safety & risk solutions Tailoring Safer Systems Das Magazin von safety & risk solutions The magazine of safety & risk solutions

Schlagwort: Beratungspraxis

  • Wenn du nur ein Buch über menschliche Fehler liest – Sidney Dekkers Field Guide

    Wenn du nur ein Buch über menschliche Fehler liest – Sidney Dekkers Field Guide

    Sidney Dekkers Field Guide to Understanding Human Error steht in Reichweite meines Schreibtischs, dritte Auflage 2014. Es ist nicht das Buch, das ich am häufigsten zitiere, aber das, zu dem ich am häufigsten zurückkomme. Bei jedem Wiederlesen fällt mir auf, was an ihm so merkwürdig ist: geschrieben als Anleitung (Untertitel, klares Inhaltsverzeichnis, einfache Sprache) und im Kern doch ein systematischer Angriff auf die gewohnte Art, Vorfälle zu lesen.

    Dekkers Kernoperation lässt sich in einem Satz fassen: er verschiebt die Urteilsposition – weg von oben und mit Ausgangswissen, hin zur Sicht derer, die im Moment der Handlung standen. Old View, in seinem Vokabular, fragt von aussen: wer hat falsch gehandelt, wer hat versagt, wer hat den Standard nicht eingehalten? New View fragt von innen: was war für die handelnde Person in dem Moment sichtbar, plausibel, vernünftig, gegeben das, was sie sah, wusste, kombinieren konnte? Der Wechsel ist nicht ein Werkzeugtausch. Er ist ein Wechsel der Position, von der aus überhaupt geurteilt wird.

    Lokale Rationalität. Warum «lokal» das entscheidende Adjektiv ist und nicht «rational» allein: rational würden alle Akteurinnen und Akteure sein, jede Untersuchung schliesst das ohnehin stillschweigend ein. Das Wort «lokal» zeichnet etwas anderes ein: die Bindung an einen konkreten Horizont. Lokal heisst: das, was die Person in dem Moment sehen, wissen, kombinieren konnte, mit den Anzeigen vor Augen, dem Druck im Nacken, dem Training im Hinterkopf. Dekkers Standardbewegung im Field Guide ist, jede «falsche» Entscheidung erst aus diesem lokalen Horizont zu rekonstruieren. Und das Buch zeigt diese Rekonstruktion handwerklich, anhand konkreter Vorfälle, oft mit transkribierten Funkprotokollen oder Zeugenaussagen. Wenig Theorie, viel Werkstatt. Im hinteren Teil des Buchs findet sich ein strukturierter Frage-Apparat, der bei jeder Untersuchung zur Rekonstruktion der lokalen Rationalität helfen soll: was hatte die Person vor sich, was nicht, welche Anzeigen sprachen welche Sprache, welche kennt sie aus dem Training, welche Ressourcen waren in dem Moment verfügbar. Das macht aus einem theoretischen Konzept eine handhabbare Untersuchungsdisziplin.

    Sharp End / Blunt End. Das Begriffspaar stammt von James Reason, Dekker arbeitet konsistent damit. Sharp End ist, wer im Vorfall stand: die Pflegende am Bett, der Operator an der Konsole, die Pilotin im Cockpit. Blunt End ist, was die Bedingungen geschaffen hat, unter denen das Sharp End arbeitet: Design-Entscheidungen, Regelwerke, Ressourcen-Allokationen, Trade-Offs zwischen Sicherheit und Tempo. Dekkers Pointe ist nicht, dass das Sharp End unschuldig wäre. Sie ist, dass die meisten Sharp-End-Handlungen Antworten auf Blunt-End-Bedingungen sind. Wer nur am Sharp End sucht, sieht die Hand am Hebel. Und übersieht den Druck, der die Hand dorthin gebracht hat. Damit auch die einzige Stelle, an der eine Korrektur überhaupt anfassbar wäre.

    «Causes don’t exist, you construct them.» Dekkers schärfste Provokation und am häufigsten missverstandene These. Sie heisst nicht: alles ist gleich, alles ist relativ. Sie heisst: was wir am Ende einer Untersuchung als «die Ursache» identifizieren, ist immer eine Auswahl aus vielen beitragenden Bedingungen. Und die Auswahl sagt etwas über die analytische Brille, durch die wir schauen. Welcher Faktor zur «Ursache» wird und welcher zum «Kontext» bleibt, ist eine Entscheidung der Untersuchung. Eine bewusste oft, eine unbewusste meistens. Dekkers Einladung ist nicht zur Beliebigkeit. Sie ist zur Selbstreflexion: Was tun wir, wenn wir eine Ursache identifizieren? Welche Wahl treffen wir, ohne sie als Wahl zu markieren?

