• Sei qui:  
  • Casa
  • Parte VIII. Incidenti e gestione della sicurezza
  • Applicazioni di sicurezza
  • Sicurezza delle mani e degli utensili elettrici portatili
Lunedi, 04 aprile 2011 18: 53

Requisiti tecnici per i sistemi relativi alla sicurezza basati su dispositivi elettrici, elettronici ed elettronici programmabili

Vota questo gioco
(0 voti )

Macchinari, impianti di processo e altre apparecchiature possono, in caso di malfunzionamento, presentare rischi derivanti da eventi pericolosi come incendi, esplosioni, overdose di radiazioni e parti in movimento. Uno dei modi in cui tali impianti, apparecchiature e macchinari possono malfunzionare è dovuto a guasti di dispositivi elettromeccanici, elettronici ed elettronici programmabili (E/E/PE) utilizzati nella progettazione dei loro sistemi di controllo o di sicurezza. Questi guasti possono derivare da guasti fisici nel dispositivo (ad esempio, dall'usura che si verifica in modo casuale nel tempo (guasti hardware casuali)); o da guasti sistematici (ad esempio, errori commessi nelle specifiche e nella progettazione di un sistema che ne provocano il guasto a causa di (1) una particolare combinazione di input, (2) alcune condizioni ambientali (3) input errati o incompleti dai sensori, ( 4) immissione di dati incompleta o errata da parte degli operatori e (5) potenziali errori sistematici dovuti a un design dell'interfaccia scadente).

Guasti dei sistemi relativi alla sicurezza

Questo articolo copre la sicurezza funzionale dei sistemi di controllo legati alla sicurezza e considera i requisiti tecnici hardware e software necessari per raggiungere l'integrità della sicurezza richiesta. L'approccio generale è conforme alla norma IEC 1508, parti 2 e 3 proposta dalla Commissione elettrotecnica internazionale (IEC 1993). L'obiettivo generale del progetto di norma internazionale IEC 1508, Sicurezza funzionale: sistemi relativi alla sicurezza, è garantire che gli impianti e le apparecchiature possano essere automatizzati in sicurezza. Un obiettivo chiave nello sviluppo della norma internazionale proposta è prevenire o ridurre al minimo la frequenza di:

    • guasti dei sistemi di controllo che innescano altri eventi che a loro volta potrebbero portare a un pericolo (ad esempio, il sistema di controllo fallisce, il controllo viene perso, il processo va fuori controllo con conseguente incendio, rilascio di materiali tossici, ecc.)
    • guasti nei sistemi di allarme e monitoraggio in modo che gli operatori non ricevano informazioni in una forma che possa essere rapidamente identificata e compresa per svolgere le necessarie azioni di emergenza
    • guasti non rilevati nei sistemi di protezione, rendendoli non disponibili quando necessario per un'azione di sicurezza (ad esempio, una scheda di ingresso guasta in un sistema di arresto di emergenza).

         

        L'articolo "Sistemi elettrici, elettronici ed elettronici programmabili legati alla sicurezza" definisce l'approccio generale alla gestione della sicurezza incorporato nella Parte 1 della norma IEC 1508 per garantire la sicurezza dei sistemi di controllo e protezione che sono importanti per la sicurezza. Questo articolo descrive la progettazione ingegneristica concettuale complessiva necessaria per ridurre il rischio di incidente a un livello accettabile, compreso il ruolo di qualsiasi sistema di controllo o protezione basato sulla tecnologia E/E/PE.

        Nella figura 1, il rischio derivante dall'apparecchiatura, dall'impianto di processo o dalla macchina (generalmente indicato come apparecchiature sotto controllo (EUC) senza dispositivi di protezione) è contrassegnato a un'estremità della scala di rischio EUC e il livello di rischio target necessario per soddisfare il livello di sicurezza richiesto si trova all'altra estremità. Nel mezzo viene mostrata la combinazione di sistemi relativi alla sicurezza e strutture esterne di riduzione del rischio necessarie per compensare la riduzione del rischio richiesta. Questi possono essere di vari tipi: meccanici (ad es. valvole limitatrici di pressione), idraulici, pneumatici, fisici e sistemi E/E/PE. La Figura 2 sottolinea il ruolo di ciascun livello di sicurezza nella protezione dell'EUC man mano che l'incidente progredisce.

