WO2019026633A1

WO2019026633A1 - 自律運転制御装置、自律移動車及び自律移動車制御システム

Info

Publication number: WO2019026633A1
Application number: PCT/JP2018/027037
Authority: WO
Inventors: 中田　啓明
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2017-07-31
Filing date: 2018-07-19
Publication date: 2019-02-07
Also published as: JP2019026067A; US11325586B2; DE112018002342T5; US20200198620A1; JP6838211B2

Abstract

本発明は、セキュリティ上のリスクを抑制しながら、一時的にインフラ設備が自動運転車の移動などの制御権限を取得可能とすることであり、さらに入庫あるいは出庫を行う場合に簡便な操作を実現する。本発明の制御装置は、自律的に移動する車両を制御する制御装置であって、外部システムからの指示に従い車両の移動を制御する機能を有し、外部システムからの指示に従い車両の移動を制御する機能を有効とする際に、外部システムと車両で通信を行い外部システムの正当性を認識し、外部システムと暗号通信を確立したことを認識し、外部システムによる車両の移動を車両のユーザが許可することを認識し、ユーザが車両の正規ユーザであることを認識する。

Description

自律運転制御装置、自律移動車及び自律移動車制御システム

　本発明は自律的に移動し駐車可能な自動車の制御装置、その制御装置により制御される自動車、当該自動車に指示を出す駐車管理施設等のインフラ設備、及び当該自動車とインフラ設備により構成されるシステムに関する。

　近年、自律的に移動する自動車、いわゆる自動運転車に関する技術開発の進展により、ドライバ不在であっても自動車を移動させ目的の場所に駐車させることが技術的には可能となってきている。この機能を活用し、駐車場で様々なサービスを提供したり、駐車場を効率的に利用したりすることが考えられている。

　特許文献１では自動運転車を用いて駐車場に駐車している車両を自動運転により出庫させる車両制御システムについて記載されており、駐車場内で洗車サービスや充電サービスを提供することも記載されている。

　特許文献２では通路を設けない駐車スペースを用意し、駐車管理施設から車両に指示を出して車両を移動することで効率的に駐車場を管理することが記載されている。

特開２０１５－２１９８１１号公報特開２０１６－６６０３号公報

　しかしながら、車両が駐車管理施設等のインフラ設備から提供される情報や指示に従って移動することは、車両の運転権限を持つ人（正規ユーザ）以外が車両を移動することになるので、車両の盗難防止やいたずら防止などセキュリティ上の対策が必要である。すなわち、正規ユーザの承諾に基づき、一時的にインフラ設備が当該車両の移動権限を得るなどの対策が必要である。この対策として特許文献２には駐車場入庫時にユーザ端末から車両と駐車管理施設に一時パスワードを送信し、一時パスワードにより認証を行いながら駐車管理施設と車両が通信を行い、駐車管理施設から車両を動かす方法が記載されている。

　しかしこの方法では、ユーザ端末は車両だけでなく駐車管理施設とも通信を行う必要があり、車両に付属する小型無線認証端末（車両の鍵に相当する端末、スマートキー等と呼ばれている）のような簡易なユーザ端末では対応が難しい。また、ユーザ端末からインフラ設備へ一時パスワードを送付する際、通信が傍受され一時パスワードが盗まれ、そのパスワードを用いて車両を制御される危険性がある。さらにインフラ設備になりすましてユーザ端末と通信を行い、一時パスワードを取得後、車両を制御される危険性もある。

　本発明の課題は、このようなセキュリティ上のリスクを抑制しながら、一時的にインフラ設備が自動運転車の移動などの制御権限を取得可能とすることであり、さらに当該環境に入庫あるいは出庫を行う場合に簡便な操作を実現することである。

　上記課題を解決するために、本発明は一例として、自律的に移動する車両を制御する制御装置であって、外部システムからの指示に従い前記車両の移動を制御する機能を有し、前記外部システムからの指示に従い前記車両の移動を制御する機能を有効とする際に、前記外部システムと前記車両で通信を行い前記外部システムの正当性を認識し、前記外部システムと暗号通信を確立したことを認識し、前記外部システムによる前記車両の移動を前記車両のユーザが許可することを認識し、前記ユーザが前記車両の正規ユーザであることを認識する。

　また、自律的に移動する車両であって、外部システムからの指示に従い移動する機能を有し、前記外部システムからの指示に従い移動を制御する機能を有効とする際に、前記外部システムと前記車両で通信を行い前記外部システムの正当性を確認し、前記外部システムと暗号通信を確立したことを認識し、前記外部システムの指示により移動を前記車両のユーザが許可することを認識し、前記ユーザが前記車両の正規ユーザであることを認識する。

　また、自律的に移動するように車両を制御するシステムであって、前記車両へ移動を指示して該車両の移動を有効化する際に、前記車両と通信を行い前記システムの正当性を前記車両に認識させて、暗号通信が確立したことを前記車両に認識させて、前記車両のユーザが前記車両の自律的な移動を許可することを前記車両に認識させて、前記ユーザが前記車両の正規ユーザであることを前記車両に認識させる

　本発明によれば、セキュリティ上のリスクを抑制しながら、一時的にインフラ設備が自動運転車の移動などの制御権限を取得可能とすることであり、さらに当該環境に入庫あるいは出庫を行う場合に簡便な操作を実現する。

自律移動車両、及び当該車両に指示を出すインフラ設備の全体構成の例自律運転制御装置のインフラからの制御に関する状態遷移の例入庫時のインフラ設備管理領域での車両及び車両ユーザの移動の例入口ゲートでのインフラ設備と車両の通信手順の例インフラ設備と車両でセキュリティを確保した通信の確立に伴う通信手順の例入庫時のユーザ端末、車両及びインフラ設備の間の通信手順の例インフラ設備による車両制御の許可をユーザに確認する際のタッチパネルディルプレイ表示例インフラ設備が提供するオプションサービスの利用をユーザに確認する際のタッチパネルディルプレイ表示例ユーザ端末の例入庫時のユーザ認証装置、自律運転制御装置、車両側通信装置の間の通信手順の例インフラ設備が駐車車両を移動する際の車両の移動の例インフラ設備が駐車車両を移動する際の車両とインフラ設備の通信手順の例出庫時のインフラ設備管理領域での車両及び車両ユーザの移動の例出庫時のユーザ端末、車両及びインフラ設備の間の通信手順の例インフラ設備の精算端末の例出庫時のユーザオプション端末、車両及びインフラ設備の間の通信手順の例入口ゲートでのインフラ設備と車両の通信におけるコマンドパラメータに含む情報の例インフラ設備と車両でセキュリティを確保した通信の確立に伴う通信における通信パケットの構成例インフラ設備と車両でセキュリティを確保した通信の確立に伴う通信におけるコマンドパラメータに含む情報の例インフラ設備と車両でセキュリティを確保した通信における通信パケットの構成例暗号化通信データとメッセージ認証符号の生成手順の例車両がインフラ設備管理領域から逸脱しようとした際の車両の移動例異常な移動を検出しインフラ設備の指示不能となった車両への車両ユーザ及び車両の移動例

　以下、本発明の実施形態について、図面を参照して説明する。

　図１を用いて本発明の一実施例のシステム構成について説明する。本実施例においてインフラ設備３００は主として車両１００を駐車する設備であることを想定している。

　インフラ設備３００はインフラ管理装置３３０がインフラ設備３００全体の管理及び制御を行い、インフラ設備３００が管理する領域、すなわちインフラ設備管理領域３０１に存在する車両１００の移動計画やリソースの割り当て計画、料金管理などを実施する。インフラ管理装置３３０に接続したゲート制御装置３５０はインフラ設備の入場口や出場口にあるゲートの開閉を制御する。精算端末７００はインフラ設備３００利用者が利用料金を現金で支払い、入庫中の車両を呼び出すために用いる端末である。

　インフラ側通信装置３１０はインフラ設備管理領域３０１に存在する車両１００や入出場する車両１００と通信を行う装置であり、認証付きの暗号通信を行う機能を有する。また、必要に応じて複数の通信手段を利用する機能を有する。例えば、入場ゲート１１付近で専用狭域通信（ＤＳＲＣ、Dedicated Short Range Communications）を用いてインフラ設備管理領域３０１に入場する車両１００一台毎にインフラ設備管理領域３０１内で用いる無線LANのネットワーク接続に必要な情報を確実に提供し、インフラ設備管理領域３０１内では無線LANを用いる構成の場合が考えられる。このような場合、インフラ側通信装置３１０は専用狭域通信と無線LANによる通信の機能を有する。

　入場ゲート１１で専用狭域通信を用い、車両一台毎に無線LAN接続情報を提供し、その接続情報を用いてインフラ設備管理領域３０１内では無線LANを用いることで、広い駐車場を効率的にカバーすることができる。尚、駐車場が特に広い場合には、無線LANの代わりに携帯電話網など他の通信手段を利用することも考えられる。

　ゲート制御装置３５０は入場ゲート１１、出場ゲート１２の設置個所数や配置により複数用意してもよく、精算端末７００も利用頻度、駐車場への車両の乗員の出入口の数や配置により複数用意してもよい。インフラ側通信装置３１０も駐車場の広さや通信手段により複数用意してもよいが、車両１００との通信に必要な情報は装置間で共有する。

　インフラ設備３００から制御可能な車両１００には、車両としての基本機能を実現するために、動力を提供する動力源２２０（エンジン、モータ及びその駆動回路など）、動力をタイヤに伝えるパワートレイン２３０、ブレーキを制御する制動装置２４０、進行方向を制御する操舵装置２５０、これらの制御を統括して行う車両制御装置２１０が存在する。車両制御装置２１０はエンジン制御用、操舵制御用、車両挙動制御用など複数の電子制御装置で構成される場合もある。

　車両制御装置２１０には車両の状態を表示し、車両の動作設定を行うための装置としてユーザインタフェース制御装置１９０が接続されており、その先にはユーザ２１に情報を提示し、ユーザ２１が操作を行うためのタッチパネルディスプレイ６００が接続されている。

　車両制御装置２１０にはユーザ認証装置１８０も接続されている。ユーザ認証装置１８０はユーザ２１を認証し車両１００の正規ユーザであるか確認する装置である。図９に示すような無線を用いた小型のユーザ端末４００（スマートキーなど）を車両１００の鍵として用いる場合、暗号通信によりユーザ端末４００の有無を確認する機能を有するとともに、ユーザ端末４００の存在位置が車内か車外かを判別する機能を有する。車内か車外かを判別するため、ユーザ認証装置１８０よりユーザ端末４００へ送信する電波には長波を用い、車両１００の車内と車外に適切にアンテナを設置して電界強度を適切に調整する。
ユーザ認証装置１８０は認証を行う部分、ユーザ認証装置１８０へ電波を送信する部分、ユーザ認証装置１８０の送信した電波を受信する部分など複数の装置により構成する場合もある。

　ユーザ認証装置１８０と通信を行うユーザ端末４００は図９に示すようなユーザ２１が携帯可能な装置で、車両１００のドアのロックに用いる「施錠」４１０ボタン、ドアのロックを解除する「開錠」４２０ボタン、必要に応じて車両１００のドアをロックした上で自律的な駐車の開始を指示する「駐車」４３０ボタンが存在する。またタッチした装置と情報を交換する近接無線通信用アンテナ４５０を有する。

　ユーザ認証装置１８０はユーザ端末４００を用いない構成も考えられる。例えば、車両のドア付近やエンジンなどの始動スイッチ部分に指紋や指静脈などの生体認証用センサを配置し、これらの生体認証用センサと接続することで、ユーザ端末４００の操作に代えて利用することができる。この場合、例えばタッチする場所や、タッチの方法（回数や長さ）、タッチする際の車両１００の状態でユーザ端末４００の各ボタンを押した動作に相当するか判断する。

　ユーザ認証端末１８０は、ユーザ端末４００を必要とする場合でも、ユーザ端末４００を用いる代わりに生体認証を用いる動作に対応しても良い。また、ユーザ認証端末４００のボタンを用いず、ユーザ認証端末４００の存在と車両１００に対する特定の操作（ドア付近のタッチなど）により、ユーザ端末４００のボタンを操作したことに対応させても良い。この場合、ユーザ端末４００から一部あるいは全部のボタンを省略しても良い。

　車両１００は自動バレーパーキングなど運転者不在であっても運転者に代わり車両を移動するために必要な制御を行う自律運転制御装置１３０を有する。自律運転制御装置１３０には車両の周辺の状態を把握する外界センサ１７０、詳細な地図情報を管理する地図情報管理装置１５０、現在位置を検出する車両位置検出装置１６０が接続されている。また、インフラ側通信装置３１０と通信可能な車両側通信装置１１０が接続されており、インフラ設備３００から情報や指示を受け取りインフラ設備３００へ応答することが可能である。自律運転制御装置１３０はこれら装置からの情報や指示を総合的に判断し、車両制御装置２１０へ車両１００の動作指示を出すことで、車両１００を目的の場所へ移動させることが可能である。

