民航航空运营人安全管理体系要求.docx

1、民航航空运营人安全管理体系要求 中国民用航空总局飞行标准司咨 询通 告 编 号：AC-121/135-* 颁发日期： 编制部门： 批 准 人：标 题： 关于航空运营人安全管理体系的要求 1. 依据和目的本咨询通告依据中国民用航空规章大型飞机公共航空运输承运人运行合格审定规则（CCAR-121）和小型航空器商业运输运营人运行合格审定规则（CCAR-135）制定，目的是指导大型飞机公共航空运输承运人和小型航空器商业运输运营人（以下均简称“运营人”）建立和实施符合要求的安全管理体系（SMS）。2. 适用范围本咨询通告适用于按照CCAR-121和CCAR-135运行的运营人。3. 参考文献本咨询通告的

2、参考文献如下： a）国际民用航空公约 附件6 航空器运行b）ICAO Doc9859 安全管理手册c）FAA AC-120-92 航空运营人安全管理体系介绍d）FAA AC-120-59A 航空承运人内部评估方案4. 撤销（备用）。5. 定义安全管理体系管理安全的系统做法，包括必要的组织结构、问责制、政策和程序。风险某一特定危险情况发生的可能性和后果严重性的组合。风险管理安全管理体系内的一个正式过程，由系统和工作分析、危险源识别、风险分析、风险评价和风险控制组成。安全保证系统地为运营人的运输服务满足或超越安全要求而提供信心的过程管理功能。过程一组将输入转化为输出的相互关联或相互作用的活动。程序

3、执行活动或过程的特定方法。危险源有可能导致人员受到伤害、疾病或死亡，或者系统、设备或财产遭破坏或受损，或者环境受到破坏的任何现存的或潜在的状况。衍生风险作为风险控制结果无意中带来的新风险。审计定期、正式的评审、查证，以评价是否符合规章、政策、标准和协约要求。审计从组织的管理和运行着手，并扩展至组织的活动、产品和服务。评估对运营人政策、程序和系统进行的功能性独立的评审。当运营人自己完成此项工作时，应由公司内独立于被评估部门的一个机构来完成。评估过程建立在审计和检查的基础上。评估与全面系统审计同义。6. 背景和说明2006年3月，国际民航组织理事会通过了对附件6航空器运行的第30次修订。该次修订增

4、加了国家要求航空运营人实施安全管理体系的要求。附件6规定从2009年1月1日起，各缔约国应要求其航空运营人实施被局方接受的安全管理体系。我国民航企业安全管理的纪录处于较为领先的水平,但是随着运输量的增长,如果不采取有效措施,事故的总次数将不为公众所接受，解决这个问题的最好办法就是将安全管理融入日常的运行管理中，并采取更为主动的安全管理模式降低事故率。民航安全管理是随着人们对航空安全问题的研究和认识的深入而不断发展的。人们从最初重点关注航空器、空管及机场设备设施等硬件问题逐步过渡到关注人为因素问题，现在开始关注系统和组织对安全的影响。 运用系统方法管理安全可以使运营人通过恰当地确定安全责任，鼓励

5、全员参与，实施风险管理，有效地配备资源，实现主动安全管理，在满足规章的基础上，不断提高运行水平；并通过健全内部安全保证体系，为管理层提供监控安全相关过程的结构化方法，实施安全绩效管理，加强安全文化建设，形成自我管理、自我改进的机制，实现闭环管理，改善安全业绩。7. 安全管理体系的几个基本概念现代安全管理和安全监督活动日益倾向于注重过程控制的系统方法，而不是仅仅对最终结果开展检查和补救措施。理解安全管理体系概念可从安全管理和安全文化入手。1) 安全有时安全被定义为没有潜在危险，对民航而言这是一个不切实际的目标，用风险对安全进行描述才更切实际。通常安全被定义为人员伤害或财产损失的风险在可接受的水平

