民航航空運營人安全管理體系要求

1、中國民用航空總局飛行標準司編 號：AC-121/135-*頒發(fā)日期： 編制部門： 批準人：標題：關(guān)于航空運營人安全管理體系的要求依據(jù)和目的本咨詢通告依據(jù)中國民用航空規(guī)章大型飛機公共航空運輸承運人運行合格審定規(guī) 則（CCAR-121）和小型航空器商業(yè)運輸運營人運行合格審定規(guī)則（CCAR-135）制定， 目的是指導(dǎo)大型飛機公共航空運輸承運人和小型航空器商業(yè)運輸運營人（以下均簡稱 “運營人”）建立和實施符合要求的安全管理體系（SMS）。適用范圍本咨詢通告適用于按照CCAR-121和CCAR-135運行的運營人。參考文獻本咨詢通告的參考文獻如下：a）國際民用航空公約 附件6航空器運行b）ICAO Do

2、c9859安全管理手冊c）FAA AC-120-92航空運營人安全管理體系介紹d）FAA AC-120-59A航空承運人內(nèi)部評估方案撤銷（備用）。定義安全管理體系一一管理安全的系統(tǒng)做法，包括必要的組織結(jié)構(gòu)、問責制、政策和程 序。風險一一某一特定危險情況發(fā)生的可能性和后果嚴重性的組合。風險管理一一安全管理體系內(nèi)的一個正式過程，由系統(tǒng)和工作分析、危險源識別、 風險分析、風險評價和風險控制組成。安全保證一一系統(tǒng)地為運營人的運輸服務(wù)滿足或超越安全要求而提供信心的過程 管理功能。過程一一一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動。程序一一執(zhí)行活動或過程的特定方法。危險源一一有可能導(dǎo)致人員受到傷害、疾

3、病或死亡，或者系統(tǒng)、設(shè)備或財產(chǎn)遭破壞 或受損，或者環(huán)境受到破壞的任何現(xiàn)存的或潛在的狀況。衍生風險一一作為風險控制結(jié)果無意中帶來的新風險。審計一一定期、正式的評審、查證，以評價是否符合規(guī)章、政策、標準和協(xié)約要求。 審計從組織的管理和運行著手，并擴展至組織的活動、產(chǎn)品和服務(wù)。評估一一對運營人政策、程序和系統(tǒng)進行的功能性獨立的評審。當運營人自己完成 此項工作時，應(yīng)由公司內(nèi)獨立于被評估部門的一個機構(gòu)來完成。評估過程建立在審計和 檢查的基礎(chǔ)上。評估與全面系統(tǒng)審計同義。背景和說明2006年3月，國際民航組織理事會通過了對附件6航空器運行的第30次修訂。 該次修訂增加了國家要求航空運營人實施安全管理體系的要

4、求。附件6規(guī)定從2009年 1月1日起，各締約國應(yīng)要求其航空運營人實施被局方接受的安全管理體系。我國民航企業(yè)安全管理的紀錄處于較為領(lǐng)先的水平，但是隨著運輸量的增長，如果 不采取有效措施，事故的總次數(shù)將不為公眾所接受，解決這個問題的最好辦法就是將安 全管理融入日常的運行管理中，并采取更為主動的安全管理模式降低事故率。民航安全管理是隨著人們對航空安全問題的研究和認識的深入而不斷發(fā)展的。人們 從最初重點關(guān)注航空器、空管及機場設(shè)備設(shè)施等硬件問題逐步過渡到關(guān)注人為因素問 題，現(xiàn)在開始關(guān)注系統(tǒng)和組織對安全的影響。運用系統(tǒng)方法管理安全可以使運營人通過恰當?shù)卮_定安全責任，鼓勵全員參與，實 施風險管理，有效地配

5、備資源，實現(xiàn)主動安全管理，在滿足規(guī)章的基礎(chǔ)上，不斷提高運 行水平；并通過健全內(nèi)部安全保證體系，為管理層提供監(jiān)控安全相關(guān)過程的結(jié)構(gòu)化方法， 實施安全績效管理，加強安全文化建設(shè)，形成自我管理、自我改進的機制，實現(xiàn)閉環(huán)管 理，改善安全業(yè)績。安全管理體系的幾個基本概念現(xiàn)代安全管理和安全監(jiān)督活動日益傾向于注重過程控制的系統(tǒng)方法，而不是僅僅對 最終結(jié)果開展檢查和補救措施。理解安全管理體系概念可從安全管理和安全文化入手。安全有時安全被定義為沒有潛在危險，對民航而言這是一個不切實際的目標，用風險對 安全進行描述才更切實際。通常安全被定義為人員傷害或財產(chǎn)損失的風險在可接受的水 平或其以下的狀態(tài)。安全管理傳統(tǒng)的安

6、全管理較為注重事件管理，現(xiàn)代安全管理在繼續(xù)注重事件管理的基礎(chǔ)上， 更為注重事態(tài)管理，即通過持續(xù)的風險管理，將人員傷害或財產(chǎn)損失的風險降至并保持 在可接受的水平或其以下的過程。安全管理體系體系是指在規(guī)定環(huán)境下完成任務(wù)或目標的人員和其他資源組成的綜合的網(wǎng)絡(luò)。安全 管理體系是管理安全的一種系統(tǒng)方法，包括必要的安全政策、組織機構(gòu)、責任、程序及 措施等。如果希望安全管理體系有效，其必須包括：完成必要活動的職責及權(quán)利；員工需遵守的程序；對組織管理活動和監(jiān)督活動的控制；對過程及其結(jié)果的考核；明確運營人內(nèi)部每個人與其所在部門的關(guān)系，以及運營人與外包方、供應(yīng)方、 客戶及其他有業(yè)務(wù)來往的單位間重要的相互關(guān)系或聯(lián)系

7、。安全文化安全文化是企業(yè)文化的一種自然產(chǎn)物。安全文化由共同的信念、態(tài)度和做法構(gòu)成。 運營人對于安全的態(tài)度影響其員工對安全的共同做法。只有全體人員共同發(fā)揮作用，才 能實現(xiàn)運營人的安全目標，提高安全運行水平。運營人的運行、防護及其與局方安全監(jiān)督管理的關(guān)系8.1運營人的運行與防護的關(guān)系圖1清楚地說明了運營人提供運輸服務(wù)的運行功能與防護功能之間的關(guān)系。如果運 營人既要保持盈利又要控制風險(經(jīng)常伴隨運營產(chǎn)生)，則這兩個功能必須處于和諧狀 態(tài)。需要注意的是：圖1是從功能角度，而不是從組織結(jié)構(gòu)角度進行描述的。該圖并不 意味著安全管理只是“安全部門”或“安全總監(jiān)”的責任；事實上，安全管理體系強調(diào) “運行”過程

