許龍霞，任燁，何雷，李孝輝,3

EGNSS授時(shí)服務(wù)安全性發(fā)展綜述

許龍霞1,2，任燁1,2，何雷1,2，李孝輝1,2,3

（1. 中國(guó)科學(xué)院 國(guó)家授時(shí)中心，西安 710600；2. 中國(guó)科學(xué)院 精密導(dǎo)航定位與定時(shí)技術(shù)重點(diǎn)實(shí)驗(yàn)室，西安 710600；3. 中國(guó)科學(xué)院大學(xué)，北京 100049）

時(shí)間廣泛應(yīng)用于各行各業(yè)，基于衛(wèi)星導(dǎo)航系統(tǒng)的星基授時(shí)與時(shí)間同步技術(shù)是人們獲取時(shí)間的主要方式。時(shí)間的重要性及衛(wèi)星導(dǎo)航系統(tǒng)的固有脆弱性，使得授時(shí)安全性成為用戶關(guān)注的重要因素。目前，國(guó)內(nèi)尚未建立關(guān)于授時(shí)安全性的相關(guān)概念和體系。本文主要介紹Galileo授時(shí)服務(wù)擴(kuò)展與整合項(xiàng)目在授時(shí)安全性方面的初步研究結(jié)果。首先，根據(jù)用戶對(duì)時(shí)間精度的需求，將衛(wèi)星導(dǎo)航系統(tǒng)提供的授時(shí)服務(wù)定義為3個(gè)等級(jí)，確定了授時(shí)服務(wù)安全性要求。從影響授時(shí)的各項(xiàng)因素出發(fā)，分析了不同等級(jí)的固有異常概率。最后，設(shè)計(jì)了消除授時(shí)異常的安全性架構(gòu)體系，達(dá)到授時(shí)服務(wù)的安全性要求。該項(xiàng)目的研究思路和成果可為北斗衛(wèi)星導(dǎo)航系統(tǒng)授時(shí)安全性定義和體系架構(gòu)設(shè)計(jì)提供參考。

Galileo；授時(shí)；安全性；異常概率；風(fēng)險(xiǎn)

0 引言

時(shí)間因其特殊性廣泛應(yīng)用于電信、能源和金融領(lǐng)域，這些領(lǐng)域是支撐現(xiàn)代社會(huì)運(yùn)行的重要部門，具有重要的戰(zhàn)略意義[1-4]。美國(guó)國(guó)土安全部第21號(hào)總統(tǒng)政策指令確定的16個(gè)關(guān)鍵行業(yè)中，通信、移動(dòng)電話、電力分配、金融和信息技術(shù)等11個(gè)都依賴于精準(zhǔn)的授時(shí)與時(shí)間同步技術(shù)[5]?？梢?jiàn)授時(shí)體系對(duì)于國(guó)家經(jīng)濟(jì)命脈以及國(guó)土安全至關(guān)重要。也正是因?yàn)榇?，美?guó)繼1997年提出“導(dǎo)航戰(zhàn)”之后[6]，2017年美空軍提出“授時(shí)戰(zhàn)”概念[7]。仿照“導(dǎo)航戰(zhàn)”的定義，“授時(shí)戰(zhàn)”可以定義為阻止敵方使用衛(wèi)星授時(shí)信息，保證己方和友方可以有效利用衛(wèi)星授時(shí)信息，同時(shí)不影響戰(zhàn)區(qū)以外區(qū)域和平利用衛(wèi)星授時(shí)信息[7]。

考慮到時(shí)間的重要性及其在各行各業(yè)的廣泛應(yīng)用，歐盟已將Galileo授時(shí)與時(shí)間同步服務(wù)獨(dú)立為與定位同等重要的一項(xiàng)服務(wù)能力。歐盟最先開(kāi)展了授時(shí)完好性的相關(guān)研究，Galileo授時(shí)服務(wù)擴(kuò)展與整合（Galileo Timing Service Extension and Consolidation，EGALITE）項(xiàng)目[8]作為歐盟地平線2020計(jì)劃的一部分，致力于研究開(kāi)發(fā)基于Galileo的歐洲全球衛(wèi)星導(dǎo)航系統(tǒng)（European Global Navigation Satellite System，EGNSS）授時(shí)服務(wù)。

授時(shí)完好性與導(dǎo)航完好性概念不同，導(dǎo)航完好性與生命安全密切相關(guān)，完好性概念是成熟的，具有精確的定義且可用量化參數(shù)描述。而實(shí)際中GNSS（Global Navigation Satellite System）授時(shí)應(yīng)用領(lǐng)域與生命安全的相關(guān)性不及導(dǎo)航緊密。對(duì)于與生命安全不太相關(guān)及新興的應(yīng)用，只有完好性需求，尚無(wú)授時(shí)完好性定義和量化表達(dá)方法，需要研究“授時(shí)完好性”概念。

