民航领域在安全管理体系(SMS)方面起步较早,早在2006年国际民航组织(ICAO)就对各缔约国提出了建立以安全风险管理为核心的安全管理体系的要求,安全管理的一些基本概念和流程、程序也在不断更新、迭代,民航各业务领域在分头推进SMS建设过程中,在安全管理基本概念、基本逻辑等各方面出现知识更新进度不一致、认识不统一等问题,与国内安全生产领域相关法律、法规、规范性文件的对应和协调等方面也不可避免地存在偏差。2021年9月1日,新的《安全生产法》正式施行,民航由于其行业特殊性,同时肩负着满足国内法和国际法的双重使命,如何将SMS与双重预防机制相关概念整合为一体,在SMS框架内落实双重预防机制的各项要求,成为民航依法推进安全治理、源头防范化解重大安全风险的一项重要任务。
《民航安全风险分级管控和隐患排查治理双重预防工作机制管理规定》(民航规[2022]32号,AC-398-03)通过对民航“安全风险分级管控和隐患排查治理双重预防工作机制”(简称“双重预防机制”)的解析,帮助民航各单位和从业人员更好地理解、掌握和落实文件要求,适用于中华人民共和国境内依法设立的建有SMS的民航生产经营单位开展的安全风险分级管控和隐患排查治理工作、及民航行政机关相关监管活动。文件自2022年9月30日生效。
(一)界定内涵
1、危险源:可能导致民用航空器事故(简称“事故”)、民用航空器征候(简称“征候”)以及一般事件等后果的条件或者物体。
危险源是民航设计制造单位开展业务活动不可或缺的。
2、安全隐患:民航设计制造单位违反法律、法规、规章、标准、规程和安全管理制度规定,或者因风险控制措施失效或弱化可能导致事故、征候及一般事件等后果的人的不安全行为、物的危险状态和管理上的缺陷。按危害程度和整改难度,分为一般安全隐患和重大安全隐患。
“安全隐患”通常表现为“人的不安全行为、物的不安全状态、管理的缺陷”。危险源是民航设计制造单位开展业务活动时应努力避免的,一旦出现就启动清零管理(类似双五归零)。
3、重大安全隐患:危害和整改难度较大,应当全部或者局部停产停业,并经过一定时间整改治理方能排除的安全隐患,或者因外部因素影响致使民航设计制造单位自身难以排除的安全隐患。
4、安全风险:危险源后果或结果的可能性和严重程度。根据容忍度不同,分为可接受、缓解后可接受、不可接受三级。
5、重大风险:风险分级评价中被列为“不可接受”的风险,或者被列为“缓解后可接受”但相关控制措施多次出现失效的风险。
(二)双重预防机制与SMS的关系
1、第一层预防机制与SMS的关系
民航双重预防机制的第一层预防机制为安全风险分级管控,主要关联的是民航业SMS实施中开展的安全风险管理。通过系统描述、危险源识别、安全风险分析,对所识别的危险源进行安全风险评价分级。如果危险源的风险可接受,则投入系统运行;如果危险源的风险处于缓解后可接受或者不可接受等级,则需制订风险控制措施,将所制订的风险控制措施纳入系统描述,并分析所制订的风险控制措施是否使原危险源的剩余风险降至可接受水平。一旦风险控制措施能够将危险源的风险降至可接受水平,即可实施并投入系统运行。
2、第二层预防机制与SMS的关系
民航双重预防机制的第二层预防机制为安全隐患排查治理,其本质是民航业实施的SMS中安全保证工作的一部分。报告、法定自查、审核、事件调查、监督检查等方式,既是SMS安全保证中获取数据、监控安全风险控制措施实施情况和实施效果的安全绩效监测方式和手段,也是安全隐患排查的方式和手段,如果发现安全隐患,应当纳入安全隐患排查治理环节予以管控,如果发现新的危险源,应当按照民航双重预防的安全风险分级管控环节予以管控。
3、双重预防机制与SMS的融合
对于重大安全隐患,民航设计制造单位应当及时停止使用相关设施、设备,局部或者全部停产停业,立即报告局方;回溯到双重预防机制“系统描述”环节进行梳理,按照“安全风险分级管控”要求启动安全风险分级管控,有针对性地制订治理方案;实施治理方案,落实责任、措施、资金、时限和应急预案,以及消除重大安全隐患的治理措施。
对于排查出来风险控制措施失效或弱化产生的一般安全隐患,治理过程中应当回溯到“风险控制”环节,对风险控制措施进行审查和调整;对于涉及组织机构、政策程序调整等需要较长时间完成的风险控制措施,民航设计制造单位应当采取临时性安全措施将风险控制在可接受范围内。一般安全隐患的风险控制措施调整后,应当重新回到“系统描述”,按需开展变更管理,并分析和评价剩余风险可接受后,方可转入系统运行环节。
(三)明确责任
1、负责人的职责
