特許 6702584 エレベータ基板の不正利用防止方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】6702584

(24)【登録日】2020年5月11日

(45)【発行日】2020年6月3日

(54)【発明の名称】エレベータ基板の不正利用防止方法

(51)【国際特許分類】

   B66B 5/00 20060101AFI20200525BHJP

   B66B 3/00 20060101ALI20200525BHJP

【ＦＩ】

   B66B5/00 F

   B66B3/00 R

【請求項の数】3

【全頁数】12

(21)【出願番号】特願2019-97780(P2019-97780)

(22)【出願日】2019年5月24日

【審査請求日】2019年5月24日

(73)【特許権者】

【識別番号】390025265

【氏名又は名称】東芝エレベータ株式会社

(74)【代理人】

【識別番号】110002147

【氏名又は名称】特許業務法人酒井国際特許事務所

(72)【発明者】

【氏名】上原 壮吉

(72)【発明者】

【氏名】佐藤 純一

(72)【発明者】

【氏名】渡辺 勉

【審査官】 羽月 竜治

(56)【参考文献】

【文献】 特開２０１１−１５３００４（ＪＰ，Ａ）

【文献】 特開２０１８−０８３７０３（ＪＰ，Ａ）

【文献】 特開２０１２−２１８８９６（ＪＰ，Ａ）

【文献】 特開２０１８−０７６１６８（ＪＰ，Ａ）

【文献】 特開２００８−１５６０９１（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｂ６６Ｂ １／００−７／１２

(57)【特許請求の範囲】

【請求項1】

エレベータ制御装置に対して交換可能なエレベータ基板の不正利用を防止する方法であって、
前記エレベータ制御装置に設けられたセキュリティ制御部が、予め定められた期間ごとに、前記エレベータ制御装置に設けられた第１記憶装置が記憶する第１セキュリティ情報を更新し、
前記エレベータ基板が交換された場合に、前記セキュリティ制御部が、交換後の前記エレベータ基板に設けられた第２記憶装置が記憶する第２セキュリティ情報と、前記第１記憶装置が記憶する第１セキュリティ情報とを照合し、前記第２セキュリティ情報が前記第１セキュリティ情報と一致しない場合に、エレベータの運転を制限することを特徴とするエレベータ基板の不正利用防止方法。

【請求項2】

前記第２セキュリティ情報が前記第１セキュリティ情報と一致しない場合に、前記エレベータに設けられた表示装置がエラーメッセージを表示し、
前記セキュリティ制御部は、前記エラーメッセージの表示が行われてから所定時間が経過するまでの間は、前記エレベータの一部の機能を停止させた状態で運転を許可し、前記エラーメッセージの表示が行われてから前記所定時間が経過すると、前記エレベータの運転を停止させることを特徴とする請求項１に記載のエレベータ基板の不正利用防止方法。

【請求項3】

前記セキュリティ制御部が、前記第１セキュリティ情報を更新した場合に更新後の前記第１セキュリティ情報を所定の外部装置に通知し、
前記外部装置が、前記セキュリティ制御部から通知された更新後の前記第１セキュリティ情報を保持し、前記エレベータ基板の交換を行う保守作業者の携帯端末からの要求に応じて、更新後の前記第１セキュリティ情報を前記携帯端末に通知し、
前記エレベータ制御装置に接続される保守端末が、前記保守作業者が前記携帯端末を参照して入力した更新後の前記第１セキュリティ情報を、前記第２セキュリティ情報として前記第２記憶装置に書き込むことを特徴とする請求項１または２に記載のエレベータ基板の不正利用防止方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明の実施形態は、エレベータ基板の不正利用防止方法に関する。

【背景技術】

【0002】

エレベータの運転は、エレベータ制御装置によって制御される。エレベータ制御装置は、乗場に設けられた乗場呼び登録装置や乗りかご内に設けられたかご呼び登録装置からの信号を受信して呼びの登録を行い、巻上機の駆動を制御して乗りかごを昇降路内で昇降させることにより、登録した呼びに応答させる。また、エレベータ制御装置は、例えば、乗りかごのドアの開閉制御や乗場インジケータの表示制御など、エレベータの運転に関わる様々な動作制御を行う。このようなエレベータ制御装置の機能は、主に、エレベータ制御装置に装着された制御基板（エレベータ基板）に搭載されたプロセッサが所定の制御プログラムを実行することにより実現される。

