用于恢复电梯轿厢的操作的方法和电梯系统与流程

1.本公开涉及恢复电梯系统中的电梯轿厢的操作的方法和电梯系统。


背景技术：

2.已知在电梯系统内提供安全链，其中安全链中的每个开关或安全接触部对应于电梯系统的单独组件，例如检测门锁是否已接合的门传感器。安全链被配置，使得单个安全接触部的激活（例如安全链中的单个开关的打开）由于感测组件中的任何一个组件的失效（failure）而阻止电梯系统的操作。
3.此外，已知一旦安全接触部被激活，维护人员将被召集（call out）到电梯系统。他们将手动检查电梯系统，识别和纠正故障，以便恢复电梯系统的操作。
4.在电梯系统的电梯轿厢处于运动的同时激活安全接触部的情况下，这将导致电梯轿厢的紧急停止。这种紧急停止导致（一个或多个）被停止的轿厢内的任何乘客被困在（一个或多个）电梯轿厢内。期望尽可能快地解救任何被困的乘客，因为对于被困在电梯轿厢内的乘客来说这是令人不愉快的体验。已知这种紧急救援操作（ero）由维护人员手动执行，该维护人员必须在现场本地存在。维护人员操作电梯系统的控制面板以将电梯轿厢沿着井道移动到层站，并且在层站处停止轿厢之后，打开电梯轿厢门。


技术实现要素：

5.根据这个公开的第一方面，提供有一种电梯系统，该电梯系统包括：电梯轿厢；电梯控制器，其被配置成控制所述电梯轿厢的操作；以及安全控制器和连接到所述安全控制器的多个安全接触部，其中所述多个安全接触部监测所述电梯系统，其中所述安全控制器被配置成从所述多个安全接触部中的每个安全接触部接收个体状态信息，并且当从所述多个安全接触部中的一个安全接触部接收的所述个体状态信息指示所述电梯系统的不安全状况时，阻止所述电梯轿厢的移动；其中所述安全控制器被配置成：连接到远程计算装置；从所述远程计算装置接收第一认证信息；并且如果所述第一认证信息满足认证条件则认证所述远程计算装置；以及如果所述远程计算装置被认证，则准许所述远程计算装置超驰（override）所述安全控制器以实现所述电梯轿厢的移动。
6.根据本公开的第二方面，提供有一种当安全控制器因为由安全控制器接收的来自多个安全接触部中的一个安全接触部的个体状态信息指示电梯系统的不安全状况而正在阻止电梯轿厢移动时恢复电梯系统中的电梯轿厢的操作的方法，其中电梯控制器控制电梯轿厢的操作；所述方法包括：所述安全控制器与远程计算装置建立连接；所述远程计算装置向所述安全控制器发送第一认证信息；
所述安全控制器检查所述第一认证信息是否满足认证条件；以及如果所述第一认证信息满足所述认证条件，则认证所述远程计算装置；以及如果该远程计算装置被认证，则准许所述远程计算装置超驰所述安全控制器以实现所述电梯轿厢的移动。
7.通过直接利用安全控制器认证远程计算装置，有可能实现安全连接，通过该安全连接，经授权的人员仅能够远程访问安全系统并超驰安全控制器。将理解，安全控制器的超驰是指超驰安全控制器的自动动作，该自动动作通常阻止电梯轿厢的移动（例如，驱动功率供应的断开），使得再次准许电梯轿厢的移动。为了超驰安全控制器，远程计算装置以任何适当的方式动作，以反转（reverse）来自安全接触部中的一个安全接触部的不安全状况的指示。这可以例如涉及从远程计算装置到安全控制器的超驰命令。在至少一些示例中，远程计算装置可以例如使用安全控制器的软件通过桥接指示不安全状况的安全接触部来超驰安全控制器。为了例如在由于打开安全接触部而紧急停止之后重新实现电梯轿厢的运动，要求这样的超驰。特别重要的是，在乘客在紧急停止之后被困在电梯轿厢内的情况下，电梯轿厢的运动被重新实现。通过使用远程计算装置执行超驰，维护人员因此可以救援被困的乘客而不必对电梯系统进行物理访问。这减少了其中可以救援被困的乘客的时间，并且还提高了执行对电梯系统的救援操作的效率和便利性。
