Fehler Eins E-Book

Zum Inhalt:

„UNGLAUBLICH INSPIRIEREND!“

In einer komplexen Welt haben Fehler oftmals gravierende Auswirkungen. Die Auswirkungen stehen am Ende einer Fehlerkette. Dieses Buch hilft Ihnen, die Perspektive zu verändern und den Blick auf den Beginn der Fehlerkette, den FEHLEREINS, zu richten.

Lernen Sie, wie Unfälle entstehen, warum wir uns oft irrational verhalten und Fehler machen.

Erleben Sie, was eine echte Fehlerkultur ausmacht und wie man sie aufbaut.

Erkennen Sie, wie man wirklich aus Fehlern lernen kann und ungeahnte Potentiale für Verbesserungen nutzt.

Eckhard Jann bringt Aspekte von Sicherheitsmanagement, Psychologie, Fehlertheorie und Untersuchungsmethoden zusammen und beschreibt sie einfach und verständlich. Das Buch liefert viele Hintergründe, anschauliche Beispiele und unterhaltsame Anekdoten.

Sie werden anschließend in der Lage sein, den FEHLEREINS zu entdecken. Damit können Sie die richtigen Schlussfolgerungen ziehen und gravierende Fehlentscheidungen, Unfälle oder Katastrophen verhindern.

Und was das alles mit Käsescheiben zu tun hat, erfahren Sie in diesem Buch.

DisclaimerAlle Beispiele sind wahrheitsgemäß dargestellt. Bekannte Vorfälle stammen ausschließlich aus öffentlich zugänglichen Quellen. Vertrauliche Berichte wurden so weit anonymisiert und verändert, dass weder Personen noch Unternehmen identifizierbar sind. Ähnlichkeiten wären zufällig und nicht beabsichtigt.

Es sind stets Personen männlichen, weiblichen, diversen Geschlechts gleichermaßen gemeint; aus Gründen der einfacheren Lesbarkeit wird nur die männliche Form verwendet.

Zum Autor:

Eckhard Jann ist Flugkapitän, Trainer, Berater und blickt auf 25 Jahre Erfahrung als leitender Sicherheitsmanager in der Luftfahrt zurück.

Er entwickelte vor über zehn Jahren den ersten und einzigen Unfalluntersucherlehrgang in der deutschen Luftfahrt und hat mittlerweile hunderte Sicherheitsmanager und Untersucher ausgebildet. Er ist außerdem renommierter Redner und hat auf diversen nationalen und internationalen Veranstaltungen Vorträge gehalten.

FEHLER EINS

Alles beginnt aus einem Grund

von Eckhard Jann

111 Wie Unfälle entstehen

13Kapitel 1Verkettung von Fehlern

Die Challenger-Katastrophe

Der 28. Januar 1986 endete in einem Fiasko für die NASA.

Es war ein ungewöhnlich kalter Tag in Florida. Ein Blizzard hatte kalte Luft vom Norden bis an die Atlantikküste in Florida getragen. Die Temperaturen sanken bis auf -4° C. An den Geräten der Startrampe hingen lange Eiszapfen. Und das ausgerechnet an dem Tag, als die 25. Spaceshuttle-Mission starten sollte, mit besonderer Beladung an Bord. Die Lehrerin Christa McAuliffe sollte als erste Zivilistin mitfliegen, um aus dem Weltall Unterricht zu geben. Dies war mehr eine PR-Mission, um die amerikanische Bevölkerung wieder für die NASA und ihre Aufgaben zu begeistern.

14Der Start wurde schon vorher dreimal verschoben. Jedesmal gab es unterschiedliche Gründe, um den Start kurzfristig abzusagen. Zweimal spielte das Wetter nicht mit, ein anderes Mal gab es ein Warnsignal einer nicht verschlossenen Außenklappe, was sich später als Fehlwarnung herausstellte.

Das öffentliche Interesse war groß, ebenso groß war aber auch der Druck, der auf dem Spaceshuttle Program Manager lastete, das Challenger Spaceshuttle endlich starten zu lassen. Die Besucher, Zuschauer und Presse wie auch die amerikanische Öffentlichkeit wurden schon mehrfach vertröstet. Die Kamerateams und mit ihnen Millionen Menschen an Fernsehern weltweit warteten.

Um 11:38 Uhr, die Außentemperatur betrug noch 2°Celsius, startete das Spaceshuttle Challenger zu seiner Weltraum-Mission. Die Triebwerke zündeten wie geplant und die Challenger hob mit 121 Tonnen Startgewicht ab. Die ersten 60 Sekunden lief alles nach Plan und die Kameras verfolgten den Start in den klaren Morgenhimmel über Cape Canaveral. Dann plötzlich, 73 Sekunden nach dem Abheben, explodierte das Spaceshuttle in einem großen Feuerball, übertragen live und in Farbe über Kameras millionenfach ins Fernsehen. Es herrschte Totenstille. Der NASA-Kommentator sagte sichtlich geschockt: „Offensichtlich haben wir eine gravierende Fehlfunktion.“

Sieben Astronauten verloren ihr Leben. Die Crew hatte keine Überlebens­chancen bei dieser Explosion.

