WO2023189680A1

WO2023189680A1 - 処理方法、運転システム、処理装置、処理プログラム

Info

Publication number: WO2023189680A1
Application number: PCT/JP2023/010445
Authority: WO
Inventors: 厚志馬場; 徹也東道; 洋桑島
Original assignee: 株式会社デンソー
Priority date: 2022-04-01
Filing date: 2023-03-16
Publication date: 2023-10-05
Also published as: JPWO2023189680A1

Abstract

ホスト移動体の運転に関する処理を遂行するために、プロセッサにより実行される処理方法は、ホスト移動体において目標性能を達成するための予測として、ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、ホスト移動体の運転を性能達成予測に応じて計画する運転計画と、ホスト移動体において合理的に予見可能な安全を担保するための予測として、外部環境における他道路ユーザの将来行動を性能達成予測から独立して予測する安全担保予測と、ホスト移動体の運転を安全担保予測に応じて監視する運転監視とを、含む。

Description

処理方法、運転システム、処理装置、処理プログラム

関連出願の相互参照

　この出願は、２０２２年４月１日に日本に出願された特許出願第２０２２－６１９２６号を基礎としており、基礎の出願の内容を、全体的に、参照により援用している。

　本開示は、ホスト移動体の運転に関する処理を遂行するための技術に、関する。

　特許文献１に開示される技術は、ホスト移動体としての車両に対して他道路ユーザとなるオブジェクトの運動軌跡を予測し、予測された運動軌跡を当該車両の運転計画及び運転監視に利用している。

米国特許出願公開第２０２１／０００９１２１号明細書

　しかし、特許文献１に開示される技術では、運転計画に対しても運転監視に対しても、オブジェクトの運動軌跡が安全重視の共通モデルにより予測されているため、車両本来の目標性能が損なわれてしまう懸念があった。そこで逆に、目標性能を重視した予測が実行されるとした場合、不合理なリスクを招くことが懸念される。

　本開示の課題は、性能と安全とのバランスを図る処理方法を、提供することにある。本開示の別の課題は、性能と安全とのバランスを図る運転システムを、提供することにある。本開示のまた別の課題は、性能と安全とのバランスを図る処理装置を、提供することにある。本開示のさらに別の課題は、性能と安全とのバランスを図る処理プログラムを、提供することにある。

　以下、課題を解決するための本開示の技術的手段について、説明する。

　本開示の第一態様は、
　ホスト移動体の運転に関する処理を遂行するために、プロセッサにより実行される処理方法であって、
　ホスト移動体において目標性能を達成するための予測として、ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　ホスト移動体の運転を性能達成予測に応じて計画する運転計画と、
　ホスト移動体において合理的に予見可能な安全を担保するための予測として、外部環境における他道路ユーザの将来行動を性能達成予測から独立して予測する安全担保予測と、
　ホスト移動体の運転を安全担保予測に応じて監視する運転監視とを、含む。

　本開示の第二態様は、
　プロセッサを有し、ホスト移動体の運転に関する処理を遂行する運転システムであって、
　プロセッサは、
　ホスト移動体において目標性能を達成するための予測として、ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　ホスト移動体の運転を性能達成予測に応じて計画する運転計画と、
　ホスト移動体において合理的に予見可能な安全を担保するための予測として、外部環境における他道路ユーザの将来行動を性能達成予測から独立して予測する安全担保予測と、
　ホスト移動体の運転を安全担保予測に応じて監視する運転監視とを、実行するように構成される。

　本開示の第三態様は、
　プロセッサを有し、ホスト移動体に搭載可能に構成され、ホスト移動体の運転に関する処理を遂行する処理装置であって、
　プロセッサは、
　ホスト移動体において目標性能を達成するための予測として、ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　ホスト移動体の運転を性能達成予測に応じて計画する運転計画と、
　ホスト移動体において合理的に予見可能な安全を担保するための予測として、外部環境における他道路ユーザの将来行動を性能達成予測から独立して予測する安全担保予測と、
　ホスト移動体の運転を安全担保予測に応じて監視する運転監視とを、実行するように構成される。

　本開示の第四態様は、
　ホスト移動体の運転に関する処理を遂行するために記憶媒体に記憶され、プロセッサにより実行される命令を含む処理プログラムであって、
　ホスト移動体において目標性能を達成するための予測として、ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　ホスト移動体の運転を性能達成予測に応じて計画する運転計画と、
　ホスト移動体において合理的に予見可能な安全を担保するための予測として、外部環境における他道路ユーザの将来行動を性能達成予測から独立して予測する安全担保予測と、
　ホスト移動体の運転を安全担保予測に応じて監視する運転監視とを、実行させる命令を含む。

　これら第一～第四態様のホスト移動体においては、目標性能を達成するための予測として、ホスト移動体の外部環境における他道路ユーザの将来行動を予測した性能達成予測に応じて、運転計画が実行される。そこで第一～第四態様のホスト移動体においては、合理的に予見可能な安全を担保するための予測として、他道路ユーザの将来行動を性能達成予測からは独立して予測した安全担保予測に応じて、運転監視が実行される。これによれば、性能達成予測に応じて計画されるホスト移動体の運転が安全担保予測に応じて監視されることにより、当該運転に対して性能と安全とのバランスを図ることが可能となる。

第一実施形態による運転システムの物理アーキテクチャを示すブロック図である。第一実施形態の適用されるホスト車両の走行環境を示す模式図である。第一実施形態による運転システムの機能アーキテクチャを示すブロック図である。第一実施形態による性能達成範囲及び安全範囲を説明するための模式図である。第一実施形態による性能達成範囲及び安全範囲を説明するための模式図である。第一実施形態による処理フローを示すフローチャートである。第一実施形態による性能達成予測及び安全担保予測を説明するための特性表である。第二実施形態による運転システムの機能アーキテクチャを示すブロック図である。第二実施形態による処理フローを示すフローチャートである。第三実施形態による運転システムの機能アーキテクチャを示すブロック図である。第三実施形態による処理フローを示すフローチャートである。

　以下、本開示の実施形態を図面に基づき複数説明する。尚、各実施形態において対応する構成要素には同一の符号を付すことにより、重複する説明を省略する場合がある。また、各実施形態において構成の一部分のみを説明している場合、当該構成の他の部分については、先行して説明した他の実施形態の構成を適用することができる。さらに、各実施形態の説明において明示している構成の組み合わせばかりではなく、特に組み合わせに支障が生じなければ、明示していなくても複数の実施形態の構成同士を部分的に組み合わせることができる。

　（第一実施形態）
　図１に示される第一実施形態の運転システムＤＳは、ホスト移動体の運転に関する処理（以下、運転処理と称する）を遂行するために、処理システム１を含んで構成される。運転システムＤＳの一部又は全部は、ホスト移動体に搭載される。

　運転システムＤＳにおいて運転処理の対象とされるホスト移動体は、図２に示されるホスト車両２である。ホスト車両２は、例えば自動車、又はトラック等の自動運転を実行可能な道路ユーザ（road user）である。ホスト車両２は、自車両（ego-vehicle）と称されてもよい。ホスト車両２における運転は、全ての動的運転タスク（dynamic driving task：ＤＤＴ）のうち、運転席上の乗員であるドライバが行なうタスク範囲に応じて、レベル分けされる。ここで、自動運転レベルに応じたホスト車両２の手動操作によってＤＤＴを担うことの可能なドライバは、車両オペレータ（vehicle operator）であって、車両ユーザ（vehicle user）であるともいえる。

　自動運転レベルは、例えばＳＡＥ　Ｊ３０１６等に規定される。具体的にレベル０～２では、ドライバがＤＤＴの一部又は全部を行なう。レベル０～２は、いわゆる手動運転に分類されてもよい。レベル０は、運転が自動化されていないことを示す。レベル１は、ドライバを運転システムＤＳが支援することを示す。レベル２は、部分的に運転が自動化されたことを示す。レベル３以上では、運転システムＤＳがエンゲージされている間、当該運転システムＤＳはＤＤＴの全部を行なう。レベル３～５は、いわゆる自動運転に分類されてもよい。レベル３以上の運転を実行可能な運転システムＤＳは、自動運転システム（automated driving system）と称されてもよい。レベル３は、条件付きで運転が自動化されたことを示す。レベル４は、高度に運転が自動化されたことを示す。レベル５は、完全に運転が自動化されたことを示す。レベル３以上の運転を実行不能、且つレベル１及び２のうち少なくとも一方の運転を実行可能な運転システムＤＳは、運転支援システムと称されてもよい。以下では、実現可能な最大の自動運転レベルを特定する事情がない場合、自動運転システム又は運転支援システムが運転システムＤＳに含まれているものとする。

　このようなホスト車両２に対して他道路ユーザ（other road user）３は、ホスト車両２の走行する外部環境に存在する、ホスト車両２以外の道路ユーザである。他道路ユーザ３には、例えば自動車、トラック、バイク、及び自転車といった非脆弱な道路ユーザと、歩行者といった脆弱な道路ユーザとが、含まれる。他道路ユーザ３にはさらに、動物が含まれてもよい。

　図１に示される物理アーキテクチャにおいて運転システムＤＳは、アクチュエータ系４、センサ系５、通信系６、地図データベース（data base：ＤＢ）７、情報インタフェース（interface：ＩＦ）系８、及び処理システム１を物理的構成要素としている。但し、運転システムＤＳは、自己の物理的構成要素としては少なくとも処理システム１を含んでいればよく、アクチュエータ系４、センサ系５、通信系６、地図ＤＢ７、及び情報ＩＦ系８に属する物理的構成要素のうち少なくとも一種類としては、ホスト車両２に属する物理的構成要素が代替されてもよい。

　アクチュエータ系４は、入力される制御信号に基づきホスト車両２の運転を制御可能に、構成されている。アクチュエータ系４は、例えば内燃機関、及びモータジェネレータモータ等のうち、少なくとも一種類のパワートレインアクチェータであってもよい。アクチュエータ系４は、例えばブレーキユニット等といった、少なくとも一種類の制動アクチュエータであってもよい。アクチュエータ系４は、例えばパワーステアリングユニット等といった、少なくとも一種類の操舵アクチュエータであってもよい。

