WO2022176253A1

WO2022176253A1 - 電子制御システム

Info

Publication number: WO2022176253A1
Application number: PCT/JP2021/034901
Authority: WO
Inventors: ギョームボリッツ; 恒太井手口
Original assignee: 日立Astemo株式会社
Priority date: 2021-02-19
Filing date: 2021-09-22
Publication date: 2022-08-25
Also published as: JP2022127512A; US20240104204A1

Abstract

電子制御システムは、装置の動作を記録したログを読み込み、情報セキュリティに関するイベントであるセキュリティイベントを検出するセキュリティイベント解析部と、機能安全に関するイベントであるセーフティイベントに対する対処であるセーフティ機能を実行するために作成されたセーフティ機能実行部と、セキュリティイベントに対する対処であるセキュリティ機能が実行可能なセキュリティ機能実行部と、セキュリティイベントに対応するセーフティ機能およびセキュリティ機能の少なくとも一方を示す対応情報が格納される記憶部と、セキュリティイベント解析部が検出したセキュリティイベントに対応する機能を対応情報に基づき特定し、特定した機能をセーフティ機能実行部およびセキュリティ機能実行部の少なくとも一方に実行させる決定部と、を備え、対応情報において、少なくとも１つのセキュリティイベントに分類されるイベントは、セーフティ機能と対応するように記録される。

Description

電子制御システム

　本発明は、電子制御システムに関する。

　車両には多数の電子制御装置が搭載され、相互に通信を行うことで高度な処理を実現している。装置に不具合が発生した場合への備えとして機能安全があり、機能安全を脅かすセーフティイベントへの対応について従来から広く研究開発が行われている。近年は電子制御装置が外部と通信することが一般的となり、通信を介した攻撃など情報セキュリティに関するセキュリティイベントへの対処も求められる。特許文献１には、外部装置との通信処理を行う通信インタフェース部、サービス不能攻撃の有無を判定し、サービス不能攻撃を検出した場合、前記通信インタフェース部に受信制限を実施させるとともに、セキュリティ処置部に受信制限を行っていることを示す遮断情報データの送信データへの添付を指示する判定部と、前記判定部からの指示に従い、送信時にセーフティ処理部からの送信データに対し、前記外部装置からの受信データ中に含まれこの外部装置に送り返す折り返しデータを前記遮断情報データへ付け替えるセキュリティ処置部と、を有するセキュリティ処理部、および、受信データに含まれる所定のデータを基に、該受信データの完全性をチェックするためのブラックチャネル診断を実施するブラックチャネル診断部と、前記外部装置への送信データに対し、前記折り返しデータを含む、ブラックチャネル診断のための所定のデータを添付し、前記セキュリティ処置部に渡すブラックチャネル送出部と、を有するセーフティ処理部、を備える制御装置が開示されている。

日本国特開２０１７－２１５７８８号公報

　特許文献１に記載されている発明では、セキュリティイベントへ対処する機能を全て開発する必要がある。

　本発明の第１の態様による電子制御システムは、装置の動作を記録したログを読み込み、情報セキュリティに関するイベントであるセキュリティイベントを検出するセキュリティイベント解析部と、機能安全に関するイベントであるセーフティイベントに対する対処であるセーフティ機能を実行するために作成されたセーフティ機能実行部と、前記セキュリティイベントに対する対処であるセキュリティ機能が実行可能なセキュリティ機能実行部と、前記セキュリティイベントに対応する前記セーフティ機能および前記セキュリティ機能の少なくとも一方を示す対応情報が格納される記憶部と、前記セキュリティイベント解析部が検出した前記セキュリティイベントに対応する機能を前記対応情報に基づき特定し、特定した機能を前記セーフティ機能実行部および前記セキュリティ機能実行部の少なくとも一方に実行させる決定部と、を備え、前記対応情報において、少なくとも１つの前記セキュリティイベントに分類される前記イベントは、前記セーフティ機能と対応するように記録される。

　本発明によれば、セキュリティイベントへの対処にセーフティイベントへの対応機能を用いることで、セキュリティイベントへ対処する機能の開発を低減できる。

実施の形態における電子制御システムの構成図機能安全対処表の一例を示す図情報安全対処表の一例を示す図ゲートウエイの処理を示すフローチャート変形例１におけるゲートウエイの処理を示すフローチャート変形例７におけるゲートウエイの構成図

