AUFZUGELEKTRONIKEINHEIT SOWIE ZUGEHÖRIGE AUFZUGANLAGE, VERFAHREN FÜR EINE AUTONOME SICHERHEITSÜBERPRÜFUNG EINER AUFZUGELEKTRONIKEINHEIT

(19)

(11)

EP 4 538 212 A1

(12)	EUROPÄISCHE PATENTANMELDUNG

(43)	Veröffentlichungstag:
	16.04.2025 Patentblatt 2025/16

(21)	Anmeldenummer: 23203544.4

(22)	Anmeldetag: 13.10.2023

(51)

Internationale Patentklassifikation (IPC):

B66B 1/28^(2006.01)

B66B 1/34^(2006.01)

(52)	Gemeinsame Patentklassifikation (CPC) :
	B66B 1/3423; B66B 1/30

(84)	Benannte Vertragsstaaten:
	AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR
	Benannte Erstreckungsstaaten:
	BA
	Benannte Validierungsstaaten:
	KH MA MD TN

(71)	Anmelder: Ziehl-Abegg SE
	74653 Künzelsau (DE)

(72)	Erfinder:
	HOPPENSTEDT, Roland 74653 Künzelsau (DE) DIFFENBACH, Martin 74653 Künzelsau (DE) SPANNAGEL, Mathias 74653 Künzelsau (DE)

(74)	Vertreter: Mertzlufft-Paufler, Cornelius et al
	Maucher Jenkins Patent- und Rechtsanwälte Urachstraße 23 79102 Freiburg im Breisgau 79102 Freiburg im Breisgau (DE)


	Bemerkungen:
	Geänderte Patentansprüche gemäss Regel 137(2) EPÜ.

(54)	AUFZUGELEKTRONIKEINHEIT SOWIE ZUGEHÖRIGE AUFZUGANLAGE, VERFAHREN FÜR EINE AUTONOME SICHERHEITSÜBERPRÜFUNG EINER AUFZUGELEKTRONIKEINHEIT

(57) Es wird eine intelligente Aufzugelektronikeinheit (1) vorgeschlagen mit einem Zentralprozessor (4), der sowohl eine zeitkritische Motorsteuerungssignale (42) umfassende Motorsteuerung (37) implementiert als auch Grundfunktionen des Aufzugbetriebs ausführt, wie beispielsweise das Reagieren auf externe Rufe, das Vorgeben einer Fahrkurve oder das Auswerten einer Sicherheitsschaltung (23) derjenigen Aufzuganlage (28), in welcher die Aufzugelektronikeinheit (1) zum Steuern eines Aufzugmotors (3) eingesetzt wird. Die Aufzugelektronikeinheit (1) umfasst dabei auch die für den Betrieb des Aufzugmotors (3) notwendige Leistungsendstufe (2) und kann darüber hinaus einen oder mehrere Zusatzprozessoren (5) umfassen, mit denen die Funktionalität der Aufzugelektronikeinheit (1) modular erweitert werden kann. Mit dieser Architektur ist es insbesondere möglich, Software-updates des Zentralprozessors (4) und/oder eines Zusatzprozessors (5) sicher durchzuführen, eine nachgelagerte Sicherheitsüberprüfung eines solchen Softwareupdates durchzuführen oder etwa den Betrieb der Aufzuganlage (28) mit Hilfe des Zentralprozessors (4) autonom zu optimieren

Beschreibung

[0001] Die Erfindung betrifft eine Aufzugelektronikeinheit, die dazu vorgesehen und dazu eingerichtet ist, einen Aufzugbetrieb, also einen Fahrbetrieb einer Aufzuganlage, zu steuern. Die Aufzugelektronikeinheit kann hierzu folgende Komponenten umfassen, die bevorzugt in einem gemeinsamen Gehäuse untergebracht sind: einen Leistungsendstufe, die einen Aufzugmotor der Aufzuganlage mit einer (insbesondere dreiphasigen) Ausgangswechselspannung versorgen kann; und (wenigsten) einen Prozessor. Daneben betrifft die Erfindung auch eine Aufzuganlage, die eine solche Aufzugselektronikeinheit umfasst.

[0002] Ferner betrifft die Erfindung ein Verfahren zum sicheren Aktualisieren einer solchen Aufzugelektronikeinheit und/oder einer Aufzuganlage sowie ein weiteres Verfahren zur nachgelagerten und autonomen Sicherheitsüberprüfung einer Aufzugelektronikeinheit und/oder einer Aufzuganlage, wobei nachgelagert hier so verstanden werden kann, dass die Sicherheitsüberprüfung nach Ausführen eines Softwareupdates durch die Aufzugelektronikeinheit autonom ausgeführt wird.

[0003] Frequenzumrichter mit Leistungsendstufen zum Betrieb von Aufzugmotoren mit oder ohne Getriebe sind in Aufzuganlagen seit langem im Einsatz und werden oftmals in einer 1-Prozessor-Lösung implementiert, also mit einem Prozessor, der komplexe digitale Steuerungsbefehle entgegen nehmen kann und in entsprechende, insbesondere analoge, Ansteuerungssignale zum Ansteuern der Leistungsendstufe übersetzen kann. Dabei sind einige erhältliche Frequenzumrichter in einigen Schnittstellen aber auch in Ihrer jeweiligen Bauformen auf den Einsatz in einer Aufzuganlage speziell angepasst.

[0004] Üblicherweise werden aber Steuerungsfunktionen des Aufzugs von mehreren getrennten Elektroniken implementiert bzw. von diesen gelöst. Aufgaben einer solchen Steuerungselektronik oder elektronischen Aufzugsteuervorrichtung, die oftmals separat vom Frequenzumrichter ausgestaltet wird, können z.B. sein: die Abfrage eines Sicherheitskreises, das Erkennen einer Türzone, die Auswertung von Innen- und Außenrufen, die Ermittlung der Kabinenposition, die Reaktion auf Steuerkommandos vom Kabinendach aus oder aus der Grube oder aus der Rückholsteuerung, ebenso wie das Steuern von Sonderbetriebsarten wie zum Beispiel eines Feuerwehraufzugs. Hinzu kommen in den letzten Jahren: die Kommunikation mit einer Fernsteuerung bzw. Fernüberwachung oder einer Hauszentrale oder beispielsweise der Betrieb mit einer Clouddatenbank.

[0005] Ein Problem bei diesen vorbekannten Ansätzen besteht darin, dass Sicherheitsfunktionen des Aufzugs, zeitkritische Operationen der Motorregelung und Funktionen der Cybersecurity (also Funktionen, die die Sicherheit der Aufzuganlage gegenüber Angriffen aus dem Netz betreffen) auf ganz unterschiedliche Elektroniken verteilt werden. In der Folge erhöht sich die Komplexität solcher Aufzuganlagen immer mehr und damit steigt der Aufwand in der Montage, Wartung und für die immer wieder notwendig werdende Aktualisierung des Gesamtsystems durch Softwareupdates, etwa um neue Funktionen bereitzustellen oder bestehende Funktionen anzupassen.

[0006] Mittlerweile sind auch bereits Kombinationen aus einer elektronischen Aufzugssteuervorrichtung und einem Motor-Frequenzumrichter bekannt, die als eine bauliche Einheit zusammengefasst sind. Solche vorbekannten Aufzugelektronikeinheiten sind aber meist umgeben von zahlreichen Zusatzgeräten. Entsprechend sind daher die Montage und der Aufwand für einen sicheren, gegebenenfalls aus der Ferne fern überwachten, Betrieb der jeweiligen Aufzuganlage weiterhin sehr hoch.

[0007] Von diesem Hintergrund ausgehend, hat es sich die Erfindung zur Aufgabe gemacht, eine elektronische Aufzugsteuervorrichtung bereitzustellen, die als eine kompakte Aufzugelektronikeinheit ausgestaltet werden kann, deren Komponenten in einem gemeinsamen Gehäuse untergebracht werden können, und die dazu beiträgt, die vorgenannten Nachteile zu überwinden.

[0008] Zur Lösung der Aufgabe wird eine Aufzugelektronikeinheit gemäß Anspruch 1 vorgeschlagen. Insbesondere wird somit zur Lösung der Aufgabe bei einer Aufzugelektronikeinheit der eingangs genannten Art vorgeschlagen, dass der Prozessor als ein Zentralprozessor ausgestaltet und folglich dazu eingerichtet ist, im Rahmen einer Motorsteuerung die Leistungsendstufe mittels Motorsteuerungssignalen direkt anzusteuern. Dadurch kann der Zentralprozessor, vermittelt über die Leistungsendstufe, den Aufzugmotor steuern und regeln. Damit wird der Zentralprozessor insbesondere in die Lage versetzt, den Aufzugbetrieb vorgeben zu können. Ferner ist der Zentralprozessor dazu ausgestaltet und hierfür eingerichtet, Grundfunktionen des Aufzugsbetriebs auszuführen, nämlich das Reagieren auf externe, insbesondere digitale, Rufe von externen Sendern durch Erzeugen und Ausgeben der entsprechenden Motorsteuerungssignale anhand einer jeweiligen Fahrkurve für den Aufzugbetrieb.

[0009] Durch das Ausgeben der Motorsteuerungssignale kann der Zentralprozessor die Leistungsendstufe direkt ansteuern und so insbesondere eine Aufzugkabine der Aufzuganlage an eine bestimmte Aufzughaltestelle (= Halteposition der Aufzugkabine) verfahren, also eine solche Aufzughaltestelle gezielt mit der Aufzugkabine anfahren (die Aufzughaltestelle entspricht dabei dem externen Ruf, auf den der Zentralprozessor reagiert).

[0010] Unter einer Fahrkurve kann ein zeitliches Profil der Geschwindigkeit der Aufzugkabine verstanden werden, wobei das Profil den Verlauf/die zeitliche Änderung der Geschwindigkeit der Aufzugkabine angibt. Ein solches Profil kann Beschleunigungs- und Verzögerungsrampen aber auch Bereiche, in denen eine konstante Verfahrgeschwindigkeit erzielt wird, umfassen, oder beispielsweise Bereiche sehr geringer Verfahrgeschwindigkeit, etwa beim Korrigieren der Kabinenposition am Ende eines Abbremsvorgangs, also kurz vor Erreichen einer finalen Halteposition. Der Zentralprozessor kann dabei die Fahrkurve abschnittsweise errechnen (also beispielsweise nur jeweilige Stützpunkte der Fahrkurve peu ä peu vorgeben) und beispielsweise jeweils in regelmäßigen Zeitabständen von 5 ms entsprechende aktualisierte Motorsteuerungssignale aus der Fahrkurve ableiten. Die tatsächliche von der Aufzugkabine abgefahrene Fahrkurve kann hierbei auch sensorisch erfasst und vom Zentralprozessor dokumentiert werden, beispielsweise in Form von automatisch erstellten Log-Dateien. Die Fahrkurve kann beispielsweise auch bestimmte Bedingungen an Endpunkten der Aufzugsfahrt berücksichtigen, etwa am oberen Ende einen verkürzten Schachtkopf oder am unteren Ende das Aufsetzen einer Klappschürze. Alle solche Punkte können von dem Zentralprozessor beim Vorgeben der Fahrkurve berücksichtigt werden, um ein geeignetes Geschwindigkeitsprofil vorzugeben.

[0011] Bei bisherigen Lösungen ist es hingegen so, dass eine externe Aufzugsteuerung die Fahrkurve vorgibt und typischerweise in regelmäßigen Zeitabständen einen digitalen Steuerbefehl erzeugt, der an einen Frequenzumrichter übertragen wird, z.B. mittels einer CANopen-Kommunikation. In den Zwischenzeiten steuert der Frequenzumrichter aber oftmals den Motor selbst an. Der Frequenzumrichter hat dazu einen eigenen Prozessor/eine eigene Intelligenz, die aus den digitalen Eingangsbefehlen entsprechende Ansteuersignale zum Ansteuern der Leistungsendstufe des Frequenzumrichters erzeugt und damit gegebenenfalls auch zeitliche Lücken auffüllt.

[0012] Im Unterschied zu vorbekannten Ansätzen, bei denen ein Prozessor komplexe Steuerungsbefehle, etwa die Vorgabe einer Frequenz und Höhe der Ausgangswechselspannung (die die Leistungsendstufe an den Aufzugmotor ausgeben soll), an eine zweite Instanz (etwa einen separaten Prozessor eines Frequenzumrichters) weitergibt, wobei dann erst die zweite Instanz diese Befehle in entsprechende Steuerungssignale übersetzt, mit der die Leistungsendstufe direkt angesteuert werden kann, schlägt die Erfindung somit vor, dass der Zentralprozessor direkt geeignete Steuerungssignale, etwa ein Analogsignal oder ein Pulsweitenmodulation(PWM)-Signal, generiert und an die Leistungsendstufe ausgibt, und zwar vorzugsweise ohne jegliche Zwischeninstanz. Die Leistungsendstufe verfügt somit bevorzugt selbst über keine Intelligenz; sie kann aber beispielsweise eine Hardwareschaltung umfassen, die ein vom Zentralprozessor übersandtes Analogsignal oder ein PWM-Signal entsprechend in ein analoges Ansteuersignal zum Ansteuern der einzelnen Transistoren/ Leistungsschalter einer Inverterschaltung der Leistungsendstufe umsetzt.

[0013] Die Motorsteuerungssignale können somit vom Zentralprozessor als analoge Signale und/oder in Form wenigstens eines PWM-Signals ausgegeben werden. Mittels solcher Motorsteuerungssignale kann der Zentralprozessor somit einzelne Leistungsschalter der Leistungsendstufe (entweder direkt oder indirekt, zum Beispiel vermittelt über die erwähnte Hardwareschaltung) ansteuern. Dadurch kann der Zentralprozessor die Ausgangswechselspannung entsprechend so anpassen, dass eine gewünschte Drehzahl und/oder ein gewünschtes Drehmoment des Aufzugmotors resultiert.

[0014] Mit anderen Worten kann der Zentralprozessor somit zusammen mit der Leistungsendstufe einen Frequenzumrichter realisieren.

[0015] Zum Zweck des Ausführens des Aufzugbetriebs kann der Zentralprozessor ferner bevorzugt dazu eingerichtet sein, die jeweilige Fahrkurve (selbst) vorzugeben, und zwar unter Berücksichtigung eines (jeweiligen) empfangenen externen Rufs und der Auswertung von wenigstens einer Information hinsichtlich einer aktuellen Position einer Aufzugkabine der Aufzuganlage. In diesem Fall erzeugt der Zentralprozessor die notwendigen Motorsteuerungssignale also anhand der von ihm ermittelten Fahrkurve selbsttätig.

[0016] Eine Information, die einen Rückschluss auf die aktuelle Kabinenposition zulässt, kann der Zentralprozessor beispielsweise selbst abfragen, etwa durch direktes oder indirektes Auslesen eines Sensors der Aufzuganlage. Es kann sich hierbei also insbesondere um eine sicher ermittelte Information hinsichtlich der aktuellen Position der Aufzugkabine innerhalb des Aufzugschachts handeln.

[0017] Der Zentralprozessor kann die Information aber beispielsweise auch von einer Instanz der Aufzuganlage beziehen, die ein virtuelles Abbild der Aufzuganlage fortlaufend erstellt und aktualisiert. Eine solche Instanz kann insbesondere in Form eines sogenannten Schachtkopiersystems realisiert sein. Ein solches virtuelles Abbild/ Schachtkopiersystem kann auf Basis von Sensoren, insbesondere magnetischen Sensoren im Schacht, und/oder relativen Gebersystemen und/oder einem Absolutwertgebersystem der Aufzuganlage implementiert sein. In diesem Fall wird die Information hinsichtlich der aktuellen Position der Aufzugkabine mehr einer Schätzung der aktuellen Kabinenposition entsprechen.

[0018] Insbesondere kann der Zentralprozessor, um die Information hinsichtlich der aktuellen Kabinenposition zu beziehen, wenigstens eine Sicherheitsschaltung der Aufzuganlage auswerten. Denn eine solche Sicherheitsschaltung kann eine relevante "sicherheitsgerichtete Information" hinsichtlich der Kabinenposition liefern. Die Sicherheitsschaltung kann dabei ein Glied einer komplexen Sicherheitskette sein, die einen sicheren Betrieb der Aufzuganlage gewährleistet. Hierbei kann der Aufzugsbetrieb so ausgestaltet sein, dass ein Verfahren der Aufzugkabine nur möglich ist, wenn sich die Sicherheitskette im Ganzen in einem für den Fahrbetrieb zulässigen Zustand befindet. Entsprechend kann der Zentralprozessor dazu eingerichtet sein, einen momentanen Zustand der Sicherheitskette abzufragen, um diesen Zustand beim Vorgeben der Fahrkurve zu berücksichtigen.

