Segunda-feira, 04 abril 2011 18: 53

Requisitos técnicos para sistemas relacionados à segurança baseados em dispositivos elétricos, eletrônicos e eletrônicos programáveis

Classifique este artigo
(0 votos)

Máquinas, plantas de processo e outros equipamentos podem, se apresentarem mau funcionamento, apresentar riscos de eventos perigosos, como incêndios, explosões, overdoses de radiação e partes móveis. Uma das maneiras pelas quais essas plantas, equipamentos e máquinas podem funcionar mal é por falhas de dispositivos eletromecânicos, eletrônicos e eletrônicos programáveis ​​(E/E/PE) usados ​​no projeto de seus sistemas de controle ou segurança. Essas falhas podem surgir tanto de falhas físicas no dispositivo (por exemplo, de desgaste ocorrendo aleatoriamente no tempo (falhas aleatórias de hardware)); ou de falhas sistemáticas (por exemplo, erros cometidos na especificação e projeto de um sistema que causam falha devido a (1) alguma combinação particular de entradas, (2) alguma condição ambiental (3) entradas incorretas ou incompletas de sensores, ( 4) entrada de dados incompleta ou errônea pelos operadores e (5) possíveis falhas sistemáticas devido a um design de interface ruim).

Falhas de sistemas relacionadas à segurança

Este artigo aborda a segurança funcional de sistemas de controle relacionados à segurança e considera os requisitos técnicos de hardware e software necessários para atingir a integridade de segurança necessária. A abordagem geral está de acordo com o padrão proposto da Comissão Eletrotécnica Internacional IEC 1508, Partes 2 e 3 (IEC 1993). O objetivo geral do projeto de norma internacional IEC 1508, Segurança Funcional: Sistemas Relacionados à Segurança, é garantir que a planta e o equipamento possam ser automatizados com segurança. Um objetivo fundamental no desenvolvimento do padrão internacional proposto é prevenir ou minimizar a frequência de:

    • falhas de sistemas de controle desencadeando outros eventos que, por sua vez, podem levar a perigo (por exemplo, sistema de controle falha, controle é perdido, processo fica fora de controle resultando em incêndio, liberação de materiais tóxicos, etc.)
    • falhas nos sistemas de alarme e monitoramento para que os operadores não recebam informações de forma que possam ser rapidamente identificadas e compreendidas para realizar as ações de emergência necessárias
    • falhas não detectadas em sistemas de proteção, tornando-os indisponíveis quando necessário para uma ação de segurança (por exemplo, um cartão de entrada com falha em um sistema de desligamento de emergência).

         

        O artigo “Sistemas elétricos, eletrônicos e eletrônicos programáveis ​​relacionados à segurança” estabelece a abordagem geral de gerenciamento de segurança incorporada na Parte 1 da IEC 1508 para garantir a segurança dos sistemas de controle e proteção que são importantes para a segurança. Este artigo descreve o projeto de engenharia conceitual geral necessário para reduzir o risco de um acidente a um nível aceitável, incluindo a função de qualquer sistema de controle ou proteção baseado na tecnologia E/E/PE.

        Na figura 1, o risco do equipamento, planta de processo ou máquina (geralmente referido como equipamento sob controle (EUC) sem dispositivos de proteção) é marcado em uma extremidade da Escala de Risco EUC, e o nível alvo de risco necessário para atender ao nível de segurança exigido está na outra extremidade. No meio, é mostrada a combinação de sistemas relacionados à segurança e instalações externas de redução de risco necessárias para compensar a redução de risco necessária. Estes podem ser de vários tipos – mecânicos (por exemplo, válvulas de alívio de pressão), hidráulicos, pneumáticos, físicos, bem como sistemas E/E/PE. A Figura 2 enfatiza o papel de cada camada de segurança na proteção do EUC à medida que o acidente avança.

