自动代客泊车系统的制作方法

自动代客泊车系统
1.相关申请的交叉引用
2.本技术基于在2020年1月15日申请的日本技术编号第2020-004400号，并在此引用其记载内容。
技术领域
3.本公开涉及实现基于自动驾驶控制的代客泊车的自动代客泊车系统。


背景技术：

4.以往，关于基于自动驾驶控制的代客泊车系统，提出了专利文献1所记载的技术。在本说明书中，有时将基于自动驾驶控制的代客泊车系统称为自动代客泊车系统。在这样的现有技术中，由设置于停车场侧的管理服务器等服务器装置制成的驾驶计划被发送到车辆。
5.专利文献1：日本特开第2018-041381号公报
6.在上述现有技术的系统中，在停车场服务器装置与车辆之间的通信被作为有恶意的第三方的黑客等窃听的情况下等，有可能对车辆发送不正确内容的驾驶计划。这样，车辆基于该不正确的驾驶计划进行自动驾驶控制。该情况下，不仅车辆无法停在正确的停车位置，而且在最坏的情况下，有可能产生被盗等的损害。由此，上述现有技术的系统很难说充分提高了系统的安全性，在安全性方面存在课题。


技术实现要素：

7.本公开的目的在于提供能够提高系统的安全性的自动代客泊车系统。
8.在本公开的一方式中，自动代客泊车系统是如下系统：包括被构成为能够在彼此之间相互进行数据的收发的车辆、停车场服务器装置以及地图服务器装置，并且执行基于自动驾驶控制的代客泊车，上述地图服务器装置具有存储有与停车场内的区域相关的信息的数据库。该情况下，上述停车场内的区域至少被划分为由上述停车场服务器装置管理的管理内区域和不由上述停车场服务器装置管理的管理外区域。
9.上述停车场服务器装置具备服务器侧驾驶计划部，上述服务器侧驾驶计划部生成包括用于将上述车辆向上述管理内区域所包含的目标位置引导的路径的服务器侧驾驶计划，并将该服务器侧驾驶计划发送到上述车辆。上述车辆具备驾驶计划判定部、自动驾驶控制部以及信息发送部。上述驾驶计划判定部判定上述服务器侧驾驶计划的真伪，即判定上述服务器侧驾驶计划是否有篡改的可能性。上述自动驾驶控制部执行根据上述服务器侧驾驶计划的自动驾驶控制。若由上述驾驶计划判定部判定为上述服务器侧驾驶计划不正确，即判定为上述服务器侧驾驶计划有篡改的可能性，则上述信息发送部获取与上述车辆相关的信息亦即车辆相关信息，并将该车辆相关信息发送到上述停车场服务器装置。
10.上述停车场服务器装置还具备异常应对处理部，上述异常应对处理部若接收上述车辆相关信息，则基于该车辆相关信息以及上述服务器侧驾驶计划，进行由于不正确的、即
有篡改的可能性的上述服务器侧驾驶计划而在上述车辆的周边产生的异常的分层，执行与该分层的结果相对应的异常应对处理。根据上述结构，在被窃听了停车场服务器装置与车辆之间的通信的有恶意的第三方篡改了服务器侧驾驶计划的情况下，执行基于停车场服务器装置的异常应对处理部的异常应对处理，因此能够将根据该被篡改的服务器侧驾驶计划进行自动驾驶控制而产生的损害限制在最小限度。因此，根据上述结构，获得能够提高系统的安全性的优异的效果。
附图说明
11.参照附图并通过下述的详细的描述，关于本公开的上述目的以及其它的目的、特征、优点变得更加明确。其附图是，
12.图1是示意性地表示第一实施方式所涉及的自动代客泊车系统的整体结构的图，
13.图2是示意性地表示第一实施方式所涉及的自动代客泊车系统的各部的详细结构的图，
14.图3是表示执行第一实施方式所涉及的自动代客泊车时的各部的处理的流程的图之一，
15.图4是表示第一实施方式所涉及的扩大请求处理的内容的图，
16.图5是表示执行第一实施方式所涉及的自动代客泊车时的各部的处理的流程的图之二，
17.图6是表示第一实施方式所涉及的切换时处理的第一处理的内容的图，
18.图7是表示第一实施方式所涉及的切换时处理的第二处理的内容的图，
19.图8是表示第一实施方式所涉及的停车时处理的内容的图，
20.图9是表示第一实施方式所涉及的出发时处理的内容的图，
21.图10是用于说明与第一实施方式所涉及的驾驶计划的判定相关的具体的事例1的图，
22.图11是用于说明与第一实施方式所涉及的驾驶计划的判定相关的具体的事例2的图，
23.图12是用于说明与第一实施方式所涉及的驾驶计划的判定相关的具体的事例3的图，
24.图13是示意性地表示第二实施方式所涉及的自动代客泊车系统的整体结构的图，
25.图14是示意性地表示第二实施方式所涉及的自动代客泊车系统的各部的详细结构的图，
26.图15是表示执行第二实施方式所涉及的自动代客泊车时的各部的处理的流程的图之一，
27.图16是表示执行第二实施方式所涉及的自动代客泊车时的各部的处理的流程的图之二，
28.图17是表示第二实施方式所涉及的扩大请求处理的内容的图，
29.图18是表示第二实施方式所涉及的切换时处理的第二处理的内容的图，
30.图19是示意性地表示第三实施方式所涉及的自动代客泊车系统的各部的详细结构的图，
31.图20是表示第三实施方式所涉及的切换时处理的第一处理的内容的图，
32.图21是表示第三实施方式所涉及的停车时处理的内容的图，
33.图22是表示第三实施方式所涉及的出发时处理的内容的图。
具体实施方式
34.以下，参照附图对多个实施方式进行说明。此外，在各实施方式中，对于实质上相同的结构标注相同的附图标记并省略说明。
35.(第一实施方式)
36.以下，参照图1～图12对第一实施方式进行说明。
37.＜自动代客泊车系统100的整体结构＞
38.图1所示的本实施方式的自动代客泊车系统100是包括终端装置200、相当于车辆的汽车300、停车场服务器装置400以及地图服务器装置500，并执行基于自动驾驶控制的代客泊车的系统。此外，在本说明书中，有时将自动代客泊车省略为avp。终端装置200是具有通信功能并且储存有其所有者的认证信息的设备。终端装置200以及汽车300被构成为能够在彼此之间进行数据的收发、即通信。
39.终端装置200以及汽车300如图1中虚线所示，可以是例如通过近距离无线通信进行数据的收发的结构，也可以是经由网络600进行数据的收发的结构。作为网络600，例如，能够列举无线lan、移动体通信网等。另外，终端装置200以及停车场服务器装置400经由网络600可通信地连接，汽车300以及停车场服务器装置400经由网络600可通信地连接。这样，在avp系统100中，终端装置200、汽车300以及停车场服务器装置400被构成为能够在彼此之间相互进行数据的收发。
40.在本实施方式中，终端装置200例如为智能手机、平板终端等智能设备。此外，作为终端装置200，也可以是储存有所有者的认证信息并且追加了通信功能的汽车用电子钥匙等。汽车300是具有自动驾驶功能的汽车。汽车300以及地图服务器装置500经由网络可通信地连接。
41.停车场服务器装置400是设置在提供代客泊车服务的设施的停车场的服务器装置。停车场服务器装置400由这样的设施或者与设施签约的停车场管理公司管理以及管辖。此外，停车场服务器装置400有时也设置在例如停车场管理公司的总公司大楼等与停车场不同的场所。地图服务器装置500获取与后述的临时密钥的有效区间相关的信息亦即有效区间信息，将该有效区间信息发送到汽车300。
42.地图服务器装置500由可信赖的第三方机关、例如处理与自动驾驶控制相关的行政、测量等的专门的公共机关、国土交通省的关系机关等管理以及管辖。该情况下，停车场内的区域至少被划分为由停车场服务器装置400管理的管理内区域和不由停车场服务器装置400管理的管理外区域。地图服务器装置500具有存储有与这样的停车场内的区域相关的信息的数据库。
43.＜终端装置200的详细结构＞
44.终端装置200在其内部储存有电子密钥，通过进行使用了电子密钥的认证，能够使汽车300执行自动驾驶。然而，对外部的装置等无特别限制地发送这样的电子密钥，这有可能导致安全性的降低，因此不优选。
45.因此，该情况下，仅在执行avp时，终端装置200生成作为与电子密钥相同的密钥发挥功能的临时密钥da。通过这样的临时密钥da，能够与电子密钥同样地进行所有者的认证，能够使汽车300执行自动驾驶。但是，临时密钥da在与电子密钥不同的条件下，例如在经过了预先决定的有效期间的情况、汽车300离开至有效区间的范围外的情况下等失效。
46.如图2所示，终端装置200具备与外部的装置之间收发各种数据的数据收发部201以及存储各种数据的存储部202。在存储部202中，除了预先储存的各种信息之外，还存储有经由数据收发部201接收的各种信息。另外，终端装置200具备验证部203以及临时密钥生成部204等功能块。
47.这些各功能块通过终端装置200所具备的cpu执行储存于非过渡性实体存储介质的计算机程序来执行与计算机程序对应的处理而实现，即通过软件来实现。此外，也可以是通过硬件实现各功能块中的至少一部分的结构。
48.验证部203若经由数据收发部201接收从停车场服务器装置400发送的临时密钥请求db，则验证该临时密钥请求db的真假。此外，后述基于停车场服务器装置400的临时密钥请求db的发送。临时密钥生成部204在基于验证部203的验证结果为真的情况下生成临时密钥da。另外，临时密钥生成部204将所生成的临时密钥da经由数据收发部201发送到汽车300以及停车场服务器装置400。