民航设计制造单位的主要负责人是本单位安全生产第一责任人,对本单位安全生产工作全面负责,在SMS框架内组织建立并落实双重预防机制,督促、检查本单位的安全生产工作,及时消除安全隐患。其他负责人按照“三管三必须”的原则对职责范围内的安全风险分级管控和隐患排查治理工作负责。
2、部门的职责
安全管理相关部门负责组织开展危险源识别、风险分析和评价分级,拟订或组织其它业务部门拟订相关风险控制措施,督促落实本单位重大危险源、重大风险的安全管理措施;检查本单位的安全生产状况,及时排查安全隐患,提出改进安全生产管理的建议;如实记录本单位安全隐患排查治理情况,并向从业人员通报。
其他部门按照“三管三必须”的原则,履行民航设计制造单位内部管理规定的相应职责,并按规定参与或独立开展危险源识别,风险分析和评价分级,以及拟定风险控制措施,及时排查治理职责范围内的安全隐患。
3、从业人员的职责
民航设计制造单位的从业人员应当严格执行本单位的安全生产和安全管理制度和操作规程,发现安全隐患或者其他不安全因素,应当立即向现场安全管理人员或者本单位负责人报告。
4、对应商的监管职责
(四)强化要求
1、安全风险分级管控
民航设计制造单位应当建立健全安全风险分级管控制度,并根据图2所示,清晰、明确地接入SMS的“安全风险管理”流程。该制度应当包括对安全风险分级管控的职责分工、系统描述、危险源识别、风险分析、风险评价分级和风险控制过程,以及安全风险分级管控台账等管理要求。
(1)系统描述
参照Doc9859《安全管理手册》的相关要求,“系统描述”是《安全管理体系手册》的必要内容,应当至少包括组织机构、业务流程、可能涉及的设施设备、运行环境、规章制度和操作规程,以及接口的描述,以界定SMS及其子系统的边界,确定双重预防机制在体系内的特征。
使用系统描述可以使民航设计制造单位能够更清晰地了解其众多的内外部交互系统和接口,有助于更好地定位危险源、安全隐患并管控相关风险。同时,及时更新系统描述还有助于了解各种变动对SMS流程和程序的影响,满足SMS“变更管理”对系统描述进行检查的相关要求。
系统描述通常包含带有必要注释的组织机构图、核心业务流程图(包含内外部接口),及各项相关政策、程序的列表,但民航设计制造单位应当使用适合其自身的方法和格式编制适合本单位运行特点和复杂程度的系统描述。
(2)危险源识别
民航设计制造单位应当综合使用被动和主动的方法,识别与其航空产品或服务有关、影响航空安全的危险源,描述危险源可能导致的事故、征候以及一般事件等后果,从而梳理出危险源与后果之间存在可能性的风险路径。
对重大危险源应当专门登记建档,进行定期检测、评估、监控,并制定应急预案,告知从业人员和相关人员在紧急情况下应采取的应急措施。
(3)风险分析和风险评价分级
民航设计制造单位应当明确安全风险分级标准,对其所识别的、影响航空安全的危险源进行风险分析和评价分级,从高到低分为不可接受风险、缓解后可接受风险和可接受风险三个等级(采用更多等级的单位,需明确对应关系)。
安全风险矩阵和分级标准由民航设计制造单位按民航局相关业务文件规定和本单位特点自行制定。安全风险指数采用字母与数字组合或单纯的数值来表示都是可接受的。
(4)风险控制
民航设计制造单位应依据危险源识别和安全风险评价分级结果,按“分级管控”原则建立健全风险管控工作机制。
对于重大危险源和重大风险,由主要负责人组织相关部门制定风险控制措施及专项应急预案;对于其他缓解后可接受风险,由安全管理部门负责组织相关部门制定风险控制措施;对于可接受风险,仍认为需要进一步提高安全性的,可由相关部门自行制定措施,但要避免层层加码。
对于涉及组织机构、政策程序调整等需要较长时间的风险管控措施,民航设计制造单位应当采取临时性安全措施将安全风险控制在可接受范围,且上述类型的风险控制措施制定后,应当重新回到系统描述,按需开展变更管理,并分析和评价剩余风险可接受后,方可转入系统运行环节。
(5)安全风险分级管控台账
民航设计制造单位应当利用信息化技术对风险分级管控工作进行动态监控,建立台账,至少如实记录危险源名称、危险源所在部门、是否是重大危险源、危险源可能导致的后果、现有风险控制措施、风险分级评价、计划风险控制措施、风险控制措施落实效果等安全风险分级管控情况。
2、安全隐患排查治理
民航设计制造单位应当建立健全并落实本单位的安全隐患排查治理制度,该制度包括对安全隐患排查治理的职责分工、安全隐患排查、重大安全隐患治理、一般安全隐患治理和安全隐患排查治理台账等管理要求。
