워킹그룹 의장인 TTTech Auto의 사샤 드렌켈포르트 수석 안전 컨설턴트(우측)와 인피니언의 우도 단네바움 수석 책임 엔지니어 



자율주행 안전을 둘러싼 복잡한 과제를 해결하기 위해 글로벌 OEM과 티어1, 소프트웨어 기업, 학계가 한데 모인 개방형 협업 플랫폼 The Autonomous가 업계를 위한 안전 아키텍처 로드맵 2판(Safe Automated Driving: Requirements and Architectures Second Edition)을 공개했다. 이 보고서는 SAE 레벨 4 고속도로 파일럿을 참조 사례로 삼아 시스템 요구사항과 설계 원칙을 정립하고 가용성·신뢰성·확장성·보안·SOTIF 기준에 따라 여덟 가지 후보 아키텍처를 비교·평가했다. 특히 ‘충분한 독립성(Sufficient Independence)’ 개념과 이를 정량화할 지표·커버리지 방법론을 새롭게 제안해, 중복성(redundancy)만으로 해결할 수 없는 공통원인고장 문제를 실무적으로 다룰 수 있도록 했다. 또 ISO 26262, SOTIF, UNECE R157, UL 4600 등 최신 표준이 시스템-레벨 아키텍처 설계와 안전 논증에 미치는 영향을 구현 관점에서 폭넓게 분석했다. The Autonomous는 이 2판을 토대로 더 세분화된 화이트페이퍼와 협업 기회를 열어 업계가 안전하고 신뢰할 수 있는 레벨 4+ 자율주행 시스템을 체계적으로 설계할 수 있도록 지원할 계획이다.

글 | 한상민 기자_han@autoelectronics.





The Autonomous는 자율주행(AD)의 안전 관련 주제를 놓고 모빌리티 생태계의 주요 임원과 전문가들을 한데 모으는 오픈 플랫폼이자 이니셔티브다. 산하의 ‘Safety & Architecture’ 워킹그룹에는 국제 연구기관과 산업계 구성원이 참여해 자율주행의 안전 과제를 해결하기 위해 ‘자율주행차의 시스템-수준 개념 아키텍처가 어떤 모습일 수 있는지’를 함께 탐구해왔고, 보고서 초판을 2021년부터 2023년까지, 두 번째 판을 2024년부터 2025년 사이에 작성해 공개했다. 모두 산업·학계 외부 전문가의 리뷰를 거쳤다.

워킹그룹 의장인 TTTech Auto의 사샤 드렌켈포르트(Sascha Drenkelforth) 수석 안전 컨설턴트는 “우리의 미션은 ‘결함을 견디면서도 안전 운용을 유지하는’ 안전한 AD 시스템을 구축하는 것입니다. 그리고 안전은 경쟁하거나 타협할 영역이 아닙니다. 이 주제에서는 협업이 압도적으로 유익합니다”라고 말했다. 

워킹그룹의 작업은 SAE 레벨 4 고속도로 파일럿(Highway Pilot, HWP)을 참조 사용사례로 제시하고 핵심 시스템 요구사항을 도출한다. 이어 이를 구현할 때 적용해야 할 일반 제약과 널리 알려진 설계 원칙을 정리한다. 다음으로 시장·문헌 조사를 통해 후보 아키텍처를 모으고 속성을 정리한 뒤, 가용성·견고성·확장성 등 중시하는 기준에 비춰 비교 평가한다. 마지막으로, 중복된 요소 간 ‘충분한 독립성(Sufficient Independence)’ 같은 개발·구현 관점과 관련 표준·보안 요건이 아키텍처에 미치는 영향도 논의한다. 이 보고서는 개념 아키텍처의 상위 수준부터 물리 구현의 하위 수준에 이르는 여러 추상화 단계에서 일관성을 확보하고 의사결정을 내려야 하는 시스템 오너를 주 독자로 상정했고, 합리적 결정을 내리고 설계 안전 논증을 구성하도록 돕는 것을 목적으로 했다.







추상화 수준과 참조 사용사례 

“Sense - Think - Act 모델 가운데 이번 두 번째 에디션은 ‘Think’ 파트에 집중했습니다.”
드렌켈포르트 의장이 말했다. 

