safety & risk solutions Tailoring Safer Systems Das Magazin von safety & risk solutions The magazine of safety & risk solutions

Schlagwort: Work-as-Done

  • Der Mensch ist nicht die Schwachstelle

    Der Mensch ist nicht die Schwachstelle

    15. Januar 2009. US Airways Flug 1549 hebt um 15:25 Uhr von LaGuardia ab, Richtung Charlotte. Knapp anderthalb Minuten später, in 2’800 Fuss über Manhattan, fliegt der Airbus A320 in einen Schwarm Kanadagänse. Beide Triebwerke verlieren Schub, fast simultan. Was Captain Chesley «Sully» Sullenberger und First Officer Jeffrey Skiles in den nächsten drei Minuten tun, steht in keinem Manual. Es gibt keine Checkliste für «dual engine flameout at 2’800 feet over Manhattan». Die Engine-Restart-Procedure, an der sie sich der Form halber abarbeiten, ist für Höhen über 20’000 Fuss konzipiert. Sie passt schon im ersten Schritt nicht. Sully entscheidet, die Maschine nicht zum Flughafen Teterboro zurückzubringen, wie der Tower vorschlägt (er sieht in zwanzig Sekunden, dass das nicht reicht), sondern auf den Hudson zu setzen. Eine Entscheidung, die kein Verfahren vorsieht, weil kein Verfahren sie vorsehen kann. Alle 155 Menschen an Bord überleben.

    In der späteren NTSB-Aufarbeitung wird errechnet, dass das Flugzeug Teterboro hätte erreichen können, wenn die Crew sofort gewendet hätte, ohne den Engine-Restart zu versuchen, ohne die Sekunden zu verbrauchen, in denen ein Mensch das Unmögliche zu beurteilen versucht. «Hätte erreichen können», unter Bedingungen, die im Cockpit niemand kannte: Crew im Simulator, vorbereitet auf das Szenario, mit Triebwerksdaten, die real keiner haben konnte. Sully selbst hat dazu in der Anhörung gesagt: It was not realistic. Er hatte recht.

    Das ist die Geschichte, die zum Klassiker wurde. Sie wird in Trainings gezeigt, in Talks zitiert, auf LinkedIn geteilt. Was an ihr selten gesagt wird, ist die Stelle, an der sie unbequem wird, die Stelle, an der das Lob für den Captain und die Sicherheitslogik unserer Branche auseinanderfallen müssten.

    Was Sully an diesem Tag rettete, war nicht das Verfahren. Es war die Bereitschaft, das Verfahren zur Seite zu legen, sobald klar wurde, dass es nicht passt. Es war die Erfahrung, in Sekunden eine Maschine in Beziehung zu Geographie zu setzen, die er aus Tausenden Flugstunden kannte. Es war ein Cockpit, in dem zwei Menschen schnell und ohne hierarchische Reibung kommunizieren konnten. Und es war eine Organisation, die in den Jahren davor genug Vertrauen aufgebaut hatte, dass ein Captain die Verantwortung für eine Wasserlandung übernahm. Und nachträglich nicht dafür gerügt wurde, dass er vom Skript abwich.

    In der dominanten Sicherheitslogik unserer Zeit ist genau dieser Moment eine Anomalie. «Menschliches Versagen» ist die Standarderklärung für die meisten Vorfälle. Was nennen wir das, was Sully tat, in derselben Sprache?

    Die übliche Diagnose

    Die übliche Diagnose nach einem Vorfall geht vorhersehbar. Sie läuft in zwei Stufen: erst «menschliches Versagen», dann «mehr Standardisierung». Wer hätte es besser machen sollen, was hätte er tun müssen, welches Verfahren wurde nicht eingehalten? Das Vokabular ist eingespielt, die Schlussfolgerung steht meist vor der Untersuchung: präziseres Manual, schärfere Schulung, stärkere Compliance.