49.＜汽车300的详细结构＞
50.汽车300具备与外部的装置之间收发各种数据的数据收发部301以及存储各种数据的存储部302。在存储部302中，除了预先储存的各种信息之外，还存储有经由数据收发部301接收的各种信息。另外，汽车300具备验证部303、有效期间判定部304、请求生成部305、驾驶计划判定部306、信息发送部307、驾驶计划部308、自动驾驶控制部309以及停车位置发送部310等功能块。
51.这些各功能块通过汽车300所具备的cpu执行储存于非过渡性实体存储介质的计算机程序来执行与计算机程序对应的处理而实现，即通过软件来实现。此外，也可以是通过硬件实现各功能块中的至少一部分的结构。
52.验证部303若接收从终端装置200以及停车场服务器装置400发送的临时密钥da，则验证这些临时密钥da的真假。此外，后述基于停车场服务器装置400的临时密钥da的发送。作为临时密钥da的验证方法，能够采用各种方法，例如能够采用对临时密钥da赋予署名，并验证该署名的方法。
53.有效期间判定部304在基于验证部303的验证结果为真的情况下判定临时密钥da的有效期间。请求生成部305生成请求有效区间信息的发送的区间信息请求dc。区间信息请求dc也包含汽车300的当前位置的信息。请求生成部305将所生成的区间信息请求dc经由数据收发部301发送到地图服务器装置500。由请求生成部305执行的各处理相当于请求生成步骤。
54.驾驶计划判定部306若接收从停车场服务器装置400发送的驾驶计划dd，则判定该驾驶计划dd的真伪。该情况下的“真”是指没有篡改的可能性、正确的情况，“伪”是指有篡改的可能性、不正确的情况。此外，后述基于停车场服务器装置400的驾驶计划dd的发送。在本说明书中，有时将由停车场服务器装置400生成的驾驶计划称为服务器侧驾驶计划。由驾驶计划判定部306执行的各处理相当于驾驶计划判定步骤。
55.若由驾驶计划判定部306判定为服务器侧驾驶计划dd不正确、即有篡改的可能性，则信息发送部307获取车辆相关信息de。信息发送部307将获取到的车辆相关信息de经由数据收发部301发送到停车场服务器装置400。车辆相关信息de是与汽车300相关的信息，例如，列举有汽车300的目标停车位置附近的影像、从搭载于汽车300的各种传感器得到的信息、表示汽车300的当前位置的位置信息等汽车300的周围的信息。此外，这些信息不仅从搭载于汽车300的相机以及各种传感器获取，也能够从设置于停车场的相机、各种传感器等获取。由信息发送部307执行的各处理相当于信息发送步骤。
56.另外，若由驾驶计划判定部306判定为服务器侧驾驶计划dd不正确、即服务器侧驾驶计划dd有篡改的可能性，则请求生成部305生成请求能够停车区域信息df的发送的区域信息请求dg。请求生成部305将所生成的区域信息请求dg经由数据收发部301发送到地图服务器装置500。能够停车区域信息df是表示在管理外区域中汽车300能够停车的区域的信息。
57.驾驶计划部308作为车辆侧驾驶计划部发挥功能，若经由数据收发部301接收从地图服务器装置500发送的能够停车区域信息df，则基于该能够停车区域信息df生成驾驶计划dh。由驾驶计划部308执行的各处理相当于车辆侧驾驶计划步骤。此外，后述基于地图服务器装置500的能够停车区域信息df的发送。驾驶计划dh包括：汽车300的当前位置、管理外区域所包含的目标位置、将汽车300从当前位置向目标位置引导的路径、汽车300的直行、左右转以及后退的定时、行驶速度等。在本说明书中，有时将由汽车300生成的驾驶计划称为车辆侧驾驶计划。
58.自动驾驶控制部309在由驾驶计划判定部306判定为服务器侧驾驶计划dd正确且没有篡改的可能性的情况下，执行根据服务器侧驾驶计划dd的自动驾驶控制。另外，自动驾驶控制部309在由驾驶计划判定部306判定为服务器侧驾驶计划dd不正确且有篡改的可能性的情况下，执行根据车辆侧驾驶计划dh的自动驾驶控制。由自动驾驶控制部309执行的各处理相当于自动驾驶控制步骤。
59.若通过自动驾驶控制部307执行根据车辆侧驾驶计划dh的自动驾驶控制而完成汽车300向管理外区域所包含的目标位置的停车，则停车位置发送部310生成表示该停车的位置、即汽车300的停车位置的停车位置信息di。停车位置发送部310将所生成的停车位置信息di经由数据收发部301发送到地图服务器装置500。
60.另外，停车位置发送部310在如上述那样停在管理外区域所包含的目标位置的汽车300为了出库而出发时，生成表示汽车300出发的意旨的出发信息dj。停车位置发送部310将所生成的出发信息dj以及停车位置信息di经由数据收发部301发送到地图服务器装置500。由停车位置发送部310执行的各处理相当于停车位置发送步骤。
61.＜停车场服务器装置400的详细结构＞
62.停车场服务器装置400具备在与外部的装置之间收发各种数据的数据收发部401以及存储各种数据的存储部402。在存储部402中，除了预先储存的各种信息之外，还存储有经由数据收发部401接收的各种信息。另外，停车场服务器装置400具备密钥请求生成部403、署名生成部404、驾驶计划部405、异常应对处理部406以及请求生成部407等功能块。
63.这些各功能块通过停车场服务器装置400所具备的cpu执行储存于非过渡性实体存储介质的计算机程序来执行与计算机程序对应的处理而实现，即通过软件来实现。此外，
也可以是通过硬件实现各功能块中的至少一部分的结构。
64.密钥请求生成部403生成请求临时密钥da的生成的临时密钥请求db，将该临时密钥请求db发送到终端装置200。署名生成部404对由密钥请求生成部403生成的临时密钥请求db赋予署名。像这样赋予署名的理由是为了能够在终端装置200中判定临时密钥请求db的真假。像这样赋予有署名的临时密钥请求db经由数据收发部401被发送到终端装置200。
65.驾驶计划部405作为服务器侧驾驶计划部发挥功能，若经由数据收发部401接收从终端装置200发送的临时密钥da，则生成服务器侧驾驶计划dd。服务器侧驾驶计划dd包括：汽车300的当前位置、管理内区域所包含的目标位置、将汽车300从当前位置向目标位置引导的路径、汽车300的直行、左右转以及后退的定时、行驶速度等。
66.驾驶计划部405在考虑了存在于管理内区域的停车框、即停车位的空闲状况等之后，设定最佳的位置作为上述的目标位置。驾驶计划部405将所生成的服务器侧驾驶计划dd以及临时密钥da经由数据收发部401发送到汽车300。由驾驶计划部405执行的各处理相当于服务器侧驾驶计划步骤。
67.异常应对处理部406若经由数据收发部401接收从汽车300发送的车辆相关信息de，则基于该车辆相关信息de以及服务器侧驾驶计划dd，进行由于服务器侧驾驶计划dd而在汽车300的周边产生的异常的分层。而且，异常应对处理部406执行与该分层的结果相对应的异常应对处理。由异常应对处理部406执行的各处理相当于异常应对处理步骤。此外，后述这些异常的分层以及异常应对处理的具体的内容等。
68.请求生成部407若判断为在管理内区域中不存在汽车300能够停车的区域，则生成请求管理区域的扩大的区域扩大请求dk。请求生成部407将所生成的区域扩大请求dk经由数据收发部401发送到地图服务器装置500。也就是说，请求生成部407若判断为在管理内区域中不存在停车框的空闲，则对地图服务器装置500请求管理内区域的扩大。由请求生成部407执行的各处理相当于请求生成步骤。
69.请求生成部407在以下那样的情况下也能够生成区域扩大请求dk。即，请求生成部407若判断为关于作为当前的停车对象的汽车300存在能够停车的区域，但在后续有停车请求，并且不存在作为该停车对象的一台或多台汽车能够停车的区域，则生成区域扩大请求dk。该情况下，请求生成部407根据后续的汽车的台数，生成区域扩大请求dk，该区域扩大请求dk表示请求管理区域的扩大以使这些后续的汽车全部能够停车的内容。
70.在如上述那样判断为在管理内区域中不存在汽车300能够停车的区域的情况下，换言之，在由请求生成部407生成区域扩大请求dk的情况下，驾驶计划部405暂时中断服务器侧驾驶计划dd的生成。而且，驾驶计划部405若经由数据收发部401接收从地图服务器装置500发送的扩大判定结果dl，则根据该扩大判定结果dl的内容重新开始服务器侧驾驶计划dd的生成。此外，后述基于地图服务器装置500的扩大判定结果dl的发送等，在扩大判定结果dl中包含管理内区域的扩大的可否、表示扩大后的管理内区域的信息等。
71.具体而言，驾驶计划部405在接收到的扩大判定结果dl是表示不能扩大管理内区域的结果的内容的情况下，继续服务器侧驾驶计划dd的生成的中断。另外，驾驶计划部405在接收到的扩大判定结果dl是表示能够扩大管理内区域的结果的内容的情况下，重新开始服务器侧驾驶计划dd的生成。该情况下，驾驶计划部405基于表示扩大后的管理内区域的信息，进行目标位置的设定。
