要满足可应用的安全标准,也可以使用多个、冗 余的通信链路(未示出)以通信联络方式将逻辑解算器52连接到控制器16和/或应用程 序站20上。也应当认识到,尽管在图2中将逻辑解算器52展示为物理上依赖于控制器16, 然而可能想要或需要(例如,为了满足某些安全标准)确保连接到逻辑解算器52的电源线 和连接器、通信链路等,与控制器16所用的电源线和连接器、通信链路等分离开,或者功能 上独立于控制器16所用的电源线和连接器、通信链路等。更进一步地,尽管逻辑解算器52 和控制器16被展示为物理上分离的,但是逻辑解算器52和控制器16也可以是物理上集成 一体的。
[0045] 更进一步地,尽管示例的安全写入服务器102被展示为集成或驻留在应用程序站 20上,但是作为替代,安全写入服务器102也可以包含于另一设备或系统之内,例如另一应 用程序站。在这种情况下,安全写入服务器102能够通过一个或多个分离的符合安全的通 信链路,以通信联络方式连接到应用程序站20上。
[0046] 图3是描绘可以由应用程序站20(图2)用来改变逻辑解决器52(图2)中的安全 参数(例如,与安全装备式功能相关联的参数)的示例方法300的流程图。更具体地说,示 例的方法300能够使可由应用程序站20执行的应用程序100(图2)中的一个改变与由逻 辑解算器52执行的安全装备式功能相关联的安全参数。例如,正在与配置或运行期间应用 程序进行交互作用的系统操作员或经授权的用户,可能想要(或者被要求)改变安全参数 以便获得所需的安全条件或等级,验证安全相关部件或设备(例如,比如安全阀的末端控 制单元的可操作性)的操作,测试一个或多个安全装备式功能的操作,等等。
[0047] 如以下结合图10-16更为详细描述的那样,系统操作员或其他用户与在此描述的 示例安全写入方法和装置的各个方面之间的某些或所有交互作用,可以涉及交互式的图形 显示、界面或对话框。如以下将要论述的,这些图形显示、界面或对话框可以便于潜在于其 下的脚本、代码或指令的调用,这些脚本、代码或指令致使应用程序站20、安全写入服务器 102、控制器16和/或逻辑解算器52相互协作,以便按照如下方式执行安全数据写入,这种 方式基本上消除了逻辑解算器52没有接收数据或信息的可能性,逻辑解算器52作用于讹 误信息或数据的可能性,逻辑解算器52作用于虚假数据的可能性。此外,也如以下所要更 为详细描述的那样,这些图形显示、界面或对话框助长了系统操作员和其他用户的以下能 力,配置或改变安全相关系统,并发送信息或数据给与这些安全相关系统相关联的逻辑解 算器,同时确保符合安全相关标准,例如IEC 61508。
[0048] 返回到图3的示例方法300的细节,响应系统操作员或用户请求,或响应由软件应 用程序作出的请求,应用程序(例如,运行期间应用程序)调用图2的安全写入服务器102 中的数值改变方法(例如,设定数值(SetValue)方法)(框302)。当调用数值改变方法时, 应用程序可以将路径(例如,逻辑解算器52内参数的位置)、参数的类型和参数的当前值传 递给安全写入服务器102。系统操作员或其他用户可以通过,例如选择某一图形对象,实施 对安全写入服务器102中数值改变方法的调用,所述图形对象可以代表已经与潜在于其下 的脚本、代码或指令相关联的设备、装置、安全装备式功能块,等等,所述关联是使用例如以 下将进行更为详细的描述的安全写入打标程序104来完成的。
[0049] 在应用程序在框302调用数值改变方法之后,应用程序显现新数值对话框(例如, 选自图2的对话框106)给系统操作员或用户(框304)。通常,新数值对话框通过图形窗口 或其他显示,来显示参数路径和参数的当前值,所述图形窗口或其他显示可能包括多种文 本和图形信息,以便于参数值的改变。接下来系统操作员或用户与在框304显现的新数值 对话框进行交互,以便输入想要的新参数值(框306)。下面图15和16描述了新数值对话 框的一个例子。
[0050] 在系统操作员或用户在框306输入新参数值之后,示例方法300判断电子签名校 验是否已被激活(框308)。如果在框308电子签名校验被激活,则示例方法300使用任何 所需的已知签名分析技术来执行电子签名分析(框310)。当在框310执行电子签名分析之 后,示例方法300接下来判断或验证该签名是否与经过授权来作出所请求的参数值改变的 人员相关联(框312)。如果在框312签名没有通过验证(例如,请求参数值改变的人员没 有得到授权来作出所请求的改变),则示例方法300结束或返回到调用例行程序。
[0051] 另一方面,如果电子签名校验没有被激活(框308)或者如果该签名在框312通过 验证,则示例方法300使应用程序发送新参数值给安全写入服务器102 (图2)(框314),而 如以下所要更为详细描述的那样,安全写入服务器102又执行到逻辑解算器52 (图2)的安 全写入请求。在发送参数值给安全写入服务器102之后,应用程序等候接收安全写入请求 的状态(框316)。
[0052] 图4A是描绘可以由安全写入服务器102(图2)用来改变逻辑解算器52(图2)中 的安全参数(例如,与安全装备式功能相关联的参数)的示例方法400的流程图。更具体 地说,示例方法400能够使安全写入服务器102与控制器16(图2)相互协作,以便能够使 控制器16改变逻辑解算器52中的参数。
[0053] 转到图4A的示例方法400的细节,安全写入服务器102 (图2)判断安全写入方法 是否已被调用(框402)。例如,安全写入方法可以由上述关于图3的框302的应用程序来 调用。无论如何,只要安全写入服务器102在框402判定安全写入方法已经被调用,则安全 写入服务器102就发送安全写入请求给控制器16 (图2)(框404)。该安全写入请求包括参 数值改变信息、与要改变的参数相关联的路径、新参数值和用于该请求的CRC。
