航空公司安全管理系统（SMS）

帅哥

附录2 航空承运人建立安全管理系统大纲附录2.1 原则1. 事故链中的大部分关联都在组织的控制之下，正如在事故的“组织理论”解释的那样。 2. 人们在组织中做什么以及如何做确定了一个航空公司的文化。一个组织需要一个积极的安全文化以建立和维持能够提高公司安全性的工作方式。 3. 公司的商业计划必须将风险管理融入到公司的运行当中。像成功或失败要达到其他目标一样，成功或失败也要达到风险管理目标。 4. 航空公司的首席长官对公司的风险管理最终负责并承担相关责任。无论名称叫什么，这个职位叫做“责任主管”，目的是为了安全。 5. 员工是最重要的安全资源。包括制定和实施安全管理系统的员工。 附录2.2 概念 危险—在飞行操作中经常伴有危险（对安全造成威胁）。 风险—风险是如何评估危险。风险包括两部分概念： 危险结果的严重性（所能达到了严重程度） 危险结果的可能性或频率（多长时间发生一次） 风险管理—通过减少危险结果的严重性和/或频率来控制或缓解危险。 附录2.3 讨论公司在事故发生前需要采取主动的管理措施来识别和控制危险。管理者和员工必须通过风险管理知道和明白他们错作中存在的危险。管理者和员工是安全的资源。鼓励他们发扬和实施他们各自的技术和知识以提高组织的安全性。当管理者和员工反映安全问题时，公司必须以积极、规范的方式给予回应。 l 对当前的运行实施风险评估和管理，并对运行和管理提出改善建议。 l 在风险评估和管理中运用交叉学科的专业意见。 l 区别过失和故意的行为祸违规操作。 l 作为危险控制过程的一部分，要理解过失的含义。不能容忍故意的违规行为 附录2.4 SMS组成部分附录2.4.1 方法—全公司范围内全面、系统的安全管理。 a. 确定管理安全的基本方法。 i. 任务陈述 ii. 理念 iii. 政策 1.确定安全和性能目标基本方法的安全政策 2.无惩罚的纪律政策 a.鼓励进行事故症候和危险报告 b.区别对待过失和故意行为 iv. 程序 v. 措施 1. 安全责任 a.明确定义任务和职责 b.定义每个员工的任务，并形成文件 i.将每个岗位和任务的安全责任形成文件 ii.将每个岗位的资格要求形成文件 iii.详细规定责任关系以确保所有员工对其相应的职责是胜任的且经过培训的 iv.详细规定管理人员对于外包服务的责任 c.最高管理层对安全应负的责任 i.责任主管负责建立和保持SMS ii.明确规定各级人员的权力 iii.功能区内对安全项目审查的责任 1.安全办公室—（由公司的规模决定）与责任主管进行信息交流的途径，其职能： a.关于安全的专业意见 b.安全信息系统 c.审核职能 2.安全委员会—通过举行一系列会议参与安全决策。 iv.管理人员的责任 1.对于损失 2.对于实施和监督危险控制 2.主动的领导人员和管理人员 a.提供必要的安全资源以实现战略上的安全目标 b.为安全事务分配必要的资源，如时间和资金 c.将安全事务放在各级会议的议程中 d.包含在安全活动中并评审所以作业场所 e.接收和处理员工的安全报告 f.在公司的刊物中强调安全主题 vi.性能 1. 安全性能测量 2. 安全报告 3. 危险控制措施确认 b. SMS组成的描述—描述每一个组成和它们之间的相互关系，也就是SMS手册 i.方法 ii.文件 iii.审查 iv.培训 v.质量保证 vi.应急救援计划 附录2.4.2 文件a.识别可行的航空或其他安全规章和要求 b.完善文件系统，以保证将SMS的每个组成都写入SMS文件或手册 c.当规章、标准和豁免发生改动时，也要对文件进行向以的改变 d.保持当前的、适用的和有效的文件 附录2.4.3 安全审查a.主动措施—通过分析每天的工作情况或通过公司的安全报告系统收集的报告来识别潜在的危险 i.报告危险、事件或安全事务的系统 ii.对数据、安全报告和任何其他安全相关信息进行分析的系统 iii.收集、储存和分发数据的方法 iv.纠正措施和减小风险的策略 v.时时的系统监控 vi.危险控制/减缓措施执行情况的跟踪检查 vii.纠正措施效果的确认 b.被动措施—对已发生的事件做出回应 i.非预期的事件 ii.指出事故控制措施没有达到预期的效果 附录2.4.4 培训a.将各个工作领域的培训要求形成文件 b.提供适合的信息、技术和培训以保证完成任务 i.航线管理人员 ii.航线员工 iii.安全工作人员 附录2.4.5 质量保证a.精心设计和文件化的用于产品和过程控制的程序 b.对测试方法进行检查 c.对设备进行监控，包括校准和测量 d.内部的和外部的审核 e.对纠正和预防措施进行监控 f.当需要时，运用适当的统计分析 附录2.4.6 应急相应计划a.政策 b.公司动员并通知代理处 c.旅客和员工的福利 d.伤亡和接下来的家属调解 e.代表公司进行事故调查 f.员工危险期反映劝告

