电梯监测状态输出来确定是否可运行，因此能够对现有电梯系统进行改造。在另一例子中，通过监测输出来控制指示灯，以帮助维保人员快速检查电梯系统或其一部分的状态。

根据有利示例，第一安全控制单元还配置为根据设定型安全输入状态的信号边沿确定至少一个安全输出状态，其中，设定型安全输入状态打开或关闭模拟自锁开关，并根据复位型安全输入状态的信号边沿确定至少一个安全输出状态，其中，复位型安全输入状态闭合或打开模拟的自锁(latching)开关。有利地，模拟自锁开关和用于动作和复位模拟自锁开关的安全输入提供了简化方案，例如无需使用额外的复位盒。特别地，不再需要用于安全装置的自锁触点/开关(例如安全钳或限速器)。用于复位自锁安全电路触头的磁铁也是不需要的。

根据有利示例，模拟自锁开关的状态是剩余类型(typeremanent)，并且其中第一安全控制单元包括非易失性存储器，其中，第一安全控制单元还用于将剩余类型的模拟自锁开关的状态写入非易失性存储器，在启动第一安全控制单元之后，从非易失性存储器中取回剩余类型的模拟自锁开关的状态。有利地，可以在电力中断之后从非易失性存储器中取回剩余(remanent)状态。因此，剩余状态的分布保持在确定源处，即在相应的安全控制单元处。此外，对于自锁剩余触点/开关，不再需要不间断电源，例如对于底坑检修监测，因为这些开关由相应的安全控制单元代替。

根据有利示例，第一安全控制单元包括另一数字通信模块，并且其中第一安全控制单元还被配置为通过另外的数字通信模块以只读方式提供第一和第二多个输入状态。有利地，该另外的数字通信模块提供诊断接口。例如，如果另外的数字通信模块是wlan或以太网模块，则笔记本电脑或手持设备可以提供安全电路的在线监控功能。此外，像物联网服务这样的第三方服务可以监测安全电路的功能(iot：物联网)

根据有利示例，第一安全控制单元包括第一和第二安全继电器，其中，所述至少一个安全输出是安全继电器的常开触点的串联连接的输出。常开触点的串联连接提供了安全机制。如果两个安全继电器中的一个未通电，则安全输出状态将为零，从而电梯机械停止移动。

根据有利示例，如果第一处理单元经由反馈状态检测到第一和第二安全继电器中的至少一个的故障，则第一处理单元决定第一驱动信号打开第一安全继电器的常开触点，并且其中，如果第二处理单元通过反馈状态检测到第一和第二安全继电器中的至少一个的故障，则第二处理单元决定第二驱动信号打开第二安全继电器的常开触点。有利地，安全继电器的正常动作是被监测的。

根据有利示例，反馈状态是第一安全继电器的常闭触点和第二安全继电器的常闭触点的串联连接的输出。通过安全继电器的常闭触点的这种串联连接，安全继电器中一者的故障和安全输出状态可以确定是安全的。

根据本说明书的另一方面，提供了一种通过安全网络操作第一安全控制单元的方法。该方法包括：确定多个安全输入的第一多个安全输入状态，通过数字通信模块从安全网络的第二安全控制单元接收第二多个安全输入状态，以及根据多个第一安全输入状态与多个第二安全输入状态确定至少一个安全输出的安全输出状态。

根据本说明书的另一方面，提供了一种电梯系统的安全电路网络的第二安全控制单元。第二安全控制单元包括至少一个处理器、至少一个包括计算机程序代码的存储器、至少一个数字通信模块和多个安全输入。至少一个存储器和计算机程序代码被配置为与至少一个处理器、至少一个数字通信模块和多个安全输入一起使得第二安全控制单元至少：确定多个安全输入的多个安全输入状态，并通过数字通信模块将多个安全输入状态发送到安全网络的第一安全控制单元。

根据有利示例，第二安全控制单元包括另一数字通信模块，并且其中第二安全控制单元还被配置为通过另外的数字通信模块以只读方式提供第一和第二多个输入状态。

根据有利示例，提供了一种操作安全网络的第二安全控制单元的方法。该方法包括：确定多个安全输入的多个安全输入状态，并且经由数字通信模块将多个安全输入状态发送到安全网络的第一安全控制单元。

根据本说明书的另一方面，提供了一种电梯系统，该电梯系统包括：根据上述相应方面之一的第一安全控制单元，第一多个安全触头，每个分别连接到第一安全控制单元的一个安全输入，根据上述相应方面之一的第二安全控制单元，其中第一和第二控制单元为安全网络的一部分，第二多个安全触头，每个分别连接到第二安全控制单元的一个安全输入，以及提升机械，其中电梯系统配置成决定安全输出状态，并且如果安全输出状态指示打开安全电路则停止提升机械。

