WO2023171242A1 - 通信制御装置、通信制御方法及び通信制御プログラム - Google Patents

Abstract

ネットワークの設定の変更に係る処理を行う設定部と、前記ネットワークの設定の変更が完了したことの通知を、前記ネットワークに接続されている通信装置へ出力する出力部と、前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う制御部と、を備える、通信制御装置としてのＥＣＵが提供される。

Description

通信制御装置、通信制御方法及び通信制御プログラム

　本開示は、通信制御装置、通信制御方法及び通信制御プログラムに関する。

　ハードウェアの構成を変更せず、ソフトウェアによる設定によりネットワークの構成を変更するＳＤＮ（Ｓｏｆｔｗａｒｅ　Ｄｅｆｉｎｅｄ　Ｎｅｔｗｏｒｋｉｎｇ）の利用が進んでいる。例えば、特開２０１７－１６９０４４号公報には、ネットワークを稼働させつつ、当該ネットワークを構成する通信装置の設定更新を行うことに寄与する、設定装置が開示されている。

　ネットワークの設定を変更した後に、ネットワークに接続されている通信装置が通信相手との導通を確認する際に、正常な通信が出来ずに通信エラーとなる場合がある。

　本開示は、上記の点に鑑みてなされたものであり、ネットワークの設定を変更した後に通信エラーが発生した場合に、通信エラーが発生しないようにする通信制御装置、通信制御方法及び通信制御プログラムを提供することを目的とする。

　本開示の第１態様に係る通信制御装置は、ネットワークの設定の変更に係る処理を行う設定部と、前記ネットワークの設定の変更が完了したことの通知を、前記ネットワークに接続されている通信装置へ出力する出力部と、前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う制御部と、を備える。

　本開示の第１態様によれば、ネットワークの設定を変更した後に通信エラーが発生した場合に、ネットワークの設定を変更前の状態に戻すことで、通信エラーが発生しないようにすることができる。

　本開示の第２態様に係る通信制御装置は、第１態様に係る通信制御装置であって、前記制御部は、前記ネットワークの設定の変更から、前記通信装置からの通信エラーを所定時間受信しなかった場合に、前記ネットワークの設定の変更が有効であると判断する。

　本開示の第２態様によれば、ネットワークの設定を変更してから通信異常が検出されなかった場合に、ネットワークの設定の変更が有効だとして、ネットワークの制御が可能となる。

　本開示の第３態様に係る通信制御装置は、第２態様に係る通信制御装置であって、前記制御部は、前記ネットワークの設定の変更が有効である旨を外部の装置へ通知する。

　本開示の第３態様によれば、ネットワークの設定の変更が有効であると外部の装置に認識させることができる。

　本開示の第４態様に係る通信制御装置は、第１態様～第３態様のいずれかに係る通信制御装置であって、前記制御部は、前記通信装置からの通信エラーの原因となった前記ネットワークの設定の変更を行った、前記ネットワークに接続されている通信装置に対して、前記ネットワークの設定を変更前の状態に戻すための処理を行う。

　本開示の第４態様によれば、ネットワークの設定を変更前の状態に戻す範囲を最小限にすることができる。

　本開示の第５態様に係る通信制御装置は、第１態様～第４態様のいずれかに係る通信制御装置であって、前記通信エラーは、通信先の通信装置との間の導通確認が取れないこと、所定の周期での通信が出来ないこと、所定のプロトコルで通信が出来ないこと、所定のポートが開放されていないために通信が出来ないこと、の少なくともいずれかである。

　本開示の第５態様によれば、所定の通信不可能な状態を通信エラーと判断することができる。

　本開示の第６態様に係る通信制御装置は、第１態様～第５態様のいずれかに係る通信制御装置であって、前記制御部は、前記ネットワークの設定の変更の要因となったソフトウェアを配布したサーバに対して、前記ソフトウェアを更新前の状態に戻すよう要求する。

　本開示の第６態様によれば、通信エラーが発生しない状態にソフトウェアをロールバックすることが出来る。

　本開示の第７態様に係る通信制御装置は、第１態様～第６態様のいずれかに係る通信制御装置であって、前記ネットワークに接続されている通信装置からの通信エラーの通知の有無を定期的に監視する監視部をさらに備え、前記制御部は、前記監視部による通信エラーの通知の検出に応じて前記ネットワークの設定の変更対象の通信装置に対して前記ネットワークの設定を変更前の状態に戻すための処理を行う。

