· 

Safety-Kultur einfach erklärt

I

Am Wochenende philosophierte ich mit Safety-Ingenieuren aus der Luft-/Raumfahrt  und aus Defense über die »Safety-Kultur«. Wir lachten herzlich über die Aussagen aus einem Safety-Training, wo der Trainer fabulierte: »Kultur ist das Betriebssystem einer Gemeinschaft«. »Kultur organisiert die Selbstorganisation«. »Zeigt eure Safetyprozesse im Audit«, war noch der nützlichste Tipp. Mit einer Safety-Kultur hat das alles herzlich wenig zu tun. Wir waren uns in unserem Kreis aber einig, dass die Safety-Kultur den stärksten Einfluss auf die Gestaltung sicherer technischer Systeme hat. Immerhin ist die Safety-Kultur auch normativ gefordert, etwa in der Norm "Funktionale Sicherheit" ISO 26262, Kapitel 5.4.2. Was dort steht, kommt offensichtlich auch von Beratern und hat mit Safety-Kultur wenig zu tun. Was es mit einer »gelebten« Safety-Kultur auf sich hat und was nicht, zeige ich in diesem Artikel auf.

Kultur in Beraterkreisen

„Kultur“. Das ist dieser Begriff, wo Coaches und Organisationsberater einen vielsagenden Blick aufsetzen. Als ob sie uns gleichen die tiefsten Tiefen der menschlichen Natur offenbaren werden. Dann wird der Kultur auch gleiche noch eine ominöse Macht angedichtet. „Kultur isst die Strategie zum Frühstück“, heißt es etwa an den Lagerfeuern der Berater. Komischerweise nicken viele Leute dann eifrig. Was sollen wir Praktiker mit so einer Aussage anfangen? Das ist Geschwafel und schafft bei mir vielleicht Antipathie, aber definitiv keine Klarheit. Vielleicht gibt eine Norm da mehr Klarheit.

Safety-Kultur in der ISO 26262

Was verlautbart die ISO 26262 (2018) über die Safety-Kultur? Im Band 2, Kapitel 5.4.2 "Safety Culture" heißt es auf einer ganzen A4 Seite:[7] Safety-Kultur

  1. ist wichtig; braucht man,
  2. mittels Prozessen und Standardvorlagen,
  3. im bilateralen Austausch mit anderen Sicherheitsthemen wie Security,
  4. braucht Personen, die sich für Safety-Entwicklung verantwortlich fühlen.

Schön, nicht wahr? Trifft so ziemlich auf jeden anderen Fachbereich zu. Genauso an der Realität vorbei ist auch diese Definition:

Auszug aus ISO 26262-1 (2018)
Safety-Kultur laut ISO 26262-1 (2018), 3.137

Es ist halt nicht die Realität, dass Safety die allerhöchste Prio hat, sondern neben anderen Prioritäten nicht abgewertet werden darf. Das ist ein feiner, aber entscheidender Unterschied für unsere tägliche Arbeit. Wir entwickeln integrierte Systeme. Wir müssen Safety mit anderen Aspekten eines Systems versöhnen, z.B. mit Performance, Verfügbarkeit, Robustheit - und ja: auch Stückkosten. Welcher Kunde jubelt, wenn sein Auto am Straßenrand stehen bleibt? Das ist zwar sicher (meistens); aber sorgt nicht für himmelhoch jauchzenden Beifall.

In Band 2, Annex B werden dann noch ein paar Indikatoren aufgelistet, die das zuvor zusammengefasste weiter detaillieren. Fatal ist aber dieser Satz:

Auszug aus ISO 26262-2 (2018)
Auszug aus ISO 26262-2 (2018), Annex B. Gelbe Markierung von mir.

Jetzt muss man wissen, dass »responsible« im ISO 26262-Sprech die Personen meint, die die Aktivitäten ausführen. Einerseits ist das analog auch für jeden anderen Fachbereich selbstverständlich? Andererseits: So wird das nichts mit der Safety. Wir kommen noch drauf.

Ohne den Urhebern der ISO 26262 zu nahe treten zu wollen: Die haben gemacht, was sie kennen. Ingenieure entwickeln Maschinen und versuchen irgendwie, alles in dieses Korsett zu pressen. Es passt im Falle der Safety-Kultur aber so gar nicht. Deshalb schauen wir nachfolgend zuerst, was die Organisationstheorie über Kultur sagt und gehen dann auf den Spezialfall der Safety-Kultur ein.