8.将理解，安全控制器与电梯控制器是分离的。因此，由安全控制器对远程计算装置的认证不授予对电梯控制器的经认证的访问，并且同样地，对电梯控制器的单独的认证不授予对安全控制器的经认证的访问或用来超驰安全控制器的准许。因此，利用与电梯控制器分离的安全控制器的直接认证提供了提高的网络安全性水平，因为不同的认证签名可以与用于认证到电梯控制器的任何认证信息分离地用于这个认证。与提供有对访问电梯控制器所要求的认证信息的维护人员相比，对访问安全控制器所要求的认证信息可以提供给更少的维护人员，例如维护人员的子集，从而提高安全性。例如，可以仅向诸如远程专家之类的某些使用者提供对利用安全控制器认证远程计算装置所要求的第一认证信息。
9.此外，将领会，安全控制器和电梯控制器可以各自具有到对于电梯轿厢的驱动系统的独立连接。在至少一些示例中，电梯控制器连接到驱动系统以便控制电梯轿厢的操作，并且安全控制器独立地连接到驱动系统以便阻止电梯轿厢的移动。驱动系统可包括驱动马达和马达制动器。电梯控制器可以被配置成例如在电梯系统的正常操作期间控制操作驱动马达（以移动轿厢）和马达制动器（以停止轿厢）。该安全控制器可以被配置成中断对该驱动系统的功率供应，使得例如响应于该电梯系统的不安全状况而阻止该驱动马达操作并且自动地应用该马达制动器。通过这个，将理解，尽管安全控制器和电梯控制器可以交换信息，但是安全控制器独立于电梯控制器的操作而操作以阻止电梯轿厢的移动（例如，在紧急停止情况下）。例如，安全控制器可以向电梯控制器提供个体状态信息。安全控制器包括其自己的逻辑，通过该逻辑来监测和检查每个安全接触部的个体状态。
10.多个安全接触部监测电梯系统并且例如通过总线连接到安全控制器。例如，安全控制器可以是安全系统的一部分，安全系统还包括连接到总线的总线节点，其中总线连接到安全控制器，并且总线节点连接到安全接触部。总线可以是控制器区域网络（can）总线。然而，可以采用任何其它合适的通信部件来将安全控制器连接到安全接触部。安全控制器可包括可运行软件的微处理器。微处理器可以例如以规则的间隔轮询总线节点，以获得安
全接触部的个体状态信息。
11.在本文描述的示例中的任何示例中，多个安全接触部中的任何安全接触部可以是物理接触部组或开关，例如布置在井道中的限制开关，或者备选地，是嵌入在安全控制器内的软件中的虚拟接触部组或开关。例如，安全控制器可以包括监测电梯轿厢的速度或驱动马达的电流汲取的适当软件，该驱动马达操作以驱动电梯轿厢。这样的虚拟安全接触部可以被配置成指示不安全状态，例如，在检测到电梯轿厢正移动过快时，或者当驱动马达正汲取过多电流时。
12.安全控制器被配置成接收多个安全接触部中的每个安全接触部的个体状态。通过接收，意味着安全控制器可以接收已经个别地指示每个安全接触部的状态信息的信息，例如从节点接收的信息，或者可以接收信息，从所述信息然后由安全控制器本身得到所述状态信息。在一个特别简单的布置中，多个安全接触部的至少一个子集彼此并行布线，然后连接到总线节点，使得对于每个接收到的状态信息信号，总线节点知道哪个安全接触部发送那个状态信息信号。
13.安全控制器被配置成连接到远程计算装置。将理解，这样的远程计算装置是相对于电梯系统远程定位的装置，即与本地定位在电梯系统处相反。因此，这样的远程计算装置不要求并且优选地不具有到电梯系统的物理连接，而是可以远离电梯系统地定位，例如可以远离地定位在服务中心中。
14.由安全控制器对远程计算装置的成功认证准许远程计算装置超驰安全控制器，从而实现电梯轿厢的移动。然而，优选地，成功的认证本身不自动地动作以便超驰安全控制器。相反，在一些示例中，安全控制器被配置成在实现电梯轿厢的移动之前从远程计算装置接收超驰命令。因此，在一些示例中，该方法进一步包括该远程计算装置向该安全控制器发送超驰命令，并且该安全控制器在实现电梯轿厢的移动之前接收该超驰命令。
15.在成功认证之后，使用单独的超驰命令确保了安全控制器对电梯轿厢移动的阻止仅在由远程计算装置的使用者特别指示时（例如在评估电梯系统的状态之后）才执行。因此，这允许远程计算装置的使用者评估电梯系统，并且然后做出关于是否发出超驰命令的知情和推理决定。这种决定可以例如基于在远程计算装置处接收到的与电梯系统相关的信息，包括例如每个安全接触部的个体状态信息，指示电梯轿厢位置的信息，或者电梯轿厢内是否有乘客。这有助于确保电梯轿厢的移动（而不管由安全接触部中的一个安全接触部指示的不安全状况）只有在例如基于由使用者所查看的信息这样做是安全的时候才被准许。例如，当已经评估层站门的安全接触部已经被正在接近的轿厢意外触发时，可以向安全控制器发送超驰命令，这是由门耦合的未对准引起的常见问题。在这种情况下，当电梯轿厢接近层站时指示不安全状况，并且超驰命令可用于将电梯轿厢移动成与层站对准并解救被困的乘客。因此，在至少一些示例中，该方法包括：当从层站门安全接触部接收到个体状态信息时，远程计算装置向安全控制器发送超驰命令。