Der amerikanische Präsident, Ronald Reagan, beauftragte eine Untersuchungskommission mit der Aufarbeitung der Challenger-Katastrophe. Der Untersuchungsbericht umfasste 170.000 Seiten und zeigte äußerst anschaulich, wie sich die Fehlerkette entwickeln konnte und unweigerlich zu dem Unglück führen musste.

Die primäre Ursache lag in den Gummidichtungen der beiden Hauptraketen (Booster), die links und rechts an dem Spaceshuttle montiert waren. Die Dichtungen sollten das Austreten von Treibstoff verhindern.

Die Gummidichtungen waren jedoch fehleranfällig. Fast genau ein Jahr zuvor kam es beim Start des Spaceshuttle Discovery bereits zum Gasaustritt an den Dichtungen. Der Hersteller der Booster-Raketen, Morton-Thiokol Inc., untersuchte den Vorfall und führte weitere Tests durch. Dabei fanden die Ingenieure heraus, dass die Dichtungen spröde und rissig wurden, sobald die Temperatur unter 10° Celsius lag. In einem Memo schrieb einer der Ingenieure: „Wir befürchten dass unter diesen Umständen die Raketen versagen könnten.“

Wie aber kam es, dass trotz dieser Erkenntnisse der Challenger-Start nicht verhindert wurde?

15Die Startfreigabe eines Spaceshuttle durchlief immer einen vierstufigen Prozess. Dieser Prozess sollte die Sicherheit erhöhen, denn nur wenn alle Stufen erfolgreich durchlaufen wurden, durfte eine Mission starten.

Die erste Stufe, die Ebene IV, berücksichtigte die Hersteller der verschiedenen Einzelbauteile. Sie alle mussten „grünes Licht“ geben, bevor die nächste Stufe, Ebene III ihr Okay geben konnte. Die Ebene III waren die NASA-Manager, die für die unterschiedlichen Untersysteme verantwortlich waren. Anschließend wurde auf Ebene II geprüft, ob sämtliche Sub- und Untersysteme zusammenhängend einsatzbereit waren. Die letzte Stufe war die Ebene I. Es war die Ebene der Mission-Manager der Nasa, die für die gesamte Mission ihre Zustimmung geben mussten. Erst wenn alle Stufen abgeschlossen waren, durfte ein Spaceshuttle starten.

Am Abend zuvor, rund 15 Stunden vor dem verhängnisvollen Start, gab es eine entscheidende Konferenz zwischen der NASA (Ebene III) und dem Team des Raketenherstellers Morton Thiokol (Ebene IV). Die beiden ­Thiokol-Ingenieure Boisjoly und Thompson erläuterten die unkalkulierbaren Risiken beim Start unter 10°C Außentemperatur. Die NASA-Manager waren entsetzt: „Der Abend vor einem Start ist ein verdammt schlechter Zeitpunkt, um sich neue Kriterien einfallen zu lassen. Mein Gott, was glauben Sie, wann wir starten sollten, erst im April?“

Die Stimmung zwischen dem Thiokol- und NASA-Team war auf dem Tiefstpunkt. Die Konferenz wurde für 30 Minuten unterbrochen. Der ebenfalls anwesende Geschäftsführer von Morton Thiokol, Jerald Mason, war verzweifelt. Seit Monaten hatte er Anschlussaufträge mit der NASA verhandelt und nun befürchtete er, dass zwei übervorsichtige Ingenieure das alles zunichtemachen könnten. Er fragte in die Runde: „Bin ich der Einzige, der bereit ist zu fliegen?“ Daraufhin schaute er die beiden Bedenkenträger an und sagte: „Jetzt ist der Zeitpunkt, Ihren Ingenieurshut abzulegen und Ihren Managementhut aufzusetzen!“ Die beiden Ingenieure verstummten. Sie dachten sich, dass das Problem mit den Dichtungsringen der NASA ja seit Monaten bekannt sei, und beließen es dabei.

Als die Konferenz zwischen Morton Thiokol und NASA wieder aufgenommen wurde, erläuterte der Vorstand des Raketenherstellers Joe Kilminster: „Wir sind mittlerweile zu einer anderen Einschätzung des Risikos gekommen. Wir halten den Start für vertretbar.“ Die verantwortlichen NASA-Manager der Prüfebene III waren erleichtert und meldeten, dass der Hersteller keine Einwände mehr hätte. Die Risiken der Dichtungsringe wurden danach bis zum verhängnisvollen Start nicht mehr erwähnt.

