航空公司的安全管理体系

航空公司安全管理系统（SMS）的背景及基本原理

中国民航学院安全学院译印

2005 年 8 月

中国民航学院安全学院内部资料仅供参考

2

中国民航学院安全学院内部资料仅供参考目录

简介....................................................................................10.1 目标.........................................................................................10.2 SMS收益.................................................................................1

第1章背景.............................................................3

1.1 航空安全历史............................................................................31.1.1 机械阶段..........................................................................31.1.2 人为因素阶段....................................................................31.1.3 组织阶段..........................................................................3

1.2 Westrum的组织观点.................................................................41.2.1 病态型组织.......................................................................41.2.2 官僚型组织.......................................................................41.2.3 成长型组织.......................................................................4

1.3 事故起因的里森模型...................................................................51.3.1 组织失效的类型................................................................6

1.4 传统的安全管理.........................................................................61.4.1 安全管理者.......................................................................6

1.5 安全改革..................................................................................71.5.1 安全文化..........................................................................7

第2章 SMS的基础...................................................9

2.1 起源.........................................................................................92.1.1系统安全的步骤.................................................................92.1.2 SMS/系统安全定义..........................................................10

2.2 SMS目标...............................................................................102.3 对于运营人和航空业来说 SMS意味着什么...................................112.4 SMS与其它管理系统的关系......................................................112.5 SMS活动...............................................................................12

第3章 SMS详细资料...............................................16

3.1 组织.......................................................................................16

I

中国民航学院安全学院内部资料仅供参考3.1.1 文化和安全文化..............................................................16

3.2 管理框架................................................................................173.2.1 责任主管........................................................................173.2.2 计划..............................................................................183.2.3 程序和措施.....................................................................193.2.4 控制..............................................................................193.2.5 安全管理人员的任务........................................................193.2.6 员工的任务.....................................................................20

第4章风险管理......................................................21

4.1 风险评估................................................................................214.1.1 风险评估中的问题...........................................................22

4.2 风险管理................................................................................234.3 风险评估矩阵..........................................................................23

4.3.1 风险价值判断..................................................................264.3.2 风险接受........................................................................27

4.4 危险控制和缓解.......................................................................284.4.1 危险控制/缓解.................................................................284.4.2 系统安全优先次序...........................................................29

4.5 核实.......................................................................................29

第5章危险信息系统................................................31

5.1 要求.......................................................................................315.2 资源.......................................................................................31

第6章结论...........................................................33

6.1 “ ”从上到下的变化....................................................................336.2 “ ”从下到上的变化....................................................................336.3 —安全问题商业问题.................................................................33

附录1 SMS矩阵....................................................38

附录2 航空承运人建立安全管理系统大纲.........................42

II

中国民航学院安全学院内部资料仅供参考附录 2.1 原则................................................................................42附录 2.3 讨论................................................................................42附录 2.4 SMS组成部分..................................................................42附录 2.4.1 方法—全公司范围内全面、系统的安全管理。..............42附录 2.4.2 文件.......................................................................44附录 2.4.3 安全审查.................................................................44附录 2.4.4 培训.......................................................................44附录 2.4.5 质量保证.................................................................45附录 2.4.6 应急相应计划...........................................................45

附录 2.5 总结................................................................................45

附录3 安全风险评估过程（SRA）................................46

附录 3.1 计划................................................................................48附录 3.1.1 问题.......................................................................48附录 3.1.2 措施.......................................................................48

附录 3.2 危险识别和分析................................................................50附录 3.2.1 定义.......................................................................50附录 3.2.2 识别.......................................................................50附录 3.2.3 历史数据.................................................................50附录 3.2.4 危险识别的方法........................................................50附录 3.2.5危险识别和分析........................................................51

附录 3.3 险评估.............................................................................53附录 3.3.1 定义.......................................................................53附录 3.3.2 更重要的定义...........................................................54

附录 3.4. 决定和报告.....................................................................55附录 3.4.1 报告文件.................................................................55附录 3.4.2 建议.......................................................................55

附录 3.5 评价................................................................................56附录 3.5.1 确认、监控和反馈....................................................56附录 3.5.2 普通的危险及其种类.................................................58附录 3.5.3 设计的考虑..............................................................59

附件 1 简单的初步危险分析工作表...................................................60

III

中国民航学院安全学院内部资料仅供参考附件 2 详细的危险分析工作表..........................................................61附件 3 详细的危险分析工作表（内容）.............................................62附件 4 危险分析矩阵实例................................................................63附件 5 决策矩阵.............................................................................66

附录4 加拿大的SMS...............................................67

附录 4.1 加拿大的 SMS要求...........................................................67附录 4.2 批评................................................................................68附录 4.2.1 概述.......................................................................68附录 4.2.2 加拿大运输部及其强制力...........................................68附录 4.2.3 问题.......................................................................68

IV


简介这部分将对安全管理系统（SMS）进行简单的介绍。SMS 通过对危险（是

航空运行的固有属性）进行有效的管理来保证航空营运人的健康运行的主动措施。简单表述为：

·SMS 是一个系统方法的工作员。·SMS 将员工和管理者、经验和信息结合在一起。·SMS 与管理当局的审核系统相关联。

0.1 目标我们的目标是解释 SMS 的背景和理论，并概括航空公司要建立和实施一个

有效的公司的 SMS 方案需要采取的措施。我们将检查管理人员和员工的任务和作用，并详细介绍作为 SMS 核心的安全风险评估（SRA）方法.

0.2 SMS 收益在航空安全中最大的挑战是在公司内进行积极的变革以改善安全。在这一点

上，如果你想工作非常有效率，那么你一定要保证你的可信度和客观性。只要具备了充分的知识和技能，你就可以持续的改进公司的安全目标。

这个手册提供了评估航空公司安全性能的方法，并根据需要进行有效的变革。这个观点可以帮助你更高效的与政府部门进行工作，他们同时也开始把同样的理念和方法引入到他们的操作之中。

SMS 起源于英国和澳大利亚；欧洲联邦航空局也推荐 SMS。在北美，加拿大运输部正通过管理当局要求的形式在所有航空运行中实施 SMS，美国联邦航空局也在推动 SMS 的应用。

本手册的目的是提供知识和技能，以改善风险管理决策并为对公司运行具有最大威胁的问题分配资源。运用 SMS 方法可以帮助你有效的评估风险和制定解决方案。SMS 鼓励实事求是的辩论并提供安全问题的沟通方法，这些安全问

1

中国民航学院安全学院内部资料仅供参考题对公司决策者具有强制性的和说服力。

SMS 是一种着眼于整个组织的管理模式。它将航线管理、安全专业知识和全体员工综合在一起构建公司范围的“安全文化”。安全文化对公司的运行和繁荣是至关重要的。从传统的安全方法到涵盖整个组织的方法的转变是安全发展的关键。

在 20世纪初期，一个著名的英国法学家发现：“每一起事故都是组织故障的表现”到了 21世纪，这个观点仍是正确的。安全管理系统提供了组织进行积极变

革的方法。但是，这需要公司全体人员的加入以推动其有效运行。

2


第 1 章背景1.1 航空安全历史

变革是孪生兄弟的母亲：进步与烦恼。1.1.1 机械阶段机械阶段开始于怀特兄弟第一次飞行。在这个时期，安全管理是阶段性的，

“从飞行中得到经验在反馈到飞行中”。当飞行器因出现事故而毁掉时制造商将识别飞行器的缺陷，并努力进行改进以防止事故的再次发生。当时航空公司很少所以安全发展很快。对航空器引擎、结构和整个系统都进行了重大的改进。在设计和试航方面的预防措施取得了很大的进展以应对因机械而引发的事故。1.1.2 人为因素阶段

人为因素阶段开始于 20世纪 70年代中期，从这时开始安全人员开始将重点放在人/机交互上。随着大量严重事故的发生，人们开发了许多诸如机组资源管理、飞行员决策训练等项目。同时也注重了飞行甲板上机组人员之间和地面工作人员之间的相互作用。人为因素阶段的产生是由于当时 80%的事故是由于人为因素产生的。1.1.3 组织阶段

组织阶段开始于 20世纪 80年代后期，人们将注意力投向了组织和管理因素对事故原因的影响。随着事故的持续发生，尽管人们都注意是某个人的原因，但是安全专家和事故调查部门挖掘更深层次的事故原因。事故调查人员开始寻找造成事故潜在性的那些潜在的因素。

组织的两个“模型”和安全推论对于安全变得十分重要。这两个模型是：1. Ron Westrum教授的组织类型分类和他们各自的特点，2. James Reason教授的组织失效模型。Westrum 和 Reason 模型使我们更直观的看清事故是如何发生的和如何

进行阻止，并以对管理者有意义的方式说明了组织问题对事故原因的影响。3

中国民航学院安全学院内部资料仅供参考在了解了 Westrum 的组织类型后，我们将介绍 Reason 模型在识别安全

危险和缺陷方面的用途。Reason 模型非常有效，因为它很好的传达给公司管理人员和员工。1.2 Westrum 的组织观点东密歇根州州立大学 Ron Westrum教授确定了组织的三种基本类型。这

三种类型的组织涵盖了我们工作的航空业组织。无论是航空公司、政府机构还是航空业相关方都适合于 Wesstrum 模型。1.2.1 病态型组织

对病态组织最恰当的描述是职能混乱。这样的组织运行时它将不考虑自身条件，而且这样的组织不适合进行工作。

在病态组织中，信息是封闭的或受约束的并且是用于晋升或惩罚。“知识就是力量”大概就来自于病态组织。这种类型的组织很难进行具有积极意义的变革因为组织倾向于谴责建议者和扼杀新思想。故障被隐藏起来，在组织内形成了推卸责任的风气。另外，只有很少或几乎没有员工或雇主进行合作和沟通。管理者员工和他们的代理们都各自独立。1.2.2 官僚型组织官僚组织是完全按照书本循规蹈矩运行的组织。这种组织着重过程和已建立

的信息沟通渠道。变革是从上到下的，组织是僵硬的。大多数管理当局都是官僚型组织（源它们的本性）。官僚型组织也不全都是坏的，尽管他们在一个稳定的环境中运行。然而当初在动态的环境中时就会职能混乱。官僚型组织的特点是大量的文书工作和会议。不幸的是，我们的航空业是一个动态的环境，这可以解释为什么我们中许多人有时候觉得管理者有一点像恐龙。这同时也解释了为什么在官僚型组织内进行变革十分困难。1.2.3 成长型组织成长型组织是一种健康的组织。它运行灵活，信息自由、高效的流动。组织

4

中国民航学院安全学院内部资料仅供参考的重点不在于过程，而在于进步和组织对问题的妥善回应。组织积极的寻求信息并共同承担职责，积极的变革来自于组织的所有阶层。对产品进行持续的评价。公司鼓励和奖励履行职责和员工或雇主间的沟通。随着本文的进一步深入和对 SMS 概念的介绍，你将发现我们的目标是将公

司变成一个成长型的组织。1.3 事故起因的里森模型

Reason教授的工作可以总结为事故原因的“瑞士奶酪”模型。

图 1— Reason 的事故致因模型Reason教授识别出五个产品的要素或者是各种要素的组成部分。第一个是决策者—系统的建筑师、高级管理者第二个是航线管理者—解释和实施决策者策略的专家。第三，组织的前提条件，它影响着组织的输出（组织的文

化）—如技能、知识、动机、工人的警惕性

5

中国民航学院安全学院内部资料仅供参考第四，生产活动—员工和机械的实际工作性能第五是应对可预知的伤害、损坏和耗损的系统防御或安全

措施。我们可以看到每一片奶酪都是我们组织的一部分，并且能够引起事故或损

失的发生。当事故过程开始发生时，它必须依次通过 Reason 的五个要素，就像通过一系列滤网。当以这种方式看问题时要注重两个问题：

1. 你可以看到五个要素中的每一个都能够导致事故的发生，但是……..

