MTS HS17

= wenn technisches System Arbeitsmodus wechselt, ohne dass das der Mensch mitbekommt; z.B. Autopilot im Flugzeug stellt ab, ohne dass es Pilot merkt

• Operateure erkennen den Betriebsmodus der Automatik nicht und bewerten daher den Systemzustand falsch.

• Tritt insbesondere dann auf, wenn Modi durch die Automatik umgeschaltet werden.

Zu hohes Vertrauen

– Complacency
– Hinweise und Vorschläge der Automatik werden ohne Prüfung akzeptiert → denn oft machen wir die Erfahrung, dass Automatik korrekt ist. Problem = ist nicht immer so!

Zu geringes Vertrauen

– Distrust
– Die Automatik wird nach Fehlern abgeschaltet.
– Das Potential, die Arbeitslast zu reduzieren bleibt ungenutzt

→ z.B. Warntöne werden einfach ausgeschaltet, weil sie meistens unbedeutend sind. Bspw. Messmaschinen im Spital: was ist aber, wenn Meldung wichtig gewesen wäre!?

Bei kognitiven Fertigkeiten stärker ausgeprägt als bei hoch überlernten psychomotorischen Fertigkeiten,

• Reduzierbar durch regelmässiges Training ohne Automationsunterstützung
– Simulatortraining
– „on-the-job“ (z.B. flexible Funktionsallokation)

• Bedeutung von psychomotorischer Grundbegabung nimmt um so mehr zu, desto stärker Prozesse manueller Steuerung automatisiert werden
– Konsequenz für Personalauswahl (z.B. in der Luftfahrt)

Fehler als...
– Ursache: z.B. ein Unfall ist durch „menschliche Fehler“ entstanden.
– Ereignis/Handlung: Nur die Handlung, nicht ihr Ergebnis, wird betrachtet.
– Folge: Nur das Ergebnis, nicht die Handlung, wird betrachtet.

Menschlicher Fehler
= ist eine nachträgliche Attribution einer Ursache für:
– ein beobachtetes (unerwünschtes) Ergebnis,
– die auf menschliches Handeln Bezug nimmt.

Was ist ein „falsches“ Ergebnis?
– Bedarf eines Leistungskriteriums, das das korrekte Ergebnis vom fehlerhaften differenziert

Leistungskriterien
– external: z.B. Systemparameter, die eingehalten werden müssen; wird in der Zuverlässigkeitsanalyse meist gewählt

– internal: referieren auf Ziele, Zwecke oder Intentionen; wird in der (kognitiven) Psychologie präferiert

→ Risikobestimmung (Wahrscheinlichkeiten für spätere Entscheidungen); methodischer Ansatz zur Fehlervorhersage. Manche sagen auch Sicherheitsanalyse (PSA), gemäss Ritz jedoch falsch

Man überlegt, welche Schwachstellen auftreten können, Konsequenzen davon etc. und wie wahrscheinlich das jeweils ist.. → eher technische Sicht

Grundkonzept:

– Was könnte schief gehen?
– Wie wahrscheinlich ist das?
– Welche Konsequenzen sind denkbar?
– Wie wahrscheinlich sind die Konsequenzen?

Antworten durch Vergleich

– mit Kriterien (z.B. tolerierbare Konsequenzen, Grenzwerte)
– mit ähnlichen Systemen für Rückschlüsse

Risiko setzt sich zusammen aus (immer 2 Faktoren)
1 Schwere eines unerwünschten Ergebnisses
2 Wahrscheinlichkeit des Eintretens

Vorgehens-Schema
– Dekomposition in Einzelelemente oder Systemkomponenten
– Zuordnung von Ausfallwahrscheinlichkeiten
– Verknüpfung in Ereignisbäumen
– Kombination und Verrechnung zu Gesamtrisiko

Erstellen einer Liste von möglichen auslösenden Ereignissen, aus denen sich ein „Unfall“ entwickeln kann.

Für jedes auslösende Ereignis
– Untersuchung des Verhaltens an Verzweigungen (Erfolg oder Versagen einer geforderten Funktion)
– Wiederholung bis Ablauf unter Kontrolle oder Unfall eingetreten ist.

