Journal of Positioning, Navigation, and Timing (J Position Navig Timing; JPNT)

Indexed in KCI (Korea Citation Index)

OPEN ACCESS, PEER REVIEWED

pISSN 2288-8187
eISSN 2289-0866

Review of GPS and Galileo Integrity Assurance Procedure

CONTENTS

Research article

Citation: Woo, N., Nam, G., Choi, H., & Lee, J., 2024, Review of GPS and Galileo Integrity Assurance Procedure, Journal of Positioning, Navigation, and Timing, 13, 53-61.

Journal of Positioning, Navigation, and Timing (J Position Navig Timing) 2024 March, Volume 13, Issue 1, pages 53-61. https://doi.org/10.11003/JPNT.2024.13.1. 53

Received on 19 December 2023, Revised on 11 January 2024, Accepted on 25 January 2024, Published on 15 March 2024.

License: Creative Commons Attribution Non-Commercial License (https://creativecommons.org/licenses/bync/4.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Review of GPS and Galileo Integrity Assurance Procedure

Namkyu Woo1, Gihun Nam1, Heonho Choi2, Jiyun Lee1†

1Department of Aerospace Engineering, Korea Advanced Institute of Science and Technology, Daejeon 34141, South Korea

2Korea Aerospace Research Institute, Daejeon 34133, South Korea

Corresponding Author: E-mail, dhhwang@cnu.ac.kr; Tel, +82-42-821-5670; Fax, +82-42-823-5436

Abstract

Global Navigation Satellite Systems are expected to meet system-defined integrity requirements when users utilize the system for safety critical applications. While the guaranteed integrity performance of GPS and Galileo is publicly available, their integrity assurance procedure and related methodology have not been released to the public in an official document format. This paper summarizes the integrity assurance procedures of Global Positioning System (GPS) and Galileo, which were utilized during their system development, through a literature survey of their integrity assurance methodology. GPS Block II assures system integrity using the following methods: continuous performance monitoring and maintenance on Space Segment (SS) and Control Segment (CS), through a cause and effect analysis of anomalies and a failure analysis. In GPS Block III, to achieve more stringent integrity performance, safety requirements are integrated into the system design and development from its starting phase to the final phase. Galileo’s integrity performance is provided in the Integrity Support Message (ISM) format, as Galileo utilizes a Dual Frequency Multi Constellation (DFMC) Satellite Based Augmentation System (SBAS) and Advanced Receiver Autonomous Integrity Monitoring (ARAIM) to serve safety critical applications. The integrity performance of Galileo is ensured by using a methodology similar to GPS Block II (i.e. continuous performance monitoring and maintenance on the system). The integrity assurance procedures reviewed in this paper can be utilized for a new satellite navigation system that will be developed in the near future.

Keywords

integrity assurance procedure, GPS integrity, Galileo integrity

1. 서론

위성항법시스템은 기존 RF 신호 기반 지상 항법시설(ILS, VOR, DME 등)에 비하여 넓은 지역을 지원할 수 있다는 장점을 인정받아 상용항공기 운용과 같은 Safety Critical Application에 활용되어 왔다 (Teunissen & Montenbruck 2017). 위성항법시스템을 Safety Critical Application에 활용하기 위하여 고려해야 하는 중요한 문제 중 하나는 항법시스템의 무결성을 보장하는 것이다 (Teunissen & Montenbruck 2017). 무결성이란 위성항법시스템 항법해를 얼마나 신뢰할 수 있는 가를 말하는 것으로, 기존 전지구위성항법시스템 (GNSS)인 미국의 Global Positioning System (GPS)와 유럽의 Galileo에서는 시스템 자체의 무결성 성능 지표를 각 시스템의 성능표준 문서를 통하여 제공하고 있다 (U.S. DoD 2020, ESA 2021). GPS와 Galileo의 무결성 성능은 항법신호(Signal-in-Space, SIS) 도메인에서 정의된다. 구체적으로, ‘항법신호의 오차가 설정된 특정수준을 넘는 상황’이 발생할 때에, ‘사용자가 해당 상황에 대한 경고를 경고시간(time-to-alert) 내에 받지 못하는 상황’이 발생할 확률이 특정확률(예, 10-5)보다 작다는 것으로 정의된다. 하지만 U.S. DoD (2020)와 ESA (2021)에서는, 해당문서에서 공표하는 시스템 자체의 무결성 성능을, 각 위성항법시스템이 어떻게 보장하는 지에 대한 방법론이 자세히 설명되어 있지 않다. GPS와 Galileo 시스템의 전체적인 무결성 아키텍처 및 무결성 성능 보장 방법론을 기술하는 공식적인 문서의 부재로 인해 해당 방법론을 파악하기에 어려움이 있다. 따라서 본 논문에서는, 기존 전지구위성항법시스템인 GPS와 Galileo의 시스템 자체적인 무결성 성능 보장 방법을 조사하고 분석하였다. 각 시스템의 무결성 성능 보장방법을 다루고 있는 공개된 문헌들을 중심으로 조사, 분석하였고, 결과를 바탕으로, 각 전지구위성항법시스템의 무결성 성능 보장방법을 정리하였다. 해당 결과는 새로이 개발되는 위성항법시스템의 무결성 성능 보장방법 개발에 참고자료로 활용될 수 있을 것으로 기대된다.

본 논문의 각 장에 대한 설명은 다음과 같다. 2장에서는 GPS Block II의 무결성 처리기술을 분석하였다. GPS는 크게 Block이라는 단위로 세대가 구분이 되며, 각 Block에 따라 목표하는 무결성 성능의 차이로 인한 SIS 무결성 성능 보장방법에 차이가 있다. GPS의 Block II까지는 정량적 무결성 성능 목표가 시스템 개발과정에 반영되지 않았고, 이를 보완하기 위하여 지속적인 성능 모니터링과 고장 발생 시 고장 분석을 통한 유지보수(maintenance)를 통하여 무결성을 보장하였다. 따라서, 2장에서는 Space Segment (SS)와 Control Segment (CS)에서 각각 수행되는 모니터링과 유지보수를 통해 개발된 무결성 처리기술을 조사 및 분석하였다.