16.在一些示例中，另外地或备选地，电梯系统还包括连接到电梯控制器和/或安全控制器的位置确定系统。位置确定系统可以是能够输出电梯轿厢在井道内的位置的任何位置参考系统。例如，位置确定系统可以包括与驱动系统相关联的编码器，其能够基于与驱动马达的移动相关的测量来输出电梯轿厢在井道内的位置。在一组示例中，位置确定系统是绝对位置确定系统，即，其精确地确定电梯轿厢相对于井道（电梯轿厢在其中行进）的绝对位
置。该位置确定系统有利地收集关于电梯轿厢的（例如，绝对的）位置信息，该位置信息然后可以例如借助于远程计算装置使对于维护人员可用。由远程维护人员可以使用这个位置信息来做出关于超驰安全控制器的更好的知情决定。
17.在一些示例中，控制命令可以由安全控制器接收，以便协助救援操作，从而仅要求对远程计算装置的单个认证。在一些这样的示例中，位置确定系统向安全控制器提供位置信息。如果远程计算装置被安全控制器认证，则安全控制器可被配置成向远程计算装置提供位置信息。因此，在一些示例中，该方法还包括安全控制器一旦远程计算装置被安全控制器认证就向所述远程计算装置发送位置信息。这允许远程计算装置的使用者直接从安全控制器接收位置信息，该位置信息然后可用于确定超驰安全控制器的动作以阻止电梯轿厢的移动是否是安全的。除了位置信息之外，或者代替位置信息，安全控制器还可以向远程计算装置提供每个个体安全接触部的状态，和/或电梯系统的所得到的安全状态（例如，操作模式，或堵塞状况等），和/或不基于安全接触部的其它安全相关信息，例如，与制动行为有关的信息。
18.在一些示例中，另外地或备选地，安全控制器被配置成从远程计算装置接收动作命令，并且响应于认证之后的动作命令来控制电梯轿厢的操作以执行动作。类似地，在一些示例中，该方法进一步包括该远程计算装置向该安全控制器发送动作命令并且该安全控制器响应于认证之后的动作命令来控制该电梯轿厢的操作以执行动作。动作命令例如可以是使电梯轿厢沿井道向上或向下移动的命令，或者是用来打开电梯轿厢门的命令。这进一步允许使用者通过一旦远程计算设备被认证就直接与安全控制器通信来直接控制电梯轿厢的操作，例如将轿厢驱动到层站，和/或打开电梯轿厢门。
19.备选地，远程计算装置还可以与电梯控制器通信，以便恢复电梯轿厢的操作。因此，在一些示例中，电梯控制器被配置成：连接到远程计算装置；从远程计算装置接收第二认证信息；以及如果第二认证信息满足认证条件则认证远程计算装置。因此，在远程计算装置和控制电梯轿厢操作的电梯控制器之间执行单独的认证。这个第二认证与由安全控制器进行的第一认证分离，并且可能要求单独的安全性凭证。这个第二认证信息可以是与由维护人员常规用于从电梯控制器获得电梯系统状态信息的认证信息相同的认证信息，例如，不仅在指示不安全状况时，而且还在常规维护期间。这种单独认证的通信可以允许远程计算装置获得为电梯控制器已知的有用信息，和/或向电梯控制器传送控制信号以便控制电梯轿厢的操作，而无需通过安全控制器的进一步参与。
20.因此，在一些示例中，该方法进一步包括：所述远程计算装置向所述电梯控制器发送所述第二认证信息；所述电梯控制器检查第二认证信息是否满足认证条件；以及如果所述第二认证信息满足所述认证条件，则认证所述远程计算装置。另外地或备选地，该方法可以包括电梯控制器在认证之后向远程计算装置发送位置信息。
