民用航空安全管理体系评估发展现状研究

高平 师尚红 张元

(1.中国民航科学技术研究院航空安全研究所 北京 100028； 2.应急管理部信息研究院 北京 100029)

0 引言

国际民航组织(ICAO)要求民航服务提供者建立SMS体系，2005年起，中国民航局陆续对国内民航生产经营单位提出了建设安全管理体系(SMS)的要求。2018年，中国民航局发布的《民用航空安全管理规定》对其他民航生产经营单位提出了建立“等效的安全管理机制”的要求。经过多年的探索和实践，我国民航领域SMS建设和实施工作取得了一定成果，为民航安全作出了积极贡献。但各单位的SMS建设水平参差不齐，需要一套成熟的评价方法对SMS指导实际工作的效能进行评估。

世界各国都在不断推进SMS建设和实施，同时也在推进SMS的实施效果的评估工作，提出了不同的评估方法[1-2]，对这些方法进行详细研究，有助于裁长补短，为设计满足我国民航生产经营单位SMS评估需要的评价系统奠定一定的基础。

1 典型SMS评估方法研究

1.1 IOSA

2001年，国际航空运输协会(IATA)开始了运行安全审计项目，简称IOSA。IATA希望航空公司通过遵从IOSA标准和建议措施(ISARPs)来提升运行安全和效率。2003年至今，438家航空公司已完成注册，审计次数共超过570次[3]。通过该项目，航空公司实施了提高飞行安全系数的改进方案，降低了代码共享的冗余，经营成本大幅降低[4]。

IOSA主要由8个部分组成：组织与管理、飞行运行、运行控制、机务与维修、客舱运行、地面服务、货物运输、航空安保。有关SMS评估的模块含在“航空公司组织与管理”中，SMS评估模块及要素见表1。

表1 IOSA评估模块及要素

以评估“安全风险管理”中“风险识别”这一要素为例，检查单中评估员评估的要点主要有：①评估该组织安全风险识别程序(审核重点：飞行运行中的风险、安全数据收集的描述方法)；②评估跨规程的安全风险识别(审核重点：所有的操作规程对风险识别的参与程度)；③访谈该组织的安全管理体系负责人或管理代表；④检查有关风险识别组织整合的重点文件和记录(审核重点：所有的操作规程在风险识别中的协调参与)；⑤选择检查一些有关通过数据搜集识别风险的实例；⑥验证风险识别计划在各个专业的实施情况。数据获取渠道示例：人员的保密或其他报告；事故、征候、非正常事件调查；飞行数据分析；观察飞行机组在航线运行和训练中的表现；质量保证和(或)安全审核；安全信息收集或交换(外部来源)。过程应设计成识别与组织业务变化(如：增加新航路或目的地、引进新机型、重要的运行功能外包)相关的潜在危险。

通常，危险一旦识别，则分配一个跟踪编号，并记录在日志或数据库中。日志或数据库的输入一般包括危险的描述以及跟踪相关风险评估和减缓措施所必需的其他信息。

IOSA审计的两个基本目标是改进运营安全和减少航空公司之间的安全审计。IOSA审计围绕着“两个符合性”进行，即公司手册与IOSA标准手册的符合性(文件化)，以及实际运行情况与手册的符合性(实施)。IOSA审核指标包括两类：标准和建议措施，标准是强制性的，建议措施是非强制性的。不符合标准被称为不合格项，而不符合建议措施则被称为观察项，每一个条款经审计后得到3种可能的结论：符合、不符合和不适用。IOSA的最终结论以不合格项和观察项的形式给出，而不进行整体安全性评价。

1.2 SAS

2002年开始，美国联邦航空局(FAA)安全监管系统方法计划办公室(SASO)开始着手开发整合一体化的方法来监管所有航空运行单位，这种方法被称为安全保证系统(SAS)。2011年SASO开始致力于与飞行标准部门沟通，推进将美国联邦法规第14篇121部、135部和145部规章的监管工作纳入SAS框架[5]。

SAS的实施过程包括6个主要模块，分别为：系统构型、计划管理、资源管理、数据收集、分析评估和行动、行业安全分析[6]。不同的模块在评价中发挥着不同的作用，见表2。

