safety & risk solutions Tailoring Safer Systems Das Magazin von safety & risk solutions The magazine of safety & risk solutions

Schlagwort: HRO

  • Drei Annahmen, die wir hinter uns lassen müssen

    Drei Annahmen, die wir hinter uns lassen müssen

    Es ist die Nacht zum 28. März 1979, kurz nach vier Uhr morgens. Im Kontrollraum von Three Mile Island, Block 2, leuchtet eine Anzeige: Druckablassventil geschlossen. Die Anzeige sagt das, weil sie keine Stellung misst. Sie zeigt das Steuersignal an, den Befehl, der dem Ventil gegeben wurde, sich zu schliessen. Was das Ventil tatsächlich tut, weiss niemand im Raum. Es ist offen, seit zwei Minuten und dreizehn Sekunden, und es wird die nächsten zwei Stunden offen bleiben.

    In den Stunden, die folgen, werden die Operatoren etwas tun, was die spätere Untersuchung als Hauptursache der Teilkernschmelze identifizieren wird: sie drosseln die Notkühlung. Sie tun es, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie gelehrt hat, genau diese Lage zu vermeiden. Sie handeln rational unter dem, was sie sehen. In den Tagen darauf wird die Presse von «menschlichem Versagen» sprechen.

    Genau dieser Reflex (die Diagnose «menschliches Versagen», die einer Szene wie dieser sofort folgt) sitzt hinter den meisten Sicherheitsdialogen, die ich in der Beratungspraxis erlebe. Nicht, weil die Beteiligten unklug handelten. Sondern weil drei Annahmen so tief in unserer Sicherheitstradition verankert sind, dass sie als Selbstverständlichkeiten gelten. Wir lesen sie anders. Was folgt, sind drei Gegenpositionen, eine pro Annahme.

    «Menschliches Versagen» ist eine Diagnose, kein Befund

    Die Statistik kennt jeder, der in diesem Feld arbeitet: 80 bis 90 Prozent aller Vorfälle gehen auf «menschliches Versagen» zurück. Die Zahl wird seit den 1980er-Jahren in Vorträgen, Audits, Geschäftsleitungs-Reportings zitiert, und sie wirkt: sie macht plausibel, dass die Antwort auf Sicherheitsprobleme bei den Menschen liegen muss. Mehr Training, klarere Standards, schärfere Disziplin. Die Logik ist sauber: wenn das Problem im Cockpit sitzt, muss die Lösung im Cockpit sitzen.

    Das Problem mit dieser Logik ist nicht die Statistik. Es ist die Interpretation. Sidney Dekker formuliert es in seinem Field Guide so scharf, dass es weh tut: «Menschliches Versagen» ist nie das Ende einer Untersuchung, es ist der Anfang. Wer Vorfälle damit erklärt, hat aufgehört zu fragen: er hat ein Etikett gefunden und sich zur Ruhe gesetzt. Lokale Rationalität, das Konzept, das Dekker durchgängig schärft, sagt: niemand kommt zur Arbeit mit der Absicht, einen Reaktor zur Kernschmelze zu bringen, einen Patienten zu schädigen, ein Flugzeug zum Absturz zu bringen. Was aus der Vogelperspektive der Untersuchung wie Versagen aussieht, ergab im Moment der Handlung Sinn, gegeben das, was die Person sehen konnte, gegeben den Druck, gegeben das Training.

    Diesen Sinn zu rekonstruieren, ist die eigentliche Arbeit.

    Hollnagel zieht eine zweite Linie ein. Seine Safety-II-Argumentation lautet, vereinfacht: dasselbe, was wir «Versagen» nennen, ist die Kehrseite einer Anpassungskapazität, ohne die das System keine Stunde funktionieren würde. Menschen schaffen täglich, was Verfahren nicht von selbst leisten: sie interpretieren Kontext, sie improvisieren, wenn die Realität von der Skript-Annahme abweicht (was sie ständig tut), sie füllen Lücken, die Designer und Regelwerke offen gelassen haben. Wer den Menschen als Schwachstelle behandelt, beraubt sich der einzigen Resilienzquelle, die das System tatsächlich hat.

    Zurück in den TMI-Kontrollraum, mit dieser Brille gelesen: die Operatoren drosseln die Notkühlung, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie auf genau dieses Risiko hin sensibilisiert hat. Ihre Entscheidung ist im Moment der Handlung die einzige kohärente Interpretation der verfügbaren Daten. Dass wir heute wissen, das Ventil war offen und das System unter-, nicht überfüllt, das ist die Information der Untersuchung, nicht die Information der Operatoren. Diese Asymmetrie zwischen Untersucher und Akteur, «Hindsight Bias» im Vokabular der Forschung, ist nicht ein methodischer Schönheitsfehler. Sie ist die strukturelle Bedingung, unter der jede Vorfalluntersuchung steht. Wer sie nicht reflektiert, sieht in jeder Vergangenheit, was die Beteiligten hätten tun können. Und übersieht, was sie tatsächlich konnten.