　本開示の第７態様によれば、通信エラーの発生を監視し、監視の結果、通信エラーが発生するとネットワークの設定を変更前の状態に戻すことができる。

　本開示の第８態様に係る通信制御装置は、第１態様～第７態様のいずれかに係る通信制御装置であって、前記ネットワークは、車両内に構築された車載ネットワークである。

　本開示の第８態様によれば、車載ネットワークに接続された通信装置において通信異常が発生すると、ネットワークの設定を変更前の状態に戻すことができる。

　本開示の第９態様に係る通信制御方法は、プロセッサが、ネットワークの設定の変更に係る処理を行い、前記ネットワークの設定の変更が完了したことを、前記ネットワークに接続されている通信装置へ通知し、前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う処理を実行する。

　本開示の第９態様によれば、ネットワークの設定を変更した後に通信エラーが発生した場合に、ネットワークの設定を変更前の状態に戻すことで、通信エラーが発生しないようにすることができる。

　本開示の第１０態様に係る通信制御プログラムは、コンピュータに、ネットワークの設定の変更に係る処理を行い、前記ネットワークの設定の変更が完了したことを、前記ネットワークに接続されている通信装置へ通知し、前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う処理を実行させる。

　本開示の第１０態様によれば、ネットワークの設定を変更した後に通信エラーが発生した場合に、ネットワークの設定を変更前の状態に戻すことで、通信エラーが発生しないようにすることができる。

　本開示によれば、ネットワークの設定を変更した後に通信エラーが発生した場合に、ネットワークの設定を変更前に戻すことで通信エラーが発生しないようにする通信制御装置、通信制御方法及び通信制御プログラムを提供することができる。

本実施形態に係る通信システムの概略構成を示す図である。 ＥＣＵのハードウェア構成を示すブロック図である。 ＥＣＵの機能構成の例を示すブロック図である。 ＥＣＵのハードウェア構成を示すブロック図である。 ＥＣＵの機能構成の例を示すブロック図である。 通信システムの各装置の動作を説明するシーケンス図である。

　以下、本開示の実施形態の一例を、図面を参照しつつ説明する。なお、各図面において同一または等価な構成要素および部分には同一の参照符号を付与している。また、図面の寸法比率は、説明の都合上誇張されており、実際の比率とは異なる場合がある。

　図１は、本実施形態に係る通信システムの概略構成を示す図である。図１に示した通信システムは、車両１及びＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）サーバ２０がネットワーク３０を介して接続されている構成を有する。車両１は、アンテナ２と、ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）１０、２００Ａ、２００Ｂ、２００Ｃ、２００Ｄ、及びスイッチ２１０Ａ、２１０Ｂを含んだ、本開示のネットワークの一例である車載ネットワークと、を有する。ＥＣＵ１０、２００Ａ、２００Ｂ、２００Ｃ、２００Ｄと、スイッチ２１０Ａ、２１０Ｂとは、それぞれイーサネット（登録商標）で接続されている。なお、ＥＣＵ及びスイッチの数は図１に示した例に限定されるものでは無く、ＥＣＵとスイッチとの接続形態についても図１に示した例に限定されるものでは無い。

　ＥＣＵ１０は、車載ネットワーク全体を制御するＥＣＵである。ＥＣＵ１０は、アンテナ２を介してＯＴＡサーバ２０との間で通信を行って、様々なデータをＯＴＡサーバ２０との間でやり取りする。ＥＣＵ２００Ａ、２００Ｂ、２００Ｃ、２００Ｄは、それぞれ車両１の各部を制御するためのＥＣＵである。例えば、ＥＣＵ２００Ａ、２００Ｂ、２００Ｃ、２００Ｄは、エンジン、モータ、ブレーキ、カメラ、ライト等の車両１に搭載される機器の動作を制御する。

　また、ＥＣＵ１０は、車載ネットワークのハードウェアの構成を変更せず、ＳＤＮ技術を用いたソフトウェアによる設定により車載ネットワークの構成を変更する。つまり、車載ネットワークの構成を変更する際に、ケーブルを抜き差ししたり、個々のスイッチ２１０Ａ、２１０Ｂに対して個別に設定したりするのではなく、ＯｐｅｎＦｌｏｗ等を利用したソフトウェアによる制御でスイッチ２１０Ａ、２１０Ｂを動作させる。詳細には、ＥＣＵ１０は、ソフトウェアによる制御で、スイッチ２１０Ａ、２１０Ｂに対して各ＥＣＵから送信されたパケットの宛先を設定する。スイッチ２１０Ａ、２１０ＢはＥＣＵ１０で設定された内容に基づいてパケットを通過させ、又は破棄する。

　ＯＴＡサーバ２０は、車両１の各ＥＣＵに対してソフトウェアを更新するためのサーバである。車両１の各ＥＣＵに記憶されているソフトウェアに更新が生じた場合は、ＯＴＡサーバ２０から車両１に対して更新されたソフトウェアを送信する。車両１の各ＥＣＵに記憶されているソフトウェアを更新する際は、ＯＴＡサーバ２０から車両１に対して自動的にソフトウェアを送信してもよいし、車両１に乗車しているユーザからの指示に基づいてＯＴＡサーバ２０から車両１に対してソフトウェアを送信してもよい。

