车载计算机、计算机程序、计算机可读的记录介质以及安全措施设定方法与流程

1.本发明涉及一种车载计算机、计算机程序、计算机可读的记录介质以及安全措施设定方法。


背景技术：

2.已知一种汽车中具备的车载计算机系统(例如专利文献1)。专利文献1中记载的车载计算机系统构成为主ecu及多个终端ecu连接于控制用网络。主ecu具有网关功能，作为主网关，监视车载计算机系统的内部与外部之间的通信。
3.现有技术文献
4.专利文献
5.专利文献1：日本特开2018-14770号公报


技术实现要素：

6.发明要解决的问题
7.在专利文献1中记载的车载计算机系统中，主ecu无法根据数据来调整安全级别。因此，在为了提高车载计算机系统的安全性而升高了安全级别的情况下，对于任何数据而言，探测数据的异常的异常探测处理所需要的时间都会增加，其结果，存在车载计算机系统整体上的处理时间增加这样的问题。
8.本发明要解决的问题是提供一种能够确保车载计算机系统的安全且减少车载计算机系统整体上的处理时间的车载计算机、计算机程序、计算机可读的记录介质以及安全措施设定方法。
9.用于解决问题的方案
10.本发明通过以下方法来解决上述问题：基于从车辆的外部经由通信接口被输入的数据的数据信息来评价因数据而发生异常时的风险，并基于所评价出的风险来调整针对数据的安全措施强度，利用调整后的安全措施强度来设定针对数据的安全措施。
11.发明的效果
12.根据本发明，通过基于风险进行安全措施强度的调整，能够按数据来变更异常探测处理所需要的时间，因此能够确保车载计算机系统的安全并且减少车载计算机系统整体上的处理时间。
附图说明
13.图1是本实施方式所涉及的车载计算机系统的框图。
14.图2是示出从通信模块接收到数据起到由车载计算机内的车辆控制用应用程序开始处理为止的情形的说明图。
15.图3是示出从通信模块接收到数据起到由车辆控制用ecu内的车辆控制用应用程
序开始处理为止的情形的说明图。
具体实施方式
16.下面，基于附图来说明本发明的实施方式。
17.在本实施方式中，使用将本发明所涉及的车载计算机、计算机程序、计算机可读的记录介质以及安全措施设定方法应用于车载计算机系统的例子来进行说明。
18.图1是车辆中搭载的车载计算机系统1的框图。作为搭载有车载计算机系统1的车辆，例如可列举电动汽车、混合动力汽车、汽油汽车等。搭载有车载计算机系统1的车辆的种类不被特别地限定。另外，在本实施方式中，列举具备自主行驶控制功能的车辆为例来进行说明，该自主行驶控制功能是通过辅助车辆的司机进行驾驶的方式或者通过完全自动的方法来控制车辆的驱动装置的功能。此外，本发明所涉及的车载计算机并不限定于搭载在具备自主行驶控制功能的车辆中。
19.如图1所示，车载计算机系统1包括通信模块10、车辆控制用ecu 31～车辆控制用ecu 34以及车载计算机100。ecu是electronic control unit(电子控制单元)的缩写。图1所示的各装置通过例如can(controller area network：控制器局域网)或其它车载网络(以太网(商标注册)等)连接，使得相互间进行信息的发送接收。此外，在车载计算机系统1中，车载网络的种类、车载网络的数量不被特别地限定。例如，车载计算机系统1的各装置之间也可以通过多种车载网络进行连接。
20.通信模块10是具备与车辆的外部之间以无线的方式发送接收数据的无线通信功能的设备。作为通信模块10，例如可列举远程信息控制单元(tcu：telematics control unit)。通信模块10通过无线通信功能，例如利用4g/lte、wifi(商标注册)等通信标准来与因特网连接，与设于车辆的外部的服务器、系统之间进行各种数据的发送接收。
