SMS安全系统管理系统体系

实用文档航空公司安全管理系统（ SMS）的背景及基本原理中国民航学院安全学院译 印2005年8月实用文档目 录简介....................................................10.1目标........................................................10.2SMS收益.....................................................1第1章背景............................................31.1航空安全历史................................................31.1.1机械阶段...............................................31.1.2人为因素阶段...........................................31.1.3组织阶段...............................................31.2Westrum的组织观点...........................................41.2.1病态型组织.............................................41.2.2官僚型组织.............................................41.2.3成长型组织.............................................41.3事故起因的里森模型..........................................51.3.1组织失效的类型.........................................61.4传统的安全管理..............................................61.4.1安全管理者.............................................61.5安全改革....................................................71.5.1安全文化...............................................7第2章SMS的基础.......................................92.1起源........................................................92.1.1系统安全的步骤.........................................92.1.2SMS/系统安全定义......................................102.2SMS目标....................................................102.3对于运营人和航空业来说SMS意味着什么.......................112.4SMS与其它管理系统的关系....................................112.5SMS活动....................................................12第3章SMS详细资料....................................163.1组织....................................................... 16实用文档3.1.1文化和安全文化........................................163.2管理框架...................................................173.2.1责任主管..............................................173.2.2计划..................................................183.2.3程序和措施............................................193.2.4控制..................................................193.2.5安全管理人员的任务....................................193.2.6员工的任务............................................20第4章风险管理.......................................214.1风险评估...................................................214.1.1风险评估中的问题......................................224.2风险管理...................................................234.3风险评估矩阵...............................................234.3.1风险价值判断..........................................264.3.2风险接受..............................................264.4危险控制和缓解.............................................284.4.1危险控制/缓解.........................................284.4.2系统安全优先次序......................................294.5核实.......................................................29第5章危险信息系统...................................315.1要求.......................................................315.2资源.......................................................31第6章结论...........................................336.1“从上到下”的变化.........................................336.2“从下到上”的变化.........................................336.3安全问题—商业问题.........................................33附录1SMS矩阵........................................38附录2航空承运人建立安全管理系统大纲..................42附录2.1原则................................................... 42实用文档附录2.3讨论 42附录2.4SMS组成部分 42附录 方法—全公司范围内全面、系统的安全管理。 42附录 文件 44附录 安全审查 44附录 培训 44附录 质量保证 45附录 应急相应计划 45附录2.5总结 45附录3 安全风险评估过程（SRA） 46附录3.1计划 48附录 问题 48附录 措施 48附录3.2危险识别和分析 50附录 定义 50附录 识别 50附录 历史数据 50附录 危险识别的方法 50附录危险识别和分析 51附录3.3险评估 53附录 定义 53附录 更重要的定义 54附录3.4. 决定和报告 55附录 报告文件 55附录 建议 55附录3.5评价 56附录 确认、监控和反馈 56附录 普通的危险及其种类 58附录 设计的考虑 59附件1简单的初步危险分析工作表 60附件2详细的危险分析工作表 61实用文档附件3详细的危险分析工作表（内容） 62附件4危险分析矩阵实例 63附件5决策矩阵 66附录4 加拿大的SMS 67附录4.1加拿大的SMS要求 67附录4.2批评 68附录 概述 68附录 加拿大运输部及其强制力 68附录 问题 68实用文档简 介这部分将对安全管理系统（ SMS）进行简单的介绍。SMS通过对危险（是航空运行的固有属性）进行有效的管理来保证航空营运人的健康运行的主动措施。简单表述为：·SMS是一个系统方法的工作员。·SMS将员工和管理者、经验和信息结合在一起。·SMS与管理当局的审核系统相关联。0.1目标我们的目标是解释 SMS的背景和理论，并概括航空公司要建立和实施一个有效的公司的 SMS方案需要采取的措施。我们将检查管理人员和员工的任务和作用，并详细介绍作为 SMS核心的安全风险评估（SRA）方法.0.2SMS收益在航空安全中最大的挑战是在公司内进行积极的变革以改善安全。 在这一点上，如果你想工作非常有效率，那么你一定要保证你的可信度和客观性。 只要具备了充分的知识和技能，你就可以持续的改进公司的安全目标。这个手册提供了评估航空公司安全性能的方法，并根据需要进行有效的变革。这个观点可以帮助你更高效的与政府部门进行工作， 他们同时也开始把同样的理念和方法引入到他们的操作之中。SMS起源于英国和澳大利亚；欧洲联邦航空局也推荐 SMS。在北美，加拿大运输部正通过管理当局要求的形式在所有航空运行中实施 SMS，美国联邦航空局也在推动SMS的应用。本手册的目的是提供知识和技能，以改善风险管理决策并为对公司运行具有最大威胁的问题分配资源。运用SMS方法可以帮助你有效的评估风险和制定解决方案。SMS鼓励实事求是的辩论并提供安全问题的沟通方法，这些安全问题对公司决策者具有强制性的和说服力。SMS是一种着眼于整个组织的管理模式。它将航线管理、安全专业知识和全体员工综合在一起构建公司范围的“安全文化” 。安全文化对公司的运行和繁荣实用文档是至关重要的。从传统的安全方法到涵盖整个组织的方法的转变是安全发展的关键。在20世纪初期，一个著名的英国法学家发现：“每一起事故都是组织故障的表现”到了21世纪，这个观点仍是正确的。安全管理系统提供了组织进行积极变革的方法。但是，这需要公司全体人员的加入以推动其有效运行。实用文档第1章 背景1.1航空安全历史变革是孪生兄弟的母亲：进步与烦恼。 机械阶段机械阶段开始于怀特兄弟第一次飞行。在这个时期，安全管理是阶段性的，“从飞行中得到经验在反馈到飞行中 ”。当飞行器因出现事故而毁掉时制造商将识别飞行器的缺陷，并努力进行改进以防止事故的再次发生。 