safety & risk solutions Tailoring Safer Systems Das Magazin von safety & risk solutions The magazine of safety & risk solutions

Schlagwort: New View

  • Wenn du nur ein Buch über menschliche Fehler liest – Sidney Dekkers Field Guide

    Wenn du nur ein Buch über menschliche Fehler liest – Sidney Dekkers Field Guide

    Sidney Dekkers Field Guide to Understanding Human Error steht in Reichweite meines Schreibtischs, dritte Auflage 2014. Es ist nicht das Buch, das ich am häufigsten zitiere, aber das, zu dem ich am häufigsten zurückkomme. Bei jedem Wiederlesen fällt mir auf, was an ihm so merkwürdig ist: geschrieben als Anleitung (Untertitel, klares Inhaltsverzeichnis, einfache Sprache) und im Kern doch ein systematischer Angriff auf die gewohnte Art, Vorfälle zu lesen.

    Dekkers Kernoperation lässt sich in einem Satz fassen: er verschiebt die Urteilsposition – weg von oben und mit Ausgangswissen, hin zur Sicht derer, die im Moment der Handlung standen. Old View, in seinem Vokabular, fragt von aussen: wer hat falsch gehandelt, wer hat versagt, wer hat den Standard nicht eingehalten? New View fragt von innen: was war für die handelnde Person in dem Moment sichtbar, plausibel, vernünftig, gegeben das, was sie sah, wusste, kombinieren konnte? Der Wechsel ist nicht ein Werkzeugtausch. Er ist ein Wechsel der Position, von der aus überhaupt geurteilt wird.

    Lokale Rationalität. Warum «lokal» das entscheidende Adjektiv ist und nicht «rational» allein: rational würden alle Akteurinnen und Akteure sein, jede Untersuchung schliesst das ohnehin stillschweigend ein. Das Wort «lokal» zeichnet etwas anderes ein: die Bindung an einen konkreten Horizont. Lokal heisst: das, was die Person in dem Moment sehen, wissen, kombinieren konnte, mit den Anzeigen vor Augen, dem Druck im Nacken, dem Training im Hinterkopf. Dekkers Standardbewegung im Field Guide ist, jede «falsche» Entscheidung erst aus diesem lokalen Horizont zu rekonstruieren. Und das Buch zeigt diese Rekonstruktion handwerklich, anhand konkreter Vorfälle, oft mit transkribierten Funkprotokollen oder Zeugenaussagen. Wenig Theorie, viel Werkstatt. Im hinteren Teil des Buchs findet sich ein strukturierter Frage-Apparat, der bei jeder Untersuchung zur Rekonstruktion der lokalen Rationalität helfen soll: was hatte die Person vor sich, was nicht, welche Anzeigen sprachen welche Sprache, welche kennt sie aus dem Training, welche Ressourcen waren in dem Moment verfügbar. Das macht aus einem theoretischen Konzept eine handhabbare Untersuchungsdisziplin.

    Sharp End / Blunt End. Das Begriffspaar stammt von James Reason, Dekker arbeitet konsistent damit. Sharp End ist, wer im Vorfall stand: die Pflegende am Bett, der Operator an der Konsole, die Pilotin im Cockpit. Blunt End ist, was die Bedingungen geschaffen hat, unter denen das Sharp End arbeitet: Design-Entscheidungen, Regelwerke, Ressourcen-Allokationen, Trade-Offs zwischen Sicherheit und Tempo. Dekkers Pointe ist nicht, dass das Sharp End unschuldig wäre. Sie ist, dass die meisten Sharp-End-Handlungen Antworten auf Blunt-End-Bedingungen sind. Wer nur am Sharp End sucht, sieht die Hand am Hebel. Und übersieht den Druck, der die Hand dorthin gebracht hat. Damit auch die einzige Stelle, an der eine Korrektur überhaupt anfassbar wäre.

    «Causes don’t exist, you construct them.» Dekkers schärfste Provokation und am häufigsten missverstandene These. Sie heisst nicht: alles ist gleich, alles ist relativ. Sie heisst: was wir am Ende einer Untersuchung als «die Ursache» identifizieren, ist immer eine Auswahl aus vielen beitragenden Bedingungen. Und die Auswahl sagt etwas über die analytische Brille, durch die wir schauen. Welcher Faktor zur «Ursache» wird und welcher zum «Kontext» bleibt, ist eine Entscheidung der Untersuchung. Eine bewusste oft, eine unbewusste meistens. Dekkers Einladung ist nicht zur Beliebigkeit. Sie ist zur Selbstreflexion: Was tun wir, wenn wir eine Ursache identifizieren? Welche Wahl treffen wir, ohne sie als Wahl zu markieren?

    Causes don’t exist, you construct them.
    – Sidney Dekker

    Was ich heute anders lese

    Was das Buch geprägt hat, lässt sich nach Jahren Praxis ziemlich genau benennen: bessere Untersuchungen, mehr Kontextinterview vor Schuldfrage, weniger Reflex zur «Mitarbeitersensibilisierung» als Empfehlung. Dekker hat das Vokabular mitgeliefert, mit dem ich heute Aufträge ablehne, in denen die Antwort schon vorgeschrieben ist. Die Einschränkung, die mir beim Wiederlesen jedes Mal stärker auffällt: das Buch ist exzellent in der Diagnose, wie man Vorfälle anders liest, wie man Untersuchungen offener führt, wie man Lesereflexe der Old View dekonstruiert. Es ist deutlich weniger explizit in der operativen Umbaufrage: wie man eine Organisation tatsächlich anders baut, sodass die New-View-Lesart nicht nur in Untersuchungen, sondern im täglichen Betrieb stattfindet. Wer nach dem Field Guide den nächsten Schritt sucht, landet typischerweise bei Conklin (HOP, Pre-Accident Investigations, Operating Principles), operativer, näher am Werkstattboden. Dekker und Conklin gemeinsam ergeben das Set: erst die Brille, dann das Werkzeug.

