WO2022168671A1

WO2022168671A1 - 処理装置、処理方法、処理プログラム、処理システム

Info

Publication number: WO2022168671A1
Application number: PCT/JP2022/002632
Authority: WO
Inventors: 厚志馬場; 晋小坂; 愛阿南; 規史神田; 祐早川
Original assignee: 株式会社デンソー
Priority date: 2021-02-03
Filing date: 2022-01-25
Publication date: 2022-08-11
Also published as: JPWO2022168671A1; US20240038069A1; JP7509247B2

Abstract

リモートセンタ（８）と通信可能なホスト車両（２）の運転に関連する処理を遂行するために、プロセッサを含む処理装置（１ａ）において、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信するように生成することと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから取得することとを、実行するように構成される。

Description

処理装置、処理方法、処理プログラム、処理システム

関連出願の相互参照

　この出願は、２０２１年２月３日に日本に出願された特許出願第２０２１－１５８８４号を基礎としており、基礎の出願の内容を、全体的に、参照により援用している。

　本開示は、ホスト移動体の運転に関連する処理を遂行するための、処理技術に関する。

　特許文献１に開示される技術は、ホスト車両のナビゲーション動作に関する運転制御を、ホスト車両の内外環境に関する検知情報に応じて計画している。そこで、運転ポリシに従う安全モデルと検知情報とに基づき潜在的な事故責任があると判断される場合には、運転制御に対して制約が与えられている。

特許第６７０８７９３号公報

　しかし、特許文献１に開示される技術から、手動運転での安全性向上まで想定することは、困難である。

　本開示の課題は、手動運転での安全性向上を促進する処理装置を、提供することにある。本開示のまた別の課題は、手動運転での安全性向上を促進する処理方法を、提供することにある。本開示のさらに別の課題は、手動運転での安全性向上を促進する処理プログラムを、提供することにある。本開示のまたさらに別の課題は、手動運転での安全性向上を促進する処理システムを、提供することにある。

　以下、課題を解決するための本開示の技術的手段について、説明する。

　本開示の第一態様は、
　リモートセンタと通信可能なホスト移動体の運転に関連する処理を遂行するために、プロセッサを含む処理装置であって、
　プロセッサは、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、
　安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信するように生成することと、
　シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから取得することとを、実行するように構成される。

　本開示の第二態様は、
　リモートセンタと通信可能なホスト移動体の運転に関連する処理を遂行するために、プロセッサにより実行される処理方法であって、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、
　安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信するように生成することと、
　シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから取得することとを、含む。

　本開示の第三態様は、
　リモートセンタと通信可能なホスト移動体の運転に関連する処理を遂行するために記憶媒体に記憶され、プロセッサに実行させる命令を含む処理プログラムであって、
　命令は、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視させることと、
　安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信するように生成させることと、
　シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから取得させることとを、含む。

　本開示の第四態様は、
　ホスト移動体と通信可能なリモートセンタにおいてホスト移動体の運転に関連する処理を遂行するために、プロセッサを含む処理装置であって、
　プロセッサは、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のホスト移動体から取得することと、
　シーン情報に基づきフィードバックするフィードバック情報を、ホスト移動体へ送信するように生成することとを、実行するように構成される。

　本開示の第五態様は、
　ホスト移動体と通信可能なリモートセンタにおいてホスト移動体の運転に関連する処理を遂行するために、プロセッサにより実行される処理方法であって、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のホスト移動体から取得することと、
　シーン情報に基づきフィードバックするフィードバック情報を、ホスト移動体へ送信するように生成することとを、含む。

　本開示の第六態様は、
　ホスト移動体と通信可能なリモートセンタにおいてホスト移動体の運転に関連する処理を遂行するために記憶媒体に記憶され、プロセッサに実行させる命令を含む処理プログラムであって、
　命令は、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のホスト移動体から取得させることと、
　シーン情報に基づきフィードバックするフィードバック情報を、ホスト移動体へ送信するように生成させることとを、含む。

　本開示の第七態様は、
　リモートセンタと通信可能なホスト移動体の運転に関連する処理を遂行するために、ホスト移動体の第一プロセッサとリモートセンタの第二プロセッサとを含む処理システムであって、
　第一プロセッサは、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、
　安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ホスト移動体からリモートセンタへ送信するように生成することとを、実行するように構成され、
　第二プロセッサは、
　シーン情報に基づきフィードバックするフィードバック情報を、リモートセンタからホスト移動体へ送信するように生成することとを、実行するように構成される。

　本開示の第八態様は、
　リモートセンタと通信可能なホスト移動体の運転に関連する処理を遂行するために、ホスト移動体の第一プロセッサとリモートセンタの第二プロセッサとの協働により実行される処理方法であって、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、
　安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ホスト移動体からリモートセンタへ送信するように生成することと、
　シーン情報に基づきフィードバックするフィードバック情報を、リモートセンタからホスト移動体へ送信するように生成することとを、含む。

　本開示の第九態様は、
　リモートセンタと通信可能なホスト移動体の運転に関連する処理を遂行するために、ホスト移動体の第一記憶媒体とリモートセンタの第二記憶媒体とのうち少なくとも一方に記憶され、ホスト移動体の第一プロセッサとリモートセンタの第二プロセッサとに協働して実行させる命令を含む処理プログラムであって、
　命令は、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視させることと、
　安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ホスト移動体からリモートセンタへ送信するように生成させることと、
　シーン情報に基づきフィードバックするフィードバック情報を、リモートセンタからホスト移動体へ送信するように生成させることとを、含む。

　これら第一～第九態様によると、手動運転のホスト移動体において、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープ違反のシーンを表すシーン情報に基づき、フィードバック情報がリモートセンタからホスト移動体へフィードバックされる。これによりホスト移動体では、安全エンベロープ違反に対する判定の適正度が、第三者判断となるフィードバック情報に基づき認識され得る。したがって、ホスト移動体において手動運転での安全性向上を促進することが、可能となる。

本開示における用語の説明を示す説明表である。本開示における用語の説明を示す説明表である。本開示における用語の説明を示す説明表である。本開示における用語の定義を示す説明表である。本開示における用語の定義を示す説明表である。第一実施形態の処理システムを示すブロック図である。第一実施形態の適用されるホスト車両の走行環境を示す模式図である。第一実施形態の処理システムを示すブロック図である。第一実施形態の処理システムを示すブロック図である。第一実施形態の車線構造例を示す模式図である。第一実施形態の処理方法を示すフローチャートである。第一実施形態の処理方法を説明する説明表である。第二実施形態の処理方法を示すフローチャートである。第二実施形態の処理方法を説明するグラフである。第三実施形態の機能ブロックを示すブロック図である。第三実施形態の処理方法を示すフローチャートである。第四実施形態の処理方法を示すフローチャートである。第四実施形態の処理方法を示すフローチャートである。第四実施形態の処理方法を示すフローチャートである。第五実施形態の処理方法を示すフローチャートである。第五実施形態の処理方法を示すフローチャートである。第六実施形態の処理システムを示すブロック図である。第七実施形態の処理システムを示すブロック図である。第八実施形態の処理システムを示すブロック図である。第八実施形態の処理システムを示すブロック図である。第八実施形態の処理システムを示すブロック図である。第九実施形態の処理システムを示すブロック図である。第十実施形態の処理システムを示すブロック図である。第十実施形態の変形例の処理システムを示すブロック図である。

　以下、本開示による複数の実施形態を、図面に基づき説明する。尚、各実施形態において対応する構成要素には同一の符号を付すことにより、重複する説明を省略する場合がある。また、各実施形態において構成の一部分のみを説明している場合、当該構成の他の部分については、先行して説明した他の実施形態の構成を適用することができる。さらに、各実施形態の説明において明示している構成の組み合わせばかりではなく、特に組み合わせに支障が生じなければ、明示していなくても複数の実施形態の構成同士を部分的に組み合わせることができる。

　図１～５は、本開示の各実施形態に関連する用語の説明を、示している。但し、用語の定義は、図１～５に示される説明に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において解釈されるものである。

　（第一実施形態）
　図６に示される第一実施形態の処理システム１は、ホスト移動体の運転に関連する処理（以下、運転関連処理と表記）を、遂行する。処理システム１が運転関連処理の対象とするホスト移動体は、図６，７に示されるホスト車両２である。ホスト車両２の視点において、ホスト車両２は自車両（ego-vehicle）であるともいえる。

　ホスト車両２においては、自動運転が実行される。自動運転は、動的運転タスク（Dynamic Driving Task：以下、ＤＤＴと表記）における乗員の手動介入度に応じて、レベル分けされる。自動運転は、条件付運転自動化、高度運転自動化、又は完全運転自動化といった、作動時のシステムが全てのＤＤＴを実行する自律走行制御により、実現されてもよい。自動運転は、運転支援、又は部分運転自動化といった、乗員としてのドライバが一部若しくは全てのＤＤＴを実行する高度運転支援制御において、実現されてもよい。自動運転は、それら自律走行制御と高度運転支援制御とのいずれか一方、組み合わせ、又は切り替えにより実現されてもよい。

　ホスト車両２には、図６，８に示されるセンサ系５、通信系６、及地図ＤＢ（Data Base）７、及び情報提示系４が搭載される。センサ系５は、処理システム１により利用可能なセンサデータを、ホスト車両２における外界及び内界の検出により取得する。そのためにセンサ系５は、外界センサ５０及び内界センサ５２を含んで構成される。

　外界センサ５０は、ホスト車両２の外界に存在する物標を、検出してもよい。物標検出タイプの外界センサ５０は、例えばカメラ、ＬｉＤＡＲ（Light Detection and Ranging / Laser Imaging Detection and Ranging）、レーザレーダ、ミリ波レーダ、及び超音波ソナー等のうち、少なくとも一種類である。外界センサ５０は、ホスト車両２の外界における大気の状態を、検出してもよい。大気検出タイプの外界センサ５０は、例えば外気温センサ、及び湿度センサ等のうち、少なくとも一種類である。

　内界センサ５２は、ホスト車両２の内界において車両運動に関する特定の物理量（以下、運動物理量と表記）を、検出してもよい。物理量検出タイプの内界センサ５２は、例えば速度センサ、加速度センサ、及びジャイロセンサ等のうち、少なくとも一種類である。内界センサ５２は、ホスト車両２の内界における乗員の状態を、検出してもよい。乗員検出タイプの内界センサ５２は、例えばアクチュエータセンサ、ドライバステータスモニタ、生体センサ、着座センサ、及び車内機器センサ等のうち、少なくとも一種類である。ここで特にアクチュエータセンサとしては、ホスト車両２の運動アクチュエータに関する乗員の操作状態を検出する、例えばアクセルセンサ、ブレーキサンサ、及び操舵センサ等のうち、少なくとも一種類が採用される。

　通信系６は、処理システム１により利用可能な通信データを、無線通信により取得する。通信系６は、ホスト車両２の外界に存在するＧＮＳＳ（Global Navigation Satellite System）の人工衛星から、測位信号を受信してもよい。測位タイプの通信系６は、例えばＧＮＳＳ受信機等である。通信系６は、ホスト車両２の外界に存在するＶ２Ｘシステムとの間において、通信信号を送受信してもよい。Ｖ２Ｘタイプの通信系６は、例えばＤＳＲＣ（Dedicated Short Range Communications）通信機、及びセルラＶ２Ｘ（C-V2X）通信機等のうち、少なくとも一種類である。通信系６は、ホスト車両２の内界に存在する端末との間において、通信信号を送受信してもよい。端末通信タイプの通信系６は、例えばブルートゥース（Bluetooth：登録商標）機器、Ｗｉ－Ｆｉ（登録商標）機器、及び赤外線通信機器等のうち、少なくとも一種類である。

　こうした通信系６は、図９に示されるように、少なくとも一種類の通信装置６ａを主体に構築されるとよい。この場合に通信装置６ａは、少なくとも一つの専用コンピュータを含んで構成される。また、この場合に通信装置６ａを構成する専用コンピュータは、メモリ６０及びプロセッサ６２を、少なくとも一つずつ有している。ここで通信装置６ａのメモリ６０及びプロセッサ６２は、後述する処理装置１ａのメモリ１０及びプロセッサ１２に準ずる。

　図６，８に示される地図ＤＢ７は、処理システム１により利用可能な地図データを、記憶する。地図ＤＢ７は、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも一種類の非遷移的実体的記憶媒体（non-transitory tangible storage medium）を含んで構成される。地図ＤＢ７は、自己位置を含んだホスト車両２の自己状態量を推定するロケータの、ＤＢであってもよい。地図ＤＢは、ホスト車両２の走行経路をナビゲートするナビゲーションユニットの、ＤＢであってもよい。地図ＤＢ７は、複数種類のＤＢの組み合わせにより、構築されてもよい。

　地図ＤＢ７は、例えばＶ２Ｘタイプの通信系６を介した外部センタとの通信等により、最新の地図データを取得して記憶する。地図データは、ホスト車両２の走行環境を表すデータとして、二次元又は三次元にデータ化されている。三次元の地図データとしては、高精度地図のデジタルデータが採用されてもよい。地図データは、例えば道路構造の位置座標、形状、及び路面状態等のうち、少なくとも一種類を表した道路データを含んでいてもよい。地図データは、例えば道路に付属する道路標識、道路表示、及び区画線の、位置座標並びに形状等のうち、少なくとも一種類を表した標示データを含んでいてもよい。地図データに含まれる標示データは、ランドマークのうち、例えば交通標識、矢印マーキング、車線マーキング、停止線、方向標識、ランドマークビーコン、長方形標識、ビジネス標識、又は道路のラインパターン変化等を表していてもよい。地図データは、例えば道路に面する建造物及び信号機の、位置座標並びに形状等のうち、少なくとも一種類を表した構造物データを含んでいてもよい。地図データに含まれる標示データは、ランドマークのうち、例えば街灯、道路のエッジ、反射板、ポール、又は道路標識の裏側等を表していてもよい。

　情報提示系４は、ホスト車両２のドライバを含む乗員へ向けた報知情報を提示する。情報提示系４は、視覚提示ユニット、聴覚提示ユニット、及び皮膚感覚提示ユニットを含んで構成される。視覚提示ユニットは、乗員の視覚を刺激することより、報知情報を提示する。視覚提示ユニットは、例えばＨＵＤ（Head-up Display）、ＭＦＤ（Multi Function Display）、コンビネーションメータ、ナビゲーションユニット、及び発光ユニット等のうち、少なくとも一種類である。聴覚提示ユニットは、乗員の聴覚を刺激することにより、報知情報を提示する。聴覚提示ユニットは、例えばスピーカ、ブザー、及びバイブレーションユニット等のうち、少なくとも一種類である。皮膚感覚提示ユニットは、乗員の皮膚感覚を刺激することにより、報知情報を提示する。皮膚感覚提示ユニットにより刺激される皮膚感覚には、例えば触覚、温度覚、及び風覚等のうち、少なくとも一種類が含まれる。皮膚感覚提示ユニットは、例えばステアリングホイールのバイブレーションユニット、運転席のバイブレーションユニット、ステアリングホイールの反力ユニット、アクセルペダルの反力ユニット、ブレーキペダルの反力ユニット、及び空調ユニット等のうち、少なくとも一種類である。

　図６に示されるように処理システム１は、ホスト車両２の処理装置１ａと、リモートセンタ８の処理装置８ａとを、含んで構築される。ここで処理システム１は、ホスト車両２におけるセンサ系５、通信系６、地図ＤＢ７、及び情報提示系４のうち、少なくとも通信系６を含んで構築されてもよい。処理装置１ａは、例えばＬＡＮ（Local Area Network）、ワイヤハーネス、内部バス、及び無線通信回線等のうち、少なくとも一種類を介してセンサ系５、通信系６、地図ＤＢ７、及び情報提示系４に接続される。処理装置１ａは、少なくとも一つの専用コンピュータを含んで構成される。処理装置１ａを構成する専用コンピュータは、ホスト車両２の運転制御を統合する、統合ＥＣＵ（Electronic Control Unit）であってもよい。処理装置１ａを構成する専用コンピュータは、ホスト車両２の運転制御におけるＤＤＴを判断する、判断ＥＣＵであってもよい。処理装置１ａを構成する専用コンピュータは、ホスト車両２の運転制御を監視する、監視ＥＣＵであってもよい。処理装置１ａを構成する専用コンピュータは、ホスト車両２の運転制御を評価する、評価ＥＣＵであってもよい。