Kultur sind informelle Verhaltensregeln

Kultur ist das Sammelbecken für informelle Verhaltensregeln, die wir gefälligst einzuhalten haben, wenn man „einer von uns“ sein will; dazugehören möchte.[1][5] Informell, weil diese Regeln nicht in Gesetze, Prozess- oder Verfahrensanweisungen gegossen werden (können). Dennoch sind sie einzuhalten. Verstöße dagegen können irritieren oder bis zum Ausschluss aus der Gruppe führen. Plakativ an der Kleidung: Haben Sie schon mal einen Arzt in pechschwarzen Klamotten aufgesucht? Nein, die tragen gefälligst weiß. Bankangestellte tragen keine Flipflops. Ingenieure tragen Karohemden; außer bei Porsche. Professoren tragen Anzüge. Dozenten tragen lumpige T-Shirts. Gehört sich halt so.

Der Verstoß gegen die informellen Regeln kann uns im harmlosen Fall irritieren. In Ostdeutschland sagt man beim Betreten des Bäckers zu allen Anwesenden „Guten Morgen“. Im Schwabenländle sagt man das nur zur Verkäuferin, wenn man bedient wird. Feine Unterschiede, die die „anderen“ komisch wirken lassen. Natürlich! Man verstößt gegen Verhaltensregeln. Schwer wog, als ich meine Nachbarn im Ländle fragte: „Wieso macht ihr denn die Kehrwoche selbst und bestellt nicht einfach einen Hausmeisterdienst?“ Da hatte ich was gesagt! Anständige Bürger machen die Kehrwoche (erstmal) selbst. Sofort, war ich keiner „von denen“. Das hatte ich anfangs aber nicht kapiert. Erst ein älterer Kollege hatte mich über meinen Affront aufgeklärt. Als ich diesen Makel meines widrigen Charakters beseitigte, nahm mir der ältere Herr im Haus meine Kehrwoche ab. Ich wäre ja sehr tüchtig und solle mich nicht mit der Kehrwoche abmühen.

Kultur sind informelle Regeln, die die Art und Weise des Miteinanders regeln. Sie können nicht offen eingefordert werden. Sie werden aber subtil durch Mobbing oder getarntes Lob sichergestellt.[1]

Solche informellen Verhaltensregeln bestimmen auch das Miteinander in Unternehmen. Als Student begann ich ein Praktikum in der Wirtschaftsprüfung von Ernst & Young. Da waren die Angestellten bis in die Nacht geblieben, weil wer Partner noch nicht die Kanzlei verlassen hatte. Selbst, wenn sie keine Arbeit mehr hatten. Wie dämlich ist das denn? Mein Widerstand dagegen führte direkt zu subtilem Mobbing. Mein „Engagement“ und meine „Leistungsbereitschaft“ wurden hinterfragt – und zwar von den anderen Angestellten; der Partner fand es vernünftig, nach getaner Arbeit nach Hause zu gehen. In dem Laden habe ich es keine zwei Wochen ausgehalten.

Kultur hat eine Selektionsfunktion: Hier kommen nur Leute mit dem richtigen Stallgeruch rein. Alle anderen sortieren sich selbst aus oder werden aussortiert.[1][5]

Das Subtile macht die Kultur so schwierig. Insbesondere, weil das, was man sagt, häufig von dem abweicht, was man tut.[2] Ich kenne da einen Stuttgarter Automobilkonzern, der seine „Fehlerkultur“ anpreist. Gefahr! Bloß keine Fehler machen! Wenn eine bestimmte Sache angepriesen wird – Fehlerkultur, Qualität, Offenheit, Agilität, Diversität – dann hat diese Organisation in Wahrheit ein ernsthaftes Problem genau damit.[1] Mit dem Anpreisen ermahnen die ihre eigenen Leute, was man eigentlich tun sollte. Um die Diskrepanz zwischen Sagen und Tun aufzudecken, empfehle ich die

Daumenregel: „An den Taten sollst du sie erkennen“.
Taten sind der stärkste Ausdruck für die tatsächlich geltenden Verhaltensregeln.

