Zitat

If you think safety is expensive, try an accident.

Was bedeutet jetzt eigentlich Sicherheit?

Und wie hat sich unser Denken darüber entwickelt?

Zwei gute Fragen. Natürlich könnten wir hier einfach eine Definition zitieren. Tun wir aber nicht. Stattdessen möchten wir aber ganz woanders beginnen. Nämlich beim einfachen Begriff der Sicherheit und dessen Geschichte. Klingt trocken, ist es aber nicht.
Du möchtest schon jetzt Bescheid wissen, was wir an Themen aufgreifen? Vorweg gibt es natürlich einen Überblick der verschiedenen Definitionen von Sicherheit. Unsere eigentliche Reise beginnt beim Domino Modell von Heinrich, führt über James Reason’s Schweizer-Käse-Modell, bis hin zu Safety-II von Erik Hollnagel. Zum Abschluss gibt es dann noch einen praxisorientierten Überblick, mit Sicherheitsdenken im Vergleich.

Von der Sicherheit und ihren unterschiedlichen Definitionen.

Bevor wir uns den Begriff der Patientensicherheit näher anschauen noch etwas anderes. Etwas, was nicht so trivial ist wie es scheint. Die Definition von Sicherheit.
Klassisch könnte man Sicherheit als etwas bezeichnen, was „Geschütztsein vor Gefahr oder Schaden“ bedeutet. Um das Ganze etwas lösungsorientierter zu sehen, kann man Sicherheit auch als „höchstmögliches Freisein von Gefährdungen“, beziehungsweise auch als “Freisein von Fehlern und Irrtümern“ bezeichnen. Damit wird die Sache schon etwas greifbarer.
Sicherheit
Moderner wird das Ganze, wenn man Sicherheit als dynamisches Non-Event betrachtet. Hört sich kompliziert an, ist es aber nicht. Letztendlich bedeutet es, dass durch den dynamischen Zustand eine ständige Betreuung und Überwachung notwendig ist. Zurück geht das alles auf Carl Weick und seine Forschergruppe aus dem sonnigen Kalifornien.
Den O-Ton kannst Du im angegebenen Zitat nachlesen (er spricht von Reliability als Sicherheit).
Reliability is dynamic in the sense that it is an ongoing condition in which problems are momentarily under control due to compensating changes in components. Reliablity is invisible in at least two ways. First, people often don‘t know how many mistakes they could have made and how reliable they are. Reliability is also invisible in the sense that reliable outcomes are constant, which means there is nothing to pay attention to.“
Carl Weick und seine Forscherkollegen begründeten in Kalifornien rund um das Jahr 1990 neben der Definition von Sicherheit, respektive Reliability, noch jede Menge andere Theorien. Als besonders bekannt gilt dabei die Theorie über sogenannte High Reliability Organizations. Darunter versteht man Organisationen, welche unter hohem Risiko arbeiten, und dabei eine möglichst geringe Anzahl an Fehlern produzieren dürfen. Dazu werden unter anderem Krankenanstalten gezählt.
Carl Weick und sein Forscherteam haben die Definition von Sicherheit neu erfunden.

Carl Weick und sein Forscherteam haben die Definition von Sicherheit neu erfunden.

Herr Heinrich und seine Dominosteine. 

Das ist Herr Heinrich. Herr Heinrich ist Ingenieur. Aber nicht einfach nur irgendein Ingenieur. Herr Heinrich ist nämlich Sicherheitsingenieur. Im Zuge seines Berufs hat er eine hohe Anzahl an Industrie-Unfällen untersucht. 1931 formulierte Herr Heinrich aufgrund dessen sein Modell zur Erklärung von Unfallursachen.
Das Modell besticht dabei bis heute durch seinen einfachen Zugang. Konkret betrachtet Herr Heinrich dabei einen linearen Zusammenhang mehrerer Faktoren. Die Faktoren sind als Dominosteine dargestellt. Darum heißt das Modell von Herrn Heinrich auch Domino Modell.
In seiner ursprünglichen Version enthält es fünf Bausteine. Kommt es zum Zusammenbruch eines Faktors (das bedeutet dem Umfallen eines Steines), so wird die Kette in Gang gesetzt.
Herr Heinrich, der Begründer des Domino Modells.