附图说明

图1示意性地描绘了电梯系统；

图2示意性地描绘了安全网络；

图3至5中的每一者示意性地描绘了第一安全单元；

图6示意性地描绘了显示的内容；

图7和8中的每一者描绘了示意流程图。

具体实施方式

图1示意性地描绘了电梯系统2。轿厢4布置在电梯井道6中。轿厢4由提升机械8操作以向上或向下移动。提升机械8布置在机房9中并且包括机械制动器10和电动机12。当然，电梯系统2仅作为示例示出并且可以以另一方式实现。在另一示例中，提升机械8包括液压电动机。

第一安全控制单元20a布置在机房9中。第一安全控制单元20a被用于控制提升机械8，以便在打开安全电路的情况下停止轿厢4。第二控制单元20b布置在轿厢4的轿厢顶部。另一第二控制单元20c布置在底坑14处。电梯系统2的大多数安装将包括这三个安全控制单元20a、20b和20c。安全控制单元20a、20b和20c通过数字安全总线22(如safetybusp或can-bus(controllerareanetwork)或其他总线)互连，以安全的方式交换数据并提供安全网络24。数字安全总线22是硬件连接或无线的，并且符合安全完整性等级3(sil3)或更高的安全完整性等级。

出于维护目的，电梯系统2包括用于向上或向下移动轿厢4的操作控制器26a、26b和26c，即所谓的紧急电动/检查功能，这取决于控制元件28a、28b或28c的状态，控制元件28a、28b或28c包括例如两个按钮并且连接到图1中未示出的电梯控制器。操作控制器26a、26b、26c的开关30a、30b、30c连接到相应的安全控制单元20a、20b、20c并且激活相应的控制元件28a、28b或28c。如果开关30a、30b和30c中的两个或更多个指示相应的控制元件28a、28b或28c激活，则第一安全控制单元20a触发提升机械8来停止轿厢4。该示例描述了一部分图1的二进制控制功能，其中第一安全控制单元20a的安全输出状态指示可操作(1)或不可操作(0)，其中0表示安全电路开路，1表示安全电路闭合。当然，安全输出状态取决于多个安全输入状态，表1仅是示例性的。作为控制器28a-c中的一个是激活的(1)意味着仅按下一个上下按钮。有利地，当前最先进的多触点旋转开关和相应的复杂接线将被替代为从开关30a-30c和控制单元28a-28c确定的与/或逻辑和前述的安全输入状态确定的安全输出状态。

表1：示例性二进制控制函数

通过二进制控制函数，可以在必要时随时为任何控制器系统调整安全电路，并且如果将来应用新规范，系统可以轻松快速地进行调整。二进制控制函数中的术语“二进制”仅针对函数的结果，即安全输出状态。这样的二进制控制函数可以包括比参考图6所解释的二进制连接所提供的函数更多的函数。

沿着电梯井道6布置有多个像位置标记18一样的位置标记。例如，为了指示轿厢4在门区范围内的位置，轿厢4包括连接到第二安全控制单元20b的位置传感器19。例如，如果位置传感器19指示轿厢4处于门区并且另一个开关/传感器指示轿厢4的门处于提前开门位置那么安全控制单元20a将不会阻止提升机械8移动轿厢4。在另一示例中，电梯控制器在门区域进行轿厢4的平层调整，位置传感器19将指示轿厢4处于门区域而另一安全触点指示打开的门。同样，在这种情况下，安全控制单元20a将不会阻止提升机械8移动轿厢4。但是，如果位置传感器19没有指示轿厢4处于门区并且相应的安全触点指示门打开，则安全控制单元20a将阻止提升机械8移动轿厢。

极限开关29指示轿厢4何时与相应的缓冲器接触。在这种情况下，第一安全控制单元20a将触发提升机械8以停止轿厢4的移动。出于维护目的，可以通过激活相应的覆盖开关30a、30b、30c来覆盖极限开关29的状态。因此，极限开关29将其开关状态发送到安全输入。由安全单元20c确定的极限开关29的安全状态是可覆盖类型。因此，如果开关30a、30b或30c中的一个的状态是激活的(1)，则该状态在确定安全输出状态时优先于极限开关29的安全状态。这使得能够在维护期间移动轿厢4。

电梯系统2的配置仅是一个示例性配置，并且描述不限于该示例。例如，在液压电梯系统的情况下，安全控制单元20a和提升机械8布置在底坑14中。

图2示意性地描绘了包括第一安全控制单元20a和第二安全控制单元20b、20c的安全网络24。在下文中，描述了安全控制单元20a，其中该描述对于第二安全控制单元20b、20c也是有效的，并且其中后缀a与后缀b或c互换。

