Functional Safety Considerations in Battery Management for EV
EV 배터리 관리 시스템에서 기능안전성 달성
2020년 11월호 지면기사  /  글|데이비드 태트만(David Tatman), TI 기능안전성 시스템 엔지니어



전기차 배터리 시스템은 다수의 PCB 배선, 배터리와 모니터링 ASIC 사이 등 연결 배선으로 결함이 발생될 수 있다. 센서 입력이 개방되거나 통신이 끊어질 수 있다. 측정기능과 통신기능 없이는 배터리 제어 시스템을 통해 배터리 상태를 파악할 수 없으며 제어도 불가능하다. 이같은 최악의 상황을 피하기 위해 텍사스 인스트루먼트의 배터리 모니터링 ASIC 제품은 통신 결함이나 배터리 셀과 센서 사이의 연결 결함과 같은 오작동을 감지하고 해결할 수 있다.   

글|데이비드 태트만(David Tatman), TI 기능안전성 시스템 엔지니어




전 세계적으로 교통수단 부문의 혁신이 가속화되고 있다. 특히, 지난 20여년에 걸쳐서 리튬이온 배터리 기술이 지속적인 발전을 거듭한 결과 자동차, 오토바이, 트럭, 버스의 배터리 팩에 전기를 저장해서 동력으로 사용하는 것이 가능하게 됐다.

한편으로 전 세계적으로 탄소배출을 줄이는 것이 시급한 과제가 됐다. 차량보다 전력 그리드 발전 차원에서 차량의 에너지원 배출을 줄이는 것이 훨씬 현실적이다. 이런 관점에서 탄소배출을 줄이기 위해서는 대부분의 운송 시스템을 전기화해야 한다. 전기차 개발과 생산을 위해서는 막대한 비용이 필요했지만, 점차 전기차 보급이 증가함에 따라서 전기차 가격이 낮아지고 있으며 내연엔진(ICE) 차와의 가격 격차도 좁아지고 있다.

승용차의 배터리 시스템은 안전성과 관련된 많은 것들을 고려해야 한다. 무엇보다도 자동차 생산부터 운행, 수리 및 재활용 과정에 이르기까지 관련된 모두가 고전압에 노출되지 않도록 각별히 유의해야 한다. 기계적 측면에서는 배터리 셀에 구멍이 나거나 충격이 가해지지 않도록 보호해야 함은 물론, 셀에서 누출될 수 있는 액체나 가스 또한 주의를 기울여야한다. 리튬이온 배터리는 ICE 차량의 온도보다 더 제한적인 온도 범위 내에서 안전하고 효율적으로 작동하기 때문에 배터리 팩 설계 시에 열 관리에 관한 문제를 고려해야 한다. 특히, 주행 중이거나 충전하는 동안에 배터리를 안전 동작 범위 이내로 유지되도록 하는 기능안전성에 대한 요구를 충족해야 한다.

차량 성능을 극대화하고 안전하게 운행하기 위해서는 그림 1처럼 리튬이온 배터리를 제한된 온도 범위와 전압 범위 내에서 작동시켜야 한다. 이 범위는 리튬이온 배터리의 화학 유형마다 다를 수 있다. 이 범위를 벗어나면 배터리에 예상치 못한 오작동이 발생할 수 있고, 과도한 발열이나 장기적인 내부의 전기 단락으로 이어질 수 있다. 이것이 더 심해지면 열 폭주를 발생시키고 안전상의 위험을 초래할 수 있다. 배터리 팩을 안전 동작 범위 이내로 유지하기 위해 ASIC은 전압, 온도, 전류의 흐름을 측정해 배터리 제어 유닛으로 전송하는 역할을 한다.



그림 1|전기차 배터리 팩


전기차는 16개, 96개, 128개 혹은 그 이상의 배터리 셀을 사용할 수 있으며, 트럭과 같은 상용차의 총 배터리 셀 수는 이것의 두 배에 달할 수 있다. 이러한 대형 시스템은 다수의 PCB 배선을 포함함은 물론, 배터리와 모니터링 ASIC 사이 또는 ASIC들 사이의 연결 배선으로 결함이 발생될 수 있는데, 이로 인해 센서 입력이 개방되거나 통신이 끊어질 수 있다. 측정기능과 통신기능이 없이는 배터리 제어 시스템을 통해 배터리 상태를 파악할 수 없으며, 제어도 불가능하다.

이러한 최악의 상황을 피하기 위해 통신 결함이나 배터리 셀과 센서 사이의 연결 결함과 같은 오작동을 감지하고 해결하는 것은 기능안전성의 역할이다. 기능안전성은 전체적인 안전성을 구성하는 한 요소로서, 전자 시스템 결함으로 인해서 위험한 상황이 발생하는 것을 방지하고 완화하기 위한 것이다. 자동차 업계에서 자동차의 기능안전성에 관한 일련의 ISO 26262 표준에서 승용차, 트럭, 버스, 오토바이의 안전 관련 시스템 개발을 위한 최신 기술과 기능안전성의 모범적인 사례에 대해 규정하고 있다.