　処理装置１ａを構成する専用コンピュータは、ホスト車両２の走行経路をナビゲートする、ナビゲーションＥＣＵであってもよい。処理装置１ａを構成する専用コンピュータは、ホスト車両２の自己位置を含む自己状態量を推定する、ロケータＥＣＵであってもよい。処理装置１ａを構成する専用コンピュータは、ホスト車両２の運動アクチュエータを制御する、アクチュエータＥＣＵであってもよい。処理装置１ａを構成する専用コンピュータは、ホスト車両２における情報提示を制御する、ＨＣＵ（HMI（Human Machine Interface） Control Unit）であってもよい。処理装置１ａを構成する専用コンピュータは、例えば通信系６を介して通信可能なモバイル端末等を構築する、少なくとも一つの外部コンピュータであってもよい。

　処理装置１ａを構成する専用コンピュータは、メモリ１０及びプロセッサ１２を、少なくとも一つずつ有している。メモリ１０は、コンピュータにより読み取り可能なプログラム及びデータ等を非一時的に記憶する、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも一種類の非遷移的実体的記憶媒体（non-transitory tangible storage medium）である。プロセッサ１２は、例えばＣＰＵ（Central Processing Unit）、ＧＰＵ（Graphics Processing Unit）、及びＲＩＳＣ（Reduced Instruction Set Computer）－ＣＰＵ等のうち、少なくとも一種類をコアとして含む。

　プロセッサ１２は、ソフトウェアとしてメモリ１０に記憶された処理プログラムに含まれる複数の命令を、実行する。これにより処理装置１ａは、ホスト車両２の運転関連処理を遂行するための機能ブロックを、構築する。このように処理装置１ａでは、ホスト車両２の運転関連処理を遂行するためにメモリ１０に記憶された処理プログラムが複数の命令をプロセッサ１２に実行させることにより、機能ブロックが構築される。処理装置１ａにより構築される機能ブロックには、図８に示されるように検知ブロック１００、計画ブロック１２０、リスク監視ブロック１４０、及び制御ブロック１６０が含まれる。

　検知ブロック１００は、センサ系５の外界センサ５０及び内界センサ５２からセンサデータを取得する。検知ブロック１００は、通信系６から通信データを取得する。検知ブロック１００は、地図ＤＢ７から地図データを取得する。検知ブロック１００は、これらの取得データを入力としてフュージョンすることにより、ホスト車両２の内外環境を検知する。内外環境の検知により検知ブロック１００は、後段の計画ブロック１２０とリスク監視ブロック１４０とへ与える検知情報を生成する。このように検知情報の生成に当たって検知ブロック１００は、センサ系５及び通信系６からデータを取得し、取得データの意味を認識又は理解し、ホスト車両２の外界状況及びその中での自己の置かれた状況、並びにホスト車両２の内界状況を含む状況全般を、取得データを統合して把握するといえる。検知ブロック１００は、計画ブロック１２０とリスク監視ブロック１４０とへ実質同一の検知情報を与えてもよい。検知ブロック１００は、計画ブロック１２０とリスク監視ブロック１４０とへ相異なる検知情報を与えてもよい。

　検知ブロック１００が生成する検知情報は、ホスト車両２の走行環境においてシーン毎に検知される状態を、記述している。検知ブロック１００は、ホスト車両２の外界における道路ユーザ、障害物、及び構造物を含んだ物体を検知することにより、当該物体の検知情報を生成してもよい。物体の検知情報は、例えば物体までの距離、物体の相対速度、物体の相対加速度、物体の追尾検知による推定状態等のうち、少なくとも一種類を表していてもよい。物体の検知情報はさらに、検知された物体の状態から認識又は特定される種別を、表していてもよい。検知ブロック１００は、ホスト車両２の現在及び将来に走行する走路を検知することにより、当該走路の検知情報を生成してもよい。走路の検知情報は、例えば路面、車線、道路端、及びフリースペース等のうち、少なくとも一種類の状態を表していてもよい。

　検知ブロック１００は、ホスト車両２の自己位置を含む自己状態量を推定的に検知するローカリゼーションにより、当該自己状態量の検知情報を生成してもよい。検知ブロック１００は、自己状態量の検知情報と同時に、ホスト車両２の走路に関する地図データの更新情報を生成して、当該更新情報を地図ＤＢ７へフィードバックしてもよい。検知ブロック１００は、ホスト車両２の走路に関連付けられた標示を検知することにより、当該標示の検知情報を生成してもよい。標示の検知情報は、例えば標識、区画線、及び信号機等のうち、少なくとも一種類の状態を表していてもよい。標示の検知情報はさらに、標示の状態から認識又は特定される交通ルールを、表していてもよい。検知ブロック１００は、ホスト車両２の走行するシーン毎の気象状況を検知することにより、当該気象状況の検知情報を生成してもよい。検知ブロック１００は、ホスト車両２の走行シーン毎の時刻を検知することにより、当該時刻の検知情報を生成してもよい。

　計画ブロック１２０は、検知ブロック１００から検知情報を取得する。計画ブロック１２０は、取得した検知情報に応じてホスト車両２の運転制御を計画する。運転制御の計画では、ホスト車両２のナビゲーション動作及びドライバの支援動作に関する制御指令が生成される。即ち計画ブロック１２０は、ホスト車両２の運動制御要求として制御指令を生成する、ＤＤＴ機能を実現する。計画ブロック１２０が生成する制御指令は、ホスト車両２の運動アクチュエータを制御するための制御パラメータを、含んでいてもよい。制御指令の出力対象となる運動アクチュエータとしては、例えば内燃機関、電動モータ、及びそれらが組み合わされたパワトレイン、ブレーキ装置、並びに操舵装置等のうち、少なくとも一種類が挙げられる。

　計画ブロック１２０は、運転ポリシとその安全性に従って記述された安全モデルを用いることにより、当該運転ポリシと適合するように制御指令を生成してもよい。安全モデルの従う運転ポリシとは、例えば意図された機能の安全性（Safety Of The Intended Functionality：以下、ＳＯＴＩＦと表記）を保証する車両レベル安全戦略を踏まえて、規定される。換言すれば安全モデルは、車両レベル安全戦略の実装となる運転ポリシに従うことにより、且つＳＯＴＩＦをモデリングすることにより、記述される。計画ブロック１２０は、運転制御結果を安全モデルに逆伝播させる機械学習アルゴリズムにより、安全モデルをトレーニングしてもよい。トレーニングされる安全モデルとしては、例えばＤＮＮ（Deep Neural Network）といったニュラーラルネットワークによるディープラーニング、及び強化学習等のうち、少なくとも一種類の学習モデルが用いられてもよい。ここで安全モデルとは、他の道路ユーザの合理的に予見可能な行動についての仮定に基づく運転行動の安全関連側面を表現した、安全関連モデル（safety-related models）そのものに定義されてもよいし、当該安全関連モデルのうち一部を構成するモデルに定義されてもよい。このような安全モデルは、例えば車両レベル安全を定式化した数理モデル、及び当該数理モデルに従った処理を実行するコンピュータプログラム等のうち、少なくとも一種類の形態で構築されているとよい。

　計画ブロック１２０は、運転制御によってホスト車両２に将来走行させる経路を、制御指令の生成に先立って計画してもよい。経路計画は、検知情報に基づいてホスト車両２をナビゲートするために、例えばシミュレーション等の演算によって実行されてもよい。即ち計画ブロック１２０は、ホスト車両２の戦術的行動として経路を計画する、ＤＤＴ機能を実現してもよい。計画ブロック１２０はさらに、計画経路を辿るホスト車両２に対して、取得した検知情報に基づく適正な軌道を、制御指令の生成に先立って計画してもよい。即ち計画ブロック１２０は、ホスト車両２の軌道を計画する、ＤＤＴ機能を実現してもよい。計画ブロック１２０が計画する軌道は、ホスト車両２に関する運動物理量として、例えば走行位置、速度、加速度、及びヨーレート等のうち、少なくとも一種類を時系列に規定してもよい。時系列な軌道計画は、ホスト車両２のナビゲートによる将来走行のシナリオを、構築する。計画ブロック１２０は、安全モデルを用いた計画によって軌道を生成してもよい。この場合には、生成された軌道に対してコストを与えるコスト関数が演算されることにより、当該演算結果に基づく機械学習アルゴリズムによって安全モデルがトレーニングされてもよい。

　計画ブロック１２０は、ホスト車両２における自動運転レベルの調整を、取得した検知情報に応じて計画してもよい。自動運転レベルの調整には、自動運転と手動運転との間での引き継ぎも含まれていてもよい。自動運転と手動運転との間での引き継ぎは、自動運転を実行する運行設計領域（Operational Design Domain：以下、ＯＤＤと表記）の設定により、当該ＯＤＤに対する進入又は退出に伴うシナリオにおいて実現されてもよい。ＯＤＤからの退出シナリオ、即ち自動運転から手動運転への引き継ぎシナリオでは、例えば安全モデル等に基づき不合理なリスクが存在すると判断される不合理な状況が、ユースケースとして挙げられる。このユースケースにおいて計画ブロック１２０は、フォールバック予備ユーザとなるドライバが最小リスク操作をホスト車両２に与えてホスト車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックを、計画してもよい。

　自動運転レベルの調整には、ホスト車両２の縮退走行が含まれてもよい。縮退走行のシナリオでは、手動運転への引き継ぎによっては不合理なリスクが存在すると、例えば安全モデル等に基づき判断される不合理な状況が、ユースケースとして挙げられる。このユースケースにおいて計画ブロック１２０は、自律走行及び自律停止によりホスト車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックを、計画してもよい。ホスト車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックは、自動運転レベルを引き下げる調整において実現されるだけでなく、自動運転レベルを維持して縮退走行させる調整、例えばＭＲＭ（Minimum Risk Maneuver）等において実現されてもよい。ホスト車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックでは、例えば照明、ホーン音、信号、及びジェスチャー等のうち、少なくとも一種類により当該移行状況の目立ち易さが高められてもよい。

　リスク監視ブロック１４０は、検知ブロック１００から検知情報を取得する。リスク監視ブロック１４０は、取得した検知情報に基づくことにより、ホスト車両２とその他のターゲット移動体３（図７参照）との間におけるリスクを、シーン毎に監視する。リスク監視ブロック１４０は、ターゲット移動体３に対してホスト車両２のＳＯＴＩＦを保証するように、検知情報に基づくリスク監視を時系列に実行する。リスク監視において想定されるターゲット移動体３は、ホスト車両２の走行環境に存在する他の道路ユーザである。ターゲット移動体３には、例えば自動車、トラック、バイク、及び自転車といった脆弱性のない道路ユーザと、歩行者といった脆弱な道路ユーザとが、含まれる。ターゲット移動体３にはさらに、動物が含まれてもよい。

　リスク監視ブロック１４０は、ホスト車両２においてＳＯＴＩＦを保証する、例えば車両レベル安全戦略等を踏まえた安全エンベロープを、取得したシーン毎の検知情報に基づき設定する。リスク監視ブロック１４０は、上述の運転ポリシに従う安全モデルを用いて、ホスト車両２及びターゲット移動体３間における安全エンべーロープを設定してもよい。安全エンベロープの設定に用いられる安全モデルは、不合理なリスク又は道路ユーザの誤用に起因する潜在的な事故責任を、事故責任規則に則って回避するように設計されてもよい。換言すれば安全モデルは、運転ポリシに従う事故責任規則をホスト車両２が遵守するように設計されてもよい。こうした安全モデルとしては、例えば特許文献１に開示されるような責任敏感型安全性モデル（Responsibility Sensitive Safety model）等が、挙げられる。

　ここで安全エンベロープとは、許容可能なリスクのレベル内で操作を維持するためにシステムが制約又は制御の対象として動作するように設計されている、一連の制限及び条件として定義されてもよい。このような安全エンベロープは、ホスト車両２及びターゲット移動体３を含んだ各道路ユーザの周囲における物理ベースのマージンとして、例えば距離、速度、及び加速度等のうち少なくとも一種類の運動物理量に関するマージンにより、設定可能である。例えば安全エンベロープの設定では、運転ポリシに従うと仮定したホスト車両２及びターゲット移動体３に対する安全モデルに基づくことにより、少なくとも一種類の運動物理量に関するプロファイルから、安全距離が想定されてもよい。安全距離は、予測されるターゲット移動体３の運動に対して、ホスト車両２の周囲に物理ベースのマージンを確保した境界を、画定する。安全距離は、道路ユーザにより適切な応答が実行されるまでの反応時間を加味して、想定されてもよい。安全距離は、事故責任規則を遵守するように、想定されてもよい。例えば車線等の車線構造が存在するシーンでは、ホスト車両２の縦方向において追突及び正面衝突のリスクを回避する安全距離と、ホスト車両２の横方向において側面衝突のリスクを回避する安全距離とが、演算されてもよい。一方、車線構造が存在しないシーンでは、ホスト車両２の任意方向において軌道の衝突するリスクを回避する安全距離が、演算されてもよい。

　リスク監視ブロック１４０は、ホスト車両２及びターゲット移動体３間における相対運動のシーン毎での状況を、上述した安全エンベロープの設定に先立って特定してもよい。例えば車線等の車線構造が存在するシーンでは、縦方向において追突及び正面衝突のリスクが想定される状況と、横方向において側面衝突のリスクが想定される状況とが、特定されてもよい。これら縦方向及び横方向の状況特定では、直線状の車線を前提とする座標系へ、ホスト車両２及びターゲット移動体３に関する状態量が変換されてもよい。一方、車線構造が存在しないシーンでは、ホスト車両２の任意方向において軌道が衝突するリスクの想定される状況が、特定されてもよい。尚、以上の状況特定機能については、検知ブロック１００により少なくとも一部が実行されることにより、状況特定結果が検知情報としてリスク監視ブロック１４０に与えられてもよい。

　リスク監視ブロック１４０は、ホスト車両２及びターゲット移動体３間における安全判定を、設定した安全エンベロープと、取得したシーン毎の検知情報とに基づき、実行する。即ちリスク監視ブロック１４０は、ホスト車両２及びターゲット移動体３間において検知情報に基づき解釈される走行シーンには、安全エンベロープの違反となる安全エンベロープ違反があるか否かをテストすることにより、安全判定を実現する。安全エンベロープの設定において安全距離が想定される場合には、ホスト車両２及びターゲット移動体３間の現実距離が当該安全距離超過となることにより、安全エンベロープ違反はないとの判定が下されてもよい。一方、ホスト車両２及びターゲット移動体３間の現実距離が安全距離以下となることにより、安全エンベロープ違反があるとの判定が下されてもよい。

　リスク監視ブロック１４０は、安全エンベロープ違反ありとの判定を下した場合に、適切な応答として取るべき適正な行動をホスト車両２へ与えるための合理的なシナリオを、シミュレーションにより演算してもよい。合理的シナリオのシミュレーションでは、ホスト車両２及びターゲット移動体３間での状態遷移が推定されることにより、遷移する状態毎に取るべき行動が、ホスト車両２に対する制約（後に詳述）として設定されてもよい。行動の設定では、ホスト車両２へ与える少なくとも一種類の運動物理量を、ホスト車両２に対する制約として制限するように、当該運動物理量に対して仮定される制限値が演算されてもよい。

　リスク監視ブロック１４０は、運転ポリシに従うと仮定したホスト車両２及びターゲット移動体３に対しての安全モデルに基づくことにより、少なくとも一種類の運動物理量に関するプロファイルから、事故責任規則を遵守するための制限値を直接的に演算してもよい。直接的な制限値の演算は、それ自体が安全エンべーロープの設定であって、運転制御に対する制約の設定でもあるといえる。そこで、制限値よりも安全側の現実値が検知される場合、安全エンベロープ違反なしとの判定が下されてもよい。一方、制限値を外れる側の現実値が検知される場合、安全エンベロープ違反ありとの判定が下されてもよい。

