在分布式电推进(DEP)的 eVTOL 运行剖面中,能量是极其稀缺且昂贵的资产。与智能汽车能够随时靠边停车、或者依赖大容量混动发动机源源不断提供辅助发电的工况不同,eVTOL 在遭遇突发空中紧急情况(如某组动力电池包热失控被迫隔离、或者遭遇大跨度风切变导致多电机全功率超载运行)时,整机微电网(HVDC)将瞬间面临电能供需失衡的致命危机。
在智能汽车行业,类似的策略被称为低电量电源管理模式(Low Power Mode) 。车企工程师习惯于依赖车载网关动态监测电池 SoC,当电量过低时,系统会向总线发送一条指令,关闭座椅加热、降低空调功率、甚至关闭中控大屏。这种做法的本质是基于舒适度损失的延时体验优化,属于"尽力而为(Best-Effort)"的动态调节。
然而,在航空适航(ARP4754A / DO-178C)的铁律下,eVTOL 的智能负载卸载策略(Smart Load-Shedding Strategy)是一套攸关生死的、具有绝对确定性的硬核安全控制律 。它的终极目标是:在全机突发低电量或电源塌陷的极限状态下,用冷酷的法理逻辑,在微秒级剥离非关键载荷,将最后的每一瓦电能死死护送给 DAL A 级的飞控计算机和主推进旋翼。
Ref: https://www.eet-china.com/mp/a424278.html
8.3 智能负载卸载策略
为了确保 eVTOL 在极限电气工况下不发生由于全网电压塌陷导致的整机坠毁,第 8.3 节必须从负载分级、卸载时序算法以及适航自证三个工程维度进行彻底细化。
1. 载荷主权分级:适航 DAL 等级与配电优先级的刚性绑定
汽车电子在决定砍掉哪个配置时,往往取决于用户体验的优先级(先砍娱乐,再砍空调,最后砍大灯)。而在航空微电网中,负载的切断优先级与该设备承载的功能危害等级(DAL A 到 DAL E)形成了绝对的、不可更改的刚性绑定:
-
一级不可卸载载荷(DAL A / 绝对主权):
-
目标设备:主飞控计算机(FCC 1~3)、分布式电机电控(ESC)的核心驱动级控制板、电传机电作动器(EMA)的驱控回路、应急降落伞触发系统。
-
配电策略:这类载荷是全机生命线的底层,拥有绝对的不被切断权。即便全机电池烧得只剩最后一组,SSPC 也必须不惜一切代价保证其不间断供电(Uninterruptible Power supply)。
-
-
二级可延迟/限功率载荷(DAL B / DAL C / 相对关键):
-
目标设备:探测与避让系统(DAA)、空地甚高频电台(VHF)、气象雷达、防冰除冰加热毯、客舱紧急制氧与气压补偿网关。
-
配电策略 :在微电网发生二级扰动(如单电池包熔断隔离)时,SSPC 会启动降额控制(De-rating)。例如,将除冰毯的加热功率降低 50%,或者将 DAA 雷达的扫描频率从 50Hz 静态切至 10Hz,释放出的算力与电能立刻回补给动力段。
-
-
三级可瞬间丢弃载荷(DAL D / DAL E / 物理断路):
-
目标设备:智能座舱多屏渲染主机、客舱环境控制空调(ECS)、全机LED情景氛围灯、低空 5G 运营数据 T-Box 载荷模块。
-
配电策略 :一旦整机总功耗触发一级预警红线,区控(Zonal)内的 SSPC 必须在微秒级执行物理强断(Load Dropping)。客舱瞬间一片漆黑、空调停转,将所有的电学动能在一瞬间榨取出来,全部拨给旋翼。
-
2. 卸载算法控制律:从"静态阈值跳闸"向"动态 I\^2t 预测卸载"升维
传统的低端配电系统使用静态电压阈值作为切断依据------"只要低压母线电压跌破 22\\text{V},就执行跳闸"。这种做法在 eVTOL 的动态低空飞行中会引发严重的频繁误跳闸灾难。因为多电机在遭遇阵风瞬间拉载时,母线电压会发生一瞬间的正常瞬态跌落(Transient Dip),此时如果盲目切断座舱或导航,会导致飞行员瞬间陷入恐慌与信息断层。
eVTOL 的智能负载卸载算法,必须采用基于母线能量积分与动态时窗预测(Dynamic I²t Predictive Load-Shedding)的闭环控制律:
-
动态储能池(Energy Buffer)数学建模:
算法实时监测高压/低压母线的电压变化率(\\frac{dV}{dt})与全网总电流积分(\\int I\^2 dt)。
-
卸载状态机的三级渐进执行:
-
【状态 1:观察预警(Phase 1 - Alert)】:当检测到电流积分开始逼近电池组安全放电曲线拐点时,算法不进行物理切断,而是通过时间触发以太网(TTEthernet)向全网发送 HLR 级控制信令,通知 DAL D/E 级设备主动进入休眠或限流状态。
-
【状态 2:一阶滚雪球卸载(Phase 2 - Shedding Step A)】 :若 \\frac{dV}{dt} 持续恶化,表明电网正在发生雪崩式塌陷。Zonal 区控内部的 SSPC 控制器在不经过中央 CPU 批准的前提下(触发本地硬件中断),在 1 毫秒内 直接将所有三级载荷的 MOSFET 栅极电压拉低,物理关断整个座舱和空调网络的供电通路。
-
【状态 3:二阶非相似保底卸载(Phase 3 - Extreme Emergency)】 :在极端的全机单发失效工况下,算法启动最终的非相似保底机制。此时,除了维持最低限度的悬停/滑翔飞控姿态解算和 2 组核心对冲电机的供电外,连 DAL C 级的主导航、空管通信电台也将被强行截断。飞机进入纯粹的"盲飞保命"模式,所有残存能量仅用于驱动四组旋翼硬扛最后 30 秒的物理迫降。
-
3. 适航的终极盘问:如何证明卸载过程的"确定性"?
