民航空管安全评估办法试行.pdf

1、 民航空管安全评估办法 民航空管安全评估办法(试行)(试行)中国民航总局空中交通管理局 中国民航总局空中交通管理局 二七年十二月 1 前 言 前 言 加快和推动民航空管系统的安全评估体系建设是贯彻“安全第一，预防为主，综合治理”安全方针，消除和控制空管安全隐患，完善空管安全管理体系（SMS），提升安全管理水平的重要工作之一。为配合民航空管安全管理体系指导手册（试行）的发布，我局 SMS 研究小组认真筹划、精心准备，在对国外安全评估办法实施情况进行大量调研，并完成了难点、热点问题探讨及研究的基础上，起草完成了民航空管安全评估办法（试行）。请各单位结合实际，在建立 SMS 的同时，建立健全本单位的

2、安全评估制度。本办法的编写得到了中国民航大学民航安全科学研究所、中国民航飞行学院空管学院、各地区空管局等单位的大力协助，参加本办法编写、审核和校对的同志有：李京利、孙瑞山、邹国良、靳慧斌、袁乐平、苏杭、杜实、邹洪斌、张建平、杨昌其、田合林、张铁铮、张学庆等。在此，对参加编写、审核和校对的全体人员表示衷心的感谢。民航总局空管局 二七年十二月 2 目 录 目 录 引 言.1 第一章 安全评估目的和意义.3 第二章 安全评估理论与方法.5 1 概念和定义.5 2 安全评估发展概述.6 3 安全评估方法.7 第三章 安全评估组织与实施.9 1 安全评估的启动.9 2 安全评估的实施主体.9 3 安全评

3、估的实施过程.10 第四章 安全评估程序.12 1 系统及其运行环境描述.12 2 危险识别.16 3 风险严重性和可能性分析.22 4 确定风险等级.24 5 制定风险缓解措施.26 6 编写安全评估报告.28 附录.30 附录 1 事故树分析.30 附录 2 事件树分析.33 附录 3 专家评议法.36 附录 4 安全检查表.40 附录 5 故障发生因素的敏感性分析.44 3 参考文献.491 引 言 引 言 伴随着新中国民航五十多年的发展，我国民航空管事业取得了骄人的成绩，为保障航班安全、正常运行发挥了重要作用。当前，在国家经济大发展的背景下，航空事业高速发展，空中交通流量猛增，空中交通

4、管理工作面临巨大压力。同时现代科学技术的发展日新月异，新技术新方法在空管系统中不断得到应用。如何在空中交通流量不断增加、新技术新手段层出不穷的情况下保障飞行安全是摆在民航空管人面前的一个重大课题。为此民航总局空管局制定了民航空管安全管理体系指导手册（试行）,为了配合该手册的实施，切实提高我国民航空中交通管理的安全评估水平，特制定本办法。本办法依照中华人民共和国安全生产法、中华人民共和国民用航空法、中国民航空中交通管理安全管理规则和民航空管安全管理体系指导手册（试行）等有关法律法规，参考欧洲航行安全组织（EUROCONTROL）安 全 评 估 方 法 体 系（Safety Assessment

5、Methodology，SAM）等材料编写而成。本办法的主要内容包括安全评估目的和意义、安全评估理论与方法、安全评估组织与实施、安全评估程序，共四部分内容，这四部分的关系见图 1。图 1 本手册结构图 2 3 第一章 安全评估目的和意义 第一章 安全评估目的和意义 安全是民航的生命线，是民航永恒的主题。空管系统是保证民航安全的重要环节，如何加强空管系统安全工作的现代化建设、保障飞行安全是空管系统面临的重大课题。系统安全理论是现代安全科学的基本理论思想。它从系统的观点出发，采用系统工程的理论和方法，研究影响系统安全的各种因素及其相互关系，安全信息的合理流动和充分利用，安全管理的动态过程及其优化问

6、题，目的是建设本质安全的系统，预防事故的发生。安全管理体系是为实现组织的安全运行，采用系统安全理论、结构化思想而设置的各种措施的有机结合体，使安全管理工作真正实现从开环控制到闭环控制、从被动应对到主动预防的转变。安全评估是安全管理体系的重要内容，是安全管理体系的核心。它通过对系统改变及由此引发的各种变化进行风险评估，发现可能存在的危险，并就其发生的概率和后果严重程度进行评估，采取措施消除或降低风险，最终使系统保持在一个可接受风险的范围内，从而保证系统安全健康地运行。安全评估体现了“安全第一，预防为主”的方针。通过对系统变化过程中涉及到的“人员、设备、管理、环境”各种因素的风险评估，发现安全隐患