　リスク監視ブロック１４０は、例えば安全エンベロープの設定に用いられた検知情報、安全エンベロープの判定結果を表す判定情報、当該判定結果を左右した検知情報、及びシミュレートしたシナリオ等のうち、少なくとも一種類のエビデンス情報をメモリ１０に記憶してもよい。エビデンス情報の記憶されるメモリ１０は、処理装置１ａを構成する専用コンピュータの種類に応じて、ホスト車両２内に搭載されていてもよいし、例えばホスト車両２外の外部センタ等に設置されていてもよい。エビデンス情報は、非暗号化状態で記憶されてもよいし、暗号化又はハッシュ化されて記憶されてもよい。エビデンス情報の記憶は、安全エンベロープ違反はあるとの判定の場合に、少なくとも実行される。勿論、安全エンベロープ違反はないとの判定の場合にも、エビデンス情報の記憶は実行されてもよい。安全エンベロープ違反なしとの判定の場合におけるエビデンス情報は、記憶時点では遅行型指標として利活用可能であり、将来に対しては先行型指標としても利活用可能となる。

　制御ブロック１６０は、計画ブロック１２０から制御指令を取得する。制御ブロック１６０は、リスク監視ブロック１４０から安全エンベロープに関する判定情報を取得する。即ち制御ブロック１６０は、ホスト車両２の運動を制御する、ＤＤＴ機能を実現する。制御ブロック１６０は、安全エンベロープ違反なしとの判定情報を取得した場合に、計画されたホスト車両２の運転制御を、制御指令に従って実行する。

　これに対して制御ブロック１６０は、安全エンベロープ違反ありとの判定情報を取得した場合に、計画されたホスト車両２の運転制御に対して、判定情報に基づき運転ポリシに従う制約を与える。運転制御に対する制約は、機能的な制約（functional restriction）であってもよい。運転制御に対する制約は、縮退した制約（degraded constraints）であってもよい。運転制御に対する制約は、これらとは別の制約であってもよい。運転制御に対して制約は、制御指令の制限によって与えられる。合理的なシナリオがリスク監視ブロック１４０によりシミュレートされている場合に制御ブロック１６０は、当該シナリオに従って制御指令を制限してもよい。このとき、ホスト車両２の運動物理量に関して制限値が設定されている場合には、制御指令に含まれる運動アクチュエータの制御パラメータが、当該制限値に基づき補正されてもよい。

　ターゲット移動体３のうち、図７に示されるターゲット車両３ａは、ホスト車両２に準ずる処理装置１ａ、センサ系５、通信系６、地図ＤＢ７、及び情報提示系４を、搭載していてもよい。この場合にリモートセンタ８からの視点では、ホスト車両２が「第一ホスト移動体」に相当し、別のホスト車両２となるターゲット車両３ａが「第二ホスト移動体」に相当する、と考えることができる。また、この場合に処理システム１は、ターゲット車両３ａにおけるセンサ系５、通信系６、地図ＤＢ７、及び情報提示系４のうち、少なくとも通信系６を含んで構築されてもよい。

　図６に示されるようにリモートセンタ８は、処理装置８ａと共に通信系８ｂを備える、例えばクラウドサーバ、及びエッジサーバ等のうち、少なくとも一種類を主体に構築される。通信系８ｂは、ホスト車両２の通信系６と間において通信可能なＶ２Ｘシステムの、少なくとも一部を形成する。通信系８ｂは、ターゲット車両３ａに搭載される場合の通信系６との間においても、通信可能であってもよい。処理装置８ａは、有線通信回線、及び無線通信回線のうち、少なくとも一種類を介して通信系８ｂに接続される。処理装置８ａは、少なくとも一つの専用コンピュータを含んで構成される。処理装置８ａでは、通信系８ｂを通じて通信可能な、ホスト車両２を含む道路ユーザに関しての情報を、例えばリモートセンタ８のオペレータへ表示する等の出力制御処理が、実行されてもよい。処理装置８ａでは、通信可能な道路ユーザへフィードバックされる情報を、例えばリモートセンタ８のオペレータから受付する等の入力制御処理が、実行されてもよい。

　処理装置８ａを構成する専用コンピュータは、メモリ８０及びプロセッサ８２を、少なくとも一つずつ有している。処理装置８ａのメモリ８０及びプロセッサ８２は、処理装置１ａのメモリ１０及びプロセッサ１２に準ずる。プロセッサ８２は、ソフトウェアとしてメモリ８０に記憶された処理プログラムに含まれる複数の命令を、実行する。これにより処理装置８ａは、ホスト車両２の運転関連処理を処理装置１ａとの協働により遂行するための機能ブロックを、構築する。処理装置８ａは、ターゲット車両３ａに搭載される場合の処理装置１ａとの協働により、ターゲット車両３ａの運転関連処理を遂行するための機能ブロックを、構築してもよい。

　このように処理装置８ａでは、ホスト車両２等の運転関連処理を遂行するためにメモリ８０に記憶された処理プログラムが複数の命令をプロセッサ８２に実行させることにより、機能ブロックが構築される。これは処理システム１全体の視点では、メモリ１０，８０にそれぞれ記憶された処理プログラムが、プロセッサ１２，８２に命令を協働して実行させることにより、各装置１ａ，８ａの機能ブロックが構築される、と考えることができる。このとき、ホスト車両２等において通信系６を構成する通信装置６ａを含んで構築される場合の処理システム１では、メモリ１０，８０，６０にそれぞれ記憶された処理プログラムが、プロセッサ１２，６２，８２に命令を協働して実行させてもよい。

　一方で処理システム１全体の視点であれば、メモリ１０，８０の一方（特にクラウドサーバのメモリ８０）に記憶された処理プログラムが、プロセッサ１２，８２に命令を協働して実行させることにより、各装置１ａ，８ａの機能ブロックが構築されてもよい。このとき、ホスト車両２等において通信系６を構成する通信装置６ａを含んで構築される場合の処理システム１では、メモリ１０，８０の一方に記憶された処理プログラムと、メモリ６０に記憶された処理プログラムとが、プロセッサ１２，６２，８２に命令を協働して実行させてもよい。

　以上のいずれの場合においても、ホスト車両２等のプロセッサ１２及びメモリ１０が「第一プロセッサ」及び「第一記憶媒体」にそれぞれ相当し、リモートセンタ８のプロセッサ８２及びメモリ８０が「第二プロセッサ」及び「第二記憶媒体」にそれぞれに相当する。

　図９に示されるように、処理装置８ａにより構築される機能ブロックには、センタ管理ブロック８８０が含まれる。センタ管理ブロック８８０は、ホスト車両２を含む道路ユーザが複数存在している交通環境を、管理する。センタ管理ブロック８８０は、通信可能な道路ユーザの走行シーンに関するシーン情報を、通信系８ｂを通じてリアルタイムに取得して、交通環境の管理に利用してもよい。センタ管理ブロック８８０は、シーン情報に基づき交通環境を管理するために、通信可能な道路ユーザへフィードバックするフィードバック情報を、通信系８ｂを通じてリアルタイムに又は事後的に送信してもよい。図９は、リモートセンタ８の処理装置８ａにより構築されるセンタ管理ブロック８８０と、ホスト車両２の処理装置１ａにより構築されるリスク監視ブロック１４０との間において、必要情報が通信系８ｂ，６を介して送受信される例を、示している。

　以下、第一実施形態の詳細を説明する。

　図１０に示されるように第一実施形態では、車線の区切られた車線構造Ｌｓが、想定される。車線構造Ｌｓは、車線の延伸する方向を縦方向として、ホスト車両２及びターゲット移動体３の運動を規制する。車線構造Ｌｓは、車線の幅方向又は並ぶ方向を横方向として、ホスト車両２及びターゲット移動体３の運動を規制する。

　車線構造Ｌｓにおけるホスト車両２及びターゲット移動体３間の運転ポリシは、例えばターゲット移動体３がターゲット車両３ａの場合、次の（１）～（５）等に規定される。尚、ホスト車両２を基準とする前方とは、例えばホスト車両２の現在舵角における旋回円上の進行方向、ホスト車両２の車軸と直交する車両重心を通る直線の進行方向、又はホスト車両２のセンサ系５のうちフロントカメラモジュールから同カメラのＦＯＥ（Focus of Expansion）の軸線上における進行方向等を、意味する。
（１）　車両は、前方を走行している車両に、後方から追突しない。
（２）　車両は、他の車両間に強引な割り込みをしない。
（３）　車両は、自己が優先の場合でも、状況に応じて他の車両と譲り合う。
（４）　車両は、見通しの悪い場所では、慎重に運転する。
（５）　車両は、自責他責に関わらず、自己で事故を防止可能な状況であれば、そのために合理的行動を取る。

　運転ポリシに従うモデルであって、ＳＯＴＩＦのモデリングされた安全モデルは、不合理な状況には至らない道路ユーザの行動を、取るべき適正な合理的行動として想定する。車線構造Ｌｓにおけるホスト車両２及びターゲット移動体３間での不合理な状況とは、正面衝突、追突、及び側面衝突である。正面衝突における合理的行動は、例えばホスト車両２に対するターゲット移動体３がターゲット車両３ａの場合、逆走している車両がブレーキを掛けること等を、含む。追突における合理的行動は、例えばホスト車両２に対するターゲット移動体３がターゲット車両３ａの場合、前方を走行している車両が一定以上の急ブレーキを掛けないこと、及びそれを前提として後方を走行している車両が追突を回避すること等を、含む。側面衝突における合理的行動は、例えばホスト車両２に対するターゲット移動体３がターゲット車両３ａの場合、並走する車両同士が互いの離間方向へ操舵すること等を、含む。合理的行動の想定に際してホスト車両２及びターゲット移動体３に関する状態量は、車線がカーブする車線構造Ｌｓと、車線が高低する車線構造Ｌｓとのいずれであっても、直線状且つ平面状の車線構造Ｌｓを仮定して縦方向及び横方向を規定する、直交座標系に変換される。

　安全モデルは、合理的行動を取らなかった移動体が事故責任を負うとする、事故責任規則に則って設計されるとよい。車線構造Ｌｓでの事故責任規則下、ホスト車両２及びターゲット移動体３間のリスクを監視するために用いられる安全モデルは、合理的行動によって潜在的な事故責任を回避するように、ホスト車両２に対する安全エンベロープをホスト車両２に対して設定する。そこで、処理装置１ａの全体が正常な状況でのリスク監視ブロック１４０は、ホスト車両２及びターゲット移動体３間の現実距離に対して、走行シーン毎に安全モデルに基づく安全距離を照らし合わせることにより、安全エンベロープ違反の有無を判定する。安全エンベロープ違反がある場合にリスク監視ブロック１４０は、合理的行動をホスト車両２へ与えるためのシナリオを、シミュレーションする。シミュレーションによりリスク監視ブロック１４０は、制御ブロック１６０での運転制御に対する制約として、例えば速度及び加速度等のうち少なくとも一方に関する制限値を、設定する。

　第一実施形態では、図１１に示されるフローチャートに従って運転関連処理を遂行する処理方法が、複数機能ブロックの共同により実行される。第一実施形態の処理方法は、計画ブロック１２０により計画される手動運転及び自動運転のいずれにおいても、またそれらのうち一方に対する他方の介入に関わらず、繰り返し実行される。ここで処理方法の各「Ｓ」は、メモリ１０，８０の少なくとも一方に記憶の処理プログラムに含まれた複数命令によって実行される複数ステップを、それぞれ意味している。また、ホスト車両２等において通信系６を構成する通信装置６ａを含んで処理システム１が構築される場合に処理方法の各「Ｓ」は、メモリ１０，８０の少なくとも一方に記憶の処理プログラムに加えて、メモリ６０に記憶の処理プログラムに含まれた複数命令によって実行される複数ステップを、それぞれ意味していてもよい。

　処理方法のＳ１００におけるリスク監視ブロック１４０は、ＳＯＴＩＦを運転ポリシに従って設定した安全エンベロープに関する安全エンベロープ違反を、手動運転及び自動運転のうち計画ブロック１２０により選択されている一方のホスト車両２において、監視する。Ｓ１００において、安全エンベロープ違反は発生していない（即ち、安全エンベロープ違反なし）との判定をリスク監視ブロック１４０が下した場合には、処理方法の今回フローが終了する。一方でＳ１００において、安全エンベロープ違反は発生した（即ち、安全エンベロープ違反あり）との判定をリスク監視ブロック１４０が下した場合には、処理方法がＳ１１０へ移行する。

　処理方法のＳ１１０においてリスク監視ブロック１４０は、選択されている手動運転又は自動運転のホスト車両２に発生した安全エンベロープ違反のシーンである、違反シーンを表すシーン情報Ｉｓを、通信系６を通じてホスト車両２からリモートセンタ８へ送信するように、生成する。シーン情報Ｉｓは、安全エンベロープ違反の発生タイミングにおける情報であってもよい。シーン情報Ｉｓは、例えばＥＤＲ（Event Data Recorder）等の観点から、安全エンベロープ違反の発生タイミング前後における情報を含むものであってもよい。シーン情報Ｉｓは、検知ブロック１００による検知情報に基づき生成されて安全エンベロープ違反の状況を表す状況情報Ｉａを、含む。

　状況情報Ｉａは、リスク監視ブロック１４０の制約設定による制限値から外れた、安全エンベロープ違反の運動物理量として、例えば図１２に示されるホスト車両２の速度、及び加減速度等のうち、少なくとも一種類の現実値を表していてもよい。状況情報Ｉａが表す運動物理量としては、車線構造Ｌｓにおける縦方向及び横方向の違いも考慮される。状況情報Ｉａは、違反シーンにおけるホスト車両２の状態として、例えば位置を含む自己状態量（即ち、ローカリゼーション推定値）、ベクトル、積算走行距離、積算走行時間、積載重量、摩耗を含むタイヤ状態、メンテナンス状態、運転アクチュエータの作動状態、及び車種等のうち、少なくとも一種類を表していてもよい。状況情報Ｉａは、ホスト車両２において外界センサ５０としてのカメラにより撮影された画像又は映像を、含んでいてもよい。

　状況情報Ｉａは、違反シーンにおけるホスト車両２の計画ブロック１２０での計画状況として、例えば経路、軌道、制御パラメータ、自動運転レベル（手動運転をレベル０とした場合を含む）等のうち、少なくとも一種類を表していてもよい。状況情報Ｉａが表す経路の計画状況は、例えば目的地までのルート、及び複数車線構造における走行車線等のうち、少なくとも一種類に関する計画結果を、含んでいてもよい。手動運転における状況情報Ｉａは、違反シーンにおいてホスト車両２を操作しているドライバの状態として、例えば違反シーン以前の運転スコアを含む運転傾向、走行距離の履歴、走行時間の履歴、安全エンベロープ違反の履歴、及び身体状態等のうち、少なくとも一種類を表していてもよい。

　状況情報Ｉａは、違反シーンにおけるターゲット移動体３の状態として、例えば位置、距離、速度、加減速度、相対速度、相対加速度、及びそれらのベクトルを含む推定状態、並びに種別等のうち、少なくとも一種類を表していてもよい。状況情報Ｉａは、ターゲット移動体３の種別が脆弱な道路ユーザである場合に、当該道路ユーザの少なくとも一部となる人物の、例えば年齢、及び身体状態等のうち、少なくとも一種類を表していてもよい。

　状況情報Ｉａは、ホスト車両２及びターゲット移動体３間での相対状態として、例えばリスク種別を表していてもよい。状況情報Ｉａの表すリスク種別は、安全エンベロープ違反の判定基準となった安全エンベロープを規定する安全モデルにて図１２の如く想定される、例えば追突リスク、正面衝突リスク、側面衝突リスク、交差リスク、死角リスク、及びそれらの詳細状況のうち、少なくとも一種類であってもよい。状況情報Ｉａは、違反シーンの道路状況として、例えば交通ルール、標示、道路構造、ロケーション、区間、路面状態、明暗状況、工事状況、渋滞状況、落下物を含む障害物の存在状況、道路周辺の地物構造、及び当該地物構造又は移動体種別に起因する死角等のうち、少なくとも一種類を表していてもよい。ここで移動体種別とは、車両に関しての、例えば自動車、トラック、及びバス等の区別である。道路状況を表す状況情報Ｉａとしては、道路状況と関連付けられた地図データを、含んでいてもよい。状況情報Ｉａは、違反シーンの時刻、昼夜の区別を含む違反シーンの時間帯、及び違反シーンの気象状況（即ち、天候）等のうち、少なくとも一種類を表していてもよい。