21.安全控制器可以被配置成向电梯控制器提供多个安全接触部中的每个安全接触部的个体状态信息。除了位置信息之外，或者代替位置信息，电梯控制器还可以向远程计算装置提供每个个体安全接触部的状态。因此，在一些示例中，电梯控制器被配置成接收从安全接触部接收的指示不安全状况的个体状态信息，并在认证之后将个体状态信息发送到远程计算装置。在一些示例中，该方法因此可以包括安全控制器向电梯控制器发送从安全接触部接收的已指示不安全状况的个体状态信息，并且电梯控制器在认证之后向远程计算装
置发送个体状态信息。
22.在一些示例中，另外地或备选地，电梯控制器被配置成从远程计算装置接收动作命令，并且响应于认证之后的动作命令来控制电梯轿厢的操作以执行动作。因此，在一些示例中，该方法还包括远程计算装置向电梯控制器发送动作命令，并且电梯控制器响应于认证之后的动作命令来控制电梯轿厢的操作以执行动作。因此，远程计算装置的使用者可以控制电梯轿厢的操作（其在由安全控制器对远程计算装置的第一认证和发出超驰命令之后被重新实现），例如以驱动电梯轿厢到达层站和/或打开电梯轿厢门。
23.在一些示例中，本公开扩展到包括本文公开的电梯系统的远程控制系统，该电梯系统连接到上述远程计算装置。因此，在一些示例中，远程控制系统包括远程计算装置，即远离电梯系统定位的装置，在其上存储第一认证信息。远程计算装置可被配置成连接到（无线）网络。如上所述，远程计算装置可以被配置成使用第一认证信息对安全控制器进行认证。远程计算装置还可以存储第二认证信息。远程计算装置可以被配置成使用第二认证信息对电梯控制器进行认证。在一些示例中，第一认证信息和/或第二认证信息可以是证书。
24.在一些示例中，另外地或备选地，第一认证信息和/或第二认证被不对称地加密（即，使用公钥连同对应的私钥的加密）。这是一种可靠且安全的认证方法。例如，远程计算装置可被配置成非对称地加密第一组凭证以提供第一认证信息。远程计算装置可被配置成利用第一公钥或第一私钥加密第一组凭证。远程计算装置可被配置成利用第二公钥或第二私钥加密第二组证书以提供第二认证信息。第一组凭证和第二组凭证可以是相同的或不同的。
25.在一些示例中，安全控制器存储第一私钥，并且被配置成使用第一私钥对加密的第一认证信息进行解密。备选地，在其它示例中，安全控制器存储第一公钥，并且被配置成使用第一公钥对加密的第一认证信息进行解密。将理解，第一私钥以非对称加密领域中已知的方式对应第一公钥。因此，（第一）认证条件（用于向安全控制器认证远程计算装置）可以是使用第一私钥或公钥对加密的第一认证信息的成功解密。
26.在一些示例中，作为非对称加密的补充或备选，第一认证信息和/或第二认证信息被对称地加密（即，使用为双方已知的私钥进行加密和解密的加密）。在对称密钥认证的情况下，私钥可以在初始认证轮次期间生成并且仅针对特定通信会话存储。
27.在一些示例中，电梯控制器存储第二私钥，并且被配置成使用第二私钥对加密的第二认证信息进行解密。备选地，在其它示例中，电梯控制器存储第二公钥，并且被配置成使用第二公钥对加密的第二认证信息进行解密。将理解，第二私钥以非对称加密领域中已知的方式对应第二公钥。因此，（第二）认证条件可以是使用第二私钥或公钥对加密的第二认证信息的成功解密，通过所述（第二）认证条件，远程计算装置被电梯控制器认证。
28.在一些实施例中，第一认证信息和/或第二认证信息可以由（置信的）认证机构（certificate authority）生成。远程计算装置可以将分别包含第一公钥和/或第二公钥以及第一和/或第二组凭证的第一请求和/或第二请求发送到认证机构。认证机构可以验证请求中的信息，并通过利用认证机构私钥加密第一和/或第二请求来生成第一认证信息和/或第二认证信息。这个第一和/或第二认证信息然后可以被发送到远程计算装置，并被存储在远程计算装置上。
29.安全控制器可以通过使用认证机构公钥（即，与认证机构的私钥相对应的密钥）对
信息进行解密来确认认证机构已经验证第一认证信息和/或第二认证信息。因此，在一些示例中，该方法还包括远程计算装置使用（第一）公钥或（第一）私钥来加密第一组凭证以提供第一认证信息。在一些示例中，该方法还包括安全控制器使用存储在安全控制器上的（第一）私钥来解密第一认证信息。类似地，在一些示例中，该方法还包括远程计算装置使用第二公钥或第二私钥来加密第二组凭证以提供第二认证信息。在一些示例中，该方法还包括电梯控制器使用存储在电梯控制器上的第二私钥来解密第二认证信息。
