Grundsätze für die Gestaltung sicherer Steuerungssysteme

Montag, April 04 2011 18: 20

Grundsätze für die Gestaltung sicherer Steuerungssysteme

Schriftgröße verringern Schriftgröße Schrift vergrößern
Print
E-Mail

Artikel bewerten

(2 Stimmen)

Es besteht allgemein Einigkeit darüber, dass Steuerungssysteme während des Gebrauchs sicher sein müssen. Vor diesem Hintergrund sind die meisten modernen Steuerungssysteme wie in Abbildung 1 dargestellt aufgebaut.

Abbildung 1. Allgemeiner Aufbau von Steuerungssystemen

Der einfachste Weg, ein Steuerungssystem sicher zu machen, besteht darin, eine undurchdringliche Mauer darum zu errichten, um den Zugang oder Eingriff von Menschen in den Gefahrenbereich zu verhindern. Ein solches System wäre sehr sicher, wenn auch unpraktisch, da es unmöglich wäre, sich Zugang zu verschaffen, um die meisten Test-, Reparatur- und Einstellarbeiten durchzuführen. Da der Zugang zu Gefahrenbereichen unter bestimmten Bedingungen erlaubt sein muss, sind andere Schutzmaßnahmen als nur Mauern, Zäune und dergleichen erforderlich, um Produktion, Installation, Wartung und Instandhaltung zu erleichtern.

Einige dieser Schutzmaßnahmen können wie folgt teilweise oder vollständig in Steuerungssysteme integriert werden:

Beim Betreten des Gefahrenbereichs kann die Bewegung durch Not-Halt (ES)-Taster sofort gestoppt werden.
Drucktastensteuerungen erlauben eine Bewegung nur, wenn die Drucktaste aktiviert ist.
Zweihandsteuerungen (DHC) lassen eine Bewegung nur zu, wenn beide Hände mit dem Niederdrücken der beiden Bedienelemente beschäftigt sind (dadurch wird sichergestellt, dass die Hände von den Gefahrenbereichen ferngehalten werden).

Diese Arten von Schutzmaßnahmen werden von Bedienern aktiviert. Da der Mensch jedoch oft eine Schwachstelle in Anwendungen darstellt, werden viele Funktionen, wie z. B. die folgenden, automatisch ausgeführt:

Bewegungen von Roboterarmen während der Wartung oder des „Einlernens“ sind sehr langsam. Trotzdem wird die Geschwindigkeit kontinuierlich überwacht. Wenn die Geschwindigkeit automatischer Roboterarme aufgrund eines Ausfalls des Steuerungssystems während der Wartungs- oder Einlernphase unerwartet zunehmen würde, würde das Überwachungssystem aktiviert und die Bewegung sofort beendet.
Um den Zutritt in einen Gefahrenbereich zu verhindern, ist eine Lichtschranke vorgesehen. Wird der Lichtstrahl unterbrochen, stoppt die Maschine automatisch.

Die normale Funktion von Steuerungssystemen ist die wichtigste Voraussetzung für die Produktion. Wird eine Produktionsfunktion durch einen Steuerungsausfall unterbrochen, ist das höchstens lästig, aber nicht gefährlich. Wenn eine sicherheitsrelevante Funktion nicht ausgeführt wird, kann dies zu Produktionsausfall, Sachschäden, Verletzungen oder sogar zum Tod führen. Daher müssen sicherheitsrelevante Steuerungssystemfunktionen zuverlässiger und sicherer sein als normale Steuerungssystemfunktionen. Gemäß der Richtlinie 89/392/EWG des Europäischen Rates (Maschinenrichtlinie) müssen Steuerungen so konstruiert und gebaut sein, dass sie sicher und zuverlässig sind.

Steuerungen bestehen aus einer Anzahl von Komponenten, die miteinander verbunden sind, um eine oder mehrere Funktionen auszuführen. Die Steuerungen sind in Kanäle unterteilt. Ein Kanal ist der Teil einer Steuerung, der eine bestimmte Funktion ausführt (z. B. Start, Stopp, Notstopp). Physikalisch wird der Kanal durch eine Reihe von Komponenten (Transistoren, Dioden, Relais, Gatter usw.) erzeugt, durch die von einer Komponente zur nächsten (meist elektrische) Informationen, die diese Funktion darstellen, vom Eingang zum Ausgang übertragen werden.

Bei der Gestaltung von Steuerkanälen für sicherheitsrelevante Funktionen (also Funktionen, an denen Menschen beteiligt sind) sind folgende Anforderungen zu erfüllen:

Komponenten, die in Steuerkanälen mit sicherheitsrelevanten Funktionen eingesetzt werden, müssen den Belastungen des normalen Gebrauchs standhalten. Allgemein, sie müssen ausreichend zuverlässig sein.
Fehler in der Logik dürfen keine gefährlichen Situationen verursachen. Allgemein, der sicherheitsrelevante Kanal muss ausreichend ausfallsicher sein.
Äußere Einflüsse (Faktoren) sollten nicht zu vorübergehenden oder dauerhaften Ausfällen in sicherheitsrelevanten Kanälen führen.

Zuverlässigkeit

Zuverlässigkeit ist die Fähigkeit eines Steuerkanals oder einer Komponente, eine erforderliche Funktion unter bestimmten Bedingungen für einen bestimmten Zeitraum auszuführen ohne zu scheitern. (Mit geeigneten Methoden können Wahrscheinlichkeiten für bestimmte Komponenten oder Kontrollkanäle berechnet werden.) Die Zuverlässigkeit muss immer für einen bestimmten Zeitwert angegeben werden. Im Allgemeinen kann die Zuverlässigkeit durch die Formel in Abbildung 2 ausgedrückt werden.

Abbildung 2. Zuverlässigkeitsformel

Zuverlässigkeit komplexer Systeme

Systeme werden aus Komponenten aufgebaut. Sind die Zuverlässigkeiten der Komponenten bekannt, kann die Zuverlässigkeit des Gesamtsystems berechnet werden. In solchen Fällen gilt Folgendes:

Serielle Systeme

Die absolute Zuverlässigkeit R_bis eines seriellen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit R_C wird wie in Abbildung 3 berechnet.

Abbildung 3. Zuverlässigkeitsdiagramm von in Reihe geschalteten Komponenten

Die Gesamtzuverlässigkeit ist geringer als die Zuverlässigkeit der am wenigsten zuverlässigen Komponente. Wenn die Anzahl der in Reihe geschalteten Komponenten zunimmt, nimmt die Gesamtzuverlässigkeit der Kette erheblich ab.

Parallele Systeme

Die absolute Zuverlässigkeit R_bis eines parallelen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit R_C wird wie in Abbildung 4 berechnet.

Abbildung 4. Zuverlässigkeitsdiagramm parallel geschalteter Komponenten

Die Gesamtzuverlässigkeit kann durch die Parallelschaltung von zwei oder mehr Komponenten erheblich verbessert werden.