　センサ系５は、ホスト車両２の外部環境及び内界環境を検出することにより、運転システムＤＳにより利用可能なセンサデータを取得する。そのためにセンサ系５には、外部環境センサ５０と内部環境センサ５２とが含まれている。

　外部環境センサ５０は、ホスト車両２の外部環境に存在する物標を、検出してもよい。物標検出タイプの外部環境センサ５０は、例えばカメラ、ＬｉＤＡＲ（light detection and ranging / laser imaging detection and ranging）、レーザレーダ、ミリ波レーダ、及び超音波ソナー等のうち、少なくとも一種類である。物標検出タイプの外部環境センサ５０は、典型的にホスト車両２の前方、側方、及び後方の各方向をセンシング可能に、複数種類を組み合わされて実装される。外部環境センサ５０は、ホスト車両２の外部環境における大気の状態を、検出してもよい。大気検出タイプの外部環境センサ５０は、例えば外気温センサ、及び湿度センサ等のうち、少なくとも一種類である。

　内部環境センサ５２は、ホスト車両２の内部環境において車両運動に関する特定の物理量（以下、運動物理量と称する）を、検出してもよい。運動物理量検出タイプの内部環境センサ５２は、例えば速度センサ、加速度センサ、及びジャイロセンサ等のうち、少なくとも一種類である。内部環境センサ５２は、ホスト車両２の内部環境に搭乗する乗員の状態を、検出してもよい。乗員検出タイプの内部環境センサ５２は、例えばアクチュエータセンサ、ドライバーステータスモニター（登録商標）、生体センサ、着座センサ、及び車内機器センサ等のうち、少なくとも一種類である。ここでアクチュエータセンサとしては、ホスト車両２のアクチュエータ系４に関する乗員の操作状態を検出する、例えば起動スイッチ、アクセルセンサ、ブレーキサンサ、及び操舵センサ等のうち、少なくとも一種類が挙げられる。

　通信系６は、運転システムＤＳにおいて利用可能な通信データを、無線通信により取得する。通信系６は、ホスト車両２の外部環境に存在するＧＮＳＳ（global navigation satellite system）の人工衛星から、測位信号を受信してもよい。測位タイプの通信系６は、例えばＧＮＳＳ受信機等である。通信系６は、ホスト車両２の外部環境に存在するＶ２Ｘシステムとの間において、通信信号を送受信してもよい。Ｖ２Ｘ通信タイプの通信系６は、例えばＤＳＲＣ（dedicated short range communications）通信機、及びセルラＶ２Ｘ（C-V2X）通信機等のうち、少なくとも一種類である。ここでＶ２Ｘ通信としては、他道路ユーザ３である他車両の通信システムとの通信（Ｖ２Ｖ）、信号機に設置された通信機の如きインフラ設備との通信（Ｖ２Ｉ）、他道路ユーザ３である歩行者のモバイル端末との通信（Ｖ２Ｐ）、及びクラウドネットワーク又はメッシュネットワークとの通信（Ｖ２Ｎ）等のうち、少なくとも一種類が挙げられる。通信系６は、ホスト車両２の内部環境に存在するモバイル端末との間において、通信信号を送受信してもよい。端末通信タイプの通信系６は、例えばブルートゥース（Bluetooth：登録商標）機器、Ｗｉ－Ｆｉ（登録商標）機器、及び赤外線通信機器等のうち、少なくとも一種類である。

　地図ＤＢ７は、運転システムＤＳにより利用可能な地図データを、記憶する。地図ＤＢ７は、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも一種類の非遷移的実体的記憶媒体（non-transitory tangible storage medium）を含んで構成される。地図ＤＢ７は、自己位置を含んだホスト車両２の自己状態量を推定するロケータの、ＤＢであってもよい。地図ＤＢは、ホスト車両２の走行経路をナビゲートするナビゲーションユニットの、ＤＢであってもよい。地図ＤＢ７は、複数種類のＤＢの組み合わせにより、構築されてもよい。

　地図ＤＢ７は、例えば通信系６を介した外部センタとのＶ２Ｘ通信等により、最新の地図データを取得して記憶する。地図データは、ホスト車両２の走行環境を表すデータとして、二次元又は三次元にデータ化されている。三次元の地図データとしては、高精度地図のデジタルデータが採用されてもよい。地図データは、例えば道路構造の位置座標、形状、及び路面状態等のうち、少なくとも一種類を表した道路データを含んでいてもよい。地図データは、例えば道路に付属する道路標識、道路表示、及び区画線の、位置座標並びに形状等のうち、少なくとも一種類を表した標示データを含んでいてもよい。地図データに含まれる標示データは、ランドマークのうち、例えば交通標識、矢印マーキング、車線マーキング、停止線、方向標識、ランドマークビーコン、長方形標識、ビジネス標識、又は道路のラインパターン変化等を表していてもよい。地図データは、例えば道路に面する建造物及び信号機の、位置座標並びに形状等のうち、少なくとも一種類を表した構造物データを含んでいてもよい。地図データに含まれる標示データは、ランドマークのうち、例えば街灯、道路のエッジ、反射板、ポール、又は道路標識の裏側等を表していてもよい。

　情報ＩＦ系８は、ホスト車両２のドライバを含む乗員と、運転システムＤＳとの間において運転処理に関連する報知情報の伝達を、媒介する。そのために情報ＩＦ系８には、ＨＭＩ（human machine interface）機器８０が含まれている。

　ＨＭＩ機器８０は、ホスト車両２における乗員の意図を運転システムＤＳへ入力するための操作を検出可能に、構成されていてもよい。操作検出タイプのＨＭＩ機器８０は、例えばプッシュスイッチ、レバースイッチ、及びタッチパネル等のうち、少なくとも一種類である。操作検出タイプのＨＭＩ機器８０は、センサ系５のうち内部環境センサ５２としてのアクチュエータセンサ等により、代替されてもよい。ＨＭＩ機器８０は、ホスト車両２における乗員の意図を運転システムＤＳへ入力するためのジェスチャーを検出可能に、構成されていてもよい。ジェスチャー検出タイプのＨＭＩ機器８０は、センサ系５のうち内部環境センサ５２としてのドライバーステータスモニター等により、代替されてもよい。

　ＨＭＩ機器８０は、ホスト車両２において乗員の視覚を刺激することより、報知情報を提示してもよい。視覚情報提示タイプのＨＭＩ機器８０は、例えばＨＵＤ（head-up display）、ＣＩＤ（center information display）、ＭＦＤ（multi function display）、コンビネーションメータ、ナビゲーションユニット、及びイルミネーションユニット等のうち、少なくとも一種類である。ＨＭＩ機器８０は、乗員の聴覚を刺激することにより、報知情報を提示してもよい。聴覚情報提示タイプのＨＭＩ機器８０は、例えばスピーカ、ブザー、及びバイブレーションユニット等のうち、少なくとも一種類である。ＨＭＩ機器８０は、乗員の皮膚感覚を刺激することにより、報知情報を提示してもよい。皮膚感覚情報提示タイプのＨＭＩ機器８０は、例えばステアリングホイールのバイブレーションユニット、運転席のバイブレーションユニット、ステアリングホイールの反力ユニット、アクセルペダルの反力ユニット、ブレーキペダルの反力ユニット、及び空調ユニット等のうち、少なくとも一種類である。

　処理システム１は、例えばＬＡＮ（local area network）、ワイヤハーネス、内部バス、及び無線通信回線等のうち、少なくとも一種類を介してアクチュエータ系４、センサ系５、通信系６、地図ＤＢ７、及び情報ＩＦ系８に接続される。処理システム１は、少なくとも一つの専用コンピュータを含んで構成される。

　処理システム１を構成する専用コンピュータは、ホスト車両２の運転制御を統合する、統合ＥＣＵ（electronic control unit）であってもよい。処理システム１を構成する専用コンピュータは、ホスト車両２の運転制御において検出されたセンサデータを処理する、検出ＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、ホスト車両２の運転制御において認識を行う、認識ＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、ホスト車両２の運転制御におけるＤＤＴを判断して計画する、判断ＥＣＵ又は計画ＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、ホスト車両２の運転制御を監視する、監視ＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、ホスト車両２の運転制御を評価する、評価ＥＣＵであってもよい。

　処理システム１を構成する専用コンピュータは、ホスト車両２の走行経路をナビゲートする、ナビゲーションＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、ホスト車両２の自己位置を含んだ自己状態量を推定する、ロケータＥＣＵであってもよい。運転システムＤＳを構成する専用コンピュータは、アクチュエータ系４を制御する、アクチュエータＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、ＨＭＩ機器８０を制御する、ＨＣＵ（HMI control unit）であってもよい。処理システム１を構成する専用コンピュータは、データ記憶を制御する、記憶ＥＣＵであってもよい。処理システム１を構成する専用コンピュータは、例えば通信系６を介して通信可能な外部センタ又はモバイル端末等を構築する、少なくとも一つの外部コンピュータであってもよい。

　処理システム１を構成する専用コンピュータは、メモリ１０とプロセッサ１２とを少なくとも一つずつ有している。メモリ１０は、コンピュータにより読み取り可能なプログラム及びデータ等を非一時的に記憶する、例えば半導体メモリ、磁気媒体、及び光学媒体等のうち、少なくとも一種類の非遷移的実体的記憶媒体（non-transitory tangible storage medium）である。プロセッサ１２は、例えばＣＰＵ（central processing unit）、ＧＰＵ（graphics processing unit）、及びＲＩＳＣ（reduced instruction set computer）－ＣＰＵ等のうち、少なくとも一種類をコアとして含む。