    In Schulungen frage ich Teilnehmende inzwischen routinemässig: Was ist in eurem Betrieb die häufigste Ursache von Zwischen- und Unfällen? Die Antwort kommt jedes Mal, ohne Ausnahme: menschliches Versagen. Sie kommt schnell, sie kommt selbstverständlich, und sie kommt vor der eigentlichen Arbeit der Schulung. Im Lauf der Stunden danach folgt regelmässig der Moment, an dem den Teilnehmenden etwas auffällt. Und es ist nicht ein neuer Begriff, kein zusätzliches Werkzeug, sondern ein Perspektivwechsel: ihre eigenen Vorfalluntersuchungen sind, wie sie selbst feststellen, genau dort zu Ende gegangen, wo sie hätten beginnen sollen. Was das kostet, ist nicht nur eine schwächere Untersuchung. Es ist die Bereitschaft der Mitarbeitenden, beim nächsten Mal überhaupt etwas zu melden.

    Die Frage, die uns näher liegt als «Wie verhindern wir menschliche Fehler?», ist die: Wie unterstützt unser System die Anpassungsarbeit, die Menschen leisten müssen, damit es überhaupt funktioniert?

    Menschliches Versagen ist nie eine Erklärung. Es ist eine Diagnose, die mehr über die Diagnostizierenden sagt als über den Vorfall.

    Compliance ist Mindeststand, nicht Sicherheit

    Die zweite Annahme folgt aus der ersten wie ein Schatten. Wenn der Mensch das Risiko ist, dann sind Vorschriften, Audits und Zertifikate die Kontrollinstrumente. Sicherheit wird zur Frage, ob die richtigen Häkchen gesetzt sind. Geschäftsleitungen lesen Sicherheits-KPIs (Lost-Time-Injury-Rate, Audit-Befunde, Schulungsquoten) und ziehen daraus Schlüsse über den Zustand des Unternehmens. Die Steuerung ist klar, das Reporting ist sauber, die Verantwortung ist verteilt. Es gibt einen Grund, warum dieses Modell so robust überlebt: es ist anschlussfähig an Recht, Versicherung und Konzern-Reporting.

    Das Modell hat nur ein Problem: Compliance und Sicherheit fallen regelmässig auseinander. Boeings 737 MAX hatte eine FAA-Zertifizierung, einen Compliance-Status, der nach jedem auditierbaren Massstab grün war. Und ein MCAS-System, dessen Fehlfunktion 346 Menschen das Leben kostete. Der Bristol Heart Scandal in den 1990er-Jahren zeigte ein Spital, dessen interne Sicherheitsindikatoren keine deutlichen Auffälligkeiten zeigten, während die Mortalität in der Kinderherzchirurgie sich auf das Doppelte des britischen Durchschnitts gehoben hatte. In beiden Fällen wurden die Signale gemeldet, von Insidern, denen niemand zuhören wollte, weil das Compliance-Bild sauber war.

    Was zwischen den Audits passiert, ist die eigentliche Sicherheitsgeschichte. Diane Vaughan hat in ihrer Studie zur Challenger-Katastrophe einen Begriff dafür geprägt: «Normalization of Deviance». Drift entsteht selten als bewusste Regelverletzung. Sie entsteht, weil das System unter realen Bedingungen schrittweise von der Norm abweicht (eine kleine Toleranz hier, ein zeitlich verkürzter Schritt dort) und weil diese Abweichungen in der Mehrzahl gut gehen. Jede Wiederholung ohne Konsequenz erweitert die Bandbreite des Akzeptablen, ohne dass jemand eine bewusste Entscheidung getroffen hätte. Aus Sicht der Audit-Logik ist diese Drift unsichtbar: am Audit-Tag stimmt das Bild wieder, weil alle wissen, was zu zeigen ist. Aus Sicht der Lernkapazität wäre sie sichtbar, wenn die Organisation die Mechanismen hätte, sie zu sehen.