表2 SAS评估模块

针对每个系统、子系统、要素，SAS基于6个安全属性设计检查单，分别为：程序、控制、流程观测、接口、职责、权力[7]，监察员通过使用这些检查单来收集安全数据，从6个维度来评估运营人的安全设计和安全运行绩效情况。各个维度评价的范围见表3。

表3 不同属性SAS检查单的评价范围

为了便于在统一的系统构型条件下，适应不同监管对象的运行特点来开展监管，FAA在SAS评估中针对不同运营人的系统、子系统、要素设计不同的检查单，但都是在总体6个安全属性框架下，选取搭配适用的系统/子系统/要素来实现。

1.3 加拿大TP 14326 SMS评估系统

TP14326 SMS评估系统是加拿大运输部系统评估民航认可组织的SMS建设情况有效性的重要工具[8]。该系统参考加拿大航空条例(Canadian Aviation Regulations,简称 CARs)相关内容，基于6个组成部分构成SMS评估框架以及相关的要素，制定了每个组成部分和要素的一系列明确的预期目标，具体模块见表4。

表4 TP14326 SMS评估框架

SMS的草案包括SMS组成部分和要素的所有预期目标，这些预期目标是根据CARs、指南文件和行业最优方法制定的。通过预期目标和相关问题的设置，采用文件评审、现场评估等方法，并利用每个要素的测量准则表(如表5)得出观察结果，将这些观察结果汇集成一个数据集，利用加权算术平均法，计算出系统的SMS总分，用于对系统的总体评价。

表5 准则样例: 安全管理系统

1.4 SMICG SMS评估工具

安全管理国际协作组织(SMICG)开发的该评估工具供监管当局和组织使用，监管机构可使用该工具对组织进行初步批准或持续监督，组织可使用该工具评估其他组织SMS的成熟度和有效性[9]。它要求与被评估组织进行信息上的交流，包括面对面的讨论以及对被评估人员进行访谈。

该工具通过一系列指标体系对SMS的规章符合性和实施效果进行评估，指标体系按照ICAO SMS框架的12个要素及其定义进行设计。对于每一个要素，建立了一系列规章符合性评估指标和绩效评估指标，并为每个指标提出了最佳实践做法。评估时，对每个指标进行评估以确定每个指标是否文件化((Present))、符合运行实际(Suitable)、贯彻实施(Operating)和达到预期的效果(Effective)，进而确定每个SMS要素的实际效果。表6展示了该评估工具检查单主要内容。表7以评估“协调应急响应计划”这一要素为例展示了评估人员使用的检查单。

表6 SMICG SMS评估模块及要素

表7 SMICG SMS检查单举例

局方通常使用该工具对评估结果进行记录和存档。该工具也可用于民航企业进行自我评估。评估人员最终要对ICAO要求的所有SMS要素是否达到预期要求做出判断。

1.5 空管SMS审核

2011年，中国民用航空局发布《民航空管安全管理体系(SMS)审核管理办法》(AP-83-TM-2011-02)，开展对空管单位的SMS审核工作，该工作分为3个阶段：申请审核、现场审核和整改审核。

空管SMS审核检查单中包含4大支柱、13个要素，分别为：

(1)安全政策和目标。包括安全政策、安全目标与绩效管理、组织机构及职责、应急保障、文件和记录5个要素。

(2)风险管理。包括风险管理制度及人员配备、风险识别、风险评价与控制3个要素。

(3)安全保证。包括安全信息收集与综合分析、安全评估与管理、SMS 管理评审3个要素。

(4)安全促进。包括安全教育和培训、安全沟通2个要素。

表8为部分空管SMS审核检查表。

表8 空管SMS审核检查表(样例)

空管SMS审核包含了SMS建设的四大支柱以及初期涉及的13个要素，并针对各要素制定了具体的检查项。审核员按照上述检查表进行文件评审，并按照文件评审过程中记录的重点检查内容进行现场检查，重点审核SMS是否合理可行，最终形成审核报告。审核结论分为合格与不合格两种。

1.6 飞行标准监督管理系统(FSOP)

