基于安全性的电动垂直起降飞行器飞控系统架构设计

刘巨江 谭郁松

doi： 10.11835/j.issn.1000-582X.2023.215

收稿日期：2023-05-12

网络出版日期：2023-07-19

基金项目：国家自然科学基金资助项目（U19A2060）。

Foundation：Supported by National Natural Science Foundation of China （U19A2060）.

作者简介：刘巨江（1982—），男，博士研究生，主要从事智慧交通载具的设计开发研究，（E-mail）liujj@gacrnd.com。

摘要：飞行控制系统作为电动垂直起降（electric vertical take-off and landing，eVTOL）飞行器的关键机载系统，需要具备和民机同样的安全性。为了设计满足eVTOL飞行器需求的飞控系统架构，根据适航规章梳理了安全性要求，并基于安全性要求介绍了eVTOL飞行器飞控系统飞控计算机、传感器和作动器余度设计技术，设计了一种基于安全性考虑的eVTOL飞行器飞控系统架构；分析了eVTOL飞行器旋翼构型下的典型功能危险，并采用故障树进行了安全性分析。结果表明，设计的飞控系统架构的典型功能危险能够满足失效概率的要求。

关键词：电动垂直起降飞行器；飞控系统；安全性分析；架构设计

中图分类号：V249          文献标志码：A           文章编号：1000-582X（2024）05-067-09

Architecture design of flight control system for electric vertical takeoff and landing aircraft based on safety analysis

LIU Jujiang1，2， TAN Yusong1

（1. College of Computer， National University of Defense Technology， Changsha 410073， P. R. China; 2. Automotive Engineering Research Institute， Guangzhou Automobile Group Co. Ltd.， Guangzhou 511434， P. R. China）

Abstract： The flight control system serves as the key airborne system for electric vertical takeoff and landing （eVTOL） aircraft， necessitating safety standards akin to those applied to civil aircraft. This study introduces redundancy design technology for the flight control computer， sensor and actuator in eVTOL aircraft flight control systems. It proceeds to design an architecture adhering to safety requirements in accordance with airworthiness regulations. The rotor configuration of eVTOL aircraft is considered， and typical functional hazards are analyzed. Safety analysis is carried out using fault tree analysis technology. The results show that the flight control system architecture designed in this study can effectively address the typical functional hazards， meeting the stipulated failure probability requirements.

Keywords： electric vertical takeoff and landing aircraft; flight control system; safety analysis; architecture design

电动垂直起降（electric vertical take-off and landing，eVTOL）飞行器是一种面向未来立体交通的中短途出行工具，以垂直起降、分布式电推进、简化飞行操控或自动驾驶为主要特征，与直升机、固定翼飞机等传统飞行器相比，具有灵活性强、效率高、碳排放低、噪音低等显著优势[1]；能够以高效率、较低成本实现点对点载人飞行，构建新型的、立体化公共交通服务网络[2-5]。

eVTOL飞行器有多旋翼、混合翼和倾转翼构型。混合翼和倾转翼存在复杂的过渡态阶段，操纵难度大，其飞控系统既要具备高度自动化[6-7]，又要满足适航要求的安全性。

目前尚无eVTOL飞行器飞控系统架构相关文献，现有研究多集中在民机电传飞控系统。例如，波音B777飞行控制系统由3台冗余的飞行控制计算机组成，每台计算机采用非相似的指令和监控通道[8]；空客A330/340飞控系统采用3台主飞行控制计算机和2台次级飞行控制计算机，2类计算机采用不同的架构和硬件，而且每台计算机中指令和监控通道采用非相似的软件[9]。从公开文献看，民机的飞控系统架构极为复杂、系统庞大且成本高[10-11]。与eVTOL飞行器载重接近的固定翼飞机和直升机多采用机械操纵系统或功能极为有限的电传飞控系统，其性能与安全性均无法满足eVTOL飞行器需求。

由于eVTOL飞行器的新颖性，目前尚无满足eVTOL飞行器需求的飞控系统架构相关研究。针对上述现状，笔者介绍了eVTOL飞行器飞控系统架构设计中应考虑的安全性要求，提出了一种基于安全性要求的eVTOL飞行器飞控系统架构，并进行初步的安全性评估，以期为eVTOL飞行器飞控系统开发提供参考。

