1.本发明涉及一种包括多个设备的连接系统、一种用于维修需要被维修的连接系统的设备的方法、以及一种用于维修需要被维修的连接系统的设备的计算机程序产品。
背景技术:
2.us 2016/270193 a1示出了一种照明系统。该照明系统包括照明设备和至少一个其他设备。照明设备和至少一个其他设备都包括数据存储、控制器和网络接口。照明设备此外还包括光发射器。当照明设备加电时,其他设备将存储在其数据存储中的验证值传输到照明设备。照明设备评估与存储在其数据存储中的唯一值相关的验证值,以检查照明系统是否知道该照明设备。取决于该评估,控制照明设备在第一或第二操作模式下操作。在入网初始化过程中,其他设备可以接收验证值以存储在其数据存储中。
3.us 2020/211301 a1公开了用于保护车辆中的电子控制单元(ecu)同时允许对ecu进行安全修理的技术。一种修理车辆的方法包括:在车辆上的多个ecu中的任意两个ecu之间的安全通信中禁用消息认证,基于检测到第一ecu上缺少有效安全密钥来检测已经被改变的第一ecu,验证与第一ecu相关联的数字证书是有效证书,生成用于第一ecu和多个ecu中的一组ecu之间的安全通信的一个或多个安全密钥,将一个或多个安全密钥提供给第一ecu和该组ecu,以及在多个ecu中的任意两个ecu之间的安全通信中启用消息认证。
技术实现要素:
4.可以认为本发明的一个目的是提供一种连接系统、一种用于维修连接系统的设备的方法、一种用于维修连接系统的设备的计算机程序产品以及一种计算机可读介质,其允许对连接系统中需要被维修的设备进行改进的维修。
5.在本发明的第一方面中,提出了一种连接系统。连接系统包括多个设备,每个设备被分配了相应的操作权限。每个设备的操作模式取决于其分配的相应操作权限。连接系统被配置为,当需要被维修的设备中的相应一个被维修时,取决于相应设备如何被维修,将更新的操作权限分配给至少相应设备。
6.由于连接系统被配置为当需要被维修的设备中的相应一个被维修时,取决于相应设备如何被维修将更新的操作权限分配给至少相应设备,因此即使当未授权的用户维修需要被维修的相应设备时,也可以确保相应设备的至少有限的功能,同时不损害数据安全性、可信度和/或安全。这允许保护连接系统的安全性和数据可信度。特别地,如果设备需要被维修,并且没有授权的维修人员可以维修该设备,则未授权的用户(例如经验较少的用户)可以维修该设备。在这种情况下,有限的操作权限可以被分配给由未授权用户维修的设备,其操作模式只允许被维修设备的有限功能。在授权的维修人员维修需要被维修的设备的情况下,完全操作权限可以被分配给由授权的维修人员维修的设备,这允许在具有全部功能的操作模式下操作被维修的设备。这可以允许降低由于没有经验的并因此未授权的用户的不合格或次优维修而导致的故障风险。此外,不同级别的操作权限可以反映不同级别的维
修,例如对被维修的设备执行的不同改变。附加地,可以增强连接系统的系统稳定性,因为可以取决于维修连接系统的设备的实体的能力和可信度来分配不同的操作权限。
7.连接系统可以包括或者是无线连接系统,例如连接的照明(cl)系统、建筑管理系统(bms)、连接的加热通风和空调(hvac)系统或者任何其他类型的无线连接系统。连接系统例如也可以连接到bms。这些设备可以是无线连接的设备,例如照明设备、hvac设备、传感器、开关、报警设备、安全设备、安保设备或任何其他类型的无线设备。
8.需要被维修的设备可以是例如功能不正常的设备,例如,不在正常操作的给定容差间隔内操作的设备。需要被维修的设备还可以包括需要定期检查的设备(例如每年检查一次设备),或者因为用户想要对设备进行改变(例如更新过时的软件)而要被维修的设备。需要被维修的设备可能例如损坏,即设备的一个或多个部件可能损坏,例如对于照明设备,照明元件可能不能正常工作或者天线可能损坏,使得与照明设备的数据交换受到限制或者根本不可用。需要被维修的设备也可能基于过时的软件或固件进行操作。这可能损害设备的安全性以防止黑客攻击,并因此需要对设备进行维修,例如通过将设备更新到最新的软件或固件。此外,这可能损害执行安全功能的连接系统的安全,例如在紧急情况下用于指路的紧急照明,因为当设备基于过时的软件或固件操作时,连接系统的性能可能降低。
9.维修相应设备可以例如包括更新软件、更新固件、安装软件、调整设置、复位、重启、修理、检查、验证、授权先前的维修、授权由未授权用户执行的先前的维修和/或改变设备的部件。授权由未授权用户执行的先前维修(例如,修理)可以例如由授权维修人员执行,该授权维修人员检查设备是否已经被未授权用户完全恢复,并且如果设备已经被完全恢复,则授权未授权用户的维修。改变设备的部件可以包括改变例如功能单元,例如设备的传感器。调整设置可以包括调整在设备上运行的算法中的参数。
10.例如,连接系统(例如wifi通信系统)可以至少被配置用于存在检测。由于设备本身的变化,例如组件的老化或wifi信道的变化,或者由于设备所布置在其中的环境的变化,例如更换家具、地毯或墙壁装饰,设备和/或wifi通信系统可能需要维修,以便确保用于存在检测的wifi感测的功能。例如,可以调整wifi通信系统使用的参数,或者可以替换设备上运行的代码的完整部分。由授权用户维修设备可以允许保持连接系统的可信度。
11.安装软件还可以包括向设备添加新特征。例如,可以通过安装相应的软件更新来向设备添加执行wifi感测的功能。软件更新可以包括向运行在设备上的本地算法添加代码。wifi感测可以由设备来执行。替代地,该设备可以仅向服务器(例如,运行在云中的远程服务器)提供传感器数据,该服务器处理传感器数据以执行wifi感测。