    Was diese Fälle gemeinsam haben, ist nicht ein Compliance-Versagen. Es ist ein Lernversagen. Compliance ist eine Eigenschaft eines Zeitpunkts: sie sagt, dass zum Zeitpunkt X die Regel Y eingehalten war. Sicherheit ist eine Eigenschaft eines Prozesses: sie sagt, dass die Organisation in der Lage ist, schwache Signale aufzugreifen, Annahmen zu revidieren und ihr eigenes Verhalten zu korrigieren, bevor das nächste Audit-Datum die Bühne betritt. Das eine ist ein Ist-Zustand, das andere ist eine Fähigkeit. Eine Organisation kann zu einem beliebigen Zeitpunkt vollständig compliant und gleichzeitig komplett blind für die Drift sein, in der sie sich befindet.

    Die operative Frage, die daraus folgt, ist nicht: «Sind wir compliant?» Sie ist: Werden Schwächen sichtbar, ohne bestraft zu werden? Werden Beinahevorfälle behandelt wie Lerngelegenheiten oder wie Reputationsrisiken? Wird das System nach jedem Vorfall klüger oder nur defensiver? Just Culture, im präzisen Sinn von Reason und Dekker, ist die Voraussetzung dafür. Sie ist nicht das Plakat im Pausenraum.

    Sie ist die gelebte Antwort darauf, was passiert, wenn man etwas zugibt, das man hätte verschweigen können.

    Standardisierung schafft Brittleness, nicht Resilienz

    Die dritte Annahme ist die hartnäckigste, weil sie dem Sicherheitsreflex am tiefsten entspricht. Wenn etwas schiefgeht, erhöhen wir den Standardisierungsgrad. Wir schreiben den nächsten Schritt in die SOP, wir engen den Spielraum ein, wir formalisieren, was zuvor Erfahrungssache war. Die zugrunde liegende Annahme ist sauber-mechanisch: Variation ist Defekt, Vereinheitlichung ist Sicherheit. Was sich nicht abweichend verhält, kann nicht falsch laufen.

    Die Annahme stimmt für einfache, lineare Systeme. Sie stimmt nicht für die Systeme, mit denen wir es in HRO-nahen Kontexten zu tun haben. Erik Hollnagel benutzt für die Folge des Reflexes ein präzises Wort: Brittleness. Ein überstandardisiertes System verliert die Fähigkeit, sich an Bedingungen anzupassen, die seine Designer nicht antizipiert haben. Es funktioniert exakt so lange, wie die Realität dem Skript folgt. Und die Realität folgt dem Skript nie ganz. In dem Moment, in dem die Abweichung kommt, hat das System keine Reserve, keine Improvisationskapazität, kein Repertoire ausser «weiter wie geplant».

    Was die HOP-Bewegung um Todd Conklin und andere seit den 2010er-Jahren immer wieder zeigt, ist banal und folgenschwer zugleich: jede funktionierende Schicht weicht täglich vom Skript ab. Pflegende kombinieren Anordnungen, die formal nicht so vorgesehen sind, weil das Originalverfahren in der konkreten Situation nicht passt. Industrieoperatorinnen und -operatoren legen kleine Workarounds, weil ein Werkzeug fehlt oder ein Schritt unter Zeitdruck eingespart werden muss. Pilotinnen und Piloten interpretieren Checklisten in einer Reihenfolge, die der Lage angemessen ist. Diese Abweichungen sind nicht das Problem. Sie sind die Sicherheit. Sie sind das, wodurch das System überhaupt durch den Tag kommt.

    Dahinter steht eine grundlegendere Einsicht der Resilience-Engineering-Tradition: Sicherheit ist nicht die Abwesenheit von Variation, sondern die Fähigkeit, Variation zu absorbieren. David Woods nennt das «graceful extensibility»: die Frage, wie weit ein System gestreckt werden kann, bevor es bricht, und wie es sich verhält, während es gestreckt wird. Überstandardisierung optimiert für den Normalfall und ignoriert genau diese Frage. Sie macht das System effizient unter Idealbedingungen und sprödbruchgefährdet unter realen.

    Was Tailoring meint, ist genau das: den Spielraum gestalten statt abschaffen. Leitplanken setzen (die Grenzen, jenseits derer es gefährlich wird) und innerhalb der Leitplanken Anpassbarkeit zulassen, sichtbar machen, lernfähig halten. Das ist anstrengender als ein dichtes Regelwerk, weil es Vertrauen, Gespräch und Kontextwissen voraussetzt. Es ist auch das einzige, was unter Bedingungen funktioniert, in denen Variation nicht abgeschafft werden kann. Pilotinnen oder Piloten, die das Handbuch zur Seite legen, können Heldinnen oder Übeltäter sein. Was sie sind, hängt am System, nicht an ihnen selbst.

