[0001] 本公开涉及一种用于控制一个或多个安全系统（例如人员运送器（people conveyor）的那些安全系统）的装置和方法。

[0002] 现代的人员运送器（例如，电梯）通常具有一个或多个内置安全系统，其被布置成当人员运送器发生故障时激活以便保护其使用者。作为示例，典型的安全系统可被布置成断开人员运送器的驱动系统（例如，马达），以便防止进一步的运动传授到运送器（有时称为'安全扭矩关闭'），和/或接合一个或多个紧急制动器，以便使人员运送器停止并将其保持在适当位置（有时称为'安全制动控制'）。使用这些安全系统以便保护人员运送器的使用者，以及防止损坏人员运送器本身。

[0003] 人员运送器通常配备有各种传感器，编码器等，其布置成监测人员运送器的各种操作参数，例如位置，速度，加速度，高度，温度，振动水平，门打开状态等。典型的安全系统实时地监测这样的传感器的输出，以便确定人员运送器是否正确地运行，并由此确定安全系统是否应该被激活。这通常通过安全控制通道来实现。安全控制通道通常包括处理器（例如微处理器，微控制器单元，FPGA 等），其接收来自各种传感器和/或其它系统（例如电梯控制器）的输出，并被编程以控制一个或多个安全系统的操作以作为回应。

[0004] 重要的是，人员运送器中的安全系统能够容忍失灵，即，在内部失效的情况下它们继续如预期那样操作。如果安全控制通道在被要求时没有激活安全系统，则有可能的是，严重的危害可能对人员运送器的使用者发生和/或损坏可能对人员运送器本身发生。因此，一些安全系统采用被配置成独立且并行地操作的多个安全控制通道，以便在系统中产生冗余。如果一个通道失效，另一个通道仍可适当激活安全系统。

[0005] 然而，使用并行操作的多个独立安全控制通道可能是昂贵且功率低效的。每个附加通道要求额外的组件，其中组件中的一些组件是昂贵的（例如微控制器单元）。此外，添加额外的安全控制通道增加对于安装附加部组件所要求的空间（例如，在印刷电路板（PCB）或片上系统（SOC）上）。例如，添加第三并行安全控制通道将添加部件成本的大约50％，以及增加总尺寸和功率消耗。

[0006] 在通道中出现内部失灵的情况下，该通道通常将以失效安全的方式操作，以激活安全系统，例如以便接合制动器和/或从驱动机构去除功率。增加通道的数量增加了通道失灵的概率，并且因此增加了由于通道失灵而激活安全系统的概率。这可能是不方便的并且降低了系统的可用性。可以引入另外的逻辑来组合多个通道的输出，以便减少这种影响。然而，如上所述，这样的附加逻辑可能是昂贵且空间低效的。

[0029] 图1是电梯系统101的透视图，所述电梯系统101包括电梯轿厢103、配重105、受拉构件107、导轨109、机器111、位置参考系统113和控制器115。电梯轿厢103和配重105通过受拉构件107彼此连接。受拉构件107可包括或被配置为例如绳、钢缆和/或涂层钢带。配重105被配置成平衡电梯轿厢103的负载并且被配置成促进电梯轿厢103在电梯井117内并沿着导轨109相对于配重105同时地并且在相反方向上的移动。

[0030] 受拉构件107接合机器111，所述机器111是电梯系统101的架空（overhead）结构的部分。机器111被配置成控制电梯轿厢103和配重105之间的移动。位置参考系统113可被安装在电梯井117顶部处的固定部分上，例如在支撑物或导轨上，并且该位置参考系统113可被配置成提供与电梯轿厢103在电梯井117内的位置有关的位置信号。在其它实施例中，位置参考系统113可被直接安装到机器111的移动组件，或者可位于如本领域已知的其它位置和/或配置中。位置参考系统113可以是如本领域已知的用于监测电梯轿厢和/或配重的位置的任何装置或机构。例如，在不受限制的情况下，位置参考系统113可以是编码器、传感器或其它系统并且可包括速度感测、绝对位置感测等，如将由本领域技术人员所领会的。