8、的管理人員在安全管理中的角色。圖1運行與防護的功能關(guān)系秋愉出= 產(chǎn)品，服務(wù)運營人的 安全管理體系生產(chǎn)塹 目標;滿足客戶嬰求防拍目標T控制只險運行運行過程是指飛行運行、運行控制、維修、客艙安全、地面服務(wù)、貨運、訓(xùn)練等過程。由于運營人的航空運輸服務(wù)是通過運行過程來完成的，所以有效的風險管理和安全保證應(yīng)從徹底了解運行過程的結(jié)構(gòu)和組織著手。相當數(shù)量的危險源、風險因素來自于過程設(shè)計不當或系統(tǒng)與運行環(huán)境不適應(yīng)。在這些情況下，影響運行安全的危險源可能不會被充分認識，因而得不到足夠的控制。防護風險伴隨運行活動產(chǎn)生。運營人的客戶和員工是安全系統(tǒng)失效的潛在受害者。因此，運營人應(yīng)識別其管理過程和運行環(huán)境中存在的危險

9、源，控制其風險。安全管理體系為運營人的安全管理提供了一個正式的管理模式來履行其職責和義務(wù)，實現(xiàn)安全生產(chǎn)，保護客戶及員工的利益。8.2運營人的運行及防護與局方安全監(jiān)督管理的關(guān)系運營人的運行及防護功能與局方安全監(jiān)督管理功能之間的關(guān)系見圖2。圖中左邊的兩個管理系統(tǒng)分別是運營人的安全管理體系和局方對運營人進行監(jiān)督的安全管理。防護生產(chǎn)運行M方的賓至監(jiān)怦管止!Iuj定、批準 審H迄莒人的女全管理休茹過程輸出- .產(chǎn)品,服特內(nèi)部安生保證風險管理史全促切圖2運營人的運行及防護功能與局方安全監(jiān)督管理功能之間的關(guān)系局方傳統(tǒng)的監(jiān)督注重符合技術(shù)標準，通常包括審定、持續(xù)監(jiān)督、調(diào)查、規(guī)章的強制 實施等。在繼續(xù)保持傳統(tǒng)監(jiān)督

10、方法的同時，局方將通過監(jiān)督運營人的安全管理體系，逐 步運用系統(tǒng)安全方法監(jiān)督運營人整體安全狀態(tài)，并強調(diào)運營人通過自我約束、自我管理、 自我改進實現(xiàn)安全管理的閉環(huán)，不斷提高安全水平。安全管理體系要求說明9.1安全管理標準化的需求標準化本附錄運營人安全管理體系要求（以下簡稱要求）的制訂參考了國際標準的 條款結(jié)構(gòu)，使用了與質(zhì)量管理體系ISO9001-2000標準相似的模式，以便該體系與其他 管理體系相互整合?？蓪徲嬓詫踩芾眢w系設(shè)計成標準形式有利于提出明確的功能要求，便于運營人本身、政 府或其他第三方進行監(jiān)督和審計。因此，其行文以要求為基礎(chǔ)。每一個條款都只單獨規(guī) 定一個要求，以易于對系統(tǒng)審計。9.2

11、結(jié)構(gòu)和組成功能性要求由于需要適合各種類型和規(guī)模的運營人，所以要求是作為功能性要求文件制定 的，它強調(diào)運營人應(yīng)“做什么”而不是“怎么做”。這樣可以為運營人的實施提供靈活 性。運營人在實施時應(yīng)將要求中的要求轉(zhuǎn)化成自己的具體做法。運營人應(yīng)充分利用 已經(jīng)實施的各種安全管理過程，將安全管理體系的全部功能要求充分融入已有的管理體 系之中，而不是重新建立一個獨立的新體系。作為完整的安全管理體系，要求中的 每一條功能要求都是必不可少的，但運營人不必對履行相同功能的現(xiàn)存項目重復(fù)建設(shè)。安全管理的四大支柱安全管理的四大支柱為政策、風險管理、安全保證和安全促進。這四大支柱是安全 管理體系的基礎(chǔ)。要求根據(jù)四大支柱分四部

12、分對各要素的功能性要求進行描述。1）政策所有的管理體系都必須明確政策、程序、組織結(jié)構(gòu)以實現(xiàn)目標。有關(guān)這些方面的要 求在要求中第4部分進行了描述。2）風險管理風險管理是將風險控制在可接受水平或其以下，安全管理體系的風險管理是以系統(tǒng) 安全過程模式為基礎(chǔ)的。有關(guān)這些方面的要求在要求中第5部分進行了描述。3）安全保證風險控制措施被確定后，運營人可利用安全保證功能，確保風險控制措施持續(xù)被執(zhí) 行并在不斷變化的環(huán)境下持續(xù)有效。有關(guān)這些方面的要求在要求中第6部分進行了 描述。4）安全促進運營人必須用支持良好安全文化的活動把安全作為核心價值進行促進。有關(guān)這些方 面的要求在要求中第7部分進行了描述。風險管理與安全

13、保證的關(guān)系風險管理和安全保證的關(guān)系見圖3。該圖是功能關(guān)系圖，而不是組織機構(gòu)設(shè)置圖。 風險管理過程可用于初始的危險源識別和風險評價，當制定的風險控制措施能夠使風險 達到可接受水平時該措施才可被實施。此時，安全保證功能將發(fā)揮作用，以確保風險控 制措施被實施并持續(xù)達到預(yù)定目標。安全保證體系還可評估當運行環(huán)境變化時是否需要 新的風險控制措施。風險管理安全保證航空系統(tǒng)運行圖3風險管理功能和安全保證功能的關(guān)系要求實施指南10.1要求的總體結(jié)構(gòu)要求根據(jù)四大支柱分策劃、風險管理、安全保證和安全促進四部分闡述了安全 管理體系的要求。10.2策劃安全政策安全政策反映了運營人的安全管理理念，是建立安全管理體系的基礎(chǔ)

14、，并為建設(shè)積 極的安全文化提供了清晰的導(dǎo)向。安全政策還指明了運營人為達到預(yù)期的安全目標將要 采用的方法。安全政策必須符合國家的相關(guān)規(guī)定。在制定安全政策的過程中，高層管理者應(yīng)與影 響安全的相關(guān)領(lǐng)域的關(guān)鍵人員進行廣泛地協(xié)商，以確保安全政策與員工密切相關(guān)。飛行安全文件系統(tǒng)飛行安全文件系統(tǒng)是由運營人制訂的一套相關(guān)文件，匯集并編制有飛行和地面運行 必需的資料，其中至少包含有運行手冊和運營人維修控制手冊。飛行安全文件系統(tǒng)是一 個有機的整體，其中的任一文件的任何變動都可能對其它文件或整個系統(tǒng)產(chǎn)生影響。因 此，運營人應(yīng)確保文件間的相互一致及運用的一致性。對影響飛行安全的文件的設(shè)計、 編排、確認、實施、修訂等進