    Was diese Logik nicht greift, ist die Asymmetrie zwischen dem, was als «Versagen» zählt, und dem, was als «Erfolg» registriert wird. Sully gilt heute als Held. In dem Moment, in dem er die Restart-Checkliste verlässt, hätte ihn jede formal getriebene Untersuchung als «procedural deviation under pressure» lesen müssen. Hätte das Flugzeug den Hudson nicht erreicht, wäre Sully heute ein Beispiel für «inadequate procedural compliance». Die Geschichte hängt am Ergebnis, nicht am Tun.

    Genau hier wird Erik Hollnagels Punkt aus Safety-II in Practice operativ: dasselbe Verhalten, das wir nach einem Vorfall als Versagen klassifizieren, ist die Bedingung dafür, dass das System die meisten Tage durch den Tag kommt. Menschen passen Verfahren laufend an die Realität an, in der die Verfahren nicht passen. Wenn es gut geht, redet niemand davon. Wenn es schief geht, wird die Anpassung zum Symptom, das es zu verhindern gilt.

    Das ist nicht ein methodischer Schönheitsfehler von Vorfalluntersuchungen. Es ist die strukturelle Grundlage einer Sicherheitslogik, die mit dem Begriff «menschliches Versagen» nicht beschreibt, was passiert ist, sondern was nicht hätte passieren sollen. Eine Diagnose, die immer schon weiss, wo das Problem liegt (beim Menschen), und entsprechend nichts mehr lernt.

    Es wäre zu einfach, dieses Lese-Muster als blossen Erkenntnisrückstand zu verbuchen. Die Old View überlebt nicht, weil ihre Vertreterinnen und Vertreter zu wenig gelesen hätten. Sie überlebt, weil sie eine Reihe institutioneller Bedürfnisse sehr effizient bedient. Sie liefert klare Zurechnung: eine Person, eine Schuld, ein abgeschlossener Fall. Sie passt zur Versicherungs- und Haftungslogik, die nach individueller Verantwortung fragt. Sie ist im Geschäftsleitungs-Reporting ohne Übersetzungsverlust darstellbar: Mitarbeiter X hat Verfahren Y nicht eingehalten, Schulung Z ist die Antwort. Sie minimiert vor allem die Notwendigkeit, das System selbst (und damit die Entscheidungen derjenigen, die es gestaltet haben) in Frage zu stellen. Gegen all das anzuargumentieren, ist nicht in erster Linie eine Frage des besseren Wissens. Es ist eine Frage, wer die Kosten der Verschiebung trägt.

    Die heimliche Wahrheit

    Wenn wir ehrlich auf einen durchschnittlichen Arbeitstag in einer Hochrisikoorganisation schauen, sehen wir nicht, was im Handbuch steht. Wir sehen Tausende kleine Anpassungen, von denen die meisten nie aufgeschrieben werden. Und ohne die das System nicht überleben würde.

    Eine Pflegende kombiniert Anordnungen, weil das Originalverfahren in der konkreten Konstellation nicht passt. Ein Industrieoperator nimmt einen Schritt vorweg, weil das Werkzeug, das im Verfahren genannt ist, gerade unterwegs zur Wartung ist. Ein Pilot folgt der Checkliste in einer Reihenfolge, die der Lage angemessener ist als die im Handbuch vorgegebene. Ein Feuerwehrmann setzt das Strahlrohr zwei Meter näher an, als die Standardformation vorschreiben würde, weil er die Geometrie des Brandes anders liest.

    Was Hollnagel das efficiency-thoroughness trade-off nennt (die ständige Abwägung zwischen Aufwand und Vollständigkeit, die unter realen Bedingungen nicht wegtrainiert werden kann), ist keine Ausnahme. Es ist die Form, in der Arbeit verrichtet wird. Steven Shorrock spricht in seinen Beiträgen auf humanisticsystems.com deshalb von adjustments als der eigentlichen Sicherheitssubstanz: der ständige, unsichtbare Strom kleiner Korrekturen, durch den Verfahren mit Realität verbunden bleiben.

