航空公司安全管理系统（SMS）

帅哥

4.2 风险管理一旦得知某个危险的风险出现的可能性很高，就要马上描绘出这个风险意味着什么。然后要决定对该风险采取的措施。 风险评估矩阵是风险评估的基本工具。该矩阵将危险与风险的可能性和严重性联系在一起。可以根据用途进行细化，但是并不用提供比现实中更多的细节。当存在大量数据的时候，可以有五个到六个级别的可能性和严重性。当缺乏数据时，或进行定性分析时，更适合采用不复杂的矩阵（矩阵分为小型、中型、大型）。不要只采用5×5或2×2矩阵。要根据需要和信息量建立矩阵。 4.3 风险评估矩阵下面是几个风险矩阵的例子，一个是加拿大的另外一个是英国的。一个从左向右排列，另外一个从右向左排列。各自的格式并不重要，因为他们展示了同样的信息。在重申一下，采用对你和评审该矩阵的人有意义的格式。 风险评估矩阵例1

严重性	5 4 3 2 1	5	10	15	20	25
		4	8	12	16	20
		3	6	9	12	15
		2	4	6	8	10
		1	2	3	4	5
		1	2	3	4	5
		可能性

图9—5X5风险评估矩阵

典型的，我们描述严重性和可能性的级别按照“从高到低”的顺序，如

严重性	可能性/频率
5— 灾难性的	5— 一定/即将发生
4— 严重的	4— 很可能的
3— 较大的	3— 可能的
2— 较小的	2— 偶然的
1— 可忽略的	1— 遥远的/不可能的

对于被评估的严重性和可能性，典型的回应顺序如下：

	不可接受的
	不受欢迎的
	可接受—要采取措施
	在受监视下可接受
	可接受

风险矩阵的任务之一就是为每一个风险设定一个通俗的级别。在有些情况下，可以用数字的形式进行描述，但是多数情况下是纯口头描述。风险等级的定义必须达成一致。 风险评估矩阵例2

可能性	严重性
	灾难性的	严重的	不严重的	可忽略的
频繁的
很可能的
偶然的
遥远的
不可能的

严重性有四个等级，可以用美元、损伤或其他概念进行描述。 可能性分为五个组。这些可以进行定量评价，有些人用数字表示可能性/严重性的等级。例子如下：

频繁的	1.0
很可能的	1.0 （千分之一）
偶然的	1.0 （十万分之一）
遥远的	1.0 （千万分之一）
不可能的	1.0 （十亿分之一）

帅哥

在下面的例子中，风险被分为四类：

高度的	红色
严重的	黄色
中等的	蓝色
低级的	绿色

在风险评估矩阵的其他版本中，你可以看到组织所采用同样的排序思想，它们的理论和用法都是一样的，只是表现形式不同。 当一个危险是灾难性且即将发生时，决定其应该采取措施相对简单。同样的，当一个危险是可忽略且不可能发生时，它将会放到最后处理。像这样的危险可能被放在一边，以后再考虑—通过适当的决策的文件。然而，在这两个极端之间的风险评估领域非常广泛，且这个领域涉及到风险可接受性的价值判断和决策。风险评估矩阵是用来决定哪些危险值得采取措施的工具。它是将一个危险的风险与另一个危险的风险联系起来的一种手段。 在实际当中当风险评估组确定采取的措施即简单又经济，那么采取这些措施不会有任何异议。通常简单的措施会执行的很快，而是否采取复杂的措施会争论不休。 4.3.1 风险价值判断在某些阶段，进行决策过程中要考虑组织的价值和个人的判断，同时你还要考虑： ·被估价的风险的重要性， ·相关的社会、环境和经济方面的考虑， ·采取措施和不采取措施的潜在的代价。 作为判断的一部分，你要深入了解你所在环境。当然你需要将风险看成一种物理环境，但是同时你还要准确了解组织的运行环境。例如：管理当局应用于危险的政策、措施和偏见是什么？组织的哪些部门将进行危险的缓解？公众承担危险及其相关风险时的感觉是什么？有时上述这些问题使风险管理组更改了最初的目标。 4.3.2 风险接受风险评估组要建立并将对危险及其风险的理解形成文件。通过以上了解，评估组要制定危险缓解措施，然后开始进行风险管理最难处理的部分—确定风险的可接受水平。 当然，我们希望消除所有危险及其风险，但是经验告诉我们完全消除或控制风险是不可行的或是不现实的。这就意味着存在适用于风险的可接受水平。 当超越可接受水平时技术专家可以促使决策者付诸行动。有时决策者对风险不予考虑或直到应该进行决策时他们才采取行动。然而，决策者最好参与风险评估过程，这样他们可以获得丰富的相关知识。 这就是为什么风险评估组要彻底的将调查和结论形成文件的重要性。所有这些要对决策者进行解释，有时是对管理当局甚至是公众。 对于决策者，他们的风险管理要回答两个问题： 1.我将直接接受哪些风险？ 2.我将间接接受哪些风险？ 这些问题不是很容易回答，也不应该容易回答。决策都不是信口开河的。决策是建立在风险评估的基础上的，而风险评估是建立在决策者对组织运行环境深入了解基础上的。决策者可能让评估组重新评估或做其它更多的工作。然而，如果危险是即将发生且灾难性时这可能不是个好主意。风险评估组需要清楚的描述其建议的重要性。 当决定了可接受的风险和相应的措施后要马上形成文件。形成文件主要有如下两个目的： 1.文件显示了可接受风险的基本原理。当出现问题时决策者需要利用到这个材料。 2.文件保存了风险评估和风险接受工作，以备以后察看。这使以后的评估者不用再从零开始评估工作，这个文件显示了以前的工作状态。 运营人通过建立下表所示的方法回应决策问题，

