城市空中交通(urbanairmobility,UAM)利用短距起降或垂直起降飞行器及有关系统设施实现城市低空空域载人载货的运输活动,是未来智能交通运输系统的重要一环。电动垂直起降飞行器(electricverticaltake-offandlanding,eVTOL)具有垂直起降、电气化以及控制自动化的特点,在先进通信、自动驾驶与电力推进技术的推动下正迎来井喷式发展。美国、欧洲及中国等地的相关企业和机构相继开展了针对eVTOL的研究,提出了多种eVTOL飞行器构型。

目前,航空业确立了对于大型客机和大型通航飞机,10-9飞行小时的特征事故率标准,即每十设。这些假设或是出于简化非重要部分的考虑,或是出于方便对比的考虑,或是出于分析的必要。例如,在系统定义过程,在框图上对飞行控制、导航、线路等部分在不影响分析结果的条件下进行了简化;在FHA的分析过程中,为了便于对比,进行很多相同的场景和时长假设;在FTA的分析过程中,基于数据库,对底层设备失效概率,进行了必要的相似产品估值假设等。亿飞行小时发生小于一次事故,安全性设计是整机研发过程的重要组成部分,系统安全性评估的方法开始应用于航空器的设计研发过程,并贯穿飞行器研发的整个寿命周期。对于传统中小型飞行器(如塞斯纳或西门诺尔的飞行器),往往按通航对应类别取证,安全性要求略低。对于无人机,往往按使用场景评估对应风险,再确定适航或管理要求。对于载人eVTOL飞行器,也需要根据运行风险,确定适航要求。因为载人,而且构型特征复杂,使用场景新颖,必须进行严格的安全性评估,帮助识别风险,辅助构型选择和场景设计。

SAEARP4761是业内实践安全性评估活动的指导文件。SAEARP4761建议的安全性分析方法有功能危害分析(functionalhazardanalyses,FHA)、故障树分析(faulttreeanalysis,FTA)、失效模式和影响分析(failuremodeandeffectanalysis,FMEA)。FHA通过使用形式化的语义符号和工具明确开发需求,然后从数学和逻辑上严格证明系统的属性和最终实现的准确性。FTA对复杂系统进行自上而下的分析,旨在明确系统组件检查相互关系,并允许定义割集以显示系统改善顶层数量的区域。Graydon使用FHA和系统理论过程分析(STPA)技术,对城市空中交通场景下的eVTOL进行了安全性分析,发现2种分析技术的使用可以加深对功能危害的理解。Darmstadt和Wasson使用不同的技术对eVTOL进行了的功能危害分析。

然而,国内将系统安全性评估技术应用在eVTOL项目中的报道较少。虽然当前eVTOL并没有明确的适航条例,但安全性分析是未来适航的必要条件。因此,本文分析比较不同构型的eVTOL动力系统,并进行了安全性评估。安全性评估采用FHA以及FTA方法,旨在为不同构型eVTOL的研发设计提供依据和启发。

参考SAEARP4761中的要求,使用FHA和FTA对不同类型的eVTOL的动力系统架构进行了分析和评估。主要步骤包括:

1) 定义不同eVTOL的动力系统组成和功能架构;

2) 定义不同eVTOL动力系统功能清单;

3) 识别功能危害,定义危害等级;

4) 结合系统架构,底层设备失效概率对危险失效状态进行FTA分析。

本文在分析和评估的每个步骤均进行了一些假本文中选用的4种不同的eVTOL动力构型如图1所示。将逐一对不同动力系统架构特征进行分析。

1.1 垂起尾推固定翼构型

垂起尾推固定翼构型利用垂起和尾推动力机构将推力分解为垂直和水平矢量。在起降阶段使用垂直推力,在巡航阶段使用水平尾推,过渡阶段两者混合使用。垂起尾推固定翼eVTOL的动力系统如图2所示,主要由以下部分组成:

