民航航空运营人安全管理体系要求Word格式文档下载.doc
《民航航空运营人安全管理体系要求Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《民航航空运营人安全管理体系要求Word格式文档下载.doc(30页珍藏版)》请在冰点文库上搜索。
审计——定期、正式的评审、查证,以评价是否符合规章、政策、标准和协约要求。
审计从组织的管理和运行着手,并扩展至组织的活动、产品和服务。
评估——对运营人政策、程序和系统进行的功能性独立的评审。
当运营人自己完成此项工作时,应由公司内独立于被评估部门的一个机构来完成。
评估过程建立在审计和检查的基础上。
评估与全面系统审计同义。
6.背景和说明
2006年3月,国际民航组织理事会通过了对附件6《航空器运行》的第30次修订。
该次修订增加了国家要求航空运营人实施安全管理体系的要求。
附件6规定从2009年1月1日起,各缔约国应要求其航空运营人实施被局方接受的安全管理体系。
我国民航企业安全管理的纪录处于较为领先的水平,但是随着运输量的增长,如果不采取有效措施,事故的总次数将不为公众所接受,解决这个问题的最好办法就是将安全管理融入日常的运行管理中,并采取更为主动的安全管理模式降低事故率。
民航安全管理是随着人们对航空安全问题的研究和认识的深入而不断发展的。
人们从最初重点关注航空器、空管及机场设备设施等硬件问题逐步过渡到关注人为因素问题,现在开始关注系统和组织对安全的影响。
运用系统方法管理安全可以使运营人通过恰当地确定安全责任,鼓励全员参与,实施风险管理,有效地配备资源,实现主动安全管理,在满足规章的基础上,不断提高运行水平;
并通过健全内部安全保证体系,为管理层提供监控安全相关过程的结构化方法,实施安全绩效管理,加强安全文化建设,形成自我管理、自我改进的机制,实现闭环管理,改善安全业绩。
7.安全管理体系的几个基本概念
现代安全管理和安全监督活动日益倾向于注重过程控制的系统方法,而不是仅仅对最终结果开展检查和补救措施。
理解安全管理体系概念可从安全管理和安全文化入手。
1)安全
有时安全被定义为没有潜在危险,对民航而言这是一个不切实际的目标,用风险对安全进行描述才更切实际。
通常安全被定义为人员伤害或财产损失的风险在可接受的水平或其以下的状态。
2)安全管理
传统的安全管理较为注重事件管理,现代安全管理在继续注重事件管理的基础上,更为注重事态管理,即通过持续的风险管理,将人员伤害或财产损失的风险降至并保持在可接受的水平或其以下的过程。
3)安全管理体系
体系是指在规定环境下完成任务或目标的人员和其他资源组成的综合的网络。
安全管理体系是管理安全的一种系统方法,包括必要的安全政策、组织机构、责任、程序及措施等。
如果希望安全管理体系有效,其必须包括:
(a)完成必要活动的职责及权利;
(b)员工需遵守的程序;
(c)对组织管理活动和监督活动的控制;
(d)对过程及其结果的考核;
(e)明确运营人内部每个人与其所在部门的关系,以及运营人与外包方、供应方、客户及其他有业务来往的单位间重要的相互关系或联系。
4)安全文化
安全文化是企业文化的一种自然产物。
安全文化由共同的信念、态度和做法构成。
运营人对于安全的态度影响其员工对安全的共同做法。
只有全体人员共同发挥作用,才能实现运营人的安全目标,提高安全运行水平。
8.运营人的运行、防护及其与局方安全监督管理的关系
8.1运营人的运行与防护的关系
图1清楚地说明了运营人提供运输服务的运行功能与防护功能之间的关系。
如果运营人既要保持盈利又要控制风险(经常伴随运营产生),则这两个功能必须处于和谐状态。
需要注意的是:
图1是从功能角度,而不是从组织结构角度进行描述的。
该图并不意味着安全管理只是“安全部门”或“安全总监”的责任;
事实上,安全管理体系强调“运行”过程的管理人员在安全管理中的角色。
图1运行与防护的功能关系
8.1.1运行
运行过程是指飞行运行、运行控制、维修、客舱安全、地面服务、货运、训练等过程。
由于运营人的航空运输服务是通过运行过程来完成的,所以有效的风险管理和安全保证应从彻底了解运行过程的结构和组织着手。
相当数量的危险源、风险因素来自于过程设计不当或系统与运行环境不适应。
在这些情况下,影响运行安全的危险源可能不会被充分认识,因而得不到足够的控制。
8.1.2防护
风险伴随运行活动产生。
运营人的客户和员工是安全系统失效的潜在受害者。
因此,运营人应识别其管理过程和运行环境中存在的危险源,控制其风险。
安全管理体系为运营人的安全管理提供了一个正式的管理模式来履行其职责和义务,实现安全生产,保护客户及员工的利益。
