Montag, April 04 2011 16: 56

Systemanalyse

Artikel bewerten
(0 Stimmen)

A System kann als ein Satz voneinander abhängiger Komponenten definiert werden, die so kombiniert sind, dass sie unter bestimmten Bedingungen eine bestimmte Funktion erfüllen. Eine Maschine ist ein greifbares und besonders deutliches Beispiel für ein System in diesem Sinne, aber es gibt andere Systeme, die Männer und Frauen in einem Team oder in einer Werkstatt oder Fabrik einbeziehen, die weitaus komplexer und nicht so einfach zu definieren sind. Sicherheit suggeriert das Fehlen einer Gefahr oder eines Unfall- oder Schadensrisikos. Um Mehrdeutigkeiten zu vermeiden, wird das allgemeine Konzept von an ungewolltes Auftreten wird angestellt. Absolute Sicherheit im Sinne der Unmöglichkeit eines mehr oder weniger unglücklichen Zwischenfalls ist nicht erreichbar; realistischerweise muss man eher eine sehr geringe als eine Null-Wahrscheinlichkeit unerwünschter Ereignisse anstreben.

Ein bestimmtes System kann nur im Hinblick auf die Leistung, die tatsächlich von ihm erwartet wird, als sicher oder unsicher angesehen werden. Vor diesem Hintergrund kann das Sicherheitsniveau eines Systems wie folgt definiert werden: „Für jede gegebene Menge unerwünschter Ereignisse wird das Sicherheitsniveau (oder die Unsicherheit) eines Systems durch die Wahrscheinlichkeit bestimmt, dass diese Ereignisse über einen bestimmten Zeitraum auftreten Zeitspanne". Beispiele für unerwünschte Ereignisse, die im vorliegenden Zusammenhang von Interesse wären, sind: mehrere Todesfälle, Tod einer oder mehrerer Personen, schwere Verletzungen, leichte Verletzungen, Umweltschäden, schädliche Einwirkungen auf Lebewesen, Zerstörung von Anlagen oder Gebäuden und größere oder begrenzte Material- oder Ausrüstungsschäden.

Zweck der Sicherheitssystemanalyse

Ziel einer Systemsicherheitsanalyse ist es, die Faktoren zu ermitteln, die die Wahrscheinlichkeit der unerwünschten Ereignisse beeinflussen, die Art und Weise zu untersuchen, in der diese Ereignisse stattfinden, und letztendlich präventive Maßnahmen zu entwickeln, um ihre Wahrscheinlichkeit zu verringern.

Die analytische Phase des Problems kann in zwei Hauptaspekte unterteilt werden:

  1. Identifizierung und Beschreibung der Typen von Funktionsstörungen oder Fehlanpassungen
  2. Identifizierung der Sequenzen von Funktionsstörungen, die miteinander (oder mit „normaleren“ Ereignissen) kombiniert werden, um letztendlich zu dem unerwünschten Ereignis selbst zu führen, und die Bewertung ihrer Wahrscheinlichkeit.

 

Nachdem die verschiedenen Störungen und ihre Folgen untersucht wurden, können die Systemsicherheitsanalysten ihre Aufmerksamkeit auf vorbeugende Maßnahmen richten. Die Forschung in diesem Bereich wird direkt auf früheren Erkenntnissen aufbauen. Diese Untersuchung präventiver Maßnahmen folgt den beiden Hauptaspekten der Systemsicherheitsanalyse.

Methoden der Analyse

Eine Systemsicherheitsanalyse kann vor oder nach dem Ereignis (a priori oder a posteriori) durchgeführt werden; in beiden Fällen kann das verwendete Verfahren entweder direkt oder umgekehrt sein. Vor dem unerwünschten Ereignis findet eine a priori Analyse statt. Der Analytiker nimmt eine bestimmte Anzahl solcher Ereignisse und macht sich daran, die verschiedenen Stadien zu entdecken, die zu ihnen führen können. Im Gegensatz dazu wird eine a posteriori-Analyse durchgeführt, nachdem das unerwünschte Ereignis stattgefunden hat. Sein Zweck besteht darin, eine Orientierungshilfe für die Zukunft zu geben und insbesondere Schlussfolgerungen zu ziehen, die für spätere a priori-Analysen nützlich sein können.

