具体实施方式
在以下说明中,本发明被解释为伽利略中的应用,伽利略将是欧洲控制的基于卫星的独立的全球导航***。
伽利略全球组件将包括由地面段监控和控制的卫星丛,地面段也提供检测卫星或者***故障的能力以及向用户实时广播警告(完好性消息)的能力。
伽利略全球组件将提供多个卫星提供的导航服务(satellite-only navigation service):
·提供导航和定时的开放服务(OS);
·提供完好性消息的生命安全服务(SoL),该完好性消息被并入开放服务信号的导航数据消息中;
·通过伽利略卫星提供商业测距和数据信号的散布的商业服务(CS);
·借助独立、接入受限的导航信号来提供导航和定时的公共规范服务(PRS)。
伽利略***的其它组件将提供本地服务,以改善本地基础上的性能(例如完好性)。
伽利略***也将提供对搜寻和援救(SAR)服务的支持。
此外,伽利略将通过经所选的伽利略卫星散布由独立的外部区域完好***提供商所生成的完好性数据来支持外部区域完好***(ERIS)。
根据SoL服务的最大需求,这将驱动整个伽利略完好性分配。因此,总结了以下SoL特征。
频率与信号
伽利略导航信号在如图1中所指示的四个频率上被传输。这四个频率是E5a、E5b、E6和L1。
从通过ITU无线电规则分配给无线电导航卫星服务(RNSS)的频带中选择这些频率。
支持SoL服务的信号在图2中被图解说明。
伽利略基础设施
伽利略空间段将包括27个运转卫星加中地球轨道(MEO)中的三个在轨道上的(不活跃的)备用卫星的集群。每个运转卫星将根据特定信号广播载有时钟同步、天文历表、完好性和其它数据的导航信号组。在良好的天空能见度的情况下装备有适当接收器的用户将能接收大约11个伽利略卫星,以将其位置确定到数米内。
伽利略地面段将控制整个伽利略集群,监控卫星健康状态以及经由任务上行链路站(ULS)向用户上载用于进行随后广播的数据。诸如时钟同步、天文历表和完好性消息的这个数据的关键元素将根据由伽利略传感器站(GSS)的全球通信网络所进行的测量结果来计算。
服务类别
全球导航卫星***的完好性为信任的量度,这被置于由接收器向用户所提供的定位信息的正确性。
完好性包括***向用户提供及时且有效的警告(警报)的能力。向不同类的伽利略用户提供完好性的主要问题是确定什么被视为安全服务,因为这取决于每个应用域中的计划中的工作的类型。传统上,以下参数被用来定义该服务针对给定的工作是否安全:
·位置域中无需提供警告的最大可容忍的误差(被称为警报限制(AL))。
·被超过的警报限制与接收到警告之间的最大可容忍时间(被称为警报时间(TTA))。
·在警报限制被超过之后在警报时间内没有提供警告的概率(被称为完好性风险(IR))。
警报限制、警报时间和完好性风险的可接受的值都取决于预期的工作。
伽利略***为其导航信号提供高需求水平的完好性。全球完好性概念将根据信号组合适应要求不同服务的各种用户团体的需要,以及根据完好性风险和警报限制适应不同水平的完好性。
SoL服务将基于监控L1和E5b开放服务信号来提供全球级别的完好性信息。SoL服务将随着强加不同的***级的约束条件的完好性性能方面的各种各样的要求而允许不同应用域中的工作,这些应用域不仅是(在空中、陆地、海上以及铁路)输送而且是定时和其它重要应用。
假设在特定参考环境和工作条件下使用适当的接收器(“标准”接收器),在用户级详细说明伽利略性能(即端对端性能)。
用户团体的协商导致以下三类完好性要求的识别:
·级别A:应覆盖要求具有短暴露时间(exposure time)以及具有非常严格的动态条件的水平和/或垂直导引的工作,例如在航空领域中接近具有垂直方向导引的操作(APV II)。该级别A也覆盖了一些铁路(列车控制/监控)和公路应用。
·级别B:应覆盖要求较低精度的更长持续时间的工作,这些工作在航空领域中从在途中变化到NPA(非精确接近)。
·级别C:应覆盖包括远洋航行、沿海导航、港口靠近、限制水域和内陆水道的海上操作,这些操作要求高垂直精度。
下表表示了涉及驱动完好性的各种用户级的性能要求以及伽利略信号与这些配置的映射。
|
级别A要求 |
级别B要求 |
级别C要求 |
完好性风险 |
每150秒3.5e-7 |
每一小时1.0e-7 |
每三小时1.0e-5 |
连续性风险 |
每15秒1.0e-5 |
每一小时1.0e-4至1.0e-8 |
每3小时3.0e-4 |
服务可用性 |
99.5% |
99.5% |
99.5% |
TTA |
6秒 |
10秒 |
10秒 |
HAL/VAL |
40m/20m |
556m/NA |
25m/NA |
双频E5a+L1或者E5b+L1 |
是 |
是 |
是 |
单频L1或者E5b |
否 |