[0031] 如所示的，控制器115位于电梯井117的控制器室121中，并且被配置成控制电梯系统101、并且尤其是电梯轿厢103的操作。例如，控制器115可向机器111提供驱动信号以控制电梯轿厢103的加速、减速、调平、停止等。控制器115还可被配置成从位置参考系统113或任何其它预期的位置参考装置接收位置信号。当在电梯井117内沿导轨109向上或向下移动时，电梯轿厢103可如由控制器115所控制的那样在一个或多个层站125处停止。尽管在控制器室121中示出，但是本领域技术人员将领会，控制器115可位于和/或被配置在电梯系统101内的其它位点或位置中。在一个实施例中，控制器可被远程定位或定位在云中。

[0032] 机器111可包含马达或类似的驱动机构。根据本公开的实施例，机器111被配置成包括电驱动的马达。对于马达的电源可以是任何功率源（包括电网），其（与其它组件结合）被供应给马达。机器111可包括曳引轮，所述曳引轮将力传授给受拉构件107以在电梯井117内移动电梯轿厢103。

[0033] 尽管利用包括受拉构件107的挂绳系统示出和描述，但采用在电梯井内移动电梯轿厢的其它方法和机制的电梯系统可采用本公开的实施例。例如，可在使用线性马达使电梯轿厢运动的无绳电梯系统中采用实施例。还可在使用液压升降机使电梯轿厢运动的无绳电梯系统中采用实施例。图1仅仅是出于说明性和解释性目的而提出的非限制性示例。

[0034] 在其他实施例中，该系统包括在楼层之间和/或沿着单个楼层移动乘客的运输系统。这样的运输系统可以包括自动扶梯，行人运输系统等。因此，本文所描述的实施例不限于诸如图1中所示的电梯系统之类的电梯系统。在一个示例中，本文公开的实施例可以适用于诸如电梯系统101之类的运输系统以及诸如电梯系统101的电梯轿厢103之类的运输系统的运输设备。在另一个示例中，本文公开的实施例可适用于诸如自动扶梯系统之类的输送系统和诸如自动扶梯系统的移动楼梯之类的输送系统的输送设备。

[0035] 图2示出了用于人员运送器的安全控制装置1。在这个示例中，安全控制装置1用于诸如图1中所示的电梯系统101之类的电梯系统，但是将领会，安全控制装置1适于如上所述的任何运输系统。在这个示例中，安全控制装置1可以是电梯安全系统链中的最后节点。

[0036] 安全控制装置1包括第一安全控制通道2，第二安全控制通道4和超驰控制通道6。第一安全控制通道2包括第一微控制器单元（MCU）26，其被配置成响应于指示电梯系统101的一个或多个操作参数的多个输入信号来控制两个安全开关44和52的操作。第二安全控制通道4在操作上与第一安全控制通道2相同并且包括第二MCU28，其被配置成响应于指示电梯系统101的一个或多个操作参数的多个输入信号来控制两个安全开关46和54的操作。相同的输入信号被馈送到第一安全控制通道和第二安全控制通道2和4，由此允许安全控制通道2，4两者独立地确定电梯系统101是否正确操作，并且响应于确定电梯系统101未正确操作而控制相应安全开关44，52和46，54的操作。

[0037] 第一安全控制通道2包括两个输入电平转换器18，第一功率供应电压转换器22，第一MCU26，第一输出电路系统40，以及两个安全开关44和52，在这个示例中它们是金属氧化物半导体场效应晶体管（MOSFET）。第二安全控制通道4包括两个输入电平转换器19，第二功率供应电压转换器23，第二MCU28，第二输出电路系统42和两个安全开关46和54，在这个示例中它们也是MOSFET。超驰控制通道包括功率供应电压转换器24和微处理器30。为相应的安全控制通道2和4提供的输入电平转换器18和19的数目不限于如这个示例中所示的两个，而是可以是取决于提供给安全控制通道2和4的输入信号的数目的任何数目。在这个示例中，第一安全控制通道和第二安全控制通道2和4的MCU 26和28包括144个引脚的MCU，而超驰控制通道6的微处理器30包括14个引脚的微处理器。MCU 26和28以及微处理器30不限于在这个示例中分别为144个引脚和14个引脚，而是可以包括任何合适的尺寸。然而，有利的是，超驰通道6的微处理器30可以比MCU26，28更小并且具有更少的引脚，使得它可以不太昂贵。晶体管44，46，52和54不限于如这个示例中的MOSFET，而是可以包括任何合适类型的晶体管，例如MOSFET，PMOS，NMOS，BJT，NPN，PNP等。

