本发明设计车辆系统保安领域(vehiclesystemsecurity),更具体地,本发明涉及有关包括在车辆的功能要素(functionalelements)的保安等级的评价及管理方法及其执行装置。
背景技术:
早期的汽车曾经是机械技术的集合体,但随着电子部件逐渐相结合,实现了自动变速,遥控,汽车导航仪等各种各样的功能及服务。不仅如此,还发展到可提供无人驾驶等尖端技术的水平了。与通用的电子部件不同,汽车电子部件出故障会造成大型安全事故。随着车辆内电子部件的比例增加,正在强调“功能安全”的重要性。“功能安全”指不存在不合理的风险(risk),其意味着风险水平合理。合理的风险可指根据电子部件的等级将故障可能发生的概率降低至合理的水平进行管理。因为如电子部件等每个汽车部件由于故障所产生的严重性不同,制定了对应各部件合理地决定风险等级的iso26262标准,在提供为功能安全的风险分析方法及应对方法。但是,如今随着车辆内电子部件数的增加,与车辆内其他部件或其他车辆的网络连接正在实现,并且,除了结合造成的故障以外,需要考虑保安威胁造成的故意故障危险要素的风险分析方法。此外,即使产业保安标准iec62443考虑到了保安威胁的实现可能性,但未考虑到车辆环境的特性。技术实现要素:用于解决问题的手段根据一个侧面,提供由程序实现的车辆保安网络设计装置。所述车辆保安网络设计装置可包括水平分配部,分配提供对于各个车辆内多个功能要素的风险管理标准的asil(automobilesafetyintegritylevel);计算部,以所述多个功能要素之间的连接结构及所述asil的差值为基础,对于各个所述多个功能要素计算控制可能性(device’scontrollability);及管理部,根据所述asil及所述控制可能性,设立所述多个功能要素的风险分析模型进行管理。根据一个实施例,所述计算部可生成包括与各个所述多个功能要素对应的顶点(vertex)及表示所述多个功能要素之间数据是否有收发的包括边缘(edge)的图表。进一步具体地,所述计算部根据相互被连接的两个功能要素之间的数据收发方向,可生成包括单方向边缘(onewayedge)及双方向边缘(twowayedge)中任何一个的所述图表。根据另一个实施例,所述计算部可生成包括在各个边缘的表示两个功能要素之间的所述asil差值的边缘权重矩阵的车辆保安网络设计装置。此外,所述计算部可生成对应于各个所述边缘的所述asil的差值表示在所述边缘的路径的权重有向图(weighted,directedgraph)。根据又另一个实施例,所述计算部可生成表示包括在任何两个顶点之间路径的至少一个边缘的权重值之和的传递闭包矩阵(transitiveclosurematrix)。此外,所述计算部在从第一顶点连接的路径存在的至少一个顶点中,可将使所述asil的差值成为最大值的第二顶点与所述第一顶点的所述asil的差值计算为与所述第一顶点对应的功能要素的控制可能性。根据又另一个实施例,所述计算部在对应于所述第一顶点的所述传递闭包矩阵的第一行值中,可将最大值计算为与所述第一顶点对应的功能要素的控制可能性。根据又另一个实施例,所述水平分配部对于各个所述车辆内的多个功能要素可分配风险发生可能性(likelihood),所述管理部根据所述可能性,所述asil及所述控制可能性,可生成所述多个功能要素的风险分析模型。所述水平分配部以对于各个所述功能要素的威胁实现性及保安脆弱性为基础,根据iec62443可分配所述可能性,且以对于各个所述多个功能要素的事故严重度(severity)、事故暴露概率(probability)及统计可能性为基础,根据iso26262可分配所述asil。根据另一个侧面,提供车辆内功能要素的控制可能性计算方法,可包括:以车辆内多个功能要素之间的连接机构及asil的差值为基础,计算表示多个功能要素的连接状态的边缘权重矩阵的步骤;利用所述边缘权重矩阵计算表示包括在任意的两个顶点之间路径的至少一个边缘的权重值之和的传递闭包矩阵的步骤;及利用从第一顶点连接的路径存在的各个至少一个顶点的所述asil,计算与所述第一顶点对应的功能要素的控制可能性的步骤。