WO2023277031A1

WO2023277031A1 - モビリティサービス基盤サーバ、モビリティサービス提供システム、車両アクセス制御方法、プログラム

Info

Publication number: WO2023277031A1
Application number: PCT/JP2022/025811
Authority: WO
Inventors: 正俊小見山; 顕匠滝; 凌非謝; 繁梶岡; 真紀子田内
Original assignee: 株式会社デンソー
Priority date: 2021-07-02
Filing date: 2022-06-28
Publication date: 2023-01-05
Also published as: US20240127646A1; CN117651980A; JPWO2023277031A1

Abstract

車両側ユニット（１１０）は、車両制御部（１３０）を有する。車両制御部は、サービス側ユニット（１２０）に設けられたインタフェース部（１２２）が車両に対するアクセス要求を受け付けた場合、アクセスの対象となる車両である対象車両に搭載された車載機（２）との無線通信を行うことで、対象車両へのアクセスを実行する。車両制御部は、車載機との間で送受信される制御指示に対して、中継制御を実行する。

Description

モビリティサービス基盤サーバ、モビリティサービス提供システム、車両アクセス制御方法、プログラム

関連出願の相互参照

　本国際出願は、２０２１年７月２日に日本国特許庁に出願された日本国特許出願第２０２１－１１０９０４号に基づく優先権を主張するものであり、日本国特許出願第２０２１－１１０９０４号の全内容を本国際出願に参照により援用する。

　本開示は、モビリティサービスを提供する技術に関する。

　特許文献１には、車両から車両データを収集することによって現実世界の車両の状態を仮想空間で再現するデジタルツインシミュレーションが記載されている。

特開２０１９－１５３２９１号公報

　モビリティサービスの広がりを受け、システム経由で車両にアクセスして、車両の有する機能を利用した様々なアプリケーションを実現することが検討されている。

　本開示は、モビリティサービスに関わる車両アクセスの信頼性を向上させる技術を提供する。

　本開示の一態様は、モビリティサービス基盤サーバである。モビリティサービス基盤サーバは、車両側ユニットと、サービス側ユニットと、を備える。

　車両側ユニットは、車両に搭載された車載機から提供される車両データに基づいて、車両毎に生成され、特定の時刻における車両の状態を表す複数のシャドウを記憶する第１データベースを有する。

　サービス側ユニットは、第２データベースおよびインタフェース部を有する。第２データベースは、第１データベースに蓄積されたシャドウのそれぞれに対応し、シャドウの検索に使用される情報を有するインデックスを記憶する。インタフェース部は、外部からのアクセス要求を受け付けるように構成される。

　車両側ユニットは、インタフェース部が車両に対するアクセス要求を受け付けた場合、アクセスの対象となる車両である対象車両に搭載された車載機との無線通信を行うことで、対象車両へのアクセスを実行するように構成された車両制御部を更に備える。車両制御部は、車載機との間で送受信される制御指示に対して、中継制御を実行するように構成される。

　このような構成によれば、車両アクセスの信頼性を向上させることができる。

　本開示の一態様は、モビリティサービス提供システムである。モビリティサービス提供システムは、車両に搭載される車載機と、上述のモビリティサービス基盤サーバと、を備える。

　本開示の一態様は、車両アクセス制御方法である。車両アクセス制御方法が適用されるモビリティサービス基盤サーバは、第１データベースと、第２データベースと、インタフェース部とを備える。

　車両アクセス制御方法では、インタフェース部が車両に対するアクセス要求を受け付けた場合、アクセスの対象となる車両である対象車両に搭載された車載機との無線通信を行うことで、対象車両へのアクセスを実行する。対象車両へのアクセスにおいて、車載機との間で送受信される制御指示に対して、中継制御を実行する。

　本開示の一態様は、プログラムである。プログラムを実行するコンピュータは、第１データベース、第２データベース、インタフェース部と共にモビリティサービス基盤サーバを構成する。

　プログラムは、コンピュータを、車両制御部として機能させる。車両制御部は、インタフェース部が車両に対するアクセス要求を受け付けた場合、アクセスの対象となる車両である対象車両に搭載された車載機との無線通信を行うことで、対象車両へのアクセスを実行するように構成される。また、車両制御部は、対象車両へのアクセスにおいて車載機との間で送受信される制御指示に対して、中継制御を実行するように構成される。

モビリティＩｏＴシステムの構成を示すブロック図である。エッジ装置の構成を示すブロック図である。エッジ装置の機能的な構成を示す機能ブロック図である。フレームの構成を示す図である。車両データ変換テーブルの構成を示す図である。標準化車両データの第１階層と、データフォーマットとを示す図である。標準化車両データの構成を示す図である。標準化車両データの作成手順を示すシーケンス図である。データ送信タイミングを示すタイミングチャートである。管理センターの構成を示すブロック図である。管理センターの機能的な構成を示す機能ブロック図である。モビリティＧＷおよびデータ管理部の機能的な構成を示す機能ブロック図である。シャドウの構成を示す図である。最新インデックスの構成を示す図である。インデックスの構成を示す図である。認可情報記憶部が有する認可オブジェクトデータベースの構成を示す図である。認可情報記憶部が有する認可クラスデータベースの構成を示す図である。ＡＰＩ提供部の動作を示すシーケンス図である。データ取得要求の指定情報およびシャドウアクセス要求の構成を示す図である。エリア指定の指定方法の説明図である。インデックス取得部が実行するシャドウリスト生成処理のフローチャートである。データ取得ＡＰＩを利用したデータ取得の手順を示すシーケンス図である。車両制御要求の指定情報の構成を示す図である。車両制御要求を受け付けた場合の典型的な動作を示すシーケンス図である。車両制御要求に関わる車両制御部およびエッジ装置を搭載する車両の構成を示す図である。制御履歴記憶部への登録内容を示す図である。受付部が実行する受付処理のフローチャートである。受付処理において実行される順序処理のフローチャートである。受付処理において実行されるウェイクアップ処理のフローチャートである。受付処理において実行される優先処理のフローチャートである。送信管理部が実行する送信側処理のフローチャートである。受信管理部が実行する受信側処理のフローチャートである。車両制御要求の対象となる車両の電源状態がオンであった場合の動作を示すシーケンス図である。車両から制御指示に対する応答がない場合の動作を示すシーケンス図である。車両制御要求の対象となる車両の電源状態がオフであった場合の動作を示すシーケンス図である。車両に搭載されるＥＣＵの接続状態を示すブロック図である。

　以下に本開示の実施形態を図面とともに説明する。

　［１．システム概要］
　本実施形態のモビリティＩｏＴシステム１は、図１に示すように、複数のエッジ装置２と、管理センター３と、サービス提供サーバ４とを備える。ＩｏＴは、Internet of Thingsの略である。

　エッジ装置２は、車両に搭載され、広域無線通信網ＮＷを介して、管理センター３とデータ通信を行う機能を有する。

　管理センター３は、モビリティＩｏＴシステム１を管理する装置である。管理センター３は、広域無線通信網ＮＷを介して、複数のエッジ装置２およびサービス提供サーバ４との間でデータ通信を行う機能を有する。

　サービス提供サーバ４は、例えば、車両の運行を管理するサービスを提供するために設置されたサーバである。なお、モビリティＩｏＴシステム１は、サービス内容が互いに異なる複数のサービス提供サーバ４を備えてもよい。サービス提供サーバ４は、オンプレミスで構成されてもよいし、クラウドで構成されてもよい。また、サービス提供サーバ４は、管理センター３と物理的に同じサーバとして構成されてもよい。

　［２．エッジ装置］
　［２－１．装置構成］
　エッジ装置２は、図２に示すように、マイクロコンピュータ１１と、車両インタフェース（以下、車両Ｉ／Ｆ）１２と、通信部１３と、記憶部１４とを備える。

　マイクロコンピュータ１１は、第１コア２１と、第２コア２２と、ＲＯＭ２３と、ＲＡＭ２４と、フラッシュメモリ２５と、入出力部２６と、バス２７とを備える。

　マイクロコンピュータ１１の各種機能は、第１コア２１および第２コア２２が非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、ＲＯＭ２３が、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。

　なお、第１コア２１および第２コア２２が実行する機能の一部または全部を、一つあるいは複数のＩＣ等によりハードウェア的に構成してもよい。

　フラッシュメモリ２５は、データ書き換え可能な不揮発性メモリである。フラッシュメモリ２５は、後述する標準化車両データを格納する標準化車両データ格納部２５ａを備える。

　入出力部２６は、マイクロコンピュータ１１の外部と第１コア２１および第２コア２２との間でデータの入出力を行わせるための回路である。

　バス２７は、第１コア２１、第２コア２２、ＲＯＭ２３、ＲＡＭ２４、フラッシュメモリ２５および入出力部２６を、互いにデータ入出力可能に接続する。

　車両Ｉ／Ｆ１２は、車両に搭載された電子制御装置およびセンサ等との間で信号の入出力を行わせるための入出力回路である。

　車両Ｉ／Ｆ１２は、電源電圧入力ポート、汎用入出力ポート、ＣＡＮ通信ポートおよびイーサネット通信ポートなどを備える。ＣＡＮ通信ポートは、ＣＡＮ通信プロトコルに従ってデータの送受信を行うためのポートである。イーサネット通信ポートは、イーサネット通信プロトコルに基づいてデータの送受信を行うためのポートである。ＣＡＮは、Controller Area Networkの略である。ＣＡＮは登録商標である。イーサネットは登録商標である。

　ＣＡＮ通信ポートおよびイーサネット通信ポートには、車両に搭載された他の電子制御装置が接続される。エッジ装置２は、他の電子制御装置との間で通信フレームの送受信を行うことができる。

　通信部１３は、広域無線通信網ＮＷを介して、管理センター３とデータ通信を行う。

　記憶部１４は、各種データを記憶するための記憶装置である。

　図３６に示すように、車両には、一つのＥＣＵ２１０と、複数のＥＣＵ２２０と、複数のＥＣＵ２３０と、車外通信装置２４０と、車内通信網２５０とが搭載される。ＥＣＵは、Electronic Control Unitの略である。

　ＥＣＵ２１０は、複数のＥＣＵ２２０を統括することにより、車両全体として連携がとれた制御を実現する。

　ＥＣＵ２２０は、車両における機能によって区分けしたドメイン毎に設けられ、主として、そのドメイン内に存在する複数のＥＣＵ２３０の制御を実行する。各ＥＣＵ２２０は、それぞれ個別に設けられた下層ネットワーク（例えば、ＣＡＮ）を介して配下のＥＣＵ２３０と接続される。ＥＣＵ２２０は、配下のＥＣＵ２３０に対するアクセス権限などを一元的に管理し利用者の認証等を行う機能を有する。ドメインは、例えば、パワートレーン、ボデー、シャシおよびコックピット等である。

　パワートレーンのドメインに属するＥＣＵ２２０に接続されるＥＣＵ２３０は、例えば、エンジンを制御するＥＣＵ２３０、モータを制御するＥＣＵ２３０、および、バッテリを制御するＥＣＵ２３０等を含む。

　ボデーのドメインに属するＥＣＵ２２０に接続されるＥＣＵ２３０は、例えば、エアコンを制御するＥＣＵ２３０、および、ドアを制御するＥＣＵ２３０等を含む。

　シャシドメインに属するＥＣＵ２２０に接続されるＥＣＵ２３０は、例えば、ブレーキを制御するＥＣＵ２３０、および、ステアリングを制御するＥＣＵ２３０等を含む。

　コックピットのドメインに属するＥＣＵ２２０に接続されるＥＣＵ２３０は、例えば、メータおよびナビゲーションの表示を制御するＥＣＵ２３０、および、車両の乗員によって操作される入力装置を制御するＥＣＵ２３０等を含む。

　車外通信装置２４０は、広域無線通信網ＮＷを介して、車両外の通信装置（例えば、クラウドサーバ）との間でデータ通信を行う。

　車内通信網２５０は、ＣＡＮ　ＦＤとイーサネットとを備える。ＣＡＮ　ＦＤは、CAN with Flexible Data Rateの略である。ＣＡＮ　ＦＤは、ＥＣＵ２１０と各ＥＣＵ２２０および車外通信装置２４０とをバス接続する。イーサネットは、ＥＣＵ２１０と各ＥＣＵ２２０および車外通信装置２４０との間を個別に接続する。