7、，及时采取措施，达到预防事故提高安全水平的目的。实施安全评估具有重要意义，主要体现在以下三个方面。第一，变事后处理为事前预防，使安全工作科学化。通过系统重大变化前进行安全评估，采取有效的评估工具和程序，组织者可以预4 先系统地辨识危险、发现隐患，避免隐患在系统运行过程中爆发所造成的巨大损失，并且可以掌握系统详细信息，采取有针对性的措施，消除或减小危害，确保系统运行安全。第二，变经验管理为科学管理，使安全工作标准化。安全工作的管理方式应当是科学的管理方式，应当通过科学的方法、程序和工具确保和提高系统安全的可靠性。安全评估具有一套逻辑严谨、标准化程度很高的实施和运行程序，可以使安全管理工作标准化、

8、程序化，保证和提高安全管理工作的效果。第三，与国际民航空管接轨，提高我国空管安全管理工作水平。目前国际民航空管界已经普遍采用了安全评估的做法，有效的降低了空管运行中的事故和事故征候发生率。我国空管运行安全评估的程序后可以与国际空管实现无缝对接，减少业务衔接过程中的隐患，提升我国民航的国际形象，提高我国空管的安全管理水平。5 第二章 安全评估理论与方法 第二章 安全评估理论与方法 安全评估经过多年的发展和积累，逐渐形成了较为完善的理论体系，目前安全评估的理念和方法已经扩展到全世界范围内的诸多行业，促进了各个行业安全水平的提高。1 概念和定义 1 概念和定义（1）危险、风险、隐患与安全评估（1）危

9、险、风险、隐患与安全评估 安全评估是从危险的辨识、发生概率、后果严重性分析到根据相关标准和可接受准则进行评价并采取措施降低风险的过程。安全评估是保障系统安全的重要手段，通过安全评估的实施，使系统风险控制在可接受范围之内，从而保障系统的安全。与风险密切相关的是危险、隐患等一系列概念。危险是可能产生潜在损失的征兆，危险是风险的前提，没有危险就无所谓风险。风险是危险的表征，风险从危险发生的概率和其严重程度来综合考虑。隐患是指任何能直接或间接导致伤害或疾病、财产损失、工作场所环境破坏或其组合的对工作标准、程序、法规、管理体系绩效等的偏离。现代安全管理的观点认为：系统的风险不可能完全消除，风险控制在可接

10、受范围内的系统是安全的。风险越大，系统越不安全；相反风险越小，系统越安全。有学者把安全与风险的关系简洁的表述为：S=1R S 和 R 用（0，1）上的数值来刻画，S 代表安全，R 为风险，R 又可以用事故发生的严重程度和发生概率的函数来表示，即：6 R f(p，c)p 为严重程度，c 为发生概率。因此进行安全评估也就是对系统风险的评估。（2）系统寿命周期（2）系统寿命周期 一个系统的寿命周期包括从系统的概念、设计、制造、运行过渡、运行以及退役等阶段组成。因此，对一个系统进行安全评估需要对该系统寿命周期内的各阶段进行安全评估。2 安全评估发展概述 2 安全评估发展概述 安全评估在航天、航海、经济

11、管理、核工业、化学工业等众多领域得到广泛研究和应用，使安全评估方法向科学化、标准化的方向发展。随着航空航天、核工业等高技术高风险领域的发展，以风险率为标准的定量评估的方法得到迅速的发展。60 年代英国建立了事故率数据库和可靠性服务机构，开展概率风险评估工作，在国际上影响较大，推动了安全系统工程的发展。70年代美国原子能管理委员会发表了 商用核电站风险评价报告标志着以风险率为标志的定量评估已经趋于成熟。现在，定量工作已在世界范围内，特别是在工业发达国家的许多工程项目中得到广泛的应用，并在许多行业制定了技术标准。与民航同属于交通领域的水运多年前就开始了风险评估的工作，并由国际海事组织提出了一套规范

