Es ist die Nacht zum 28. März 1979, kurz nach vier Uhr morgens. Im Kontrollraum von Three Mile Island, Block 2, leuchtet eine Anzeige: Druckablassventil geschlossen. Die Anzeige sagt das, weil sie keine Stellung misst. Sie zeigt das Steuersignal an, den Befehl, der dem Ventil gegeben wurde, sich zu schliessen. Was das Ventil tatsächlich tut, weiss niemand im Raum. Es ist offen, seit zwei Minuten und dreizehn Sekunden, und es wird die nächsten zwei Stunden offen bleiben.
In den Stunden, die folgen, werden die Operatoren etwas tun, was die spätere Untersuchung als Hauptursache der Teilkernschmelze identifizieren wird: sie drosseln die Notkühlung. Sie tun es, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie gelehrt hat, genau diese Lage zu vermeiden. Sie handeln rational unter dem, was sie sehen. In den Tagen darauf wird die Presse von «menschlichem Versagen» sprechen.
Genau dieser Reflex (die Diagnose «menschliches Versagen», die einer Szene wie dieser sofort folgt) sitzt hinter den meisten Sicherheitsdialogen, die ich in der Beratungspraxis erlebe. Nicht, weil die Beteiligten unklug handelten. Sondern weil drei Annahmen so tief in unserer Sicherheitstradition verankert sind, dass sie als Selbstverständlichkeiten gelten. Wir lesen sie anders. Was folgt, sind drei Gegenpositionen, eine pro Annahme.
«Menschliches Versagen» ist eine Diagnose, kein Befund
Die Statistik kennt jeder, der in diesem Feld arbeitet: 80 bis 90 Prozent aller Vorfälle gehen auf «menschliches Versagen» zurück. Die Zahl wird seit den 1980er-Jahren in Vorträgen, Audits, Geschäftsleitungs-Reportings zitiert, und sie wirkt: sie macht plausibel, dass die Antwort auf Sicherheitsprobleme bei den Menschen liegen muss. Mehr Training, klarere Standards, schärfere Disziplin. Die Logik ist sauber: wenn das Problem im Cockpit sitzt, muss die Lösung im Cockpit sitzen.
Das Problem mit dieser Logik ist nicht die Statistik. Es ist die Interpretation. Sidney Dekker formuliert es in seinem Field Guide so scharf, dass es weh tut: «Menschliches Versagen» ist nie das Ende einer Untersuchung, es ist der Anfang. Wer Vorfälle damit erklärt, hat aufgehört zu fragen: er hat ein Etikett gefunden und sich zur Ruhe gesetzt. Lokale Rationalität, das Konzept, das Dekker durchgängig schärft, sagt: niemand kommt zur Arbeit mit der Absicht, einen Reaktor zur Kernschmelze zu bringen, einen Patienten zu schädigen, ein Flugzeug zum Absturz zu bringen. Was aus der Vogelperspektive der Untersuchung wie Versagen aussieht, ergab im Moment der Handlung Sinn, gegeben das, was die Person sehen konnte, gegeben den Druck, gegeben das Training.
Diesen Sinn zu rekonstruieren, ist die eigentliche Arbeit.
Hollnagel zieht eine zweite Linie ein. Seine Safety-II-Argumentation lautet, vereinfacht: dasselbe, was wir «Versagen» nennen, ist die Kehrseite einer Anpassungskapazität, ohne die das System keine Stunde funktionieren würde. Menschen schaffen täglich, was Verfahren nicht von selbst leisten: sie interpretieren Kontext, sie improvisieren, wenn die Realität von der Skript-Annahme abweicht (was sie ständig tut), sie füllen Lücken, die Designer und Regelwerke offen gelassen haben. Wer den Menschen als Schwachstelle behandelt, beraubt sich der einzigen Resilienzquelle, die das System tatsächlich hat.
