PatentDe  


Dokumentenidentifikation DE60029312T2 05.07.2007
EP-Veröffentlichungsnummer 0001159218
Titel ELEKTRONISCHE SICHERHEITSSCHALTUNG FÜR AUFZÜGE
Anmelder Otis Elevator Co., Farmington, Conn., US
Erfinder HERKEL, L., Peter, D-10997 Berlin, DE;
SPIELBAUER, Josef, Hans-Kilian, D-73503 Berlin 27, DE
Vertreter Klunker, Schmitt-Nilson, Hirsch, 80797 München
DE-Aktenzeichen 60029312
Vertragsstaaten DE, ES, FR, IT
Sprache des Dokument EN
EP-Anmeldetag 01.03.2000
EP-Aktenzeichen 009176991
WO-Anmeldetag 01.03.2000
PCT-Aktenzeichen PCT/US00/05479
WO-Veröffentlichungsnummer 2000051929
WO-Veröffentlichungsdatum 08.09.2000
EP-Offenlegungsdatum 05.12.2001
EP date of grant 12.07.2006
Veröffentlichungstag im Patentblatt 05.07.2007
IPC-Hauptklasse B66B 5/00(2006.01)A, F, I, 20051017, B, H, EP
IPC-Nebenklasse B66B 1/34(2006.01)A, L, I, 20051017, B, H, EP   

Beschreibung[de]
HINTERGRUND DER ERFINDUNG GEBIET DER ERFINDUNG

Die vorliegende Erfindung richtet sich allgemein auf in Aufzugssystemen verwendete Sicherheitsgerätschaft und insbesondere richtet sich die vorliegende Erfindung auf ein verbessertes Sicherheitssystem, das moderne elektronische Komponenten verwendet. Das verbesserte Sicherheitssystem verbessert die Installationszeit, Qualität, Herstellungskosten und Betriebseigenschaften deutlich.

STAND DER TECHNIK

Aufzugssicherheitssysteme des Standes der Technik werden unter Verwendung einer Sicherheitskette implementiert, die eine Reihenschaltung ist, die Schalter und Kontakte aufweist. Die Kontakte und Schalter werden von der Dienstperson und einigen Vorrichtungen in dem Aufzug bedient. Einige Vorrichtungen werden von der Kabine gesteuert, wie z.B. der Regler für überhöhte Geschwindigkeit und der Grenzschalter. Andere werden von den Türen gesteuert, wie z.B. die Schalter und die Schlösser der Schachttüren.

Die Sicherheitskette betätigt Relais (oder Schütze), die den Strom zu dem Motor und der Bremse handhaben. Eine Betätigung eines beliebigen Kontakts in der Kette trennt den Motor oder den Antrieb von der Hauptstromversorgung. Einige Teile der Sicherheitskette können überbrückt werden, andere Teile können eingefügt werden, um die Sicherheitsüberwachung für spezielle Betriebsweisen während Inspektions-, Wartungs- und Rettungsoperationen zu ändern.

Ein solches Sicherheitssystem ist aus US-A-5360952 bekannt.

Während der Wartung und der Inspektion ist es manchmal notwendig, für das Testen und Suchen von Fehlern von Hand Brücken in die Sicherheitskette einzufügen. Die Brücken können sich überall in dem Aufzugsschacht und der Kabine befinden. Die manuelle Installation und Entfernung der Brücken ist zeit- und arbeitsintensiv.

Die Reihenschaltung der Kontakte und das Überbrücken und Einfügen von Kontakten für Rettungsoperationen und Inspektion führen zu einer langen Kette, die normalerweise um ein Mehrfaches (normalerweise sechs- bis achtmal) so lang ist wie die Länge des Aufzugsschachts. Die Länge der Sicherheitskette führt zur Verwendung von höheren Spannungen im Bereich der Hauptspannung, um die Auswirkungen von Spannungsverlusten entlang der Kette zu minimieren.

Die Kontakte in der Sicherheitskette müssen eine positive Öffnungseigenschaft haben. Die Verwendung von elektronischen Sensoren ist in vielen Installationen nicht erlaubt.

Bis vor sehr kurzem verlangten auf Grund von Bedenken, dass elektronische Implementierungen von Stromausfällen lahmgelegt würden, fast alle Länder, dass Aufzugssicherheitssysteme mechanisch implementiert werden. Die Bestimmungen haben sich jedoch angesichts der anerkannten Fähigkeit von Elektronik-Ingenieuren und verbesserter Technik geändert. Diese neuen Konstruktionen sorgen für einen Ausfallabsicherungsmodus im Fall von Stromausfällen.

Deshalb wurde befunden, dass ein Bedarf an einer verbesserten Konstruktion eines Aufzugssicherheitssystems besteht, die die Teileliste und die Herstellungskosten reduziert und gleichzeitig die Betriebsfähigkeit verbessert.

ZUSAMMENFASSUNG DER ERFINDUNG

Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung wird ein neuartiges elektronisches Sicherheitssystem für Aufzüge offenbart, das die Inspektion und Diagnosearbeit verbessert, einen sicheren Aufzugsbetrieb fördert und eine sichere Reduzierung ermöglicht, wenn ein unsicherer Zustand detektiert wird. Das elektronische Sicherheitssystem weist ein modernes elektronisches System auf, das einen Kommunikationsbus aufweist, der den Austausch von Steuer- und Datensignalen zwischen einer auf einem Mikroprozessor basierenden Steuereinrichtung und verschiedenen anderen Komponenten einschließlich derart konstruierter Busknoten, dass sie Schnittstellen mit Sensoren, Kontakten und Schaltern bilden, einhergehend mit Detektoren, Komponenten und anderer Sicherheitsgerätschaft, die für die Gewährleistung des sicheren Betriebs eines Aufzugsystems erforderlich sind, erleichtern.

