Vorlesung 55470-01: How safe is safe enough? (PDF)

Summary

This document is a set of lecture notes for a course on safety management, specifically on assessing the degree of safety required for organizations with significant potential risk. It details the management system concept and its various components.

Full Transcript

Vorlesung 55470-01

How safe is safe enough?
Ansätze zur Optimierung der Sicherheit und Zuverlässigkeit in
Organisationen mit hohem Gefährdungspotential

Vorlesung 10

Herbstsemester 2024
Dr. Markus Schöbel
Universität Basel
1
 Agenda

Informa)onen zur Klausur
Lernziele Vorlesung 9
Managementsysteme und Sicherheitsmanagementsysteme
– DefiniIonen, AuKau und zentrale Merkmale
Spezifische Aspekte von Sicherheitsmanagementsystemen
– Indikatoren der Sicherheitsleistung
– OrganisaIonales Lernen (Erfahrungsrückfluss)
– Just culture

2
 Informa,onen zur Klausur

Klausur
– Mul%ple-Choice-Klausur (benotet)
– Klausur findet sta: am 10.12.24 von 10:15-11:45 Uhr im USB Gebäude B
Hörsaal 1 und Hörsaal 2
Studierende mit Anfangsbuchstaben ihres Nachnamens von „A...“ bis „ Led...“
schreiben die Klausur im Hörsaal 1 (im USB Gebäude B)
Studierende mit Anfangsbuchstaben ihres Nachnamens von „Lei…“ bis „Zih...“
schreiben die Klausur im Hörsaal 2 (im USB Gebäude B)
– Prüfungsstoff:
Foliensets und Vorlesungen
– KommunikaEon spezifischer Lernziele (ab Vorlesung 7)
– Foliensets auf ADAM (HS 2024: Lehrveranstaltung 55470-01 – How safe is safe
enough? Ansätze zur OpEmierung der Sicherheit und Zuverlässigkeit in
OrganisaEonen mit hohem GefährdungspotenEal)

3
 Informationen zur Klausur

Falls Sie noch Fragen bzgl. der Inhalte der Vorlesung haben, können Sie
mir diese Fragen bis FreitagmiVag (29.11.24) mailen
– Ich werde dann in der Klausurvorbereitungsvorlesung (VL 12) am 03.12.2024
Ihre Fragen behandeln
danach werde ich keine Fragen mehr beantworten!
– Stellen Sie bi:e konkrete Fragen und bi:e nicht: „Ich verstehe Folie X, X, X, X
und X nicht“J

4
 Lernziele Vorlesung 9

Big 5 in Teamwork-Modell
Psychologische Sicherheit
Menschliche Redundanz
Trainings im Sicherheitskontext
Non-technical skills (NTS) & Behavioral Marker

5
 Beispielfrage

K-Prim-Frage
Wofür kann man Verhaltensmarkersysteme (behavioral markers) sinnvoll nutzen?
a) als Instrument zur Beurteilung der Teamleistung in Simulatortrainings
b) als eine gemeinsame Sprache für die Erörterung nicht-technischer Fähigkeiten
(z.B. relevant zur Strukturierung von Briefings und Debriefings)
c) als Mi:el und Wege, um die psychologische Sicherheit in Teams zu erhöhen
d) als Massnahme zur Erfassung von Automa%onsfehlern
 Beispielfrage

A-Frage
Welches Merkmal gehört nicht zu den Big-5 im Teamwork-Modell von Salas et al. (2006)?
a) Team leadership (Teamführung)
b) Backup behavior (Backup Verhalten)
c) Team orientaEon (TeamorienEerung)
d) Team learning (Teamlernen)
e) Mutual performance monitoring (gegenseiEge Leistungsüberwachung)
Managementsysteme und
Sicherheitsmanagementsysteme

8
 Managementsystem

System von Aufgaben, welches das Gestalten, Lenken und Weiterentwickeln
soziotechnischer OrganisaIonen umfasst (z.B. ISO 14001)
– Satz zusammenhängender Elemente, der gebraucht wird, um Zielsetzungen zu
formulieren und diese zu erreichen
– umfasst eine Organisa%onsstruktur, Planungsak%vitäten, Verantwortlichkeiten,
Prak%ken, Verfahren, Prozesse und Ressourcen
– Methoden des Management, die nicht einzeln verwendet werden, sondern
verknüpc einen übergeordneten gemeinsamen Zweck verfolgen

9
 Managementsystem

Ø Zentrale Merkmale eines Managementsystems
– Ziele
– Prozesse
– Indikatoren
– Kontinuierliche Prozessverbesserung (PDCA-Cycle)

10
 Ziele in Managementsystemen

Herkunc der Ziele
– Erwartungen/Anforderungen von Stakeholdern (z.B. Kapitalgebern, Kunden, Mitarbeitern,
Öffentlichkeit, Interessensgemeinschaeen, Lieferanten, Aufsichtsbehörden)
– Anforderungen aus Marktentwicklungen, Gesetzgebung, externen und internen Vorschrieen,
zuküneigen Anforderungen aus erkennbaren oder zu erwartenden poliEschen,
gesellschaelichen und technologischen Entwicklungen
– Visionen für die Zukune des Unternehmens
Formulierung und Ableitung von Zielen, welche die Anforderungen und Erwartungen bis
auf die opera%ve Prozessebene konkre%sieren
Messung der Erreichung und Umsetzung der Ziele erforderlich
 Hierarchische Ableitung von Zielen

