民航航空运营人安全管理体系要求.pdf

1 中国民用航空总局飞行标准司 编 号：AC2/35-*颁发日期:编制部门:批 准 人：标 题:关于航空运营人安全管理体系的要求 1.依据和目的 本咨询通告依据中国民用航空规章 大型飞机公共航空运输承运人运行合格审定规则（CC-21）和小型航空器商业运输运营人运行合格审定规则（CAR135）制定，目的是指导大型飞机公共航空运输承运人和小型航空器商业运输运营人（以下均简称“运营人”)建立和实施符合要求的安全管理体系(S）。2 适用范围 本咨询通告适用于按照CAR-1和 CR-13运行的运营人。3 参考文献 本咨询通告的参考文献如下:a）国际民用航空公约 附件 航空器运行)ICAO Doc98 安全管理手册 c）AA AC120-92 航空运营人安全管理体系介绍 d）FAA AC-159A 航空承运人内部评估方案.撤销（备用）。.定义 安全管理体系管理安全的系统做法,包括必要的组织结构、问责制、政策和程序。风险某一特定危险情况发生的可能性和后果严重性的组合。风险管理安全管理体系内的一个正式过程,由系统和工作分析、危险源识别、咨 询 通 告 2 风险分析、风险评价和风险控制组成。安全保证系统地为运营人的运输服务满足或超越安全要求而提供信心的过程管理功能。过程一组将输入转化为输出的相互关联或相互作用的活动。程序执行活动或过程的特定方法。危险源有可能导致人员受到伤害、疾病或死亡,或者系统、设备或财产遭破坏或受损，或者环境受到破坏的任何现存的或潜在的状况。衍生风险作为风险控制结果无意中带来的新风险。审计定期、正式的评审、查证，以评价是否符合规章、政策、标准和协约要求。审计从组织的管理和运行着手，并扩展至组织的活动、产品和服务。评估对运营人政策、程序和系统进行的功能性独立的评审。当运营人自己完成此项工作时,应由公司内独立于被评估部门的一个机构来完成。评估过程建立在审计和检查的基础上。评估与全面系统审计同义。6.背景和说明 206 年 3 月,国际民航组织理事会通过了对附件6 航空器运行 的第 3次修订。该次修订增加了国家要求航空运营人实施安全管理体系的要求。附件6 规定从 209年 1 月 1 日起，各缔约国应要求其航空运营人实施被局方接受的安全管理体系。我国民航企业安全管理的纪录处于较为领先的水平,但是随着运输量的增长,如果不采取有效措施,事故的总次数将不为公众所接受,解决这个问题的最好办法就是将安全管理融入日常的运行管理中,并采取更为主动的安全管理模式降低事故率。民航安全管理是随着人们对航空安全问题的研究和认识的深入而不断发展的。人们从最初重点关注航空器、空管及机场设备设施等硬件问题逐步过渡到关注人为因素问题,现在开始关注系统和组织对安全的影响。运用系统方法管理安全可以使运营人通过恰当地确定安全责任，鼓励全员参与,实施风险管理，有效地配备资源，实现主动安全管理，在满足规章的基础上，不断提高运行水平;并通过健全内部安全保证体系,为管理层提供监控安全相关过程的结构化方法，实施安全绩效管理,加强安全文化建设,形成自我管理、自我改进的机制,实现闭环管理，改善安全业绩。7 安全管理体系的几个基本概念 现代安全管理和安全监督活动日益倾向于注重过程控制的系统方法，而不是仅仅对 3 最终结果开展检查和补救措施。理解安全管理体系概念可从安全管理和安全文化入手。）安全 有时安全被定义为没有潜在危险，对民航而言这是一个不切实际的目标，用风险对安全进行描述才更切实际。通常安全被定义为人员伤害或财产损失的风险在可接受的水平或其以下的状态。)安全管理 传统的安全管理较为注重事件管理，现代安全管理在继续注重事件管理的基础上，更为注重事态管理,即通过持续的风险管理,将人员伤害或财产损失的风险降至并保持在可接受的水平或其以下的过程。3)安全管理体系 体系是指在规定环境下完成任务或目标的人员和其他资源组成的综合的网络。安全管理体系是管理安全的一种系统方法,包括必要的安全政策、组织机构、责任、程序及措施等。如果希望安全管理体系有效，其必须包括：()完成必要活动的职责及权利；（b)员工需遵守的程序;()对组织管理活动和监督活动的控制；(d)对过程及其结果的考核；(e)明确运营人内部每个人与其所在部门的关系,以及运营人与外包方、供应方、客户及其他有业务来往的单位间重要的相互关系或联系。4)安全文化 安全文化是企业文化的一种自然产物。安全文化由共同的信念、态度和做法构成。运营人对于安全的态度影响其员工对安全的共同做法。