　自律運転制御装置１３０はユーザ認証装置１８０にも接続されており、車両１００の運転権限を持つ正規ユーザによる操作が行われているか確認することが可能となっている。
ユーザインタフェース制御装置１９０にも接続されており、自律運転に関する情報、インフラ設備３００からの情報及び通知などをユーザ２１に通知し、ユーザ２１からの応答を得ることも可能である。

　地図情報管理装置１５０はインフラ設備３００側から車両側通信装置１１０、自律運転制御装置１３０を経由して、インフラ設備管理領域３０１内での移動に必要な詳細地図情報を保持し、自律運転制御装置１３０の要求に従って、車両１００の周辺及び車両１００の移動方向に関する詳細地図情報を自律運転制御装置１３０に提供する機能を持つ。

　図２を用いて、本発明の一実施例にかかわる自律運転制御装置１３０の状態遷移を説明する。車両１００はインフラ設備３００との認証処理を行い、インフラ設備３００との暗号による通信が確立していない期間はインフラ制御禁止状態Ｓ１となる。車両側通信装置１１０とインフラ側通信装置３１０の通信により、車両１００がインフラ設備３００と認証し、暗号による通信が可能となり、インフラ設備３００が車両１００を制御する機能を有する場合、ユーザ意思確認状態Ｓ２へ移行する。

　ユーザ意思確認状態Ｓ２ではユーザ２１にインフラ設備３００が車両１００を制御可能であることを通知し、ユーザ２１にインフラ設備３００からの制御を許可してよいか確認する。ユーザ２１が不許可とした場合には、インフラ制御禁止状態Ｓ１へ移行する。

　ユーザ意思確認状態Ｓ２でユーザ２１が許可を選択し、ユーザ認証装置１８０により正規ユーザが車両１００に乗車中であることが確認できた場合には安全確認状態Ａ（Ｓ３）へ移行する。正規ユーザの乗車を確認できない場合は、確認できるまでユーザ意思確認状態Ｓ２から移行しない。

　ユーザ認証装置１８０により正規ユーザが乗車中であるか否かの判断は、ユーザ端末４００を用いて確認する方式の場合には、ユーザ端末４００が車内に存在するか否かで行う。ユーザ端末４００の代わりに生体認証を用いる場合には、前回認証した後に、運転席の着座が継続していれば正規ユーザが乗車中と判断し、一度でも着座未検出の期間があれば着座を検出しても正規ユーザの乗車不明と判断する。正規ユーザの乗車不明でユーザ２１の着座を検出している状態において、ユーザ認証を必要とする操作が行われた場合には、ユーザ２１にタッチパネルディスプレイ６００や音声により再認証を要求し、認証後正規ユーザが乗車中であると判断する。

　ユーザ意思確認状態Ｓ２でユーザ２１が不許可、許可の選択を完了せず、ユーザ意思確認状態Ｓ２で車両１００から降車した場合、安全確認状態Ｂ（Ｓ４）へ移行する。安全確認状態Ｂ（Ｓ４）の状態で、ユーザ２１が再度車両１００に乗車した場合は、ユーザ意思確認状態（Ｓ２）へ戻る。

　安全確認状態Ａ（Ｓ３）では、乗員全員が降車し、車両１００のロック操作（ユーザ端末４００保持状態で車両１００のドアノブ付近の特定の場所をタッチするなどの操作、あるいは指紋認証部分に触れるなど生体認証を伴うロック操作）、あるいはユーザ端末４００に存在する駐車ボタン４３０を押す操作が発生すると、車両１００はドアロックを行い、車両１００周辺の安全が確認して、インフラ制御許可状態Ｓ５へ移行する。

　安全確認状態Ｂ（Ｓ４）では、乗員全員が降車し、ユーザ端末４００に存在する駐車開始ボタンを押したことがユーザ認証装置１８０経由で伝わり、車両１００周辺の安全が確認できるとインフラ制御許可状態Ｓ５へ移行する。すなわち、車両１００の鍵に相当するユーザ端末４００の駐車ボタン４３０の操作により、ユーザ２１はインフラ設備３００が車両１００を制御することを許可したと判断する。

　安全確認状態Ｂ（Ｓ４）の場合、車両１００のロック操作（ユーザ端末４００保持状態で車両１００のドアノブ付近の特定の場所をタッチするなどの操作、あるいは指紋認証部分に触れるなど生体認証を伴うロック操作）では、インフラ設備３００が車両１００の制御の許可を求めていることをユーザ２１が認識していない可能性があるため、車両１００が音やハザードランプなどによりユーザ２１に警告を出す。その後、ロック操作を再度長め（2秒程度）に行ったことを検出して、車両１００周辺の安全が確認できると、インフラ制御許可状態Ｓ５へ移行する。

　インフラ制御許可状態Ｓ５では、車両１００はインフラ設備３００との暗号通信に基づく指示に従い、移動する。すなわち、自律運転制御装置１３０はインフラ設備３００から車両側通信装置１１０経由で入力される指示に従って、車両１００を動作させるべく車両制御装置２１０へ指示を出す。

　インフラ制御許可状態Ｓ５は、車両１００がインフラ設備管理領域３０１から出場する際にインフラ制御禁止状態Ｓ１に移行する。また、インフラ設備３００との通信において、１秒間に数回異常なデータを受け取るなどセキュリティ上に問題が発生している可能性を検出した際や、駐車場外への移動指示などインフラ設備３００側に何らかの異常があると判断した場合にもインフラ制御禁止状態Ｓ１へ移行する。さらに、ドアロックされていない状態やユーザ２１が乗車中は、インフラ制御許可状態Ｓ５であっても一時的にインフラ設備３００から車両１００に対する指示は禁止となる。

　尚、ユーザ端末４００を利用せず、生体認証を用いる場合の認証方法としては、指紋認証、指静脈認証など直接センサに触れる場合のほか、認証が必要なタイミングで眼の虹彩をカメラで認識して行うなどの方法でも良い。

　車両１００を入庫する際の動作を図３から図９を用いて説明する。図３はインフラ設備管理領域３０１内での車両１００の動きを示す。図４は車両１００がインフラ設備管理領域３０１に入場する際に、インフラ設備３００が車両１００を検出し初期通信を確立する通信手順、図５はインフラ設備３００と車両１００で暗号を用いセキュリティを確保した通信を確立する通信手順を示す。図６はセキュリティを確保した通信確立後、車両１００がいずれかの駐車枠５１に駐車するまでの車両１００とユーザ端末４００、及びインフラ設備３００の間での通信手順を示している。図７は車両１００がユーザ２１にインフラ設備３００からの制御を許可するか確認する際にタッチパネルディスプレイ６００に表示する内容の例、図８はインフラ設備３００が提供するサービスを車両１００のユーザ２１が選択する際のタッチパネルディスプレイ６００に表示する内容の例を示している。図９はユーザ端末４００の例である。

　車両１００がインフラ設備管理領域３０１に入場する際、入口ゲート１１を通過する。
この際、車両１００一台毎に個別に区別してインフラ設備３００が通信するために必要となる情報を図４に示す通信手順でインフラ設備３００と車両１００の間で行う。この通信には、専用狭域通信など車両１００とインフラ設備３００がまだ何も情報を交換していない状態であっても車両１００一台ごとを区別して通信できる通信手段を用いる。インフラ設備３００が車両１００一台ごとを識別することで、以降、インフラ設備３００はインフラ設備管理領域３０１にある車両１００一台ごとを選択して、指示を出すことができる。

　入口ゲート１１を通過する際、必要に応じて駐車券を発行する。この駐車券は出場時に車両１００を呼び出す際に対象車両を識別する上で必要な情報（インフラ設備３００が割当てる車両識別コード）を含めて記録しておく。車両１００のユーザ２１が車両１００から離れている際にも携帯する装置、例えばユーザ端末４００などに車両１００を呼び出す際に必要な情報を記録できる場合には、駐車券は発行しなくても良い。また、ユーザ２１が携帯するスマートフォンなどから、車両１００にアクセスすることで、車両１００の呼び出し動作を起動でいる場合は、車両１００が車両１００を呼び出す際に必要な情報を記録できる場合は、駐車券は発行しなくても良い。

　図４に示す通信手順で車両１００は通信手段変更通知Ｓ９０３を受信した際、受信内容で指定される通信手段での通信路の確立を行い、この際通信路のセキュリティを確保できるかの確認も行う。通信路の確立結果は通信手段変更応答Ｓ９０４でインフラ設備３００へ通知する。

　例えば通信手段を無線ＬＡＮへ変更し、セキュリティを確保した暗号通信を確立するために、図５に示すような通信手順を実施し、暗号通信に必要な情報を交換する。
図４の通信手順が完了した後、車両１００は車両１００のユーザ２１の運転操作によりインフラ設備管理領域３０１の乗降場１５へ移動する。また、図６に示す通信手順を開始し、車両１００のユーザ２１が降車する前に付加サービスリスト受領応答Ｓ９２２まで通信する。

　車両識別ＩＤ指定Ｓ９１５ではインフラ設備３００が車両１００を管理する際に利用する車両識別コードを誤り検出符号付きで車両１００に送信する。

　車両１００は車両識別コードを受信すると、車両識別コードに誤りがなければ保存する。誤りを検出した場合は、車両１００からインフラ設備１００に再送要求を送信するなどして、規定回数までリトライする。

　車両１００は車両識別コードを正常に受信し、ユーザ端末４００が車内にあり、かつ車両識別コードを記憶可能である場合には、車両識別ＩＤ保存要求Ｓ９８１を車両識別コードとその誤り検出符号と共にユーザ端末４００へ送信する。ユーザ端末４００は車両識別コードに誤りがなければ、有効な車両識別コードとして保存する。誤りを検出した場合、車両１００に再送要求を送信するなどして、規定回数までリトライする。ユーザ端末４００は正常に保存処理を完了すると、車両識別ＩＤ保存応答Ｓ９８２を車両へ送信する。

　車両１００はユーザ端末４００から車両識別ＩＤ保存応答Ｓ９８２を受信する、あるいはユーザ端末４００と通信を行わない場合は車両識別ＩＤ指定Ｓ９１５を受信した後、車両識別ＩＤ受領応答Ｓ９１６をインフラ設備３００へ送信する。

　車両識別コードをユーザ端末４００へ保存しておくことで、出庫時にインフラ設備３００の精算器７００のユーザ端末タッチ部７７０へユーザ端末４００をタッチすれば、インフラ設備３００は出庫対象の車両１００を識別することが可能となる。すなわち、出庫対象車両を特定するためにインフラ設備３００の駐車券の発行、ユーザ２１の駐車券の受領を省略でき、入庫時の利便性が向上する。

　ユーザ端末４００へ保存する車両識別コードを出庫時の車両呼び出しに用いる場合、万一コードが第三者に渡り第三者により車両呼び出しが発生する懸念がある。しかし、このような場合でも車両乗車時に車両１００の認証機能により車両１００の開錠は防止できる。しかし、車両１００に無駄な移動が発生するため、車両識別ＩＤ保存要求Ｓ９８１及び車両識別ＩＤ保存応答Ｓ９８２はセキュリティの確保できる暗号通信が望ましい。また、精算器７００タッチ時に発生するユーザ端末７００との近接通信にも暗号通信を用いるべきである。しかし、ユーザ端末４００の簡略化のため、暗号通信を用いる場合でも、車両１００からユーザ端末４００に車両識別コードを書き込む際には通信範囲が車内に限定され、精算器７００タッチ時は近接無線となることから、セキュリティレベルが低い簡易な暗号を用いることも考えられる。このような場合は、インフラ設備３００の利用に伴う精算を自動で行うことはできないようにするなど、配慮が必要である。

　車両識別コードに関する通信の後、インフラ内詳細地図情報Ｓ９１７でインフラ設備３００は車両１００へインフラ設備管理領域３０１の詳細地図情報を送信する。この情報は車両１００の地図情報管理装置１５０に保存され、車両１００が自律運転制御装置１３０の機能によりインフラ設備管理領域３０１を移動する際に参照する。

　車両１００はインフラ内詳細地図情報Ｓ９１７を正常に受信すると、インフラ内詳細地図受領応答Ｓ９１８をインフラ設備３００へ送信する。通信に異常がある場合には、再送要求をインフラ設備３００へ送信し、規定回数まで情報の取得をリトライする。

　次に、インフラ設備３００は提供可能付加サービスリストＳ９２１を車両１００へ送信する。車両１００は正常に受信すると、付加サービスリスト受領応答Ｓ９２２をインフラ設備３００へ送信する。通信に異常がある場合には、再送要求をインフラ設備３００へ送信し、規定回数まで情報の取得をリトライする。

　Ｓ９２２までの通信が完了すると自律運転制御装置１３０はユーザ意思確認状態Ｓ２へ移行し、インフラ設備３００から車両側通信装置１１０経由で取得した情報に基づいて、図７に示すようなメッセージ及び選択画面をユーザインタフェース制御装置１９０経由でタッチパネルディスプレイ６００に表示する。この表示により、車両１００のユーザ２１はインフラ設備３００が車両１００を制御する権限を求めていると分かり、またインフラ設備３００が提供するサービスについても把握できる。

　タッチパネルディスプレイ６００に表示されたメッセージに対し車両１００のユーザ２１が「不許可」ボタン６２１を選択すると、自律運転制御装置１３０はインフラ制御禁止状態Ｓ１に戻り、インフラ設備３００による車両１００の制御は無効となる。