【0003】

エレベータ基板は、新たな機能の追加などに対応できるようにするため、エレベータ制御装置に対して交換可能とされている場合がある。エレベータ基板の交換は、通常は保守作業者が正規のエレベータ基板をメーカから取り寄せて行うが、保守作業者以外の者が不正なルートで入手した非正規品を用いてエレベータ基板の交換を行うことも想定される。このような非正規品は、安全性が保障されていないエレベータ基板であるため、利用できないようにすることが望ましい。そこで、エレベータ基板の交換後、エレベータ基板側のセキュリティ情報とエレベータ制御装置側のセキュリティ情報とを照合し、両者が一致した場合のみエレベータを正常に運転できるようにすることで、非正規品の利用を防止する仕組みが提案されている。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特開２０１１−１５３００４号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

しかし、上述の従来技術では、例えばエレベータ制御装置から取り外されたエレベータ基板が不正に解析されるなどしてセキュリティ情報が漏えいした場合、漏えいしたセキュリティ情報が不正規品のエレベータ基板に書き込まれると、この不正規品が利用可能となってしまうといった問題がある。

【0006】

本発明が解決しようとする課題は、漏洩したセキュリティ情報が書き込まれた非正規品の利用を有効に防止することができるエレベータ基板の不正利用防止方法を提供することである。

【課題を解決するための手段】

【0007】

実施形態のエレベータ基板の不正利用防止方法は、エレベータ制御装置に対して交換可能なエレベータ基板の不正利用を防止する方法であって、前記エレベータ制御装置に設けられたセキュリティ制御部が、予め定められた期間ごとに、前記エレベータ制御装置に設けられた第１記憶装置が記憶する第１セキュリティ情報を更新し、前記エレベータ基板が交換された場合に、前記セキュリティ制御部が、交換後の前記エレベータ基板に設けられた第２記憶装置が記憶する第２セキュリティ情報と、前記第１記憶装置が記憶する第１セキュリティ情報とを照合し、前記第２セキュリティ情報が前記第１セキュリティ情報と一致しない場合に、エレベータの運転を制限する。

【図面の簡単な説明】

【0008】

【図1】図１は、第１実施形態におけるエレベータ制御装置の構成例を示すブロック図である。

【図2】図２は、セキュリティ情報更新処理の一例を示すフローチャートである。

【図3】図３は、検証処理の一例を示すフローチャートである。

【図4】図４は、第２実施形態におけるセキュリティ情報管理システムの構成例を示すブロック図である。

【図5】図５は、セキュリティ情報更新処理の一例を示すフローチャートである。

【図6】図６は、センタ端末によるセキュリティ情報通知処理の一例を示すフローチャートである。

【図7】図７は、保守端末によるセキュリティ情報書き込み処理の一例を示すフローチャートである。

【発明を実施するための形態】

【0009】

以下、添付図面を参照して、本発明に係るエレベータ基板の不正利用防止方法を適用した具体的な実施形態について詳細に説明する。

【0010】

＜第１実施形態＞
図１は、第１実施形態におけるエレベータ制御装置１００の構成例を示すブロック図である。エレベータ制御装置１００は、エレベータの運転を制御する制御盤であり、例えば、昇降路上部の機械室や昇降路内の所定位置などに設置されている。エレベータ制御装置１００には、制御用プロセッサ１１やプログラムメモリ１２（第２記憶装置）などが搭載されたエレベータ基板１０が取り外し可能に装着される。

【0011】

エレベータ基板１０上のプログラムメモリ１２は、エレベータの運転を制御するための制御プログラムなどを格納する記憶装置である。プログラムメモリ１２は、制御プログラムのほかに、エレベータ基板１０の検証に用いられる基板側セキュリティ情報（第２セキュリティ情報）を記憶している。

