Sicherheit in komplexen dynamischen Systemen erzielen
Seit 40 Jahren beschäftigt sich die Sicherheits- und Unfallforschung mit diesen Fragen. Eine hieraus entwickelte Theorie, die aber im deutschsprachigen Raum nur geringen Bekanntheitsgrad erlangt hat, ist das „dynamische Sicherheitsmodell“. Es wurde erstmals 1997 von dem dänischen Sicherheitsforscher Jens Rasmussen publiziert. Im Jahr 2005 hat er seine Theorie gemeinsam mit dem Healthcare-Safety-Experten und Anästhesisten Richard Cook konkret auf die Patientenversorgung und Patientensicherheit angewendet. Im weiteren Verlauf sollen die Überlegungen von Rasmussen und Cook vorgestellt werden.1
Menschliches Verhalten in Systemen
Das menschliche Verhalten in Arbeitssystemen ist grundsätzlich abhängig von den Zielen, die erreicht und den Zwängen, die beachtet werden müssen. Der Aktionsraum der Akteure ist zwar durch Vorgaben und Einschränkungen administrativer, funktionaler oder sicherheitsrelevanter Art begrenzt, gleichzeitig bestehen jedoch auch (unterschiedlich große) Freiheitsgrade. Dieser Spielraum wird abhängig von den persönlichen Präferenzen ausgefüllt und ausgestaltet. Leistungsbereitschaft, Erfolgs- und Ergebnisorientierung, Regeleinhaltung oder Risikofreude des Einzelnen entfalten darauf Einfluss.
Typischerweise sind die Arbeitsumfelder nicht statisch, die Bedingungen ändern sich vielmehr permanent und situativ. Die Akteure reagieren darauf, indem sie ihre Strategie der Arbeitsleistung modifizieren und ihre Tätigkeiten flexibel an die Bedingungen anpassen.
Dynamik und Komplexität von Systemen
Das Arbeitsumfeld Krankenhaus zeichnet sich durch eine besonders hohe Dynamik aus. Das Patientenaufkommen ist nur begrenzt planbar, die Notfallversorgung führt zu zusätzlicher arbeits- und zeitintensiver Diagnostik und Behandlung. Behandlungsverläufe entwickeln sich nicht wie erwartet, und es entstehen Komplikationen durch Begleiterkrankungen oder Infektionen – um nur einige Aspekte zu nennen.
Insbesondere durch externe Rahmenbedingungen wie Kostendruck und Fachkräftemangel, aber auch durch standortbezogene Faktoren wie baulich-räumliche Einschränkungen, ist eine fortwährende Optimierung der Leistungen und der Leistungserbringung erforderlich. Das Management eines Krankenhauses zielt darauf ab, die Ineffizienzen in der Organisation durch Leistungsplanung, Erlös-Controlling und IT-Einsatz immer weiter zu verringern. Nebenwirkung hiervon ist, dass mit zunehmender Optimierung die Puffer kleiner werden, die zwischen den einzelnen Arbeitsbereichen in der Klinik liegen. Aktivitäten und Bedingungen in einem Arbeitsbereich können so unmittelbar Auswirkungen auf andere Bereiche haben.
Bestes und auch von den Autoren verwendetes Beispiel dafür ist die Bettenbelegung eines Krankenhauses. Eine hohe Auslastung der Intensivstation kann zu Einschränkungen im OP-Programm und einem Rückstau kritisch kranker Patienten in der Notaufnahme oder dem Aufwachraum führen. Die Organisationstheorie bezeichnet diesen Zusammenhang als „enge Kopplung“ von (Teil-)Systemen.
Anpassung von Systemen
Systeme zeichnen sich jedoch nicht nur dadurch aus, dass sie unter Umständen komplex sind. Ein anderes Merkmal ist ihre Anpassungsfähigkeit. Der Begriff Anpassung meint in diesem Zusammenhang ein reagierendes/reaktives Verhalten auf Einflüsse und nicht Veränderung im Sinne des Change Managements.