15、行系統(tǒng)管理。飛行安全文件系統(tǒng)設(shè)計時，應(yīng)該在術(shù)語及通用內(nèi)容和行動的標準用語的使用上保持 一致;其編排應(yīng)該確保能夠便于查找載于構(gòu)成不同運行文件系統(tǒng)內(nèi)的飛行和地面運行的 必要資料，同時又便于管理運行文件的分發(fā)和修訂；在實施之前應(yīng)該按實際條件加以驗 證；實施后，應(yīng)對飛行安全文件系統(tǒng)的實施進行監(jiān)督，確保文件與運行環(huán)境的特點相符， 且易于操作人員使用。運營人還應(yīng)制定一個資料收集、審查、分發(fā)和修訂的控制系統(tǒng)， 對與自己運行類型相關(guān)的資料和數(shù)據(jù)加以處理。安全目標安全目標與安全政策密切相關(guān)。安全目標應(yīng)是運營人對提高安全水平行動及明確預(yù) 期結(jié)果的承諾。安全計劃安全計劃詳述了為實現(xiàn)目標擬采取的步驟，通常包括為實現(xiàn)目

16、標所賦予的有關(guān)部 門和人員的職責和權(quán)限，實現(xiàn)目標的方法和時間表，相關(guān)的資源需求。組織機構(gòu)及職責圖4是運營人組織結(jié)構(gòu)的一種樣例，這種組織結(jié)構(gòu)可以支持實施安全管理體系?？偨?jīng)理是安全管理的第一責任人，承擔安全運行的全部責任，負責清晰地界定整個 組織內(nèi)的安全責任，包括高層管理人員對安全的直接責任?？偨?jīng)理應(yīng)計劃、組織、指導(dǎo)、 控制員工的活動，分配安全相關(guān)活動所需的資源，以確保安全控制的有效性，并對整個 組織的安全管理體系定期進行管理評審。負責各運行過程的副總經(jīng)理均應(yīng)承擔安全責任，將風險管理和安全保證工作融入日 常管理之中，并對未正確履行其職責所造成的安全結(jié)果承擔直接責任。運行過程中的生 產(chǎn)運行部門經(jīng)理應(yīng)

17、定期實施內(nèi)部審計，監(jiān)控本部門的安全狀況。安全總監(jiān)應(yīng)獨立于運行及其支持過程之外，負責通過信息獲取、數(shù)據(jù)分析、系統(tǒng)評 價、監(jiān)督糾正和預(yù)防措施的落實等安全保證過程對運行過程及其風險管理和安全保證循 環(huán)進行監(jiān)督，并直接向總經(jīng)理匯報。安全監(jiān)督部門應(yīng)獨立地就安全有關(guān)事務(wù)提出建議，進行內(nèi)部評估、數(shù)據(jù)分析及系統(tǒng) 評價，監(jiān)督預(yù)防糾正措施的落實，調(diào)查安全相關(guān)事件，組織對全體員工的安全教育等。行政管理及信息溝通信息溝通圖4組織結(jié)構(gòu)樣例與法規(guī)、規(guī)范性文件和其他要求的符合性運營人建立正式的信息獲取渠道，可以及時掌握法規(guī)、規(guī)范性文件和其他要求，識 別和了解運營人的各項活動受到相應(yīng)法規(guī)和其他要求的影響，適時修訂相關(guān)手冊、程

18、序 等文件。法規(guī)、規(guī)范性文件和其他要求是運營人衡量安全績效和進行危險源識別的主要依據(jù) 之一。遵守法規(guī)和其他要求是安全管理體系的基本要求。程序與控制程序與控制是系統(tǒng)的兩個關(guān)鍵屬性。安全政策必須落實成程序以便應(yīng)用，而且控制 必須到位以保證關(guān)鍵步驟按設(shè)計完成。運營人應(yīng)開發(fā)程序、將程序文件化，并保持程序 以實現(xiàn)其安全政策和目標。應(yīng)急響應(yīng)有效的應(yīng)急響應(yīng)方案可能會減輕事故等不安全事件造成的后果。應(yīng)急響應(yīng)方案以書 面形式規(guī)定了不安全事件一旦發(fā)生之后，運營人應(yīng)該做些什么，以及每個行動由誰來負 責。為了確保應(yīng)急響應(yīng)方案在實際運作時有效，應(yīng)進行定期的訓(xùn)練和演練。進行演練還 有助于驗證方案的有效性，找出方案的不足，

19、并進行改進。文件及記錄文件的價值在于溝通意圖、統(tǒng)一行動。因此，對文件的批準、評審與更新、標識、 分發(fā)、作廢等應(yīng)進行控制，確保文件的適宜性、充分性和有效性。安全管理體系所要求的各種文件可以通過修訂運營人現(xiàn)有的手冊、程序等文件實 現(xiàn)，也可以單獨編寫。外來文件通常包括來源于運營人之外的法規(guī)、規(guī)范性文件、通告等。外來文件中的 信息直接或間接影響運營人的安全運行，因此，應(yīng)建立獲取外來文件的渠道，及時獲取 并分發(fā)至相關(guān)部門，以便相關(guān)部門及時轉(zhuǎn)化成內(nèi)部程序或修改已有文件的相關(guān)內(nèi)容。運行及安全管理中會生成大量的記錄，這些記錄可以很好地為安全管理體系，特別 是風險管理和不安全事件調(diào)查服務(wù)。利用這些記錄可以實現(xiàn)信

20、息的分析、利用和安全活 動的追溯。10.3風險管理風險管理過程常用于分析運營人的運行功能和運行環(huán)境，以識別危險源，分析評價 相關(guān)風險，并采取控制措施。風險管理過程處于運營人提供航空運輸服務(wù)的過程中，不 是一個獨立的或特殊的過程。一個過程的風險管理（如原因分析、風險控制措施等）可能會涉及或追溯到其他過 程，因此，風險管理應(yīng)是一個協(xié)調(diào)一致、綜合治理的過程。系統(tǒng)和工作分析風險管理始于系統(tǒng)設(shè)計。系統(tǒng)包括組織結(jié)構(gòu)、過程和程序及人員、設(shè)備。系統(tǒng)和工 作分析應(yīng)充分說明組成系統(tǒng)的硬件、軟件、人員與環(huán)境相互間的聯(lián)系，并詳細到足以識 別危險源，進行風險分析。應(yīng)對系統(tǒng)進行文件說明，但對格式?jīng)]有特殊要求。系統(tǒng)文件 通

