民航安全管理

1

中国民用航空总局飞行标准司

编号：AC-121/135—**＊

颁发日期：

编制部门：

批准人：

标题：关于航空运营人安全管理体系的要求

1。依据和目的

本咨询通告依据中国民用航空规章《大型飞机公共航空运输承运人运行合格审定规

则》（CCAR—121）和《小型航空器商业运输运营人运行合格审定规则》（CCAR-135）制

定,目的是指导大型飞机公共航空运输承运人和小型航空器商业运输运营人(以下均简

称“运营人”）建立和实施符合要求的安全管理体系（SMS）.

2。适用范围

本咨询通告适用于按照CCAR—121和CCAR-135运行的运营人.

3.参考文献

本咨询通告的参考文献如下：

a）国际民用航空公约附件6《航空器运行》

b)ICAODoc9859《安全管理手册》

c)FAAAC-120-92《航空运营人安全管理体系介绍》

d）FAAAC-120-59A《航空承运人内部评估方案》

4.撤销

(备用）。

5。定义

安全管理体系——管理安全的系统做法，包括必要的组织结构、问责制、政策和程

序。

风险——某一特定危险情况发生的可能性和后果严重性的组合。

风险管理--安全管理体系内的一个正式过程，由系统和工作分析、危险源识别、风

险分析、风险评价和风险控制组成。

咨询

通告

2

安全保证—-系统地为运营人的运输服务满足或超越安全要求而提供信心的过程管

理功能.

过程——一组将输入转化为输出的相互关联或相互作用的活动。

程序-—执行活动或过程的特定方法。

危险源——有可能导致人员受到伤害、疾病或死亡，或者系统、设备或财产遭破坏

或受损，或者环境受到破坏的任何现存的或潜在的状况。

衍生风险—-作为风险控制结果无意中带来的新风险。

审计——定期、正式的评审、查证，以评价是否符合规章、政策、标准和协约要求。

审计从组织的管理和运行着手，并扩展至组织的活动、产品和服务。

评估-—对运营人政策、程序和系统进行的功能性独立的评审。当运营人自己完成

此项工作时，应由公司内独立于被评估部门的一个机构来完成。评估过程建立在审计和

检查的基础上。评估与全面系统审计同义.

6。背景和说明

2006年3月，国际民航组织理事会通过了对附件6《航空器运行》的第30次修订。

该次修订增加了国家要求航空运营人实施安全管理体系的要求.附件6规定从2009年1

月1日起，各缔约国应要求其航空运营人实施被局方接受的安全管理体系。

我国民航企业安全管理的纪录处于较为领先的水平，但是随着运输量的增长，如果

不采取有效措施,事故的总次数将不为公众所接受，解决这个问题的最好办法就是将安

全管理融入日常的运行管理中，并采取更为主动的安全管理模式降低事故率.

民航安全管理是随着人们对航空安全问题的研究和认识的深入而不断发展的.人们

从最初重点关注航空器、空管及机场设备设施等硬件问题逐步过渡到关注人为因素问

题，现在开始关注系统和组织对安全的影响。

运用系统方法管理安全可以使运营人通过恰当地确定安全责任，鼓励全员参与,实

施风险管理,有效地配备资源，实现主动安全管理，在满足规章的基础上，不断提高运

行水平；并通过健全内部安全保证体系,为管理层提供监控安全相关过程的结构化方法，

实施安全绩效管理，加强安全文化建设,形成自我管理、自我改进的机制，实现闭环管

理,改善安全业绩.

7。安全管理体系的几个基本概念

现代安全管理和安全监督活动日益倾向于注重过程控制的系统方法，而不是仅仅对

最终结果开展检查和补救措施。理解安全管理体系概念可从安全管理和安全文化入手.

3

1)安全

有时安全被定义为没有潜在危险,对民航而言这是一个不切实际的目标,用风险对

安全进行描述才更切实际。通常安全被定义为人员伤害或财产损失的风险在可接受的水

平或其以下的状态。

2)安全管理

传统的安全管理较为注重事件管理,现代安全管理在继续注重事件管理的基础上,

更为注重事态管理，即通过持续的风险管理，将人员伤害或财产损失的风险降至并保持

在可接受的水平或其以下的过程。

3）安全管理体系

体系是指在规定环境下完成任务或目标的人员和其他资源组成的综合的网络。安全

管理体系是管理安全的一种系统方法，包括必要的安全政策、组织机构、责任、程序及

措施等.如果希望安全管理体系有效，其必须包括：

（a)完成必要活动的职责及权利；

(b）员工需遵守的程序;

(c)对组织管理活动和监督活动的控制；

（d）对过程及其结果的考核；

（e）明确运营人内部每个人与其所在部门的关系，以及运营人与外包方、供应方、

客户及其他有业务来往的单位间重要的相互关系或联系。

4)安全文化

安全文化是企业文化的一种自然产物。安全文化由共同的信念、态度和做法构成.

运营人对于安全的态度影响其员工对安全的共同做法。只有全体人员共同发挥作用，才

能实现运营人的安全目标,提高安全运行水平.