[0038] 功率供应8（例如，来自电力网或来自发电机或电池）经由功率供应输入端9馈送到功率供应电压调节器16，功率供应电压调节器16以合适的电压电平（例如，12V）向两个3.3V电压转换器22和23以及1.8V电压转换器24输出经调节的DC供应电压。3.3V电压转换器22的输出向第一安全控制通道2的MCU 26供应功率，3.3V电压转换器23的输出向第二安全控制通道4的MCU 28供应功率，并且1.8V电压转换器24的输出向超驰控制通道6的微处理器30供应功率。将领会，电压转换器22，23和24不限于分别产生3.3V和1.8V的输出，而是可以包括任何合适的电压转换器，这取决于分别耦合的MCU 26和28以及微处理器30的电压要求，例如5V，3.3V，1.8V等。

[0039] 第一离散输入信号10经由第一输入11被馈送到第一安全控制通道2的输入电平转换器18中的一个和第二安全控制通道4的输入电平转换器19中的一个。第n个离散输入信号12经由第二输入13馈送到第一安全控制通道2的输入电平转换器18中的另一个和第二安全控制通道4的输入电平转换器19中的另一个。

[0040] 在这个示例中，为了简单起见，示出了两个离散输入信号10和12，然而将领会，提供给两个安全控制通道2和4的离散输入信号的数量不限于如在这个示例中示出的两个，而是可以是任何数量，并且安全控制通道2和4中的每个可以包括用于每个输入信号10，12的输入电平转换器18，19。离散输入信号10和12包括由电梯系统101内的传感器——例如温度传感器，加速度计，振动传感器，光传感器，编码器等——输出的模拟信号。

[0041] 输入电平转换器18和19被配置成将离散输入信号10和12转换成可由MCU 26和28接收和分析的工作电压电平。输入电平转换器18的输出中的每个被馈送到第一安全控制通道2的MCU 26的输入引脚，并且输入电平转换器19的输出中的每个被馈送到第二安全控制通道4的MCU 28的输入引脚。输入电平转换器18，19可以是可以将电流输入转换为电压输入的电压变压器，或者它们可以是如所要求的模数转换器或数模转换器。

[0042] 安全控制装置1还包括耦合到CAN总线接口20的控制器局域网络（CAN）总线14，CAN总线接口20又耦合到MCU 26和28。CAN总线14使MCU 26和28能够与电梯系统101（未示出）的其它系统（例如安全节点）的MCU和微处理器通信。数字信号由MCU 26和28通过CAN总线14发送和接收，使得MCU 26和28能够从电梯系统101的其它系统接收信息以及将信息传送到电梯系统101的其它系统。可以通过MCU 26和28经由CAN总线14接收诸如电梯系统101的制动器是否接合，电梯系统101的驱动马达是否接合，电梯的当前位置，速度和/或加速度等信息。这些输入补充离散输入10，12，并且所有输入可以在MCU 26，28内一起处理。

[0043] 第一安全控制通道2的MCU 26被配置成分析离散输入信号10，12和CAN总线信号14，以便确定电梯系统101是否正确地操作，并且因此确定电梯系统101的任何安全机构是否应当被激活，并且根据这个确定将安全控制信号输出到输出电路40。输出电路40被布置成响应于从MCU26接收的安全控制信号而输出两个开关控制信号：第一开关控制信号被提供给第一'安全制动控制'（SBC）MOSFET 44的栅极端子，并且第二开关控制信号被提供给第一'安全扭矩关闭'（STO）MOSFET 52。因此，由输出电路40输出的开关控制信号确定第一SBC MOSFET 44和第一STO MOSFET 52是否允许电流跨它们相应的源极和漏极端子流动。

[0044] 类似地，第二安全控制通道4的MCU28被配置成分析离散输入信号10，12和CAN总线信号14，以便确定电梯系统101是否以与MCU 26相同的方式正确地操作，并且根据这个确定向输出电路42输出安全控制信号。输出电路42被布置成响应于从MCU 28接收的安全控制信号而输出两个开关控制信号：第一开关控制信号被提供给第二SBC MOSFET 46的栅极端子，并且第二开关控制信号被提供给第二STO MOSTFET 54的栅极端子。因此，由输出电路42输出的开关控制信号确定第二SBC MOSFET 46和第二STO MOSFET 54是否允许电流跨它们相应的源极和漏极端子流动。

[0045] MCU 26和28可耦合到（或可包含）包含逻辑指令的存储器（未示出），所述逻辑指令当由MCU 26和28执行时，使MCU 26和28分析输入信号10，12和14，以便确定电梯系统101是否正确运行。

