WO2022202002A1

WO2022202002A1 - 処理方法、処理システム、処理プログラム

Info

Publication number: WO2022202002A1
Application number: PCT/JP2022/006439
Authority: WO
Inventors: 秀則松崎; 宏俊安岡
Original assignee: 株式会社デンソー
Priority date: 2021-03-26
Filing date: 2022-02-17
Publication date: 2022-09-29
Also published as: JPWO2022202002A1; US20240013658A1; CN117083213A

Abstract

ターゲット移動体と通信可能なホスト移動体の運転に関する処理を遂行するために、プロセッサにより実行される処理方法は、ホスト移動体においてターゲット移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を監視することと、ホスト移動体においてエンベロープ違反が認識された場合に、エンベロープ違反を警告する警告情報を、ターゲット移動体へ送信するように生成することとを、含む。

Description

処理方法、処理システム、処理プログラム

関連出願の相互参照

　この出願は、２０２１年３月２６日に日本に出願された特許出願第２０２１－５３９７０号を基礎としており、基礎の出願の内容を、全体的に、参照により援用している。

　本開示は、移動体の運転に関する処理を遂行するための、処理技術に関する。

　特許文献１に開示される技術は、ホスト車両のナビゲーション動作に関する運転制御を、ホスト車両の内外環境に関する検知情報に応じて計画している。そこで、運転ポリシに従う安全モデルと検知情報とに基づき潜在的な事故責任があると判断される場合には、運転制御に対して制約が与えられている。

特許第６７０８７９３号公報

　しかし、特許文献１の開示技術では、ホスト車両からターゲット車両以外の他道路ユーザが検知されても、当該他道路ユーザがホスト車両により遮られてターゲット車両からは検知困難となる場合が想定される。この場合には、他道路ユーザに対する対応に影響の出るおそれがある。

　本開示の課題は、他道路ユーザに対する対応力の向上を促進する処理方法を、提供することにある。本開示のさらに別の課題は、他道路ユーザに対する対応力の向上を促進する処理システムを、提供することにある。本開示のまたさらに別の課題は、他道路ユーザに対する対応力の向上を促進する処理プログラムを、提供することにある。

　以下、課題を解決するための本開示の技術的手段について、説明する。

　本開示の第一態様は、
　ターゲット移動体と通信可能なホスト移動体の運転に関する処理を遂行するために、プロセッサにより実行される処理方法であって、
　ホスト移動体においてターゲット移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を監視することと、
　ホスト移動体においてエンベロープ違反が認識された場合に、エンベロープ違反を警告する警告情報を、ターゲット移動体へ送信するように生成することとを、含む。

　本開示の第二態様は、
　プロセッサを含み、ターゲット移動体と通信可能なホスト移動体の運転に関する処理を遂行する処理システムであって、
　プロセッサは、
　ホスト移動体においてターゲット移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を監視することと、
　ホスト移動体においてエンベロープ違反が認識された場合に、エンベロープ違反を警告する警告情報を、ターゲット移動体へ送信するように生成することとを、実行するように構成される。

　本開示の第三態様は、
　記憶媒体に記憶され、ターゲット移動体と通信可能なホスト移動体の運転に関する処理を遂行するために、プロセッサに実行させる命令を含む処理プログラムであって、
　命令は、
　ホスト移動体においてターゲット移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を監視させることと、
　ホスト移動体においてエンベロープ違反が認識された場合に、エンベロープ違反を警告する警告情報を、ターゲット移動体へ送信するように生成させることとを、含む。

　これら第一～第三態様のホスト移動体では、ターゲット移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープが監視される。そこで、他道路ユーザとの間のエンベロープ違反が認識された場合にホスト移動体は、当該エンベロープ違反を警告する警告情報を、ターゲット移動体へと送信するように生成する。これによれば、他道路ユーザに関してホスト移動体の警告するエンベロープ違反がターゲット移動体においても共通認識され得るので、他道路ユーザに対する対応力の向上を促進することが可能となる。

　本開示の第四態様は、
　ターゲット移動体と通信可能なホスト移動体の運転に関する処理を遂行するために、プロセッサにより実行される処理方法であって、
　ターゲット移動体においてホスト移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報を、ターゲット移動体から取得することと、
　警告情報の取得に応答して、他道路ユーザとの間でのエンベロープ違反の有無を判定することとを、含む。

　本開示の第五態様は、
　プロセッサを含み、ターゲット移動体と通信可能なホスト移動体の運転に関する処理を遂行する処理システムであって、
　プロセッサは、
　ターゲット移動体においてホスト移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報を、ターゲット移動体から取得することと、
　警告情報の取得に応答して、他道路ユーザとの間でのエンベロープ違反の有無を判定することとを、実行するように構成される。

　本開示の第六態様は、
　記憶媒体に記憶され、ターゲット移動体と通信可能なホスト移動体の運転に関する処理を遂行するために、プロセッサに実行させる命令を含む処理プログラムであって、
　命令は、
　ターゲット移動体においてホスト移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報を、ターゲット移動体から取得させることと、
　警告情報の取得に応答して、他道路ユーザとの間でのエンベロープ違反の有無を判定させることとを、含む。

　これら第四～第六態様のホスト移動体では、ターゲット移動体においてホスト移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報が、ターゲット移動体から取得される。そこで、警告情報の取得に応答してホスト移動体では、他道路ユーザとの間でのエンベロープ違反の有無が判定される。これによれば、他道路ユーザに関してターゲット移動体の警告するエンベロープ違反がホスト移動体においても共通認識されて、エンベロープ違反の有無判定に反映され得るので、他道路ユーザに対する対応力の向上を促進することが可能である。

本開示における用語の説明を示す説明表である。本開示における用語の説明を示す説明表である。本開示における用語の説明を示す説明表である。本開示における用語の定義を示す説明表である。本開示における用語の定義を示す説明表である。第一実施形態の処理システムを示すブロック図である。第一実施形態の適用される車両の走行環境を示す模式図である。第一実施形態の適用される車両の走行環境を示す模式図である。第一実施形態の処理システムを示すブロック図である。第一実施形態の車線構造例及び処理方法を示す模式図である。第一実施形態の車線構造例及び処理方法を示す模式図である。第一実施形態の車線構造例及び処理方法を示す模式図である。第一実施形態の車線構造例及び処理方法を示す模式図である。第一実施形態の車線構造例及び処理方法を示す模式図である。第一実施形態の車線構造例及び処理方法を示す模式図である。第一実施形態の処理方法を示すフローチャートである。第一実施形態の処理方法を示すフローチャートである。第二実施形態の処理方法を示すフローチャートである。第二実施形態の処理方法を示すフローチャートである。第三実施形態の処理システムを示すブロック図である。第四実施形態の処理システムを示すブロック図である。第五実施形態の処理システムを示すブロック図である。第六実施形態の処理システムを示すブロック図である。第六実施形態の処理システムを示すブロック図である。

　以下、本開示による複数の実施形態を、図面に基づき説明する。尚、各実施形態において対応する構成要素には同一の符号を付すことにより、重複する説明を省略する場合がある。また、各実施形態において構成の一部分のみを説明している場合、当該構成の他の部分については、先行して説明した他の実施形態の構成を適用することができる。さらに、各実施形態の説明において明示している構成の組み合わせばかりではなく、特に組み合わせに支障が生じなければ、明示していなくても複数の実施形態の構成同士を部分的に組み合わせることができる。

　図１～５は、本開示の各実施形態に関連する用語の説明を、示している。但し、用語の定義は、図１～５に示される説明に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において解釈されるものである。

　（第一実施形態）
　図６に示される第一実施形態の処理システム１は、移動体の運転に関する処理（以下、運転関連処理と表記）を、遂行する。処理システム１が運転関連処理の対象とする移動体は、図７，８に示される車両２である。第一実施形態では、処理システム１の適用される車両２として、互いに直接的に又は通信インフラを介して間接的に通信可能な、第一車両２ａ及び第二車両２ｂが想定される。図７に示される第一車両２ａの視点では、自車両（ego-vehicle）２ａがホスト移動体に相当する一方、当該自車両２ａの走行環境に存在する他道路ユーザ３でもある第二車両２ｂがターゲット移動体に相当する。これに対して、図８に示される第二車両２ｂの視点では、自車両２ｂがホスト移動体に相当する一方、当該自車両２ｂの走行環境に存在する他道路ユーザ３でもある第一車両２ａがターゲット移動体に相当する。

　図７，８に示される車両２は、自動運転の実行される、例えば自動車、又はトラック等の道路ユーザである。自動運転は、動的運転タスク（Dynamic Driving Task：以下、ＤＤＴと表記）における乗員の手動介入度に応じて、レベル分けされる。自動運転は、条件付運転自動化、高度運転自動化、又は完全運転自動化といった、作動時のシステムが全てのＤＤＴを実行する自律走行制御により、実現されてもよい。自動運転は、運転支援、又は部分運転自動化といった、乗員としてのドライバが一部若しくは全てのＤＤＴを実行する高度運転支援制御において、実現されてもよい。自動運転は、それら自律走行制御と高度運転支援制御とのいずれか一方、組み合わせ、又は切り替えにより実現されてもよい。

　車両２には、図６，９に示されるセンサ系５、通信系６、及び地図ＤＢ（Data Base）７、及び情報提示系４が搭載される。センサ系５は、処理システム１により利用可能なセンサデータを、車両２における外界及び内界の検出により取得する。そのためにセンサ系５は、外界センサ５０及び内界センサ５２を含んで構成される。

　外界センサ５０は、車両２の外界に存在する物標を、検出してもよい。物標検出タイプの外界センサ５０は、例えばカメラ、ＬｉＤＡＲ（Light Detection and Ranging / Laser Imaging Detection and Ranging）、レーザレーダ、ミリ波レーダ、及び超音波ソナー等のうち、少なくとも一種類である。外界センサ５０は、車両２の外界における大気の状態を、検出してもよい。大気検出タイプの外界センサ５０は、例えば外気温センサ、及び湿度センサ等のうち、少なくとも一種類である。

　内界センサ５２は、車両２の内界において車両運動に関する特定の物理量（以下、運動物理量と表記）を、検出してもよい。物理量検出タイプの内界センサ５２は、例えば速度センサ、加速度センサ、及びジャイロセンサ等のうち、少なくとも一種類である。内界センサ５２は、車両２の内界における乗員の状態を、検出してもよい。乗員検出タイプの内界センサ５２は、例えばアクチュエータセンサ、ドライバステータスモニタ、生体センサ、着座センサ、及び車内機器センサ等のうち、少なくとも一種類である。ここで特にアクチュエータセンサとしては、車両２の運動アクチュエータに関する乗員の操作状態を検出する、例えばアクセルセンサ、ブレーキサンサ、及び操舵センサ等のうち、少なくとも一種類が採用される。