        Figura 1. Riduzione del rischio: concetti generali

        SAF060F1

         

        Figura 2. Modello complessivo: strati di protezione

        SAF060F2

        A condizione che sia stata eseguita un'analisi dei pericoli e dei rischi sull'EUC come richiesto nella Parte 1 della norma IEC 1508, è stato stabilito il progetto concettuale generale per la sicurezza e quindi le funzioni richieste e l'obiettivo SIL (Safety Integrity Level) per qualsiasi E/E/ Sono stati definiti il ​​sistema di controllo o protezione PE. L'obiettivo del livello di integrità della sicurezza è definito rispetto a una misura di fallimento dell'obiettivo (vedere la tabella 1).

        Tabella 1. Livelli di integrità della sicurezza per i sistemi di protezione: misure di fallimento target

        Livello di integrità della sicurezza                        Modalità di funzionamento della domanda (probabilità di non riuscire a svolgere la sua funzione di progettazione su richiesta)

        4 10-5 ≤ × 10-4

        3 10-4 ≤ × 10-3

        2 10-3 ≤ × 10-2

        1 10-2 ≤ × 10-1 

        Sistemi di protezione

        Questo documento delinea i requisiti tecnici che il progettista di un sistema di sicurezza E/E/PE dovrebbe considerare per soddisfare l'obiettivo del livello di integrità della sicurezza richiesto. L'attenzione si concentra su un tipico sistema di protezione che utilizza l'elettronica programmabile per consentire una discussione più approfondita delle questioni chiave con poca perdita in generale. Un tipico sistema di protezione è mostrato in figura 3, che rappresenta un sistema di sicurezza a singolo canale con uno spegnimento secondario attivato tramite un dispositivo diagnostico. Durante il normale funzionamento, la condizione non sicura dell'EUC (ad es. velocità eccessiva in una macchina, temperatura elevata in un impianto chimico) verrà rilevata dal sensore e trasmessa all'elettronica programmabile, che comanderà agli attuatori (tramite i relè di uscita) di mettere il sistema in uno stato sicuro (ad esempio, togliendo l'alimentazione al motore elettrico della macchina, aprendo una valvola per scaricare la pressione).

        Figura 3. Tipico sistema di protezione

        SAF060F3

        Ma cosa succede se ci sono guasti nei componenti del sistema di protezione? Questa è la funzione dello spegnimento secondario, che viene attivato dalla caratteristica diagnostica (autocontrollo) di questo design. Tuttavia, il sistema non è completamente fail-safe, in quanto il progetto ha solo una certa probabilità di essere disponibile quando gli viene chiesto di svolgere la sua funzione di sicurezza (ha una certa probabilità di guasto su richiesta o un certo livello di integrità della sicurezza). Ad esempio, il progetto di cui sopra potrebbe essere in grado di rilevare e tollerare determinati tipi di guasto della scheda di uscita, ma non sarebbe in grado di sopportare un guasto della scheda di ingresso. Pertanto, la sua integrità di sicurezza sarà molto inferiore a quella di un progetto con una scheda di input ad alta affidabilità, o una diagnostica migliorata, o una combinazione di questi.

        Esistono altre possibili cause di malfunzionamento della scheda, tra cui guasti fisici "tradizionali" nell'hardware, guasti sistematici inclusi errori nella specifica dei requisiti, errori di implementazione nel software e protezione inadeguata contro le condizioni ambientali (ad esempio, l'umidità). La diagnostica in questo design a canale singolo potrebbe non coprire tutti questi tipi di guasti e quindi ciò limiterà il livello di integrità della sicurezza raggiunto nella pratica. (La copertura è una misura della percentuale di errori che un progetto può rilevare e gestire in sicurezza.)

        Requisiti tecnici

        Le parti 2 e 3 della bozza della norma IEC 1508 forniscono un quadro per identificare le varie potenziali cause di guasto nell'hardware e nel software e per selezionare le caratteristiche di progettazione che superano quelle potenziali cause di guasto appropriate al livello di integrità della sicurezza richiesto del sistema relativo alla sicurezza. Ad esempio, l'approccio tecnico complessivo per il sistema di protezione in figura 3 è mostrato in figura 4. La figura indica le due strategie di base per superare guasti e guasti: (1) evitamento dei guasti, dove si presta attenzione a prevenire la creazione di guasti; e (2) tolleranza d'errore, in cui il progetto viene creato appositamente per tollerare errori specificati. Il sistema a canale singolo menzionato sopra è un esempio di progettazione con tolleranza ai guasti (limitata) in cui la diagnostica viene utilizzata per rilevare determinati guasti e mettere il sistema in uno stato sicuro prima che si verifichi un guasto pericoloso.