    Für wen sich das Buch lohnt

    Pflichtlektüre für alle, die Vorfälle untersuchen oder mitverantworten: Sicherheitsbeauftragte, Auditierende, Linienführungen in HRO-nahen Branchen, Untersuchungskommissionen aller Art. Speziell für die, die merken, dass ihre Untersuchungen zu schnell zu Ende waren, ohne genau benennen zu können, woran das lag. Das Buch gibt der Beobachtung das Vokabular. Wenn du nur ein Buch über menschliche Fehler liest, dann dieses, nicht weil es die meisten Antworten gibt, sondern weil es die Art ändert, wie du Fragen stellst.

    Quellen

    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014 (Hauptquelle)
    • Sidney Dekker – Drift into Failure, CRC Press 2011
    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • James Reason – Managing the Risks of Organizational Accidents, Ashgate 1997 (für Sharp End / Blunt End)
  • Der Mensch ist nicht die Schwachstelle

    Der Mensch ist nicht die Schwachstelle

    15. Januar 2009. US Airways Flug 1549 hebt um 15:25 Uhr von LaGuardia ab, Richtung Charlotte. Knapp anderthalb Minuten später, in 2’800 Fuss über Manhattan, fliegt der Airbus A320 in einen Schwarm Kanadagänse. Beide Triebwerke verlieren Schub, fast simultan. Was Captain Chesley «Sully» Sullenberger und First Officer Jeffrey Skiles in den nächsten drei Minuten tun, steht in keinem Manual. Es gibt keine Checkliste für «dual engine flameout at 2’800 feet over Manhattan». Die Engine-Restart-Procedure, an der sie sich der Form halber abarbeiten, ist für Höhen über 20’000 Fuss konzipiert. Sie passt schon im ersten Schritt nicht. Sully entscheidet, die Maschine nicht zum Flughafen Teterboro zurückzubringen, wie der Tower vorschlägt (er sieht in zwanzig Sekunden, dass das nicht reicht), sondern auf den Hudson zu setzen. Eine Entscheidung, die kein Verfahren vorsieht, weil kein Verfahren sie vorsehen kann. Alle 155 Menschen an Bord überleben.

    In der späteren NTSB-Aufarbeitung wird errechnet, dass das Flugzeug Teterboro hätte erreichen können, wenn die Crew sofort gewendet hätte, ohne den Engine-Restart zu versuchen, ohne die Sekunden zu verbrauchen, in denen ein Mensch das Unmögliche zu beurteilen versucht. «Hätte erreichen können», unter Bedingungen, die im Cockpit niemand kannte: Crew im Simulator, vorbereitet auf das Szenario, mit Triebwerksdaten, die real keiner haben konnte. Sully selbst hat dazu in der Anhörung gesagt: It was not realistic. Er hatte recht.

    Das ist die Geschichte, die zum Klassiker wurde. Sie wird in Trainings gezeigt, in Talks zitiert, auf LinkedIn geteilt. Was an ihr selten gesagt wird, ist die Stelle, an der sie unbequem wird, die Stelle, an der das Lob für den Captain und die Sicherheitslogik unserer Branche auseinanderfallen müssten.

    Was Sully an diesem Tag rettete, war nicht das Verfahren. Es war die Bereitschaft, das Verfahren zur Seite zu legen, sobald klar wurde, dass es nicht passt. Es war die Erfahrung, in Sekunden eine Maschine in Beziehung zu Geographie zu setzen, die er aus Tausenden Flugstunden kannte. Es war ein Cockpit, in dem zwei Menschen schnell und ohne hierarchische Reibung kommunizieren konnten. Und es war eine Organisation, die in den Jahren davor genug Vertrauen aufgebaut hatte, dass ein Captain die Verantwortung für eine Wasserlandung übernahm. Und nachträglich nicht dafür gerügt wurde, dass er vom Skript abwich.

    In der dominanten Sicherheitslogik unserer Zeit ist genau dieser Moment eine Anomalie. «Menschliches Versagen» ist die Standarderklärung für die meisten Vorfälle. Was nennen wir das, was Sully tat, in derselben Sprache?

    Die übliche Diagnose

    Die übliche Diagnose nach einem Vorfall geht vorhersehbar. Sie läuft in zwei Stufen: erst «menschliches Versagen», dann «mehr Standardisierung». Wer hätte es besser machen sollen, was hätte er tun müssen, welches Verfahren wurde nicht eingehalten? Das Vokabular ist eingespielt, die Schlussfolgerung steht meist vor der Untersuchung: präziseres Manual, schärfere Schulung, stärkere Compliance.

    Was diese Logik nicht greift, ist die Asymmetrie zwischen dem, was als «Versagen» zählt, und dem, was als «Erfolg» registriert wird. Sully gilt heute als Held. In dem Moment, in dem er die Restart-Checkliste verlässt, hätte ihn jede formal getriebene Untersuchung als «procedural deviation under pressure» lesen müssen. Hätte das Flugzeug den Hudson nicht erreicht, wäre Sully heute ein Beispiel für «inadequate procedural compliance». Die Geschichte hängt am Ergebnis, nicht am Tun.

    Genau hier wird Erik Hollnagels Punkt aus Safety-II in Practice operativ: dasselbe Verhalten, das wir nach einem Vorfall als Versagen klassifizieren, ist die Bedingung dafür, dass das System die meisten Tage durch den Tag kommt. Menschen passen Verfahren laufend an die Realität an, in der die Verfahren nicht passen. Wenn es gut geht, redet niemand davon. Wenn es schief geht, wird die Anpassung zum Symptom, das es zu verhindern gilt.