3장에서는 GPS Block III의 무결성 처리기술을 분석하였다. GPS Block III에서는 이전보다 더 높은 목표 수준의 무결성 성능을 보장하기 위해 시스템의 안전성 요구조건을 고려한 설계 및 개발과정(safety assured development)이 수행되었다 (Shaw & Katronick 2013). Safety assured development를 통하여 시스템이 무결성 목표성능을 만족하는지 여부를 개발단계 전과정에서 평가하며 개발이 진행되고, 최종 개발이 완료된 시스템은 목표한 무결성 성능을 보장할 수 있게 된다. GPS Block III에서 수행된 Safety Assured Development와 System Safety Assessment (SSA)이 3장에서 분석되었다.

4장에서는, Galileo의 무결성 처리기술을 분석하였다. Galileo는 무결성 성능을 Integrity Support Message (ISM) 형식으로 제공하여, Dual Frequency Multi Constellation (DFMC) Satellite Based Augmentation System (SBAS)와 Advanced Receiver Autonomous Integrity Monitoring (ARAIM)을 통한 Safety Critical Application을 지원하고자 한다 (Brieden et al. 2019). Galileo의 ISM 무결성 성능과 해당 무결성 성능 보장방법을 4장에서 분석하였다.

본 논문에서 사용된 단어 중, 유사한 맥락에서 사용되어 의미에 대한 구분이 필요한 단어에 대하여 설명하였다. ‘고장’은 시스템의 오작동(failure)를 의미하고, ‘이상’은 정상상태에서 벗어난 이례(anomaly)를 의미한다. ‘Element’는 시스템을 구성하는 하위 요소를 의미한다.

2. GPS BLOCK II의 무결성

2.1 GPS Block II의 SIS 무결성 성능

GPS는 미국의 전지구위성항법시스템으로, 1993년부터 GPS의 성능표준을 ‘Performance standard’ 문서로 대중에 공개하고 있으며, 2020년에 출판된 5번째 버전이 최신 문서이다 (U.S. DoD 2020). U.S. DoD (2020)에서 공시하고 있는 GPS Block II의 무결성 성능은 다음과 같다:

“User Range Error (URE)가 Not to Exceed (NTE)를 넘는 URE의 발생 시, 사용자에 대한 경고(alert)가 8.0초 이내로 전달되지 않는 사건의 발생 확률이 $10^{-5}/hr/SV$ (Satellite Vehicle, SV)보다 낮아야 한다.” 여기서 NTE 값은 User Range Accuracy (URA)의 4.42배로 설정되며, URA는 URE의 보수적인 제곱평균제곱근 (Root Mean Square) 추정치이다 (U.S. DoD 2020).

2.2 GPS Block II의 무결성 처리기술

GPS의 Block II 위성까지는 SS와 CS의 설계과정에서 무결성 및 연속성 요구조건을 고려한 설계 및 개발이 수행되지 않았다. 따라서 (U.S. DoD 2020)의 성능을 지속적으로 보장하기 위하여 GPS Block II는 시스템 무결성 성능에 대한 모니터링, 고장 발생 시 원인 및 특성 분석, 그리고 고장 분석을 기반으로 시스템 유지 보수하는 방법을 사용하였다 (Lavrakas & Broomfield 2003, Walter et al. 2010).

Block II에 적용된 무결성 처리기술은 GPS의 시스템 Segment에 따라 SS에 적용된 무결성 처리기술과 CS에 적용된 무결성 처리기술로 구분된다. SS의 무결성 처리기술은 다시 자체적인 모니터링(self check)과 고신뢰성 시스템 설계(reliable system design)로 구분되며, CS의 무결성 처리기술은 일관성 검사(consistency check)와 고신뢰성 시스템 설계로 구분된다.

2.2.1 Space segment의 자체적인 모니터링

SS의 자체적인 모니터링 방법에 대한 조사결과를 다음에서 정리하였다.

Watch Dog Monitoring (WDM) – 우주방사선 또는 태양으로부터 방출되는 고에너지의 입자들은 실리콘 물질을 통과하면서 이를 이온화 시켜 메모리 장비의 bit flip 또는 bit hit 문제를 발생시킨다. WDM은 이러한 bit hit를 검출하는 모니터로, 이상 검출 시 Non-Standard Code (NSC)를 송출하며, 문제를 해결한 후 위성이 스스로 Standard Code를 송출하거나 CS의 명령을 받은 후 Standard Code를 송출한다 (Langley 1999).

Time Keeping System (TKS)는 위성의 시계불안정에 대비하여 Atomic Frequency Standard (AFS), Voltage Controlled Oscillator (VCXO)의 두 가지 방식을 사용하여 위성시계를 모니터링 하고, 안정적으로 시간을 유지하는 시스템이다 (Wu 1996). TKS는 AFS가 상대적으로 높은 장기안정성(long-term stability)을 갖는다는 점과 VCXO는 튜닝이 가능하다는 점을 활용하였다. 먼저, AFS와 VCXO에서 1.5초마다 독립적으로 시간을 측정하고, 두 시간 정보의 차이를 600 MHz의 해상도를 갖는 Phase Meter를 통해 계산한다. 이후, 계산된 두 시간 정보의 차이와 Phase lock loop filter를 통해 VCXO이 보정된다.  보정된 VCXO를 바탕으로, 최종 시간이 생성 및 유지된다 (i.e., 10.23 MHz가 유지됨) (Wu 1996).

상기한 두가지 무결성 처리기술 외에도, GPS Block II 위성은 항법메시지 모니터, Anti-spoofing 모니터, 특정 타입의 위성시계 고장에 대한 모니터를 사용하여 위성의 이상현상을 모니터링한다. 해당 모니터링 과정에서 이상을 검출할 시 사용자에게 6초 이내에 알린다 (Langley 1999).

2.2.2 Space segment의 고신뢰성 시스템 설계

SS의 고신뢰성 시스템 설계에 대한 조사결과를 다음에서 정리하였다.

Four Reaction Wheels, Hydrazine Thrusters – GPS 위성은 Four Reaction Wheels, Hydrazine Thrusters의 두 장비를 사용하여 위성의 비정상적인 운동량을 제어한다. 비정상적인 운동량은 위성의 자세 오차와 궤도변화를 야기할 수 있는 위협요소이며, 비정상적인 운동량을 발생시킬 수 있는 대표적인 원인에는 Momentum dump와 Eclipse season이 있다 (Shank & Lavrakas 1993).