Eine softwaregesteuerte Mikroprozessoranordnung betätigt einen Kommunikationsbus, der Busknoten überall in dem ganzen Aufzugssystem hat. Die Busknoten werden periodisch abgefragt, um den Status der mit den Busknoten verbundenen Sensoren, Kontakte und Schalter zu ermitteln. Der Mikroprozessor kann in einer von mehreren verschiedenen Betriebsweisen wie Wartung, Inspektion, normale Betriebsarten, herabgesetzte Betriebsarten und Notfallbetriebsarten laufen. Bei Bedarf erzeugt die Mikroprozessoranordnung Ausgabesignale an das Aufzugssteuersystem und das Aufzugsantriebs- und Bremssystem.

Der Mikroprozessor erhält Konfigurationsinformation von einem bordeigenen nichtflüchtigen Speicher, der für das bestimmte Modell des Aufzugs spezifische Daten und andere spezifische Installationsparameter enthält. Wenn ein unsicherer Zustand auftritt, erzeugt der Mikroprozessor die entsprechenden Ausgaben, die an die Aufzugssteuerungs- und Antriebssysteme zu übertragen sind. Das elektronische Sicherheitssystem kann Vorrichtungen aktivieren, um die Bewegung des Aufzugs zu stoppen. Der Mikroprozessor, der Kommunikationsbus und die zugehörigen Komponenten schaffen ein elektronisches Sicherheitssystem, das zentral verwaltet werden kann und die Installationszeit, Qualität, Herstellungskosten und Betriebseigenschaften deutlich verbessert.

Die oben erörterten und andere Merkmale und Vorteile der vorliegenden Erfindung werden vom Fachmann aus der folgenden detaillierten Beschreibung und den folgenden Zeichnungen erkannt und verstanden werden.

KURZE BESCHREIBUNG DER ZEICHNUNGEN

Jetzt wird Bezug auf die Zeichnungen genommen, in denen ähnliche Elemente in den verschiedenen Figuren gleich nummeriert sind:

1 ist ein Blockdiagramm auf hoher Systemebene eines elektronischen Sicherheitssystems, das die Systemkomponenten und Schnittstellen darstellt;

2 ist ein Blockdiagramm auf hoher Systemebene einer Mikroprozessoranordnung, das ein einzelnes Mikroprozessorsystem und seine Schnittstellen darstellt;

3 ist ein Blockdiagramm auf hoher Systemebene einer Mikroprozessoranordnung, das zwei Mikroprozessorsysteme und ihre Schnittstellen darstellt; und

4 ist ein Statusdiagramm, das die Zustände des elektronischen Sicherheitssystems darstellt.

DETAILLIERTE BESCHREIBUNG DER ERFINDUNG

Mit Bezug auf 1 ist ein Blockdiagramm auf hoher Systemebene eines elektronischen Sicherheitssystems 8 gezeigt, das die Systemkomponenten und Schnittstellen darstellt. Eine Steuereinrichtung 20 kommuniziert über einen Sicherheitsbus 4 mit einer Mehrzahl von Busknoten 9196. Der Sicherheitsbus 4 ist mittels eines als Controller Area Network (CAN)-Bus bekannten Kommunikationsprotokolls implementiert. Jeder Busknoten 9196 in dem System 8 bildet eine Schnittstelle mit verschiedenen Sensoren, Schaltern oder anderen Eingangs- oder Ausgangseinheiten, wie untenstehend detaillierter beschrieben. Die Steuereinrichtung 20 verarbeitet die Daten von den Busknoten 9196 kontinuierlich und liefert unter bestimmten Bedingungen ein Ausgabesignal an die Aufzugsteuerung 40 und ein Ausgabesignal an das Antriebs- und Bremssystem 50.

Ein Schalter für überhöhte Geschwindigkeit 81, der sich im Maschinenraum 80 befindet, nimmt die tatsächliche Geschwindigkeit der Aufzugskabine 60 wahr und bestimmt, ob die tatsächliche Geschwindigkeit für jegliche Richtung der Kabinenbewegung, nach oben oder unten, innerhalb vorherbestimmter Grenzen liegt. Wenn ein Zustand einer überhöhten Geschwindigkeit detektiert wird, dann sendet der Schalter für überhöhte Geschwindigkeit 81 ein Signal für überhöhte Geschwindigkeit an den Busknoten 94 im Maschinenraum 80. Die Steuereinrichtung 20 empfängt das Signal für überhöhte Geschwindigkeit während der Datenkommunikation mit dem Busknoten 94 im Maschinenraum 80. Beim Wahrnehmen eines Zustands einer überhöhten Geschwindigkeit schickt die Steuereinrichtung 20 über die Steuereinrichtungs-/Antriebs- & Bremsschnittstelle 52 ein Arretierungssignal an das Antriebs- & Bremssystem 50, um die Aufzugskabine 60 auf eine sichere Art zu arretieren. Ein Statussignal wird auch von der Steuereinrichtung 20 über die Steuereinrichtungs-/Aufzugsteuerungsschnittstelle 42 an die Aufzugsteuerung 40 geliefert, das anzeigt, dass ein Zustand von überhöhter Geschwindigkeit eingetreten ist.

Mit Bezug auf den Aufzugsschacht 70 befindet sich ein individueller Busknoten 91, 92 & 93 an jeder entsprechenden Schachttür 1, 2 & 3, um Eingaben von verschiedenen Sensoren zu empfangen. Jeder entsprechende Busknoten 91, 92 & 93 in dem Aufzugsschacht 70 bildet eine Schnittstelle mit einem entsprechenden Türsensor 31, 32 & 33 an jeder entsprechenden Schachttür 1, 2 und 3. In der vorliegenden Ausführungsform gibt es eine Schachttür 1, 2 & 3 pro Stockwerk (erster Stock, zweiter Stock, dritter Stock). In manchen Aufzugssystemen können bestimmte Aufzugskabinen jedoch mehr als eine Kabinentür (nicht gezeigt) haben und können oder können nicht mehr als eine Schachttür auf jedem Stockwerkflur haben. In jedem Fall wären alle Schachttüren in jedem Stockwerk auf eine ähnliche Weise mit einem Busknoten 9193 ausgestattet, der sich an jeder Schachttür oder jedem Stockwerkflur befindet. Die Busknoten 9193 liefern die Statusinformation der Türsensoren 31-33 von jeder Schachttür 13 über den Sicherheitsbus 4 an die Steuereinrichtung 20. Die Steuereinrichtung 20 verarbeitet die Information der Türsensoren 3133 von jeder Schachttür 13, um die Steuersequenzen für die Aufzugskabine 60 zu bestimmen. Wenn die Steuereinrichtung bestimmt, dass ein unsicherer Zustand besteht, schickt die Steuereinrichtung 20 über die Steuereinrichtungs-/Antriebs- & Bremsschnittstelle 52 ein Arretierungssignal an das Antriebs- und Bremssystem 50, um den Aufzug auf eine sichere Weise zu arretieren. Ein Statussignal, das den unsicheren Zustand anzeigt, wird auch von der Steuereinrichtung 20 über die Steuereinrichtungs-/Aufzugssteuerungsschnittstelle 42 an die Aufzugssteuerung 40 geliefert.

