航空公司安全管理系统（SMS）

帅哥

附件5 决策矩阵

评 估	跟踪措施	沟 通	建 议
不可接受的	停止运行 进行详细的定量的安全风险评估	管理当局 制造商 其他运营人 管理人员和员工	警告所有人
不受欢迎的	限制操作 进行详细的定量的和/或定性的工程&运行风险评估	管理当局 制造商 其他运营人 管理人员和员工	警告所有人
采取措施下可接受	按照要求限制操作 制定解决问题的详细的措施计划	管理人员和员工	提醒管理者和员工
监控下可接受	制定监控参数 为评估设置时间限制	管理人员和员工	提醒管理者和员工
可接受的	风险情况监控	管理人员和员工	建议管理者和员工

帅哥

附件4 危险分析矩阵实例

严重性	可能性
	灾难性的 人员伤亡； 航空器失事	5	10	15	20	25
	非常严重的 人员严重伤害；航空器严重损坏	4	8	12	16	20
	严重的 航空器受到轻微损坏	3	6	9	12	15
	轻微的 操作受影响；损失了员工时间	2	4	6	8	10
	可忽略的 系统破坏	1	2	3	4	5
		不可能的（ ） 不可能发生	可能性很小（ ） 20年可能发生一次	偶尔的（ ）一年可能发生一次	可能的（ ）每个月可能发生两次	频繁的（1.0）一周可能发生一次

看下面严重性和可能性的分类： 严重性分类 灾难性的 表现为人员死亡或航空器失事。损失在其他方面的表现为丢掉你的工作，在航空公司为完全失去顾客信任，或者为财政危机。 非常严重的 表现为在事故或事故症候中严重的人员伤害或航空器严重损坏。要努力避免其他方面的潜在损失，它将表现为丢掉一些人的工作，减少顾客的信心或丢掉市场份额或严重的财政打击。 严重的 表现为航空器损坏或人员受轻伤。但是，潜在损失的其他方面表现为丢掉一些工作，失去一些市场份额或财政受到打击。 轻微的 表现为不受欢迎的但是还没引起损伤。这预示着需要进行导致缩减员工生产力的运行变革。 可忽略的 这是一个较小的损失，你有可能接受这个风险。 可能性分类 频繁的 对于频繁发生的问题你要预计其最坏的后果。如果潜在的损失每周发生一次，那么这可能是一个好的起点。然而，这可能还有其他损失，例如失去顾客的信任。这就是最坏的后果。上面的矩阵显示了定性评估（频繁的）和定性评估（1.0）的结合。 可能的 从下一个级别开始反映了一个线性的形式，这个线形将在整个矩阵中用到。每个级别之间都是线性连接的，在我们的例子中，我们给出了对主观可能性的定性评估为 ，或每1000次操作出现一次损失。如果每个月中有1000次操作，那么我每月将经历一次事故，则发生事故的可能性为1/1000或每月一次。 偶尔的 对于偶尔的，我们给出的损失的可能性是1： ，或者100000次特定的操作出现一次损失。 可能性很小 在我们的例子中，可能性很小意味着你全力避免的损失会在10000000次特定的操作中出现一次。 不可能的 定量上说，这意味着1000000000次操作中会出现一次损失。 如果你已经规定了各个风险级别，组织要针对不同的风险等级制定明确的措施。这些决定反映了组织的共同价值并且要保持一致。在某个特定风险评估中这些措施不能被改变，当完成了评估过程且对评估过程进行了评审后要执行这些措施。