Zurück in den TMI-Kontrollraum, mit dieser Brille gelesen: die Operatoren drosseln die Notkühlung, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie auf genau dieses Risiko hin sensibilisiert hat. Ihre Entscheidung ist im Moment der Handlung die einzige kohärente Interpretation der verfügbaren Daten. Dass wir heute wissen, das Ventil war offen und das System unter-, nicht überfüllt, das ist die Information der Untersuchung, nicht die Information der Operatoren. Diese Asymmetrie zwischen Untersucher und Akteur, «Hindsight Bias» im Vokabular der Forschung, ist nicht ein methodischer Schönheitsfehler. Sie ist die strukturelle Bedingung, unter der jede Vorfalluntersuchung steht. Wer sie nicht reflektiert, sieht in jeder Vergangenheit, was die Beteiligten hätten tun können. Und übersieht, was sie tatsächlich konnten.
In Schulungen frage ich Teilnehmende inzwischen routinemässig: Was ist in eurem Betrieb die häufigste Ursache von Zwischen- und Unfällen? Die Antwort kommt jedes Mal, ohne Ausnahme: menschliches Versagen. Sie kommt schnell, sie kommt selbstverständlich, und sie kommt vor der eigentlichen Arbeit der Schulung. Im Lauf der Stunden danach folgt regelmässig der Moment, an dem den Teilnehmenden etwas auffällt. Und es ist nicht ein neuer Begriff, kein zusätzliches Werkzeug, sondern ein Perspektivwechsel: ihre eigenen Vorfalluntersuchungen sind, wie sie selbst feststellen, genau dort zu Ende gegangen, wo sie hätten beginnen sollen. Was das kostet, ist nicht nur eine schwächere Untersuchung. Es ist die Bereitschaft der Mitarbeitenden, beim nächsten Mal überhaupt etwas zu melden.
Die Frage, die uns näher liegt als «Wie verhindern wir menschliche Fehler?», ist die: Wie unterstützt unser System die Anpassungsarbeit, die Menschen leisten müssen, damit es überhaupt funktioniert?
Menschliches Versagen ist nie eine Erklärung. Es ist eine Diagnose, die mehr über die Diagnostizierenden sagt als über den Vorfall.
Compliance ist Mindeststand, nicht Sicherheit
Die zweite Annahme folgt aus der ersten wie ein Schatten. Wenn der Mensch das Risiko ist, dann sind Vorschriften, Audits und Zertifikate die Kontrollinstrumente. Sicherheit wird zur Frage, ob die richtigen Häkchen gesetzt sind. Geschäftsleitungen lesen Sicherheits-KPIs (Lost-Time-Injury-Rate, Audit-Befunde, Schulungsquoten) und ziehen daraus Schlüsse über den Zustand des Unternehmens. Die Steuerung ist klar, das Reporting ist sauber, die Verantwortung ist verteilt. Es gibt einen Grund, warum dieses Modell so robust überlebt: es ist anschlussfähig an Recht, Versicherung und Konzern-Reporting.
Das Modell hat nur ein Problem: Compliance und Sicherheit fallen regelmässig auseinander. Boeings 737 MAX hatte eine FAA-Zertifizierung, einen Compliance-Status, der nach jedem auditierbaren Massstab grün war. Und ein MCAS-System, dessen Fehlfunktion 346 Menschen das Leben kostete. Der Bristol Heart Scandal in den 1990er-Jahren zeigte ein Spital, dessen interne Sicherheitsindikatoren keine deutlichen Auffälligkeiten zeigten, während die Mortalität in der Kinderherzchirurgie sich auf das Doppelte des britischen Durchschnitts gehoben hatte. In beiden Fällen wurden die Signale gemeldet, von Insidern, denen niemand zuhören wollte, weil das Compliance-Bild sauber war.