21、常會包括運營人的手冊系統(tǒng)、檢查單、組織結(jié)構(gòu)圖和人員崗位說明等。運營人的運行 及其支持過程建議分解為：飛行運行；運行控制；維修；客艙安全；地面服務(wù)；貨運；訓(xùn)練；其他，如人事、財務(wù)等。系統(tǒng)和工作分析只要詳細到可用來進行危險源和風險分析即可，冗長和過分詳細的 系統(tǒng)和工作分析是不必要的。盡管可以使用復(fù)雜的開發(fā)方法和手段，但經(jīng)理與員工進行 的自由討論通常更為有效。危險源識別系統(tǒng)及其運行環(huán)境中存在的危險源必須被識別、記錄和控制。界定危險源的分析過 程還應(yīng)考慮系統(tǒng)的所有組成部分。表1是危險源樣例。系統(tǒng)及其運行的分析中關(guān)鍵問題 是“如果發(fā)生了會怎樣？”。當識別出所有可能的危險源比較困難時，運營人應(yīng)首先識別 運

22、營中重大的、可預(yù)見的危險源。表1危險源樣例 航圖中有些標注離所標注的點距離較遠儀表制式、單位需換算飛行員持有飛行體檢合格證，但心理或生理狀態(tài)較差航行情報發(fā)放現(xiàn)場，資料管理混亂維修任務(wù)計劃和安排不適當，按正常程序完成工作所需的時間和資源不充分人員招聘考核中，未考慮崗位所需的安全要求培訓(xùn)的考核或評價方式不適當，導(dǎo)致不勝任者取得資格資源分配時未充分考慮風險等級裝卸工缺乏危險品裝卸知識績效考核或獎懲中未能體現(xiàn)安全第一風險分析和評價通常風險分析和風險評價是將風險分解為風險發(fā)生的可能性及后果的嚴重性。常用 的工具是風險矩陣，圖4是這種矩陣的樣例。運營人應(yīng)當開發(fā)一個最能體現(xiàn)其運行環(huán)境 的矩陣，針對臨時運行和

23、長期運行可以開發(fā)擁有不同風險接受標準的不同的矩陣。矩陣的定義和最終結(jié)構(gòu)將由運營人自行設(shè)計。各種后果嚴重性和發(fā)生可能性等級應(yīng) 根據(jù)實際運行環(huán)境確定。后果嚴重性和發(fā)生可能性界定的樣例見表2。各運營人對嚴重 性和可能性的界定可以是定性的，但應(yīng)盡量定量。表2結(jié)果嚴重性和發(fā)生可能性標準的樣例結(jié)果的嚴重性發(fā)生的可能性嚴重性等級界定標準參考值可能性等級參考值災(zāi)難性的多人死亡。航空器損毀。5特別頻繁5特別嚴重的安全系數(shù)大大下降，身體壓力或工作 負荷已達到無法靠自身的能力完全履 行職責的程度。一定數(shù)量的人員嚴重受傷或死亡。 航空器損壞。4經(jīng)常4嚴重的安全系數(shù)較大下降，操作人員因工作 負荷增加，或因工作條件不利導(dǎo)

24、致工 作能力下降。人員受傷。主要設(shè)備損壞。3偶爾3輕微的安全系統(tǒng)下降。操作受限。設(shè)備損壞。2極少2可忽略影響很小。1不太可能1在制定風險評價標準時，運營人應(yīng)制定風險接受程序，包括可接受標準和局方的要 求以及風險管理決策的責任層級。風險的可接受標準受安全目標高低的影響。風險可接 受程度可以通過風險矩陣（如圖5所示）進行評估。示例矩陣說明了可接受程度的三個 等級：不可接受的（黑色區(qū)域）、可接受的（白色區(qū)域）、緩解后可接受的（灰色區(qū)域）。（a）不可接受的（黑色區(qū)域）如果可能性和嚴重性相綜合后，風險處于黑色區(qū)域，則該風險是不可接受的，必須進一步采取干預(yù)行動來消除相關(guān)危險源，或控制可能導(dǎo)致更大可能性或嚴

25、重性的因素。（b）可接受的（白色區(qū)域）如果風險處于白色區(qū)域，則可以接受，不需進一步采取行動。但是，風險管理的目 標應(yīng)是無論評價顯示風險是否在可接受范圍內(nèi)，都要將風險盡可能降至最低。這是持續(xù) 改進的基本原則。（c）緩解后可接受的（灰色區(qū)域）如果風險處于灰色區(qū)域，則在特定的緩解條件下風險是可接受的。這種情況的一個 例子就是評估一個在最低設(shè)備清單中列明的失效航空器組件的影響。如果MEL中定義的 操作（“O”）或維修（“M”）程序被實施，就可使該風險從不可接受變?yōu)榭山邮埽瑒t實施 MEL中的操作（“O”）或維修（“M”）程序就構(gòu)成緩解行動。這些情況也應(yīng)該在安全保證 功能中持續(xù)強調(diào)。重性史大 ，更小更大更

26、小圖5風險矩陣一些其他方法也可用于風險評價，如某些專業(yè)組織開發(fā)的用于飛行、運行控制和地 面服務(wù)等的風險評價方法。原因分析風險分析不僅應(yīng)注重對嚴重性和可能性的區(qū)分，還應(yīng)注重根原因分析。這是進行有 效控制、降低風險的第一步。一些結(jié)構(gòu)化的軟件系統(tǒng)可用于進行根原因分析。但是，在 很多情況下，運營人內(nèi)部飛行員、維修人員或簽派員、其他經(jīng)驗豐富的專家間進行的分 析研討是尋找降低風險途徑的有效方法。此方法的另外一個好處是可以使最終實施控制 措施的員工參與進來。風險控制在完成以上步驟后，必須進行風險控制的設(shè)計與實施。風險控制可能包括增加或改 變程序，增加新的控制措施，增加管理，改進培訓(xùn)，增加或改進設(shè)備，調(diào)整人員