Reaktive Systemanpassungen können absichtlich und geplant herbeigeführt werden und hierbei unter Umständen einen Zeithorizont von Jahren oder Jahrzehnten haben. Systemanpassungen können aber auch ungeplant sein und lokal stattfinden. In diesem Fall können sie sich innerhalb von Minuten oder Sekunden vollziehen. In jeder Organisation laufen somit zahlreiche Systemanpassungen simultan ab, die jeweils ihren eigenen Zeithorizont haben.
Geht es um die Zuverlässigkeit von Systemen, sind Anpassungen mit kurzem Zeithorizont von besonderer Bedeutung. Es sind die kurzfristigen Anpassungen und das situative Verhalten eines Akteurs oder eines größeren Teils des Systems, die darüber entscheiden, ob ein angestrebtes Sicherheitsniveau gehalten werden kann oder unterschritten wird – ob ein System scheitert oder nicht.
Das dynamische Sicherheitsmodell
Nach dem dynamischen Sicherheitsmodell hat jede Organisation einen Aktionsraum, in dem sie agiert. Dieser Aktionsraum ist typischerweise nicht frei, sondern von Bedingungen abhängig: Wirtschaftlichkeit, Arbeitsbelastung und Leistung. Diese Bedingungen umgeben den Aktionsraum vollständig und bilden seine definierten Grenzen. Jeder Routinebetrieb erfolgt innerhalb dieser drei Grenzen. Die erste dieser Trennlinien ist die des wirtschaftlichen Scheiterns. Das Überschreiten dieser Marke aus dem Aktionsraum heraus hat den Konkurs und die Geschäftsaufgabe zur Folge. Das Management ist daher bestrebt, eine Organisation weit von dieser Grenze wegzuhalten und die Effizienz hochzuhalten.
Eine nicht akzeptable Arbeitsbelastung markiert die zweite Grenze des Aktionsraums. Diese Grenze wird erreicht, wenn das System durch Überlastung und Überforderung der Mitarbeitenden kollabiert und die Ausfälle nicht mehr kompensiert werden können.
Die dritte und letzte Grenze ist die der nicht akzeptablen Leistung – also die Unterschreitung des von der Organisation angestrebten Leistungsniveaus.
Im Spannungsfeld dieser Grenzen bewegt sich der Betriebspunkt, der anzeigt, wo sich das System innerhalb des Aktionsraums im jeweiligen Moment befindet. Dieser Betriebspunkt ist ständig in Bewegung, da sich das System permanent an Situationen anpasst und auf veränderte Bedingungen reagiert. Ein stabiler Betrieb ist dadurch gekennzeichnet, dass die Bewegungen des Betriebspunktes klein sind und seine Position somit innerhalb des Aktionsraums in einem konstanten Bereich bleibt.
Änderungen der Gradienten wie erhöhter wirtschaftlicher Druck oder eine Erhöhung des Arbeitsanfalls führen zu einer Verschiebung des Betriebspunktes in Richtung der Grenze der nicht akzeptablen Leistung, das Risiko eines „Unfalls“ steigt hierdurch – in Gesundheitseinrichtungen werten wir hier primär die Patientenschädigung als Unfall, andere Branchen haben individuelle Definitionen für dieses Wort.
Das Problem hierbei ist, dass die Lage der Grenze der nicht akzeptablen Leistung in der Praxis ungewiss ist. Die Grenze kann zwar verbal in der Organisation definiert werden, wobei die Spanne von „keine Todesfälle durch Never Events“ über „maximal alle zwei Wochen ein vermeidbares unerwünschtes Ereignis“ bis hin zu der unrealistischen Vorgabe „null Fehler“ reichen kann, aber die Definition gibt keinen Aufschluss über die genaue Lage der Grenze. Eindeutige Informationen zur Lage sind häufig nur über Unfälle selbst zu erhalten, die es aber hoffentlich nur in kleiner Anzahl gibt.