[0019] Die erwähnte Sicherheitskette der Aufzuganalage kann zum Beispiel als eine serielle Schaltung von mehreren Sicherheitsgliedern ("Tür geschlossen?", "Seile straff?", "Geschwindigkeit i.O.?", etc.) realisiert sein. Jedes Glied (welches mit einer jeweiligen Sicherheitsschaltung realisiert sein kann) muss dabei einen bestimmten Zustand aufweisen, damit die Sicherheitskette insgesamt in dem zulässigen Zustand ist, in welchem ein sicheres Verfahren der Aufzugkabine möglich/freigegeben ist. Eine solche Sicherheitskette kann beispielsweise das korrekte Schließen und Öffnen der Türen der Fahrzeugkabine überwachen und nur in sicheren Zuständen der Fahrzeugkabine ein Öffnen der Türen freigeben. Zudem kann die Sicherheitskette so ausgestaltet sein, dass eine Unterbrechung der Sicherheitskette den Fahrbetrieb der Aufzuganlage still legt. Die Sicherheitskette ist dem Zentralprozessor also bevorzugt übergeordnet, d.h. der Zentralprozessor kann den Aufzugbetrieb nur ausführen, solange die Sicherheitskette nicht unterbrochen ist.

[0020] Der Zentralprozessor kann aber beispielsweise auch dazu eingerichtet sein, ein bestimmtes Glied der Sicherheitskette zu überbrücken, wenn bestimmte Randbedingungen erfüllt sind. Soll der Aufzug beispielsweise eine Halteposition mit "früh öffnenden Türen" anfahren, so kann der Zentralprozessor das Einfahren der Aufzugkabine in eine Türzone detektieren, zum Beispiel durch Auslesen von Zonenmagneten, die in der Türzone im Aufzugschacht angeordnet sind. Detektiert der Zentralprozessor ein Einfahren der Aufzugkabine in eine (vordefinierte) Türzone, so kann der Zentralprozessor ein Glied der Sicherheitskette (z.B. "Tür geschlossen") gezielt überbrücken (sog. "Türüberbrückung") und so ein Öffnen der Türen ermöglichen, noch bevor die Aufzugkabine die endgültige Halteposition erreicht hat (= "Frühes Türöffnen"). Der Zentralprozessor kann also dazu eingerichtet sein, in Abhängigkeit von wenigstens einem empfangenen Sensorsignal (etwa: "Aufzugkabine innerhalb Türzone") steuernd auf eine/die Sicherheitskette der Aufzuganlage einzuwirken, die einen sicheren Betrieb des Aufzugs gewährleistet.

[0021] Da der Zentralprozessor somit die typischerweise digitalen externen Rufe entgegen nimmt und verarbeitet und ferner auch mit anderen Geräten der Aufzuganlage kommunizieren kann, etwa um die aktuelle Kabinenposition zu bestimmen, vereint der Zentralprozessor eine digitale Kommunikation innerhalb der Aufzuganlage mit dem Erzeugen der (oftmals analogen) Motorsteuerungssignale in einer Prozessoreinheit. Diese Fusion von digitaler und analoger Welt in dem Zentralprozessor reduziert die Komplexität beträchtlich und vereinfacht somit Wartung und Aktualisierung des Gesamtsystems.

[0022] Der Zentralprozessor kann beispielsweise in Form eines Mikrocomputers oder eines Mikroprozessors und/oder auf einem Mainboard der Aufzugelektronikeinheit implementiert sein. Der Zentralprozessor muss dabei über ausreichend Leistungsfähigkeit, insbesondere eine ausreichende Prozessorgeschwindigkeit, verfügen, um notwendige zeitkritische Motorsteuerungsfunktionen ausführen zu können.

[0023] Ferner kann der Zentralprozessor über einen Analogsignalausgang (zum Erzeugen eines analogen Motorsteuerungssignals) und/oder eine PWM-Einheit (zum Erzeugen eines PWM-Motorsteuerungssignals) verfügen, der/die direkt mit der Leistungsendstufe verbunden ist (um die Leistungsendstufe mit dem entsprechenden Motorsteuerungssignal direkt anzusteuern). Damit kann eine direkte Motoransteuerung durch den Zentralprozessor implementiert werden. Der Zentralprozessor kann somit insbesondere dazu eingerichtet sein, eine Digital-Analog-Wandlung vorzunehmen, um aus digitalen Daten/Befehlen (die z.B. aus der Fahrkurve hervorgehen), analoge Motorsteuerungssignale zu erzeugen, mit denen die Leistungsendstufe direkt ansteuerbar ist.

[0024] Durch die erfindungsgemäße Ausgestaltung ist es also möglich, mit dem Zentralprozessor den Fahrbetrieb der Aufzugkabine vorzugeben und gleichzeitig den Aufzugmotor zu steuern und zu regeln. Der Zentralprozessor ist dabei mit einer so hohen Betriebsgeschwindigkeit (operational speed) ausgestattet, dass er zeitkritische Motorsteuerungsfunktionen übernehmen kann.

[0025] Die Kommunikation zwischen Zentralprozessor und Leistungsendstufe kann auch bidirektional ausgestaltet sein, beispielsweise damit die Leistungsendstufe eine Störungsmeldung an den Zentralprozessor senden kann. Der Zentralprozessor kann auch dazu eingerichtet sein, sensorische Daten des Aufzugmotors (etwa eine momentane Winkellage des Rotors des Aufzugmotors) zu erfassen. Bei der Generation der Motorsteuerungssignale kann der Zentralprozessor solche sensorischen Daten und/oder Störungsmeldungen berücksichtigen.

[0026] Die erfindungsgemäße Aufzugteuerungsarchitektur kann somit vorsehen, dass der Zentralprozessor dazu eingerichtet ist:

(i) auf eingehende externe Rufe durch Erzeugen und Ausgeben entsprechender Motorsteuerungssignale zu reagieren; dabei
(ii) wenigstens eine Information hinsichtlich der aktuellen Kabinenposition (= Position der Aufzugkabine) auszuwerten/zu berücksichtigen, insbesondere hierzu eine Sicherheitsschaltung (vorzugsweise fortlaufend) auszuwerten/auszulesen; und
(iii) eine jeweilige Fahrkurve anhand eines (momentanen) empfangenen externen Rufs und auf Basis wenigstens einer Information hinsichtlich der aktuellen Kabinenposition, insbesondere auf Basis einer Auswertung von wenigstens einer Sicherheitsschaltung, vorzugeben/zu errechnen;

[0027] Es kann darüber hinaus beispielsweise auch vorgesehen sein, dass der Zentralprozessor dazu eingerichtet ist:

(iv) eine Türsteuerung (Türöffnen & Türschließen) zu bewirken, etwa durch direktes oder indirektes Ansteuern eines Türantriebs der Aufzugkabine (diese Türsteuerung kann auch das Ausführen einer sogenannten "Türüberbrückung" durch den Zentralprozessor umfassen, durch welche der Zentralprozessor ein Glied einer Sicherheitskette überbrückt); und/oder dazu

(v) einen momentanen Zustand einer Sicherheitskette der Aufzuganlage, vorzugsweise fortlaufend, zu überwachen.

[0028] Die Aufzuganlage, in welcher die Aufzugelektronikeinheit (die als eine elektronische Aufzugssteuervorrichtung verstanden werden kann) zum Einsatz kommt, kann beispielsweise (in an sich bekannter Weise) eine Aufzugskabine, Tragmittel, ggf. ein Gegengewicht, sowie eine Antriebseinheit (z.B. mit Treibscheibe und) mit Aufzugmotor (entweder mit oder ohne Getriebe) aufweisen. Die Aufzugelektronikeinheit kann als eine kompakte bauliche Einheit ausgestaltet werden; sie kann ferner die Steuerung und Regelung der Antriebseinheit übernehmen, beispielsweise in dem sie eine Motor-Leistungsendstufe (insbesondere als Teil der erwähnten Leistungsendstufe) der Antriebseinheit ansteuert, wie zuvor bereits im Detail erläutert.

[0029] Besonders sicherheitsrelevante Funktionen der Aufzuganlage, insbesondere einzelne Glieder der erwähnten Sicherheitskette, können dabei mittels einer (jeweiligen) Hardwareschaltung implementiert sein.

[0030] Um alle wichtigen Steuerungs- und Regelfunktionen vornehmen zu können, kann der Zentralprozessor über eine serielle Schnittstelle sowie über digitale Ein- und Ausgangsports verfügen, und auch über Relaisausgänge, um Steuerströme zum Ansteuern von Relais ausgeben zu können. Der Zentralprozessor kann darüber hinaus einen Fehlerspeicher umfassen, in welchem Fehlermeldungen, die beim Betrieb der Aufzuganlage entstehen, zu dokumentieren sowie einen Speicher zum Erfassen von Statistikdaten, etwas zu den durchgeführten Fahrten, insbesondere zu den abgefahrenen Fahrkurven (die entsprechend vom Zentralprozessor dokumentiert/geloggt werden können = Recorder-Funktion), und/oder zu sonstigen Betriebsparametern, die beim Betrieb der Aufzuganlage sensorisch erfassbar sind.

[0031] Die Aufzugelektronikeinheit kann auch über Sicherheitsschaltungen, insbesondere in Form von nichtveränderbaren Hardwareschaltungen, verfügen, auf die der Zentralprozessor zugreifen (Senden und/oder Empfangen) kann. Die jeweilige Sicherheitsschaltung kann wiederum mit externen Feldgeräten, wie beispielsweise einem Positionsgeber oder einem sonstigen Sensor oder Aktor, verbunden sein.

[0032] Aller der zuvor erläuterten zentralen Funktionen können dabei vom Zentralprozessor ausgeführt werden, ohne dass hierfür eine (fehleranfällig) Kommunikation mit einem weiteren Prozessor erforderlich ist. Diese erfindungsgemäße Architektur der Aufzugelektronikeinheit hat wesentliche Vorteile in Bezug auf die Sicherheit im Aufzugbetrieb aber auch in Bezug auf die Vereinfachung von Wartung und Instandhaltung sowie in Bezug auf die Anpassbarkeit der Aufzugelektronikeinheit und damit der von ihr gesteuerten Aufzuganlage.

[0033] Ein Gehäuse, in dem die Aufzugelektronikeinheit untergebracht ist, kann sich unter anderem dadurch auszeichnen, dass am Gehäuse eine zentrale Strom- und/oder Spannungsversorgung vorgesehen ist, über die wenigstens ein internes Netzteil der Aufzugelektronikeinheit mit elektrischer Spannung versorgbar ist. Das mindestens eine interne Netzteil kann eine jeweilige geeignete elektrische Betriebsspannung zum Betrieb von Komponenten der Aufzugelektronikeinheit zur Verfügung stellen, etwa um eine bestimmte Gleichspannung für den Zentralprozessor und/oder für einen der Zusatzprozessoren zur Verfügung zu stellen. Hierbei kann es unter Umständen auch unterschiedliche interne Gleichspannungsniveaus geben, da beispielsweise bestimmte Sensoren, die von der Aufzugelektronikeinheit versorgt werden, andere Spannungsniveaus erfordern können als der verwendete Zentralprozessor.

[0034] Die Aufzugelektronikeinheit kann ferner noch wie folgt weitergebildet werden:
Es kann vorgesehen sein, dass der Zentralprozessor dazu eingerichtet ist, eine Motorsteuerung des Aufzugsmotors zu implementieren, die zeitkritische Operationen umfasst, die in weniger als 1 ms ausgeführt werden müssen. Ferner kann der Zentralprozessor dazu eingerichtet sein, eine Fahrbetriebsteuerung der Aufzugsanlage zu implementieren. Diese Fahrbetriebssteuerung kann weniger zeitkritische Operationen, die in mehr als 1 ms ausgeführt werden können, und/oder zeitunkritische Operationen, die innerhalb von 10 ms ausgeführt werden müssen, umfassen. Der Zentralprozessor ist dabei vorzugsweise dazu eingerichtet, die Funktion der Motorsteuerung und jene der Fahrbetriebsteuerung gleichzeitig auszuführen. Hierzu ist es aber bevorzugt, wenn der Zentralprozessor dazu eingerichtet ist, die Motorsteuerung, also insbesondere die erwähnten zeitkritischen Operationen, priorisiert vor der Fahrbetriebssteuerung, also insbesondere priorisiert vor den erwähnten zeitunkritischen Operationen, abzuarbeiten. Das Abarbeiten kann dabei sequentiell und/oder mittels eines Zeitmultiplex-Verfahrens erfolgen. Hierbei kann der Zentralprozessor auch derart eingerichtet sein, dass er Operationen der Fahrbetriebssteuerung, insbesondere solche die zeitunkritisch sind, unterbrechen kann (sofern dies erforderlich wird, um im direkten Anschluss an die Unterbrechung zunächst eine zeitkritische Operation auszuführen).

[0035] Der Zentralprozessor kann dabei einen oder aber mehrere Prozessorkerne aufweisen. Bei einer Mehrkern/Multicore-Architektur, also dem Einsatz von wenigstens zwei Prozessorkernen im Zentralprozessor, kann beispielsweise einer der Kerne zum Ausführen zeitkritischer Operationen der Motorsteuerung und ein weiterer Kern zur Ausführung der Fahrbetriebssteuerung / von zeitunkritischen Operationen eingerichtet sein. Ferner kann der Zentralprozessor auch so ausgestaltet sein, dass beispielsweise einer der wenigstens zwei Prozessorkerne zumindest zeitweise pausiert (also zeitweise keine Operationen ausführt). Bevorzugt ist es in allen diesen Fällen, wenn wenigstens einer der Kerne zeitkritische Operationen in Echtzeit ausführen kann.

[0036] Unter echtzeitrelevanten Signalen kann hier verstanden werden, dass Signale innerhalb einer definierten maximalen Reaktionszeit verarbeitet sein müssen; diese maximale Reaktionszeit kann aber unter Umständen im Bereich von mehreren hunderten ms liegen. Echtzeitrelevante Signale können somit sowohl zeitkritische (< 1 ms) als auch zeitunkritische (> 10 ms) Signale umfassen.

[0037] Der Zentralprozessor kann beispielsweise über ein System intelligenter Interrupts verfügen, sodass zeitkritisch und nicht-zeitkritische Operationen sequentiell und/oder mittels eines Zeitmultiplex-Verfahrens (TDM = Time Division Multiplexing) vom Zentralprozessor abgearbeitet werden können, und zwar vorzugsweise nacheinander und geordnet nach Ihrer Priorität. Die quasi-parallele Ausführung (bei Verwendung eines Prozessorkerns) oder tastsächlich parallele Ausführung (auf mindestens zwei Prozessorkernen) beider Funktionen (die Motorsteuerung und Regelung & Überwachung des Fahrbetriebs) durch einen einzigen Zentralprozessor ist somit möglich, weil der Prozessor zwischen diesen beiden Funktionen priorisieren kann und somit die zeitkritischen Operationen priorisiert vor den nicht-zeitkritischen Operationen ausführt. Dies kann beispielsweise mittels einer entsprechenden "Interrupt"-Priorisierung erzielt werden und/oder durch Einsatz von zwei Prozessorkernen. Kennzeichnend bei Verwendung nur eines Prozessorkerns kann dabei sein, dass der Zentralprozessor beide Funktionen seriell nacheinander ausführt, dies aber in solch kurzen Zeitabständen, dass eine quasi-parallele Ausführung beider Funktionen durch ein und denselben Zentralprozessor möglich ist.

[0038] In einem Speicher des Zentralprozessor kann zu diesem Zweck ein Programm zur Überwachung des Aufzugbetriebs der Aufzuganlage (genauer des Fahrbetriebs der Aufzugskabine) und ein Programm zur Motorsteuerung hinterlegt sein. Beide dieser Programme können mittels digitaler Softwareupdates konfigurierbar sein, wie noch genauer erläutert werden wird, das heißt diese Programme können in einem (insbesondere jeweiligen) überschreibbaren (internen oder externen) Speicher hinterlegt sein.