1) 垂直推力系统:主要由16套垂起电机、电调、远程电子组件(remoteelectronicsunit,REU)、电机冷却系统和螺旋桨组成。根据需求为飞行器提供垂直方向的推力。

2) 垂直推力高压电源系统:主要由4套高压电池、电池冷却系统和配套电路等组成。为垂直推力系统提供高压电源。

3) 水平尾推系统:主要由2套涵道电机、电调、REU、电机冷却系统和涵道风扇组成。根据需求为飞行器提供水平方向的推力。

4) 水平尾推高压电源系统:主要由2套高压电池、电池冷却系统及配套电路组成。为水平尾推系统提供高压电源。

5) 低压电源系统:主要由2套低压电池、电池冷却系统及配套电路组成。为飞控系统、传感器等提供低压电源。

6) 飞行控制系统:主要由3套核心计算单元、飞管系统及配套的通讯链路组成。根据飞行任务提供飞行管理及动力控制。

1.2 四轴八桨多旋翼构型

四轴八桨多旋翼构型的eVTOL,以多旋翼提供全部动力为特征,没有机翼或有短机翼。其动力系统如图3所示,主要由以下部分组成:

1) 垂直推力系统:主要由8套垂起电机、电调、REU、电机冷却系统和螺旋桨组成。

2)高压电源系统:主要由4套高压电池、电池冷却系统和配套电路等组成。

3)低压电源系统:主要由2套低压电池、电池冷却系统及配套电路组成。

4)飞行控制系统:主要由3套核心计算单元、飞管系统及配套的通讯链路组成。

1.3 固定翼加倾转旋翼构型

固定翼加倾转旋翼的eVTOL结合了固定翼和多旋翼机型的特征:在起降和悬停阶段,倾转系统将旋翼置于垂直位置,飞行器类似于多旋翼飞行;在巡航阶段,倾转系统将旋翼置于水平位置,飞行器相当于固定翼飞行;在过渡阶段,倾转系统将根据需要调节旋翼的角度。这种构型的eVTOL动力系统如图4所示,主要由以下部分组成:

1) 推力系统:包括固定垂直旋翼系统和倾转旋翼系统。垂直推力由2套固定垂直旋翼系统组成,每套固定旋翼系统均包括电机、电机冷却系统、电调、REU和螺旋桨。倾转旋翼系统由4套倾转旋翼组件组成,每套倾转旋翼组件包括电机、电机冷却系统、电调、REU、螺旋桨、倾转机构、倾转作动器、桨距调节作动器和桨距调节附件。根据飞行器需求,提供垂直推力以及调节倾转旋翼的角度,提供矢量推力。

2) 高压电源系统:主要由4套高压电池、电池冷却系统及配套电路组成。

3) 低压电源系统:主要由2套低压电池、电池冷却系统及配套电路组成。

4) 飞行控制系统:由3套核心计算单元、飞管系统及配套的通讯链路组成。

1.4 倾转机翼构型

倾转机翼构型的eVTOL与固定翼加倾转旋翼构型的eVTOL相似,前者通过倾转机翼来改变推力矢量,后者通过倾转旋翼来改变推力矢量。其动力系统如图5所示,主要由以下系统组成:

1) 推力系统:其主要由倾转机翼系统和平衡尾桨组成。倾转机翼系统由6套推力螺旋桨组件和左右2套倾转机构组成。推力螺旋桨组件由电机、电调、REU、螺旋桨、桨距调节作动器和桨距调节附件组成。倾转机构由REU、双倾转作动器和机械附件组成。平衡尾桨由安装在飞行器尾部的2套螺旋桨组成,尾桨提供负推力来平衡起降时候的前倾力矩。尾桨主要由电机、电机冷却系统、电调、REU和螺旋桨组成。