　ユーザ２１が「許可」ボタン６２２を選択すると、自律運転制御装置１３０はユーザ端末４００が車内に存在するか確認するなどの方法で正規ユーザによる選択であるか確認した上で安全確認状態Ａ（Ｓ３）へ移行する。もし正規ユーザの操作を確認できない場合は、「ユーザ端末を車内においてください」などユーザ認証に必要な操作をユーザ２１に促し、ユーザ意思確認状態Ｓ２を維持する。

　車両１００のユーザ２１が「許可（オプションサービス利用）」ボタン６３０を選択すると、自律運転制御装置１３０は正規ユーザによる選択操作とみなせるか確認した上で図８に示すようなメッセージをタッチパネルディスプレイ６００に表示し、ユーザ２１にオプションサービスの選択を促す。

　ユーザ２１がオプション選択画面で「戻る」ボタン６６９を選択した場合には、前の画面（図７に示すような画面）を表示した状態に戻る。

　ユーザ２１がオプション選択画面で「充電」ボタン６５０や「洗車」ボタン６５１など利用オプション選択した後に「選択完了」ボタン６００を選択すると、自律運転制御装置１３０は安全確認状態Ａ（Ｓ３）へ移行する。

　ユーザ２１が図６及び図８に示すメッセージに対し操作を完了しない段階で車両１００より降車した場合、自律運転制御装置１３０は安全確認状態Ｂ（Ｓ４）に移行する。この状態でユーザ２１が車両１００に再乗車した場合、自律運転制御装置１３０はユーザ意思確認状態Ｓ２に戻り、ユーザ２１にタッチパネルディスプレイの操作を継続させる。

　自律運転制御装置１３０が安全確認状態Ａ（Ｓ３）において、ユーザ２１が車両１００の特定箇所に触れるなどの車両１００への直接操作でドアロック操作が行われ、直接操作でドアロックが正常に行われたことが自律運転制御装置１３０に通知されると、自律運転制御装置１３０は着座センサなどを用いて車両１００の乗員全員の降車を確認、外界センサ１７０を用いて車両１００周辺に障害物が存在しないことを確認した上で、インフラ制御許可状態Ｓ５へ移行する。

　自律運転制御装置１３０が安全確認状態Ａ（Ｓ３）において、ユーザ端末４００の「駐車」ボタン４３０が押された場合も車両１００のドアはロックされ、「駐車」４３０ボタンでドアロックが正常に行われたことが自律運転制御装置１３０に通知されると、着座センサなどを用いて車両１００の乗員全員の降車を確認、外界センサ１７０を用いて車両１００周辺に障害物が存在しないことを確認し、インフラ制御許可状態Ｓ５へ移行する。

　自律運転制御装置１３０が安全確認状態Ａ（Ｓ３）において、ユーザ端末４００の「施錠」４１０ボタンが押された場合も車両１００のドアをロックする。「施錠」４１０ボタンによりドアロックが正常に行われたことが自律運転制御装置１３０に通知されると、その後「駐車」ボタン４３０を押すことを促すために、自律運転制御装置１３０は音やハザードランプなどで注意を促す動作をするよう車両１００内の他の制御装置へ指示を出し、「駐車」ボタン４３０が押されるのを待機する。その後、「駐車」ボタン４３０が押されたことが自律運転制御装置１３０に通知されると、車両１００の乗員全員の降車を確認、外界センサ１７０を用いて車両１００周辺に障害物が存在しないことを確認し、インフラ制御許可状態Ｓ５へ移行する。

　自律運転制御装置１３０が安全確認状態Ｂ（Ｓ４）において、ユーザ２１が車両１００の特定箇所に触れるなどの車両１００への直接操作でドアロック操作が行われ、直接操作でドアロックが正常に行われたことが自律運転制御装置１３０に通知されると、自律運転制御装置１３０は音やハザードランプなどで注意を促す動作をするよう車両１００内の他の制御装置へ指示を出す。その後、再度車両１００への直接操作により長めのドアロック操作が行なわれ、その操作があったことが自律運転制御装置１３０に通知されると、車両１００の乗員全員の降車を確認、外界センサ１７０を用いて車両１００周辺に障害物が存在しないことを確認し、インフラ制御許可状態Ｓ５へ移行する。

　自律運転制御装置１３０が安全確認状態Ｂ（Ｓ４）において、ユーザ端末４００の「駐車」ボタン４３０あるいは「施錠」４１０ボタンが押された場合が押された場合の動作は、それぞれ安全確認状態Ａ（Ｓ３）における動作と同じとなる。

　安全確認状態Ｂ（Ｓ４）の状態ではユーザ２１がインフラ３００に対して車両１００の制御を許可しているか未確認状態であるため、少なくともインフラ制御許可状態Ｓ５に移行する際には、正規ユーザによる操作であることを確認し、確認できない場合はインフラ制御許可状態Ｓ５には移行しない。正規ユーザの意思確認を行うため、自律運転制御装置１３０に対する施錠や駐車に関連する通知には、ユーザ認証を伴う操作であったか否かの情報を含める。この際、正規ユーザの確認には、鍵に相当するユーザ端末４００に対する操作であれば、その操作自体で確認できる。車両１００に特定箇所に触れるような車両１００への直接操作では、操作箇所近傍におけるユーザ端末４００の存在確認、あるいは操作時の生体認証などにより行う必要がある。但し、正規ユーザの認証が行われた場合でも、車両１００の特定箇所に触れるなど、ユーザ２１が自らの操作によりインフラ設備３００に対する車両１００の制御許可となるか否か明確に意識できない操作では、再確認に相当する操作を要求するなど配慮が必要である。

　いずれの場合においても、インフラ制御許可状態Ｓ５へ移行しようとした際に、乗員全員の降車を確認できない場合、自律運転制御装置１３０は音やハザードランプなどで注意を促す動作をするよう車両１００内の他の制御装置に指示を出し、インフラ制御許可状態Ｓ５へは移行せず、乗員の降車を促す。また、車両１００のドアの一部でも完全に閉まっていない場合や、ユーザ端末４００が車内に存在する場合、車両１００の特定箇所に触れるなどの直接操作、ユーザ端末４００による操作にかかわらず、ドアロック操作が行われても、ドアロックは行わず、ユーザ２１に音やハザードランプなどで注意を促す。

　自律運転制御装置１３０がインフラ制御許可状態Ｓ５へ移行すると、車両１００からインフラ設備３００に対し移動指示有効通知Ｓ９２３を送信し、その応答としてインフラ設備３００から車両１００に移動指示有効応答Ｓ９２４を返す。車両１００とインフラ設備３００の通信がここまで完了すると、インフラ設備３００の指示により車両１００を制御、すなわち移動させることが可能な状態になる。

　インフラ設備３００から車両１００の制御が可能になった後、車両１００から入庫要求Ｓ９２５をインフラ設備３００に送信すると、インフラ設備３００は車両１００を駐車する駐車枠５１を決定し、そこに至る大まかな走行経路（利用する車路）を決定する。この決定に基づいて車両１００を移動するために、インフラ設備３００から車両１００へ移動経路や移動先の情報を含む入庫移動指示Ｓ９２６を送信する。入庫移動指示Ｓ９２６を受信した車両１００は、通信に異常がないことを確認した後に、その指示に従い車両１００が動作するよう自動運転制御装置１３０が車両制御装置２１０へ指示を出す。通信異常を検出した場合にはインフラ設備３００に再送要求を送信し、規定回数通信をリトライする。

　車両１００は自律運転制御装置１３０の機能により入庫移動指示Ｓ９２６で指示された位置への移動が完了すると、入庫移動完了通知Ｓ９２７をインフラ設備３００へ送信する。

　インフラ設備３００は入庫に伴い追加の移動が必要な場合は、再度入庫移動指示Ｓ９２６を車両１００へ送信する。すなわち、必要な回数、入庫移動指示Ｓ９２６と入庫移動完了通知Ｓ９２７の通信手順を繰り返す。入庫移動の指示を複数回に分けることが可能であると、例えば複数の車両１００をインフラ設備管理領域３０１内で同時に移動する際、各々の車両１００の実際の移動状況などで発生する走行通路の混雑具合に応じて適宜各車両１００の移動経路を更新できる利点がある。例えば、駐車枠５１へ車両１００を移動させる際に、後退動作に入る前までの移動指示をまず出し、他の車両の移動を勘案したタイミングで駐車枠５１までの入庫移動指示Ｓ９２６を改めて送信することも可能である。

　自動運転制御装置１３０は車両１００が移動する際には、外界センサ１７０を利用し、車両１００周辺を確認して障害物など移動に危険がないか常に監視し、危険がある場合は減速、一時停止、小さな経路変更などにより危険回避する。危険回避動作はインフラ設備３００からの指示に優先して行う。

　ユーザ２１がインフラ設備３００の提供するオプションサービスを利用する場合、インフラ設備３００はオプションサービスに用いる場所や機材の時間割り当てを計画し、もし入庫すぐに割り当てたサービスが利用可能な場合は、通常の駐車枠５１の代わりに、サービスを提供する場所（充電サービスであれば充電駐車枠６５のいずれか、洗車であれば洗車場所６０など）への走行経路を決定し、車両１００へ指示を出す。

　入庫に必要な車両１００の移動が完了すると、インフラ設備３００は車両１００へ入庫シーケンス完了通知Ｓ９２８を送信し、車両１００はその応答として入庫シーケンス完了応答Ｓ９２９をインフラ設備３００へ送信する。

　車両１００は入庫シーケンス完了応答Ｓ９２９を送信後、パワートレイン２３０を駐車に対応する状態にし、動力源２２０を停止（モータの場合、駆動回路の主電源を停止）し、制動装置２４０を駐車状態に設定して、インフラ設備３００からの次回以降の指示待ち状態となる。

　尚、図５に示す車両１００とインフラ設備３００がセキュリティを確保した通信を確立する際の通信手順は、専用狭域通信で実施する方法も考えられ、この場合、図４に示す通信手段変更通知Ｓ９０３から通信手段変更応答Ｓ９０４の通信手順は図５に示す通信手順完了の後に行い、通信手段変更後も暗号に用いる鍵など暗号通信に必要な情報を引き継ぐ。

　図４、図５の車両１００とインフラ設備３００との通信手順、及び図６に示す車両１００、インフラ設備３００、ユーザ端末４００との通信手順と関連付けて、図１０を用い車両１００の内部における自律運転制御装置１３０、ユーザ認証装置１８０及び車両側通信装置１１０間の信号の通信手順を用いて説明する。

　車両１００がインフラ設備３００やユーザ端末４００と通信する際、インフラ設備３００は車両１００に搭載される車両側通信装置１１０、ユーザ端末４００は車両１００に搭載されるユーザ認証装置１８０と通信を行う。

　インフラ設備３００が車両１００と通信する際、インフラ設備３１０はインフラ側通信装置３１０を用いる。

　インフラ設備３００が車両側通信装置１１０から送信される車両存在信号Ｓ９００を受信し、応答として外部連携自律運転対応確認Ｓ９０１を車両側通信装置１１０へ送信すると、外部連携自律運転対応確認Ｓ９０１を受信した車両側通信装置１１０は自律運転制御装置１３０に外部連携機能確認Ｓ５０１を送信する。外部連携機能確認Ｓ５０１を受信した自律運転制御装置１３０は、その応答として、車両１００外部との連携機能に関する情報を含めて外部連携機能応答Ｓ５０２を車両側通信装置１１０に送信する。車両側通信装置１１０は、受け取った外部との連携機能に関する情報に対応した情報を含めて、外部連携自律運転対応応答Ｓ９０２をインフラ設備３００へ送信する。

　インフラ設備３００は外部連携自律運転対応応答Ｓ９０２の内容よりインフラ設備３００が車両１００に外部から移動を制御する機能を有すると判断すると、インフラ設備３００は車両１００の制御権を獲得する要求も含めた意味で、インフラ設備３００が車両１００へ移動を指示する際の通信路を確立すべく、通信手段変更通知Ｓ９０３を車両側通信装置１１０へ送信する。この際、変更先の通信路の種類、通信に必要な情報、例えば、無線LANを用いる場合、利用する周波数帯、無線LAN利用に必要なSSIDや無線LAN接続用の認証情報を含める。

　通信手段変更通知Ｓ９０３を受信した車両側通信装置１１０は、指定された通信手段での通信接続を確認し、確認できたら、応答として通信手段変更応答Ｓ９０４をインフラ設備３００に送信する。もし、指定された通信路で接続できない場合、その旨インフラ設備３００へ送信し、代替通信手段がある場合は、その手段を指定して再度通信手段変更通知Ｓ９０３を車両１００に送信して、通信路の確立を試みることを繰り返す。もし全ての通信手段が利用できない場合は、インフラ設備３００は車両１００の制御権獲得を諦め、その旨車両側通信装置１１０へ通知する。この通知を受信した車両側通信装置１１０は自律運転制御通知１３０に通知し、自律運転制御装置１３０はインフラ設備３００に車両１００を制御する権利を与えることを諦める。