　通信系６は、処理システム１により利用可能な通信データを、無線通信により取得する。通信系６は、車両２の外界に存在するＧＮＳＳ（Global Navigation Satellite System）の人工衛星から、測位信号を受信してもよい。測位タイプの通信系６は、例えばＧＮＳＳ受信機等である。通信系６は、車両２の外界に存在するＶ２Ｘシステムとの間において、通信信号を送受信してもよい。Ｖ２Ｘタイプの通信系６は、例えばＤＳＲＣ（Dedicated Short Range Communications）通信機、及びセルラＶ２Ｘ（C-V2X）通信機等のうち、少なくとも一種類である。第一実施形態において想定される車両２（２ａ，２ｂ）間の通信は、それら車両２の各々におけるＶ２Ｘタイプの通信系６を介して実現可能となる。通信系６は、車両２の内界に存在する端末との間において、通信信号を送受信してもよい。端末通信タイプの通信系６は、例えばブルートゥース（Bluetooth：登録商標）機器、Ｗｉ－Ｆｉ（登録商標）機器、及び赤外線通信機器等のうち、少なくとも一種類である。

　地図ＤＢ７は、処理システム１により利用可能な地図データを、記憶する。地図ＤＢ７は、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも一種類の非遷移的実体的記憶媒体（non-transitory tangible storage medium）を含んで構成される。地図ＤＢ７は、自己位置を含んだ車両２の自己状態量を推定するロケータの、ＤＢであってもよい。地図ＤＢは、車両２の走行経路をナビゲートするナビゲーションユニットの、ＤＢであってもよい。地図ＤＢ７は、複数種類のＤＢの組み合わせにより、構築されてもよい。

　地図ＤＢ７は、例えばＶ２Ｘタイプの通信系６を介した外部センタとの通信等により、最新の地図データを取得して記憶する。地図データは、車両２の走行環境を表すデータとして、二次元又は三次元にデータ化されている。三次元の地図データとしては、高精度地図のデジタルデータが採用されてもよい。地図データは、例えば道路構造の位置座標、形状、及び路面状態等のうち、少なくとも一種類を表した道路データを含んでいてもよい。地図データは、例えば道路に付属する道路標識、道路表示、及び区画線の、位置座標並びに形状等のうち、少なくとも一種類を表した標示データを含んでいてもよい。地図データに含まれる標示データは、ランドマークのうち、例えば交通標識、矢印マーキング、車線マーキング、停止線、方向標識、ランドマークビーコン、長方形標識、ビジネス標識、又は道路のラインパターン変化等を表していてもよい。地図データは、例えば道路に面する建造物及び信号機の、位置座標並びに形状等のうち、少なくとも一種類を表した構造物データを含んでいてもよい。地図データに含まれる標示データは、ランドマークのうち、例えば街灯、道路のエッジ、反射板、ポール、又は道路標識の裏側等を表していてもよい。

　情報提示系４は、車両２のドライバを含む乗員へ向けた報知情報を提示する。情報提示系４は、視覚提示ユニット、聴覚提示ユニット、及び皮膚感覚提示ユニットを含んで構成される。視覚提示ユニットは、乗員の視覚を刺激することより、報知情報を提示する。視覚提示ユニットは、例えばＨＵＤ（Head-up Display）、ＭＦＤ（Multi Function Display）、コンビネーションメータ、ナビゲーションユニット、及び発光ユニット等のうち、少なくとも一種類である。聴覚提示ユニットは、乗員の聴覚を刺激することにより、報知情報を提示する。聴覚提示ユニットは、例えばスピーカ、ブザー、及びバイブレーションユニット等のうち、少なくとも一種類である。皮膚感覚提示ユニットは、乗員の皮膚感覚を刺激することにより、報知情報を提示する。皮膚感覚提示ユニットにより刺激される皮膚感覚には、例えば触覚、温度覚、及び風覚等のうち、少なくとも一種類が含まれる。皮膚感覚提示ユニットは、例えばステアリングホイールのバイブレーションユニット、運転席のバイブレーションユニット、ステアリングホイールの反力ユニット、アクセルペダルの反力ユニット、ブレーキペダルの反力ユニット、及び空調ユニット等のうち、少なくとも一種類である。

　図６に示されるように処理システム１は、例えばＬＡＮ（Local Area Network）、ワイヤハーネス、内部バス、及び無線通信回線等のうち、少なくとも一種類を介してセンサ系５、通信系６、地図ＤＢ７、及び情報提示系４に接続される。処理システム１は、少なくとも一つの専用コンピュータを含んで構成される。処理システム１を構成する専用コンピュータは、車両２の運転制御を統合する、統合ＥＣＵ（Electronic Control Unit）であってもよい。処理システム１を構成する専用コンピュータは、車両２の運転制御におけるＤＤＴを判断する、判断ＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、車両２の運転制御を監視する、監視ＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、車両２の運転制御を評価する、評価ＥＣＵであってもよい。

　処理システム１を構成する専用コンピュータは、車両２の走行経路をナビゲートする、ナビゲーションＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、車両２の自己位置を含む自己状態量を推定する、ロケータＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、車両２の運動アクチュエータを制御する、アクチュエータＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、車両２における情報提示を制御する、ＨＣＵ（HMI（Human Machine Interface） Control Unit）であってもよい。処理システム１を構成する専用コンピュータは、例えば通信系６を介して通信可能な外部センタ又はモバイル端末等を構築する、少なくとも一つの外部コンピュータであってもよい。

　処理システム１を構成する専用コンピュータは、メモリ１０及びプロセッサ１２を、少なくとも一つずつ有している。メモリ１０は、コンピュータにより読み取り可能なプログラム及びデータ等を非一時的に記憶する、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも一種類の非遷移的実体的記憶媒体（non-transitory tangible storage medium）である。プロセッサ１２は、例えばＣＰＵ（Central Processing Unit）、ＧＰＵ（Graphics Processing Unit）、及びＲＩＳＣ（Reduced Instruction Set Computer）－ＣＰＵ等のうち、少なくとも一種類をコアとして含む。

　プロセッサ１２は、ソフトウェアとしてメモリ１０に記憶された処理プログラムに含まれる複数の命令を、実行する。これにより処理システム１は、車両２の運転関連処理を遂行するための機能ブロックを、複数構築する。このように処理システム１では、車両２の運転関連処理を遂行するためにメモリ１０に記憶された処理プログラムが複数の命令をプロセッサ１２に実行させることにより、複数の機能ブロックが構築される。処理システム１により構築される複数の機能ブロックには、図８に示されるように検知ブロック１００、計画ブロック１２０、リスク監視ブロック１４０、及び制御ブロック１６０が含まれる。

　検知ブロック１００は、センサ系５の外界センサ５０及び内界センサ５２からセンサデータを取得する。検知ブロック１００は、通信系６から通信データを取得する。検知ブロック１００は、地図ＤＢ７から地図データを取得する。検知ブロック１００は、これらの取得データを入力としてフュージョンすることにより、車両２の内外環境を検知する。内外環境の検知により検知ブロック１００は、後段の計画ブロック１２０とリスク監視ブロック１４０とへ与える検知情報を生成する。このように検知情報の生成に当たって検知ブロック１００は、センサ系５及び通信系６からデータを取得し、取得データの意味を認識又は理解し、車両２の外界状況及びその中での自己の置かれた状況、並びに車両２の内界状況を含む状況全般を、取得データを統合して把握するといえる。検知ブロック１００は、計画ブロック１２０とリスク監視ブロック１４０とへ実質同一の検知情報を与えてもよい。検知ブロック１００は、計画ブロック１２０とリスク監視ブロック１４０とへ相異なる検知情報を与えてもよい。

　検知ブロック１００が生成する検知情報は、車両２の走行環境においてシーン毎に検知される状態を、記述している。検知ブロック１００は、車両２の外界における他道路ユーザ３、障害物、及び構造物を含んだ物体を検知することにより、当該物体の検知情報を生成してもよい。物体の検知情報は、例えば物体までの距離、物体の相対速度、物体の相対加速度、物体の追尾検知による推定状態等のうち、少なくとも一種類を表していてもよい。物体の検知情報はさらに、検知された物体の状態から認識又は特定される種別を、表していてもよい。検知ブロック１００は、車両２の現在及び将来に走行する走路を検知することにより、当該走路の検知情報を生成してもよい。走路の検知情報は、例えば路面、車線、道路端、及びフリースペース等のうち、少なくとも一種類の状態を表していてもよい。

　検知ブロック１００は、車両２の自己位置を含む自己状態量を推定的に検知するローカリゼーションにより、当該自己状態量の検知情報を生成してもよい。検知ブロック１００は、自己状態量の検知情報と同時に、車両２の走路に関する地図データの更新情報を生成して、当該更新情報を地図ＤＢ７へフィードバックしてもよい。検知ブロック１００は、車両２の走路に関連付けられた標示を検知することにより、当該標示の検知情報を生成してもよい。標示の検知情報は、例えば標識、区画線、及び信号機等のうち、少なくとも一種類の状態を表していてもよい。標示の検知情報はさらに、標示の状態から認識又は特定される交通ルールを、表していてもよい。検知ブロック１００は、車両２の走行するシーン毎の気象状況を検知することにより、当該気象状況の検知情報を生成してもよい。検知ブロック１００は、車両２の走行シーン毎の時刻を検知することにより、当該時刻の検知情報を生成してもよい。

　計画ブロック１２０は、検知ブロック１００から検知情報を取得する。計画ブロック１２０は、取得した検知情報に応じて車両２の運転制御を計画する。運転制御の計画では、車両２のナビゲーション動作及びドライバの支援動作に関する制御指令が生成される。即ち計画ブロック１２０は、車両２の運動制御要求として制御指令を生成する、ＤＤＴ機能を実現する。計画ブロック１２０が生成する制御指令は、車両２の運動アクチュエータを制御するための制御パラメータを、含んでいてもよい。制御指令の出力対象となる運動アクチュエータとしては、例えば内燃機関、電動モータ、及びそれらが組み合わされたパワトレイン、ブレーキ装置、並びに操舵装置等のうち、少なくとも一種類が挙げられる。

