王永刚院长在SMS培训会上的讲话(最终稿)

-1-王永刚院长在SMS培训会上的讲话航空安全监察管理部根据录音整理22日上午4月29日总局出台了关于航空公司实施SMS的规章，就是正式颁布的AC，与此AC相关的121部条款的修订将来也会公布。之前我就SMS的建立、工作内容、思想、方法等问题和公司高层作了交流和沟通。这次讲课的主要内容是介绍如何操作，在组织机构确定的前提下，各条线开始具体实施SMS，同时，把总手册整合的框架与工作小组做一个详细的沟通。我们首先要懂得原理，接下来工作中遇到的问题就可以按照原理实施了。我上午将介绍以下几个问题：一是SMS从哪来；二是它要向哪去；三是要怎么做。SMS体系就是建立安全组织机构和管理各项事情的原则和办法的综合。航空公司大多数业务与安全都有直接关系，因此就要调整整个管理的体系，企业管理的理念、机制和程序，就是改革原有体系，而不是建立新的体系。安全管理是属于运行管理的一部分，是运行管理的属性。这个理念在发达国家已经有十年的历史了。每个国家要建立一个安全管理的方案，规定民航企事业单位应该达到的安全水准（这个水准不是中国民航所说的“三为零”，那是最高水准），由于各个国家航空安全水平不一样，所以定的标准也不一样。-2-中国民用航空局建议航空公司从06年12月23日开始实施SMS，要求从09年1月1日开始必须实施，实施SMS是国家安全管理的要求。满足以下4条功能性要求（见AC）就是实施SMS，必须通过一个体系的工作才能实现这几个功能。它要求各个国家自己去建立体系，只要能完成这4个功能，这个体系就是合格的。国际民用航空公约“附件6”里的“3.2.5”强调的是责任（问责制），问责制是一个体系，完成不了任务要追究责任，甚至上升到刑事责任。国际民用航空公约“附件6”是目标性或者功能性要求。安全管理手册（SMM）为完成SMS建设提供了指南，但仅仅是参考手册、学习材料，而不是SMS的模板。大家看到的AC和总局136号令，就是中国民航SMS的总要求，其中界定了SMS要素的组成；而AC界定了航空公司实施SMS的具体要求，把SMS分成4大支柱，27个要素。以上就是SMS的背景和目前情况。接下来介绍为什么要实施SMS—降事故率。由事故率曲线图可看出世界事故率大幅下降，但是到近几年下降到一定值就不下降了，处于平缓阶段。事故率大幅下降的原因可分为两个阶段，一个是军用飞机技术的引进，另一个是人为因素的改善，之后就一直保持直线水平。中国民航事故率现在仍然继续下降，是因为还处在第二阶段—人为因素阶段。SMS是发达国家研究出来解决平缓阶段的方法，是精细化的管理，而我们还处于粗糙化管理。现在，中国民航必须两个阶段同时进行，在解决平缓问题的同时还要快速走完人为因-3-素阶段。各航空公司实行SMS也是一样，原来安全管理不得力的地方要加快，同时还要加上精细化管理内容。世界民航百万架次事故率现在是0.2，但是运输量在不断增长，如果还是0.2的话，事故次数就会增加，所以世界民航提出要把事故率降低到0.1的标准，要减少事故次数有两个办法：一个是降低运输量，另一个就是控制事故率。由于中国现在无法快速降低事故率，所以现在只能降低运输量，目前的做法就是加强管理，增加检查次数和检查强度，但是，SMS不是加强管理，而是提出组织管理，只加大惩罚力度是达不到理想效果的。由于现在还无法杜绝事故，并且运输量不断增大，所以必须抓组织管理，从源头抓起，所有人都为安全服务。因此，今后我们采购飞机的时候要定制适合中国人习惯的，要对适航性进行把关。下面介绍一下SMS的去向。现在多数人都认为安全是结果问题，而SMS对安全的定义变了，因此安全管理变了。安全不是结果的问题，而是一种状态，是保持在可接受水平的状态。不出事故、事故率低都不能称为安全，只有当隐患控制的好、发作率低，而且有应急预案，即使隐患发作损失也少，才能称为安全。安全管理就是管理生产、运行而达到安全，应该是由运行各部门自己管理，而不是安监部管理。