[0046] 输出电路40和42被提供，因为MCU 26和28的工作输出电压范围相对于用来控制SBC和STO MOSFET44，46，52和54所要求的工作电压范围太小。此外，SBC MOSFET 44和46要求与STO MOSFET 52和54不同的工作电压范围。输出电路40和42将MCU 26和28输出的控制信号作为输入（通常在3.3V左右），并输出MOSFET 44，46，52和54的所要求的工作电压范围（例如在48V或600V）内的开关控制信号，从而允许MCU 26和28控制MOSFET 44，46，52和54的操作。

[0047] 第一和第二SBC MOSFET 44和46用于控制电梯系统101的'安全制动控制'安全机构。当SBC MOSFET 44和46都被启用时（即，由相应的输出电路40和42输出的它们的栅极端子处的电压使电流能够跨它们相应的源极和漏极端子流动），允许电流从SBC驱动控制输入48流到制动线圈输出50。SBC驱动控制输入48耦合到电梯系统101的驱动控制系统49的输出，其向SBC驱动控制输入48提供恒定电压供应。

[0048] SBC制动线圈输出50耦合到电梯系统101的制动线圈51。制动线圈51配置成防止电梯系统101的制动器在供应有电流时接合。在这个示例中，电梯系统101的制动器被机械地配置成恒定地施加（例如通过弹簧）制动力，以便减慢和停止电梯轿厢的运动。制动线圈51配置成当向其施加电流时对该机械制动力施加反作用力，由此释放制动器并允许电梯移动。当电流没有被施加到制动线圈51时，反作用力被去除并且电梯制动器因此被接合。

[0049] 第一和第二SBC MOSFET 44和46因此都必须被启用，以便将电流供应给制动线圈51，由此释放电梯系统101的制动并使电梯轿厢能够移动。如果安全控制通道2或4中的一个或两个响应于输入信号10，12或14中的一个或多个而禁用它们相应的SBC MOSFET 44或46，则电梯系统101的制动器被接合，由此停止电梯轿厢的移动，以作为安全预防措施。

[0050] 第一和第二STO MOSFET 52和54用于控制电梯系统101的'安全扭矩关闭'安全机构。当STO MOSFET 52和54都被启用时，允许电流从STO驱动控制输入56流到机器输出58。STO驱动控制输入56耦合到电梯系统101的驱动控制系统57的第二输出，其向STO驱动控制输入56提供恒定电压供应。

[0051] STO机器输出58耦合到电梯系统101的机器111。机器111被配置成仅在其从STO机器输出58接收电流时向电梯系统101施加驱动力或扭矩。当没有从STO机器输出58接收到电流时，防止机器111施加力或扭矩以驱动电梯系统101的运动。在一些示例中，STO机器输出58直接耦合到机器111的功率供应输入。在其他示例中，STO机器输出58耦合到机器111的控制输入。

[0052] 第一和第二STO MOSFET 52和54因此都必须被启用，以便将电流供应给机器111，从而实现通过机器111施加力或扭矩，以便驱动电梯系统101的运动。如果安全控制通道2或4中的一个或两个响应于输入信号10，12或14中的一个或多个而禁用它们相应的STO MOSFET 52或54，则防止机器111驱动电梯系统101的移动。

[0053] 将领会，制动控制安全电路和驱动安全控制电路可以等同地布置成当没有电流分别供应到制动线圈51或机器111时实现电梯系统101的正常操作（即，电路布置成通过将电流供应到系统而不是如先前示例中那样通过阻止电流供应来激活相关联的安全系统）。例如，制动控制安全电路可以被布置成激励线圈51以便响应于安全事件施加制动，并且驱动安全控制安全电路可以被布置成通过向其供应电流来禁用机器111。在这样的情况下，两个开关44和46或52和54可以并联连接而不是串联连接，以便提供所要求的冗余，因为并联开关中的一个或两个的激活将则向相关的安全系统提供电流以便激活它。

