WO2024095635A1

WO2024095635A1 - Ｓｄｎネットワークシステム、およびｓｄｎコントローラ、およびｓｄｎネットワークシステムの制御方法

Info

Publication number: WO2024095635A1
Application number: PCT/JP2023/034467
Authority: WO
Inventors: 康広山崎; 英樹後藤; 生祥大武
Original assignee: トヨタ自動車株式会社
Priority date: 2022-11-01
Filing date: 2023-09-22
Publication date: 2024-05-10
Also published as: JP2024066186A

Abstract

ＳＤＮネットワークシステム（５０）、ＳＤＮコントローラ（５１）、およびＳＤＮネットワークシステム（５０）の制御方法、が提供される。第１テスト処理（Ｓ８１Ａ）は、テストデータを正常経路で前記ＳＤＮコントローラ（５１）からＳＤＮスイッチ（５３）へ送信する。判定処理（Ｓ８３）は、第１テスト処理（Ｓ８１Ａ）において正常経路での通信エラーが検知されていないことを条件に、通信設定において前記通信エラーは発生していないと判定する（Ｓ８３：ＮＯ）。

Description

ＳＤＮネットワークシステム、およびＳＤＮコントローラ、およびＳＤＮネットワークシステムの制御方法

　本開示は、ＳＤＮネットワークシステムおよびＳＤＮコントローラに関する。さらに本開示は、ＳＤＮネットワークシステムの制御方法に関する。

　特許文献１には、ＳＤＮ（Ｓｏｆｔｗａｒｅ　Ｄｅｆｉｎｅｄ　Ｎｅｔｗｏｒｋ）ネットワークシステムが記載されている。このＳＤＮネットワークでは、ネットワークの通信設定が変更可能にされている。ＳＤＮネットワークシステムは、複数のＳＤＮスイッチと、各ＳＤＮスイッチの通信設定を変更するＳＤＮコントローラと、を備えている。

特開２０１７－１６９０４４号公報

　ＳＤＮネットワークシステムおよびＳＤＮコントローラの改善の余地がある。またＳＤＮネットワークシステムの制御方法の改善の余地がある。

　本開示の一側面によれば、車両のＳＤＮネットワークシステムが提供される。前記ＳＤＮネットワークシステムは、ＳＤＮスイッチとＳＤＮコントローラとを備えている。ＳＤＮコントローラは、前記ＳＤＮスイッチの通信設定を制御する制御回路を備えている。前記ＳＤＮコントローラは、テストデータを送信する送信処理と、前記通信設定における前記送信処理において、通信エラーが発生しているか判定する判定処理と、を実行するように構成されている。前記ＳＤＮコントローラは、前記通信エラーが発生していないと前記判定処理によって判定されたとき、前記通信設定における前記テストデータ以外のデータの送受信を許可する許可処理を実行するように構成されている。正常経路は、前記データの伝達経路であるとともに、前記通信設定によって規定されている。前記送信処理は第１テスト処理を備えている。前記第１テスト処理は、前記テストデータを前記正常経路で、前記ＳＤＮコントローラから前記ＳＤＮスイッチへ送信する。前記判定処理は、前記正常経路での前記通信エラーが前記第１テスト処理において検知されていないことを条件に、前記通信設定における前記通信エラーが発生していないと判定する。

　本開示の別の側面によれば、制御回路を備えているＳＤＮコントローラが提供される。前記制御回路は、ＳＤＮスイッチの通信設定を制御する。前記制御回路は、テストデータを送信する送信処理と、前記通信設定における前記送信処理において、通信エラーが発生しているか判定する判定処理と、を実行するように構成されている。前記制御回路は、前記判定処理によって前記通信エラーが発生していないと判定されたとき、前記通信設定において前記テストデータ以外のデータの送信を許可する許可処理を実行するように構成されている。正常経路は、前記データの伝達経路であるとともに、前記通信設定によって規定されている。前記送信処理は第１テスト処理を備えている。第１テスト処理は、前記テストデータを前記正常経路で前記ＳＤＮコントローラから前記ＳＤＮスイッチへ送信する。前記判定処理は、前記正常経路での前記通信エラーが前記第１テスト処理において検知されていないことを条件に、前記通信設定に前記通信エラーが発生していないと判定する。

　上記各構成によれば、判定処理は、正常経路での通信に通信エラーが発生していないことを確認できる。正常経路での通信に通信エラーが発生していないこと、すなわち正常経路で正常に通信ができること、が担保された上で、テストデータ以外のデータの送信が許可される。したがって、通信設定の更新後、テストデータ以外のデータを送る段階では、当該通信設定の正常経路でＳＤＮネットワークが正常に機能することが担保される。

　ところで、上記文献に記載のＳＤＮネットワークシステムには、例えば新たな機器が接続されることがある。新たな機器が接続された場合、ＳＤＮスイッチの通信設定も更新され得る。ＳＤＮスイッチの通信設定の更新直後では、ＳＤＮネットワークが正常に機能することが担保されていないので、通信エラーが発生する虞が捨てきれない。上記構成は、このような虞を低減する。

図１は、複数の車両を含む通信システムを示す概略図である。図２は、図１に示される車両が備える車両制御装置を示す概略図である。図３は、図２に示される車両制御装置が行なう、ＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）による更新プログラムの一連の処理のフローを示す図である。図４は、図２に示される本開示に係るＳＤＮコントローラが行なう、テストプログラムの一連の処理のフローを示す図である。

　以下、本開示に係るＳＤＮネットワークシステム、ＳＤＮコントローラ、および、ＳＤＮネットワークシステムの制御方法、の一実施形態について、説明する。以下では、複数の車両と、サーバと、を含んだ通信システムについて、図１～図４を参照して説明する。複数の車両のうちの少なくとも１つは、ＳＤＮネットワークシステムを有する。