　ＥＣＵ２１０は、ＣＰＵ２１０ａ、ＲＯＭ２１０ｂおよびＲＡＭ２１０ｃ等を備えたマイクロコンピュータを中心に構成された電子制御装置である。マイクロコンピュータの各種機能は、ＣＰＵ２１０ａが非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、ＲＯＭ２１０ｂが、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。なお、ＣＰＵ２１０ａが実行する機能の一部または全部を、一つあるいは複数のＩＣ等によりハードウェア的に構成してもよい。また、ＥＣＵ２１０を構成するマイクロコンピュータの数は１つでも複数でもよい。

　ＥＣＵ２２０、ＥＣＵ２３０および車外通信装置２４０は、いずれも、ＥＣＵ２１０と同様に、ＣＰＵ、ＲＯＭおよびＲＡＭ等を備えたマイクロコンピュータを中心に構成された電子制御装置である。また、ＥＣＵ２２０、ＥＣＵ２３０および車外通信装置２４０を構成するマイクロコンピュータの数は１つでも複数でもよい。ＥＣＵ２２０は、１以上のＥＣＵ２３０を統括するＥＣＵであり、ＥＣＵ２１０は、１以上のＥＣＵ２２０を統括する、または車外通信装置２４０を含む車両全体のＥＣＵ２２０，２３０を統括するＥＣＵである。

　エッジ装置２は、ＥＣＵ２１０との間でデータ通信可能となるようにＥＣＵ２１０に接続される。すなわち、エッジ装置２は、ＥＣＵ２１０を介して、ＥＣＵ２１０，２２０，２３０の情報を受信する。またエッジ装置２は、車両制御に関する要求を、ＥＣＵ２１０へ送信したり、ＥＣＵ２１０を介してＥＣＵ２２０，２３０へ送信したりする。

　［２－２．機能構成］
　エッジ装置２は、ＲＯＭ２３に格納されたプログラムを第１コア２１が実行することにより実現される機能ブロックとして、図３に示すように、第１ユニット１０１を備える。エッジ装置２は、ＲＯＭ２３に格納されたプログラムを第２コア２２が実行することにより実現される機能ブロックとして、第２ユニット１０２を備える。

　第１ユニット１０１は、リアルタイムオペレーティングシステム（以下、ＲＴＯＳ）１０３と、第１アプリケーション１０４とを備える。

　第１アプリケーション１０４は、車両を制御するための各種処理を実行する。第１アプリケーション１０４は、車両を制御するための各種処理を実行するために、フラッシュメモリ２５の標準化車両データ格納部２５ａにアクセスして標準化車両データを参照することが可能に構成されている。

　ＲＴＯＳ１０３は、第１アプリケーション１０４による処理のリアルタイム性を確保することができるように、第１アプリケーション１０４を管理する。

　第２ユニット１０２は、汎用オペレーティングシステム（以下、ＧＰＯＳ）１０５と、第２アプリケーション１０６とを備える。

　第２アプリケーション１０６は、サービス提供サーバ４により提供されるサービスに関連した処理を実行する。第２アプリケーション１０６は、サービスに関連した処理を実行するために、フラッシュメモリ２５の標準化車両データ格納部２５ａにアクセスして標準化車両データを参照することが可能に構成されている。

　ＧＰＯＳ１０５は、各種アプリケーションを動作させるためにエッジ装置２に搭載された基本ソフトウェアであり、第２アプリケーション１０６を管理する。

　［２－３．データ収集処理］
　エッジ装置２が車両データを収集して自発的に管理センター３に送信する一連の処理について説明する。

　まず、車両Ｉ／Ｆ１２が実行する処理を説明する。

　車両Ｉ／Ｆ１２は、通信フレームを受信すると、通信フレームを受信した通信ポートに基づいて、通信フレームの通信プロトコルを判定する。具体的には、車両Ｉ／Ｆ１２は、例えば、ＣＡＮ通信ポートで通信フレームを受信した場合には、受信した通信フレームの通信プロトコルはＣＡＮ通信プロトコルであると判定する。また車両Ｉ／Ｆ１２は、例えば、イーサネット通信ポートで通信フレームを受信した場合には、受信した通信フレームの通信プロトコルはイーサネット通信プロトコルであると判定する。

　そして車両Ｉ／Ｆ１２は、通信フレームの識別情報に基づいて、エッジ装置２での処理対象となる通信フレームであるか否かを判定し、処理対象となる通信フレームであると判定した場合に、受信した通信フレームを第１ユニット１０１へ出力する。

　ＣＡＮフレームは、図４に示すように、スタートオブフレーム、アービトレーションフィールド、コントロールフィールド、データフィールド、ＣＲＣフィールド、ＡＣＫフィールドおよびエンドオブフレームにより構成されている。なお、アービトレーションフィールドは、１１ビットまたは２９ビットのアイデンティファイア（すなわち、ＩＤ）と１ビットのＲＴＲビットで構成される。

　また、ＣＡＮ通信で使用する１１ビットのアイデンティファイアをＣＡＮＩＤという。ＣＡＮＩＤは、ＣＡＮフレームに含まれるデータの内容、ＣＡＮフレームの送信元、およびＣＡＮフレームの送信先等に基づいて予め設定されている。

　データフィールドは、それぞれ８ビット（すなわち１バイト）の第１データ、第２データ、第３データ、第４データ、第５データ、第６データ、第７データおよび第８データで構成される。以下、データフィールドの第１～８データのそれぞれをＣＡＮデータともいう。

　このため、車両Ｉ／Ｆ１２は、ＣＡＮフレームを受信した場合には、ＣＡＮＩＤに基づいて、処理対象であるか否かを判定する。

　次に、第１ユニット１０１が実行する処理を説明する。

　第１ユニット１０１は、車両Ｉ／Ｆ１２から出力された通信フレームを取得すると、通信フレームから、識別情報とデータとを抽出し、識別情報とデータとで構成される標準フォーマットデータを作成する。第１ユニット１０１は、作成した標準フォーマットデータをフラッシュメモリ２５に記憶する。例えば、第１ユニット１０１は、ＣＡＮフレームを取得した場合には、ＣＡＮＩＤと第１～８データとで構成される標準フォーマットデータを作成する。

　なお、第１ユニット１０１は、作成した標準フォーマットデータと同一の識別情報を含む標準フォーマットデータが既にフラッシュメモリ２５に記憶されている場合、その標準フォーマットデータに上書きすることによって、標準フォーマットデータを更新する。

　次に、第２ユニット１０２が実行する処理を説明する。

　第２コア２２は、標準フォーマットデータをフラッシュメモリ２５から取得する。

　そして第２コア２２は、取得した標準フォーマットデータに含まれるデータを分割する。例えば、ＣＡＮフレームから生成された標準フォーマットデータは、ＣＡＮＩＤと、第１～８データとで構成されているため、第２コア２２は、第１～８データを１バイト毎に分割し、８つのＣＡＮデータを抽出する。なお、第１ユニット１０１および第２ユニット１０２による標準フォーマットデータの書込みおよび読出しは、フラッシュメモリ２５でなくＲＡＭ２４を用いても良い。

　さらに第２コア２２は、ＲＯＭ２３に格納された車両データ変換テーブル２３ａを参照して、分割された各抽出データを、制御ラベルおよび車両データに変換する。

　車両データ変換テーブル２３ａは、正規化情報と、意味化情報とを備える。

　正規化情報は、車種および車両製造企業に関わらず同一の物理量が同一の値になるように抽出データを正規化するための情報である。

　意味化情報とは、正規化された車両データを用いて、意味のある車両データに変換するための情報である。以下では、正規化および意味化された車両データを加工データ、正規化および意味化される前の車両データをローデータともいう。ローデータは、例えばＣＡＮフレームのデータフィールドで示されるデータを指す。

　車両データ変換テーブル２３ａの正規化情報は、図５に示すように、設定項目として、例えば「ＣＡＮＩＤ」、「ＥＣＵ」、「ポジション」、「ＤＬＣ」、「ユニークラベル」、「解像度」、「オフセット」および「単位」を備える。

　「ＥＣＵ」は、ＣＡＮフレームの送信元のＥＣＵを示す情報である。例えば、「ＥＮＧ」は、エンジンＥＣＵであることを示す。

　「ポジション」は、データフィールド内におけるＣＡＮデータの位置を示す情報である。「ＤＬＣ」は、データ長を示す情報である。ＤＬＣは、Data Length Codeの略である。

　「ユニークラベル」は、制御ラベルを示す情報である。例えば、「ＥＴＨＡ」は吸気温を示し、「ＮＥ１」はエンジン回転数を示す。「解像度」は、１ビット当たりの数値を示す情報である。

　したがって、「ＣＡＮＩＤ」、「ＥＣＵ」、「ポジション」、「ＤＬＣ」および「ユニークラベル」によって、標準フォーマットデータから、「ユニークラベル」に対応するデータが抽出される。さらに抽出データは、「解像度」および「オフセット」により、「単位」で表される値に換算された、車両データに変換される。

　また、車両データ変換テーブル２３ａの意味化情報は、例えば、図５に示すように、制御ラベルが「ＳＳＡ」である「操舵移動角度」から、制御ラベルが「ＳＳＡＺ」である「操舵ゼロ点」を減算することにより「操舵角」に変換する変換式を含む。この変換式により、「操舵移動角度」を表す車両データと、「操舵ゼロ点」を表す車両データとから、「基準位置からの操舵量」という意味を有する「操舵角」を表す車両データに変換される。

　第２コア２２は、変換された車両データを階層化してフラッシュメモリ２５に記憶する。具体的には、第２コア２２は、変換された車両データを、フラッシュメモリ２５に設けられた標準化車両データ格納部２５ａの対応領域に格納する。

　標準化車両データ格納部２５ａは、車両データを階層化して構成される標準化車両データを格納する。

　標準化車両データは、車両毎（すなわち、エッジ装置２毎）に作成され、複数の階層構造を有している。標準化車両データでは、複数の階層のそれぞれに対して、１または複数の項目が設定されている。例えば、図６に示すように、標準化車両データは、最上位の第１階層に設定される項目として、「属性情報」、「パワトレ」、「エネルギー」、「ＡＤＡＳ／ＡＤ」、「ボデー」、「マルチメディア」および「その他」を備える。ＡＤＡＳは、Advanced Driver Assistance Systemの略である。ＡＤは、Autonomous Drivingの略である。「属性情報」、「パワトレ」および「エネルギー」等はカテゴリに相当する。

　また各車両データは、項目として、「ユニークラベル」、「ＥＣＵ」、「データ型」、「データサイズ」、「データ値」および「データ単位」を備える。「ユニークラベル」および「ＥＣＵ」は、前述の通りである。「データ型」、「データサイズ」および「データ単位」は、「データ値」で示される数値に関する型、サイズ、単位を示す。

　図７に示すように、標準化車両データは、第１階層に加えて、少なくとも第２階層および第３階層を備える。第２階層は第１階層の直下の階層であり、第３階層は第２階層の直下の階層である。標準化車両データは、前述した正規化および意味化の処理において設定された項目である。標準化車両データは、階層化されたデータ構造を有する。

　例えば、第１階層の項目である「属性情報」は、第２階層の項目として、「車両識別情報」、「車両属性」、「トランスミッション構成」および「ファームウェアバージョン」等を備える。「車両識別情報」は、車両を一意に識別できる情報を示すカテゴリ名である。「車両属性」は、車両の種類を示すカテゴリ名である。「トランスミッション構成」は、トランスミッションに関する情報を示すカテゴリ名である。「ファームウェアバージョン」は、車両のファームウェアに関する情報を示すカテゴリ名である。

　また、第１階層の項目である「パワトレ」は、パワートレーンに関する情報を示すカテゴリ名である。「パワトレ」は、第２階層の項目として、「アクセルペダル」、「エンジン」および「エンジンオイル」等を備える。「アクセルペダル」には、アクセルペダルの状態、開度など１以上の車両データが含まれる。「エンジン」には、エンジンの状態、回転数など１以上の個々の車両データが含まれる。第２階層の項目もカテゴリに相当する。他の第１階層の項目についても同様である。

　また、第１階層の項目である「エネルギー」は、エネルギーに関する情報を示すカテゴリ名である。「エネルギー」は、第２階層の項目として、「バッテリ状態」、「バッテリ構成」および「燃料」等を備える。

　また、第２階層の項目である「車両識別情報」は、第３階層の項目として、「車両識別番号」、「車体番号」および「ナンバープレート」を備える。第３階層の項目は、１以上の個々の車両データであり、アイテムとも言う。つまり、標準化車両データの階層構造において、最下層の項目をアイテム、最下層以外の項目（すなわち、下位階層を有する項目）をカテゴリという。

