アーカイブ動画

0.0001秒の攻防!?快適な運転を支えるリアルタイム制御と組み込みエンジニアの実践知

株式会社デンソー
ソフトウェア統括部
ソフトウェア技術3部
部長
浜田 英嗣(はまだ・ひでつぐ)氏

最初に登壇したのは、株式会社デンソー ソフトウェア統括部の浜田 英嗣氏。浜田氏は、1993年から車載ソフトウェア開発に携わり、2021年に同社へ入社。現在はインバーター(MG)ソフトなど電動化ユニットの車載ECU(※)ソフトウェア開発に従事している。

講演に入る前に、浜田氏は同社のパワートレインECU開発の歴史を振り返った。

同社はメーター、空調、走行安全など幅広い製品を展開するが、本セッションの焦点はパワートレイン / 電動化領域。1997年12月、世界初の量産HEV(ハイブリッド車)「プリウス」を契機に電動車は一気に普及し、PHEV(プラグインハイブリッド車)、BEV(バッテリーEV車)への実用化へと拡大していった。機能安全、サイバーセキュリティ、OTAなど車両に求められる要件は増加の一途で、2000年を1とすると2025年にはECU処理性能で約30倍、メモリで約40倍。高性能化したハードウェアを「どう使い切るか」が、制御実装の核心になっている。

浜田氏：このくらい大きくなってくると、マイクロコンピューター(MCU) をうまく使いこなす技術が必要になってきます。

※車載ECU：車両のさまざまなシステムを電子的に制御する電子制御ユニットの総称

制御実現に向けた実装技術～リアルタイム性を担保するソフトウェア～

リアルタイム制御とは何か

同社では、マイクロコンピューターをどのように使いこなしているのか。 ここから講演は本題へ入る。 まず浜田氏は、そもそもリアルタイム制御とは何かを解説した。

浜田氏：「アクセルが踏まれたから(それを受けて)動く」のではなく、常に踏み込み量を観測し、その変化に連続的に応じて駆動力を調整する――それがリアルタイム制御です。

人が運転するときの「認知(センサー入力)→判断(演算)→操作(アクチュエーター出力)」のループをECU上に実装し、出力で変わった状態を再び入力する。この循環を安心・安全と両立させつつ、高速に回し続けるのが車載ECUの役割だ。

【リアルタイム性①】1秒→100ms→10ms：時間解像度を上げる意味

ドライブレコーダーの映像を例に、1秒ごとの変化は人には十分に見えるが、制御にとっては「長すぎる」と指摘する。アクセルの踏み込みはベタ踏みまで100〜200msほど。もし100ms周期でしか読み取らなければ、入力波形は段差だらけに見え、実挙動を再現できない。10ms周期でサンプリングしてようやく追従し始める。

雨天時、鉄板やマンホール上で起こるスリップ→グリップはさらに厄介だ。人の感覚では1秒前後のできごとでも、(回転系の)制御的には10msの間に200rpm級の急変が走る。ここで適切な設計を欠くと、制御不能や車両停止に至る可能性がある。

浜田氏：1秒の変化に対応するためにも、車載ECUは0.5〜1msなど、さらに短い周期で回転変動を検出できる設計が重要です。

【リアルタイム性②】モーター制御:100μsの世界へ

さらに時間軸は短くなる。続いて浜田氏はモーター制御の技術を紹介。

三相交流モーターの制御方法は2つある。正弦波制御では10kHzのPWM(パルス幅変調)、すなわちFB(フィードバック)周期100μsで滑らかさを重視する。一方の高回転域では矩形波(くけいは)制御に切り替え、スイッチングロスを抑える。

ただしスリップで回転が跳ね上がり、グリップした瞬間に角度が急停止すると、矩形波のままでは角度更新が来ずスイッチング不可、次の電流を流せず振動や停止に直結する。 ゆえに100μs級で角度と電流を捉えつつ切り替えに耐える実装が必要だ。