12.不同的操作模式可以允许访问和使用设备的不同功能。一些操作模式可能例如在它们的功能性方面受到限制,例如对某些数据或设备的访问,以及如何执行设备的功能。某些操作模式可能仅允许特定的功能,使得功能取决于相应设备是如何被维修的。例如,操作权限可以被分配给设备,使得它只能在“安全模式”下操作,该“安全模式”限于本地交互(例如设备的本地控制),并且该“安全模式”不允许设备的数据与连接到连接系统的服务器交换。例如,这种设备可能无法经由服务器控制,并且可能无法向服务器上传数据。还可以将操作权限分配给设备,使得其功能在传感器特征方面受到限制,例如只能检测占用情况,而不能对人进行计数,因为由设备的传感器生成的数据不完全可信,并且数据的准确性可能不足以进行计数。
13.连接系统还可以被配置用于取决于相应设备如何被维修,将更新的操作权限分配给连接系统的其他设备。例如,一组设备可以执行连接系统的特定功能。如果被维修的相应设备被包括在执行该特定功能的设备组中,则例如该组中的其他设备也可能取决于相应设备如何被维修而受到影响。这可以允许确保由一组设备执行的连接系统的某些功能的功能性和可靠性,即使当一个或可能多个设备由未授权的用户维修时。
14.例如,如果相应设备接收到软件更新,而其他设备没有接收到更新,则与具有更新软件的被维修设备的操作权限相比,其他设备的操作权限可能受到限制。
15.如果该组设备例如在紧急情况下执行射频(rf)感测、检测占用或照亮某个通往安全的出口路径,则连接系统的其他设备(例如该组设备)的操作权限也可能需要在相应设备被维修时被更新。某个通往安全的出口路径可以包括检测某个出口路径是否安全(例如没有火)的传感器,以及用于提供从用户的当前位置到用户最近的安全出口的光路径的照明器。照明器可以以引导人们经由出口路径离开建筑物的方式被激活。例如,如果相应设备由未授权的用户维修,则相应设备的相邻设备可以接管其功能。因此,可以相应地更新相邻设备的操作权限。
16.在相应设备执行rf感测(例如,人数统计(people counting))并且由未授权用户执行维修的情况下,相邻设备可以接管相应设备的功能,例如处理传感器数据、执行rf感测或者报告人数统计。
17.在zigbee网状网络形式的连接系统的情况下,由未授权用户维修的相应设备可能例如仅被允许作为网络中的终端设备、并且不是作为路由节点参与。另一设备(例如单跳距离中的相邻设备)可以充当zigbee代理节点,其被配置为代表相应设备接收数据,并且经由到相应设备的直接连接将数据移交给相应设备。
18.连接系统可以被配置为当相应设备要被维修时,请求对维修相应设备的授权。相应设备可以如何被维修可以取决于对授权请求的响应。这允许限制对设备的访问,例如,如果授权未被准许,则取决于对授权请求的响应,可能根本不能访问该设备进行维修,或者只能维修该设备的有限部件。这可以允许改进连接系统的安全性、安保性和可信度,因为用于维修设备的访问管理是可能的。
19.相应设备可以如何被维修可以包括在被维修时相应设备可以恢复到先前功能的何种程度。例如,维修相应设备可能需要打开设备的外壳或经由连接(例如无线连接或物理连接,诸如连接器或电触点)连接到相应设备。取决于对授权请求的响应,可以限制对设备的某些部件的访问。不同的授权级别可以准许访问设备的不同部件。设备的不同部件可以包括设备的不同硬件和/或不同软件部分。相应设备可以被机械锁定、逻辑锁定、或者机械锁定和逻辑锁定两者。可以基于对授权请求的响应,例如基于维修相应设备的实体的授权级别,来打开锁定。相应设备可以包括例如机械锁定的外壳,用于机械锁定相应设备,使得设备的某些部件不能被打开和访问以对它们进行维修(例如更换部件或修理它们)。相应设备可以例如在相应设备的维修用户接口中被逻辑锁定,用于逻辑锁定相应设备,使得取决于对授权请求的响应,某些维修选项不可用。例如,固件的空中更新(otau)或对在线资源的访问可能取决于对授权请求的响应。对这些维修选项的访问可能被逻辑锁定,并且可能需要某个授权级别来执行维修选项。
20.相应设备可以如何被维修可以取决于相应设备的位置、功能、或者位置和功能两
者。这可以允许改进的维修,其包括改进的操作权限管理。
21.连接系统可以被配置用于当取决于位置、功能、或者位置和功能两者来维修相应设备时,更新需要被维修的相应设备的操作权限。
22.该位置可以包括设备的地理位置,例如,经由诸如全球定位系统(gps)或全球移动通信系统(gsm)的定位系统确定的。地理位置可以用于例如确定位置相关参数,例如温度、白天、或其他位置相关参数。此外,位置还可以用于确定设备位于哪个国家或州。不同的国家和州可能有不同的修理权利法。需要被维修的设备的维修和维修访问可能取决于设备所位于的国家或州的修理权利法。这可以允许设备访问管理和操作权限管理取决于本地修理权利法进行适配。
23.该位置还可以包括例如建筑物内部的位置,例如,该设备可以被布置在楼梯、大厅、逃生路线、入口、出口、安全关键区域或任何其他位置中。设备的位置可能对于安全、安保、或安全和安保两者都是关键的。
24.该功能可以例如包括提供光、指引道路、记录数据、测量、感测、发信号通知、报警或任何其他功能。
25.相应设备可以如何被维修可以取决于相应设备对于操作连接系统是否关键。这可以进一步改进具有对其操作关键的设备的连接系统的操作。
