民航空管安全评估办法试行资料下载.pdf
《民航空管安全评估办法试行资料下载.pdf》由会员分享,可在线阅读,更多相关《民航空管安全评估办法试行资料下载.pdf(52页珍藏版)》请在冰点文库上搜索。
实施安全评估具有重要意义,主要体现在以下三个方面。
第一,变事后处理为事前预防,使安全工作科学化。
通过系统重大变化前进行安全评估,采取有效的评估工具和程序,组织者可以预4先系统地辨识危险、发现隐患,避免隐患在系统运行过程中爆发所造成的巨大损失,并且可以掌握系统详细信息,采取有针对性的措施,消除或减小危害,确保系统运行安全。
第二,变经验管理为科学管理,使安全工作标准化。
安全工作的管理方式应当是科学的管理方式,应当通过科学的方法、程序和工具确保和提高系统安全的可靠性。
安全评估具有一套逻辑严谨、标准化程度很高的实施和运行程序,可以使安全管理工作标准化、程序化,保证和提高安全管理工作的效果。
第三,与国际民航空管接轨,提高我国空管安全管理工作水平。
目前国际民航空管界已经普遍采用了安全评估的做法,有效的降低了空管运行中的事故和事故征候发生率。
我国空管运行安全评估的程序后可以与国际空管实现无缝对接,减少业务衔接过程中的隐患,提升我国民航的国际形象,提高我国空管的安全管理水平。
5第二章安全评估理论与方法第二章安全评估理论与方法安全评估经过多年的发展和积累,逐渐形成了较为完善的理论体系,目前安全评估的理念和方法已经扩展到全世界范围内的诸多行业,促进了各个行业安全水平的提高。
1概念和定义1概念和定义
(1)危险、风险、隐患与安全评估
(1)危险、风险、隐患与安全评估安全评估是从危险的辨识、发生概率、后果严重性分析到根据相关标准和可接受准则进行评价并采取措施降低风险的过程。
安全评估是保障系统安全的重要手段,通过安全评估的实施,使系统风险控制在可接受范围之内,从而保障系统的安全。
与风险密切相关的是危险、隐患等一系列概念。
危险是可能产生潜在损失的征兆,危险是风险的前提,没有危险就无所谓风险。
风险是危险的表征,风险从危险发生的概率和其严重程度来综合考虑。
隐患是指任何能直接或间接导致伤害或疾病、财产损失、工作场所环境破坏或其组合的对工作标准、程序、法规、管理体系绩效等的偏离。
现代安全管理的观点认为:
系统的风险不可能完全消除,风险控制在可接受范围内的系统是安全的。
风险越大,系统越不安全;
相反风险越小,系统越安全。
有学者把安全与风险的关系简洁的表述为:
S=1RS和R用(0,1)上的数值来刻画,S代表安全,R为风险,R又可以用事故发生的严重程度和发生概率的函数来表示,即:
6Rf(p,c)p为严重程度,c为发生概率。
因此进行安全评估也就是对系统风险的评估。
(2)系统寿命周期
(2)系统寿命周期一个系统的寿命周期包括从系统的概念、设计、制造、运行过渡、运行以及退役等阶段组成。
因此,对一个系统进行安全评估需要对该系统寿命周期内的各阶段进行安全评估。
2安全评估发展概述2安全评估发展概述安全评估在航天、航海、经济管理、核工业、化学工业等众多领域得到广泛研究和应用,使安全评估方法向科学化、标准化的方向发展。
随着航空航天、核工业等高技术高风险领域的发展,以风险率为标准的定量评估的方法得到迅速的发展。
60年代英国建立了事故率数据库和可靠性服务机构,开展概率风险评估工作,在国际上影响较大,推动了安全系统工程的发展。
70年代美国原子能管理委员会发表了商用核电站风险评价报告标志着以风险率为标志的定量评估已经趋于成熟。
现在,定量工作已在世界范围内,特别是在工业发达国家的许多工程项目中得到广泛的应用,并在许多行业制定了技术标准。
与民航同属于交通领域的水运多年前就开始了风险评估的工作,并由国际海事组织提出了一套规范化的方法,称之为规范化安全评估(FormalSafetyAssessment,FSA)。
我国学者利用FSA开展研究的成果颇丰,FSA为海运安全水平的提高起到了重要的作用。