是 |
否 |
覆盖 |
世界大陆 |
全球 |
全球 |
针对***设计工作已考虑到级别A要求并且因此驱动***性能和要求分配。应注意的是,***要求[RD-7]要求12m的HAL。
误差源
影响使用卫星导航***进行位置确定的误差为下列两个因数的组合。
·影响每个单独的卫星范围测量结果的误差:这些误差是卫星轨道和时钟进化的预测时间的函数,使得具有高更新率的短期预测将使得这些误差小。
·如由给定用户所看到的卫星的几何形状:该几何形状对于特定的时间和位置是确定性的并且能由每个单独的用户计算。
伽利略的完好性机制的目的是保证给每个单独的用户提供信号,这些信号对于其计划中的工作是安全的并且如果该条件在一个时刻没有被满足则及时地发出警告。然而,伽利略***操作者仅仅能负责影响用户的误差源中的一些误差源。因此,重要的是识别不同类别的误差源和解释这些误差成分中的每个误差成分如何通过整个完好性方案来解决。如下,存在三种主要类别的误差源。
1.归因于伽利略信号生成的误差:该类别包括由从伽利略卫星或从被包含在射频信号中的导航数据所广播的信号的射频特性产生的所有误差。这个类别中的主要贡献者是时钟和天文历表误差以及卫星内载硬件。
2.由于信号传播而引起的误差:遍及其从卫星广播天线到用户接收器天线的路径,该信号受到若干个影响其传播的现象干扰。在这个类别中,电离层延迟、对流层延迟、多路径和射频干扰将是主要的贡献者。
3.由于用户接收器而引起的误差:用户接收器也将有助于***的整个性能。热噪声将影响接收器中的范围测量结果,如将影响所接收到的信号的功率电平那样。
处理对这三类误差的完好性的贡献的方式将是非常不同的。伽利略完好性数据将允许用户免受第一类误差的影响。双频工作将允许用户校正电离层延迟。传播误差模型化将允许用户免受由于对流层延迟引起的误差的影响。用户设备屏障的实现将使用户免受过度干扰或者多路径的影响。
伽利略完好性概念
监控地面网络
根据所描述的由伽利略传感器站(GSS)和任务上行链路站(ULS)组成的地面基础设施,全球网络能被用来分别监控卫星特性和为用户提供信息。
来自每个卫星的可见GSS的数量驱动地面网络和相对应数量的必要站。目前***级分析表明,所要求的SoL完好性性能可利用大约35个GSS的网络来保证。
因此,良好的性能被保证,以得到有用的完好性监控概念。
完好性概念
使用全球GSS网络,为更准确的测量结果而向用户提供数据以得到有用的完好性概念的第一和通常的选项可为传输差分数据。
根据本发明,与用户位置无关的更适当的概念是监控每个卫星自身并且将相对应的特性(例如,如果卫星有什么故障则将所估计的空间信号精度或者“不正常”信息)传输给用户。因此,用户接收关于每个卫星的所估计的性能的直接信息(时钟和轨道)。
考虑所有所传输的信息,用户能计算完好性风险并且根据本发明决定是否允许他开始其工作。
SISA,SISMA,IF Threshold
伽利略能够使用GSS的测量结果在地面段内监控空间信号(SIS)。利用GSS的已知位置,能估计空间飞行器(SV)的实际位置并且利用这个实际位置能估计该范围上的最大误差(空间信号误差,SISE)。
如果查看SISE分布的预测,则假设该分布(不一定为高斯分布)可以通过具有被称为空间信号精度(SISA)的最小标准偏差的非偏置高斯分布来过度约束。利用该分布,描述了导航消息上的SV的实际四维位置(轨道和时钟)与所预测的四维位置之间的差(参看图3)。
SISE的估计也是不正确的过程。在这种情况下所做的假设是,围绕所估计的SISE的值的实际SISE的分布能利用具有被称作空间信号监控精度(SISMA)的标准偏差的高斯分布来描述。SISMA值的确定取决于可用的GSS与SV之间的几何形状。因此,真实的SISE与所估计的SISE之间的差可以用具有标准偏差SISMA的高斯分布来描述(参看图3)。
在伽利略完好性概念内,该***使用GSS的测量结果来估计SISE,以检测有故障的卫星。如果卫星的所估计的SISE大于某一阈值,则该卫星将被标有“不要使用”。但是,如果我们取消不正确的SISE估计过程,则必须考虑到,卫星的所估计的SISE可能小于该阈值,而实际真实的SISE大于该阈值。在这种情况下,谈论漏检。
完好性标志阈值TH必须以如下方式来选择,即假警报的概率小于所要求的限制。只要将卫星标为“不要使用”,尽管不必这样做,都会出现假警报。这意味着,只要所估计的SISE(SISEest)大于该阈值TH,而实际真实的SISE小于该阈值TH,都将存在假警报。
完好性警报函数
伽利略完好性函数是***的服务,以便如果该***不应被用于导航,则向用户提供及时警告。
此外,还涉及用户在该服务中能具有的信任。该信任通过完好性风险来度量,该完好性风险是用户应该被警告而没有被警告的概率。这被称为危险的令人误解的信息(HMI)。
