조널 아키텍처 내의 충전 컨트롤러

충전은 이제 단순한 전력 전달 기능이 아니라, SDV와 조널 아키텍처 안에서 기능안전성, 사이버보안, 실행 시간, 사용자 경험까지 함께 설계해야 하는 시스템 문제로 바뀌고 있다. 이 글은 EVCC를 마이크로컨트롤러 게이트웨이와 HPC로 분산하는 구조를 통해, SDV 시대 충전 통신의 핵심이 개별 부품이 아니라 아키텍처 차원의 통합에 있음을 보여준다. 

글 | 토비야스 슈나이더, 마이클 비크, Vector Informatik GmbH


Tobias Schneider(좌)
전기공학을 전공한 후 Vector의 여러 부서에서 근무했다. 2016년부터는 선행 개발 부문의 프로젝트 매니저로 근무하며 임베디드 소프트웨어 분야의 다양한 업무를 담당하고 있다. 
Michael Vick
2018년부터 Vector에서 다양한 직책을 맡으며 충전 통신 분야를 담당해 왔다. 현재 그는 충전 통신 소프트웨어인 MICROSAR Charge의 솔루션 매니저로 근무하고 있다. 




효율적인 충전 통신은 전기차의 핵심 기능을 뒷받침하는 기반이다.
SDV 시대의 복잡한 E/E 아키텍처에 충전 통신을 어떻게 안정적이고 효율적으로 통합할 수 있을까?
전기차 통신 컨트롤러(EVCC)는 마이크로컨트롤러 기반 온보드 충전기의 핵심 구성요소인 경우가 많다. EVCC는 충전 통신 외에도 전기 회로를 제어하고 모니터링한다. 여기에는 신호선(예: 제어 파일럿)과 CCS(Combined Charging System) 충전 소켓의 잠금 모터가 포함된다. 이러한 작업을 수행하기 위한 EVCC의 소프트웨어 부분은 기능안전성을 위해 ISO 26262에 따라 개발된다. 사이버보안 또한 CCS 기반 충전 시스템에서 중요한 역할을 한다. 충전 통신은 외부 세계와의 인터페이스이므로, 공격자가 차량 내부 네트워크에 접근하기 위한 잠재적인 관문으로 악용될 수 있다. 따라서 충전 통신의 선도적인 표준인 ISO 15118은 진위성, 무결성 및 기밀성을 위한 중요한 보안 조치를 명시하고 있다. 여기에는 TLS(Transport Layer Security)를 이용한 충전 통신 암호화와 차량 및 충전소의 인증 및 권한 부여를 위한 PKI(Public Key Infrastructure) 사용이 포함된다. 이러한 보안 메커니즘은 암호화 작업과 인증서 관리로 인해 추가 자원을 필요로 한다. 특히 실행 시간이 길어지면 충전 통신이 시작된 시점부터 실제 에너지 전송이 이루어질 때까지 대기 시간이 발생할 수 있어 사용자 경험에 부정적인 영향을 미칠 수 있다.
그러나 소프트웨어에서 암호화 연산을 빠르게 수행하려면 최신 타원 곡선을 사용해야 해 이는 기존 마이크로컨트롤러에 있어 큰 과제이다.



 

SDV가 창출하는 새로운 가능성

SDV로의 흐름은 무엇보다도 현대적인 E/E 아키텍처의 구조에 반영돼 있다. 이런 아키텍처는 대개 조널 아키텍처로 구성된다. 차량은 지리적 영역으로 나뉜다. 마이크로컨트롤러 기반의 영역별 ECU 및 센서/액추에이터 ECU 외에도, 중앙 고성능 컴퓨터(HPC)는 SDV의 필수적인 구성 요소다. 이들은 강력한 프로세서와 POSIX 기반 운영 체제를 갖춘 시스템 온 칩(SoC) 형태로 구현되는 경우가 많다. 조널 아키텍처에 EVCC를 구현하는 데에는 다양한 접근 방식이 있다. 한 가지 가능성은 앞서 언급한 온보드 충전기이다. 이는 E/E 아키텍처의 특정 영역에 별도의 구성 요소로 통합된다(그림 1, 1). 또 다른 변형은 EVCC를 영역별 ECU에 통합하는 것이다(그림 1, 2). 전력선 통신(PLC)을 위한 거리를 최소화하기 위해서는 CCS 충전 소켓 근처에 설치된 영역별 ECU가 이상적이다.
세 번째 접근 방식은 EVCC를 분산 시스템으로 구현하는 것으로, 이 경우 개별 소프트웨어 기능들은 기존 ECU의 특성 에 따라 분산된다(그림 1, 3).