Abbildung 5 zeigt ein praktisches Beispiel. Beachten Sie, dass die Schaltung den Motor zuverlässiger abschaltet. Auch wenn das Relais A oder B seinen Kontakt nicht öffnet, wird der Motor trotzdem abgeschaltet.

Abbildung 5. Praktisches Beispiel von Abbildung 4

Die Berechnung der Gesamtzuverlässigkeit eines Kanals ist einfach, wenn alle erforderlichen Komponentenzuverlässigkeiten bekannt und verfügbar sind. Bei komplexen Bauteilen (integrierte Schaltkreise, Mikroprozessoren etc.) ist die Berechnung der Gesamtzuverlässigkeit schwierig bis unmöglich, wenn die notwendigen Informationen nicht vom Hersteller veröffentlicht werden.

Sicherheit

Wenn Fachleute von Sicherheit sprechen und sichere Maschinen fordern, meinen sie die Sicherheit der gesamten Maschine oder Anlage. Diese Sicherheit ist jedoch zu allgemein und für den Konstrukteur von Steuerungen nicht genau genug definiert. Die folgende Definition von Sicherheit kann für Entwickler von Steuerschaltungen praktisch und brauchbar sein: Sicherheit ist die Fähigkeit eines Steuersystems, die erforderliche Funktion innerhalb vorgeschriebener Grenzen für eine bestimmte Dauer auszuführen, selbst wenn erwartete Fehler auftreten. Folglich muss beim Design geklärt werden, wie „sicher“ der sicherheitsgerichtete Kanal sein muss. (Der Konstrukteur kann einen Kanal entwickeln, der gegen den ersten Ausfall, gegen einen beliebigen Ausfall, gegen zwei Ausfälle usw. sicher ist.) Außerdem kann ein Kanal, der eine Funktion erfüllt, die dazu dient, Unfälle zu verhindern, im Wesentlichen zuverlässig sein, muss es aber nicht zwangsläufig sicher vor Ausfällen zu sein. Dies lässt sich am besten an folgenden Beispielen erklären:

Beispiel 1

Das in Abbildung 6 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt. Die erste Komponente kann ein Schalter sein, der beispielsweise die Position einer Zugangstür zu einem Gefahrenbereich überwacht. Die letzte Komponente ist ein Motor, der bewegliche mechanische Teile innerhalb des Gefahrenbereichs antreibt.

Abbildung 6. Ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt

Die geforderte Sicherheitsfunktion ist in diesem Fall eine doppelte: Bei geschlossener Tür darf der Motor laufen. Bei geöffneter Tür muss der Motor abgeschaltet werden. Zuverlässigkeiten kennen R₁ zu R.₆, lässt sich die Reliabilität R berechnen_Knirps. Konstrukteure sollten zuverlässige Komponenten verwenden, um eine ausreichend hohe Zuverlässigkeit des gesamten Steuerungssystems aufrechtzuerhalten (dh die Wahrscheinlichkeit, dass diese Funktion beispielsweise noch in 20 Jahren ausgeführt wird, sollte bei der Konstruktion berücksichtigt werden). Folglich müssen Designer zwei Aufgaben erfüllen: (1) die Schaltung muss die erforderliche Funktion erfüllen, und (2) die Zuverlässigkeit der Komponenten und des gesamten Steuerkanals muss ausreichend sein.

Nun stellt sich folgende Frage: Wird der oben genannte Kanal die geforderten Sicherheitsfunktionen auch dann erfüllen, wenn ein Fehler im System auftritt (z. B. wenn ein Relaiskontakt klemmt oder ein Bauteil ausfällt)? Die Antwort ist nein". Der Grund ist, dass ein einzelner Steuerkanal, der nur aus in Reihe geschalteten Komponenten besteht und mit statischen Signalen arbeitet, nicht gegen einen Ausfall sicher ist. Der Kanal kann nur eine gewisse Zuverlässigkeit haben, die die Wahrscheinlichkeit garantiert, dass die Funktion ausgeführt wird. Sicherheit ist in solchen Situationen immer gemeint Ausfall bezogen.

Beispiel 2

Soll ein Steuerkanal sowohl zuverlässig als auch sicher sein, muss der Aufbau wie in Bild 7 modifiziert werden. Das dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei vollständig getrennten Teilkanälen besteht.

Abbildung 7. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen

Dieses Design ist sicher gegen den ersten Fehler (und mögliche weitere Fehler in demselben Unterkanal), ist aber nicht sicher gegen zwei Fehler, die in zwei verschiedenen Unterkanälen (gleichzeitig oder zu unterschiedlichen Zeiten) auftreten können, da es keine Fehlererkennungsschaltung gibt. Folglich arbeiten zunächst beide Teilkanäle mit hoher Zuverlässigkeit (siehe paralleles System), aber nach dem ersten Ausfall funktioniert nur noch ein Teilkanal und die Zuverlässigkeit nimmt ab. Tritt ein zweiter Fehler im noch funktionierenden Subkanal auf, sind beide ausgefallen und die Sicherheitsfunktion wird nicht mehr ausgeführt.

Beispiel 3

Das in Abbildung 8 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei völlig getrennten Teilkanälen besteht, die sich gegenseitig überwachen.

Abbildung 8. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen, die sich gegenseitig überwachen

Ein solches Design ist ausfallsicher, da nach einem Ausfall nur ein Teilkanal nicht funktionsfähig ist, während der andere Teilkanal verfügbar bleibt und die Sicherheitsfunktion erfüllt. Darüber hinaus verfügt das Design über eine Fehlererkennungsschaltung. Wenn aufgrund einer Störung beide Teilkanäle nicht in gleicher Weise arbeiten, wird dieser Zustand durch eine „Exklusiv-Oder“-Schaltung erkannt, mit der Folge, dass die Maschine automatisch abgeschaltet wird. Dies ist eine der besten Möglichkeiten, Maschinensteuerungen zu entwerfen – das Entwerfen von sicherheitsrelevanten Unterkanälen. Sie sind gegen einen Ausfall sicher und bieten gleichzeitig genügend Zuverlässigkeit, so dass die Wahrscheinlichkeit, dass zwei Ausfälle gleichzeitig auftreten, minimal ist.

Redundanz

Es ist offensichtlich, dass es verschiedene Verfahren gibt, durch die ein Konstrukteur die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) verbessern kann. Die vorangegangenen Beispiele zeigen, wie eine Funktion (dh Tür geschlossen, Motor darf laufen; Tür geöffnet, Motor muss gestoppt werden) durch verschiedene Lösungen realisiert werden kann. Einige Verfahren sind sehr einfach (ein Unterkanal) und andere komplizierter (zwei Unterkanäle mit gegenseitiger Überwachung). (Siehe Abbildung 9.)