복잡한 주행 과업을 안전하게 수행하는 AD 시스템 개발은 큰 도전과제다. 최고 수준으로 개발돼도 복잡한 HW·SW 요소에는 언제든 결함과 기능적 불충분이 드러날 수 있다. 그럼에도 전체 시스템은 최소한 일정 시간 동안 성능 저하 상태에서도 운용을 이어갈 수 있어야 한다. 따라서 복잡성을 통제하고 효과적·효율적으로 내결함성을 확보하려면 적절한 아키텍처가 필수다. 이 분석에서 워킹그룹은 개념적 시스템 아키텍처 수준을 채택했다. 즉, 시스템을 잘 캡슐화된 서브시스템들의 집합(필요 시 전체 처리 채널 또는 기능의 독립 하위 집합)으로 보고 이를 기준으로 사고했다.
참조 사용사례는 SAE 레벨 4 HWP(시속 130km 조건)를 선정했다. 이는 개념 아키텍처에 적용가능한 가정·요구사항·설계 원칙을 끌어내는 배경 역할을 했다. 2025년 현재 시장에는 속도·차선변경·선행 차량 등에 제한이 있는 레벨 2 고속도로 지원 및 제한적 레벨 3 시스템이 제공되고 있고, 사용자 소유 형태의 완전 기능 레벨 4 HWP가 수년 내 등장할 것으로 전망되고 있다. 이런 기능은 복잡한 교통상황을 처리해야 하고 높은 가용성 요구로 인해 고도화된 시스템 아키텍처가 요구된다. 




시스템 요구사항·설계 제약·설계 원칙 

워킹그룹은 AD 시스템 중 운전 알고리즘의 핵심, 즉 Automated Driving Intelligence(ADI)에 초점을 맞췄다. ADI는 운전자가 수행하던 인지·판단·결정의 인지적 과업을 포괄하며 차량 플랫폼·물리 환경과의 ‘루프’를 닫아주는 센서 시스템·액추에이터 시스템·UI 시스템·진단 시스템과 상호 연결된다. 액추에이터 안전을 담보하려면 ADI에는 시의성(S1), 가용성(S2), 정확성(S3), 일관성(S4), 지각(Perception) 오작동 검출(S5), ADI 자체 진단(S6) 등 핵심 시스템 요구사항이 적용되어야 한다. 특히 레벨 4 기능에서는 명령의 가용성이 안전과 직결된다. 또한 ADI 아키텍처는 자체 진단 메커니즘을 포함하고, 지각에 국한되지 않는 기능적 불충분의 탐지·처리도 지원해야 한다.

드렌켈포르트 의장은 “현실적으로 많은 플레이어가 레거시 운전자 지원 시스템(ADAS)이나 사전 개발(pre-development) 단계에서 출발합니다. 이것이 개념 아키텍처 수립의 제약으로 작용하기 때문에 훨씬 더 체계적인 접근이 필요합니다”라고 말했다.

이런 요구를 만족시키는 개념 아키텍처를 구성할 때는 현실적 HW·SW 한계를 직시해야 한다. 예컨대 거대·복잡한 ‘모놀리식’ 시스템에서는 설계결함 및 단일사건 업셋(soft error)을 피할 수 없고 시험만으로 높은 가용성을 달성하거나 AD 기능이 직면할 모든 에지 케이스를 명세하는 것이 불가능하다. 따라서 아키텍처는 이런 일반 제약을 전제하고 대응해야 한다. 
건전한 개념 아키텍처는 예를 들어 결함 격리 단위(Fault Containment Unit, FCU) 기반의 독립 서브시스템 구성, 다양성(diversity)과 중복성(redundancy) 적용, 서브시스템 간 상호작용을 제한해 발현적(emergent) 거동 방지, 스위스 치즈 모델을 통한 위험 저감 등 확립된 모범사례를 따른다.







후보 아키텍처 

“우리는 배경과 맥락에서 ‘아키텍처가 무엇을 해야 하는가’를 스스로 물었고, 후보 아키텍처의 모습·동작·핵심 속성을 정리했으며, 마지막으로 아키텍처의 진화와 투명한 비교 방법을 제시했습니다.” 인피니언의 우도 단네바움(Udo Dannebaum) 수석 책임 엔지니어가 워킹그룹의 작업한 후보 개념 아키텍처와 관련해 말했다.