    Diese Anpassungen gehen nirgendwo in die Statistik ein. Sie tauchen nicht in den Sicherheits-KPIs auf. Sie sind nicht Teil der Compliance-Reports. Sie passieren, weil sie passieren müssen. Und weil keiner darüber redet, weiss niemand, wie viele es täglich sind und worauf sie sich stützen. Die Organisation ist auf eine Resilienz angewiesen, deren Existenz sie offiziell nicht anerkennt.

    Genau das, was die Sicherheitslogik verlangt (strikte Verfahrenstreue), ist das, was Sicherheit unter realen Bedingungen unterminiert.

    Was Old-View-Denken kostet

    Solange die offizielle Logik den Menschen als Schwachstelle adressiert, hat diese unsichtbare Anpassungsarbeit einen impliziten Status: sie ist toleriert, solange nichts passiert, und wird sanktioniert, sobald etwas passiert. Das hat zwei Folgen, die zusammen das Lernsystem der Organisation aushöhlen.

    Erstens lernen Mitarbeitende (schnell und in jedem Betrieb), dass Anpassungen besser nicht dokumentiert werden. Wer etwas tut, das vom Verfahren abweicht, und das in einem Bericht festhält, riskiert Konsequenzen, die nicht in der Anpassung selbst liegen, sondern in der Tatsache, dass sie sichtbar wurde. Die rationale Antwort ist, sie nicht sichtbar zu machen. Damit verliert die Organisation den einzigen Zugang zu der Frage, wie sie eigentlich funktioniert.

    Zweitens werden die Mitarbeitenden, deren Anpassungsarbeit das System trägt, gleichzeitig diejenigen, denen man die Verantwortung zuschiebt, wenn das System trotzdem versagt. Das ist nicht nur unfair. Es ist destruktiv. Es erzieht Menschen dazu, weniger zu denken, weniger zu beobachten, weniger zu kompensieren, weil jede Kompensation, falls sie sichtbar wird, zur Anklage werden kann.

    Was stattdessen gehen würde

    Was die Alternative wäre, ist nicht: Verfahren abschaffen. Die Alternative ist, Verfahren als das zu behandeln, was sie sind: eine erste Annäherung an eine komplexe Realität, die in jeder einzelnen Anwendung neu kalibriert werden muss. Was zwischen Verfahren und Anwendung passiert, ist kein Defekt. Es ist die Stelle, an der Sicherheit hergestellt wird.

    Operativ heisst das: Anpassung sichtbar machen, ohne sie zur neuen Vorschrift zu erheben. Eine Organisation, die regelmässig fragt, wo sind wir in dieser Woche vom Verfahren abgewichen, warum, mit welchem Ergebnis, lernt etwas, was Audits nicht liefern können. Sie lernt, wie ihre Arbeit tatsächlich verrichtet wird. Wer die Antwort nicht hören will, sollte nicht fragen. Wer sie hören will, muss die Bereitschaft haben, das Verfahren gegebenenfalls anzupassen, nicht den Menschen, der es im Moment der Wahrheit umgangen hat.

    Todd Conklins HOP-Linie macht aus dieser Einsicht ein Werkzeug: Learning Teams statt Investigations, Pre-Job Briefs statt formalisierter Job Safety Analyses, Operational Learning statt Root Cause Analysis. Die Verschiebung im Vokabular ist keine Kosmetik. Sie verschiebt die Frage von «wer hat versagt?» zu «was haben wir noch nicht verstanden, und wie verstehen wir es als Nächstes besser?».

    Praktisch sind das kleine, regelmässige Formate, die unterhalb der Schwelle einer Vorfalluntersuchung greifen. Ein wöchentliches Learning Team von 30 Minuten, in dem jemand kurz erzählt, wo das Verfahren in dieser Woche nicht passte, ohne Konsequenzen, ohne Protokollpflicht. Ein Pre-Job Brief vor einer ungewöhnlichen Operation, der fragt, was diesmal anders ist und welche Annahme heute nicht trägt. Eine After-Action Review auch nach normalen Tagen, weil jeder normale Tag etwas Lernbares enthält. Diese Formate sind bekannt. Sie scheitern in den meisten Organisationen nicht an mangelndem Wissen, sondern daran, dass sie ohne psychologische Sicherheit zu nichts führen. Wer in der Lerngruppe etwas zugibt, was später in der Personalakte landen könnte, schweigt. Und die Lerngruppe verkommt zur leeren Übung.