　また、第２階層の項目である「車両属性」は、第３階層の項目として、「ブランド名」、「モデル」および「製造年」等を備える。

　また、第２階層の項目である「トランスミッション構成」は、第３階層の項目として、「トランスミッション種別」を備える。

　例えば、第２コア２２は、変換された車両データの制御ラベルが「車両識別情報」である場合には、標準化車両データ格納部２５ａにおいて第１階層が「属性情報」であり且つ第２階層が「車両識別情報」であり且つ第３階層が「車両識別番号」である格納領域に、変換された車両データを格納する。

　「その他」には、例えば、車両に搭載されたＧＰＳ装置から車両Ｉ／Ｆ１２を介して取得される位置情報、すなわち、緯度、経度、高度が含まれてもよい。

　次に、図８に示すシーケンス図を用いて、エッジ装置２が標準化車両データを作成する手順を説明する。

　矢印Ｌ１１で示すように、車両Ｉ／Ｆ１２が車両から車両データを取得すると、車両Ｉ／Ｆ１２は、矢印Ｌ１２で示すように、通信プロトコル判定を行う。さらに車両Ｉ／Ｆ１２は、矢印Ｌ１３で示すように不要な車両データをフィルタリングし、矢印Ｌ１４で示すように、必要な車両データを第１ユニット１０１へ出力する。

　第１ユニット１０１は、車両Ｉ／Ｆ１２から車両データを取得すると、矢印Ｌ１５で示すように、車両データを標準フォーマットに変換し、矢印Ｌ１６で示すように、標準フォーマットに変換された車両データをフラッシュメモリ２５に記憶する。

　第２ユニット１０２は、矢印Ｌ１７で示すように、標準フォーマットに変換された車両データをフラッシュメモリ２５から取得すると、矢印Ｌ１８で示すように、取得した車両データを変換する。さらに第２ユニット１０２は、矢印Ｌ１９で示すように、変換したデータを構造化して標準化車両データを作成する。

　次に、エッジ装置２が実行するデータ送信処理の手順を説明する。

　標準化車両データに属する各車両データには、管理センター３にデータを送信するタイミングを表すタイミング情報が、それぞれ設定される。タイミング情報は、データが変化する度合いやデータの重要度等に応じて、頻繁に変化するデータほど、重要度が高いデータほど周期が短くなるように設定される。タイミング情報は、例えば、５００ｍｓ周期、２ｓ周期、４ｓ周期、３０ｓ周期、３００ｓ周期、１２時間周期等である。

　第２コア２２は、送信単位時間（例えば２５０ｍｓ）周期で送信処理を実行する。

　図９に示すように、５００ｍｓ周期で送信する車両データである第１頻度データを、２グループに分けて、送信タイミング毎に交互に送信する。同様に、１ｓ周期で送信する車両データである第２頻度データを、２グループまたは４グループに分けて各グループのデータを異なる送信タイミング送信する。つまり、各車両データを、あらかじめ設定された送信スケジュールに従って送信することにより、同じ送信タイミングに多くの車両データの送信が集中することを抑制する。また、各車両データを、その特性に応じた頻度で送信することにより、効率の良い送信を実現する。

　［３．管理センター］
　［３―１．装置構成］
　管理センター３は、図１０に示すように、制御部３１と、通信部３２と、記憶部３３とを備える。

　制御部３１は、ＣＰＵ４１、ＲＯＭ４２およびＲＡＭ４３等を備えたマイクロコンピュータを中心に構成された電子制御装置である。マイクロコンピュータの各種機能は、ＣＰＵ４１が非遷移的実体的記録媒体に格納されたプログラムを実行することにより実現される。この例では、ＲＯＭ４２が、プログラムを格納した非遷移的実体的記録媒体に該当する。また、このプログラムの実行により、プログラムに対応する方法が実行される。なお、ＣＰＵ４１が実行する機能の一部または全部を、一つあるいは複数のＩＣ等によりハードウェア的に構成してもよい。また、制御部３１を構成するマイクロコンピュータの数は１つでも複数でもよい。

　通信部３２は、広域無線通信網ＮＷを介して、複数のエッジ装置２およびサービス提供サーバ４との間でデータ通信を行う。なお、エッジ装置２との通信には、パブリッシュ／サブスクライブ型のシンプルで軽量なプロトコルであるＭＱＴＴが用いられる。ＭＱＴＴは、Message Queue Telemetry Transportの略である。

　記憶部３３は、各種データを記憶するための記憶装置である。

　［３－２．機能構成］
　管理センター３は、ＲＯＭ４２に格納されたプログラムをＣＰＵ４１が実行することにより実現される機能ブロックとして、図１１に示すように、車両側ユニット１１０と、サービス側ユニット１２０とを備える。車両へのアクセスに近い側の機能ブロックが車両側ユニット１１０であり、サービス提供サーバ４からのアクセスに近い側の機能ブロックがサービス側ユニット１２０である。これら２つの機能ブロックは、疎結合に構成される。

　管理センター３を構成するこれらの要素を実現する手法はソフトウェアに限るものではなく、その一部または全部の要素について、一つあるいは複数のハードウェアを用いて実現してもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は多数の論理回路を含むデジタル回路、またはアナログ回路、あるいはこれらの組合せによって実現してもよい。

　車両側ユニット１１０は、車両へのアクセスおよび車両から受信したデータを管理する機能を有する。車両側ユニット１１０は、モビリティゲートウェイ（以下、モビリティＧＷ）１１１を備える。モビリティＧＷ１１１は、車両へのアクセス要求を車両へ中継する機能の他、車両から受信したデータを管理する機能を有する。

　モビリティＧＷ１１１は、シャドウ管理部１１２と、車両制御部１３０とを備える。シャドウ管理部１１２は、エッジ装置２を搭載する車両毎に設けられた車両データを収容するシャドウ１１４を管理する機能を備える。シャドウ１１４は、ある車両の車両データ群を示す。シャドウ１１４は、エッジ装置２から送信される標準化車両データに基づいて生成される。車両制御部１３０は、サービス提供サーバ４からの指示に従って、エッジ装置２を介して、該エッジ装置２を搭載している車両を制御する機能を備える。

　サービス側ユニット１２０は、サービス提供サーバ４からの要求を受け付けるとともに、車両データの提供を行う。サービス側ユニット１２０は、データ管理部１２１と、ＡＰＩ提供部１２２とを備える。ＡＰＩは、Application Programming Interfaceの略である。

　データ管理部１２１は、車両の接続状態の変化に依存しない車両アクセスを提供するための仮想空間であるデジタルツイン１２３を管理する機能を備える。データ管理部１２１は、車両側ユニット１１０で管理する車両データへのアクセスに必要なデータを管理する。

　ＡＰＩ提供部１２２は、サービス提供サーバ４がモビリティＧＷ１１１およびデータ管理部１２１へアクセスするための標準インタフェースである。ＡＰＩ提供部１２２は、サービス提供サーバ４に対し、車両へのアクセスや車両データを取得するためのＡＰＩを提供する。

　［３－２－１．データ蓄積機能］
　図１２に示すように、シャドウ管理部１１２は、エッジ装置２から取得した車両データを蓄積する機能を実現する構成として、シャドウ作成部１１５と、シャドウ記憶部１１３と、最新インデックス作成部１１６と、最新インデックス記憶部１１７とを備える。

　シャドウ作成部１１５は、エッジ装置２から構造化された標準化車両データを受信する。　シャドウ作成部１１５は、エッジ装置２から車両データが送信される毎に、送信された車両データを、構造化された標準化車両データの該当領域に上書きすることにより、標準化車両データを更新する。シャドウ作成部１１５は、構造化された標準化車両データの一部を受信してもよい。シャドウ作成部１１５は、更新された標準化車両データを用いて、新たなシャドウ１１４を作成する。シャドウ作成部１１５は、作成したシャドウ１１４をシャドウ記憶部１１３に蓄積する。シャドウ作成部１１５は、更新された標準化車両データを用いて新たなシャドウ１１４を作成する際、通し番号など任意の情報を付与してシャドウ記憶部１１３に記憶してもよい。シャドウ記憶部１１３には、車両毎に、時系列的に作成された複数のシャドウ１１４が記憶される。つまり、シャドウ１１４は、エッジ装置２を搭載した車両のある時刻における状態をコピーしたものとみなすことができる。

　一つのシャドウ１１４は、ある車両の所定時刻の車両データ群であり、図１３に示す標準化されたデータ構造で表される車両データ群を含む。なお、シャドウ作成部１１５が、通信部３２を介して、構造化された標準化車両データを受信するタイミングは、車両によって異なる。新たなシャドウ１１４の作成は、全ての車両に対して同じタイミングで行ってもよい。シャドウ作成部１１５は、新たなシャドウ１１４の作成を、全ての車両に対して一定周期で行ってもよい。シャドウ記憶部１１３には、車両毎に、過去のシャドウ１１４が蓄積されている。一定期間経過したシャドウ１１４は順次削除されてもよい。

　図１３に示すように、シャドウ１１４は、車両データ格納部１１４ａと、デバイスデータ格納部１１４ｂとを備える。

　車両データ格納部１１４ａは、エッジ装置２を搭載している車両に関するデータとして、「ｏｂｊｅｃｔ－ｉｄ」、「Ｓｈａｄｏｗ＿ｖｅｒｓｉｏｎ」および「ｍｏｂｉｌｉｔｙ－ｄａｔａ」を格納する。

　「ｏｂｊｅｃｔ－ｉｄ」は、エッジ装置２を搭載している車両を識別する文字列であり、パーティションキーとして機能する。

　「Ｓｈａｄｏｗ＿ｖｅｒｓｉｏｎ」は、シャドウ１１４のバージョンを示す数値であり、シャドウ１１４が作成される毎に、作成された時刻を示すタイムスタンプが設定される。

　「ｍｏｂｉｌｉｔｙ－ｄａｔａ」は、上記の標準化車両データである。

　デバイスデータ格納部１１４ｂは、エッジ装置２に搭載されているハードウェア、ソフトウェア、および状態に関するデータとして、「ｏｂｊｅｃｔ－ｉｄ」、「ｕｐｄａｔｅ＿ｔｉｍｅ」、「ｖｅｒｓｉｏｎ」、「ｐｏｗｅｒ＿ｓｔａｔｕｓ」、「ｐｏｗｅｒ＿ｓｔａｔｕｓ＿ｔｉｍｅｓｔａｍｐ」、「ｎｏｔｉｆｙ＿ｒｅａｓｏｎ」を格納する。

　「ｏｂｊｅｃｔ－ｉｄ」は、車両データ格納部１１４ａにて説明したものと同じである。

　「ｕｐｄａｔｅ＿ｔｉｍｅ」は、更新時刻を示す数値である。

　「ｖｅｒｓｉｏｎ」は、エッジ装置２のハードウェアおよびソフトウェアのバージョンを示す文字列である。

　「ｐｏｗｅｒ＿ｓｔａｔｕｓ」は、エッジ装置２のシステム状態を示す文字列である。具体的には、全ての機能を利用可能な「電源オン」状態、一部の機能を停止した低消費電力の「電源オフ」状態がある。

　「ｐｏｗｅｒ＿ｓｔａｔｕｓ＿ｔｉｍｅｓｔａｍｐ」は、システム状態の通知時刻を示す数値である。

　「ｎｏｔｉｆｙ＿ｒｅａｓｏｎ」は、通知理由を示す文字列である。

　このようにシャドウ１１４は、車両データ群に加え、エッジ装置２の情報を含む。なお、デバイスデータ格納部１１４ｂは、エッジ装置２の情報をシャドウ１１４に含めず別でＲＯＭ４２等に記憶してもよい。デバイスデータ格納部１１４ｂは、エッジ装置２の情報を、タイムスタンプ毎に過去のデータを蓄積するのではなく、最新のデータのみをＲＯＭ４２等に記憶してもよい。

　上記デバイスデータ格納部１１４ｂに格納される「ｖｅｒｓｉｏｎ」「ｐｏｗｅｒ＿ｓｔａｔｕｓ」「ｎｏｔｉｆｙ＿ｒｅａｓｏｎ」等は、上記の標準化車両データとは別で、変化が生じたときにエッジ装置２から通知される。