후보는 크게 ▶모놀리식: SAE 레벨 2의 현행 주류 형태로 레벨 4로의 점진 확장 기반 ▶대칭형(symmetric): 동일/유사 기능을 수행하는 다중 채널에 투표/합의 등 중재 메커니즘을 둔 형태 ▶비대칭형(asymmetric): 모니터링 요소나 축소 기능의 폴백(fallback) 채널 등을 활용해 일부 서브시스템 복잡도를 낮추는 분해 전략을 적용한 형태의 세 부류로 묶인다.
여기에는 공통 패턴이 쓰인다. Arbitration은 동등 채널 간 투표 등으로 중복을 관리하고, Agreement는 외부 중재자 없이 합의 기반으로 동작한다. Doer/Checker는 채널을 ‘의도 기능 수행(Doer)’과 ‘승인(Checker)’으로 비대칭 분해해 정확성을 확보하고, 활성/대기 채널전환(Active/Hot Stand-By)은 선호 메인 채널과, 그 불가 시 폴백 채널로 가용성 중심 분해·전환한다.





단네바움 수석 책임은 “참조 사용사례는 시속 130km 조건의 레벨 4 HWP였습니다. Single Channel, Majority Voting, Cross-Checking Pair, Daruma, 레이어 기반 DCF(Doer/Checker/Fallback), 채널 기반 DCF, Distributed Safety Mechanism, AD-EYE(Automated Driving Eye) 등 8개 후보를 핵심 요구사항과 설계 원칙에 비춰 점검했습니다”라고 설명했다.

개념 아키텍처 후보는 세 가지다.
첫째는 모놀리식(monolithic) 구조로, 단일 ECU가 지각부터 환경 모델링, 궤적 생성, 그리고 액추에이터 제어까지 ADI의 모든 과업을 한 덩어리로 처리한다. 일종의 단일 채널(Single Channel) 접근 방식으로, 2017년 아우디의 zFAS(레벨 3 Traffic Jam Pilot)나 테슬라의 FSD, E2E AI 기반 모놀리식 설계가 여기에 속한다.
둘째는 대칭형(symmetric) 아키텍처다. 대표적으로 다수결 투표(Majority Voting) 방식이 있다. 세 개 이상 채널이 같은 기능을 수행해 각자의 출력을 내놓으면 다수결로 최종 명령을 결정한다. 다만 모든 채널이 서로 다른 결과를 내면 결정이 불가능해져 투표에 참여하는 채널 자체를 중복 설계해야 한다. 또 다른 방식으로는 크로스체킹 페어(Cross-Checking Pair)가 있다. 두 개의 복잡한 채널이 서로를 교차 검증하고, 단순화된 셀렉터 두 개가 양쪽 모두 안전하다고 판단한 명령만 선별해 내보낸다.
셋째는 비대칭형(asymmetric) 접근이다. 이 부류는 복잡한 기능을 수행하는 메인 채널과 보다 단순한 보조 채널을 조합해 가용성과 안전성을 높이는 전략을 취한다. 예를 들어 채널 단위 DCF(Doer/Checker/Fallback)는 주행을 담당하는 Doer 채널, 최소 위험 상태(MRM) 전용의 Fallback 채널, 그리고 두 결과를 검증하는 Checker, 마지막으로 단순하지만 신뢰성 높은 셀렉터로 구성된다. 레이어 단위 DCF는 Sense - Plan - Act 각 계층마다 Doer와 Checker를 쌍으로 배치하고, 우선순위 셀렉터가 상태에 따라 정상 주행, 안전 모드, 정지 출력을 선택한다. 이 셀렉터는 단순한 구조지만 높은 안전무결성이 요구되며, 최후 수단으로 ‘무조건 정지’를 유발할 수도 있다. 보다 분산된 접근으로는 Distributed Safety Mechanism(DSM)이 있다. 기능 모니터와 차량 안전 메커니즘이 플랫폼·네트워크·기능을 각각 독립적으로 감시하고 개입해 전체 시스템을 보호한다.

마지막으로 AD-EYE는 복잡한 메인 채널에 자체 성능 저하·회복 메커니즘을 포함시키고, 더욱 단순한 보조 채널을 둬 메인을 검증하게 만든다. 보조 채널은 필요할 때 메인 기능을 운용 영역 축소(점진적 성능 저하) 상태로 유도하거나 심각한 결함이 발생하면 폴백으로 전환한다. 최종 출력은 중복 셀렉터가 두 채널의 판단을 검증한 뒤, 메인 혹은 폴백 중 안전하다고 확인된 명령을 차량 액추에이터로 보낸다.