6、或其以下的状态。2) 安全管理传统的安全管理较为注重事件管理，现代安全管理在继续注重事件管理的基础上，更为注重事态管理，即通过持续的风险管理，将人员伤害或财产损失的风险降至并保持在可接受的水平或其以下的过程。3) 安全管理体系体系是指在规定环境下完成任务或目标的人员和其他资源组成的综合的网络。安全管理体系是管理安全的一种系统方法，包括必要的安全政策、组织机构、责任、程序及措施等。如果希望安全管理体系有效，其必须包括：(a) 完成必要活动的职责及权利; (b) 员工需遵守的程序; (c) 对组织管理活动和监督活动的控制；(d) 对过程及其结果的考核；(e) 明确运营人内部每个人与其所在部门的关系

7、，以及运营人与外包方、供应方、客户及其他有业务来往的单位间重要的相互关系或联系。 4) 安全文化 安全文化是企业文化的一种自然产物。安全文化由共同的信念、态度和做法构成。运营人对于安全的态度影响其员工对安全的共同做法。只有全体人员共同发挥作用，才能实现运营人的安全目标，提高安全运行水平。8. 运营人的运行、防护及其与局方安全监督管理的关系8.1 运营人的运行与防护的关系图1清楚地说明了运营人提供运输服务的运行功能与防护功能之间的关系。如果运营人既要保持盈利又要控制风险(经常伴随运营产生)，则这两个功能必须处于和谐状态。需要注意的是：图1是从功能角度，而不是从组织结构角度进行描述的。该图并不意味

8、着安全管理只是“安全部门”或“安全总监”的责任；事实上，安全管理体系强调“运行”过程的管理人员在安全管理中的角色。 图 运行与防护的功能关系8.1.1运行运行过程是指飞行运行、运行控制、维修、客舱安全、地面服务、货运、训练等过程。由于运营人的航空运输服务是通过运行过程来完成的，所以有效的风险管理和安全保证应从彻底了解运行过程的结构和组织着手。相当数量的危险源、风险因素来自于过程设计不当或系统与运行环境不适应。在这些情况下，影响运行安全的危险源可能不会被充分认识，因而得不到足够的控制。8.1.2防护 风险伴随运行活动产生。运营人的客户和员工是安全系统失效的潜在受害者。因此，运营人应识别其管理过程

9、和运行环境中存在的危险源，控制其风险。安全管理体系为运营人的安全管理提供了一个正式的管理模式来履行其职责和义务，实现安全生产，保护客户及员工的利益。8.2 运营人的运行及防护与局方安全监督管理的关系 运营人的运行及防护功能与局方安全监督管理功能之间的关系见图2。图中左边的两个管理系统分别是运营人的安全管理体系和局方对运营人进行监督的安全管理。图2 运营人的运行及防护功能与局方安全监督管理功能之间的关系局方传统的监督注重符合技术标准，通常包括审定、持续监督、调查、规章的强制实施等。在继续保持传统监督方法的同时，局方将通过监督运营人的安全管理体系，逐步运用系统安全方法监督运营人整体安全状态，并强调

10、运营人通过自我约束、自我管理、自我改进实现安全管理的闭环，不断提高安全水平。9. 安全管理体系要求说明9.1 安全管理标准化的需求 9.1.1 标准化本附录运营人安全管理体系要求（以下简称要求）的制订参考了国际标准的条款结构，使用了与质量管理体系ISO9001-2000标准相似的模式，以便该体系与其他管理体系相互整合。9.1.2 可审计性将安全管理体系设计成标准形式有利于提出明确的功能要求，便于运营人本身、政府或其他第三方进行监督和审计。因此，其行文以要求为基础。每一个条款都只单独规定一个要求，以易于对系统审计。9.2 结构和组成9.2.1 功能性要求由于需要适合各种类型和规模的运营人，所以要

11、求是作为功能性要求文件制定的，它强调运营人应“做什么”而不是“怎么做”。这样可以为运营人的实施提供灵活性。运营人在实施时应将要求中的要求转化成自己的具体做法。运营人应充分利用已经实施的各种安全管理过程，将安全管理体系的全部功能要求充分融入已有的管理体系之中，而不是重新建立一个独立的新体系。作为完整的安全管理体系，要求中的每一条功能要求都是必不可少的，但运营人不必对履行相同功能的现存项目重复建设。9.2.2 安全管理的四大支柱安全管理的四大支柱为政策、风险管理、安全保证和安全促进。这四大支柱是安全管理体系的基础。要求根据四大支柱分四部分对各要素的功能性要求进行描述。1) 政策所有的管理体系都必须

