《电动垂直起降(eVTOL,electricVerticalTake-OffandLanding)飞行器是一种面向未来立体交通的中短途出行工具，以垂直起降、分布式电推进、简化飞行操控或者自动驾驶为主要特征，与直升机、固定翼飞机等传统飞行器相比，具有灵活性强、效率高、碳排放低、噪音低等显著优势。能够以高效率、较低成本的实现点对点载人飞行，构建新型的、立体化的公共交通服务网络。

 

 

 

eVTOL飞行器有多旋翼、混合翼和倾转翼构型，以混合翼和倾转翼为例，存在复杂的过渡态阶段，传统的飞行员控制方式较难操纵，因此要求飞控系统应具备高度自动化，同时满足适航要求的安全性。

 

 

 

根据国内外文献调研，目前尚无eVTOL飞行器飞控系统架构相关文献，现在多集中在民机电传飞控系统，例如波音B777飞行控制系统由3台冗余的飞行控制计算机组成，每台计算机采用非相似的指令和监控通道。空客A330/340飞控系统采用了3台主飞行控制计算机和2台次级飞行控制计算机，两类计算机采用不同的架构和硬件，而且每台计算机中指令和监控通道采用非相似的软件。从公开文献来看，民机的飞控系统架构均极为复杂、系统庞大、成本高。而与eVTOL飞行器载重接近的固定翼飞机和直升机则多采用机械操纵系统或功能极为有限的电传飞控系统，其性能与安全性均无法满足eVTOL飞行器需求。

 

 

 

由于eVTOL飞行器的新颖性，目前尚无满足eVTOL飞行器需求的飞控系统架构相关文献，针对上述现状，文中介绍了eVTOL飞行器飞控系统架构设计中应考虑的安全性要求，提出了一种基于安全性要求的eVTOL飞行器飞控系统架构，并进行初步的安全性评估，以期为eVTOL飞行器飞控系统开发提供参考。

 

eVTOL飞行器安全性要求

 

 

 

eVTOL飞行器主要用于城市空中交通，通过多旋翼、混合翼和倾转旋翼等构型设计，减少了起飞和降落时对现有机场的依赖，设计中引入电池、电机等能源和动力系统，给当前的航空监管体系带来了新的挑战。目前中国尚无针对eVTOL飞行器发布的适航规章，因此文中参考传统CCAR23《正常类、实用类、特技类和通勤类飞机适航规定》中23.1309条款提出的系统应满足的安全性要求。主要包括以下内容：

 

 

 

1)任何可能妨碍飞机连续安全飞行和着陆的失效情况，其发生必须是极不可能的；

 

2)任何可能严重降低飞机或机组应对不利运行情况能力的其他失效，其发生必须是不可能的。

 

 

 

该条款规定了系统安全性要求，为了更好的实现和考核这些安全性要求，咨询通告AC23.1309-1E对不同危害程度提出了定量要求，同时考虑eVTOL飞行器的运行场景，以通勤类飞机安全性要求为目标，即灾难性失效是极不可能的(<1E-9/FH(FlightHour，飞行小时))，危险性失效状态是极微小的(<1E-7/FH)，较大的危险状态是微小的(<1E-5/FH)，极小的失效概率不超过可能的(<1E-4/FH)。

 

 

 

因此，文中基于安全性目标介绍了eVTOL飞控系统架构设计考虑，并提出了一种eVTOL飞行器飞控系统架构。

 

基于安全性的飞控系统架构设计考虑

 

 

 

一、安全性设计的目标

 

 

 

根据适航规章要求，eVTOL飞控系统在架构设计时需考虑可用性和完整性要求。

 

 

 

1.系统可用性

 

可用性用于衡量系统提供服务的能力，要求系统在发生某个故障时仍然处于功能状态，在架构设计中常采用余度技术提高系统可用性，同时设置监控器对设备进行状态监控，例如一个通道或设备发生故障导致功能失效时，系统可以通过余度设备完成系统功能，有效提供了整个系统的可用性。

 

 

 

2.系统完整性

 

完整性要求系统的工作结果准确可靠，在架构设计中应通过比较监控的方式，对错误的信号识别并进行隔离。例如使用余度传感器信号作为控制功能的输入信号时，可通过多余度信号表决器对错误信号进行识别，避免错误的信号用于控制功能的计算，从而保证系统的完整性。

 

 

 

二、基于安全性的飞控计算机设计技术

 

 

 

1.满足可用性的设计技术

 

余度技术是提高可用性的有效途径，以飞控计算机为例，常采用双通道的架构设计，如图1所示。通过自检测(BIT)对单个通道的工作状态进行检测，检测到故障后切换余度通道进行控制，通过故障树分析双通道架构功能失效的概率可达到1E-8/FH，而单通道架构功能失效的概率为1E-4/FH。

 

 图1 双通道架构示意图

 

 

 

2.满足完整性的设计技术

 