2. ……你同时可以看到在组织的这些部门采取措施可以阻止或防止事故的发生。

这是从总体上看事故的过程，但是如果你思考一下底部的或最后的一道滤网（防御措施），你将发现有些东西非常重要。这些区域是到目前为止我们安全措施的目标。认识到的最大的差别是 SMS 的着眼点是整个过程，而不是单独的某个部分。1.3.1 组织失效的类型

James Reason模型包括两种在组织中出现的失效，承认这两种失效对安全管理的重要部分。

主动失效—错误和违规操作造成直接的相反的结果。潜在隐患—组织中存在的，某个时候隐藏的状态。系统中的这些潜在隐患是

由那些违反规章的决策或措施造成的。潜在隐患可以比喻成医学上的病原体，它侵蚀身体并且隐藏起来直到条件成熟时（主动失效）才爆发出来，如疲劳、压力疾病。

应该把你公司中的潜在隐患看作是被压扁的弹簧而把主动失效看作触发弹簧复原的扳机。认识这两种失效的关键是组织如何才能最有效率的运用它的资金SMS为公司节约了在处理失效方面的花费并且提高了公司的效率。直到现在，一些航空安全方案仅仅看到和处理主动失效。这就意味着只看到

6

中国民航学院安全学院内部资料仅供参考一样东西—通常意义上的事故的“原因”。安全的历史的绝大部分是事故调查，然后在某个环节上解决事故“原因”，而实事上事故的原因也出现在其他时间和其他地点。潜在隐患问题严重影响了组织的效率和安全记录。潜在隐患，如政策或日常

工作，根植于组织的常规职能并可以导致许多事故（不止一个）。对于失控有许多改善的方法。努力处理安全隐患比处理主动失效可以得到更好的效果。1.4 传统的安全管理1.4.1 安全管理者

安全管理者是现在经常可以看到的安全项目的通常形式。这是基于对安全机械和人为因素模型（主动失效）的有限了解基础上的。它的最大的缺点是它让指定的安全管理者“负责安全”。在这里，安全管理者可能被叫做安全主管，或副总裁，但是这个人的职责依然是……..并且是很脆弱的。

安全管理者通常召开安全会议、张贴安全海报、对事故症候报告做出回应和事故调查。大量像这样的工作使他无法顾及其他的工作，也脱离了员工和管理当局。安全被划分成相对独立的个体分支分别进行管理，只留下航线管理者去处理“真正”的安全事务，如航空公司的运行。

这些做法极大的限制了安全措施所涉及的范围和活动。只要安全项目和安全管理者脱离了一线的管理和职能，他们就不能任意的缩减范围、员工和预算。如果这样的话，他们的作用就会减少，同时运行固有的安全余度也会减少。1.5 安全改革1.5.1 安全文化

组织的文化是一系列理念、规范、态度、任务、社会实践和技术实践。简单的说，文化是：“我们做事情的方式！”

CEO和他／她的管理者的目标需要建立一种公司文化，这种文化鼓励以积极的方式进行建设性的批评和安全监察。这就是所谓的“安全文化”。

7

中国民航学院安全学院内部资料仅供参考安全文化是一系列与使员工、管理者、顾客和公众最小程度暴露于危险有关

的理念、规范、态度、任务、社会实践和技术实践。安全文化的特点是什么？下面介绍了安全文化的特点：一个了解相关知识的文化管理者和员工明白“危险”和“风险”的含义工人知道并同意什么样的风险是可接受的和什么样的风险是不可接受

的公司努力寻找潜藏在“问题”背后的原因并予以预防，但不能容忍

“故意的违反规章”。一个报告的文化鼓励员工和管理者报告安全事件。没有人会因此而报复报告者当报告安全事件时，会对这些事件进行分析并采取适当的措施。一个学习的文化鼓励所有人员研究和应用他们的知识和技能以提高组织的安全性管理者通过安全问题提高员工的安全水平将安全报告反馈给员工以便员工进行学习一个主动的文化员工和管理者持续工作以识别和战胜危险。

8


第 2 章 SMS 的基础2.1 起源

SMS已经脱离了航空科学的范畴，叫做“系统安全”。系统安全起源于 20

世界 60年代，当时许多重大的损失是人们明白航空工业需要一个有组织的方法去进行损失控制—这个方法包括人、机、环境。这三者是系统安全的特点和信条。

之后产生了安全的有组织的、综合的观点，这使许多航空活动获得了成功。其他工业看到了系统安全所带来的优势，也纷纷采用了这种方法。

在系统安全中。安全被定义为：“一个系统中的安全可以被定义为一个系统的质量，它允许系统在预先确定

的条件和可接受的事故损失下运行。” Roland and Moriarty

简单的说，系统安全是：“将事后管理转变为事前管理已识别和管理风险。” Roland and Moriarty专业人员实施系统安全的时候，他们按照文件化的和可重复的步骤进行。之

前的安全工作缺乏这种有组织的方法。系统安全的特点之一是：它是以“生命周期”为导向的过程。系统安全在一个系统的整个生命周期内都起作用。在这里，安全分析和危险控制措施开始与系统概念阶段，并持续到设计、生产、测试、使用和处理阶段直到系统退役。2.1.1 系统安全的步骤

当你运用系统安全的时候可依照以下步骤：2. 识别危险3. 确定每个危险的可能后果4. 评估与危险相关的风险的严重性和可能性

9

中国民航学院安全学院内部资料仅供参考5. 对当前的或计划的风险（系统的缺陷）缓解或控制措施进行评审6. 对积极的变革提出建议7. 进行持续的、实时的、系统的评价8. 进行损失调查9. 监控、反馈、评价以前的评估10. 当监控结果显示必要时，进行系统变革当你考虑“人、机、环”的各个方面时，这是一个常识的过程并包括很多内

容。请注意第七条！直到近一个时期，损失和事故调查是安全工作的基础并且经常是所有的安全工作。在系统安全中，调查被正确的运用并通过富有成效地方式在系统安全和 SMS 中调查并不是为了调查而调查。2.1.2 SMS/系统安全定义

这里有一些我们在 SMS 和系统安全中用到的特殊的安全术语。它们是一些被简单定义的概念，而且非常重要：

事故—任何非预期的对人员造成死亡、伤害、疾病，对设备或财务造成破坏或损失或对环境造成破坏的事件或一系列事件，例如灾祸。

系统—一组相互作用的、相互关联的或相互依赖的要素在给定的环境下一起工作以在给定时间内完成既定目标。

危险 —与某些特定环境结合时可以导致损失的事件、情况或环境。风险—按照可能性和严重性为衡量标准的危险的结果。多长时间发生一

次？严重程度如何？系统缺陷—系统中允许危险存在的环境。缓解措施（系统预防措施）—用于控制危险或降低相关风险可能性或

严重性的机制、装置或方法。缓解措施通常被叫做“危险控制”或“应对措施”。

10

中国民航学院安全学院内部资料仅供参考2.2 SMS 目标

在 20世纪 90年代，安全专业人员和管理者将目光转向了系统安全和以安全模型（如里森模型）为导向的新型公司管理模式。系统安全过程对于航空器、船舶和建筑等的生命周期是非常适合，当应用于系统的运营人时产生了很大的下限制。

对于航空公司，我们习惯的认为没有生命周期。我们希望我们的公司持续的运行，并且是健康的可以获得利润的。安全是确保航空公司持续运行的一个非常重要的方面。最后，系统安全的有效方法要求改编满足运营人和航空公司的要求

结论就是安全管理系统。SMS 着眼于公司危险控制方面的管理活动，这些活动是公司运行中常规航线管理职能的一部分。在某种意义上，公司的 SMS 可以叫做“有机的”。他们是组织结构的一部分，而不是脆弱的附加在公司结构和功能上的外来物。2.3 对于运营人和航空业来说 SMS 意味着什么

在 SMS 中，安全的意义包括核整合了许多意思：安全 —管理风险到同意的和可接受的水平管理 —分配资源系统 —相互作用、相互联系、相互依赖的要素组成一个统一的整体。你可以看到 SMS 非常强调管理的概念。运营人都非常了解管理。在运用

SMS 时，运营人开发、运用和更新了：安全策略 —目标是符合安全规章的要求并组织/缩减决策/操作中出现的

损伤。商业策略 —目标是创造和培育股东的价值管理框架 —目标是通过整合航线和安全管理提高组织的性能。对于运营人来说，SMS 中最吸引人的部分是每个运营人都有自己的 SMS

项目。每个项目都有相似之处，并且都符合每个特定的环境和所有者的要求。11

中国民航学院安全学院内部资料仅供参考2.4 SMS 与其它管理系统的关系

对于航空公司，SMS运营人、员工和管理当局是一个三角形的关系。三方中的每一方都有责任和任务执行SMS，每一方的任务与另外两方的任务关系密切。这三方的关系就像一个三条腿的凳子。当有三条腿时会很稳定，但是只有两条腿是就会不稳定，只剩一条腿时凳子就失去意义了。

图2—SMS中各参与者的关系2.5 SMS 活动

SMS要求三种类型或种类的活动。这些活动在三个SMS参与者（运营人、员工、管理当局）的工作中构成了SMS的基础框架。SMS活动分为以下三种活动：

1. 组织— 制定方案并对其进行管理的活动。这包括政策、程序，更重要的是指定的负责运行安全的责任人员。这个人就是“责任主管”，他负责规划公司的目标和发展方向，并指导在哪和如何运用资金。

2. 风险管理— 这些措施包括探测、分析和采取措施以消除或控制危险。在航空业，风险管理措施非常普遍，因为它对传统安全措施进行了分类—将措施进行了细化而非没有层次。

12

中国民航学院安全学院内部资料仅供参考3. 信息— 没有充分的信息安全系统就不能高效的运行。你需要信息来管

理风险、探测新问题和核实你的设备在正常运行中。当你需要获得新信息时，你将发现已经存在大量的信息等待着人们去整理和察看。下表从一定的高度概括了SMS是如何组织的。

SMS活动 SMS措施

组织·一名指定的“责任主管”·文件化的方案、政策和程序·全员参与

风险管理·危险探测和分析系统·危险控制系统和措施·管理者/员工包括在内并进行参与

危险和控制的信息

·收集安全相关信息的方法·探测新危险·核实正在执行的危险控制措施·员工通过无惩罚的报告系统报告安

全信息图 3—SMS 的整体框架

你也可以把 SMS活动看成一个金字塔。可以很清楚的看到每件事的质量都以充分的安全信息为基础。同时它也表明 SMS 中的每件事都按照项目的组织方式从上到下进行。

13


图 4—从另一个角度看 SMS 参与者这三种活动由 SMS 的三个参与者负责执行，但是他们在执行时同其他参与

者相互作用，不是独立的。下表说明了这些基本的关系：

SMS 活动SMS 参与者组

运营人（航空公司、机场等）

员工（ ALPA

等）管理当局（FAA、TC、ICA

O 等）组织 ORG ORG ORG

风险管理 RM RM RM

危险信息系统 INFO NFO INFO

图 5—SMS矩阵这个表格使你明确 SMS 中活动的类型和项目中的三角关系。附录 1 的内容

是上面表格内容的扩展，它更加明确了每个参与者要执行的与其他人有关和与其他人合作的活动。这个基础表格的要点是 SMS 中每个参与者要实行与每个类型的活动相关的措施并对其负责，这些活动相互结合相互支持。