Obwohl es den Anschein haben mag, dass eine A-priori-Analyse sehr viel wertvoller wäre als eine A-posteriori-Analyse, da sie dem Vorfall vorausgeht, ergänzen sich beide tatsächlich. Welche Methode verwendet wird, hängt von der Komplexität des betreffenden Systems und dem, was bereits über das Thema bekannt ist, ab. Bei greifbaren Systemen wie Maschinen oder Industrieanlagen können Vorerfahrungen in der Regel dazu dienen, eine recht detaillierte a priori Analyse zu erstellen. Aber selbst dann ist die Analyse nicht unbedingt unfehlbar und wird sicherlich von einer nachfolgenden a posteriori-Analyse profitieren, die im Wesentlichen auf einer Untersuchung der Vorfälle basiert, die sich im Laufe des Betriebs ereignen. Bei komplexeren Systemen, an denen Personen beteiligt sind, wie beispielsweise Schichten, Werkstätten oder Fabriken, ist eine nachträgliche Analyse noch wichtiger. In solchen Fällen reichen Erfahrungen aus der Vergangenheit nicht immer aus, um eine detaillierte und verlässliche a priori-Analyse zu ermöglichen.

Eine A-posteriori-Analyse kann sich zu einer A-priori-Analyse entwickeln, wenn der Analytiker über den einzelnen Prozess hinausgeht, der zu dem fraglichen Vorfall geführt hat, und beginnt, die verschiedenen Vorkommnisse zu untersuchen, die vernünftigerweise zu einem solchen Vorfall oder ähnlichen Vorfällen führen könnten.

Eine andere Art und Weise, wie eine A-posteriori-Analyse zu einer A-priori-Analyse werden kann, besteht darin, den Schwerpunkt nicht auf das Ereignis (dessen Verhinderung der Hauptzweck der aktuellen Analyse ist), sondern auf weniger schwerwiegende Vorfälle zu legen. Diese Vorfälle, wie technische Störungen, Sachschäden und mögliche oder kleinere Unfälle, die für sich genommen von relativ geringer Bedeutung sind, können als Warnsignale für schwerwiegendere Ereignisse identifiziert werden. In solchen Fällen wird die Analyse, obwohl sie nach dem Eintreten kleinerer Vorfälle durchgeführt wird, eine a priori-Analyse in Bezug auf schwerwiegendere Vorfälle sein, die noch nicht stattgefunden haben.

Es gibt zwei mögliche Methoden, um den Mechanismus oder die Logik hinter der Abfolge von zwei oder mehr Ereignissen zu untersuchen:

  1. Das Direkt, oder induktivsetzt die Methode bei den Ursachen an, um deren Auswirkungen vorherzusagen.
  2. Das rückgängig machen, oder deduktiv, Methode betrachtet die Wirkungen und arbeitet rückwärts zu den Ursachen.

 

Abbildung 1 ist ein Diagramm einer Steuerschaltung, die zwei Tasten erfordert (B1 und B2) gleichzeitig gedrückt werden, um die Relaisspule (R) zu aktivieren und die Maschine zu starten. Dieses Beispiel kann verwendet werden, um dies in praktischer Hinsicht zu veranschaulichen Direkt und rückgängig machen Methoden, die in der Systemsicherheitsanalyse verwendet werden.

Abbildung 1. Steuerschaltung mit zwei Tasten

SAF020F1

Direkte Methode

Im direkte Methodebeginnt der Analytiker damit, (1) Fehler, Funktionsstörungen und Fehlanpassungen aufzulisten, (2) ihre Auswirkungen zu untersuchen und (3) festzustellen, ob diese Auswirkungen eine Bedrohung für die Sicherheit darstellen oder nicht. Im Fall von Bild 1 können folgende Fehler auftreten:

  • ein Drahtbruch zwischen 2 und 2´
  • unbeabsichtigter Kontakt bei C1 (oder C2) infolge mechanischer Blockierung
  • versehentliches Schließen von B1 (oder b2)
  • Kurzschluss zwischen 1 und 1´.

Der Analytiker kann dann die Folgen dieser Fehler ableiten und die Ergebnisse tabellarisch darstellen (Tabelle 1).

Tabelle 1. Mögliche Funktionsstörungen einer Zwei-Knopf-Steuerschaltung und ihre Folgen

Fehler

Folgen

Drahtbruch zwischen 2 und 2'

Start der Maschine nicht möglich*

Versehentliches Schließen von B1 (oder b2 )

Keine unmittelbare Konsequenz

Kontakt bei C1 (oder C2 ) Als ein Resultat aus
mechanische Blockierung

Keine unmittelbare Folge, aber Möglichkeit der
Starten der Maschine einfach durch Druck auf 
Taste B2 (oder b1 ) **

Kurzschluss zwischen 1 und 1'

Aktivierung der Relaisspule R - versehentliches Starten von
Die Maschine***

* Auftreten mit direktem Einfluss auf die Zuverlässigkeit des Systems
** Ereignis, das für eine schwerwiegende Verringerung des Sicherheitsniveaus des Systems verantwortlich ist
*** Zu vermeidendes gefährliches Ereignis

Siehe Text und Bild 1.