    Damit ist eine Voraussetzung benannt, die in vielen Organisationen nicht gegeben ist: dass Sprechen ohne Strafe möglich ist. Just Culture im engen Sinn. Ohne diese Voraussetzung bleibt der Rest Kosmetik: auch HOP, auch Safety-II, auch die freundlichste Lerngruppe der Welt. Mit ihr wird die unsichtbare Anpassungsarbeit zu dem, was sie sein könnte: die Lernquelle einer Organisation, die ehrlich über ihren eigenen Betrieb reden will.

    Die unbequeme Frage

    Zurück zu Sully, kurz nach 15:31 Uhr, einer der ungewöhnlichsten Wasserlandungen der zivilen Luftfahrt. Die Geschichte wurde später zur Hollywood-Verfilmung, der Captain zum Helden. Was in der Erzählung gerne vergessen wird, ist die Frage, die im Hintergrund mitläuft: in welcher Organisation hätte er das tun können, ohne nachträglich für die Verfahrensabweichung sanktioniert zu werden?

    In den meisten Hochrisikobranchen lautet die ehrliche Antwort: nicht in vielen. Wer seine Mitarbeitenden konsequent als Schwachstelle behandelt, wird Mitarbeitende bekommen, die genau das werden, nicht aus Boshaftigkeit, sondern aus Selbstschutz. Sie werden aufhören, von Skripten abzuweichen, und sich darauf einstellen, dass ein Tag, an dem etwas Unvorhergesehenes passiert, einfach kein guter Tag wird, weil sie nichts mehr in der Hand haben, was nicht im Manual steht.

    Wenn Sicherheit das ist, was wir wollen, müssen wir aufhören, den Menschen als das Problem zu lesen, das es zu beheben gilt. Wir haben die Wahl: entweder behandeln wir die Anpassungsarbeit als das, was sie ist (die unsichtbare Substanz unserer Sicherheit), oder wir reden darüber weg, bis niemand mehr da ist, der im nächsten Moment auf den Hudson setzt.

    Quellen

    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Steven Shorrock – Beiträge auf humanisticsystems.com (Work-as-Done, Adjustments)
    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • NTSB – Accident Report AAR-10/03, Loss of Thrust in Both Engines After Encountering a Flock of Birds and Subsequent Ditching on the Hudson River, US Airways Flight 1549, 2010
  • Was es heisst, ein System zu schneidern

    Was es heisst, ein System zu schneidern

    Eine Schneiderei, irgendwo in der Innenstadt. Hinterzimmer, zwei Spiegel, ein Tisch voller Stoffbahnen, Kreide und Stecknadeln auf einer Pinnwand. Ein Mann steht auf einem niedrigen Podest, im Rohzuschnitt aus heller Wolle, und der Schneider geht um ihn herum. Er nimmt nicht nur Mass. Er beobachtet. Er sieht, wie der Kunde das Gewicht verlagert, wie er die Schultern hält, ob die Naht hinten einseitig zieht. Eine Markierung mit Kreide, dort, wo es noch nicht passt. Dann wieder Massband, dann ein Stich, dann ein Probieren. Anpassen. Wieder probieren.

    Was hier passiert, ist nicht das Anlegen eines Anzugs. Es ist ein Gespräch zwischen Stoff, Körper und Gewohnheit. Der Schneider weiss, dass kein Mensch genau so steht, wie das Schnittmuster es annimmt. Er weiss, dass die Nähte, die in der Mitte sitzen sollen, sich verschieben werden, sobald der Mensch sich bewegt. Er rechnet damit. Er baut Reserven ein, an Stellen, an denen er weiss, dass der Stoff sich finden muss. Er ist nicht überrascht, wenn er noch zweimal kommen muss. Das ist sein Beruf.