根据一个实施例,所述计算边缘权重矩阵的步骤,可进一步包括:生成与所述多个功能要素对应的顶点及表示任意两个顶点之间的数据是否有收发的包括边缘的图表的步骤。根据另一个实施例,所述生成包括边缘的图表的步骤,可包括:根据所述任意的两个顶点的数据收发方向生成包括单方向边缘及双方向边缘中任何一个的所述图表。此外,所述生成包括边缘的图表的步骤,可包括:生成对应于各个边缘的两个顶点的asil差值表示在各个所述边缘的路径的权重有向图的步骤。根据又另一个实施例,计算所述控制可能性的步骤,可包括:对应于所述第一顶点的所述传递闭包矩阵的第一行值中,将最大值计算为对应于所述第一顶点的功能要素的控制可能性的步骤。根据又另一个实施例,所述计算控制可能性的步骤,从第一顶点连接的路径存在的至少一个顶点中,可将第二顶点与所述第一顶点的所述asil的差值计算为对应于所述第一顶点的功能要素的控制可能性,所述第二顶点可表示使所述第一顶点与所述asil的差值成为最大值的顶点。根据又另一个侧面,所述程序包括执行车辆保安网络设计方法的命令语组,所述命令语组,可包括:对于各个车辆内的多个功能要素分配风险发生的可能性的命令语组;对于各个所述车辆内的多个功能要素分配有关风险管理标准的asil的命令语组;以所述多个功能要素之间的连接结构及所述asil的差值为基础,计算对于各个所述多个功能要素的控制可能性的命令语组;及根据所述可能性,所述asil及所述控制可能性生成所述多个功能要素的风险分析模型的命令语组。附图说明图1是示出跟据一个实施例的车辆保安网路设计装置的框图。图2是示出根据一个实施例的车辆内功能要素的控制可能性的计算方法的流程图。图3是示出根据一个实施例的车辆保安网络设计装置生成的车辆内功能要素的图表模型示例图。图4是示出利用根据一个实施例生成的边缘权重矩阵生成的权重有向图的示例图。图5是根据一个实施例的反映控制可能性的有向图的示例图。图6是示出根据一个实施例的包含在车辆内的功能要素的连接关系的示例图。图7a示出根据一个实施例的车辆保安网络设计装置生成的有向图模型。图7b示出在所述图7a生成的有向图模型反映控制可能性的图表模型。具体实施方式有关实施列的,在结构、技能方面的特定说明仅为举例的目的被揭示,可被变形为多种形态执行。因此,实施例并不局限于特定揭示形态,而本说明书的范围包含技术思想所包含的变更、均等物或替代物。第1或第2等术语在说明多种构成要素时可被使用,但这些术语应该以区分一种构成要素与另一种要素为目的被揭示。比如,第1构成要件可被命名为第2构成要件,类似地,第2构成要件可被命名为第1构成要件。当某种构成要件被提为与另一种构成要件“已被连接”时,应理解为另一种构成要件可能与构成要件被直接连接或被直接接入,也有可能中间存在着其它构成要件。单数表达在语境上如没有明确的不同用处,还包含复数语义。在本说明中,“包含”,或“具有”等词语用于指明在记载于说明书上的特征﹑数字﹑步骤﹑动作﹑构成因素或其组合的概念,不应被理解为用于提前排除一个或一个以上的其他特征或数字﹑步骤﹑动作﹑构成因素或其组合的概念或附加可能性。如没有另外定义,在此用到的所有词语,包括技术性或科学性词语,在实施列所述
技术领域:
中具有通常知识者通常理解的语义相同。像词典上有定义的一般用词语的语义应被解释为与有关技术在语境上所具有的语义相同的语义。如在本专利申请没有明确的定义,不应被解释为过于形式化的语义。以下,将参照附加图面对实施例进行具体说明。此外,在参照附图进行说明的过程中,与图面符号无关,相同的构成要素赋予相同的参照符号,对此的重复说明给予省略。图1是示出跟据一个实施例的车辆保安网路设计装置的框图。根据一个实施列的车辆保安网络设计装置100可包括程序。参照图1,车辆保安网络设计装置110可包括由所述程序所述程序至少在一时被实现的水平分配部110、计算部120及管理部130。水平分配部110可分配提供对于各个车辆内功能要素的风险管理标准的asil(automobilesafetyintegritylevel)。进一步具体地,水平分配部110以以下数学式1为基础,可分配连接于车辆的can(controllerareanetwork)的多个功能要素各个的asil。但是,can只不过是根据一些实施例管理的车辆内部网络(intravehiclenetwork:ivn)的一个例子,以can为例子进行说明,并不意味着本发明的范围局限于此。[数学式1]asil=severity×probability×controllability水平分配部110可在反映设备故障(fault)或功能失败(failure)发生的危险(hazard)的事故的严重(severity)水平及反映车辆驾驶情况(operationalsituation)的暴露可能性(probabilityofexposure)水平及机械性的故障发生的情况下也可由驾驶人的控制防止事故,因此,可通过组合这种驾驶人的控制可能性(controllability)分配asil水平。根据一个实施例,在水平分配部110的asil水平分配上可利用iso26262标准。水平分配部110为了分配有关风险管理标准的asil等级,可将事故的严重水平判断为如下。示例性评价矩阵介绍为如下表1。[表1]说明无受伤轻伤致命伤(生命威胁)严重水平ss0s1s2此外,水平分配部110可将关于危险要素的暴露可能性水平判断为如下。示例性评价矩阵可介绍为如下表2。[表2]暴露可能性水平e可能性概率范围(x)频率e0没有e1非常低一年一次e2低x<1%一年多次e3中1%≤x<10%一个月一次e4高10%≤x驾驶中常常此外,水平分配部110在可能发生事故的情况下,由驾驶人的控制可摆脱危险的控制可能性水平以如下方式进行判断。示例性评价矩阵可介绍为如下表3。[表3]如上,可根据危险判断事故严重水平、反映车辆驾驶状况的曝光可能性及驾驶人的统计可能性,水平分配部110可通过组合这些分配asil等级。示例性矩阵可介绍为如下表4。[表4]在所述表4,qm(qualitymanagement)可表示无特别要求的基本要素。从asila越向asild可表示为风险管理被要求的标准越变高的等级。即使如上所说明的各个评价水平可表现为如表4一样的等级化的结果,在其它实施例也可表现为将各个评价水平作为要素(element)的风险水平向量(risklevelvector)。此外,根据一个实施例,水平分配部110可对车辆内的各个多个功能要素以预定标准分配风险发生的可能性(likelihood)。进一步具体地,水平分配部110能以下面数学式2为基础分配风险发生的可能性。[数学式2]likelihood=likelihoodofexploitedvulnerability×likelihoodofrealizedthreat水平分配部110如所述数学式2一样,可根据保安上的脆弱性(likelihoodofexploitedvulnerability)及威胁的实现性(likelihoodofrealizedthreat)组合分配风险发生的可能性。进一步具体地,水平分配部110可将威胁的实现性水平作为对于保安攻击的潜在性可能性进行评价,具体地,可通过考虑攻击者的人力资源、物质资源、所需时间等进行选定。也就是说,对攻击所需要的相关知识及经验的水平越低,或者对攻击所需要的装备水平越低,或者对攻击所需要的时间越短,威胁的实现性水平被评价的就越高。在下面表5至表6介绍了示例性的评价矩阵。[表5][表6]此外,水平分配部110可根据对象系统的开放性评价保安脆弱性暴露水平,这可根据攻击对象的信息怎样向外部公开、适用频率、接近方法进行评价。