Externe
Visionen Anforderungen und
Erwartungen

Unternehmenspoli%k

Unternehmensziele prozess-übergreifend (aber konkreter als Visionen)

Strategische übergeordnete Vorgaben für opera%ve Prozesse,
Managementziele prozessspezifisch festgelegt

Opera%ve Prozessziele der Kern-, Management- und
Prozessziele Unterstützungsprozesse, konkret formuliert und
quan%ta%v messbar
 Beispiel: Hierarchische Ableitung von Zielen
Externe
Visionen Anforderungen und
Erwartungen

Unternehmenspoli%k

Unternehmensziele „Unsere Anlage ist die sicherste Anlage in der Schweiz.“

Strategische «Verfügbarkeit von fachkundigem Personal in
Managementziele angemessener Stärke»

Opera%ve Prozess „Personalschulung“:
Prozessziele Ausbildung neuer Schichtleitenden entsprechend festgestelltem Bedarf
(mindestens Anzahl aus den Zielen der Sicherheitsperspek>ve, maximal
unter Berücksich>gung der Vorgaben des Personalbudgets)
Schulungsmaßnahmen entsprechend festgelegtem Schulungsprogramm
(mindestens Schulung entsprechend gesetzlicher Auflagen, maximal
unter Berücksich>gung der Vorgaben des Ausbildungsbudgets)
 Prozesse in Managementsystemen

Prozess:
– A process is thus a specific ordering of work ac5vi5es across 5me and place, with a
beginning, an end, and clearly iden5fied inputs and outputs: a structure for ac5on
(Davenport, 1993).
– Satz von in Wechselbeziehung stehenden Tä%gkeiten, der Eingaben in Ergebnisse
umwandelt (gemäß DIN EN ISO 9000: 2000)
jedem Prozess ist ein Ziel (oder mehrere Ziele) vorgegeben
– bei integrierten Managementsystemen sind Ziele für unterschiedliche Bereiche bzw.
Perspek%ven festzulegen, wie beispielsweise Sicherheit, Umweltschutz,
Arbeitssicherheit, etc.
Unterscheidung zwischen Führungs- oder Managementprozesse, Kernprozesse
und Unterstützungsprozesse

14
 Indikatoren in Managementsystemen

werden einzelnen Prozessen zugeordnet
erlauben die Messung der Prozessleistung (mit Vorgabe der Auswerteperiode)
machen Prozessleistung sichtbar, indem sie die Beurteilung des Grads der Zielerfüllung
der Unternehmens- und Prozessziele ermöglichen (Frühindikatoren für Veränderungen)
erlauben Überwachung und Steuerung des Unternehmenserfolgs bzw. der Prozesse und
Prozessergebnisse
erfassen Stärken und Schwächen von Prozessen (z.B. durch Iden%fika%on nicht erreichter
Prozessziele)
müssen in ihrem Zusammenhang zu anderen Prozessen und anderen Indikatoren
dargestellt werden
Beispielindikatoren: Ausschussquoten, Einhalten von Lieferterminen, Anzahl ungeplanter
S%llstände
Kon,nuierliche Prozessverbesserung in
Managementsystemen

GRS (2007). Managementsysteme in Kernkracwerken
 Kon,nuierliche Prozessverbesserung in
Managementsystemen
Förderung der Wirksamkeit eines Managementsystems durch kon%nuierliche
Prozessverbesserung
umgesetzt anhand des Plan-Do-Check-Act Zyklus (PDCA-Zyklus oder Deeming-Zyklus)
– Plan (Planen): Verbesserungenmaßnahmen werden in einem ersten Schril geplant
– Do (Umsetzen): Umsetzung der Verbesserungsmaßnahmen in der OrganisaEon (zunächst
„kleinere „Massnahmen, um Risiken zu vermeiden)
– Check (Überprüfen): Prüfung, ob die erzielten und messbaren Ergebnisse mit den in der Phase
„Plan“ getroffenen Prognosen übereinsEmmen oder Abweichungen idenEfiziert werden
können
– Act (Anpassen): ReakEon auf die Ergebnisse der Check-Phase
Bei ÜbereinsEmmung: Breite ImplementaEon von Massnahmen oder neue
Verbesserungsmöglichkeiten suchen (Plan-Phase)
Bei NichtübereinsEmmung: Pläne modifizieren, so dass die geplanten Verbesserungen
messbar zu erreichen sind (Plan-Phase)
 Managementsysteme
(was noch dazugehörtJ)
ProzessdokumentaIon
– z.B. grafische Darstellung des Prozesses, Prozessbeschreibung im Überblick
(Prozessmodell), Beschreibung aller Prozessschri:e, Gül%gkeitsbereiche, mitgeltende
und prozessspezifische Unterlagen wie z.B. Betriebshandbücher,
Qualitätssicherungshandbuch, Betriebs-, Arbeits-, und Verfahrensanweisungen
Zuweisung von Aufgaben und Verantwortungen
– Steuerkreis Prozessmanagement, Prozessmanagementbeaucragter, Prozessbetreuer,
Prozessverantwortlicher, Prozessbeteiligte
Durchführung von Management-Reviews
– regelmässige Überprüfung des Managementsystems durch die Unternehmensleitung
(mindestens einmal pro Jahr)
 Sicherheitsmanagementsystem (SMS)