GNSS授時(shí)完好性是一個(gè)很寬泛的概念，不僅限于民用航空中的定義，還包括其他應(yīng)用中的安全工程、質(zhì)量保證與質(zhì)量控制的概念，安全性分析是實(shí)現(xiàn)GNSS授時(shí)完好性的第一步。本文介紹了EGALITE項(xiàng)目的主要研究成果，該項(xiàng)目設(shè)計(jì)了系統(tǒng)級(jí)安全架構(gòu)，展開(kāi)分析了影響GNSS授時(shí)安全性的因素。從安全的角度分析了全球衛(wèi)星導(dǎo)航系統(tǒng)提供授時(shí)服務(wù)的方法，分析了影響授時(shí)的各項(xiàng)風(fēng)險(xiǎn)及發(fā)生概率，研究了降低授時(shí)異常的消除機(jī)制，目的是基于安全架構(gòu)定義GNSS授時(shí)服務(wù)[9]。

1 基本假設(shè)與定義

歐盟提出的授時(shí)安全體系架構(gòu)要求GNSS定時(shí)接收機(jī)滿足如下假設(shè)條件：

① GNSS定時(shí)接收機(jī)連續(xù)運(yùn)行，輸出Galileo/GPS偽距，解析導(dǎo)航電文，輸出標(biāo)準(zhǔn)1 PPS定時(shí)信號(hào)，電離層延遲采用單頻模型或雙頻組合改正。

② 接收機(jī)可實(shí)時(shí)估計(jì)接收機(jī)鐘差，且調(diào)節(jié)內(nèi)部時(shí)鐘輸出至少1路秒脈沖信號(hào)，信號(hào)的上升沿與GNSST（GNSS time）或UTC（Coordinate Universal Time）對(duì)齊。

③ 接收機(jī)可輸出時(shí)標(biāo)信息，采用WN+TOW（week number + time of week）形式表示GNSST，或以YYYY/MM/DD-HH:MM:SS（年月日時(shí)分秒）表示的UTC。

④ 當(dāng)應(yīng)用于電信、電力和金融等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)時(shí)，要求GNSS定時(shí)接收機(jī)工作于靜態(tài)、開(kāi)闊環(huán)境中。

本文中GNSS指GPS和Galileo。對(duì)于GPS，GNSST指GPS系統(tǒng)時(shí)間GPST，GPS播發(fā)的UTC物理實(shí)現(xiàn)為UTC（USNO）。對(duì)于Galileo，GNSST指Galileo系統(tǒng)時(shí)間GST，Galileo播發(fā)的UTC物理實(shí)現(xiàn)為歐洲5個(gè)守時(shí)實(shí)驗(yàn)室保持的UTC()時(shí)間尺度的平均。接收機(jī)從GNSST中減去閏秒數(shù)，再加上GNSST與UTC（模1 s）之間的偏差預(yù)測(cè)值（UTC offset prediction，UTCOpre）就可以獲得UTC。

1.1 正常授時(shí)服務(wù)狀態(tài)的定義

考慮到用戶當(dāng)前及未來(lái)對(duì)時(shí)間精度的需求，定義了3個(gè)不同的服務(wù)等級(jí)（service level，SL）和相應(yīng)的最大容許誤差（maximum tolerable error，MTE），如表1所示。此處“誤差”是指通過(guò)接收GNSS信號(hào)獲得的時(shí)間與UTC之間的偏差。

表1 初步確定的最大容許誤差

1.2 異常授時(shí)服務(wù)狀態(tài)的定義

根據(jù)上述正常授時(shí)服務(wù)狀態(tài)的定義，從定時(shí)接收機(jī)的輸出來(lái)看，當(dāng)至少出現(xiàn)下列情況之一時(shí)可以認(rèn)為出現(xiàn)了授時(shí)異常：

① 定時(shí)接收機(jī)輸出的上升沿與GNSST或UTC對(duì)齊的1 PPS與參考（GNSST或UTC）1 PPS的偏差超過(guò)相應(yīng)服務(wù)等級(jí)定義的MTE值。

② 距1 PPS最近的整秒對(duì)應(yīng)的GNSST TOD（WN+TOW）錯(cuò)誤。

③ 距1 PPS最近的整秒對(duì)應(yīng)的UTC TOD（YYYY/MM/DD-HH:MM:SS）錯(cuò)誤，包括閏秒轉(zhuǎn)換錯(cuò)誤。