　最新インデックス作成部１１６は、シャドウ記憶部１１３から車両毎に最新のシャドウ１１４を取得し、取得したシャドウ１１４を用いて最新インデックス１１８を作成する。そして最新インデックス作成部１１６は、作成した最新インデックス１１８を最新インデックス記憶部１１７に記憶する。最新インデックス記憶部１１７には、車両毎（すなわち、ｏｂｊｅｃｔ－ｉｄ毎）に１つの最新インデックス１１８が記憶される。

　図１４に示すように、最新インデックス１１８は、「ｇａｔｅｗａｙ－ｉｄ」、「ｏｂｊｅｃｔ－ｉｄ」、「ｓｈａｄｏｗ－ｖｅｒｓｉｏｎ」、「ｖｉｎ」、「ｌｏｃａｔｉｏｎ－ｌｏｎ」、「ｌｏｃａｔｉｏｎ－ｌａｔ」および「ｌｏｃａｔｉｏｎ－ａｌｔ」を格納する。

　「ｏｂｊｅｃｔ－ｉｄ」、「ｓｈａｄｏｗ－ｖｅｒｓｉｏｎ」は、シャドウ１１４にて説明したものと同様である。

　「ｇａｔｅｗａｙ－ｉｄ」は、モビリティＧＷ１１１を識別する情報である。管理センター３が、例えば、国別に設けられる等して複数存在する場合に、これらを識別する情報である。

　「ｖｉｎ」は、エッジ装置２を搭載している車両固有の登録番号である。

　「ｌｏｃａｔｉｏｎ－ｌｏｎ」は、エッジ装置２を搭載している車両が存在する緯度を示す情報である。

　「ｌｏｃａｔｉｏｎ－ｌａｔ」は、エッジ装置２を搭載している車両が存在する経度を示す情報である。

　「ｌｏｃａｔｉｏｎ－ａｌｔ」は、エッジ装置２を搭載している車両が存在する高度を示す情報である。

　図１２に示すように、データ管理部１２１は、シャドウ管理部１１２から取得された最新インデックス１１８をインデックス１２６として蓄積する機能を実現する構成として、インデックス作成部１２４と、インデックス記憶部１２５とを備える。

　インデックス作成部１２４は、最新インデックス記憶部１１７から予め設定された取得スケジュールに従って最新インデックス１１８を取得し、取得した最新インデックス１１８を用いてデジタルツイン１２３用のインデックス１２６を作成する。そしてインデックス作成部１２４は、作成したインデックス１２６をインデックス記憶部１２５に順次記憶する。インデックス記憶部１２５には、車両毎に、時系列的に作成された複数のインデックス１２６が記憶される。つまり、インデックス記憶部１２５に記憶されたインデックス１２６のそれぞれが、仮想的な時空間であるデジタルツイン１２３上に存在する車両を表す。

　図１５に示すように、インデックス１２６は、「ｔｉｍｅｓｔａｍｐ」、「ｓｃｈｅｄｕｌｅ－ｔｙｐｅ」、「ｇａｔｅｗａｙ－ｉｄ」、「ｏｂｊｅｃｔ－ｉｄ」、「ｓｈａｄｏｗ－ｖｅｒｓｉｏｎ」、「ｖｉｎ」、「ｌｏｃａｔｉｏｎ」および「ａｌｔ」を格納する。

　「ｔｉｍｅｓｔａｍｐ」は、インデックス１２６が作成された時刻をミリ秒単位で示すタイムスタンプである。

　「ｓｃｈｅｄｕｌｅ－ｔｙｐｅ」は、データ作成元のスケジューラが定期であるかイベントであるかを示す。定期である場合には「ｓｃｈｅｄｕｌｅ－ｔｙｐｅ」は「Ｒｅｐｅａｔ」に設定され、イベントである場合には「ｓｃｈｅｄｕｌｅ－ｔｙｐｅ」は「Ｅｖｅｎｔ」に設定される。

　「ｇａｔｅｗａｙ－ｉｄ」、「ｏｂｊｅｃｔ－ｉｄ」「ｓｈａｄｏｗ－ｖｅｒｓｉｏｎ」、「ｖｉｎ」は、最新インデックス１１８から引き継いだ情報である。

　「ｌｏｃａｔｉｏｎ」は、最新インデックス１１８の「ｌｏｃａｔｉｏｎ－ｌｏｎ」、「ｌｏｃａｔｉｏｎ－ｌａｔ」から引き継いだ情報であり、「ａｌｔ」は、最新インデックス１１８の「ｌｏｃａｔｉｏｎ－ａｌｔ」から引き継いだ情報である。

　ここで、シャドウ管理部１１２は、最新インデックス作成部１１６および最新インデックス記憶部１１７を省略した構成としてもよい。この場合、インデックス作成部１２４は、シャドウ記憶部１１３に記憶されているシャドウ１１４を取得してインデックス１２６を生成してもよい。望ましくは、インデックス作成部１２４は、最新インデックス記憶部１１７から取得した最新インデックス１１８を用いてインデックス１２６を生成する。これは、モビリティＧＷ１１１とデータ管理部１２１とを疎結合とする構成の一つである。

　さらに、データ管理部１２１は、インデックス作成部１２４およびインデックス記憶部１２５を省略した構成としてもよい。この場合、例えば、インデックス取得部１２７は、ＡＰＩ提供部１２２を介して指定されたｏｂｊｅｃｔ－ｉｄとタイムスタンプ（すなわち、ｓｈａｄｏｗ－ｖｅｒｓｉｏｎ）を用いて、データ取得部１１９に指定された車両データの取得を要求してもよい。

　［３－２－２．サービス提供機能］
　図５および図１２に示すように、サービス側ユニット１２０は、ＡＰＩ提供部１２２を備える。ＡＰＩ提供部１２２は、管理センター３が有する機能を、サービス提供サーバ４等の外部のサービス提供者に利用させるために用意されたインタフェースである。以下では、ＡＰＩ提供部１２２等を利用するモビリティＩｏＴシステム１のユーザをサービスユーザという。サービスユーザは、例えば車両トランクへの宅配を行うサービス事業者である。

　ＡＰＩ提供部１２２は、図１２に示すように、認証情報記憶部１４１と、認可情報記憶部１４２と、車両識別情報記憶部１４３と、認証処理部１４４とを備える。また、サービスユーザに提供するＡＰＩの種類として、ログインＡＰＩ１４５と、データ取得ＡＰＩ１４６と、車両制御ＡＰＩ１４８とを備える。

　ログインＡＰＩ１４５は、サービスユーザの認証を行うために提供されるＡＰＩである。データ取得ＡＰＩ１４６は、サービスユーザがデータを取得するために提供されるＡＰＩである。車両制御ＡＰＩ１４８は、サービスユーザが車両に対する制御を行うために提供されるＡＰＩである。

　認証情報記憶部１４１は、「サービスユーザＩＤ」に対応づけて「認証情報」を記憶する。「サービスユーザＩＤ」は、サービスユーザを一意に識別する識別情報である。「認証情報」は、サービスユーザ本人であることを認証するための情報であり、例えば、あらかじめ設定されたパスワードである。

　認可情報記憶部１４２は、認可オブジェクトデータベース（以下、認可オブジェクトＤＢ）と、認可クラスＤＢとを備える。

　図１６に示すように、認可オブジェクトＤＢは、「サービスユーザＩＤ」に対応づけて、「認可クラス」「認可オブジェクト」「有効期限」を記憶する。「認可クラス」は、サービスユーザに対して認可された権限の範囲を表す情報である。「認可オブジェクト」は、サービスユーザによるアクセスが許可された車両の「ｏｂｊｅｃｔ－ｉｄ」のリストである。「有効期限」は、登録内容が有効な期間の開始年月日および終了年月日である。つまり、認可オブジェクトＤＢは、モビリティＩｏＴシステム１に対する各サービスユーザの権限についての登録内容を示すデータベースである。認可オブジェクトＤＢには、「認可オブジェクト」が異なっているか、または、「有効期限」が重複していなければ、１のサービスユーザについて複数の登録がされてもよい。

　図１７に示すように、認可クラスＤＢは、「認可クラス」に対応づけて「ＡＰＩ情報」「取得権限」「有効期限」を記憶する。認可クラスＤＢは、「認可クラス」の具体的な内容を表すデータベースである。

　「認可クラス」は、認可を与えるデータ範囲を表す複数のクラスを識別する情報であり、例えば、認可クラスの低い順に「ｏｐｅｎ」「Ｃｌａｓｓ０」「ｃｌａｓ１」「ｃｌａｓｓ２」「ｃｌａｓｓ３」「Ｆｕｌｌ」の６クラスが存在してもよい。「認可クラス」は、データに対し読み出しや書き込みができるデータ範囲のクラス分けに限定されず、動作を制御できる動作制御範囲のクラス分け等であってもよい。

　「ＡＰＩ情報」は、対応する「認可クラス」のサービスユーザに提供するＡＰＩのｕｒｌである。ｕｒｌは、Uniform Resource Locatorの略である。

　「取得権限」は、対応する「認可クラス」のサービスユーザに対して許可された取得可能なデータのリストである。認可クラスが「ｏｐｅｎ」である場合、「取得権限」に含まれるデータは、誰もが自由にアクセスできる情報に限られ、例えば、車両の位置情報、高度情報が含まれてもよい。認可クラスが「Ｆｕｌｌ」である場合、「取得権限」に含まれるデータは、管理センター３が管理する全ての情報、およびエッジ装置２を搭載する車両から取得可能な全ての情報が含まれる。認可クラスが「Ｃｌａｓｓ０」～「Ｃｌａｓｓ３」の場合、クラスが０～３に上がるに従って、アクセス可能なデータの数が増加するように設定されてもよいし、クラス毎に、アクセス可能なデータの種類が異なるように設定されてもよい。

　ここでは取得権限として、取得可能なデータが列挙されているが、取得可能なデータの代わりに、または、取得可能なデータに加えて、利用可能な機能、例えば、エッジ装置２を搭載した車両に対する制御の種類等が列挙されてもよい。取得可能なデータとしては、例えば図７に示すデータ項目の中から列挙される。

　「有効期限」が重複していなければ、１の「認可クラス」に複数の設定が存在してもよい。

　車両識別情報記憶部１４３は、エッジ装置２が搭載された車両に一意に割り当てられた「ｏｂｊｅｃｔ－ｉｄ」と、その車両の「ｖｉｎ」とを対応づけたテーブル情報を記憶する。

　認証処理部１４４は、ログインＡＰＩ１４５を介して認証要求が行われた場合に、認証処理を実行し、データ取得ＡＰＩ１４６および車両制御ＡＰＩ１４８を介してアクセス要求が行われた場合に、認可処理を実行する。認証処理および認可処理いついては後述する。

　ＡＰＩ提供部１２２を介したアクセス要求に関わる手順を、図１８を用いて説明する。

　ログインＡＰＩ１４５は、サービスユーザがモビリティＩｏＴシステム１にログインする際に用いられる。

　矢印Ｌ２１で示すように、ログインＡＰＩ１４５がサービスユーザからの認証要求を受け付けると、認証処理部１４４が認証処理を実行する。認証処理では、ログインＡＰＩ１４５により入力された「サービスユーザＩＤ」「認証情報」を、認証情報記憶部１４１の登録内容と照合する。照合の結果、情報が一致した場合、すなわち、認証に成功した場合は、矢印Ｌ２２で示すように、認証結果として、モビリティＩｏＴシステム１へのアクセスを許可する証明書となるデータであるトークンを返す。

　データ取得ＡＰＩ１４６は、図１１中のＬ１に示すように、管理センター３に蓄積された車両データ（すなわち、インデックス１２６およびシャドウ１１４）へのアクセスに用いるＡＰＩである。車両制御ＡＰＩ１４８は、図１１中のＬ２に示すように、エッジ装置２が搭載された車両へのアクセスに用いるＡＰＩである。

　以下では、データ取得ＡＰＩ１４６、および車両制御ＡＰＩ１４８を、総称してアクセスＡＰＩという。図１８中の矢印Ｌ２３で示すように、アクセスＡＰＩは、サービスユーザからのアクセス要求を受け付けると、認証処理部１４４が認可処理を実行する。