该***完好性函数向用户提供完好性信息。该信息仅仅包含关于以下情况的信息:
·由SV所广播的SIS的质量(也就是SISA)
·由SV所广播的SIS的地面段进行监控的精度(也就是SISMA)
·由SV所广播的不应被使用的SIS(也就是完好性标志和完好性标志阈值)
根据本发明,用户能从该信息中得到其单独的完好性风险。总是针对给定的警报限制计算完好性风险。警报限制为对于其不必引发警报的所允许的最大位置偏差。只要所得到的警报限制处的完好性风险大于所允许的完好性风险,该用户设备就应引发警报。
如果对于计算所需的所有分布都可被假定为高斯分布,则能简化警报限制处的完好性风险的计算。验证该假设的方法是只要可能和必要就利用高斯分布过度约束该分布。
再次解释对计算警报限制处的完好性风险所需的下列术语。
·SISE:
○SISE为在由SV、SV有效载荷以及导航消息(也就是天文历表数据、时钟等)导致的范围域中的SIS的最大误差。
·SISA:
○当SISE分布不必为高斯分布时,过度约束的方法被用于利用过度约束的高斯分布来描述该SISE分布。
○SISE分布的特征在于SISA,SISA为高斯分配的最小标准偏差的预测,该高斯分布过度约束无故障的SIS的SISE分布。
·SISMA:
○当SISE不能直接被测量时,必须根据测量结果估计SISE。
○SISE的估计导致所估计的SISE(eSISE)。
○SISE与eSISE之间的差具有一分布。该分布应由具有被称作SISMA的标准偏差的高斯分布过度约束。这应为标准偏差的最小值。
·完好性标志和完好性标志阈值:
如果SIS的eSISE大于这个SIS的完好性标志阈值,则这个SIS的完好性标志被设置为不正常。
完好性标志阈值可根据SISE分布、SISE与eSISE之间的差的分布和所允许的假警报概率计算。
用户根据以下项计算其完好性风险,这些项由SIS固定和广播:
·用户与SV之间的相对几何形状。
·SIS的误差预算,该SIS由下列几项组成:
○传播误差,
○接收误差,
○由SV所广播的SIS的误差。
·完好性标志。
用户与SV之间的相对几何形状根据所估计的用户位置和SV的天文历表计算。
对于传播和接收误差的分布,存在经过协商的模型。这些模型可能由接收器的附加测量结果供给。
对于由特定用户的SV所广播的SIS的误差,假设:
·对于无故障的SV,由SV所广播的SIS的误差的分布由具有标准偏差SISA的高斯分布过度约束。
·对于非无故障的SV,由SV所广播的SIS的误差与完好性标志阈值之间的差的分布由具有标准偏差SISMA的高斯分布过度约束。
完好性标志信息应从导航和完好性解决方案中排除SIS。
完好性散布
根据所描述的完好性概念,以下信息应被散布给用户。
·导航消息:除正常导航消息内容之外,该消息将也包括针对卫星的SISA值以及将大约每30秒就进行更新。
·完好性消息:类似导航信息,完好性消息也将大约每30秒进行更新,这包括由SISMA值和每个SIS的IF组成的完整的完好性表格。
·检验和以及连通性状态:完好性检验和以及连通性状态(如何得到完好性)将大约每1秒进行更新。
·警报:如果必要,则能针对所有卫星实时(大约每1秒)传输警报。
用户完好性概念
假设
如下总结针对导出用户完好性等式所做的假设:
·在“无故障模式”中,针对卫星的真实的SISE为具有标准偏差SISA的零均值高斯分布(SISE~N(0,SISA))。因此,SISA置信水平被假设等于1。
·通常,有故障的卫星将被检测到并且被标有“不要使用”。
·对于每个时刻,那些标有“正常”的一个卫星被认为是有故障的但没有被检测到(“故障模式”)。对于这个卫星,真实的SISE为以所估计的SISE值SISEest作为期望值和具有标准偏差SISMA的高斯分布(SISE~N(SISEest,SISMA)),也就是SISMA置信水平同样被假设等于1。但是,当所估计的SISE SISEest对于用户并不已知时,SISEest的悲观估计为阈值TH。因此,未被标有“不要使用”的有故障卫星的真实的SISE的分布为具有期望值为TH和标准偏差SISMA的高斯分布(SISE~N(TH,SISMA))。
·在每个时刻多于一个卫星有故障但未被检测到的概率对于该用户等式是可以忽略的。多个和共同的故障被分配在包括未被检测到的SISA和SISMA故障的完好性树的另一分支中(参见0)。因此,这些事件未被分配给用户完好性等式。
利用这些假设,用户能够确定任何全球位置处的其位置解决方案的完好性风险。
AL处的用户完好性风险计算
根据本发明,存在两个主要的概率来计算用户的完好性:
1.或者能够计算哪个误差大小必须被假设与给定的完好性风险值相兼容(保护水平概念),
2.或者完好性风险能直接在警报限制(AL)处被计算。