国外民航对安全评估的研究可以追溯到上世纪80年代。
1991年美国得克萨斯大学人为因素研究小组和大陆航空公司共同开发航线运行安全审计系统,通过让独立的、受过培训的观察员在保证不伤害机7组利益、不透露飞行员身份和具体航班号的前提下进入驾驶舱,跟随正常的航班飞行,收集飞行机组的行为和外部环境状况信息,并进行统计和分析,用于改进飞机设计、运行程序、训练、安全管理和调查,全面提高安全运营水平。
近些年来,安全评估的研究成果也不断涌现。
在飞安基金会支持下由Hadjimichael和McCarthy研究开发的飞行运行风险评估系统(FlightOperationsRiskAssessmentSystem,FORAS)是一套基于模糊专家系统的安全评估、管理工具,该系统对风险进行编码分类,依靠专家意见和模糊数学工具,对主要风险因子进行分析和评估,并得出定量的结果。
随着安全评估实践的不断深入和凝练,逐渐形成了一套较为成熟的理论和方法,典型的比如EUROCONTROL制定的SAM、美国FAA的系统安全手册,应用于系统本身和变化时的风险识别和评估,推动本质安全思想的发展,使安全决策更加科学化、规范化。
发展趋势表明,使用和推广安全评估是提高空管安全管理水平,完善和推进民航航空系统健康协调发展的必由之路。
3安全评估方法3安全评估方法安全评估是安全管理体系的核心内容之一,也是保证系统安全的必经之路。
Montague将风险评估方法分为3类:
定性的、半定量的及定量的风险评估方法。
定性风险评估方法主要包括风险评估指数法RAC(RiskAssessmentCode)等。
其主要特点是对危险的可能性和严重程度不做精确的数值分析,而是大致将其划分为一些等级,然后把这两者用不8同的方式综合起来衡量风险的大小及重要程度,并按大小和重要程度对风险进行分类排序,最后分别对不同种类的风险采取不同的措施,确定是接受风险还是做出调整以降低风险。
定量风险评估比定性方法更为精细,也更复杂,包括多种方法,主要有概率风险评估PRA(ProbabilisticRiskAssessment)等。
PRA方法主要针对复杂系统进行风险评估,在核工业、化工、航空航天领域中有着重要的地位。
美国宇航局已经将PRA作为航天飞机风险评估的基本方法,PRA通过综合运用各种安全性分析方法进行系统分析,考察风险后果的严重度并对其不确定性进行量化,支持安全风险的管理决策。
半定量的风险评估方法介于两者之间,常见的方法有总风险暴露指数法,直接风险(TotalRiskExposureCode)、直接风险评估法SCRAM(Short-CutRiskAssessmentMethod)等。
针对空管系统而言,可以利用的工具也很多,FAA与EUROCONTROL的联合研究项目中归纳了数百种安全评估的工具,GAIN经过多年的总结也发表了类似的研究报告。
空管系统是一个人员、设备、管理、环境相互交错的复杂系统,对运行程序与对设备设施的风险分析方法将有所不同。
附录1-4中介绍了安全评估中的一些常用方法,各种评估方法都有各自的特点和适用的范围,在选用时应根据评估的特点、具体条件和需要,针对评估对象的实际情况、特点和评估目标分析、比较,慎重选用。
必要时针对评估对象的实际情况选用几种评价方法对同一评价对象进行评估,互相补充、分析综合、相互验证,以提高评价结果的准确性。
9第三章安全评估组织与实施第三章安全评估组织与实施1安全评估的启动1安全评估的启动-按照中国民航空中交通管理安全管理规则的规定,当发生下列重大变化时空管运行单位应主动向上级主管单位(地区空管局或民航总局空管局)提出安全评估请求:
-降低最低飞行间隔标准;
-变更管制方式;
-新技术首次应用;
-实施新的飞行程序或管制程序;
-调整空域范围或空域结构;
-新建、改建、扩建空管运行设施、设备等建设项目;
-上一级主管单位认为有必要的情况。