21.通信模块10当从服务器、系统接收到数据时，将接收到的数据输出到车载计算机100。作为由通信模块10接收的数据，例如可列举用于更新车载用操作系统的程序、用于更新ecu的应用程序的程序、在导航系统中使用的更新后的地图信息、面向车辆的乘客的引导信息等。此外，上述数据是一例，并不限定由通信模块10接收的数据。
22.另一方面，当从车辆中搭载的各种ecu、系统经由车载计算机100向通信模块10输入数据时，通信模块10将被输入的数据发送到服务器、系统。作为由通信模块10发送的数据，例如可列举表示数据的收到确认的信息、表示更新完成的信息、车辆的乘客借助人机界面输入的信息等。上述数据是一例，并不限定由通信模块10发送的数据。
23.车辆控制用ecu 31～车辆控制用ecu 34是用于控制车辆的ecu。各车辆控制用ecu是由保存有用于控制车辆的程序的rom(read only memory：只读存储器)、执行该rom中保存的程序的cpu(central processing unit：中央处理器)以及作为可访问的存储装置发挥功能的ram(random access memory：随机存取存储器)构成的计算机。
24.作为车辆控制用ecu 31～车辆控制用ecu 34所具有的功能，例如可列举控制车辆的驱动源的驱动源控制功能、控制车辆的制动动作的制动控制功能、控制车辆的转向的转向控制功能、通过语音对车辆的乘客进行路径引导的导航功能、音乐或视频等的多媒体再现功能、位于车辆的外部的人与车辆的乘客通过语音进行对话的语音通信功能等。此外，在图1中，作为车辆控制用ecu，示出了4个ecu，但是车载计算机系统1所具备的车辆控制用ecu
的数量不限定于图1所示的数量。车载计算机系统1也可以具备比图1所示的数量少的数量的车辆控制用ecu、或者比图1所示的数量多的车辆控制用ecu。
25.如图1所示，由车辆控制用ecu 31执行的程序中包含车辆控制用应用程序35。车辆控制用ecu 31通过执行车辆控制用应用程序35来实现车辆控制用ecu 31所具有的功能。关于车辆控制用ecu 32与车辆控制用应用程序36的关系、车辆控制用ecu 33与车辆控制用应用程序37的关系以及车辆控制用ecu 34与车辆控制用应用程序38的关系，同车辆控制用ecu 31与车辆控制用应用程序35的关系是同样的，因此援引对车辆控制用ecu 31的说明。此外，由各ecu执行的程序不限定于图1所示的应用程序，也可以除了执行图1所示的应用程序之外，还执行其它应用程序。
26.另外，如图1所示，车辆控制用应用程序35～车辆控制用应用程序38被赋予asil中的等级。在图1的例子中，车辆控制用应用程序35被预先赋予为asil-a的等级，车辆控制用应用程序36被预先赋予为asil-b的等级，车辆控制用应用程序37被预先赋予为asil-c的等级，车辆控制用应用程序38被预先赋予为asil-d的等级。
27.在此，asil是automotive safety integrity level(汽车安全完整性等级)的缩写，是针对车辆的功能安全进行了标准化的iec 61508/iso 2626中规定的用于指定汽车的安全要求及安全对策的指标。车辆控制用应用程序35～车辆控制用应用程序38表示基于该指标生成的应用程序中的安全性的基准高的应用程序。asil中规定了4级的安全级别，按照安全性的基准从高到低的顺序，为asil-d、asil-c、asil-b、asil-a。也就是说，在图1的例子中，按照安全性的基准从高到低的顺序，为车辆控制用应用程序35、车辆控制用应用程序36、车辆控制用应用程序37、车辆控制用应用程序38。