Momentum dump란, 위성의 자세를 제어하는 reaction wheel의 각운동량을 줄이는 것(dump하는 것)을 의미한다. Reaction wheel은 wheel의 각가속도를 변화시켜 위성의 자세를 제어한다. 이때, reaction wheel의 한쪽 회전방향으로만 각가속도가 축적이 되면, 각운동량 또한 축적이 되고, 기계적인 한계로 해당 방향에 대한 각운동량이 포화상태(saturation)가 되면, 해당 방향으로는 더 이상 추가적인 각가속도를 발생시키지 못하는 상황이 발생한다. 따라서, Momentum dump를 통하여 wheel의 각운동량이 포화되는 것을 방지한다. 하지만, Momentum dumping을 할 때에 위성 본체의 운동량과 자세에 원치 않는 변화가 생길 수 있다.

비정상적인 운동량 발생의 두번째 원인은 eclipse season으로, 지구, 위성, 태양과의 상대적 위치에 의하여, 각 GPS 위성이 연 2회, 7주간 eclipse를 반복적으로 경험하는 기간을 의미한다. Eclipse 전후로 위성의 궤도 이상이 발생하여 의사거리에 15~30 m 정도의 오차를 발생시킨 이력이 있다 (Shank & Lavrakas 1993).

GPS 위성은 위성의 운동량 모니터링과 자세 처리 로직을 통하여 비정상적으로 큰 운동량 변화가 발생할 경우, Four Reaction Wheels과 Hydrazine Thrusters을 사용하여 이를 제어한다.

Hardened EAROM – 우주환경에서는 bit hit와 같은 메모리 이상현상이 발생할 수 있다. GPS Block II와 IIA에서는 이러한 문제를 해결하기 위해 항법메시지를 bit hit에 매우 강건한 Electrically Alterable, Read-Only Memory (EAROM)에 저장한다 (Langley 1999). 또한, 위성의 항법 프로세서는 매 6초마다 ‘Scratch-Pad Random-Access Memory’를 ‘EAROM으로부터 받은 정보’로 초기화한다. 따라서, 메모리 문제로 발생할 수 있는 항법메시지의 이상을 6초로 제한할 수 있다 (Langley 1999).

Resets satellite processor every 24s는 RAM 뿐만이 아니라 프로세서도 24초마다 초기화하여, 프로세서 내의 데이터 포인터에 이상이 생기어 잘못된 데이터를 사용하는 것을 방지하는 기술이다 (Langley 1999).

Redundant frequency standards는 Frequency Standard 이상으로 인하여 발생할 수 있는 위성시계 고장에 대한 신뢰성을 보장하기 위해 Frequency Standard를 다중화하는 것이다. TKS에서 사용하는 AFS는 두 개의 루비듐 standard와 하나의 세슘 standard를 사용하여 frequency standard를 다중화하는 방법을 사용하였다 (Parkinson & Spilker 1996).

Autonomous Navigation (AutoNav)는 지상과의 통신이 끊기는 상황에 대비하여 위성이 자체적으로 항법위성의 임무를 수행하는 기능이다 (Weiss et al. 2010). 지상과 통신이 두절된 경우 위성궤도력(ephemeris) 및 위성시계 오차 모델에 대한 정보를 업데이트할 수 없다. 따라서 GPS Block II에는 지상과의 통신 두절 시 위성궤도력 및 위성시계 오차 모델에 대한 파라미터를 자체적으로 추정하기 위하여, Ultra-high frequency 기반의 위성간 cross-link 기능이 탑재되었다 (Parkinson & Spilker 1996). AutoNav는 cross-link를 통해 얻은 측정치를 기반으로 항법메시지를 업데이트하여 지상과의 통신없이 180일간 위성이 자체적으로 임무를 수행 가능하도록 한다 (Weiss et al. 2010).

2.2.3 Control segment의 일관성 검사

CS의 일관성 검사는 GPS의 중앙제어국 (Master Control Station, MCS)에서 수행되며, 중앙제어국에 속한 Flight commander, Crew chief, Satellite vehicle/Engineering officer, Navigation analyst, Ground system operator와 2~3명의 Satellite system operator로 구성된 총 7~8명의 분석가들에 의하여 일관성 검사가 수행된다 (Lavrakas & Broomfield 2003). 일관성 검사에서는 위성시계 이상과 위성궤도력 이상을 점검한다. CS의 일관성 검사에 대한 조사결과를 다음에서 정리하였다.

Check the K-Point는 전 지구에 분포하고 있는 감시국에서 수집한 ‘항법신호 측정치’를 기반으로 중앙제어국에서 15분마다 수행되는 일관성 검사이다 (Langley 1999). 감시국은 2023년 12월 기준, 전 지구적으로 6개의 미공군 감시국이 운용 중이다 (GPS.GOV 2023a). ‘Check the K-Point’에는 Pseudorange Residual (PRR), Kalman Filter Estimated Deviations (ERDs), 그리고 Observed Range Residual (ORD)의 세 가지 방식이 있다 (Lavrakas & Broomfield 2003).

(1) PRR은 ‘스무딩(smoothing)된 의사거리 측정치’와 중앙제어국의 ‘칼만필터를 통해 추정되는 의사거리 추정치’의 차이를 검정통계량으로 사용하는 모니터링 방식을 말한다. 정상상태의 경우 검정통계량은 2 m를 넘지 않으며, 검정통계량이 임계값을 넘는 경우 칼만필터 유지보수가 수행될 때까지 해당 측정치를 칼만필터의 측정치 업데이트 과정에서 제외한다 (Shank & Lavrakas 1993). 대략 15~20 m의 임계값이 사용된다.

(2) EDRs는 ‘PRR에서 사용된 칼만필터의 의사거리 추정치’와 ‘위성으로부터 송출된 항법메시지’를 사용하여 계산된 의사거리 측정치의 차이를 검정통계량으로 사용하는 모니터를 말한다. 해당 모니터는 위성 항법메시지의 긴급 업데이트(contingency update)를 결정하는 역할을 수행하며, 임계값은 10 m이다 (Shank & Lavrakas 1993).