　車載ネットワークに接続されているＥＣＵのソフトウェアの更新が生じた際に、車載ネットワークの別のＥＣＵとの間で新たな通信を行うように、更新後のソフトウェアで指定されている場合がある。例えば、ＥＣＵ２００Ａでソフトウェアが更新された結果、ＥＣＵ２００Ａがスイッチ２１０Ａ、２１０Ｂを経由してＥＣＵ２００Ｃと新たに通信を開始するような場合がある。ＥＣＵ１０は、車載ネットワークに接続されているＥＣＵのソフトウェアの更新が生じた際に、スイッチ２１０Ａ、２１０Ｂの通信設定を変更する。

　しかし、ソフトウェアの更新の結果、通信エラーを起こすＥＣＵが生じる可能性がある。例えば、ＥＣＵ２００ＡがＥＣＵ２００Ｄとの通信を開始するようソフトウェアが更新され、ＥＣＵ１０によってスイッチ２１０Ａ、２１０Ｂの通信設定が変更されたが、ＥＣＵ２００ＡがＥＣＵ２００Ｄとの間で導通試験を行っても通信が出来ない場合を考える。このような場合、ＥＣＵ２００ＡはＥＣＵ２００Ｄとの間の通信で通信エラーが起きたことをＥＣＵ１０に通知する。

　そこで本実施形態に係るＥＣＵ１０は、ソフトウェアによりスイッチ２１０Ａ、２１０Ｂの通信設定を変更した結果、通信エラーが発生したＥＣＵが存在した場合は、スイッチ２１０Ａ、２１０Ｂの通信設定を変更前の状態に戻す。そしてＥＣＵ１０は、ＯＴＡサーバ２０に対してソフトウェアのロールバックを指示する。本実施形態に係るＥＣＵ１０は、通信エラーが発生したＥＣＵが存在すると、スイッチ２１０Ａ、２１０Ｂの通信設定を変更前の状態に戻すことで、当該ＥＣＵが通信エラーを起こすことを停止できる。

　続いて、ＥＣＵ１０のハードウェア構成を説明する。図２は、ＥＣＵ１０のハードウェア構成を示すブロック図である。

　図２に示すように、ＥＣＵ１０は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１２、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１３、ストレージ１４、第１通信インタフェース（Ｉ／Ｆ）１５、及び第２通信インタフェース１６を有する。各構成は、バス１９を介して相互に通信可能に接続されている。

　ＣＰＵ１１は、中央演算処理ユニットであり、各種プログラムを実行したり、各部を制御したりする。すなわち、ＣＰＵ１１は、ＲＯＭ１２またはストレージ１４からプログラムを読み出し、ＲＡＭ１３を作業領域としてプログラムを実行する。ＣＰＵ１１は、ＲＯＭ１２またはストレージ１４に記録されているプログラムにしたがって、上記各構成の制御および各種の演算処理を行う。本実施形態では、ＲＯＭ１２またはストレージ１４には、車両１の車載ネットワークの通信制御を行う通信制御プログラムが格納されている。

　ＲＯＭ１２は、各種プログラムおよび各種データを格納する。ＲＡＭ１３は、作業領域として一時的にプログラムまたはデータを記憶する。ストレージ１４は、フラッシュメモリ等の記憶装置により構成され、オペレーティングシステムを含む各種プログラム、および各種データを格納する。

　第１通信インタフェース１５は、ＯＴＡサーバ２０と通信するためのインタフェースであり、たとえば、４Ｇ、５Ｇ、又はＷｉ－Ｆｉ（登録商標）等の無線通信の規格が用いられる。第２通信インタフェース１６は、ＥＣＵ２００Ａ～２００Ｄ等の他の機器と通信するためのインタフェースであり、たとえば、イーサネット（登録商標）等の有線通信の規格が用いられる。

　上記の通信制御プログラムを実行する際に、ＥＣＵ１０は、上記のハードウェア資源を用いて、各種の機能を実現する。ＥＣＵ１０が実現する機能構成について説明する。

　図３は、ＥＣＵ１０の機能構成の例を示すブロック図である。

　図３に示すように、ＥＣＵ１０は、機能構成として、取得部１０１、設定部１０２、制御部１０３、監視部１０４、出力部１０５および記憶部１０６を有する。各機能構成は、ＣＰＵ１１がＲＯＭ１２またはストレージ１４に記憶された通信制御プログラムを読み出し、実行することにより実現される。なお、取得部１０１、設定部１０２、制御部１０３、監視部１０４、出力部１０５および記憶部１０６の機能は、複数のＥＣＵにおいて実現されてもよい。