（用語の定義）
　本明細書では「セーフティ」および「セキュリティ」は次の意味で用いる。「セーフティ」とは、機能安全を意味し、たとえばＩＳＯ２６２６２に定義されている「電気電子システムの機能不全のふるまいにより引き起こされるハザードが原因となる、不合理なリスクの不在」である。「セキュリティ」とは、情報セキュリティを意味し、たとえば情報の機密性、完全性、可用性が保たれることとである。なお以下では「セキュリティ」を「情報安全」とも呼ぶ。

　また本明細書では、セーフティが脅かされている状態、またはセーフティが保たれていない状態を「セーフティ事例」や「セーフティイベント」と呼び、セーフティ事例を解消または緩和するための動作や処理を「セーフティ機能」と呼ぶ。同様に、セキュリティが脅かされている状態、またはセキュリティが保たれていない状態を「セキュリティ事例」や「セキュリティイベント」と呼び、セキュリティ事例を解消または緩和するための動作や処理を「セキュリティ機能」と呼ぶ。

　セーフティ事例にはたとえば、装置の故障や通信の断絶などが含まれる。セキュリティ事例にはたとえば、パラメータの書き換え、侵入の検知、および通信品質の低下などが含まれる。セーフティ機能には、機能を低下させて動作を維持する縮退動作の有効化が含まれる。セキュリティ機能には、パラメータの初期化などが含まれる。

―実施の形態―
　以下、図１～図４を参照して、電子制御システム１の実施の形態を説明する。

　図１は、実施の形態における電子制御システム１の構成図である。電子制御システム１は、車両に搭載されるゲートウエイ２０と、ＥＣＵ３０と、ＴＣＵ４０とを含む。ゲートウエイ２０とＴＣＵ４０との間の通信、およびゲートウエイ２０とＥＣＵ３０との間の通信に用いる通信規格は任意であり、たとえばＩＥＥＥ８０２．３が用いられる。

　ゲートウエイ２０は、車両の内部における通信を統括する装置である。ＥＣＵ３０は、電子制御装置（Electronic Control Unit）であり、車両に搭載されるさまざまな機器からログを収集してゲートウエイ２０に提供する。さらにＥＣＵ３０は、ゲートウエイ２０の動作指令に基づきセーフティ対応およびセキュリティ対応を行う。ＴＣＵ４０は、テレマティクス制御ユニット（Telematic control unit）であり、車両の外部と無線通信を行う。ＴＣＵ４０が外部から受信したデータは、ゲートウエイ２０を介してＥＣＵ３０に送信される。

　ゲートウエイ２０およびＥＣＵ３０は、中央演算装置であるＣＰＵ、読み出し専用の記憶装置であるＲＯＭ、および読み書き可能な記憶装置であるＲＡＭを備え、ＣＰＵがＲＯＭに格納されるプログラムをＲＡＭに展開して実行することで後述する機能を実現する。ゲートウエイ２０およびＥＣＵ３０は、ＣＰＵ、ＲＯＭ、およびＲＡＭの組み合わせの代わりに書き換え可能な論理回路であるＦＰＧＡ（Field　Programmable　Gate　Array）や特定用途向け集積回路であるＡＳＩＣ（Application　Specific　Integrated　Circuit）により実現されてもよい。またゲートウエイ２０およびＥＣＵ３０は、ＣＰＵ、ＲＯＭ、およびＲＡＭの組み合わせの代わりに、異なる構成の組み合わせ、たとえばＣＰＵ、ＲＯＭ、ＲＡＭとＦＰＧＡの組み合わせにより実現されてもよい。

　ゲートウエイ２０はその機能として、ログ収集部２１と、機能安全解析部２２１と、情報安全解析部２２２と、ＧＷ記憶部２３と、決定部２４と、通信部２９とを備える。ログ収集部２１、機能安全解析部２２１、情報安全解析部２２２、決定部２４、および通信部２９は、前述のＣＰＵなどにより実現される。ＧＷ記憶部２３は、不揮発性の記憶装置、たとえばフラッシュメモリにより実現される。なお以下では、機能安全解析部２２１を「セーフティイベント解析部」とも呼び、情報安全解析部２２２を「セキュリティイベント解析部」とも呼ぶ。