　計画ブロック１２０は、運転ポリシとその安全性に従って記述された安全モデルを用いることにより、当該運転ポリシと適合するように制御指令を生成してもよい。安全モデルの従う運転ポリシとは、例えば意図された機能の安全性（Safety Of The Intended Functionality：以下、ＳＯＴＩＦと表記）を保証する車両レベル安全戦略を踏まえて、規定される。換言すれば安全モデルは、車両レベル安全戦略の実装となる運転ポリシに従うことにより、且つＳＯＴＩＦをモデリングすることにより、記述される。計画ブロック１２０は、運転制御結果を安全モデルに逆伝播させる機械学習アルゴリズムにより、安全モデルをトレーニングしてもよい。トレーニングされる安全モデルとしては、例えばＤＮＮ（Deep Neural Network）といったニュラーラルネットワークによるディープラーニング、及び強化学習等のうち、少なくとも一種類の学習モデルが、用いられてもよい。ここでいう安全モデルは、安全関連モデル（safety-related models）そのものであってもよく、安全関連モデルのうちの一部を構成するモデルであってもよい。

　計画ブロック１２０は、運転制御によって車両２に将来走行させる経路を、制御指令の生成に先立って計画してもよい。経路計画は、検知情報に基づいて車両２をナビゲートするために、例えばシミュレーション等の演算によって実行されてもよい。即ち計画ブロック１２０は、車両２の戦術的行動として経路を計画する、ＤＤＴ機能を実現してもよい。計画ブロック１２０はさらに、計画経路を辿る車両２に対して、取得した検知情報に基づく適正な軌道を、制御指令の生成に先立って計画してもよい。即ち計画ブロック１２０は、車両２の軌道を計画する、ＤＤＴ機能を実現してもよい。計画ブロック１２０が計画する軌道は、車両２に関する運動物理量として、例えば走行位置、速度、加速度、及びヨーレート等のうち、少なくとも一種類を時系列に規定してもよい。時系列な軌道計画は、車両２のナビゲートによる将来走行のシナリオを、構築する。計画ブロック１２０は、安全モデルを用いた計画によって軌道を生成してもよい。この場合には、生成された軌道に対してコストを与えるコスト関数が演算されることにより、当該演算結果に基づく機械学習アルゴリズムによって安全モデルがトレーニングされてもよい。

　計画ブロック１２０は、車両２における自動運転レベルの調整を、取得した検知情報に応じて計画してもよい。自動運転レベルの調整には、自動運転と手動運転との間での引き継ぎも含まれていてもよい。自動運転と手動運転との間での引き継ぎは、自動運転を実行する運行設計領域の設定により、当該運行設計領域に対する進入又は退出に伴うシナリオにおいて実現されてもよい。運行設計領域からの退出シナリオ、即ち自動運転から手動運転への引き継ぎシナリオでは、例えば安全モデル等に基づき不合理なリスクが存在すると判断される不合理な状況が、ユースケースとして挙げられる。このユースケースにおいて計画ブロック１２０は、フォールバック予備ユーザとなるドライバが最小リスク操作を車両２に与えて車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックを、計画してもよい。

　自動運転レベルの調整には、車両２の縮退走行が含まれてもよい。縮退走行のシナリオでは、手動運転への引き継ぎによっては不合理なリスクが存在すると、例えば安全モデル等に基づき判断される不合理な状況が、ユースケースとして挙げられる。このユースケースにおいて計画ブロック１２０は、自律走行及び自律停止により車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックを、計画してもよい。車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックは、自動運転レベルを引き下げる調整において実現されるだけでなく、自動運転レベルを維持して縮退走行させる調整、例えばＭＲＭ（Minimum Risk Maneuver）等において実現されてもよい。車両２を最小リスク状態へ移行させるためのＤＤＴフォールバックでは、例えば照明、ホーン音、信号、及びジェスチャー等のうち、少なくとも一種類により当該移行状況の目立ち易さが高められてもよい。

　リスク監視ブロック１４０は、検知ブロック１００から検知情報を取得する。リスク監視ブロック１４０は、取得した検知情報に基づくことにより、車両２と他道路ユーザ３との間におけるリスクを、シーン毎に監視する。リスク監視ブロック１４０は、他道路ユーザ３に対して車両２のＳＯＴＩＦを保証するように、検知情報に基づくリスク監視を時系列に実行する。リスク監視において想定される他道路ユーザ３には、例えば自動車、トラック、バイク、及び自転車といった脆弱性のない道路ユーザと、歩行者といった脆弱な道路ユーザとが、含まれる。リスク監視において想定される他道路ユーザ３にはさらに、動物が含まれてもよい。

　リスク監視ブロック１４０は、車両２においてＳＯＴＩＦを保証する、例えば車両レベル安全戦略等を踏まえた安全エンベロープを、取得したシーン毎の検知情報に基づき設定する。リスク監視ブロック１４０は、上述の運転ポリシに従う安全モデルを用いて、車両２及び他道路ユーザ３間における安全エンべーロープを設定してもよい。安全エンベロープの設定に用いられる安全モデルは、不合理なリスク又は道路ユーザの誤用に起因する潜在的な事故責任を、事故責任規則に則って回避するように設計されてもよい。換言すれば安全モデルは、運転ポリシに従う事故責任規則を車両２が遵守するように設計されてもよい。こうした安全モデルとしては、例えば特許文献１に開示されるような責任敏感型安全性モデル（Responsibility Sensitive Safety model）等が、挙げられる。

　安全エンベロープの設定では、運転ポリシに従うと仮定した車両２及び他道路ユーザ３に対する安全モデルに基づくことにより、少なくとも一種類の運動物理量に関するプロファイルから、安全距離が想定されてもよい。安全距離は、予測される他道路ユーザ３の運動に対して、車両２の周囲に物理ベースのマージンを確保した境界を、画定する。安全距離は、車両２及び他道路ユーザ３の各々により適切な応答が実行されるまでの反応時間を加味して、想定されてもよい。安全距離は、事故責任規則を遵守するように、想定されてもよい。例えば車線等の車線構造が存在するシーンでは、車両２の縦方向において追突及び正面衝突のリスクを回避する安全距離と、車両２の横方向において側面衝突のリスクを回避する安全距離とが、演算されてもよい。一方、車線構造が存在しないシーンでは、車両２の任意方向において軌道の衝突するリスクを回避する安全距離が、演算されてもよい。

　リスク監視ブロック１４０は、車両２及び他道路ユーザ３間における相対運動のシーン毎での状況を、上述した安全エンベロープの設定に先立って特定してもよい。例えば車線等の車線構造が存在するシーンでは、縦方向において追突及び正面衝突のリスクが想定される状況と、横方向において側面衝突のリスクが想定される状況とが、特定されてもよい。これら縦方向及び横方向の状況特定では、直線状の車線を前提とする座標系へ、車両２及び他道路ユーザ３に関する状態量が変換されてもよい。一方、車線構造が存在しないシーンでは、車両２の任意方向において軌道が衝突するリスクの想定される状況が、特定されてもよい。尚、以上の状況特定機能については、検知ブロック１００により少なくとも一部が実行されることにより、状況特定結果が検知情報としてリスク監視ブロック１４０に与えられてもよい。

　リスク監視ブロック１４０は、車両２及び他道路ユーザ３間における安全判定を、設定した安全エンベロープと、取得したシーン毎の検知情報とに基づき、実行する。即ちリスク監視ブロック１４０は、車両２及び他道路ユーザ３間において検知情報に基づき解釈される走行シーンには、安全エンベロープの違反となるエンベロープ違反があるか否かをテストすることにより、安全判定を実現する。安全エンベロープの設定において安全距離が想定される場合には、車両２及び他道路ユーザ３間の現実距離が当該安全距離超過となることにより、エンベロープ違反はないとの判定が下されてもよい。一方、車両２及び他道路ユーザ３間の現実距離が安全距離以下となることにより、エンベロープ違反があるとの判定が下されてもよい。

　リスク監視ブロック１４０は、エンベロープ違反ありの判定を下した場合に、適切な応答として取るべき適正な行動を車両２へ与えるための合理的なシナリオを、シミュレーションにより演算してもよい。合理的シナリオのシミュレーションでは、車両２及び他道路ユーザ３間での状態遷移が推定されることにより、遷移する状態毎に取るべき行動が、車両２に対する制約（後に詳述）として設定されてもよい。行動の設定では、車両２へ与える少なくとも一種類の運動物理量を、車両２に対する制約として制限するように、当該運動物理量に対して仮定される制限値が演算されてもよい。

　リスク監視ブロック１４０は、運転ポリシに従うと仮定した車両２及び他道路ユーザ３に対しての安全モデルに基づくことにより、少なくとも一種類の運動物理量に関するプロファイルから、事故責任規則を遵守するための制限値を直接的に演算してもよい。直接的な制限値の演算は、それ自体が安全エンべーロープの設定であって、運転制御に対する制約の設定でもあるといえる。そこで、制限値よりも安全側の現実値が検知される場合、エンベロープ違反なしの判定が下されてもよい。一方、制限値を外れる側の現実値が検知される場合、エンベロープ違反ありの判定が下されてもよい。

　リスク監視ブロック１４０は、例えば安全エンベロープの設定に用いられた検知情報、安全エンベロープの判定結果を表す判定情報、当該判定結果を左右した検知情報、及びシミュレートしたシナリオ等のうち、少なくとも一種類のエビデンス情報をメモリ１０に記憶してもよい。エビデンス情報の記憶されるメモリ１０は、処理システム１を構成する専用コンピュータの種類に応じて、車両２内に搭載されていてもよいし、例えば車両２外の外部センタ等に設置されていてもよい。エビデンス情報は、非暗号化状態で記憶されてもよいし、暗号化又はハッシュ化されて記憶されてもよい。エビデンス情報の記憶は、エンベロープ違反ありの判定の場合に、少なくとも実行される。勿論、エンベロープ違反なしの判定の場合にも、エビデンス情報の記憶は実行されてもよい。エンベロープ違反なしの判定の場合におけるエビデンス情報は、記憶時点では遅行型指標として利活用可能であり、将来に対しては先行型指標としても利活用可能となる。

　制御ブロック１６０は、計画ブロック１２０から制御指令を取得する。制御ブロック１６０は、リスク監視ブロック１４０から安全エンベロープに関する判定情報を取得する。制御ブロック１６０は、車両２の運動を制御する、ＤＤＴ機能を実現する。制御ブロック１６０は、エンベロープ違反なしの判定情報を取得した場合に、計画された車両２の運転制御を、制御指令に従って実行する。