1.3 安全等級(jí)要求

文獻(xiàn)[10]給出了安全異常嚴(yán)重等級(jí)的定義和量化要求，示于表2。

表2 安全異常嚴(yán)重等級(jí)與量化要求[1]

考慮到時(shí)間應(yīng)用的關(guān)鍵基礎(chǔ)設(shè)施與生命安全相關(guān)性不大，將GNSS授時(shí)異常的安全等級(jí)定為“重要”。該等級(jí)要求目標(biāo)的最大異常概率低于10-5/h，大約相當(dāng)于每11.4年出現(xiàn)一次異常，其中“異常”含義為1.2節(jié)定義的授時(shí)異常。

2 GNSS授時(shí)安全性分析

在確定授時(shí)安全性等級(jí)后，GNSS授時(shí)安全性分析的第一步為分析滿足各服務(wù)等級(jí)MTE值前提下EGNSS授時(shí)的“固有”異常概率，“固有”異常概率的含義為對(duì)預(yù)定義的MTE值無(wú)任何完好性保障或異常消除措施下的異常發(fā)生概率。

當(dāng)“固有”異常概率不超過(guò)10-5/h時(shí)，衛(wèi)星導(dǎo)航系統(tǒng)授時(shí)是安全的，不需要采取任何措施。當(dāng)“固有”異常概率大于10-5/h，為降低異常概率，需要采取消除措施。最簡(jiǎn)單的方法是排除故障衛(wèi)星，可以通過(guò)在接收機(jī)端采用時(shí)間完好性監(jiān)測(cè)算法（time receiver autonomous integrity monitoring，TRAIM），同時(shí)結(jié)合外部監(jiān)測(cè)系統(tǒng)提供的附加信息來(lái)實(shí)現(xiàn)。若采取上述措施后，異常概率仍大于10-5/h，還需要考慮其他消除措施。

根據(jù)GNSS授時(shí)的過(guò)程，授時(shí)異常來(lái)源于兩方面，一方面異常來(lái)源于接收機(jī)鐘差（接收機(jī)時(shí)間與GNSS系統(tǒng)時(shí)間的偏差）。GNSS授時(shí)較為特殊，大多數(shù)定時(shí)接收機(jī)采用位置保持模式，只需一顆衛(wèi)星就可以確定接收機(jī)鐘差。另一方面異常來(lái)源于GNSS時(shí)間到UTC的轉(zhuǎn)換，GNSS TOD到UTC TOD的轉(zhuǎn)換及閏秒。

2.1 授時(shí)安全風(fēng)險(xiǎn)分析

為了識(shí)別影響授時(shí)的所有相關(guān)風(fēng)險(xiǎn)及其發(fā)生概率，開(kāi)展了風(fēng)險(xiǎn)分析，基于各項(xiàng)異常風(fēng)險(xiǎn)確定衛(wèi)星導(dǎo)航系統(tǒng)的“固有”異常概率。

2.1.1 確定風(fēng)險(xiǎn)發(fā)生概率的方法

在風(fēng)險(xiǎn)分析中，必須確定各服務(wù)等級(jí)下每種風(fēng)險(xiǎn)的發(fā)生概率[11-12]。文獻(xiàn)中的大多數(shù)風(fēng)險(xiǎn)可通過(guò)引入誤差概率密度函數(shù)來(lái)描述：

① 不可能發(fā)生的授時(shí)異常：有些風(fēng)險(xiǎn)不可能發(fā)生，因此不可能引起授時(shí)異常。例如，無(wú)論是否修正電離層延遲，其引起的誤差都不會(huì)導(dǎo)致SL1（MTE = 1 000 ns）出現(xiàn)授時(shí)異常。因此，實(shí)際中只考慮可能會(huì)導(dǎo)致各服務(wù)等級(jí)出現(xiàn)授時(shí)異常的風(fēng)險(xiǎn)。

② 從未發(fā)生過(guò)的授時(shí)異常：對(duì)于從未發(fā)生過(guò)的授時(shí)異常，采用風(fēng)險(xiǎn)水平為10-5的卡方分布檢驗(yàn)確定其發(fā)生概率。

估計(jì)時(shí)段從2000年5月（選擇可用性（selective availability，SA）結(jié)束）到現(xiàn)在，當(dāng)檢驗(yàn)時(shí)段內(nèi)無(wú)異常發(fā)生時(shí)，采用下式約束單側(cè)異常概率，基于公式（2）估計(jì)的最終異常概率為6.91×10-5。