汽车工程师在通过 A-SPICE 审计时,只需提供低电量状态机的软件逻辑跳转报告即可。但在 DO-178C / DO-254 针对 DAL A 级卸载策略的穿透式审计中,局方会直接开出最严厉的 Findings:"当大功率 AI 感知芯片在死机瞬间引发高电流杂讯时,你的卸载软件会不会因为短路求值优化错位,误把飞控主通道电源当成座舱电源给卸载了?"
为了封死这一技术地雷,卸载策略在硬件与软件层面必须执行"控制与执行非相似硬剥离":
-
硬件电路的"物理单向锁(One-Way Interlock)":
在 Zonal 区控的硬件设计上,核心 DAL A 级配电通道(SSPC A)的控制引脚,必须通过硬件二极管阵列和反向逻辑门,与普通三级载荷通道(SSPC C)实现电学层面的单向物理不可逆设计。在印刷电路板(PCB)的物理走线层,任何因软件跑飞导致的乱码指令,即便误触发了全板引脚的翻转,也绝不可能产生能够物理关闭 SSPC A 栅极的电平组合。
-
目标码(Object Code)的穷尽证伪:
负责执行 \\int I\^2 dt 动态计算和卸载状态机跳转的代码,必须按照 DO-178C DAL A 级的严苛标准,在板级微处理器上跑出 100% 的 MC/DC 目标码覆盖率。工程师必须向审查代表出具硬核的数学追溯矩阵,证明该卸载控制律在经历几万种极端噪声、随机单粒子翻转(SEU)的组合袭击下,其输出结果有且仅有一个唯一确定的解------那就是"牺牲次要,确保飞控"。
技术特性深度对照矩阵
将汽车电源管理与航空智能负载卸载的特征对比总结如下:
| 策略控制维度 | 智能汽车电源管理模式(车规范式) | eVTOL 航空智能负载卸载(适航范式) | 跨界设计转换关键落脚点 |
|---|---|---|---|
| 触发驱动核心 | 电池静态电量(SoC)或静态电压。侧重用户用车时间周期的拉长。 | 母线电压动态变化率(\\frac{dV}{dt})与全网电流 \\int I\^2 dt 积分。 | 将控制律从"静态看门狗监测"升维为"基于动态能量积分的时窗预测"。 |
| 切断执行时间 | 秒级。通过车载网关(CAN总线)动态发送软指令,设备自愿关闭。 | 微秒级(\\le 1\\text{ms})。由 Zonal 区控硬件中断直接硬行拉低 MOSFET 栅极。 | 抛弃动态软件信令订阅,升级为由硬件中断直接执行的强行物理断路。 |
| 自保拦截机制 | 无。软件若发生发疯式误操作,可能导致全车屏幕死机或动力受限。 | 硬件级单向锁(One-Way Interlock)。物理阻断跨高低等级通道的指令污染。 | 在 PCB 层设计电气单向隔离闸门,确保低安全等级软件绝无可能染指飞控供电。 |
| 验证与交付资产 | 状态机仿真胶片、DV/PV 阶段的低电量台架测试报告。 | 符合 DO-178C DAL A 的 100% MC/DC 目标码验证报告、HAS 硬件总结报告。 | 用数学逻辑和穿透式目标码分析,证明卸载指令在十亿运行小时内的绝对确定性。 |
结论:
"智能汽车的电源管理是一份'带有温情主义的用户体验妥协',它在电量不足时通过剥夺空调和娱乐来换取微不足道的续航里程。而 eVTOL 的智能负载卸载策略,则是一部'冷酷、决绝、毫无妥协余地的微电网主权宪法'。车企跨界团队必须将'软信令动态通知'的地面习惯,彻底升维为由母线能量积分预测强行触发的'微秒级硬件物理断路'。在万英尺高空,当电网因故障发生雪崩塌陷的生死关头,算法必须像战场上的督战官一样,在毫秒内毫不犹豫地掐断座舱娱乐和客舱空调的物理肉身,将最后一安培的电流化为护送主推进旋翼和飞控大脑的钢铁盾牌。这种将适航 DAL 等级与硬件引脚单向锁(One-Way Interlock)死死焊在一起的绝对确定性设计,才是智能载具在低空遭遇绝境时得以浴火重生的底层工程逻辑。"