对于第一概念,必须为每个故障机制(例如像WAAS分配那样,对于水平方向为2%而对于垂直方向为98%)和水平方向保护水平(HPL)或垂直方向保护水平(VPL)结果建立固定的分配。
此外,导致高HPL的用户几何形状与导致高VPL值的那些几何形状不同。在WAAS的情况下,由于2%被分配给水平情况的事实而不必考虑这一点。此外,WAAS与伽利略相比具有较不严格的可用性要求,以便由于这个固定的拆分引起的可用性减小能被容忍。
在伽利略的情况下,四个故障机制应该被考虑:水平的、垂直的和对于它们中的每一个无故障以及一个未被检测到的误差。
根据本发明,每个故障机制的完好性风险能在警报限制(AL)处被计算并且将所有四个贡献的总和与所要求的完好性风险相比。该方法与第二概念相对应。
用户完好性等式
如上详细描述的那样,在用户级可得到的用于计算完好性风险的信息为:
·完好性标志,
·每个卫星的SISA值
·每个卫星的SISMA值,以及
·经由SISA和SISMA得到的阈值。
既在被指定给用户等式的有故障的情况下又在被指定给用户等式的无故障的情况下,一旦所希望的参考框架中的误差分布已知(具有SISA或SISMA的高斯过度约束分布),非常直接地得到相关联的完好性风险。
因此,针对垂直(一维高斯分布)和水平(具有两个自由度的卡方分布)情况的误差分布需要被得到,并且相对应的完好性风险能通过分析对具有给定限制(警报限制)的分布的积分来计算。
所组合的用户完好性风险能通过以下公式来计算
关键性能要求
扩展服务容量模拟(SVS)分析证明,如果SISMA值低于以下标称模式和退化模式的规范,则能满足整个所要求的完好性和可用性性能。
|
标称模式 |
退化模式 |
SISA |
85cm |
85cm |
SISMA |
60cm |
120cm |
GMS可用性 |
94.73% |
99.96% |
SSgt状态概率 |
94.38% |
5.33% |
用户仰角 |
10° |
10° |
因此,如果地面段是标称的并且SSgt是标称的(27 SIS可用),则该***处于“标称模式”,并且如果地面段和/或SSgt退化(26 SIS),则该***处于“退化模式”。
此外,还应该强调的是,三个关键性能要求已通过用户仰角为10°的服务容量模拟得到。这意味着,在这个遮蔽角以上才使用SIS。
***性能分配
根据整个完好性概念,所要求的完好性、连续性以及可用性规范应在***级向下分配给段要求。这个自顶向下的分配通常通过使用所谓的针对每个要求的分配树来实现。
以下,考虑到所描述的完好性概念,对于完好性、连续性和可用性的高水平自顶向下分配将被概述。
完好性分配树
最高级的分配
上面所提出的用于在用户级计算完好性风险的等式代表导致完好性事件的下列模式和故障机制。
1.所有卫星是无故障模式
2.被标有“正常”的最差的卫星(在阈值为SISMA处)是有故障的。
这可以作为“无故障或者单个SIS HMI”贡献分配给位置域中的指定的整个HMI风险。这个最高级危险在任何完好性重要工作周期中的HMI概率超过可容忍的值和在指定的TTA内未向用户发出警告的条件下涉及提供位置解决方案。
除了所提及的用户完好性等式之外,
·“无故障或者单个SIS HMI”:这个事件代表当所有被用在位置解决方案中的信号名义上执行(无故障随机)或者受未被检测到的故障影响的最多一个信号被用在位置解决方案中(由于***引起的1个SIS故障)时所创建的HMI情况。后者的故障并不包括单个SISA故障和单个SISMA故障的情况,因为这被分配在以下描述的“多个SIS故障”分支中。
可能导致完好性事件的对整个完好性风险的其它贡献是:
·“由于非本地影响引起的完好性散布故障”:该分支覆盖所有事件,其中完好性信息的散布中的误差导致位置域中的HMI。这些事件只有当至少一个SIS失效时才出现。
·“多个SIS故障”:该分支代表以下情况,其中至少一个SIS由于导航数据散布故障或者多个独立的信号故障而失效。
·“接收器故障”:接收器贡献不是该***分配的部分并且独立地在***要求中被详细说明。然而,为了更好地理解,在以下附图中对其进行图解说明。
图4图解说明了高级别完好性分配。
在以下段落中,单个完好性分支被简要描述来概述由完好性分配所覆盖的故障机制。
无故障或者单个SIS HMI
左分支被分配给所描述的用户等式并且如图5中所示的那样向下拆分。
每部分都能直接在所得到的用户等式中找到(参看0)。图5左侧的区域B或C中的两个框“无故障丢失的保护”和“单个故障丢失的保护”代表水平和垂直无故障和有故障的故障机制之间的分配。
用户必须计算其在警报限制处的完好性风险,并且如果所计算的值低于“无故障或者单个SIS HMI”分配(区域A),则该用户被允许开始其工作。
散布故障