　＜通信システムの概要＞
　図１に示すように、通信システム１０は、複数の車両２０と、サーバ３０と、を備えている。各車両２０は、車両制御装置２１と、通信装置２２と、操作端末２３と、を有している。車両制御装置２１は、車両２０の各装置を制御する１つまたは複数の制御回路を有している。車両制御装置２１の詳細については、後述する。

　通信装置２２は、外部通信回線網４０を介してサーバ３０に接続している。外部通信回線網４０は、例えば携帯電話回線網などの無線通信回線網である。よって、車両２０とサーバ３０とは、外部通信回線網４０を介して、互いに情報通信が可能である。

　操作端末２３は、車両２０のユーザによって操作される端末である。操作端末２３は、例えば、タッチディスプレイである。操作端末２３は、車両制御装置２１から入力された情報を示す画像を表示する。また、操作端末２３は、ユーザによって操作されることによって示される情報を、車両制御装置２１へ入力する。

　図示は省略するが、サーバ３０は、ＣＰＵとＲＯＭとを有している。サーバ３０のＣＰＵは、ＲＯＭに記憶されたプログラムを実行する。これによって、サーバ３０は、車両２０に向けて、キャンペーン情報および配信パッケージを送信する。

　＜車両制御装置の概要＞
　図２に示すように、車両制御装置２１は、マスタＥＣＵ２１Ａと、複数の物理ＥＣＵ２１Ｂと、を備えている。マスタＥＣＵ２１Ａと各物理ＥＣＵ２１Ｂとは、通信回線によって接続されている。図示は省略するが、マスタＥＣＵ２１Ａおよび各物理ＥＣＵ２１Ｂは、いずれもＣＰＵとＲＯＭとを有している。これらのＥＣＵ（２１Ａおよび２１Ｂ）は、ＲＯＭに記憶されたプログラムを実行する。物理ＥＣＵ２１Ｂは、各物理ＥＣＵ２１Ｂに接続されているハード機器を制御する。ハード機器は、例えば、エンジン、ブレーキ、モータ、などである。

　マスタＥＣＵ２１Ａは、ＳＤＮネットワークシステム５０を有している。ＳＤＮネットワークシステム５０は、ＳＤＮコントローラ５１と、複数のＳＤＮスイッチ５３と、を備えている。

　ＳＤＮコントローラ５１は、各ＳＤＮスイッチ５３の通信設定を制御する制御回路を有している。具体的には、ＳＤＮコントローラ５１は、ＳＤＮネットワークシステム５０のネットワーク上での、データ通信経路を定めている。ＳＤＮコントローラ５１は、例えば新たな物理ＥＣＵ２１Ｂが接続されたときなどに、改めてデータ通信経路を定める。つまり、ＳＤＮコントローラ５１は、通信設定を動的に制御する。また、ＳＤＮコントローラ５１は、データ通信経路を示す経路情報等を各ＳＤＮスイッチ５３へ送信する。これによって、ＳＤＮコントローラ５１は、各ＳＤＮスイッチ５３の通信設定を一元的に管理する。また、ＳＤＮコントローラ５１は、ＳＤＮスイッチ５３によって転送されるべきデータを、ＳＤＮスイッチ５３へ送信する。

　ＳＤＮスイッチ５３は、ＳＤＮネットワークシステム５０のネットワーク上で、データ転送を行う。具体的にはＳＤＮスイッチ５３は、ＳＤＮコントローラ５１から受信した経路情報に基づき、ＳＤＮスイッチ５３自身のフローテーブル内に記憶したデータ転送のためのルールを更新する。ＳＤＮスイッチ５３は、更新したルールに基づき、ＳＤＮコントローラ５１から受信したデータを、適切な物理ＥＣＵ２１Ｂに転送する。

　また、ＳＤＮコントローラ５１は、車両２０の外部のサーバ３０から更新ソフトウェアをダウンロードするダウンロード処理を実行可能である。ＳＤＮコントローラ５１は、ダウンロード処理によってダウンロードされた更新ソフトウェアを、インストールおよびアクティベートする。これら一連の処理によって、ＳＤＮコントローラ５１は、新たな更新ソフトウェアを実行可能になる。

　＜ＯＴＡについての一連の処理について＞
　サーバ３０は、車両２０の通信装置２２へキャンペーン情報を送信する。車両２０の通信装置２２がキャンペーン情報を受信すると、通信装置２２は、キャンペーン情報を車両制御装置２１に出力する。車両制御装置２１は、キャンペーン情報が入力されると、ＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）による更新プログラムを実行する。なお、キャンペーン情報は、市場の車両２０に対してソフトウェア更新を行うイベントを示す情報である。

　図３に示すように、車両制御装置２１は、ＯＴＡによる更新プログラムの一連の処理を開始すると、先ず、ステップＳ１１の処理を行う。ステップＳ１１では、車両制御装置２１は、車両２０のユーザに対して、更新ソフトウェアのインストールの承認を要求する。具体的には、車両制御装置２１は、操作端末２３に、更新ソフトウェアをインストールしてもよいか否かのクエリをユーザに示すインストール承諾メッセージを出力する。インストール承諾メッセージは、例えば、「新しいソフトウェアを適用しますか？」というメッセージである。その後、車両制御装置２１は、処理をステップＳ１２へ進める。

　一方で、操作端末２３は、車両制御装置２１からインストール承諾メッセージが入力された後、ユーザによって更新ソフトウェアのインストールの承諾を示す操作がされると、インストール承諾処理プログラムを実行する。操作端末２３は、インストール承諾処理プログラムを開始すると、ステップＳ３０を行う。ステップＳ３０では、操作端末２３は、インストール承諾処理を実行する。インストール承諾処理では、操作端末２３は、更新ソフトウェアのインストールについて車両制御装置２１へユーザの承諾を示す情報を出力する。これによって、操作端末２３は、インストール承諾処理プログラムを終了する。