航空公司财产方面的 SMS包括航空公司/运营人和员工的 SMS活动。每个14

中国民航学院安全学院内部资料仅供参考运营人和员工都要进行组织、风险管理和信息相关的活动。

本手册的着眼点是运营人或航空公司，所以我们需要更注重上面表格中可应用的部分。如果将大的图表变成一个小的，那么我们可以看到很多细节，即使这样还是没有附录 1 内容丰富。下面强调的重点是雇主和员工都有要要执行的活动，并与其他人的活动相配合。然而，这些本质上是不同的，特别是在组织层面的活动中。我们将在后面进行详细的讨论。

在这点上“抓紧”的概念是雇主和员工通过连带关系而联系在一起。航空公司的成功依靠二者共同努力。没有什么比船没有划手、二者背道而驰更能阻碍发展的。最后，这将导致一个静止的没有生产能力的关系，并且没有目标也不能实现任何目的。如果你将船和划手置于一条通向瀑布的河中，你将看到达到最后结果的相反的生产力….自我毁灭。

航空公司的 SMS

SMS 活动运营人 SMS

运营人（航空公司等）员工（ALPA 等）组织 ·责任主管

·政策/程序·全员参与·经培训的代表

风险管理活动 ·危险探测·风险管理

·危险探测·风险管理

危险信息系统 ·危险控制/探测系统·无惩罚的报告系统

·危险控制/探测系统·无惩罚的报告系统

图 6—航空公司 SMS 的要素运营人的 SMS 组织内部的，但是也和管理当局的 SMS活动相配合。从另

一个角度看，管理当局必须能够对运营人的 SMS活动作出积极的、支持性的反映。在 SMS 中，管理当局与运营人组织内部的 SMS 相互作用。

15


16


第 3 章 SMS 详细资料既然我们已经在头脑中对 SMS 有了宏观的了解，到了我们进一步了解

SMS活动的细节的时候了。我们首先看组织、风险管理和信息。3.1 组织

SMS 属于运营人，所以它包括主要管理人员或运行主管共同居推进 SMS

的实施。责任主管处于组织的高层并具有最后发言权，对公司商业的成功运行负责。公众和管理当局把责任主管看作“责任人”。如果航空公司运行良好，责任主管可以获得好的声誉。如果航空公司举步维艰，责任主管也会因此获得坏的声誉。

对责任主管来说，SMS 是商业规划中“损失控制”的部分。为了推进 SMS

运行，责任主管制定和发行了将 SMS融入到公司日常管理中的政策、程序。当对安全的努力从公司高层开始时，SMS 就成为公司各阶层规划和决策的一个完整的部分。3.1.1 文化和安全文化每一个组织或公司都有其自己的、独特的文化。简单的说，这种文化就是人

们在组织中做什么和如何做。它是一个组织区别于其他组织的活动的总体理解和方式。许多组织管理者存在的一个普遍的错误是他们在运行的组织中对安全的理

解。一般来说他们认为他们可以在他们的组织内强制推行一种文化，在这种文化下每一件事都朝着航空公司运行目标方向发展。同时，管理者认识到安全和运行的方向是相反的。换句话说，有些组织这样理解：“实现安全”有悖于航空公司运行的真实目的。

这种说话脱离了本质。安全文化的目标不仅仅是实现安全。它的目标是组织的运行安全。这要求航空公司推行安全文化。如果一个公司不能实现运行安全，

16

中国民航学院安全学院内部资料仅供参考就会经常发生人员、设备、经济和声誉上的损失。这些损失会使一个组织衰落，甚至灭亡。许多情况，例如工作人员和旅客伤亡、设备损坏或遗失、非预期的财务支出，都会带来经济上的损失。航空公司的声誉受到的影响会以业务流失的形式带来经济上的损失。任何形式的损失都是昂贵的。

建立 SMS 的航空公司的目标是在损失控制时囊括公司的全部资源。有很多主动的避免或减小公司损失的方法，包括：

·知道公司对抗潜在损失的方法。·在避免损失时积极主动地调整公司的所有资源·在损失控制过程中将管理者和员工结合在一起。通过这个措施可以提高公

司效率。采用这种方法的公司就具备了安全文化。这样的公司承认危险的存在并对每

个危险相关的风险进行评估。这种公司从风险评估阶段走向风险管理阶段。可以看到，当公司将所有资源归结到一点上时，如下工作将做到最好：

·组织—管理者和员工都主动的探测危险并采取应对措施·风险管理—集合公司所有部门的信息进行精确的风险评估并对危险制定具

有现实意义的控制和缓解措施。这样做最好的结果是彻底消除危险；但至少它开创了部门间相互沟通的先河。

·信息—存在的新的信息源可应用于探测危险、核实危险控制措施的实施、确定实施的危险控制措施如何实现预期效果。3.2 管理框架

SMS 主要依靠高层管理者，它需要相关的政策、程序和规划。幸运的是，这些都是管理者的常规职能。

一个新成立的公司不得不从头开始建立各种东西，而已经存在的公司早已经有了管理框架和相关措施。这对于已经存在的公司既是优点又是缺点。它允许已经存在的公司将现有的措施和资源集中起来为 SMS 服务，但是它同时要承受

17

中国民航学院安全学院内部资料仅供参考公司已经存在理念和功能混乱。

对于任何公司，建立 SMS 的第一步都是相同的：3.2.1 责任主管

SMS按照责任主管指引的方向发展，所以公司必须首先决定哪个管理者可以作为责任主管。这个选择和任命必须按照公司政策规定的流程进行。责任主管的任命必须与管理当局指导公司运行的理念相一致。选择一个有名无实的管理者是毫无意义的。因为责任主管关系到收入、资产运用、生产率和公司的财政健康所以 SMS 从建立开始要由同一个人负责。

政策公司必须制定政策来规定 SMS 的目标和明确 SMS 在全公司范围内进行实

施。政策需要规定：必须制定安全目标且该目标是可测量的。管理层对安全目标负责并有责任实现该目标。该政策促进和包括了公司所有管理者和员工，同时还规定了组织和个人的职责。

要实施高效的 SMS 你必须确定：１．组织的安全目标，2．SMS 采取什么样的形式，３．谁具有什么样的职责？政策明确了公司在安全方面将采取主动的方法，而不是被动的：

主动被动·安全报告是主动的·系统调查是主动的·建议操作的风险评估是主动的·当前操作（不是由事故症候或事

件引发的）的风险评估是主动的

·事故调查是被动的·事故症候调查是被动的·错误管理是被动的·偏离分析是被动的

18

中国民航学院安全学院内部资料仅供参考3.2.2 计划

SMS不会在一夜间建立起来。公司需要一个将现有运行模式转换　到 SMS

的计划。该计划确定转变现有工作、建立公司新的工作和程序（某些地方、某个时间所需要的）所需的时间。如果一个小的公司仅在有限的区域内运行少量的航空器，则在该公司建立 SMS 只需几个月的时间，而拥有许多航空器且运行范围非常广泛的大公司建立 SMS 需要几年的时间。附录 2 概括了一个在航空公司建立 SMS 的方法。

制定该计划的周期决定于两个重要因素：1. 责任主管的推动，2. 公司中已经存在的 SMS 要素的数量。像公司其他计划一样，SMS计划也要求具有目标、里程碑和确定的步骤来

具体描述 SMS 的建立过程。公司的各个部门在确定需要做什么和做的速度（与其他部门合作）时都具有现实意义。计划规定了对哪些专业要进行培训，但是对这些培训的需求是非常有限的。

SMS 利用了原来的管理者和专业人员，所以一些常规培训是不需要的。制定和调整整体计划的人员需要进行培训，但不包括一般工作人员。随着 SMS 的建立，培训的需要将会越来越明显，但是这些培训可以像常规培训那样进行就可以实现。计划建立一个 SMS，而不是生搬硬套。3.2.3 程序和措施

公司的程序和措施是公司发展的路线和节奏。在制定程序和措施的时候，SMS设计者需要：

·确定任务、资源、职责、从上到下的责任以及报告途径、不同部门间的协调。确定由哪些人组成安全委员会和他们要实现的目标。

·与其它管理系统进行兼容和整合，从而避免对公司管理过程的彻底改造。这就涉及到 SMS设计者的可信度的问题。适当时，尽量多的合并现有的管理系统以减轻 “建立势力范围”的猜疑。

19

中国民航学院安全学院内部资料仅供参考3.2.4 控制

航空公司需要实施控制并将其作为 SMS 的一部分。这就意味着当评估安全状况时，有用于实施纠正措施的标准方法。管理层应该识别和处理运行中偏离安全目标的情况。内部审核和检查是实现安全目标和发现不足的有意义的方法。它的可取之处是，在外部组织干涉之前公司就发现并处理了自身的问题。3.2.5 安全管理人员的任务尽管名称经常发生变化，但是航空公司仍需要任命一名人员和员工向责任

主管就安全问题和不足提出建议。安全管理人员帮助责任主管监控 SMS 运行情况。安全管理人员向公司管理人员提供损失预防方法和技术方面的专业知识。

在确定安全管理人员的工作时，SMS设计者必须意识到安全管理人员和／或安全部门不执行 SMS，而是航空公司的管理者执行 SMS。安全部门可以收集和分析危险和风险信息，但是制定和实施危险缓解措施是航空公司管理者的职责。

安全管理部门能够提供的一个最重要的服务是“反馈环”。SMS 和系统安全的本质部分是信息环，用于监控危险处理工作的进展情况。管理者注重细节小事和预测他们将被规定作的事情是没有意义的。好主意可能不被实施，环境可能发生改变，规定可能被误用。无论是什么原因，公司调整其应对危险的方法是正常的。要进行正确的调整就要求信息能够准确的反映公司运行的状况。3.2.6 员工的任务

SMS 的改革之一是员工积极的和持续的加入到安全目标实现中来。依据你的经验和偏见，把员工包括进来看起来很正常或很不正常。重要的是要意识到员工具有丰富的实地工作经验。他们是公司“轮胎在哪接触路面”的一部分。理解这些是建立和维持安全文化的一部分。

理解了上面的内容，SMS 政策和程序需要着眼于：·员工需要知道和理解 SMS 的要求，特别的，以及无惩罚的安全信息和报

告的相关规定

20

中国民航学院安全学院内部资料仅供参考·员工的操作知识非常丰富，并且是运行偏离报告的来源　·当某个员工报告安全信息的时候，其可以得到采取的措施或不采取措施的

反亏及解释·重要的员工将进行 SMS 的培训·公司需要建立和实施员工／雇主之间的协议以支持 SMS，并确保报告保

护措施的实施。如果公司或管理当局不对员工报告采取任何保护措施，期望员工进行报告是不现实的。每个报告都是“数据点”。公司需要数据以保持其高效运行。

公司需要将员工正常的工作活动和有目的的破坏行为区分开。员工的有意破坏行为应得到直接的处理措施。这与员工进行安全报告，但报告中包含的是一些正常的活动并误导了公司的关注点有所不同。在前者，安全问题与需要进行处理的故意行为不同。在后者，公司或管理当局要采取措施，通过免于惩罚鼓励进行安全报告。

21


第 4 章风险管理“我们不知道如何预测在特定的环境中将会发生什么。我们唯一能预测的是

发生不同事件的可能性。我们只能预测几率”　　　　　　　　　　　　　　诺贝尔物理学得主：Richard P.