아키텍처 평가의
방법, 기준, 주요 발견      

아키텍처를 평가할 때 워킹그룹은 여섯 가지 기준을 세웠다. 먼저 가용성으로, 결함이 발생하더라도 일정 수준의 기능을 유지할 수 있는 fail-operational 지원 능력을 봤다. 이어서 신뢰성은 명목 기능이 얼마나 끊김 없이 유지되는지와 사용자 경험의 연속성을 포함했다. 사이버보안은 위협에 대한 민감도와 공격 이후 시스템이 얼마나 빠르게 회복할 수 있는지를 살폈다. 또한 아키텍처가 낮은 SAE 레벨로 쉽게 축소(downscale)되거나 더 높은 레벨로 확장(upscale)될 수 있는지를 보는 확장성, 모듈 개발과 검증이 얼마나 용이한지를 판단하는 단순성, 그리고 의도된 기능이 불충분하거나 불가피한 에지 케이스에서도 안전을 유지할 수 있는지 평가하는 SOTIF를 기준으로 삼았다.
평가 절차는 세 단계로 진행됐다. 먼저 편향을 최소화하기 위해 각 아키텍처를 대상으로 위 여섯 가지 기준별 관찰 결과를 나열하고 속성을 정리했다. 다음으로 SAE 레벨 4 HWP란 참조 사용사례에 비추어 각 평가 기준이 얼마나 중요한지를 상대적으로 판단했다. 마지막으로 이렇게 정리된 관찰 결과를 바탕으로 각 기준별 장단점을 도출하고, 이를 종합해 정성적 순위 비교를 수행했다.
정밀 평가 결과, 비대칭형 아키텍처가 대칭형 대비 이점을 보였다.

“평가에서 드러난 핵심은 분할·모듈성·‘충분한 독립성’입니다. 결론적으로 비대칭 아키텍처를 권장합니다.” 단네바움 수석 책임이 말했다.

보고서에서 다룬 채널/레이어 단위 DCF, DSM, AD-EYE 등 비대칭 구조는 연산 흐름의 다양성 덕분에 가용성·사이버보안·SOTIF 측면의 견고성이 더 높았다. 채널이 상호 약점을 보완·상쇄하기 때문이다. 또한 비대칭형은 채널 추가·삭제로 자연스러운 SAE 레벨 상·하향이 가능해 확장성 선택지가 넓다. 표면적으로 더 복잡해 보이지만 다양성은 모듈식 개발·독립 검증을 촉진해 개발비 절감·가용성 향상을 기대하게 한다.
대칭형 중에서도 Cross-Checking Pair나 Daruma처럼 강한 다양성을 전제로 구현하면 비대칭의 이점을 취할 수 있다(사실상 DCF 패턴의 다중 영리 구현). 반면 투표·합의 기반의 전형적 대칭형은 기능안전성·SOTIF·보안 관점에서 공통원인 취약성에 더 노출되기 쉽다. 이를 이질적 채널(다른 칩셋·알고리즘)로 줄이면 채널 간 ‘서로 다르지만 모두 타당한’ 결과가 나와 허용오차 기반 투표(inexact voting)로도 처리하기 어려운 경우가 생긴다(예: 장애물을 좌/우로 회피처럼 본질적으로 다른데 모두 옳은 해).
마지막으로 모놀리식 싱글 채널은 구현 단계에서 내부 중복·감시를 추가해 결국 다른 아키텍처로 진화하지 않는 한 현실적 대안이 아니라고 봤다.






구현 고려사항과 ‘충분한 독립성’ 

후보 아키텍처를 정리한 뒤, 이를 실제 하드웨어·소프트웨어 안전 콘셉트로 구체화할 때는 추가로 고려해야 할 주제들이 있다. 사용사례에 따른 SW 아키텍처 스타일, 공통 안전조치, 사이버보안 관점 등을 논의한다. 
예를 들어, 중복 채널을 갖춘 HW/SW 결합 구현으로 구체화하려면 의존 고장(dependent failures)을 반드시 고려해야 한다. 즉, (모놀리식 싱글 채널을 제외한) 모든 후보가 전제하는 중복 요소가 동시에 고장나지 않도록 채널 간 충분한 독립성(Sufficient Independence)(간섭으로부터의 자유 포함)과 단일고장점 배제를 보장해야 한다.