72.＜地图服务器装置500的详细结构＞
73.地图服务器装置500具备在与外部的装置之间收发各种数据的数据收发部501以及蓄积有各种数据的数据库502。另外，地图服务器装置500具备信息获取部503以及数据库更新部504等功能块。这些各功能块通过地图服务器装置500所具备的cpu执行储存于非过渡性实体存储介质的计算机程序来执行与计算机程序对应的处理而实现，即通过软件来实现。此外，也可以是通过硬件实现各功能块中的至少一部分的结构。
74.信息获取部503获取储存于数据库502的各种数据。信息获取部503若经由数据收发部501接收从汽车300发送的区间信息请求dc，则通过检索蓄积于数据库502的各种数据来获取与临时密钥da的有效区间相关的信息亦即有效区间信息dm。信息获取部503将获取到的有效区间信息dm经由数据收发部501发送到汽车300。
75.此外，有效区间相当于通过临时密钥da汽车300能够行驶的范围亦即能够行驶范围。另外，有效区间信息相当于与能够行驶范围相关的信息亦即能够行驶范围信息。有效区间信息dm例如是通过可信赖的第三方机关预先准备的，蓄积在数据库502内。有效区间信息dg成为存储有有效区间的地图信息，该有效区间是临时密钥da能够有效使用的区间。此外，作为有效区间，例如能够仅将提供avp的服务的区域、即停车场内的区域设为对象。
76.另外，信息获取部503若经由数据收发部501接收从汽车300发送的区域信息请求dg，则通过检索蓄积于数据库502的各种数据，获取能够停车区域信息df。信息获取部503将获取到的能够停车区域信息df经由数据收发部501发送到汽车300。也就是说，信息获取部503根据来自汽车300的请求从数据库502获取能够停车区域信息df，并将该能够停车区域信息df发送到汽车300。由信息获取部503执行的各处理相当于信息获取步骤。
77.数据库更新部504进行数据库502的更新，具备划分变更部505以及能够停车区域变更部506。划分变更部505若经由数据收发部501接收从停车场服务器装置400发送的区域扩大请求dk，则判断管理内区域的扩大的可否。划分变更部505若判断为能够扩大管理内区域，则更新数据库502以扩大管理内区域。
78.也就是说，划分变更部505根据来自停车场服务器装置400的请求，更新存储于数据库502的信息以扩大管理内区域。另外，划分变更部505将包含管理内区域的扩大的可否、表示扩大后的管理内区域的信息等的扩大判定结果dl经由数据收发部501发送到停车场服务器装置400。由划分变更部505执行的各处理相当于划分变更步骤。
79.能够停车区域变更部506若经由数据收发部501接收从汽车300发送的停车位置信息di，则更新数据库502，以将该停车位置信息di所表示的区域、即汽车300停车的场所从汽车300在管理外区域中能够停车的区域中排除。也就是说，能够停车区域变更部506若接收停车位置信息di，则更新存储于数据库502的信息，以将该停车位置信息di所表示的区域从汽车300在管理外区域中能够停车的区域中排除。
80.另外，能够停车区域变更部506若经由数据收发部501接收从汽车300发送的出发信息dj以及停车位置信息di，则更新数据库502，以将该停车位置信息di所表示的区域、即从汽车300在管理外区域中能够停车的区域中排除了的场所返回到在管理外区域中汽车300能够停车的区域。也就是说，能够停车区域变更部506若接收出发信息dj以及停车位置信息di，则更新存储于数据库502的信息，以将该停车位置信息di所表示的区域返回到在管理外区域中汽车300能够停车的区域。由能够停车区域变更部506执行的各处理相当于能够
停车区域变更步骤。
81.＜基于驾驶计划判定部的具体的判定方法＞
82.作为基于汽车300的驾驶计划判定部306的服务器侧驾驶计划dd的具体的判定方法，例如能够采用以下那样的方法。即，若在服务器侧驾驶计划dd的路径中包含汽车300被引导至停车场的外部的路径，则驾驶计划判定部306判定为服务器侧驾驶计划dd不正确且有篡改的可能性。
83.另外，若汽车300以外的汽车等车辆停在服务器侧驾驶计划dd的目标位置，则驾驶计划判定部306判定为服务器侧驾驶计划dd不正确且有篡改的可能性。并且，在包含服务器侧驾驶计划dd的目标位置的路径上存在妨碍汽车300的行驶的物体亦即障碍物的情况下，驾驶计划判定部306判定为服务器侧驾驶计划dd不正确且有篡改的可能性。
84.接下来，对上述结构的作用进行说明。首先，参照图3～图9对执行avp时的各部的处理进行说明。
85.＜从“avp申请”到“临时密钥验证”为止的处理的流程＞
86.从avp申请到临时密钥验证为止的处理成为图3所示那样的内容的处理。首先，若通过用户的操作申请代客泊车，则终端装置200在步骤s201中，将表示申请代客泊车的意旨的申请信息dn发送到停车场服务器装置400。
87.在申请信息dn中也可以包含作为代客泊车的对象的汽车300的种类(例如，是普通汽车，还是小型汽车等)、车高等有助于停车框的选择的信息。停车场服务器装置400若在步骤s401中接收申请信息dn，则在步骤s402中生成临时密钥请求db，在步骤s403中对临时密钥请求db赋予署名。然后，停车场服务器装置400在步骤s404中，将赋予有署名的临时密钥请求db发送到终端装置200。
88.终端装置200若在步骤s202中接收临时密钥请求db，则在步骤s203中基于赋予到临时密钥请求db的署名验证临时密钥请求db的真假。终端装置200在步骤s203中的验证结果为真的情况下，在步骤s204中生成临时密钥da。然后，终端装置200在步骤s205中将临时密钥da发送到汽车300，并且在步骤s206中将临时密钥da发送到停车场服务器装置400。
89.汽车300若在步骤s301中接收临时密钥da，则在步骤s302中验证临时密钥da的真假。停车场服务器装置400若在步骤s405中接收临时密钥da，则在步骤s406中，判断在停车场的管理内区域中是否存在汽车300能够停车的区域。在此处，在判断为在管理内区域中不存在成为汽车300能够停车的区域的停车框的情况下，在步骤s406中成为“否”，进入步骤s407。在步骤s407中，执行用于请求能够停车的区域的扩大的扩大请求处理。此外，后述扩大请求处理。在步骤s407的执行后，进入步骤s408。
90.另一方面，在判断为在管理内区域中存在成为汽车300能够停车的区域的停车框的情况下，在步骤s406中成为“是”，进入步骤s408。停车场服务器装置400在步骤s408中，生成包括用于将汽车300向管理内区域所包含的目标位置引导的路径的服务器侧驾驶计划dd。此时，停车场服务器装置400根据停车框的空闲状况选定适当的目标位置。此外，在申请信息dn中包含汽车300的种类、车高等信息的情况下，停车场服务器装置400也可以考虑这些信息来选定最佳的目标位置。
91.然后，停车场服务器装置400在步骤s409中将临时密钥da以及所生成的服务器侧驾驶计划dd发送到汽车300。汽车300若在步骤s303中接收临时密钥da以及服务器侧驾驶计
划dd，则在步骤s304中验证临时密钥da的真假。
92.＜扩大请求处理＞
93.扩大请求处理成为图4所示那样的内容。首先，停车场服务器装置400在步骤s410中生成区域扩大请求dk，并且将该生成的区域扩大请求dk发送到地图服务器装置500。地图服务器装置500若在步骤s501中接收区域扩大请求dk，则在步骤s502中，进行判断管理内区域的扩大的可否的区域扩大判定。
94.然后，地图服务器装置500在步骤s503中，基于区域扩大判定的结果生成扩大判定结果dl，并且将该生成的扩大判定结果dl发送到停车场服务器装置400。停车场服务器装置400若在步骤s411中接收扩大判定结果dl，则在步骤s412中基于扩大判定结果dl来判断是否能够扩大管理内区域。
95.在此处，在判断为能够扩大管理内区域的情况下，在步骤s412中成为“是”，结束扩大请求处理，进入用于生成服务器侧驾驶计划dd的步骤s408。与此相对，在判断为不能扩大管理内区域的情况下，在步骤s412中成为“否”，进入步骤s413。在步骤s413中，自动驾驶未决。该情况下，在经过规定时间后等再次执行扩大请求处理，判断管理内区域的扩大的可否。
96.＜从“有效期间判定”到“出发时处理”为止的处理的流程＞
97.从有效期间判定到出发时处理为止的处理成为图5所示那样的内容的处理。首先，汽车300在步骤s302以及s304中的验证结果为真的情况下，在步骤s305中判定临时密钥da的有效期间。若步骤s305中的判定的结果是判断为未超过有效期间，则汽车300在步骤s306中生成区间信息请求dc。然后，汽车300在步骤s307中将区间信息请求dc发送到地图服务器装置500。
