王永刚院长在SMS培训会上的讲话(最终稿)

1、永刚院长在SMS培训会上的讲话航空安全监察管理部根据录音整理22日上午4月29日总局出台了关于航空公司实施SMS的规章，就是正式颁布的 AC，与此AC相关的121部条款的修订将 来也会公布。之前我就 SMS的建立、工作内容、思想、方 法等问题和公司高层作了交流和沟通。这次讲课的主要内容 是介绍如何操作，在组织机构确定的前提下，各条线开始具 体实施SMS，同时，把总手册整合的框架与工作小组做一个 详细的沟通。SMS我们首先要懂得原理，接下来工作中遇到的问题就可以 按照原理实施了。我上午将介绍以下几个问题：一是 从哪来；二是它要向哪去；三是要怎么做。 SMS体系就是建 立安全组织机构和管理各项事情

2、的原则和办法的综合。航空 公司大多数业务与安全都有直接关系，因此就要调整整个管 理的体系，企业管理的理念、机制和程序，就是改革原有体 系，而不是建立新的体系。安全管理是属于运行管理的一部分，是运行管理的属 性。这个理念在发达国家已经有十年的历史了。每个国家要 建立一个安全管理的方案，规定民航企事业单位应该达到的 安全水准（这个水准不是中国民航所说的“三为零”，那是最高 水准），由于各个国家航空安全水平不一样，所以定的标准 也不一样。中国民用航空局建议航空公司从06年12月23日开始 实施SMS，要求从09年1月1日开始必须实施，实施 SMS 是国家安全管理的要求。满足以下 4条功能性要求（见

3、AC） 就是实施SMS，必须通过一个体系的工作才能实现这几个功能。它要求各个国家自己去建立体系，只要能完成这4个功 能，这个体系就是合格的。国际民用航空公约“附件 6”里的 “25 ”强调的是责任（问责制），问责制是一个体系，完成不 了任务要追究责任，甚至上升到刑事责任。国际民用航空公 约“附件6”是目标性或者功能性要求。安全管理手册（SMM） 为完成SMS建设提供了指南，但仅仅是参考手册、学习材 料，而不是SMS的模板。大家看到的 AC和总局136号令， 就是中国民航SMS的总要求，其中界定了 SMS要素的组成； 而AC界定了航空公司实施 SMS的具体要求，把 SMS分成 4大支柱，27个要

4、素。以上就是 SMS的背景和目前情况。中国民航事故率现在接下来介绍为什么要实施 SMS 降事故率。由事故率曲 线图可看出世界事故率大幅下降，但是到近几年下降到一定 值就不下降了，处于平缓阶段。事故率大幅下降的原因可分 为两个阶段，一个是军用飞机技术的引进，另一个是人为因 素的改善，之后就一直保持直线水平。仍然继续下降，是因为还处在第二阶段一人为因素阶段。SMS是发达国家研究出来解决平缓阶段的方法，是精细化的中国民航必须两个管理，而我们还处于粗糙化管理。现在， 阶段同时进行，在解决平缓问题的同时还要快速走完人为因素阶段。各航空公司实行 SMS也是一样，原来安全管理不 得力的地方要加快，同时还要加

5、上精细化管理内容。世界民 航百万架次事故率现在是0.2,但是运输量在不断增长，如SMS不果还是0.2的话，事故次数就会增加，所以世界民航提出要 把事故率降低到 0.1的标准，要减少事故次数有两个办法： 一个是降低运输量，另一个就是控制事故率。由于中国现在 无法快速降低事故率，所以现在只能降低运输量，目前的做 法就是加强管理，增加检查次数和检查强度，但是， 是加强管理，而是提出组织管理，只加大惩罚力度是达不到 理想效果的。由于现在还无法杜绝事故，并且运输量不断增 大，所以必须抓组织管理，从源头抓起，所有人都为安全服 务。因此，今后我们采购飞机的时候要定制适合中国人习惯 的，要对适航性进行把关。下