③ 只發(fā)生過(guò)一次的授時(shí)異常：相同的方法也適用于授時(shí)異常只出現(xiàn)一次的情況，風(fēng)險(xiǎn)水平為10-5時(shí)對(duì)應(yīng)的異常概率為8.55×10-5。對(duì)于一段時(shí)間內(nèi)的檢驗(yàn)，采用單側(cè)置信水平下尾部確定異常概率：

2.1.2 確定異常概率的假設(shè)條件

此外，對(duì)所有服務(wù)等級(jí)均假設(shè)：

① 接收機(jī)放置于開(kāi)闊環(huán)境中。

② 位置已知時(shí)，偽距誤差即授時(shí)誤差。

③ 位置未知時(shí)，需要考慮時(shí)間精度因子（time dilution of precision，TDOP）的影響。

根據(jù)文獻(xiàn)[13]TDOP最大值為5，而Galileo系統(tǒng)最壞情況下的位置精度因子（position dilution precision，PDOP）值僅為5?？紤]到TDOP≤PDOP，TDOP值取5是較為保守的。因此位置未知時(shí)，約束用戶端不能使用DOP值大于4.5的解。

④ 當(dāng)風(fēng)險(xiǎn)引起的誤差至少低于服務(wù)等級(jí)MTE誤差一個(gè)數(shù)量級(jí)時(shí)，對(duì)該服務(wù)等級(jí)認(rèn)為此時(shí)風(fēng)險(xiǎn)是不可能發(fā)生事件，不考慮該風(fēng)險(xiǎn)。

⑤ 當(dāng)不約束風(fēng)險(xiǎn)引起的誤差時(shí)，該風(fēng)險(xiǎn)將以相同的概率影響各個(gè)服務(wù)等級(jí)。

⑥ 硬件、電離層、衛(wèi)星鐘差和位置誤差的異常概率后面討論。

⑦ 用戶最終應(yīng)使用MOPS對(duì)流層模型，此時(shí)對(duì)流層殘差可用標(biāo)準(zhǔn)方差為0.46 m的高斯分布描述。因此對(duì)流層延遲誤差不可能引起各服務(wù)等級(jí)授時(shí)異常。

⑧ 定時(shí)接收機(jī)排除載噪比（C/N0）低于30 dBHz的衛(wèi)星，消除性能下降的等效全向輻射功率對(duì)定時(shí)的影響。

⑨ 為保證定時(shí)的可靠性，要求定時(shí)接收機(jī)對(duì)應(yīng)各服務(wù)等級(jí)的異常概率低于10-6/h。

2.1.3 硬件異常要求與概率

硬件異常定義為正常情況下偽距計(jì)算中出現(xiàn)的額外誤差。額外是指此類事件會(huì)直接引起或與其他風(fēng)險(xiǎn)共同引起安全異常。需要根據(jù)服務(wù)等級(jí)確定相對(duì)于正常情況下的最大偏差。對(duì)于所有服務(wù)等級(jí)，接收機(jī)硬件的異常概率均為10-6/h?？山邮艿挠布畲笳`差與服務(wù)等級(jí)有關(guān)，每個(gè)等級(jí)對(duì)應(yīng)的正常情況下的最大偽距誤差為：SL1：100 ns；SL2：10 ns；SL3：3 ns。

10-6/h的硬件異常概率是符合目標(biāo)最高安全概率的相對(duì)保守的先驗(yàn)要求。授時(shí)完好性監(jiān)測(cè)站（timing integrity monitoring stations，TIMS）是確保符合目標(biāo)的最高安全要求，計(jì)算的最大概率主要由硬件異常概率引起。用戶要選擇和維護(hù)其硬件符合適于其應(yīng)用的異常率，或在不超出最高安全要求的情況下適當(dāng)放寬對(duì)硬件的要求。

對(duì)于SL3，硬件異常概率與3 ns相關(guān)，要求定期校準(zhǔn)接收終端。考慮到優(yōu)于3 ns的校準(zhǔn)精度較難實(shí)現(xiàn)，將SL3最大偽距誤差放寬至5 ns。

2.1.4 最大誤差預(yù)算

影響每個(gè)服務(wù)等級(jí)的主要誤差項(xiàng)是不同的，表3給出了接收機(jī)位置已知和未知情況下，不同服務(wù)等級(jí)對(duì)應(yīng)的硬件、電離層、星鐘和衛(wèi)星位置誤差的最大預(yù)算值。