(3) ORD는 ‘스무딩된 의사거리 측정치’와 ‘위성으로부터 송출된 항법메시지’로부터 계산된 의사거리 측정치의 차이를 검정통계량으로 사용하는 모니터를 말한다. 해당 모니터는 15 m의 임계값을 기준으로 긴급 업데이트의 필요성을 결정하는 데에 사용되었지만 해당 임계값을 기반으로 수행되는 긴급 업데이트로는 위성의 궤도력 및 시계 오차를 충분히 보정할 수 없다고 판단되어 1992년 이후로는 해당 수치를 사용하지 않고 있다 (Shank & Lavrakas 1993).

‘Check the K-point’는 칼만필터의 측정치 업데이트 주기인 15분마다 수행되기 때문에 미검출된 고장이 있을 경우 최소 15분 동안 지속될 수 있으며 (Shank & Lavrakas 1993), ‘Check the K-point’의 미검출 상황에 대한 분석결과, 특정 상황에서는 시스템에 위협이 될 수 있는 의사거리 오차가 29분 지속될 수 있음이 확인되었다 (Langley 1999). 또한, ‘Check the K-point’는 감시국 측정치만을 사용하기 때문에, 위성의 가시성에 크게 의존한다는 한계점이 있다.

L-Band Monitor Function (LBMON) – ‘Check the K-Point’의 문제점 중 15분 간격으로 모니터링이 수행되는 한계점을 해결하기 위해 LBMON이 제안되었다 (Langley 1999, Langer et al. 2002). LBMON은 ‘전리층 오차를 보정한 의사거리 측정치’와 ‘항법메시지를 통해 산출되는 의사거리 추정치’의 차이를 검정통계량으로 사용하여, 6초마다 수행된다. LBMON은 감시국과 위성의 ‘시계 이상현상’을 주로 검출하며, 검정통계량이 임계값을 넘는 경우 SATZAP(PRN 코드를 37번으로 바꾸어 해당 위성의 항법메시지를 더 이상 사용하지 못하도록 하는 것)을 설정한다 (Langley 1999). 이후 항법메시지를 업로드하여 해당 위성을 ‘Marginal’ 상태로 전환하고, 중앙제어국의 분석가들이 해당 이상현상에 대한 분석 및 칼만필터 점검을 수행하여 해당 과정이 완료되면 항법메시지를 다시 업로드하여 Healthy 상태로 전환한다 (Shank & Lavrakas 1993). LBMON은 감시국 측정치만을 사용하기 때문에, 위성의 가시성에 크게 의존한다는 한계점이 있다. 실제로 SVN 22 위성이 지상 관측이 불가능한 지점에서 고장이 발생하여, 이후 지상에서 재관측이 가능한 시점에는 이미 큰 위상 오프셋을 발생시켜 추적이 불가능해져 해당 위성의 고장이 미검출 상태로 오래 지속된 사례가 있다 (Langer et al. 2002).

Monitoring using measurements from core NIMA sites는 위성 가시성의 한계를 극복하기 위하여, 감시국 이외에, National Imagery and Mapping Agency (NIMA)가 소유하고 있는 지상국을 추가로 활용하여 측정치 이상을 검출하는 것이다 (Langer et al. 2002). 2023년 9월 기준, 전 지구적으로 10개의 NIMA 지상국이 운용 중이다 (GPS.GOV 2023a). NIMA 지상국에서 수집된 측정치로 생성한 ’15분 스무딩된 측정치’를 중앙제어국에서 사용한다. Langer et al. (2002)이 출판된 2002년 기준, 중앙제어국에는 NIMA의 데이터를 처리할 수 있는 Temporary analysis tool for second space operation squadron이 설치된 상태였기에 해당 방법론은 기존 중앙제어국 모니터링의 한계점을 극복할 수 있는 매우 유용한 방안 중 하나였다. 하지만, NIMA의 측정치는 GPS 감시국의 측정치보다 오차 및 바이어스로 인한 영향을 더 받기 때문에 측정치에 포함된 바이어스 등에 대한 추가적인 고려가 필요하다 (Langer et al. 2002).

Pathfinding with Internet-based Global Differential GPS (IGDG)는 ‘Monitoring using measurements from core NIMA sites’와 유사한 방법으로, 위성의 가시성을 개선하기 위하여 IGDG의 지상국을 활용하는 방법이다. IGDG는 NASA Jet Propulsion Lab에서 운영하는 인터넷 기반의 보강항법시스템으로 36개의 지상국(2002년 기준)을 사용하여 1초 주기로 위성시계 보정정보 및 궤도력 정보를 생성하여 제공한다. IGDG의 지상국을 통하여 위성에 대한 가시성이 증가되지만, IGDG 지상국의 데이터 역시 NIMA 데이터와 동일하게 추가적인 검증이 필요하다. 따라서, IGDG에서 이상을 검출한 경우, 이를 중앙제어국에 전달하여 해당 위성에 대한 추가적인 검증을 수행하게끔 하는 역할을 하는 것으로 파악된다 (Langer et al. 2002).

Monitoring dissemination of Navigation Message는 위성에 업로드한 항법메시지를 저장한 후 해당 항법메시지를 위성을 통해 수신할 때 두 메시지를 비트단위로 비교하여 항법메시지에 대한 데이터 서비스의 무결성을 모니터링하는 것이다 (Parkinson & Spilker 1996).

Smoothed Measurement Residual Program (SMRES)는 중앙제어국 칼만필터의 성능을 평가하기 위해 일단위로 수행되는 점검이다 (Shank & Lavrakas 1993). SMRES는 ‘감시국과 Defense Mapping Agency (DMA)의 모니터 스테이션에서 측정된 측정치’와 ‘중앙제어국 칼만필터에서 추정하는 의사거리 추정치(위성의 위치 및 시계 오차를 기반으로 계산됨)’의 차를 사용한다. 위성-감시국 쌍에 대하여, ‘측정치와 추정치의 차이’의 하루 동안의 제곱평균제곱근을 계산하여 이를 검정통계량으로 사용한다. ‘전리층 오차를 보정한 15분 스무딩된 측정치’를 사용하여 측정치와 추정치의 차분치를 계산한다. 감시국과 DMA의 ‘수신기 시계 오차’는 앞서 계산한 차분치의 평균값을 빼주어 제거한다. 대류층 오차의 경우 Hopfield 모델을 사용하여 보정한다. 모니터의 임계값은 4.2 m/SV/day와 3.2 m/SV/day/all SV로 두 임계값을 기반으로 모든 위성-감시국 쌍을 모니터링하기 때문에 이상현상 발생 시 해당 이상현상이 위성의 문제인지 지상국의 문제인지를 판별할 수 있다 (Shank & Lavrakas 1993).