　ステップＳ１２では、車両制御装置２１は、更新ソフトウェアのインストールがユーザによって承諾されたか判定する。車両制御装置２１は、更新ソフトウェアのインストールについて操作端末２３からユーザの承諾を示す情報が入力されたか否かによって、更新ソフトウェアのインストールがユーザによって承諾されたか判定する。操作端末２３からユーザの承諾を示す情報が入力されていないとき（Ｓ１２：ＮＯ）、車両制御装置２１は、ステップＳ１２の処理を繰り返す。一方で、操作端末２３からユーザの承諾を示す情報が入力されたとき（Ｓ１２：ＹＥＳ）、車両制御装置２１は、処理をステップＳ１３へ進める。

　ステップＳ１３では、車両制御装置２１は、配信パッケージ送信要求処理を行う。配信パッケージ送信要求処理では、車両制御装置２１は、通信装置２２を介してサーバ３０へ、配信パッケージを要求することを示す情報を送信する。その後、車両制御装置２１は、処理をステップＳ１４へ進める。

　一方で、サーバ３０は、通信装置２２から配信パッケージを要求することを示す情報が入力されると、配信パッケージ送信プログラムを実行する。サーバ３０は、配信パッケージ送信プログラムを開始すると、ステップＳ４０を行う。ステップＳ４０では、車両制御装置２１は、配信パッケージを通信装置２２へ送信する。これによって、サーバ３０は、配信パッケージ送信プログラムを終了する。

　ステップＳ１４では、車両制御装置２１は、通信装置２２が配信パッケージをダウンロードしたか判定する。通信装置２２が配信パッケージをダウンロードしていないとき（Ｓ１４：ＮＯ）、車両制御装置２１は、ステップＳ１４の処理を繰り返す。一方で、通信装置２２が配信パッケージをダウンロードしたとき（Ｓ１４：ＹＥＳ）、車両制御装置２１は、処理をステップＳ１５へ進める。

　ステップＳ１５では、車両制御装置２１は、通信装置２２がダウンロードした配信パッケージをインストールする。なお、配信パッケージとは、サーバ３０から車両２０に１度に転送する一連のデータセットである。配信パッケージは、更新ソフトウェアの本体の他に、ＨＭＩ（Ｈｕｍａｎ　Ｍａｃｈｉｎｅ　Ｉｎｔｅｒｆａｃｅ）の表示情報、パッケージ情報、セキュリティ情報等を含んでいる。さらに、配信パッケージは、ＳＤＮネットワークシステム５０のネットワーク情報を含んでいる。すなわち、配信パッケージは、各ＳＤＮコントローラ５１の通信設定を含んでいる。車両制御装置２１が配信パッケージをダウンロードする際に、ＳＤＮコントローラ５１は、配信パッケージ中の各ＳＤＮスイッチ５３の通信設定をダウンロード処理する。また、車両制御装置２１が配信パッケージ中の更新ソフトウェアをインストールする際に、ＳＤＮコントローラ５１は、配信パッケージ中の各ＳＤＮスイッチ５３の通信設定をインストールする。その後、車両制御装置２１は、処理をステップＳ１６へ進める。

　ステップＳ１６では、車両制御装置２１は、車両２０のユーザに対して、インストールした更新ソフトウェアのアクティベートの承諾を要求する。具体的には、車両制御装置２１は、操作端末２３に、更新ソフトウェアをアクティベートしてもよいか否かのクエリを示すアクティベート承諾メッセージを出力する。アクティベート承諾メッセージは、例えば、「更新時間はおよそＸＸ分程度ですが、更新中には再始動を行なえません。よろしいですか？」というメッセージである。その後、車両制御装置２１は、処理をステップＳ１７へ進める。

　一方で、操作端末２３は、車両制御装置２１からアクティベート承諾メッセージが入力された後、更新ソフトウェアをアクティベートすることについてユーザによって承諾を示す操作がされると、アクティベート承諾処理プログラムを実行する。操作端末２３は、アクティベート承諾処理プログラムを開始すると、ステップＳ５０を行う。ステップＳ５０では、操作端末２３は、アクティベート承諾処理を実行する。アクティベート承諾処理では、操作端末２３は、車両制御装置２１へユーザの承諾を示す情報を出力する。これによって、操作端末２３は、アクティベート承諾処理プログラムを終了する。

　ステップＳ１７では、車両制御装置２１は、更新ソフトウェアをアクティベートすることがユーザによって承諾されたか判定する。車両制御装置２１は、操作端末２３からユーザの承諾を示す情報が入力されたか否かによって、更新ソフトウェアをアクティベートすることがユーザによって承諾されたか判定する。操作端末２３からユーザの承諾を示す情報が入力されていないとき（Ｓ１７：ＮＯ）、車両制御装置２１は、ステップＳ１７の処理を繰り返す。一方で、操作端末２３からユーザの承諾を示す情報が入力されたとき（Ｓ１７：ＹＥＳ）、車両制御装置２１は、処理をステップＳ１８へ進める。

　ステップＳ１８では、車両制御装置２１は、インストールした更新ソフトウェアをアクティベートする。これによって、車両制御装置２１は、アクティベートした更新ソフトウェアの情報に基づき、車両２０の制御を可能な状態になる。また、車両制御装置２１が更新ソフトウェアをアクティベートした際に、ＳＤＮコントローラ５１は、各ＳＤＮスイッチ５３の新しい通信設定をアクティベートする。その後、車両制御装置２１は、処理をステップＳ１９へ進める。

