Lunes, abril 04 2011 18: 53

Requisitos técnicos para sistemas relacionados con la seguridad basados ​​en dispositivos eléctricos, electrónicos y electrónicos programables

Valora este artículo
(0 votos)

La maquinaria, las plantas de proceso y otros equipos pueden, si funcionan mal, presentar riesgos de eventos peligrosos como incendios, explosiones, sobredosis de radiación y piezas móviles. Una de las formas en que tales plantas, equipos y maquinaria pueden funcionar mal es por fallas de los dispositivos electromecánicos, electrónicos y electrónicos programables (E/E/PE) utilizados en el diseño de sus sistemas de control o seguridad. Estas fallas pueden surgir de fallas físicas en el dispositivo (p. ej., del desgaste que ocurre aleatoriamente en el tiempo (fallas aleatorias de hardware)); o de fallas sistemáticas (p. ej., errores cometidos en la especificación y el diseño de un sistema que hacen que falle debido a (1) alguna combinación particular de entradas, (2) alguna condición ambiental, (3) entradas incorrectas o incompletas de los sensores, ( 4) ingreso de datos incompletos o erróneos por parte de los operadores, y (5) fallas sistemáticas potenciales debido a un diseño deficiente de la interfaz).

Fallas de los sistemas relacionados con la seguridad

Este artículo cubre la seguridad funcional de los sistemas de control relacionados con la seguridad y considera los requisitos técnicos de hardware y software necesarios para lograr la integridad de seguridad requerida. El enfoque general está de acuerdo con la norma propuesta de la Comisión Electrotécnica Internacional IEC 1508, Partes 2 y 3 (IEC 1993). El objetivo general del proyecto de norma internacional IEC 1508, Seguridad funcional: sistemas relacionados con la seguridad, es garantizar que la planta y el equipo se puedan automatizar de forma segura. Un objetivo clave en el desarrollo de la norma internacional propuesta es prevenir o minimizar la frecuencia de:

    • fallas de los sistemas de control que desencadenan otros eventos que a su vez podrían conducir a un peligro (por ejemplo, falla el sistema de control, se pierde el control, el proceso se descontrola y provoca un incendio, liberación de materiales tóxicos, etc.)
    • fallas en los sistemas de alarma y monitoreo para que los operadores no reciban información en una forma que pueda ser rápidamente identificada y entendida para llevar a cabo las acciones de emergencia necesarias
    • fallas no detectadas en los sistemas de protección, haciéndolos no disponibles cuando se necesitan para una acción de seguridad (por ejemplo, una tarjeta de entrada fallida en un sistema de parada de emergencia).

         

        El artículo “Sistemas relacionados con la seguridad eléctricos, electrónicos y electrónicos programables” establece el enfoque general de gestión de seguridad incorporado en la Parte 1 de IEC 1508 para garantizar la seguridad de los sistemas de control y protección que son importantes para la seguridad. Este artículo describe el diseño de ingeniería conceptual general que se necesita para reducir el riesgo de un accidente a un nivel aceptable, incluida la función de cualquier sistema de control o protección basado en tecnología E/E/PE.

        En la figura 1, el riesgo del equipo, planta de proceso o máquina (generalmente denominado equipo bajo control (EUC) sin dispositivos de protección) está marcado en un extremo de la escala de riesgo de EUC, y el nivel objetivo de riesgo que se necesita para alcanzar el nivel de seguridad requerido está en el otro extremo. En el medio se muestra la combinación de sistemas relacionados con la seguridad e instalaciones externas de reducción de riesgos necesarios para compensar la reducción de riesgos requerida. Estos pueden ser de varios tipos: mecánicos (p. ej., válvulas de alivio de presión), hidráulicos, neumáticos, físicos, así como sistemas E/E/PE. La Figura 2 enfatiza el papel de cada capa de seguridad en la protección del EUC a medida que avanza el accidente.