zentrale Managementdisziplin für Organisa%onen mit hohem Gefährdungspoten%al!
hat das vorrangige Ziel, Kontrollverluste in soziotechnischen Systemen zu verhindern
(und damit inhärenten poten%ellen Gefahren Rechnung zu tragen)
– Verbesserung der Sicherheitsleistung der OrganisaEon (durch Planung, Kontrolle und
Überwachung sicherheitsrelevanter AkEvitäten in normalen, vorübergehenden und
NopallsituaEonen)
– Förderung und Unterstützung einer starken Sicherheitskultur (durch die Entwicklung und
Stärkung guter Sicherheitseinstellungen und -verhaltensweisen bei Einzelpersonen und Teams)
weitere Ziele
– Transparenz hinsichtlich Maßnahmen zur Gewährleistung von Sicherheit
– Indikatorenentwicklung als „Frühwarnsystem“
– regelmäßige Überprüfung der BetriebsorganisaEon
– DokumentaEon des Erfahrungsrückflusses, um Lernen zu ermöglichen

19
 Bestandteile von SMS

(1) SicherheitspoliIk
(2) Ressourcen für Sicherheit und Festlegung von Verantwortlichkeiten
(3) RisikoidenIfikaIon und Risikoverringerung
(4) Standards und Prozeduren
(5) auf Human-Factors-Wissen basierendes Systemdesign
(6) Sicherheitstraining und QualifikaIonen
(7) Monitoring der Sicherheitsleistung
(8) Meldewesen und Ereignisanalyse (organisaIonales Lernen)
(9) AudiIerung
(10) fortwährende Verbesserung
(11) Veränderungsmanagement

(Grote, 2012, S. 1984)
Spezifische Aspekte von
Sicherheitsmanagementsystemen
Ø Monitoring der Sicherheitsleistung: Sicherheitsindikatoren

21
 Sicherheitsindikatoren

informieren über die aktuelle Sicherheitsleistung
sind Proxy-Masse für Elemente, die in zugrundeliegenden
Sicherheitsmodellen als wich%g iden%fiziert wurden
sind Metriken, mit denen vergangene, aktuelle oder zuküncige
Sicherheitsrisiken abgeschätzt werden können
sollten in der Lage sein, organisatorische Prak%ken und Prozesse zu
iden%fizieren, die (nega%ve) Veränderungen in der Sicherheitsleistung der
Organisa%on vorwegnehmen bzw. an%zipieren
werden ocmals als Bewertungskriterium für individuelle und kollek%ve
Leistungen zur Festlegung von Boni und Gehaltserhöhungen eingesetzt
werden ocmals an Kunden und Aufsichtsbehörden kommuniziert
werden unterteilt in:
(1) lagging oder outcome indicators
(2) leading indicators
 Sicherheitsindikatoren

Lagging (oder outcome) indicators
– messen „vergangene“ Ergebnisse der soziotechnischen
Sicherheitsleistung
– werden insofern als nützlich erachtet, als das „vergangene“ Risiken den
gegenwär%gen und zuküncigen Risiken ähneln können
– Beispiele
Unfallrate
Anzahl der gemeldeten Beinahe-Unfälle
Anzahl ungeplanter automaEscher Abschaltungen
Ausfallsrate von Geräten
in Krankenhäusern erworbene InfekEonen
 Sicherheitsindikatoren

