航空安全管理系统101：飞安进步的历史

航空安全管理系统101：飞安进步的历史

航空安全是航空公司最核心的任务之一。从1958年至今，民航安全取得了显著的进步，但仍然存在改进的空间。本文将从安全管理观念的演变、安全的定义以及风险管理的实际操作等方面，为您详细介绍航空安全管理系统的发展历程和核心概念。

现状：民航安全持续进步，但尚不为零

为了了解航空产业的安全表现，每一年全球最主要的飞机制造商，波音（Boeing）及空中巴士（Airbus）都会发布飞安相关的统计资料。我们引用的图是空中巴士于2022年统计，自1958年至2021年，针对全机毁损（Hull Loss）及发生死亡（Fatal）的意外事件比例，纵轴为每百万航架次中发生该事件的数值。整体来说，我们可以得到两个结论：

• 正面表述：发生全机毁损及造成死亡之意外事件之比例持续降低。飞行安全在过去的五十年里取得了显著的进步。
• 负面表述：再怎么进步只能趋近于零，但仍然有重大意外事件发生。这显示安全仍然有进步的空间。

我们喜欢民航的安全水准持续进步，但因为持续有安全事件，因此永远不到满意。持续进步的观念对安全管理来说非常重要，甚至可以认为是安全唯一的方法。这些作业环境中的安全危害，最终是否导致重大意外事件，是取决于一个概率之上；今天没有出事不代表明天就不会出事。因此，只有持续地消除危害、执行有效的风险缓解措施，才有可能缓解未来发生事情的概率。

安全管理观点的演进：机械、人因、组织至全系统观点

那么，过去的安全工作者是如何做到让事件持续降低至现在的表现？这些国际上民航安全事件的降低，绝对不是一蹴而就的。安全管理关注的焦点，随着科技的进步、事件调查归因、经济和安全观点的转移，经历了许多不同阶段。我们以ICAO安全管理手册的表列，安全观点至少经历了机械因素、人因因素、组织因素及全系统观点四个阶段。

（图片来源：ICAO DOC 9859 Safety Management Manual 4th, p2-2）

机械因素（Technical Era）

航空产业自1970年代之前，发生安全事件时，多数焦点均关注在机械因素。例如，某个发动机坏了、起落架故障、液压油失效，导致航班无法顺利降落。相较于现在，早期的航空器可能因技术的局限，导致部件的品质或设计不良，最终导致严重的事故。随着时间演进所带来的科技和较为进步的产品设计，机械的品质能有所提升。

但终究只要是机械，还是有可能会故障。实际上，飞机有部件损坏并不是什么新鲜事，而且随着机龄越大，重常发故障的频率也会提高。真正让机械因素不至于导致重大意外而被妥善控制的，其实是备援的观念和程序的设计。飞机上重要的系统通常都会准备两套以上，以及有如最低需求装备清单（Minimum Equipment List, MEL）这样的程序设计，规范哪些部件如果故障是否仍然适航，和发现故障后多久内要修复完成的规定。这些程序有效地阻挡了机械因素最终导致发生重大意外事件的概率。

人因因素（Human Factors Era）

1970年代起，安全视角从过去完全关注在机械因素，逐渐转移到了人因因素所扮演的角色。1977年3月的Tenerife空难事件，是人因因素开始转向关注的重大转折点。

Tenerife空难（1977/3/21）

Tenerife是位于北非外海的一个小岛。两架波音747航机（荷兰航空KL4805、泛美航空PA1736）因原订落地之Las Palmas机场遭遇炸弹的恐怖袭击，陆续转降至Tenerife机场等待。Las Palmas目的地机场经检查重新开放后，塔台指示荷兰航空KL4805航机使用跑道作为滑行道，滑行至跑道尾端执行360度回转后等待起飞。同时，泛美航空PA1736则跟随荷兰航空，使用跑道作为滑行道，至C3滑行道脱离跑道。由于机场能见度不佳、等待时间过长导致组员工时接近上限等因素影响，荷兰航空KL4805机组员在未获得航管许可的情况下起飞，撞击到还在跑道上滑行的泛美航空航机。这场灾难最终造成两航机共583名乘客和机组人员死亡。