        Figura 1. Reducción de riesgos: Conceptos generales

        SAF060F1

         

        Figura 2. Modelo general: Capas de protección

        SAF060F2

        Siempre que se haya realizado un análisis de peligros y riesgos en el EUC como se requiere en la Parte 1 de IEC 1508, se ha establecido el diseño conceptual general para la seguridad y, por lo tanto, las funciones requeridas y el nivel de integridad de seguridad (SIL) objetivo para cualquier E/E/ Se ha definido un sistema de control o protección de PE. El objetivo del nivel de integridad de la seguridad se define con respecto a una medida de falla objetivo (consulte la tabla 1).


        Tabla 1. Niveles de integridad de seguridad para sistemas de protección: medidas de falla objetivo

        Nivel de Integridad Seguro                        Modo de operación bajo demanda (Probabilidad de falla en realizar su función de diseño bajo demanda)

        4 10-5 ≤ × 10-4

        3 10-4 ≤ × 10-3

        2 10-3 ≤ × 10-2

        1 10-2 ≤ × 10-1 


        Sistemas de proteccion

        Este documento describe los requisitos técnicos que el diseñador de un sistema relacionado con la seguridad E/E/PE debe tener en cuenta para satisfacer el objetivo de nivel de integridad de seguridad requerido. El enfoque está en un sistema de protección típico que utiliza electrónica programable para permitir una discusión más profunda de los problemas clave con poca pérdida de generalidad. En la figura 3 se muestra un sistema de protección típico, que representa un sistema de seguridad de un solo canal con un apagado secundario activado a través de un dispositivo de diagnóstico. En funcionamiento normal, la condición insegura del EUC (p. ej., exceso de velocidad en una máquina, alta temperatura en una planta química) será detectada por el sensor y transmitida a la electrónica programable, que ordenará a los actuadores (a través de los relés de salida) que pongan el sistema a un estado seguro (p. ej., quitando energía al motor eléctrico de la máquina, abriendo una válvula para aliviar la presión).

        Figura 3. Sistema de protección típico

        SAF060F3

        Pero, ¿y si hay fallas en los componentes del sistema de protección? Esta es la función del apagado secundario, que se activa mediante la función de diagnóstico (autoverificación) de este diseño. Sin embargo, el sistema no es completamente a prueba de fallas, ya que el diseño solo tiene una cierta probabilidad de estar disponible cuando se le solicita que realice su función de seguridad (tiene una cierta probabilidad de falla a pedido o un cierto Nivel de Integridad de Seguridad). Por ejemplo, el diseño anterior podría detectar y tolerar ciertos tipos de fallas en la tarjeta de salida, pero no podría soportar una falla en la tarjeta de entrada. Por lo tanto, su integridad de seguridad será mucho menor que la de un diseño con una tarjeta de entrada de mayor confiabilidad, diagnóstico mejorado o alguna combinación de estos.

        Existen otras causas posibles de fallas en las tarjetas, incluidas fallas físicas “tradicionales” en el hardware, fallas sistemáticas que incluyen errores en la especificación de requisitos, fallas de implementación en el software y protección inadecuada contra las condiciones ambientales (p. ej., humedad). Es posible que los diagnósticos en este diseño de un solo canal no cubran todos estos tipos de fallas y, por lo tanto, esto limitará el nivel de integridad de seguridad logrado en la práctica. (La cobertura es una medida del porcentaje de fallas que un diseño puede detectar y manejar de manera segura).

        Requerimientos Técnicos

        Las partes 2 y 3 del borrador de IEC 1508 proporcionan un marco para identificar las diversas causas potenciales de falla en el hardware y el software y para seleccionar características de diseño que superen esas posibles causas de falla apropiadas para el nivel de integridad de seguridad requerido del sistema relacionado con la seguridad. Por ejemplo, el enfoque técnico general para el sistema de protección en la figura 3 se muestra en la figura 4. La figura indica las dos estrategias básicas para superar fallas y fallas: (1) prevención de fallas, donde se tiene cuidado para evitar que se creen fallas; y 2) Tolerancia a fallos, donde el diseño se crea específicamente para tolerar fallas específicas. El sistema de un solo canal mencionado anteriormente es un ejemplo de un diseño tolerante a fallas (limitado) donde se utilizan diagnósticos para detectar ciertas fallas y poner el sistema en un estado seguro antes de que ocurra una falla peligrosa.