    Was das für uns heisst

    Daraus folgt die Position, aus der wir schreiben: Sicherheit entsteht nicht, wenn Menschen sich an Systeme anpassen, sondern wenn Systeme so gestaltet werden, dass sie sich an Menschen anpassen lassen: kontinuierlich, im Betrieb, nicht im Audit-Raum. Genau dieses Massschneidern (dieses laufende Anpassen unter realen Bedingungen) ist das Handwerk, das wir hier ausarbeiten wollen. Nicht, weil die New-View-Linie modisch wäre. Sie ist seit über zwei Jahrzehnten in der Literatur etabliert. Sondern weil die operative Lücke zwischen ihr und der täglichen Praxis weiterhin gross ist.

    Praktisch heisst das: Wir schreiben über Vorfälle, um Bedingungen zu rekonstruieren: die Bedingungen, unter denen vernünftige Menschen vernünftige Entscheidungen trafen, die sich im Nachhinein als folgenreich erwiesen. Methoden behandeln wir als Handwerk, das Übung, Urteilskraft und Kontextwissen voraussetzt. Organisationen lesen wir als lernfähige (oder lern-unfähige) Systeme.

    Zurück nach Three Mile Island, kurz nach vier Uhr morgens. Drei Operatoren stehen vor Anzeigen, von denen eine das Steuersignal zeigt statt der Stellung. Sie folgen ihrem Training, sie drosseln die Notkühlung, weil das Verfahren bei vermutetem Überdruck genau das verlangt. Wir können sie als die Schwachstelle des Systems lesen, oder als die letzten Personen, die in dieser Nacht nach den Regeln gehandelt haben, die ihnen gegeben waren. Welche Interpretation wir wählen, entscheidet, was wir das nächste Mal anders bauen.

    Was wir an dieser Stelle anders bauen, ist nicht in erster Linie eine Anzeige, die die Stellung statt des Steuersignals zeigt. Es ist die Bereitschaft, die Frage zu ändern: nicht «Wer hat versagt?», sondern «Was hat das, was hier passiert ist, in dem Moment plausibel gemacht?» Diese Frage ist anstrengender. Sie führt nicht zu einer Person, die man sanktionieren kann. Sie führt zu einem System, das man umbauen muss.

    Quellen

    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014
    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • Karl E. Weick & Kathleen M. Sutcliffe – Managing the Unexpected, 3. Aufl., Wiley 2015
    • Charles Perrow – Normal Accidents: Living with High-Risk Technologies, Princeton University Press 1999 (zur TMI-Analyse)
    • Diane Vaughan – The Challenger Launch Decision: Risky Technology, Culture, and Deviance at NASA, University of Chicago Press 1996
  • Wie unser mentales Bild uns in Lebensgefahr bringen kann

    Wie unser mentales Bild uns in Lebensgefahr bringen kann

    Seit nunmehr beinahe 20 Jahren leiste ich als Freiwilliger aktiven Feuerwehrdienst. In diesen knapp zwei Jahrzehnten erlebte ich in zahllosen Einsätzen viel Erfreuliches aber auch immer wieder Belastendes. Ich habe in diesen zwanzig Jahren parallel zum Feuerwehrdienst meine gesamte berufliche Entwicklung bis zum heutigen Tage gemacht. Dabei habe ich mich intensiv mit Themen wie Sicherheit, menschlichen Faktoren (‘Human Factors’), Organisationskultur und -struktur, Resilienz, usw. auseinandergesetzt und diese Themen zu meinem Beruf gemacht. So hat sich in dieser Zeit auch meine Betrachtung von Mensch und Organisation stetig weiterentwickelt. Dies auch im Zusammenhang mit der Institution Feuerwehr.

    In der Vergangenheit ist mir immer wieder aufgefallen, dass automatische Alarme im Zusammenhang mit Brandmeldeanlagen (BMA) als ‘Fehlalarme’ bezeichnet wurden. Angehörige der Feuerwehr (AdF) zottelten gemächlich ins Feuerwehrlokal, es ist ja «nur eine BMA», beim Umziehen im Feuerwehrlokal sagt der Kollege «das ist sowieso nur ein Fehlalarm», die Anfahrt eilt nicht, denn es ist ja «nur eine BMA», die Beispiele sind zahlreich.

    In diesem Artikel möchte ich mich der Thematik mentales Bild, Situationsbewusstsein (‘situational awareness’) und Bestätigungstäuschung (‘confirmation bias’) am Beispiel ‘BMA-Alarme’ widmen. Ich zeige die Gefahr eines falschen mentalen Bildes auf und präsentiere erste Lösungsansätze.