　メモリ１０は、運転システムＤＳにおいて処理されるデータ及び情報のうち、少なくとも一種類を選択して蓄積する、蓄積装置であってもよい。メモリ１０は、運転システムＤＳにおいて処理されるデータ及び情報のうち、少なくとも一種類を一時的に記憶する、例えばＲＡＭ（random access memory）等の揮発性記憶媒体であってもよい。メモリ１０は、運転システムＤＳにおいてＤＤＴを実行するための、データベースであってもよい。

　メモリ１０は、着脱不能且つ交換不能に基板に実装されていてもよく、このような構成としては、例えばフラッシュメモリを用いたｅＭＭＣ（embedded multi media card）等が挙げられる。メモリ１０は、着脱可能且つ交換可能に構成されていてもよく、このような構成としては、例えばＳＤカード等が挙げられる。メモリ１０は、プロセッサ１２及び入出力ＩＦと共に一チップに集約されたＳｏＣ（system on a chip）により、処理システム１を構成する専用コンピュータを実現していてもよい。

　プロセッサ１２は、ソフトウェアとしてメモリ１０に記憶された処理プログラムに含まれる複数の命令を、実行する。これにより、処理システム１を含む運転システムＤＳは、ホスト車両２の運転処理を遂行するための機能ブロックを、複数構築する。このように運転システムＤＳでは、処理システム１を主体としてホスト車両２の運転処理を遂行するためにメモリ１０に記憶の処理プログラムが複数の命令をプロセッサ１２に実行させることにより、複数の機能ブロックが構築される。こうして運転システムＤＳにおいて構築される複数の機能ブロックには、図３に機能アーキテクチャとして示される認識ブロック１００、判断ブロック１２０、監視ブロック１４０、及び制御ブロック１６０が含まれる。

　認識ブロック１００は、センサ系５からセンサデータを取得する。認識ブロック１００は、通信系６から通信データを取得する。認識ブロック１００は、地図ＤＢ７から地図データを取得する。認識ブロック１００は、これらの取得データを個別に処理してからフュージョンすることにより、ホスト車両２の内外環境を認識する。

　認識情報の生成に当たって認識ブロック１００は、センサ系５、通信系６及び地図ＤＢ７からデータを取得し、取得データの意味を理解し、ホスト車両２の外部環境及びその環境下での自己の置かれた状況、並びにホスト車両２の内部環境を含む内外環境を、取得データのフュージョンによって認識する。内外環境の認識により認識ブロック１００は、後段の判断ブロック１２０と監視ブロック１４０とへ与える認識情報を生成する。認識ブロック１００は、判断ブロック１２０と監視ブロック１４０とへ実質同一の認識情報を与えてもよい。認識ブロック１００は、判断ブロック１２０と監視ブロック１４０とへ相異なる認識情報を与えてもよい。

　認識ブロック１００の生成する認識情報は、ホスト車両２の走行環境においてシーン毎に検知される状態を、記述する。認識ブロック１００は、ホスト車両２の外部環境における他道路ユーザ３、障害物、及び構造物を含む物体を検知することにより、当該物体の認識情報を生成してもよい。物体の認識情報は、例えば離間距離、運動方向、相対速度、相対加速度、サイズ、追尾検知による推定状態等のうち、少なくとも一種類を表していてもよい。物体の認識情報は、例えばセマンティックセグメンテーション（semantic segmentation）等によりクラスタリングされた物体の状態に基づき認識される、当該物体の分類を表していてもよい。認識ブロック１００は、ホスト車両２の現在及び将来に走行する走路を検知することにより、当該走路の認識情報を生成してもよい。走路の認識情報は、例えば路面、車線、道路端、及びフリースペース等のうち、少なくとも一種類の静的構造を表していてもよい。

　認識ブロック１００は、ホスト車両２の自己位置を含んだ自己状態量を推定的に認識するローカリゼーションにより、当該自己状態量の認識情報を生成してもよい。認識ブロック１００は、自己状態量の認識情報と同時に、ホスト車両２の走路に関する地図データの更新データを生成して、当該更新データを地図ＤＢ７へフィードバックしてもよい。認識ブロック１００は、ホスト車両２の走路に関連付けられた標示を検知することにより、当該標示の認識情報を生成してもよい。標示の認識情報は、例えば標識、区画線、及び信号機等のうち、少なくとも一種類の状態を表していてもよい。標示の認識情報はさらに、標示の状態から認識又は特定される交通ルールを、表していてもよい。認識ブロック１００は、ホスト車両２の走行するシーン毎の気象状況を検知することにより、当該気象状況の認識情報を生成してもよい。認識ブロック１００は、ホスト車両２の走行シーン毎の時刻を検知することにより、当該時刻の認識情報を生成してもよい。

　判断ブロック１２０は、認識ブロック１００から認識情報を取得する。判断ブロック１２０は、後段となる制御ブロック１６０から過去の運転制御情報を取得してもよい。判断ブロック１２０は、後述の安全担保情報を監視ブロック１４０から取得してもよい。判断ブロック１２０は、取得した情報に基づく予測に応じてホスト車両２の運転を計画するためのサブ機能ブロックとして、性能達成予測ブロック１２２と運転計画ブロック１２４とを含んでいる。

　性能達成予測ブロック１２２は、ホスト車両２の外部環境における他道路ユーザ３の将来行動を、時系列に予測する。このとき性能達成予測ブロック１２２は、後段の運転計画ブロック１２４を通じてホスト車両２において目標性能を達成するための予測として、他道路ユーザ３の将来行動に関する性能達成予測を行う。性能達成予測される将来行動は、ホスト車両２との間において潜在的リスクを予見可能な、他道路ユーザ３のリスク行動を含んでいてもよい。性能達成予測される将来行動は、他道路ユーザ３の将来軌道であってもよい。ここで将来軌道は、例えば位置、速度、加速度、ヨーレート、及び運動方向等のうち、他道路ユーザ３に関する少なくとも一種類の運動物理量を時系列に規定するように、性能達成予測されるとよい。

　このような性能達成予測を実行するために性能達成予測ブロック１２２は、ホスト車両２に搭載される専用コンピュータと、ホスト車両２外部の専用コンピュータとのうち、少なくとも一種類により構築されるとよい。性能達成予測ブロック１２２は、運転計画ブロック１２４と物理的に共通な専用コンピュータにより構築されるが、運転計画ブロック１２４とは物理的に分離した専用コンピュータにより構築されてもよい。性能達成予測ブロック１２２は、認識ブロック１００とは物理的に分離した専用コンピュータにより構築されるが、又は認識ブロック１００と物理的に共通な専用コンピュータにより、構築されてもよい。

　性能達成予測ブロック１２２は、性能達成予測を行う上での基礎処理として、ホスト車両２の置かれた状況である、走行環境の解釈を行ってもよい。このとき性能達成予測ブロック１２２は、動的物体である他道路ユーザ３の分類に基づき意図及び行動を解釈してもよいし、分類可能な運転状況を解釈してもよい。ここで他道路ユーザ３の意図及び行動解釈は、例えば車線変更確率等といった、他道路ユーザ３の意図に依拠する行動確率の解釈であってもよい。運転状況の解釈は、例えば交通ルール、及び渋滞状況等の解釈であってもよい。こうした性能達成予測の基礎となる環境解釈は、認識ブロック１００により少なくとも一部が実行されることにより、認識情報としての解釈結果が性能達成予測ブロック１２２へと与えられてもよい。

　性能達成予測ブロック１２２は、社会的な交通環境でのリスクベネフィット評価に基づくポジティブリスクバランスをモデリングした統計モデル（以下、ポジティブリスクバランスの統計モデルを特にリスクバランスモデルと称する）を用いることにより、性能達成予測を行うとよい。リスクバランスモデルは、不合理な他責（即ち、他道路ユーザ３の潜在的な事故責任）のリスクを回避するために、例えば事故リスクの低減可能な行動の寄与度及び／又は確率分布等を表す統計データ、並びに交通ルールといった社会的要件に基づき設計されてもよい。リスクバランスモデルは、交通環境において道路ユーザの走行可能な場所毎に固有となる、道路ユーザの行動モデルとして設計されてもよい。このようなリスクバランスモデルは、例えば社会的要件を定式化した数理モデル、及び当該数理モデルに従った処理を実行するコンピュータプログラム等のうち、少なくとも一種類の形態で構築されるとよい。そこでリスクバランスモデルは、制御ブロック１６０による過去の運転制御情報に基づくことにより、パラメータをチューニングされてもよい。

　性能達成予測ブロック１２２は、性能達成予測の結果として取得した予測情報に基づくことにより、ホスト車両２において目標性能を達成するための将来行動の範囲（以下、性能達成範囲と称する）Ｒｐを、図４，５に例示の如く設定する。換言すれば性能達成予測は、目標性能達成に必要な車両運動を与えるように性能達成範囲Ｒｐを設定するための、他道路ユーザ３に関する将来行動予測であるといえる。そこで、図３に示される性能達成予測ブロック１２２では、ホスト車両２に関する複数性能の中から、性能達成予測による予測情報に応じて性能達成範囲Ｒｐを設定するシーン毎に、重視される目標性能が選定されてもよい。性能達成予測ブロック１２２では、ホスト車両２に関する単一の特定性能が、目標性能として固定されてもよい。

　性能達成範囲Ｒｐの設定対象となる目標性能は、ホスト車両２にとって統計的且つ社会的に安全と判断される、安全性能であってもよい。ここで安全性能は、性能達成予測に利用されたリスクバランスモデルに基づき、判断されてもよい。

　性能達成範囲Ｒｐの設定対象となる目標性能は、ホスト車両２に期待された省エネルギー性に応じて判断される、燃費性能であってもよい。ここで燃費性能は、電費性能を含む概念として定義されてもよい。燃費性能は、例えば社会的な実燃費の評価データ等に基づきモデリングされた、統計モデルを用いて判断されてもよい。

　性能達成範囲Ｒｐの設定対象となる目標性能は、例えば乗員の乗り心地性能、及びサービス車両での制振性能等のうち少なくとも一種類といった、ホスト車両２に要求される安心性能であってもよい。ここで安心性能は、例えば社会的な市場調査データ等に基づきモデリングされた、統計モデルを用いて判断されてもよい。