27、等。應(yīng)根據(jù)危險程度和復(fù)雜性，通過結(jié)構(gòu)化的方式設(shè)計控制措施。風險控制措施的內(nèi)容 通常包括風險控制的目標、有關(guān)部門及人員的職責和權(quán)限、實現(xiàn)該風險控制目標的技術(shù) 方案(技術(shù)措施、時間進度和資源需求等)。可用的控制措施可能有一個或多個，可以 使用系統(tǒng)安全技術(shù)對控制措施進行分級、排序和選擇?？紤]到必要措施的迫切性以及開 發(fā)更有效措施的復(fù)雜性，在不同的階段可以采用不同的控制措施，例如在開發(fā)更有效的 危險源消除方法時，先進行警告是恰當?shù)??？刂拼胧┑姆旨壈ǎ簭脑O(shè)計上消除危險源一一系統(tǒng)修改(這包括硬件、軟件系統(tǒng)和組織系統(tǒng))；物理防護或屏障一一減少在危險源中的暴露或降低后果的嚴重性；危險源的警告、通告或提示；為

28、消除危險源或降低相關(guān)風險發(fā)生可能性或嚴重性而改變程序；為消除危險源或降低相關(guān)風險發(fā)生可能性而進行的培訓(xùn)。即使采用高效的控制措施，完全消除風險也幾乎是不可能的。在這些控制措施設(shè)計 完成后，系統(tǒng)實際使用前，必須評估控制措施是否有效及是否會將新危險源引入系統(tǒng)， 這種情況稱為“衍生風險”。圖3中返回至圖表頂端的閉環(huán)表明了評估(系統(tǒng)和工作分 析，危險源識別，風險分析和風險評價)過程的使用，以確定改進的系統(tǒng)是否可被接受。10.4安全保證安全保證比運行現(xiàn)場監(jiān)察范圍更廣，它通過持續(xù)的信息獲取和分析，驗證風險控制 措施的落實情況，采取預(yù)防或糾正措施；識別在不安全事件發(fā)生前采取風險控制措施的 機會，實現(xiàn)安全管理的

29、閉環(huán)。相關(guān)管理人員可通過安全保證技術(shù)(如內(nèi)部審計、內(nèi)部評 估)判斷安全管理措施是否在按計劃實施，從而掌握自己負責過程的安全狀況，建立信 心。各運行過程通過信息獲取，進行數(shù)據(jù)分析、系統(tǒng)評價及預(yù)防或糾正措施，實現(xiàn)各運 行過程的安全管理的閉環(huán)。運營人通過信息獲取，進行數(shù)據(jù)分析、系統(tǒng)評價、預(yù)防或糾正措施及管理評審，實 現(xiàn)運營人整個體系的安全管理閉環(huán)。安全保證方案應(yīng)能確保所有運行過程以恰當?shù)臅r間間隔接受評價。內(nèi)部評估是建立 在生產(chǎn)運行部門內(nèi)部審計之上的，因此，生產(chǎn)運行部門內(nèi)部審計應(yīng)在內(nèi)部評估之前完成。 通常，生產(chǎn)運行部門內(nèi)部審計的周期不應(yīng)超過半年，內(nèi)部評估的周期不應(yīng)超過一年。計 劃應(yīng)有靈活性并應(yīng)是動態(tài)的

30、，當識別出不利趨勢時，應(yīng)及時進行專項評估。用以決策的信息安全保證信息來源于各種渠道，包括正式的審計，安全相關(guān)事件調(diào)查，日?；顒拥?持續(xù)過程監(jiān)控，以及來自于員工報告系統(tǒng)的信息。持續(xù)監(jiān)控運營人應(yīng)通過持續(xù)監(jiān)控對運行的所有方面進行監(jiān)控。持續(xù)監(jiān)控還提供了主動識別危 險源、證實已采取的安全措施的有效性和持續(xù)評估系統(tǒng)績效的方法。應(yīng)監(jiān)控的運行信息 應(yīng)來自于飛行記錄器、值班日志、機組報告、工作卡、處理表單等。運營人應(yīng)建立飛行數(shù)據(jù)分析(FDA)方案，對來自于飛行記錄器的數(shù)據(jù)進行分析。FDA 是指收集和分析在日常飛行期間所記錄數(shù)據(jù)的主動方案，以便提高飛行機組的效能，改 進操作程序、飛行訓(xùn)練、空中交通管制程序、空中航

31、行服務(wù)或航空器維修和設(shè)計。FDA 有時被稱作飛行數(shù)據(jù)監(jiān)視(FDM)或飛行運行質(zhì)量保證(FOQA)，它為危險源的主動識別 提供了另外一個工具。生產(chǎn)運行部門內(nèi)部審計生產(chǎn)運行活動是危險源最直接出現(xiàn)的地方，是過程缺陷造成風險的地方，也是通過 直接監(jiān)管及資源分配能將風險降低至可接受水平的地方。內(nèi)部審計可以為生產(chǎn)運行部門 提供一種有計劃的、有方法的、以監(jiān)察原則為基礎(chǔ)的評審，以確定運行的安全狀況。因 此，要求規(guī)定運營人各運行部門具有內(nèi)部審計職責。管理責任由于運行部門的經(jīng)理直接負責組織實施，并確保其職責內(nèi)的過程按計劃實施，因此， 運行部門的經(jīng)理應(yīng)負責監(jiān)控這些過程。通過日常的持續(xù)監(jiān)控、員工報告和反饋、調(diào)查和 定

32、期的內(nèi)部審計、數(shù)據(jù)分析、系統(tǒng)評價與預(yù)防或糾正措施等安全保證過程對風險控制措 施狀況進行監(jiān)測、評價與控制，并掌握該業(yè)務(wù)過程的安全狀況。此外，運行部門的經(jīng)理 通常是技術(shù)專家，了解相關(guān)技術(shù)過程，對以上工作負責更加有利。審計范圍審計范圍通常至少包括組織管理，運行過程與規(guī)章、手冊及運營人內(nèi)部政策、程序 的符合性，風險控制措施的有效性等。和其他要求一樣，要求的審計要求處于功能 性級別，可與組織的復(fù)雜程度相匹配。（C）審計計劃生產(chǎn)運行部門內(nèi)部審計的計劃應(yīng)包含在安全保證方案中。審計計劃應(yīng)有明確的日程 安排，以驗證內(nèi)部審計計劃的全面性、可控性和及時性。同時，一份公布了時間進度的 計劃還是保持管理信息暢通的手段。