12、化的方法，称之为规范化安全评估（Formal Safety Assessment，FSA）。我国学者利用 FSA 开展研究的成果颇丰，FSA 为海运安全水平的提高起到了重要的作用。国外民航对安全评估的研究可以追溯到上世纪 80 年代。1991 年美国得克萨斯大学人为因素研究小组和大陆航空公司共同开发航线运行安全审计系统，通过让独立的、受过培训的观察员在保证不伤害机7 组利益、不透露飞行员身份和具体航班号的前提下进入驾驶舱，跟随正常的航班飞行，收集飞行机组的行为和外部环境状况信息，并进行统计和分析，用于改进飞机设计、运行程序、训练、安全管理和调查，全面提高安全运营水平。近些年来，安全评估的研究成

13、果也不断涌现。在飞安基金会支持下由 Hadjimichael 和 McCarthy 研究开发的飞行运行风险评估系统（Flight Operations Risk Assessment System，FORAS）是一套基于模糊专家系统的安全评估、管理工具，该系统对风险进行编码分类，依靠专家意见和模糊数学工具，对主要风险因子进行分析和评估，并得出定量的结果。随着安全评估实践的不断深入和凝练，逐渐形成了一套较为成熟的理论和方法，典型的比如 EUROCONTROL 制定的 SAM、美国 FAA 的系统安全手册，应用于系统本身和变化时的风险识别和评估，推动本质安全思想的发展，使安全决策更加科学化、规范化

14、。发展趋势表明，使用和推广安全评估是提高空管安全管理水平，完善和推进民航航空系统健康协调发展的必由之路。3 安全评估方法 3 安全评估方法 安全评估是安全管理体系的核心内容之一，也是保证系统安全的必经之路。Montague 将风险评估方法分为 3 类:定性的、半定量的及定量的风险评估方法。定 性 风 险 评 估 方 法 主 要 包 括 风 险 评 估 指 数 法 RAC（Risk Assessment Code）等。其主要特点是对危险的可能性和严重程度不做精确的数值分析，而是大致将其划分为一些等级，然后把这两者用不8 同的方式综合起来衡量风险的大小及重要程度，并按大小和重要程度对风险进行分类排

15、序，最后分别对不同种类的风险采取不同的措施，确定是接受风险还是做出调整以降低风险。定量风险评估比定性方法更为精细，也更复杂，包括多种方法，主要有概率风险评估 PRA（Probabilistic Risk Assessment）等。PRA方法主要针对复杂系统进行风险评估，在核工业、化工、航空航天领域中有着重要的地位。美国宇航局已经将 PRA 作为航天飞机风险评估的基本方法，PRA 通过综合运用各种安全性分析方法进行系统分析，考察风险后果的严重度并对其不确定性进行量化，支持安全风险的管理决策。半定量的风险评估方法介于两者之间，常见的方法有总风险暴露指数法，直接风险（Total Risk Expos

16、ure Code）、直接风险评估法SCRAM（Short-Cut Risk Assessment Method）等。针对空管系统而言，可以利用的工具也很多，FAA 与 EUROCONTROL的联合研究项目中归纳了数百种安全评估的工具，GAIN 经过多年的总结也发表了类似的研究报告。空管系统是一个人员、设备、管理、环境相互交错的复杂系统，对运行程序与对设备设施的风险分析方法将有所不同。附录 1-4 中介绍了安全评估中的一些常用方法，各种评估方法都有各自的特点和适用的范围，在选用时应根据评估的特点、具体条件和需要，针对评估对象的实际情况、特点和评估目标分析、比较，慎重选用。必要时针对评估对象的实际

17、情况选用几种评价方法对同一评价对象进行评估，互相补充、分析综合、相互验证，以提高评价结果的准确性。9 第三章 安全评估组织与实施 第三章 安全评估组织与实施 1 安全评估的启动 1 安全评估的启动-按照中国民航空中交通管理安全管理规则的规定，当发生下列重大变化时空管运行单位应主动向上级主管单位（地区空管局或民航总局空管局）提出安全评估请求：-降低最低飞行间隔标准；-变更管制方式；-新技术首次应用；-实施新的飞行程序或管制程序；-调整空域范围或空域结构；-新建、改建、扩建空管运行设施、设备等建设项目；-上一级主管单位认为有必要的情况。2 安全评估的实施主体 2 安全评估的实施主体 安全评估应当由