2安全评估的实施主体2安全评估的实施主体安全评估应当由民航总局空管局、地区空管局或其指定的机构负责组织实施。
对于以下几种情况,安全评估应当由总局空管局或其指定的机构实施:
-此种类型的安全评估首次在国内实施;
-空管单位发生的变化影响两个或两个以上地区的;
10-由国际民航组织等国际组织指定实施的。
对于以下几种情况,安全评估可由地区空管局或其指定的机构实施:
-此类型安全评估在国内实施过;
-空管单位发生的变化仅影响其所在地区的空管运行。
实施安全评估方案要求实施主体:
-确定何时实施安全评估;
-制定实施安全评估的程序;
-制定安全评估的验收标准;
-制定保留和传播通过评估获得的安全信息的文件要求和程序。
3安全评估的实施过程3安全评估的实施过程当系统发生下列重大变化时(启动安全评估的几种情况),空管运行单位应主动向上级主管单位(地区空管局或民航总局空管局)提出安全评估请求,得到批准后,由安全评估的实施主体(详见3.2)组织实施安全评估工作。
安全评估前,实施主体要做好各种前期工作,包括组织相关专家成立评估小组,制定评估调研方案,协调各单位关系,提供各种资源保障等。
被评估单位应给予积极配合,提供必要的数据、文档和资料,保障评估活动顺利完成。
评估小组的组成要求及相关程序等事项参见附录3。
安全评估的具体工作程序详见第四章。
安全评估的程序完成后,经实施主体验收批准评估报告,然后下发给评估申请单位。
安全评估的实施过程见图2。
由地区空管局组织实施的安全评估,应向总局空管局提出申请,得到同意后方可实施。
评估报告应详细记录安全评估的整个过程和结论。
对一个空管单位进行的安全评估,其相关文档应报地区空管局。
对于多个空管单位范围内的安全评估,其文档应报总局空管局。
只有通过安全评估,确定项目实施后能达到可接受安全水平,并获得总局空管局或地区空管局的批准后该项目方可实施。
11图2安全评估的实施过程空管运行单位(地区空管局)地区空管局(民航总局空管局)评估申请申请评估报告下发系统及其运行环境描述指定机构编写安全评估报告制定风险缓解措施确定风险等级风险严重性和可能性分析危险识别评估报告验收重大变化12第四章安全评估程序第四章安全评估程序安全评估的具体实施环节,通常包含如下步骤:
(1)系统及其运行环境描述;
(2)危险识别;
(3)风险严重性和可能性分析;
(4)确定风险等级;
(5)制定风险缓解措施;
(6)编写文件。
各环节之间的关系如图3所示。
1系统及其运行环境描述1系统及其运行环境描述安全评估的第一步是系统及其运行环境描述。
其中系统描述指的是描述拟评估系统的-内容:
包含哪些子系统和要素;
-功能:
系统、子系统具备的功能;
-变化:
系统的内容和功能与评估前有何变化,变化的含义是增加、删减或变动。
系统的运行环境描述是对拟评估系统与其他系统或者环境的交互界面的描述、拟评估系统环境包括的内容等;
界面和环境与评估前发生的变化。
在本环节的描述中还应当体现系统内部、系统与环境的内在功能的联系。
通过系统及其运行环境描述,可以使参与安全评估的人员充分了解拟评估的新系统或变更,以及它将如何与所属的整个环境的其他组成部分间相互联系。
对系统运行环境描述还可以明确系统13运行环境是否与规章要求一致,以作为评估危险源严重性等级的补充参考因素。
该步骤的主要工作是:
-引入系统或者发生变化的目的;
-系统、子系统、要素的功能;
-系统变化详细说明;
-系统与其他系统或者环境的交互界面;
-系统环境发生的变化,其中系统环境包括各种法规环境、标准、组织环境等。
具体描述内容可参见图4。
其中:
-空域特征:
空域分类、间隔标准、航路结构的特征和复杂程度等;
-空中交通特征:
空中交通的复杂程度(现在和可以预见的将来)、扇区流量、军民航活动等;
-航空器的性能和设备:
航空器的性能要求等;
-机场状况:
飞行区(跑道、滑行道)、助航设备等;
-气象:
当地天气状况(山地波、雷暴、火山灰等);