Safety-Kultur

An den Taten erkennen wir auch die Verhaltensregeln einer Safety-Kultur. Weick und Sutcliffe haben das elegant am Beispiel der High Reliability Organisationen (HRO) herausgearbeitet, also bei Atomkraftwerken, Flugzeugträgern, Feuerwehren, Katastrophenschutz.[3] HRO sind dadurch gekennzeichnet, dass kleinste Abweichungen in ihrer Arbeit verheerende Fehlerfolgen haben können. Klingt schon nach Safety. Und ist es auch. Bei HROs haben sich fünf charakteristische Verhaltensregeln herausgebildet. Ich habe noch eine sechste aus meiner Erfahrung hinzugefügt:

  1. sensibel für kleinste Abweichungen
  2. grobe Vereinfachungen vermeiden
  3. sorgfältig mit Abweichungen umgehen
  4. Fachexperten die Problemlösung anleiten lassen
  5. flexibel reagieren
  6. uns verantwortlich fühlen (Skin-in-the-Game)

HRO sind sensibel für kleinste Abweichungen. Sie sehen jeden Lapsus als Symptom dafür, dass mit der Organisation etwas nicht stimmt. Aus meiner Entwicklung eines Elektroantriebs: Wenn das Getriebe ratscht, kann das Späne erzeugen. Sind Späne nun problematisch? Der Konstrukteur meint nein. „Wo gehobelt wird, fallen Späne“, sagt er amüsiert. Aus meiner Safetysicht: Die Späne könnten theoretisch zur Hochvoltelektronik wandern und dort die Luft- und Kriechstrecken überbrücken. Ein Lichtbogen könnte zünden und ein Loch ins Gehäuse brennen. Die scheinbar unbedenklichen Späne könnten in der Kette ungünstiger Einzelfehler zu einer Gefährdung führen. Das ist typisch für HROs (und Safety)

Die Kette ungünstiger Einzelfehler führt zur Gefährdung.

Auch typisch: Alle Beteiligten - und wirklich alle - müssen der Safety zuarbeiten, indem sie für kleinste Abweichungen sensibel sind und uns von der Safety darüber informieren. Wir können nicht absichern, was wir nicht kennen. Ganz einfach.

Wie Sie an dem Beispiel sehen: wir vermeiden grobe Vereinfachungen. Wir lassen uns auf die tatsächliche Komplexität der Welt ein. Wir sind zum Leid von Managern und Kunden resistent gegen vereinfachende Interpretation. Es ist eine weitverbreitete Regel, etwa im Projekt- und Changemanagement, sich vereinfachend auf Schlüsselprobleme und Schlüsselindikatoren, auf „low hanging fruits“, zu konzentrieren. Genau das machen wir in der Safety nicht. Wir vereinfachen weniger und sehen mehr. Wir wissen, dass die Welt unvorhersehbar und widersprüchlich ist. Um Gefährdungen zu vermeiden, müssen wir eine umfassende und bewusste Wahrnehmung aufbauen. „Bewusst“ bedeutet, gründlich und sorgfältig bei der Formulierung von Abweichungen zu sein.[3]

Sorgfalt im Umgang mit Abweichungen setzt Fehlertoleranz voraus. Achtung: Fehlertoleranz ist in Unternehmen häufig nur eine rhetorische Floskel. Schauen Sie auf das, was die Leute tun: In der Regel (also kulturell verankert) erlebe ich, wie der Überbringer schlechter Nachrichten verbal erschossen wird. Das ist ein sogenannter „Double Bind“[6]: Der Überbringer muss zum Beispiel Nachteile für seine Karriere befürchten, wenn er die Nachricht überbringt, und muss im Fall von Safety mit Gefährdungen rechnen, wenn er sie nicht überbringt. Die Nachricht übermitteln und sie nicht übermitteln ist aus seiner Sicht nachteilig. Ein Dilemma. Mir selbst hat das Benennen von Safetyproblemen mal eine üppige Beauftragung gekostet. Schade, aber ich schlafe ruhig. Sorgfalt setzt also voraus, dass alle Beteiligten so reflektiert sind, nicht infantil beleidigt auf Probleme zu reagieren. Das ist weit weniger selbstverständlich als es klingt. Zumindest im Automotive-Umfeld, wo wir gleichzeitig mit immensem Wettbewerb, Kosten- und Zeitdruck konfrontiert sind.

Nochmal Achtung: Fehlertolerant heißt auch nicht, dass man Fehler machen muss, um erfolgreich zu sein. Berater sagen ja gerne mal solche Dummheiten. Man muss hier unterscheiden: Es gibt mangelhafte Sorgfalt und Wissenslücken. Die Wissenslücke wird durch Trial-and-Error, Versuch und Irrtum, offengelegt. Aus dem Irrtum können wir lernen. „Fehler bewusst eingehen“ meint, zu handeln, obwohl man nicht alles exakt weiß. Also Paralyse durch Analyse vermeiden. Ein Irrtum zeigt uns ein unerwünschtes Ergebnis an, einen Denkfehler, den wir zukünftig vermeiden sollten. Sobald wir wissen, was wir vermeiden sollten, dann sollen Geschäftsprozesse diese Sorgfalt bei der Fehlervermeidung reproduzierbar absichern.[3]