8。运营人的运行、防护及其与局方安全监督管理的关系

8。1运营人的运行与防护的关系

图1清楚地说明了运营人提供运输服务的运行功能与防护功能之间的关系。如果运

营人既要保持盈利又要控制风险（经常伴随运营产生）,则这两个功能必须处于和谐状

态。

需要注意的是：图1是从功能角度，而不是从组织结构角度进行描述的。该图并不

意味着安全管理只是“安全部门”或“安全总监”的责任;事实上，安全管理体系强调

“运行”过程的管理人员在安全管理中的角色。

4

图１运行与防护的功能关系

8。1.1运行

运行过程是指飞行运行、运行控制、维修、客舱安全、地面服务、货运、训练等过

程.由于运营人的航空运输服务是通过运行过程来完成的,所以有效的风险管理和安全

保证应从彻底了解运行过程的结构和组织着手.相当数量的危险源、风险因素来自于过

程设计不当或系统与运行环境不适应。在这些情况下，影响运行安全的危险源可能不会

被充分认识，因而得不到足够的控制。

8。1。2防护

风险伴随运行活动产生。运营人的客户和员工是安全系统失效的潜在受害者。因此,

运营人应识别其管理过程和运行环境中存在的危险源，控制其风险。安全管理体系为运

营人的安全管理提供了一个正式的管理模式来履行其职责和义务，实现安全生产，保护

客户及员工的利益。

8。2运营人的运行及防护与局方安全监督管理的关系

运营人的运行及防护功能与局方安全监督管理功能之间的关系见图2。图中左边的

两个管理系统分别是运营人的安全管理体系和局方对运营人进行监督的安全管理.

图2运营人的运行及防护功能与局方安全监督管理功能之间的关系

5

局方传统的监督注重符合技术标准，通常包括审定、持续监督、调查、规章的强制

实施等。在继续保持传统监督方法的同时，局方将通过监督运营人的安全管理体系，逐

步运用系统安全方法监督运营人整体安全状态,并强调运营人通过自我约束、自我管理、

自我改进实现安全管理的闭环，不断提高安全水平。

9。安全管理体系要求说明

9.1安全管理标准化的需求

9.1。1标准化

本附录《运营人安全管理体系要求》（以下简称《要求》）的制订参考了国际标准的

条款结构,使用了与质量管理体系ISO9001-2000标准相似的模式，以便该体系与其他管

理体系相互整合。

9。1.2可审计性

将安全管理体系设计成标准形式有利于提出明确的功能要求，便于运营人本身、政

府或其他第三方进行监督和审计。因此，其行文以要求为基础。每一个条款都只单独规

定一个要求，以易于对系统审计.

9。2结构和组成

9。2。1功能性要求

由于需要适合各种类型和规模的运营人，所以《要求》是作为功能性要求文件制定

的，它强调运营人应“做什么”而不是“怎么做”。这样可以为运营人的实施提供灵活

性。

运营人在实施时应将《要求》中的要求转化成自己的具体做法。运营人应充分利用

已经实施的各种安全管理过程,将安全管理体系的全部功能要求充分融入已有的管理体

系之中,而不是重新建立一个独立的新体系。作为完整的安全管理体系,《要求》中的每

一条功能要求都是必不可少的，但运营人不必对履行相同功能的现存项目重复建设.

9.2.2安全管理的四大支柱

安全管理的四大支柱为政策、风险管理、安全保证和安全促进.这四大支柱是安全

管理体系的基础。《要求》根据四大支柱分四部分对各要素的功能性要求进行描述。

1)政策

所有的管理体系都必须明确政策、程序、组织结构以实现目标。有关这些方面的要

求在《要求》中第4部分进行了描述。

2)风险管理

6

风险管理是将风险控制在可接受水平或其以下，安全管理体系的风险管理是以系统

安全过程模式为基础的。有关这些方面的要求在《要求》中第5部分进行了描述.

3)安全保证

风险控制措施被确定后,运营人可利用安全保证功能，确保风险控制措施持续被执

行并在不断变化的环境下持续有效。有关这些方面的要求在《要求》中第6部分进行了

描述。

4）安全促进

运营人必须用支持良好安全文化的活动把安全作为核心价值进行促进。有关这些方

面的要求在《要求》中第7部分进行了描述。

9。2。3风险管理与安全保证的关系

风险管理和安全保证的关系见图3。该图是功能关系图，而不是组织机构设置图.

风险管理过程可用于初始的危险源识别和风险评价,当制定的风险控制措施能够使风险

达到可接受水平时该措施才可被实施.此时,安全保证功能将发挥作用，以确保风险控制

措施被实施并持续达到预定目标。安全保证体系还可评估当运行环境变化时是否需要新

的风险控制措施。

图3风险管理功能和安全保证功能的关系

7

10.《要求》实施指南

10.1《要求》的总体结构

《要求》根据四大支柱分策划、风险管理、安全保证和安全促进四部分阐述了安全

管理体系的要求。

10。2策划

10.2.1安全政策

安全政策反映了运营人的安全管理理念，是建立安全管理体系的基础，并为建设积

极的安全文化提供了清晰的导向。安全政策还指明了运营人为达到预期的安全目标将要

采用的方法.

安全政策必须符合国家的相关规定.在制定安全政策的过程中，高层管理者应与影

响安全的相关领域的关键人员进行广泛地协商,以确保安全政策与员工密切相关。

10.2.2飞行安全文件系统

飞行安全文件系统是由运营人制订的一套相关文件，汇集并编制有飞行和地面运行

必需的资料，其中至少包含有运行手册和运营人维修控制手册。飞行安全文件系统是一

个有机的整体，其中的任一文件的任何变动都可能对其它文件或整个系统产生影响。因

此,运营人应确保文件间的相互一致及运用的一致性。对影响飞行安全的文件的设计、

编排、确认、实施、修订等进行系统管理。

飞行安全文件系统设计时，应该在术语及通用内容和行动的标准用语的使用上保持

一致；其编排应该确保能够便于查找载于构成不同运行文件系统内的飞行和地面运行的

必要资料，同时又便于管理运行文件的分发和修订；在实施之前应该按实际条件加以验

证;实施后,应对飞行安全文件系统的实施进行监督，确保文件与运行环境的特点相符，

且易于操作人员使用。运营人还应制定一个资料收集、审查、分发和修订的控制系统，

对与自己运行类型相关的资料和数据加以处理。

10.2。3安全目标

安全目标与安全政策密切相关。安全目标应是运营人对提高安全水平行动及明确预

期结果的承诺。

10。2。4安全计划

安全计划详述了为实现目标拟采取的步骤，通常包括为实现目标所赋予的有关部

门和人员的职责和权限，实现目标的方法和时间表，相关的资源需求.