18、民航总局空管局、地区空管局或其指定的机构负责组织实施。对于以下几种情况，安全评估应当由总局空管局或其指定的机构实施：-此种类型的安全评估首次在国内实施；-空管单位发生的变化影响两个或两个以上地区的；10-由国际民航组织等国际组织指定实施的。对于以下几种情况，安全评估可由地区空管局或其指定的机构实施：-此类型安全评估在国内实施过；-空管单位发生的变化仅影响其所在地区的空管运行。实施安全评估方案要求实施主体：-确定何时实施安全评估；-制定实施安全评估的程序；-制定安全评估的验收标准；-制定保留和传播通过评估获得的安全信息的文件要求和程序。3 安全评估的实施过程 3 安全评估的实施过程 当系统发生下

19、列重大变化时（启动安全评估的几种情况），空管运行单位应主动向上级主管单位(地区空管局或民航总局空管局)提出安全评估请求，得到批准后，由安全评估的实施主体（详见 3.2）组织实施安全评估工作。安全评估前，实施主体要做好各种前期工作，包括组织相关专家成立评估小组，制定评估调研方案，协调各单位关系，提供各种资源保障等。被评估单位应给予积极配合，提供必要的数据、文档和资料，保障评估活动顺利完成。评估小组的组成要求及相关程序等事项参见附录 3。安全评估的具体工作程序详见第四章。安全评估的程序完成后，经实施主体验收批准评估报告，然后下发给评估申请单位。安全评估的实施过程见图 2。由地区空管局组织实施的安全

20、评估，应向总局空管局提出申请，得到同意后方可实施。评估报告应详细记录安全评估的整个过程和结论。对一个空管单位进行的安全评估，其相关文档应报地区空管局。对于多个空管单位范围内的安全评估，其文档应报总局空管局。只有通过安全评估，确定项目实施后能达到可接受安全水平，并获得总局空管局或地区空管局的批准后该项目方可实施。11 图 2 安全评估的实施过程 空管运行单位（地区空管局）地区空管局（民航总局空管局）评估申请申请评估报告下发系统及其运行环境描述指定机构编写安全评估报告制定风险缓解措施确定风险等级风险严重性和可能性分析危险识别评估报告验收重大变化12 第四章 安全评估程序 第四章 安全评估程序 安全

21、评估的具体实施环节，通常包含如下步骤：（1）系统及其运行环境描述；（2）危险识别；（3）风险严重性和可能性分析；（4）确定风险等级；（5）制定风险缓解措施；（6）编写文件。各环节之间的关系如图 3 所示。1 系统及其运行环境描述 1 系统及其运行环境描述 安全评估的第一步是系统及其运行环境描述。其中系统描述指的是描述拟评估系统的-内容：包含哪些子系统和要素；-功能：系统、子系统具备的功能；-变化：系统的内容和功能与评估前有何变化，变化的含义是增加、删减或变动。系统的运行环境描述是对拟评估系统与其他系统或者环境的交互界面的描述、拟评估系统环境包括的内容等；界面和环境与评估前发生的变化。在本环节的

22、描述中还应当体现系统内部、系统与环境的内在功能的联系。通过系统及其运行环境描述，可以使参与安全评估的人员充分了解拟评估的新系统或变更，以及它将如何与所属的整个环境的其他组成部分间相互联系。对系统运行环境描述还可以明确系统13 运行环境是否与规章要求一致，以作为评估危险源严重性等级的补充参考因素。该步骤的主要工作是:-引入系统或者发生变化的目的；-系统、子系统、要素的功能；-系统变化详细说明；-系统与其他系统或者环境的交互界面；-系统环境发生的变化，其中系统环境包括各种法规环境、标准、组织环境等。具体描述内容可参见图 4。其中：-空域特征：空域分类、间隔标准、航路结构的特征和复杂程度等；-空中交

