1、永剛院長在SMS培訓會上的講話航空安全監察管理部根據錄音整理22日上午4月29日總局出臺了關于航空公司實施SMS的規章，就是正式頒布的 AC，與此AC相關的121部條款的修訂將 來也會公布。之前我就 SMS的建立、工作內容、思想、方 法等問題和公司高層作了交流和溝通。這次講課的主要內容 是介紹如何操作，在組織機構確定的前提下，各條線開始具 體實施SMS，同時，把總手冊整合的框架與工作小組做一個 詳細的溝通。SMS我們首先要懂得原理，接下來工作中遇到的問題就可以 按照原理實施了。我上午將介紹以下幾個問題：一是 從哪來；二是它要向哪去；三是要怎么做。 SMS體系就是建 立安全組織機構和管理各項事情

2、的原則和辦法的綜合。航空 公司大多數業務與安全都有直接關系，因此就要調整整個管 理的體系，企業管理的理念、機制和程序，就是改革原有體 系，而不是建立新的體系。安全管理是屬于運行管理的一部分，是運行管理的屬 性。這個理念在發達國家已經有十年的歷史了。每個國家要 建立一個安全管理的方案，規定民航企事業單位應該達到的 安全水準（這個水準不是中國民航所說的“三為零”，那是最高 水準），由于各個國家航空安全水平不一樣，所以定的標準 也不一樣。中國民用航空局建議航空公司從06年12月23日開始 實施SMS，要求從09年1月1日開始必須實施，實施 SMS 是國家安全管理的要求。滿足以下 4條功能性要求（見

3、AC） 就是實施SMS，必須通過一個體系的工作才能實現這幾個功能。它要求各個國家自己去建立體系，只要能完成這4個功 能，這個體系就是合格的。國際民用航空公約“附件 6”里的 “25 ”強調的是責任（問責制），問責制是一個體系，完成不 了任務要追究責任，甚至上升到刑事責任。國際民用航空公 約“附件6”是目標性或者功能性要求。安全管理手冊（SMM） 為完成SMS建設提供了指南，但僅僅是參考手冊、學習材 料，而不是SMS的模板。大家看到的 AC和總局136號令， 就是中國民航SMS的總要求，其中界定了 SMS要素的組成； 而AC界定了航空公司實施 SMS的具體要求，把 SMS分成 4大支柱，27個要

4、素。以上就是 SMS的背景和目前情況。中國民航事故率現在接下來介紹為什么要實施 SMS 降事故率。由事故率曲 線圖可看出世界事故率大幅下降，但是到近幾年下降到一定 值就不下降了，處于平緩階段。事故率大幅下降的原因可分 為兩個階段，一個是軍用飛機技術的引進，另一個是人為因 素的改善，之后就一直保持直線水平。仍然繼續下降，是因為還處在第二階段一人為因素階段。SMS是發達國家研究出來解決平緩階段的方法，是精細化的中國民航必須兩個管理，而我們還處于粗糙化管理。現在， 階段同時進行，在解決平緩問題的同時還要快速走完人為因素階段。各航空公司實行 SMS也是一樣，原來安全管理不 得力的地方要加快，同時還要加

5、上精細化管理內容。世界民 航百萬架次事故率現在是0.2,但是運輸量在不斷增長，如SMS不果還是0.2的話，事故次數就會增加，所以世界民航提出要 把事故率降低到 0.1的標準，要減少事故次數有兩個辦法： 一個是降低運輸量，另一個就是控制事故率。由于中國現在 無法快速降低事故率，所以現在只能降低運輸量，目前的做 法就是加強管理，增加檢查次數和檢查強度，但是， 是加強管理，而是提出組織管理，只加大懲罰力度是達不到 理想效果的。由于現在還無法杜絕事故，并且運輸量不斷增 大，所以必須抓組織管理，從源頭抓起，所有人都為安全服 務。因此，今后我們采購飛機的時候要定制適合中國人習慣 的，要對適航性進行把關。下

