使用独立的过程来生 成的。这样一种技术能够实现在将数据转化为要传送给控制器和/或逻辑解算器的消息的 过程中出现的单个错误或差错,以及多个错误或差错的检测(例如,由用户查看配置对话 框的可视检测,作为失败的比较结果的自动检测,等等)。
[0063] 图5是描绘可以由控制器(图2)用来执行逻辑解算器52(图2)中的安全参数 (例如,与安全装备式功能相关联的参数)的改变的示例方法500的流程图。更具体地说, 示例方法500比较它从安全写入服务器102接收的冗余参数值改变信息,并且基于该比较 结果,与逻辑解算器52进行通信,以便确保逻辑解算器52接收想要的参数值改变信息,并 且不会响应讹误或虚假的数据来改变参数值。
[0064] 转到示例方法500的细节,控制器16(图2)判断安全写入请求是否已被接收(框 502)。如果已经从安全写入服务器102接收(例如,在图4A的框404)安全写入请求(例 如,要在逻辑解算器52中实施的参数值改变),那么控制器16存储该请求数据(框504)。 该请求数据(例如,与要在逻辑解算器52中改变的参数值相关联的路径信息、新参数值、 CRC信息,等等)可以存储在与和该参数相关联的功能块或功能模块相关联的存储器单元。 在框504存储该安全写入请求数据之后,控制器16发送请求收到确认回执给安全写入服务 器102 (框506)。如上所述,安全写入服务器102监控由控制器16在图4A的框408发送的 请求回执(框506)。
[0065] 接下来,控制器16等候接收由安全写入服务器102在图4A的框422发送的安全 参数确认请求(框508)。当在框508接收安全参数确认请求信息(即,冗余的参数值改变 信息)时,控制器16清空与以下要论述的超时机制相关联的定时器(框509),并将确认请 求信息存储在也与和在框504存储的数据相关联的功能块或功能模块相关联的第二存储 单元(框510)。然后控制器16将安全请求数据(在框504存储的)与安全确认请求数据 (在框510存储的)进行比较,并且如果数据匹配的话(或者至少基本上相同),控制器16 就发送原始的安全写入请求数据(在框504存储的)和匹配的安全确认请求数据(在框 510存储的)给逻辑解算器52 (框514)。
[0066] 当在框514发送数据给逻辑解算器52之后,控制器16等待由逻辑解算器52收到 该数据的确认回执(框516)。一旦在框516收到确认回执,控制器16就发送确认回执或 响应给安全写入服务器102 (框518),该回执或响应是由安全写入服务器102在图4A的框 420接收的。
[0067] 如图5的示例方法500所描绘的,控制器16使用关于安全确认请求的回执(框 508)的超时机制。特别是,如果控制器16在框508没有接收到安全确认请求,则控制器判 断(例如,基于定时器)从在框502收到安全写入请求数据开始,是否已经过去一定量的时 间(框520)。如果在框520已经过去一定量或预定量的时间,那么控制器16清除未决的 安全写入请求(框522),并发送恰当的错误消息给安全写入服务器102 (框524)。超时时 间(即,与超时条件相关联的时间量)可以基于由例如调用应用程序通过安全写入服务器 102 (例如,通过框314,404和418)发送到控制器16的信息、基于预定的默认值或者以任何 所需的方式来确定。
[0068] 除了基于超时的错误消息之外,在原始请求数据(即在框504存储的数据)和确 认数据(在框510存储的)在框512不匹配(例如,不相同或至少基本上不相同)的情况 下,控制器16也可以发送错误消息(框524)。
[0069] 图6是描绘可以由逻辑解算器(图2)用来执行逻辑解算器52中的安全参数(例 如,与安全装备式功能相关联的参数)的改变的示例方法600的流程图。更具体地说,该示 例方法600分析路径和CRC信息,并判断原始的安全写入请求信息是否与确认安全写入请 求信息相匹配(或至少基本上匹配),以便判断,例如新数值是否能够安全地写入到与逻辑 解算器52的安全装备式功能相关联的参数中。