    Das ist nicht ein methodischer Schönheitsfehler von Vorfalluntersuchungen. Es ist die strukturelle Grundlage einer Sicherheitslogik, die mit dem Begriff «menschliches Versagen» nicht beschreibt, was passiert ist, sondern was nicht hätte passieren sollen. Eine Diagnose, die immer schon weiss, wo das Problem liegt (beim Menschen), und entsprechend nichts mehr lernt.

    Es wäre zu einfach, dieses Lese-Muster als blossen Erkenntnisrückstand zu verbuchen. Die Old View überlebt nicht, weil ihre Vertreterinnen und Vertreter zu wenig gelesen hätten. Sie überlebt, weil sie eine Reihe institutioneller Bedürfnisse sehr effizient bedient. Sie liefert klare Zurechnung: eine Person, eine Schuld, ein abgeschlossener Fall. Sie passt zur Versicherungs- und Haftungslogik, die nach individueller Verantwortung fragt. Sie ist im Geschäftsleitungs-Reporting ohne Übersetzungsverlust darstellbar: Mitarbeiter X hat Verfahren Y nicht eingehalten, Schulung Z ist die Antwort. Sie minimiert vor allem die Notwendigkeit, das System selbst (und damit die Entscheidungen derjenigen, die es gestaltet haben) in Frage zu stellen. Gegen all das anzuargumentieren, ist nicht in erster Linie eine Frage des besseren Wissens. Es ist eine Frage, wer die Kosten der Verschiebung trägt.

    Die heimliche Wahrheit

    Wenn wir ehrlich auf einen durchschnittlichen Arbeitstag in einer Hochrisikoorganisation schauen, sehen wir nicht, was im Handbuch steht. Wir sehen Tausende kleine Anpassungen, von denen die meisten nie aufgeschrieben werden. Und ohne die das System nicht überleben würde.

    Eine Pflegende kombiniert Anordnungen, weil das Originalverfahren in der konkreten Konstellation nicht passt. Ein Industrieoperator nimmt einen Schritt vorweg, weil das Werkzeug, das im Verfahren genannt ist, gerade unterwegs zur Wartung ist. Ein Pilot folgt der Checkliste in einer Reihenfolge, die der Lage angemessener ist als die im Handbuch vorgegebene. Ein Feuerwehrmann setzt das Strahlrohr zwei Meter näher an, als die Standardformation vorschreiben würde, weil er die Geometrie des Brandes anders liest.

    Was Hollnagel das efficiency-thoroughness trade-off nennt (die ständige Abwägung zwischen Aufwand und Vollständigkeit, die unter realen Bedingungen nicht wegtrainiert werden kann), ist keine Ausnahme. Es ist die Form, in der Arbeit verrichtet wird. Steven Shorrock spricht in seinen Beiträgen auf humanisticsystems.com deshalb von adjustments als der eigentlichen Sicherheitssubstanz: der ständige, unsichtbare Strom kleiner Korrekturen, durch den Verfahren mit Realität verbunden bleiben.

    Diese Anpassungen gehen nirgendwo in die Statistik ein. Sie tauchen nicht in den Sicherheits-KPIs auf. Sie sind nicht Teil der Compliance-Reports. Sie passieren, weil sie passieren müssen. Und weil keiner darüber redet, weiss niemand, wie viele es täglich sind und worauf sie sich stützen. Die Organisation ist auf eine Resilienz angewiesen, deren Existenz sie offiziell nicht anerkennt.

    Genau das, was die Sicherheitslogik verlangt (strikte Verfahrenstreue), ist das, was Sicherheit unter realen Bedingungen unterminiert.

    Was Old-View-Denken kostet

    Solange die offizielle Logik den Menschen als Schwachstelle adressiert, hat diese unsichtbare Anpassungsarbeit einen impliziten Status: sie ist toleriert, solange nichts passiert, und wird sanktioniert, sobald etwas passiert. Das hat zwei Folgen, die zusammen das Lernsystem der Organisation aushöhlen.

    Erstens lernen Mitarbeitende (schnell und in jedem Betrieb), dass Anpassungen besser nicht dokumentiert werden. Wer etwas tut, das vom Verfahren abweicht, und das in einem Bericht festhält, riskiert Konsequenzen, die nicht in der Anpassung selbst liegen, sondern in der Tatsache, dass sie sichtbar wurde. Die rationale Antwort ist, sie nicht sichtbar zu machen. Damit verliert die Organisation den einzigen Zugang zu der Frage, wie sie eigentlich funktioniert.

    Zweitens werden die Mitarbeitenden, deren Anpassungsarbeit das System trägt, gleichzeitig diejenigen, denen man die Verantwortung zuschiebt, wenn das System trotzdem versagt. Das ist nicht nur unfair. Es ist destruktiv. Es erzieht Menschen dazu, weniger zu denken, weniger zu beobachten, weniger zu kompensieren, weil jede Kompensation, falls sie sichtbar wird, zur Anklage werden kann.

    Was stattdessen gehen würde

    Was die Alternative wäre, ist nicht: Verfahren abschaffen. Die Alternative ist, Verfahren als das zu behandeln, was sie sind: eine erste Annäherung an eine komplexe Realität, die in jeder einzelnen Anwendung neu kalibriert werden muss. Was zwischen Verfahren und Anwendung passiert, ist kein Defekt. Es ist die Stelle, an der Sicherheit hergestellt wird.