　ログ収集部２１は、ＥＣＵ３０のＥＣＵ記憶部３３からセーフティログ３３１およびセキュリティログ３３２を収集してＧＷ記憶部２３に格納する。ただし図１では作図の都合によりＧＷ記憶部２３にはセーフティログ３３１およびセキュリティログ３３２を記載していない。機能安全解析部２２１は、ＧＷ記憶部２３に格納されたセーフティログ３３１を解析してセーフティ事例を特定し、イベントＩＤを付与する。本実施の形態では、セーフティ事例のイベントＩＤは「Ｐ」と数字の組み合わせにより表現する。機能安全解析部２２１はたとえば、ログに含まれる文字列とあらかじめ定められた文字列との一致、またはログに含まれる数値と所定の閾値との大小関係により、セーフティ事例を特定する。

　情報安全解析部２２２は、ＧＷ記憶部２３に格納されたセキュリティログ３３２を解析してセキュリティ事例を特定し、イベントＩＤを付与する。本実施の形態では、セキュリティ事例のイベントＩＤは「Ｑ」と数字の組み合わせにより表現する。情報安全解析部２２２はたとえば、ログに含まれる文字列とあらかじめ定められた文字列との一致、またはログに含まれる数値と所定の閾値との大小関係により、セキュリティ事例を特定する。

　ＧＷ記憶部２３には、あらかじめ作成された、機能安全対処表２３１および情報安全対処表２３２が格納される。機能安全対処表２３１は、セキュリティ事例への対処方法が記載されている。情報安全対処表２３２には、セーフティ事例への対処方法が記載されている。機能安全対処表２３１および情報安全対処表２３２の詳細は後述する。決定部２４は、機能安全解析部２２１および情報安全解析部２２２が検出したセキュリティ事例およびセーフティ事例に対する対処を決定し、その決定内容をＥＣＵ３０に送信する。決定部２４は、それぞれの事例に対する対処を決定するために、機能安全対処表２３１および情報安全対処表２３２を参照する。なお以下では、機能安全対処表２３１および情報安全対処表２３２をあわせて、対処表２３３とも呼ぶ。

　通信部２９は、ゲートウエイ２０の本来的な機能を実現し、たとえばＴＣＵ４０から受信したデータの宛先決定やフィルタリングなどを行う。ただし通信部２９が行う処理の詳細は本実施の形態では説明しない。

　ＥＣＵ３０は、その機能として、機能安全機能実行部３１と、情報安全機能実行部３２と、ＥＣＵ記憶部３３と、車両内ログ収集部３４とを備える。機能安全機能実行部３１および情報安全機能実行部３２は、前述のＣＰＵなどにより実現される。機能安全機能実行部３１および情報安全機能実行部３２は、ＧＷ２０の決定部２４が送信する動作指令に基づき動作する。決定部２４が送信する動作指令は、あらかじめ定められたいずれかの動作指令であり、本実施の形態ではこれらの指令をアルファベットと数字を組み合わせた識別子で表す。さらにこの識別子のアルファベットは、機能安全機能実行部３１を動作させる識別子には「Ｅ」を用い、情報安全機能実行部３２を動作させる識別子には「Ｆ」を用いる。

　機能安全機能実行部３１は、ゲートウエイ２０から送信される動作指令に基づき、セーフティ事例への対処を行う。機能安全機能実行部３１はたとえば、ゲートウエイ２０からの動作指令に基づき、車両の動力源、たとえばモータに対して停止指令を出力する。機能安全機能実行部３１の動作は、国際規格である「ISO26262　Part 3 section 7.4.2.3」の規定に適合するものである。情報安全機能実行部３２は、ゲートウエイ２０から送信される動作指令に基づき、セキュリティ事例への対処を行う。情報安全機能実行部３２はたとえば、ゲートウエイ２０からの動作指令に基づき、前照灯のコントローラに対してパラメータの初期値指令を出力する。なお以下では、機能安全機能実行部３１を「セーフティ機能実行部」とも呼び、情報安全機能実行部３２を「セキュリティ機能実行部」とも呼ぶ。