10.2。5组织机构及职责

8

图4是运营人组织结构的一种样例，这种组织结构可以支持实施安全管理体系。

总经理是安全管理的第一责任人,承担安全运行的全部责任，负责清晰地界定整个

组织内的安全责任,包括高层管理人员对安全的直接责任。总经理应计划、组织、指导、

控制员工的活动，分配安全相关活动所需的资源，以确保安全控制的有效性，并对整个

组织的安全管理体系定期进行管理评审。

负责各运行过程的副总经理均应承担安全责任，将风险管理和安全保证工作融入日

常管理之中，并对未正确履行其职责所造成的安全结果承担直接责任。运行过程中的生

产运行部门经理应定期实施内部审计，监控本部门的安全状况.

安全总监应独立于运行及其支持过程之外，负责通过信息获取、数据分析、系统评

价、监督纠正和预防措施的落实等安全保证过程对运行过程及其风险管理和安全保证循

环进行监督，并直接向总经理汇报。

安全监督部门应独立地就安全有关事务提出建议，进行内部评估、数据分析及系统

评价,监督预防纠正措施的落实,调查安全相关事件，组织对全体员工的安全教育等。

图4组织结构样例

10。2。6与法规、规范性文件和其他要求的符合性

运营人建立正式的信息获取渠道，可以及时掌握法规、规范性文件和其他要求,识

别和了解运营人的各项活动受到相应法规和其他要求的影响,适时修订相关手册、程序

等文件。

法规、规范性文件和其他要求是运营人衡量安全绩效和进行危险源识别的主要依据

信息沟通

工

程

…

……………

维修

总经理

运行其他

飞

行

运

控

客

舱

其

他

安全监

督

技

术

安全总

行政管理及信息沟通

9

之一。遵守法规和其他要求是安全管理体系的基本要求。

10。2.7程序与控制

程序与控制是系统的两个关键属性。安全政策必须落实成程序以便应用，而且控制

必须到位以保证关键步骤按设计完成。运营人应开发程序、将程序文件化，并保持程序

以实现其安全政策和目标。

10.2。8应急响应

有效的应急响应方案可能会减轻事故等不安全事件造成的后果。应急响应方案以书

面形式规定了不安全事件一旦发生之后，运营人应该做些什么，以及每个行动由谁来负

责.为了确保应急响应方案在实际运作时有效，应进行定期的训练和演练.进行演练还有

助于验证方案的有效性,找出方案的不足,并进行改进。

10。2.9文件及记录

文件的价值在于沟通意图、统一行动.因此，对文件的批准、评审与更新、标识、

分发、作废等应进行控制，确保文件的适宜性、充分性和有效性。

安全管理体系所要求的各种文件可以通过修订运营人现有的手册、程序等文件实

现，也可以单独编写。

外来文件通常包括来源于运营人之外的法规、规范性文件、通告等。外来文件中的

信息直接或间接影响运营人的安全运行,因此，应建立获取外来文件的渠道，及时获取

并分发至相关部门,以便相关部门及时转化成内部程序或修改已有文件的相关内容。

运行及安全管理中会生成大量的记录,这些记录可以很好地为安全管理体系，特别

是风险管理和不安全事件调查服务.利用这些记录可以实现信息的分析、利用和安全活

动的追溯.

10.3风险管理

风险管理过程常用于分析运营人的运行功能和运行环境,以识别危险源，分析评价

相关风险，并采取控制措施。风险管理过程处于运营人提供航空运输服务的过程中，不

是一个独立的或特殊的过程。

一个过程的风险管理(如原因分析、风险控制措施等)可能会涉及或追溯到其他过

程，因此，风险管理应是一个协调一致、综合治理的过程。

10.3。1系统和工作分析

风险管理始于系统设计。系统包括组织结构、过程和程序及人员、设备。系统和工

作分析应充分说明组成系统的硬件、软件、人员与环境相互间的联系，并详细到足以识

10

别危险源，进行风险分析。应对系统进行文件说明,但对格式没有特殊要求.系统文件通

常会包括运营人的手册系统、检查单、组织结构图和人员岗位说明等。运营人的运行及

其支持过程建议分解为：

（a）飞行运行；

(b）运行控制；

(c）维修；

(d）客舱安全；

(e)地面服务；

（f)货运；

(g)训练;

（h)其他,如人事、财务等。

系统和工作分析只要详细到可用来进行危险源和风险分析即可，冗长和过分详细的

系统和工作分析是不必要的.尽管可以使用复杂的开发方法和手段，但经理与员工进行

的自由讨论通常更为有效。

10。3.2危险源识别

系统及其运行环境中存在的危险源必须被识别、记录和控制。界定危险源的分析过

程还应考虑系统的所有组成部分。表1是危险源样例。系统及其运行的分析中关键问题

是“如果发生了会怎样？”。当识别出所有可能的危险源比较困难时，运营人应首先识

别运营中重大的、可预见的危险源。

表1危险源样例

航图中有些标注离所标注的点距离较远

仪表制式、单位需换算

飞行员持有飞行体检合格证,但心理或生理状态较差

航行情报发放现场，资料管理混乱

维修任务计划和安排不适当，按正常程序完成工作所需的时间和资源不充分

人员招聘考核中,未考虑岗位所需的安全要求

培训的考核或评价方式不适当，导致不胜任者取得资格

资源分配时未充分考虑风险等级

装卸工缺乏危险品装卸知识

绩效考核或奖惩中未能体现安全第一

11

10。3。3风险分析和评价

通常风险分析和风险评价是将风险分解为风险发生的可能性及后果的严重性.常用

的工具是风险矩阵，图4是这种矩阵的样例。运营人应当开发一个最能体现其运行环境

的矩阵，针对临时运行和长期运行可以开发拥有不同风险接受标准的不同的矩阵.