In Tabelle 1 können Folgen, die gefährlich sind oder das Sicherheitsniveau des Systems ernsthaft verringern können, durch herkömmliche Zeichen wie *** gekennzeichnet werden.

Hinweis: In Tabelle 1 führt ein Drahtbruch zwischen 2 und 2´ (dargestellt in Abbildung 1) zu einem Ereignis, das nicht als gefährlich angesehen wird. Sie hat keinen direkten Einfluss auf die Sicherheit des Systems; Die Wahrscheinlichkeit, dass ein solcher Vorfall auftritt, hat jedoch einen direkten Einfluss auf die Zuverlässigkeit des Systems.

Die direkte Methode eignet sich besonders für die Simulation. Abbildung 2 zeigt einen analogen Simulator, der zur Untersuchung der Sicherheit von Pressensteuerkreisen entwickelt wurde. Die Nachbildung des Regelkreises ermöglicht den Nachweis, dass der Kreis im fehlerfreien Zustand tatsächlich in der Lage ist, die geforderte Funktion zu gewährleisten, ohne die Sicherheitskriterien zu verletzen. Darüber hinaus kann der Simulator dem Analytiker ermöglichen, Fehler in die verschiedenen Komponenten der Schaltung einzuführen, ihre Folgen zu beobachten und somit die Schaltungen, die richtig entworfen sind (mit wenigen oder keinen gefährlichen Fehlern), von denen zu unterscheiden, die schlecht entworfen sind. Diese Art der Sicherheitsanalyse kann auch mit einem Computer durchgeführt werden.

Abbildung 2. Simulator zur Untersuchung von Druckregelkreisen

SAF020F2

Umgekehrte Methode

Im umgekehrte Methode, arbeitet der Analytiker von dem unerwünschten Ereignis, Zwischenfall oder Unfall rückwärts zu den verschiedenen vorangegangenen Ereignissen, um festzustellen, welche möglicherweise zu den zu vermeidenden Ereignissen führen können. In Abbildung 1 wäre das letzte zu vermeidende Ereignis das unbeabsichtigte Anlaufen der Maschine.

  • Das Starten der Maschine kann durch eine unkontrollierte Aktivierung der Relaisspule (R) verursacht werden.
  • Die Aktivierung der Spule kann wiederum durch einen Kurzschluss zwischen 1 und 1´ oder durch ein unbeabsichtigtes und gleichzeitiges Schließen der Schalter C erfolgen1 und C2.
  • Unbeabsichtigtes Schließen von C1 kann die Folge einer mechanischen Blockierung von C sein1 oder des versehentlichen Drückens von B1. Ähnliche Überlegungen gelten für C2.

 

Die Ergebnisse dieser Analyse können in einem baumähnlichen Diagramm dargestellt werden (deshalb wird die umgekehrte Methode als „Fehlerbaumanalyse“ bezeichnet), wie in Abbildung 3 dargestellt.

Abbildung 3. Mögliche Ereigniskette

SAF020F4

Das Diagramm folgt logischen Operationen, von denen die wichtigsten die „ODER“- und „UND“-Verknüpfungen sind. Die „ODER“-Operation bedeutet, dass [X1] tritt auf, wenn entweder [A] oder [B] (oder beide) stattfinden. Die „UND“-Operation bedeutet, dass vor [X2] auftreten kann, müssen sowohl [C] als auch [D] stattgefunden haben (siehe Abbildung 4).

Abbildung 4. Darstellung zweier logischer Operationen

SAF020F5

Die umgekehrte Methode wird sehr häufig in der A-priori-Analyse von konkreten Systemen verwendet, insbesondere in der Chemie-, Luftfahrt-, Raumfahrt- und Nuklearindustrie. Es hat sich auch als äußerst nützliche Methode zur Untersuchung von Arbeitsunfällen erwiesen.

Obwohl sie sehr unterschiedlich sind, ergänzen sich die direkten und umgekehrten Methoden. Die direkte Methode basiert auf einer Reihe von Fehlern oder Dysfunktionen, und der Wert einer solchen Analyse hängt daher weitgehend von der Relevanz der verschiedenen Dysfunktionen ab, die zu Beginn berücksichtigt werden. So gesehen scheint die umgekehrte Methode systematischer zu sein. Wenn der Analytiker weiß, welche Arten von Unfällen oder Vorfällen passieren können, kann er diese Methode theoretisch anwenden, um auf alle Funktionsstörungen oder Kombinationen von Funktionsstörungen zurückzuarbeiten, die diese verursachen können. Da jedoch nicht unbedingt alle gefährlichen Verhaltensweisen eines Systems im Voraus bekannt sind, können sie durch die direkte Methode, beispielsweise durch Simulation, entdeckt werden. Sind diese entdeckt, können die Gefährdungen mit der umgekehrten Methode genauer analysiert werden.

