NOWE PODEJŚCIE DO ZARZĄDZANIA BEZPIECZEŃSTWEM W LOTNICTWIE CYWILNYM

Transkrypt

1 PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ z. 119 Transport 2017 Mariusz Krzyżanowski, Jerzy Manerowski, Sylwester Gładyś Politechnika Warszawska, Wydział Transportu NOWE PODEJŚCIE DO ZARZĄDZANIA BEZPIECZEŃSTWEM W LOTNICTWIE CYWILNYM Rękopis dostarczono, listopad 2017 Streszczenie: Przedstawiono nowe podejście do zarządzania bezpieczeństwem w lotnictwie cywilnym, określane jako Safety II. Zmienia ono postrzeganie systemów operacyjnych stosowanych w lotnictwie cywilnym, a w szczególności roli człowieka (czynnika ludzkiego) w tych systemach, na przykładzie systemu kontroli ruchu lotniczego. W artykule dokonano porównania nowego podejścia do obecnie stosowanego zarządzania bezpieczeństwem, określanego jako Safety I. Zaproponowano zastosowanie metody FRAM (Functional Resonance Analysis Method) jako wsparcie w procesie oceny ryzyka zgodnie z zasadami Safety II. Słowa kluczowe: systemy zarządzania bezpieczeństwem w lotnictwie cywilnym, SMS, Safety II, zarządzanie ryzykiem 1. WPROWADZENIE DO ZAGADNIENIA ZARZĄDZANIA BEZPIECZEŃSTWEM W LOTNICTWIE CYWILNYM Wdrożenie i utrzymywanie Systemu Zarządzania Bezpieczeństwem (SMS - Safety Management System) jest obecnie warunkiem koniecznym dla organizacji lotniczych takich jak porty lotnicze, instytucje zapewniające służby ruchu lotniczego, przewoźnicy lotniczy czy lotnicze organizacje obsługowe. Wymagania te wynikają przede wszystkim w skali globalnej z Załącznika 19 do Konwencji o międzynarodowym lotnictwie cywilnym wydanej przez Organizację Międzynarodowego Lotnictwa Cywilnego ICAO [16]. Również na poziomie regionalnym europejskim obowiązują wymagania Komisji Europejskiej w tym zakresie [19], [20], [21], [22] i [23]. Analiza trendu liczby wypadków w lotnictwie cywilnym w ostatnich latach pokazuje, że mimo zwiększającej się liczby operacji lotniczych wzrasta poziom bezpieczeństwa. W klasycznym podejściu, bezpieczeństwo lotnicze jest utożsamiane z brakiem wypadków lub małą liczbą poważnych incydentów. To podejście jest określane jako Safety I, i zasadza się na założeniu, że akceptowalne są rzadko występujące stany systemu kiedy dochodzi do awarii i usterek technicznych, błędów człowieka i przekłamania danych. W tych przypadkach przeprowadza się badania zdarzeń mających wpływ na bezpieczeństwo