　これに対して制御ブロック１６０は、エンベロープ違反ありの判定情報を取得した場合に、計画された車両２の運転制御に対して、判定情報に基づき運転ポリシに従う制約を与える。運転制御に対する制約は、機能的な制約（functional restriction）であってもよい。運転制御に対する制約は、縮退した制約（degraded constraints）であってもよい。運転制御に対する制約は、これらとは別の制約であってもよい。運転制御に対して制約は、制御指令の制限によって与えられる。合理的なシナリオがリスク監視ブロック１４０によりシミュレートされている場合に制御ブロック１６０は、当該シナリオに従って制御指令を制限してもよい。このとき、車両２の運動物理量に関して制限値が設定されている場合には、制御指令に含まれる運動アクチュエータの制御パラメータが、当該制限値に基づき補正されてもよい。

　以下、第一実施形態の詳細を説明する。

　図７，８，１０～１５に示されるように第一実施形態は、車線の区切られた車線構造Ｌｓを、想定する。車線構造Ｌｓは、車線の延伸する方向を縦方向として、車両２及び他道路ユーザ３の運動を規制する。車線構造Ｌｓは、車線の幅方向又は並ぶ方向を横方向として、車両２及び他道路ユーザ３の運動を規制する。

　車線構造Ｌｓにおける運転ポリシは、例えば車両２として想定される一方に対して他方が他道路ユーザ３となる、第一車両２ａ及び第二車両２ｂの間では、次の（Ａ）～（Ｅ）等に規定される。尚、車両２を基準とする前方とは、例えば車両２の現在舵角における旋回円上の進行方向、車両２における車軸と直交する車両重心を通る直線の進行方向、又は車両２におけるセンサ系５のうちフロントカメラモジュールから同カメラのＦＯＥ(Focus of Expansion)の軸線上における進行方向等を、意味する。
（Ａ）　車両２は、前方を走行している車両２に、後方から追突しない。
（Ｂ）　車両２は、他の車両２間に強引な割り込みをしない。
（Ｃ）　車両２は、自己が優先の場合でも、状況に応じて他の車両２と譲り合う。
（Ｄ）　車両２は、見通しの悪い場所では、慎重に運転する。
（Ｅ）　車両２は、自責他責に関わらず、自己で事故を防止可能な状況であれば、そのために合理的行動を取る。

　運転ポリシに従うモデルであって、ＳＯＴＩＦのモデリングされた安全モデルは、不合理な状況には至らない道路ユーザの行動を、取るべき適正な合理的行動として想定する。車線構造Ｌｓにおける車両２及び他道路ユーザ３間での不合理な状況とは、正面衝突、追突、及び側面衝突である。正面衝突における合理的行動は、例えば車両２のうち、一方に対して他方が他道路ユーザ３となる第一車両２ａ及び第二車両２ｂの間では、逆走している車両２ａ又は２ｂがブレーキを掛けること等を、含む。追突における合理的行動は、例えば第一車両２ａ及び第二車両２ｂの間では、前方を走行している車両２ａ又は２ｂが一定以上の急ブレーキを掛けないこと、及びそれを前提として後方を走行している車両２ｂ又は２ａが追突を回避すること等を、含む。側面衝突における合理的行動は、例えば第一車両２ａ及び第二車両２ｂの間では、並走する車両２ａ，２ｂ同士が互いの離間方向へ操舵すること等を、含む。合理的行動の想定に際して車両２及び他道路ユーザ３に関する状態量は、車線がカーブする車線構造Ｌｓと、車線が高低する車線構造Ｌｓとのいずれであっても、直線状且つ平面状の車線構造Ｌｓを仮定して縦方向及び横方向を規定する、直交座標系に変換される。

　安全モデルは、合理的行動を取らなかった移動体が事故責任を負うとする、事故責任規則に則って設計されるとよい。車線構造Ｌｓでの事故責任規則下、車両２及び他道路ユーザ３間のリスクを監視するために用いられる安全モデルは、合理的行動によって潜在的な事故責任を回避するように、車両２に対する安全エンベロープを設定する。そこで、車両２において処理システム１の全体が正常な状況でのリスク監視ブロック１４０は、車両２及び他道路ユーザ３間の現実距離に対して、走行シーン毎に安全モデルに基づく安全距離を照らし合わせることにより、エンベロープ違反の有無を判定する。エンベロープ違反がある場合にリスク監視ブロック１４０は、合理的行動を車両２へ与えるためのシナリオを、シミュレーションする。シミュレーションによりリスク監視ブロック１４０は、制御ブロック１６０での運転制御に対する制約として、例えば速度及び加速度等のうち少なくとも一方に関する制限値を、設定する。

　図１０～１５に示されるようにリスク監視ブロック１４０は、ＳＯＴＩＦを運転ポリシに従って設定した安全エンベロープのうち、以上説明の安全モデルに基づく安全エンベロープとして、モデルエンベロープＥｍを想定する。さらにリスク監視ブロック１４０は、モデルエンベロープＥｍに物理ベースのマージンを付加した安全エンベロープとして、拡張エンベロープＥｅを想定する。これらの想定下では、拡張エンベロープＥｅを規定する安全距離が、モデルエンベロープＥｍを規定する安全距離よりも、大きく設定される。即ち拡張エンベロープＥｅは、モデルエンベロープＥｍを包含する広い範囲に、設定される。そこでマージンは、モデルエンベロープＥｍの安全距離に対して、一定距離、又は例えば安全モデル等に基づく可変距離を、付加するように設定されてるとよい。

　第一実施形態において、直接的又は間接的に相互間通信をするペア車両２として想定の第一車両２ａ及び第二車両２ｂでは、各々の処理システム１が構築する機能ブロックの共同により運転関連処理を遂行する処理方法が、それぞれ図１６，１７に示されるフローチャートに従って実行される。第一実施形態の処理方法は、第一車両２ａと第二車両２ｂとの相互間距離が設定範囲内となる間、それら各車両２ａ，２ｂにおいて繰り返し実行される。尚、以下の説明における処理方法の各「Ｓ」は、各車両２ａ，２ｂの処理システム１において処理プログラムに含まれた複数命令によって実行される複数ステップを、それぞれ意味する。

　図１６，１７に示されるＳ１００，Ｓ１１０において、第一車両２ａ及び第二車両２ｂの各リスク監視ブロック１４０は、認証キーを含むユーザＩＤを、相互間通信を通じて交換することにより、相互認証する。この相互認証は、単なるセキュリティの確認及び通信可否の確認であってもよい。この相互認証は、セキュリティの確認及び通信可否の確認に加えて、採用されている安全モデル又は運転ポリシが安全エンベロープの設定機能を有しているかどうかの確認を伴っていてもよい。

　図１６に示されるように、処理方法のＳ１００に続くＳ１０１において第一車両２ａのリスク監視ブロック１４０は、第一車両２ａとの間の相互間距離が安全エンベロープの監視範囲内となる、第二車両２ｂ以外の他道路ユーザ３が認識されているか否かを、判定する。第二車両２ｂ以外の他道路ユーザ３は、第一車両２ａの検知ブロック１００による検知情報に基づき、認識の有無を判定される。第一車両２ａにおいて安全エンベロープの監視範囲は、図１０～１２に示されるモデルエンベロープＥｍ及び拡張エンベロープＥｅを包含する広い範囲に、設定される。そこで、第一車両２ａでの監視範囲では第二車両２ｂ以外の他道路ユーザ３が認識されているとの判定を、Ｓ１０１において第一車両２ａのリスク監視ブロック１４０が下した場合には、図１６に示されるように第一車両２ａでの今回フローがＳ１０２へ移行する。

　Ｓ１０２において第一車両２ａのリスク監視ブロック１４０は、第一車両２ａにおいて第二車両２ｂ以外の他道路ユーザ３との間での安全エンベロープに関するエンベロープ違反を、第一車両２ａの安全モデルに基づくことにより監視する。図１０に示されるように第一車両２ａでは、拡張エンベロープＥｅの範囲外且つモデルエンベロープＥｍの範囲外に第二車両２ｂ以外の他道路ユーザ３の全体が存在している場合、エンベロープ違反は認識されない。そこでＳ１０２において、エンベロープ違反の無判定を第一車両２ａのリスク監視ブロック１４０が下した場合には、図１６に示されるように、第一車両２ａでの今回フローが終了する。

　一方、図１１に示されるように第一車両２ａでは、モデルエンベロープＥｍの範囲外において、拡張エンベロープＥｅの範囲内に第二車両２ｂ以外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としての拡張エンベロープ違反が認識される。また、図１２に示されるように第一車両２ａでは、拡張エンベロープＥｅの範囲内のうち、モデルエンベロープＥｍの範囲内に第二車両２ｂ以外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としてのモデルエンベロープ違反が認識される。

　そこでＳ１０２において、モデルエンベロープ違反及び拡張モデル違反のいずれかに関する有判定を、第一車両２ａのリスク監視ブロック１４０が下した場合には、図１６に示されるように、第一車両２ａでの今回フローがＳ１０３，Ｓ１０４へ順次移行する。即ちＳ１０３，Ｓ１０４は、第一車両２ａにおいて検知された、第二車両２ｂ以外の他道路ユーザ３との間のエンベロープ違反が認識された場合に、実行される。

　Ｓ１０３において第一車両２ａのリスク監視ブロック１４０は、他道路ユーザ３との間のエンベロープ違反を第二車両２ｂへ警告するための警告情報Ｉｗを、生成する。警告情報Ｉｗは、エンベロープ違反という事象の発生を、第一車両２ａから第二車両２ｂに対してプッシュ通知する、通知情報Ｉｎを含んでいてもよい。警告情報Ｉｗは、通知情報Ｉｎに対して状況情報Ｉｓの付加された、複合的な情報であってもよい。状況情報Ｉｓは、第一車両２ａにおいて設定された安全エンベロープに関するエンベロープ情報Ｉｓｅを、含んでいてもよい。

　エンベロープ情報Ｉｓｅは、第一車両２ａにおいてエンベロープ違反の判定基準となった、安全距離を含む安全エンベロープの範囲を、表していてもよい。エンベロープ情報Ｉｓｅは、エンベロープ違反の判定基準となった安全エンベロープを規定する安全モデルにより、第一車両２ａ及び他道路ユーザ３間での相対状態として想定された、例えば追突リスク、正面衝突リスク、側面衝突リスク、交差リスク、死角リスク、及びそれらの詳細状況のうち、少なくとも一種類のリスク種別を表していてもよい。