[0054] 当在框404发送该安全写入请求之后,安全写入服务器102生成确认对话框(框 406)。特别是,该确认对话框是由安全写入服务器102使用应用程序在图3的示例方法300 的框314发送的数据的复本而创建的。下面图16描述了图形/文本确认对话框的一个例 子。
[0055] 当在框406生成确认对话框之后,安全写入服务器102(图2)等候由控制器16(图 2)作出的确认回执,确认由安全写入服务器102在框402发送的安全写入请求已经被完整 无缺地接收(例如,与该请求一起发送的CRC信息由控制器16用来判定所接收的原始数据 已经被基本上完整无缺地接收,或者没有任何讹误地接收)(框408)。一旦安全写入服务器 102接收到控制器16接收该安全写入请求的确认回执,安全写入服务器102就激活确认按 钮或与在框406生成的确认对话框相关联的其他图形(框410)。
[0056] 当在框410激活确认按钮之后,安全写入服务器102判断系统操作员或其他用户 是否选择了确认按钮(即,已经确认或验证了该安全参数值改变)(框412)。如果在框412 用户还没有选择确认按钮,则服务器102判断用户是否选择了取消按钮(框414),或判断必 须选择确认的时期是否已经超时(框416)。如果取消请求和超时均未出现,则安全写入服 务器102将控制返回到框412。另一方面,如果出现了取消请求(框414)或超时(框416), 则服务器102将控制转移到框422。
[0057] 在框414的确认之后,安全写入服务器102发送安全参数确认请求给控制器 16 (框418)。安全参数确认请求与以下内容一起发送到控制器16,包括参数值改变命令、与 要改变的参数相关联的路径、从确认对话框(在框406发起)接收的新参数值和用于确认 请求的CRC。
[0058] 在发送参数值改变确认请求给控制器16之后,安全写入服务器102等候来自控制 器16的响应,如以下所要更为详细描述的那样,该响应表示控制器16已经接收到来自逻辑 解算器52的响应(框420)。接下来,在框420收到来自控制器16的响应之后,安全写入服 务器102发送安全写入状态(例如,表示所请求的参数值改变、命令等已经完成,或者以别 的方式来实施的信息)给调用应用程序(Calling Application)(框422)。如上所述,这些 状态由调用应用程序在例如图3的示例方法300的框316接收。
[0059] 因此,正如根据上述描述能够理解的,安全写入服务器102两次发送参数值改变 信息给控制器16。更具体地说,安全写入服务器102第一次响应由应用程序发送给它的参 数值改变信息(例如在图3的框314),发送参数值改变信息给控制器16 ;而第二次关于确 认对话框(例如,在图4A的框406?418),发送冗余的(例如,相同的或至少基本上相同 的)参数值改变信息给控制器16。如以下所要更为详细描述的那样,冗余的参数值改变信 息由控制器16和逻辑解算器52用来基本上消除信息(例如参数值改变信息)不能到达 (即,不能由其接收)逻辑解算器52的可能性,讹误信息到达并作用于逻辑解算器52的可 能性,和/或虚假信息到达并作用于逻辑解算器52的可能性。以这种方式,诸如图1的示 例系统100的安全装备式系统能够更好地符合安全相关标准(例如,IEC 61508标准)。
[0060] 图4B是描绘可以由图2的安全写入服务器102用来发送安全写入请求(图4A的 框404)给图2的控制器16的示例方法450的流程图。最初,安全写入服务器102使用客 户数据(例如,从在例如图3的框316或图7的框708发送的应用程序100中的一个接收 的)来设置安全写入数据(框452)。接下来安全写入服务器102生成包含在框452设置 的安全写入数据的安全写入请求消息(框454)。接下来安全写入服务器102解析在框454 生成的安全写入请求消息,以便从其中提取安全写入数据(框456)。然后服务器102将在 框456提取的数据与在框452设置的数据进行比较(框458)。如果在框458中发现所提 取的数据与所设置的数据是相同的,则安全写入服务器102发送安全写入请求消息给控制 器16 (框460),并且服务器102将控制转移到图4A的框406。在框456提取的并进行解析 后的数据,由安全写入服务器102在图4A的框406用来生成在确认对话框中所示的数据或 命令信息。以这种方式,可以向用户展示随后在图4A的框412请求的确认回执的消息的内 容。如果在框458,发现所提取的数据与所设置的数据是不同的,则安全写入服务器102可 以按照任何已知的方式来执行差错处理例行程序(框462)。
[0061] 图4C是描绘可以由图2的安全写入服务器102用来发送安全确认请求(图4A的 框418)给图2的控制器16的示例方法470的流程图。最初,安全写入服务器102使用从确 认对话框(图4A的框406)接收的数据,来设置确认请求数据(框472)。接下来安全写入 服务器102生成包含在框472设置的确认请求数据的确认请求消息(框474)。然后安全写 入服务器102解析在框474生成的确认请求消息,以便从其中提取确认请求数据(框476)。 接下来服务器102将在框476提取的数据与在框472设置的数据进行比较(框478)。如 果在框478中发现所提取的数据与所设置的数据是相同的,则安全写入服务器102发送确 认请求消息给控制器16 (框480),并且服务器102将控制转移到图4A的框420。如果在框 478,发现所提取的数据与所设置的数据是不同的,则安全写入服务器102可以按照任何已 知的方式来执行差错处理例行程序(框482)。
[0062] 正如根据上述描述能够理解的,安全写入请求和确认请求是