当时航空公司很少，所以安全发展很快。对航空器引擎、结构和整个系统都进行了重大的改进。 在设计和试航方面的预防措施取得了很大的进展以应对因机械而引发的事故。 人为因素阶段人为因素阶段开始于 20世纪70年代中期，从这时开始安全人员开始将重点放在人/机交互上。随着大量严重事故的发生，人们开发了许多诸如机组资源管理、飞行员决策训练等项目。同时也注重了飞行甲板上机组人员之间和地面工作人员之间的相互作用。人为因素阶段的产生是由于当时 80%的事故是由于人为因素产生的。 组织阶段组织阶段开始于20世纪80年代后期，人们将注意力投向了组织和管理因素对事故原因的影响。随着事故的持续发生，尽管人们都注意是某个人的原因， 但是安全专家和事故调查部门挖掘更深层次的事故原因。 事故调查人员开始寻找造成事故潜在性的那些潜在的因素。组织的两个“模型”和安全 推论对于安全变得十分重要。这两个模型是：RonWestrum教授的组织类型分类和他们各自的特点，JamesReason教授的组织失效模型。Westrum和Reason模型使我们更直观的看清事故是如何发生的和如何进行阻止，并以对管理者有意义的方式说明了组织问题对事故原因的影响。在了解了Westrum的组织类型后，我们将介绍 Reason模型在识别安全危险和缺陷方面的用途。Reason模型非常有效，因为它很好的传达给公司管理人员和员工。实用文档1.2Westrum的组织观点东密歇根州州立大学RonWestrum教授确定了组织的三种基本类型。这三种类型的组织涵盖了我们工作的航空业组织。无论是航空公司、政府机构还是航空业相关方都适合于Wesstrum模型。 病态型组织对病态组织最恰当的描述是职能混乱。这样的组织运行时它将不考虑自身条件，而且这样的组织不适合进行工作。在病态组织中，信息是封闭的或受约束的并且是用于晋升或惩罚。“知识就是力量”大概就来自于病态组织。这种类型的组织很难进行具有积极意义的变革，因为组织倾向于谴责建议者和扼杀新思想。故障被隐藏起来，在组织内形成了推卸责任的风气。另外，只有很少或几乎没有员工或雇主进行合作和沟通。管理者、员工和他们的代理们都各自独立。 官僚型组织官僚组织是完全按照书本循规蹈矩运行的组织。这种组织着重过程和已建立的信息沟通渠道。变革是从上到下的，组织是僵硬的。大多数管理当局都是官僚型组织（源它们的本性）。官僚型组织也不全都是坏的，尽管他们在一个稳定的环境中运行。然而当初在动态的环境中时就会职能混乱。官僚型组织的特点是大量的文书工作和会议。不幸的是，我们的航空业是一个动态的环境，这可以解释为什么我们中许多人有时候觉得管理者有一点像恐龙。这同时也解释了为什么在官僚型组织内进行变革十分困难。 成长型组织成长型组织是一种健康的组织。它运行灵活，信息自由、高效的流动。组织的重点不在于过程，而在于进步和组织对问题的妥善回应。 组织积极的寻求信息并共同承担职责，积极的变革来自于组织的所有阶层。对产品进行持续的评价。公司鼓励和奖励履行职责和员工或雇主间的沟通。随着本文的进一步深入和对 SMS概念的介绍，你将发现我们的目标是将公司变成一个成长型的组织。实用文档1.3事故起因的里森模型Reason教授的工作可以总结为事故原因的“瑞士奶酪”模型。图1—Reason的事故致因模型Reason教授识别出五个产品的要素或者是各种要素的组成部分 。第一个是决策者—系统的建筑师、高级管理者第二个是航线管理者—解释和实施决策者策略的专家。第三，组织的前提条件，它影响着组织的输出（组织的文化）—如技能、知识、动机、工人的警惕性第四，生产活动—员工和机械的实际工作性能第五是应对可预知的伤害、损坏和耗损的系统防御或安全措施。我们可以看到每一片奶酪都是我们组织的一部分， 并且能够引起事故或损失的发生。当事故过程开始发生时，它必须依次通过 Reason的五个要素，就像通过一系列滤网。当以这种方式看问题时要注重两个问题：1. 你可以看到五个要素中的每一个都能够导致事故的发生，但是⋯⋯ ..⋯⋯你同时可以看到在组织的这些部门采取措施可以阻止或防止事故的实用文档发生。这是从总体上看事故的过程，但是如果你思考一下底部的或最后的一道滤网（防御措施），你将发现有些东西非常重要。这些区域是到目前为止我们安全措施的目标。认识到的最大的差别是 SMS的着眼点是整个过程，而不是单独的某个部分。 组织失效的类型JamesReason模型包括两种在组织中出现的失效， 承认这两种失效对安全管理的重要部分。主动失效—错误和违规操作造成直接的相反的结果。潜在隐患—组织中存在的，某个时候隐藏的状态。系统中的这些潜在隐患是由那些违反规章的决策或措施造成的。潜在隐患可以比喻成医学上的病原体，它侵蚀身体并且隐藏起来直到条件成熟时（主动失效）才爆发出来，如疲劳、压力、疾病。应该把你公司中的潜在隐患看作是被压扁的弹簧而把主动失效看作触发弹簧复原的扳机。认识这两种失效的关键是组织如何才能最有效率的运用它的资金。SMS为公司节约了在处理失效方面的花费并且提高了公司的效率。直到现在，一些航空安全方案仅仅看到和处理主动失效。 这就意味着只看到一样东西—通常意义上的事故的“原因” 。安全的历史的绝大部分是事故调查，然后在某个环节上解决事故“原因”，而实事上事故的原因也出现在其他时间和其他地点。潜在隐患问题严重影响了组织的效率和安全记录。 潜在隐患，如政策或日常工作，根植于组织的常规职能并可以导致许多事故（不止一个） 。对于失控有许多改善的方法。努力处理安全隐患比处理主动失效可以得到更好的效果。1.4传统的安全管理 安全管理者安全管理者是现在经常可以看到的安全项目的通常形式。 这是基于对安全机械和人为因素模型（主动失效）的有限了解基础上的。它的最大的缺点是它让指定的安全管理者“负责安全”。在这里，安全管理者可能被叫做安全主管，或副总裁，但是这个人的职责依然是⋯⋯ ..并且是很脆弱的。实用文档安全管理者通常召开安全会议、 张贴安全海报、对事故症候报告做出回应和事故调查。大量像这样的工作使他无法顾及其他的工作， 也脱离了员工和管理当局。安全被划分成相对独立的个体分支分别进行管理， 只留下航线管理者去处理“真正”的安全事务，如航空公司的运行。这些做法极大的限制了安全措施所涉及的范围和活动。 只要安全项目和安全管理者脱离了一线的管理和职能， 他们就不能任意的缩减范围、 员工和预算。如果这样的话，他们的作用就会减少，同时运行固有的安全余度也会减少。1.5安全改革 安全文化组织的文化是一系列理念、规范、态度、任务、社会实践和技术实践。简单的说，文化是：“我们做事情的方式！”CEO和他／她的管理者的目标需要建立一种公司文化，这种文化鼓励以积极的方式进行建设性的批评和安全监察。这就是所谓的“安全文化”。安全文化是一系列与使员工、管理者、顾客和公众最小程度暴露于危险有关的理念、规范、态度、任务、社会实践和技术实践。安全文化的特点是什么？下面介绍了安全文化的特点：一个了解相关知识的文化管理者和员工明白“危险”和“风险”的含义工人知道并同意什么样的风险是可接受的和什么样的风险是不可接受的公司努力寻找潜藏在“问题”背后的原因并予以预防，但不能容忍“故意的违反规章”。一个报告的文化鼓励员工和管理者报告安全事件。没有人会因此而报复报告者当报告安全事件时，会对这些事件进行分析并采取适当的措施。一个学习的文化鼓励所有人员研究和应用他们的知识和技能以提高组织的安全性管理者通过安全问题提高员工的安全水平将安全报告反馈给员工以便员工进行学习实用文档一个主动的文化员工和管理者持续工作以识别和战胜危险。实用文档第2章SMS的基础2.1起源SMS已经脱离了航空科学的范畴，叫做“系统安全” 。系统安全起源于 20世界60年代，当时许多重大的损失是人们明白航空工业需要一个有组织的方法去进行损失控制—这个方法包括人、机、环境。这三者是系统安全的特点和信条。之后产生了安全的有组织的、综合的观点，这使许多航空活动获得了成功。其他工业看到了系统安全所带来的优势，也纷纷采用了这种方法。在系统安全中。安全被定义为：“一个系统中的安全可以被定义为一个系统的质量，它允许系统在预先确定的条件和可接受的事故损失下运行。”RolandandMoriarty简单的说，系统安全是：“将事后管理转变为事前管理已识别和管理风险。 ”RolandandMoriarty专业人员实施系统安全的时候，他们按照文件化的和可重复的步骤进行。之前的安全工作缺乏这种有组织的方法。系统安全的特点之一是：它是以“生命周期”为导向的过程。系统安全在一个系统的整个生命周期内都起作用。在这里，安全分析和危险控制措施开始与系统概念阶段，并持续到设计、生产、测试、使用和处理阶段直到系统退役。系统安全的步骤当你运用系统安全的时候可依照以下步骤：识别危险确定每个危险的可能后果评估与危险相关的风险的严重性和可能性对当前的或计划的风险（系统的缺陷）缓解或控制措施进行评审对积极的变革提出建议进行持续的、实时的、系统的评价进行损失调查实用文档监控、反馈、评价以前的评估当监控结果显示必要时，进行系统变革当你考虑“人、机、环”的各个方面时，这是一个常识的过程并包括很多内容。请注意第七条！直到近一个时期，损失和事故调查是安全工作的基础并且经常是所有的安全工作。在系统安全中，调查被正确的运用并通过富有成效地方式。在系统安全和SMS中调查并不是为了调查而调查。系统安全定义这里有一些我们在 SMS和系统安全中用到的特殊的安全术语。 它们是一些被简单定义的概念，而且非常重要：事故—任何非预期的对人员造成死亡、伤害、疾病，对设备或财务造成破坏或损失或对环境造成破坏的事件或一系列事件，例如灾祸。系统—一组相互作用的、相互关联的或相互依赖的要素在给定的环境下一起工作以在给定时间内完成既定目标。危险—与某些特定环境结合时可以导致损失的事件、情况或环境。风险—按照可能性和严重性为衡量标准的危险的结果。 多长时间发生一次？严重程度如何？系统缺陷—系统中允许危险存在的环境。缓解措施（系统预防措施）—用于控制危险或降低相关风险可能性或严重性的机制、装置或方法。缓解措施通常被叫做“ 危险控制”或“应对措施”。2.2SMS目标在20世纪90年代，安全专业人员和管理者将目光转向了系统安全和以安全模型（如里森模型）为导向的新型公司管理模式。系统安全过程对于航空器、船舶和建筑等的生命周期是非常适合，当应用于系统的运营人时产生了很大的下限制。对于航空公司，我们习惯的认为没有生命周期。我们希望我们的公司持续的运行，并且是健康的可以获得利润的。安全是确保航空公司持续运行的一个非常重要的方面。最后，系统安全的有效方法要求改编满足运营人和航空公司的要求。结论就是安全管理系统。SMS着眼于公司危险控制方面的管理活动，这些活动是公司运行中常规航线管理职能的一部分。在某种意义上，公司的SMS可以叫实用文档做“有机的”。他们是组织结构的一部分，而不是脆弱的附加在公司结构和功能上的外来物。2.3对于运营人和航空业来说 SMS意味着什么在SMS中，安全的意义包括核整合了许多意思：安全—管理风险到同意的和可接受的水平管理—分配资源系统—相互作用、相互联系、相互依赖的要素组成一个统一的整体。你可以看到SMS非常强调管理的概念。运营人都非常了解管理。在运用 SMS时，运营人开发、运用和更新了：安全策略—目标是符合安全规章的要求并组织