也就是说,对象系统的适用频率越高、或者被公开的信息越多、或者接近水平越开放,保安脆落性暴露水平被评价地越高。在如下表7至表8示出的示例性的评价矩阵。[表7][表8]水平分配部110根据被分配的威胁的实现性水平及保安脆弱性暴露水平的组合,可将风险发生的可能性分配为如下表9。[表9]计算部120以所述车辆内多个功能要素之间的连接结构及所述asil等级的差异值为基础,可计算对于各个所述多个功能要素的控制可能性(device'scontrollability)。在本实施例所计算的控制可能性为与在iso26262标准定义的由使用者的控制可能性具有区别的概念,为了考虑车辆内网络上各个功能要素之间的连接及相互之间的控制可能性,在此重新别下定义的因素(factor)。根据一个实施例,计算部(120)生成与各个多个功能要素对应的顶点(vertex)及表示所述多个功能要素之间的数据是否有收发的包括边缘(edge)的图表。在此,边缘可为根据数据的收发方向的,相互被连接的两个功能要素(顶点)之间的单方向边缘(onewayedge)及双方向边缘(twowayedge)中任何一个。此外,计算部120生成包括在边缘的两个功能要素之间的表示asil差异值的边缘权重矩阵。并且,计算部120计算出包括在任意的两个顶点之间的路径的表示至少一个边缘的权重值之和的传递闭包矩阵(transitiveclosurematrix)。此外,计算部120对于各个顶点,找出从顶点vi可收到数据的,换句话来说对于vi可到达(reachable)的顶点vj(0≤j<k),找出vi与asil等级之差最大的与vj的等级之差。这可在传递闭包矩阵(transitiveclosurematrix)t中的第(i+1)行的所有值中取最大的值可进行计算。计算部120将其导出为对于顶点的设备控制可能性(device’scontrollability:dc)。具体例子将参照后面的图进行说明。管理部130可根据所述asil、所述可能性及所述控制可能性生成新的所述多个功能要素的风险分析模型进行管理。根据本实施例的asil可根据iso26262标准表示被计算的等级。根据此,asil还可以考虑潜在性威胁发展至潜在性威胁时起到作用的车辆驾驶情况及驾驶人的控制可能性等因素。但是,iso26262的标准被假设为概率性地发生作为对威胁发生的原因的故障(faultorerror)及功能失败等。但是,保安威胁与单纯的机械故障不同,可由具有智能的攻击者的故意发生。因此,根据本实施例的风险发生可能性如iec62443一样,还可以考虑对保安威胁的可能性等因素。根据本实施例的车辆保安网络设计装置通过覆盖两个标准iso26262及iec62443可考虑的风险分析因素,从而,可期待弥补对于各个功能要素的风险分析准确性的效果。管理部130可将如上被新地分析的车辆保安管理等级管理为s-asil(security-asil)。具体内容将参照图7等以举例的方式进行说明。在以下附加说明将具体记载有关各个多个功能要素的控制可能性计算方法。图2是示出根据一个实施例的车辆内功能要素的控制可能性的计算方法的流程图。参照图2,车辆内功能要素的控制可能性计算方法可包括根据车辆内设备之间的连接状态计算边缘权重矩阵的步骤210、利用所述边缘权重矩阵计算传递闭包矩阵的步骤220及利用所述传递闭包矩阵计算设备控制可能性的步骤230。如今,包括在车辆内的ecu(electroniccontrolunit)、各种传感器、驱动器(actuator)可通过网络被连接,相互收发各种各样的数据。如上所述的多个设备的有机连接,使车辆实现以使用者为中心的界面,但也存在成为外部侵入者的攻击路径的危险性。侵入者可通过其它设备的缺陷,以迂回的方式间接攻击保安完整的设备。为了考虑如上所述的可能性,车辆保安网络设计装置可生成在车辆内的网络上与独立的设备对应的功能要素之间的连接及相互之间的控制可能性生成风险分析模型。