“The mind is like a parachute. It will only work when it is open.”
(Frank Zappa)
Tijdens trainingen merk ik dat mensen gewoon zijn om veiligheid te zien als afwezigheid van gevaar of dreiging; een situatie of actie waarbij niets verkeerd gaat; of dan toch tenminste een situatie waarbij zo min mogelijk verkeerd gaat. Veiligheid is: niet gewond raken, niet kunnen vallen, uitglijden, niet je baan kwijt kunnen raken, etc; kortom ‘veilig’ is een situatie waarbinnen iets (negatiefs) niet mag of kan gebeuren.
‘Safety is the freedom from accidental injury’
(U.S. Agency for Healthcare Research and Quality)
‘Safety is the state in which harm to persons or of property damage is reduced to, and maintained at or below, an acceptable level through a continuing process of hazard identification and risk management’
(International Civil Aviation Organization)
Het is begrijpelijk dat mensen focussen op de dingen die verkeerd kunnen gaan; het is sowieso onverwacht en ongewenst dat iets verkeerd gaat, plus dat ons dan ook daadwerkelijk iets zou kunnen overkomen. Eeuwenlang werd dit gezien als ‘Gods hand’, of een ‘daad van de Natuur’, als iets waarover wij mensen geen controle hadden. Dat veranderde tijdens de (tweede) technische revolutie in het midden van de 18e eeuw. Door de snelle mechanisatie van het werk groeide het aantal ongelukken, ditmaal overduidelijk als gevolg van het kapot gaan of niet goed werken van apparaten en machines. Als gevolg hiervan richtte men zich op het bewaken van de machines, het tegengaan van explosies en het voorkomen van instorten van constructies. Technologie werd gezien als de hoofdoorzaak van problemen en voor deze problemen werden, trouwens zeer succesvol, technische oplossingen gevonden. Totdat in de tweede helft van de vorige eeuw, rond 1975 – 1980 een aantal ernstige ongelukken aantoonden dat het managen van de techniek niet voldoende was om ellende te voorkomen. Het ongeluk bij de Three Mile Island kerncentrale en de twee 747’s die op Tenerife verongelukten verplaatsten de focus naar de menselijke bijdrage (Human Factor). Het bleek noodzakelijk om menselijke fouten en disfunctioneren van mensen als een mogelijk risico op ongevallen te gaan zien. Daarbij kwam in 1986 nog het verlies van de spaceshuttle Challenger dat, versterkt door de kernramp van Tsjernobyl een volgende aanpassing tot gevolg had, namelijk: dat ook de invloed van fouten van de organisatie of ‘het Systeem’ en de heersende veiligheidscultuur een wezenlijk risico vormen.
Om uit te leggen hoe een ongeval zich kan manifesteren wordt traditioneel gekeken hoe oorzaken leiden tot effecten. Terug redenerend van het ongeval zoekt men naar uiteindelijk De Oorzaak van het ongeval, eventueel meerdere oorzaken, en door deze oorzaken te voorkomen kunnen ongevallen niet meer gebeuren.
Alle negatieve uitkomsten hebben een oorzaak en aangezien alle oorzaken kunnen worden gevonden (o.a. Root Cause Analysis, Swiss Cheese en Domino Model), kunnen ook alle ongevallen worden voorkomen.
De historische ontwikkeling en dit tamelijk lineaire oorzaak – gevolg model hebben geleid tot de volgende visie op veiligheid.
‘Ongevallen of ongewenste uitkomsten gebeuren als gevolg van hieraan voorafgaande fouten en slecht functioneren, terwijl positieve uitkomsten tot stand komen omdat alles, inclusief de mensen, functioneert zoals het moet.’
En: ‘Mechanismes die ongewenste uitkomsten veroorzaken zijn anders dan mechanismes die succesvolle uitkomsten tot gevolg hebben.’
Veiligheid is in deze context een toestand waarin zo min mogelijk negatieve uitkomsten (ongevallen/ incidenten/ ‘near misses’) voorkomen.
Het grappige is dat veiligheid in deze vorm wordt gedefinieerd als iets dat gebeurt wanneer het zelf [de veiligheid] ontbreekt. Veiligheid wordt gemeten door te kijken naar de gevolgen van de afwezigheid van veiligheid. Deze benadering wordt ook wel Safety I genoemd.
Safety I gaat er van uit dat de systemen werken omdat ze goed zijn ontworpen en onderhouden en omdat procedures compleet en foutloos zijn aangezien de ontwerpers zelfs de kleinste verstoringen kunnen voorspellen en anticiperen. Mensen gedragen zich zoals van ze wordt verwacht (cfm opgestelde procedures) en vooral zoals ze geleerd en getraind zijn te doen. Vandaar dat binnen Safety I de nadruk ligt op compliance (volgzame naleving) met betrekking tot de manier waarop werk wordt uitgevoerd.