2.2.4 Control segment의 고신뢰성 시스템 설계

CS의 고신뢰성 시스템 설계에 대한 조사결과를 다음에서 정리하였다.

Q-bump는 ‘중앙제어국 시계’가 교체되었을 때에, 안정적으로 ‘칼만필터를 통한 중앙제어국 시계 파라미터(주파수 및 위상) 추정’을 수행하기 위하여 고안되었다 (Shank & Lavrakas 1993). 중앙제어국은 시스템의 높은 신뢰성을 보장하기 위해 시계를 다중화하여 사용하는데, 사용 중인 시계에 이상이 발생한 경우 다른 시계로 교체된다. 시계가 교체되어 새로운 시계가 사용되기 때문에, ‘중앙제어국 시계’ 파라미터 추정에 대한 불확실성이 증가하게 된다. 이러한 시계교체로 인한 시계 파라미터의 불확실성을 칼만필터에 반영해 주어야 한다. 중앙제어국은 이를 위해 ‘중앙제어국 시계’ 교체 후 중앙제어국 시계 파라미터 추정치의 분산을 증가시키고 6시간 후 다시 분산을 증가시키는 Q-bump를 수행한다 (Shank & Lavrakas 1993).

Positive Definiteness Check는 중앙제어국 시계를 추정하는 칼만필터의 공분산 행렬의 양의 정부호성(Positive Definiteness)을 확인하는 것이다. Colorado springs의 감시국에서 시계의 frequency standard를 교체하는 과정에서 칼만필터 공분산 추정치의 고유값(eigenvalue)이 음수가 되는 사건이 발생했다. 고유값이 음수가 되었다는 의미는, 칼만필터 공분산 계산과정에 오류가 있었음을 의미한다. 당시에는 이를 검출하기 위한 방법이 없었기 때문에 공분산 행렬이 양의 정부호(positive definite) 행렬이 될 때까지 칼만필터 업데이트를 수행하지 못하였다. 이러한 문제를 해결하기 위해, 1993년 소프트웨어 업데이트에서 공분산 행렬의 양의 정부호성을 확인하는 알고리즘이 추가되었다 (Shank & Lavrakas 1993).

훈련 시뮬레이터, 예비 중앙제어국 – 이외에도 GPS Block II에서는 중앙제어국을 운용하는 요원의 실수로 발생하는 이상현상을 최소화하고자 훈련 시뮬레이터를 개발하여 활용하였다. 또한, 미 공군은 Maryland에 위치한 Falcon AFB에 중앙제어국의 예비 중앙제어국을 두어 중앙제어국의 하드웨어, 소프트웨어 이상에 대비하였다 (Shank & Lavrakas 1993).

2.2절에서 설명한 Block II에서 적용한 무결성 처리기술과 해당 무결성 처리기술에 대응하는 이상 현상을 Table 1에 정리하였다 (Woo et al. 2023).

Table 1. GPS block II integrity assurance methodology (Woo et al. 2023).

SegmentTypeName of methodologyCorresponding anomaly
Space
segment
Self checkWatch dog monitor
Time keeping system
Bit hit
Clock instability
Reliable
system
design
Four reaction wheels, hydrazine thrusters
Hardened electrically alterable, read-only memory
Resets satellite processor every 24s
Redundant frequency standards.
Autonomous navigation
Momentum dump, Eclipse season
Bit hit
Erroneous position in memory
Frequency standard failure
Loss of communication with ground system
Control
segment
Consistency
check
Check the K-point
L-band monitor function
Monitor using measurements from core NIMA sites
Pathfinding with IGDG
Monitoring dissemination of Navigation message
Smoothed measurement residual program
Erroneous clock and ephemeris
Reliable
system
design
Q-bump
Positive definiteness check
Redundant master control station
Training simulator
MCS clock instability
MCS clock Kalman filter anomaly
General MCS SW/HW anomalies
Human error
*MCS: Master control station

 

3. GPS III의 무결성 처리기술

3.1 GPS Block III의 SIS 무결성 성능

GPS Block III는 Block II 군의 후속 위성으로, Lockheed Martin사의 주도로 개발되었다 (Shaw & Katronick 2013). 2018년 첫번째 Block III위성이 발사되었고, 2023년 12월 현재 6개의 Block III 위성이 작동 중에 있다 (GPS.GOV 2023b). GPS Block III의 성능요구조건은 미국의 Air Force Global Positioning System Directorate와 FAA의 협력을 통하여 Safety Critical Application 사용자를 지원하도록 결정되었다 (Shaw & Katronick 2013).

Block III의 최종 목표 무결성 성능은 다음과 같다 (Kovach et al. 2008, Shaw & Katronick 2013):

“URE가 URA의 5.73배를 넘는 URE의 발생 시 사용자에 대한 경고가 5.2초 이내로 전달되지 않는 사건의 발생 확률이 $10^{-8}/hr/SV$보다 낮아야 한다.”

Block III는, 더 엄격한 무결성 성능을 바탕으로, GPS를 단독으로 safety critical application에 사용하는 것을 목표로 설계되었다 (Shaw & Katronick 2013).

3.2 GPS Block III의 무결성 처리기술

GPS Block III의 경우 상기한 목표수준의 무결성 성능을 보장하기 위해 Safety Assured Development가 수행되었다. Safety assured development는 시스템 개발과정에서 안전성 요구조건(무결성 요구조건, 연속성 요구조건 등)을 만족하기 위해 SSA를 기반으로 시스템을 설계하는 방법을 말한다. Safety assured development와 SSA는 안전성 요구조건을 충족시켜야 하는 항공기를 개발하기 위하여 고안된 방법으로 GPS Block III 위성 또한, 목표하는 안전성 요구조건을 만족시키기 위하여 해당 방법을 적용하여 개발되었다 (Shaw & Katronick 2013).