26.对于连接系统的操作关键的设备可以是例如安全关键设备、安保关键设备或与关键商业操作相关联的设备。安全关键设备可以包括例如紧急照明设备,用于在紧急情况或危险时指引离开建筑物的道路。安全关键设备还可以包括例如人数统计设备,用于在紧急情况或危险情况下对已经离开建筑物的人进行计数。这两种功能也可以集成在组合的安全关键设备中。安保关键设备可以是例如设置在建筑物或房屋入口处的报警设备。这些功能也可以被组合在安全和安保关键设备中。
27.例如,在该设备是逃生路线中的照明设备的情况下,其功能是在紧急情况下提供光来指引离开的道路。由于该位置位于逃生路线中,在紧急情况下,提供光可能是安全关键的。这种照明设备需要立即维修,并且等待授权的维修人员变得可用来维修该照明设备可能是不可能的。因此,由未授权用户进行的维修可以确保至少提供光,尽管照明设备的功能或可信度有限。
28.该设备可以是例如用于记录测量数据的传感器设备,所述测量数据例如是温度、湿度、亮度、房间占用或任何其他类型的测量数据。该数据可以用于操作连接系统,例如,在cl系统的情况下,当检测到房间的占用时,照明设备可以由cl系统激活。
29.连接系统可以被配置用于确定当被维修时将哪些操作权限分配给需要被维修的相应设备。确定将哪些操作权限分配给相应设备可以例如基于与分配操作权限相关联的利益和风险的权衡。这可以允许优化连接系统的操作。
30.如果该设备是需要被维修的传感器设备,该传感器设备测量对于连接系统的操作关键的数据,则可能在对于该操作关键的位置,例如,当由未授权的用户维修时,该传感器设备甚至可以被分配完全的操作权限。这可能包括风险,例如设备的不正确网络设置可能对其他地方的连接系统的性能产生负面影响。对由未授权用户维修的设备的完全操作权限的分配可以被临时限制,例如在特定的持续时间内。这可以允许降低与允许由未授权用户维修的设备的完全操作权限相关联的风险。在这种情况下,授权的维修人员可以在特定的
持续时间内维修该设备,以便恢复完全的操作权限,而没有时间限制。
31.连接系统可以包括本地授权设备,用于本地授权相应设备的维修。本地授权设备可以被配置为当相应设备被维修时执行与相应设备的本地授权交互。这可以允许增加连接系统的安全性,因为需要接近想要维修该设备的实体的设备。这可以允许通过远程连接到设备并操纵设备的软件或固件来降低黑客攻击设备的风险。
32.本地授权相应设备的维修可以包括连接系统被配置为仅在本地授权设备接近相应设备的情况下请求授权。在这种情况下,相应设备可以被配置为不允许被维修,除非本地授权设备接近相应设备以便授权维修。本地授权设备可以被配置为当相应设备被维修时,在本地与相应设备连接。本地授权设备可以例如无线地或通过电触点连接到相应设备。本地授权设备可以包括例如启用近场通信(nfc)的卡或nfc授权设备。本地授权设备也可以是蜂窝电话,例如使用短程通信,诸如用于本地授权交互的蓝牙通信或zigbee通信。本地授权交互可以包括例如与本地授权设备的用户接口交互,例如当本地授权设备接近需要被维修的设备时按下按钮。本地授权交互可以包括,例如,从本地授权设备向需要被维修的设备提供访问码,并且由需要被维修的设备基于访问码(例如基于校验和测试)本地确定访问权限。
33.连接系统可以被配置用于在两步过程中授权对相应设备的维修,该两步过程包括基于服务器的授权和本地授权交互。这可以允许改进连接系统的安全性。
34.连接系统可以包括服务器。替代地,连接系统也可以连接到服务器。该服务器可以是本地服务器,例如连接系统的同一建筑物内的服务器,或者是远程服务器,例如经由互联网连接到需要被维修的设备的基于云的服务器。基于服务器的授权可以包括从设备或本地授权设备向服务器发送正在用设备授权的实体的响应。服务器可以被配置用于确定实体可以被准许访问需要被维修的设备的程度。替代地或附加地,服务器可以被配置用于取决于实体的响应,当需要被维修的设备被维修时,确定要分配给该设备的更新的操作权限。服务器可以包括包含设备操作权限的数据库和/或另一个数据库,该另一个数据库可以取决于实体的响应包含访问权限。
35.本地授权交互可以在基于服务器的授权之前执行、之后执行或与之并行执行。在基于服务器的授权之后执行本地授权交互的情况下,它可以例如通过与本地授权设备的用户接口交互(诸如按下按钮)来执行。在基于服务器的授权之前执行本地授权交互的情况下,本地授权交互可以例如导致有限的操作权限被分配给正被维修的相应设备。在设备维修期间服务器连接不可用的情况下,这可能是有益的。在这种情况下,例如,只有在执行基于服务器的授权之后,全部操作权限才可以被分配给被维修的设备。例如,维修人员的蜂窝电话形式的本地授权设备在维修需要被维修的设备期间可能不具有基于服务器的授权所需的服务器连接。在这种情况下,维修人员可以仅基于本地授权交互来维修该设备,例如,仅具有有限的授权并且具有分配给该设备的有限的操作权限。一旦重新获得服务器连接,例如,在维修人员离开设备之后,基于服务器的授权被执行,并且被维修的设备的操作权限可以被相应地更新。
36.更新的操作权限可以取决于维修相应设备的实体的授权级别。这可以允许改进连接系统的安全性、安保性和可信度。
37.该实体可以是例如维修人员,诸如人或机器人。该实体例如也可以是该设备的任
何用户。
38.连接系统可以被配置用于存储实体的授权级别。操作权限可以取决于实体的授权级别。例如,当设备由具有有限授权级别的用户维修时,可以向该设备分配有限的操作权限。例如,当设备由具有完全授权级别的实体维修时,可以将完全操作权限分配给被维修的设备。例如,最初由没有完全授权级别的用户(例如,未授权的用户)维修的设备可以稍后由具有完全授权级别的维修人员(例如,授权的维修人员)维修。授权的维修人员可以执行附加的维修(例如修理),或者简单地验证由未授权的用户执行的维修(例如修理)。