Leading indicators
– iden%fizieren Mängel oder „Lücken“ im Risikokontrollsystems, die bei
Rou%nekontrollen des Betriebs festgestellt wurden
– messen keine eingetretenen Ereignisse und Unfälle, sondern
Sicherheitsak%vitäten, die diese verhindern
– zeigen Veränderungen an, bevor sich das tatsächliche Risikoniveau der
Organisa%on geändert hat (Kjellen, 2009, p. 486)
– Beispiele:
Anzahl der Managementrundgänge pro Halbjahr
Kontrolle der Verfügbarkeit qualifizierter Arbeitskräee
Anzahl durchgeführter Überprüfungen an redundanten Sicherheitssystemen
 Limita,onen und Schwächen von
Sicherheitsindikatoren (Rae, 2018)
Ø Es besteht die Gefahr eines sub%len oder offenkundigen Drucks,
Sicherheitsindikatoren zu manipulieren (“manage the indicator“)
„Wege“ zur Senkung von Unfallzahlen (Rae, 2018)
– Verschleierung von Verletzungen/Unfällen durch Arbeitende, um Schuld und
Bestrafung zu vermeiden
– Nichterfassung schwerer Verletzungen, welche die Arbeit nicht behindern, wie z.B.
Gehörverlust
– Vermeidung der Einstufung als Arbeitsunfall, indem dem Arbeitnehmenden eine
andere Aufgabe zugewiesen wird („Schonarbeitsplatz“)
– Änderung des Beschäeigungsstatus von verletzten Arbeitnehmenden (z. B.
Entlassung des Arbeitnehmenden oder Verlagerung von Vollzeit auf Teilzeitarbeit)
– Nichtmelden von Unfällen des Fremdpersonals
– Ausschliessen von besEmmten Unfallarten (z.B. Transport- oder Wegeunfälle)
– Den Nenner - die offizielle Anzahl der geleisteten Arbeitsstunden - auwlasen, um
die Rate zu verringern, die aus einer besEmmten Anzahl von Verletzungen
ermilelt wurde
 Limita,onen und Schwächen von
Sicherheitsindikatoren (Rae, 2018)
Das Regulator Paradox
Lagging oder outcome Indikatoren messen Sicherheit, indem sie Ereignisse
zählen, die auf die Abwesenheit von Sicherheit hinweisen
mit zunehmender Sicherheit der Systeme nimmt die Anzahl solcher Ereignisse
ab, wodurch sich das Wissen über die Größe und Art des Restrisikos
verringert
Ø Je erfolgreicher ein System gesteuert wird, desto weniger Feedback steht zur
Verfügung, um die Steuerung weiter zu verbessern
Ø in sehr sicheren Systemen sind viele Sicherheitsindikatoren für die
Verbesserung, den Vergleich oder die Trenderkennung unwirksam
Spezifische Aspekte von
Sicherheitsmanagementsystemen
Ø Meldewesen und Ereignisanalyse: OrganisaIonales Lernen

27
 Organisa,onales Lernen (OL)

Eine OrganisaIon lernt, wenn das Spektrum der potenziellen Verhaltensweisen
sich ändert, und wenn eine OrganisaIon bzw. einzelne Abteilungen ein Wissen
erzeugen, welches für die OrganisaIon nützlich ist (Huber, 1991, S.89).
– als bewusster und systemaEscher Prozess (Lipshitz et al., 2002)
– Erzeugung von validen Wissen, d.h. Wissen, das mit kriEschen Bewertungen/ReflekEonen
übereinsEmmt und nicht auf willkürlich verfälschten InformaEonen oder nicht in Frage
gestellten InterpretaEonen basiert (Lipshitz et al., 2002)
OL ist das Erkennen und die Korrektur von Fehlern (Argyris und Schön, 1996)
– OL umfasst die Einsicht als auch das Handeln
– OL betrachtet das Lernen als einen zyklischen Prozess, der die Bewertung vergangenen
Verhaltens, die Entdeckung von Fehlern oder Gelegenheiten, die „Erfindung“ neuer
Verhaltensweisen und deren Umsetzung umfasst

28
 Organisa,onale Lernen

Unterscheidung zwischen drei Lernebenen (Argyris & Schön, 1978; 1996)
Single-Loop-Learning (Einschleifenlernen)
– Soll-/Ist-Abweichungen bei Handlungen werden korrigiert (ohne Hinterfragung der Ursachen!)
Double-Loop-Learning (Doppelschleifenlernen)
– Soll-/Ist-Abweichungen bei Handlungen werden korrigiert, in dem die den Handlungen
zugrunde liegenden Ziele, Bezugsrahmen, Werte und Normen (zusammengefasst als Governing
Variables) reflekEert und „manipuliert“ werden
– Eine lernende OrganisaEon liegt nach Argyris & Schön erst dann vor, wenn das
Doppelschleifenlernen stayindet!
Deutero-Learning
– umfasst alle Lernprozesse, welche die Fähigkeiten des Einschleifenlernens und des
Doppelschleifenlernens verbessern können
– wird auch als Problemlösungslernen, Prozesslernen oder Entwicklungslernen bezeichnet

29
 Organisa,onale Lernen

Argyris & Schön (1978; 1996): Unterscheidung zwischen drei Lernebenen

Match

Governing Mismatch
Ac%ons Consequences
Variables
Single-loop-Learning

Double-loop-Learning

Deutero-Learning
 Organisa,onales Lernen durch ein
Sicherheitsinforma,onssystem (in grau, Kjellen, 2000)
Analyse und
Zusammenfassung von Daten/
An LinienorganisaEon, Gedächtnis
Entwicklung von
Sicherheitsverantwortliche,
„Gegenmassnahmen“
Arbeitende, usw.
Berichte über
Verbreitung der Unfälle, Risiko-
lessons learned Auswertung analysen, Normen,
Regeln,
Vorschrieen, etc.