Herr Heinrich, der Begründer des Domino Modells.

 

Die fünf Faktoren aus Herrn Heinrich’s Modell.

1.
Soziale Umgebung und Vorfahren
Als erster Faktor werden die Charaktereigenschaften der involvierten Person betrachtet. Dabei wird davon ausgegangen, dass negative Eigenschaften, wie etwa Eigensinnigkeit, Gier oder beispielsweise Rücksichtslosigkeit, zu den Fehlern beitragen. Konkret werden diese Eigenschaften entweder durch die soziale Umgebung der Person, oder durch ihre Vorfahren weitergegeben.
2. 
Fehler der Person
Dieser Faktor wird, ähnlich wie der erste, erneut auf den Charakter der Person bezogen. Charakterliche Fehler, welche durch Familie oder Umfeld gefördert werden, tragen zu möglichen unsicheren Handlungen oder Bedingungen bei.
3. 
Unsichere Handlungen und unsichere Bedingungen
Der dritte Baustein stellt den direkten Faktor zur Auslösung von Unfällen dar. Damit wird zugleich die Hauptursache genannt. Beispielhaft könnte dies etwa das Starten einer Maschine ohne vorherige Warnung oder das Fehlen von Sicherheitsfaktoren sein. Prozentuell geht Herr Heinrich in diesem Punkt davon aus, dass 88% der Unfälle durch unsichere Handlungen von Personen verursacht werden. Rund weitere 10% betreffen Fehler von Maschinen.
4. 
Der Unfall selbst
Als viertes Kettenglied steht im Domino Modell der Unfall als solches. Dabei wird jedoch differenziert, wonach ein Unfall als unerwünschtes Ereignis gesehen wird, und noch nicht notwendigerweise mit einem Schaden einhergehen muss.
5. 
Der Schaden
Konsequenz von Unfällen können die damit verbundenen Schäden sein. Herr Heinrich betrachtet einen Schaden im Sinne des letzten Punktes als Verletzung eines Menschen.

Weiterführende Gedanken zu Heinrichs’ Domino Modell

Im Zuge der Unfallursachenforschung stellt das Modell einen stark vereinfachten Zugang dar. Das bedeutet auch zugleich den größten Kritikpunkt am Modell selbst: die Linearität. Außer Acht gelassen wird laut Kritikern auch die Bedeutung von Organisation und Management. Somit sieht das Modell Fehler immer als Fehler des Individuums.

 

Unsichere Handlungen und Bedingungen (durch Menschen) als bedeutendster Faktor im Domino Modell.

Unsichere Handlungen und Bedingungen (durch Menschen) als bedeutendster Faktor im Domino Modell.

Konsequenzen aus dem Domino Modell

Um die Sicherheit eines Systems zu steigern, schlägt Herr Heinrich vor, die jeweils unsicheren Faktoren zu entfernen. Das bezieht sich natürlich auf die ersten drei Bausteine. Erst somit kann eine Kettenreaktion verhindert werden. Das bedeutet in weiterer Folge natürlich die Verhinderung von Unfällen (unerwünschten Ereignissen) und somit auch die Vorbeugung von Schäden (an Menschen). Als bedeutendsten Faktor sieht Herr Heinrich den dritten Baustein, also die unsicheren Handlungen, sowie unsicheren Bedingungen. Dadurch kann die Domino Kette unterbrochen werden, und der Effekt wird verhindert.

Das Schweizer-Käse-Modell oder einfach Reasons‘ Modell.

Ob James Reason eine Vorliebe zu Schweizer Käse hatte wissen wir nicht. Was wir jedoch wissen ist, dass der gute alte James einen weiteren Meilenstein bei den Sicherheitsmodellen gesetzt hat. Ganz konkret hat er sich für sein Modell, das als Schweizer-Käse-Modell oder Reasons‘ Modell bekannt ist, unterschiedlichste schwerwiegende Unfälle näher angesehen. Darunter fallen die Chemiekatastrophe in Bhopal 1984, der Reaktorunfall in Tschernobyl 1986, der Großbrand im Londoner U-Bahnhof Kings’ Cross 1987, das Schiffsunglück bei Seebrügge 1987, als auch der Unfall des Space Shuttle Challenger 1986. James hat sich also durchaus ein sehr detailliertes Bild über Unfälle gemacht.
James Reason und Schweizer Käse?!