Die Margin
Die Bestrebungen der Organisation, den Betriebspunkt von der (unbekannten) Grenze der nicht akzeptablen Leistung fernzuhalten, führt so gleichermaßen unweigerlich wie unbewusst dazu, dass eine eigene Leistungsgrenze definiert wird – die Grenze zu einem Sicherheitsbereich, in der das Unfallrisiko als niedrig und akzeptabel angesehen wird, solange der Betriebspunkt diese Zone nicht überschreitet. Die Grenze dieser Spanne oder Marge wird treffend mit dem Anglizismus „Margin“ bezeichnet. Diese Grenze wird durch eigene Festlegungen bestimmt, also durch den selbstdefinierten Standard einer klinischen Abteilung und die Vorgaben des Qualitäts- und Risikomanagements.
Zu dem Problem der unbekannten Lage der Grenze kommt ein weiteres Hindernis: Auch die aktuelle Position des Betriebspunktes und seine Bewegungs-Dynamik haben Entscheider und Handelnde nicht transparent vor Augen. Dies kann zu einem ungewollten Überschreiten der Margin-Grenze führen. In dem Moment, in dem die Grenzübertretung offensichtlich wird, ist die Organisation bemüht, den Betriebspunkt schnell wieder in den Aktionsraum zu verschieben. Vorfälle in diesem Sicherheits-Grenzbereich sind im Gesundheitswesen als „kritische Ereignisse“ oder „Beinahe-Schäden“ bekannt.
Die Lage der Margin-Grenze ist, wie bereits ausgeführt, von der Organisation definiert und durch personelle, organisatorische und technische Vorgaben und Ressourcen gesteuert. Infolge eines Unfalls werden typischerweise diese Rahmenbedingungen betrachtet und Maßnahmen ergriffen, um eine Wiederholung auszuschließen. Nach dem Motto „Safety first“ wird ein Bündel von Sicherheitsaktivitäten initiiert, die Sicherheitsmaßnahmen werden neu definiert und die wirtschaftlichen Belange rücken dann in diesem Moment in den Hintergrund. Es wird alles unternommen, um den Betriebspunkt wieder weit in den sicheren Aktionsbereich zu schieben.
Flirting with the Margin
Die Rahmenbedingungen des Systems ändern sich durch einen Unfall jedoch im Regelfall nicht. Arbeitsaufkommen und ökonomischer Zwang bleiben trotz aller Sicherheitsbemühungen unverändert. Die zunächst hohe Sensibilität für Fehler und Abweichungen und die Betroffenheit über das Ereignis verlieren sich im Zeitverlauf etwas. Neue Mitarbeitende, unvorbelastet und ohne die prägende Schadenerfahrung, kommen ins Team und bringen eine andere Sichtweise mit. Außerdem werden die Herausforderungen des Arbeitsalltages dazu führen, dass punktuell die Margin-Grenze wieder überschritten wird. Vielleicht kamen infolge des Unfalls auch neue Regeln hinzu, die nur schwer in allen Situationen einzuhalten sind. Die externen Rahmenbedingungen ermutigen möglicherweise auch dazu, quasi „testhalber“ gegen die Regeln zu verstoßen und den Betriebspunkt absichtlich für eine kurze Zeit über die Grenze hinaus zu verschieben – Cook und Rasmussen bezeichnen dies als „Flirting with the Margin“. Denn es gibt ja eventuell die Erfahrung, dass die Arbeit auch mit Verletzung der Margin-Grenze sicher funktioniert, dass im Bereich der Margin noch Potenzial steckt, ein effektiveres Arbeiten möglich wäre und die Grenze also zu konservativ gesetzt ist. Warum also den Grenzstein nicht wieder etwas weiter nach außen verschieben?