6、面介绍一下SMS的去向。现在多数人都认为安全是 结果问题，而SMS对安全的定义变了，因此安全管理变了。 安全不是结果的问题，而是一种状态，是保持在可接受水平 的状态。不出事故、事故率低都不能称为安全，只有当隐患 控制的好、发作率低，而且有应急预案，即使隐患发作损失 也少，才能称为安全。安全管理就是管理生产、运行而达到 安全，应该是由运行各部门自己管理，而不是安监部管理。 以前我们一直认为安全是独立的，是可以管的，因此都让安 监部管理，实际上按照 SMS要求，安监部应该只对事故处 理、绩效考核管理，只对结果管理。日常的业务、风险管理 都应由各运行部门自己管理。总之，安全管理就是由事后管 理变成事

7、前管理，由事件管理变成事态管理，要把安全管理 的责任从安监部转移到各运行部门。中国由于长期以来没有区分不同类别的差错，统称为人 为因素，所以许多人认为 SMS与现行的管理方法有冲突， 认为SMS就是无惩罚报告，但事实上是不矛盾的，只能说 现在管理还不够严，对两种差错没有区分。现在中国民用航 空局严格了惩罚力度，采取了停航线的方法，下一步还要停 飞机，进一步加严、加强安全管理，同时要从源头抓系统的 安全管理，这就是中国的 SMS。SMS就是一套具体的对政策、 组织机构改革的方案， 责要划分、调整，管理办法、责任人要改变。安全管理体系 最重要的是界定运营人各级的安全责任制，包括高层管理机 构的安全

8、直接问责制。 安监部的主要责任是安全分析、 研究、 考核和汇报，相当于各公司的安全研究所，各部门负责自己 部门的安全问题，安监部对其进行考核。安全管理的主要责 任落实在负责运营人（航空公司）技术过程的人员身上。技 术过程是危险源直接出现的地方，是容易造成风险的地方， 也是通过直接监管、控制措施及资源分配能够将风险降低至 可接受水平的地方，为此，本规定要求各生产运行过程的运 营人员具有内部审核职责。所以，运营人应通过内部审核和 评估大纲，赋予生产运营部门经理监控这些过程的职责，并 定期评价。现在开始讲如何实施 SMS，就是按照AC实施。首先说 明一点，这次AC具有里程碑意义，它是对管理约束的咨询

9、 通告，是管理的规章，是功能性的要求。它不是说明该怎么 做，而是说明该做什么。管理是介于技术与艺术之间的术语。SMS技术部分在于风险管理，难点在于组织结构部分。本AC分为两个部分，前部分是指南，后部分是要求，且适合“121 部”和135部”两种运营人。（介绍AC）“定义”里面提到了很多“过程”这个“过程”大 家还不是很明白，其实过程是“活”，航空公司有飞行、签派、 维修等“活。“程序”就是规矩。“审核”与S09000的审核是不同 的，IS09000的审核是整个系统的检查，本AC的“审核”是指定期的评审，查证是否符合政策、规章、标准、合同，是符 合性检查，从组织管理和运行着手， 既检查技术又检查

10、管理。 所以这里要把“审核”对照评估看，评估是对运营人的政策、 程序和系统进行的功能性独立评审。当运营人独立完成某项 工作时，应由运营人内部独立于被评估部门的机构来完成， 对航空公司来讲就是安监部、运标部。评估过程建立在审核 和检查的基础上，评估和系统审核统一，审核是不系统的， 评估是系统的。SMS就是由安全、管理、系统三个词组成。安全是基于风险管理的要求，是状态的要求，要控制这个状态，就要用 风险来衡量，风险是安全程度的表征参数。管理就是用质量 管理技术进行安全保证，本咨询通告中安全管理过程始于组 织过程的设计，企业各项“活”的设计，一旦程序开始实施， 就由质量管理负责了，就不是安全管理了，

11、安全管理是风险 管理，质量管理是实施性管理。质量管理技术可以用来提供 模板化的过程，保证实现目标，预防、纠正问题。因此，安 全管理可以被视为一一为实现安全目的，对安全相关的运行 和支持过程进行的质量管理。IS09000的目的是确保产品稳定，是树立了标准，大家 都按标准做，就能实现目标。这个理念可以用于质量管理， 但是识别不了危险源。对危险源的识别、评价和控制措施、 程序的制定称为安全管理，形成了规矩之后就交给质量管 理，这就是质量管理和安全管理的关系。另外，谈一下质量保证和安全保证。何谓保证，我把它 称为安全监测，安全保证又比安全监测多一部分，就是监测 出问题之后反馈给管理者，让管理者纠偏，这

