WO2022080018A1

WO2022080018A1 - 自律走行制御システム

Info

Publication number: WO2022080018A1
Application number: PCT/JP2021/031562
Authority: WO
Inventors: 敏史大塚; 祐石郷岡
Original assignee: 株式会社日立製作所
Priority date: 2020-10-16
Filing date: 2021-08-27
Publication date: 2022-04-21
Also published as: US20230322261A1; EP4231268A1; JP2022065804A; JP7479271B2

Abstract

本発明は、移動体単独の自動運転システムよりも安全性及び効率性を向上可能な自律走行制御システムを提供することを目的とする。自律走行制御システム１は、車両１０２に搭載された車両１０２の自動運転を制御する車両制御システム３０２と、フィールドＦを監視する安全監視システム１０１とが通信可能に接続されたシステムである。安全監視システム１０１は、オブジェクトを認識して外界認識情報を作成する監視処理部２０４と、車両制御システム３０２から送信された自動運転制御情報を受信する受信部２０１と、外界認識情報に基づいて、受信部２０１により受信された自動運転制御情報の安全性を検証する検証部２０２と、検証部２０２による検証結果を、車両制御システム３０２へ送信する送信部２０３と、を備える。車両制御システム３０２は、安全監視システム１０１により送信された検証結果に基づいて、車両１０２の自動運転を制御する。

Description

自律走行制御システム

　本発明は、自律走行制御システムに関する。

　本技術分野の背景技術として、特開２０１９－１３３２４８号公報（特許文献１）がある。特許文献１には、「影響情報に基づき車両装備のための制御予定計画を立案する場合に、その車両単独で、適切な制御予定計画が立案されたかどうかを判定することが可能な車両用制御システムを提供する。」ことが課題として記載されている。その解決手段として、特許文献１には、「車両用制御システムでは、判定部（Ｓ２３０～Ｓ２７０）において、車両における実際の制御動作量の推移と、制御予定計画に基づく予定制御動作量の推移とを対比し、所定の基準値以上の乖離が生じているか否かに応じて、車両装備の制御予定計画が適切か、不適切かを判定するように構成される。従って、万一、不適切な制御予定計画が立案されたとしても、その車両単独で、立案された制御予定計画が不適切なものであることを判定することが可能となる。」と記載されている。

　また別の背景技術として、特開２０１９－７９３６３号公報（特許文献２）がある。特許文献２には、「車両の行動予定に対する交通参加者の理解を確認した上で、車両は安全な行動をとることを可能とする車両制御装置を提供する。」ことが課題として記載されている。その解決手段として、特許文献２には、「車両Ｍ２において、車両制御装置１は、車両周辺の交通参加者を認識する外部状況認識部１１と、車両の行動予定を取得する行動予定取得部１２と、交通参加者が所持する端末Ｔに対して車両の行動予定を通知して承認の要求を行う行動予定通知部１３と、端末Ｔから行動予定に対する承認を受信可能な受信部１４とを備える。受信部１４が端末から承認を受信した場合に行動予定を実行し、受信部１４が端末Ｔから行動予定の承認を受信しなかった場合に行動予定の実行を抑制する。」と記載されている。

特開２０１９－１３３２４８号公報特開２０１９－７９３６３号公報

　上記背景技術に関連し、近年、外界認識情報や自己位置情報を基に、自車両の将来の位置を表わす軌道（自動運転制御情報）を作成し、この軌道に基づいて車両を制御する自動運転システムが提案されている。また、外界認識情報を基に、周囲の物体との相対的な情報を算出し、ユーザをアシストする自動運転システムがある。

　一方で、自動運転システムが生成する自動運転制御情報に誤りがある場合や、自動運転システムが認識不可能な周辺状況（歩行者や他車両の飛び出し）の場合においては、衝突リスクが高くなる可能性がある。このような場合における安全性を向上させること、同時に効率性を向上させることが、自動運転システムの普及において重要であるが、上記特許文献１及び２では何ら考慮されていない。

　特に、車両単独の自動運転システムが認識した情報には誤り（認識装置の性能限界若しくは故障、又は、車両制御システムの故障等）が存在する可能性がある。よって、複数のシステムで誤りも含めて検証を行った結果を用いて制御すること、更に、必要に応じて外部から介入して制御することが、安全上重要である。

　本発明は、上記に鑑みてなされたものであり、移動体外部の安全監視システムを含む自律走行制御システムを構築して、移動体単独の自動運転システムよりも安全性及び効率性を向上可能な自律走行制御システムを提供することを目的とする。

　上記課題を解決するために、本発明に係る自律走行制御システムは、移動体に搭載され前記移動体の自動運転を制御する移動体制御システムと、前記移動体が走行するフィールドを監視する安全監視システムとが通信可能に接続された自律走行制御システムであって、前記安全監視システムは、前記フィールドの監視結果から前記フィールドに存在するオブジェクトを認識し、認識結果に基づいて前記フィールドの外界認識情報を作成する監視処理部と、前記移動体制御システムから送信され、前記移動体の前記自動運転を制御する自動運転制御情報を受信する受信部と、前記監視処理部により作成された前記外界認識情報に基づいて、前記受信部により受信された前記自動運転制御情報の安全性を検証する検証部と、前記検証部による検証結果を、前記移動体制御システムへ送信する送信部と、を備え、前記移動体制御システムは、前記安全監視システムの前記送信部により送信された前記検証結果に基づいて、前記自動運転を制御する。

　本発明によれば、移動体単独の自動運転システムよりも安全性及び効率性を向上可能な自律走行制御システムを提供することができる。
　上記以外の課題、構成および効果は、以下の実施形態の説明により明らかにされる。

実施形態１の自律走行制御システムの構成の一例を示す図。図１に示す安全監視システムの構成の一例を示す図。図１に示す車両制御システムを搭載する車両の構成の一例を示す図。図３に示す車両制御システムのハードウェア構成の一例を示す図。図４に示すＥＣＵ又はＧＷの内部構成の一例を示す図。図５に示すプロセッサにて動作するソフトウェアコンポーネントの構成の一例を示す図。図３に示す車両制御システムの機能的構成の一例を示す図。図７に示す車両制御システムの各機能を、図４に示すハードウェア構成に実装した例を示す図。外界認識方法の一例を説明する図。図１０（ａ）は、外界認識マップに使用される座標系の一例を示す図、図１０（ｂ）は、図１０（ａ）に示す座標系にオブジェクト情報を配置して作成された外界認識マップの一例を示す図。図１０（ｂ）に示す外界認識マップに基づいて作成された軌道の一例を示す図。実施形態１又は２の自律走行制御システムの動作例を説明する図。実施形態３の自律走行制御システムの動作例を説明する図。図１４（ａ）は、相対情報の一例を説明する図、図１４（ｂ）は、相対情報の他の一例を説明する図。実施形態４の自律走行制御システムにて行われる切り替え処理の一例を示す図。

　以下、本発明の実施形態について図面を用いて説明する。なお、各実施形態において同一の符号を付された構成は、特に言及しない限り、各実施形態において同様の機能を有し、その説明を省略する。

　本実施形態の自律走行制御システムは、自動車、鉄道車両、建設機械、無人搬送車又はロボット等の移動体の自動運転を制御する移動体制御システムと、移動体が走行するフィールドを監視する安全監視システムとが通信可能に接続されたシステムである。以下では、自動車等の車両１０２を移動体とし、車両１０２に搭載された車両制御システム３０２を移動体制御システムとして説明する。そして、以下では、車両制御システム３０２と、車両制御システム３０２を監視及び制御する安全監視システム１０１とにより構成される自律走行制御システム１について説明する。以下の説明は、車両制御システム３０２以外の移動体制御システム、及び、安全監視システム１０１以外の安全監視システムへの適用を妨げるものではない。

［実施形態１］
＜自律走行制御システムの全体構成＞
　図１は、実施形態１の自律走行制御システム１の構成の一例を示す図である。

　自律走行制御システム１は、車両１０２に搭載され車両１０２の自動運転を制御する車両制御システム３０２と、車両１０２が走行するフィールドを監視する安全監視システム１０１とが通信可能に接続されたシステムである。

　安全監視システム１０１は、車両制御システム３０２を初めとする複数の車両制御システムと通信を行い、車両１０２及び他のオブジェクト（他の車両１０３、歩行者１０４、自転車等の軽車両等）を含むフィールドＦを監視する。車両１０２は、通信装置３０３等を有し、安全監視システム１０１と通信を行いながら自律走行等の動作を行う車両制御システム３０２を有する。車両１０３は、通信装置等を有さず、安全監視システム１０１と通信を行わない車両であってもよい。交通規制装置１０５は、交通を規制する信号機等である。安全監視システム１０１は、車両１０２又は交通規制装置１０５等と通信を行う通信装置１１１と、フィールドＦを監視するカメラ等の監視装置１１２とを有する。

＜安全監視システムの構成＞
　図２は、図１に示す安全監視システム１０１の構成の一例を示す図である。

　安全監視システム１０１は、通信装置１１１と、監視装置１１２と、監視制御装置２１０とを有する。通信装置１１１は、車両１０２の通信装置３０３を介して、車両制御システム３０２との間において各種情報（後述する自動運転制御情報、検証結果等）を送受信し、その結果を、監視制御装置２１０との間において送受信する。監視装置１１２は、フィールドＦの監視結果を監視制御装置２１０へ送信する。監視装置１１２は、後述する認識装置３０６と同様に構成されてもよい。

　監視制御装置２１０は、受信部２０１と、検証部２０２と、送信部２０３と、監視処理部２０４と、リスク管理部２０５と、制御指令部２０６とを有する。

　受信部２０１は、車両制御システム３０２により送信され通信装置１１１にて受信された自動運転制御情報を通信装置１１１から受信し、検証部２０２及び監視処理部２０４へ送信する。自動運転制御情報とは、車両１０２の自動運転を制御するための情報である。例えば、自動運転制御情報は、車両１０２の将来の位置を表わす軌道の情報である。自動運転制御情報は、車両制御システム３０２からリアルタイムに送信される。

　監視処理部２０４は、フィールドＦの監視結果を監視装置１１２から受信し、監視結果からフィールドＦに存在するオブジェクトを認識する。監視処理部２０４は、認識結果に基づいて後述する外界認識情報を作成する。監視処理部２０４は、作成された外界認識情報を統合し、フィールドＦの外界認識マップを作成することができる。監視処理部２０４は、作成された外界認識情報（又は外界認識マップ）を、検証部２０２及びリスク管理部２０５へ送信する。

