2.7 Level 4: 고도 자동화(High Driving Automation)
1. 정의
SAE J3016 표준에서 Level 4(High Driving Automation)는 자율주행 시스템(ADS)이 정의된 ODD 내에서 DDT의 전체와 DDT Fallback을 모두 수행하는 수준을 의미한다(SAE International, 2021). Level 4에서는 시스템이 DDT를 더 이상 수행할 수 없는 상황에서도 인간의 개입 없이 자력으로 최소 위험 상태(MRC)에 도달하여야 한다.
2. 기술적 특성
Level 4의 핵심적 특성은 DDT Fallback의 수행 주체가 시스템이라는 점이다. Level 3에서는 시스템이 DDT를 수행할 수 없을 때 인간 운전자에게 제어권 전환을 요청하였으나, Level 4에서는 이러한 요청 없이 시스템 자체가 안전한 상태에 도달한다.
2.1 Level 3과의 핵심적 차이
| 비교 항목 | Level 3 | Level 4 |
|---|---|---|
| DDT 수행 | 시스템 (ODD 내) | 시스템 (ODD 내) |
| OEDR 수행 | 시스템 (ODD 내) | 시스템 (ODD 내) |
| DDT Fallback | 인간 (요청 시) | 시스템 |
| 인간 역할 | DDT Fallback-Ready User | 탑승자 (Passenger) |
| 운전석 필요 여부 | 필수 | 선택적 |
Level 4에서 인간은 DDT나 DDT Fallback에 대한 어떠한 역할도 요구되지 않는다. 이에 따라 Level 4 차량은 운전석이 없는 설계도 가능하며, 실제로 Waymo의 Jaguar I-PACE 로보택시나 Nuro의 무인 배송 차량은 운전석 없이 운용되고 있다.
2.2 자율적 DDT Fallback
Level 4 시스템의 DDT Fallback은 다음의 시나리오를 포함한다.
ODD 경계 도달 시: 시스템이 ODD의 경계에 접근하는 것을 사전에 감지하고, 안전한 장소(갓길, 주차 공간 등)에 차량을 정차시키는 최소 위험 기동(Minimal Risk Maneuver)을 수행한다.
시스템 고장 시: 센서 고장, 연산 장치 오류 등 시스템의 기능 저하가 감지되면, 잔여 기능을 활용하여 MRC에 도달한다. 이를 위해 센서, 연산 장치, 통신 시스템 등의 핵심 구성 요소에 대한 이중화(Redundancy) 설계가 요구된다.
처리 불가 상황 발생 시: 시스템이 적절히 대응할 수 없는 상황(예: 예측 불가능한 도로 폐쇄, 교통 통제원의 수신호 등)이 발생하면, 현재 위치에서 안전하게 정차하거나 원격 운용 센터에 지원을 요청한다.
3. ODD의 제한성
Level 4는 ODD가 제한적이라는 점에서 Level 5와 구분된다. Level 4 시스템은 사전에 정의된 특정 운용 조건에서만 DDT를 수행하도록 설계되며, ODD 외부에서는 작동하지 않는다.
Level 4 시스템의 ODD 범위는 응용 분야에 따라 크게 다르다.
- 로보택시: 특정 도시의 지오펜스 구역, 사전 매핑된 도로, 특정 기상 조건 및 시간대
- 자율주행 트럭: 특정 고속도로 구간(허브 간 운행)
- 자율주행 셔틀: 고정 노선, 저속 운행 환경
- 자율 발레 주차: 특정 주차장 시설 내부
4. 상용화 현황
Waymo One: 미국 피닉스, 샌프란시스코, 로스앤젤레스에서 완전 무인 로보택시 서비스를 운영하고 있다. 안전 운전자(Safety Driver) 없이 승객을 운송하는 Level 4 서비스이다(Waymo, 2024).
Baidu Apollo Go: 중국 베이징, 우한, 충칭 등 다수의 도시에서 로보택시 서비스를 운영하고 있다. 일부 지역에서는 완전 무인 운행이 허가되어 있다(Baidu, 2023).
Nuro: 미국에서 무인 배송 차량을 운용하고 있다. 운전석이 없는 전용 설계 차량으로, 식료품 및 물품 배송 서비스를 제공한다.
5. Level 4의 기술적 요구사항
Level 4 시스템은 인간의 개입 없이 안전을 보장하여야 하므로, Level 3 대비 현저히 높은 기술적 요구사항이 존재한다.
시스템 이중화(System Redundancy): 센서, 연산 장치, 전원 공급, 조향 시스템, 제동 시스템 등 안전에 관련된 핵심 구성 요소의 이중화가 필수적이다. 단일 구성 요소의 고장이 시스템 전체의 안전 기능 상실로 이어지지 않도록 설계하여야 한다.
원격 지원(Remote Assistance): 시스템이 자력으로 해결할 수 없는 상황(예: 공사 구간의 임시 통행로 판단, 교통 통제원의 수신호 해석 등)에서 원격 운용 센터의 지원을 받을 수 있는 원격 지원 시스템이 필요하다. 원격 지원은 원격 조종(Remote Driving)과 구분되며, 상황 판단에 대한 조언을 제공하는 것이 주된 역할이다.
사이버 보안(Cybersecurity): Level 4 차량은 인간의 직접 개입 없이 운행되므로, 사이버 공격에 의한 시스템 무력화가 치명적인 안전 위험으로 이어질 수 있다. ISO/SAE 21434(도로 차량 사이버 보안 공학) 표준에 따른 사이버 보안 설계가 요구된다(ISO/SAE, 2021).
6. 참고 문헌
- Baidu. (2023). Apollo Go: Autonomous ride-hailing service.
- ISO/SAE. (2021). ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering.
- SAE International. (2021). Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles (J3016_202104).
- Waymo. (2024). Waymo safety report.
v1.0