　取得部１０１は、ＯＴＡサーバ２０及び車載ネットワークのＥＣＵ２００Ａ～２００Ｄからデータを取得する。詳細には、取得部１０１は、ＯＴＡサーバ２０からは、ＥＣＵ２００Ａ～２００Ｄで実行されるソフトウェアに更新が生じた場合に新しいソフトウェアを取得する。また取得部１０１は、ＥＣＵ２００Ａ～２００Ｄのソフトウェアの更新に応じて必要がある場合は、スイッチ２１０Ａ、２１０Ｂの通信設定を変更するためのデータを取得する。

　設定部１０２は、ソフトウェアによる車載ネットワークの通信設定を行う。例えば、ＥＣＵ２００Ａ～２００Ｄのソフトウェアの更新に応じて必要がある場合、設定部１０２はスイッチ２１０Ａ、２１０Ｂの通信設定を変更する。すなわち、設定部１０２は、ソフトウェアによる設定により、車載ネットワークの構成を変更する。設定部１０２が行う通信設定の変更は、例えば、ＥＣＵ２００の通信相手と通信できるような経路の設定、ポートの開放又は閉鎖の設定、通過させるパケットの優先度の設定、パケットのキューのサイズの設定、帯域の設定、パケットのフィルタリングの設定等がある。例えば、車載ネットワークにＥＣＵ２００Ｄが新たに追加されたような場合、設定部１０２は、ＥＣＵ２００Ｄと通信を行う他のＥＣＵ２００Ａ～２００Ｃに対して、ＥＣＵ２００Ｄとの間で通信が出来るための設定をスイッチ２１０Ａ、２１０Ｂに対して施す。

　スイッチ２１０Ａ、２１０Ｂは、例えばテーブルの形式で通信設定を保持している。スイッチ２１０Ａ、２１０Ｂは、テーブルを参照して、車載ネットワークを流れるフレーム又はパケットを処理する。

　制御部１０３は、ＥＣＵ１０の動作の制御及び車載ネットワークの制御を行う。詳細には、制御部１０３は、ＥＣＵ２００Ａ～２００Ｄで実行されるソフトウェアに更新が生じた場合に、取得部１０１が取得した新しいソフトウェアを出力部１０５から出力させる制御を行う。また制御部１０３は、ＥＣＵ２００Ａ～２００Ｄのソフトウェアの更新に応じて必要がある場合は、スイッチ２１０Ａ、２１０Ｂに対して、設定部１０２での通信設定の変更処理のために必要なデータを出力部１０５から出力させる制御を行う。

　監視部１０４は、車載ネットワークにおける通信状況を監視する。詳細には、監視部１０４は、車載ネットワークに接続されている各ＥＣＵから、通信エラーが通知されてきているかどうかを監視する。

　出力部１０５は、ＯＴＡサーバ２０及び車載ネットワークの各装置へデータを出力する。出力部１０５からのデータの出力は、制御部１０３からの制御によって行われる。

　記憶部１０６は、ＥＣＵ１０の動作の際に参照される情報、車載ネットワークの制御に用いられる情報等の種々の情報を記憶する。詳細には、記憶部１０６は、スイッチ２１０Ａ、２１０Ｂの通信設定を変更した後で、車載ネットワークのあるＥＣＵにおいて通信エラーが起きた場合に、スイッチ２１０Ａ、２１０Ｂの通信設定を元の状態に戻すために、変更前の通信設定を記憶している。

　ＥＣＵ２００Ａ～２００Ｄの少なくともいずれかに対してソフトウェアの更新が行われるとともに、スイッチ２１０Ａ、２１０Ｂの通信設定が変更された後に、車載ネットワークのあるＥＣＵにおいて通信エラーが起こる可能性がある。監視部１０４は、通信エラーの発生が通知されたことを確認すると、制御部１０３に対して車載ネットワークに通信エラーが起きているＥＣＵ２００が存在している旨を通知する。制御部１０３は、ソフトウェアの更新及び通信設定の変更によって、車載ネットワークに通信エラーが起きているＥＣＵ２００が存在していることを確認すると、ＯＴＡサーバ２０に対して、更新したソフトウェアを更新前のソフトウェアに戻すロールバックを要求する。そして、ＯＴＡサーバ２０からのロールバックの指示を受けると、制御部１０３は、記憶部１０６に記憶されている変更前の通信設定を読み出し、スイッチ２１０Ａ、２１０Ｂの通信設定を元の状態に戻す制御を行う。

　制御部１０３は、スイッチ２１０Ａ、２１０Ｂに対して車載ネットワークの設定を変更してから、ＥＣＵ２００からの通信エラーの発生通知を所定時間受信しなかった場合に、車載ネットワークの設定の変更が有効であると判断してもよい。そして、制御部１０３は、ＯＴＡサーバ２０に対して、車載ネットワークの変更が有効であった旨の通知を行ってもよい。ＯＴＡサーバ２０は、車載ネットワークの変更が有効であった旨の通知を車両１から受け取ることで、ソフトウェアの更新が正常に完了したことを把握することができる。