　ステップＳ１９では、車両制御装置２１は、更新完了処理を行う。更新完了処理では、車両制御装置２１は、操作端末２３に、今回のキャンペーン情報に基づくソフトウェアの更新が完了したことを示す情報を出力する。具体的には、車両制御装置２１は、操作端末２３に、ソフトウェアの更新が完了したことを示す更新完了メッセージを出力する。更新完了メッセージは、例えば、「新しいソフトウェアへの更新が完了しました」というメッセージである。その後、車両制御装置２１は、処理をステップＳ２０へ進める。

　一方で、操作端末２３は、車両制御装置２１から更新完了メッセージが入力された後、ソフトウェアの更新の完了についてユーザによって確認を示す操作がされると、確認処理プログラムを実行する。操作端末２３は、確認処理プログラムを開始すると、ステップＳ６０を行う。ステップＳ６０では、操作端末２３は、確認処理を実行する。確認処理では、操作端末２３は、車両制御装置２１へ、ソフトウェアの更新の完了をユーザが確認したことを示す情報を出力する。これによって、操作端末２３は、確認処理プログラムを終了する。

　ステップＳ２０では、車両制御装置２１は、ソフトウェアの更新の完了がユーザによって確認されたか判定する。車両制御装置２１は、操作端末２３からユーザがソフトウェアの更新の完了を確認したことを示す情報が入力されたか否かによって、確認されたか判定する。操作端末２３からユーザがソフトウェアの更新の完了を確認したことを示す情報が入力されていないとき（Ｓ２０：ＮＯ）、車両制御装置２１は、ステップＳ２０の処理を繰り返す。一方で、操作端末２３からユーザがソフトウェアの更新の完了を確認したことを示す情報が入力されたとき（Ｓ２０：ＹＥＳ）、車両制御装置２１は、一連の処理を終了する。

　＜通信エラーの判定についての一連の処理について＞
　上述したように、車両制御装置２１がキャンペーン情報に基づく更新ソフトウェアをアクティベートしたときに、ＳＤＮコントローラ５１が各ＳＤＮスイッチ５３の通信設定を更新する。これによって、各ＳＤＮスイッチ５３のデータの転送先などの経路情報が更新される。ＳＤＮコントローラ５１が各ＳＤＮスイッチ５３の通信設定を更新したときに、車両制御装置２１は、ＲＯＭに記憶されたテストプログラムを実行する。

　図４に示すように、車両制御装置２１がテストプログラムを開始すると、ＳＤＮコントローラ５１は、先ずステップＳ８１を行う。ステップＳ８１では、ＳＤＮコントローラ５１は、送信処理を行う。送信処理では、ＳＤＮコントローラ５１は、テストデータを各ＳＤＮスイッチ５３へ送信する。

　送信処理は、第１テスト処理と、第２テスト処理と、第３テスト処理と、第４テスト処理と、を含んでいる。ＳＤＮコントローラ５１は、送信処理を行う際に、これら４つの処理をすべて行う。ここで、各ＳＤＮスイッチ５３の通信設定は、送信するデータの形式と、送り先の物理ＥＣＵ２１Ｂまでの経路と、送り先の物理ＥＣＵ２１Ｂへデータを送信する際のトラフィック量と、を定めている。なお、ここでいうトラフィック量とは、単位時間あたりに送信するデータの量である。

　以下では、通信設定によって規定されているデータの伝達経路を正常経路とする。つまり、正常経路とは、ＳＤＮ５３スイッチがデータを送る際に、当該データが伝達されるべき経路である。また、通信設定によっては規定されていないデータの経路を異常経路とする。異常経路とは、ＳＤＮスイッチ５３がデータを送る際に、当該データが伝達されてはならない経路である。したがって、異常経路は、正常経路とは異なる経路である。

　さらに、通信設定によって規定されているデータのトラフィック量を正常トラフィック量とする。つまり、正常トラフィック量は、通信設定によって規定されている所定のデータについてＳＤＮスイッチ５３が送り先の物理ＥＣＵ２１Ｂへ送るべきトラフィック量である。また、通信設定によっては規定されていないデータのトラフィック量を異常トラフィック量とする。つまり、異常トラフィック量は、通信設定によって規定されている所定のデータについてＳＤＮスイッチ５３が送り先の物理ＥＣＵ２１Ｂへ送るべきでないトラフィック量である。

　４つのテスト処理のうち、第１テスト処理は、テストデータを正常経路でＳＤＮコントローラ５１からＳＤＮスイッチ５３へ送信する処理である。第２テスト処理は、テストデータを異常経路でＳＤＮコントローラ５１からＳＤＮスイッチ５３へ送信する処理である。第３テスト処理は、テストデータのトラフィック量を異常トラフィック量に設定しつつ、当該テストデータをＳＤＮコントローラ５１からＳＤＮスイッチ５３へ送信する処理である。第４テスト処理は、テストデータのトラフィック量を正常トラフィック量に設定しつつ、当該テストデータをＳＤＮコントローラ５１からＳＤＮスイッチ５３と送信する処理である。なお、ＳＤＮコントローラ５１がＳＤＮスイッチ５３へテストデータを送信すると、ＳＤＮスイッチ５３は、物理ＥＣＵ２１Ｂへテストデータを転送する。

　ステップＳ８１は、ステップＳ８１Ａと、ステップＳ８１Ｂと、ステップＳ８１Ｃと、に大別される。ステップＳ８１Ａでは、ＳＤＮコントローラ５１は、第１テストデータのトラフィック量を正常トラフィック量に設定しつつ、且つ第１テストデータを正常経路で送信する。つまり、ステップＳ８１Ａは、第１テスト処理および第４テスト処理として機能している。