矩阵的定义和最终结构将由运营人自行设计。各种后果严重性和发生可能性等级应

根据实际运行环境确定.后果严重性和发生可能性界定的样例见表2。各运营人对严重

性和可能性的界定可以是定性的，但应尽量定量。

表2结果严重性和发生可能性标准的样例

结果的严重性发生的可能性

严重性等级界定标准参考值可能性等级参考值

灾难性的

多人死亡。

航空器损毁.

5特别频繁5

特别严重的

安全系数大大下降，身体压力或工作

负荷已达到无法靠自身的能力完全履

行职责的程度。

一定数量的人员严重受伤或死亡。

航空器损坏.

4经常4

严重的

安全系数较大下降，操作人员因工作

负荷增加，或因工作条件不利导致工

作能力下降。

人员受伤。

主要设备损坏.

3偶尔3

轻微的

安全系统下降。

操作受限。

设备损坏。

2极少2

可忽略影响很小。1不太可能1

在制定风险评价标准时，运营人应制定风险接受程序，包括可接受标准和局方的要

求以及风险管理决策的责任层级。风险的可接受标准受安全目标高低的影响。风险可接

受程度可以通过风险矩阵(如图5所示）进行评估。示例矩阵说明了可接受程度的三个

等级：不可接受的（黑色区域）、可接受的（白色区域)、缓解后可接受的（灰色区域).

（a）不可接受的(黑色区域）

如果可能性和严重性相综合后,风险处于黑色区域，则该风险是不可接受的，必须

12

进一步采取干预行动来消除相关危险源，或控制可能导致更大可能性或严重性的因素。

(b)可接受的（白色区域）

如果风险处于白色区域，则可以接受，不需进一步采取行动.但是，风险管理的目

标应是无论评价显示风险是否在可接受范围内,都要将风险尽可能降至最低.这是持续

改进的基本原则。

（c）缓解后可接受的（灰色区域）

如果风险处于灰色区域,则在特定的缓解条件下风险是可接受的.这种情况的一个

例子就是评估一个在最低设备清单中列明的失效航空器组件的影响.如果MEL中定义的

操作（“O"）或维修（“M”）程序被实施，就可使该风险从不可接受变为可接受，则实施

MEL中的操作（“O”）或维修（“M”)程序就构成缓解行动。这些情况也应该在安全保证

功能中持续强调。

图5风险矩阵

一些其他方法也可用于风险评价，如某些专业组织开发的用于飞行、运行控制和地

面服务等的风险评价方法。

10。3。4原因分析

风险分析不仅应注重对严重性和可能性的区分，还应注重根原因分析。这是进行有

效控制、降低风险的第一步.一些结构化的软件系统可用于进行根原因分析。但是，在

很多情况下，运营人内部飞行员、维修人员或签派员、其他经验丰富的专家间进行的分

析研讨是寻找降低风险途径的有效方法。此方法的另外一个好处是可以使最终实施控制

措施的员工参与进来。

13

10.3。5风险控制

在完成以上步骤后，必须进行风险控制的设计与实施.风险控制可能包括增加或改

变程序，增加新的控制措施,增加管理，改进培训，增加或改进设备，调整人员等。

应根据危险程度和复杂性,通过结构化的方式设计控制措施。风险控制措施的内容

通常包括风险控制的目标、有关部门及人员的职责和权限、实现该风险控制目标的技术

方案（技术措施、时间进度和资源需求等）.可用的控制措施可能有一个或多个，可以

使用系统安全技术对控制措施进行分级、排序和选择。考虑到必要措施的迫切性以及开

发更有效措施的复杂性，在不同的阶段可以采用不同的控制措施，例如在开发更有效的

危险源消除方法时，先进行警告是恰当的.控制措施的分级包括:

(a)从设计上消除危险源—-系统修改（这包括硬件、软件系统和组织系统）；

（b)物理防护或屏障—-减少在危险源中的暴露或降低后果的严重性;

（c)危险源的警告、通告或提示;

(d）为消除危险源或降低相关风险发生可能性或严重性而改变程序；

(e）为消除危险源或降低相关风险发生可能性而进行的培训。

即使采用高效的控制措施，完全消除风险也几乎是不可能的。在这些控制措施设计

完成后,系统实际使用前，必须评估控制措施是否有效及是否会将新危险源引入系统，

这种情况称为“衍生风险”。图3中返回至图表顶端的闭环表明了评估（系统和工作分

析，危险源识别，风险分析和风险评价）过程的使用，以确定改进的系统是否可被接受。

10.4安全保证

安全保证比运行现场监察范围更广，它通过持续的信息获取和分析,验证风险控制

措施的落实情况,采取预防或纠正措施;识别在不安全事件发生前采取风险控制措施的

机会，实现安全管理的闭环.相关管理人员可通过安全保证技术（如内部审计、内部评

估)判断安全管理措施是否在按计划实施，从而掌握自己负责过程的安全状况,建立信

心。

各运行过程通过信息获取，进行数据分析、系统评价及预防或纠正措施，实现各运

行过程的安全管理的闭环。

运营人通过信息获取，进行数据分析、系统评价、预防或纠正措施及管理评审,实

现运营人整个体系的安全管理闭环.

安全保证方案应能确保所有运行过程以恰当的时间间隔接受评价。内部评估是建立

14

在生产运行部门内部审计之上的,因此，生产运行部门内部审计应在内部评估之前完成。

通常，生产运行部门内部审计的周期不应超过半年，内部评估的周期不应超过一年。计

划应有灵活性并应是动态的，当识别出不利趋势时,应及时进行专项评估。

10.4。1用以决策的信息

安全保证信息来源于各种渠道,包括正式的审计，安全相关事件调查,日常活动的持

续过程监控,以及来自于员工报告系统的信息.