Ein Schachtschalter 71 für die Verwendung durch Wartungspersonal befindet sich im Boden des Aufzugsschachts 70. Der Schachtschalter 71 ist mit dem nächsten Busknoten 91 verbunden, der sich in dem Erdgeschossflur befindet. Wenn die Steuereinrichtung 20 den Busknoten 91 befragt und wahrnimmt, dass der Schachtschalter 71 aktiviert wurde, behandelt er das Ereignis als einen Notfallzustand. Die Steuereinrichtung 20 gibt ein Arretierungssignal an das Antriebs- und Bremssystem 50 aus, um die Aufzugskabine zu einem gesteuerten unmittelbaren Halt zu bringen. Die Steuereinrichtung 20 aktualisiert auch die Aufzugssteuerung 40 mit einem Statussignal.

Bezüglich der Aufzugskabine 60 befinden sich mehrere Busknoten 95 & 96 an der Kabine 60, um eine Sensoreingabe zu empfangen. Der Busknoten 95 empfängt von dem Inspektionsschalter 61 zugeführte Daten und von dem Nothaltschalter 62 zugeführte Daten. Der Busknoten 96 erhält von dem Aufzugskabinentürschalter 63 zugeführte Daten. In einem Betriebsmodus kommuniziert die Steuereinrichtung 20 auf eine reagierende Art mit jedem der Busknoten 95 & 96, die sich in der Aufzugskabine 60 befinden. Wenn die Steuereinrichtung 20 eine Aktivierung des Nothaltschalters 62 wahrnimmt, wird der Notfallzustandsprozess aktiviert. Wenn die Steuereinrichtung 20 eine Aktivierung des Inspektionsschalters 61 wahrnimmt, wird der Inspektionszustandsprozess aktiviert. Der Aufzugskabinentürschalter 63 wird von der Steuereinrichtung 20 überwacht, um zu bestimmen, ob die Aufzugskabinentür 64 offen oder geschlossen ist. Die Steuereinrichtung 20 bestimmt auf der Grundlage bekannter Logik, ob ein unsicherer Zustand bezüglich des Aufzugskabinentürschalters 63 besteht. Wenn sich zum Beispiel die Aufzugskabinentür 64 bei einem Stockwerkflur öffnet, ist das nicht unsicher, während jedoch das Öffnen einer Kabinentür 64 während der Bewegung der Aufzugskabine normalerweise unsicher ist.

Der Fachmann wird erkennen, dass die oben genannte Konstruktion des Sicherheitsbusses 4 sehr flexibel ist und dass zusätzliche Busknoten 9196 nach Bedarf hinzugefügt oder weggelassen werden können, unter Vornahme der geeigneten Softwareänderungen, um die neuen Daten zu verarbeiten. Außerdem können einige Knoten 9196 eine Reserve-Eingangs-/Ausgangskapazität haben, so dass sie eine Schnittstelle mit zusätzlichen Sensoren bilden können. Die Modularität des Sicherheitsbusses 4 ermöglicht es, dass diese Arten von Modifizierungen gegenüber dem Stand der Technik auf eine verbesserte Art gemacht werden.

Einzelner Mikroprozessor (Fig. 2)

Mit Bezug auf 2 ist ein Blockdiagramm auf hoher Systemebene einer Mikroprozessoranordnung 101 gezeigt, das die Systemkomponenten darstellt. Eine universale Steuereinrichtung oder ein universaler Mikroprozessor 11 kommuniziert über einen Mikroprozessorsystembus 17 mit einem Nurlesespeicher (ROM) 12, einem Speicher mit wahlfreiem Zugriff (RAM) 14, einer Notstromversorgungseinheit (BATT) 13, einer Logikeinheit 15 und einem Eingangs-/Ausgangs-Kommunikationsanschluss (I/O) 16. Man beachte, dass, obwohl in dieser Ausführungsform ein ROM 12 als ein nichtflüchtiger Speicher verwendet wird, andere Arten von nichtflüchtigen Speichern wie EEPROMs auch verwendet werden können.

Der Mikroprozessor 11 führt ein in dem ROM 12 gespeichertes Softwareprogramm aus. Das ROM 12 enthält auch Datentabellen für die Installation eines bestimmten Aufzugs. Solche Daten können Installationsparameter, wie z.B. das Aufzugsmodell, die Aufzugsbetriebsweisen, die Anzahl von Stockwerken, der Abstand zwischen den Stockwerken, Schwellenwerte für überhöhte Geschwindigkeit, Filterkoeffizienten und andere derartige Daten enthalten, die für die Initialisierung und Betriebssoftwareprogrammausführung erforderlich sind. Das ROM 12 kann als Flash ROM konstruiert sein, so dass Softwareaktualisierungen von einem (nicht gezeigten) Wartungscomputer PC heruntergeladen werden können. Dieses Verfahren kann angewendet werden, um Code- oder Datenänderungen oder beides zu veranlassen.

Das RAM 14 wird für das temporäre Speichern von Datenwerten während der Ausführung des Softwareprogramms verwendet. Es kann auch bestimmte von dem Eingangs-/Ausgangs-Anschluss 16 empfangene Daten oder andere Daten halten, die für die Übertragung an den Eingangs-/Ausgangs-Anschluss 16 bereit sind. Das RAM 14 kann aus Komponenten eines nichtflüchtigen Speichers mit wahlfreiem Zugriff (NVRAM) konstruiert sein, um Daten während jeglicher Stromversorgungsausfälle von entweder einer Haupt- oder einer Notstromversorgung 13 zu bewahren.