6、面介紹一下SMS的去向。現在多數人都認為安全是 結果問題，而SMS對安全的定義變了，因此安全管理變了。 安全不是結果的問題，而是一種狀態，是保持在可接受水平 的狀態。不出事故、事故率低都不能稱為安全，只有當隱患 控制的好、發作率低，而且有應急預案，即使隱患發作損失 也少，才能稱為安全。安全管理就是管理生產、運行而達到 安全，應該是由運行各部門自己管理，而不是安監部管理。 以前我們一直認為安全是獨立的，是可以管的，因此都讓安 監部管理，實際上按照 SMS要求，安監部應該只對事故處 理、績效考核管理，只對結果管理。日常的業務、風險管理 都應由各運行部門自己管理。總之，安全管理就是由事后管 理變成事

7、前管理，由事件管理變成事態管理，要把安全管理 的責任從安監部轉移到各運行部門。中國由于長期以來沒有區分不同類別的差錯，統稱為人 為因素，所以許多人認為 SMS與現行的管理方法有沖突， 認為SMS就是無懲罰報告，但事實上是不矛盾的，只能說 現在管理還不夠嚴，對兩種差錯沒有區分。現在中國民用航 空局嚴格了懲罰力度，采取了停航線的方法，下一步還要停 飛機，進一步加嚴、加強安全管理，同時要從源頭抓系統的 安全管理，這就是中國的 SMS。SMS就是一套具體的對政策、 組織機構改革的方案， 責要劃分、調整，管理辦法、責任人要改變。安全管理體系 最重要的是界定運營人各級的安全責任制，包括高層管理機 構的安全

8、直接問責制。 安監部的主要責任是安全分析、 研究、 考核和匯報，相當于各公司的安全研究所，各部門負責自己 部門的安全問題，安監部對其進行考核。安全管理的主要責 任落實在負責運營人（航空公司）技術過程的人員身上。技 術過程是危險源直接出現的地方，是容易造成風險的地方， 也是通過直接監管、控制措施及資源分配能夠將風險降低至 可接受水平的地方，為此，本規定要求各生產運行過程的運 營人員具有內部審核職責。所以，運營人應通過內部審核和 評估大綱，賦予生產運營部門經理監控這些過程的職責，并 定期評價。現在開始講如何實施 SMS，就是按照AC實施。首先說 明一點，這次AC具有里程碑意義，它是對管理約束的咨詢

9、 通告，是管理的規章，是功能性的要求。它不是說明該怎么 做，而是說明該做什么。管理是介于技術與藝術之間的術語。SMS技術部分在于風險管理，難點在于組織結構部分。本AC分為兩個部分，前部分是指南，后部分是要求，且適合“121 部”和135部”兩種運營人。（介紹AC）“定義”里面提到了很多“過程”這個“過程”大 家還不是很明白，其實過程是“活”，航空公司有飛行、簽派、 維修等“活。“程序”就是規矩。“審核”與S09000的審核是不同 的，IS09000的審核是整個系統的檢查，本AC的“審核”是指定期的評審，查證是否符合政策、規章、標準、合同，是符 合性檢查，從組織管理和運行著手， 既檢查技術又檢查

10、管理。 所以這里要把“審核”對照評估看，評估是對運營人的政策、 程序和系統進行的功能性獨立評審。當運營人獨立完成某項 工作時，應由運營人內部獨立于被評估部門的機構來完成， 對航空公司來講就是安監部、運標部。評估過程建立在審核 和檢查的基礎上，評估和系統審核統一，審核是不系統的， 評估是系統的。SMS就是由安全、管理、系統三個詞組成。安全是基于風險管理的要求，是狀態的要求，要控制這個狀態，就要用 風險來衡量，風險是安全程度的表征參數。管理就是用質量 管理技術進行安全保證，本咨詢通告中安全管理過程始于組 織過程的設計，企業各項“活”的設計，一旦程序開始實施， 就由質量管理負責了，就不是安全管理了，

11、安全管理是風險 管理，質量管理是實施性管理。質量管理技術可以用來提供 模板化的過程，保證實現目標，預防、糾正問題。因此，安 全管理可以被視為一一為實現安全目的，對安全相關的運行 和支持過程進行的質量管理。IS09000的目的是確保產品穩定，是樹立了標準，大家 都按標準做，就能實現目標。這個理念可以用于質量管理， 但是識別不了危險源。對危險源的識別、評價和控制措施、 程序的制定稱為安全管理，形成了規矩之后就交給質量管 理，這就是質量管理和安全管理的關系。另外，談一下質量保證和安全保證。何謂保證，我把它 稱為安全監測，安全保證又比安全監測多一部分，就是監測 出問題之后反饋給管理者，讓管理者糾偏，這

