在e起飞平台的首场文字直播秀中，中国民航管理干部学院的李彤教授，为大家带来关于“SMS与QAR数据使用”的专题报告。事后有许多错过直播的读者要求“补课”，在此我们为学习热情不减的观众准备了一份系统性的文字整理：

我是自2010年进入民航管理干部学院航安系开始工作，然后在2013年的时候非常有幸地也承担了东航安全网二期的咨询。做完这个平台之后我逐渐意识到QAR数据的理解和使用是不充足的，除了周报、月报、年报，那么它是否还有更大的使用空间？之后，我又非常有幸地参与了北京监管局的飞行训练标准化大纲研究的项目，应该说有一些心得，希望跟大家分享。

一、SMS

1、SMS概述

什么是SMS？SMS是以体系的管理方式让我们将风险保持在可接受的范围内，或者说让我们的体系能够持续提升的安全管理方式。

大家会看到，体系持续的提升需要一个PDCA接着一个PDCA再往上去循环，也就是说我们需要各个部门都做好这样的闭环管理，然后才能做好标准的提升，提升我们企业的安全水平。但是在真正的实施过程中，我们会发现企业有很多没有实现闭环管理的地方，随后我们会慢慢来聊。

图1 质量持续提升

这是ICAO发布的SMS第三版的框架，它主要包含四大支柱：第一部分是安全政策和目标、第二部分是风险管理、第三部分是安全保证、第四部分是安全促进。尤其是第三个支柱安全保证中的安全绩效的监测和测量是一个相对比较新的理念。

各个公司也好或中国民用航空局也好，都开始在推动实施安全绩效的监测和测量。那大家就会问，企业到底有哪些安全绩效指标，民航局监测的又是哪些指标呢？那么我们慢慢来讲。

2、SMS桌面视图

图2 SMS桌面视图

有这样几条线需要大家去关注的，我们需要把不安全事件、运行数据等作为危险源识别的数据源，同时当我们制定出风险缓解措施之后，我们要将措施纳入到安全保证环节，通过对绩效的持续监测，来评估风险是否在可接受的范围内，那如果风险超出我们可接受的范围，就要回到风险管理环节去评判。所以对我来讲，我认为安全绩效监测和测量相当于给我们的企业加装一个身体检测仪，它让我看到我身体实时的表征，当我们的身体超出它可接受的范围的时候，我们就要走到风险管理的环节，而风险管理环节是什么呢，就相当于在我们的系统中一个相对智能的医生，让我们能够去找到某一个指标，超限或超出警戒值之后，去寻找根本原因，或者说各类原因所占的频次比例和风险比例。

我们都知道，当信息上报之后我们需要去搜集它的描述性的信息(时间和地点)，解释性信息(发生了什么、如何发生)以及原因（为什么发生）。那么我们称这样的一种调查叫做反应式的安全管理。在还没有发生的时候我们去做检查和监察，我们叫做主动式的安全管理。当我们用QAR的数据去预测这个航班在这个机场最容易发生什么样的风险的时候，我们是走向预测式了。在我看来，反应式和主动式的管理方法的构建是我们走向预测式的基础，所以我们要做好反应式和主动式管理方法，强化原因分析。

3、TEM方法

对于搜集上来的信息我们要对它进行原因分析，我一直比较推崇的是TEM的方法（Threat and Error Management）， 它非常简单，它就从威胁和差错管理这两个方面来界定你面临的危险源是什么， Alan Stozler教授也把它跟我们所使用的SHELL、人为因素HFACS等方法进行比较，最后还是建议TEM比较适合作为危险源分类法。在我们的企业中主要去报送自愿报告的也是飞行员，对飞行员来讲，TEM是非常熟悉的一种方法，因为在我们的飞行员的培训中，TEM也是CRM培训的必备科目。

同时我们又关注到了Bowtie，Bowtie有什么样的好处呢？它能够以非常逻辑的方式帮我们梳理出来从危险源到最严重的事故中间经历了什么样的环节，所以在Bowtie中我们看到最左列是危险源，最中间是我们的不安全的状态，最右边是我们的事故的类型，从危险源到不安全状态是控制措施，从不安全状态到事故是恢复措施。我们可以用Bowtie来分析每个事件，哪些措施起到或者没有起到作用。

二、安全绩效指标

1、概述

关于安全绩效指标，我想介绍的是英国民航局所推出的Significant seven的一个形式，它使用Bowtie的模型来分析出来英国民航局在它的行业最有可能发生的七大事故类型，包括跑道侵入、火灾、空中相撞、地面损伤、冲出跑道、可控飞行撞地和空中失控。