일부 차량 시스템의 경우에는 문제가 발생되었을 때 단지 그 기능을 중지하고 운전자에게 계기판이나 다른 방법을 통해 알려주는 역할만 수행하면 되기 때문에 기능 손실이 반드시 위험한 상황으로 이어지지 않는다. 하지만 어떤 시스템의 경우에는 고장이나 기능의 작동이 멈춤으로 인해 위험한 상황으로 이어질 수도 있다. 손쉽게 전원을 차단할 수 없는 시스템의 경우에는 안전 목표는 “안전 관련 가용성” 요건을 명시할 수 있다. 이런 경우에는 위험한 사고를 피하기 위해 일정 기간 동안 일부 유형의 결함에 대한 허용 오차가 필요할 수도 있다.

이러한 맥락에서 가용성은 특정한 결함 조건이 발생했을 때 시스템이 특정한 기간 동안 계속해서 안전하게 작동할 수 있도록 하는 것이다. 다시 말해서 안전성 시스템으로 특정 기간 동안 주어진 조건에서 요구 기능을 수행하며 결함을 커버할 수 있어야 한다는 것이다. 시스템은 고장 허용 범의 내의 안전 수준에 맞춰 더 오랫동안 기능할 수 있다. ISO 26262의 섹션 12의 파트 10은 시스템 개발자들을 위해서 안전성과 관련한 가용성 요구사항에 관련된 지침을 제공한다. 

다시 배터리 모니터링 서브시스템으로 돌아와서, 배터리 셀 전압과 온도 측정 위치는 배터리 모니터링 ASIC으로 연결된다. 배터리 전류 상태를 파악하고 안전한 동작 범위 내에서 작동하도록 제어하기 위해 제어 프로세서가 수시로 측정 정보를 수집한다. 고전압 배터리 팩의 경우에는 모니터링 ASIC들은 적층으로 배열되며 각각의 ASIC은 병렬로 다중의 셀을 측정할 수 있다. 그림 2와 같이 절연형 통신 인터페이스를 사용해서 ASIC에서 ASIC으로 명령과 데이터를 전송한다.



그림 2|배터리 모니터링과 통신 구성



주행 중에 배터리 셀 입력 핀과 PCB 사이에 개회로가 발생하면 배터리 모니터링 시스템이 중단되고 위험한 상황에 직면하게 될 수도 있다. 텍사스 인스트루먼트의 BQ79606A-Q1과 BQ79616-Q1 배터리 모니터링 ASIC 제품은 링 통신이 가능할 뿐만 아니라, 예비 배터리 전압 측정 경로를 통해 이런 유형의 결함이 발생했을 시 배터리 팩의 상태와 안전성을 계속해서 모니터링할 수 있다.

그림 3은 양방향 링 구성을 사용해서 BQ79616-Q1을 연결한 것을 보여준다. 두 배터리 모니터링 ASIC 사이에 개방이나 단락 같은 결함이 발생하더라도 제어 프로세서가 모든 배터리 모니터링 ASIC과 메시지를 주고받으며 계속해서 통신할 수 있다. 이로써, 정규 통신으로 결함이 발생되더라도 링 통신 기능을 활용해서 배터리 모듈로부터 받은 전압과 온도에 관한 정보를 손실 없이 시스템은 계속해서 작동할 수 있다.
 


그림 3|BQ79616을 사용한 양방향 링 구성


TI의 BQ79606-Q1와 BQ79616-Q1의 또 다른 특징은 배터리 셀에 연결된 셀 밸런싱 입력 핀들을 사용해서 중복되는 ADC 측정 경로를 제공하는 것이다. 그림 4는 배터리 셀에서 VC와 CB 입력 핀들로 연결된 것을 보여준다. CB 핀은 셀 사이의 전압 균형을 맞추기 위해서 셀에 DC 전류 부하를 발생시킨다. 정상적인 측정 동작이면 메인 VC ADC 경로와 중복 CB ADC 경로 모두 배터리 셀로 연결되고 배터리 셀 전압을 측정할 수 있다. 그런데 PCB에 VC 핀 연결 개방이나 RVC저항 개방 같은 결함이 발생되면, CB ADC 경로는 계속해서 배터리 셀 전압을 측정할 것이다. 반면에 일반적인 전압 측정에 결함이 있으면 시스템은 중복된 ADC 경로 기능 내의 내결함성을 활용하여 배터리 모듈로부터 얻은 전압 정보를 손실없이 가용성을 유지할 수 있다.  





이러한 링 통신과 중복적인 경로 기능 외에도, TI BQ79606-Q1과 BQ79616-Q1은 전기차 배터리 셀 전압 및 온도 측정 시의 통신 결함이나 연결 결함을 감지하기 위한 다양한 진단 기능을 포함하므로 ASIL D에 이르는 기능안전성을 달성할 수 있다.

20세기 초에 동물이 끌어주는 마차에서 이제는 모터로 구동되는 전기차로 빠르게 발전하는 것과 유사하게, 오늘날에는 사회에 편의와 이익을 제공하기 위한 다양한 차량 솔루션이 개발되고 있다. 전기 수송 시스템의 경우 안전과 관련된 요구사항은 필수적이다.

TI.com/functionalsafety에서 기능안전성 달성과 관련된 추가 정보를 확인할 수 있다.

<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>

PDF 원문보기

본 기사의 전문은 PDF문서로 제공합니다. (로그인필요)
다운로드한 PDF문서를 웹사이트, 카페, 블로그등을 통해 재배포하는 것을 금합니다. (비상업적 용도 포함)

  • 100자평 쓰기
  • 로그인



TOP