评 估	跟踪措施	沟 通	对其他人的建议
不可接受的	·停止运行 ·进行定量的工程和运行安全风险评估	管理当局 制造商 其他运营人 管理人员和员工	警告所有人
不受欢迎的	·限制操作 ·进行详细的定量的和/或定性的工程&运行风险评估	管理当局 制造商 其他运营人 管理人员和员工	警告所有人
采取措施时可接受	·按照要求限制操作 ·制定解决问题的详细的措施计划	管理人员和员工	提醒管理者和员工
监控时可接受	·制定监控参数 ·为评估设置时间限制	管理人员和员工	提醒管理者和员工
可接受的	·风险情况监控	管理人员和员工	建议管理者和员工

图11—决策矩阵例子 上面这个矩阵是一个组织如何衡量与危险的风险有关的危险控制措施的例子。这个格式是强调的重点，而内容可以根据组织的需要进行变化。 4.4 危险控制和缓解当风险评估过程完成的时候，SMS开始采取措施缓解和控制该危险。运营人系统的分配资源，通过实施危险控制将损失最小化。随着航空业对飞行手册、航空器手册、事故症候响应组、命令/领导层/资源方案进行的无数次的控制以及对航空器进行的小的改动，我们在危险控制方面已经有了很多经验。 4.4.1 危险控制/缓解当一个公司建立和实施危险控制时要考虑了一些问题。一个问题就是所采取的控制是否和危险有关。另一个是危险减缓措施是否会产生其他问题。例如：宣布建立一个新的报告系统可能不会对缓解危险起多大的作用，即使它预期的结果非常好。危险控制产生其他问题的例子就是1970s安装在运输航空器架舱中的多重报警系统，它包括许多铃声、叫声、钟鸣声、鸟叫声、人声等，这些声音扰乱了飞行员获得其他所需的信息。人为因素研究在信息传递方面的进展再80s到90s间被引入了驾驶舱设计中。 4.4.2 系统安全优先次序当公司采取措施进行危险控制的时候，他们需要按照一个标准的危险控制优先次序进行。简单的说，控制危险的最令人满意的方法是在设计时不把包括在内。而控制风险最没效率的方法是贴一张警示布告或安全海报。下面我们列出了危险控制的所有优先次序。 一级 — 设计时将危险排除在外-修改系统 二级 — 防护装置或屏障-阻止风险发生 三级 — 当危险将要发生时发出警报或预警信号 四级 — 程序和/或培训改变 五级 — 警告（布告，通知等） 这个想法是依靠人的加入和干涉将安全融入到组织中并且将风险最小化。认识到加入警告或报警装置会增加系统的复杂性，甚至产生他危险。在上面三级—五级中，人员行为是危险控制的基础，人员行为也是可依赖的控制措施中最不可靠的。 4.5 核实在风险管理中有两个部分可以使系统循环。一个是下一节讨论的危险信息系统。另一个是管理者确认危险控制措施在按照预期计划进行实施。特别是在大公司中，你不能设想发布命令实施危险控制/缓解措施意味着这些措施真的实施了，或计划时就已经实施了，或按照计划的方式进行实施。最简单的方法是，“核实，核实！” 当实施控制措施的时候，公司需要通过建立危险及其控制的跟踪系统使系统保持循环。这个系统服务于很多目标，这些目标都是为了保持公司的效率和保存资源。这不是简单的“使之工作。”随着时间的发展、缓解措施效果的变化或操作环境的变化，你将发现你不得不更改操作或过程。