        Figura 4. Specifiche progettuali: soluzione progettuale

        SAF060F4

        Evitamento dei guasti

        L'evitamento dei guasti tenta di impedire l'introduzione di guasti in un sistema. L'approccio principale consiste nell'utilizzare un metodo sistematico di gestione del progetto in modo che la sicurezza sia trattata come una qualità definibile e gestibile di un sistema, durante la progettazione e successivamente durante il funzionamento e la manutenzione. L'approccio, che è simile alla garanzia della qualità, si basa sul concetto di feedback e prevede: (1) pianificazione (definizione degli obiettivi di sicurezza, individuazione delle modalità e dei mezzi per il raggiungimento degli obiettivi); (2) di misura raggiungimento rispetto al piano durante l'attuazione e (3) l'applicazione feedback per correggere eventuali deviazioni. Le revisioni del progetto sono un buon esempio di tecnica per evitare i guasti. Nella norma IEC 1508 questo approccio di "qualità" alla prevenzione dei guasti è facilitato dai requisiti per utilizzare un ciclo di vita di sicurezza e impiegare procedure di gestione della sicurezza sia per l'hardware che per il software. Per quest'ultimo, queste si manifestano spesso come procedure di garanzia della qualità del software come quelle descritte nella ISO 9000-3 (1990).

        Inoltre, le parti 2 e 3 della norma IEC 1508 (riguardanti rispettivamente l'hardware e il software) classificano alcune tecniche o misure ritenute utili per evitare guasti durante le varie fasi del ciclo di vita della sicurezza. La Tabella 2 fornisce un esempio tratto dalla Parte 3 per la fase di progettazione e sviluppo del software. Il progettista utilizzerà la tabella per facilitare la selezione delle tecniche di prevenzione dei guasti, a seconda del livello di integrità della sicurezza richiesto. Con ogni tecnica o misura nelle tabelle c'è una raccomandazione per ogni livello di integrità della sicurezza, da 1 a 4. La gamma di raccomandazioni comprende Altamente raccomandato (HR), Raccomandato (R), Neutro—né a favore né contro (—) e Non raccomandato (NR).

        Tabella 2. Progettazione e sviluppo del software

        Tecnica/misura

        contro le sovratensioni a due stadi, SIL 1,

        contro le sovratensioni a due stadi, SIL 2,

        contro le sovratensioni a due stadi, SIL 3,

        contro le sovratensioni a due stadi, SIL 4,

        1. Metodi formali inclusi, ad esempio, CCS, CSP, HOL, LOTOS

        -

        R

        R

        HR

        2. Metodi semiformali

        HR

        HR

        HR

        HR

        3. Strutturato. Metodologia che include, ad esempio, JSD, MASCOT, SADT, SSADM e YOURDON

        HR

        HR

        HR

        HR

        4. Approccio modulare

        HR

        HR

        HR

        HR

        5. Standard di progettazione e codifica

        R

        HR

        HR

        HR

        HR = altamente raccomandato; R = consigliato; NR = non raccomandato;— = neutrale: la tecnica/misura non è né a favore né contro il SIL.
        Nota: una tecnica/misura numerata deve essere selezionata in base al livello di integrità della sicurezza.

        Tolleranza ai guasti

        La norma IEC 1508 richiede livelli crescenti di tolleranza ai guasti con l'aumentare dell'obiettivo di integrità della sicurezza. Lo standard riconosce, tuttavia, che la tolleranza ai guasti è più importante quando i sistemi (e i componenti che compongono tali sistemi) sono complessi (designati come Tipo B in IEC 1508). Per sistemi meno complessi e "ben collaudati", il grado di tolleranza ai guasti può essere ridotto.

        Tolleranza contro guasti hardware casuali

        La tabella 3 mostra i requisiti per la tolleranza ai guasti contro guasti hardware casuali in componenti hardware complessi (ad esempio, microprocessori) quando utilizzati in un sistema di protezione come mostrato nella figura 3. Il progettista potrebbe dover considerare una combinazione appropriata di diagnostica, tolleranza ai guasti e controlli di prova manuali per superare questa classe di errore, a seconda del livello di integrità della sicurezza richiesto.