帅哥

附件3 详细的危险分析工作表（内容）

说 明

1. 危险分析工作表用于检查初步危险列表（PHL）中危险。 2. 按照事件的顺序挑选一个合理的起始点并在进行分析前多次整体的观察这些作业和活动。 3. 进行第一次作业/活动分析时确定作业/活动的要素。 说明： ·不要选择太大的作业/活动。这将影响你对可能含有危险的要素进行分离。 ·不要选择太小的作业/活动，那样的话一个危险要素可能包含于许多作业/活动要素中。这将使分析变得复杂。 4. 对并发的作业/活动要素重复进行第二步，确保没有漏掉或重复分析（重叠）作业/活动。 5. 如果有同时发生的活动，对每个独立的活动进行单独分析，在最终的列表中将它们合并在一起。 6. 将作业/活动按照发生的先后顺序填在表中。确保明确的定义每个要素开始和结束点。 7. 为每一个对策准备一个详细的危险分析工作表。

帅哥

附件2 详细的危险分析工作表普通危险分析编号：___________________________________页码：___________ 地点/部门：_____________________________________ 准备人：_________________________________________ 日期：___________ 对策：______________________________________________ 经济损失/影响：_____________________________________

作业/活动	危险要素 X=存在的； E=消除的； R=减小的； I=增加的 ＃1 ＃2 ＃3 ＃4
＃
＃
＃
危险概要

说明：对第一次定义和确定的作业/活动进行检查并为每一项工作指定多个作业/活动。同时识别危险因素并按照危险程度进行记录，＃1是最危险的。（见相关的说明）

帅哥

附录3.5.2 普通的危险及其种类当你开始进行评价的时候，你可以考虑如下这些普通的危险和危险的种类：

·冲突 ·CFIT ·天气 ·系统失效 ·失效 ·人为因素 ·紧急情况 ·软件故障 ·沟通不畅 ·要求 ·交通流动 ·操作疏忽 ·不恰当的数据 ·错误 ·不恰当的计算 ·自动操作锁定 ·情景意识 ·不充分的意外事件 ·开放的网络 ·合约体系 ·不恰当的警报 ·没有预警或预警失效 ·人为干扰 ·欺骗 ·出租事故 ·地面控制 ·降落事故 ·起飞事故

·危险材料 ·辐射 ·电 ·污染 ·零件 ·移交分界线 ·商业软件 ·商业设备 ·大气条件 ·生理上的问题 ·设计错误 ·温度 ·爆炸 ·固定 ·燃烧 ·出口 ·加速度 ·腐蚀 ·碰撞 ·震动 ·压力 ·结构损坏 ·毒性 ·摆动 ·噪声 ·疏忽或省略

附录3.5.3 设计的考虑可以通过考虑设计时的困难或偏离以及以下方面内容来假设危险：

·适当的冗余 ·易于进行维修 ·考虑自动控制和人为控制 ·可用性和有效性 ·系统的承受度 ·可用的资源 ·系统兼容性 ·系统合作 ·对环境相互影响的反映 ·系统重置 ·人为因素 ·工效学 ·集合 ·安全关键系统的隔离 ·核实和确认 ·校准 ·安全系统的监视 ·开放的系统设计 ·指挥和控制权 ·系统的迂回路线 ·停工 ·恢复 ·记忆 ·存储 ·唯一的译码 ·合理的检查

·情况检查 ·人员反应 ·可靠性衡量 ·后勤 ·暗中的行为 ·检验权 ·类似的设计 ·新技术 ·技术转让 ·对处理的考虑 ·技术发展 ·连接薄弱 ·瓶颈 ·系统改进 ·不恰当的功能 ·信息的远距离传输 ·系统僵局

附件1 简单的初步危险分析工作表危险分析＃___________ 日期：_____________ 地点：________________________________________________________________ 组织/部门：___________________________________________________________ 系统/活动/作业：__________________________________________________