　Ｓ１１０においてリスク監視ブロック１４０は、安全エンベロープ違反の要因を判断してもよく、この場合にシーン情報Ｉｓは、当該要因を表す要因情報Ｉｂを含んでいてもよい。図１２に示されるように要因情報Ｉｂは、ホスト車両２及びターゲット移動体３のうち安全エンベロープ違反と判定された少なくとも一方（即ち、自責及び他責）に対して、生成されるとよい。要因情報Ｉｂは、例えば操作タイミング、車間距離、交通優先度、速度等のうち、少なくとも一種類について不合理なリスクを招いたと判断される安全エンベロープ違反の要因として、手動運転での誤判断又は自動運転での誤制御を特定するように、生成されてもよい。要因情報Ｉｂは、不合理なリスクを招いたと判断される安全エンベロープ違反の要因として、手動運転又は自動運転での安全エンベロープ違反により遵守されていない運転ポリシを特定するように、生成されてもよい。尚、図１２は、ターゲット移動体３がターゲット車両３ａの場合における上述番号（１）～（５）の運転ポリシのうち、違反された運転ポリシの特定結果を当該番号により例示している。

　Ｓ１１０においてリスク監視ブロック１４０が生成したシーン情報Ｉｓは、認証キーを含むユーザＩＤに対してのリモートセンタ８による認証完了下、リスク監視ブロック１４０による通信系６（通信装置６ａのプロセッサ６２）での送信制御に従ってリモートセンタ８へアップロード送信可能となる。Ｓ１１０においてリスク監視ブロック１４０は、生成したシーン情報Ｉｓを、メモリ１０に記憶してもよい。シーン情報Ｉｓは、リスク監視ブロック１４０による生成時刻を表すタイムスタンプと関連付けてメモリ１０に記憶されることにより、メモリ１０には、複数時点でのシーン情報Ｉｓが蓄積されてもよい。シーン情報Ｉｓは、メモリ１０への記憶に際して、暗号化又はハッシュ化されてもよい。記憶されるシーン情報Ｉｓがハッシュ化される場合、シーン情報Ｉｓの一部を構成することになるハッシュ値が、リモートセンタ８へ送信されてもよい。

　リモートセンタ８の視点で別のホスト車両２と想定される場合のターゲット車両３ａでは、Ｓ１１０においてリスク監視ブロック１４０が、シーン情報Ｉｓの生成及び通信系６を通じたターゲット車両３ａからの送信制御を、実行してもよい。この想定ケースでのシーン情報Ｉｓは、ターゲット車両３ａにおいて発生した安全エンベロープ違反のシーン、即ち違反シーンを表す情報となる。

　図１１に示される処理方法のＳ１２０においてセンタ管理ブロック８８０は、リスク監視ブロック１４０からアップロードされるシーン情報Ｉｓを、選択されている手動運転又は自動運転のホスト車両２から、通信系８ｂを通じて取得する。リモートセンタ８の視点で別のホスト車両２と想定される場合のターゲット車両３ａでは、Ｓ１２０においてセンタ管理ブロック８８０が、ターゲット車両３ａからのシーン情報Ｉｓも、通信系８ｂを通じて取得する。

　Ｓ１２０においてセンタ管理ブロック８８０は、取得したシーン情報Ｉｓを、メモリ８０に記憶してもよい。シーン情報Ｉｓは、リスク監視ブロック１４０による生成時刻又はセンタ管理ブロック８８０による取得時刻を表すタイムスタンプと関連付けてメモリ８０に記憶されることにより、メモリ８０には、複数時点でのシーン情報Ｉｓが蓄積されてもよい。シーン情報Ｉｓは、メモリ８０への記憶に際して、暗号化又はハッシュ化されてもよい。シーン情報Ｉｓが取得時点で暗号化されている場合には、当該暗号化のシーン情報Ｉｓが、復号化処理されてからメモリ８０に記憶されてもよい。シーン情報Ｉｓが取得時点でハッシュ値である場合には、当該ハッシュ値がメモリ８０に一旦記憶されてもよい。メモリ８０に記憶されたハッシュ値は、後述するＳ１３０でのシーン情報Ｉｓの利用に際して、処理装置１ａ側のメモリ１０に記憶されたシーン情報Ｉｓに対するハッシュ値と照合されることにより、シーン情報Ｉｓのセキュアな取得を可能にする。

　処理方法のＳ１３０においてセンタ管理ブロック８８０は、取得したシーン情報Ｉｓに基づきホスト車両２へフィードバックするフィードバック情報Ｉｆを、通信系８ｂを通じてリモートセンタ８からホスト車両２へ送信するように、生成する。フィードバック情報Ｉｆは、検証及び妥当性確認（Verification and Validation）をホスト車両２においてオンボードで実現するために、生成される情報であってもよい。フィードバック情報Ｉｆは、ホスト車両２及びリモートセンタ８間でのフィードバックループの概念に基づき、生成される情報であってもよい。フィードバック情報Ｉｆは、シーン情報Ｉｓを取得するのに応答して、当該取得のシーン情報Ｉｓに基づきリアルタイムに生成されてもよい。Ｓ１３０においてセンタ管理ブロック８８０は、メモリ８０に蓄積される場合の複数時点におけるシーン情報Ｉｓに対して、集計処理を含む統計分析処理を施してもよく、この場合にフィードバック情報Ｉｆは、当該統計分析処理の出力結果に基づき事後的に生成されてもよい。事後的なフィードバック情報Ｉｆの生成は、例えばデイリー、ウィークリー、マンスリー、及び所定回数のトリップ（即ち運行）毎のうち、少なくとも一種類のスパンで実行されてもよい。

　メモリ８０に記憶のシーン情報Ｉｓは、フィードバック情報Ｉｆの生成又は送信に応答して、削除されてもよい。メモリ８０に記憶のシーン情報Ｉｓは、例えば設定期間、オペレータの指示、及び同一シーン又は同一ロケーションでの安全エンベロープ違反の不発生期間等のうち、少なくとも一種類をトリガとして削除されてもよい。

　フィードバック情報Ｉｆは、シーン情報Ｉｓに基づき判断される、ホスト車両２での運転に対する支援内容を表す支援情報Ｉｃを、含む。支援情報Ｉｃは、ホスト車両２において計画された安全エンベロープ違反の運転制御に対してリスク監視ブロック１４０が設定した制約を許可する、許可指令を表していてもよい。支援情報Ｉｃが表す制約の許可指令は、例えばホスト車両２の速度制限、及び加減速度制限等のうち、少なくとも一種類を許可するように設定されてもよい。支援情報Ｉｃは、ホスト車両２において安全エンベロープ違反の判定基準となった安全エンベロープを規定する安全モデルでの、設定用パラメータ又は学習用パラメータの変更指令を表していてもよい。

　支援情報Ｉｃは、ホスト車両２の検知ブロック１００による、例えばフュージョン、物体検知、走路検知、標示検知、及びローカリゼーション等のうち、少なくとも一種類に関する検知アルゴリズムの、更新指令又はパラメータ調整指令を表していてもよい。支援情報Ｉｃは、ホスト車両２のセンサ系５における内部パラメータ及び外部パラメータのうち、少なくとも一方の調整指令を表していてもよい。

　支援情報Ｉｃは、ホスト車両２の計画ブロック１２０による、例えば経路、軌道、自動運転レベル（手動運転をレベル０と想定した場合を含む）、運行設計領域、及び制御パラメータ等のうち、少なくとも一種類に関して最小リスク状態へ移行するための変更指令を表していてもよい。支援情報Ｉｃが表す経路の変更指令は、例えば目的地までのルート、及び複数車線構造における走行車線等のうち、少なくとも一種類に関して安全エンベロープ違反の少ない経路を判断した選択結果を、含んでいてもよい。支援情報Ｉｃが表す制御パラメータの変更指令は、例えば速度制限、加減速度制限、ブレーキへの介入、操舵への介入、オートクルーズコントロールへの介入、及びトラクションコントロールへの介入等のうち、少なくとも一種類を計画するように設定されてもよい。このとき変更指令の設定は、例えば安全エンベロープ違反が多い移動体種別、安全エンベロープ違反が多い気象状況、及び安全エンベロープ違反が多い時間帯等のうち、少なくとも一種類に固有又は特有の制御パラメータに関して、実行されるとよい。手動運転のホスト車両２に対する支援情報Ｉｃは、安全エンベロープ違反を発生させたドライバへの警告指令を、表していてもよい。手動運転のホスト車両２に対する支援情報Ｉｃは、ホスト車両２の計画ブロック１２０による自動運転の介入指令を、表していてもよい。

　Ｓ１３０においてセンタ管理ブロック８８０は、安全エンベロープ違反の要因をシーン情報Ｉｓに基づき判断してもよく、この場合にフィードバック情報Ｉｆは、図１２に示されるように当該要因を表す要因情報Ｉｂを含んでいてもよい。要因情報Ｉｂは、上述のＳ１１０に準じて生成されるとよい。リモートセンタ８の処理装置８ａにより構築されるセンタ管理ブロック８８０は、ホスト車両２の処理装置１ａにより構築されるリスク監視ブロック１４０に比べて高精度且つ緻密な要因分析（上述の統計分析を含む）により、要因情報Ｉｂを生成することが可能である。これは、処理装置１ａに対して処理装置８ａ（特にクラウドサーバ主体の装置８ａ）では、コンピュータ設計上の自由度が高くなるからである。また処理装置８ａのセンタ管理ブロック８８０では、不合理なリスク状態に陥った車両同士の情報がアップロードされた場合に、それらの情報を総合して、いずれの車両に事故責任があったのかを判断するという、第三者的な視点を与えることが可能である。

　要因情報Ｉｂを含む場合のフィードバック情報Ｉｆでは、支援情報Ｉｃの表す支援内容が、要因情報Ｉｂの表す要因に関連付けて指令されているとよい。一具体例において、要因が速度超過である安全エンベロープ違反に対しての支援内容は、制約設定又は運転制御計画により加減速度制限等をホスト車両２へ与える指令であってもよい。別の具体例において、要因が交差タイミングの誤判断若しくは誤制御である安全エンベロープ違反に対しての支援内容は、制約設定又は運転制御計画により加減速度制限、ブレーキ介入、又は操舵介入等をホスト車両２へ与える指令であってもよい。

　要因情報Ｉｂを含む場合のフィードバック情報Ｉｆは、センタ管理ブロック８８０により取得されたシーン情報Ｉｓのうち、センタ管理ブロック８８０により判断された要因を裏付ける、例えば映像等を含んでいてもよい。手動運転のホスト車両２に対して要因を裏付けるシーン情報Ｉｓは、例えば短距離の合流部における合流シーン、又は渋滞末尾が位置する死角への進入シーン等、ドライバが安全エンベロープ違反を余儀なくされた違反シーンの映る映像を、含んでいるとよい。

　Ｓ１３０においてセンタ管理ブロック８８０が生成したフィードバック情報Ｉｆは、認証キーを含むユーザＩＤに対してのリモートセンタ８による認証完了下、センタ管理ブロック８８０による通信系８ｂの制御に従ってホスト車両２へ送信可能となる。フィードバック情報Ｉｆの送信タイミングは、上述したフィードバック情報Ｉｆの生成タイミングに依拠することにより、安全エンベロープ違反に対してリアルタイムに又事後的に制御されてもよい。フィードバック情報Ｉｆの送信タイミングは、後述するホスト車両２からの要求に対して応答するように、制御されてもよい。フィードバック情報Ｉｆが事後的に生成若しくは送信、又はホスト車両２からの要求への応答により送信される場合でのＳ１３０の実行完了後には、処理方法が今回フローにおいてはＳ１４０，Ｓ１５０へ移行せず、必要に応じて当該移行が実現されてもよい。

　Ｓ１３０においてセンタ管理ブロック８８０は、生成したフィードバック情報Ｉｆを、メモリ８０に記憶してもよい。フィードバック情報Ｉｆは、センタ管理ブロック８８０による生成時刻を表すタイムスタンプと関連付けてメモリ８０に記憶されることにより、メモリ８０には、複数時点でのフィードバック情報Ｉｆが蓄積されてもよい。フィードバック情報Ｉｆは、暗号化又はハッシュ化されてから、メモリ８０に記憶されてもよい。メモリ８０に記憶のフィードバック情報Ｉｆは、フィードバック情報Ｉｆの生成又は送信に応答して、削除されてもよい。メモリ８０に記憶のフィードバック情報Ｉｆは、例えば設定期間、オペレータの指示、及び同一シーン又は同一ロケーションでの安全エンベロープ違反の不発生期間等のうち、少なくとも一種類をトリガとして削除されてもよい。

　リモートセンタ８の視点で別のホスト車両２と想定される場合のターゲット車両３ａでは、Ｓ１３０においてセンタ管理ブロック８８０が、フィードバック情報Ｉｆの生成及び通信系８ｂを通じたターゲット車両３ａへの送信制御を、実行してもよい。この想定ケースでのフィードバック情報Ｉｆは、シーン情報Ｉｓに基づきターゲット車両３ａへフィードバックされる情報となる。また、この想定ケースでのフィードバック情報Ｉｆは、例えば安全エンベロープ違反の発生確率が高いロケーション、安全エンベロープ違反の要因、及び安全エンベロープ違反を回避する支援内容等のうち、少なくとも一種類を各車両へ配信するように、生成されてもよい。

　図１１に示される処理方法のＳ１４０においてリスク監視ブロック１４０は、選択されている手動運転又は自動運転のホスト車両２においてセンタ管理ブロック８８０からダウンロードされるフィードバック情報Ｉｆを、通信系６（通信装置６ａのプロセッサ６２）での受信制御に従って取得する。フィードバック情報Ｉｆは、ホスト車両２に生じた安全エンベロープ違反に対するリアルタイム又は事後的なセンタ管理ブロック８８０からの送信により、取得されてもよい。フィードバック情報Ｉｆは、例えば任意のタイミング又は経路上の所定範囲等での、ホスト車両２からの要求に応答したセンタ管理ブロック８８０からの送信により、取得されてもよい。リモートセンタ８の視点で別のホスト車両２と想定される場合のターゲット車両３ａでは、Ｓ１４０においてリスク監視ブロック１４０が、センタ管理ブロック８８０からターゲット車両３ａへのフィードバック情報Ｉｆを、同様に通信系６を通じて取得する。

　Ｓ１４０においてリスク監視ブロック１４０は、取得したフィードバック情報Ｉｆを、メモリ１０に記憶してもよい。フィードバック情報Ｉｆは、センタ管理ブロック８８０による生成時刻又はリスク監視ブロック１４０による取得時刻を表すタイムスタンプと関連付けてメモリ１０に記憶されることにより、メモリ１０には、複数時点でのフィードバック情報Ｉｆが蓄積されてもよい。フィードバック情報Ｉｆは、メモリ１０への記憶に際して、暗号化又はハッシュ化されてもよい。フィードバック情報Ｉｆが取得時点で暗号化されている場合には、当該暗号化のフィードバック情報Ｉｆが、復号化処理されてからメモリ１０に記憶されてもよい。フィードバック情報Ｉｆが取得時点でハッシュ値である場合には、当該ハッシュ値がメモリ１０に一旦記憶されてもよい。メモリ１０に記憶されたハッシュ値は、後述するＳ１５０でのフィードバック情報Ｉｆの利用に際して、処理装置８ａ側のメモリ８０に記憶されたフィードバック情報Ｉｆに対するハッシュ値と照合されることにより、フィードバック情報Ｉｆのセキュアな取得を可能にする。

　Ｓ１４０におけるリスク監視ブロック１４０は、メモリ１０に記憶のシーン情報Ｉｓを、フィードバック情報Ｉｆの取得に応答して、当該取得時又はＳ１５０でのフィードバック情報Ｉｆの利用後に削除してもよい。Ｓ１４０におけるリスク監視ブロック１４０は、メモリ８０に記憶のシーン情報Ｉｓを、例えば設定期間、及び同一シーン又は同一ロケーションでの安全エンベロープ違反の不発生期間等のうち、少なくとも一種類をトリガとして削除してもよい。