Feynman风险管理可以被定义为控制和减小风险和接受剩余风险的管理决策的制定

过程。如果一个人想管理风险，他需要认识到一些水平的风险是可以接受的。按照

上面的观点，安全意味着划清可接受风险和不可接受风险的界限，然后在现实中按照这种差异进行工作。

航空公司、员工和管理当局都按照各自的基于个人的理解、经验、公众压力和周围环境的不同风险概念运行着。如果不同的风险策略和观点存在，那么意见不同是难以避免的，同时也会严重影响公司的运营。如果三个参与者能够在风险的观念上达成一致，运行过程会变得顺畅和高效。4.1 风险评估

风险通常被赋予了特定的危险，可以通过很多种方法认识危险。我们可以通过事故、人天生的推断和预测能力、从运行环境中收集信息等方法了解风险。附录3丰富了安全风险评估中所用的风险评估方法。

在 SMS 中，当我们的工作中有确定的风险的时候，在我们采取措施处理该问题之前要对它进行评估或分析。许多年前的一些传统的安全活动已经在查找危险上作了很多工作。但是精力、时间和资金方面的投入很有限。

在 SMS 中，运营人和员工在危险探测和风险管理方面相互合作。同时，他们对危险带来的风险进行评估并就风险的可接受水平达成一致。通过确定危险的可能性和严重性评价每一个风险。换句话说，雇主和员工通过定性的和定量的信息计算出“发生的严重性”和“发生的可能性”。

21

中国民航学院安全学院内部资料仅供参考定量的信息使评估变得非常容易进行并具有说服力，但是通常这种信息很

少。在这种情况下，我们必须依靠经验和专业意见等定性的信息。当然，这样使评估很难得到结果，但是评估结果如果是通过知识丰富的评估员讨论得到的那么评估结果是有效的。当风险评估结果是源于某一个专家的意见或每个独立的事例，那么该评估结果不如考虑了一组有经验的专家的意见所得的结果有效。4.1.1 风险评估中的问题

当一个公司开始进行风险评估的时候，它需要知道运营过程中那些地方存在问题。这将给航空公司带来很好的结果—对危险的有益的调查。

输入信息缺乏—风险评估汇总的一个明显的问题是缺少信息。危险数据可能是不

足的，有时评估危险的可能性和严重性的第一步可能是集中力量调查收集资料。测量误差—在测量危险可能性和严重性的时候有可能出现误差。像测量其他

事情一样，要仔细并且选用合适的测量方法。不确定因素—有很多类型的不确定因素困扰着风险评估。·原因和结果中的不确定因素—引入经验丰富人员的意见时存在偏差。·人员和管理上的不确定因素—通常认为风险来自于硬件。人为因素难以进

行清晰明确的分析。·预测将来时的不确定因素—当评估员需要对事物的发展进行预测时专家的

意见是有价值的。这些不确定因素是正常的。事实上，这些是管理活动（包括评估）的典型状

况。这些不能被避免，但是评估组可以尽最大努力解决好这些问题。动机风险管理的动机和动力包括公司的缺陷。风险评估者至少需要按照一套经过

思考的（而不是仓促的、非法的）有组织的、系统的方法进行。更进一步说，当需要时评估过程要建立在恰当的假设的基础上。一个人能够

预测正常条件下使设备降级的磨损，但是如果设备是在高海拔、高温和风沙环境

22

中国民航学院安全学院内部资料仅供参考下工作这种预测还是有效的么？

风险评估者面对的最基本的问题之一就是资源。当有充足资源（或资源预期可用）为基础的时候，而不是给定了危险相关风险时，风险评估会变得很简单。这一点可以总结为：“无论存在什么问题，结论是只要有资源……..”。

修正在风险评估中，对我们所描述的评估结果进行修正是非常重要的。在大多是

情况下，最有价值的事情是详细记录风险评估的过程，然后说明不确定因素存在的位置。这包括得出风险评估结论时的思考过程。如果你只有一个数据点，解释如何由有限的数据推断出风险是非常有意义的。如果采取的措施源于推测而不是分析，那么这样要求的措施是没有根据的。迄今为止你唯一能做的就是宣布：“天要塌下来了”。这样将无法得到和维持管理者和员工的信任。4.2 风险管理

一旦得知某个危险的风险出现的可能性很高，就要马上描绘出这个风险意味着什么。然后要决定对该风险采取的措施。

风险评估矩阵是风险评估的基本工具。该矩阵将危险与风险的可能性和严重性联系在一起。可以根据用途进行细化，但是并不用提供比现实中更多的细节。当存在大量数据的时候，可以有五个到六个级别的可能性和严重性。当缺乏数据时，或进行定性分析时，更适合采用不复杂的矩阵（矩阵分为小型、中型、大型）。不要只采用 5×5或 2×2矩阵。要根据需要和信息量建立矩阵。4.3 风险评估矩阵下面是几个风险矩阵的例子，一个是加拿大的另外一个是英国的。一个从左

向右排列，另外一个从右向左排列。各自的格式并不重要，因为他们展示了同样的信息。在重申一下，采用对你和评审该矩阵的人有意义的格式。

23


风险评估矩阵例 1

严重性

5

4

3

2

1

5 10 15 20 25

4 8 12 16 20

3 6 9 12 15

2 4 6 8 10

1 2 3 4 5

1 2 3 4 5

可能性图 9—5X5 风险评估矩阵

典型的，我们描述严重性和可能性的级别按照“从高到低”的顺序，如严重性可能性/频率

5— 灾难性的 5— 一定/即将发生

24

中国民航学院安全学院内部资料仅供参考4— 严重的 4— 很可能的3— 较大的 3— 可能的2— 较小的 2— 偶然的1— 可忽略的 1— 遥远的/不可能的

对于被评估的严重性和可能性，典型的回应顺序如下：不可接受的

不受欢迎的可接受—要采取措施在受监视下可接受可接受

风险矩阵的任务之一就是为每一个风险设定一个通俗的级别。在有些情况下可以用数字的形式进行描述，但是多数情况下是纯口头描述。风险等级的定义必须达成一致。

风险评估矩阵例 2

可能性严重性灾难性的严重的不严重的可忽略的

频繁的很可能的偶然的遥远的不可能的

25


严重性有四个等级，可以用美元、损伤或其他概念进行描述。可能性分为五个组。这些可以进行定量评价，有些人用数字表示可能性/严

重性的等级。例子如下：频繁的 1.0

很可能的 1.0 （千分之一）偶然的 1.0 （十万分之一）遥远的 1.0 （千万分之一）不可能的 1.0 （十亿分之一）

在下面的例子中，风险被分为四类：高度的红色严重的黄色中等的蓝色低级的绿色

在风险评估矩阵的其他版本中，你可以看到组织所采用同样的排序思想，它们的理论和用法都是一样的，只是表现形式不同。

当一个危险是灾难性且即将发生时，决定其应该采取措施相对简单。同样的当一个危险是可忽略且不可能发生时，它将会放到最后处理。像这样的危险可能被放在一边，以后再考虑—通过适当的决策的文件。然而，在这两个极端之间的风险评估领域非常广泛，且这个领域涉及到风险可接受性的价值判断和决策。风险评估矩阵是用来决定哪些危险值得采取措施的工具。它是将一个危险的风险与另一个危险的风险联系起来的一种手段。

在实际当中当风险评估组确定采取的措施即简单又经济，那么采取这些措施不会有任何异议。通常简单的措施会执行的很快，而是否采取复杂的措施会争

26

中国民航学院安全学院内部资料仅供参考论不休。 4.3.1 风险价值判断

在某些阶段，进行决策过程中要考虑组织的价值和个人的判断，同时你还要考虑：

·被估价的风险的重要性，·相关的社会、环境和经济方面的考虑，·采取措施和不采取措施的潜在的代价。作为判断的一部分，你要深入了解你所在环境。当然你需要将风险看成一种

物理环境，但是同时你还要准确了解组织的运行环境。例如：管理当局应用于危险的政策、措施和偏见是什么？组织的哪些部门将进行危险的缓解？公众承担危险及其相关风险时的感觉是什么？有时上述这些问题使风险管理组更改了最初的目标。4.3.2 风险接受

风险评估组要建立并将对危险及其风险的理解形成文件。通过以上了解，评估组要制定危险缓解措施，然后开始进行风险管理最难处理的部分—确定风险的可接受水平。

当然，我们希望消除所有危险及其风险，但是经验告诉我们完全消除或控制风险是不可行的或是不现实的。这就意味着存在适用于风险的可接受水平。

当超越可接受水平时技术专家可以促使决策者付诸行动。有时决策者对风险不予考虑或直到应该进行决策时他们才采取行动。然而，决策者最好参与风险评估过程，这样他们可以获得丰富的相关知识。

这就是为什么风险评估组要彻底的将调查和结论形成文件的重要性。所有这些要对决策者进行解释，有时是对管理当局甚至是公众。

对于决策者，他们的风险管理要回答两个问题： 1.我将直接接受哪些风险？ 2.我将间接接受哪些风险？

27

中国民航学院安全学院内部资料仅供参考这些问题不是很容易回答，也不应该容易回答。决策都不是信口开河的。决

策是建立在风险评估的基础上的，而风险评估是建立在决策者对组织运行环境深入了解基础上的。决策者可能让评估组重新评估或做其它更多的工作。然而，如果危险是即将发生且灾难性时这可能不是个好主意。风险评估组需要清楚的描述其建议的重要性。

当决定了可接受的风险和相应的措施后要马上形成文件。形成文件主要有如下两个目的：

1.文件显示了可接受风险的基本原理。当出现问题时决策者需要利用到这个材料。

2.文件保存了风险评估和风险接受工作，以备以后察看。这使以后的评估者不用再从零开始评估工作，这个文件显示了以前的工作状态。

运营人通过建立下表所示的方法回应决策问题，评估跟踪措施沟通对其他人的建议

不可接受的·停止运行·进行定量的工程和运行安全风险评估

管理当局制造商其他运营人管理人员和员工

警告所有人

不受欢迎的·限制操作·进行详细的定量的和/或定性的工程&运行风险评估


警告所有人

采取措施时可接 ·按照要求限制操作提醒管理者和员

28


受 ·制定解决问题的详细的措施计划

管理人员和员工工

监控时可接受·制定监控参数·为评估设置时间限制

管理人员和员工提醒管理者和员工

可接受的 ·风险情况监控管理人员和员工建议管理者和员工

图 11—决策矩阵例子上面这个矩阵是一个组织如何衡量与危险的风险有关的危险控制措施的例

子。这个格式是强调的重点，而内容可以根据组织的需要进行变化。4.4 危险控制和缓解

当风险评估过程完成的时候，SMS 开始采取措施缓解和控制该危险。运营人系统的分配资源，通过实施危险控制将损失最小化。随着航空业对飞行手册、航空器手册、事故症候响应组、命令/领导层/资源方案进行的无数次的控制以及对航空器进行的小的改动，我们在危险控制方面已经有了很多经验。4.4.1 危险控制/缓解