/缩减决策

/操作中出现的损伤。商业策略—目标是创造和培育股东的价值管理框架—目标是通过整合航线和安全管理提高组织的性能。对于运营人来说，SMS中最吸引人的部分是每个运营人都有自己的 SMS项目。每个项目都有相似之处，并且都符合每个特定的环境和所有者的要求。2.4SMS与其它管理系统的关系对于航空公司，SMS运营人、员工和管理当局是一个三角形的关系。三方中的每一方都有责任和任务执行 SMS，每一方的任务与另外两方的任务关系密切。这三方的关系就像一个三条腿的凳子。 当有三条腿时会很稳定，但是只有两条腿是就会不稳定，只剩一条腿时凳子就失去意义了。实用文档图2—SMS中各参与者的关系2.5SMS活动SMS要求三种类型或种类的活动。这些活动在三个SMS参与者（运营人、员工、管理当局）的工作中构成了 SMS的基础框架。SMS活动分为以下三种活动：组织—制定方案并对其进行管理的活动。这包括政策、程序，更重要的是指定的负责运行安全的责任人员。这个人就是“责任主管”，他负责规划公司的目标和发展方向，并指导在哪和如何运用资金。风险管理—这些措施包括探测、分析和采取措施以消除或控制危险。在航空业，风险管理措施非常普遍，因为它对传统安全措施进行了分类—将措施进行了细化而非没有层次。信息—没有充分的信息安全系统就不能高效的运行。你需要信息来管理风险、探测新问题和核实你的设备在正常运行中。当你需要获得新信息时，你将发现已经存在大量的信息等待着人们去整理和察看。下表从一定的高度概括了SMS是如何组织的。实用文档SMS活动组织风险管理危险和控制的信息

SMS 措施·一名指定的“责任主管”·文件化的方案、政策和程序·全员参与·危险探测和分析系统·危险控制系统和措施·管理者/员工包括在内并进行参与·收集安全相关信息的方法·探测新危险·核实正在执行的危险控制措施·员工通过无惩罚的报告系统报告安全信息图3—SMS的整体框架你也可以把SMS活动看成一个金字塔。可以很清楚的看到每件事的质量都以充分的安全信息为基础。同时它也表明SMS中的每件事都按照项目的组织方式从上到下进行。图4—从另一个角度看 SMS参与者这三种活动由SMS的三个参与者负责执行，但是他们在执行时同其他参与者实用文档相互作用，不是独立的。下表说明了这些基本的关系：SMS参与者组运营人（航空公 员工（ALPA等） 管理当局（ FAA、SMS活动 司、机场等） TC、ICAO等）组织 ORG ORG ORG风险管理 RM RM RM危险信息系统 INFO NFO INFO图5—SMS矩阵这个表格使你明确SMS中活动的类型和项目中的三角关系。附录1的内容是上面表格内容的扩展，它更加明确了每个参与者要执行的与其他人有关和与其他人合作的活动。这个基础表格的要点是SMS中每个参与者要实行与每个类型的活动相关的措施并对其负责，这些活动相互结合相互支持。航空公司财产方面的SMS包括航空公司/运营人和员工的SMS活动。每个运营人和员工都要进行组织、风险管理和信息相关的活动。本手册的着眼点是运营人或航空公司，所以我们需要更注重上面表格中可应用的部分。如果将大的图表变成一个小的，那么我们可以看到很多细节，即使这样还是没有附录1内容丰富。下面强调的重点是雇主和员工都有要要执行的活动，并与其他人的活动相配合。然而，这些本质上是不同的，特别是在组织层面的活动中。我们将在后面进行详细的讨论。在这点上“抓紧”的概念是雇主和员工通过连带关系而联系在一起。航空公司的成功依靠二者共同努力。没有什么比船没有划手、二者背道而驰更能阻碍发展的。最后，这将导致一个静止的没有生产能力的关系，并且没有目标也不能实现任何目的。如果你将船和划手置于一条通向瀑布的河中，你将看到达到最后结果的相反的生产力⋯.自我毁灭。航空公司的SMS实用文档SMS活动 运营人SMS组织风险管理活动危险信息系统