Die Soziologin Diane Vaughan hat für dieses Verhaltensmuster im Zusammenhang mit dem Unglück der Raumfähre „Challenger“ den Ausdruck „Normalisierung der Abweichung“ verwendet. Das Ergebnis eines solchen Anpassungsprozesses kann sein, dass in der Organisation eine neue Margin-Grenze definiert wird, die hinter dem Sicherheitsniveau der ursprünglichen Margin-Grenze zurückbleibt und sich wieder stärker der nicht akzeptablen Leistung annähert.
Konsequenzen und Handlungsansätze
Die Wahrscheinlichkeit von Unfällen ist nach diesem Modell davon abhängig, wie weit der Betriebspunkt von der Grenze der nicht akzeptablen Leistung entfernt ist und wie weit und schnell sich der Betriebspunkt bewegen kann. Für das Verständnis von Sicherheit ist hiernach entscheidend:
- Die Beschreibung der Lage des Betriebspunktes
- Der Abstand des Betriebspunktes von der Margin-Grenze
- Die Lage der Grenze zur nicht akzeptablen Leistung im Verhältnis zur Margin-Grenze
- Die Dynamik der möglichen Bewegungen des Betriebspunktes
Nach Auffassung der Autoren sind diese Einflussgrößen noch zu wenig Bestandteil der Sicherheitsforschung und -praxis. Die derzeitigen Bemühungen fokussieren sich fast ausschließlich darauf, die Margin-Grenze nach innen beziehungsweise die Grenze der nicht akzeptablen Leistung nach außen zu verschieben. Die beiden Einflussfaktoren Wirtschaftlichkeit und Arbeitsbelastung stehen auch im Blickfeld, sind allerdings bei den bestehenden Rahmenbedingungen auf der Ebene der Organisation nur wenig zu beeinflussen.
Es sind somit weitere Forschungen notwendig, bei denen wieder einmal die sogenannten High Reliability Organizations (HRO = Hochzuverlässigkeitsorganisation) als Referenz dienen müssen. Eine HRO zeichnet sich eben genau dadurch aus, dass der Betriebspunkt bekannt ist und Konsens über seine Lage im Aktionsraum besteht. Da auch die Margin-Grenze bekannt ist, kann eine HRO immer nahe dieser Grenze operieren und hierdurch Distanz zur Grenze der nicht akzeptablen Leistung halten. Durch diese Hochzuverlässigkeit entsteht die Sicherheit, die HROs auszeichnet und per Definition ausmacht.
Das Modell, welches hier immer das System als Ganzes betrachtet, kann auch auf einen Leistungsbereich, ein Team oder die eigene Person herunterreduziert werden. Wie ist Ihr aktueller Betriebspunkt? Arbeiten Sie nah an einer der Grenzen oder flirten Sie gar mit der Margin?
Insofern ist das Modell gut zur Visualisierung der Zusammenhänge von Zuverlässigkeit und Fehlerentstehung sowie zur Sensibilisierung für Sicherheitsgrenzen und menschliches Verhalten geeignet.
Michael Schrewe
Kontakt mit dem Autor aufnehmen
1Auf eine streng wissenschaftliche Zitation wird hier verzichtet; sowohl die Beschreibung des Modells als auch die Herleitung sind weitgehend den in den Literaturhinweisen genannten englischsprachigen Veröffentlichungen entnommen.
Literatur
- Cook, Richard und Rasmussen, Jens (2005): „Going solid“: a model of system dynamics and consequences for patient safety. Qual Saf Health Care. Vol. 14(2). S. 130–134;
URL: https://www.ncbi.nlm.nih.gov/pmc/articles/PMC1743994/pdf/v014p00130.pdf (27.06.22). - Rasmussen, Jens (1997): Risk management in a dynamic society: A modelling problem. Safety Science Vol. 27, Nr. 2-3, S. 183-213;
URL: https://sunnyday.mit.edu/16.863/rasmussen-safetyscience.pdf (27.06.22). - Vaughan, Diane (1986): The Challenger launch decision: risky technology, culture, and deviance at NASA. Chicago: The University of Chicago Press.