33、（d）審計方法為提高系統(tǒng)效率，減少不必要的重復(fù)，運營人可借鑒其他的系統(tǒng)審計工具（如：IOSA 中的工具）。如果運營人已使用這些工具，將在實施審計時具有優(yōu)勢。（e）內(nèi)部審計員的資格內(nèi)部審計員應(yīng)具有以下資格：（1）全面理解運營人應(yīng)遵守的規(guī)章、手冊及運營人內(nèi)部政策和程序等安全標準和 安全規(guī)范；（2）具有至少2年相應(yīng)運行過程的工作或管理經(jīng)驗；（3）熟練掌握審計技術(shù)。內(nèi)部評估內(nèi)部評估可以使高層管理者了解、掌握運營人安全管理體系過程的情況。內(nèi)部評估 也是一個預(yù)防的手段，常被用來在問題發(fā)生前識別、糾正潛在的問題。（a）管理責任內(nèi)部評估通常在安全總監(jiān)的領(lǐng)導(dǎo)下，由與被審計部門功能上相獨立的安全監(jiān)督部門 來完成，

34、也可委托外部機構(gòu)完成。（b）評估范圍內(nèi)部評估通常包括對運營人各運行及其支持過程、安全管理體系功能（策劃、風險 管理、安全保證、安全促進等）的評估。（c）評估計劃內(nèi)部評估計劃應(yīng)包含在安全保證方案中，內(nèi)部評估計劃應(yīng)包括評估的目的、標準、 范圍、類型、評估組的構(gòu)成及職責權(quán)限、明確的日程安排、溝通渠道及資源等，還應(yīng)包 含對生產(chǎn)運行部門實施內(nèi)審的要求、內(nèi)審結(jié)果的使用等。內(nèi)部評估計劃應(yīng)分發(fā)給相關(guān)人 員使其了解和熟悉評估程序及其組織實施，必要時，還應(yīng)進行修訂以確保計劃能夠持續(xù) 適宜。評估標準通常至少包括外部規(guī)章、運營人內(nèi)部政策、手冊和程序等。（d）評估方法內(nèi)部評估是對運營人進行的全面系統(tǒng)的審計，通過監(jiān)察、審

35、計、評估等手段以驗證運行過程、安全管理的符合性與有效性。（e）內(nèi)部評估員的資格內(nèi)部評估員應(yīng)具有如下資格：（1）深刻理解和掌握安全管理體系的原理和方法；（2）熟悉系統(tǒng)分析，全面理解運營人應(yīng)遵守的規(guī)章、手冊及運營人內(nèi)部政策和程 序等安全標準和安全規(guī)范；（3）具備至少3年飛行運行、運行控制、維修、客艙安全、地面服務(wù)、貨運等任 一領(lǐng)域的工作或管理經(jīng)驗；（4）熟練掌握審計和評估技術(shù)。外部審計信息的利用當有外部審計時，其審計結(jié)果也應(yīng)作為信息輸入到數(shù)據(jù)分析中。外部審計可以由局 方、獨立的第三方、代碼共享方或客戶組織來進行。相對于公司的內(nèi)部審計，這些審計 可以提供第二層監(jiān)督。調(diào)查調(diào)查是一個以事故預(yù)防為目的、重

36、點致力于有效風險控制的過程，包括收集和分析 信息、得出結(jié)論，其中包括確定原因和提出安全建議。調(diào)查應(yīng)由關(guān)注找出“責任人”轉(zhuǎn) 向鼓勵相關(guān)人員進行合作，找出系統(tǒng)和組織缺陷等深層次的根本原因，進而制定和實施 有效的改進系統(tǒng)、降低風險的措施。員工安全報告和反饋系統(tǒng)員工安全報告和反饋系統(tǒng)是運營人進行主動危險源識別的有效工具之一，該系統(tǒng)不 應(yīng)只限于報告不安全事件，還應(yīng)該報告危險源，即尚未導(dǎo)致不安全事件的不安全狀況， 從而能夠幫助運營人識別運行中的危險源。員工對報告系統(tǒng)的信任是保證所報告的數(shù)據(jù)的質(zhì)量、精確度和實質(zhì)性的基礎(chǔ)。這種 信任的建立可能需要較長的時間。但是，一旦這種信任遭到破壞就可能長期損害系統(tǒng)的 有效

37、性。要建立必要的信任，運營人應(yīng)在安全政策中鼓勵員工報告，表明其對公開和自 由地報告安全問題的態(tài)度。分析和評價審計和其他信息采集活動后，應(yīng)對信息進行分析整理。只有將信息整理成為有意義 的形式，得出結(jié)論，才有利于管理。安全保證過程的主要目的是對風險控制措施的持續(xù) 有效性進行評價。如果發(fā)現(xiàn)現(xiàn)行控制措施有重大偏離，應(yīng)制定預(yù)防措施和糾正措施，以使控制措施重回軌道。作為安全保證功能的一部分，分析和評價功能必須能對組織運行環(huán)境的重大改變做 出警告，提出可能需要系統(tǒng)改變以保持有效的風險控制的需求，根據(jù)評價結(jié)果，啟動風 險管理過程。預(yù)防措施和糾正措施安全保證過程應(yīng)制定程序，針對審計發(fā)現(xiàn)的傾向和問題，進行根原因分

38、析，尤其注 意識別系統(tǒng)和組織缺陷，制定預(yù)防或糾正措施，并驗證其有效性。問題所在部門應(yīng)負責 進行根原因分析，制定和實施預(yù)防或糾正措施；當問題的根原因不在本部門而在上一過 程部門或其他相關(guān)部門時，應(yīng)在副總經(jīng)理甚至總經(jīng)理的協(xié)調(diào)下共同采取系統(tǒng)的措施。如 果發(fā)現(xiàn)新的危險源，應(yīng)進行風險管理，判斷是否需要制定新的風險控制措施。管理評審總經(jīng)理應(yīng)按策劃的時間間隔進行管理評審，以確保安全管理體系的持續(xù)充分性、適 宜性和有效性。為了保證管理評審的時效性，兩次管理評審間隔不超過12個月。10.5安全促進安全促進的主要作用是通過運用支持良好安全文化的各種活動，將安全作為核心價 值進行促進。即使嚴格地執(zhí)行程序，一個組織的

39、安全努力也不可能完全通過命令或強制執(zhí)行獲得 成功。組織的文化將影響組織每個員工對待問題的態(tài)度和行為。組織的文化包括價值、 信念、使命、目標和組織成員的責任感。文化填補了組織政策、程序和過程的空隙，并 提供了安全努力的目的和意義。安全文化文化包括心理的（人們?nèi)绾嗡伎?、感受的）、行為的（人們或群體是如何行動、實施 的）以及結(jié)構(gòu)的（項目、程序和組織機構(gòu)）元素。安全管理體系的策劃、風險管理和安全 保證部分中詳細規(guī)定的許多過程為結(jié)構(gòu)元素提供了框架。但是，運營人也必須適時建立 能讓員工間及員工與管理層間進行溝通的渠道。運營人必須努力就其目的、目標、組織 的行動和重大事件的現(xiàn)狀與員工進行溝通。同樣，員工可以

