软件更新装置的制作方法

人员输送机系统具有特殊安全要求。因此，用来控制人员输送机操作的硬件或软件将是具有特定条件的重要部分以便满足这类安全要求。根据受控人员输送机系统的相应功能或操作的安全相关性程度，存在不同等级的安全完整性要求。针对这些安全要求的总体概述，参考国际标准IEC 61508-1至IEC 61508-3。

电梯系统是人员输送机系统的具体实例。另一实例将是自动扶梯或移动走道。以下，将使用电梯系统作为人员输送机系统的示例性实施方案来描述本发明。然而，应理解，对应考虑也适用于自动扶梯或移动走道。

在人员输送机系统中，使用连接到安全控制器(以下也称为安全单元)的传感器和/或开关装置(以下简称为安全开关)来控制或者至少监测安全关键操作。安全开关通常用在各种“安全点”，在这些地方必须在动作的发起之前并且若必要则还要在此动作的过程之中监测安全关键部件的状态。在典型配置中，一些这类安全开关具体地串联连接以形成所谓的“安全链”，使得所述动作只有在所有安全开关或更广义地说是开关装置都处于预定开关状态时才可开始或继续。例如，在电梯系统的情况下，必须确保在开始之前以及在电梯轿厢的行进期间所有门(轿厢门以及每个楼层上的层站门)保持关闭并且机械地锁定。因此，电梯轿厢的行进一般来说是不被允许的，除非在连接用于监测门关闭状态的相应安全开关的安全链中的所有安全开关都是闭合的。

现今，如本文描述的安全单元通常涉及软件以控制其操作以及监测所述单元和所连接安全开关的正确运行。已开发出特定测试协议用于测试人员输送机的安全链中使用的安全开关的正确运行。判定何时与如何实施此类测试协议以及如何评估测试协议的结果的程序是由存在于安全单元中的特定安全相关软件控制的，安全链的开关连接到所述安全单元并且所述安全单元控制安全链的操作和状态。这种软件经认证来执行特定安全相关功能。这种安全相关软件的编程需要极其小心，例如，通常所设置的任何功能均需要提供冗余。

需要时常更新人员输送机系统中的这种安全相关软件。新软件可经由无线和/或接线网络传输到人员输送机系统。这促进了更新过程，因为不需要包括适当软件的数据载体，软件可能在数据载体使用时已经过时。然而，经由网络传输软件包含软件被窥探、窃取或修改的风险。从而，在更新这种安全相关软件时需要特别小心。

因此，提供允许容易地又安全地更新电梯系统的软件的方法将是有益的。

根据本发明的示例性实施方案，一种更新人员输送机的软件的方法包括以下步骤：

(a)在更新服务器和移动更新装置之间建立第一数据传输连接；

(b)将来自所述更新服务器的已加密数据传输到所述移动更新装置；

(c)在所述移动更新装置中解密所述数据；

(d)在所述人员输送机和所述移动更新装置之间建立第二数据传输连接；以及

(e)将来自所述移动更新装置的已解密数据传输到所述人员输送机。

显而易见，建立所述第二数据传输连接的步骤(d)也可在步骤(a)、(b)和(c)中的任何步骤之前执行。

更新所述软件的所述方法也可包括将从所述服务器接收的所述已加密数据储存在所述移动更新装置上以便解密并随后传输到所述人员输送机。

根据本发明的示例性实施方案，一种配置用于更新人员输送机的软件的移动更新装置包括：

(A)第一接口，其配置用于接收已加密数据；

(B)解密单元，其配置用于解密所接收的已加密数据；以及

(c)第二接口，其配置用于与所述人员输送机的控制单元连接以及将已解密数据传输到所述控制单元。

传输已加密软件防止软件被窥探或窃取。只有经授权用户能够解密所传输数据以便安装所述新软件。未经授权用户不拥有解密已加密数据所需的密钥，并因此将不能解密、研究和/或安装软件。

虽然根据本发明的示例性实施方案的更新人员输送机的软件的移动更新装置和方法对于更新安全相关软件特别有用，但是显而易见，它们并不受限于此，而是可以用于更新其他种类的软件。

图1示出其中可以采用本发明的实施方案的电梯系统；

图2示出根据本发明的示例性实施方案的用于更新电梯系统的软件的系统的示意图。

图1以示意性且简化的透视图示出根据实施方案的电梯系统10。电梯系统10包括电梯轿厢12和配重物14，两者通过配置成绳或带的受拉构件16(受拉构件16仅在图1示意性标出)连接。受拉构件16由未在图1示出的电梯驱动器、例如牵引驱动器驱动以便沿着井道18移动轿厢12和配重物14。虽然未在图1中示出井道18的顶部部分，但是在此实施方案中，电梯驱动器位于井道的顶部部分中在最高层站上方。然而，也可安置在其他地方，例如，电梯轿厢本身上。电梯轿厢12和配重物14沿着也未在图1示出的导轨移动。井道18具有基本上矩形横截面并且由四个垂直延伸侧壁围绕，图1示出其中三个(左侧壁18b、右侧壁18c、后侧壁18d)。图1省略了井道18的前壁以便展示电梯轿厢12和配重物14。仅在最低层站22处可看到前壁18a的一部分，其中层站门20在前壁18a中形成。未示出用于键入厅门呼叫的厅门操作面板。前壁18a在其他层站处将具有类似配置。

