WO2021145234A1

WO2021145234A1 - 自動バレーパーキングシステム

Info

Publication number: WO2021145234A1
Application number: PCT/JP2021/000091
Authority: WO
Inventors: 正義浅野; 翔太溝口
Original assignee: 株式会社デンソー
Priority date: 2020-01-15
Filing date: 2021-01-05
Publication date: 2021-07-22
Also published as: US20220340128A1; CN114929542A; JP7243868B2; JPWO2021145234A1

Abstract

車両（３００、３２０）は、サーバ側運転計画の真偽を判定する運転計画判定部（３０６）と、前記運転計画判定部により前記サーバ側運転計画が正しくないと判定されると地図サーバ装置（５００、５２０）に対して駐車可能領域情報の送信を要求する要求生成部（３０５）と、前記駐車可能領域情報を受信すると、その駐車可能領域情報に基づいて管理外領域に含まれた目標位置へと前記車両を導く経路が含まれる車両側運転計画を生成する車両側運転計画部（３０８）と、前記運転計画判定部により前記サーバ側運転計画が正しいと判定される場合には前記サーバ側運転計画に従った自動運転制御を実行するとともに、前記運転計画判定部により前記サーバ側運転計画が正しくないと判定される場合には前記車両側運転計画に従った自動運転制御を実行する自動運転制御部（３０９）と、を備える。

Description

自動バレーパーキングシステム

関連出願の相互参照

　本出願は、２０２０年１月１５日に出願された日本出願番号２０２０－００４４０１号に基づくもので、ここにその記載内容を援用する。

　本開示は、自動運転制御によるバレーパーキングを実現する自動バレーパーキングシステムに関する。

　従来、自動運転制御によるバレーパーキングシステムに関して、特許文献１に記載されるような技術が提案されている。本明細書では、自動運転制御によるバレーパーキングシステムのことを自動バレーパーキングシステムと称することがある。このような従来技術では、駐車場側に設けられる管理サーバなどのサーバ装置により作成された運転計画が車両に対して送信されるようになっている。

特開２０１８－０４１３８１号公報

　上記従来技術のシステムでは、駐車場サーバ装置と車両との間の通信が悪意のある第三者であるハッカーなどにより傍受された場合などには、車両に対して不正な内容の運転計画が送信される可能性がある。そうすると、車両は、その不正な運転計画に基づいて自動運転制御を行うことになる。この場合、車両が正しい駐車位置に駐車することができなくなるばかりか、最悪の場合、盗難などの被害が生じるおそれがある。このようなことから、上記従来技術のシステムは、システムの安全性が十分に高められているとは言い難く、セキュリティの面において課題があった。

　本開示の目的は、システムの安全性を高めることができる自動バレーパーキングシステムを提供することにある。

　本開示の一態様において、自動バレーパーキングシステムは、それぞれの間で互いにデータの送受信が可能に構成された車両、駐車場サーバ装置および駐車場内の領域に関する情報が記憶されたデータベースを有する地図サーバ装置を含み、自動運転制御によるバレーパーキングを実行するシステムである。この場合、前記駐車場内の領域は、少なくとも前記駐車場サーバ装置により管理される管理内領域と前記駐車場サーバ装置により管理されない管理外領域とに区分されている。

　前記駐車場サーバ装置は、前記管理内領域に含まれた目標位置へと前記車両を導く経路が含まれるサーバ側運転計画を生成し、そのサーバ側運転計画を前記車両に送信するサーバ側運転計画部を備える。前記地図サーバ装置は、前記車両からの要求に応じて前記管理外領域において前記車両の駐車が可能な領域を表す情報である駐車可能領域情報を前記データベースから取得し、その駐車可能領域情報を前記車両に送信する情報取得部を備える。前記車両は、運転計画判定部、要求生成部、車両側運転計画部および自動運転制御部を備える。

　前記運転計画判定部は、前記サーバ側運転計画の真偽を判定する。前記要求生成部は、前記運転計画判定部により前記サーバ側運転計画が正しくないと判定されると前記地図サーバ装置に対して前記駐車可能領域情報の送信を要求する。前記車両側運転計画部は、前記駐車可能領域情報を受信すると、その駐車可能領域情報に基づいて前記管理外領域に含まれた目標位置へと前記車両を導く経路が含まれる車両側運転計画を生成する。前記自動運転制御部は、前記運転計画判定部により前記サーバ側運転計画が正しいと判定される場合には前記サーバ側運転計画に従った自動運転制御を実行するとともに、前記運転計画判定部により前記サーバ側運転計画が正しくないと判定される場合には前記車両側運転計画に従った自動運転制御を実行する。上記構成では、駐車場サーバ装置と車両との間の通信を傍受した悪意のある第三者によりサーバ側運転計画が改ざんされた場合であっても、車両主導の自動運転制御によって駐車場サーバ装置により管理されない管理外領域に含まれる目標位置への自動駐車が行われるため、車両を正常に駐車させることが可能となる。したがって、上記構成によれば、システムの安全性を高めることができるという優れた効果が得られる。

　本開示についての上記目的およびその他の目的、特徴や利点は、添付の図面を参照しながら下記の詳細な記述により、より明確になる。その図面は、
図１は、第１実施形態に係る自動バレーパーキングシステムの全体構成を模式的に示す図であり、図２は、第１実施形態に係る自動バレーパーキングシステムの各部の詳細構成を模式的に示す図であり、図３は、第１実施形態に係る自動バレーパーキングが実行される際における各部の処理の流れを示す図その１であり、図４は、第１実施形態に係る拡大要求処理の内容を示す図であり、図５は、第１実施形態に係る自動バレーパーキングが実行される際における各部の処理の流れを示す図その２であり、図６は、第１実施形態に係る切り替え時処理の第１処理の内容を示す図であり、図７は、第１実施形態に係る切り替え時処理の第２処理の内容を示す図であり、図８は、第１実施形態に係る駐車時処理の内容を示す図であり、図９は、第１実施形態に係る出発時処理の内容を示す図であり、図１０は、第１実施形態に係る運転計画の判定に関する具体的な事例１を説明するための図であり、図１１は、第１実施形態に係る運転計画の判定に関する具体的な事例２を説明するための図であり、図１２は、第１実施形態に係る運転計画の判定に関する具体的な事例３を説明するための図であり、図１３は、第２実施形態に係る自動バレーパーキングシステムの全体構成を模式的に示す図であり、図１４は、第２実施形態に係る自動バレーパーキングシステムの各部の詳細構成を模式的に示す図であり、図１５は、第２実施形態に係る自動バレーパーキングが実行される際における各部の処理の流れを示す図その１であり、図１６は、第２実施形態に係る自動バレーパーキングが実行される際における各部の処理の流れを示す図その２であり、図１７は、第２実施形態に係る拡大要求処理の内容を示す図であり、図１８は、第２実施形態に係る切り替え時処理の第２処理の内容を示す図であり、図１９は、第３実施形態に係る自動バレーパーキングシステムの各部の詳細構成を模式的に示す図であり、図２０は、第３実施形態に係る切り替え時処理の第１処理の内容を示す図であり、図２１は、第３実施形態に係る駐車時処理の内容を示す図であり、図２２は、第３実施形態に係る出発時処理の内容を示す図である。

　以下、複数の実施形態について図面を参照して説明する。なお、各実施形態において実質的に同一の構成には同一の符号を付して説明を省略する。
　　　（第１実施形態）
　以下、第１実施形態について図１～図１２を参照して説明する。

　　＜自動バレーパーキングシステム１００の全体構成＞
　図１に示す本実施形態の自動バレーパーキングシステム１００は、端末装置２００、車両に相当する自動車３００、駐車場サーバ装置４００および地図サーバ装置５００を含み、自動運転制御によるバレーパーキングを実行するシステムである。なお、本明細書では、自動バレーパーキングのことをＡＶＰと省略することがある。端末装置２００は、通信機能を有するとともに、その所有者の認証情報が格納された機器である。端末装置２００および自動車３００は、それぞれの間でデータの送受信、つまり通信が可能に構成されている。

　端末装置２００および自動車３００は、図１に破線で示すように、例えば近距離無線通信によりデータの送受信を行う構成でもよいし、ネットワーク６００を介してデータの送受信を行う構成でもよい。ネットワーク６００としては、例えば、無線ＬＡＮ、移動体通信網などを挙げることができる。また、端末装置２００および駐車場サーバ装置４００は、ネットワーク６００を介して通信可能に接続されており、自動車３００および駐車場サーバ装置４００は、ネットワーク６００を介して通信可能に接続されている。このように、ＡＶＰシステム１００では、端末装置２００、自動車３００および駐車場サーバ装置４００は、それぞれの間で互いにデータの送受信が可能に構成されている。

　本実施形態では、端末装置２００は、例えばスマートフォン、タブレット端末などのスマートデバイスとなっている。なお、端末装置２００としては、所有者の認証情報が格納されるとともに通信機能が追加された自動車用電子キーなどであってもよい。自動車３００は、自動運転機能を有する自動車である。自動車３００および地図サーバ装置５００は、ネットワークを介して通信可能に接続されている。

　駐車場サーバ装置４００は、バレーパーキングサービスを提供する施設の駐車場に設けられるサーバ装置である。駐車場サーバ装置４００は、このような施設または施設と契約している駐車場管理会社により管理および管轄されている。なお、駐車場サーバ装置４００は、例えば駐車場管理会社の本社ビルなど、駐車場とは異なる場所に設けられることもある。地図サーバ装置５００は、後述する一時鍵の有効区間に関する情報である有効区間情報を取得し、その有効区間情報を自動車３００に送信する。

　地図サーバ装置５００は、信頼できる第三者機関、例えば自動運転制御に関する行政、測量などを取り扱う専門の公的機関、国土交通省の関係機関などにより管理および管轄されている。この場合、駐車場内の領域は、少なくとも駐車場サーバ装置４００により管理される管理内領域と駐車場サーバ装置４００により管理されない管理外領域とに区分されている。地図サーバ装置５００は、このような駐車場内の領域に関する情報が記憶されたデータベースを有している。

　　＜端末装置２００の詳細構成＞
　端末装置２００は、その内部に電子鍵が格納されており、電子鍵を用いた認証を行うことにより、自動車３００に自動運転を実行させることができる。しかしながら、このような電子鍵を外部の装置などに対して特段の制限なく送信することは、セキュリティの低下を招くおそれがあることから好ましくない。

　そこで、この場合、ＡＶＰが実行される際にだけ、端末装置２００は、電子鍵と同等の鍵として機能する一時鍵Ｄａを生成する。このような一時鍵Ｄａにより電子鍵と同様に所有者の認証を行うことが可能となり、自動車３００に自動運転を実行させることができる。ただし、一時鍵Ｄａは、電子鍵とは異なる条件、例えば予め定められた有効期間を過ぎた場合、自動車３００が有効区間の範囲外に出た場合などに失効するようになっている。

　図２に示すように、端末装置２００は、外部の装置との間で各種のデータを送受信するデータ送受信部２０１および各種のデータを記憶する記憶部２０２を備えている。記憶部２０２には、予め格納された各種の情報のほか、データ送受信部２０１を介して受信される各種の情報も記憶される。また、端末装置２００は、検証部２０３および一時鍵生成部２０４などの機能ブロックを備えている。

　これら各機能ブロックは、端末装置２００が備えるＣＰＵが非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行してコンピュータプログラムに対応する処理を実行することにより実現されている、つまりソフトウェアにより実現されている。なお、各機能ブロックのうち少なくとも一部をハードウェアにより実現する構成としてもよい。