Umsetzung
Entscheidungen
Umsetzungen Datensammlung

Meldungen über Unfälle, Beinahe-Unfälle und
unsichere Bedingungen, Ergebnisse von
ProdukIonssystem
ArbeitsplatzinspekEonen, Risikoanalysen und
Sicherheitsaudits
 Datensammlung: Meldesysteme

für die Sammlung und Auswertung von sicherheitsrelevanten Informa%onen
wesentlich
Registrierung von Vorfällen und Ereignissen mit potenziellen Sicherheitsbezug
(freiwillige) Meldungen umfassen idealerweise Informa%onen über das jeweilige
Ereignis selbst (was geschehen ist) und den Kontext, in dem es sta:gefunden hat (die
situa%ven Bedingungen)
Ereignisse, die systemrelevant sind, erfordern in hochregulierten Branchen i.d.R.
(neben der internen Meldung) verbindlich eine zusätzliche Meldung an die jeweils
aufsichuührende Behörde oder Ins%tu%on

32
 Beispiel: Cri$cal Incident Repor$ng System
(CIRS) in der Medizin
Was wird gemeldet?
alle Fehler, Risiken, kri%schen Ereignisse und Beinahe-Schäden in der Versorgung der
Pa%enten, Bewohner bzw. Klienten, wenn zum Zeitpunkt des Berichtens kein Schaden
des Pa%enten, Bewohners bzw. Klienten durch das Ereignis bzw. das Risiko erkennbar ist
Meldungen zur erfolgreichen Bewäl%gung von Fehlern bzw. über Lösungsansätze für
kri%sche Situa%onen
Allgemeine Rahmenbedingungen
Sank%onsfreiheit, Freiwilligkeit und Möglichkeit zur Anonymität
– Festgehalten in schriel. Vereinbarung zwischen der Leitung einer Gesundheitseinrichtung und
den beteiligten Personen (Mitarbeitern)
strikte Trennung zwischen CIRS und Systemen für Schadensmeldungen
Informa%on aller Mitarbeitenden über die sie betreffenden juris%schen
Rahmenbedingungen

33
Ak#onsbündnis Pa#entensicherheit, Pla5orm Pa#entensicherheit, S#8ung Pa#entensicherheit (2016)
 Beispielbericht CIRS
Beschreibung des Ereignisses:
Ein 72-jähriger Pa%ent soll wegen einer durch Arteriosklerose verursachten Einengung seiner
linken Halsschlagader (Arteria caro%s) offen chirurgisch (Endarteriektomie) operiert werden.
Als Anästhesieverfahren wird mit dem Pa%enten eine Regionalanästhesie vereinbart.
Üblicherweise werden in diesem Krankenhaus die Extremitäten, an denen die Opera%on
vorgenommen werden soll, gekennzeichnet. Dieses unterblieb bei Opera%onen am
Körperstamm, zum Beispiel auch im Bereich des Halses. Der Anästhesiepfleger bereitet die
Anlage der Regionalanästhesie vor und zwar so, wie für die rechte Halsseite. Der Anästhesist
überprüc die Rich%gkeit der zu operierenden Halsseite noch einmal, bevor er mit der Anlage
der Regionalanästhesie beginnt und entdeckt dabei die Verwechslung.
Beschreibung der Folgen des Ereignisses:
Im Ergebnis wird die rich%ge Halsseite anästhesiert.
Beschreibung möglicher PrävenDonsmassnahmen:
Ab sofort wird der jeweilige Opera%onssitus auch am Körperstamm und am Hals präopera%v
(vor der Verbringung des Pa%enten in den OP) deutlich gekennzeichnet.
34
Ak#onsbündnis Pa#entensicherheit, Pla5orm Pa#entensicherheit, S#8ung Pa#entensicherheit (2016, S.39)
 Merkmale von (internen) Meldesystemen

Anonymität (Ritz, 2015)
die meldende Person bleibt unbekannt
dadurch niedrige Meldeschwelle = häufigere Meldungen
Nachteile
– oemals keine GaranEe für Anonymität, da anhand des Inhaltes von Meldungen häufig bereits
schnell nachvollzogen werden kann, von welcher Person oder aus welchem FunkEonsbereich
eine Meldung abgesetzt wurde
– Meldende Personen sehen sich gezwungen, die Inhalte der Meldungen so zu verallgemeinern,
dass daraus keine verwertbaren InformaEonen mehr gewonnen werden können
– keine Rückfragen zum Ereignis möglich
– Meldende erhalten kein Feedback zur Meldung (Was passiert mit der Meldung?)

35
 Merkmale von (internen) Meldesystemen

Vertraulichkeit und SankIonsfreiheit (Ritz, 2015)
Gewährleistung des Schutzes der Meldenden vor Sank%onen
dadurch können Bedingungen ermi:elt werden, die Handlungen nega%v beeinflusst
haben
Nachteile:
– Haeungsfragen!
– SankEonsfreiheit? (später mehr dazu: Just culture!)
Offenheit (Ritz, 2015)
Iden%tät der meldenden Person für Organisa%onmitglieder innerhalb der Organisa%on
öffentlich zugänglich (wich%g: explizites Einverständnis der meldenden Person)
entscheidender Nachteil von offenen Meldungen besteht darin, dass bei der ersten
Erfahrung von nega%ven Konsequenzen durch eine Meldung das Vertrauen der
Belegschac in das Meldewesen und eventuell in die gesamte Organisa%on verloren geht