[0070] 参照图6的详细流程图,逻辑解算器52判断是否已经接收到参数值改变请求数据 或信息(框602)。该参数值改变请求数据包括在图5的框514发送的安全写入请求数据和 确认安全写入请求数据。然后逻辑解算器52判断原始的安全写入请求数据是否与确认请 求数据相匹配(框604)。鉴于先前由控制器16在图5的框512执行的匹配操作,在框604 的匹配操作可能是冗余的。然而,这种在逻辑解算器52处的冗余匹配检测,在控制器16不 管图5的框512的匹配失败而发送安全写入请求信息给逻辑解算器52的情况下,进一步提 高了安全性。
[0071] 如果在框604安全写入请求数据和确认写入请求数据相匹配(例如,相同或至少 基本上相同),则逻辑解算器52判断用于该请求数据的CRC和路径是否是好的、有效的、正 确的,等等(框606)。如果CRC和路径在框606是正确的,则逻辑解算器52将新数据(即 新参数值)写入到该参数中(框608)。当在框608将新参数值写入到参数中之后,逻辑解 算器52发送写入状态给控制器16 (框610)。如上所述,控制器16监控在图5的框516的 写入状态信息。在将该写入状态信息传达给控制器16之后,逻辑解算器52通过冗余链路 60 (图1)发送改变请求信息(即新参数值信息)给备用逻辑解算器(例如,图1的逻辑解 算器54)。
[0072] 如图6所描绘的,逻辑解算器52也可以被配置为发送错误消息给控制器16(框 614)。特别是,如果在框604原始的安全写入请求数据和随后生成的,由控制器16发送给逻 辑解算器52的确认请求信息不匹配,或者如果在框606CRC和路径信息不正确,则在框614 将恰当的错误消息发送给控制器16。
[0073] 尽管以上关于图3,4,5和6而论述的示例方法描述了示例性的方式,其中应用程 序站20,控制器16,和逻辑解算器52可以被配置为相互协作来执行安全参数值改变,但是 示例方法也可以更一般地适用于将其他数据写入到逻辑解算器(例如,逻辑解算器52)。例 如,如以下关于图7所论述的那样,应用程序站20、控制器16和逻辑解算器52可以被配置 为相互协作以执行逻辑解算器52的安全命令。换句话说,系统操作员或其他用户可以,例 如通过在应用程序20处执行的运行期间应用程序,以符合一个或多个适用于安全装备式 系统的安全标准的方式,发送一个或多个命令给逻辑解算器52。这些安全命令基本上最小 化由系统操作员或其他用户发送的一个或多个命令不能到达逻辑解算器52的可能性,一 个或多个讹误命令由逻辑解算器52来处理或执行的可能性,和/或一个或多个虚假命令由 逻辑解算器52来处理或执行的可能性。
[0074] 转到图7的细节,描绘可以由应用程序工作站20用来以安全方式,并符合安全装 备式系统的安全相关标准,来发送命令给逻辑解算器52的示例方法700的流程图。最初, 响应系统操作员或其他用户通过应用程序(例如,运行期间应用程序)对代表设备、装置、 功能模块,和/或功能块的图形的选择,以及命令(例如,到冗余逻辑解算器的强制切换) 的输入,应用程序调用安全写入服务器102中的安全命令方法(框702)。所需的命令可以 通过例如键盘作为文本信息来输入,和/或使用例如指示设备一一例如鼠标、跟踪球等作为 图形对象来选择。
[0075] 当在框702应用程序已经调用安全写入服务器102中的安全命令方法之后,应用 程序向系统操作员或其他用户显现确认对话框(框704)。接下来示例方法700等候由系统 操作员或其他用户作出的确认(框706)。该确认可以通过使系统操作员能够选择图形确认 按钮、输入确认文本信息,和/或通过任何其他所需的方式来实现。一旦在框706确认了安 全命令,则应用程序站20就发送该确认命令信息给安全写入服务器102 (图2)(框708)。 在框710,应用程序站20 (和应用程序)接收与在框708发送的安全命令信息相关联的安全 写入请求的状态。