Probleme der Systemsicherheitsanalyse

Die oben beschriebenen analytischen Verfahren sind nicht nur mechanische Verfahren, die nur automatisiert angewendet werden müssen, um zu sinnvollen Schlussfolgerungen zur Verbesserung der Systemsicherheit zu gelangen. Im Gegenteil, Analysten stoßen im Laufe ihrer Arbeit auf eine Reihe von Problemen, und der Nutzen ihrer Analysen hängt weitgehend davon ab, wie sie diese lösen. Einige der typischen Probleme, die auftreten können, werden im Folgenden beschrieben.

Verständnis des zu untersuchenden Systems und seiner Betriebsbedingungen

Die grundlegenden Probleme jeder Systemsicherheitsanalyse sind die Definition des zu untersuchenden Systems, seine Grenzen und die Bedingungen, unter denen es während seiner gesamten Existenz arbeiten soll.

Wenn der Analyst ein zu begrenztes Subsystem berücksichtigt, kann das Ergebnis eine Reihe willkürlicher Präventivmaßnahmen sein (eine Situation, in der alles darauf ausgerichtet ist, bestimmte besondere Arten von Ereignissen zu verhindern, während ebenso schwerwiegende Gefahren ignoriert oder unterschätzt werden ). Wenn andererseits das betrachtete System in Bezug auf ein bestimmtes Problem zu umfassend oder zu allgemein ist, kann dies zu einer übermäßigen Unschärfe des Konzepts und der Verantwortlichkeiten führen, und die Analyse führt möglicherweise nicht zur Annahme geeigneter Präventivmaßnahmen.

Ein typisches Beispiel, das die Problematik der Definition des zu untersuchenden Systems verdeutlicht, ist die Sicherheit industrieller Maschinen oder Anlagen. In einer solchen Situation könnte der Analytiker versucht sein, nur die eigentliche Ausrüstung zu betrachten und die Tatsache zu übersehen, dass sie von einer oder mehreren Personen bedient oder kontrolliert werden muss. Vereinfachung dieser Art ist manchmal gültig. Analysiert werden muss jedoch nicht nur das Subsystem Maschine, sondern das gesamte System Mensch plus Maschine in den verschiedenen Lebensphasen der Anlage (darunter beispielsweise Transport und Handhabung, Montage, Prüfung und Einstellung, Normalbetrieb). , Wartung, Demontage und gegebenenfalls Zerstörung). Auf jeder Stufe ist die Maschine Teil eines spezifischen Systems, dessen Zweck, Funktionsweise und Fehlfunktion sich vollständig von denen des Systems auf anderen Stufen unterscheiden. Es muss daher so konstruiert und hergestellt werden, dass die Erfüllung der geforderten Funktion unter guten Sicherheitsbedingungen in jeder der Phasen möglich ist.

Generell gibt es bei Sicherheitsstudien in Unternehmen mehrere Systemebenen: die Maschine, den Arbeitsplatz, die Schicht, die Abteilung, die Fabrik und das Unternehmen als Ganzes. Je nachdem, welche Systemebene betrachtet wird, sind die möglichen Arten von Funktionsstörungen – und die entsprechenden präventiven Maßnahmen – sehr unterschiedlich. Eine gute Präventionspolitik muss die auf verschiedenen Ebenen auftretenden Funktionsstörungen berücksichtigen.

Die Betriebsbedingungen des Systems können hinsichtlich der Art und Weise, wie das System funktionieren soll, und der Umgebungsbedingungen, denen es ausgesetzt sein kann, definiert werden. Diese Definition muss realistisch genug sein, um die tatsächlichen Bedingungen zu berücksichtigen, unter denen das System voraussichtlich betrieben wird. Ein System, das nur in einem sehr eingeschränkten Betriebsbereich sehr sicher ist, ist möglicherweise nicht so sicher, wenn der Benutzer den vorgeschriebenen theoretischen Betriebsbereich nicht einhalten kann. Ein sicheres System muss daher robust genug sein, um angemessenen Schwankungen der Bedingungen, unter denen es funktioniert, standzuhalten, und es muss bestimmte einfache, aber vorhersehbare Fehler seitens der Bediener tolerieren.

Systemmodellierung

Oft ist es notwendig, ein Modell zu entwickeln, um die Sicherheit eines Systems zu analysieren. Dies kann bestimmte Probleme aufwerfen, die es wert sind, untersucht zu werden.

