电梯系统中的安全和非安全软件的管理的制作方法
【专利说明】电梯系统中的安全和非安全软件的管理发明领域
[0001]本文公开的主题大体上涉及电梯软件的领域,并且更具体地说,涉及电梯系统中的安全和非安全软件的管理。
【背景技术】
[0002]电梯控制器提供安全功能和非安全功能两者。现有的电梯系统在分开的控制器上执行安全软件和非安全软件。这会导致附加的硬件成本和更高的系统复杂性。其他现有的电梯系统在单一的控制器上执行安全软件和非安全软件。尽管这类系统降低了硬件成本,但如果非安全软件和安全软件在同一个控制器上运行,非安全软件和安全软件均必须进行验证。非安全软件的修改需要非安全软件和安全软件两者的重新验证。
[0003]概述
[0004]根据一个示例性实施方案,电梯控制器包括存储器;输入/输出单元;以及处理器,所述处理器执行验证的安全软件和非安全软件,所述非安全软件在安全容器中执行以防止非安全软件违反非安全软件参数并且影响安全软件。
[0005]根据另一示例性实施方案,一种用于在电梯控制器上执行验证的安全软件和非安全软件的方法包括执行验证的安全软件和非安全软件,所述非安全软件在安全容器中执行以防止非安全软件违反非安全软件参数并且影响安全软件。
[0006]本发明的实施方案的其他方面、特征和技术将从以下结合附图进行的描述变得更加显而易见。
[0007]附图简述
[0008]现参考附图,其中相同元件在图中编号相同:
[0009]图1是示例性实施方案中的电梯系统的部件的框图;
[0010]图2描绘示例性实施方案中的控制器;以及
[0011]图3是示例性实施方案中的控制器的操作的流程图。
[0012]详述
[0013]图1是示例性实施方案中的电梯系统10的部件的框图。应理解,电梯系统10可以包括更多数量的部件,并且图1为了方便解释起见而为简化表示。电梯系统10包括联接到驱动器14的控制器12,所述驱动器14向机器16提供驱动信号以将运动赋予电梯轿厢18。可以通过基于通用微处理器的装置来实现控制器12,所述装置执行存储介质中的计算机程序代码以进行本文中所描述的操作。参考图2更详细地描述控制器12。驱动器14可以是转换器,所述转换器响应于来自控制器12的命令而将直流电转换成多相(例如,三相)驱动信号。机器16可以是将运动赋予电梯轿厢18的多相(例如,三相)电机。尽管示出单一的电梯轿厢18,但控制器12可以与多个电梯轿厢相关联。控制器12可以从调度系统/组控制器(未示出)接收命令并且响应于所述命令而引导电梯轿厢18。
[0014]除了控制电梯轿厢18的运动之外,控制器12还与其他系统部件交互,所述其他系统部件包括电梯轿厢制动器20、电梯轿厢门22、电梯轿厢灯24以及电梯轿厢娱乐系统26。应理解,控制器12可以与各种其他系统部件交互,并且图1中的元件是示例性的。某些系统部件涉及安全(即,制动器20、门22、灯24)并且某些部件涉及非安全(S卩,娱乐系统26)。图2描绘示例性实施方案中的控制器12。控制器12将与安全功能相关的软件同与非安全功能相关的软件隔离,并且控制安全软件和非安全软件两者的执行以防止安全软件被非安全软件中断。如图2中所示,控制器12包括处理器30,输入/输出单元32和存储器34(例如,RAM、ROM)。输入/输出单元32可以包括各种信号格式,包括串行、模拟、离散、频率、PffM等。
[0015]在控制器12上执行的软件包括操作系统38、存储器保护管理器40和资源管理器42。尽管示出为单独的元件,但存储器保护管理器40和资源管理器42可以是操作系统38的部件。存储器保护管理器40可以实现为处理器30的存储器保护单元的部分。
[0016]控制器12还执行安全软件46和非安全软件48。安全软件46提供对电梯安全功能的控制,诸如将运动赋予电梯轿厢18、控制制动器20、打开轿厢门22以及控制电梯轿厢灯24。非安全软件48提供对电梯非安全功能的控制,诸如娱乐系统26,所述电梯非安全功能可以使信息(新闻、天气、本地事件等)流到轿厢内显示器。
[0017]为了将非安全软件48与安全软件46隔离,控制器12实现安全容器50,所述安全容器50控制并限制非安全软件48的操作。安全容器50可以由操作系统38配置和强化,所述操作系统38包括存储器保护管理器40和资源管理器42。安全容器50是用于保护验证的安全软件46不受来自非安全软件48的威胁的影响或不被其中断的验证的机构。可能的威胁包括禁止非安全软件48访问控制器12的安全相关的输入和输出、非安全软件48在安全软件46的数据上进行写入以及阻止安全软件46的执行(例如,非安全软件48的运行时间过多)。安全容器50向非安全软件48分配控制器资源(例如,存储器34、1/0单元32)并且监督限定边界中的访问。将检测到禁止的访问并且采用合适的对策(例如,暂停非安全软件48或停止电梯)。安全容器50监督非安全软件48的运行时间。所述运行时间可以例如通过以下方式监督:使资源管理器42以预设值启动定时器并且在定时器到时的情况下停止非安全软件48的执行。如果检测到故障,采用合适的对策(例如,部分或完全暂停非安全软件48或停止电梯)。
[0018]图3是示例性实施方案中的控制器12的操作的流程图。过程开始于100,其中限定用于非安全软件48的非安全软件参数。参数可以包括下述的一个或多个:(i)对I/O单元32访问的限制,(ii)对存储器34和/或配置寄存器的某些部分访问的限制,以及(iii)对处理器30的使用的限制(例如,运行时间限制)。一旦限定了用于非安全软件48的参数,流程就进行到102,其中确定非安全软件48是否违反一个或多个参数。可以例如通过由存储器保护管理器40确定非安全软件48试图访问存储器34中分配给安全软件46的区域来检测违反。可以例如通过由资源管理器42确定非安全软件48已经超过运行时间限制(例如,根据时间或指令的数目来测量)来检测违反。
[0019]如果非安全软件48在102处并未违反任何参数,那么流程进行到104,其中确定安全软件46是否以适当的顺序执行。这可以通过以下方式来执行:处理器30将当前指令顺序与参考指令顺序进行比较以确认安全软件46如所预期般执行。如果当前指令顺序与参考指令顺序匹配,那么流程返回到102。
[0020]如果在102处,非安全软件48违反了参数,那么流程进行到106,其中控制器12试图识别已违反参数的特定的非安全软件48。非安全软件48可以包括用于不同任务(例如,从本地服务器播放音乐以及从远程服务器检索天气)的多个模块。如果可以识别违反参数的特定的非安全软件48,那么可以在108处暂停非安全软件48。所述过程可以返回到102。
[0021]如果安全软件46在104处未以正确的顺序执行,或在106处无法识别违反参数的非安全软件48,那么流程进行到110,其中选择针对所述违反的适当的响应,例如,立即停止电梯轿厢18和/或将电梯轿厢18引导到最近的层站(landing)并且使乘客离开轿厢。如果所检测的违反