以前我们一直认为安全是独立的，是可以管的，因此都让安监部管理，实际上按照SMS要求，安监部应该只对事故处理、绩效考核管理，只对结果管理。日常的业务、风险管理都应由各运行部门自己管理。总之，安全管理就是由事后管-4-理变成事前管理，由事件管理变成事态管理，要把安全管理的责任从安监部转移到各运行部门。中国由于长期以来没有区分不同类别的差错，统称为人为因素，所以许多人认为SMS与现行的管理方法有冲突，认为SMS就是无惩罚报告，但事实上是不矛盾的，只能说现在管理还不够严，对两种差错没有区分。现在中国民用航空局严格了惩罚力度，采取了停航线的方法，下一步还要停飞机，进一步加严、加强安全管理，同时要从源头抓系统的安全管理，这就是中国的SMS。SMS就是一套具体的对政策、组织机构改革的方案，职责要划分、调整，管理办法、责任人要改变。安全管理体系最重要的是界定运营人各级的安全责任制，包括高层管理机构的安全直接问责制。安监部的主要责任是安全分析、研究、考核和汇报，相当于各公司的安全研究所，各部门负责自己部门的安全问题，安监部对其进行考核。安全管理的主要责任落实在负责运营人（航空公司）技术过程的人员身上。技术过程是危险源直接出现的地方，是容易造成风险的地方，也是通过直接监管、控制措施及资源分配能够将风险降低至可接受水平的地方，为此，本规定要求各生产运行过程的运营人员具有内部审核职责。所以，运营人应通过内部审核和评估大纲，赋予生产运营部门经理监控这些过程的职责，并定期评价。现在开始讲如何实施SMS，就是按照AC实施。首先说明一点，这次AC具有里程碑意义，它是对管理约束的咨询-5-通告，是管理的规章，是功能性的要求。它不是说明该怎么做，而是说明该做什么。管理是介于技术与艺术之间的术语。SMS技术部分在于风险管理，难点在于组织结构部分。本AC分为两个部分，前部分是指南，后部分是要求，且适合“121部”和“135部”两种运营人。（介绍AC）“定义”里面提到了很多“过程”，这个“过程”大家还不是很明白，其实过程是“活”，航空公司有飞行、签派、维修等“活”。“程序”就是规矩。“审核”与ISO9000的审核是不同的，ISO9000的审核是整个系统的检查，本AC的“审核”是指定期的评审，查证是否符合政策、规章、标准、合同，是符合性检查，从组织管理和运行着手，既检查技术又检查管理。所以这里要把“审核”对照评估看，评估是对运营人的政策、程序和系统进行的功能性独立评审。当运营人独立完成某项工作时，应由运营人内部独立于被评估部门的机构来完成，对航空公司来讲就是安监部、运标部。评估过程建立在审核和检查的基础上，评估和系统审核统一，审核是不系统的，评估是系统的。SMS就是由安全、管理、系统三个词组成。安全是基于风险管理的要求，是状态的要求，要控制这个状态，就要用风险来衡量，风险是安全程度的表征参数。管理就是用质量管理技术进行安全保证，本咨询通告中安全管理过程始于组织过程的设计，企业各项“活”的设计，一旦程序开始实施，就由质量管理负责了，就不是安全管理了，安全管理是风险管理，质量管理是实施性管理。质量管理技术可以用来提供-6-模板化的过程，保证实现目标，预防、纠正问题。因此，安全管理可以被视为——为实现安全目的，对安全相关的运行和支持过程进行的质量管理。ISO9000的目的是确保产品稳定，是树立了标准，大家都按标准做，就能实现目标。这个理念可以用于质量管理，但是识别不了危险源。对危险源的识别、评价和控制措施、程序的制定称为安全管理，形成了规矩之后就交给质量管理，这就是质量管理和安全管理的关系。另外，谈一下质量保证和安全保证。何谓保证，我把它称为安全监测，安全保证又比安全监测多一部分，就是监测出问题之后反馈给管理者，让管理者纠偏，这三个过程就称为保证。保证是系统的为运营人的运输服务是否满足要求而提供信心的过程。质量保证发现问题之后，如果是新危险源就反馈到风险管理，重新制定措施，如果是老问题就直接用质量管理的做法解决。（分析体系图）22日下午什么是安全文化？