2 228 Mariusz Krzyżanowski, Jerzy Manerowski, Sylwester Gładyś ruchu lotniczego w poszukiwaniu przyczyn ich wystąpienia lub wzmocnienia barier, które chronią przed ich wystąpieniem. W niniejszym artykule przedstawione jest nowe podejście do zarządzania bezpieczeństwem w lotnictwie cywilnym, określane jako Safety II, które zmienia postrzeganie systemu kontroli ruchu lotniczego oraz filarów, w oparciu o które zapewniane jest bezpieczeństwo operacji lotniczych. 2. CHARAKTERYSTYKA OBECNEGO PODEJŚCIA DO ZARZĄDZANIA BEZPIECZEŃSTWEM RUCHU LOTNICZEGO SAFETY I Klasyczne podejście do zarządzania bezpieczeństwem w organizacjach lotniczych takich jak na przykład instytucjach zapewniających służby ruchu lotniczego, opiera się na trzech głównych filarach i ich wdrożenie odbywa się poprzez realizację następujących mechanizmów [17] i [22]: sformalizowany, jednoznaczny i twórczy proces podejścia do systemowego zarządzania bezpieczeństwem w celu osiągnięcia wymaganego poziomu bezpieczeństwa, objęcie działaniem wszystkich służb zarządzania ruchem lotniczym oraz służb pomocniczych pozostających pod ich zarządem, przyjęcie za podstawę zapisy w polityce bezpieczeństwa oraz podręczniku bezpieczeństwa ruchu lotniczego. W strukturze SMS, podstawą jest opublikowana i zakomunikowana personelowi polityka bezpieczeństwa organizacji. Podstawowe filary tworzące ten system to: osiąganie bezpieczeństwa, zapewnianie bezpieczeństwa, promocja i kultura bezpieczeństwa. Rys. 1. Schemat klasycznej struktury SMS [opracowanie własne] Dokumentem opisującym zasady działania SMS w organizacji jest podręcznik zarządzania bezpieczeństwem ruchu lotniczego. Wdrożenie podręcznika do praktyki, jest poprzedzone jak już wyżej wspomniano ustanowieniem polityki bezpieczeństwa, która jest deklaracją woli najwyższego kierownictwa organizacji lotniczej wobec problematyki osiągania akceptowanego i tolerowanego poziomu bezpieczeństwa oraz zapewnienia odpowiednich zasobów do jego osiągnięcia.

3 Nowe podejście do zarządzania bezpieczeństwem w lotnictwie cywilnym RAPORTOWANIE I BADANIE ZDARZEŃ Podstawowym działaniem w zakresie ograniczania występowania zdarzeń mających wpływ na bezpieczeństwo jest gromadzenie informacji dotyczących zdarzeń, które wystąpiły, ich badanie, wyjaśnianie przyczyn oraz podejmowanie działań zapobiegawczych w celu ich ograniczenia w przyszłości. Przy zwiększającym się poziomie ruchu lotniczego, zaobserwowano trend wzrostu liczby zgłoszeń zdarzeń mających wpływ na bezpieczeństwo. Nie wskazuje on jednak na pogorszenie poziomu bezpieczeństwa (choć tak by się pozornie wydawało), ale świadczy o wzroście świadomości personelu operacyjnego w odniesieniu do zagadnień bezpieczeństwa oraz poprawy kultury raportowania. Jest to jeden z efektów intensywnych szkoleń z zakresu Systemu Zarządzania Bezpieczeństwem oraz szeroko rozumianej promocji bezpieczeństwa na poziomie poszczególnych organizacji lotniczych, jak również Urzędu Lotnictwa Cywilnego. Po zgłoszeniu zdarzenia do Państwowej Komisji Badania Wypadków Lotniczych (PKBWL) następuje zlecenie jego badania oraz równolegle uruchamiany jest proces kompletowania wszystkich faktów i dowodów oraz ich analiza z wykorzystaniem narzędzi komputerowych do określenia kategorii zdarzenia ze względu na wagę zagrożenia i prawdopodobieństwo jego powtórnego wystąpienia w przyszłości oraz opisanie przyczyn zdarzenia [3]. Należy w tym miejscu podkreślić, że badanie takich zdarzeń ma na celu określenie przyczyn zdarzenia, a nie winnych jego wystąpienia [20]. Po przeprowadzeniu procesu badania zdarzeń są formułowane wnioski oraz zalecenia bezpieczeństwa. Na podstawie wyników z procesu badań rzeczywistych zdarzeń, należy stwierdzić, że głównymi obszarami do doskonalenia bezpieczeństwa są obszary: szkoleń dla personelu operacyjnego, zmian w procedurach i instrukcjach operacyjnych, zmian w umowach z zewnętrznymi dostawcami usług ZARZĄDZANIE RYZYKIEM Każda zmiana w systemie zarządzania ruchem lotniczym powinna być poprzedzona analizą bezpieczeństwa, zgodnie z wymaganiami przepisów europejskich [19], [21], [22] i [23]. W związku z tak postawionym wymaganiem i dużą liczbą zmian, które występują w organizacjach w praktyce, istotnym elementem jest odpowiedź na pytania: co to jest zmiana w systemie zarządzania ruchem lotniczym, czy każda zmiana faktycznie wpływa na bezpieczeństwo ruchu lotniczego oraz czy jej wprowadzenie wymaga dokładnej analizy zgodnie z Wymaganiami Eurocontrol w zakresie przepisów bezpieczeństwa - ESARR 4 [23]? Dlatego wprowadza się algorytm analizy zmiany, na podstawie którego podejmowana jest decyzja: czy konieczna jest szczegółowa analiza ryzyka (rys. 2). W następnym kroku stosowana jest metodologia SAM (Safety Analysis Methodology), opracowana przez Eurocontrol przy współudziale przedstawicieli organów zarządzania ruchem lotniczym w Europie [4]. Celem tej metodologii jest zdefiniowanie odpowiednich