        Figura 4. Especificación de diseño: solución de diseño

        SAF060F4

        Prevención de fallas

        La prevención de fallas intenta evitar que se introduzcan fallas en un sistema. El enfoque principal es utilizar un método sistemático de gestión del proyecto para que la seguridad se trate como una cualidad definible y manejable de un sistema, durante el diseño y, posteriormente, durante la operación y el mantenimiento. El enfoque, que es similar a la garantía de calidad, se basa en el concepto de retroalimentación e implica: (1) planificar (definir los objetivos de seguridad, identificar las formas y los medios para lograr los objetivos); (2) medición logro contra el plan durante la implementación y (3) aplicando realimentación para corregir cualquier desviación. Las revisiones de diseño son un buen ejemplo de una técnica para evitar fallas. En IEC 1508, este enfoque de "calidad" para evitar fallas se ve facilitado por los requisitos para usar un ciclo de vida de seguridad y emplear procedimientos de gestión de seguridad tanto para hardware como para software. Para estos últimos, estos a menudo se manifiestan como procedimientos de aseguramiento de la calidad del software como los descritos en la norma ISO 9000-3 (1990).

        Además, las Partes 2 y 3 de IEC 1508 (sobre hardware y software, respectivamente) califican ciertas técnicas o medidas que se consideran útiles para evitar fallas durante las diversas fases del ciclo de vida de seguridad. La Tabla 2 da un ejemplo de la Parte 3 para la fase de diseño y desarrollo del software. El diseñador usaría la tabla para ayudar en la selección de técnicas para evitar fallas, según el nivel de integridad de seguridad requerido. Con cada técnica o medida en las tablas, hay una recomendación para cada nivel de integridad de seguridad, del 1 al 4. El rango de recomendaciones cubre Altamente recomendado (HR), Recomendado (R), Neutral, ni a favor ni en contra (—) y No recomendado (NR).

        Tabla 2. Diseño y desarrollo de software

        Técnica/medida

        SIL 1

        SIL 2

        SIL 3

        SIL 4

        1. Métodos formales que incluyen, por ejemplo, CCS, CSP, HOL, LOTOS

        -

        R

        R

        HR

        2. Métodos semiformales

        HR

        HR

        HR

        HR

        3. Estructurado. Metodología que incluye, por ejemplo, JSD, MASCOT, SADT, SSADM y YOURDON

        HR

        HR

        HR

        HR

        4. Enfoque modular

        HR

        HR

        HR

        HR

        5. Estándares de diseño y codificación

        R

        HR

        HR

        HR

        HR = muy recomendable; R = recomendado; NR = no recomendado;— = neutral: la técnica/medida no está ni a favor ni en contra del SIL.
        Nota: se seleccionará una técnica/medida numerada de acuerdo con el nivel de integridad de la seguridad.

        Tolerancia a fallos

        IEC 1508 requiere niveles crecientes de tolerancia a fallas a medida que aumenta el objetivo de integridad de seguridad. El estándar reconoce, sin embargo, que la tolerancia a fallas es más importante cuando los sistemas (y los componentes que componen esos sistemas) son complejos (designados como Tipo B en IEC 1508). Para sistemas menos complejos, “bien probados”, el grado de tolerancia a fallas puede relajarse.

        Tolerancia contra fallas de hardware aleatorias

        La Tabla 3 muestra los requisitos para la tolerancia a fallas contra fallas de hardware aleatorias en componentes de hardware complejos (por ejemplo, microprocesadores) cuando se usa en un sistema de protección como el que se muestra en la figura 3. El diseñador puede necesitar considerar una combinación apropiada de diagnóstico, tolerancia a fallas y verificaciones de prueba manuales para superar esta clase de falla, dependiendo del Nivel de Integridad de Seguridad requerido.


        Tabla 3. Nivel de integridad de seguridad: requisitos de falla para componentes de tipo B1

        1 Las fallas no detectadas relacionadas con la seguridad se detectarán mediante la verificación de prueba.

        2 Para los componentes sin cobertura de diagnóstico medio en línea, el sistema deberá poder realizar la función de seguridad en presencia de una sola falla. Los fallos no detectados relacionados con la seguridad se detectarán mediante la verificación de pruebas.