Die Notstromversorgungseinheit 13 ist so konstruiert, dass sie der Mikroprozessoranordnung 101 Strom liefert, bis ein sicherer Abschaltvorgang im Fall eines Ausfalls einer (nicht gezeigten) Hauptstromversorgung ausgeführt werden kann. Wenn das Softwareprogramm detektiert, dass die Hauptstromversorgung ausgefallen ist, ruft es ein Programm zum sicheren Abschalten auf, um die Aufzugskabine zu einem sicheren Halt zu bringen.

Der Mikroprozessor 11 kommuniziert mit den Busknoten 9196 über den Sicherheitsbus 4 durch den Eingangs-/Ausgangs-Anschluss 16. Der Sicherheitsbus 4 kann ein dualer redundanter Bus (Bus A und Bus B) oder ein einzelner Bus (Bus A) sein. Folglich kann der Mikroprozessor 11 mit jeglichen Busknoten 9196 entweder über Bus A oder über Bus B (nicht gezeigt) kommunizieren, wie dem Fachmann gut bekannt ist. Die Kommunikation zwischen dem Mikroprozessor 11 und den Busknoten 9196 wird von dem Softwareprogramm so festgelegt, dass mit jedem Busknoten 9196 periodisch kommuniziert wird, unabhängig davon, ob Daten von den Busknoten 9196 geliefert werden oder nicht. Die periodische Kommunikation ermöglicht es dem auf dem Mikroprozessor 11 laufenden Softwareprogramm, die Betriebsbereitschaft der Kommunikation über den Sicherheitsbus 4 mit den Busknoten 9196 positiv zu bestätigen. Diese periodischen Nachrichten umfassen Statusinformation von an jedem der Busknoten 9196 ausgeführten Hardware-Überprüfungen. In einer Ausführungsform eines normalen Betriebsmodus wird jeder Busknoten 9196 zweimal zu demselben Datensatz befragt und die Datensätze werden von dem Softwareprogramm verglichen, um sicherzustellen, dass sie identisch sind. Wenn die Datensätze nicht passen, befragt das Softwareprogramm den Busknoten 9196 erneut, um seine Funktionssicherheit zu ermitteln. Das Softwareprogramm kann bestimmen, dass die unpassenden Daten eine einmalige Abweichung waren, oder es kann bestimmen, dass es einen zu behebenden Kommunikationsausfall gibt. Das Softwareprogramm kann den Aufzug auch abschalten, wenn es bestimmt, dass die Kommunikation mit den Busknoten 9196 funktionsunsicher geworden und die Fortsetzung des Betriebs folglich unsicher ist.

Busknoten und Sensoren

An jedem Busknoten 9196 können eine Vielfalt von Sensoren, Kontakten oder Schaltern Daten an den Busknoten 9196 schicken. Diese Datenerfassungsvorrichtungen können mit den Busknoten 9196 parallel oder in Reihe oder in einer Kombination von beiden verdrahtet sein, abhängig von der Anzahl von Sensoren, Kontakten oder Schaltern, die von einem bestimmten Busknoten 9196 überwacht werden. Es ist jedoch wünschenswert, so viele Sensoren, Kontakte oder Schalter parallel miteinander verdrahtet zu haben, dass der Busknoten 9196, wenn der Busnkoten 9196 eine Eingabe von einer dieser Vorrichtungen empfängt, weiß, welche spezielle Vorrichtung ihm Information schickt. Diese Architektur ermöglicht es dem auf dem Mikroprozessor 11 ausgeführten Softwareprogramm, die Quelle und den Zustand, die das Datensignal verursachen, genau zu lokalisieren. In einer reihenverdrahteten elektrischen Schaltung kann das Softwareprogramm das Datensignal nur bis zu einer Schaltungsebene identifizieren.

Strom wird den Sensoren, Kontakten oder Schaltern von den Busknoten 9196 geliefert. Aufgrund der kurzen Entfernungen zwischen den Busknoten 9196 und den Sensoren, Kontakten oder Schaltern kann eine niedrigere Spannung verwendet werden, in diesem Fall 24 V Gleichspannung.

Die Sensoren, Kontakte oder Schalter können von dem Softwareprogramm automatisch getestet werden. Dieses Merkmal hebt den Bedarf an manuellen Überprüfungen auf und reduziert Inspektionszeiten. Es ermöglicht auch die zeitliche Erweiterung eines Dienstprogramms und die Konzentration auf andere kritische Wartungsbereiche.

Softwareprogramm

Das Softwareprogramm läuft in verschiedenen Betriebsweisen, wie z.B. Überprüfung und Wartung, normalen Betriebsarten und Notfallbetriebsarten. Es führt verschiedene Programme oder Rufe aus, wie z.B. das Abfragen der Busknoten 9196 bezüglich Kommunikationsstatus und -daten. Das Programm gibt auch Steuersignale und Daten an das Aufzugssteuerungssystem 40 und das Antriebs- und Bremssystem 50 aus.