    Was hat diese Werkstatt mit Sicherheit zu tun? Das ist die Frage, der dieses Magazin den Namen verdankt. Die Pointe habe ich im einleitenden Beitrag Drei Annahmen, die wir hinter uns lassen müssen ausgeführt, kurz wiederholt: Sicherheit entsteht nicht, wenn Menschen sich an Systeme anpassen, sondern wenn Systeme so gestaltet werden, dass sie sich an Menschen anpassen lassen. Tailoring Safer Systems. Was im Englischen wie ein verschmolzenes Doppelwort klingt, ist im Deutschen unhandlicher: Systeme schneidern. Mass nehmen, Schnitt zeichnen, Probieren, Tragen, Nachbessern, der Prozess wiederholt sich, mit anderer Sache. Und genau wie in der Schneiderei ist es kein einmaliger Akt, sondern eine Haltung.

    Was diese Haltung an Konzept und Werkzeug verlangt, will ich hier ausbreiten. Drei Prinzipien, jedes mit einem Begriff, den du aus der Literatur kennst.

    Mass nehmen, nicht annehmen

    Der Schneider, der das Massband nicht aus der Hand legt, weiss etwas, das in vielen Sicherheitsabteilungen als überflüssiger Aufwand gilt: dass die Realität nicht im Schnittmuster steht.

    Steven Shorrock und Claire Williams haben die Unterscheidung, die seit Hollnagel zum Kernvokabular der Human-Factors-Tradition gehört, in Human Factors and Ergonomics in Practice so einfach formuliert, dass sie als Test funktioniert. Work-as-Imagined ist die Vorstellung von Designern, Auditierenden, Geschäftsleitungen davon, wie Arbeit verrichtet wird. Work-as-Done ist, was Mitarbeitende tatsächlich tun. Dazwischen liegt regelmässig eine Lücke. Die Frage ist nicht, ob es sie gibt. Die gibt es immer. Die Frage ist, ob die Organisation sie kennt.

    Wer sie nicht kennt, schneidert in die Annahme hinein. Er entwirft Verfahren auf Grundlage dessen, was sein Modell sagt. Und das Modell sagt, was bequem ist, was nach Massstäben des Audits noch lesbar ist, was geschäftsleitungstauglich klingt. Das Verfahren passt dann zur Annahme, nicht zur Praxis. Nach kurzer Zeit driften Praxis und Verfahren auseinander, ohne dass jemand das wahrnimmt, weil niemand jemals nachgemessen hat, wie der Stoff tatsächlich fällt.

    Was Mass nehmen konkret heisst, ist nicht spektakulär. Es heisst Beobachten. Es heisst Walk-the-Talk: das, was angelsächsisch als Gemba Walk aus der Lean-Tradition bekannt ist und in der Sicherheitswelt unter Begriffen wie «operational learning visit» wandert. Es heisst Shadowing über mehr als eine Schicht. Es heisst Fragen, die offen genug sind, dass sie nicht schon die Antwort enthalten: nicht «Halten Sie sich ans Verfahren?», sondern «Wann hat das Verfahren bei Ihnen das letzte Mal nicht gepasst, und was haben Sie stattdessen gemacht?»

    Diese Fragen produzieren regelmässig Antworten, die niemand sehen will. Mitarbeitende beschreiben Workarounds, die in den Augen der Compliance Verstösse sind und in den Augen des Systems die einzige Methode, an einem Tag durchzukommen, an dem ein Werkzeug fehlt, eine Vertretung neu ist, die Anlage seit dem Update zickt. Die Versuchung ist gross, diese Antworten als Defekt zu lesen. Und damit zu schliessen. Die Anstrengung besteht darin, sie als Befund zu lesen.

    Wer Mass nimmt, akzeptiert, was er sieht. Was er sieht, ist regelmässig nicht das, was im Schnittmuster steht. Genau deshalb steht er da.