Für ein prägnantes und relativ einfaches System wie eine herkömmliche Maschine ist das Modell fast direkt aus den Beschreibungen der materiellen Komponenten und ihrer Funktionen (Motoren, Getriebe usw.) und der Art und Weise, wie diese Komponenten miteinander in Beziehung stehen, ableitbar. Die Anzahl möglicher Komponentenausfallmodi ist ähnlich begrenzt.

Ein besonderes Problem stellen moderne Maschinen wie Computer und Roboter dar, die komplexe Komponenten wie Mikroprozessoren und elektronische Schaltungen mit sehr hoher Integration enthalten. Dieses Problem wurde weder im Hinblick auf die Modellierung noch auf die Vorhersage der unterschiedlichen möglichen Ausfallarten vollständig gelöst, weil es so viele Elementartransistoren in jedem Chip gibt und weil verschiedene Arten von Software verwendet werden.

Wenn das zu analysierende System eine menschliche Organisation ist, liegt ein interessantes Problem, das bei der Modellierung auftritt, in der Auswahl und Definition bestimmter nicht-materieller oder nicht vollständig materieller Komponenten. Eine bestimmte Arbeitsstation kann beispielsweise durch ein System dargestellt werden, das Arbeiter, Software, Aufgaben, Maschinen, Materialien und Umgebung umfasst. (Die Komponente „Aufgabe“ kann sich als schwierig zu definieren erweisen, da nicht die vorgeschriebene Aufgabe zählt, sondern die Aufgabe, wie sie tatsächlich ausgeführt wird).

Bei der Modellierung menschlicher Organisationen kann sich der Analyst dafür entscheiden, das betrachtete System in ein Informationssubsystem und ein oder mehrere Aktionssubsysteme zu zerlegen. Die Analyse von Fehlern in verschiedenen Phasen des Informationssubsystems (Informationserfassung, -übertragung, -verarbeitung und -nutzung) kann sehr aufschlussreich sein.

Probleme im Zusammenhang mit mehreren Analyseebenen

Probleme im Zusammenhang mit mehreren Analyseebenen entstehen oft, weil der Analyst ausgehend von einem unerwünschten Ereignis möglicherweise auf zeitlich immer weiter zurückliegende Vorfälle zurückarbeitet. Je nach betrachteter Analyseebene variiert die Art der auftretenden Funktionsstörungen; gleiches gilt für die vorbeugenden Maßnahmen. Es ist wichtig, entscheiden zu können, auf welcher Ebene die Analyse gestoppt und auf welcher Ebene vorbeugende Maßnahmen ergriffen werden sollen. Ein Beispiel ist der einfache Fall eines Unfalls, der aus einem mechanischen Versagen resultiert, das durch die wiederholte Verwendung einer Maschine unter anormalen Bedingungen verursacht wurde. Dies kann durch mangelnde Bedienerschulung oder schlechte Arbeitsorganisation verursacht worden sein. Abhängig von der betrachteten Analyseebene kann die erforderliche vorbeugende Maßnahme der Austausch der Maschine durch eine andere Maschine sein, die härteren Einsatzbedingungen standhält, die Verwendung der Maschine nur unter normalen Bedingungen, Änderungen in der Personalschulung oder eine Neuorganisation arbeiten.

Wirksamkeit und Umfang einer Präventionsmaßnahme hängen von der Ebene ab, auf der sie eingeführt wird. Vorbeugende Maßnahmen in unmittelbarer Nähe des unerwünschten Ereignisses haben eher eine direkte und schnelle Wirkung, aber ihre Auswirkungen können begrenzt sein; Andererseits sollte es möglich sein, durch ein vernünftiges Rückwärtsgehen bei der Analyse von Ereignissen Funktionsstörungen zu finden, die zahlreichen Unfällen gemeinsam sind. Alle auf dieser Ebene ergriffenen vorbeugenden Maßnahmen werden einen viel größeren Umfang haben, aber ihre Wirksamkeit kann weniger direkt sein.

Bedenkt man, dass es mehrere Analyseebenen gibt, kann es auch zahlreiche Muster präventiven Handelns geben, von denen jedes seinen eigenen Anteil an der Präventionsarbeit trägt. Dies ist ein äußerst wichtiger Punkt, und man braucht nur auf das Beispiel des gegenwärtig betrachteten Unfalls zurückzukommen, um die Tatsache zu würdigen. Der Vorschlag, die Maschine durch eine andere Maschine zu ersetzen, die härteren Einsatzbedingungen standhalten kann, legt die Verantwortung für die Vorbeugung auf die Maschine. Die Entscheidung, dass die Maschine nur unter normalen Bedingungen verwendet werden soll, bedeutet, dass die Verantwortung dem Benutzer auferlegt wird. Ebenso kann die Last auf die Personalschulung, die Arbeitsorganisation oder gleichzeitig auf die Maschine, den Benutzer, die Schulungsfunktion und die Organisationsfunktion gelegt werden.