10。4.2持续监控

运营人应通过持续监控对运行的所有方面进行监控.持续监控还提供了主动识别危

险源、证实已采取的安全措施的有效性和持续评估系统绩效的方法。应监控的运行信息

应来自于飞行记录器、值班日志、机组报告、工作卡、处理表单等。

运营人应建立飞行数据分析(FDA）方案，对来自于飞行记录器的数据进行分析。FDA

是指收集和分析在日常飞行期间所记录数据的主动方案，以便提高飞行机组的效能，改

进操作程序、飞行训练、空中交通管制程序、空中航行服务或航空器维修和设计。FDA

有时被称作飞行数据监视（FDM)或飞行运行质量保证（FOQA）,它为危险源的主动识

别提供了另外一个工具。

10.4.3生产运行部门内部审计

生产运行活动是危险源最直接出现的地方，是过程缺陷造成风险的地方,也是通过

直接监管及资源分配能将风险降低至可接受水平的地方。内部审计可以为生产运行部门

提供一种有计划的、有方法的、以监察原则为基础的评审，以确定运行的安全状况。因

此,《要求》规定运营人各运行部门具有内部审计职责。

（a）管理责任

由于运行部门的经理直接负责组织实施，并确保其职责内的过程按计划实施，因此，

运行部门的经理应负责监控这些过程。通过日常的持续监控、员工报告和反馈、调查和

定期的内部审计、数据分析、系统评价与预防或纠正措施等安全保证过程对风险控制措

施状况进行监测、评价与控制，并掌握该业务过程的安全状况。此外，运行部门的经理

通常是技术专家，了解相关技术过程,对以上工作负责更加有利.

（b）审计范围

审计范围通常至少包括组织管理,运行过程与规章、手册及运营人内部政策、程序

的符合性,风险控制措施的有效性等。和其他要求一样，《要求》的审计要求处于功能性

级别，可与组织的复杂程度相匹配。

15

(c)审计计划

生产运行部门内部审计的计划应包含在安全保证方案中。审计计划应有明确的日程

安排，以验证内部审计计划的全面性、可控性和及时性.同时，一份公布了时间进度的

计划还是保持管理信息畅通的手段.

（d)审计方法

为提高系统效率，减少不必要的重复,运营人可借鉴其他的系统审计工具（如：IOSA

中的工具)。如果运营人已使用这些工具，将在实施审计时具有优势。

（e)内部审计员的资格

内部审计员应具有以下资格：

（1）全面理解运营人应遵守的规章、手册及运营人内部政策和程序等安全标准和

安全规范；

（2）具有至少2年相应运行过程的工作或管理经验；

(3）熟练掌握审计技术.

10.4。4内部评估

内部评估可以使高层管理者了解、掌握运营人安全管理体系过程的情况。内部评估

也是一个预防的手段，常被用来在问题发生前识别、纠正潜在的问题.

（a）管理责任

内部评估通常在安全总监的领导下，由与被审计部门功能上相独立的安全监督部门

来完成,也可委托外部机构完成.

（b）评估范围

内部评估通常包括对运营人各运行及其支持过程、安全管理体系功能(策划、风险

管理、安全保证、安全促进等)的评估。

（c）评估计划

内部评估计划应包含在安全保证方案中，内部评估计划应包括评估的目的、标准、

范围、类型、评估组的构成及职责权限、明确的日程安排、沟通渠道及资源等，还应包

含对生产运行部门实施内审的要求、内审结果的使用等。内部评估计划应分发给相关人

员使其了解和熟悉评估程序及其组织实施，必要时，还应进行修订以确保计划能够持续

适宜。评估标准通常至少包括外部规章、运营人内部政策、手册和程序等.

（d）评估方法

内部评估是对运营人进行的全面系统的审计,通过监察、审计、评估等手段以验证

16

运行过程、安全管理的符合性与有效性。

（e）内部评估员的资格

内部评估员应具有如下资格:

（1)深刻理解和掌握安全管理体系的原理和方法;

（2)熟悉系统分析，全面理解运营人应遵守的规章、手册及运营人内部政策和程序

等安全标准和安全规范;

（3)具备至少3年飞行运行、运行控制、维修、客舱安全、地面服务、货运等任一

领域的工作或管理经验；

（4）熟练掌握审计和评估技术。

10。4。5外部审计信息的利用

当有外部审计时，其审计结果也应作为信息输入到数据分析中。外部审计可以由局

方、独立的第三方、代码共享方或客户组织来进行。相对于公司的内部审计,这些审计

可以提供第二层监督。

10。4。6调查

调查是一个以事故预防为目的、重点致力于有效风险控制的过程，包括收集和分析

信息、得出结论，其中包括确定原因和提出安全建议。调查应由关注找出“责任人"转

向鼓励相关人员进行合作，找出系统和组织缺陷等深层次的根本原因，进而制定和实施

有效的改进系统、降低风险的措施。

10。4.7员工安全报告和反馈系统

员工安全报告和反馈系统是运营人进行主动危险源识别的有效工具之一，该系统不

应只限于报告不安全事件，还应该报告危险源，即尚未导致不安全事件的不安全状况，

从而能够帮助运营人识别运行中的危险源。

员工对报告系统的信任是保证所报告的数据的质量、精确度和实质性的基础。这种

信任的建立可能需要较长的时间。但是，一旦这种信任遭到破坏就可能长期损害系统的

有效性。要建立必要的信任，运营人应在安全政策中鼓励员工报告，表明其对公开和自

由地报告安全问题的态度。

10。4。8分析和评价

审计和其他信息采集活动后，应对信息进行分析整理.只有将信息整理成为有意义

的形式，得出结论，才有利于管理。安全保证过程的主要目的是对风险控制措施的持续

有效性进行评价。如果发现现行控制措施有重大偏离,应制定预防措施和纠正措施,以使

17

控制措施重回轨道.