8.2运营人的运行及防护与局方安全监督管理的关系
运营人的运行及防护功能与局方安全监督管理功能之间的关系见图2。
图中左边的两个管理系统分别是运营人的安全管理体系和局方对运营人进行监督的安全管理。
图2运营人的运行及防护功能与局方安全监督管理功能之间的关系
局方传统的监督注重符合技术标准,通常包括审定、持续监督、调查、规章的强制实施等。
在继续保持传统监督方法的同时,局方将通过监督运营人的安全管理体系,逐步运用系统安全方法监督运营人整体安全状态,并强调运营人通过自我约束、自我管理、自我改进实现安全管理的闭环,不断提高安全水平。
9.安全管理体系要求说明
9.1安全管理标准化的需求
9.1.1标准化
本附录《运营人安全管理体系要求》(以下简称《要求》)的制订参考了国际标准的条款结构,使用了与质量管理体系ISO9001-2000标准相似的模式,以便该体系与其他管理体系相互整合。
9.1.2可审计性
将安全管理体系设计成标准形式有利于提出明确的功能要求,便于运营人本身、政府或其他第三方进行监督和审计。
因此,其行文以要求为基础。
每一个条款都只单独规定一个要求,以易于对系统审计。
9.2结构和组成
9.2.1功能性要求
由于需要适合各种类型和规模的运营人,所以《要求》是作为功能性要求文件制定的,它强调运营人应“做什么”而不是“怎么做”。
这样可以为运营人的实施提供灵活性。
运营人在实施时应将《要求》中的要求转化成自己的具体做法。
运营人应充分利用已经实施的各种安全管理过程,将安全管理体系的全部功能要求充分融入已有的管理体系之中,而不是重新建立一个独立的新体系。
作为完整的安全管理体系,《要求》中的每一条功能要求都是必不可少的,但运营人不必对履行相同功能的现存项目重复建设。
9.2.2安全管理的四大支柱
安全管理的四大支柱为政策、风险管理、安全保证和安全促进。
这四大支柱是安全管理体系的基础。
《要求》根据四大支柱分四部分对各要素的功能性要求进行描述。
1)政策
所有的管理体系都必须明确政策、程序、组织结构以实现目标。
有关这些方面的要求在《要求》中第4部分进行了描述。
2)风险管理
风险管理是将风险控制在可接受水平或其以下,安全管理体系的风险管理是以系统安全过程模式为基础的。
有关这些方面的要求在《要求》中第5部分进行了描述。
3)安全保证
风险控制措施被确定后,运营人可利用安全保证功能,确保风险控制措施持续被执行并在不断变化的环境下持续有效。
有关这些方面的要求在《要求》中第6部分进行了描述。
4)安全促进
运营人必须用支持良好安全文化的活动把安全作为核心价值进行促进。
有关这些方面的要求在《要求》中第7部分进行了描述。
9.2.3风险管理与安全保证的关系
风险管理和安全保证的关系见图3。
该图是功能关系图,而不是组织机构设置图。
风险管理过程可用于初始的危险源识别和风险评价,当制定的风险控制措施能够使风险达到可接受水平时该措施才可被实施。
此时,安全保证功能将发挥作用,以确保风险控制措施被实施并持续达到预定目标。
安全保证体系还可评估当运行环境变化时是否需要新的风险控制措施。
图3风险管理功能和安全保证功能的关系
10.《要求》实施指南
10.1《要求》的总体结构
《要求》根据四大支柱分策划、风险管理、安全保证和安全促进四部分阐述了安全管理体系的要求。
10.2策划
10.2.1安全政策
安全政策反映了运营人的安全管理理念,是建立安全管理体系的基础,并为建设积极的安全文化提供了清晰的导向。
安全政策还指明了运营人为达到预期的安全目标将要采用的方法。
安全政策必须符合国家的相关规定。
在制定安全政策的过程中,高层管理者应与影响安全的相关领域的关键人员进行广泛地协商,以确保安全政策与员工密切相关。
10.2.2飞行安全文件系统
飞行安全文件系统是由运营人制订的一套相关文件,汇集并编制有飞行和地面运行必需的资料,其中至少包含有运行手册和运营人维修控制手册。
飞行安全文件系统是一个有机的整体,其中的任一文件的任何变动都可能对其它文件或整个系统产生影响。
因此,运营人应确保文件间的相互一致及运用的一致性。
对影响飞行安全的文件的设计、编排、确认、实施、修订等进行系统管理。
飞行安全文件系统设计时,应该在术语及通用内容和行动的标准用语的使用上保持一致;
其编排应该确保能够便于查找载于构成不同运行文件系统内的飞行和地面运行的必要资料,同时又便于管理运行文件的分发和修订;
在实施之前应该按实际条件加以验证;
实施后,应对飞行安全文件系统的实施进行监督,确保文件与运行环境的特点相符,且易于操作人员使用。
运营人还应制定一个资料收集、审查、分发和修订的控制系统,对与自己运行类型相关的资料和数据加以处理。
10.2.3安全目标