　ＥＣＵ１０は、図３に示した構成を有することで、ネットワークの設定の変更対象ではないＥＣＵが通信エラーを起こした場合に、ネットワークの設定の変更対象のスイッチ２１０Ａ、２１０Ｂに対して変更前の通信設定に戻すことができる。ＥＣＵ１０は、スイッチ２１０Ａ、２１０Ｂに対して変更前の通信設定に戻すことで、ネットワークの設定の変更対象ではないＥＣＵが通信エラーを起こさないようにすることができる。

　続いて、ＥＣＵ２００Ａ～２００Ｄのハードウェア構成を説明する。以下では、ＥＣＵ２００Ａ～２００Ｄを総称してＥＣＵ２００とする。図４は、ＥＣＵ２００のハードウェア構成を示すブロック図である。

　図４に示すように、ＥＣＵ２００は、ＣＰＵ２０１、ＲＯＭ２０２、ＲＡＭ２０３、ストレージ２０４、及び通信インタフェース（Ｉ／Ｆ）２０５を有する。各構成は、バス２０９を介して相互に通信可能に接続されている。

　ＣＰＵ２０１は、中央演算処理ユニットであり、各種プログラムを実行したり、各部を制御したりする。すなわち、ＣＰＵ２０１は、ＲＯＭ２０２またはストレージ２０４からプログラムを読み出し、ＲＡＭ２０３を作業領域としてプログラムを実行する。ＣＰＵ２０１は、ＲＯＭ２０２またはストレージ２０４に記録されているプログラムにしたがって、上記各構成の制御および各種の演算処理を行う。

　ＲＯＭ２０２は、各種プログラムおよび各種データを格納する。ＲＡＭ２０３は、作業領域として一時的にプログラムまたはデータを記憶する。ストレージ２０４は、フラッシュメモリ等の記憶装置により構成され、オペレーティングシステムを含む各種プログラム、および各種データを格納する。

　通信インタフェース２０５は、ＥＣＵ１０及び他のＥＣＵ２００等の他の機器と通信するためのインタフェースであり、たとえば、イーサネット（登録商標）等の有線通信の規格が用いられる。

　上記の通信制御プログラムを実行する際に、ＥＣＵ２００は、上記のハードウェア資源を用いて、各種の機能を実現する。ＥＣＵ２００が実現する機能構成について説明する。

　図５は、ＥＣＵ２００の機能構成の例を示すブロック図である。

　図５に示すように、ＥＣＵ２００は、機能構成として、取得部２１１、制御部２１２、出力部２１３および記憶部２１４を有する。各機能構成は、ＣＰＵ２０１がＲＯＭ２０２またはストレージ２０４に記憶されたプログラムを読み出し、実行することにより実現される。

　取得部２１１は、車載ネットワークのＥＣＵ１０及び他のＥＣＵ２００からデータを取得する。詳細には、取得部２１１は、ＥＣＵ１０からは、ＥＣＵ２００で実行されるソフトウェアに更新が生じた場合に新しいソフトウェアを取得する。

　制御部２１２は、ＥＣＵ２００の動作の制御を行う。詳細には、制御部２１２は、ＥＣＵ２００で実行されるソフトウェアに更新が生じた場合に、取得部２１１が取得した新しいソフトウェアで自装置のソフトウェアを更新する処理を行う。また、制御部２１２は、通信相手のＥＣＵ２００との間の通信エラーが発生した場合は、通信エラーが起きたことをＥＣＵ１０へ通知する。

　出力部２１３は、車載ネットワークのＥＣＵ１０及び他のＥＣＵ２００へデータを出力する。出力部２１３からのデータの出力は、制御部２１２からの制御によって行われる。

　記憶部２１４は、ＥＣＵ１０の動作の際に参照される情報、車載ネットワークの制御に用いられる情報等の種々の情報を記憶する。詳細には、記憶部２１４は、ＥＣＵ２００で実行されるソフトウェア及び当該ソフトウェアが参照するデータを記憶する。

　次に、通信システムの作用について説明する。

　図６は、通信システムの各装置の動作を説明するシーケンス図である。ＥＣＵ１０においては、ＣＰＵ１１がＲＯＭ１２又はストレージ１４から通信制御プログラムを読み出して、ＲＡＭ１３に展開して実行することにより、通信制御処理が行なわれる。