[0039] Der Vorteil dieses Ansatzes besteht unter anderem darin, dass die Software des Prozessors einfacher zu pflegen ist als im Vergleich zum Pflegen zweier separater Prozessoren. Zudem ist die Lösung kostengünstiger, weil ein Prozessor eingespart werden kann, und es gibt keine fehleranfälligen Kontakte oder Leitungen mehr, weil die Kommunikation zwischen den beiden Prozessoren wegfällt. Zudem ist der Update-Prozess bei Verwendung nur eines Zentralprozessors vereinfacht und auch die Fehleranalyse des Gesamtsystems, aufgrund des Wegfalls einer Kommunikation zwischen zwei Prozessoren, wie bislang üblich.

[0040] Die Aufzugselektronikeinheit kann besonders dann vorteilhaft eingesetzt werden, wenn sie wenigstens einen Zusatzprozessor umfasst, der dazu eingerichtet ist, wenigstens eine Zusatzfunktion auszuführen. Diese Zusatzfunktion kann den Funktionsumfang des Zentralprozessors also modular ergänzen. Hierbei kann zum Beispiel vorgesehen sein, dass der wenigstens eine Zusatzprozessor auf einem Mainboard eingesteckt ist, auf welchem der Zentralprozessor implementiert ist. Dadurch lässt sich eine Zusatzfunktion sehr einfach durch Einstecken des Zusatzprozessor modular ergänzen, also insbesondere nachrüsten.

[0041] Der wenigstens eine Zusatzprozessor kann mit dem Zentralprozessor beispielsweise mittels einer seriellen Schnittstelle, insbesondere in Form eines BUS-Systems zur Datenübertragung, kommunizieren. Ergänzend oder alternativ kann aber auch ein sogenanntes dual-ported RAM genutzt werden, um eine Kommunikation / einen Datenaustausch zwischen Zusatzprozessor und Zentralprozessor zu ermöglichen. Je nach Ausgestaltung kann ein solcher dual-ported-RAM insbesondere von beiden Prozessoren beschrieben und ausgelesen werden, sodass z.B. der Zusatzprozessor eine Information aus dem dual-ported-RAM auslesen kann, welche der Zentralprozessor dort abgelegt hat und umgekehrt.

[0042] Der jeweilige Zusatzprozessor kann somit als ein modulares Peripheriegerät des Zentralprozessors angesehen werden, über welches der Zentralprozessor Zugriff auf Zusatzfunktionen erhält und/oder solche Zusatzfunktionen implementiert. Mittels eines solchen Zusatzprozessors lässt sich beispielsweise als Zusatzfunktion eine sogenannte STO(Safe Torque Off)-Funktion (die sicherstellt, dass eine ungewollte Bestromung des Antriebs sicher verhindert werden kann) oder beispielsweise eine Bremsenansteuerung/ Bremsensteuerungsfunktion implementieren, mit der eine mechanische Bremse der Aufzuganlage sicher angesteuert und betrieben werden kann. Ein solches Vorgehen bietet sich beispielsweise an, wenn eine elektromechanische Bremse mittels eines PWM-Signals angesteuert werden soll, welches PWM-Signal dann der zugeordnete Zusatzprozessor erzeugen kann. Hierbei kann der eigentliche (insbesondere digitale) Befehl zum Bremsen vom Zentralprozessor an den Zusatzprozessor übergeben werden, wobei der Zentralprozessor aus der jeweiligen Fahrkurve ableiten kann, zu welchen Zeitpunkten gebremst bzw. zu welchen Zeitpunkten die Bremse gelüftet werden soll. Hierbei ist zu berücksichtigen, dass solche elektromechanischen Bremsen im Regelfall bei Bestromung lüften und bei Wegfall der Bestromung / des PWM-Signals eingreifen. Will der Zentralprozessor somit bremsen, so wird er in einem solchen Fall den Zusatzprozessor entsprechend anweisen, die Bestromung der Bremse einzustellen.

[0043] Bevorzugt kann der Zentralprozessor eine elektronische Bremsschaltung (insbesondere unter Verwendung eines elektrischen Bremswiderstands), mit der Bremsenergie geregelt elektrisch dissipiert werden kann, realisieren. Denn zu diesem Zweck muss der Zentralprozessor auf den Motor / die Antriebseinheit der Aufzuganlage steuernd einwirken, was gerade Aufgabe des Zentralprozessors ist. Hierzu kann der Zentralprozessor beispielsweise einen IGBT oder einen sonstigen geeigneten Leistungsschalter einer Hardwareschaltung ansteuern, um einen elektrischen Bremswiderstand zuzuschalten. Eine solche elektronische Bremsschaltung, die mit Hilfe des Zentralprozessors realisiert wird, kann insbesondere dazu dienen, Überspannungen, etwa in einem Zwischenstromkreis der Leistungsendstufe, zu vermeiden.

[0044] Zentrale Funktionen, die mittels des Zentralprozessors implementiert sein können, können ferner sein:

ein Feuerwehraufzugbetrieb (Dieser Betriebsmodus der Aufzuganlage kann beispielsweise ein schnelles Verfahren der Aufzugkabine für Feuerwehrleute im Brandfall ermöglichen und/oder ein Anhalten der Aufzugkabine im Brandfall in solchen Stockwerken verhindern, in denen Rauchmelder eine starke Rauchentwicklung detektiert haben, zum Schutz der Feuerwehrleute);
ein Notstrom- und/oder Evakuierungsbetrieb (z.B. zur Durchführung einer Notstromevakuierung von Fahrgästen, insbesondere bei Verwendung einer getriebelosen Antriebseinheit);
eine Notbefreiungsfunktion, zum Befreien von Personen, die in der Aufzugskabine feststecken, insbesondere wobei die Notbefreiungsfunktion eine Kommunikation mit einer (externen) Fernsteuerung (remote control) der Aufzuganlage, etwa von einem Service-Zentrum aus, umfassen kann; oder
eine Gruppensteuerung mehrerer Aufzugkabinen der Aufzuganlage.

[0045] Bei allen solchen zentralen Funktionen, die der Zentralprozessor ausführt, kann sich der Zentralprozessor selbstverständlich auch eines Zusatzprozessors bedienen, also den jeweiligen Zusatzprozessor durch Signale und/oder digitale Befehle entsprechend instruieren, etwa um eine remote-Verbindung herzustellen oder die jeweilige Zusatzfunktion tatsächlich auszuführen.

[0046] Wenn die Aufzuganlage zwei oder mehr Kabinen umfasst, die in zwei oder mehr Schächten verfahren werden, aber elektronisch miteinander zu einer Anlage verbunden sind, so kann eine wie oben erwähnte Gruppensteuerung beispielsweise festlegen, welche Kabine von der Aufzugelektronikeinheit verfahren wird, um auf einen eingegangenen externen Ruf zu reagieren. Hierbei können auch zwei separate erfindungsgemäße Aufzugelektronikeinheiten in der gesamten Aufzuganlage ausgestaltet sein, die dann elektronisch miteinander vernetzt sind und dazu eingerichtet, sich bezüglich der Abarbeitung von eingehenden externen Rufen abzustimmen. Mit anderen Worten kann der Zentralprozessor einer erfindungsgemäßen Aufzugelektronikeinheit dazu eingerichtet sein, mit wenigstens einem weiteren Zentralprozessor einer weiteren Aufzugelektronikeinheit zu kommunizieren, insbesondere um so eingehende externe Rufe abgestimmt abzuarbeiten, nämlich durch Erzeugen und Ausgeben entsprechender Motorsteuerungssignale, um eine von wenigstens zwei Aufzugkabinen der Aufzuganlage zu verfahren.

[0047] Weitere mögliche Zusatzfunktionen, die von einem Zusatzprozessor übernommen werden können, sind:

eine Auswertung zusätzlicher Rufanlagen, zum Empfangen weiterer externer Rufe;
eine Gateway-Keeper-Funktion, etwa um elektronisch Kontakt zu einer Hauszentrale oder zu einem externen Computer-Netzwerk/einer cloud herzustellen;
eine Bremsenüberwachungsfunktion, mit der die korrekte Funktionsweise (insbesondere ein korrektes Lüften und/oder ein korrektes Einfallen) einer mechanischen Bremse, insbesondere einer mechanischen Motorbremse, der Aufzuganlage überwacht werden kann (Diese Bremsenüberwachungsfunktion, die der Zusatzprozessor implementiert, kann dabei auf dem Auswerten von Sensorsignalen, insbesondere von Mikro- und/oder Kontaktschaltern, basieren und/oder auf einer elektrischen Strom- und/oder Spannungsmessung);

eine Bremsenverschleißüberwachungsfunktion, mit der ein Verschleiß an einer mechanischen Bremse der Aufzuganlage ermittelbar oder zumindest abschätzbar ist;
eine Bremsenansteuerungsfunktion (ermöglicht korrektes Lüften und Einfallen der Bremse zu geeigneten Zeitpunkten der Fahrkurve; hierzu kann der Zusatzprozessor zum Beispiel steuernd auf eine Bremsenbetriebsschaltung einwirken), mit der sich eine solche Bremse gezielt öffnen/lüften und schließen lässt. Es sei an dieser Stelle noch erwähnt, dass sofern die Sicherheitskette unterbrochen wird, diese Unterbrechung die jeweilige Bremse in einen unbestromten Zustand versetzen wird, sodass die Fahrzeugkabine sicher zum Stehen kommt.

[0048] Die jeweilige Zusatzfunktion wird dabei in der Regel nicht in dem Funktionsumfang umfasst sein, welches der Zentralprozessor abdeckt. Ein Zusatzprozessor kann somit beim Ausführen der jeweiligen Zusatzfunktion dezentral zum Zentralprozessor und/oder zeitgleich zu diesem Befehle im Rahmen der jeweiligen Zusatzfunktion ausführen. Selbstverständlich kann ein jeweiliger Zusatzprozessor auch dazu eingerichtet sein, mehrere solcher Zusatzfunktionen auszuführen/zu übernehmen.

[0049] Eine weitere zentrale Funktion, die bevorzugt der Zentralprozessor übernimmt/ausführt, kann wie erwähnt darin bestehen, ein elektrodynamisches Abbremsen der Aufzugkabine bzw. eine Rekuperation von kinetischer Bremsenergie zu ermöglichen. Hierzu kann der Zentralprozessor beispielsweise eine Ein- und Rückspeisungseinheit (insbesondere als Vorstufe der Leistungsendstufe) ansteuern. Denn so kann im generatorischen Betrieb des Aufzugmotors kinetische Bremsenergie als elektrische Leistung rekuperiert und in ein externes Stromnetz zurückgespeist werden. Die Ansteuerung kann insbesondere vermittelt über einen Zusatzprozessor implementiert sein. Soll diese Funktion hingegen nicht implementiert werden, kann der Zusatzprozessor, der die Rückspeisungseinheit ansteuern soll, entsprechend weggelassen werden. Der Zusatzprozessor ergänzt hier also Funktionalität, die aber vom Zentralprozessor gesteuert wird.

[0050] Eine weitere wichtige Zusatzfunktion, die mit Hilfe eines Zusatzprozessors ergänzt werden kann, kann darin bestehen, eine Kommunikation des Zentralprozessors mit dem Internet zu ermöglichen, weil der Zentralprozessor aus Sicherheitsgründen keinen direkten Zugang zum Internet haben sollte. Der wenigstens eine Zusatzprozessor kann so als Gatekeeper dienen und vermittelt dann dem Zentralprozessor einen sicheren Internet-Zugang, ähnlich einem Router.

[0051] Durch das modulare Nach- bzw. Zurüsten von wenigstens einem Zusatzprozessor kann die Funktionalität der Aufzugelektronikeinheit somit besonders einfach Kundenwünschen angepasst werden, wodurch die Einsatzmöglichkeiten der Aufzugelektronikeinheit wesentlich verbreitert werden. Hierbei ist insbesondere von Vorteil, dass alle für die Personensicherheit der Aufzuganlage relevanten Funktionen von dem Zentralprozessor ausgeführt werden können, sodass die Sicherheitsprüfung zunächst auf die Aufzugelektronikeinheit ohne Zusatzprozessoren beschränkt werden kann. In einem zweiten Schritt kann dann die Sicherheit des Gesamtsystems aus Zentral- und Zusatzprozessor überprüft werden.

[0052] Der wenigstens eine Zusatzprozessor kann mit einer standardisierten, hardwareunabhängigen, programmierbaren Software, insbesondere mit einem standardisierten hardwareunabhängigen Betriebssystem wie etwa Linux, betrieben werden bzw. betreibbar sein bzw. eine solche Software umfassen.

[0053] Als technische Alternative hierzu ist es aber auch möglich, dass der wenigstens eine Zusatzprozessor mit dem Zentralprozessor auf Basis von Interrupts, insbesondere bidirektional, kommuniziert. In diesem Fall kann nämlich auf ein eigenes Betriebssystem des Zusatzprozessors verzichtet werden. Bei einer solchen Ausgestaltung ist es vorteilhaft für eine effiziente Kommunikation, wenn der wenigstens eine Zusatzprozessor dazu eingerichtet ist, wenigstens einen zentralen Interrupt des Zentralprozessors auszulösen, um so eine diesem zentralen Interrupt zugeordnete zentrale Interrupt-Service-Routine des Zentralprozessors (bei Bedarf) zu triggern. Ferner kann auch alternativ oder ergänzend (nämlich je nach Funktion, die der Zusatzprozessor übernehmen soll) vorgesehen sein, dass der Zentralprozessor dazu eingerichtet ist, einen peripheren Interrupt des wenigstens einen Zusatzprozessors auszulösen, um so eine diesem peripheren Interrupt zugeordnete Interrupt-Service-Routine des wenigstens einen Zusatzprozessors (bei Bedarf) zu triggern. Die Übertragung eines peripheren Interrupts vom Zentralprozessor an den Zusatzprozessor kann dem Zusatzprozessor beispielsweise ein bestimmtes (insbesondere zeitgesteuertes) Ereignis, beispielsweise ein bündiges Anfahren einer Halteposition mit der Fahrzeugkabine oder eine bestimmte Betriebssituation der Aufzuganlage, anzeigen. In Reaktion auf das periphere Interrupt kann der Zusatzprozessor so eine zugehörige passende Aktion auslösen, wodurch zum Beispiel geeignete Komfortfunktionen (Visualisierungen und/oder das Abspielen eines Audio-Files etc. bei Erreichen einer bestimmten Halteposition) realisiert werden können oder ein momentaner Sonderbetrieb der Aufzuganlage Personen kenntlich gemacht werden kann.

[0054] Umgekehrt können die vom Zusatzprozessor ausgelösten Zusatz-Interrupts des Zentralprozessors bestimmte Aktionen des Zentralprozessors anstoßen. Hierbei ist es aber bevorzugt, wenn der Zentralprozessor so eingerichtet ist, dass derartige von außen/von einem Zusatzprozessor auf den Zentralprozessor einwirkenden zentralen Interrupts zeitkritische Operationen, insbesondere der Motorsteuerung, die der Zentralprozessor gerade ausführt, nicht unterbrechen können. Mit anderen Worten können/sollten diese von außen eingehenden zentralen Interrupts gegenüber internen Interrupts, die der Zentralprozessor selbst erzeugt, depriorisiert sein.

[0055] Um die Anpassung (customization) eines Zusatzprozessor für den Kunden zu erleichtern, können beispielsweise eine Tabelle zur Verfügung gestellt werden, die auflistet, welche peripheren Interrupts welchen Ereignissen entsprechen. Auf Basis einer solchen Tabelle kann der Kunde dann die jeweilige periphere Interrupt-Routine nach seinen Wünschen anpassen, um so eine bestimmte kundenspezifische Funktion mit dem Zusatzprozessor zu implementieren. Eine Anpassung des Zentralprozessor ist hierfür jedoch gerade nicht notwendig, was den Vorteil dieses Konzepts zeigt.

