Análise de Sistemas

Segunda-feira, 04 abril 2011 16: 56

Análise de Sistemas

tamanho da fonte diminuir o tamanho da fonte Aumentar o tamanho da fonte
Impressão
E-mail

Classifique este artigo

(0 votos)

A . pode ser definido como um conjunto de componentes interdependentes combinados de forma a desempenhar uma determinada função sob condições especificadas. Uma máquina é um exemplo tangível e particularmente claro de um sistema nesse sentido, mas existem outros sistemas, envolvendo homens e mulheres em uma equipe ou em uma oficina ou fábrica, que são muito mais complexos e não tão fáceis de definir. Segurança sugere a ausência de perigo ou risco de acidente ou dano. Para evitar ambigüidade, o conceito geral de ocorrência indesejada será empregado. A segurança absoluta, no sentido da impossibilidade de ocorrência de um incidente mais ou menos infeliz, não é atingível; realisticamente, deve-se almejar uma probabilidade muito baixa, em vez de zero, de ocorrências indesejadas.

Um determinado sistema pode ser considerado seguro ou inseguro apenas com relação ao desempenho que é realmente esperado dele. Com isso em mente, o nível de segurança de um sistema pode ser definido da seguinte forma: “Para qualquer conjunto de ocorrências indesejadas, o nível de segurança (ou insegurança) de um sistema é determinado pela probabilidade dessas ocorrências ocorrerem em um determinado período de tempo". Exemplos de ocorrências indesejadas que seriam de interesse na presente conexão incluem: múltiplas fatalidades, morte de uma ou várias pessoas, ferimentos graves, ferimentos leves, danos ao meio ambiente, efeitos nocivos sobre os seres vivos, destruição de plantas ou edifícios e grandes ou dano limitado de material ou equipamento.

Finalidade da Análise do Sistema de Segurança

O objetivo de uma análise de segurança do sistema é determinar os fatores que influenciam a probabilidade de ocorrências indesejadas, estudar a maneira como essas ocorrências ocorrem e, finalmente, desenvolver medidas preventivas para reduzir sua probabilidade.

A fase analítica do problema pode ser dividida em dois aspectos principais:

identificação e descrição do tipos de disfunção ou desajuste
identificação do sequências de disfunções que se combinam umas com as outras (ou com ocorrências mais “normais”) para levar, em última análise, à própria ocorrência indesejada e à avaliação de sua probabilidade.

Uma vez estudadas as diversas disfunções e suas consequências, os analistas de segurança do sistema podem direcionar sua atenção para medidas preventivas. A pesquisa nesta área será baseada diretamente em descobertas anteriores. Esta investigação de meios preventivos segue os dois principais aspectos da análise de segurança do sistema.

Métodos de Análise

A análise de segurança do sistema pode ser realizada antes ou depois do evento (a priori ou a posteriori); em ambos os casos, o método usado pode ser direto ou reverso. Uma análise a priori ocorre antes da ocorrência indesejada. O analista pega um certo número dessas ocorrências e se propõe a descobrir os vários estágios que podem levar a elas. Em contrapartida, uma análise a posteriori é realizada após a ocorrência da ocorrência indesejada. O seu objetivo é fornecer orientações para o futuro e, especificamente, tirar quaisquer conclusões que possam ser úteis para eventuais análises a priori posteriores.

Embora possa parecer que uma análise a priori seria muito mais valiosa do que uma análise a posteriori, uma vez que precede o incidente, as duas são de fato complementares. Qual método é usado depende da complexidade do sistema envolvido e do que já se sabe sobre o assunto. No caso de sistemas tangíveis, como máquinas ou instalações industriais, a experiência anterior geralmente pode servir para preparar uma análise a priori bastante detalhada. No entanto, mesmo assim a análise não é necessariamente infalível e certamente beneficiará de uma posterior análise a posteriori baseada essencialmente no estudo dos incidentes ocorridos no decurso da operação. Quanto a sistemas mais complexos envolvendo pessoas, como turnos de trabalho, oficinas ou fábricas, a análise a posteriori é ainda mais importante. Nesses casos, a experiência passada nem sempre é suficiente para permitir uma análise a priori detalhada e confiável.

Uma análise a posteriori pode se transformar em uma análise a priori, pois o analista vai além do processo único que levou ao incidente em questão e começa a examinar as várias ocorrências que poderiam razoavelmente levar a tal incidente ou a incidentes semelhantes.