1 eVTOL飞行器安全性要求

eVTOL飞行器主要用于城市空中交通，通过多旋翼、混合翼和倾转旋翼等构型设计，减少了起飞和降落时对现有机场的依赖，设计中引入电池、电机等能源和动力系统，给当前的航空监管体系带来了新的挑战。目前中国尚无针对eVTOL飞行器发布的适航规章，因此，文中参考CCAR-23-R4《正常类飞机适航规定》中23.1309条款提出的系统应满足的安全性要求[12]。主要包括以下内容：

1）任何可能妨碍飞机连续安全飞行和着陆的失效情况，其发生必须是极不可能的；

2）任何可能严重降低飞机或机组应对不利运行情况能力的其他失效，其发生必须是不可能的。

该条款规定了系统安全性要求；为了更好地实现和考核这些安全性要求，咨询通告AC23.1309-1E[13]对不同危害程度提出了定量要求。考虑eVTOL飞行器的运行场景，以通勤类飞机安全性要求为目标，具体为：灾难性失效是极不可能的（单位飞行时间发生失事的平均几率<10-9/h）；危险事故的可能性是极微小的（单位飞行时间发生失事的平均几率<10-7/h）；严重故障的可能性是微小的（单位飞行时间发生失事的平均几率<10-5/?h）；小故障发生是可能的（单位飞行时间发生失事的平均几率<10-3/h）。

文中基于安全性目标介绍了eVTOL飞控系统架构设计，并提出一种eVTOL飞行器飞控系统架构。

2 基于安全性的飞控系统架构设计考虑

2.1 安全性设计的目标

根据适航规章要求，eVTOL飞控系统在架构设计时需考虑可用性和完整性要求。

2.1.1 系统可用性

可用性用于衡量系统提供服务的能力，要求系统在发生某个故障时仍然处于功能状态，在架构设计中常采用余度技术提高系统可用性，同时设置监控器对设备进行状态监控，例如一个通道或设备发生故障导致功能失效时，系统可以通过余度设备完成系统功能，有效提高整个系统的可用性。

2.1.2 系统完整性

完整性要求系统的工作结果准确可靠，在架构设计中应通过比较监控的方式，对错误的信号识别并进行隔离。例如使用余度传感器信号作为控制功能的输入信号时，可通过多余度信号表决器对错误信号进行识别，避免错误的信号用于控制功能的计算，从而保证系统的完整性。

2.2 基于安全性的飞控计算机设计技术

2.2.1 满足可用性的设计技术

余度技术是提高可用性的有效途径，飞控计算机常采用双通道的架构设计，如图1所示。通过自检测（built-in-test，BIT）对单个通道的工作状态进行检测，检测到故障后切换余度通道进行控制，通过故障树分析单位飞行时间双通道架构功能失效的概率可达到10-8/h，而单通道架构功能失效的概率为10-4/h。

2.2.2 满足完整性的设计技术

以单通道架构为例，采用故障树方法分析得到单位飞行时间内其非指令运动的概率为2×10-5/h，该架构完整性水平较低。比较监控是提高完整性的主要方法，通过比较监控通道与控制通道，可以识别错误指令的产生，从而提高了架构的完整性，其架构如图2所示。通过故障树分析表明其完整性可达10-8/h。

2.3 基于安全性的传感器余度技术

在飞行控制律计算时，需要惯导和大气数据传感器提供飞机角速度、加速度、位置、速度和姿态等参数，为了满足适航安全性要求，同样要求传感器信号具有较高的可用性和完整性。为了提高传感器信号的可用性，常采用2余度、3余度和4余度的设计，结合多余度传感器信号表决算法，提高传感器信号的完整性。采用一定的表决算法，不同余度传感器对应的输出信号可用性和完整性如表1所示（假设单个传感器的可用性为10-4/h，完整性为10-5/h，飞行暴露时间为3 h）。

从表1可以看出，传感器设计为3余度，结合相应的表决算法[14]，输出信号具有高可用性和高完整性，可用于惯导传感器和大气数据传感器的余度设计，叠加传感器失效后的备份控制，可以满足单位飞行时间内丧失控制功能可能性小于10-9/h的要求。