30.安全控制器可以被配置成通过（有线或无线）通信网络连接到远程计算装置。电梯控制器可以被配置成通过（有线或无线）通信网络连接到远程计算装置。在一些示例中，远程控制系统还包括无线网络，优选地是诸如基于云的网络（例如因特网）的长程无线网络。在一些示例中，该方法还包括远程计算装置和/或安全控制器和/或电梯控制器连接到（无线）通信网络。该方法还可以包括远程计算装置通过（无线）通信网络向安全控制器发送第一认证信息。该方法还可以包括远程计算装置通过（无线）通信网络向电梯控制器发送第二认证信息。
附图说明
31.现在将参考附图仅以示例的方式描述这个公开的某些优选示例，其中：图1是根据本公开的示例的电梯系统的示意图；图2是根据本公开的示例的示出安全系统和相关组件的示意图；图3是根据现有技术的示出在电梯轿厢紧急停止之后救援被困的乘客的方法的流程图；图4是根据本公开的示出在电梯轿厢紧急停止之后救援被困的乘客的方法的流程图；以及图5是根据本公开的示例的表示认证请求的示意图。
具体实施方式
32.如图1中所示，电梯系统20包括在建筑物的各个楼层之间的井道34中运行的电梯轿厢22。电梯轿厢22通过受拉构件26（例如一个或多个绳索或带）悬挂在井道34中。受拉构件26的另一端连接到配重24。电梯轿厢22和配重24是电梯系统20中的移动组件。然而，将领会，在其它示例中，电梯系统可以是无绳的。
33.在正常操作期间，电梯轿厢22在井道34中上下行进以在建筑物的楼层之间运送乘客和/或货物。电梯轿厢22由包括驱动马达32和马达制动器36的驱动系统30驱动。受拉构件26越过（pass over）驱动滑轮（未示出），该驱动滑轮由驱动马达32驱动以旋转并由马达制动器36制动。驱动系统30的正常操作由电梯控制器40控制。
34.电梯系统20还包括绝对位置测量系统50，其被配置成确定电梯轿厢22在井道34中的绝对位置和速度。在这个示例中，绝对位置测量系统50被配置成将电梯轿厢22的绝对位置和速度的测量输出到电梯控制器40。在其它示例中，绝对位置测量系统50可以连接到安全控制器52（下面更详细地描述），以及或代替其到电梯控制器40的连接。在这样的示例中，绝对位置测量系统50可以包括沿井道34的路径的至少一部分延伸的编码带（未示出）和安装在电梯轿厢22上并布置成读取编码带以确定电梯轿厢22在井道34中的绝对位置和速度
的两个传感器（未示出）。
35.电梯系统20还包括安全系统53，其包括连接到安全总线54的安全控制器52。如上所述，绝对位置测量系统50还可以（或备选地）通过安全总线54连接到安全控制器52，并且还可以（或备选地）向安全控制器52供应位置和速度信息。
36.安全控制器52可以是如在相关的用于电梯的安全相关应用中的可编程电子系统（pessral）标准中定义的节点。安全控制器52通过安全总线54与多个总线节点42a-d，44，46，48a-b通信。安全总线54可以是can总线，并且在图1和2中利用虚线表示。
37.总线节点42a-d，44，46，48a-b各自与遍及电梯系统20定位的多个安全接触部中的一个安全接触部相关联。在如所示的特定示例中，存在四个层站门节点42a-d，每个层站门节点对应电梯系统20的相应的一组层站门。存在与电梯系统20的坑（pit）中的安全接触部相关联的坑开关节点44。当维护人员在坑中工作时，这个安全接触部可以由维护人员打开。存在与超速开关或安全接触部相关联的超速节点46，所述超速开关或安全接触部检测电梯轿厢的超速状况，并且如果检测到超速则打开。超速节点46连接到绝对位置测量系统50。还存在与电梯轿厢22的安全接触部相关联的两个节点48a，48b。特别地，存在连接到门传感器的电梯门节点48a和紧急停止节点48b。