        Tabella 3. Livello di integrità della sicurezza - Requisiti di guasto per i componenti di tipo B1

        1 I difetti non rilevati rilevanti per la sicurezza devono essere rilevati mediante il controllo funzionale.

        2 Per i componenti privi di copertura diagnostica media in linea, il sistema deve essere in grado di svolgere la funzione di sicurezza in presenza di un singolo guasto. I guasti non rilevati relativi alla sicurezza devono essere rilevati dal controllo funzionale.

        3 Per i componenti con elevata copertura diagnostica in linea, il sistema deve essere in grado di svolgere la funzione di sicurezza in presenza di un singolo guasto. Per i componenti privi di elevata copertura diagnostica in linea, il sistema dovrà essere in grado di svolgere la funzione di sicurezza in presenza di due guasti. I guasti non rilevati relativi alla sicurezza devono essere rilevati dal controllo funzionale.

        4 I componenti devono essere in grado di svolgere la funzione di sicurezza in presenza di due guasti. I guasti devono essere rilevati con un'elevata copertura diagnostica online. I guasti non rilevati relativi alla sicurezza devono essere rilevati dal controllo funzionale. L'analisi quantitativa dell'hardware deve basarsi sulle ipotesi del caso peggiore.

        1Componenti le cui modalità di guasto non sono ben definite o testabili, o per i quali ci sono scarsi dati di guasto dall'esperienza sul campo (ad esempio, componenti elettronici programmabili).

        La norma IEC 1508 aiuta il progettista fornendo tabelle delle specifiche di progettazione (vedere tabella 4) con parametri di progettazione indicizzati rispetto al livello di integrità della sicurezza per una serie di architetture di sistemi di protezione comunemente utilizzate.

        Tabella 4. Requisiti per Safety Integrity Level 2 - Architetture di sistemi elettronici programmabili per sistemi di protezione

        Configurazione del sistema PE

        Copertura diagnostica per canale

        Test di prova offline Intervallo (TI)

        Tempo medio di viaggio spurio

        PE singolo, I/O singolo, est. WD

        Alta

        6 mesi

        1.6 anni

        PE doppio, I/O singolo

        Alta

        6 mesi

        10 anni

        Doppio PE, doppio I/O, 2oo2

        Alta

        3 mesi

        1,281 anni

        Doppio PE, doppio I/O, 1oo2

        Nessuna

        2 mesi

        1.4 anni

        Doppio PE, doppio I/O, 1oo2

        Basso

        5 mesi

        1.0 anni

        Doppio PE, doppio I/O, 1oo2

        Medio

        18 mesi

        0.8 anni

        Doppio PE, doppio I/O, 1oo2

        Alta

        36 mesi

        0.8 anni

        Doppio PE, doppio I/O, 1oo2D

        Nessuna

        2 mesi

        1.9 anni

        Doppio PE, doppio I/O, 1oo2D

        Basso

        4 mesi

        4.7 anni

        Doppio PE, doppio I/O, 1oo2D

        Medio

        18 mesi

        18 anni

        Doppio PE, doppio I/O, 1oo2D

        Alta

        48 + mesi

        168 anni

        Triplo PE, Triplo I/O, IPC, 2oo3

        Nessuna

        1 mese

        20 anni

        Triplo PE, Triplo I/O, IPC, 2oo3

        Basso

        3 mesi

        25 anni

        Triplo PE, Triplo I/O, IPC, 2oo3

        Medio

        12 mesi

        30 anni

        Triplo PE, Triplo I/O, IPC, 2oo3

        Alta

        48 + mesi

        168 anni

         

        La prima colonna della tabella rappresenta le architetture con vari gradi di tolleranza ai guasti. In generale, le architetture posizionate nella parte inferiore della tabella hanno un grado di tolleranza ai guasti più elevato rispetto a quelle in cima. Un sistema 1oo2 (uno su due) è in grado di resistere a qualsiasi guasto, così come 2oo3.

        La seconda colonna descrive la percentuale di copertura di qualsiasi diagnostica interna. Maggiore è il livello della diagnostica, maggiore sarà il numero di guasti rilevati. In un sistema di protezione questo è importante perché, a condizione che il componente difettoso (ad es. una scheda di ingresso) venga riparato entro un tempo ragionevole (spesso 8 ore), la sicurezza funzionale è minima. (Nota: questo non sarebbe il caso di un sistema di controllo continuo, poiché è probabile che qualsiasi guasto causi una condizione di pericolo immediato e il potenziale per un incidente.)