Outra forma pela qual uma análise a posteriori pode se tornar uma análise a priori é quando a ênfase é colocada não na ocorrência (cuja prevenção é o objetivo principal da presente análise) mas em incidentes menos graves. Estas ocorrências, como percalços técnicos, danos materiais e acidentes potenciais ou menores, de relativa pouca significância em si, podem ser identificadas como sinais de alerta para ocorrências mais graves. Nestes casos, ainda que efectuada a posteriori à ocorrência de incidentes de menor gravidade, a análise será feita a priori relativamente a ocorrências de maior gravidade que ainda não tenham ocorrido.

Existem dois métodos possíveis de estudar o mecanismo ou a lógica por trás da sequência de dois ou mais eventos:

A diretamenteou indutivo, o método parte das causas para prever seus efeitos.
A reversoou dedutivo, o método olha para os efeitos e trabalha de trás para frente nas causas.

A Figura 1 é um diagrama de um circuito de controle que requer dois botões (B₁ e B₂) a serem pressionados simultaneamente para ativar a bobina do relé (R) e dar partida na máquina. Este exemplo pode ser usado para ilustrar, em termos práticos, a diretamente e reverso métodos usados na análise de segurança do sistema.

Figura 1. Circuito de controle de dois botões

Método direto

No método direto, o analista começa por (1) listar falhas, disfunções e desajustes, (2) estudar seus efeitos e (3) determinar se esses efeitos são ou não uma ameaça à segurança. No caso da figura 1, podem ocorrer as seguintes falhas:

uma quebra no fio entre 2 e 2'

contato não intencional em C₁ (ou C₂) como resultado de bloqueio mecânico

fechamento acidental de B₁ (ou B₂)

curto-circuito entre 1 e 1'.

O analista pode então deduzir as consequências dessas falhas, e os resultados podem ser apresentados em forma de tabela (tabela 1).

Tabela 1. Possíveis disfunções de um circuito de controle de dois botões e suas consequências

Falhas	Consequências
Quebra no fio entre 2 e 2'	Impossível ligar a máquina*
Fechamento acidental de B₁ (ou B₂ )	Nenhuma consequência imediata
Contato em C₁ (ou C₂ ) como resultado de bloqueio mecânico	Nenhuma consequência imediata, mas a possibilidade do máquina sendo iniciada simplesmente por pressão sobre botão B₂ (ou B₁ ) **
Curto-circuito entre 1 e 1'	Ativação da bobina do relé R - partida acidental de a máquina***

* Ocorrência com influência direta na confiabilidade do sistema
** Ocorrência responsável por grave redução do nível de segurança do sistema
*** Ocorrência perigosa a ser evitada

Ver texto e figura 1.

Na tabela 1, as consequências perigosas ou susceptíveis de reduzir seriamente o nível de segurança do sistema podem ser designadas por sinais convencionais como ***.

Observação: Na tabela 1, uma quebra no fio entre 2 e 2' (mostrado na figura 1) resulta em uma ocorrência que não é considerada perigosa. Não tem efeito direto na segurança do sistema; no entanto, a probabilidade de tal incidente ocorrer tem uma relação direta com a confiabilidade do sistema.

O método direto é particularmente apropriado para simulação. A Figura 2 mostra um simulador analógico projetado para estudar a segurança dos circuitos de controle de prensa. A simulação do circuito de controle permite verificar que, desde que não haja falha, o circuito é realmente capaz de garantir o funcionamento requerido sem infringir os critérios de segurança. Além disso, o simulador pode permitir ao analista introduzir falhas nos vários componentes do circuito, observar suas consequências e, assim, distinguir aqueles circuitos bem projetados (com poucas ou nenhuma falha perigosa) daqueles mal projetados. Este tipo de análise de segurança também pode ser realizado usando um computador.

Figura 2. Simulador para estudo de circuitos de controle de prensas

método reverso

No método reverso, o analista retrocede a partir da ocorrência indesejável, incidente ou acidente, em direção aos diversos eventos anteriores para determinar quais podem ser capazes de resultar nas ocorrências a serem evitadas. Na figura 1, a última ocorrência a ser evitada seria a partida involuntária da máquina.

A partida da máquina pode ser causada por uma ativação descontrolada da bobina do relé (R).