图3 Significant Seven

图 4 SSP&SPI

在七大事故类型之后，它每个事故类型都跟着一个SPI（图3&4）。以空中失控为例，它的SPI包括飞机失控事件、触发抖杆或Alpha floor警报事件、起飞构型警告、进近和巡航过程中的低空速事件。这些SPI都来自于哪里？其实大多来自QAR。包括跑道侵入，也是很多来自QAR的信息。所以QAR成为安全绩效指标不可割裂的一部分，这就对我们的安全部门管理人员提出了更高的要求，我们不能只关注发生了什么级别的事件，还要关注发生了什么QAR事件，以及它对应的事故类型和风险，需要安全部门的人员全面了解航空公司的运行风险，不能仅仅局限于安全管理方法。EASA也发布了类似的结构，他们称安全绩效管理的最大转变是从以前对事件严重性的关注走向了Sector-based的关注，即运行方面的关注。虽然以上指标来自于民航局，但也同样适合于航空企业，因为SPI是连接SSP和SMS的中间桥梁。

为什么要结合来讲讲SMS和QAR呢？因为我们发现EASA启动了一个program,叫做EAFDM（European Authorities Flight Data Management）（图5），这个计划首先是希望各个成员国或各个运营人增强对FDM飞行数据管理的使用，同时它强调了Just culture，要在公正文化下去使用飞行数据。

图5 EAFDM

第二点它就讲到，我们如何将FDM飞行数据管理和SSP的安全绩效指标来进行一个对标，也就是说未来我们行业要关注这四大方面（图6）。这四大类事故类型中它的安全绩效指标大部分都来自于飞行数据，因此飞行数据是要对SSP中的安全绩效指标做一个有效支撑。

图6 四类事故和SPI

2、以东航为例

从安全绩效指标到危险源的关系，都可以反应在Bowtie中，在我们给东航所设计的信息分析流中（图7），我们也是借用了Bowtie这样的一个模型，大家可以看到，从最左侧是我们所考虑到的最严重的事故类型，我们是参考了IATA所给出的这十二类事故类型（图8）并且筛选出最有可能在这个企业发生的。中间是每一类的类型后面所跟着的它的不期望的状态或者说一些我们需要监控的一些绩效指标，跟着后面我们是要梳理，去看一看它的每一类事件到底后面有可能是什么样的威胁差错源，以及发生的频次和风险的比例。要提一下，这些威胁和差错的梳理全部都来自于东航过去的一万条安全信息报告。

图7 东航基于Bowtie＋TEM的安全信息分析平台

图8 IATA列出的事故类型

我想每一个企业当你自己在做SMS的时候，你是否考虑过针对你过去的运营信息，去思考您有可能发生的重大的风险点在哪里呢？你是如何来确定的？

三、分类法

1、分类法

分类法对于识别危险源是非常重要的，在图9中我们会看到大家讲到最高层的管理人员其实只能掌握4%的危险源，而中层管理人员可能能够掌握9%，主管们可能了解74%，而维修的技术人员100%。所以我们要非常关注的是我们一线人员是否有能力去识别、管理危险源。

图9 危险源的掌握程度

从图10&11来看，我们要让一线人员去了解到，针对威胁——即使它诱发了差错，仍然要让他们明白，他们如何去应对。我们还有一个反向的螺旋——今天我们发生了什么事件，他是如何没有很好地去应对这个差错。同时我们再要去看一看这个差错所诱发的是哪些威胁，失败的策略是什么。

图10 TEM

图11 从TEM中学习

飞行员往往会面临着内部和外部的一些威胁，它可能会诱发什么样的差错呢？我们的SMS系统就是需要对过去大量的信息梳理，来看一看什么类型的事件伴随什么样的威胁和什么样的差错。关于TEM，我想最好的资料或介绍就是IATA的年报，它对全球事故的原因分析。

2、一些定义

我们知道威胁是那些发生在外界对机组有影响、会降低机组的安全操纵能力的挑战。如果你们有大量的信息或事件，其实也可以梳理出来，梳理出来有什么好处呢？它能够让你去做好你的反应式安全管理。

接着再说差错，差错的定义是什么呢？它是指我们机组做了或没做以下行为而导致偏离机组或组织的意图或期望，它减小了安全的裕度，增加地面或空中不安全事件发生的可能性。它也有自己的一个分类，包括操纵的差错、程序的差错或沟通的差错。