浜田氏：スムーズさを求めても、効率を求めても、100μsの短い周期で制御周回できる設計が要ります。

【リアルタイム性③】高速周回を実現する工夫

では、100μsや500μsという短い周期での制御をどのように実現するのか。カギはMCUのハード特性を使い切ることにある。タイマー割り込みをトリガーにAD変換器やDMAを起動だけ掛けておき、変換完了や転送完了を待たない。結果に依存しない演算を先行させ、完了タイミングで依存演算を差し込むという、厳密に設計されたノンブロッキング処理となる。

浜田氏：角度データは500μsごとに積算し、回転角度の変化量から回転数を推定します。さらに差分で変動の大きさを捉え、スリップ・グリップに追随できるようにします。

100μsの中の「すき間時間」を資産化する

続いて浜田氏は、モーター制御の処理時間の工夫について解説した。

モーター制御では100μsという非常に短い周期のなかで、電流センサーの入力から角度の計算、制御演算、Duty出力までを行う必要がある。この処理に100μsをすべて使い切ってしまうと、他の安全制御や通信処理を挿入する余地がなくなる。

そこで浜田氏は、メインの制御処理を60μsで終わらせ、残り40μsを「すき間時間」として活用する設計例を紹介した。この時間に温度センサー入力や他ECUとの通信、自己診断などの優先度の低い処理を組み込むことで、限られた時間内に複数の処理を効率よく共存させることができるという。

浜田氏：AD変換や通信には待ち時間が発生します。例えばAD変換が6チャンネルで1回4μsかかると24μs、通信では1Mbpsで100バイト送ると800μsも必要になる。これを素直に待っていると824μs後に演算が始まってしまいます。

浜田氏：これを回避するために、AD変換や通信は起動だけ先にして放置し、その間に他の演算処理を進めるんです。通信が終わっていなくてもできる計算は先にやっておく。そうすることで時間を無駄にしません。

このように、逐次的な処理ではなく並列的に演算を進めることで、待ち時間を削減し、全体の処理効率を向上させることが可能になる。40μsというわずかな時間でも、100μs周期を10msの中で100回繰り返すと合計4msになる。さらにそのなかで824μsを短縮できれば、全体の約2割もの処理時間を新たに確保できる計算だ。

0.0001秒の積み重ねが「体感品質」を変える

浜田氏：824μsをギュッと縮めることで、他の機能をもっと入れられるようになります。それを成り行きではなく、きちんと設計して実現する。設計がピタッとハマったときは、やはり「うまくいった」と快感を覚えます。スリップ→グリップする瞬間もスムーズにいくと、「自分の設計したものがちゃんと制御しているな」と体感できたときにやはり快感になります。

浜田氏：飛行機や電車は自分で運転しないからなかなか実感できないかもしれませんが、クルマは自分で運転できるので、その「快感」をより身近に感じられるのが醍醐味。

最後に浜田氏はこう締めくくった。

浜田氏：このように、マイクロコンピューターの特徴を把握して、さまざまな設計を工夫して、高精度・高分解能で制御を回すことで、製品の品質や性能向上に貢献できます。そして日常でこのような「快感」を覚えると、もっと得たくなる。車載エンジニアや弊社の設計者は、その快感に囚われた人たちなのかもしれませんね。

見えないけど欠かせない技術 ～バッテリーを守るソフトウェア～

株式会社デンソー
ソフトウェア統括部
ソフトウェア技術5部
室長
鬼頭 勇二(きとう・ゆうじ)氏

続いて登壇したのは、株式会社デンソー ソフトウェア統括部の鬼頭勇二氏。1998年にデンソーに入社し、産業用ロボットのメカ開発を経て、2002年に電動化製品のソフトウェア開発に従事。現在は主にBMS(バッテリーマネジメントシステム)のソフトウェア開発を担当している。

鬼頭氏：デンソーで産業ロボット事業を立ち上げ、その後、まだ世の中に電動化製品がほとんどなかった頃からソフトウェア開発を始めました。このようになんらかの形で新しい事業の開発や立ち上げに携わってきました。