O acionamento da bobina pode, por sua vez, resultar de um curto-circuito entre 1 e 1´ ou de um fechamento involuntário e simultâneo dos interruptores C₁ e C₂.

Fechamento não intencional de C₁ pode ser consequência de um bloqueio mecânico de C₁ ou da pressão acidental de B₁. Raciocínio semelhante se aplica a C₂.

Os resultados dessa análise podem ser representados em um diagrama que se assemelha a uma árvore (por isso o método inverso é conhecido como “análise de árvore de falhas”), conforme ilustrado na figura 3.

Figura 3. Possível cadeia de eventos

O diagrama segue operações lógicas, sendo as mais importantes as operações “OU” e “E”. A operação “OU” significa que [X₁] ocorrerá se [A] ou [B] (ou ambos) ocorrer. A operação “E” significa que antes de [X₂] pode ocorrer, tanto [C] quanto [D] devem ter ocorrido (consulte a figura 4).

Figura 4. Representação de duas operações lógicas

O método inverso é muito usado na análise a priori de sistemas tangíveis, especialmente nas indústrias química, aeronáutica, espacial e nuclear. Também foi considerado extremamente útil como método para investigar acidentes industriais.

Embora sejam muito diferentes, os métodos direto e reverso são complementares. O método direto é baseado em um conjunto de falhas ou disfunções, e o valor de tal análise depende, portanto, em grande parte da relevância das várias disfunções consideradas no início. Visto sob esta luz, o método inverso parece ser mais sistemático. Dado o conhecimento de que tipos de acidentes ou incidentes podem acontecer, o analista pode, em teoria, aplicar esse método para trabalhar todas as disfunções ou combinações de disfunções capazes de provocá-los. Porém, como nem todos os comportamentos perigosos de um sistema são necessariamente conhecidos antecipadamente, eles podem ser descobertos pelo método direto, aplicado por simulação, por exemplo. Uma vez descobertos, os perigos podem ser analisados em maior detalhe pelo método inverso.

Problemas de Análise de Segurança do Sistema

Os métodos analíticos descritos acima não são apenas processos mecânicos que precisam apenas ser aplicados automaticamente para chegar a conclusões úteis para melhorar a segurança do sistema. Pelo contrário, os analistas encontram uma série de problemas no decorrer de seu trabalho, e a utilidade de suas análises dependerá em grande parte de como eles se propõem a resolvê-los. Alguns dos problemas típicos que podem surgir são descritos abaixo.

Entendendo o sistema a ser estudado e suas condições de operação

Os problemas fundamentais em qualquer análise de segurança do sistema são a definição do sistema a ser estudado, suas limitações e as condições sob as quais ele deve operar ao longo de sua existência.

Se o analista levar em conta um subsistema muito limitado, o resultado pode ser a adoção de uma série de medidas preventivas aleatórias (situação em que tudo se volta para prevenir determinados tipos de ocorrência, enquanto perigos igualmente graves são ignorados ou subestimados ). Se, por outro lado, o sistema considerado for muito abrangente ou geral em relação a um determinado problema, pode resultar em excessiva imprecisão de conceito e responsabilidades, e a análise pode não levar à adoção de medidas preventivas adequadas.

Um exemplo típico que ilustra o problema de definição do sistema a ser estudado é a segurança de máquinas ou instalações industriais. Nesse tipo de situação, o analista pode ser tentado a considerar apenas o equipamento real, negligenciando o fato de que ele deve ser operado ou controlado por uma ou mais pessoas. Simplificações desse tipo às vezes são válidas. No entanto, o que tem de ser analisado não é apenas o subsistema máquina, mas todo o sistema trabalhador-máquina nas várias fases da vida útil do equipamento (incluindo, por exemplo, transporte e manuseamento, montagem, teste e ajuste, funcionamento normal , manutenção, desmontagem e, em alguns casos, destruição). Em cada estágio a máquina faz parte de um sistema específico cuja finalidade e modos de funcionamento e mau funcionamento são totalmente diferentes dos do sistema em outros estágios. Deve, portanto, ser concebido e fabricado de forma a permitir o desempenho da função requerida em boas condições de segurança em cada uma das fases.

De forma mais geral, no que diz respeito aos estudos de segurança nas empresas, existem vários níveis de sistema: a máquina, o posto de trabalho, o turno, o departamento, a fábrica e a empresa como um todo. Dependendo de qual nível do sistema está sendo considerado, os possíveis tipos de disfunção – e as medidas preventivas relevantes – são bem diferentes. Uma boa política de prevenção deve ter em conta as disfunções que podem ocorrer a vários níveis.