　検証部２０２は、監視処理部２０４により作成された外界認識情報に基づいて、受信部２０１により受信された自動運転制御情報の安全性を検証し、当該自動運転制御情報を承認するか否かを判断する。検証部２０２は、受信部２０１により受信された自動運転制御情報が安全である場合、当該自動運転制御情報を承認する旨を示す検証結果を、送信部２０３へ送信する。検証部２０２は、受信部２０１により受信された自動運転制御情報が安全でない場合、当該自動運転制御情報を承認しない旨を示す検証結果を、送信部２０３へ送信する。送信部２０３は、検証部２０２による検証結果を通信装置１１１へ送信する。

　リスク管理部２０５は、監視処理部２０４により作成された外界認識情報（又は外界認識マップ）と、受信部２０１により受信された自動運転制御情報とに基づいて、フィールドＦの安全性を検証することができる。具体的には、リスク管理部２０５は、受信部２０１により受信された自動運転制御情報に基づいて車両１０２が走行した場合に、所定時間経過後にリスクの高い状況（他のオブジェクトと極度に近接又は衝突する状況）が、フィールドＦを走行する車両１０２に発生することが想定されるか否かを検証することができる。リスク管理部２０５は、リスクの高い状況が発生することが想定される場合、当該自動運転制御情報の送信元である車両１０２の車両制御システム３０２に対する制御指令を作成し、制御指令部２０６へ送信することができる。リスク管理部２０５は、検証部２０２の検証結果が自動運転制御情報を承認しない旨を示す場合には、リスクの高い状況が発生すると想定し、上記のように制御指令を作成することができる。

　リスク管理部２０５により作成される制御指令は、例えば、リスクの高い状況が発生することが想定される車両１０２の自動運転制御情報を含むオーバーライド制御情報である。オーバーライド制御とは、安全監視システム１０１が車両制御システム３０２の代わりに車両１０２の自動運転を制御することである。オーバーライド制御情報とは、安全監視システム１０１がオーバーライド制御を行うために車両制御システム３０２に対して送信される制御指令等の情報である。

　制御指令部２０６は、リスク管理部２０５により作成された制御指令を、リスクの高い状況が発生することが想定される車両１０２の車両制御システム３０２へ送信する。なお、外界認識情報、自動運転制御情報、及び、オーバーライド制御情報等のそれぞれの詳細については後述する。

＜車両制御システムを搭載する車両の構成＞
　図３は、図１に示す車両制御システム３０２を搭載する車両１０２の構成の一例を示す図である。

　車両１０２は、車両制御システム３０２と、通信装置３０３と、車両制御システム３０４と、駆動装置３０５と、認識装置３０６と、出力装置３０７と、入力装置３０８と、通知装置３０９とを有する。

　車両制御システム３０２は、車両１０２に搭載され、車両１０２の自動運転を制御する制御システムである。車両制御システム３０２は、安全監視システム１０１により送信された検証部２０２による検証結果に基づいて、車両１０２の自動運転を制御する制御システムである。

　車両制御システム３０２は、例えば、車載ネットワーク（ＣＡＮ：Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ、ＣＡＮＦＤ：ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ－ｒａｔｅ、Ｅｔｈｅｒｎｅｔ（登録商標）等）と、制御ユニット（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ等）とによって構成される。車両制御システム３０２は、通信装置３０３、他の車両制御システム３０４、駆動装置３０５、認識装置３０６、出力装置３０７、入力装置３０８及び通知装置３０９のそれぞれと接続され、各種情報を送受信する。

　通信装置３０３は、車両１０２と外部との通信を行う。例えば、通信装置３０３は、携帯電話システムによる無線通信や、無線ＬＡＮ、ＷＡＮ、Ｃ２Ｘ（Ｃａｒ　ｔｏ　Ｘ：車両対車両または車両対インフラ通信）等のプロトコルを使用した無線通信を行う。通信装置３０３は、衛星測位システム（ＧＰＳ：Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ等）を用いた無線通信を行う。通信装置３０３は、フィールドＦを含む外界の情報（インフラ、他車、地図の情報等を含む）、及び、自動運転制御情報等の自車に関する情報等の、各種情報を安全監視システム１０１の通信装置１１１へ送信する。通信装置３０３は、車両制御システム３０２との間において各種情報を送受信する。通信装置３０３は、診断端子（ＯＢＤ）、Ｅｔｈｅｒｎｅｔ端子、外部記録媒体（例えばＵＳＢメモリやＳＤカード等）端子を有する。

　車両制御システム３０４は、車両１０２の自動運転を制御する車両制御システム３０２とは異なる他の車両制御システムである。車両制御システム３０４は、車両制御システム３０２と異なる又は同一のプロトコルを用いた車載ネットワークと、制御ユニットとによって構成される。

　駆動装置３０５は、車両制御システム３０２からの制御に従って、車両運動を制御する機械及び電気装置（例えばエンジン、トランスミッション、ホイール、ブレーキ、操舵装置等）を駆動するアクチュエータ等である。

　認識装置３０６は、カメラ、レーダ、ＬｉＤＡＲ（Ｌｉｇｈｔ　Ｄｅｔｅｃｔｉｏｎ　ａｎｄ　Ｒａｎｇｉｎｇ）、超音波センサ等の外界をセンシングする外界センサと、車両１０２の状態（運動状態、位置情報、加速度、車輪速度等）を検出する力学系センサとによって構成される。認識装置３０６は、複数種類の外界センサを組み合わせて構成されてもよい。認識装置３０６は、これらのセンサによって取得された情報を車両制御システム３０２へ送信する。

　出力装置３０７は、ネットワークシステムに有線又は無線で接続され、ネットワークシステムから送信されるデータを受信し、メッセージ情報（例えば映像又は音）等の必要な情報を表示又は出力する装置である。出力装置３０７は、例えば、液晶ディスプレイ、警告灯又はスピーカによって構成される。

　入力装置３０８は、ユーザによって操作され、当該操作が示すユーザの意図又は指示を車両制御システム３０２へ伝達するための入力信号を生成する装置である。入力装置３０８は、例えば、ステアリング、ペダル、ボタン、レバー又はタッチパネル等によって構成される。

　通知装置３０９は、車両１０２が外界に対して、車両１０２の状態等を通知するための装置である。通知装置３０９は、例えば、ランプ、ＬＥＤ、スピーカ等によって構成される。

　図４は、図３に示す車両制御システム３０２のハードウェア構成の一例を示す図である。

　車両制御システム３０２は、ネットワークリンク４０１と、ＥＣＵ４０２と、ＧＷ（Ｇａｔｅｗａｙ）４０３とによって構成される。

　ネットワークリンク４０１は、車載ネットワーク上のネットワーク装置を接続するネットワークリンクである。ネットワークリンク４０１は、例えば、ＣＡＮバス等のネットワークリンクによって構成される。ＥＣＵ４０２は、ネットワークリンク４０１、駆動装置３０５及び認識装置３０６、並びに、ネットワークリンク４０１以外の他のネットワークリンク（専用線含む）のそれぞれに接続される。ＥＣＵ４０２は、駆動装置３０５及び認識装置３０６を制御し、駆動装置３０５及び認識装置３０６から情報を取得し、他のネットワークとの間においてデータを送受信する。特に、ＥＣＵ４０２は、ネットワークリンク４０１又は他のネットワークから受信したデータに基づいて、駆動装置３０５へ制御信号を出力し、認識装置３０６から情報を取得する。ＥＣＵ４０２は、ネットワークリンク４０１又は他のネットワークへ制御信号及び情報を出力し、内部状態を変更する等の制御処理を行う。ＧＷ４０３は、複数のネットワークリンク４０１を接続し、それぞれのネットワークリンク４０１との間においてデータを送受信する。

　図５は、図４に示すＥＣＵ４０２又はＧＷ４０３の内部構成の一例を示す図である。

　ＥＣＵ４０２は、プロセッサ５０１と、Ｉ／Ｏ（Ｉｎｐｕｔ／Ｏｕｔｐｕｔ）５０２と、タイマ５０３と、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）５０４と、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）５０５と、内部バス５０６とを有する。ＧＷ４０３も同様である。

　プロセッサ５０１は、キャッシュ又はレジスタ等の記憶素子を有し、各種演算処理を行うＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）等の演算装置である。Ｉ／Ｏ５０２は、ネットワークリンク４０１又は他のネットワーク（専用線含む）にて接続された駆動装置３０５及び／又は認識装置３０６に対するデータの送受信を制御するインターフェース回路である。タイマ５０３は、不図示のクロック等を使用し、時間及び時刻の管理を行う。ＲＯＭ５０４は、不揮発性の記憶素子であり、不変のプログラム及び不変のデータを記憶する。ＲＡＭ５０５は、高速且つ揮発性の記憶素子であり、プロセッサ５０１によって実行されるプログラム及びデータを記憶する。内部バス５０６は、ＥＣＵ４０２の内部での通信に使用される。

　図６は、図５に示すプロセッサ５０１にて動作するソフトウェアコンポーネントの構成の一例を示す図である。

　プロセッサ５０１にて動作するソフトウェアコンポーネントは、制御部６０１と、通信管理部６０２と、時間管理部６０３と、データテーブル６０４と、バッファ６０５とを有する。

　通信管理部６０２は、Ｉ／Ｏ５０２の動作及び状態を管理し、内部バス５０６を介してＩ／Ｏ５０２に指示を行う。時間管理部６０３は、タイマ５０３を管理し、時間に関する情報を取得して時間に関する制御に使用する。制御部６０１は、Ｉ／Ｏ５０２から取得したデータを解析し、ソフトウェアコンポーネント全体を統括的に制御する。車両制御システム３０２の各機能は、制御部６０１によって制御される。データテーブル６０４は、外界認識マップ等の各種情報を保持する。バッファ６０５は、データを一時的に保持する。

　これら図６に示す構成については、プロセッサ５０１上の動作概念を示したものである。プロセッサ５０１は、動作時に必要な情報をＲＯＭ５０４及び／又はＲＡＭ５０５から適宜読み込み、演算処理結果を、ＲＯＭ５０４及び／又はＲＡＭ５０５へ適宜書き込みながら、プログラムを実行する。

　図７は、図３に示す車両制御システム３０２の機能的構成の一例を示す図である。

　車両制御システム３０２は、統合認識部７０２と、自動運転制御部７０３と、入力受付部７０４と、出力管理部７０５と、通知管理部７０６と、相対情報認識部７０７と、相対情報制御部７０８と、異常検出部７０９と、判断部７１０と、運動制御部７１１とを有する。