    Mass nehmen ist nicht Compliance auf Probe. Es ist die Bereitschaft, etwas zu sehen, was die eigene Annahme widerlegt.

    Den Stoff respektieren

    Nicht jeder Stoff lässt sich beliebig schneidern. Wer einen weichen Strick wie einen festen Wollstoff behandelt, bekommt eine Naht, die nicht hält. Der Schneider kennt die Eigenschaften des Materials, bevor er den Schnitt zeichnet, und passt den Entwurf dem Stoff an, nicht umgekehrt.

    Auf Organisationen übertragen: Kontext, Kultur und Geschichte sind das Material, mit dem ein System geschneidert wird. Was in einer Fluggesellschaft funktioniert, in der Crew Resource Management seit Jahrzehnten als Praxis verankert ist, lässt sich nicht ohne Übersetzung in eine Industrieorganisation tragen, in der Hierarchien anders gelebt werden und «Stop the Line» als Konzept noch erklärt werden muss. Was auf einer Pflegestation greift, an der die Stationsleitung über Jahre eine Meldekultur aufgebaut hat, läuft in einer anderen ins Leere, in der jede Meldung erst durch zwei Schichten Personalabteilung wandert, bevor sie jemand zu sehen bekommt.

    David Snowdens Cynefin-Framework hilft an dieser Stelle. Es unterscheidet, einfach gesagt, zwischen zwei Sorten von Problemen: kompliziert und komplex. Komplizierte Probleme sind solche, bei denen die Beziehung zwischen Ursache und Wirkung mit genug Expertise erkennbar ist: eine Maschine, eine Buchhaltung, ein Bauplan. Best Practices funktionieren hier. Komplexe Probleme sind solche, bei denen Ursache und Wirkung nur retrospektiv lesbar sind, weil das System sich auf jede Intervention hin verändert. Kultur, Risikoverhalten, Lernfähigkeit gehören in diese Kategorie. Best Practices funktionieren hier nicht. Was in einer Organisation gewirkt hat, ist nicht garantiert dasselbe, was in der nächsten wirkt.

    Der häufigste Fehler in Sicherheitsprogrammen, die ich begleite, ist die Verwechslung dieser beiden Sorten. Ein erprobtes Konzept aus einem Best-Practice-Sammelband wird als universelle Lösung verkauft, einer Organisation übergestülpt, die einen anderen Stoff hat. Und jeder ist überrascht, wenn die Naht nicht hält. Was die Organisation gebraucht hätte, war nicht die Lösung. Es war die Diagnose: was für ein Stoff liegt vor uns?

    Den Stoff zu respektieren heisst nicht, alles in Ordnung zu finden, wie es ist. Es heisst, den Schnitt am Material zu prüfen, bevor man die Schere ansetzt. Wer das nicht tut, baut ein Sicherheitsprogramm, das in den Quartalsbericht passt und in der Praxis nicht.

    Anpassung einplanen

    Ein guter Schnitt hat Reserve. Der Schneider zieht den Stoff nicht so straff, dass er beim ersten Atmen reisst. Er weiss, dass der Körper sich verändert, dass der Tag verändert, dass der Stoff sich nach den ersten Trageperioden setzt. Er rechnet das ein. Wo er die Reserve einbaut, wo er sie ausspart, das ist Handwerk. Wer die Reserve abschafft, sich an die exakte Vermessung bindet, baut ein Kleidungsstück, das exakt einmal passt. Im nächsten Moment nicht mehr.

    Erik Hollnagels Arbeit kreist seit Jahren um diese Einsicht in der Sicherheitssprache. In FRAM (der Functional Resonance Analysis Method) argumentiert er gegen die linearen Vorfallmodelle, die Variation als Defekt verstehen. Variation, schreibt Hollnagel, ist nicht das Gegenteil von Funktion. Sie ist eine Bedingung von Funktion. Komplexe sozio-technische Systeme funktionieren, weil ihre Komponenten (Menschen, Werkzeuge, Verfahren) flexibel genug sind, um auf Bedingungen zu reagieren, die nicht im Plan stehen. Wenn das Plansystem versucht, diese Variation auszuschalten, schaltet es zugleich die Adaptionsfähigkeit aus.