    Ein paar statistische Werte zum Einstieg

    Wie gross ist der Anteil der automatischen Alarme im Zusammenhang mit Brandmeldeanlagen? Dazu habe die Einsatzstatistik der Feuerwehr Koordination Schweiz (FKS) konsultiert[1]. Die Statistik für die Jahre 2010-2020 weist einen durchschnittlichen Anteil von 23.8% mit einer Schwankung von 21.6% bis 26.1% aus. Dies entspricht meiner lokalen Auswertung für die Jahre 2018-2020. Diese Werte schienen sich jedoch nicht mit meiner persönlichen Empfindung zu decken. Darum habe ich auch «meine» Alarme der Jahre 2018-2020 ausgewertet. Von insgesamt 159 Alarmierungen, welche ich erhalten habe, handelte es sich bei 57 um BMA-Alarme, was also einen Wert von 36% ergibt[2]. So oder so zeigen die Zahlen, dass BMA-Alarme einen dominanten Bestandteil des Feuerwehralltags darstellen. Je nach Struktur des Einsatzgebiets können diese Werte natürlich schwanken.

    Weiter kann gesagt werden, dass es sich in der Tat bei meistens um Einsätze handelt, bei welchen rasche Entwarnung gegeben werden kann. Einerseits handelt es sich oft um technische Störungen der BMA, andererseits erfüllen die Anlagen ihren Zweck sehr zuverlässig und alarmieren frühzeitig, wobei es sich in der Regel um kleine Ereignisse, wie z.B. ein angebrannter Toast im Personalraum, ein überhitzter Wasserboiler, ein Kleinbrand in einem Elektroverteilschrank, usw. handelt. Allerdings erleben wir auch immer wieder, dass sich hinter BMA-Alarmen Ereignisse verbergen, welche für uns Feuerwehrleute durchaus gefährlich werden können.

    Unser mentales Bild und unser Situationsbewusstsein

    Aber warum so ein Aufheben um eine Kleinigkeit? Weil es sich dabei um eine gefährliche Kleinigkeit handelt, aufgrund derer es zu Unfällen, im schlimmsten Fall mit Todesfolge, kommen kann. In zahlreichen Untersuchungsberichten zu Unfällen aus allen Bereichen ist zu lesen, dass die Ursache in einem fehlenden oder mangelnden Situationsbewusstsein (‘lack of situational awareness’) zu finden sei[3]. Das heisst also, dass Indikatoren für den bevorstehenden Unfall grundsätzlich vorhanden waren, sie aber durch die Akteure nicht entdeckt oder nicht als solche wahrgenommen wurden. Leider enden hier die meisten Untersuchungen, ohne die wirklich relevante Frage nach dem Warum? zu stellen.

    Wie wir an einen Einsatz herangehen, prägt unser Situationsbewusstsein während des Einsatzes. Aus der Fahrt zum Einsatzort «malen» wir unser mentales Bild des bevorstehenden Einsatzes. Ist dieses mentale Bild gemalt, werden wir bewusst und unbewusst nach Hinweisen suchen, die unser Bild bestätigen. Gehen wir also mit dem mentalen Bild ‘Fehlalarm’ in den Einsatz, so werden wir unbewusst nach Anzeichen suchen, die einen Fehlalarm bestätigen und viel wichtiger noch, wir werden Anzeichen unbewusst ausblenden, die nicht unserem mentalen Bild entsprechen. Diesem Bestätigungsfehler (‘confirmation bias’) können wir uns kaum entziehen. Tritt aus einem Gebäude bereits dichter, schwarzer Rauch, ist dies weniger problematisch, da wir die offensichtliche Gefahr unmittelbar wahrnehmen. Doch sind bei einem Feuerwehreinsatz viele Gefahren nicht offensichtlich, sondern verbergen sich beispielsweise hinter Türen oder sind als Gas nicht sicht- oder riechbar. Blenden wir diese Anzeichen unbewusst aus, begeben wir uns mit einem falschen Situationsbewusstsein möglicherweise in Lebensgefahr.

    Die Rolle der Organisation

    Mit welchem mentalen Bild eine Person in einen Feuerwehreinsatz geht, bestimmt sie nicht ausschliesslich selbst. Wir alle werden durch die Organisationskultur, d.h. wie wir als Kollektiv mit solchen Situationen umgehen, geprägt. Dieser Umgang äussert sich zum Beispiel in bestehenden Prozessen, der in der Kommunikation (intern und extern) verwendeten Sprache, dem Führungsverhalten der Vorgesetzten und dem Verhalten der Kollegen und Kolleginnen. Bekennt sich die Organisation zu einer starken Sicherheitskultur und gewichtet sie kulturelle Aspekte ausreichend?