        La terza colonna mostra l'intervallo tra i test di verifica. Si tratta di test speciali che devono essere eseguiti per esercitare a fondo il sistema di protezione per garantire che non vi siano guasti latenti. In genere questi vengono eseguiti dal fornitore dell'apparecchiatura durante i periodi di fermo dell'impianto.

        La quarta colonna mostra il tasso di viaggio spurio. Un allarme spurio è quello che provoca l'arresto dell'impianto o dell'apparecchiatura quando non vi è alcuna deviazione del processo. Il prezzo per la sicurezza è spesso un tasso di viaggio spurio più alto. Un semplice sistema di protezione ridondante - 1oo2 - ha, con tutti gli altri fattori di progettazione invariati, un livello di integrità della sicurezza più elevato ma anche una frequenza di intervento spurio più elevata rispetto a un sistema a canale singolo (1oo1).

        Se una delle architetture nella tabella non viene utilizzata o se il progettista desidera eseguire un'analisi più fondamentale, la norma IEC 1508 consente questa alternativa. Tecniche di ingegneria dell'affidabilità come la modellazione di Markov possono quindi essere utilizzate per calcolare l'elemento hardware del livello di integrità della sicurezza (Johnson 1989; Goble 1992).

        Tolleranza contro i guasti sistematici e per causa comune

        Questa classe di guasto è molto importante nei sistemi di sicurezza ed è il fattore limitante per il raggiungimento dell'integrità della sicurezza. In un sistema ridondante un componente o un sottosistema, o anche l'intero sistema, viene duplicato per ottenere un'elevata affidabilità da parti meno affidabili. Il miglioramento dell'affidabilità si verifica perché, statisticamente, la possibilità che due sistemi si guastino simultaneamente per guasti casuali sarà il prodotto delle affidabilità dei singoli sistemi, e quindi molto inferiore. D'altra parte, i guasti sistematici e di causa comune causano casualmente guasti ai sistemi ridondanti quando, ad esempio, un errore di specifica nel software provoca il guasto simultaneo delle parti duplicate. Un altro esempio potrebbe essere il guasto di un alimentatore comune a un sistema ridondante.

        La norma IEC 1508 fornisce tabelle di tecniche ingegneristiche classificate rispetto al livello di integrità della sicurezza considerato efficace nel fornire protezione contro guasti sistematici e di causa comune.

        Esempi di tecniche che forniscono difese contro fallimenti sistematici sono la diversità e la ridondanza analitica. La base della diversità è che se un progettista implementa un secondo canale in un sistema ridondante utilizzando una tecnologia o un linguaggio software diverso, allora i guasti nei canali ridondanti possono essere considerati indipendenti (ovvero, una bassa probabilità di guasto casuale). Tuttavia, in particolare nell'area dei sistemi basati su software, vi è qualche suggerimento che questa tecnica potrebbe non essere efficace, poiché la maggior parte degli errori sono nelle specifiche. La ridondanza analitica tenta di sfruttare le informazioni ridondanti nell'impianto o nella macchina per identificare i guasti. Per le altre cause di guasto sistematico, ad esempio sollecitazioni esterne, lo standard fornisce tabelle che forniscono consigli sulle buone pratiche ingegneristiche (ad esempio, separazione dei cavi di segnale e di alimentazione) indicizzate rispetto al livello di integrità della sicurezza.

        Conclusioni

        I sistemi basati su computer offrono molti vantaggi, non solo economici, ma anche potenzialmente in grado di migliorare la sicurezza. Tuttavia, l'attenzione ai dettagli richiesta per realizzare questo potenziale è significativamente maggiore rispetto a quando si utilizzano componenti di sistema convenzionali. Questo articolo ha delineato i principali requisiti tecnici che un progettista deve tenere in considerazione per sfruttare con successo questa tecnologia.