38.安全系统53连同相关组件一起在图2中更详细地示出。可以看出，如上所述，节点42a-d，44，46，48a-b中的每个连接到安全接触部41a-41h中的至少一个。安全系统53还包括连接到安全总线54的致动器节点56。如果需要的话，致动器节点56可以中断对驱动系统30的功率供应以执行紧急停止，如下所述。将理解，安全系统53中的致动器节点56被配置成中断驱动系统30的操作（例如，在检测到不安全状况时），而与被配置成在正常操作状况期间控制驱动系统30的电梯控制器40无关。致动器节点56仅允许或阻止电梯轿厢22的移动，但不能用于将电梯轿厢22驱动到楼层。正是电梯控制器40向驱动系统30发出运行命令。
39.安全总线54还将安全控制器52连接到无线通信网关60，通过该无线通信网关的方式，安全控制器52可以无线地与服务器62连接，并且还与连接到所述服务器62的远程计算装置64连接，如下所述。
40.安全总线54还连接到电梯控制器40，使得电梯控制器40从安全系统53接收指示安全接触部41a-41g中的每个的状态的个体状态信息，即，每个安全接触部是打开的还是闭合的。因此，安全控制器52监测和评估每个安全接触部的个体状态，但是这个信息也被提供给电梯控制器40以便于维护工作，例如通过在电梯系统中的装置上显示个体安全接触部或整个安全链的状态。
41.在正常操作期间的任何点处，基于从连接到安全总线54的各个节点获得的信息，可以触发电梯轿厢22的紧急停止。例如，如果井道门被打开（如由节点42a-d所检测到的），如果维护工人出现在电梯通道的坑中（如由节点44所检测到的），或者电梯轿厢22行进过快（如由超速节点46所检测到的），则可以执行紧急停止，例如通过使用致动器节点56中断向驱动系统30的功率供应来执行紧急停止。功率的损失触发制动器36接合和停止马达32（即，去除施加到驱动滑轮的任何驱动扭矩）。这使得电梯轿厢22（和配重24）快速停止。
42.一旦以这种方式触发了安全控制器52，就知道电梯系统被配置，使得然后安全系统53不能被超驰，并因此不能恢复电梯轿厢的移动，直到维护人员亲临电梯系统20，检查电梯系统20，并手动超驰安全控制器52。在一些情况下，当执行紧急停止时，乘客在轿厢内，并
且因此如果轿厢在层站之间停止，乘客将被困住。为了救援这样的被困的乘客，要求超驰安全控制器52以允许轿厢移动到层站。
43.参照图3描述了在电梯轿厢紧急停止之后救援被困的乘客的这种已知现有技术方法。
44.该方法在一个或多个乘客200（其在紧急停止之后被困在电梯轿厢中）和维护人员或机械师（mechanic）202之间执行，该维护人员或机械师亲临电梯系统以执行安全控制器252的手动超驰。借助于电梯控制器240，安全控制器252和电梯服务204（其中服务器62被托管用于与电梯控制器240和安全控制器252通信），通过这两方之间的通信来执行该方法。
45.最初，在步骤210处，乘客在正常操作期间正使用电梯轿厢。然后，在步骤212处，总线节点中的一个总线节点处的信号使安全控制器252向电梯控制器240提供信号，该信号阻止电梯轿厢的移动。这使得电梯轿厢经历紧急停止，这导致在步骤214处乘客被困住。在步骤216处，乘客200然后在电梯轿厢内发出警报，这使得警报信号被发送到电梯服务204。该电梯服务204然后在步骤218处向机械师202发信号。
46.然后，在步骤220处，作为接收信号的结果，机械师202访问电梯系统。一旦本地出现在现场，在步骤222处，机械师202向电梯控制器240请求电梯状态细节。作为响应，在步骤224处，电梯控制器240通过提供电梯系统的状态细节来响应。
47.这些状态细节允许机械师202识别安全接触部中的哪个安全接触部需要被旁路以便实现电梯轿厢的移动。然后，在步骤226处，机械师202通过电梯控制器经由轿厢中的扬声器向乘客200通知救援操作。
48.在步骤228处，机械师202手动旁路已触发紧急停止的安全接触部，其中机械师已确定这样做是安全的，并且在步骤230处，手动激活电梯轿厢的紧急电操作。
49.一旦旁路安全链，则在步骤232处，机械师能够使用电梯控制器240的手动控制在向上或向下方向上手动运行轿厢，直到在步骤234处轿厢到达电梯系统的层站。一旦轿厢到达层站，机械师202在步骤236处终止手动运行命令，并在步骤238处手动打开电梯轿厢的层站门。