危 险	潜在的原因	潜在的影响	危险种类	预计经济损失

帅哥

附录3.5 评价关于执行计划及其进展情况—“形成闭环” 附录3.5.1 确认、监控和反馈在这一步中我们要确保风险评估组提出的措施和结果付诸实施。评估组要核实控制和缓解措施已经在实施当中。存在风险的部门已经制定了风险控制和可接受性决策的有效的方法。 作为SRA过程的一部分，必须建立跟踪和监控系统。可以借此评价纠正措施的执行情况以确保活动或系统符合预期的要求。缓解措施有效果么？理论上，应该对某项活动进行实时的监控，但是这是不可能的。 除了要评价活动或系统的执行情况外，建立和维持系统运行所需的价值和信心也需要进行评价和理解。SRA应该进行定期的更新以确保时刻保持有效。这些更新或后续措施对于从最初的风险中发现任何变化是非常有意义的。风险形势的变化意味着需要采取新的危险控制或缓解策略。评价阶段的“反馈”是非常重要的，它可以衡量和保持系统的“安全”。

帅哥

附录3.3 险评估 关于损伤发生的可能性—你的风险接受水平是什么？ 附录3.3.1 定义“风险”是危险的结果，通过严重性和可能性来衡量。 在本步骤中，将按照严重性对危险的结果进行进一步的分类，并加入危险发生的可能性和损伤发生的潜在性。问一个问题：“如果一个特定的危险潜在性真的发生了，它发生的频率和严重度是多少呢？” 所采用的评估方法，定量或定性，决定于所得到的数据。一般来说你得不到你想要的数据。一般都用定性和定量相结合的方法。 (1)风险等级 等级可能是定性的、定量的或二者相结合。利用重新编制或存在的风险矩阵将评估过程形成文件。（见附件）。如果使用已经存在风险矩阵，那么你的工作将更容易被接受，并且向决策者提供的分析结果便于使用和理解。要确保危险的分级要得到所有人员的一致同意。如果对这些分级需要进行变动，则这些变动要在评估前进行。 在这个过程中，可以通过叙述风险导致损伤的严重性和可能性来描述风险。 (2)风险的接受水平 另外一项重要的工作是决定可以接受什么样的风险。从一个单独组织的立场来看，按照组织的结构、目标、分目标、文化等决定风险可接受程度可能很简单。然而，当包括许多股东的时候这个工作可能会很困难。这个工作的一部分决定了风险矩阵的范围和参数。项目/方案努力避免的潜在的损失以及损失的程度是什么？对这些潜在的损失进行考虑时可以单独进行，也可以根据其相应的严重性和可能性按顺序进行。 最后，对风险进行比较和分类。 作为风险评估的一部分，你需要将你的注意力转移到如何防止损失上。这包括对存在的危险控制或风险缓解措施进行评估，或研究新的预防措施、策略或控制。这些控制或缓解措施的目的是消除或减轻危险导致损伤的潜在性。在这个评估过程中，有些区域可能需要进一步的安全分析。 要进行全面的评审并与法规标准、政策、程序、最佳措施、设备性能和可靠性、人员的局限性和限制、培训相一致。通过这个评审，确定这些控制措施具有消除或控制危险到可接受的风险水平的能力。