在步骤210,车辆保安网络设计装置能以车辆内多个功能要素之间的连接结构为基础生成图表模型。在以下说明,功能要素作为与车辆有关的各个多个功能要素的最少单位,可表示作为一个电子部件执行的功能单位。车辆保安网络设计装置可生成包括与各个多个功能要素对应的顶点(vertex)及所述多个功能要素之间的连接关系的边缘(edge)的图标模型g=(v,e)。作为例子,在车辆内存在k个功能要素的情况下,顶点可被定义为作为各个功能要素被定义的vi∈v(0≤i<k)。此外,边缘表示多个功能要素之间的连接关系及数据是否有收发,并且,可被定义为(vi,vj)∈e(i≠j,0≤i,j<k)。进一步具体地,车辆保安网络设计装置根据相被连接的两个功能要素的数据收发方向,可生成包括单方向边缘(onewayedge)及双方向边缘(twowayedge)中任何一个的图标模型。根据另一个实施例,车辆保安网络设计装置为了防止由于如黑客等保安威胁功能要素之间的数据收发的方向性被变更的情况,可实现单方向上传系统(onewayuploadingsystem),并且,在物理上,将两个设备之间的通信方向固定在特定方向。根据一个实施例,这种单方向上传系统可具有为各个功能要素连接至网络进行路由的,被设置于网关(gateway)等的物理性及/或软件性功能。也就是说,当具有可从顶点vi向顶点vj发送数据的单方向连接边缘,相反,从顶点vj不能向顶点vi发送数据时,所述单方向上传系统成为将这个方向性以不可逆的方式保持的手段。这种单方向上传系统保障对功能要素评价的保安等级与其管理模型的有效性。因此,根据实施例保安等级被设定,管理时,保安攻击者不能对单方向上传系统进行接近或修改。同时,根据另一个实施例,所述单方向上传系统在物理上配置于顶点vi与顶点vj之间,可成为防止数据传送方向被变更的手段。作为网络要素,这种单方向上传系统通过保持在原来的连接拓扑的边缘方向,保障根据一些实施例的保安等级的评价、设定与管理有效性。此外,单方向上传系统可由网络及可应用于通信领域的其他应用得意实现,并且,虽不进行详细说明,所属领域的技术人员可想出的单方向上传系统的结构与动作应被理解为在一些实施例可采用。此外,在步骤210车辆保安网络设计装置可利用被生成的有向图模型,以多个功能要素之间的连接机构及asil等级的差异值为基础,可计算边缘权重矩阵(edgeweightmatrix)w。当存在于车辆内网络的多个功能要素利用通过ecu(electroniccontrolunit)被连接的结构时,车辆保安网络设计装置可利用不定向(undirected)图标模型。但是,在实际车辆应该存在如从所述控制器到驱动器的数据收发一样,不是单纯连接关系的数据被收发的方向。根据本实施例的车辆保安网络设计装置可利用反应这种数据流动的有向图模型生成进一步具体的风险分析模型。进一步具体地,车辆保安网络设计装置可利用如下数学式3及数学式4计算边缘权重矩阵w。[数学式3][数学式4]车辆保安网络设计装置内的计算部能以与各个功能要素对应的asil等级为基础定义代表值a(vi)。示例性地,代表值a(vi)当与功能要素对应的顶点vi的asil等级为qm时0,当与功能要素对应的顶点vi的asil等级为asila至asild等级时可被定义为分别返还1至4的值,但不限于此。此外,wi,j(0≤i,j<k)表示对边缘(vi,vj)的a(vi)及a(vj)的差异值,并且,可如所述数学式4一样被定义。此外,车辆保安网络设计装置可生成与各个边缘对应的代表值a(vi)的差异值表示在所述边缘的路径上的权重有向图(weighted,directedgraph)。在以下将参照附加图进一步具体地说明被生成的有关权重有向图。在步骤220,车辆保安网络设计装置可利用在步骤210被计算的边缘权重矩阵生成传递闭包矩阵(transitiveclosurematrix)。进一步具体地,车辆保安网络设计装置内的计算部可计算包括表示在任意两个顶点之间的路径的所有边缘权重值的总和(totalsum)的传递闭包矩阵。