    Operativ heisst das: Anpassung sichtbar machen, ohne sie zur neuen Vorschrift zu erheben. Eine Organisation, die regelmässig fragt, wo sind wir in dieser Woche vom Verfahren abgewichen, warum, mit welchem Ergebnis, lernt etwas, was Audits nicht liefern können. Sie lernt, wie ihre Arbeit tatsächlich verrichtet wird. Wer die Antwort nicht hören will, sollte nicht fragen. Wer sie hören will, muss die Bereitschaft haben, das Verfahren gegebenenfalls anzupassen, nicht den Menschen, der es im Moment der Wahrheit umgangen hat.

    Todd Conklins HOP-Linie macht aus dieser Einsicht ein Werkzeug: Learning Teams statt Investigations, Pre-Job Briefs statt formalisierter Job Safety Analyses, Operational Learning statt Root Cause Analysis. Die Verschiebung im Vokabular ist keine Kosmetik. Sie verschiebt die Frage von «wer hat versagt?» zu «was haben wir noch nicht verstanden, und wie verstehen wir es als Nächstes besser?».

    Praktisch sind das kleine, regelmässige Formate, die unterhalb der Schwelle einer Vorfalluntersuchung greifen. Ein wöchentliches Learning Team von 30 Minuten, in dem jemand kurz erzählt, wo das Verfahren in dieser Woche nicht passte, ohne Konsequenzen, ohne Protokollpflicht. Ein Pre-Job Brief vor einer ungewöhnlichen Operation, der fragt, was diesmal anders ist und welche Annahme heute nicht trägt. Eine After-Action Review auch nach normalen Tagen, weil jeder normale Tag etwas Lernbares enthält. Diese Formate sind bekannt. Sie scheitern in den meisten Organisationen nicht an mangelndem Wissen, sondern daran, dass sie ohne psychologische Sicherheit zu nichts führen. Wer in der Lerngruppe etwas zugibt, was später in der Personalakte landen könnte, schweigt. Und die Lerngruppe verkommt zur leeren Übung.

    Damit ist eine Voraussetzung benannt, die in vielen Organisationen nicht gegeben ist: dass Sprechen ohne Strafe möglich ist. Just Culture im engen Sinn. Ohne diese Voraussetzung bleibt der Rest Kosmetik: auch HOP, auch Safety-II, auch die freundlichste Lerngruppe der Welt. Mit ihr wird die unsichtbare Anpassungsarbeit zu dem, was sie sein könnte: die Lernquelle einer Organisation, die ehrlich über ihren eigenen Betrieb reden will.

    Die unbequeme Frage

    Zurück zu Sully, kurz nach 15:31 Uhr, einer der ungewöhnlichsten Wasserlandungen der zivilen Luftfahrt. Die Geschichte wurde später zur Hollywood-Verfilmung, der Captain zum Helden. Was in der Erzählung gerne vergessen wird, ist die Frage, die im Hintergrund mitläuft: in welcher Organisation hätte er das tun können, ohne nachträglich für die Verfahrensabweichung sanktioniert zu werden?

    In den meisten Hochrisikobranchen lautet die ehrliche Antwort: nicht in vielen. Wer seine Mitarbeitenden konsequent als Schwachstelle behandelt, wird Mitarbeitende bekommen, die genau das werden, nicht aus Boshaftigkeit, sondern aus Selbstschutz. Sie werden aufhören, von Skripten abzuweichen, und sich darauf einstellen, dass ein Tag, an dem etwas Unvorhergesehenes passiert, einfach kein guter Tag wird, weil sie nichts mehr in der Hand haben, was nicht im Manual steht.

    Wenn Sicherheit das ist, was wir wollen, müssen wir aufhören, den Menschen als das Problem zu lesen, das es zu beheben gilt. Wir haben die Wahl: entweder behandeln wir die Anpassungsarbeit als das, was sie ist (die unsichtbare Substanz unserer Sicherheit), oder wir reden darüber weg, bis niemand mehr da ist, der im nächsten Moment auf den Hudson setzt.

    Quellen

    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Steven Shorrock – Beiträge auf humanisticsystems.com (Work-as-Done, Adjustments)
    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • NTSB – Accident Report AAR-10/03, Loss of Thrust in Both Engines After Encountering a Flock of Birds and Subsequent Ditching on the Hudson River, US Airways Flight 1549, 2010
  • Drei Annahmen, die wir hinter uns lassen müssen

    Drei Annahmen, die wir hinter uns lassen müssen

    Es ist die Nacht zum 28. März 1979, kurz nach vier Uhr morgens. Im Kontrollraum von Three Mile Island, Block 2, leuchtet eine Anzeige: Druckablassventil geschlossen. Die Anzeige sagt das, weil sie keine Stellung misst. Sie zeigt das Steuersignal an, den Befehl, der dem Ventil gegeben wurde, sich zu schliessen. Was das Ventil tatsächlich tut, weiss niemand im Raum. Es ist offen, seit zwei Minuten und dreizehn Sekunden, und es wird die nächsten zwei Stunden offen bleiben.

    In den Stunden, die folgen, werden die Operatoren etwas tun, was die spätere Untersuchung als Hauptursache der Teilkernschmelze identifizieren wird: sie drosseln die Notkühlung. Sie tun es, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie gelehrt hat, genau diese Lage zu vermeiden. Sie handeln rational unter dem, was sie sehen. In den Tagen darauf wird die Presse von «menschlichem Versagen» sprechen.

    Genau dieser Reflex (die Diagnose «menschliches Versagen», die einer Szene wie dieser sofort folgt) sitzt hinter den meisten Sicherheitsdialogen, die ich in der Beratungspraxis erlebe. Nicht, weil die Beteiligten unklug handelten. Sondern weil drei Annahmen so tief in unserer Sicherheitstradition verankert sind, dass sie als Selbstverständlichkeiten gelten. Wir lesen sie anders. Was folgt, sind drei Gegenpositionen, eine pro Annahme.