드렌켈포르트 의장은 “중복성은 필수지만 그것만으로 충분하진 않습니다. 중복된 요소가 ‘동시에’ 고장나지 않도록 보장해야 하며, 이를 위해 공통원인고장과 결합 요인(coupling factors)에 대한 체계적 분석과 방법론이 필요합니다”라고 말했다.







워킹그룹은 의존 고장의 결합 요인을 분류·예시하고, 이를 약화·차단하는 방법을 제시했다. 또한 개발비 절감을 위한 동질적 중복(같은 SoC/OS/알고리즘) 선호와 공통원인 고장을 피하기 위한 완전 이질적 중복 사이의 긴장을 다뤘다. 이를 위해 ISO 26262의 ‘진단 커버리지(diagnostic coverage)’ 개념에 착안, 각 의존고장 유발 요인별로 ‘독립성 커버리지(independence coverage)’를 반정량적으로 부여하는 새로운 평가 방법론을 제안했다. 이는 주관적·희망적 사고를 피하고, ‘충분한 독립성’ 달성 여부를 견고하게 판단할 수 있도록 한다.

“우리는 ‘충분한 독립성 지표(metric)’와 ‘독립성 커버리지’를 도입해, 전문가 판단에 엄밀성을 부여하고 ‘충분히 독립적’이라는 결론에 도달하는 체계를 마련했습니다.” 드렌켈포르트 의장이 말했다.



아키텍처 설계와 표준 부합성 

“이번 2판에서는 ISO 26262, ISO 21448(SOTIF), UNECE R157, ISO/IEC TR 5469·ISO/PAS 8800, UL 4600, ISO/TS 5083 등이 개념 아키텍처에 미치는 영향을 구현 관점에서 폭넓게 분석했습니다.” 단네바움 수석 책임이 말했다.  

선정한 아키텍처에 대한 안전 논증을 구성하려면 ISO 26262·ISO 21448 등 관련 안전 표준을 참조해야 했다. 또, ASIL 준수를 위해 아키텍처 수준·논리 - 물리 매핑의 형식 검증, 전체 가용성 정량화(마르코프 모델링) 등 고급 기법 활용도 제안했다. 아울러 ADI 구현 관련 표준들의 아키텍처적 영향을 분석했다.
▶ISO 26262 기능안전성 적합은 현실적으로 ASIL 분해를 요구하므로, 보고서의 기능적 분할은 ADI의 표준 적합에 유리한 기반을 제공한다(모놀리식 접근으로는 달성 난망). ▶ISO 21448 SOTIF는 명시적으로 아키텍처 설계를 강제하진 않지만, Sense - Plan - Act 패러다임과 폴백 엔터티를 전제한다. ▶UNECE R157은 레벨 3+ HWP 형식승인 요건을 규정하며, 잘 설계된 아키텍처는 시행착오식 블랙박스 시험 대신 설계 단계 안전요건 충족을 증명하도록 돕는다. ▶ISO/IEC TR 5469 및 자동차 특화 ISO/PAS 8800(2024)은 AI 기반 시스템의 기능안전성을 다루며, 다양 채널 투표, Doer/Checker(+출력 제한), Doer/Fallback 같은 아키텍처 패턴을 제안한다(Doer는 AI, Checker는 AI 가능, Fallback은 비-AI 권장). ▶UL 4600은 논리·물리 아키텍처 요구, 중복·계층화(지각 관측성)를 명시해 사실상 모놀리식(E2E 단일 블록) 배치를 배제한다. ▶ISO/TS 5083(2025)은 도로차량 AD 시스템 개발·검증 및 안전 케이스 구성 가이드를 제공하며 폴백 메커니즘을 필수로 요구한다(아키텍처 자체는 불개입적이되, AI 모델 맥락에서는 ISO/PAS 8800 패턴 참조). 







“보고서 2판은 충분히 방대합니다. 이제는 주제를 나눠 더 작고 민첩한 화이트페이퍼로 이어가려 합니다. 센서/액추에이터 측 ‘충분한 독립성’, 폴트 톨러런트 중재(fault-tolerant arbitration), 하드웨어 통합의 기회와 위험 같은 핵심 토픽을 함께 다룰 파트너를 환영합니다.”
드렌켈포르트 의장이 말했다.  


 

 

AEM(오토모티브일렉트로닉스매거진)