分支“非本地完好性散布故障”覆盖所有事件,其中完好性信息的散布中的误差导致位置域中的HMI。这些事件只有当至少一个SIS故障时才会出现。
图6图解说明了进一步向下拆分到散布故障分支的段级。
如上面所提及的那样,该分支覆盖所有事件,其中根据完好性信息散布中的故障出现位置域中的HMI。因此,该分支代表当被用在位置估计中的至少一个SIS失效时(11中的一个;11为可见卫星的最大数量)并且如果GMS或者卫星导致的散布失效所创建的危险情况。
在OSPF令人误解的信息(OSPF MI)的情况下,OSPF输出包含针对一个或者多个卫星的令人误解的信息(即SISA不正确地限制所预测的轨道和时钟精度)。
多个SIS故障
多个SIS故障的分支最后覆盖了所有事件,其中多个独立的或者共同的故障导致位置域中的HMI。因此,如果独立的单个SIS同时失效或者如果SISA或者SISMA的未被检测到的故障导致共同的SIS故障,则可能发生这些事件。
此外,应该强调的是,该分支除了多个故障之外也覆盖至少一个SIS的共同的故障。因此,该分支也覆盖未被检测到的SISA和SISMA故障,这些故障没有被包括在用户等式中。
图7以更详细的方框图图解说明了散布故障分支。“共同的未被检测到的SISA故障”HMI贡献被分配给内部GMS故障,从而导致退化的OD&TS计算或者SISA确定,使得针对至少一个卫星的SISA值不正确地约束无故障情况下的SISE分布。
“共同的SISMA故障”代表由于监控误差引起的危险情况。当11个中的至少一个SIS失效时,并且如果SISMA确定失效,或者如果由GMS或者卫星导致的SISMA信息被破坏,则出现这样一种事件。
连续性分配树
类似完好性分配,对于间断性的***要求必须在***级向下被分配给多个段。
假设
为了保证完好***的所要求的间断性,在连续性暴露时间开始时必须满足两个主要条件。
·独立链路:至少两个独立的完好性链路由用户接收到。这需要保证,即使一条链路故障(例如卫星、上行链路或者IPF故障),用户也通过连续性间隔(15秒)接收完好性信息(警报)。
·重要卫星:至多指定数量的重要卫星存在于当前的几何形状中。重要卫星被定义为当前用户几何形状的卫星,该卫星的丢失或者排除将无条件地导致超过任何完好性重要工作周期中的被容忍的HMI概率阈值。因此,重要卫星的丢失将导致生成“不要使用”警报,使得当前重要工作立即被中断。
最高级分配
图8图解说明了所要求的服务间断性的最高级分配。
最高级危险“服务的间断”代表以下条件,其中由于在重要工作开始时出现不可预测的***事件,所以必须中断重要工作。
如果出现以下严重事件之一,则满足这种重要间断性条件。
·“由于仅仅接收器故障引起的间断性”:根据接收器故障的间断性(类似地还针对整个图示出的完好性分配)。
·“由于完好性消息丢失引起的间断性”:这个事件说明给位于服务容量内的任意位置处的用户的完好性消息的提供的丢失。
·“导航确定中的MI”:这个事件代表以下条件,其中从位置解决方案(真实的警报)中排除令人误解的信号。这些真实的警报的速率由严重事件“导航确定中的MI”在任何连续性重要工作周期中出现的概率来驱动,因为这个严重事件由IPF算法的可检测性适当地被假设为100%。
·“由于非本地SIS故障或排除引起的间断性”:这个事件代表由于非本地故障引起的到以下程度的间断性贡献,这些非本地故障独立地导致单个信号的丢失或者排除,在该程度中,剩余的几何形状不足以使得HMI概率低于所允许的值。
以下,更详细地描述完好性消息的丢失和SIS故障或排除的分支,以概述可能导致间断性的所覆盖的事件。
完好性消息的丢失
严重事件“由于完好性消息的丢失引起的间断性”反映给位于服务容量内的任意位置处的用户的完好性消息的提供的丢失。如果完好性数据确定对于多个卫星故障或者如果丢失了冗余完好性链路,则出现这种情况。
图9图解说明了将完好性消息的丢失向下进一步分配到段级。
当伽利略任务段(GMS)不能提供完好性信息,或者GMS不能提供具有所要求的SISMA性能的完好性信息时,出现完好性数据确定函数的重要工作周期内的丢失。
右分支与由于链路故障引起的完好性消息的丢失相关联。
在重要工作开始时要求至少两条链路,因为在重要工作期间释放链路的概率已高于整个连续性风险。如果用户在开始时有两条链路,则即使一条链路丢失,也允许他继续。完好性链路在独立元件被用来将完好性信息提供给用户的条件下是独立的。
如果GMS不能向上链接完好性消息或者如果根据卫星故障而丢失链路,则会出现链路故障。
SIS故障或排除
严重事件“由于非本地SIS故障或排除引起的间断性”代表由于非本地故障引起的到以下程度的间断性贡献,这些非本地故障可以独立地导致单个信号的丢失或者排除,在该程度中,剩余的几何形状不足以使得任意150s中的HMI概率低于所允许的值。
