전기차(EV)는 10년 이상 틈새상품이었다. 최근 중국은 대기오염 문제를 해결하기 위한 여러 방법 중 하나로 EV의 세계적 선두주자가 되는 길을 모색하고 있다. 이에 EV 배터리 관리 시스템과 이를 위한 텍사스인스트루먼트(TI)의 Hercules™ MCU를 소개한다.

전기차(EV)는 10년 이상 틈새상품이었다. 최근 중국은 대기오염 문제를 해결하기 위한 여러 방법 중 하나로 EV의 세계적 선두주자가 되는 길을 모색하고 있다.

2015년에 전 세계에서 판매된 EV(EV 버스 제외)는 총 56만 5,000대로 추정된다. 그중 21만 4,000대는 중국에서, 18만 5,000대는 유럽, 11만 5,000대는 미국에서 판매됐다. 이는 2014년에 비해 80% 증가한 수치다. 짙은 갈색으로 오염된 공기는 중국이 없애고 싶어 하는 주요 보건 문제 중 하나다(그림 1). 아낌없는 정부 보조금 덕분에, EV 시장이 앞으로도 상당한 성장세를 보일 전망이다(그림 2).

내연기관으로 구동되는 자동차와 비교하면 EV 제조는 더욱 간단하고 수월하다. 가장 크게 문제가 되는 것이 한 번 충전으로 갈 수 있는 거리와 배터리 충전 시간이다. 대부분의 전기차는 리튬이온(Li-ion) 배터리를 사용한다. 출력밀도와 충전/방전 효율이 뛰어나기 때문이다. 리튬이온 배터리는 고온 환경이나 과부하, 잘못된 충전 프로파일에서 사용할 시 열폭주와 화재에 취약하다. 쫑타이(Zotye) M300EV 택시, BYD e6 택시, 테슬라 모델 S 사고 등과 같은 EV 화재에 관련한 증거들이 많다(출처: en.wikipedia.org/wiki/Plugin_electric_vehicle_fire_incidents).

EV 배터리 관리 시스템(BMS)

EV 리튬이온 배터리 팩은 여러 개의 배터리 모듈들로 구성되어 있다. 각 모듈마다 여러 개의 리튬이온 배터리 셀들이 하나의 스택으로 구성된다. BMS 전자제어장치(ECU)는 배터리 팩에 내장되어 충전상태(SOC, State of Charge) 모니터링, 충전/방전 제어, 열관리 등을 한다. 또한 BMS에는 다른 EV 시스템들, 예컨대 인버터 컨트롤과 충전 모듈 등과 통신 및 컨트롤을 하는 인터페이스들도 들어 있다.

리튬이온 배터리 팩의 경우, 셀 전체에 걸쳐 고르게 충전을 유지하고 감시하는 것이 무엇보다 중요하다.
어떤 셀이든 과충전되면 셀의 수명이 단축되고 경우에 따라 온도초과로 주변 셀에까지 영향을 미쳐 열폭주와 화재를 일으킬 수도 있다.

셀 충전 제어 방법에는 두 가지가 있다:

· 패시브 셀 밸런싱: 각 셀마다 충전을 감시한다. 어떤 셀이든 과충전이 되면 레지스터 네트워크를 통해 방산시킨다.
· 액티브 셀 밸런싱: 각 셀마다 충전을 감시한다. 과충전은 스위칭 매트릭스를 통해 다른 셀로 재분배된다.

패시브 셀 밸런싱은 효율이 낮고 레지스터 전체에서 원치 않는 에너지를 열로 변환시킨다. 액티브 셀 밸런싱은 효율은 높은 대신 패시브 마그네틱 컴포넌트들을 추가해야 하기 때문에 비용이 더 많이 든다.

그림 3a는 EV 나머지 시스템들과의 통신 제어 인터페이스를 가진 액티브 셀 밸런싱의 하이레벨 블록 다이어그램이다. ‘절연’의 왼쪽이 12셀 배터리 모듈의 액티브 셀 밸런싱 회로다. 이 배터리 모듈의 대부분이 줄줄이 쌓여 배터리 팩을 구성하고 있다(그림 3b 참고). ‘절연’의 오른쪽은 나머지 EV 시스템들과의 메인 컨트롤 통신 회로다.