Tenerife事件的意义在于：当时两架当时科技最先进航空器，却造成如此重大的死伤事故，这不能仅用机械因素来解释。自此，人因因素成为安全管理关注的核心议题，知觉、注意力、记忆、决策等人类行为表现研究大量被提出，成为1980年代后的安全关注焦点。

关于人因因素的不安全行为样态，我们将在后续各类的错误型态有更详细的介绍。航空业界开始采取的机组资源管理（Crew Resource Management, CRM）或非技术性技能（Non-Technical Skill, NTS）介入方案，也会在后面介绍。

组织因素（Organizational Era）

1990年代，安全关注的焦点从驾驶舱机组员、或仅是包含驾驶舱客舱的机组人员，转移到更广义的组织层面。此时的安全观点，不再只认为安全属于机组人员责任，组织在背景性的支持活动中也扮演了重要角色。例如，组织为了安全所提供的资源、本身督察及监理的机制、安全文化及学习文化形成等，都对最后是否发生事件产生了部分影响。

由于今天要处理的是组织层面的问题，因此导入一个以组织的方式管理、包含各种管理工具的方式就变得重要。ICAO第9589号文件《安全管理手册》（Safety Management Manual, SMM）于2006年发行初版，列出了安全管理系统的纲要，包含安全政策、风险管理、安全保证及安全促进四个项目，并进一步于2013年升级为第19号附约（Annex 19）。台湾的民用航空局则于2009年正式在《航空器飞行作业管理规则》中，要求各航空公司实施安全管理系统。

全系统观点

2010年代后，基于之前三个不同的安全视野及对应所执行的风险缓解措施，重大意外事件发生的概率已持续降低。此时的安全讨论的是航空产业的整体生态系统概念，从立法单位、监管单位、航空公司到不同的航空公司、国家到国家之间，都应当有互相合作的机制，以提升整体的民航安全表现。因此，从洲有洲的安全目标，国家依据洲的目标开始制定自己的目标及实践计划，公司再依据国家的目标转换为各公司的目标。

安全的定义：将风险降低在可接受水平

但究竟什么是安全？在这里，我们以ICAO 9859第四版的定义来说明：

• 安全：将与直接或间接与飞行操作相关的风险，降低且控制于可接受水平。（Safety: The state in which risks associated with aviation activities, related to, or in direct support of the operation of aircraft, are reduced and controlled to an acceptable level.）
• 可接受水平：安全表现的水平达到主管机关同意的水平，并且以安全表现指标（SPI）和安全表现目标（SPT）来呈现。（Acceptable Level of Safety Performance, ALoSP: The level of safety performance agreed by State authorities to be achieved for the civil aviation system in a State, as defined in its State safety program, expressed in terms of safety performance targets and safety performance indicators.）（注：由于ICAO 9859第四版已经是全系统观点，因此可接受水平是层层达到目标的想法：地区有地区安全目标、地区内的国家根据前者制定国家安全目标、属于该国的航空业者达到该国的安全目标。因此在这里，可接受水平是由主管机关同意的。在第三版以前，可接受水平的原则是事业单位制定，标准是要对自己负责。）

上面这两个文字上的定义，可以简化成如下：安全，就是把风险降低在可接受水平。不论各种执行的方案。但这个可接受水平是要被测量，并受到监管机关的审查同意才可以。实务上，航空公司制定的应该会比主管机关同意的严格许多。

实际上，“降低风险”这件事听起来很容易，但这是整个安全作业里面最重要的工作，也是我们在说安全唯一处方的主要做法。安全业务可以非常多元，如办理安全促进活动、撰写安全通告、检查、算各类的安全指标等等，有许多为了协助整个方案运行的附带作业要执行，这些都会挑战我们在有限的人力、财力资源上去做分配的条件。但无论如何，“持续降低风险”的业务比重，应该仍然是最主要的安全业务，给予充分的资源完成。