50.一旦电梯门被打开，乘客就能够离开电梯轿厢，并因此被救援（在步骤242处）。一旦救援操作完成，则在步骤244处，机械师202移除安全接触部的旁路。这个过程是耗时的，因为它要求机械师物理地亲临电梯系统，并且还要求由机械师进行的大量人工干预。
51.期望能够尽可能快和方便地救援被困的乘客，同时还保持电梯系统的安全和安全性。在图4的流程图中示出了根据本公开的在电梯轿厢紧急停止之后救援被困的乘客的方法。
52.该方法在一个或多个乘客300（其在紧急停止之后被困在电梯轿厢22中）与正在使用远程计算装置64（图2中所示）的维护人员或机械师302之间执行。借助于电梯控制器40，安全控制器52和电梯服务304，通过这两方之间的通信来执行该方法。
53.最初，在步骤310处，乘客在正常操作期间正使用电梯轿厢。然后，在总线节点中的一个总线节点处的信号使安全控制器52检测到不安全状况，并向致动器节点56提供信号以中断对驱动系统30的功率供应，这阻止了电梯轿厢22的移动。然后，在步骤312处，安全控制器52还将电梯系统的新状态通知电梯控制器40。阻止电梯轿厢22的移动导致电梯轿厢22经历紧急停止。在步骤314处，这导致乘客被困。在步骤316处，乘客300然后在电梯轿厢22内发
出警报，这使得警报信号被发送到电梯服务304。该电梯服务304然后在步骤318处向机械师302发信号。
54.在步骤320处，不是如上述现有技术方法中那样物理地亲临电梯系统，而是机械师302远程地访问电梯系统，更特别地访问安全控制器52本身，如下所述。
55.远程计算装置64首先（或在这个方法开始之前）建立与otis服务器62的数据连接，如由图2中远程计算装置64和otis服务器62之间的虚线所示。
56.otis服务器62可以例如通过相应的天线与网关60无线通信，所述网关60连接到安全总线54并因此连接到安全控制器52和电梯控制器40。因此，远程计算装置64能够与安全控制器52和电梯控制器40通信（例如交换数据和/或命令）。
57.在步骤322处，机械师302经由到网关60的无线数据连接向电梯控制器40传送请求，请求关于电梯系统40的信息，例如包括电梯轿厢的位置和/或连接到安全控制器52的每个个体安全接触部的状态。该信息还可以包括对电梯维护有用的各种其它信息，例如电梯系统的所得到的安全状态（例如操作模式或堵塞状况等），以及不基于安全接触部的其它安全相关信息，例如涉及制动行为。
58.为了确保这样的状态信息不被传送到无权访问该信息的第三方，例如黑客，电梯控制器40要求远程计算装置64经历并成功地通过认证过程，使得该信息仅被传送到授权方。为了开始该过程，在步骤323处，电梯控制器40将信号传送回远程计算装置64，从而向技工302指示要求授权。
59.然后，在步骤325处，在相对于图5更详细描述的过程中，机械师302通过向电梯控制器提供认证信息来响应。如下所述，电梯控制器40检查这个信息，并且如果认证成功，则在步骤324处向远程计算装置64发送指示远程计算装置64的认证已被准许的响应，并且向机械师302提供所请求的状态信息。
60.基于所接收的信息，机械师302然后能够做出关于是否要求安全控制器52的超驰的知情决定，例如，如果电梯轿厢位于层站之间并且因此必须移动到层站以便允许乘客离开，以及还有安全控制器52的超驰是否是安全决定。如果机械师302决定要求安全控制器52的超驰，则该方法如下所述的那样进行。
61.在步骤326处，机械师302通过电梯控制器40经由轿厢中的扬声器通知乘客300救援操作。
62.为了移动电梯轿厢，必须超驰安全控制器52。以前，由本地出现在电梯系统处的维护人员执行旁路，如上所述，并且因此传统的安全性（例如存在于建筑物入口处的安全保护）阻止未授权方的访问。在本方法中，安全系统52可通过无线连接远程访问。因此，为了确保只有经授权的人能够超驰安全控制器40，要求由机械师302使用的远程计算装置64对安全控制器52的认证。远程计算装置64必须与上述对电梯控制器40的认证分开地对安全控制器52进行认证。