作为安全保证功能的一部分，分析和评价功能必须能对组织运行环境的重大改变做

出警告,提出可能需要系统改变以保持有效的风险控制的需求,根据评价结果,启动风险

管理过程。

10.4.9预防措施和纠正措施

安全保证过程应制定程序，针对审计发现的倾向和问题，进行根原因分析，尤其注

意识别系统和组织缺陷，制定预防或纠正措施，并验证其有效性.问题所在部门应负责

进行根原因分析，制定和实施预防或纠正措施；当问题的根原因不在本部门而在上一过

程部门或其他相关部门时，应在副总经理甚至总经理的协调下共同采取系统的措施。如

果发现新的危险源，应进行风险管理，判断是否需要制定新的风险控制措施。

10.4。10管理评审

总经理应按策划的时间间隔进行管理评审,以确保安全管理体系的持续充分性、适

宜性和有效性。为了保证管理评审的时效性，两次管理评审间隔不超过12个月。

10。5安全促进

安全促进的主要作用是通过运用支持良好安全文化的各种活动，将安全作为核心价

值进行促进。

即使严格地执行程序，一个组织的安全努力也不可能完全通过命令或强制执行获得

成功。组织的文化将影响组织每个员工对待问题的态度和行为。组织的文化包括价值、

信念、使命、目标和组织成员的责任感。文化填补了组织政策、程序和过程的空隙,并

提供了安全努力的目的和意义。

10。5。1安全文化

文化包括心理的(人们如何思考、感受的)、行为的(人们或群体是如何行动、实施

的）以及结构的(项目、程序和组织机构）元素。安全管理体系的策划、风险管理和安

全保证部分中详细规定的许多过程为结构元素提供了框架.但是，运营人也必须适时建

立能让员工间及员工与管理层间进行沟通的渠道。运营人必须努力就其目的、目标、组

织的行动和重大事件的现状与员工进行沟通。同样，员工可以在开放的环境中向上进行

沟通。

10。5。2沟通

系统安全理论强调“沟通文化”的重要性，组织必须致力于培养员工为组织文化作

贡献的意愿；系统安全理论强调“公正文化"的重要性，员工有信心当他们要对自己的

18

行为负责任时，组织会公平对待他们.《要求》规定运营人必须提供员工沟通渠道以供

员工及时提交安全缺陷的报告且不用担心受报复。

10。5.3组织学习

组织安全文化的另一个原则是“学习文化".如果不学习借鉴,那么报告、审计、调

查、其他数据源内的信息是没有作用的，因此运营人应对这些信息进行分析并输入到安

全保证过程中。当环境变化或识别出新危险源时，应借鉴历史经验，进行分析和评价，

采取有关措施，如预防或纠正措施、新的风险控制措施。运营人还应就风险控制措施和

经验教训进行培训和沟通。

19

附录运营人安全管理体系要求

1.目的

本要求为运营人建立和实施安全管理体系提供一个统一的要求。

2.范围及适用性

1)本要求适用于运营人建立和实施安全管理体系。

a)本要求用于运行及其支持过程和活动相关的航空安全，而不是职业健康安全、环

境保护或服务质量。

b)运营人对外包的服务或产品的安全负有责任。

2）本要求制定的是可接受的最低要求。

3。备用

4.策划

4。1总要求

1）安全管理应融入运营人的整个体系内，包括：

a）飞行运行；

b）运行控制;

c）维修；

d)客舱安全；

e)地面服务;

f)货运;

g)训练；

h）其他，如人事、财务等。

2）安全管理体系过程应被：

a）形成文件；

b）监控；

c)测量；

d）分析。

3)安全管理体系输出应被：

a）记录；

b）监控;

c）测量；

d）分析。

20

4)运营人应促进积极安全文化的建设（见4.2和7.1）。

4。2安全政策

1）总经理应确定运营人的安全政策.

2)安全政策应：

a）包括安全第一、预防为主和综合治理的承诺；

b）包括实施安全管理体系的承诺；

c）包括持续改进安全水平的承诺;

d)包括进行风险管理的承诺;

e）包括遵守适用的法规要求的承诺;

f)包括建立飞行安全文件系统的承诺;

g)包括鼓励员工进行安全问题报告且不受到报复的承诺；

h）包括不安全事件调查时注重识别系统和组织缺陷的承诺；

i）包括所有的安全信息用于提高航空安全,而不被不当使用的承诺；

j）建立清晰的可接受行为标准；

k)提供制定安全目标的框架；

l）提供评审安全目标的框架；

m）被形成正式文件；

n)与全体员工和责任方进行沟通；

o）定期评审，以确保政策与运营人的相关性和适宜性；

p)明确管理层和员工在安全绩效方面的责任。

4。3安全目标

1）运营人应制定本单位的安全目标.

2)安全目标应:

a）不低于局方的要求；

b）适合本单位的类型、规模和安全水平；

c）是切实可行的；

d）是可测量的.

4.4安全计划

运营人应建立、保持安全管理计划以实现安全目标。

4.5组织机构及职责

4.5。1总经理

21

1)总经理应是安全管理体系的最终负责人。

2）总经理应提供实施、保持安全管理体系的必要资源.

