033 - AFCS 5 - 이중화의 역설, 두 개의 두뇌가 다투는 순간

여기에서는 최신 항공기를 운용하기 위해 가장 필자가 강조하고 싶은 내용을 다루려고 합니다.
'이중화(Redundancy)' 역설입니다.
하나의 시스템이 무너져도 비행의 연속성을 보장하기 위해 우리는 AP 1과 AP 2라는 두 개의 독립적인 두뇌를 심었습니다.
하지만 역설적이게도, 이 두 개의 똑똑한 두뇌가 서로 '불일치'할 때
우리는 가장 당혹스러운 상황을 맞이하게 됩니다.

1. 설계 철학의 충돌: Fail-Operational vs Fail-Safe
항공기 시스템이 고장에 대처하는 태도는 크게 두 가지 철학으로 나뉩니다.
* Fail-Operational (운용 지속): "하나가 죽어도 임무는 계속되어야 한다." AP 1이 고장 나도 AP 2가 즉시 제어권을 승계하여 자동 비행을 유지하는 방식입니다. 주로 고도의 신뢰성이 필요한 최신 기종에서 채택합니다.
* Fail-Safe (안전 확보): "의심스러우면 안전하게 멈춘다." 고장이 감지되는 즉시 자동 기능을 차단하고 조종사에게 제어권을 반납합니다. 시스템 오작동으로 인한 비정상 기동을 막기 위한 보수적인 선택입니다.
비행 시험 리포트에서는 보통 "본 기종은 Fail-Operational 설계를 통해 AP 1 Inop 상황에서도 안정적인 ATT Hold(자세 유지)가 유지됨을 확인하였음"과 같은 방식으로 시스템의 신뢰성을 평가하곤 합니다.

2. 완벽한 이중화의 숙제: 데이터 버스 불일치(Mismatch)
이중화 시스템의 가장 큰 숙제는 "두 컴퓨터가 과연 똑같은 데이터를 보고 있는가?"입니다. ARINC 429나 MIL-STD-1553 같은 데이터 버스 라인을 통해 수많은 정보가 오가지만, 미세한 노이즈나 센서 오차는 피할 수 없습니다.
* 발생 원인: 자이로 센서의 미세한 편차나 진동에 의한 노이즈가 데이터 전송 과정에서 누적될 때 발생합니다.
* 현상 (Mismatch): AP 1과 AP 2의 계산값이 사전에 설정된 임계치(Threshold)를 넘어서는 순간, 시스템은 혼란에 빠집니다. "누구의 데이터가 맞는지 확신할 수 없으니, 둘 다 믿지 않겠다"라고 선언하는 것이죠.
* 결과: 이 순간 Fail-Operational 모드는 해제되고, 시스템이 통째로 떨어져 나가는(Disengage) Fail-Safe 상태로 전환됩니다. 조종사가 예기치 못한 시점에 수동 비행을 떠맡게 되는 '비행 성향의 급변'이 발생하는 지점입니다.

3. 비행 시험 현장에서의 실체: "Voter Failure"
실제 Auto RPM 체크나 한계 기동 시험 중에 이러한 현상은 잦게 나타납니다. 급격한 기동 중 두 컴퓨터가 감지하는 중력가속도(G-load)에 미세한 시차가 발생하면, 계기판에는 "Compare Label Error"나 "Mismatch" 경고등이 점등됩니다.
이는 하드웨어의 물리적 파손이라기보다, 소프트웨어가 허용한 '오차의 문턱'이 너무 낮아 발생하는 누적 오차의 결과인 경우가 많습니다. 헬리콥터처럼 진동이 심한 환경에서는 센서 노이즈가 'Miss-comparison'이나 'Voter failure'라는 결함 코드로 기록되어 원활한 진행을 지연시키기도 합니다.

결론: 시스템의 감시자로서의 조종사의 역할 변화
이중화 구조는 결코 무너지지 않는 철옹성이 아닙니다.
두 개의 두뇌가 서로 다른 데이터를 보고 다투기 시작할 때, 시스템은 안전을 위해 스스로 조종권을 내려놓습니다. 이것이 바로 기술이 선택한 최후의 보루, Fail-Safe로의 회귀입니다.
결국, 자동화 시스템이 고도화될수록 조종사의 역할은 '조종자'에서 '시스템 감시자(Monitor)'로 변화합니다.
기계가 판단을 포기하는 그 찰나의 순간을 대비하는 것, 그것이 우리가 복잡한 AFCS 계층 구조를 명확히 이해해야 하는 이유입니다.