由于本次eVTOL熱潮與無人機技術發展有不解之緣，因此很長一段時期，eVTOL在公眾，甚至部分從業者的語境中，與無人機十分接近；而在多個廠商的樣機進入適航審定階段的今天，各適航當局對用于UAM的eVTOL的審定要求約等于23部規章，已經成為共識，eVTOL的研制過程，也自然需借鑒23部飛機的流程、規范、標準。

eVTOL飛控身上的四座大山

潛在市場對eVTOL高安全、大規模、高度自動化運行的需求，加上適航規章這一安全性最低標準，使得飛控系統成為eVTOL落地的關鍵挑戰之一，筆者將eVTOL飛控的核心難點總結為四座大山：

安全性、成本、重量、復雜度構成的不可能金字塔，任何涉及這幾項性能的系統均需要權衡

高安全性：航空業對安全性的極致追求，使得航線客運成為單位里程事故率最低的交通工具，盡管如此，空難對公眾心理的沖擊仍是巨大的，可想而知，公眾對城市上空運行的eVTOL事故率的要求會更高。

我們也了解現階段普遍運行的支線和干線飛機，在良好維護和準確操作的情況下，飛控系統功能失效率遠低于適航規章要求。這得益于現代航空工業總結出的一系列標準、指南和最佳實踐（例如ARP4754及相關指南），指導高可靠性飛控及其他機載系統的研制和驗證，即從技術上和工程實踐上，該要求都是合理且可以滿足的。

值得注意的是，與設想中的UAM運行場景較為接近的135部按需（On-demand）運行，盡管所用飛行器的設計安全性達到適航審定標準，但由于運行場景環境復雜，通航公司管理和飛行員、機務水平參差不齊，導致事故率仍然較高（對比Part 121客運的低于0.1/百萬飛行小時）。

下圖為美國交通部統計的本國135部按需運行逐年事故率，這種事故率對于大規模UAM運行可能是公眾無法接受的。

美國交通部135部按需運行事故率統計數據

根據不同的統計數據，飛行事故僅有約10-20%是由飛行器自身功能失效引起的（對照上圖數據，由飛行器自身功能失效引起的災難性事故率約0.2-1.2/百萬飛行小時），而大部分事故是由于飛行員操作失誤。

波音統計的事故原因數據

如果按照簡化飛行（和維護）操作（SVO）的理念，飛行員在非極端情況下無需負責基礎飛行操作（如姿態穩定、高度保持等），以及加入了包線保護、障礙物預警（或自動規避）、氣象預警（或自動航線規劃）、自動故障預測診斷和隔離重構等功能之后，事故率有望顯著降低。

輕量化：所需的安全性在技術上和工程上都是可實現的，但對于eVTOL的特殊需求，會出現新的問題。我們希望eVTOL可以在2030年前實現成規模、可盈利的商業運營，但卻無法寄希望于電池性能在此之前突飛猛進，從而達到現有直升機的載荷系數，以至于在可預見的將來，eVTOL都要極致減重，才可能具備實用的載荷能力。

這種情況下，民航飛機上ARINC600機箱內，動輒單臺重量十幾公斤的計算機，是eVTOL所無法承受的。 下圖是較早期Joby公布的 S4機型重量占比，我們可以看到電池和推進系統重量占比達到54%，為了承載飛行員和4名乘客，必須將結構、飛控、儀表、導航、防火等系統總重量壓縮至25%（約550kg），這種情況下，飛控和航電設備總重量要低于100kg。

Joby公布的重量占比數據

我們無從得知Joby S4原型機的重量配比是否依然如此，更無法預測未來取得型號許可證的原型機版本的飛控系統重量會是多少，但極致的輕量化設計是eVTOL機型必須要考慮的。

霍尼韋爾用于eVTOL的電傳飛控模塊

霍尼韋爾等傳統廠商也依托技術積累，進行了將電傳飛控計算機、雷達等設備輕量化的嘗試。事實上，僅依靠設備的輕量化是遠不足以滿足成熟階段eVTOL（多種多樣機型對于機載系統架構靈活性）的要求，而是需要從系統架構到設備功能均進行獨特設計。

例如，對于飛控等機載電子設備，在滿足系統安全性、環境適應性的前提下，需要通過提高集成度降低計算機等設備數量和重量，通過總線技術降低線纜數量和重量，通過電力電子技術減少繼電器、保險絲的重量等。