    Mit gutem Beispiel gehen hochzuverlässige Organisationen[4] (‘High Reliability Organizations – HRO’) voran. Diese Organisationen sind sich dieser verdeckten Gefahren in ihrem System sehr bewusst und gehen sie aktiv an. Hochzuverlässige Organisationen agieren nach den fünf folgenden Grundsätzen:

    Die fünf HRO-Prinzipien:

    1. Sich mit Scheitern auseinandersetzen
    2. Abneigung gegen vereinfachende Interpretationen
    3. Sensibilität für betriebliche Abläufe
    4. Streben nach Flexibilität
    5. Respekt vor fachlichem Wissen und Können

    Nehmen wir nun das Beispiel ‘Fehlalarm’, verstösst dieses vor allem gegen den 2. Grundsatz ‘Abneigung gegen vereinfachende Interpretationen’. Das mentale Bild, das durch diese vereinfachende Interpretation entsteht, entspricht nicht zwangsläufig der Realität und kann sich im schlimmsten Fall als tödlich erweisen.

    Wie kann eine Feuerwehr-Organisation dieses Risiko reduzieren, respektive minimieren?

    Erste, unmittelbare Massnahmen können sein:

    • Ein klar festgelegtes und beschriebenes Vorgehen bei (BMA-)Alarmen
    • Spezifische Sensibilisierung der Feuerwehrleute in Bezug auf die Thematik ‘Fehlalarme’
    • Sprachregelung für interne und externe Kommunikation
    • Feuerwehrleute bei der Verwendung des Begriffs ‘Fehlalarm’ konsequent auf die Sprachregelung und deren Hintergrund hinweisen.

    Hierbei handelt es sich nur um erste, punktuelle Massnahmen. Wie oben erwähnt, spielt die Organisationskultur, welche mit diesen Massnahmen natürlich noch nicht ausreichend verändert wird, eine wichtige Rolle. Um die Sicherheit nachhaltig zu verbessern, müssen die Themen ‘hochzuverlässige Organisation’ und ‘Sicherheitskultur’ umfassend angepackt werden.

    Fazit

    Das mentale Bild, mit dem wir tagtäglich in den Einsatz gehen, beeinflusst unser Situationsbewusstsein und somit unser Handeln im Einsatz massgeblich und kann im – glücklicherweise seltenen – Extremfall über Leben und Tod entscheiden. Das mentale Bild ist aber nicht ausschliesslich Sache jedes einzelnen Feuerwehrmanns oder jeder einzelnen Feuerwehrfrau, sondern wird massgeblich durch das Umfeld und die Organisationskultur geprägt. Hier kann und muss die Organisation ihre richtungsweisende Rolle übernehmen, um die Sicherheit ihrer Mitglieder nachhaltig zu verbessern. Einen möglichen Ansatz bietet hier das Modell der ‘hochzuverlässigen Organisationen’.

     

    _____________________________________________________________________________________

    [1] https://www.swissfire.ch/fileadmin/swissfire/Der%20SFV/Statistik_FKS_2020_D.pdf
    Die FKS weist hier die Kategorie «BMA und Falschalarme» aus.

    [2] Wir Feuerwehrleute sind in meinem Fall in verschiedene Einsatzgruppen mit zum Teil unterschiedlichen Aufgaben eingeteilt, wobei eine Person auch in mehreren Gruppen sein kann. Je nach Gruppe unterscheidet sich die Art der Einsätze und somit auch deren Anzahl.

    [3] Hier möchte ich unbedingt anmerken, dass das Situationsbewusstsein meiner Meinung nach nicht die Ursache für einen Unfall darstellt, sondern es sich dabei vielmehr um ein Symptom handelt. Untersuchungen, welche bei «mangelndem Situationsbewusstsein» als Ursache die Untersuchung abschliessen, sind oftmals wenig hilfreich. Denn sie ermöglichen, dass die Schuld für den Unfall auf ein Individuum geschoben werden kann, ohne das Gesamtsystem, und auch die kulturellen Aspekte im System, zu hinterfragen. Die wirklichen Ursachen liegen in der Regel tiefer im System verborgen.

    [4] Der Thematik «hochzuverlässige Organisationen» habe ich einen Blog-Beitrag gewidmet: https://tailoringsafersystems.ch/blog/2020/02/12/high-reliability-organizations/.

     

     

  • Die Eigenschaften hochzuverlässiger Organisationen

    Die Eigenschaften hochzuverlässiger Organisationen

    Unternehmen sind heute mit einer immerzu ansteigenden Komplexität konfrontiert. Einerseits handelt es sich bei Unternehmen selbst um komplexe, sozio-technische Systeme, und andererseits sind sie in ein komplexes Umfeld mit zahlreichen bekannten und unbekannten Wirkungsfaktoren eingebettet. Wie kann eine Organisation mit diesen stetig steigenden Anforderungen erfolgreich mithalten?

