知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024133939
(43)【公開日】2024-10-03
(54)【発明の名称】エレベーターシステム及びエレベーター制御方法
(51)【国際特許分類】
B66B 5/02 20060101AFI20240926BHJP
B66B 3/00 20060101ALI20240926BHJP
【FI】
B66B5/02 S
B66B3/00 U
【審査請求】未請求
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2023043970
(22)【出願日】2023-03-20
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000350
【氏名又は名称】ポレール弁理士法人
(72)【発明者】
【氏名】納谷 英光
(72)【発明者】
【氏名】羽鳥 貴大
(72)【発明者】
【氏名】助川 祐太
【テーマコード(参考)】
3F303
3F304
【Fターム(参考)】
3F303CB42
3F303FA10
3F304EB02
3F304EB07
3F304ED01
(57)【要約】
【課題】
スイッチングハブや監視用の専用装置を設けることなく、不正なコントローラ20を特定し、正常なコントローラ20のみでの運行制御ができるエレベーターシステムを提供する。
【解決手段】
エレベーター15を制御する複数のコントローラ20を有するエレベーターシステムにおいて、コントローラ20は、コントローラ20の制御状態に応じて、他のコントローラ20宛に送信されたパケットのパケット検査を行うかを判断するタスク切替判断部32と、パケット検査を実施して不正なコントローラ20を特定するパケット解析部38と、不正なコントローラ20の特定状況に応じて、エレベーター15の制御を変更する運転制御部50と、を有する。
【選択図】図3
スイッチングハブや監視用の専用装置を設けることなく、不正なコントローラ20を特定し、正常なコントローラ20のみでの運行制御ができるエレベーターシステムを提供する。
【解決手段】
エレベーター15を制御する複数のコントローラ20を有するエレベーターシステムにおいて、コントローラ20は、コントローラ20の制御状態に応じて、他のコントローラ20宛に送信されたパケットのパケット検査を行うかを判断するタスク切替判断部32と、パケット検査を実施して不正なコントローラ20を特定するパケット解析部38と、不正なコントローラ20の特定状況に応じて、エレベーター15の制御を変更する運転制御部50と、を有する。
【選択図】図3
【特許請求の範囲】
【請求項1】
エレベーターを制御する複数のコントローラを有するエレベーターシステムにおいて、
前記コントローラは、
前記コントローラの制御状態に応じて、他のコントローラ宛に送信されたパケットのパケット検査を行うかを判断するタスク切替判断部と、
前記パケット検査を実施して不正なコントローラを特定するパケット解析部と、
前記不正なコントローラの特定状況に応じて、前記エレベーターの制御を変更する運転制御部と、を有することを特徴とするエレベーターシステム。
前記コントローラは、
前記コントローラの制御状態に応じて、他のコントローラ宛に送信されたパケットのパケット検査を行うかを判断するタスク切替判断部と、
前記パケット検査を実施して不正なコントローラを特定するパケット解析部と、
前記不正なコントローラの特定状況に応じて、前記エレベーターの制御を変更する運転制御部と、を有することを特徴とするエレベーターシステム。
【請求項2】
請求項1において、
前記タスク切替判断部は、前記コントローラの制御状態に応じて、前記エレベーターの制御を行う通常の制御処理と、前記パケット検査を行うパケット検査処理とを切り替える判断をすることを特徴とするエレベーターシステム。
前記タスク切替判断部は、前記コントローラの制御状態に応じて、前記エレベーターの制御を行う通常の制御処理と、前記パケット検査を行うパケット検査処理とを切り替える判断をすることを特徴とするエレベーターシステム。
【請求項3】
請求項1において、
前記パケット解析部は、前記パケット検査において、送信ノードまたは受信ノードが正規のコントローラの構成を記述したコントローラテーブルに存在するか、および、コマンドが正規のコマンドであるかを確認することで、前記不正なコントローラを特定することを特徴とするエレベーターシステム。
前記パケット解析部は、前記パケット検査において、送信ノードまたは受信ノードが正規のコントローラの構成を記述したコントローラテーブルに存在するか、および、コマンドが正規のコマンドであるかを確認することで、前記不正なコントローラを特定することを特徴とするエレベーターシステム。
【請求項4】
請求項1において、
前記コントローラは、自身の保有する前記不正なコントローラのリストに基づいて、正規のコントローラのリストを生成し、前記正規のコントローラのリストに存在する他の正規のコントローラから前記他の正規のコントローラの保有する前記不正なコントローラのリストを収集し、自身の保有する前記不正なコントローラのリストを更新する不正ノード収集部を有することを特徴とするエレベーターシステム。