在其下***被声明为可用的用户几何形状可以包含直至六个独立的重要信号,这些信号对于将HMI概率保持得低于所容忍的值之下是同样重要的。当重要信号之一丢失时,HMI概率超过指定的值并且用户必须中断其工作。这意味着,对服务间断性的贡献必须被计算为被分配给独立的单个信号的故障率的六倍。
图10图解说明了可能导致服务间断的SIS故障或排除的分支。6个重要卫星的概念在最高级“由于非本地SIS故障或排除引起的间断性”框下被示出。
分支“好信号未被使用(假警报)”反映了当在重要工作期间不可预期地排除正确信号时出现的间断性。
分支“正确标记的向下信号(真警报)”考虑IPF算法真警报,这些真警报通过独立的单个SIS MI故障来触发。
“信号并未到达接收器”的框等于如在图9中所示的“包含IF消息的SIS未被接收到”FE。
可用性
对于服务平均可用性性能,该方法应定义适当的伽利略***状态并表征***处于每个状态的概率以及针对这些状态中的每个状态的用户级的服务可用性。后者参数被定义为最差用户位置处的时间的百分比,针对该百分比满足指定的可用性标准,使得用户能做出肯定的决定以开始重要工作。
然后,服务平均可用性性能被实现为针对每个***状态所获得的可用性的总和,该可用性由相对应的状态概率进行加权。因此,服务平均可用性性能的特征要求估计与不可预测的事件有关的这些概率性能,这些不可预测的事件根据信号几何形状确定了给定***状态下的状态概率和确定性(可预测)的服务可用性性能。
导航服务性能要求(在完好性、连续性和可用性方面)的评估最后通过(通过服务容量模拟)检验指定的SOL服务99.5%平均可用性要求可以被满足来实现。为了在给定时刻说明并且间隔用户级的服务可用性,连续性和完好性性能均必须被满足。
用户完好性算法
完好性的可用性
在每个位置解决方案固定出现时间,只要同时满足以下条件,就将允许用户开始重要工作。
·伽利略接收器能够提供导航解决方案。
·伽利略接收器能够预测完好性性能和连续性特性。
·在下一个重要工作周期上所预测的HMI的概率不超过指定值。
·在下一个重要工作周期上所预测的服务间断性的概率不超过指定值。
·完好性消息通过至少两个独立的卫星路径被接收。
用户级的服务可用性的确定意味,用户必须能够在每个位置解决方案固定出现时间预测其自己的服务完好性性能和连续性性能。为此,指定算法在用户接收器内部运行。该算法生成以下给用户的输出信息。
·只要上面所提及的条件同时被满足,就生成“正常工作”消息。
·只要所预测的HMI概率超过指定值或者没有完好性消息由用户接收器接收,就生成“不要使用”警报消息。在这种情况下,用户应立即停止当前工作,这有助于整个间断性。
·只要非完好性低于指定值,但所预测的间断性风险超过所允许的值或者一个并且仅仅一个完好性消息由用户接收器接收,就生成“不要开始”消息。在这种情况下,不允许用户开始重要工作,但是允许已经开始重要工作的用户结束该重要工作。
用于确定服务在某个时刻是否可用的由用户接收器所应用的规则如下:
1.所计算的HMI概率低于容忍值。
2.在下一个连续重要工作周期上的重要卫星的数量不高于指定值。
在以下段落中能找到关于用户完好性算法的更多细节。
算法功能性
根据必要的功能性,在每个出现时间,用户完好性算法必须提供以下功能。
1.检查,针对每个完好性数据流所接收到的完好性信息是由地面基础设施的完好性函数所生成的完好性信息;
2.从冗余的且检查确定的完好性数据流中选择要被使用的完好性数据流;
3.根据所选的且检查确定的完好性信息和导航信息确定哪些信号有效;
4.针对重要工作周期在警报限制处计算完好性风险;对此仅考虑有效信号;
5.针对重要工作周期计算重要卫星的数量;对此仅仅考虑提供有效信号的卫星;
6.针对用户生成以下警报:
·“正常工作”(允许用户针对工作开始使用该***以及针对已开始的工作继续使用该***。)
·“不要使用”(不允许用户针对工作开始使用该***,以及针对已经开始的工作,他必须停止使用该***。)
·“不要开始”(不允许用户针对工作开始使用该***,但是允许用户针对已经开始的工作继续使用该***。)
完好性信息验证
由地面段的完好性函数所生成的完好性信息被标记(被鉴定),使得该完好性信息能由用户接收器验证。这个验证必须在完好性信息验证函数中执行。验证将保证,仅仅未完全改变的或者在散布期间以所分配的概率改变的完好性信息将被检查确定。
即使没有其它完好性信息被广播给用户,在每个出现时间,验证信息在完好性信息数据流中都被提供给用户接收器。这允许用户在任何出现时间确定所有完好性信息是否已被接收到。
针对每个完好性数据流执行验证,用户接收器将在标称工作期间接收每个完好性数据流。存在至少两个独立的用户接收器接收到的数据流。