高復雜度：無論是提高飛控等系統的集成度，還是簡化飛行（和維護）操作，所帶來的都是系統或設備復雜度的顯著提升。

早期獨立式或聯合式的機載電子系統架構中，一臺設備僅有一項或幾項功能，各功能的失效具有較好的獨立性，而對于綜合模塊化航電設備，單個設備可能承載多個功能，這時不同功能的失效之間可能產生密切關聯，這種情況下對功能、設備進行設計和驗證的符合性方法，在DO-297等指南中有所闡述。（其基本思想包括：資源共享、魯棒分區、應用程序接口和健康管理，并以ARINC 653標準為例進行介紹）。

盡管DO-297等指南提供了綜合模塊化航電系統的設計核符合性驗證方法，但并不能降低系統的復雜度，相反，為了保證足夠的安全性，反倒提升了操作系統復雜度。

研究過程中，我們注意到：ARINC 653標準本質上是在單核或較少內核處理器的前提下采用了時間分區和空間分區，隨著微處理器的多核趨勢逐步明顯，（英飛凌TC397、TI TDA4等）6核以上的處理器開始出現，則可以考慮以不同的內核天然的物理隔離代替時間分區，即原來運行在不同分區的駐留應用，現在可以運行在不同內核上實現隔離（時間分區帶來的延遲也得以消除），空間分區則繼續以硬件hypervisor作為載體，此舉有望降低分區操作系統的復雜度。

NASA簡化飛行操作等級

簡化飛行操作與當前操作對比，從理念上便具有重大差別，在系統設計中也將產生深遠影響

簡化飛行（和維護）操作的設計理念所帶來的復雜度提升則更明顯。例如，在傳統飛控系統設計過程中，很多失效條件下會以飛行員作為兜底的“備份系統”，而且（除了事無巨細的防止誤操作的設計和措施以外）認為飛行員總能做出正確決定，這也是波音737 MAX悲劇的重要原因（當值飛行員并不知道飛機搭載了MCAS系統，因此很難在第一時間做出關閉俯仰配平的決定）；而在設想的不同等級的簡化飛行操作中，需要飛行員操作或兜底的項目隨等級提升而大幅降低，而這些項目相關的控制律，故障診斷、隔離、恢復策略軟硬件安全性就需要靠設計來保證。相對于有飛行員兜底的情形，每個等級簡化飛行操作所帶來的邏輯判斷和決策分支都將會有數量級的提升。

邏輯分支的數量級提升，帶來的是驗證工作量的指數級提升，盡管有數據表明，優秀的工具鏈配合書寫規范全面的需求，可以實現超過85%用例的自動化測試，但無法自動完成的部分，手寫測試用例的難度往往更大，尤其是數量級足夠大時，所帶來的難度和成本都是筆者無法估計的。

除了簡化飛行操縱，設想中的簡化維護操作也將大幅度降低維護成本，并有效降低維護不利造成的事故率。但隨之而來的同樣是自動化維護所需增加的電路、傳感器、設備、軟件邏輯、故障預測方法、數字孿生模型等，以及這些新增部分的安全性設計、驗證工作。

低成本：前述三座大山所需的新技術研發、新標準制定、復雜度提升、新軟硬件開發等過程，所帶來的都將是海量的研發成本，而低成本化和eVTOL機隊規模提升又是相輔相成的過程。行業要做的是推進和把握市場成熟的節奏，以較快的速度將低成本化和機隊規模提升二者形成一定時期的正反饋。

參考近年來汽車工業及其智能化的發展過程，我們也許能看到其用銷量均攤成本、依靠專業的零部件供應商、制定全球通用的軟件標準等趨勢。但這些都是eVTOL行業的終極目標，短期內仍與汽車工業無法對比，eVTOL行業的現狀是：無論是主機廠還是供應商，都無法準確預測市場發展節奏，也無法給出細化到設備級的詳細需求，現在能做的只有主機廠和供應商應一起合作進步，隨市場發展而發展。

2.eVTOL飛控系統組成

飛控系統是較為復雜的機載系統，涉及機電設備、電子軟硬件、算法等多個大方向，不同的語境中，飛控在不同的語境中，可能指的是不同的部分。下圖為典型飛控系統研制過程可能包含的項目，圖中的不同顏色展示了不同角色之間可能的分工。

實際上，考慮到飛控系統的安全性需求，各項目的研制保證和驗證工作大多門檻較高，因此不同的機型，不同的合作模式下，下圖會有多種變化，例如AFDX總線就是波音和空客聯合主導開發，技術實力強的主機廠也會深度參與飛控應用軟件和硬件的開發工作；相反的，小廠商可能將控制律設計也外包進行。