4 230 Mariusz Krzyżanowski, Jerzy Manerowski, Sylwester Gładyś środków, zapewniających, iż system zarządzania ruchem lotniczym spełnia kryteria i postawione cele bezpieczeństwa, a powstające ryzyko spowodowane tymi zmianami jest w odpowiedni sposób ograniczane i akceptowalne. Proces ten składa się z trzech głównych faz przedstawionych na rys. 3.: Funkcjonalna Analiza Zagrożeń, Wstępna Systemowa Analiza Bezpieczeństwa, Systemowa Analiza Bezpieczeństwa. Rys. 2. Algorytm analizy zmiany [2]

5 Nowe podejście do zarządzania bezpieczeństwem w lotnictwie cywilnym 231 Definicja systemu Funkcjonalna Analiza Zagrożeń Jak bezpieczny ma być system? Etapy życia systemu Projektowanie Wdrożenie do pracy operacyjnej Normalna praca /konserwacje i przeglądy Etapy analizy bezpieczeństwa Wstępna Systemowa Analiza Bezpieczeństwa Systemowa Analiza Bezpieczeństwa Jak bezpieczna jest jego architektura? Jak bezpieczna jest implementacja systemu? Wycofanie z użytku Rys. 3. Fazy procesu badania ryzyka (opracowanie własne na podstawie [4]) Wynikiem Funkcjonalnej Analizy Zagrożeń jest określenie operacyjnych celów bezpieczeństwa, ujmujących w sposób liczbowy lub jakościowy wymaganą niezawodność lub dostępność poszczególnych składników funkcjonalnych Systemu Zarządzania Ruchem Lotniczym (ATM/CNS). Analiza ta wykonywana jest na etapie projektowym, gdzie identyfikuje się zagrożenia wpływające na degradację funkcji operacyjnych systemu ATM/CNS, skutki ich wystąpienia dla operacji lotniczych oraz prawdopodobieństwa wywołania tych skutków. Przyjmuje się, że suma iloczynów możliwych częstości występowania usterek funkcji operacyjnych oraz prawdopodobieństw wywołania przez nieokreślonego skutku w ruchu lotniczym jest równa możliwej częstości wystąpienia tego skutku. W wyniku przeprowadzenia Wstępnej Systemowej Analizy Bezpieczeństwa otrzymuje się wymagania bezpieczeństwa dla składników konkretnego systemu technicznego, procedury lotniczej lub struktury organizacyjnej, na podstawie celów bezpieczeństwa ustalonych we wcześniejszej analizie funkcjonalnej. Do przedstawiania połączeń logicznych pomiędzy elementami Systemu ATM wykorzystywana jest stosowana od lat analiza w formie drzewa zdarzeń (Event tree) lub analiza rodzajów i skutków możliwych błędów FMEA (Failure Mode and Effects Analysis) oraz jej wersja rozszerzona FMECA (Failure Mode, Effects and Criticality Analysis). Wyliczone wymagania bezpieczeństwa określają częstości wystąpienia usterek urządzeń, błędów ludzkich lub działania oprogramowania, jako składników systemu ATM/CNS. W wyniku przeprowadzenia Systemowej Analizy Bezpieczeństwa otrzymuje się zbiór dowodów bezpieczeństwa potwierdzających zgodność funkcjonowania wprowadzonej zmiany w systemie ATM z celami i wymaganiami bezpieczeństwa. Analiza ta wchodzi w skład testów fabrycznych FAT (Factory Acceptance Test) przed dostawą systemu