安全目标与安全政策密切相关。
安全目标应是运营人对提高安全水平行动及明确预期结果的承诺。
10.2.4安全计划
安全计划详述了为实现目标拟采取的步骤,通常包括为实现目标所赋予的有关部门和人员的职责和权限,实现目标的方法和时间表,相关的资源需求。
10.2.5组织机构及职责
图4是运营人组织结构的一种样例,这种组织结构可以支持实施安全管理体系。
总经理是安全管理的第一责任人,承担安全运行的全部责任,负责清晰地界定整个组织内的安全责任,包括高层管理人员对安全的直接责任。
总经理应计划、组织、指导、控制员工的活动,分配安全相关活动所需的资源,以确保安全控制的有效性,并对整个组织的安全管理体系定期进行管理评审。
负责各运行过程的副总经理均应承担安全责任,将风险管理和安全保证工作融入日常管理之中,并对未正确履行其职责所造成的安全结果承担直接责任。
运行过程中的生产运行部门经理应定期实施内部审计,监控本部门的安全状况。
安全总监应独立于运行及其支持过程之外,负责通过信息获取、数据分析、系统评价、监督纠正和预防措施的落实等安全保证过程对运行过程及其风险管理和安全保证循环进行监督,并直接向总经理汇报。
安全监督部门应独立地就安全有关事务提出建议,进行内部评估、数据分析及系统评价,监督预防纠正措施的落实,调查安全相关事件,组织对全体员工的安全教育等。
信息沟通
工程
…
维修
总经理
运行
其他
飞行
运控
客舱
安全监督
部门
技术
安全总监
行政管理及信息沟通
图4组织结构样例
10.2.6与法规、规范性文件和其他要求的符合性
运营人建立正式的信息获取渠道,可以及时掌握法规、规范性文件和其他要求,识别和了解运营人的各项活动受到相应法规和其他要求的影响,适时修订相关手册、程序等文件。
法规、规范性文件和其他要求是运营人衡量安全绩效和进行危险源识别的主要依据之一。
遵守法规和其他要求是安全管理体系的基本要求。
10.2.7程序与控制
程序与控制是系统的两个关键属性。
安全政策必须落实成程序以便应用,而且控制必须到位以保证关键步骤按设计完成。
运营人应开发程序、将程序文件化,并保持程序以实现其安全政策和目标。
10.2.8应急响应
有效的应急响应方案可能会减轻事故等不安全事件造成的后果。
应急响应方案以书面形式规定了不安全事件一旦发生之后,运营人应该做些什么,以及每个行动由谁来负责。
为了确保应急响应方案在实际运作时有效,应进行定期的训练和演练。
进行演练还有助于验证方案的有效性,找出方案的不足,并进行改进。
10.2.9文件及记录
文件的价值在于沟通意图、统一行动。
因此,对文件的批准、评审与更新、标识、分发、作废等应进行控制,确保文件的适宜性、充分性和有效性。
安全管理体系所要求的各种文件可以通过修订运营人现有的手册、程序等文件实现,也可以单独编写。
外来文件通常包括来源于运营人之外的法规、规范性文件、通告等。
外来文件中的信息直接或间接影响运营人的安全运行,因此,应建立获取外来文件的渠道,及时获取并分发至相关部门,以便相关部门及时转化成内部程序或修改已有文件的相关内容。
运行及安全管理中会生成大量的记录,这些记录可以很好地为安全管理体系,特别是风险管理和不安全事件调查服务。
利用这些记录可以实现信息的分析、利用和安全活动的追溯。
10.3风险管理
风险管理过程常用于分析运营人的运行功能和运行环境,以识别危险源,分析评价相关风险,并采取控制措施。
风险管理过程处于运营人提供航空运输服务的过程中,不是一个独立的或特殊的过程。
一个过程的风险管理(如原因分析、风险控制措施等)可能会涉及或追溯到其他过程,因此,风险管理应是一个协调一致、综合治理的过程。
10.3.1系统和工作分析
风险管理始于系统设计。
系统包括组织结构、过程和程序及人员、设备。
系统和工作分析应充分说明组成系统的硬件、软件、人员与环境相互间的联系,并详细到足以识别危险源,进行风险分析。
应对系统进行文件说明,但对格式没有特殊要求。
系统文件通常会包括运营人的手册系统、检查单、组织结构图和人员岗位说明等。
运营人的运行及其支持过程建议分解为:
(a)飞行运行;
(b)运行控制;
(c)维修;
(d)客舱安全;
(e)地面服务;
(f)货运;
(g)训练;
(h)其他,如人事、财务等。
系统和工作分析只要详细到可用来进行危险源和风险分析即可,冗长和过分详细的系统和工作分析是不必要的。
尽管可以使用复杂的开发方法和手段,但经理与员工进行的自由讨论通常更为有效。
10.3.2危险源识别
系统及其运行环境中存在的危险源必须被识别、记录和控制。
界定危险源的分析过程还应考虑系统的所有组成部分。
表1是危险源样例。
系统及其运行的分析中关键问题是“如果发生了会怎样?