As condições de funcionamento do sistema podem ser definidas em função do modo como o sistema deve funcionar e das condições ambientais a que pode estar sujeito. Essa definição deve ser realista o suficiente para permitir as condições reais nas quais o sistema provavelmente operará. Um sistema que é muito seguro apenas em uma faixa operacional muito restrita pode não ser tão seguro se o usuário não conseguir se manter dentro da faixa operacional teórica prescrita. Um sistema seguro deve, portanto, ser robusto o suficiente para suportar variações razoáveis nas condições em que funciona e deve tolerar certos erros simples, mas previsíveis, por parte dos operadores.

Modelagem do sistema

Muitas vezes é necessário desenvolver um modelo para analisar a segurança de um sistema. Isso pode levantar alguns problemas que valem a pena examinar.

Para um sistema conciso e relativamente simples como uma máquina convencional, o modelo é quase diretamente derivado das descrições dos componentes materiais e suas funções (motores, transmissão, etc.) e a maneira como esses componentes estão inter-relacionados. O número de possíveis modos de falha de componentes é igualmente limitado.

Máquinas modernas, como computadores e robôs, que contêm componentes complexos como microprocessadores e circuitos eletrônicos com integração em grande escala, representam um problema especial. Este problema não foi totalmente resolvido em termos de modelagem ou de previsão dos diferentes modos de falha possíveis, porque há muitos transistores elementares em cada chip e devido ao uso de diversos tipos de software.

Quando o sistema a ser analisado é uma organização humana, um problema interessante encontrado na modelagem reside na escolha e definição de certos componentes não materiais ou não totalmente materiais. Uma determinada estação de trabalho pode ser representada, por exemplo, por um sistema composto por trabalhadores, software, tarefas, máquinas, materiais e ambiente. (O componente “tarefa” pode ser difícil de definir, pois não é a tarefa prescrita que conta, mas a tarefa como ela é realmente executada).

Ao modelar organizações humanas, o analista pode optar por dividir o sistema em consideração em um subsistema de informação e um ou mais subsistemas de ação. A análise de falhas em diferentes estágios do subsistema de informação (aquisição, transmissão, processamento e uso da informação) pode ser altamente instrutiva.

Problemas associados a vários níveis de análise

Os problemas associados a vários níveis de análise geralmente se desenvolvem porque, a partir de uma ocorrência indesejada, o analista pode voltar a incidentes cada vez mais remotos no tempo. Dependendo do nível de análise considerado, varia a natureza das disfunções que ocorrem; o mesmo se aplica às medidas preventivas. É importante ser capaz de decidir em que nível a análise deve ser interrompida e em que nível a ação preventiva deve ser tomada. Um exemplo é o caso simples de um acidente decorrente de uma falha mecânica causada pela utilização repetida de uma máquina em condições anormais. Isso pode ter sido causado por falta de treinamento do operador ou por má organização do trabalho. Dependendo do nível de análise considerado, a ação preventiva necessária pode ser a substituição da máquina por outra capaz de suportar condições de uso mais severas, o uso da máquina somente em condições normais, mudanças no treinamento de pessoal ou reorganização de trabalhar.

A eficácia e o alcance de uma medida preventiva dependem do nível em que ela é introduzida. A ação preventiva nas imediações da ocorrência indesejada tem maior probabilidade de ter um impacto direto e rápido, mas seus efeitos podem ser limitados; por outro lado, retrocedendo razoavelmente na análise dos eventos, deveria ser possível encontrar tipos de disfunções comuns a numerosos acidentes. Qualquer ação preventiva tomada nesse nível terá um escopo muito mais amplo, mas sua eficácia pode ser menos direta.

Tendo em mente que existem vários níveis de análise, também pode haver vários padrões de ação preventiva, cada um dos quais carrega sua própria parcela do trabalho de prevenção. Este é um ponto extremamente importante, e basta retornar ao exemplo do acidente atualmente em consideração para apreciar o fato. Propor a substituição da máquina por outra capaz de suportar condições de uso mais severas coloca o ônus da prevenção sobre a máquina. Decidir que a máquina deve ser usada apenas em condições normais significa colocar o ônus no usuário. Da mesma forma, o ônus pode recair sobre a formação de pessoal, organização do trabalho ou simultaneamente sobre a máquina, o usuário, a função de treinamento e a função de organização.