Busabfrage

Die Busabfrage wird von der zyklischen Interaktion des Masters, in diesem Fall des Mikroprozessors 11, mit seinem Slave, in diesem Fall den Busknoten 9196, ausgeführt. Verschiedene Schemen können durchgeführt werden, um Ausfälle des Busses 4, wie z.B. ein Timeout, zu detektieren, wobei der Mikroprozessor 11 davon ausgeht, dass der Busknoten 9196 ausgefallen ist, wenn er nicht innerhalb einer gewissen vorherbestimmten Zeitperiode auf eine Nachricht von dem Mikroprozessor 11 reagiert. Ein anderes Verfahren besteht darin, dass jede auf dem Bus 4 übertragene Nachricht mit einer ID-Nummer in einer aufsteigenden Reihenfolge gekennzeichnet wird. Wenn der Mikroprozessor 11 einen solchen Nachricht-ID empfängt, dass er bestimmt, dass eine Nachricht verlorengegangen ist oder fehlerhafterweise nicht übertragen wurde, kann der Mikroprozessor 11 bestimmen, dass ein Ausfall stattgefunden hat. Es kann auch eine Echotechnik verwendet werden, wobei der Mikroprozessor 11 eine Bestätigung für jede einzelne Kommunikationsnachricht erwartet, die von dem jeweiligen Knoten 9196, an den sie adressiert ist, auf den Bus gegeben wird. Wenn der Mikroprozessor 11 keine Bestätigung von dem adressierten Knoten 9196 erhält, geht der Mikroprozessor 11 davon aus, dass der Knoten 9196 ausgefallen ist. In einem Bit-Überwachungsschema überwacht jeder Sender auf dem Bus 4 den Bus 4, um zu sehen, ob das gesendete Bit wirklich auf dem Bus 4 gesehen wird. Sobald der Knoten 9196 bemerkt, dass die gesendete Nachricht nicht an den Bus 4 übertragen wird, kann der Knoten 9196 einen Ausfall an den Master-Rechner, d.h. den Mikroprozessor 11, melden. Es kann auch eine Bit-Einfügungstechnik verwendet werden, um die Integrität von Nachrichten zu überprüfen, wobei auf der Grundlage eines vorherbestimmten Algorithmus ein Sender Einfügungsbits von entgegengesetzter Logik einbringt, nachdem eine bestimmte Anzahl von Bits mit dem gleichen logischen Zustand übertragen wurde. Eine andere Technik ist eine CRC-Prüfsumme, wobei eine Prüfsumme in jede Nachricht eingebracht wird, um die Nachrichtenintegrität zu überprüfen. Die Nachricht kann auch so formatiert werden, dass jede Nachricht in ein vorherbestimmtes Format von Bit-Länge und/oder -Feldern passen muss. Eine Bestätigungsüberprüfung kann auch durchgeführt werden, wobei mindestens ein Empfänger den Empfang von jeglicher gesendeter Nachricht bestätigen muss. Viele dieser Kommunikationstechniken sind im CAN-Bus-Standard implementiert, es können jedoch zusätzliche Techniken implementiert werden, um die Kommunikationseffizienz und -funktionssicherheit zu erhöhen.

Betriebsweisen

In einem Inspektionsmodus kann das Softwareprogramm 'Software-Brücken' in der Sicherheitskette installieren, so dass verschiedene Sensoren, Kontakte oder Schalter zum Testen isoliert werden können. Folglich ist keine Hardware-Verdrahtung mehr notwendig, um einen Sensor, Kontakt oder Schalter zu überbrücken. Eine wichtige Verbesserung gegenüber dem Stand der Technik besteht darin, dass die 'Software-Brücken' von dem Programm automatisch entfernt werden können, entweder mittels einer Zeitfunktion oder wenn das Softwareprogramm den Inspektionsmodus verlässt oder zu dem normalen Betriebsmodus zurückkehrt. In jedem Fall wird menschliches Versehen aus dem Prozess entfernt, da im Stand der Technik eine Bedienungsperson die ganze Hardware-Verdrahtung oder mechanische Brücken entfernen musste, die sie für die Wartungsarbeiten installiert hatte.

Wenn das Softwareprogramm Zustände detektiert, die den sicheren Betrieb des Aufzugs beeinträchtigen, kann es verschiedene Abschaltbetriebsweisen erlauben. Wenn ein maßgebliches Signal für überhöhte Geschwindigkeit detektiert wird, schickt das Programm ein Signal an die Antriebs- und Bremseinheit 50, um die Aufzugskabine 60 umgehend anzuhalten. In anderen weniger bedrohlichen Betriebsweisen, wie z.B. einem Ausfall der Busknoten 9196, kann das Programm die Aufzugskabine 60 zum nächsten Stockwerkflur befehlen, die Türen öffnen und dann abschalten. Dies würde die Anzahl von Situationen reduzieren, in denen Fahrgäste in einer Aufzugskabine 60 gefangen sind und eine Rettungsaktion für die Befreiung der Fahrgäste erforderlich wäre.

PC-Kommunikation

Ein Wartungswerkzeug wie z.B. ein (nicht gezeigter) Personalcomputer PC kann verwendet werden, um für Wartungsverfahren mit dem Mikroprozessor 11 zu kommunizieren. Der PC kann der Mikroprozessoranordnung 101 Daten entnehmen, um eine historische Analyse zu liefern. Der PC kann auch die Ausführung der Mikroprozessoranordnung 101 in einem normalen Betriebsmodus einschließlich Notfallbetriebsarten und herabgesetzter Betriebsarten überwachen. Der PC kann auch den Softwarecode in dem ROM 12 neu programmieren oder aktualisieren (in diesem Fall würde ein Flash-ROM verwendet werden). Der Pegel der bordeigenen Batterie 13 kann für Ersetzungsintervalle überwacht werden.

Die Mikroprozessoranordnung 101 kann auf eine solche Weise montiert werden, dass eine Pinkonfiguration detektiert und auf diese Art die Modellart des Aufzugs erfasst wird. Ein solches Erfassen der Konfiguration unterstützt die Gewährleistung, dass das in dem ROM 12 installierte Softwareprogramm für den speziellen Aufzug geeignet ist, in dem das elektronische Sicherheitssystem 8 installiert ist.

Duale Mikroprozessoren (Fig. 3)