完好性信息选择
从检查确定的完好性信息数据流中,用户接收器必须选择要被用于进一步处理的一个完好性数据流。这通常为在出现时间之前所使用的相同完好性数据流。
如果在出现时间之前所选的完好性数据流不再可用或者如果预测在出现时间之前所选的完好性数据流对于完好性暴露时间期间的至少一个出现时间不可用,则仅使用来自其它检查确定的数据流之一的完好性信息。
如果在工作开始时数据流都被检查确定,则数据流之一必须任意被选择。
有效信号确定
要被使用的有效信号是被预测在所限定的遮敝角之上接收到的所有信号,这些信号由用户接收器接收并且这些信号具有:
1.没有被设置为“不健康”的卫星健康状态标志,
2.在一个所选的完好性数据流中,没有被设置为“不要使用”的完好性标志,
3.在一个所选的完好性数据流中,没有被设置为“未被监控”的完好性标志,
4.用户接收器还没有在内部检测到任何以下条件:
·处于不良状态(超范围)的AGC
·PLL未被锁定
·导航消息奇偶检验误差
·数据的无效问题
·天文历表误差(在离心率中的误差、平近点角...范围之外、没有接收到天文历表)
·天文年历无效
·看门狗期满
·处于不良状态的卫星
·SW完好性检查结果(不正确的SW检验和)
·(针对1个卫星、仅仅1个频率上的测量的)电离层校正不可用
·内部计算误差(高度、卫星坐标...)
·时钟模型无效
·(用户可配置的)过度干扰
·(用户可配置的)过度多路径
完好性风险计算
根据在用户完好性等式段落中给定的公式以及根据上面的“***性能分配”段落中给定的完好性分配树来计算完好性风险。
重要卫星
重要卫星被定义为用户几何形状的卫星,该用户几何形状对于使得警报限制处的完好性风险低于规范是重要的。因此,在用户接收器中必须有函数,以确定用户几何形状的重要卫星的数量。
重要卫星的数量通过针对所有可预测的用户几何形状计算警报限制处的完好性风险来评估,其中丢失一个有效信号。重要卫星的数量为如果该卫星被移除则导致警报限制处的完好性风险高于所分配的完好性风险的卫星数量。
导航警告算法
导航警告算法应提供规则组的实现方案,以便决定具有完好性的导航服务在当前出现时间To是否可用,以及预测其对于即将到来的重要周期Tc的可用性。为此,该算法应提供三个级别的输出,即:
1.“正常工作”或者“使用”消息,该消息指示导航***服务在出现时间To是可用的,并且预见在下一个重要工作周期以所要求的端到端性能水平是可用的。在这种情况下,用户能够在出现时间To开始或者继续工作。
2.“不要开始”警告消息,该警告消息指示该***在出现时间To是可用的,但是不保证间断性风险在下一个重要工作周期是可接受得低。这个警告消息指示,重要工作(例如飞行器进场)不必开始,但是将允许用户完成其当前重要工作。
3.“不要使用”警报,该警报指示用户必须立即中止其当前重要工作,因为HMI概率超过指定值或者丢失PVT(位置、速度以及时间)解决方案。
“正常工作”消息
只要以下条件被同时满足,导航警告算法就应能够在每个决定固定出现时间To生成“正常工作”消息。
1.至少两个完好性数据流在时刻To是可用的。
2.PVT算法解在时刻To是可用的(不存在PVT算法警报)。
3.HMI概率计算解在时刻To是可用的(不存在HMI算法警报)。
4.通过相关算法在出现时间To所预测的任意150秒内的HMI概率不超过指定的HMI概率阈值。
5.预测至少两个完好性消息将在随后的重要工作周期上连续可用。
6.预测至多6个卫星是重要的。
“不要使用”消息
如果出现以下条件之一(OR),则导航警告算法应能够在每个位置固定出现时间To生成给用户的警报,以立即中止当前工作(“不要使用”警报)。
1.在出现时间To没有完好性链路消息是可用的,或者预测,在随后的重要工作周期上在某个出现时间没有完好性链路将是可用的。
2.来自PVT算法的警报指示,PVT解是不可用的。
3.来自HMI概率计算算法的警报指示,HMI概率是不可用的。
4.通过相关算法在出现时间To所预测的任意150秒内的HMI概率超过了指定的HMI概率阈值。
5.至少两个SISMA增加了警报,一个多个SISMA增加警报经由针对卫星的完好性数据流被发送,因为重要工作的开始和最终的HMI概率超过指定的HMI概率阈值。
“不要开始”警告
当以下条件同时被满足时,在给定位置固定出现时间(AND)必须生成“不要开始”警告:
1.PVT算法解在时刻To是可用的(不存在PVT算法警报)。
2.HMI概率在时刻To是可用的(不存在HMI计算警报)。
3.如果通过相关算法在出现时间To所预测的任意150秒内的HMI概率并没有超过指定的HMI概率阈值,则只要以下条件中的至少一个被验证(OR),导航警告算法就应能够生成“不要开始”消息:
·一个并且仅仅一个完好性链路消息在To是可用的,以及预见在下一个重要工作周期上是可用的