Dit denken heeft ‘ons’, de luchtvaart gebracht waar we nu zijn. Commerciële luchtvaart is de veiligste vorm van transport; één misser op één miljoen acties of handelingen (iets kort door de bocht, maar toch). Alleen blijkt de afgelopen decennia dat het hier stagneert. Ondanks alles wat men probeert (meer regels, meer procedures, meer technische ondersteuning etc etc) wordt het niet echt veiliger. Iets dat ook bij de off-shore en nucleaire industrie wordt ervaren. Wellicht moeten we dus op een andere manier naar wat er om ons heen gebeurt gaan kijken om verder te komen en nog ‘veiliger’ te worden. Daarnaast wordt leren van fouten, want Safety I kijkt naar de fouten en leert daarvan, heel erg moeilijk als je maar één op de miljoen missers hebt. Er zijn dan relatief weinig leermomenten.
Eén van de benaderingen om door te ontwikkelen is om te kijken naar de socio-technische systemen waarbinnen werk wordt uitgevoerd. Waar die vroeger moeilijk tot ingewikkeld waren, komt men er steeds vaker achter dat de huidige systemen, zeker in samenhang met, en onder invloed van hun omgeving, complex geworden zijn. In een complex systeem is niet ‘even eenvoudig’ te zien wat oorzaak en gevolg zijn. Het systeem wordt beïnvloed door de omgeving en de omgeving door het systeem; lineaire oorzaak-en-gevolg modellen (zie boven Swiss Cheese) en matrixen (bv. Reason culpability matrix) werken niet in een complex systeem, althans niet voor de complexe vraagstukken in die complexe systemen.
Daarbij is aangetoond dat mensen die werken in een systeem zich in principe aanpassen om hun werk zo goed mogelijk te kunnen uitvoeren. Ze zijn flexibel en inventief en proberen, ongeacht tekorten, niet toereikende gereedschappen, slecht toe te passen procedures en veelal beperkende wet- en regelgeving, zo optimaal mogelijk te presteren. Met tot gevolg dat het werk bijna altijd met goed resultaat wordt uitgevoerd en de mensen ‘op kantoor’ het idee hebben dat alles werkt zoals ze het zich hebben voorgesteld. Terwijl het werk zoals het daadwerkelijk is uitgevoerd vaak volledig afwijkt van de manier waarop ‘kantoor’ het heeft vastgelegd en denkt dat het wordt uitgevoerd. We noemen dat Work as Imagined (WAI – zoals voorgesteld, de mensen die vertellen hoe het werk moet worden uitgevoerd) en Work as Done (WAD – zoals het daadwerkelijk op de werkvloer wordt uitgevoerd).
De eigenschap van mensen om zich aan te passen is een van de belangrijkste redenen waarom wij als mens zo ver zijn gekomen. Om een taak uit te voeren is vaak weinig tijd en zijn vaak (economische druk?) middelen schaars of nét toereikend; de omgeving is niet optimaal (kou, warmte, druk, lawaai, noem maar op) en wet- en regelgeving maken het vaak onmogelijk om, als hieraan zou worden voldaan, het werk uit te voeren (berucht voorbeeld is het voorschrift dat je tijdens het op- of afgaan van een trap op een bepaald productieplatform altijd vier contactpunten met die trap zou moeten hebben. Probeer het maar eens). Die eigenschap om ons aan te passen aan de omstandigheden, bewust en berekenend af te wijken van voorschriften en procedures en alternatieven te vinden voor niet werkende of afwezige middelen wordt ‘Performance Variability’ genoemd. Mensen herkennen de werkelijk behoeftes en passen daar hun handelen op aan; ze interpreteren de context en passen procedures aan om zo goed mogelijk aan te sluiten bij de omstandigheden van dat moment en de heersende situatie. Soepel verlopende aanpassingen die noodzakelijk zijn voor een veilig en effectief verloop van het werk. Performance Variability is dé noodzakelijke voorwaarde om de huidige socio-technische systemen te laten functioneren in hun steeds veranderende context.
Omdat het constant aanpassen aan steeds veranderende middelen en omstandigheden voor een deel berust op proberen en inschatten, zal het nooit 100% zijn. Het kan voorkomen dat de aanpassing net niet voldoende of afdoende is en het een mislukking, of incident tot gevolg heeft. Hieruit blijkt dat dezelfde mechanismes die succes en veiligheid tot gevolg hebben, ook de mechanismes zijn die een fout of onveilige situatie kunnen veroorzaken.
“Begrip voor de Variatie in het Dagelijks Werk is de Basis voor Veiligheid. Veiligheid vergroten door ‘Werk’ te faciliteren”
Dit komt niet langer overeen met Safety I, waar men ervan uit gaat dat een fout wordt veroorzaakt door disfunctioneren, verkeerd handelen en/of niet opvolgen van procedures; oftewel dat een fout door ander handelen wordt veroorzaakt dan iets dat succesvol verloopt. Safety I reageren op een fout houdt dan ook in dat ‘De Oorzaak’ wordt gezocht en als oplossing vaak strakkere procedures, meer regelgeving en extra training wordt doorgevoerd; dit alles met tot doel afwijkingen van, en initiatieven buiten procedures en voorschriften om, uit te bannen. Vanuit Work as Imagined het Work as Done zo veel mogelijk controleren en beheersen. Safety I reageren op afwijkingen is funest voor Performance Variability en zal niet langer in de huidige werk omgeving het gewenste effect hebben. Sterker nog, de kans is groot dat het resultaat terugloopt, en/of meer kans op incidenten.