        Figura 1. Redução de riscos: Conceitos gerais

        SAF060F1

         

        Figura 2. Modelo geral: camadas de proteção

        SAF060F2

        Desde que uma análise de perigo e risco tenha sido realizada no EUC conforme exigido na Parte 1 da IEC 1508, o projeto conceitual geral para segurança foi estabelecido e, portanto, as funções necessárias e a meta de Nível de Integridade de Segurança (SIL) para qualquer E/E/ O sistema de controle ou proteção PE foi definido. A meta de nível de integridade de segurança é definida com relação a uma medida de falha de meta (consulte a tabela 1).


        Tabela 1. Níveis de integridade de segurança para sistemas de proteção: medidas de falha alvo

        Nível de integridade de segurança                        Modo de operação sob demanda (Probabilidade de falha em executar sua função de projeto sob demanda)

        4 10-5 ≤ × 10-4

        3 10-4 ≤ × 10-3

        2 10-3 ≤ × 10-2

        1 10-2 ≤ × 10-1 


        Sistemas de Proteção

        Este documento descreve os requisitos técnicos que o projetista de um sistema relacionado à segurança E/E/PE deve considerar para satisfazer a meta de Nível de Integridade de Segurança exigida. O foco está em um sistema de proteção típico que utiliza eletrônica programável para permitir uma discussão mais aprofundada dos principais problemas com pouca perda em geral. Um sistema de proteção típico é mostrado na figura 3, que descreve um sistema de segurança de canal único com um desligamento secundário ativado por meio de um dispositivo de diagnóstico. Em operação normal, a condição insegura do EUC (por exemplo, excesso de velocidade em uma máquina, alta temperatura em uma planta química) será detectada pelo sensor e transmitida à eletrônica programável, que comandará os atuadores (através dos relés de saída) para colocar o sistema em um estado seguro (por exemplo, desenergizando o motor elétrico da máquina, abrindo uma válvula para aliviar a pressão).

        Figura 3. Sistema de proteção típico

        SAF060F3

        Mas e se houver falhas nos componentes do sistema de proteção? Esta é a função do desligamento secundário, que é ativado pelo recurso de diagnóstico (autoverificação) deste projeto. No entanto, o sistema não é totalmente à prova de falhas, pois o projeto tem apenas uma certa probabilidade de estar disponível quando solicitado a realizar sua função de segurança (ele tem uma certa probabilidade de falha sob demanda ou um certo nível de integridade de segurança). Por exemplo, o projeto acima pode ser capaz de detectar e tolerar certos tipos de falha da placa de saída, mas não seria capaz de resistir a uma falha da placa de entrada. Portanto, sua integridade de segurança será muito menor do que a de um projeto com uma placa de entrada de maior confiabilidade, diagnósticos aprimorados ou alguma combinação destes.

        Existem outras causas possíveis de falhas do cartão, incluindo falhas físicas “tradicionais” no hardware, falhas sistemáticas, incluindo erros na especificação de requisitos, falhas de implementação no software e proteção inadequada contra condições ambientais (por exemplo, umidade). O diagnóstico neste projeto de canal único pode não cobrir todos esses tipos de falhas e, portanto, isso limitará o nível de integridade de segurança alcançado na prática. (A cobertura é uma medida da porcentagem de falhas que um projeto pode detectar e lidar com segurança.)

        Requerimentos técnicos

        As partes 2 e 3 do rascunho da IEC 1508 fornecem uma estrutura para identificar as várias causas potenciais de falha em hardware e software e para selecionar recursos de projeto que superem essas causas potenciais de falha apropriadas ao nível de integridade de segurança exigido do sistema relacionado à segurança. Por exemplo, a abordagem técnica geral para o sistema de proteção na figura 3 é mostrada na figura 4. A figura indica as duas estratégias básicas para superar faltas e falhas: (1) prevenção de falhas, onde são tomados cuidados para evitar a criação de falhas; e (2) tolerância ao erro, onde o design é criado especificamente para tolerar falhas especificadas. O sistema de canal único mencionado acima é um exemplo de projeto tolerante a falhas (limitado), em que os diagnósticos são usados ​​para detectar certas falhas e colocar o sistema em um estado seguro antes que ocorra uma falha perigosa.