電池の活用でさまざまな地球環境に貢献

鬼頭氏はまず、電池という技術の便利さと環境への貢献について語った。

電池は、ハイブリッド車ではエンジンの効率を高め、燃費を改善する役割を果たす。また、減速時にはモーターを発電機として活用し、回生エネルギーをバッテリーに蓄えることができる。

鬼頭氏：個人的にこの回生機能はすばらしいと思っています。今までブレーキで熱として捨てていたエネルギーが、すべてバッテリーに蓄えられる。減速時に充電されていく様子を見ると、地球環境に貢献している実感があります。

さらに、EVでは床下にバッテリーを敷きつめ、エンジンを持たない構造により、ホイールベースの拡大など車内空間を広く取ることが可能だ。加えて、静粛性や振動の少なさ、電源活用の幅広さなど、快適なドライブ空間の創出にも寄与している。

鬼頭氏：電池はさまざまな課題を解決するものです。

そんな電池にも危険性あり…BMSの使命とは？

​​しかし電池には危険な側面もある。過充電や衝撃、短絡など不安全な使用により発火するリスクが存在するのだ。車両床下には多数のセルが敷き詰められており、異常が起きたまま走行を続けると、発熱から熱暴走、さらには発火へと進行する恐れがある。​ 

このリスクに対処するために搭載されているのがBMSだ。BMSは電池セルの状態を常時監視し、容量や使用可能電力を把握し、異常を検知すると即座にセルを切り離すなどして、電池を燃やさないよう制御する。

鬼頭氏：BMSの使命は、電池を安全に使い切ること、そして決して燃やさないことです。

電池利用のさまざまな課題と安全に使う方法

鬼頭氏は次に、電池利用に伴うさまざまな課題を紹介した。

代表的なものは以下の通りだ。

• 航続距離の限界(ガソリンに比べてエネルギー密度が低い)
• 充電時間の長さ(給油は5分で済む)
• 多数のセル搭載による電池コストの高さ
• 冬の低温・夏の高温環境下での性能劣化
• 充放電の繰り返しによる電池寿命低下
• 劣化や不良による熱暴走リスク

鬼頭氏：これらの課題を解決しなければなりません。そのためには電池の性能を使い切って、劣化を防ぎ、安全に使うことが重要。そのためにはまず電池のことをよく理解する必要があります。

​​リチウムイオン電池は、正極と負極の間をリチウムイオンが移動する化学反応によってエネルギーを蓄え​​、​​放出する。充放電状態は​SOC(State of Charge)​、健全性は​SOH(State of Health)​で表され、これらを正確に把握することが性能を引き出す鍵となる。​ 

また、電池の適正温度帯は20〜30℃であり、人間と同じように「快適温度」が存在する。

なお電池劣化の要因には、高電圧充電による正極材料からの金属イオンの溶出等による不安定化や、高温による電解液分解や容量低下、過放電や満充電状態での長期保管などがある。

さらに深刻なのが熱暴走だ。過充電や短絡などをきっかけに内部短絡が進行し、急激な温度上昇と電解質を構成する有機溶媒からの可燃性ガスの発生を経て発火に至る。

こうした状態を未然に防ぎ、異常が発生した際には即座に電池を切り離して安全を確保するために、BMSでリアルタイムに監視する。

ユーザーの安心と地球環境に貢献するBMSのソフトウェア開発

鬼頭氏はBMSの内部構成についても具体的に説明した。

EVでは100個以上のセルが直列に接続され、それぞれをセンシング線でBMU(バッテリーマネジメントユニット)に接続。BMUは電圧・電流・温度を監視し、SOCやSOHを計算。異常時にはリレーを切って安全を確保する。

さらに、セルごとの容量ばらつきを均一化するバランシング機能によって、過充電・過放電セルを防ぎ、全体の容量を最大限活用する。

この精密な制御を支えるのがソフトウェアだ。

鬼頭氏：100個のセルをµsオーダーで監視・制御する技術が必要です。複数のICを同時並行で駆動させ、通信コマンドやばらつきを考慮しながら、1ms刻みでスケジュールを設計します。