【0012】

エレベータ基板１０上の制御用プロセッサ１１は、プログラムメモリ１２に格納された制御プログラムに従ってエレベータの運転を制御するための各種演算を行うプロセッサであり、例えば、ＣＰＵ（Central Processing Unit）などの汎用プロセッサが用いられる。エレベータ制御装置１００は、エレベータ基板１０に搭載された制御用プロセッサ１１が制御プログラムを実行することにより、エレベータの運転を制御する構成となっている。

【0013】

また、エレベータ制御装置１００には、セキュリティ用プロセッサ２１（セキュリティ制御部）、セキュリティ用メモリ２２（第１記憶装置）、タイマ２３などが搭載されたセキュリティ基板２０が固定的に設けられている。つまり、セキュリティ基板２０は、例えば特殊工具を用いてエレベータ制御装置１００の筐体に固定されるなど、筐体から容易に取り外すことができない形態でエレベータ制御装置１００に設けられている。

【0014】

セキュリティ基板２０上のセキュリティ用プロセッサ２１は、例えば、所定のセキュリティプログラムが回路として組み込まれたＡＳＩＣ（Application Specific Integrated Circuit）やＦＰＧＡ（Field-Programmable Gate Array）などのセキュリティ専用のプロセッサである。セキュリティ用プロセッサ２１は、エレベータに設けられた所定の表示装置３０と接続されている。

【0015】

セキュリティ基板２０上のセキュリティ用メモリ２２は、上述の基板側セキュリティ情報とともにエレベータ基板１０の検証に用いられる検証用セキュリティ情報（第１セキュリティ情報）を記憶する記憶装置である。なお、セキュリティ用プロセッサ２１としてＣＰＵなどの汎用プロセッサを用いる場合は、このセキュリティ用プロセッサ２１が実行するセキュリティプログラムをセキュリティ用メモリ２２が記憶する構成としてもよい。

【0016】

セキュリティ基板２０上のタイマ２３は、後述のセキュリティ情報更新処理や検証処理においてセキュリティ用プロセッサ２１が参照する時間を計測するタイマである。なお、セキュリティ基板２０にタイマ２３が搭載されず、例えばエレベータ基板１０上のタイマなど、セキュリティ基板２０の外部のタイマをセキュリティ用プロセッサ２１が参照する構成としてもよい。

【0017】

本実施形態におけるエレベータ基板の不正利用防止方法は、主に、エレベータ制御装置１００に対して固定的に設けられたセキュリティ基板２０上のセキュリティ用プロセッサ２１が主体となって実行される。このセキュリティ用プロセッサ２１は、セキュリティプログラムにより実現される機能として、更新制御部２１ａと検証処理部２１ｂとを備える。

【0018】

更新制御部２１ａは、予め定められた所定の期間（例えば１か月、２か月、３か月、半年、１年など）ごとに、セキュリティ用メモリ２２が記憶する検証用セキュリティ情報を更新する。

【0019】

ここで本実施形態では、検証用セキュリティ情報を更新する周期（所定の期間の長さ）と更新後のセキュリティ情報が事前に定められて、例えばセキュリティプログラムに記述されているものとする。この検証用セキュリティ情報を更新する周期と更新後のセキュリティ情報は、正規のエレベータ基板１０を提供するメーカと共有され、どの時点でどのような検証用セキュリティ情報がセキュリティ基板２０上のセキュリティ用メモリ２２に記憶されているかをメーカ側が把握できるようになっている。これにより、メーカは、正規のエレベータ基板１０を提供する際に、指定された基板交換作業の実施時点でセキュリティ用メモリ２２に記憶されている検証用セキュリティ情報と同じ情報を基板側セキュリティ情報としてプログラムメモリ１２に書き込んで提供することができる。

【0020】

図２は、セキュリティ用プロセッサ２１の更新制御部２１ａにより実施されるセキュリティ情報更新処理の一例を示すフローチャートである。セキュリティ用プロセッサ２１の更新制御部２１ａは、常時起動されており、図２に示すセキュリティ情報更新処理を繰り返し行う。