    «Menschliches Versagen» ist eine Diagnose, kein Befund

    Die Statistik kennt jeder, der in diesem Feld arbeitet: 80 bis 90 Prozent aller Vorfälle gehen auf «menschliches Versagen» zurück. Die Zahl wird seit den 1980er-Jahren in Vorträgen, Audits, Geschäftsleitungs-Reportings zitiert, und sie wirkt: sie macht plausibel, dass die Antwort auf Sicherheitsprobleme bei den Menschen liegen muss. Mehr Training, klarere Standards, schärfere Disziplin. Die Logik ist sauber: wenn das Problem im Cockpit sitzt, muss die Lösung im Cockpit sitzen.

    Das Problem mit dieser Logik ist nicht die Statistik. Es ist die Interpretation. Sidney Dekker formuliert es in seinem Field Guide so scharf, dass es weh tut: «Menschliches Versagen» ist nie das Ende einer Untersuchung, es ist der Anfang. Wer Vorfälle damit erklärt, hat aufgehört zu fragen: er hat ein Etikett gefunden und sich zur Ruhe gesetzt. Lokale Rationalität, das Konzept, das Dekker durchgängig schärft, sagt: niemand kommt zur Arbeit mit der Absicht, einen Reaktor zur Kernschmelze zu bringen, einen Patienten zu schädigen, ein Flugzeug zum Absturz zu bringen. Was aus der Vogelperspektive der Untersuchung wie Versagen aussieht, ergab im Moment der Handlung Sinn, gegeben das, was die Person sehen konnte, gegeben den Druck, gegeben das Training.

    Diesen Sinn zu rekonstruieren, ist die eigentliche Arbeit.

    Hollnagel zieht eine zweite Linie ein. Seine Safety-II-Argumentation lautet, vereinfacht: dasselbe, was wir «Versagen» nennen, ist die Kehrseite einer Anpassungskapazität, ohne die das System keine Stunde funktionieren würde. Menschen schaffen täglich, was Verfahren nicht von selbst leisten: sie interpretieren Kontext, sie improvisieren, wenn die Realität von der Skript-Annahme abweicht (was sie ständig tut), sie füllen Lücken, die Designer und Regelwerke offen gelassen haben. Wer den Menschen als Schwachstelle behandelt, beraubt sich der einzigen Resilienzquelle, die das System tatsächlich hat.

    Zurück in den TMI-Kontrollraum, mit dieser Brille gelesen: die Operatoren drosseln die Notkühlung, weil ihre Anzeigen sagen, das System sei überfüllt, und weil ihr Training sie auf genau dieses Risiko hin sensibilisiert hat. Ihre Entscheidung ist im Moment der Handlung die einzige kohärente Interpretation der verfügbaren Daten. Dass wir heute wissen, das Ventil war offen und das System unter-, nicht überfüllt, das ist die Information der Untersuchung, nicht die Information der Operatoren. Diese Asymmetrie zwischen Untersucher und Akteur, «Hindsight Bias» im Vokabular der Forschung, ist nicht ein methodischer Schönheitsfehler. Sie ist die strukturelle Bedingung, unter der jede Vorfalluntersuchung steht. Wer sie nicht reflektiert, sieht in jeder Vergangenheit, was die Beteiligten hätten tun können. Und übersieht, was sie tatsächlich konnten.

    In Schulungen frage ich Teilnehmende inzwischen routinemässig: Was ist in eurem Betrieb die häufigste Ursache von Zwischen- und Unfällen? Die Antwort kommt jedes Mal, ohne Ausnahme: menschliches Versagen. Sie kommt schnell, sie kommt selbstverständlich, und sie kommt vor der eigentlichen Arbeit der Schulung. Im Lauf der Stunden danach folgt regelmässig der Moment, an dem den Teilnehmenden etwas auffällt. Und es ist nicht ein neuer Begriff, kein zusätzliches Werkzeug, sondern ein Perspektivwechsel: ihre eigenen Vorfalluntersuchungen sind, wie sie selbst feststellen, genau dort zu Ende gegangen, wo sie hätten beginnen sollen. Was das kostet, ist nicht nur eine schwächere Untersuchung. Es ist die Bereitschaft der Mitarbeitenden, beim nächsten Mal überhaupt etwas zu melden.

    Die Frage, die uns näher liegt als «Wie verhindern wir menschliche Fehler?», ist die: Wie unterstützt unser System die Anpassungsarbeit, die Menschen leisten müssen, damit es überhaupt funktioniert?

    Menschliches Versagen ist nie eine Erklärung. Es ist eine Diagnose, die mehr über die Diagnostizierenden sagt als über den Vorfall.

    Compliance ist Mindeststand, nicht Sicherheit

    Die zweite Annahme folgt aus der ersten wie ein Schatten. Wenn der Mensch das Risiko ist, dann sind Vorschriften, Audits und Zertifikate die Kontrollinstrumente. Sicherheit wird zur Frage, ob die richtigen Häkchen gesetzt sind. Geschäftsleitungen lesen Sicherheits-KPIs (Lost-Time-Injury-Rate, Audit-Befunde, Schulungsquoten) und ziehen daraus Schlüsse über den Zustand des Unternehmens. Die Steuerung ist klar, das Reporting ist sauber, die Verantwortung ist verteilt. Es gibt einen Grund, warum dieses Modell so robust überlebt: es ist anschlussfähig an Recht, Versicherung und Konzern-Reporting.