    In diesem Artikel widme ich mich hochzuverlässigen Organisationen – oder auf englisch High Reliability Organizations (HRO) – und der damit verbundenen High Reliability Theory (HRT). Die Idee der High Reliability Organization kommt ursprünglich aus dem Bereich von Organisationen, welche erfolgreich in hoch-riskanten Bereichen tätig sind. Beispiele dafür sind Flugsicherungen, Kernkraftwerke, Flugzeugträger, Hochspannungsnetz-Betreiber und ähnliche Tätigkeitsfelder. Doch bin ich der Überzeugung, dass sich die Erkenntnisse aus den HROs und die damit verbundenen Handlungsprinzipien auf jede Organisation übertragen lassen und diese – wie die klassischen HROs – erfolgreicher machen können.

    Die Entstehung der High-Reliability-Theory

    1984 veröffentlichte der Soziologe Charles Perrow sein Buch “Normal Accidents: Living with High-Risk Technologies”, in welchem er mittels einer Analyse zum Reaktorunfall im Kernkraftwerk Three Miles Island in den USA im Jahr 1979 seine Normal Accident Theory (NAT) erläutert. Seine Argumentation war, dass es in komplexen, engverbundenen1 Systemen früher oder später zu einem katastrophalen Unfall kommen müsse, und es darum unverantwortlich sei, solche Systeme – eben zum Beispiel Kernkraftwerke – zu betreiben. Diese Theorie erscheint zwar einleuchtend, doch birgt sie ein Problem: Sie ist nicht falsifizierbar. Denn – so auch mehrfach Perrows Reaktion auf Kritik an der NAT – auch wenn es noch nie zu einem Unfall gekommen ist, sei es nur eine Frage der Zeit, bis dieser geschehe. Wer kann eine in die Zukunft gerichtete Aussage widerlegt werden?

    Die NAT hat in der Sicherheitsforschung durchaus zurecht eine hohe Aufmerksamkeit erhalten und wurde schon tausende Male zitiert. Doch stellte sich die Frage, warum es trotzdem Organisationen gibt, welche komplexe, engverbundene Systeme erfolgreich quasi ohne Zwischenfälle betreiben können. Diese Frage hat die Berkley Wissenschaftler Gene I. Rochlin, Todd R. La Porte und Karlene H. Roberts dazu angetrieben, solche Organisationen genauer zu studieren und 1987 als Antwort auf die NAT einen Artikel zu High Reliability Organizations zu publizieren. Mittels Best Practice Ansatz wurde untersucht, warum es zum Beispiel beim Betrieb auf einem Flugzeugträger, wo Flugzeuge sich mit hohen Geschwindigkeiten auf engstem Raum und in Gegenwart diverser Gefahrenstoffe wie Kerosin und Waffen bewegen, (noch) nicht zu einer Katastrophe gekommen ist.

    Auch die High Reliability Theory (HRT) stiess auf grossen Anklang. In der Folge gab es zahlreiche Publikationen und auch heute wird noch über diese Theorie publiziert. Natürlich blieb auch Perrows Antwort nicht aus. Während die Berkley Scholars die HRT nicht als Konkurrenz, sondern als Ergänzung zur NAT sahen, war Perrow mit dieser Beurteilung alles andere als einverstanden und widersprach direkt. 1987 und danach wurden zahlreiche Studien in verschiedenen Bereichen wie Kernkraftwerken, auf Flugzeugträgern (in Friedenszeiten), bei der Stromversorgung, bei der Flugsicherung, etc. durchgeführt, welche zur Weiterentwicklung der HRT beigetragen haben. 2001 haben Karl E. Weick und Kathleen M. Sutcliffe die erste Ausgabe von «Managing the Unexpected» («Das Unerwartete managen» in der deutschen Ausgabe) die Erkenntnisse auf die fünf HRO-Prinzipien heruntergebrochen, welche im Anschluss in aller Kürze erläutert werden sollen. «Managing the Unexpected» ist 2007 in der zweiten und 2015 in der dritten Ausgabe erschienen.

    Die fünf HRO-Prinzipien

    Die ersten drei der fünf HRO-Prinzipien sind vor allem aus einer Präventionsperspektive zu verstehen. Der Fokus liegt auf dem Verhindern von schweren Zwischenfällen und Unfällen.