        Figura 4. Especificação de projeto: solução de projeto

        SAF060F4

        prevenção de falhas

        A prevenção de falhas tenta evitar que falhas sejam introduzidas em um sistema. A abordagem principal é usar um método sistemático de gerenciamento do projeto para que a segurança seja tratada como uma qualidade definível e gerenciável de um sistema, durante o projeto e, posteriormente, durante a operação e manutenção. A abordagem, que é semelhante à garantia de qualidade, é baseada no conceito de feedback e envolve: (1) planejamento (definição de objetivos de segurança, identificando as formas e meios para atingir os objetivos); (2) medição realização em relação ao plano durante a implementação e (3) aplicar retornos para corrigir quaisquer desvios. As revisões de projeto são um bom exemplo de uma técnica de prevenção de falhas. Na IEC 1508, essa abordagem de “qualidade” para evitar falhas é facilitada pelos requisitos para usar um ciclo de vida de segurança e empregar procedimentos de gerenciamento de segurança para hardware e software. Para o último, eles geralmente se manifestam como procedimentos de garantia de qualidade de software, como os descritos na ISO 9000-3 (1990).

        Além disso, as Partes 2 e 3 da IEC 1508 (relativas a hardware e software, respectivamente) classificam certas técnicas ou medidas que são consideradas úteis para evitar falhas durante as várias fases do ciclo de vida de segurança. A Tabela 2 apresenta um exemplo da Parte 3 para a fase de projeto e desenvolvimento do software. O projetista usaria a tabela para auxiliar na seleção de técnicas de prevenção de falhas, dependendo do Nível de Integridade de Segurança exigido. Com cada técnica ou medida nas tabelas, há uma recomendação para cada Nível de Integridade de Segurança, de 1 a 4. A gama de recomendações abrange Altamente Recomendado (HR), Recomendado (R), Neutro - nem a favor nem contra (—) e Não recomendado (NR).

        Tabela 2. Projeto e desenvolvimento de software

        Técnica/medida

        LIS 1

        LIS 2

        LIS 3

        LIS 4

        1. Métodos formais, incluindo, por exemplo, CCS, CSP, HOL, LOTOS

        -

        R

        R

        HR

        2. Métodos semiformais

        HR

        HR

        HR

        HR

        3. Estruturado. Metodologia incluindo, por exemplo, JSD, MASCOT, SADT, SSADM e YOURDON

        HR

        HR

        HR

        HR

        4. Abordagem modular

        HR

        HR

        HR

        HR

        5. Padrões de design e codificação

        R

        HR

        HR

        HR

        RH = altamente recomendado; R = recomendado; NR = não recomendado;— = neutro: a técnica/medida não é nem a favor nem contra o SIL.
        Observação: uma técnica/medida numerada deve ser selecionada de acordo com o nível de integridade de segurança.

        Tolerância ao erro

        A IEC 1508 requer níveis crescentes de tolerância a falhas à medida que a meta de integridade de segurança aumenta. A norma reconhece, no entanto, que a tolerância a falhas é mais importante quando os sistemas (e os componentes que compõem esses sistemas) são complexos (designados como Tipo B na IEC 1508). Para sistemas menos complexos e “bem comprovados”, o grau de tolerância a falhas pode ser relaxado.

        Tolerância contra falhas aleatórias de hardware

        A Tabela 3 mostra os requisitos para tolerância a falhas contra falhas aleatórias de hardware em componentes de hardware complexos (por exemplo, microprocessadores) quando usado em um sistema de proteção como mostrado na figura 3. O projetista pode precisar considerar uma combinação apropriada de diagnóstico, tolerância a falhas e verificações manuais de prova para superar esta classe de falha, dependendo do Nível de Integridade de Segurança exigido.