In der Nacht, als die Entscheidung für den Start getroffen wurde, lag die Temperatur bei –4°C und damit weit unterhalb der als kritisch betrachteten 10°C. 16Damit nahm die verhängnisvolle Kette ihren Lauf. Die Dichtungsringe an den Boosterraketen wurden spröde. Als die Challenger abhob und Richtung Weltraum flog, rissen die Dichtungen und große Mengen Treibstoff konnten austreten. Er entzündete sich am Abgasstrahl und führte zur Explosion der Rakete. Das Spaceshuttle Challenger brach auseinander. Knapp sechs Wochen später fanden Bergungsmannschaften die Leichen der sieben Astronauten. Drei der Besatzungsmitglieder hatten noch Zeit, um ihren Sauerstoff für den Notausstieg zu aktivieren. Möglicherweise lebten sie noch, als die Kapsel auf der Wasseroberfläche aufschlug.

Ihre Mission dauerte 73 Sekunden. Die Verkettung der Fehler, die zu dieser Katastrophe führten, begann aber viel früher, lange bevor es lebensgefährlich wurde.

Dieses Buch soll Ihnen helfen, Fehlerketten zu erkennen, den „FEHLEREINS“ rechtzeitig zu identifizieren und damit Katastrophen wie das Challenger-Unglück zu verhindern.

Katastrophen

Es gab in der Geschichte der Menschheit viele gravierende Unglücke, die am Ende einer Fehlerkette standen:

Untergang Titanic (1911)

Katastrophe von Bhopal (1984)

Challenger-Explosion (1986)

Nuklearkatastrophe von Tschernobyl (1986)

Untergang der Kursk (12. August 2000)

BP Deepwater Horizon (2010)

Und das ist nur ein kleiner Auszug aus der langen Liste der Unglücke und von Menschen verursachten Katastrophen.1

Wann sprechen wir überhaupt von einem Fehler und damit zusammenhängend von einer Fehlerkette?

Ein Fehler ist laut Duden etwas, das falsch ist, z.B. eine irrtümliche Entscheidung oder Maßnahme wie auch ein Fehlgriff. Wir betrachten also einen Fehler 17als etwas Unvorhergesehenes. Etwas gänzlich anderes ist beabsichtigtes (Fehl-)Verhalten, im Englischen „violation“. Der Unterschied liegt hier bei einem vorsätzlich falschen Verhalten, wie beispielsweise einer Straftat. Insofern handelt es sich dann nicht mehr um einen klassischen Fehler. Der Straftäter hat genau das erreicht, was er geplant hatte.

Als Fehler betrachte ich in diesem Kontext Verhalten und Ereignisse, die nicht geplant oder beabsichtigt waren. Diese Blickweise hilft uns, ein besseres Verständnis für die Entwicklung von Fehlerketten und Entstehung von Unglücken zu bekommen.

Fehlerketten

Für Unfälle, die von Menschen verursacht wurden, lag immer eine Kausalität vor, eine Beziehung zwischen Ursache und Wirkung. Fast immer gab es eine Kausalkette oder Fehlerkette mit einem Beginn und Ende der Verkettung von Fehlern. Das klassische Ursache-Wirkungs-Prinzip. Die Ursache kann eine Kleinigkeit sein, ein winziger Ausrutscher, eine scheinbar harmlose Fehlentscheidung, die sich im Laufe der Zeit zu einer gewaltigen Katastrophe entwickelt.

Nehmen wir das Beispiel der Ölplattform Deepwater Horizon im Jahr 2001. Durch einen kleinen Fehler bei der Bedienung des Bohrgestänges wurde eine Dichtung beschädigt. Im Laufe der Tage danach entwich immer wieder Gas in großen Mengen. Als das Bohrloch verschlossen werden sollte, zeigten die Instrumente ungewöhnlich hohen Druck an. Die Daten wurden als „fehlerhaft“ interpretiert. Der massive Druck schleuderte Öl, Gas und Schlamm aus dem Bohrloch. Der automatische Sicherheitsverschluss war defekt und konnte das Bohrgestänge nicht schließen. Um 21:55 Uhr entwich eine Gasblase und es kam zur Explosion mit einem 75 Meter hohen Feuerball. Elf Menschen starben bei dem Unglück. Der Unfall führte zur größten Ölpest im Golf von Mexiko und zur schwersten Umweltkatastrophe dieser Art.

Ähnlich wie bei der Challenger-Katastrophe gab es eine kleine, ja fast winzige Ursache. Dieser kleine Auslöser hatte aber die Kraft, große Wirkung zu entfalten. Vergleichen lässt sich dies mit einer Reihe von aufgestellten Dominosteinen. Wird der erste Dominostein angetippt, fallen alle anderen Steine nacheinander unweigerlich um. Egal wie lang die Reihe ist, die Steine kippen um.