　処理方法のＳ１５０において、リスク監視ブロック１４０、検知ブロック１００、及び計画ブロック１２０のうち少なくとも一ブロックは、取得したフィードバック情報Ｉｆに基づき選択されるアプリケーションを、実行する。Ｓ１５０では、リスク監視ブロック１４０、検知ブロック１００、及び計画ブロック１２０のうち、フィードバック情報Ｉｆに含まれた支援情報Ｉｃの表す支援内容に対応のブロックが、支援内容を実現するためのアプリケーションを実行してもよい。このとき、フィードバック情報Ｉｆが要因情報Ｉｂ及びシーン情報Ｉｓの少なくとも一方をさらに含んでいる場合には、支援内容の対応ブロックにより、当該少なくとも一方の情報がアプリケーションの実行に反映されるとよい。特にフィードバック情報Ｉｆのうち支援情報Ｉｃが、計画された安全エンベロープ違反の運転制御に対する制約の許可指令を表す場合、Ｓ１５０においてリスク監視ブロック１４０は、制御ブロック１６０の実行する運転制御に制約を与えることとなる。

　Ｓ１５０では、安全エンベロープ違反に対する判定の適正度をフィードバック情報Ｉｆに基づき認識可能なアプリケーションを、リスク監視ブロック１４０が実行してもよい。Ｓ１５０でのアプリケーションの実行による適正度認識は、安全エンベロープ違反の判定に対する検証（Verification）であるともいえる。Ｓ１５０におけるアプリケーションの実行は、フィードバック情報Ｉｆの取得に応答してリアルタイムに、又は当該取得情報Ｉｆをメモリ１０に蓄積して事後的に、実現されてもよい。以上、Ｓ１５０の実行が完了することにより、処理方法の今回フローが終了する。但し、Ｓ１５０において事後的となる場合でのアプリケーションの実行は、次回以降のフローまで保留とされて、処理方法の今回フローが終了してもよい。また、Ｓ１５０におけるアプリケーションは、チェック専用のアプリケーションだけでなく、上述した支援内容の実現アプリケーションであって、副次的又は間接的に認識されるものを含む。

　さて、先に説明した特許文献１に開示される技術では、ホスト車両において運転制御への制約が自動運転に対して想定されるに、留まっている。そのため、ホスト車両において手動運転での安全性は、ドライバへと委ねられてしまう。また、特許文献１に開示される技術は、運転制御に対して制約を与えるに当たって、ホスト車両の判断が適正であることを、前提にしている。そのため、特許文献１に開示される技術が手動運転に適用されたとしても、ホスト車両におけるドライバの判断に誤りがあった場合には、当該誤判断が安全性に影響を与えてしまう。さらに、特許文献１に開示される技術は、自動運転での運転制御に対して制約を与えるに当たって、ホスト車両の判断が適正であることを、前提にしている。そのため、ホスト車両の判断に誤りがあった場合には、当該誤判断が自動運転における運転精度に影響を与えてしまう。

　これに対して、以上説明した第一実施形態によると、手動運転及び自動運転のいずれにおいても、ＳＯＴＩＦを運転ポリシに従って設定した安全エンベロープ違反のシーンを表すシーン情報Ｉｓに基づき、フィードバック情報Ｉｆがリモートセンタ８からホスト車両２へフィードバックされる。これによりホスト車両２では、安全エンベロープ違反に対する判定の適正度が、第三者判断となるフィードバック情報Ｉｆに基づき認識され得る。したがって、ホスト車両２において、手動運転での安全性向上を促進すると共に、自動運転での運転精度を確保することが、可能となる。また、リモートセンタ８の視点でターゲット車両３ａが別のホスト車両２と想定される場合も同様に、「第二ホスト移動体」としてのターゲット車両３ａにおいて、手動運転での安全性向上を促進すると共に、自動運転での運転精度を確保することが、可能となる。

　（第二実施形態）
　第二実施形態は、第一実施形態の変形例である。以下では、手動運転における第一実施形態との運転関連処理の違いを中心に、第二実施形態が説明される。したがって、第二実施形態において説明される手動運転での運転関連処理は、第一実施形態の運転関連処理において対応するステップに組み込まれて又は並行して実行されてもよいし、第一実施形態の運転関連処理に代えて実行されてもよい。

　図１３に示されるように、第二実施形態の処理方法においてＳ１００に対応するＳ２００ではリスク監視ブロック１４０が、手動運転のホスト車両２における安全エンベロープ違反を監視する。Ｓ２００におけるリスク監視ブロック１４０は、図１４に示されるように、制約設定による制限値Ｒ１から運動物理量の現実値が外れた場合に、安全エンベロープ違反が発生したとの判定を下してもよい。

　処理方法においてＳ１１０に対応するＳ２１０ではリスク監視ブロック１４０が、手動運転のホスト車両２での違反シーンを表すシーン情報Ｉｓとして、少なくとも状況情報Ｉａを生成する。Ｓ２１０におけるリスク監視ブロック１４０は、運転スコアの演算に必要な、ホスト車両２におけるドライバ状態を安全エンベロープ違反と関連付けて表すように、状況情報Ｉａを生成する。運転スコアに必要なドライバ状態は、例えば違反シーン以前の運転スコアを含む運転傾向、走行距離の履歴、走行時間の履歴、及び安全エンベロープ違反の履歴等のうち、少なくとも一種類である。運転スコアに必要な状況情報Ｉａは、ドライバの過失判断を左右するようなホスト車両２の状態として、例えば積載重量、摩耗を含むタイヤ状態、メンテナンス状態、運転アクチュエータの作動状態、及び移動体種別等のうち、少なくとも一種類を表していてもよい。

　Ｓ２１０におけるリスク監視ブロック１４０は、図１４に示されるように運動物理量が制限値Ｒ１～Ｒ３を外れた違反シーンの、例えば時刻、ロケーション、及びローカリゼーション推定値等のうち少なくとも一種類を表す状況情報Ｉａを、生成してもよい。Ｓ２１０におけるリスク監視ブロック１４０は、図１４に示されるように運動物理量が制限値Ｒ１～Ｒ３を外れた違反区間Δｓの距離が設定範囲外となった場合に、地図データにおいて当該違反区間Δｓでのホスト車両２の軌道（即ち、軌跡）を表す状況情報Ｉａを、生成してもよい。Ｓ２１０におけるリスク監視ブロック１４０は、図１４に示されるように運動物理量が制限値Ｒ１～Ｒ３を外れた違反時間Δｔの長さが設定範囲外となった場合に、当該違反時間Δｔを表す状況情報Ｉａを生成してもよい。尚、違反区間Δｓ及び違反時間Δｔの判断基準となる設定範囲は、閾値以下又は閾値未満の範囲に設定されるとよい。また、図１４は、時刻ｔ１～ｔ２間では上限制限値Ｒ１から運動物理量が外れ、時刻ｔ２～ｔ３の間では変更された上限制限値Ｒ２から運動物理量が外れ、時刻ｔ４以降は下限制限値Ｒ３から運動物理量が外れた例を、示している。

　図１３に示されるように、処理方法においてＳ１２０に対応するＳ２２０ではセンタ管理ブロック８８０が、手動運転のホスト車両２からのシーン情報Ｉｓを、通信系８ｂを通じて取得する。処理方法においてＳ１３０に対応するＳ２３０ではセンタ管理ブロック８８０が、取得したシーン情報Ｉｓに基づきホスト車両２へフィードバックするフィードバック情報Ｉｆとして、少なくともスコア情報Ｉｄを生成する。スコア情報Ｉｄは、ホスト車両２のドライバに対する運転スコアを表す。センタ管理ブロック８８０により運転スコアは、シーン情報Ｉｓに基づき判断される。運転スコアは、ホスト車両２を操作するドライバを客観的に評価する指標として、数値又はレベルの高低により表現されるとよい。

　Ｓ２３０におけるセンタ管理ブロック８８０は、安全エンベロープ違反を回避するために推奨される手動運転の模範指令を表すように、フィードバック情報Ｉｆとしての支援情報Ｉｃを生成してもよい。支援情報Ｉｃの表す模範指令としては、例えば縦方向前方のターゲット車両３ａに対してブレーキタイミングを早める、又は横方向のターゲット車両３ａとの並走時間を短縮する等、の指令が挙げられる。Ｓ２３０におけるセンタ管理ブロック８８０は、安全エンベロープ違反の要因を表す要因情報Ｉｂ、及び当該要因を裏付けるシーン情報Ｉｓのうち少なくとも一方を、模範指令を表す支援情報Ｉｃと関連付けたフィードバック情報Ｉｆとして、生成してもよい。

　第二実施形態の処理方法では、フィードバック情報Ｉｆを取得するＳ１４０と、フィードバック情報Ｉｆに基づきアプリケーションを実行するＳ１５０とが、ホスト車両２において実現される。リモートセンタ８の視点で別のホスト車両２と想定される場合のターゲット車両３ａにおいても、処理方法のＳ２００，Ｓ２１０，Ｓ２２０，Ｓ２３０，Ｓ１４０，Ｓ１５０が実現されてもよい。この想定ケースでは、Ｓ２２０，Ｓ２３０のセンタ管理ブロック８８０において、車両２，３ａ毎及びそれら車両２，３ａのドライバ毎のうち少なくとも一方の観点で安全エンベロープ違反のシーン情報Ｉｓがメモリ８０に蓄積且つ集計されて、当該集計結果に対する統計分析により運転スコアが演算されてもよい。

　ここまで説明の第二実施形態において、シーン情報Ｉｓ及びフィードバック情報Ｉｆそれぞれの送信、記憶、並びに削除については、第一実施形態に準ずる。これによりＳ１４０では、少なくともスコア情報Ｉｄを含むフィードバック情報Ｉｆが取得されることになる。以上の第二実施形態によると、フィードバック情報Ｉｆのうちスコア情報Ｉｄの表す運転スコアに基づくことにより、安全エンベロープ違反に対する判定の適正度が手動運転中のドライバによっても認識可能となる。故に第二実施形態は、特に手動運転での安全性向上の促進に有利となる。

　（第三実施形態）
　第三実施形態は、第一実施形態の変形例である。以下では、手動運転における第一実施形態との運転関連処理の違いを中心に、第三実施形態が説明される。したがって、第三実施形態において説明される手動運転での運転関連処理は、第一及び第二実施形態のうち少なくとも一方の運転関連処理において対応するステップに組み込まれて又は並行して実行されてもよいし、第一実施形態の運転関連処理に代えて実行されてもよい。

　図１５に示されるように、第三実施形態による処理システム１のリモートセンタ８は、通信系８ｂを通じてサービスセンタ９と通信可能となっている。サービスセンタ９は、ホスト車両２を含む道路ユーザに関連するサービスを提供するために、当該サービスを事業とするサービス事業者により管理される。サービスセンタ９により提供されるサービスは、例えば都市計画サービス、道路整備サービス、地図情報サービス、運行管理サービス、交通管理サービス、車両保険サービス、ライドシェアリングサービス、及びカーシェアリングサービス等のうち、少なくとも一種類である。

　サービスセンタ９は、リモートセンタ８に準ずる構成の処理装置９ａ及び通信系９ｂを、備える。但し、処理装置９ａは、リモートセンタ８における処理プログラムとの協働、又はその一部若しくは相違となる個別プログラムの実行により、リモートセンタ８から提供される情報を、通信系９ｂを通じて取得する。サービスセンタ９は、リモートセンタ８からの提供情報を、サービス事業者のサービスに利活用する。

　そこで図１６に示されるように、第三実施形態の処理方法においてＳ１３０に対応するＳ３３０ではセンタ管理ブロック８８０が、サービスセンタ９へ公開される公開情報Ｉｏを、シーン情報Ｉｓ及びフィードバック情報Ｉｆのうち少なくとも一方に基づき生成する。公開情報Ｉｏは、例えば都市計画サービス、道路整備サービス、地図情報サービス、運行管理サービス、又は交通管理サービス等を提供するサービスセンタ９に対しては、安全エンベロープ違反の発生確率が高いロケーションを公開するように、生成されてもよい。公開情報Ｉｏは、例えば車両保険サービス等を提供するサービスセンタ９に対しては、車両保険の査定基準となる情報を公開するように、生成されてもよい。

　公開情報Ｉｏは、例えばライドシェアリングサービス、又はカーシェアリングサービス等を提供するサービスセンタ９に対しては、手動運転でのドライバ毎に関連付けられる安全エンベロープ違反の要因を公開するように、生成されてもよい。この場合に公開情報Ｉｏは、さらに要因に合わせた支援内容を公開するように、生成されてもよい。要因に合わせた支援内容の一具体例では、要因が対向車優先の誤判断である場合に、対向車線への食み出しが不要となるような、路上駐車の少ない経路が検索されることより、当該経路検索の結果が公開情報Ｉｏとして提供される。要因に合わせた支援内容の別の具体例では、要因が交差タイミングの誤判断である場合に、信号機システムにより制御されている交差点を通過するように経路が検索されることにより、当該経路検索の結果が公開情報Ｉｏとして提供される。

　第三実施形態の処理方法では、第二実施形態のＳ２００，Ｓ２１０，Ｓ２２０，Ｓ２３０に準じて、Ｓ１００，Ｓ１１０，Ｓ１２０，Ｓ３３０が実行されてもよい。Ｓ２３０に準ずる場合のＳ３３０において、上述のように生成される公開情報Ｉｏが安全エンベロープ違反の要因に合わせて支援内容を公開する場合には、ドライバ毎に運転スコアが演算されてもよい。要因に合わせた支援内容の一具体例では、ライドシェアリングサービスを提供するサービスセンタ９に対して、運転スコアの高いドライバを選択するための公開情報Ｉｏが、提供される。

　このような第三実施形態によると、安全エンベロープ違反に関するシーン情報Ｉｓ及びフィードバック情報Ｉｆの少なくとも一方に基づくことにより、サービスセンタ９に対する公開情報Ｉｏが生成される。故に第三実施形態は、サービス事業者の参加も相俟って、手動運転における安全性向上の促進に有利となる。

　（第四実施形態）
　第四実施形態は、第一実施形態の変形例である。以下では、自動運転における第一実施形態との運転関連処理の違いを中心に、第四実施形態が説明される。したがって、第四実施形態において説明される自動運転での運転関連処理は、第一実施形態の運転関連処理において対応するステップに組み込まれて又は並行して実行されてもよいし、第一実施形態の運転関連処理に代えて実行されてもよい。

　図１７に示されるように、第四実施形態の処理方法においてＳ１００に対応するＳ４００ではリスク監視ブロック１４０が、自動運転のホスト車両２に対して監視サブルーチンを実行する。図１８に示されるように、監視サブルーチンのＳ４０１においてリスク監視ブロック１４０は、Ｓ１００に準じて、ホスト車両２における安全エンベロープ違反を監視する。Ｓ４０１において、安全エンベロープ違反なしとの判定をリスク監視ブロック１４０が下した場合には、監視サブルーチン及び処理方法の今回フローが終了する。一方でＳ４０１において、安全エンベロープ違反ありとの判定をリスク監視ブロック１４０が下した場合には、監視サブルーチンがＳ４０２へ移行する。

　Ｓ４０２においてリスク監視ブロック１４０は、安全エンベロープ違反の発生頻度が許容範囲外となったか否かを、判定する。発生頻度の判定基準となる許容範囲は、安全エンベロープ違反の連続することが許容される回数を上限値として、当該上限値以下に設定されてもよい。発生頻度の判定基準となる許容範囲は、設定時間内において安全エンベロープ違反の発生が許容される回数を上限値として、当該上限値以下に設定されてもよい。Ｓ４０２において、発生頻度が許容範囲内との判定をリスク監視ブロック１４０が下した場合には、監視サブルーチン及び処理方法の今回フローが終了する。一方でＳ４０２において、発生頻度が許容範囲外との判定をリスク監視ブロック１４０が下した場合には、監視サブルーチンの今回フローが終了して、図１７に示されるＳ４１０へ処理方法が移行する。

　処理方法においてＳ１１０に対応するＳ４１０ではリスク監視ブロック１４０が、自動運転のホスト車両２での違反シーンを表すシーン情報Ｉｓとして、少なくとも状況情報Ｉａを生成する。Ｓ４１０におけるリスク監視ブロック１４０は、安全エンベロープ違反の発生頻度が許容範囲外となった高頻度違反シーンを表すように、状況情報Ｉａを生成する。このような第四実施形態では、リモートセンタ８の視点で別のホスト車両２と想定されることになるターゲット車両３ａにおいても、Ｓ４００，Ｓ４１０が実行される。但し、ターゲット車両３ａのリスク監視ブロック１４０において発生頻度の判定基準となる許容範囲は、例えば車両毎の個別設定等により、ホスト車両２のリスク監視ブロック１４０における場合と同一又は相違の範囲に設定されてもよい。