배터리 스택 모니터링 보호 AFE 디바이스는 셀 전압과 온도를 감시하는데 쓰인다. FET 매트릭스는 DC/DC 컨트롤러와 함께 셀 전체의 충전 균형을 잡는데 쓰인다. MCU는 배터리 스택 모니터링 보호 AFE 디바이스에서 측정된 것을 해석해 SOC를 판단한 후 어떤 셀의 균형을 맞출 것인지를 결정하는데 쓰인다. 또한 MCU는 열 관리 기능을 수행하고 각 셀의 건전성을 면밀히 감시하는 일도 한다.

배터리 관리 시스템의 기능안전 요건

EV의 BMS는 다음의 기능들을 수행한다:
· 충전상태(SOC)와 건전성 상태(SOH) 판단 
· 충전/방전 제어
· 셀 밸런싱
· 배터리 보호-배터리가 지정된 작동 조건 내에서 작동하도록 해주고 절연 장애 감지
· 열 관리
· EV 나머지 시스템들과의 인터페이스

BMS 오작동은 심각한 시스템 장애를 일으켜 부상이나 재산피해로 이어질 수도 있다. 이와 같은 위험을 줄이기 위해, 국제기능안전 표준 ISO 26262 ‘도로 운송수단-기능안전’이 자동차 기능안전 표준으로 만들어졌다. 이것은 총 중량이 최대 3500 kg까지인 승용차의 전자 프로그래머블 시스템에 적용된다.

ISO 26262는 위해요소 분석과 위험평가가 시스템 레벨에서 이뤄질 것을 요구하고 있다. 일어날 수 있는 각각의 시스템 오작동을 분석해 그 위험을 판단해야 한다. 그 위험이 너무 높다고 여겨지면, 안전 목표를 규정하고 위험 감소 기법을 시스템에 적용해 기능안전표준이 요구하는 레벨까지 그 위험을 낮춰야 한다.

ISO 26262에 따르면 위험은 세 가지 기준으로 평가된다(그림 4 참고).

· 심각성(S)
· 노출(E)
· 제어 가능성(C)

ISO 26262는 자동차 안전 무결성 레벨(Automotive Safety Integrity Level, ASIL)에 따라 위험을 분류하고 있다. 그림 5는 S/E/C에 의해 ASIL이 어떻게 결정되는지를 보여주고 있다.

BMS 기능 중 하나가 배터리 팩의 열 관리다. 충전/방전 프로파일은 지능적이어야 하고, 주변 온도와 셀 온도에 맞춰 충전 전류를 조정해야 한다. 더운 여름날 같은 고온에서는 EV 충전기가 고속 충전 모드로 설정돼 있을 경우, 높은 충전 전류가 셀 온도를 높일 수도 있다. 이것은 열 폭주로 이어져 연기와 화재를 일으킬 수도 있다. 아래는 위해요소 분석과 위험평가가 충전 과전류의 위해요소를 바탕으로 어떻게 수행되는지를 보여주는 예다.

· 오작동: 충전 과전류 → 온도초과 → 화재
· 심각성: S2(중상 또는 생명을 위협하는 부상)
· 노출: E4(높은 확률)
· 제어가능성: C3(제어 어려움)
· ASIL-레벨: ASIL-C

이 예에서 안전 목표는 배터리 셀의 과충전을 방지하는데 있다. 이 안전 목표는 셀 전압을 감시하는 방식으로 구현될 수 있다. 과충전이 감지되면, 충전 전류가 제거된다. 이런 구현형태가 정의되면, ISO 26262 요건에 따라 필요한 하드웨어 지표가 달성되고 있는지 BMS 시스템의 장애율을 평가해 판단한다.