18Es gibt sogar öffentliche Veranstaltungen, die einen Wettbewerb daraus machen. Und manches Mal klappt es beim Wettbewerb dann doch nicht so, wie sich die Teilnehmer das vorgestellt hatten. Ein Stein kippt nicht wie geplant und die Kette wird unterbrochen. Ein einziger Stein würde ausreichen, um die Ereigniskette zu unterbrechen. Genauso verhält es sich mit Fehlerketten.

Am Anfang steht oft ein menschlicher Fehler, der den Beginn einer ganzen Reihe von Folgefehlern darstellen kann. 

Eine Reihe von Dominosteinen ist noch recht einfach, da linear. Unser Leben und unsere Organisationen sind aber nicht linear, sondern recht komplex. In einem Unternehmen gibt es viele Rädchen, die an verschiedenen Stellen ineinandergreifen. Wenn Sie an einem Rädchen drehen, einen Aspekt im Unternehmen verändern, kann es durchaus sein, dass an ganz anderer Stelle, unerwartet und ungeplant, Änderungen auftauchen. Gleichermaßen gilt das für Fehlerketten. Ein kleiner Anfangsfehler muss nicht zwangsläufig zu einem vorherbestimmten Vorfall führen. Die Fehlerkette kann Abzweigungen nehmen.

Auch hier kann die Fehlerkette wieder mit großen und verzweigten Domino­reihen verglichen werden. Die Dominoketten verzweigen sich, immer und immer wieder, bis am Ende unzählige Endpunkte herauskommen.

An welcher Stelle würden Sie jetzt einen Dominostein entfernen, um zu verhindern, dass die letzten Dominosteine umfallen? Ich nehme an, so früh wie möglich. Nach der ersten Abzweigung müssten Sie schon an zwei Stellen die Kette unterbrechen. Je länger die Fehlerkette wird, desto schwieriger wird es, gravierende Auswirkungen aufzuhalten. 

Im Alltag erleben wir so etwas täglich. Die Programme unseres Smartphones enthalten Millionen von Programmierzeilen. Sie enthalten Fehler. Je komplexer die Systeme und je umfangreicher die Zusammenhänge, desto gravierender die Auswirkungen solcher teils falsch programmierten Befehlszeilen. Täglich bekommen wir Updates und „Fehlerverbesserungen“ für Apps, Programme und Betriebssysteme. Das ist schon so normal geworden, dass wir uns kaum noch Gedanken darüber machen. Meist sind es ja auch nur kleine, vielleicht etwas lästige Probleme, aber zum Glück nichts Gravierendes. Nur hin und wieder erleben wir, wie die Fehlerkette sich unaufhaltsam fortsetzt und unser digitales Leben massiv beeinträchtigt.

Anfang Dezember 2019 erlebten deutschen Sparkassenkunden massive Probleme bei ihren Bankgeschäften. Betroffen waren Überweisungen, Lastschriften und Kartentransaktionen. Selbst Bargeld konnten die Kunden zweitweise nicht mehr abheben. Der Sparkassenverband sprach von einer 19„kleinen IT-Panne“. Für die Kunden waren die Probleme aber weder klein noch harmlos. Auslöser war ein IT-Fehler beim Dienstleister der Hessischen Landesbank. „Ursache für die Störung war ein Defekt bzw. Fehler in einer zentralen Komponente zur Verarbeitung von Zahlungsverkehrstransak­tionen“, sagte der zuständige Vorstand anschließend.

Ähnlich erging es Fluggesellschaften am Flughafen Paris-Orly im November 2015. Der Flughafen konnte für etliche Stunden kein einziges Flugzeug abfertigen, da eine wichtige Softwareverbindung unterbrochen war. Die Verbindung zwischen der Flugleitstelle und den Wetterdaten basierte auf einem 23 Jahre alten Betriebssystem namens „Windows 3.1“ aus dem Jahr 1992. Im Computerzeitalter ist das ein uraltes, fast schon historisches Betriebssystem. Keiner wusste mehr davon. Insofern wären vermutlich Software-Historiker für die Fehlersuche notwendig gewesen.

Wer hätte das gedacht: Das Betriebssystem Windows 3.1 aus 1992 legt den Flugbetrieb im Jahr 2015 lahm? Wer weiß, welche alten Systeme noch irgendwo unerkannt schlummern und einige Überraschungen für uns parat halten? Und so stecken noch weitere Fehler verborgen in Systemen, bis sich eine Fehlerkette in Gang setzt, bis der erste Dominostein fällt.

Spätestens jetzt stellt sich die Frage, warum es nicht jedes Mal zu einem großen Ausfall, einem Vorfall oder Unglück kommt. Dazu schauen wir uns die ersten Forschungen zu dem Thema an.