前記コントローラは、自身の保有する前記不正なコントローラのリストに基づいて、正規のコントローラのリストを生成し、前記正規のコントローラのリストに存在する他の正規のコントローラから前記他の正規のコントローラの保有する前記不正なコントローラのリストを収集し、自身の保有する前記不正なコントローラのリストを更新する不正ノード収集部を有することを特徴とするエレベーターシステム。
【請求項5】
請求項1において、
前記運転制御部は、フロアコントローラが不正な場合には、不正な前記フロアコントローラからの呼びをキャンセルするとともに、不正な前記フロアコントローラが設置されたフロアを不停止階として制御することを特徴とするエレベーターシステム。
前記運転制御部は、フロアコントローラが不正な場合には、不正な前記フロアコントローラからの呼びをキャンセルするとともに、不正な前記フロアコントローラが設置されたフロアを不停止階として制御することを特徴とするエレベーターシステム。
【請求項6】
請求項1において、
前記運転制御部は、フロアコントローラの不正通信頻度が所定の値を超えた場合には、最寄り階停止運転を行うとともに、不正な前記フロアコントローラが設置されたフロアを不停止階として制御することを特徴とするエレベーターシステム。
前記運転制御部は、フロアコントローラの不正通信頻度が所定の値を超えた場合には、最寄り階停止運転を行うとともに、不正な前記フロアコントローラが設置されたフロアを不停止階として制御することを特徴とするエレベーターシステム。
【請求項7】
請求項1において、
前記運転制御部は、かごコントローラが不正な場合には、登録階への到着後に、所定時間内の不正通信の有無に応じて運行継続するか運行停止するかを判断することを特徴とするエレベーターシステム。
前記運転制御部は、かごコントローラが不正な場合には、登録階への到着後に、所定時間内の不正通信の有無に応じて運行継続するか運行停止するかを判断することを特徴とするエレベーターシステム。
【請求項8】
請求項1において、
前記運転制御部は、かごコントローラの不正通信頻度が所定の値を超えた場合には、最寄り階停止運転後に運行停止することを特徴とするエレベーターシステム。
前記運転制御部は、かごコントローラの不正通信頻度が所定の値を超えた場合には、最寄り階停止運転後に運行停止することを特徴とするエレベーターシステム。
【請求項9】
請求項1において、
前記運転制御部は、かご内操作盤コントローラの不正通信頻度が所定の値を超えた場合には、最寄り階停止運転後に運行停止することを特徴とするエレベーターシステム。
前記運転制御部は、かご内操作盤コントローラの不正通信頻度が所定の値を超えた場合には、最寄り階停止運転後に運行停止することを特徴とするエレベーターシステム。
【請求項10】
請求項1において、
前記運転制御部は、前記不正なコントローラを排除して前記エレベーターの制御を行うことを特徴とするエレベーターシステム。
前記運転制御部は、前記不正なコントローラを排除して前記エレベーターの制御を行うことを特徴とするエレベーターシステム。
【請求項11】
複数のコントローラを用いてエレベーターを制御するエレベーター制御方法において、
前記コントローラが、前記コントローラの制御状態に応じて他のコントローラ宛に送信されたパケットのパケット検査を実施して不正なコントローラを特定し、前記不正なコントローラの特定状況に応じて、前記エレベーターの制御を変更することを特徴とするエレベーター制御方法。
前記コントローラが、前記コントローラの制御状態に応じて他のコントローラ宛に送信されたパケットのパケット検査を実施して不正なコントローラを特定し、前記不正なコントローラの特定状況に応じて、前記エレベーターの制御を変更することを特徴とするエレベーター制御方法。
【請求項12】
請求項11において、
前記コントローラは、前記不正なコントローラを排除して前記エレベーターの制御を行うことを特徴とするエレベーター制御方法。
前記コントローラは、前記不正なコントローラを排除して前記エレベーターの制御を行うことを特徴とするエレベーター制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、エレベーターシステム及びエレベーター制御方法に関する。
【背景技術】
【0002】
エレベーターシステムは、複数のコントローラが通信路により相互に接続することで構成されるシステムである。当該コントローラが別のコントローラもしくは機器に置換えられてしまうと、想定外の通信データが流れてしまい、エレベーターシステムの動作に支障が生じる可能性がある。
【0003】
このような通信路への不正な機器の接続に対処する方法としては、例えば特許文献1および特許文献2がある。
【0004】
特許文献1には、スイッチングハブを用いて不正な装置を遮断する技術について記載されており、特許文献1の要約には、「不正な装置を各装置で検出し、不正な装置が直接接続されたスイッチングハブの制御指令を各装置から送信する。当該制御指令を受信したスイッチングハブは、制御指令の内容に基づき、不正な装置が接続された自身の接続ポート、もしくは当該スイッチングハブが有する経路情報テーブルを電子的に制御し、不正な装置のネットワーク接続を遮断する。」と記載されている。