只有全体人员共同发挥作用,才能实现运营人的安全目标，提高安全运行水平。8 运营人的运行、防护及其与局方安全监督管理的关系 8.1 运营人的运行与防护的关系 图 1 清楚地说明了运营人提供运输服务的运行功能与防护功能之间的关系。如果运营人既要保持盈利又要控制风险(经常伴随运营产生)，则这两个功能必须处于和谐状态。需要注意的是：图 1 是从功能角度，而不是从组织结构角度进行描述的。该图并不意味着安全管理只是“安全部门”或“安全总监”的责任;事实上,安全管理体系强调“运 4 行”过程的管理人员在安全管理中的角色。图 运行与防护的功能关系 8.运行 运行过程是指飞行运行、运行控制、维修、客舱安全、地面服务、货运、训练等过程。由于运营人的航空运输服务是通过运行过程来完成的,所以有效的风险管理和安全保证应从彻底了解运行过程的结构和组织着手。相当数量的危险源、风险因素来自于过程设计不当或系统与运行环境不适应。在这些情况下,影响运行安全的危险源可能不会被充分认识,因而得不到足够的控制。8.1.防护 风险伴随运行活动产生。运营人的客户和员工是安全系统失效的潜在受害者。因此，运营人应识别其管理过程和运行环境中存在的危险源,控制其风险。安全管理体系为运营人的安全管理提供了一个正式的管理模式来履行其职责和义务,实现安全生产，保护客户及员工的利益。8 运营人的运行及防护与局方安全监督管理的关系 运营人的运行及防护功能与局方安全监督管理功能之间的关系见图2。图中左边的两个管理系统分别是运营人的安全管理体系和局方对运营人进行监督的安全管理。5 图 2 运营人的运行及防护功能与局方安全监督管理功能之间的关系 局方传统的监督注重符合技术标准，通常包括审定、持续监督、调查、规章的强制实施等。在继续保持传统监督方法的同时,局方将通过监督运营人的安全管理体系,逐步运用系统安全方法监督运营人整体安全状态，并强调运营人通过自我约束、自我管理、自我改进实现安全管理的闭环，不断提高安全水平。9.安全管理体系要求说明 91 安全管理标准化的需求 9.1.1 标准化 本附录运营人安全管理体系要求（以下简称要求)的制订参考了国际标准的条款结构,使用了与质量管理体系O1-200 标准相似的模式，以便该体系与其他管理体系相互整合。9.2 可审计性 将安全管理体系设计成标准形式有利于提出明确的功能要求,便于运营人本身、政府或其他第三方进行监督和审计。因此，其行文以要求为基础。每一个条款都只单独规定一个要求，以易于对系统审计。.2 结构和组成.1 功能性要求 由于需要适合各种类型和规模的运营人,所以要求是作为功能性要求文件制定的,它强调运营人应“做什么”而不是“怎么做”。这样可以为运营人的实施提供灵活性。运营人在实施时应将要求中的要求转化成自己的具体做法。运营人应充分利用已经实施的各种安全管理过程,将安全管理体系的全部功能要求充分融入已有的管理体 6 系之中,而不是重新建立一个独立的新体系。作为完整的安全管理体系，要求中的每一条功能要求都是必不可少的，但运营人不必对履行相同功能的现存项目重复建设。9.2 安全管理的四大支柱 安全管理的四大支柱为政策、风险管理、安全保证和安全促进。这四大支柱是安全管理体系的基础。要求根据四大支柱分四部分对各要素的功能性要求进行描述。1)政策 所有的管理体系都必须明确政策、程序、组织结构以实现目标。有关这些方面的要求在要求中第部分进行了描述。2)风险管理 风险管理是将风险控制在可接受水平或其以下，安全管理体系的风险管理是以系统安全过程模式为基础的。有关这些方面的要求在要求中第 5 部分进行了描述。3)安全保证 风险控制措施被确定后,运营人可利用安全保证功能，确保风险控制措施持续被执行并在不断变化的环境下持续有效。有关这些方面的要求在要求中第 6 部分进行了描述。4)安全促进 运营人必须用支持良好安全文化的活动把安全作为核心价值进行促进。有关这些方面的要求在要求中第 7 部分进行了描述。9.2.3 风险管理与安全保证的关系 风险管理和安全保证的关系见图 3。该图是功能关系图，而不是组织机构设置图。风险管理过程可用于初始的危险源识别和风险评价,当制定的风险控制措施能够使风险达到可接受水平时该措施才可被实施。此时，安全保证功能将发挥作用，以确保风险控制措施被实施并持续达到预定目标。安全保证体系还可评估当运行环境变化时是否需要新的风险控制措施。7 图 3 风险管理功能和安全保证功能的关系 1.