Mathematisches Systemmodell
→ Ermittlung von Wahrscheinlichkeiten
– der auslösenden Ereignisse
– der Verfügbarkeit von Funktionen

(nicht auswendig lernen oder berechnen)

Basiert auf negativ-Logik; alles was von 1 abgezogen wird, bedeutet: Wahrscheinlichkeiten, die kleiner als 1% sind

Wenn 1 Bremssystem ausfällt, ist Wahrscheinlichkeit gering, dass nochmals 2. Bremssysem ausfällt = Redundanzen (Diversitäten Spezialart von Redundanz = Redundanz die einem anderen chemischen technischen System folgt als vorheriges, z.B. zuerst mechanisches und dann manuelles etc.) → es bleibt übrig = Restrisiko; ist immer kleiner als 1 (damit versucht man zu beschreiben: Absicherung politische Entscheidung, ob ein System in Gesellschaft akzeptabel ist = entscheiden Aufsichtsbehörden)

= Übertragung der PRA (PSA) auf menschliche Funktionen

– Mensch als Systemkomponenten
– kann funktionieren oder ausfallen
– menschliche Fehler sind gleichgesetzt mit Komponentenausfällen
– nicht Ursachen werden analysiert, sondern Ausfallwahrscheinlichkeiten

Aufgaben des Menschen werden nach Typen sortiert

Wahrscheinlichkeit fehlerhafter Ausführung wird bestimmt

-> Formel Bild

Methoden zur Ermittlung der Wahrscheinlichkeit
– Analyse der Aufgabenstruktur und Messung der Leistungen
– Messung der Zeitabhängigkeit
– Expertenschätzung

→ Voraussetzung: Tätigkeit in Operationen zerlegen; man kann dann bei jeder Operation die Wahrscheinlichkeit berechnen

Einfluss von Ausführungsbedingungen werden ermittelt
– Performance shaping factors (PSF)

• Menschen gehen Risiken ein; oft anlässlich von nicht offensichtlich risikoreichen Entscheidungen
– schrittweise
– jede Entscheidung ‚macht Sinn‘
– keine ‚schlechten Resultate‘ stellen die Entscheidung in Frage
– Erfolg in der Vergangenheit wird als Garant für künftigen Erfolg verstanden
– keine Richtlinien verletzt
– keine Gesetze gebrochen

→ aufgrund von sehr hohem Profitstreben! Jede Änderung wurde von den Behörden bewilligt; im Zeitverlauf wurden viele Einzelentscheide gefällt, die für sich stimmten; jedoch wurde nie das Gesamte betrachtet, was verheerend war!

Allgemein / mathematisch
Ergebnisorientierte Aussage für 100%ige Wahrscheinlichkeit des Eintretens eines Ereignisses oder des Zutreffens einer Prognose

Ingenieurwissenschaftlich
Zustand der vorschriftsmässigen und gefahrenfreien Funktion eines Systems (ISO/IEC Guide 51, 1999)
→ Sicherheit, im Sinne eines positiven Sollzustandes = Zuverlässigkeit
→ System sicher, wenn „eine geforderte Funktion unter gegebenen Bedingungen während einer festen Zeitdauer ausfallsfrei ausgeführt wird“ (DIN 40041, 1990)

Kriterien für Zuverlässigkeit
– Korrektheit (Verlauf nach Vorgaben),
– Robustheit (auftretende Störungen können ausgeglichen werden)
– Ausfallsfreiheit (definierte Sicherheit gegen einen Ausfall)

→ Sicherheit kann man nicht steigern, sondern nur Sicherheitsleistung

Arbeitssicherheit
Zustand der Arbeitsbedingungen, bei denen keine oder nur vertretbare arbeitsbedingte Gesundheitsgefährdungen und Belastungen auftreten“ (Lehder & Skiba, 2005)

Prozesssicherheit
Bezieht sich auf die Primäraufgabe des Arbeitssystems, also den Schutz vor den Risiken, die von den meist hochtechnologisierten Produktionsprozessen ausgehen (Ritz, in press).

• nicht störungsfreier Betrieb einzelner Komponenten - z.B. eines Triebwerks - sondern Zusammenwirken verschiedener Faktoren gewährleisten sichere Ausführung sicherheitskritischer Prozesse (Fahlbruch et al. 2008)

• Sicherheit durch fortwährende Interaktionen von Organisationsmitgliedern, Strukturen, Regeln & Technologien (Gherradi et al. 1998) → Prozess

→ über das Ergebnis hinaus werden die kontinuierlich ablaufenden Prozesse berücksichtigt: dynamisches Nicht-Ereignis (Weick & Sutcliffe, 2001)

→ Sicherheit & Zuverlässigkeit: unabhängige Qualitäten!