运营人（航空公司等） 员工（ALPA等）·责任主管 ·全员参与·政策/程序 ·经培训的代表·危险探测 ·危险探测·风险管理 ·风险管理·危险控制/探测系统 ·危险控制/探测系统·无惩罚的报告系统 ·无惩罚的报告系统图6—航空公司SMS的要素运营人的SMS组织内部的，但是也和管理当局的 SMS活动相配合。从另一个角度看，管理当局必须能够对运营人的 SMS活动作出积极的、支持性的反映。在SMS中，管理当局与运营人组织内部的 SMS相互作用。实用文档第3章SMS详细资料既然我们已经在头脑中对 SMS有了宏观的了解，到了我们进一步了解 SMS活动的细节的时候了。我们首先看组织、风险管理和信息。3.1组织SMS属于运营人，所以它包括主要管理人员或运行主管 共同居推进SMS的实施。责任主管处于组织的高层并具有最后发言权， 对公司商业的成功运行负责。公众和管理当局把责任主管看作“责任人” 。如果航空公司运行良好，责任主管可以获得好的声誉。如果航空公司举步维艰，责任主管也会因此获得坏的声誉。对责任主管来说，SMS是商业规划中“损失控制”的部分。为了推进 SMS运行，责任主管制定和发行了将 SMS融入到公司日常管理中的政策、 程序。当对安全的努力从公司高层开始时， SMS就成为公司各阶层规划和决策的一个完整的部分。 文化和安全文化每一个组织或公司都有其自己的、独特的文化。简单的说，这种文化就是人们在组织中做什么和如何做。它是一个组织区别于其他组织的活动的总体理解和方式。许多组织管理者存在的一个普遍的错误是他们在运行的组织中对安全的理解。一般来说他们认为他们可以在他们的组织内强制推行一种文化，在这种文化下每一件事都朝着航空公司运行目标方向发展。同时，管理者认识到安全和运行的方向是相反的。换句话说，有些组织这样理解：“实现安全”有悖于航空公司运行的真实目的。这种说话脱离了本质。安全文化的目标不仅仅是实现安全。它的目标是组织的运行安全。这要求航空公司推行安全文化。如果一个公司不能实现运行安全，就会经常发生人员、设备、经济和声誉上的损失。这些损失会使一个组织衰落，甚至灭亡。许多情况，例如工作人员和旅客伤亡、设备损坏或遗失、非预期的财务支出，都会带来经济上的损失。航空公司的声誉受到的影响会以业务流失的形式带来经济上的损失。任何形式的损失都是昂贵的。建立SMS的航空公司的目标是在损失控制时囊括公司的全部资源。 有很多主实用文档动的避免或减小公司损失的方法，包括：·知道公司对抗潜在损失的方法。·在避免损失时积极主动地调整公司的所有资源·在损失控制过程中将管理者和员工结合在一起。 通过这个措施可以提高公司效率。采用这种方法的公司就具备了安全文化。这样的公司承认危险的存在并对每个危险相关的风险进行评估。这种公司从风险评估阶段走向风险管理阶段。可以看到，当公司将所有资源归结到一点上时，如下工作将做到最好：·组织—管理者和员工都主动的探测危险并采取应对措施·风险管理—集合公司所有部门的信息进行精确的风险评估并对危险制定具有现实意义的控制和缓解措施。这样做最好的结果是彻底消除危险；但至少它开创了部门间相互沟通的先河。·信息—存在的新的信息源可应用于探测危险、核实危险控制措施的实施、确定实施的危险控制措施如何实现预期效果。3.2管理框架SMS主要依靠高层管理者，它需要相关的政策、程序和规划。幸运的是，这些都是管理者的常规职能。一个新成立的公司不得不从头开始建立各种东西，而已经存在的公司早已经有了管理框架和相关措施。这对于已经存在的公司既是优点又是缺点。它允许已经存在的公司将现有的措施和资源集中起来为SMS服务，但是它同时要承受公司已经存在理念和功能混乱。对于任何公司，建立 SMS的第一步都是相同的： 责任主管SMS按照责任主管指引的方向发展，所以公司必须首先决定哪个管理者可以作为责任主管。这个选择和任命必须按照公司政策规定的流程进行。责任主管的任命必须与管理当局指导公司运行的理念相一致。选择一个有名无实的管理者是毫无意义的。因为责任主管关系到收入、资产运用、生产率和公司的财政健康，所以SMS从建立开始要由同一个人负责。政策实用文档公司必须制定政策来规定SMS的目标和明确SMS在全公司范围内进行实施。政策需要规定：必须制定安全目标且该目标是可测量的。管理层对安全目标负责并有责任实现该目标。该政策促进和包括了公司所有管理者和员工，同时还规定了组织和个人的职责。要实施高效的SMS你必须确定：１． 组织的安全目标，２． SMS采取什么样的形式，３． 谁具有什么样的职责？政策明确了公司在安全方面将采取主动的方法，而不是被动的：主动被动·安全报告是主动的·事故调查是被动的·系统调查是主动的·事故症候调查是被动的·建议操作的风险评估是主动的·错误管理是被动的·当前操作（不是由事故症候或事·偏离分析是被动的件引发的）的风险评估是主动的 计划SMS不会在一夜间建立起来。公司需要一个将现有运行模式转换 到SMS的计划。该计划确定转变现有工作、建立公司新的工作和程序（某些地方、某个时间所需要的）所需的时间。如果一个小的公司仅在有限的区域内运行少量的航空器，则在该公司建立SMS只需几个月的时间，而拥有许多航空器且运行范围非常广泛的大公司建立SMS需要几年的时间。附录2概括了一个在航空公司建立SMS的方法。制定该计划的周期决定于两个重要因素：责任主管的推动，公司中已经存在的SMS要素的数量。像公司其他计划一样，SMS计划也要求具有目标、里程碑和确定的步骤来具体描述SMS的建立过程。公司的各个部门在确定需要做什么和做的速度 （与其他部门合作）时都具有现实意义。实用文档计划规定了对哪些专业要进行培训，但是对这些培训的需求是非常有限的。SMS利用了原来的管理者和专业人员，所以一些常规培训是不需要的。制定和调整整体计划的人员需要进行培训， 但不包括一般工作人员。随着SMS的建立，培训的需要将会越来越明显，但是这些培训可以像常规培训那样进行就可以实现。计划建立一个SMS，而不是生搬硬套。 程序和措施公司的程序和措施是公司发展的路线和节奏。 在制定程序和措施的时候，SMS设计者需要：·确定任务、资源、职责、从上到下的责任以及报告途径、不同部门间的协调。确定由哪些人组成安全委员会和他们要实现的目标。·与其它管理系统进行兼容和整合，从而避免对公司管理过程的彻底改造。这就涉及到SMS设计者的可信度的问题。适当时，尽量多的合并现有的管理系统以减轻 “建立势力范围”的猜疑。 控制航空公司需要实施控制并将其作为 SMS的一部分。这就意味着当评估安全状况时，有用于实施纠正措施的标准方法。 管理层应该识别和处理运行中偏离安全目标的情况。内部审核和检查是实现安全目标和发现不足的有意义的方法。 它的可取之处是，在外部组织干涉之前公司就发现并处理了自身的问题。 安全管理人员的任务尽管名称经常发生变化，但是航空公司仍需要任命一名人员和员工向责任主管就安全问题和不足提出建议。安全管理人员帮助责任主管监控 SMS运行情况。安全管理人员向公司管理人员提供损失预防方法和技术方面的专业知识。