要求实施指南 10.1要求的总体结构 要求根据四大支柱分策划、风险管理、安全保证和安全促进四部分阐述了安全管理体系的要求。0.2 策划 0.安全政策 安全政策反映了运营人的安全管理理念,是建立安全管理体系的基础，并为建设积极的安全文化提供了清晰的导向。安全政策还指明了运营人为达到预期的安全目标将要采用的方法。安全政策必须符合国家的相关规定。在制定安全政策的过程中,高层管理者应与影响安全的相关领域的关键人员进行广泛地协商,以确保安全政策与员工密切相关。10.飞行安全文件系统 飞行安全文件系统是由运营人制订的一套相关文件，汇集并编制有飞行和地面运行必需的资料，其中至少包含有运行手册和运营人维修控制手册。飞行安全文件系统是一个有机的整体,其中的任一文件的任何变动都可能对其它文件或整个系统产生影响。因 8 此，运营人应确保文件间的相互一致及运用的一致性。对影响飞行安全的文件的设计、编排、确认、实施、修订等进行系统管理。飞行安全文件系统设计时，应该在术语及通用内容和行动的标准用语的使用上保持一致;其编排应该确保能够便于查找载于构成不同运行文件系统内的飞行和地面运行的必要资料，同时又便于管理运行文件的分发和修订；在实施之前应该按实际条件加以验证；实施后，应对飞行安全文件系统的实施进行监督,确保文件与运行环境的特点相符，且易于操作人员使用。运营人还应制定一个资料收集、审查、分发和修订的控制系统，对与自己运行类型相关的资料和数据加以处理。10.23 安全目标 安全目标与安全政策密切相关。安全目标应是运营人对提高安全水平行动及明确预期结果的承诺。124 安全计划 安全计划详述了为实现目标拟采取的步骤，通常包括为实现目标所赋予的有关部门和人员的职责和权限，实现目标的方法和时间表,相关的资源需求。10.5 组织机构及职责 图 4 是运营人组织结构的一种样例,这种组织结构可以支持实施安全管理体系。总经理是安全管理的第一责任人,承担安全运行的全部责任，负责清晰地界定整个组织内的安全责任,包括高层管理人员对安全的直接责任。总经理应计划、组织、指导、控制员工的活动，分配安全相关活动所需的资源,以确保安全控制的有效性,并对整个组织的安全管理体系定期进行管理评审。负责各运行过程的副总经理均应承担安全责任，将风险管理和安全保证工作融入日常管理之中,并对未正确履行其职责所造成的安全结果承担直接责任。运行过程中的生产运行部门经理应定期实施内部审计,监控本部门的安全状况。安全总监应独立于运行及其支持过程之外,负责通过信息获取、数据分析、系统评价、监督纠正和预防措施的落实等安全保证过程对运行过程及其风险管理和安全保证循环进行监督,并直接向总经理汇报。安全监督部门应独立地就安全有关事务提出建议,进行内部评估、数据分析及系统评价，监督预防纠正措施的落实,调查安全相关事件,组织对全体员工的安全教育等。9 图 4 组织结构样例 10.2.6 与法规、规范性文件和其他要求的符合性 运营人建立正式的信息获取渠道，可以及时掌握法规、规范性文件和其他要求,识别和了解运营人的各项活动受到相应法规和其他要求的影响,适时修订相关手册、程序等文件。法规、规范性文件和其他要求是运营人衡量安全绩效和进行危险源识别的主要依据之一。遵守法规和其他要求是安全管理体系的基本要求。10.7 程序与控制 程序与控制是系统的两个关键属性。安全政策必须落实成程序以便应用，而且控制必须到位以保证关键步骤按设计完成。运营人应开发程序、将程序文件化,并保持程序以实现其安全政策和目标。.2.8 应急响应 有效的应急响应方案可能会减轻事故等不安全事件造成的后果。应急响应方案以书面形式规定了不安全事件一旦发生之后，运营人应该做些什么,以及每个行动由谁来负责。为了确保应急响应方案在实际运作时有效，应进行定期的训练和演练。进行演练还有助于验证方案的有效性，找出方案的不足,并进行改进。1.2.9 文件及记录 文件的价值在于沟通意图、统一行动。因此，对文件的批准、评审与更新、标识、分发、作废等应进行控制，确保文件的适宜性、充分性和有效性。信息沟通 工程 维修 总经理 运行 其他 飞行 运控 客舱 其他 安全监督 技术 安全总行政管理及信息沟通 10 安全管理体系所要求的各种文件可以通过修订运营人现有的手册、程序等文件实现，也可以单独编写。外来文件通常包括来源于运营人之外的法规、规范性文件、通告等。外来文件中的信息直接或间接影响运营人的安全运行,因此,应建立获取外来文件的渠道,及时获取并分发至相关部门,以便相关部门及时转化成内部程序或修改已有文件的相关内容。