Abbildung 9. Zuverlässigkeit redundanter Systeme mit oder ohne Fehlererkennung

Es gibt eine gewisse Redundanz in den komplexen Schaltungen und/oder Komponenten im Vergleich zu den einfachen. Redundanz kann wie folgt definiert werden: (1) Redundanz ist das Vorhandensein von mehr Mitteln (Komponenten, Kanäle, höhere Sicherheitsfaktoren, zusätzliche Tests usw.), als für die einfache Erfüllung der gewünschten Funktion wirklich notwendig sind; (2) Redundanz „verbessert“ offensichtlich nicht die Funktion, die ohnehin ausgeführt wird. Redundanz verbessert nur die Zuverlässigkeit und/oder Sicherheit.

Einige Sicherheitsexperten glauben, dass Redundanz nur die Verdoppelung oder Verdreifachung usw. des Systems ist. Dies ist eine sehr eingeschränkte Interpretation, da Redundanz viel umfassender und flexibler interpretiert werden kann. Redundanz kann nicht nur in der Hardware enthalten sein; es kann auch in der Software enthalten sein. Auch eine Verbesserung des Sicherheitsfaktors (z. B. ein stärkeres Seil anstelle eines schwächeren Seils) kann als eine Form der Redundanz angesehen werden.

Entropie

Entropie, ein Begriff, der hauptsächlich in der Thermodynamik und Astronomie vorkommt, kann wie folgt definiert werden: Alles neigt zum Zerfall. Daher ist es absolut sicher, dass alle Komponenten, Subsysteme oder Systeme, unabhängig von der verwendeten Technologie, irgendwann ausfallen werden. Das bedeutet, dass es keine 100 % zuverlässigen und/oder sicheren Systeme, Subsysteme oder Komponenten gibt. Alle sind lediglich mehr oder weniger zuverlässig und sicher, je nach Komplexität der Struktur. Die unvermeidlich früher oder später auftretenden Ausfälle demonstrieren die Wirkung der Entropie.

Das einzige Mittel, das Designern zur Verfügung steht, um der Entropie entgegenzuwirken, ist Redundanz, die erreicht wird, indem (a) mehr Zuverlässigkeit in die Komponenten eingeführt und (b) mehr Sicherheit in der gesamten Schaltungsarchitektur bereitgestellt wird. Nur wenn die Wahrscheinlichkeit, dass die erforderliche Funktion für die erforderliche Zeitdauer ausgeführt wird, ausreichend erhöht wird, können Designer sich einigermaßen gegen Entropie wehren.

Risk Assessment

Je größer das potenzielle Risiko ist, desto höher ist die erforderliche Zuverlässigkeit und/oder Sicherheit (gegen Ausfälle) (und umgekehrt). Dies wird durch die folgenden zwei Fälle veranschaulicht:

Fall 1

Der Zugang zu dem in einer Spritzgießmaschine befestigten Formwerkzeug ist durch eine Tür gesichert. Wenn die Tür geschlossen ist, darf die Maschine arbeiten, und wenn die Tür geöffnet wird, müssen alle gefährlichen Bewegungen gestoppt werden. Unter keinen Umständen (auch bei Ausfall des sicherheitsgerichteten Kanals) dürfen Bewegungen, insbesondere solche, die das Werkzeug bedienen, auftreten.

Fall 2

Der Zugang zu einer automatisch gesteuerten Montagelinie, die kleine Kunststoffkomponenten unter pneumatischem Druck montiert, ist durch eine Tür gesichert. Wenn diese Tür geöffnet wird, muss die Linie angehalten werden.

Im Fall 1 kann es bei einem Ausfall der Türüberwachungssteuerung zu schweren Verletzungen kommen, wenn das Werkzeug unerwartet geschlossen wird. Im Fall 2 kann es bei Ausfall der türüberwachenden Steuerung nur zu leichten Verletzungen oder unerheblichen Schäden kommen.

Es ist offensichtlich, dass im ersten Fall viel mehr Redundanz eingeführt werden muss, um die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) zu erreichen, die zum Schutz gegen extrem hohe Risiken erforderlich ist. Tatsächlich muss gemäß der europäischen Norm EN 201 das Überwachungssteuersystem der Spritzgießmaschinentür drei Kanäle haben; zwei davon sind elektrisch und gegenseitig überwacht und eine davon ist größtenteils mit Hydraulik und Prüfkreisen ausgestattet. Alle diese drei Überwachungsfunktionen beziehen sich auf dieselbe Tür.

Umgekehrt ist bei Anwendungen wie in Fall 2 beschrieben ein einzelner Kanal, der durch einen Schalter mit positiver Aktion aktiviert wird, dem Risiko angemessen.

Kontrollkategorien

Da alle oben genannten Überlegungen grundsätzlich auf der Informationstheorie basieren und folglich für alle Technologien gelten, spielt es keine Rolle, ob das Steuerungssystem auf elektronischen, elektromechanischen, mechanischen, hydraulischen oder pneumatischen Komponenten (oder einer Mischung davon) basiert. , oder auf einer anderen Technologie. Der Ideenreichtum des Konstrukteurs einerseits und wirtschaftliche Fragen andererseits sind die bestimmenden Faktoren für eine nahezu unendliche Zahl von Lösungsansätzen zur Realisierung sicherheitsrelevanter Kanäle.

Um Verwechslungen vorzubeugen, ist es sinnvoll, bestimmte Sortierkriterien festzulegen. Die typischsten Kanalstrukturen, die in Maschinensteuerungen zur Ausführung sicherheitsbezogener Funktionen verwendet werden, sind kategorisiert nach:

Zuverlässigkeit
Verhalten im Fehlerfall
Ausfallmeldezeit.

Ihre Kombinationen (nicht alle möglichen Kombinationen sind gezeigt) sind in Tabelle 1 dargestellt.

Tabelle 1. Einige mögliche Kombinationen von Schaltungsstrukturen in Maschinensteuerungen für sicherheitsrelevante Funktionen

Kriterien (Fragen)	Grundlegende Strategie
	Durch die Erhöhung der Zuverlässigkeit (wird das Auftreten von Fehlern in eine möglicherweise fernere Zukunft verschoben?)			Durch geeignete Schaltungsstruktur (Architektur) wird der Fehler zumindest erkannt (Kat. 2) oder Fehlereinfluss auf den Kanal wird beseitigt (Kat. 3) oder der Fehler wird sofort gemeldet (Kat. 4)
	Kategorien
	Diese Lösung ist grundsätzlich falsch	B	1	2	3	4
Halten die Schaltungskomponenten den zu erwartenden Einflüssen stand; sind sie nach dem Stand der Technik gebaut?	Nein	Ja	Ja	Ja	Ja	Ja
Wurden bewährte Komponenten und/oder Methoden verwendet?	Nein	Nein	Ja	Ja	Ja	Ja
Kann ein Fehler automatisch erkannt werden?	Nein	Nein	Nein	Ja	Ja	Ja
Verhindert ein Fehler die Ausführung der sicherheitsbezogenen Funktion?	Ja	Ja	Ja	Ja	Nein	Nein
Wann wird der Fehler erkannt?	Nie	Nie	Nie	Früh (spätestens am Ende des Intervalls, das nicht länger als ein Maschinenzyklus ist)		Sofort (wenn das Signal an Dynamik verliert Charakter)
		Bei Konsumgütern	Zum Einsatz in Maschinen