【0005】
また、特許文献2には、監視用の専用装置を通信路に接続し、別途ゲートウェイって不正データのルーティングを禁止させる技術について記載されており、特許文献2の要約には、「車両ネットワークには、同車両ネットワークで用いられる通信プロトコルを運用する上で規定されたデータの通信形式の監視を通じて不正データを検知する監視用の車載制御装置50が設けられている。監視用の車載制御装置50は、規定された通信形式とは異なる不正データを検知したとき、各車載制御装置11~13、21~23、及び31~33に警告情報を送信する処理を行うとともに、ゲートウェイ41及び42による不正データのルーティングを禁止させる処理を行う。」と記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2015-035724号公報
【特許文献2】特開2013-131907号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、これらの従来技術では、コントローラの他に、スイッチングハブや監視用の専用装置を設けなければならないという課題がある。また、通信路のトポロジ(ネットワーク構成)がスイッチングハブやゲートウェイとの接続に限定されてしまうという問題がある。よって、スイッチングハブやゲートウェイを繋がないシステムには適用できない。
【0008】
本発明が解決しようとする課題は、スイッチングハブや監視用の専用装置を設けることなく、不正なコントローラを特定し、正常なコントローラのみでの運行制御ができるエレベーターシステム及びエレベーター制御方法を提供することである。
【課題を解決するための手段】
【0009】
上記した課題を解決するために、本発明のエレベーターシステムは、エレベーターを制御する複数のコントローラを有するエレベーターシステムにおいて、前記コントローラは、前記コントローラの制御状態に応じて、他のコントローラ宛に送信されたパケットのパケット検査を行うかを判断するタスク切替判断部と、前記パケット検査を実施して不正なコントローラを特定するパケット解析部と、前記不正なコントローラの特定状況に応じて、前記エレベーターの制御を変更する運転制御部と、を有することを特徴とする。
【0010】
また、本発明のエレベーター制御方法は、複数のコントローラを用いてエレベーターを制御するエレベーター制御方法において、前記コントローラが、前記コントローラの制御状態に応じて他のコントローラ宛に送信されたパケットのパケット検査を実施して不正なコントローラを特定し、前記不正なコントローラの特定状況に応じて、前記エレベーターの制御を変更することを特徴とする。
【発明の効果】
【0011】
本発明のエレベーターシステム及びエレベーター制御方法によれば、スイッチングハブや監視用の専用装置を設けることなく、不正なコントローラを特定し、正常なコントローラのみでの運行制御ができる。
【0012】
上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
【図面の簡単な説明】
【0013】
【図1】実施例1のエレベーターシステムの全体概要図。
【図2】実施例1のコントローラのハードウェア基本構成図。
【図3】実施例1のコントローラの機能ブロック図。
【図4】実施例1のコントローラテーブルを説明する図。
【図5】実施例1のタスク切替判断部の動作を説明するフローチャート。
【図6】実施例1の切替可否テーブルを説明する図。
【図7】実施例1のパケットの構成を説明する図。
【図8】実施例1のパケット解析部の動作を説明するフローチャート。
【図9】実施例1の不正ノード収集部の動作を説明するフローチャート。
【図10】実施例2のエレベーターシステムにおけるフロアコントローラが不正な場合の運行制御フロー。
【図11】実施例3のエレベーターシステムにおけるフロアコントローラの不正通信があった場合の運行制御フロー。
【図12】実施例4のエレベーターシステムにおけるかごコントローラが不正な場合の運行制御フロー。
【図13】実施例5のエレベーターシステムにおけるかごコントローラの不正通信があった場合の運行制御フロー。
【図14】実施例6のエレベーターシステムにおけるかご内操作盤コントローラの不正通信があった場合の運行制御フロー。
【発明を実施するための形態】
【0014】
以下、図面を用いて本発明の実施例を説明する。各図、各実施例において、同一または類似の構成要素については同じ符号を付け、重複する説明は省略する。
【実施例0015】
図1は、実施例1のエレベーターシステムの全体概要図である。
【0016】
本実施例では説明を簡略化するために、複数のエレベーター15のうちの1基について詳細を図示し、他のエレベーター15については簡略化して図示している。本実施例ではエレベーターシステムとして、エレベーター15の管理・監視・保守等を実施するために、遠隔地に設置されている例えばセンタ1と接続する構成を例に説明する。
【0017】