　性能達成範囲Ｒｐの設定対象となる目標性能は、例えば観光サービス車両でのリラクゼーション性能、及び配送サービス車両での速達性能等のうち少なくとも一種類といった、ホスト車両２に要求されるサービス性能であってもよい。ここでサービス性能は、例えばサービス車両を社会的に運用するサービサー毎の蓄積データ等に基づきモデリングされた、統計モデルを用いて判断されてもよい。

　性能達成予測ブロック１２２は、こうした目標性能に関して性能達成範囲Ｒｐの設定を行う。性能達成範囲Ｒｐとしては、目標性能の選択に利用されたリスクバランスモデル又は統計モデルに基づくことにより、目標性能達成に必要な車両運動をホスト車両２に対して与えるための、運動物理量の許容範囲が設定されてもよい。ここで、性能達成範囲Ｒｐとなる許容範囲を規定する運動物理量は、例えばホスト車両２の速度、加速度、姿勢角、及び他道路ユーザ３との離間距離等（図４，５は加速度の例）のうち、後段の運転計画ブロック１２４において運転計画の基礎となる少なくとも一種類である。このような性能達成範囲Ｒｐの設定は、運転計画ブロック１２４により後述の運転計画に先立って行われてもよい。

　性能達成予測ブロック１２２は、以上により取得した予測情報、及び設定した性能達成範囲Ｒｐの設定情報のうち、少なくとも一種類を性能達成情報としてメモリ１０に出力してもよい。性能達成情報の出力されるメモリ１０は、運転システムＤＳを構成する専用コンピュータの種類に応じて、ホスト車両２内に搭載されていてもよいし、ホスト車両２外の例えば外部センタ等に設置されていてもよい。出力された性能達成情報は、メモリ１０に一時的に記憶されて運転計画ブロック１２４に提供されるとよい。出力された性能達成情報は、エビデンス情報としての記憶によりメモリ１０に蓄積されてもよい。出力された性能達成情報は、一時的な記憶先又はエビデンス情報としての蓄積先となるメモリ１０から読み出されて、通信系６によりホスト車両２外の例えば外部センタ等へ送信されてもよい。

　エビデンス情報となる性能達成情報は、非暗号化状態で蓄積されてもよいし、暗号化又はハッシュ化されて蓄積されてもよい。エビデンス情報となる性能達成情報は、制御ブロック１６０による過去の運転制御情報としてホスト車両２の実挙動を表す、挙動情報と対応付けてメモリ１０に蓄積されてもよい。こうして蓄積された性能達成情報は、性能達成予測の予測モデルとなるリスクバランスモデルのトレーニングに遅行型指標として利活用されてもよいし、当該リスクバランスモデルの検証及び妥当性評価に先行型指標として利活用されてもよい。

　運転計画ブロック１２４は、性能達成予測ブロック１２２による性能達成予測及び性能達成範囲Ｒｐに応じた運転を、ホスト車両２に関して計画する。そこで運転計画ブロック１２４は、性能達成予測ブロック１２２から提供される性能達成情報に基づくことにより、運転計画を行う。

　運転計画ブロック１２４は、運転制御によってホスト車両２に将来走行させるルートを、計画する。即ち運転計画ブロック１２４は、ホスト車両２の戦略的機能としてルートを計画する、ＤＤＴ機能を実現する。運転計画ブロック１２４は、ホスト車両２の自己位置を推定した認識情報に基づくことにより、目的地までのルートと車線とのうち少なくとも一種類を計画してもよい。このとき運転計画ブロック１２４は、計画した車線に基づき、車線変更要求と減速要求とのうち少なくとも一種類を計画してもよい。

　運転計画ブロック１２４は、計画したルート及び車線に基づく共に、性能達成予測ブロック１２２による性能達成情報に基づき、ホスト車両２の将来挙動を計画する。即ち運転計画ブロック１２４は、ホスト車両２の戦術的挙動を計画する、ＤＤＴ機能を実現する。運転計画ブロック１２４による挙動計画機能には、ホスト車両２の状態遷移に関する遷移条件を生成する機能が、含まれていてもよい。ホスト車両２の状態遷移に関する遷移条件は、トリガ条件（triggering condition）に対応していてもよい。そこで挙動計画機能には、生成した遷移条件に基づくことにより、ＤＤＴを実現するアプリケーションの状態遷移、さらには運転行動の状態遷移を決定する機能が、含まれていてもよい。

　運転計画ブロック１２４は、計画したルートに沿ってホスト車両２に与える将来軌道を、性能達成予測ブロック１２２による性能達成情報に基づき計画する。即ち運転計画ブロック１２４は、パスプランとしてホスト車両２に走行させる将来軌道を計画する、ＤＤＴ機能を実現する。運転計画ブロック１２４が計画する将来軌道は、ホスト車両２に関する運動物理量として、例えば位置、速度、加速度、ヨーレート、及び運動方向等のうち、少なくとも一種類を時系列に規定してもよい。規定される時系列な軌道計画は、ホスト車両２のナビゲートによる将来走行のシナリオを構築するとよい。そこで軌道計画には、複数のパスプランの中から最適なパスプランを選択又は切り替える機能が、含まれていてもよい。

　運転計画ブロック１２４は、認識ブロック１００によるドライバに関しての認識情報として、例えば意図推定情報、及び生体情報等のうち少なくとも一種類に基づき、ドライバの意図に応じた運転モードの遷移を判断してもよい。運転計画ブロック１２４は、認識ブロック１００によるドライバに関しての認識情報として、例えば意図推定情報、及び生体情報等のうち少なくとも一種類に基づき、ドライバの障害有無を判断してもよい。運転計画ブロック１２４は、運転システムＤＳを監視することにより、各物理的構成要素１，４～８の障害有無を判断してもよい。

　運転計画ブロック１２４は、性能達成予測ブロック１２２による性能達成情報、運転モードの遷移判断結果、ドライバの障害判断結果、運転システムＤＳの障害判断結果、将来ルートの計画結果、将来挙動の計画結果、及び将来軌道の計画結果等のうち少なくとも一種類に基づくことにより、ホスト車両２における自動運転レベルの調整を計画してもよい。自動運転レベルの調整には、自動運転と手動運転との間において運転モードが遷移することにより、運転システムＤＳとドライバとの間においてＤＤＴの移譲される引き継ぎ（takeover / handover）が、含まれていてもよい。

　自動運転と手動運転との間での引き継ぎは、自動運転を実行する運行設計領域（operational design domain：ＯＤＤ）の設定により、当該ＯＤＤに対する進入又は退出に伴うシナリオにおいて実現されてもよい。例えばＯＤＤからの退出シナリオ、即ち自動運転から手動運転への引き継ぎシナリオでは、不合理なリスクが存在すると判断される不合理な状況が、ユースケースとして挙げられる。このユースケースにおいて運転計画ブロック１２４は、フォールバック予備ユーザとなるドライバが手動運転によりホスト車両２を最小リスク状態（minimal risk condition：ＭＲＣ）へ遷移させるための、ＤＤＴフォールバックを計画してもよい。

　運転計画ブロック１２４により計画される自動運転レベルの調整には、ホスト車両２の縮退走行が含まれてもよい。縮退走行のシナリオでは、手動運転への引き継ぎによっては不合理なリスクが存在すると判断される不合理な状況が、ユースケースとして挙げられる。このユースケースにおいて運転計画ブロック１２４は、事故の危害又はリスクを最小限にするために、自律走行及び自律停止によってホスト車両２をＭＲＣへと遷移させるための、ベストエフォートを計画してもよい。こうしたベストエフォートでは、自動運転レベルを引き下げる調整の他、自動運転レベルを維持した調整として、例えば安全状態としてのＭＲＣへ到達させる、ＤＤＴフォールバック又は最小リスク操作（minimum risk manoeuvre：ＭＲＭ）等の、緊急操作（emergency manoeuvre / emergency operation）が計画されてもよい。このとき、ホスト車両２の内外に対してＭＲＣへの遷移状況の目立ち易さを高めるように、例えば情報ＩＦ系８等による、緊急操作に伴う報知が計画されてもよい。

　運転計画ブロック１２４は、以上説明した計画のうち、少なくともルート計画、挙動計画、軌道計画、及び運転レベル計画に従って、ホスト車両２の運転制御をさらに計画する。運転制御の計画では、ホスト車両２のナビゲーション動作とドライバの支援動作とに関する制御指令が、制御アクションとして生成される。即ち運転計画ブロック１２４は、ホスト車両２の運動制御要求を計画する、ＤＤＴ機能を実現する。運転計画ブロック１２４が生成する制御指令は、アクチュエータ系４を制御するための制御パラメータを、含んでいてもよい。このような制御計画は、後述の運転制御に先立って、制御ブロック１６０により行われてもよい。

　監視ブロック１４０は、認識ブロック１００から認識情報を取得する。監視ブロック１４０は、後段となる制御ブロック１６０から過去の運転制御情報を取得してもよい。監視ブロック１４０は、取得した情報に基づく予測に応じてホスト車両２の運転を監視することにより、当該運転に対する制約を設定するためのサブ機能ブロックとして、安全担保予測ブロック１４２と運転制約ブロック１４４とを含んでいる。

　安全担保予測ブロック１４２は、ホスト車両２の外部環境における他道路ユーザ３の将来行動を、時系列に予測する。このとき安全担保予測ブロック１４２は、後段の運転制約ブロック１４４を通じてホスト車両２において合理的に予見可能な安全を担保するための予測として、他道路ユーザ３の将来行動に関する安全担保予測を行う。安全担保予測される将来行動は、ホスト車両２との間において潜在的リスクを予見可能な、リスク行動を含んでいてもよい。安全担保予測される将来行動は、他道路ユーザ３の将来軌道であってもよい。ここで将来軌道は、例えば位置、速度、加速度、ヨーレート、及び運動方向等のうち、他道路ユーザ３に関する少なくとも一種類の運動物理量を時系列に規定するように安全担保予測されるとよい。このような安全担保予測ブロック１４２による安全担保予測は、性能達成予測ブロック１２２による性能達成予測よりも、近未来の予測であってもよい。換言すれば性能達成予測ブロック１２２による性能達成予測は、安全担保予測ブロック１４２による安全担保予測よりも時間軸において先行する予測であってもよい。