4.5。2安全总监

总经理应任命一名独立于运行及其支持过程的安全总监,其应具备下列职责和权限：

1）确保建立、实施、保持安全管理体系需要的过程；

2）直接向总经理报告安全管理体系运行情况和改进需求；

3）确保提高整个公司内的安全意识。

4.5.3影响安全的岗位

影响安全的岗位的职责和权限：

1)应是明确规定的；

2)应是文件化的；

3）应在整个公司内的相关人员中得到沟通。

4.6与法规、规范性文件和其他要求的符合性

1)安全管理体系应与安全相关的法规、规范性文件的要求相符合。

2)运营人应建立并保持程序以识别和获得适用法规、规范性文件和其他相关要求。

4.7程序与控制

1)运营人应建立并保持含有测量标准的各种程序以便实现安全政策。

2）运营人应建立并保持过程控制措施，以确保与安全相关的运行和其他活动始终遵守

程序。

4。8应急响应

运营人应建立程序以：

1）识别潜在的事故和事件；

2)协调、计划运营人对潜在的事故和事件的响应；

3)定期对运营人的响应进行演练。

4。9文件及记录

4.9。1总则

运营人应将下列内容形成文件并保持:

1）安全政策；

2）安全目标;

3)安全管理体系要求；

4)安全相关程序和过程;

22

5)安全相关程序和过程的职责和权限；

6)安全相关程序和过程间的相互作用和接口；

7)安全管理体系输出。

4。9.2文件管理

1)文件应是：

(a）清晰的；

(b)有日期标识的（包含修订日期)；

(c)易于识别的；

(d）有序保存的;

（e)按运营人规定的期限进行保留，适用时，期限应经监管机构批准。

2）运营人应建立并保持程序，控制本要求所要求的文件,以确保：

(a)文件易于查找；

(b）文件：

(1）被定期评审;

（2)必要时进行修订；

（3)取得被授权人员适用性批准。

(c）相关文件的现行版本可在所有使用场所获得，以便有效执行安全管理体系；

(d)过期文件应立即从所有正在使用的场所中收回，或采取其它措施,以防误用。

4。9.3记录管理

1）对于安全管理体系记录,运营人应建立并保持如下程序：

（a）标识;

(b）维护;

（c)处置.

2)安全管理体系记录应是：

(a）清晰的；

(b)可识别的；

（c）可追溯到实际相关活动的。

3）安全管理体系记录应按下列方式保持：

（a)易找到的；

(b)被保护的,以防：

（1)损坏；

23

（2）变质;

（3）丢失。

4）记录的保存期限应有文件化规定。

5。风险管理

1)风险管理应包括下列过程：

a）系统和工作分析；

b）危险源识别；

c)风险分析；

d）风险评价；

e)风险控制。

2)风险管理过程应被用于:

a)系统、组织和产品的初始设计；

b)建立运行程序；

c)安全保证功能（如本要求第6部分所述）中识别出的危险源；

d）对系统和运行过程的主动变更,以识别与这些变更相关的危险源。

3）运营人应利用安全保证功能进行闭环管理，以评估风险控制措施的有效性。

4)运营人应确定风险可接受标准.

a)应建立下列方面的描述：

(1）严重性等级;

（2）可能性等级。

b)运营人应明确各管理层对风险可接受决策的权限范围；

c)运营人在制定和实施风险控制或缓解计划时，应明确可接受的短期内存在的风

险。

5）在以下操作进行前,应确定其风险是可接受的：

a)新的系统设计；

b）现存系统设计的更改;

c）新的操作或程序；

d)操作或程序的更改。

6）风险管理过程不应妨碍运营人采取缓解现存风险的临时应急措施。

5。1系统和工作分析

1）系统和工作分析应详细到足以识别危险源的程度。

24

2）系统和工作分析应考虑以下方面：

a)本系统与其他系统(如机场、空管等）间的相互作用；

b）本要求4.11）条中的各领域的系统功能；

c)为完成本要求5.12)b）条中功能的员工工作；

d)在下列系统中人的因素的重要性：

（1）运行；

(2)维修；

e）系统的硬件部分;

f）系统的软件部分；

g)为系统运行和使用提供指南的相关程序；

h)外在环境；

i）运行环境;

j)维修环境；

k)已外包的产品和服务；

l）上面本要求5.12）条的b)—j)各项的相互影响；

m）有关下列内容的任何假设：

（1）系统;

（2）系统的相互影响;

(3)现存的风险控制措施。

5。2危险源识别

1）危险源应：

a)根据以上的系统和工作分析，在整个系统范围内进行识别；

b)被形成文件。

2)危险源信息应是：

a)可追溯的；

b）在整个风险管理过程中都被管理.

5。3风险分析

风险分析过程应包括：

1)现存的风险控制措施；

2)启动机制；

3）现存危险源的可能风险，包括对下列方面的估计：

25

a)可能性；

b）严重性。

5。4风险评价

1）应使用本要求第5部分的4）条中描述的风险可接受标准，对各危险源的风险可接受

性进行评价。

2）应明确各管理层对风险可接受决策的权限范围。

5.5风险控制

1）运营人应为每个具有不可接受风险的危险源确定风险控制措施；

2）风险控制措施应：

a）明确描述;

b）经评估以确保符合要求；

c）适用于运行环境；

d)文件化.

3）应对风险控制措施带来的衍生风险进行评估。

6.安全保证

6.1总则

6.1。1一般要求

运营人应监控其各系统和运行以：

1)识别新风险；

2)测量风险控制措施的有效性;

3）确保符合规章要求。

6.1。2安全保证方案

运营人应建立、策划并实施一个综合的安全保证方案，其包括下列过程的实施方案、程

序或方法等：

1）信息获取；

2）数据分析；

3）系统评价；

4）预防纠正措施;

5）管理评审.

6。2系统描述

安全保证功能应基于本要求5。1条描述的综合性系统.

26

6。3信息获取

运营人应收集证明以下方面有效性的必要数据：

1）运行过程;

2）安全管理体系.

6。3。1持续监控

1）运营人应监控运行数据（如：飞行记录器、值班日志、机组报告、工作卡、处理表

单）以:

a)评价风险控制措施的实施与策划的符合性(如本要求第5部分中所描述的）;

b)测量风险控制措施的有效性(如本要求第5部分中所描述的）；

c)评价系统绩效；

d）识别危险源.