　インフラ設備３００が車両１００へ移動を指示する際の通信路を確立したら、車両側通信装置１１０とインフラ設備３００の間で通信のセキュリティを確保するために図５に示す通信手順に従い通信を行う。この際、車両側通信装置１１０はインフラ側の電子証明書をインフラ証明書Ｓ９０７で受信し、内容を予め記録されている情報や、必要に応じてセキュリティの確保された通信手段で信頼済みの通信機能を持つ外部装置に問い合わせることで、インフラ設備３００の正当性を確認する。インフラ設備３００の正当性を確認することで、インフラ設備３００以外がインフラ設備３００に成りすまして車両１００の制御権を取得することを防止する。

　通信のセキュリティを確保した後、インフラ設備３００から出庫するまで、車両１００とインフラ設備３００の以降の通信は、セキュリティを確保した通信手段である、認証付き暗号通信を用いる。

　通信のセキュリティ確保後、まずインフラ設備３００から送信される車両識別ＩＤ指定Ｓ９１５を車両側通信装置１１０が受信すると、その内容に含まれる車両識別コードを車両側通信装置１１０から自律運転制御装置１３０へ車両識別ＩＤ（Ｓ５１１）の内容に含めて送信する。車両識別ＩＤ（Ｓ９１１）を受信した自律運転制御装置１３０は車両識別コードを保存し、さらに車両識別ＩＤ保存処理要求Ｓ５７１でその情報をユーザ認証装置１８０へ送信する。

　ユーザ認証装置１８０は車両識別ＩＤ保存処理要求Ｓ５７１を受信すると、自ら車両識別コードを保存すると共に、ユーザ端末４００と通信して車両識別コードをユーザ端末４００に保存し、ユーザ端末４００に保存が完了したことを確認して、車両識別ＩＤ保存完了通知Ｓ５７２を車両識別ＩＤ保存処理要求Ｓ５７１に対する応答として、自律運転制御装置１３０へ送信する。

　尚、ユーザ端末４００が存在しない構成の場合は、ユーザ認証装置１８０は車両識別コードを保存するだけで、車両識別ＩＤ保存完了通知Ｓ５７２を自律運転制御装置１３０へ送信する。

　車両識別ＩＤ保存完了通知Ｓ５７２を自律運転制御装置１３０が受信すると、車両識別ＩＤ保存完了Ｓ５１２を車両識別ＩＤ（Ｓ５１１）の応答として車両側通信装置１１０へ送信する。車両側通信装置１１０は車両識別ＩＤ保存完了Ｓ５１２を受信すると、車両識別ＩＤ受領応答Ｓ９１６をインフラ設備３００へ送信する。

　インフラ装置３００からインフラ設備管理領域３０１内の移動に必要な地図情報を内容に持つインフラ内詳細地図情報Ｓ９１７を車両側通信装置１１０が受信すると、車両側通信装置１１０はインフラ内詳細地図Ｓ５１３でその内容を自律運転制御装置１３０へ送信する。その内容を受信した自律運転制御装置１３０は地図情報管理装置１５０へ情報を送信し、地図情報管理装置１５０によりインフラ内での移動に必要な地図情報として管理する。

　自律運転制御装置１３０は地図情報管理装置１５０に地図情報が保存されたことを確認すると、インフラ内詳細地図Ｓ５１３に対する応答として詳細地図保存応答Ｓ５１４を車両側通信装置１１０へ送信する。詳細地図保存応答Ｓ５１４を受信した車両側通信装置１１０はインフラ内詳細地図受領応答Ｓ９１８をインフラ内詳細地図情報Ｓ９１７に対尾する応答としてインフラ設備３００へ送信する。

　インフラ内の地図情報はデータ量が多い場合があるので、必要に応じてインフラ設備３００がインフラ内詳細地図情報Ｓ９１７を送信してからインフラ内詳細地図受領応答Ｓ９１８を受信するまでの手順を複数回繰り返すことで、地図情報を分割して通信する場合もある。このような場合、車両側通信装置１１０と自律運転制御装置１３０の間でもインフラ内詳細地図Ｓ５１３から詳細地図保存応答Ｓ５１４の通信手順を繰り返しても良い。尚、インフラ設備３００と車両側通信装置１１０の繰り返し回数と、車両側通信装置１００と自律運転制御装置１３０の繰り返し回数は、車両側通信装置１１０内部でパケットの分割や統合などを行えば、必ずしも一致しなくてよい。

　インフラ設備管理領域３０１の詳細地図情報の通信後、インフラ設備３００はインフラ設備３００が提供可能な付加サービスの情報を内容に持つ提供可能付加サービスリストＳ９２１を車両側通信装置１１０へ送信する。提供可能付加サービスリストＳ９２１を車両側通信装置１１０が受信すると、その情報を付加サービス情報Ｓ５１５として自律運転制御装置１３０へ送信する。

　自律運転制御装置１３０はこの段階で、ユーザ２１がインフラ設備３００による車両１００の制御を受け入れるか否かユーザインタフェース制御装置１９０及びタッチパネルディスプレイ６００を介してユーザに問い合わせる。また、ユーザ認証装置１８０にユーザ確認要急Ｓ５７３を送信し、ユーザ２１が車両１００の正規ユーザであるか問い合わせ、その確認結果としてユーザ確認応答Ｓ５７４を受信する。

　ユーザ認証装置１８０はユーザ２１が正規ユーザであるかの確認は、ユーザ端末４００を用いる場合にはユーザ端末４００が車内に存在するか確認、生体認証を用いる場合は、認証後ユーザ２１が車両から離れた可能性がないか確認した上で、離れた形跡があれば認証操作をユーザ２１に促し、再度認証を実施するなどして実施する。

　この段階でユーザ２１のインフラ設備３００による車両１００の制御を受け入れるか否か確認することで、インフラ設備３００が車両１００を移動可能であることを前提とした付加サービスをユーザ２１に選択可能とさせるか否か決定することができる。

　選択可能な付加サービスがある場合、ユーザインタフェース制御装置１９０及びタッチパネルディスプレイ６００を介して、サービス利用の有無をユーザ２１に問い合わせ確認する。その後、ユーザの選択したサービスの情報を内容に含めサービス情報受領応答Ｓ５１６を車両側通信装置１１０に送信する。サービス情報受領応答Ｓ５１６を受信した車両側通信装置１１０は、ユーザ２１の選択したサービス情報を含めて付加サービスリスト受領応答Ｓ９２２としてインフラ設備３００へ送信する。

　インフラ設備３００は受信した付加サービスリスト受領応答Ｓ９２２に含まれるユーザ２１の選択したサービス情報を元に、インフラ設備内の場所や設備の利用時間割当てや駐車枠の割り当て、車両１００がインフラ設備管理領域３０１内で移動する際の計画を行い、計画及びサービス提供設備の実際の空き状況に基づいて車両１００を移動制御することになる。

　ユーザ２１がインフラ設備３００による車両１００の制御許可を確認した状態、あるいは制御の許可に相当する操作を伴う形で、ユーザ２１が車両１００に対して駐車の操作を行うと、ユーザ認証装置１８０からインフラ設備３００に車両１００の制御の許可に相当するユーザ２１の操作が含まれるか否か区別する情報を含めて、入庫要求信号Ｓ５７５が自律運転制御装置１３０へ送信される。

　入庫要求信号Ｓ５７５を受信した自律運転制御装置１３０は安全確認状態Ａ（Ｓ３）であれば、ユーザ２１が駐車の操作を行った際に正規ユーザであることの認証処理の有無にかかわらず、安全確認状態Ｂ（Ｓ４）であればユーザ２１が駐車の操作を行った際に正規ユーザであることの認証ができた場合に限定して、車内に乗員がいないことや車両周辺の安全を確認して、インフラ制御許可状態Ｓ５に移行する。そして、移動指示許可通知Ｓ５２２を車両側通信装置１１０へ送信する。移動指示許可通知Ｓ５２２を受信した車両側通信装置１１０は入庫要求Ｓ９２５をインフラ設備３００へ送信する。

　入庫要求Ｓ９２５を受信したインフラ設備３００は、入庫に必要な移動指示を車両１００に対して開始する。すなわち、移動先や移動経路の情報を含む入庫移動指示Ｓ９２６を送信する。入庫移動指示Ｓ９２６を受信した車両側通信装置１１０は移動先や移動経路の情報を移動指示情報Ｓ５３１として自律運転制御装置１３０へ送信し、移動指示情報Ｓ５３１を受信した自律運転制御装置１３０はその指示に従って車両１００が移動するよう車両制御装置２１０に指示を出し、車両１００を移動させる。移動に際しては、地図情報、車両位置情報、外界サンサ情報を利用し、安全確保を第一に考慮して、走行経路調整や一時停止を含む走行速度制御を行う。例えば、移動に危険を検出した場合、危険を回避できない場合は、危険な状態が終わるまで、移動を一時停止する。

　車両１００が指示された場所まで移動完了した後、自律運転制御装置１３０は移動完了時の実際の位置に関する情報を含め、移動完了情報Ｓ５３２を車両側通信装置１１０へ送信する。移動完了情報Ｓ５３２を受信した車両側通信装置１１０は、移動完了位置情報を含め入庫移動完了通知Ｓ９２７をインフラ設備３００へ送信する。

　入庫移動完了通知Ｓ９２７を受信したインフラ設備３００は追加の移動が必要であれば再度入庫移動指示Ｓ９２６を出す。インフラ設備３００が入庫移動指示Ｓ９２６を送信し、入庫移動完了通知Ｓ９２７を受信するまでの手順は必要により繰り返される。繰り返すことで、通信情報量が多い場合に通信を分割したり、インフラ設備３００が車両１００の移動状況から経路や移動先を動的に変更したりすることに対応することができる。

　インフラ設備３００は車両１００が入庫動作の最終目的地への移動の完了を確認すると、入庫シーケンス完了通知Ｓ９２８を車両側通信装置１１０へ送信する。入庫シーケンス完了通知Ｓ９２８を受信した車両側通信装置１１０は入庫シーケンス完了Ｓ５２６を自律運転制御装置１３０へ送信する。自律運転制御装置１３０は入庫シーケンス完了Ｓ５２６を受信すると、車両制御装置２１０へ指示してパワートレイン２３０を駐車に対応する状態にし、動力源２２０を停止(モータの場合、駆動回路の主電源を停止)し、制動装置２４０を駐車に対応する状態にする。

　自律運転制御装置１３０は車両１００が駐車状態となったのを確認した後、入庫完了了解通知Ｓ５２７を車両側通信装置１１０へ送信し、次の移動指示に関連した要求を受信するまで待機状態となる。入庫完了了解通知Ｓ５２７を受信した車両側通信装置は入庫シーケンス完了応答Ｓ９２９をインフラ設備３００に送信する。インフラ設備３００は入庫シーケンス完了応答Ｓ９２９を受信することで、車両１００の入庫処理が完了したと判断する。

　尚、車両側通信装置１１０及びインフラ設備３００はセキュリティを確保した通信に必要な暗号キーなどの情報は、車両１００がインフラ設備３００から出庫するまで保持する。

　図１１及び図１２を用いて、インフラ設備３００が制御権を持つ車両１００が駐車状態からインフラ設備３００の指示に従い移動する際の動作を説明する。図１１は車両１００がインフラ設備管理領域３０１の中で駐車枠５１から別の駐車枠５１へ移動する動作を示しており、図１２がその際の車両１００とインフラ設備３００との通信手順を示している。車両１００の内部では入庫時と同様に車両側通信装置１１０を用いてインフラ設備３００と通信し、車両側通信装置１１０が自律運転制御装置１３０と適宜通信することで、自律運転制御装置１３０がインフラ設備３００の指示に従うよう車両制御装置２１０に指示を出し車両１００を動作させる。この際、安全確保を第一に車両１００を動作させるのも入庫時と同様である。

　駐車状態の車両１００は、まずインフラ設備３００より移動開始要求Ｓ９５１を受信することで、車両１００を移動させる準備を開始する。すなわち動力源２００が停止している場合、動力源２２０を起動する。動力源２２０が正常に起動すると車両１００は応答として移動開始応答Ｓ９５２をインフラ設備３００へ送信する。もし動力源２２０が起動できない場合は、インフラ設備３００にその旨送信し、インフラ設備３００及び車両１００は車両１００の移動を諦める。

　移動開始応答Ｓ９５２を受信したインフラ設備３００は移動経路や移動先の情報を含む移動指示Ｓ９５３を送信する。移動指示Ｓ９５３を受信した車両１００は、通信に異常がないことを確認した後に、その指示に従い車両１００が動作するよう自動運転制御装置１３０が車両制御装置２１０へ指示を出す。この際、最初の移動では制動装置２４０を駐車の状態から解除し、パワートレイン２３０を移動用の状態に切り替えてから移動を開始する。通信異常を検出した場合にはインフラ設備３００に再送要求を送信し、規定回数通信をリトライする。

　車両１００は自律運転制御装置１３０の機能により移動指示Ｓ９５３で指示された位置への移動が完了すると、移動完了通知Ｓ９５４をインフラ設備３００へ送信する。
インフラ設備３００は追加の移動が必要な場合は、再度移動指示Ｓ９５３を車両１００へ送信する。すなわち、必要な回数、移動指示Ｓ９５３と移動完了通知Ｓ９５４の通信手順を繰り返す。