　このような安全担保予測を実現するために安全担保予測ブロック１４２は、ホスト車両２に搭載される少なくとも一種類の専用コンピュータにより、構築されるとよい。安全担保予測ブロック１４２は、運転制約ブロック１４４と物理的に共通な専用コンピュータにより構築されるが、運転制約ブロック１４４とは物理的に分離した専用コンピュータにより構築されてもよい。安全担保予測ブロック１４２は、認識ブロック１００とは物理的に分離した専用コンピュータにより構築されるが、認識ブロック１００と物理的に共通な専用コンピュータにより構築されてもよい。

　安全担保予測ブロック１４２は、性能達成予測ブロック１２２とは物理的に分離した専用コンピュータにより構築されるが、性能達成予測ブロック１２２と物理的に共通な専用コンピュータにより構築されてもよい。ここで、各予測ブロック１４２，１２２が分離した各別の専用コンピュータにより構築される場合、安全担保予測ブロック１４２による安全担保予測は、性能達成予測ブロック１２２による性能達成予測から物理的に独立させられるとよい。一方、各予測ブロック１４２，１２２が共通な専用コンピュータにより構築される場合、安全担保予測ブロック１４２による安全担保予測は、性能達成予測ブロック１２２による性能達成予測からソフトウェア上において機能的に独立させられるとよい。いずれの場合においても、安全担保予測が性能達成予測から独立するとは、性能達成予測による予測情報が安全担保予測には実質的に利用されないことを、意味する。

　但し、各予測ブロック１４２，１２２が分離した各別の専用コンピュータにより構築される場合、性能達成予測ブロック１２２による性能達成予測は、安全担保予測ブロック１４２による安全担保予測から物理的に独立させられてもよいし、当該安全担保予測による予測情報を専用コンピュータ間で物理的に伝送して利用してもよい。一方、各予測ブロック１４２，１２２が共通の専用コンピュータにより構築される場合、性能達成予測ブロック１２２による性能達成予測は、安全担保予測ブロック１４２による安全担保予測から機能的に独立させられてもよいし、当該安全担保予測による予測情報を機能的に利用してもよい。

　安全担保予測ブロック１４２は、安全担保予測を行う上での基礎処理として、ホスト車両２の置かれた状況である、走行環境の解釈を行ってもよい。このとき安全担保予測ブロック１４２による環境解釈は、性能達成予測ブロック１２２による環境解釈に準じて実現されてもよい。安全担保予測ブロック１４２による環境解釈は、性能達成予測ブロック１２２による環境解釈から独立して実現されてもよい。例えば車線等の車線構造が存在するシーンでは、縦方向において追突及び正面衝突のリスクが潜在的に想定される状況と、横方向において側面衝突のリスクが潜在的に想定される状況とが、解釈されてもよい。これら縦方向及び横方向の環境解釈では、直線状の車線を前提とする座標系へ、ホスト車両２及び他道路ユーザ３に関する状態量が変換されてもよい。一方、車線構造が存在しないシーンでは、ホスト車両２の任意方向において軌道が衝突するリスクの潜在的に想定される状況が、解釈されてもよい。

　こうした安全担保予測の基礎となる環境解釈は、認識ブロック１００により少なくとも一部が実行されることにより、認識情報としての解釈結果が安全担保予測ブロック１４２へと与えられてもよい。この場合に性能達成予測の基礎となる環境解釈も、認識ブロック１００により少なくとも一部が実行されることにより、安全担保予測ブロック１４２及び性能達成予測ブロック１２２の各々へ共通の解釈結果が与えられてもよい。

　安全担保予測ブロック１４２は、運転ポリシ（driving policy）とその安全性に従って記述された安全モデルを用いることにより、当該運転ポリシと適合するように安全担保予測を行うとよい。ここで安全モデルの従う運転ポリシは、意図された機能の安全性（safety of the intended functionality：ＳＯＴＩＦ）を保証する車両レベル安全戦略（vehicle level SOTIF strategy：ＶＬＳＳ）に基づき、規定される。換言すれば安全モデルは、ＶＬＳＳの実装となる運転ポリシに従うことにより、且つＳＯＴＩＦをモデリングすることにより、記述される。そこで安全モデルは、不合理なリスク又は道路ユーザの誤用に起因する潜在的な事故責任を、事故責任規則に則って回避するように設計されてもよい。例えば安全モデルは、運転ポリシに従う事故責任規則を遵守するような、責任敏感型安全性モデル（responsibility sensitive safety model）等であってもよい。

　安全モデルは、他道路ユーザ３の合理的に予見可能な行動についての仮定（assumption）に基づき行動確率の安全関連側面を表現した、安全関連モデル（safety-related models）そのものに定義されてもよいし、当該安全関連モデルのうち一部を構成するモデルに定義されてもよい。このような安全モデルは、例えば車両レベル安全を定式化した数理モデル、及び当該数理モデルに従った処理を実行するコンピュータプログラム等のうち、少なくとも一種類の形態で構築されるとよい。そこで安全モデルは、制御ブロック１６０による過去の運転制御情報を安全モデルへと逆伝播させる、例えばＤＮＮ等の機械学習アルゴリズムを用いたトレーニングにより、パラメータをチューニングされてもよい。

　安全担保予測ブロック１４２は、安全モデルに基づく他道路ユーザ３の将来行動予測として、ホスト車両２及び他道路ユーザ３の間において合理的に予見可能な安全範囲Ｒｓを、図４，５に例示の如く仮定してもよい。このとき安全担保予測ブロック１４２は、不合理な自責（即ち、ホスト車両２の潜在的な事故責任）のリスクを回避するための安全範囲Ｒｓを、事故責任規則を遵守させる安全モデルに基づき仮定してもよい。ここで安全範囲Ｒｓは、その境界として運転システムＤＳの性能限界を超えると、不合理なリスクが発生すると予測される範囲に、定義されてもよい。換言すれば安全範囲Ｒｓの境界は、安全モデルに従って仮定される安全上の最も厳しい条件を、意味していてもよい。

　図３に示される安全担保予測ブロック１４２は、安全担保予測の結果として取得した予測情報に基づくことにより、ホスト車両２において合理的に予見可能な安全を担保するように、安全範囲Ｒｓの境界を設定する。換言すれば安全担保予測は、ホスト車両２において合理的に予見可能な安全範囲Ｒｓの境界を設定するための、他道路ユーザ３に関する将来行動予測であるといえる。ここで、安全範囲Ｒｓの境界を規定する運動物理量は、例えばホスト車両２の速度、加速度、姿勢角、及び他道路ユーザ３との離間距離等（図４，５は加速度の例）のうち、後段の運転制約ブロック１４４において運転監視及び運転制約の基礎となる少なくとも一種類である。このような安全範囲Ｒｓの境界設定は、運転制約ブロック１４４により後述の運転監視及び制約設定に先立って行われてもよい。

　安全担保予測ブロック１４２による安全範囲Ｒｓの境界設定では、ホスト車両２及び他道路ユーザ３間における安全モデルに基づいた安全エンべーロープ（safety envelope）が、想定されてもよい。ここで安全エンベロープとは、許容可能なリスクのレベル内において操作を維持するために運転システムＤＳが制約又は制御の対象として動作するように設計されている、一連の制限及び条件として定義されてもよい。このような安全エンベロープは、ホスト車両２及び他道路ユーザ３を含んだ各道路ユーザの周囲における物理ベースのマージンとして、その境界を与える運動物理量の臨界値又は限界値によって設定されてもよい。

　安全エンベロープの想定においては、運転ポリシに従うと仮定したホスト車両２及び他道路ユーザ３に対する安全モデルに基づくことにより、少なくとも一種類の運動物理量に関するプロファイルから安全距離が設定されてもよい。このとき安全距離は、安全モデルに基づき予測される他道路ユーザ３の運動に対して、ホスト車両２の周囲に物理ベースのマージンを確保した境界を画定するように、想定されてもよい。安全距離は、各道路ユーザにより適切な応答（proper response）が実行されるまでの反応時間を加味して、想定されてもよい。例えば車線等の車線構造が存在するシーンでは、ホスト車両２の縦方向において追突及び正面衝突のリスクを回避する安全距離と、ホスト車両２の横方向において側面衝突のリスクを回避する安全距離とが、演算されてもよい。一方、車線構造が存在しないシーンでは、ホスト車両２の任意方向において軌道の衝突するリスクを回避する安全距離が、演算されてもよい。

　安全担保予測ブロック１４２は、以上により取得した予測情報、及び設定した安全範囲Ｒｓの境界情報のうち、少なくとも一種類を安全担保情報としてメモリ１０に出力してもよい。安全担保情報の出力されるメモリ１０は、運転システムＤＳを構成する専用コンピュータの種類に応じて、ホスト車両２内に搭載されていてもよいし、ホスト車両２外の例えば外部センタ等に設置されていてもよい。出力された安全担保情報は、メモリ１０に一時的に記憶されて運転制約ブロック１４４に提供されるとよい。出力された安全担保情報は、エビデンス情報としての記憶によりメモリ１０に蓄積されてもよい。出力された性能達成情報は、一時的な記憶先又はエビデンス情報としての蓄積先となるメモリ１０から読み出されて、通信系６によりホスト車両２外の例えば外部センタ等へ送信されてもよい。

　エビデンス情報となる安全担保情報は、非暗号化状態で蓄積されてもよいし、暗号化又はハッシュ化されて蓄積されてもよい。エビデンス情報となる安全担保情報は、制御ブロック１６０による過去の運転制御情報としてホスト車両２の実挙動を表す、挙動情報と対応付けてメモリ１０に蓄積されてもよい。エビデンス情報となる安全担保情報は、性能達成予測ブロック１２２による性能達成情報とも対応付けて、メモリ１０に蓄積されてもよい。こうして蓄積された安全担保情報は、安全担保予測の予測モデルとなる安全モデルのトレーニングに遅行型指標として利活用されてもよいし、当該安全モデルの検証及び妥当性評価に先行型指標として利活用されてもよい。

