| 摘要 |
<p>Die Erfindung betrifft ein Verfahren zum Verifizieren eines betriebssicheren Zustandes eines Rechners zur Ansteuerung eines sicherheitskritischen Systems, insbesondere Eisenbahnsicherungssystems, wobei eine Sicherheitslücke durch folgende Schritte geschlossen wird: 1. ein geladenes Rechnerprogramm oder dessen Programmcode und eine Rechneridentifikationsnummer werden zurückgelesen und mit ersten Erwartungswerten verglichen, 2. ein ausschließlich für die vorgesehene Kombination aus Rechnerprogramm und Rechneridentifikationsnummer gültiges Anlaufsiegel wird in einem nicht umladbaren Programmspeicherbereich des Rechners gespeichert und 3. der nicht umladbare Programmspeicherbereich des Rechners verknüpft das Anlaufsiegel mit dem Programmcode des Rechnerprogramms und der Rechneridentifikationsnummer zu einem Freischaltcode, der bei Übereinstimmung mit einem zweiten Erwartungswert eine Ausgabebaugruppe des Rechners freischaltet.</p> |