2.4 基于安全性的作动器设计技术

以典型混合翼飞行器为例，作动器包括电机和舵机，采用分布式布局。为了提高作动器的可用性和完整性，在设计时应有如下考虑。

2.4.1 电机

电机用于提供垂直起降的动力，为了保证单个或多个电机故障后，eVTOL飞行器仍具备垂直起降和旋翼稳定飞行的能力，常采用6、8、12、16个旋翼电机，并提供1.5～2.0倍的拉力冗余，以保证单/多桨失效后，仍能使飞行器平稳飞行和降落。

同时应设计监控器对电机的工作状态进行监控，包括低速、超速和无响应故障监控，以保证电机故障后能进行隔离和系统重构。

2.4.2 舵机

混合翼飞行器操纵舵面一般包括副翼、升降舵和方向舵。以副翼为例，基于安全性要求单位飞行时间丧失全部副翼控制功能的概率应小于10-9/h，即丧失单侧副翼控制功能的概率应小于10-5/h，而单个舵机失效的概率一般为10-4/h，因此单侧舵面应具备2个舵机。

针对同一舵面上的2个舵机，可以采用主-主或主-备的工作方式。主-主工作方式的作动器应设计纷争监控和信号均衡，避免同一舵面上的2个舵机作动指令相差较大造成舵面发生疲劳失效。主-备工作方式应设置故障监控器实时检测主舵机的运行状态，当检测到主舵机发生故障时，备份舵机应能立即接入进行工作。

3 eVTOL飞行器飞控系统架构设计

3.1 系统架构设计

基于上述考虑，给出一种混合翼eVTOL飞行器飞控系统架构，包括3余度飞控计算机，3余度大气数据惯性基准组件（air data inertial reference unit，ADIRU）和远程控制电子单元（remote electronic unit， REU）等，如图3所示。图中FCC为飞控计算机，COM为指令通道，MON为监控通道，RS422为数据传输协议，Motor-L为飞机左侧电机，Aileron-L为飞机左副翼，V tail-L为左侧V尾，Motor-R为飞机右侧电机，Aileron-R为飞机右副翼，V tail-R为右侧V尾。

系统工作原理为：操纵指令通过数据总线发送到3台飞控计算机，同时飞控计算机也接收3余度ADIRU的姿态、角速度、加速度和大气数据等信号，飞控计算机对接收的信号进行循环冗余校验（cyclic redundancy check，CRC）、完整性校验和信号表决后，用于控制律的计算，并将作动指令通过3余度数据发送到REU，控制对应的电机/舵机驱动旋翼/舵面运动。

3.2 飞控计算机架构设计

飞控计算机设计为3余度，3台飞控计算机功能完全相同，单个飞控计算机可正常实现控制功能，确保飞控计算机的可用性。3台飞控计算机通过交叉通道数据链路（cross channel data link，CCDL）进行数据交换，以保证多余度飞控计算机间的数据同步和交叉数据传输。

单个飞控计算机采用非相似的指令通道和监控通道，以抑制处理器的共模故障；监控通道与指令通道以帧同步方式工作，监控通道对指令通道的解算指令进行比较监控，保证指令的完整性。多余度飞控计算机架构如图4所示。图中的ADC为数模转换器，Flash为闪存，CPU为微处理器，RAM为内存，I/O为输入输出接口，Timeline为时间轴，CP为计算机。

3.3 传感器余度设计

ADIRU采用3余度设计，通过点对点数据总线发送给3台飞控计算机，飞控计算机对接收到的3余度信号进行有效性监控和表决监控，保证了ADIRU数据的可用性和完整性。在飞控计算机接收到ADIRU数据包后，先对数据包的CRC、数据帧新鲜度和源/目的地址进行校验，根据校验结果决定数据包的有效性；然后，将数据有效性信息和数据信息发送至信号处理分区进行表决监控。ADIRU数据包含三轴角速率、三轴加速度、航迹角、俯仰角、滚转角和大气数据等参数。表决监控算法如图5所示，其中表决结果为传感器有效且比较结果在门限范围内的传感器均值。若只剩一路传感器信号有效，则输出该路传感器信号值。如传感器A的信号值与传感器B的信号值的绝对差值大于门限δ，并且传感器B的信号值与传感器C的信号值的绝对差值大于门限δ，表明传感器B当前处于异常状态，此传感器的表决无效，表决输出值为传感器A和传感器C的均值。如传感器B和传感器C同时处于异常状态，则传感器B和传感器C的表决无效，表决输出值为传感器A的信号值。