        Tabela 3. Nível de Integridade de Segurança - Requisitos de falha para componentes Tipo B1

        1 Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova.

        2 Para componentes sem cobertura de diagnóstico médio on-line, o sistema deve ser capaz de executar a função de segurança na presença de uma única falha. Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova.

        3 Para componentes com alta cobertura de diagnóstico on-line, o sistema deve ser capaz de realizar a função de segurança na presença de uma única falha. Para componentes sem alta cobertura de diagnóstico on-line, o sistema deve ser capaz de executar a função de segurança na presença de duas falhas. Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova.

        4 Os componentes devem ser capazes de realizar a função de segurança na presença de duas falhas. As falhas devem ser detectadas com alta cobertura de diagnóstico on-line. Falhas não detectadas relacionadas à segurança devem ser detectadas pela verificação de prova. A análise quantitativa de hardware deve ser baseada em suposições de pior caso.

        1Componentes cujos modos de falha não são bem definidos ou testáveis, ou para os quais existem dados de falha ruins da experiência de campo (por exemplo, componentes eletrônicos programáveis).


        A IEC 1508 ajuda o projetista fornecendo tabelas de especificações de projeto (consulte a tabela 4) com parâmetros de projeto indexados em relação ao Nível de Integridade de Segurança para diversas arquiteturas de sistemas de proteção comumente usados.

        Tabela 4. Requisitos para Nível de Integridade de Segurança 2 - Arquiteturas de sistemas eletrônicos programáveis ​​para sistemas de proteção

        configuração do sistema PE

        Cobertura de diagnóstico por canal

        Intervalo de teste de prova off-line (TI)

        Tempo médio para viagem espúria

        PE único, E/S única, ext. WD

        Alta

        de 6 meses

        1.6 anos

        PE duplo, E/S única

        Alta

        de 6 meses

        10 anos

        PE duplo, E/S dupla, 2oo2

        Alta

        de 3 meses

        1,281 anos

        PE duplo, E/S dupla, 1oo2

        nenhum

        de 2 meses

        1.4 anos

        PE duplo, E/S dupla, 1oo2

        Baixo

        de 5 meses

        1.0 anos

        PE duplo, E/S dupla, 1oo2

        Médio

        de 18 meses

        0.8 anos

        PE duplo, E/S dupla, 1oo2

        Alta

        de 36 meses

        0.8 anos

        PE duplo, E/S dupla, 1oo2D

        nenhum

        de 2 meses

        1.9 anos

        PE duplo, E/S dupla, 1oo2D

        Baixo

        de 4 meses

        4.7 anos

        PE duplo, E/S dupla, 1oo2D

        Médio

        de 18 meses

        18 anos

        PE duplo, E/S dupla, 1oo2D

        Alta

        48 + meses

        168 anos

        Triplo PE, Triplo E/S, IPC, 2oo3

        nenhum

        Meses 1

        20 anos

        Triplo PE, Triplo E/S, IPC, 2oo3

        Baixo

        de 3 meses

        25 anos

        Triplo PE, Triplo E/S, IPC, 2oo3

        Médio

        de 12 meses

        30 anos

        Triplo PE, Triplo E/S, IPC, 2oo3

        Alta

        48 + meses

        168 anos

         

        A primeira coluna da tabela representa arquiteturas com vários graus de tolerância a falhas. Em geral, as arquiteturas localizadas perto da parte inferior da tabela têm um grau mais alto de tolerância a falhas do que aquelas próximas ao topo. Um sistema 1oo2 (um em dois) é capaz de resistir a qualquer falha, assim como 2oo3.