12、明确政策、程序、组织结构以实现目标。有关这些方面的要求在要求中第4部分进行了描述。2) 风险管理风险管理是将风险控制在可接受水平或其以下，安全管理体系的风险管理是以系统安全过程模式为基础的。有关这些方面的要求在要求中第5部分进行了描述。3) 安全保证风险控制措施被确定后，运营人可利用安全保证功能，确保风险控制措施持续被执行并在不断变化的环境下持续有效。有关这些方面的要求在要求中第6部分进行了描述。4) 安全促进运营人必须用支持良好安全文化的活动把安全作为核心价值进行促进。有关这些方面的要求在要求中第7部分进行了描述。9.2.3 风险管理与安全保证的关系风险管理和安全保证的关系见图3。该图是功能

13、关系图，而不是组织机构设置图。风险管理过程可用于初始的危险源识别和风险评价，当制定的风险控制措施能够使风险达到可接受水平时该措施才可被实施。此时，安全保证功能将发挥作用，以确保风险控制措施被实施并持续达到预定目标。安全保证体系还可评估当运行环境变化时是否需要新的风险控制措施。图3 风险管理功能和安全保证功能的关系10.要求实施指南10.1要求的总体结构要求根据四大支柱分策划、风险管理、安全保证和安全促进四部分阐述了安全管理体系的要求。10.2 策划10.2.1 安全政策安全政策反映了运营人的安全管理理念，是建立安全管理体系的基础，并为建设积极的安全文化提供了清晰的导向。安全政策还指明了运营人为

14、达到预期的安全目标将要采用的方法。安全政策必须符合国家的相关规定。在制定安全政策的过程中，高层管理者应与影响安全的相关领域的关键人员进行广泛地协商，以确保安全政策与员工密切相关。10.2.2飞行安全文件系统飞行安全文件系统是由运营人制订的一套相关文件，汇集并编制有飞行和地面运行必需的资料，其中至少包含有运行手册和运营人维修控制手册。飞行安全文件系统是一个有机的整体，其中的任一文件的任何变动都可能对其它文件或整个系统产生影响。因此，运营人应确保文件间的相互一致及运用的一致性。对影响飞行安全的文件的设计、编排、确认、实施、修订等进行系统管理。飞行安全文件系统设计时，应该在术语及通用内容和行动的标准

15、用语的使用上保持一致；其编排应该确保能够便于查找载于构成不同运行文件系统内的飞行和地面运行的必要资料，同时又便于管理运行文件的分发和修订；在实施之前应该按实际条件加以验证；实施后，应对飞行安全文件系统的实施进行监督，确保文件与运行环境的特点相符，且易于操作人员使用。运营人还应制定一个资料收集、审查、分发和修订的控制系统，对与自己运行类型相关的资料和数据加以处理。10.2.3 安全目标安全目标与安全政策密切相关。安全目标应是运营人对提高安全水平行动及明确预期结果的承诺。10.2.4 安全计划安全计划详述了为实现目标拟采取的步骤，通常包括为实现目标所赋予的有关部门和人员的职责和权限，实现目标的方法

16、和时间表，相关的资源需求。10.2.5 组织机构及职责图4是运营人组织结构的一种样例，这种组织结构可以支持实施安全管理体系。总经理是安全管理的第一责任人，承担安全运行的全部责任，负责清晰地界定整个组织内的安全责任，包括高层管理人员对安全的直接责任。总经理应计划、组织、指导、控制员工的活动，分配安全相关活动所需的资源，以确保安全控制的有效性，并对整个组织的安全管理体系定期进行管理评审。负责各运行过程的副总经理均应承担安全责任，将风险管理和安全保证工作融入日常管理之中，并对未正确履行其职责所造成的安全结果承担直接责任。运行过程中的生产运行部门经理应定期实施内部审计，监控本部门的安全状况。安全总监应

