Utvikling av eVTOL: Noen snarveier

Om forfatteren

Franz Walkembach har mer enn tretti års erfaring innen utvikling av innvevde systemer, hovedsakelig innen OEMer til bilindustrien, ettermarked og programvareutvikling. Før SYSGO jobbet han hos Wind River, hvor han definerte produkt-/løsningstilbud, identifiserte kundebehov og sørget for omsetning/fortjeneste for bilproduktsegmentet. Hos SYSGO leder han markedsførings- og partneradministrasjonsaktivitetene og er en del av ledergruppen.

Walkembach har en diplomingeniørgrad i mekatronikk og er aktiv i ulike bransjekonsortier.

Etter hvert som byene våre blir travlere, blir eksisterende transportnettverk mer overbelastet. Vi har alle sett ambulanser slite med å komme seg gjennom fastlåste gater, eller komme for sent til avtaler på grunn av trafikk. Det er derfor de som er ansvarlige for urban mobilitet ser etter smartere måter å flytte mennesker og varer rundt på, spesielt i situasjoner der hvert sekund teller.

Frakt pr luft

I tillegg til å utnytte eksisterende infrastruktur bedre, er en av løsningene som utforskes å ta i bruk luftrommet. Elektriske ubemannede luftfartøyer (UAVer) er allerede mye brukt til fotografering og videografi ovenfra, inspeksjon av infrastruktur og overvåking. Etter hvert som teknologien utvikler seg, vil disse flyene kunne transportere større nyttelaster, først varer, og senere til og med mennesker.

Dette ser ut til å bli virkelig transformerende. Det kan bli standard praksis for ambulansetjenester å frakte medisinsk nødutstyr eller også ambulansepersonell direkte til en hendelse, uten behov for å bruke dyre helikoptre – som også kan være vanskelige å lande i byområder. Andre steder kan det redusere kostnadene og miljøpåvirkningen for nasjonale og regionale reiser for alle.

eVTOL: Åpner himmelen

For å kunne utnytte luftrommet over bebygde og tettbygde områder til transport av varer og personer, vil fly som kan ta av og lande vertikalt, ved hjelp av elektrisk fremdrift, være nøkkelen. Denne flytypen er kjent som et elektrisk vertikalt start- og landingsfly (eVTOL). Analytikere hos Research Dive spår at det globale markedet for eVTOL-fly vil øke med nesten 30 % per år mellom 2025 og 2033, til en totalverdi på 4,2 milliarder dollar.

Enormt potensiale

Dette markedet representerer et enormt potensiale, men det er ikke lett å komme seg inn i. De som lager sivile eVTOL-fly for dette formålet, må i hovedsak lage et fly som kan sertifiseres til sammenlignbare sikkerhetsnivåer som kommersielle fly, men til en brøkdel av kostnaden. Dette inkluderer sikkerhetsstandarden DO-178C for flyelektronikk. Og der det er potensial for katastrofale konsekvenser som setter flere liv i fare, må det høyeste nivået av DAL A oppnås – det samme som for store kommersielle passasjerfly.

Krever andre styresystemer

Totalt sett er eVTOL-fly enklere enn store kommersielle passasjerfly. Dette kan bidra til å redusere kostnadene, siden systemene om bord også kan være mindre komplekse. Ingeniører kan imidlertid ikke bare gjenbruke konvensjonelle flystyringssystemer for eVTOL-fly, av forskjellige årsaker.

Store forskjeller

For det første, selv om mange eVTOL-fly i prinsippet er helikoptre, vil de vanligvis ha flere rotorer enn et tradisjonelt helikopter. Dette resulterer i større kompleksitet i styresystemet. For det andre, i motsetning til konvensjonelle fly, har eVTOL-fly vanligvis ingen hydrauliske systemer og er i stedet helelektroniske. For det tredje reagerer de elektriske motorene som brukes til fremdrift svært forskjellig fra turbinmotorer eller turbopropmotorer, spesielt deres evne til å produsere kraft nesten umiddelbart. For det fjerde er energilagring og -levering fra batterier markant forskjellig fra bruk av konvensjonelt flydrivstoff.

Sikkerhet og kompleksitet

En ytterligere faktor er at eVTOL-fly uten vinger ikke kan gli slik et fly med faste vinger kan. Følgelig trenger eVTOL-flyet en alternativ måte å lande trygt på i en nødsituasjon. Alt dette resulterer i svært forskjellige krav til systemene om bord – og det er før man legger til behovet for at designere sørger for at alle komponenter er sikre mot cyberangrep. Kostnadene og kompleksiteten ved å lage eVTOL-systemer og oppnå sertifisering kan derfor være betydelige.

Muligheter

Den gode nyheten er at det finnes teknikker for å holde disse kostnadene nede, samtidig som man sikrer at flyet er trygt og sikkert. Vi skal utforske noen måter ingeniører kan gjøre dette på nedenfor, men la oss først skissere de viktigste sikkerhetskritiske elektriske delsystemene og de underliggende systemene de er avhengige av.

Arkitektonisk oversikt, elektroniske delsystemer og sikkerhetstiltak

For at et eVTOL-fly skal kunne operere trygt, kreves det en rekke systemer som integreres sømløst med hverandre. Disse inkluderer vanligvis blant annet:

• Batteristyringssystem (BMS)
• Flykontrollsystem (FCS)
• Motorstyringsenhet
• Situasjonsforståelsessystemer
• Navigasjonssystemer
• Kommunikasjonssystemer
• Menneske-maskin-grensesnitt (HMI)
• Overvåkingssystemer
• Gjenopprettingssystemer

Hvert delsystem har sine egne moduler som må partisjoneres fra hverandre, slik at ingen elementer kan forstyrre den korrekte driften av et annet. Dette er viktig av flere grunner.