Die für eine bestimmte Maschine und ihr sicherheitsbezogenes Steuerungssystem geltende Kategorie wird meistens in den neuen europäischen Normen (EN) festgelegt, es sei denn, die nationale Behörde, der Benutzer und der Hersteller einigen sich darauf, dass eine andere Kategorie angewendet werden sollte. Der Designer entwickelt dann ein Steuerungssystem, das die Anforderungen erfüllt. Überlegungen zum Design eines Steuerkanals können beispielsweise Folgendes umfassen:

Die Bauteile müssen den zu erwartenden Einflüssen standhalten. (JA NEIN)
Ihre Konstruktion sollte dem Stand der Technik entsprechen. (JA NEIN)
Dabei kommen bewährte Komponenten und Methoden zum Einsatz. (JA NEIN)
Scheitern müssen erkannt werden. (JA NEIN)
Wird die Sicherheitsfunktion auch im Fehlerfall ausgeführt? (JA NEIN)
Wann wird der Fehler erkannt? (NIEMALS, FRÜH, SOFORT)

Dieser Vorgang ist reversibel. Mit den gleichen Fragen kann entschieden werden, zu welcher Kategorie ein bestehender, zuvor entwickelter Kontrollkanal gehört.

Kategoriebeispiele

Kategorie B

Die hauptsächlich in Konsumgütern eingesetzten Steuerkanalkomponenten müssen den zu erwartenden Einflüssen standhalten und nach dem Stand der Technik ausgelegt sein. Als Beispiel kann ein gut gestalteter Schalter dienen.

Kategorie 1

Typisch für Kategorie 1 ist die Verwendung altbewährter Komponenten und Methoden. Ein Beispiel für Kategorie 1 ist ein Schalter mit positiver Aktion (dh erfordert zwangsläufiges Öffnen von Kontakten). Dieser Schalter ist mit robusten Teilen konstruiert und wird durch relativ hohe Kräfte aktiviert, wodurch eine extrem hohe Zuverlässigkeit nur beim Öffnen des Kontakts erreicht wird. Trotz klebender oder gar verschweißter Kontakte öffnen diese Schalter. (Anmerkung: Bauelemente wie Transistoren und Dioden gelten nicht als altbewährte Bauelemente.) Abbildung 10 soll als Illustration einer Kategorie-1-Steuerung dienen.

Abbildung 10. Ein Schalter mit positiver Aktion

Dieser Kanal verwendet Schalter S mit positiver Aktion. Das Schütz K wird durch die Leuchte L überwacht. Der Bediener wird durch die Meldeleuchte L darauf hingewiesen, dass die Schließerkontakte (NO) haften. Das Schütz K hat zwangsgeführte Kontakte. (Hinweis: Relais oder Schütze mit zwangsgeführten Kontakten haben im Vergleich zu herkömmlichen Relais oder Schützen einen speziellen Käfig aus Isolierstoff, so dass bei geschlossenen Öffnerkontakten alle Schließerkontakte geöffnet werden müssen und umgekehrt umgekehrt. Das bedeutet, dass bei Verwendung von Öffnerkontakten überprüft werden kann, ob die Arbeitskontakte nicht verkleben oder verschweißt sind.)

Kategorie 2

Kategorie 2 sieht eine automatische Fehlererkennung vor. Vor jeder gefährlichen Bewegung muss eine automatische Ausfallerkennung generiert werden. Nur wenn der Test positiv ist, darf die Bewegung ausgeführt werden; andernfalls wird die Maschine gestoppt. Für Lichtschranken werden automatische Ausfallerkennungssysteme eingesetzt, um deren Funktionsfähigkeit nachzuweisen. Das Prinzip ist in Bild 1 dargestellt.

Abbildung 11. Schaltung mit Ausfallerkennung

Dieses Steuersystem wird regelmäßig (oder gelegentlich) getestet, indem dem Eingang ein Impuls zugeführt wird. In einem ordnungsgemäß funktionierenden System wird dieser Impuls dann zum Ausgang übertragen und mit einem Impuls von einem Testgenerator verglichen. Wenn beide Impulse vorhanden sind, funktioniert das System offensichtlich. Andernfalls, wenn kein Ausgangsimpuls vorhanden ist, ist das System ausgefallen.

Kategorie 3

Die Schaltung wurde zuvor unter Beispiel 3 im Sicherheitsabschnitt dieses Artikels beschrieben, Abbildung 8.

Die Anforderung, dh automatische Fehlererkennung und die Fähigkeit, die Sicherheitsfunktion auszuführen, auch wenn irgendwo ein Fehler aufgetreten ist, kann durch zweikanalige Kontrollstrukturen und durch gegenseitige Überwachung der beiden Kanäle erfüllt werden.

Nur bei Maschinensteuerungen müssen die gefährlichen Ausfälle untersucht werden. Es sollte beachtet werden, dass es zwei Arten von Fehlern gibt:

Ungefährlich Störungen sind solche, die nach ihrem Auftreten einen „sicheren Zustand“ der Maschine herbeiführen, indem sie ein Abschalten des Motors bewirken.
Gefährlich Störungen sind solche, die nach ihrem Auftreten einen „unsicheren Zustand“ der Maschine bewirken, da der Motor nicht abgeschaltet werden kann oder der Motor sich unerwartet in Bewegung setzt.

Kategorie 4

Kategorie 4 sieht typischerweise das Anlegen eines dynamischen, sich kontinuierlich ändernden Signals am Eingang vor. Das Vorhandensein eines dynamischen Signals auf dem Ausgabemittel Laufen ("1"), und das Fehlen eines dynamischen Signalmittels halt („0“).

Für solche Schaltungen ist es typisch, dass nach dem Ausfall irgendeiner Komponente das dynamische Signal am Ausgang nicht mehr zur Verfügung steht. (Anmerkung: Das statische Potential am Ausgang ist unerheblich.) Solche Schaltungen können als „ausfallsicher“ bezeichnet werden. Alle Fehler werden sofort offengelegt, nicht nach der ersten Änderung (wie bei Schaltungen der Kategorie 3).

Weitere Anmerkungen zu den Kontrollkategorien

Tabelle 1 ist für übliche Maschinensteuerungen entwickelt worden und zeigt nur die prinzipiellen Schaltungsstrukturen; laut Maschinenrichtlinie sollte sie unter der Annahme berechnet werden, dass in einem Maschinenzyklus nur ein Fehler auftritt. Deshalb muss die Sicherheitsfunktion bei zwei gleichzeitigen Ausfällen nicht ausgeführt werden. Es wird davon ausgegangen, dass ein Fehler innerhalb eines Maschinenzyklus erkannt wird. Die Maschine wird angehalten und anschließend repariert. Danach startet die Steuerung wieder, voll funktionsfähig, ohne Ausfälle.