Was zwischen den Audits passiert, ist die eigentliche Sicherheitsgeschichte. Diane Vaughan hat in ihrer Studie zur Challenger-Katastrophe einen Begriff dafür geprägt: «Normalization of Deviance». Drift entsteht selten als bewusste Regelverletzung. Sie entsteht, weil das System unter realen Bedingungen schrittweise von der Norm abweicht (eine kleine Toleranz hier, ein zeitlich verkürzter Schritt dort) und weil diese Abweichungen in der Mehrzahl gut gehen. Jede Wiederholung ohne Konsequenz erweitert die Bandbreite des Akzeptablen, ohne dass jemand eine bewusste Entscheidung getroffen hätte. Aus Sicht der Audit-Logik ist diese Drift unsichtbar: am Audit-Tag stimmt das Bild wieder, weil alle wissen, was zu zeigen ist. Aus Sicht der Lernkapazität wäre sie sichtbar, wenn die Organisation die Mechanismen hätte, sie zu sehen.
Was diese Fälle gemeinsam haben, ist nicht ein Compliance-Versagen. Es ist ein Lernversagen. Compliance ist eine Eigenschaft eines Zeitpunkts: sie sagt, dass zum Zeitpunkt X die Regel Y eingehalten war. Sicherheit ist eine Eigenschaft eines Prozesses: sie sagt, dass die Organisation in der Lage ist, schwache Signale aufzugreifen, Annahmen zu revidieren und ihr eigenes Verhalten zu korrigieren, bevor das nächste Audit-Datum die Bühne betritt. Das eine ist ein Ist-Zustand, das andere ist eine Fähigkeit. Eine Organisation kann zu einem beliebigen Zeitpunkt vollständig compliant und gleichzeitig komplett blind für die Drift sein, in der sie sich befindet.
Die operative Frage, die daraus folgt, ist nicht: «Sind wir compliant?» Sie ist: Werden Schwächen sichtbar, ohne bestraft zu werden? Werden Beinahevorfälle behandelt wie Lerngelegenheiten oder wie Reputationsrisiken? Wird das System nach jedem Vorfall klüger oder nur defensiver? Just Culture, im präzisen Sinn von Reason und Dekker, ist die Voraussetzung dafür. Sie ist nicht das Plakat im Pausenraum.
Sie ist die gelebte Antwort darauf, was passiert, wenn man etwas zugibt, das man hätte verschweigen können.
Standardisierung schafft Brittleness, nicht Resilienz
Die dritte Annahme ist die hartnäckigste, weil sie dem Sicherheitsreflex am tiefsten entspricht. Wenn etwas schiefgeht, erhöhen wir den Standardisierungsgrad. Wir schreiben den nächsten Schritt in die SOP, wir engen den Spielraum ein, wir formalisieren, was zuvor Erfahrungssache war. Die zugrunde liegende Annahme ist sauber-mechanisch: Variation ist Defekt, Vereinheitlichung ist Sicherheit. Was sich nicht abweichend verhält, kann nicht falsch laufen.
Die Annahme stimmt für einfache, lineare Systeme. Sie stimmt nicht für die Systeme, mit denen wir es in HRO-nahen Kontexten zu tun haben. Erik Hollnagel benutzt für die Folge des Reflexes ein präzises Wort: Brittleness. Ein überstandardisiertes System verliert die Fähigkeit, sich an Bedingungen anzupassen, die seine Designer nicht antizipiert haben. Es funktioniert exakt so lange, wie die Realität dem Skript folgt. Und die Realität folgt dem Skript nie ganz. In dem Moment, in dem die Abweichung kommt, hat das System keine Reserve, keine Improvisationskapazität, kein Repertoire ausser «weiter wie geplant».
Was die HOP-Bewegung um Todd Conklin und andere seit den 2010er-Jahren immer wieder zeigt, ist banal und folgenschwer zugleich: jede funktionierende Schicht weicht täglich vom Skript ab. Pflegende kombinieren Anordnungen, die formal nicht so vorgesehen sind, weil das Originalverfahren in der konkreten Situation nicht passt. Industrieoperatorinnen und -operatoren legen kleine Workarounds, weil ein Werkzeug fehlt oder ein Schritt unter Zeitdruck eingespart werden muss. Pilotinnen und Piloten interpretieren Checklisten in einer Reihenfolge, die der Lage angemessen ist. Diese Abweichungen sind nicht das Problem. Sie sind die Sicherheit. Sie sind das, wodurch das System überhaupt durch den Tag kommt.