表3 連續(xù)存在風(fēng)險(xiǎn)的安全誤差預(yù)算 單位：ns

2.1.5 星鐘與衛(wèi)星位置誤差

對(duì)應(yīng)每個(gè)服務(wù)等級(jí)，使用空中信號(hào)測(cè)距誤差（signal in space range error，SISRE）參數(shù)描述星鐘與衛(wèi)星位置誤差的異常概率，Galileo SISRE服從均值為-0.14 m、標(biāo)準(zhǔn)方差為1.06 m的正態(tài)分布，GPS SISRE服從均值為-0.02 m、標(biāo)準(zhǔn)方差為0.778 m的正態(tài)分布[14]。為簡(jiǎn)化問(wèn)題，以Galileo SISRE的概率分布確定星鐘與衛(wèi)星位置誤差的邊界。表4為位置已知和未知下各服務(wù)等級(jí)的星鐘與衛(wèi)星位置誤差的異常概率。

表4 星鐘與衛(wèi)星位置誤差的異常概率（每顆星每小時(shí)）

根據(jù)表中結(jié)果，可以得出以下結(jié)論：

① SL1位置已知和未知時(shí)，星鐘和衛(wèi)星位置誤差的異常概率為2.85×10-13/（h·sat），遠(yuǎn)遠(yuǎn)低于10-6/h，此時(shí)星鐘和衛(wèi)星位置誤差是不可能發(fā)生的。

② SL3位置未知時(shí)星鐘和衛(wèi)星位置誤差的異常概率值很大，即使位置已知也很難滿足安全性要求。為保障安全運(yùn)行，在單星異常率為1.73×10-2/（h·sat）時(shí)，組合使用TIMS授時(shí)完好性標(biāo)識(shí)和TRAIM算法需要排除至少3顆異常衛(wèi)星。

2.1.6 衛(wèi)星異常概率到授時(shí)異常概率的轉(zhuǎn)換

根據(jù)上述分析的各項(xiàng)風(fēng)險(xiǎn)概率可以計(jì)算授時(shí)異常概率，將衛(wèi)星異常概率轉(zhuǎn)換為授時(shí)異常概率。基于以下假設(shè)：

① 風(fēng)險(xiǎn)發(fā)生的概率是不相關(guān)的；

② 不同衛(wèi)星發(fā)生風(fēng)險(xiǎn)的概率是不相關(guān)的；

③ 基于偽距和導(dǎo)航電文采用PVT算法（無(wú)論是位置已知還是位置未知模式）確定授時(shí)解。對(duì)于GPS/Galileo組合定位，將Galileo、GPS系統(tǒng)時(shí)間偏差（Galileo GPS time offset，GGTO）作為一個(gè)未知數(shù)與PVT同時(shí)估計(jì)。

2.1.7 使用EGNOS電離層信息的異常概率

EGNSS授時(shí)系統(tǒng)可能使用EGNOS格網(wǎng)電離層信息改正電離層延遲，表5給出了各服務(wù)等級(jí)下是否使用EGNOS格網(wǎng)電離層垂直誤差（grid ionospheric vertical error，GIVE）信息的情況。

表5 各服務(wù)等級(jí)的EGNOS使用情況

表6總結(jié)了參考值為200 TECU（total electron content unit）和實(shí)際值為20 TECU時(shí)SL1和SL2在位置已知和未知下的異常概率[15]。典型垂直總電子含量（vertical total electron content，VTEC）值在地方時(shí)夜晚的幾個(gè)TECU到白天的幾十個(gè)TECU之間變化，電離層活躍劇烈時(shí)VTEC值可達(dá)200 TECU。

表6 電離層異常概率

表6中結(jié)果說(shuō)明：

① 安全運(yùn)行取決于電離層實(shí)際情況。在無(wú)增強(qiáng)系統(tǒng)的情況下，電離層的實(shí)際情況可以滿足SL1和SL2的安全性要求。

② 使用NeQuick模型改正電離層延遲可以實(shí)現(xiàn)嚴(yán)格的安全評(píng)估，必須提供一個(gè)數(shù)學(xué)誤差邊界。

③ SL2位置未知情況下要求用戶使用EGNOS格網(wǎng)信息或雙頻組合改正電離層延遲。

④ SL3僅限位置已知，要求必須采用雙頻組合改正電離層延遲。

2.2 風(fēng)險(xiǎn)分析結(jié)論

基于上述風(fēng)險(xiǎn)事件的分析，GNSS授時(shí)異常風(fēng)險(xiǎn)主要來(lái)自兩方面，一方面為PVT解算接收機(jī)鐘差和GNSST及GNSST TOD的計(jì)算。另一方面為根據(jù)GNSST計(jì)算UTC，包括GNSST與UTC之間的偏差及UTC TOD。此外，接收機(jī)終端也會(huì)引入授時(shí)風(fēng)險(xiǎn)，如接收機(jī)未校準(zhǔn)。表7總結(jié)給出了授時(shí)相關(guān)的風(fēng)險(xiǎn)及屬性。