    Causes don’t exist, you construct them.
    – Sidney Dekker

    Was ich heute anders lese

    Was das Buch geprägt hat, lässt sich nach Jahren Praxis ziemlich genau benennen: bessere Untersuchungen, mehr Kontextinterview vor Schuldfrage, weniger Reflex zur «Mitarbeitersensibilisierung» als Empfehlung. Dekker hat das Vokabular mitgeliefert, mit dem ich heute Aufträge ablehne, in denen die Antwort schon vorgeschrieben ist. Die Einschränkung, die mir beim Wiederlesen jedes Mal stärker auffällt: das Buch ist exzellent in der Diagnose, wie man Vorfälle anders liest, wie man Untersuchungen offener führt, wie man Lesereflexe der Old View dekonstruiert. Es ist deutlich weniger explizit in der operativen Umbaufrage: wie man eine Organisation tatsächlich anders baut, sodass die New-View-Lesart nicht nur in Untersuchungen, sondern im täglichen Betrieb stattfindet. Wer nach dem Field Guide den nächsten Schritt sucht, landet typischerweise bei Conklin (HOP, Pre-Accident Investigations, Operating Principles), operativer, näher am Werkstattboden. Dekker und Conklin gemeinsam ergeben das Set: erst die Brille, dann das Werkzeug.

    Für wen sich das Buch lohnt

    Pflichtlektüre für alle, die Vorfälle untersuchen oder mitverantworten: Sicherheitsbeauftragte, Auditierende, Linienführungen in HRO-nahen Branchen, Untersuchungskommissionen aller Art. Speziell für die, die merken, dass ihre Untersuchungen zu schnell zu Ende waren, ohne genau benennen zu können, woran das lag. Das Buch gibt der Beobachtung das Vokabular. Wenn du nur ein Buch über menschliche Fehler liest, dann dieses, nicht weil es die meisten Antworten gibt, sondern weil es die Art ändert, wie du Fragen stellst.

    Quellen

    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014 (Hauptquelle)
    • Sidney Dekker – Drift into Failure, CRC Press 2011
    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • James Reason – Managing the Risks of Organizational Accidents, Ashgate 1997 (für Sharp End / Blunt End)
  • Drei Annahmen, die wir hinter uns lassen müssen

    Drei Annahmen, die wir hinter uns lassen müssen

    Es ist die Nacht zum 28. März 1979, kurz nach vier Uhr morgens. Im Kontrollraum von Three Mile Island, Block 2, leuchtet eine Anzeige: Druckablassventil geschlossen. Die Anzeige sagt das, weil sie keine Stellung misst. Sie zeigt das Steuersignal an, den Befehl, der dem Ventil gegeben wurde, sich zu schliessen. Was das Ventil tatsächlich tut, weiss niemand im Raum. Es ist offen, seit zwei Minuten und dreizehn Sekunden, und es wird die nächsten zwei Stunden offen bleiben.

    In den Stunden, die folgen, werden die Operatoren etwas tun, was die spätere Untersuchung als Hauptursache der Teilkernschmelze identifizieren wird: sie drosseln die Notkühlung. Sie tun es, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie gelehrt hat, genau diese Lage zu vermeiden. Sie handeln rational unter dem, was sie sehen. In den Tagen darauf wird die Presse von «menschlichem Versagen» sprechen.

    Genau dieser Reflex (die Diagnose «menschliches Versagen», die einer Szene wie dieser sofort folgt) sitzt hinter den meisten Sicherheitsdialogen, die ich in der Beratungspraxis erlebe. Nicht, weil die Beteiligten unklug handelten. Sondern weil drei Annahmen so tief in unserer Sicherheitstradition verankert sind, dass sie als Selbstverständlichkeiten gelten. Wir lesen sie anders. Was folgt, sind drei Gegenpositionen, eine pro Annahme.

    «Menschliches Versagen» ist eine Diagnose, kein Befund

    Die Statistik kennt jeder, der in diesem Feld arbeitet: 80 bis 90 Prozent aller Vorfälle gehen auf «menschliches Versagen» zurück. Die Zahl wird seit den 1980er-Jahren in Vorträgen, Audits, Geschäftsleitungs-Reportings zitiert, und sie wirkt: sie macht plausibel, dass die Antwort auf Sicherheitsprobleme bei den Menschen liegen muss. Mehr Training, klarere Standards, schärfere Disziplin. Die Logik ist sauber: wenn das Problem im Cockpit sitzt, muss die Lösung im Cockpit sitzen.