6 232 Mariusz Krzyżanowski, Jerzy Manerowski, Sylwester Gładyś technicznego (sprzętu lub oprogramowania), testów SAT (Site Acceptance Test) po dostawie oraz testów nowych lub zmienionych procedur. Jest ona powtarzana przez cały okres funkcjonowania urządzeń, oprogramowania, procedur oraz struktur organizacyjnych, na podstawie zbieranych i odświeżanych danych do chwili ich wycofania z użytkowania PROMOCJA I KULTURA BEZPIECZEŃSTWA Trzecim filarem Systemu Zarządzania Bezpieczeństwem jest promocja i kultura bezpieczeństwa. Jest to ważny element obejmujący zagadnienia kultury bezpieczeństwa oraz wymiany doświadczeń w relacji między organami ruchu lotniczego (ANSP), w relacjach między ANSP a portami lotniczymi, przewoźnikami, a także organami wojskowymi. Najczęściej podejmowane działania w tym zakresie to: szkolenia podwyższające świadomość działań na rzecz bezpieczeństwa operacji lotniczych, przeglądy w zakresie SMS z uwzględnieniem elementów kultury bezpieczeństwa, cykliczna współpraca z zarządzającymi lotniskami, przewoźnikami oraz stroną wojskową w ramach np. Komitetu Bezpieczeństwa, działania podejmowane w lokalnych zespołach bezpieczeństwa ds. nagłych wtargnięć na drogę startową, wydawanie wewnętrznych biuletynów bezpieczeństwa. Kluczowym elementem podnoszenia kultury bezpieczeństwa i jego promocji są ciągłe szkolenia oraz angażowanie personelu operacyjnego i technicznego w działania na rzecz doskonalenia zarządzania bezpieczeństwem. Działania te są już podejmowane na etapie promowania właściwych wzorców zachowań na szkoleniach dla kandydatów na pilotów czy kontrolerów ruchu lotniczego oraz podczas praktyk na stanowisku operacyjnym (OJT - On the job training). Dodatkowo narzędziem w badaniu kultury bezpieczeństwa są przeglądy wewnętrzne i zewnętrzne. Przeglądy wewnętrzne są przeprowadzane przez personel komórek zarządzania bezpieczeństwem, niezależny od pionów operacyjnych i raportujący bezpośrednio do najwyższego kierownictwa organizacji lotniczej. Przeglądy zewnętrzne są przeprowadzane przez podmioty i międzynarodowe organizacje zewnętrzne (np. w przypadku Polskiej Agencji Żeglugi Powietrznej przez Eurocontrol), będące całkowicie niezależne od badanej organizacji lotniczej. 3. CHARAKTERYSTYKA NOWEGO PODEJŚCIA DO ZARZĄDZANIA BEZPIECZEŃSTWEM SAFETY II Do oceny poziomu bezpieczeństwa w przedstawionym podejściu Safety I wykorzystuje się przede wszystkim wskaźniki wynikowe (lagging indicators). Typowym przykładem takiego wskaźnika to liczba wypadków lub poważnych incydentów lotniczych mierzona w odniesieniu do liczby operacji, godzin lotu lub mierzona w odniesieniu do danego typu statku powietrznego.

7 Nowe podejście do zarządzania bezpieczeństwem w lotnictwie cywilnym 233 Wskaźnik wszystkich wypadków Wskaźnik uszkodzeń kadłuba Wskaźnik wypadków śmiertelnych Wskaźnik ryzyka ofiar śmiertelnych Rys. 4. Liczba wypadków z udziałem samolotów odrzutowych i turbośmigłowych [14] Inne podejście to określanie poziomu bezpieczeństwa poprzez wskaźnik liczby wypadków i liczby ofiar śmiertelnych np. w lotnictwie komercyjnym. Liczba ofiar śmiertelnych Liczba wypadków Rys Liczba wypadków i ofiar śmiertelnych w lotnictwie komercyjnym w latach [15] Na podstawie obliczania trendów dotyczących wypadków w poszczególnych latach wnioskuje się, że poziom bezpieczeństwa jest utrzymany, ma tendencję spadkową lub wzrasta. I w tym miejscu należy zadać fundamentalne pytanie: Czy trend spadkowy liczby wypadków/poważnych incydentów lotniczych jest wystarczającym dowodem do twierdzenia, że poziom bezpieczeństwa w lotnictwie wzrasta? Odpowiedź na to pytanie nie jest jednoznaczna i stąd wynika potrzeba wprowadzenia nowego podejścia do zarządzania bezpieczeństwem określana jako Safety II. W niniejszym artykule definiuje się podejście Safety II jako skuteczne i ciągłe działanie, które zapewnia właściwą pracę systemu przy zmieniających się warunkach otoczenia.