作为例子,计算部可如以下数学式5及数学式6一样计算传递闭包矩阵t。[数学式5][数学式6]由车辆保安网络设计装置计算的传递闭包矩阵t的元素ti,j(0≤i,j<k)可表示在两个顶点vi及vi之间的路径上的所述边缘的权重值总和。进一步具体地,元素ti,j可定义为所述数学式6。在所述数学式6,顶点vx至vy可表示存在于两个顶点vi及vj之间的路径上的所有顶点。如果没有元素ti,j的值(nil),可表示在两个顶点vi及vj之间不存在路径。如存在元素ti,j的值,可表示顶点vi及vj之间存在一个以上的路径。最终,因为元素ti,j的值与a(vi)及a(vj)的差值相同,存在两个以上的路径的情况下,各个路径上的所述边缘的权重值之和应该相同。在步骤230,车辆保安网络设计装置可利用所述传递闭包矩阵计算与多个功能要素对应的设备的控制可能性。进一步具体地,车辆保安网络设计装置内的计算部可将与第一顶点对应的所述传递闭包矩阵的第一行值中,将最大值计算为与所述第一顶点对应的功能要素的控制可能行。此外,计算部可表示所述第一顶点可达成的(reachable),存在从第一顶点连接的路径的顶点vj(0≤j<k)中表示两个顶点之间的asil等级的差值最大的。此外,因为在控制可能性中,负数无意义,车辆保安网络设计装置对于负数,可将控制可能性视为0。在上述说明提供了车辆保安网络设计装置利用于生成风险分析模型的图表模型及建模算法。在以下,将进一步具体地说明在例子中的车辆内的有无线网络(ivn:in-vehiclenetworking)环境,风险分析模型被生成的过程。图3是示出根据一个实施例的车辆保安网络设计装置生成的车辆内功能要素的图表模型示例图。参照图3,图3示出了包含在车辆内的23个功能要素v0至v22及将它们之间的两连接关系表现为有向边缘的图表模型的示例图。作为例子,各个功能要素可被分类至车辆内的相互不同的功能区域内。根据一个实施例,在通信单元内可包括从第一顶点v0至第三顶点v2。根据一个实施例,在娱乐信息内可包括第四顶点v3至第七顶点v6。类似地,在引擎内可包括第十七顶点v16至第十五顶点v14。此外,在引擎内可包括第十七顶点v16至第二十顶点v19。此外,在制动器内可包括第二十一顶点v20至第二十三顶点v22。表示于各个顶点内的asil等级如前述的图1一样,可表示由车辆保安涉及装置内的水平分配部被分配的asil等级。作为例子,各个asil等级可根据iso26262标准进行评价。图4是示出利用根据一个实施例生成的边缘权重矩阵生成的权重有向图的示例图。参照图4,图4示出了在图3说明的对于车辆内多个功能要素生成的权重有向图表。车辆保安网络设计装置根据所述数学式3及所述数学式4,可生成包括在各个边缘的两个功能要素之间的asil等级的差值的边缘权重矩阵w。在图3说明的根据实施列的对于车辆内多个功能要素的边缘权重矩阵w能以如下表10的方式计算。[表10]作为例子,第十顶点v9及第十一顶点v10的asil等级可分别被分配为asilb及asild。在此情况下,对于相应于asil等级的代表值a(vi)的a(v9)可被决定为2,a(v10)可被决定为4。从而,车辆保安网络设计装置可将边缘权重矩阵w的元素w9,10=a(v10)-a(v9)作为2进行计算。类似地,车辆保安网络设计装置可计算出边缘权重矩阵w的各个元素的值。因为在所述表10,nil的值为不存在的值,未进行表示。图4的权重有向图可包括23个顶点。此外,可包括分别对应于23个顶点的表示功能要素的数据收发关系的边缘。所述边缘可表示单方向边缘及双方向边缘中任何一个。此外,权重有向图可将根据边缘被连接的对应于两个顶点的asil等级的代表值a(vi)的差值表示在各个边缘的路径。图5是根据一个实施例的反映控制可能性的有向图的示例图。根据所述数学式5及所述数学式6,车辆保安网络设计装置可利用在图4说明的权重有向图计算传递闭包矩阵t。