　統合認識部７０２は、複数の認識装置３０６及び通信装置３０３の少なくとも１つから送信された外界の情報から外界認識情報を作成すると共に、複数の外界認識情報を統合し、後述する外界認識マップを作成する。統合認識部７０２は、作成された外界認識マップを自動運転制御部７０３へ送信する。統合認識部７０２は、作成された外界認識マップを、通信装置３０３を介して安全監視システム１０１の通信装置１１１へ送信する。

　自動運転制御部７０３は、統合認識部７０２により作成された外界認識マップと、入力受付部７０４により作成された入力指示とに基づいて、自動運転制御情報を作成し、判断部７１０及び異常検出部７０９へ送信する。また、自動運転制御部７０３は、出力管理部７０５への出力指示、及び、通知管理部７０６への通知指示を行う。

　入力受付部７０４は、ユーザの操作に応じて入力装置３０８から送信された入力信号を受け付け、当該入力信号を変換して入力指示を作成し、自動運転制御部７０３及び判断部７１０へ送信する。出力管理部７０５は、自動運転制御部７０３、異常検出部７０９及び相対情報制御部７０８からの各出力指示に応じて、出力装置３０７への出力指示を行う。通知管理部７０６は、自動運転制御部７０３、異常検出部７０９及び相対情報制御部７０８からの各通知指示に応じて、通知装置３０９への通知指示を行う。

　相対情報認識部７０７は、認識装置３０６により取得された外界の情報に基づいて、後述する相対情報を作成し、異常検出部７０９及び相対情報制御部７０８へ送信する。相対情報制御部７０８は、相対情報認識部７０７により作成された相対情報と、認識装置３０６により取得された車両１０２の状態とに基づいて、自動運転制御情報を作成し、判断部７１０へ送信する。また、相対情報制御部７０８は、出力管理部７０５への出力指示、及び、通知管理部７０６への通知指示を行う。

　異常検出部７０９は、自動運転制御部７０３により作成された自動運転制御情報の付加情報、又は、相対情報認識部７０７により作成された相対情報の付加情報に基づいて、車両１０２の異常を検出し、検出結果を判断部７１０へ送信する。異常検出部７０９により検出される車両１０２の異常には、車両制御システム３０２の異常、及び、車両１０２の安全制御機能の異常が含まれる。また、異常検出部７０９は、出力管理部７０５への出力指示、及び、通知管理部７０６への通知指示を行う。なお、異常検出部７０９の詳細については後述する。

　判断部７１０は、自動運転制御部７０３又は相対情報制御部７０８により作成された自動運転制御情報、安全監視システム１０１から送信され通信装置３０３により受信された検証結果又は制御指令、異常検出部７０９による検出結果、入力受付部７０４により作成された入力指示等に基づいて、運動制御部７１１への制御指示を行う。特に、判断部７１０は、通信装置３０３を介して安全監視システム１０１へ自動運転制御情報を送信し、通信装置３０３により受信された当該自動運転制御情報の検証結果に基づいて、運動制御部７１１への制御指示を行う。また、判断部７１０は、異常検出部７０９による検出結果と、通信装置３０３により受信された制御指令とに基づいて、運動制御部７１１への制御指示を、自動運転制御部７０３、相対情報制御部７０８又は安全監視システム１０１の何れで作成された自動運転制御情報に応じて行うかを判断することができる。そして、判断部７１０は、判断結果に該当する自動運転制御情報を運動制御部７１１へ送信し、運動制御部７１１への制御指示を行う。言い換えると、判断部７１０は、運動制御部７１１へ送信される自動運転制御情報を、自動運転制御部７０３、相対情報制御部７０８又は安全監視システム１０１の何れで作成された自動運転制御情報とするかを切り替える、切り替え処理を行う。なお、判断部７１０の詳細については後述する。

　運動制御部７１１は、判断部７１０からの制御指示（自動運転制御情報）、認識装置３０６により取得された情報、及び、駆動装置３０５からの応答に従って、複数の駆動装置３０５のそれぞれを制御する。なお、運動制御部７１１の詳細については後述する。

　図８は、図７に示す車両制御システム３０２の各機能を、図４に示すハードウェア構成に実装した例を示す図である。

　車両制御システム３０２には、通信装置３０３、駆動装置３０５、認識装置３０６、出力装置３０７、入力装置３０８、通知装置３０９の一部又は全てが含まれる場合もある。また、車両制御装置は、車両制御システム３０２における一部又は全ての機能を有する装置を指す。車両制御システム３０２は、図７に示すように、複数の機能から構成されており、図４に示すハードウェアへの実装は、複数のパターンが存在する。車両制御システム３０２の各機能は、例えば、図８に示されるようなパターンが考えらえる。車両制御システム３０２の各機能は、図８に示す実装パターンに限定されず、図８に示したＥＣＵ４０２及びＧＷ４０３とは別のＥＣＵ４０２又はＧＷ４０３に実装されてもよい。

＜外界認識方法＞
　図９は、外界認識方法の一例を説明する図である。

　車両１０２の認識装置３０６及び安全監視システム１０１の監視装置１１２は、それぞれ、上述のように複数種類の外界センサによって構成されてもよい。車両制御システム３０２及び安全監視システム１０１は、それぞれの外界センサに応じた動作原理によって取得された情報（センシングした情報）から外界認識情報を作成する。例えば、車両制御システム３０２及び安全監視システム１０１のそれぞれは、外界センサを用いて外界の測定を行い、測定値に対して特定のアルゴリズム（例えば、取得した画像に対する画像認識アルゴリズム）を適用し、外界認識情報を作成する。

　認識装置３０６及び監視装置１１２のそれぞれは、測定可能な範囲が事前に定められている。例えば、カメラであれば、撮影方向と縦・横の角度、画素数による遠方距離の認識限界が事前に定められている。レーダであれば、電波の放射角度と受信角度及び距離等が予め定められている。また、認識装置３０６及び監視装置１１２のそれぞれは、環境に応じた変化に対して調整（キャリブレーション）を行って測定可能な範囲を測定し、決定する。車両制御システム３０２及び安全監視システム１０１は、それぞれ、複数の外界認識情報を統合することにより、車両１０２及びフィールドＦの状況が確認可能となる。例えば、図９には、車両１０２の四方（前方、後方、左方及び右方）に配置された各認識装置３０６が外界の情報を取得している例が示されている。統合認識部７０２は、各認識装置３０６により取得された外界の情報から作成された各外界認識情報を統合することにより、車両１０２の周辺にどのようなオブジェクトが存在しているかを確認することができる。

　車両１０２の通信装置３０３及び安全監視システム１０１の通信装置１１１のそれぞれによって取得された情報からも、外界認識情報が取得され得る。例えば、通信装置３０３は、認識装置３０６にて認識不可能なオブジェクト、例えば物陰等の遮蔽物に隠れたオブジェクトを含む情報を位置情報と共に取得することができる。車両制御システム３０２は、これらの情報から、当該オブジェクトの存在位置を表す外界認識情報を作成することにより、当該オブジェクトの存在位置を確認することができる。また、通信装置３０３及び通信装置１１１のそれぞれにより取得される外界の情報は、車両１０２の周辺の地図情報（地形、道路、車線情報）や、道路交通状況（交通密度、工事中か否か等）も含む。

　なお、上記の説明では、車両１０２における外界認識情報の作成は、統合認識部７０２が行っているが、外界の情報を取得した認識装置３０６又は通信装置３０３自身が行ってもよい。同様に、上記の説明では、安全監視システム１０１における外界認識情報の作成は、監視処理部２０４が行っているが、外界の情報を取得した監視装置１１２又は通信装置１１１自身が行ってもよい。

＜外界認識情報＞
　外界認識情報とは、認識装置３０６若しくは監視装置１１２により観測されたオブジェクト、又は、通信装置３０３若しくは通信装置１１１により受信したオブジェクトを表現する情報である。例えば、外界認識情報は、オブジェクト種別（静止オブジェクト（壁、白線、信号、分離帯、木等）、動的オブジェクト（歩行者、車、二輪車、自転車等）、走行（進入）可能領域か否か、その他属性情報）、オブジェクトの相対位置情報（方向及び距離）、オブジェクト及び自己の絶対位置情報（座標等）、オブジェクトの速度及び向き（移動方向、歩行者の顔の向き）、加速度、存在確率（確からしさ）、地図情報、道路交通状況、外界の測定時間、測定を実施した認識装置３０６又は監視装置１１２のＩＤ等が挙げられる。

＜外界認識マップ＞
　図１０（ａ）は、外界認識マップに使用される座標系の一例を示す図である。図１０（ｂ）は、図１０（ａ）に示す座標系にオブジェクト情報を配置して作成された外界認識マップの一例を示す図である。

　統合認識部７０２は、複数の認識装置３０６及び通信装置３０３の少なくとも１つにより取得された外界の情報から作成された外界認識情報を統合して、車両１０２の周辺の外界認識マップ（すなわち統合認識情報）を作成する。例えば、統合認識部７０２は、図１０（ａ）に示すように、車両１０２の周辺の画像や地図情報等に互いに直交する座標系（グリッド）を適用し、図１０（ｂ）に示すように、座標系の各領域に対してオブジェクト情報を配置（マッピング）する。オブジェクト情報は、外界認識情報からオブジェクトの位置情報を除いた内容である。

　監視処理部２０４においても、統合認識部７０２と同様に、複数の監視装置１１２及び通信装置１１１の少なくとも１つにより取得された外界の情報から作成された外界認識情報を統合して、フィールドＦの外界認識マップを作成する。特に、監視処理部２０４は、複数の車両１０２から送信され通信装置１１１によって受信された外界認識情報（又は外界認識マップ）を統合して、フィールドＦの外界認識マップを作成することができる。

＜行動予測＞
　統合認識部７０２は、現在認識された外界認識情報を用いるだけではなく、過去の外界認識情報から予測（行動予測）を行うことによって、外界認識マップを作成することができる。例えば、静止オブジェクトは、所定時間経過後に、同じ位置（車両との相対位置では無く、路面上の同じ位置）に存在している可能性が高い。動的オブジェクトは、直前の位置、速度、加速度等から、所定時間経過後の位置が予測可能である。このように行動予測を行うことによって、統合認識部７０２は、現在認識不可能な位置に存在するオブジェクトについても行動予測を行うことができ、認識することができる。