　検証部２０３は、データ送受信部２０１を介して駐車場サーバ装置４００から送信される一時鍵要求Ｄｂを受信すると、その一時鍵要求Ｄｂの真贋を検証する。なお、駐車場サーバ装置４００による一時鍵要求Ｄｂの送信については後述する。一時鍵生成部２０４は、検証部２０３による検証結果が真である場合に一時鍵Ｄａを生成する。また、一時鍵生成部２０４は、生成した一時鍵Ｄａを、データ送受信部２０１を介して自動車３００および駐車場サーバ装置４００に送信する。

　　＜自動車３００の詳細構成＞
　自動車３００は、外部の装置との間で各種のデータを送受信するデータ送受信部３０１および各種のデータを記憶する記憶部３０２を備えている。記憶部３０２には、予め格納された各種の情報のほか、データ送受信部３０１を介して受信される各種の情報も記憶される。また、自動車３００は、検証部３０３、有効期間判定部３０４、要求生成部３０５、運転計画判定部３０６、情報送信部３０７、運転計画部３０８、自動運転制御部３０９および駐車位置送信部３１０などの機能ブロックを備えている。

　これら各機能ブロックは、自動車３００が備えるＣＰＵが非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行してコンピュータプログラムに対応する処理を実行することにより実現されている、つまりソフトウェアにより実現されている。なお、各機能ブロックのうち少なくとも一部をハードウェアにより実現する構成としてもよい。

　検証部３０３は、端末装置２００および駐車場サーバ装置４００から送信された一時鍵Ｄａを受信すると、それら一時鍵Ｄａの真贋を検証するものである。なお、駐車場サーバ装置４００による一時鍵Ｄａの送信については後述する。一時鍵Ｄａの検証方法としては、様々な方法を採用することができるが、例えば一時鍵Ｄａに署名を付与し、その署名を検証する方法を採用することができる。

　有効期間判定部３０４は、検証部３０３による検証結果が真である場合に一時鍵Ｄａの有効期間を判定する。要求生成部３０５は、有効区間情報の送信を要求する区間情報要求Ｄｃを生成する。区間情報要求Ｄｃには、自動車３００の現在位置の情報も含まれている。要求生成部３０５は、生成した区間情報要求Ｄｃを、データ送受信部３０１を介して地図サーバ装置５００に送信する。要求生成部３０５により実行される各処理は、要求生成手順に相当する。

　運転計画判定部３０６は、駐車場サーバ装置４００から送信された運転計画Ｄｄを受信すると、その運転計画Ｄｄの真偽を判定する。この場合における「真」とは改ざんの可能性が無く正しいものを意味し、「偽」とは改ざんの可能性が有り正しくないものを意味している。なお、駐車場サーバ装置４００による運転計画Ｄｄの送信については後述する。本明細書では、駐車場サーバ装置４００により生成される運転計画のことをサーバ側運転計画と称することがある。運転計画判定部３０６により実行される各処理は、運転計画判定手順に相当する。

　情報送信部３０７は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しくない、つまり改ざんの可能性が有ると判定されると、車両関連情報Ｄｅを取得する。情報送信部３０７は、取得した車両関連情報Ｄｅを、データ送受信部３０１を介して駐車場サーバ装置４００に送信する。車両関連情報Ｄｅは、自動車３００に関連する情報であり、例えば、自動車３００の目標駐車位置付近の映像、自動車３００に搭載されている各種のセンサから得られる情報、自動車３００の現在位置を表す位置情報など、自動車３００の周囲の情報が挙げられる。なお、これらの情報は、自動車３００に搭載されたカメラおよび各種のセンサだけでなく、駐車場に設けられたカメラ、各種のセンサなどから取得することもできる。情報送信部３０７により実行される各処理は、情報送信手順に相当する。

　また、要求生成部３０５は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しくない、つまりサーバ側運転計画Ｄｄに改ざんの可能性が有ると判定されると、駐車可能領域情報Ｄｆの送信を要求する領域情報要求Ｄｇを生成する。要求生成部３０５は、生成した領域情報要求Ｄｇを、データ送受信部３０１を介して地図サーバ装置５００に送信する。駐車可能領域情報Ｄｆは、管理外領域において自動車３００の駐車が可能な領域を表す情報である。

　運転計画部３０８は、車両側運転計画部として機能するものであり、データ送受信部３０１を介して地図サーバ装置５００から送信された駐車可能領域情報Ｄｆを受信すると、その駐車可能領域情報Ｄｆに基づいて運転計画Ｄｈを生成する。運転計画部３０８により実行される各処理は、車両側運転計画手順に相当する。なお、地図サーバ装置５００による駐車可能領域情報Ｄｆの送信については後述する。運転計画Ｄｈには、自動車３００の現在位置、管理外領域に含まれた目標位置、現在位置から目標位置へと自動車３００を導く経路、自動車３００の直進、右左折および後退のタイミング、走行速度などが含まれている。本明細書では、自動車３００により生成される運転計画のことを車両側運転計画と称することがある。

　自動運転制御部３０９は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しく改ざんの可能性が無いと判定される場合にはサーバ側運転計画Ｄｄに従った自動運転制御を実行する。また、自動運転制御部３０９は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しくなく改ざんの可能性が有ると判定される場合には車両側運転計画Ｄｈに従った自動運転制御を実行する。自動運転制御部３０９により実行される各処理は、自動運転制御手順に相当する。

　駐車位置送信部３１０は、自動運転制御部３０７が車両側運転計画Ｄｈに従った自動運転制御を実行することにより管理外領域に含まれた目標位置への自動車３００の駐車が完了すると、その駐車された位置、つまり自動車３００の停車位置を表す駐車位置情報Ｄｉを生成する。駐車位置送信部３１０は、生成した駐車位置情報Ｄｉを、データ送受信部３０１を介して地図サーバ装置５００に送信する。

　また、駐車位置送信部３１０は、上述したように管理外領域に含まれた目標位置に駐車された自動車３００が出庫のために出発する際、自動車３００が出発する旨を表す出発情報Ｄｊを生成する。駐車位置送信部３１０は、生成した出発情報Ｄｊおよび駐車位置情報Ｄｉを、データ送受信部３０１を介して地図サーバ装置５００に送信する。駐車位置送信部３１０により実行される各処理は、駐車位置送信手順に相当する。

　　＜駐車場サーバ装置４００の詳細構成＞
　駐車場サーバ装置４００は、外部の装置との間で各種のデータを送受信するデータ送受信部４０１および各種のデータを記憶する記憶部４０２を備えている。記憶部４０２には、予め格納された各種の情報のほか、データ送受信部４０１を介して受信される各種の情報も記憶される。また、駐車場サーバ装置４００は、鍵要求生成部４０３、署名生成部４０４、運転計画部４０５、異常対応処理部４０６および要求生成部４０７などの機能ブロックを備えている。

　これら各機能ブロックは、駐車場サーバ装置４００が備えるＣＰＵが非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行してコンピュータプログラムに対応する処理を実行することにより実現されている、つまりソフトウェアにより実現されている。なお、各機能ブロックのうち少なくとも一部をハードウェアにより実現する構成としてもよい。

　鍵要求生成部４０３は、一時鍵Ｄａの生成を要求する一時鍵要求Ｄｂを生成し、その一時鍵要求Ｄｂを端末装置２００に送信する。署名生成部４０４は、鍵要求生成部４０３により生成された一時鍵要求Ｄｂに署名を付与する。このように署名を付与する理由は、端末装置２００において一時鍵要求Ｄｂの真贋を判定できるようにするためである。このように署名が付与された一時鍵要求Ｄｂは、データ送受信部４０１を介して端末装置２００に送信される。

　運転計画部４０５は、サーバ側運転計画部として機能するものであり、データ送受信部４０１を介して端末装置２００から送信された一時鍵Ｄａを受信すると、サーバ側運転計画Ｄｄを生成する。サーバ側運転計画Ｄｄには、自動車３００の現在位置、管理内領域に含まれた目標位置、現在位置から目標位置へと自動車３００を導く経路、自動車３００の直進、右左折および後退のタイミング、走行速度などが含まれている。

　運転計画部４０５は、管理内領域に存在する駐車枠、つまり駐車スペースの空き状況などを考慮したうえで、最適な位置を上述した目標位置として設定する。運転計画部４０５は、生成したサーバ側運転計画Ｄｄおよび一時鍵Ｄａを、データ送受信部４０１を介して自動車３００に送信する。運転計画部４０５により実行される各処理は、サーバ側運転計画手順に相当する。

　異常対応処理部４０６は、データ送受信部４０１を介して自動車３００から送信された車両関連情報Ｄｅを受信すると、その車両関連情報Ｄｅおよびサーバ側運転計画Ｄｄに基づいて、サーバ側運転計画Ｄｄに起因して自動車３００の周辺において発生した異常の層別を行う。そして、異常対応処理部４０６は、その層別の結果に応じた異常対応処理を実行する。異常対応処理部４０６により実行される各処理は、異常対応処理手順に相当する。なお、これら異常の層別および異常対応処理の具体的な内容などについては後述する。

　要求生成部４０７は、管理内領域に自動車３００の駐車が可能な領域が存在しないと判断すると、管理領域の拡大を要求する領域拡大要求Ｄｋを生成する。要求生成部４０７は、生成した領域拡大要求Ｄｋを、データ送受信部４０１を介して地図サーバ装置５００に送信する。つまり、要求生成部４０７は、管理内領域に駐車枠の空きが存在しないと判断すると、地図サーバ装置５００に対して管理内領域の拡大を要求する。要求生成部４０７により実行される各処理は、要求生成手順に相当する。

　要求生成部４０７は、次のような場合にも領域拡大要求Ｄｋを生成することができる。すなわち、要求生成部４０７は、現在の駐車対象とされる自動車３００に関しては駐車が可能な領域が存在するものの、後続で駐車要求があり、その駐車対象とされる１台または複数台の自動車の駐車が可能な領域が存在しないと判断すると、領域拡大要求Ｄｋを生成する。この場合、要求生成部４０７は、後続の自動車の台数に応じて、それら後続の自動車の全てが駐車可能となるように管理領域の拡大を要求するような内容を表す領域拡大要求Ｄｋを生成することになる。

　上述したように管理内領域に自動車３００の駐車が可能な領域が存在しないと判断される場合、言い換えると、要求生成部４０７により領域拡大要求Ｄｋが生成される場合、運転計画部４０５は、サーバ側運転計画Ｄｄの生成を一時中断する。そして、運転計画部４０５は、データ送受信部４０１を介して地図サーバ装置５００から送信された拡大判定結果Ｄｌを受信すると、その拡大判定結果Ｄｌの内容に応じてサーバ側運転計画Ｄｄの生成を再開する。なお、地図サーバ装置５００による拡大判定結果Ｄｌの送信などについては後述するが、拡大判定結果Ｄｌには、管理内領域の拡大の可否、拡大後の管理内領域を表す情報などが含まれる。

　具体的には、運転計画部４０５は、受信した拡大判定結果Ｄｌが、管理内領域の拡大ができないという結果を表す内容である場合、サーバ側運転計画Ｄｄの生成の中断を継続する。また、運転計画部４０５は、受信した拡大判定結果Ｄｌが、管理内領域の拡大が可能であるという結果を表す内容である場合、サーバ側運転計画Ｄｄの生成を再開する。この場合、運転計画部４０５は、拡大後の管理内領域を表す情報に基づいて、目標位置の設定を行うことになる。

　　＜地図サーバ装置５００の詳細構成＞
　地図サーバ装置５００は、外部の装置との間で各種のデータを送受信するデータ送受信部５０１および各種のデータが蓄積されたデータベース５０２を備えている。また、地図サーバ装置５００は、情報取得部５０３およびデータベース更新部５０４などの機能ブロックを備えている。これら各機能ブロックは、地図サーバ装置５００が備えるＣＰＵが非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行してコンピュータプログラムに対応する処理を実行することにより実現されている、つまりソフトウェアにより実現されている。なお、各機能ブロックのうち少なくとも一部をハードウェアにより実現する構成としてもよい。