帅哥

图13—SMS基本组成矩阵

*垂直方向内容适用于SMS的每一个参与者。按照从组织活动、风险管理到信息收集活动的顺序从上到下进行。 **接下来从水平方向看这个矩阵。每个参与者在SMS中进行类似的和相互关连的活动。每个参与者之间的活动互为补充相互关联。

详细的SMS组成要素矩阵

SMS活动	参 与 者
	运营人（航空公司）	员工（ALPA）	管理当局(FAA.TC等
I.组织	—文件化的SMS 明确的，文件化的项目构成 系统的、持续的安全风险管理活动 —管理者的任务 责任主管—指定并记录在案 对各个层次上的“损失控制”确定明确的责任 在经过安全培训的人员的协助下进行正式的、常规的危险/损失控制管理审查 确定经过安全培训的人员的领导 —文件化的政策（涵盖整个公司） 　风险接受政策 —员工的任务 　确保全员参与 　充分利用员工工作经验基础上的危险发生和危险控制的专业意见	—文件化的SMS 　正式的加入到运营人的ＳＭＳ中去 —管理者的任务 　参与建立ＳＭＳ 　参与常规ＳＭＳ有效性审查 　经过培训的安全人员／领域的专家要与管理人员保持联系 —文件化的政策 合同／ＬＯＡ／ ＳＭＳ措施的ＭＯＵ文件／职责 —员工的任务 培养或提供领域的专家以进行危险分析和控制活动	—文件化的SMS 　详细明确的、咨询性的材料 —管理者的任务 　与运营人的ＳＭＳ保持密切联系 　对行业危险／损失控制活动进行常规的审查 　提供经过安全培训的人员 　按照SMS模型、技术和用法知道政府和行业部门 —文件化的政策 为运行人建立SMS而推荐的标准 评审运营人SMS活动的框架，ATOS、CSET等 —员工的任务 准备一线工作人员进驻并培育一个SMS的环境
II.风险管理活动	—危险探测系统 —危险分析系统 公司内部的研究小组（纵向的）充分利用各种专家的意见和技术 —分析评估系统 —危险控制系统 建立并实施适当的危险控制 当专业经验显示有必要时对控制进行更改 —危险控制跟踪系统 确认危险控制的实施 确认危险控制的效果	—危险探测系统 —危险分析系统 参与危险分析活动 —分析评估系统 —危险控制系统 参与控制的建立 协助运营人实施控制 —危险控制跟踪系统 参与危险和危险控制的反馈 报告危险态势	—危险探测系统 监督，如ATOS 对运营人和行业信息进行内部评价 —危险分析系统 管理当局内部（纵向的）的分析小组 行业外部分析小组 —分析评估系统 —危险控制系统 规章、出版物、标准、TOs、ACs SMS评审组对运营人进行审查 —危险控制跟踪系统 确认管理当局、行业和运营人危险控制的实施，例如：审查和所要求的报告程序 评价控制措施的效果
III.危险信息系统	—内部的危险信息系统 用于探测、分析和项目的改进 为员工建立无惩罚的报告系统 反馈和信息共享 整合所有运营人的信息（纵向的） —外部的危险信息系统的运用 例如：管理当局、制造商、行业团体、国际性组织等	—内部的危险信息系统 用于探测、分析和项目的改进 参与雇主的无惩罚的运营人安全报告系统 参与行业的无惩罚安全报告系统 内部的安全报告系统 —外部的危险信息系统的运用 例如：管理当局、制造商、行业团体、国际性组织等	—全行业的安全信息系统 建立/保持系统（FOQA、ASAP、ASRS、SDR等） --强制系统 --自愿系统 建立/鼓励建立全行业的和运营人的无惩罚安全报告系统 为运营人提供NPSRS模型，以达到信息共有 创立全行业的NPSRS，是管理当局可以进行危险探测和分析