其实很简单，就是在要求不明确的情况下，企业大多数员工都知道该怎么做，这就体现了一个公司的文化，手册文件是不可能把所有事情都规定清楚的。所以在实施SMS的过程中，安全文化也是很重要的，有句话说得很好：“一个企业的成功不可能全部靠硬性的规章去实现，还必须要有一个文化使大家在没有规章的情况下，价值取向也不变。”SMS的文化不是说教，而是具体的三件事，后面涉及到的时候再具体讲。-7-（几个图）谈一下运营人运行与防护的关系。安全管理起什么作用？起的是防护的作用，是对生产的防护，质量管理是对搞好生产的管理，所以安全管理是补充、完善，安全与管理之间的关系是运行与防护之间的关系（见图）。这里的“过程”就是一样一样的“活”，如飞行、签派、维修、货运等等，对于每一样“活”，安全管理起的是防护作用，是控制风险的作用。整个目标是满足客户要求的，这是过程的目标，不做防护是完成不了的。由此图可以看出安全管理与运行是不能分开的，所以需要强调的是：图是从功能角度，而不是从组织结构角度进行描述的。该图并不意味着安全管理只是安全部门或安全总监的责任，事实上安全管理体系强调管理生产运行过程的人员在安全管理中的角色。这里强调的是谁负责某一项业务谁就管理安全，这个图显示的是每个部门既有满足用户需求的责任，又有防护的责任，是指一个人身上具有两个责任，而不是指两个人分别具有一个责任。下面开始具体的讲。运行过程是指飞行运行、运行控制、维修、客舱安全、地面服务、货运等过程，这里少了训练，因为训练是飞行的支持过程，而不是运行过程。“由于运营人的运输服务是通过运行过程来完成的，所以有效的风险管理和安全保证应从彻底了解运行过程的结构和组织着手。相当数量的危险源、风险因素来自于过程设计不当或系统与运行环境不适宜。”也就是说将来与国航运行标准对接的时候，要分别研究国航和山航的环境，分析对接的问题，不能照搬，要考虑适宜不适宜。在某些情况下有些危险源可能不能被充-8-分识别，因为不考虑这些因素就可能识别不了。“风险是伴随运行活动产生的。因此，运营人的首要职责是识别其管理过程和运行环境中存在的危险源，控制其风险。”这就是讲谁干活谁负责安全管理，不能让别人负责。接下来就讲了运营人运营、防护与局方的关系，其实讲这个关系就等同于讲了公司运行部门与安监部的关系，是可以类推的，安监部相当于管理局在公司的派出机构。这两者关系是什么呢？大家看图“局方传统的监督管理注重符合技术标准，通常包括审定、持续监督、调查、规章的强制实施等。在继续保持传统监督管理方法的同时，局方将通过监督运营人的安全管理体系，逐步运用系统安全方法监督管理运营人整体安全状态。”今后监督的是航空公司的安全状态，并不只是安全结果，安全状态是通过局方审计实施的，依次类推，安监部将来对其他运行部门的监督也是这个概念。当然不能完全类推，因为政府的监管是百分之百独立于企业的，但是安监部不能百分之百独立于其他部门。今后监管就是看这个机制是否在正常运转，如果机制正常运转就有理由相信安全是好的，就像ISO9000，其实是一个道理。以前局方只检查过程，采用的方法是监察，就是技术符合性的检查，今后这种方法在一段时间内还将保留，但是要加一个内容，就是审核管理体系、机制。安监部也是一样，每年对各部门作一次评估，同时有权抽样检查，它与审核不同，它更全面，是从管理、组织、设计开始，一直查到关闭。整个AC分为两个部分，前面是指南，后面是正文、要-9-求，指南分了几个部分，对后面的要求进行解释、说明。以下就是几点说明：第一是安全管理标准化的必要性，管理必须要标准化、结构化。“使用了与质量管理体系ISO9001-2000标准相似的模式，以便该体系与其他管理体系相互整合”。第二是可审核性，考虑以上两个要求，把后面写成那种形式。结构和组成讲了以下几点：第一是功能性要求，由于需要适合各种类型和规模的运营人，所以《要求》没法写具体，只能是作为功能性要求文件制定，它强调运营人应“做什么”而不是“怎么做”，提示了运营人要做到什么程度，这给大家提供了灵活性。下面这句话