차량이 배터리로 구동됨에 따라 최적화된 에너지의 공급을 보장해 주는 핵심장치인 BMS, 전력제어를 위한 PCU(Power Control Unit), DC/DC-Inverter 등 새로운 전장장치가 필수적으로 탑재되며, 이들에 대한 안전성은 ASIL C 또는 D를 요구받게 된다. 전기차의 확산에 따라 높은 안전성과 신뢰성을 가진 BMS 개발 사례들이 향후 다양한 산업에서 사용될 BMS의 이정표가 될 수 있다.

전 세계적으로 친환경 자동차에 대한 인식이 재고되면서 많은 OEM이 전기차를 생산하고 있다. 어찌 보면 전기차는 기존 내연기관의 폭발 에너지가 모터를 통한 전기에너지로 변경된 비교적 단순한 개념의 이동성으로 기술적으로 완전히 새로운 개념은 아니다. 그러나 앞서 언급한 바와 같이 친환경 시대라는 기조에 따라 이런 기술의 흐름 변화에 많은 이들이 큰 관심을 보이고 있다.

이런 패러다임의 변화로 인해 과거 내연기관 차량에는 탑재되지 않는 배터리 관리 시스템(Battery Management System, BMS), 동력전달 장치, 회생제동으로 대표되는 Recuperation System(RS) 등 새로운 장치들이 등장하기 시작했다. 이런 장치들은 전기이동성1의 핵심 기술이기 때문에 그만큼 OEM과 티어 입장에서는 기능안전성(Functional Safety)의 확보가 중요한 화두로 떠올랐다. 전기차의 보급이 확대될수록 BMS나 RS에 대한 안전성 및 신뢰성 확보 요구가 증가하고, 따라서 이러한 시스템에 대한 ISO 26262, AUTOSAR, A-SPICE에 대한 대응이 더욱 요구된다.

특히 차량이 배터리로 구동함에 따라 최적화된 에너지의 공급을 보장해 주는 핵심장치인 BMS, 전력제어를 위한 PCU(Power Control Unit), DC/DC-Inverter 등 새로운 전장장치가 필수적으로 탑재되며, 이들에 대한 안전성은 ASIL C 또는 ASIL D를 요구받게 된다2.

BMS의 설계, 개발함에 있어 개발자가 참고해야 할 관련 표준은 국가마다 일부 차이는 있겠지만 통상적으로 다음과 같은 표준을 적용하게 된다. 이와 같은 표준들을 기반으로 BMS에 대한 Hazard Analysis and Risk Assessment (HARA)를 수행하고, 도출된 ASIL 등급을 BMS 내 Sub-system에 할당해야 한다. 일반적으로 BMS의 주요 기능 상 카테고리는 다음과 같이 구분된다(BMS의 기능은 그림 참조).

- 모니터링 시스템: 배터리 팩, EMS (Energy Management System), VSM(Vehicle Management System)의 작동 상태를 모니터링 하는 기능 수행
- 모니터링 및 제어 시스템: 모니터링 기능과 Cooling System과 같은 배터리 관련 시스템 및 전력을 제어하는 기능 수행

Hazard Analysis and Risk Assessment에서는 BMS가 탑재돼 운용되는 차량에 대해 다각적인 시나리오 분석이 수행되는데, 이를 통해 차량의 사고로 인한 피해 영향의 심각성(Severity), 노출 빈도(Exposure), 그리고 운전자에 의한 위험 회피를 위한 제어 가능성(Controllability)을 고려해 BMS의 ASIL 등급이 부여된다. 최종적으로 BMS가 탑재되는 차량이 운행되는 국가나 국가 내 도로교통 인프라, 운전 습관 등에 대한 명확한 지표가 아직은 부재한 상황이다.

통상적으로 SAE J29803이나 독일 VDA 7024 가이드라인을 이용해 심각도(S), 노출도(E), 제어 가능성(C) 및 ASIL 등급을 결정하고, ASIL 등급을 System Level, Hardware Level, Software Level에 상속해 등급에 맞는 개발을 요구하게 된다.
BMS 운용 상에서 발생 가능한 위험은 상술한 바와 같이 다양한 운전 환경과 주행 시나리오를 토대로 결정이 나겠지만, 일반적으로 다음과 같은 위험을 예로 들 수 있다.