　統合認識部７０２は、作成された外界認識マップに基づいてオブジェクトの行動予測を行うことができる。しかしながら、例えば、認識装置３０６が、行動予測を行い、取得された外界の情報に行動予測結果を付加して、統合認識部７０２へ送信してもよい。この場合、複数の認識装置３０６のそれぞれが行動予測を行うことになり、統合認識部７０２の行動予測に関連する演算量を低減することができる。また別の方法として、自動運転制御部７０３が、現在の外界認識マップから、必要なオブジェクトの行動予測を行ってもよい。この場合、統合認識部７０２から自動運転制御部７０３への通信負荷を低減することができると共に、自動運転制御情報の作成及び判断に必要なオブジェクトのみで行動予測を行うので、演算量を低減することができる。

　監視処理部２０４は、統合認識部７０２と同様に、作成された外界認識マップに基づいてオブジェクトの行動予測を行うことができる。また、監視処理部２０４は、統合認識部７０２と同様に、現在認識された外界認識情報を用いるだけではなく、過去の外界認識情報から行動予測を行うことよって、外界認識マップを作成することができる。また、監視処理部２０４は、作成された外界認識マップだけではなく、複数の車両１０２から送信され通信装置１１１によって受信された複数の自動運転制御情報をも用いて行動予測を行うことができる。これにより、監視処理部２０４は、更に高精度の行動予測を行うことができる。

＜自動運転制御情報（軌道）＞
　図１１は、図１０（ｂ）に示す外界認識マップに基づいて作成された軌道の一例を示す図である。

　自動運転制御情報は、車両１０２の自動運転を制御するための情報である。例えば、自動運転制御情報は、車両１０２の将来の位置を表わす軌道の情報である。自動運転制御情報は、当該軌道に沿って車両１０２が走行するために必要な駆動装置３０５の制御情報等であってもよい。以下では、外界認識マップに基づく自動運転制御情報の作成方法について、自動運転制御情報の一例である軌道を例に挙げて説明する。

　軌道は、車両１０２が安全に走行可能（例えば、他のオブジェクトとの衝突リスクが低い）であることを条件とする安全制約と、車両１０２が実現可能な速度、加速度及びヨーレート等であることを条件とする運動制約とを満たすように作成される。軌道は、例えば、所定時間間隔毎の自車位置の座標の集合により表わされる。また別の例では、軌道は、所定時間間隔毎の運動制御値（目標加速度、ヨーレート）の集合や、所定時間間隔毎の自車両のベクトル値（方向、速度）や、所定距離を進むための時間間隔等により表される。

　図１１では、車両１０２が右車線に車線を変更する場合の所定時間間隔毎の自車位置の（将来の）座標の集合によって表された軌道１１０１を示している。図１１では、右車線を走行する他の車両１０３が存在しているが、車両１０２の方が高速であり、車線変更が可能な例を示している。

　まず、自動運転制御部７０３は、車両１０２が運動制約を満たし、右車線に移動する軌道１１０１を作成する。その後、自動運転制御部７０３は、作成された軌道１１０１について、他の動的オブジェクトである車両１０３の予測される軌道（例えば、現在の速度及び想定される加速度での所定時間後の位置）と、車両１０２の軌道とにより衝突が発生しないかを計算する。衝突が発生しないと計算された場合、自動運転制御部７０３は、作成された軌道１１０１にて自動運転制御情報を作成する。衝突が発生すると計算された場合、自動運転制御部７０３は、所定時間待機後に衝突が発生しないかを再計算する。或いは、運動制約を満たす別の軌道を作成し、同様に安全制約を計算する。

　安全制約の計算方法は、上記のように、動的オブジェクトの現在速度及び想定される加速度から動的オブジェクトが存在すると予測される領域を進入禁止領域とする方法（進入禁止領域法）がある。別の方法として、各オブジェクトの種別、速度及び進行方向から、各領域のリスクを計算し、リスクポテンシャルを計算するポテンシャルマップ法がある。ポテンシャルマップ法を用いる場合には、作成されたポテンシャルマップの中で、最もリスクポテンシャルが低く、所定値以上のポテンシャルエリアに進入せず、且つ、車両１０２の運動制約を満たす軌道を作成する。なお、進入禁止領域法については、動的オブジェクトの行動予測が必要になる。行動予測については、現在の速度、加速度及び進行方向にて移動した点を中心とした所定領域を進入禁止領域にする方法がある。このように所定領域を進入禁止領域とすることにより、複雑な予測による演算が不要となる。

　このように、自動運転制御部７０３は、車両１０２の移動方向、運動制約、安全制約に基づいて軌道を作成し、作成された軌道にて自動運転制御情報を作成する。そして、自動運転制御部７０３は、作成された自動運転制御情報を、判断部７１０を介して運動制御部７１１へ送信する。運動制御部７１１は、自動運転制御情報に応じて駆動装置３０５を制御する。これにより、車両制御システム３０２は、自動運転制御情報に応じて車両１０２の自動運転を制御することができる。

＜自動運転制御情報に基づく自動運転の制御＞
　運動制御部７１１は、判断部７１０により送信された自動運転制御情報を実現するように駆動装置３０５を制御する。自動運転制御情報が軌道の情報である場合、運動制御部７１１は、車両１０２が軌道に追従可能なように、認識装置３０６により取得された車両１０２の状態（現在の速度、加速度、ヨーレート等）を反映した車両１０２の目標速度及びヨーレート等を計算する。運動制御部７１１は、これらの目標速度及びヨーレート等を実現するため、それぞれ必要な駆動装置３０５を制御する。これにより、運動制御部７１１は、目標の軌道に車両１０２が追従可能なように、車両１０２の自動運転を制御することができる。なお、運動制御部７１１は、目標速度を実現するために、エンジントルクの出力を増加させたり、減速するべくブレーキを制御したりすることができる。運動制御部７１１は、目標ヨーレートを実現するために、ステアリングを制御したりすることができる。また、運動制御部７１１は、車輪速度が不均等になるよう車輪個別にブレーキ及びアクセルを制御することができる。

＜オーバーライド制御情報＞
　オーバーライド制御情報は、安全監視システム１０１がオーバーライド制御を行うために必要な情報である。オーバーライド制御情報には、自動運転制御情報（軌道）、時刻情報、現在の車両１０２の状態、安全監視システム１０１の状態、各構成要素のＩＤ等が含まれる。

＜オーバーライド制御時の車両制御システムの処理＞
　車両１０２は、安全監視システム１０１から送信されたオーバーライド制御情報を通信装置３０３により受信すると、当該オーバーライド制御情報を、車両制御システム３０２の判断部７１０へ送信する。判断部７１０は、自動運転制御部７０３又は相対情報制御部７０８により作成された自動運転制御情報に代わって、オーバーライド制御情報に含まれる自動運転制御情報を運動制御部７１１へ送信する。このようにして、車両制御システム３０２は、安全監視システム１０１により作成されたオーバーライド制御情報に含まれる自動運転制御情報に応じて、車両１０２の自動運転を制御することができる。

＜交差点での自律走行制御システムの動作例＞
　図１２は、実施形態１又は２の自律走行制御システム１の動作例を説明する図である。

　図１２に示すフィールドＦでは、車両１０２が交差点に差し掛かり、交差点の車両１０２の対する信号機がＧｏ（走行可）のため、車両１０２が軌道１２０１に沿って走行を継続しようとしている状況である。図１２に示すフィールドＦでは、車両１０２の認識装置３０６では認識不可能な歩行者１０４が交差点に飛び出したり、通信装置等を有しない車両１０３が信号無視して交差点に差し掛かったりしている状況である。

　このような状況において、車両１０２の車両制御システム３０２は、車両１０２の自動運転制御情報を、通信装置３０３から安全監視システム１０１の通信装置１１１へ送信させる。安全監視システム１０１の通信装置１１１及び受信部２０１は、車両制御システム３０２から送信された車両１０２の自動運転制御情報を受信する。受信部２０１は、受信された自動運転制御情報を、検証部２０２及び監視処理部２０４へ送信する。並行して、安全監視システム１０１の監視装置１１２は、外界センサによりフィールドＦを監視し、フィールドＦの監視結果である外界センサにより取得された情報を、監視処理部２０４へ送信する。監視処理部２０４は、監視装置１１２より取得された外界の情報から外界認識情報を作成する。監視処理部２０４は、外界認識情報と自動運転制御情報とに基づいて、車両１０２の行動予測を含む外界認識マップを作成し、検証部２０２及びリスク管理部２０５へ送信する。

　検証部２０２は、監視処理部２０４により作成された外界認識マップに基づいて、受信部２０１により受信された自動運転制御情報の安全性を検証する。この検証の具体的な方法としては、受信部２０１により受信された自動運転制御情報に基づいて車両１０２が走行した場合、行動予測を含む外界認識マップにおいて、所定時間経過後にリスクの高い状況（他のオブジェクトと極度に近接又は衝突する状況）が車両１０２に発生することが想定されるか否かを検証する。リスクの高い状況が発生することが想定される場合、検証部２０２は、受信部２０１により受信された自動運転制御情報が安全でないと判断し、当該自動運転制御情報を承認しない旨を示す検証結果を、送信部２０３へ送信する。リスクの高い状況が発生することが想定されない場合、検証部２０２は、受信部２０１により受信された自動運転制御情報が安全であると判断し、当該自動運転制御情報を承認する旨を示す検証結果を、送信部２０３へ送信する。図１２の例では、車両１０２と歩行者１０４とが交差点にて近接するので、リスクの高い状況が発生することが想定される。図１２の例では、検証部２０２は、受信部２０１により受信された自動運転制御情報が安全でないと判断し、当該自動運転制御情報を承認しない旨を示す検証結果を、送信部２０３へ送信する。この検証結果は、送信部２０３から通信装置１１１を介して通信装置３０３に送信され、通信装置３０３から車両制御システム３０２へ送信される。

　車両制御システム３０２は、自動運転制御情報を承認する旨を示す検証結果を受信すると、承認された当該自動運転制御情報に応じて自動運転を制御する。具体的には、判断部７１０は、自動運転制御情報を承認する旨を示す検証結果を受信すると、承認された当該自動運転制御情報を運動制御部７１１へ送信する。運動制御部７１１は、承認された当該自動運転制御情報に応じて駆動装置３０５を制御し、車両１０２の自動運転を制御する。