        A segunda coluna descreve a cobertura percentual de qualquer diagnóstico interno. Quanto mais alto o nível dos diagnósticos, mais falhas serão detectadas. Em um sistema de proteção, isso é importante porque, desde que o componente defeituoso (por exemplo, um cartão de entrada) seja reparado dentro de um prazo razoável (geralmente 8 horas), há pouca perda na segurança funcional. (Nota: este não seria o caso de um sistema de controle contínuo, porque qualquer falha provavelmente causará uma condição insegura imediata e o potencial para um incidente.)

        A terceira coluna mostra o intervalo entre os testes de prova. Estes são testes especiais que devem ser realizados para exercitar completamente o sistema de proteção para garantir que não haja falhas latentes. Normalmente, eles são executados pelo fornecedor do equipamento durante os períodos de desligamento da planta.

        A quarta coluna mostra a taxa de disparo espúrio. Um disparo espúrio é aquele que faz com que a planta ou equipamento desligue quando não há desvio de processo. O preço da segurança costuma ser uma taxa de disparo espúrio mais alta. Um sistema de proteção redundante simples - 1oo2 - tem, com todos os outros fatores de projeto inalterados, um nível de integridade de segurança mais alto, mas também uma taxa de disparo espúrio mais alta do que um sistema de canal único (1oo1).

        Se uma das arquiteturas da tabela não estiver sendo utilizada ou se o projetista quiser fazer uma análise mais fundamental, a IEC 1508 permite essa alternativa. Técnicas de engenharia de confiabilidade, como modelagem de Markov, podem então ser usadas para calcular o elemento de hardware do Nível de Integridade de Segurança (Johnson 1989; Goble 1992).

        Tolerância contra falhas sistemáticas e de causa comum

        Essa classe de falha é muito importante em sistemas de segurança e é o fator limitante na obtenção da integridade de segurança. Em um sistema redundante, um componente ou subsistema, ou mesmo todo o sistema, é duplicado para obter alta confiabilidade a partir de peças de baixa confiabilidade. A melhoria da confiabilidade ocorre porque, estatisticamente, a chance de dois sistemas falharem simultaneamente por falhas aleatórias será o produto das confiabilidades dos sistemas individuais e, portanto, muito menor. Por outro lado, falhas sistemáticas e de causa comum fazem com que sistemas redundantes falhem coincidentemente quando, por exemplo, um erro de especificação no software faz com que as partes duplicadas falhem ao mesmo tempo. Outro exemplo seria a falha de uma fonte de alimentação comum para um sistema redundante.

        A IEC 1508 fornece tabelas de técnicas de engenharia classificadas em relação ao Nível de Integridade de Segurança considerado eficaz no fornecimento de proteção contra falhas sistemáticas e de causa comum.

        Exemplos de técnicas que fornecem defesas contra falhas sistemáticas são diversidade e redundância analítica. A base da diversidade é que, se um projetista implementa um segundo canal em um sistema redundante usando uma tecnologia ou linguagem de software diferente, as falhas nos canais redundantes podem ser consideradas independentes (isto é, uma baixa probabilidade de falha acidental). No entanto, particularmente na área de sistemas baseados em software, há algumas sugestões de que essa técnica pode não ser eficaz, pois a maioria dos erros está na especificação. A redundância analítica tenta explorar informações redundantes na planta ou na máquina para identificar falhas. Para as outras causas de falha sistemática – por exemplo, tensões externas – a norma fornece tabelas com recomendações sobre boas práticas de engenharia (por exemplo, separação de cabos de sinal e de energia) indexadas em relação ao Nível de Integridade de Segurança.

        Conclusões

        Os sistemas baseados em computador oferecem muitas vantagens - não apenas econômicas, mas também o potencial para melhorar a segurança. No entanto, a atenção aos detalhes necessária para realizar esse potencial é significativamente maior do que no caso de componentes de sistemas convencionais. Este artigo delineou os principais requisitos técnicos que um designer precisa levar em consideração para explorar com sucesso essa tecnologia.