2)运营人应监控来自外包方的产品和服务。

6。3。2生产运行部门内部审计

1）生产运行部门经理应确保对各运行过程的安全相关功能进行定期的内部审计，此职

责应延伸至完成这些功能所涉及的任何外包方。

2）生产运行部门经理应确保实施定期审计以：

a）确定风险控制措施的实施与策划的符合性；

b)评价风险控制措施的绩效。

3)审计计划应考虑：

a)被审计过程的安全重要性；

b）以前的审计结果。

4)审计方案应包括：

a）审计的：

(1)标准；

(2)范围;

(3）频次；

（4)方法.

b）选择审计员的过程；

c)个人不能审计自己的工作的要求；

d）形成文件的程序,程序中包括:

(1)职责；

27

(2)对下列内容的要求:

（a）审计计划;

（b）审计实施；

(c）结果报告；

(d)记录保存。

e)对外包方、供应方的审计。

6.3。3内部评估

1)运营人应按策划的时间间隔对各运行过程和安全管理体系进行内部评估，以确保安全

管理体系符合要求。

2）评估计划应考虑:

a)被审计过程的安全重要性；

b)以前的审计结果。

3)评估应包括：

a）评估的:

（1)标准；

(2)范围；

（3）频次；

(4）方法。

b）选择审计员的过程;

c)审计员不能审计自己工作的要求；

d）形成文件的程序，程序中包括：

（1）职责;

（2）对下列内容要求：

（a）审计计划；

（b)审计实施;

（c)结果报告；

（d)记录保存。

e)对外包方、供应方的审计。

4)评估应在总经理或安全总监的指导下进行。

5)评估应包括对本要求6。3。2条中要求的项目进行评估。

6)对各运行过程实施评估的个人或组织必须功能上独立于被评估部门。

28

6。3.4安全管理体系外部审计

运营人应将外部审计方的安全管理体系审计结果纳入本要求6。4条的数据分析中。

6。3.5调查

1）运营人应收集以下方面的数据：

a）事故、事故征候;

b）其他不安全事件.

2)运营人应建立程序以：

a)参与调查事故、事故征候;

b）调查其他不安全事件;

c）调查潜在的不遵守规章的安全问题。

6。3。6员工安全报告和反馈系统

1）运营人应建立并保持一个为报告人保密的员工安全报告和反馈系统(如7。15）中所

述）。

2)应鼓励员工使用员工安全报告和反馈系统(如本要求4.22)g)条所述）。

3）应监控来自员工安全报告和反馈系统的数据，以识别显露出的危险源。

4）员工安全报告和反馈系统中收集的数据应纳入本要求6.4条的数据分析中.

6。4数据分析

1）运营人应分析本要求6.3条所获得的数据,以证明以下方面的有效性:

a）运行过程中的风险控制措施；

b）安全管理体系。

2）通过数据分析，运营人应评估在何处可对公司以下方面进行改进：

a)运行过程;

b）安全管理体系。

6.5系统评价

1)运营人应评价以下绩效：

a）运行过程的安全相关功能是否符合要求;

b）安全管理体系是否满足要求.

2)系统评价应得出下列结论：

a）与已制定的风险控制措施及安全管理体系要求(包括规章要求）符合；

b）与已制定的风险控制措施及安全管理体系要求（包括规章要求）不符合；

c）发现的新危险源.

29

3）当评价发现有下列情况时，应启动风险管理过程：

a)识别出新风险；

b）需要对系统进行改变。

4)运营人应按本要求4.9条的要求，保存评价记录。

6。6预防措施和纠正措施

1)适当时，运营人应制定并分轻重缓急实施：

a）对识别出的不符合风险控制措施的问题的纠正措施；

b）对识别出的潜在不符合风险控制措施的问题的预防措施。

2)在开展以下措施时，应考虑安全经验教训：

a)纠正措施；

b)预防措施。

3）运营人应对各个调查发现的问题采取必要的纠正措施。

4）运营人应确定轻重缓急并及时实施纠正措施。

5)运营人应确定轻重缓急并及时实施预防措施。

6）应依据已建立的记录管理办法,对预防纠正措施实施状况进行记录并保存。

6。7管理评审

1)总经理应对安全管理体系进行定期评审，包括：

a)风险管理的输出（本要求第5部分）;

b）安全保证的输出(本要求第6部分）；

c)经验教训(本要求第7。5条）。

2)管理评审应包括评价并确定运营人以下方面的改进需求，包括：

a）运行过程；

b）安全管理体系.

6.8持续改进

运营人应通过使用安全政策、目标、审计结果、数据分析、预防纠正措施、管理评审等，

持续改进安全管理体系和风险控制措施的有效性。

7。安全促进

7.1安全文化

总经理应通过以下方式,积极改进安全文化：

1）向全体员工发布高层管理者安全方面的承诺；

2）高层管理者履行安全管理体系承诺的明显案例；

30

3)安全职责的有效沟通；

4）与全体员工就安全政策、目标、标准和绩效进行清晰、定期的沟通；

5）有效的为报告人保密的员工安全报告和反馈系统；

6)使用可供相关人员进行有效查找信息的安全信息系统；

7）配置实施和保持安全管理体系所必要的资源。

7。2沟通与意识

1）适当时,运营人应向员工沟通安全管理体系输出。

2）运营人应依据法律法规或协议的要求，向监察机构提供获得其安全管理体系输出的

渠道。

7.3人员能力要求

1)运营人应将本要求4.5。3条中岗位的人员能力要求形成文件。

2）运营人应确保本要求4。5.3条中岗位的人员符合能力要求。

7。4培训

应针对本要求4。5.3条中岗位的人员进行培训。

1）培训应包括：

a）初始培训；

b）复训。

2）员工应接受与他们的下列方面相对应的培训：

a）责任的等级；

b）对运营人的产品或服务的安全影响.

3)为保证培训的有效性，培训应：

a)定期评审;

b)适用时更新。

7.5安全经验教训

1)运营人应整理安全经验教训.

2）安全经验教训应被用于促进安全的持续改进.

3)运营人应沟通安全经验教训。