当一个公司建立和实施危险控制时要考虑了一些问题。一个问题就是所采取的控制是否和危险有关。另一个是危险减缓措施是否会产生其他问题。例如：宣布建立一个新的报告系统可能不会对缓解危险起多大的作用，即使它预期的结果非常好。危险控制产生其他问题的例子就是 1970s 安装在运输航空器架舱中的多重报警系统，它包括许多铃声、叫声、钟鸣声、鸟叫声、人声等，这些声音扰乱了飞行员获得其他所需的信息。人为因素研究在信息传递方面的进展再 80s

到 90s间被引入了驾驶舱设计中。4.4.2 系统安全优先次序

当公司采取措施进行危险控制的时候，他们需要按照一个标准的危险控制优先次序进行。简单的说，控制危险的最令人满意的方法是在设计时不把包括在

29

中国民航学院安全学院内部资料仅供参考内。而控制风险最没效率的方法是贴一张警示布告或安全海报。下面我们列出了危险控制的所有优先次序。

一级 — 设计时将危险排除在外-修改系统二级 — 防护装置或屏障-阻止风险发生三级 — 当危险将要发生时发出警报或预警信号四级 — 程序和/或培训改变五级 — 警告（布告，通知等）这个想法是依靠人的加入和干涉将安全融入到组织中并且将风险最小化。认

识到加入警告或报警装置会增加系统的复杂性，甚至产生他危险。在上面三级—五级中，人员行为是危险控制的基础，人员行为也是可依赖的控制措施中最不可靠的。4.5 核实

在风险管理中有两个部分可以使系统循环。一个是下一节讨论的危险信息系统。另一个是管理者确认危险控制措施在按照预期计划进行实施。特别是在大公司中，你不能设想发布命令实施危险控制/缓解措施意味着这些措施真的实施了，或计划时就已经实施了，或按照计划的方式进行实施。最简单的方法是，“核实核实！”

当实施控制措施的时候，公司需要通过建立危险及其控制的跟踪系统使系统保持循环。这个系统服务于很多目标，这些目标都是为了保持公司的效率和保存资源。这不是简单的“使之工作。”随着时间的发展、缓解措施效果的变化或操作环境的变化，你将发现你不得不更改操作或过程。

30


31


第 5 章危险信息系统有很多理由表明 SMS必须包括危险信息系统：信息系统使公司注意到那些未发现的危险，信息系统察看危险控制措施是否得到了预期的结果、相反的结果或

没有任何结果。这同时是一个“跟踪系统”，信息系统为公司提供了将员工包括在安全方案中的方法—假定提交

报告的员工得到积极的反馈信息。信息系统可以进行数据分析以帮助评估风险的严重性和可能性。

5.1 要求恰当的危险信息系统取决于公司的规模和组织结构以及在系统外部是否存

在为公司服务的报告系统。例如 NASA 管理的航空安全报告系统（ASRS）满足了一些公司的需要，公司都想使内部报告适应公司内部的环境。

在任何情况下，如果报告包括员工的报告和／或自我揭发，员工不会因为提交报告而受到惩罚是非常重要的。如果缺少了这个关键条件进行报告将被抑制同时公司也将不能得到保持其高效、安全运行所需的信息。作为一种特殊情况，如果公司不能对员工的报告免于惩罚，那么公司要表明：对员工报告的信息不予考虑。这是下述两种情况之间的一种选择：鼓励积极的报告以推进公司运行；激怒那些具有丰富的专业知识和操作公司内所有设备的人员。5.2 资源

对于那些组织 SMS 的人员来说，信息系统是其工作的起点。由于航空操作的特点和航空中安全工作的历史，已经存在了许多报告系统。规划者的当务之急就是识别哪些系统在运行着。完成了这个工作，规划者可以确定将信息传送到指定地点的方法并且对信息进行分析。

当然，可能需要建立新的信息系统，但是首先要利用已经存在的系统。例如31

中国民航学院安全学院内部资料仅供参考飞行品质监控（FOQA）、航空安全行动计划（ASAP）、服务困难报告（SDRs），因为许多航空运营人已经在利用这些系统上的信息。他们所作的工作十分出色，他们展示了公司运行的真实情况。记住：从小的事故症候或事件中收集信息是十分重要的，因为只要环境有

一点改变这些小事件就会变成事故。在你所报告的事件的下面么能存在一个冰山SMS规划者需要拥有一个高质量的灾难分析和报告系统。灾难调查的关键

不仅仅是完成调查报告，而是认识需要采取什么措施以防止其再次发生。灾难报告后要进行风险管理。灾难报告是循环的一部分。

32


第 6 章结论既然你已经知道了组成 SMS 的基本要素，你将知道两个关键点： ·管理者要进行承诺并得到员工的支持，·如何将 SMS规划形成一个整体。

6.1 “从上到下”的变化在航空公司运行 SMS 时是一个从上到下的过程。责任主管推动计划的实施

并将计划付诸于行动。在具体实施计划前需要做大量的准备工作。公司的 SMS 政策要和公司的组织机构及其想要达到的目标相适应，所以就

要考虑公司需要什么样的政策以及公司各部门的任务是什么。确定各部门的任务时要与整个公司组织机构内进行沟通。进行这些工作的时候必须清楚地了解公司的环境。了解公司环境时要考虑地理、气候、人员及其教育程度、管理当局、顾客群等因素。公司环境的每个方面都对公司提出了要求。所有这些方面影响着公司的运营安全。6.2 “从下到上”的变化

实施 SMS 的一些初期工作十分简单。这个“从下到上”工作就是察看航空公司内哪些已经存在的措施、方案可以并入 SMS规划中。今天，大多数航空公司拥有一些内部的安全报告系统和用于质量保证、维修

记录和设备故障的信息系统。类似的信息也存在于行业部门、管理当局等公司外部机构中。在一些地方已经存在了无惩罚的安全报告系统。需要指出的是：SMS

不是重新建立一个系统，而是将公司的各个部门进行的联系在一起。1. 首先，弄清楚你已经具有了什么，2. 其次，确定你需要什么，然后3. 第三，弥补“具有”和“需要”之间的差距

33

中国民航学院安全学院内部资料仅供参考6.3 安全问题—商业问题

SMS 提供了提高航空公司的效率和效力的最好方法。它促进了内部资源的调整。它的全面性改善了航空公司与管理当局的协调关系。SMS 加强了公司的商业规划，所以安全问题就是商业问题。

当实施 SMS 时，航线管理是安全目标中最主要的部分，同时也是安全措施最有效的地方。在这一点上，安全变成了公司运行过程的一个完整的部分，而不是形同虚设。SMS 将安全从商业外围转移到了商业的核心—保证公司高效的进行损失控制和充分利用资源。安全是商业计划的一部分。SMS 是一单最好的生意

SMS 在国际飞行员协会（ALPA）的安全理念下高效的工作：　　　·识别可能导致事故、事故症候和危险事件的危险活动、情况、系统缺陷或程

序缺陷。·对识别出的危险的风险进行分析。·进行以人为本的系统、系统组成和程序设计以建立和维持一个可接受的风

险水平。我们坚信 SMS 能够实现ALPA 的座右铭：“Schedule with Safety”。

参考书目商业资源Managing the Risks of Organizational Accidents - James ReasonSystem Safety Engineering and Management – Roland and

MoriartyManaging Risk - Vernon GroseDown to Earth - Forest L. ReinhardtManaging Risk - Alan Waring and A. Ian GlendonModern Management - Pierre G. BergeronSystematic Safety Management in the Air Traffic Services - Richard

Profit

34

中国民航学院安全学院内部资料仅供参考Aviation Safety Programs - Richard H. WoodModern Safety Management - Det Norske VeritasNormal Accidents - Charles PerrowSustainable Forestry Initiative Standard - American Forest & Paper

AssociationResponsible Care - American Chemistry Council

管理当局资源Introduction to Safety Management Systems – Transport CanadaSafety Management Systems for Flight Operations and Aircraft

MaintenanceOrganizations – a Guide to Implementation – Transport CanadaRisk Management and Decision-Making in Civil Aviation – Transport

CanadaAviation Safety Management - Civil Aviation Authority,

AustraliaSMS资料的来源来源联系方式资料

Air Line Pilots Association

SMS Group Engineering & Air Safety Department535 Herndon ParkwayHerndon, VA 20171 USA703-689-4369/4198Steve Corrie / Bill Edmunds

SMS Information packet, Executive and Basic SMS Introductionpresentations,Two-day SMS raining session, Half-day Safety Risk assessment trainingsession,Combined two and a half day SMS / SRA training

Information: Jacqueline Booth-Bourdeau Chief,

SMS texts:Introduction to

35


Transport Canada

Technical and National Programs 330 Sparks Street, floor 2 (AARPF)Ottawa, ON K1A 0N8Tel: 613-952-7974E-mail: [email protected]: Transport CanadaCivil Aviation ommunicationsCentre (AARC)Place de Ville, Tower COttawa ON K1A 0N8(ph) 800-305-2059(fax) 613-957-4208http://www.tc.gc.ca/aviation/applications/publications/results.asp

Safety Management Systems TP 13739 E (04/2001)Safety ManagementSystems for FlightOperations and Aircraft aintenanceOrganizations – TP 13881E (03/2002)Risk Management and Decision Making in Civil Aviation – TP 13095(03/2001)

System SafetySociety

P. O. Box 70Unionville, VA 22567-0070USA540-854-8630http://www.system-safety.org

Products and Services:System Safety Analysis Handbook,Proceedings of theInternational System Safety Conferences,Journal of System Safety List of “links” to System Safety sources

Federal AviationAdministration

Office of System Safety (ASY-100)800 ndependence Ave., SWWashington, DC

36

中国民航学院安全学院内部资料仅供参考20591202-267-7011

Useful Texts System Safety Engineering and Management – 2nd Edition

Harold E. Roland and Brian Moriarty; John Wiley & Sons, Inc.; New York, 1990

37


附录 1 SMS 矩阵这个矩阵描述了 SMS 的各种组成要素，包括项目的三个参与者—运营人，

员工和管理当局。

图 13—SMS基本组成矩阵*垂直方向内容适用于 SMS 的每一个参与者。按照从组织活动、风险管理

到信息收集活动的顺序从上到下进行。**接下来从水平方向看这个矩阵。每个参与者在 SMS 中进行类似的和

相互关连的活动。每个参与者之间的活动互为补充相互关联。

38

中国民航学院安全学院内部资料仅供参考详细的 SMS 组成要素矩阵

SMS 活动参与者运营人（航空公司）

员工（ALPA）管理当局 (FAA.TC

等I.组织 —文件化的 SMS

明确的，文件化的项目构成系统的、持续的安全风险管理活动—管理者的任务责任主管—指定并记录在案对各个层次上的“损失控制”确定明确的责任在经过安全培训的人员的协助下进行正式的、常规的危险/损失控制管理审查确定经过安全培训的人员的领导— 文件化的政策（涵盖整个公司）　风险接受政策