风险管理：降低风险的实际操作历程

风险 = 严重度*发生频率

在我们辨识出可能的危害之后，要先做风险评估。一个常见的风险评估矩阵，它的纵轴是发生的可能性，从1分到5分；横轴则是发生严重度，A为最严重，E为可忽略。这样就得到一个5乘以5的矩阵。矩阵的上面有不同的颜色，绿色表示低度风险，黄色为中度风险，红色为高度风险。根据不同公司可能会有不同的风险对应规则，一个可能的范例如下：

• 低度风险：属于可接受风险。应已经存在持续运作的风险缓解措施，检查风险缓解措施是否持续有效。作业单位主管同意即可持续。
• 中度风险：属于不可接受风险，必须执行风险改善措施，并于实施后再度评估风险等级是否有降低。需呈核至安全单位主管同意。
• 高度风险：作业立即停止。必须执行风险改善措施，并于实施后再度评估风险等级是否有降低。呈报高阶主管同意才可重启运作。

我们虽然说公司的“安全可接受水平”是由安全绩效指标来定义，并需要呈报主管机关来核准。但实际上，若以安全绩效指标作为判断标准，等到发生事情都已经是落后指标，要报到主管机关才决定是否可以，不是一个理想的做法。公司通过自行调整风险矩阵，操作上就可以定义公司内的“可接受安全水平”：黄色和绿色的交界线。一旦越过高黄色以上，就表示这不是公司可接受的安全水平，必须实施风险缓解措施。

风险管理：消除（Eliminated）与缓解（Mitigated）

以ICAO 9589来说，所列出的风险就是消除（Eliminated）与缓解（Mitigated）两种方案。职业安全训练的同仁可能会在这些手段下面提出更细的手法，如消除、取代、工程控制、管理控制、个人防护具等等，但不一定适用于所有情境。关于消除和缓解，分别的定义如下：

• 消除：指的是避免这个风险，将风险移除，避免暴露在这个风险之中。
• 缓解：指的是减少这个风险的严重度或发生频率。

实际上，为了航空运营的需求，大多数已经识别出来的风险，较少能够完全通过消除来解决，而是需要采取适当的缓解措施来降低频率或严重度。举例来说，鸟击是航空业重要的危害来源，撞击到发动机很可能导致发动机轻重程度不一的受损。鸟击频率自春天起开始增加，至秋天较为减少；而严重程度则是看撞到的鸟的品种大小而定，越大只的损失越重。但说要把鸟从空中移除是不太可能的事，能做的就是降低严重度或频率的作为，例如由机场端于繁殖期增加割草频率，减少鸟类于草丛中下蛋等，并增加鸟类活动的监测及预警作业等等，然后将风险等级降低至可接受水平。一些起降技巧难度较高的进场方式，也不能说我们就不飞那个机场，只能通过加强训练、或是增加资格管控，仅由特定获得许可的机组员执行难度较高的进场等等方式，将风险控制在可接受水平中。

摘要重点

• 民用航空安全在过去五十年来有很明显的进步，但还是有事故发生，也显示安全仍需要持续进步。
• 安全关注的焦点从最初的机械因素，转移到人因因素及组织因素，至现在的全系统观点，显示安全要对焦的视角转移历程。但无论如何转移，这些因素都仍在现行的安全工作中扮演重要的角色，我们需要根据不同的因素采取适当的缓解措施。
• 安全的定义：将风险降低至可接受水平。因此降低风险、执行有效的缓解措施，这是负担安全职责的同仁最主要的核心任务，应该给予其充分的人力和财务资源。
• 完成危害辨识后，我们需要根据发生的严重度和发生的频率，进行风险评估。评估后若为中等以上风险等级，则需要进行决策流程，对风险执行移除或执行缓解措施，将风险降低至可接受水平。

这些内容大部分都是安全的基础信息，也是我们从事工作的核心内容。后续将讨论，心理工作如何协助过程中的风险缓解措施。