　運転制約ブロック１４４は、安全担保予測ブロック１４２による安全担保予測及び安全範囲Ｒｓの境界に応じて監視するホスト車両２の運転制御に対し、当該監視に基づく制約を設定する。そこで運転制約ブロック１４４は、安全担保予測ブロック１４２から提供される安全担保情報に基づくことにより、運転制御監視及び制約設定を行う。このとき安全担保予測ブロック１４２による安全範囲Ｒｓの設定において想定された、安全エンベロープの違反があるか否に応じて、制約設定の要否を監視してもよい。このとき、安全エンベロープとして安全距離が想定される場合には、ホスト車両２及び他道路ユーザ３間の現実距離が当該安全距離を超過することにより、安全エンベロープの違反はないとの判定が下されてもよい。一方、ホスト車両２及び他道路ユーザ３間の現実距離が安全距離以下となることにより、安全エンベロープの違反があるとの判定が下されてもよい。

　運転制約ブロック１４４は、安全エンベロープ違反ありとの判定を下した場合に、適切な応答として取るべき適正な行動をホスト車両２へ与える、合理的なシナリオをシミュレーションによって演算してもよい。合理的シナリオのシミュレーションでは、ホスト車両２及び他道路ユーザ３間での状態遷移が推定されることにより、遷移する状態毎に取るべき行動がホスト車両２に対する制約（後に詳述）として設定されてもよい。このときの行動設定では、ホスト車両２へ与える少なくとも一種類の運動物理量を、ホスト車両２に対する制約として制限する制限値が、演算されるとよい。

　制御ブロック１６０は、判断ブロック１２０の運転計画ブロック１２４から制御指令を取得する。制御ブロック１６０は、監視ブロック１４０の運転制約ブロック１４４から制約情報を取得する。制御ブロック１６０は、運転制約ブロック１４４により制約が設定されていない場合には、計画された制御指令に従ってホスト車両２の運転を制御する。即ち制御ブロック１６０は、ホスト車両２に制御アクションに与える、ＤＤＴ機能を実現する。例えば運転制約ブロック１４４により制約の設定されるユースケースとしては、図４にクロスハッチングが付されて示されるように安全範囲Ｒｓの境界内に収まる、性能達成範囲Ｒｐ内において運転の計画された状況等が、挙げられる。このとき制御ブロック１６０は、例えばホスト車両２に関して車両運動等の認識情報を、認識ブロック１００から又は判断ブロック１２０を経由して取得することにより、車両制御に利用してもよい。

　これに対して制御ブロック１６０は、運転制約ブロック１４４により制約が設定されて制約情報を取得した場合には、計画されたホスト車両２の運転制御に対して制約を与える。例えば運転制約ブロック１４４により制約の設定されるユースケースとしては、図５にクロスハッチングが付されて示されるように性能達成範囲Ｒｐ内のうち、安全範囲Ｒｓの境界を超える範囲において運転の計画された状況等が、挙げられる。ここで運転制御に対する制約は、機能的な制約（functional restriction）であってもよいし、縮退した制約（degraded constraints）であってもよい。運転制御に対する制約は、これらとは別の制約であってもよい。いずれの場合においても運転制御に対する制約は、制御指令の制限によって与えられるとよい。このとき、合理的なシナリオが運転制約ブロック１４４によってシミュレートされている場合には、当該シナリオに従って制御指令が制限されてもよい。さらに、ホスト車両２の運動物理量に関する制限値が設定されている場合には、制御指令に含まれるアクチュエータ系４の制御パラメータが、当該制限値に基づき補正されてもよい。

　（処理フロー）
　第一実施形態では、図６に示されるフローチャートに従ってホスト車両２の運転処理を遂行する処理方法のフロー（以下、処理フローと称する）が、複数ブロック１００，１２０，１４０，１６０の共同により繰り返し実行される。尚、以下の説明において処理フローの各「Ｓ」は、処理プログラムに含まれた複数命令により実行される複数ステップを、それぞれ意味する。

　Ｓ１００において認識ブロック１００は、ホスト車両２の内外環境を認識することにより、認識情報を生成する。Ｓ１０の実行後、Ｓ２０，Ｓ３０，Ｓ４０の性能達成シーケンスとＳ５０，Ｓ６０，Ｓ７０の安全担保シーケンスとが、並行して実行される。

　性能達成シーケンスのＳ２０において判断ブロック１２０は、ホスト車両２における目標性能を達成するための予測として、他道路ユーザ３の将来行動に関する性能達成予測を性能達成予測ブロック１２２により行う。このときリスクバランスモデルに基づき、性能達成予測が実現されるよい。性能達成シーケンスのＳ３０において判断ブロック１２０は、ホスト車両２における目標性能を達成する性能達成範囲Ｒｐを、Ｓ２０の性能達成予測に応じて性能達成予測ブロック１２２により設定する。性能達成シーケンスのＳ４０において判断ブロック１２０は、Ｓ２０による性能達成予測及びＳ３０による性能達成範囲Ｒｐに応じたホスト車両２の運転計画を、運転計画ブロック１２４により行う。

　一方、安全担保シーケンスのＳ５０において監視ブロック１４０は、ホスト車両２における合理的に予見可能な安全を担保するための予測として、他道路ユーザ３の将来行動に関する安全担保予測を安全担保予測ブロック１４２により行う。このとき安全モデルに基づき、安全担保予測が実現されるよい。安全担保シーケンスのＳ５０において監視ブロック１４０は、ホスト車両２における安全を担保する安全範囲Ｒｓの境界を、Ｓ５０の安全担保予測に応じて安全担保予測ブロック１４２により設定する。安全担保シーケンスのＳ７０において監視ブロック１４０は、Ｓ５０による安全担保予測及びＳ６０による安全範囲Ｒｓの境界に応じたホスト車両２の運転監視並びに制約設定を、運転制約ブロック１４４により行う。

　Ｓ２０，Ｓ３０，Ｓ４０の性能達成シーケンスから移行するＳ８０において制御ブロック１６０は、Ｓ５０，Ｓ６０，Ｓ７０の安全担保シーケンスを通じてホスト車両２に対する制約が設定されたか否かを、判定する。その結果、否定判定が下された場合のＳ９０において制御ブロック１６０は、性能達成シーケンスのＳ４０による運転計画に従ってホスト車両２を制御する。これに対して、肯定判定が下された場合のＳ１００において制御ブロック１６０は、性能達成シーケンスのＳ４０により計画された運転に対して、安全担保シーケンスのＳ７０により設定された制約を与えるように、ホスト車両２を制御する。これらＳ９０，Ｓ１００の実行終了により、処理フローの今回実行が終了することとなる。

　以上の処理フローにおいて特にＳ２０の性能達成予測とＳ５０の安全担保予測とは、ホスト車両２における認識能力（perception capabilities）又は認識性能（perception performance）の変化に対して、それぞれ適合させられるとよい。そこで、図７に示されるようにＳ２０の性能達成予測とＳ５０の安全担保予測とは、以下に分類される状況α～δの場合に適合させて実行されてもよい。

（α）　ホスト車両２における運転システムＤＳの認識機能による他道路ユーザ３の可視性が過去タイミング及び現在タイミングの双方において確保された状況。
（β）　ホスト車両２の運転システムＤＳにおいて認識機能による他道路ユーザ３の可視性が過去タイミングにおいて制限且つ現在タイミングにおいて確保された状況。
（γ）　ホスト車両２における運転システムＤＳの認識機能による他道路ユーザ３の可視性が過去タイミングにおいて確保且つ現在タイミングにおいて制限された状況。
（δ）　ホスト車両２における運転システムＤＳの認識機能による他道路ユーザ３の可視性が過去タイミング及び現在タイミングの双方において制限された状況。

　以下の分類説明において過去タイミングとは、処理フローの今回実行よりも前となる少なくとも一回の過去実行のうち、Ｓ２０，Ｓ５０による各予測の実行タイミングに対応していてもよい。一方で現在タイミングとは、処理フローの今回実行のうち、Ｓ２０，Ｓ５０による各予測の実行タイミングに対応していてもよい。

　分類説明において認識機能による他道路ユーザ３の可視性（visibility）は、例えばセンサ系５の検出精度等を用いて定義される信頼度を問わずに確保される状況と、当該確保が不可となる制限の状況とに、分類されてもよい。可視性は、例えば検出精度等を用いて定義される信頼度が設定レベル以上又は超過となることにより確保される状況と、当該信頼度が設定レベル未満又は以下となることにより制限される状況とに、分類されてもよい。

　状況αの場合にＳ２０の性能達成予測では、過去及び現在の両タイミングにおいて可視性の確保された認識機能による認識情報から解釈可能な、認識履歴に基づくことにより、リスクバランスモデルに従って他道路ユーザ３の将来行動予測が実現されてもよい。これに対して状況αの場合にＳ５０の安全担保予測では、過去及び現在の両タイミングにおいて可視性の確保された認識機能による、例えば位置及び速度等の認識情報に基づくことにより、安全モデルに従って安全範囲Ｒｓ内での他道路ユーザ３の将来行動予測が実現されてもよい。

　状況βの場合にＳ２０の性能達成予測では、現在タイミングにおいて可視性の確保された認識機能による認識情報と、認識機能の可視性が制限された過去タイミングにおける他道路ユーザ３に関しての走行履歴とに基づくことにより、リスクバランスモデルに従って他道路ユーザ３の将来行動予測が実現されてもよい。ここで過去タイミングにおける走行履歴は、通信系６を介したＶ２Ｘ通信を通じて他道路ユーザ３又は外部センタから現在タイミングに取得される、交通流の認識情報であってもよい。これに対して状況βの場合にＳ５０の安全担保予測では、現在タイミングにおいて可視性の確保された認識機能による、例えば位置及び速度等の認識情報に基づくことにより、安全モデルに従って安全範囲Ｒｓ内での他道路ユーザ３の将来行動予測が実現されてもよい。