【0021】

このセキュリティ情報更新処理において、更新制御部２１ａは、タイマ２３が計測する時間を参照して、セキュリティ用メモリ２２が記憶する検証用セキュリティ情報を前回更新してから所定の期間が経過したか否かを判断する（ステップＳ１０１）。そして、更新制御部２１ａは、前回の更新時から所定の期間が経過している場合に（ステップＳ１０２：Ｙｅｓ）、セキュリティ用メモリ２２が記憶する検証用セキュリティ情報を新たな情報に更新する（ステップＳ１０２）。

【0022】

検証処理部２１ｂは、エレベータ基板１０の交換時に、交換後のエレベータ基板１０上のプログラムメモリ１２が記憶する基板側セキュリティ情報と、セキュリティ用メモリ２２が記憶する検証用セキュリティ情報とを照合し、基板側セキュリティ情報が検証用セキュリティ情報と一致しない場合に、エレベータの運転を制限する。ここで、エレベータの運転の制限とは、エレベータの一部の機能を停止させた状態で運転させたり、エレベータの運転自体を停止したりすることを指す。この検証処理部２１ｂにより実行される処理を検証処理と呼ぶ。

【0023】

図３は、エレベータ基板１０の交換時に検証処理部２１ｂにより実施される検証処理の一例を示すフローチャートである。セキュリティ用プロセッサ２１の検証処理部２１ｂは、エレベータ基板１０の交換時、つまり、エレベータ制御装置１００から既存のエレベータ基板１０が取り外された後、新たなエレベータ基板１０が装着されたことが検知された場合に起動され、図３に示す検証処理を実施する。

【0024】

検証処理が開始されると、検証処理部２１ｂは、まず、エレベータ制御装置１００に装着されたエレベータ基板１０上の制御用プロセッサ１１を介して、プログラムメモリ１２が記憶する基板側セキュリティ情報を読み出す（ステップＳ２０１）。また、検証処理部２１ｂは、セキュリティ基板２０上のセキュリティ用メモリ２２が記憶する検証用セキュリティ情報を読み出す（ステップＳ２０２）。セキュリティ用メモリ２２が記憶する検証用セキュリティ情報は、上述のように、更新制御部２１ａによって所定の期間ごとに更新されている。

【0025】

次に、検証処理部２１ｂは、ステップＳ２０１で読み出した基板側セキュリティ情報とステップＳ２０２で読み出した検証用セキュリティ情報とを照合する（ステップＳ２０３）。そして、基板側セキュリティ情報が検証用セキュリティ情報と一致していれば（ステップＳ２０３：Ｙｅｓ）、検証処理部２１ｂは、交換後のエレベータ基板１０上の制御用プロセッサ１１による制御に従ったエレベータの運転を許可する（ステップＳ２０４）。

【0026】

交換後のエレベータ基板１０がメーカにより提供された正規のものである場合は、上述のように、このエレベータ基板１０上のプログラムメモリ１２に、セキュリティ基板２０上のセキュリティ用メモリ２２に記憶されている検証用セキュリティ情報と同じ情報が基板側セキュリティ情報として書き込まれている。したがって、ステップＳ２０３の照合において基板側セキュリティ情報が検証用セキュリティ情報と一致することとなり、エレベータの運転が許可される。

【0027】

一方、交換後のエレベータ基板１０が不正ルートで入手した非正規品の場合、セキュリティ基板２０上のセキュリティ用メモリ２２に記憶されている検証用セキュリティ情報は第三者が知り得ないため、この非正規品の基板側セキュリティ情報は検証用セキュリティ情報と一致しない。また、仮に、過去にエレベータ制御装置１００から取り外されたエレベータ基板１０が不正に解析されるなどして、その時点での検証用セキュリティ情報が漏えいし、この漏洩した検証用セキュリティ情報が非正規品に不正に書き込まれたとしても、セキュリティ基板２０上のセキュリティ用メモリ２２に記憶されている検証用セキュリティ情報は上述のように所定の期間ごとに更新されているため、この非正規品に不正に書き込まれた基板側セキュリティ情報が検証用セキュリティ情報と一致することはない。

