회전익 항공기에서 스마트다기능시현기(SMFD, Smart Multi Funcition Display)는 조종사와 사수 조종사에게 비행 및 임무 정보를 제공하고 SMFD와 연동되는 항공전자 장비를 제어하는 등 핵심 기능을 수행하는 구성품이다. 본 기고에서는 SMFD의 개념과 중요성을 설명하고, SMFD에서 발생한 화면 멈춤(Freeze) 이상 현상의 원인과 개선사항을 소개한다.
스마트 다기능시현기(SMFD)란 무엇인가 ?
스마트 다기능시현기(SMFD)1)는 조종실 내 계기 패널에 장착되어 조종사와 사수 조종사에게 비행 및 임무 정보를 제공하고, SMFD와 연동되는 항공전자 장비들을 제어하는 등 핵심 기능을 수행하는 구성품이다. 그림 1은 SMFD의 형상을 나타내는 그림이다. SMFD는 항공기에 3대가 동시 운영되며, 이상 현상이 발생한 장비는 비행 운용프로그램(OFP, Operational Flight Program)2)의 명령을 통해 재부팅 신호가 발생하여 즉시 기능 복구가 가능하도록 설계되었다.
그림 1. 회전익 항공기 조종실에 탑재되는 SFMD
그림 2는 이상 현상이 발생한 SMFD에서 기능을 복구하는 과정을 도식화한 그림이다. SMFD에서 오류를 감지하면 구성품과 항공기 체계의 건전성 확보를 위해 비행 운용프로그램(OFP)은 SMFD 시스템 소프트웨어의 재부팅 함수(Reset)를 호출하고, 시스템 소프트웨어는 FPGA3)에 Reset 명령을 전달한다. FPGA는 Reset 명령을 수신하면 하드웨어적으로 재부팅 신호를 발생시켜 SMFD를 즉시 복구하도록 설계되었다.
그림 2. OFP 명령을 통한 SMFD의 오류 복구 과정
스마트 다기능시현기(SMFD) 화면 멈춤(Freeze) 이상 현상
SMFD는 오류가 발생하면 오류가 타 구성품 및 항공기 체계로 전이되는 것을 회피하기 위해 비행 운용프로그램(OFP) 명령을 통해 즉시 기능 복구를 수행한다. 하지만, 회전익 항공기 시험 평가 중 SMFD의 기능 복구 절차가 정상적으로 수행되지 않고 화면이 멈추는 freeze 현상이 발생하였다. Freeze 현상은 컴퓨터에서 발생하는 오류 유형 중 하나로 컴퓨터나 애플리케이션이 응답하지 않거나 시스템이 멈춰 작동을 중단하는 상태를 의미한다. 그림 3은 컴퓨터에서 확인 가능한 freeze 현상의 예시인 블루스크린을 나타내는 그림이다.
그림 3. Blue Screen 화면(Freeze 현상의 예시)
Freeze 현상이 발생하면 컴퓨터 시스템은 사용자의 키 입력과 제어 명령에 반응하지 않고 화면이 멈춰버리게 된다. 회전익 항공기 운용 간 SMFD에서 freeze 현상이 발생하면 조종사와 사수 조종사가 제어 명령을 입력하더라도 SMFD가 응답하지 않게 된다. 또한, 이상 현상이 발생한 SMFD와 연동되는 항전 장비들이 정상적으로 동작하지 않는 등 임무 수행에 심각한 문제를 초래할 수 있다.
SMFD에서 freeze 현상이 발생하는 조건을 분석한 결과, 오류 발생 시 SMFD의 기능 복구 과정이 정상적으로 수행되지 않을 때 해당 현상이 발생 가능한 것으로 확인되었다. 그림 4는 OFP 명령을 통한 SMFD의 기능 복구 과정에서 freeze 현상이 발생 가능한 조건을 도식화한 그림이다. 기존 설계의 문제점으로는 SMFD는 시스템 소프트웨어가 정지하거나 FPGA 하드웨어 결함 발생 시 기능 복구가 정상적으로 수행되지 않아 freeze 현상이 발생할 수 있다. 시스템 소프트웨어가 멈추게 되면 SMFD의 오류가 발생하더라도 Reset 명령이 FPGA로 전달되지 않아 하드웨어적으로 Reset 신호가 발생하지 않게 된다. 또한, FPGA가 하드웨어 결함으로 인해 정상 동작하지 않는 상황에서는 시스템 소프트웨어가 Reset 신호를 전달하더라도 FPGA에서 재부팅 신호를 발생시키지 못하는 한계가 있다.