James Reason und Schweizer Käse?!

Im Gegensatz zu bisherigen Sicherheitsmodellen, wie etwa das Domino Modell von Herrn Heinrich, oder dessen Weiterentwicklung durch Bird und Germain, betrachtet Mister Reason Fehlerketten als nicht einfach linear. Der Grund ist denkbar simpel. Die zugrunde liegenden Systeme, welche sowohl Menschen, als auch die entsprechende Technik beinhalten (sogenannte sozio-technische Systeme), sieht er als komplex an. Doch was bedeutet Komplexität? Als komplex kann die Lösung der Relativitätstheorie jedenfalls nicht angesehen werden. Diese ist jedoch im Gegenzug als kompliziert zu bezeichnen. Also kommen wir zur Bedeutung und Definition der Komplexität zurück. Komplex wird in diesem Zusammenhang ein System oder eine Sache genannt, welche einen sehr hohen Grad an Vernetzung aufweist. Dieser Grad an Vernetzung kann durch Personen, deren Wissen, Zusammenhänge, weitere Elemente, Funktionen und Faktoren gegeben sein. Somit wird schon klar, dass das Modell von Mister Reason in einer anderen Liga, als das von Herrn Heinrich spielt.

Fehlerarten bezogen auf den Zusammenbruch komplexer Systeme.

Eines vorweg. Mister Reason ist sich mit Herrn Heinrich über einen bedeutenden Punkt in der Unfallverursachung einig: Der Faktor Mensch macht den Unterschied. Analog zum Domino Modell haben wir es hier also erneut mit menschlich bedingten Fehlern zu tun. Jetzt aber ab zu den Fehlerarten.
Im Schweizer-Käse-Modell finden wir folgende zwei Arten von Fehlern:
Aktive Fehler entstehen am operativen Ende eines Systems. Die Ursache sind menschliche Faktoren.

Aktive Fehler entstehen am operativen Ende eines Systems. Die Ursache sind menschliche Faktoren.

Aktive Fehler oder Personenfehler. Diese Fehler entstehen am sogenannten sharp-end des Systems, oder anders gesagt an vorderster Front. Gemeint ist damit das operative Ende eines Systems, in dem zum Beispiel Piloten, Zugführer, Flugsicherer, Ärzte, Krankenschwestern und viele andere Berufsgruppen arbeiten. Durch aktive Fehler dieser Personen, ergeben sich unmittelbare Auswirkungen. Doch wodurch werden diese Fehler verursacht? Als mögliche Ursachen nennt Mister Reason unter anderem Unaufmerksamkeit, Müdigkeit, Vergesslichkeit, schlechte Arbeitsmoral oder Fahrlässigkeit.
Latente Fehler oder Systemfehler. Hier haben wir es mit einer Fehlerart zu tun, welche einen grundlegenden Unterschied zu aktiven Fehlern aufweist. Bis jetzt haben wir von Fehlern gesprochen, welche unmittelbare Auswirkungen haben. Bei den latenten Fehlern, oder auch Systemfehlern, ist ein Ausbleiben für einen längeren Zeitraum oder eine gewisse Dauer möglich. Zu Auswirkungen kommt es somit erst in Kombination mit aktiven Fehlern. Die Ursachen sind hier also etwas weiter zu fassen als wir es bis jetzt getan haben. So können zum Beispiel (strategische) Entscheidungen des Management oder von Vorgesetzten mögliche Ursachen sein. Ob die Entscheidung richtig oder falsch ist, spielt jedoch keine Rolle. Es zählt lediglich das Potential der Entscheidung, die Rahmenbedingungen für aktive Fehler ermöglichen. Daraus ergeben sich zwei mögliche Auswirkungen von latenten Fehlern. Entweder die Rahmenbedingungen am Arbeitsplatz fördern Fehler. Dies ist zum Beispiel durch Zeitdruck, personelle Unterbesetzung oder auch Unerfahrenheit des eingesetzten Personals möglich. Oder es kommt auf lange Sicht gesehen zu Schwächen in den Sicherheitsmechanismen. Beispiele sind nicht umsetzbare Prozesse, Konstruktionsfehler des Systems oder unglaubwürdige Alarme.
Latente Fehler oder Systemfehler bleiben oft lange unentdeckt.