　エンベロープ情報Ｉｓｅは、エンベロープ違反のシーンにおいて第一車両２ａの検知ブロック１００により検知された第一車両２ａの検知情報として、例えば位置を含む自己状態量（即ち、ローカリゼーション推定値）、距離、速度、加減速度、相対速度、相対加速度、及びそれらのベクトルを含む推定状態、並びに種別等のうち、少なくとも一種類を表していてもよい。特にエンベロープ情報Ｉｓｅは、第一車両２ａにおいてリスク監視ブロック１４０の制約設定による制限値から外れた、エンベロープ違反の運動物理量として、第一車両２ａの速度、及び加減速度等のうち、第一車両２ａの検知ブロック１００により検知された少なくとも一種類の検出情報を表していてもよい。

　エンベロープ情報Ｉｓｅは、エンベロープ違反のシーンにおいて第一車両２ａの検知ブロック１００により検知された他道路ユーザ３の検知情報として、例えば位置、距離、速度、加減速度、相対速度、相対加速度、及びそれらのベクトルを含む推定状態、並びに種別等のうち、少なくとも一種類を表していてもよい。特にエンベロープ情報Ｉｓｅは、第一車両２ａにおいてリスク監視ブロック１４０の制約設定による制限値から外れた、エンベロープ違反の運動物理量として、他道路ユーザ３の速度、及び加減速度等のうち、第一車両２ａの検知ブロック１００により検知された少なくとも一種類の検出情報を表していてもよい。エンベロープ情報Ｉｓｅは、エンベロープ違反のシーンにおいて第一車両２ａの外界センサ５０であるカメラによって撮影された、他道路ユーザ３を含む画像又は映像を、含んでいてもよい。

　エンベロープ情報Ｉｓｅ以外として、状況情報Ｉｓは、エンベロープ違反のシーンにおける第一車両２ａの計画ブロック１２０での計画状況として、例えば経路、軌道、制御パラメータ、自動運転レベル（手動運転をレベル０とした場合を含む）等のうち、少なくとも一種類を表していてもよい。状況情報Ｉｓは、エンベロープ違反のシーンにおける道路状況として、例えば交通ルール、標示、道路構造、ロケーション、区間、路面状態、明暗状況、工事状況、渋滞状況、落下物を含む障害物の存在状況、道路周辺の地物構造、及び当該地物構造又は移動体種別に起因する死角等のうち、少なくとも一種類を表していてもよい。状況情報Ｉｓは、エンベロープ違反のシーンにおける、例えば時刻、昼夜の区別を含む違反シーンの時間帯、及び違反シーンの気象状況（即ち、天候）等のうち、少なくとも一種類を表していてもよい。

　Ｓ１０３において生成された警告情報Ｉｗは、第一車両２ａのリスク監視ブロック１４０による通信系６の制御に従って、第一車両２ａから第二車両２ｂへ送信可能となる。換言すれば、第一車両２ａのリスク監視ブロック１４０は、エンベロープ違反の警告情報Ｉｗを、エンベロープ違反ありの判定に応答して第一車両２ａから第二車両２ｂへとリアルタイムに送信するように、生成する。ここで、本実施形態において各車両２ａ，２ｂ間での送信は、Ｖ２Ｖタイプ等の通信系６同士により直接的に実現されてもよいし、クラウドサーバ等のリモートセンタを経由して間接的に実現されてもよいし、車両２ａ，２ｂを含む複数の車両間において構成されたメッシュネットワークを経由して実現されてもよい。

　Ｓ１０４において第一車両２ａのリスク監視ブロック１４０は、生成した警告情報Ｉｗを、第一車両２ａのメモリ１０に記憶する。警告情報Ｉｗは、第一車両２ａでの生成時刻又は送信時刻を表すタイムスタンプと関連付けて記憶されることにより、複数時点での警告情報Ｉｗが蓄積されていってもよい。警告情報Ｉｗは、第一車両２ａでの暗号化処理又はハッシュ化処理を経て、記憶されてもよい。警告情報Ｉｗは、エビデンス情報として記憶されてもよい。警告情報Ｉｗは、第一車両２ａでの生成時刻又は送信時刻から設定期間の経過により、削除されてもよい。Ｓ１０４の実行が完了すると、第一車両２ａでの今回フローが終了する。

　図１７に示されるように上述のＳ１１０に続くＳ１１１では、第二車両２ｂのリスク監視ブロック１４０は、第二車両２ｂとの間の相互間距離が安全エンベロープの監視範囲内となる、第一車両２ａ以外の他道路ユーザ３が認識されているか否かを、判定する。第一車両２ａ以外の他道路ユーザ３は、第二車両２ｂの検知ブロック１００による検知情報に基づき、認識の有無を判定される。第二車両２ｂにおいて安全エンベロープの監視範囲は、図１３～１５に示されるモデルエンベロープＥｍ及び拡張エンベロープＥｅを包含する広い範囲に、設定される。ここで、第二車両２ｂにおける安全エンベロープの監視範囲、モデルエンベロープＥｍの範囲、及び拡張エンベロープＥｅの範囲は、それぞれ第一車両２ａにおける場合と同一又は相異の範囲に設定される。そこで、第二車両２ｂでの監視範囲では第一車両２ａ以外の他道路ユーザ３が認識されていないとの判定を、Ｓ１１１において第二車両２ｂのリスク監視ブロック１４０が下した場合には、図１７に示されるように第二車両２ｂでの今回フローがＳ１１５へ移行する。

　Ｓ１１５において第二車両２ｂのリスク監視ブロック１４０は、第一車両２ａからの警告情報Ｉｗを、第二車両２ｂの通信系６を通じた受信により取得したか否かを、判定する。Ｓ１１５において、警告情報Ｉｗを取得していないとの判定を第二車両２ｂのリスク監視ブロック１４０が下した場合には、第二車両２ｂでの今回フローが終了する。

　一方でＳ１１５において、警告情報Ｉｗを取得したとの判定を第二車両２ｂのリスク監視ブロック１４０が下した場合には、第二車両２ｂでの今回フローがＳ１１６，Ｓ１１７へ順次移行する。即ちＳ１１６，Ｓ１１７は、図１１，１２に示されるように第一車両２ａにおいて第二車両２ｂ以外の他道路ユーザ３との間のエンベロープ違反が認識されたにも関わらず、当該違反対象の他道路ユーザ３が第二車両２ｂにおいて検知外であった場合に、警告情報Ｉｗの取得にリアルタイムに対して応答して実行される。

　図１７に示されるようにＳ１１６では、第二車両２ｂのリスク監視ブロック１４０は、取得した警告情報Ｉｗを、第二車両２ｂのメモリ１０に記憶する。警告情報Ｉｗは、第一車両２ａでの生成時刻若しくは送信時刻、又は第二車両２ｂでの取得時刻（即ち受信時刻）を表すタイムスタンプと関連付けて記憶されることにより、複数時点での警告情報Ｉｗが蓄積されていってもよい。警告情報Ｉｗは、第二車両２ｂでの暗号化処理又はハッシュ化処理を経て、記憶されてもよい。警告情報Ｉｗは、エビデンス情報として記憶されてもよい。警告情報Ｉｗは、第一車両２ａでの生成時刻若しくは送信時刻、又は第二車両２ｂでの取得時刻から設定期間の経過により、削除されてもよい。

　Ｓ１１７における第二車両２ｂのリスク監視ブロック１４０は、第一車両２ａでの違反対象として警告情報Ｉｗの通知された、第二車両２ｂでは検知外の他道路ユーザ３と、第二車両２ｂとの間での安全エンベロープに関して、エンベロープ違反の有無を判定する。図１１に示されるように第二車両２ｂでは、拡張エンベロープＥｅの範囲外且つモデルエンベロープＥｍの範囲外に検知外の他道路ユーザ３の全体が存在している場合、エンベロープ違反は認識されない。そこでＳ１１７において、エンベロープ違反の無判定を第二車両２ｂのリスク監視ブロック１４０が下した場合には、第二車両２ｂでの今回フローが終了する。

　一方、図１２に示されるように第二車両２ｂでは、モデルエンベロープＥｍの範囲外において、拡張エンベロープＥｅの範囲内に検知外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としての拡張エンベロープ違反が認識される。また、図示はないが第二車両２ｂでは、拡張エンベロープＥｅの範囲内のうち、モデルエンベロープＥｍの範囲内に検知外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としてのモデルエンベロープ違反が認識される。これらの認識のため、状況情報Ｉｓ、又はそのうちの特にエンベロープ情報Ｉｓｅとして、第一車両２ａでの違反対象である他道路ユーザ３に関しての情報が、警告情報Ｉｗに付加されているとよい。第一車両２ａでの違反対象である他道路ユーザ３に関しての情報は、第二車両２ｂの通信系６を通じて、例えばリモートセンタ等から取得されてもよい。

　そこでＳ１１７において、モデルエンベロープ違反及び拡張モデル違反のいずれかに関する有判定を、第二車両２ｂのリスク監視ブロック１４０が下した場合には、第二車両２ｂでの今回フローがＳ１１８へ移行する。

　Ｓ１１８の第二車両２ｂにおいてリスク監視ブロック１４０は、不合理なリスクを回避させるための制約を、第二車両２ｂの運動制御に対して設定する。リスク回避のための制約は、第二車両２ｂを最小リスク状態へと移行させるための制約を与える、第二車両２ｂの制御ブロック１６０に対する制限指令であってもよい。但し、Ｓ１１７において認識されたエンベロープ違反が少なくとも拡張エンベロープ違反の場合には、そうした制約がＳ１１８において設定されず、例えば拡張エンベロープ違反の他道路ユーザ３に関する情報が、第二車両２ｂでの検知ブロック１００による検知情報として、第一車両２ａと共通認識されてもよい。Ｓ１１８の実行が完了すると、第二車両２ｂでの今回フローが終了する。

　ここまで、第一車両２ａが警告情報Ｉｗの送信側且つ第二車両２ｂが警告情報Ｉｗの受信側となる場合を、説明した。続いて、第二車両２ｂが警告情報Ｉｗの送信側且つ第一車両２ａが警告情報Ｉｗの受信側となる場合を、説明する。