17、独立于运行及其支持过程之外，负责通过信息获取、数据分析、系统评价、监督纠正和预防措施的落实等安全保证过程对运行过程及其风险管理和安全保证循环进行监督，并直接向总经理汇报。安全监督部门应独立地就安全有关事务提出建议，进行内部评估、数据分析及系统评价，监督预防纠正措施的落实，调查安全相关事件，组织对全体员工的安全教育等。图4 组织结构样例10.2.6 与法规、规范性文件和其他要求的符合性运营人建立正式的信息获取渠道，可以及时掌握法规、规范性文件和其他要求，识别和了解运营人的各项活动受到相应法规和其他要求的影响，适时修订相关手册、程序等文件。法规、规范性文件和其他要求是运营人衡量安全绩效和进行危险源

18、识别的主要依据之一。遵守法规和其他要求是安全管理体系的基本要求。10.2.7 程序与控制程序与控制是系统的两个关键属性。安全政策必须落实成程序以便应用，而且控制必须到位以保证关键步骤按设计完成。运营人应开发程序、将程序文件化，并保持程序以实现其安全政策和目标。10.2.8 应急响应有效的应急响应方案可能会减轻事故等不安全事件造成的后果。应急响应方案以书面形式规定了不安全事件一旦发生之后，运营人应该做些什么，以及每个行动由谁来负责。为了确保应急响应方案在实际运作时有效，应进行定期的训练和演练。进行演练还有助于验证方案的有效性，找出方案的不足，并进行改进。10.2.9 文件及记录 文件的价值在于沟

19、通意图、统一行动。因此，对文件的批准、评审与更新、标识、分发、作废等应进行控制，确保文件的适宜性、充分性和有效性。安全管理体系所要求的各种文件可以通过修订运营人现有的手册、程序等文件实现，也可以单独编写。外来文件通常包括来源于运营人之外的法规、规范性文件、通告等。外来文件中的信息直接或间接影响运营人的安全运行，因此，应建立获取外来文件的渠道，及时获取并分发至相关部门，以便相关部门及时转化成内部程序或修改已有文件的相关内容。运行及安全管理中会生成大量的记录，这些记录可以很好地为安全管理体系，特别是风险管理和不安全事件调查服务。利用这些记录可以实现信息的分析、利用和安全活动的追溯。10.3 风险管

20、理 风险管理过程常用于分析运营人的运行功能和运行环境，以识别危险源，分析评价相关风险，并采取控制措施。风险管理过程处于运营人提供航空运输服务的过程中，不是一个独立的或特殊的过程。一个过程的风险管理（如原因分析、风险控制措施等）可能会涉及或追溯到其他过程，因此，风险管理应是一个协调一致、综合治理的过程。10.3.1 系统和工作分析风险管理始于系统设计。系统包括组织结构、过程和程序及人员、设备。系统和工作分析应充分说明组成系统的硬件、软件、人员与环境相互间的联系，并详细到足以识别危险源，进行风险分析。应对系统进行文件说明，但对格式没有特殊要求。系统文件通常会包括运营人的手册系统、检查单、组织结构图

21、和人员岗位说明等。运营人的运行及其支持过程建议分解为：(a) 飞行运行；(b) 运行控制；(c) 维修；(d) 客舱安全；(e) 地面服务； (f) 货运；(g) 训练； (h) 其他，如人事、财务等。系统和工作分析只要详细到可用来进行危险源和风险分析即可，冗长和过分详细的系统和工作分析是不必要的。尽管可以使用复杂的开发方法和手段，但经理与员工进行的自由讨论通常更为有效。 10.3.2 危险源识别系统及其运行环境中存在的危险源必须被识别、记录和控制。界定危险源的分析过程还应考虑系统的所有组成部分。表1是危险源样例。系统及其运行的分析中关键问题是“如果发生了会怎样?”。当识别出所有可能的危险源比