그림 4. SMFD의 오류 복구 과정에서 발생 가능한 freeze 현상 시나리오
개선방안
SMFD의 freeze 현상의 원인을 분석한 결과, 시스템 소프트웨어가 정지하거나 FPGA 하드웨어 결함 발생 시 해당 오류가 발생할 수 있음을 확인하였다. 본 장에서는 시스템 소프트웨어와 FGPA 상태를 지속적으로 모니터링하여 freeze 현상의 원인을 제거하는 방안을 소개한다.
시스템 소프트웨어 상태 진단 및 오류 수리 기법
먼저, 시스템 소프트웨어의 상태를 진단하기 위해서는 watchdog timer 기법을 적용한다. Watchdog timer 기법이란 컴퓨터의 오작동을 탐지하고 복구하기 위해 사용되는 전자 타이머 기반 기법이다. 그림 5는 watchdog timer의 동작 원리를 나타내는 그림이다.
그림 5. Watchdog timer 동작 원리
정상작동 중인 컴퓨터는 일정 시간이 지나거나 “Timeout" 되는 것을 방지하기 위해 정기적으로 watchdog timer를 초기화한다. 만약 일정 시간 동안 watchdog timer가 초기화되지 못하면 컴퓨터에 이상 현상이 발생한 것으로 간주하고 reset 신호가 발생하여 시스템의 기능이 복구된다. 해당 기법은 오류에 실시간으로 반응하기 힘들며, 고신뢰성이 요구되는 제어 장비에서 일반적으로 사용된다.
그림 6. Watchdog timer 적용한 우주 탐사선
그림 6은 watchdog timer 기법이 적용된 장비의 예시를 보여주는 그림이다. 우주 탐사기는 사용자가 쉽게 접근하기 어려우므로 오류가 발생하더라도 물리적인 접근으로 조치하는 데 한계가 있으며, 고신뢰성을 요구하기 때문에 시스템적으로 오류를 진단하고 오류 발생 시 복구하는 기법이 필요하다. 우주 탐사기는 watchdog timer 기법을 적용하여 이상 현상을 탐지하고 오류 발생 시 복구하는 기법을 적용하고 있다.
본 절에서는 회전익 항공기 SMFD에 watchdog timer를 적용하여 시스템 소프트웨어의 상태를 진단하고 오류 발생 시 복구하는 과정을 소개하고자 한다. 그림 7은 SMFD에서 해당 기법의 동작 원리를 나타내는 그림이다. 먼저 SMFD에 전원이 인가되면 FPGA는 시스템 소프트웨어 스케줄러의 50Hz 주기 운용을 위한 하드웨어 타이머 인터럽트를 제공한다. 시스템 소프트웨어는 이 주기에 맞춰 watchdog counter 초기화 명령을 FPGA에 전달하고, FPGA는 해당 명령에 따라 watchdog counter 초기화 기능을 수행한다. 하지만, 소프트웨어 스케줄러가 고장으로 정지하면 해당 명령이 전달되지 않아 watchdog counter값이 계속 증가하게 된다. 이 값이 설정된 임계치(1초)에 도달하면 FPGA가 인터럽트를 발생시키며, 시스템 소프트웨어는 watchdog timer 기반 reset 수행 사실을 로그에 기록한다. 인터럽트 발생 0.5초 후 FPGA는 하드웨어 Reset 신호를 CPU 등 관련 부품에 전달하여 SMFD를 강제 재부팅 시켜 기능 복구를 수행한다.
그림 7. Watchdog timer 통한 시스템 소프트웨어 상태 모니터링 기법
FPGA 상태 진단 및 오류 수리 기법
FPGA 하드웨어 상태를 진단하기 위해서는 Heartbeat 통신 기법을 적용한다. Heartbeat 통신 기법은 용어에서 알 수 있듯이, 심장이 뛰는 것처럼 시스템이나 특정 모듈이 ‘나는 살아있다(alive)'는 신호를 주기적으로 보내는 것을 의미한다. 신호를 수신하는 쪽은 일정 시간 동안 송신 측으로부터 신호가 전달되지 않으면 해당 시스템이나 모듈에 이상이 발생한 것으로 판단한다. 그림 8은 Heartbeat 통신의 동작 원리를 나타내는 그림이다. Client는 Server의 이상 여부를 판단하기 위해 Heartbeat 신호를 일정 주기로 송신하고, Server는 신호 수신 시 상태를 회신하는 방식으로 동작한다. 만약 Client가 Server에 Heartbeat 신호를 보냈음에도 불구하고 Server의 회신이 없으면 Client는 Server에 이상 현상이 발생하였다고 판단하고 오류를 보고한다.