飞行标准监督管理系统(FSOP)是局方用于开展飞行标准工作监管的系统，它以风险管理为核心，从全过程分析评估航空公司的运行情况，能够发现并改正潜在的风险，将不安全事件控制在萌芽状态。该系统由支持层、执行层和决策层构成，包含10余个子系统。

(1)支持层。提供法律法规、使用困难报告信息、航空公司基础信息等信息资源，为执行层提供数据支持，包括飞行人员资质管理系统、电子规章管理系统等。

(2)执行层。飞行标准管理工作的主要平台，主要包括审定监察系统等。

(3)决策层。依据执行层的各项，对组织进行安全绩效评估，进行安全态势分析与预警。

对于被评估的组织，FSOP通过系统布置评估内容、评估时间、评估人员、如何开展评估及评估后措施等。局方也可了解评估活动的实时完成情况、评估结果、后续工作计划等内容。FSOP检查单样例见表9。

表9 FSOP检查单(样例)

FSOP系统通过对飞行标准的管理进行细化，局方监管更具有针对性，并且其在全国使用统一的检查单，任务具体到人，计划精确到天，实现了业内数据信息的共享。

2 SMS评估方法对比

笔者通过对6种SMS评估方法的研究，发现各评估方法在指标体系设置、评价指标 、评价方法选择、评价结果展示等方面均存在各自的优势与不足，从多种维度对上述评价方法进行对比分析，见表10。从表10中可知：

表10 SMS评价方法多维度对比

(1)指标体系方面。①IOSA的指标体系的设计思想是遵守复杂的规章，而忽略对安全管理进行专门评价。②SAS将主要强调运营人的流程和程序设计和执行与运行规章条款符合性监管进一步升华到运营人自我安全管理能力的评价，也升华到不同运营人乃至民航整体运行安全风险的评估，但其评价指标体系不够全面，安全评价指标中缺乏对安全管理因素的评价。③加拿大TP14326 SMS评估系统评分标准受人的主观因素影响较大，难以形成相对客观的评价结论。④SMICG SMS评估系统将传统的以规章符合性为基础的监察转变为以绩效管理为基础的监察，但其定性评价过多，缺少了定量的评价。⑤空管SMS审核缺少了对指标效果进行评价，综合评价方法过于简单。⑥FSOP系统在数据搜集方面具有先天优势，但缺少了针对SMS要素的评价。

(2)SMS关键要素覆盖方面。除SMICG SMS评估工具及空管SMS审核外，其他几种评价方法都没能完全覆盖SMS有关的要素；6种评价方法都没有对各要素的评价标准进行详细的设置，且很多评价方法未区分评估对象，对所有的被评估人使用同一套检查单，没有考虑被评估对象的特点，缺少了一定的针对性。

(3)指标权重方面。6种方法都没有计算每个指标的权重，对所有的指标都“一视同仁”。实际当中，由于每个指标的内容和所处环节的不同，其所占的比重会有很大的差异，“一视同仁”地看待每个指标必然会影响最终的评价结果。

(4)综合评价方法和结果形式方面。TP14326 SMS评估系统采用了加权算术平均法来综合计算最终的评价结果，并以分值的形式体现被评价对象的安全水平，但各评价指标之间存在很大的相关性，致使这种算法的结果很难令人信服；空管SMS审核的扣分法也存在很大的局限性和不准确性。而其他几种评价方法都没有采用综合评价方法，最终是以问题项或安全类别的形式给出评价结论，无法评价整体的安全水平。

3 结论

本文对国内外民用航空领域现存的SMS评价方法进行详细研究，并对6种评价方法进行多维度对比分析，得出如下结论：

(1)在综合评价方法方面，6种方法都未采用相对客观的综合评价算法，需要建立一套科学、合理的综合评价方法，能够正确反映民航生产单位的总体安全水平。

(2)在评价指标方面，6种评价方法的指标体系都存在一定的优势，同时也存在一定的问题或不适应当前安全管理理论发展要求，需要建立一套适合我国民航实际情况的且与安全管理理论发展相适应的安全评价指标体系。该体系应在强调遵守规章的基础上，以我国民航的具体实际情况为出发点，按照组织管理理论和系统安全的思想，以提高系统安全裕度和防范风险的能力为目标。