帅哥

第5章 危险信息系统有很多理由表明SMS必须包括危险信息系统： u 信息系统使公司注意到那些未发现的危险， u 信息系统察看危险控制措施是否得到了预期的结果、相反的结果或没有任何结果。这同时是一个“跟踪系统”， u 信息系统为公司提供了将员工包括在安全方案中的方法—假定提交报告的员工得到积极的反馈信息。 u 信息系统可以进行数据分析以帮助评估风险的严重性和可能性。 5.1 要求恰当的危险信息系统取决于公司的规模和组织结构以及在系统外部是否存在为公司服务的报告系统。例如NASA管理的航空安全报告系统（ASRS）满足了一些公司的需要，公司都想使内部报告适应公司内部的环境。 在任何情况下，如果报告包括员工的报告和／或自我揭发，员工不会因为提交报告而受到惩罚是非常重要的。如果缺少了这个关键条件进行报告将被抑制，同时公司也将不能得到保持其高效、安全运行所需的信息。作为一种特殊情况，如果公司不能对员工的报告免于惩罚，那么公司要表明：对员工报告的信息不予考虑。这是下述两种情况之间的一种选择：鼓励积极的报告以推进公司运行；激怒那些具有丰富的专业知识和操作公司内所有设备的人员。 5.2 资源对于那些组织SMS的人员来说，信息系统是其工作的起点。由于航空操作的特点和航空中安全工作的历史，已经存在了许多报告系统。规划者的当务之急就是识别哪些系统在运行着。完成了这个工作，规划者可以确定将信息传送到指定地点的方法并且对信息进行分析。 当然，可能需要建立新的信息系统，但是首先要利用已经存在的系统。例如飞行品质监控（FOQA）、航空安全行动计划（ASAP）、服务困难报告（SDRs），因为许多航空运营人已经在利用这些系统上的信息。他们所作的工作十分出色，他们展示了公司运行的真实情况。 记住：从小的事故症候或事件中收集信息是十分重要的，因为只要环境有一点改变这些小事件就会变成事故。在你所报告的事件的下面么能存在一个冰山。 SMS规划者需要拥有一个高质量的灾难分析和报告系统。灾难调查的关键不仅仅是完成调查报告，而是认识需要采取什么措施以防止其再次发生。灾难报告后要进行风险管理。灾难报告是循环的一部分。

帅哥

第6章 结论既然你已经知道了组成SMS的基本要素，你将知道两个关键点： ·管理者要进行承诺并得到员工的支持， ·如何将SMS规划形成一个整体。 6.1 “从上到下”的变化在航空公司运行SMS时是一个从上到下的过程。责任主管推动计划的实施并将计划付诸于行动。在具体实施计划前需要做大量的准备工作。 公司的SMS政策要和公司的组织机构及其想要达到的目标相适应，所以就要考虑公司需要什么样的政策以及公司各部门的任务是什么。确定各部门的任务时要与整个公司组织机构内进行沟通。进行这些工作的时候必须清楚地了解公司的环境。了解公司环境时要考虑地理、气候、人员及其教育程度、管理当局、顾客群等因素。公司环境的每个方面都对公司提出了要求。所有这些方面影响着公司的运营安全。 6.2 “从下到上”的变化实施SMS的一些初期工作十分简单。这个“从下到上”工作就是察看航空公司内哪些已经存在的措施、方案可以并入SMS规划中。 今天，大多数航空公司拥有一些内部的安全报告系统和用于质量保证、维修记录和设备故障的信息系统。类似的信息也存在于行业部门、管理当局等公司外部机构中。在一些地方已经存在了无惩罚的安全报告系统。需要指出的是：SMS 不是重新建立一个系统，而是将公司的各个部门进行的联系在一起。 1. 首先，弄清楚你已经具有了什么， 2. 其次， 确定你需要什么，然后 3. 第三，弥补“具有”和“需要”之间的差距 6.3 安全问题—商业问题SMS提供了提高航空公司的效率和效力的最好方法。它促进了内部资源的调整。它的全面性改善了航空公司与管理当局的协调关系。SMS加强了公司的商业规划，所以安全问题就是商业问题。 当实施SMS时，航线管理是安全目标中最主要的部分，同时也是安全措施最有效的地方。在这一点上，安全变成了公司运行过程的一个完整的部分，而不是形同虚设。SMS将安全从商业外围转移到了商业的核心—保证公司高效的进行损失控制和充分利用资源。安全是商业计划的一部分。SMS是一单最好的生意。 SMS在国际飞行员协会（ALPA）的安全理念下高效的工作：　　　 ·识别可能导致事故、事故症候和危险事件的危险活动、情况、系统缺陷或程序缺陷。 ·对识别出的危险的风险进行分析。 ·进行以人为本的系统、系统组成和程序设计以建立和维持一个可接受的风险水平。 我们坚信SMS能够实现ALPA的座右铭：“Schedule with Safety”。 参考书目