22、较困难时，运营人应首先识别运营中重大的、可预见的危险源。 表1危险源样例 航图中有些标注离所标注的点距离较远 仪表制式、单位需换算 飞行员持有飞行体检合格证，但心理或生理状态较差 航行情报发放现场，资料管理混乱 维修任务计划和安排不适当，按正常程序完成工作所需的时间和资源不充分 人员招聘考核中，未考虑岗位所需的安全要求 培训的考核或评价方式不适当，导致不胜任者取得资格 资源分配时未充分考虑风险等级 装卸工缺乏危险品装卸知识 绩效考核或奖惩中未能体现安全第一10.3.3 风险分析和评价通常风险分析和风险评价是将风险分解为风险发生的可能性及后果的严重性。常用的工具是风险矩阵，图4是这种矩阵的样例。

23、运营人应当开发一个最能体现其运行环境的矩阵，针对临时运行和长期运行可以开发拥有不同风险接受标准的不同的矩阵。 矩阵的定义和最终结构将由运营人自行设计。各种后果严重性和发生可能性等级应根据实际运行环境确定。后果严重性和发生可能性界定的样例见表2。各运营人对严重性和可能性的界定可以是定性的，但应尽量定量。表2 结果严重性和发生可能性标准的样例结果的严重性发生的可能性严重性等级界定标准参考值可能性等级参考值灾难性的多人死亡。航空器损毁。5特别频繁5特别严重的安全系数大大下降，身体压力或工作负荷已达到无法靠自身的能力完全履行职责的程度。一定数量的人员严重受伤或死亡。航空器损坏。4经常4严重的安全系数较

24、大下降，操作人员因工作负荷增加，或因工作条件不利导致工作能力下降。人员受伤。主要设备损坏。3偶尔3轻微的安全系统下降。操作受限。设备损坏。2极少2可忽略影响很小。1不太可能1在制定风险评价标准时，运营人应制定风险接受程序，包括可接受标准和局方的要求以及风险管理决策的责任层级。风险的可接受标准受安全目标高低的影响。风险可接受程度可以通过风险矩阵（如图5所示）进行评估。示例矩阵说明了可接受程度的三个等级：不可接受的（黑色区域）、可接受的（白色区域）、缓解后可接受的（灰色区域）。(a) 不可接受的（黑色区域）如果可能性和严重性相综合后，风险处于黑色区域，则该风险是不可接受的，必须进一步采取干预行动来

25、消除相关危险源，或控制可能导致更大可能性或严重性的因素。 (b) 可接受的（白色区域）如果风险处于白色区域，则可以接受，不需进一步采取行动。但是，风险管理的目标应是无论评价显示风险是否在可接受范围内，都要将风险尽可能降至最低。这是持续改进的基本原则。 (c) 缓解后可接受的（灰色区域）如果风险处于灰色区域，则在特定的缓解条件下风险是可接受的。这种情况的一个例子就是评估一个在最低设备清单中列明的失效航空器组件的影响。如果MEL中定义的操作(“O”)或维修(“M”)程序被实施，就可使该风险从不可接受变为可接受，则实施MEL中的操作(“O”)或维修(“M”)程序就构成缓解行动。这些情况也应该在安全保

26、证功能中持续强调。图5 风险矩阵一些其他方法也可用于风险评价，如某些专业组织开发的用于飞行、运行控制和地面服务等的风险评价方法。10.3.4 原因分析风险分析不仅应注重对严重性和可能性的区分，还应注重根原因分析。这是进行有效控制、降低风险的第一步。一些结构化的软件系统可用于进行根原因分析。但是，在很多情况下，运营人内部飞行员、维修人员或签派员、其他经验丰富的专家间进行的分析研讨是寻找降低风险途径的有效方法。此方法的另外一个好处是可以使最终实施控制措施的员工参与进来。 10.3.5 风险控制在完成以上步骤后，必须进行风险控制的设计与实施。风险控制可能包括增加或改变程序，增加新的控制措施，增加管理