　車両内ログ収集部３４は、車両に搭載されるさまざまな装置から動作ログを収集し、ＥＣＵ記憶部３３にセーフティログ３３１およびセキュリティログ３３２として格納する。セーフティログ３３１およびセキュリティログ３３２は、ログの収集先の装置により分類されてもよいし、ログの内容に基づき分類されてもよい。具体的には以下のとおりである。たとえば車両の移動に関与する、モータやブレーキを制御する装置のログはセーフティログ３３１として格納し、それ以外の前照灯を制御する装置のログはセキュリティログ３３２として格納してもよい。またたとえば、ログがあらかじめ「debug」、「notice」、「warn」、「error」と深刻さに応じてタグ付けされている場合には、「debug」と「notice」のタグが付されたログはセキュリティログ３３２として格納し、「warn」と「error」のタグが付されたログはセーフティログ３３１として格納する。

　ＥＣＵ記憶部３３は、不揮発性の記憶装置、たとえばフラッシュメモリにより実現される。ＥＣＵ記憶部３３には、セーフティログ３３１およびセキュリティログ３３２が格納される。

　図２は、機能安全対処表２３１の一例を示す図である。機能安全対処表２３１は複数のレコードを含む。機能安全対処表２３１の各レコードは、イベントＩＤ２３１１、対象２３１２、種別２３１３、および対処２３１４のフィールドを有する。イベントＩＤ２３１１のフィールドには、イベントの識別子が格納される。対象２３１２のフィールドには、対処を行う装置の識別情報が格納される。種別２３１３のフィールドには、対処の種類を示す情報が格納されるが、機能安全対処表２３１では「セーフティ」のみが格納される。対処２３１４のフィールドには、対処として実行する処理の内容、または対処として実行する処理の識別子が格納される。

　図２に示す最初のレコードは、イベントＰ１が発生した際にはＥＣＵ３０においてセーフティに分類される「Ｅ１」の処理を実行することが記載されている。また図２に示す３番目のレコードは、イベントＰ３が発生した際にはゲートウエイ２０においてセーフティに分類される「Ｅ３」の処理を実行することが記載されている。

　図３は、情報安全対処表２３２の一例を示す図である。情報安全対処表２３２は複数のレコードを含む。情報安全対処表２３２の各レコードは、イベントＩＤ２３２１、対象２３２２、種別２３２３、および対処２３２４のフィールドを有する。各フィールドに格納される情報は、機能安全対処表２３１の同名のフィールドに格納される情報と同様なので詳細は省略する。ただし種別２３２３のフィールドには、「セーフティ」だけでなく「セキュリティ」も格納されうる。

　図３に示す最初のレコードは、イベントＱ１が発生した際にはＥＣＵ３０において「セキュリティ」に分類される「Ｆ１」の処理を実行することが記載されている。図３に示す２番目のレコードは、イベントＱ２が発生した際にはＥＣＵ３０において「セーフティ」に分類される「Ｅ５」の処理を実行することが記載されている。図３に示す３番目のレコードは、イベントＱ３が発生した際にはＥＣＵ３０において「セーフティ」に分類される「Ｅ２」の処理、および「セキュリティ」に分類される「Ｆ２」の処理を実行することが記載されている。

　図４は、ゲートウエイ２０の処理を示すフローチャートである。ゲートウエイ２０のログ収集部２１、機能安全解析部２２１、情報安全解析部２２２、および決定部２４は、ゲートウエイ２０の電源がオンの間は図４に示す処理を繰り返し実行する。ステップＳ３０１では、ログ収集部２１がＥＣＵ３０からログ、すなわちセキュリティログ１２１およびセーフティログ１２２を収集する。ゲートウエイ２０は、ステップＳ３０１の処理が完了すると、ステップＳ３０２の処理とステップＳ３０５の処理を並列に実行する。

　ステップＳ３０２では機能安全解析部２２１は、ステップＳ３０１において収集されたセーフティログ３３１を解析してセーフティ事例を特定し、イベントＩＤを付与する。続くステップＳ３０３では決定部２４は、機能安全対処表２３１を参照し、セーフティ機能を有効化すべきセーフティ状態にあるか否かを判断する。決定部２４は、セーフティ機能を有効化すべきと判断する場合はステップＳ３０４に進み、セーフティ機能を有効化すべきではないと判断する場合はステップＳ３０１に戻る。本ステップの具体的な処理は次のとおりである。