12、三个过程就称 为保证。保证是系统的为运营人的运输服务是否满足要求而 提供信心的过程。质量保证发现问题之后，如果是新危险源 就反馈到风险管理，重新制定措施，如果是老问题就直接用 质量管理的做法解决。（分析体系图）22日下午什么是安全文化？其实很简单，就是在要求不明确的情 况下，企业大多数员工都知道该怎么做，这就体现了一个公 司的文化，手册文件是不可能把所有事情都规定清楚的。所 以在实施SMS的过程中，安全文化也是很重要的，有句话 说得很好：“一个企业的成功不可能全部靠硬性的规章去实 现，还必须要有一个文化使大家在没有规章的情况下，价值 取向也不变。”MS的文化不是说教，而是具体的三件事，后 面涉

13、及到的时候再具体讲。这里（几个图）谈一下运营人运行与防护的关系。安全管理 起什么作用？起的是防护的作用，是对生产的防护，质量管 理是对搞好生产的管理，所以安全管理是补充、完善，安全 与管理之间的关系是运行与防护之间的关系（见图）的“过程”就是一样一样的“活”如飞行、签派、维修、货运等 等，对于每一样“活；安全管理起的是防护作用，是控制风险的作用。整个目标是满足客户要求的，这是过程的目标，不 做防护是完成不了的。由此图可以看出安全管理与运行是不 能分开的，所以需要强调的是：图是从功能角度，而不是从 组织结构角度进行描述的。该图并不意味着安全管理只是安 全部门或安全总监的责任，事实上安全管理体系强

14、调管理生 产运行过程的人员在安全管理中的角色。这里强调的是谁负 责某一项业务谁就管理安全，这个图显示的是每个部门既有 满足用户需求的责任，又有防护的责任，是指一个人身上具 有两个责任，而不是指两个人分别具有一个责任。下面开始具体的讲。运行过程是指飞行运行、运行控制、 维修、客舱安全、地面服务、货运等过程，这里少了训练， 因为训练是飞行的支持过程，而不是运行过程。“由于运营人的运输服务是通过运行过程来完成的，所以有效的风险管理 和安全保证应从彻底了解运行过程的结构和组织着手。相当 数量的危险源、风险因素来自于过程设计不当或系统与运行 环境不适宜。”也就是说将来与国航运行标准对接的时候，要 分别研

15、究国航和山航的环境，分析对接的问题，不能照搬，要考虑适宜不适宜。在某些情况下有些危险源可能不能被充 分识别，因为不考虑这些因素就可能识别不了。“风险是伴随运行活动产生的。因此，运营人的首要职责是识别其管理过 程和运行环境中存在的危险源，控制其风险。”这就是讲谁干活谁负责安全管理，不能让别人负责。接下来就讲了运营人运营、防护与局方的关系，其实讲 这个关系就等同于讲了公司运行部门与安监部的关系，是可 以类推的，安监部相当于管理局在公司的派出机构。这两者 关系是什么呢？大家看图“局方传统的监督管理注重符合技 术标准，通常包括审定、持续监督、调查、规章的强制实施 等。在继续保持传统监督管理方法的同时，

16、局方将通过监督 运营人的安全管理体系，逐步运用系统安全方法监督管理运 营人整体安全状态。”今后监督的是航空公司的安全状态，并 不只是安全结果，安全状态是通过局方审计实施的，依次类 推，安监部将来对其他运行部门的监督也是这个概念。当然 不能完全类推，因为政府的监管是百分之百独立于企业的， 但是安监部不能百分之百独立于其他部门。今后监管就是看 这个机制是否在正常运转，如果机制正常运转就有理由相信 安全是好的，就像IS09000，其实是一个道理。以前局方只 检查过程，采用的方法是监察，就是技术符合性的检查，今 后这种方法在一段时间内还将保留，但是要加一个内容，就 是审核管理体系、机制。安监部也是一样