Auf jeder Analyseebene scheint ein Unfall häufig die Folge der Kombination mehrerer Funktionsstörungen oder Fehlanpassungen zu sein. Je nachdem, ob gegen die eine oder andere Funktionsstörung oder gegen mehrere gleichzeitig vorgegangen wird, variiert das Muster der vorbeugenden Maßnahmen.

 

Zurück

Lesen Sie mehr 7047 mal Zuletzt geändert am Samstag, den 20. August 2011 um 01:21 Uhr
Veröffentlicht in 58. Sicherheitsanwendungen
Mehr in dieser Kategorie: Sicherheit von handgeführten und tragbaren Elektrowerkzeugen »
nach oben

HAFTUNGSAUSSCHLUSS: Die ILO übernimmt keine Verantwortung für auf diesem Webportal präsentierte Inhalte, die in einer anderen Sprache als Englisch präsentiert werden, der Sprache, die für die Erstproduktion und Peer-Review von Originalinhalten verwendet wird. Bestimmte Statistiken wurden seitdem nicht aktualisiert die Produktion der 4. Auflage der Encyclopaedia (1998)."

Inhalte

Referenzen zu Sicherheitsanwendungen

Arteau, J, A Lan und JF Corveil. 1994. Verwendung horizontaler Sicherungsseile bei der Errichtung von Stahlkonstruktionen. Proceedings of the International Fall Protection Symposium, San Diego, Kalifornien (27.–28. Oktober 1994). Toronto: Internationale Gesellschaft für Absturzsicherung.

Backström, T. 1996. Unfallrisiko und Sicherheitsschutz in der automatisierten Produktion. Doktorarbeit. Arbete och Hälsa 1996:7. Solna: Nationales Institut für Arbeitsleben.

Backström, T und L Harms-Ringdahl. 1984. Eine statistische Untersuchung von Kontrollsystemen und Arbeitsunfällen. J Belegung gem. 6:201–210.

Backström, T und M Döös. 1994. Technische Defekte hinter Unfällen in der automatisierten Produktion. In Advances in Agile Manufacturing, herausgegeben von PT Kidd und W. Karwowski. Amsterdam: IOS Press.

—. 1995. Ein Vergleich von Arbeitsunfällen in der Industrie mit fortschrittlicher Fertigungstechnologie. Int J Hum Factors Herst. 5(3). 267–282.

—. Im Druck. Die technische Genese von Maschinenausfällen, die zu Arbeitsunfällen führen. Int J Ind Ergonomie.

—. Zur Veröffentlichung angenommen. Absolute und relative Häufigkeiten von Automatisierungsunfällen an verschiedenen Arten von Geräten und für verschiedene Berufsgruppen. J SafRes.

Bainbridge, L. 1983. Ironien der Automatisierung. Automatica 19:775–779.

Bell, R und D Reinert. 1992. Risiko- und Systemintegritätskonzepte für sicherheitsbezogene Steuerungssysteme. Saf Sci 15:283–308.

Bouchard, P. 1991. Échafaudages. Leitfaden Serie 4. Montreal: CSST.

Büro für nationale Angelegenheiten. 1975. Arbeitssicherheits- und Gesundheitsstandards. Überrollschutzstrukturen für Flurförderzeuge und Traktoren, Abschnitte 1926, 1928. Washington, DC: Bureau of National Affairs.

Corbett, JM. 1988. Ergonomie in der Entwicklung menschzentrierter AMT. Angewandte Ergonomie 19:35–39.

Culver, C. und C. Connolly. 1994. Verhindern Sie tödliche Stürze auf dem Bau. Saf Health September 1994: 72–75.

Deutsche Industrienormen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben. DIN V VDE 0801. Berlin: Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben Änderung A 1. DIN V VDE 0801/A1. Berlin: Beuth-Verlag.

—. 1995a. Sicherheit von Maschinen – Druckempfindliche Schutzeinrichtungen. DIN prEN 1760. Berlin: Beuth Verlag.

—. 1995b. Rangier-Warneinrichtungen – Anforderungen und Prüfung. DIN-Norm 75031. Februar 1995.

Döös, M. und T. Backström. 1993. Beschreibung von Unfällen in der automatisierten Fördertechnik. In Ergonomics of Materials Handling and Information Processing at Work, herausgegeben von WS Marras, W Karwowski, JL Smith und L Pacholski. Warschau: Taylor und Francis.