28.另外，根据3个项目以及每个项目的变量来决定asil的等级。用于决定asil的等级的3个项目是表示对车辆的乘客造成的影响度的“严重度”、表示车辆遭遇危险的人或危险事物的频度的“暴露概率”以及表示车辆的司机规避危险的难度的“可控性”。另外，利用变量将各项目进一步细分。“严重度”被分类为4级的变量，“暴露概率”被分类为5级的变量，“可控性”被分类为4级的变量。asil的等级根据每个项目的变量的大小来设定。例如，在“严重度”为最高级的变量、“暴露概率”为最高级的变量并且“可控性”为最高级的变量的组合的情况下，分类为asil-d。
29.车载计算机100由保存有用于执行与数据的安全有关的处理以及车辆控制用应用程序的程序的rom(read only memory：只读存储器)、执行该rom中保存的程序的cpu(central processing unit：中央处理器)以及作为可访问的存储装置发挥功能的ram(random access memory：随机存取存储器)构成。此外，作为动作电路，能够代替cpu或与cpu一起，使用mpu(micro processing unit：微处理器)、dsp(digital signal processor：数字信号处理器)、asic(application specific integrated circuit：专用集成电路)、fpga(field programmable gate array：现场可编程逻辑门阵列)等。以下，将由车载计算机100执行的程序作为rom中保存的程序来进行说明，但是程序的保存位置也可以是车载计算机100的外部。例如，由车载计算机100执行的程序也可以保存在计算机可读的记录介质中。在该情况下，利用规定的标准将该记录介质与车载计算机100连接，由此车载计算机100能够执行记录介质中记录的程序。
30.如图1所示，车载计算机100包括进行与安全措施有关的处理的安全措施处理部20
以及车辆控制用应用程序25～车辆控制用应用程序28，这些模块是通过rom中存储的程序来实现后述的各功能。
31.车辆控制用应用程序25～车辆控制用应用程序28是由车载计算机100执行的用于控制车辆的程序。与车辆控制用应用程序35～车辆控制用应用程序38同样地，车辆控制用应用程序25～车辆控制用应用程序28也被赋予asil中的等级。在图1的例子中，车辆控制用应用程序25被预先赋予为asil-a的等级，车辆控制用应用程序26被预先赋予为asil-b的等级，车辆控制用应用程序27被预先赋予为asil-c的等级，车辆控制用应用程序28被预先赋予为asil-d的等级。与asil有关的说明援引使用车辆控制用ecu 31～车辆控制用ecu 34时的说明。此外，在图1中，作为由车载计算机100执行的车辆控制用应用程序，示出了4个车辆控制用应用程序，但是由车载计算机100执行的车辆控制用应用程序的数量不限定于图1所示的数量。车载计算机100也可以执行比图1所示的数量少的数量的车辆控制用应用程序(还包括不存在车辆控制用应用程序的情况)、或者比图1所示的数量多的车辆控制用应用程序。
32.对安全措施处理部20进行说明。安全措施处理部20监视车载计算机系统1与位于车辆的外部的服务器或系统之间的通信。安全措施处理部20监视经由通信模块10被输入车载计算机系统1的数据、以及从车载计算机系统1经由通信模块10输出的数据。如图1所示，安全措施处理部20包括风险评价部21、安全措施强度调整部22、安全措施设定部23以及网关部24。对由各模块实现的功能进行说明。
33.数据从车辆的外部经由通信模块10被输入到风险评价部21。风险评价部21基于输入数据的数据信息，来评价因该数据而发生异常时的风险。以下，为了方便，将从通信模块10输入到风险评价部21的数据称为输入数据，将因输入数据而发生异常时的风险称为异常发生风险来进行说明。