运行及安全管理中会生成大量的记录，这些记录可以很好地为安全管理体系，特别是风险管理和不安全事件调查服务。利用这些记录可以实现信息的分析、利用和安全活动的追溯。0.3 风险管理 风险管理过程常用于分析运营人的运行功能和运行环境，以识别危险源，分析评价相关风险，并采取控制措施。风险管理过程处于运营人提供航空运输服务的过程中，不是一个独立的或特殊的过程。一个过程的风险管理（如原因分析、风险控制措施等）可能会涉及或追溯到其他过程,因此,风险管理应是一个协调一致、综合治理的过程。10.1 系统和工作分析 风险管理始于系统设计。系统包括组织结构、过程和程序及人员、设备。系统和工作分析应充分说明组成系统的硬件、软件、人员与环境相互间的联系，并详细到足以识别危险源，进行风险分析。应对系统进行文件说明，但对格式没有特殊要求。系统文件通常会包括运营人的手册系统、检查单、组织结构图和人员岗位说明等。运营人的运行及其支持过程建议分解为：(a）飞行运行;(b）运行控制；（)维修;(）客舱安全；（)地面服务；()货运；()训练；(h)其他,如人事、财务等。系统和工作分析只要详细到可用来进行危险源和风险分析即可,冗长和过分详细的系统和工作分析是不必要的。尽管可以使用复杂的开发方法和手段,但经理与员工进行 11 的自由讨论通常更为有效。132 危险源识别 系统及其运行环境中存在的危险源必须被识别、记录和控制。界定危险源的分析过程还应考虑系统的所有组成部分。表 1 是危险源样例。系统及其运行的分析中关键问题是“如果发生了会怎样？”。当识别出所有可能的危险源比较困难时,运营人应首先识别运营中重大的、可预见的危险源。表 1 危险源样例 航图中有些标注离所标注的点距离较远 仪表制式、单位需换算 飞行员持有飞行体检合格证，但心理或生理状态较差 航行情报发放现场，资料管理混乱 维修任务计划和安排不适当，按正常程序完成工作所需的时间和资源不充分 人员招聘考核中,未考虑岗位所需的安全要求 培训的考核或评价方式不适当,导致不胜任者取得资格 资源分配时未充分考虑风险等级 装卸工缺乏危险品装卸知识 绩效考核或奖惩中未能体现安全第一 10.3 风险分析和评价 通常风险分析和风险评价是将风险分解为风险发生的可能性及后果的严重性。常用的工具是风险矩阵,图 4 是这种矩阵的样例。运营人应当开发一个最能体现其运行环境的矩阵,针对临时运行和长期运行可以开发拥有不同风险接受标准的不同的矩阵。矩阵的定义和最终结构将由运营人自行设计。各种后果严重性和发生可能性等级应根据实际运行环境确定。后果严重性和发生可能性界定的样例见表 2。各运营人对严重性和可能性的界定可以是定性的,但应尽量定量。表 2 结果严重性和发生可能性标准的样例 结果的严重性 发生的可能性 严重性等级 界定标准 参考值 可能性等级 参考值 灾难性的 多人死亡。航空器损毁。特别频繁 5 12 特别严重的 安全系数大大下降,身体压力或工作负荷已达到无法靠自身的能力完全履行职责的程度。一定数量的人员严重受伤或死亡。航空器损坏。4 经常 4 严重的 安全系数较大下降,操作人员因工作负荷增加，或因工作条件不利导致工作能力下降。人员受伤。主要设备损坏。3 偶尔 3 轻微的 安全系统下降。操作受限。设备损坏。极少 2 可忽略 影响很小。1 不太可能 在制定风险评价标准时,运营人应制定风险接受程序,包括可接受标准和局方的要求以及风险管理决策的责任层级。风险的可接受标准受安全目标高低的影响。风险可接受程度可以通过风险矩阵（如图所示）进行评估。示例矩阵说明了可接受程度的三个等级:不可接受的（黑色区域）、可接受的(白色区域）、缓解后可接受的(灰色区域）。(a)不可接受的(黑色区域）如果可能性和严重性相综合后,风险处于黑色区域,则该风险是不可接受的,必须进一步采取干预行动来消除相关危险源，或控制可能导致更大可能性或严重性的因素。（b)可接受的（白色区域)如果风险处于白色区域,则可以接受,不需进一步采取行动。但是,风险管理的目标应是无论评价显示风险是否在可接受范围内,都要将风险尽可能降至最低。这是持续改进的基本原则。（c)缓解后可接受的(灰色区域)如果风险处于灰色区域，则在特定的缓解条件下风险是可接受的。这种情况的一个例子就是评估一个在最低设备清单中列明的失效航空器组件的影响。如果ML 中定义的操作(“O”)或维修（“”)程序被实施，就可使该风险从不可接受变为可接受,则实施中的操作(“O”)或维修(“M”）程序就构成缓解行动。