安全控制单元20a包括多个安全输入202a至204a、触点206a、处理器208a、存储器210a、安全输出212a、分配给安全输出212a的触点214a、监测输出216a、分配给监测输出216a的触点218a、数字通信模块220a、另一数字通信模块222a和甚至另外的数字通信模块224a。安全输出212a至少符合sil3。监测输出216a可符合sil0-sil4，这意味着216a可不需要符合安全等级。

安装在相同区域中的物理安全触点s2a至s4a中的每一个连接到多个安全输入202a至204a中的相应一个。在第一安全控制单元20a的情况下，该相同区域是机房9.当然，可以将多于一个安全触点的物理连接应用于安全输入202a至204a中的一个。

触点206a允许特定供应商选配施加到安全输入202a至204a的电压大小，通常为0v。特别是，目前的使用旧触点的低压安全电路也可使用，并且可以使用所提供的安全电路来升级系统。而且，消除了安全电路具有不同电压的问题。这同样适用于触点218a、214a。根据示例，存在多个安全输出。根据另一示例，存在多个监测输出。

处理器208a包括多个处理器核心ca、da，以便提供冗余处理能力以确定至少一个安全输出212a。存储器210a包括计算机程序代码ea，其被配置为在处理器208a上执行实现本描述的方法。存储器210a包括电可擦除和可重新编程的非易失性存储器na，其即使在断电之后也保持其信息状态。存储器210a包括第一二进制控制功能xa，其被配置为与处理器208a和计算机程序代码ea一起确定安全输出212a的状态。存储器210a还包括第二二进制控制功能za，其被配置为与处理器208a和计算机程序代码ea一起确定监测输出216a的监测输出状态。

安全输出212a根据第一二元控制函数xa确定。安全输出212a连接到提升机械8.在安全输出212a的状态指示安全电路闭合的情况下，提升机械8能够由电梯控制器40控制。安全输出212a的状态指示安全电路打开的情况下，提升机械8被操作以停止轿厢的运动，并且电梯控制器40对提升机械8的控制被禁用。

监测输出216a根据第二二元控制函数za确定。监测输出216a连接到电梯控制器40.监测输出216a使得能够在不更换传统电梯控制器40的情况下简单地改进传统电梯系统。可选地，或者附加地，电梯控制器40连接到诊断总线23。电梯控制器40从安全控制单元40接收的信息包括例如：所有门关闭，一扇门打开等。

a)安全输入202a至204a的每个安全输入状态被

b)馈送到第一二进制控制功能xa和

经由数字通信模块220a传输到安全网络24。安全控制单元20a至20c检测连接的物理安全触点s2b，s4b，s2c，s4c的状态并镜像到安全网络24中，特别地，第一安全控制单元20a经由数字通信模块220a接收其他安全控制单元20b，20c的这些状态。因此，第一安全控制单元20a根据第一安全控制单元20a的安全输入202a、204a的安全输入状态、根据第二安全控制单元20b的输入202b，204b的安全输入状态，并且根据另外的第二安全控制单元20c的输入202c、204c的安全输入状态确定安全输出212a的安全输出状态。根据一示例，级联多个安全控制单元以保证相同区域中的大量输入。

在一个示例中，安全控制单元20a不将安全输入202a至204a的安全输入状态提供到安全网络24，而是仅将安全输入状态应用于第一二元控制功能xa。

另外的数字通信模块222a连接到诊断总线23。像个人计算机/笔记本计算机那样的诊断装置25连接到诊断总线23。诊断装置25通过接收镜像在诊断总线23上的安全输入状态来提供诊断功能。诊断总线23可不需要安全等级，也就是满足sil0。根据示例，诊断总线23由诊断装置25和第一安全控制单元20a组成。控制单元20a，20b和20c的安全状态通过诊断总线23是只读的。

借助于数字安全总线22，二进制控制功能xa，za中的每一个都可从管理装置27转移到存储器210a。

第二安全控制单元20b的监测输出216b连接到布置在轿厢4处的指示灯42。存储器210b还包括二进制控制功能zb，其被配置为与处理器208b和计算机程序代码eb一起确定监测输出216b的状态。因此，监测输出216b允许附加功能。

安全网络24的配置仅是一个示例性配置。在另一示例中，安全控制单元20a包括子单元，具有安全输入202a至204a和数字通信模块220a的第一子单元将安全输入202至204a的安全输入状态发送至数字安全总线22。第二子单元包括数字通信模块，用于接收安全输入状态，该安全输入状态包括源自第一子单元的安全输入状态，以便根据接收到的安全输入状态确定安全输出212a的安全输出状态。