34.异常发生风险是指由于输入数据的原因而用于对输入数据进行处理的硬件或软件发生异常并且所发生的异常对车辆或车辆的乘客造成的恶劣影响的程度的高低。由于输入数据的原因而硬件或软件发生异常的情况包括以下情况：由于输入数据中包含偶发性地产生的乱码数据，因此硬件或软件发生异常；由于输入数据是病毒、间谍软件等意图从外部攻击的数据，因此硬件或软件发生异常。作为上述的说明中的硬件，可列举图1所示的车辆控制用ecu 31～车辆控制用ecu 34。另外，作为上述的说明中的软件，可列举图1所示的车辆控制用应用程序25～车辆控制用应用程序28以及车辆控制用应用程序35～车辆控制用应用程序38。
35.输入数据的数据信息是预定对输入数据进行处理的车辆控制用应用程序的种类信息。具体而言，是赋予给预定对输入数据进行处理的车辆控制用应用程序的asil的等级。
36.风险评价部21根据输入数据来确定预定对输入数据进行处理的车辆控制用应用程序，并且确定赋予给所确定出的车辆控制用应用程序的asil的等级。风险评价部21根据asil的等级，来评价因输入数据引起的异常发生风险。例如，在赋予给所确定出的车辆控制用应用程序的asil的等级为asil-a的情况下，风险评价部21将因输入数据引起的异常发生风险评价得比asil-b、asil-c或asil-d的情况低。另外，例如，在赋予给所确定出的车辆控制用应用程序的asil的等级为asil-b的情况下，风险评价部21将因输入数据引起的异常发生风险评价得比asil-a的情况高，并且将因输入数据引起的异常发生风险评价得比asil-c
或asil-d的情况低。另外，例如，在赋予给所确定出的车辆控制用应用程序的asil的等级为asil-c的情况下，风险评价部21将因输入数据引起的异常发生风险评价得比asil-a或asil-b的情况高，并且将因输入数据引起的异常发生风险评价得比asil-d的情况低。另外，例如，在赋予给所确定出的车辆控制用应用程序的asil的等级为asil-d的情况下，风险评价部21将因输入数据引起的异常发生风险评价得比asil-a、asil-b或asil-c的情况高。异常发生风险越高，则在硬件或软件中发生的异常对车辆或车辆的乘客造成的恶劣影响的程度越高。
37.安全措施强度调整部22基于由风险评价部21评价出的异常发生风险，来调整针对输入数据的安全措施强度。因输入数据引起的异常发生风险越高，则安全措施强度调整部22将针对输入数据的安全措施强度设定得越强。若使用图1的例子，则安全措施强度调整部22将针对由被赋予为asil-d的等级的车辆控制用应用程序28进行处理的输入数据的安全措施强度设定得比针对由被赋予为asil-a的等级的车辆控制用应用程序25进行处理的输入数据的安全措施强度强。
38.针对输入数据的安全措施强度能够由多个参数定义。可以通过探测数据的异常的异常探测处理所需要的时间来定义安全措施强度。例如，在安全措施强度强的情况下，与安全措施强度弱的情况相比，异常探测处理所需要的时间更长。另外，也可以通过探测数据的异常的异常探测方法的数量来定义安全措施强度。例如，在安全措施强度强的情况下，与安全措施强度弱的情况相比，使用更多的异常探测方法。另外，还可以通过表示数据中的探测异常的对象范围的异常探测对象范围的广度来定义安全措施强度。例如，在安全措施强度强的情况下，以数据中的主要部分及其以外的部分为对象来进行异常的探测，在安全措施强度弱的情况下，仅以数据中的主要部分为对象来进行异常的探测。
39.安全措施设定部23利用由安全措施强度调整部22调整后的安全措施强度来设定针对输入数据的安全措施。在由安全措施设定部23设定安全措施时，输入数据的异常探测方法不被特别地限定。