    Das Problem mit dieser Logik ist nicht die Statistik. Es ist die Interpretation. Sidney Dekker formuliert es in seinem Field Guide so scharf, dass es weh tut: «Menschliches Versagen» ist nie das Ende einer Untersuchung, es ist der Anfang. Wer Vorfälle damit erklärt, hat aufgehört zu fragen: er hat ein Etikett gefunden und sich zur Ruhe gesetzt. Lokale Rationalität, das Konzept, das Dekker durchgängig schärft, sagt: niemand kommt zur Arbeit mit der Absicht, einen Reaktor zur Kernschmelze zu bringen, einen Patienten zu schädigen, ein Flugzeug zum Absturz zu bringen. Was aus der Vogelperspektive der Untersuchung wie Versagen aussieht, ergab im Moment der Handlung Sinn, gegeben das, was die Person sehen konnte, gegeben den Druck, gegeben das Training.

    Diesen Sinn zu rekonstruieren, ist die eigentliche Arbeit.

    Hollnagel zieht eine zweite Linie ein. Seine Safety-II-Argumentation lautet, vereinfacht: dasselbe, was wir «Versagen» nennen, ist die Kehrseite einer Anpassungskapazität, ohne die das System keine Stunde funktionieren würde. Menschen schaffen täglich, was Verfahren nicht von selbst leisten: sie interpretieren Kontext, sie improvisieren, wenn die Realität von der Skript-Annahme abweicht (was sie ständig tut), sie füllen Lücken, die Designer und Regelwerke offen gelassen haben. Wer den Menschen als Schwachstelle behandelt, beraubt sich der einzigen Resilienzquelle, die das System tatsächlich hat.

    Zurück in den TMI-Kontrollraum, mit dieser Brille gelesen: die Operatoren drosseln die Notkühlung, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie auf genau dieses Risiko hin sensibilisiert hat. Ihre Entscheidung ist im Moment der Handlung die einzige kohärente Interpretation der verfügbaren Daten. Dass wir heute wissen, das Ventil war offen und das System unter-, nicht überfüllt, das ist die Information der Untersuchung, nicht die Information der Operatoren. Diese Asymmetrie zwischen Untersucher und Akteur, «Hindsight Bias» im Vokabular der Forschung, ist nicht ein methodischer Schönheitsfehler. Sie ist die strukturelle Bedingung, unter der jede Vorfalluntersuchung steht. Wer sie nicht reflektiert, sieht in jeder Vergangenheit, was die Beteiligten hätten tun können. Und übersieht, was sie tatsächlich konnten.

    In Schulungen frage ich Teilnehmende inzwischen routinemässig: Was ist in eurem Betrieb die häufigste Ursache von Zwischen- und Unfällen? Die Antwort kommt jedes Mal, ohne Ausnahme: menschliches Versagen. Sie kommt schnell, sie kommt selbstverständlich, und sie kommt vor der eigentlichen Arbeit der Schulung. Im Lauf der Stunden danach folgt regelmässig der Moment, an dem den Teilnehmenden etwas auffällt. Und es ist nicht ein neuer Begriff, kein zusätzliches Werkzeug, sondern ein Perspektivwechsel: ihre eigenen Vorfalluntersuchungen sind, wie sie selbst feststellen, genau dort zu Ende gegangen, wo sie hätten beginnen sollen. Was das kostet, ist nicht nur eine schwächere Untersuchung. Es ist die Bereitschaft der Mitarbeitenden, beim nächsten Mal überhaupt etwas zu melden.

    Die Frage, die uns näher liegt als «Wie verhindern wir menschliche Fehler?», ist die: Wie unterstützt unser System die Anpassungsarbeit, die Menschen leisten müssen, damit es überhaupt funktioniert?

    Menschliches Versagen ist nie eine Erklärung. Es ist eine Diagnose, die mehr über die Diagnostizierenden sagt als über den Vorfall.

    Compliance ist Mindeststand, nicht Sicherheit

    Die zweite Annahme folgt aus der ersten wie ein Schatten. Wenn der Mensch das Risiko ist, dann sind Vorschriften, Audits und Zertifikate die Kontrollinstrumente. Sicherheit wird zur Frage, ob die richtigen Häkchen gesetzt sind. Geschäftsleitungen lesen Sicherheits-KPIs (Lost-Time-Injury-Rate, Audit-Befunde, Schulungsquoten) und ziehen daraus Schlüsse über den Zustand des Unternehmens. Die Steuerung ist klar, das Reporting ist sauber, die Verantwortung ist verteilt. Es gibt einen Grund, warum dieses Modell so robust überlebt: es ist anschlussfähig an Recht, Versicherung und Konzern-Reporting.