Heinrich Pyramide

Herbert William Heinrich, ein amerikanischer Sicherheitsingenieur, wurde 1886 in Vermont, USA geboren. Im Ersten Weltkrieg arbeitete er als Offizier für die US Navy, später dann für die Traveler Insurance Company, ein Versicherungsunternehmen. Um Versicherungsrisiken besser einschätzen zu können, wurde Herbert Heinrich beauftragt, sich rund 75.000 Arbeitsunfälle anzuschauen. Er analysierte sehr akribisch den Ablauf von Unfällen in Fabrikhallen. Ebenso Arbeiter, die sich bei den Unfällen schwerwiegende Verletzungen zugezogen hatten.

Seine Untersuchungen veröffentlichte er 1931 unter dem Titel „Industrial Accident Prevention: A Scientific Approach“. Er kam zu dem Ergebnis, dass viele Unfälle ähnliche Ursachen hatten. Aber anders als bei sonstigen Untersuchungen, ging er einen Schritt weiter und untersuchte, ob es bereits kleine Vorkommnisse oder Arbeitsfehler gab, die ebenfalls auf gleiche Ursachen zurückzuführen waren. Es war die erste systematische Untersuchung über die Entstehung von Unfällen.

Dazu muss gesagt werden, dass Heinrich seine Untersuchungen weniger aus wissenschaftlichen, sondern vielmehr aus versicherungstechnischen Gesichtspunkten durchgeführt hatte.

Das Ergebnis seiner Arbeit war die sogenannte Heinrich Pyramide, die besagt, dass einfache (Arbeits-)Fehler oftmals keine größeren Auswirkungen haben. Je häufiger sie jedoch auftreten, desto wahrscheinlicher werden größere Auswirkungen bis hin zu Unfällen. Die Unfallpyramide von Heinrich wurde später mehrfach aufgegriffen. So untersuchte der Ingenieur Frank E. Bird im Jahr 1969 etwa 1,7 Millionen Unfälle, ebenfalls im Auftrag für eine Versicherung. Er kam zu einem ähnlichen Ergebnis und fügte der Pyramide die Ebene der kleineren Vorkommnisse hinzu. Im Laufe der Jahre wurde die Unfallpyramide immer weiterentwickelt und ergänzt. Mittlerweile spricht man beim untersten Bereich von der Ebene der „unsicheren Handlungen“ bzw. von „beobachtbaren Arbeitsfehlern“.

Diese Theorie hat zwar Kritiker auf den Plan gerufen, insbesondere von Wissenschaftlern, aber die grundlegende Hypothese ist uns allen bewusst und bekannt. Jeden Tag unterlaufen uns kleinere oder größere Fehler, hier mal ein Missgeschick, dort eine Fehleinschätzung oder falsche Entscheidung. Aber nicht jeder Tag endet in einem Fiasko. Die meisten unserer kleinen Arbeitsfehler bleiben unentdeckt und folgenlos. Nur in Ausnahmefällen kommt es zu einem größeren Vorfall. Fehler passieren so regelmäßig, dass wir uns in vielen Fällen schon daran gewöhnt haben.

Das Prinzip der Unfallpyramide ist relativ einfach nachzuvollziehen. Sie beschreibt, dass Fehler häufig und regelmäßig passieren, ohne dass es gravierende Auswirkungen hat. Diese einzelnen Arbeitsfehler beinhalten bereits ähnliche Ursachen, die später einmal den Auslöser der Fehlerkette darstellen und zum Unfall führen können.

21Die Benutzung des Smartphones ist weltweit eine der Hauptursachen für Unfälle mit Verkehrstoten. An den Autobahnen kennen wir die Plakate „Leg Dein Handy zur Seite!“, „Das war der letzte Gruß“ usw. mit entsprechend abschreckenden Bildern. Aber fühlt sich jeder von uns angesprochen oder gilt das im Wesentlichen für alle anderen? Sprechen Sie doch mal mit Freunden über das Autofahren. Fast jeder behauptet, dass es viel zu viele schlechte Autofahrer auf den Straßen geben würde: „Keiner hält sich an die Regeln.“ Aber glauben wir ernsthaft, dass wir die Einzigen auf den Straßen sind, die sich immer richtig und vorbildlich verhalten? Oder nutzen wir unser Handy vielleicht doch hin und wieder mal während der Fahrt? Und wenn es nur der kurze verstohlene Blick auf die WhatsApp-Nachricht ist.