　また、ステップＳ８１Ｂでは、ＳＤＮコントローラ５１は、第２テスト処理を行う。具体的には、ＳＤＮコントローラ５１は、第２テストデータのトラフィック量を正常トラフィック量に設定しつつ、且つ第２テストデータを異常経路で送信する。

　また、ステップＳ８１Ｃでは、ＳＤＮコントローラ５１は、第３テスト処理を行う。具体的には、ＳＤＮコントローラ５１は、第３テストデータのトラフィック量を異常トラフィック量に設定しつつ、且つ第３テストデータを正常経路で送信する。これら、ステップＳ８１Ａ～ステップＳ８１Ｃの処理が終わると、ＳＤＮコントローラ５１は、ステップＳ８１の処理を終える。その後、ＳＤＮコントローラ５１は、処理をステップＳ８２へ進める。

　一方で、ＳＤＮスイッチ５３は、ＳＤＮコントローラ５１からテストデータを受信すると、ステップＳ９１の処理を行う。ステップＳ９１では、ＳＤＮスイッチ５３は、送信処理によって送信された第１～第３テストデータのそれぞれについて、異常があるか否かを検知する。具体的には、ＳＤＮスイッチ５３は、テストデータをアクセス制御リストとで照らし合わすことで、異常があるか否かを検知する。アクセス制御リストは、各物理ＥＣＵ２１Ｂに対して、送信可能な信号を示すリストである。このアクセス制御リスト上では、ＳＤＮスイッチ５３に接続されているハード機器の種類毎に、送信可能な信号、および送信可能なトラフィック量が個別に設定されている。したがって、物理ＥＣＵ２１Ｂの種類が異なると、送信可能な信号および送信可能なトラフィック量が異なり得る。アクセス制御リストは、予め車両制御装置２１のＲＯＭに記憶されている。

　ＳＤＮスイッチ５３は、受信したテストデータを、アクセス制御リストとで照らし合わせる。ＳＤＮスイッチ５３は、テストデータの経路情報がアクセス制御リストの経路情報とは異なる場合、テストデータの経路情報について異常経路での通信エラーがあると検知する。一方で、ＳＤＮスイッチ５３は、テストデータの経路情報がアクセス制御リストの経路情報に一致する場合、テストデータの経路情報について正常経路での通信エラーがないと検知する。

　また、ＳＤＮスイッチ５３は、テストデータのトラフィック量がアクセス制御リストのトラフィック量を超えている場合、テストデータのトラフィック量について異常トラフィック量での通信エラーがあると検知する。ＳＤＮスイッチ５３は、テストデータのトラフィック量がアクセス制御リストのトラフィック量以下である場合、テストデータのトラフィック量について正常トラフィック量での通信エラーがないと検知する。

　ＳＤＮコントローラ５１から受信した各テストデータについて、通信エラーがあるか否かを検知した後、ＳＤＮスイッチ５３は、処理をステップＳ９２へ進める。
　ステップＳ９２では、ＳＤＮスイッチ５３は、通信エラーを示す情報をＳＤＮコントローラ５１へ送信する。通信エラーを示す情報は、ステップＳ９１でＳＤＮスイッチ５３が判定した各テストデータについての通信エラーがあるか否かを示す情報である。より詳細には、通信エラーを示す情報は、テストデータの経路情報について通信エラーがあるか否か、テストデータのトラフィック量について通信エラーがあるか否か、を示す情報である。つまり、通信エラーを示す情報は、通信エラーがないことを示す情報を備えている。また、通信エラーを示す情報は、通信エラーがあるか否かが、経路情報またはトラフィック量のいずれについての情報であるかを示す情報を備えている。その後、ＳＤＮスイッチ５３は、今回の一連の処理を終了する。

　ところで、ステップＳ８２では、ＳＤＮコントローラ５１は、ＳＤＮスイッチ５３から通信エラーを示す情報を受信する。その後、ＳＤＮコントローラ５１は、処理をステップＳ８３へ進める。

　ステップＳ８３では、ＳＤＮコントローラ５１は、判定処理を行う。判定処理では、送信処理による通信で、通信エラーが発生しているか判定する。詳細には、ＳＤＮコントローラ５１は、以下の条件を満たすときに、通信設定に通信エラーが発生していないと判定する。１つ目の条件は、第１テスト処理によって正常経路での通信エラーが検知されていないことである。２つ目の条件は、第２テスト処理によって異常経路での通信エラーが検知されたことである。３つ目の条件は、第３テスト処理によって異常トラフィック量での通信エラーが検知されたことである。４つ目の条件は、第４テスト処理によって正常トラフィック量での通信エラーが検知されていないことである。ＳＤＮコントローラ５１は、上記４つを条件に、通信設定に通信エラーが発生していないと判定する。ＳＤＮコントローラ５１は、上記４つの条件を１つでも満たしていないときに、通信エラーが発生していると判定する。

　送信処理による通信で、通信エラーが発生していると判定されたとき（Ｓ８３：ＹＥＳ）、ＳＤＮコントローラ５１は、処理をステップＳ８４へ進める。ステップＳ８４では、ＳＤＮコントローラ５１は、異常通知処理を行う。異常通知処理では、ＳＤＮコントローラ５１は、操作端末２３へ、各ＳＤＮスイッチ５３の通信設定が異常であることを示す情報を出力する。その後、ＳＤＮコントローラ５１は、一連の処理を終了する。

　一方で、送信処理による通信で、通信エラーが発生していないと判定されたとき（Ｓ８３：ＮＯ）、ＳＤＮコントローラ５１は、処理をステップＳ８５へ進める。ステップＳ８５では、許可処理を行う。許可処理では、ＳＤＮコントローラ５１は、通信設定によってテストデータ以外のデータの送受信を許可する。その後、ＳＤＮコントローラ５１は、ＳＤＮコントローラ５１は、処理をステップＳ８６へ進める。