Die erste Absicht des Konstrukteurs sollte darin bestehen, „stehende“ Fehler nicht zuzulassen, die während eines Zyklus nicht erkannt würden, da sie später mit neu auftretenden Fehlern kombiniert werden könnten (Fehlerkumulation). Solche Kombinationen (ein dauerhafter Fehler und ein neuer Fehler) können selbst bei Schaltkreisen der Kategorie 3 zu einer Fehlfunktion führen.

Trotz dieser Taktiken ist es möglich, dass zwei unabhängige Ausfälle gleichzeitig innerhalb desselben Maschinenzyklus auftreten. Es ist nur sehr unwahrscheinlich, insbesondere wenn hochzuverlässige Komponenten verwendet wurden. Für Anwendungen mit sehr hohem Risiko sollten drei oder mehr Unterkanäle verwendet werden. Diese Philosophie basiert auf der Tatsache, dass die mittlere Zeit zwischen Ausfällen viel länger ist als der Maschinenzyklus.

Dies bedeutet jedoch nicht, dass die Tabelle nicht weiter ausgebaut werden kann. Tabelle 1 ist grundsätzlich und strukturell der in EN 2-954 verwendeten Tabelle 1 sehr ähnlich. Es wird jedoch nicht versucht, zu viele Sortierkriterien aufzunehmen. Die Anforderungen werden nach den strengen Gesetzen der Logik definiert, sodass nur eindeutige Antworten (JA oder NEIN) zu erwarten sind. Dies ermöglicht eine genauere Bewertung, Sortierung und Klassifizierung der eingereichten Schaltungen (sicherheitsrelevante Kanäle) und nicht zuletzt eine deutliche Verbesserung der Reproduzierbarkeit der Bewertung.

Ideal wäre es, wenn man Risiken in verschiedene Risikostufen einteilen und dann eine eindeutige Verknüpfung zwischen Risikostufen und Kategorien herstellen könnte, und das alles unabhängig von der eingesetzten Technologie. Dies ist jedoch nicht vollständig möglich. Schon früh nach der Erstellung der Kategorien wurde deutlich, dass selbst bei gleicher Technologie diverse Fragen nicht ausreichend beantwortet wurden. Was ist besser: eine sehr zuverlässige und gut konstruierte Komponente der Kategorie 1 oder ein System, das die Anforderungen der Kategorie 3 mit geringer Zuverlässigkeit erfüllt?

Um dieses Dilemma zu erklären, muss man zwischen zwei Qualitäten unterscheiden: Zuverlässigkeit und Sicherheit (gegen Ausfälle). Sie sind nicht vergleichbar, da diese beiden Qualitäten unterschiedliche Eigenschaften haben:

Das Bauteil mit der höchsten Zuverlässigkeit hat die unangenehme Eigenschaft, dass im Fehlerfall (wenn auch höchst unwahrscheinlich) die Funktion wegfällt.
Systeme der Kategorie 3, bei denen auch bei einem Ausfall die Funktion erfüllt wird, sind nicht sicher gegen zwei Ausfälle gleichzeitig (wichtig kann sein, ob ausreichend zuverlässige Komponenten verwendet wurden).

In Anbetracht des oben Gesagten kann es sein, dass die beste Lösung (aus Sicht des hohen Risikos) darin besteht, hochzuverlässige Komponenten zu verwenden und sie so zu konfigurieren, dass die Schaltung gegen mindestens einen Ausfall (vorzugsweise mehr) sicher ist. Es ist klar, dass eine solche Lösung nicht die wirtschaftlichste ist. In der Praxis ist der Optimierungsprozess meist die Folge all dieser Einflüsse und Überlegungen.

Erfahrungen mit der praktischen Verwendung der Kategorien zeigen, dass es selten möglich ist, ein Steuerungssystem zu entwerfen, das durchgehend nur eine Kategorie verwenden kann. Typisch ist die Kombination aus zwei oder sogar drei Teilen, die jeweils einer anderen Kategorie angehören, wie im folgenden Beispiel dargestellt:

Viele Sicherheitslichtschranken sind in Kategorie 4 ausgelegt, wobei ein Kanal mit einem dynamischen Signal arbeitet. Am Ende dieses Systems befinden sich in der Regel zwei sich gegenseitig überwachende Teilkanäle, die mit statischen Signalen arbeiten. (Dies erfüllt die Anforderungen für Kategorie 3.)

Nach EN 50100 werden solche Lichtschranken klassifiziert als Typ 4 berührungslos wirkende Schutzeinrichtungen, obwohl sie aus zwei Teilen bestehen. Leider gibt es keine Einigung darüber, wie Steuersysteme bezeichnet werden sollen, die aus zwei oder mehr Teilen bestehen, wobei jeder Teil einer anderen Kategorie angehört.

Programmierbare elektronische Systeme (PES)

Die Grundsätze zur Erstellung von Tabelle 1 lassen sich natürlich mit gewissen Einschränkungen auch allgemein auf PES übertragen.

Nur-PES-System

Bei der Verwendung von PESs zur Steuerung werden die Informationen über eine große Anzahl von Komponenten vom Sensor zum Aktivator übertragen. Darüber hinaus durchläuft es sogar Software. (Siehe Abbildung 12).

Abbildung 12. Schaltung eines PES-Systems

Obwohl moderne PES sehr zuverlässig sind, ist die Zuverlässigkeit nicht so hoch, wie es für die Verarbeitung von Sicherheitsfunktionen erforderlich sein könnte. Darüber hinaus sind die üblichen PES-Systeme nicht sicher genug, da sie im Fehlerfall die sicherheitsrelevante Funktion nicht erfüllen. Daher ist die Verwendung von PES zur Verarbeitung von Sicherheitsfunktionen ohne zusätzliche Maßnahmen nicht zulässig.

Sehr risikoarme Anwendungen: Systeme mit einem PES und zusätzlichen Maßnahmen

Bei Verwendung eines einzelnen PES zur Steuerung besteht das System aus den folgenden Hauptteilen:

Eingabeteil

Die Zuverlässigkeit eines Sensors und eines Eingangs eines PES kann verbessert werden, indem sie verdoppelt werden. Eine solche Doppelsystem-Eingabekonfiguration kann weiter durch Software überwacht werden, um zu prüfen, ob beide Subsysteme die gleichen Informationen liefern. Somit können die Fehler im Eingangsteil erkannt werden. Dies ist fast die gleiche Philosophie wie für Kategorie 3 erforderlich. Da die Überwachung jedoch durch Software und nur einmal erfolgt, kann dies als 3- (oder nicht so zuverlässig wie 3) bezeichnet werden.

