浅析eVTOL的飞控

01  eVTOL飞控身上的四座大山

 

潜在市场对eVTOL高安全、大规模、高度自动化运行的需求,加上适航规章这一安全性最低标准,使得飞控系统成为eVTOL落地的关键挑战之一,笔者将eVTOL飞控的核心难点总结为四座大山:

 

安全性、成本、重量、复杂度构成的不可能金字塔,任何涉及这几项性能的系统均需要权衡

 

高安全性:航空业对安全性的极致追求,使得航线客运成为单位里程事故率最低的交通工具,尽管如此,空难对公众心理的冲击仍是巨大的,可想而知,公众对城市上空运行的eVTOL事故率的要求会更高。

我们也了解现阶段普遍运行的支线和干线飞机,在良好维护和准确操作的情况下,飞控系统功能失效率远低于适航规章要求。这得益于现代航空工业总结出的一系列标准、指南和最佳实践(例如ARP4754及相关指南),指导高可靠性飞控及其他机载系统的研制和验证,即从技术上和工程实践上,该要求都是合理且可以满足的。

 

值得注意的是,与设想中的UAM运行场景较为接近的135部按需(On-demand)运行,尽管所用飞行器的设计安全性达到适航审定标准,但由于运行场景环境复杂,通航公司管理和飞行员、机务水平参差不齐,导致事故率仍然较高(对比Part 121客运的低于0.1/百万飞行小时)。下图为美国交通部统计的本国135部按需运行逐年事故率,这种事故率对于大规模UAM运行可能是公众无法接受的。

 

美国交通部135部按需运行事故率统计数据

 

根据不同的统计数据,飞行事故仅有约10-20%是由飞行器自身功能失效引起的(对照上图数据,由飞行器自身功能失效引起的灾难性事故率约0.2-1.2/百万飞行小时),而大部分事故是由于飞行员操作失误。

 

波音统计的事故原因数据

 

如果按照简化飞行(和维护)操作(SVO)的理念,飞行员在非极端情况下无需负责基础飞行操作(如姿态稳定、高度保持等),以及加入了包线保护、障碍物预警(或自动规避)、气象预警(或自动航线规划)、自动故障预测诊断和隔离重构等功能之后,事故率有望显著降低。

 

轻量化:所需的安全性在技术上和工程上都是可实现的,但对于eVTOL的特殊需求,会出现新的问题。我们希望eVTOL可以在2030年前实现成规模、可盈利的商业运营,但却无法寄希望于电池性能在此之前突飞猛进,从而达到现有直升机的载荷系数,以至于在可预见的将来,eVTOL都要极致减重,才可能具备实用的载荷能力。这种情况下,民航飞机上ARINC600机箱内,动辄单台重量十几公斤的计算机,是eVTOL所无法承受的。

 

下图是较早期Joby公布的 S4机型重量占比,我们可以看到电池和推进系统重量占比达到54%,为了承载飞行员和4名乘客,必须将结构、飞控、仪表、导航、防火等系统总重量压缩至25%(约550kg),这种情况下,飞控和航电设备总重量要低于100kg

 

Joby公布的重量占比数据

 

我们无从得知Joby S4原型机的重量配比是否依然如此,更无法预测未来取得型号许可证的原型机版本的飞控系统重量会是多少,但极致的轻量化设计是eVTOL机型必须要考虑的。

 

霍尼韦尔用于eVTOL的电传飞控模块

霍尼韦尔等传统厂商也依托技术积累,进行了将电传飞控计算机、雷达等设备轻量化的尝试。事实上,仅依靠设备的轻量化是远不足以满足成熟阶段eVTOL(多种多样机型对于机载系统架构灵活性)的要求,而是需要从系统架构到设备功能均进行独特设计。

例如,对于飞控等机载电子设备,在满足系统安全性、环境适应性的前提下,需要通过提高集成度降低计算机等设备数量和重量,通过总线技术降低线缆数量和重量,通过电力电子技术减少继电器、保险丝的重量等。

 

高复杂度:无论是提高飞控等系统的集成度,还是简化飞行(和维护)操作,所带来的都是系统或设备复杂度的显著提升。

  