—员工的任务　确保全员参与

—文件化的 SMS

　正式的加入到运营人的ＳＭＳ中去

—管理者的任务　参与建立ＳＭＳ　参与常规ＳＭＳ有效性审查　经过培训的安全人员／领域的专家要与管理人员保持联系

—文件化的政策合同／ＬＯＡ／ＳＭＳ措施的ＭＯＵ文件／职责

—员工的任务培养或提供领域的专家以进行危险分析和控制活动

—文件化的 SMS

　详细明确的、咨询性的材料

—管理者的任务　与运营人的ＳＭＳ保持密切联系　对行业危险／损失控制活动进行常规的审查　提供经过安全培训的人员　按照 SMS 模型、技术和用法知道政府和行业部门

—文件化的政策为运行人建立 SMS而推荐的标准评审运营人 SMS活动的框架，ATOS、CSET等—员工的任务准备一线工作人员进驻并培育一个 SMS 的环境

39

中国民航学院安全学院内部资料仅供参考　充分利用员工工作经验基础上的危险发生和危险控制的专业意见

II.风险管理活动

—危险探测系统

—危险分析系统公司内部的研究小组（纵向的）充分利用各种专家的意见和技术—分析评估系统

—危险控制系统建立并实施适当的危险控制当专业经验显示有必要时对控制进行更改—危险控制跟踪系统确认危险控制的实施确认危险控制的效果

—危险探测系统

—危险分析系统参与危险分析活动

—分析评估系统

—危险控制系统参与控制的建立协助运营人实施控制

—危险控制跟踪系统参与危险和危险控制的反馈报告危险态势

—危险探测系统监督，如 ATOS

对运营人和行业信息进行内部评价—危险分析系统管理当局内部（纵向的）的分析小组行业外部分析小组—分析评估系统

—危险控制系统规章、出版物、标准、TOs、ACs

SMS 评审组对运营人进行审查—危险控制跟踪系统确认管理当局、行业和运营人危险控制的实施，例如：审查和所要求的报告程序评价控制措施的效果

III.危险信息系统

—内部的危险信息系统用于探测、分析和项

—内部的危险信息系统用于探测、分析和项

—全行业的安全信息系统建立 / 保持系统

40

中国民航学院安全学院内部资料仅供参考目的改进为员工建立无惩罚的报告系统反馈和信息共享整合所有运营人的信息（纵向的）

—外部的危险信息系统的运用例如：管理当局、制造商、行业团体、国际性组织等

目的改进参与雇主的无惩罚的运营人安全报告系统参与行业的无惩罚安全报告系统内部的安全报告系统—外部的危险信息系统的运用例如：管理当局、制造商、行业团体、国际性组织等

（FOQA、ASAP、ASRS

、SDR等） --强制系统 --自愿系统建立/鼓励建立全行业的和运营人的无惩罚安全报告系统为运营人提供 NPSRS

模型，以达到信息共有创立全行业的NPSRS，是管理当局可以进行危险探测和分析

41


附录 2 航空承运人建立安全管理系统大纲附录 2.1 原则

1.事故链中的大部分关联都在组织的控制之下，正如在事故的“组织理论”解释的那样。

2.人们在组织中做什么以及如何做确定了一个航空公司的文化。一个组织需要一个积极的安全文化以建立和维持能够提高公司安全性的工作方式。

3.公司的商业计划必须将风险管理融入到公司的运行当中。像成功或失败要达到其他目标一样，成功或失败也要达到风险管理目标。

4.航空公司的首席长官对公司的风险管理最终负责并承担相关责任。无论名称叫什么，这个职位叫做“责任主管”，目的是为了安全。

5.员工是最重要的安全资源。包括制定和实施安全管理系统的员工。附录 2.2 概念危险—在飞行操作中经常伴有危险（对安全造成威胁）。风险—风险是如何评估危险。风险包括两部分概念：危险结果的严重性（所能达到了严重程度）危险结果的可能性或频率（多长时间发生一次）风险管理—通过减少危险结果的严重性和/或频率来控制或缓解危险。附录 2.3 讨论

公司在事故发生前需要采取主动的管理措施来识别和控制危险。管理者和员工必须通过风险管理知道和明白他们错作中存在的危险。管理者和员工是安全的资源。鼓励他们发扬和实施他们各自的技术和知识以提高组织的安全性。当管理者和员工反映安全问题时，公司必须以积极、规范的方式给予回应。

对当前的运行实施风险评估和管理，并对运行和管理提出改善建议。在风险评估和管理中运用交叉学科的专业意见。区别过失和故意的行为祸违规操作。作为危险控制过程的一部分，要理解过失的含义。不能容忍故意的违规行为

42

中国民航学院安全学院内部资料仅供参考附录 2.4 SMS 组成部分附录 2.4.1 方法—全公司范围内全面、系统的安全管理。a. 确定管理安全的基本方法。

i. 任务陈述ii. 理念iii. 政策

1.确定安全和性能目标基本方法的安全政策2.无惩罚的纪律政策

a.鼓励进行事故症候和危险报告 b.区别对待过失和故意行为

iv. 程序v. 措施

1. 安全责任 a.明确定义任务和职责 b.定义每个员工的任务，并形成文件

i.将每个岗位和任务的安全责任形成文件 ii.将每个岗位的资格要求形成文件

iii.详细规定责任关系以确保所有员工对其相应的职责是胜任的且经过培训的

iv.详细规定管理人员对于外包服务的责任c.最高管理层对安全应负的责任

i.责任主管负责建立和保持 SMS

ii.明确规定各级人员的权力iii.功能区内对安全项目审查的责任

1.安全办公室—（由公司的规模决定）与责任主管进行信息交流的途径，其职能：

a.关于安全的专业意见 b.安全信息系统 c.审核职能

43

中国民航学院安全学院内部资料仅供参考 2.安全委员会—通过举行一系列会议参与安全决策。

iv.管理人员的责任 1.对于损失 2.对于实施和监督危险控制

2.主动的领导人员和管理人员a.提供必要的安全资源以实现战略上的安全目标b.为安全事务分配必要的资源，如时间和资金c.将安全事务放在各级会议的议程中d.包含在安全活动中并评审所以作业场所e.接收和处理员工的安全报告f.在公司的刊物中强调安全主题

vi.性能1. 安全性能测量2. 安全报告3. 危险控制措施确认

b. SMS 组成的描述—描述每一个组成和它们之间的相互关系，也就是 SMS 手册i.方法ii.文件iii.审查iv.培训v.质量保证vi.应急救援计划

附录 2.4.2 文件a.识别可行的航空或其他安全规章和要求b.完善文件系统，以保证将 SMS 的每个组成都写入 SMS 文件或手册c.当规章、标准和豁免发生改动时，也要对文件进行向以的改变 d.保持当前的、适用的和有效的文件

附录 2.4.3 安全审查a.主动措施—通过分析每天的工作情况或通过公司的安全报告系统收集的报告来识别

潜在的危险44

中国民航学院安全学院内部资料仅供参考 i.报告危险、事件或安全事务的系统ii.对数据、安全报告和任何其他安全相关信息进行分析的系统

iii.收集、储存和分发数据的方法iv.纠正措施和减小风险的策略v.时时的系统监控

vi.危险控制/减缓措施执行情况的跟踪检查vii.纠正措施效果的确认

b.被动措施—对已发生的事件做出回应 i.非预期的事件 ii.指出事故控制措施没有达到预期的效果

附录 2.4.4 培训a.将各个工作领域的培训要求形成文件b.提供适合的信息、技术和培训以保证完成任务 i.航线管理人员ii.航线员工iii.安全工作人员

附录 2.4.5 质量保证a.精心设计和文件化的用于产品和过程控制的程序b.对测试方法进行检查c.对设备进行监控，包括校准和测量d.内部的和外部的审核e.对纠正和预防措施进行监控f.当需要时，运用适当的统计分析

附录 2.4.6 应急相应计划a.政策b.公司动员并通知代理处c.旅客和员工的福利d.伤亡和接下来的家属调解e.代表公司进行事故调查f.员工危险期反映劝告

45

中国民航学院安全学院内部资料仅供参考附录 2.5 总结

SMS 在商业危险和重要安全活动受到危险影响时首先关注公司及所有员工。SMS 的本质活动是危险分析和控制。SMS 的关键点是在损失控制时利用公司的全部资源，就像包括所有管理人员和员工一样。

46


附录 3 安全风险评估过程（SRA）安全风险评估（SRA）是安全管理系统（SMS）的核心部分。SRA 的目标

是消除危险或较小危险到可接受的水平。SRA 是一个循环的过程，包括学习、采取措施和系统完善。这个程序承认环境是变化的，我们要学习新的东西，执行计划时不能按照原计划一成不变的工作等。换句话说，SRA 是一个实实在在的程序而不是一个象牙塔式的措施。SRA 和风险管理是一个统一的整体，下表将SRA 与风险管理联系在一起并形成一个循环。从整体上看，SRA程序包括组织、评估和风险管理三个过程。

过程措施

组织

·识别问题/程序和合适的风险决策者· 成立工作组、指导委员会和执行委员会（EXCOM）·定义问题/程序○人员○设备○环境○职能交界面·定义术语○危险○严重性的定义○可能性的定义

·首先关注○初步的危险目录

46


风险评估 ○初步的危险评估·就 SRA 关注的危险达成一致意见·对所关注危险的风险进行评估 ○FTA, FMEA, OSA, STEP等·识别不确定的信息·为风险决策者提供风险分析

风险管理

·对风险评估和识别出的不确定信息进行评价○是否需要进一步的分析？○不确定的信息是可接受的么？ ·需要采取措施么？ ·如果不需要，将其原因形成文件 ·如果需要，实施危险控制/缓解措施·对措施的实施情况进行监视和测量○员工/行业安全报告○事故症候和事故的报告○测试○违规行为○审核○等·把“吸取的教训”提交给风险评估工作组·根据措施实施情况的测量结果修改危险控制措施

47


48


附录 3.1 计划关于在该方案中发挥ALPA的作用。

附录 3.1.1 问题1. 该方案的作用范围和目标是什么？2. 该方案的系统和/或子系统被清晰的定义了么？3. 系统/子系统的要求形成文件了么？4. 系统/子系统和其他系统相互作用么？如何作用？5. 在新方案中重点解决那些安全问题？6. 这个新方案将对 ALPA哪些其他方案造成影响？7. 该方案是否有很强的针对性且能对整个组织有广泛的影响？8. 谁将从该方案中受益？9. 该方案需要 ALPA哪些资源？10. 该方案是否需要一支ALPA各学科综合的团队？11. 该方案中谁是股东？12. 政府／行业主席出面掌管该方案和团队的话能否提高其效率？13. 股东是否能够对主席或主席团构成影响？14. 正在被提议的确定内部安全问题的方法是什么？15. 分析安全问题的原则是什么？16. 对所采用的理念和工具有多少信心？17. 用于监督、核实方案的实施情况和测量所实施方案的效果的机制是

什么？18. 方案团队是否接受用于确定安全问题的安全风险评估方法？19. 在方案团队以外谁将受到影响或成为 SRA 的评估对象？

附录 3.1.2 措施

48

中国民航学院安全学院内部资料仅供参考1. 努力回答这些和其他相关的对该方案非常重要的问题。2. 确保详细说明与该方案相关的系统。3. 确定 ALPA 想通过该方案达到的目标。4. 确定预期的结果。5. 确保可以获得方案所需的资源。6. 确定资源上存在的任何潜在的缺陷。7. 确定预期的费用和完成该方案所需的时间。8. SRA 将执行以下任务：a.确保 SRA 的评估范围覆盖了整个系统。b.确定执行 SRA 的最优方法。c.确定完成 SRA 所需的数据和信息资源。d. 评审计划的充分性。e. 为 SRA团队制定相关的术语：I. 包括 SRA 用到的术语的目录和定义。II. 在定义风险的限制时要得到一致的同意，例如什么是可接受和不