　認可処理が実行されると、認証処理部１４４は、アクセス要求に付加された「トークン」から「サービスユーザＩＤ」を特定する。次に、認証処理部１４４は、認可情報記憶部１４２の認可オブジェクトＤＢを検索することで、特定された「サービスユーザＩＤ」の「認可クラス」「認可オブヘクト」を特定する。更に、認証処理部１４４は、アクセス要求に示されたアクセス対象の車両が、「認可オブジェクト」に示されているか否か、すなわち、サービスユーザが指定した車両へのアクセスが許可されているか否かを判定する。また、認証処理部１４４は、認可クラスＤＢを参照して、アクセス要求に用いられたアクセスＡＰＩが、指定された「認可クラス」の「ＡＰＩ情報」に含まれるか否か、すなわち、サービスユーザが指定したＡＰＩの利用が許可されているか否かを判定する。また、認証処理部１４４は、認可クラスＤＢを参照して、アクセス要求に示された指示内容が、特定された「認可クラス」の「取得権限」の範囲内であるか否か、すなわち、サービスユーザが要求する指示内容に対しアクセスが許可されているか否かを判定する。そして、アクセス対象の車両が「認可オブジェクト」に示されていない場合、アクセスＡＰＩが「ＡＰＩ情報」に含まれない場合、または指示内容が「取得権限」の範囲外である場合、認証処理部１４４は不認可と判定する。不認可と判定した場合、認証処理部１４４は、矢印Ｌ２４で示すように、アクセスＡＰＩを介して、サービスユーザにアクセス拒否を通知する。アクセス対象の車両が「認可オブジェクト」に示され、かつ、アクセスＡＰＩが「ＡＰＩ情報」に含まれ、かつ、指示内容が「取得権限」の範囲内にある場合、認証処理部１４４は、認可と判定する。認可と判定した場合、認証処理部１４４は、矢印Ｌ２５で示すように、アクセス要求を、アクセス対象であるシャドウ１１４または実車両へ転送する。その後、矢印Ｌ２６で示すように、アクセス対象から返送されるアクセス結果は、アクセスＡＰＩを介して、サービスユーザに提供される。

　なお、アクセスＡＰＩでは、車両を特定する情報として、「ｏｂｊｅｃｔ－ｉｄ」および「ｖｉｎ」のいずれを用いてもよく、「ｖｉｎ」が用いられている場合は、車両識別情報記憶部１４３を参照し、「ｖｉｎ」を「ｏｂｊｅｃｔ－ｉｄ」に変換してもよい。

　図１２に示すように、管理センター３は、アクセスＡＰＩを介したアクセス要求を実現するための構成として、インデックス取得部１２７と、データ取得部１１９と、車両制御部１３０とを備える。インデックス取得部１２７は、インデックス記憶部１２５に蓄積されたインデックス１２６からデータを取得する機能を実現する。データ取得部１１９は、シャドウ記憶部１１３に蓄積されたシャドウ１１４からデータを取得する機能を実現する。車両制御部１３０は、エッジ装置２との通信機能を利用して、エッジ装置２を搭載する車両にアクセスする機能を実現する。

　つまり、データ取得ＡＰＩ１４６を介して入力されるアクセス要求（以下、データ取得要求）は、インデックス取得部１２７にて処理される。また、車両制御ＡＰＩ１４８を介して入力されるアクセス要求（以下、車両制御要求）は、車両制御部１３０にて処理される。

　［３－３．データ取得処理］
　データ取得ＡＰＩ１４６がデータ取得要求を受け付けた場合に実行される一連の処理であるデータ取得処理について説明する。具体的には、図１８において認証処理および認可処理が行われた後、アクセスＡＰＩからアクセス対象へアクセス要求が送信されたときのデータ取得処理である。データ取得処理は、データ取得ＡＰＩ１４６を用いて、管理センター３内で管理されるシャドウ１１４から指定したデータを取得する処理である。

　まず、データ取得要求に含まれる指定情報について説明する。指定情報は、サービスユーザによって設定される。

　図１９に示すように、指定情報は、車両指定情報と、時間指定情報と、データ指定情報とを含む。

　車両指定情報は、データ取得の対象となる車両（以下、対象車両）を指定するための情報である。車両指定情報は、対象車両の車両ＩＤ（すなわち、ｏｂｊｅｃｔ－ｉｄまたはｖｉｎ）をリスト形式で列挙する方法と、対象車両が存在する地理的領域を指定（以下、エリア指定）する方法とがある。他にも、車種や型式等により、対象車両を指定してもよい。

　エリア指定する方法は、図２０に示すように、矩形指定、および多角形指定、近傍指定の３種類が存在する。矩形指定は、矩形の地理的領域を、左上隅座標、右下隅座標によって指定する方法である。座標は、緯度、経度を用いて表される。多角形指定は、多角形の地理的領域を、多角形が有するｎ個の頂点の各座標によって指定する方法である。近傍指定は、円形の地理的領域を、中心座標と中心座標からの距離によって指定する方法である。

　図１９に戻り、時間指定情報は、データが生成されたタイミングを指定する情報である。時間指定情報は、起点となる時刻、およびレンジによって表される。レンジは、例えば、最新インデックス１１８の生成周期を単位時間として、時間幅を１以上の整数で表した値である。

　データ指定情報は、取得するデータを指定する情報である。データ指定情報は、標準化車両データに示されたデータのアイテム名をリスト形式で表してもよいし、標準化車両データに示されたカテゴリ名を指定することで表してもよい。カテゴリ名を指定した場合、そのカテゴリに属するすべてのアイテムが指定されたことになる。また、アイテム名およびカテゴリ名がいずれも指定されていない場合は、全アイテムが指定されたことになる。また、アイテム名によって指定可能なデータには、標準化車両データには含まれないローデータが含まれてもよい。例えば、データ指定情報には、ローデータに対応づけられたＣＡＮフレームのＣＡＮＩＤが含まれてもよい。

　なお、ここで示した車両指定情報、時間指定情報、データ指定情報の設定の仕方は一例であり、上記方法に限定されるものではない。

　次に、データ取得ＡＰＩ１４６がデータ取得要求を受け付けた場合に、インデックス取得部１２７が実行するシャドウリスト生成処理を、図２１のフローチャートを用いて説明する。

　Ｓ１１０では、インデックス取得部１２７は、データ取得要求に示された車両指定情報を参照し、指定情報が車両ＩＤリストであれば、処理をＳ１２０に移行し、指定情報がエリア指定であれば、処理をＳ１３０に移行する。

　Ｓ１２０では、インデックス取得部１２７は、インデックス記憶部１２５を参照して、車両ＩＤリストに示された「ｏｂｊｅｃｔ－ｉｄ」を有し、かつ、時間指定情報に示された時間範囲内の「ｔｉｍｅｓｔａｍｐ」を有する全てのインデックス１２６を抽出して、処理をＳ１５０に進める。

　Ｓ１３０では、インデックス取得部１２７は、指定情報に示されたエリア指定に従って、対象車両を探索する探索エリアを設定する。

　続くＳ１４０では、インデックス取得部１２７は、インデックス記憶部１２５を参照して、Ｓ１３０で設定された探索エリア内の「ｌｏｃａｔｉｏｎ」を有し、且つ、時間指定情報に示された時間範囲内の「ｔｉｍｅｓｔａｍｐ」を有する全てのインデックス１２６を抽出して、処理をＳ１５０に進める。

　Ｓ１５０では、インデックス取得部１２７は、Ｓ１２０またはＳ１４０で抽出されたインデックス１２６のそれぞれについて、インデックス１２６に示された「ｏｂｊｅｃｔ－ｉｄ」と「ｓｈａｄｏｗ－ｖｅｒｓｉｏｎ」とを組み合わせたシャドウ特定情報を生成する。生成されたシャドウ特定情報は、シャドウ特定情報を列挙したシャドウ特定情報リスト（以下、シャドウリスト）の構成要素となる。

　続くＳ１６０では、インデックス取得部１２７は、Ｓ１５０にて生成されたシャドウリストに、データ取得要求に示されたデータ指定情報を付加したシャドウアクセス要求を、シャドウ管理部１１２のデータ取得部１１９に出力して、処理を終了する。

　図２２に示すように、インデックス取得部１２７は、矢印Ｌ３１で示すように、データ取得ＡＰＩ１４６からデータ取得要求を受け取ると、シャドウリストを生成する。シャドウリストは、データ取得要求に示された車両指定情報および時間指定情報を取得条件とし、この取得条件に従って生成される。また、インデックス取得部１２７は、矢印Ｌ３２で示すように、生成したシャドウリストとデータ指定情報とを組み合わせたシャドウアクセス要求をデータ取得部１１９に出力する。

　データ取得部１１９は、インデックス取得部１２７からのシャドウアクセス要求が入力されると、シャドウ記憶部１１３を参照して、シャドウアクセス要求のシャドウリストに示された各シャドウ特定情報に対応するシャドウ１１４を抽出する。さらに、データ取得部１１９は、抽出されたシャドウ１１４のそれぞれから、シャドウアクセス要求のデータ指定情報に示されたデータである指定データを抽出する。データ取得部１１９は、矢印Ｌ３３で示すように、抽出した指定データをアクセス結果として、要求元となったデータ取得ＡＰＩ１４６に返送する。

　［３－４．車両制御処理］
　車両制御ＡＰＩ１４８がサービスユーザからの車両制御要求を受け付けた場合に実行される一連の処理である車両制御処理について説明する。車両制御処理は、車両を指定して、その指定した車両（以下、対象車両）に対して制御を要求する処理である。制御を要求する処理は、例えば、車載機器の動作を要求する処理でもよいし、エッジ装置２またはＥＣＵ２１０，２２０，２３０が記憶するデータの取得を要求する処理でもよい。

　まず、車両制御要求に含まれる指定情報について説明する。

　図２３に示すように、サービスユーザが指定する指定情報は、車両指定情報と、実行対象情報と、制御指定情報と、優先度情報と、制限時間情報と、車両認証情報とを含む。

　車両指定情報には、一つの車両ＩＤが示される。車両ＩＤから特定される車両が対象車両である。車両ＩＤは、前述したｖｉｎまたはｏｂｊｅｃｔ－ｉｄに相当する。

　実行対象情報は、制御指定情報に示された制御内容を、対象車両に実装されたどのアプリケーションに実行させるかを指定する情報であり、アプリケーションを識別するアプリＩＤが示される。

　制御指定情報は、対象車両に実行させる具体的な制御の内容を示す。例えば、各席のドアおよびトランクドア等の各種ドアの鍵操作、ホーンおよびブザー等の音響機器の操作、ヘッドランプおよびハザードランプ等の各種ランプの操作、カメラおよびレーダ等の各種センサの操作が含まれてもよい。制御指定情報は、どの機器にどのような動作をさせるかを示す情報が含まれてもよい。制御指定情報は、一つの制御が示されてもよいし、連続して実行される複数の制御がリスト形式で示されてもよい。なお、リスト形式で示された制御は、リスト順に実行される必要があるものとする。また、制御指定情報として、エッジ装置２またはＥＣＵ２１０，２２０，２３０が記憶するデータの取得操作が含まれてもよい。

　優先度情報は、車両制御要求に基づいて生成される制御指示を、対象車両に向けて送信する際の優先度を示す。ここでは、高優先度と低優先度に２レベルに設定される。優先度情報は、要求元となるサービスユーザによって設定されてもよいし、制御指定情報に示された制御の内容に応じて自動的に設定されてもよい。また、車両制御ＡＰＩ１４８が、所定のルールに基づいて、優先度を設定してもよい。

　制限時間情報は、対象車両での制御が許容される最終時刻を示す。制限時間情報は、例えば、車両制御要求が入力された時刻＋１０分を限度として設定される。制限時間情報は、優先度情報と同様に、要求元となるサービスユーザによって設定されてもよいし、車両に要求する制御の内容に応じて自動的に設定されてもよい。また、車両制御ＡＰＩ１４８が、所定のルールに基づいて、制御時間情報を設定してもよい。

　車両認証情報は、対象車両が制御指示を受け入れてよいか否かの判定に用いる情報であり、対象車両の所有者を識別するオーナーＩＤとパスワードとで構成される。車両認証情報は、車両に保持されると共に、その車両へのアクセスが許可されたサービスユーザにも保持される。なお、シェアカーの場合には、対象車両の利用者を識別する利用者ＩＤとパスワードとで車両認証情報を構成してもよい。

　図２４に示すように、車両制御部１３０は、矢印Ｌ４１で示すように、車両制御ＡＰＩ１４８から車両制御要求が入力されると、矢印Ｌ４２で示すように、車両制御要求に基づいて生成される１または複数の制御指示を対象車両に向けて送信する。図２４では、簡単のため１つの制御指示を送信する場合を示す。車両制御部１３０は制御指示に対して、中継制御を実行する。中継制御は、例えば、対象車両へのアクセスによって実現される車両制御の信頼性を向上させる制御が含まれる。