    Das Modell hat nur ein Problem: Compliance und Sicherheit fallen regelmässig auseinander. Boeings 737 MAX hatte eine FAA-Zertifizierung, einen Compliance-Status, der nach jedem auditierbaren Massstab grün war. Und ein MCAS-System, dessen Fehlfunktion 346 Menschen das Leben kostete. Der Bristol Heart Scandal in den 1990er-Jahren zeigte ein Spital, dessen interne Sicherheitsindikatoren keine deutlichen Auffälligkeiten zeigten, während die Mortalität in der Kinderherzchirurgie sich auf das Doppelte des britischen Durchschnitts gehoben hatte. In beiden Fällen wurden die Signale gemeldet, von Insidern, denen niemand zuhören wollte, weil das Compliance-Bild sauber war.

    Was zwischen den Audits passiert, ist die eigentliche Sicherheitsgeschichte. Diane Vaughan hat in ihrer Studie zur Challenger-Katastrophe einen Begriff dafür geprägt: «Normalization of Deviance». Drift entsteht selten als bewusste Regelverletzung. Sie entsteht, weil das System unter realen Bedingungen schrittweise von der Norm abweicht (eine kleine Toleranz hier, ein zeitlich verkürzter Schritt dort) und weil diese Abweichungen in der Mehrzahl gut gehen. Jede Wiederholung ohne Konsequenz erweitert die Bandbreite des Akzeptablen, ohne dass jemand eine bewusste Entscheidung getroffen hätte. Aus Sicht der Audit-Logik ist diese Drift unsichtbar: am Audit-Tag stimmt das Bild wieder, weil alle wissen, was zu zeigen ist. Aus Sicht der Lernkapazität wäre sie sichtbar, wenn die Organisation die Mechanismen hätte, sie zu sehen.

    Was diese Fälle gemeinsam haben, ist nicht ein Compliance-Versagen. Es ist ein Lernversagen. Compliance ist eine Eigenschaft eines Zeitpunkts: sie sagt, dass zum Zeitpunkt X die Regel Y eingehalten war. Sicherheit ist eine Eigenschaft eines Prozesses: sie sagt, dass die Organisation in der Lage ist, schwache Signale aufzugreifen, Annahmen zu revidieren und ihr eigenes Verhalten zu korrigieren, bevor das nächste Audit-Datum die Bühne betritt. Das eine ist ein Ist-Zustand, das andere ist eine Fähigkeit. Eine Organisation kann zu einem beliebigen Zeitpunkt vollständig compliant und gleichzeitig komplett blind für die Drift sein, in der sie sich befindet.

    Die operative Frage, die daraus folgt, ist nicht: «Sind wir compliant?» Sie ist: Werden Schwächen sichtbar, ohne bestraft zu werden? Werden Beinahevorfälle behandelt wie Lerngelegenheiten oder wie Reputationsrisiken? Wird das System nach jedem Vorfall klüger oder nur defensiver? Just Culture, im präzisen Sinn von Reason und Dekker, ist die Voraussetzung dafür. Sie ist nicht das Plakat im Pausenraum.

    Sie ist die gelebte Antwort darauf, was passiert, wenn man etwas zugibt, das man hätte verschweigen können.

    Standardisierung schafft Brittleness, nicht Resilienz

    Die dritte Annahme ist die hartnäckigste, weil sie dem Sicherheitsreflex am tiefsten entspricht. Wenn etwas schiefgeht, erhöhen wir den Standardisierungsgrad. Wir schreiben den nächsten Schritt in die SOP, wir engen den Spielraum ein, wir formalisieren, was zuvor Erfahrungssache war. Die zugrunde liegende Annahme ist sauber-mechanisch: Variation ist Defekt, Vereinheitlichung ist Sicherheit. Was sich nicht abweichend verhält, kann nicht falsch laufen.

    Die Annahme stimmt für einfache, lineare Systeme. Sie stimmt nicht für die Systeme, mit denen wir es in HRO-nahen Kontexten zu tun haben. Erik Hollnagel benutzt für die Folge des Reflexes ein präzises Wort: Brittleness. Ein überstandardisiertes System verliert die Fähigkeit, sich an Bedingungen anzupassen, die seine Designer nicht antizipiert haben. Es funktioniert exakt so lange, wie die Realität dem Skript folgt. Und die Realität folgt dem Skript nie ganz. In dem Moment, in dem die Abweichung kommt, hat das System keine Reserve, keine Improvisationskapazität, kein Repertoire ausser «weiter wie geplant».

    Was die HOP-Bewegung um Todd Conklin und andere seit den 2010er-Jahren immer wieder zeigt, ist banal und folgenschwer zugleich: jede funktionierende Schicht weicht täglich vom Skript ab. Pflegende kombinieren Anordnungen, die formal nicht so vorgesehen sind, weil das Originalverfahren in der konkreten Situation nicht passt. Industrieoperatorinnen und -operatoren legen kleine Workarounds, weil ein Werkzeug fehlt oder ein Schritt unter Zeitdruck eingespart werden muss. Pilotinnen und Piloten interpretieren Checklisten in einer Reihenfolge, die der Lage angemessen ist. Diese Abweichungen sind nicht das Problem. Sie sind die Sicherheit. Sie sind das, wodurch das System überhaupt durch den Tag kommt.

    Dahinter steht eine grundlegendere Einsicht der Resilience-Engineering-Tradition: Sicherheit ist nicht die Abwesenheit von Variation, sondern die Fähigkeit, Variation zu absorbieren. David Woods nennt das «graceful extensibility»: die Frage, wie weit ein System gestreckt werden kann, bevor es bricht, und wie es sich verhält, während es gestreckt wird. Überstandardisierung optimiert für den Normalfall und ignoriert genau diese Frage. Sie macht das System effizient unter Idealbedingungen und sprödbruchgefährdet unter realen.