[0054] 第一和第二安全控制通道2和4以并行方式操作，其中两个通道的MCU 26和28独立地分析输入信号10，12和14，以便确定电梯系统101是否正确地操作。如果通道2或4中的任一个检测到故障，则其禁用其相关联的SBC MOSFET 44，46和/或STO MOSFET 52，54，从而激活SBC或STO系统中的一个或两个，使电梯停止并防止对系统或电梯轿厢的乘客的进一步损害。安全控制装置1的这两个通道设置增加了系统的可靠性：在安全通道2或4中的一个失灵并且当故障已经发生时基于输入信号10，12和14没有检测到系统中的故障的情况下，很可能另一个安全通道2或4将检测到故障并且激活电梯的安全系统。两个安全通道2和4将同时发生故障并且都不能检测电梯系统101中的故障是非常不可能的。

[0055] 然而，如果安全控制通道2或4中的一个由于例如组件失效，电连接中的故障，MCU逻辑故障等而失灵，则有可能故障通道将去激活其相关联的SBC 或STO MOSFET44，46，52或54中的一个或两个，并在电梯系统101中没有发生故障时激活相关联的安全机构。因此，执行紧急停止，并且存在电梯轿厢的任何乘客将被困住的风险，因为可能导致轿厢在两个楼层之间停顿，其中乘客不可能离梯。此外，任何安全系统的激活都有可能对电梯的任何乘客或电梯本身造成不必要的伤害，这是由于制动器激活或马达去激活造成的急剧减速的结果。因此，提供了超驰控制通道6，以便监测两个安全控制通道2和4的健康，并且如果检测到安全通道2，4中的一个中的内部故障，则暂时超驰它们的输出信号。

[0056] 超驰控制通道6包括微处理器30，其被配置成监测第一安全控制通道和第二安全控制通道2和4的健康，功能和/或操作，以便确定在任一通道中是否发生了故障。微处理器30由1.8V功率供应电压转换器24供电。微处理器30经由串行通信连接33耦合到第一安全控制通道2的MCU 26，并且经由串行通信连接34耦合到第二安全控制通道4的MCU 28。微处理器30与MCU 26和28之间的这种串行连接使得微处理器30能够与MCU 26和28通信。微处理器
30被配置成通过串行通信连接33和34分别向MCU 26和28发送指令，并接收由MCU 26和28提供的响应。微处理器30与MCU 26和28之间的连接33和34并不限于如在这个示例中的串行通信连接，而是可以包括实现在微处理器30与MCU 26和28之间传送和接收指令和信息的任何合适的连接。然而，串行连接可以用单个引脚进行，并且对于这里所要求的通信是足够的。
这允许最小化微处理器30的尺寸和成本。

[0057] 另外，MCU 26和28经由串行通信连接27耦合在一起，从而使两个MCU 26和28能够在彼此之间传送和接收指令和信息。MCU 26和28之间的连接27不限于如在这个示例中的串行通信连接，而是可以包括实现在MCU 26和28之间传送和接收指令和信息的任何合适的连接。该连接27可用于相互健康和状态监测。例如，如果一个MCU 26，28已经检测到需要动作的安全场景，则它可以通知另一个MCU 26，28，从而允许另一个MCU 26，28决定是否也采取动作。

[0058] 第一安全控制通道2的MCU 26经由切断控制线31耦合到超驰控制通道6的功率供应电压转换器24，且第二安全控制通道4的MCU 28经由切断控制线32耦合到超驰控制通道6的功率供应电压转换器24。MCU 26和28因此能够分别使用切断控制线31和32来启用和禁用微处理器30，并因此启用和禁用超驰控制通道6。这在任一MCU 26，28检测超驰通道6中的内部故障的情况下可能是有用的。

[0059] 微处理器30还分别经由超驰线36和38耦合到MCU 26和28的输出。超驰线36和38使微处理器30能够超驰由MCU 26和28输出的安全控制信号。例如，微处理器30可以使用超驰线36，38来'强制'相应MCU 26，28的输出，例如通过将那个线上的电压设置为高。这对输出电路40，42具有相同的效果，就好像相应的MCU 26，28已经输出指示正常操作的高信号。当然将领会，在低信号指示正常操作的示例中，超驰线36，38可以'强制关闭'相应的输出。

[0060] 超驰控制通道6的微处理器30被配置成分别通过到MCU 26和28的串行连接33和34监测第一安全控制通道和第二安全控制通道2和4的健康。微处理器30可以耦合到包含逻辑指令的存储器（未示出），所述逻辑指令当由微处理器30执行时，使微处理器30监测第一安全控制通道和第二安全控制通道2和4的健康。