早期独立式或联合式的机载电子系统架构中,一台设备仅有一项或几项功能,各功能的失效具有较好的独立性,而对于综合模块化航电设备,单个设备可能承载多个功能,这时不同功能的失效之间可能产生密切关联,这种情况下对功能、设备进行设计和验证的符合性方法,在DO-297等指南中有所阐述。(其基本思想包括:资源共享、鲁棒分区、应用程序接口和健康管理,并以ARINC 653标准为例进行介绍)。尽管DO-297等指南提供了综合模块化航电系统的设计核符合性验证方法,但并不能降低系统的复杂度,相反,为了保证足够的安全性,反倒提升了操作系统复杂度。

 

研究过程中,我们注意到:ARINC 653标准本质上是在单核或较少内核处理器的前提下采用了时间分区和空间分区,随着微处理器的多核趋势逐步明显,(英飞凌TC397TI TDA4等)6核以上的处理器开始出现,则可以考虑以不同的内核天然的物理隔离代替时间分区,即原来运行在不同分区的驻留应用,现在可以运行在不同内核上实现隔离(时间分区带来的延迟也得以消除),空间分区则继续以硬件hypervisor作为载体,此举有望降低分区操作系统的复杂度。

 

NASA简化飞行操作等级

 

 

简化飞行操作与当前操作对比,从理念上便具有重大差别,在系统设计中也将产生深远影响 

简化飞行(和维护)操作的设计理念所带来的复杂度提升则更明显。例如,在传统飞控系统设计过程中,很多失效条件下会以飞行员作为兜底的“备份系统”,而且(除了事无巨细的防止误操作的设计和措施以外)认为飞行员总能做出正确决定,这也是波音737 MAX悲剧的重要原因(当值飞行员并不知道飞机搭载了MCAS系统,因此很难在第一时间做出关闭俯仰配平的决定);而在设想的不同等级的简化飞行操作中,需要飞行员操作或兜底的项目随等级提升而大幅降低,而这些项目相关的控制律,故障诊断、隔离、恢复策略软硬件安全性就需要靠设计来保证。相对于有飞行员兜底的情形,每个等级简化飞行操作所带来的逻辑判断和决策分支都将会有数量级的提升。 

逻辑分支的数量级提升,带来的是验证工作量的指数级提升,尽管有数据表明,优秀的工具链配合书写规范全面的需求,可以实现超过85%用例的自动化测试,但无法自动完成的部分,手写测试用例的难度往往更大,尤其是数量级足够大时,所带来的难度和成本都是笔者无法估计的。 

除了简化飞行操纵,设想中的简化维护操作也将大幅度降低维护成本,并有效降低维护不利造成的事故率。但随之而来的同样是自动化维护所需增加的电路、传感器、设备、软件逻辑、故障预测方法、数字孪生模型等,以及这些新增部分的安全性设计、验证工作。

  

低成本:前述三座大山所需的新技术研发、新标准制定、复杂度提升、新软硬件开发等过程,所带来的都将是海量的研发成本,而低成本化和eVTOL机队规模提升又是相辅相成的过程。行业要做的是推进和把握市场成熟的节奏,以较快的速度将低成本化和机队规模提升二者形成一定时期的正反馈。

 

参考近年来汽车工业及其智能化的发展过程,我们也许能看到其用销量均摊成本、依靠专业的零部件供应商、制定全球通用的软件标准等趋势。但这些都是eVTOL行业的终极目标,短期内仍与汽车工业无法对比,eVTOL行业的现状是:无论是主机厂还是供应商,都无法准确预测市场发展节奏,也无法给出细化到设备级的详细需求,现在能做的只有主机厂和供应商应一起合作进步,随市场发展而发展。

 

02  eVTOL飞控系统的组成

 

飞控系统是较为复杂的机载系统,涉及机电设备、电子软硬件、算法等多个大方向,不同的语境中,飞控在不同的语境中,可能指的是不同的部分。下图为典型飞控系统研制过程可能包含的项目,图中的不同颜色展示了不同角色之间可能的分工。 

  

实际上,考虑到飞控系统的安全性需求,各项目的研制保证和验证工作大多门槛较高,因此不同的机型,不同的合作模式下,下图会有多种变化,例如AFDX总线就是波音和空客联合主导开发,技术实力强的主机厂也会深度参与飞控应用软件和硬件的开发工作;相反的,小厂商可能将控制律设计也外包进行。

  

下图为空客A350机型飞控系统示意图,其中: 