如果它们不能将危险减小至可接受的水平，那么你必须采取新的控制和缓解措施。可以采用下列方法缓解风险。从中可以看到风险控制方法按照有效性进行的排列。 系统安全的优先顺序—危险控制措施的排序。 1. 修改系统，将危险排除在外 2. 添加防护装置或屏障以阻止风险发生 3. 添加警报和预警信号 4. 规定程序上的限制和培训 5. 向所有飞行员发出通告 附录3.3.2 更重要的定义衍生风险—当努力处理最初风险时可能产生的附加的风险。 你可能要问：“我们处理危险时所附加产生的问题比不处理这个危险时更多？”换句话说，运用纠正措施时产生的附加危险及风险的影响是什么？ 剩余风险—当风险管理过程完成后仍存在的风险。 如果所有的风险都没有缓解，那么必须识别剩余风险，这样才能了解这些剩余风险并完成进一步的工作。 第四步中讨论的决策矩阵介绍了如何处理已识别的风险。在进行评估前建立决策矩阵并得到风险评估组的同意。如果在项目、方案或组织中已经存在了决策矩阵，可以尝试应用这些矩阵。 在第四步的决策矩阵例子中，按照风险评估的结果将措施一共分为五个等级。例如：通过矩阵可以看出如果某个风险值超过20，那么就可以决定这个风险为不可接受的并且要按照所在类别的要求采取措施。不受欢迎的风险值在15—19，在采取措施的情况下可接受的风险值为10—14，在监视条件下可接受的风险值为5—9，可接受的风险为0—4。这些不是严格的采取措施的准则，而是说明性的。风险要素依据目标、分目标和项目、方案和/或组织的价值将规定为不同等级的风险。 附录3.4. 决定和报告关于向决策者报告项目和方案中的危险和相关的风险，以提高他们的责任心。 附录3.4.1 报告文件当团队或组对每个风险都进行了决策，需要将所采取的措施的可接受性和批准的理由形成文件。利用决策矩阵可以帮助详细的描述后续措施。 要同时还要考虑项目/方案的要求、组织的价值和主观的判断。这些都是决策过程的一部分。要参照共享的价值、考虑相关的社会、环境和经济因素和采取措施或不采取措施的潜在的费用，考虑被评估的风险的重要性。 附录3.4.2 建议当风险评估组详细描述了处理风险的原理和纠正措施，评估组将决定是否提出建议。安全人员都习惯提出建议，特别是在评估完成后并作为报告的一部分。然而，SRA报告即使没有建议也已经足够了，并且决策者用起来非常有效。 一些决策者可能喜欢和期望得到建议，因为这些建议可以提供一些崭新的解决方案并使之完成工作。相反，有些决策者抵制建议，而且用来反对建议的时间比花费在处理问题上的时间还要多。建议可以面对面的提出，因为按照以往惯例决策者不是解决方案的一部分，他们可以允许负责的决策者避免采取措施。 在SRA报告中包括提出的建议对于SRA团队或组来说是明智的。如果提出了建议，就要对建议进行详细的描述以允许决策者决定实施措施的最好方法。更好的方法是与决策者合作共同提出建议。