以单通道架构为例，采用故障树方法分析得到其非指令运动的概率为2E-5/FH，该架构完整性水平较低。通过比较监控是提高完整性的主要方法，采用监控通道与控制通道进行比较，其架构如图2所示，可以识别错误指令的产生，从而提高了架构的完整性。通过故障树分析表明其完整性可达到1E-8/FH。

 

 

 

图2 提高完整性的架构技术

 

 

 

三、基于安全性的传感器余度技术

 

 

 

在飞行控制律计算时，需要惯导和大气数据传感器提供飞机角速度、加速度、位置、速度和姿态等参数，为了满足适航安全性要求，同样要求传感器信号具有较高的可用性和完整性。为了提高传感器信号的可用性，常采用两余度、三余度和四余度的设计，结合多余度传感器信号表决算法，提高传感器信号的完整性。采用一定的表决算法，不同余度传感器对应的输出信号可用性和完整性如表1所示(假设单个传感器的可用性为1E-4/FH，完整性为1E-5/FH，飞行暴露时间为3h)。

 

 

 

表1 多余度信号表决的可用性和完整性

 

 

 

从表中可以看出，传感器设计为三余度，结合相应的表决算法，输出信号具有高可用性和高完整性，可用于惯导传感器和大气数据传感器的余度设计，叠加传感器失效后的备份控制，可以满足丧失控制功能小于1E-9/FH的要求。

 

 

 

四、基于安全性的作动器设计技术

 

 

 

以典型混合翼飞行器为例，作动器包括电机和舵机，采用分布式的布局，为了提高作动器的可用性和完整性，在设计时应有如下考虑。

 

 

 

1.电机

 

电机用于提供垂直起降的动力，为了保证单个或多个电机故障后，eVTOL飞行器仍具备垂直起降和旋翼稳定飞行的能力，常采用6个、8个、12个或16个旋翼电机，并提供1.5~2倍的拉力冗余，以保证单/多桨失效后，仍能使飞行器平稳飞行和降落。

 

 

 

同时应设计监控器对电机的工作状态进行监控，包括低速、超速和无响应故障监控，以保证电机故障后能进行隔离和系统重构。

 

 

 

2.舵机

 

混合翼飞行器操纵舵面一般包括副翼、升降舵和方向舵，以副翼为例，基于安全性要求丧失全部副翼控制功能的概率应小于1E-9/FH，即丧失单侧副翼控制功能的概率应小于1E-5/FH，而单个舵机失效的概率一般为1E-4/FH，因此单侧舵面应具备2个舵机。

 

 

 

针对同一舵面上的2个舵机，可以采用主-主或主-备的工作方式。主-主工作方式的作动器应设计力纷争监控和信号均衡，避免同一舵面上的2个舵机作动指令相差较大造成舵面发生疲劳失效。针对主-备工作方式的应设置故障监控器实时检测主舵机的运行状态，当检测到主舵机发生故障时，备份舵机应能立即接入进行工作

 

 

 

eVTOL飞行器飞控系统架构设计

 

 

 

一、系统架构设计

 

 

 

基于上述考虑，本节给出了一种混合翼eVTOL飞行器飞控系统架构，包括三余度飞控计算机，三余度大气数据惯性基准组件ADIRU和远程控制电子单元REU等组成，如图3所示。

 

 

 

图3 三余度飞控系统架构原理图

 

 

 

系统工作原理为：飞行员操纵指令通过数据总线发送到3台飞控计算机，同时飞控计算机也接收三余度ADIRU的姿态、角速度、加速度和大气数据等信号，飞控计算机对接收的信号进行CRC完整性校验和信号表决后，用于控制律的计算，并将作动指令通过三余度数据发送到REU，控制相对应的电机/舵机驱动旋翼/舵面运动。

 

 

 

二、飞控计算机架构设计

 

 

 

飞控计算机设计为三余度，3台飞控计算机功能完全相同，单个飞控计算机可正常实现控制功能，确保飞控计算机的可用性，3台飞控计算机通过交叉通道数据链路(CCDL)进行数据交换，以保证多余度飞控计算机间的数据同步和交叉数据传输。

 

 

 

单个飞控计算机采用非相似的指令通道和监控通道，以抑制处理器的共模故障，监控通道与指令通道以帧同步方式工作，监控通道对指令通道的解算指令进行比较监控，保证指令的完整性。多余度飞控计算机架构如图4所示。

 

 

 

图4 三余度飞控计算机架构

 

 

 

三、传感器余度设计

 

 

 