17、，每年对各部门作 一次评估，同时有权抽样检查，它与审核不同，它更全面， 是从管理、组织、设计开始，一直查到关闭。整个AC分为两个部分，前面是指南，后面是正文、要 求，指南分了几个部分，对后面的要求进行解释、说明。以 下就是几点说明：第一是安全管理标准化的必要性，管理必 须要标准化、结构化。“使用了与质量管理体系IS09001-2000 标准相似的模式，以便该体系与其他管理体系相互整合”。第二是可审核性，考虑以上两个要求，把后面写成那种形式。结构和组成讲了以下几点：第一是功能性要求，由于需 要适合各种类型和规模的运营人，所以要求没法写具体，只能是作为功能性要求文件制定，它强调运营人应“做什么”

18、而不是“怎么做”提示了运营人要做到什么程度，这给大家提供了灵活性。下面这句话很重要：“运营人在实施时应将要求中的要求转化成自己的具体做法”，就是说必须转化成公 司具体的管理办法和管理流程，同时告诉运营人应充分利用 已经实施的各种安全管理过程，将安全管理体系的全部功能 要求充分融入已有的管理体系之中，而不是重新建立一个独 立的新体系，但是，作为完整的安全管理体系，要求中的每一条功能要求都是必不可少的。下面讲安全管理体系的组成，分了四个部分：第一是政 策，第二是风险管理，第三是安全保证，第四是安全促进， 这叫四大支柱。前两个没有什么可说的，最核心的就是风险 管理和安全保证的关系，如果不说清楚，企业

19、就不知道该怎 实施。下面看的这个图是功能关系图，不是组织机构图，不 要把这个模板跟组织机构去对应，这只是功能，至于这个功 能是由谁来完成那是另一回事，但是必须要完成这个功能， 就是说任何一个业务部门既要做业务又要管理安全。这张图 就是告诉大家风险管理是谁做？安全应该由业务部门负责， 安监部只是安全研究室。这张图是 SMS实施的一个线路图， 任何一个业务部门都要做初始风险管理，接着对系统评价， 然后风险源识别，识别出来进行风险分析，分析出原因后才 能给风险排序，风险管理的目的也是一样，就是要选出来先 整改谁，后整改谁，这是我们要求的。下面是风险控制，风险控制可能是现有程序的改变，也 有可能是新增

20、程序，也可能是改变手册等等。制定了措施之 后，就要进行衍生风险的识别，识别是否会带来新的风险， 经过衍生风险的评价之后，说明方案不会带来新的风险，或 者是带来的新的风险是可以接受的，然后就可以指向航空系 统运行了。第一轮评价现有的风险，而后评价措施是否得当， 是验证、确认的过程，经过这个过程之后，风险就变成可忍 受的了。风险管理还可以给领导决策提供技术、数据支持， 所以风险管理做好是很重要的。危险识别就要求各个系统自 己要有质量控制、安全管理部门，信息获取之后就进行数据 分析，分析完了就评价，评价完了就制定措施，这是各个部 门都要做的，各个系统都要完成这个环。那么，各个部门把 这些都做了，安监

21、部干什么呢？安监部就负责做这个环，监 督下面各个环是不是按照这个做的。所谓监督，第一步就是 要收集信息，也是通过这四种方式收集，收集上来也得进行分析、评价，评价完了，安监部就要提出建议，将建议报给 高管层，这样高管层就知道下一步该怎么做了。而各个部门 做的环就要力争做到让安监部看不出毛病。其中，632是生产运行部门的审核，633是内部评估，634是安全管理体 系外部审核，所以这是个功能图，谁都可以用，这样，整个 环就转起来了。（此图讲完）。从第10章开始是运营人建立体系的指南，第一是政策， 建立体系必须首先建立政策，这里说明了政策作用。然后是 安全策划，说明了策划的内容和方法。再就是组织机构及

22、职 责，运营人必须清晰的界定组织内的安全责任，包括管理层 的安全直接责任，最高管理者是安全管理的第一责任人，也 是建立、实施并保持安全管理体系的最终责任人。下面是安 全总监，是作为建立、实施并保持有效的安全管理体系的负 责人兼协调人，应独立于运行的组织和管理之外，不能兼职，直接向最高管理者汇报。注意这里的安全总监不叫副总经 理，因此是不是副总级没关系。这个人级别无所谓，关键是 能跟最高领导者关系亲密就够了，能够随时直接见到管理 者，并能随时向管理者直接进言。再接着说程序和控制是系 统的两个关键的属性，安全政策必须转化成程序以便应用， 必须要开发程序，目的是落实安全政策、实现安全目标。安 全管理