98.地图服务器装置500若在步骤s501中接收区间信息请求dc，则在步骤s505中通过检索蓄积于数据库502的各种数据来获取有效区间信息dm。然后，地图服务器装置500在步骤s506中将有效区间信息dm发送到汽车300。汽车300若在步骤s308中接收有效区间信息dm，则在步骤s309中判定服务器侧驾驶计划dd的真伪。详细情况后述，汽车300通过将有效区间信息dm和服务器侧驾驶计划dd进行对照等，来判定服务器侧驾驶计划dd的真伪。
99.在此处，在判定为服务器侧驾驶计划dd正确且没有篡改的可能性的情况下，在步骤s310中成为“是”，进入步骤s311。汽车300在步骤s311中执行根据服务器侧驾驶计划dd的自动驾驶控制。然后，汽车300在步骤s312中判断汽车300的停车是否完成。在此处，在汽车300的停车未完成的情况下，在步骤s312中成为“否”，返回到步骤s309。另一方面，在汽车300的停车完成的情况下，在步骤s312中成为“是”，结束本处理。
100.与此相对，在判定为服务器侧驾驶计划dd不正确且有篡改的可能性的情况下，在步骤s310中成为“否”，进入步骤s313。在步骤s313中，执行在切换到汽车300主导的控制、即车辆主导控制时进行的切换时处理。此外，后述切换时处理。在步骤s313的执行后，进入步骤s314。汽车300在步骤s314中执行根据车辆侧驾驶计划dh的自动驾驶控制。然后，汽车300在步骤s315中判断汽车300的停车是否完成。
101.在此处，在汽车300的停车未完成的情况下，在步骤s315中成为“否”，返回到步骤s314。另一方面，在汽车300的停车完成的情况下，在步骤s315中成为“是”，进入步骤s316。在步骤s316中，执行在通过车辆主导控制使汽车300停车时进行的停车时处理。此外，后述
停车时处理。在步骤s316的执行后，进入步骤s317，执行在通过车辆主导控制使汽车300停车后出发时进行的出发时处理。此外，后述出发时处理。在步骤s317的执行后，结束本处理。
102.＜切换时处理＞
103.切换时处理包括图6所示那样的内容的第一处理和图7所示那样的内容的第二处理这两个处理。第一处理以及第二处理可以并行执行，也可以以在执行一方后执行另一方的方式串行执行。
104.[1]第一处理
[0105]
在第一处理中，首先，汽车300在步骤s318中生成区域信息请求dg，并且将该生成的区域信息请求dg发送到地图服务器装置500。地图服务器装置500若在步骤s507中接收区域信息请求dg，则在步骤s508中通过检索蓄积于数据库502的各种数据来获取能够停车区域信息df。
[0106]
然后，地图服务器装置500在步骤s509中将能够停车区域信息df发送到汽车300。汽车300若在步骤s319中接收能够停车区域信息df，则在步骤s320中，基于能够停车区域信息df生成车辆侧驾驶计划dh，该车辆侧驾驶计划dh包括用于将汽车300向管理外区域所包含的目标位置引导的路径。
[0107]
[2]第二处理
[0108]
在第二处理中，首先，汽车300在步骤s321中获取车辆相关信息de。然后，汽车300在步骤s322中将车辆相关信息de发送到停车场服务器装置400。停车场服务器装置400若在步骤s414中接收车辆相关信息de，则在步骤s415中，执行基于该车辆相关信息de以及服务器侧驾驶计划dd进行异常的分层，并且实施与该分层的结果相对应的应对的异常应对处理。
[0109]
＜关于停车时处理＞
[0110]
停车时处理成为图8所示那样的内容。首先，汽车300在步骤s323中生成停车位置信息di，并且将该生成的停车位置信息di发送到地图服务器装置500。地图服务器装置500若在步骤s510中接收停车位置信息di，则在步骤s511中，更新数据库502，以将该停车位置信息di所表示的区域从汽车300在管理外区域中能够停车的区域中排除。
[0111]
＜关于出发时处理＞
[0112]
出发时处理成为图9所示那样的内容。首先，汽车300在步骤s324中生成出发信息dj，并且将该生成的出发信息dj与停车位置信息di一起发送到地图服务器装置500。地图服务器装置500若在步骤s512中接收出发信息dj以及停车位置信息di，则在步骤s513中，更新数据库502，以将该停车位置信息di所表示的区域返回到在管理外区域中汽车300能够停车的区域。
[0113]
＜与驾驶计划的判定相关的具体的事例＞
[0114]
接着，参照图10～图12对与服务器侧驾驶计划dd的判定相关的具体的事例进行说明。在以下的说明中，列举入库的事例，但出库的事例也同样。此外，在图10～图12中，对于停车场p，通过用实线的直线划分来示意性地表示多个停车框。另外，在图10～图12中，用赋予有阴影线的圆圈表示服务器侧驾驶计划dd中的目标位置g。并且，在图10～图12中，描绘了多个汽车，仅对这些多个汽车中的成为avp的对象的汽车标注附图标记300。
[0115]
[1]判定结果成为ng的具体的事例1
[0116]
如图10所示，事例1是通过服务器侧驾驶计划dd指定了停车场外的区域的情况的事例。具体而言，在事例1中，服务器侧驾驶计划dd中的目标位置g不是停车场p内的区域，而成为与该停车场p相邻的道路r上的区域。
[0117]
驾驶计划判定部306在最初执行图5所示的步骤s309以及s310的处理时，通过将有效区间信息dm和服务器侧驾驶计划dd进行对照，能够判断目标位置g是否设定在能够行驶范围内。因此，驾驶计划判定部306能够对于这样的事例1，在开始用于avp的自动驾驶控制之前，判断为目标位置g被设定在能够行驶范围外，而判定为服务器侧驾驶计划dd不正确且有篡改的可能性。因此，在事例1中，不执行根据服务器侧驾驶计划dd的自动驾驶控制，进行向车辆主导控制的切换。
[0118]
在这样的事例1的情况下，假定停车场服务器装置400的异常应对处理部406执行如下的处理。即，异常应对处理部406在像这样认为目标位置等位置信息存在异常的情况下，判断为汽车300的通信被有恶意的第三方等劫持。而且，异常应对处理部406基于车辆相关信息de，记录检测出这样的异常时的汽车300的周围的信息、产生时刻等。
[0119]
[2]判定结果成为ng的具体的事例2
[0120]
如图11所示，事例2是在由服务器侧驾驶计划dd指定的停车位停有其它汽车的情况的事例。具体而言，在事例2中，服务器侧驾驶计划dd中的目标位置g成为停车场p内的区域，但在该目标位置g所表示的停车框中已经停有其它汽车。如图5所示，驾驶计划判定部306在开始根据服务器侧驾驶计划dd的自动驾驶控制之后，到停车完成为止的期间持续执行用于判定服务器侧驾驶计划dd的步骤s309以及s310的处理。
[0121]
因此，驾驶计划判定部306能够对于这样的事例2，通过在自动驾驶控制的开始后，在汽车300接近目标位置g的时刻，检测在该目标位置g停有其它汽车，来判定为服务器侧驾驶计划dd不正确且有篡改的可能性。此外，在目标位置g停有其它汽车的情况能够通过搭载于汽车300的相机的影像等来检测。因此，在事例2中，在暂时执行根据服务器侧驾驶计划dd的自动驾驶控制之后，进行向车辆主导控制的切换。
[0122]
在这样的事例2的情况下，假定停车场服务器装置400的异常应对处理部406执行如下的处理。即，异常应对处理部406在像这样认为目标位置等位置信息正常，但在该目标位置停有不希望的其它汽车的情况下，判断为该其它汽车的通信以及汽车300的通信中的任一个通信被有恶意的第三方等劫持。
[0123]
而且，异常应对处理部406基于已经发送完毕的全部的服务器侧驾驶计划，判断停着的其它汽车以及汽车300中的哪一个的通信被劫持，即在其它汽车以及汽车300中的哪一个产生异常。这样的判断例如能够如下进行。即，异常应对处理部406从发送完毕的服务器侧驾驶计划中检索设定了与当前其它汽车停车的位置相同的目标位置的服务器侧驾驶计划。
[0124]
异常应对处理部406在该服务器侧驾驶计划的发送对象是其它汽车的情况下，判断为在汽车300产生异常。另外，异常应对处理部406在该服务器侧驾驶计划的发送对象是汽车300的情况下，判断为在其它汽车产生异常。该情况下，假定如下状况：其它汽车接收不正确的驾驶计划，执行了根据该不正确的驾驶计划的自动驾驶控制，但作为其目标位置而设定的停车框也偶然空闲，因此进行了停车。
[0125]
然后，异常应对处理部406基于车辆相关信息de，记录检测出这样的异常时的汽车
300的周围的信息、产生时刻等，向停车场的管理者通知各信息。在此处，在基于上述的异常应对处理部406的判断的结果是在其它汽车产生异常的判断的情况下，也可以再次尝试停车场服务器装置400主导的自动驾驶控制。即，该情况下，也可以返回到图3所示的步骤s408，停车场服务器装置400的驾驶计划部405再次生成包含其它目标位置的服务器侧驾驶计划dd，并执行以后的处理。
[0126]
[3]判定结果成为ng的具体的事例3
[0127]