商业资源

Managing the Risks of Organizational Accidents - James Reason

System Safety Engineering and Management – Roland and Moriarty

Managing Risk - Vernon Grose

Down to Earth - Forest L. Reinhardt

Managing Risk - Alan Waring and A. Ian Glendon

Modern Management - Pierre G. Bergeron

Systematic Safety Management in the Air Traffic Services - Richard Profit

Aviation Safety Programs - Richard H. Wood

Modern Safety Management - Det Norske Veritas

Normal Accidents - Charles Perrow

Sustainable Forestry Initiative Standard - American Forest & Paper Association

Responsible Care - American Chemistry Council

管理当局资源

Introduction to Safety Management Systems – Transport Canada

Safety Management Systems for Flight Operations and Aircraft Maintenance

Organizations – a Guide to Implementation – Transport Canada

Risk Management and Decision-Making in Civil Aviation – Transport Canada

Aviation Safety Management - Civil Aviation Authority, AustraliaSMS资料的来源

来 源	联系方式	资 料
Air Line Pilots Association	SMS Group Engineering & Air Safety Department 535 Herndon Parkway Herndon, VA 20171 USA 703-689-4369/4198 Steve Corrie / Bill Edmunds	SMS Information packet, Executive and Basic SMS Introduction presentations, Two-day SMS raining session, Half-day Safety Risk assessment training session,Combined two and a half day SMS / SRA training
Transport Canada	Information: Jacqueline Booth-Bourdeau Chief, Technical and National Programs 330 Sparks Street, floor 2 (AARPF) Ottawa, ON K1A 0N8 Tel: 613-952-7974 E-mail: boothbj@tc.gc.ca Texts: Transport Canada Civil Aviation ommunications Centre (AARC) Place de Ville, Tower C Ottawa ON K1A 0N8 (ph) 800-305-2059 (fax) 613-957-4208 http://www.tc.gc.ca/aviation/ applications/publications/ results.asp	SMS texts: Introduction to Safety Management Systems TP 13739 E (04/2001)Safety Management Systems for Flight Operations and Aircraft aintenance Organizations – TP 13881E (03/2002) Risk Management and Decision Making in Civil Aviation – TP 13095(03/2001)
System Safety Society	P. O. Box 70 Unionville, VA 22567-0070 USA 540-854-8630 http://www.system-safety.org	Products and Services:System Safety Analysis Handbook, Proceedings of the International System Safety Conferences, Journal of System Safety List of “links” to System Safety sources
Federal Aviation Administration	Office of System Safety (ASY-100)800 ndependence Ave., SWWashington, DC 20591202-267-7011
Useful Texts	System Safety Engineering and Management – 2nd Edition	Harold E. Roland and Brian Moriarty; John Wiley & Sons, Inc.; New York, 1990

帅哥

附录1 SMS矩阵这个矩阵描述了SMS的各种组成要素，包括项目的三个参与者—运营人，员工和管理当局。

帅哥

图13—SMS基本组成矩阵

*垂直方向内容适用于SMS的每一个参与者。按照从组织活动、风险管理到信息收集活动的顺序从上到下进行。 **接下来从水平方向看这个矩阵。每个参与者在SMS中进行类似的和相互关连的活动。每个参与者之间的活动互为补充相互关联。

