### 0.0.1 수신기 자율 무결성 모니터링(RAIM: Receiver Autonomous Integrity Monitoring) 기법과 PX4 내 적용 메커니즘

### 0.0.1 수신기 자율 무결성 모니터링(RAIM: Receiver Autonomous Integrity Monitoring) 기법과 PX4 내 적용 메커니즘

위성 항법 시스템은 다중 경로(Multipath), 위성 궤도 이상, 의도적인 신호 간섭(Jamming/Spoofing) 등 비정상적인 외부 자극으로 인해 막대한 오차가 일시에 발생할 위험을 내포하고 있다. 특히 유도탄이나 자율주행 무인기(Autonomous UAV)가 이러한 불량 위성 데이터를 필터링 없이 맹신할 경우 파국적인 제어 상실로 직결된다.

이러한 치명적 결함(Fault)을 외부 기지국 도움 없이 수신기 스스로 진단하고 배제하는 기술이 바로 **수신기 자율 무결성 모니터링(RAIM: Receiver Autonomous Integrity Monitoring)**이다. PX4-Autopilot은 위성 수신기가 자체적으로 제공하는 RAIM 지표를 해석할 뿐만 아니라, 비행 제어기(EKF2) 핵심 루프 내에 독자적인 소프트웨어적 RAIM 진단 레이어를 중첩하여 운용한다.

0.1 RAIM의 수학적 동작 원리 (FDE 알고리즘)

일반적인 3차원 위치(x, y, z)와 수신기 시계 오차(t)를 구하기 위해서는 최소 4개의 위성 신호가 필요하다. 만약 5개 이상의 위성이 락업(Lock-up)된 오버디터민드(Overdetermined) 통계 방정식 상태라면 여분의 위성 데이터를 활용하여 상호 교차 검증을 수행할 수 있다.

  • 결함 탐지 (FD: Fault Detection): 5개 이상의 위성이 관측될 때, 1개 위성을 배제한 하위 시스템(Subset) 방정식을 여러 개 구성하여 도출된 위치들의 상호 잔차(Residual)가 특정 임계값을 넘는지 검증한다. 하나라도 크게 벗어난다면 결함이 존재함을 알람(Alarm)으로 띄운다.
  • 결함 배제 (FDE: Fault Detection and Exclusion): 6개 이상의 위성이 관측될 때 가동된다. 어긋난 위치를 지시하는 주범 위성(Faulty Satellite)을 식별해내고 이를 방정식 해산 과정에서 즉각적으로 폐기(Exclude)하여 무결성을 회복한다.

결함 탐지 및 배제의 성패 여부와 정밀도 척도는 위성 기하학(HDOP, VDOP 등)과 밀접하게 연관되어 작동하며, 결과적으로 HPL(Horizontal Protection Level)과 VPL(Vertical Protection Level)이라는 임계 반경 지표로 출력된다.

0.2 PX4 아키텍처 내의 듀얼 무결성(Dual Integrity) 모니터링 적용

PX4는 하드웨어 센서에서 올라오는 자체 RAIM 리포팅과 펌웨어 EKF2에서 수행하는 혁신 검증(Innovation Testing)을 양원제로 결합하여(Dual Integrity) 최상위 수준의 Failsafe 망을 구성한다.

  1. 센서 의존적 무결성 계층 (Driver Level):
    최신 u-blox(예: F9P) 수신기는 내부 칩셋 단위에서 이미 고강도의 FDE 알고리즘을 수행하고 있다. PX4의 src/drivers/gps 모듈은 GPS 모듈이 바이너리 프로토콜(UBX-NAV-PVT)로 송신해온 무결성 지표를 파싱한다. 스푸핑 지표(Spoofing Indicator)나 재밍 지표(Jamming Indicator)가 심각 단계로 상승하면 uORB 토픽의 jamming_indicator 필드가 플래그 처리되며, QGroundControl(GCS) 관제 화면 상에 적색 알림으로 표출된다.
  2. 소프트웨어 EKF2 잔차 검증 계층 (Estimator Level):
    PX4의 EKF2 필터 내부에는 RAIM의 FD(결함 탐지) 철학을 확장한 혁신 게이트(Innovation Gate) 알고리즘이 내장되어 있다.
    관성 센서(IMU)와 운동학적 예측 모델로부터 산출한 ’예상 위치/속도’를 기준으로, 실시간으로 유입되는 GPS 관측치와의 차이값(Residual/Innovation)을 구한다. 이 잔차가 사전에 정의된 파라미터 게이트 구역(EKF2_GPS_V_GATE, EKF2_GPS_P_GATE)을 이탈하는 경우, 해당 GPS 데이터는 일시적인 코드 이상이나 반사파(Multipath)로 간주되어 융합 계산에서 거부(Rejected)된다.

0.3 무결성 붕괴(Integrity Loss) 시 파라미터 기반의 상태 머신 복구

RAIM 알고리즘 또는 EKF2의 오차 스파이크 감지로 인해 다수의 위성 신호가 배제될 경우, PX4의 커맨더(Commander) 모듈은 위험 관리 상태 머신(State Machine) 분기로 진입한다.

GPS 융합이 일정 시간(예: 파라미터 COM_POS_FS_DELAY에 정의된 대기 시간) 이상 보류되면, 시스템은 GPS 기반 자동 비행을 강제로 해제하고, 고도(Altitude)만을 기압계(Barometer)로 유지시키는 보정된 수동 형태의 고도 유지(Altitude Hold/Position Hold) 모드나 비상 착륙(Failsafe Land) 상태로 폴백(Fallback)한다. 이처럼 RAIM과 Innovation 융합의 이중 검증 구조는 PX4 시스템이 도심 협곡이나 전파 교란 환경하에서도 드론의 오작동 및 폭주(Flyaway)를 원천 차단하는 가장 핵심적인 수학적 논리 회로이다.