39.连接系统还可以包括存储连接系统的设备的操作权限的数据库。连接系统可以被配置为,当需要被维修的相应设备被维修时,在数据库中存储至少相应设备的更新的操作权限。
40.数据库可以是中央数据库或分布式数据库。例如,数据库可以布置在连接系统的服务器处。连接系统还可以包括一个或多个数据库。
41.连接系统可以被配置用于在数据库中存储为维修相应设备而执行的对相应设备的改变。这可以允许连接系统的改进的维护管理。
42.更新的操作权限可以取决于为维修相应设备而执行的对相应设备的改变。这可以允许进一步改进连接系统的可信度、安全性和安保性,因为当向被维修的设备分配更新的操作权限时,可以考虑与某个改变相关联的风险。
43.为维修相应设备而执行的改变可以与何时执行改变的日期一起存储。
44.该数据库可以存储维修历史,包括设备如何以及何时被维修。维修历史可以包括例如对连接系统的设备执行的改变以及何时执行改变的日期。维修历史还可以包括例如实体何时访问设备而不对设备执行任何改变。此外,维修历史可以包括例如访问和/或维修设备的实体的授权级别。相应设备的更新的操作权限也可以取决于其维修历史。这允许考虑用于向设备分配操作权限的其他因素,例如,设备的部件有多旧以及设备或设备部件的相关联的故障风险。
45.被维修设备的功能可以取决于为维修相应设备而执行的对相应设备的改变。这可以允许不同级别的功能来反映被维修的设备的不同级别的改变。
46.相应设备可以被配置用于取决于相应设备是如何被维修的来发信号通知指示其操作权限的状态信息。这可以允许通知和警告本地用户关于被维修的设备的操作模式。此外,可以确保制造商或服务提供商接收关于设备维修的状态信息,以便决定是否有必要派遣授权的维修人员来维修设备。
47.相应设备可以被配置用于在本地为相应设备附近的用户发信号通知状态信息,向连接系统可以连接到的服务器发信号通知状态信息,或者被配置用于既在本地为相应设备附近的用户发信号通知状态信息又向连接系统可以连接到的服务器发信号通知状态信息。
48.服务器可以是远程服务器,例如制造商或服务提供商的服务器。这允许制造商或服务提供商对相应设备提供的状态信息做出反应。相应设备可以被配置用于向服务器发信号通知状态信息,以便在被维修的设备被未授权的用户维修的情况下,使服务器指令授权的实体来维修被维修的设备。在这种情况下,例如,相应设备需要由授权的实体来检查,以便恢复完全的操作权限。
49.相应设备可以被配置为例如在设备加电期间,例如通过诸如闪烁或脉动的声学或
光学状态信号,向附近的用户发信号通知状态信息。状态信号可以向附近的用户指示被维修的设备的有限功能,并且可以用作警告。
50.连接系统可以被配置用于取决于相应设备如何被维修,提供关于当需要被维修的相应设备被维修时的结果的信息,例如当需要被维修的相应设备被未授权的实体维修时。例如,连接系统可以在显示器上显示关于结果的信息。关于结果的信息可以包括,例如,解除工厂保修的协议,或者如果由未授权的实体执行维修,则相应设备将仅具有有限功能的警告。这可以允许在用户执行维修之前向他们提供可以如何限制设备操作的信息。
51.需要被维修的相应设备可以如何被维修可以取决于授权合同。授权合同可以包括随时间(例如定期)改变的授权码。可能需要更新授权合同以保持对维修相应设备的授权。
52.在本发明的另一方面中,提出了一种用于维修需要被维修的相应设备的方法。相应设备被包括在连接系统中,该连接系统包括多个设备,每个设备被分配了相应的操作权限。每个设备的操作模式取决于其分配的相应操作权限。该方法包括以下步骤:-当需要被维修的设备中的相应一个被维修时,取决于相应设备如何被维修,将更新的操作权限分配给至少相应设备。这允许类似于关于连接系统所描述的优点。
53.该方法可以进一步包括以下步骤中的一个或多个:-检测相应设备何时需要维修,-当相应设备需要维修时发信号通知,-当实体开始维修相应设备时,从该实体请求维修相应设备的授权,-基于接收到的对授权请求的响应,检查实体的授权级别,-当实体通过对相应设备执行改变来维修相应设备时,基于实体的授权级别,基于为维修相应设备而执行的对相应设备的改变,或者基于实体的授权级别和为维修相应设备而执行的对相应设备的改变两者,更新至少相应设备的操作权限,-存储至少相应设备的更新的操作权限,-存储为维修相应设备而执行的对相应设备的改变,-取决于相应设备是如何被维修的,发信号通知指示其操作权限的相应设备的状态信息。
54.连接系统可以包括存储系统的设备的操作权限的数据库。该方法此外还可以包括以下步骤:-当需要被维修的设备中的相应一个被维修时,取决于相应设备如何被维修,在数据库中存储相应设备的更新的操作权限。
55.相应设备的更新的操作权限、为维修相应设备而执行的对相应设备的改变、或者相应设备的更新的操作权限和为维修相应设备而执行的对相应设备的改变两者可以例如存储在数据库(例如连接系统的数据库)中。
56.可以基于实体的授权级别将修理权利分配给实体。实体的授权级别可以取决于或对应于实体的认证级别。
57.开始相应设备的维修可以包括例如打开相应设备的外壳或者例如经由无线连接或经由物理连接(诸如经由本地服务端口)连接到相应设备。
58.在本发明的另一方面中,提出了一种用于维修需要被维修的相应设备的计算机程序产品。相应设备包含在连接系统中。该计算机程序产品包括程序代码装置,当该计算机程