不同于其他层站，在最低层站22处，在井道18的前壁18a中设置控制板24。如下文详述，控制板24可用于通过操作软件更新启动开关来启动软件更新操作模式。控制板24可由通过钥匙锁自锁定的前面板(未示出)封闭。钥匙锁可通过将合适的钥匙插进钥匙锁的钥匙孔中来打开。一旦前面板打开，就可以接近连接器28，从而允许将移动更新装置与电梯系统10连接，移动更新装置未在图1示出但将参阅图2进行更详细描述。

将控制板24布置在最低层站22处不是必需的。作为图1所示实施方案的替代方案，控制板24在其他实施方案中可位于任何层站处或者在电梯10附近。甚至可能设置不止一个控制板24，但是通常一个控制板24就将足够允许以更安全方式进行软件更新。

在一些实施方案中，控制板24可以是专门提供启动软件更新操作模式的功能的单独控制板24。在其他实施方案中，用于更新软件的连接器28可包括于控制板24中，该控制板24也用于提供其他功能。在一个实例中，如图1所示，控制板24用于电梯的应急电气操作的启动并包括应急电气操作开关。电气操作应急开关的操作允许通过操作设置于控制板24上的相应手动操作开关或按钮来手动地控制电梯轿厢12的移动。在正常操作中，控制板24是待用的。

图2示意性地示出根据本发明的实施方案，采用移动更新装置34进行的从服务器30到控制单元36的数据传输。

将要用于更新的软件储存在可能位于工厂或维修中心的服务器30上。软件可能以加密形式储存在服务器上，或者可在经由第一(远程)数据传输40从服务器30传输到通信装置32之前进行加密。通信装置32可以是商业通信装置32，诸如市场上可购得的智能电话、平板电脑或(移动)PC。第一数据传输40可包括经由互联网、无线局域网络(WLAN)或者商业电话和/或数据网络(包括基于GSM、UMTS和LTE的网络)进行的数据传输。

通信装置32具体地可配置用于运行适当软件(“App”)，这允许用户在通信装置32和服务器30之间建立数据连接从而识别并授权自身以及选择适当软件供下载。

通信装置32还配置用于与移动更新装置34建立另一数据连接42以用于将已从服务器30下载并仍在加密状态的数据传输到移动更新装置34。

数据可经由电缆、例如USB电缆或者无线、例如使用WLAN、和/或类似技术从通信装置32传输到移动更新装置34。

移动更新装置34包括至少一个第一数据传输接口33，其配置用于与通信装置32建立数据连接42以便与通信装置32交换数据。

在一个实施方案中，移动更新装置34可包括不止一个第一数据传输接口33，第一数据传输接口33中的每个针对不同类型的数据传输协议进行配置。

任选地，第一数据传输接口中的至少一个可配置用于与互联网连接。互联网提供了用于接收待更新数据的便宜并广泛可用的方法。所述至少一个第一数据传输接口具体地可配置用于建立WLAN连接或者用于经由商业电话和/或数据网络(包括基于GSM、UMTS和LTE的网络)进行的连接以便与互联网建立所需连接。WLAN、GSM、UMTS和LTE网络被广泛使用并且合适的数据传输接口可以低成本使用标准化电子部件来实现。

移动更新装置34还包括解密单元35，其配置用于解密由至少一个第一数据传输接口33接收的已加密数据。解密单元35具体地可配置用于使用储存在移动更新装置34内的密钥来解密已加密数据，具体地说是，已使用公钥进行加密的已加密数据。

解密单元35还可配置用于验证所接收数据的完整性以便确保仅安装了经授权软件。解密单元35具体地可使用公钥来检查已使用对应私钥签名的所接收数据的完整性。

移动更新装置34还包括至少一个第二数据传输接口37，其被配置来与电梯系统10的控制单元36连接从而提供用于将已解密数据传输到控制单元36的数据连接44。已解密数据具体地经由设置在控制板24处并与控制单元36连接的连接器28传输。

连接器28具体地可设置成USB插口的形式。在这种情况下，移动更新装置34的至少一个第二数据传输接口37设置有用于与USB插口连接的USB插头39。移动更新装置34具体地可设置成USB棒的形式，包括将要插进连接器28中的合适插头39。移动更新装置34可经由连接器28从控制单元36来提供电力。