　一方、車両制御システム３０２は、自動運転制御情報を承認しない旨を示す検証結果を受信すると、承認されなかった当該自動運転制御情報とは異なる新たな自動運転制御情報に応じて自動運転を制御する。具体的には、判断部７１０は、自動運転制御情報を承認しない旨を示す検証結果を受信すると、承認されなかった当該自動運転制御情報とは異なる新たな自動運転制御情報を作成するよう、自動運転制御部７０３に指示する。自動運転制御部７０３は、新たな自動運転制御情報として、例えば、車両１０２の減速若しくは停止を行う自動運転制御情報や、車両１０２が死角若しくは他のオブジェクトから離れるような自動運転制御情報等を作成し、判断部７１０に送信する。判断部７１０は、作成された新たな自動運転制御情報を、通信装置３０３を介して安全監視システム１０１へ再送信する。車両制御システム３０２は、自動運転制御情報を承認する旨を示す検証結果を受信するまで、同様の手順で自動運転制御情報の再作成及び再送信を繰り返す。

　また、別の方法として、自動運転制御情報を承認しない旨を示す検証結果を受信すると、判断部７１０は、車両１０２が安全な状態（例えば、車線内の静止又は路端での停止）へ移行するよう、自動運転制御部７０３にフェールセーフ処理を指示してもよい。自動運転制御部７０３は、車両１０２が安全な状態へ移行するような新たな自動運転制御情報を作成し、運動制御部７１１へ送信する。

　以上のように、実施形態１の自律走行制御システム１では、車両制御システム３０２により作成された自動運転制御情報の安全性を、車両１０２の外部の安全監視システム１０１が検証する。そして、車両制御システム３０２は、安全監視システム１０１による検証結果に基づいて、車両１０２の自動運転を制御する。これにより、車両制御システム３０２では、車両１０２の外部の安全監視システム１０１によって安全であると承認された自動運転制御情報に応じて自動運転を行うことができる。車両制御システム３０２では、仮に安全であると承認されなかった場合でも車両１０２が安全な状態へ移行するような新たな自動運転制御情報に応じて自動運転を行うことができる。しかも、自動運転制御情報の安全性を検証するのは、フィールドＦ全体を監視する安全監視システム１０１であるので、車車間通信等により他の車両が検証する場合と比べて、自動運転制御情報の安全性を網羅的且つ効率的に検証することができる。車両制御システム３０２は、安全監視システム１０１による検証を活用して自動運転制御情報を作成し、車両１０２の自動運転を制御することができる。したがって、実施形態１の自律走行制御システム１では、車両単独の自動運転システムよりも安全性及び効率性を向上させることができる。

　実施形態１の自律走行制御システム１では、車両単独やインフラ単独でセンシングした情報に基づくのでは無く、安全監視システム１０１は、双方でセンシングした情報に基づき、外界認識マップを作成し、車両１０２の高精度な行動予測を行うことができる。そして、安全監視システム１０１は、複数の自動運転制御情報に基づいてフィールドＦの安全性を検証することができる。そして、実施形態１の車両制御システム３０２は、フィールドＦの安全性の観点から安全であると承認された自動運転制御情報に応じて自動運転を行うことができる。したがって、実施形態１の自律走行制御システム１は、フィールドＦの安全性を確保することができる。

　なお、車両制御システム３０２は、車両１０２と安全監視システム１０１との通信に何らかの異常（定期的な通信が途絶えたこと等により検出）が発生した場合、自動運転制御情報が承認されなかった場合と同様に、車両１０２が安全な状態へ移行するよう制御することができる。これにより、実施形態１の自律走行制御システム１は、車両１０２と安全監視システム１０１との通信に何らかの異常が発生した場合でも安全に車両１０２の自動運転を行うことができる。よって、実施形態１の自律走行制御システム１は、効率性を確保した上で安全性を更に向上させることができる。

　また、車両制御システム３０２は、自動運転制御情報を承認する旨を示す検証結果を受信すると、承認された当該自動運転制御情報に応じて自動運転を制御するが、この際、車両１０２の速度を維持又は高速化して、自動運転を制御してもよい。これは、例えば交差点を通過する場合、安全監視システム１０１が正しく動作していれば、歩行者１０４等の他のオブジェクトの飛び出しが発生しないと推定されるからである。これにより、実施形態１の自律走行制御システム１は、安全性を確保した上で効率性を更に向上させることができる。

［実施形態２］
　実施形態１の安全監視システム１０１は、受信部２０１により受信された自動運転制御情報が安全でない場合、当該自動運転制御情報を承認しない旨を示す検証結果を、送信部２０３を介して車両制御システム３０２へ送信する。実施形態１の車両制御システム３０２は、当該自動運転制御情報を承認しない旨を示す検証結果を受信すると、承認されなかった当該自動運転制御情報とは異なる新たな自動運転制御情報を作成し、新たな自動運転制御情報に応じて自動運転を制御する。

　受信部２０１により受信された自動運転制御情報が安全でない場合、当該自動運転制御情報の送信元である車両１０２には、リスクの高い状況が発生することが想定される。リスクの高い状況が車両１０２に発生することが想定されるか否かは、安全監視システム１０１のリスク管理部２０５によって検証され得る。そこで、実施形態２の安全監視システム１０１では、受信部２０１により受信された自動運転制御情報が安全でない場合、又は、フィールドＦに非安全事象が発生することが想定される場合には、リスク管理部２０５により作成された制御指令を、制御指令部２０６を介して車両制御システム３０２へ送信する。実施形態２の車両制御システム３０２は、制御指令部２０６により送信された制御指令に応じて自動運転を制御する。非安全事象とは、例えば、検証部２０２による自動運転制御情報の検証が間に合わなかったり、検証後にフィールドＦの状況が変化したり、車両制御システム３０２に異常が発生したり、車両制御システム３０２との通信に異常が発生したりする事象のことである。

　特に、実施形態２のリスク管理部２０５は、制御指令として、リスクの高い状況が発生することが想定される車両１０２の自動運転制御情報を含むオーバーライド制御情報を作成する。実施形態２の制御指令部２０６は、リスク管理部２０５により作成されたオーバーライド制御情報を、制御指令部２０６を介して車両制御システム３０２へ送信する。実施形態２の車両制御システム３０２は、制御指令部２０６により送信されたオーバーライド制御情報に含まれる自動運転制御情報に応じて、自動運転を制御する。オーバーライド制御情報に含まれる自動運転制御情報は、検証部２０２の検証により承認されなかった自動運転制御情報とは異なる新たな自動運転制御情報である。

　なお、実施形態２の安全監視システム１０１では、受信部２０１により受信された自動運転制御情報が安全であり、且つ、フィールドＦに非安全事象が発生することが想定されない場合には、実施形態１と同様に、当該自動運転制御情報を承認する旨を示す検証結果を、送信部２０３を介して車両制御システム３０２へ送信する。

＜交差点でのオーバーライド制御の動作例＞
　図１２に示した上記と同様の状況において、フィールドＦに非安全事象が発生した場合を考える。実施形態２の安全監視システム１０１では、リスク管理部２０５が行動予測を行ってもよい。すなわち、実施形態２のリスク管理部２０５は、監視処理部２０４により作成された外界認識マップを受信し、当該外界認識マップからフィールドＦに存在するオブジェクトの行動予測を行う。そして、実施形態２のリスク管理部２０５は、所定時間経過後にリスクの高い状況（車両１０２とオブジェクト又はオブジェクト同士が極度に近接又は衝突する状況）が発生することが想定されるか否かを検証する。図１２の例では、車両１０２と歩行者１０４とが交差点にて近接するので、リスクの高い状況が発生することが想定される。図１２の例では、実施形態２のリスク管理部２０５は、リスクの高い状況が発生すること想定される車両１０２が安全に走行可能な自動運転制御情報を作成する。例えば、車両１０２を減速させる自動運転制御情報を作成する。そして、実施形態２のリスク管理部２０５は、作成された自動運転制御情報を含めて、当該車両１０２の車両制御システム３０２に対するオーバーライド制御情報を作成し、制御指令部２０６へ送信する。このオーバーライド制御情報は、制御指令部２０６から通信装置１１１を介して通信装置３０３に送信され、通信装置３０３から車両制御システム３０２へ送信される。

　実施形態２の車両制御システム３０２は、オーバーライド制御情報を受信すると、受信された当該オーバーライド制御情報に含まれる自動運転制御情報に応じて自動運転を制御する。具体的には、実施形態２の判断部７１０は、自動運転制御部７０３により作成された自動運転制御情報に代わって、オーバーライド制御情報に含まれる自動運転制御情報を運動制御部７１１へ送信する。これにより、実施形態２の車両制御システム３０２は、リスクの高い状況が発生することを回避することができる。

　以上のように、実施形態２の自律走行制御システム１では、安全監視システム１０１がオーバーライド制御を行うことができるので、車両１０２の外部から車両１０２を安全な状態に制御することができる。実施形態２の自律走行制御システム１では、フィールドＦの安全性を確実に確保することができ、車両単独の自動運転システムよりも安全性及び効率性を更に向上させることができる。

　なお、自動運転制御情報については、車両制御システム３０２が何時の時点の自動運転制御情報かを判断するために、タイムスタンプ（外界認識マップの座標と対応する時刻）の付与が必要となる。タイムスタンプを付与するための時刻の同期についても、車両制御システム３０２と安全監視システム１０１とが時刻情報の通信を行い、それぞれの時刻を同期させればよい。

　また、実施形態２の自律走行制御システム１では、リスク管理部２０５により作成される制御指令は、オーバーライド制御情報ではなく、オーバーライド制御情報よりも簡易な制御指令であってもよい。例えば、リスク管理部２０５により作成される制御指令は、単に加速、減速、停止若しくは転舵を指示する指令、又は、左にＸＸメートル若しくは右にＹＹメートル回避せよと指示する指令等であってもよい。これにより、実施形態２の自律走行制御システム１では、安全監視システム１０１と車両１０２との通信負荷及び処理負荷を抑制することができ、車両制御システム３０２が制御指令を迅速に受信することができる。実施形態２の車両制御システム３０２は、リスクの高い状況が発生することを迅速に回避することができる。

　また、リスク管理部２０５により作成される制御指令が上記の簡易な制御指令である場合、実施形態２の車両制御システム３０２は、自らの車両制御に関する情報（例えば運動制御の限界値、路面状態、現在の車両１０２の状態）を考慮して、自動運転制御情報を作成することができる。よって、実施形態２の自律走行制御システム１は、車両制御システム３０２が車両１０２の状態に更に適した自動運転を行うことができるので、安全性及び効率性を更に向上させることができる。