    Preoccupation with failure – Sich mit Scheitern auseinandersetzen: Sich mit möglichem Scheitern auseinandersetzen heisst, sich Gedanken dazu zu machen, was schiefgehen könnte und nach schwachen Signalen im System Ausschau zu halten. Dies sind Aktivitäten, die gut durch ein effektives Risikomanagement übernommen werden können, aber auch fest im Berufsalltag aller Mitarbeitenden verankert sein sollten. Bei der Analyse von Risiken ist es in der Folge wichtig zu verstehen, was passieren könnte. Noch wichtiger ist es allerding der Frage, warum etwas passieren könnte, auf den Grund zu gehen.

    Reluctance to simplify – Abneigung gegen vereinfachende Interpretationen: Wir haben die Neigung, etwas so zu betrachten, dass es in unser persönliches Weltbild passt. Dies gilt sowohl für Individuen wie auch für ganze Organisationen. Mit der Abneigung gegen vereinfachende Interpretationen wird das bestehend Weltbild hinterfragt und Situationen werden aus verschiedenen Blickwinkeln betrachtet.

    Sensitivity to operations – Sensibilität für betriebliche Abläufe: In einer HRO geben betriebliche Abläufe den Takt der Organisation vor. Die Organisation hat ein hohes Bewusstsein für Details und identifiziert bereits schwache Signale. Die Qualität von Beziehungen ist stark ausgeprägt. Es herrscht eine Vertrauenskultur, welche es den Mitarbeitenden ermöglicht, offen über Unregelmässigkeiten und Sorgen im Zusammenhang mit betrieblichen Abläufen zu sprechen.

    Doch einer HRO ist auch bewusst, dass trotz aller Bemühungen Fehler nicht restlos vermieden werden können. Die letzten beiden der fünf HRO-Prinzipen richten sich vor allem auf die Bewältigung von Fehlern, damit diese nicht zu einer Krise entwickeln.

    Commitment to resilience – Streben nach Flexibilität: Auch in HROs passieren Fehler. HROs versuchen nicht, fehlerfrei zu werden, doch über Fähigkeit zu verfügen, sich rasch von Fehlern zu erholen, ohne dass sich eine Krise entwickelt oder – sollte es dennoch zu einer Krise kommen – rasch aus dieser Krise herauszufinden.

    Deference to expertise – Respekt vor fachlichem Wissen und Können2: Befindet sich eine HRO in einer kritischen Situation oder gar einer Krise, werden die Entscheidungen zur Bewältigung dieser Situation «an der Front» von den entsprechenden Fachexperten und nicht zwangsläufig durch das Management getroffen. Bildlich gesprochen dreht sich Hierarchie-Pyramide auf den Kopf. Ist die Krise bewältigt, normalisiert dich auch die Hierarchie-Pyramide wieder.

    Warum zu einer High Reliability Organization werden?

    Die fünf HRO-Prinzipien unterstützen ein Unternehmen zu einer aufmerksamen («mindful») Organisation zu werden, die in der Lage ist, den Fokus auf betriebliche Abläufe zu setzen, schwache Signale zu detektieren, aus Unregelmässigkeiten zu lernen und potenziell gefährliche Situationen zu bewältigen, bevor diese zu einer ausgewachsenen Krise werden. Der Nutzen, welcher sich daraus ergibt, ist vielfältig. So können beispielsweise Verluste im Zusammenhang mit einer Krise – sei dies ein Produktionsstillstand oder auch ein weitreichender Skandal – vermieden oder beschränkt werden, oder durch die Optimierung von betrieblichen Abläufen kann ein signifikanter Wettbewerbsvorteil erzielt werden. Wird ein Unternehmen auch von aussen als eine HRO wahrgenommen, kann dies die öffentliche Wahrnehmung positiv beeinflussen und auch im Kampf um Talente eine entscheidende Rolle spielen.

    Abschliessend kann gesagt werden, dass das Konzept der High Reliability Organization nicht nur Unternehmen in Hochrisiko-Bereichen sondern grundsätzlich alle Unternehmen dabei unterstützt, sich in ihrem zunehmend komplexen Umfeld erfolgreich zu behaupten und sich von der Konkurrenz abzuheben.

    ——————————————————————————————————————————————————

    1 Unter dem Begriff «engverbundene Systeme» (oder Systemen mit einem «tight coupling») sind Systeme zu verstehen, in welchen starre Abläufe vorhanden sind, die nicht unterbrochen werden können und präzise ausgeführt werden müssen.

    2 Aus meiner Erfahrung kann ich sagen, dass dieses fünfte Prinzip auch Gefahren birgt. So wird häufig missverstanden, dass dieses Prinzip in der Krise zur Anwendung kommt und nicht im Normalbetrieb. «Deference to expertise» heisst explizit nicht, dass alle Entscheidungen in einer HRO durch die betrieblichen Experten getroffen werden müssen.