　情報取得部５０３は、データベース５０２に格納された各種のデータを取得する。情報取得部５０３は、データ送受信部５０１を介して自動車３００から送信された区間情報要求Ｄｃを受信すると、データベース５０２に蓄積された各種データを検索することにより一時鍵Ｄａの有効区間に関する情報である有効区間情報Ｄｍを取得する。情報取得部５０３は、取得した有効区間情報Ｄｍを、データ送受信部５０１を介して自動車３００に送信する。

　なお、有効区間は、一時鍵Ｄａによって自動車３００が走行可能となる範囲である走行可能範囲に相当する。また、有効区間情報は、走行可能範囲に関する情報である走行可能範囲情報に相当する。有効区間情報Ｄｍは、例えば信頼できる第三者機関により予め準備されているものであり、データベース５０２内に蓄積されている。有効区間情報Ｄｇは、一時鍵Ｄａが有効に使用できる区間である有効区間が記憶された地図情報となっている。なお、有効区間としては、例えばＡＶＰのサービスが提供されるエリア、つまり駐車場内のエリアだけを対象とすることができる。

　また、情報取得部５０３は、データ送受信部５０１を介して自動車３００から送信された領域情報要求Ｄｇを受信すると、データベース５０２に蓄積された各種データを検索することにより、駐車可能領域情報Ｄｆを取得する。情報取得部５０３は、取得した駐車可能領域情報Ｄｆを、データ送受信部５０１を介して自動車３００に送信する。つまり、情報取得部５０３は、自動車３００からの要求に応じて駐車可能領域情報Ｄｆをデータベース５０２から取得し、その駐車可能領域情報Ｄｆを自動車３００に送信する。情報取得部５０３により実行される各処理は、情報取得手順に相当する。

　データベース更新部５０４は、データベース５０２の更新を行うものであり、区分変更部５０５および駐車可能領域変更部５０６を備えている。区分変更部５０５は、データ送受信部５０１を介して駐車場サーバ装置４００から送信された領域拡大要求Ｄｋを受信すると、管理内領域の拡大の可否を判断する。区分変更部５０５は、管理内領域の拡大が可能であると判断すると、管理内領域を拡大するようにデータベース５０２を更新する。

　つまり、区分変更部５０５は、駐車場サーバ装置４００からの要求に応じて管理内領域を拡大するようにデータベース５０２に記憶された情報を更新する。また、区分変更部５０５は、管理内領域の拡大の可否、拡大後の管理内領域を表す情報などが含まれる拡大判定結果Ｄｌを、データ送受信部５０１を介して駐車場サーバ装置４００に送信する。区分変更部５０５により実行される各処理は、区分変更手順に相当する。

　駐車可能領域変更部５０６は、データ送受信部５０１を介して自動車３００から送信された駐車位置情報Ｄｉを受信すると、その駐車位置情報Ｄｉが表す領域、つまり自動車３００が駐車した場所を、管理外領域において自動車３００の駐車が可能な領域から除外するようにデータベース５０２を更新する。つまり、駐車可能領域変更部５０６は、駐車位置情報Ｄｉを受信すると、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３００の駐車が可能な領域から除外するようにデータベース５０２に記憶された情報を更新する。

　また、駐車可能領域変更部５０６は、データ送受信部５０１を介して自動車３００から送信された出発情報Ｄｊおよび駐車位置情報Ｄｉを受信すると、その駐車位置情報Ｄｉが表す領域、つまり管理外領域において自動車３００の駐車が可能な領域から除外されていた場所を、管理外領域において自動車３００の駐車が可能な領域に戻すようにデータベース５０２を更新する。つまり、駐車可能領域変更部５０６は、出発情報Ｄｊおよび駐車位置情報Ｄｉを受信すると、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３００の駐車が可能な領域に戻すようにデータベース５０２に記憶された情報を更新する。駐車可能領域変更部５０６により時刻される各処理は、駐車可能領域変更手順に相当する。

　　＜運転計画判定部による具体的な判定手法＞
　自動車３００の運転計画判定部３０６によるサーバ側運転計画Ｄｄの具体的な判定手法としては、例えば以下のような手法を採用することができる。すなわち、運転計画判定部３０６は、サーバ側運転計画Ｄｄの経路に自動車３００が駐車場の外部に導かれる経路が含まれているとサーバ側運転計画Ｄｄが正しくなく改ざんの可能性が有ると判定するようになっている。

　また、運転計画判定部３０６は、サーバ側運転計画Ｄｄの目標位置に自動車３００とは別の自動車などの車両が停車しているとサーバ側運転計画Ｄｄが正しくなく改ざんの可能性が有ると判定するようになっている。さらに、運転計画判定部３０６は、サーバ側運転計画Ｄｄの目標位置を含む経路上に自動車３００の走行の妨げとなる物体である障害物が存在する場合、サーバ側運転計画Ｄｄが正しくなく改ざんの可能性が有ると判定するようになっている。

　次に、上記構成の作用について説明する。まず、ＡＶＰが実行される際における各部の処理について図３～図９を参照して説明する。
　　＜「ＡＶＰ申し込み」から「一時鍵検証」までの処理の流れ＞
　ＡＶＰ申し込み～一時鍵検証までの処理は、図３に示すような内容の処理となる。まず、ユーザの操作によりバレーパーキングが申し込まれると、端末装置２００は、ステップＳ２０１において、バレーパーキングを申し込む旨を表す申込情報Ｄｎを、駐車場サーバ装置４００へ送信する。

　申込情報Ｄｎには、バレーパーキングの対象とする自動車３００の種類（例えば、普通自動車であるか、軽自動車であるか、など）、車高など、駐車枠の選択に役立つ情報が含まれていてもよい。駐車場サーバ装置４００は、ステップＳ４０１において申込情報Ｄｎを受信すると、ステップＳ４０２において一時鍵要求Ｄｂを生成し、ステップＳ４０３において一時鍵要求Ｄｂに署名を付与する。その後、駐車場サーバ装置４００は、ステップＳ４０４において、署名が付与された一時鍵要求Ｄｂを端末装置２００へ送信する。

　端末装置２００は、ステップＳ２０２において一時鍵要求Ｄｂを受信すると、ステップＳ２０３において一時鍵要求Ｄｂに付与された署名に基づいて一時鍵要求Ｄｂの真贋を検証する。端末装置２００は、ステップＳ２０３での検証結果が真である場合、ステップＳ２０４において一時鍵Ｄａを生成する。その後、端末装置２００は、ステップＳ２０５において一時鍵Ｄａを自動車３００へ送信するとともに、ステップＳ２０６において一時鍵Ｄａを駐車場サーバ装置４００へ送信する。

　自動車３００は、ステップＳ３０１において一時鍵Ｄａを受信すると、ステップＳ３０２において一時鍵Ｄａの真贋を検証する。駐車場サーバ装置４００は、ステップＳ４０５において一時鍵Ｄａを受信すると、ステップＳ４０６において、駐車場の管理内領域に自動車３００の駐車可能な領域が存在するか否かを判断する。ここで、管理内領域に自動車３００の駐車可能な領域となる駐車枠が存在しないと判断される場合、ステップＳ４０６で「ＮＯ」となり、ステップＳ４０７に進む。ステップＳ４０７では、駐車可能な領域の拡大を要求するための拡大要求処理が実行される。なお、拡大要求処理については後述する。ステップＳ４０７の実行後、ステップＳ４０８に進む。

　一方、管理内領域に自動車３００の駐車可能な領域となる駐車枠が存在すると判断される場合、ステップＳ４０６で「ＹＥＳ」となり、ステップＳ４０８に進む。駐車場サーバ装置４００は、ステップＳ４０８において、管理内領域に含まれた目標位置へと自動車３００を導く経路が含まれるサーバ側運転計画Ｄｄを生成する。この際、駐車場サーバ装置４００は、駐車枠の空き状況に応じて適切な目標位置を選定する。なお、申込情報Ｄｎに自動車３００の種類、車高などの情報が含まれている場合、駐車場サーバ装置４００は、それらの情報を考慮して最適な目標位置を選定するようにしてもよい。

　その後、駐車場サーバ装置４００は、ステップＳ４０９において一時鍵Ｄａおよび生成したサーバ側運転計画Ｄｄを自動車３００へ送信する。自動車３００は、ステップＳ３０３において一時鍵Ｄａおよびサーバ側運転計画Ｄｄを受信すると、ステップＳ３０４において一時鍵Ｄａの真贋を検証する。

　　＜拡大要求処理について＞
　拡大要求処理は、図４に示すような内容となる。まず、駐車場サーバ装置４００は、ステップＳ４１０において、領域拡大要求Ｄｋを生成するとともに、その生成した領域拡大要求Ｄｋを地図サーバ装置５００へ送信する。地図サーバ装置５００は、ステップＳ５０１において領域拡大要求Ｄｋを受信すると、ステップＳ５０２において、管理内領域の拡大の可否を判断する領域拡大判定を行う。

　その後、地図サーバ装置５００は、ステップＳ５０３において、領域拡大判定の結果に基づいて拡大判定結果Ｄｌを生成するとともに、その生成した拡大判定結果Ｄｌを駐車場サーバ装置４００へ送信する。駐車場サーバ装置４００は、ステップＳ４１１において拡大判定結果Ｄｌを受信すると、ステップＳ４１２において拡大判定結果Ｄｌに基づいて管理内領域の拡大が可能であるか否かを判断する。

　ここで、管理内領域の拡大が可能であると判断される場合、ステップＳ４１２で「ＹＥＳ」となり、拡大要求処理を終了し、サーバ側運転計画Ｄｄを生成するためのステップＳ４０８に進む。これに対し、管理内領域の拡大が不可能であると判断される場合、ステップＳ４１２で「ＮＯ」となり、ステップＳ４１３に進む。ステップＳ４１３では、自動運転がペンディングとされる。この場合、所定時間の経過後などに再び拡大要求処理が実行され、管理内領域の拡大の可否が判断される。

　　＜「有効期間判定」から「出発時処理」までの処理の流れ＞
　有効期間判定～出発時処理までの処理は、図５に示すような内容の処理となる。まず、自動車３００は、ステップＳ３０２およびＳ３０４での検証結果が真である場合、ステップＳ３０５において一時鍵Ｄａの有効期間を判定する。自動車３００は、ステップＳ３０５での判定の結果、有効期間を過ぎていないと判断すると、ステップＳ３０６において区間情報要求Ｄｃを生成する。その後、自動車３００は、ステップＳ３０７において区間情報要求Ｄｃを地図サーバ装置５００へ送信する。

　地図サーバ装置５００は、ステップＳ５０１において区間情報要求Ｄｃを受信すると、ステップＳ５０５においてデータベース５０２に蓄積された各種データを検索することにより有効区間情報Ｄｍを取得する。その後、地図サーバ装置５００は、ステップＳ５０６において有効区間情報Ｄｍを自動車３００へ送信する。自動車３００は、ステップＳ３０８において有効区間情報Ｄｍを受信すると、ステップＳ３０９においてサーバ側運転計画Ｄｄの真偽を判定する。詳細は後述するが、自動車３００は、有効区間情報Ｄｍとサーバ側運転計画Ｄｄとを照合することなどにより、サーバ側運転計画Ｄｄの真偽を判定する。

　ここで、サーバ側運転計画Ｄｄが正しく改ざんの可能性が無いと判定される場合、ステップＳ３１０で「ＹＥＳ」となり、ステップＳ３１１に進む。自動車３００は、ステップＳ３１１においてサーバ側運転計画Ｄｄに従った自動運転制御を実行する。その後、自動車３００は、ステップＳ３１２において自動車３００の駐車が完了したか否かを判断する。ここで、自動車３００の駐車が完了していない場合、ステップＳ３１２で「ＮＯ」となり、ステップＳ３０９に戻る。一方、自動車３００の駐車が完了した場合、ステップＳ３１２で「ＹＥＳ」となり、本処理が終了となる。