[0061] 在这个示例中，微处理器30被配置成通过分别通过串行通信连接33和34向MCU 26和28传送使MCU 26和28执行简单任务的指令来监测第一安全控制通道和第二安全控制通道2和4的健康。然后MCU 26和28执行指示的任务并通过串行通信连接33，34将结果返回到微处理器30。然后微处理器30检查该结果，并且如果该结果不正确或者如果没有接收到应答，则微处理器30确定在那个MCU 26，28中已经发生故障。微处理器30还可以被布置成在MCU 26，28的正常处理周期的每个阶段处从MCU 26，28中的每一个接收调试信号。这些调试信号也可以由微处理器30分别通过串行通信连接33和34接收。微处理器30被配置成接收和分析它从MCU 26和28接收的调试信号，以便确定在第一安全控制通道或第二安全控制通道2或4中是否已经发生故障。例如，调试信号的存在和/或定时和/或顺序可用于检查正确的操作。如果没有接收到调试信号，或者以错误的顺序接收到调试信号，或者以不寻常的延迟接收到调试信号，则微处理器30可以确定在相应的MCU26，28中存在故障。微处理器30还可以比较从两个MCU 26，28接收的调试信号的顺序和定时。在正常操作中，两个MCU 26，28应当基本上同步地操作，因为它们在设计上是相同的。因此，落在正常处理变化和抖动之外的任何差异可以指示MCU 26，28中的一个中的故障。

[0062] 为了监测安全控制通道2和4的健康可以从微处理器30传送到MCU 26和28的任务的示例可以包括：对响应的简单请求，对输入中的一个的值（例如离散输入或来自CAN总线14的值）的请求，或待执行的数学计算或待解决的问题。从MCU 26，28接收的调试信号可包括成功读取的离散输入，成功读取的串行输入，成功完成的输入的评估，成功设置的输出等。微处理器30响应于这些任务和/或调试信号来分析安全控制通道2或4中的任一个中是否已发生故障。微处理器30可以基于响应和/或调试信号检查MCU 26和28是否正确地执行计算，程序流是否以正确的顺序执行，指令是否及时执行，输入信号读数是否正确，输出信号读数是否正确等。

[0063] 微处理器30被配置成如果它检测到第一安全控制通道2中的故障，则通过超驰线36暂时传送信号，以便超驰由MCU 26输出的安全控制信号。类似地，微处理器30被配置成如果它检测到第二安全控制通道4中的故障，则通过超驰线38传送信号，以便超驰由MCU 28输出的安全控制信号。这样做时，微处理器30暂时超驰来自MCU 26或28的MOSFET 44和52或46和54的控制，允许微处理器30防止有故障安全控制通道2或4激活SBC或STO安全系统，即，防止紧急停止。一个安全通道的内部故障不足够严重以需要紧急停止，而超驰通道6可以在有故障通道的MOSFET的控制中提供必要的冗余。因此，即使故障检测现在依赖于单个主安全控制通道，该系统在安全控制系统中仍具有双开关冗余。在一些示例中，超驰通道6还可以被布置成通过检测两个主安全控制通道2，4中的故障并强制关闭两个通道2，4上的输出信号以激活紧急停止来提供更高级别的冗余。

[0064] 时间段（在其内微处理器30被配置成超驰MCU26或28的输出的控制）可以是根据系统设计，规章和安全评估的任何适当的值。在一些示例中，微处理器30被配置成分别通过串行通信连接33或34从无故障安全控制通道2或4的MCU 26或28接收指令，该指令指示微处理器30关于有故障安全控制通道2或4的MCU26或28的输出应该被超驰多长时间。在其他示例中，正是微处理器30被配置成确定超驰有故障通道2或4的MCU26或28的输出多长时间。

[0065] 在一些示例中，微处理器30被配置成在不长于一分钟的时间段内使用其自己的指令或从无故障安全控制通道2或4的MCU 26或28接收指令，以超驰有故障安全控制通道2或4的MCU 26或28的输出。在由超驰控制通道6超驰的高达一分钟周期期间在电梯系统101中发生真正故障的风险以及未被无故障安全控制通道2或4检测到的故障的风险极小。无故障安全控制通道2或4在由超驰控制通道6超驰的高达一分钟周期中发生故障的风险也极小。为了比较，安全控制通道2，4的设计寿命通常为大约二十年。