【0028】

つまり、ステップＳ２０３の照合において基板側セキュリティ情報が検証用セキュリティ情報と一致しない場合は（ステップＳ２０３：Ｎｏ）、エレベータ制御装置１００のエレベータ基板１０が不正な非正規品に交換されたものと判断できる。このため、検証処理部２１ｂは、まず、表示装置３０にエラーメッセージを表示させる（ステップＳ２０５）。このエラーメッセージは、エレベータ管理者などに正規のエレベータ基板１０への交換を促すメッセージである。

【0029】

その後、検証処理部２１ｂは、エレベータの一部の機能を停止した状態で運転を許可する（ステップＳ２０６）。すなわち、検証処理部２１ｂは、交換後のエレベータ基板１０上の制御用プロセッサ１１による制御のうち、呼びの登録や乗りかごの移動を制御して呼びに応答させるといったエレベータの基本的な運転に関わる制御のみを行えるようにし、利便性を向上させるための様々な付加的な機能は利用できないようにする。このように、エレベータ制御装置１００に装着されたエレベータ基板１０が不正規品であってもエレベータの基本的な運転に関わる制御だけは行えるようにするのは、エレベータ制御装置１００に装着された非正規品が正規のエレベータ基板１０に交換されるまでの間、エレベータを完全に停止させるとエレベータ利用者に多大な不便を強いることになる点を考慮したものである。ただし、不正規品の使用禁止を優先する場合は、ステップＳ２０３の照合処理において基板側セキュリティ情報が検証用セキュリティ情報と一致しない場合に直ちにエレベータの運転を停止させるようにしてもよい。

【0030】

その後、エレベータ基板１０が再度交換されたか否かが監視され（ステップＳ２０７）、エレベータ基板１０が再度交換された場合は（ステップＳ２０７：Ｙｅｓ）、ステップＳ２０１に戻って以降の処理が繰り返される。一方、エレベータ基板１０が再度交換されない場合は（ステップＳ２０７：Ｎｏ）、ステップＳ２０５で表示装置３０がエラーメッセージを表示してから所定時間が経過したか否かが判断される（ステップＳ２０８）。この所定時間は、エレベータ管理者が表示装置３０に表示されたエラーメッセージを確認し、保守作業者にエレベータ基板１０の交換を依頼し、保守作業者がエレベータ基板１０を正規品に交換するまでに要するおおよその時間を見込んで設定される。

【0031】

ここで、エラーメッセージの表示から所定時間が経過していない場合は（ステップＳ２０８：Ｎｏ）、ステップＳ２０６に戻って、一部の機能を停止した状態でのエレベータの運転が継続される。一方、エレベータ基板１０が再度交換されることなく、エラーメッセージの表示から所定時間が経過した場合は（ステップＳ２０８：Ｙｅｓ）、非正規品がそのまま使用される可能性が高いと判断されるため、検証処理部２１ｂは、エレベータの運転を停止させる（ステップＳ２０９）。

【0032】

以上、具体的な例を挙げながら詳細に説明したように、本実施形態では、エレベータ制御装置１００に対して固定的に設けられたセキュリティ基板２０上のセキュリティ用メモリ２２が記憶する検証用セキュリティ情報を、所定の期間ごとに更新するようにしている。そして、エレベータ基板１０が交換された場合は、交換後のエレベータ基板１０上のプログラムメモリ１２が記憶する基板側セキュリティ情報と、セキュリティ基板２０上のセキュリティ用メモリ２２が記憶する検証用セキュリティ情報とを照合し、両者が一致しなければエレベータの運転を制限するようにしている。このため、過去にエレベータ制御装置１００から取り外されたエレベータ基板１０が不正に解析されるなどして、その時点での検証用セキュリティ情報が漏えいし、この漏洩した検証用セキュリティ情報が書き込まれた非正規品がエレベータ制御装置１００に装着されたとしても、エレベータの運転が制限されることになる。したがって、本実施形態によれば、漏洩したセキュリティ情報が書き込まれた非正規品の利用を有効に防止することができる。