        3 Para componentes con alta cobertura de diagnóstico en línea, el sistema debe poder realizar la función de seguridad en presencia de una sola falla. Para componentes sin alta cobertura de diagnóstico en línea, el sistema deberá poder realizar la función de seguridad en presencia de dos fallas. Los fallos no detectados relacionados con la seguridad se detectarán mediante la verificación de pruebas.

        4 Los componentes deberán poder realizar la función de seguridad en presencia de dos fallas. Las fallas se detectarán con alta cobertura de diagnóstico en línea. Los fallos no detectados relacionados con la seguridad se detectarán mediante la verificación de pruebas. El análisis cuantitativo del hardware se basará en suposiciones del peor de los casos.

        1Componentes cuyos modos de falla no están bien definidos o no se pueden probar, o para los cuales existen datos deficientes sobre fallas de la experiencia de campo (por ejemplo, componentes electrónicos programables).


        IEC 1508 ayuda al diseñador al proporcionar tablas de especificaciones de diseño (consulte la tabla 4) con parámetros de diseño indexados contra el nivel de integridad de seguridad para una serie de arquitecturas de sistemas de protección de uso común.

        Tabla 4. Requisitos para el Nivel de Integridad de Seguridad 2 - Arquitecturas de sistemas electrónicos programables para sistemas de protección

        Configuración del sistema PE

        Cobertura de diagnóstico por canal

        Intervalo de prueba de prueba fuera de línea (TI)

        Tiempo medio para viaje espurio

        PE simple, E/S simple, ext. WD

        Alta

        6 meses

        1.6 años

        Doble PE, E/S única

        Alta

        6 meses

        10 años

        PE doble, E/S doble, 2oo2

        Alta

        3 meses

        1,281 años

        PE doble, E/S doble, 1oo2

        Ninguna

        2 meses

        1.4 años

        PE doble, E/S doble, 1oo2

        Baja

        5 meses

        1.0 años

        PE doble, E/S doble, 1oo2

        Mediana

        18 meses

        0.8 años

        PE doble, E/S doble, 1oo2

        Alta

        36 meses

        0.8 años

        PE doble, E/S doble, 1oo2D

        Ninguna

        2 meses

        1.9 años

        PE doble, E/S doble, 1oo2D

        Baja

        4 meses

        4.7 años

        PE doble, E/S doble, 1oo2D

        Mediana

        18 meses

        18 años

        PE doble, E/S doble, 1oo2D

        Alta

        48 + meses

        168 años

        PE triple, E/S triple, IPC, 2oo3

        Ninguna

        1 mes

        20 años

        PE triple, E/S triple, IPC, 2oo3

        Baja

        3 meses

        25 años

        PE triple, E/S triple, IPC, 2oo3

        Mediana

        12 meses

        30 años

        PE triple, E/S triple, IPC, 2oo3

        Alta

        48 + meses

        168 años

         

        La primera columna de la tabla representa arquitecturas con diversos grados de tolerancia a fallas. En general, las arquitecturas ubicadas cerca de la parte inferior de la tabla tienen un mayor grado de tolerancia a fallas que las que se encuentran cerca de la parte superior. Un sistema 1oo2 (uno de dos) es capaz de soportar cualquier falla, al igual que 2oo3.

        La segunda columna describe el porcentaje de cobertura de cualquier diagnóstico interno. Cuanto más alto sea el nivel de los diagnósticos, más fallas se detectarán. En un sistema de protección, esto es importante porque, siempre que el componente defectuoso (por ejemplo, una tarjeta de entrada) se repare en un tiempo razonable (a menudo 8 horas), hay poca pérdida en la seguridad funcional. (Nota: este no sería el caso de un sistema de control continuo, ya que es probable que cualquier falla provoque una condición insegura inmediata y la posibilidad de un incidente).