　また、実施形態２の自律走行制御システム１では、安全監視システム１０１が複数の車両１０２のそれぞれに対してオーバーライド制御を行うことができる。具体的には、実施形態２の安全監視システム１０１は、リスク管理部２０５が、複数の車両１０２のそれぞれが安全に走行できるような自動運転制御情報をそれぞれに対して作成し、それぞれに対してオーバーライド制御情報を作成する。そして、実施形態２の安全監視システム１０１は、制御指令部２０６が、複数の車両１０２のそれぞれに対してオーバーライド制御情報を送信する。これにより、実施形態２の自律走行制御システム１は、フィールドＦの安全性を更に確実に確保することができる。

　また、実施形態２の自律走行制御システム１では、車両１０２から安全監視システム１０１への自動運転制御情報の送信が途絶えた場合、安全監視システム１０１は、車両１０２に何らかの異常が発生したと判断し、オーバーライド制御を行うことができる。これにより、実施形態２の自律走行制御システム１は、自動運転制御部７０３等に異常が発生した場合でも、オーバーライド制御によって車両１０２の自動運転を安全に継続させることができる。

　また、実施形態２の自律走行制御システム１では、安全監視システム１０１のオーバーライド制御は、車両１０２に対してだけでなく、交通規制装置１０５に対して行ってもよい。すなわち、実施形態２の安全監視システム１０１は、交通規制装置１０５の代わりにフィールドＦの交通を規制してもよい。例えば、実施形態２の安全監視システム１０１は、交通規制装置１０５の表示をＧＯからＳＴＯＰに変更したり、ＳＴＯＰを点滅させたり、警告音を発信したりすることができる。これにより、実施形態２の自律走行制御システム１では、通信装置等を有しない車両１０３や歩行者１０４等のオブジェクトの行動を安全な状態に移行させることができるので、フィールドＦの安全性を確保することができる。

　また、実施形態２の自律走行制御システム１では、実施形態１と同様に、車両制御システム３０２が、自動運転制御情報を承認する旨を示す検証結果を受信すると、承認された当該自動運転制御情報に応じて、且つ、車両１０２の速度を維持又は高速化して、自動運転を制御してもよい。これにより、実施形態２の自律走行制御システム１は、安全性を確保した上で効率性を更に向上させることができる。しかも、実施形態２の自律走行制御システム１では、車両１０２の速度を維持又は高速化した後、例外的に、他のオブジェクトの飛び出しが発生した場合であっても、安全監視システム１０１がオーバーライド制御によって車両１０２を停止させることができる。よって、実施形態２の自律走行制御システム１では、実施形態１よりも、安全性及び効率性を更に向上させることができる。

［実施形態３］
　実施形態１の安全監視システム１０１は、受信部２０１により受信された自動運転制御情報が安全である場合、当該自動運転制御情報を承認する旨を示す検証結果を、送信部２０３を介して、車両制御システム３０２へ送信する。実施形態１の車両制御システム３０２は、自動運転制御情報を承認する旨を示す検証結果を受信すると、承認された当該自動運転制御情報に応じて自動運転を制御する。しかしながら、車両１０２によっては、承認された当該自動運転制御情報とは乖離した挙動（例えば速度、方向又は軌道）を示す可能性が考えられる。そこで、実施形態３の安全監視システム１０１は、監視装置１１２により取得された外界の情報から、車両１０２の挙動が、承認された当該自動運転制御情報と乖離する場合、当該車両１０２に対してオーバーライド制御を行う。すなわち、実施形態３のリスク管理部２０５は、自動運転制御情報を承認する旨を示す検証結果を送信された車両１０２が、承認された当該自動運転制御情報とは乖離した挙動を示す場合、当該挙動を示す車両１０２の車両制御システム３０２に対するオーバーライド制御情報を作成する。実施形態３の制御指令部２０６は、リスク管理部２０５により作成されたオーバーライド制御情報を、当該車両１０２の車両制御システム３０２へ送信する。

＜すれ違いでの安全監視システムの動作例＞
　図１３は、実施形態３の自律走行制御システム１の動作例を説明する図である。

　図１３に示すフィールドＦでは、車両１０２が車線の中を走行しており、車両１０２の周辺には対向車両である車両１０３や歩行者１０４が存在する状況である。図１３の例では、車両制御システム３０２は、車線の中を走行する自動運転制御情報（軌道１３０２）を作成して安全監視システム１０１へ送信し、安全監視システム１０１により承認された当該自動運転制御情報に応じて自動運転を制御しているとする。しかしながら、監視装置１１２により取得された外界の情報によると、車両１０２の挙動は、承認された当該自動運転制御情報と乖離しており、車線を逸脱するような挙動（軌道１３０１）であるとする。

　このような状況において、実施形態３の監視処理部２０４は、監視装置１１２に取得された外界の情報と、受信部２０１により受信された自動運転制御情報とを比較する。監視処理部２０４は、両者が乖離している場合、自動運転制御情報が示す位置、速度又は方向からの逸脱を特定して、リスク管理部２０５へ通知する。実施形態３のリスク管理部２０５は、受信部２０１により受信された自動運転制御情報と乖離した挙動を示す車両１０２に異常が発生していると判断し、当該車両１０２が安全に走行可能な自動運転制御情報を作成する。例えば、車両１０２を車線に沿って走行させる自動運転制御情報、又は、車両１０２を安全な状態（車線内の静止若しくは路端での停止）に移行させる自動運転制御情報を作成する。そして、実施形態３のリスク管理部２０５は、作成された自動運転制御情報を含めて、当該車両１０２の車両制御システム３０２に対するオーバーライド制御情報を作成し、制御指令部２０６へ送信する。このオーバーライド制御情報は、制御指令部２０６から通信装置１１１を介して通信装置３０３に送信され、通信装置３０３から車両制御システム３０２へ送信される。

　以上のように、実施形態３の自律走行制御システム１では、自動運転制御情報を承認する旨を示す検証結果を送信された車両１０２が、承認された当該自動運転制御情報とは乖離した挙動を示す場合、当該挙動を示す車両１０２のオーバーライド制御を行うことができる。これにより、実施形態３の自律走行制御システム１は、承認された当該自動運転制御情報とは乖離した挙動を示す等の車両１０２の異常を検出することができ、当該車両１０２を安全な状態に制御することができる。よって、実施形態３の自律走行制御システム１は、車両単独の自動運転システムよりも安全性及び効率性を更に向上させることができる。

　なお、オーバーライド制御を行った場合でも、例えば、駆動装置３０５の異常等、車両１０２の状態が正常に戻らない場合がある。この場合、実施形態３の安全監視システム１０１は、監視処理部２０４により取得された外界の情報を確認しながら、当該車両１０２を安全な状態へ段階的に移行させるオーバーライド制御を行ってもよい。例えば、実施形態３の安全監視システム１０１は、自動運転を継続する自動運転制御情報、徐々に減速する自動運転制御情報、最終的に静止させる自動運転制御情報を順次作成し、当該車両１０２を安全な状態へ段階的に移行させるオーバーライド制御を行ってもよい。これにより、実施形態３の自律走行制御システム１は、当該車両１０２に復帰困難な異常が発生している場合でも、当該車両１０２を少しでも安全な状態に制御することができる。

　また、実施形態３の安全監視システム１０１は、車両１０２の挙動が、承認された当該自動運転制御情報と乖離するか否かの判断を、次のようにして行ってもよい。すなわち、安全監視システム１０１は、承認された当該自動運転制御情報が示す車両１０２の位置と、実際の車両１０２の位置との差が、所定時間に亘って所定閾値を超えた場合、又は、連続して所定閾値を超えた場合に、両者は乖離すると判断してもよい。或いは、安全監視システム１０１は、承認された当該自動運転制御情報が示す車両１０２の加速度等（車両１０２の加速度、ヨーレート）と、実際の車両１０２の加速度等との差が、所定時間に亘って所定閾値を超えた場合等に、両者は乖離すると判断してもよい。また別の方法として、実施形態３の安全監視システム１０１は、上記のように、承認された当該自動運転制御情報が車線を逸脱しない自動運転制御情報（軌道１３０２）であるが、実際の車両１０２が車線を逸脱するような挙動（軌道１３０１）を示す場合等、車両１０２が想定外の挙動を示す場合でも、両者は乖離すると判断してもよい。

［実施形態４］
＜車両の安全制御機能の優先判断＞
　実施形態４の自律走行制御システム１では、車両１０２の安全制御機能を考慮して、オーバーライド制御が行われる。安全制御機能は、図７に示す相対情報認識部７０７、相対情報制御部７０８及び自動運転制御部７０３等のように、車両１０２を安全に走行させたり、車両１０２を安全な状態に移行させたりする制御機能である。安全制御機能は、例えば、相対情報認識部７０７により作成された相対情報に基づく自動運転や、安全に減速する自動運転（自動緊急ブレーキ機能を含む）を行う機能である。実施形態４の自律走行制御システム１では、安全制御機能に異常がなければ、オーバーライド制御が行われる際でも安全制御機能による自動運転の制御を優先し、安全制御機能に異常があれば、オーバーライド制御を優先する。

　以下では、まず、安全制御機能の説明として、相対情報認識部７０７により作成された相対情報に基づく自動運転の制御について、図１４（ａ）及び図１４（ｂ）を用いて説明する。続いて、安全制御機能の異常を検出する異常検出部７０９の処理について説明する。続いて、切り替え処理を行う判断部７１０の処理について、図１５を用いて説明する。

＜相対情報＞
　図１４（ａ）は、相対情報の一例を説明する図である。図１４（ｂ）は、相対情報の他の一例を説明する図である。

　相対情報は、外界認識情報のうち、特に認識装置３０６から取得可能な情報である。相対情報は、車両１０２と、車両１０２の周辺のオブジェクトとの相対位置、相対速度、相対加速度、若しくは、これらの値から演算される値、又は、これらを組み合わせた情報である。