—. 1994. Produktionsstörungen als Unfallrisiko. In Advances in Agile Manufacturing, herausgegeben von PT Kidd und W. Karwowski. Amsterdam: IOS Press.

Europäische Wirtschaftsgemeinschaft (EWG). 1974, 1977, 1979, 1982, 1987. Richtlinien des Rates über Überrollschutzvorrichtungen für land- und forstwirtschaftliche Zugmaschinen auf Rädern. Brüssel: EWG.

—. 1991. Richtlinie des Rates zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über Maschinen. (91/368/EWG) Luxemburg: EWG.

Etherton, JR und ML Myers. 1990. Maschinensicherheitsforschung am NIOSH und zukünftige Richtungen. Int J Ind Erg 6: 163–174.

Freund, E, F Dierks und J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Bewertung der Zuverlässigkeit von Steuerungssystemen. New York: Instrument Society of America.

Goodstein, LP, HB Anderson und SE Olsen (Hrsg.). 1988. Aufgaben, Fehler und mentale Modelle. London: Taylor und Francis.

Gryfe, C.I. 1988. Ursachen und Prävention von Stürzen. Im International Fall Protection Symposium. Orlando: Internationale Gesellschaft für Absturzsicherung.

Gesundheits- und Sicherheitsbeauftragter. 1989. Gesundheits- und Sicherheitsstatistiken 1986–87. Gaz 97(2) anwenden.

Heinrich, HW, D. Peterson und N. Roos. 1980. Arbeitsunfallverhütung. 5. Aufl. New York: McGraw-Hill.

Hollnagel, E und D Woods. 1983. Kognitive Systemtechnik: Neuer Wein in neuen Flaschen. Int J Man Machine Stud 18: 583–600.

Hölscher, H. und J. Rader. 1984. Mikrocomputer in der Sicherheitstechnik. Rheinland: Verlag TgV-Reinland.

Hörte, S-Å und P Lindberg. 1989. Verbreitung und Implementierung fortschrittlicher Fertigungstechnologien in Schweden. Arbeitspapier Nr. 198:16. Institut für Innovation und Technologie.

Internationale Elektrotechnische Kommission (IEC). 1992. 122 Standardentwurf: Software für Computer in der Anwendung industrieller sicherheitsbezogener Systeme. IEC 65 (Sek.). Genf: IEC.

—. 1993. 123 Normentwurf: Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer Systeme; Generische Aspekte. Teil 1, Allgemeine Anforderungen Genf: IEC.

Internationale Arbeitsorganisation (ILO). 1965. Sicherheit und Gesundheit bei der landwirtschaftlichen Arbeit. Genf: ILO.

—. 1969. Sicherheit und Gesundheit bei der Forstarbeit. Genf: ILO.

—. 1976. Sicherer Bau und Betrieb von Traktoren. Ein IAO-Verhaltenskodex. Genf: ILO.

Internationale Organisation für Normung (ISO). 1981. Land- und forstwirtschaftliche Radtraktoren. Schutzstrukturen. Statische Prüfmethode und Abnahmebedingungen. ISO 5700. Genf: ISO.

—. 1990. Qualitätsmanagement- und Qualitätssicherungsstandards: Richtlinien für die Anwendung von ISO 9001 auf die Entwicklung, Lieferung und Wartung von Software. ISO 9000-3. Genf: ISO.

—. 1991. Industrielle Automatisierungssysteme – Sicherheit integrierter Fertigungssysteme – Grundlegende Anforderungen (CD 11161). TC 184/WG 4. Genf: ISO.

—. 1994. Nutzfahrzeuge – Hinderniserkennungsgerät beim Rückwärtsfahren – Anforderungen und Tests. Technischer Bericht TR 12155. Genf: ISO.

Johnson, B. 1989. Design und Analyse fehlertoleranter digitaler Systeme. New York: Addison Wesley.

Kidd, P. 1994. Fertigkeitsbasierte automatisierte Fertigung. In Organization and Management of Advanced Manufacturing Systems, herausgegeben von W. Karwowski und G. Salvendy. New York: Wiley.

Knowlton, RE. 1986. An Introduction to Hazard and Operability Studies: The Guide Word Approach. Vancouver, BC: Chemie.

Kuivanen, R. 1990. Die Auswirkungen von Störungen in flexiblen Fertigungssystemen auf die Sicherheit. In Ergonomics of Hybrid Automated Systems II, herausgegeben von W. Karwowski und M. Rahimi. Amsterdam: Elsevier.