作为例子,参照图4中的图表,从第十顶点v9连接至第十四顶点v13的最短路径可存在两个。进一步具体地,第一路径p1可表示经过顶点v9,v10及v13的路径。此外,第二路径p2可表示经过v9,v12及v13的路径。从而,车辆办案网络设计装置内的计算部可将传递闭包矩阵t的元素t9,13=w9,10+w10,13=w9,12+w12,13作为2进行计算。如前所述,无论跟从哪一个路径,最终元素ti,j由a(vj)-a(vi)被计算,其结果值应相同。作为例子,可利用在图4所说明的权重有向图,计算出被计算的传递闭包矩阵t能以如下表一的方式被计算。[表11]此外,如表11,车辆保安网络设计装置可利用传递闭包矩阵计算出对于各个功能要素的控制可能性(dc:device'scontrollability)。车辆保安网络设计装置可将顶点vi的控制可能性定义为dci。作为例子,在计算第10顶点v9的控制可能性的情况下,车辆保安网络设计装置可将第10行的数据值中,将最大值计算为第10顶点v9的控制可能性。进一步具体地,记载于表11的专递闭包矩阵的第10行的t9,j为0,0,1,-1,-2,…,2,车辆保安网络设计装置可将其中最大的2分配为dc9。在本实施例,控制可能性可从asil等级的差异最小的dci=0到asil等级的差异最大的dci=4,被定义为五个等级。但是,如上所述的有关控制可能性等级的说明仅仅是用于帮助对本发明的理解的,示例性记载,但并不限于此。例如,根据设计者的需要可被给予较具体的控制可能性,并且,被给予较简便的控制可能性的实施例在通常技术人员所知晓的范围内。在图5示出了车辆保安网络设计装置计算车辆内所述功能要素的控制可能性后反应该可能性的图表模型。图6是示出根据一个实施例的包含在车辆内的功能要素的连接关系的示例图。车辆保安网络设计装置能以如下表12的方式接收包括在预定车辆内的各个模块相互收发的数据信息。[表12]参照图6,图6示出了如表12一样被定义的使车辆内有无线网络图示化的示例图。图7a示出根据一个实施例的车辆保安网络设计装置生成的有向图模型。参照图7a,图7a示出了如图12及图6一样被定义的车辆内有无线网络内的多个功能要素之间的连接关系及表示asil等级的有向图表模型。图7b示出在所述图7a生成的有向图模型反映控制可能性的图表模型。根据本实施例的车辆保安网络设计装置可从在图7a说明的有向图表模型计算出边缘权重矩阵w及传递闭包矩阵t。此外,车辆保安网络设计装置可利用传递闭包矩阵t计算与各个功能要素对应的控制可能性dci。对于控制可能性的过程,因为可使用如前所述的说明,将省略重复的说明。参照图7b,除了轮胎压力传感器s2(dc3),雷达s3(dc1),超声波传感器s4(dc1),视野传感模块s5(dc1)及防抱死制动系统c1(dc1)以外,对于其他功能要素,控制可能性的dc可被计算为0。在本实施例说明的有关风险分析模型的建模算法除了评价车辆内ecu的控制可能性外,还可以被利用于选择性地找出在网络上发生对于特定设备的保安威胁时受到影响的设备。也就是说,车辆保安网络设计装置在特定节点(s2,s3)发生保安威胁的情况下,可选择从该节点可达到的范围的功能要素中asil等级更高的功能要素,该功能要素可表示在使用者的显示器上,用于使该功能要素突出。当ivn为庞大系统的情况下,将一个一个被动地分析保安上脆弱的功能要素是不容易的。根据本实施例的车辆保安网络设计装置可利用适应有关风险分析模型的建模算法的模拟器,提前检验在保安上脆弱的功能要素,期待提高安全性的效果。车辆保安网络设计装置对车辆内各个多个功能要素计算风险发生的可能性,对各个所述多个功能要素提供风险管理标准的asil及对于各个所述多个功能要素的控制可能性(device'scontrollability)。此外,车辆保安网络设计装置内的管理部根据所述可能性,所述asil及所述控制可能性可生成所述多个功能要素的风险分析模型。