Mittelteil

Obwohl dieser Teil nicht gut verdoppelt werden kann, kann er getestet werden. Beim Einschalten (oder während des Betriebs) kann eine Überprüfung des gesamten Befehlssatzes durchgeführt werden. In gleichen Abständen kann der Speicher auch durch geeignete Bitmuster überprüft werden. Wenn solche Überprüfungen ohne Fehler durchgeführt werden, funktionieren beide Teile, CPU und Speicher, offensichtlich ordnungsgemäß. Der Mittelteil weist einige typische Merkmale der Kategorie 4 (dynamisches Signal) und andere typische Merkmale der Kategorie 2 (regelmäßige Prüfung in angemessenen Abständen) auf. Das Problem ist, dass diese Tests trotz ihres Umfangs nicht wirklich vollständig sein können, da das One-PES-System sie von Natur aus nicht zulässt.

Ausgangsteil

Ähnlich wie ein Input kann auch der Output (inklusive Aktivatoren) verdoppelt werden. Beide Subsysteme können hinsichtlich des gleichen Ergebnisses überwacht werden. Fehler werden erkannt und die Sicherheitsfunktion wird ausgeführt. Allerdings gibt es die gleichen Schwachstellen wie im Eingabeteil. Folglich wird in diesem Fall die Kategorie 3 gewählt.

In Abbildung 13 wird die gleiche Funktion auf Relais übertragen A und B. Die Steuerkontakte a und b, teilt dann zwei Eingabesystemen mit, ob beide Relais die gleiche Arbeit verrichten (es sei denn, es liegt ein Fehler in einem der Kanäle vor). Die Überwachung erfolgt wieder per Software.

Abbildung 13. Eine PES-Schaltung mit einem Fehlererkennungssystem

Das gesamte System kann als Kategorie 3-/4/2/3- bezeichnet werden, wenn es richtig und umfassend durchgeführt wird. Dennoch können die oben beschriebenen Schwachstellen solcher Systeme nicht vollständig beseitigt werden. Tatsächlich werden verbesserte PES nur dort für sicherheitsrelevante Funktionen eingesetzt, wo die Risiken eher gering sind (Hölscher und Rader 1984).

Anwendungen mit geringem und mittlerem Risiko mit einem PES

Heute ist fast jede Maschine mit einer PES-Steuerung ausgestattet. Um das Problem der unzureichenden Zuverlässigkeit und meist unzureichenden Ausfallsicherheit zu lösen, werden üblicherweise die folgenden Entwurfsmethoden verwendet:

Bei relativ einfachen Maschinen wie Aufzügen werden die Funktionen in zwei Gruppen eingeteilt: (1) die nicht sicherheitsrelevanten Funktionen werden vom PES verarbeitet; (2) die sicherheitsrelevanten Funktionen werden in einer Kette (Sicherheitskreis) zusammengefasst und außerhalb des PES verarbeitet (siehe Abbildung 14).

Abbildung 14. Stand der Technik für Stoppkategorie 0

Das oben angegebene Verfahren ist für komplexere Maschinen nicht geeignet. Ein Grund dafür ist, dass solche Lösungen meist nicht sicher genug sind. Für Anwendungen mit mittlerem Risiko sollten Lösungen die Anforderungen für Kategorie 3 erfüllen. Allgemeine Vorstellungen, wie solche Konstruktionen aussehen können, sind in Abbildung 15 und Abbildung 16 dargestellt.

Abbildung 15. Stand der Technik für Stoppkategorie 1

Abbildung 16. Stand der Technik für Stoppkategorie 2

Anwendungen mit hohem Risiko: Systeme mit zwei (oder mehr) PES

Abgesehen von Komplexität und Kosten gibt es keine anderen Faktoren, die Designer daran hindern würden, vollständig verdoppelte PES-Systeme wie Siemens Simatic S5-115F, 3B6 Typ CAR-MIL usw. zu verwenden. Diese umfassen typischerweise zwei identische PES mit homogener Software und gehen von der Verwendung von „bewährten“ PES und „bewährten“ Compilern aus (ein bewährter PES oder Compiler kann als einer angesehen werden, der in vielen praktischen Anwendungen über 3 oder mehr Jahre verwendet wurde hat gezeigt, dass systematische Fehler offensichtlich eliminiert wurden). Obwohl diese doppelten PES-Systeme nicht die Schwachpunkte von Einzel-PES-Systemen haben, bedeutet dies nicht, dass doppelte PES-Systeme alle Probleme lösen. (Siehe Abbildung 17).

Abbildung 17. Anspruchsvolles System mit zwei PES

Systematische Fehler

Systematische Fehler können aus Fehlern in Spezifikationen, Design und anderen Ursachen resultieren und sowohl in der Hardware als auch in der Software vorhanden sein. Doppel-PES-Systeme eignen sich für den Einsatz in sicherheitsgerichteten Anwendungen. Solche Konfigurationen ermöglichen die Erkennung zufälliger Hardwarefehler. Durch Hardwarediversität, wie z. B. die Verwendung zweier unterschiedlicher Typen oder Produkte zweier verschiedener Hersteller, könnten systematische Hardwareausfälle aufgedeckt werden (es ist sehr unwahrscheinlich, dass ein identischer Hardwaresystemausfall in beiden PES auftritt).

Software

Software ist ein neues Element in Sicherheitsbetrachtungen. Software ist entweder richtig oder falsch (in Bezug auf Ausfälle). Einmal richtig, kann Software nicht sofort falsch werden (im Vergleich zu Hardware). Ziel ist es, alle Fehler in der Software zu beseitigen oder zumindest zu identifizieren.

Es gibt verschiedene Wege, dieses Ziel zu erreichen. Einer ist der Überprüfung des Programms (eine zweite Person versucht in einem anschließenden Test, die Fehler zu entdecken). Eine andere Möglichkeit ist Vielfalt der Software, bei der zwei unterschiedliche Programme, geschrieben von zwei Programmierern, dasselbe Problem behandeln. Sind die Ergebnisse (innerhalb gewisser Grenzen) identisch, kann davon ausgegangen werden, dass beide Programmteile korrekt sind. Sind die Ergebnisse unterschiedlich, wird vermutet, dass Fehler vorliegen. (NB, Die Architektur der Hardware natürlich auch berücksichtigt werden.)

Zusammenfassung

Beim Einsatz von PES sind generell die gleichen folgenden Grundüberlegungen zu berücksichtigen (wie in den vorangegangenen Abschnitten beschrieben).

Ein Steuerungssystem ohne Redundanz darf der Kategorie B zugeordnet werden. Ein Steuerungssystem mit zusätzlichen Maßnahmen darf Kategorie 1 oder höher, jedoch nicht höher als 2 sein.
Ein zweiteiliges Kontrollsystem mit gegenseitigem Ergebnisvergleich kann der Kategorie 3 zugeordnet werden. Ein zweiteiliges Kontrollsystem mit gegenseitigem Ergebnisvergleich und mehr oder weniger Diversität kann der Kategorie 3 zugeordnet werden und ist für Anwendungen mit höherem Risiko geeignet.