センタ1は、無線有線を問わず専用回線のような閉回路網や、インターネットのような公衆回線である通信網2を経由することで、通信コントローラ3と接続されている。通信コントローラ3は、センタ1とエレベーター15との間のデータ通信を担うコントローラである。該通信は、運行データの管理や、遠隔操作及び遠隔保守に利用されている。
【0018】
通信コントローラ3は、通信路17を介して、複数のエレベーター15を効率良く制御する群管理コントローラ4と接続されている。群管理コントローラ4は、複数のエレベーター15をエレベーター群18としてまとめて管理運用する。例えば、各階の呼びや乗降人数予測に基づいて、エレベーター15の運行方向及び停止階をスケジューリングすることで全体の運行効率を向上させる制御を実行する。
【0019】
エレベーターコントローラ5は、かご7とかご7との釣り合いを取るためのカウンターウェイト8とを連結しているロープ9の動きを、モーター6を制御することで制御し、かご7を上下移動及び停止させることで、乗客にビル等における上下移動のサービスを提供する。エレベーターコントローラ5は、通信路16を介して、群管理コントローラ4と接続されている。また、エレベーターコントローラ5は、通信路12を介して、1台のかごコントローラ10及び各階に設けられているフロアコントローラ11と接続されている。
【0020】
かごコントローラ10は、かご内操作盤コントローラ19を介して、かご7内に設置されている行先階ボタン及びドア開閉ボタンで構成されている操作盤13の、乗客による操作状態を監視して、エレベーターコントローラ5に、該状態を伝える。かご内操作盤コントローラ19は、乗客によるかご7内の操作盤13の操作状態を監視して、かごコントローラ10に、該状態を伝える。なお、かごコントローラ10がかご内操作盤コントローラ19の機能を兼ねるようにしてもよい。
【0021】
フロアコントローラ11は、各階に設置される上下ボタン14の、各階における乗客による操作状態を監視して、エレベーターコントローラ5に、該状況を伝える。
【0022】
また、エレベーターシステム全体について建屋ローカルで管理するための管理端末80が設けられる場合もある。
【0023】
本実施例で示した通信路によるネットワーク構成は一例であり、これに限られず、他のネットワーク構成にも適用可能である。
【0024】
図2は、実施例1のコントローラのハードウェア基本構成図である。
【0025】
本実施例では、エレベーターシステムを構成する各コントローラ、具体的には、通信コントローラ3、群管理コントローラ4、エレベーターコントローラ5、かごコントローラ10、フロアコントローラ11、かご内操作盤コントローラ19を総称して、コントローラ20と呼ぶこととする。
【0026】
コントローラ20は、例えばマイコンなどの演算処理装置であり、MPU(Micro Processing Unit)22、ROM(Read Only Memory)23、RAM(Random Access Memory)24、通信IF(インターフェース)25、記憶装置26と、これらを接続するバス21とを有するハードウェア構成となっている。
【0027】
MPU22、ROM23、RAM24は、処理部を構成する。図3で説明する各機能部を実現するプログラムコードがROM23上に記憶されており、MPU22は、ROM23からプログラムコードをリードしてRAM24にロードし、プログラムを実行する。もしくは、プログラムコードをROM23から直接リードしてそのまま実行してもよい。ROM23は、特別な手順及び手段によってのみアクセスできるセキュアな領域を有する場合もある。RAM24には、MPU22の処理途中で発生した変数やパラメータ等のデータが一時的に書き込まれ、該データは処理に応じてMPU22から適宜読み出される。
【0028】
記憶装置26は、不揮発性の記憶媒体で構成されており、各種のデータを記憶する。また、MPU22で実行されるプログラムコードがROM23の代わりに記憶装置26に格納されていてもよい。
【0029】
通信IF25による通信路としては、例えば、RS-485のようなマルチドロップ形態のシリアル通信や、イーサネット(登録商標)のような複数のトポロジ(接続形態)を提供する有線通信路であるLAN(Local Area Network)やWAN(Wide Area Network)や、無線通信であるRAN(Radio Area Network)などを用いることができる。無線通信の場合は、例えば、Wi-Fi(登録商標)のような短距離無線や、モバイル通信網のような長距離無線による通信を用いることができる。
【0030】
コントローラ20としてこのようなハードウェア構成とすることで、エレベーター制御アプリケーションの実行及びハードウェア操作の基本処理を提供するリアルタイム・オペレーティングシステム(RTOS)を動作させることが可能となる。
【0031】
図3は、実施例1のコントローラの機能ブロック図である。
【0032】
本実施例のコントローラ20は、制御状態確認部30と、タスク切替判断部32と、パケット受信切替部34と、通信部36と、パケット解析部38と、不正ノード収集部40と、記憶部48と、運転制御部50とを有する。これらの各機能部は、図2で説明した通り、演算処理装置を用いて各機能部を実現するプログラムコードを実行することで実現することができる。なお、記憶部48に記憶されるデータは、記憶装置26またはRAM24に記憶される。