-地形:
机场周围的明显障碍物、地形特征等;
-环境保护:
噪声污染的控制等。
图3安全评估的内容及相互关系14描述的内容运行依据法律环境描述系统描述运行环境描述现在将来过渡操作描述功能描述边界和交互界面描述程序和人为因素设备人力资源其他部分飞行员任务时间物理逻辑空间地理飞行路线描述图4系统及其运行环境描述示意图图4列出这些项目(系统)的目的是帮助评估人员开拓思路。
实际评估时有些条目(比如气象、地形、环境控制等)会用不到,也有些条目会没有列出。
评估人员应当根据评估的具体对象,尽量详细具体的列出系统环境包含的项目(系统)。
安全评估人员首先应当明确引入新系统或系统发生变化的目的,然后应当明确新系统、其子系统和所包含各要素的功能。
如果是系统变化则应当明确知道到底是系统的哪部分发生了变化,这些都明确无误后安全评估人员应当填写一份系统变化的详细说明,以防止其他人员评估时重复做这项工作,延误评估时间,也便于其他评估人员评估时准确查询。
如果在评估期间系统及其运行环境发生了新的变化,则该详细说明应当及时更新。
1516系统运行环境的描述也非常重要。
明确了系统变化之后,还应该详细描述系统运行环境。
安全规章是保障系统安全运行的前提,它们都是在一定背景条件下制定的,并有一定的适用范围,这些背景条件和适用范围就是环境。
要达到系统安全的目的,需要三个要素的协同配合,这三个要素是:
环境、系统、安全规章,这三个要素中改变了其中的任何一个都可能会引起安全隐患。
本办法将安全规章纳入到环境中考虑,这时要素就剩下两个,当改变其中之一时,都要进行安全评估,以便保证空管系统的安全运行。
填写系统变化详细说明的情景有两种:
一种是引入新系统或者系统发生变化时,这在前文中已经叙述过;
另一种是环境的描述及其变化,这一点尤其应当引起评估人员的重视。
很多评估人员只关心系统的变化、系统的功能变化及其引起的后果,对环境及其变化引起的后果重视不足。
环境的描述应当尽量的详尽,环境包含的各项目(系统)运行环境、状态都应当详细记录,以便和安全规章制定的背景条件和适用范围做对比,及时发现差异,识别安全隐患。
系统及其运行环境描述的环节,一两个评估人员很难完成,评估单位应当组织一批各领域专家组成评议小组完成此项工作。
具体过程见附录3。
2危险识别2危险识别系统及其运行环境描述之后进入的环节是危险识别。
危险识别的顺序是:
通过描述系统环境、系统及其子系统的功能与其发生的变化,识别出可能发生的故障,进而识别出可能的危险源位置及其发生情景。
危险识别的前提假设,即默认条件是:
发生变化前系统是安全的。
因为安全评估针对的是“变化”引起的安全隐患进行评估,不是对一个系统的普通安全状态进行的评估。
如果没有这项假设,需要识别的17危险源将是难以计数的,安全评估工作也就无法开展。
这个步骤需要做的主要工作包括:
-确定系统或者环境变化对安全有影响的方面;
-确定可能发生的故障模式;
-确定哪些地方存在危险源;
-每一个危险源发生的可能情景是什么;
-生成危险源控制单。
本章第1节中提到的“系统变化详细说明”会记录很多变化内容,但不是所有记录的变化都会造成系统的安全隐患,只有那些对系统安全起到举足轻重作用的变化内容才可能引起系统或者其子系统功能的缺失或衰减,即系统故障。
本办法中将与系统故障有关的变化内容叫做故障原因,系统故障的不同表现形式叫做故障模式。
危险识别时,根据“系统变化详细说明”中的记录,辨别能够影响系统功能的变化内容,对应可能影响的系统功能,应用系统故障清单(表1)表示不同的故障模式。
这个表中所列的是通用故障模式分类,实际的安全评估中每个故障模式都可以分得更细,评估人员也可以根据实际情况列出更多的其他故障模式。
每种故障模式是由一个或多个发生原因造成的,每个发生原因是由一个或者多个危险源引起的。
对应故障模式发生原因危险源这条反向故障发生链条,评估人员可以系统的识别出很多危险源,并且可以有针对性的制定预防措施,避免这些危险源在系统运行过程中变成安全隐患酿成事故。