12、三個過程就稱 為保證。保證是系統的為運營人的運輸服務是否滿足要求而 提供信心的過程。質量保證發現問題之后，如果是新危險源 就反饋到風險管理，重新制定措施，如果是老問題就直接用 質量管理的做法解決。（分析體系圖）22日下午什么是安全文化？其實很簡單，就是在要求不明確的情 況下，企業大多數員工都知道該怎么做，這就體現了一個公 司的文化，手冊文件是不可能把所有事情都規定清楚的。所 以在實施SMS的過程中，安全文化也是很重要的，有句話 說得很好：“一個企業的成功不可能全部靠硬性的規章去實 現，還必須要有一個文化使大家在沒有規章的情況下，價值 取向也不變。”MS的文化不是說教，而是具體的三件事，后 面涉

13、及到的時候再具體講。這里（幾個圖）談一下運營人運行與防護的關系。安全管理 起什么作用？起的是防護的作用，是對生產的防護，質量管 理是對搞好生產的管理，所以安全管理是補充、完善，安全 與管理之間的關系是運行與防護之間的關系（見圖）的“過程”就是一樣一樣的“活”如飛行、簽派、維修、貨運等 等，對于每一樣“活；安全管理起的是防護作用，是控制風險的作用。整個目標是滿足客戶要求的，這是過程的目標，不 做防護是完成不了的。由此圖可以看出安全管理與運行是不 能分開的，所以需要強調的是：圖是從功能角度，而不是從 組織結構角度進行描述的。該圖并不意味著安全管理只是安 全部門或安全總監的責任，事實上安全管理體系強

14、調管理生 產運行過程的人員在安全管理中的角色。這里強調的是誰負 責某一項業務誰就管理安全，這個圖顯示的是每個部門既有 滿足用戶需求的責任，又有防護的責任，是指一個人身上具 有兩個責任，而不是指兩個人分別具有一個責任。下面開始具體的講。運行過程是指飛行運行、運行控制、 維修、客艙安全、地面服務、貨運等過程，這里少了訓練， 因為訓練是飛行的支持過程，而不是運行過程。“由于運營人的運輸服務是通過運行過程來完成的，所以有效的風險管理 和安全保證應從徹底了解運行過程的結構和組織著手。相當 數量的危險源、風險因素來自于過程設計不當或系統與運行 環境不適宜。”也就是說將來與國航運行標準對接的時候，要 分別研

15、究國航和山航的環境，分析對接的問題，不能照搬，要考慮適宜不適宜。在某些情況下有些危險源可能不能被充 分識別，因為不考慮這些因素就可能識別不了。“風險是伴隨運行活動產生的。因此，運營人的首要職責是識別其管理過 程和運行環境中存在的危險源，控制其風險。”這就是講誰干活誰負責安全管理，不能讓別人負責。接下來就講了運營人運營、防護與局方的關系，其實講 這個關系就等同于講了公司運行部門與安監部的關系，是可 以類推的，安監部相當于管理局在公司的派出機構。這兩者 關系是什么呢？大家看圖“局方傳統的監督管理注重符合技 術標準，通常包括審定、持續監督、調查、規章的強制實施 等。在繼續保持傳統監督管理方法的同時，

16、局方將通過監督 運營人的安全管理體系，逐步運用系統安全方法監督管理運 營人整體安全狀態。”今后監督的是航空公司的安全狀態，并 不只是安全結果，安全狀態是通過局方審計實施的，依次類 推，安監部將來對其他運行部門的監督也是這個概念。當然 不能完全類推，因為政府的監管是百分之百獨立于企業的， 但是安監部不能百分之百獨立于其他部門。今后監管就是看 這個機制是否在正常運轉，如果機制正常運轉就有理由相信 安全是好的，就像IS09000，其實是一個道理。以前局方只 檢查過程，采用的方法是監察，就是技術符合性的檢查，今 后這種方法在一段時間內還將保留，但是要加一個內容，就 是審核管理體系、機制。安監部也是一樣