下圖為空客A350機型飛控系統示意圖，其中：

主飛控計算機（PRIM）、次級飛控計算機（SEC）和備份控制模塊對應上圖中的計算機、控制器部分。在空客A350機型中，安裝三臺相同的主飛控計算機，但每臺計算機內部設計有非相似的指令通道和監控通道，二者使用不同的硬件運行功能相同，但獨立開發的軟件；當三臺主飛控計算機均失效時，次級飛控計算機輸出舵面指令，但次級飛控計算機上只運行直接控制律相關軟件，不具有包線保護、自動油門等高級功能；當次級飛控計算機也全部失效后，啟用備份控制模塊，其中運行的程序僅能控制部分重要氣動舵。

側桿、手柄、手輪、腳蹬、面板，以及舵面作動器對應傳感器、執行器部分。該部分涉及多種與飛控功能密切相關的傳感器、操縱機構、機電系統，且導航、大氣數據等傳感器未在圖中展示。

線纜（圖中箭頭）、數據連接器（FCDC）對應上圖中的通信總線部。

中央顯示系統（CDS）、告警系統（FWS）和中央維護系統（CMS）雖然與飛控系統緊密相關，但通常不作為飛控系統的組成部分。

A350飛控系統簡圖

中短期（實現無需機上駕駛員的全自主飛行之前）內，eVTOL的飛控系統與民機將采用相似的設計思路（如下圖所示）。但由于極致輕量化的需求，硬件設備及拓撲結構將會有明顯不同。例如：

根據不同的操縱邏輯設計，eVTOL操縱可能不需要腳蹬（例如Joby），操縱面板可能用觸摸屏代替（例如億航）；

根據運行風險不同，飛控計算機可能從單余度到非相似多余度，可以固定翼模式水平著陸的機型，可能包含運行直接控制律的應急飛控計算機；

由于eVTOL機身較小，遠程數據集中器的使用可能減少或不使用；

飛控計算機將集成更多的功能，如飛行管理、健康管理等。

eVTOL飛控的可能形式，其中虛線指根據機型不同，該項可能存在，也可能不存在

下圖為Joby飛控系統的一種可能實現方式（來源于專利文檔），其巧妙之處在于采用POE以太網交換機，將供電和通信網絡合二為一，所有飛控計算機和其他設備均掛在該總線上，并可能將安全關鍵部分和其他部分隔離的方式在物理上實現安全分區，盡管當前看不到該架構在安全性指標，但這不失為通過優化拓撲結構降低系統重量的可能途徑。

Joby飛控系統的一種方案變體

3.飛控系統研制所需資源

前面一直在說飛控系統非常復雜（大家都知道的事情，等于沒說），下面通過一些數據稍微直觀地感受一下飛控系統的工程量。

200人，5年

這是馬可尼（后并入BAE）公司完成波音777電傳飛控系統開發的工程量，筆者無法查到馬可尼公司在總開發工作量中的占比，暫時認為其承擔了其中的絕大部分，我們回顧一下ARP4754中的開發流程示意圖，通常只有設備（LRU）內部的機電、軟硬件研制才定義為開發（Development），整機級、系統級，乃至設備（LRU）的需求及安全性研制，均稱為設計（Design）。

在V字型流程中，通常僅有底部的軟硬件詳細設計階段成為“開發”

在如下圖所示的波音777電傳飛控系統及支持系統框圖中，開發工作可能包括：

3*3余度主飛控計算機（PFCS）軟硬件開發

作動器控制單元（ACE）

功率控制單元（PCU）

駕駛桿、手柄所需的變送器（Transducer）、作動器（Actuator）等

1800個需求，10000次變更

波音777僅自動飛行指引系統的研制過程中，就包含了約1800個需求（不包含軟硬件底層需求），超過10000次需求變更。我們知道在飛行器研制系統工程中，每項需求相對于一個小工作包，研制過程設計需求的捕獲、分解、確認、評審、開發、驗證、審查等一系列工作。

需求分解、追溯過程簡圖

150萬代碼

波音787飛控計算機所包含的代碼量，該飛控計算機采用三通道+三余度架構，每臺飛控計算機軟件相似，硬件非相似，因此除了與硬件強相關的驅動之外，這些代碼中的大部分在三個通道中是相同的，我們可以大膽（且不負責任）地猜測一下這些代碼的組成部分。

這些代碼中，核心控制律、狀態機、故障診斷、維護相關以及部分冗余代碼為機型強相關，難以大量重用既有代碼，其開發過程需嚴格按照與安全性需求匹配的流程進行（飛控系統絕大部分軟件為DAL-A級）。當然，飛控軟件的開發過程早已大量采用基于模型開發+代碼自動生成，但代碼量與系統復雜度強相關，因此海量的代碼也對應極其復雜的模型，其需求、設計、驗證、代碼生成并背靠背測試的工作量也是相當可觀的。

4.eVTOL飛控的未來

eVTOL作為設想中便捷、安全、靈活和低成本的飛行器，其飛控頭上的四座大山意味著民機供應鏈當前無法滿足需求，也無法照搬民機飛控系統研制流程，筆者對eVTOL飛控系統的未來做了一些思考：