　車両１００の移動が完了すると、インフラ設備３００は車両１００へ移動シーケンス完了通知Ｓ９５５を送信し、車両１００はその応答として、パワートレイン２３０を駐車に対応する状態にし、動力源２２０を停止（モータの場合、駆動回路の主電源を停止）し、制動装置２４０を駐車状態に設定して、移動シーケンス完了応答Ｓ９５６をインフラ設備３００へ送信する。その後、インフラ設備３００からの次回以降の指示待ち状態となる。

　図１３、図１４及び図１５を用いて、インフラ設備３００が制御権を持つ車両１００がインフラ設備３００の精算端末７００を用い、駐車状態からインフラ設備３００の指示に従い出庫する際の動作を説明する。

　図１３は車両１００がインフラ設備管理領域３０１の中で駐車枠５１から乗降場１５へ移動する動作を示しており、図１４がその際の車両１００、インフラ設備３００及びユーザ端末４００での通信手順を示している。但し、ユーザ端末４００が存在しない構成では、出庫対象とする車両１００の車両を識別する情報をインフラ設備３００に伝えるために行う車両識別ＩＤ通知Ｓ９９０は駐車券の読み取りなど別の手段で代替する。

　出庫処理の際も、車両１００の内部動作としては入庫時と同様に車両側通信装置１１０を用いてインフラ設備３００と通信し、車両側通信装置１１０が自律運転制御装置１３０と適宜通信することで、自律運転制御装置１３０がその指示に従うよう車両制御装置２１０に指示を出し車両１００を動作させる。この際、安全確保を第一に車両１００を動作させるのも入庫時と同様である。

　ユーザ２１は精算端末７００用いて車両１００を出庫する場合、駐車券を精算端末７００の駐車券挿入口７２０へ入れるか、ユーザ端末４００をユーザ端末タッチ部７７０へタッチすることで、出庫対象となる車両１００の車両識別コードをインフラ設備３００へ通知する。ユーザ端末４００を精算端末７００にタッチして車両識別コードをインフラ設備３００に伝えるのが、図１４の車両識別ＩＤ通知Ｓ９９０に相当する。精算端末７００は駐車券またはユーザ端末４００から得た車両識別コードを元にインフラ管理装置３３０に問い合わせ、駐車時間やオプションサービス利用状況などに基づく精算料金を取得し、精算端末表示部７１０に精算内容を表示し、料金支払いをユーザ２１に促す。

　ユーザが紙幣投入口７５０や硬貨投入口７５５から精算料金を支払うと、インフラ設備３００が車両１００の制御権を持つ場合は、車両１００を呼び出すので乗降場１５で待つようユーザ２１に促す。もしインフラ設備３００が車両１００の制御権を持たない場合は、車両まで直接移動するようにユーザ２１を促す。何らかの事情で入庫時点においてインフラ設備３００が制御権を持っていた車両１００を動かせない場合、車両１００のインフラ設備管理領域３０１内での位置を知らせると共に、必要なメッセージやユーザ２１への確認を行う。例えば充電中の場合、充電を中断するか否か確認し、洗車中であれば出庫まで時間をどの程度要するなどメッセージを出力する。但し、車両１００の位置については、不明である場合は、最後に把握していた場所を知らせ、あるいは位置を全く知らせない場合もあり得る。

　乗降場１５が複数存在する場合、精算端末７００はどの乗降場１５を利用するかユーザ２１に確認する。もし精算端末７００が特定の乗降場１５の近くに存在する場合、その場所は大きくしたり色を変えたりすることで目立つように表示し、ユーザ２１が容易に選択可能にする。

　精算が完了するとインフラ設備３００内では精算端末７００からインフラ管理装置３３０にその情報が伝わり、インフラ管理装置３３０は車両識別コードに対応する車両１００の駐車位置及び乗降場１５から移動経路を計画して、インフラ側通信装置３１０を介して車両１００に対して指示を出す。

　インフラ設備は車両１００を乗降場１５へ移動するため、まず出庫開始要求Ｓ９３５を車両１００へ送信する。駐車状態の車両１００は、インフラ設備３００より出庫開始要求Ｓ９３６を受信することで、車両１００を移動させる準備を開始する。すなわち動力源２２０を起動する。動力源２２０が正常に起動すると車両１００は応答として出庫開始応答Ｓ９３６をインフラ設備３００へ送信する。もし動力源２２０が起動できない場合は、インフラ設備３００にその旨送信し、インフラ設備３００及び車両１００は車両１００の移動を諦める。

　出庫開始応答Ｓ９３６を受信したインフラ設備３００は移動経路や移動先の情報を含む出庫移動指示Ｓ９３７を送信する。出庫移動指示Ｓ９３７を受信した車両１００は、通信に異常がないことを確認した後に、その指示に従い車両１００が動作するよう自動運転制御装置１３０が車両制御装置２１０へ指示を出す。この際、最初の移動を開始する際に、制動装置２４０を駐車の状態から解除し、パワートレイン２３０を移動用の状態に切り替える。移動の際、外界センサ１７０を利用し安全を最優先し、必要な危険回避操作をインフラ設備３００からの指示に優先して行うのは入庫時と同じである。通信異常を検出した場合にはインフラ設備３００に再送要求を送信し、規定回数通信をリトライする。

　車両１００は自律運転制御装置１３０の機能により出庫移動指示Ｓ９３７で指示された位置への移動が完了すると、出庫移動完了通知Ｓ９３８をインフラ設備３００へ送信する。

　インフラ設備３００は追加の移動が必要な場合は、再度出庫移動指示Ｓ９３７を車両１００へ送信する。すなわち、必要な回数、出庫移動指示Ｓ９３７と出庫移動完了通知Ｓ９３８の通信手順を繰り返す。

　車両１００の移動が完了すると、インフラ設備３００は車両１００へ出庫シーケンス完了通知Ｓ９３９を送信し、車両１００はその応答として出庫シーケンス完了応答Ｓ９４０をインフラ設備３００へ送信する。

　車両１００は出庫シーケンス完了応答Ｓ９４０を送信後、パワートレイン２３０及び制動装置２４０を駐車状態に設定してユーザ２１が車両１００のドアロックを解除し乗車するのを待つ。

　車両１００のドアロック解除は、ユーザ端末４００が存在する車両では、ユーザ２１が車両１００の特定の場所に触れるなどドアロック解除に対応する動作を車両１００に対して直接行った場合、ユーザ端末反応要求Ｓ９９２をユーザ端末４００に送信し、ユーザ端末４００からユーザ端末反応応答Ｓ９９３が戻ると、ドアロック解除を行う。

　ユーザ２１がユーザ端末４００の「開錠」４２０ボタンを押した場合は、ユーザ端末反応要求Ｓ９９２は省略され、ユーザ端末４００よりユーザ端末反応応答Ｓ９９３に代わるドアロック解除要求信号が車両１００へ送信され、その信号を受信した車両１００はドアロック解除を行う。

　ドアロック解除に生体認証を用いる車両１００では、ドアロック解除を行う際に触れる場所に生体認証センサを用意しておき、そのセンサでユーザ２１が正規ユーザか否か判別した上で、正規ユーザであることを確認できた場合にドアロック解除を行う。

　ドアロック解除が完了した際、車両１００は開錠通知Ｓ９４３をインフラ設備３００へ送信し、その応答としてインフラ設備３００は開錠応答Ｓ９４４を車両１００へ送信する。インフラ設備３００は車両１００が乗降場１５に到着後、一定時間以上開錠通知Ｓ９４３を受信できない場合、車両１００を入庫する際の通信手順と同じ方法で再度車両１００を駐車枠５１へ移動することで、乗降場１５に長時間同一の車両１００が停車するのを防止する。

　ユーザ２１が乗車後、ユーザ２１は車両１００を通常通り運転する。ユーザ２１が車両１００に乗車している場合、自律運転制御装置１３０はインフラ制御許可状態Ｓ５であっても、インフラ設備１３０からの移動指示は受け付けない。

　ユーザ２１の運転で車両１００が出口ゲート１２へ移動すると、インフラ設備３００は出口ゲート１２に設置したカメラなどで車両１００を認識し、認識により識別した車両１００に対して出口ゲート通知Ｓ９４５を車両１００へ送信する。出口ゲート通知Ｓ９４５を受信した車両１００は出発通知Ｓ９４６をインフラ設備３００へ送信する。出発通知Ｓ９４６を受信したインフラ設備３００は出発通知応答Ｓ９４７へ送信し、出口ゲート１２を車両１００が通行可能な状態にして、インフラ設備３００で管理している当該車両１００に対応する車両識別コードを無効化する。車両１００は出発通知応答Ｓ９４７を受信すると、自律運転制御装置１３０をインフラ制御禁止状態Ｓ１へ移行させ、車両１００内の自律運転制御装置１３０及びユーザ認識装置１８０に保存した車両識別コードを無効化する。さらに、ユーザ端末４００に車両識別コードを保存する機能がある場合は、ユーザ端末４００に対し車両識別ＩＤ無効化要求Ｓ９９６を送信する。

　ユーザ端末４００は車両識別ＩＤ無効化要求Ｓ９９６を受信すると、ユーザ端末４００に保存した車両識別コードを無効化し、車両識別ＩＤ無効化応答Ｓ９９７を出す。

　車両１００は、出発通知応答Ｓ９４７を受信した際、タッチパネルディスプレイ６００にインフラ設備３００からの出場したことを表すメッセージ及びインフラ設備３００からの制御が無効となったことを示すメッセージを表示して、ユーザ２１にインフラ設備３００から出場したことを通知する。

　出発通知応答Ｓ９４７の受信に失敗することを考慮し、車両１００は出発通知Ｓ９４６送信後にインフラ設備管理領域３０１から外れたことを検知した時点で、出発通知応答Ｓ９４７を受信した際と同様の処理を行う。インフラ設備管理領域３０１から外れたことは、インフラ設備管理領域３０１の詳細地図情報と車両位置検出装置１６０で検出した車両位置の関係、あるいは外界センサ１７０で出口ゲート１２を通過したことを検知することで行う。

　出口ゲート１２ではインフラ設備３００がカメラなどを用いて車両１００を認識する代わりに、専用狭域通信を利用する方法もある。この場合、インフラ設備３００は出口ゲート１２で専用狭域通信を用いて出口ゲート通知Ｓ９４５を車両１００に向け発信し、車両１００は専用狭域通信を用いて出発通知Ｓ９４６をインフラ設備３００へ送信する。その応答としてインフラ設備３００は専用狭域通信で出発通知応答Ｓ９４７を車両に通知し、出口ゲート１２を通行可能状態として、当該車両１００に対応する車両識別コードを無効化する。車両１００は出口ゲート１２で専用狭域通信を用いない場合と同様に、タッチパネル６００にメッセージを表示し、車両１００内の装置及びユーザ端末４００に存在する車両識別コードすべてを無効化する。

　車両１００を出庫する際、ユーザ端末４００の代わりに、車両１００から離れた場所でも車両１００と通信する機能を持つユーザオプション端末４９０を用いる場合もある。この際の通信手順を、図１６を用いて説明する。ユーザオプション端末４９０は専用の装置でも、スマートフォンなどに専用のアプリをインストールしたものでも、予め車両１００の車両側通信装置１１０と暗号通信と認証に必要な情報を交換してあれば構わない。ユーザオプション端末４００と車両１００の間の通信には認証付き暗号を用いる。

　ユーザオプション端末４９０から出庫を行う場合、まずユーザオプション端末４９０より車両１００へリモート出庫要請Ｓ９８５を送信する。

　リモート出庫要請Ｓ９８５を受信した車両１００は、受信した内容の正当性を確認し、問題がなければ車両識別コードを含む出庫要求Ｓ９３０をインフラ設備３００へ送信する。

　出庫要求Ｓ９３０を受信したインフラ設備３００は車両識別コードにより出庫対象車両を特定し、料金を計算して料金明細情報と共に精算要求Ｓ９３１を車両１００へ送信する。精算要求Ｓ９３１を受信した車両１００は料金明細情報を含む精算確認Ｓ９８６をユーザオプション端末４００へ送信する。

　インフラ設備管理領域３０１に複数の乗降場１５がある場合、精算要求Ｓ９３１及び精算確認Ｓ９８６には、料金明細情報と共に利用可能な乗降場１５のリストも含める。この際、乗降場１５毎に混雑状況や車両１００が到着するまでの所要時間など、付加情報を追加して良い。

　精算確認Ｓ９８６を受信した車両は、ユーザ２１に精算情報を提示し、ユーザに確認を求め、必要に応じてクレジットカードなどの情報を入力させる。クレジットカードなどの情報は予めユーザオプション端末４９０に予め保管しておき、利用しても良い。乗降場１５リストがある場合は、乗降場１５もユーザ２１に選択させる。

　ユーザ２１が精算内容を確認してユーザオプション端末４９０を操作し、必要に応じて乗降場１５を選択した上で精算内容を認めると、ユーザオプション端末４９０から車両１００へ、クレジットカードの情報など精算に必要な情報、必要に応じて乗降場１５の選択情報を含む精算許可応答Ｓ９８７を送信する。