”。
当识别出所有可能的危险源比较困难时,运营人应首先识别运营中重大的、可预见的危险源。
表1危险源样例
n航图中有些标注离所标注的点距离较远
n仪表制式、单位需换算
n飞行员持有飞行体检合格证,但心理或生理状态较差
n航行情报发放现场,资料管理混乱
n维修任务计划和安排不适当,按正常程序完成工作所需的时间和资源不充分
n人员招聘考核中,未考虑岗位所需的安全要求
n培训的考核或评价方式不适当,导致不胜任者取得资格
n资源分配时未充分考虑风险等级
n装卸工缺乏危险品装卸知识
n绩效考核或奖惩中未能体现安全第一
10.3.3风险分析和评价
通常风险分析和风险评价是将风险分解为风险发生的可能性及后果的严重性。
常用的工具是风险矩阵,图4是这种矩阵的样例。
运营人应当开发一个最能体现其运行环境的矩阵,针对临时运行和长期运行可以开发拥有不同风险接受标准的不同的矩阵。
矩阵的定义和最终结构将由运营人自行设计。
各种后果严重性和发生可能性等级应根据实际运行环境确定。
后果严重性和发生可能性界定的样例见表2。
各运营人对严重性和可能性的界定可以是定性的,但应尽量定量。
表2结果严重性和发生可能性标准的样例
结果的严重性
发生的可能性
严重性等级
界定标准
参考值
可能性等级
灾难性的
多人死亡。
航空器损毁。
5
特别频繁
特别严重的
安全系数大大下降,身体压力或工作负荷已达到无法靠自身的能力完全履行职责的程度。
一定数量的人员严重受伤或死亡。
航空器损坏。
4
经常
严重的
安全系数较大下降,操作人员因工作负荷增加,或因工作条件不利导致工作能力下降。
人员受伤。
主要设备损坏。
3
偶尔
轻微的
安全系统下降。
操作受限。
设备损坏。
2
极少
可忽略
影响很小。
1
不太可能
在制定风险评价标准时,运营人应制定风险接受程序,包括可接受标准和局方的要求以及风险管理决策的责任层级。
风险的可接受标准受安全目标高低的影响。
风险可接受程度可以通过风险矩阵(如图5所示)进行评估。
示例矩阵说明了可接受程度的三个等级:
不可接受的(黑色区域)、可接受的(白色区域)、缓解后可接受的(灰色区域)。
(a)不可接受的(黑色区域)
如果可能性和严重性相综合后,风险处于黑色区域,则该风险是不可接受的,必须进一步采取干预行动来消除相关危险源,或控制可能导致更大可能性或严重性的因素。
(b)可接受的(白色区域)
如果风险处于白色区域,则可以接受,不需进一步采取行动。
但是,风险管理的目标应是无论评价显示风险是否在可接受范围内,都要将风险尽可能降至最低。
这是持续改进的基本原则。
(c)缓解后可接受的(灰色区域)
如果风险处于灰色区域,则在特定的缓解条件下风险是可接受的。
这种情况的一个例子就是评估一个在最低设备清单中列明的失效航空器组件的影响。
如果MEL中定义的操作(“O”)或维修(“M”)程序被实施,就可使该风险从不可接受变为可接受,则实施MEL中的操作(“O”)或维修(“M”)程序就构成缓解行动。
这些情况也应该在安全保证功能中持续强调。
图5风险矩阵
一些其他方法也可用于风险评价,如某些专业组织开发的用于飞行、运行控制和地面服务等的风险评价方法。
10.3.4原因分析
风险分析不仅应注重对严重性和可能性的区分,还应注重根原因分析。
这是进行有效控制、降低风险的第一步。
一些结构化的软件系统可用于进行根原因分析。
但是,在很多情况下,运营人内部飞行员、维修人员或签派员、其他经验丰富的专家间进行的分析研讨是寻找降低风险途径的有效方法。
此方法的另外一个好处是可以使最终实施控制措施的员工参与进来。
10.3.5风险控制