Latente Fehler oder Systemfehler bleiben oft lange unentdeckt.

Konsequenzen aus dem Schweizer-Käse-Modell

Mit Reasons‘ Modell steht also ein systemischer Ansatz zur Verfügung. Dadurch kann auf die komplex-linearen Bedingungen in unseren modernen sozio-technischen Systemen Rücksicht genommen werden.
Eine weitere wichtige Konsequenz ist der Schwerpunkt des Modells. Der liegt nämlich nicht mehr einfach nur auf dem einzelnen Individuum. Fehler müssen somit als unausweichliche Kombination von Fehlern des Systems und Fehler der Person gesehen werden. Eine Steigerung der Sicherheit ist also mit der Arbeit an Systemfehlern möglich.

Die Konsequenz unserer Entwicklung.

Die bisherigen Theorien zu Unfallursachen und Sicherheit gehen auf die Jahrzehnte bis 1990 zurück. In der Zwischenzeit hat sich jedoch rundherum einiges getan. Gesellschaftliche und technologische Fortschritte verstärken sich ständig. Als technisches Beispiel erkannte Gordon Moore bereits 1965, dass sich die Anzahl an Bauelementen alle zwei Jahre verdoppelt (konkret hat Mister Moore Transistoren, also Halbleiter wie sie in Computern verwendet werden, betrachtet). Seine Vorhersage ist bis in die heutige Zeit mit annähernder Genauigkeit beschrieben. Umgelegt auf Erfindungen bedeutet das somit, dass unsere Welt, unser System in dem wir leben, ständig komplexer wird. Ein lineares Denken ist damit nicht mehr möglich, und auch unser gutes altes Ursache-Wirkung-Denken erscheint angezählt.
Ein weiteres Beispiel zur Veränderung unserer Systeme ist das sogenannte Law of Stretched Systems. Wir streben ständig nach mehr Beherrschbarkeit, sowie steigernder Kontrolle über unsere Welt. Als Konsequenz erhöht sich die Geschwindigkeit und auch die Präzision bei der Verwendung unserer Systeme. Das Law of Stretched Systems beschreibt die dadurch bewirkte kontinuierliche Streckung unserer Systeme bis, oder auch über ihre möglichen Kapazitäten hinaus. Das heißt, dass letztendlich jedes System an der Grenze seiner Möglichkeiten betrieben wird. Der Druck auf die Performance und Effizienz steigt. Im Gegenzug kommt es zu Einbußen. Typischerweise bei Resilienz, Robustheit und Sicherheit.
Aufgrund dieser beiden beispielhaften Veränderungen ist es an der Zeit, auch unsere Modelle und Theorien rund um Unfallursachen und Sicherheit zu überdenken. Einen wesentlichen Schritt dazu hat Erik Hollnagel, ein dänischer Professor, in den letzten Jahren getan.
Der sich selbst verstärkende Entwicklungszyklus (modifiziert nach Hollnagel).

Der sich selbst verstärkende Entwicklungszyklus (modifiziert nach Hollnagel).

Safety-II in den Startlöchern.