　これに対し、サーバ側運転計画Ｄｄが正しくなく改ざんの可能性が有ると判定される場合、ステップＳ３１０で「ＮＯ」となり、ステップＳ３１３に進む。ステップＳ３１３では、自動車３００主導の制御、つまり車両主導制御へ切り替える際に行われる切り替え時処理が実行される。なお、切り替え時処理については後述する。ステップＳ３１３の実行後、ステップＳ３１４に進む。自動車３００は、ステップＳ３１４において車両側運転計画Ｄｈに従った自動運転制御を実行する。その後、自動車３００は、ステップＳ３１５において自動車３００の駐車が完了したか否かを判断する。

　ここで、自動車３００の駐車が完了していない場合、ステップＳ３１５で「ＮＯ」となり、ステップＳ３１４に戻る。一方、自動車３００の駐車が完了した場合、ステップＳ３１５で「ＹＥＳ」となり、ステップＳ３１６に進む。ステップＳ３１６では、車両主導制御によって自動車３００が駐車された際に行われる駐車時処理が実行される。なお、駐車時処理については後述する。ステップＳ３１６の実行後、ステップＳ３１７に進み、車両主導制御によって自動車３００が駐車された後に出発する際に行われる出発時処理が実行される。なお、出発時処理については後述する。ステップＳ３１７の実行後、本処理が終了となる。

　　＜切り替え時処理について＞
　切り替え時処理には、図６に示すような内容の第１処理と、図７に示すような内容の第２処理と、の２つの処理が含まれる。第１処理および第２処理は、並列に実行してもよいし、一方の実行後に他方を実行するように直列に実行してもよい。

　［１］第１処理
　第１処理では、まず、自動車３００は、ステップＳ３１８において、領域情報要求Ｄｇを生成するとともに、その生成した領域情報要求Ｄｇを地図サーバ装置５００へ送信する。地図サーバ装置５００は、ステップＳ５０７において領域情報要求Ｄｇを受信すると、ステップＳ５０８においてデータベース５０２に蓄積された各種データを検索することにより駐車可能領域情報Ｄｆを取得する。

　その後、地図サーバ装置５００は、ステップＳ５０９において駐車可能領域情報Ｄｆを自動車３００へ送信する。自動車３００は、ステップＳ３１９において駐車可能領域情報Ｄｆを受信すると、ステップＳ３２０において、駐車可能領域情報Ｄｆに基づいて管理外領域に含まれた目標位置へと自動車３００を導く経路が含まれる車両側運転計画Ｄｈを生成する。

　［２］第２処理
　第２処理では、まず、自動車３００は、ステップＳ３２１において車両関連情報Ｄｅを取得する。その後、自動車３００は、ステップＳ３２２において車両関連情報Ｄｅを駐車場サーバ装置４００へ送信する。駐車場サーバ装置４００は、ステップＳ４１４において車両関連情報Ｄｅを受信すると、ステップＳ４１５において、その車両関連情報Ｄｅおよびサーバ側運転計画Ｄｄに基づいて異常の層別を行うとともに、その層別の結果に応じた対応を実施する異常対応処理を実行する。

　　＜駐車時処理について＞
　駐車時処理は、図８に示すような内容となる。まず、自動車３００は、ステップＳ３２３において、駐車位置情報Ｄｉを生成するとともに、その生成した駐車位置情報Ｄｉを地図サーバ装置５００へ送信する。地図サーバ装置５００は、ステップＳ５１０において駐車位置情報Ｄｉを受信すると、ステップＳ５１１において、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３００の駐車が可能な領域から除外するようにデータベース５０２を更新する。

　　＜出発時処理について＞
　出発時処理は、図９に示すような内容となる。まず、自動車３００は、ステップＳ３２４において、出発情報Ｄｊを生成するとともに、その生成した出発情報Ｄｊを駐車位置情報Ｄｉとともに地図サーバ装置５００へ送信する。地図サーバ装置５００は、ステップＳ５１２において出発情報Ｄｊおよび駐車位置情報Ｄｉを受信すると、ステップＳ５１３において、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３００の駐車が可能な領域に戻すようにデータベース５０２を更新する。

　　＜運転計画の判定に関する具体的な事例＞
　続いて、サーバ側運転計画Ｄｄの判定に関する具体的な事例について図１０～図１２を参照して説明する。以下の説明では、入庫の事例を挙げるようにしているが、出庫の事例についても同様である。なお、図１０～図１２では、駐車場Ｐについて実線の直線で区切ることにより複数の駐車枠が模式的に表されている。また、図１０～図１２では、サーバ側運転計画Ｄｄにおける目標位置Ｇがハッチングを付与した丸印で表されている。さらに、図１０～図１２では、複数の自動車が描かれているが、それら複数の自動車のうちＡＶＰの対象となる自動車にだけ符号３００が付されている。

　［１］判定結果がＮＧとなる具体的な事例１
　図１０に示すように、事例１は、サーバ側運転計画Ｄｄによって駐車場外の領域を指定された場合の事例である。具体的には、事例１では、サーバ側運転計画Ｄｄにおける目標位置Ｇは、駐車場Ｐ内の領域ではなく、その駐車場Ｐに隣接する道路Ｒ上の領域となっている。

　運転計画判定部３０６は、図５に示したステップＳ３０９およびＳ３１０の処理が最初に実行される際、有効区間情報Ｄｍとサーバ側運転計画Ｄｄとを照合することにより、目標位置Ｇが走行可能範囲内に設定されているか否かを判断することが可能である。したがって、運転計画判定部３０６は、このような事例１については、ＡＶＰのための自動運転制御が開始される前に、目標位置Ｇが走行可能範囲外に設定されていると判断してサーバ側運転計画Ｄｄが正しくなく改ざんの可能性が有ると判定することができる。そのため、事例１では、サーバ側運転計画Ｄｄに従った自動運転制御が実行されることなく、車両主導制御へと切り替えが行われることになる。

　このような事例１の場合、駐車場サーバ装置４００の異常対応処理部４０６は、次のような処理を実行することが想定される。すなわち、異常対応処理部４０６は、このように目標位置などの位置情報に異常があると考えられる場合、自動車３００の通信が悪意のある第三者などにより乗っ取られたと判断する。そして、異常対応処理部４０６は、車両関連情報Ｄｅに基づいて、このような異常が検出された際における自動車３００の周囲の情報、発生時刻などを記録する。

　［２］判定結果がＮＧとなる具体的な事例２
　図１１に示すように、事例２は、サーバ側運転計画Ｄｄによって指定された駐車スペースに別の自動車が停車している場合の事例である。具体的には、事例２では、サーバ側運転計画Ｄｄにおける目標位置Ｇは、駐車場Ｐ内の領域となっているものの、その目標位置Ｇが表す駐車枠に既に別の自動車が停車している。運転計画判定部３０６は、図５に示したように、サーバ側運転計画Ｄｄに従った自動運転制御が開始された後も、駐車が完了するまでの間は継続して、サーバ側運転計画Ｄｄを判定するためのステップＳ３０９およびＳ３１０の処理を実行するようになっている。

　したがって、運転計画判定部３０６は、このような事例２については、自動運転制御の開始後、自動車３００が目標位置Ｇに近づいた時点において、その目標位置Ｇに別の自動車が停車していることが検出されることで、サーバ側運転計画Ｄｄが正しくなく改ざんの可能性があると判定することができる。なお、目標位置Ｇに別の自動車が停車していることは、自動車３００に搭載されたカメラの映像などにより検出することができる。そのため、事例２では、サーバ側運転計画Ｄｄに従った自動運転制御が一旦実行された後、車両主導制御へと切り替えが行われることになる。

　このような事例２の場合、駐車場サーバ装置４００の異常対応処理部４０６は、次のような処理を実行することが想定される。すなわち、異常対応処理部４０６は、このように目標位置などの位置情報は正常であると考えられるが、その目標位置に意図しない別の自動車が停車している場合、その別の自動車の通信および自動車３００の通信のうちいずれかの通信が悪意のある第三者などにより乗っ取られたと判断する。

　そして、異常対応処理部４０６は、既に送信済みの全てのサーバ側運転計画に基づいて、停車している別の自動車および自動車３００のいずれの通信が乗っ取られたか、つまり別の自動車および自動車３００のどちらに異常が生じているか、を判断する。このような判断は、例えば次のように行うことができる。すなわち、異常対応処理部４０６は、送信済みのサーバ側運転計画の中から、現在別の自動車が停車している位置と同一の目標位置が設定されたサーバ側運転計画を検索する。

　異常対応処理部４０６は、そのサーバ側運転計画の送信対象が別の自動車である場合には自動車３００に異常が生じていると判断する。また、異常対応処理部４０６は、そのサーバ側運転計画の送信対象が自動車３００である場合には別の自動車に異常が生じていると判断する。この場合、別の自動車は、不正な運転計画を受信し、その不正な運転計画に従った自動運転制御を実行したものの、その目標位置として設定された駐車枠が偶然にも空いていたために駐車が出来てしまったといった状況が想定される。

　その後、異常対応処理部４０６は、車両関連情報Ｄｅに基づいて、このような異常が検出された際における自動車３００の周囲の情報、発生時刻などを記録し、駐車場の管理者に各情報を通知する。ここで、上記した異常対応処理部４０６による判断の結果が、別の自動車に異常が生じているという判断であった場合には、再度、駐車場サーバ装置４００主導の自動運転制御を試みてもよい。すなわち、この場合、図３に示したステップＳ４０８に戻り、駐車場サーバ装置４００の運転計画部４０５が別の目標位置を含むサーバ側運転計画Ｄｄを再度生成し、以降の処理を実行するようにしてもよい。

　［３］判定結果がＮＧとなる具体的な事例３
　図１２に示すように、事例３は、サーバ側運転計画Ｄｄによって指定された駐車スペースに例えば三角コーンなどの障害物Ｏが存在する場合の事例である。具体的には、事例３では、サーバ側運転計画Ｄｄにおける目標位置Ｇは、駐車場Ｐ内の領域となっているものの、その目標位置Ｇが表す駐車枠に障害物Ｏが存在している。運転計画判定部３０６は、図５に示したように、サーバ側運転計画Ｄｄに従った自動運転制御が開始された後も、駐車が完了するまでの間は継続して、サーバ側運転計画Ｄｄを判定するためのステップＳ３０９およびＳ３１０の処理を実行するようになっている。

　したがって、運転計画判定部３０６は、このような事例３については、自動運転制御の開始後、自動車３００が目標位置Ｇに近づいた時点において、その目標位置Ｇに障害物Ｏが存在することが検出されることで、サーバ側運転計画Ｄｄが正しくなく改ざんの可能性があると判定することができる。なお、目標位置Ｇに障害物Ｏが存在することは、自動車３００に搭載されたカメラの映像などにより検出することができる。そのため、事例３では、サーバ側運転計画Ｄｄに従った自動運転制御が一旦実行された後、車両主導制御へと切り替えが行われることになる。

　このような事例３の場合、駐車場サーバ装置４００の異常対応処理部４０６は、次のような処理を実行することが想定される。すなわち、異常対応処理部４０６は、このように目標位置などの位置情報は正常であると考えられるが、その目標位置に障害物Ｏが存在している場合、駐車場側の問題であると判断する。そして、異常対応処理部４０６は、車両関連情報Ｄｅに基づいて、このような異常が検出された際における自動車３００の周囲の情報、発生時刻などを記録し、駐車場の管理者に各情報を通知する。