这些情况也应该在安全保证功能中持续强调。13 图 5 风险矩阵 一些其他方法也可用于风险评价,如某些专业组织开发的用于飞行、运行控制和地面服务等的风险评价方法。10.3.4 原因分析 风险分析不仅应注重对严重性和可能性的区分，还应注重根原因分析。这是进行有效控制、降低风险的第一步。一些结构化的软件系统可用于进行根原因分析。但是,在很多情况下,运营人内部飞行员、维修人员或签派员、其他经验丰富的专家间进行的分析研讨是寻找降低风险途径的有效方法。此方法的另外一个好处是可以使最终实施控制措施的员工参与进来。10.3.5 风险控制 在完成以上步骤后,必须进行风险控制的设计与实施。风险控制可能包括增加或改变程序，增加新的控制措施,增加管理,改进培训，增加或改进设备，调整人员等。应根据危险程度和复杂性,通过结构化的方式设计控制措施。风险控制措施的内容通常包括风险控制的目标、有关部门及人员的职责和权限、实现该风险控制目标的技术方案(技术措施、时间进度和资源需求等）。可用的控制措施可能有一个或多个,可以使用系统安全技术对控制措施进行分级、排序和选择。考虑到必要措施的迫切性以及开发更有效措施的复杂性,在不同的阶段可以采用不同的控制措施,例如在开发更有效的危险源消除方法时，先进行警告是恰当的。控制措施的分级包括:(a）从设计上消除危险源系统修改（这包括硬件、软件系统和组织系统)；(b)物理防护或屏障减少在危险源中的暴露或降低后果的严重性;14(c）危险源的警告、通告或提示；（d)为消除危险源或降低相关风险发生可能性或严重性而改变程序;（e)为消除危险源或降低相关风险发生可能性而进行的培训。即使采用高效的控制措施,完全消除风险也几乎是不可能的。在这些控制措施设计完成后,系统实际使用前,必须评估控制措施是否有效及是否会将新危险源引入系统，这种情况称为“衍生风险”。图中返回至图表顶端的闭环表明了评估(系统和工作分析，危险源识别,风险分析和风险评价）过程的使用，以确定改进的系统是否可被接受。104 安全保证 安全保证比运行现场监察范围更广，它通过持续的信息获取和分析,验证风险控制措施的落实情况,采取预防或纠正措施;识别在不安全事件发生前采取风险控制措施的机会,实现安全管理的闭环。相关管理人员可通过安全保证技术（如内部审计、内部评估）判断安全管理措施是否在按计划实施,从而掌握自己负责过程的安全状况,建立信心。各运行过程通过信息获取，进行数据分析、系统评价及预防或纠正措施,实现各运行过程的安全管理的闭环。运营人通过信息获取，进行数据分析、系统评价、预防或纠正措施及管理评审，实现运营人整个体系的安全管理闭环。安全保证方案应能确保所有运行过程以恰当的时间间隔接受评价。内部评估是建立在生产运行部门内部审计之上的，因此,生产运行部门内部审计应在内部评估之前完成。通常,生产运行部门内部审计的周期不应超过半年,内部评估的周期不应超过一年。计划应有灵活性并应是动态的,当识别出不利趋势时,应及时进行专项评估。1041 用以决策的信息 安全保证信息来源于各种渠道,包括正式的审计，安全相关事件调查,日常活动的持续过程监控，以及来自于员工报告系统的信息。10.持续监控 运营人应通过持续监控对运行的所有方面进行监控。持续监控还提供了主动识别危险源、证实已采取的安全措施的有效性和持续评估系统绩效的方法。应监控的运行信息应来自于飞行记录器、值班日志、机组报告、工作卡、处理表单等。运营人应建立飞行数据分析(F)方案，对来自于飞行记录器的数据进行分析。15 A 是指收集和分析在日常飞行期间所记录数据的主动方案，以便提高飞行机组的效能，改进操作程序、飞行训练、空中交通管制程序、空中航行服务或航空器维修和设计。FDA 有时被称作飞行数据监视(DM)或飞行运行质量保证(FQA),它为危险源的主动识别提供了另外一个工具。10.生产运行部门内部审计 生产运行活动是危险源最直接出现的地方，是过程缺陷造成风险的地方，也是通过直接监管及资源分配能将风险降低至可接受水平的地方。内部审计可以为生产运行部门提供一种有计划的、有方法的、以监察原则为基础的评审,以确定运行的安全状况。因此，要求规定运营人各运行部门具有内部审计职责。（）管理责任 由于运行部门的经理直接负责组织实施，并确保其职责内的过程按计划实施，因此，运行部门的经理应负责监控这些过程。