序产品在处理器上运行时,该程序代码装置用于使处理器执行权利要求12中限定的方法或该方法的任何实施例。
59.在另一方面中,提出了一种已经存储了权利要求14的计算机程序产品的计算机可读介质。替代地或附加地,计算机可读介质可以使根据计算机程序产品的任何实施例的计算机程序产品被存储。
60.应当理解,权利要求1的连接系统、权利要求12的方法、权利要求14的计算机程序产品和权利要求15的计算机可读介质具有类似和/或相同的优选实施例,特别是如从属权利要求中所限定的。
61.应当理解,本发明的优选实施例也可以是从属权利要求或上述实施例与各自独立权利要求的任何组合。
62.参考下文描述的实施例,本发明的这些和其他方面将是清楚的并得到阐述。
附图说明
63.在下列附图中:图1示意性和示例性地示出了包括需要被维修的设备的连接系统的实施例;图2示出了用于维修连接系统的设备的方法的第一实施例的示意流程图;图3示出了用于维修连接系统的设备的方法的第二实施例的示意流程图。
具体实施方式
64.图1示意性和示例性地示出了cl系统100形式的连接系统的实施例。在该实施例中,cl系统100安装在建筑物的逃生路线中(未示出)。修理权利法可能要求连接系统(例如cl系统100)即使对于没有受过良好训练的人也需要可修理。在该实施例中,cl系统100是安全关键系统,因为它被布置在逃生路线中,用于在紧急情况期间指引离开建筑物的道路。因此,当cl系统100的设备需要被维修时,例如,如果它们损坏并需要被修理或更换它们的部件,则尽可能快地维修它们是重要的。一些设备可以进一步包括超照明安全关键组件,例如人数统计,其也可以用于建筑物的疏散。
65.现代照明系统越来越互联和智能。由于未受过训练的人维修cl系统100,例如对设备进行改变,诸如更换损坏的部件,这增加了故障的风险。由未授权的人员进行维修可能导致系统故障以及不稳定或不可靠的行为。
66.然而,用于连接系统(例如cl系统100)的授权维修人员可能是缺乏的和/或位于远离具有需要被维修的连接系统的设备的建筑物。因此,如果设备实现关键的照明功能或容纳关键的超照明功能,则在设备开始不正常工作并需要维修后,在相当量的时间内,例如在24小时内,可能没有授权的维修人员可用。
67.cl系统100允许需要被维修的设备的紧急维修首先由未经训练和未授权的用户执行,同时保护cl系统100的安保性和数据可信度,直到完全授权的实体(例如维修人员)访问建筑物以检查和授权由未授权的用户执行的维修或执行进一步的维修,以便恢复设备的全部功能。
68.cl系统100包括照明器10、传感器10'和本地控制开关10''形式的多个设备。此外,cl系统100包括本地服务器12和本地授权设备14。cl系统100可以用于改进对照明器10、传
感器10'和本地控制开关10''的维修。在该实施例中,照明器10、传感器10'和本地控制开关10''是无线连接的设备。
69.维修人员400形式的实体携带本地授权设备14,并且靠近照明器10、传感器10'和本地控制开关10''。在其他实施例中,本地授权设备可以是维修人员的蜂窝电话。例如,该实体也可以是自治系统,如用于维修设备的维修机器人。
70.cl系统100连接到服务提供商的远程服务器500。在其他实施例中,远程服务器可以是例如远程服务器,诸如连接系统或设备的制造商的基于云的服务器。
71.设备10、10'和10''中的每一个以及本地服务器12和远程服务器500都包括处理器16、收发器单元18、和存储器20形式的计算机可读介质。
72.处理器16被配置用于处理数据,例如执行计算、处理控制信号、生成信号或执行任何其他处理步骤。
73.收发器单元18包括收发器和天线阵列。在该实施例中,收发器单元18支持蓝牙低能量(ble)形式的nfc。在其他实施例中,收发器单元还可以支持例如zigbee或任何其他短程通信协议。此外,收发器单元18支持wifi。远程服务器500经由互联网连接到连接系统100的本地服务器12。
74.在其他实施例中,设备和服务器的收发器单元也可以不同,例如从而支持不同的通信协议。
75.存储器20包括数据库22。存储器20附加地存储计算机程序产品,例如,用于维修需要被维修的设备的计算机程序产品,其包括在连接系统中。该计算机程序产品包括程序代码装置,当该计算机程序产品在任何处理器16上运行时,该程序代码装置用于使任何处理器16执行用于维修需要被维修的设备的方法,例如,如参考图2和图3所描述的。
76.照明器10附加地包括用于提供光的照明元件24。
77.传感器10'附加地包括用于检测和对人进行计数的占用传感器26。传感器10'可以向本地服务器12和照明器10提供由其占用传感器26生成的占用信息。如果在布置有传感器10'和照明器10的逃生路线中检测到人,则可以基于占用信息来激活照明器10。
78.本地控制开关10''包括用户接口28,用户可以与该用户接口28交互以产生控制信号,例如用于激活或停用照明器10的控制信号。控制信号可以经由它们的收发器单元18从本地控制开关10''传输到照明器10和本地服务器12,以便控制照明器10,例如激活或停用它。
79.相应的操作权限被分配给设备10、10'和10''中的每一个。在该实施例中,分配给设备10、10'和10''的操作权限存储在数据库22中。设备10、10'和10''中的每一个的操作模式取决于其分配的相应操作权限。
80.当设备10、10'和10''被维修时,取决于它们如何被维修,相应的更新的操作权限被分配给它们。它们如何被维修包括例如维修该设备的维修人员的授权级别以及为了维修该设备而对该设备执行的改变。被维修设备的相应的更新的操作权限以及维修人员的授权级别和为维修它而对设备执行的改变被存储在数据库22中。