[0056] In beiden Fällen, also der Verwendung eines eigenen Betriebssystems im Zusatzprozessor oder der Kommunikation über Interrupts, kann so eine "offene Plattform für Dritte" geschaffen werden, die eigene Steuerungsfunktionen und/oder Bedienmöglichkeiten und/oder Visualisierungen (z.B. auf einer Anzeigeeinheit in der Aufzugskabine) oder Sprachansagen oder sonstige Zusatzfunktionen, insbesondere Komfortfunktionen, einfach mit Hilfe eines Zusatzprozessors implementieren können. Soll beispielsweise die Visualisierung eines Bedieninterfaces der Aufzuganlage Kundenwünschen angepasst werden, so genügt es, entsprechende Änderungen im Zusatzprozessor vorzunehmen. Zu diesem Zweck kann die Aufzugselektronikeinheit auch über eine Anpassungsschnittstelle verfügen, über welche eine Umprogrammierung des jeweiligen Zusatzprozessors (insbesondere durch einen Kunden vor Ort) vorgenommen werden kann. Der Zentralprozessor kann in allen diesen Fällen unveränderte Befehle an den Zusatzprozessor zur Darstellung bestimmter Information übermitteln; der Zusatzprozessor wird diese Information aber dann gemäß Kundenwunsch auf der Anzeigeeinheit visualisieren und/oder in eine entsprechende Funktion / Ausgabe umsetzen. Hierzu muss also beispielsweise ein Bedien-Interface der Aufzuganlage nicht zwingend mit dem Zentralprozessor bidirektional kommunizieren, sondern es genügt in der Regel eine bidirektionale Kommunikation zwischen Zentral- und Zusatzprozessor, insbesondere mittels Interrupts.

[0057] Alternativ zu diesem Konzept kann jedoch auch, je nach Anwendungsfall, der Zusatzprozessor (wie z.B. auch der Zentralprozessor) mittels einer hardwareabhängigen, insbesondere proprietären, Software betrieben werden. Dies kann zwar Nachteile für Dritte haben, aber zu einer höheren Sicherheit des Gesamtsystems führen.

[0058] Der wenigstens eine Zusatzprozessor kann ferner zwar Informationen an den Zentralprozessor übermitteln; es ist jedoch bevorzugt, wenn der jeweilige Zusatzprozessor nicht steuernd auf den Zentralprozessor zugreifen kann. Denn so kann verhindert werden, dass sicherheitsrelevante Operationen, die der Zentralprozessor sicher ausführen muss, durch den Zusatzprozessor gestört werden. Umgekehrt kann aber vorgesehen sein, dass der Zentralprozessor steuernd auf den wenigstens einen Zusatzprozessor zugreifen kann. Beispielsweise kann der Zentralprozessor so einen Ablauf einer Befehlsausführung des jeweiligen Zusatzprozessors anpassen und/oder den jeweiligen Zusatzprozessor in einen Schlaf- oder Ruhezustand versetzen oder aus einem solchen aufwecken.

[0059] Die Aufzugselektronikeinheit kann noch weitere Komponenten umfassen: Zum Beispiel eine elektronische Rufschnittstelle, über welche der Zentralprozessor die externen Rufe empfangen und auswerten kann. Ferner wenigstens eine elektronische Sicherheitsschnittstelle, über welche der Zentralprozessor Signale der wenigstens einen Sicherheitsschaltung empfangen und auswerten kann. Über eine solche Schnittstelle kann der Zentralprozessor je nach Ausgestaltung auch steuernd auf die Sicherheitsschaltung einwirken, etwa um eine Überbrückung der Sicherheitsschaltung zu ermöglichen (wie bereits zuvor mit Bezug auf die Sicherheitskette erläutert). Und schließlich wenigstens eine elektronische interne Kommunikationsschnittstelle, über welche der Zentralprozessor mit dem wenigstens einen Zusatzprozessor, insbesondere vermittelt über einen weiteren Zusatzprozessor und/oder bidirektional, kommunizieren kann. Hierbei ist es bevorzugt, wenn die Sicherheitsschnittstelle und/oder die interne Kommunikationsschnittstelle jeweils mittels eines BUS-Systems realisiert sind.

[0060] Über die Rufschnittstelle kann der Zentralprozessor somit externe Fahrbefehle empfangen und diese in entsprechende Steuerbefehle, Aktor-Steuerbefehle (etwa zum Öffnen der Aufzugskabinentür), und/oder in Motorsteuerungssignale (zum Ansteuern der Leistungsendstufe) übersetzen.

[0061] Über die Sicherheitsschnittstelle kann der Zentralprozessor sicherheitsrelevante Information von externen Feldgeräten, insbesondere Sensoren und Aktoren der Aufzuganlage, abfragen und/oder Aktor-Steuerbefehle an ein solches Feldgerät übermitteln und/oder eine Sicherheitsschaltung auslesen und/oder auf die erwähnte Sicherheitskette einwirken, insbesondere ein Glied der Sicherheitskette überbrücken.

[0062] Über die interne Kommunikationsschnittstelle kann der Zentralprozessor mit dem wenigstens einen Zusatzprozessor kommunizieren, hierüber Zentral-Softwareupdates empfangen und/oder Peripherie-Softwareupdates freigeben, wie noch genauer erläutert wird.

[0063] Unter einem Bus wird hier ein System zur Datenübertragung zwischen mehreren Teilnehmern über einen gemeinsamen Übertragungsweg verstanden: Findet eine momentane Datenübertragung zwischen zwei Teilnehmern statt, so müssen die übrigen Teilnehmer zur selben Zeit schweigen, da sie sonst stören würden. Die Zeit der Sprechberechtigung wird nach einem allen Teilnehmern bekannten (Zeit- oder Signal-)Schema verteilt. Das Zuhören ist hingegen nicht eingeschränkt.

[0064] Eine bevorzugte Ausgestaltung sieht vor, dass der Zentralprozessor dazu eingerichtet ist, Betriebsparameter während des Betriebs der Aufzuganlage, insbesondere während automatisiert absolvierter Testfahrten mit der Aufzugkabine, zu sammeln und zu dokumentieren. Solche Betriebsparameter können beispielsweise sein:

Stromaufnahmen von Komponenten der Aufzuganlage, insbesondere eine Stromaufnahme der Antriebseinheit und/oder eines Türantriebs;
gemessene Oberschwingungen auf Strom- und/oder Spannungssignalen, insbesondere von Drehgebersignalen;
Temperaturen bzw. zeitliche Temperaturverläufe, insbesondere innerhalb der Aufzugelektronikeinheit und/oder in der Leistungsendstufe und/oder innerhalb des Aufzugmotors;
ein Schlupf von Tragmitteln wie beispielsweise Seilen (dies kann aus einer Umdrehungszahl der Antriebseinheit und der Kabinenposition ermittelt werden);
Fehlermeldungen;
tatsächliche abgefahrene Fahrkurven;
sensorische Daten von Sensoren der Aufzuganlage;
Zustände der Sicherheitskette;
statistische Daten, insbesondere hinsichtlich abgebrochener Aufzugfahrten;
Überwachungsdaten zu bestimmten Geräteparametern, z.B. zur Überprüfung der Plausibilität der Wirkung eines Lüfters der Aufzugelektronikeinheit;
Abweichungen eines Strombedarfs/einer Stromaufnahme, die bei definierten Testfahrten ermittelt werden;
gemessene bzw. ermittelte Haltemomente und/oder Verzögerungswerte einer mechanischen Motorbremse der Aufzuganlage, wobei auch solche Parameter insbesondere durch autonom ausgeführte sichere Testfahrten von dem Zentralprozessor erfasst werden können; oder etwa
Daten hinsichtlich eines Beladungszustands der Aufzugkabine (aus solchen Daten kann der Zentralprozessor angemessene Reaktionen im Fehlerfall implementieren, zum Beispiel eine Warnausgabe innerhalb der Aufzugkabine und/oder ein vorübergehendes Sperren des Aufzugbetriebs, wenn eine zulässige Beladung überschritten wird).

[0065] Der Zentralprozessor kann zum Zweck der genauen Dokumentation solcher Daten/Betriebsparameter insbesondere über eine Echtzeituhr verfügen. Zum Sammeln von Betriebsparametern kann sich der Zentralprozessor auch eines des erwähnten Zusatzprozessors bedienen, etwa wenn letztere eine Bremsenüberwachungsfunktion realisiert, auf die der Zentralprozessor dann zugreifen kann, um Bremsparameter zu sammeln / zu dokumentieren.

[0066] Der Zentralprozessor kann auch dazu eingerichtet sein, sichere Testfahrten ohne Passagiere (zum Beispiel nachts) zum Sammeln solcher Betriebsparameter autonom (also ohne menschlichen Bediener) durchzuführen. Beispielsweise kann der Zentralprozessor so auf sichere Weise Sprungantworten der Antriebseinheit messen, in dem der Zentralprozessor, während einer solchen sicheren Testfahrt, Sprünge der Drehzahl des Motors vorgibt und die Sprungantwort der Antriebseinheit erfasst. Solche Testfahren können auch als Überprüfungsfahrten ausgelegt sein, um bestimmte Verschleißparameter oder Betriebsparameter zu überprüfen/zu erfassen, die in normalen Fahrten mit Passagieren nicht ohne Sicherheitsrisiko zugänglich sind.

[0067] Ferner kann der Zentralprozessor beispielsweise dazu eingerichtet sein, Betriebstemperaturen von Komponenten der Aufzuganlage, die beispielsweise zur Bewertung einer Stromaufnahme wichtig sind, abzuschätzen und/oder sensorisch zu erfassen. Beispielsweise kann der Zentralprozessor mit Hilfe einer Echtzeituhr eine Abkühlung der Antriebseinheit über die Zeit abschätzen. Solche sensorisch erfassten oder aber abgeschätzten Betriebstemperaturen können dann bei der Ausführung der Testfahren und der Erfassung von Stromaufnahmen Berücksichtigung finden.

[0068] Durch das Sammeln solcher Betriebsparameter kann der Zentralprozessor auch in die Lage versetzt werden, auf Basis von gesammelten Betriebsparametern wenigstens einen Verschleißparameter und/oder eine Schätzung einer Rest-Lebensdauer von wenigstens einer Komponente der Aufzuganlage zu ermitteln. Mit anderen Worten kann der Zentralprozessor somit fortlaufend den Lebenszustand der Aufzuganlage und/oder deren Verschleiß überwachen und ferner, auf Basis solcher Ermittlungen/Schätzungen, eine Wartung der Aufzuganlage und/oder den Austausch einer Komponente der Aufzuganlage initiieren, beispielsweise durch Absenden einer entsprechenden digitalen Meldung (z.B. Push-Nachricht über das Internet), wozu sich der Zentralprozessor eines Zusatzprozessors bedienen kann. Die vom Zentralprozessor abgelegten Betriebsparameter und/oder ermittelten Verschleißparameter oder Rest-Lebensdauern können selbstverständlich auch von außen abrufbar sein, insbesondere über das Internet, wobei dann einer der Zusatzprozessoren eine über das Internet empfangene Abrufanfrage an den Zentralprozessor weitergeben kann.

[0069] Eine weitere wünschenswerte Funktionalität, die der Zentralprozessor implementieren kann, besteht darin, eine autonome, d.h. selbständige, Optimierung des Fahrbetriebs der Aufzuganlage vorzunehmen. Beispielsweise kann der Zentralprozessor anhand von gemessenen Stromaufnahmen einer Komponente der Aufzuganlage (insbesondere der Antriebseinheit und/oder eines Türantriebs), eine Ansteuerung dieser Komponente anpassen, insbesondere um so einen verschleißärmeren Betrieb oder eine verbesserte Leistung der Komponente zu ermöglichen. Beispielsweise können sichere Testfahrten (die als "Referenzfahrten" angesehen werden können) ohne Passagiere in der Aufzugkabine (also in nicht beladenem Zustand) innerhalb bestimmter Zeiten, vorzugsweise nachts, automatisiert gesteuert durch den Zentralprozessor, durchgeführt werden, und der Zentralprozessor kann dazu eingerichtet sein, mittels solcher Testfahrten wenigstens einen Regelungsparameter selbsttätig, insbesondere unter Berücksichtigung einer aktuellen Temperatur der Leistungsendstufe und/oder des Aufzugmotors, zu optimieren. Solche Regelungsparameter können insbesondere Parameter einer Stromregelung und/oder einer Drehzahlregelung der Antriebseinheit / des Aufzugsmotors sein. Der Zentralprozessor kann also bei der Optimierung einen Stromregler und/oder einen Drehzahlregler anpassen.

[0070] Ferner kann der Zentralprozessor mittels eines autonomen Monitoring des Fahrbetriebs der Aufzuganlage spezifische Verhaltensweisen der Anwender/Nutzer der Aufzuganlage erfassen und auf Basis eines solchen Monitorings den Fahrbetrieb der Aufzuganlage optimieren. Aus einer solchen Optimierung kann sich beispielsweise ergeben, dass der Zentralprozessor autonom die Aufzugkabine zu bestimmten Tageszeiten in bestimmte Stockwerke verfährt.

[0071] Beispielsweise kann dann, wenn der Zentralprozessor eine zu hohe (elektromechanische) Auslastung der Antriebseinheit detektiert, beispielsweise weil eine Temperatur der Leistungsendstufe und/oder des Aufzugmotors einen oberen Grenzwert überschreitet ("Endstufe und/oder Motor zu heiß"), eine Türschließzeit und/oder eine Türöffnungszeit (beides kann unter dem Begriff "Türbewegungszeit" zusammengefasst werden) verlängern. Auf diese Weise kann der Zentralprozessor auf intelligente Weise der Antriebseinheit bei hoher Auslastung längere Abkühlphasen verschaffen (nämlich dann, wenn die Aufzugkabine noch steht, weil sich die Türen langsamer/später schließen), und zwar ohne dass diese längeren Abkühlphasen für den Anwender direkt ersichtlich sind. Nimmt die Auslastung der Antriebseinheit hingegen wieder ab, so kann der Zentralprozessor in Reaktion hierauf, beispielsweise in Reaktion auf ein Absinken einer Temperatur der Leistungsendstufe und/oder des Motors, die Türschließzeit und/oder die Türöffnungszeit wieder verlängern, um so den Fahrbetrieb (genauer: das Anfahren nach Einstieg in die Kabine und/oder das Türöffnen bei Erreichen einer Halteposition und/oder eine Verfahrgeschwindigkeit der Aufzugkabine) zu beschleunigen.

[0072] Der Zentralprozessor kann auch dazu eingerichtet sein, eine Sicherheitsüberprüfung eines Peripherie-Softwareupdates durchzuführen, welches von einer externen Quelle (beispielsweise einem USB-Speichergerät oder vermittelt über eine Netzwerkverbindung) bezogen wird, um diese auf den wenigstens einen Zusatzprozessor aufspielen zu können. Mittels eines solchen Peripherie-Software-Updates kann beispielsweise eine von dem Zusatzprozessor ausgeführte Zusatzfunktion aktualisiert und/oder angepasst werden, insbesondere nach Kundenwünschen. Bei der besagten Sicherheitsüberprüfung ist es nun bevorzugt, wenn das Peripherie-Software-Update erst dann aufgespielt werden kann, wenn eine vorherige Freigabe durch den Zentralprozessor erfolgt ist.

[0073] Bei der Überprüfung und Freigabe des Peripherie-Softwareupdates ist es bevorzugt, wenn der Zentralprozessor hierzu wenigstens eine Freigabebedingung überprüft. Hierzu kann der Zentralprozessor mit einer externen Instanz, insbesondere vermittelt über einen Zusatzprozessor, Kontakt aufnehmen und/oder beispielsweise eine Bestätigung durch einen Bediener (z.B. durch Drücken einer Taste der Aufzugelektronikeinheit) anfordern. Die Überprüfung kann ferner eine gesonderte Authentifizierung des Peripherie-Softwareupdates umfassen, und zwar bevorzugt mittels einer (sehr sicheren) 2-Faktor-Authentifizierung.