通过日常的持续监控、员工报告和反馈、调查和定期的内部审计、数据分析、系统评价与预防或纠正措施等安全保证过程对风险控制措施状况进行监测、评价与控制,并掌握该业务过程的安全状况。此外,运行部门的经理通常是技术专家,了解相关技术过程,对以上工作负责更加有利。（b）审计范围 审计范围通常至少包括组织管理,运行过程与规章、手册及运营人内部政策、程序的符合性,风险控制措施的有效性等。和其他要求一样,要求的审计要求处于功能性级别，可与组织的复杂程度相匹配。（c）审计计划 生产运行部门内部审计的计划应包含在安全保证方案中。审计计划应有明确的日程安排,以验证内部审计计划的全面性、可控性和及时性。同时，一份公布了时间进度的计划还是保持管理信息畅通的手段。（d）审计方法 为提高系统效率,减少不必要的重复,运营人可借鉴其他的系统审计工具(如：IOSA中的工具）。如果运营人已使用这些工具,将在实施审计时具有优势。（)内部审计员的资格 内部审计员应具有以下资格:（1）全面理解运营人应遵守的规章、手册及运营人内部政策和程序等安全标准和安全规范；16（)具有至少 2 年相应运行过程的工作或管理经验;(3)熟练掌握审计技术。.4.内部评估 内部评估可以使高层管理者了解、掌握运营人安全管理体系过程的情况。内部评估也是一个预防的手段，常被用来在问题发生前识别、纠正潜在的问题。（a）管理责任 内部评估通常在安全总监的领导下，由与被审计部门功能上相独立的安全监督部门来完成,也可委托外部机构完成。（b)评估范围 内部评估通常包括对运营人各运行及其支持过程、安全管理体系功能（策划、风险管理、安全保证、安全促进等)的评估。(c)评估计划 内部评估计划应包含在安全保证方案中，内部评估计划应包括评估的目的、标准、范围、类型、评估组的构成及职责权限、明确的日程安排、沟通渠道及资源等，还应包含对生产运行部门实施内审的要求、内审结果的使用等。内部评估计划应分发给相关人员使其了解和熟悉评估程序及其组织实施,必要时，还应进行修订以确保计划能够持续适宜。评估标准通常至少包括外部规章、运营人内部政策、手册和程序等。（d）评估方法 内部评估是对运营人进行的全面系统的审计，通过监察、审计、评估等手段以验证运行过程、安全管理的符合性与有效性。（e)内部评估员的资格 内部评估员应具有如下资格:(1）深刻理解和掌握安全管理体系的原理和方法;()熟悉系统分析,全面理解运营人应遵守的规章、手册及运营人内部政策和程序等安全标准和安全规范;()具备至少 3 年飞行运行、运行控制、维修、客舱安全、地面服务、货运等任一领域的工作或管理经验;（)熟练掌握审计和评估技术。10.4.5 外部审计信息的利用 当有外部审计时，其审计结果也应作为信息输入到数据分析中。外部审计可以由局 17 方、独立的第三方、代码共享方或客户组织来进行。相对于公司的内部审计,这些审计可以提供第二层监督。10.4.6 调查 调查是一个以事故预防为目的、重点致力于有效风险控制的过程,包括收集和分析信息、得出结论，其中包括确定原因和提出安全建议。调查应由关注找出“责任人”转向鼓励相关人员进行合作，找出系统和组织缺陷等深层次的根本原因，进而制定和实施有效的改进系统、降低风险的措施。04.7 员工安全报告和反馈系统 员工安全报告和反馈系统是运营人进行主动危险源识别的有效工具之一，该系统不应只限于报告不安全事件，还应该报告危险源，即尚未导致不安全事件的不安全状况，从而能够帮助运营人识别运行中的危险源。员工对报告系统的信任是保证所报告的数据的质量、精确度和实质性的基础。这种信任的建立可能需要较长的时间。但是，一旦这种信任遭到破坏就可能长期损害系统的有效性。要建立必要的信任,运营人应在安全政策中鼓励员工报告,表明其对公开和自由地报告安全问题的态度。1.4.8 分析和评价 审计和其他信息采集活动后,应对信息进行分析整理。只有将信息整理成为有意义的形式,得出结论，才有利于管理。安全保证过程的主要目的是对风险控制措施的持续有效性进行评价。如果发现现行控制措施有重大偏离，应制定预防措施和纠正措施，以使控制措施重回轨道。作为安全保证功能的一部分,分析和评价功能必须能对组织运行环境的重大改变做出警告,提出可能需要系统改变以保持有效的风险控制的需求，根据评价结果，启动风险管理过程。10.4.9 预防措施和纠正措施 安全保证过程应制定程序,针对审计发现的倾向和问题，进行根原因分析，尤其注意识别系统和组织缺陷,制定预防或纠正措施,并验证其有效性。