　処理方法においてＳ１２０，Ｓ１３０にそれぞれ対応するＳ４２０，Ｓ４３０では、センタ管理ブロック８８０が第一及び第二管理サブルーチンを順次実行する。図１９に示されるように、第一管理サブルーチンのＳ４２１においてセンタ管理ブロック８８０は、高頻度違反シーンを表すシーン情報Ｉｓを、自動運転のホスト車両２からＳ１２０に準じて取得する。

　第一管理サブルーチンのＳ４２２においてセンタ管理ブロック８８０は、高頻度違反シーンを表すシーン情報Ｉｓを、自動運転のターゲット車両３ａからもＳ１２０に準じて取得したか否かを、判定する。このときシーン情報Ｉｓの取得対象となるターゲット車両３ａは、「第一移動体」に相当するホスト車両２に対して、設定範囲内の周囲に存在する他の道路ユーザに定義されることにより、「第二移動体」に相当することとなる。

　高頻度違反シーンを表すシーン情報Ｉｓを取得したとの判定を、Ｓ４２２においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチンが終了して第二管理サブルーチンのＳ４３１へ移行する。即ちＳ４３１は、ターゲット車両３ａにおける安全エンベロープ違反の発生頻度も許容範囲外となった場合での、ホスト車両２の高頻度違反シーンに対して、実行される。Ｓ４３１においてセンタ管理ブロック８８０は、取得したシーン情報Ｉｓに基づきホスト車両２へフィードバックするフィードバック情報Ｉｆとして、少なくとも支援情報Ｉｃを生成する。Ｓ４３１におけるセンタ管理ブロック８８０は、ホスト車両２における自動運転でのＯＤＤから特定違反シーンの走行領域を除外する、変更指令を表すように支援情報Ｉｃを生成する。以上、Ｓ４３１の実行が完了することにより、第二管理サブルーチンの今回フローが終了して、図１７に示されるＳ１４０へ処理方法が移行する。

　図１９に示されるように、高頻度違反シーンを表すシーン情報Ｉｓを取得していないとの判定を、Ｓ４２２においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチンが終了して第二管理サブルーチンのＳ４３２へ移行する。即ちＳ４３２は、ターゲット車両３ａにおける安全エンベロープ違反の発生頻度は許容範囲内となった場合での、ホスト車両２の高頻度違反シーンに対して、実行される。Ｓ４３２においてセンタ管理ブロック８８０は、取得したシーン情報Ｉｓに基づきホスト車両２へフィードバックするフィードバック情報Ｉｆとして、少なくとも支援情報Ｉｃを生成する。Ｓ４３２におけるセンタ管理ブロック８８０は、ホスト車両２を停止させる、例えばＭＲＭ等の停止指令を表すように支援情報Ｉｃを生成してもよい。ホスト車両２がリモートセンタ８により運行サービスを管理される、例えばバス又はタクシー等のサービスカーである場合には、運行サービスを停止してサービス工場での点検に向かわせる運行指令を、支援情報Ｉｃが表していてもよい。以上、Ｓ４３２の実行が完了することにより、第二管理サブルーチンの今回フローが終了して、図１７に示されるＳ１４０へ処理方法が移行する。尚、シーン情報Ｉｓ及びフィードバック情報Ｉｆそれぞれの送信、記憶、並びに削除については、第一実施形態に準ずる。また第四実施形態の処理方法では、フィードバック情報Ｉｆを取得するＳ１４０と、フィードバック情報Ｉｆに基づき上述のようなアプリケーションを実行するＳ１５０とが、ホスト車両２及びターゲット車両３ａにおいて実現される。

　ここまで説明の第四実施形態では、リモートセンタ８の視点でホスト車両２とターゲット車両３ａとの関係を入れ替えたＳ４２０，Ｓ４３０が、並行して実行されてもよい。以上の第四実施形態によると、フィードバック情報Ｉｆのうち支援情報Ｉｃが表す指令に基づくことにより、安全エンベロープ違反に対する判定の適正度が自動運転中のリスク監視ブロック１４０によっても認識可能となる。故に第四実施形態は、特に自動運転での運転精度の確保に有利となる。

　（第五実施形態）
　第五実施形態は、第一実施形態の変形例である。以下では、自動運転における第一実施形態との運転関連処理の違いを中心に、第五実施形態が説明される。したがって、第五実施形態において説明される自動運転での運転関連処理は、第一及び第四実施形態のうち少なくとも一方の運転関連処理において対応するステップに組み込まれて又は並行して実行されてもよいし、第一実施形態の運転関連処理に代えて実行されてもよい。

　図２０に示されるように、第五実施形態の処理方法においてＳ１００に対応するＳ５００ではリスク監視ブロック１４０が、リモートセンタ８の視点で別のホスト車両２と想定されることになるターゲット車両３ａと、自動運転のホスト車両２との間の安全エンベロープ違反を監視する。処理方法において１１０に対応するＳ５１０ではリスク監視ブロック１４０が、ホスト車両２及びターゲット車両３ａ間に発生した特定違反シーンを表すシーン情報Ｉｓとして、少なくとも状況情報Ｉａを生成する。Ｓ５１０におけるリスク監視ブロック１４０は、生成する状況情報Ｉａが表す安全エンベロープ違反の運転に対して、現在最新の制約を当該生成に先立って設定するものとする。このような第五実施形態では、特定違反シーンを構成するターゲット車両３ａにおいても、Ｓ５００，Ｓ５１０が実行される。

　処理方法においてＳ１２０，Ｓ１３０にそれぞれ対応するＳ５２０，Ｓ５３０では、センタ管理ブロック８８０が第一及び第二管理サブルーチンを順次実行する。図２１に示されるように、第一管理サブルーチンのＳ５２１においてセンタ管理ブロック８８０は、特定違反シーンを表すシーン情報Ｉｓを、自動運転のホスト車両２からＳ１２０に準じて取得したか否かを判定する。

　特定違反シーンを表すシーン情報Ｉｓをホスト車両２から取得していないとの判定を、Ｓ５２１においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチンがＳ５２２へ移行する。即ちＳ５２２は、ホスト車両２においてターゲット車両３ａとの間の安全エンベロープ違反が発生していないと判定される場合に、実行される。Ｓ５２２においてセンタ管理ブロック８８０は、特定違反シーンを表すシーン情報Ｉｓを、自動運転のターゲット車両３ａからはＳ１２０に準じて取得したか否かを判定する。このとき、シーン情報Ｉｓの取得対象となるターゲット車両３ａは、「第一移動体」に相当するホスト車両２に対して、設定範囲内の周囲に存在する他の道路ユーザに定義されることにより、「第二移動体」に相当することとなる。尚、特定違反シーンを表すシーン情報Ｉｓをターゲット車両３ａからも取得していないとの判定を、Ｓ５２２においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチン及び処理方法の今回フローが終了する。

　特定違反シーンを表すシーン情報Ｉｓをターゲット車両３ａからは取得したとの判定を、Ｓ５２２においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチンが終了して第二管理サブルーチンのＳ５３１へ移行する。即ちＳ５３１は、ターゲット車両３ａにおいてはホスト車両２との間の安全エンベロープ違反が発生したと判定される特定違反シーンでの、ホスト車両２においてはターゲット車両３ａとの間の安全エンベロープ違反が発生していないと判定される場合に、実行される。Ｓ５３１においてセンタ管理ブロック８８０は、取得したシーン情報Ｉｓに基づきフィードバックするフィードバック情報Ｉｆとして、少なくとも支援情報Ｉｃを生成する。

　Ｓ５３１におけるセンタ管理ブロック８８０は、ターゲット車両３ａでは安全エンベロープ違反との判定が下された特定違反シーンに関わらず、安全エンベロープ違反なしとの判定を下したホスト車両２に対しての指令を表すように、支援情報Ｉｃを生成する。支援情報Ｉｃの表す指令とは、例えば制約設定又は運転制御計画により最小リスク状態に縮退させる縮退指令、及び運転制御計画の経路を変更させる変更指令等のうち、少なくとも一種類である。特に縮退指令は、例えば手動運転への引き継ぎを含む自動運転のレベルダウン、及びＭＲＭ等のうち、少なくとも一種類であってもよい。ホスト車両２がリモートセンタ８により運行サービスを管理される、例えばバス又はタクシー等のサービスカーである場合には、リモートセンタ８からの縮退指令又は経路変更指令に従ってホスト車両２に提供させる運行サービスを、支援情報Ｉｃが表していてもよい。

　Ｓ５３１におけるセンタ管理ブロック８８０は、安全エンベロープ違反ありの判定を下したターゲット車両３ａに対して、ホスト車両２では安全エンベロープ違反なしとの判定が下されたことを通知する通知指令を表すように、支援情報Ｉｃを生成してもよい。Ｓ５３１におけるセンタ管理ブロック８８０は、安全エンベロープ違反ありの判定を下したターゲット車両３ａにおいてＳ５１０のリスク監視ブロック１４０により設定された、安全エンベロープ違反の運転に対しての制約を許可する許可指令を表すように、支援情報Ｉｃを生成してもよい。Ｓ５３１におけるセンタ管理ブロック８８０は、安全エンベロープ違反ありの判定を下したターゲット車両３ａに対しても、上述したホスト車両２の場合に準ずる縮退指令又は経路変更指令を表すように、支援情報Ｉｃを生成してもよい。以上、Ｓ５３１の実行が完了することにより、第二管理サブルーチンの今回フローが終了して、図２０に示されるＳ１４０へ処理方法が移行する。

　図２１に示されるように、特定違反シーンを表すシーン情報Ｉｓをホスト車両２から取得したとの判定を、Ｓ５２１においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチンがＳ５２３へ移行する。即ちＳ５２３は、ホスト車両２においてターゲット車両３ａとの間の安全エンベロープ違反が発生したと判定される場合に、実行される。Ｓ５２３においてセンタ管理ブロック８８０は、特定違反シーンを表すシーン情報Ｉｓを、ターゲット車両３ａからもＳ１２０に準じて取得したか否かを判定する。このとき、シーン情報Ｉｓの取得対象となるターゲット車両３ａは、「第一移動体」に相当するホスト車両２に対して、設定範囲内の周囲に存在して特定違反シーンを構成する他の道路ユーザに定義されることにより、「第二移動体」に相当することとなる。

　特定違反シーンを表すシーン情報Ｉｓをターゲット車両３ａからは取得していないとの判定を、Ｓ５２３においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチンが終了して第二管理サブルーチンのＳ５３２へ移行する。即ちＳ５３２は、ホスト車両２においてはターゲット車両３ａとの間の安全エンベロープ違反が発生したと判定される特定違反シーンでの、ターゲット車両３ａにおいてはホスト車両２との間の安全エンベロープ違反が発生していないと判定される場合に、実行される。Ｓ５３２においてセンタ管理ブロック８８０は、取得したシーン情報Ｉｓに基づきフィードバックするフィードバック情報Ｉｆとして、少なくとも支援情報Ｉｃを生成する。このとき支援情報Ｉｃの生成は、ホスト車両２とターゲット車両３ａとの関係が入れ替えられたＳ５３１に準じて、実行される。以上、Ｓ５３２の実行が完了することにより、第二管理サブルーチンの今回フローが終了して、図２０に示されるＳ１４０へ処理方法が移行する。

　図２１に示されるように、特定違反シーンを表すシーン情報Ｉｓをターゲット車両３ａからも取得したとの判定を、Ｓ５２３においてセンタ管理ブロック８８０が下した場合には、第一管理サブルーチンが終了して第二管理サブルーチンのＳ５３３へ移行する。即ちＳ５３３は、ホスト車両２においてはターゲット車両３ａとの間の安全エンベロープ違反が発生したと判定される特定違反シーンでの、ターゲット車両３ａにおいてもホスト車両２との間の安全エンベロープ違反が発生したと判定される場合に、実行される。Ｓ５３３においてセンタ管理ブロック８８０は、取得したシーン情報Ｉｓに基づきフィードバックするフィードバック情報Ｉｆとして、少なくとも支援情報Ｉｃを生成する。Ｓ５３３におけるセンタ管理ブロック８８０は、ホスト車両２及びターゲット車両３ａの各々においてＳ５１０のリスク監視ブロック１４０により設定された、安全エンベロープ違反の運転に対しての制約を許可する許可指令を表すように、支援情報Ｉｃを生成する。以上、Ｓ５３３の実行が完了することにより、第二管理サブルーチンの今回フローが終了して、図２０に示されるＳ１４０へ処理方法が移行する。尚、シーン情報Ｉｓ及びフィードバック情報Ｉｆそれぞれの送信、記憶、並びに削除については、第一実施形態に準ずる。また第五実施形態の処理方法では、フィードバック情報Ｉｆを取得するＳ１４０と、フィードバック情報Ｉｆに基づきアプリケーションを実行するＳ１５０とが、ホスト車両２及びターゲット車両３ａにおいて実現される。

　ここまで説明の第五実施形態では、リモートセンタ８の視点でホスト車両２とターゲット車両３ａとの関係を入れ替えたＳ５２０，Ｓ５３０が、並行して実行されてもよい。一方でリモートセンタ８の視点であれば、ホスト車両２及びターゲット車両３ａを含む複数車両のうち、一車両からのシーン情報ＩｓがＳ５２１において取得された場合に、他車両からのシーン情報Ｉｓの取得がＳ５２３において判定されてもよい。後者の場合、ホスト車両２とターゲット車両３ａとの関係を、それら一車両と他車両との関係に読み替えたＳ５３２，Ｓ５３３が実行されることにより、Ｓ５２２，Ｓ５３１の実行は省かれてもよい。以上の第五実施形態によると、フィードバック情報Ｉｆのうち支援情報Ｉｃが表す指令に基づくことにより、安全エンベロープ違反に対する判定の適正度が自動運転中のリスク監視ブロック１４０によっても認識可能となる。故に第五実施形態は、特に自動運転での運転精度の確保に有利となる。

　（第六実施形態）
　第六実施形態は、第一実施形態の変形例である。但し、第六実施形態は、第二～第五実施形態と組み合わされてもよい。

　図２２に示されるように第六実施形態の制御ブロック６１６０では、リスク監視ブロック１４０から安全エンベロープに関する判定情報の取得処理が、省かれている。そこで第六実施形態の計画ブロック６１２０は、リスク監視ブロック１４０から安全エンベロープに関する判定情報を取得する。計画ブロック６１２０は、安全エンベロープ違反なしとの判定情報を取得した場合に、計画ブロック１２０に準じてホスト車両２の運転制御を計画する。一方、安全エンベロープ違反ありとの判定情報を取得した場合に計画ブロック６１２０は、計画ブロック１２０に準じた運転制御を計画する段階において、判定情報に基づく制約を当該運転制御に与える。即ち計画ブロック６１２０は、計画する運転制御に対して制限を与える。いずれの場合においても、計画ブロック６１２０により計画されたホスト車両２の運転制御を、制御ブロック６１６０が実行する。

　このような第六実施形態の処理方法では、例えばフィードバック情報Ｉｆのうち支援情報Ｉｃが安全モデルでの設定用パラメータ又は学習用パラメータの変更指令を表す場合、Ｓ１５０においてリスク監視ブロック１４０は、当該変更指令を実行するとよい。以上より第六実施形態では、第一実施形態に準ずる原理により、手動運転での安全性向上を促進すると共に、自動運転での運転精度を確保することが、可能となる。

　（第七実施形態）
　第七実施形態は、第一実施形態の変形例である。但し、第七実施形態は、第二～第五実施形態と組み合わされてもよい。

　図２３に示されるように第七実施形態の制御ブロック７１６０では、リスク監視ブロック７１４０から安全エンベロープに関する判定情報の取得処理が、省かれている。そこで第七実施形態のリスク監視ブロック７１４０は、ホスト車両２に対して制御ブロック７１６０により実行された運転制御の結果を表す情報を、取得する。リスク監視ブロック７１４０は、運転制御の結果に対して安全エンベロープに基づく安全判定を実行することにより、当該運転制御を評価する。