        La tercera columna muestra el intervalo entre pruebas de calidad. Son pruebas especiales que se requieren realizar para ejercitar a fondo el sistema de protección para asegurar que no haya fallas latentes. Por lo general, estos son realizados por el proveedor del equipo durante los períodos de parada de la planta.

        La cuarta columna muestra la tasa de disparos espurios. Un disparo espurio es aquel que hace que la planta o el equipo se apaguen cuando no hay desviación del proceso. El precio de la seguridad suele ser una mayor tasa de disparos falsos. Un sistema de protección redundante simple, 1oo2, tiene, con todos los demás factores de diseño sin cambios, un nivel de integridad de seguridad más alto pero también una tasa de disparo espurio más alta que un sistema de un solo canal (1oo1).

        Si no se utiliza una de las arquitecturas de la tabla o si el diseñador desea realizar un análisis más fundamental, la norma IEC 1508 permite esta alternativa. Las técnicas de ingeniería de confiabilidad, como el modelado de Markov, se pueden usar para calcular el elemento de hardware del nivel de integridad de seguridad (Johnson 1989; Goble 1992).

        Tolerancia frente a fallos sistemáticos y de causa común

        Esta clase de falla es muy importante en los sistemas de seguridad y es el factor limitante en el logro de la integridad de la seguridad. En un sistema redundante, se duplica un componente o subsistema, o incluso todo el sistema, para lograr una alta confiabilidad a partir de partes de menor confiabilidad. La mejora de la confiabilidad ocurre porque, estadísticamente, la posibilidad de que dos sistemas fallen simultáneamente por fallas aleatorias será el producto de las confiabilidades de los sistemas individuales y, por lo tanto, será mucho menor. Por otro lado, las fallas sistemáticas y de causa común hacen que los sistemas redundantes fallen coincidentemente cuando, por ejemplo, un error de especificación en el software hace que las partes duplicadas fallen al mismo tiempo. Otro ejemplo sería la falla de una fuente de alimentación común a un sistema redundante.

        IEC 1508 proporciona tablas de técnicas de ingeniería clasificadas según el nivel de integridad de seguridad que se considera eficaz para brindar protección contra fallas sistemáticas y de causa común.

        Ejemplos de técnicas que brindan defensas contra fallas sistemáticas son la diversidad y la redundancia analítica. La base de la diversidad es que si un diseñador implementa un segundo canal en un sistema redundante utilizando una tecnología o un lenguaje de software diferentes, las fallas en los canales redundantes pueden considerarse independientes (es decir, una baja probabilidad de falla coincidente). Sin embargo, particularmente en el área de los sistemas basados ​​en software, se sugiere que esta técnica puede no ser efectiva, ya que la mayoría de los errores están en la especificación. La redundancia analítica intenta explotar información redundante en la planta o máquina para identificar fallas. Para las otras causas de fallas sistemáticas, por ejemplo, tensiones externas, el estándar proporciona tablas que brindan consejos sobre buenas prácticas de ingeniería (por ejemplo, separación de cables de señal y de alimentación) indexadas contra el nivel de integridad de seguridad.

        Conclusiones

        Los sistemas basados ​​en computadora ofrecen muchas ventajas, no solo económicas, sino también el potencial para mejorar la seguridad. Sin embargo, la atención al detalle requerida para realizar este potencial es significativamente mayor que en el caso de usar componentes de sistemas convencionales. En este artículo se han esbozado los principales requisitos técnicos que un diseñador debe tener en cuenta para explotar con éxito esta tecnología.

         

        Atrás

        Leer 8958 veces Última modificación en sábado, 30 julio 2022 01: 48

        " EXENCIÓN DE RESPONSABILIDAD: La OIT no se responsabiliza por el contenido presentado en este portal web que se presente en un idioma que no sea el inglés, que es el idioma utilizado para la producción inicial y la revisión por pares del contenido original. Ciertas estadísticas no se han actualizado desde la producción de la 4ª edición de la Enciclopedia (1998)."

        Contenido

        Referencias de aplicaciones de seguridad

        Arteau, J, A Lan y JF Corveil. 1994. Uso de líneas de vida horizontales en la construcción de acero estructural. Actas del Simposio Internacional de Protección contra Caídas, San Diego, California (27 y 28 de octubre de 1994). Toronto: Sociedad Internacional para la Protección contra Caídas.