23、通特征：空中交通的复杂程度(现在和可以预见的将来)、扇区流量、军民航活动等；-航空器的性能和设备：航空器的性能要求等；-机场状况：飞行区(跑道、滑行道)、助航设备等；-气象：当地天气状况(山地波、雷暴、火山灰等)；-地形：机场周围的明显障碍物、地形特征等；-环境保护：噪声污染的控制等。图 3 安全评估的内容及相互关系 14 描述的内容运行依据法律环境描述系统描述运行环境描述现在将来过渡操作描述功能描述边界和交互界面描述程序和人为因素设备人力资源其他部分飞行员任务时间物理逻辑空间地理飞行路线描述 图 4 系统及其运行环境描述示意图 图 4 列出这些项目（系统）的目的是帮助评估人员开拓思路。实际评

24、估时有些条目（比如气象、地形、环境控制等）会用不到，也有些条目会没有列出。评估人员应当根据评估的具体对象，尽量详细具体的列出系统环境包含的项目（系统）。安全评估人员首先应当明确引入新系统或系统发生变化的目的，然后应当明确新系统、其子系统和所包含各要素的功能。如果是系统变化则应当明确知道到底是系统的哪部分发生了变化，这些都明确无误后安全评估人员应当填写一份系统变化的详细说明，以防止其他人员评估时重复做这项工作，延误评估时间，也便于其他评估人员评估时准确查询。如果在评估期间系统及其运行环境发生了新的变化，则该详细说明应当及时更新。15 16 系统运行环境的描述也非常重要。明确了系统变化之后，还应该

25、详细描述系统运行环境。安全规章是保障系统安全运行的前提，它们都是在一定背景条件下制定的，并有一定的适用范围，这些背景条件和适用范围就是环境。要达到系统安全的目的，需要三个要素的协同配合，这三个要素是：环境、系统、安全规章，这三个要素中改变了其中的任何一个都可能会引起安全隐患。本办法将安全规章纳入到环境中考虑，这时要素就剩下两个，当改变其中之一时，都要进行安全评估，以便保证空管系统的安全运行。填写系统变化详细说明的情景有两种：一种是引入新系统或者系统发生变化时，这在前文中已经叙述过；另一种是环境的描述及其变化，这一点尤其应当引起评估人员的重视。很多评估人员只关心系统的变化、系统的功能变化及其引起

26、的后果，对环境及其变化引起的后果重视不足。环境的描述应当尽量的详尽，环境包含的各项目（系统）运行环境、状态都应当详细记录，以便和安全规章制定的背景条件和适用范围做对比，及时发现差异，识别安全隐患。系统及其运行环境描述的环节，一两个评估人员很难完成，评估单位应当组织一批各领域专家组成评议小组完成此项工作。具体过程见附录 3。2 危险识别 2 危险识别 系统及其运行环境描述之后进入的环节是危险识别。危险识别的顺序是：通过描述系统环境、系统及其子系统的功能与其发生的变化，识别出可能发生的故障，进而识别出可能的危险源位置及其发生情景。危险识别的前提假设，即默认条件是：发生变化前系统是安全的。因为安全评

27、估针对的是“变化”引起的安全隐患进行评估，不是对一个系统的普通安全状态进行的评估。如果没有这项假设，需要识别的17 危险源将是难以计数的，安全评估工作也就无法开展。这个步骤需要做的主要工作包括：-确定系统或者环境变化对安全有影响的方面；-确定可能发生的故障模式；-确定哪些地方存在危险源；-每一个危险源发生的可能情景是什么；-生成危险源控制单。本章第 1 节中提到的“系统变化详细说明”会记录很多变化内容，但不是所有记录的变化都会造成系统的安全隐患，只有那些对系统安全起到举足轻重作用的变化内容才可能引起系统或者其子系统功能的缺失或衰减，即系统故障。本办法中将与系统故障有关的变化内容叫做故障原因，系

28、统故障的不同表现形式叫做故障模式。危险识别时，根据“系统变化详细说明”中的记录，辨别能够影响系统功能的变化内容，对应可能影响的系统功能，应用系统故障清单（表 1）表示不同的故障模式。这个表中所列的是通用故障模式分类，实际的安全评估中每个故障模式都可以分得更细，评估人员也可以根据实际情况列出更多的其他故障模式。每种故障模式是由一个或多个发生原因造成的，每个发生原因是由一个或者多个危险源引起的。对应故障模式发生原因危险源这条反向故障发生链条，评估人员可以系统的识别出很多危险源，并且可以有针对性的制定预防措施，避免这些危险源在系统运行过程中变成安全隐患酿成事故。这里有必要强调一下主动故障和潜在故障。