         

        Voltar

        Leia 8568 vezes Última modificação em sábado, 30 de julho de 2022 01:48

        " ISENÇÃO DE RESPONSABILIDADE: A OIT não se responsabiliza pelo conteúdo apresentado neste portal da Web em qualquer idioma que não seja o inglês, que é o idioma usado para a produção inicial e revisão por pares do conteúdo original. Algumas estatísticas não foram atualizadas desde a produção da 4ª edição da Enciclopédia (1998)."

        Conteúdo

        Referências de aplicações de segurança

        Arteau, J, A Lan e JF Corveil. 1994. Uso de linhas de vida horizontais em montagem de aço estrutural. Anais do Simpósio Internacional de Proteção Contra Quedas, San Diego, Califórnia (27 a 28 de outubro de 1994). Toronto: Sociedade Internacional de Proteção Contra Quedas.

        Backström, T. 1996. Risco de acidentes e proteção de segurança na produção automatizada. Tese de doutorado. Arbete och Hälsa 1996:7. Solna: Instituto Nacional para a Vida Profissional.

        Backström, T e L Harms-Ringdahl. 1984. Um estudo estatístico de sistemas de controle e acidentes de trabalho. J Ocupar Ac. 6:201–210.

        Backström, T e M Döös. 1994. Defeitos técnicos por trás de acidentes na produção automatizada. Em Advances in Agile Manufacturing, editado por PT Kidd e W Karwowski. Amsterdã: IOS Press.

        —. 1995. Comparação de acidentes de trabalho em indústrias de tecnologia avançada de manufatura. Int J Hum Factors Fabricante. 5(3). 267–282.

        —. Na imprensa. A génese técnica das avarias das máquinas que conduzem aos acidentes de trabalho. Int J Ind Ergonomia.

        —. Aceito para publicação. Frequências absolutas e relativas de acidentes de automação em diferentes tipos de equipamentos e para diferentes grupos ocupacionais. J Saf Res.

        Bainbridge, L. 1983. Ironias da automação. Automatica 19:775–779.

        Bell, R e D Reinert. 1992. Conceitos de risco e integridade do sistema para sistemas de controle relacionados à segurança. Saf Sci 15:283–308.

        Bouchard, P. 1991. Échafaudages. Guia série 4. Montreal: CSST.

        Secretaria de Assuntos Nacionais. 1975. Normas de Segurança e Saúde Ocupacional. Estruturas de proteção contra capotamento para equipamentos de manuseio de materiais e tratores, seções 1926, 1928. Washington, DC: Bureau of National Affairs.

        Corbett, JM. 1988. Ergonomia no desenvolvimento da AMT centrada no ser humano. Ergonomia Aplicada 19:35–39.

        Culver, C e C Connolly. 1994. Prevenir quedas fatais na construção. Saf Health setembro de 1994:72–75.

        Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlim: Beuth Verlag.

        —. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlim: Beuth Verlag.

        —. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Segurança da máquina—Equipamento de proteção sensível à pressão]. DIN prEN 1760. Berlim: Beuth Verlag.

        —. 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Veículos comerciais — detecção de obstáculos durante a marcha à ré — requisitos e testes]. Norma DIN 75031. Fevereiro de 1995.

        Döös, M e T Backström. 1993. Descrição de acidentes no manuseio automatizado de materiais. Em Ergonomics of Materials Handling and Information Processing at Work, editado por WS Marras, W Karwowski, JL Smith e L Pacholski. Varsóvia: Taylor e Francis.

        —. 1994. Distúrbios de produção como risco de acidentes. Em Advances in Agile Manufacturing, editado por PT Kidd e W Karwowski. Amsterdã: IOS Press.

        Comunidade Econômica Européia (CEE). 1974, 1977, 1979, 1982, 1987. Diretrizes do Conselho sobre estruturas de proteção contra capotamento de tratores agrícolas e florestais com rodas. Bruxelas: CEE.