그림 8. Heartbeat 통신 동작원리
본 절에서는 회전익 항공기 SMFD가 Heartbeat 통신을 적용하여 FPGA의 상태를 진단하고 오류 발생 시 복구하는 과정을 소개하고자 한다. 그림 9는 Heartbeat 신호 모니터링 기법을 적용하여 FPGA 하드웨어 결함 발생 시 SMFD를 복구하는 과정을 나타내는 그림이다. 세부 동작 과정을 살펴보면 SMFD의 제어 그래픽 모듈(CGM)4)과 제어 모듈(CM)5)의 시스템 소프트웨어는 각각 Heartbeat 신호를 생성한다. 그리고, CGM과 CM은 각 1초 주기로 Heartbeat 신호를 서로 주고받고, 해당 신호들을 모니터링한다. 만약 특정 모듈이 5초 이상 Heartbeat 신호를 수신하지 못하는 상황이 되면 상대 모듈에 이상 현상이 발생한 것으로 간주하고, 해당 모듈의 FPGA에서 하드웨어 Reset 신호 발생 및 SMFD를 강제 재부팅 시켜 기능 복구를 수행한다.
그림 9. Heartbeat 신호를 통한 FPGA 하드웨어 결함 모니터링 과정
맺음말
본 고에서는 회전익 항공기의 핵심 기능을 수행하는 SMFD 개념과 오류 발생 시 SMFD에서 기능을 복구하는 과정을 소개하였다. 또한, 비행 시험 도중 SMFD에서 발생한 화면 멈춤(freeze) 이상 현상의 특징과 발생 조건을 분석하였다. 시스템 소프트웨어 정지 또는 FPGA 하드웨어 결함 발생 시 SMFD의 화면 멈춤 이상 현상이 발생 가능함을 확인하였고, 이를 해결하기 위해 시스템 소프트웨어의 상태를 모니터링하는 watchdog timer 기법, FPGA 하드웨어 상태를 진단하기 위한 Heartbeat 통신 기법을 소개하였다. 본 고에서 소개한 품질개선 사례를 통해 회전익 항공기 SMFD와 항공기 체계의 건전성이 향상되고, 성공적인 임무 수행이 보장되기를 기대한다.
- 1) SMFD(Smart Multi-Function Display)
- 스마트 다기능시현기
- 2) OFP(Operational Flight Program)
- 비행 운용 프로그램
- 3) FPGA(Field Programmable Gateway)
- 사용자 프로그래머블 게이트어레이
- 4) CGM(Control Graphic Module)
- 제어 그래픽 모듈
- 5) CM(Control Module)
- 제어 모듈
- 참고문헌
-
- J. H. Lim, "Video Processing based on FPGA for Smart Multi-function Display System", Conference of the Society for Aerospace System Engineering, pp. 1423-1424, 2019.
- Wikipedia contributors. "Blue screen of death." Wikipedia, The Free Encyclopedia. Wikipedia, The Free Encyclopedia, 23 Aug. 2025. Web. 1 Sep. 2025.
- Wikipedia contributors. "Watchdog timer." Wikipedia, The Free Encyclopedia. Wikipedia, The Free Encyclopedia, 8 Aug. 2025. Web. 1 Sep. 2025.
- Wikipedia contributors. "Heartbeat (computing)." Wikipedia, The Free Encyclopedia. Wikipedia, The Free Encyclopedia, 26 Aug. 2025. Web. 1 Sep. 2025.
- R. Mehalaine, M. Djezzar, D. Nessah, Z. Saiad & A. Saidi, "Watchdog Timer for Fault Tolerance in Embedded Systems", Journal Européen des Systèmes Automatisés, 57(6), 1713-1720.
- W. S. Moon, "Fault detection using heartbeat signal in the real-time distributed systems", Jounal of the Korea Society of Digital Industry and Information Management, Vol. 14, No. 3, pp. 39-44, 2018.