Jetzt sind wir ja nicht die einzigen Autofahrer, denen es vielleicht so geht. Viele Tausend Autofahrer, jeden Tag, begehen diesen „Fauxpas“, diesen Arbeitsfehler. Und in der Regel passiert dann ja auch nichts Gravierendes. Wir kommen heil an unser Ziel. Unser Gedächtnis lernt also, dass es ja so schlimm nicht sein kann. Wir glauben, dass wir gut fahren können und anders als andere Autofahrer, die verunglückt sind, die Situation stets im Griff haben. Uns wird schon nichts passieren.

Hin und wieder passiert es aber doch und ein Autofahrer ist beim Blick auf das Smartphone abgelenkt. Er weicht für einen kurzen Moment von der Spur ab und lenkt schnell wieder auf seine eigene Spur zurück. „Puuuh, das ist ja noch mal gut gegangen“, denkt er sich und die Fahrt wird fortgesetzt.

Sie merken schon, worauf ich hinauswill. Denn nicht immer klappt es, dass der Autofahrer es rechtzeitig bemerkt, und er touchiert ein anderes Auto. Damit haben wir bereits den kleineren Unfall. Nur in wenigen Fällen, verglichen mit der großen Anzahl an täglichen Fahrten, kommt es zu einem großen Unfall, teilweise sogar mit Verkehrstoten. Das ist die Spitze des Eisbergs, die oberste Ebene der Unfallpyramide.

Herbert Heinrich ging so weit, dass er einen mathematischen Zusammenhang zwischen den Arbeitsfehlern und dem Unfall definierte. Seine Untersuchungen ergaben, dass auf 300 Vorkommnisse etwa 30 schwere Vorfälle kamen und am Ende ein Unfall an der Spitze stand. Gerade dieser statistische Zusammenhang hat für viel Kritik gesorgt und sollte entsprechend mit Vorsicht betrachtet werden. Für unsere Betrachtungen ist es aber nicht relevant, in welchem mathematischen Verhältnis die Arbeitsfehler zu dem Unfall stehen. Uns sollte stattdessen bewusst sein, dass es viele alltägliche Arbeitsfehler gibt, die alle ein Element der späteren Fehlerkette sein könnten. Wie wir ja bereits an einigen Beispielen gesehen haben, reicht ein kleiner Fehler aus, um am Ende der Fehlerkette zu einer Katastrophe zu führen.

22Wäre es nicht fantastisch, wenn wir in der Lage wären, die ersten und wichtigsten Fehlerelemente bereits auf der Ebene der Arbeitsfehler zu identifizieren?

Unfalluntersucher bei Flugzeugunfällen wurden in den frühen Jahren der Fliegerei immer dann aktiv, nachdem ein Flugzeug verunglückt war. Damit konnten sie nur an der Spitze der Unfallpyramide mit ihren Untersuchungen beginnen. Viele Untersuchungen in den 50er- bis 70er-Jahren blieben damit auf dieser Ebene. Die Frage, der sie nachgingen, lautete: Wer oder was hat den Unfall verursacht? Nur selten ging die Untersuchung deutlich tiefer und betrachtete weitere Vorkommnisse und Arbeitsfehler. Erst später begannen die Untersucher tiefer einzusteigen und die unteren Ebenen der Unfallpyramide, zumindest bei einigen Unfällen, genauer zu betrachten.

Ein Beispiel ist der Unfall der französischen Fluggesellschaft Air Inter in Strasbourg am 20. Januar 1992 mit einem für damalige Verhältnisse modernen Airbus A320. Der Airbus A320 wurde erst vier Jahre zuvor weltweit in Betrieb genommen. Die Ingenieure hatten sich alle Mühe gegeben, viele neue Ideen und Konzepte in das Flugzeug einzubauen.

Der A320 hatte ein neuartiges Computersystem für die Bedienung des Autopiloten. Die Crew konnte den Autopiloten so programmieren, dass er entweder einen konstanten Gleitwinkel flog, in diesem Fall -3.3 Grad, oder aber einer konstanten Sinkrate folgte, fälschlicherweise 3300 Fuß pro Minute. Die übliche Sinkrate für einen Anflug beträgt zwischen 600 bis 800 Fuß pro Minute.

Diese Gradanzeige war in einem winzigen Display untergebracht. Für beide unterschiedliche Einstellungen standen aber nur zwei Ziffern zur Verfügung: „33“ für die Sinkrate oder „3.3“ für den Gleitwinkel. Die beiden Anzeigen ließen sich auf dem Display nur durch einen kleinen Punkt zwischen den beiden Ziffern unterscheiden. Beide Piloten übersahen den Punkt und die Sinkrate auf ihren Instrumenten. Bei Dunkelheit, schlechter Sicht und Zeitdruck führten sie nach einem langen Tag ihren letzten Anflug mit einer vierfach zu hohen Sinkgeschwindigkeit durch. Das Flugzeug zerschellte im Gebirge, einige Meilen vor dem Flughafen von Strasbourg. 87 Menschen kamen dabei ums Leben, nur 9 Personen überlebten das Unglück.