    Was Tailoring meint, ist genau das: den Spielraum gestalten statt abschaffen. Leitplanken setzen (die Grenzen, jenseits derer es gefährlich wird) und innerhalb der Leitplanken Anpassbarkeit zulassen, sichtbar machen, lernfähig halten. Das ist anstrengender als ein dichtes Regelwerk, weil es Vertrauen, Gespräch und Kontextwissen voraussetzt. Es ist auch das einzige, was unter Bedingungen funktioniert, in denen Variation nicht abgeschafft werden kann. Pilotinnen oder Piloten, die das Handbuch zur Seite legen, können Heldinnen oder Übeltäter sein. Was sie sind, hängt am System, nicht an ihnen selbst.

    Was das für uns heisst

    Daraus folgt die Position, aus der wir schreiben: Sicherheit entsteht nicht, wenn Menschen sich an Systeme anpassen, sondern wenn Systeme so gestaltet werden, dass sie sich an Menschen anpassen lassen: kontinuierlich, im Betrieb, nicht im Audit-Raum. Genau dieses Massschneidern (dieses laufende Anpassen unter realen Bedingungen) ist das Handwerk, das wir hier ausarbeiten wollen. Nicht, weil die New-View-Linie modisch wäre. Sie ist seit über zwei Jahrzehnten in der Literatur etabliert. Sondern weil die operative Lücke zwischen ihr und der täglichen Praxis weiterhin gross ist.

    Praktisch heisst das: Wir schreiben über Vorfälle, um Bedingungen zu rekonstruieren: die Bedingungen, unter denen vernünftige Menschen vernünftige Entscheidungen trafen, die sich im Nachhinein als folgenreich erwiesen. Methoden behandeln wir als Handwerk, das Übung, Urteilskraft und Kontextwissen voraussetzt. Organisationen lesen wir als lernfähige (oder lern-unfähige) Systeme.

    Zurück nach Three Mile Island, kurz nach vier Uhr morgens. Drei Operatoren stehen vor Anzeigen, von denen eine das Steuersignal zeigt statt der Stellung. Sie folgen ihrem Training, sie drosseln die Notkühlung, weil das Verfahren bei vermutetem Überdruck genau das verlangt. Wir können sie als die Schwachstelle des Systems lesen, oder als die letzten Personen, die in dieser Nacht nach den Regeln gehandelt haben, die ihnen gegeben waren. Welche Interpretation wir wählen, entscheidet, was wir das nächste Mal anders bauen.

    Was wir an dieser Stelle anders bauen, ist nicht in erster Linie eine Anzeige, die die Stellung statt des Steuersignals zeigt. Es ist die Bereitschaft, die Frage zu ändern: nicht «Wer hat versagt?», sondern «Was hat das, was hier passiert ist, in dem Moment plausibel gemacht?» Diese Frage ist anstrengender. Sie führt nicht zu einer Person, die man sanktionieren kann. Sie führt zu einem System, das man umbauen muss.

    Quellen

    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014
    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • Karl E. Weick & Kathleen M. Sutcliffe – Managing the Unexpected, 3. Aufl., Wiley 2015
    • Charles Perrow – Normal Accidents: Living with High-Risk Technologies, Princeton University Press 1999 (zur TMI-Analyse)
    • Diane Vaughan – The Challenger Launch Decision: Risky Technology, Culture, and Deviance at NASA, University of Chicago Press 1996
  • Die Neue Betrachtungsweise von menschlichen Fehlern

    Die Neue Betrachtungsweise von menschlichen Fehlern

    In diesem Artikel widme ich mich der Alten Betrachtungsweise (The Old View) und der Neuen Betrachtungsweise (The New View) von menschlichen Fehlern[1]. Es handelt sich hierbei um eine erste, kurze Einführung, welche das Terrain für weitere Artikel zu dieser interessanten Thematik auslegt.

    Der Begriff «Neue Betrachtungsweise» ist bereits 20 Jahre alt und im Grunde genommen nicht mehr so neu. Allerdings hat sich in vielen Köpfen und in der Folge in zahlreichen Organisationen die Neue Betrachtungsweise noch nicht durchgesetzt.

    In jedem Unternehmen geschehen Fehler. Glücklicherweise bleiben diese meist folgenlos, und oft werden sie nicht einmal bemerkt. Doch leider kommt es auch immer wieder zu finanziellen oder sogar Personenschäden.

    Doch warum geschehen diese Fehler? Handelt es sich dabei um vermeidbare Fehler von Individuen, die einfach hätten besser aufpassen sollen? Oder sind Fehler emergente Eigenschaften eines komplexen sozio-technischen Systems und haben mit dem einzelnen Individuum wenig zu tun?

    Die Alte Betrachtungsweise (The Old View)

    Eine mögliche Betrachtungsweise ist, dass menschliche Fehler und somit deren negative Konsequenzen vermeidbar wären, würden sich alle an die Regeln halten. Geschieht ein Fehler aus Unachtsamkeit, reicht es aus, die Person darauf hinzuweisen und gegebenenfalls zu bestrafen, womit das Problem dann behoben ist. Die Bestrafung kann im Unternehmenskontext im Extremfall soweit gehen, dass der/die Schuldige aus dem System entfernt wird. Auch strafrechtliche Folgen sind denkbar. Diese werden nicht zwingend durch die Unternehmung initiiert, sondern im Falle von Offizialdelikten durch die Strafverfolgungsbehörden.

    Das System an sich wird als sicher betrachtet. Die Menschen im System werden als potentielle Fehlerquellen und Systemschwäche gesehen. Geben sich alle Akteure Mühe und halten sich an die Regeln, kann eigentlich nichts passieren. Die Sicherheit des Systems kann mittels Anzahl der Zwischenfälle oder Unfälle innerhalb einer Periode gemessen werden.