　決定部２４は、ステップＳ３０２において特定されたイベントＩＤが機能安全対処表２３１のイベントＩＤ２３１１の欄に含まれるレコードを検索する。決定部２４は、そのイベントＩＤをイベントＩＤ２３１１の欄に含むレコードが見つかった場合にはステップＳ３０３を肯定判断し、該当するレコードが見つからない場合にはステップＳ３０３を否定判断する。また決定部２４は、ステップＳ３０２においてイベントＩＤが特定されなかった場合もステップＳ３０３において否定判断する。

　ステップＳ３０４では決定部２４は、機能安全対処表２３１または情報安全対処表２３２を参照してイベントＩＤに対応する対処を特定し、特定した対処を実行させる。対処を実行させる対象は、ＥＣＵ３０またはゲートウエイ２０の通信部２９である。

　ステップＳ３０５では情報安全解析部２２２は、ステップＳ３０１において収集されたセキュリティログ３３２を解析してセキュリティ事例を特定し、イベントＩＤを付与する。続くステップＳ３０６では決定部２４は、情報安全対処表２３２を参照し、セーフティ機能を有効化すべきセキュリティ状態にあるか否かを判断する。決定部２４は、セーフティ機能を有効化すべきセキュリティ状態にあると判断する場合はステップＳ３０４に進み、セーフティ機能を有効化すべきセキュリティ状態にないと判断する場合はステップＳ３０７に戻る。本ステップの具体的な処理は次のとおりである。

　決定部２４は、ステップＳ３０５において特定されたイベントＩＤが情報安全対処表２３２のイベントＩＤ２３２１の欄に含まれるレコードを検索する。決定部２４は、そのイベントＩＤをイベントＩＤ２３２１の欄に含むレコードを特定し、そのレコードの種別２３２３が「セーフティ」の場合は肯定判断する。決定部２４は、そのイベントＩＤをイベントＩＤ２３２１の欄に含むレコードが発見できない場合や、そのレコードの種別２３２３が「セーフティ」の場合は否定判断する。

　ステップＳ３０７では決定部２４は、情報安全対処表２３２を参照し、セキュリティ機能を有効化すべきセキュリティ状態にあるか否かを判断する。決定部２４は、セキュリティ機能を有効化すべきセキュリティ状態にあると判断する場合はステップＳ３０８に進み、セキュリティ機能を有効化すべきセキュリティ状態にないと判断する場合はステップＳ３０１に戻る。本ステップの具体的な処理は次のとおりである。

　決定部２４は、ステップＳ３０５において特定されたイベントＩＤが情報安全対処表２３２のイベントＩＤ２３２１の欄に含まれるレコードを検索する。決定部２４は、そのイベントＩＤをイベントＩＤ２３２１の欄に含むレコードを特定し、そのレコードの種別２３２３が「セキュリティ」の場合は肯定判断する。決定部２４は、そのイベントＩＤをイベントＩＤ２３２１の欄に含むレコードが発見できない場合は否定判断する。以上が図３に示す処理の説明である。

　上述した実施の形態によれば、次の作用効果が得られる。
（１）電子制御システム１は、車両に搭載される様々な装置の動作を記録したログを読み込み、情報セキュリティに関するイベントであるセキュリティイベントを検出するセキュリティイベント解析部２２２と、機能安全に関するイベントであるセーフティイベントに対する対処であるセーフティ機能を実行するために作成されたセーフティ機能実行部３１と、セキュリティイベントに対する対処であるセキュリティ機能が実行可能なセキュリティ機能実行部３２と、セキュリティイベントに対応するセーフティ機能およびセキュリティ機能の少なくとも一方を示す対処表２３３が格納されるＧＷ記憶部２３と、セキュリティイベント解析部２２２が検出したセキュリティイベントに対応する機能を対応情報に基づき特定し、特定した機能をセーフティ機能実行部３１およびセキュリティ機能実行部３２の少なくとも一方に実行させる決定部２４と、を備える。対処表２３３において、図３に示す例におけるイベントＱ２やＱ３のように、少なくとも１つのセキュリティイベントに分類されるイベントは、セーフティ機能と対応するように記録される。