　この場合、駐車場側の問題であることから、再度、駐車場サーバ装置４００主導の自動運転制御を試みてもよい。すなわち、この場合、図３に示したステップＳ４０８に戻り、駐車場サーバ装置４００の運転計画部４０５が別の目標位置を含むサーバ側運転計画Ｄｄを再度生成し、以降の処理を実行するようにしてもよい。なお、事例３では、目標位置Ｇに障害物Ｏが存在するケースを説明したが、サーバ側運転計画Ｄｄに含まれる経路上のどこかに障害物Ｏが存在する場合も同様の処理が行われる。ただし、この場合、駐車場サーバ装置４００主導の自動運転制御を試みる際には、障害物Ｏを迂回するような経路のサーバ側運転計画Ｄｄが生成される必要がある。

　以上説明した本実施形態によれば、次のような効果が得られる。
　駐車場サーバ装置４００の運転計画部４０５は、駐車場サーバ装置４００により管理される管理内領域に含まれた目標位置へと自動車３００を導く経路が含まれるサーバ側運転計画Ｄｄを生成し、そのサーバ側運転計画Ｄｄを自動車３００に送信する。自動車３００の運転計画判定部３０６は、サーバ側運転計画Ｄｄの真偽を判定する、つまりサーバ側運転計画Ｄｄに改ざんの可能性があるか否かを判定する。自動車３００の自動運転制御部３０９は、サーバ側運転計画Ｄｄに従った自動運転制御を実行する。

　自動車３００の情報送信部３０７は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しくないと判定されると、つまりサーバ側運転計画Ｄｄに改ざんの可能性が有ると判定されると、自動車３００に関連する情報である車両関連情報Ｄｅを取得し、その車両関連情報Ｄｅを駐車場サーバ装置４００に送信する。駐車場サーバ装置４００の異常対応処理部４０６は、車両関連情報Ｄｅを受信すると、その車両関連情報Ｄｅおよびサーバ側運転計画Ｄｄに基づいて、正しくない、つまり改ざんの可能性が有るサーバ側運転計画Ｄｄに起因して自動車３００の周辺において発生した異常の層別を行い、その層別の結果に応じた異常対応処理を実行する。

　上記構成によれば、駐車場サーバ装置４００と自動車３００との間の通信を傍受した悪意のある第三者によりサーバ側運転計画Ｄｄが改ざんされた場合、駐車場サーバ装置４００の異常対応処理部４０６による異常対応処理が実行されるため、その改ざんされたサーバ側運転計画Ｄｄに従って自動運転制御されることにより生じる被害を最小限にとどめることが可能となる。したがって、上記構成によれば、システムの安全性を高めることができるという優れた効果が得られる。

　地図サーバ装置５００の情報取得部５０３は、自動車３００からの要求に応じて駐車場サーバ装置４００により管理されない管理外領域において自動車３００の駐車が可能な領域を表す情報である駐車可能領域情報Ｄｆをデータベース５０２から取得し、その駐車可能領域情報Ｄｆを自動車３００に送信する。自動車３００の要求生成部３０５は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しくないと判定されると地図サーバ装置５００に対して駐車可能領域情報Ｄｆの送信を要求する。自動車３００の運転計画部３０８は、駐車可能領域情報Ｄｆを受信すると、その駐車可能領域情報Ｄｆに基づいて管理外領域に含まれた目標位置へと自動車３００を導く経路が含まれる車両側運転計画Ｄｈを生成する。

　そして、自動車３００の自動運転制御部３０９は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しいと判定される場合にはサーバ側運転計画Ｄｄに従った自動運転制御を実行する。また、自動運転制御部３０９は、運転計画判定部３０６によりサーバ側運転計画Ｄｄが正しくないと判定される場合には車両側運転計画Ｄｈに従った自動運転制御を実行する。

　上記構成によれば、駐車場サーバ装置４００と自動車３００との間の通信を傍受した悪意のある第三者によりサーバ側運転計画Ｄｄが改ざんされた場合であっても、車両主導の自動運転制御によって駐車場サーバ装置４００により管理されない管理外領域に含まれる目標位置への自動駐車が行われるため、自動車３００を正常に駐車させることが可能となる。したがって、システムの安全性を高めることができるという優れた効果が得られる。

　上述したような異常が発生して所定の自動車３００が車両主導の自動運転制御に切り替えられた場合、駐車場内には、車両主導の自動駐車を行う自動車３００と、駐車場サーバ装置４００主導の自動駐車を行う自動車３００と、が混在することになる。ただし、この場合、駐車場内の領域は、駐車場サーバ装置４００により管理される管理内領域と駐車場サーバ装置４００により管理されない管理外領域とに区分されている。そのため、本実施形態によれば、このような異常発生時においても、駐車場全体の制御が複雑化することなく、スムーズな自動駐車の実現が可能となる。

　駐車場サーバ装置４００の要求生成部４０７は、管理内領域に自動車３００の駐車が可能な領域が存在しないと判断すると地図サーバ装置５００に対して管理内領域の拡大を要求する。そして、地図サーバ装置５００の区分変更部５０５は、駐車場サーバ装置４００からの要求に応じて管理内領域を拡大するようにデータベース５０２に記憶された情報を更新する。

　管理外領域は、異常発生時において車両主導の自動運転制御を実施する場合にだけ使用ものであり、正常時には使用されることはない。上記構成によれば、例えば駐車場の管理内領域に含まれる駐車スペースが飽和した場合などにおいて、このような正常時に使用されることのない管理外領域を有効に利用する、つまり、管理外領域を削減して、その削減したスペースを管理内領域として割り当てることが可能となる。そのため、本実施形態のＡＶＰシステム１によれば、限りある駐車場内のスペースを有効的に活用した自動駐車を実現することができる。

　自動車３００の駐車位置送信部３１０は、自動運転制御部３０９が車両側運転計画Ｄｈに従った自動運転制御を実行することにより管理外領域に含まれた目標位置への自動車３００の駐車が完了すると、その駐車された位置を表す駐車位置情報Ｄｉを地図サーバ装置５００に送信する。地図サーバ装置５００の駐車可能領域変更部５０６は、駐車位置情報Ｄｉを受信すると、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３００の駐車が可能な領域から除外するようにデータベース５０２に記憶された情報を更新する。

　このような構成によれば、例えば同時期に複数の自動車３００が異常発生のために車両主導の自動運転制御に切り替えられた場合であっても、それらの目標位置が重複することなく、複数の自動車３００を正常に駐車させることが可能となる。したがって、上記構成によれば、システムの安全性を一層高めることができる。

　また、自動車３００の駐車位置送信部３１０は、管理外領域に含まれた目標位置に駐車された自動車３００が出庫のために出発する際、自動車３００が出発する旨を表す出発情報Ｄｊおよび駐車位置情報Ｄｉを地図サーバ装置５００に送信する。地図サーバ装置５００の駐車可能領域変更部５０６は、出発情報Ｄｊおよび駐車位置情報Ｄｉを受信すると、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３００の駐車が可能な領域に戻すようにデータベース５０２に記憶された情報を更新する。このようにすれば、限りある駐車場内のスペースを有効的に活用した自動駐車を実現することができる。

　自動車３００の運転計画判定部３０６は、サーバ側運転計画Ｄｄの経路に自動車３００が駐車場の外部に導かれる経路が含まれているとサーバ側運転計画Ｄｄが正しくないと判定する。そして、前述したように、自動車３００は、サーバ側運転計画Ｄｄが正しくないと判定されると車両主導の自動運転制御に切り替えられる。このようにすれば、例えば悪意のある第三者によるハッキングなどによってユーザの意図に反して自動車３００が駐車場の外部に導かれて盗難されてしまうといった最悪の事態の発生を防止することができる。

　自動車３００の運転計画判定部３０６は、サーバ側運転計画Ｄｄの目標位置に自動車３００とは別の自動車が停車しているとサーバ側運転計画Ｄｄが正しくないと判定する。そして、前述したように、自動車３００は、サーバ側運転計画Ｄｄが正しくないと判定されると車両主導の自動運転制御に切り替えられる。このようにすれば、目標位置に別の自動車が停車していることにより自動車３００が永久に駐車することができなくなるという事態の発生を防止することができる。

　自動車３００の運転計画判定部３０６は、サーバ側運転計画Ｄｄの目標位置を含む経路上に自動車３００の走行の妨げとなる物体である障害物Ｏが存在する場合、サーバ側運転計画Ｄｄが正しくないと判定する。そして、前述したように、自動車３００は、サーバ側運転計画Ｄｄが正しくないと判定されると車両主導の自動運転制御に切り替えられる。このようにすれば、通路または目標位置に障害物が存在することにより自動車３００が永久に駐車することができなくなるという事態の発生を防止することができる。

　　　（第２実施形態）
　以下、第２実施形態について図１３～図１８を参照して説明する。
　　＜自動バレーパーキングシステム１２０の全体構成＞
　図１３に示す本実施形態のＡＶＰシステム１２０は、第１実施形態のＡＶＰシステム１００に対し、端末装置２００、自動車３００、駐車場サーバ装置４００および地図サーバ装置５００に代えて端末装置２２０、自動車３２０、駐車場サーバ装置４２０および地図サーバ装置５２０を備えている点、ＯＥＭサーバ装置７００が追加されている点などが異なる。

　端末装置２２０と、駐車場サーバ装置４２０およびＯＥＭサーバ装置７００とは、ネットワーク６００を介して通信可能に接続されている。また、自動車３２０と、駐車場サーバ装置４２０およびＯＥＭサーバ装置７００とは、ネットワーク６００を介して通信可能に接続されている。さらに、ＯＥＭサーバ装置７００と、駐車場サーバ装置４２０および地図サーバ装置５２０とは、ネットワーク６００を介して通信可能に接続されている。このように、ＡＶＰシステム１２０では、端末装置２２０、自動車３２０、駐車場サーバ装置４２０、地図サーバ装置５２０およびＯＥＭサーバ装置７００は、それぞれの間で互いにデータの送受信が可能に構成されている。

　ＯＥＭサーバ装置７００は、自動車３２０の製造者である車両メーカー、いわゆるＯＥＭにより運営されるサーバ装置である。この場合、ＯＥＭサーバ装置７００は、ＯＥＭにより直接的に管理されるようになっている。なお、ＯＥＭサーバ装置７００は、ＯＥＭとの間で秘密保持契約などを締結するとともにＯＥＭより運営を委託された別の会社などにより間接的に管理されるようにすることもできる。

　　＜端末装置２２０の詳細構成＞
　この場合、詳細は後述するが、ＡＶＰが実行される際にだけ、ＯＥＭサーバ装置７００が一時鍵Ｄａを生成する。図１４に示すように、本実施形態の端末装置２２０は、第１実施形態の端末装置２００に対し、機能ブロックの構成について変更が加えられている。すなわち、本実施形態の端末装置２２０は、申込情報生成部２０５および情報暗号化部２０６などの機能ブロックを備えている。

　申込情報生成部２０３は、バレーパーキングの申し込みに関する情報である申込情報Ｄｎを生成する。申込情報Ｄｎには、ユーザの情報、申込先の駐車場の情報、駐車場の利用時間の情報などが含まれる。申込情報生成部２０３は、生成した申込情報Ｄｎを、データ送受信部２０１を介して駐車場サーバ装置４２０およびＯＥＭサーバ装置７００に送信する。

　この場合、記憶部２０２には、自動車３２０に関する情報である車両情報が記憶されている。車両情報には、例えば車種、車番、車高などのサイズ、車両の持ち主であるユーザの情報などに関する情報が含まれる。なお、車種に関する情報としては、例えば普通自動車であるか、軽自動車であるか、といった情報を挙げることができる。車種やサイズなどの情報は、駐車枠の選択に役立つ情報となる。情報暗号化部２０４は、記憶部２０２から車両情報を読み出し、その車両情報を暗号化する。情報暗号化部２０４は、暗号化した車両情報Ｄｏを、データ送受信部２０１を介して駐車場サーバ装置４２０およびＯＥＭサーバ装置７００に送信する。