         

        Di ritorno

        Leggi 8370 volte Ultima modifica sabato 30 luglio 2022 01:48
        Pubblicato in 58. Applicazioni di sicurezza
        Altro in questa categoria: « Sistemi di controllo relativi alla sicurezza elettrici, elettronici ed elettronici programmabili Rotolare "
        torna in cima

        " DISCLAIMER: L'ILO non si assume alcuna responsabilità per i contenuti presentati su questo portale Web presentati in una lingua diversa dall'inglese, che è la lingua utilizzata per la produzione iniziale e la revisione tra pari del contenuto originale. Alcune statistiche non sono state aggiornate da allora la produzione della 4a edizione dell'Enciclopedia (1998)."

        Contenuti

        Riferimenti per applicazioni di sicurezza

        Arteau, J, A Lan e JF Corveil. 1994. Uso di linee di vita orizzontali nella costruzione di strutture in acciaio. Atti dell'International Fall Protection Symposium, San Diego, California (27–28 ottobre 1994). Toronto: Società internazionale per la protezione anticaduta.

        Backström, T. 1996. Rischio di incidenti e protezione della sicurezza nella produzione automatizzata. Tesi di dottorato. Arbete och Halsa 1996:7. Solna: Istituto nazionale per la vita lavorativa.

        Backström, T e L Harms-Ringdahl. 1984. Uno studio statistico sui sistemi di controllo e sugli infortuni sul lavoro. J Occupa acc. 6:201–210.

        Backström, T e M Döös. 1994. Difetti tecnici alla base degli incidenti nella produzione automatizzata. In Advances in Agile Manufacturing, a cura di PT Kidd e W Karwowski. Amsterdam: stampa IOS.

        —. 1995. Un confronto degli infortuni sul lavoro nelle industrie con la tecnologia di produzione avanzata. Int J Hum Factors Manufac. 5(3). 267–282.

        —. In stampa. La genesi tecnica dei guasti alle macchine che portano agli infortuni sul lavoro. Int J Ind Ergonomia.

        —. Accettato per la pubblicazione. Frequenze assolute e relative di incidenti di automazione in diversi tipi di apparecchiature e per diversi gruppi professionali. Ris. J Saf.

        Bainbridge, L. 1983. Ironie dell'automazione. Automatica 19:775–779.

        Bell, ricerca e sviluppo Reinert. 1992. Concetti di rischio e integrità del sistema per i sistemi di controllo relativi alla sicurezza. Saf Sci 15:283–308.

        Bouchard, P. 1991. Échafaudages. Guida serie 4. Montreal: CSST.

        Ufficio per gli affari nazionali. 1975. Standard di salute e sicurezza sul lavoro. Strutture di protezione antiribaltamento per attrezzature per la movimentazione di materiali e trattori, sezioni 1926, 1928. Washington, DC: Bureau of National Affairs.

        Corbett, JM. 1988. Ergonomia nello sviluppo dell'AMT incentrato sull'uomo. Ergonomia applicata 19:35–39.

        Culver, C e C Connolly. 1994. Prevenire le cadute mortali nella costruzione. Saf Salute settembre 1994: 72-75.

        Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlino: Beuth Verlag.

        —. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlino: Beuth Verlag.

        —. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Sicurezza del macchinario—Dispositivi di protezione sensibili alla pressione]. DIN prEN 1760. Berlino: Beuth Verlag.

        —. 1995 b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Veicoli commerciali—rilevamento ostacoli durante la retromarcia—requisiti e test]. Norma DIN 75031. Febbraio 1995.

        Döös, M e T Backström. 1993. Descrizione degli incidenti nella movimentazione automatizzata dei materiali. In Ergonomics of Materials Handling and Information Processing at Work, a cura di WS Marras, W Karwowski, JL Smith e L Pacholski. Varsavia: Taylor e Francis.

        —. 1994. I disturbi della produzione come rischio infortunistico. In Advances in Agile Manufacturing, a cura di PT Kidd e W Karwowski. Amsterdam: stampa IOS.

        Comunità Economica Europea (CEE). 1974, 1977, 1979, 1982, 1987. Direttive del Consiglio relative alle strutture di protezione in caso di capovolgimento dei trattori agricoli e forestali a ruote. Bruxelles: CEE.

        —. 1991. Direttiva del Consiglio sul ravvicinamento delle legislazioni degli Stati membri relative alle macchine. (91/368/CEE) Lussemburgo: CEE.

        Etherton, JR e ML Myers. 1990. Ricerca sulla sicurezza delle macchine al NIOSH e direzioni future. Int J Ind Erg 6:163–174.