2) 高压电源系统:主要由4套高压电池、电池冷却系统及配套电路组成。

3) 低压电源系统:主要由2套低压电池、电池冷却系统及配套电路组成。

4) 飞控系统。主要由3套核心计算单元、飞管系统及配套的通讯电路组成。

2.1 安全性评估假设及输入

本文针对不同eVTOL的动力系统进行分析评估和对比。进行了以下基本假设:

1) 不同eVTOL飞行器均为航空公司进行标准化运营,避免了由于乘客、飞行员、或维护人员带来的不可控风险。

2) 不同eVTOL飞行器均在成熟航线飞行,航线沿途有密度适当的备降和迫降场地,可以保证在需要时,飞行器可以完成备降或紧急着陆。

3) 不同eVTOL飞行器的航程时长均为1h。

4) 不同eVTOL飞行器均采用垂直起降方式,飞行阶段分为:起飞阶段(垂直上升,高0～30m),爬升阶段(水平加速,并爬升到300m),巡航阶段(300m水平飞行),下降-进近阶段(300m下降到30m),着陆阶段(30m垂直下降)。起降场周边没有障碍物,不影响飞行器阶段转换,因而不定义转换方式、爬升率、下降率和决断标准。

5)所有分析均不考虑外部环境因素带来的风险。

6)对于所分析的不同eVTOL飞行器,飞控、导航等系统作为动力系统的控制输入均相同,且不会在使用过程中发生由于飞控失效而导致动力丧失的情况。

7)电池热失控不在本文中考虑。

8)有电池冷却系统为电池提供主动散热。在其失效时,有探测警告给飞行员,且电池的设计和安装必须保证其在没有冷却系统的情况,能完成飞行任务,而不触发电池超温警告。在标准化运营中,电池冷却系统失效将触发飞行员进行备降操作。本次分析中暂不展开分析电池冷却的细节部分,并假设不同eVTOL采用相同的冷却系统。

9)电机冷却系统主要有风冷和液冷方案,设计也可能各不相同,为了便于对比分析,假定不同eVTOL采用相同的电机冷却设计方案。其由冷却马达和其他附件组成,其失效会导致电机超温,进而失效,不会导致起火。具体内容只反应在FTA分析和设备清单中,在原理图中被简化在电机中。

10)不会由于螺旋桨失效而导致动力故障。

11)线路、开关、汇流条、继电器所组成的电源和信号回路,归纳为线路部件,并按经验设定10-6的失效概率。

除以上假设外,针对具体不同eVTOL的特征,在分析过程中还有一些特定分析假设,将在具体分析中体现。此外,分析的通输入还包括,假设不同eVTOL使用尽可能多的相同的设备。其中涉及的关键设备及其失效概率数据如表1所示。

2.2 垂起尾推固定翼eVTOL动力系统架构安全性评估

对于垂起尾推固定翼构型的eVTOL,其动力装置系统主要功能包括:1)提供垂直推力;2)提供水平推力;3)提供垂直推力电源;4)提供水平推力电源;5)提供低压电源。

在FHA中,分别定义了在飞行器不同运行阶段的功能失效状态、失效影响及失效等级。失效等级根据失效影响的严重程度进行分级,分别是较小的(minor)、较大的(major)、危险的(hazardous)和灾难性的(catastrophic)。以系统垂直推力功能为例,其动力功能丧失的条件列举为4项。1)丧失任意1个垂直推力;2)丧失任意2个垂直推力;3)丧失任意3个垂直推力;4)丧失任意4个垂直推力。

对应飞行器在起飞和着陆运行阶段。丧失2个及以下垂直推力的条件,飞行器仍可以自动配平推力和力矩,对飞行任务影响较小,失效等级为“较小的/minor”;而当任意3个垂直推力丧失时(最大可用推力为悬停推力的2倍,可以通过关闭对称单元推力,并提升剩余推力,达到配平和紧急迫降的要求),飞行器必需进行迫降,因此失效等级定义为“危险的/hazardous”;而当4个垂直推力完成丧失时,飞行器将不能保持平衡,并可能丧失控制,对飞行任务影响定义为“灾难性的/catastrophic”。其他功能失效及等级划分也依此原则。