Para qualquer nível de análise, um acidente muitas vezes parece ser a consequência da combinação de várias disfunções ou desajustes. Dependendo se a ação é tomada em uma disfunção ou outra, ou em várias simultaneamente, o padrão de ação preventiva adotado variará.

Voltar

Leia 7041 vezes Última modificação em sábado, 20 de agosto de 2011 01:21

Publicado em 58. Aplicações de segurança

Mais nesta categoria: Segurança para ferramentas elétricas manuais e portáteis »

de volta ao topo

" ISENÇÃO DE RESPONSABILIDADE: A OIT não se responsabiliza pelo conteúdo apresentado neste portal da Web em qualquer idioma que não seja o inglês, que é o idioma usado para a produção inicial e revisão por pares do conteúdo original. Algumas estatísticas não foram atualizadas desde a produção da 4ª edição da Enciclopédia (1998)."

Conteúdo

Referências de aplicações de segurança

Arteau, J, A Lan e JF Corveil. 1994. Uso de linhas de vida horizontais em montagem de aço estrutural. Anais do Simpósio Internacional de Proteção Contra Quedas, San Diego, Califórnia (27 a 28 de outubro de 1994). Toronto: Sociedade Internacional de Proteção Contra Quedas.

Backström, T. 1996. Risco de acidentes e proteção de segurança na produção automatizada. Tese de doutorado. Arbete och Hälsa 1996:7. Solna: Instituto Nacional para a Vida Profissional.

Backström, T e L Harms-Ringdahl. 1984. Um estudo estatístico de sistemas de controle e acidentes de trabalho. J Ocupar Ac. 6:201–210.

Backström, T e M Döös. 1994. Defeitos técnicos por trás de acidentes na produção automatizada. Em Advances in Agile Manufacturing, editado por PT Kidd e W Karwowski. Amsterdã: IOS Press.

—. 1995. Comparação de acidentes de trabalho em indústrias de tecnologia avançada de manufatura. Int J Hum Factors Fabricante. 5(3). 267–282.

—. Na imprensa. A génese técnica das avarias das máquinas que conduzem aos acidentes de trabalho. Int J Ind Ergonomia.

—. Aceito para publicação. Frequências absolutas e relativas de acidentes de automação em diferentes tipos de equipamentos e para diferentes grupos ocupacionais. J Saf Res.

Bainbridge, L. 1983. Ironias da automação. Automatica 19:775–779.

Bell, R e D Reinert. 1992. Conceitos de risco e integridade do sistema para sistemas de controle relacionados à segurança. Saf Sci 15:283–308.

Bouchard, P. 1991. Échafaudages. Guia série 4. Montreal: CSST.

Secretaria de Assuntos Nacionais. 1975. Normas de Segurança e Saúde Ocupacional. Estruturas de proteção contra capotamento para equipamentos de manuseio de materiais e tratores, seções 1926, 1928. Washington, DC: Bureau of National Affairs.

Corbett, JM. 1988. Ergonomia no desenvolvimento da AMT centrada no ser humano. Ergonomia Aplicada 19:35–39.

Culver, C e C Connolly. 1994. Prevenir quedas fatais na construção. Saf Health setembro de 1994:72–75.

Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlim: Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlim: Beuth Verlag.

—. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Segurança da máquina—Equipamento de proteção sensível à pressão]. DIN prEN 1760. Berlim: Beuth Verlag.

—. 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Veículos comerciais — detecção de obstáculos durante a marcha à ré — requisitos e testes]. Norma DIN 75031. Fevereiro de 1995.

Döös, M e T Backström. 1993. Descrição de acidentes no manuseio automatizado de materiais. Em Ergonomics of Materials Handling and Information Processing at Work, editado por WS Marras, W Karwowski, JL Smith e L Pacholski. Varsóvia: Taylor e Francis.

—. 1994. Distúrbios de produção como risco de acidentes. Em Advances in Agile Manufacturing, editado por PT Kidd e W Karwowski. Amsterdã: IOS Press.

Comunidade Econômica Européia (CEE). 1974, 1977, 1979, 1982, 1987. Diretrizes do Conselho sobre estruturas de proteção contra capotamento de tratores agrícolas e florestais com rodas. Bruxelas: CEE.