　状況γの場合にＳ２０の性能達成予測では、過去タイミングにおいて可視性の確保された認識機能による認識情報から解釈可能な、認識履歴の履歴情報に基づくことにより、リスクバランスモデルに従って他道路ユーザ３の将来行動予測が実現されてもよい。これに対して状況γの場合にＳ５０の安全担保予測では、過去タイミングにおいて可視性の確保された認識機能による、例えば位置及び速度等の認識情報に基づくことにより、安全モデルに従う安全範囲Ｒｓ内での移動を仮定した他道路ユーザ３の将来行動予測が実現されてもよい。

　状況δの場合にＳ２０の性能達成予測では、認識機能の可視性が制限された過去タイミングにおける他道路ユーザ３に関しての走行履歴に基づくことにより、リスクバランスモデルに従って他道路ユーザ３の将来行動予測が実現されてもよい。ここで過去タイミングにおける走行履歴は、状況βの場合と同様にＶ２Ｘ通信により現在タイミングに取得される、交通流の認識情報であってもよい。これに対して状況δの場合にＳ５０の安全担保予測では、例えばホスト車両２からの死角等、過去及び現在のいずれのタイミングにも認識機能の可視性が制限される場所において、安全モデルに従う安全範囲Ｒｓ内での移動を仮定した他道路ユーザ３の将来行動予測であってもよい。

　ここまで説明したように第一実施形態のホスト車両２においては、目標性能を達成するための予測として、ホスト車両２の外部環境における他道路ユーザ３の将来行動を予測した性能達成予測に応じて、運転計画が実行される。そこで第一実施形態のホスト車両２においては、合理的に予見可能な安全を担保するための予測として、他道路ユーザ３の将来行動を性能達成予測からは独立して予測した安全担保予測に応じて、運転監視が実行される。これによれば、性能達成予測に応じて計画されるホスト車両２の運転が安全担保予測に応じて監視されることにより、当該運転に対して性能と安全とのバランスを図ることが可能となる。

　（第二実施形態）
　第二実施形態は、第一実施形態の変形例である。

　図８に示されるように第二実施形態の機能アーキテクチャでは、監視ブロック１４０の運転制約ブロック１４４から制約情報を取得する機能が、制御ブロック２１６０に代えて、判断ブロック２１２０の運転計画ブロック２１２４により実現される。そこで、運転制約ブロック１４４により制約が設定されていない場合の運転計画ブロック２１２４は、第一実施形態に準じてホスト車両２の運転を計画する。一方、運転制約ブロック１４４により制約が設定されて制約情報を取得した場合の運転計画ブロック２１２４は、第一実施形態に準じてホスト車両２の運転を計画する段階において、当該運転計画に制約を与える。いずれの場合においても、運転計画ブロック２１２４により計画されたホスト車両２の運転制御を、制御ブロック２１６０が実行することになる。

　図９に示されるように第二実施形態の処理フローでは、性能達成シーケンスのうちＳ３０に続くＳ２０４０において判断ブロック２１２０は、Ｓ５０，Ｓ６０，Ｓ７０の安全担保シーケンスを通じてホスト車両２に対する制約が設定されたか否かを、運転計画ブロック２１２４により判定する。そこで否定判定が下された場合には、性能達成シーケンスのＳ２０４１において判断ブロック２１２０は、Ｓ２０による性能達成予測及びＳ３０による性能達成範囲Ｒｐに応じたホスト車両２の運転計画を、運転計画ブロック２１２４により行う。これに対して肯定判定が下された場合には、性能達成シーケンのＳ２０４２において判断ブロック２１２０は、Ｓ２０による性能達成予測及びＳ３０による性能達成範囲Ｒｐに応じたホスト車両２の運転に対して、安全担保シーケンスのＳ７０による制約を与えるように、運転計画ブロック２１２４により運転計画を行う。これらＳ２０４１，Ｓ２０４２のいずれが実行完了した場合にも移行するＳ２０８０において制御ブロック２１６０は、Ｓ２０４１，Ｓ２０４２のうち当該移行前のステップによる運転計画に従ってホスト車両２を制御する。以上、Ｓ２０８０の実行完了により、処理フローの今回実行が終了することとなる。

　ここまで説明した第二実施形態においても、第一実施形態での説明原理に準ずることにより、ホスト車両２の運転に対して性能と安全とのバランスを図ることが可能となる。

　（第三実施形態）
　第三実施形態は、第二実施形態の変形例である。

　図１０に示されるように第二実施形態の機能アーキテクチャでは、判断ブロック３１２０の運転計画ブロック３１２４における機能の一部として、運転制約ブロック３１４４による監視機能及び制約設定機能が実現される。そこで、運転制約ブロック３１４４による監視機能及び制約設定機能は、運転計画ブロック３１２４による計画機能の実行中にソフトウェア上において複数のアプリケーション毎に、又は複数のアプリケーションに共通に呼び出されてもよい。この場合、安全担保予測ブロック３１４２による安全担保予測の機能は、性能達成予測ブロック１２２による性能達成予測からだけでなく、運転計画ブロック３１２４による運転計画及び運転制約ブロック３１４４による運転監視からも、独立させられるとよい。

　図１１に示されるように第三実施形態の処理フローでは、性能達成シーケンス及び安全担保シーケンスの共通ステップとなるＳ３０７０において判断ブロック３１２０は、Ｓ５０による安全担保予測及びＳ６０による安全範囲Ｒｓの境界に応じたホスト車両２の運転監視及び制約設定を、運転制約ブロック３１４４により行う。そこで、性能達成シーケンスのうちＳ３０７０に続くＳ３０４０において判断ブロック３１２０は、Ｓ５０，Ｓ６０，Ｓ３０７０の安全担保シーケンスを通じてホスト車両２に対する制約が設定されたか否かを、運転計画ブロック３１２４により判定する。そこで否定判定が下された場合には、性能達成シーケンのＳ３０４１において判断ブロック３１２０は、Ｓ２０による性能達成予測及びＳ３０による性能達成範囲Ｒｐに応じたホスト車両２の運転計画を、運転計画ブロック３１２４により行う。これに対して肯定判定が下された場合には、性能達成シーケンスのＳ３０４２において判断ブロック３１２０は、Ｓ２０による性能達成予測及びＳ３０による性能達成範囲Ｒｐに応じたホスト車両２の運転に対して、Ｓ３０７０による制約を与えるように、運転計画ブロック３１２４により運転計画を行う。これらＳ３０４１，Ｓ３０４２のいずれが実行完了した場合にも、処理フローはＳ２０８０へ移行することとなる。

　ここまで説明した第三実施形態においても、第一実施形態での説明原理に準ずることにより、ホスト車両２の運転に対して性能と安全とのバランスを図ることが可能となる。

　（他の実施形態）
　以上、複数の実施形態について説明したが、本開示は、それらの実施形態に限定して解釈されるものではなく、本開示の要旨を逸脱しない範囲内において種々の実施形態及び組み合わせに適用することができる。

　変形例において処理システム１を構成する専用コンピュータは、デジタル回路及びアナログ回路のうち、少なくとも一方をプロセッサとして有していてもよい。ここでデジタル回路とは、例えばＡＳＩＣ（application specific integrated circuit）、ＦＰＧＡ（field programmable gate array）、ＳＯＣ（system on a chip）、ＰＧＡ（programmable gate array）、及びＣＰＬＤ（complex programmable logic device）等のうち、少なくとも一種類である。またこうしたデジタル回路は、プログラムを記憶したメモリを、有していてもよい。

　ホスト車両２における乗員のうちオペレータとなるドライバは変形例では、外部センタにおいてホスト車両２を遠隔操作する、リモートオペレータ又はリモートドライバにより代替されてもよい。運転システムＤＳ及び処理システム１の適用されるホスト移動体は変形例では、自律走行又はリモート走行によって荷物搬送若しくは情報収集等の可能な、自律走行ロボットであってもよい。以上の他に各実施形態及び変形例による処理システム１は、ホスト移動体に搭載可能に構成されてプロセッサ１２及びメモリ１０を少なくとも一つずつ有する処理装置として、処理回路（例えば処理ＥＣＵ等）又は半導体装置（例えば半導体チップ等）の形態で実施されてもよい。

　（用語の説明）
　本開示に関連する用語を、以下に説明する。この説明は、本開示の実施形態に含まれる。

　道路ユーザ（road user）は、歩道及びその他の隣接するスペースを含む道路を利用する人間であってもよい。道路ユーザは、ある場所から別の場所へ移動する目的で、アクティブな道路上、又は隣接している道路のユーザであってもよい。

　他道路ユーザ（other road user）は、自動運転自車両の役割を果たさない脆弱な道路ユーザ及び非脆弱な道路ユーザであってもよい。

　動的運転タスク（dynamic driving task：ＤＤＴ）は、交通において車両を操作するためのリアルタイムの操作機能及び戦術機能であってもよい。

　自車両の挙動は、車両運動を交通状況で解釈したものであってもよい。ここで車両運動は、物理量（例えば速度、及び加速度等）の側面で捉えた車両状態とそのダイナミクスであってもよい。

　シナリオは、アクション及びイベントの影響を受けた特定の状況での目標及び値を含む、一連のシーン内のいくつかのシーン間の時間的関係の描写であってもよい。シナリオは、特定の運転タスクを実行するプロセスにおける、主体となる車両、その全ての外部環境、及びそれらのインタラクションを統合する連続した時系列の活動の描写であってもよい。

　状況は、システムの挙動に影響を与え得る要因であって、交通状況、天候、自車両の挙動を含んでいてもよい。

　トリガ条件（triggering condition）は、後続のシステムの反応であって、危険な挙動、合理的に予見可能な間接的な誤用を防止、検出、及び軽減できないことに寄与する反応のきっかけとして機能するシナリオの特定条件であってもよい。