Erik Hollnagels‘ Theorie wirft so ziemlich einiges über den Haufen. Die Gründe für die Notwendigkeit eines neuen Paradigmas haben wir dabei schon kennengelernt. Um das Ganze auch noch in Zahlen zu untermauern, kann man sich die Häufigkeit an unerwünschten Ereignissen in der Luftfahrt ansehen. Durch bisherige Ansätze, die man als Safety-I zusammenfassen kann, konnte eine Reduktion bis zu einem gewissen Grad erreicht werden, aber nicht darüber hinaus. Um die Sicherheit von Systemen weiter zu steigern, ist unter anderem auch Euroontrol in den letzten Jahren auf Hollnagels‘ Safety-II umgestiegen.
Doch wie definiert sich dieses neue Sicherheitsdenken? Statt den Fokus auf einige wenige Ereignisse zu legen, die unerwünscht verlaufen, macht Safety-II einen grundsätzlichen Schwenk. Es wird der Schwerpunkt auf die hohe Anzahl an Ereignissen gelegt, wo es zu keinem Fehler kommt. Dadurch können wir Safety-II als Zustand definieren, indem so viele Ereignisse als möglich richtig gehandhabt werden. Schaffen wir es, das auch umzusetzen, so kann die Definition erweitert werden, um die Fähigkeit, unter erwarteten und unerwarteten Bedingungen erfolgreich zu sein. Dadurch wird die Anzahl an erwarteten und akzeptablen Ereignissen so hoch als möglich.

Mechanismen in Safety-II.

Bei einem genaueren Blick auf die Theorie hinter Safety-II, lassen sich zwei wesentliche Mechanismen erkennen.
1. Es gibt keine richtig oder falsch durchgeführten Tätigkeiten. Standards und Leitlinien dienen als Vorgabe zu unserer Arbeit. Die besagte Arbeit findet jedoch unter einer bereits erwähnten hohen Komplexität statt. Hinzu kommen zahlreiche Unberechenbarkeiten verschiedenster Arbeitsbedingungen. In der Praxis bedeutet das also, dass wir ständig gefordert sind, unsere Leistung, sprich Performance, anzupassen. Hollnagel bezeichnet das als Performance Variabilität. Erst durch diese Anpassung können die jeweiligen Situationen stabil gehalten werden, was sich positiv auf die Ergebnisse auswirkt. Als Abgrenzung müssen jedoch weiterhin Verstöße oder Verletzungen gewisser Regelwerke miteinbezogen werden.
Emergenz (Darstellung nach Hollnagel).
2. Das Phänomen der Emergenz. Eine bedeutende Konsequenz aus Unfällen oder unerwünschten Ereignissen kennen wir alle. Es handelt sich um Rückverfolgungen und Analysen. Diese Standardabläufe sollen uns nach kritischen Ereignissen die Hintergründe erklären. Was wir jedoch dabei außer Acht lassen, ist die steigende Komplexität und vor allem auch die Nicht-Linearität von Unfällen. Das bedeutet, dass klassische Ursache-Wirkungs-Analysen an ihre Grenzen stoßen. Um dieses Dilemma zu lösen bedienen wir uns der Emergenz. Aber wofür steht das? In jedem System kommt es ständig zu verschiedenen Wechselwirkungen, Bedingungen und Einflüssen. Durch diese dynamischen Faktoren kommt es zu den jeweiligen Zeitpunkten zu unterschiedlichen Kombinationen, welche im Nachhinein schwer rückverfolgbar sind. Und genau diese Kombinationen können ausschlaggebend sein, für die Auslösung unerwünschter Ereignisse. Die Lösung dieses Problems? Durch eine Anpassung der bereits beschriebenen Performance Variabilität können wir lernen, in solchen Situationen sicher zu handeln.
Zitat

We have modified our environment so radically that we must now modify ourselves in order to exist in this new environment. We can no longer live in the old one.

Norbert Wiener

Die Grundannahmen eines neuen Sicherheitsdenken im Vergleich.

Durch die Entwicklung von Safety-II wird unser Sicherheitsdenken ordentlich durcheinander gebracht. Um den Überblick nicht zu verlieren, gibt es hier einen kurzen Vergleich. Wichtig ist, dass unsere bisherigen Sichtweisen (Safety-II) nicht ersetzt werden. Vielmehr werden sie ergänzt. Ihre Bedeutung bleibt somit erhalten. Nur die Sichtweise ist nun eine Ganzheitliche.