29、操作错误导致的故障是主动的故障。系统的开发和维护阶段的错误和遗漏会导致潜在故障，潜在故障需要引起评估人员更多的注意。18 危险源识别是一个系统工程，在应用反向故障发生链条识别危险源时，除了分析与发生原因相关的各要素（人员、设备、管理、环境），各要素之间的交互作用也要分析。具体分析某个发生原因时应按照如下几个要素开展工作：-人员，与故障发生原因相关的人员，如进近管制、塔台管制等业务单位的工作人员；-设备，与发生原因相关的设备，如空管自动化系统、雷达系统、电报系统等；-管理，与故障发生原因相关的指导思想、各种运行规范、组织结构、规章制度、运行程序、教育培训、安全文化等；-环境，与被评估原因相关的业

30、务环境、地理环境、气象环境、人文环境、通信环境等内容；-上述四个要素之间交互，如人机界面等。进行交互的目的是要寻找要素之间发生联系时系统可能存在的危险。四个要素的交互具体是指人员与设备、人员与管理、人员与环境、设备与环境、设备与管理、管理和环境之间的交互，交互情形示意见图 5。管理环境设备人员 图 5 危险源识别要素交互图 表 1 系统故障清单示例表 系统功能失效表现 故障模式 整体失效 启动失败 部分失效 停止失败 错误的输入或输出 转换失败-丢失数据 延迟操作-发现了错误的数据 提前操作-没有发现错误的数据 操作疏忽-自发产生的数据 间歇的或不稳定的操作-数据顺序混乱 操作改变 指示错误的

31、数据 听错 不连贯的信息 理解错误 错误的更新数据 数据不能同步 19 20 识别危险源时最好采用专家评议法的形式进行，与会专家应对历史数据和安全信息进行充分的分析和挖掘。本办法建议评议会上采用事故树工具（见附录 1）进行故障发生原因和危险源的识别，专家评议法的具体形式及应注意的事项参见附录 3。评议会需要一些经验丰富的运行和技术人员及本领域的安全专家参加，一般应包括下列人员：-空中交通管制员，设备维护人员、管理人员；-飞行员及其他航空公司代表；-设备制造商，信息提供者；-其他必要人员。对于识别出来的危险源要确定其发生情景。因为只有在特定情景下，危险源才会引发系统故障的发生。相应的，当控制了发

32、生情景的发生，故障的发生链条就会从链条的底部被控制。最后将危险源名称及其发生情景填入危险源控制单中，危险源控制单示例见表 2。综上所述，本环节过程为：系统功能是否完备系统故障发生原因识别危险源识别。21 表 2 危险源控制单示例 日期：被评估单位或部门：危险源序号危险源名称 危险源后果严重性等级发生可能性 发生情景 风险等级 采取措施备注 3 风险严重性和可能性分析 3 风险严重性和可能性分析 危险识别过程完成后，即危险源识别出来后，要对每个危险源进行详细分析，确认其风险发生的后果严重性和发生的可能性，将结果填入危险源控制单中，见表 2。风险严重程度判断和与人为差错相关的风险可能性的判断本质是

33、一个预测的过程，总会带有某种程度的主观成分，判断结果受人为因素影响较大，但是通过有安排有组织的小组讨论（见附录 3），综合考虑各方面可靠信息，结合表 3 的风险严重程度分类表和表 4 风险发生可能性分类，并有在各自领域内具有丰富经验和专门知识的专家们的参与，可以给出每个危险源的风险严重性等级和风险发生可能性，将评估结果填入危险源控制单中。经过这个过程后，应当能够保证评估结果是可信的。小组讨论风险发生后果严重程度时，专家通常需要考虑以下几个方面：-影响程度，即危险发生后对空管系统以及外界的影响，包括：管制员工作负荷：通话量，管制协调、单位时间指挥架次等；对设备的依赖：包括通信设备、导航设备、监视设备；空域复杂程度：划设扇区数量、军民航冲突；媒体的关注程度等。-持续时间，即危险发生后对空管系统的影响时间。-察觉难易程度，即对飞行冲突发现的难易程度。-恢复情况，即危险发生后恢复到正常状态。对于系