表7 衛(wèi)星導(dǎo)航系統(tǒng)授時(shí)相關(guān)的風(fēng)險(xiǎn)

續(xù)表7

綜合考慮表7中的各項(xiàng)風(fēng)險(xiǎn)，表8給出了故障樹(shù)分析得到的各服務(wù)等級(jí)的異常概率。1.3節(jié)中要求授時(shí)的異常概率不超過(guò)10-5/h，由表8的結(jié)果可以看出衛(wèi)星導(dǎo)航系統(tǒng)的“固有”異常概率大于要求值。若不采取異常消除措施，無(wú)法滿足衛(wèi)星導(dǎo)航系統(tǒng)各服務(wù)等級(jí)的要求。

表8 授時(shí)異常概率總結(jié)

3 Galileo授時(shí)服務(wù)的安全性體系架構(gòu)

考慮到衛(wèi)星導(dǎo)航系統(tǒng)“固有”授時(shí)異常概率不能滿足安全性等級(jí)的要求，需要采取授時(shí)異常的消除措施，設(shè)計(jì)了安全體系架構(gòu)，圖1所示為系統(tǒng)級(jí)EGNSS授時(shí)安全性架構(gòu)。

圖1 EGNSS授時(shí)安全性架構(gòu)

用戶接收Galileo標(biāo)準(zhǔn)服務(wù)信號(hào)，獲得偽距觀測(cè)值和導(dǎo)航電文，同時(shí)接收Galileo空中信號(hào)獲得GNSS授時(shí)增強(qiáng)信號(hào)。每顆Galileo衛(wèi)星發(fā)播全星座衛(wèi)星的授時(shí)增強(qiáng)標(biāo)識(shí)信息。授時(shí)增強(qiáng)標(biāo)識(shí)信息基于全球分布的TIMS觀測(cè)數(shù)據(jù)確定。部分TIMS可接入外部UTC() 參考1 PPS和10 MHz信號(hào)，至少有3個(gè)TIMS位于UTC() 守時(shí)實(shí)驗(yàn)室，以UTC() 為真值實(shí)現(xiàn)GNSS授時(shí)的冗余比較。TIMS產(chǎn)生的原始數(shù)據(jù)（偽距和導(dǎo)航電文）實(shí)時(shí)發(fā)送到Galileo服務(wù)中心，通過(guò)對(duì)原始數(shù)據(jù)進(jìn)行處理生成Galileo（GPS）授時(shí)增強(qiáng)標(biāo)識(shí)，發(fā)送至Galileo控制中心，上行至衛(wèi)星。Galileo（GPS）授時(shí)增強(qiáng)標(biāo)識(shí)由Galileo衛(wèi)星廣播。

用戶接收Galileo空中信號(hào)和Galileo授時(shí)增強(qiáng)標(biāo)識(shí)，結(jié)合TRAIM算法和授時(shí)增強(qiáng)標(biāo)識(shí)解算確定接收機(jī)鐘差。一般地，接收機(jī)采用TRAIM算法可以排除大部分衛(wèi)星異常，但仍然還需使用TIMS授時(shí)增強(qiáng)標(biāo)識(shí)。根據(jù)TIMS標(biāo)識(shí)，事先排除已知故障衛(wèi)星，TRAIM算法可以有效檢測(cè)本地異常。TRAIM無(wú)法檢測(cè)星座共同偏差，尤其在接收機(jī)未經(jīng)過(guò)校準(zhǔn)時(shí)，TIMS可以檢測(cè)星座共同偏差，例如廣播群延遲中的出現(xiàn)共同偏差。TRAIM算法相對(duì)復(fù)雜，不一定所有的接收機(jī)都集成了該算法，接收機(jī)終端使用TIMS標(biāo)識(shí)排除異常衛(wèi)星較易實(shí)現(xiàn)。

在延遲改正算法方面，建議采用EGNOS電離層模型（對(duì)位置未知的SL2用戶是最低要求）和NeQuick電離層模型（位置已知SL1、SL2用戶）。推薦用戶使用EGNOS對(duì)流層算法改正對(duì)流層延遲。推薦將GNSS授時(shí)信息與NTP進(jìn)行互檢。通過(guò)互聯(lián)網(wǎng)使用網(wǎng)絡(luò)時(shí)間協(xié)議（Network Time Protocol，NTP）將GNSS授時(shí)信息與一臺(tái)或多臺(tái)NTP服務(wù)器連接，可以在幾十毫秒量級(jí)驗(yàn)證GNSS授時(shí)信號(hào)的有效性，尤其是在整數(shù)秒量級(jí)驗(yàn)證UTC TOD的有效性。此外，需要對(duì)定時(shí)接收機(jī)進(jìn)行校準(zhǔn)，或溯源至UTC()守時(shí)實(shí)驗(yàn)室。為實(shí)現(xiàn)連續(xù)監(jiān)測(cè)，每個(gè)TIMS至少可視一顆Galileo（GPS）衛(wèi)星。