如果你用威胁和差错作为危险源的分类法还有一个好处，未来如果你要做Losa（航线运行安全审计）的话，当我们认为危险源不充足的时候，那没有什么比到驾驶舱去观察且不要打扰飞行员操作，去观察它所识别出的威胁和差错的种类或它发生的频次更准确的了。所以很多国外的航空公司会开展Losa，我知道国内开展的第一家也是东航。它就可以很好地跟你的SMS的原因的分类法TEM进行一个对标，因为Losa的检查单本来也是用TEM来做的，也就是Losa发现的问题，也可以作为SMS一个信息源的很好输入。

我希望大家可以理解到SMS的第三版手册，它重点的部分，安全的绩效监测和测量，我们看到欧洲的做法主要就会走向对运行的关注，然后根据这些事故类型去制定自己的SPI，去监测起来，来表征自己在这种事故类型下，它的一个运行状态。也就是说它们明确地表示，我们从以前的仅仅关注这些事件的严重性——你是严重事故症候呢还是严重差错——逐渐走向这种基于运行的sector-based的管理方式。

四、风险管理

我觉得非常有意思的是这样一张图，在EASA的网站上，它最近推荐的一个方法，叫做ARMS，它有两个部分构成，第一个叫做ERC的方法，什么意思呢？就是发生一件事件之后我要给它赋予风险值，比如说今天我发生一个平飘距离远的事件，那么我就要对它赋予一个风险值，要对它进行量化，为未来统计来做准备。这个风险矩阵就不是再让大家拍脑袋去想它这个事件再次发生的可能性和严重性，它直接告诉你它的可能性是没有办法再去估量的了，就好像一个人永远不可能把一只脚迈入同一条河流的同一个地方，同一个事件永远不可能在相同的条件下再次发生。

所以它建议你不要去预估可能性了，那直接就给这个事件赋一个值吧。这个值从哪两方面来考虑呢？那就是，一方面是去思考一下这个事件距离严重的事故到底有多远，它有可能导致什么样的事故类型，另一方面是评估贵公司在防范这个事件到事故的措施是否有效。

同样是平飘距离远3级事件或者是未达跑道接地的事件，发生在北京和发生在攀枝花机场的风险值可能也是不一样的，对不对？对它赋予不同的风险值之后，久而久之你会看到不一样的结果了。

好，大家可以看一下这张图（图12），这张图是三个机场所伴随的事件，绿色的柱子是这个事件发生的频次，而蓝色就是发生率，黄色的圆圈代表累加的风险值。因为AAA机场它这个事件虽然发生的频次高，但它的风险值并没有那么高。你会发现DDD机场或者EEE这个机场，它发生的频次没有那么高，但它的风险值远高于AAA这个机场。什么意思呢？也就是说，如果你用ERC这样一种风险赋值的方法，未来你会看到不同的机场发生相同的事件频次不一样，风险值也不是按比例来增长的，也就有助于我们精准地识别风险点。

图12 基于ERC的机场事件风险统计

如果你根据当时运行的环境也可以进行多维地搜索这样的一张图。也就是当事件来的时候先赋值，赋完值之后我们该开展调查就开展调查，同样这些数据也会进入安全绩效的监测，它到底是是一个冲偏出跑道的数据还是空中失控类型的数据？当你做完大量这些事件风险赋值、统计分析之后，你自然会知道你企业的重点风险在哪里了。

我们也看到国际上一些比较好的软件，比如像英国Gael的Risk软件用的也是这种Bowtie的方法。同时它对安全绩效的展示也是用的雷达图，在看到这些软件之后，我们所开发出来的针对企业的重大风险，同样也可以用雷达图的形式来表现（图13-16）。

以剥葱头的形式，你会看到企业的重大风险有哪些，同时再往里剥，比如说，冲偏出跑道的风险，我剥进来之后又有哪些事件？这些事件又分别带有多少风险值？我们再往里剥，那就是针对某一个类型的事件，它的威胁的饼图或它差错的饼图各占的频次以及风险值又有多少？可以再往里去看，每一个风险源它对应的手册的条款以及它的累加的风险值到底有多少？大家可以看到，我们的SMS真的是走向sector-based的。

图13 ARMS＝ERC＋SIRA

图14 重大风险展示－东航安全网二期示例（非真实数据）

图15 不安全状态展示－东航安全网二期（非真实数据）

图16 差错占比展示－东航安全网二期（非真实数据）

以上内容是专题报告的前四部分，为了便于大家更好地吸收理解，我们暂告一个段落，让我们共同期待明天的“SMS与QAR数据使用”专题报告下篇。

想听原音讲解的读者，请戳“原文链接”听直播回放，进入密码：eachfei