　この場合、駐車場サーバ装置４２０に対する申込情報Ｄｎおよび車両情報Ｄｏの送信は、同時に行われる。また、この場合、ＯＥＭサーバ装置７００に対する申込情報Ｄｎおよび車両情報Ｄｏの送信は、同時に行われる。なお、ＯＥＭサーバ装置７００に送信される申込情報Ｄｎには、少なくとも申込先の駐車場の情報が含まれていればよい。また、以下の説明では、ＯＥＭサーバ装置７００に送信される申込情報Ｄｎおよび車両情報Ｄｏをまとめて認証情報と呼ぶことがある。

　　＜自動車３２０の詳細構成＞
　本実施形態の自動車３２０は、第１実施形態の自動車３００に対し、機能ブロックの構成について変更が加えられている。すなわち、本実施形態の自動車３２０は、要求生成部３０５、運転計画判定部３０６、情報送信部３０７、運転計画部３０８、自動運転制御部３０９、駐車位置送信部３１０および復号部３１１などの機能ブロックを備えている。

　この場合、要求生成部３０５は、データ送受信部３０１を介してＯＥＭサーバ装置７００から送信された一時鍵Ｄａおよび有効区間情報Ｄｍを受信すると、運転計画の生成を要求する運転計画要求Ｄｐを生成する。なお、ＯＥＭサーバ装置７００による一時鍵Ｄａおよび有効区間情報Ｄｍの送信については後述する。要求生成部３０５は、生成した運転計画要求Ｄｐを、データ送受信部３０１を介して駐車場サーバ装置４２０に送信する。

　復号部３１１は、ＯＥＭサーバ装置７００から送信された一時鍵Ｄａを受信するとともに駐車場サーバ装置４２０から送信されたパスワードＤｑを受信すると、それらの組み合わせが有効であるか否かを検証する。なお、駐車場サーバ装置４２０によるパスワードＤｑの送信については後述する。復号部３１１は、上記組み合わせが有効である場合、パスワードＤｑを用いて一時鍵Ｄａを解除する、つまり一時鍵Ｄａを有効化する。

　自動運転制御部３０９は、データ送受信部３０１を介してＯＥＭサーバ装置７００から送信された一時鍵Ｄａを受信するとともに、データ送受信部３０１を介して駐車場サーバ装置４２０から送信されたサーバ側運転計画ＤｄおよびパスワードＤｑを受信すると、サーバ側運転計画Ｄｄに従って自動運転制御を実行する。ただし、自動運転制御部３０９は、復号部３１１による検証結果として一時鍵ＤａおよびパスワードＤｑの組み合わせが有効であるという結果が得られた場合に、つまり、復号部３１１により一時鍵Ｄａが有効化された場合に、パスワードＤｑとともに送信されたサーバ側運転計画Ｄｄが利用可能であると判断し、そのサーバ側運転計画Ｄｄに従って自動運転制御を実行する。

　　＜駐車場サーバ装置４２０の詳細構成＞
　本実施形態の駐車場サーバ装置４２０は、第１実施形態の駐車場サーバ装置４００に対し、機能ブロックの構成について変更が加えられている。すなわち、本実施形態の駐車場サーバ装置４２０は、鍵要求生成部４０３、運転計画部４０５、異常対応処理部４０６および要求生成部４０７などの機能ブロックを備えている。

　この場合、鍵要求生成部４０３は、データ送受信部４０１を介して端末装置２２０から送信された申込情報Ｄｎおよび暗号化された車両情報Ｄｏを受信すると、一時鍵Ｄａの生成を要求する一時鍵要求Ｄｂを生成する。鍵要求生成部４０３は、生成した一時鍵要求Ｄｂと、暗号化された車両情報Ｄｏとを、データ送受信部４０１を介してＯＥＭサーバ装置７００に送信する。

　この場合、運転計画部４０５は、データ送受信部４０１を介して自動車３２０から送信された運転計画要求Ｄｐを受信すると、サーバ側運転計画Ｄｄを生成する。運転計画部４０５は、データ送受信部４０１を介してＯＥＭサーバ装置７００から送信されたパスワードＤｑを受信すると、生成したサーバ側運転計画ＤｄとともにパスワードＤｑを、データ送受信部４０１を介して自動車３２０に送信する。

　この場合、異常対応処理部４０６は、車両関連情報Ｄｅおよびサーバ側運転計画Ｄｄに基づいてサーバ側運転計画Ｄｄに起因して自動車３２０の周辺において発生した異常の層別を行うと、その異常の層別の結果を表す異常情報Ｄｒを、データ送受信部４０１を介してＯＥＭサーバ装置７００に送信する。また、この場合、要求生成部４０７は、生成した領域拡大要求Ｄｋを、ＯＥＭサーバ装置７００を経由して地図サーバ装置５２０に送信する。

　　＜ＯＥＭサーバ装置７００の詳細構成＞
　ＯＥＭサーバ装置７００は、外部の装置との間で各種のデータを送受信するデータ送受信部７０１および各種のデータを記憶する記憶部７０２を備えている。記憶部７０２には、予め格納された各種の情報のほか、データ送受信部７０１を介して受信される各種の情報も記憶される。また、ＯＥＭサーバ装置７００は、復号部７０３、検証部７０４、要求生成部７０５、一時鍵生成部７０６および異常検証部７０７などの機能ブロックを備えている。

　これら各機能ブロックは、ＯＥＭサーバ装置７００が備えるＣＰＵが非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行してコンピュータプログラムに対応する処理を実行することにより実現されている、つまりソフトウェアにより実現されている。なお、各機能ブロックのうち少なくとも一部をハードウェアにより実現する構成としてもよい。

　復号部７０３は、データ送受信部７０１を介して端末装置２２０から送信される暗号化された車両情報Ｄｏを受信すると、その車両情報Ｄｏを復号する。また、復号部７０３は、データ送受信部７０１を介して駐車場サーバ装置４００から送信される暗号化された車両情報Ｄｏを受信すると、その車両情報Ｄｏを復号する。検証部７０４は、データ送受信部７０１を介して端末装置２００から送信される申込情報Ｄｎを受信するとともに、データ送受信部７０１を介して駐車場サーバ装置４２０から送信された一時鍵要求Ｄｂを受信すると、その一時鍵要求Ｄｂの真贋を検証する。

　具体的には、検証部７０４は、次のようにして端末装置２２０および駐車場サーバ装置４２０から送信された各情報を検証することにより一時鍵要求Ｄｂの真贋を検証する。すなわち、検証部７０４は、端末装置２００から送信された車両情報Ｄｏと、駐車場サーバ装置４２０から送信された車両情報Ｄｏとが一致するか否かを判断する。また、検証部７０４は、端末装置２２０から送信された申込情報Ｄｎに含まれる申込先の駐車場と、一時鍵要求Ｄｂの送信元である駐車場サーバ装置４２０が設けられた駐車場とが一致するか否か、つまり駐車場情報が一致するか否かを判断する。

　検証部７０４は、車両情報Ｄｏが一致するとともに駐車場情報が一致する場合には一時鍵要求Ｄｂが真正であると判断し、車両情報Ｄｏおよび駐車場情報の一方または双方が一致しない場合には一時鍵要求Ｄｂが真正ではないと判断する。要求生成部７０５は、有効区間情報Ｄｍの送信を要求する区間情報要求Ｄｃを生成する。要求生成部７０５は、生成した区間情報要求Ｄｃを、データ送受信部７０１を介して地図サーバ装置５２０に送信する。

　一時鍵生成部７０６は、検証部７０４による検証結果が真である場合に一時鍵Ｄａを生成する。一時鍵生成部７０６は、データ送受信部７０１を介して地図サーバ装置５２０から送信された有効区間情報Ｄｍを受信すると、生成した一時鍵Ｄａとともに受信した有効区間情報Ｄｍを、データ送受信部７０１を介して自動車３２０に送信する。この場合、一時鍵生成部７０６は、一時鍵Ｄａを生成する際、一時鍵Ｄａを有効化するためのパスワードＤｑも生成するようになっている。なお、パスワードＤｑとしては、例えば、ワンタイムパスワードを採用することができる。一時鍵生成部７０６は、生成したパスワードＤｑを、駐車場サーバ装置４２０を経由して自動車３２０に送信する。

　異常検証部７０７は、データ送受信部７０１を介して駐車場サーバ装置４２０から送信された異常情報Ｄｒを受信すると、その異常情報Ｄｒに基づいて自動車３２０の周辺において発生した異常を検証する異常検証処理を行う。異常検証部７０７により実行される各処理は、異常検証手順に相当する。

　　＜地図サーバ装置５２０の詳細構成＞
　本実施形態の地図サーバ装置５２０において、情報取得部５０３は、データ送受信部５０１を介してＯＥＭサーバ装置７００から送信された区間情報要求Ｄｃを受信すると、データベース５０２に蓄積された各種データを検索することにより有効区間情報Ｄｍを取得する。情報取得部５０３は、取得した有効区間情報Ｄｍを、データ送受信部５０１を介してＯＥＭサーバ装置７００に送信する。この場合、区分変更部５０５は、拡大判定結果Ｄｌを、ＯＥＭサーバ装置７００を経由して駐車場サーバ装置４２０に送信する。

　次に、上記構成の作用について説明する。まず、ＡＶＰが実行される際における各部の処理について図１５～図１８を参照して説明する。なお、図１５～図１８に示す各処理において、第１実施形態と同様の内容の処理には、同じステップ番号が付されている。
　　＜「ＡＶＰ申し込み」から「有効区間情報受信」までの処理の流れ＞
　ＡＶＰ申し込み～有効区間情報受信までの処理は、図１５に示すような内容の処理となる。まず、ユーザの操作によりバレーパーキングが申し込まれると、端末装置２２０は、ステップＳ２５１において、その申し込みの操作を認識し、その操作内容に応じて申込情報Ｄｎを生成する。

　端末装置２２０は、ステップＳ２５２において、車両情報Ｄｏの暗号化を行う。端末装置２２０は、ステップＳ２５３において、申込情報Ｄｎおよび暗号化された車両情報Ｄｏを、駐車場サーバ装置４２０へ送信する。また、端末装置２２０は、ステップＳ２５４において、申込情報Ｄｎおよび暗号化された車両情報Ｄｏ、つまりバレーパーキング申し込みの認証情報を、ＯＥＭサーバ装置７００へ送信する。

　駐車場サーバ装置４２０は、ステップＳ４５１において申込情報Ｄｎおよび暗号化された車両情報Ｄｏを受信すると、ステップＳ４５２に進み、一時鍵要求Ｄｂを生成する。駐車場サーバ装置４２０は、ステップＳ４５３において、一時鍵要求Ｄｂおよび暗号化されたままの車両情報Ｄｏを、ＯＥＭサーバ装置７００へ送信する。本実施形態では、端末装置２２０により暗号化された車両情報Ｄｏの復号は、ＯＥＭサーバ装置７００にはできるが、駐車場サーバ装置４２０にはできないようになっている。そのため、駐車場サーバ装置４２０は、端末装置２２０から送信された個人情報などが含まれる車両情報Ｄｏの内容を知ることはできない。

　ＯＥＭサーバ装置７００は、ステップＳ７０１において一時鍵要求Ｄｂおよび暗号化された車両情報Ｄｏを受信するとともに、ステップＳ７０２において認証情報を受信すると、ステップＳ７０３進み、車両情報Ｄｏの復号を行う。ＯＥＭサーバ装置７００は、ステップＳ７０４において、一時鍵要求Ｄｂの真贋の検証を行う。ＯＥＭサーバ装置７００は、一時鍵要求Ｄｂが真正であると判断した場合にだけ、ステップＳ７０５以降の処理を実行する。