4 用戶端采取魯棒措施

在Galileo衛(wèi)星導(dǎo)航電文中采用2 bit發(fā)播授時(shí)增強(qiáng)標(biāo)識(shí)，對(duì)應(yīng)當(dāng)前Galileo衛(wèi)星各服務(wù)等級(jí)的“使用/不使用”標(biāo)志。此外，建議播發(fā)VTEC標(biāo)識(shí)，覆蓋3個(gè)經(jīng)度帶和4個(gè)緯度帶，表示最大VTEC值是否超過(guò)TIMS監(jiān)測(cè)數(shù)據(jù)的最大閾值。若不使用EGNOS模型改正電離層延遲，單頻接收機(jī)將無(wú)法提供SL2服務(wù)。對(duì)于位置已知要提供SL2服務(wù)的無(wú)EGNOS電離層改正能力的單頻用戶，建議用戶解析電文中的VTEC值，該值反映了最近幾分鐘內(nèi)TIMS監(jiān)測(cè)的全球電離層狀態(tài)。若VTEC最大值標(biāo)識(shí)表明有異常的電離層活動(dòng)，建議用戶切換到自主維持狀態(tài)。

告警時(shí)間（time to alert，TTA）是衡量完好性的一項(xiàng)重要參數(shù)，目前尚未根據(jù)用戶需求定義告警時(shí)間，需結(jié)合授時(shí)應(yīng)用場(chǎng)景進(jìn)一步研究。一般地授時(shí)應(yīng)用領(lǐng)域無(wú)關(guān)生命安全，TTA不是授時(shí)的關(guān)鍵因素，一般授時(shí)應(yīng)用中TTA值大約為幾十分鐘。用戶端采取TRAIM算法，結(jié)合Galileo導(dǎo)航電文正常更新的授時(shí)增強(qiáng)標(biāo)識(shí)即可滿足用戶要求，在幾秒內(nèi)實(shí)現(xiàn)告警的需求不大。表9給出了用戶接收終端需要采取的魯棒措施。

表9 EGNSS授時(shí)接收機(jī)端魯棒措施

5 結(jié)語(yǔ)

基于設(shè)計(jì)的安全性架構(gòu)，用戶端采取異常消除措施后，EGNSS授時(shí)各服務(wù)等級(jí)的異常概率為SL1位置已知1.01×10-6；SL2位置已知1.03×10-6，位置未知1.05×10-6；SL3位置已知2.23×10-6，基本滿足授時(shí)的安全性等級(jí)要求。

我國(guó)的北斗衛(wèi)星導(dǎo)航系統(tǒng)星座剛剛部署完成，國(guó)內(nèi)在授時(shí)與時(shí)間同步方面的研究主要圍繞性能的提升與改善。對(duì)授時(shí)與時(shí)間同步的完好性、魯棒性方面的關(guān)注度不夠。目前，衛(wèi)星導(dǎo)航系統(tǒng)提供的授時(shí)服務(wù)在精度方面可以滿足絕大多數(shù)用戶的需求，越來(lái)越多的用戶提出完好性要求，要求提高授時(shí)服務(wù)的可靠性與魯棒性。本文內(nèi)容可為開(kāi)展授時(shí)完好性相關(guān)的研究提供思路，為應(yīng)對(duì)“授時(shí)戰(zhàn)”提供一種可能的途徑。

[1] YULLIS P. The world economy runs on GPS. It needs a backup plan[J/OL]. Bloomberg Businessweek. (2018-07-25)[2020-11-16]. https://www.bloomberg.com/news/features/2018-07-25/the world economy runs it needs a backup plan.

[2] LESLIE M. What if the global positioning system didn’t work?[J]. Engineering, 2019, 5(6): 985-986.

[3] BANERJEE P. Timing in GNSS-its importance and challenges[C]//2015 International Conference on Microwave & Photonics, India: IEEE, 2015.

[4] O’CONNOR A C, GALLAHER M P, CLARK-SUTTON K, et al. Economic Benefits of the Global Positioning System (GPS)[K]. North Carolina: RTI International, 2019.

[5] The White House Office of the Press Secretary. Presidential policy directive 21/PPD-21[EB/OL]. (2013-02-12)[2020-11-02]. http://www.whitehouse.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil.