代替USB，可使用另一合适的商业或专有协议。由于在从移动更新装置34传输到控制单元36时数据未进行加密，因此优选地，在移动更新装置34到控制单元36之间使用接线连接44以便避免未经加密数据被未经授权地拦截。

所述至少一个第二数据传输接口具体地可配置用于采用专有协议来传输数据。专有协议可具体地适于最优化数据传输的实际需要。专有协议还可提供增强的安全性，因为通过专有协议传输的数据可能不是使用标准化商业装置拦截的。

在图2所示的实施方案中，通信装置32和移动更新装置34设置为在其间具有数据连接42的两个不同实体。

这样的配置允许使用任意通信装置32，具体地市场上可购得的通信装置32，诸如智能电话、平板电脑或(移动)PC，以供接收来自服务器30的已加密数据

在替代实施方案中，移动更新装置34与通信装置32整体地形成，从而提供能够从服务器30接收已加密数据、解密所述数据以及将已解密数据直接传输到电梯系统10的控制单元36的单个装置。因此，机械工可配备有单个集成装置以供更新控制单元36的软件。

任选特征：

以下阐述一些任选特征。这些特征可在特定实施方案中单独实现或与其他特征中的任一个组合实现：

在一个实施方案中，第一数据传输接口和第二数据传输接口中的至少一个配置用于所述数据的无线传输。这允许数据的便捷传输而不需要有线连接。

在一个实施方案中，第一数据传输接口和第二数据传输接口中的至少一个配置用于所述数据的接线传输。接线连接极为安全，因为从接线连接拦截所传输数据比在无线连接情况下更加困难。

在一个实施方案中，第一数据传输接口和第二数据传输接口中的至少一个配置用于使用商业协议/标准，诸如WLAN、或USB来传输数据。用于使用商业协议/标准来传输数据的接口易于由市场上可购得的电子部件以低成本生产。使用标准协议还允许移动更新装置与标准化商业装置交换数据。

在一个实施方案中，至少第一数据传输接口配置用于与互联网进行连接。互联网提供了用于接收待更新数据的便宜并广泛可用的方法。所述第一数据传输接口具体地可配置用于建立WLAN连接或者用于经由商业电话和/或数据网络(包括基于GSM、UMTS和LTE的网络)进行的连接以便与互联网建立所需连接。WLAN、GSM、UMTS和LTE网络被广泛使用并且合适的数据传输接口可以低成本使用标准化电子部件来实现。

在一个实施方案中，第一数据传输接口和第二数据传输接口中的至少一个配置用于采用专有协议来传输数据。专有协议可具体地适于最优化数据传输的实际需要。专有协议还可提供增强的安全性，因为通过专有协议传输的数据通常不会被使用标准化商业装置容易地拦截。

在一个实施方案中，解密单元配置用于通过采用对应密钥来解密已使用公钥加密的已加密数据。使用包括公钥和对应私钥的对钥(pair)提供极安全的数据加密。

在一个实施方案中，解密单元配置用于检查所接收的已加密数据的签名以便确保控制单元上未安装恶意软件。检查所接收数据的签名因而更进一步增强了电梯系统的(操作)安全。

一种用于更新人员输送机的软件的系统包括：根据本发明的实施方案的移动更新装置以及配置用于接收已加密数据并将已加密数据传输到移动更新装置的商业通信装置。

采用这种系统，用户可使用其“正常的”商业通信装置来更新控制单元的软件。所述移动更新装置可出于缩减成本而生产，因为一些功能，例如与服务器连接以及选择适当软件的功能是通过通信装置实现的。因此，移动更新装置，例如可不生产有显示器。

为了提供必要的功能，商业通信装置可设置有适当软件，具体地，可以是“App”，以供选择、接收和传输已加密数据。

虽然已经参考示例性实施方案描述了本发明，但是本领域技术人员将理解，在不脱离本发明的范围的情况下，可做出各种改变并可使用等效物来取代示例性实施方案的要素。此外，在不脱离本发明的基本范围的情况下，可做出许多修改来使具体情况或材料适应本发明的教导。因此，旨在使得本发明不限于所公开的具体实施方案，而是本发明包括属于所附权利要求书的范围内的所有实施方案。

附图标号

10 人员输送机/电梯系统

12 电梯轿厢

14 配重物

16 受拉构件

18 井道

18a 前侧壁

18b 左侧壁

18c 右侧壁

18d 后侧壁

20 层站门

22 最低层站

24 控制板

28 连接器

30 服务器

32 通信装置

33 第一数据传输接口

34 移动更新装置

35 解密单元

36 控制单元

37 第二数据传输接口

39 插头

40 第一(远程)数据传输连接

42 第二(近程)数据传输连接

44 第三数据传输连接