TI 제품이 EV BMS 시스템에 쓰일 상품의 개발을 돕는 방법

이러한 기능 구현 외에도, EV BMS 시스템 개발자들이 안전 요소들과 관련해 직면하게 되는 문제들은 다음과 같다:
1. ASIL-C/D 준수를 위한 시스템의 구현
2. 위험감소를 위해 충분히 준비된 진단 테스트의 구현
3. 자동차 AEC-Q100 검정필 아날로그 컴패니언 컴포넌트
(주: AEC-Q100은 자동차전자협회(AEC)가 정의한 컴포넌트 검정 요건으로, 기능안전표준 ISO 26262와는 다르다)
4. 시스템 인증

1. ASIL-C/D 준수를 위한 시스템

그림 6과 같이, ASIL-C는 시스템 레벨에서 SPFM >= 97%, PMHF < 100 FIT 을 요구하고 있다.
TI의 Hercules™ TMS570 MCU는 ISO 26262 요건부터 최대 ASIL-D까지 준수하고 있다는 TUV SUD 의 인증을 받았다. TUV SUD는 국제적으로 인정받고 있는 품질안전준수를 평가하는 독립 기관이다.
Hercules MCU 제품군은 확장형 제품군이다. 기능과 안전 아키텍처는 MCU마다 동일하다. 128 KB 플래시부터 4 MB, 80 MHz부터 300 MHz까지 P2P(pin-to-pin) 호환 MCU다.
자세한 내용은 다음 주소를 참고한다:
www.ti.com/lsds/ti/microcontrollers_16-bit_32-bit/c2000_performance/safety/tms570/overview.page.

2. 하드웨어 기반 CPU와 메모리의 보호

TI Hercules TMS570 MCU는 듀얼코어 CPU 록스텝/컴페어 및 메모리 ECC(Error Correction Code) 실시간 진단, 그리고 하드웨어 기반 CPU LBIST(Logic Built-In Self Test)와 SRAM PBIST(Programmable Built-In Self Test)를 제공한다(그림 7 참고).
이러한 하드웨어 기반 안전기능은 미션 크리티컬 블록에서의 오류 진단을 돕고, 최소한의 소프트웨어 오버헤드로 높은 진단 범위를 제공한다.

듀얼 ARM^® Cortex^®-R 록스텝 아키텍처는 사이클-투-사이클 높은 진단 커버리지의 CPU를 제공한다.
ECC(Error Correction Code) 회로는 록스텝 코텍스-Rx CPU 내부에 구현돼 있으며, 약간의 성능상 영향이나 아무런 성능상 영향 없이 버스 인터커넥트와 SRAM/플래시 싱글-비트 오류 보정 및 더블-비트 오류보정(SECDED)를 제공한다.
CPU LBIST와 SRAM PBIST는 높은 커버리지의 장애 감지를 한다.

TI Hercules MCU 록스텝 CPU와 컴페어, 메모리 ECC, LBIST, PBIST 온칩 하드웨어 기반 진단 회로는 높은 테스트 커버리지로 시스템 구현을 촉진하면서도 소프트웨어 오버헤드를 최소화한다.

또한 TI는 Hercules SafeTI™ 진단 라이브러리를 이용해 시스템 시동 중일 때와 시스템 실행 중일 때 CPU 및 메모리 셀프 테스트가 실행되도록 사용하기 편리한 API 기능들을 제공하고 있다. 또한 초기화, 예외 처리, 오류 처리, 장애 인젝션을 위한 API 지원도 하고 있다(그림 8 참고).
Hercules SafeTI 진단 라이브러리는 다음 주소에서 다운로드 받을 수 있다.
www.ti.com/tool/SAFETI_DIAG_LIB.

3. 아날로그 컴패니언 컴포넌트

TI의 대규모 아날로그 컴포넌트 포트폴리오는 Hercules MCU와 실제 세상을 연결하는 전원 공급 장치 회로, 인터페이스, 신호 조절 회로 등을 광범위하게 선택할 수 있는 선택권을 준다.

bq76PL455A-Q1(16셀 EV/HEV 통합 배터리 모니터와 보호기)는 차량용 AEC-Q100 검정필 디바이스로 리튬이온 셀을 모니터링하고 보호하기 위한 것이다. 이것은 아날로그 프론트 엔드와 ADC로 개별 배터리 전압을 보고할 수 있고, 과전압 및 미달전압 콤퍼레이터를 가지고 있어 배터리 남용을 2차적으로 보호할 수 있다.