81.例如,当传感器10'的占用传感器26被未授权的用户替换时,分配给传感器10'的更新的操作权限可以限制传感器10'的功能。特别地,由占用传感器26生成的占用信息的可信度可能是有限的。因此,当照明器10被布置在逃生路线中时,当传感器10'检测到逃生路
线中没有占用时,它可能不被允许完全关闭其照明元件24,而仅被切换到某个亮度水平,例如20%。另一方面,如果传感器10'由授权的维修人员进行维修,则分配给它的更新的操作权限允许以全部功能进行操作,并且它的占用信息是可信的。在这种情况下,在传感器10'检测到逃生路线中没有占用时,照明器10可以完全关闭其照明元件24。
82.在这个实施例中,当设备10、10'和10''要被维修时,它们附加地请求对它们进行维修的授权。在其他实施例中,访问设备以对其进行维修可能不需要授权。授权请求被传输到本地授权设备14。本地授权设备14执行本地授权交互,以便授权维修。在该实施例中,本地授权设备14提供访问码,使用校验和测试在要被维修的设备中检查该访问码。在其他实施例中,可以执行其他授权方法,例如包括基于服务器的授权和本地授权交互的两步过程。
83.取决于对授权请求的响应,可以限制对设备10、10'和10''的访问。设备的哪些部件可以被维修取决于维修人员400的授权级别。设备10、10'和10''被逻辑锁定,并且包括机械锁定的外壳,以便在维修人员400没有足够的授权级别的情况下限制对设备10、10'和10''的访问。逻辑锁定和机械锁定外壳是可选的。
84.对设备10、10'和10''的访问以及当它们被维修时分配给它们的更新的操作权限可以取决于被维修设备的位置、功能、或者位置和功能两者。它们尤其可以取决于被维修的设备对于操作cl系统100是否是关键的,例如,安全关键的、安保关键的、与关键商业操作相关联的、或者它们的组合。在该实施例中,照明器10和占用传感器10'对于操作cl系统100是关键的,因为它们的正确操作确保了逃生路线可以被安全地使用。如果照明器10和占用传感器10'正常工作,则本地控制开关10''不是安全关键的。为了确保安全关键设备总是可以运行的,通常也准许未授权的用户访问以对其进行维修。
85.设备10、10'和10''向本地服务器12和远程服务器500发信号通知指示其操作权限的状态信息。本地服务器12和远程服务器500可以使用状态信息来决定授权的维修人员是否需要维修或授权维修设备10、10'和10''。照明器10附加地在本地为照明器10附近的用户发信号通知状态信息。因此,照明器10的照明元件24以特定的模式脉动一定的持续时间,以便在其被激活时指示其操作。该模式取决于操作权限。这允许警告附近的用户,例如在照明器10没有以全部功能运行的情况下。
86.在连接系统的其他实施例中,连接系统的行为退化可以取决于安装连接系统的国家或州的法律要求来编程。例如,加州的修理权利法可能与德州不同。因此,在德州,只有授权的维修人员可以被准许访问连接系统的设备,而在加州,未授权的用户也可以被准许访问以按照法律要求它的来维修设备。然而,分配给该设备的更新的操作权限可能取决于维修连接系统的设备的维修人员的授权级别。例如,当由未授权的用户维修时,只有核心照明功能(例如,建筑规范所要求的照明控制性能)的操作权限可以被分配给cl系统的设备。
87.在又一个实施例中,维修状态变量可以在常数存储器空间中提供。维修状态变量可以取决于维修设备的维修人员的授权和为维修设备而执行的改变,对设备执行的未授权维修进行计数。某些更改可能不会增加维修状态变量的计数。设备的可信状态可能取决于维修状态变量的计数。如果由未授权用户执行的先前维修被授权维修人员授权,则维修状态变量的计数可以被重置。对于每个设备功能,通过将维修状态变量与设备功能相关阈值进行比较,可以在更新操作权限的算法中将对维修错误的敏感度作为因素。因此,当第一维修由未授权用户执行时,非常敏感的设备功能(例如,与电费账单或电力计量相关的功能)
可能受到限制。在进一步的实施例中,可以为不同的设备功能提供不同的维修状态变量,从而允许精细粒度的维修历史和分配可信状态。
88.维修状态变量可以由本地服务器或远程服务器监控。维修状态变量可以在每个系统组件中单独分配。系统组件可以包括设备和模块。模块包括一个或多个设备,所述一个或多个设备例如执行连接系统的某个功能,如提供光、环境感知感测、向诸如非照明传感器的其他设备或诸如hvac设备的其他建筑系统组件提供电力和/或连接、等等。对设备、模块或连接系统的所有维修状态变量求和提供了该设备、模块或连接系统的行为的可信度的指示。例如,如果照明器也用于rf感测,则照明器的无线电方向会影响人数统计。例如,如果无线暗灯槽照明器被安装成其无线电位于照明器面向房间内部的一侧,则它可以可靠地检测占用。然而,如果旋转照明器使得无线电面向墙壁,则占用检测性能可能仍然是可接受的,但是对人进行计数可能是不可信的,因为相邻房间中的人可能被错误地计数,并因此房间中的活动水平可能被高估。未授权的用户可能不知道将照明器布置在正确的方向上以允许正确的人数统计。然而,授权的维修人员很好地知道这些细节,并且会将照明器安装在最佳方向中以用于人数统计。