IC制御レイアウトはまるでパズルのようだ。コマンドごとの実行時間(約8µs)やばらつきを考慮し、規定時間内に全処理が完了するよう設計を繰り返す。こうした緻密な設計が、安全性と制御性能の両立を支えている。

ECU上では、BMSの制御だけでなく、診断、通信、リプログラミング、セキュリティなど多様な機能が並行して動作する。

鬼頭氏は、BMS処理を最優先割り込みに設定し、他タスクの影響を受けずに厳密な時間管理を行う重要性を強調した。さらに、検出線断線やノイズ、デバイス故障といったリスクに対しては診断コマンドや信頼性情報の付与により、多層的に安全性を確保している。

最後に鬼頭氏はこう締めくくった。

鬼頭氏：長い航続距離や劣化の抑制、安心・安全な機能をユーザーに提供する。その実現には安全設計とソフトウェア技術が欠かせません。マイコンやICの性能を最大限引き出しながら、地球環境維持とユーザーの安心に貢献していきます。

安心安全のための技術 ～データを保証するソフトウェア～

株式会社デンソー
ソフトウェア統括部
ソフトウェア技術3部
課長
長野 雄二(ながの・ゆうじ)氏

続いて登壇したのは、株式会社デンソー ソフトウェア統括部の長野 雄二氏。2006年にデンソーに中途入社し、パワートレインの車載ECUソフトウェア開発に従事してきた。現在は、ダイアグ(故障診断)や通信などプラットフォームの設計を幅広く担当している。

基幹系システム出身という経歴を持ちながら、「データを動かすだけでなく、物を動かしたい」という想いでモビリティの世界へ。

長野氏：安心・安全のための技術、データを保証するソフトウェアをテーマに、HEV制御の全体像から具体的な監視・通信の設計、そして将来展望までお話しします。

電動車の「頭脳」──パワートレインECUとHEVの仕組み

長野氏はまず、HEV制御の仕組みを説明した。

HEVの価値は、環境負荷低減と走行性能を電動制御×エンジン制御で両立する点にある。なかでもシリーズパラレル方式は、エンジンとモーターの双方を駆動源として活用でき、車両メリットが大きい一方、制御ロジックとソフトウェアの複雑度が高い。

中枢となるのがHEV ECUだ。アクセルペダル位置などの入力を受け、演算のうえでモーター(MG / インバーター)へのトルク指令、エンジンへのパワー指令、周辺機器への出力要求を協調的に出す。背後ではバッテリーECU(BMS)が充放電状態を監視し、HEV ECUへSOC / SOH等を供給。複数ECUの連携で、ドライバー要求と車両状態に最適な出力配分を決めていく。

ここで長野氏は、HEV ECUの基本要件を端的に整理する。

1. ドライバー要求の充足(加速・減速・操縦の意図を忠実に反映)
2. 燃費最適化(コンポーネント協調でエネルギー効率を最大化)
3. 使用限界の遵守(各部の温度・電圧・電流・寿命制約に違反しない)

この3要件を支える横串のキーテクノロジーが「機能安全の監視」と「通信データの保証」である。

機能安全の監視──「多層防御」で致命傷を回避する

機能安全は、許容できないリスクを安全機能で回避するという考え方だ。長野氏は踏切の例で直感的に説明する。

人が線路をわたる箇所に踏切センサーを設置することで、列車や人の侵入を検知し、遮断・警告を行うことで危険を許容可能な水準へ低減する。このように発生しうる危険性を低減するために対策するのが機能安全の基本的な考え方だ。

一方、線路をわたること自体を回避する方法は「本質安全」の対策といわれる。これは、車両ではコストやスペースの制約から現実的でない場合が多い。

ゆえに車載ECUでは、プロセス / ルール(設計手順)×ハードウェア×ソフトウェアの三層で故障モードを塞ぐ「多層防御」を採用する。どの層かで異常を捉え、致命的状況に至る前に安全側へ落とす仕掛けだ。

機能安全と「時間」──FTTIで安全移行を保証する

ここで、機能安全をこのイベントのテーマである「時間」で捉える。

安全設計を語るうえで不可欠なのが時間制約である。異常が検出可能状態になった瞬間を起点に、検知→処置→車両が安全状態へ移行するまでの時間を設計上束ねた概念がFTTI(Fault Tolerant Time Interval:安全状態移行時間)である。