帅哥

附录3.2 危险识别和分析 　关于墨菲法则—所有能够出现的错误都将出现！ 附录3.2.1 定义 　　危险是能够导致损失的事件、条件和环境。 附录3.2.2 识别1. 危险可能是现实的也可能是潜在的。 2. 危险的识别通过观察和运用能够描述具体活动、过程或系统过程如何运行或其预期运行的别人的数据和知识。 3. 高效的危险识别依赖于： ·分析小组的经验和知识， ·分析方法的选择， ·准确的安全数据资源。 附录3.2.3 历史数据历史数据能够提供对与以前或当前的活动或系统相关的危险进行深入的了解，可以为通过识别程序发现新的危险提供指导。历史数据也能够为制定将来的纠正措施提供指导。以前“教训”能够定义“以前的错误”并希望这些错误不会在将来的活动和系统中再次发生。“教训”同时也强调了以前那些做的好的事情。 “安全数据”本质来说对安全从业人员在安全活动中有四个主要的用途： 1. 在设计过程中； 2. 在危险分析中； 3. 在安全风险评估活动中； 4. 对SRA结果和效力进行确认和完成情况的监视中。 附录3.2.4 危险识别的方法1. 对数据和项目/系统的要求进行评审 2. 观察、审核、安全视察、调查、研究。 3. 利用学科（领域）专家、方案团队成员、一线员工获得的信息制定简报。 4. 应用相关的分析工具—流程图、事件树、事故树、故障模型和影响分析、软件程序、数学统计模型、模拟 5. 团队内部的集体讨论 附录3.2.5危险识别和分析(1)识别—初步危险目录（PHL） 这是危险识别和分析过程的第一步，是为SRA准备的第一个文件。危险是出现损伤的潜在性。它可以是一个物理状态叫做不安全状态，如不恰当的运行、故障；也可能是不恰当的人的行为，如不安全行为、设计中的人为差错；也可能是程序。初步危险目录的目标是制定出这些早期危险的目录。它在很大程度上依靠惯例和历史资料，但也包括从以前提及的原始资料中得到的数据和信息。例如： 输入：从类似的系统中、危险记录、事故症候和事故的报告、安全教训、项目安全要求、专家意见中得到的安全数据。 输出：额外安全设计所要求的对危险分析和识别进行跟踪的现实的和潜在危险的目录。 一般的，PHL开始于项目或方案形成概念的时候。它为管理者提供与设计理念有关的固有危险的信息。这个想法便是制定出所有可能性的目录，但并不涉及事件真正发生的可能性。制定PHL的典型方法是小组内的集体讨论，同时也可采用检查单（效果最差）、一般的要求评审、非正式会议和调查。 (2)PHL过程 第一个目标是获得尽量多的关于设计理念的资料。邀请学科（领域）专家参加PHL的制定工作是非常明智的。这些过程包括： 1. 建立PHL开发团队。团队成员要来自理念/系统设计的相关领域。 2. 对团队成员进行系统安全理念和如何开发PHL方面的培训。 3. 确定执行PHL的方法。 4. 确定文件的格式。 5. 团队成员要提高理念/系统方面的知识。 6. 适用时，评审以前的系统安全相关的记录。 7. 从以前相关的事件中吸取教训。 8. 考虑设计生命周期的所有阶段。 9. 考虑所有系统和活动单元；人员、硬件、软件和环境相互作用。 10. 识别能量源（损伤的原动力在哪？） 11. 作为开始，考虑一下普通的危险（见附件） 12. 开始制定PHL (3)分析—初步危险分析（PHA） 当列出了初始危险后，这个清单可能在概念设计阶段早期进行修改，所以这些危险可能在早期被消除或者在过程的后期被控制。PHL同时也为危险的详细分析（初步危险分析）提供了基础。 初步危险分析（PHA） PHA的主要目的是识别所有相关的危险。它还致力于识别危险的原因和结果、确定危险的特征、优先考虑某些危险或忽略某些危险（如果它不值得进一步分析）。原因是危险为什么存在的潜在动机。结果是如果允许危险存在其可能导致的后果。每个危险可以有很多潜在的原因和结果。 主要危险—导致其他危险或对其他存在的危险负责的危险。它是其它危险出现的驱动力。 系统缺陷—系统中导致危险出现的条件和环境。类似的危险可能在类似的活动或系统中产生，要努力识别这些危险。 通过危险的分级和详细的危险描述可以进一步确定危险的特征。例如： ·仪表飞行规则（IFR）间隔是1英里。 ·机场的喷涂标志已经风化。 ·飞行员没有接受模拟训练。 ·滑行道“E”与跑道32在140 处交叉。 有效分析危险潜在性的方法是研究危险出现或显露的各种途径。这种方法叫做危险假设或想象成“如果...那么会...”。要识别这些初步的危险和系统缺陷。 输入： ·运用PHL的结果，通过确定危险的原因和结果对危险进行分析。 ·根据团队决定的危险的重要性对这些危险进行排序。 输出： PHA将有潜在危险的区域和按危险结果或严重性排序的信息进行组织并形成文件。 PHA是一个项目的基础系统安全分析。这个文件要求根据反馈的信息进行定期的升级。通过识别过程，安全人员可以开始识别危险相关的风险。