Om Performance Variability meer kans op succesvolle uitkomsten te geven moet in plaats van te ‘voorkomen dat er iets fout gaat’, en in plaats van mensen in hun handelen te beperken, ervoor worden gezorgd dat Werk de gelegenheid krijgt om goed te gaan. Oftewel inspelen op de manier waarop men zich kan aanpassen en dit bevorderen. Omdat zowel succes als mislukking door dezelfde mechanismes worden veroorzaakt is het niet langer noodzakelijk om verschillende benaderingen te hebben voor de zaken die goed verlopen (werk zoals ieder dag wordt gedaan) en de zaken die verkeerd verlopen (incidenten en ongevallen). Zoals Hollnagel het heeft verwoord:
“Constraining performance variability to remove failures will also remove successful everyday work“
Zorg dat Safety Management zich richt op de zaken die goed verlopen en dit verder uitbouwt; dan reduceer je tegelijkertijd de kans op zaken die verkeerd aflopen. Dit is de basis voor Safety II: Zorg dat Werk Goed gaat. Binnen dit veiligheid-denken wordt de mens niet als een bedreiging gezien (als in Safety I), maar is de Menselijke Factor (Human Factor) de bron van noodzakelijke aanpassingen en daardoor juist onmisbaar voor succes. Safety II denken biedt uiteindelijk ook veel meer mogelijkheden om te verbeteren; om door te ontwikkelen.
Stelt u zich een systeem voor waar 1 op de 10.000 zaken verkeerd lopen (Vergeleken bij de commerciële luchtvaart dus best een ‘onveilig’ systeem). Zie hier de onbalans tussen zaken die ‘goed (non-failures)’ en zaken die ‘fout (failure)’ gaan:
- Safety I benadering is dan: De manier waarop dingen goed verlopen is een speciale vorm van de manier waarop dingen verkeerd verlopen, oftewel
Successen = mislukkingen die verkeerd aflopen. De beste manier om de systeem- veiligheid te verbeteren is daarom te bestuderen hoe zaken fout gaan, en daar vervolgens vanuit die zienswijze maatregelen te nemen en ervan te leren. Potentiele gegevensbron is 1 op 10.000 zaken.
- Safety II benadering is dan:
De manier waarop dingen verkeerd verlopen is een speciale vorm van de manier waarop dingen goed verlopen, oftewel:
Mislukkingen = successen die verkeerd aflopen. De beste manier om de systeem- veiligheid te verbeteren is daarom te bestuderen hoe zaken goed gaan en vervolgens vanuit die zienswijze maatregelen te nemen en ervan te leren.
Potentiële gegevensbron is 9.999 op 10.000 zaken.
Over big data gesproken! Het lijkt me dat er met een Safety II benadering veel meer leermomenten kunnen worden benut. Daar zal wel een heel andere manier van denken voor nodig zijn.
Safety II dwingt ons ertoe te gaan kijken naar wat er hoe en waarom goed gaat en dit te gaan vastleggen om te bestuderen en te gebruiken voor de toekomst.
Verschillen tussen Safety I en Safety II in een notendop:
Definitie veiligheid Safety-I: “Dat zo min mogelijk fout gaat”
versus
Definitie veiligheid Safety-II: “Dat zo veel mogelijk goed gaat”
Safety Management Principe Safety-I: “Nog veelal reactief; reageer als er iets gebeurt”
versus
Safety Management Principe Safety-II: “Proactief, probeer ontwikkelingen en gebeurtenissen voor te blijven”
Uitleg bij ongevallen Safety I: “Ongevallen worden veroorzaakt door mislukkingen en disfunctioneren“
versus
Uitleg bij ongevallen Safety II: “Dingen gebeuren in principe op dezelfde manier, onafhankelijk van de uitkomst“
De Human Factor binnen Safety I is: “Een negatieve risicofactor“
versus
De Human Factor binnen Safety II is: “Een belangrijk middel“
Als we willen groeien en de veiligheid verder willen uitbouwen kunnen we ons niet beperken tot Safety I denken. We zullen verder moeten op de Safety II manier. Maar Safety I moet niet worden weggegooid! Het heeft ons gebracht waar we nu zijn en Safety II is (nog) erg moeilijk voor te stellen, en handen en voeten te geven. Safety II moet samen met, en als vervolg op Safety I worden toegepast. We moeten leren inzien waarom en hoe dagelijkse zaken lopen zoals ze lopen en dat is een heel andere benadering dan te proberen gebeurtenissen goed te laten gaan door te voorkomen dat ze fout gaan. We moeten dingen gaan waarnemen en herkennen die niet eenvoudig te zien zijn en dat is een serieuze uitdaging.
Dit artikel is een vereenvoudigde compilatie van onderzoeken, publicaties en presentaties van onder andere: Heinrich; Hollnagel; Dekker; Weick; Perrow; Woods