Dahinter steht eine grundlegendere Einsicht der Resilience-Engineering-Tradition: Sicherheit ist nicht die Abwesenheit von Variation, sondern die Fähigkeit, Variation zu absorbieren. David Woods nennt das «graceful extensibility»: die Frage, wie weit ein System gestreckt werden kann, bevor es bricht, und wie es sich verhält, während es gestreckt wird. Überstandardisierung optimiert für den Normalfall und ignoriert genau diese Frage. Sie macht das System effizient unter Idealbedingungen und sprödbruchgefährdet unter realen.
Was Tailoring meint, ist genau das: den Spielraum gestalten statt abschaffen. Leitplanken setzen (die Grenzen, jenseits derer es gefährlich wird) und innerhalb der Leitplanken Anpassbarkeit zulassen, sichtbar machen, lernfähig halten. Das ist anstrengender als ein dichtes Regelwerk, weil es Vertrauen, Gespräch und Kontextwissen voraussetzt. Es ist auch das einzige, was unter Bedingungen funktioniert, in denen Variation nicht abgeschafft werden kann. Pilotinnen oder Piloten, die das Handbuch zur Seite legen, können Heldinnen oder Übeltäter sein. Was sie sind, hängt am System, nicht an ihnen selbst.
Was das für uns heisst
Daraus folgt die Position, aus der wir schreiben: Sicherheit entsteht nicht, wenn Menschen sich an Systeme anpassen, sondern wenn Systeme so gestaltet werden, dass sie sich an Menschen anpassen lassen: kontinuierlich, im Betrieb, nicht im Audit-Raum. Genau dieses Massschneidern (dieses laufende Anpassen unter realen Bedingungen) ist das Handwerk, das wir hier ausarbeiten wollen. Nicht, weil die New-View-Linie modisch wäre. Sie ist seit über zwei Jahrzehnten in der Literatur etabliert. Sondern weil die operative Lücke zwischen ihr und der täglichen Praxis weiterhin gross ist.
Praktisch heisst das: Wir schreiben über Vorfälle, um Bedingungen zu rekonstruieren: die Bedingungen, unter denen vernünftige Menschen vernünftige Entscheidungen trafen, die sich im Nachhinein als folgenreich erwiesen. Methoden behandeln wir als Handwerk, das Übung, Urteilskraft und Kontextwissen voraussetzt. Organisationen lesen wir als lernfähige (oder lern-unfähige) Systeme.
Zurück nach Three Mile Island, kurz nach vier Uhr morgens. Drei Operatoren stehen vor Anzeigen, von denen eine das Steuersignal zeigt statt der Stellung. Sie folgen ihrem Training, sie drosseln die Notkühlung, weil das Verfahren bei vermutetem Überdruck genau das verlangt. Wir können sie als die Schwachstelle des Systems lesen, oder als die letzten Personen, die in dieser Nacht nach den Regeln gehandelt haben, die ihnen gegeben waren. Welche Interpretation wir wählen, entscheidet, was wir das nächste Mal anders bauen.
Was wir an dieser Stelle anders bauen, ist nicht in erster Linie eine Anzeige, die die Stellung statt des Steuersignals zeigt. Es ist die Bereitschaft, die Frage zu ändern: nicht «Wer hat versagt?», sondern «Was hat das, was hier passiert ist, in dem Moment plausibel gemacht?» Diese Frage ist anstrengender. Sie führt nicht zu einer Person, die man sanktionieren kann. Sie führt zu einem System, das man umbauen muss.
Quellen
- Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014
- Erik Hollnagel – Safety-II in Practice, Routledge 2018
- Todd Conklin – Pre-Accident Investigations, Ashgate 2012
- Karl E. Weick & Kathleen M. Sutcliffe – Managing the Unexpected, 3. Aufl., Wiley 2015
- Charles Perrow – Normal Accidents: Living with High-Risk Technologies, Princeton University Press 1999 (zur TMI-Analyse)
- Diane Vaughan – The Challenger Launch Decision: Risky Technology, Culture, and Deviance at NASA, University of Chicago Press 1996