40.安全措施设定部23根据由安全措施强度调整部22调整后的安全措施强度，来设定防火墙的级数、输入数据中的由防火墙探测异常的对象范围以及异常探测方法中的至少任一者。例如，安全措施设定部23根据由安全措施强度调整部22调整后的安全措施强度，来进行使输入数据通过的防火墙的设定。例如，安全措施设定部23根据安全措施强度来设定防火墙的级数。安全措施强度越强，则安全措施设定部23使防火墙的级数增加得越多。另外，例如，安全措施设定部23也可以根据安全措施强度，来设定输入数据中的由防火墙探测异常的对象范围。也可以是，安全措施强度越强，则安全措施设定部23将输入数据中的由防火墙探测异常的对象范围设定得越广。另外，也可以是，例如，安全措施设定部23也可以根据安全措施强度来设定异常探测方法。在安全措施强度低于规定的强度的情况下，安全措施设定部23将异常探测方法设定为防火墙，在安全措施强度高于规定的强度的情况下，安全措施设定部23将异常探测方法设定为防火墙、以及ids(instruction detection system：入侵检测系统)或ips(instruction prevention system：入侵防御系统)。此外，规定的强度是指为了设定异常探测方法而预先设定的安全措施强度。
41.网关部24安装有用于探测输入数据的异常的多个防火墙。网关部24具备：异常探测功能，其使用防火墙来探测输入数据的异常；以及传送功能，其将输入数据传送到车辆控
制用应用程序或车辆控制用ecu。
42.网关部24通过异常探测功能以由安全措施设定部23设定的内容来执行针对输入数据的异常探测处理。例如，网关部24执行使输入数据通过由安全措施设定部23设定的防火墙的级数的处理。而且，网关部24在输入数据中未探测到异常的情况下，通过传送功能将输入数据传送到预定对该输入数据进行处理的车载控制用应用程序或车载控制用ecu。此外，在异常探测处理中探测到异常的情况下的处理不被特别地限定，例如，网关部24将表示探测到异常的信息输出到用于控制人机界面的ecu。在该情况下，通过该ecu向车辆的乘客呈现表示在输入数据中探测到异常的信息。
43.图2是示出从通信模块10接收到数据起到由车载计算机100内的车辆控制应用程序开始处理为止的情形的说明图。图2所示的通信模块10、安全措施处理部20、车辆控制用应用程序26以及车辆控制用应用程序29分别与图1所示的框图对应。为了比较的目的，图2示出从通信模块10接收到数据a起到车辆控制用应用程序26使用数据a开始处理为止的情形、以及从通信模块10接收到数据b起到车辆控制用应用程序29使用数据b进行处理为止的情形。此外，以下，将数据a及数据b的发送源作为位于车辆的外部的服务器来进行说明，但是不限定数据a及数据b的发送源。
44.当从服务器发送数据a时，通信模块10接收数据a，并将接收到的数据a输出到车载计算机100。数据a被输入到车载计算机100的安全措施处理部20。
45.安全措施处理部20使用规定的特定方法根据数据a确定出以下情况：预定由车辆控制用应用程序26对数据a进行处理，赋予给车辆控制用应用程序26的等级是asil-a。作为因数据a引起的异常发生风险，安全措施处理部20进行基于asil-a的指标的评价。作为与asil-a对应的安全措施强度下的安全措施，安全措施处理部20将防火墙的级数设定为1级。安全措施处理部20使数据a通过1级防火墙，判定是否在数据a中探测到异常。安全措施处理部20在数据a中未探测到异常的情况下，向由车载计算机100执行的车辆控制用应用程序26传送数据a。车辆控制用应用程序26变为能够进行使用数据a的处理的状态，开始使用数据a的处理。
46.另一方面，当从服务器发送数据b时，通信模块10接收数据b，并将接收到的数据b输出到车载计算机100。数据b被输入到车载计算机100的安全措施处理部20。