　ステップＳ８６では、ＳＤＮコントローラ５１は、正常通知処理を行う。正常通知処理では、ＳＤＮコントローラ５１は、操作端末２３へ、通信設定が正常であることを示す情報を出力する。なお、正常通知処理は、上述したソフトウェアの更新が完了したことを示す情報を出力する更新完了処理とで合わせて実行される。正常通知および更新完了情報を受けると、操作端末２３は、フトウェアの更新が完了したことを示す情報および通信設定が正常であることを示す情報を、合わせて表示する。これによって、ＳＤＮコントローラ５１は、一連の処理を終了する。

　（実施形態の作用）
　上記実施形態によれば、ＯＴＡによるソフトウェアの更新がなされる際に、ＳＤＮスイッチ５３の通信設定が更新される。通信設定が更新されたときに、ＳＤＮコントローラ５１は、テストプログラムを開始する。これによって、ＳＤＮコントローラ５１は、第１テスト処理～第４テスト処理を備えている送信処理を行う。ＳＤＮコントローラ５１は、ＳＤＮスイッチ５３からの通信エラーを示す情報に基づき、更新した通信設定に通信エラーが発生しているか判定する。

　（実施形態の効果）
　（１）上記実施形態によれば、ステップＳ８３における判定処理では、ＳＤＮコントローラ５１は、第１テスト処理によって正常経路での通信エラーが検知されないことを条件に、通信設定に通信エラーが発生していないと判定している。通信設定に通信エラーが発生していないと判定されたとき、ＳＤＮコントローラ５１は、ステップＳ８４にて許可処理を行っている。よって、正常経路での通信に通信エラーが発生してないこと、すなわち正常経路で正常に通信ができることを担保したうえで、テストデータ以外のデータの送受信が許可される。したがって、通信設定の更新後、テストデータ以外のデータを送る段階では、当該通信設定の正常経路でＳＤＮネットワークシステム５０のネットワークが正常に機能することを担保できる。

　（２）上記実施形態によれば、ステップＳ８３における判定処理では、ＳＤＮコントローラ５１は、第２テスト処理によって異常経路での通信エラーが検知されたことを条件に、通信設定に通信エラーが発生していないと判定している。よって、更新後の通信設定において、機能するべきでない異常経路では信号が送受信されないことを担保できる。したがって、更新後の通信設定においては、正常経路での通信を正しい通信として扱いつつ、且つ異常経路での通信を、エラーの生じた通信として扱うように、それぞれ正確に取り扱える。

　（３）上記実施形態によれば、ステップＳ８３における判定処理では、ＳＤＮコントローラ５１は、通信設定に通信エラーが発生していないと判定する条件に、さらに以下の条件を有する。これらの条件は、第３テスト処理によって異常トラフィック量での通信エラーが検知されたことと、および第４テスト処理によって正常トラフィック量での通信エラーが検知されないことと、を含んでいる。よって、更新後の通信設定によって、適切なトラフィック量でのデータの送受信が実行できることを担保できる。

　（４）上記実施形態によれば、ＳＤＮコントローラ５１は、ＯＴＡによるソフトウェアの更新がなされる際に、通信設定を更新する。ＳＤＮコントローラ５１は、通信設定が更新されたときに、送信処理およびその後の判定処理を実行する。よって、ＳＤＮコントローラ５１は、通信設定が更新された後の早いタイミングで、テストプログラムを開始する。したがって、通信設定が更新されてから、当該通信設定に通信エラーが発生しているか否かが確定するまでの時間が長くなることを防げる。

　（５）上記実施形態によれば、ＳＤＮコントローラ５１は、許可処理の後で、正常通知処理を実行する。また、操作端末２３は、正常通知を受けると、通信設定が正常であることを示す情報を表示する。したがって、車両２０のユーザは、通信設定に問題がないことを確実に把握できる。

　（その他の実施形態）
　上記実施形態は、以下のように変更して実施することができる。上記実施形態および以下の変更例は、技術的に矛盾しない範囲で互いに組み合わせて実施することができる。

　＜通信エラーの判定についての一連の処理について＞
　・ＳＤＮコントローラ５１は、送信処理において、第１テスト処理と第４テスト処理とを兼ねてステップＳ８１Ａの処理を行っているが、これに限られない。ＳＤＮコントローラ５１は、第１テスト処理とは別個の処理として、第４テスト処理でテストデータを送信してもよい。また、データの伝達経路に起因する通信エラーと、データのトラフィック量に起因する通信エラーと、を区別できるのであれば、第４テスト処理として、ＳＤＮコントローラ５１は、例えば、異常経路に正常トラフィック量のテストデータを送信してもよい。

　・送信処理では、ＳＤＮコントローラ５１は、第３テスト処理および第４テスト処理を省いてもよい。この場合、判定処理では、ＳＤＮコントローラ５１は、トラフィック量によらずに判定することになる。

　・また、送信処理では、ＳＤＮコントローラ５１は、第２テスト処理を省いてもよい。この場合、判定処理では、ＳＤＮコントローラ５１は、異常経路についての通信エラーによらずに判定することになる。したがって、送信処理では、ＳＤＮコントローラ５１は、少なくとも第１テスト処理を実行すればよい。判定処理では、ＳＤＮコントローラ５１は、正常経路での通信エラーが検知されないことを条件に、通信設定に通信エラーが発生していないと判定すればよい。