尋求相對敏捷的研制流程

eVTOL多樣化的機型和場景，意味著其飛控系統型號數量和迭代速度將遠超當代民機飛控，能夠支持較快速迭代的軟硬件平臺和開發工具鏈就成為至關重要的環節。敏捷開發并非“想到哪寫到哪的自由開發”，考慮到eVTOL固有的高安全性需求，安全性評估過程、雙向可追溯性和測試驗證的完整性不能省略，相反地，安全關鍵系統的敏捷開發需要在這些方面加強，主要措施可能包括： 隨時隨處考慮安全性：想要使用敏捷的開發流程實現傳統V字過程的安全性，難度是更大的。

無論是硬件還是軟件，都需要每個設計和開發人員均具有安全關鍵系統開發基礎（例如學習相關標準規范、實施案例），從而在設計和開發過程中自發消除基本的安全隱患；此外，評審過程要有自身安全性人員參與；然后，在持續集成和自動化測試過程中發現遺漏的風險項。在這個過程中，需要靈活且穩妥的需求變更機制、開發人員的基礎能力、有效且便于落地的評審機制予以支持 高度自動化的測試驗證過程：對于系統、軟件或硬件，其測試驗證過程所花費的工作量通常大于開發過程，因此自動化測試驗證是保證開發敏捷性的關鍵環節，好在基于模型設計已經可以將功能測試提前到模型環節，高效的軟件自動化測試平臺也已普遍應用。

此外，（將各軟件模塊）持續集成工具鏈、高置信度的軟件在環/硬件在環仿真系統，以及對仿真結果的性能評價系統，均是必不可少的。 重用和可擴展性：層次化、模塊化設計有利于軟硬件功能的高聚合、低耦合，在工程中已普遍使用，在此基礎上，為了能在安全關鍵系統的迭代設計中對盡可能多的的軟硬件模塊進行重用，還需要有特殊考慮。

對于硬件，需要為未來需求預留較多的算力、電源、散熱等性能，以及對稱多余度（即可以通過增加相同的硬件模塊提升整體性能）的可擴展結構；對于軟件，則需要盡可能提煉出通用的原子組件（僅實現單個功能的函數或文件）及其對應需求、功能描述、使用邊界等文檔。

安全等級循序漸進

在上述敏捷開發流程中，列舉了復雜的設計開發準則和工具鏈的框架，但當前仍沒有完整的范式可以直接使用，而且具體到每個企業、團隊，可能的實現方式也將千差萬別。因此涉及飛控系統研制的主機廠和供應鏈企業，可能需要盡早搭建適合自己的規范和工具鏈體系，從樣機到產品，從低安全等級到高安全等級，在發展中進行完善。

設計模式包羅萬象，但經常會浮于表面，或落入窠臼

智能化等級逐步推進

全自主飛行是各eVTOL機型宣傳的重點之一，前面也說到現代民機自動化程度非常高，但在許多情況下仍需要飛行員的決策和操縱來保證安全，自主化程度越高，意味著越需要飛控系統完成此類決策和操縱，需要設計龐大的規則庫，特別是在引入以深度學習為基礎的感知這一非確定性之后，基于現有框架已經無法表明安全性符合要求。

EASA在其AI路線圖中，明確將探索人工智能的可解釋性，并將人工智能、機器學習如何納入系統安全評估過程的指南、在設計層級使用人工智能、機器學習的功能說明書、人工智能、機器學習用于系統設計影響的考慮。因此eVTOL的高度智能化一定不是短期內可以實現的，要做好持久戰的準備。

EASA的AI路線圖將人工智能分為三級：輔助人類飛行員（一級）、與人類飛行員聯合（二級），以及自主智能（三級）。對于商業運營類飛行器，EASA預計2025年實現一級智能，2030年實現二級智能，而2035之后實現三級智能。

尋求使用汽車供應鏈

曾幾何時，當飛機都已經使用玻璃座艙時，絕大多數汽車上幾乎沒有處理器存在；在綜合模塊化航電系統成熟的21世紀初期，汽車電子系統仍采用分立式架構；但在自動駕駛、智能座艙飛速發展多年以后，汽車電子的綜合化、自動化和智能化程度幾乎反超航空電子，特別是在ISO 26262標準的引領下，汽車電子在安全性方面已經逐步接近航空電子。再加上汽車產業的規模效益大幅降低軟硬件成本，使得在一些安全等級要求不嚴苛（例如小型貨運、FDAL-C等級功能相關）的設備上使用汽車供應鏈產品成為極具吸引力的可能性。

審核編輯：劉清