40、在開放的環(huán)境中向上進行溝 通。溝通系統(tǒng)安全理論強調(diào)“溝通文化”的重要性，組織必須致力于培養(yǎng)員工為組織文化作 貢獻的意愿；系統(tǒng)安全理論強調(diào)“公正文化”的重要性，員工有信心當他們要對自己的 行為負責任時，組織會公平對待他們。要求規(guī)定運營人必須提供員工溝通渠道以供 員工及時提交安全缺陷的報告且不用擔心受報復(fù)。組織學(xué)習組織安全文化的另一個原則是“學(xué)習文化”。如果不學(xué)習借鑒，那么報告、審計、 調(diào)查、其他數(shù)據(jù)源內(nèi)的信息是沒有作用的，因此運營人應(yīng)對這些信息進行分析并輸入到 安全保證過程中。當環(huán)境變化或識別出新危險源時，應(yīng)借鑒歷史經(jīng)驗，進行分析和評價， 采取有關(guān)措施，如預(yù)防或糾正措施、新的風險控制措施。運營人

41、還應(yīng)就風險控制措施和 經(jīng)驗教訓(xùn)進行培訓(xùn)和溝通。民航航空運營人安全管理體系要求附錄運營人安全管理體系要求目的本要求為運營人建立和實施安全管理體系提供一個統(tǒng)一的要求。范圍及適用性1）本要求適用于運營人建立和實施安全管理體系。a）本要求用于運行及其支持過程和活動相關(guān)的航空安全，而不是職業(yè)健康安全、環(huán) 境保護或服務(wù)質(zhì)量。b）運營人對外包的服務(wù)或產(chǎn)品的安全負有責任。2）本要求制定的是可接受的最低要求。備用策劃4.1總要求1）安全管理應(yīng)融入運營人的整個體系內(nèi)，包括：a）飛行運行；b）運行控制；c）維修；d）客艙安全；e）地面服務(wù)；f）貨運；g）訓(xùn)練；h）其他，如人事、財務(wù)等。2）安全管理體系過程應(yīng)被：a）

42、形成文件；b）監(jiān)控；c）測量；d）分析。3）安全管理體系輸出應(yīng)被：a）記錄；b）監(jiān)控；c）測量；d）分析。民航航空運營人安全管理體系要求4）運營人應(yīng)促進積極安全文化的建設(shè)（見4.2和7.1）。4.2安全政策1）總經(jīng)理應(yīng)確定運營人的安全政策。2）安全政策應(yīng)：a）包括安全第一、預(yù)防為主和綜合治理的承諾；b）包括實施安全管理體系的承諾；c）包括持續(xù)改進安全水平的承諾；d）包括進行風險管理的承諾；e）包括遵守適用的法規(guī)要求的承諾；f）包括建立飛行安全文件系統(tǒng)的承諾；g）包括鼓勵員工進行安全問題報告且不受到報復(fù)的承諾；h）包括不安全事件調(diào)查時注重識別系統(tǒng)和組織缺陷的承諾；i）包括所有的安全信息用于提高航

43、空安全，而不被不當使用的承諾;j）建立清晰的可接受行為標準；k）提供制定安全目標的框架；l）提供評審安全目標的框架；m）被形成正式文件；n）與全體員工和責任方進行溝通；o）定期評審，以確保政策與運營人的相關(guān)性和適宜性；P）明確管理層和員工在安全績效方面的責任。4.3安全目標1）運營人應(yīng)制定本單位的安全目標。2）安全目標應(yīng)：a）不低于局方的要求；b）適合本單位的類型、規(guī)模和安全水平；c）是切實可行的；d）是可測量的。4.4安全計劃運營人應(yīng)建立、保持安全管理計劃以實現(xiàn)安全目標。4.5組織機構(gòu)及職責4. 5.1總經(jīng)理1）總經(jīng)理應(yīng)是安全管理體系的最終負責人。2）總經(jīng)理應(yīng)提供實施、保持安全管理體系的必要

44、資源。4. 5.2安全總監(jiān)總經(jīng)理應(yīng)任命一名獨立于運行及其支持過程的安全總監(jiān)，其應(yīng)具備下列職責和權(quán)限：1）確保建立、實施、保持安全管理體系需要的過程；2）直接向總經(jīng)理報告安全管理體系運行情況和改進需求；3）確保提高整個公司內(nèi)的安全意識。4. 5.3影響安全的崗位影響安全的崗位的職責和權(quán)限：1）應(yīng)是明確規(guī)定的；2）應(yīng)是文件化的；3）應(yīng)在整個公司內(nèi)的相關(guān)人員中得到溝通。4.6與法規(guī)、規(guī)范性文件和其他要求的符合性1）安全管理體系應(yīng)與安全相關(guān)的法規(guī)、規(guī)范性文件的要求相符合。2）運營人應(yīng)建立并保持程序以識別和獲得適用法規(guī)、規(guī)范性文件和其他相關(guān)要求。4.7程序與控制1）運營人應(yīng)建立并保持含有測量標準的各種程

45、序以便實現(xiàn)安全政策。2）運營人應(yīng)建立并保持過程控制措施，以確保與安全相關(guān)的運行和其他活動始終遵守程 序。4.8應(yīng)急響應(yīng)運營人應(yīng)建立程序以：1）識別潛在的事故和事件；2）協(xié)調(diào)、計劃運營人對潛在的事故和事件的響應(yīng)；3）定期對運營人的響應(yīng)進行演練。4.9文件及記錄總則運營人應(yīng)將下列內(nèi)容形成文件并保持：1）安全政策；2）安全目標；3）安全管理體系要求；4）安全相關(guān)程序和過程；安全相關(guān)程序和過程的職責和權(quán)限；安全相關(guān)程序和過程間的相互作用和接口；安全管理體系輸出。文件管理文件應(yīng)是：(a )清晰的；有日期標識的(包含修訂日期)；易于識別的；有序保存的；按運營人規(guī)定的期限進行保留，適用時，期限應(yīng)經(jīng)監(jiān)管機構(gòu)批