可接受的风险（涉及到建立分析矩阵）。III. 识别 SRA 方案将需要的一些学科的专家（领域的专家）。IV. 决定如何将 SRA 形成文件并包括在 SRA团队的报告中。9. 如果方案团队不愿意执行 SRA，采取办法能使他们转变想法—谁将受

到影响？10. 如果不执行 SRA，采用其他你能找到的优秀的方法去发现缺点，并

对 SRA团队进行报告和确保形成文件。11. 确保将这些缺点上报ALPA 管理人员。

49


附录 3.2 危险识别和分析　关于墨菲法则—所有能够出现的错误都将出现！

附录 3.2.1 定义　　危险是能够导致损失的事件、条件和环境。

附录 3.2.2 识别1. 危险可能是现实的也可能是潜在的。2. 危险的识别通过观察和运用能够描述具体活动、过程或系统过程如何运

行或其预期运行的别人的数据和知识。3. 高效的危险识别依赖于：·分析小组的经验和知识，·分析方法的选择，·准确的安全数据资源。

附录 3.2.3 历史数据历史数据能够提供对与以前或当前的活动或系统相关的危险进行深入的了

解，可以为通过识别程序发现新的危险提供指导。历史数据也能够为制定将来的纠正措施提供指导。以前“教训”能够定义“以前的错误”并希望这些错误不会在将来的活动和系统中再次发生。“教训”同时也强调了以前那些做的好的事情

“安全数据”本质来说对安全从业人员在安全活动中有四个主要的用途：1. 在设计过程中；2. 在危险分析中；3. 在安全风险评估活动中；4. 对 SRA 结果和效力进行确认和完成情况的监视中。

附录 3.2.4 危险识别的方法1. 对数据和项目/系统的要求进行评审2. 观察、审核、安全视察、调查、研究。

50

中国民航学院安全学院内部资料仅供参考3. 利用学科（领域）专家、方案团队成员、一线员工获得的信息制定简

报。4. 应用相关的分析工具—流程图、事件树、事故树、故障模型和影响分析

软件程序、数学统计模型、模拟5. 团队内部的集体讨论

附录 3.2.5 危险识别和分析(1) 识别—初步危险目录（ PHL ）

这是危险识别和分析过程的第一步，是为 SRA准备的第一个文件。危险是出现损伤的潜在性。它可以是一个物理状态叫做不安全状态，如不恰当的运行、故障；也可能是不恰当的人的行为，如不安全行为、设计中的人为差错；也可能是程序。初步危险目录的目标是制定出这些早期危险的目录。它在很大程度上依靠惯例和历史资料，但也包括从以前提及的原始资料中得到的数据和信息。例如

输入：从类似的系统中、危险记录、事故症候和事故的报告、安全教训、项目安全要求、专家意见中得到的安全数据。

输出：额外安全设计所要求的对危险分析和识别进行跟踪的现实的和潜在危险的目录。

一般的，PHL 开始于项目或方案形成概念的时候。它为管理者提供与设计理念有关的固有危险的信息。这个想法便是制定出所有可能性的目录，但并不涉及事件真正发生的可能性。制定 PHL 的典型方法是小组内的集体讨论，同时也可采用检查单（效果最差）、一般的要求评审、非正式会议和调查。(2)PHL 过程

第一个目标是获得尽量多的关于设计理念的资料。邀请学科（领域）专家参加 PHL 的制定工作是非常明智的。这些过程包括：

1. 建立 PHL 开发团队。团队成员要来自理念/系统设计的相关领域。2. 对团队成员进行系统安全理念和如何开发 PHL 方面的培训。3. 确定执行 PHL 的方法。

51

中国民航学院安全学院内部资料仅供参考4. 确定文件的格式。5. 团队成员要提高理念/系统方面的知识。6. 适用时，评审以前的系统安全相关的记录。7. 从以前相关的事件中吸取教训。8. 考虑设计生命周期的所有阶段。9. 考虑所有系统和活动单元；人员、硬件、软件和环境相互作用。10. 识别能量源（损伤的原动力在哪？）11. 作为开始，考虑一下普通的危险（见附件）12. 开始制定 PHL

(3) 分析—初步危险分析（ PHA ）

当列出了初始危险后，这个清单可能在概念设计阶段早期进行修改，所以这些危险可能在早期被消除或者在过程的后期被控制。PHL 同时也为危险的详细分析（初步危险分析）提供了基础。

初步危险分析（PHA）PHA 的主要目的是识别所有相关的危险。它还致力于识别危险的原因和结

果、确定危险的特征、优先考虑某些危险或忽略某些危险（如果它不值得进一步分析）。原因是危险为什么存在的潜在动机。结果是如果允许危险存在其可能导致的后果。每个危险可以有很多潜在的原因和结果。

主要危险—导致其他危险或对其他存在的危险负责的危险。它是其它危险出现的驱动力。

系统缺陷—系统中导致危险出现的条件和环境。类似的危险可能在类似的活动或系统中产生，要努力识别这些危险。

通过危险的分级和详细的危险描述可以进一步确定危险的特征。例如：·仪表飞行规则（IFR）间隔是 1 英里。·机场的喷涂标志已经风化。·飞行员没有接受模拟训练。

52

中国民航学院安全学院内部资料仅供参考·滑行道“E”与跑道 32 在 140 处交叉。有效分析危险潜在性的方法是研究危险出现或显露的各种途径。这种方法叫

做危险假设或想象成“如果...那么会...”。要识别这些初步的危险和系统缺陷。输入：·运用 PHL 的结果，通过确定危险的原因和结果对危险进行分析。·根据团队决定的危险的重要性对这些危险进行排序。输出： PHA 将有潜在危险的区域和按危险结果或严重性排序的信息进行组织并形

成文件。PHA 是一个项目的基础系统安全分析。这个文件要求根据反馈的信息进行

定期的升级。通过识别过程，安全人员可以开始识别危险相关的风险。

53


附录 3.3 险评估关于损伤发生的可能性—你的风险接受水平是什么？

附录 3.3.1 定义“风险”是危险的结果，通过严重性和可能性来衡量。在本步骤中，将按照严重性对危险的结果进行进一步的分类，并加入危险

发生的可能性和损伤发生的潜在性。问一个问题：“如果一个特定的危险潜在性真的发生了，它发生的频率和严重度是多少呢？”

所采用的评估方法，定量或定性，决定于所得到的数据。一般来说你得不到你想要的数据。一般都用定性和定量相结合的方法。

(1)风险等级等级可能是定性的、定量的或二者相结合。利用重新编制或存在的风险矩阵

将评估过程形成文件。（见附件）。如果使用已经存在风险矩阵，那么你的工作将更容易被接受，并且向决策者提供的分析结果便于使用和理解。要确保危险的分级要得到所有人员的一致同意。如果对这些分级需要进行变动，则这些变动要在评估前进行。

在这个过程中，可以通过叙述风险导致损伤的严重性和可能性来描述风险。(2)风险的接受水平另外一项重要的工作是决定可以接受什么样的风险。从一个单独组织的立场

来看，按照组织的结构、目标、分目标、文化等决定风险可接受程度可能很简单。然而，当包括许多股东的时候这个工作可能会很困难。这个工作的一部分决定了风险矩阵的范围和参数。项目/方案努力避免的潜在的损失以及损失的程度是什么？对这些潜在的损失进行考虑时可以单独进行，也可以根据其相应的严重性和可能性按顺序进行。

最后，对风险进行比较和分类。作为风险评估的一部分，你需要将你的注意力转移到如何防止损失上。这包

53

中国民航学院安全学院内部资料仅供参考括对存在的危险控制或风险缓解措施进行评估，或研究新的预防措施、策略或控制。这些控制或缓解措施的目的是消除或减轻危险导致损伤的潜在性。在这个评估过程中，有些区域可能需要进一步的安全分析。

要进行全面的评审并与法规标准、政策、程序、最佳措施、设备性能和可靠性人员的局限性和限制、培训相一致。通过这个评审，确定这些控制措施具有消除或控制危险到可接受的风险水平的能力。如果它们不能将危险减小至可接受的水平，那么你必须采取新的控制和缓解措施。可以采用下列方法缓解风险。从中可以看到风险控制方法按照有效性进行的排列。

系统安全的优先顺序—危险控制措施的排序。1. 修改系统，将危险排除在外2. 添加防护装置或屏障以阻止风险发生3. 添加警报和预警信号4. 规定程序上的限制和培训5. 向所有飞行员发出通告

附录 3.3.2 更重要的定义衍生风险—当努力处理最初风险时可能产生的附加的风险。你可能要问：“我们处理危险时所附加产生的问题比不处理这个危险时更

多？”换句话说，运用纠正措施时产生的附加危险及风险的影响是什么？剩余风险—当风险管理过程完成后仍存在的风险。如果所有的风险都没有缓解，那么必须识别剩余风险，这样才能了解这些

剩余风险并完成进一步的工作。第四步中讨论的决策矩阵介绍了如何处理已识别的风险。在进行评估前建立

决策矩阵并得到风险评估组的同意。如果在项目、方案或组织中已经存在了决策矩阵，可以尝试应用这些矩阵。

在第四步的决策矩阵例子中，按照风险评估的结果将措施一共分为五个等级。例如：通过矩阵可以看出如果某个风险值超过 20，那么就可以决定这个风

54

中国民航学院安全学院内部资料仅供参考险为不可接受的并且要按照所在类别的要求采取措施。不受欢迎的风险值在 15

—19，在采取措施的情况下可接受的风险值为 10—14，在监视条件下可接受的风险值为 5—9，可接受的风险为 0—4。这些不是严格的采取措施的准则，而是说明性的。风险要素依据目标、分目标和项目、方案和/或组织的价值将规定为不同等级的风险。

55


附录 3.4. 决定和报告关于向决策者报告项目和方案中的危险和相关的风险，以提高

他们的责任心。附录 3.4.1 报告文件

当团队或组对每个风险都进行了决策，需要将所采取的措施的可接受性和批准的理由形成文件。利用决策矩阵可以帮助详细的描述后续措施。

要同时还要考虑项目/方案的要求、组织的价值和主观的判断。这些都是决策过程的一部分。要参照共享的价值、考虑相关的社会、环境和经济因素和采取措施或不采取措施的潜在的费用，考虑被评估的风险的重要性。附录 3.4.2 建议

当风险评估组详细描述了处理风险的原理和纠正措施，评估组将决定是否提出建议。安全人员都习惯提出建议，特别是在评估完成后并作为报告的一部分然而，SRA报告即使没有建议也已经足够了，并且决策者用起来非常有效。

一些决策者可能喜欢和期望得到建议，因为这些建议可以提供一些崭新的解决方案并使之完成工作。相反，有些决策者抵制建议，而且用来反对建议的时间比花费在处理问题上的时间还要多。建议可以面对面的提出，因为按照以往惯例决策者不是解决方案的一部分，他们可以允许负责的决策者避免采取措施。

在 SRA报告中包括提出的建议对于 SRA团队或组来说是明智的。如果提出了建议，就要对建议进行详细的描述以允许决策者决定实施措施的最好方法。更好的方法是与决策者合作共同提出建议。

55


56


附录 3.5 评价关于执行计划及其进展情况—“形成闭环”