[0074] Unter einer 2-Faktor-Authentifizierung kann hier beispielsweise verstanden werden, dass die Zulässigkeit von Updates durch den Zentralprozessor überprüft und zusätzlich vom Zentralprozessor eine Bestätigung durch einen Bediener (der dann vor Ort Einfluss auf die Aufzugelektronikeinheit nimmt) eingeholt wird. Einer der Faktoren kann beispielsweise eine biometrische oder eine Hardware-gestützte Identifikation umfassen. Auf diese Weise kann die Zulässigkeit des Updates sicher überprüft werden und anschließend der Zusatzprozessor entsprechend aktualisiert werden. Der Zentralprozessor kann also den eigentlichen Update-Vorgang des Zusatzprozessor initiieren. Beide Faktoren einer solchen 2-Faktor-Authentifizierung können auch grundsätzlich über das Internet bezogen werden (vorzugsweise über eine verschlüsselte Kommunikationsverbindung), was beispielsweise für die Freigabe des Aufspielens eines Peripherie-Softwareupdates eine ausreichende Sicherheit implementieren kann.

[0075] Wenn der Zentralprozessor, wie von der Erfindung vorgeschlagen, alle wesentlichen Sicherheitsfunktionen zum Betrieb der Aufzuganlage übernimmt, kann ferner sichergestellt werden, dass durch eine Aktualisierung der Software des wenigstens einen Zusatzprozessors Sicherheitsfunktionen nicht anpassbar sind. Daher können Dritte auch gefahrlos derartige Peripherie-Softwareupdates vorgeben oder initiieren. Die Überprüfung des Peripherie-Softwareupdates kann aber beispielsweise die Cybersecurity erhöhen, weil dadurch der Kreis an Dritten, die Peripherie-Softwareupdates durchführen oder initiieren können, beschränkt werden kann. Die Peripherie-Softwareupdates sollen erfindungsgemäß also lediglich dazu dienen, eine Anpassung bestimmter (Komfort-) Applikationen zu ermöglichen. Bei einer Umprogrammierung des Zusatzprozessors durch Dritte kann somit ein Konflikt mit sicherheitsrelevanten Funktionen des Aufzugs aufgrund der erfindungsgemäßen Architektur der Aufzugelektronikeinheit nicht auftreten.

[0076] Der wenigstens eine Zusatzprozessor kann wenigstens einen Zusatzprozessor umfassen, der dazu eingerichtet ist, eine Sicherheitsüberprüfung eines Zentral-Softwareupdates durchzuführen, welches zum Beispiel von einer externen Quelle (beispielsweise einem USB-Speichergerät oder vermittelt über eine Netzwerkverbindung) bezogen wird. Das Zentral-Software-Update kann/soll hierbei auf den Zentralprozessor aufgespielt werden, um diesen zu aktualisieren. Mittels eines solchen Zentral-Software-Updates kann also insbesondere eine für den Fahrbetrieb der Aufzuganlage sicherheitsrelevante Funktion des Zentralprozessors, beispielsweise die besagte Motorsteuerung und oder die bereits erwähnte Fahrbetriebssteuerung, aktualisiert und oder angepasst werden. Auch hier ist es aus Sicherheitsgründen bevorzugt, wenn das Zentral-Softwareupdate erst nach erfolgter Freigabe durch den Zusatzprozessor auf den Zentralprozessor aufgespielt werden kann.

[0077] Wie bereits bei Peripherie-Softwareupdates ist es auch bei einem solchen Zentral-Softwareupdate bevorzugt, wenn der besagte Zusatzprozessor zum Freigeben dieses Zentral-Softwareupdates mit einer externen Instanz, insbesondere vermittelt über einen weiteren Zusatzprozessor, Kontakt aufnimmt und eine Bestätigung durch einen Bediener (z.B. durch Drücken einer Taste der Aufzugelektronikeinheit) anfordert. Diese Überprüfung/Freigabe kann also eine Authentifizierung des Zentral-Softwareupdates umfassen, und zwar bevorzugt mittels einer (sehr sicheren) 2-Faktor-Authentifizierung. Da das Zentral-Softwareupdate wie erwähnt sicherheitsrelevante Funktionen der Aufzuganlage betreffen kann, ist es bevorzugt, wenn wenigstens einer der beiden Faktoren der 2-Faktor-Authentifizierung nicht über eine externe Instanz bezogen wird, sondern nur durch manuelles Betätigen eines Bedienelements (beispielsweise eine mechanische Taste oder eine virtuelle Taste eines touch display) an der Aufzuganlage, bevorzugt an der Aufzugelektronikeinheit eingebbar ist (zum Beispiel durch einen Service-Techniker vor Ort). Denn auf diese Weise kann die Sicherheit beim Aufspielen des Zentral-Softwareupdate wesentlich verbessert werden. Insbesondere ist es so wesentlich erschwert, mittels einer reinen Cyber-Attacke ein korrumpiertes Zentral-Softwareupdate auf den Zentralprozessor aufzuspielen, weil das Bedienelement nicht aus der Ferne manipulierbar ist.

[0078] Selbstverständlich kann der Zentralprozessor vor dem Aufspielen eines Zentral-Softwareupdates wie auch eines Peripherie-Softwareupdates die Aufzuganlage in einen sicheren Betriebszustand zu versetzen. Beispielsweise verbietet sich ein Aufspielen eines Zentral-Softwareupdates, wenn der Zentralprozessor gerade eine Fahrt mit der Aufzugkabine durchführt.

[0079] Bei dem vorgestellten Ansatz zum sicheren Aufspielen eines Zentral-Softwareupdates überwacht also der Zusatzprozessor die Sicherheit und Zulässigkeit des Softwareupdates, welches auf den Zentralprozessor aufgespielt werden soll. Besonders bevorzugt ist es dabei, wenn der Zusatzprozessor diese Freigabe nur bei Erfüllung wenigstens einer weiteren Freigabebedingung erteilt. Diese Freigabebedingung kann dabei insbesondere Parameter betreffen, die während des Fahrbetriebs der Aufzuganlage vor dem Aufspielen des Zentral-Softwareupdates erfasst und abgespeichert wurden. Eine solche Erfassung und Abspeicherung kann beispielsweise von dem Zentralprozessor selbst oder von dem wenigstens einen Zusatzprozessor geleistet werden.

[0080] Das Zentral-Softwareupdate kann beispielsweise sicher über einen Zusatzprozessor, der den Kontakt zum Internet oder einer sonstigen externen Quelle herstellt (Router), bezogen werden.

[0081] Eine von dem Zusatzprozessor überprüfte Freigabebedingung, wie oben erwähnt, kann beispielsweise eine gewisse Mindestanzahl an fehlerfreien Fahrten sein, die die Aufzuganlage in einem bestimmten Zeitraum absolviert hat. Eine weitere mögliche Freigabebedingung ist ein Freigeben mittels einer separaten Remote-Verbindung, beispielsweise durch Kontaktaufnahme mit einem sicheren Server. Hierbei kann die Sicherheit der Remote-Verbindung durch gängige Technologien wie gesonderte Authentifizierung, vorzugsweise 2-Faktor-Authentifizierung, und/oder Verschlüsselung (z.B. mittels einer VPN-Verbindung) gewährleistet werden. Durch solche und vergleichbare Ansätze kann der Zentralprozessor somit dazu eingerichtet sein, mittels einer externen Instanz (beispielsweise dem besagten sicheren Server) eine Sicherheitsprüfung des aufzuspielenden Zentral-Softwareupdates vorzunehmen und/oder die Zulässigkeit des Zentral-Softwareupdates zu überprüfen.

[0082] Derjenige Zusatzprozessor, der die die Zulässigkeit des Updates des Zentralprozessors überprüft, kann entweder i) mittels einer hardwareunabhängig programmierbaren Software implementiert sein oder aber ii) mittels hardwareabhängiger, insbesondere proprietärer, Software, deren Ausgestaltung also von der verwendeten Hardware abhängt.

[0083] Der wenigstens eine Zusatzprozessor oder der Zentralprozessor kann/können auch dazu eingerichtet sein, eine nachgelagerte Sicherheitsüberprüfung, also nach dem Aufspielen eines Zentral-Software-Updates auf den Zentralprozessor und/oder nach dem Aufspielen eines Peripherie-Software-Updates auf einen der Zusatzprozessoren, durchzuführen. Durch eine solche nachgelagerte Sicherheitsüberprüfung kann die Sicherheit im Betrieb der Aufzuganlage in Bezug auf die Cybersecurity weiter erhöht werden. Hierzu ist es besonders bevorzugt, wenn der Zusatzprozessor in regelmäßigen Abständen die Zulässigkeit einer Software überprüft, die vom Zentralprozessor zu seinem Betrieb eingesetzt wird.

[0084] Ferner ist es auch möglich, dass durch die Aufzugelektronikeinheit sichere Testfahrten (der Aufzugkabine) ohne Passagiere initiiert werden. Durch solche Testfahrten können nämlich Betriebsparameter von der Aufzugelektronikeinheit erfasst werden, die dann bei der nachgelagerten Sicherheitsüberprüfung berücksichtigt werden können. D.h. die nachgelagerte Sicherheitsüberprüfung kann eine Überprüfung von Betriebsparametern umfassen, die bei solchen von der Aufzugelektronikeinheit initiierten, sicheren Testfahrten gesammelt wurden. Solche autonomen Testfahrten werden überhaupt erst möglich, weil der Zentralprozessor der Aufzugelektronikeinheit dadurch, dass er eine Information hinsichtlich der Aufzugkabinenposition auswertet (und bevorzugt ferner wenigstens eine Sicherheitsschaltung ausliest) und zudem die Fahrkurve vorgibt, überhaupt erst solche Testfahrten sicher und vor allem autonom durchführen kann. Zu diesem Zweck ist es vorzuziehen, wenn der Zentralprozessor dazu eingerichtet ist, über Auslesen von wenigstens einem Sensor vor dem Ausführen einer autonomen Testfahrt zu überprüfen, ob sich Personen in der Aufzugkabine befinden.

[0085] Um die Sicherheit für Personen weiter zu erhöhen kann ferner vorgesehen sein, dass die Aufzugelektronikeinheit einen Fahrbetrieb der Aufzuganlage mit Personen sperrt, sobald die besagte nachgelagerte Sicherheitsüberprüfung einen fehlerhaften Betrieb der Aufzuganlage oder aber einen Fehler im Zentral-Softwareupdate ergibt/bemerkt.

[0086] Beispielsweise kann vorgesehen sein, dass die Aufzugelektronikeinheit, insbesondere der wenigstens eine Zusatzprozessor oder der Zentralprozessor, sichere Testfahrten ohne Passagiere in der Kabine, beispielsweise nachts, durchführt. Es ist im Stand der Technik bereits üblich, beispielsweise Lernfahrten durchzuführen oder Testfahrten, mit denen die korrekte Funktionalität der Aufzugsbremsen getestet wird. Das Vorhandensein von Passagieren in der Kabine kann dabei durch Messung des Gewichts der Kabine sicher detektiert werden. Bei solchen Testfahrten können beispielsweise auch sensorisch elektrische Ströme oder sonstige Sensorsignale als Betriebsparameter erfasst werden, was dann Rückschlüsse auf die korrekte Funktionsweise des Aufzugs zulässt.

[0087] Wird trotz vorheriger Sicherheitsüberprüfung ein schadhaftes Update auf den Zentralprozessor aufgespielt, welches den Betrieb des Aufzugs unsicher gestaltet oder zu Fehlern im Betrieb führt, so kann dieses Problem somit durch das Ausführen der sicheren Testfahrten erkannt und entsprechend dann der Betrieb des Aufzugs mit Personen durch die Aufzugelektronikeinheit gesperrt werden.

[0088] Bei schadhafter Malware, die mittels eines Updates auf den Zentralprozessor gelangen könnte, wäre es auch vorstellbar, dass die Malware erst nach einem bestimmten Zeitablauf aktiv wird, sodass das schadhafte Update durch initiale Testfahrten nicht erkannt werden kann. Um dies zu vermeiden kann aber vorgesehen sein, dass in regelmäßigen Zeitabständen, etwa täglich oder einmal pro Woche, die besagten sicheren Testfahrten ohne Passagiere automatisiert von der Aufzugelektronikeinheit durchgeführt werden. Auf diese Weise kann fortlaufend eine automatisierte nachgelagerte Sicherheitsüberprüfung gewährleistet werden, mit der insbesondere schadhafte Updates des Zentralprozessors erkannt werden können.

[0089] Zur Erhöhung der Energieeffizienz kann schließlich vorgesehen sein, dass die Leistungsendstufe der Aufzugelektronikeinheit (zusammen mit dem Zentralprozessor) als ein Active-Front-End (AFE-)Umrichter ausgestaltet ist. Hierzu kann die Leistungsendstufe insbesondere einen geregelten Netzgleichrichter umfassen, der beispielsweise mittels einer Einspeise- und Rückspeiseeinheit realisiert werden kann. Der Zentralprozessor kann in einem solchen Fall dazu eingerichtet sein, den AFE-Umrichter so anzusteuern, dass bei Betrieb des Aufzugsmotors in einem generatorischen Betrieb kinetische Bremsleistung elektrisch mithilfe des AFE-Umrichters in ein externes Netz zurückgespeist werden kann. Der Zentralprozessor kann bei solchen Ausgestaltungen somit als Teil des AFE-Umrichters aufgefasst werden.

[0090] Es kann in der Aufzuganlage also insbesondere vorgesehen sein, dass beim Abbremsen der Aufzugskabine elektrische Leistung, die in einem Generator- und/oder Kurzschluss-Betrieb im Aufzugmotor entsteht, ins Netz zurückgespeist wird. Mit anderen Worten kann in einem solchen Fall unter Umständen auf einen Bremswiderstand verzichtet werden. Auch eine solche elektrische Rückspeisung von kinetischer Bremsenergie der Aufzuganlage kann die Aufzugelektronikeinheit, genauer der Zentralprozessor, somit steuern und regeln, wobei sich der Zentralprozessor hierzu eines Zusatzprozessors bedienen kann, also diesen entsprechend ansteuern kann. Der auf diese Weise realisierte AFE-Frequenzumrichter, ggf. mit geregeltem Netzgleichrichter, kann eingangsseitig über aktive Leistungsschalter, beispielsweise in Form von IGCTs (integrated gate-commutated thyristor) oder IGBTs (insulatedgate bipolar transistor), verfügen. Dies erfordert zwar einen höheren Steueraufwand, eröffnet jedoch die Möglichkeit der Energierückspeisung ins Netz, wenn die vom Aufzugmotor angetriebene Masse der Aufzugkabine (plus eventuelles Gegengewicht) im Fahrbetrieb abgebremst werden müssen. Zu diesem Zweck kann die Aufzugelektronikeinheit auch eine elektrische Rückspeiseeinheit umfasst, die die Funktion der elektrischen Rückspeisung von Bremsenergie übernimmt. Eine Ausgestaltung der Leistungsendstufe mit samt dem Zentralprozessor als ein AFE ermöglicht zudem ein schnelles Umschalten zwischen motorischem und generatorischem Betrieb des Aufzugmotors / der Antriebseinheit.

[0091] Wird beispielsweise ein magneterregter Synchronmotor als Aufzugmotor eingesetzt, so kann dieser ein drehzahlabhängiges Bremsmoment erzeugen, das entsteht, sobald die Motorwicklungen elektrisch kurzgeschlossen werden. Eine solche Kurzschlussfunktion kann mit dem Zentralprozessor geregelt werden, d.h. die Aufzuganlage, insbesondere die Aufzugelektronikeinheit, kann zu diesem Zweck eine elektronische Kurzschlussschaltung umfassen, die über den Zentralprozessor ansteuerbar ist. Mit einer solchen Kurzschlussschaltung können die Motorwicklungen des Aufzugmotors somit nach Bedarf kurzgeschlossen werden und/oder es kann der gesamte Frequenzumrichter nach außen hin stromlos geschalten werden. Hierbei kann der Zentralprozessor das Kurzschließen nicht nur zum Zweck einer Rekuperation von Bremsenergie einsetzen, sondern beispielsweise auch im Rahmen eines Notbetriebs, um die Aufzugkabine (insbesondere bei Verwendung einer getriebelosen Antriebseinheit), vermittelt über das mit Hilfe des Kurzschlusses erzeugte elektromagnetische Bremsmoment, sicher im Fahrschacht passiv verfahren zu können. In diesem Fall bewegt sich die Aufzugkabine also nur aufgrund ihres Eigengewichts (und ggf. einer zusätzlichen Beladung) und wird dabei durch das elektromagnetische Bremsmoment abgebremst; es findet aber unter Umständen kein gesteuerter generatorischer Betrieb statt.