—. 1991. Diretiva do Conselho sobre a Aproximação das Leis dos Estados Membros relativas a Máquinas. (91/368/EEC) Luxemburgo: EEC.

Etherton, JR e ML Myers. 1990. Pesquisa de segurança de máquinas no NIOSH e direções futuras. Int J Ind Erg 6:163–174.

Freund, E, F Dierks e J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Testes de segurança ocupacional de robôs móveis e sistemas de robôs múltiplos]. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Avaliando a Confiabilidade do Sistema de Controle. Nova York: Instrument Society of America.

Goodstein, LP, HB Anderson e SE Olsen (eds.). 1988. Tarefas, Erros e Modelos Mentais. Londres: Taylor e Francis.

Grife, CI. 1988. Causas e prevenção de queda. Simpósio Internacional de Proteção Contra Quedas. Orlando: Sociedade Internacional de Proteção Contra Quedas.

Executivo de Saúde e Segurança. 1989. Estatísticas de saúde e segurança 1986–87. Empregar Gaz 97(2).

Heinrich, HW, D Peterson e N Roos. 1980. Prevenção de Acidentes de Trabalho. 5ª ed. Nova York: McGraw-Hill.

Hollnagel, E, e D Woods. 1983. Engenharia de sistemas cognitivos: Novo vinho em novas garrafas. Int J Man Machine Stud 18:583–600.

Hölscher, H e J Rader. 1984. Mikrocomputer in der Sicherheitstechnik. Rheinland: Verlag TgV-Reinland.

Hörte, S-Å e P Lindberg. 1989. Difusão e Implementação de Tecnologias Avançadas de Manufatura na Suécia. Documento de trabalho nº 198:16. Instituto de Inovação e Tecnologia.

Comissão Eletrotécnica Internacional (IEC). 1992. 122 Projeto de Norma: Software para Computadores na Aplicação de Sistemas Relacionados à Segurança Industrial. IEC 65 (Sec.). Genebra: CEI.

—. 1993. 123 Projeto de Norma: Segurança Funcional de Sistemas Elétricos/Eletrônicos/Eletrônicos Programáveis; Aspectos Genéricos. Parte 1, Requisitos gerais Genebra: IEC.

Organização Internacional do Trabalho (OIT). 1965. Segurança e Saúde no Trabalho Agrícola. Genebra: OIT.

—. 1969. Segurança e Saúde no Trabalho Florestal. Genebra: OIT.

—. 1976. Construção Segura e Operação de Tratores. Um Código de Prática da OIT. Genebra: OIT.

Organização Internacional de Normalização (ISO). 1981. Tratores de Rodas Agrícolas e Florestais. Estruturas de proteção. Método de teste estático e condições de aceitação. ISO 5700. Genebra: ISO.

—. 1990. Padrões de Gestão de Qualidade e Garantia de Qualidade: Diretrizes para a Aplicação da ISO 9001 ao Desenvolvimento, Fornecimento e Manutenção de Software. ISO 9000-3. Genebra: ISO.

—. 1991. Sistemas de Automação Industrial—Segurança de Sistemas Integrados de Manufatura—Requisitos Básicos (CD 11161). TC 184/WG 4. Genebra: ISO.

—. 1994. Veículos Comerciais - Dispositivo de Detecção de Obstáculos durante a Reversão - Requisitos e Testes. Relatório Técnico TR 12155. Genebra: ISO.

Johnson, B. 1989. Projeto e Análise de Sistemas Digitais Tolerantes a Falhas. Nova York: Addison Wesley.

Kidd, P. 1994. Manufatura automatizada baseada em habilidades. Em Organization and Management of Advanced Manufacturing Systems, editado por W Karwowski e G Salvendy. Nova York: Wiley.

Knowlton, R. 1986. Uma Introdução aos Estudos de Perigo e Operabilidade: A Abordagem da Palavra Guia. Vancouver, BC: Chemetics.

Kuivanen, R. 1990. O impacto na segurança de distúrbios em sistemas flexíveis de manufatura. Em Ergonomics of Hybrid Automated Systems II, editado por W Karwowski e M Rahimi. Amsterdã: Elsevier.

Laeser, RP, WI McLaughlin e DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau e JF Corbeil. 1994. Proteção contra quedas de outdoors acima do solo. Simpósio Internacional de Proteção contra Quedas, San Diego, Califórnia, 27 a 28 de outubro de 1994. Anais Sociedade Internacional para Proteção contra Quedas.