　運行設計領域（operational design domain：ＯＤＤ）は、与えられた（自動）運転システムが機能するように設計された特定の条件であってもよい。運行設計領域は、与えられた（自動）運転システム又は特徴が機能するように特別に設計された動作条件であって、環境、地理、及び時刻の制限、及び／又は特定の交通又は道路の特徴の必要な存否が含まれるが、これらに限定されない動作条件であってもよい。

　自動運転システム（automated driving system）は、特定のＯＤＤに限定されているか否かに関係なく、持続的に全体のＤＤＴを実行可能な一纏めのハードウェア及びソフトウェアであってもよい。

　意図された機能の安全性（safety of the intended functionality：ＳＯＴＩＦ）は、意図された機能又はその実装の機能不十分性に起因する不当なリスクの不在であってもよい。

　運転ポリシ（driving policy）は、車両レベルにおける制御行動を定義する戦略及び規則であってもよい。

　車両レベル安全戦略（vehicle level SOTIF strategy：ＶＬＳＳ）は、ＳＯＴＩＦ関連の設計、検証、及び検証アクティビティを補助するために使用される開発中の機能の要件のセットであってもよい。

　不合理なリスクは、妥当な社会的道徳的概念に従って、特定の状況で許容できないと判断されたリスクであってもよい。

　安全関連モデル（safety-related models）は、他道路ユーザの合理的に予見可能な挙動についての想定に基づく、運転行動の安全関連の様相の表現であってもよい。安全関連モデルは、オンボード若しくはオフボードの安全確認装置又は安全解析装置、数理モデル、より概念的なルールのセット、シナリオベースの挙動のセット、あるいはこれらの組み合わせであってもよい。

　安全エンベロープ（safety envelope）は、許容可能なリスクのレベル内で操作を維持するために、（自動）運転システムが制約又は制御の対象として動作するように設計されている制限及び条件のセットであってもよい。安全エンベロープは、運転ポリシが準拠できる全ての原則に対応するために使用できる一般的な概念であってよく、この概念によれば、（自動）運転システムにより動作する自車両は、その周囲に１つ又は複数の境界を持つことができる。

　適切な応答（proper response）は、他道路ユーザが合理的に予見可能な挙動についての想定に従って行動しているときに危険な状況を解決するアクションであってもよい。

　安全状態は、合理的に安全な動作モードであってもよい。

　性能限界は、システムが目的を達成できる設計上の限界値であってもよく、複数のパラメータに対して設定することができる。

　最小リスク状態（minimal risk condition：ＭＲＣ）は、与えられたトリップを完了できない場合のリスクを軽減するための車両の状態であってもよい。最小リスク状態は、与えられたトリップを完了できない場合に、衝突のリスクを軽減するために、最小リスク操作を実行した後の車両をユーザ又は（自動）運転システムがもたらす状態であってもよい。

　最小リスク操作（minimal risk manoeuvre：ＭＲＭ）は、ノミナル状態と最小リスク状態との間において遷移する（自動）運転システムの機能であってもよい。

　ＤＤＴフォールバックは、故障の発生後若しくは機能不十分性の検出後、又は潜在的に危険な挙動の検出の際に、ＤＤＴ又はＭＲＣへの遷移を実行するための、ドライバ又は（自動）運転システムによる応答であってもよい。

　緊急操作（emergency manoeuvre）は、車両が衝突の危険が迫っている事象の場合に、衝突を回避又は軽減する目的で実行される操作であってもよい。

　引き継ぎ（takeover）は、（自動）運転システムとドライバとの間の運転タスクの移譲であってもよい。

　ドライバは、特定車両のＤＤＴ及び／又はＤＤＴフォールバックの一部若しくは全部をリアルタイムで実行するユーザであってもよい。リモートドライバは、車載のブレーキ、アクセル、ステアリング、及びトランスミッションのギア選択入力装置を手動で操作できる位置に座っていないが、車両を操作できるドライバであってもよい。

　オペレータは、自動車を操作するように適切な訓練を受け且つ権限を与えられた指定者であってもよい。リモートオペレータは、車載のブレーキ、アクセル、ステアリング、及びトランスミッションのギア選択入力装置を手動で操作できる位置に座っていないが、直視の有無にかかわらず車両を操作できるオペレータであってもよい。

　Ｖ２Ｘは、インフラ、他の車両、及び他の道路ユーザと付加情報を交換するために車両を増強する技術であってもよい。

Claims

　ホスト移動体（２）の運転に関する処理を遂行するために、プロセッサ（１２）により実行される処理方法であって、
　前記ホスト移動体において目標性能を達成するための予測として、前記ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　前記ホスト移動体の運転を前記性能達成予測に応じて計画する運転計画と、
　前記ホスト移動体において合理的に予見可能な安全を担保するための予測として、前記外部環境における前記他道路ユーザの将来行動を前記性能達成予測から独立して予測する安全担保予測と、
　前記ホスト移動体の運転を前記安全担保予測に応じて監視する運転監視とを、含む処理方法。
　前記性能達成予測は、
　前記ホスト移動体において目標性能を達成する性能達成範囲（Ｒｐ）を設定するための予測として、前記他道路ユーザの将来行動を予測することを、含む請求項１に記載の処理方法。
　前記性能達成予測は、
　前記ホスト移動体において不合理な他責のリスクを回避するための予測として、前記他道路ユーザの将来行動を予測することを、含む請求項１に記載の処理方法。
　前記性能達成予測は、
　ポジティブリスクバランスをモデリングした統計モデルに基づく予測として、前記他道路ユーザの将来行動を予測することを、含む請求項１に記載の処理方法。
　前記性能達成予測は、
　前記ホスト移動体において運転システム（ＤＳ）の認識機能による前記他道路ユーザの可視性が確保されたタイミングの認識情報に基づき、前記統計モデルに従って前記他道路ユーザの将来行動を予測することを、含む請求項４に記載の処理方法。
　前記性能達成予測は、
　前記ホスト移動体において運転システム（ＤＳ）の認識機能による前記他道路ユーザの可視性が過去タイミングに制限された場合に、当該過去タイミングにおける前記他道路ユーザに関してＶ２Ｘ通信を通じて現在タイミングに取得される走行履歴に基づき、前記他道路ユーザの将来行動を予測することを、含む請求項５に記載の処理方法。
　前記性能達成予測による予測情報を出力することを、さらに含む請求項１に記載の処理方法。
　前記安全担保予測は、
　前記ホスト移動体において合理的に予見可能な安全範囲（Ｒｓ）の境界を設定するための予測として、前記他道路ユーザの将来行動を予測することを、含む請求項１に記載の処理方法。
　前記安全担保予測は、
　前記ホスト移動体において不合理な自責のリスクを回避するための予測として、前記他道路ユーザの将来行動を予測することを、含む請求項１に記載の処理方法。
　前記安全担保予測は、
　意図された機能の安全性をモデリングした安全モデルに基づく予測として、前記他道路ユーザの将来行動を予測することを、含む請求項１に記載の処理方法。
　前記安全担保予測は、
　前記ホスト移動体において運転システム（ＤＳ）の認識機能による前記他道路ユーザの可視性が確保されたタイミングの認識情報に基づき、前記安全モデルに従って前記他道路ユーザの将来行動を予測することを、含む請求項１０に記載の処理方法。
　前記安全担保予測は、
　前記ホスト移動体において運転システム（ＤＳ）の認識機能による前記他道路ユーザの可視性が現在タイミングに制限された場合に、前記安全モデルに従う安全範囲（Ｒｓ）内での移動を仮定した前記他道路ユーザの将来行動を予測することを、含む請求項１１に記載の処理方法。
　前記安全担保予測による予測情報を出力することを、さらに含む請求項１に記載の処理方法。
　前記運転監視は、
　前記ホスト移動体の運転に対する制約を前記安全担保予測に応じて設定することを、さらに含む請求項１に記載の処理方法。
　プロセッサ（１２）を有し、ホスト移動体（２）の運転に関する処理を遂行する運転システムであって、
　前記プロセッサは、
　前記ホスト移動体において目標性能を達成するための予測として、前記ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　前記ホスト移動体の運転を前記性能達成予測に応じて計画する運転計画と、
　前記ホスト移動体において合理的に予見可能な安全を担保するための予測として、前記外部環境における前記他道路ユーザの将来行動を前記性能達成予測から独立して予測する安全担保予測と、
　前記ホスト移動体の運転を前記安全担保予測に応じて監視する運転監視とを、実行するように構成される運転システム。
　プロセッサ（１２）を有し、ホスト移動体（２）に搭載可能に構成され、前記ホスト移動体の運転に関する処理を遂行する処理装置であって、
　前記プロセッサは、
　前記ホスト移動体において目標性能を達成するための予測として、前記ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　前記ホスト移動体の運転を前記性能達成予測に応じて計画する運転計画と、
　前記ホスト移動体において合理的に予見可能な安全を担保するための予測として、前記外部環境における前記他道路ユーザの将来行動を前記性能達成予測から独立して予測する安全担保予測と、
　前記ホスト移動体の運転を前記安全担保予測に応じて監視する運転監視とを、実行するように構成される処理装置。
　ホスト移動体（２）の運転に関する処理を遂行するために記憶媒体（１０）に記憶され、プロセッサ（１２）により実行される命令を含む処理プログラムであって、
　前記ホスト移動体において目標性能を達成するための予測として、前記ホスト移動体の外部環境における他道路ユーザの将来行動を予測する性能達成予測と、
　前記ホスト移動体の運転を前記性能達成予測に応じて計画する運転計画と、
　前記ホスト移動体において合理的に予見可能な安全を担保するための予測として、前記外部環境における前記他道路ユーザの将来行動を前記性能達成予測から独立して予測する安全担保予測と、
　前記ホスト移動体の運転を前記安全担保予測に応じて監視する運転監視とを、実行させる前記命令を含む処理プログラム。