長野氏：制御対象によってユーザーが危険を感じる時間は変わる。だからこそ、対象に合った時間粒度で検知・処置を設計し、FTTI内に安全側へ移す必要があります。

アクセルは重要入力のため二重化(2系統)。1ms周期でセンシングし、5ms前のデータを確定、1ms周期で出力する。

この処理列のなかに安全に移行できる監視タイミングを設け、異常に対する処置を差し込む。監視は二層構えで、(A)機能そのものの故障検出(例:アクセルセンサーの物理的断線)と、(B)「機能が正しく動いているか」を保証する監視を同時に行う。

以下、(B)に焦点を当てる。

ソフトウェアの「正常動作保証」──RRFIで要所を固める

ソフトウェア側の故障モードを想定し、RRFI(ROM / RAM / Flow / Instruction)を網羅してチェックする。

• ROMチェック：チェックサム等で内容破損を検知
• RAMチェック：既知パターンのリード＆ライト、マイコン内蔵ECCの結果監視
• Flowチェック：想定時間どおりに処理が回っているか(定期ロジックと独立した監視ロジックで二重化)
• Instructionチェック：ソフトウェアの命令実行結果を既知値と照合。ロックステップ等のハード機能も活用

これらを時間要件に合わせて配置し、異常を間に合うタイミングで拾う設計を徹底している。

通信データの保証──CAN / CAN FDの「その先」を見る

車載ネットワークではCAN(Controller Area Network) / CAN FD(CAN with Flexible Data Rate)が標準的。物理層の差動信号とプロトコル上のCRCでバス上のデータ破損は検出できるが、ECUへ取り込んだ後の完全性は別途担保が必要だ。そこで同社では、ECU内でも受信後の一貫性チェックを行っている。

シフトバイワイヤ×トルク制御の例がわかりやすい。シフト位置はCAN経由で伝送され、期待外れのデータを通してしまえば安全リスクが直撃する。ゆえに通信データの監視は必須となる。

ISO 26262で定義される通信故障モード――メッセージ破損・遅延・損失・反復・入れ替え・挿入・ID誤りなど――に対し、同社は標準化以前から検出と対策を積んできた。なかでも効果的なのがシーケンスカウンタだ。

長野氏：データフィールドにカウンタを持たせ、受信のたびに連番で増えるのが期待値。固定化 / 非連続を検知したら、そのデータは破棄します。シンプルですが、この積み重ねがデータの信頼性を確かなものにする、というのが我々のECUでやっていることです。

ECUアーキテクチャの進化と「つながるソフトウェア」

ここで、長野氏は車載ECU・ソフトウェアの将来の展望を述べる。将来の車載ECUは、個別ECUの連携からネットワーク型を経て、さらに集約・統合アーキテクチャへと進化していく。機能を束ねることで協調度が増し、大規模開発の生産性や品質を引き上げられる。

もう一つの潮流が、ユーザーとつながるソフトウェアだ。多様な利用シーンで得た車両データの収集・活用をOEMと連携し、OTAで機能を素早く届ける。これにより、ユーザー体験はアップデートで継続的に進化していくと長野氏は考えている。