1、主飞控计算机(PRIM)、次级飞控计算机(SEC)和备份控制模块对应上图中的计算机、控制器部分。在空客A350机型中,安装三台相同的主飞控计算机,但每台计算机内部设计有非相似的指令通道和监控通道,二者使用不同的硬件运行功能相同,但独立开发的软件;当三台主飞控计算机均失效时,次级飞控计算机输出舵面指令,但次级飞控计算机上只运行直接控制律相关软件,不具有包线保护、自动油门等高级功能;当次级飞控计算机也全部失效后,启用备份控制模块,其中运行的程序仅能控制部分重要气动舵。 

2、侧杆、手柄、手轮、脚蹬、面板,以及舵面作动器对应传感器、执行器部分。该部分涉及多种与飞控功能密切相关的传感器、操纵机构、机电系统,且导航、大气数据等传感器未在图中展示。  

3、线缆(图中箭头)、数据连接器(FCDC)对应上图中的通信总线部。  

4、中央显示系统(CDS)、告警系统(FWS)和中央维护系统(CMS)虽然与飞控系统紧密相关,但通常不作为飞控系统的组成部分。

   

 

A350飞控系统简图 

 

中短期(实现无需机上驾驶员的全自主飞行之前)内,eVTOL的飞控系统与民机将采用相似的设计思路(如下图所示)。但由于极致轻量化的需求,硬件设备及拓扑结构将会有明显不同。例如:

  

1、根据不同的操纵逻辑设计,eVTOL操纵可能不需要脚蹬(例如Joby),操纵面板可能用触摸屏代替(例如亿航); 

2、根据运行风险不同,飞控计算机可能从单余度到非相似多余度,可以固定翼模式水平着陆的机型,可能包含运行直接控制律的应急飞控计算机; 

3、由于eVTOL机身较小,远程数据集中器的使用可能减少或不使用; 

4、飞控计算机将集成更多的功能,如飞行管理、健康管理等。

  

 

eVTOL飞控的可能形式,其中虚线指根据机型不同,该项可能存在,也可能不存在

  

下图为Joby飞控系统的一种可能实现方式(来源于专利文档),其巧妙之处在于采用POE以太网交换机,将供电和通信网络合二为一,所有飞控计算机和其他设备均挂在该总线上,并可能将安全关键部分和其他部分隔离的方式在物理上实现安全分区,尽管当前看不到该架构在安全性指标,但这不失为通过优化拓扑结构降低系统重量的可能途径。

  

 

Joby飞控系统的一种方案变体

  

03  飞控系统研制所需资源

 

前面一直在说飞控系统非常复杂(大家都知道的事情,等于没说),下面通过一些数据稍微直观地感受一下飞控系统的工程量。

  

200人,5

 

这是马可尼(后并入BAE)公司完成波音777电传飞控系统开发的工程量,笔者无法查到马可尼公司在总开发工作量中的占比,暂时认为其承担了其中的绝大部分,我们回顾一下ARP4754中的开发流程示意图,通常只有设备(LRU)内部的机电、软硬件研制才定义为开发(Development),整机级、系统级,乃至设备(LRU)的需求及安全性研制,均称为设计(Design)。

 

  

 

V字型流程中,通常仅有底部的软硬件详细设计阶段成为“开发”

  

在如下图所示的波音777电传飞控系统及支持系统框图中,开发工作可能包括:

  

13*3余度主飞控计算机(PFCS)软硬件开发 

2、作动器控制单元(ACE 

3、功率控制单元(PCU 

4、驾驶杆、手柄所需的变送器(Transducer)、作动器(Actuator)等

 

1800个需求,10000次变更

  

波音777仅自动飞行指引系统的研制过程中,就包含了约1800个需求(不包含软硬件底层需求),超过10000次需求变更。我们知道在飞行器研制系统工程中,每项需求相对于一个小工作包,研制过程设计需求的捕获、分解、确认、评审、开发、验证、审查等一系列工作。

  

 

 

需求分解、追溯过程简图

  

150万代码

   

波音787飞控计算机所包含的代码量,该飞控计算机采用三通道+三余度架构,每台飞控计算机软件相似,硬件非相似,因此除了与硬件强相关的驱动之外,这些代码中的大部分在三个通道中是相同的,我们可以大胆(且不负责任)地猜测一下这些代码的组成部分。

  

  