帅哥

附录3.1 计划

关于在该方案中发挥ALPA的作用。

附录3.1.1 问题1. 该方案的作用范围和目标是什么？ 2. 该方案的系统和/或子系统被清晰的定义了么？ 3. 系统/子系统的要求形成文件了么？ 4. 系统/子系统和其他系统相互作用么？如何作用？ 5. 在新方案中重点解决那些安全问题？ 6. 这个新方案将对ALPA哪些其他方案造成影响？ 7. 该方案是否有很强的针对性且能对整个组织有广泛的影响？ 8. 谁将从该方案中受益？ 9. 该方案需要ALPA哪些资源？ 10. 该方案是否需要一支ALPA各学科综合的团队？ 11. 该方案中谁是股东？ 12. 政府／行业主席出面掌管该方案和团队的话能否提高其效率？ 13. 股东是否能够对主席或主席团构成影响？ 14. 正在被提议的确定内部安全问题的方法是什么？ 15. 分析安全问题的原则是什么？ 16. 对所采用的理念和工具有多少信心？ 17. 用于监督、核实方案的实施情况和测量所实施方案的效果的机制是什么？ 18. 方案团队是否接受用于确定安全问题的安全风险评估方法？ 19. 在方案团队以外谁将受到影响或成为SRA的评估对象？ 附录3.1.2 措施1. 努力回答这些和其他相关的对该方案非常重要的问题。 2. 确保详细说明与该方案相关的系统。 3. 确定ALPA想通过该方案达到的目标。 4. 确定预期的结果。 5. 确保可以获得方案所需的资源。 6. 确定资源上存在的任何潜在的缺陷。 7. 确定预期的费用和完成该方案所需的时间。 8. SRA将执行以下任务： a. 确保SRA的评估范围覆盖了整个系统。 b. 确定执行SRA的最优方法。 c. 确定完成SRA所需的数据和信息资源。 d. 评审计划的充分性。 e. 为SRA团队制定相关的术语： I. 包括SRA用到的术语的目录和定义。 II. 在定义风险的限制时要得到一致的同意，例如什么是可接受和不可接受的风险（涉及到建立分析矩阵）。 III. 识别SRA方案将需要的一些学科的专家（领域的专家）。 IV. 决定如何将SRA形成文件并包括在SRA团队的报告中。 9. 如果方案团队不愿意执行SRA，采取办法能使他们转变想法—谁将受到影响？ 10. 如果不执行SRA，采用其他你能找到的优秀的方法去发现缺点，并对SRA团队进行报告和确保形成文件。 11. 确保将这些缺点上报ALPA管理人员。

帅哥

附录2.5 总结 SMS在商业危险和重要安全活动受到危险影响时首先关注公司及所有员工。SMS的本质活动是危险分析和控制。SMS的关键点是在损失控制时利用公司的全部资源，就像包括所有管理人员和员工一样。 附录3 安全风险评估过程（SRA）安全风险评估（SRA）是安全管理系统（SMS）的核心部分。SRA的目标是消除危险或较小危险到可接受的水平。SRA是一个循环的过程，包括学习、采取措施和系统完善。这个程序承认环境是变化的，我们要学习新的东西，执行计划时不能按照原计划一成不变的工作等。换句话说，SRA是一个实实在在的程序而不是一个象牙塔式的措施。SRA和风险管理是一个统一的整体，下表将SRA与风险管理联系在一起并形成一个循环。从整体上看，SRA程序包括组织、评估和风险管理三个过程。

过 程	措 施
组 织	·识别问题/程序和合适的风险决策者 · 成立工作组、指导委员会和执行委员会（EXCOM） ·定义问题/程序 ○人员 ○设备 ○环境 ○职能交界面 ·定义术语 ○危险 ○严重性的定义 ○可能性的定义
风险评估	·首先关注 ○初步的危险目录 ○初步的危险评估 ·就SRA关注的危险达成一致意见 ·对所关注危险的风险进行评估 ○FTA, FMEA, OSA, STEP等 ·识别不确定的信息 ·为风险决策者提供风险分析
风险管理	·对风险评估和识别出的不确定信息进行评价 ○是否需要进一步的分析？ ○不确定的信息是可接受的么？ ·需要采取措施么？ ·如果不需要，将其原因形成文件 ·如果需要，实施危险控制/缓解措施 ·对措施的实施情况进行监视和测量 ○员工/行业安全报告 ○事故症候和事故的报告 ○测试 ○违规行为 ○审核 ○等 ·把“吸取的教训”提交给风险评估工作组 ·根据措施实施情况的测量结果修改危险控制措施