【0033】
本実施例のエレベーターシステムは、エレベーター15を制御する複数のコントローラ20を有する。そして、本実施例のエレベーターシステムにおけるエレベーター制御方法は、コントローラ20が、コントローラ20の制御状態に応じて他のコントローラ20宛に送信されたパケットのパケット検査を実施して不正なコントローラ20を特定し、不正なコントローラ20の特定状況に応じて、エレベーター15の制御を変更する。エレベーター15の制御を変更する一例としては、例えば、コントローラ20は、不正なコントローラ20を排除してエレベーター15の制御を行う。これにより、複数のコントローラ20の各コントローラ20が、自身の制御状態に応じてパケット検査が可能な時にパケット検査を実施できるので、スイッチングハブや監視用の専用装置を設けることなく、不正なコントローラを特定し、正常なコントローラのみでの運行制御ができる。
【0034】
以下、これを実現できるコントローラ20の各機能部の詳細について説明する。
【0035】
制御状態確認部30は、コントローラ20の制御状態を確認する。制御状態の一例としては、例えば、エレベーターコントローラ5の場合は、モーター6を制御してかご7が動いているか、かご7が止まっているか等である。制御状態の他の例としては、例えば、かごコントローラ10およびかご内操作盤コントローラ19の場合は、操作盤13の状態等であり、フロアコントローラ11の場合は、上下ボタン14の状態等であり、群管理コントローラ4の場合は、乗客からの呼び状況に対する割当状況等である。制御状態確認部30で確認された制御状態は、タスク切替判断部32に送信される。
【0036】
タスク切替判断部32は、コントローラ20の制御状態に応じて、他のコントローラ20宛に送信されたパケットのパケット検査を行うかを判断する。より具体的には、タスク切替判断部32は、コントローラ20の制御状態に応じて、エレベーター15の制御を行う通常の制御処理と、パケット検査を行うパケット検査処理とを切り替える判断をする。この判断の詳細については後述する。タスク切替判断部32における判断結果は、パケット受信切替部34及びパケット解析部38に送信される。
【0037】
パケット受信切替部34は、タスク切替判断部32における判断結果に応じて、通信部36の通信モードの設定を切り替える。なお、タスク切替判断部32がパケット受信切替部34の機能を兼ねるようにしてもよい。
【0038】
通信部36は、パケットの送信及び受信を行う。ここで、通信部36は、タスク切替判断部32において通常の制御処理を行うとの判断がされた場合には、自身のコントローラ20以外を送信先とするパケットを廃棄する通常の通信モードに設定される。また、通信部36は、タスク切替判断部32において、パケット検査処理を行うとの判断がされた場合には、全ての通信のパケットをキャプチャ(捕獲)する通信モード、所謂、無差別(Promiscuous)通信モードに設定される。なお、パケット検査処理から通常の制御処理に復帰する場合には、パケット受信切替部34により、通常の通信モードに設定を切り替えればよい。通信部36で受信したパケットは、パケット解析部38に送信される。
【0039】
パケット解析部38は、受信したパケットを解析する。パケット解析部38は、タスク切替判断部32において通常の制御処理を行うとの判断がされた場合には、通常のパケット解析を実施して、例えばコマンドなどを含む解析結果を運転制御部50に送信する。また、パケット解析部38は、タスク切替判断部32において、パケット検査処理を行うとの判断がされた場合には、パケット検査を実施して不正なコントローラ20を特定する。そして、パケット解析部38は、不正なコントローラ20の特定結果に基づいて、記憶部48に格納された不正なコントローラ20のリストを更新する。パケット解析部38によるパケット検査の詳細については後述する。
【0040】
記憶部48は、不正なコントローラ20のリストとして、例えば、不正送信ノードリスト44と、不正受信ノードリスト46とを格納する。不正送信ノードリスト44は、パケット解析部38により不正に係ると判断された送信ノードのリストであり、不正受信ノードリスト46は、パケット解析部38により不正に係ると判断された受信ノードのリストである。不正送信ノードリスト44及び不正受信ノードリスト46の少なくとも一方に記載されたノードに対応するコントローラ20は、不正なコントローラ20である。
【0041】
運転制御部50は、エレベーター15の運転制御を実施する。ここで、運転制御部50は、不正なコントローラ20の特定状況に応じて、エレベーター15の制御を変更する。具体的には、運転制御部50は、記憶部48に格納された不正なコントローラ20のリストである不正送信ノードリスト44及び不正受信ノードリスト46を取得し、不正なコントローラ20と制御処理の内容の組合せに応じてエレベーター15の運転制御を変更する。運転制御部50による運転制御の具体例については後述する。
【0042】