SSA는 전체 시스템의 안전성 성능 평가를 바탕으로 목표한 안전성 요구조건을 만족할 수 있는 시스템 아키텍처와 하위 시스템 및 element(하위 요소)를 개발하는 방법이다 (Wang 2017). SSA 과정에서, 시스템을 구성하는 하위 시스템 및 element가 식별되며, 하위 시스템 및 element가 만족해야 하는 Development Assurance Level (DAL)이 정해진다. 전체 시스템의 안전성을 보장하기 위해서는, SSA를 통해 결정된 DAL을 보장할 수 있도록, 하위 시스템 및 element의 개발이 수행되어야 한다. SSA에서는 DAL 결정뿐만 아니라, 안전성 요구조건을 충족하기 위한 시스템의 아키텍처가 정해진다. 시스템 아키텍처는 최종 안전성 요구조건을 만족할 때까지 반복적인 SSA를 통하여 업데이트 된다.

GPS Block III에서 수행된 SSA는 다음의 4가지 과정으로 분류된다 (Shaw & Katronick 2013): Functional Hazardous Assessment (FHA), Integrity & Continuity Assessment, Element Failure Mode Effects and Causes Analysis (FMECA), 그리고 Element Reliability Predictions. Fig. 1은 4가지 과정의 관계와 범위를 도식화한 것이다.

F1.png 이미지
Fig. 1. System safety assessment diagram (Shaw & Katronick 2013).

FHA에서는 전체 시스템의 주요 기능 이상 또는 상실을 발생시킬 수 있는 하위 기능들을 식별하며, 각 하위 기능의 이상이 전체 시스템에 미치는 영향을 분석한다 (Shaw & Katronick 2013). FHA의 분석 대상은 ‘시스템 아키텍처’이다. FHA는 모든 기능과 하위기능이 결정될 때까지 단계별로 수행되며, 오직 기능(Function)에 초점을 맞추어 수행된다 (Wang 2017). 하위 기능의 이상이 시스템에 미치는 영향은 심각성(severity)에 따라 분류되며, 심각성으로부터 해당 하위 기능에 적용될 DAL이 결정된다 (Shaw & Katronick 2013, Wang 2017). 심각성과 DAL의 관계를 Kritzinger (2016)에서 찾아 Table 2와 같이 재구성하였다.

Table 2. Relation between DAL and severity (Kritzinger 2016).

SeverityQuantitative probabilityDevelopment assurance level
Catastrophic
Hazardous
Major
Minor
No safety effect
In the order of $\lt 10^{-9}$
In the order of $10^{-7} \mathrm{to} \lt 10^{-9}$
In the order of $10^{-5} \mathrm{to} \lt 10^{-7}$
In the order of $10^{-3} \mathrm{to} \lt 10^{-5}$
None
A
B
C
D
E

Integrity & Continuity Assessment 과정에서는 Fault Tree Analysis (FTA)와 Common Cause Analysis (CCA)가 수행된다 (Shaw & Katronick 2013). FTA와 CCA의 분석대상은 시스템 아키텍처이다. FTA는 FHA를 통해 식별된 하위 기능의 이상을 발생시킬 수 있는 하위 시스템 및 Element를 시스템 아키텍처를 활용하여 top-down 방식으로 식별한다 (Shaw & Katronick 2013). FTA에서는 하위 기능 이상(및 고장)을 발생시킬 수 있는 모든 납득 가능한 원인을 찾는 것을 목표로 한다. CCA는 하위 시스템 이상(및 고장), Element 이상(및 고장) 간의 상관관계를 파악하는 분석이다. FTA와 CCA의 결과로, 하위 기능 이상, 하위 시스템 이상, Element 이상들 간의 관계를 한 눈에 파악할 수 있는 Tree 모양의 그래프(fault tree)가 산출되며, fault tree를 바탕으로 시스템의 성능을 평가할 수 있는 확률적 모델이 산출된다 (Shaw & Katronick 2013).

FMECA – 마지막 단계로 FMECA와 Reliability Prediction이 수행된다 (Shaw & Katronick 2013). FMECA와 Reliability Prediction의 분석 대상은 시스템을 구성하고 있는 element이다. FMECA는 시스템을 구성하는 element에 대한 분석으로, 시스템을 구성하는 element에서 출발해서 최상위 기능까지 어떤 관계를 갖는지를 파악하는 분석방법으로, Bottom-Up 방식으로 수행된다 (Wang 2017). 해당 분석을 통해 시스템의 하위 element가 시스템 전체에 미치는 영향을 파악하기 때문에, FHA에서 DAL을 결정한 것처럼 FMECA에서는 element의 DAL을 결정할 수 있다. FMECA와 FTA, FHA와의 차이점은 FMECA에서는 element 이상의 영향을 분석할 뿐만이 아니라 FMECA의 결과를 바탕으로 시스템의 대응방안(mitigation)을 제안한다는 것이다 (Wang 2017). 제안한 대응방안을 포함하여 FMECA를 반복 수행하여 대응방안의 유효성을 검증한다.

Reliability Prediction에서는 element의 고장 발생확률을 추정한다 (Shaw & Katronick 2013). Reliability Prediction에서는 실제 element의 운용데이터, 표준(standard), FMECA 결과, 테스트 데이터 등을 기반으로 분석을 수행하며, element의 다중화(redundancy)을 고려하여 고장 발생확률을 추정한다 (Wang 2017). Reliability prediction을 통해 element 고장의 사전발생확률이 산출되면, 앞선 모든 분석(FHA, FTA, CCA, FMECA)의 결과를 연쇄적 통합하여, 시스템 전체의 성능을 평가할 수 있게 된다.

GPS Block III에서는 Safety assured development 외에도, 사용자 경고시간 기준(5.2초 이내에 사용자에게 경고전달)을 충족시키기 위하여, 추가적인 SS 도메인 모니터링이 SV01+ 위성에 적용되었다 (Shaw & Katronick 2013). 항법 페이로드 내의 ‘시계유지 회로카드(circuit card)’에 대한 모니터링, 위성에서의 추가적인 항법신호 모니터링, 항법 페이로드와 위성버스 간의 연결상태 모니터링, 위성버스 상태 모니터링이 적용되었다. SS 모니터링에서 이상을 검출할 경우 즉시 NSC로 항법메세지를 전환하여 사용자에게 고장 발생을 알림으로써, 사용자 경고시간 무결성 요구조건을 충족할 수 있다 (Shaw & Katronick 2013).