17、，每年對各部門作 一次評估，同時有權抽樣檢查，它與審核不同，它更全面， 是從管理、組織、設計開始，一直查到關閉。整個AC分為兩個部分，前面是指南，后面是正文、要 求，指南分了幾個部分，對后面的要求進行解釋、說明。以 下就是幾點說明：第一是安全管理標準化的必要性，管理必 須要標準化、結構化。“使用了與質量管理體系IS09001-2000 標準相似的模式，以便該體系與其他管理體系相互整合”。第二是可審核性，考慮以上兩個要求，把后面寫成那種形式。結構和組成講了以下幾點：第一是功能性要求，由于需 要適合各種類型和規模的運營人，所以要求沒法寫具體，只能是作為功能性要求文件制定，它強調運營人應“做什么”

18、而不是“怎么做”提示了運營人要做到什么程度，這給大家提供了靈活性。下面這句話很重要：“運營人在實施時應將要求中的要求轉化成自己的具體做法”，就是說必須轉化成公 司具體的管理辦法和管理流程，同時告訴運營人應充分利用 已經實施的各種安全管理過程，將安全管理體系的全部功能 要求充分融入已有的管理體系之中，而不是重新建立一個獨 立的新體系，但是，作為完整的安全管理體系，要求中的每一條功能要求都是必不可少的。下面講安全管理體系的組成，分了四個部分：第一是政 策，第二是風險管理，第三是安全保證，第四是安全促進， 這叫四大支柱。前兩個沒有什么可說的，最核心的就是風險 管理和安全保證的關系，如果不說清楚，企業

19、就不知道該怎 實施。下面看的這個圖是功能關系圖，不是組織機構圖，不 要把這個模板跟組織機構去對應，這只是功能，至于這個功 能是由誰來完成那是另一回事，但是必須要完成這個功能， 就是說任何一個業務部門既要做業務又要管理安全。這張圖 就是告訴大家風險管理是誰做？安全應該由業務部門負責， 安監部只是安全研究室。這張圖是 SMS實施的一個線路圖， 任何一個業務部門都要做初始風險管理，接著對系統評價， 然后風險源識別，識別出來進行風險分析，分析出原因后才 能給風險排序，風險管理的目的也是一樣，就是要選出來先 整改誰，后整改誰，這是我們要求的。下面是風險控制，風險控制可能是現有程序的改變，也 有可能是新增

20、程序，也可能是改變手冊等等。制定了措施之 后，就要進行衍生風險的識別，識別是否會帶來新的風險， 經過衍生風險的評價之后，說明方案不會帶來新的風險，或 者是帶來的新的風險是可以接受的，然后就可以指向航空系 統運行了。第一輪評價現有的風險，而后評價措施是否得當， 是驗證、確認的過程，經過這個過程之后，風險就變成可忍 受的了。風險管理還可以給領導決策提供技術、數據支持， 所以風險管理做好是很重要的。危險識別就要求各個系統自 己要有質量控制、安全管理部門，信息獲取之后就進行數據 分析，分析完了就評價，評價完了就制定措施，這是各個部 門都要做的，各個系統都要完成這個環。那么，各個部門把 這些都做了，安監

21、部干什么呢？安監部就負責做這個環，監 督下面各個環是不是按照這個做的。所謂監督，第一步就是 要收集信息，也是通過這四種方式收集，收集上來也得進行分析、評價，評價完了，安監部就要提出建議，將建議報給 高管層，這樣高管層就知道下一步該怎么做了。而各個部門 做的環就要力爭做到讓安監部看不出毛病。其中，632是生產運行部門的審核，633是內部評估，634是安全管理體 系外部審核，所以這是個功能圖，誰都可以用，這樣，整個 環就轉起來了。（此圖講完）。從第10章開始是運營人建立體系的指南，第一是政策， 建立體系必須首先建立政策，這里說明了政策作用。然后是 安全策劃，說明了策劃的內容和方法。再就是組織機構及

22、職 責，運營人必須清晰的界定組織內的安全責任，包括管理層 的安全直接責任，最高管理者是安全管理的第一責任人，也 是建立、實施并保持安全管理體系的最終責任人。下面是安 全總監，是作為建立、實施并保持有效的安全管理體系的負 責人兼協調人，應獨立于運行的組織和管理之外，不能兼職，直接向最高管理者匯報。注意這里的安全總監不叫副總經 理，因此是不是副總級沒關系。這個人級別無所謂，關鍵是 能跟最高領導者關系親密就夠了，能夠隨時直接見到管理 者，并能隨時向管理者直接進言。再接著說程序和控制是系 統的兩個關鍵的屬性，安全政策必須轉化成程序以便應用， 必須要開發程序，目的是落實安全政策、實現安全目標。安 全管理