47.安全措施处理部20使用规定的特定方法根据数据b确定出以下情况：预定由车辆控制用应用程序29对数据b进行处理，赋予给车辆控制用应用程序29的等级是asil-d。作为因数据b引起的异常发生风险，安全措施处理部20进行基于asil-d的指标的评价。作为与asil-d对应的安全措施强度下的安全措施，安全措施处理部20将防火墙的级数设定为4级。安全措施处理部20使数据b通过4级防火墙，判定是否在数据b中探测到异常。安全措施处理部20在数据b中未探测到异常的情况下，向由车载计算机100执行的车辆控制用应用程序29传送数据b。车辆控制用应用程序29变为能够进行使用数据b的处理的状态，开始使用数据b的处理。
48.图3是示出从通信模块10接收到数据起到由车载控制用ecu内的车辆控制应用程序开始处理为止的情形的说明图。图3所示的通信模块10、安全措施处理部20、车辆控制用应用程序36以及车辆控制用应用程序37分别与图1所示的框图对应。为了比较的目的，图3示出从通信模块10接收到数据c起到车辆控制用应用程序36使用数据c开始处理为止的情
形、从通信模块10接收到数据d起到车辆控制用应用程序37使用数据d进行处理为止的情形。此外，以下，与数据a及数据b的发送源同样地，将数据c及数据d的发送源作为位于车辆的外部的服务器来进行说明。
49.当从服务器发送数据c时，通信模块10接收数据c，并将接收到的数据c输出到车载计算机100。数据c被输入到车载计算机100的安全措施处理部20。
50.安全措施处理部20使用规定的特定方法根据数据c确定出以下情况：预定由车辆控制用应用程序36对数据c进行处理，赋予给车辆控制用应用程序36的等级是asil-b。作为因数据c引起的异常发生风险，安全措施处理部20进行基于asil-b的指标的评价。作为与asil-b对应的安全措施强度下的安全措施，安全措施处理部20将防火墙的级数设定为2级。安全措施处理部20使数据c通过2级防火墙，判定是否在数据c中探测到异常。安全措施处理部20在数据c中未探测到异常的情况下，将数据c传送到车辆控制用ecu 32。车辆控制用ecu 32被输入数据c，车辆控制用应用程序36变为能够进行使用数据c的处理的状态，开始使用数据c的处理。
51.另一方面，当从服务器发送数据d时，通信模块10接收数据d，并将接收到的数据d输出到车载计算机100。数据d被输入到车载计算机100的安全措施处理部20。
52.安全措施处理部20使用规定的特定方法根据数据d确定出以下情况：预定由车辆控制用应用程序37对数据d进行处理，赋予给车辆控制用应用程序37的等级是asil-c。作为因数据d引起的异常发生风险，安全措施处理部20进行基于asil-c的指标的评价。作为与asil-c对应的安全措施强度下的安全措施，安全措施处理部20将防火墙的级数设定为3级。安全措施处理部20使数据d通过3级防火墙，判定是否在数据d中探测到异常。安全措施处理部20在数据d中未探测到异常的情况下，将数据d传送到车辆控制用ecu 33。车辆控制用ecu 33被输入数据d，车辆控制用应用程序37变为能够进行使用数据d的处理的状态，开始使用数据d的处理。
53.在图2中，当将数据a与数据b进行比较时，各数据所通过的防火墙的级数不同。数据a通过1级防火墙，与此相对地，数据b通过4级防火墙，因此探测数据b的异常的异常探测处理所需要的时间变得比探测数据a的异常的异常探测处理所需要的时间长。针对在安全性的基准高的车辆控制用应用程序29中使用的数据，花费充足的时间来进行异常探测，另一方面，针对在安全性的基准较低的车辆控制用应用程序26中使用的数据，不花费超出需要的时间地进行异常探测。因此，根据本实施方式所涉及的车载计算机100，能够取得安全性的基准与异常探测处理所需要的时间之间的平衡。另外，例如，能够在数据a被车辆控制用应用程序进行处理之后需要在规定的时间内对数据a的发送源进行响应的情况下，确保车载计算机系统1的安全并且满足针对响应性的要求。此外，关于图3所示的数据c及数据d，也能够得到与数据a及数据b同样的效果，因此援引使用数据a及数据b的说明。