Mit Bezug auf 3 ist ein Blockdiagramm auf hoher Systemebene einer Mikroprozessoranordnung 102 gezeigt, die zwei Mikroprozessorsysteme 150 & 152 und ihre Schnittstellen darstellt. In einer weiteren Ausführungsform dieser Erfindung sind zwei unabhängige Mikroprozessorsysteme 150 & 152 in einer Mikroprozessoranordnung 102 gezeigt. In dieser Ausführungsform arbeitet jedes der Mikroprozessorsysteme 150 & 152 unabhängig und sie teilen sich den Eingangs-/Ausgangs-Anschluss 16, um mit dem Sicherheitsbus 4 zu kommunizieren und über ihre jeweiligen Schnittstellen 42 & 52 diskrete Signale an die Aufzugssteuerung 40 und das Antriebs- und Bremssystem 50 auszugeben. Beide Mikroprozessorsysteme 150 & 152 werden von dem bordeigenen Notstromversorgungssystem 13 unterstützt, um ein sicheres Abschalten des Aufzugssystems durchzuführen, falls die Hauptstromversorgung verloren gehen sollte, wie oben im Detail beschrieben. Ein Interprozessorkommunikationsbus 18 verbindet die zwei Mikroprozessorsysteme 150 & 152, um ein Überprüfungsschema durchzuführen. In dieser Ausführungsform fragt jeder Mikroprozessor 150 & 152 individuell jeden der Knoten 9196 im Sicherheitsbus 4 ab, um Statusinformation und -daten zu erhalten. In vorherbestimmten Intervallen kommunizieren die Mikroprozessoren 150 & 152 über ihren Interprozessorbus 18 miteinander, um die Systemintegrität zu überprüfen. Wenn keines der Mikroprozessorsysteme 150 & 152 eine Bestätigung von dem anderen Mikroprozessorsystem 150 & 152 erhält, dann führt das erste Mikroprozessorsystem 150 & 152 ein sicheres Abschalten des Aufzugssystems durch. Auch wenn es eine Diskrepanz in dem von jedem der Mikroprozessorsysteme 150 & 152 bestimmten Status gibt, veranlasst die Diskrepanz das Aufzugssystem zu einem Übergang zu einem reduzierten Modus, der ein Abschalten umfassen kann oder nicht, je nach Schweregrad der Diskrepanz zwischen den zwei Mikroprozessorsystemen 150 & 152.

Diese Ausführungsform kann auch mit einem dualen redundanten Sicherheitsbus 4 verwendet werden, wie unten detaillierter beschrieben. In dieser Ausführungsform hat jeder Mikroprozessor seinen eigenen Eingangs-/Ausgangs-Anschluss 16 und einen separaten Sicherheitsbus 4, um mit jedem der Knoten 9196 überall in dem Aufzugssicherheitssystem 8 zu kommunizieren.

Die vorhergehenden Beschreibungen bezüglich der PC-Kommunikation, Pinkonfigurationsdetektierung und anderer Merkmale, wie sie für eine Einzel-Mikroprozessor-Anordnung 101 gelten, gelten auf gleiche Weise auch für die Dual-Mikroprozessor-Anordnung 102.

Maschinenstatusbeschreibung (Fig. 4)

Mit Bezug auf 4 ist ein Statusdiagramm 200 gezeigt, das die Zustände des elektronischen Sicherheitssystems 8 darstellt. Das Sicherheitssystem 8 geht von einem Offline-Status, einer Ablaufdeaktivierung 201, zu einer Bussicherheitsüberprüfung 202 über, nachdem ein Startüberprüfungsbefehl 251 empfangen wurde. Wenn die Busknoten 9196 vorher nicht innerhalb einer gewissen vorherbestimmten Zeitperiode abgefragt wurden, geht das System nach dem Empfang der Starteingabe 261 zu dem Busknotenauswahlstatus 206 über. Wenn nicht alle Knoten abgefragt wurden, empfängt das System den Nächster-Knoten-Gewählt-Befehl 263 und geht in den Knotenrufstatus 207 über. In diesem Status befragt das System den gewählten Knoten 9196 ab und erwartet innerhalb eines vorherbestimmten Zeitrahmens eine Antwort. Wenn die richtige Antwort empfangen wird, 265, geht das System 8 erneut zu dem Busknotenauswahlstatus 206 über. Wenn keine richtige Antwort empfangen wird, 264, oder keine Antwort innerhalb des vorherbestimmten Zeitrahmens empfangen wird, geht das System 8 zu einem Bus-ist-unsicher-Status 209 über. Der Kreislauf L, wird weiterhin ausgeführt, solange jeder Knoten 9196 zufriedenstellend antwortet, bis alle Knoten 9196 abgefragt wurden. Zu dieser Zeit erhält das System 8 alle Knoteneingaben 262 und geht in den Bus-ist-sicher-Status 208 über. Der Bus-ist-sicher-Status wird als Eingabe 252 gemeldet und das System 8 geht in den Aufzugssicherheitsüberprüfungsstatus 203 über. In diesem Status 203 werden andere verschiedene Parameter der Aufzugsinspektion und -wartung überprüft, und wenn bestimmt wird, dass der Aufzug sicher ist, 254, läuft das System 8 in einem Ablaufaktivierungsstatus 204 weiter. Wenn jedoch bestimmt wird, dass der Aufzug unsicher ist, 255, geht das System zu einem Ablaufdeaktivierungsstatus 201 über, in dem es bleibt, bis eine neue Sicherheitsüberprüfung bei der Startüberprüfung 251 eingeleitet wird. Man beachte, dass alle Bestimmungen eines unsicheren Busses, zum Beispiel 253, 255, 209, und der Übergang von dem Status 209 dazu führen, dass das Aufzugssicherheitssystem 8 in den Ablaufdeaktivierungsstatus 201 gebracht wird. Der einzige Ausgang aus diesem Status 201 besteht darin, das System 8 durch den Bussicherheitsüberprüfungsstatus 202 erneut zu überprüfen. Man beachte, dass das wiederholte Überprüfen der Knoten 9196 von dem Bus-ist-sicher-Status 208 und dem Bus-ist-unsicher-Status 209 durch die Eingaben erneuter Test 266 und erneuter Test 267 befohlen werden kann.

Man beachte, dass die obengenannten Programme in jedem beliebigen Betriebsmodus des Aufzugssicherheitssystems 8 alle 100 ms wiederholt werden. Angesichts der bekannten Vorteile von Computerprogrammierung können ferner die Testprogramme und die Testmethodik durch lediglich eine Softwareänderung aktualisiert werden. Wie oben behandelt, kann der Code in dem Aufzugssicherheitssystem 8 vom Wartungspersonal aktualisiert werden, indem es eine neue Softwareversion in den Computerspeicher des Sicherheitssystems herunterlädt.