详细的SMS组成要素矩阵

SMS活动	参 与 者
	运营人（航空公司）	员工（ALPA）	管理当局(FAA.TC等
I.组织	—文件化的SMS 明确的，文件化的项目构成 系统的、持续的安全风险管理活动 —管理者的任务 责任主管—指定并记录在案 对各个层次上的“损失控制”确定明确的责任 在经过安全培训的人员的协助下进行正式的、常规的危险/损失控制管理审查 确定经过安全培训的人员的领导 —文件化的政策（涵盖整个公司） 　风险接受政策 —员工的任务 　确保全员参与 　充分利用员工工作经验基础上的危险发生和危险控制的专业意见	—文件化的SMS 　正式的加入到运营人的ＳＭＳ中去 —管理者的任务 　参与建立ＳＭＳ 　参与常规ＳＭＳ有效性审查 　经过培训的安全人员／领域的专家要与管理人员保持联系 —文件化的政策 合同／ＬＯＡ／ ＳＭＳ措施的ＭＯＵ文件／职责 —员工的任务 培养或提供领域的专家以进行危险分析和控制活动	—文件化的SMS 　详细明确的、咨询性的材料 —管理者的任务 　与运营人的ＳＭＳ保持密切联系 　对行业危险／损失控制活动进行常规的审查 　提供经过安全培训的人员 　按照SMS模型、技术和用法知道政府和行业部门 —文件化的政策 为运行人建立SMS而推荐的标准 评审运营人SMS活动的框架，ATOS、CSET等 —员工的任务 准备一线工作人员进驻并培育一个SMS的环境
II.风险管理活动	—危险探测系统 —危险分析系统 公司内部的研究小组（纵向的）充分利用各种专家的意见和技术 —分析评估系统 —危险控制系统 建立并实施适当的危险控制 当专业经验显示有必要时对控制进行更改 —危险控制跟踪系统 确认危险控制的实施 确认危险控制的效果	—危险探测系统 —危险分析系统 参与危险分析活动 —分析评估系统 —危险控制系统 参与控制的建立 协助运营人实施控制 —危险控制跟踪系统 参与危险和危险控制的反馈 报告危险态势	—危险探测系统 监督，如ATOS 对运营人和行业信息进行内部评价 —危险分析系统 管理当局内部（纵向的）的分析小组 行业外部分析小组 —分析评估系统 —危险控制系统 规章、出版物、标准、TOs、ACs SMS评审组对运营人进行审查 —危险控制跟踪系统 确认管理当局、行业和运营人危险控制的实施，例如：审查和所要求的报告程序 评价控制措施的效果
III.危险信息系统	—内部的危险信息系统 用于探测、分析和项目的改进 为员工建立无惩罚的报告系统 反馈和信息共享 整合所有运营人的信息（纵向的） —外部的危险信息系统的运用 例如：管理当局、制造商、行业团体、国际性组织等	—内部的危险信息系统 用于探测、分析和项目的改进 参与雇主的无惩罚的运营人安全报告系统 参与行业的无惩罚安全报告系统 内部的安全报告系统 —外部的危险信息系统的运用 例如：管理当局、制造商、行业团体、国际性组织等	—全行业的安全信息系统 建立/保持系统（FOQA、ASAP、ASRS、SDR等） --强制系统 --自愿系统 建立/鼓励建立全行业的和运营人的无惩罚安全报告系统 为运营人提供NPSRS模型，以达到信息共有 创立全行业的NPSRS，是管理当局可以进行危险探测和分析