        Freund, E, F Dierks e J Rossmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Test di sicurezza sul lavoro di robot mobili e sistemi di robot multipli]. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Goble, W. 1992. Valutazione dell'affidabilità del sistema di controllo. New York: Società degli strumenti d'America.

        Goodstein, LP, HB Anderson e SE Olsen (a cura di). 1988. Compiti, errori e modelli mentali. Londra: Taylor e Francesco.

        Gryfe, CI. 1988. Cause e prevenzione delle cadute. Al Simposio Internazionale sulla Protezione Anticaduta. Orlando: Società internazionale per la protezione anticaduta.

        Dirigente per la salute e la sicurezza. 1989. Statistiche sulla salute e sulla sicurezza 1986–87. Impiegare Gaz 97(2).

        Heinrich, HW, D Peterson e N Roos. 1980. Prevenzione degli infortuni sul lavoro. 5a ed. New York: McGraw Hill.

        Hollnagel, E e D Woods. 1983. Ingegneria dei sistemi cognitivi: vino nuovo in bottiglie nuove. Int J Uomo Macchina Stud 18:583–600.

        Hölscher, H e J Rader. 1984. Microcomputer in der Sicherheitstechnik. Renania: Verlag TgV-Reinland.

        Hörte, S-Å e P Lindberg. 1989. Diffusione e implementazione di tecnologie di produzione avanzate in Svezia. Documento di lavoro n. 198:16. Istituto di Innovazione e Tecnologia.

        Commissione elettrotecnica internazionale (IEC). 1992. 122 Progetto di norma: software per computer nell'applicazione di sistemi relativi alla sicurezza industriale. CEI 65 (Sec). Ginevra: CEI.

        —. 1993. 123 Progetto di norma: sicurezza funzionale dei sistemi elettrici/elettronici/programmabili; Aspetti generici. Parte 1, Requisiti generali Ginevra: IEC.

        Organizzazione Internazionale del Lavoro (ILO). 1965. Sicurezza e salute nel lavoro agricolo. Ginevra: OIL.

        —. 1969. Sicurezza e salute nel lavoro forestale. Ginevra: OIL.

        —. 1976. Costruzione e funzionamento sicuri dei trattori. Un codice di condotta dell'ILO. Ginevra: OIL.

        Organizzazione internazionale per la standardizzazione (ISO). 1981. Trattori Gommati Agricoli e Forestali. Strutture Protettive. Metodo di prova statica e condizioni di accettazione. ISO 5700. Ginevra: ISO.

        —. 1990. Standard di gestione della qualità e garanzia della qualità: linee guida per l'applicazione della norma ISO 9001 allo sviluppo, fornitura e manutenzione del software. ISO 9000-3. Ginevra: ISO.

        —. 1991. Sistemi di automazione industriale - Sicurezza dei sistemi di produzione integrati - Requisiti di base (CD 11161). TC 184/WG 4. Ginevra: ISO.

        —. 1994. Veicoli commerciali—Dispositivo di rilevamento degli ostacoli durante la retromarcia—Requisiti e test. Rapporto tecnico TR 12155. Ginevra: ISO.

        Johnson, B. 1989. Progettazione e analisi di sistemi digitali a tolleranza d'errore. New York: Addison Wesley.

        Kidd, P. 1994. Produzione automatizzata basata sulle competenze. In Organizzazione e gestione dei sistemi di produzione avanzati, a cura di W Karwowski e G Salvendy. New York: Wiley.

        Knowlton, R.E. 1986. Un'introduzione agli studi sui rischi e sull'operabilità: l'approccio alla parola guida. Vancouver, BC: Chimica.

        Kuivanen, R. 1990. L'impatto sulla sicurezza dei disturbi nei sistemi di produzione flessibili. In Ergonomics of Hybrid Automated Systems II, a cura di W Karwowski e M Rahimi. Amsterdam: Elsevier.

        Laeser, RP, WI McLaughlin e DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

        Lan, A, J Arteau e JF Corbeil. 1994. Protezione contro le cadute da cartelloni pubblicitari fuori terra. Simposio internazionale sulla protezione anticaduta, San Diego, California, 27–28 ottobre 1994. Atti Società internazionale per la protezione anticaduta.

        Langer, HJ e W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Utilizzo di sensori per proteggere l'area dietro veicoli di grandi dimensioni]. FB 605. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Levenson, NG. 1986. Sicurezza del software: perché, cosa e come. ACM Computer Surveys (2):S. 129–163.