23、手册（SMM）包括安全政策、安全目标、安全管理体 系的要求、安全管理体系的程序和过程、安全管理体系的程 序和过程所涉及的职责及权限、安全管理体系的程序和过程 间的相互作用。此安全管理手册属运行手册的一部分，安全 管理手册的细节是包含于运行手册中的。第二大部分是风险管理，风险管理过程常用于分析运营 人的运行功能及其运行环境，以识别危险源，分析评价相关 风险。风险管理过程处于运营人提供运输服务的过程中，所 以不能由安监部代替各个运行过程，只能各人做各人的，而 不是一个独立的或特殊的过程。风险管理第一步要做系统分 析，风险管理始于系统设计。系统由组织结构、过程和程序 以及完成任务的人员、设备和设施构

24、成。系统和工作分析应 充分说明组成系统的硬件、 软件、人员、环境相互间的影响， 并详细到足以识别危险源和进行风险分析。不能只说山航的 系统由飞行、运行等部分组成，没有详细到足以识别危险源 和进行风险分析，因此这种描述不合格，至少要详细到规范 化手册里面的业务流程。那么山航的系统怎么分呢？这里解 释了 ：运营人的运行及其支持过程建议分为飞行运行、运行 控制、维修、客舱安全、地面服务、货运、训练等过程。刚 才说了，只要详细到能够识别危险源和进行风险分析即可， 这里讲了怎么识别危险，就是把流程图弄出来之后，根据现 在的人员情况，看哪里还有可能会出问题。风险识别出来之 后就进行分析和评价，风险分析和评

25、价也不用很复杂，这里 就给大家推荐了一个风险矩阵，这是最简单的，但也是最实 用有效的。矩阵的定义和最终结构将由运营人自行设计，每 个后果严重性和发生可能性等级的界定应以适用于具体运 行环境的方式来确定，意思就是飞行的和维修的标准是不一 样的，是各个业务种类都不同，所以公司主手册只能给一个通用的模板，各个业务口自己设计自己的标准。这里给了一 个样例，对于公司级的手册，基本上也就是这意思，还可以 再进一步细化。分区这一块就不是样例了，不管分多少级， 对于风险来说分为三种：可接受的、不可接受的和缓解后可 接受的，这个是可以规定的，规定好以后就可以跟这个区域 一比，就知道这个风险落在哪个区域了。就是警

26、告。什么叫缓解后可接受的，这句话比较难理解，如果风险 处于灰色区域，意思就是这个风险在缓解条件下是可接受 的，对待这些情况还应该在安全保证功能中持续特别地重点 关注，将来在手册里面就要写清楚怎么持续，怎么特别重点 关注，同时还要把这些功能性的要求变成具体管理的方法。 风险分析不仅应注重对严重性和可能性等级的界定，还要找 到根本原因，这是制定有效控制措施的第一步，根本原因找 不到，措施起不到作用。分析完了之后就要涉及风险控制措 施，从设计上控制危险源，但不一定是任何事情都要修改程 序。风险措施有可能是修改设计，但更多的可能是不修改设 计的情况下就要加物理屏障， 如果还不行，就再退而求其次， 这里

27、说了，即使采用了有效的控制措施，完全消 除风险也几乎是不可能的。因此，在这些控制措施设计完成 后，系统投入使用前，必须评估控制措施是否有效及是否会 对系统带来新危险源，图 3中返回至图表顶端的环线指明可 使用先前的系统和工作分析、危险源识别、风险分析和风险 评价过程来确定经修改后的系统是否是可接受的。这就是风 险管理。下面是安全保证，安全保证是一个功能，可能是很多部 门和起来完成，也可能是一个部门很多科室完成。这个功能 是运用质量保证技术（包括内部审核和评估）判断设计于运 营人的过程中的风险控制是否在被实施并按计划运行，没按 原来计划去运行，那就偏了，偏了就要纠偏，首先必须要能 够发现它偏了，