帅哥

附录2 航空承运人建立安全管理系统大纲附录2.1 原则1. 事故链中的大部分关联都在组织的控制之下，正如在事故的“组织理论”解释的那样。 2. 人们在组织中做什么以及如何做确定了一个航空公司的文化。一个组织需要一个积极的安全文化以建立和维持能够提高公司安全性的工作方式。 3. 公司的商业计划必须将风险管理融入到公司的运行当中。像成功或失败要达到其他目标一样，成功或失败也要达到风险管理目标。 4. 航空公司的首席长官对公司的风险管理最终负责并承担相关责任。无论名称叫什么，这个职位叫做“责任主管”，目的是为了安全。 5. 员工是最重要的安全资源。包括制定和实施安全管理系统的员工。 附录2.2 概念 危险—在飞行操作中经常伴有危险（对安全造成威胁）。 风险—风险是如何评估危险。风险包括两部分概念： 危险结果的严重性（所能达到了严重程度） 危险结果的可能性或频率（多长时间发生一次） 风险管理—通过减少危险结果的严重性和/或频率来控制或缓解危险。 附录2.3 讨论公司在事故发生前需要采取主动的管理措施来识别和控制危险。管理者和员工必须通过风险管理知道和明白他们错作中存在的危险。管理者和员工是安全的资源。鼓励他们发扬和实施他们各自的技术和知识以提高组织的安全性。当管理者和员工反映安全问题时，公司必须以积极、规范的方式给予回应。 l 对当前的运行实施风险评估和管理，并对运行和管理提出改善建议。 l 在风险评估和管理中运用交叉学科的专业意见。 l 区别过失和故意的行为祸违规操作。 l 作为危险控制过程的一部分，要理解过失的含义。不能容忍故意的违规行为 附录2.4 SMS组成部分附录2.4.1 方法—全公司范围内全面、系统的安全管理。 a. 确定管理安全的基本方法。 i. 任务陈述 ii. 理念 iii. 政策 1.确定安全和性能目标基本方法的安全政策 2.无惩罚的纪律政策 a.鼓励进行事故症候和危险报告 b.区别对待过失和故意行为 iv. 程序 v. 措施 1. 安全责任 a.明确定义任务和职责 b.定义每个员工的任务，并形成文件 i.将每个岗位和任务的安全责任形成文件 ii.将每个岗位的资格要求形成文件 iii.详细规定责任关系以确保所有员工对其相应的职责是胜任的且经过培训的 iv.详细规定管理人员对于外包服务的责任 c.最高管理层对安全应负的责任 i.责任主管负责建立和保持SMS ii.明确规定各级人员的权力 iii.功能区内对安全项目审查的责任 1.安全办公室—（由公司的规模决定）与责任主管进行信息交流的途径，其职能： a.关于安全的专业意见 b.安全信息系统 c.审核职能 2.安全委员会—通过举行一系列会议参与安全决策。 iv.管理人员的责任 1.对于损失 2.对于实施和监督危险控制 2.主动的领导人员和管理人员 a.提供必要的安全资源以实现战略上的安全目标 b.为安全事务分配必要的资源，如时间和资金 c.将安全事务放在各级会议的议程中 d.包含在安全活动中并评审所以作业场所 e.接收和处理员工的安全报告 f.在公司的刊物中强调安全主题 vi.性能 1. 安全性能测量 2. 安全报告 3. 危险控制措施确认 b. SMS组成的描述—描述每一个组成和它们之间的相互关系，也就是SMS手册 i.方法 ii.文件 iii.审查 iv.培训 v.质量保证 vi.应急救援计划 附录2.4.2 文件a.识别可行的航空或其他安全规章和要求 b.完善文件系统，以保证将SMS的每个组成都写入SMS文件或手册 c.当规章、标准和豁免发生改动时，也要对文件进行向以的改变 d.保持当前的、适用的和有效的文件 附录2.4.3 安全审查a.主动措施—通过分析每天的工作情况或通过公司的安全报告系统收集的报告来识别潜在的危险 i.报告危险、事件或安全事务的系统 ii.对数据、安全报告和任何其他安全相关信息进行分析的系统 iii.收集、储存和分发数据的方法 iv.纠正措施和减小风险的策略 v.时时的系统监控 vi.危险控制/减缓措施执行情况的跟踪检查 vii.纠正措施效果的确认 b.被动措施—对已发生的事件做出回应 i.非预期的事件 ii.指出事故控制措施没有达到预期的效果 附录2.4.4 培训a.将各个工作领域的培训要求形成文件 b.提供适合的信息、技术和培训以保证完成任务 i.航线管理人员 ii.航线员工 iii.安全工作人员 附录2.4.5 质量保证a.精心设计和文件化的用于产品和过程控制的程序 b.对测试方法进行检查 c.对设备进行监控，包括校准和测量 d.内部的和外部的审核 e.对纠正和预防措施进行监控 f.当需要时，运用适当的统计分析 附录2.4.6 应急相应计划a.政策 b.公司动员并通知代理处 c.旅客和员工的福利 d.伤亡和接下来的家属调解 e.代表公司进行事故调查 f.员工危险期反映劝告

帅哥

附录2.5 总结 SMS在商业危险和重要安全活动受到危险影响时首先关注公司及所有员工。SMS的本质活动是危险分析和控制。SMS的关键点是在损失控制时利用公司的全部资源，就像包括所有管理人员和员工一样。 附录3 安全风险评估过程（SRA）安全风险评估（SRA）是安全管理系统（SMS）的核心部分。SRA的目标是消除危险或较小危险到可接受的水平。SRA是一个循环的过程，包括学习、采取措施和系统完善。这个程序承认环境是变化的，我们要学习新的东西，执行计划时不能按照原计划一成不变的工作等。换句话说，SRA是一个实实在在的程序而不是一个象牙塔式的措施。SRA和风险管理是一个统一的整体，下表将SRA与风险管理联系在一起并形成一个循环。从整体上看，SRA程序包括组织、评估和风险管理三个过程。