　図６に示したシーケンス図は、車載ネットワークのＥＣＵ２００で実行されるソフトウェアが更新されるとともに、ソフトウェアの更新に応じてスイッチ２１０Ａ、２１０Ｂの通信設定が変更される場合の各装置の動作を示したものである。図６は、ソフトウェアの更新前は、スイッチ２１０Ａ、２１０Ｂの通信設定によってＥＣＵ２００ＡとＥＣＵ２００Ｃとの間での通信が開始される場合を想定したシーケンス図である。

　車載ネットワークのＥＣＵ２００で実行されるソフトウェアを更新する際には、まずＯＴＡサーバ２０は、ステップＳ１０１において、車両１に対してソフトウェアのデータを送信する。ＯＴＡサーバ２０から送信されたソフトウェアのデータはまずＥＣＵ１０が取得する。ＥＣＵ１０は、ＯＴＡサーバ２０から取得したソフトウェアのデータを更新対象のＥＣＵ２００に出力する。ここでは、ＥＣＵ２００Ａ、２００Ｃがソフトウェアの更新対象であるとする。ＥＣＵ１０は、ステップＳ１０２及びＳ１０４において、ソフトウェアの更新対象のＥＣＵ２００Ａ、２００Ｃにソフトウェアのデータを出力する。ＥＣＵ２００Ａは、ステップＳ１０３において、ＥＣＵ１０から送られてきたソフトウェアのデータを用いてソフトウェアを更新する。同様に、ＥＣＵ２００Ｃは、ステップＳ１０５において、ＥＣＵ１０から送られてきたソフトウェアのデータを用いてソフトウェアを更新する。

　また、ＥＣＵ１０は、ソフトウェアの更新に応じてスイッチ２１０Ａ、２１０Ｂの通信設定を更新するため、ステップＳ１０６において新しい通信設定の情報を出力する。スイッチ２１０Ａ、２１０Ｂは、ステップＳ１０７において、ＥＣＵ１０から送られてきた通信設定の情報を用いて通信設定を反映する。例えば、ＥＣＵ１０は、ＥＣＵ２００Ａ、２００Ｃのソフトウェアの更新によって、ＥＣＵ２００ＡとＥＣＵ２００Ｃとの間で通信を可能とするようにスイッチ２１０Ａ、２１０Ｂの通信設定を更新する。

　スイッチ２１０Ａ、２１０Ｂの通信設定が更新されることで、ＥＣＵ２００ＡとＥＣＵ２００Ｃとの間で通信が可能となるはずである。そこで、ＥＣＵ２００Ａは、ステップＳ１０８においてＥＣＵ２００Ｃとの間で導通確認を行う。しかし、スイッチ２１０Ａ、２１０Ｂの通信設定の内容が誤っている等の理由で、ＥＣＵ２００ＡとＥＣＵ２００Ｃとの間で通信が出来ない場合があり得る。ＥＣＵ２００Ａは、ステップＳ１０９においてＥＣＵ２００Ｃとの間で通信エラーが発生したことを、ＥＣＵ１０に通知する。

　ＥＣＵ１０は、ＥＣＵ２００Ａから送られた通信エラーの発生通知を取得すると、ステップＳ１１０において、ＥＣＵ２００Ａ、２００Ｃに対してソフトウェアを更新し、スイッチ２１０Ａ、２１０Ｂの通信設定を変更した結果、通信エラーが発生したことをＯＴＡサーバ２０に送信する。ＥＣＵ１０は、通信エラーが発生したことをＯＴＡサーバ２０に送信する際に、通信エラーが発生した原因の情報であるリーズンコードを併せて送信する。リーズンコードの情報は、どのＥＣＵからのどのような通信エラーであるかを示す情報である。通信エラーの内容は、詳細には、通信相手へ送信したが該通信相手から応答が来なかった、フレーム又はパケットの内容等がある。通信エラーの内容は、例えば、通信先の通信装置との間の導通確認が取れないこと、所定の周期での通信が出来ないこと、所定のプロトコルで通信が出来ないこと、所定のポートが開放されていないために通信が出来ないこと、の少なくともいずれかである。

　通信エラーが発生したことを受信したＯＴＡサーバ２０は、ステップＳ１１１において、車両１に対してロールバックの指示を送信する。ロールバックは、更新前のソフトウェアに戻すことをいう。ＯＴＡサーバ２０からロールバックの指示が送信された場合は、ＥＣＵ２００Ａ、２００Ｃは、保持していた更新前のソフトウェアのデータを用いてソフトウェアを更新前の状態に戻す。