在确定安全管理人员的工作时，SMS设计者必须意识到安全管理人员和／或安全部门不执行SMS，而是航空公司的管理者执行SMS。安全部门可以收集和分析危险和风险信息，但是制定和实施危险缓解措施是航空公司管理者的职责。安全管理部门能够提供的一个最重要的服务是“反馈环”。SMS和系统安全的本质部分是信息环，用于监控危险处理工作的进展情况。管理者注重细节小事和预测他们将被规定作的事情是没有意义的。好主意可能不被实施，环境可能发生改变，规定可能被误用。无论是什么原因，公司调整其应对危险的方法是正常的。要进行正确的调整就要求信息能够准确的反映公司运行的状况。实用文档 员工的任务SMS的改革之一是员工积极的和持续的加入到安全目标实现中来。依据你的经验和偏见，把员工包括进来看起来很正常或很不正常。重要的是要意识到员工具有丰富的实地工作经验。他们是公司“轮胎在哪接触路面”的一部分。理解这些是建立和维持安全文化的一部分。理解了上面的内容，SMS政策和程序需要着眼于：·员工需要知道和理解SMS的要求，特别的，以及无惩罚的安全信息和报告的相关规定·员工的操作知识非常丰富，并且是运行偏离报告的来源·当某个员工报告安全信息的时候，其可以得到采取的措施或不采取措施的反亏及解释·重要的员工将进行 SMS的培训·公司需要建立和实施员工／雇主之间的协议以支持SMS，并确保报告保护措施的实施。如果公司或管理当局不对员工报告采取任何保护措施，期望员工进行报告是不现实的。每个报告都是“数据点”。公司需要数据以保持其高效运行。公司需要将员工正常的工作活动和有目的的破坏行为区分开。员工的有意破坏行为应得到直接的处理措施。这与员工进行安全报告，但报告中包含的是一些正常的活动并误导了公司的关注点有所不同。在前者，安全问题与需要进行处理的故意行为不同。在后者，公司或管理当局要采取措施，通过免于惩罚鼓励进行安全报告。实用文档第4章 风险管理“我们不知道如何预测在特定的环境中将会发生什么。我们唯一能预测的是发生不同事件的可能性。我们只能预测几率”诺贝尔物理学得主：RichardP.Feynman风险管理可以被定义为控制和减小风险和接受剩余风险的管理决策的制定过程。如果一个人想管理风险，他需要认识到一些水平的风险是可以接受的。按照上面的观点，安全意味着划清可接受风险和不可接受风险的界限，然后在现实中按照这种差异进行工作。航空公司、员工和管理当局都按照各自的基于个人的理解、经验、公众压力和周围环境的不同风险概念运行着。如果不同的风险策略和观点存在，那么意见不同是难以避免的，同时也会严重影响公司的运营。如果三个参与者能够在风险的观念上达成一致，运行过程会变得顺畅和高效。4.1风险评估风险通常被赋予了特定的危险，可以通过很多种方法认识危险。我们可以通过事故、人天生的推断和预测能力、从运行环境中收集信息等方法了解风险。附录3丰富了安全风险评估中所用的风险评估方法。在SMS中，当我们的工作中有确定的风险的时候，在我们采取措施处理该问题之前要对它进行评估或分析。许多年前的一些传统的安全活动已经在查找危险上作了很多工作。但是精力、时间和资金方面的投入很有限。在SMS中，运营人和员工在危险探测和风险管理方面相互合作。同时，他们对危险带来的风险进行评估并就风险的可接受水平达成一致。通过确定危险的可能性和严重性评价每一个风险。换句话说，雇主和员工通过定性的和定量的信息计算出“发生的严重性”和“发生的可能性”。定量的信息使评估变得非常容易进行并具有说服力，但是通常这种信息很少。在这种情况下，我们必须依靠经验和专业意见等定性的信息。当然，这样使评估很难得到结果，但是评估结果如果是通过知识丰富的评估员讨论得到的那么评估结果是有效的。当风险评估结果是源于某一个专家的意见或每个独立的事实用文档例，那么该评估结果不如考虑了一组有经验的专家的意见所得的结果有效。 风险评估中的问题当一个公司开始进行风险评估的时候，它需要知道运营过程中那些地方存在问题。这将给航空公司带来很好的结果—对危险的有益的调查。输入信息缺乏—风险评估汇总的一个明显的问题是缺少信息。危险数据可能是不足的，有时评估危险的可能性和严重性的第一步可能是集中力量调查收集资料。测量误差—在测量危险可能性和严重性的时候有可能出现误差。像测量其他事情一样，要仔细并且选用合适的测量方法。不确定因素—有很多类型的不确定因素困扰着风险评估。·原因和结果中的不确定因素—引入经验丰富人员的意见时存在偏差。·人员和管理上的不确定因素—通常认为风险来自于硬件。人为因素难以进行清晰明确的分析。·预测将来时的不确定因素—当评估员需要对事物的发展进行预测时专家的意见是有价值的。这些不确定因素是正常的。事实上，这些是管理活动（包括评估）的典型状况。这些不能被避免，但是评估组可以尽最大努力解决好这些问题。动机风险管理的动机和动力包括公司的缺陷。风险评估者至少需要按照一套经过思考的（而不是仓促的、非法的）有组织的、系统的方法进行。更进一步说，当需要时评估过程要建立在恰当的假设的基础上。一个人能够预测正常条件下使设备降级的磨损，但是如果设备是在高海拔、高温和风沙环境下工作这种预测还是有效的么？风险评估者面对的最基本的问题之一就是资源。当有充足资源（或资源预期可用）为基础的时候，而不是给定了危险相关风险时，风险评估会变得很简单。这一点可以总结为：“无论存在什么问题，结论是只要有资源⋯⋯ ..”。修正在风险评估中，对我们所描述的评估结果进行修正是非常重要的。在大多是情况下，最有价值的事情是详细记录风险评估的过程，然后说明不确定因素存在的位置。这包括得出风险评估结论时的思考过程。如果你只有一个数据点，解释实用文档如何由有限的数据推断出风险是非常有意义的。 如果采取的措施源于推测而不是分析，那么这样要求的措施是没有根据的。 迄今为止你唯一能做的就是宣布：“天要塌下来了”。这样将无法得到和维持管理者和员工的信任。4.2风险管理一旦得知某个危险的风险出现的可能性很高，就要马上描绘出这个风险意味着什么。然后要决定对该风险采取的措施。风险评估矩阵是风险评估的基本工具。该矩阵将危险与风险的可能性和严重性联系在一起。可以根据用途进行细化，但是并不用提供比现实中更多的细节。当存在大量数据的时候，可以有五个到六个级别的可能性和严重性。当缺乏数据时，或进行定性分析时，更适合采用不复杂的矩阵（矩阵分为小型、中型、大型）。不要只采用5×5或2×2矩阵。要根据需要和信息量建立矩阵。4.3风险评估矩阵下面是几个风险矩阵的例子，一个是加拿大的另外一个是英国的。一个从左向右排列，另外一个从右向左排列。各自的格式并不重要，因为他们展示了同样的信息。在重申一下，采用对你和评审该矩阵的人有意义的格式。实用文档风险评估矩阵例15 5 10 15 20 254 4 8 12 16 203 3 6 9 12 15严重性2 2 4 6 8 101 1 2 3 4 51 2 3 4 5可能性图9—5X5风险评估矩阵典型的，我们描述严重性和可能性的级别按照“从高到低”的顺序，如严重性