28、这得靠质量保证，风险管理一旦实施了就进 入了质量控制环了，质量控制体系有监测的功能。这些技术 都是质量控制技术，安全管理是利用技术提取信息源、风险 控制措施是不是按计划实施，如果没有按计划实施就开始进 行风险管理。10.3.1统一现介绍了这四种信息，安全保证所 使用的信息源很多，包括日常活动过程的持续监控、审核和 评估，安全相关事件的调查，以及来自于员工安全报告和反 馈系统的信息。由于各种信息源在各运营人中都不同程度地 存在，所以AC将每种信息源都写入信息获取中。这些信息 源属于功能性要求，允许个别组织依据自身规模和类型进行 调整。下面就开始介绍这些信息了，第一是持续监控，运营人 应对运行数据

29、进行持续监控。持续监控还提供了识别危险 源、证实已采取的风险控制措施的有效性和持续评估系统绩 效的方法。应监控的运行信息应来自于飞行记录器、值班日 志、机组报告、工作卡、处理表单等，这些都是持续监控。 第二个信息源是生产运行部门的内部审核，各生产运行部门 要做内部审核。为什么没说所有部门要做内部审核呢？因为 其他部门是危险源的直因，所以一线生产部门自己审，审出 问题在风险分析的时候可能把其他部门带进来，在风险控制 是就要求它制定整改措施，而不是一线生产单位制定整改措 施，辨识危险源需要一线生产部门自己完成。生产运行部门 怎么做审核呢？为促进体系的一体化，减少不必要的重复， 运营人可考虑使用可用

30、的技术系统的审核工具，例如局方的 监察工具、第三方（如 IOSA ）的工具。1034内部评估要注意，这是公司层面对运营人技术过 程和安全管理体系特定功能的评估，为此目的实施的审核必 须由功能上独立于被评估的技术过程的个人或组织进行。通 常内部评估可以由安全部门或最高管理者领导的其他下属 机构来完成。最高领导者直接领导的部门不受其他副手的干 扰，对生产运行部门技术过程的评估可建立在生产运行部门 内部审核基础上，结果的考核是在安监部，除了对生产运行 部门内部审核大纲的评估外，还应对其内部审核过程和结果 进行评估和分析，这就是 SMS比较先进的地方。公司首先要有规范的评估大纲，还应对其内部审核的过

31、程和结果进行评估和分析，因此如果对过程表示质疑有权对 其重审。所以内部评估需要审核及评估安全管理功能，周期 不应超过一年。外部审核主要说了第三方审核的信息要充分 运用，其他审核结果也要作为信息源。调查也是信息源，员 工报告反馈系统也要有，这就是四种信息源。接下来就是安全促进，主要就是安全文化。沟通指的是 沟通风险管理的各种输出，要使大家理解才可以执行。下面 是培训，注意把培训放在了安全促进里面，培训应该是前提 条件。对于质量管理体系来讲，人员的任职资格是前提，不 是持续改进的范畴，但对于安全管理，人员的胜任能力属于 促进的问题，所以人员培训在促进里面。AC就解读完了，后面是以附录的形式提出的要

32、求，是 标准形式的模板，前面的说明跟后面的目录是一一对应的， 前面是解释说明，后面是要求，检查审定是按照后面的来做 的，在实施建立时可以参考前面， 就是这个关系。23日上午运行手册、质量手册、安全管理手册三者的关系：总局 的规章、121部以及下属的运行手册是主营业务的最低要求； IS09000内容包括主营业务和服务，它是完善工作的方法。 因此，运行手册和ISO9000的关系就是：运行手册是合格审 定，在编写工作程序的时候，按照ISO9000可以提高水准，因为ISO9000的要求比运行手册的要求高。这次手册修订是要修订各个部门的管理手册，就是各个 部门业务的具体操作程序，既要符合运行手册要求，又要按 照ISO9000要求提高水准，本着这个标准来修改部门管理手 册。如果不做 SMS的话，就是只考虑一般情况，大多数人 按照规定做就保证不出问题，但是还有少数人不按规定做， 会违规，这个问题在质量管理里面考虑的比较少，因此安全 管理就是在质量管理的基础上管理那些违规的。有可能违规的都是危险源，把控制少数人