    Doch inwiefern hilft diese Betrachtungsweise, ein System sicherer zu machen?

    Ich bin geneigt zu sagen: Gar nicht! Bei Unternehmen handelt es sich um komplexe sozio-technische Systeme. Eine Eigenschaft diese Systeme ist, dass nicht alle Auswirkungen des Zusammenspiels verschiedener Systemkomponenten bekannt sind. Fehler, aber auch Systemsicherheit, sind emergente Systemeigenschaften.

    Doch was ist eigentlich ein Fehler?

    Wir unterscheiden verschiedene Arten von Fehlern. Da sind die unbeabsichtigten oder unbewussten Fehler, die ohne Kenntnis der Auswirkungen auf das System geschehen[2]. Und da sind die beabsichtigten oder bewussten Fehler. Hierbei handelt es sich meist um beabsichtigte Abweichungen von bestehenden Verfahren oder Regeln. Zu solchen Abweichungen kommt es beispielsweise bei Zielkonflikten, unter hohem Produktionsdruck oder weil keine besseren Alternativen zur Verfügung stehen. Sie sind also ein Resultat unzulänglicher Systeme. Häufig ist es auch der Fall, dass mit diesen Abweichungen schon seit geraumer Zeit bessere Resultate erzielt wurden als mit den offiziellen Verfahren.

    Ob eine Handlung ein Fehler war oder nicht, hat oft mit dem Resultat selbst zu tun. Der Begriff ‘Fehler’ ist also eine rückwärtsgerichtete Betrachtung einer Handlung, bei welcher das Resultat in der Zwischenzeit bekannt ist. Gerade in einem Umfeld mit hoher Komplexität und unvollständiger Informationslage, kann es aber dazu kommen, dass dieselbe Handlung einmal zu einem positiven und ein anderes Mal zu einem negativen Resultat führt. Ob jemand also einen Fehler begangen hat oder nicht, kann durchaus Umständen geschuldet sein, die zu diesem Zeitpunkt noch unbekannt waren.

    Die Neue Betrachtungsweise (The New View)

    Die neue Betrachtungsweise nimmt Abstand von der Sicht des Menschen als Fehlerquelle und als schwächstes Glied in der Kette. Der Mensch wird viel mehr als Systemkomponente betrachtet, welche eine hohe Systemsicherheit erst ermöglicht. Die Prämisse ist, dass Personen zur Arbeit kommen, um einen guten Job zu machen. Geschieht ein Fehler, lässt sich dieser nicht einfach auf die Handlung eines Individuums reduzieren. Es ist erforderlich, den Fehler im Systemkontext zu betrachten. Denn, die Handlung, welche sich später als Fehler herausstellte, wurde zum Zeitpunkt der Ausübung von der Person als sinnvoll für die Zielerreichung betrachtet.

    Menschen treffen Entscheidungen unter hohem Druck, in Zielkonflikten und grosser Unsicherheit. In einem komplexen System müssen Entscheidungen mit unvollständigen Informationen getroffen werden, oder die Menge an Informationen ist so gross, dass diese gar nicht verarbeitet werden kann. Dies kann dazu führen, dass Informationen übersehen oder bewusst nicht in die Entscheidungsfindung miteinbezogen werden.

    Das System sicherer machen

    Als System betrachte ich in diesem Zusammenhang eine Organisation oder Organisationseinheit mit Mitarbeitenden, technischen Systemen und Prozessen. Der Begriff System kann, wenn zweckmässig, auch auf externe Komponenten ausgeweitet werden.

    Wie eingangs erwähnt, bleiben glücklicherweise die meisten Fehler folgenlos. Dass dies so ist, ist vor allem der Resilienz der Menschen und manchmal auch einfach dem Zufall geschuldet.

    Fehler bieten eine Gelegenheit, zu lernen und das System sicherer zu machen[3]. Geschehen Fehler, ist es nicht zielführend sich bei der Analyse auf die Handlungen des Individuums zu beschränken (die Alte Betrachtungsweise). Die Entfernung des «Täters» aus dem System verbessert dieses nicht. Es ist entscheidend, bei der Analyse eine Systemperspektive einzunehmen und verstehen zu wollen, warum eine Entscheidung für das Individuum in dieser konkreten Situation Sinn ergeben hatte (die Neue Betrachtungsweise). Dabei muss miteinbezogen werden, welche Informationen die Person zur Verfügung hatte und welchen Zielkonflikten sie ausgesetzt war. Hier stellt sich auch die Frage, ob eine andere – ähnlich kompetente – Person möglicherweise in einer vergleichbaren Situation auch so entschieden hätte oder nicht. Wird diese Frage mit ‘ja’ beantwortet, bedarf es einer Anpassung im System, um eine nachhaltige Verbesserung zu erzielen.

     

     

    [1] Im Folgenden werde ich zwecks besserer Lesbarkeit von «Fehlern» schreiben. Gemeint sind damit «menschliche Fehler»

    [2] Ich benütze hier bewusst die Formulierung «geschehen», da diese Fehler nicht bewusst begangen werden.

    [3] Dies ist eine Safety-I Perspektive. Auf der Basis des Lernens aus Fehlern kann ein System sicherer gemacht werden. Dies ist jedoch nicht die einzige Möglichkeit. Durch das Verstehen, welche Faktoren dazu führen, dass ein System mit einer extrem hohen Zuverlässigkeit funktioniert, kann das System weiter verbessert werden, ohne dass es zuerst du negativen Ereignissen kommen muss. Die Safety-I und Safety-II Thematik werde ich in kommenden Artikeln auch noch aufnehmen.