Safety-I

Sicherheit
Sicherheit bedeutet, so wenig unerwünschte Ereignisse wie möglich zu zulassen.

Safety-II

Sicherheit
Sicherheit bedeutet, so viele Ereignisse wie möglich erfolgreich zu handhaben.

ver|ste|hen

Beispiele: verstanden; jemandem etwas zu verstehen geben

Jetzt hoffen wir natürlich, dass wir Dir genügend zum Verstehen gegeben haben. Wenn trotzdem noch etwas offen ist, dann kannst Du auch persönlich mit uns in Kontakt treten. Wir stehen für alle Fragen zur Verfügung. Oder hast Du unter Umständen Lust auf mehr bekommen? Dann ist vielleicht bei unseren Leistungen etwas passendes für Dich dabei.

Weiterführende Literatur

Hollnagel, Erik (2014): Safety-I and Safety-II. The Past and Future of Safety Management, Surrey: Ashgate Publishing Limited.
 
Hollnagel, Erik et al. (2013): From Safety-I to Safety-II: A White Paper, Brussels: European Organisation for the Safety of Air Navigation (Eurocontrol).
 
Perrow, Charles (1984): Normal Accidents. Living with High-Risk Technologies, New York: Basic Books.
 
Reason, James (1990): The contribution of latent human failures to the breakdown of complex systems, in: Philosophical Transactions of the Royal Society of London. Series B, Biological Sciences, 327, Nr. 1241, 475–484.
 
Reason, James (1990): Human Error, Cambridge: Cambridge University Press.

Reason, James (2000): Human error: models and management, in: British Medical Journal, 320, Nr. 7237, 768–770.

Roberts, Karlene H. (1990): Managing High Reliability Organizations, in: California Management Review, 32, Nr. 4, 101–113.
 
Roberts, Karlene H. (1990): Some Characteristics of One Type of High Reliability Organization, in: Organization Science, 1, Nr. 2, 160–176.
 
Rochlin, Gene I.; La Porte, Todd R.; Roberts, Karlene H. (1987): The self-designing high reliability organization: aircraft carrier flight operation at sea, in: Naval War College Review, 40, 76–90.
 
Sabet, Pejman Ghasemi Poor Sabet et al. (2013): Application of Domino Theory to Justify and Prevent Accident Occurance in Construction Sites, in: Journal of Mechanical and Civil Engineering, 6, Nr. 2, 72–76.
Shorrock, Seven et al. (2014): Systems Thinking for Safety: Ten Principles. A White Paper.Moving towards Safety-II, Brussels: European Organisation for the Safety of Air Navigation (Eurocontrol).
 
Shrivastava, Samir; Sonpar, Karan; Pazzaglia, Federica (2009): Normal Accident Theory versus High Reliability Theory: A resolution and call for an open systems view of accidents, in: Human Relations, 62, Nr. 9, 1357–1390.
 
Staender, Sven; Kaufmann, Mark (2015): Sicherheitsmanagement 2015: von zu , in: Schweizerische Ärztezeitung, 96, Nr. 5, 154–157.

Sutcliffe, Kathleen M. (2011): High reliability organizations (HROs), in: Best Practice and Research.Clinical Anaesthesiology, 25, 133–144.

Toft, Yvonne et al. (2012): Models of Causation: Safety, Tullamarine: Safety Institute of Australia Ltd.Weick, Karl E. (1987): Organizational culture as a source of high reliability, in: California Management Review, 29, 112–127.
 
Weick, Karl E.; Sutcliffe, Kathleen M. (2007): Managing the Unexpected. Resilient Performance in an Age of Uncertainty, San Francisco: Jossey-Bass.
 
Weick, Karl E.; Sutcliffe, Kathleen M.; Obstfeld, David (1999): Organizing for High Reliability: Processes of Collective Mindfulness, in: Research in Organizational Behaviour, 1, 81–123.
 
Wiener, Norbert (1989): The Human Use of Human Beings. Cybernetics and Society, London: Free Association Books.
 
Woods, D. D; Cook, R. I (2002): Nine Steps to Move Forward from Error, in: Cognition, Technology and Work, 4, 137–144.