89.在另一个实施例中,对设备的访问可能受到机械锁定的外壳的限制。例如,可能需要在本地服务器附近执行本地授权动作,以便访问连接系统的设备。特别地,可能需要按下本地服务器上的按钮,以便访问连接系统的设备来对其进行维修。本地服务器可能被锁在it房中,并且在用户下班后可能无法访问。这使得用户不可能按下本地服务器上的按钮来授权维修。还可以通过逻辑锁定设备来限制对设备的访问,例如锁定维修用户接口中用于维修设备的某些功能(诸如更新软件或固件或重置设备)。
90.维修人员的每次访问都可以被记录并存储在设备、本地服务器或远程服务器的数据库中。这可以被用作维修历史,以便确定设备的可信度。当更新设备的操作权限时,也可以考虑维修历史。
91.在又一个实施例中,仅当维修人员同意退回到可信状态或工厂保修时,才允许维修,例如为维修设备而执行的某个改变。
92.在另一个实施例中,用于执行固件otau的访问只能由授权的维修人员发起。例如,如果设备的替换部件已经在批发商的仓库中库存了一段时间,并且因此具有过时的固件版本,则未授权的用户可能不被允许升级其固件。因此,暂且只有旧固件版本的有限特征集可以是可用的。
93.维修人员的授权也可以直接打开对未授权用户不可用的在线资源的访问。
94.图2示出了用于维修连接系统的设备的方法的第一实施例的示意流程图。连接系统例如可以是参照图1描述的cl系统100。该设备被包括在包括多个设备的连接系统中,每个设备被分配了相应的操作权限。每个设备的操作模式取决于其分配的相应操作权限。
95.在步骤202中,检测设备何时需要维修。
96.在步骤204中,当设备需要被维修时,它被发信号通知。
97.在步骤206中,当实体开始维修该设备时,从该实体请求维修该设备的授权。
98.在步骤208中,基于接收到的对授权请求的响应,检查实体的授权级别。
99.例如,当实体通过对相应设备执行改变来维修相应设备时,可以执行步骤210。在步骤210中,基于实体的授权级别,基于为维修相应设备而执行的对相应设备的改变,或者
基于实体的授权级别和为维修相应设备而执行的对相应设备的改变两者,更新相应设备的操作权限。在其他实施例中,连接系统的其他设备的操作权限也可以被更新。
100.当需要被维修的设备被维修时,执行步骤212。在步骤212中,更新的操作权限被分配给被维修的设备。因此,更新的操作权限取决于相应设备如何被维修。在其他实施例中,其他设备的更新的操作权限也可以被分配给其他设备。
101.在步骤214中,存储相应设备的更新的操作权限。在其他实施例中,可以存储其他设备的更新的操作权限。
102.在步骤216中,存储为维修相应设备而执行的对相应设备的改变。
103.在步骤218中,取决于相应设备如何被维修,相应设备的指示其操作权限的状态信息被发信号通知。
104.图3示出了用于维修连接系统的设备的方法的第二实施例的示意流程图。连接系统例如可以是参照图1描述的cl系统100。
105.在步骤900中,检测设备是否需要被维修。在该实施例中,cl系统的传感器检测设备的部件是否正常工作。传感器定期向连接系统的控制单元发送状态信息,该控制单元检测设备是否需要被维修。如果没有检测到需要被维修的设备,则重复步骤900。如果检测到需要被维修的设备,则执行步骤902。只要没有设备需要被维修,就执行步骤900。
106.在步骤902中,检测何时开始对需要被维修的设备进行维修。在该实施例中,检测设备的外壳是否被打开和/或本地授权设备是否例如经由本地服务端口连接到该设备。在该实施例中,本地授权设备以启用nfc的卡的形式存在,该卡用于无线连接到需要被维修的设备。需要被维修的设备的外壳可以被机械锁定,并且设备的用户接口可以被逻辑锁定。如果没有检测到需要被维修的设备的维修开始,则重复步骤902。只要没有检测到维修的开始,就重复步骤902。如果检测到需要被维修的设备的维修开始,则执行步骤904。
107.在步骤904中,从维修该设备的维修人员请求对需要被维修的设备进行维修的授权。为了在非常特殊的状况下(例如在危险事件之后或者没有到远程授权服务器的任何连接)允许快速维修,访问码可以被用于本地授权维修人员。可以例如使用校验和测试来本地检查访问码的有效性。
108.在其他实施例中,可能需要具有本地授权交互和基于服务器的授权的两步授权来授权对设备的维修。访问码可能容易泄露,并且可能被认为不太安全。为了改进提高安全性,只有当重新建立到远程授权服务器的连接并且远程服务器可以授权维修时,才可以提供完全授权。远程授权服务器可以包括授权维修人员的目录。维修人员的授权可以用目录进行检查,以确保授权。
109.在又其他实施例中,两步授权可以包括基于服务器的授权,其形式为检查维修人员的授权级别,并且本地授权动作可以包括与需要被维修的设备进行本地交互(例如按下按钮),以便确保维修人员接近需要被维修的设备。
110.在步骤906中,基于维修人员对授权请求的响应,检查维修人员的授权级别。在这个实施例中,维修人员提供他的访问码。在这个实施例中,只有两个授权级别,即授权和未授权。授权的授权级别准许对设备的完全访问权,并且当设备被维修时,可以将完全操作权分配给设备。如果维修人员是经授权的维修人员,则它可以在步骤909中执行其对设备的维修。
111.在该实施例中,未授权的授权级别也准许对设备的完全访问权。但是当设备由未授权的用户维修时,只能将有限的操作权限分配给该设备。如果维修人员是未授权用户,则执行步骤908。
112.在其他实施例中,也可以取决于授权级别来限制对设备的访问。替代地或附加地,可以使用不同的授权级别,例如,以便允许维修人员之间的改进的区分。
113.在步骤908中,为当前正在执行的维修向需要被维修的设备设置不可信状态。因此,当维修结束时,只能分配有限的操作权限。在步骤908之后或与步骤908并行,执行步骤909。