Allgemein
Eignung einer Einheit, innerhalb vorgegebener Zeitspannen bei vorgegebenen Anwendungsbedingungen definierte Funktionsforderungen zu erfüllen.
(quantitativ als Wahrscheinlichkeit angegeben)

Von Maschinen
Fähigkeit, eine geforderte Funktion unter spezifischen Bedingungen und für einen vorgegebenen Zeitraum ohne Fehler auszuführen.

Menschliche Zuverlässigkeit
Fähigkeit des Menschen, eine Aufgabe unter vorgegebenen Bedingungen für ein gegebenes Zeitintervall im Akzeptanzbereich durchzuführen.

Fehler als Abweichung von vorgeschriebener Handlungsausführung
– nur bei klar strukturierten Handlungsabläufen nützlich
– korrekte Handlung als normative Arbeitsanweisung definiert

Fehlertaxonomien sind auf Häufigkeiten bezogen

Handlungsgüte als Fehlerwahrscheinlichkeit → auch Abweichung von Menschen bieten die Möglichkeit, Sicherheit zu erzeugen

Zuerst es gab sehr viele Unfälle wegen der Technik, da sie noch nicht so weit ausgearbeitet war. Danach wurde Technik immer mehr zur Unterstützung  dadurch wird Technik immer zuverlässiger, aber auch komplexer. Es kommt zum sozio-technischen System. Heute entstehen Fehler und Schaden durch das Zusammenwirken von verschiedenen Organisationen.

Heute sind Piloten bspw. eher Überwachungspersonen  Person ist immer vielen visuellen Reizen ausgesetzt, was gefährlich, da dies sehr viel Aufmerksamkeit braucht!

Security (Sicherung)
Zielt auf eine Sicherung zum Schutz vor meist externen Gefahren durch böswillige Angriffe, Spionage und Sabotage ab.

Kann als Bestandteil von Sicherheit (safety) verstanden werden, da Angriffe in der Regel darauf abzielen, einen Produktionsprozess für bestimmungsfremde Zwecke zu missbrauchen. Daraus resultiert entweder direkte Prozessgefahr, beispielsweise bei einer Flugzeugentführung im Falle einer terroristischen Bedrohung oder es wird „Know-how“ entwendet, wodurch zum einen die Organisation in wirtschaftliche Gefahr gerät oder zum anderen durch die unsachgemässe Reproduktion und Verwendung eines entwendeten „Know-hows“ neue technologische Risiken entstehen.

Zielt auf den sicheren Betrieb von komplexen soziotechnischen Systemen, die auch als Systemsicherheit („systemsafety“) bezeichnet wird, ab.

Definitionen von Sicherheit sind abhängig vom jeweils zugrundeliegenden Verständnis: Statisches vs. dynamisches Verständnis.

Statisches Sicherheitsverständnis wuzelt in Ingenieurwissenschaften, z. B.: „Zustand, dass für eine Sachlage (Produkt, Verfahren, Arbeitssystem etc.) innerhalb eines bestimmten Zeitraumes keine Schädigung von Personen, der Umwelt und von Sachwerten eintritt, das heisst Sicherheit ist ein Zustand, bei dem das Risiko einer Gefährdung kleiner ist als das Grenzrisiko (= allgemein akzeptiertes Risiko)“ (Lehder & Skiba, 2005).

= dynamisches Nicht-Ereignis (Weick, 1987)
Fortwirkendes Zusammenwirken von Strukturen, Prozeduren, Regeln und operativen Handlungen in Organisationen <- dynamisch: Viele Aufwände um Sicherheit aufrecht zu erhalten. Sicherheit ist nur in der unmittelbaren Gegenwart greifbar.

-> geprägt von Ungewissheit
= Differenz zwischen der Menge an Informationen, die zur Durchführung einer Aufgabe erforderlich ist und der Menge an Informationen, die eine Organisation bereits besitzt (Galbraith, 1973; Grote, 2009) /
= Widersprüchlichkeit von Informationen (z. B. Weick, 1979)

Gefahr
Fixierung auf planungsbasierte Gefahrenprävention, bei gleichzeitiger Vernachlässigung von Massnahmen zur Gefahrenbewältigung. In kritische Situationen braucht es Plan B -> dafür ist der Mensch notwendig