[0092] Der Zentralprozessor kann schließlich auch dazu eingerichtet sein, beim Ausführen der Motorsteuerung zeitkritische und/oder echtzeitrelevante Signale zu verarbeiten und/oder zeitkritische und/oder echtzeitrelevante Motorsteuerbefehle zu generieren.

[0093] Zur Lösung der eingangs genannten Aufgabe wird auch ein Verfahren zum sicheren Aktualisieren einer Aufzugelektronikeinheit bzw. einer Aufzuganlage vorgeschlagen. Hierbei kann die Aufzugelektronikeinheit wie eingangs beschrieben und/oder gemäß einem der auf eine Aufzugelektronikeinheit gerichteten Ansprüche oder wie zuvor beschrieben ausgestaltet sein. Bei dem Verfahren ist nun vorgesehen, dass die Aktualisierung durch Aufspielen eines Zentral-Software-Updates auf einen Prozessor durchgeführt wird, wobei dieser Prozessor insbesondere der zuvor beschriebene Zentralprozessor der Aufzugelektronikeinheit sein kann. Zudem ist vorgesehen, dass zunächst die Sicherheit des Zentral-Software-Updates, noch vor dem Aufspielen, durch einen Zusatzprozessor, welches insbesondere ein Zusatzprozessor der besagten Aufzugelektronikeinheit sein kann, überprüft und je nach Prüfungsergebnis durch diesen Zusatzprozessor freigegeben wird. Hierbei ist es bevorzugt, wenn der Zusatzprozessor (zum Zweck der Freigabe) wenigstens eine Freigabebedingung überprüft, wobei der Zusatzprozessor hierzu insbesondere auf eine externe Instanz wie beispielsweise einen externen sicheren Server zugreifen kann. Das Zentral-Software-Update kann hierbei von einer externen Quelle, beispielsweise von einem USB-Speicher oder über eine Netzwerkverbindung, bezogen werden.

[0094] Ganz besonders vorteilhaft ist es, wenn zumindest eine von dem Zusatzprozessor geprüfte Freigabebedingung einen Parameter betrifft, der während des Fahrbetriebs der Aufzuganlage noch vor dem Aufspielen des Zentral-Software-Updates erfasst und gespeichert wurde. Dies kann, wie bereits erwähnt wurde, von dem Zentralprozessor oder von dem Zusatzprozessor geleistet werden.

[0095] Schließlich wird zur weiteren Verbesserung der Sicherheit im Betrieb einer Aufzuganlage ein weiteres Verfahren vorgeschlagen, welches eine einem Softwarteupdate nachgelagerte Sicherheitsüberprüfung einer Aufzugelektronikeinheit und/oder einer Aufzuganlage ermöglicht. Dieses Verfahren kann insbesondere ergänzend oder alternativ zu den zuvor beschriebenen Verfahren eingesetzt werden, um die Sicherheit zu erhöhen. Bei diesem zweiten Verfahren ist vorgesehen, dass die Sicherheitsüberprüfung durch das Aufspielen eines Zentral-Software-Updates auf einen Prozessor der Aufzuganlage (insbesondere auf den Zentralprozessor und/oder einen der Zusatzprozessoren der Aufzugelektronikeinheit) getriggert wird und dass ferner in regelmäßigen Abständen die Zulässigkeit einer vom Zentralprozessor zu seinem Betrieb verwendeten Software überprüft wird. Diese Sicherheitsüberprüfung kann bevorzugt von dem Prozessor selbst, insbesondere einem/dem Zentralprozessor oder von einem Zusatzprozessor der Aufzugselektronikeinheit, automatisiert (d.h. insbesondere ohne externe Triggerung) durchgeführt werden.

[0096] Im Rahmen dieses Verfahrens kann ferner vorgesehen sein, dass zum Zwecke der Sicherheitsüberprüfung sichere Testfahrten ohne Passagiere mit der Aufzuganlage (vorzugsweise automatisiert) durchgeführt werden und dass dabei Betriebsparameter erfasst werden, die bei der nachgelagerten Sicherheitsüberprüfung berücksichtigt werden. Denn aus solchen Betriebsparametern lassen sich Rückschlüsse auf die korrekte Funktionsweise der Aufzuganlage/der Aufzugelektronikeinheit und damit auf die Zulässigkeit und Sicherheit des durchgeführten Zentral-Software-Updates vollziehen.

[0097] Die Erfindung wird nun anhand von Ausführungsbeispielen näher beschrieben, ist aber nicht auf diese Ausführungsbeispiele beschränkt. Weitere Ausbildungen der Erfindung können aus der nachfolgenden Beschreibung eines bevorzugten Ausführungsbeispiels in Verbindung mit der allgemeinen Beschreibung, den Ansprüchen sowie den Zeichnungen gewonnen werden. Bei der folgenden Beschreibung verschiedener bevorzugter Ausführungsformen der Erfindung erhalten in ihrer Funktion übereinstimmende Elemente auch bei abweichender Gestaltung oder Formgebung übereinstimmende Bezugszahlen.

[0098] Es zeigt:

Fig. 1: eine schematische Ansicht einer ersten erfindungsgemäßen Aufzugelektronikeinheit mit einem Zentralprozessor,
Fig. 2: eine schematische Ansicht einer zweiten erfindungsgemäßen Aufzugelektronikeinheit,
Fig. 3: eine schematische Ansicht einer dritten erfindungsgemäßen Aufzugelektronikeinheit,
Fig. 4: eine schematische Ansicht einer vierten erfindungsgemäßen Aufzugelektronikeinheit,
Fig. 5: eine schematische Ansicht einer fünften erfindungsgemäßen Aufzugelektronikeinheit,
Fig. 6: illustriert einen sicheren Update-Vorgang eines Zusatzprozessors,
Fig. 7: illustriert einen sicheren Update-Vorgang des Zentralprozessors, wobei also hier ein Softwarteupdate auf den Zentralprozessor aufgespielt wird und schließlich
Fig. 8: Details der direkten Kommunikation zwischen Zentralprozessor und Leistungsendstufe einer erfindungsgemäßen Aufzugelektronikeinheit.

[0099] Figur 1 zeigt eine erfindungsgemäße Aufzugelektronikeinheit 1, die dazu vorgesehen ist und hierfür eingesetzt werden kann einen Aufzugmotor 3 einer komplexen Aufzuganlage 28 anzusteuern. Hierzu umfasst die Aufzugelektronikeinheit 1 einen Prozessor 11, der eine Steuerungs-CPU realisiert, die mit externen Sendern 27, beispielsweise einem Aufzugsbenutzer, der eine Eingabe über ein Bedieninterface tätigt, kommuniziert. Die Steuerungs-CPU 11, die als eine Zentralprozessor 4 ausgestaltet ist, empfängt somit externe Rufe und erzeugt in Reaktion hierauf eine geeignete Ansteuerung des Aufzugmotors 3, um so eine bestimmte Aufzughaltestelle mit einer Aufzugkabine 20 der Aufzuganlage 28 anzufahren, die dem eingegangenen Ruf entspricht.

[0100] Der Zentralprozessor 4 realisiert somit eine Motor-Frequenzumrichter-CPU, die Motorsteuerungssignale 42 generiert und an eine Leistungsendstufe 2 als Teil der Aufzugelektronikeinheit 1 übermittelt (schwarzer Blockpfeil). Der Zentralprozessor 4 und die Leistungsendstufe 2 bilden hier also einen Frequenzumrichter 39. Die Leistungsendstufe 2 generiert gemäß den Motorsteuerungssignalen 42 in an sich bekannter Weise eine geeignete Ausgangswechselspannung 38, um so den Aufzugsmotor 3 zu betreiben und die mittels Tragmitteln 15 aufgehängte Aufzugkabine 20 entsprechend im Fahrschacht zu verfahren. Hierbei liest der Zentralprozessor 4 einen Schachtpositionsgeber oder sonstige Feldgeräte 24 je nach Bedarf aus, die für die Sicherheit des Betriebs des Aufzugs 22 relevant sind. Der Zentralprozessor 4 kann auf diese Weise den Fahrbetrieb der Aufzuganlage 28 sicher vorgeben.

[0101] Der Zentralprozessor 4 der Aufzugelektronikeinheit 1 der Figur 1 kann nicht nur direkt mit der Leistungsendstufe 2 kommunizieren, um so eine Motorsteuerung 37 zu realisieren, sondern auch über eine elektronische Sicherheitsschnittstelle 7 eine Sicherheitsschaltung 23 auslesen, die ihrerseits Informationen von sicherheitsrelevanten Feldgeräten 24 oder sonstigen Sensoren 25 abfrägt. Der Zentralprozessor 4 übernimmt hier also Grundfunktionen des Aufzugsbetriebs wie beispielsweise das Anfahren einer gewünschten Aufzughaltestelle, da der Zentralprozessor 4 auf von außen eingehende (also externe) digitale Rufe von externen Sendern 27 reagiert, indem er entsprechende Motorsteuerungssignale 42 erzeugt und direkt an die Leistungsendstufe 2 überträgt.

[0102] Im Rahmen einer Motorsteuerung 37 steuert der Zentralprozessor 4 somit die Leistungsendstufe 2 mittels der Motorsteuerungssignale 42 direkt an und steuert so, vermittelt durch die Leistungsendstufe 2, den Aufzugmotor 3, nämlich gemäß dem eingegangenen Ruf. Hierzu erzeugt der Zentralprozessor 4 auf Basis des eingehenden externen Rufs und unter Berücksichtigung von wenigstens einer Information hinsichtlich einer aktuellen Position der Aufzugkabine 20 eine jeweilige Fahrkurve und leitet aus dieser Fahrkurve die entsprechenden Motorsteuerungssignale 42 ab. Die Fahrkurve generiert der Zentralprozessor 4 dabei abschnittsweise, sodass in regelmäßigen Zeitabständen aktualisierte Motorsteuerungssignale 42 vom Zentralprozessor 4 an die Leistungsendstufe 2 ausgegeben werden.

[0103] Wie die Figur 8 illustriert, kann der Zentralprozessor 4 über wenigstens einen Analogsignalausgang 43 und/oder über wenigstens eine PWM-Einheit 44 verfügen, die jeweils direkt mit der Leistungsendstufe 2 verbunden ist/sind, um analoge Signale und/oder PWM-Signale 40 als Motorsteuerungssignale 42 direkt an die Leistungsendstufe 2 zu übermitteln. Man erkennt in Figur 8 aber auch, dass die Leistungsendstufe 2 eine Hardwareschaltung 45 umfassen kann, etwa um ein PWM-Signal 40 in entsprechende analoge Ansteuersignale zum Ansteuern von Leistungsschaltern einer Inverterschaltung 46 der Leistungsendstufe 2 umzusetzen.

[0104] In Figur 1 erkennt man auch, dass die Aufzugselektronikeinheit 1 über mehrere elektronische Rufschnittstellen 6 verfügt, über welche der Zentralprozessor 4 mit externen Sendern 27 digital kommunizieren kann. Auf diese Weise kann der Zentralprozessor 4 beispielsweise externe Rufe aus dem Aufzugschacht oder von einer Anzeige oder von einem Bedieninterface des Aufzugs 22 entgegennehmen. Wie illustriert, kann der Zentralprozessor 4 aber beispielsweise auch auf diese Weise auf einen externen Netzwerkknoten 29 zugreifen, der seinerseits wiederum eine eigene CPU umfassen kann.

[0105] Der Zentralprozessor 4 übernimmt ferner auch das Ansteuern eines Türantriebs der Aufzugkabine 20. Hierbei detektiert der Zentralprozessor 4 durch Kommunikation mit Zonenmagneten, die im Aufzugschacht angeordnet sind, wenn die Fahrzeugkabine 20 in eine Türzone einfährt. In diesem Fall überbrückt der Zentralprozessor 4 ein Glied einer Sicherheitskette der Aufzuganlage. Indem der Zentralprozessor 4 somit steuernd auf die Sicherheitskette einwirkt, ermöglicht er ein frühes Öffnen der Türen (durch Ansteuern des Türantriebs) noch bevor die Fahrzeugkabine eine sichere finale Halteposition innerhalb der Türzone erreicht hat.

[0106] Kennzeichnend für die in Figur 1 vorgestellte Architektur der erfindungsgemäßen Aufzugselektronikeinheit 1 ist somit, dass der Zentralprozessor 4 im Rahmen der Motorsteuerung 37 die Leistungsendstufe 2 ansteuert, um über diese den Aufzugmotor 3 zu steuern und zu regeln und damit den Aufzugsbetrieb vorzugeben und dass ferner der Zentralprozessor 4 Grundfunktionen des Aufzugsbetriebs übernimmt, nämlich das Reagieren auf externe Rufe, das Vorgeben einer Fahrkurve für den Aufzugbetrieb und das Auswerten der erwähnten Sicherheitsschaltung 23. Im Rahmen der Motorsteuerung 37 implementiert der Zentralprozessor 4 dabei zeitkritische Operationen, die in weniger als 1 ms ausgeführt werden müssen. Gleichzeitig übernimmt der Zentralprozessor 4 aber auch die Fahrbetriebsteuerung der Aufzuganlage 28, die auch zahlreiche zeitunkritische Operationen umfasst, die in geringerer Geschwindigkeit abgearbeitet werden können. Dies ist möglich, weil der Zentralprozessor 4 über ein System intelligenter Interrupts verfügt, sodass zeitkritische und nicht-zeitkritische Operationen sequentiell nacheinander und geordnet nach ihrer Priorität vom Zentralprozessor 4 abgearbeitet werden.

[0107] Figur 2 zeigt eine weitere mögliche Ausgestaltung einer erfindungsgemäßen Aufzugselektronikeinheit 1, die aber nun, im Vergleich zu der Figur 1, einen Zusatzprozessor 5a umfasst. Dieser Zusatzprozessor 5a übernimmt eine Zusatzfunktion und ergänzt damit den Funktionsumfang des Zentralprozessors 4 modular, weil die Zusatzfunktion durch Hinzufügen/Weglassen des Zusatzprozessor einfach hinzugefügt oder aber weggelassen werden kann.

[0108] Im gezeigten Beispiel der Figur 2 kommuniziert der Zentralprozessor 4 vermittelt über den Zusatzprozessor 5a mit einer Ein- und Rückspeisungseinheit 13, über welche die Leistungsendstufe 2 Leistung aus dem Stromnetz 12 beziehen oder aber in selbiges rückspeisen kann. Eine solche Rückspeisung kann beispielsweise erfolgen, wenn der Aufzugmotor 3 im generatorischen Betrieb betrieben wird und zum Abbremsen der Aufzugskabine 20 eingesetzt wird, wobei in diesem Fall die dabei entstehende kinetische Bremsenergie in elektrische Leistung gewandelt wird, die über die Einheit 13 zurück ins Stromnetz 12 fließt. Somit realisiert der Zentralprozessor 4 mit Hilfe des Zusatzprozessors 5a eine elektrodynamische Bremsfunktion bzw. eine Energierekuperationsfunktion.

[0109] Im Beispiel der Figur 3 umfasst die Aufzugselektronikeinheit 1, die ansonsten analog zu derjenigen der Figur 2 bzw. Figur 1 ausgestaltet ist, einen weiteren Zusatzprozessor 5b, wobei hier der Zentralprozessor 4 über jeweilige interne Kommunikationsschnittstellen 8, die mittels eines BUS-Systems 10 realisiert sind, mit den beiden Zusatzprozessoren 5a und 5b kommuniziert. Wie man in der Figur 3 erkennt, ist mittels des Zusatzprozessors 5b eine zusätzliche elektronische Rufschnittstelle 6c geschaffen, über welche der Zentralprozessor 4, vermittelt durch den Zusatzprozessor 5b, mit weiteren Peripheriegeräten 26 kommunizieren kann. Der Zusatzprozessor 5b wird dabei mittels einer hardwareunabhängigen Software, nämlich einem Linux-Betriebssystem, betrieben.

[0110] Im Beispiel der Figur 4 übernimmt der zweite Zusatzprozessor 5b auch die Funktion eines Routers 18 und vermittelt so zwischen dem Zentralprozessor 4 und einer externen Instanz 19 wie beispielsweise dem Internet oder einer Cloud.