通过FHA分析可以识别有3种动力系统失效状态可能导致eVTOL飞行器完全失控的灾难性事件,分别为:1)16套垂直推力部件丧失任意4套;2)4套垂直推力电池丧失任意3套;3)低压电源完全失效。

为简化分析,以飞行器动力系统失效,不能继续安全飞行为顶事件建立FTA模型分析此3种失效状态。垂起尾推固定翼eVTOL的动力系统架构FTA分析结构如图6所示,顶事件下面的分支事件属于失效类别I事件,分别代表上述3种失效事件,该3个分支事件相互独立。3个一级分事件任意发生一个,都会导致FTA顶事件发生,因此3个分支事件经过或门输出顶事件。此处考虑到论文篇幅有限,只展示了3个支线的分析结果。

经分析,垂起尾推固定翼eVTOL的动力系统失效而导致灾难性事件的概率为6.282×10-11。

垂起尾推固定翼eVTOL构型动力系统失效导致不能继续安全飞行和着陆的FTA分析结果如表2所示。

2.3 四轴八桨多旋翼eVTOL动力系统架构安全性评估

四轴八桨多旋翼eVTOL的动力装置系统主要功能包括:1)提供垂直推力;2)提供高压电源;3)提供低压电源。

在进行FHA和FTA分析时,考虑四轴八桨多旋翼eVTOL所特有的设计特征,有额外的3个假设必须考虑:

1) 飞行器重心处于机身中心附近,且电机最大可用推力为正常悬停推力的2倍。假设对2套处于相邻轴上的推力单元同时失效的情况,可以通过加大同轴剩余推力单元的输出,同时调整其他推力,在下降的同时,进行推力和偏航配平。假设对2套同轴推力失效,将使用关闭对称轴的推力,并加大剩余推力,而进行推力配平,但此状态下无法长时间保持姿态;

2) 飞行巡航高度可以低于120m,故障后紧急着陆所花时间极短,暂不考虑由于故障条件下,推进系统设备偏离正常额定工况而导致的故障概率变化;

3) 航线上有更多的备降场地,能在需要的时候满足四轴八桨多旋翼飞行器更快的紧急响应和着陆能力。

4) FHA识别的灾难性失效条件有:1)丧失同轴2套垂直推力;2)丧失非同轴3套垂直推力;3)丧失任意3个垂直动力电池;4)丧失所有低压电源。四轴八桨多旋翼eVTOL动力系统失效导致不能继续安全飞行和着陆的FTA分析结果如表3所示。

2.4 固定翼加倾转旋翼eVTOL动力系统架构安全性评估

固定翼加倾转旋翼eVTOL飞行器的动力系统主要功能包括:1)提供推力;2)提供倾转功能;3)提供桨距调节功能;4)提供高压电源;5)提供低压电源。

在进行FHA和FTA分析时,考虑固定翼加倾转旋翼eVTOL所特有的设计特征,有额外的3个假设必须考虑:

1) 飞行器的重心设计良好,处于6套推力的中心位置,且6套推力系统合理分布,电机最大可用推力为悬停推力的2倍。在某一套推力失效后,能及时调整剩余推力功率,完成整体配平和控制。

2) 沿航向成轴对称的倾转旋翼的倾转角度,通过控制指令实现同步锁定。设计上,当倾转功能异常时,将保持故障电机和对称电机的当前倾转角度,以防止极端失序情况。考虑安装空间的限制,各个电机的倾转作动器假设为一套。

3) 调整桨距可以有效提高螺旋桨在不同工况下的气动特性。其设计主要由调距驱动作动器和调距机械附件组成,控制单元可以共用在电调的REU或倾转REU上。假设其失效,只会降低螺旋桨的气动性能,导致部分推力降低(30%以内的推力损失)。

FHA识别的灾难性失效条件有:

1) 丧失任意2套推力;

2)1号和3号倾转旋翼功能失效(旋翼编号如图7所示);

3)1号推力失效组合3号或4号倾转旋翼功能失效;

4)3号推力失效组合1号或2号倾转旋翼功能失效;

5)5号推力失效组合1号至4号中任一电机倾转旋翼功能失效;

6）丧失任意3个垂直动力电池;

7)丧失所有低压电源。

固定翼加倾转旋翼eVTOL动力系统失效导致不能继续安全飞行和着陆的FTA分析结果如表4所示。

2.5 倾转机翼eVTOL动力系统架构安全性评估

倾转机翼构型eVTOL的动力装置系统主要功能包括:1)提供主推力;2)提供尾推力;3)提供倾转功能;4)提供桨距调节功能;5)提供高压电源;6)提供低压电源。

FHA识别的灾难性失效条件有:1)丧失同侧的2套主推力;2)丧失2套尾部推力;3)全部倾转功能丧失;4)丧失任意3个垂直动力电池;5)丧失所有低压电源。

倾转机翼构型eVTOL动力系统失效导致不能继续安全飞行和着陆的FTA分析结果如表5所示。

2.6 讨论与分析

由于不考虑飞控/飞管等控制输入失效的情况,对于4种不同构型的eVTOL而言,只有推力组件(电机,电调,倾转机构,REU,冷却组件等),高压电源组件或低压电源组件故障可能导致灾难性事件。由于采用相似的电池设计来提供能源,所以由于高压电源和低压电源失效而造成灾难性事件的概率相同。

将不同eVTOL构型的推力组件相关失效进行对比如表6所示。

从结果来看,垂起尾推构型的eVTOL飞行器的动力可靠性最高,原因是由于设计的构型具有多达16套垂起推力布局,其能承担的推力组件失效数量多。

四轴八桨多旋翼明显推力冗余不够,尤其是同轴2套推力组件失效后,不能进行完善的推力配平。其设计上可以通过增加推力冗余,提高其动力系统的安全性水平。

固定翼加倾转旋翼构型的eVTOL飞行器的动力复杂程度较高,失效情况也比较复杂,推力冗余不足,且推力失效和倾转失效的不对称失效组合也较多。总的来说,此构型的总体可靠性最低。可以考虑通过提供推力组件冗余和优化控制率来提高可靠性,并可以在运营规定上进行部分缓解,即当这种情况发生在起飞和着陆时,可以直接着陆,在下降-进近阶段时,可以要求飞行器进行紧急备降以固定翼的形式滑跑着陆。

倾转机翼构型的eVTOL飞行器的动力系统也有动力冗余不足的特征,主要是任意一侧丧失2个推力之后,不足以进行推力配平完成垂直着陆。可以在运营规定上进行部分缓解,即当这种情况发生在起飞和着陆之外的阶段时,要求飞行器进行紧急备降并通过滑跑着陆。也可以通过增加动力冗余来提高动力系统的安全性水平。

1) 使用不同的安全性分析技术增加了对安全性理解的全面性和深度。这2种技术可以对可能产生危害的所有手段进行分析和理解,也识别了减轻动力系统失效风险的多种潜在途径。

2) 基于统一的假设条件和数据,安全性评估结果为4种构型中,垂起尾推固定翼构型的eVTOL动力系统失效概率较低,可靠性较优。而固定翼加倾转旋翼和倾转机翼构型由于动力冗余不足,失效概率较高,可靠性较低。这说明在关键设备失效概率一定的情况下,多冗余度的动力架构设计可以提升电动飞行器动力架构的安全性。

3)对eVTOL动力架构的危害性研究尚处于起步阶段,依据航空领域的可靠性研究经验,安全性评估结果结合eVTOL总体/气动/动力特征,可对eVTOL产品开发和动力构型选择,使用场景优化等提供重要参考依据。

文章来源于《哈尔滨工程大学学报》