Als die französischen Ermittler den Unfall untersuchten, kamen sie auf das Merkmal der Anzeige. Sie fanden vor allem heraus, dass vielen Piloten bei Air Inter der gleiche Arbeitsfehler ebenfalls schon mal passiert war. Ein Arbeitsfehler, begünstigt durch mangelhaftes Design. Nie hatte es zuvor aus diesem Grund einen Unfall gegeben. Erst in der Verkettung unglücklicher Umstände, wie Uhrzeit, Wetter, Sichtbedingungen und Gebirge, kam es zu dem Absturz.

23Nach dem Unfall wurde übrigens für alle Airbus A320 Flugzeuge die Anzeige geändert, sodass es nicht mehr zu den Verwechslungen kommen konnte. Des weiteren wurden alle Flugzeuge weltweit mit einem Bodenannäherungswarnsystem (EGPWS - Enhanced Ground Proximity Warning System) ausgestattet, um ein CFIT (Controlled Flight Into Terrain) kontrolliertes Fliegen gegen Boden und Hindernisse zu vermeiden.

Der Unfall von Air Inter ist ein trauriges Beispiel, dass wir oftmals lange bzw. zu lange warten, bevor wir etwas ändern und sicherer machen. Wäre es nicht sinnvoll, wenn wir frühzeitig einzelne Elemente einer Fehlerkette erkennen und beseitigen könnten?

Wie erkennen wir diese problematischen Arbeitsfehler? Dazu schauen wir uns als Nächstes ein Modell an, welches als „Schweizer Käsescheiben“-Modell bekannt wurde.

James Reason – Käsescheiben

Viele der genannten Unglücke sind auf menschliche Fehler zurückzuführen. Wie wir an dem Beispiel der Air Inter gesehen haben, ist der menschliche Fehler, der zu dem Unfall führt, nicht alleine die Ursache. Es gibt viele Dinge, die unser Handeln und unsere Entscheidungen beeinflussen.

Einer der ersten und bekanntesten Forscher, der diese Thematik systematisch untersucht hat, ist der britische Psychologieprofessor James Reason von der Universität Manchester. Im Jahr 1990 veröffentlichte er einen Artikel „Der Beitrag latenter menschlicher Fehler beim Zusammenbruch komplexer Systeme“. Seine Untersuchungsergebnisse zeigten, dass zwischen aktiven und latenten Fehlern unterschieden werden muss. Um das anschaulich darzustellen, entwickelte er ein Modell, welches als das sogenannte Schweizer Käsescheiben-Modell berühmt wurde.

24Vor James Reason hatten sich Forscher im Wesentlichen auf den Menschen als Individuum konzentriert. Sie untersuchten, warum Menschen Fehler machen. Als Erklärungen wurden Leichtsinn, Nachlässigkeit, Unaufmerksamkeit, Vergesslichkeit oder einfach mangelnde Motivation genannt. Der moralische Gedanke dahinter ist, dass nur schlechten Menschen schlechte Dinge passieren. Es müsste sich nur der Mensch ändern und anpassen, dann wären wir wieder sicher, so die Überzeugung. „Wenn er doch bloß richtig hingeschaut hätte, wäre es zu keinem Unfall gekommen“, war eine übliche Antwort mit dem Hintergedanken: Der Mensch war schuld!

Dass dies ein Trugschluss ist, wurde später deutlich. Und leider muss ich sagen, dass dieser Gedanke auch heute noch verbreitet ist.

Reason hat eine Theorie entwickelt, dass der Mensch nie alleine, quasi im Vakuum, handelt, sondern immer beeinflusst wird von vielen verschiedenen Umständen. Erst diese „latenten“, also immer vorhandenen Fehler in den Ebenen davor, haben zu dem Fehler des Handelnden, des Menschen geführt.

„Das System definiert die Sicherheit“

Eine Organisation, eine Firma, ein Unternehmen besteht nicht nur aus den Mitarbeitern, sondern aus vielen verschiedenen hierarchisch angeordneten Ebenen mit unterschiedlichen Aufgaben und Verantwortlichkeiten (s. Kapitel 9 – „Fehler bewerten“).

Es fängt an mit der obersten Führungsebene der Organisation, die ausreichende Ressourcen zur Verfügung stellen muss und Verfahren sowie Prozesse etablieren soll, um sicheres Handeln zu ermöglichen. Die nächste Ebene betrifft die Aufsicht, also die mittlere Führungsebene. Setzen die Bereichsleiter und Abteilungsleiter Vorschriften und Verfahren richtig um? Erkennen sie Probleme rechtzeitig und stellen sie diese ab?