[0111] Im weiteren Beispiel der Figur 5 ist hingegen ein dritter Zusatzprozessor 5c vorgesehen, der hier die Funktion eines solchen Routers 18 übernimmt, wobei mit diesem Ansatz beispielsweise auch Rufe einer Fernsteuerung 31 oder weiterer (z.B. weit entfernter) externer Sender 27 entgegengenommen werden können. Mithilfe des BUS-Systems 10 kann auch hier erneut der Zentralprozessor 4 vermittelt über den Zusatzprozessor 5c auf diese externen Informationsquellen 19, 27, 31 zugreifen oder von diesen Rufe empfangen und in entsprechende Operationen umsetzen. Mit dieser Architektur kann beispielsweise eine Evakuierungsfahrt des Aufzugs 22 über eine Fernsteuerung 31 initiiert werden, ohne dass hierfür der Zentralprozessor 4 eine direkte Verbindung mit dem Internet aufweisen muss. Um dies sicher zu gestalten, können beispielsweise Authentifizierungsabfragen und dergleichen implementiert sein.

[0112] Da der Zentralprozessor 4, insbesondere digital, mit zahlreichen Komponenten der Aufzuganlage 28 kommunizieren kann, kann er auch Betriebsparameter während des Betriebs der Aufzuganlage 28 sammeln und dokumentieren. Hierzu gehören insbesondere die Dokumentation von Fehlermeldungen und der tatsächlich von der Aufzugkabine 20 absolvierten Fahrkurven. Der Zentralprozessor 4 führt zudem nachts sichere Testfahrten ohne Passagiere in der Aufzugkabine 20 autonom durch und misst dabei Stromaufnahmen der Antriebseinheit sowie weitere Betriebsparameter. Aus solchen gesammelten Betriebsparametern ermittelt der Zentralprozessor 4 dann Schätzwerte für Rest-Lebensdauern einzelner Komponenten. Fällt eine solche Rest-Lebensdauer zu gering aus, kann der Zentralprozessor 4 (mit Hilfe des Zusatzprozessors 5c) eine Push-Nachricht über das Internet absetzen und so eine Wartung der Aufzuganlage 28 initiieren. Die Push-Nachricht kann dabei Informationen umfassen, welche Komponente auszutauschen/zu warten ist. Wird, beispielsweise während einer nächtlichen Testfahrt, eine signifikante Abweichung der Stromaufnahme oder eine unzulässige Sprungantwort der Antriebseinheit vom Zentralprozessor 4 detektiert, so kann dieser auch autonom die Motorsteuerung 37 anpassen und so autonom den Betrieb der Aufzuganlage 38 optimieren.

[0113] Die Figur 6 illustriert ein erfindungsgemäßes Verfahren, mit dem der Zentralprozessor 4 ein Peripherie-Softwareupdate freigeben kann, welches auf einen der gezeigten Zusatzprozessoren 5 der Aufzugselektronikeinheit 1 aufgespielt werden soll. Ein solches Softwareupdate kann beispielsweise vermittelt über den Zusatzprozessor 5c von einer externen Instanz 19 wie beispielsweise einem sicheren Server abgerufen werden. Erfindungsgemäß ist nun vorgesehen, dass - noch bevor das Peripherie-Softwareupdate auf den jeweiligen Zusatzprozessor 5 aufgespielt wird - zunächst die Zulässigkeit und Sicherheit dieses Updates von dem Zentralprozessor 4 geprüft wird. Hierzu überprüft der Zentralprozessor 4 eine Freigabebedingung. Beispielsweise kann eine 2-Faktor-Authentifizierung als Freigabebedingung vorgesehen sein, bei der der Zentralprozessor 4 einerseits vermittelt über den Zusatzprozessor 5c auf den externen Server 19 zugreift und ferner mittels einer Bedienerabfrage 33 eine Bestätigung anfordert, die ein Service-Techniker mithilfe des gezeigten Eingabegeräts 35 manuell eingeben muss. Der Zentralprozessor 4 kann somit über eine Sicherheitsabfrage 34 zunächst die Zulässigkeit des Updates mithilfe des externen Servers 19 überprüfen und ferner über die Bedienerabfrage 33 sicherstellen, dass das Softwareupdate zum jetzigen Zeitpunkt auch tatsächlich gewünscht und sicher durchgeführt werden kann, weil es vom Service-Techniker freigegeben wurde.

[0114] Die Figur 7 zeigt hingegen den Fall, wenn ein Zentral-Softwareupdate auf den Zentralprozessor 4 aufgespielt werden soll. Auch dieses Softwareupdate kann beispielsweise über den Router 18 von einer externen Instanz 19 bezogen werden oder beispielsweise, in an sich bekannter Weise, von einem elektronischen Speichergerät wie einem USB-Stick, welches/welcher in eine entsprechende Schnittstelle der Aufzugselektronikeinheit 1 eingesteckt wird. Auch in diesem Fall wird das Zentral-Softwareupdate erst nach einer erfolgten Freigabe auf den Zentralprozessor 4 aufgespielt, aber diese Freigabe wird durch einen der Zusatzprozessoren 5 der Aufzugelektronikeinheit 1 vorgenommen. Der zuständige Zusatzprozessor 5 prüft hierfür wenigstens eine Freigabebedingung, wobei es besonders vorteilhaft sein kann, wenn diese Freigabebedingung Parameter betrifft, beispielsweise eine Anzahl an fehlerfrei durchgeführten Fahrten der Aufzuganlage 28, die während des Fahrbetriebs der Aufzuganlage 28 noch vor dem Aufspielen des Software-Updates bereits erfasst und abgespeichert wurden. Um eine Beeinträchtigung von sicherheitsrelevanten Funktionen der Aufzuganlage 28 durch das Aufspielen des Zentral-Softwareupdates zu vermeiden, gibt der Zusatzprozessor 5 das Zentral-Softwareupdate nur frei, wenn eine 2-Faktor-Authentifizierung erfolgreich durchgeführt wurde. Einer der beiden Faktoren dieser Authentifizierung kann dabei nicht aus der Ferne eingeben werden, sondern muss durch manuelles Betätigen eines Bedienelements der Aufzugelektronikeinheit 1 vor Ort von einem Service-Techniker eingegeben werden.

[0115] Anhand der Figur 1, die in etwa eine Minimal-Lösung einer erfindungsgemäßen Aufzugseinheit 1 darstellt, kann auch einfach nachvollzogen werden, wie mit diesem System eine nachgelagerte Sicherheitsüberprüfung durchgeführt werden kann, die erst nach Aufspielen eines Zentral-Software-Updates auf den Zentralprozessor 4 durchgeführt wird: Hierzu kann vorgesehen sein, dass das besagte Aufspielen zunächst die Sicherheitsüberprüfung triggert. Der Zentralprozessor 4 kann dann, beispielsweise in regelmäßigen Abständen und/oder insbesondere nachts, sichere Testfahrten ohne Personen in der Aufzugskabine 20 mit dem Aufzug 22 durchführen und dabei Betriebsparameter sammeln (also erfassen und speichern), die beispielsweise über angeschlossene Feldgeräte 24 sensorisch erfasst werden können. Ist eine ausreichende Anzahl solcher sicheren Testfahrten durchgeführt worden, kann der Zentralprozessor 4 dann die Sicherheitsüberprüfung anhand dieser gesammelten Betriebsparameter/-daten durchführen und somit entscheiden, ob die Betriebsparameter eine korrekte Funktionsweise der Aufzuganlage 28 dokumentieren und somit auch nach Aufspielen des Zentral-Software-Updates ein sicherer Betrieb des Aufzugs 22 gewährleistet werden kann. Fällt die Sicherheitsüberprüfung hingegen negativ aus, so sperrt der Zentralprozessor 4 den weiteren Fahrbetrieb des Aufzugs 22, jedenfalls sobald sich Personen in der Aufzugkabine 20 befinden.

[0116] Zusammenfassend wird eine intelligente Aufzugelektronikeinheit 1 vorgeschlagen mit einem Zentralprozessor 4, der sowohl eine zeitkritische Motorsteuerungsbefehle umfassende Motorsteuerung 37 implementiert als auch Grundfunktionen des Aufzugsbetriebs ausführt wie beispielsweise das Reagieren auf externe Rufe, das Vorgeben einer Fahrkurve oder das Auswerten einer Sicherheitsschaltung 23 derjenigen Aufzuganlage 28, in welcher die Aufzugelektronikeinheit 1 zum Steuern eines Aufzugmotors 3 eingesetzt wird. Die Aufzugelektronikeinheit 1 umfasst dabei auch die für den Betrieb des Aufzugmotors 3 notwendige Leistungsendstufe 2 und kann darüber hinaus einen oder mehrere Zusatzprozessoren 5 umfassen, mit denen die Funktionalität der Aufzugelektronikeinheit 1 modular erweitert werden kann. Mit dieser Architektur ist es insbesondere möglich, Softwareupdates des Zentralprozessors 4 und/oder eines Zusatzprozessors 5 sicher durchzuführen, eine nachgelagerte Sicherheitsüberprüfung eines solchen Software-Updates durchzuführe, oder etwa den Betrieb der Aufzuganlage 28 mit Hilfe des Zentralprozessors 4 autonom zu optimieren.

Bezugszeichenliste

[0117]

1: Aufzugelektronikeinheit/Aufzugsteuervorrichtung
2: Leistungsendstufe (erzeugt 38 zum Betrieb von 3; Teil von 39)
3: Aufzugmotor
4: Zentralprozessor (steuert indirekt 3 und direkt 2)
5: Zusatzprozessor (kommuniziert mit 4; kann ggf. eine Verbindung zwischen einem externen Netz, z.B. dem Internet, und 4 herstellen).
6: elektronische Rufschnittstelle
7: elektronische Sicherheitsschnittstelle
8: elektronische interne Kommunikationsschnittstelle
9: serielle Schnittstelle
10: BUS-System
11: Prozessor (insbesondere ausgestaltet als Mikroprozessor oder Mikrocomputer)
12: Stromnetz
13: Ein- und Rückspeisungseinheit (zum Beziehen von Leistung von 12 oder Rückspeisen von Leistung in 12)
14: Signalweg (insbesondere als Teil von 10)
15: Tragmittel (z.B. Stahlseile)
16: elektrische Verbindung (insbesondere bidirektional)
17: Gehäuse
18: Router
19: externe Instanz (Internet / Cloud / Server)
20: Aufzugkabine
21: Gegengewicht
22: Aufzug
23: Sicherheitsschaltung (insbesondere implementiert als Hardwareschaltung)
24: Feldgerät (z.B. Schachtpositionsgeber)
25: Sensor/Aktor
26: Peripheriegerät (nicht sicherheitskritisch)
27: externer Sender (z.B. Aufzugsbenutzer, externe Rufe, aus der Schachtbox / Inspektionsbox, von einer Anzeige oder von einem Bedieninterface)
28: Aufzuganlage
29: Netzwerkknoten (ggf. mit eigenem Prozessor/eigener CPU)
30: hardwareunabhängige Software
31: Fernsteuerung (von 22/28 vermittelt durch 1)
32: Eingangsstufe (AC/DC-Wandler, stellt DC-Spannung für 2 bereit)
33: Bedienerabfrage (= 1. Faktor)
34: Sicherheitsabfrage (= 2. Faktor)
35: Eingabegerät (Bedientaste, smart phone mit App etc.)
36: Sicherheitsüberprüfung
37: Motorsteuerung
38: Ausgangswechselspannung (erzeugt von 2 auf Basis von 40/42)
39: Frequenzumrichter
40: Analogsignal oder PWM-Signal
41: Fehlermeldung
42: Motorsteuerungssignal
43: Analogsignalausgang
44: PWM-Einheit
45: Hardwareschaltung (insbesondere umfassend einen Tiefpass zum Filtern eines PWM-Signals)
46: Inverterschaltung (mit Leistungstransistoren)
47: Antriebseinheit

Ansprüche

1. Aufzugelektronikeinheit (1) zum Steuern eines Aufzugbetriebs einer Aufzuganlage (28), umfassend folgende Komponenten, vorzugsweise die in einem gemeinsamen Gehäuse (17) untergebracht sind:

- eine Leistungsendstufe (2) zum Versorgen eines Aufzugmotors (3) der Aufzuganlage (28) mit einer Ausgangswechselspannung (38) und

- einen Prozessor (11), dadurch gekennzeichnet,

- dass der Prozessor (11) als ein Zentralprozessor (4) ausgestaltet und dazu eingerichtet ist,

- im Rahmen einer Motorsteuerung (37) die Leistungsendstufe (2) mittels Motorsteuerungssignalen (42) direkt anzusteuern, um vermittelt über die Leistungsendstufe (2) den Aufzugmotor (3) zu steuern und zu regeln, und dazu,

- Grundfunktionen des Aufzugbetriebs auszuführen, nämlich das Reagieren auf externe, insbesondere digitale, Rufe von externen Sendern (27, 31) durch Erzeugen und Ausgeben der entsprechenden Motorsteuerungssignale (42) anhand einer jeweiligen Fahrkurve für den Aufzugbetrieb,

- insbesondere um so eine bestimmte Aufzughaltestelle mit einer Aufzugkabine (20) der Aufzuganlage (28) anzufahren.

2. Aufzugelektronikeinheit (1) nach Anspruch 1,

- wobei der Zentralprozessor (4) dazu eingerichtet ist, die jeweilige Fahrkurve unter Berücksichtigung eines empfangenen externen Rufs und der Auswertung von wenigstens einer Information hinsichtlich einer aktuellen Position einer Aufzugkabine (20) der Aufzuganlage (28) vorzugeben,

- insbesondere wobei die Information vom Zentralprozessor (4) selbst abgefragt wird, etwa von einem Sensor und/oder auf Basis eines virtuellen Abbilds der Aufzuganlage (38) und/oder auf Basis einer Auswertung einer Sicherheitsschaltung (23), und/oder

- wobei der Zentralprozessor (4) zusammen mit der Leistungsendstufe (2) einen Frequenzumrichter (39) realisiert und/oder

- wobei der Zentralprozessor (4) wenigstens einen Analogsignalausgang (43) und/oder wenigstens eine PWM-Einheit (44) umfasst, der/die direkt mit der Leistungsendstufe (2) verbunden ist.

3. Aufzugelektronikeinheit (1) nach einem der vorhergehenden Ansprüche, wobei der Zentralprozessor (4) dazu eingerichtet ist,

- die Motorsteuerung (37) des Aufzugmotors (3), die zeitkritische Operationen umfasst, die in weniger als 1 ms ausgeführt werden müssen,
und

- eine Fahrbetriebssteuerung der Aufzuganlage (28), die weniger zeitkritische Operationen, die in mehr als 1 ms ausgeführt werden können, und/oder zeitunkritische Operationen, die innerhalb von 10 ms ausgeführt werden müssen, umfasst,

zu implementieren,

- vorzugweise wobei der Zentralprozessor (4) dazu eingerichtet ist, die Motorsteuerung (37), insbesondere die zeitkritischen Operationen, priorisiert vor der Fahrbetriebssteuerung, insbesondere den zeitunkritischen Operationen, vorzugsweise sequentiell und/oder mittels eines Zeitmultiplex-Verfahrens, abzuarbeiten, und/oder

- wobei der Zentralprozessor (4), insbesondere wenigstens ein Prozessorkern des Zentralprozessors (4), dazu eingerichtet ist, beim Ausführen der Motorsteuerung (37)

- zeitkritische und/oder echtzeitrelevante Signale zu verarbeiten und/oder

- zeitkritische und/oder echtzeitrelevante Motorsteuerungssignale (42) zu generieren.

4. Aufzugelektronikeinheit (1) nach einem der vorhergehenden Ansprüche, wobei die Aufzugelektronikeinheit (1) wenigstens einen Zusatzprozessor (5) umfasst, der dazu eingerichtet ist, wenigstens eine Zusatzfunktion auszuführen, die den Funktionsumfang des Zentralprozessors (4) modular ergänzt, vorzugsweise wobei der wenigstens eine Zusatzprozessor (5)

- auf einem Mainboard eingesteckt ist, auf welchem der Zentralprozessor (4) implementiert ist und/oder

- mittels einer seriellen Schnittstelle (9), insbesondere in Form eines BUS-Systems (10) zur Datenübertragung, mit dem Zentralprozessor (4) kommunizieren kann und/oder

- mittels eines dual-ported RAM mit dem Zentralprozessor (4) kommunizieren kann.