要通过立整立改或制定等效措施等方法,确保可能导致风险失控的安全隐患“动态清零”,即:针对排查发现的安全隐患,应当立即采取措施予以消除;或对于无法立即消除的安全隐患,制定临时性等效措施管控由于受该安全隐患影响而可能失控的风险,并制定整改措施、确定整改期限且在整改完成前定期评估临时性等效措施的有效性。
(1)安全隐患排查
民航设计制造单位应当根据自身特点,采取但不限于安全信息报告、法定自查、安全审计、SMS审核以及配合行政检查等各种方式进行安全隐患排查。
(2)重大安全隐患
对于重大安全隐患,民航设计制造单位应当至少:
及时停止使用相关设施、设备,局部或者全部停产停业,并立即报告所在地监管局,抄报所在地地区管理局。
回溯到“系统描述”环节进行梳理,按照“安全风险分级管控”要求启动安全风险管理,制定治理方案。
组织制定并实施治理方案,落实责任、措施、资金、时限和应急预案,消除重大安全隐患。
被责令局部或者全部停产停业的民航设计制造单位,完成重大安全隐患治理后,应当组织本单位技术人员和专家,或委托具有相应资质的安全评估机构对重大安全隐患治理情况进行评估;确认治理后符合安全生产条件,向所在地监管局提出书面申请(包括治理方案、执行情况和评估报告),经审查同意后方可恢复生产经营。
(3)一般安全隐患
对于一般安全隐患,民航设计制造单位应当至少:
回溯到“风险控制”环节对风险控制措施进行审查和调整。对于涉及组织机构、政策程序调整等需要较长时间的风险管控措施,民航设计制造单位应当采取临时性安全措施将安全风险控制在可接受范围,且上述类型的风险控制措施制定后,应当重新回到“系统描述”,按需开展变更管理,并分析和评价剩余风险可接受后,方可转入系统运行环节。 对于暂未关联到已有风险管控措施、因违规违章等情况被确定的安全隐患,如涉及重复性违规违章行为,回溯到本规定“系统描述”环节进行梳理,并按需启动安全风险管理;如不属于重复性违规违章,可立即整改并关闭。
(4)安全隐患排查治理台账
民航设计制造单位应当:
建立安全隐患排查治理台账(即安全隐患清单)如实记录安全隐患名称、类别、原因分析(如适用)、关联的风险控制措施、可能关联的后果(如适用)、整改措施、治理效果验证情况等安全隐患排查治理情况。已经完成整改闭环的安全隐患可标记关闭,不再统计在本单位安全隐患总数内,但安全管理的数据库,以及判定重复性、顽固性安全隐患的比对资料,应当长期保存,不得随意篡改或删除。
对重大安全隐患除填入安全隐患清单外,还应建立专门的信息档案,包括重大安全隐患的治理方案、复查验收报告以及报送情况等各种记录和文件。
3、监督检查
(1)监督检查重点
民航行政机关在对各业务系统民航设计制造单位的SMS检查时应包含以下重点内容:
(2)推动安全隐患动态清零
对于民航行政机关检查发现的安全隐患,应当责令立即治理,并建立健全安全隐患治理督办制度,以安全隐患“动态清零”为目标,督促民航设计制造单位落实安全隐患排查治理工作。
(3)责任追究
小结
AC-398-03制定了民航双重预防建设的顶层管理原则和思路,将国际的安全管理理念与国内的安全生产法进行有机结合,不仅澄清了对基本概念的理解,重点就民航SMS相关要素与双重预防机制融合流程进行了解读。
对于民航设计制造单位而言,无法游离在双重预防机制的管理理念之外,一方面我们应积极学习国外民航的先进安全管理理念,另一方面要与国内的安全法律法规进行理念融合。这是我们制定民航设计制造单位安全管理政策的前提和基础。AC-398-03对我们启发主要包括:
1、正确理解危险源与安全隐患的关系
危险源指的是导致不良后果的条件或者物体,是开展民航航空活动不可避免的组成,可被视为系统或其环境内以一种或另一种形式蛰伏的潜在危害,这种潜在危害可能以不同的形式出现,针对危险源,应开展安全风险管理工作,建立安全风险分级管控的能力。而安全隐患侧重表现为人的不安全行为、物的不安全状态、管理的缺陷,对安全隐患应开展排查治理,可能导致风险失控的安全隐患应“动态清零”,还需要查找根本原因进行举一反三,防止其再次发生。
广义的SMS的工作,实际上覆盖了安全隐患排查的工作内容,为了跟《安全生产法》接轨并便于交流,需统一叫法。
2、样例的启发
“危险源清单”(表1)和“安全隐患清单”(表2)给民航设计制造单位的安全管理提供了切入口,可以试着填写一下。
后续中国民航管理干部适航系将举办专题培训进行详尽的填写指导,请关注公众号“适航培训”获取相关培训通知。
3、系统描述的重要性
系统描述是建设民航双重预防的基础,应当至少包括组织机构、业务流程、可能涉及的设施设备、运行环境、规章制度和操作规程,以及接口的描述,以界定SMS及其子系统的边界,这恰恰与我们一直强调的识别和分析管理体系的过程的思路吻合,所以一定要重视并用好过程方法。