114.在步骤909中,维修人员执行其对设备的维修,例如,修理设备、改变设备的部件、安装软件、更新软件、更新固件、重置设备、或者对需要被维修的设备的任何其他维修。例如,可以更换损坏的传感器。一旦完成,就执行步骤910。
115.在步骤910中,对设备执行的用于维修它的改变被记录并存储在设备中。在其他实施例中,对设备执行的用于维修它的改变可以存储在例如连接系统的数据库中和/或远程服务器的数据库中。此外,存储了哪个维修人员维修了该设备以及维修的日期。该信息允许确定设备是如何被维修的。在存储之后或与存储并行,执行步骤912。
116.在步骤912中,取决于对设备执行的改变以及维修是否在不可信状态下执行,将更新的操作权限分配给设备。在其他实施例中,可以分配更新的操作权限,包括与设备是如何被维修的相关的任何其他信息。在该实施例中,更新的操作权限由算法确定,该算法使用对设备执行的改变以及维修是否在不可信状态下执行作为输入。在其他实施例中,用于确定更新的操作权限的算法可以包括与设备是如何被维修的相关的任何其他信息,以便确定更新的操作权限。
117.在该实施例中,如果未授权的用户维修该设备,则通常将有限的更新操作权限分配给该设备。与有限操作权限相关联的设备功能的限制取决于对维修该设备已经执行了什么改变。例如,如果设备的电源被新的电源替换,则出于电费账单的目的,由设备执行的公用事业(utility)电力计量功能可能被禁用或不被信任。如果该设备例如是基于照明器的无线传感器,并且诸如传感器单元的其他功能单元保持不变,则可以实现传感器单元的完整数据报告。设备的有限功能也可能导致整个连接系统的有限功能。
118.在其他实施例中,维修通知可以被发布给远程服务器(例如基于云的服务器),从而提供指示为维修该设备而执行的改变和维修该设备的维修人员的状态信息。如果设备和/或连接系统的功能受限,则该信息也可以发信号通知远程服务器。远程服务器可以相应地使授权的维修人员维修该设备,以便恢复该设备和/或连接系统的全部功能。
119.更新的操作权限和/或对设备的访问也可以取决于需要被维修的设备的位置。例如,未授权的用户可能在逃生路线中用照明器替换电池供电的独立占用传感器。因此,传感器提供的数据可能不可信。由于缺乏可信的数据,处于应急状态的照明器在空置期间可能不会关闭照明。取而代之的是,照明器可以在降低的照明水平(例如20%的亮度)下操作。一旦授权的维修人员已经访问了逃生路线并检查和授权了占用传感器的替换,由传感器提供的数据就可以再次被信任,并且照明器可以在空置期间关闭。
120.在该方法的实施例中,工厂维修可以允许由未授权用户维修的设备重新获得可信状态或工厂保修。
121.在该方法的另一个实施例中,授权合同可以提供用于本地授权维修该设备的访问码。访问码可能定期改变。为了保持授权,可能需要签署授权合同。授权合同可以包括授权维修人员对在线资源和培训材料的访问权。例如,授权合同可以与维修人员的认证程序相结合。在这种情况下,维修人员的授权级别可能取决于认证程序是否在预定时限内执行。
122.虽然在附图和前面的描述中已经详细说明和描述了本发明,但是这种说明和描述被认为是说明性的或示例性的,并且不是限制性的;本发明不限于所公开的实施例。例如,可以在一个实施例中操作本发明,在该实施例中,可以维修包括不同联网系统(例如照明系统、安全系统、hvac系统和其他联网系统)的连接系统。连接系统可以由例如云连接的bms控制。
123.通过研究附图、公开内容和所附权利要求,本领域技术人员在实践所要求保护的发明时可以理解和实现所公开实施例的其他变型。
124.在权利要求中,词语“包括”不排除其他元件或步骤,并且不定冠词“一”或“一个”不排除多个。
125.单个单元、处理器或设备可以实现权利要求中列举的几个项目的功能。在相互不同的从属权利要求中引用某些措施的纯粹事实不表示这些措施的组合不能被有利地使用。
126.由一个或几个单元或设备执行的操作可以由任何其他数量的单元或设备来执行,这些操作如:当需要被维修的设备中的相应一个被维修时,取决于相应设备如何被维修,将更新的操作权限分配给相应设备;检测相应设备何时需要被维修;当相应设备需要被维修时发信号通知;当实体开始维修相应设备时,从该实体请求维修相应设备的授权;基于接收到的对授权请求的响应检查实体的授权级别;当实体通过对相应设备执行改变来维修相应设备时,基于实体的授权级别,基于为维修相应设备而执行的对相应设备的改变,或者基于实体的授权级别和为维修相应设备而执行的对相应设备的改变两者,更新相应设备的操作权限;存储相应设备的更新的操作权限;存储为维修相应设备而执行的对相应设备的改变;取决于相应设备如何被维修来发信号通知指示其操作权限的相应设备的状态信息;等等。这些操作和/或方法可以实现为计算机程序的程序代码装置和/或专用硬件。
127.计算机程序产品可以存储/分布在合适的介质上,例如光学存储介质或固态介质,与其他硬件一起提供或作为其他硬件的一部分提供;但是也可以以其他形式分布,例如经由因特网、以太网或者其他有线或无线电信系统。
128.权利要求中的任何附图标记不应被解释为限制范围。
129.本发明涉及维修需要被维修的设备。这些设备包含在连接系统中。相应操作权限被分配给每个设备。每个设备的操作模式取决于其分配的相应操作权限。当需要被维修的相应设备被维修时,取决于相应设备如何被维修,相应设备的更新的操作权限被分配给相应设备。用于维修设备的对设备的访问可能取决于授权。如果未授权的用户维修设备,则被维修设备的功能可能受到限制。