图3示意性地示出了根据示例的第一安全控制单元20a的一部分。第一安全控制单元20a包括第一和第二正向引导安全继电器(positively-guidedsafetyrelay)300、320，其具有线圈302、322，其操作常闭触点304、324和常开触点306、326。触头306和326串联连接并且通过安全输出212a连接到提升机械8，以允许或停止提升机械8的操作。正向引导继电器300、320通过由线圈302,322移动的机械操作结构操作开关304和306/324以及326。

安全控制单元20a还包括两个处理单元310和330，其中每个处理单元310和330根据如关于图1和2所述的二进制控制函数xa进行操作。在一示例中，处理单元310和330对应于图2的处理器核心ca、da。

第一处理单元310根据经由安全输入202a至204a接收的多个安全输入状态s202a至s204a、根据经由数字通信模块220a接收的多个安全输入状态s220a至s221a、以及根据安全继电器300和320的反馈状态s300确定第一驱动信号312。第二处理单元330根据经由安全输入202a至204a接收的多个安全输入状态s202a至s204a、根据经由数字通信模块220a接收的多个安全输入状态s220a至s221a、以及根据安全继电器300和320的反馈状态s300确定第二驱动信号332。第一驱动信号312驱动第一安全继电器300的线圈302.第二驱动信号332驱动第二安全继电器320的线圈322。

通过监视反馈状态s300，处理单元310、330能够检测安全继电器300和320中的至少一者的故障。如果处理单元310、330经由反馈状态s300检测到故障，则处理单元310、330决定驱动信号312、332打开触点306、326。

图4示意性地示出了根据示例的第一安全控制单元20a的一部分。第一安全控制单元20包括内部开关400，例如电子可操作开关。触头212a和214a连接到外部安全继电器402的线圈404。安全继电器402包括多个可同时移动的开关，这些开关中的至少一者连接到提升机械8。另一个开关连接到另外的监控触头406a和408a。安全控制单元20a通过监控监控触头406a和408a的状态来验证安全继电器402的状态，并且能够检测安全继电器402的操作故障，从而确定安全电路的打开。

图5示意性地示出了根据示例的第一安全控制单元20a的一部分。安全控制单元20a经由触头212a和214a操作安全继电器402和502的线圈404和502。在这种情况下，在该连接满足sil3的意义上，提升机械8和安全继电器之间的连接被认为是安全的。

图6示意性地描绘了图2的诊断装置25的显示器606的内容。显示器606显示模拟连接图608，其描绘了二进制控制函数xa的至少一部分。模拟连接图608包括多个物理安全输入的多个安全输入状态s1至s8，每个安全输入状态连接到安全触头，安全触头布置在电梯系统中。安全输入状态s1至s8中的每一个连接到至少一个对应块，每个块表示所示模拟连接图中的开关b1至b8。

例如，自锁常开开关b1的表示是剩余类型，这意味着模拟自锁开关的状态被写入非易失性存储器na并且在安全控制单元的启动引导程序之后从非易失性存储器na中取回。因此，开关b1，b2中的每一个代表模拟自锁开关。当在安全输入状态s1中检测到上升沿时，自锁常开开关被设置为闭合。当在安全输入状态s2中检测到上升沿时，自锁常开开关被设置为打开。

自锁常闭开关b2是非剩余型的，其中开关b2的状态在安全控制单元的启动引导程序之后被重置为闭合。安全输入状态s2复位开关b2。对于自锁开关，复位输入是主要的，其中如果两者同时存在，则复位输入优于设置输入。

常开开关b3包含反向输入，其中当安全输入状态s4逻辑为假(false)时开关b3闭合。安全输入状态s4还用于驱动开关b8，因此在二进制控制函数xa中的另一位置处复用安全输入状态s4。

提供多个安全输出212a、212xa，其中安全输出212a、212xa根据安全输入状态s1至s8和二进制控制函数xa确定。

图7示意性地描绘了操作第一安全控制单元的流程图。根据步骤702，确定多个安全输入的第一多个安全输入状态。根据步骤704，经由数字通信模块从安全网络的第二安全控制单元接收第二多个安全输入状态。根据步骤706，根据多个第一安全输入状态并且根据多个第二安全输入状态确定至少一个安全输出的安全输出状态。

图8示意性地描绘了操作其中一个第二控制单元的流程图。根据步骤802，确定多个安全输入的多个安全输入状态。根据步骤804，多个安全输入状态通过数字通信模块传输到安全网络的第一安全控制单元。