46、準。運營人應(yīng)建立并保持程序，控制本要求所要求的文件，以確保：文件易于查找；文件：被定期評審；必要時進行修訂；取得被授權(quán)人員適用性批準。相關(guān)文件的現(xiàn)行版本可在所有使用場所獲得，以便有效執(zhí)行安全管理體系；過期文件應(yīng)立即從所有正在使用的場所中收回，或采取其它措施，以防誤用。記錄管理對于安全管理體系記錄，運營人應(yīng)建立并保持如下程序：標識；維護；處置。安全管理體系記錄應(yīng)是：清晰的；可識別的；可追溯到實際相關(guān)活動的。安全管理體系記錄應(yīng)按下列方式保持：易找到的；被保護的，以防：損壞；（2）變質(zhì);（3）丟失。4）記錄的保存期限應(yīng)有文件化規(guī)定。風險管理1）風險管理應(yīng)包括下列過程：a）系統(tǒng)和工作分析；b）危險源識

47、別；c）風險分析；d）風險評價；e）風險控制。2）風險管理過程應(yīng)被用于：a）系統(tǒng)、組織和產(chǎn)品的初始設(shè)計；b）建立運行程序；c）安全保證功能（如本要求第6部分所述）中識別出的危險源；d）對系統(tǒng)和運行過程的主動變更，以識別與這些變更相關(guān)的危險源。3）運營人應(yīng)利用安全保證功能進行閉環(huán)管理，以評估風險控制措施的有效性。4）運營人應(yīng)確定風險可接受標準。a）應(yīng)建立下列方面的描述：（1）嚴重性等級；（2）可能性等級。b）運營人應(yīng)明確各管理層對風險可接受決策的權(quán)限范圍；c）運營人在制定和實施風險控制或緩解計劃時，應(yīng)明確可接受的短期內(nèi)存在的風 險。5）在以下操作進行前，應(yīng)確定其風險是可接受的：a）新的系統(tǒng)設(shè)計；

48、b）現(xiàn)存系統(tǒng)設(shè)計的更改；c）新的操作或程序；d）操作或程序的更改。6）風險管理過程不應(yīng)妨礙運營人采取緩解現(xiàn)存風險的臨時應(yīng)急措施。5.1系統(tǒng)和工作分析1）系統(tǒng)和工作分析應(yīng)詳細到足以識別危險源的程度。民航航空運營人安全管理體系要求2）系統(tǒng)和工作分析應(yīng)考慮以下方面：a）本系統(tǒng)與其他系統(tǒng)（如機場、空管等）間的相互作用；b）本要求4.1 1）條中的各領(lǐng)域的系統(tǒng)功能；c）為完成本要求5.1 2）b）條中功能的員工工作；d）在下列系統(tǒng)中人的因素的重要性：（1）運行；（2）維修；e）系統(tǒng)的硬件部分；f）系統(tǒng)的軟件部分；g）為系統(tǒng)運行和使用提供指南的相關(guān)程序；h）外在環(huán)境；i）運行環(huán)境；j）維修環(huán)境；k）已外包

49、的產(chǎn)品和服務(wù)；l）上面本要求5.1 2）條的b）-j）各項的相互影響；m）有關(guān)下列內(nèi)容的任何假設(shè)：（1）系統(tǒng)；（2）系統(tǒng)的相互影響；（3 ）現(xiàn)存的風險控制措施。5.2危險源識別1）危險源應(yīng)：a）根據(jù)以上的系統(tǒng)和工作分析，在整個系統(tǒng)范圍內(nèi)進行識別;b）被形成文件。2）危險源信息應(yīng)是：a）可追溯的；b）在整個風險管理過程中都被管理。5.3風險分析風險分析過程應(yīng)包括：1）現(xiàn)存的風險控制措施；2）啟動機制；3）現(xiàn)存危險源的可能風險，包括對下列方面的估計：a）可能性；b）嚴重性。5.4風險評價1）應(yīng)使用本要求第5部分的4）條中描述的風險可接受標準，對各危險源的風險可接受性 進行評價。2）應(yīng)明確各管理層對

50、風險可接受決策的權(quán)限范圍。5.5風險控制1）運營人應(yīng)為每個具有不可接受風險的危險源確定風險控制措施；2）風險控制措施應(yīng)：a）明確描述；b）經(jīng)評估以確保符合要求；c）適用于運行環(huán)境；d）文件化。3）應(yīng)對風險控制措施帶來的衍生風險進行評估。安全保證6.1總則6.1.1 一般要求運營人應(yīng)監(jiān)控其各系統(tǒng)和運行以：1）識別新風險；2）測量風險控制措施的有效性；3）確保符合規(guī)章要求。安全保證方案運營人應(yīng)建立、策劃并實施一個綜合的安全保證方案，其包括下列過程的實施方案、程 序或方法等：1）信息獲取；2）數(shù)據(jù)分析；3）系統(tǒng)評價；4）預(yù)防糾正措施；5）管理評審。6.2系統(tǒng)描述安全保證功能應(yīng)基于本要求5. 1條描述

51、的綜合性系統(tǒng)。6.3信息獲取運營人應(yīng)收集證明以下方面有效性的必要數(shù)據(jù)：1）運行過程；2）安全管理體系。持續(xù)監(jiān)控1）運營人應(yīng)監(jiān)控運行數(shù)據(jù)（如：飛行記錄器、值班日志、機組報告、工作卡、處理表單） 以：a）評價風險控制措施的實施與策劃的符合性（如本要求第5部分中所描述的）；b）測量風險控制措施的有效性（如本要求第5部分中所描述的）；c）評價系統(tǒng)績效；d）識別危險源。2）運營人應(yīng)監(jiān)控來自外包方的產(chǎn)品和服務(wù)。生產(chǎn)運行部門內(nèi)部審計1）生產(chǎn)運行部門經(jīng)理應(yīng)確保對各運行過程的安全相關(guān)功能進行定期的內(nèi)部審計，此職責 應(yīng)延伸至完成這些功能所涉及的任何外包方。2）生產(chǎn)運行部門經(jīng)理應(yīng)確保實施定期審計以：a）確定風險控制措施的實施與策劃的符合性；b）評價風險控制措施的績效。3）審計計劃應(yīng)考慮：a）被審計過程的安全重要性；b）以前的審計結(jié)果。4）審計方案應(yīng)包括：a）審計的：（1）標準；（2）范圍；（3）頻次；（4）方法。b）選擇審計員的過程；c）個人不能審計自己的工作的要求；d）形成文件的程序，程序中包括：（1） 職責；民航航空運營人安全管理體系要求(2)對下列內(nèi)容的要求：審計計劃；審計實施；結(jié)果報告；記錄保存。對外包方、供應(yīng)方的審計。內(nèi)部評估運營人應(yīng)按策劃的時間間隔對各運行過程和安全管理體系進行內(nèi)部評估，以確保安全 管理體系符合要求。評估計劃應(yīng)考慮：被審計過程的安全重要性；以前的審計結(jié)果。評估應(yīng)包括：評