　ＥＣＵ１０は、ＯＴＡサーバ２０からロールバックの指示を受信すると、ロールバック対象のＥＣＵ２００にロールバックの指示を出力する。ここでは、ＥＣＵ２００Ａ、２００Ｃがソフトウェアのロールバック対象である。ＥＣＵ１０は、ステップＳ１１２及びＳ１１４において、ソフトウェアのロールバック対象のＥＣＵ２００Ａ、２００Ｃにロールバックの指示を出力する。ＥＣＵ２００Ａは、ステップＳ１１３において、ＥＣＵ１０からの指示に基づいてソフトウェアをロールバックする。同様に、ＥＣＵ２００Ｃは、ステップＳ１１５において、ＥＣＵ１０からの指示に基づいてソフトウェアをロールバックする。また、ＥＣＵ１０は、ソフトウェアのロールバックと共に、ステップＳ１１６において、スイッチ２１０Ａ、２１０Ｂに対して通信設定を変更前の状態に戻すよう指示する。スイッチ２１０Ａ、２１０Ｂは、ステップＳ１１７において、通信設定を変更前の状態に戻す。

　ＯＴＡサーバ２０は、ＥＣＵ１０から通信エラーの発生及びリーズンコードを受信すると、リーズンコードの内容に基づき、通信エラーが発生しないように修正されたソフトウェアを改めて車両１に送信する。ここで、修正されたソフトウェアの配布対象は、ＥＣＵ２００Ａ、２００Ｃに限らず、通信エラーとは関係が無いＥＣＵ２００Ｄが含まれていてもよい。ＯＴＡサーバ２０からのソフトウェアの送信から、ＥＣＵ２００でソフトウェアが更新されるまでの流れは、上述のステップＳ１０１からステップＳ１０５までと同様であるため、詳細な説明は割愛する。また、ＥＣＵ１０は、ソフトウェアの更新に応じて、スイッチ２１０Ａ、２１０Ｂの通信設定を更新するための処理を実行する。

　以上説明したように、本開示の実施形態によれば、ネットワークの設定の変更後にＥＣＵが通信エラーを起こした場合に、ネットワークの設定の変更対象のスイッチの通信設定を変更前の状態に戻すことができる。ＥＣＵ１０は、ネットワークの設定の変更対象のスイッチの通信設定を変更前の状態に戻すことで、ＥＣＵが通信エラーを起こさないようにすることができる。

　上述の実施形態では、ＯＴＡサーバ２０がソフトウェアを配布する場合を示したが、ＯＴＡサーバ２０がソフトウェアを配布しない場合、ＥＣＵ１０は、ＥＣＵ２００による通信異常の検出を取得すると、スイッチ２１０Ａ、２１０Ｂに対して通信設定を変更前の状態に戻す処理を実行する。

　本開示は、車載ネットワークに新たにＥＣＵが接続され、当該新たに接続されたＥＣＵが他のＥＣＵと通信を可能にするための通信設定の変更にも適用が可能である。また、上述の実施形態では、車両内に構築されているネットワークである車載ネットワークにおける通信設定の変更に関する例を示したが、本開示は係る例に限定されるものでは無い。本開示は、ソフトウェアによる設定により構成を変更するネットワーク全般について適用することが可能である。

　なお、上記各実施形態でＣＰＵがソフトウェア（プログラム）を読み込んで実行した通信制御処理を、ＣＰＵ以外の各種のプロセッサが実行してもよい。この場合のプロセッサとしては、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）等の製造後に回路構成を変更可能なＰＬＤ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｄｅｖｉｃｅ）、及びＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）等の特定の処理を実行させるために専用に設計された回路構成を有するプロセッサである専用電気回路等が例示される。また、通信制御処理を、これらの各種のプロセッサのうちの１つで実行してもよいし、同種又は異種の２つ以上のプロセッサの組み合わせ（例えば、複数のＦＰＧＡ、及びＣＰＵとＦＰＧＡとの組み合わせ等）で実行してもよい。また、これらの各種のプロセッサのハードウェア的な構造は、より具体的には、半導体素子等の回路素子を組み合わせた電気回路である。

　また、上記各実施形態では、通信制御処理のプログラムがＲＯＭまたはストレージに予め記憶（インストール）されている態様を説明したが、これに限定されない。プログラムは、ＣＤ－ＲＯＭ（Ｃｏｍｐａｃｔ　Ｄｉｓｋ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＤＶＤ－ＲＯＭ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、及びＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）メモリ等の非一時的（ｎｏｎ－ｔｒａｎｓｉｔｏｒｙ）記録媒体に記録された形態で提供されてもよい。また、プログラムは、ネットワークを介して外部装置からダウンロードされる形態としてもよい。