54.如上面这样，本实施方式所涉及的车载计算机100是从车辆的外部经由通信模块10被输入数据的车载计算机。车载计算机100具备：风险评价部21，其基于输入数据的数据信息，来评价因输入数据而发生异常时的风险、即异常发生风险；安全措施强度调整部22，其基于由风险评价部21评价出的异常发生风险，来调整针对输入数据的安全措施强度；以及安全措施设定部23，其利用由安全措施强度调整部22调整后的安全措施强度来设定针对输入数据的安全措施。根据本发明所涉及的车载计算机100、用于使计算机作为车载计算机
100发挥功能的程序、记录有该程序的计算机可读的记录介质以及安全措施设定方法，基于异常发生风险来调整针对输入数据的安全措施强度，因此能够按数据变更异常探测处理所需要的时间。其结果，能够确保车载计算机系统1的安全并且减少车载计算机系统1整体上的处理时间。
55.另外，在本实施方式中，基于作为对车辆的乘客造成影响的影响度的“严重度”、作为车辆遭遇危险的人或危险事物的频度的“暴露概率”、以及作为车辆的司机规避危险的难度的“可控性”，来评价异常发生风险的高低。由此，能够适当地评价输入数据的异常对车辆或车辆的乘客造成恶劣影响的程度。
56.并且，在本实施方式中，因输入数据引起的异常发生风险越高，则安全措施强度调整部22将针对输入数据的安全措施强度设定得越强。由于能够设定与异常发生风险的高低对应的安全措施强度，因此能够取得异常发生风险与异常探测处理所需要的时间之间的平衡。其结果，能够确保车载计算机系统1的安全并且减少车载计算机系统1整体上的处理时间。
57.此外，在本实施方式中，风险评价部21在评价异常发生风险时使用的输入数据的数据信息是预定使用输入数据执行处理的车辆控制用应用程序的种类。由此，能够容易地评价因输入数据引起的异常发生风险。其结果，能够实现异常发生风险的评价处理所需要的时间的缩短，能够减少对车载计算机系统1整体上的处理时间造成的影响。
58.另外，本实施方式所涉及的车载计算机100具备网关部，该网关部安装有用于探测输入数据的异常的防火墙，安全措施设定部23根据由安全措施强度调整部22调整后的安全措施强度，来设定使输入数据通过的防火墙的级数。由此，异常发生风险越高，则能够将防火墙的级数设定得越多，因此能够提高针对输入数据的可靠性。
59.并且，在本实施方式中，网关部24使用防火墙来执行探测输入数据中是否存在异常的异常探测处理。也能够针对来自车辆的外部的网络攻击，保障车载计算机系统1的安全。
60.此外，以上说明的实施方式是为了易于理解本发明而记载的，并不是为了限定本发明而记载的。因而，上述的实施方式中公开的各要素旨在还包括属于本发明的保护范围的全部设计变更、等同物。
61.例如，在上述的实施方式中，列举基于asil的等级来评价因输入数据引起的异常发生风险的结构为例来进行了说明，但是也可以基于输入数据的内容来评价因输入数据引起的异常发生风险。例如，也可以是，在输入数据的内容是用于更新车载用操作系统的程序的情况下，风险评价部21将因输入数据引起的异常发生风险评价得比输入数据的内容是面向车辆的乘客的引导信息的情况高。针对由未被赋予asil的等级的ecu、应用程序执行的输入数据，例如针对由被赋予qm(quality management：质量管理)的等级的ecu、应用程序执行的输入数据，也能够适当地评价异常发生风险。其结果，能够针对由车载计算机系统1中包括的全部ecu或全部应用程序执行的输入数据适当地评价异常发生风险。
62.另外，例如，在上述的实施方式中，作为输入数据的数据信息，列举车辆控制用应用程序的种类为例来进行了说明，但输入数据的数据信息也可以是车辆控制用ecu的种类。