如图12所示，事例3是在由服务器侧驾驶计划dd指定的停车位存在例如三角锥等障碍物o的情况的事例。具体而言，在事例3中，服务器侧驾驶计划dd中的目标位置g成为停车场p内的区域，但在该目标位置g所表示的停车框存在障碍物o。如图5所示，驾驶计划判定部306在开始根据服务器侧驾驶计划dd的自动驾驶控制之后，到停车完成为止的期间持续执行用于判定服务器侧驾驶计划dd的步骤s309以及s310的处理。
[0128]
因此，驾驶计划判定部306能够对于这样的事例3，通过在自动驾驶控制的开始后，在汽车300接近目标位置g的时刻，检测在该目标位置g存在障碍物o，来判定为服务器侧驾驶计划dd不正确且有篡改的可能性。此外，在目标位置g存在障碍物o的情况能够通过搭载于汽车300的相机的影像等来检测。因此，在事例3中，在暂时执行了根据服务器侧驾驶计划dd的自动驾驶控制之后，进行向车辆主导控制的切换。
[0129]
在这样的事例3的情况下，假定停车场服务器装置400的异常应对处理部406执行如下的处理。即，异常应对处理部406在像这样认为目标位置等位置信息正常，但在该目标位置存在障碍物o的情况下，判断为是停车场侧的问题。而且，异常应对处理部406基于车辆相关信息de，记录检测出这样的异常时的汽车300的周围的信息、产生时刻等，向停车场的管理者通知各信息。
[0130]
该情况下，由于是停车场侧的问题，因此也可以再次尝试停车场服务器装置400主导的自动驾驶控制。即，该情况下，也可以返回到图3所示的步骤s408，停车场服务器装置400的驾驶计划部405再次生成包含其它目标位置的服务器侧驾驶计划dd，并执行以后的处理。此外，在事例3中，对在目标位置g存在障碍物o的情况进行了说明，但在服务器侧驾驶计划dd所包含的路径上的哪一处存在障碍物o的情况也进行相同的处理。但是，该情况下，在尝试停车场服务器装置400主导的自动驾驶控制时，需要生成迂回障碍物o那样的路径的服务器侧驾驶计划dd。
[0131]
根据以上说明的本实施方式，能够获得如下的效果。
[0132]
停车场服务器装置400的驾驶计划部405生成包括用于将汽车300向由停车场服务器装置400管理的管理内区域所包含的目标位置引导的路径的服务器侧驾驶计划dd，并将该服务器侧驾驶计划dd发送到汽车300。汽车300的驾驶计划判定部306判定服务器侧驾驶计划dd的真伪，即判定服务器侧驾驶计划dd是否有篡改的可能性。汽车300的自动驾驶控制部309执行根据服务器侧驾驶计划dd的自动驾驶控制。
[0133]
若由驾驶计划判定部306判定为服务器侧驾驶计划dd不正确，即判定为服务器侧驾驶计划dd有篡改的可能性，则汽车300的信息发送部307获取与汽车300相关的信息亦即车辆相关信息de，并将该车辆相关信息de发送到停车场服务器装置400。停车场服务器装置400的异常应对处理部406若接收车辆相关信息de，则基于该车辆相关信息de以及服务器侧驾驶计划dd，进行由于不正确的即有篡改的可能性的服务器侧驾驶计划dd而在汽车300的
周边产生的异常的分层，执行与该分层的结果相对应的异常应对处理。
[0134]
根据上述结构，在服务器侧驾驶计划dd被窃听了停车场服务器装置400与汽车300之间的通信的有恶意的第三方篡改的情况下，通过停车场服务器装置400的异常应对处理部406执行异常应对处理，因此能够将根据该篡改后的服务器侧驾驶计划dd进行自动驾驶控制而产生的损害限制在最小限度。因此，根据上述结构，获得能够提高系统的安全性的优异的效果。
[0135]
地图服务器装置500的信息获取部503根据来自汽车300的请求，从数据库502获取能够停车区域信息df，并将该能够停车区域信息df发送到汽车300，该能够停车区域信息df是表示在不由停车场服务器装置400管理的管理外区域中汽车300能够停车的区域的信息。汽车300的请求生成部305若由驾驶计划判定部306判定为服务器侧驾驶计划dd不正确，则对地图服务器装置500请求能够停车区域信息df的发送。汽车300的驾驶计划部308若接收能够停车区域信息df，则基于该能够停车区域信息df生成包括用于将汽车300向管理外区域所包含的目标位置引导的路径的车辆侧驾驶计划dh。
[0136]
而且，汽车300的自动驾驶控制部309在由驾驶计划判定部306判定为服务器侧驾驶计划dd正确的情况下，执行根据服务器侧驾驶计划dd的自动驾驶控制。另外，自动驾驶控制部309在由驾驶计划判定部306判定为服务器侧驾驶计划dd不正确的情况下，执行根据车辆侧驾驶计划dh的自动驾驶控制。
[0137]
根据上述结构，即使在服务器侧驾驶计划dd被窃听了停车场服务器装置400与汽车300之间的通信的有恶意的第三方篡改的情况下，也能够通过车辆主导的自动驾驶控制进行向不由停车场服务器装置400管理的管理外区域所包含的目标位置的自动停车，因此能够使汽车300正常停车。因此，获得能够提高系统的安全性的优异的效果。
[0138]
在产生上述那样的异常而规定的汽车300被切换到车辆主导的自动驾驶控制的情况下，在停车场内，混合存在进行车辆主导的自动停车的汽车300和进行停车场服务器装置400主导的自动停车的汽车300。但是，该情况下，停车场内的区域被划分为由停车场服务器装置400管理的管理内区域和不由停车场服务器装置400管理的管理外区域。因此，根据本实施方式，即使在产生这样的异常时，也能够不使停车场整体的控制复杂化地实现顺利的自动停车。
[0139]
停车场服务器装置400的请求生成部407若判断为在管理内区域中不存在汽车300能够停车的区域，则对地图服务器装置500请求管理内区域的扩大。而且，地图服务器装置500的划分变更部505根据来自停车场服务器装置400的请求，更新存储于数据库502的信息，以扩大管理内区域。
[0140]
管理外区域仅在异常产生时实施车辆主导的自动驾驶控制的情况下使用，在正常时不被使用。根据上述结构，例如在停车场的管理内区域所包含的停车位饱和的情况下等，能够有效利用这样的在正常时不使用的管理外区域，即能够减少管理外区域，将该减少的空间分配为管理内区域。因此，根据本实施方式的avp系统1，能够实现有效地利用有限的停车场内的空间的自动停车。
[0141]
若通过自动驾驶控制部309执行根据车辆侧驾驶计划dh的自动驾驶控制而完成汽车300向管理外区域所包含的目标位置的停车，则汽车300的停车位置发送部310将表示该停车的位置的停车位置信息di发送到地图服务器装置500。地图服务器装置500的能够停车
区域变更部506若接收停车位置信息di，则更新存储于数据库502的信息，以将该停车位置信息di所表示的区域从汽车300在管理外区域中能够停车的区域中排除。
[0142]
根据这样的结构，即使在例如同时多个汽车300由于产生异常而切换到车辆主导的自动驾驶控制的情况下，也能够不重复它们的目标位置，而使多个汽车300正常停车。因此，根据上述结构，能够进一步提高系统的安全性。
[0143]
另外，汽车300的停车位置发送部310在停在管理外区域所包含的目标位置的汽车300为了出库而出发时，将表示汽车300出发的意旨的出发信息dj以及停车位置信息di发送到地图服务器装置500。地图服务器装置500的能够停车区域变更部506若接收出发信息dj以及停车位置信息di，则更新存储于数据库502的信息，以将该停车位置信息di所表示的区域返回到在管理外区域中汽车300能够停车的区域。这样，能够实现有效地利用有限的停车场内的空间的自动停车。
[0144]
若在服务器侧驾驶计划dd的路径中包含汽车300被引导至停车场的外部的路径，则汽车300的驾驶计划判定部306判定为服务器侧驾驶计划dd不正确。而且，如上所述，汽车300若判定为服务器侧驾驶计划dd不正确，则切换到车辆主导的自动驾驶控制。这样，能够防止例如由于有恶意的第三方的黑客攻击等而违背用户的意图将汽车300引导到停车场的外部而被盗这样的最坏情况的产生。
[0145]
若在服务器侧驾驶计划dd的目标位置停有汽车300以外的汽车，则汽车300的驾驶计划判定部306判定为服务器侧驾驶计划dd不正确。而且，如上所述，汽车300若判定为服务器侧驾驶计划dd不正确，则切换到车辆主导的自动驾驶控制。这样，能够防止由于其它汽车停在目标位置而汽车300永久不能停车的情况的产生。
[0146]
在包含服务器侧驾驶计划dd的目标位置的路径上存在妨碍汽车300的行驶的物体亦即障碍物o的情况下，汽车300的驾驶计划判定部306判定为服务器侧驾驶计划dd不正确。而且，如上所述，汽车300若判定为服务器侧驾驶计划dd不正确，则切换到车辆主导的自动驾驶控制。这样，能够防止由于在通道或者目标位置存在障碍物而汽车300永久不能停车的情况的产生。
[0147]
(第二实施方式)
[0148]
以下，参照图13～图18对第二实施方式进行说明。
[0149]
＜自动代客泊车系统120的整体结构＞
[0150]
图13所示的本实施方式的avp系统120相对于第一实施方式的avp系统100在以下方面不同：具备终端装置220、汽车320、停车场服务器装置420以及地图服务器装置520来代替终端装置200、汽车300、停车场服务器装置400以及地图服务器装置500，追加了oem服务器装置700等。