36
 Kultur und Meldesysteme

Schuldkultur
– Personen werden rouEnemäßig für Fehler bestrae, die zu negaEven Sicherheits- oder
Betriebsfolgen führen
– Höhe der Bestrafung hängt (eher) vom Umfang der negaEven Konsequenz ab als von der Art
der Beteiligung des Einzelnen am Vorfall (Reason, 2000; Runciman et al., 2003)
– Problem ist die geringe Wahrscheinlichkeit, dass Fehler gemeldet werden
No-Blame-Kultur
– Personen werden nicht bestrae, wenn sie ein Ereignis melden und an der
Untersuchung/Analyse mitarbeiten
– Problem ist (1) der Umgang mit Personen, die eindeuEg rücksichtslos gehandelt haben (z.B.
absichtliche Nichtbefolgung von Regeln und Prozeduren, da eine spätere Meldung Immunität
gewähren würde) und (2) die SpekulaEon über möglichen Umgang mit den Meldenden

37
 Kultur und Meldesysteme

Just culture! (gerechte Kultur)
– Ausgangspunkt der Einführung einer just culture war die geringe Anzahl gemeldeter (Beinahe-)
Ereignisse und Vorkommnisse und die in vielen Unternehmen vorherrschende Schuldkultur
– fokussiert wie eine OrganisaEon mit Fragen der Schuld und möglichen SankEonierungen
umgeht
– Annahme: OrganisaEonsmitglieder, die den Umgang mit sicherheitskriEschen InformaEonen als
gerecht und fair betrachten, sind moEviert, diese InformaEonen weiterzugeben
– basiert auf dem Wissen, dem Vertrauen und dem Verstehen, wo und wie in OrganisaEonen die
Linie zwischen akzeptablen (oder verantwortlichen) und nichtakzeptablen (oder
verantwortungslosen) Verhaltensweisen gezogen wird, d.h. es wird zwischen akzeptablem und
inakzeptablem Verhalten unterschieden
diejenigen werden nicht bestrae, die echte (unabsichtliche) Fehler begehen
diejenigen werden bestrae, die klar rücksichtslos handeln oder nicht gerechperEgte
Risiken eingehen

38
 Skyguide, just culture und das Gericht
Am 15. März 2011 um 12.40 Uhr erhielten am Flughafen Zürich zwei Maschinen kurz nacheinander
eine Freigabe und setzten zum Start auf den sich kreuzenden Pisten 16 und 28 an. Die Maschine auf
Piste 16 startete wie vorgesehen, während die Maschine auf Piste 28 den Start abbrach. Der am
Vorfall beteiligte Flugverkehrsleiter meldete diesen Vorfall, der weder zu Personen- noch zu
Sachschaden führte, freiwillig und trug damit akEv zur Au}lärung der Hintergründe bei.
Dennoch wurde gegen ihn ein Strafverfahren eingeleitet. Er musste sich im Dezember 2014 und im
April 2016 vor dem Bezirksgericht Bülach wegen Störung des öffentlichen Verkehrs verantworten
und wurde dort freigesprochen. Dagegen rekurrierte die Staatsanwaltschae und zog den Fall an das
Zürcher Obergericht weiter. Dieses sprach den Flugverkehrsleiter im Dezember 2018 schuldig.
Gegen dieses Urteil reichte der Flugverkehrsleiter beim Bundesgericht in Lausanne erfolgreich
Beschwerde ein.
Trotz dieses erfreulichen Freispruchs ist skyguide davon überzeugt, dass für die in der AviaEk
gelebte Sicherheitskultur "Just Culture" im Schweizer Gesetz ein Rahmen fixiert werden muss. "Just
Culture" ermöglicht es Mitarbeitenden, Fehler zu melden, ohne disziplinarische Konsequenzen
befürchten zu müssen, sofern diese nicht mutwillig oder grobfahrlässig begangen wurden. Aus
diesen freiwilligen, ehrlichen und umfassenden Meldungen kann die OrganisaEon rasch
Verbesserungen ableiten und Maßnahmen ergreifen. An dieser "Just Culture" hält skyguide auch
weiterhin fest, um auch küneig eine sichere und effiziente Flugsicherung in der Schweiz zu
gewährleisten. 39
 Kultur und Meldesysteme

Just culture!
Konzept der Just culture mi:lerweile in vielen Branchen etabliert (z.B. Bahn, Lucfahrt,
Kernkracwerke, Medizin)
Just culture als eine wich%ge Dimension der Sicherheitskultur

Entscheidende Frage:
Wann ist jemand Schuld bzw. hat sich inakzeptabel
verhalten?