WCET

For det første, når brukt med et sanntidsoperativsystem (RTOS), lar partisjonering flydesignere garantere at oppgaver kjører innenfor en definert tidsramme – verst tenkelig utførelsestid (WCET). Dette er fordi de vet at de nødvendige CPU- og minneressursene er øremerket for det. Dette er viktig for sikkerhetskritiske systemer, som for eksempel flystyringssystemet: du må være helt sikker på at en styremanøver vil bli utført mer eller mindre umiddelbart, for eksempel.

For det andre ivaretar partisjonering gjenopprettingsmekanismer. Hvis ett system feiler eller krasjer, vil det ikke føre til at andre krasjer, eller at det iverksettes feil handlinger. Et batteristyringssystem og tilhørende helseovervåkingsfunksjoner bør for eksempel distribueres i sin egen partisjon, som vist i utdraget fra et eksempel på et eVTOL-arkitektur-

Gjenoppretting

Hver partisjon har sin egen datainnsamlingsapplikasjon (DAQ), som samler inn data fra sensorer i batteripakkene, koblet til via IO-drivere. Disse dataene publiseres til eVTOL-flyets sentraliserte overvåkings- og administrasjonsplattform. Hvis denne plattformen identifiserer et problem med en av batteripakkene, kan den iverksette den nødvendige intervensjonen for å løse dette (f.eks. en avstengning av den batteripakken), uten å påvirke den andre batteripakken eller flyet ellers. En slik gjenopprettingshendelse for en intervensjon kan for eksempel være overoppheting av en av batteripakkene.

Sikkerhetssertifiserte miljø

Det er i denne partisjoneringen sikkerhetssertifiserte utførelsesmiljøer, som ARINC 653-kompatible partisjoner, kommer inn i bildet. ARINC 653-spesifikasjonen beskriver (operativ)systemer som administrerer ressurser i flyelektronikksystemer. Sysgos PikeOS, for eksempel, kommer med sitt eget ARINC 653-kompatible gjesteoperativsystem som er innkapslet i en slik partisjon som isolerer de ulike systemene som kjører oppå den/de underliggende prosessoren(e) og minnet.

Arkitektur

I moderne fly er sikkerhet en integrert del av tryggheten. Dette betyr at fly også krever sikker arkitektur. Derfor er det svært fordelaktig å ha et bakkesystem som kommer med prov på en sikker arkitektur, for eksempel de som har en gyldig og høy Common Criteria-sertifisering.

Effektivisering av sertifisering av komplette fly

Fordi det viktigste aspektet når det gjelder flysikkerhet for eVTOL er funksjonell sikkerhet, trenger designere et basissystem eller fundament som inkluderer sertifiseringsartefakter som kan gjenbrukes i nye prosjekter.

Å velge et RTOS og en hypervisor som tilbyr et DO-178C-sertifiseringssett som demonstrerer sikker funksjonalitet opp til DAL A, betyr at ingeniører ikke trenger å sertifisere utførelsesmiljøet eller operativsystemet fra bunnen av. I stedet kan de levere denne dokumentasjonen til sertifiseringsmyndigheten sin, som en del av den bredere flysertifiseringsprosessen. Dette akselererer til slutt sertifiseringen og reduserer kostnadene.

Muligheten med flerkjerneprosessorer

Den andre betydelige fordelen Sysgos PikeOS gir eVTOL-flyingeniører er muligheten til å frigjøre kostnads- og ytelsespotensialet til flerkjerneprosessorer (MCPer). Innen eVTOL-området kan dette bety å bruke MCPer til å styre flere av de ovennevnte innebygde systemene, samt ikke-sikkerhetskritiske komponenter. Ved å konsolidere maskinvare på denne måten kan ingeniører redusere materialkostnaden (BOM) og flyvekten.

Man har tradisjonelt unngått MPCer i avionikk på grunn av kompleksiteten ved å bestemme de nevnte WCETene. Det finnes imidlertid ny veiledning fra EASA om hvordan man bruker MCPer på dette området (se AMC 20-193). Dette betyr at eVTOL-designere nå kan bruke MCPer i symmetrisk multiprosesseringsmodus (SMP), og dele sikkerhetskritiske- og andre oppgaver på tvers av alle kjerner, på en måte som kan oppfylle strenge sikkerhets- og trygghetssertifiseringer.

Bruk av en MCP i SMP-modus krever et ARINC 653-kompatibelt utførelsesmiljø for å sikre at sikkerhetskritiske systemer som bruker MCP ikke kan forstyrres. Ved å gjøre dette kan ingeniører definere sine WCETer på en forutsigbar måte. Det andre hovedkravet er en hypervisor som muliggjør kjøring av alle systemer i ARINC 653-utførelsesmiljøet, og dermed gir en enkelt, sikker plattform for designere å bygge flyene sine på.

Ta til himmels

Sysgos designingeniører har jobbet med en rekke organisasjoner innen luftfart og kan hjelpe eVTOL-utviklere gjennom utviklingen av deres innovative fly. Denne kraftige kombinasjonen av teknologi og ekspertise kan forkorte tiden det tar for eVTOL-produsenter å få luft under sine visjonære ideer.

For å lære mer om utvikling og sertifisering av eVTOL-flysystemer ved hjelp av Sysgos PikeOS RTOS og hypervisor, inkludert de ulike sertifiseringssettene som støtter arbeidet ditt, kan du gå til www.sysgo.com/pikeos.