　車両に搭載されたエッジ装置２は、管理センター３から制御指示を受信すると、制御指示に示された車両認証情報と、自車両が有する車両認証情報とを照合して認証を行う。

　認証に失敗した場合、エッジ装置２は、その旨を表す通知を含んだ応答を管理センター３に送信する。

　認証に成功した場合、エッジ装置２は、実施対象情報から特定されるアプリケーションに、制御指定情報に示された制御を実行させる。アプリケーションは、制御指定情報に従い、ＥＣＵ２１０に対し、制御の実行を要求する。ＥＣＵ２１０は、制御の対象となるＥＣＵ２２０，２３０へ制御の実行を要求する。また、エッジ装置２は、矢印Ｌ４３で示すように、制御の実施結果を含んだ応答を管理センター３に送信する。

　応答を受信した車両制御部１３０は、矢印Ｌ４４で示すように、応答内容を車両制御ＡＰＩ１４８に返送する。

　［３－５、通信制御］
　車両制御部１３０が車両との通信時に実行する通信制御について説明する。

　図２５に示すように、車両制御部１３０は、受付部１３１と、送信管理部１３２と、受信管理部１３３と、制御履歴記憶部１３４とを備える。

　制御履歴記憶部１３４は、車両に送信する制御指示の履歴データを記憶する。履歴データには、車両制御要求に示された指定情報の一部に加えて、オーダーＩＤと、制御ステータスとが含まれる。

　図２６に示すように、履歴データとして記憶される指定情報は、車両指定情報と、優先度情報と、制御指定情報とが含まれる。オーダーＩＤは、制御履歴記憶部１３４に登録された履歴データ（すなわち、制御指示）にシリアルに付与される番号である。制御ステータスは、制御指示についてあらかじめ定義されたステータスが列挙され、このステータスと対応づけて、該当するステータスに変化した時刻を表すタイムスタンプが記憶される。なお、ステータスには、制御指示の送信要求を受け付けた状態、制御指示を送信した状態、応答を受信した状態などがある。

　受付部１３１、送信管理部１３２、受信管理部１３３は、制御履歴記憶部１３４およびシャドウ記憶部１１３に記憶された対象車両のシャドウ１１４を参照して処理を実行する。

　［３－５－１．受付処理］
　車両制御ＡＰＩ１４８が車両制御要求を受け付けた場合に、受付部１３１が実行する受付処理を、図２７のフローチャートを用いて説明する。

　Ｓ２１０では、受付部１３１は、まず、順序処理を実行する。

　ここで順序処理を、図２８のフローチャートを用いて説明する。

　Ｓ３１０では、受付部１３１は、車両制御要求の指定情報を参照し、制御指示情報に複数の制御がリスト形式で記載されているか否かを判定し、リスト形式で記載されていれば処理をＳ３２０に移行し、一つの制御が記載されていれば処理をＳ３３０に移行する。

　Ｓ３２０では、受付部１３１は、車両制御要求から複数の制御指示を生成して、処理をＳ３４０に進める。具体的には、制御指示情報にリスト形式で示された制御の数がＮ個である場合、一つの車両制御要求からＮ個の制御指示を生成する。生成されるＮ個の制御指示は、制御指示情報以外の部分は、元の車両制御要求からのコピーが用いられ、制御指示情報には一つの制御が示される。

　Ｓ３３０では、受付部１３１は、車両制御要求から一つの制御指示を生成して、処理をＳ３４０に進める。具体的には、制御指示は、車両制御要求の指定情報をそのまま受け継いだ内容となる。

　Ｓ３４０では、受付部１３１は、制御指示にオーダーＩＤを付与して、処理を終了する。基本的には、制御指示を受け付けた順にシリアルな番号をオーダーＩＤとして付与する。Ｓ３２０にて一つの車両制御要求から複数の制御指示が生成された場合は、これらの複数の制御指示には、元の車両制御要求の制御指示情報に示された制御の順番にオーダーＩＤを付与する。

　ここで、制御指示情報において、リスト形式で指定される個別の制御を単位制御とする。単位制御は、「ライト点灯」や「ライト消灯」等のような単純な内容だけでなく、「ホーンを１００ｍｓｅｃ間隔でオンオフを２回繰り返す」や「ヘッドライトを２００ｍｓｅｃ間隔でオンオフを３回繰り返す」等のような内容であってもよい。すなわち、同一種類の制御の繰り返しをインターバル情報も含めて指定する内容を単位制御としてもよい。このような制御の指示が特定制御指示に相当する。個々の制御指示がエッジ装置２に到達するまでの遅延は、その時々の状況によって様々に異なるため、管理センター３側で制御のインターバルを管理することは困難である。しかし、インターバル情報を含む同一制御の繰り返しを単位制御とした場合、制御のインターバルが車両側でコントロールされるため、サービスユーザが意図する制御を車両側で忠実に再現させることができる。すなわち、エッジ装置２は、例えば、ＥＣＵ２１０に対し、ホーンをオンする指示を送信し、１００ｍｓｅｃ待機し、ホーンをオフする指示を送信し、１００ｍｓｅｃ待機し、ホーンをオンする指示を送信し、１００ｍｓｅｃ待機し、ホーンをオフする指示を送信する。

　図２７に戻り、順序処理が終了すると、続くＳ２２０では、受付部１３１は、ウェイクアップ処理を実行する。

　ここでウェイクアップ処理を、図２９のフローチャートを用いて説明する。

　Ｓ４１０では、受付部１３１は、シャドウ記憶部１１３から、対象車両の最新のシャドウ１１４に示された「ｐｏｗｅｒ＿ｓｔａｔｕｓ」を取得する。この「ｐｏｗｅｒ＿ｓｔａｔｕｓ」により、エッジ装置２の電源状態が分かる。

　続くＳ４２０では、受付部１３１は、「ｐｏｗｅｒ＿ｓｔａｔｕｓ」が電源オンであるか否かを判定し、電源オンであれば処理を終了し、電源オンではなく、電源オフであれば、処理をＳ４３０に移行する。

　Ｓ４３０では、受付部１３１は、対象車両のエッジ装置２に対してウェイクアップ指示を送信する。エッジ装置２は、ウェイクアップ指示を受信することで、電源オフまたはスリープの状態から、電源オンまたはウェイクアップの状態に遷移する。

　続くＳ４４０では、受付部１３１は一定時間（例えば１秒）待機して、処理をＳ４１０に戻す。

　つまり、「ｐｏｗｅｒ＿ｓｔａｔｕｓ」が電源オフであった場合、ウェイクアップ指示を送信することで、エッジ装置２の機能全てを利用可能なウェイクアップ状態に遷移させる。その状態変化は、車両からのウェイクアップ指示に対する応答、または車両からの周期的な車両データの送信により、管理センター３に通知されることで、対象車両のシャドウ１１４の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」が電源オンに更新される。

　なお、車両制御部１３０は、シャドウ１１４の最新の「ｍｏｂｉｌｉｔｙ＿ｄａｔａ」（すなわち、標準化車両データ）を参照し、エッジ装置２以外に対する電源制御指示を行うよう構成してもよい。例えば、対象車両のイグニッション電源がオフであった場合、エッジ装置２を介して電源を制御する電子制御装置へイグニッション電源オン指示を送信する。また、対象車両に搭載され、車外または車内を撮影するカメラの電源がオフであった場合、エッジ装置２を介してカメラ起動指示を送信する。このように、対象車両へ事前の指示を送信することで、受付部１３１で受け付けた車両制御要求を、エッジ装置２で確実に実行させることができる。

　図２７に戻り、ウェイクアップ制御が終了すると、続くＳ２３０では、受付部１３１は、制御履歴記憶部１３４に制御指示を履歴データとして登録する。登録時の制御ステータスは、制御を受け付けたことを示す「Ａｃｃｅｐｔ」に設定される。

　続くＳ２４０では、受付部１３１は優先処理を実行して処理を終了する。

　ここで、優先処理を、図３０のフローチャートを用いて説明する。

　Ｓ５１０では、受付部１３１は、処理の対象となる制御指示の優先度情報を取得する。優先度情報は、図２３に示すように、車両制御要求の指定情報として設定され、図２６に示すように、制御指示に紐付けて制御履歴記憶部１３４に登録される。

　続くＳ５２０では、受付部１３１は、取得した優先度情報に優先度の設定があるか否かを判定し、優先度の設定があれば処理をＳ５４０に移行し、優先度の設定がなければ処理をＳ５３０に移行する。

　Ｓ５３０では、受付部１３１は、優先度情報を低優先度に設定して、処理をＳ５４０に移行する。例えば、優先度が３レベル以上ある場合は、最も低い優先度の値を設定する。

　Ｓ５４０では、受付部１３１は、優先度情報の設定が高優先度であるか否かを判定し、高優先度であれば処理をＳ５５０に移行し、高優先度ではなく低優先度であれば処理をＳ５６０に移行する。例えば、優先度の設定がなされている場合に高優先度であると判定してもよいし、優先度の値が所定閾値以上の場合に高優先度であると判定してもよい。

　Ｓ５５０では、受付部１３１は、制御指示を優先キューに登録して、処理をＳ５７０に進める。キューは、データを、書き込んだ順に取り出すことができるようなデータ構造を有したバッファである。

　Ｓ５６０では、受付部１３１は、制御指示を非優先キューに登録して、処理をＳ５７０に進める。

　Ｓ５７０では、受付部１３１は、優先キューを優先して、優先キューおよび非優先キューから制御指示を順番に取り出し、取り出した制御指示を送信管理部１３２に渡して処理を終了する。優先キューを優先するとは、例えば、優先キューにデータが残っている限りは優先キューからデータを取り出し、優先キューにデータがない場合にのみ、非優先キューからデータを取り出すようにしてもよい。また、優先キューの方が非優先キューより高い比率で、データを取り出すようにしてもよい。

　［３－５－２．送信側処理］
　送信管理部１３２が実行する送信側処理を、図３１に示すフローチャートを用いて説明する。送信側処理は、Ｓ５７０で優先キューまたは非優先キューから制御指示を取り出し、エッジ装置２へ送信する際の処理である。

　Ｓ６１０では、送信管理部１３２は、受付部１３１から提供される制御指示の指示情報に含まれる制限時間情報（すなわち、図２３に示す制限時間情報）を取得する。

　続くＳ６２０では、送信管理部１３２は、現在時刻が制限時間情報に示された制限時刻を超過しているか否かを判定し、制限時刻を超過していれば処理をＳ６３０に移行し、制限時刻を超過していなければ処理をＳ６４０に移行する。例えば、非優先キューから取り出されるまでに時間を要することで、現在時刻が制限時刻を超過する場合が考えられる。なお、超過しているか否かの判定には、管理センター３から車両に制御指示が到達するのに要する時間だけ、制限時刻より前の時刻を用いてもよい。さらに、車両において制御指示が実行完了するのに要する時間だけ、制限時刻より前の時刻を用いてもよい。すなわち、制御指示が車両に到達し、実行完了されるまでに要する時間が、制限時間情報を超過してしまう場合に、Ｓ６３０に移行するようにしてもよい。

　ここで、Ｓ６２０の制限時間情報での判定に代えて、車両状態の変化を条件として、制御失敗か否かを判定してもよい。例えば、制限情報として、「車両が停止中」という条件が指定された場合、最新のシャドウ１１４または標準化車両データに属するデータのうち最新タイムスタンプのデータを参照し、車両が依然として停止中か否かを判定する。そして、停止中と判定された場合、処理をＳ６４０に移行し、停止中ではないと判定された場合、処理をＳ６３０に移行するようにしてもよい。

　Ｓ６３０では、送信管理部１３２は、要求元の車両制御ＡＰＩ１４８に、制御に失敗したことを知らせる完了通知を送信すると共に、制御履歴記憶部１３４の制御ステータスを制御失敗に更新して、処理を終了する。