Um eine umfassende Wahrnehmung und Sorgfalt im Umgang mit Abweichungen zu gewährleisten, ist sowohl eine differenzierte als auch eine fachlich detaillierte Analyse erforderlich; also Tiefe und Breite gleichzeitig. Das herausstechende Merkmal von HROs ist, dass Fachexperten festlegen, was getan werden muss, um die Gefährdung zu beseitigen. HROs überlassen den Fachexperten die Entscheidungen. Erstens wandern so Probleme und Entscheidungen an die Stelle mit dem höchsten Sachverstand. Zweitens werden viele Fachexperten einbezogen. Ein differenziertes Fehlerbild entsteht. (Wir wollen ja unsachliche Vereinfachungen vermeiden und die Probleme sorgfältig lösen.)

Natürlich ist kein System perfekt. Das wissen wir alle. HROs sind flexibel in dem Sinne, dass sie sich von Irrtümern und Abweichungen schnell erholen. Sie kennen die Nachteile von starren Prozessen, von chaotischen Prozessen, von Hierarchien, von agilen Teams, usw. und finden durch eine hands-on Mentalität zu den zuvor genannten Verhaltensregeln zurück. Gewissermaßen ist stoisches, ruhiges Verhalten ein Wesensmerkmal von HRO. (Interessanerweise auch von vielen Safety-Ingenieuren.)[3]

Ich möchte noch eine sechste Verhaltensregel hinzufügen: Vertraue niemanden, der nichts zu verlieren hat: Skin-in-the-Game.[4] Denken Sie an ein Pokerspiel. Wenn wir um Gummibärchen spielen, verhalten wir uns völlig anders, als wenn wir 10.000 € einsetzten. Bei hohem Verlustrisiko trauen sich Stümper erst gar nicht an den Tisch. Scharlatane haben plötzlich keine Zeit. Profis dagegen handeln trotz des Risikos, weil es halt getan werden muss und weil sie aus ihrem Handwerk eine gewisse Genugtuung ziehen. Verlustrisiko korrigiert unser Verhalten auf Professionalität. Verlustrisiko dient dem Systemschutz. Wer nicht auslöffeln muss, was er anrichtet, benutzt irrwitzige Zutaten. Das Risiko für alle Beteiligten erhöht sich immens. Skin-in-the-Game ist die stärkste Daumenregel, um genau das zu vermeiden. Wenn also die Controllerin das nächste Mal an den Stückkosten rüttelt: Testfahrt mit ihr und ihrem Sohn. Thema erledigt. Ok, überspitzt. Sie wissen sicherlich, was ich meine.

Fazit

Ich hoffe, ich konnte den luftigen und unklaren Begriff der Safety-Kultur verständlich und konkret machen. Kultur sind informellen Verhaltensregeln. Eine Safety-Kultur sind informelle Verhaltensregeln, die wirksam beim Aufspüren und Vermeiden von Gefährdungen helfen. Eine Prozesslandschaft, in der Safety verankert ist, ist sicherlich ein Indikator für eine Safety-Kultur. Ob sie dann auch so etabliert ist, erkennen wir ausschließlich an den Taten von Managern, Entwicklern, Kollegen, Kunden und Lieferanten.

  1. Kühl, S. (2011). Organisationen: eine sehr kurze Einführung. 1. Auflage. VS Verlag für Sozialwissenschaften | Springer Fachmedien, Wiesbaden.
  2. Argyris, C. (2000). Teaching Smart People How to Learn. In Strategic Learning in a Knowledge Economy, S. 279–295. Elsevier.
  3. Weick, K. E., & Sutcliffe, K. M. (2010). Das Unerwartete managen: wie Unternehmen aus Extremsituationen lernen. 2., vollständig überarbeitete Auflage. Schäffer-Poeschel, Stuttgart.
  4. Taleb, N. N. (2018). Skin in the Game. Das Risiko und sein Preis. 1. Auflage. Penguin, Münchhen.
  5. Simon, F. B. (2011). Einführung in die systemische Organisationstheorie. 3 Auflage. Carl-Auer-System-Verlag, Heidelberg.
  6. Argyris, C., & Schön, D. A. (1996). Organizational Learning II: Theory, Method, and Practice. Addision-Wesley, Reading, Massachussetts.
  7. ISO 26262:2018 (2nd Ed.). Road Vehicles - Functional safety Series.

Creative Commons Lizenzvertrag

Titelfoto von Pexels auf Pixabay