23、手冊（SMM）包括安全政策、安全目標、安全管理體 系的要求、安全管理體系的程序和過程、安全管理體系的程 序和過程所涉及的職責及權限、安全管理體系的程序和過程 間的相互作用。此安全管理手冊屬運行手冊的一部分，安全 管理手冊的細節是包含于運行手冊中的。第二大部分是風險管理，風險管理過程常用于分析運營 人的運行功能及其運行環境，以識別危險源，分析評價相關 風險。風險管理過程處于運營人提供運輸服務的過程中，所 以不能由安監部代替各個運行過程，只能各人做各人的，而 不是一個獨立的或特殊的過程。風險管理第一步要做系統分 析，風險管理始于系統設計。系統由組織結構、過程和程序 以及完成任務的人員、設備和設施構

24、成。系統和工作分析應 充分說明組成系統的硬件、 軟件、人員、環境相互間的影響， 并詳細到足以識別危險源和進行風險分析。不能只說山航的 系統由飛行、運行等部分組成，沒有詳細到足以識別危險源 和進行風險分析，因此這種描述不合格，至少要詳細到規范 化手冊里面的業務流程。那么山航的系統怎么分呢？這里解 釋了 ：運營人的運行及其支持過程建議分為飛行運行、運行 控制、維修、客艙安全、地面服務、貨運、訓練等過程。剛 才說了，只要詳細到能夠識別危險源和進行風險分析即可， 這里講了怎么識別危險，就是把流程圖弄出來之后，根據現 在的人員情況，看哪里還有可能會出問題。風險識別出來之 后就進行分析和評價，風險分析和評

25、價也不用很復雜，這里 就給大家推薦了一個風險矩陣，這是最簡單的，但也是最實 用有效的。矩陣的定義和最終結構將由運營人自行設計，每 個后果嚴重性和發生可能性等級的界定應以適用于具體運 行環境的方式來確定，意思就是飛行的和維修的標準是不一 樣的，是各個業務種類都不同，所以公司主手冊只能給一個通用的模板，各個業務口自己設計自己的標準。這里給了一 個樣例，對于公司級的手冊，基本上也就是這意思，還可以 再進一步細化。分區這一塊就不是樣例了，不管分多少級， 對于風險來說分為三種：可接受的、不可接受的和緩解后可 接受的，這個是可以規定的，規定好以后就可以跟這個區域 一比，就知道這個風險落在哪個區域了。就是警

26、告。什么叫緩解后可接受的，這句話比較難理解，如果風險 處于灰色區域，意思就是這個風險在緩解條件下是可接受 的，對待這些情況還應該在安全保證功能中持續特別地重點 關注，將來在手冊里面就要寫清楚怎么持續，怎么特別重點 關注，同時還要把這些功能性的要求變成具體管理的方法。 風險分析不僅應注重對嚴重性和可能性等級的界定，還要找 到根本原因，這是制定有效控制措施的第一步，根本原因找 不到，措施起不到作用。分析完了之后就要涉及風險控制措 施，從設計上控制危險源，但不一定是任何事情都要修改程 序。風險措施有可能是修改設計，但更多的可能是不修改設 計的情況下就要加物理屏障， 如果還不行，就再退而求其次， 這里

27、說了，即使采用了有效的控制措施，完全消 除風險也幾乎是不可能的。因此，在這些控制措施設計完成 后，系統投入使用前，必須評估控制措施是否有效及是否會 對系統帶來新危險源，圖 3中返回至圖表頂端的環線指明可 使用先前的系統和工作分析、危險源識別、風險分析和風險 評價過程來確定經修改后的系統是否是可接受的。這就是風 險管理。下面是安全保證，安全保證是一個功能，可能是很多部 門和起來完成，也可能是一個部門很多科室完成。這個功能 是運用質量保證技術（包括內部審核和評估）判斷設計于運 營人的過程中的風險控制是否在被實施并按計劃運行，沒按 原來計劃去運行，那就偏了，偏了就要糾偏，首先必須要能 夠發現它偏了，