问题所在部门应负责进行根原因分析，制定和实施预防或纠正措施;当问题的根原因不在本部门而在上一过程部门或其他相关部门时,应在副总经理甚至总经理的协调下共同采取系统的措施。如果发现新的危险源,应进行风险管理,判断是否需要制定新的风险控制措施。1.410 管理评审 18 总经理应按策划的时间间隔进行管理评审,以确保安全管理体系的持续充分性、适宜性和有效性。为了保证管理评审的时效性,两次管理评审间隔不超过 12 个月。10.5 安全促进 安全促进的主要作用是通过运用支持良好安全文化的各种活动，将安全作为核心价值进行促进。即使严格地执行程序，一个组织的安全努力也不可能完全通过命令或强制执行获得成功。组织的文化将影响组织每个员工对待问题的态度和行为。组织的文化包括价值、信念、使命、目标和组织成员的责任感。文化填补了组织政策、程序和过程的空隙,并提供了安全努力的目的和意义。15.1 安全文化 文化包括心理的（人们如何思考、感受的)、行为的(人们或群体是如何行动、实施的)以及结构的(项目、程序和组织机构)元素。安全管理体系的策划、风险管理和安全保证部分中详细规定的许多过程为结构元素提供了框架。但是，运营人也必须适时建立能让员工间及员工与管理层间进行沟通的渠道。运营人必须努力就其目的、目标、组织的行动和重大事件的现状与员工进行沟通。同样,员工可以在开放的环境中向上进行沟通。10.5.2 沟通 系统安全理论强调“沟通文化”的重要性，组织必须致力于培养员工为组织文化作贡献的意愿;系统安全理论强调“公正文化”的重要性，员工有信心当他们要对自己的行为负责任时,组织会公平对待他们。要求 规定运营人必须提供员工沟通渠道以供员工及时提交安全缺陷的报告且不用担心受报复。1.5.组织学习 组织安全文化的另一个原则是“学习文化”。如果不学习借鉴，那么报告、审计、调查、其他数据源内的信息是没有作用的，因此运营人应对这些信息进行分析并输入到安全保证过程中。当环境变化或识别出新危险源时，应借鉴历史经验,进行分析和评价,采取有关措施，如预防或纠正措施、新的风险控制措施。运营人还应就风险控制措施和经验教训进行培训和沟通。19 附录 运营人安全管理体系要求 1.目的 本要求为运营人建立和实施安全管理体系提供一个统一的要求。2.范围及适用性 1）本要求适用于运营人建立和实施安全管理体系。a)本要求用于运行及其支持过程和活动相关的航空安全，而不是职业健康安全、环境保护或服务质量。b)运营人对外包的服务或产品的安全负有责任。)本要求制定的是可接受的最低要求。.备用 4.策划 4 总要求 1）安全管理应融入运营人的整个体系内，包括:a）飞行运行;）运行控制；c)维修；d)客舱安全；)地面服务；f)货运;g)训练；)其他,如人事、财务等。2)安全管理体系过程应被:a）形成文件；b）监控;c)测量；d）分析。3）安全管理体系输出应被：)记录；b)监控;c）测量；d)分析。20 4)运营人应促进积极安全文化的建设(见 42 和1)。4.2 安全政策)总经理应确定运营人的安全政策。2）安全政策应：a）包括安全第一、预防为主和综合治理的承诺；b)包括实施安全管理体系的承诺;)包括持续改进安全水平的承诺；d)包括进行风险管理的承诺;)包括遵守适用的法规要求的承诺；f)包括建立飞行安全文件系统的承诺；)包括鼓励员工进行安全问题报告且不受到报复的承诺;h）包括不安全事件调查时注重识别系统和组织缺陷的承诺；)包括所有的安全信息用于提高航空安全,而不被不当使用的承诺；j）建立清晰的可接受行为标准；)提供制定安全目标的框架；l）提供评审安全目标的框架；m)被形成正式文件；n）与全体员工和责任方进行沟通;o)定期评审，以确保政策与运营人的相关性和适宜性；p）明确管理层和员工在安全绩效方面的责任。4.3 安全目标 1）运营人应制定本单位的安全目标。2)安全目标应：a）不低于局方的要求;b)适合本单位的类型、规模和安全水平；c）是切实可行的；d)是可测量的。4.安全计划 运营人应建立、保持安全管理计划以实现安全目标。组织机构及职责 4.1 总经理 21 1）总经理应是安全管理体系的最终负责人。2）总经理应提供实施、保持安全管理体系的必要资源。4.安全总监 总经理应任命一名独立于运行及其支持过程的安全总监,其应具备下列职责和权限:）确保建立、实施、保持安全管理体系需要的过程;2)直接向总经理报告安全管理体系运行情况和改进需求;)确保提高整个公司内的安全意识。4.5.3 影响安全的岗位 影响安全的岗位的职责和权限：1)应是明确规定的;2)应是文件化的；)应在整个公司内的相关人员中得到沟通。