8 234 Mariusz Krzyżanowski, Jerzy Manerowski, Sylwester Gładyś W przypadku podejścia Safety I podejmowane działania koncentrują się na odpowiedzi na pytanie które funkcje i elementy systemu nie zadziałały i dlaczego. W przypadku nowego podejścia Safety II, poszukiwana jest odpowiedź na pytanie, które elementy i funkcje systemu sprawiają, że system działa bezpiecznie ([1] i [7]). Rys. 6. Rozkład zdarzeń związanych z pracą systemu (opracowanie własne na podstawie [1]) W celu wykazania różnic między obecnym a nowym podejściem do zarządzania bezpieczeństwem dokonano porównania ich wybranych cech. Porównanie wybranych cech podejścia Safety I oraz Safety II Cecha Safety I Safety II Tabela 1 Definicja bezpieczeństwa Minimalizacja liczby negatywnych zdarzeń wpływających na bezpieczeństwo systemu Maksymalizacja liczby zdarzeń pozytywnie wpływających na bezpieczeństwo systemu Koncepcja zarządzania bezpieczeństwem Działania reaktywne Reagowanie po wystąpieniu wypadków lub incydentów Działania proaktywne/predyktywne Ciągłe wyprzedzanie rozwoju zdarzeń i przewidywanie zmian, badanie codziennych czynności wpływających na bezpieczeństwo systemu

9 Nowe podejście do zarządzania bezpieczeństwem w lotnictwie cywilnym 235 Postrzeganie wpływu człowieka(czynnika ludzkiego) na bezpieczeństwo Człowiek traktowany jako zagrożenie, obciążenie, najsłabsze ogniwo systemu cd. tabeli 1 Traktowany jako niezbędne zasoby na potrzeby zapewnienia elastyczności i odporności systemu na zagrożenia bezpieczeństwa Badanie wypadków Przyczynami wypadków są awarie i błędne działania systemu. Celem badania wypadków jest znalezienie tych przyczyn Działanie systemu jest co do zasady takie samo, niezależnie od wyniku jego pracy (praca poprawna czy błędne zadziałanie). Badania wypadków polegają na zrozumieniu na czym polega poprawna praca systemu, jako baza do wyjaśnienia stanu, kiedy system ulega awarii czy błędnie działa Ocena ryzyka Zrozumienie warunków kiedy zmienność Określanie przyczyn zagrożeń wyników pracy systemu może stać się oraz czynników sprzyjających ich trudna lub niemożliwa do monitorowania i wystąpieniu kontroli W ramach definiowania problemu badawczego dokonano również przeglądu literatury w poszukiwaniu metod, które mogły by mieć zastosowanie na potrzeby Safety II. Jedną z metod proponowaną do wykorzystania jest FRAM (The Functional Resonance Analysis Method) stosowaną do modelowania złożonych systemów socio-technicznych [5], [8], [9], [10], [12] i [18]. Za pomocą metody FRAM można dokonać powiązań, jak funkcje elementów systemu operacyjnego są w stanie rezonować i tworzyć zagrożenia, które bez możliwości ich kontroli mogą prowadzić do wypadków lub incydentów [11], [13] i [24]. Metoda ta opiera się na czterech głównych zasadach [8] i [10]: 1. Zasada równości sukcesów i porażek różne rodzaje skutków mogą być wynikiem tych samych przyczyn, te same wyjaśnienia mogą być stosowane w wielu przypadkach. 2. Zasada dostosowania przybliżonego ludzie (czynnik ludzki) w sposób przybliżony w trybie ciągłym dopasowują prowadzone przez siebie czynności do zmieniających się warunków. 3. Zasada działania awaryjnego nie zawsze istnieje możliwość wyjaśnienia specyfiki danego przypadku. 4. Zasada rezonansu funkcjonalnego w niektórych przypadkach, gdy wyjaśnienie na zasadach przyczynowości i skutków jest niemożliwe, można zastosować rezonans funkcjonalny, polegający na tym, że wykryty sygnał o przewidywalnej zmienności pochodzący z niezależnych interakcji wielu sygnałów ze środowiska operacyjnego, może w wyniku złożenia ich zmienności wygenerować sygnał ostrzegawczy.