·重要卫星的数量在To不能被确定(存在重要卫星预测算法警报)
·在下一个重要工作周期上,多于六个卫星是重要的。
算法流程图
图11图解说明了导航警告算法的完整流程图。
该图总结了导致包括单个算法功能性的各种导航警告“不要使用”、“不要开始”、以及“标称工作”的事件。
其它注释
根据标准用户接收器的规范和相对应的标称环境,如果用户在相对应的环境中工作,则所描述的整个完好性概念保证了分别针对所提及的标称规范的所要求的性能。
在用户级必须实现其它屏障,用于防止过度的本地现象(例如RAIM算法),但是这个没有离开本发明的范围。
总结
本发明提供了一种全球完好性卫星导航***以及一种包括必要监控能力的完好性概念。除了将通过***提供来排除有故障的卫星的监控能力之外,所提出的完好性概念也通过考虑一个有故障的卫星来解释在任何完好性***中存在的受限的监控能力,在用户级,在完好性风险计算中通过监控***没有检测到该有故障的卫星。
四个故障机制已在用户完好性等式中被考虑到:水平、垂直以及对于它们中的每个无故障和一个未被检测到的误差。
不同于目前的SBAS概念,可以做出故障机制之间的不固定分配,以避免太复杂的地面基础设施。所组合的完好性风险可以直接在警报限制处进行计算并且可以与相对应的规范比较。该概念被包括在整个完好性分配中,并且所组合的完好性风险计算的影响已与典型的固定分配方法相比较。
为了保证服务的可用性,重要卫星的概念被引入,其中重要卫星的数量为如果该卫星被移除则导致警报限制处的完好性风险高于所分配的完好性风险的卫星数量。除了其它严重事件之外,已描述了整个连续性分配树。
根据所描述的完好性概念,用户算法必须实现各种已详细描述过的功能性。
总之,完好性概念被研发并且针对可用的伽利略体系架构被描述,该可用的伽利略体系架构能够以0.5%的无效性保证需要的完好性和连续性要求,0.5%的无效性比所有其它公知的SBAS概念的无效性(通常为5%的无效性)高一个数量级。
缩写
AL Alert Limit 警报限制
CS Critical Satellite 重要卫星
ERIS External Regional Integrity 外部区域完好***
Services
eSISE Estimated Signal in Space 所估计的空间信号误差
Error
FE Feared Event 严重事件
GSRD Galileo System Requirement 伽利略***要求文档
Document
GCS Galileo Control Station 伽利略控制站
GMS Galileo Mission Segment 伽利略任务段
GSS Galileo Sensor Station 伽利略传感器站
HMI Hazardous Misleading 危险的令人误解的信息
Information
HPL Horizontal Protection Level 水平方向保护水平
IF Integrity Flag 完好性标志
IR Integrity Risk 完好性风险
MEO Medium Earth Orbit 中地球轨道
MI Misleading Information 令人误解的信息
OS Open Service 开放服务
PL Protection Level 保护水平
PRS Public Regulated Service 公共规范服务
PVT Position Velocity Time 位置速度时间
RNSS Radio Navigation Satellite 无线电导航卫星服务
Service
SAR Search-and-Rescue 搜寻和援救
SBAS Space Based Augmentation 基于空间的增强***
System
SIS Signal-in-Space 空间信号
SISA Signal in Space Accuracy 空间信号精度
SISE Signal in Space Error 空间信号误差
SISMA Signal in Space Monitoring 空间信号监控精度
Accuracy
SoL Safety-of-Live Service 生命安全服务
SV Space Vehicle 空间飞行器
SVS Service Volume Simulation 服务容量模拟
TH Threshold 阈值
TTA Time-to-Alert 警报时间
ULS Uplink Station 上行链路站
VPL Vertical Protection Level 垂直方向保护水平
WAAS Wide Area Augmentation 广域增强***
System