63.另外，例如，在上述的实施方式中，列举基于asil的等级评价因输入数据引起的异常发生风险的结构为例来进行了说明，但是也可以基于用于对asil的等级进行分类的“严
重度”、“暴露概率”以及“可控性”中的至少任一者来评价因输入数据引起的异常发生风险。
64.例如，风险评价部21也可以不仅根据asil的等级，还根据用于对asil的等级进行分类的“严重度”、“暴露概率”以及“可控性”各自的变量，来评价因输入数据引起的异常发生风险。在图1的例子中，车辆控制用应用程序26及车辆控制用应用程序36分别被赋予为asil-b的等级。在此，车辆控制用应用程序26被赋予为asil-b的等级时的“严重度”的变量、“暴露概率”的变量以及“可控性”的变量设为与车辆控制用应用程序36被赋予为asil-b的等级时的“严重度”的变量、“暴露概率”的变量以及“可控性”的变量不同。在该情况下，风险评价部21能够对因预定由车辆控制用应用程序26进行处理的输入数据引起的异常发生风险和因预定由车辆控制用应用程序36进行处理的输入数据引起的异常发生风险给予不同的评价。
65.另外，例如，风险评价部21不限于根据“严重度”、“暴露概率”以及“可控性”的组合来评价因输入数据引起的异常发生风险，也可以根据各项目的变量来评价因输入数据引起的异常发生风险。另外，例如，风险评价部21也可以根据2个项目的变量的组合来评价因输入数据引起的异常发生风险。
66.另外，例如，在上述的实施方式中，作为评价因输入数据引起的异常发生风险的指标，使用asil来进行了说明，但是评价异常发生风险的指标不限于asil。风险评价部21也可以使用针对车辆的功能安全进行标准化所得到的其它指标来评价异常发生风险。另外，风险评价部21也可以使用多个指标来评价异常发生风险。
67.另外，例如，在上述的实施方式中，在图2和图3的例子中，列举按asil的等级改变防火墙的级数的情况为例来进行了说明，但是不限定于此。例如，在图3的例子中，安全措施设定部23也可以将针对数据c设定的防火墙的级数以及针对数据d设定的防火墙的级数设为相同。在此基础上，安全措施设定部23也可以不仅针对数据d设定基于防火墙的异常探测方法，还针对数据d设定基于ids或ips的异常探测方法。另外，例如，安全措施设定部23也可以在将防火墙的级数设为相同的基础上，与数据c相比，针对数据d将由防火墙探测异常的对象范围设定得更广。
68.另外，例如，在上述的实施方式中，列举车载计算机100具备网关部24的结构为例来进行了说明，但也可以是与车载计算机100不同的计算机具备网关部24。即，探测输入数据的异常的异常探测处理以及输入数据的传送处理也可以由车载计算机100以外的计算机来执行。在该情况下，车载计算机100将由安全措施设定部23设定的安全措施的设定信息输出到具备网关部24的计算机。
69.另外，例如，在上述的实施方式中，作为输入数据的异常探测方法，列举防火墙、ids、ips为例来进行了说明，但是也可以利用在本技术的申请时通信领域中已知的异常探测方法来探测输入数据的异常。例如，车载计算机100也可以根据安全措施强度来设定基于proxy(代理)的过滤处理。另外，例如，车载计算机100还可以根据安全措施强度来设定车载计算机系统1所具备的访问控制。
70.附图标记说明
71.1：车载计算机系统；10：通信模块；100：车载计算机；20：安全措施处理部；21：风险评价部；22：安全措施强度调整部；23：安全措施设定部；24：网关部；25：车辆控制用应用程序；26：车辆控制用应用程序；27：车辆控制用应用程序；28：车辆控制用应用程序；31：车辆
控制用ecu；35：车辆控制用应用程序；32：车辆控制用ecu；36：车辆控制用应用程序；33：车辆控制用ecu；37：车辆控制用应用程序；34：车辆控制用ecu；38：车辆控制用应用程序。