    Das Modell hat nur ein Problem: Compliance und Sicherheit fallen regelmässig auseinander. Boeings 737 MAX hatte eine FAA-Zertifizierung, einen Compliance-Status, der nach jedem auditierbaren Massstab grün war. Und ein MCAS-System, dessen Fehlfunktion 346 Menschen das Leben kostete. Der Bristol Heart Scandal in den 1990er-Jahren zeigte ein Spital, dessen interne Sicherheitsindikatoren keine deutlichen Auffälligkeiten zeigten, während die Mortalität in der Kinderherzchirurgie sich auf das Doppelte des britischen Durchschnitts gehoben hatte. In beiden Fällen wurden die Signale gemeldet, von Insidern, denen niemand zuhören wollte, weil das Compliance-Bild sauber war.

    Was zwischen den Audits passiert, ist die eigentliche Sicherheitsgeschichte. Diane Vaughan hat in ihrer Studie zur Challenger-Katastrophe einen Begriff dafür geprägt: «Normalization of Deviance». Drift entsteht selten als bewusste Regelverletzung. Sie entsteht, weil das System unter realen Bedingungen schrittweise von der Norm abweicht (eine kleine Toleranz hier, ein zeitlich verkürzter Schritt dort) und weil diese Abweichungen in der Mehrzahl gut gehen. Jede Wiederholung ohne Konsequenz erweitert die Bandbreite des Akzeptablen, ohne dass jemand eine bewusste Entscheidung getroffen hätte. Aus Sicht der Audit-Logik ist diese Drift unsichtbar: am Audit-Tag stimmt das Bild wieder, weil alle wissen, was zu zeigen ist. Aus Sicht der Lernkapazität wäre sie sichtbar, wenn die Organisation die Mechanismen hätte, sie zu sehen.

    Was diese Fälle gemeinsam haben, ist nicht ein Compliance-Versagen. Es ist ein Lernversagen. Compliance ist eine Eigenschaft eines Zeitpunkts: sie sagt, dass zum Zeitpunkt X die Regel Y eingehalten war. Sicherheit ist eine Eigenschaft eines Prozesses: sie sagt, dass die Organisation in der Lage ist, schwache Signale aufzugreifen, Annahmen zu revidieren und ihr eigenes Verhalten zu korrigieren, bevor das nächste Audit-Datum die Bühne betritt. Das eine ist ein Ist-Zustand, das andere ist eine Fähigkeit. Eine Organisation kann zu einem beliebigen Zeitpunkt vollständig compliant und gleichzeitig komplett blind für die Drift sein, in der sie sich befindet.

    Die operative Frage, die daraus folgt, ist nicht: «Sind wir compliant?» Sie ist: Werden Schwächen sichtbar, ohne bestraft zu werden? Werden Beinahevorfälle behandelt wie Lerngelegenheiten oder wie Reputationsrisiken? Wird das System nach jedem Vorfall klüger oder nur defensiver? Just Culture, im präzisen Sinn von Reason und Dekker, ist die Voraussetzung dafür. Sie ist nicht das Plakat im Pausenraum.

    Sie ist die gelebte Antwort darauf, was passiert, wenn man etwas zugibt, das man hätte verschweigen können.

    Standardisierung schafft Brittleness, nicht Resilienz

    Die dritte Annahme ist die hartnäckigste, weil sie dem Sicherheitsreflex am tiefsten entspricht. Wenn etwas schiefgeht, erhöhen wir den Standardisierungsgrad. Wir schreiben den nächsten Schritt in die SOP, wir engen den Spielraum ein, wir formalisieren, was zuvor Erfahrungssache war. Die zugrunde liegende Annahme ist sauber-mechanisch: Variation ist Defekt, Vereinheitlichung ist Sicherheit. Was sich nicht abweichend verhält, kann nicht falsch laufen.

    Die Annahme stimmt für einfache, lineare Systeme. Sie stimmt nicht für die Systeme, mit denen wir es in HRO-nahen Kontexten zu tun haben. Erik Hollnagel benutzt für die Folge des Reflexes ein präzises Wort: Brittleness. Ein überstandardisiertes System verliert die Fähigkeit, sich an Bedingungen anzupassen, die seine Designer nicht antizipiert haben. Es funktioniert exakt so lange, wie die Realität dem Skript folgt. Und die Realität folgt dem Skript nie ganz. In dem Moment, in dem die Abweichung kommt, hat das System keine Reserve, keine Improvisationskapazität, kein Repertoire ausser «weiter wie geplant».