        Backström, T. 1996. Riesgo de accidentes y protección de la seguridad en la producción automatizada. Tesis doctoral. Arbete och Hälsa 1996:7. Solna: Instituto Nacional para la Vida Laboral.

        Backström, T y L Harms-Ringdahl. 1984. Un estudio estadístico de los sistemas de control y accidentes de trabajo. J Ocupación cc. 6:201–210.

        Backström, T y M Döös. 1994. Defectos técnicos detrás de accidentes en la producción automatizada. En Advances in Agile Manufacturing, editado por PT Kidd y W Karwowski. Ámsterdam: IOS Press.

        —. 1995. Una comparación de accidentes laborales en industrias con tecnología de fabricación avanzada. Int J Hum Factores Manufac. 5(3). 267–282.

        —. En prensa. La génesis técnica de las fallas de las máquinas que conducen a los accidentes laborales. Int J Ind Ergonomía.

        —. Aceptado para su publicación. Frecuencias absolutas y relativas de accidentes de automatización en diferentes tipos de equipos y para diferentes grupos ocupacionales. Res. J Saf.

        Bainbridge, L. 1983. Ironías de la automatización. Automática 19: 775–779.

        Bell, R y D Reinert. 1992. Conceptos de riesgo e integridad del sistema para sistemas de control relacionados con la seguridad. Saf Sci 15:283–308.

        Bouchard, P. 1991. Échafaudages. Guía serie 4. Montreal: CSST.

        Oficina de Asuntos Nacionales. 1975. Normas de seguridad y salud en el trabajo. Estructuras de protección contra vuelcos para equipos de manipulación de materiales y tractores, Secciones 1926, 1928. Washington, DC: Oficina de Asuntos Nacionales.

        Corbet, JM. 1988. Ergonomía en el desarrollo de AMT centrado en el ser humano. Ergonomía aplicada 19:35–39.

        Culver, C y C Connolly. 1994. Prevenir caídas fatales en la construcción. Saf Salud Septiembre 1994:72–75.

        Deutsche Industrie Norman (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlín: Beuth Verlag.

        —. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlín: Beuth Verlag.

        —. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Seguridad de máquinas—Equipos de protección sensibles a la presión]. DIN prEN 1760. Berlín: Beuth Verlag.

        —. 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Vehículos comerciales—Detección de obstáculos al dar marcha atrás—Requisitos y pruebas]. Norma DIN 75031. Febrero 1995.

        Döös, M y T Backström. 1993. Descripción de los accidentes en el manejo automatizado de materiales. En Ergonomics of Materials Handling and Information Processing at Work, editado por WS Marras, W Karwowski, JL Smith y L Pacholski. Varsovia: Taylor y Francis.

        —. 1994. Las perturbaciones en la producción como riesgo de accidente. En Advances in Agile Manufacturing, editado por PT Kidd y W Karwowski. Ámsterdam: IOS Press.

        Comunidad Económica Europea (CEE). 1974, 1977, 1979, 1982, 1987. Directivas del consejo sobre estructuras de protección contra vuelcos de tractores agrícolas y forestales de ruedas. Bruselas: CEE.

        —. 1991. Directiva del Consejo sobre la Aproximación de las Leyes de los Estados Miembros relativas a Maquinaria. (91/368/CEE) Luxemburgo: CEE.

        Etherton, JR y ML Myers. 1990. Investigación de seguridad de máquinas en NIOSH y direcciones futuras. Int J Ind Erg 6:163–174.

        Freund, E, F Dierks y J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Pruebas de seguridad ocupacional de robots móviles y sistemas de robots múltiples]. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Goble, W. 1992. Evaluación de la confiabilidad del sistema de control. Nueva York: Instrument Society of America.

        Goodstein, LP, HB Anderson y SE Olsen (eds.). 1988. Tareas, Errores y Modelos Mentales. Londres: Taylor y Francis.