28、這得靠質量保證，風險管理一旦實施了就進 入了質量控制環了，質量控制體系有監測的功能。這些技術 都是質量控制技術，安全管理是利用技術提取信息源、風險 控制措施是不是按計劃實施，如果沒有按計劃實施就開始進 行風險管理。10.3.1統一現介紹了這四種信息，安全保證所 使用的信息源很多，包括日常活動過程的持續監控、審核和 評估，安全相關事件的調查，以及來自于員工安全報告和反 饋系統的信息。由于各種信息源在各運營人中都不同程度地 存在，所以AC將每種信息源都寫入信息獲取中。這些信息 源屬于功能性要求，允許個別組織依據自身規模和類型進行 調整。下面就開始介紹這些信息了，第一是持續監控，運營人 應對運行數據

29、進行持續監控。持續監控還提供了識別危險 源、證實已采取的風險控制措施的有效性和持續評估系統績 效的方法。應監控的運行信息應來自于飛行記錄器、值班日 志、機組報告、工作卡、處理表單等，這些都是持續監控。 第二個信息源是生產運行部門的內部審核，各生產運行部門 要做內部審核。為什么沒說所有部門要做內部審核呢？因為 其他部門是危險源的直因，所以一線生產部門自己審，審出 問題在風險分析的時候可能把其他部門帶進來，在風險控制 是就要求它制定整改措施，而不是一線生產單位制定整改措 施，辨識危險源需要一線生產部門自己完成。生產運行部門 怎么做審核呢？為促進體系的一體化，減少不必要的重復， 運營人可考慮使用可用

30、的技術系統的審核工具，例如局方的 監察工具、第三方（如 IOSA ）的工具。1034內部評估要注意，這是公司層面對運營人技術過 程和安全管理體系特定功能的評估，為此目的實施的審核必 須由功能上獨立于被評估的技術過程的個人或組織進行。通 常內部評估可以由安全部門或最高管理者領導的其他下屬 機構來完成。最高領導者直接領導的部門不受其他副手的干 擾，對生產運行部門技術過程的評估可建立在生產運行部門 內部審核基礎上，結果的考核是在安監部，除了對生產運行 部門內部審核大綱的評估外，還應對其內部審核過程和結果 進行評估和分析，這就是 SMS比較先進的地方。公司首先要有規范的評估大綱，還應對其內部審核的過

31、程和結果進行評估和分析，因此如果對過程表示質疑有權對 其重審。所以內部評估需要審核及評估安全管理功能，周期 不應超過一年。外部審核主要說了第三方審核的信息要充分 運用，其他審核結果也要作為信息源。調查也是信息源，員 工報告反饋系統也要有，這就是四種信息源。接下來就是安全促進，主要就是安全文化。溝通指的是 溝通風險管理的各種輸出，要使大家理解才可以執行。下面 是培訓，注意把培訓放在了安全促進里面，培訓應該是前提 條件。對于質量管理體系來講，人員的任職資格是前提，不 是持續改進的范疇，但對于安全管理，人員的勝任能力屬于 促進的問題，所以人員培訓在促進里面。AC就解讀完了，后面是以附錄的形式提出的要

32、求，是 標準形式的模板，前面的說明跟后面的目錄是一一對應的， 前面是解釋說明，后面是要求，檢查審定是按照后面的來做 的，在實施建立時可以參考前面， 就是這個關系。23日上午運行手冊、質量手冊、安全管理手冊三者的關系：總局 的規章、121部以及下屬的運行手冊是主營業務的最低要求； IS09000內容包括主營業務和服務，它是完善工作的方法。 因此，運行手冊和ISO9000的關系就是：運行手冊是合格審 定，在編寫工作程序的時候，按照ISO9000可以提高水準，因為ISO9000的要求比運行手冊的要求高。這次手冊修訂是要修訂各個部門的管理手冊，就是各個 部門業務的具體操作程序，既要符合運行手冊要求，又要按 照ISO9000要求提高水準，本著這個標準來修改部門管理手 冊。如果不做 SMS的話，就是只考慮一般情況，大多數人 按照規定做就保證不出問題，但是還有少數人不按規定做， 會違規，這個問題在質量管理里面考慮的比較少，因此安全 管理就是在質量管理的基礎上管理那些違規的。有可能違規的都是危險源，把控制少數人