Langer, HJ e W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Usando sensores para proteger a área atrás de veículos grandes]. FB 605. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

LEVENSON, NG. 1986. Segurança de software: Por que, o quê e como. ACM Inquéritos Informáticos (2):S. 129–163.

McManus, TN. Nd Espaços Confinados. Manuscrito.

Microsonic GmbH. 1996. Comunicação empresarial. Dortmund, Alemanha: Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens e U Ahrens. 1980. Gefahrenschutz durch passivo Infrarot-Sensoren (II) [Proteção contra perigos por sensores infravermelhos]. FB 243. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Mohan, D e R Patel. 1992. Projeto de equipamentos agrícolas mais seguros: Aplicação de ergonomia e epidemiologia. Int J Ind Erg 10:301–310.

Associação Nacional de Proteção Contra Incêndios (NFPA). 1993. NFPA 306: Controle de Riscos de Gás em Embarcações. Quincy, MA: NFPA.

Instituto Nacional de Segurança e Saúde Ocupacional (NIOSH). 1994. Mortes de Trabalhadores em Espaços Confinados. Cincinnati, OH, EUA: DHHS/PHS/CDCP/NIOSH Pub. nº 94-103. NIOSH.

Neumann, PG. 1987. Os N melhores (ou piores) casos de risco relacionados a computadores. IEEE T Syst Man Cyb. Nova York: S.11–13.

—. 1994. Riscos ilustrativos para o público no uso de sistemas de computador e tecnologias relacionadas. Software Engin Notas SIGSOFT 19, No. 1:16–29.

Administração de Segurança e Saúde Ocupacional (OSHA). 1988. Fatalidades ocupacionais selecionadas relacionadas à soldagem e corte conforme encontradas em relatórios de investigações de fatalidades/catástrofes da OSHA. Washington, DC: OSHA.

Organização para a Cooperação e Desenvolvimento Econômico (OCDE). 1987. Códigos padrão para o teste oficial de tratores agrícolas. Paris: OCDE.

Organisme professionel de prevenção du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, França: OPPBTP.

Rasmussen, J. 1983. Habilidades, regras e conhecimento: Agenda, sinais e símbolos e outras distinções em modelos de desempenho humano. IEEE Transações em Sistemas, Homem e Cibernética. SMC13(3): 257–266.

Reason, J. 1990. Erro Humano. Nova York: Cambridge University Press.

Reese, CD e GR Mills. 1986. Epidemiologia do trauma de fatalidades em espaços confinados e sua aplicação à intervenção/prevenção agora. Em A natureza mutável do trabalho e da força de trabalho. Cincinnati, OH: NIOSH.

Reinert, D e G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. Em BIA-Handbuch. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

Sociedade de Engenheiros Automotivos (SAE). 1974. Proteção do Operador para Equipamentos Industriais. Padrão SAE j1042. Warrendale, EUA: SAE.

—. 1975. Critérios de desempenho para proteção contra capotamento. Prática Recomendada SAE. Padrão SAE j1040a. Warrendale, EUA: SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Estado de desenvolvimento para dispositivos de alerta de área traseira]. Technische Überwachung, Nr. 4, abril, S. 161.

Schreiber, P e KKuhn. 1995. Informationstechnologie in der Fertigungstechnik [Tecnologia da informação na técnica de produção, série do Instituto Federal de Segurança e Saúde Ocupacional]. FB 717. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Controle de supervisão. Em Handbook of Human Factors, editado por G. Salvendy. Nova York: Wiley.

Springfeldt, B. 1993. Effects of Occupational Safety Rules and Measures with Special Reward to Lesions. Vantagens de soluções que funcionam automaticamente. Estocolmo: The Royal Institute of Technology, Departamento de Ciência do Trabalho.

Sugimoto, N. 1987. Temas e problemas da tecnologia de segurança de robôs. Em Segurança e Saúde Ocupacional em Automação e Robótica, editado por K Noto. Londres: Taylor & Francis. 175.

Sulowski, AC (ed.). 1991. Fundamentos de proteção contra quedas. Toronto, Canadá: International Society for Fall Protection.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

Zimolong, B, e L Duda. 1992. Estratégias de redução de erros humanos em sistemas avançados de manufatura. Em Human-robot Interaction, editado por M Rahimi e W Karwowski. Londres: Taylor & Francis.