【0033】

また、本実施形態によれば、交換後のエレベータ基板１０上のプログラムメモリ１２が記憶する基板側セキュリティ情報が検証用セキュリティ情報と一致しない場合に、表示装置３０がエラーメッセージを表示し、エラーメッセージの表示から所定時間の間は、エレベータの一部の機能は停止させるものの基本的な運転は行えるようにしているので、エレベータ利用者に多大な不便を強いることもない。

【0034】

＜第２実施形態＞
次に、第２実施形態について説明する。本実施形態は、所定の期間ごとに更新される検証用セキュリティ情報をサービス情報センタで管理し、エレベータ基板１０の交換時に、セキュリティ基板２０上のセキュリティ用メモリ２２が記憶している検証用セキュリティ情報を保守作業者に伝えて、正規のエレベータ基板１０上のプログラムメモリ１２に書き込めるようにしたものである。

【0035】

図４は、第２実施形態におけるセキュリティ情報管理システムの構成例を示すブロック図である。本実施形態では、エレベータ制御装置１００に対して固定的に設けられたセキュリティ基板２０に通信モジュール２４が搭載されている。通信モジュール２４は、サービス情報センタに設置されたセンタ端末４０（外部装置）との間で通信を行うものである。

【0036】

本実施形態では、セキュリティ基板２０上のセキュリティ用プロセッサ２１の更新制御部２１ａが、上述の第１実施形態と同様に、セキュリティ用メモリ２２が記憶する検証用セキュリティ情報を所定の期間ごとに更新する。このとき、本実施形態における検証用セキュリティ情報の更新周期（所定の期間の長さ）は、例えば１日（２４時間）など、上述の第１実施形態よりも短くすることができる。また、本実施形態のセキュリティ用プロセッサ２１の更新制御部２１ａは、検証用セキュリティ情報の更新を行った場合に、通信モジュール２４を利用して、更新後の検証用セキュリティ情報をサービス情報センタのセンタ端末４０に通知する。

【0037】

なお、更新後の検証用セキュリティ情報をセンタ端末４０に通知するために利用する通信モジュール２４は、セキュリティ基板２０の外部にあってもよい。例えば、サービス情報センタからの遠隔点検指令を受けてエレベータの自動診断運転を行ったり、任意にエレベータの各種メンテナンスデータをサービス情報センタに送信したりするための遠隔監視装置がエレベータ制御装置１００と接続されている場合、この遠隔監視装置に設けられている通信モジュール２４を利用して、更新後のセキュリティ情報をセンタ端末４０に通知するようにしてもよい。また、遠隔監視装置からサービス情報センタに送信するメンテナンスデータに、更新後の検証用セキュリティ情報を付加するようにしてもよい。

【0038】

サービス情報センタのセンタ端末４０は、セキュリティ基板２０上のセキュリティ用メモリ２２が記憶する検証用セキュリティ情報が更新されて、更新後の検証用セキュリティ情報が通知されると、この更新後の検証用セキュリティ情報を保持する。すなわち、所定の期間ごとに更新される検証用セキュリティ情報が、サービス情報センタによって管理される。

【0039】

一方、例えばサービス情報センタからの要請に応じてエレベータ基板１０の交換を行う保守作業者２００は、メーカから正規のエレベータ基板１０を取り寄せてエレベータ設置現場に出役し、基板交換作業を行う。このとき、メーカから取り寄せた正規のエレベータ基板１０のプログラムメモリ１２には基板側セキュリティ情報が書き込まれていないため、保守作業者２００がサービス情報センタに問い合わせて、基板側セキュリティ情報を書き込む作業を行う。

【0040】

具体的には、保守作業者２００は、携帯端末５０を用いてサービス情報センタのセンタ端末４０にセキュリティ情報の取得要求を行う。センタ端末４０は、携帯端末５０からの要求に応じて、その時点で保持している検証用セキュリティ情報、つまり、その時点でセキュリティ基板２０上のセキュリティ用メモリ２２が記憶している検証用セキュリティ情報を携帯端末５０に通知する。携帯端末５０は、センタ端末４０から通知された検証用セキュリティ情報を表示する。これにより、保守作業者２００は、携帯端末５０の表示を参照することで、現時点でセキュリティ基板２０上のセキュリティ用メモリ２２が記憶している検証用セキュリティ情報を知ることができる。