　車両１００は精算許可情報Ｓ９８７を受信するとインフラ設備３００に精算に必要な情報、必要に応じて乗降場１５の選択情報を含む精算処理情報Ｓ９３２を送信する。精算処理情報Ｓ９３２を受信したインフラ設備３００は精算処理を実行する。精算完了を確認するとインフラ設備３００は精算完了応答Ｓ９３３を車両１００へ送信し、車両１００は精算完了応答Ｓ９３３を受信すると精算完了通知Ｓ９８８をユーザオプション端末４９０へ送信する。

　精算完了通知Ｓ９８８を受信したユーザオプション端末４９０は出庫手続き開始確認中であることをユーザ２１へ通知する。

　精算処理に伴う通信手順完了後、インフラ設備３００は出庫開始要求Ｓ９３５を車両１００へ送信する。車両１００は出庫開始要求Ｓ９３５を受信すると、ユーザ２１が精算端末７００を用いて出庫操作を行った場合と同様に、車両１００を移動させる準備を開始する。車両１００の移動準備が整うと出庫開始通知Ｓ９８９をユーザオプション端末４９０へ送信する。また出庫開始応答Ｓ９３６を出庫開始要求Ｓ９３５対する応答としてインフラ設備３００に送信する。以降、ユーザ２１が精算端末７００を用いて出庫しようとした場合と同様に図１４に示す出庫移動指示Ｓ９３７以降の通信を行う。

　出庫開始通知Ｓ９８９を受信したユーザオプション端末４９０は車両１００が出庫動作を始めたことを表示してユーザ２１に通知する。

　出口ゲート１２に精算処理に必要な通信機能を持つ専用狭域無線を利用し、出口ゲート１２通過時に精算処理を行う場合は、精算要求Ｓ９３１から精算完了通知Ｓ９８８までの通信手順では乗降場１５の選択のみに利用し、乗降場１５が１箇所だけの場合には当該通信を省略することも考えられる。但し、この場合、インフラ設備３００は入庫時に当該車両１００が専用狭域無線の機能を利用し精算処理可能であるか確認し、その確認結果に基づき精算要求Ｓ９３１から精算完了通知Ｓ９８８の通信による精算手続きを行わなくても構わないか確認が必要である。

　ユーザオプション端末４９０を利用することで、ユーザ２１は精算端末７００へ行く必要がなく、また車両１００へ乗車する際に、乗降場１５までの移動時間を考慮して早めに車両１００の出庫を要請することも可能となり、ユーザ２１の利便性が高まる。

　また、ユーザオプション端末４９０を用いる場合も、ユーザオプション端末４９０は車両１００と通信し、インフラ設備３００とは車両１００を介して通信を行うため、ユーザオプション端末４９０はインフラ設備３００の機能や通信方式によらず、車両１００に応じた設計が可能となる。

　車両１００とインフラ設備３００の通信において、無線LANなどの通信に異常が発生し通信が途切れた場合、図５に示した通信手順で再度セキュリティを確保する。この場合、セキュリティを確保した通信路を確保次第、車両識別コードを車両１００からインフラ設備３００へ送信し、インフラ設備３００と車両１００との通信に必要となる情報の対応付けを更新する。

　また、車内１００において車両側通信装置１１０、自律運転制御装置１３０及びユーザ認証装置１８０などの装置間の通信に割り込み、車両１００を不正に制御されることを防止するには、車両１００とインフラ設備３００、ユーザ端末４００、ユーザオプション端末４９０の間でセキュリティを確保した通信を行うとは別に、車内１００内の装置間の通信にも認証機能を有する暗号通信を用いて、これらの通信に用いる通信路のセキュリティを確保する必要がある。

　車両１００が入口ゲート１１において専用狭域無線を用いてインフラ設備３００と通信する情報の例を図１７に示す。図１７には通信名称とその通信により伝送されるパラメータであるコマンドパラメータとして含まれる内容の対応を示している。実際の通信では通信元や通信先（物理的な接続先や通信で伝送する情報を処理するソフトウェアなど）を識別する上で必要な情報に続き、どの通信名称に対応する通信であるのか区別する情報があり、さらにコマンドパラメータ、通信内容の破損等異常を検出するチェック用の値が存在する。

　車両存在信号Ｓ９００は車両１００がインフラ設備３００に通信相手の存在を知らせる信号であり、インフラ設備３００が専用狭域無線において相手を検出するために存在するので、コマンドパラメータは存在しない。但し、車両存在信号Ｓ９００に含まれる通信元の情報は、インフラ設備３００が専用狭域無線を用いて車両１００と通信する際の通信先情報として利用される。

　外部連携自律運転対応確認Ｓ９０１はインフラ設備３００側の自律運転車と連携する機能のリストに関する情報をコマンドパラメータに含み、車両１００はこのコマンドパラメータを確認することで、インフラ設備３００が車両１００を制御する機能を持つか否か判断が可能である。外部連携自律運転対応応答Ｓ９０２は外部連携自律運転対応確認Ｓ９０１に対する車両１００からの応答であり、インフラ設備３００側の自律運転車と連携する機能のリストから車両１００で対応する機能を抽出したリストに関する情報をコマンドパラメータに含む。インフラ設備３００は外部連携自律運転対応応答Ｓ９０２を受信することで車両１００にインフラ設備３００が制御する機能を有するか確認できる。

　通信手段変更通知Ｓ９０３は、インフラ設備３００と車両１００の間に用いる通信手段の変更のためにインフラ設備３００から車両１００へ送信され、変更後に利用する通信手段を識別する情報や、当該通信手段を確立するために必要な情報、及び通信手段変更後に接続する先が同一のインフラ設備３００に属する通信先か確認するための情報を持つ。例えば専用狭域無線から無線LANに変更する場合、無線LANを用いることを示す通信手段識別用の番号、無線LANのSSID、無線LANのアクセスポイントへの接続に必要な認証情報などである。また、通信手段変更後に接続する先が同一のインフラ設備３００に属する通信先であるか確認するために、通信手段変更する際にインフラ設備３００より受信するインフラ証明書Ｓ９０７に含まれる公開鍵暗号の公開鍵を含める。

　通信手段変更応答Ｓ９０４は、車両１００がインフラ設備３００から指定された通信手段への変更を承諾するか否か伝えるため車両１００からインフラ設備３００へ送信され、承諾するか否かを区別する情報を含む。車両１００はインフラ設備３００から指定された通信手段での通信路確立ができた場合にのみ変更を承諾する。もし、車両１００が変更を承諾しない場合には、インフラ設備３００は対応可能な範囲で別の通信手段を通信手段変更通知Ｓ９０３で伝え、その通知に対して車両１００が通信手段変更応答Ｓ９０４を返す。必要に応じてこれを繰り返し、インフラ設備３００と車両１００の双方で利用可能な通信手段を探す。尚、通信手段変更通知Ｓ９０３においてインフラ設備３００で対応可能な複数の通信手段をまとめて指定し、その中から車両１００が利用可能な通信手段を選択することで、通信手段変更通知Ｓ９０３と通信手段変更応答Ｓ９０４の通信の繰り返し回数を減らすことも可能である。インフラ設備３００で対応可能な複数の通信手段をまとめて通信手段変更通知Ｓ９０３に含める場合には、インフラ設備３００で対応可能な通信手段を一度に全て含めても良いし、通信手段変更通知Ｓ９０３と通信手段変更応答Ｓ９０４のやりとりの回数に応じて含める通信手段を変更することで、インフラ設備３００が優先的に利用したい通信手段を最初の通信手段変更通知Ｓ９０３のから順に含めることもあり得る。

　図１８、図１９及び図２０を用いて、通信手段変更後にセキュリティを確保した通信を確立するまでの通信手順（図５に示す手順）で用いる通信の内容を説明する。

　図１８は通信パケットの構成を示している。ヘッダ情報８２１は通信先や通信元を識別する情報、通信状況などの管理情報が含まれている。通信先や通信元を識別する情報には、物理的な装置を区別するだけでなく、装置内で動作している個々のソフトウェアを識別に必要な情報が含まれている。また、利用する通信手段により、通信パケットの構造が階層化されており、各階層で必要となるヘッダが順に含まれる場合もある。例えばIEEE802.11に準拠する無線LAN上でTCP/IPプロトコルを用いる場合は、物理層で付加する同期や変調方式を示すヘッダの後にIEEE802.11のMAC(Media Access Control)フレームのヘッダがあり、この中でIPプロトコルを指定され、次にIPのヘッダがあり、この中でTCPプロトコルが指定され、最後にTCPのヘッダがある。

　コマンドコード８２５は車両１００とインフラ設備３００で通信をする際、どの通信名称に対応する通信パケットであるか区別するための情報であり、コマンドパラメータ８２６は当該通信パケットを処理する際に参照するパラメータである。パケット確認情報８２２はパケットが破損していないか確認するためのＣＲＣ（巡回冗長検査）符号である。

　図１９は通信名称とその通信で送信するパケットのコマンドパラメータに含まれる情報の対応を示している。

　対応セキュリティ方式通知Ｓ９０５では車両１００からインフラ設備３００に対して利用可能な暗号方式を伝えるために送信し、コマンドパラメータとして車両１００側で利用可能な暗号方式のリスト及び、車両１００内部で生成した疑似乱数の情報を含む。暗号方式のリストに含まれる各暗号方式には、公開鍵暗号アルゴリズム及びその鍵の長さ、共通鍵暗号アルゴリズム及びその鍵の長さ、メッセージ認証符号８８２生成用ハッシュ関数８９５のアルゴリズムが含まれている。

　セキュリティ方式選択通知Ｓ９０６ではインフラ設備３００が車両１００に対し実際に利用する暗号方式を通知するために送信し、コマンドパラメータとしてインフラ設備３００が対応セキュリティ方式通知Ｓ９０５の暗号方式のリストから選択した暗号方式、及びインフラ設備３００内部で生成した疑似乱数の情報を含む。

　インフラ証明書Ｓ９０７ではインフラ設備３００が正当な設備であることを証明する情報を車両１００へ送信し、インフラ設備３００に関する証明情報（いわゆる電子証明書）をコマンドパラメータに含む。この電子証明書には車両１００とインフラ設備３００が公開鍵暗号を用いる上で必要なインフラ設備３００の公開鍵、インフラ設備３００の情報（運営会社名やインターネット上での識別情報）、有効期間、証明書に電子署名を与えた認証局の情報などが含まれており、その内容に対して認証局の電子署名（ハッシュ関数で生成する証明内容のハッシュ値を、公開鍵暗号を用いて認証局の秘密鍵で暗号化したもの）が付加されている。

　認証局はインフラ設備３００とは異なる第三者機関で、インフラ設備３００の正当性や電子証明書に記載内容を確認し、問題なければ認証局の秘密鍵でインフラ設備３００の証明書のハッシュ値を暗号化し、インフラ設備３００に提供する。

　車両１００には工場出荷時などに予め信頼できる認証局の公開鍵を登録しておき、インフラ設備３００の電子証明書に含まれる署名者の認証局が登録されているか確認する。未登録の場合、インフラ設備３００は正当な設備ではないと判断し、その通信路での通信を認めず、拒絶することをインフラ設備３００へ伝える。

　電子証明書に含まれる署名者の認証局が信頼できる認証局に含まれていた場合、その認証局に対する公開鍵でインフラ設備３００の電子証明書のハッシュ値を復号する。復号結果と、車両１００内部で算出したインフラ設備３００の電子証明書のハッシュ値を比較し、一致した場合、インフラ設備３００は正当な設備と判断し、以降の通信を継続する。もし不一致だった場合、インフラ設備３００は正当な設備ではないと判断し、その通信路での通信を認めず、拒絶することをインフラ設備３００へ伝える。

　電子証明書に問題がない場合、インフラ設備３００の公開鍵と、通信手段変更通知Ｓ９０３で受信したインフラ設備３００の公開鍵が一致するか確認し、通信手段変更前後でインフラ設備３００が別の設備と入れ替わりがないことを確認する。入れ替わりを検出した場合、インフラ設備３００は本来の通信相手ではないと判断し、その通信手段での通信を認めず、拒絶することをインフラ設備３００へ伝える。

　インフラ設備３００の電子証明書を以上のように確認することで、インフラ設備３００になりすまして車両１００を制御しようとする機器に車両１００が接続することを防止する。

　共通鍵生成情報提供要求Ｓ９０８は、インフラ設備３００から車両１００に対し、暗号通信に必要な情報の送信を全て完了し、車両１００から共通鍵暗号による通信に必要な共通鍵の生成に必要な情報の提供を要求するために送信する。コマンドパラメータは存在しない。

　共通鍵生成情報Ｓ９０９は、車両１００からインフラ設備３００に対し、共通鍵を生成する基になる共通鍵マスタ生成用の乱数の情報を送信する。この乱数は対応セキュリティ方式通知Ｓ９０５で送信する乱数とは別に車両１００内部で生成し、インフラ設備３００の電子証明書に含まれる公開鍵を用いて公開鍵暗号で暗号化してインフラ設備３００へ送信する。インフラ設備３００は公開鍵に対応する秘密鍵を用いて車両１００から受信した暗号化された乱数を復号する。