这里有必要强调一下主动故障和潜在故障。
操作错误导致的故障是主动的故障。
系统的开发和维护阶段的错误和遗漏会导致潜在故障,潜在故障需要引起评估人员更多的注意。
18危险源识别是一个系统工程,在应用反向故障发生链条识别危险源时,除了分析与发生原因相关的各要素(人员、设备、管理、环境),各要素之间的交互作用也要分析。
具体分析某个发生原因时应按照如下几个要素开展工作:
-人员,与故障发生原因相关的人员,如进近管制、塔台管制等业务单位的工作人员;
-设备,与发生原因相关的设备,如空管自动化系统、雷达系统、电报系统等;
-管理,与故障发生原因相关的指导思想、各种运行规范、组织结构、规章制度、运行程序、教育培训、安全文化等;
-环境,与被评估原因相关的业务环境、地理环境、气象环境、人文环境、通信环境等内容;
-上述四个要素之间交互,如人机界面等。
进行交互的目的是要寻找要素之间发生联系时系统可能存在的危险。
四个要素的交互具体是指人员与设备、人员与管理、人员与环境、设备与环境、设备与管理、管理和环境之间的交互,交互情形示意见图5。
管理环境设备人员图5危险源识别要素交互图表1系统故障清单示例表系统功能失效表现故障模式整体失效启动失败部分失效停止失败错误的输入或输出转换失败-丢失数据延迟操作-发现了错误的数据提前操作-没有发现错误的数据操作疏忽-自发产生的数据间歇的或不稳定的操作-数据顺序混乱操作改变指示错误的数据听错不连贯的信息理解错误错误的更新数据数据不能同步1920识别危险源时最好采用专家评议法的形式进行,与会专家应对历史数据和安全信息进行充分的分析和挖掘。
本办法建议评议会上采用事故树工具(见附录1)进行故障发生原因和危险源的识别,专家评议法的具体形式及应注意的事项参见附录3。
评议会需要一些经验丰富的运行和技术人员及本领域的安全专家参加,一般应包括下列人员:
-空中交通管制员,设备维护人员、管理人员;
-飞行员及其他航空公司代表;
-设备制造商,信息提供者;
-其他必要人员。
对于识别出来的危险源要确定其发生情景。
因为只有在特定情景下,危险源才会引发系统故障的发生。
相应的,当控制了发生情景的发生,故障的发生链条就会从链条的底部被控制。
最后将危险源名称及其发生情景填入危险源控制单中,危险源控制单示例见表2。
综上所述,本环节过程为:
系统功能是否完备系统故障发生原因识别危险源识别。
21表2危险源控制单示例日期:
被评估单位或部门:
危险源序号危险源名称危险源后果严重性等级发生可能性发生情景风险等级采取措施备注3风险严重性和可能性分析3风险严重性和可能性分析危险识别过程完成后,即危险源识别出来后,要对每个危险源进行详细分析,确认其风险发生的后果严重性和发生的可能性,将结果填入危险源控制单中,见表2。
风险严重程度判断和与人为差错相关的风险可能性的判断本质是一个预测的过程,总会带有某种程度的主观成分,判断结果受人为因素影响较大,但是通过有安排有组织的小组讨论(见附录3),综合考虑各方面可靠信息,结合表3的风险严重程度分类表和表4风险发生可能性分类,并有在各自领域内具有丰富经验和专门知识的专家们的参与,可以给出每个危险源的风险严重性等级和风险发生可能性,将评估结果填入危险源控制单中。
经过这个过程后,应当能够保证评估结果是可信的。
小组讨论风险发生后果严重程度时,专家通常需要考虑以下几个方面:
-影响程度,即危险发生后对空管系统以及外界的影响,包括:
管制员工作负荷:
通话量,管制协调、单位时间指挥架次等;
对设备的依赖:
包括通信设备、导航设备、监视设备;
空域复杂程度:
划设扇区数量、军民航冲突;
媒体的关注程度等。
-持续时间,即危险发生后对空管系统的影响时间。
-察觉难易程度,即对飞行冲突发现的难易程度。
-恢复情况,即危险发生后恢复到正常状态。
对于系
升级会员 