　図１７に示されるように、第二車両２ｂでの監視範囲では第一車両２ａ以外の他道路ユーザ３が認識されているとの判定を、Ｓ１１１において第二車両２ｂのリスク監視ブロック１４０が下した場合には、第二車両２ｂでの今回フローがＳ１１２へ移行する。

　Ｓ１１２において第二車両２ｂのリスク監視ブロック１４０は、第二車両２ｂにおいて第一車両２ａ以外の他道路ユーザ３との間での安全エンベロープに関するエンベロープ違反を、第二車両２ｂの安全モデルに基づくことにより監視する。図１３に示されるように第二車両２ｂでは、拡張エンベロープＥｅの範囲外且つモデルエンベロープＥｍの範囲外に第二車両２ｂ以外の他道路ユーザ３の全体が存在している場合、エンベロープ違反は認識されない。そこでＳ１１２において、エンベロープ違反の無判定を第二車両２ｂのリスク監視ブロック１４０が下した場合には、図１７に示されるように、第二車両２ｂでの今回フローが終了する。

　Ｓ１１２でのエンベロープ違反の無判定後となる今回フロー終了前に、第二車両２ｂのリスク監視ブロック１４０は、Ｓ１１５に準じて警告情報Ｉｗの取得判定処理を実行することにより、第一車両２ａとの共通認識を図ってもよい。それと同様に、上述したＳ１０２でのエンベロープ違反の無判定後となる今回フロー終了前に、第一車両２ａのリスク監視ブロック１４０は、Ｓ１１５に準じて警告情報Ｉｗの取得判定処理を実行することにより、第二車両２ｂとの共通認識を図ってもよい。

　一方、図１４に示されるように第二車両２ｂでは、モデルエンベロープＥｍの範囲外において、拡張エンベロープＥｅの範囲内に第一車両２ａ以外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としての拡張エンベロープ違反が認識される。また、図１５に示されるように第二車両２ｂでは、拡張エンベロープＥｅの範囲内のうち、モデルエンベロープＥｍの範囲内に第一車両２ａ以外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としてのモデルエンベロープ違反が認識される。

　そこでＳ１１２において、モデルエンベロープ違反及び拡張モデル違反のいずれかに関する有判定を、第二車両２ｂのリスク監視ブロック１４０が下した場合には、図１７に示されるように、第二車両２ｂでの今回フローがＳ１１３，Ｓ１１４へ順次移行する。即ちＳ１１３，Ｓ１１４は、第二車両２ｂにおいて検知された、第一車両２ａ以外の他道路ユーザ３との間のエンベロープ違反が認識された場合に、実行される。

　Ｓ１１３において第二車両２ｂのリスク監視ブロック１４０は、警告情報Ｉｗの生成処理として、Ｓ１０３の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。Ｓ１１４において第二車両２ｂのリスク監視ブロック１４０は、警告情報Ｉｗの記憶処理として、Ｓ１０４の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。Ｓ１１４の実行が完了すると、第二車両２ｂでの今回フローが終了する。

　Ｓ１１４の実行前、又はＳ１１４の実行後の今回フロー終了前に第二車両２ｂのリスク監視ブロック１４０は、Ｓ１１５に準じて警告情報Ｉｗの取得判定処理を実行することにより、第一車両２ａとの共通認識を図ってもよい。それと同様に、上述したＳ１０４の実行前、又は上述したＳ１０４の実行後の今回フロー終了前に第一車両２ａのリスク監視ブロック１４０は、Ｓ１１５に準じて警告情報Ｉｗの取得判定処理を実行することにより、第二車両２ｂとの共通認識を図ってもよい。

　図１６に示されるように、第一車両２ａでの監視範囲では第二車両２ｂ以外の他道路ユーザ３が認識されていないとの判定を、Ｓ１０１において第一車両２ａのリスク監視ブロック１４０が下した場合には、第一車両２ａでの今回フローがＳ１０５へ移行する。

　Ｓ１０５において第一車両２ａのリスク監視ブロック１４０は、警告情報Ｉｗの取得判定処理として、Ｓ１１５の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。そこでＳ１０５において、警告情報Ｉｗを取得していないとの判定を第一車両２ａのリスク監視ブロック１４０が下した場合には、第一車両２ａでの今回フローが終了する。

　一方でＳ１０５において、警告情報Ｉｗを取得したとの判定を第一車両２ａのリスク監視ブロック１４０が下した場合には、第一車両２ａでの今回フローがＳ１０６，Ｓ１０７へ順次移行する。即ちＳ１０６，Ｓ１０７は、図１４，１５に示されるように第二車両２ｂにおいて第一車両２ａ以外の他道路ユーザ３との間のエンベロープ違反が認識されたにも関わらず、当該違反対象の他道路ユーザ３が第一車両２ａにおいて検知外であった場合に、警告情報Ｉｗの取得にリアルタイムに対して応答して実行される。

　図１６に示されるように、Ｓ１０６において第一車両２ａのリスク監視ブロック１４０は、警告情報Ｉｗの記憶処理として、Ｓ１１６の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。Ｓ１０７において第一車両２ａのリスク監視ブロック１４０は、エンベロープ違反の判定処理として、Ｓ１１７の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。

　図１４に示されるように第一車両２ａでは、拡張エンベロープＥｅの範囲外且つモデルエンベロープＥｍの範囲外に検知外の他道路ユーザ３の全体が存在している場合、エンベロープ違反は認識されない。そこでＳ１０７において、エンベロープ違反の無判定を第一車両２ａのリスク監視ブロック１４０が下した場合には、第一車両２ａでの今回フローが終了する。

　一方、図１５に示されるように第一車両２ａでは、モデルエンベロープＥｍの範囲外において、拡張エンベロープＥｅの範囲内に検知外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としての拡張エンベロープ違反が認識される。また、図示はないが第一車両２ａでは、拡張エンベロープＥｅの範囲内のうち、モデルエンベロープＥｍの範囲内に検知外の他道路ユーザ３の少なくとも一部分が存在している場合、エンベロープ違反としてのモデルエンベロープ違反が認識される。これらの認識のため、状況情報Ｉｓ、又はそのうちの特にエンベロープ情報Ｉｓｅとして、第二車両２ｂでの違反対象である他道路ユーザ３に関しての情報が、警告情報Ｉｗに付加されているとよい。第二車両２ｂでの違反対象である他道路ユーザ３に関しての情報は、第一車両２ａの通信系６を通じて、例えばリモートセンタ等から取得されてもよい。

　そこでＳ１０７において、モデルエンベロープ違反及び拡張モデル違反のいずれかに関する有判定を、第一車両２ａのリスク監視ブロック１４０が下した場合には、第一車両２ａでの今回フローがＳ１０８へ移行する。Ｓ１０８の第一車両２ａにおいてリスク監視ブロック１４０は、制約設定処理として、Ｓ１１８の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。Ｓ１０８の実行が完了すると、第一車両２ａでの今回フローが終了する。

　以上説明したように、第一実施形態において第一車両２ａの視点によると、ホスト移動体としての第一車両２ａでは、ターゲット移動体としての第二車両２ｂ以外の他道路ユーザ３との間でのＳＯＴＩＦを設定した安全エンベロープの、違反であるエンベロープが監視される。そこで、他道路ユーザ３との間のエンベロープ違反が認識された場合に第一車両２ａは、当該エンベロープ違反を警告する警告情報Ｉｗを、第二車両２ｂへと送信するように生成する。これによれば、他道路ユーザ３に関して第一車両２ａの警告するエンベロープ違反が第二車両２ｂにおいても共通認識され得るので、他道路ユーザに対する対応力の向上を促進することが可能となる。

　一方、第一実施形態において第二車両２ｂの視点によると、ホスト移動体としての第二車両２ｂでは、ターゲット移動体としての第一車両２ａにおいて第二車両２ｂ以外の他道路ユーザとの間でのＳＯＴＩＦを設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報Ｉｗが、第一車両２ａから取得される。そこで、警告情報Ｉｗの取得に応答して第二車両２ｂでは、他道路ユーザ３との間でのエンベロープ違反の有無が判定される。これによれば、他道路ユーザ３に関して第一車両２ａの警告するエンベロープ違反が第二車両２ｂにおいても共通認識されて、エンベロープ違反の有無判定に反映され得るので、他道路ユーザに対する対応力の向上を促進することが可能である。

　また、第一実施形態において第二車両２ｂの視点によると、ホスト移動体としての第二車両２ｂでは、ターゲット移動体としての第一車両２ａ以外の他道路ユーザ３との間でのＳＯＴＩＦを設定した安全エンベロープの、違反であるエンベロープが監視されることになる。そこで、他道路ユーザ３との間のエンベロープ違反が認識された場合に第二車両２ｂは、当該エンベロープ違反を警告する警告情報Ｉｗを、第一車両２ａへと送信するように生成することにもなる。これによれば、他道路ユーザ３に関して第二車両２ｂの警告するエンベロープ違反が第一車両２ａにおいても共通認識され得るので、他道路ユーザに対する対応力の向上を促進することが可能となる。

　一方、第一実施形態において第一車両２ａの視点によると、ホスト移動体としての第一車両２ａでは、ターゲット移動体としての第二車両２ｂにおいて第一車両２ａ以外の他道路ユーザとの間でのＳＯＴＩＦを設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報Ｉｗが、第二車両２ｂから取得されることになる。そこで、警告情報Ｉｗの取得に応答して第一車両２ａでは、他道路ユーザ３との間でのエンベロープ違反の有無が判定されることにもなる。これによれば、他道路ユーザ３に関して第二車両２ｂの警告するエンベロープ違反が第一車両２ａにおいても共通認識されて、エンベロープ違反の有無判定に反映され得るので、他道路ユーザに対する対応力の向上を促進することが可能である。

　（第二実施形態）
　第二実施形態は、第一実施形態の変形例である。

　図１８，１９にそれぞれ第一車両２ａ及び第二車両２ｂの場合が示される第二実施形態の処理方法では、Ｓ１００，Ｓ１１０の実行が省かれている。それに応じて処理方法では、第一車両２ａでのＳ２１０９，Ｓ２１２０，Ｓ２１２１及び第二車両２ｂでのＳ２１１９，Ｓ２１３０，Ｓ２１３１が追加されている。