　車両１００とインフラ設備３００は、対応セキュリティ方式通知Ｓ９０５で共有した車両１００側の乱数、セキュリティ方式選択通知Ｓ９０６で共有したインフラ設備３００側の乱数、及び共通鍵生成情報Ｓ９０９で公開鍵暗号を用いて共有した乱数を基に、同じアルゴリズムを用いて共通鍵マスタを生成する。

　車両１００とインフラ設備３００は共通鍵マスタから、暗号化処理８９０に用いる共通鍵（共通鍵１）、暗号化通信データ８５５に対するメッセージ認証符号８８２生成の認証用ハッシュ関数８９５に与える共通鍵（共通鍵２）、暗号化処理８９０が必要とする初期値を共通鍵セット８８５として、車両１００からインフラ設備３００への通信に用いるセットとインフラ設備３００から車両１００への通信に用いるセットの２組のセットを生成する。車両１００とインフラ設備３００は同じアルゴリズムでこれらの共通鍵及び初期値を生成することで、これらの共通鍵及び初期値を共有する。尚、４個の共通鍵及び２個の初期値の生成は共通鍵マスタからハッシュ関数などを用いた演算を繰り返し長いビット列を生成し、異なる場所を切り出すなどして生成する。

　車両側共通鍵準備完了通知Ｓ９１０は、車両１００が共通鍵生成情報Ｓ９０９送信した上で、共通鍵セット８８５の準備が整ったことを確認し、以降の車両１００から送信する通信には車両１００からインフラ設備３００に送信する際に用いる共通鍵セット８８５を利用し暗号化することを通知する。車両１００は車両側共通鍵準備完了通知Ｓ９１０を送信する際に、車両１００が暗号化して送信する際に用いるシーケンス番号８８６を０に初期化する。また車両側共通鍵準備完了通知Ｓ９１０を受けとったインフラ設備３００は車両１００から図２０に示す形式のパケットを受信する際のシーケンス番号８８６確認用の値を０に初期化する。

　車両側通信準備確認コードＳ９１１は、車両１００から暗号通信を行う手続きが完了したことをインフラ設備３００へ通知するために送信する。対応セキュリティ方式Ｓ９０５から車両側共通鍵準備完了通知Ｓ９１０までの通信内容及び共通鍵マスタをそれぞれビット列とみなして結合した内容のハッシュ値をコマンドパラメータに含む。この通信は車両側共通鍵準備完了通知Ｓ９１０を送信後の送信となるため、車両１００からインフラ設備３００へ通信する際に用いる共通鍵セット８８５を用いて暗号化通信データ８５５及びメッセージ認証符号８８２を生成し、図２０に示す通信パケット形式で行う。

　図２０に示すパケット形式においてヘッダ情報８２１及びパケット確認情報８２２は図１８に示すパケット形式のものと同一である。暗号化通信データ８５５及びメッセージ認証符号８８２は車両識別コード８６１、シーケンス番号８８６、コマンドコード８２５、及びコマンドパラメータ８２６をそれぞれビット列とみなして結合したビット列を暗号化したデータである。シーケンス番号８８６は図２０に示す形式のパケットを送信するごとに１ずつ増加する値であり、メッセージ認証符号８８２は暗号化通信データ８５５の正当性を確認するためのビット列で、暗号化を行う際に同時に生成する符号である。図２０に示すパケットの受信した際、受信側は暗号化通信データ８５５と共通鍵セット８８５の通信方向に対応する認証用ハッシュ値計算用の共通鍵をそれぞれビット列とみなして結合し認証用ハッシュ関数８９５で計算したメッセージ認証符号８８２と受信したメッセージ認証符号８８２の同一性を確認し、暗号化通信データ８５５の復号結果にあるシーケンス番号８８６と受信側でカウントしているシーケンス番号８８６を確認する値の同一性も比較することで、通信データが正常であることを確認する。受信側でカウントしているシーケンス番号８８６を確認する値は、正常なパケットを受信した後、次の受信に備えて1増やす。

　車両側通信準備確認コードＳ９１１を受信したインフラ設備３００は、車両１００からインフラ設備３００に対して通信を行う際に用いる共通鍵セット８８５を用いて、受信した暗号化通信データ８５５のメッセージ認証符号８８２を認証用ハッシュ関数８９５により生成し、受信したメッセージ認証符号８８２と比較して暗号化通信データ８５５の正当性を確認する。また、同じ共通鍵セット８８５により暗号化通信データ８５５を復号しシーケンス番号８８６が０であることを確認、さらに、復号結果のコマンドパラメータに含まれるハッシュ値とインフラ設備３００内で計算した対応セキュリティ方式Ｓ９０５から車両側共通鍵準備完了通知Ｓ９１０までの通信内容及び共通鍵マスタをそれぞれビット列として結合した内容のハッシュ値を比較する。すべての比較での一致を確認することで、正常な通信が実施されていると判断する。異常を検出した場合は、その旨車両１００に伝え、指定された回数まで、図５に示す通信手順を最初からやり直す。指定された回数やり直しても正常な通信を行えない場合、当該通信手段による通信は断念する。

　インフラ側共通鍵準備完了通知Ｓ９１２は、インフラ設備３００が共通鍵セット８８５の準備が整ったことを確認し、以降のインフラ設備３００から送信する通信にはインフラ設備３００から車両１００に送信する際に用いる共通鍵セット８８５を利用し暗号化することを通知する。インフラ設備３００はインフラ側共通鍵準備完了通知Ｓ９１２を送信する際に、インフラ設備３００が暗号化して送信する際に用いるシーケンス番号８８６を０に初期化する。またインフラ側共通鍵準備完了通知Ｓ９１２を受けとった車両１００はインフラ設備３００から図２０に示す形式のパケットを受信する際のシーケンス番号８８６確認用の値を０に初期化する。

　インフラ側通信準備確認コードＳ９１３は、インフラ設備３００から暗号通信を行う手続きが完了したことを車両１００へ通知するために送信する。対応セキュリティ方式Ｓ９０５からインフラ側共通鍵準備完了通知Ｓ９１２までの通信内容及び共通鍵マスタをそれぞれビット列とみなして結合した内容のハッシュ値をコマンドパラメータに含む。この通信はインフラ側共通鍵準備完了通知Ｓ９１２を送信後の送信となるため、インフラ設備３００から車両１００へ通信する際に用いる共通鍵セット８８５を用いて暗号化通信データ８５５及びメッセージ認証符号８８２を生成し、図２０に示す通信パケット形式で行う。

　インフラ側通信準備確認コードＳ９１３を受信した車両１００は、インフラ設備３００から車両１００に対して通信を行う際に用いる共通鍵セット８８５を用いて、受信した暗号化通信データ８５５のメッセージ認証符号８８２を認証用ハッシュ関数８９５により生成し、受信したメッセージ認証符号８８２と比較して暗号化通信データ８５５の正当性を確認する。また、同じ共通鍵セット８８５により暗号化通信データ８５５を復号しシーケンス番号８８６が０であることを確認、さらに復号結果のコマンドパラメータに含まれるハッシュ値と、車両１００内で計算した対応セキュリティ方式Ｓ９０５からインフラ側共通鍵準備完了通知Ｓ９１２までの通信内容及び共通鍵マスタをそれぞれビット列とみなして結合した内容のハッシュ値を比較する。すべての比較での一致を確認することで、正常な通信が実施されていると判断する。異常を検出した場合は、その旨インフラ設備３００に伝え、指定された回数まで、図５に示す通信手順を最初からやり直す。指定された回数やり直しても正常な通信を行えない場合、当該通信手段による通信は断念する。

　尚、車両１００側での通信路を変更する処理は車両側通信装置１１０が処理し、処理結果を元に車両側通信装置１１０が自律運転制御装置１３０の状態遷移に必要な情報を伝えても良いし、車両側通信装置１１０が通信路変更を許可するか否か判断に必要な情報を自律運転制御装置１３０へ伝え、自律運転制御装置１３０が通信路変更を許可するか判断し、その結果を車両側通信装置１１０へ伝えて、この内容に基づき車両側通信装置１１０が通信路を変更する処理を行っても良い。いずれの場合でも、変更後の通信手段として利用可能な手段が存在しない場合には、インフラ設備３００からの指示で車両１００を制御するのは不可能と判断し、自律運転制御装置１３０はインフラ制御禁止状態Ｓ１となる。

　インフラ側通信準備確認コードＳ９１３までの通信が正常に完了すると、以降の通信は図２０に示す通信パケット形式で行う。すなわち、図６、図１２、図１４、及び図１６に示す車両１００とインフラ設備３００の通信は全て図２０に示す通信パケット形式で行う。

　図２０を用いて暗号化通信データ８５５とメッセージ認証符号８８２を生成する流れを説明する。

　まず、車両識別コード８６１、シーケンス番号８８６、コマンドコード８２５、及びコマンドパラメータ８２６をそれぞれビット列とみなし結合して、通信データ８６０を生成する。次に共通鍵セット８８５に含まれる暗号化処理８９０用の共通鍵及び初期値を用い、通信データ８６０を暗号化し暗号化通信データ８５５を生成する。次に、暗号化通信データ８５５と共通鍵セット８８５に含まれるメッセージ認証符号８８２生成用の共通鍵をそれぞれビット列とみなして結合し、認証用に用いるハッシュ関数（認証用ハッシュ関数８９５）を用いてメッセージ認証符号８８２を生成する。

　図２２及び図２３を用いて、インフラ設備３００が車両１００に移動を指示している際にインフラ設備３００、車両１００、あるいは両者間の通信に何かしらの異常が発生し、車両１００がインフラ設備管理領域３０１を逸脱しそうな場合における、車両１００の動作を説明する。このような事象は、インフラ設備３００または車両１００の故障だけでなく、通信にセキュリティ上の問題が発生した場合にも発生しえる。

　図２２は車両１００がインフラ設備管理領域３０１を逸脱しそうな一例を示している。
車両１００はユーザ２１不在の状態で、インフラ設備３００からの指示に従い出口ゲート１２から出場する方向に移動しようとしている。車両１００はこのような移動が発生していないか、インフラ設備管理領域３０１の詳細地図情報、車両１００が予め保有する地図の公道部分の領域情報、外界センサ１７０の情報などを基に判断する。車両１００が予め保有する地図や外界センサ１７０の情報を用いることで、万一、インフラ設備管理領域３０１の情報に異常が存在しても、インフラ設備管理領域３０１外に車両１００が移動しようとしていることを検出する。

　車両１００はインフラ設備管理領域３０１外に移動するようインフラ設備３００から指示されていることを検出すると、インフラ設備３００に異常状態であることを車両１００の現在位置と共に送信し、新たな移動指示Ｓ９５３（入庫時は入庫移動指示Ｓ９２６、出庫時は出庫移動指示Ｓ９３７）を求める。新たに受信した移動指示Ｓ９５３等でインフラ設備３００の管理領域内での移動が指示されれば、その指示に従う。

　もし新たに受信した移動指示Ｓ９５３等でもインフラ設備管理領域３０１外が含まれる移動がある場合には、インフラ設備３００からの指示に従う許可を取消す。その後、車両１００はインフラ設備管理領域３０１の詳細地図に示される非常用駐車枠５５の場所を確認し、そこまでの経路や迂回通路を自律運転制御装置１３０で決定して、その位置へ移動する。この際、外界センサ１７０を用いて、安全確保を第一に車両１００を移動させる。
この移動において、車両１００が予め保有する地図や外界センサ１７０により、再度インフラ設備管理領域３０１外への移動を検出した場合は、インフラ設備管理領域３０１の詳細地図に異常があると判断し、非常用駐車枠５５の位置不明となるため、緊急措置として通路の端によって駐車する。

　尚、本機能は車両１００がインフラ設備３００の管理領域を逸脱しそうな場合だけでなく、インフラ設備管理領域３０１の通路や駐車枠５１等に想定外の障害物があり、インフラ設備３００の指示に従い続けた場合、車両１００が長時間停止状態になる場合にも適用できる。

　車両１００がインフラ設備３００からの指示に従う許可を取消す場合には、車両１００とインフラ設備３００で通信が可能であれば、車両１００はインフラ設備３００にその旨送信し、また駐車位置情報を送信する。この情報は、ユーザ２１が精算端末７００を用いる場合に通知する。また、ユーザオプション端末４９０を用いる場合には、ユーザオプション端末４９０に状況や駐車位置情報を送信する。

　車両１００はインフラ設備３００からの制御許可を取り消した場合、ユーザ２１は通知された駐車位置情報を参考に図２３に示すように、車両１００の場所へ直接移動し、車両１００に乗車、インフラ設備３００から出場する。出口ゲート１２ではインターフォンなどで有人の管理室などと連絡をとり、出場する。

　尚、本実施例に示した構成や手順は一例であり、通信パケットの構成や暗号化手法など、各機能を実現する上で支障がない範囲で変更しても構わない。また、通信パケットは通信手段など制約などで必要な場合には、複数のパケットに分割して通信をおこなっても構わない。