분산형 EVCC 솔루션

이 세 번째 접근 방식은 Vector의 선행 개발 프로젝트의 일환으로 연구됐다. 소프트웨어의 분산은 주로 기능 안전 및 사이버보안 요구사항에 따라 수행된다. EVCC 소프트웨어는 두 개의 ECU로 분할된다. 전기 회로를 제어하는 안전 관련 애플리케이션은 실시간 성능을 활용하기 위해 Vector의 MICROSAR Classic 기본 소프트웨어가 탑재된 마이크로컨트롤러 기반 게이트웨이에서 실행된다. 이 게이트웨이는 영역별 ECU(그림 2) 내에 구현되거나 독립형 센서/액추에이터 ECU로 구현될 수 있다. 반면, 사이버보안을 위한 리소스 집약적인 소프트웨어 구성요소와의 통신은 주로 HPC에서 수행된다. 고성능 프로세서를 활용함으로써 암호화 연산에 소요되는 시간을 단축할 수 있다. HPC는 Android Automotive OS (AAOS)로 구동된다. 그림 2는 시스템 내 다양한 소프트웨어 기능의 분배를 보여준다.
게이트웨이는 전력선 통신(PLC)을 통해 충전 스테이션과 차량 내부 네트워크를 통해 배터리 관리 시스템(BMS)과 통신을 처리한다. 또한 PLC 칩을 통합하고 충전 소켓의 하드웨어 입출력을 제어한다. 신호 레벨 감쇠 특성 분석 (SLAC) 및 SECC 검색 프로토콜(SDP)과 같은 충전 순서의 초기 단계도 이곳에서 수행된다. 또한 게이트웨이는 충전 스테이션에서 전송된 메시지를 HPC 내의 안드로이드 시스템으로 전달한다.
이는 게이트웨이 내부의 NAT (네트워크 주소 변환) 방식 라우터를 통해 이뤄지며, 이 라우터는 충전 프로토콜에서 전송된 메시지만 차량 네트워크로 통과하도록 허용한다. 원치 않거나 알 수 없는 메시지는 걸러진다. 이 NAT 방식의 라우터 컨트롤러는 내부 네트워크와 외부 PLC 인터페이스를 보호한다. 이는 ISO 21434의 요구사항을 충족한다. 게이트웨이와 HPC는 Ethernet을 통해 두 개의 채널로 연결된다. 하나는 충전 프로토콜에 사용되고, 다른 하나는 안드로이드 시스템과 게이트웨이 간 상태 동기화에 사용된다. 게이트웨이가 더 빠르게 시작되므로, HPC가 사용가능하기 전에 개별 충전 단계를 시작할 수 있다.
SLAC 및 SDP는 Android 시스템의 어떠한 입력 없이도 시작되므로, 실제 충전이 시작되기까지 걸리는 시간이 단축된다. 충전 통신의 상당 부분은 HPC의 Android Automotive OS에서 처리된다. 또한, 암호화 작업이 실행되고 필요한 인증서 및 키가 관리되는데, 이는 특히 Plug & Charge 기능에 필수적이다. 충전 통신은 AAOS 내에서 충전 서비스로 구현된다. 이는 Vector의 잘 알려진 충전 통신 소프트웨어인 MICROSAR Charge를 기반으로 하며, 상태 머신, EXI(Efficient XML Interchange) 인코더/디코더, 애플리케이션 메시지를 위한 XML 보안 등을 포함한 프로토콜별 구현을 포함한다. 아키텍처는 모듈식 구조로 구성돼 있다. Crypto 라이브러리나 인증서 및 키 관리와 같은 외부 구성요소는 상호 교환 가능하게 통합될 수 있다. 충전 서비스는 네이티브 서비스로서 Android 프레임워크에 통합된다. 이를 통해 서비스 관리자에 의한 신속한 시작 및 모니터링이 보장된다. 서비스 관리자는 서비스를 시작하고 모니터링하며, 필요한 경우 서비스를 재시작한다. 충전 서비스는 VNDK(Vendor Native Development Kit)를 활용해 개발 및 유지보수 할 수도 있다.
안드로이드 시스템은 서로 다른 목적과 권한을 가진 여러 파티션을 가지고 있으므로(그림 3), AAOS 내에서의 충전 서비스 할당은 중요하다. 안드로이드 핵심 시스템 구성요소가 포함된 시스템 파티션은 가장 높은 권한을 가지며 API에 대한 제한 없는 접근 권한을 갖는다. 그러나 이 파티션은 사용자별 확장을 위한 용도로는 설계되지 않았다. 충전 서비스는 벤더 파티션에 저장되는데, 이는 해당 파티션이 필요한 모든 시스템 API에 접근할 수 있을 뿐만 아니라, 데이터에 대한 무단 변경을 방지하는 보호 메커니즘을 제공하기 때문이다.
빠른 시작 시간은 충전 과정 중 대기 시간이 짧아져 긍정적인 사용자 경험을 제공한다. 마이크로컨트롤러 기반 시스템은 밀리초 단위의 시작 시간을 가능하게 하는 반면, 고성능 컴퓨팅(HPC) 시스템은 대개 몇 초가 소요된다. 분산형 EVCC 솔루션에서는 충전 케이블을 연결하는 즉시 충전 통신이 시작될 수 있도록 시작 동작을 설계해야 한다. 따라서 마이크로컨트롤러가 충전 순서의 초기 단계를 실행한다.