【0041】

その後、保守作業者２００は、エレベータの運転を停止させた後、エレベータ制御装置１００の電源を遮断し、エレベータ制御装置１００に装着されている既存のエレベータ基板１０を基板コネクタから外し、エレベータ制御装置１００から取り外す。次に、保守作業者２００は、メーカから取り寄せた正規のエレベータ基板１０をエレベータ制御装置１００に装着して基板コネクタを接続し、エレベータ制御装置１００の電源を投入する。

【0042】

その後、保守作業者２００は、保守点検用ミニコンソールなどの保守端末６０をエレベータ制御装置１００に設けられた専用コネクタ１１０に接続し、携帯端末５０に表示された検証用セキュリティ情報を保守端末６０に入力する。保守端末６０は、保守作業者２００から検証用セキュリティ情報が入力されると、この検証用セキュリティ情報を基板側セキュリティ情報として、エレベータ制御装置１００に装着されたエレベータ基板１０上の制御用プロセッサ１１を介して、このエレベータ基板１０上のプログラムメモリ１２に書き込む。その後、上述の第１実施形態と同様に、エレベータ制御装置１００に対して固定的に設けられたセキュリティ基板２０上のセキュリティ用プロセッサ２１の検証処理部２１ｂにより、検証処理が行われる。

【0043】

図５は、本実施形態におけるセキュリティ情報更新処理の一例を示すフローチャートである。本実施形態では、上述の第１実施形態と同様に、予め定めた所定の期間ごとにセキュリティ基板２０上のセキュリティ用メモリ２２が記憶する検証用セキュリティ情報が更新されるが（ステップＳ１０１、ステップＳ１０２）、検証用セキュリティ情報を更新した場合、セキュリティ基板２０上のセキュリティ用プロセッサ２１の更新制御部２１ａは、さらに、更新後の検証用セキュリティ情報を、通信モジュール２４を用いてサービス情報センタのセンタ端末４０に通知する（ステップＳ１０３）。なお、本実施形態における検証用セキュリティ情報の更新周期（所定の期間の長さ）は、上述のように、第１実施形態よりも短くすることができる。

【0044】

図６は、センタ端末４０によるセキュリティ情報通知処理の一例を示すフローチャートである。センタ端末４０は、セキュリティ用プロセッサ２１から更新後の検証用セキュリティ情報が通知されると、通知された検証用セキュリティ情報を保持し、基板交換作業を行う保守作業者２００の携帯端末５０からの要求に応じて検証用セキュリティ情報を通知するセキュリティ情報通知処理を行う。すなわち、センタ端末４０は、保守作業者２００の携帯端末５０からの情報取得要求の有無を監視し（ステップＳ３０１）、保守作業者２００の携帯端末５０から情報取得要求があると（ステップＳ３０１：Ｙｅｓ）、この情報取得要求に応じて、その時点で保持している最新の検証用セキュリティ情報を読み出し（ステップＳ３０２）、保守作業者２００の携帯端末５０に通知する（ステップＳ３０３）。センタ端末４０から保守作業者２００の携帯端末５０に通知された検証用セキュリティ情報は、携帯端末５０に表示される。したがって、保守作業者２００は、携帯端末５０の表示を参照することで、セキュリティ基板２０上のセキュリティ用メモリ２２が記憶している最新の検証用セキュリティ情報を知ることができる。

【0045】

図７は、保守点検用ミニコンソールなどの保守端末６０によるセキュリティ情報書き込み処理の一例を示すフローチャートである。保守作業者２００がエレベータ設置現場において基板交換作業を行う際、保守端末６０は、保守作業者２００の操作に応じてセキュリティ情報書き込み処理を行う。すなわち、保守端末６０は、エレベータ制御装置１００の専用コネクタ１１０に接続されるのを待機し（ステップＳ４０１）、エレベータ制御装置１００の専用コネクタ１１０に接続されると（ステップＳ４０１：Ｙｅｓ）、保守作業者２００による検証用セキュリティ情報の入力を待つ（ステップＳ４０２）。そして、保守作業者２００により検証用セキュリティ情報が入力されると（ステップＳ４０２：Ｙｅｓ）、保守端末６０は、入力された検証用セキュリティ情報を基板側セキュリティ情報として、エレベータ基板１０上のプログラムメモリ１２に書き込む（ステップＳ４０３）。