5. Aufzugelektronikeinheit (1) nach Anspruch 4,

- wobei der wenigstens eine Zusatzprozessor (5) mit einer standardisierten hardwareunabhängigen programmierbaren Software (30), insbesondere einem standardisierten hardwareunabhängigen Betriebssystem wie etwa LINUX, betrieben wird / betreibbar ist / eine solche Software umfasst
oder

- wobei der wenigstens eine Zusatzprozessor (5), insbesondere ohne eigenes Betriebssystem, mit dem Zentralprozessor (4) auf Basis von Interrupts, insbesondere bidirektional, kommuniziert,

- vorzugsweise wobei der wenigstens eine Zusatzprozessor (5) dazu eingerichtet ist, einen zentralen Interrupt des Zentralprozessors (4) auszulösen, um so eine diesem zentralen Interrupt zugeordnete zentrale Interrupt-Service-Routine des Zentralprozessors zu triggern und/oder

- wobei der Zentralprozessor (4) dazu eingerichtet ist, einen peripheren Interrupt des wenigstens einen Zusatzprozessors (5) auszulösen, um so eine diesem peripheren Interrupt zugeordnete periphere Interrupt-Service-Routine des wenigstens einen Zusatzprozessors (5) zu triggern.

6. Aufzugelektronikeinheit (1) nach einem der beiden vorhergehenden Ansprüche, wobei der wenigstens eine Zusatzprozessor (5) zwar Informationen an den Zentralprozessor (4) übermitteln kann, aber nicht steuernd auf den Zentralprozessor (4) zugreifen kann,

- vorzugsweise während umgekehrt der Zentralprozessor (4) steuernd auf den wenigstens einen Zusatzprozessor (5) zugreifen kann, insbesondere um einen Ablauf einer Befehlsausführung des jeweiligen Zusatzprozessors (4) anzupassen und/oder um den jeweiligen Zusatzprozessor (4) in einen Schlafmodus oder Ruhezustand zu versetzen oder aus einem solchen aufzuwecken.

7. Aufzugelektronikeinheit (1) nach einem der vorhergehenden Ansprüche, wobei der Zentralprozessor (4) dazu eingerichtet ist:

- eine Türsteuerung zu bewirken, etwa durch Ansteuern eines Türantriebs der Aufzugkabine (20), und/oder dazu

- einen momentanen Zustand einer Sicherheitskette der Aufzuganlage (28), vorzugsweise fortlaufend, zu überwachen und/oder dazu

- in Abhängigkeit von wenigstens einem empfangenen Sensorsignal steuernd auf eine/die Sicherheitskette der Aufzuganlage (28) einzuwirken,

- und/oder wobei die Aufzugelektronikeinheit (1) als weitere Komponenten umfasst:

- eine elektronische Rufschnittstelle (6), über welche der Zentralprozessor (4) die externen Rufe empfangen und auswerten kann und/oder

- wenigstens eine elektronische Sicherheitsschnittstelle (7), über welche der Zentralprozessor (4) Signale der wenigstens einen Sicherheitsschaltung (23) empfangen und auswerten und/oder steuernd auf die Sicherheitsschaltung (23) einwirken kann und/oder

- wenigstens eine elektronische interne Kommunikationsschnittstelle (8), über welche der Zentralprozessor (4) mit dem wenigstens einen Zusatzprozessor (5), vorzugsweise bidirektional, kommunizieren kann,

- bevorzugt wobei die Sicherheitsschnittstelle (7) und/oder die interne Kommunikationsschnittstelle (8) mittels eines BUS-Systems (10) realisiert sind.

8. Aufzugelektronikeinheit (1) nach einem der vorhergehenden Ansprüche, wobei der Zentralprozessor (4) dazu eingerichtet ist, Betriebsparameter, wie beispielsweise

- Stromaufnahmen von Komponenten der Aufzuganlage (28) und/oder

- Temperaturverläufe und/oder

- Fehlermeldungen und/oder

- tatsächlich abgefahrene Fahrkurven und/oder

- sensorische Daten,

während des Betriebs der Aufzuganlage (28) zu sammeln, insbesondere mittels autonom durchgeführter sicherer Testfahrten ohne Passagiere, und zu dokumentieren und/oder dazu

- auf Basis von gesammelten Betriebsparametern

- wenigstens einen Verschleißparameter und/oder

- eine Schätzung einer Rest-Lebensdauer von
wenigstens einer Komponente der Aufzuganlage (28) zu ermitteln, vorzugsweise und auf Basis solcher Ermittlungen/Schätzungen eine Wartung der Aufzuganlage (28) und/oder den Austausch einer Komponente der Aufzuganlage (28), insbesondere mittels einer Push-Nachricht, zu initiieren und/oder dazu

- eine autonome Optimierung des Fahrbetriebs der Aufzuganlage (28) vorzunehmen, beispielsweise eine Anpassung einer Ansteuerung einer Komponente der Aufzuganlage (28) auf Basis einer im Betrieb gesammelten Stromaufnahme.

9. Aufzugelektronikeinheit (1) nach einem der Ansprüche 4 bis 8, wobei der Zentralprozessor (4) dazu eingerichtet ist, eine Sicherheitsüberprüfung eines Peripherie-Softwareupdates durchzuführen, welches von einer externen Quelle, beispielsweise einem USB-Speicher oder über eine Netzwerkverbindung, bezogen und auf den wenigstens einen Zusatzprozessor (5) aufgespielt werden soll, insbesondere um eine vom Zusatzprozessor (5) ausgeführte Zusatzfunktion zu aktualisieren und/oder anzupassen,

- vorzugsweise wobei das Peripherie-Softwareupdate erst nach erfolgter Freigabe durch den Zentralprozessor (4) auf den Zusatzprozessor (5) aufgespielt werden kann.

10. Aufzugelektronikeinheit (1) nach einem der Ansprüche 4 bis 7, wobei der wenigstens eine Zusatzprozessor (5) einen Zusatzprozessor (5) umfasst, der dazu eingerichtet ist, eine Sicherheitsüberprüfung eines Zentral-Softwareupdates durchzuführen, welches von einer externen Quelle, beispielsweise einem USB-Speicher oder über eine Netzwerkverbindung, bezogen und auf den Zentralprozessor (4) aufgespielt werden soll,

- insbesondere um eine für den Fahrbetrieb der Aufzuganlage sicherheitsrelevante Funktion des Zentralprozessors (4), insbesondere die besagte Motorsteuerung und/oder die Fahrbetriebssteuerung, zu aktualisieren und/oder anzupassen,

- vorzugsweise wobei das Zentral-Softwareupdate erst nach erfolgter Freigabe durch den Zusatzprozessor (5) auf den Zentralprozessor (4), bevorzugt auf Basis einer sicheren 2-Faktor-Authentifizierung, aufgespielt werden kann,

- besonders bevorzugt wobei wenigstens einer der beiden Faktoren der 2-Faktor-Authentifizierung nur durch manuelles Betätigen eines Bedienelements eingebbar ist und/oder

- wobei der Zusatzprozessor (5) die Freigabe nur bei Erfüllung wenigstens einer weiteren Freigabebedingung erteilt,

- vorzugsweise wobei die Freigabebedingung Parameter betrifft, die während des Fahrbetriebs der Aufzuganlage (28) vor dem Aufspielen des Zentral-Softwareupdates erfasst und gespeichert wurden, insbesondere von dem Zentralprozessor (4) oder von dem wenigstens einen Zusatzprozessor (5).

11. Aufzugelektronikeinheit (1) nach einem der vorhergehenden Ansprüche, wobei der wenigstens eine Zusatzprozessor (5) oder der Zentralprozessor (4) dazu eingerichtet ist, eine nachgelagerte Sicherheitsüberprüfung nach dem Aufspielen eines Zentral-Softwareupdates auf den Zentralprozessor (4) durchzuführen,

- vorzugsweise

- indem der Zusatzprozessor (5) in regelmäßigen Abständen die Zulässigkeit einer vom Zentralprozessor (4) zu seinem Betrieb verwendeten Software überprüft und/oder

- indem sichere Testfahrten ohne Passagiere von der Aufzugelektronikeinheit (1) initiiert werden, um dabei Betriebsparameter zu erfassen, die bei der nachgelagerten Sicherheitsüberprüfung berücksichtigt werden,

- insbesondere wobei die Aufzugelektronikeinheit (1) einen Fahrbetrieb der Aufzuganlage mit Personen sperrt, sobald die nachgelagerte Sicherheitsüberprüfung einen fehlerhaften Betrieb oder einen Fehler im Zentral-Softwareupdate ergibt und/oder

- wobei die Leistungsendstufe (2) als Teil eines active-front-end(AFE-)Umrichters (39) ausgestaltet ist, insbesondere mit einem geregelten Netzgleichrichter, und der Zentralprozessor (4) dazu eingerichtet ist, den AFE-Umrichter (39) so anzusteuern, dass bei Betrieb des Aufzugmotors (3) in einem generatorischen Betrieb kinetische Bremsleistung elektrisch mit Hilfe des AFE-Umrichters (39) in ein externes Netz (12) zurückgespeist werden kann.

12. Aufzuganlage (28), umfassend

- eine Aufzugskabine (20),

- zugehörige Tragmittel (15),

- eine Antriebseinheit (47) mit Aufzugmotor (3) und

- eine Aufzugelektronikeinheit (1) nach einem der vorhergehenden Ansprüche, mit welcher der Aufzugmotor (3) gesteuert wird/steuerbar ist.

13. Verfahren zum sicheren Aktualisieren einer Aufzugelektronikeinheit (1), insbesondere gemäß dem Oberbegriff von Anspruch 1 oder ausgestaltet gemäß einem der vorhergehenden Ansprüche 1 bis 11, und/oder einer Aufzuganlage (28), insbesondere gemäß Anspruch 12,
dadurch gekennzeichnet,

- dass die Aktualisierung durch Aufspielen eines Zentral-Softwareupdates auf einen Prozessor (11), vorzugsweise einen/den Zentralprozessor (4) der Aufzugelektronikeinheit (1), durchgeführt wird, und

- dass die Sicherheit des Zentral-Softwareupdates vor dem Aufspielen durch einen Zusatzprozessor (5), insbesondere der Aufzugelektronikeinheit (1), überprüft und je nach Prüfungsergebnis durch den Zusatzprozessor (5) freigegeben wird,

- vorzugsweise wobei der Zusatzprozessor (5) zur Freigabe wenigstens eine Freigabebedingung, insbesondere mittels einer externen Instanz wie beispielsweise einem externen sicheren Server, überprüft,

- insbesondere wobei das Zentral-Softwareupdate von einer externen Quelle, beispielsweise von einem USB-Speicher oder über eine Netzwerkverbindung, bezogen wird.

14. Verfahren gemäß dem vorhergehenden Anspruch, wobei die Freigabebedingung Parameter betrifft, die während des Fahrbetriebs der Aufzuganlage vor dem Aufspielen des Zentral-Softwareupdates erfasst und gespeichert wurden,

- vorzugsweise von dem Zentralprozessor (4) oder von dem Zusatzprozessor (5) und/oder

- wobei die Überprüfung des Zentral-Softwareupdates eine Authentifizierung, bevorzugt eine 2-Faktor-Authentifizierung, umfasst.

15. Verfahren zur nachgelagerten autonomen Sicherheitsüberprüfung einer Aufzugelektronikeinheit (1), insbesondere gemäß dem Oberbegriff von Anspruch 1 oder ausgestaltet gemäß einem der Ansprüche 1-11, und/oder einer Aufzuganlage (28), insbesondere gemäß Anspruch 12, dadurch gekennzeichnet,

- dass die Sicherheitsüberprüfung durch das Aufspielen eines Zentral-Softwareupdates auf einen Prozessor (11), vorzugsweise einen/den Zentralprozessor (4) der Aufzugelektronikeinheit (1), getriggert wird und

- dass in regelmäßigen Abständen die Zulässigkeit einer von dem Prozessor (11) / dem Zentralprozessor (4) zu seinem Betrieb verwendeten Software überprüft wird,

- vorzugsweise wobei die Sicherheitsüberprüfung von einem Prozessor (11), insbesondere dem Zentralprozessor (4) oder einem Zusatzprozessor (5), automatisiert, insbesondere ohne externe Triggerung, durchgeführt wird,

- insbesondere wobei zum Zwecke der Sicherheitsüberprüfung sichere Testfahrten ohne Passagiere mit der Aufzuganlage durchgeführt werden und dabei Betriebsparameter erfasst werden, die bei der nachgelagerten Sicherheitsüberprüfung berücksichtigt werden.

Geänderte Patentansprüche gemäss Regel 137(2) EPÜ.

1. Aufzugelektronikeinheit (1) zum Steuern eines Aufzugbetriebs einer Aufzuganlage (28), umfassend folgende Komponenten, vorzugsweise die in einem gemeinsamen Gehäuse (17) untergebracht sind:

- eine Leistungsendstufe (2) zum Versorgen eines Aufzugmotors (3) der Aufzuganlage (28) mit einer Ausgangswechselspannung (38) und

- einen Prozessor (11), dadurch gekennzeichnet,

- dass der Prozessor (11) als ein Zentralprozessor (4) ausgestaltet und dazu eingerichtet ist, im Rahmen einer Motorsteuerung (37) die Leistungsendstufe (2) mittels Motorsteuerungssignalen (42) direkt ohne jegliche Zwischeninstanz anzusteuern, um vermittelt über die Leistungsendstufe (2) den Aufzugmotor (3) zu steuern und zu regeln,

- wobei der Zentralprozessor (4) hierzu wenigstens einen Analogsignalausgang (43) und/oder wenigstens eine PWM-Einheit (44) umfasst, der/die direkt mit der Leistungsendstufe (2) verbunden ist/sind, und

- wobei der Zentralprozessor (4) ferner dazu eingerichtet ist, Grundfunktionen des Aufzugbetriebs auszuführen, nämlich das Reagieren auf externe, insbesondere digitale, Rufe von externen Sendern (27, 31) durch Erzeugen und Ausgeben der entsprechenden Motorsteuerungssignale (42) anhand einer jeweiligen Fahrkurve für den Aufzugbetrieb,

- insbesondere um so eine bestimmte Aufzughaltestelle mit einer Aufzugkabine (20) der Aufzuganlage (28) anzufahren.

2. Aufzugelektronikeinheit (1) nach Anspruch 1,

- wobei der Zentralprozessor (4) zusammen mit der Leistungsendstufe (2) einen Frequenzumrichter (39) realisiert.

3. Aufzugelektronikeinheit (1) nach einem der vorhergehenden Ansprüche, wobei der Zentralprozessor (4) dazu eingerichtet ist,

- die Motorsteuerung (37) des Aufzugmotors (3), die zeitkritische Operationen umfasst, die in weniger als 1 ms ausgeführt werden müssen,
und

zu implementieren,

- wobei der Zentralprozessor (4), insbesondere wenigstens ein Prozessorkern des Zentralprozessors (4), dazu eingerichtet ist, beim Ausführen der Motorsteuerung (37)

- zeitkritische und/oder echtzeitrelevante Signale zu verarbeiten und/oder

- zeitkritische und/oder echtzeitrelevante Motorsteuerungssignale (42) zu generieren.

- auf einem Mainboard eingesteckt ist, auf welchem der Zentralprozessor (4) implementiert ist und/oder

- mittels einer seriellen Schnittstelle (9), insbesondere in Form eines BUS-Systems (10) zur Datenübertragung, mit dem Zentralprozessor (4) kommunizieren kann und/oder

- mittels eines dual-ported RAM mit dem Zentralprozessor (4) kommunizieren kann.

5. Aufzugelektronikeinheit (1) nach Anspruch 4,

- wobei der wenigstens eine Zusatzprozessor (5), insbesondere ohne eigenes Betriebssystem, mit dem Zentralprozessor (4) auf Basis von Interrupts, insbesondere bidirektional, kommuniziert,

- vorzugsweise während umgekehrt der Zentralprozessor (4) steuernd auf den wenigstens einen Zusatzprozessor (5) zugreifen kann,

- insbesondere um einen Ablauf einer Befehlsausführung des jeweiligen Zusatzprozessors (4) anzupassen und/oder um den jeweiligen Zusatzprozessor (4) in einen Schlafmodus oder Ruhezustand zu versetzen oder aus einem solchen aufzuwecken.