40
 Wann ist jemand Schuld bzw. hat sich
inakzeptabel verhalten?
Schon häufiger
War das NEIN Verbotene NEIN Bewusster NEIN
Subs%tu%ons JA sicherheits-
Verhalten Substanzen Verstoß gegen gefährdend
-test bestanden?
beabsich%gt? im Spiel? Sicherheitsregel? gehandelt ?
NEIN
JA JA
JA
NEIN Defizite in
Waren die Training, JA
Medizinische
Vorschricen Ausbildung oder NEIN
Notwendigkeit?
Waren die ausführbar? Erfahrung?
Konsequenzen Schuldloses
beabsich%gt? NEIN Verhalten,
NEIN JA Schuld-
JA aber Training
JA loses
System- System- und Beratung
NEIN Fahr- induzierter nö5g Verhalten
induzierte
JA Rücksichts- Regelver- Lässiger Fehler
Missbrauch loses Fehler
letzung
Missbrauch mit Verhalten U W E ISU N G
ohne E S C H ULDZ
Indika5on
N E H M EN D
Indika5on AB
Sabotage Entscheidungsbaum zur Schuldfrage (Reason, 1997)
 Wann ist jemand Schuld bzw. hat sich
inakzeptabel verhalten?
Marx (1997):
Schuld nicht am eigentlichen Verhalten (Fehler oder Regelverletzung) und den daraus
resul%erenden Konsequenzen ausmachen, sondern anhand der Umstände, unter denen
das Verhalten ausgeführt wurde
Sank%onierung sollte nur bei rücksichtslosen Verhalten (bewusste Missachtung
substan%eller Risiken) und bei absichtlichen – rücksichtslosen - Regelverstößen erfolgen,
während menschliches Fehlverhalten und Unachtsamkeit nicht zu bestrafen sind
Reason (1997) SubsItuIonstest:
Frage: Würde sich eine andere Person (mit gleicher Qualifika%on und Exper%se) unter
denselben Umständen anders verhalten?
Bei Antwort „wahrscheinlich nicht“ sollte von Schuldzuweisungen und Disziplinierungen
abgesehen werden

42
 Wann ist jemand Schuld bzw. hat sich
inakzeptabel verhalten?
KriIk von Dekker & Breakey (2016)
stark individualis%scher Fokus: Wer hat etwas falsch gemacht und wie gehen wir mit ihm
um? Ansta:: Was ist schiefgelaufen und wie können wir es in Ordnung bringen, damit so
etwas nicht nochmal passiert?
Regeln und Prozeduren haben generell eine a priori und nicht in Frage zu stellende
Legi%mität (Moralität und Legi%mität von Regelinhalten führen zu Problemen der
substanziellen Gerech%gkeit)
Fragen der prozeduralen Gerech%gkeit: Durch welche Prozeduren bzw.
Entscheidungsprozesse, aufgrund welcher Informa%onen und von wem wird die Schuld
festgelegt?
Umgang mit dem vorhandenen Schaden (mee5ng hurt with healing, not with more hurt,
S. 191) im Sinne einer restaura%ven Gerech%gkeit muss im Rahmen von
Fairnessbetrachtungen Beachtung finden

43
 Analyse und Auswertung von
Sicherheitsdaten
Ø Methoden der Ereignisanalyse:
– zielen darauf ab, die Ursachen für das Aucreten von Ereignissen zu ermi:eln, um
Korrekturmaßnahmen zu definieren und umzusetzen
– intendieren eine Verbesserung des Sicherheitsniveaus eines Systems (durch die
Umsetzung der „Lessons learned“)
– geben bes%mmte Unfallursachekategorien vor
– besitzen zumeist unterschiedliche Prioritäten bei der Analyse von Ereignissen (z.B.
Fokus auf technische, menschliche und /oder organisatorische Faktoren)
– Beispiele:
MORT (Management and Oversight Risk Tree) (Johnson, 1973)
MTO (Man Technology and Organiza>on) (Sklet, 2002, 2004)
HFCAS (Human Factors Analysis and Classifica>on System) (Shappell & Wiegmann, 2000)
SOL (Safety through Organisa>onal Learning) (Fahlbruch and Schöbel, 2011)

44
 Analyse und Auswertung von
Sicherheitsdaten
HFCAS (Human Factors Analysis and
Classifica>on System, Shappell &
Wiegmann, 2000)

Ø basiert auf dem Konzept von Reason
(1990) für latente und ak%ve Fehler
Ø vier Fehlerebenen
– unsichere Handlungen
– Voraussetzungen für unsichere
Handlungen
– unsichere Überwachung/Führung
– organisatorische Einflüsse

45
 Limi,erende Faktoren des organisa,onalen
Lernens (Kjellen, 2000)
Mangelnde Zuverlässigkeit bei der Berichtersta:ung und Nachverfolgung von
Erfahrungen
– z.B. durch mangelnde Bereitschae der Mitarbeitenden meldepflichEge Unfälle, Beinahe-
Unfällen oder unsichere Handlungen zu melden (underrepor=ng)
– z.B. durch Versäumnis, geplante SicherheitsinspekEonen und Sicherheitsaudits durchzuführen
– z.B. durch unsystemaEsche Betrachtung von Abweichungen
Unzureichende Genauigkeit bei der Wiedergabe von Fakten und von Erfahrungen