　そのため、セーフティ機能実行部３１を利用して一部のセキュリティイベントに対応できるため、セキュリティ機能実行部３２はその一部を除いたセキュリティイベントに対応すればよく、セキュリティ機能実行部３２の開発を低減できる。具体的には、セキュリティ機能実行部３２が実行する機能を減らすことができるので、開発工数および検証工数を削減でき、コストも削減される。

　本実施の形態における技術的思想は次のとおりである。セーフティへの対応は、ISO26262などのように規格化されており、長年の研究開発に基づき熟練されている。その一方で、セキュリティへの対応は、セーフティに比較すれば歴史が浅く、新たに対処すべき事項が発見されることも多い。直接的な解決手法として、セーフティ事案とセキュリティ事案のそれぞれに対して個別の対応をとることができるが、同一または包含関係にある対応策も存在する。換言すると、一部のセキュリティ事案はあるセーフティ対応策により対応が可能であり、一部のセーフティ事案はあるセキュリティ対応策により対応が可能である。

　ここで、セキュリティ対応とセーフティ対応の開発の歴史、や資産の活用を考慮すると、開発済みのセーフティ対応策は開発済のセキュリティ対応策よりも多く、安定性の面でも利点があると考えられる。そのため、セーフティ対応策により対処可能なセキュリティ事案を事前に特定しておき、情報安全対処表２３２に記載しておくことでそのようなセキュリティ事例はセーフティ対応策により対応する。これによりセキュリティ対応策の開発を低減でき、コスト低減および開発期間短縮の利点が得られる。

（２）電子制御システム１は、ログを読み込み、セーフティイベントを検出するセーフティイベント解析部２２１を備える。対処表２３３には、セーフティイベントに対応するセーフティ機能が示された機能安全対処表２３１が含まれる。決定部２４は、対処表２３３に基づき、セーフティイベント解析部２２が検出したセーフティイベントに対応するセキュリティ機能を特定し、特定したセキュリティ機能をセキュリティ機能実行部３２に実行させる。そのため電子制御システム１は、セーフティイベントに対する対処も実行できる。

（３）セーフティ機能実行部３１は、ISO26262 Part 3 section 7.4.2.3の規定に適合する。そのため電子制御システム１は、信頼性の高いセーフティ機能実行部３１を用いてセキュリティイベントに対処できる。

（変形例１）
　上述した実施の形態における処理を簡略化してもよい。たとえば、並列処理を特に行うことなく、有効化すべき各機能を特定して実行してもよい。

　図５は、変形例１におけるゲートウエイ２０の処理を示すフローチャートである。図４と同一の処理には同一のステップ番号を付して説明を省略する。ステップＳ３０１では、ログ収集部２１がＥＣＵ３０からログ、すなわちセキュリティログ１２１およびセーフティログ１２２を収集する。続くステップＳ３０２Ａでは、機能安全解析部２２１は、ステップＳ３０１において収集されたセーフティログ３３１を解析してセーフティ事例を特定し、イベントＩＤを付与する。続くステップＳ３０５Ａでは、情報安全解析部２２２は、ステップＳ３０１において収集されたセキュリティログ３３２を解析してセキュリティ事例を特定し、イベントＩＤを付与する。

　続くステップＳ３１１では決定部２４は、機能安全対処表２３１および情報安全対処表２３２を参照し、ステップＳ３０２ＡおよびＳ３０５Ａにおいて特定されたイベントＩＤＢに対応する対処を特定する。たとえば図２や図３の例によれば、対処として「Ｅ２」や「Ｆ１」などが特定される。

　続くステップＳ３１２では決定部２４は、有効化すべきセーフティ機能が存在するか否かを判断する。決定部２４は、ステップＳ３１２において肯定判断する場合はステップＳ３０４Ａに進み、否定判断する場合はステップＳ３１３に進む。たとえば決定部２４は、ステップＳ３１１において特定された対処において、「Ｅ」を含む識別子が存在する場合には、有効化すべきセーフティ機能が存在すると判断する。ただし決定部２４は、ステップＳ３０２ＡおよびＳ３０５Ａにおいて特定されたレコードの種別２３１３または種別２３２３の欄の値が「セーフティ」である場合にステップＳ３１２を肯定判断してもよい。