　図１９に示されるように、Ｓ１１７でのエンベロープ違反の無判定後にもＳ１１８の実行後にも、Ｓ２１１９において第二車両２ｂのリスク監視ブロック１４０は、警告情報Ｉｗの取得を第一車両２ａへフィードバックするためのフィードバック情報Ｉｆを、生成する。フィードバック情報Ｉｆは、警告情報Ｉｗの取得を第二車両２ｂから第一車両２ａに対してプッシュ通知する、通知情報Ｉｎを含んでいてもよい。フィードバック情報Ｉｆは、Ｓ１０３の説明において第一車両２ａと第二車両２ｂとを逆に読み替えた状況情報Ｉｓが通知情報Ｉｎに付加された、複合的な情報であってもよい。即ち状況情報Ｉｓは、第二車両２ｂにおいて設定された安全エンベロープに関するエンベロープ情報Ｉｓｅを、含んでいてもよい。

　Ｓ２１１９において生成された警告情報Ｉｗは、第二車両２ｂのリスク監視ブロック１４０による通信系６の制御に従って、第二車両２ｂから第一車両２ａへ送信可能となる。換言すれば、第二車両２ｂのリスク監視ブロック１４０は、警告情報Ｉｗに対するフィードバック情報Ｉｆを、警告情報Ｉｗの取得に応答して第二車両２ｂから第一車両２ａへとリアルタイムに送信するように、生成する。Ｓ２１１９の実行が完了すると、第二車両２ｂでの今回フローが終了する。

　図１８に示されるように、Ｓ１０４に続くＳ２１２０において第一車両２ａのリスク監視ブロック１４０は、警告情報Ｉｗの送信から設定時間内において第二車両２ｂからのフィードバック情報Ｉｆを、第一車両２ａの通信系６を通じた受信により取得したか否かを、判定する。Ｓ２１２０において、フィードバック情報Ｉｆは取得されたとの判定を第一車両２ａのリスク監視ブロック１４０が下した場合には、第一車両２ａでの今回フローが終了する。

　こうしたＳ２１２０により第一車両２ａのリスク監視ブロック１４０は、第二車両２ｂとの共通認識が図られたことを、チェック可能となる。尚、Ｓ２１２０において第一車両２ａのリスク監視ブロック１４０は、フィードバック情報Ｉｆの取得に応答して、当該取得に対応する警告情報Ｉｗを第一車両２ａのメモリ１０から削除してもよい。あるいはＳ２１２０において第一車両２ａのリスク監視ブロック１４０は、Ｓ１０４の警告情報Ｉｗに対応して取得されたフィードバック情報Ｉｆを、第一車両２ａのメモリ１０に記憶してもよい。

　一方でＳ２１２０において、フィードバック情報Ｉｆは取得されていないとの判定を第一車両２ａのリスク監視ブロック１４０が下した場合には、第一車両２ａでの今回フローがＳ２１２１へ移行する。Ｓ２１２１において第一車両２ａのリスク監視ブロック１４０は、違反対象の他道路ユーザ３が第二車両２ｂにおいて検知外、又は当該他道路ユーザ３のエンベロープ違反が第二車両２ｂにおいて認識外である可能性に対して、不合理なリスクを回避させるための制約を、第一車両２ａの運動制御に対して設定する。リスク回避のための制約は、第一車両２ａを最小リスク状態へと移行させるための制約を与える、第一車両２ａの制御ブロック１６０に対する制限指令であってもよい。また、リスク回避のための制約は、第一車両２ａの速度の制限、加速度の制限、及び第一車両２ａが第二車両２ｂから遠ざかることのうち少なくとも一つの、軽微な制約であってもよい。このような制約設定処理は、例えば第二車両２ｂに処理システム１が非適用、又は第二車両２ｂに通信系６が非搭載等の要因により、第一車両２ａが自らからの警告情報Ｉｗの送信に対してフィードバック情報Ｉｆを取得できなかった場合には、より安全側のリスク回避行動を可能にする。Ｓ２１２１の実行が完了すると、第一車両２ａでの今回フローが終了する。尚、こうしてフィードバック情報Ｉｆが取得されずに今回フローが終了した第一車両２ａでは、次回フローのＳ１０２においてもエンベロープ違反が継続している場合、次回フローのＳ１０３において警告情報Ｉｗの生成及び送信が繰り返される。

　ここまで、第二車両２ｂがフィードバック情報Ｉｆの送信側且つ第一車両２ａがフィードバック情報Ｉｆの受信側となる場合を、説明した。続いて、第一車両２ａがフィードバック情報Ｉｆの送信側且つ第二車両２ｂがフィードバック情報Ｉｆの受信側となる場合を、説明する。

　図１８に示されるように、Ｓ１０７でのエンベロープ違反の無判定後にもＳ１０８の実行後にも、Ｓ２１０９において第一車両２ａのリスク監視ブロック１４０は、フィードバック情報Ｉｆの生成処理として、Ｓ２１１９の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。Ｓ２１０９の実行が完了すると、第一車両２ａでの今回フローが終了する。

　図１９に示されるように、Ｓ１１４に続くＳ２１３０において第二車両２ｂのリスク監視ブロック１４０は、フィードバック情報Ｉｆの取得判定処理として、Ｓ２１２０の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。そこでＳ２１３０において、フィードバック情報Ｉｆは取得されたとの判定を第二車両２ｂのリスク監視ブロック１４０が下した場合には、第二車両２ｂでの今回フローが終了する。

　こうしたＳ２１３０により第二車両２ｂのリスク監視ブロック１４０は、第一車両２ａとの共通認識が図られたことを、チェック可能となる。尚、Ｓ２１３０において第二車両２ｂのリスク監視ブロック１４０は、フィードバック情報Ｉｆの取得に応答して、当該取得に対応する警告情報Ｉｗを第二車両２ｂのメモリ１０から削除してもよい。あるいはＳ２１３０において第二車両２ｂのリスク監視ブロック１４０は、Ｓ１１４の警告情報Ｉｗに対応して取得されたフィードバック情報Ｉｆを、第二車両２ｂのメモリ１０に記憶してもよい。

　一方で２１３０において、フィードバック情報Ｉｆは取得されていないとの判定を第二車両２ｂのリスク監視ブロック１４０が下した場合には、第二車両２ｂでの今回フローがＳ２１３１へ移行する。Ｓ２１３１において第二車両２ｂのリスク監視ブロック１４０は、違反対象の他道路ユーザ３が第一車両２ａにおいて検知外、又は当該他道路ユーザ３のエンベロープ違反が第一車両２ａにおいて認識外である可能性に対する、リスク回避のための制約設定処理として、Ｓ２１２１の説明における第一車両２ａと第二車両２ｂとを逆に読み替えた処理を、実行する。このような制約設定処理は、例えば第一車両２ａに処理システム１が非適用、又は第一車両２ａに通信系６が非搭載等の要因により、第二車両２ｂが自らからの警告情報Ｉｗの送信に対してフィードバック情報Ｉｆを取得できなかった場合には、より安全側のリスク回避行動を可能にする。Ｓ２１３１の実行が完了すると、第二車両２ｂでの今回フローが終了する。尚、こうしてフィードバック情報Ｉｆが取得されずに今回フローが終了した第二車両２ｂでは、次回フローのＳ１１２においてもエンベロープ違反が継続している場合、次回フローのＳ１１３において警告情報Ｉｗの生成及び送信が繰り返される。

　このような第二実施形態では、第一車両２ａ及び第二車両２ｂの各リスク監視ブロック１４０を主体として、第一実施形態にＳ２１０９，Ｓ２１２０，Ｓ２１２１及びＳ２１１９，Ｓ２１３０，Ｓ２１３１のそれぞれ追加された処理方法が、実行される。故に、他道路ユーザに対する対応力の向上を促進することが可能である。

　（第三実施形態）
　第三実施形態は、第一実施形態の変形例である。

　図２０に示されるように第三実施形態の制御ブロック３１６０では、リスク監視ブロック１４０から安全エンベロープに関する判定情報の取得処理が、省かれている。そこで第三実施形態の計画ブロック３１２０は、リスク監視ブロック１４０から安全エンベロープに関する判定情報を取得する。計画ブロック３１２０は、エンベロープ違反なしとの判定情報を取得した場合に、計画ブロック１２０に準じて車両２の運転制御を計画する。一方、エンベロープ違反ありとの判定情報を取得した場合に計画ブロック３１２０は、計画ブロック１２０に準じた運転制御を計画する段階において、判定情報に基づく制約を当該運転制御に与える。即ち計画ブロック３１２０は、計画する運転制御に対して制限を与える。いずれの場合においても、計画ブロック３１２０により計画された車両２の運転制御を、制御ブロック３１６０が実行する。

　このような第三実施形態では、第一車両２ａ及び第二車両２ｂの各リスク監視ブロック１４０を主体として、第一実施形態に準ずる処理方法がそれぞれ実行される。故に、他道路ユーザに対する対応力の向上を促進することが可能である。尚、ここまでの第三実施形態は、第二実施形態と組み合わされてもよい。

　（第四実施形態）
　第四実施形態は、第三実施形態の変形例である。

　図２１に示されるように第四実施形態の計画ブロック４１２０には、リスク監視ブロック１４０による機能がリスク監視サブブロック４１４０として取り込まれている。計画ブロック４１２０は、リスク監視サブブロック４１４０によりエンベロープ違反なしとの判定情報を取得した場合に、計画ブロック１２０に準じて車両２の運転制御を計画する。一方、リスク監視サブブロック４１４０によりエンベロープ違反ありとの判定情報を取得した場合に計画ブロック４１２０は、計画ブロック１２０に準じた運転制御を計画する段階において、判定情報に基づく制約を当該運転制御に与える。即ち計画ブロック４１２０は、計画する運転制御に対して制限を与える。いずれの場合においても、計画ブロック４１２０により計画された車両２の運転制御を、制御ブロック３１６０が実行する。

　このような第四実施形態では、第一車両２ａ及び第二車両２ｂの各リスク監視サブブロック４１４０を主体として、第一実施形態に準ずる処理方法がそれぞれ実行される。故に、他道路ユーザに対する対応力の向上を促進することが可能である。尚、ここまでの第四実施形態は、第二実施形態と組み合わされてもよい。

　（第五実施形態）
　第五実施形態は、第一実施形態の変形例である。

　図２２に示されるように第五実施形態の制御ブロック５１６０では、リスク監視ブロック５１４０から安全エンベロープに関する判定情報の取得処理が、省かれている。そこで第四実施形態のリスク監視ブロック５１４０は、車両２に対して制御ブロック５１６０により実行された運転制御の結果を表す情報を、取得する。リスク監視ブロック５１４０は、運転制御の結果に対してエンベロープ違反の判定を実行することにより、当該運転制御を評価する。