Laeser, RP, WI McLaughlin und DM Wolff. 1987. Fernsteuerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau und JF Corbeil. 1994. Schutz vor Stürzen von oberirdischen Werbetafeln. International Fall Protection Symposium, San Diego, Kalifornien, 27.–28. Oktober 1994. Proceedings International Society for Fall Protection.

Langer, HJ und W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen. FB 605. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Levenson, NG. 1986. Softwaresicherheit: Warum, was und wie. ACM-Computerumfragen (2):S. 129–163.

McManus, TN. Nd beengte Räume. Manuskript.

Microsonic GmbH. 1996. Unternehmenskommunikation. Dortmund, Deutschland: Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens und U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II). FB 243. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Mohan, D und R Patel. 1992. Design sicherer landwirtschaftlicher Geräte: Anwendung von Ergonomie und Epidemiologie. Int J Ind Erg 10: 301–310.

Nationaler Brandschutzverband (NFPA). 1993. NFPA 306: Kontrolle von Gasgefahren auf Schiffen. Quincy, MA: NFPA.

Nationales Institut für Sicherheit und Gesundheitsschutz am Arbeitsplatz (NIOSH). 1994. Todesfälle von Arbeitern in geschlossenen Räumen. Cincinnati, OH, USA: DHHS/PHS/CDCP/NIOSH Pub. Nr. 94-103. NIOSH.

Neumann, PG. 1987. Die N besten (oder schlimmsten) computerbezogenen Risikofälle. IEEE T Syst Man Cyb. New York: S.11–13.

—. 1994. Veranschaulichende Risiken für die Öffentlichkeit bei der Verwendung von Computersystemen und verwandten Technologien. Anmerkungen zur Software-Engine SIGSOFT 19, Nr. 1:16–29.

Arbeitsschutzbehörde (OSHA). 1988. Ausgewählte berufsbedingte Todesfälle im Zusammenhang mit Schweißen und Schneiden, wie sie in Berichten über Todesfälle/Katastrophenuntersuchungen der OSHA gefunden wurden. Washington, DC: OSHA.

Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). 1987. Standardcodes für die amtliche Prüfung von landwirtschaftlichen Traktoren. Paris: OECD.

Organisme professionel de prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, Frankreich: OPPBTP.

Rasmussen, J. 1983. Fähigkeiten, Regeln und Wissen: Agenda, Zeichen und Symbole und andere Unterscheidungen in menschlichen Leistungsmodellen. IEEE-Transaktionen zu Systemen, Mensch und Kybernetik. SMC13(3): 257–266.

Reason, J. 1990. Menschliches Versagen. New York: Cambridge University Press.

Reese, CD und GR Mills. 1986. Trauma-Epidemiologie von Todesfällen auf engstem Raum und ihre Anwendung auf Intervention/Prävention jetzt. In Die sich wandelnde Natur von Arbeit und Belegschaft. Cincinnati, OH: NIOSH.

Reinert, D und G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. Im BIA-Handbuch. Sicherheitstechnisches Informations- und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

Gesellschaft der Automobilingenieure (SAE). 1974. Bedienerschutz für Industrieanlagen. SAE-Norm j1042. Warrendale, USA: SAE.

—. 1975. Leistungskriterien für Überrollschutz. SAE empfohlene Praxis. SAE-Norm j1040a. Warrendale, USA: SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen. Technische Überwachung, Nr. 4, April, S. 161.

Schreiber, P. und K. Kuhn. 1995. Informationstechnologie in der Fertigungstechnik, Schriftenreihe der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin. FB 717. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Aufsichtskontrolle. In Handbook of Human Factors, herausgegeben von G. Salvendy. New York: Wiley.

Springfeldt, B. 1993. Auswirkungen von Arbeitsschutzregeln und -maßnahmen unter besonderer Berücksichtigung von Verletzungen. Vorteile automatisch arbeitender Lösungen. Stockholm: The Royal Institute of Technology, Fachbereich Arbeitswissenschaft.

Sugimoto, N. 1987. Themen und Probleme der Robotersicherheitstechnik. In Arbeitssicherheit und Gesundheitsschutz in Automatisierung und Robotik, herausgegeben von K Noto. London: Taylor & Francis. 175.

Sulowski, AC (Hrsg.). 1991. Grundlagen der Absturzsicherung. Toronto, Kanada: Internationale Gesellschaft für Absturzsicherung.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

Zimolong, B und L Duda. 1992. Strategien zur Reduzierung menschlicher Fehler in fortschrittlichen Fertigungssystemen. In Mensch-Roboter-Interaktion, herausgegeben von M. Rahimi und W. Karwowski. London: Taylor & Francis.