　ステップＳ３０４Ａでは決定部２４は、ステップＳ３１１において有効化すべきと判断したセーフティ機能を有効化してステップＳ３１２に進む。具体的には決定部２４は、有効化すべきセーフティ機能の識別子、たとえば「Ｅ１」などを、その機能を実行する装置、たとえばＥＣＵ３０に送信する。

　ステップＳ３１３では決定部２４は、有効化すべきセキュリティ機能が存在するか否かを判断する。決定部２４は、ステップＳ３１３において肯定判断する場合はステップＳ３０８Ａに進み、否定判断する場合はステップＳ３０１に戻る。たとえば決定部２４は、ステップＳ３１１において特定された対処において、「Ｆ」を含む識別子が存在する場合には、有効化すべきセーフティ機能が存在すると判断する。ただし決定部２４は、ステップＳ３０２ＡおよびＳ３０５Ａにおいて特定されたレコードの種別２３１３または種別２３２３の欄の値が「セキュリティ」である場合にステップＳ３１３を肯定判断してもよい。

　ステップＳ３０８Ａでは決定部２４は、ステップＳ３１１において有効化すべきと判断したセキュリティ機能を有効化してステップＳ３０１に戻る。具体的には決定部２４は、有効化すべきセキュリティ機能の識別子、たとえば「Ｆ１」などを、その機能を実行する装置、たとえばＥＣＵ３０に送信する。以上が図５の説明である。

　この変形例１によれば、より簡素な処理により上述した実施の形態と同様の作用効果を得ることができる。また本変形例では機能安全対処表２３１と情報安全対処表２３２とを一体化してＧＷ記憶部２３に格納してもよい。

（変形例２）
　上述した実施の形態では、ゲートウエイ２０には通信部２９に加えて、ログ収集部２１、機能安全解析部２２１、情報安全解析部２２２、ＧＷ記憶部２３、および決定部２４が含まれた。しかし、ログ収集部２１、機能安全解析部２２１、情報安全解析部２２２、ＧＷ記憶部２３、および決定部２４の機能がそれぞれ異なる装置に搭載されてもよい。図４のフローチャートで示したように、ログ収集部２１、機能安全解析部２２１、情報安全解析部２２２、および決定部２４の処理は相互に関係するが、それぞれが異なる装置により実現される機能であっても、通信により情報を授受することで動作に支障がない。

（変形例３）
　上述した実施の形態において、電子制御システム１は、機能安全解析部２２１を備えなくてもよい。この場合には図４に示したステップＳ３０２およびステップＳ３０３の処理が実行されない。

（変形例４）
　上述した実施の形態において、情報安全解析部２２２は、機能安全解析部２２１による解析結果を参照してもよい。この場合は、セーフティイベントと関連のあるセキュリティイベントの検出に有用である。すなわち本変形例ではセキュリティイベント解析部２２２は、セーフティイベント解析部２２１が検出するセーフティイベント、およびセキュリティログ３３２に基づきセキュリティイベントを検出する。

（変形例５）
　機能安全機能実行部３１と情報安全機能実行部３２は、それぞれ別の装置に搭載されてもよい。さらに機能安全機能実行部３１と情報安全機能実行部３２のそれぞれが、複数の装置に搭載されてもよい。この場合には、機能安全対処表２３１の対象２３１２および情報安全対処表２３２の対象２３２２のフィールドには、処理を実行する装置を特定する情報が格納される。

（変形例６）
　ゲートウエイ２０は、通信を統括する機能である通信部２９を有さなくてもよい。すなわちゲートウエイ２０以外の装置に、ログ収集部２１、機能安全解析部２２１、情報安全解析部２２２、ＧＷ記憶部２３、および決定部２４の機能が搭載されてもよい。

（変形例７）
　図６に示すように、ゲートウエイ２０は、機能安全機能実行部３１、情報安全機能実行部３２、ＥＣＵ記憶部３３、および車両内ログ収集部３４の機能を備えてもよい。この場合には、電子制御システム１はＥＣＵ３０を含まなくてもよい。