[0151]
终端装置220、停车场服务器装置420以及oem服务器装置700经由网络600可通信地连接。另外，汽车320、停车场服务器装置420以及oem服务器装置700经由网络600可通信地连接。并且，oem服务器装置700、停车场服务器装置420以及地图服务器装置520经由网络600可通信地连接。这样，在avp系统120中，终端装置220、汽车320、停车场服务器装置420、地图服务器装置520以及oem服务器装置700被构成为能够在彼此之间相互进行数据的收发。
[0152]
oem服务器装置700是由作为汽车320的制造者的车辆制造商、所谓的oem运营的服
务器装置。该情况下，oem服务器装置700由oem直接管理。此外，oem服务器装置700也可以由与oem之间签订保密合同等并被oem委托运营的其它公司等间接管理。
[0153]
＜终端装置220的详细结构＞
[0154]
该情况下，详细情况后述，仅在执行avp时，oem服务器装置700生成临时密钥da。如图14所示，本实施方式的终端装置220相对于第一实施方式的终端装置200，对功能块的结构施加了变更。即，本实施方式的终端装置220具备申请信息生成部205以及信息加密部206等功能块。
[0155]
申请信息生成部203生成与代客泊车的申请相关的信息亦即申请信息dn。在申请信息dn中包含用户的信息、申请目的地的停车场的信息、停车场的利用时间的信息等。申请信息生成部203将所生成的申请信息dn经由数据收发部201发送到停车场服务器装置420以及oem服务器装置700。
[0156]
该情况下，在存储部202中存储有与汽车320相关的信息亦即车辆信息。在车辆信息中，例如包含与车型、车号、车高等尺寸、车辆的持有者即用户的信息等相关的信息。此外，作为与车型相关的信息，能够列举例如是普通汽车还是小型汽车这样的信息。车型、尺寸等信息成为有助于停车框的选择的信息。信息加密部204从存储部202读出车辆信息，并对该车辆信息进行加密。信息加密部204将加密后的车辆信息do经由数据收发部201发送到停车场服务器装置420以及oem服务器装置700。
[0157]
该情况下，同时进行申请信息dn以及车辆信息do针对停车场服务器装置420的发送。另外，该情况下，同时进行申请信息dn以及车辆信息do针对oem服务器装置700的发送。此外，被发送到oem服务器装置700的申请信息dn中至少包含申请目的地的停车场的信息即可。另外，在以下的说明中，有时将发送到oem服务器装置700的申请信息dn以及车辆信息do统称为认证信息。
[0158]
＜汽车320的详细结构＞
[0159]
本实施方式的汽车320相对于第一实施方式的汽车300，对功能块的结构施加了变更。即，本实施方式的汽车320具备请求生成部305、驾驶计划判定部306、信息发送部307、驾驶计划部308、自动驾驶控制部309、停车位置发送部310以及解密部311等功能块。
[0160]
该情况下，请求生成部305若经由数据收发部301接收从oem服务器装置700发送的临时密钥da以及有效区间信息dm，则生成请求驾驶计划的生成的驾驶计划请求dp。此外，后述基于oem服务器装置700的临时密钥da以及有效区间信息dm的发送。请求生成部305将所生成的驾驶计划请求dp经由数据收发部301发送到停车场服务器装置420。
[0161]
解密部311若接收从oem服务器装置700发送的临时密钥da，并且接收从停车场服务器装置420发送的密码dq，则验证它们的组合是否有效。此外，后述基于停车场服务器装置420的密码dq的发送。解密部311在上述组合有效的情况下，使用密码dq解除临时密钥da，即使临时密钥da有效化。
[0162]
自动驾驶控制部309若经由数据收发部301接收从oem服务器装置700发送的临时密钥da，并且经由数据收发部301接收从停车场服务器装置420发送的服务器侧驾驶计划dd以及密码dq，则根据服务器侧驾驶计划dd执行自动驾驶控制。其中，在作为基于解密部311的验证结果而得到临时密钥da以及密码dq的组合为有效的结果的情况下，即在通过解密部311使临时密钥da有效化的情况下，自动驾驶控制部309判断为能够利用与密码dq一起被发
送的服务器侧驾驶计划dd，根据该服务器侧驾驶计划dd执行自动驾驶控制。
[0163]
＜停车场服务器装置420的详细结构＞
[0164]
本实施方式的停车场服务器装置420相对于第一实施方式的停车场服务器装置400，对功能块的结构施加了变更。即，本实施方式的停车场服务器装置420具备密钥请求生成部403、驾驶计划部405、异常应对处理部406以及请求生成部407等功能块。
[0165]
该情况下，密钥请求生成部403若经由数据收发部401接收从终端装置220发送的申请信息dn以及加密后的车辆信息do，则生成请求临时密钥da的生成的临时密钥请求db。密钥请求生成部403将所生成的临时密钥请求db和加密后的车辆信息do经由数据收发部401发送到oem服务器装置700。
[0166]
该情况下，驾驶计划部405若经由数据收发部401接收从汽车320发送的驾驶计划请求dp，则生成服务器侧驾驶计划dd。驾驶计划部405若经由数据收发部401接收从oem服务器装置700发送的密码dq，则将密码dq与所生成的服务器侧驾驶计划dd一起经由数据收发部401发送到汽车320。
[0167]
该情况下，异常应对处理部406若基于车辆相关信息de以及服务器侧驾驶计划dd进行由于服务器侧驾驶计划dd而在汽车320的周边产生的异常的分层，则将表示该异常的分层的结果的异常信息dr经由数据收发部401发送到oem服务器装置700。另外，该情况下，请求生成部407将所生成的区域扩大请求dk经由oem服务器装置700发送到地图服务器装置520。
[0168]
＜oem服务器装置700的详细结构＞
[0169]
oem服务器装置700具备与外部的装置之间收发各种数据的数据收发部701以及存储各种数据的存储部702。在存储部702中，除了预先储存的各种信息之外，还存储有经由数据收发部701接收的各种信息。另外，oem服务器装置700具备解密部703、验证部704、请求生成部705、临时密钥生成部706以及异常验证部707等功能块。
[0170]
这些各功能块通过oem服务器装置700所具备的cpu执行储存于非过渡性实体存储介质的计算机程序来执行与计算机程序对应的处理而实现，即通过软件来实现。此外，也可以是通过硬件实现各功能块中的至少一部分的结构。
[0171]
解密部703若经由数据收发部701接收从终端装置220发送的加密后的车辆信息do，则对该车辆信息do进行解密。另外，解密部703若经由数据收发部701接收从停车场服务器装置400发送的加密后的车辆信息do，则对该车辆信息do进行解密。验证部704若经由数据收发部701接收从终端装置200发送的申请信息dn，并且经由数据收发部701接收从停车场服务器装置420发送的临时密钥请求db，则验证该临时密钥请求db的真假。
[0172]
具体而言，验证部704通过如以下那样验证从终端装置220以及停车场服务器装置420发送的各信息来验证临时密钥请求db的真假。即，验证部704判断从终端装置200发送的车辆信息do和从停车场服务器装置420发送的车辆信息do是否一致。另外，验证部704判断从终端装置220发送的申请信息dn所包含的申请目的地的停车场和设置有作为临时密钥请求db的发送源的停车场服务器装置420的停车场是否一致，即停车场信息是否一致。
[0173]
验证部704在车辆信息do一致并且停车场信息一致的情况下，判断为临时密钥请求db为真，在车辆信息do以及停车场信息中的一方或者双方不一致的情况下，判断为临时密钥请求db不为真。请求生成部705生成请求有效区间信息dm的发送的区间信息请求dc。请
求生成部705将所生成的区间信息请求dc经由数据收发部701发送到地图服务器装置520。
[0174]
临时密钥生成部706在基于验证部704的验证结果为真的情况下，生成临时密钥da。临时密钥生成部706若经由数据收发部701接收从地图服务器装置520发送的有效区间信息dm，则将接收到的有效区间信息dm与所生成的临时密钥da一起经由数据收发部701发送到汽车320。该情况下，临时密钥生成部706在生成临时密钥da时，也生成用于使临时密钥da有效化的密码dq。此外，作为密码dq，例如，能够采用一次性密码。临时密钥生成部706将所生成的密码dq经由停车场服务器装置420发送到汽车320。
[0175]
异常验证部707若经由数据收发部701接收从停车场服务器装置420发送的异常信息dr，则进行基于该异常信息dr验证在汽车320的周边产生的异常的异常验证处理。由异常验证部707执行的各处理相当于异常验证步骤。
[0176]
＜地图服务器装置520的详细结构＞
[0177]