　Ｓ６４０では、送信管理部１３２は、制御指示をエッジ装置２へ送信した後、受付部１３１から提供される制御指示に対応づけられる対応データを、対象車両のシャドウ１１４から取得する。制御指示をエッジ装置２へ送信した後、所定時間待機してから、対応データを対象車両の最新のシャドウ１１４から取得してもよい。対応データは、標準化車両データに属するデータのうち最新タイムスタンプのデータであって、制御指示を実行する前後で変化する車両の状態に応じた値を有するデータである。例えば、制御指示がドアの解錠である場合、解錠の対象となるドアの鍵の状態を表す車両データが対応データとなる。例えば、制御指示がヘッドライトの点灯である場合、点灯の対象となるヘッドライトの状態を表す車両データが対応データとなる。対応データは、制御対象となる機器またはＥＣＵ２１０，２２０，２３０の状態を表す車両データである。

　続くＳ６５０では、送信管理部１３２は、対応データが制御実行後の値になっているか否かを判定し、制御実行後の値になっていれば、処理をＳ６６０に移行し、制御実行後の値になっていなければ、処理をＳ６７０に移行する。なお、対応データが存在しない制御指示の場合、Ｓ６４０～Ｓ６６０の処理は省略されてもよい。

　Ｓ６６０では、送信管理部１３２は、要求元の車両制御ＡＰＩ１４８に、制御に成功したことを知らせる完了通知を送信すると共に、制御履歴記憶部１３４の制御ステータスを、制御成功に更新して処理を終了する。

　Ｓ６７０では、送信管理部１３２は、制御指示の送信を実行する。つまり、制御指示を表すＭＱＴＴメッセージをＭＱＴＴブローカにパブリッシュする。合わせて、送信管理部１３２は、制御履歴記憶部１３４の制御ステータスを、送信済みに更新しておく。

　続くＳ６８０では、送信管理部１３２は、制御履歴記憶部１３４の制御ステータスを確認する。つまり、制御ステータスの中で最も新しいタイムスタンプが書き込まれているステータスが何であるかを確認する。

　続くＳ６９０では、送信管理部１３２は、制御ステータスが、制御指示が対象車両に正常に到達したことを示す「Ｃｏｍｐｌｅｔｅ」であるか否かを判定し、「Ｃｏｍｐｌｅｔｅ」であれば処理をＳ７００に移行し、「Ｃｏｍｐｌｅｔｅ」でなければ処理をＳ７１０に移行する。

　Ｓ７００では、送信管理部１３２は、要求元となった車両制御ＡＰＩ１４８に、制御に成功したことを知らせる完了通知を送信すると共に、制御履歴記憶部１３４の制御ステータスを、制御成功に更新して処理を終了する。

　Ｓ７１０では、送信管理部１３２は、制御指示を送信してからの経過時間がタイムオーバしているか否かを判定し、タイムオーバしていなければ処理をＳ７２０に移行し、タイムオーバしていれば処理をＳ７３０に移行する。なお、タイムオーバしているか否かの判定は、あらかじめ設定された許容時間（例えば１０分）を超えているか否かによって行う。なお、許容時間は、車両制御要求の際に指定される制限時間情報に基づいて設定されてもよい。

　Ｓ７２０では、送信管理部１３２は、あらかじめ設定された一定時間（例えば１分）待機した後、処理をＳ６８０に戻す。

　Ｓ７３０では、送信管理部１３２は、タイムアウト通知を、要求元となった車両制御ＡＰＩ１４８に返送すると共に、制御履歴記憶部１３４の制御ステータスを、タイムアウトによる異常終了に更新する。更に、送信管理部１３２は、制御指示に対応するＭＱＴＴメッセージを無効化して、処理を終了する。すなわち、送信管理部１３２は、既に車両へ送信した制御指示の実行を、車両にて行わなくてよい旨を車両へ通知すべく、無効化処理を行う。

　なお、無効化処理を省略して、タイムアウト通知を受けたサービスユーザに、無効化処理相当の制御を実行するか否かの判定を任せるようにしてもよい。つまり、例えば、ライトを点灯する車両制御要求を車両制御ＡＰＩ１４８から入力したが、タイムアウト通知が返ってきたときに、サービスユーザは、そのまま放置してもよいし、念のためライトを消灯する車両制御要求を車両制御ＡＰＩ１４８から入力してもよい。

　［３－５－３．受信側処理］
　受信管理部１３３が実行する受信側処理を、図３２に示すフローチャートを用いて説明する。本処理は繰り返し実行される。

　Ｓ８１０では、受信管理部１３３は、先のＳ４３０で送信されたウェイクアップ指示に対してウェイクアップ完了通知を受信したか否かを判定し、受信していれば処理をＳ８２０に移行し、受信していなければ処理をＳ８３０に移行する。

　Ｓ８２０では、受信管理部１３３は、対象車両のシャドウ１１４の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」を電源オンに更新して、処理を終了する。この更新を受けて先のＳ４２０での判定は肯定判定される。

　Ｓ８３０では、受信管理部１３３は、先のＳ６７０で送信した制御指示に対して、到達通知を受信したか否かを判定し、到達通知を受信していれば処理をＳ８４０に移行し、到達通知を受信していなければ、処理を終了する。

　Ｓ８４０では、受信管理部１３３は、到達通知の対象となる制御指示について制御履歴記憶部１３４に記憶された履歴データの制御ステータスを「Ａｃｃｅｐｔ」から「Ｃｏｍｐｌｅｔｅ」に更新して、処理を修了する。この更新を受けて、先のＳ６９０での判定は肯定判定される。

　なお、図２５に示すように、エッジ装置２は、ウェイクアップ制御部２０１と、指示実行部２０２を備える。

　ウェイクアップ制御部２０１は、エッジ装置２が搭載された車両の電源状態を管理する。車両の電源状態には、一部の機能が停止した低消費電力のスリープ状態と、全ての機能が起動したウェイクアップ状態とがある。ウェイクアップ制御部２０１は、自車両がスリープ状態にあるときに、管理センター３から自車両宛のウェイクアップ指示を受信すると、エッジ装置２の電源状態をウェイクアップ状態に遷移させ、ウェイクアップ完了通知を管理センター３に送信する。

　指示実行部２０２は、自車両の電源状態がウェイクアップ状態である場合に動作する。指示実行部２０２は、制御指示に添付された車両認証情報と、自車両が有する車両認証情報とを照合することで認証を行い、認証に成功した場合に、制御指示に示された制御を自身で実行または該当する電子制御装置に実行させる。指示実行部２０２は、認証に失敗した場合には、その旨を示す応答を管理センター３に送信し、制御を実行した場合は、制御結果を管理センター３に送信する。

　［３－６．動作例］
　車両制御部１３０の動作例について説明する。

　まず、対象車両のエッジ装置２の電源状態がウェイクアップ状態にある場合の典型的な動作を、図３３を用いて説明する。なお、なお、対象車両のシャドウ１１４の「ｐｗｅｒ＿ｓｔａｔｕｓ」は、対象車両のエッジ装置２の電源状態が反映され「電源オン」となっている。

　受付部１３１は、矢印Ｌ５１で示すように、制御履歴記憶部１３４に制御指示の履歴データを登録する。履歴データの登録により、履歴データの制御ステータスは「Ａｃｃｅｐｔ」に設定される。また、受付部１３１は、矢印Ｌ５２で示すように、制御指示を送信管理部１３２に送信する。

　制御指示を受けた送信管理部１３２は、矢印Ｌ５３で示すように、対象車両のシャドウ１１４の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」を確認する。「ｐｗｅｒ＿ｓｔａｔｕｓ」は「電源オン」であるため、送信管理部１３２は、矢印Ｌ５４で示すように、制御指示を対象車両に送信する。以後、送信管理部１３２は、矢印Ｌ５５で示すように、履歴データの制御ステータスを周期的に確認する。

　制御指示を受けた対象車両は、矢印Ｌ５６で示すように、制御指示を正常に受け取ったことを示す到達通知を管理センター３に返送する。

　到達通知を受信した受信管理部１３３は、矢印Ｌ５７で示すように、履歴データの制御ステータスを「Ａｃｃｅｐｔ」から「Ｃｏｍｐｌｅｔｅ」に更新する。

　送信管理部１３２は、履歴データの周期的な確認により、制御ステータスが「Ｃｏｍｐｌｅｔｅ」に変化していることを確認すると、矢印Ｌ５８で示すように、制御指示が正常に完了したことを示す完了通知を、要求元の車両制御ＡＰＩ１４８に送信する。

　次に、対象車両に制御指示を送信したが、対象車両から到達通知が返ってこない場合の動作を、図３４を用いて説明する。

　なお、矢印Ｌ５１～Ｌ５５で示すように、受付部１３１が履歴データの登録を行ってから、送信管理部１３２が対象車両に制御指示を送信し、履歴データの周期的な監視を開始するところまでは、図３３に示した内容と同様である。

　送信管理部１３２は、対象車両に制御指示を送信した後、制限時間情報に示された制限時刻、または予め設定された許容時間を経過しても、履歴データの制御ステータスが「Ａｃｃｅｐｔ」のままである場合、矢印Ｌ５９で示すように、要求元の車両制御ＡＰＩ１４８に異常終了したことを示すタイムアウト通知を送信する。

　次に、対象車両のエッジ装置２の電源状態がスリープ状態である場合の動作を、図３５を用いて説明する。なお、対象車両のシャドウ１１４の「ｐｗｅｒ＿ｓｔａｔｕｓ」は、対象車両のエッジ装置２の電源状態が反映され「電源オフ」となっている。また、矢印Ｌ５１～Ｌ５３で示すように、受付部１３１が履歴データの登録を行ってから、送信管理部１３２が対象車両のシャドウ１１４の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」を確認するところまでは、図３３に示した内容と同様である。

　送信管理部１３２によって確認される対象車両のシャドウ１１４の「ｐｗｅｒ＿ｓｔａｔｕｓ」は「電源オフ」であるため、送信管理部１３２は、矢印Ｌ６０で示すように、対象車両に対してウェイクアップ指示を送信する。以後、送信管理部１３２は、周期的に対象車両の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」を確認する。

　ウェイクアップ指示を受信した対象車両は、エッジ装置２の電源状態をスリープ状態からウェイクアップ状態に遷移させ、矢印Ｌ６１で示すように、ウェイクアップ完了通知を、管理センター３に返送する。

　ウェイクアップ完了通知を受信した受信管理部１３３は、矢印Ｌ６２で示すように、対象車両のシャドウ１１４の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」を「電源オン」に更新する。

　送信管理部１３２は、矢印Ｌ６３で示すように、周期的な確認により、対象車両のエッジ装置２の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」が「電源オン」に変化していることを確認すると、矢印Ｌ６４で示すように、対象車両に対して制御指示を送信する。

　以後の動作は、図３３および図３４に、矢印Ｌ５５～Ｌ５９で示した内容と同様である。

　［４．用語の対応］
　以上説明した実施形態において、モビリティＩｏＴシステム１はモビリティサービス提供システムに相当し、管理センター３はモビリティサービス基盤サーバに相当し、エッジ装置２は車載機に相当する。シャドウ管理部１１２は第１データベースに相当し、データ管理部１２１は第２データベースに相当する。ＡＰＩ提供部１２２はインタフェース部に相当する。Ｓ２３０の処理は履歴登録部に相当し、Ｓ３１０～Ｓ３４０の処理は順序制御部に相当し、Ｓ５１０～Ｓ５７０の処理は優先処理部に相当する。Ｓ６１０～Ｓ６２０の処理は送信前判定部に相当する。Ｓ６８０～Ｓ７００，Ｓ７２０の処理は送達確認部に相当し、Ｓ７１０，Ｓ７３０の処理は無効化部に相当し、Ｓ６３０、Ｓ８３０～Ｓ８４０の処理は履歴更新部に相当する。制御ステータスの「Ａｃｃｅｐｔ」が受諾状態に相当し、「Ｃｏｍｐｌｅｔｅ」が完了状態に相当し、車両制御要求がアクセス要求に相当する。

　［５．効果］
　以上詳述した実施形態によれば、以下の効果を奏する。

　（５ａ）モビリティＩｏＴシステム１では、車両制御要求に優先度情報が含まれ、車両制御要求から生成される制御指示を、高優先度に設定された制御指示を優先して車両に向けて送信する。従って、管理センター３側で多くの制御指示が滞留しているような状況であっても、高優先度の制御指示については、少ない遅延で送信を完了させることができる。