　上述した実施の形態は、次の＜１＞～＜４＞のように変形してもよい。
＜１＞ログ収集部２１が収集したセーフティログ３３１およびセキュリティログ３３２は、ＧＷ記憶部２３の代わりに、不図示の一時記憶部に格納されてもよい。
＜２＞ゲートウエイ２０は、複数の装置からログを収集してもよい。
＜３＞ゲートウエイ２０は、ログ収集部２１を備えず、他の装置からログを受信する構成としてもよい。
＜４＞機能安全対処表２３１および情報安全対処表２３２は、一体に構成されてもよい。

　上述した各実施の形態および変形例において、機能ブロックの構成は一例に過ぎない。別々の機能ブロックとして示したいくつかの機能構成を一体に構成してもよいし、１つの機能ブロック図で表した構成を２以上の機能に分割してもよい。また各機能ブロックが有する機能の一部を他の機能ブロックが備える構成としてもよい。

　上述した各実施の形態および変形例において、プログラムは不図示のＲＯＭに格納されるとしたが、プログラムは不揮発性メモリに格納されていてもよい。また、ゲートウエイ２０およびが不図示の入出力インタフェースを備え、必要なときに入出力インタフェースとゲートウエイ２０が利用可能な媒体を介して、他の装置からプログラムが読み込まれてもよい。ここで媒体とは、例えば入出力インタフェースに着脱可能な記憶媒体、または通信媒体、すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号、を指す。また、プログラムにより実現される機能の一部または全部がハードウエア回路やＦＰＧＡにより実現されてもよい。

　上述した各実施の形態および変形例は、それぞれ組み合わせてもよい。上記では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。

１…電子制御システム
２０…ゲートウエイ
２１…ログ収集部
２３…ＧＷ記憶部
２４…決定部
２９…通信部
３１…機能安全機能実行部、セーフティ機能実行部
３２…情報安全機能実行部、セキュリティ機能実行部
３３…ＥＣＵ記憶部
３４…車両内ログ収集部
１２１…セキュリティログ
１２２…セーフティログ
２２１…機能安全解析部、セーフティイベント解析部
２２２…情報安全解析部、セキュリティイベント解析部
２３１…機能安全対処表
２３２…情報安全対処表
２３３…対処表
３３１…セーフティログ
３３２…セキュリティログ

Claims

　装置の動作を記録したログを読み込み、情報セキュリティに関するイベントであるセキュリティイベントを検出するセキュリティイベント解析部と、
　機能安全に関するイベントであるセーフティイベントに対する対処であるセーフティ機能を実行するために作成されたセーフティ機能実行部と、
　前記セキュリティイベントに対する対処であるセキュリティ機能が実行可能なセキュリティ機能実行部と、
　前記セキュリティイベントに対応する前記セーフティ機能および前記セキュリティ機能の少なくとも一方を示す対応情報が格納される記憶部と、
　前記セキュリティイベント解析部が検出した前記セキュリティイベントに対応する機能を前記対応情報に基づき特定し、特定した機能を前記セーフティ機能実行部および前記セキュリティ機能実行部の少なくとも一方に実行させる決定部と、を備え、
　前記対応情報において、少なくとも１つの前記セキュリティイベントに分類される前記イベントは、前記セーフティ機能と対応するように記録される、電子制御システム。
　請求項１に記載の電子制御システムにおいて、
　前記ログを読み込み、前記セーフティイベントを検出するセーフティイベント解析部をさらに備え、
　前記対応情報には、前記セーフティイベントに対応する前記セーフティ機能がさらに格納され、
　前記決定部はさらに、前記対応情報に基づき、前記セーフティイベント解析部が検出した前記セーフティイベントに対応する前記セキュリティ機能を特定し、特定した前記セキュリティ機能を前記セキュリティ機能実行部に実行させる、電子制御システム。
　請求項２に記載の電子制御システムにおいて、
　前記セキュリティイベント解析部は、前記セーフティイベント解析部が検出する前記セーフティイベント、および前記ログに基づき前記セキュリティイベントを検出する、電子制御システム。
　請求項１に記載の電子制御システムにおいて、
　前記セーフティ機能実行部は、ISO26262 Part 3 section 7.4.2.3の規定に適合する、電子制御システム。