        Gryfe, CI. 1988. Causas y prevención de caídas. En Simposio Internacional de Protección contra Caídas. Orlando: Sociedad Internacional para la Protección contra Caídas.

        Ejecutivo de Seguridad y Salud. 1989. Estadísticas de salud y seguridad 1986–87. Emplear Gaz 97(2).

        Heinrich, HW, D Peterson y N Roos. 1980. Prevención de Accidentes Laborales. 5ª ed. Nueva York: McGraw-Hill.

        Hollnagel, E y D Woods. 1983. Ingeniería de sistemas cognitivos: Vino nuevo en botellas nuevas. Int J Man Machine Stud 18: 583–600.

        Hölscher, H y J Rader. 1984. Mikrocomputer in der Sicherheitstechnik. Renania: Verlag TgV-Reinland.

        Hörte, S-Å y P Lindberg. 1989. Difusión e Implementación de Tecnologías Avanzadas de Fabricación en Suecia. Documento de trabajo No. 198:16. Instituto de Innovación y Tecnología.

        Comisión Electrotécnica Internacional (IEC). 1992. 122 Borrador de norma: Software para computadoras en la aplicación de sistemas relacionados con la seguridad industrial. IEC 65 (seg). Ginebra: IEC.

        —. 1993. 123 Proyecto de norma: Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables; Aspectos Genéricos. Parte 1, Requisitos generales Ginebra: IEC.

        Organización Internacional del Trabajo (OIT). 1965. Seguridad y Salud en el Trabajo Agrícola. Ginebra: OIT.

        —. 1969. Seguridad y Salud en el Trabajo Forestal. Ginebra: OIT.

        —. 1976. Construcción y Operación Segura de Tractores. Un Repertorio de recomendaciones prácticas de la OIT. Ginebra: OIT.

        Organización Internacional de Normalización (ISO). 1981. Tractores Agrícolas y Forestales de Ruedas. Estructuras de Protección. Método de prueba estática y condiciones de aceptación. ISO 5700. Ginebra: ISO.

        —. 1990. Normas de gestión y garantía de la calidad: Directrices para la aplicación de la norma ISO 9001 al desarrollo, suministro y mantenimiento de software. ISO 9000-3. Ginebra: ISO.

        —. 1991. Sistemas de automatización industrial: seguridad de los sistemas de fabricación integrados: requisitos básicos (CD 11161). TC 184/WG 4. Ginebra: ISO.

        —. 1994. Vehículos comerciales—Dispositivo de detección de obstáculos durante la marcha atrás—Requisitos y pruebas. Informe técnico TR 12155. Ginebra: ISO.

        Johnson, B. 1989. Diseño y análisis de sistemas digitales tolerantes a fallas. Nueva York: Addison Wesley.

        Kidd, P. 1994. Fabricación automatizada basada en habilidades. En Organización y Gestión de Sistemas Avanzados de Fabricación, editado por W Karwowski y G Salvendy. Nueva York: Wiley.

        Knowlton, RE. 1986. Introducción a los estudios de riesgo y operabilidad: el enfoque de la palabra guía. Vancouver, BC: Química.

        Kuivanen, R. 1990. El impacto en la seguridad de las perturbaciones en los sistemas de fabricación flexibles. En Ergonomics of Hybrid Automated Systems II, editado por W Karwowski y M Rahimi. Ámsterdam: Elsevier.

        Laeser, RP, WI McLaughlin y DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

        Lan, A, J Arteau y JF Corbeil. 1994. Protección contra caídas desde vallas publicitarias sobre el suelo. Simposio Internacional de Protección contra Caídas, San Diego, California, 27 y 28 de octubre de 1994. Actas Sociedad Internacional para la Protección contra Caídas.

        Langer, HJ y W Kurfurst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Uso de sensores para asegurar el área detrás de vehículos grandes]. FB 605. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Levenson, NG. 1986. Seguridad del software: por qué, qué y cómo. Encuestas Informáticas ACM (2):S. 129–163.

        McManus, TN. Nd Espacios Confinados. Manuscrito.

        Microsonic GmbH. 1996. Comunicación de empresa. Dortmund, Alemania: Microsonic.

        Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens y U Ahrens. 1980. Gefahrenschutz durch pasiva Infrarot-Sensoren (II) [Protección contra peligros por sensores infrarrojos]. FB 243. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Mohan, D y R Patel. 1992. Diseño de equipos agrícolas más seguros: Aplicación de la ergonomía y la epidemiología. Int J Ind Erg 10:301–310.

        Asociación Nacional de Protección contra Incendios (NFPA). 1993. NFPA 306: Control de riesgos de gas en embarcaciones. Quincy, MA: NFPA.

        Instituto Nacional de Seguridad y Salud Ocupacional (NIOSH). 1994. Muertes de trabajadores en espacios confinados. Cincinnati, OH, EE. UU.: DHHS/PHS/CDCP/NIOSH Pub. Nº 94-103. NIOSH.

        Neumann, PG. 1987. Los N mejores (o peores) casos de riesgo relacionados con la informática. Sistema IEEE T Man Cyb. Nueva York: S.11–13.

        —. 1994. Riesgos ilustrativos para el público en el uso de sistemas informáticos y tecnologías relacionadas. Notas de ingeniería de software SIGSOFT 19, No. 1:16–29.

        Administración de Seguridad y Salud Ocupacional (OSHA). 1988. Fatalidades ocupacionales seleccionadas relacionadas con la soldadura y el corte según se encuentran en los informes de las investigaciones de fatalidades/catástrofes de OSHA. Washington, DC: OSHA.

        Organización para la Cooperación y el Desarrollo Económicos (OCDE). 1987. Códigos estándar para la prueba oficial de tractores agrícolas. París: OCDE.

        Organisme professionel de prevention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, Francia: OPPBTP.

        Rasmussen, J. 1983. Habilidades, reglas y conocimientos: Agenda, signos y símbolos, y otras distinciones en los modelos de actuación humana. Transacciones IEEE sobre Sistemas, Hombre y Cibernética. SMC13(3): 257–266.

        Razón, J. 1990. Error Humano. Nueva York: Cambridge University Press.

        Reese, CD y GR Mills. 1986. Epidemiología del trauma de muertes en espacios confinados y su aplicación a la intervención/prevención ahora. En La naturaleza cambiante del trabajo y la fuerza laboral. Cincinnati, OH: NIOSH.

        Reinert, D y G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
        Sicherheitseinrichtungen. En BIA-Handbuch. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

        Sociedad de Ingenieros Automotrices (SAE). 1974. Protección del Operador para Equipos Industriales. Norma SAE j1042. Warrendale, Estados Unidos: SAE.

        —. 1975. Criterios de desempeño para la protección contra vuelcos. Práctica recomendada por SAE. Norma SAE j1040a. Warrendale, Estados Unidos: SAE.

        Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Estado de desarrollo de los dispositivos de advertencia de zona trasera]. Technische Überwachung, Nr. 4, abril, S. 161.

        Schreiber, P y K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Tecnología de la información en la técnica de producción, serie del Instituto Federal de Seguridad y Salud en el Trabajo]. FB 717. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Sheridan, T. 1987. Control de supervisión. En Handbook of Human Factors, editado por G. Salvendy. Nueva York: Wiley.

        Springfeldt, B. 1993. Efectos de las normas y medidas de seguridad en el trabajo con especial atención a las lesiones. Ventajas de las soluciones de trabajo automático. Estocolmo: Instituto Real de Tecnología, Departamento de Ciencias del Trabajo.

        Sugimoto, N. 1987. Temas y problemas de la tecnología de seguridad de los robots. En Seguridad y Salud Ocupacional en Automatización y Robótica, editado por K Noto. Londres: Taylor & Francis. 175.

        Sulowski, AC (ed.). 1991. Fundamentos de la protección contra caídas. Toronto, Canadá: Sociedad Internacional para la Protección contra Caídas.

        Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

        Zimolong, B y L Duda. 1992. Estrategias de reducción de errores humanos en sistemas de fabricación avanzados. En Human-robot Interaction, editado por M Rahimi y W Karwowski. Londres: Taylor & Francis.