평가

분산형 EVCC 솔루션은 특히 실행 시간에 긍정적인 영향을 미친다. 실제 테스트 시나리오에서, ISO 15118-20에 따른 클라이언트 및 서버 인증을 포함한 TLS 1.3 핸드셰이크의 실행 시간은 마이크로컨트롤러 기반 시스템에 비해 8~10배 단축됐다. 또한, 전체 충전 시퀀스 동안 표준에서 요구하는 모든 시간 제한을 충족했다.
SoC 플랫폼은 기존 마이크로컨트롤러보다 메모리 자원이 훨씬 풍부하기 때문에 인증서 체인에 필요한 메모리 용량은 상대적으로 덜 중요하다. 또한 충전 통신이 HPC로 이전됨에 따라 충전 소켓을 제어하는 마이크로컨트롤러를 훨씬 소형으로 설계할 수 있다. 이는 상당한 비용 절감으로 이어진다. 아울러 업데이트 기능과 시작 시간은 EVCC의 중요한 특성이다. 업데이트 전략은 대개 제조사별로 다르며 ECU의 기술적 특성에 따라 달라진다. 앞서 언급한 소프트웨어 분배 방식을 통해 HPC에서 충전 프로토콜을 중앙 집중식으로 업데이트할 수 있는데, 이는 여러 개의 충전 소켓을 사용할 때 특히 유용하다. 예를 들어, CCS 및 MCS(메가와트 충전 시스템)용 충전 소켓을 여러 개 갖춘 전기 트럭이 있다. 또한 충전 서비스 내 기능을 동적으로 구성함으로써 차량 사양 관리를 간소화할 수 있다.
그러나 분산형 EVCC 솔루션은 장점 외에도 복잡성을 증가시킨다. 예를 들어, 차량 내 통신 경로의 수가 늘어난다. 또한 충전 과정에는 서로 다른 하드웨어 플랫폼과 소프트웨어 생태계가 관여하게 된다. 이로 인해 여러 ECU가 관여하게 되고 테스트 케이스의 수가 늘어남에 따라 테스트 구성이 더욱 복잡해지며, 결과적으로 전체 시스템을 테스트하는데 필요한 노력이 증가한다.



결론

Vector의 선행 개발 프로젝트는 EVCC의 다양한 통합 접근 방식이 갖는 장점과 단점을 보여준다. 선택된 접근 방식은 조널 아키텍처 내에서 사용가능한 하드웨어 및 소프트웨어 구성에 기반해야 한다. 또한, 더 강력한 프로세서와 하드웨어 가속기를 갖춘 미래의 하드웨어 플랫폼은 새로운 통합 시나리오를 가져올 수 있다. 그러나 적합한 충전 통신 소프트웨어는 유연하고 이식성이 있어야 한다. SDV 환경에서는 ECU 개발 시 경제적인 요소와 프로젝트별 특성을 그 어느 때보다 더 고려해야 한다. 기술적 관점에서 볼 때, SDV에 효율적인 충전 통신 기능을 구현하는 데는 아무런 장애물이 없다.

AEM(오토모티브일렉트로닉스매거진)

---