帅哥

附录1 SMS矩阵这个矩阵描述了SMS的各种组成要素，包括项目的三个参与者—运营人，员工和管理当局。

帅哥

第6章 结论既然你已经知道了组成SMS的基本要素，你将知道两个关键点： ·管理者要进行承诺并得到员工的支持， ·如何将SMS规划形成一个整体。 6.1 “从上到下”的变化在航空公司运行SMS时是一个从上到下的过程。责任主管推动计划的实施并将计划付诸于行动。在具体实施计划前需要做大量的准备工作。 公司的SMS政策要和公司的组织机构及其想要达到的目标相适应，所以就要考虑公司需要什么样的政策以及公司各部门的任务是什么。确定各部门的任务时要与整个公司组织机构内进行沟通。进行这些工作的时候必须清楚地了解公司的环境。了解公司环境时要考虑地理、气候、人员及其教育程度、管理当局、顾客群等因素。公司环境的每个方面都对公司提出了要求。所有这些方面影响着公司的运营安全。 6.2 “从下到上”的变化实施SMS的一些初期工作十分简单。这个“从下到上”工作就是察看航空公司内哪些已经存在的措施、方案可以并入SMS规划中。 今天，大多数航空公司拥有一些内部的安全报告系统和用于质量保证、维修记录和设备故障的信息系统。类似的信息也存在于行业部门、管理当局等公司外部机构中。在一些地方已经存在了无惩罚的安全报告系统。需要指出的是：SMS 不是重新建立一个系统，而是将公司的各个部门进行的联系在一起。 1. 首先，弄清楚你已经具有了什么， 2. 其次， 确定你需要什么，然后 3. 第三，弥补“具有”和“需要”之间的差距 6.3 安全问题—商业问题SMS提供了提高航空公司的效率和效力的最好方法。它促进了内部资源的调整。它的全面性改善了航空公司与管理当局的协调关系。SMS加强了公司的商业规划，所以安全问题就是商业问题。 当实施SMS时，航线管理是安全目标中最主要的部分，同时也是安全措施最有效的地方。在这一点上，安全变成了公司运行过程的一个完整的部分，而不是形同虚设。SMS将安全从商业外围转移到了商业的核心—保证公司高效的进行损失控制和充分利用资源。安全是商业计划的一部分。SMS是一单最好的生意。 SMS在国际飞行员协会（ALPA）的安全理念下高效的工作：　　　 ·识别可能导致事故、事故症候和危险事件的危险活动、情况、系统缺陷或程序缺陷。 ·对识别出的危险的风险进行分析。 ·进行以人为本的系统、系统组成和程序设计以建立和维持一个可接受的风险水平。 我们坚信SMS能够实现ALPA的座右铭：“Schedule with Safety”。 参考书目

商业资源

Managing the Risks of Organizational Accidents - James Reason

System Safety Engineering and Management – Roland and Moriarty

Managing Risk - Vernon Grose

Down to Earth - Forest L. Reinhardt

Managing Risk - Alan Waring and A. Ian Glendon

Modern Management - Pierre G. Bergeron

Systematic Safety Management in the Air Traffic Services - Richard Profit

Aviation Safety Programs - Richard H. Wood

Modern Safety Management - Det Norske Veritas

Normal Accidents - Charles Perrow

Sustainable Forestry Initiative Standard - American Forest & Paper Association

Responsible Care - American Chemistry Council

管理当局资源

Introduction to Safety Management Systems – Transport Canada

Safety Management Systems for Flight Operations and Aircraft Maintenance

Organizations – a Guide to Implementation – Transport Canada

Risk Management and Decision-Making in Civil Aviation – Transport Canada

Aviation Safety Management - Civil Aviation Authority, AustraliaSMS资料的来源

来 源	联系方式	资 料
Air Line Pilots Association	SMS Group Engineering & Air Safety Department 535 Herndon Parkway Herndon, VA 20171 USA 703-689-4369/4198 Steve Corrie / Bill Edmunds	SMS Information packet, Executive and Basic SMS Introduction presentations, Two-day SMS raining session, Half-day Safety Risk assessment training session,Combined two and a half day SMS / SRA training
Transport Canada	Information: Jacqueline Booth-Bourdeau Chief, Technical and National Programs 330 Sparks Street, floor 2 (AARPF) Ottawa, ON K1A 0N8 Tel: 613-952-7974 E-mail: boothbj@tc.gc.ca Texts: Transport Canada Civil Aviation ommunications Centre (AARC) Place de Ville, Tower C Ottawa ON K1A 0N8 (ph) 800-305-2059 (fax) 613-957-4208 http://www.tc.gc.ca/aviation/ applications/publications/ results.asp	SMS texts: Introduction to Safety Management Systems TP 13739 E (04/2001)Safety Management Systems for Flight Operations and Aircraft aintenance Organizations – TP 13881E (03/2002) Risk Management and Decision Making in Civil Aviation – TP 13095(03/2001)
System Safety Society	P. O. Box 70 Unionville, VA 22567-0070 USA 540-854-8630 http://www.system-safety.org	Products and Services:System Safety Analysis Handbook, Proceedings of the International System Safety Conferences, Journal of System Safety List of “links” to System Safety sources
Federal Aviation Administration	Office of System Safety (ASY-100)800 ndependence Ave., SWWashington, DC 20591202-267-7011
Useful Texts	System Safety Engineering and Management – 2nd Edition	Harold E. Roland and Brian Moriarty; John Wiley & Sons, Inc.; New York, 1990