过 程	措 施
组 织	·识别问题/程序和合适的风险决策者 · 成立工作组、指导委员会和执行委员会（EXCOM） ·定义问题/程序 ○人员 ○设备 ○环境 ○职能交界面 ·定义术语 ○危险 ○严重性的定义 ○可能性的定义
风险评估	·首先关注 ○初步的危险目录 ○初步的危险评估 ·就SRA关注的危险达成一致意见 ·对所关注危险的风险进行评估 ○FTA, FMEA, OSA, STEP等 ·识别不确定的信息 ·为风险决策者提供风险分析
风险管理	·对风险评估和识别出的不确定信息进行评价 ○是否需要进一步的分析？ ○不确定的信息是可接受的么？ ·需要采取措施么？ ·如果不需要，将其原因形成文件 ·如果需要，实施危险控制/缓解措施 ·对措施的实施情况进行监视和测量 ○员工/行业安全报告 ○事故症候和事故的报告 ○测试 ○违规行为 ○审核 ○等 ·把“吸取的教训”提交给风险评估工作组 ·根据措施实施情况的测量结果修改危险控制措施

帅哥

附录3.1 计划

关于在该方案中发挥ALPA的作用。

附录3.1.1 问题1. 该方案的作用范围和目标是什么？ 2. 该方案的系统和/或子系统被清晰的定义了么？ 3. 系统/子系统的要求形成文件了么？ 4. 系统/子系统和其他系统相互作用么？如何作用？ 5. 在新方案中重点解决那些安全问题？ 6. 这个新方案将对ALPA哪些其他方案造成影响？ 7. 该方案是否有很强的针对性且能对整个组织有广泛的影响？ 8. 谁将从该方案中受益？ 9. 该方案需要ALPA哪些资源？ 10. 该方案是否需要一支ALPA各学科综合的团队？ 11. 该方案中谁是股东？ 12. 政府／行业主席出面掌管该方案和团队的话能否提高其效率？ 13. 股东是否能够对主席或主席团构成影响？ 14. 正在被提议的确定内部安全问题的方法是什么？ 15. 分析安全问题的原则是什么？ 16. 对所采用的理念和工具有多少信心？ 17. 用于监督、核实方案的实施情况和测量所实施方案的效果的机制是什么？ 18. 方案团队是否接受用于确定安全问题的安全风险评估方法？ 19. 在方案团队以外谁将受到影响或成为SRA的评估对象？ 附录3.1.2 措施1. 努力回答这些和其他相关的对该方案非常重要的问题。 2. 确保详细说明与该方案相关的系统。 3. 确定ALPA想通过该方案达到的目标。 4. 确定预期的结果。 5. 确保可以获得方案所需的资源。 6. 确定资源上存在的任何潜在的缺陷。 7. 确定预期的费用和完成该方案所需的时间。 8. SRA将执行以下任务： a. 确保SRA的评估范围覆盖了整个系统。 b. 确定执行SRA的最优方法。 c. 确定完成SRA所需的数据和信息资源。 d. 评审计划的充分性。 e. 为SRA团队制定相关的术语： I. 包括SRA用到的术语的目录和定义。 II. 在定义风险的限制时要得到一致的同意，例如什么是可接受和不可接受的风险（涉及到建立分析矩阵）。 III. 识别SRA方案将需要的一些学科的专家（领域的专家）。 IV. 决定如何将SRA形成文件并包括在SRA团队的报告中。 9. 如果方案团队不愿意执行SRA，采取办法能使他们转变想法—谁将受到影响？ 10. 如果不执行SRA，采用其他你能找到的优秀的方法去发现缺点，并对SRA团队进行报告和确保形成文件。 11. 确保将这些缺点上报ALPA管理人员。