63.在第一步骤350中，机械师302向安全控制器52发送超驰命令，指示安全控制器52重新实现电梯轿厢的移动，即超驰被打开以触发紧急停止的安全接触部。在步骤352处，安全控制器52然后向远程计算装置64发送指示机械师302要求授权的响应。
64.然后，在步骤354处，在相对于图5更详细描述的过程中，机械师302通过向安全控制器52提供认证信息来响应。如下所述，安全控制器52检查这个信息，并且如果认证成功，
则在步骤356处向远程计算装置64发送指示远程计算装置64的认证已被准许的响应。然后，安全控制器52执行超驰命令，使得尽管安全接触部打开，电梯轿厢22的移动再次被实现，并在步骤358处向远程计算装置64发送信号，指示超驰命令已被执行。
65.电梯轿厢22的移动因此再次有可能。电梯轿厢可以自动地将其自身移动到最近的层站，而无需来自机械师302的特定指令。备选地，如图4中所示，在步骤360处，机械师可以向电梯控制器40发送明确的运行命令，指示电梯轿厢开始沿井道向上或向下行进。在步骤362处，电梯控制器40向远程计算装置64传送信号，指示运行命令正在执行，即电梯轿厢正在被移动，并且然后在步骤334处传送另外的信号，指示电梯轿厢已经到达层站。
66.一旦机械师302意识到电梯轿厢停止在层站处，则在步骤338处，机械师302从远程计算装置64向电梯控制器40发出门打开命令，响应于此，在步骤342处，电梯轿厢门被打开，并且因此乘客被救援。
67.一旦乘客已经被成功救援，就不再要求安全控制器52的超驰，并且实际上出于安全目的是不期望的。因此，在步骤364处，安全控制器52向远程计算装置64发送信号，指示超驰命令已被终止，使得再次阻止电梯轿厢的操作，直到（一个或多个）安全接触部已被“闭合”以恢复电梯系统的正常操作状态。然后，在步骤366处，终止远程计算装置64对安全控制器52的授权。将来，如果使用相同远程计算装置64的相同机械师302希望超驰安全控制器52，则将因此要求对安全控制器52的新认证。
68.上面相对于图4描述的认证过程在示意图5中更详细地表示，图5示出了在远程计算装置64与相应的安全控制器52和电梯控制器40之间的认证过程。
69.如在图5的左手侧上可见，远程计算装置64存储第一证书500和第一公钥502。这个第一公钥502可以不永久地存储在远程计算装置64上，而是可以在要求时从别处检索。
70.置信的认证机构用于生成证书。为此，首先，远程计算装置64向认证机构发送包含第一公钥502和远程计算装置凭证（例如，利用第一公钥502加密的凭证）的请求。认证机构验证请求中的信息，并利用认证机构私钥（认证机构保证其不能被黑客攻击）“数字签名”证书。这个证书500然后被发送到远程计算装置64，在那里它被存储。
71.证书500被发送到安全控制器52。然后，安全控制器52可以使用认证机构的公钥来确认认证机构的数字签名，并且还可以使用私钥504（也称为工厂密钥）来确认远程计算装置64拥有第一公钥，该私钥504存储在安全控制器52上——特别地存储在智能卡芯片508上，例如通过对凭证进行解密。然后检查解密的证书500a的有效性，例如检查该证书是否由置信的认证机构签名。
72.如果证书被认为是有效的，则认为远程计算装置64被验证。
73.类似地，为了对电梯控制器40进行认证，远程计算装置64存储第二证书600，所述第二证书600使用存储在远程计算装置64上的第二公钥602以与上述方式相同的方式生成。然后，安全控制器52可以使用认证机构的公钥来确认认证机构的数字签名，并且还可以使用第二私钥604（也称为工厂密钥）来确认远程计算装置64拥有第二公钥602，所述第二私钥604存储在安全控制器52上——特别地存储在智能卡芯片608上。然后检查解密的证书600a的有效性，例如检查该证书是否由置信的认证机构签名。
74.对于第一和第二证书500，600两者，认证机构（以及因此认证机构私钥和公钥）可以是相同的，或者可以使用不同的认证机构来各自生成。
75.由本领域技术人员将领会，已经通过描述本公开的一个或多个特定方面来说明本公开，但是本公开不限于这些方面；在所附权利要求的范围内，许多变化和修改是可能的。