帅哥

第5章 危险信息系统有很多理由表明SMS必须包括危险信息系统： u 信息系统使公司注意到那些未发现的危险， u 信息系统察看危险控制措施是否得到了预期的结果、相反的结果或没有任何结果。这同时是一个“跟踪系统”， u 信息系统为公司提供了将员工包括在安全方案中的方法—假定提交报告的员工得到积极的反馈信息。 u 信息系统可以进行数据分析以帮助评估风险的严重性和可能性。 5.1 要求恰当的危险信息系统取决于公司的规模和组织结构以及在系统外部是否存在为公司服务的报告系统。例如NASA管理的航空安全报告系统（ASRS）满足了一些公司的需要，公司都想使内部报告适应公司内部的环境。 在任何情况下，如果报告包括员工的报告和／或自我揭发，员工不会因为提交报告而受到惩罚是非常重要的。如果缺少了这个关键条件进行报告将被抑制，同时公司也将不能得到保持其高效、安全运行所需的信息。作为一种特殊情况，如果公司不能对员工的报告免于惩罚，那么公司要表明：对员工报告的信息不予考虑。这是下述两种情况之间的一种选择：鼓励积极的报告以推进公司运行；激怒那些具有丰富的专业知识和操作公司内所有设备的人员。 5.2 资源对于那些组织SMS的人员来说，信息系统是其工作的起点。由于航空操作的特点和航空中安全工作的历史，已经存在了许多报告系统。规划者的当务之急就是识别哪些系统在运行着。完成了这个工作，规划者可以确定将信息传送到指定地点的方法并且对信息进行分析。 当然，可能需要建立新的信息系统，但是首先要利用已经存在的系统。例如飞行品质监控（FOQA）、航空安全行动计划（ASAP）、服务困难报告（SDRs），因为许多航空运营人已经在利用这些系统上的信息。他们所作的工作十分出色，他们展示了公司运行的真实情况。 记住：从小的事故症候或事件中收集信息是十分重要的，因为只要环境有一点改变这些小事件就会变成事故。在你所报告的事件的下面么能存在一个冰山。 SMS规划者需要拥有一个高质量的灾难分析和报告系统。灾难调查的关键不仅仅是完成调查报告，而是认识需要采取什么措施以防止其再次发生。灾难报告后要进行风险管理。灾难报告是循环的一部分。