Neu ist, dass für das System mit PES auch Software auf Korrektheit hin bewertet werden sollte. Software ist, wenn sie korrekt ist, zu 100 % zuverlässig. In diesem Stadium der technologischen Entwicklung werden wahrscheinlich nicht die bestmöglichen und bekannten technischen Lösungen verwendet, da die limitierenden Faktoren immer noch wirtschaftlicher Natur sind. Darüber hinaus entwickeln verschiedene Expertengruppen die Standards für Sicherheitsanwendungen von PES weiter (z. B. EC, EWICS). Obwohl bereits verschiedene Normen verfügbar sind (VDE0801, IEC65A usw.), ist diese Angelegenheit so umfassend und komplex, dass keine davon als endgültig angesehen werden kann.

Zurück

Lesen Sie mehr 10919 mal Zuletzt geändert am Mittwoch, 31. August 2011, 16:05 Uhr

Veröffentlicht in 58. Sicherheitsanwendungen

Mehr in dieser Kategorie: « Software und Computer: Hybride automatisierte Systeme Sicherheitsprinzipien für CNC-Werkzeugmaschinen »

nach oben

HAFTUNGSAUSSCHLUSS: Die ILO übernimmt keine Verantwortung für auf diesem Webportal präsentierte Inhalte, die in einer anderen Sprache als Englisch präsentiert werden, der Sprache, die für die Erstproduktion und Peer-Review von Originalinhalten verwendet wird. Bestimmte Statistiken wurden seitdem nicht aktualisiert die Produktion der 4. Auflage der Encyclopaedia (1998)."

Inhalte

Referenzen zu Sicherheitsanwendungen

Arteau, J, A Lan und JF Corveil. 1994. Verwendung horizontaler Sicherungsseile bei der Errichtung von Stahlkonstruktionen. Proceedings of the International Fall Protection Symposium, San Diego, Kalifornien (27.–28. Oktober 1994). Toronto: Internationale Gesellschaft für Absturzsicherung.

Backström, T. 1996. Unfallrisiko und Sicherheitsschutz in der automatisierten Produktion. Doktorarbeit. Arbete och Hälsa 1996:7. Solna: Nationales Institut für Arbeitsleben.

Backström, T und L Harms-Ringdahl. 1984. Eine statistische Untersuchung von Kontrollsystemen und Arbeitsunfällen. J Belegung gem. 6:201–210.

Backström, T und M Döös. 1994. Technische Defekte hinter Unfällen in der automatisierten Produktion. In Advances in Agile Manufacturing, herausgegeben von PT Kidd und W. Karwowski. Amsterdam: IOS Press.

—. 1995. Ein Vergleich von Arbeitsunfällen in der Industrie mit fortschrittlicher Fertigungstechnologie. Int J Hum Factors Herst. 5(3). 267–282.

—. Im Druck. Die technische Genese von Maschinenausfällen, die zu Arbeitsunfällen führen. Int J Ind Ergonomie.

—. Zur Veröffentlichung angenommen. Absolute und relative Häufigkeiten von Automatisierungsunfällen an verschiedenen Arten von Geräten und für verschiedene Berufsgruppen. J SafRes.

Bainbridge, L. 1983. Ironien der Automatisierung. Automatica 19:775–779.

Bell, R und D Reinert. 1992. Risiko- und Systemintegritätskonzepte für sicherheitsbezogene Steuerungssysteme. Saf Sci 15:283–308.

Bouchard, P. 1991. Échafaudages. Leitfaden Serie 4. Montreal: CSST.

Büro für nationale Angelegenheiten. 1975. Arbeitssicherheits- und Gesundheitsstandards. Überrollschutzstrukturen für Flurförderzeuge und Traktoren, Abschnitte 1926, 1928. Washington, DC: Bureau of National Affairs.

Corbett, JM. 1988. Ergonomie in der Entwicklung menschzentrierter AMT. Angewandte Ergonomie 19:35–39.

Culver, C. und C. Connolly. 1994. Verhindern Sie tödliche Stürze auf dem Bau. Saf Health September 1994: 72–75.

Deutsche Industrienormen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben. DIN V VDE 0801. Berlin: Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsaufgaben Änderung A 1. DIN V VDE 0801/A1. Berlin: Beuth-Verlag.

—. 1995a. Sicherheit von Maschinen – Druckempfindliche Schutzeinrichtungen. DIN prEN 1760. Berlin: Beuth Verlag.

—. 1995b. Rangier-Warneinrichtungen – Anforderungen und Prüfung. DIN-Norm 75031. Februar 1995.

Döös, M. und T. Backström. 1993. Beschreibung von Unfällen in der automatisierten Fördertechnik. In Ergonomics of Materials Handling and Information Processing at Work, herausgegeben von WS Marras, W Karwowski, JL Smith und L Pacholski. Warschau: Taylor und Francis.

—. 1994. Produktionsstörungen als Unfallrisiko. In Advances in Agile Manufacturing, herausgegeben von PT Kidd und W. Karwowski. Amsterdam: IOS Press.

Europäische Wirtschaftsgemeinschaft (EWG). 1974, 1977, 1979, 1982, 1987. Richtlinien des Rates über Überrollschutzvorrichtungen für land- und forstwirtschaftliche Zugmaschinen auf Rädern. Brüssel: EWG.

—. 1991. Richtlinie des Rates zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über Maschinen. (91/368/EWG) Luxemburg: EWG.

Etherton, JR und ML Myers. 1990. Maschinensicherheitsforschung am NIOSH und zukünftige Richtungen. Int J Ind Erg 6: 163–174.

Freund, E, F Dierks und J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Bewertung der Zuverlässigkeit von Steuerungssystemen. New York: Instrument Society of America.

Goodstein, LP, HB Anderson und SE Olsen (Hrsg.). 1988. Aufgaben, Fehler und mentale Modelle. London: Taylor und Francis.

Gryfe, C.I. 1988. Ursachen und Prävention von Stürzen. Im International Fall Protection Symposium. Orlando: Internationale Gesellschaft für Absturzsicherung.

Gesundheits- und Sicherheitsbeauftragter. 1989. Gesundheits- und Sicherheitsstatistiken 1986–87. Gaz 97(2) anwenden.

Heinrich, HW, D. Peterson und N. Roos. 1980. Arbeitsunfallverhütung. 5. Aufl. New York: McGraw-Hill.

Hollnagel, E und D Woods. 1983. Kognitive Systemtechnik: Neuer Wein in neuen Flaschen. Int J Man Machine Stud 18: 583–600.

Hölscher, H. und J. Rader. 1984. Mikrocomputer in der Sicherheitstechnik. Rheinland: Verlag TgV-Reinland.

Hörte, S-Å und P Lindberg. 1989. Verbreitung und Implementierung fortschrittlicher Fertigungstechnologien in Schweden. Arbeitspapier Nr. 198:16. Institut für Innovation und Technologie.