4. GALILEO의 무결성 처리기술

Galileo는 유럽이 개발한 전지구위성항법시스템으로, GPS와는 달리 민간의 주도로 개발된 위성항법시스템이다. 2016년 18개의 위성을 바탕으로 Initial Operational Capability를 공표하였고, 2023년 12월 현재 Full Operational Capability를 달성하기 위하여 지속적으로 개발 중에 있다 (ESA Navipedia 2023).

Galileo는 2004년, GPS-Galileo 협력에 대한 U.S.-EU의 합의 결과로, DFMC SBAS와 ARAIM을 통하여 Safety Critical Application을 지원하는 것을 결정하였다 (Brieden et al. 2019). ARAIM은 DFMC 사용자를 위한 RAIM기술이며, 현재 ICAO SARPs 문서가 개발 중에 있다 (ICAO NSP 2018). DFMC SBAS의 경우 2023에 발행된 최신 ICAO SARPs에서 해당 내용을 확인할 수 있다.  U.S.-EU 협약을 바탕으로 WG-C, ARAIM Technical Subgroup이 결성되어 해당 그룹에서 ARAIM이 개발되어왔다. WG-C, ARAIM Technical Subgroup의 연구결과로 ARAIM의 알고리즘이 구체화되어 2010년부터 네 차례 관련 보고서에서 발표되었고, 가장 최근에 공개된 보고서는 WGC-ARAIM TSG (2016)이다.

ARAIM 활용을 위해 각 위성군은 해당 위성군의 무결성 성능 지표인 ISM을 제공해야 한다. ARAIM에서는 ISM을 활용하여 각 위성군의 정량적 무결성 성능을 반영한다. Galileo도 ISM 무결성 성능 지표를 제공하고 있으며, ESA (2021)에서 공시하고 있는 ISM 무결성 성능 지표의 종류와 성능수준을 Tables 3과 4에 요약 정리하였다.

Table 3. Galileo’s integrity related performance parameters description (ESA 2021).

ISM parameterDescription
$\sigma_{\mathrm{URA}}$Standard deviation of a zero mean normal distribution which overbounds (DeCleene 2000) the actual distribution of SIS range errors
$\mathrm{P}_{\mathrm{sat}}$Probability that one satellite of Galileo operational core constellation provides an instantaneous SIS range error higher than k times the Galileo user range accuracy (Galileo URA) and no notification is given to the user
$\mathrm{P}_{\mathrm{const}}$Probability that, due to a common cause, any subset of two or more satellites within Galileo operational constellation provides an instantaneous SIS range error higher than k times the Galileo URA and no notification is given to the user

 

Table 4. Galileo’s integrity related performance (ESA 2021).

Expected performanceConditions and constraints
For E1-E5a DF
combination:
$\sigma_{\mathrm{URA,DF}}\leq \mathrm{6m}$
• At any user location
• Applicable to a healthy OS SIS 
• Propagation and user contributions excluded
For E1 and E5a SF SIS:
$\sigma_{\mathrm{URA,SF}}\leq \mathrm{7.5m}$
• At any user location
• Applicable to a healthy OS SIS 
• Propagation and user contributions excluded
$\mathrm{P_{const}}\leq 2 \times 10^{-4}$• At any location in the respective visibility areas of the affected satellites
• Applicable to both OS single frequency users (E1 and E5a) and dual frequency users (E1/E5a combination)
• Propagation and user contributions excluded
$\mathrm{P_{sat}}\leq 3 \times 10^{-5}$• SISE>k × Galileo URA(e.g. k is 4.17 for $\mathrm{P_{sat}} 3\times 10^{-5}$
• At any location in the respective visibility areas of the affected satellites
• Applicable to both OS single frequency users (E1 and E5a) and dual frequency users (E1/E5a combination)
• Propagation and user contributions excluded
*DF: dual frequency, SF: single frequency

 

Galileo는 (GPS Block II에서 수행되었던 것처럼) 수집된 항법신호에 대한 성능분석(Performance analysis)를 지속적으로 수행하여 Galileo의 ISM 관련 무결성 성능수준을 보장하고 있다 (Perea et al. 2017, 2022). Galileo의 항법신호 오차 모니터링은 Time and Geodetic Validation Facility에서 전세계 17개의 Galileo Experimental Sensor Stations의 측정치를 바탕으로 수행되고 있으며, 다음의 세 단계를 통하여 항법신호 오차가 계산되어 모니터링된다 (Brieden et al. 2019):

(1) 방송 위성궤도 오차 계산
(2) 방송 위성시계 오차 계산
(3) 궤도, 오차를 사용자 위치에 투영하였을 때의 항법신호 오차 계산

5. 결론

본 논문에서는 전지구위성항법시스템(GPS와 Galileo)의 무결성 처리기술을 조사하였다. 각 시스템별 무결성 성능과 무결성 처리기술을 Table 5에 요약하였다. GPS Block II와 Block III는 목표하는 무결성 성능의 차이로 인하여, 적용하는 무결성 처리기술에도 차이가 있다. GPS Block II까지는 지속적인 성능 모니터링과 고장 발생시 분석을 통한 유지보수를 통하여 무결성을 보장하였다. GPS Block III에서는 안전성 요구조건(무결성 요구조건이 포함됨)을 고려한 시스템 설계 및 개발과정과 추가적인 SS 모니터들이 적용되어, GPS Block II보다 높은 무결성 성능을 보장한다. Galileo는 GPS Block II의 무결성 성능 보장 방법과 유사한 방법인 지속적인 성능 모니터링과 유지보수를 통하여 무결성 성능을 보장하고 있으며, 해당 무결성 성능을 ISM 형식으로 제공하여 DFMC SBAS와 ARAIM을 통한 Safety critical application을 지원한다.

Table 5. Integrity performance and assurance methodology of GPS and Galileo.

GNSS systemIntegrity risk probability per SVIntegrity assurance methodology
GPS Block II$\leq 1 \times 10^{-5}$• Continuous performance monitoring
• Maintenance on SS and CS
GPS Block III$\leq 1 \times 10^{-8}$• Safety assured development
• Additional complementary monitoring on SS
Galileo$\leq 3 \times 10^{-5}$• Continuous performance monitoring and analysis
• Safety critical application through DFMC SBAS, and ARAIM

 

본 논문의 GPS와 Galileo의 무결성 처리기술 조사 결과는 새로운 위성항법시스템의 개발과정에 참고자료로 활용될 수 있을 것으로 기대된다. 예를 들어, 새로운 위성항법시스템에서 무결성 목표 성능을 보장하도록 개발한다면, GPS Block III의 Safety assured development 방식이 사용될 수 있다. 또한, Safety assured development 과정에서 시스템 무결성 위협요소들을 식별하고, 대응방안을 결정할 때에 본 논문에서 조사된 무결성 처리기술이 활용될 수 있을 것이다.