在本实施方式的地图服务器装置520中，信息获取部503若经由数据收发部501接收从oem服务器装置700发送的区间信息请求dc，则通过检索蓄积于数据库502的各种数据来获取有效区间信息dm。信息获取部503将获取到的有效区间信息dm经由数据收发部501发送到oem服务器装置700。该情况下，划分变更部505将扩大判定结果dl经由oem服务器装置700发送到停车场服务器装置420。
[0178]
接下来，对上述结构的作用进行说明。首先，参照图15～图18对执行avp时的各部的处理进行说明。此外，在图15～图18所示的各处理中，对与第一实施方式同样的内容的处理标注相同的步骤编号。
[0179]
＜从“avp申请”到“有效区间信息接收”为止的处理的流程＞
[0180]
从avp申请到有效区间信息接收为止的处理成为图15所示那样的内容的处理。首先，若通过用户的操作申请代客泊车，则终端装置220在步骤s251中，识别该申请的操作，根据该操作内容生成申请信息dn。
[0181]
终端装置220在步骤s252中，进行车辆信息do的加密。终端装置220在步骤s253中，将申请信息dn以及加密后的车辆信息do发送到停车场服务器装置420。另外，终端装置220在步骤s254中，将申请信息dn以及加密后的车辆信息do、即代客泊车申请的认证信息发送到oem服务器装置700。
[0182]
停车场服务器装置420若在步骤s451中接收申请信息dn以及加密后的车辆信息do，则进入步骤s452，生成临时密钥请求db。停车场服务器装置420在步骤s453中，将临时密钥请求db以及加密后的状态的车辆信息do发送到oem服务器装置700。在本实施方式中，由终端装置220加密的车辆信息do的解密在oem服务器装置700中进行，但不在停车场服务器装置420中进行。因此，停车场服务器装置420无法知晓从终端装置220发送的包含个人信息等的车辆信息do的内容。
[0183]
oem服务器装置700若在步骤s701中接收临时密钥请求db以及加密后的车辆信息do，并且在步骤s702中接收认证信息，则进入步骤s703，进行车辆信息do的解密。oem服务器装置700在步骤s704中，进行临时密钥请求db的真假的验证。oem服务器装置700仅在判断为临时密钥请求db为真的情况下，执行步骤s705及其之后的处理。
[0184]
oem服务器装置700在判断为临时密钥请求db不为真的情况下，对终端装置220发送错误消息等，对用户进行无法生成临时密钥da、进而无法执行avp的意旨的报知，由此结
束avp系统120中的一系列的处理。oem服务器装置700在步骤s705中，生成区间信息请求dc。oem服务器装置700在步骤s706中，将区间信息请求dc发送到地图服务器装置500。
[0185]
地图服务器装置500若在步骤s551中接收区间信息请求dc，则进入步骤s552，通过检索蓄积于数据库502的各种数据来获取有效区间信息dm。然后，地图服务器装置500在步骤s553中，将有效区间信息dm发送到oem服务器装置700。oem服务器装置700在步骤s707中接收有效区间信息dm。
[0186]
＜从“临时密钥等生成”到“出发时处理”为止的处理的流程＞
[0187]
从临时密钥等生成到出发时处理为止的处理成为图16所示那样的内容的处理。oem服务器装置700若如上述那样在步骤s707中接收有效区间信息dm，则进入步骤s708，生成临时密钥da以及密码dq。oem服务器装置700在步骤s709中，将临时密钥da以及有效区间信息dm发送到汽车320。另外，oem服务器装置700在步骤s710中，将密码dq发送到停车场服务器装置420。
[0188]
汽车320若在步骤s351中接收临时密钥da以及有效区间信息dm，则进入步骤s352，生成驾驶计划请求dp。汽车320在步骤s353中，将驾驶计划请求dp发送到停车场服务器装置420。停车场服务器装置420若在步骤s454中接收密码dq，并且在步骤s455中接收驾驶计划请求dp，则进入步骤s406。
[0189]
步骤s406～s408的处理内容与第一实施方式同样，因此，在此处，省略其说明。此外，关于步骤s407的扩大请求处理的具体的内容，与第一实施方式不同，因此后述其内容。在步骤s408的执行后，进入步骤s456。停车场服务器装置420在步骤s456中，将服务器侧驾驶计划dd以及密码dq发送到汽车320。汽车320若在步骤s354中接收服务器侧驾驶计划dd以及密码dq，则进入步骤s355，验证临时密钥da以及密码dq的组合是否有效，在得到它们的组合有效的验证结果的情况下，使用密码dq解除临时密钥da。
[0190]
汽车320在得到临时密钥da以及密码dq的组合不有效的验证结果的情况下，对终端装置220发送错误消息等，对用户进行无法解除临时密钥da、进而无法执行avp的意旨的报知，由此结束avp系统120中的一系列的处理。
[0191]
另一方面，汽车320若使用密码dq解除临时密钥da，则进入步骤s309。步骤s309～s317的处理内容与第一实施方式相同，因此，在此处，省略其说明。此外，关于步骤s313的切换时处理中的第二处理的具体的内容，与第一实施方式不同，因此后述其内容。
[0192]
＜关于扩大请求处理＞
[0193]
本实施方式的扩大请求处理成为图17所示那样的内容。首先，停车场服务器装置420在步骤s410中生成区域扩大请求dk，并且将该生成的区域扩大请求dk发送到oem服务器装置700。oem服务器装置700若在步骤s711中接收区域扩大请求dk，则在步骤s712中，将该接收到的区域扩大请求dk发送到地图服务器装置520。
[0194]
地图服务器装置520若在步骤s501中接收区域扩大请求dk，则在步骤s502中，进行判断管理内区域的扩大的可否的区域扩大判定。然后，地图服务器装置520在步骤s503中，基于区域扩大判定的结果生成扩大判定结果dl，并且将该生成的扩大判定结果dl发送到oem服务器装置700。
[0195]
oem服务器装置700若在步骤s713中接收扩大判定结果dl，则在步骤s714中，将该接收到的扩大判定结果dl发送到停车场服务器装置420。停车场服务器装置420若在步骤
s411中接收扩大判定结果dl，则进入步骤s412。步骤s412以及s413的处理内容与第一实施方式相同，因此，在此处，省略其说明。
[0196]
＜关于切换时处理的第二处理＞
[0197]
如图18所示，在本实施方式的第二处理中，相对于第一实施方式的第二处理，追加了由停车场服务器装置420执行步骤s415的处理之后的处理。该情况下，停车场服务器装置420在步骤s415的执行后进入步骤s457，将异常信息dr发送到oem服务器装置700。oem服务器装置700若在步骤s715中接收异常信息dr，则在步骤s716中，基于该异常信息dr执行异常验证处理。
[0198]
＜与异常应对处理以及异常验证处理相关的具体的事例＞
[0199]
接着，对与基于停车场服务器装置420的异常应对处理以及基于oem服务器装置700的异常验证处理相关的具体的事例进行说明。在此处，对在第一实施方式中参照图10及图11进行了说明的事例1及事例2所对应的各处理的内容进行说明。此外，对于事例3，由于是停车场侧的问题，因此不进行基于oem服务器装置700的异常验证处理，与第一实施方式同样地仅进行基于停车场服务器装置420的异常应对处理。
[0200]
[1]事例1
[0201]
在事例1的情况下，假定停车场服务器装置420的异常应对处理部406以及oem服务器装置700的异常验证部707执行如下的处理。即，异常应对处理部406与第一实施方式同样，该情况下，判断为汽车320的通信被有恶意的第三方等劫持。
[0202]
而且，异常应对处理部406生成包含检测出这样的异常时的汽车320的周围的信息、汽车320的车号及产品编号、产生时刻等的异常信息dr，并且将该生成的异常信息dr发送到oem服务器装置700。异常验证部707若接收从停车场服务器装置420发送的异常信息dr，则判断为在接收到服务器侧驾驶计划dd的汽车320产生异常，记录与该异常相关的各种信息。
[0203]
[2]事例2
[0204]
在事例2的情况下，假定停车场服务器装置420的异常应对处理部406以及oem服务器装置700的异常验证部707执行如下的处理。即，异常应对处理部406与第一实施方式同样，判断其它汽车以及汽车320中的哪一个通信被劫持，即其它汽车以及汽车320中的哪一个异常。然后，异常应对处理部406生成包含检测出这样的异常时的汽车320的周围的信息、被判断为是异常的汽车的车号及产品编号等信息、产生时刻等的异常信息dr，并将该生成的异常信息dr发送到oem服务器装置700。
[0205]
异常验证部707若接收从停车场服务器装置420发送的异常信息dr，则执行对被判断为是异常的汽车的诊断，并且记录与该异常相关的各种信息。此外，作为这样的诊断，例如列举出故障诊断、车辆信息的分析等。在此处，在基于上述的异常应对处理部406的判断的结果是在其它汽车产生异常的判断的情况下，与第一实施方式同样，也可以再次尝试停车场服务器装置420主导的自动驾驶控制。