不正ノード収集部40は、記憶部48に格納された自身の保有する不正なコントローラ20のリストに基づいて、正規のコントローラ20のリストを生成し、正規のコントローラ20のリストに存在する他の正規のコントローラ20から他の正規のコントローラ20の保有する不正なコントローラ20のリストを収集し、自身の保有する不正なコントローラ20のリストを更新する。不正ノード収集部40における処理の詳細については後述する。
【0043】
図4は、実施例1のコントローラテーブルを説明する図である。
【0044】
コントローラ20は、構成要素を管理するコントローラテーブル60を保持している。コントローラテーブル60は、正規のコントローラ20の構成を記述したテーブルである。コントローラテーブル60は、設置時に設定される。コントローラテーブル60は、コントローラ20のコントローラ種別62と、コントローラ20のノード番号64を保持している。コントローラテーブル60は、例えば、前述のROM23のセキュアな記憶領域に記憶される。
【0045】
【0046】
S10は、制御状態取得ステップであり、コントローラ20は、制御状態確認部30によって、コントローラ20の制御状態を確認する。制御状態の確認は、例えば制御周期に応じて実施する。
【0047】
S20は、タスク切替判断ステップであり、コントローラ20は、タスク切替判断部32によって、制御状態に応じて、パケット検査を行うかを判断する。通常の制御処理からパケット検査処理へのタスク切替の可否を判断する。タスク切替の可否の判断は、例えば、図6に示す切替可否テーブル100を使用する。切替可否テーブル100は、制御状態102と、タスク切替可否104との対応を予め定めたテーブルである。図6は、エレベーターコントローラ5の切替可否テーブル100の一例であり、制御状態102が停止または定速の場合にはタスク切替可否104を〇(可)とし、制御状態102が加速または減速の場合にはタスク切替可否104を×(不可)としている。例えばMPU22の使用率が所定値未満となるような制御状態など、コントローラ20の処理負荷が軽い制御状態の場合にパケット検査処理へのタスク切替を可とするように設定すればよい。エレベーターコントローラ5以外の他のコントローラ20についても、その動作や制御内容に応じて、このような切替可否テーブル100を保持している。
【0048】
S20の判断で切替が不可の場合には、S30に移り、通常の制御処理を継続する。
【0049】
S20の判断で切替可の場合には、S40に移り、タスク切替判断部32は、前述のRTOSにパケット検査タスクを登録する。
【0050】
登録された解析タスクは、コントローラ20で実行されている前述のRTOSのスケジューラにて、適宜実行される。
【0051】
S50では、パケット受信切替部34は、パケット検査タスクの登録の有無を確認する。登録が無い場合は、処理を終了する。登録が有る場合は、S60に移る。
【0052】
S60は、通信モード切替ステップであり、パケット受信切替部34は、通信モードを前述の無差別通信モードに切り替える。
【0053】
S70は、パケット検査ステップであり、パケット解析部38は、パケット検査を実行する。パケット検査が終了したら、パケット検査タスクの登録は無くなる。
【0054】
パケット検査が終了または中断したら、ステップS80に移り、パケット受信切替部34は、通信モードを通常の通信モードに切り替える
このように、コントローラ20の制御状態に応じてパケット検査を行うかを判断することによって、コントローラ20の処理負荷を軽減できる。
このように、コントローラ20の制御状態に応じてパケット検査を行うかを判断することによって、コントローラ20の処理負荷を軽減できる。
【0055】
図7は、実施例1のパケットの構成を説明する図である。
【0056】
本実施例のパケット70は、例えば、パケットの素性を示すマジック番号71、送信ノード番号72、受信ノード番号73、データサイズ74、コマンド番号75、コマンドパラメータ等のデータ76、通信データ化けを検知するための例えばチェックサム等のチェックデータ77を有して構成される。ここで、不正なデータを、送信ノード番号72、受信ノード番号73、コマンド番号75とする。エレベーターシステムでは、正規のコントローラ20の台数や役割は、図4で説明したコントローラテーブル60で予め決定されている。
【0057】
図8は、実施例1のパケット解析部の動作を説明するフローチャートである。
【0058】
パケット解析部38は、パケット検査を実施して不正通信検知を行う。具体的には、パケット解析部38は、パケット検査において、送信ノードまたは受信ノードが正規のコントローラの構成を記述したコントローラテーブル60に存在するか、および、コマンドが正規のコマンドであるかを確認することで、不正なコントローラ20を特定する。
【0059】
S100では、パケット解析部38は、受信したパケットの送信ノード番号72が、コントローラテーブル60に存在するかを確認する。存在しない場合には、不正であると判断して、S101に移る。S101では、パケット解析部38は、記憶部48の不正送信ノードリスト44に送信ノード番号72を記録する。その後、S102に移る。S100において、存在する場合には、正規であると判断して、Aのフローに移る。
【0060】