　このような第七実施形態の処理方法では、例えばフィードバック情報Ｉｆのうち支援情報Ｉｃが安全モデルでの設定用パラメータ又は学習用パラメータの変更指令を表す場合、Ｓ１５０においてリスク監視ブロック１４０は、当該変更指令を実行するとよい。これらの設定用パラメータ及び学習用パラメータは、リモートセンタ８等において検証及び妥当性確認（Verification and Validation）が実施されることにより変更されてもよいし、フィードバックループの概念に基づき変更されてもよい。以上より第七実施形態では、第一実施形態に準ずる原理により、手動運転での安全性向上を促進すると共に、自動運転での運転精度を確保することが、可能となる。

　（第八実施形態）
　第八実施形態は、第一実施形態の変形例である。但し、第八実施形態は、第二～第五実施形態と組み合わされてもよい。

　図２４～２６に示されるように第八実施形態には、処理装置１ａによる運転制御を、例えば安全性認可用等にテストするテストブロック８１８０が、追加されている。テストブロック８１８０には、検知ブロック１００及びリスク監視ブロック１４０に準ずる機能が、与えられる。テストブロック８１８０は、各ブロック１００，１２０，１４０，１６０を構築する処理プログラムに追加されるテストプログラムを、図２４に示される処理装置１ａが実行することにより、構築されてもよい。テストブロック８１８０は、各ブロック１００，１２０，１４０，１６０を構築する処理プログラムとは異なるテスト用の処理プログラムを、図２５，２６に示されるように処理装置１ａとは異なるテスト用の処理装置１ｂが実行することにより、構築されてもよい。図２５の例では、運転制御をテストするために処理装置１ａと接続される（通信系６を通じた接続の場合の図示は省略）、メモリ１０及びプロセッサ１２を有した少なくとも一つの専用コンピュータにより、テスト用の処理装置１ｂが構成されている。図２６の例では、リモートセンタ８の処理装置８ａによりテスト用の処理装置１ｂが代替されている。

　このような第八実施形態では、第一実施形態に準ずる原理により処理システム１及び処理装置１ａによる処理方法をテストして、手動運転での安全性向上を促進すると共に、自動運転での運転精度を確保することが、可能となる。

　（第九実施形態）
　第九実施形態は、第六実施形態の変形例である。但し、第九実施形態は、第二～第五実施形態と組み合わされてもよい。

　図２７に示されるように、第九実施形態による処理装置１ａにおいて計画ブロック９１２０には、リスク監視ブロック１４０の機能がリスク監視サブブロック９１４０として取り込まれている。そこで第九実施形態の計画ブロック９１２０は、リスク監視サブブロック９１４０により安全エンベロープ違反なしとの判定情報を取得した場合に、計画ブロック１２０に準じてホスト車両２の運転制御を計画する。一方、リスク監視サブブロック９１４０により安全エンベロープ違反ありとの判定情報を取得した場合に計画ブロック９１２０は、計画ブロック１２０に準じた運転制御を計画する段階において、判定情報に基づく制約を当該運転制御に与える。即ち計画ブロック９１２０は、計画する運転制御に対して制限を与える。いずれの場合においても、計画ブロック９１２０により計画されたホスト車両２の運転制御を、制御ブロック６１６０が実行することになる。

　このような第九実施形態の処理方法では、例えばフィードバック情報Ｉｆのうち支援情報Ｉｃが安全モデルでの設定用パラメータ又は学習用パラメータの変更指令を表す場合、Ｓ１５０においてリスク監視サブブロック９１４０は、当該変更指令を実行するとよい。以上より第九実施形態では、第一実施形態に準ずる原理により、手動運転での安全性向上を促進すると共に、自動運転での運転精度を確保することが、可能となる。

　（第十実施形態）
　第十実施形態は、第一実施形態の変形例である。

　図２８に示されるように第十実施形態の処理システム１は、ホスト車両２及びターゲット車両３ａにそれぞれ搭載される処理装置１ａを、含んで構築される。ここで第十実施形態の処理システム１は、各車両２，３ａ毎にそれぞれ、センサ系５、通信系６、地図ＤＢ７、及び情報提示系４のうち、少なくとも通信系６を含むように構築されてもよい。この場合に、各車両２，３ａにおいて通信系６を構成する通信装置６ａ間で可能となる通信は、例えばＶ２Ｖ通信等により直接的に実現されてもよいし、クラウドサーバ等のリモートセンタを経由して間接的に実現されてもよいし、車両２，３ａを含む複数車両間において構成されたメッシュネットワークを経由して実現されてもよい。こうした第十実施形態において、ホスト移動体としての車両２の視点では車両３ａがターゲット移動体に相当するが、逆の視点ではホスト移動体としての車両３ａに対して車両２がターゲット移動体に相当することになる。

　第十実施形態による各車両２，３ａの処理装置１ａでは、それら車両２，３ａ別に運転関連処理を遂行するために各々のメモリ１０に記憶された処理プログラムが、各々のプロセッサ１２に命令を実行させることにより、機能ブロックがそれぞれ個別に構築される。これは処理システム１全体の視点では、各車両２，３ａのメモリ１０に記憶された処理プログラムが、各車両２，３ａのプロセッサ１２に命令を協働して実行させることにより、それら車両２，３ａ別に機能ブロックが構築される、と考えることができる。このとき、各車両２，３ａ毎に通信装置６ａを含んで構築される場合の処理システム１では、各車両２，３ａ毎のメモリ１０，６０に記憶された処理プログラムが、各車両２，３ａ毎のプロセッサ１２，６２に命令を協働して実行させてもよい。このような第十実施形態の各車両２，３ａにおいて各々の処理装置１ａに構築されるリスク監視ブロック１０１４０には、センタ管理ブロック８８０の機能がターゲット管理サブブロック１０８８０として取り込まれている。

　そこで第十実施形態の処理方法では、車両２のリスク監視ブロック１４０等によりＳ１００，１１０，Ｓ１４０，Ｓ１５０が実行される場合、車両３ａのターゲット管理サブブロック１０８８０によりＳ１２０，Ｓ１３０が実行されるとよい。この場合のＳ１２０においてターゲット管理サブブロック１０８８０は、車両２からのシーン情報Ｉｓを車両３ａにおいて、通信装置６ａのプロセッサ６２での受信制御に従って取得、且つメモリ１０に記憶するとよい。また、この場合のＳ１３０においてターゲット管理サブブロック１０８８０は、情報Ｉｃ，Ｉｂ，Ｉｓのうち車両３ａにおいて取得可能な情報として少なくとも支援情報Ｉｃを含むように、フィードバック情報Ｉｆを生成してもよい。さらに、この場合のＳ１３０においてターゲット管理サブブロック１０８８０は、生成したフィードバック情報Ｉｆを車両３ａにおいて、通信装置６ａのプロセッサ６２での送信制御に従って車両２へ送信、且つメモリ１０に記憶するとよい。

　一方、車両３ａのリスク監視ブロック１４０等によりＳ１００，１１０，Ｓ１４０，Ｓ１５０が実行される場合に第十実施形態の処理方法では、車両２のターゲット管理サブブロック１０８８０によりＳ１２０，Ｓ１３０が実行されるとよい。この場合のＳ１２０においてターゲット管理サブブロック１０８８０は、車両３ａからのシーン情報Ｉｓを車両２において、通信装置６ａのプロセッサ６２での受信制御に従って取得、且つメモリ１０に記憶するとよい。また、この場合のＳ１３０においてターゲット管理サブブロック１０８８０は、情報Ｉｃ，Ｉｂ，Ｉｓのうち車両２において取得可能な情報として少なくとも支援情報Ｉｃを含むように、フィードバック情報Ｉｆを生成してもよい。さらに、この場合のＳ１３０においてターゲット管理サブブロック１０８８０は、生成したフィードバック情報Ｉｆを車両２において、通信装置６ａのプロセッサ６２での送信制御に従って車両３ａへ送信、且つメモリ１０に記憶するとよい。

　加えて、いずれの場合においても第十実施形態の処理方法では、例えば車両３ａ，２のうち一方からのフィードバック情報Ｉｆとしての支援情報Ｉｃが安全モデルでの設定用パラメータ又は学習用パラメータの変更指令を表す場合、車両３ａ，２のうち他方のリスク監視サブブロック１０１４０がＳ１５０において当該変更指令を実行するとよい。以上より第十実施形態では、一方が他方のターゲット移動体に対してホスト移動体となる車両２，３ａのいずれにおいても、第一実施形態に準ずる原理により、手動運転での安全性向上を促進すると共に、自動運転での運転精度を確保することが、可能となる。尚、このような第十実施形態は、第二～第九実施形態と組み合わされてもよい。

　ここまで説明した第十実施形態のさらなる変形例では、図２９に示されるように、第一実施形態によるセンタ管理ブロック８８０の機能が取り込まれないリスク監視ブロック１４０とは別に、ターゲット管理サブブロック１０８８０の機能を実現するターゲット管理ブロック１０８８０ａが、各車両２,３ａの処理装置１ａにおいて構築されてもよい。尚、このような第十実施形態の変形例は、第二～第九実施形態と組み合わされてもよい。

　（他の実施形態）
　以上、複数の実施形態について説明したが、本開示は、それらの実施形態に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において種々の実施形態及び組み合わせに適用することができる。

　変形例において装置１ａ，８ａ，６ａのうち少なくとも一種類を構成する専用コンピュータは、デジタル回路及び／又はアナログ回路をプロセッサとして含んでいてもよい。ここでデジタル回路とは、例えばＡＳＩＣ（Application Specific Integrated Circuit）、ＦＰＧＡ（Field Programmable Gate Array）、ＳＯＣ（System on a Chip）、ＰＧＡ（Programmable Gate Array）、及びＣＰＬＤ（Complex Programmable Logic Device）等のうち、少なくとも一種類である。またこうしたデジタル回路は、プログラムを記憶したメモリを、有していてもよい。

　ここまでの説明形態の他に、上述の実施形態及び変形例による処理装置１ａは、プロセッサ１２及びメモリ１０を少なくとも一つずつ有する半導体装置（例えば半導体チップ等）として実施されてもよい。また、上述の実施形態及び変形例による処理装置８ａは、プロセッサ８２及びメモリ８０を少なくとも一つずつ有する半導体装置（例えば半導体チップ等）として実施されてもよい。さらにまた、上述の実施形態及び変形例による通信装置６ａは、プロセッサ６２及びメモリ６０を少なくとも一つずつ有する半導体装置（例えば半導体チップ等）として実施されてもよい。

　（付言）
　上述した各実施形態の技術的特徴をまとめると、以下の通りである。

　（技術的特徴１）
　技術的特徴１は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２）を含む処理装置（１ａ）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信するように生成することと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから取得することとを、実行するように構成される。

　（技術的特徴２）
　技術的特徴１においてシーン情報を生成することは、安全エンベロープ違反の状況を表すシーン情報として、状況情報を生成することを、含む。

　（技術的特徴３）
　技術的特徴１又は２においてフィードバック情報を取得することは、シーン情報に基づき判断される運転の支援内容を表すフィードバック情報として、支援情報を取得することを、含む。

　（技術的特徴４）
　技術的特徴１～３のいずれか一つにおいてフィードバック情報を取得することは、シーン情報に基づき判断される安全エンベロープ違反の要因を表すフィードバック情報として、要因情報を取得することを、含む。

　（技術的特徴５）
　技術的特徴１～４のいずれか一つにおいてフィードバック情報を取得することは、ホスト移動体のドライバに対してシーン情報に基づき判断される運転スコアを表すフィードバック情報として、スコア情報を取得することを、含む。

　（技術的特徴６）
　技術的特徴１～５のいずれか一つにおいてシーン情報を生成することは、生成したシーン情報をホスト移動体の記憶媒体（１０）に記憶することを、含み、フィードバック情報を取得することは、フィードバック情報の取得に応答して、シーン情報を記憶媒体から削除することを、含む。

　（技術的特徴７）
　技術的特徴７は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信するように生成することと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから取得することとを、含む。

　（技術的特徴８）
　技術的特徴８は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために記憶媒体（１０）に記憶され、プロセッサ（１２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視させることと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信するように生成させることと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから取得させることとを、含む。

　（技術的特徴９）
　技術的特徴９は、ホスト移動体（２，３ａ）と通信可能なリモートセンタ（８）においてホスト移動体の運転に関連する処理を遂行するために、プロセッサ（８２）を含む処理装置（８ａ）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のホスト移動体から取得することと、シーン情報に基づきフィードバックするフィードバック情報を、ホスト移動体へ送信するように生成することとを、実行するように構成される。

　（技術的特徴１０）
　技術的特徴９においてシーン情報を取得することは、安全エンベロープ違反の状況を表すシーン情報として、状況情報を取得することを、含む。

　（技術的特徴１１）
　技術的特徴９又は１０においてフィードバック情報を生成することは、シーン情報に基づき判断される運転の支援内容を表すフィードバック情報として、支援情報を生成することを、含む。

　（技術的特徴１２）
　技術的特徴９～１１のいずれか一つにおいてフィードバック情報を生成することは、シーン情報に基づき判断される安全エンベロープ違反の要因を表すフィードバック情報として、要因情報を生成することを、含む。

　（技術的特徴１３）
　技術的特徴９～１２のいずれか一つにおいてフィードバック情報を生成することは、ホスト移動体のドライバに対してシーン情報に基づき判断される運転スコアを表すフィードバック情報として、スコア情報を生成することを、含む。

　（技術的特徴１４）
　技術的特徴９～１３のいずれか一つにおいてリモートセンタは、ホスト移動体に関連するサービスを提供するサービスセンタ（９）と通信可能であり、フィードバック情報を生成することは、サービスセンタへ公開される公開情報を、シーン情報及びフィードバック情報のうち少なくとも一方に基づき生成することを、含む。

　（技術的特徴１５）
　技術的特徴９～１４のいずれか一つにおいてフィードバック情報を生成することは、シーン情報を取得するのに応答して、フィードバック情報を生成することを、含む。

　（技術的特徴１６）
　技術的特徴９～１５のいずれか一つにおいてシーン情報を取得することは、複数時点に取得したシーン情報を、リモートセンタの記憶媒体（８０）に蓄積することを、含み、フィードバック情報を生成することは、記憶媒体に記憶された複数時点でのシーン情報の統計分析に基づき、フィードバック情報を生成することを、含む。

　（技術的特徴１７）
　技術的特徴１６においてフィードバック情報を生成することは、フィードバック情報の生成又は送信に応答して、複数時点でのシーン情報を記憶媒体から削除することを、含む。

　（技術的特徴１８）
　技術的特徴１８は、ホスト移動体（２，３ａ）と通信可能なリモートセンタ（８）においてホスト移動体の運転に関連する処理を遂行するために、プロセッサ（８２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のホスト移動体から取得することと、シーン情報に基づきフィードバックするフィードバック情報を、ホスト移動体へ送信するように生成することとを、含む。

　（技術的特徴１９）
　技術的特徴１９は、ホスト移動体（２，３ａ）と通信可能なリモートセンタ（８）においてホスト移動体の運転に関連する処理を遂行するために記憶媒体（８０）に記憶され、プロセッサ（８２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のホスト移動体から取得させることと、シーン情報に基づきフィードバックするフィードバック情報を、ホスト移動体へ送信するように生成させることとを、含む。

　（技術的特徴２０）
　技術的特徴２０は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、ホスト移動体の第一プロセッサ（１２）とリモートセンタの第二プロセッサ（８２）とを含む処理システム（１）であって、第一プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ホスト移動体からリモートセンタへ送信するように生成することとを、実行するように構成され、第二プロセッサは、シーン情報に基づきフィードバックするフィードバック情報を、リモートセンタからホスト移動体へ送信するように生成することとを、実行するように構成される。

　（技術的特徴２１）
　技術的特徴２１は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、ホスト移動体の第一プロセッサ（１２）とリモートセンタの第二プロセッサ（８２）との協働により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ホスト移動体からリモートセンタへ送信するように生成することと、シーン情報に基づきフィードバックするフィードバック情報を、リモートセンタからホスト移動体へ送信するように生成することとを、含む。