【0046】

本実施形態では、上述のように、保守作業者２００がメーカから正規のエレベータ基板１０を取り寄せて基板交換作業を行う場合は、その時点でセキュリティ基板２０上のセキュリティ用メモリ２２が記憶している検証用セキュリティ情報をサービス情報センタに問い合わせ、保守端末６０を用いてエレベータ基板１０上のプログラムメモリ１２に基板側セキュリティ情報として書き込めるようにしている。したがって、交換後のエレベータ基板１０が正規のものであれば、セキュリティ用プロセッサ２１の検証処理部２１ｂにより実施される検証処理の照合（図３のステップＳ２０３）において、基板側セキュリティ情報が検証用セキュリティ情報と一致することとなり、エレベータの運転が許可される。

【0047】

一方、交換後のエレベータ基板１０が不正ルートで入手した非正規品の場合は、漏洩した検証用セキュリティ情報がこの非正規品に基板側セキュリティ情報として不正に書き込まれていたとしても、セキュリティ基板２０上のセキュリティ用メモリ２２に記憶されている検証用セキュリティ情報は上述のように所定の期間ごとに更新されているため、この非正規品に不正に書き込まれた基板側セキュリティ情報が検証用セキュリティ情報と一致することはない。したがって、交換後のエレベータ基板１０が非正規品であれば、セキュリティ用プロセッサ２１の検証処理部２１ｂにより実施される検証処理の照合（図３のステップＳ２０３）において、基板側セキュリティ情報が検証用セキュリティ情報と一致せず、エレベータの運転が制限されることになる。

【0048】

以上のように、本実施形態によれば、上述した第１実施形態と同様に、エレベータ制御装置１００に対して固定的に設けられたセキュリティ基板２０上のセキュリティ用メモリ２２が記憶する検証用セキュリティ情報を所定の期間ごとに更新するようにしているので、漏洩したセキュリティ情報が非正規品に書き込まれたとしても、この非正規品の利用を有効に防止することができる。特に、本実施形態では、検証用セキュリティ情報の更新周期（所定の期間の長さ）を上述の第１実施形態よりも短くすることができるので、漏洩したセキュリティ情報が書き込まれた非正規品の利用を、より効果的に防止することができる。

【0049】

以上、本発明の実施形態を説明したが、上述の実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。上述の実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。

【符号の説明】

【0050】

１０ エレベータ基板、１１ 制御用プロセッサ、１２ プログラムメモリ（第２記憶装置）、２０ セキュリティ基板、２１ セキュリティ用プロセッサ（セキュリティ制御部）、２２ セキュリティ用メモリ（第１の記憶装置）、３０ 表示装置、４０ センタ端末（外部装置）、５０ 携帯端末、６０ 保守端末、１００ エレベータ制御装置、２００ 保守作業者。

【要約】

【課題】漏洩したセキュリティ情報が書き込まれた非正規品の利用を有効に防止することができるエレベータ基板の不正利用防止方法を提供する。
【解決手段】実施形態のエレベータ基板の不正利用防止方法は、エレベータ制御装置に対して交換可能なエレベータ基板の不正利用を防止する方法であって、前記エレベータ制御装置に設けられたセキュリティ制御部が、予め定められた期間ごとに、前記エレベータ制御装置に設けられた第１記憶装置が記憶する第１セキュリティ情報を更新し、前記エレベータ基板が交換された場合に、前記セキュリティ制御部が、交換後の前記エレベータ基板に設けられた第２記憶装置が記憶する第２セキュリティ情報と、前記第１記憶装置が記憶する第１セキュリティ情報とを照合し、前記第２セキュリティ情報が前記第１セキュリティ情報と一致しない場合に、エレベータの運転を制限する。
【選択図】図１

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】