Dualer redundanter Sicherheitsbus

Eine weitere Ausführungsform des Sicherheitsbusses 4 ist ein dualer redundanter Satz von Bussen A & B. Ein redundanter Bus kann entweder mit einer Einzel-Mikroprozessor-Konfiguration 101 oder einer Dual-Mikroprozessor-Konfiguration 102 implementiert werden. In beiden Fällen werden zwei physisch voneinander unabhängige Busse A & B von der Mikroprozessoranordnung 20 überall in dem Aufzugssystem zu jedem der Knoten 9196 geführt. Jeder Knoten 9196 hat ein unabhängiges Sender- und Empfängerpaar (t/rA & t/rB) für jeden Bus A & B. Der Zweck des dualen redundanten Busses ist das Schaffen eines Notfallabsicherungskommunikationsverfahrens mit jedem der Knoten 9196 im Fall eines Ausfalls des primären Busses, sei es Bus A oder Bus B.

In einer Ausführungsform ist Bus A als der primäre Bus vorgesehen und wird für die ganze Kommunikation mit allen Knoten verwendet, während Bus B als ein Absicherungsbus im Fall eines Ausfalls von irgendeinem der Knoten 9196 verwendet wird. Wenn zum Beispiel die Steuereinrichtung 20 einen wiederholten Kommunikationsausfall mit dem Busknoten 91 erfahren hat, versucht das Softwareprogramm, eine Kommunikation über den Sicherungsbus B mit dem Knoten 91 herzustellen. Auf diese Weise kann die Steuereinrichtung 20 identifizieren, ob der Kommunikationsausfall durch einen Busausfall oder einen Knotenausfall verursacht wurde. Redundante Busse erhöhen die Sicherheit und die Funktionssicherheit des Kommunikationsnetzwerks. Andere Buskommunikationsprotokolle sind in der Technik gut bekannt, wie z.B. das regelmäßige Wechseln der Kommunikation über Bus A und Bus B; und die Kommunikation über sowohl Bus A als auch Bus B und das Vergleichen der empfangenen Daten.

In einer Ausführungsform mit einem einzelnen Mikroprozessor 101 wie in 2 gezeigt, wird die Kommunikation sowohl über Bus A als auch über Bus B von einem einzelnen Mikroprozessor 11 gesteuert. In der wie in 3 gezeigten Ausführungsform mit dualen Mikroprozessoren 150 & 152 kommuniziert jeder Mikroprozessor 150 & 152 unabhängig über einen zugeteilten Bus A oder B. Auf diese Weise kommuniziert jeder Mikroprozessor unabhängig mit jedem der Knoten 9196 in dem Aufzugssystem 8. Während beispielsweise der Mikroprozessor 150 die Knoten 9196 über Bus A abfragt, fragt der Mikroprozessor 152 die Knoten 9196 über Bus B ab. Die erfassten Daten von den Knoten 9196 werden dann über den Interprozessorbus 18 zwischen den Mikroprozessoren 150 & 152 verglichen. Jeder Mikroprozessor 150 & 152 kann dem Aufzug unabhängig über die Antriebs- und Motoreinheitsschnittstelle 52 ein sicheres Arretieren befehlen.

Die bezüglich sowohl der dualen Mikroprozessoren als auch der dualen Kommunikationsbusse erforderliche Redundanzstufe wird von einer Analyse der Umgebung und den Anforderungen des zu installierenden Aufzugssystems bestimmt. Gewisse Kompromisse werden in Bezug auf Kosten, Funktionssicherheit und der durchschnittlichen Zeit zwischen den Ausfällen gemacht.

Man beachte, dass die obengenannten Kommunikationsschnittstellen in Reihe oder parallel geschaltet, proprietär oder standardisiert sein können. Sie können auch durch elektrische, optische oder telemetrische Einrichtungen implementiert sein.

Aus dem Obengenannten sollte erkannt werden, dass die hier beschriebenen Systeme und Vorrichtungen ein funktionssicheres elektronisches Sicherheitssystem für Aufzugskabinen vorsehen. Es sollte auch erkannt werden, dass die Vorrichtung des elektronischen Sicherheitssystems der vorliegenden Erfindung die Reduzierung von Teilen, Einstellpunkten und Ausfallbetriebsarten ermöglicht und gleichzeitig Funktionssicherheit und Sicherheit liefert.

Obwohl bevorzugte Ausführungsformen gezeigt und beschrieben wurden, können verschiedene Modifikationen und Ersetzungen dazu gemacht werden, ohne von dem Sinn und dem Bereich der Erfindung abzuweichen. Dementsprechend versteht sich, dass die vorliegende Erfindung als eine Veranschaulichung und nicht als Beschränkung beschrieben wurde.


Anspruch[de]
Aufzugssicherheitssystem, aufweisend:

eine elektronische Sicherheitssteuereinrichtung (20) in Kommunikation mit einer Mehrzahl von Busknoten (9196) über einen Sicherheitsbus (4), wobei jeder Busknoten Daten von wenigstens einem Sensor (3133) empfängt;

eine Aufzugssteuereinheit (40) in weiterer Kommunikation mit der elektronischen Sicherheitssteuereinrichtung (20); und

eine Antriebs- und Bremseinheit (50) in noch weiterer Kommunikation mit der elektronischen Sicherheitssteuereinrichtung (20);

wobei die elektronische Sicherheitssteuereinrichtung (20) die von der Mehrzahl von Busknoten (9196) empfangenen Daten verarbeitet und bestimmt, ob ein unsicherer Zustand besteht, und wenn dem so ist, die Sicherheitssteuereinrichtung (20) ein Stoppsignal an die Antriebs- und Bremseinheit (50) schickt und ferner ein Statussignal an die Aufzugssteuerung schickt.
Aufzugssicherheitssystem nach Anspruch 1, wobei:

die Sicherheitssteuereinrichtung ferner eine Mikroprozessoranordnung (101) aufweist, die ein Sicherheitsprogramm mit mehreren Betriebsmodi ausführt, die Überwachung und Wartung, normalen Betrieb, herabgesetzten Betrieb und Notfallbetrieb umfassen.
Aufzugssicherheitssystem nach Anspruch 2, wobei:

das in dem Überwachungs- und Wartungsmodus ausgeführte Sicherheitsprogramm den wenigstens einen Sensor entweder ausfallen lässt, isoliert oder in der Software überbrückt, um die Antwort des Sicherheitssystems zu ermitteln.
Aufzugssicherheitssystem nach Anspruch 3, wobei