長野氏：車載ECUソフトの重要度は、これからますます高まります。デンソーが社会に貢献できる領域も、いっそう広がっていくはずです。

「つくる喜び」が駆動力になる

最後に長野氏は、エンジニアの醍醐味に触れた。

ゼロから生み出す──白紙のテキストに自身が設計したコードを書き、製品へ育てる手応えが感じられる

仮説と検証──負荷や処理速度の打ち手がピタッとはまる快感がある

価値創出──ユーザーが満足する姿を目にする喜びを感じる

長野氏：自分が設計したものを自ら運転して確かめられるのはモビリティならではだと私も思います。だからこそ「つくる喜び」が、次の挑戦を走らせます。

【Q&Aセッション】

Q&Aセッションでは、株式会社デンソーのECUソフトウェア開発者3名がイベント参加者から投げかけられた質問に回答した。

Q. ソフトが100µsなど極短周期でモーター制御をしているとのことですが、トランジスタや回路の遅延・ばらつきで期待性能が出ないことは？ 事前に厳密な検証をしているか？

浜田氏：影響は確実にあるので、設計で必ず折り込んでいます。三相の上側・下側トランジスタは同時オン厳禁で、オフ→オンのデッドタイムを設けます。応答はµsどころかnsオーダーまで詰め、素子やRCの経時劣化・初期誤差も含めて最悪値/典型値を積み上げ、必要なソフト側遅延や制御ロジックを決めます。

そのうえで実機評価。いわゆるチャンピオン品(良品代表)とワースト品(設計最悪)を用意して動かすなど、折り込みが妥当か実測で検証しています。

Q. BMSソフトウェア開発のテストはどのように行っているか？

鬼頭氏： BMSはHILS(Hardware-in-the-Loop)に加え、バッテリー・シミュレータを用います。数百V級かつ多数セルの電圧 / 電流 / 温度を個別セル相当で模擬し、通常系と異常系(過電圧 / 温度連動 / 電流変動など)を再現してテストします。最終段階では実電池も使いますが、専用設備で安全に実施しています。

浜田氏： ハイブリッド側もHILSで、アクセル・シフト等の入力を与えて走行状態を再現し、OEMさまと実機連携評価も行います。モーターはプラントモデルに加え実機ベンチで回し込み、モデル外挙動も確認しています。

さらに「想定外も想定する」という前提で、全端子FMEAをハードと共同で行なっています。各センサー / 電源 / 信号線の断・短・ズレを網羅し、「その瞬間だけOK」というわけではなく幅をもって安全に落とせるかを見ていて、「想定外」を極力減らす設計ができるように意識しています。

Q. RAMは定期的にチェックしなければならないのか？

浜田氏： 正直、頻繁には壊れません。壊れていたら制御は成り立ちませんからね。ただし「万が一の一撃」—例えばRAM化けでアクセル値が跳ね上がれば事故に直結します。だから常時監視を掛けているわけです。人間の作るもの、必ず間違いがあるかもしれないという前提で、多層防御の品質管理・設計・監視を行っています。理屈は「1%を1ppmへ、さらに0に近づける」。壊れるからやるのではなく、｢壊れなくてもやる｣設計です。

鬼頭氏： バッテリーも同じ考え方です。基本的にハードウェアが壊れる可能性はゼロではありません。壊れたときにお客さまに安心・安全をご提供するために必ず対策しています。

Q. 8µs±10%のばらつきは、MCU命令時間も含むか？

鬼頭氏： 両方含みます。ただ多くの場合はIC内部クロックのばらつきです。MCU側はクリスタル基準で精度が高く、変動は小さいものの、ゼロではないので入れています。さらにデイジーチェーン通信の伝搬時間など周辺遅延も加算します。すべて積んだうえでも時間要件を満たすようにスケジューリングします。ここまで全部込みで設計です。

Q. デンソーに合うエンジニア像は？

長野氏：連携を楽しめる人。多人数・多職種(ハード / ソフト)で分担しながら開発するので、協働で良いものを出す喜びを感じられる方は活躍できると思います。

鬼頭氏：新しいことに挑戦したい人です。事業化や電動化の立ち上げのように、未知を形にする場面が多い会社です。一方で量産設計は難しい。技術を追求し、できるまで粘れる方が向いています。

浜田氏：一言で何ごとにも興味がある方。興味があると想像力が働きます。ソフトを書いて終わりではなく、回路は？ アクチュエーターは？ センサーは？と隣接領域へ踏み込む好奇心こそが想定外を減らすはずです。そういう人にぜひ入社してほしいですね。

文＝宮口 佑香(パーソルイノベーション)

※所属組織および取材内容は2025年9月時点の情報です。

株式会社デンソー
https://www.denso.com/jp/ja/

株式会社デンソー　ソフトウェア特設ページ
https://careers.denso.com/software/