S102では、パケット解析部38は、受信ノード番号73が、コントローラテーブル60に存在するかを確認する。存在しない場合には、不正であると判断して、S103に移る。S103では、パケット解析部38は、記憶部48の不正受信ノードリスト46に受信ノード番号73を記録する。その後、S104に移る。S102において、存在する場合には、正規であると判断して、S104に移る。
【0061】
S104では、パケット解析部38は、コマンド番号75が、予め決定されている正規のコマンドか否かを確認する。正規のコマンドでない場合には、不正であると判断して、S105に移る。S105では、パケット解析部38は、記憶部48の不正送信ノードリスト44に送信ノード番号72を記録する。また、S106では、不正なコントローラ20の候補として、記憶部48の図示しない不正候補リストに、不正候補ノードとして、一時的に受信ノード番号73を記録する。その後、フローを終了する。S104において、正規のコマンドである場合には、正規であると判断して、フローを終了する。
【0062】
Aのフローは、S106において不正候補リストに記録された受信ノード番号73が、不正であるか正規であるかを判断するフローである。これは、応答パケットの応答を確認することで判断できる。なお、不正候補リストに記録された次の通信周期において、このパケットに対する応答パケットは、送信ノードと受信ノードが入れ替わっている。
【0063】
S107では、パケット解析部38は、応答パケットの送信ノード番号72(前回周期の受信ノード番号73と同じ)が、不正候補リストに不正候補ノードとして記録されているかを確認する。記録が無い場合には、Aのフローを終了する。記録が有る場合には、S108に移る。
【0064】
S108では、パケット解析部38は、応答パケットの応答を確認する。不正なコマンドを含む通信に対して「異常」と応答している場合には、この応答パケットの送信元は正規なコントローラ20であると判断して、パケット解析部38は、不正候補リストから応答パケットの送信ノード番号72(前回周期の受信ノード番号73と同じ)を消去する。その後、Aのフローを終了し、S102に移る。S108において、不正な通信に対して「正常」と応答している場合には、この応答パケットの送信元は不正なコントローラ20であると判断して、パケット解析部38は、記憶部48の不正送信ノードリスト44または不正受信ノードリスト46に送信ノード番号72(前回周期の受信ノード番号73と同じ)を記録する。さらに、パケット解析部38は、不正候補リストから応答パケットの送信ノード番号72(前回周期の受信ノード番号73と同じ)を消去するようにしてもよい。その後、Aのフローを終了し、S102に移る。
【0065】
このように、少なくとも、送信ノード番号72と、受信ノード番号73と、コマンド番号75とを確認することにより、不正なコントローラ20のエレベーターシステムへの追加、もしくは不正なコマンド番号75を使用する不正なコントローラ20への置換えなどを検知して、不正なコントローラ20を特定することが可能となる。
【0066】
図9は、実施例1の不正ノード収集部の動作を説明するフローチャートである。
【0067】
前述の通り、コントローラ20は、それぞれの制御状態に応じて、パケット検査処理のタスクに切り替わるため、不正通信を受信しているタイミングも異なる。そこで、各々のコントローラ20単体では受信できなかった不正通信に対する解析結果を相互にやりとりすることで、解析結果の精度を向上させることができる。
【0068】
そのために、不正ノード収集部40は、記憶部48に格納された自身の保有する不正なコントローラ20のリストに基づいて、正規のコントローラ20のリストを生成し、正規のコントローラ20のリストに存在する他の正規のコントローラ20から他の正規のコントローラ20の保有する不正なコントローラ20のリストを収集し、自身の保有する不正なコントローラ20のリストを更新する。
【0069】
S200では、不正ノード収集部40は、記憶部48に格納された自身の保有する不正なコントローラ20のリスト(不正リスト)に基づいて、正規のコントローラ20のリスト(正規リスト)を生成する。例えば、図4のコントローラテーブル60から不正なコントローラ20のリスト(不正送信ノードリスト44、不正受信ノードリスト46)に記録された不正なコントローラ20を除外することで正規のコントローラ20のリストを生成することができる。
【0070】
S201では、不正ノード収集部40は、生成された正規リストにノードが有るか否かを確認する。ノードが有る場合には、S202に移る。ノードが無い場合は、S206に移る。
【0071】
S202では、不正ノード収集部40は、正規リストに存在する他の正規のコントローラ20から当該他の正規のコントローラ20の保有する不正リストを収集するために、当該他の正規のコントローラ20に対して不正リスト送信要求を送る。なお、正規リストに複数の正規のコントローラ20が存在する場合は、正規リストに存在するすべての正規のコントローラ20に対して不正リスト送信要求を送ることが望ましい。
【0072】
S203では、不正ノード収集部40は、不正リスト送信要求に応じて送信された不正リストを受信する。
【0073】
