Windows와 같은 컴퓨터 운영체제에는 안전모드가 있습니다. 컴퓨터를 진단하기 위한 운영체제 유지에 필요한 부분만 활성화 된 상태로 작동하는 기능입니다. 진단 모드 또는 복구 모드라고 불리기도 합니다. 악성코드에 감염되거나 드라이버 충돌 등 컴퓨터에 치명적인 문제가 발생했을 때 이용합니다. 최근에는 스마트 폰도 끄고 할 때는 안전 모드로 작동하는 경우도 있습니다.
이와 같이 안전모드는 전자기기 시스템에 필요한 최소한의 기능만을 가동하여 기기를 안전 상태로 유지하는 역할을 합니다. 지구 상공 수백km, 수천km를 궤도에 올려놓고 임무를 수행하는 인공위성도 안전모드가 위성보호에 중요한 역할을 합니다. 인공위성은 오류나 치명적인 고장 발생시 수리가 불가능합니다. 자가진단 및 자가복구 기능이 필수입니다. 인공위성의 안전모드가 중요한 이유입니다. 위성은 언제 어떻게 안전 모드를 작동시킬 수 있는 것입니까.
지난 5월 안전모드에 들어간 정지궤도 복합위성 ‘천리안 1호’. 이상이 생기면 선잠 상태에서 지난 5월 한국의 정지궤도 복합위성 ‘천리안 1호’의 운영이 일시 중단됐습니다. 천리안 1호도 백업 개념을 기반으로 두 대의 컴퓨터로 운영됩니다. 1 대 일반 모드에 있으면 나머지 1 대는 전원이 켜진 채로 대기하고 있습니다. 기기에 특별한 이상이 있어서가 아니라 예비용 PC의 오류를 복구하는 일종의 예방 정비 작업 과정에서 운영 모드가 지구 지향 모드에서 태양 지향 모드로 바뀐 겁니다.
이처럼 외부의 영향으로 인공위성이 스스로 운영모드를 전환하기도 하지만 위성에 문제가 생겨 위성 스스로 안전모드에 들어가는 경우가 대부분입니다. 2017년 4월이었죠. 평온하던 연구원 위성종합관제실에 비상이 걸렸습니다. 큰 문제없이 임무를 수행하던 다목적실용위성 아리랑 2호가 안전모드에 들어갔기 때문입니다.
비상복구팀의 진단 결과 자세 제어에 문제가 생겨 위성이 태양을 제대로 비추지 못한 것이 문제였습니다. 인공위성은 태양 에너지로 충전하는 배터리를 이용해 궤도에서 임무를 수행합니다. 위성이 태양을 제대로 볼 수 없기 때문에 배터리에 남아 있는 전기로 구동할 수밖에 없었고, 배터리에 저장된 전력이 줄어드는 바람에 스스로 위성의 작동을 멈춘 것입니다. 문제점이 해결될 때까지 임무를 수행하지 않고 잠자는 이른바 가수면 상태로 전환한 것입니다.
다목적실용위성아리랑2호.2017년 안전모드로 접어들면서 지상국을 바짝 긴장시켰다.필수적인 장치만 가동하며 심각한 고장방지 인공위성은 다양한 운영모드를 통해 궤도를 돌며 임무를 수행합니다. 임무 모드, 태양 지향 모드, 자세 유지 모드를 비롯하여 많은 모드가 있으며, 안전 모드도 다양한 인공위성 운영 모드 중 하나입니다. 인공위성에 결함(fault), 오류(error), 고장(failure)이 발생했을 때 위성이 가장 안전한 상태를 유지하는 것이 안전모드입니다. 결함이나 오류가 다른 장치로 전파되어 또 다른 결함이나 오류, 심각한 고장으로 이어질 수 있기 때문에 안전한 상태에서 원인을 분석하여 조치 준비에 들어갑니다.
세이프티 모드로 들어가면 위성은 전력 절약을 위해 생명 유지에 필요한 최소한의 전장품만 가동하고 필요 없는 하드웨어 전원은 꺼집니다. 보통 안전 모드에서는 백업 컴퓨터, 태양 센서, 자이로, 추력기, 배터리, 충전 장치, 안테나 송수신 장치 등 필수적인 장치만을 가동하여 인공위성을 제어합니다.
안전 모드 상태에서는 위성이 지구를 보지 않고 태양을 향하게 되는 것입니다만. 태양 센서와 자이로를 이용하여 태양 전지판이 태양을 향하도록 인공위성의 자세를 제어합니다. 낮에는 태양 센서와 자이로를 이용하여 자세를 제어하고 추력기를 구동하여 태양 전지판이 태양을 향하도록 합니다. 밤에는 자이로만으로 제어를 합니다.위성 스스로 ‘고장 검출, 분리, 복구’를 수행하는 인공위성은 결함이나 오류, 고장이 발생하더라도 우주에서 장시간 자율적으로 임무를 수행해야 합니다. 그래서 시스템의 신뢰도가 매우 높아야 합니다. 신뢰도를 높이기 위한 방법으로 인공위성을 구성하는 여러 서브시스템의 고장이나 오작동 등의 돌발적인 상황에서도 임무를 지속적으로 수행할 수 있는 고장의 검출, 분리 및 복구(FDIR. Fault Detection, Isolation and Recovery) 시스템을 적용합니다.