　図１４（ａ）及び図１４（ｂ）では、車両１０２が先行車両である車両１０３を認識している例を示している。図１４（ａ）の例では、車両１０３が車両１０２の前方に存在している。図１４（ａ）の例では、車両１０２に対する車両１０３の相対位置は、車両１０２からの距離がｌａの位置であって、車両１０２の水平方向右方を０度とした角度がθａの位置である。図１４（ａ）の例では、車両１０２に対する車両１０３の相対速度は、ｄｖａである。図１４（ｂ）の例では、車両１０３が車両１０２の右方且つ前方に存在している。図１４（ｂ）の例では、車両１０２に対する車両１０３の相対位置は、車両１０２からの距離がｌｂの位置であって、車両１０２の水平方向右方を０度とした角度がθｂの位置である。図１４（ａ）の例では、車両１０２に対する車両１０３の相対速度は、ｄｖｂである。

　相対速度は、車両１０２と該当オブジェクトとが近付く、又は、遠ざかる速度を示している。図１４（ａ）の例では、車両１０２から車両１０３へ向かう方向と、車両１０２及び車両１０３の進行方向とが同一方向であるので、車両１０２に対する車両１０３の相対速度ｄｖａは、車両１０３の速度ｖｏａから車両１０２の速度ｖｅａを差し引いた差分によって表現可能である。図１４（ｂ）の例では、車両１０２から車両１０３へ向かう方向と、車両１０２及び車両１０３の進行方向とが同一方向でない。よって、車両１０２に対する車両１０３の相対速度ｄｖｂは、車両１０３の速度ｖｏｂを、車両１０２から車両１０３へ向かう方向に射影した速度から、車両１０２の速度ｖｅｂを当該方向に射影した速度を差し引いた差分によって表現可能である。

　相対速度ｄｖａ，ｄｖｂが正であれば、車両１０３は車両１０２から遠ざかっており、相対速度ｄｖａ，ｄｖｂが負であれば、車両１０３は車両１０２に近付いていることを示す。また、図示していないが、相対加速度は、相対速度の時間変化であるので、観測された速度の時間変化から算出可能である。

　なお、相対位置の表現方法は、相対距離と角度の表現の他に、自車両である車両１０２を原点とした座標系によって表現可能である。例えば、図１４（ａ）及び図１４（ｂ）の例において、車両１０２を原点とし、車両１０２の前後方向をｙ軸とし、且つ、車両１０２の前方をｙ軸の正方向とし、車両１０２の左右方向をｘ軸とし、且つ、車両１０２の右方をｘ軸の正とする直交座標系を定義する。そして、図１４（ａ）の例では、車両１０３の相対位置を（ｒｘａ，ｒｙａ）と表現可能であり、図１４（ｂ）の例では、車両１０３の相対位置を（ｒｘｂ，ｒｙｂ）と表現可能である。

　また、認識装置３０６が認識可能な場合、オブジェクトの種別（車両又は歩行者等）、オブジェクトの幅（図１４（ａ）のｄｘａ及び図１４（ｂ）のｄｘｂ）、及び、オブジェクトの奥行き（図１４（ａ）のｄｙａ及び図１４（ｂ）のｄｙｂ）についても、相対情報に含まれ得る。

＜相対情報に基づく自動運転の制御＞
　相対情報制御部７０８は、相対情報認識部７０７により作成された相対情報と、認識装置３０６により取得された車両１０２の状態とに基づいて、自動運転制御情報を作成し、判断部７１０へ送信する。例えば、車両１０２の前方にオブジェクトの車両１０３が存在し、相対情報における相対位置（距離）が所定閾値を下回った場合、相対情報制御部７０８は、車両１０２を減速させる自動運転制御情報を作成し、判断部７１０へ送信する。一方、例えば、車両１０２の前方にオブジェクトの車両１０３が存在し、相対情報における相対位置が所定閾値を上回った場合、相対情報制御部７０８は、車両１０２を加速させる自動運転制御情報を作成し、判断部７１０へ送信する。このように、相対情報制御部７０８は、前方の車両１０３に対して相対位置が所定閾値を上回る又は下回ることの無いように、車両１０２を加速又は減速させる。車両１０２の後方にオブジェクトの車両１０３が存在する場合についても同様に、相対情報制御部７０８は、後方の車両１０３に対して相対位置が所定閾値を上回る又は下回ることの無いように、車両１０２を加速又は減速させる。

　また、相対情報制御部７０８は、相対位置のみではなく、相対速度及び相対加速度に基づき、自動運転制御情報を作成することが可能である。例えば、車両１０２の前方にオブジェクトの車両１０３が存在し、相対情報における相対位置が所定閾値を上回っていないが、相対速度及び相対加速度により車両１０３が車両１０２に近付く可能性が高い場合がある。この場合、相対情報制御部７０８は、車両１０２を減速させる自動運転制御情報を作成し、判断部７１０へ送信する。この場合に車両１０２を減速させる自動運転制御情報を作成するか否かの判断には、次式（１）によって計算されるリスク値Ｒが用いられてもよい。式（１）において、ｄｌは相対距離であり、ｄｖは相対速度であり、ｄａは相対加速度であり、Ａ、Ｂ及びＣは定数である。
　　Ｒ＝Ａ・ｄｌ＋Ｂ・ｄｖ＋Ｃ・ｄａ・・・（１）

　リスク値Ｒを用いて、車両１０２を減速させる自動運転制御情報を作成するか否かの判断を行う場合についても、相対情報制御部７０８は、リスク値Ｒが所定閾値を上回ることのないよう、車両１０２を加速又は減速させる。このように、相対情報制御部７０８は、相対速度及び相対加速度を用いてリスク値Ｒを計算し、リスク値Ｒに基づいて自動運転を制御することができる。これにより、相対情報制御部７０８は、相対位置が所定閾値を上回っていなくても、リスクの高い状況が発生することを抑制し、車両１０２の安全性を確保することができる。

　なお、相対情報制御部７０８は、車両１０２の前後に同時に車両１０３が存在する場合、相対位置が近い方から離れるように制御を行う。例えば、車両１０２の前方に存在する車両１０３の方が後方に存在する車両１０３よりも車両１０２に近い場合には、車両１０２を減速させる。車両１０２の後方に存在する車両１０３の方が前方に存在する車両１０３よりも車両１０２に近い場合には車両１０２を加速させる。

　また、相対情報制御部７０８は、車両１０２の前後方向だけでなく左右方向にも車両１０３が存在する場合、左右方向において車両１０３が存在していない方向に操舵し、前後方向において車両１０３へ衝突を回避するよう、相対情報に基づいて車両１０２を制御することができる。そのために、相対情報制御部７０８は、車両１０２の目標ヨーレートを含む自動運転制御情報を作成する。

　また、相対情報制御部７０８には、上記の相対位置又はリスク値Ｒにおける所定閾値として、複数の閾値が予め定められていてもよい。例えば、相対情報制御部７０８は、リスク値Ｒが閾値αを上回る場合にはユーザへの警告を行い、リスク値Ｒが閾値βを上回る場合には小さな加減速を行い、リスク値Ｒが閾値γを上回る場合には大きな加減速を行うように、車両１０２を制御してもよい（α＜β＜γ）。これにより、相対情報制御部７０８は、車両１０２のリスク状況に応じて、車両１０２を段階的に制御することができる。

＜異常検出＞
　異常検出部７０９は、車両１０２の異常を検出する。異常検出部７０９により検出される車両１０２の異常には、車両制御システム３０２又は安全制御機能の異常が含まれる。すなわち、車両制御システム３０２は、車両１０２の安全制御機能の異常を検出する異常検出部７０９を備えると言える。車両１０２の異常とは、車両１０２のハードウェアの故障、ソフトウェアの不具合、又は、想定外の入力等を原因として、車両１０２の状態が正常時に想定している状態とは異なる状態になることである。

　車両１０２の各構成要素は、車載ネットワーク等を介して互いに通信を行っている。当該通信に異常がある場合、通信処理がエラー応答になったり、信号線の電位が異常であったり、通信の信号値が異常であったりする事象等が発生する。これらの通信の異常は、電気回路での異常検出（電位検出等）、定期的な生存確認（ハートビート）、ＣＲＣ等の誤り検出符号のエラー検出等が行われることによって検出可能である。

　車両１０２を構成する各演算装置の故障については、同じ演算を複数回行って結果を比較する検算が行われることによって検出可能である。車両１０２を構成するメモリの故障については、ＲＡＭやＲＯＭへアクセスした際の誤り検出等によって検出可能である。車両１０２を構成する各ソフトウェアの不具合については、上記の検算以外にも、出力値が許容範囲外であるかを確認することにより検出可能である。

　異常検出部７０９は、これらの異常を自ら検出することができるだけでなく、車両１０２の各構成要素から通知されることにより検出することができる。例えば、自動運転制御部７０３は、認識装置３０６、通信装置３０３、統合認識部７０２、入力装置３０８及び入力受付部７０４のそれぞれの異常、及び、それぞれの通信の異常を検出し、検出結果に応じた異常検出フラグを作成することができる。そして、自動運転制御部７０３は、異常検出フラグを自動運転制御情報に付加して、異常検出部７０９へ送信することができる。また、例えば、相対情報認識部７０７は、認識装置３０６の異常、及び、その通信の異常を検出し、検出結果に応じた異常検出フラグを作成することができる。そして、相対情報認識部７０７は、異常検出フラグを相対情報に付加して、異常検出部７０９へ送信することができる。異常検出部７０９は、受信された自動運転制御情報又は相対情報に付加された異常検出フラグを確認することによって、車両１０２の異常を検出することができる。異常検出部７０９による検出結果は、判断部７１０へ送信され、切り替え処理の実行に用いられる。

　また、異常検出部７０９は、車両１０２の異常を検出した場合、車両１０２に異常が検出されたことがユーザ及び安全監視システム１０１へ通知されるよう、出力管理部７０５への出力指示、及び、通知管理部７０６への通知指示を行う。これにより、出力管理部７０５及び通知管理部７０６は、それぞれ、ユーザ及び安全監視システム１０１に対して、車両１０２の状態を通知することができる。なお、異常検出部７０９は、必要に応じて、出力管理部７０５への出力指示、又は、通知管理部７０６への通知指示の何れかだけを行ってもよい。

＜切り替え処理＞
　図１５は、実施形態４の自律走行制御システム１にて行われる切り替え処理の一例を示す図である。

　実施形態４の判断部７１０は、運動制御部７１１へ送信される自動運転制御情報を、自動運転制御部７０３、相対情報制御部７０８又は安全監視システム１０１の何れで作成された自動運転制御情報とするかを切り替える、切り替え処理を行う。安全監視システム１０１により作成された自動運転制御情報は、オーバーライド制御情報に含まれる自動運転制御情報である。