附录 3.5.1 确认、监控和反馈在这一步中我们要确保风险评估组提出的措施和结果付诸实施。评估组要核

实控制和缓解措施已经在实施当中。存在风险的部门已经制定了风险控制和可接受性决策的有效的方法。

作为 SRA 过程的一部分，必须建立跟踪和监控系统。可以借此评价纠正措施的执行情况以确保活动或系统符合预期的要求。缓解措施有效果么？理论上，应该对某项活动进行实时的监控，但是这是不可能的。除了要评价活动或系统的执行情况外，建立和维持系统运行所需的价值和

信心也需要进行评价和理解。SRA 应该进行定期的更新以确保时刻保持有效。这些更新或后续措施对于从最初的风险中发现任何变化是非常有意义的。风险形势的变化意味着需要采取新的危险控制或缓解策略。评价阶段的“反馈”是非常重要的，它可以衡量和保持系统的“安全”。

56


57

中国民航学院安全学院内部资料仅供参考附录 3.5.2 普通的危险及其种类

当你开始进行评价的时候，你可以考虑如下这些普通的危险和危险的种类：·冲突·CFIT·天气·系统失效·失效·人为因素·紧急情况·软件故障·沟通不畅·要求·交通流动·操作疏忽·不恰当的数据·错误·不恰当的计算·自动操作锁定·情景意识·不充分的意外事件·开放的网络·合约体系·不恰当的警报·没有预警或预警失效·人为干扰·欺骗·出租事故·地面控制

·危险材料·辐射·电·污染·零件·移交分界线·商业软件·商业设备·大气条件·生理上的问题·设计错误·温度·爆炸·固定·燃烧·出口·加速度·腐蚀·碰撞·震动·压力·结构损坏·毒性·摆动·噪声

58

中国民航学院安全学院内部资料仅供参考·降落事故·起飞事故

·疏忽或省略

附录 3.5.3 设计的考虑可以通过考虑设计时的困难或偏离以及以下方面内容来假设危险：

·适当的冗余·易于进行维修·考虑自动控制和人为控制·可用性和有效性·系统的承受度·可用的资源·系统兼容性·系统合作·对环境相互影响的反映·系统重置·人为因素·工效学·集合·安全关键系统的隔离 ·核实和确认·校准·安全系统的监视·开放的系统设计·指挥和控制权·系统的迂回路线

·情况检查·人员反应·可靠性衡量·后勤·暗中的行为·检验权·类似的设计·新技术·技术转让·对处理的考虑·技术发展·连接薄弱·瓶颈·系统改进·不恰当的功能·信息的远距离传输·系统僵局

59

中国民航学院安全学院内部资料仅供参考·停工·恢复·记忆·存储·唯一的译码·合理的检查

附件 1 简单的初步危险分析工作表危险分析＃___________ 日期：_____________

地点：________________________________________________________________组织/部门：___________________________________________________________系统/活动/作业：__________________________________________________

危险潜在的原因潜在的影响危险种类预计经济损失

60


附件 2 详细的危险分析工作表普通危险分析编号：___________________________________页码：___________地点/部门：_____________________________________

准备人：_________________________________________ 日期：___________

对策：______________________________________________

经济损失/影响：_____________________________________

作业/活动危险要素

X=存在的； E=消除的； R=减小的； I=增加的＃1 ＃2 ＃3 ＃4

＃

＃

＃

危险概要说明：对第一次定义和确定的作业/活动进行检查并为每一项工作指定多个

作业/活动。同时识别危险因素并按照危险程度进行记录，＃1 是最危险的。（见相关的说明）

61


附件 3 详细的危险分析工作表（内容）说明

1. 危险分析工作表用于检查初步危险列表（PHL）中危险。2. 按照事件的顺序挑选一个合理的起始点并在进行分析前多次整体的观察

这些作业和活动。3. 进行第一次作业/活动分析时确定作业/活动的要素。

说明：·不要选择太大的作业/活动。这将影响你对可能含有危险的要素进行分离。·不要选择太小的作业/活动，那样的话一个危险要素可能包含于许多作业/活动

要素中。这将使分析变得复杂。4. 对并发的作业/活动要素重复进行第二步，确保没有漏掉或重复分析

（重叠）作业/活动。5. 如果有同时发生的活动，对每个独立的活动进行单独分析，在最终的列

表中将它们合并在一起。6. 将作业/活动按照发生的先后顺序填在表中。确保明确的定义每个要素开

始和结束点。7. 为每一个对策准备一个详细的危险分析工作表。

62


附件 4 危险分析矩阵实例

严重性

可能性灾难性的人员伤亡；航空器失事

5 10 15 20 25

非常严重的人员严重伤害；航空器严重损坏

4 8 12 16 20

严重的航空器受到轻微损坏

3 6 9 12 15

轻微的操作受影响；损失了员工时间

2 4 6 8 10

可忽略的系统破坏 1 2 3 4 5

不可能的（

）不可能发生

可能性很小（

）20 年可能发生一次

偶尔的（

）一年可能发生一次

可能的（

）每个月可能发生两次

频繁的（1.0）一周可能发生一次

63


64

中国民航学院安全学院内部资料仅供参考看下面严重性和可能性的分类：

严重性分类

灾难性的表现为人员死亡或航空器失事。损失在其他方面的表现为丢掉你的工作，在航空公司

为完全失去顾客信任，或者为财政危机。非常严重的表现为在事故或事故症候中严重的人员伤害或航空器严重损坏。要努力避免其他方面

的潜在损失，它将表现为丢掉一些人的工作，减少顾客的信心或丢掉市场份额或严重的财政打击。

严重的表现为航空器损坏或人员受轻伤。但是，潜在损失的其他方面表现为丢掉一些工作，

失去一些市场份额或财政受到打击。轻微的表现为不受欢迎的但是还没引起损伤。这预示着需要进行导致缩减员工生产力的运行

变革。可忽略的这是一个较小的损失，你有可能接受这个风险。

可能性分类

频繁的对于频繁发生的问题你要预计其最坏的后果。如果潜在的损失每周发生一次，那么这

可能是一个好的起点。然而，这可能还有其他损失，例如失去顾客的信任。这就是最坏的后果。上面的矩阵显示了定性评估（频繁的）和定性评估（1.0）的结合。

可能的从下一个级别开始反映了一个线性的形式，这个线形将在整个矩阵中用到。每个级别

之间都是线性连接的，在我们的例子中，我们给出了对主观可能性的定性评估为，或每 1000次操作出现一次损失。如果每个月中有 1000次操作，那么我每月将经历一次事

64

中国民航学院安全学院内部资料仅供参考故，则发生事故的可能性为 1/1000或每月一次。

偶尔的对于偶尔的，我们给出的损失的可能性是 1：，或者 100000次特定的操作出

现一次损失。可能性很小在我们的例子中，可能性很小意味着你全力避免的损失会在 10000000次特定的操作

中出现一次。不可能的定量上说，这意味着 1000000000次操作中会出现一次损失。

如果你已经规定了各个风险级别，组织要针对不同的风险等级制定明确的措施。这些决定反映了组织的共同价值并且要保持一致。在某个特定风险评估中这些措施不能被改变当完成了评估过程且对评估过程进行了评审后要执行这些措施。

65


附件 5 决策矩阵评估跟踪措施沟通建议

不可接受的停止运行进行详细的定量的安全风险评估


警告所有人

不受欢迎的限制操作进行详细的定量的和/

或定性的工程&运行风险评估


警告所有人

采取措施下可接受

按照要求限制操作制定解决问题的详细的措施计划


监控下可接受制定监控参数为评估设置时间限制


可接受的风险情况监控管理人员和员工建议管理者和员工

66


附录 4 加拿大的 SMS

附录 4.1 加拿大的 SMS 要求在 90年代后期，加拿大运输部作为加拿大的管理当局决定为航空公司建

立强制性的 SMS。从那时起，为 CAR705 中定义的运营人（相当于 FAA121 部中定义的运营人）、航空运输服务提供商和机场运营人起草了相关的规章。这些规章公开接受行业的意见。

这些规章强制建立 SMS，其目的在于： ·要求运行主管对安全负责·减少已建立 SMS 的公司对管理当局的负担加拿大运输部依然在建立后续的规章，但是这些规章用于审核运营人

SMS 的运行情况，而不是完全的、传统的对运行人的审核。只有当发现 SMS 中存在问题时才执行传统意义上的审核。

加拿大运输部的 SMS 实施计划从 2004年 11月 1日将规章大规模的应用于 CAR705 中定义的运营人时开始。规章的要求为：

·在规章颁布 90天内，CAR705 中定义的运营人要获取初始认证。·CAR705 中规定的运营人在其后一年中要提高 SMS 的实施水平。·运营人要在法令颁布三年后建立完整的 SMS 并得到认证·对应于国际性的机场和航空交通服务提供者的规章的计划截止日期为

2005年 3月 1日。SMS 要求将最终转向CAR704 和 CAR703（航空租赁人）中定义的小型的运营人。这些规章的计划实施日期是 2006年 9月 1日。

针对于航空承运人的 CAR705 将允许加拿大运输部：·同过将审查过程修改为鉴定公司 SMS 的运行情况来减轻规章对公司的压

力。·利用有限的有价值的资源去识别存在问题的公司并对安全问题进行处理

67


附录 4.2 批评附录 4.2.1 概述新的 SMS规章的优点在于增加了对安全的报告和对系统的了解。组织的领

导者对组织的安全性有了更加明确的责任和义务，就像他们对财务的责任和义务一样。我们可以看到在实施了 SMS 的航空公司已经改善了管理者与飞行员之间的关系、财务性能和与管理当局的关系。接下来实施 SMS 的细节问题将留给运营人，就像加拿大运输部采用的以性

能说明为主、不进行详细说明的规章一样。这就是 ALPA 提供资金和时间对代表ALPA 的加拿大飞行员进行 SMS培训的原因之一，使他们能够与公司管理者和管理当局在建立时进行合作。

同时，加拿大运输部正在开始对行业实施 SMS，管理当局努力做到：·在 SMS下建立协调一致的管理方法·开始检查员培训·为员工制定一个检查指南制定其他的指南材料，为运营人建立有效的 SMS 提供更多的资料。

附录 4.2.2 加拿大运输部及其强制力对 SMS 进行介绍所带来的一个好处是加拿大运输部在强制力方面的新政策。

这个政策的制定得益于 ALPA飞行员志愿者和员工们的工作。这些新政策已经用于加拿大和美国的 ALPA飞行员和承运人。

这个创新的政策允许公司在有可能出现违规现象时进行内部的安全调查。如果得知某个飞行员可能存在违规行为可以同样进行安全调查。如果相关的飞行员和公司同意安全调查程序，加拿大运输部将推迟强制措施直到完成安全调查且加拿大运输部接受了后续措施的报告。在安全调查的基础上，公司将采取纠正措施。如果加拿大运输部满意公司的后续措施，那么管理当局将结束文件且不对飞行员或公司进行惩罚。它的目标是实现有意义的(而不是表面上的)安全改进。

68

中国民航学院安全学院内部资料仅供参考附录 4.2.3 问题

在这点上还是不知道对检查员进行培训以改变当前或传统的规章观念的效果。这点很重要，因为规章勘查方法的改变和给行业带来的利益对于整个项目的成功是非常重要的。还没有关于要求通勤者（CAR704）和航空租赁人（CAR703）实施 SMS

的讨论。没有考虑在公司间共享安全信息。

69

航空公司的安全管理体系

Documents