- 배터리 전압 제어 기능의 상실
- 접지 오류나 제어 기능 상실로 인한 배터리 Cell의 Over-discharge
- 제어 기능 상실이나 Data의 Drift 또는 Software의 오류로 인한 Overcharge
- 제어 기능 상실이나 Shunt Calibration 오류로 인한 과전류
- 배터리 제어 케이블이나 진단 케이블의 단락(Short-Circuit)
- 제어 시스템과의 통신 오류
- 전체적인 BMS의 기능 상실

전기차에서 BMS는 차량을 구동하는 모터와 조향 및 제동장치 그리고 에너지의 회수를 위한 회생제동 시스템과 밀접한 관계가 있기 때문에, 단순하게 생각하더라도 매우 높은 안전성이 보장돼야 할 것이다.

하이브리드 카의 경우 BMS의 기능이 일부 상실된다고 가정해도 내연기관이 그 기능을 대체할 수 있어 상대적으로 중간 수준의 안전성 보장이 필요한 요소라고 할 수 있다. 하지만 PHEV, REEV나 순수 전기차에 탑재되는 BMS는 자동차의 핵심 기능인 주행, 조향, 제동에 모두 관여하기 때문에 높은 수준의 안전등급(ASIL C, D)이 부여된다.

ASIL C또는 D에 대응하기 위한 ISO 26262의 요구 항목은 다음과 같다.
ASIL C, D와 같은 높은 수준의 안전 등급에서는 Hardware의 소자 단위(Part) 및 Software의 Unit 단위까지 FMEA(Failure Mode and Effect Analysis), FTA(Fault Tree Analysis)와 같은 정성적, 정량적 분석이 수행돼야 하는데, 정량 분석을 위해서는 공신력을 가지는 고장률 데이터가 필요하다. 자동차 분야에서 주로 사용되는 고장률 데이터는 ISO 26262에서도 인정되는 산업 표준인 IEC 62380, SN 29500이나 FIDES Guide 등이 있다5.

이들에 포함돼 있는 고장률 정보를 활용해 시스템에 직접적으로 영향을 미칠 수 있는 SPF(Single Point Fault), LF(Latent Fault)와 PMHF(Probabilistic Metric for random Hardware Failures, 하드웨어 우발 고장으로 인한 확률 메트릭)를 계산해야 한다.

BMS는 전기차 이외에도 로봇, 방산 분야 등 다양한 산업에서의 활용이 예상된다. 뿐만 아니라 현재 부분적으로 사용되고 있는
주택용 저용량 및 고용량 배터리나 산업용 대용량 배터리 분야를 비롯해 풍력이나 태양광 발전을 통해 얻어진 에너지 등 신재생 에너지를 효율적으로 관리하고 제어하기 위한 목적으로 향후 폭넓은 활용이 예상된다. 전기차의 확산에 따라 높은 안전성과 신뢰성을 가진 BMS 개발 사례들이 앞으로 다양한 산업에서 사용될 BMS의 이정표가 될 것으로 조심스럽게 예상해 본다.

* Cyber Security에 대한 내용은 올 하반기 중 진행됩니다.

1. 전기이동성(E-Mobility): 전기에너지를 통해 동력을 전달하고, 구동하는 모든 형태의 이동성을 의미한다. 일반적으로 전기이륜차, 전기차(Hybrid, PHEV, REEV, EV, FCEV)를 포함하는 개념.
2. 수소 연료전지 자동차의 경우에는 고체 형태로 이뤄진 배터리 전기이동성과 달리, 고압의 기체 상태로 연료인 수소를 저장해야 하기 때문에 TCU(Tank Control Unit)나 FCCU(Fuel Cell Control Unit) 등이 추가 탑재 예상.
3. SAE J2980: Considerations for ISO 26262 ASIL Hazard Classification
4. VDA 702: Situationskatalog E-Parameter nach ISO 26262-3
5. ISO 26262 Part 5 8.4.3에 명시. 통상 고장률 데이터베이스는 보수적인(conservative) 값으로 산출되어 있으며, 이러한 고장률을 이용해 ISO 26262에서 명시돼 있는 SPF, LF 등의 기준 값을 충족하도록 제시하고 있다. 

AEM_Automotive Electronics Magazine