        Mc Manus, Tennessee. Nd Spazi Confinati. Manoscritto.

        Microsonic GmbH. 1996. Comunicazione aziendale. Dortmund, Germania: Microsonic.

        Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens e U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II) [Protezione contro i pericoli mediante sensori a infrarossi]. FB 243. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Mohan, D e R Patel. 1992. Progettazione di attrezzature agricole più sicure: applicazione dell'ergonomia e dell'epidemiologia. Int J Ind Erg 10:301–310.

        Associazione nazionale per la protezione antincendio (NFPA). 1993. NFPA 306: Controllo dei rischi di gas sulle navi. Quincy, Massachusetts: NFPA.

        Istituto nazionale per la sicurezza e la salute sul lavoro (NIOSH). 1994. Morti dei lavoratori in spazi ristretti. Cincinnati, Ohio, USA: DHHS/PHS/CDCP/NIOSH Pub. N. 94-103. NIOSH.

        Neumann, PG. 1987. I N migliori (o peggiori) casi di rischio informatico. Sistema IEEE T Man Cyb. New York: S.11–13.

        —. 1994. Rischi illustrativi per il pubblico nell'uso di sistemi informatici e tecnologie correlate. Software Engin Note SIGSOFT 19, No. 1:16–29.

        Amministrazione per la sicurezza e la salute sul lavoro (OSHA). 1988. Decessi sul lavoro selezionati relativi a saldatura e taglio come trovati nei rapporti di indagini su incidenti mortali / catastrofe dell'OSHA. Washington, DC: OSHA.

        Organizzazione per la cooperazione e lo sviluppo economico (OCSE). 1987. Codici standard per il collaudo ufficiale dei trattori agricoli. Parigi: OCSE.

        Organisme Professionel de Prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contro les chutes de hauteur. Boulogne-Bilancourt, Francia: OPPBTP.

        Rasmussen, J. 1983. Abilità, regole e conoscenza: agenda, segni e simboli e altre distinzioni nei modelli di performance umana. Transazioni IEEE su sistemi, uomo e cibernetica. SMC13(3): 257–266.

        Motivo, J. 1990. Errore umano. New York: Pressa dell'Università di Cambridge.

        Reese, CD e GR Mills. 1986. Epidemiologia del trauma delle vittime di spazi confinati e la sua applicazione all'intervento/prevenzione ora. In La natura mutevole del lavoro e della forza lavoro. Cincinnati, Ohio: NIOSH.

        Reinert, D e G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
        Sicherheitseinrichtungen. In BIA Handbuch. Sicherheitstechnisches Informations- und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

        Società degli ingegneri automobilistici (SAE). 1974. Protezione dell'operatore per attrezzature industriali. Norma SAE j1042. Warrendale, Stati Uniti: SAE.

        —. 1975. Criteri di prestazione per la protezione dal ribaltamento. Pratica raccomandata SAE. Norma SAE j1040a. Warrendale, Stati Uniti: SAE.

        Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Stato di sviluppo dei dispositivi di segnalazione della zona posteriore]. Technische Überwachung, n. 4, aprile, S. 161.

        Schreiber, P e K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Tecnologia dell'informazione nella tecnica di produzione, serie dell'Istituto federale per la sicurezza e la salute sul lavoro]. FB 717. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Sheridan, T. 1987. Controllo di supervisione. In Handbook of Human Factors, a cura di G. Salvendy. New York: Wiley.

        Springfeldt, B. 1993. Effetti delle norme e misure di sicurezza sul lavoro con particolare riguardo agli infortuni. Vantaggi delle soluzioni funzionanti automaticamente. Stoccolma: The Royal Institute of Technology, Department of Work Science.

        Sugimoto, N. 1987. Soggetti e problemi della tecnologia della sicurezza dei robot. In Sicurezza e salute sul lavoro nell'automazione e nella robotica, a cura di K Noto. Londra: Taylor e Francesco. 175.

        Sulowski, AC (a cura di). 1991. Fondamenti di protezione anticaduta. Toronto, Canada: Società internazionale per la protezione anticaduta.

        Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

        Zimolong, B e L Duda. 1992. Strategie di riduzione dell'errore umano nei sistemi di produzione avanzati. In Human-robot Interaction, a cura di M Rahimi e W Karwowski. Londra: Taylor e Francesco.