ISO 28701:2021 航天系统 — 安全原则与要求

范围与基础安全原则

ISO 28701:2021为所有航天系统——包括运载火箭、航天器、有效载荷以及配套地面设备——在其整个生命周期内提供了全面的安全框架。该标准认识到航天运行面临着独特的安全挑战：发射和轨道飞行的极端物理环境、许多失效模式的不可逆性，以及可能对地面人员和轨道资产造成灾难性后果的潜在风险。三大基础原则贯穿标准始终：人身安全的绝对优先权、系统的危险源识别与控制，以及通过多重独立安全屏障实现纵深防御。

ISO 28701定义的安全生命周期涵盖七个阶段：概念研究、初步设计、详细设计、制造与集成、试验与验证、发射与运行、以及处置。在每个阶段，要求进行正式的安全评审并设置关卡批准。标准强调安全工程不能追溯性地应用——必须从最早的概念阶段就加以整合。在概念设计阶段启动的危险分析为系统安全态势提供架构性决策依据。

危险分析与风险评估方法

ISO 28701要求采用多种互补技术进行结构化的危险分析。初步危险分析在概念设计阶段识别顶层危险。随着设计细节的成熟，分系统危险分析和系统危险分析逐步完善危险清单。标准要求按严重度对危险进行分类——从可忽略的（无伤害，轻微系统损坏）到灾难性的（生命损失，任务损失）。概率类别从极不可能到频繁不等，严重度和概率的组合通过既定的风险矩阵确定风险可接受性。

全生命周期安全要求

标准按工程领域建立了详细的安全要求。结构安全要求在所有载荷工况下保持正安全裕度，包括1.25的极限安全系数。推进系统安全涉及压力容器防爆保护、推进剂泄漏检测和推力终止能力。电气安全涵盖容错配电、搭接与接地以及部分真空环境下的电弧防护。软件安全要求尤为严格，要求开发保证等级与危险严重度相匹配，并要求安全关键功能经核证符合DO-178C或等效指南。

靶场安全要求涉及发射操作的独特危险，包括在命令发出后250毫秒内摧毁故障运载火箭的飞行终止系统。轨道安全要求涵盖碰撞规避、按照ISO 24113空间碎片减缓指南在25年内进行任务末段处置，以及储存能源（电池、压力容器、飞轮）的钝化以防止任务后碎裂。

安全验证与认证

ISO 28701要求综合运用分析、检验和试验相结合的安全验证计划。验证方法包括演示、试验、分析和检查。安全验证矩阵必须将每个危险控制措施追溯至其验证方法并表明闭环。在每个主要项目节点提交安全数据包，记录所有危险分析、风险评估、验证结果和未解决风险。对于载人任务和高价值机器人任务，建议由独立的第三方进行安全评估。

常见问题