지구관측위성과 같이 지구궤도에서 운용되는 인공위성의 경우 시스템이 정상적인 상태일 때는 임무수행 모드에서 작동합니다. 고장이나 오작동이 발생하면 자동으로 안전 모드로 전환되며, 지상 기지국에서 모드 변화를 수신하여 시스템 고장 복구 절차를 진행할 수 있습니다. 심우주를 운항하는 위성의 경우 지상 기지국에서 복구 과정을 직접 수행하기 어렵기 때문에 위성이 직접 FDIR을 수행할 수 있어야 합니다.
위성에 따라 FDIR을 수행하는 시스템은 기술적으로는 다소 차이가 있지만 안전모드는 위성에 따라 차이가 거의 없습니다. 인공위성을 설계할 때부터 이상을 감지하면 자동으로 안전모드에 넣도록 제작되는데요. 고장나기 쉬운 부위를 모두 조사하여 목록으로 정리하고 미리 진단조건을 설정하여 이 조건에서 벗어나면 안전모드로 들어갑니다.
예를들어태양전지판은태양을봐야하는데위성과태양의각도가일정기준에서벗어나면충전이되지않습니다.이런상황이발생하면인공위성은즉시안전모드로들어가서조치를기다리게됩니다. 보통 이상상황의 위험도를 5단계로 나뉩니다. 가장 낮은 1단계에서는 백업 알고리즘으로 전환하고, 리스크가 가장 높은 5단계에서는 컴퓨터를 꺼 버립니다.
위성은 잠시 잠을 잘 수도 있지만 위성을 운용하는 지상국은 24시간 잠을 잘 수 없다.안전모드 이후 임무수행 모드로 복귀하는 것은?인공위성이 안전모드로 들어가게 되면 지상 기지국에 신호를 보낼 것입니다. 아파서일단잠드니까어디가아픈지찾아서치료해달라고하는것하고똑같죠. 이 신호를 수신한 지상 기지국의 위성 종합 관제실에서는 비상 복구 팀을 소집합니다. 비상복구팀은 위성이 안전모드로 안정적으로 운영되고 있는지 확인하고 위성과의 접속 일정 등을 확인합니다. 필요한 경우, 해외 지상국에 연락을 하여 협력을 구할 수도 있습니다.
그리고 위성과 교신이 되면 안전 모드 이전의 모든 데이터를 다운로드하여 즉시 분석 작업에 들어갑니다. 다목적 실용위성과 같은 저궤도 위성은 정지궤도 위성과 달리 교신 시간이 한정되어 있기 때문에 다음 교신 시간까지 가능한 한 빨리 원인을 분석하고 복구 계획을 세워야 합니다. 위성 복구 순서는 매뉴얼에 따라 미리 준비됩니다. 따라서 하루 여러 차례에 걸쳐 위성과 교신하면서 복구 절차를 진행합니다.
세이프티 모드의 시험중, 교신이 두절된 NASA의 태양 관측 위성 STEREO-B <사진 출처=NASA> 잘 자는 만큼, 잘 일으키는 것도 중요 안전 모드에서는 위성 자신을 잘 「잠」도 중요하지만, 잘 일으키는 것도 중요합니다. 실제 미 항공우주국(NASA)의 태양관측위성 스테레오(STEREO)-B는 2014년 8월 안전모드 시험 중 실종됐다. 지구를 향한 전파 안테나가 태양열에 과열되지 않도록 태양 궤도의 일정 구간에서 위성이 동면에 들어가도록 하는 안전 모드 시험을 실시하고 있던 중이었습니다. 72시간 안전모드에 들어간 뒤 깨어나야 하는 날에 약한 신호를 잠시 보내고 더 이상 지상국과 교신하지 못한 채 연락이 두절된 겁니다.
실종되었던 태양관측위성 스테레오B는 22개월 후인 2016년 10월, 다행히 지상국과의 교신이 재개되어 스테레오A와 함께 태양관측 임무를 수행하게 됩니다. 이 사고는 안전 모드에서 바로 깨어나지 않으면 위성을 잃을 수 있지만, 안전 모드에서는 위성의 각종 장치나 시스템이 안전하게 유지된다는 사실을 보여주고 있습니다.
PC도 바이러스 등에 노출되면, OS를 안전 모드로 전환해 감염을 막습니다. 마찬가지로 위성도 결함이나 오류가 발생하면 안전 모드를 통해 치명적인 고장으로 이어지는 것을 방지합니다. 사람의 신체도 이상이 생기면 더 나빠지는 것을 방지하기 위해 신호한다고 합니다. 그 신호를 무시하고 무리하면 아픕니다. 위성도 인간도 맡은 일을 잘 수행하기 위해서는 과부하가 걸리면 하던 일을 잠시 멈추고 쉬는 것이 중요하다는 것, 잊지 마세요.
기획/제작: 항공우주 Editor 오요한 자문/감수: 정지궤도 복합위성사업단 용기력 박사