　・上記実施形態では、ＳＤＮスイッチ５３が、アクセス制御リストとの対比によってテストデータに異常があるか否かを検知していたが、これに限られない。例えば、テストデータをＳＤＮスイッチ５３から転送された物理ＥＣＵ２１Ｂが、当該テストデータのフィルタリングを行う際に、通信エラーを検知してもよい。フィルタリングは、予め定められたデータの種別、トラフィック量に適合するか判定する処理である。物理ＥＣＵ２１Ｂが、マスタＥＣＵ２１ＡのＳＤＮコントローラ５１へ、当該通信エラーを示す信号を送信することで、ＳＤＮコントローラ５１は、テストデータに通信エラーが検知されたか確認できる。

　・また例えば、トラフィック量のテストデータによってテスト処理を行う際に、ＳＤＮコントローラ５１は、次のように、正常か異常かを確認してもよい。具体的には、異常トラフィック量のテストデータを送信した場合と、正常トラフィック量のテストデータを送信した場合と、においてデータ送信の遅延やスループットなどを比較することで、正常か異常かを確認できる。つまり、異常トラフィック量のテストデータの場合、正常トラフィック量のテストデータの場合とで比べて、データ送受信の遅延が発生したり、データ送受信のスループットが上限に達したりするように変化する。この場合、ＳＤＮコントローラ５１は、異常トラフィック量のテストデータを送信していれば異常と判断し、正常トラフィック量のテストデータを送信していれば正常と判断できる。

　・ＳＤＮコントローラ５１がテストプログラムの実行を開始するタイミングは、ＯＴＡによるソフトウェアの更新を契機とするタイミングに限られない。例えば、ＳＤＮコントローラ５１は、車両２０の電源がオン状態になったときに、送信処理を実行してもよい。車両２０の電源がオフ状態の際に、ハード機器が新たに接続されたり、変更されたりされる可能性がある。よって、車両２０の電源がオン状態になったときに、テストプログラムを実行することで、ＳＤＮコントローラ５１は、車両２０の走行前に通信エラーの有無を判定し得る。

　・また例えば、ＳＤＮコントローラ５１は、車両２０が備える電子制御装置を駆動可能な状態に切り替えるための信号を受信したときに、送信処理を実行してもよい。電子制御装置は、例えば、物理ＥＣＵ２１Ｂである。物理ＥＣＵ２１Ｂは、車両２０の出荷時には、駆動不可能な状態とされている一方で、車両２０の出庫後に、追加費用の支払い等によって、ディーラ等によって駆動可能な状態に切り替えられることがある。このようなときには、新たに物理ＥＣＵ２１Ｂを駆動させることによって通信設定が変更される場合がある。よって、ディーラなどから物理ＥＣＵ２１Ｂを駆動可能な状態に切り替えるための信号を受信したときに、ＳＤＮコントローラ５１は、テストプログラムを実行する。これによって、新たな物理ＥＣＵ２１Ｂが起床されたときに、通信設定の通信エラーの有無を判定できる。なお、電子制御装置を駆動可能な状態に切り替えるための信号は、例えばウェイクアップ信号等と呼称されることもある。

　＜ＯＴＡについての一連の処理について＞
　・車両制御装置２１は、ステップＳ１８の後で、上述したテストプログラムにおけるステップＳ８５の許可処理がされたか判定する許可判定処理を行ってもよい。許可判定処理によって許可処理がされたとき、車両制御装置２１は、処理をステップＳ１９へ進めてもよい。さらに、ステップＳ１９では、ステップＳ８６での正常通知処理で通知する通信設定が正常であることを示す信号も併せて操作端末２３へ送信してもよい。一方で、許可判定処理によって、予め定められた所定時間内に、許可処理がされなかったとき、車両制御装置２１は、更新完了処理に代えて、更新未完了であることを示す情報を操作端末２３へ出力する処理を行ってもよい。この場合、ステップＳ１９を行う条件として、テストプログラムを実行することによって、許可処理が実行されたことを条件としている。更新完了処理では、通信設定が正常であることを示す信号も併せて操作端末２３へ送信している。よって、操作端末２３を確認するユーザは、ソフトウェアの更新が完了したことと、通信設定が正常であることと、を一度で確認できる。

　＜その他＞
　・車両２０は、通信システム１０を構成するものに限られない。上述した変更例のように、車両２０がＯＴＡによるソフトウェアの更新の際に限られず、テストプログラムを実行すればよい。

　・車両制御装置２１は、コンピュータプログラム（ソフトウェア）に従って各種処理を実行する１つまたは複数のプロセッサを備えている回路（ｃｉｒｃｕｉｔｒｙ）として構成してもよい。なお、車両制御装置２１は、各種処理のうち少なくとも一部の処理を実行する、特定用途向け集積回路（ＡＳＩＣ）等の１つまたは複数の専用のハードウェア回路、またはそれらの組み合わせを備えている回路として構成してもよい。プロセッサは、ＣＰＵおよび、ＲＡＭならびにＲＯＭ等のメモリを備えている。メモリは、処理をＣＰＵに実行させるように構成されたプログラムコードまたは指令を格納している。メモリすなわちコンピュータ可読媒体は、汎用または専用のコンピュータでアクセスできるあらゆる利用可能な媒体を備えている。媒体は例えば、プロセッサに制御処理を実行させるプログラムを記憶した、非一時的なコンピュータ読取可能な記憶媒体を含む。制御処理は例えば、ＳＤＮネットワークシステムの制御処理を含む。

　・なお、送信処理において、ＳＤＮコントローラ５１は、第１テスト処理～第４テスト処理から選ばれる少なくとも１つの処理を実行すればよい。さらに、送信処理においてＳＤＮコントローラ５１が実行するテスト処理の種類は、第１テスト処理～第４テスト処理に限られない。フローテーブル内における通信設定の内容によって、適宜定めればよい。