　ステップＳ１０１において、判断部７１０は、通信装置３０３がオーバーライド制御情報を受信したか否かを判断する。通信装置３０３がオーバーライド制御情報を受信した場合（ステップＳ１０１：ＹＥＳ）、判断部７１０は、ステップＳ１０５へ移行する。通信装置３０３がオーバーライド制御情報を受信していない場合（ステップＳ１０１：ＮＯ）、判断部７１０は、ステップＳ１０２へ移行する。

　ステップＳ１０２において、判断部７１０は、異常検出部７０９による検出結果を受信し、当該検出結果が異常を検出した旨を示すか否かを判断する。異常検出部７０９による検出結果が異常を検出した旨を示す場合（ステップＳ１０２：ＹＥＳ）、判断部７１０は、ステップＳ１０４へ移行する。異常検出部７０９による検出結果が異常を検出しなかった旨を示す場合（ステップＳ１０２：ＮＯ）、判断部７１０は、ステップＳ１０３へ移行する。

　ステップＳ１０３において、判断部７１０は、自動運転制御部７０３により作成された自動運転制御情報による自動運転の制御を行うと判断し、自動運転制御部７０３により作成された自動運転制御情報を運動制御部７１１へ送信する。

　ステップＳ１０４において、判断部７１０は、相対情報に基づく自動運転の制御を行うと判断し、相対情報制御部７０８により作成された自動運転制御情報を運動制御部７１１へ送信する。このようにして、判断部７１０は、異常検出時における自動運転の制御を切り替えることができる。

　ステップＳ１０５において、判断部７１０は、異常検出部７０９による検出結果を受信し、当該検出結果が安全制御機能の異常を検出した旨を示すか否かを判断する。異常検出部７０９による検出結果が安全制御機能の異常を検出した旨を示す場合（ステップＳ１０５：ＹＥＳ）、判断部７１０は、ステップＳ１０７へ移行する。異常検出部７０９による検出結果が安全制御機能の異常を検出しなかった旨を示す場合（ステップＳ１０５：ＮＯ）、判断部７１０は、ステップＳ１０６へ移行する。

　ステップＳ１０６において、判断部７１０は、安全制御機能による自動運転の制御を優先すると判断し、安全制御機能として働いた相対情報制御部７０８により作成された自動運転制御情報を運動制御部７１１へ送信する。

　ステップＳ１０７において、判断部７１０は、オーバーライド制御情報による自動運転の制御を優先すると判断し、オーバーライド制御情報に含まれる自動運転制御情報を運動制御部７１１へ送信する。すなわち、ステップＳ１０７では、安全制御機能の異常が検出されたので、安全制御機能による自動運転の制御は行われない。安全制御機能の異常が検出された場合、判断部７１０は、通信装置３０３を介して安全監視システム１０１に、安全制御機能の異常が検出された旨を通知することができる。

　以上のように、実施形態４の車両制御システム３０２は、車両１０２の安全制御機能の異常を検出する異常検出部７０９を備える。実施形態４の車両制御システム３０２は、オーバーライド制御情報を受信し、且つ、異常検出部７０９により安全制御機能の異常が検出された場合、オーバーライド制御情報に含まれる自動運転制御情報に応じて車両１０２の自動運転を制御する。一方、実施形態４の車両制御システム３０２は、オーバーライド制御情報を受信し、且つ、異常検出部７０９により安全制御機能の異常が検出されなかった場合、安全制御機能に従って車両１０２の自動運転を制御する。

　安全監視システム１０１はフィールドＦを俯瞰的に監視してオーバーライド制御を行うことができるが、車両制御システム３０２が車両１０２の周辺の状況を瞬時に判断し、安全制御機能に従って車両１０２を制御した方が、オーバーライド制御よりも迅速に安全性を確保できる場合がある。実施形態４の自律走行制御システム１は、安全制御機能の異常が検出されなければ、オーバーライド制御が行われる際であっても、安全制御機能による自動運転の制御を優先することができる。これにより、実施形態４の自律走行制御システム１は、車両１０２の安全性を迅速に確保することができる。

　更に、実施形態４の自律走行制御システム１は、安全制御機能の異常が検出されなければ、車両１０２の速度を高速化して効率性を重視したオーバーライド制御を行いつつ、他のオブジェクトと極度に近接するような非常時になると安全制御機能によって車両１０２の安全性を確保することができる。実施形態４の自律走行制御システム１は、安全制御機能の異常が検出されれば、車両１０２の速度を低速化して安全性を重視したオーバーライド制御を行うことができる。よって、実施形態４の自律走行制御システム１は、車両１０２の安全性と効率性とを同時に向上させることができる。

　なお、実施形態４の安全監視システム１０１は、判断部７１０からの安全制御機能の異常に関する通知を受信すると、安全制御機能が有効であるか否かを示すフラグを作成し、オーバーライド制御情報に付与して、車両制御システム３０２へ送信してもよい。これにより、実施形態４の自律走行制御システム１では、安全監視システム１０１と車両制御システム３０２との間において、安全制御機能が有効か否かの状態が不一致になることを避けることできる。更に、実施形態４の自律走行制御システム１では、車両制御システム３０２において安全制御機能の異常を検出したか否かを判断する処理（図１５のステップＳ１０５）が不要になるため、切り替え処理を迅速に行うことができる。

［その他］
　なお、本発明は上記の実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記の実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、或る実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、或る実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路にて設計する等によりハードウェアによって実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアによって実現してもよい。各機能を実現するプログラム、テープ、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（solid state drive）等の記録装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に置くことができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

　１…自律走行制御システム、１０１…安全監視システム、１０２…車両、２０１…受信部、２０２…検証部、２０３…送信部、２０４…監視処理部、２０５…リスク管理部、２０６…制御指令部、３０２…車両制御システム、７０９…異常検出部

Claims

　移動体に搭載され前記移動体の自動運転を制御する移動体制御システムと、前記移動体が走行するフィールドを監視する安全監視システムとが通信可能に接続された自律走行制御システムであって、
　前記安全監視システムは、
　　前記フィールドの監視結果から前記フィールドに存在するオブジェクトを認識し、認識結果に基づいて前記フィールドの外界認識情報を作成する監視処理部と、
　　前記移動体制御システムから送信され、前記移動体の前記自動運転を制御する自動運転制御情報を受信する受信部と、
　　前記監視処理部により作成された前記外界認識情報に基づいて、前記受信部により受信された前記自動運転制御情報の安全性を検証する検証部と、
　　前記検証部による検証結果を、前記移動体制御システムへ送信する送信部と、
　を備え、
　前記移動体制御システムは、
　　前記安全監視システムの前記送信部により送信された前記検証結果に基づいて、前記自動運転を制御する
　ことを特徴とする自律走行制御システム。
　前記監視処理部は、前記外界認識情報を統合して前記フィールドの外界認識マップを作成し、
　前記検証部は、
　　前記監視処理部により作成された前記外界認識マップに基づいて、前記受信部により受信された前記自動運転制御情報の安全性を検証し、
　　前記受信部により受信された前記自動運転制御情報が安全である場合、当該自動運転制御情報を承認する旨を示す前記検証結果を、前記送信部を介して前記移動体制御システムへ送信し、
　　前記受信部により受信された前記自動運転制御情報が安全でない場合、当該自動運転制御情報を承認しない旨を示す前記検証結果を、前記送信部を介して前記移動体制御システムへ送信し、
　前記移動体制御システムは、
　　前記自動運転制御情報を承認する旨を示す前記検証結果を受信すると、承認された当該自動運転制御情報に応じて前記自動運転を制御し、
　　前記自動運転制御情報を承認しない旨を示す前記検証結果を受信すると、承認されなかった当該自動運転制御情報とは異なる新たな前記自動運転制御情報に応じて前記自動運転を制御する
　ことを特徴とする請求項１に記載の自律走行制御システム。
　前記移動体制御システムは、
　　前記自動運転制御情報を承認する旨を示す前記検証結果を受信すると、承認された当該自動運転制御情報に応じて、且つ、前記移動体の速度を維持又は高速化して、前記自動運転を制御する
　ことを特徴とする請求項２に記載の自律走行制御システム。
　前記安全監視システムは、
　　前記監視処理部により作成された前記外界認識マップと前記受信部により受信された前記自動運転制御情報とに基づいて、前記移動体にリスクの高い状況が発生することが想定されるか否かを検証し、前記リスクの高い前記状況が発生することが想定される前記移動体の前記移動体制御システムに対する制御指令を作成するリスク管理部と、
　　前記リスク管理部により作成された前記制御指令を、当該移動体制御システムへ送信する制御指令部と、
　を備え、
　前記移動体制御システムは、前記安全監視システムの前記制御指令部により送信された前記制御指令に応じて前記自動運転を制御する
　ことを特徴とする請求項２に記載の自律走行制御システム。
　前記リスク管理部は、前記制御指令として、前記リスクの高い前記状況が発生することが想定される前記移動体の前記自動運転制御情報を含むオーバーライド制御情報を作成し、
　前記制御指令部は、前記リスク管理部により作成された前記オーバーライド制御情報を、当該移動体の前記移動体制御システムへ送信し、
　前記移動体制御システムは、前記安全監視システムの前記制御指令部により送信された前記オーバーライド制御情報に含まれる前記自動運転制御情報に応じて前記自動運転を制御する
　ことを特徴とする請求項４に記載の自律走行制御システム。
　前記リスク管理部は、前記自動運転制御情報を承認する旨を示す前記検証結果を送信された前記移動体が、承認された当該自動運転制御情報とは乖離した挙動を示す場合、乖離した前記挙動を示す前記移動体の前記移動体制御システムに対する前記オーバーライド制御情報を作成し、
　前記制御指令部は、前記リスク管理部により作成された前記オーバーライド制御情報を、当該移動体の前記移動体制御システムへ送信する
　ことを特徴とする請求項５に記載の自律走行制御システム。
　前記移動体制御システムは、
　　前記移動体の安全制御機能の異常を検出する異常検出部を備え、
　　前記オーバーライド制御情報を受信し、且つ、前記異常検出部により前記安全制御機能の前記異常が検出された場合、前記オーバーライド制御情報に含まれる前記自動運転制御情報に応じて前記自動運転を制御し、
　　前記オーバーライド制御情報を受信し、且つ、前記異常検出部により前記安全制御機能の前記異常が検出されなかった場合、前記安全制御機能に従って前記自動運転を制御する
　ことを特徴とする請求項５に記載の自律走行制御システム。