    Was das im Alltag heisst, ist konkret: ein gutes Verfahren beschreibt nicht nur den Sollpfad, sondern macht sichtbar, unter welchen Bedingungen es greift. Es kennt die Annahmen, die es macht, und es kennt die Stellen, an denen es brechen wird, wenn die Annahmen nicht stimmen. Ein gutes Verfahren ist sich seiner Grenzen bewusst. Mehr noch: ein gutes System hält Ressourcen frei, die nicht in der Planung gebunden sind (Slack im Personalplan, Zeit in der Schicht, Spielraum in der Kommunikation), weil ohne sie keine Anpassung möglich ist. Was wie Ineffizienz aussieht, ist die Voraussetzung dafür, dass das System überhaupt durch den Tag kommt, an dem die Realität vom Plan abweicht. Und sie weicht ab. Jeden Tag.

    Anpassung einzuplanen heisst, dem System Erlaubnis zur Anpassung zu geben. Nicht hinterher, im Schadensfall, sondern vorher, im Entwurf. Es heisst, Spielraum bewusst zu gestalten und nicht beiläufig zu dulden. Und es heisst, sichtbar zu machen, was sonst unsichtbar bleibt: dass die Workarounds, die niemand zugibt, oft die letzten Anpassungen sind, die ein überstandardisiertes System überhaupt noch zulässt.

    Was Schneidern nicht ist

    Konfektion liegt im Lager und wartet auf jemanden, der hineinpasst. Sie ist effizient, sie ist günstig, sie ist im Reporting sauber. Sie ist eine vollständige Lösung, solange das Mass stimmt. Wenn nicht, wird sie zur Quelle eines stillen Kompromisses: der Mensch passt sich dem Anzug an, hält die Schultern anders, atmet flacher, bewegt sich, als gehörte er ins Schnittmuster. Eine Weile geht das gut.

    Sicherheit aus dem Compliance-Katalog funktioniert nach genau dieser Logik. Sie kommt mit fertigen Verfahren, mit standardisierten KPIs, mit Audit-Schablonen, die zu allem passen, weil sie nichts ansehen. Das Problem ist nicht, dass sie strukturiert. Das Problem ist, dass sie ihre eigene Beschreibung des Systems für das System hält. Wenn die Realität davon abweicht (und sie weicht ab), ist im Katalog keine Anpassung vorgesehen. Was bleibt, ist die Mahnung, sich gefälligst ans Verfahren zu halten.

    Dem gegenüber steht der Schneider, der sein Massband nicht aus der Hand legt. Der weiss, dass er noch zweimal kommen muss. Der die Reserve im Stoff respektiert. Der den Schnitt nicht heute fertig zeichnet, sondern in einem Gespräch mit dem entwirft, was er vor sich hat. Der akzeptiert, dass das Endprodukt nicht perfekt im ersten Versuch ist und dass Nachbessern Teil des Berufs ist, nicht ein Eingeständnis von Fehlern.

    Genau das meint Tailoring Safer Systems. Spielraum gestalten statt abschaffen. Anpassung sichtbar machen, damit das System aus ihr lernen kann. Das ist anstrengender als ein dichter Katalog. Es ist auch das einzige, was unter Bedingungen funktioniert, in denen das nächste Mass schon wieder ein anderes ist.

    Quellen

    • Steven Shorrock & Claire Williams (Hrsg.) – Human Factors and Ergonomics in Practice: Improving System Performance and Human Well-Being in the Real World, CRC Press 2017
    • Erik Hollnagel – FRAM: The Functional Resonance Analysis Method – Modelling Complex Socio-technical Systems, Ashgate 2012
    • David J. Snowden & Mary E. Boone – A Leader’s Framework for Decision Making, Harvard Business Review, November 2007
    • Erik Hollnagel – Safety-II in Practice, Routledge 2018