[6] CRAIG COVAULT. Navigation warfare[EB/OL]. (2010-11-01)[2020-11-02]. https://www.defensemedianetwork.com/stories/navi-gation-warfare/.

[7] 葛悅濤, 薛連莉. 美國(guó)導(dǎo)航戰(zhàn)與授時(shí)戰(zhàn)劣勢(shì)分析[J]. 飛航導(dǎo)彈, 2020(6): 6-11.

[8] FIDALGO J, PíRIZ R, CEZóN A, et al. Proposal for the definition of a Galileo timing service[C]//32nd International Technical Meeting of the Satellite Division of the Institute of Navigation (ION GNSS+ 2019), Miami: Institute of Navigation, 2019.

[9] PíRIZ R, BUENDíA F, MARTíN J R, et al. Safety analysis for a new GNSS timing service via Galileo[C]//32nd International Technical Meeting of the Satellite Division of the Institute of Navigation (ION GNSS+ 2019), Miami: Institute of Navigation, 2019.

[10] BLANQUART J P, BIEBER P, DESCARGUES G, et al. Similarities and dissimilarities between safety levels and security levels[C]//Embedded Real Time Software and Systems, ERTS 2012 Toulouse: [s.n.], 2012.

[11] HENG L, GAO G X, WALTER T, et al. GPS signal-in-space anomalies in the last decade: data mining of 400 000 000 GPS Navigation Messages[C]//Proceedings of the 2010 International Technical Meeting of The Institute of Navigation (ION GNSS+ 2010), Portland: Institute of Navigation, 2010.

[12] DYKE V, KOVACH K, LAVRAKAS J. Status update on GPS integrity failure modes and effects analysis[C]//Proceedings of the 2004 International Technical Meeting of The Institute of Navigation (ION GNSS+ 2014), San Diego: Institute of Navigation, 2004.

[13] REID T, NEISH A M, WALTER T, et al. Broadband LEO constellations for navigation[J]. Navigation, 2018, 65(2): 205-220.

[14] PEREA S, MEURER M, RIPPL M, et al. URA/SISA analysis for GPS and Galileo to support ARAIM[J]. Navigation, 2017, 64(2): 237-254.

[15] TEUNISSEN P J G, MONTENBRUCK O. Springer Handbook of Global Navigation Systems[M]. [S.l]: Springer International Publishing, 2017.

[16] TANG H, PULLEN S, ENGE P, et al. Ephemeris type a fault analysis and mitigation for LAAS[C]//Position Location & Navigation Symposium, Indian Wells: IEEE, 2010.

[17] RTCA INC. Minimum Operational Performance Standards for Global Positioning System/Wide Area Augmentation System Airborne Equipment. DO-229D[R]. Radio Technical Commission for Aeronautics (RTCA), Washington D C, 2006.

Review of safety analysis of EGNSS time service

XU Long-xia1,2, REN Ye1,2, HE Lei1,2, LI Xiao-hui1,2,3

(1. National Time Service Center, Chinese Academy of Sciences, Xi’an 710600, China;2. Key Laboratory of Precise Positioning and Timing Technology, Chinese Academy of Sciences, Xi’an 710600, China;3. University of Chinese Academy of Sciences, Beijing 100049, China)

Time is widely used in various aspects of life. Time service and time synchronization technology based on navigation satellites are the important ways to access time. Considering the importance of time and the inherent vulnerability of satellite navigation system, the safety of time service becomes the main focus. At present, there are fewer studies on the concept and architecture about the safety of time service. This paper introduces the preliminary research results of Galileo timing service extension and consolidation project on safety of time service in European. Firstly, the time service provided by satellite navigation system is defined as three levels according to the user’s requirement for time accuracy, then the safety requirements of time service are determined. And the inherent hazard probability of each level is analyzed while considered the factors that affect time service. Finally, the safety architecture is designed to eliminate failures. The research ideas and preliminary results can provide valuable reference for the definition and design of BDS timing safety.

Galileo; time service; safety; probability of failure; hazard

10.13875/j.issn.1674-0637.2021-02-0102-11

許龍霞，任燁，何雷, 等. EGNSS授時(shí)服務(wù)安全性發(fā)展綜述[J]. 時(shí)間頻率學(xué)報(bào), 2021, 44(2): 102-112.

2020-11-17；

2020-12-05

國(guó)家自然科學(xué)基金面上資助項(xiàng)目（12073033）；中國(guó)科學(xué)院青年創(chuàng)新促進(jìn)會(huì)資助項(xiàng)目（1188000XLX）；中國(guó)科學(xué)院“西部之光”人才培養(yǎng)計(jì)劃西部青年學(xué)者資助項(xiàng)目（XAB2020YN07）