27、，改进培训，增加或改进设备，调整人员等。应根据危险程度和复杂性，通过结构化的方式设计控制措施。风险控制措施的内容通常包括风险控制的目标、有关部门及人员的职责和权限、实现该风险控制目标的技术方案（技术措施、时间进度和资源需求等）。可用的控制措施可能有一个或多个，可以使用系统安全技术对控制措施进行分级、排序和选择。考虑到必要措施的迫切性以及开发更有效措施的复杂性，在不同的阶段可以采用不同的控制措施,例如在开发更有效的危险源消除方法时，先进行警告是恰当的。控制措施的分级包括：(a) 从设计上消除危险源系统修改（这包括硬件、软件系统和组织系统）； (b) 物理防护或屏障减少在危险源中的暴露或降低后果的

28、严重性； (c) 危险源的警告、通告或提示；(d) 为消除危险源或降低相关风险发生可能性或严重性而改变程序；(e) 为消除危险源或降低相关风险发生可能性而进行的培训。即使采用高效的控制措施，完全消除风险也几乎是不可能的。在这些控制措施设计完成后，系统实际使用前，必须评估控制措施是否有效及是否会将新危险源引入系统，这种情况称为“衍生风险”。图3中返回至图表顶端的闭环表明了评估（系统和工作分析，危险源识别，风险分析和风险评价）过程的使用，以确定改进的系统是否可被接受。10.4 安全保证安全保证比运行现场监察范围更广，它通过持续的信息获取和分析，验证风险控制措施的落实情况，采取预防或纠正措施；识别在

29、不安全事件发生前采取风险控制措施的机会，实现安全管理的闭环。相关管理人员可通过安全保证技术（如内部审计、内部评估）判断安全管理措施是否在按计划实施，从而掌握自己负责过程的安全状况，建立信心。各运行过程通过信息获取，进行数据分析、系统评价及预防或纠正措施，实现各运行过程的安全管理的闭环。运营人通过信息获取，进行数据分析、系统评价、预防或纠正措施及管理评审，实现运营人整个体系的安全管理闭环。安全保证方案应能确保所有运行过程以恰当的时间间隔接受评价。内部评估是建立在生产运行部门内部审计之上的，因此，生产运行部门内部审计应在内部评估之前完成。通常，生产运行部门内部审计的周期不应超过半年，内部评估的周期

30、不应超过一年。计划应有灵活性并应是动态的，当识别出不利趋势时，应及时进行专项评估。10.4.1 用以决策的信息安全保证信息来源于各种渠道，包括正式的审计，安全相关事件调查，日常活动的持续过程监控，以及来自于员工报告系统的信息。10.4.2 持续监控 运营人应通过持续监控对运行的所有方面进行监控。持续监控还提供了主动识别危险源、证实已采取的安全措施的有效性和持续评估系统绩效的方法。应监控的运行信息应来自于飞行记录器、值班日志、机组报告、工作卡、处理表单等。运营人应建立飞行数据分析(FDA)方案，对来自于飞行记录器的数据进行分析。FDA是指收集和分析在日常飞行期间所记录数据的主动方案，以便提高飞行

31、机组的效能，改进操作程序、飞行训练、空中交通管制程序、空中航行服务或航空器维修和设计。FDA有时被称作飞行数据监视 (FDM)或飞行运行质量保证 (FOQA)，它为危险源的主动识别提供了另外一个工具。10.4.3 生产运行部门内部审计生产运行活动是危险源最直接出现的地方，是过程缺陷造成风险的地方，也是通过直接监管及资源分配能将风险降低至可接受水平的地方。内部审计可以为生产运行部门提供一种有计划的、有方法的、以监察原则为基础的评审，以确定运行的安全状况。因此，要求规定运营人各运行部门具有内部审计职责。（a） 管理责任由于运行部门的经理直接负责组织实施，并确保其职责内的过程按计划实施，因此，运行部门的经理应负责监控这些过程。通过日常的持续监控、员工报告和反馈、调查和定期的内部审计、数据分析、系统评价与预防或纠正措施等安全保证过程对风险控制措施状况进行监测、评价与控制，并掌握该业务过程的安全状况。此外，运行部门的经理通常是技术专家，了解相关技术过程，对以上工作负责更加有利。（b）审计范