可能性/

频率5—灾难性的

5—一定/即将发生4—严重的

4—很可能的3—较大的

3—可能的2—较小的

2—偶然的1—可忽略的

1—遥远的/不可能的实用文档对于被评估的严重性和可能性，典型的回应顺序如下：不可接受的不受欢迎的可接受—要采取措施在受监视下可接受可接受风险矩阵的任务之一就是为每一个风险设定一个通俗的级别。在有些情况下，可以用数字的形式进行描述， 但是多数情况下是纯口头描述。 风险等级的定义必须达成一致。风险评估矩阵例2严重性可能性灾难性的 严重的 不严重的 可忽略的频繁的很可能的偶然的遥远的不可能的严重性有四个等级，可以用美元、损伤或其他概念进行描述。可能性分为五个组。这些可以进行定量评价，有些人用数字表示可能性/严重性的等级。例子如下：频繁的1.0很可能的1.03（千分之一）偶然的1.05（十万分之一）遥远的1.07（千万分之一）不可能的1.09（十亿分之一）实用文档在下面的例子中，风险被分为四类：高度的严重的中等的低级的

红色黄色蓝色绿色在风险评估矩阵的其他版本中，你可以看到组织所采用同样的排序思想，它们的理论和用法都是一样的，只是表现形式不同。当一个危险是灾难性且即将发生时，决定其应该采取措施相对简单。同样的，当一个危险是可忽略且不可能发生时，它将会放到最后处理。像这样的危险可能被放在一边，以后再考虑—通过适当的决策的文件。然而，在这两个极端之间的风险评估领域非常广泛，且这个领域涉及到风险可接受性的价值判断和决策。风险评估矩阵是用来决定哪些危险值得采取措施的工具。它是将一个危险的风险与另一个危险的风险联系起来的一种手段。在实际当中当风险评估组确定采取的措施即简单又经济，那么采取这些措施不会有任何异议。通常简单的措施会执行的很快，而是否采取复杂的措施会争论不休。 风险价值判断在某些阶段，进行决策过程中要考虑组织的价值和个人的判断，同时你还要考虑：·被估价的风险的重要性，·相关的社会、环境和经济方面的考虑，·采取措施和不采取措施的潜在的代价。作为判断的一部分，你要深入了解你所在环境。当然你需要将风险看成一种物理环境，但是同时你还要准确了解组织的运行环境。例如：管理当局应用于危险的政策、措施和偏见是什么？组织的哪些部门将进行危险的缓解？公众承担危险及其相关风险时的感觉是什么？有时上述这些问题使风险管理组更改了最初的目标。 风险接受风险评估组要建立并将对危险及其风险的理解形成文件。 通过以上了解，评实用文档估组要制定危险缓解措施，然后开始进行风险管理最难处理的部分—确定风险的可接受水平。当然，我们希望消除所有危险及其风险，但是经验告诉我们完全消除或控制风险是不可行的或是不现实的。这就意味着存在适用于风险的可接受水平。当超越可接受水平时技术专家可以促使决策者付诸行动。有时决策者对风险不予考虑或直到应该进行决策时他们才采取行动。然而，决策者最好参与风险评估过程，这样他们可以获得丰富的相关知识。这就是为什么风险评估组要彻底的将调查和结论形成文件的重要性。所有这些要对决策者进行解释，有时是对管理当局甚至是公众。对于决策者，他们的风险管理要回答两个问题：我将直接接受哪些风险？我将间接接受哪些风险？这些问题不是很容易回答，也不应该容易回答。决策都不是信口开河的。决策是建立在风险评估的基础上的，而风险评估是建立在决策者对组织运行环境深入了解基础上的。决策者可能让评估组重新评估或做其它更多的工作。然而，如果危险是即将发生且灾难性时这可能不是个好主意。风险评估组需要清楚的描述其建议的重要性。当决定了可接受的风险和相应的措施后要马上形成文件。形成文件主要有如下两个目的：文件显示了可接受风险的基本原理。当出现问题时决策者需要利用到这个材料。文件保存了风险评估和风险接受工作，以备以后察看。这使以后的评估者不用再从零开始评估工作，这个文件显示了以前的工作状态。运营人通过建立下表所示的方法回应决策问题，实用文档评估跟踪措施沟通对其他人的建议·停止运行管理当局警告所有人不可接受的·进行定量的工程和制造商运行安全风险评估其他运营人管理人员和员工·限制操作管理当局警告所有人不受欢迎的·进行详细的定量的制造商和/或定性的工程&运其他运营人行风险评估管理人员和员工采取措施时可接·按照要求限制操作提醒管理者和员受·制定解决问题的详管理人员和员工工细的措施计划·制定监控参数管理人员和员工提醒管理者和员监控时可接受·为评估设置时间限工制可接受的·风险情况监控管理人员和员工建议管理者和员工图11—决策矩阵例子上面这个矩阵是一个组织如何衡量与危险的风险有关的危险控制措施的例子。这个格式是强调的重点，而内容可以根据组织的需要进行变化。4.4危险控制和缓解当风险评估过程完成的时候， SMS开始采取措施缓解和控制该危险。运营人系统的分配资源，通过实施危险控制将损失最小化。 随着航空业对飞行手册、航空器手册、事故症候响应组、命令/领导层/资源方案进行的无数次的控制以及对航空器进行的小的改动，我们在危险控制方面已经有了很多经验。 危险控制/缓解当一个公司建立和实施危险控制时要考虑了一些问题。 一个问题就是所采取的控制是否和危险有关。另一个是危险减缓措施是否会产生其他问题。 例如：宣布建立一个新的报告系统可能不会对缓解危险起多大的作用， 即使它预期的结果实用文档非常好。危险控制产生其他问题的例子就是 1970s安装在运输航空器架舱中的多重报警系统，它包括许多铃声、叫声、钟鸣声、鸟叫声、人声等，这些声音扰乱了飞行员获得其他所需的信息。