AUTOSAR Diagnostic Communication (UDS) 구조 분석

진단 통신의 필요성과 UDS 도입 배경

자동차 전자 제어 시스템에서는 문제를 신속하게 감지하고 대응할 수 있는 진단 시스템의 중요성이 급격히 커지고 있다. 과거에는 기계적인 고장이 대부분이었지만, 현대 차량은 복잡한 전자 시스템의 집합체로 구성되기 때문에, 소프트웨어적인 진단과 통신 기반의 진단 기능이 핵심이 되었다. 이러한 차량 진단은 오류를 기록하는 수준을 넘어서, ECU 간 통신, 보안, 기능 제어까지 포함하는 종합적인 품질 관리 체계로 진화하고 있다. 이때 사용되는 글로벌 표준이 바로 UDS (Unified Diagnostic Services)이다.

UDS는 ISO 14229를 기반으로 한 통신 규격이며, 진단기(테스터)와 ECU 간의 메시지 교환 방식을 정의한다. UDS를 통해 개발자는 ECU의 내부 상태를 읽고, 오류를 진단하며, 특정 기능을 제어하거나 업데이트할 수 있다. AUTOSAR는 이러한 UDS의 구조를 모듈화하여 DCM, DEM, FIM 등으로 분리하고, ECU 설계자가 통합 가능한 진단 프레임워크를 구축할 수 있도록 표준 아키텍처를 제공한다.

AUTOSAR 진단 소프트웨어의 계층적 구성

DCM의 역할: 진단 서비스 처리의 중심

AUTOSAR의 진단 구조에서 가장 핵심이 되는 모듈은 DCM (Diagnostic Communication Manager)이다. DCM은 UDS 요청을 수신하고, 이를 내부적으로 해석한 뒤 적절한 응답을 생성한다. 예를 들어, 외부 진단 장비에서 ECU Reset(0x11) 요청이 들어오면, DCM은 해당 메시지를 파싱하고, 이를 지정된 Application 코드에 전달한 후, 처리 결과에 따라 응답을 생성해 보낸다. 이 모든 과정은 사전에 정의된 ARXML 설정 파일을 통해 연결되어 있으며, 개발자는 각 UDS 서비스에 대응되는 처리를 코드로 작성하고, 이를 DCM 설정에 매핑해야 한다.

UDS 서비스 구조 이해

UDS 서비스는 매우 다양하며, ECU Reset, Diagnostic Session Control, Security Access, Read/Write Data by Identifier, Routine Control 등 수십 가지의 명령어로 구성된다. 각각의 서비스는 고유의 서비스 ID를 가지고 있으며, 요청과 응답 형식도 표준화되어 있다. 이러한 명세를 따르기 위해 DCM은 서비스 ID를 기준으로 요청을 구분하고, 적절한 처리 로직으로 연결해주는 라우팅 역할을 한다. DCM 설정은 툴 기반(BSW Config Tool)으로 구성할 수 있으며, UDS 요청 시 실행할 핸들러, 응답 시간, 응답 포맷 등의 다양한 항목을 미리 정의할 수 있다.

 

DEM과 FIM: 이벤트 관리와 기능 제어

DEM의 기능: DTC 생성과 상태 추적

DEM (Diagnostic Event Manager)는 ECU 내부에서 발생하는 이상 상황을 감지하고, 이를 기반으로 DTC(Diagnostic Trouble Code)를 생성하는 모듈이다. 각 ECU는 자가진단 로직을 포함하고 있으며, 조건에 따라 이벤트를 발생시킨다. DEM은 이 이벤트의 상태를 추적하고, 발생 횟수나 지속 시간 등을 바탕으로 이를 실제 DTC로 등록하거나, 상태를 Clear할 수 있다. 각 이벤트는 상태(Confirmed, Pending 등), 심각도, 고장 조건 등을 포함하며, OEM의 정책에 따라 다르게 설정된다. 이러한 구조 덕분에 ECU는 진단기의 명령에 따라 정확한 고장 이력을 제공할 수 있다.

FIM의 역할: 안전을 위한 기능 억제

FIM (Function Inhibition Manager)는 진단 이벤트의 상태에 따라 특정 기능을 제한하거나 비활성화하는 기능을 수행한다. 예를 들어, 브레이크 제어 장치에 이상이 발생했을 경우, FIM은 자동 주차 기능을 비활성화하도록 설정할 수 있다. 이는 차량의 안전성을 보장하고, 운전자의 오작동을 방지하기 위한 중요한 제어 방식이다. FIM은 DEM과 직접적으로 연동되며, 이벤트 상태에 따라 시스템 기능의 동작 여부를 결정한다. 이 설정 또한 ARXML 파일에 기반하여 정의되며, 실차 테스트 환경과 밀접하게 연계된다.

 

보안 진단 구조와 인증 처리 방식

Security Access: Seed-Key 인증 구조

UDS에서 가장 중요한 기능 중 하나는 보안 진단(Security Access)이다. 이는 외부에서 민감한 ECU 기능(예: 부트로더 접근, EEPROM 쓰기 등)에 접근하려고 할 때, 임의의 접근을 막기 위한 보호 체계다. UDS에서는 보안 접근을 위해 Seed-Key 방식의 인증 절차를 사용한다. ECU는 진단기의 요청에 대해 난수(Seed)를 제공하고, 진단기는 알고리즘을 통해 Key를 생성해 다시 ECU로 전송한다. ECU는 이를 검증하여 접근 권한을 부여하거나 거부한다.

AUTOSAR에서는 이 인증 구조를 DCM 내의 보안 처리 로직으로 구현하고 있으며, Seed-Key 알고리즘 자체는 개발자가 구현하거나 OEM에서 제공하는 라이브러리를 통합한다. 중요한 점은 이 기능이 잘못 구현되면 보안 취약점이 발생할 수 있기 때문에, 테스트 및 인증 절차가 매우 까다롭다는 것이다. 또한 DCM은 각 권한 레벨에 따라 접근 가능한 서비스 범위를 정의할 수 있어, 보안성을 세분화하는 데 효과적이다.

 

진단 구조 설계 시 고려사항과 향후 방향

실무 설계 시 핵심 고려사항

AUTOSAR 진단 구조를 실무에 적용할 때는 UDS 명령을 처리하는 수준에서 그쳐서는 안 된다. 진단 시스템은 차량 전체의 안전, 유지보수, OTA 업데이트, 사이버보안과 직결되는 기능이기 때문에, 설계 초기부터 구조적 완성도를 확보해야 한다. ARXML 파일의 정합성, DEM의 이벤트 분류 기준, FIM의 기능 억제 전략, DCM의 응답 처리 로직 등은 통합적으로 관리되어야 하며, 각종 진단 툴(예: CANoe, INCA)과의 연동 테스트도 사전에 계획해야 한다.

향후 발전 방향

미래의 차량은 OTA, 클라우드 진단, V2X 통신 등 더 넓은 진단 범위를 요구하게 될 것이며, 이에 따라 진단 구조 또한 확장 가능하고 유연한 아키텍처가 필요하다. AUTOSAR Adaptive Platform과의 연계, 보안 강화, 이벤트 로그의 클라우드 연동 등도 점차 현실화되고 있다. 진단 구조는 오류 코드를 보여주는 기능이 아니라, 차량의 디지털 트윈을 형성하는 핵심 인프라로 진화하고 있으며, 이에 따라 개발자의 역할도 고도화될 것이다.