3.4 作动器余度设计

根据飞控系统架构（图3），作动器主要包括旋翼电机和舵机，操纵舵面分为副翼和V尾（提供俯仰和偏航控制功能）；基于安全性的考虑，同时考虑舵机的作动能力和重量，将副翼和V尾分别设计为4块，单侧2块舵面或者左右侧各1块舵面即可满足正常控制功能。

3.5 安全性分析

混合翼eVTOL飞行器具备旋翼飞行、固定翼飞行和过渡态飞行功能，因舵机故障丧失固定翼飞行功能时，可以切换到旋翼飞行和降落。因此，采用安全性评估指南对旋翼飞行时的飞控系统架构进行初步分析[13，15]。

3.5.1 功能危险性分析

针对旋翼飞行模态，分析整个控制环路的功能危险。旋翼飞行时电机失效对俯仰、滚转和偏航控制的影响具有耦合性，本节的典型功能危险如表2所示。

3.5.2 部件故障模式与故障率

为建立典型功能危险的故障树，对影响典型功能的部件故障模式和失效率进行分析，如表3所示。

3.5.3 故障树分析

基于eVTOL飞行器飞控系统架构及部件的故障模式，分别建立了丧失ADIRU信号输入、错误的ADIRU信号输入、丧失飞行控制指令输出和丧失任意4套垂直电机推力的故障树。

其中假设如下：

1）电源满足安全性要求，不会因电源失效导致飞控系统功能丧失；

2）假设螺旋桨部件设计和安装在使用寿命范围内，不会失效而影响动力输出；

3）假设50%油门下，电机能提供1.5倍的拉力冗余；

4）飞行员操纵输入系统满足要求；

5）单位飞行时间中系统信号线的故障概率为10-7/h，且架构中采用3余度线束备份，因此，本节故障树分析不考虑线束失效概率。

根据图6和图7所示，采用3余度ADIRU设计，结合3.3节表决监控算法，单位飞行时间丧失ADIRU信号的概率为2.52×10-10/h，错误的ADIRU信号概率为2.39×10-15/h，均满足功能危险分析要求的概率。图6～9中，FR表示失效概率，w表示故障频率，Q表示发生概率。

根据图8所示，3余度飞控计算机采用主-备-备的工作方式，通过自检测和比较/监控通道的方式进行故障检测，因此，任意一台飞控计算机正常工作均可输出飞行控制指令，通过故障树分析可知单位飞行时间丧失飞行控制指令的概率为8.17×10-13/h，满足功能危险分析要求的概率。

根据图9所示，垂直推力电机为16个，丧失任意4个电机推力的概率为5.88×10-11/h。垂直推力电机用于多旋翼模态时的滚转、俯仰、偏航和升力控制，因此，单位飞行时间垂直推力电机丧失导致多旋翼模态丧失控制功能的概率小于10-9/h。

4 结束语

对eVTOL飞行器适航安全性要求进行了初步分析，介绍了通过余度设计提高系统安全性的考虑，提出了一种eVTOL飞行器飞控系统架构，通过故障树进行了初步安全性分析，结论如下。

1）介绍了基于安全性的传感器余度设计、飞控计算机余度设计和作动器余度设计，通过余度技术可以显著提高飞控系统的安全性。

2）提出了一种基于安全性要求的eVTOL飞行器飞控系统架构，设计了余度飞控计算机、传感器和作动器架构。

3）基于eVTOL飞行器飞控系统架构，分析了旋翼飞行时典型的功能危害，通过故障树分析表明，飞控系统架构能够满足失效概率要求。

参考文献

［1］  杜伟， 孙娜. 电动垂直起降飞行器的发展现状研究[J]. 航空科学技术， 2021， 32（11）： 1-7.

Du W， Sun N. Research on development status of eVTOL[J]. Aeronautical Science & Technology， 2021， 32（11）： 1-7.（in Chinese）

［2］  杨凤田， 范振伟， 项松， 等. 中国电动飞机技术创新与实践[J]. 航空学报， 2021， 42（3）： 624619.

Yang F T， Fan Z W， Xiang S， et al. Technical innovation and practice of electric aircraft in China[J]. Acta Aeronautica et Astronautica Sinica， 2021， 42（3）： 624619.（in Chinese）

［3］  Uber Elevate. Fast-Forwarding to a Future of On-Demand Urban Air Transportation [EB/OL].[2022-01-01]. https：//uberpubpolicy.medium.com/fast-forwarding-to-a-future-of-on-demand-urban-air-transportation-f6ad36950ffa.