Als vorletzte Stufe bezeichnet er die Umstände. Das können Umwelteinflüsse sein wie schlechtes Wetter oder Dunkelheit, aber auch mangelhaftes Design der eingesetzten Geräte. Auch die Verfassung des Einzelnen spielt eine Rolle. Hat der Mitarbeiter ausreichende technische und mentale Fähigkeiten, um seine Aufgaben sicher zu erfüllen? Hier würden wir z.B. Schlafmangel als eine mögliche Ursache eines Fehlers identifizieren.

Ganz zum Schluss kommt die Ebene des aktiven Fehlers, die Handlung des Einzelnen, der den Fehler begeht und somit einen Vorfall verursacht. Der Patient erhält zum Beispiel das falsche Medikament. Diese Ebene bezeichnet Reason als die Ebene der aktiven Fehler.

25In jeder Ebene gibt es Mechanismen, die Fehler verhindern sollen. Sie funktionieren wie Sicherheitsnetze. Sie sollen dafür sorgen, dass sicheres Handeln ermöglicht wird. Leider wissen wir nun aber, dass die Sicherheitsnetze Lücken aufweisen, denn kein System wird jemals perfekt sein können. Diese Löcher können bereits in der obersten Ebene liegen und finden sich beispielsweise bei mangelhaftem Design von Cockpitinstrumenten, sie gehen weiter über zweideutige oder missverständliche Verfahren und enden erst ganz zum Schluss bei der letzten Ebene, der handelnden Person.

Für James Reason war offensichtlich, dass der handelnde Mensch nicht völlig isoliert den Fehler verursacht, sondern seine unsichere Handlung durch viele verschiedene Faktoren beeinflusst wird. Die Ebenen davor können die Entwicklung der Fehlerkette begünstigen, obwohl sie als Sicherheitsnetze die Fehler verhindern sollen.

Diese Lücken sind wie die Löcher eines Edamers, eines Schweizer Käse. Jede einzelne Käsescheibe, jede Ebene der Sicherheitsnetze, ist in der Lage, die Fehlerkette zu unterbrechen, also Fehler auf einer davor liegenden Ebene aufzufangen. Die Netze sollten bestmöglich die Entstehung von Fehlerketten verhindern. Und meistens funktioniert es auch recht gut. Jeden Tag gibt es kleine oder größere Probleme, die wir zu meistern versuchen. Beispielsweise fehlerhafte Bauteile oder eine komplett falsche Ladung. Der Chirurg, der gerade mit der Operation beginnen will und im letzten Moment noch feststellt, dass die falsche Prothese geliefert wurde. Hier hatte es bereits vorher einen Fehler gegeben, die Crew, das Team oder der Einzelne hat gerade noch rechtzeitig eingegriffen und Schlimmeres verhindert.

Genau das meint James Reason, wenn er von den einzelnen Sicherheitsnetzen spricht. Eine Lücke im Sicherheitsnetz, ein Fehler in einer Ebene wird von einer anderen Ebene aufgefangen. Wenn aber alle Löcher im Schweizer Käse übereinander liegen, sich also die Fehlerkette kontinuierlich fortsetzt wie ein Lichtstrahl, der durch die Löcher scheint, kommt es zu den genannten Unfällen.

Diese Lücken in den verschiedenen Ebenen bezeichnet er als latente Fehler. Die Lücken sind immer vorhanden. Oftmals bemerken wir sie nicht einmal, zumindest solange nichts passiert. Am entscheidenden Tag kommen diese latenten Fehler dann so ungünstig zusammen, dass sie die Entwicklung von Fehlern begünstigen und schlussendlich zu dem aktiven Fehler führen. James Reason bezeichnet die letzte Käsescheibe als Ebene der „unsafe acts“, der unsicheren Handlungen. Die anderen Ebenen sind die Vorbedingungen für unsichere Handlungen.

26Vergleichbar sind diese latenten Fehler z.B. mit Mängeln beim Hausbau. Wenn das Fundament falsch geschüttet oder die elektrische Verkabelung schlecht isoliert wurde, dann sind die Fehler dauerhaft, also latent immer vorhanden. Vielfach geht es gut, bis an einem Tag eventuell Feuchtigkeit in die Wände eindringt, es einen Kurzschluss gibt und Feuer ausbricht. Latent waren die Fehler seit dem Bau immer vorhanden.

Die Sicherheit eines Unternehmens wird durch sein System definiert. Wie engmaschig sind die Sicherheitsnetze und wie frühzeitig werden latente Fehler entdeckt und behoben?

Einige Firmen legen sehr bewusst ihren Fokus darauf, das System sicher zu machen, wie beispielsweise Chemiewerke. Sie stellen ausreichend finanzielle Ressourcen zur Verfügung, um schwerwiegende Fehler und somit große Katastrophen zu verhindern. Andere Branchen und Unternehmen tun sich damit schwerer.