人为因素研究在信息传递方面的进展再80s到90s间被引入了驾驶舱设计中。 系统安全优先次序当公司采取措施进行危险控制的时候，他们需要按照一个标准的危险控制优先次序进行。简单的说，控制危险的最令人满意的方法是在设计时不把包括在内。而控制风险最没效率的方法是贴一张警示布告或安全海报。下面我们列出了危险控制的所有优先次序。一级—设计时将危险排除在外-修改系统二级—防护装置或屏障-阻止风险发生三级—当危险将要发生时发出警报或预警信号四级—程序和/或培训改变五级—警告（布告，通知等）这个想法是依靠人的加入和干涉将安全融入到组织中并且将风险最小化。认识到加入警告或报警装置会增加系统的复杂性，甚至产生他危险。在上面三级—五级中，人员行为是危险控制的基础，人员行为也是可依赖的控制措施中最不可靠的。4.5核实在风险管理中有两个部分可以使系统循环。一个是下一节讨论的危险信息系统。另一个是管理者确认危险控制措施在按照预期计划进行实施。特别是在大公司中，你不能设想发布命令实施危险控制/缓解措施意味着这些措施真的实施了，或计划时就已经实施了，或按照计划的方式进行实施。最简单的方法是，“核实，核实！”当实施控制措施的时候，公司需要通过建立危险及其控制的跟踪系统使系统保持循环。这个系统服务于很多目标，这些目标都是为了保持公司的效率和保存资源。这不是简单的“使之工作。”随着时间的发展、缓解措施效果的变化或操作环境的变化，你将发现你不得不更改操作或过程。实用文档实用文档第5章 危险信息系统有很多理由表明SMS必须包括危险信息系统：信息系统使公司注意到那些未发现的危险，信息系统察看危险控制措施是否得到了预期的结果、相反的结果或没有任何结果。这同时是一个“跟踪系统” ，信息系统为公司提供了将员工包括在安全方案中的方法—假定提交报告的员工得到积极的反馈信息。信息系统可以进行数据分析以帮助评估风险的严重性和可能性。5.1要求恰当的危险信息系统取决于公司的规模和组织结构以及在系统外部是否存在为公司服务的报告系统。例如 NASA管理的航空安全报告系统（ ASRS）满足了一些公司的需要，公司都想使内部报告适应公司内部的环境。在任何情况下，如果报告包括员工的报告和／或自我揭发， 员工不会因为提交报告而受到惩罚是非常重要的。如果缺少了这个关键条件进行报告将被抑制，同时公司也将不能得到保持其高效、安全运行所需的信息。作为一种特殊情况，如果公司不能对员工的报告免于惩罚， 那么公司要表明：对员工报告的信息不予考虑。这是下述两种情况之间的一种选择： 鼓励积极的报告以推进公司运行； 激怒那些具有丰富的专业知识和操作公司内所有设备的人员。5.2资源对于那些组织SMS的人员来说，信息系统是其工作的起点。由于航空操作的特点和航空中安全工作的历史，已经存在了许多报告系统。规划者的当务之急就是识别哪些系统在运行着。完成了这个工作，规划者可以确定将信息传送到指定地点的方法并且对信息进行分析。当然，可能需要建立新的信息系统，但是首先要利用已经存在的系统。例如飞行品质监控（FOQA）、航空安全行动计划（ASAP）、服务困难报告（SDRs），因为许多航空运营人已经在利用这些系统上的信息。他们所作的工作十分出色，他们展示了公司运行的真实情况。实用文档记住：从小的事故症候或事件中收集信息是十分重要的， 因为只要环境有一点改变这些小事件就会变成事故。在你所报告的事件的下面么能存在一个冰山。SMS规划者需要拥有一个高质量的灾难分析和报告系统。 灾难调查的关键不仅仅是完成调查报告，而是认识需要采取什么措施以防止其再次发生。 灾难报告后要进行风险管理。灾难报告是循环的一部分。实用文档第6章 结论既然你已经知道了组成 SMS的基本要素，你将知道两个关键点：·管理者要进行承诺并得到员工的支持，·如何将SMS规划形成一个整体。6.1“从上到下”的变化在航空公司运行SMS时是一个从上到下的过程。责任主管推动计划的实施并将计划付诸于行动。在具体实施计划前需要做大量的准备工作。公司的SMS政策要和公司的组织机构及其想要达到的目标相适应， 所以就要考虑公司需要什么样的政策以及公司各部门的任务是什么。 确定各部门的任务时要与整个公司组织机构内进行沟通。 进行这些工作的时候必须清楚地了解公司的环境。了解公司环境时要考虑地理、气候、人员及其教育程度、管理当局、顾客群等因素。公司环境的每个方面都对公司提出了要求。 所有这些方面影响着公司的运营安全。6.2“从下到上”的变化实施SMS的一些初期工作十分简单。这个“从下到上”工作就是察看航空公司内哪些已经存在的措施、方案可以并入SMS规划中。今天，大多数航空公司拥有一些内部的安全报告系统和用于质量保证、维修记录和设备故障的信息系统。类似的信息也存在于行业部门、管理当局等公司外部机构中。在一些地方已经存在了无惩罚的安全报告系统。需要指出的是：SMS不是重新建立一个系统，而是将公司的各个部门进行的联系在一起。首先，弄清楚你已经具有了什么，其次，确定你需要什么，然后第三，弥补“具有”和“需要”之间的差距6.3安全问题—商业问题SMS提供了提高航空公司的效率和效力的最好方法。 它促进了内部资源的调整。它的全面性改善了航空公司与管理当局的协调关系。 SMS加强了公司的商业实用文档规划，所以安全问题就是商业问题。当实施