10 236 Mariusz Krzyżanowski, Jerzy Manerowski, Sylwester Gładyś Istotnym elementem tej metody jest skupienie się na opisie relacji między poszczególnymi funkcjami systemu. Jest to możliwe za pomocą wzajemnych powiązań węzłów, które są opisywane z wykorzystaniem 6 aspektów (rys. 7). Rys. 7. Aspekty węzła w metodzie FRAM [opracowanie własne na podstawie [8] i [10] Przykładowe wykorzystanie metody FRAM do analizy powiązań funkcjonalnych i czynności niezbędnych do koordynacji przelotu statku powietrznego w danym sektorze przedstawiono na rys. 8. Jako narzędzie wspierające proces budowania schematu i modelowania relacji między węzłami wykorzystano aplikację FRAM Model Visualiser. Aplikacja ta pozwala na zasymulowanie ograniczeń systemu, stanów niepewnych podczas normalnej pracy oraz sprawdzenia scenariuszy zdarzeń, które mogą mieć wpływ na bezpieczeństwo operacji lotniczych [6]. Rys. 8. Przykładowy schemat wykorzystania metody FRAM [opracowanie własne]

11 Nowe podejście do zarządzania bezpieczeństwem w lotnictwie cywilnym WNIOSKI W celu zapewnienia wysokiego poziomu bezpieczeństwa operacji lotniczych zarówno podejście klasyczne bazujące na analizie zdarzeń niebezpiecznych i poszukiwaniu ich przyczyn w celu zapobiegania powstania podobnych zdarzeń w przyszłości Safety I, jak również nowe podejście bazujące na szukaniu potwierdzeń odporności systemu na działania niepożądane Safety II jest konieczne do stosowania jako działania komplementarne. Nowe elementy wyróżniające podejście Safety II to: koncentracja na pozytywnych aspektach poprawnej pracy systemu, podejście proaktywne i prognozujące, postrzeganie czynnika ludzkiego, jako zasobu niezbędnego do realizacji funkcji systemu zapewniającego elastyczność i odporność systemu, badanie zdarzeń w oparciu o zrozumienie zasad poprawnej pracy systemu i jego odporności na awarie i błędne działania. Głównym czynnikiem, elementem systemu, który podlega analizie i ocenie tak w pierwszym jak i drugim podejściu jest czynnik ludzki, chociaż założenia do jego oceny są skrajnie różne. Wykazane cechy metody FRAM skłaniają do wniosku, że ta metoda przy odpowiedniej parametryzacji i zbudowaniu modelu opartego o rzeczywiste informacje dotyczące zasad, czynności i wykorzystywanych danych operacyjnych na stanowisku operacyjnym np. kontrolera ruchu lotniczego czy pilota może być wykorzystana na potrzeby modelowania zagadnień związanych z wprowadzaniem podejścia Safety II w zarządzaniu bezpieczeństwem w lotnictwie cywilnym. Przedstawione zagadnienia dotyczące zarządzania bezpieczeństwem mogą być z powodzeniem stosowane nie tylko w lotnictwie cywilnym, ale również na potrzeby innych rodzajów systemów transportowych takich jak SMS w transporcie kolejowym czy transporcie morskim. Bibliografia 1. Eurocontrol, From Safety I to Safety II: A White Paper September Eurocontrol, Explanatory Material on ESARR 4 Requirements - EAM 4/GUI 1, 1 March Eurocontrol, Guidance Material for Harmonisation of Safety Occurrence Severity and Risk Assessment EAM 2/GUI 5, 25 March Eurocontrol, Air Navigation System Safety Assessment Methodology, edition 2.1, 3 October Frost B, Mo J.P.T.: System Hazard Analysis of a Complex Socio-Technical System: The Functional Resonance Analysis Method in Hazard Identification, Royal Melbourne Institute of Technology, Melbourne. 6. Hollnagel E., Hill R.: Instructions for use of the FRAM Model Visualiser (FMV), Hollnagel, E. Safety-I and Safety-II. The past and future of safety management, Ashgate Hollnagel E., Hounsgaard J., Colligan L.: FRAM the Functional Resonance Analysis Method, Centre for Quality, 2014.