ADIRU采用三余度设计，通过点对点数据总线发送给3台飞控计算机，飞控计算机对接收三余度信号进行有效性监控和表决监控，保证了ADIRU数据的可用性和完整性。在飞控计算机接收到ADIRU数据包后，先对数据包的CRC、数据帧新鲜度和源/目的地址进行校验，根据校验结果决定数据包的有效性。并将数据有效性信息和Payload发送至信号处理分区进行表决监控，ADIRU包括三轴角速率、三轴加速度、航迹角、俯仰角和滚转角以及大气数据等参数，以俯仰角为例，表决监控算法如图5所示，其中表决结果为传感器有效且比较结果在门限范围内的传感器均值，若只剩一路传感器信号有效，则输出该路传感器信号值。如传感器A的信号值与传感器B的信号值的绝对差值大于门限δ，并且传感器B的信号值与传感器C的信号值的绝对差值大于门限δ，表明传感器B当前处于异常状态，此传感器的表决无效，表决输出值为传感器A和传感器C的均值。如传感器B和传感器C同时处于异常状态，则传感器B和传感器C的表决无效，表决输出值为传感器A的信号值。

 

 

 

图5 三余度传感器信号表决

 

 

 

四、作动器余度设计

 

 

 

根据图3飞控系统架构，作动器主要包括旋翼电机和舵机，操纵舵面分为副翼和V尾(提供俯仰和偏航控制功能)，基于安全性的考虑，同时考虑舵机的作动能力和重量，将副翼和V尾分别设计为4块，单侧2块舵面或者左右侧各1块舵面即可满足正常控制功能。

 

 

 

五、安全性分析

 

由于混合翼eVTOL飞行器具备旋翼飞行、固定翼飞行和过渡态飞行功能，因舵机故障丧失固定翼飞行功能时，可以切换到旋翼飞行和降落，因此文中采用安全性评估指南和方法对旋翼飞行时的飞控系统架构进行初步分析。

 

 

 

1.功能危险性分析

 

针对旋翼飞行模态，分析整个控制环路的功能危险，由于旋翼飞行时电机失效对俯仰、滚转和偏航控制的影响具有耦合性，因此本节的典型功能危险如表2所示。

 

 

 

表2 旋翼模态典型功能危险

 

 

 

2.部件故障模式与故障率

 

为建立典型功能危险的故障树，对影响典型功能的部件故障模式和失效率进行分析，如表3所示。

 

 

 

表3 部件故障模式与故障率

 

 

 

3.故障树分析

 

基于eVTOL飞行器飞控系统架构及部件的故障模式，分别建立了丧失ADIRU信号输入、错误的ADIRU信号输入、丧失飞行控制指令输出和丧失任意4套垂直电机推力的故障树。

 

 

 

其中假设如下：

 

1)电源满足安全性要求，不会产生因电源失效导致飞控系统功能丧失；

 

2)假设螺旋桨部件设计和安装在使用寿命范围内，不会失效而影响动力输出；

 

3)假设50%油门下，电机能提供1.5倍的拉力冗余；

 

4)飞行员操纵输入系统满足要求，不在本节中分析；

 

5)系统中信号线的故障概率为1E-7，且架构中采用三余度线束备份，因此本节故障树分析不考虑线束失效概率。

 

 

 

根据图6和图7所示，采用三余度ADIRU设计，结合3.3节表决监控算法，丧失ADIRU信号的概率为2.52E-10/FH，错误的ADIRU信号概率为2.39E-15/FH，均满足功能危险分析要求的概率。

 

 

 

根据图8所示，三余度飞控计算机采用主-备-备的工作方式，通过自检测和比较/监控通道的方式进行故障检测，因此任意一台飞控计算机正常工作均可输出飞行控制指令，通过故障树分析可知丧失飞行控制指令的概率为8.17E-13/FH，满足功能危险分析要求的概率。

 

 

 

根据图9所示，垂直推力电机为16个，丧失任意4个电机推力的概率为5.88E-11/FH。而垂直推力电机用于多旋翼模态时的滚转、俯仰、偏航和升力控制，因此由于丧失垂直推力电机丧失导致多旋翼模态丧失控制功能的概率小于1E-9/FH。

 

 

 

图6 丧失ADIRU信号输入

 

 

 

图 7 错误的 ADIRU 信号输入

 

 

 

图 8  丧失飞行控制指令输出

 

 

 

图 9  丧失任意 4 套垂直电机推力

 

结论

 

文中对eVTOL飞行器适航安全性要求进行了初步分析，介绍了通过余度设计提高系统安全性的考虑，提出了一种eVTOL飞行器飞控系统架构，通过故障树进行了初步安全性分析，结论如下：

 

 

 

（1)文中介绍了基于安全性的传感器余度设计、飞控计算机余度设计和作动器余度设计考虑，通过余度技术可以显著提高飞控系统的安全性。

 

 

 

（2)提出了一种基于安全性要求的eVTOL飞行器飞控系统架构，设计了余度飞控计算机、传感器和作动器架构。

 

 

 

（3)基于eVTOL飞行器飞控系统架构，分析了旋翼飞行时典型的功能危害，通过故障树分析表明，飞控系统架构能够满足失效概率要求。