帅哥

在下面的例子中，风险被分为四类：

高度的	红色
严重的	黄色
中等的	蓝色
低级的	绿色

在风险评估矩阵的其他版本中，你可以看到组织所采用同样的排序思想，它们的理论和用法都是一样的，只是表现形式不同。 当一个危险是灾难性且即将发生时，决定其应该采取措施相对简单。同样的，当一个危险是可忽略且不可能发生时，它将会放到最后处理。像这样的危险可能被放在一边，以后再考虑—通过适当的决策的文件。然而，在这两个极端之间的风险评估领域非常广泛，且这个领域涉及到风险可接受性的价值判断和决策。风险评估矩阵是用来决定哪些危险值得采取措施的工具。它是将一个危险的风险与另一个危险的风险联系起来的一种手段。 在实际当中当风险评估组确定采取的措施即简单又经济，那么采取这些措施不会有任何异议。通常简单的措施会执行的很快，而是否采取复杂的措施会争论不休。 4.3.1 风险价值判断在某些阶段，进行决策过程中要考虑组织的价值和个人的判断，同时你还要考虑： ·被估价的风险的重要性， ·相关的社会、环境和经济方面的考虑， ·采取措施和不采取措施的潜在的代价。 作为判断的一部分，你要深入了解你所在环境。当然你需要将风险看成一种物理环境，但是同时你还要准确了解组织的运行环境。例如：管理当局应用于危险的政策、措施和偏见是什么？组织的哪些部门将进行危险的缓解？公众承担危险及其相关风险时的感觉是什么？有时上述这些问题使风险管理组更改了最初的目标。 4.3.2 风险接受风险评估组要建立并将对危险及其风险的理解形成文件。通过以上了解，评估组要制定危险缓解措施，然后开始进行风险管理最难处理的部分—确定风险的可接受水平。 当然，我们希望消除所有危险及其风险，但是经验告诉我们完全消除或控制风险是不可行的或是不现实的。这就意味着存在适用于风险的可接受水平。 当超越可接受水平时技术专家可以促使决策者付诸行动。有时决策者对风险不予考虑或直到应该进行决策时他们才采取行动。然而，决策者最好参与风险评估过程，这样他们可以获得丰富的相关知识。 这就是为什么风险评估组要彻底的将调查和结论形成文件的重要性。所有这些要对决策者进行解释，有时是对管理当局甚至是公众。 对于决策者，他们的风险管理要回答两个问题： 1.我将直接接受哪些风险？ 2.我将间接接受哪些风险？ 这些问题不是很容易回答，也不应该容易回答。决策都不是信口开河的。决策是建立在风险评估的基础上的，而风险评估是建立在决策者对组织运行环境深入了解基础上的。决策者可能让评估组重新评估或做其它更多的工作。然而，如果危险是即将发生且灾难性时这可能不是个好主意。风险评估组需要清楚的描述其建议的重要性。 当决定了可接受的风险和相应的措施后要马上形成文件。形成文件主要有如下两个目的： 1.文件显示了可接受风险的基本原理。当出现问题时决策者需要利用到这个材料。 2.文件保存了风险评估和风险接受工作，以备以后察看。这使以后的评估者不用再从零开始评估工作，这个文件显示了以前的工作状态。 运营人通过建立下表所示的方法回应决策问题，

评 估	跟踪措施	沟 通	对其他人的建议
不可接受的	·停止运行 ·进行定量的工程和运行安全风险评估	管理当局 制造商 其他运营人 管理人员和员工	警告所有人
不受欢迎的	·限制操作 ·进行详细的定量的和/或定性的工程&运行风险评估	管理当局 制造商 其他运营人 管理人员和员工	警告所有人
采取措施时可接受	·按照要求限制操作 ·制定解决问题的详细的措施计划	管理人员和员工	提醒管理者和员工
监控时可接受	·制定监控参数 ·为评估设置时间限制	管理人员和员工	提醒管理者和员工
可接受的	·风险情况监控	管理人员和员工	建议管理者和员工

图11—决策矩阵例子 上面这个矩阵是一个组织如何衡量与危险的风险有关的危险控制措施的例子。这个格式是强调的重点，而内容可以根据组织的需要进行变化。 4.4 危险控制和缓解当风险评估过程完成的时候，SMS开始采取措施缓解和控制该危险。运营人系统的分配资源，通过实施危险控制将损失最小化。随着航空业对飞行手册、航空器手册、事故症候响应组、命令/领导层/资源方案进行的无数次的控制以及对航空器进行的小的改动，我们在危险控制方面已经有了很多经验。 4.4.1 危险控制/缓解当一个公司建立和实施危险控制时要考虑了一些问题。一个问题就是所采取的控制是否和危险有关。另一个是危险减缓措施是否会产生其他问题。例如：宣布建立一个新的报告系统可能不会对缓解危险起多大的作用，即使它预期的结果非常好。危险控制产生其他问题的例子就是1970s安装在运输航空器架舱中的多重报警系统，它包括许多铃声、叫声、钟鸣声、鸟叫声、人声等，这些声音扰乱了飞行员获得其他所需的信息。人为因素研究在信息传递方面的进展再80s到90s间被引入了驾驶舱设计中。 4.4.2 系统安全优先次序当公司采取措施进行危险控制的时候，他们需要按照一个标准的危险控制优先次序进行。简单的说，控制危险的最令人满意的方法是在设计时不把包括在内。而控制风险最没效率的方法是贴一张警示布告或安全海报。下面我们列出了危险控制的所有优先次序。 一级 — 设计时将危险排除在外-修改系统 二级 — 防护装置或屏障-阻止风险发生 三级 — 当危险将要发生时发出警报或预警信号 四级 — 程序和/或培训改变 五级 — 警告（布告，通知等） 这个想法是依靠人的加入和干涉将安全融入到组织中并且将风险最小化。认识到加入警告或报警装置会增加系统的复杂性，甚至产生他危险。在上面三级—五级中，人员行为是危险控制的基础，人员行为也是可依赖的控制措施中最不可靠的。 4.5 核实在风险管理中有两个部分可以使系统循环。一个是下一节讨论的危险信息系统。另一个是管理者确认危险控制措施在按照预期计划进行实施。特别是在大公司中，你不能设想发布命令实施危险控制/缓解措施意味着这些措施真的实施了，或计划时就已经实施了，或按照计划的方式进行实施。最简单的方法是，“核实，核实！” 当实施控制措施的时候，公司需要通过建立危险及其控制的跟踪系统使系统保持循环。这个系统服务于很多目标，这些目标都是为了保持公司的效率和保存资源。这不是简单的“使之工作。”随着时间的发展、缓解措施效果的变化或操作环境的变化，你将发现你不得不更改操作或过程。