SMS时，航线管理是安全目标中最主要的部分，

同时也是安全措施最有效的地方。在这一点上，安全变成了公司运行过程的一个完整的部分，

而不是形同虚设。SMS将安全从商业外围转移到了商业的核心—保证公司高效的进行损失控制和充分利用资源。安全是商业计划的一部分。 SMS是一单最好的生意。SMS在国际飞行员协会（ALPA）的安全理念下高效的工作：·识别可能导致事故、事故症候和危险事件的危险活动、情况、系统缺陷或程序缺陷。·对识别出的危险的风险进行分析。·进行以人为本的系统、系统组成和程序设计以建立和维持一个可接受的风险水平。我们坚信SMS能够实现ALPA的座右铭：“SchedulewithSafety ”。参考书目商业资源ManagingtheRisksofOrganizationalAccidents-JamesReasonSystemSafetyEngineeringandManagement–RolandandMoriartyManagingRisk-VernonGroseDowntoEarth-ForestL.ReinhardtManagingRisk-AlanWaringandA.IanGlendonModernManagement-PierreG.BergeronSystematicSafetyManagementintheAirTrafficServices-RichardProfitAviationSafetyPrograms-RichardH.WoodModernSafetyManagement-DetNorskeVeritasNormalAccidents-CharlesPerrowSustainableForestryInitiativeStandard-AmericanForest&PaperAssociationResponsibleCare-AmericanChemistryCouncil实用文档管理当局资源IntroductiontoSafetyManagementSystems–TransportCanadaSafetyManagementSystemsforFlightOperationsandAircraftMaintenanceOrganizations–aGuidetoImplementation–TransportCanadaRiskManagementandDecision-MakinginCivilAviation–TransportCanadaAviationSafetyManagement-CivilAviationAuthority,AustraliaSMS资料的来源来源联系方式资料SMSGroupEngineering&AirSMSInformationSafetyDepartmentpacket,Executive535HerndonParkwayandBasicSMSHerndon,VA20171USAIntroduction703-689-4369/4198presentations,AirLinePilotsSteveCorrie/BillEdmundsTwo-daySMSrainingAssociationsession,Half-daySafetyRiskassessmenttrainingsession,CombinedtwoandahalfdaySMS/SRAtrainingInformation:JacquelineSMStexts:Booth-BourdeauChief,IntroductiontoTechnicalandNationalSafetyManagementPrograms330SparksStreet,SystemsTP13739ETransportCanadafloor2(AARPF)(04/2001)SafetyOttawa,ONK1A0N8ManagementTel:613-952-7974SystemsforFlight实用文档E-mail:boothbj@tc.gc.caOperationsandTexts:TransportCanadaAircraftaintenanceCivilAviationommunicationsOrganizations–Centre(AARC)TP13881E(03/2002)PlacedeVille,TowerCRiskManagementandOttawaONK1A0N8DecisionMakingin(ph)800-305-2059CivilAviation–(fax)613-957-4208TP13095(03/2001)http://www.tc.gc.ca/aviation/applications/publications/results.aspSystemSafetyP.O.Box70ProductsandSocietyUnionville,VA22567-0070Services:SystemUSASafetyAnalysis540-854-8630Handbook,http://ProceedingsoftheInternationalSystemSafetyConferences,JournalofSystemFederalAviation OfficeofSystemSafetyAdministration (ASY-100)800ndependenceAve.,SWWashington,DC20591202-267-7011UsefulTexts SystemSafetyEngineeringandManagement–2ndEdition

Safety Listof“links”toSystemSafetysourcesHaroldE.RolandandBrianMoriarty;实用文档JohnWiley&Sons,Inc.; NewYork,1990实用文档附录1SMS矩阵这个矩阵描述了SMS的各种组成要素，包括项目的三个参与者—运营人， 员工和管理当局。图13—SMS基本组成矩阵垂直方向内容适用于SMS的每一个参与者。按照从组织活动、风险管理到信息收集活动的顺序从上到下进行。接下来从水平方向看这个矩阵。每个参与者在SMS中进行类似的和相互关连的活动。每个参与者之间的活动互为补充相互关联。实用文档详细的SMS组成要素矩阵参与者SMS活动员工（ALPA）运营人（航空公司）I.组织—文件化的SMS—文件化的SMS明确的，文件化的项正式的加入到运营目构成人的ＳＭＳ中去系统的、持续的安全风险管理活动—管理者的任务—管理者的任务责任主管—指定并参与建立ＳＭＳ记录在案参与常规ＳＭＳ有对各个层次上的“损效性审查失控制”确定明确的责经过培训的安全人任员／领域的专家要与在经过安全培训的人管理人员保持联系员的协助下进行正式的、常规的危险/损失控制管理审查确定经过安全培训的人员的领导—文件化的政策（涵—文件化的政策盖整个公司）合同／ＬＯＡ／风险接受政策ＳＭＳ措施的ＭＯＵ文件／职责—员工的任务—员工的任务确保全员参与培养或提供领域的专充分利用员工工家以进行危险分析和控制活动作经验基础上的危险发生和危险控制的专业意见

管理当局(FAA.TC等—文件化的SMS详细明确的、咨询性的材料—管理者的任务与运营人的ＳＭＳ保持密切联系对行业危险／损失控制活动进行常规的审查提供经过安全培训的人员按照SMS模型、技术和用法知道政府和行业部门—文件化的政策为运行人建立 SMS而推荐的标准评审运营人 SMS活动的框架，ATOS、CSET等—员工的任务准备一线工作人员进驻并培育一个 SMS的环境实用文档II. 风险管理 —危险探测系统 —危险探测系统 —危险探测系统活动 监督，如 ATOS对运营人和行业信息进行内部评价—危险分析系统—危险分析系统—危险分析系统公司内部的研究小组参与危险分析活动管理当局内部（纵向（纵向的）充分利用各的）的分析小组种专家的意见和技术行业外部分析小组—分析评估系统 —分析评估系统—危险控制系统 —危险控制系统建立并实施适当的危 参与控制的建立险控制 协助运营人实施控当专业经验显示有必 制要时对控制进行更改—危险控制 跟踪系 —危险控制跟踪系统 统确认危险控制的实施 参与危险和危险控确认危险控制的效果 制的反馈报告危险态势危险信—内部的危险信息—内部的危险信息息系统 系统 系统用于探测、分析和项 用于探测、分析和目的改进 项目的改进为员工建立无惩罚的 参与雇主的无惩罚报告系统 的运营人安全报告系反馈和信息共享 统整合所有运营人的信 参与行业的无惩罚息（纵向的） 安全报告系统内部的安全报告系统

—分析评估系统—危险控制系统规章、出版物、标准、TOs、ACsSMS评审组对运营人进行审查—危险控制跟踪系统确认管理当局、行业和运营人危险控制的实施，例如：审查和所要求的报告程序评价控制措施的效果—全行业的安全信息系统建立/保持系统（FOQA、ASAP、ASRS、SDR等）强制系统自愿系统建立/鼓励建立全行业的和运营人的无惩罚安全报告系统为运营人提供 NPSRS模型，以达到信息共有实用文档—外部的危 险信息 —外部的危险信息 创立全行业的 NPSRS，系统的运用 系统的运用 是管理当局可以进行危例如：管理当局、制 例如：管理当局、制造商、行业团体、国际 造商、行业团体、国性组织等 际性组织等

险探测和分析实用文档附录2 航空承运人建立安全管理系统大纲附录2.1原则事故链中的大部分关联都在组织的控制之下，正如在事故的“组织理论”解释的那样。人们在组织中做什么以及如何做确定了一个航空公司的文化。一个组织需要一个积极的安全文化以建立和维持能够提高公司安全性的工作方式。3.公司的商业计划必须将风险管理融入到公司的运行当中。 像成功或失败要达到其他目标一样，成功或失败也要达到风险管理目标。航空公司的首席长官对公司的风险管理最终负责并承担相关责任。无论名称叫什么，这个职位叫做“责任主管”，目的是为了安全。员工是最重要的安全资源。包括制定和实施安全管理系统的员工。附录2.2概念危险—在飞行操作中经常伴有危险（对安全造成威胁） 。风险—风险是如何评估危险。风险包括两部分概念：危险结果的严重性（所能达到了严重程度）危险结果的可能性或频率（多长时间发生一次）风险管理—通过减少危险结果的严重性和 /或频率来控制或缓解危险。附录2.3讨论公司在事故发生前需要采取主动的管理措施来识别和控制危险。 管理者和员工必须通过风险管理知道和明白他们错作中存在的危险。 管理者和员工是安全的资源。 鼓励他们发扬和实施他们各自的技术和知识以提高组织的安全性。 当管理者和员工反映安全问题时， 公司必须以积极、规范的方式给予回应。对当前的运行实施风险评估和管理，并对运行和管理提出改善建议。在风险评