　このような第五実施形態では、第一車両２ａ及び第二車両２ｂの各リスク監視ブロック５１４０を主体として、第一実施形態に準ずる処理方法がそれぞれ実行される。故に、他道路ユーザに対する対応力の向上を促進することが可能である。尚、ここまでの第五実施形態は、第二実施形態と組み合わされてもよい。但し、第五実施形態が第二実施形態と組み合わされる場合、Ｓ２１２１，Ｓ２１３１では、設定された制約に基づく運転制御の評価が実行される。

　（第六実施形態）
　第六実施形態は、第一実施形態の変形例である。

　図２３，２４に示されるように第六実施形態には、制御ブロック１６０による運転制御を、例えば安全性認可用等にテストするテストブロック６１８０が、追加されている。テストブロック６１８０には、検知ブロック１００及びリスク監視ブロック１４０に準ずる機能が、与えられる。テストブロック６１８０は、各ブロック１００，１２０，１４０，１６０を構築する処理プログラムに追加されるテストプログラムを、図２３に示される処理システム１が実行することにより、構築されてもよい。テストブロック６１８０は、各ブロック１００，１２０，１４０，１６０を構築する処理プログラムとは異なるテスト用の処理プログラムを、図２４に示されるように処理システム１とは異なるテスト用の処理システム６００１が実行することにより、構築されてもよい。ここでテスト用の処理システム６００１は、運転制御をテストするために処理システム１と接続される（通信系６を通じた接続の場合の図示は省略）、メモリ１０及びプロセッサ１２を有した少なくとも一つの専用コンピュータにより、構成されるとよい。

　このような第六実施形態では、第一車両２ａ及び第二車両２ｂの各テストブロック６１８０を主体として、第一実施形態に準ずる処理方法がそれぞれ実行される。故に、他道路ユーザに対する対応力の向上を促進することが可能である。尚、ここまでの第六実施形態は、第二実施形態と組み合わされてもよい。但し、第六実施形態が第二実施形態と組み合わされる場合、Ｓ２１２１，Ｓ２１３１では、設定された制約に基づくことにより、テストとしての運転制御の評価が実行される。
　（他の実施形態）

　以上、複数の実施形態について説明したが、本開示は、それらの実施形態に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において種々の実施形態及び組み合わせに適用することができる。

　変形例において処理システム１を構成する専用コンピュータは、デジタル回路、及びアナログ回路のうち、少なくとも一方をプロセッサとして含んでいてもよい。ここでデジタル回路とは、例えばＡＳＩＣ（Application Specific Integrated Circuit）、ＦＰＧＡ（Field Programmable Gate Array）、ＳＯＣ（System on a Chip）、ＰＧＡ（Programmable Gate Array）、及びＣＰＬＤ（Complex Programmable Logic Device）等のうち、少なくとも一種類である。またこうしたデジタル回路は、プログラムを記憶したメモリを、有していてもよい。

　変形例の処理方法においてＳ１０２，Ｓ１０７，Ｓ１１２，Ｓ１１７では、安全エンベロープとしてのモデルエンベロープＥｍ及び拡張エンベロープＥｅのうち、一方のみに関してエンベロープ違反の有無が判定されてもよい。この場合の処理方法においてＳ１０１，Ｓ１１０では、エンベロープ違反の判定対象となる、モデルエンベロープＥｍ又は拡張エンベロープＥｅを包含する範囲に、安全エンベロープの監視範囲が設定されるとよい。

　変形例の処理方法では、Ｓ１０４，Ｓ１１４による警告情報Ｉｗの記憶処理が省かれてもよい。変形例の処理方法では、Ｓ１０６，Ｓ１１６による警告情報Ｉｗの記憶処理が省かれてもよい。変形例の処理方法では、第二実施形態に準じて第一実施形態においても、Ｓ１００，Ｓ１１０による相互認証処理が省かれてもよい。

Claims

　ターゲット移動体（２ｂ，２ａ）と通信可能なホスト移動体（２ａ，２ｂ）の運転に関する処理を遂行するために、プロセッサ（１２）により実行される処理方法であって、
　前記ホスト移動体において前記ターゲット移動体以外の他道路ユーザ（３）との間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を監視することと、
　前記ホスト移動体において前記エンベロープ違反が認識された場合に、前記エンベロープ違反を警告する警告情報（Ｉｗ）を、前記ターゲット移動体へ送信するように生成することとを、含む処理方法。
　前記エンベロープ違反を監視することは、
　意図された機能の安全性をモデリングした安全モデルに基づく前記安全エンベロープとしてのモデルエンベロープ（Ｅｍ）に関して、前記エンベロープ違反を監視することを、含む請求項１に記載の処理方法。
　前記エンベロープ違反を監視することは、
　意図された機能の安全性をモデリングした安全モデルに基づく前記安全エンベロープに、物理ベースのマージンを付加した拡張エンベロープ（Ｅｅ）に関して、前記エンベロープ違反を監視することを、含む請求項１又は２に記載の処理方法。
　前記警告情報を生成することは、
　前記ターゲット移動体に対して前記エンベロープ違反をプッシュ通知する前記警告情報を、生成することを、含む請求項１～３のいずれか一項に記載の処理方法。
　前記警告情報を生成することは、
　前記ホスト移動体において設定された前記安全エンベロープに関するエンベロープ情報（Ｉｓｅ）の、付加された前記警告情報を生成することを、含む請求項１～４のいずれか一項に記載の処理方法。
　生成した前記警告情報を記憶することを、さらに含む請求項１～５のいずれか一項に記載の処理方法。
　前記ターゲット移動体から前記警告情報の取得をフィードバックするフィードバック情報（Ｉｆ）を、取得することを、さらに含む請求項１～６のいずれか一項に記載の処理方法。
　前記フィードバック情報が取得されない場合に、前記ホスト移動体に対する制約を設定することを、さらに含む請求項７に記載の処理方法。
　プロセッサ（１２）を含み、ターゲット移動体（２ｂ，２ａ）と通信可能なホスト移動体（２ａ，２ｂ）の運転に関する処理を遂行する処理システム（１）であって、
　前記プロセッサは、
　前記ホスト移動体において前記ターゲット移動体以外の他道路ユーザ（３）との間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を監視することと、
　前記ホスト移動体において前記エンベロープ違反が認識された場合に、前記エンベロープ違反を警告する警告情報（Ｉｗ）を、前記ターゲット移動体へ送信するように生成することとを、実行するように構成される処理システム。
　記憶媒体（１０）に記憶され、ターゲット移動体（２ｂ，２ａ）と通信可能なホスト移動体（２ａ，２ｂ）の運転に関する処理を遂行するために、プロセッサ（１２）に実行させる命令を含む処理プログラムであって、
　前記命令は、
　前記ホスト移動体において前記ターゲット移動体以外の他道路ユーザ（３）との間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を監視させることと、
　前記ホスト移動体において前記エンベロープ違反が認識された場合に、前記エンベロープ違反を警告する警告情報（Ｉｗ）を、前記ターゲット移動体へ送信するように生成させることとを、含む処理プログラム。
　ターゲット移動体（２ａ，２ｂ）と通信可能なホスト移動体（２ｂ，２ａ）の運転に関する処理を遂行するために、プロセッサ（１２）により実行される処理方法であって、
　前記ターゲット移動体において前記ホスト移動体以外の他道路ユーザ（３）との間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報（Ｉｗ）を、前記ターゲット移動体から取得することと、
　前記警告情報の取得に応答して、前記他道路ユーザとの間での前記エンベロープ違反の有無を判定することとを、含む処理方法。
　前記エンベロープ違反の有無を判定することは、
　意図された機能の安全性をモデリングした安全モデルに基づく前記安全エンベロープとしてのモデルエンベロープ（Ｅｍ）に関して、前記エンベロープ違反の有無を判定することを、含む請求項１１に記載の処理方法。
　前記エンベロープ違反の有無を判定することは、
　意図された機能の安全性をモデリングした安全モデルに基づく前記安全エンベロープに、物理ベースのマージンを付加した拡張エンベロープ（Ｅｅ）に関して、前記エンベロープ違反の有無を判定することを、含む請求項１１又は１２に記載の処理方法。
　前記エンベロープ違反の有無を判定することは、
　前記ホスト移動体において前記他道路ユーザが検知外であった場合に、前記警告情報の取得に応答して、前記他道路ユーザとの間での前記エンベロープ違反の有無を判定することを、含む請求項１１～１３のいずれか一項に記載の処理方法。
　前記警告情報を取得することは、
　前記ターゲット移動体から前記エンベロープ違反をプッシュ通知する前記警告情報を、取得することを、含む請求項１１～１４のいずれか一項に記載の処理方法。
　前記警告情報を取得することは、
　前記ターゲット移動体において設定された前記安全エンベロープに関するエンベロープ情報（Ｉｓｅ）の、付加された前記警告情報を取得することを、含む請求項１１～１５のいずれか一項に記載の処理方法。
　取得した前記警告情報を記憶することを、さらに含む請求項１１～１６のいずれか一項に記載の処理方法。
　前記警告情報の取得を前記ターゲット移動体へフィードバックするフィードバック情報（Ｉｆ）を、送信するように生成することを、さらに含む請求項１１～１７のいずれか一項に記載の処理方法。
　プロセッサ（１２）を含み、ターゲット移動体（２ａ，２ｂ）と通信可能なホスト移動体（２ｂ，２ａ）の運転に関する処理を遂行する処理システム（１）であって、
　前記プロセッサは、
　前記ターゲット移動体において前記ホスト移動体以外の他道路ユーザ（３）との間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報（Ｉｗ）を、前記ターゲット移動体から取得することと、
　前記警告情報の取得に応答して、前記他道路ユーザとの間での前記エンベロープ違反の有無を判定することとを、実行するように構成される処理システム。
　記憶媒体（１０）に記憶され、ターゲット移動体（２ａ，２ｂ）と通信可能なホスト移動体（２ｂ，２ａ）の運転に関する処理を遂行するために、プロセッサ（１２）に実行させる命令を含む処理プログラムであって、
　前記命令は、
　前記ターゲット移動体において前記ホスト移動体以外の他道路ユーザとの間での意図された機能の安全性を設定した安全エンベロープの、違反であるエンベロープ違反を警告する警告情報（Ｉｗ）を、前記ターゲット移動体から取得させることと、
　前記警告情報の取得に応答して、前記他道路ユーザとの間での前記エンベロープ違反の有無を判定させることとを、含む処理プログラム。