帅哥

4.2 风险管理一旦得知某个危险的风险出现的可能性很高，就要马上描绘出这个风险意味着什么。然后要决定对该风险采取的措施。 风险评估矩阵是风险评估的基本工具。该矩阵将危险与风险的可能性和严重性联系在一起。可以根据用途进行细化，但是并不用提供比现实中更多的细节。当存在大量数据的时候，可以有五个到六个级别的可能性和严重性。当缺乏数据时，或进行定性分析时，更适合采用不复杂的矩阵（矩阵分为小型、中型、大型）。不要只采用5×5或2×2矩阵。要根据需要和信息量建立矩阵。 4.3 风险评估矩阵下面是几个风险矩阵的例子，一个是加拿大的另外一个是英国的。一个从左向右排列，另外一个从右向左排列。各自的格式并不重要，因为他们展示了同样的信息。在重申一下，采用对你和评审该矩阵的人有意义的格式。 风险评估矩阵例1

严重性	5 4 3 2 1	5	10	15	20	25
		4	8	12	16	20
		3	6	9	12	15
		2	4	6	8	10
		1	2	3	4	5
		1	2	3	4	5
		可能性

图9—5X5风险评估矩阵

典型的，我们描述严重性和可能性的级别按照“从高到低”的顺序，如

严重性	可能性/频率
5— 灾难性的	5— 一定/即将发生
4— 严重的	4— 很可能的
3— 较大的	3— 可能的
2— 较小的	2— 偶然的
1— 可忽略的	1— 遥远的/不可能的

对于被评估的严重性和可能性，典型的回应顺序如下：

	不可接受的
	不受欢迎的
	可接受—要采取措施
	在受监视下可接受
	可接受

风险矩阵的任务之一就是为每一个风险设定一个通俗的级别。在有些情况下，可以用数字的形式进行描述，但是多数情况下是纯口头描述。风险等级的定义必须达成一致。 风险评估矩阵例2

可能性	严重性
	灾难性的	严重的	不严重的	可忽略的
频繁的
很可能的
偶然的
遥远的
不可能的

严重性有四个等级，可以用美元、损伤或其他概念进行描述。 可能性分为五个组。这些可以进行定量评价，有些人用数字表示可能性/严重性的等级。例子如下：

频繁的	1.0
很可能的	1.0 （千分之一）
偶然的	1.0 （十万分之一）
遥远的	1.0 （千万分之一）
不可能的	1.0 （十亿分之一）

帅哥

第4章 风险管理“我们不知道如何预测在特定的环境中将会发生什么。我们唯一能预测的是发生不同事件的可能性。我们只能预测几率”

　　　　　　　　　　　　　　诺贝尔物理学得主：Richard P. Feynman

风险管理可以被定义为控制和减小风险和接受剩余风险的管理决策的制定过程。

如果一个人想管理风险，他需要认识到一些水平的风险是可以接受的。按照上面的观点，安全意味着划清可接受风险和不可接受风险的界限，然后在现实中按照这种差异进行工作。

航空公司、员工和管理当局都按照各自的基于个人的理解、经验、公众压力和周围环境的不同风险概念运行着。如果不同的风险策略和观点存在，那么意见不同是难以避免的，同时也会严重影响公司的运营。如果三个参与者能够在风险的观念上达成一致，运行过程会变得顺畅和高效。

4.1 风险评估

风险通常被赋予了特定的危险，可以通过很多种方法认识危险。我们可以通过事故、人天生的推断和预测能力、从运行环境中收集信息等方法了解风险。附录3丰富了安全风险评估中所用的风险评估方法。