这些代码中,核心控制律、状态机、故障诊断、维护相关以及部分冗余代码为机型强相关,难以大量重用既有代码,其开发过程需严格按照与安全性需求匹配的流程进行(飞控系统绝大部分软件为DAL-A级)。当然,飞控软件的开发过程早已大量采用基于模型开发+代码自动生成,但代码量与系统复杂度强相关,因此海量的代码也对应极其复杂的模型,其需求、设计、验证、代码生成并背靠背测试的工作量也是相当可观的。

  

04  eVTOL飞控的未来

  

eVTOL作为设想中便捷、安全、灵活和低成本的飞行器,其飞控头上的四座大山意味着民机供应链当前无法满足需求,也无法照搬民机飞控系统研制流程,笔者对eVTOL飞控系统的未来做了一些思考:

  

寻求相对敏捷的研制流程

 

eVTOL多样化的机型和场景,意味着其飞控系统型号数量和迭代速度将远超当代民机飞控,能够支持较快速迭代的软硬件平台和开发工具链就成为至关重要的环节。敏捷开发并非“想到哪写到哪的自由开发”,考虑到eVTOL固有的高安全性需求,安全性评估过程、双向可追溯性和测试验证的完整性不能省略,相反地,安全关键系统的敏捷开发需要在这些方面加强,主要措施可能包括:

  

随时随处考虑安全性:想要使用敏捷的开发流程实现传统V字过程的安全性,难度是更大的。无论是硬件还是软件,都需要每个设计和开发人员均具有安全关键系统开发基础(例如学习相关标准规范、实施案例),从而在设计和开发过程中自发消除基本的安全隐患;此外,评审过程要有自身安全性人员参与;然后,在持续集成和自动化测试过程中发现遗漏的风险项。在这个过程中,需要灵活且稳妥的需求变更机制、开发人员的基础能力、有效且便于落地的评审机制予以支持

  

高度自动化的测试验证过程:对于系统、软件或硬件,其测试验证过程所花费的工作量通常大于开发过程,因此自动化测试验证是保证开发敏捷性的关键环节,好在基于模型设计已经可以将功能测试提前到模型环节,高效的软件自动化测试平台也已普遍应用。此外,(将各软件模块)持续集成工具链、高置信度的软件在环/硬件在环仿真系统,以及对仿真结果的性能评价系统,均是必不可少的。

  

重用和可扩展性:层次化、模块化设计有利于软硬件功能的高聚合、低耦合,在工程中已普遍使用,在此基础上,为了能在安全关键系统的迭代设计中对尽可能多的的软硬件模块进行重用,还需要有特殊考虑。对于硬件,需要为未来需求预留较多的算力、电源、散热等性能,以及对称多余度(即可以通过增加相同的硬件模块提升整体性能)的可扩展结构;对于软件,则需要尽可能提炼出通用的原子组件(仅实现单个功能的函数或文件)及其对应需求、功能描述、使用边界等文档。

   

安全等级循序渐进

   

在上述敏捷开发流程中,列举了复杂的设计开发准则和工具链的框架,但当前仍没有完整的范式可以直接使用,而且具体到每个企业、团队,可能的实现方式也将千差万别。因此涉及飞控系统研制的主机厂和供应链企业,可能需要尽早搭建适合自己的规范和工具链体系,从样机到产品,从低安全等级到高安全等级,在发展中进行完善。

  

 

设计模式包罗万象,但经常会浮于表面,或落入窠臼

  

智能化等级逐步推进

 

全自主飞行是各eVTOL机型宣传的重点之一,前面也说到现代民机自动化程度非常高,但在许多情况下仍需要飞行员的决策和操纵来保证安全,自主化程度越高,意味着越需要飞控系统完成此类决策和操纵,需要设计庞大的规则库,特别是在引入以深度学习为基础的感知这一非确定性之后,基于现有框架已经无法表明安全性符合要求。EASA在其AI路线图中,明确将探索人工智能的可解释性,并将人工智能、机器学习如何纳入系统安全评估过程的指南、在设计层级使用人工智能、机器学习的功能说明书、人工智能、机器学习用于系统设计影响的考虑。因此eVTOL的高度智能化一定不是短期内可以实现的,要做好持久战的准备。 

 

 

EASAAI路线图将人工智能分为三级:辅助人类飞行员(一级)、与人类飞行员联合(二级),以及自主智能(三级)。对于商业运营类飞行器,EASA预计2025年实现一级智能,2030年实现二级智能,而2035之后实现三级智能。