S204では、不正ノード収集部40は、自身の保有する不正リストと受信した不正リストとの不一致を確認する。不一致が有る場合には、S205に移る。不一致が無い場合には、S206に移る。なお、複数の不正リストを受信した場合は、少なくとも1つの不正リストにおいて不一致が有る場合にはS205に移り、全ての不正リストにおいて不一致が無い場合には、S206に移るようにすればよい。
【0074】
S205では、不一致が有る場合なので、不正ノード収集部40は、記憶部48の不正リストを更新する。具体的には、記憶部48の不正リストに、不足しているノードを追加する。なお、送信されてきた不正リストの中に、自身のコントローラ20が不正ノードとして記録されている場合には、この不正リストを送信したノードは不正ノードであると判断して、記憶部48の不正送信ノードリスト44に追加する。不正リストの更新後に、処理を終了する。
【0075】
S206では、不一致が無い場合なので、不正リストの精度は高いと判断し、不正ノード収集部40は、不正リストを、センタ1に報告する。
【0076】
以上のように、複数のコントローラ20の間で、記憶部48に記憶されている不正リストを、自身が正規と判断したコントローラ20との間のみで共有することにより、エレベーターシステム全体で、不正ノードの解析精度を向上することができる。
【実施例0077】
実施例2以降は、実施例1のエレベーターシステムにおいて、不正なコントローラ20の特定状況に応じて、エレベーター15の制御を変更する具体例を説明する実施例である。
【0078】
図10は、実施例2のエレベーターシステムにおけるフロアコントローラが不正な場合の運行制御フローである。
【0079】
実施例2の運転制御部50は、フロアコントローラ11が不正な場合には、不正なフロアコントローラ11からの呼びをキャンセルするとともに、不正なフロアコントローラ11が設置されたフロアを不停止階として制御する。
【0080】
S300では、エレベーターコントローラ5の運転制御部50は、フロアコントローラ11が正規であるかを確認する。具体的には、記憶部48の不正リストにフロアコントローラ11が登録されているか否かを確認する。登録されていない場合には、正規のフロアコントローラ11なので、処理を正常終了する。
【0081】
登録されている場合には、不正なフロアコントローラ11なので、S302において、運転制御部50は、当該不正なフロアコントローラ11からのフロアの呼び登録コマンドはキャンセルする。
【0082】
S304では、エレベーターコントローラ5の運転制御部50は、不正なフロアコントローラ11が設置されたフロアが停止階として登録されているか否かを確認する。停止階として登録が無い場合には、S308に移る。S308では、エレベーターコントローラ5の運転制御部50は、当該フロアを不停止階として設定し、処理を終了する。これにより、その後は当該フロアに停止しないように制御される。また、S304において、停止階として登録が有る場合には、S306に移る。S306では、かご7内にそのフロアで降りたい乗客が存在するということなので、エレベーターコントローラ5の運転制御部50は、当該フロアに停止する運転制御を実行する。その後は、当該フロアを不停止階として登録するためにS308に移る。
【0083】
以上、説明したように、不正なフロアコントローラ11を認識した場合には、当該フロアコントローラ11から送信される、上下ボタン14に連動した上下方向の呼び登録コマンドは不正の可能性があるため、キャンセルするとともに、当該フロアを不停止階にしてその階を使わないようにし、不正なフロアコントローラ11を排除することで、以降の不正なフロアコントローラ11によるエレベーター運行制御への影響を軽減することが可能となる。
【実施例0084】
図11は、実施例3のエレベーターシステムにおけるフロアコントローラの不正通信があった場合の運行制御フローである。
【0085】
実施例3の運転制御部50は、フロアコントローラ11の不正通信頻度が所定の値を超えた場合には、最寄り階停止運転を行うとともに、不正なフロアコントローラ11が設置されたフロアを不停止階として制御する。ここで、不正通信頻度が所定の値を超えた場合とは、例えば、所定の時間内に所定の回数を超えた場合などである。
【0086】
S400では、エレベーターコントローラ5の運転制御部50は、不正通信の回数を計測する。
【0087】
S402では、エレベーターコントローラ5の運転制御部50は、不正通信頻度を確認する。例えば、所定の時間内に不正通信の回数が所定の回数を超えたかを確認する。頻度が少ない場合には、処理フローを終了する。頻度が所定の値を超えて多い場合には、S404に移る。
【0088】
S404では、エレベーターコントローラ5の運転制御部50は、最寄り階停止運転を実行する。なお、最寄り階停止運転が必要ない場合には省略してもよい。
【0089】
S406では、エレベーターコントローラ5の運転制御部50は、不正なフロアコントローラ11が設置されたフロアを不停止階に設定する。
【0090】
以上のような制御により、不正なフロアコントローラ11を排除し、以降の不正なフロアコントローラ11によるエレベーター運行制御への影響を軽減することが可能となる。