（付記項１）
　プロセッサを備え、
　前記プロセッサは、
　ネットワークの設定の変更に係る処理を行い、
　前記ネットワークの設定の変更が完了したことの通知を、前記ネットワークに接続されている通信装置へ出力し、
　前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う
処理を実行する、通信制御装置。
（付記項２）
　前記プロセッサは、前記ネットワークの設定の変更から、前記通信装置からの通信エラーを所定時間受信しなかった場合に、前記ネットワークの設定の変更が有効であると判断する、付記項１に記載の通信制御装置。
（付記項３）
　前記プロセッサは、前記ネットワークの設定の変更が有効である旨を外部の装置へ通知する、付記項２に記載の通信制御装置。
（付記項４）
　前記プロセッサは、前記通信装置からの通信エラーの原因となった前記ネットワークの設定の変更を行った、前記ネットワークに接続されている通信装置に対して、前記ネットワークの設定を変更前の状態に戻すための処理を行う、付記項１～３のいずれか１項に記載の通信制御装置。
（付記項５）
　前記通信エラーは、通信先の通信装置との間の導通確認が取れないこと、所定の周期での通信が出来ないこと、所定のプロトコルで通信が出来ないこと、所定のポートが開放されていないために通信が出来ないこと、の少なくともいずれかである、付記項１～４のいずれか１項に記載の通信制御装置。
（付記項６）
　前記プロセッサは、前記ネットワークの設定の変更の要因となったソフトウェアを配布したサーバに対して、前記ソフトウェアを更新前の状態に戻すよう要求する、付記項１～５のいずれか１項に記載の通信制御装置。
（付記項７）
　前記ネットワークに接続されている通信装置からの通信エラーの通知の有無を定期的に監視する監視部をさらに備え、
　前記制御部は、前記監視部による通信エラーの通知の検出に応じて前記ネットワークの設定の変更対象の通信装置に対して前記ネットワークの設定を変更前の状態に戻すための処理を行う、付記項１～６のいずれか１項に記載の通信制御装置。
（付記項８）
　前記ネットワークは、車載ネットワークである、付記項１～７のいずれか１項に記載の通信制御装置。

　日本出願特願２０２２－０３７５３９号の開示はその全体が参照により本明細書に取り込まれる。

　本明細書に記載された全ての文献、特許出願、及び技術規格は、個々の文献、特許出願、及び技術規格が参照により取り込まれることが具体的かつ個々に記された場合と同程度に、本明細書中に参照により取り込まれる。

Claims (10)

1. 　ネットワークの設定の変更に係る処理を行う設定部と、
   　前記ネットワークの設定の変更が完了したことの通知を、前記ネットワークに接続されている通信装置へ出力する出力部と、
   　前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う制御部と、
   を備える、通信制御装置。
2. 　前記制御部は、前記ネットワークの設定の変更から、前記通信装置からの通信エラーを所定時間受信しなかった場合に、前記ネットワークの設定の変更が有効であると判断する、請求項１に記載の通信制御装置。
3. 　前記制御部は、前記ネットワークの設定の変更が有効である旨を外部の装置へ通知する、請求項２に記載の通信制御装置。
4. 　前記制御部は、前記通信装置からの通信エラーの原因となった前記ネットワークの設定の変更を行った、前記ネットワークに接続されている通信装置に対して、前記ネットワークの設定を変更前の状態に戻すための処理を行う、請求項１～３のいずれか１項に記載の通信制御装置。
5. 　前記通信エラーは、通信先の通信装置との間の導通確認が取れないこと、所定の周期での通信が出来ないこと、所定のプロトコルで通信が出来ないこと、所定のポートが開放されていないために通信が出来ないこと、の少なくともいずれかである、請求項１～４のいずれか１項に記載の通信制御装置。
6. 　前記制御部は、前記ネットワークの設定の変更の要因となったソフトウェアを配布したサーバに対して、前記ソフトウェアを更新前の状態に戻すよう要求する、請求項１～５のいずれか１項に記載の通信制御装置。
7. 　前記ネットワークに接続されている通信装置からの通信エラーの通知の有無を定期的に監視する監視部をさらに備え、
   　前記制御部は、前記監視部による通信エラーの通知の検出に応じて前記ネットワークの設定の変更対象の通信装置に対して前記ネットワークの設定を変更前の状態に戻すための処理を行う、請求項１～６のいずれか１項に記載の通信制御装置。
8. 　前記ネットワークは、車載ネットワークである、請求項１～７のいずれか１項に記載の通信制御装置。
9. 　プロセッサが、
   　ネットワークの設定の変更に係る処理を行い、
   　前記ネットワークの設定の変更が完了したことを、前記ネットワークに接続されている通信装置へ通知し、
   　前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う
   　処理を実行する、通信制御方法。
10. 　コンピュータに、
    　ネットワークの設定の変更に係る処理を行い、
    　前記ネットワークの設定の変更が完了したことを、前記ネットワークに接続されている通信装置へ通知し、
    　前記通知に基づき前記ネットワークの設定の変更に応じた通信を行う前記通信装置から前記ネットワークの通信についての通信エラーを受信すると、変更した前記ネットワークの設定を変更前の状態に戻すための処理を行う
    　処理を実行させる、通信制御プログラム。