　（５ｂ）モビリティＩｏＴシステム１では、制御指示は、それぞれが独立した一つの制御を実現し、また、各制御指示には、シリアル番号を用いたオーダーＩＤが付与される。また、制御指示を受信する車両側では、オーダーＩＤに示されたシリアル番号に従った順番で制御を実行する。従って、管理センター３と車両（すなわちエッジ装置２）との間の通信環境等の影響で、車両に到達する制御指示の順番が入れ替わったとしても、車両側では、車両制御要求の要求元が意図する順番通りに制御を実行できる。その結果、管理センター３からの指示に基づく車両制御の安全性および信頼性を向上させることができる。例えば、厳密な順序性をもって実行する必要のある一連の制御では、制御の順番が入れ替わることによって、全く異なった制御になったり、意味のない制御になったりする可能性があるが、このような状況が発生することを抑制できる。

　（５ｃ）モビリティＩｏＴシステム１では、車両へ制御指示を送信した後、制御ステータスを繰返し確認する。そして、車両からの応答があったことを示すステータスに変化した場合は、車両制御要求の要求元に完了通知を返し、許容時間を超えてもステータスに変化がない場合は、車両制御要求の要求元にタイムアウト通知を返す。従って、モビリティＩｏＴシステム１によれば、制御指示が車両に到達したこと、および制御指示が許容時間内に車両に到達しなかったことを、車両制御要求の要求元に知らせることができる。その結果は、車両制御要求の要求元では、制御指示の到達の成否に応じた的確な対処が可能となる。

　（５ｄ）モビリティＩｏＴシステム１では、制御指示が車両に到達しても制限時刻までに制御を終了させることが不能である場合は、制御指示を送信することなく、制御に失敗したことを、車両制御要求の要求元に知らせる。また、モビリティＩｏＴシステム１では、制御指示を送信する前に、対象車両のシャドウ１１４を参照することで、制御指示に対応づけられた対応データを確認する。そして、対応データが制御実行後の値になっている場合、制御指示を送信することなく、制御に成功したことを、車両制御要求の要求元に知らせる。従って、モビリティＩｏＴシステム１によれば、無駄な制御指示の送信が抑制されるため、管理センター３と車両との間の通信量を削減できる。

　（５ｅ）モビリティＩｏＴシステム１では、制御指示を送信する前に、対象車両のシャドウ１１４を参照することで、対象車両の「ｐｏｗｅｒ＿ｓｔａｔｕｓ」を確認し、電源オフである場合、ウェイクアップ指示を送信する。つまり、対象車両を、制御指示を実行可能な状態に遷移させた上で、制御指示を送信する。従って、モビリティＩｏＴシステム１では、対象車両のエンジンがオフの状態でも、対象車両を起動して制御を実行させることができる。

　［６．他の実施形態］
　以上、本開示の一実施形態について説明したが、本開示は上記実施形態に限定されるものではなく、種々変形して実施することができる。

　（６ａ）本開示では、制御履歴記憶部１３４に履歴データが制御指示単位で記憶されているが、車両制御要求単位（すなわち、車両制御ＡＰＩ１４８からの要求単位）で記憶されてもよい。

　（６ｂ）本開示では、車両制御部１３０は、制御指示に対するエッジ装置２からの応答を、そのまま制御指示単位で、要求元の車両制御ＡＰＩ１４８に返すように構成されている。本開示は、これに限定されず、一つの車両制御要求から複数の制御指示が生成される場合、制御指示に対するエッジ装置２からの応答を、車両制御要求単位でまとめて、要求元の車両制御ＡＰＩ１４８に返すように構成されてもよい。

　（６ｃ）本開示では、管理センター３からの制御指示に対してエッジ装置２は、制御内容の実行が完了した時点で管理センター３への応答を送信しているが、制御指示を受け付けた時点で管理センター３へ応答を送信してもよい。

　（６ｄ）本開示に記載の制御部３１およびその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサおよびメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の制御部３１およびその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の制御部３１およびその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサおよびメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されてもよい。制御部３１に含まれる各部の機能を実現する手法には、必ずしもソフトウェアが含まれている必要はなく、その全部の機能が、一つあるいは複数のハードウェアを用いて実現されてもよい。

　（６ｅ）上記実施形態における１つの構成要素が有する複数の機能を、複数の構成要素によって実現したり、１つの構成要素が有する１つの機能を、複数の構成要素によって実現したりしてもよい。また、複数の構成要素が有する複数の機能を、１つの構成要素によって実現したり、複数の構成要素によって実現される１つの機能を、１つの構成要素によって実現したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加または置換してもよい。

　（６ｆ）上述した管理センター３の他、当該管理センター３を構成要素とするシステム、当該管理センター３としてコンピュータを機能させるためのプログラム、このプログラムを記録した半導体メモリ等の非遷移的実体的記録媒体、車両アクセス制御方法など、種々の形態で本開示を実現することもできる。

Claims

　車両に搭載された車載機から提供される車両データに基づいて、前記車両毎に生成され、特定の時刻における前記車両の状態を表す複数のシャドウを記憶する第１データベース（１１２）を有する車両側ユニット（１１０）と、
　前記第１データベースに蓄積された前記シャドウのそれぞれに対応し、前記シャドウの検索に使用される情報を有するインデックスを記憶する第２データベース（１２１）、および外部からのアクセス要求を受け付けるように構成されたインタフェース部（１２２）を有するサービス側ユニット（１２０）と、
　を備え、
　前記車両側ユニットは、
　前記インタフェース部が前記車両に対する前記アクセス要求を受け付けた場合、アクセスの対象となる前記車両である対象車両に搭載された前記車載機との無線通信を行うことで、前記対象車両へのアクセスを実行するように構成された車両制御部（１３０）を更に備え、
　前記車両制御部は、
　前記車載機との間で送受信される制御指示に対して、中継制御を実行するように構成された
　モビリティサービス基盤サーバ。
　請求項１に記載のモビリティサービス基盤サーバであって、
　前記車両制御部は、
　前記車両に対して送信する前記制御指示の内容および制御ステータスを記憶する制御履歴記憶部（１３４）と、
　前記制御履歴記憶部に前記制御指示を、前記制御ステータスを受諾状態に設定して登録する履歴登録部（Ｓ２３０）と、
　前記制御指示の送信後、前記制御ステータスを監視することで、前記制御指示の送達を確認する送達確認部（Ｓ６８０～Ｓ７００，Ｓ７２０）、と、
　前記制御指示に対する前記車載機からの応答の受信時に、前記制御履歴記憶部における前記制御指示の前記制御ステータスを完了状態に更新する履歴更新部（Ｓ８３０～Ｓ８４０）と、
　を備えるモビリティサービス基盤サーバ。
　請求項２に記載のモビリティサービス基盤サーバであって、
　前記車両制御部は、
　前記送達確認部によって、あらかじめ設定された許容時間内に前記制御指示の送達が確認されなかった場合、前記制御指示を無効化する無効化部（Ｓ７１０，Ｓ７３０）
　を更に備えるモビリティサービス基盤サーバ。
　請求項２または請求項３に記載のモビリティサービス基盤サーバであって、
　前記車両制御部は、
　前記制御指示を前記車載機へ送信する前に、前記制御指示で指定される許容時間内に、前記制御指示を前記車載機へ送信し、前記車載機での実行を完了できるか否かを判定する送信前判定部（Ｓ６１０～Ｓ６２０）を更に備え、
　前記履歴更新部（Ｓ６３０）は、前記送信前判定部にて否定判定された場合、前記車載機への前記制御指示の送信を中止し、前記制御履歴記憶部における前記制御指示の前記制御ステータスを送信に失敗したことを示す状態に更新する
　モビリティサービス基盤サーバ。
　請求項１から請求項４までのいずれか１項に記載のモビリティサービス基盤サーバであって、
　前記制御指示は、優先度を有し、
　前記車両制御部は、
　前記制御指示の送信順を前記優先度に従って設定する優先処理部（Ｓ５１０～Ｓ５７０）
　を備えるモビリティサービス基盤サーバ。
　請求項５に記載のモビリティサービス基盤サーバであって、
　前記優先度は、前記アクセス要求毎に、前記インタフェース部にて設定される
　モビリティサービス基盤サーバ。
　請求項５に記載のモビリティサービス基盤サーバであって、
　前記優先度は、前記アクセス要求に示された制御内容に応じて決まる
　モビリティサービス基盤サーバ。
　請求項１から請求項７までのいずれか１項に記載のモビリティサービス基盤サーバであって、
　前記車両制御部は、
　順序制御が必要な一連の前記制御指示に、制御の実行順を表すシリアル番号を付与する順序制御部（Ｓ３１０～Ｓ３４０）
　を備えるモビリティサービス基盤サーバ。
　請求項８に記載のモビリティサービス基盤サーバであって、
　前記順序制御部は、前記アクセス要求に順序制御が必要な複数の制御が含まれている場合に、該アクセス要求から複数の前記制御指示を生成し、前記制御指示のそれぞれに、前記シリアル番号を付与するように構成された、
　モビリティサービス基盤サーバ。
　車両に搭載された車載機と、
　前記車載機を搭載する前記車両にモビリティサービスを提供するモビリティサービス基盤サーバと、
　を備え、
　前記モビリティサービス基盤サーバは、
　前記車載機から提供される車両データに基づいて、前記車両毎に複数生成され、特定の時刻における前記車両の状態を表す複数のシャドウを記憶する第１データベースを有する車両側ユニットと、
　前記第１データベースに蓄積された前記シャドウのそれぞれに対応し、前記シャドウの検索に使用される情報を有するインデックスを記憶する第２データベース、および外部からのアクセス要求を受け付けるように構成されたインタフェース部を有するサービス側ユニットと、
　を備え、
　前記車両側ユニットは、
　前記インタフェース部が前記車両に対する前記アクセス要求を受け付けた場合、アクセスの対象となる前記車両である対象車両に搭載された前記車載機との無線通信を行うことで、前記対象車両へのアクセスを実行するように構成された車両制御部を更に備え、
　前記車両制御部は、
　前記車載機との間で送受信される制御指示に対して、中継制御を実行するように構成された
　モビリティサービス提供システム。
　請求項１０に記載のモビリティサービス提供システムであって、
　前記車両制御部は、
　前記制御指示として、前記対象車両に搭載された制御対象となる車載機器である対象機器に対する一連の指示を、各指示の制御タイミングを含めて規定した特定制御指示を送信可能に構成され、
　前記車載機は、
　前記特定制御指示を受信した場合、該特定制御指示に示された前記一連の指示に含まれる個々の指示を、前記制御タイミングに従って一つずつ順番に前記対象機器に対して出力するように構成された
　モビリティサービス提供システム。
　請求項１０または請求項１１に記載のモビリティサービス提供システムであって、
　前記車両制御部は、
　順序制御が必要な一連の前記制御指示に、制御の実行順を表すシリアル番号を付与するように構成された順序制御部を備え、
　前記車載機は、前記モビリティサービス基盤サーバから受信する前記制御指示を、該制御指示に付与された前記シリアル番号の順番に実行するように構成された
　モビリティサービス提供システム。
　車両に搭載された車載機から提供される車両データに基づいて、前記車両毎に生成され、特定の時刻における前記車両の状態を表す複数のシャドウを記憶する第１データベースと、前記第１データベースに蓄積された前記シャドウのそれぞれに対応し、前記シャドウの検索に使用される情報を有するインデックスを記憶する第２データベースと、外部からのアクセス要求を受け付けるように構成されたインタフェース部とを備えるモビリティサービス基盤サーバにおける車両アクセス制御方法であって、
　前記インタフェース部が前記車両に対する前記アクセス要求を受け付けた場合、アクセスの対象となる前記車両である対象車両に搭載された前記車載機との無線通信を行うことで、前記対象車両へのアクセスを実行し、
　前記対象車両へのアクセスにおいて、前記車載機との間で送受信される制御指示に対して、中継制御を実行する、
　車両アクセス制御方法。
　車両に搭載された車載機から提供される車両データに基づいて、前記車両毎に生成され、特定の時刻における前記車両の状態を表す複数のシャドウを記憶する第１データベースと、前記第１データベースに蓄積された前記シャドウのそれぞれに対応し、前記シャドウの検索に使用される情報を有するインデックスを記憶する第２データベースと、外部からのアクセス要求を受け付けるように構成されたインタフェース部と共に、モビリティサービス基盤サーバを構成するコンピュータを、
　前記インタフェース部が前記車両に対する前記アクセス要求を受け付けた場合、アクセスの対象となる前記車両である対象車両に搭載された前記車載機との無線通信を行うことで、前記対象車両へのアクセスを実行し、該対象車両へのアクセスにおいて前記車載機との間で送受信される制御指示に対して、中継制御を実行するように構成された車両制御部として機能させるプログラム。