der wenigstens eine Sensor eine Mehrzahl von Sensoren (3133) umfasst; und

das in dem Überwachungs- und Wartungsmodus ausführende Sicherheitsprogramm den wenigstens einen Sensor in Kombination mit einem anderen wenigstens einen Sensor entweder ausfallen lässt, isoliert oder in der Software überbrückt, um die Antwort des Sicherheitssystems zu ermitteln.
Aufzugssicherheitssystem nach Anspruch 2, und ferner aufweisend:

einen ersten Busknoten, der sich an einem unteren Ende eines Aufzugsschachts befindet und einen Schachtschaltersensor hat;

einen zweiten Busknoten, der sich in einem Maschinenraum befindet und einen Überdrehzahlsensor hat;

eine Mehrzahl von Schachttürbusknoten, wobei sich jeder Schachttürbusknoten in der Nähe einer Schachttür befindet und einen Schachttürsensor hat; und

wenigstens einen Aufzugskabinenbusknoten, der sich an einer Aufzugskabine befindet und einen Überwachungsschaltersensor, einen Nothaltschaltersensor und einen Aufzugskabinentürsensor hat.
Aufzugssicherheitssystem nach Anspruch 5, wobei:

jeder Schachttürsensor dazu betriebsfähig ist, einen offenen oder geschlossenen Zustand der jeweiligen Schachttür zu bestimmen; und

jeder Schachttürsensor dem jeweiligem Busknoten den offenen oder geschlossenen Zustand seiner jeweiligen besagten Schachttür liefert.
Aufzugssicherheitssystem nach Anspruch 2, wobei die Mikroprozessoranordnung (101) ferner aufweist:

einen Mikroprozessor (11) für das Ausführen des Sicherheitsprogramms;

einen Lesespeicher (12) für das Speichern des Sicherheitsprogramms und vorherbestimmter Daten;

einen Speicher mit wahlfreiem Zugriff (14);

eine Einheit für batteriebetriebene Notstromversorgung (13); und

wenigstens einen Eingans-/Ausgangsanschluss (16) für die Kommunikation mit dem Sicherheitsbus, der Aufzugssteuerung und der Antriebs- und Bremseinheit;

wobei der Mikroprozessor die Busknoten über den Sicherheitsbus befragt, die von der Mehrzahl von Busknoten empfangenen Daten verarbeitet und bestimmt, ob ein unsicherer Zustand besteht, und wenn dem so ist, der Mikroprozessor ein Stoppsignal an die Antriebs- und Bremseinheit schickt und ferner ein Statussignal an die Aufzugssteuerung schickt.
Aufzugssicherheitssystem nach Anspruch 7, wobei der Sicherheitsbus ferner aufweist:

einen doppelten redundanten Sicherheitsbus mit einem Bus A und einem Bus B;

wobei der Bus A und der Bus B physisch voneinander unabhängig sind;

wobei jeder Busknoten in Kommunikation mit sowohl dem Bus A als auch dem Bus B steht;

wobei das Sicherheitsprogramm optional mit jedem Busknoten über entweder den Bus A oder den Bus B oder beide kommuniziert.
Aufzugssicherheitssystem nach Anspruch 2, wobei die Mikroprozessoranordnung (101) ferner aufweist:

einen ersten Mikroprozessor (150) für das Ausführen eines ersten Sicherheitsprogramms;

einen zweiten Mikroprozessor (152) für das Ausführen eines zweiten Sicherheitsprogramms; und

wobei der erste und der zweite Mikroprozessor (150, 152) über einen Zwischenprozessorbus (18) miteinander kommunizieren; und

wobei der erste Mikroprozessor (150) die Busknoten über den Sicherheitsbus (4) abfragt, die von der Mehrzahl von Busknoten (9196) empfangenen Daten verarbeitet und eine erste Statusnachricht über den Zwischenprozessorbus an den zweiten Mikroprozessor überträgt;

wobei der zweite Mikroprozessor (152) die Busknoten über den Sicherheitsbus (4) abfragt, die von der Mehrzahl von Busknoten (9196) empfangenen Daten verarbeitet und eine zweite Statusnachricht über den Zwischenprozessorbus an den ersten Mikroprozessor überträgt;

wobei einer des ersten und des zweiten Mikroprozessors (150, 152) bestimmt, dass der unsichere Zustand besteht und ein Stoppsignal an die Antriebs- und Bremseinheit (50) schickt und ferner das Statussignal an die Aufzugssteuerung schickt.
Aufzugssicherheitssystem nach Anspruch 9, wobei jeder des ersten und des zweiten Mikroprozessors (150, 152) individuell bestimmt, dass der unsichere Zustand besteht und jeder des ersten und des zweiten Mikroprozessors (150, 152) ein Stoppsignal an die Antriebs- und Bremseinheit (50) schickt und ferner das Statussignal an die Aufzugssteuerung schickt. Aufzugssicherheitssystem nach Anspruch 9, wobei der Sicherheitsbus (4) ferner aufweist:

einen doppelten redundanten Sicherheitsbus mit einem Bus A und einem Bus B;

wobei der Bus A und der Bus B physisch voneinander unabhängig sind;

wobei jeder Busknoten in Kommunikation mit sowohl dem Bus A als auch dem Bus B steht;

wobei der erste Mikroprozessor (150) über den Bus A mit den Knoten kommuniziert und der zweite Mikroprozessor (152) über den Bus B mit den Knoten kommuniziert.
Aufzugssicherheitssystem nach Anspruch 10, wobei der Sicherheitsbus ferner aufweist:

einen doppelten redundanten Sicherheitsbus mit einem Bus A und einem Bus B;

wobei der Bus A und der Bus B physisch voneinander unabhängig sind;

wobei jeder Busknoten in Kommunikation mit sowohl dem Bus A als auch dem Bus B ist;

wobei der erste Mikroprozessor (150) über den Bus A mit den Knoten kommuniziert und der zweite Mikroprozessor (152) über den Bus B mit den Knoten kommuniziert.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com