또한 이 디바이스는 외부 n-FET에서 패시브 밸런싱을 지원할 수도 있고, EMB1428Q(액티브 셀 밸런싱을 위한 스위치 매트릭스 게이트 드라이버)/EMB1499Q(양방향 전류 DC-DC 컨트롤러) 칩셋에서 액티브 셀 밸런싱을 지원할 수도 있다. bq76PL455A-Q1은 빌트인 셀프 테스트 기능을 가지고 있어, 고객은 이것을 자체 안전 목표를 충족하는데 활용할 수 있다.

bq76PL455A-Q1에 대한 자세한 정보: www.ti.com/product/bq76pl455a-q1.
EMB1428Q에 관한 자세한 정보: www.ti.com/product/emb1428q.
EMB1499Q에 관한 자세한 정보: www.ti.com/product/emb1499q.
TMS570 MCU와 bq76PL455A + EMB1428/EMB1499을 활용하는 액티브 셀 밸런싱 BMS에 관한 TI 설계 시스템 예제: www.ti.com/tool/TIDM-TMS570BMS.

4. 시스템 인증

MCU는 특정 ASIL 레벨 인증을 받을 수 있다. ‘인증 받은’ MCU란, 그것이 검토를 거쳤고 지정된 ASIL의 기능안전표준 요건을 준수하고 있다는 뜻이다. 시스템 개발자에게 MCU 안전 메커니즘을 이해시키고 MCU 장애율을 계산하게 하려면 안전 매뉴얼과 FMEDA(failure mode effect and diagnostic analysis) 툴 같은 지원 문서와 툴들이 필요하다.

TI의 Hercules TMS570 MCU는 앞서 언급했듯이 ISO 26262와 ASIL-D를 충족한다는 인증을 획득했다. MCU 개발 프로세스, 체계적 장애 관리, 무작위 장애 관리 등은 TUV SUD 의 검증을 거쳤다. 이 MCU들의 안전 문서에는 공개 다운로드 가능한 안전 매뉴얼(NDA 필요 없음)과 FMEDA 툴(NDA 필요)을 이용할 수 있는 안전분석 보고서가 포함돼 있다. 이러한 문서들과 도구들도 MCU 인증 과정에서 TUV SUD의 검토를 받았다.

TMS570 MCU를 지원하는 것은 TI HALCoGen(Hardware Abstraction Layer Code Generation) 툴과 SafeTI 진단 라이브러리가 생성한 주변장치 드라이버들 같은 기초적인 소프트웨어 컴포넌트들이다. 이러한 소프트웨어 컴포넌트들을 위한 소프트웨어 개발 프로세스는 ISO 26262 ASIL-D 레벨로 안전 무결성을 충족하고 있음을 TUV NORD로부터 인증 받았다.

TUV NORD는 국제적으로 인정받고 있는 품질안전기준 준수를 평가하는 독립 기관이다. SafeTI Compliance Support Packages(CSP)는 TI의 인증필 소프트웨어 개발 프로세스에 따라 개발된 것으로 HALCoGen과 SafeTI 진단 라이브러리에 이용 가능하다. 이러한 CSP들은 시스템 인증 과정에서 기능 안전 관련 소프트웨어에 대해 비슷한 증거를 제시해야 하는 고객들에게 유용한 출발점이 된다. SafeTI Compliance Support Packages에 관한 자세한 내용은 관련 링크(www.ti.com/lit/wp/spny007/spny007.pdf)에서 참고할 수 있다.

인증 받은 MCU들과 그 지원 문서 및 툴은 고객의 안전 시스템 개발을 돕고 인증 수고를 덜어 줄 수 있다.