12 238 Mariusz Krzyżanowski, Jerzy Manerowski, Sylwester Gładyś 9. Hollnagel E.: Research 2013:09 An Application of the Functional Resonance Analysis Method (FRAM) To Risk Assessment of Organisational Change, Swedish Radiation Safety Authority, Hollnagel, E. FRAM: Functional resonance analysis method, Ashgate Hollnagel E.: Understanding Accidents, or How (Not) to Learn from the Past, University of Southern Denmark, Hollnagel E.: From FRAM (Functional Resonance Accident Model) to FRAM (Functional Resonance Analysis Method), Ecole des Mines de Paris, Hollnagel E.: Capturing an Uncertain Future: The Functional Resonance Accident Model, Ecole des Mines de Paris, IATA Safety Report 2016 issued April ICAO Safety Report 2017 edition. 16. ICAO, Załącznik 19 do Konwencji o międzynarodowym lotnictwie cywilnym, Zarządzanie bezpieczeństwem, Wydanie I, lipiec ICAO, Podręcznik zarządzania bezpieczeństwem (SMM), Doc 9859 AN/474 wydanie III, Załącznik do wytycznych Nr 13 Prezesa Urzędu Lotnictwa Cywilnego z dnia 10 grudnia 2015 roku. 18. Leveson, N. Engineering a safer world: Applying systems thinking to safety, MIT Press Rozporządzenie Wykonawcze Komisji UE 2017/373 z dnia 1 marca 2017 r. ustanawiające wspólne wymogi dotyczące instytucji zapewniających zarządzanie ruchem lotniczym/służby żeglugi powietrznej i inne funkcje sieciowe zarządzania ruchem lotniczym oraz nadzoru nad nimi. 20. Rozporządzenie Parlamentu Europejskiego i Rady UE Nr 376/2014 z dnia 3 kwietnia 2014 r. w sprawie zgłaszania i analizy zdarzeń w lotnictwie cywilnym oraz podejmowanych w związku z nimi działań następczych. 21. Rozporządzenie Wykonawcze Komisji UE Nr 1034/2011 z dnia 17 października 2011 r w sprawie nadzoru nad bezpieczeństwem w zarządzaniu ruchem lotniczym i służbach żeglugi powietrznej. 22. Rozporządzenie Wykonawcze Komisji UE Nr 1035/2011 z dnia 17 października 2011 r. ustanawiające wspólne wymogi dotyczące zapewnienia służb żeglugi powietrznej. 23. Rozporządzenie Ministra Infrastruktury z dnia 5 Października 2004 r., Ocena i ograniczanie ryzyka w systemie zarządzania ruchem lotniczym - Wymagania Eurocontrol w zakresie przepisów bezpieczeństwa ESARR Woods D.D., Dekker S., Cook R.,Johannsen L., Sarter N. Behind human error, Ashgate NEW APPROACH TO SAFETY MANAGEMENT SYSTEM IN CIVIL AVIATION Summary: In this article a new approach to the management of safety in civil aviation has been proposed, referred to as Safety II, that changes the perception of the civil aviation operational systems in particular the role of human factor in the system, with simple example of air traffic control system. The comparison was made of the new approach to the currently used referred to as Safety I and the FRAM method has been proposed as an support in the process of risk assessment in accordance with principles of the Safety II Keywords: Safety Management System in Civil Aviation, SMS, SAFETY II, Risk management