　ＯＥＭサーバ装置７００は、一時鍵要求Ｄｂが真正ではないと判断した場合、端末装置２２０に対してエラーメッセージを送信するなどして、ユーザに対して一時鍵Ｄａを生成することができない、ひいてはＡＶＰを実行することができない旨の報知を行い、これによりＡＶＰシステム１２０における一連の処理が終了となる。ＯＥＭサーバ装置７００は、ステップＳ７０５において、区間情報要求Ｄｃを生成する。ＯＥＭサーバ装置７００は、ステップＳ７０６において、区間情報要求Ｄｃを、地図サーバ装置５００へ送信する。

　地図サーバ装置５００は、ステップＳ５５１において区間情報要求Ｄｃを受信すると、ステップＳ５５２に進み、データベース５０２に蓄積された各種データを検索することにより有効区間情報Ｄｍを取得する。その後、地図サーバ装置５００は、ステップＳ５５３において、有効区間情報ＤｍをＯＥＭサーバ装置７００へ送信する。ＯＥＭサーバ装置７００は、ステップＳ７０７において有効区間情報Ｄｍを受信する。

　　＜「一時鍵等生成」から「出発時処理」までの処理の流れ＞
　一時鍵等生成～出発時処理までの処理は、図１６に示すような内容の処理となる。ＯＥＭサーバ装置７００は、前述したように、ステップＳ７０７において有効区間情報Ｄｍを受信すると、ステップＳ７０８に進み、一時鍵ＤａおよびパスワードＤｑを生成する。ＯＥＭサーバ装置７００は、ステップＳ７０９において、一時鍵Ｄａおよび有効区間情報Ｄｍを自動車３２０へ送信する。また、ＯＥＭサーバ装置７００は、ステップＳ７１０において、パスワードＤｑを駐車場サーバ装置４２０へ送信する。

　自動車３２０は、ステップＳ３５１において一時鍵Ｄａおよび有効区間情報Ｄｍを受信すると、ステップＳ３５２に進み、運転計画要求Ｄｐを生成する。自動車３２０は、ステップＳ３５３において、運転計画要求Ｄｐを駐車場サーバ装置４２０へ送信する。駐車場サーバ装置４２０は、ステップＳ４５４においてパスワードＤｑを受信するとともに、ステップＳ４５５において運転計画要求Ｄｐを受信すると、ステップＳ４０６に進む。

　ステップＳ４０６～Ｓ４０８の処理内容は、第１実施形態と同様であるため、ここでは、その説明を省略する。なお、ステップＳ４０７の拡大要求処理の具体的な内容については第１実施形態とは異なるため、その内容については後述する。ステップＳ４０８の実行後は、ステップＳ４５６に進む。駐車場サーバ装置４２０は、ステップＳ４５６において、サーバ側運転計画ＤｄおよびパスワードＤｑを自動車３２０へ送信する。自動車３２０は、ステップＳ３５４において、サーバ側運転計画ＤｄおよびパスワードＤｑを受信すると、ステップＳ３５５に進み、一時鍵ＤａおよびパスワードＤｑの組み合わせが有効であるか否かを検証し、それらの組み合わせが有効であるという検証結果が得られた場合、パスワードＤｑを用いて一時鍵Ｄａを解除する。

　自動車３２０は、一時鍵ＤａおよびパスワードＤｑの組み合わせが有効ではないという検証結果が得られた場合、端末装置２２０に対してエラーメッセージを送信するなどして、ユーザに対して一時鍵Ｄａを解除することができない、ひいてはＡＶＰを実行することができない旨の報知を行い、これによりＡＶＰシステム１２０における一連の処理が終了となる。

　一方、自動車３２０は、パスワードＤｑを用いて一時鍵Ｄａを解除すると、ステップＳ３０９に進む。ステップＳ３０９～Ｓ３１７の処理内容は、第１実施形態と同様であるため、ここでは、その説明を省略する。なお、ステップＳ３１３の切り替え時処理のうち第２処理の具体的な内容については第１実施形態とは異なるため、その内容については後述する。

　　＜拡大要求処理について＞
　本実施形態の拡大要求処理は、図１７に示すような内容となる。まず、駐車場サーバ装置４２０は、ステップＳ４１０において、領域拡大要求Ｄｋを生成するとともに、その生成した領域拡大要求ＤｋをＯＥＭサーバ装置７００へ送信する。ＯＥＭサーバ装置７００は、ステップＳ７１１において領域拡大要求Ｄｋを受信すると、ステップＳ７１２において、その受信した領域拡大要求Ｄｋを地図サーバ装置５２０へ送信する。

　地図サーバ装置５２０は、ステップＳ５０１において領域拡大要求Ｄｋを受信すると、ステップＳ５０２において、管理内領域の拡大の可否を判断する領域拡大判定を行う。その後、地図サーバ装置５２０は、ステップＳ５０３において、領域拡大判定の結果に基づいて拡大判定結果Ｄｌを生成するとともに、その生成した拡大判定結果ＤｌをＯＥＭサーバ装置７００へ送信する。

　ＯＥＭサーバ装置７００は、ステップＳ７１３において拡大判定結果Ｄｌを受信すると、ステップＳ７１４において、その受信した拡大判定結果Ｄｌを駐車場サーバ装置４２０へ送信する。駐車場サーバ装置４２０は、ステップＳ４１１において拡大判定結果Ｄｌを受信すると、ステップＳ４１２に進む。ステップＳ４１２およびＳ４１３の処理内容は、第１実施形態と同様であるため、ここでは、その説明を省略する。

　　＜切り替え時処理の第２処理について＞
　図１８に示すように、本実施形態の第２処理では、第１実施形態の第２処理に対し、駐車場サーバ装置４２０によりステップＳ４１５の処理が実行された後の処理が追加されている。この場合、駐車場サーバ装置４２０は、ステップＳ４１５の実行後はステップＳ４５７に進み、異常情報ＤｒをＯＥＭサーバ装置７００へ送信する。ＯＥＭサーバ装置７００は、ステップＳ７１５において異常情報Ｄｒを受信すると、ステップＳ７１６において、その異常情報Ｄｒに基づいて異常検証処理を実行する。

　　＜異常対応処理および異常検証処理に関する具体的な事例＞
　続いて、駐車場サーバ装置４２０による異常対応処理およびＯＥＭサーバ装置７００による異常検証処理に関する具体的な事例について説明する。ここでは、第１実施形態において図１０および図１１を参照して説明した事例１および事例２に対応する各処理の内容を説明する。なお、事例３については、駐車場側の問題であることから、ＯＥＭサーバ装置７００による異常検証処理は行われず、第１実施形態と同様に駐車場サーバ装置４２０による異常対応処理だけが行われることになる。

　［１］事例１
　事例１の場合、駐車場サーバ装置４２０の異常対応処理部４０６およびＯＥＭサーバ装置７００の異常検証部７０７は、次のような処理を実行することが想定される。すなわち、異常対応処理部４０６は、第１実施形態と同様、この場合、自動車３２０の通信が悪意のある第三者などにより乗っ取られたと判断する。

　そして、異常対応処理部４０６は、このような異常が検出された際における自動車３２０の周囲の情報、自動車３２０の車番および品番、発生時刻などが含まれる異常情報Ｄｒを生成し、その生成した異常情報ＤｒをＯＥＭサーバ装置７００へ送信する。異常検証部７０７は、駐車場サーバ装置４２０から送信された異常情報Ｄｒを受信すると、サーバ側運転計画Ｄｄを受信した自動車３２０に異常が生じていると判断し、その異常に関する各種の情報を記録する。

　［２］事例２
　事例２の場合、駐車場サーバ装置４２０の異常対応処理部４０６およびＯＥＭサーバ装置７００の異常検証部７０７は、次のような処理を実行することが想定される。すなわち、異常対応処理部４０６は、第１実施形態と同様、別の自動車および自動車３２０のいずれの通信が乗っ取られたか、つまり別の自動車および自動車３２０のいずれが異常であるかを判断する。その後、異常対応処理部４０６は、このような異常が検出された際における自動車３２０の周囲の情報、異常であると判断された自動車の車番および品番などの情報、発生時刻などが含まれる異常情報Ｄｒを生成し、その生成した異常情報ＤｒをＯＥＭサーバ装置７００へ送信する。

　異常検証部７０７は、駐車場サーバ装置４２０から送信された異常情報Ｄｒを受信すると、異常であると判断された自動車に対する診断を実行するとともに、その異常に関する各種の情報を記録する。なお、このような診断としては、例えばダイアグ診断、車両情報の解析などが挙げられる。ここで、上記した異常対応処理部４０６による判断の結果が、別の自動車に異常が生じているという判断であった場合、第１実施形態と同様、再度、駐車場サーバ装置４２０主導の自動運転制御を試みてもよい。

　以上説明した本実施形態によれば、第１実施形態と同様の効果が得られるうえ、さらに次のような効果が得られる。本実施形態のＡＶＰシステム１２０では、自動車３２０のデジタル的な鍵である一時鍵の受け渡しが、ＯＥＭサーバ装置７００と自動車３２０との間で直接行われるようになっており、一時鍵が駐車場サーバ装置５２０に与えられることはない。そのため、仮に、駐車場サーバ装置５２０が悪意のある第三者によりハッキングされるなどしても一時鍵が取得されることはなく、自動車３２０のデジタル的な鍵の仕組みが読み取られるおそれもない。このように、本実施形態によれば、自動車３２０のデジタル的な鍵の仕組みの機密性が高められることから、システムの安全性を高めることができるという優れた効果が得られる。

　ＯＥＭサーバ装置７００は、一時鍵を生成する際、一時鍵を有効化するためのパスワードも生成するようになっている。また、自動車３２０は、一時鍵およびパスワードを受信すると、運転計画に従って自動運転制御を実行するようになっている。つまり、この場合、一時鍵およびパスワードの両方が揃って初めて自動車３２０の操作権限などが与えられることになる。そして、ＯＥＭサーバ装置７００は、自動車３２０に対し、一時鍵を直接送信するとともに、それとは別に、駐車場サーバ装置５２０を経由してパスワードを送信するようになっている。

　このようにすれば、一時鍵およびパスワードの送信経路が異なることから、悪意のある第三者によるハッキングなどにより一時鍵およびパスワードの双方が取得される可能性を低く抑えることができる。そして、仮に、ハッキングされるなどして一時鍵およびパスワードの一方が取得されたとしても、自動車３２０のデジタル的な鍵の仕組みが読み取られるおそれがなく、また、ハッキングした第三者に自動車３２０の操作権限が与えられることもない。したがって、ユーザの意図に反して自動車３２０が駐車場の外部に導かれて盗難されてしまうといった最悪の事態の発生を確実に防止することができる。

　駐車場サーバ装置５２０は、生成したサーバ側運転計画ＤｄとパスワードＤｑをセットにして自動車３２０へ送信するようになっている。このようにすれば、自動車３２０は、駐車場サーバ装置５２０から送信されたパスワードＤｑで一時鍵Ｄａを正常に解除できれば、そのパスワードＤｑと一緒に受信したサーバ側運転計画Ｄｄについても真のもの、つまり駐車場サーバ装置５２０から正式に送信されたものであると判断することができる。

　言い換えると、このようにすれば、自動車３２０は、例えばハッカーなどの悪意のある第三者から偽の運転計画が送信されたとしても、正しいパスワードが一緒についていないことから、その運転計画は偽物であり利用不可能であると判断することができる。したがって、本実施形態によれば、自動車３２０は、悪意のある第三者により生成された意図的に自動車３００を駐車場外へと導くようなものなど問題のある運転計画が送信されたとしても、そのような問題のある運転計画に従って自動運転制御を実行することがないため、システムの安全性を良好に維持することができる。