在SMS中，当我们的工作中有确定的风险的时候，在我们采取措施处理该问题之前要对它进行评估或分析。许多年前的一些传统的安全活动已经在查找危险上作了很多工作。但是精力、时间和资金方面的投入很有限。 在SMS中，运营人和员工在危险探测和风险管理方面相互合作。同时，他们对危险带来的风险进行评估并就风险的可接受水平达成一致。通过确定危险的可能性和严重性评价每一个风险。换句话说，雇主和员工通过定性的和定量的信息计算出“发生的严重性”和“发生的可能性”。 定量的信息使评估变得非常容易进行并具有说服力，但是通常这种信息很少。在这种情况下，我们必须依靠经验和专业意见等定性的信息。当然，这样使评估很难得到结果，但是评估结果如果是通过知识丰富的评估员讨论得到的那么评估结果是有效的。当风险评估结果是源于某一个专家的意见或每个独立的事例，那么该评估结果不如考虑了一组有经验的专家的意见所得的结果有效。 4.1.1 风险评估中的问题当一个公司开始进行风险评估的时候，它需要知道运营过程中那些地方存在问题。这将给航空公司带来很好的结果—对危险的有益的调查。 输入 信息缺乏—风险评估汇总的一个明显的问题是缺少信息。危险数据可能是不足的，有时评估危险的可能性和严重性的第一步可能是集中力量调查收集资料。 测量误差—在测量危险可能性和严重性的时候有可能出现误差。像测量其他事情一样，要仔细并且选用合适的测量方法。 不确定因素—有很多类型的不确定因素困扰着风险评估。 ·原因和结果中的不确定因素—引入经验丰富人员的意见时存在偏差。 ·人员和管理上的不确定因素—通常认为风险来自于硬件。人为因素难以进行清晰明确的分析。 ·预测将来时的不确定因素—当评估员需要对事物的发展进行预测时专家的意见是有价值的。 这些不确定因素是正常的。事实上，这些是管理活动（包括评估）的典型状况。这些不能被避免，但是评估组可以尽最大努力解决好这些问题。 动机 风险管理的动机和动力包括公司的缺陷。风险评估者至少需要按照一套经过思考的（而不是仓促的、非法的）有组织的、系统的方法进行。 更进一步说，当需要时评估过程要建立在恰当的假设的基础上。一个人能够预测正常条件下使设备降级的磨损，但是如果设备是在高海拔、高温和风沙环境下工作这种预测还是有效的么？ 风险评估者面对的最基本的问题之一就是资源。当有充足资源（或资源预期可用）为基础的时候，而不是给定了危险相关风险时，风险评估会变得很简单。这一点可以总结为：“无论存在什么问题，结论是只要有资源……..”。 修正 在风险评估中，对我们所描述的评估结果进行修正是非常重要的。在大多是情况下，最有价值的事情是详细记录风险评估的过程，然后说明不确定因素存在的位置。这包括得出风险评估结论时的思考过程。如果你只有一个数据点，解释如何由有限的数据推断出风险是非常有意义的。如果采取的措施源于推测而不是分析，那么这样要求的措施是没有根据的。迄今为止你唯一能做的就是宣布：“天要塌下来了”。这样将无法得到和维持管理者和员工的信任。

帅哥

3.2.3 程序和措施公司的程序和措施是公司发展的路线和节奏。在制定程序和措施的时候，SMS设计者需要： ·确定任务、资源、职责、从上到下的责任以及报告途径、不同部门间的协调。确定由哪些人组成安全委员会和他们要实现的目标。 ·与其它管理系统进行兼容和整合，从而避免对公司管理过程的彻底改造。这就涉及到SMS设计者的可信度的问题。适当时，尽量多的合并现有的管理系统以减轻 “建立势力范围”的猜疑。 3.2.4 控制航空公司需要实施控制并将其作为SMS的一部分。这就意味着当评估安全状况时，有用于实施纠正措施的标准方法。管理层应该识别和处理运行中偏离安全目标的情况。内部审核和检查是实现安全目标和发现不足的有意义的方法。它的可取之处是，在外部组织干涉之前公司就发现并处理了自身的问题。 3.2.5 安全管理人员的任务尽管名称经常发生变化，但是航空公司仍需要任命一名人员和员工向责任主管就安全问题和不足提出建议。安全管理人员帮助责任主管监控SMS运行情况。安全管理人员向公司管理人员提供损失预防方法和技术方面的专业知识。 在确定安全管理人员的工作时，SMS设计者必须意识到安全管理人员和／或安全部门不执行SMS，而是航空公司的管理者执行SMS。安全部门可以收集和分析危险和风险信息，但是制定和实施危险缓解措施是航空公司管理者的职责。 安全管理部门能够提供的一个最重要的服务是“反馈环”。SMS和系统安全的本质部分是信息环，用于监控危险处理工作的进展情况。管理者注重细节小事和预测他们将被规定作的事情是没有意义的。好主意可能不被实施，环境可能发生改变，规定可能被误用。无论是什么原因，公司调整其应对危险的方法是正常的。要进行正确的调整就要求信息能够准确的反映公司运行的状况。 3.2.6 员工的任务SMS的改革之一是员工积极的和持续的加入到安全目标实现中来。依据你的经验和偏见，把员工包括进来看起来很正常或很不正常。重要的是要意识到员工具有丰富的实地工作经验。他们是公司“轮胎在哪接触路面”的一部分。理解这些是建立和维持安全文化的一部分。 理解了上面的内容，SMS政策和程序需要着眼于： ·员工需要知道和理解SMS的要求，特别的，以及无惩罚的安全信息和报告的相关规定 ·员工的操作知识非常丰富，并且是运行偏离报告的来源　 ·当某个员工报告安全信息的时候，其可以得到采取的措施或不采取措施的反亏及解释 ·重要的员工将进行SMS的培训 ·公司需要建立和实施员工／雇主之间的协议以支持SMS，并确保报告保护措施的实施。如果公司或管理当局不对员工报告采取任何保护措施，期望员工进行报告是不现实的。每个报告都是“数据点”。公司需要数据以保持其高效运行。 公司需要将员工正常的工作活动和有目的的破坏行为区分开。员工的有意破坏行为应得到直接的处理措施。这与员工进行安全报告，但报告中包含的是一些正常的活动并误导了公司的关注点有所不同。在前者，安全问题与需要进行处理的故意行为不同。在后者，公司或管理当局要采取措施，通过免于惩罚鼓励进行安全报告。