Definition
Als prozesshafte, organisationale Qualität: „…Qualität, die es dem System gestattet, ohne grössere Zusammenbrüche unter vorgegebenen Bedingungen und mit einem Minimum unbeabsichtigten Kontrollverlusts oder Schadens für die Organisation und die Umwelt zu funktionieren“

Prozesssicherheit als Bestandteil der Primäraufgabe -> Schutz vor Risiken / Gefahren, die von hochtechnologisierten Produktionsprozessen ausgehen, bspw. dem Fliegen eines Verkehrsflugzeugs oder der Stromproduktion durch ein Kernkraftwerk (Zielgruppe: Bevölkerung) – durch z. B. Redundanzen (z. B. 2 Autopilote) und Diversitäten (Mensch hat bessere Anpassungsleistung) gegen Ausfälle technischer Komponenten

Arbeitssicherheit als Sekundäraufgabe (Unternehmen verdient damit kein Geld)
-> Zustand der Arbeitsbedingungen, bei denen keine oder nur vertretbare arbeitsbedingte Gesundheitsgefährdungen und Belastungen auftreten (Lehder & Skiba, 2005). Belastungen sind hierbei zu verstehen als physische und psychische Faktoren, die während einer Arbeitstätigkeit auf eine Person einwirken (Massnahmen gegen kurz- und langfristige Gefahren (Zielgruppe: Mitarbeitende)

-> Statisches, prozesshaftes und dynamisches Verständnis von Sicherheit

Risiko I
= Kombination der Wahrscheinlichkeit und des Schweregrades (Schadensausmass) einer Schädigung (Gesundheitsschädigung) in einer Gefährdungssituation (Lehder & Skiba, 2005) -> in Relation zu Schadensausmass.

Grenzrisiko
Grösstes noch vertretbares Risiko, das einem bestimmten technischen Vorgang oder Zustand innewohnt und als Zustand mit einem vertretbaren, akzeptablen Restrisiko, für das Massnahmen festgelegt werden müssen zum Abbau des Restrisikos.

Restrisiko:
Beschreibt die Gesamtgefahr, die mit einem Arbeitsprozess verbunden ist. Die Gesamtgefahr besteht aus einem bekannten und einem unbekannten Anteil“.

Bekannte Risiken können als Auftretenswahrscheinlichkeiten quantifiziert werden (z. B. PRA, HRA) -> politischer Entscheid, ob das Restrisiko akzeptabel ist (z. B. Schädigung bei einer Operation).

Erwartet: nehmen wir fast nicht wahr

Unerwartet, bekannt: z.B. Gleis- oder Signalstörungen beim Zug -> wenn man bestimmte Standards einhält, kann trotzdem Sicherheit erzeugt werden

Unerwartet, unbekannt: es gibt keine Handlungspläne, Vorgaben oder Standards

unzuverlässig = Verstoss gegen Regeln; hilft aber in diesem Kontext

Aufrechterhaltung von Sicherheit in komplexen soziotechnischen Systemen als Qualität des Systems. Durch Zuverlässigkeit kann in Situationen, in denen die Bedingungen eines Produktionsprozesses erwartungskonform bestehen, Sicherheit erzeugt werden. Bei unerwarteten Situationen, die bekannt sind und zu deren Kompensation Handlungsplane in Form von Prozeduren vorliegen oder auf die durch automatisierte Ablaufe reagiert werden kann, wird ebenfalls durch Zuverlässigkeit Sicherheit erzeugt. Unerwartete und unbekannte Situationen erfordern die Herleitung neuartiger Handlungsprozeduren, durch die dahin gehend unzuverlässig gehandelt wird, dass von bestehenden Plänen abgewichen werden muss oder neuartige Handlungsstrategien entwickelt und umgesetzt werden müssen. Durch sicherheitsgerichtete Anpassungshandlungen können abweichende Systemparameter kompensiert werden und Sicherheit wird erzeugt. Besonders in unplanbaren Situationen ist die menschliche Anpassungsfähigkeit für die Aufrechterhaltung von Sicherheit von zentraler Bedeutung.

Einflussfaktoren wirken auf Sicherheit ein.

Sicherheit lässt sich nie vollständig regulieren!

Unterschiedliche Disziplinen werden miteinbezogen.

Kompetenzen der Mitarbeiter verändern sich so schnell; Person verlernt klassische analoge Schalter zu steuern, z. B. durch die Verbreitung von iPhones.