　（技術的特徴２２）
　技術的特徴２２は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、ホスト移動体の第一記憶媒体（１０）とリモートセンタの第二記憶媒体（８０）とのうち少なくとも一方に記憶され、ホスト移動体の第一プロセッサ（１２）とリモートセンタの第二プロセッサ（８２）とに協働して実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視させることと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ホスト移動体からリモートセンタへ送信するように生成させることと、シーン情報に基づきフィードバックするフィードバック情報を、リモートセンタからホスト移動体へ送信するように生成させることとを、含む。

　（技術的特徴２３）
　技術的特徴２３は、リモートセンタ（８）と通信可能に構成され、ホスト移動体（２，３ａ）の運転に関連する処理を技術的特徴１～６のいずれか一つの処理装置（１ａ）と協働して遂行するために、プロセッサ（６２）を含む通信装置（６ａ）であって、プロセッサは、安全エンベロープ違反が、手動運転のホスト車両において発生したと処理装置により判定される場合に、シーン情報をリモートセンタへ送信することと、フィードバック情報をリモートセンタから受信することとを、実行するように構成される。

　（技術的特徴２４）
　技術的特徴２４は、リモートセンタ（８）と通信可能に構成され、ホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（６２）を含む通信装置（６ａ）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反が、手動運転のホスト車両において発生した場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから受信することとを、実行するように構成される。

　（技術的特徴２５）
　技術的特徴２５は、リモートセンタ（８）と通信可能な通信装置（６ａ）においてホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（６２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反が、手動運転のホスト車両において発生した場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから受信することとを、含む。

　（技術的特徴２６）
　技術的特徴２６は、リモートセンタ（８）と通信可能な通信装置（６ａ）においてホスト移動体（２，３ａ）の運転に関連する処理を遂行するために記憶媒体（６０）に記憶され、プロセッサ（６２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反が、手動運転のホスト車両において発生した場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信させることと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから受信させることとを、含む。

　（技術的特徴２７）
　技術的特徴２７は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２，６２）を含む処理システム（１）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから受信することとを、実行するように構成される。

　（技術的特徴２８）
　技術的特徴２８は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２，６２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから受信することとを、含む。

　（技術的特徴２９）
　技術的特徴２９は、リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために記憶媒体（１０，６０）に記憶され、プロセッサ（１２，６２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視させることと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、リモートセンタへ送信させることと、シーン情報に基づきフィードバックされるフィードバック情報を、リモートセンタから受信させることとを、含む。

　（技術的特徴３０）
　技術的特徴３０は、ターゲット移動体（３ａ，２）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２）を含む処理装置（１ａ）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信するように生成することと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から取得することとを、実行するように構成される。

　（技術的特徴３１）
　技術的特徴３１は、ターゲット移動体（３ａ，２）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信するように生成することと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から取得することとを、含む。

　（技術的特徴３２）
　技術的特徴３２は、ターゲット移動体（３ａ，２）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために記憶媒体（１０）に記憶され、プロセッサ（１２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視させることと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信するように生成させることと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から取得させることとを、含む。

　（技術的特徴３３）
　技術的特徴３３は、ターゲット移動体（３ａ，２）と通信可能に構成され、ホスト移動体（２，３ａ）の運転に関連する処理を技術的特徴３０の処理装置（１ａ）と協働して遂行するために、プロセッサ（６２）を含む通信装置（６ａ）であって、プロセッサは、安全エンベロープ違反が、手動運転のホスト車両において発生したと処理装置により判定される場合に、シーン情報をターゲット移動体へ送信することと、フィードバック情報をターゲット移動体から受信することとを、実行するように構成される。

　（技術的特徴３４）
　技術的特徴３４は、ターゲット移動体（３ａ，２）と通信可能に構成され、ホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（６２）を含む通信装置（６ａ）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反が、手動運転のホスト車両において発生した場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から受信することとを、実行するように構成される。

　（技術的特徴３５）
　技術的特徴３５は、ターゲット移動体（３ａ，２）と通信可能な通信装置（６ａ）においてホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（６２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反が、手動運転のホスト車両において発生した場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から受信することとを、含む。

　（技術的特徴３６）
　技術的特徴３６は、ターゲット移動体（３ａ，２）と通信可能な通信装置（６ａ）においてホスト移動体（２，３ａ）の運転に関連する処理を遂行するために記憶媒体（６０）に記憶され、プロセッサ（６２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反が、手動運転のホスト車両において発生した場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信させることと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から受信させることとを、含む。

　（技術的特徴３７）
　技術的特徴３７は、ターゲット移動体（３ａ，２）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２，６２）を含む処理システム（１）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から受信することとを、実行するように構成される。

　（技術的特徴３８）
　技術的特徴３８は、ターゲット移動体（３ａ，２）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２，６２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視することと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信することと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から受信することとを、含む。

　（技術的特徴３９）
　技術的特徴３９は、ターゲット移動体（３ａ，２）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために記憶媒体（１０，６０）に記憶され、プロセッサ（１２，６２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転のホスト移動体において監視させることと、安全エンベロープ違反が発生したと判定される場合に、安全エンベロープ違反のシーンを表すシーン情報を、ターゲット移動体へ送信させることと、シーン情報に基づきフィードバックされるフィードバック情報を、ターゲット移動体から受信させることとを、含む。

　（技術的特徴４０）
　技術的特徴４０は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３ａ，２）においてターゲット移動体の運転に関連する処理を遂行するために、プロセッサ（１２）を含む処理装置（１ａ）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から取得することと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信するように生成することとを、実行するように構成される。

　（技術的特徴４１）
　技術的特徴４１は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３ａ，２）においてターゲット移動体の運転に関連する処理を遂行するために、プロセッサ（１２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から取得することと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信するように生成することとを、含む。

　（技術的特徴４２）
　技術的特徴４２は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３ａ，２）においてターゲット移動体の運転に関連する処理を遂行するために記憶媒体（１０）に記憶され、プロセッサ（１２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から取得させることと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信するように生成させることとを、含む。

　（技術的特徴４３）
　技術的特徴４３は、ターゲット移動体（２，３ａ）と通信可能に構成され、ホスト移動体（３ａ，２）においてターゲット移動体の運転に関連する処理を技術的特徴４０の処理装置（１ａ）と協働して遂行するために、プロセッサ（６２）を含む通信装置（６ａ）であって、プロセッサは、安全エンベロープ違反のシーンを表すシーン情報を、手動運転のターゲット移動体から受信することと、フィードバック情報をターゲット移動体へ送信することとを、実行するように構成される。

　（技術的特徴４４）
　技術的特徴４４は、ターゲット移動体（２，３ａ）と通信可能に構成され、ホスト移動体（３ａ，２）においてターゲット移動体の運転に関連する処理を遂行するために、プロセッサ（６２）を含む通信装置（６ａ）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から受信することと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信することとを、実行するように構成される。

　（技術的特徴４５）
　技術的特徴４５は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３ａ，２）の通信装置（６ａ）においてターゲット移動体の運転に関連する処理を遂行するために、プロセッサ（６２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から受信することと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信することとを、含む。

　（技術的特徴４６）
　技術的特徴４６は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３ａ，２）の通信装置（６ａ）においてターゲット移動体の運転に関連する処理を遂行するために記憶媒体（６０）に記憶され、プロセッサ（６２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から受信させることと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信させることとを、含む。

　（技術的特徴４７）
　技術的特徴４７は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３ａ，２）においてターゲット移動体の運転に関連する処理を遂行するために、プロセッサ（１２，６２）を含む処理システム（１）であって、プロセッサは、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から受信することと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信することとを、実行するように構成される。

　（技術的特徴４８）
　技術的特徴４８は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３，２）においてターゲット移動体の運転に関連する処理を遂行するために、プロセッサ（１２，６２）により実行される処理方法であって、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から受信することと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信することとを、含む。

　（技術的特徴４９）
　技術的特徴４９は、ターゲット移動体（２，３ａ）と通信可能なホスト移動体（３，２）においてターゲット移動体の運転に関連する処理を遂行するために記憶媒体（１０，６０）に記憶され、プロセッサ（１２，６２）に実行させる命令を含む処理プログラムであって、命令は、意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転のターゲット移動体から受信させることと、シーン情報に基づきフィードバックするフィードバック情報を、ターゲット移動体へ送信させることとを、含む。

Claims

　リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２）を含む処理装置（１ａ）であって、
　前記プロセッサは、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転の前記ホスト移動体において監視することと、
　前記安全エンベロープ違反が発生したと判定される場合に、前記安全エンベロープ違反のシーンを表すシーン情報を、前記リモートセンタへ送信するように生成することと、
　前記シーン情報に基づきフィードバックされるフィードバック情報を、前記リモートセンタから取得することとを、実行するように構成される処理装置。
　前記シーン情報を生成することは、
　前記安全エンベロープ違反の状況を表す前記シーン情報として、状況情報を生成することを、含む請求項１に記載の処理装置。
　前記フィードバック情報を取得することは、
　前記シーン情報に基づき判断される前記運転の支援内容を表す前記フィードバック情報として、支援情報を取得することを、含む請求項１又は２に記載の処理装置。
　前記フィードバック情報を取得することは、
　前記シーン情報に基づき判断される前記安全エンベロープ違反の要因を表す前記フィードバック情報として、要因情報を取得することを、含む請求項１～３のいずれか一項に記載の処理装置。
　前記フィードバック情報を取得することは、
　前記ホスト移動体のドライバに対して前記シーン情報に基づき判断される運転スコアを表す前記フィードバック情報として、スコア情報を取得することを、含む請求項１～４のいずれか一項に記載の処理装置。
　前記シーン情報を生成することは、
　生成した前記シーン情報を前記ホスト移動体の記憶媒体（１０）に記憶することを、含み、
　前記フィードバック情報を取得することは、
　前記フィードバック情報の取得に応答して、前記シーン情報を前記記憶媒体から削除することを、含む請求項１～５のいずれか一項に記載の処理装置。
　リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、プロセッサ（１２）により実行される処理方法であって、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転の前記ホスト移動体において監視することと、
　前記安全エンベロープ違反が発生したと判定される場合に、前記安全エンベロープ違反のシーンを表すシーン情報を、前記リモートセンタへ送信するように生成することと、
　前記シーン情報に基づきフィードバックされるフィードバック情報を、前記リモートセンタから取得することとを、含む処理方法。
　リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために記憶媒体（１０）に記憶され、プロセッサ（１２）に実行させる命令を含む処理プログラムであって、
　前記命令は、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転の前記ホスト移動体において監視させることと、
　前記安全エンベロープ違反が発生したと判定される場合に、前記安全エンベロープ違反のシーンを表すシーン情報を、前記リモートセンタへ送信するように生成させることと、
　前記シーン情報に基づきフィードバックされるフィードバック情報を、前記リモートセンタから取得させることとを、含む処理プログラム。
　ホスト移動体（２，３ａ）と通信可能なリモートセンタ（８）において前記ホスト移動体の運転に関連する処理を遂行するために、プロセッサ（８２）を含む処理装置（８ａ）であって、
　前記プロセッサは、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転の前記ホスト移動体から取得することと、
　前記シーン情報に基づきフィードバックするフィードバック情報を、前記ホスト移動体へ送信するように生成することとを、実行するように構成される処理装置。
　前記シーン情報を取得することは、
　前記安全エンベロープ違反の状況を表す前記シーン情報として、状況情報を取得することを、含む請求項９に記載の処理装置。
　前記フィードバック情報を生成することは、
　前記シーン情報に基づき判断される前記運転の支援内容を表す前記フィードバック情報として、支援情報を生成することを、含む請求項９又は１０に記載の処理装置。
　前記フィードバック情報を生成することは、
　前記シーン情報に基づき判断される前記安全エンベロープ違反の要因を表す前記フィードバック情報として、要因情報を生成することを、含む請求項９～１１のいずれか一項に記載の処理装置。
　前記フィードバック情報を生成することは、
　前記ホスト移動体のドライバに対して前記シーン情報に基づき判断される運転スコアを表す前記フィードバック情報として、スコア情報を生成することを、含む請求項９～１２のいずれか一項に記載の処理装置。
　前記リモートセンタは、
　前記ホスト移動体に関連するサービスを提供するサービスセンタ（９）と通信可能であり、
　前記フィードバック情報を生成することは、
　前記サービスセンタへ公開される公開情報を、前記シーン情報及び前記フィードバック情報のうち少なくとも一方に基づき生成することを、含む請求項９～１３のいずれか一項に記載の処理装置。
　前記フィードバック情報を生成することは、
　前記シーン情報を取得するのに応答して、前記フィードバック情報を生成することを、含む請求項９～１４のいずれか一項に記載の処理装置。
　前記シーン情報を取得することは、
　複数時点に取得した前記シーン情報を、前記リモートセンタの記憶媒体（８０）に蓄積することを、含み、
　前記フィードバック情報を生成することは、
　前記記憶媒体に記憶された前記複数時点での前記シーン情報の統計分析に基づき、前記フィードバック情報を生成することを、含む請求項９～１５のいずれか一項に記載の処理装置。
　前記フィードバック情報を生成することは、
　前記フィードバック情報の生成又は送信に応答して、前記複数時点での前記シーン情報を前記記憶媒体から削除することを、含む請求項１６に記載の処理装置。
　ホスト移動体（２，３ａ）と通信可能なリモートセンタ（８）において前記ホスト移動体の運転に関連する処理を遂行するために、プロセッサ（８２）により実行される処理方法であって、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転の前記ホスト移動体から取得することと、
　前記シーン情報に基づきフィードバックするフィードバック情報を、前記ホスト移動体へ送信するように生成することとを、含む処理方法。
　ホスト移動体（２，３ａ）と通信可能なリモートセンタ（８）において前記ホスト移動体の運転に関連する処理を遂行するために記憶媒体（８０）に記憶され、プロセッサ（８２）に実行させる命令を含む処理プログラムであって、
　前記命令は、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反の、シーンを表すシーン情報を、手動運転の前記ホスト移動体から取得させることと、
　前記シーン情報に基づきフィードバックするフィードバック情報を、前記ホスト移動体へ送信するように生成させることとを、含む処理プログラム。
　リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、前記ホスト移動体の第一プロセッサ（１２）と前記リモートセンタの第二プロセッサ（８２）とを含む処理システム（１）であって、
　前記第一プロセッサは、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転の前記ホスト移動体において監視することと、
　前記安全エンベロープ違反が発生したと判定される場合に、前記安全エンベロープ違反のシーンを表すシーン情報を、前記ホスト移動体から前記リモートセンタへ送信するように生成することとを、実行するように構成され、
　前記第二プロセッサは、
　前記シーン情報に基づきフィードバックするフィードバック情報を、前記リモートセンタから前記ホスト移動体へ送信するように生成することとを、実行するように構成される処理システム。
　リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、前記ホスト移動体の第一プロセッサ（１２）と前記リモートセンタの第二プロセッサ（８２）との協働により実行される処理方法であって、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転の前記ホスト移動体において監視することと、
　前記安全エンベロープ違反が発生したと判定される場合に、前記安全エンベロープ違反のシーンを表すシーン情報を、前記ホスト移動体から前記リモートセンタへ送信するように生成することと、
　前記シーン情報に基づきフィードバックするフィードバック情報を、前記リモートセンタから前記ホスト移動体へ送信するように生成することとを、含む処理方法。
　リモートセンタ（８）と通信可能なホスト移動体（２，３ａ）の運転に関連する処理を遂行するために、前記ホスト移動体の第一記憶媒体（１０）と前記リモートセンタの第二記憶媒体（８０）とのうち少なくとも一方に記憶され、前記ホスト移動体の第一プロセッサ（１２）と前記リモートセンタの第二プロセッサ（８２）とに協働して実行させる命令を含む処理プログラムであって、
　前記命令は、
　意図された機能の安全性を運転ポリシに従って設定した安全エンベロープの違反である安全エンベロープ違反を、手動運転の前記ホスト移動体において監視させることと、
　前記安全エンベロープ違反が発生したと判定される場合に、前記安全エンベロープ違反のシーンを表すシーン情報を、前記ホスト移動体から前記リモートセンタへ送信するように生成させることと、
　前記シーン情報に基づきフィードバックするフィードバック情報を、前記リモートセンタから前記ホスト移動体へ送信するように生成させることとを、含む処理プログラム。