　以上の実施例によれば、インフラ設備の電子証明書を確認することで、インフラ設備のなりすましを困難にできることから、車両のユーザが意図しない装置などに車両の制御権限を奪われることに伴う被害を抑止できる。また、車両はインフラ設備を認証した上で、当該インフラ設備と認証付きの暗号通信を確立し、その暗号通信によりインフラ設備からの制御指示を受けるので、セキュリティ攻撃により車両の制御権限が当該インフラ設備以外に制御されるリスクを抑制できる。

　さらに、入庫時にユーザが車両の正規ユーザであるか確認した上で、当該ユーザがインフラ設備に車両制御権限を与えるか否か確認するため、ユーザはインフラ設備が車両を制御しようとしていることを確認でき、万一インフラ設備の秘密鍵が盗まれた場合でも、当該インフラ設備以外の場所で悪用され、ユーザの意に反して車両の制御権限を奪取される危険性を低減できる。インフラ設備においてユーザがインフラ設備の制御を受け入れず、ユーザの操作で駐車する選択も可能であることから、いわゆるバレーパーキングと通常のパーキングをユーザが選択することも可能となる。

　インフラ設備と車両の認証確立の過程において、正規ユーザの認証に無線認証端末を利用する場合においては、無線認証端末は車両とのみ通信するため、近傍とのみ通信を行う簡便な無線認証端末を利用できる。車両を制御する権限をインフラ設備に与える際のユーザの意思確認も車両側の処理で完結し、インフラ設備は関与しないため、車両が生体認証を用いて正規ユーザを認証する場合は、無線認証端末を不要にすることも可能となる。

　入庫時に車両識別情報を発行し、その車両識別情報を利用して出庫することで、簡便な車両呼び出しが可能である一方、車両識別情報が一時的な情報であるため、車両識別情報の漏えいに伴ういたずらなどによる不要な出庫処理の発生を抑止する効果もある。

　以上の実施例は、例えば下記のように表現することができる。
インフラ設備が車両の移動権限を一時的に取得する際、インフラ設備は車両に対し制御権限の取得を要求する。インフラ設備は車両と最初に要求を出す際に、公開鍵暗号を用いるために必要なインフラ設備の公開キーを含む電子証明書を、電子証明書の発行元の情報及び署名付きで添付した上で送信する。

　インフラ設備より制御権限の取得を求められた車両は、予め車両内の装置に登録されるなど信頼できる認証局の公開キーを用いて、インフラ設備の電子証明書が正当であるか検証する。インフラ設備が正当であることを確認した上で、車両は、車両のユーザに対し要求を受けたことを通知する。

　車両は、ユーザ端末の存在状況などによりユーザが車両の正規ユーザであるか確認した上で、当該ユーザがインフラ設備からの要求を受け入れることを許可するか確認する。当該ユーザの許可を得た上で、インフラ設備からの一時的な制御権限要求の受諾し、インフラ設備に通知する。

　インフラ設備が車両を制御する際に必要となる通信は、認証付きの共通鍵暗号を用いた暗号通信により行う。この際必要となる共通鍵は、車両側で生成した乱数をインフラ設備の公開鍵を用いて公開鍵暗号を使い暗号化してインフラ設備に送信し、インフラ側では前記公開鍵に対応する秘密鍵を用いて車両側で生成した乱数を復号し、その乱数を車両とインフラ側で共有して、車両とインフラ設備双方でその乱数から同じアルゴリズムを用いて生成する。

　出庫等における車両の呼び出しでは、予め入庫時にインフラ設備が発行する一時的な車両識別情報を車両、ユーザ端末や駐車券などに記録しておき、出庫の際にインフラ設備に車両識別情報を提示して車両の移動を要求する。その要求に基づきインフラ設備が当該車両に指示を出し、車両を目的の位置まで移動する。

１１…入口ゲート、１２…出口ゲート、１５…乗降場、２１…（車両の）ユーザ、５１…駐車枠、５５…非常用駐車枠、６５…充電機能付き駐車枠、６０…洗車スペース、６１…洗車機、１００…車両、１１０…車両側通信装置、１３０…自律運転制御装置、１５０…地図情報管理装置、１６０…車両位置検出装置、１７０…外界センサ、１８０…ユーザ認証装置、１９０…ユーザインタフェース制御装置、２１０…車両制御装置、２２０…動力源、２３０…パワートレイン、２４０…制動装置、２５０…操舵装置、３００…インフラ設備、３０１…インフラ設備管理領域、３１０…インフラ側通信装置、３３０…インフラ管理装置、３５０…ゲート制御装置、４００…ユーザ端末、４１０…「施錠」ボタン、４２０…「開錠」ボタン、４３０…「駐車」ボタン、４５０…近接無線用アンテナ、６００…タッチパネルディスプレイ、６１０…主メッセージ表示領域、６２１…「不許可」ボタン、６２２…「許可」ボタン、６３０…「許可（オプションサービス利用）」ボタン、６５０…「充電」ボタン、６５１…「洗車」ボタン、６５９…未使用ボタン、６６０…「選択完了」ボタン、６６９…「戻る」ボタン、７００…精算端末、７１０…精算端末表示部、７２０…駐車券挿入口、７５０…紙幣挿入口、７５５…硬貨挿入口、７７０…ユーザ端末タッチ部、８２１…ヘッダ情報、８２２…パケット確認情報、８２５…コマンドコード、８２６…コマンドパラメータ、８５５…暗号化通信データ、８６０…通信データ、８６１…車両識別コード、８８２…メッセージ認証符号、８８５…共通鍵セット、８８６…シーケンス番号、８９０…暗号化処理、８９５…認証用ハッシュ関数、Ｓ１…インフラ制御禁止状態、Ｓ２…ユーザ意思確認状態、Ｓ３…安全確認状態Ａ、Ｓ４…安全確認状態Ｂ、Ｓ５…インフラ制御許可状態、Ｓ５０１…外部連携機能確認、Ｓ５０２外部連携機能応答、Ｓ５１１…車両識別ＩＤ、Ｓ５１２…車両識別ＩＤ保存完了、Ｓ５１３…インフラ内詳細地図、Ｓ５１４…詳細地図保存応答、Ｓ５１５…付加サービス情報、Ｓ５１６…サービス情報受領応答、Ｓ５２２…移動指示許可通知、Ｓ５２３…移動指示許可完了、Ｓ５２５…入庫指示要求、Ｓ５２６…入庫シーケンス完了、Ｓ５２７…入庫完了了解通知、Ｓ５３１…移動指示情報、Ｓ５３２…移動完了情報、Ｓ５７１…車両識別ＩＤ保存処理要求、Ｓ５７２…車両識別ＩＤ保存完了通知、Ｓ５７３…ユーザ確認要求、Ｓ５７４…ユーザ確認応答、Ｓ５７５…入庫要求信号、Ｓ９００…車両存在信号、Ｓ９０１…外部連携自律運転対応確認、Ｓ９０２…外部連携自律運転対応応答、Ｓ９０３…通信手段変更通知、Ｓ９０４…通信手段変更応答、Ｓ９０５…対応セキュリティ方式通知、Ｓ９０６…セキュリティ方式選択通知、Ｓ９０７…インフラ証明書、Ｓ９０８…共通鍵生成情報提供要求、Ｓ９０９…共通鍵生成情報、Ｓ９１０…車両側共通鍵準備完了通知、Ｓ９１１…車両側通信準備確認コード、Ｓ９１２…インフラ側共通鍵準備完了通知、Ｓ９１３…インフラ側通信準備確認コード、Ｓ９１５…車両識別ＩＤ指定、Ｓ９１６…車両識別ＩＤ受領応答、Ｓ９１７…インフラ内詳細地図情報、Ｓ９１８…インフラ内詳細地図受領応答、Ｓ９２１…提供可能付加サービスリスト、Ｓ９２２…付加サービスリスト受領応答、Ｓ９２３…移動指示有効通知、Ｓ９２４…移動指示有効応答、Ｓ９２５…入庫要求、Ｓ９２６…入庫移動指示、Ｓ９２７…入庫移動完了通知、Ｓ９２８…入庫シーケンス完了通知、Ｓ９２９…入庫シーケンス完了応答、Ｓ９３０…出庫要求、Ｓ９３１…精算要求、Ｓ９３２…精算処理情報、Ｓ９３３…精算完了応答、Ｓ９３５…出庫開始要求、Ｓ９３６…出庫開始応答、Ｓ９３７…出庫移動指示、Ｓ９３８…出庫移動完了通知、Ｓ９３９…出庫シーケンス完了通知、Ｓ９４０…出庫シーケンス完了応答、Ｓ９４３…開錠通知、Ｓ９４４…開錠応答、Ｓ９４５…出口ゲート通知、Ｓ９４６…出発通知、Ｓ９４７…出発通知応答、Ｓ９５１…移動開始要求、Ｓ９５２…移動開始応答、Ｓ９５３…移動指示、Ｓ９５４…移動完了通知、Ｓ９５５…移動シーケンス完了通知、Ｓ９５６…移動シーケンス完了応答、Ｓ９８１…車両識別ＩＤ保存要求、Ｓ９８２…車両識別ＩＤ保存応答、Ｓ９８３…入庫指示、Ｓ９８５…リモート出庫要請、Ｓ９８６…精算確認、Ｓ９８７…精算許可応答、Ｓ９８８…精算完了通知、Ｓ９８９…出庫開始通知、Ｓ９９０…車両識別ＩＤ通知、Ｓ９９２…ユーザ端末反応要求、Ｓ９９３…ユーザ端末反応応答、Ｓ９９６…車両識別ＩＤ無効化要求、Ｓ９９７…車両識別ＩＤ無効化応答

Claims

　自律的に移動する車両を制御する制御装置であって、外部システムからの指示に従い前記車両の移動を制御する機能を有し、前記外部システムからの指示に従い前記車両の移動を制御する機能を有効とする際に、前記外部システムと前記車両で通信を行い前記外部システムの正当性を認識し、前記外部システムと暗号通信を確立したことを認識し、前記外部システムによる前記車両の移動を前記車両のユーザが許可することを認識し、前記ユーザが前記車両の正規ユーザであることを認識することを特徴とする、制御装置。
　前記車両の入庫時の通信手段と、該入庫時の通信手段と異なる前記車両の移動を制御する際の通信手段を切り替える機能を前記車両は有し、前記切り替え動作を認識することを特徴とする、請求項１記載の制御装置。
　前記ユーザの端末が操作された場合に、前記端末との前記車両との通信内容に基づき、前記操作に対応する前記車両の動作に必要な要求を前記外部システムに対し伝える機能を有することを特徴とする、請求項１記載の制御装置。
　前記外部システムからの指示で移動中に、移動先が前記外部システムの管理領域から逸脱することを検出する機能を有し、前記外部システムに異常を通知しても、前記外部システムの管理領域から逸脱する移動先を指示された場合は、前記外部システムに従う許可を取り消し、前記外部システム内の駐車可能場所に自律的に移動する制御を行うことを特徴とする、請求項１記載の制御装置。
　前記正規ユーザの認証に生体認証を用い、前記正規ユーザが運転席から離席したことを検出した後、操作が前記正規ユーザによるものであることを確認する際には、再度、前記生体認証を行うことを要求する、請求項１記載の制御装置。
　自律的に移動する車両であって、外部システムからの指示に従い移動する機能を有し、前記外部システムからの指示に従い移動を制御する機能を有効とする際に、前記外部システムと前記車両で通信を行い前記外部システムの正当性を確認し、前記外部システムと暗号通信を確立したことを認識し、前記外部システムの指示により移動を前記車両のユーザが許可することを認識し、前記ユーザが前記車両の正規ユーザであることを認識することを特徴とする、車両。
　前記車両の入庫時の通信手段と、該入庫時の通信手段と異なる前記車両の移動を制御する際の通信手段を切り替える機能を有することを特徴とする、請求項６記載の車両。
　前記ユーザの端末が操作された場合に、前記端末との前記車両との通信内容に基づき、前記操作に対応する前記車両の動作に必要な要求を前記外部システムに対し伝える機能を有することを特徴とする、請求項６記載の車両。
　前記外部システムからの指示で移動中に、移動先が前記外部システムの管理領域から逸脱することを検出する機能を有し、前記外部システムに異常を通知しても、前記外部システムの管理領域から逸脱する移動先を指示された場合は、前記外部システムに従う許可を取り消し、前記外部システム内の駐車可能場所に自律的に移動することを特徴とする、請求項６記載の車両。
　前記正規ユーザの認証に生体認証を用い、生体認証後にユーザが運転席から離席したことを検出した際には生体認証結果を無効とし、前記正規ユーザに限定された操作の前には、再度、前記生体認証を行うことを要求する、請求項６記載の車両。
　自律的に移動するように車両を制御するシステムであって、前記車両へ移動を指示して該車両の移動を有効化する際に、前記車両と通信を行い前記システムの正当性を前記車両に認識させて、暗号通信が確立したことを前記車両に認識させて、前記車両のユーザが前記車両の自律的な移動を許可することを前記車両に認識させて、前記ユーザが前記車両の正規ユーザであることを前記車両に認識させることを特徴とする、システム。