报告：有关TMT国际天文台安全系统设计的学术研究

作者与发表信息

本文的主要作者是Angelic Ebbers、Jimmy Johnson和Gelys Trancho，作者单位为TMT International Observatory，地址是100 W. Walnut St, Pasadena, CA, USA 91124。文章发表于《Proceedings of SPIE》，卷号为13099，DOI为10.¹¹¹⁷⁄₁₂.3021047。文章标题为《TMT International Observatory Safety System Design from Hazard Analysis to Functional Logic》，主要介绍TMT（Thirty Meter Telescope）国际天文台在安全系统设计方面的经验，聚焦于激光导星设施（Laser Guide Star Facility, LGSF）作为案例研究。

学术背景与研究目标

现代天文学观测设备在运行时需应对多种潜在危险，如强激光的泄漏、地震、冷却系统失效等，这些危险不仅威胁设备的正常运行，还可能对操作人员、设备系统及空中航行器造成危害。为此，安全系统设计成为天文设备开发中的关键环节。

本文将重点介绍TMT国际天文台在其功能安全管理计划（Functional Safety Management Plan, FSMP）中的系统性方法。该方法全面遵循国际标准IEC 62061——一种专注于机器安全相关电控系统（Safety Related Electrical Control Systems, SRECS）的功能安全标准。其研究目标是通过危险分析（Hazard Analysis, HARA）和功能逻辑定义（Functional Logic Definition）来制定安全相关控制功能（Safety Related Control Functions, SRCFs），确保系统在潜在危险发生时能够保持安全状态。本文意图提供一套科学且易于操作的框架，不仅为TMT激光导星设施的安全设计服务，也为其他类似的高安全性项目提供经验参考。

研究流程与具体详情

阶段一：危险分析与风险评估（HARA）

在安全设计流程的第一步，需要对系统可能发生的危险进行全面分析，并评估其风险程度。在TMT项目中，该过程具有如下特点： 1. 协作性和全面性
危险分析由项目的所有利益相关方合作完成，通过对话形式讨论潜在危险的严重性及可能的缓解措施。例如，激光导星设施可能导致飞机、卫星受到激光污染，同时也可能出现冷却剂泄漏、地震、光学组件冷凝损坏等问题。

1. 风险分类与缓解策略
   根据危险的严重性、发生概率及频率，定义每种情况的未缓解风险等级，并针对每项危险制定具体缓解措施。对于无法完全消除的危险，通过工程控制、管理控制及个人防护设备进行风险缓解。例如，“HARA-787: 低能量模式阶段处于中间位置”被评估为“可能且频繁发生”的风险，通过对位置的精确控制和引入SRCF降低其可能性，最终将风险降为“可接受”。

2. 安全完整性等级（SIL）的计算
   每个SRCF依据风险分析结果分配相应的安全完整性等级（SIL）。对于例如HARA-787描述的问题，其解决方法被设计为SIL2级别，这要求设计中引入冗余信号并检测输入错误。

阶段二：安全措施分配与要求定义

HARA过程中识别的危险会形成一个包含工程控制措施的清单，每项SRCF都被记录在安全需求规范（Safety Requirements Specification, SRS）中，其中包括： - 各SRCF的具体功能需求； - 相应的触发条件； - 反应时间和对策； - 安全完整性等级及其他详细要求。

例如： - SRCF1案例：低能量模式阶段处于中间位置
- 危险：激光束在传播时反射到未设计承载激光的内部表面可能带来设备损害。 - 功能描述：该装置通过高、低限位开关信号确保阶段仅在“完全插入”或“完全移出”位置工作，否则防止激光传播。 - 触发条件：某阶段位置信号读数错误或阶段处于未定义位置。 - 要求：在1秒内关闭相应激光快门。 - 实现策略：通过设计冗余信号及锁存机制处理异常输入及确保错误时系统自动进入安全状态。

阶段三：功能逻辑设计与实现

在功能逻辑设计阶段，TMT团队详细描述了系统输入、输出及其交互逻辑。通过真值表（Truth Table, TT）和卡诺图（Karnaugh Maps）将语言描述的功能逻辑形式化为可编程的逻辑控制器（Programmable Logic Controller, PLC）语言。

1. 真值表设计
   以SRCF1为例，其输入包括高、低限位开关信号、快门状态及输入错误指示；输出目标为是否允许快门开启及是否触发锁存状态。真值表列出了所有可能的输入组合及其对应的输出状态，确保没有忽略任何边界情况。

2. 卡诺图应用
   通过将输入变量映射到卡诺图中，对输出逻辑进行优化。例如，SRCF1的快门权限逻辑表达式为：

   SRCF1_Shutter_Permission = (!Err & !Low & High) + (!Err & Low & !High) 

   卡诺图方法确保了逻辑设计的精确性及简明性。

3. 逻辑验证
   真值表与卡诺图不仅用于逻辑设计，也为后续系统验证阶段提供了直接工具。

完整的LGSF安全设计最终包含21条SRCFs，每一条都经过详细的真值表与逻辑表达式描述及验证。

主要结果总结

• 风险有效缓解
  本文以HARA-787为案例展示从危险识别到缓解方案实施的具体流程，经过冗余设计与逻辑验证，将原本“可能且频繁”的不可接受风险降低至“不可接受”。
• 功能逻辑的形式化表达
  通过卡诺图及真值表，所有SRCF逻辑实现形式化，保证逻辑无歧义且直观可验证。
• 完整系统设计
  本文全面展示了从危险分析、需求分配到系统架构设计的完整流程，为其他类似精密工程项目提供了流程性参考。

研究结论与价值

本文提出的系统性安全设计方法为激光导星设施的设计与运作提供了最高级别的安全性和可靠性。通过全面的危险分析及详尽的功能逻辑设计，这一研究不仅确保了TMT系统的安全运作，还为安全关键型系统的开发提供了可推广的框架。在科学意义上，该方法提升了复杂天文设备的国际安全设计水平；在应用意义上，为工业领域的高精度仪器开发树立了新标准。

研究亮点

1. 危害分析与设计环节的严谨性：多层次的风险评估及缓解手段确保了系统的高可靠性。
2. 逻辑设计方法的新颖性：通过真值表与卡诺图实现了功能逻辑的标准化，为现场升级与验证提供了高效工具。
3. 完整的安全框架贡献：研究框架兼顾科学性与实用性，为其他安全关键系统的开发设计提供了可复用的模板。

潜在价值与未来发展

本研究展现了如何结合国际标准（如IEC 62061）与内部管理计划，系统性地实现安全设计，并为其他复杂工业与科学工程的安全系统设计树立范例。通过公开这些成果，TMT团队不仅减少了人员及设备风险，也期望在未来的高风险工程领域中引发更多讨论与优化实践。