[0076]在逻辑解算器52的安全命令的执行中,安全写入服务器102、控制器16和逻辑解 算器52通常被配置为分别使用图4, 5,和6的示例方法来执行安全命令。然而,与参数值信 息在应用程序站20、安全写入服务器120、控制器16和逻辑解算器52之间进行处理和传送 不同,命令信息是在各种实体之间进行处理(例如,存储、比较,等等)和传送的。
[0077] 为了便于安全装备式系统的配置,图1的示例系统10包括安全写入打标应用程序 104。通常,安全写入打标程序104使系统操作员或用户能够生成图形对象和/或潜在于其 下的可执行脚本,用于与一个或多个安全装备式功能相关联的设备、装置、功能模块、功能 块,等等。更具体地说,安全写入打标程序104便利了用于安全装备式系统的安全相关或符 合安全的图形对话框和可执行脚本的,连贯的、迅速的和基本上自动的生成。该图形对话框 和脚本可以在运行期间内调用,以便使系统操作员或其他用户能够使用结合图3?7所论 述的示例安全数据写入方法,来实施逻辑解算器52中的安全参数值改变,逻辑解算器52的 安全命令。
[0078] 图8是描绘可以用来实现安全写入打标程序104(图2)的示例方法800的流程图。 最初,响应例如系统操作员或其他用户对与逻辑解算器52和54中的一个或两者都执行的 安全装备式功能相关联的图形对象(例如,功能块或功能模块)的选择(例如,通过例如鼠 标的指示设备指示和点击来选择),可以在示例系统10 (图1)的配置期间调用安全写入打 标程序104 (框802)。如果在框802安全写入打标程序104已经被调用,则安全写入打标程 序104判断是否已经选择了某一对象(或者是否已经选择了多个对象)(框804)。
[0079] 如果在框804,安全写入打标程序104已经被调用,而没有选择任何对象,那么安 全写入打标程序104生成图形对象,和相关的或潜在于其下的点击事件脚本(框806)。图 形对象和潜在于其下的脚本是基于所影响的逻辑解算器参数,和/或要发布的命令来生成 的。如以下结合图10?16更为详细论述的那样,在某些例子中,图形对象可以是标记按 钮(labeled button)或诸如此类的东西,当在运行期间选择它们时,执行潜在于其下的脚 本,该脚本能够使系统操作员或其他用户与图形窗口、对话框,或其他显示进行交互作用, 以便使用在此描述的示例安全数据写入方法,发送新参数值和/或命令信息给逻辑解算器 52(图 2)。
[0080] 在框804,如果安全写入打标程序104判定已选择至少一个对象,那么安全写入打 标程序104判断是否已选择了多个对象(框808)。如果在框808已经选择了多个对象,则安 全写入打标程序104返回一个错误(框810)。另一方面,如果只有一个对象已被选择(框 808),则安全写入打标程序104生成用于(S卩,要关联到的)所选对象的适当的点击事件脚 本(框812)。
[0081] 图3?8的示例方法中所示的功能块或操作,可以使用软件、固件和硬件的任何所 需的组合来实现。例如,一个或多个微处理器、微控制器、专用集成电路(ASIC)等可以访问 存储在机器或处理器可存取的存储介质上的指令或数据,以便执行在此描述的方法,并实 现在此描述的装置。存储介质可以包括如下设备和/或介质的任意组合,例如,包括随机存 取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)等的固态存储介 质,光存储介质,磁存储介质,等等。另外,用于实现功能块的软件还可以通过因特网、电话 线路、卫星通信等方式,被额外地或可选地传送到执行该软件的处理器或其他设备上,并且