Betrachtet die Beherrschbarkeit grosstechnischer Anlagen aus einer pessimistischen Perspektive

Sicherheitsrelevante Ereignisse (z. B. Unfälle, Katastrophen) entstehen als Folge von Mehrfachstörungen, die in komplexen Arbeitssystemen nicht zu vermeiden sind à Reaktor zu heiss: Standartprozedur führt nicht zum Erfolg. Regel einhalten oder Regeln brechen.

Gefahren und Risiken werden gemeinsam mit den Arbeitssystemen aufgebaut und sind deren inhärenter Bestandteile

Mechanismus des Versagens führt zu Systemzusammenbrüchen, die sich von „einfachen“ Arbeitsunfällen unterscheiden; zwei Merkmale sind kennzeichnend:
-> interaktive Komplexität
-> enge Kopplung von Systemkomponenten
= unerwartete Gefahren: Gefahren sind nicht kalkulierbar

Mischung beider Aspekte ist in sozio-technischen Systemen besonders gefährlich!

Prämisse
Organisationen hohen Gefährdungspotenzials agieren extrem effektiv darin, sicherheitskritische Ereignisse zu vermeiden und zu bewältigen! (La Porte & Consolini, 1998) -> dadurch, dass die Organisationen herausgefordert sind, sind sie erfolgreich im Umgang mit Risiken.

Prinzip
Kollektive Achtsamkeit (headfullness, Weick & Roberts, 1993)

Wertschätzung des Strebens nach Sicherheit (und Zuverlässigkeit) -> Äusserung durch Rückmeldung von Fehlern in Unternehmung

Zentrale Organisationsprinzipien (Weick, Sutcliffe & Obstfeld, 1999)

1. MA achten permanent auf Fehler in betrieblichen Abläufen (z. B. Unregelmässigkeiten),
2. MA richten ihre Aufmerksamkeit auf betriebliche Abläufe,
3. MA hinterfragen vereinfachte Interpretation (z. B. monokausale Ursache; werden weiter hinterfragt und nicht einfach der Verursacher beschuldigt),
4. O. streben sie nach Anpassungsfähigkeit (commitment to resilience; MA sind Experten ihrer Arbeit und haben die Fähigkeit im Umgang) und
5. zeigen besonders in kritischen Situationen Respekt vor Expertenwissen (ad hoc Teams erstellen einen Handlungsplan; Entscheidungshoheit erhält die Person, die die grösste Erfahrung mit sich bringt und nicht der Chef. Group Thinking findet meistens in Gruppen statt, starr und straff organisiert sind.)

-> idealtypische Eigenschaften für die betriebliche Praxis nicht unproblematisch! Für gängige Betriebe nicht unbedingt umsetzbar; nur mit grossem Gefährdungspotenzial.

Konzeptueller Integrationsversuch von NAT und HROT, allerdings keine eigenständige Theorie

Zentrale Aussage

Mit Schwankungen treten in Systemen resiliente Eigenschaften (protektive Faktoren) auf (vgl. auch HROT)

Learning
Sicherheit entsteht durch Schwankungen

Responding
Lösung auf Schwankung

Monitoring
Situationen müssen protokolliert werden

Anticipating
Mensch bricht Regel für Güterzug

NAT
Postuliert Risikohaftigkeit, die der auf gesellschaftliche Veränderungen zurückzuführenden technologischen Entwicklung innewohnt

HROT
Betont, dass Organisationen, die mit hohem Gefährdungspotenzial agieren, ausgesprochen effektiv sind, sicherheitsrelevante Ereignisse mit negativen Konsequenzen für Mensch und Umwelt zu vermeiden

RE
Keine eigenständige Theorie, sondern er umfasst Konzepte aus verschiedenen Bereichen (Informatik und der Systemtheorie) und fokussiert auf Anpassungsfähigkeit von Systemen, wobei die Dynamik von Systemschwankungen als Kennzeichen von Organisationen hervorgehoben wird à Integration ist jedoch bislang noch nicht gelungen. Systeme können Gefahren nur kompensieren, wenn System sich an Umwelt anpassen kann.

Neuere Ansätze der „Organisationalen Resilienz“ (z. B. Ritz, 2015) sind elaborierter, da sie an konkreten positiven Verhaltensweisen im Arbeitsalltag von Organisationen und von MA ansetzen (-> FHNW verfolgt das)

-> hat sich mit Industrieunfällen beschäftigt

Spitze (beobachtbares) geht voraus.

Empirie ist ein Problem; weil Kausalschlüsse nicht gezogen werden können.

Die meisten Fälle sind nicht beobachtbar.