　この場合、駐車場サーバ装置４２０の異常対応処理部４０６は、異常の層別の結果を表す異常情報ＤｒをＯＥＭサーバ装置７００に送信する。そして、ＯＥＭサーバ装置７００の異常検証部７０７は、異常情報Ｄｒを受信すると、その異常情報Ｄｒに基づいて自動車３２０の周辺において発生した異常を検証する。このようにすれば、異常が発生した際、ＯＥＭサーバ装置７００において、駐車場サーバ装置４２０だけでは行うことができない対応、例えば異常と判断された自動車に対する診断などを行うことが可能となる。

　また、この場合、異常が発生した場合における各情報がＯＥＭサーバ装置７００に蓄積される。そのため、上記構成によれば、ＯＥＭサーバ装置７００に蓄積された各情報に基づいて、異常の発生要因への対策を検討するなど、異常発生を未然に防ぐための措置を取ることが可能となる。

　　　（第３実施形態）
　以下、第２実施形態について図１９～図２２を参照して説明する。
　図１９に示すように、本実施形態のＡＶＰシステム１３０は、第２実施形態のＡＶＰシステム１２０と同様、端末装置２２０、自動車３２０、駐車場サーバ装置４２０、地図サーバ装置５２０およびＯＥＭサーバ装置７００を備えている。ただし、この場合、自動車３２０と地図サーバ装置５２０との間における通信について変更が加えられている。

　具体的には、本実施形態において、自動車３２０および地図サーバ装置５２０は、領域情報要求Ｄｇ、駐車可能領域情報Ｄｆ、駐車位置情報Ｄｉ、出発情報Ｄｊなどの特定のデータの送受信に関して、ＯＥＭサーバ装置７００を介して通信を行うようになっている。すなわち、自動車３２０の要求生成部３０５は、領域情報要求Ｄｇを、ＯＥＭサーバ装置７００を経由して地図サーバ装置５２０に送信する。また、自動車３２０の駐車位置送信部３１０は、生成した駐車位置情報Ｄｉおよび出発情報Ｄｊを、ＯＥＭサーバ装置７００を経由して地図サーバ装置５２０に送信する。

　次に、上記構成の作用について説明する。ここでは、ＡＶＰが実行される際における各部の処理のうち、上記各実施形態とは異なる内容となる処理、具体的には、切り替え時処理の第１処理、駐車時処理および出発時処理について図２０～図２２を参照して説明する。なお、図２０～図２２に示す各処理において、上記各実施形態と同様の内容の処理には、同じステップ番号が付されている。

　　＜切り替え時処理の第１処理について＞
　本実施形態の第１処理は、図２０に示すような内容となる。まず、自動車３２０は、ステップＳ３１８において、領域情報要求Ｄｇを生成するとともに、その生成した領域情報要求ＤｇをＯＥＭサーバ装置７００へ送信する。ＯＥＭサーバ装置７００は、ステップＳ７１７において領域情報要求Ｄｇを受信すると、ステップＳ７１８において、その受信した領域情報要求Ｄｇを地図サーバ装置５２０へ送信する。

　地図サーバ装置５２０は、ステップＳ５０７において領域情報要求Ｄｇを受信すると、ステップＳ５０８においてデータベース５０２に蓄積された各種データを検索することにより駐車可能領域情報Ｄｆを取得する。その後、地図サーバ装置５２０は、ステップＳ５０９において駐車可能領域情報ＤｆをＯＥＭサーバ装置７００へ送信する。

　ＯＥＭサーバ装置７００は、ステップＳ７１９において駐車可能領域情報Ｄｆを受信すると、ステップＳ７２０において、その受信した駐車可能領域情報Ｄｆを自動車３２０へ送信する。自動車３２０は、ステップＳ３１９において駐車可能領域情報Ｄｆを受信すると、ステップＳ３２０において、駐車可能領域情報Ｄｆに基づいて管理外領域に含まれた目標位置へと自動車３００を導く経路が含まれる車両側運転計画Ｄｈを生成する。

　　＜駐車時処理について＞
　本実施形態の駐車時処理は、図２１に示すような内容となる。まず、自動車３２０は、ステップＳ３２３において、駐車位置情報Ｄｉを生成するとともに、その生成した駐車位置情報ＤｉをＯＥＭサーバ装置７００へ送信する。

　ＯＥＭサーバ装置７００は、ステップＳ７２１において駐車位置情報Ｄｉを受信すると、ステップＳ７２１において、その受信した駐車位置情報Ｄｉを地図サーバ装置５２０へ送信する。地図サーバ装置５２０は、ステップＳ５１０において駐車位置情報Ｄｉを受信すると、ステップＳ５１１において、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３２０の駐車が可能な領域から除外するようにデータベース５０２を更新する。

　　＜出発時処理について＞
　本実施形態の出発時処理は、図２２に示すような内容となる。まず、自動車３２０は、ステップＳ３２４において、出発情報Ｄｊを生成するとともに、その生成した出発情報Ｄｊを駐車位置情報ＤｉとともにＯＥＭサーバ装置７００へ送信する。

　ＯＥＭサーバ装置７００は、ステップＳ７２３において出発情報Ｄｊおよび駐車位置情報Ｄｉを受信すると、ステップＳ７２４において、その受信した出発情報Ｄｊおよび駐車位置情報Ｄｉを地図サーバ装置５２０へ送信する。地図サーバ装置５２０は、ステップＳ５１２において出発情報Ｄｊおよび駐車位置情報Ｄｉを受信すると、ステップＳ５１３において、その駐車位置情報Ｄｉが表す領域を管理外領域において自動車３２０の駐車が可能な領域に戻すようにデータベース５０２を更新する。

　以上説明した本実施形態によれば、第２実施形態と同様の効果が得られる。また、第２実施形態と第３実施形態とには、それぞれ次のようなメリットがある。すなわち、第２実施形態では、自動車３２０と地図サーバ装置５２０とは、それらの間で直接通信を行うことにより特定のデータの送受信が行われる。そのため、第２実施形態によれば、第３実施形態に対し、特定のデータの送受信に関する処理を簡単化することができる。

　これに対し、第３実施形態では、自動車３２０と地図サーバ装置５２０とは、ＯＥＭサーバ装置７００を介して間接的に通信を行うことにより特定のデータの送受信が行われる。自動車３２０とＯＥＭサーバ装置７００との間の通信およびＯＥＭサーバ装置７００と地図サーバ装置５２０との間の通信は、他のデータの送受信のために元々行われるようになっている。そのため、第３実施形態によれば、第２実施形態に対し、通信経路の増加を抑制することができる。

　　　（その他の実施形態）
　なお、本開示は上記し且つ図面に記載した各実施形態に限定されるものではなく、その要旨を逸脱しない範囲で任意に変形、組み合わせ、あるいは拡張することができる。
　上記各実施形態で示した数値などは例示であり、それに限定されるものではない。
　第２実施形態および第３実施形態では、一時鍵ＤａおよびパスワードＤｆを用いた認証を行うようになっていたが、一時鍵Ｄａだけを用いて認証を行うようにしてもよい。

　本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。

　本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリーを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリーと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。

Claims

　それぞれの間で互いにデータの送受信が可能に構成された車両（３００、３２０）、駐車場サーバ装置（４００、４２０）および駐車場内の領域に関する情報が記憶されたデータベース（５０２）を有する地図サーバ装置（５００、５２０）を含み、自動運転制御によるバレーパーキングを実行する自動バレーパーキングシステムであって、
　前記駐車場内の領域は、少なくとも前記駐車場サーバ装置により管理される管理内領域と前記駐車場サーバ装置により管理されない管理外領域とに区分されており、
　前記駐車場サーバ装置は、
　前記管理内領域に含まれた目標位置へと前記車両を導く経路が含まれるサーバ側運転計画を生成し、そのサーバ側運転計画を前記車両に送信するサーバ側運転計画部（４０５）を備え、
　前記地図サーバ装置は、
　前記車両からの要求に応じて前記管理外領域において前記車両の駐車が可能な領域を表す情報である駐車可能領域情報を前記データベースから取得し、その駐車可能領域情報を前記車両に送信する情報取得部（５０３）を備え、
　前記車両は、
　前記サーバ側運転計画の真偽を判定する運転計画判定部（３０６）と、
　前記運転計画判定部により前記サーバ側運転計画が正しくないと判定されると前記地図サーバ装置に対して前記駐車可能領域情報の送信を要求する要求生成部（３０５）と、
　前記駐車可能領域情報を受信すると、その駐車可能領域情報に基づいて前記管理外領域に含まれた目標位置へと前記車両を導く経路が含まれる車両側運転計画を生成する車両側運転計画部（３０８）と、
　前記運転計画判定部により前記サーバ側運転計画が正しいと判定される場合には前記サーバ側運転計画に従った自動運転制御を実行するとともに、前記運転計画判定部により前記サーバ側運転計画が正しくないと判定される場合には前記車両側運転計画に従った自動運転制御を実行する自動運転制御部（３０９）と、
　を備える自動バレーパーキングシステム。
　前記駐車場サーバ装置は、前記管理内領域に前記車両の駐車が可能な領域が存在しないと判断すると前記地図サーバ装置に対して前記管理内領域の拡大を要求する要求生成部（４０７）を備え、
　前記地図サーバ装置は、前記駐車場サーバ装置からの要求に応じて前記管理内領域を拡大するように前記データベースに記憶された情報を更新する区分変更部（５０５）を備える請求項１に記載の自動バレーパーキングシステム。
　前記車両は、前記自動運転制御部が前記車両側運転計画に従った自動運転制御を実行することにより前記管理外領域に含まれた目標位置への前記車両の駐車が完了すると、その駐車された位置を表す駐車位置情報を前記地図サーバ装置に送信する駐車位置送信部（３１０）を備え、
　前記地図サーバ装置は、前記駐車位置情報を受信すると、その駐車位置情報が表す領域を前記管理外領域において前記車両の駐車が可能な領域から除外するように前記データベースに記憶された情報を更新する駐車可能領域変更部（５０６）を備える請求項１または２に記載の自動バレーパーキングシステム。
　前記車両は、前記運転計画判定部により前記サーバ側運転計画が正しくないと判定されると前記車両に関連する情報である車両関連情報を取得し、その車両関連情報を前記駐車場サーバ装置に送信する情報送信部（３０７）を備え、
　前記駐車場サーバ装置は、前記車両関連情報を受信すると、その車両関連情報および前記サーバ側運転計画に基づいて正しくない前記サーバ側運転計画に起因して前記車両の周辺において発生した異常の層別を行い、その層別の結果に応じた異常対応処理を実行する異常対応処理部（４０６）を備える請求項１から３のいずれか一項に記載の自動バレーパーキングシステム。
　さらに、前記車両の製造者により直接的または間接的に管理されるＯＥＭサーバ装置（７００）を含み、
　前記異常対応処理部は、前記異常の層別の結果を表す異常情報を前記ＯＥＭサーバ装置に送信し、
　前記ＯＥＭサーバ装置は、前記異常情報を受信すると、その異常情報に基づいて前記車両の周辺において発生した異常を検証する異常検証部（７０７）を備える請求項４に記載の自動バレーパーキングシステム。
　前記運転計画判定部は、前記サーバ側運転計画の前記経路に前記車両が前記駐車場の外部に導かれる経路が含まれていると前記サーバ側運転計画が正しくないと判定する請求項１から５のいずれか一項に記載の自動バレーパーキングシステム。
　前記運転計画判定部は、前記サーバ側運転計画の前記目標位置に前記車両とは別の車両が停車していると前記サーバ側運転計画が正しくないと判定する請求項１から６のいずれか一項に記載の自動バレーパーキングシステム。
　前記運転計画判定部は、前記サーバ側運転計画の前記目標位置を含む前記経路上に前記車両の走行の妨げとなる物体である障害物が存在する場合、前記サーバ側運転計画が正しくないと判定する請求項１から７のいずれか一項に記載の自動バレーパーキングシステム。