［4］  李诚龙， 屈文秋， 李彦冬， 等. 面向eVTOL航空器的城市空中运输交通管理综述[J]. 交通运输工程学报， 2020， 20（4）： 35-54.

Li C L， Qu W Q， Li Y D， et al. Overview of traffic management of urban air mobility （UAM） with eVTOL aircraft[J]. Journal of Traffic and Transportation Engineering， 2020， 20（4）： 35-54.（in Chinese）

［5］  孙侠生，程文渊，穆作栋，等. 电动飞机发展白皮书[J]. 航空科学技术， 2019， 30（11）： 1-7.

Sun X S， Cheng W Y， Mu Z D， et al. White paper on the development of electric aircraft[J]. Aeronautical Science & Technology， 2019， 30（11）： 1-7.（in Chinese）

［6］  刘志豪，闵荣，方成，等. 多飞行模式垂直起降无人机过渡飞行控制策略[J]. 上海交通大学学报， 2019， 53（10）： 1173-1181.

Liu Z H， Min R， Fang C， et al. Transition flight control strategy of multiple flight mode vertical take-off and landing unmanned aerial vehicle[J]. Journal of Shanghai Jiao Tong University， 2019， 53（10）： 1173-1181.（in Chinese）

［7］  张啸迟， 万志强， 章异嬴， 等. 旋翼固定翼复合式垂直起降飞行器概念设计研究[J]. 航空学报， 2016， 37（1）： 179-192.

Zhang X C， Wan Z Q， Zhang Y Y， et al. Conceptual design of rotary wing and fixed wing compound VTOL aircraft[J]. Acta Aeronautica et Astronautica Sinica， 2016， 37（1）： 179-192.（in Chinese）

［8］  Aplin J D. Primary flight computers for the Boeing 777[J]. Microprocessors and Microsystems， 1997， 20（8）： 473-478.

［9］  Goupil P. AIRBUS state of the art and practices on FDI and FTC in flight control system[J]. Control Engineering Practice， 2011， 19（6）： 524-539.

［10］  Vertical Flight Society. eVTOL Aircraft Directory [EB/OL]. [2022-01-01]. https：//evtol.news/aircraft.

［11］  Porsche Consulting. The future of vertical mobility： sizing the market for passenger， inspection， and goods services until 2035[EB/OL]. [2022-03-01]. https：//www.porsche-consulting.com/sites/default/files/2023-04/the_future_of_vertical_mobility_a_porsche_consulting_study_c_2018.pdf.

［12］  中国民用航空局. 正常类飞机适航规定： CAAR-23-R4 [S/OL]. [2022-05-30]. https：//xxgk.mot.gov.cn/2020/jigou /fgs/202205/t20220530_3657705.html.

Civil Aviation Administration of China. Airworthiness regulations for normal aircraft：CAAR-23-R4[S/OL]. [2022-05-30]. https：//xxgk.mot.gov.cn/2020/jigou/fgs/202205/t20220530_3657705.html.（in Chinese）

［13］  Federal Aviation Administration. System safety analysis and assessment for Part 23 airplanes： AC23.1309-1E[S/OL]. [2022-12-12]. https：//www.faa.gov/documentLibrary/media/Advisory_Circular/AC_23_1309-1E.pdf.

［14］  唐志帅， 刘兴华， 盛伟强， 等. 民用飞机飞控系统传感器信号表决设计[J]. 民用飞机设计与研究， 2017（2）： 121-124.

Tang Z S， Liu X H， Sheng W Q， et al. The sensor voter design of flight control system for civil aircraft[J]. Civil Aircraft Design & Research， 2017（2）： 121-124.（in Chinese）

［15］  SAE Aerospace. Guidelines for development of civil aircraft and systems-ARP4754A[S/OL]. [2022-01-01]. https：//www.sae.org/standards/content/arp4754a/.

［16］  DarmstadtPatrick R， CataneseRalph， BeidermanAllan， et al. Hazards analysis and failure modes and effects criticality analysis （FMECA） of four concept vehicle propulsion systems[R/OL]. [2022-01-01]. https：//ntrs.nasa.gov/citations/20190026443.

（编辑  吕建斌）