References

Brieden, P., Wallner, S., Canestri, E., Joly, D., Subirana, J. S., et al. 2019, Galileo characterization as input to H-ARAIM and SBAS DFMC, Proceedings of the 32nd International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GNSS+ 2019), Miami, FL, USA, 16-20 September 2019, pp.2819-2841. https://doi.org/10.33012/2019.16922

DeCleene, B. 2000, Defining Pseudorange Integrity-Overbounding, Proceedings of the 13th International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GPS 2000), Salt Lake City, UT, USA, 19-22 September 2000, pp.1916-1924.

European Space Agency 2021, Galileo Open Service, Service Definition Document, Issue 1.2

European Space Agency Navipedia, Galileo Future and Evolutions [Internet], cited 2023 Dec 11, available from: https://gssc.esa.int/navipedia/index.php?title=Galileo_Future_and_Evolutions

GPS.GOV, Control Segment [Internet], cited 2023a Dec 05, available from: https://www.gps.gov/systems/gps/control/

GPS.GOV, Space Segment [Internet], cited 2023b Dec 11, available from: https://www.gps.gov/systems/gps/space/

ICAO Navigation Systems Panel 2018, CONOPS for DFMC GNSS, v6.4

Kovach, K., Dobyne, J., Crews, M., & Miles, C. 2008, GPS III Integrity Concept, Proceedings of the 21st International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GNSS 2008), Savannah, GA, USA, 16-19 September 2008, pp.2250-2257

Kritzinger, D. 2016, Aircraft System Safety: Assessments for Initial Airworthiness Certification (Woodhead Publishing)

Langer, J. V., Feess, W. A., Haddad, R. N., Menn, M. D., Tran, X. T., et al. 2002, Near-Term Integrity Improvements for the GPS Operational Control Segment, Proceedings of the 15th International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GPS 2002), Portland, OR, USA, 24-27 September 2002, pp.1511-1518.

Langley, R. B. 1999, The Integrity of GPS, GPS World, 10, 60-63.

Lavrakas, J. W. & Broomfield, J. B. 2003, Defining the Elements of a Civil GPS Monitoring Service, Proceedings of the 2003 National Technical Meeting of The Institute of Navigation, Anaheim, CA, USA, 22-24 January 2003, pp.683-688.

Parkinson, B. W. & Spilker, J. J., eds. 1996, Global Positioning System: Theory and Applications, (Washington, DC: American Institute of Aeronautics and Astronautics)

Perea, S., Meurer, M., Rippl, M., Belabbas, B., & Joerger, M. 2017, URA/SISA analysis for GPS and Galileo to support ARAIM, NAVIGATION: Journal of the Institute of Navigation, 64, 237-254. https://doi.org/10.1002/navi.199

Perea, S., Wallner, S., Schönfeldt, M., Binder, K., Odriozola, M., et al. 2022, Galileo H-ARAIM: Update on Performance Characterization and Integrity Support Message, Proceedings of the 35th International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GNSS+ 2022), Denver, CO, USA, 19-23 September 2022, pp.683-701. https://doi.org/10.33012/2022.18404

Shank, C. M. & Lavrakas, J. 1993, GPS Integrity: An MCS Perspective, Proceedings of the 6th International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GPS 1993), Salt Lake City, UT, USA, 22-24 September 1993, pp.465-474.

Shaw, S. & Katronick, A. J. 2013, GPS III Signal Integrity Improvements, Proceedings of the 26th International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GNSS+ 2013), Nashville, TN, USA, 16-20 September 2013, pp.936-945.

Teunissen, P. J. G. & Montenbruck, O., eds. 2017, Springer handbook of global navigation satellite systems (Cham, Switzerland: Springer International Publishing). https://doi.org/10.1007/978-3-319-42928-1

U.S. Department of Defense 2020, Global Positioning System Standard Positioning Service Performance Standard, 5th, available from: https://www.gps.gov/technical/ps/

Walter, T., Blanch, J., & Enge, P. 2010, Evaluation of signal in space error bounds to support aviation integrity, Navigation, 57, 101-113. https://doi.org/10.1002/j.2161-4296.2010.tb01770.x

Wang, P. 2017, Civil aircraft electrical power system safety assessment : issues and practices, (Butterworth-Heinemann).

Weiss, M., Shome, P., & Beard, R. 2010, On-board signal integrity for GPS, Proceedings of the 23rd International Technical Meeting of the Satellite Division of The Institute of Navigation (ION GNSS 2010), Portland, OR, USA, 21-24 September 2010, pp.3199-3212.

Woo, N., Nam, G., Choi, H. H. & Lee, J. 2023, Procedure for Ensuring RNSS Integrity Performance Based on Analysis of GPS Integrity Processing Methodology, 2023 KONI Conference, Seoul, 6 October 2023, pp.100-103.

Working Group C – ARAIM Technical Subgroup 2016, Milestone 3 Report, available from: https://www.gps.gov/policy/cooperation/europe/2016/workinggroup-c/

Wu, A. 1996, Performance Evaluation of the GPS Block IIR Time Keeping System, Proceedings of the 28th Annual Precise Time and Time Interval Systems and Applications Meeting, Reston, VA, USA, 3-5 December 1996, pp.441-454.

Author contributIons

Conceptualization, N. Woo & G. Nam; methodology, N. Woo & G. Nam; validation, N. Woo, G. Nam, H. H. Choi,& J. Lee; formal analysis, N. Woo & G. Nam; investigation, N. Woo, G. Nam, & J. Lee; resources, N. Woo & G. Nam; writing—original draft preparation, N. Woo & G. Nam; writing—review and editing, H. H. Choi,& J. Lee; visualization, N. Woo & G. Nam; supervision, J. Lee.; project administration, H. H. Choi; funding acquisition, J. Lee & H. H. Choi.

Conflicts of interest

The authors declare no conflict of interest.