帅哥

3.2 管理框架SMS主要依靠高层管理者，它需要相关的政策、程序和规划。幸运的是，这些都是管理者的常规职能。 一个新成立的公司不得不从头开始建立各种东西，而已经存在的公司早已经有了管理框架和相关措施。这对于已经存在的公司既是优点又是缺点。它允许已经存在的公司将现有的措施和资源集中起来为SMS服务，但是它同时要承受公司已经存在理念和功能混乱。 对于任何公司，建立SMS的第一步都是相同的： 3.2.1 责任主管SMS按照责任主管指引的方向发展，所以公司必须首先决定哪个管理者可以作为责任主管。这个选择和任命必须按照公司政策规定的流程进行。责任主管的任命必须与管理当局指导公司运行的理念相一致。选择一个有名无实的管理者是毫无意义的。因为责任主管关系到收入、资产运用、生产率和公司的财政健康，所以SMS从建立开始要由同一个人负责。 政策 公司必须制定政策来规定SMS的目标和明确SMS在全公司范围内进行实施。政策需要规定：必须制定安全目标且该目标是可测量的。管理层对安全目标负责并有责任实现该目标。该政策促进和包括了公司所有管理者和员工，同时还规定了组织和个人的职责。 要实施高效的SMS你必须确定： １． 组织的安全目标， ２． SMS采取什么样的形式， ３． 谁具有什么样的职责？ 政策明确了公司在安全方面将采取主动的方法，而不是被动的：

主 动	被 动
·安全报告是主动的 ·系统调查是主动的 ·建议操作的风险评估是主动的 ·当前操作（不是由事故症候或事件引发的）的风险评估是主动的	·事故调查是被动的 ·事故症候调查是被动的 ·错误管理是被动的 ·偏离分析是被动的

3.2.2 计划SMS不会在一夜间建立起来。公司需要一个将现有运行模式转换　到SMS的计划。该计划确定转变现有工作、建立公司新的工作和程序（某些地方、某个时间所需要的）所需的时间。如果一个小的公司仅在有限的区域内运行少量的航空器，则在该公司建立SMS只需几个月的时间，而拥有许多航空器且运行范围非常广泛的大公司建立SMS需要几年的时间。附录2概括了一个在航空公司建立SMS的方法。 制定该计划的周期决定于两个重要因素： 1. 责任主管的推动， 2. 公司中已经存在的SMS要素的数量。 像公司其他计划一样，SMS计划也要求具有目标、里程碑和确定的步骤来具体描述SMS的建立过程。公司的各个部门在确定需要做什么和做的速度（与其他部门合作）时都具有现实意义。 计划规定了对哪些专业要进行培训，但是对这些培训的需求是非常有限的。SMS利用了原来的管理者和专业人员，所以一些常规培训是不需要的。制定和调整整体计划的人员需要进行培训，但不包括一般工作人员。随着SMS的建立，培训的需要将会越来越明显，但是这些培训可以像常规培训那样进行就可以实现。计划建立一个SMS，而不是生搬硬套。