Internationale Elektrotechnische Kommission (IEC). 1992. 122 Standardentwurf: Software für Computer in der Anwendung industrieller sicherheitsbezogener Systeme. IEC 65 (Sek.). Genf: IEC.

—. 1993. 123 Normentwurf: Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer Systeme; Generische Aspekte. Teil 1, Allgemeine Anforderungen Genf: IEC.

Internationale Arbeitsorganisation (ILO). 1965. Sicherheit und Gesundheit bei der landwirtschaftlichen Arbeit. Genf: ILO.

—. 1969. Sicherheit und Gesundheit bei der Forstarbeit. Genf: ILO.

—. 1976. Sicherer Bau und Betrieb von Traktoren. Ein IAO-Verhaltenskodex. Genf: ILO.

Internationale Organisation für Normung (ISO). 1981. Land- und forstwirtschaftliche Radtraktoren. Schutzstrukturen. Statische Prüfmethode und Abnahmebedingungen. ISO 5700. Genf: ISO.

—. 1990. Qualitätsmanagement- und Qualitätssicherungsstandards: Richtlinien für die Anwendung von ISO 9001 auf die Entwicklung, Lieferung und Wartung von Software. ISO 9000-3. Genf: ISO.

—. 1991. Industrielle Automatisierungssysteme – Sicherheit integrierter Fertigungssysteme – Grundlegende Anforderungen (CD 11161). TC 184/WG 4. Genf: ISO.

—. 1994. Nutzfahrzeuge – Hinderniserkennungsgerät beim Rückwärtsfahren – Anforderungen und Tests. Technischer Bericht TR 12155. Genf: ISO.

Johnson, B. 1989. Design und Analyse fehlertoleranter digitaler Systeme. New York: Addison Wesley.

Kidd, P. 1994. Fertigkeitsbasierte automatisierte Fertigung. In Organization and Management of Advanced Manufacturing Systems, herausgegeben von W. Karwowski und G. Salvendy. New York: Wiley.

Knowlton, RE. 1986. An Introduction to Hazard and Operability Studies: The Guide Word Approach. Vancouver, BC: Chemie.

Kuivanen, R. 1990. Die Auswirkungen von Störungen in flexiblen Fertigungssystemen auf die Sicherheit. In Ergonomics of Hybrid Automated Systems II, herausgegeben von W. Karwowski und M. Rahimi. Amsterdam: Elsevier.

Laeser, RP, WI McLaughlin und DM Wolff. 1987. Fernsteuerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau und JF Corbeil. 1994. Schutz vor Stürzen von oberirdischen Werbetafeln. International Fall Protection Symposium, San Diego, Kalifornien, 27.–28. Oktober 1994. Proceedings International Society for Fall Protection.

Langer, HJ und W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen. FB 605. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Levenson, NG. 1986. Softwaresicherheit: Warum, was und wie. ACM-Computerumfragen (2):S. 129–163.

McManus, TN. Nd beengte Räume. Manuskript.

Microsonic GmbH. 1996. Unternehmenskommunikation. Dortmund, Deutschland: Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens und U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II). FB 243. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Mohan, D und R Patel. 1992. Design sicherer landwirtschaftlicher Geräte: Anwendung von Ergonomie und Epidemiologie. Int J Ind Erg 10: 301–310.

Nationaler Brandschutzverband (NFPA). 1993. NFPA 306: Kontrolle von Gasgefahren auf Schiffen. Quincy, MA: NFPA.

Nationales Institut für Sicherheit und Gesundheitsschutz am Arbeitsplatz (NIOSH). 1994. Todesfälle von Arbeitern in geschlossenen Räumen. Cincinnati, OH, USA: DHHS/PHS/CDCP/NIOSH Pub. Nr. 94-103. NIOSH.

Neumann, PG. 1987. Die N besten (oder schlimmsten) computerbezogenen Risikofälle. IEEE T Syst Man Cyb. New York: S.11–13.

—. 1994. Veranschaulichende Risiken für die Öffentlichkeit bei der Verwendung von Computersystemen und verwandten Technologien. Anmerkungen zur Software-Engine SIGSOFT 19, Nr. 1:16–29.

Arbeitsschutzbehörde (OSHA). 1988. Ausgewählte berufsbedingte Todesfälle im Zusammenhang mit Schweißen und Schneiden, wie sie in Berichten über Todesfälle/Katastrophenuntersuchungen der OSHA gefunden wurden. Washington, DC: OSHA.

Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD). 1987. Standardcodes für die amtliche Prüfung von landwirtschaftlichen Traktoren. Paris: OECD.

Organisme professionel de prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, Frankreich: OPPBTP.

Rasmussen, J. 1983. Fähigkeiten, Regeln und Wissen: Agenda, Zeichen und Symbole und andere Unterscheidungen in menschlichen Leistungsmodellen. IEEE-Transaktionen zu Systemen, Mensch und Kybernetik. SMC13(3): 257–266.

Reason, J. 1990. Menschliches Versagen. New York: Cambridge University Press.

Reese, CD und GR Mills. 1986. Trauma-Epidemiologie von Todesfällen auf engstem Raum und ihre Anwendung auf Intervention/Prävention jetzt. In Die sich wandelnde Natur von Arbeit und Belegschaft. Cincinnati, OH: NIOSH.

Reinert, D und G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. Im BIA-Handbuch. Sicherheitstechnisches Informations- und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

Gesellschaft der Automobilingenieure (SAE). 1974. Bedienerschutz für Industrieanlagen. SAE-Norm j1042. Warrendale, USA: SAE.

—. 1975. Leistungskriterien für Überrollschutz. SAE empfohlene Praxis. SAE-Norm j1040a. Warrendale, USA: SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen. Technische Überwachung, Nr. 4, April, S. 161.

Schreiber, P. und K. Kuhn. 1995. Informationstechnologie in der Fertigungstechnik, Schriftenreihe der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin. FB 717. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Aufsichtskontrolle. In Handbook of Human Factors, herausgegeben von G. Salvendy. New York: Wiley.

Springfeldt, B. 1993. Auswirkungen von Arbeitsschutzregeln und -maßnahmen unter besonderer Berücksichtigung von Verletzungen. Vorteile automatisch arbeitender Lösungen. Stockholm: The Royal Institute of Technology, Fachbereich Arbeitswissenschaft.

Sugimoto, N. 1987. Themen und Probleme der Robotersicherheitstechnik. In Arbeitssicherheit und Gesundheitsschutz in Automatisierung und Robotik, herausgegeben von K Noto. London: Taylor & Francis. 175.

Sulowski, AC (Hrsg.). 1991. Grundlagen der Absturzsicherung. Toronto, Kanada: Internationale Gesellschaft für Absturzsicherung.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

Zimolong, B und L Duda. 1992. Strategien zur Reduzierung menschlicher Fehler in fortschrittlichen Fertigungssystemen. In Mensch-Roboter-Interaktion, herausgegeben von M. Rahimi und W. Karwowski. London: Taylor & Francis.