在完成以上步骤后,必须进行风险控制的设计与实施。
风险控制可能包括增加或改变程序,增加新的控制措施,增加管理,改进培训,增加或改进设备,调整人员等。
应根据危险程度和复杂性,通过结构化的方式设计控制措施。
风险控制措施的内容通常包括风险控制的目标、有关部门及人员的职责和权限、实现该风险控制目标的技术方案(技术措施、时间进度和资源需求等)。
可用的控制措施可能有一个或多个,可以使用系统安全技术对控制措施进行分级、排序和选择。
考虑到必要措施的迫切性以及开发更有效措施的复杂性,在不同的阶段可以采用不同的控制措施,例如在开发更有效的危险源消除方法时,先进行警告是恰当的。
控制措施的分级包括:
(a)从设计上消除危险源——系统修改(这包括硬件、软件系统和组织系统);
(b)物理防护或屏障——减少在危险源中的暴露或降低后果的严重性;
(c)危险源的警告、通告或提示;
(d)为消除危险源或降低相关风险发生可能性或严重性而改变程序;
(e)为消除危险源或降低相关风险发生可能性而进行的培训。
即使采用高效的控制措施,完全消除风险也几乎是不可能的。
在这些控制措施设计完成后,系统实际使用前,必须评估控制措施是否有效及是否会将新危险源引入系统,这种情况称为“衍生风险”。
图3中返回至图表顶端的闭环表明了评估(系统和工作分析,危险源识别,风险分析和风险评价)过程的使用,以确定改进的系统是否可被接受。
10.4安全保证
安全保证比运行现场监察范围更广,它通过持续的信息获取和分析,验证风险控制措施的落实情况,采取预防或纠正措施;
识别在不安全事件发生前采取风险控制措施的机会,实现安全管理的闭环。
相关管理人员可通过安全保证技术(如内部审计、内部评估)判断安全管理措施是否在按计划实施,从而掌握自己负责过程的安全状况,建立信心。
各运行过程通过信息获取,进行数据分析、系统评价及预防或纠正措施,实现各运行过程的安全管理的闭环。
运营人通过信息获取,进行数据分析、系统评价、预防或纠正措施及管理评审,实现运营人整个体系的安全管理闭环。
安全保证方案应能确保所有运行过程以恰当的时间间隔接受评价。
内部评估是建立在生产运行部门内部审计之上的,因此,生产运行部门内部审计应在内部评估之前完成。
通常,生产运行部门内部审计的周期不应超过半年,内部评估的周期不应超过一年。
计划应有灵活性并应是动态的,当识别出不利趋势时,应及时进行专项评估。
10.4.1用以决策的信息
安全保证信息来源于各种渠道,包括正式的审计,安全相关事件调查,日常活动的持续过程监控,以及来自于员工报告系统的信息。
10.4.2持续监控
运营人应通过持续监控对运行的所有方面进行监控。
持续监控还提供了主动识别危险源、证实已采取的安全措施的有效性和持续评估系统绩效的方法。
应监控的运行信息应来自于飞行记录器、值班日志、机组报告、工作卡、处理表单等。
运营人应建立飞行数据分析(FDA)方案,对来自于飞行记录器的数据进行分析。
FDA是指收集和分析在日常飞行期间所记录数据的主动方案,以便提高飞行机组的效能,改进操作程序、飞行训练、空中交通管制程序、空中航行服务或航空器维修和设计。
FDA有时被称作飞行数据监视(FDM)或飞行运行质量保证(FOQA),它为危险源的主动识别提供了另外一个工具。
10.4.3生产运行部门内部审计
生产运行活动是危险源最直接出现的地方,是过程缺陷造成风险的地方,也是通过直接监管及资源分配能将风险降低至可接受水平的地方。
内部审计可以为生产运行部门提供一种有计划的、有方法的、以监察原则为基础的评审,以确定运行的安全状况。
因此,《要求》规定运营人各运行部门具有内部审计职责
升级会员 