46 与法规、规范性文件和其他要求的符合性 1)安全管理体系应与安全相关的法规、规范性文件的要求相符合。）运营人应建立并保持程序以识别和获得适用法规、规范性文件和其他相关要求。47 程序与控制)运营人应建立并保持含有测量标准的各种程序以便实现安全政策。2)运营人应建立并保持过程控制措施，以确保与安全相关的运行和其他活动始终遵守程序。4.8 应急响应 运营人应建立程序以：1)识别潜在的事故和事件；2）协调、计划运营人对潜在的事故和事件的响应；)定期对运营人的响应进行演练。4.文件及记录 4.9.1 总则 运营人应将下列内容形成文件并保持：1）安全政策;2）安全目标；3)安全管理体系要求；)安全相关程序和过程；22 5)安全相关程序和过程的职责和权限;6)安全相关程序和过程间的相互作用和接口；7)安全管理体系输出。4.2 文件管理 1)文件应是:（a)清晰的；(b)有日期标识的(包含修订日期）;(c)易于识别的;(d)有序保存的;(e)按运营人规定的期限进行保留，适用时，期限应经监管机构批准。2）运营人应建立并保持程序,控制本要求所要求的文件,以确保:()文件易于查找;()文件:(1)被定期评审;(）必要时进行修订;(3）取得被授权人员适用性批准。(c)相关文件的现行版本可在所有使用场所获得，以便有效执行安全管理体系；（d）过期文件应立即从所有正在使用的场所中收回，或采取其它措施，以防误用。4.9.3 记录管理 1)对于安全管理体系记录，运营人应建立并保持如下程序:(a)标识;(b)维护;(c)处置。2)安全管理体系记录应是：(a）清晰的；（b）可识别的；(c）可追溯到实际相关活动的。3)安全管理体系记录应按下列方式保持：(a)易找到的;(b)被保护的,以防：(1)损坏;23(）变质；(3)丢失。4)记录的保存期限应有文件化规定。5.风险管理 1)风险管理应包括下列过程:a)系统和工作分析;）危险源识别；c)风险分析；d)风险评价;e)风险控制。2)风险管理过程应被用于:a）系统、组织和产品的初始设计；b）建立运行程序；c)安全保证功能(如本要求第 6 部分所述)中识别出的危险源;d）对系统和运行过程的主动变更,以识别与这些变更相关的危险源。)运营人应利用安全保证功能进行闭环管理，以评估风险控制措施的有效性。4)运营人应确定风险可接受标准。a)应建立下列方面的描述：（1)严重性等级;(2)可能性等级。b)运营人应明确各管理层对风险可接受决策的权限范围;c)运营人在制定和实施风险控制或缓解计划时，应明确可接受的短期内存在的风险。)在以下操作进行前,应确定其风险是可接受的:a)新的系统设计;)现存系统设计的更改;c)新的操作或程序;d）操作或程序的更改。)风险管理过程不应妨碍运营人采取缓解现存风险的临时应急措施。5.系统和工作分析 ）系统和工作分析应详细到足以识别危险源的程度。24 2)系统和工作分析应考虑以下方面：a)本系统与其他系统（如机场、空管等)间的相互作用;)本要求 4.1 1）条中的各领域的系统功能;c)为完成本要求 51 2)b）条中功能的员工工作；d）在下列系统中人的因素的重要性：（）运行;（2)维修;e)系统的硬件部分;)系统的软件部分；）为系统运行和使用提供指南的相关程序;h)外在环境;）运行环境;j）维修环境;k)已外包的产品和服务;l)上面本要求 5.1 2)条的 b)-)各项的相互影响;m)有关下列内容的任何假设:()系统;（）系统的相互影响;（3)现存的风险控制措施。5.2 危险源识别 1)危险源应:a)根据以上的系统和工作分析，在整个系统范围内进行识别；b）被形成文件。2）危险源信息应是：a)可追溯的;b)在整个风险管理过程中都被管理。5.3 风险分析 风险分析过程应包括：1）现存的风险控制措施；2)启动机制;)现存危险源的可能风险,包括对下列方面的估计:25)可能性;b)严重性。.4 风险评价 1)应使用本要求第5部分的4）条中描述的风险可接受标准，对各危险源的风险可接受性进行评价。）应明确各管理层对风险可接受决策的权限范围。5.5 风险控制 )运营人应为每个具有不可接受风险的危险源确定风险控制措施;2)风险控制措施应：a)明确描述；b)经评估以确保符合要求;c)适用于运行环境；)文件化。3)应对风险控制措施带来的衍生风险进行评估。6 安全保证 6.1 总则 6.1 一般要求 运营人应监控其各系统和运行以