帅哥

附录3.2 危险识别和分析 　关于墨菲法则—所有能够出现的错误都将出现！ 附录3.2.1 定义 　　危险是能够导致损失的事件、条件和环境。 附录3.2.2 识别1. 危险可能是现实的也可能是潜在的。 2. 危险的识别通过观察和运用能够描述具体活动、过程或系统过程如何运行或其预期运行的别人的数据和知识。 3. 高效的危险识别依赖于： ·分析小组的经验和知识， ·分析方法的选择， ·准确的安全数据资源。 附录3.2.3 历史数据历史数据能够提供对与以前或当前的活动或系统相关的危险进行深入的了解，可以为通过识别程序发现新的危险提供指导。历史数据也能够为制定将来的纠正措施提供指导。以前“教训”能够定义“以前的错误”并希望这些错误不会在将来的活动和系统中再次发生。“教训”同时也强调了以前那些做的好的事情。 “安全数据”本质来说对安全从业人员在安全活动中有四个主要的用途： 1. 在设计过程中； 2. 在危险分析中； 3. 在安全风险评估活动中； 4. 对SRA结果和效力进行确认和完成情况的监视中。 附录3.2.4 危险识别的方法1. 对数据和项目/系统的要求进行评审 2. 观察、审核、安全视察、调查、研究。 3. 利用学科（领域）专家、方案团队成员、一线员工获得的信息制定简报。 4. 应用相关的分析工具—流程图、事件树、事故树、故障模型和影响分析、软件程序、数学统计模型、模拟 5. 团队内部的集体讨论 附录3.2.5危险识别和分析(1)识别—初步危险目录（PHL） 这是危险识别和分析过程的第一步，是为SRA准备的第一个文件。危险是出现损伤的潜在性。它可以是一个物理状态叫做不安全状态，如不恰当的运行、故障；也可能是不恰当的人的行为，如不安全行为、设计中的人为差错；也可能是程序。初步危险目录的目标是制定出这些早期危险的目录。它在很大程度上依靠惯例和历史资料，但也包括从以前提及的原始资料中得到的数据和信息。例如： 输入：从类似的系统中、危险记录、事故症候和事故的报告、安全教训、项目安全要求、专家意见中得到的安全数据。 输出：额外安全设计所要求的对危险分析和识别进行跟踪的现实的和潜在危险的目录。 一般的，PHL开始于项目或方案形成概念的时候。它为管理者提供与设计理念有关的固有危险的信息。这个想法便是制定出所有可能性的目录，但并不涉及事件真正发生的可能性。制定PHL的典型方法是小组内的集体讨论，同时也可采用检查单（效果最差）、一般的要求评审、非正式会议和调查。 (2)PHL过程 第一个目标是获得尽量多的关于设计理念的资料。邀请学科（领域）专家参加PHL的制定工作是非常明智的。这些过程包括： 1. 建立PHL开发团队。团队成员要来自理念/系统设计的相关领域。 2. 对团队成员进行系统安全理念和如何开发PHL方面的培训。 3. 确定执行PHL的方法。 4. 确定文件的格式。 5. 团队成员要提高理念/系统方面的知识。 6. 适用时，评审以前的系统安全相关的记录。 7. 从以前相关的事件中吸取教训。 8. 考虑设计生命周期的所有阶段。 9. 考虑所有系统和活动单元；人员、硬件、软件和环境相互作用。 10. 识别能量源（损伤的原动力在哪？） 11. 作为开始，考虑一下普通的危险（见附件） 12. 开始制定PHL (3)分析—初步危险分析（PHA） 当列出了初始危险后，这个清单可能在概念设计阶段早期进行修改，所以这些危险可能在早期被消除或者在过程的后期被控制。PHL同时也为危险的详细分析（初步危险分析）提供了基础。 初步危险分析（PHA） PHA的主要目的是识别所有相关的危险。它还致力于识别危险的原因和结果、确定危险的特征、优先考虑某些危险或忽略某些危险（如果它不值得进一步分析）。原因是危险为什么存在的潜在动机。结果是如果允许危险存在其可能导致的后果。每个危险可以有很多潜在的原因和结果。 主要危险—导致其他危险或对其他存在的危险负责的危险。它是其它危险出现的驱动力。 系统缺陷—系统中导致危险出现的条件和环境。类似的危险可能在类似的活动或系统中产生，要努力识别这些危险。 通过危险的分级和详细的危险描述可以进一步确定危险的特征。例如： ·仪表飞行规则（IFR）间隔是1英里。 ·机场的喷涂标志已经风化。 ·飞行员没有接受模拟训练。 ·滑行道“E”与跑道32在140 处交叉。 有效分析危险潜在性的方法是研究危险出现或显露的各种途径。这种方法叫做危险假设或想象成“如果...那么会...”。要识别这些初步的危险和系统缺陷。 输入： ·运用PHL的结果，通过确定危险的原因和结果对危险进行分析。 ·根据团队决定的危险的重要性对这些危险进行排序。 输出： PHA将有潜在危险的区域和按危险结果或严重性排序的信息进行组织并形成文件。 PHA是一个项目的基础系统安全分析。这个文件要求根据反馈的信息进行定期的升级。通过识别过程，安全人员可以开始识别危险相关的风险。