46
 Limi,erende Faktoren des organisa,onalen
Lernens (Kjellen, 2000, 2018)
Unzureichende Erfassung von Erfahrungen durch Filter und Verzerrungen
– Unfalluntersuchungen, die nur den eigentlichen Kontrollverlust fokussieren, und
beeinflussende Faktoren der Arbeitsumgebung, der OrganisaEons- und Managementsystemen
ignorieren
– Keine Meldung von Vorfällen oder unerwünschten Ereignissen, bei denen menschliches
Versagen eine zentrale Rolle gespielt hat (wegen Schuldzuweisungen, potenEellen
Disziplinarmaßnahmen, etc.)
– Fokus von InspekEonen am Arbeitsplatz nur auf „offensichtliche Abweichungen“ (z.B.
housekeeping, falsche Arbeitsausführung)
„Verwässerung“ des Systems durch zu viele Sicherheitsdaten zum Personal, der Anlage
und den Prozessen, wodurch es schwierig wird, kri%sche Vorfälle zu iden%fizieren,
welche möglicherweise Warnsignale für potenzielle Großschäden darstellen

47
 Limi,erende Faktoren:
Fixes that fail (Carroll,
ORGANIZATIONAL 1998,
LEARNING p.715)
ACTIVITIES 715

Leider immer noch die zwei
Standard-Antworten nach
Ereignissen

Figure 4. Fixes that fail
48
 Zusammenfassung
Sicherheitsmanagementsystem

Ganzheitlicher Ansatz, der anhand von Zielen, Prozessen und Indikatoren die
Überprüfung der Sicherheitsleistung einer OrganisaIon zulässt
fokussiert die Kontrolle von Risiken und die SelbstopImierung von
OrganisaIonen durch Lernen
ErfolgskriIsch ist:
– Festlegung und Einbelung sinnvoller Sicherheitsindikatoren, welche die Steuerung von
Sicherheitsmanagementsystemen massgeblich beeinflussen
– Vorhandensein einer just-culture

bisher nur „dürrige“ empirische Evidenz zur Wirksamkeit von SMS (obwohl
es alle machen)
 Referenzen
Ak#onsbündnis Pa#entensicherheit, Pla5orm Pa#entensicherheit, S#8ung Pa#entensicherheit (2016): Einrichtung und erfolgreicher Betrieb eines
Berichts- und Lernsystems (CIRS). Handlungsempfehlung für sta#onäre Einrichtungen im Gesundheitswesen, Berlin
Argyris, C., & Schön, D. (1978) Organisa?onal learning: A theory of ac?on perspec?ve. Reading, Mass: Addison Wesley.
Carroll, J. S. (1998). Organiza#onal learning ac#vi#es in high-hazard industries: the logics underlying self-analysis. Journal of Management studies, 35(6),
699-717.
Dekker, S. W., Breakey, H. (2016). ‘Just culture:’ improving safety by achieving substan#ve, procedural and restora#ve jus#ce. Safety science, 85, 187-193.
Grote, G. (2012). Safety management in different high-risk domains – all the same? Safety Science, 50(10), 1983-1992.
GRS (2007). Managementsysteme in KernkraLwerken. GRS – Bericht 229. Köln: GRS GbmH.
Huber, G. P. (1991). Organiza#onal learning: The contribu#ng processes and the literatures. Organiza?on science, 2(1), 88-115.
Li, Y., & Guldenmund, F. W. (2018). Safety management systems: A broad overview of the literature. Safety Science, 103, 94-123.
Lipshitz, R., Popper, M., & Friedman, V. J. (2002). A mul#facet model of organiza#onal learning. The journal of applied behavioral science, 38(1), 78-98.
Marx, D. (1997). Discipline: The Importance of Men Rea. Ground Effects, 2, 1-5.
Nonaka, I. (1994). A dynamic theory of organiza#onal knowledge crea#on. Organiza?on science, 5(1), 14-37.
Kjellén, U. (2000). Preven?on of accidents through experience feedback. CRC Press.
Kjellen, U. (2018). Experience Feedback. In: Möller, N., Hansson, S. O., Holmberg, J. E., & Rollenhagen, C. (Eds.). Handbook of Safety Principles (Vol. 9).
John Wiley & Sons.
Popper, M., & Lipshitz, R. (1998). Organiza#onal learning mechanisms: A structural and cultural approach to organiza#onal learning. The Journal of
Applied Behavioral Science, 34(2), 161-179.
Reason, J. (1997). Managing the Risks of Organiza?onal Accidents. Routledge.
Reason, J. (1998). Achieving a safe culture: theory and prac#ce. Work & Stress, 12(3), 293-306.
Rae, D. (2017). Risk and Safety Indicators. In: Möller, N., Hansson, S. O., Holmberg, J. E., & Rollenhagen, C. (Eds.). Handbook of Safety Principles (Vol. 9)
(p.142-163). John Wiley & Sons.
Reiman, T., & Pie#käinen, E. (2012). Leading indicators of system safety–monitoring and driving the organiza#onal safety poten#al. Safety science, 50(10),
1993-2000.
Ritz, F. (2015). Betriebliches Sicherheitsmanagement: Au^au und Entwicklung widerstandsfähiger Arbeitssysteme. Schäffer-Poeschel.
Schön, D. A., & Argyris, C. (1996). Organiza?onal learning II: Theory, method and prac?ce. Reading: Addison Wesley, 305(2).
50