Claims

　車両のＳＤＮネットワークシステムであって、
　前記ＳＤＮネットワークシステムはＳＤＮスイッチとＳＤＮコントローラとを備えており、
　前記ＳＤＮコントローラは制御回路を備えており、前記制御回路は、
　前記ＳＤＮスイッチの通信設定を制御することと、
　テストデータを送信する送信処理と、
　前記通信設定における前記送信処理において、通信エラーが発生しているか判定する判定処理と、
　前記通信エラーが発生していないと前記判定処理によって判定されたとき、前記通信設定における前記テストデータ以外のデータの送受信を許可する許可処理と、
　を実行するように構成されており、
　正常経路は前記データの伝達経路であるとともに、前記通信設定によって規定されており、
　前記送信処理は第１テスト処理を備えており、
　前記第１テスト処理は、前記テストデータを前記正常経路で、前記ＳＤＮコントローラから前記ＳＤＮスイッチへ送信しており、
　前記判定処理は、前記正常経路での前記通信エラーが前記第１テスト処理において検知されていないことを条件に、前記通信設定における前記通信エラーは発生していないと判定する、
　ＳＤＮネットワークシステム。
　異常経路は、前記データの伝達経路であるが、前記通信設定によって規定されておらず、
　前記送信処理は第２テスト処理を備えており、
　前記第２テスト処理は前記テストデータを前記異常経路で前記ＳＤＮコントローラから前記ＳＤＮスイッチへ送信しており、
　前記判定処理は、前記第２テスト処理において前記異常経路での前記通信エラーが検知されたことを条件に、前記通信設定における前記通信エラーが発生していないと判定する、
　請求項１に記載のＳＤＮネットワークシステム。
　正常トラフィック量は、前記データのトラフィック量であるとともに、前記通信設定によって規定されており、
　異常トラフィック量は、前記データのトラフィック量であるが、前記通信設定によって規定されておらず、
　前記送信処理は第３テスト処理と第４テスト処理とを備えており、
　前記第３テスト処理は、前記異常トラフィック量の前記テストデータを、前記ＳＤＮコントローラから前記ＳＤＮスイッチへ送信しており、
　前記第４テスト処理は、前記正常トラフィック量の前記テストデータを、前記ＳＤＮコントローラから前記ＳＤＮスイッチへ送信しており、
　前記判定処理は、
　前記第３テスト処理において前記異常トラフィック量での前記通信エラーが検知されたことと、および、
　前記第４テスト処理において前記正常トラフィック量での前記通信エラーが検知されないことと、
　を条件に、前記通信設定における前記通信エラーが発生していないと判定する、
　請求項１または２に記載のＳＤＮネットワークシステム。
　前記ＳＤＮコントローラは、前記車両の電源がオン状態になったときに、前記送信処理を実行するように構成されている、
　請求項１～３のいずれか１項に記載のＳＤＮネットワークシステム。
　前記車両は１つまたは複数の電子制御装置を備えており、
　前記ＳＤＮコントローラは、前記電子制御装置を駆動可能な状態に切り替えるための信号を受信したときに、前記送信処理を実行するように構成されている、
　請求項１～３のいずれか１項に記載のＳＤＮネットワークシステム。
　前記ＳＤＮコントローラはダウンロード処理を実行可能であり、
　前記ダウンロード処理は前記車両の外部のサーバから、更新ソフトウェアをダウンロードしており、
　前記ＳＤＮコントローラは、前記ダウンロード処理によってダウンロードされた前記更新ソフトウェアがアクティベートされたときに、前記送信処理を実行するように構成されている、
　請求項１～３のいずれか１項に記載のＳＤＮネットワークシステム。
　前記ＳＤＮコントローラは、前記許可処理の後で正常通知処理を実行するように構成されており、
　前記正常通知処理は、前記通信設定が正常であることを示す信号を出力する、
　請求項６に記載のＳＤＮネットワークシステム。
　制御回路を備えているＳＤＮコントローラであって、前記制御回路は、
　ＳＤＮスイッチの通信設定を制御することと、
　テストデータを送信する送信処理と、
　前記通信設定での前記送信処理において、通信エラーが発生しているか判定する判定処理と、
　前記通信エラーが発生していないと前記判定処理によって判定されたとき、前記通信設定で前記テストデータ以外のデータの送信を許可する許可処理と、
　を実行するように構成されており、
　正常経路は、前記データの伝達経路であるとともに、前記通信設定によって規定されており、
　前記送信処理は第１テスト処理を備えており、前記第１テスト処理は前記テストデータを前記正常経路で前記ＳＤＮスイッチへ送信しており、
　前記判定処理は、前記正常経路での前記通信エラーが前記第１テスト処理において検知されていないことを条件に、前記通信設定に前記通信エラーが発生していないと判定する、
　ＳＤＮコントローラ。
　車両のＳＤＮネットワークシステムの制御方法であって、前記制御方法は、制御回路を備えているＳＤＮコントローラによって、
　ＳＤＮスイッチの通信設定を制御することであって、前記ＳＤＮネットワークシステムは前記ＳＤＮコントローラと前記ＳＤＮスイッチとを備えている、前記通信設定を制御することと、
　テストデータを正常経路で前記ＳＤＮコントローラから前記ＳＤＮスイッチへ送信することであって、前記正常経路は前記テストデータ以外のデータの伝達経路であるとともに、前記正常経路は前記通信設定によって規定されている、前記テストデータを送信することと、
　前記正常経路での通信エラーが検知されていないことを条件に、前記通信設定における通信エラーは発生していないと判定することと、
　前記通信エラーが発生していないと判定されたとき、前記通信設定における前記テストデータ以外の前記データの送受信を許可することと、
　を備えている、ＳＤＮネットワークシステムの制御方法。