    Was die HOP-Bewegung um Todd Conklin und andere seit den 2010er-Jahren immer wieder zeigt, ist banal und folgenschwer zugleich: jede funktionierende Schicht weicht täglich vom Skript ab. Pflegende kombinieren Anordnungen, die formal nicht so vorgesehen sind, weil das Originalverfahren in der konkreten Situation nicht passt. Industrieoperatorinnen und -operatoren legen kleine Workarounds, weil ein Werkzeug fehlt oder ein Schritt unter Zeitdruck eingespart werden muss. Pilotinnen und Piloten interpretieren Checklisten in einer Reihenfolge, die der Lage angemessen ist. Diese Abweichungen sind nicht das Problem. Sie sind die Sicherheit. Sie sind das, wodurch das System überhaupt durch den Tag kommt.

    Dahinter steht eine grundlegendere Einsicht der Resilience-Engineering-Tradition: Sicherheit ist nicht die Abwesenheit von Variation, sondern die Fähigkeit, Variation zu absorbieren. David Woods nennt das «graceful extensibility»: die Frage, wie weit ein System gestreckt werden kann, bevor es bricht, und wie es sich verhält, während es gestreckt wird. Überstandardisierung optimiert für den Normalfall und ignoriert genau diese Frage. Sie macht das System effizient unter Idealbedingungen und sprödbruchgefährdet unter realen.

    Was Tailoring meint, ist genau das: den Spielraum gestalten statt abschaffen. Leitplanken setzen (die Grenzen, jenseits derer es gefährlich wird) und innerhalb der Leitplanken Anpassbarkeit zulassen, sichtbar machen, lernfähig halten. Das ist anstrengender als ein dichtes Regelwerk, weil es Vertrauen, Gespräch und Kontextwissen voraussetzt. Es ist auch das einzige, was unter Bedingungen funktioniert, in denen Variation nicht abgeschafft werden kann. Pilotinnen oder Piloten, die das Handbuch zur Seite legen, können Heldinnen oder Übeltäter sein. Was sie sind, hängt am System, nicht an ihnen selbst.

    Was das für uns heisst

    Daraus folgt die Position, aus der wir schreiben: Sicherheit entsteht nicht, wenn Menschen sich an Systeme anpassen, sondern wenn Systeme so gestaltet werden, dass sie sich an Menschen anpassen lassen: kontinuierlich, im Betrieb, nicht im Audit-Raum. Genau dieses Massschneidern (dieses laufende Anpassen unter realen Bedingungen) ist das Handwerk, das wir hier ausarbeiten wollen. Nicht, weil die New-View-Linie modisch wäre. Sie ist seit über zwei Jahrzehnten in der Literatur etabliert. Sondern weil die operative Lücke zwischen ihr und der täglichen Praxis weiterhin gross ist.

    Praktisch heisst das: Wir schreiben über Vorfälle, um Bedingungen zu rekonstruieren: die Bedingungen, unter denen vernünftige Menschen vernünftige Entscheidungen trafen, die sich im Nachhinein als folgenreich erwiesen. Methoden behandeln wir als Handwerk, das Übung, Urteilskraft und Kontextwissen voraussetzt. Organisationen lesen wir als lernfähige (oder lern-unfähige) Systeme.

    Zurück nach Three Mile Island, kurz nach vier Uhr morgens. Drei Operatoren stehen vor Anzeigen, von denen eine das Steuersignal zeigt statt der Stellung. Sie folgen ihrem Training, sie drosseln die Notkühlung, weil das Verfahren bei vermutetem Überdruck genau das verlangt. Wir können sie als die Schwachstelle des Systems lesen, oder als die letzten Personen, die in dieser Nacht nach den Regeln gehandelt haben, die ihnen gegeben waren. Welche Interpretation wir wählen, entscheidet, was wir das nächste Mal anders bauen.

    Was wir an dieser Stelle anders bauen, ist nicht in erster Linie eine Anzeige, die die Stellung statt des Steuersignals zeigt. Es ist die Bereitschaft, die Frage zu ändern: nicht «Wer hat versagt?», sondern «Was hat das, was hier passiert ist, in dem Moment plausibel gemacht?» Diese Frage ist anstrengender. Sie führt nicht zu einer Person, die man sanktionieren kann. Sie führt zu einem System, das man umbauen muss.

    Quellen

    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014
    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • Karl E. Weick & Kathleen M. Sutcliffe – Managing the Unexpected, 3. Aufl., Wiley 2015
    • Charles Perrow – Normal Accidents: Living with High-Risk Technologies, Princeton University Press 1999 (zur TMI-Analyse)
    • Diane Vaughan – The Challenger Launch Decision: Risky Technology, Culture, and Deviance at NASA, University of Chicago Press 1996