[0206]
根据以上说明的本实施方式，得到与第一实施方式相同的效果，而且还得到如下的效果。在本实施方式的avp系统120中，汽车320的数字式密钥即临时密钥的交接在oem服务器装置700与汽车320之间直接进行，临时密钥不会被提供给停车场服务器装置520。因此，即使停车场服务器装置520被有恶意的第三方黑客攻击等，也不会获取临时密钥，也没
有汽车320的数字式密钥的机构被读取的担心。这样，根据本实施方式，提高汽车320的数字式密钥的机构的机密性，因此获得能够提高系统的安全性的优异的效果。
[0207]
oem服务器装置700在生成临时密钥时，也生成用于使临时密钥有效化的密码。另外，汽车320若接收临时密钥以及密码，则根据驾驶计划执行自动驾驶控制。也就是说，该情况下，临时密钥以及密码的双方齐全才给予汽车320的操作权限等。而且，oem服务器装置700对汽车320直接发送临时密钥，并且另外经由停车场服务器装置520发送密码。
[0208]
这样，临时密钥以及密码的发送路径不同，因此能够将通过有恶意的第三方的黑客攻击等获取临时密钥以及密码的双方的可能性抑制得较低。而且，即使被黑客攻击等而获取了临时密钥以及密码中的一方，也没有汽车320的数字式密钥的机构被读取的担心，另外，也不会向进行黑客攻击的第三方给予汽车320的操作权限。因此，能够可靠地防止违背用户的意图而将汽车320引导至停车场的外部而被盗这样的最坏的情况的产生。
[0209]
停车场服务器装置520将所生成的服务器侧驾驶计划dd和密码dq作为一组发送到汽车320。这样，汽车320如果能够利用从停车场服务器装置520发送的密码dq正常解除临时密钥da，则能够判断为与该密码dq一起接收到的服务器侧驾驶计划dd也是真的，即能够判断为是从停车场服务器装置520正式发送的。
[0210]
换言之，像这样，即使从例如黑客等有恶意的第三方发送了假的驾驶计划，由于正确的密码不附在一起，因此汽车320能够判断为该驾驶计划是伪造品，不能利用。因此，根据本实施方式，即使发送了由有恶意的第三方生成的有意将汽车300向停车场外引导等有问题的驾驶计划，汽车320也不会根据那样的有问题的驾驶计划执行自动驾驶控制，因此能够良好地维持系统的安全性。
[0211]
该情况下，停车场服务器装置420的异常应对处理部406将表示异常的分层的结果的异常信息dr发送到oem服务器装置700。而且，oem服务器装置700的异常验证部707若接收异常信息dr，则基于该异常信息dr验证在汽车320的周边产生的异常。这样，在异常产生时，在oem服务器装置700中，能够进行无法仅在停车场服务器装置420中进行的应对，例如对被判断为异常的汽车的诊断等。
[0212]
另外，该情况下，产生了异常的情况下的各信息被蓄积于oem服务器装置700。因此，根据上述结构，基于蓄积于oem服务器装置700的各信息，能够研究对异常的产生因素的对策等，采取用于避免异常产生的措施。
[0213]
(第三实施方式)
[0214]
以下，参照图19～图22对第二实施方式进行说明。
[0215]
如图19所示，本实施方式的avp系统130与第二实施方式的avp系统120同样，具备终端装置220、汽车320、停车场服务器装置420、地图服务器装置520以及oem服务器装置700。但是，该情况下，对汽车320与地图服务器装置520之间的通信施加了变更。
[0216]
具体而言，在本实施方式中，针对区域信息请求dg、能够停车区域信息df、停车位置信息di、出发信息dj等特定的数据的收发，汽车320以及地图服务器装置520经由oem服务器装置700进行通信。即，汽车320的请求生成部305将区域信息请求dg经由oem服务器装置700发送到地图服务器装置520。另外，汽车320的停车位置发送部310将所生成的停车位置信息di以及出发信息dj经由oem服务器装置700发送到地图服务器装置520。
[0217]
接下来，对上述结构的作用进行说明。在此处，参照图20～图22对执行avp时的各
部的处理中的与上述各实施方式不同的内容的处理、具体而言切换时处理的第一处理、停车时处理以及出发时处理进行说明。此外，在图20～图22所示的各处理中，对于与上述各实施方式同样的内容的处理标注相同的步骤编号。
[0218]
＜关于切换时处理的第一处理＞
[0219]
本实施方式的第一处理成为图20所示那样的内容。首先，汽车320在步骤s318中生成区域信息请求dg，并且将该生成的区域信息请求dg发送到oem服务器装置700。oem服务器装置700若在步骤s717中接收区域信息请求dg，则在步骤s718中，将该接收到的区域信息请求dg发送到地图服务器装置520。
[0220]
地图服务器装置520若在步骤s507中接收区域信息请求dg，则在步骤s508中通过检索蓄积于数据库502的各种数据来获取能够停车区域信息df。然后，地图服务器装置520在步骤s509中将能够停车区域信息df发送到oem服务器装置700。
[0221]
oem服务器装置700若在步骤s719中接收能够停车区域信息df，则在步骤s720中，将该接收到的能够停车区域信息df发送到汽车320。汽车320若在步骤s319中接收能够停车区域信息df，则在步骤s320中，基于能够停车区域信息df生成包括用于将汽车300向管理外区域所包含的目标位置引导的路径的车辆侧驾驶计划dh。
[0222]
＜关于停车时处理＞
[0223]
本实施方式的停车时处理成为图21所示那样的内容。首先，汽车320在步骤s323中生成停车位置信息di，并且将该生成的停车位置信息di发送到oem服务器装置700。
[0224]
oem服务器装置700若在步骤s721中接收停车位置信息di，则在步骤s721中，将该接收到的停车位置信息di发送到地图服务器装置520。地图服务器装置520若在步骤s510中接收停车位置信息di，则在步骤s511中，更新数据库502，以将该停车位置信息di所表示的区域从汽车320在管理外区域中能够停车的区域中排除。
[0225]
＜关于出发时处理＞
[0226]
本实施方式的出发时处理成为图22所示那样的内容。首先，汽车320在步骤s324中生成出发信息dj，并且将该生成的出发信息dj与停车位置信息di一起发送到oem服务器装置700。
[0227]
oem服务器装置700若在步骤s723中接收出发信息dj以及停车位置信息di，则在步骤s724中，将该接收到的出发信息dj以及停车位置信息di发送到地图服务器装置520。地图服务器装置520若在步骤s512中接收出发信息dj以及停车位置信息di，则在步骤s513中，更新数据库502，以将该停车位置信息di所表示的区域返回到在管理外区域中汽车320能够停车的区域。
[0228]
根据以上说明的本实施方式，能够获得与第二实施方式相同的效果。另外，在第二实施方式和第三实施方式中分别具有如下的优点。即，在第二实施方式中，汽车320和地图服务器装置520通过在它们之间进行直接通信来进行特定的数据的收发。因此，根据第二实施方式，相对于第三实施方式，能够简化与特定的数据的收发相关的处理。
[0229]
与此相对，在第三实施方式中，汽车320和地图服务器装置520通过经由oem服务器装置700间接地进行通信来进行特定的数据的收发。为了其它数据的收发而原本就进行汽车320与oem服务器装置700之间的通信以及oem服务器装置700与地图服务器装置520之间的通信。因此，根据第三实施方式，相对于第二实施方式，能够抑制通信路径的增加。
[0230]
(其它实施方式)
[0231]
此外，本公开并不限定于上述且记载于附图的各实施方式，能够在不脱离其主旨的范围内任意地进行变形、组合或者扩展。
[0232]
上述各实施方式所示的数值等是例示，并不限定于此。
[0233]
在第二实施方式以及第三实施方式中，进行使用了临时密钥da及密码df的认证，但也可以仅使用临时密钥da进行认证。
[0234]
本公开以实施例为基准进行了描述，但应理解为本公开并不限定于该实施例、构造。本公开也包含各种变形例、等同范围内的变形。其中，各种组合、方式，进一步仅包含它们中一个要素、一个以上、或一个以下的其它组合、方式也纳入到本公开的范畴、思想范围。
[0235]
本公开所记载的控制部及其方法也可以通过专用计算机来实现，该专用计算机通过构成被编程为执行利用计算机程序具体化的一个或多个功能的处理器以及存储器来提供。或者，本公开所记载的控制部及其方法也可以通过利用一个以上的专用硬件逻辑电路构成处理器而被提供的专用计算机来实现。或者，本公开所记载的控制部及其方法也可以通过一个以上的专用计算机来实现，该一个以上的专用计算机由被编程为执行一个或多个功能的处理器及存储器、和由一个以上的硬件逻辑电路构成的处理器的组合而构成。另外，计算机程序也可以作为由计算机执行的指令而存储于计算机可读取的非过渡有形记录介质。