[0066] 微处理器30可以被配置成超驰有故障安全控制通道2或4，直到电梯轿厢已经到达任何乘客可能离梯的最近的层站楼层。微处理器30可以被配置成超驰有故障安全控制通道2或4，直到电梯轿厢已经到达将不需要电梯轿厢过度减速的最近层站，由此避免电梯轿厢的乘客的不适和痛苦。备选地，微处理器30可以被配置成超驰有故障安全控制通道2或4，直到电梯轿厢已经到达由乘客所请求的当前目的地层站楼层。

[0067] 当在第一安全控制通道或第二安全控制通道2或4中检测到故障时，通过暂时超驰第一安全控制通道或第二安全控制通道2或4的MCU 26或28的输出，超驰控制通道6防止电梯系统101的安全系统被不方便地激活，并且当安全考虑不需要它时，从而防止电梯乘客被困住。当在安全控制通道2或4中的一个中检测到故障时，微处理器30可以被配置成将故障通知给无故障安全控制通道2或4，该无故障安全控制通道2或4然后可以经由CAN总线14将故障通知给电梯系统101的其他系统。一旦电梯系统101已经移动到乘客可以离梯的层站，可以防止电梯系统101的进一步使用，直到在有故障安全控制通道2或4上执行维护以校正故障。在一些示例中，所要求的维护可以是有故障安全控制通道2或4的简单复位，或者可能需要更换安全控制板。在要求全部复位的情况下，这可以自动执行，并且系统可以非常快速地恢复操作。这样的复位通常仅在电梯轿厢停止并安全地保持在层站上时执行，并且直到复位成功完成且系统被验证为健康时才恢复操作。利用本文描述的超驰通道6，这样的复位可以在运行中执行，例如当电梯轿厢移动时。这样做，当执行复位时，超驰控制通道接管有故障安全控制通道的控制。复位通常花费1‑2秒，即在其期间故障机会最小的时间段。在这个周期期间，超驰通道保持每个安全系统的两个开关的冗余控制，使得在故障的情况下，两个冗余开关仍将被触发，从而在复位周期期间提供必要的安全回退。这提高了系统的可用性和效率，因为不需要为了执行复位而在层站处停止电梯轿厢。

[0068] 在这个示例中，微处理器30被配置成经由超驰线36和38超驰MCU 26和28的输出。然而，在其它实例中，微处理器30可改为被配置成超驰输出电路40和42的输出。超驰通道6可以具有其自己的输出电路，以便根据需要转换电压。

[0069] MCU 26和28还被配置成分别经由串行通信连接33和34监测超驰控制通道6的健康。如上所述，由MCU 26和28对超驰控制通道6的健康的监测以与由微处理器30对两个安全控制通道2和4的健康的监测大致相同的方式执行。如果MCU 26或28中的任一个检测到超驰控制通道中的故障，则它分别通过切断控制线31或32传送信号，以便禁用功率供应电压转换器24向微处理器30提供功率。结果，当MCU 26或28中的一个检测到其中的故障时，禁用超驰控制通道6。当在超驰控制通道6中检测到故障时，MCU 26和28被配置成例如经由CAN总线14将故障通知给电梯系统101的其他系统。然而，在这个示例中，通过超驰控制通道6中的故障通知并不阻止电梯系统101的使用——而是生成指示超驰控制通道6需要维护的维护报告，并且电梯系统101被配置成继续正常操作。在没有超驰通道6的情况下，剩余的两个安全控制通道4和6提供用于正常操作的正常和接受的冗余水平，尽管在超驰通道6固定之前，在安全控制通道2，4中的任一个中的内部故障的情况下将存在乘客困住的风险。

[0070] 由于超驰控制通道6的功能性的复杂度低，因此微处理器30不需要是强大的。结果，在这个示例中的微处理器30是小的14个引脚微处理器。这使得超驰控制通道6在物理上是小的，最小化了包括超驰控制通道6的成本（因为小的低功率微处理器是廉价的），并且降低了超驰控制通道6的总功耗。

[0071] 安全控制装置1不限于如在这个示例中所示的两个安全控制通道和一个超驰控制通道，而是可以包括任何数量的安全控制通道和超驰控制通道，这取决于电梯系统101的要求。例如，安全控制装置1可以包括三个安全控制通道和单个超驰控制通道，四个安全控制通道和单个超驰控制通道，三个安全控制通道和两个超驰控制通道等。

[0072] 由本领域技术人员将领会，已经通过描述本发明的一个或多个特定示例来说明本发明，但本发明不限于这些实施例；在所附权利要求的范围内，许多变化和修改是可能的。