作为例子,对于如表12一样提出的ivn,车辆保安网络设计装置如下面表13一样生成风险分析模型。[表13]在所述表13中,qm可表示无特别要求的基本素质。从s-asila越往s-asild,可表示对保安威胁的风险管理的要求的标准越变高的等级。s-asil(secure-asil)为根据本实施例的车辆保安网络设计装置进行分配的风险分析等级,可表示根据所述可能性、所述asil及所述控制可能性被计算的各个所述多个功能要素的风险分析等级。根据本实施例的对复杂的车辆内网络系统,也能以控制可能性为基础评价对保安威胁脆弱的功能要素。在这一点上,可期待提高保安安全性的效果。上述说明的实施例可由硬件构成要素、软件构成要素、和/或硬件构成要素及软件构成要素的组合被体现。例如,说明的装置及构成要素,可利用类似处理器、控制器、算术逻辑单元alu(arithmeticlogicunit)、数字信号处理器(digitalsignalprocessor)、微型计算机、现场可编程阵列fpa(fieldprogrammablearray)、可编程逻辑单元plu(programmablelogicunit)、微处理器、或执行指令(instruction)的其他任何装置、一个以上的范用计算机或特殊目的计算机被体现。处理装置可执行操作系统(os)及该操作系统中所执行的一个以上的软件应用程序。此外,处理装置可应答软件的执行,来存取、存储、运行、处理、生成数据。为了便于理解,处理装置被说明是使用一个,但在相关
技术领域:
中,具有通常知识的技术人员应理解,处理装置可包括多个处理元件(processingelement)和/或多个类型的处理元件。例如,处理装置可包括多个处理器或一个处理器,以及一个控制器。此外,也可以是类似并行处理器(parallelprocessor)的其他处理配置(processingconfiguration)。软件可包括计算机程序(computerprogram)、代码(code)、指令(instruction)或上述中的一个以上的组合,来构成处理装置或单独地或共同地(collectively)命令处理装置。软件和/或数据,为了通过处理装置被解析或是将指令或数据提供给处理装置,可在任何类型的机器、组件(component)、物理装置、虚拟装置(virtualequipment)、计算机存储介质或装置、或传送的信号波中被永久或暂时地具体化(embody)。软件被分散在以网络连接的计算机系统上,可通过分散的方法被存储或执行。软件和数据可存储在一个以上的计算机可读记录介质中。根据实施例的方法可通过多种计算机手段以可执行的程序指令形态被记录在计算机可读介质中。计算机可读介质可包括独立的或结合的程序指令、数据文件、数据结构等。介质和程序指令可为了本发明被专门设计和创建,或为计算机软件技术人员熟知而应用。计算机可读介质的例子包括:磁介质(magneticmedia),如硬盘、软盘和磁带;光学介质(opticalmedia),如cdrom、dvd;磁光介质(magneto-opticalmedia),如光盘(flopticaldisk);和专门配置为存储和执行程序指令的硬件装置,如只读存储器(rom)、随机存取存储器(ram)等。程序指令的例子,既包括由编译器产生的机器代码,也包括使用解释程序并可通过计算机被执行的高级语言代码。为执行实施例的运作,所述硬件装置可被配置为以一个以上的软件模来运作,反之亦然。如上所示,本发明虽然已参照有限的实施例和附图进行了说明,但是本发明并不局限于所述实施例,在本发明所属领域中具备通常知识的人均可以从此记载中进行各种修改和变形。例如,可通过与说明的方法不同的顺序来执行所说明的技术,或是通过与说明的方法不同的形态来结合或组合所说明的系统、结构、装置、电路等的构成要素,或是通过其他构成要素或同等事物来代替或置换也可获得适当结果。当前第1页12