        —. 1991. Diretiva do Conselho sobre a Aproximação das Leis dos Estados Membros relativas a Máquinas. (91/368/EEC) Luxemburgo: EEC.

        Etherton, JR e ML Myers. 1990. Pesquisa de segurança de máquinas no NIOSH e direções futuras. Int J Ind Erg 6:163–174.

        Freund, E, F Dierks e J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Testes de segurança ocupacional de robôs móveis e sistemas de robôs múltiplos]. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Goble, W. 1992. Avaliando a Confiabilidade do Sistema de Controle. Nova York: Instrument Society of America.

        Goodstein, LP, HB Anderson e SE Olsen (eds.). 1988. Tarefas, Erros e Modelos Mentais. Londres: Taylor e Francis.

        Grife, CI. 1988. Causas e prevenção de queda. Simpósio Internacional de Proteção Contra Quedas. Orlando: Sociedade Internacional de Proteção Contra Quedas.

        Executivo de Saúde e Segurança. 1989. Estatísticas de saúde e segurança 1986–87. Empregar Gaz 97(2).

        Heinrich, HW, D Peterson e N Roos. 1980. Prevenção de Acidentes de Trabalho. 5ª ed. Nova York: McGraw-Hill.

        Hollnagel, E, e D Woods. 1983. Engenharia de sistemas cognitivos: Novo vinho em novas garrafas. Int J Man Machine Stud 18:583–600.

        Hölscher, H e J Rader. 1984. Mikrocomputer in der Sicherheitstechnik. Rheinland: Verlag TgV-Reinland.

        Hörte, S-Å e P Lindberg. 1989. Difusão e Implementação de Tecnologias Avançadas de Manufatura na Suécia. Documento de trabalho nº 198:16. Instituto de Inovação e Tecnologia.

        Comissão Eletrotécnica Internacional (IEC). 1992. 122 Projeto de Norma: Software para Computadores na Aplicação de Sistemas Relacionados à Segurança Industrial. IEC 65 (Sec.). Genebra: CEI.

        —. 1993. 123 Projeto de Norma: Segurança Funcional de Sistemas Elétricos/Eletrônicos/Eletrônicos Programáveis; Aspectos Genéricos. Parte 1, Requisitos gerais Genebra: IEC.

        Organização Internacional do Trabalho (OIT). 1965. Segurança e Saúde no Trabalho Agrícola. Genebra: OIT.

        —. 1969. Segurança e Saúde no Trabalho Florestal. Genebra: OIT.

        —. 1976. Construção Segura e Operação de Tratores. Um Código de Prática da OIT. Genebra: OIT.

        Organização Internacional de Normalização (ISO). 1981. Tratores de Rodas Agrícolas e Florestais. Estruturas de proteção. Método de teste estático e condições de aceitação. ISO 5700. Genebra: ISO.

        —. 1990. Padrões de Gestão de Qualidade e Garantia de Qualidade: Diretrizes para a Aplicação da ISO 9001 ao Desenvolvimento, Fornecimento e Manutenção de Software. ISO 9000-3. Genebra: ISO.

        —. 1991. Sistemas de Automação Industrial—Segurança de Sistemas Integrados de Manufatura—Requisitos Básicos (CD 11161). TC 184/WG 4. Genebra: ISO.

        —. 1994. Veículos Comerciais - Dispositivo de Detecção de Obstáculos durante a Reversão - Requisitos e Testes. Relatório Técnico TR 12155. Genebra: ISO.

        Johnson, B. 1989. Projeto e Análise de Sistemas Digitais Tolerantes a Falhas. Nova York: Addison Wesley.

        Kidd, P. 1994. Manufatura automatizada baseada em habilidades. Em Organization and Management of Advanced Manufacturing Systems, editado por W Karwowski e G Salvendy. Nova York: Wiley.

        Knowlton, R. 1986. Uma Introdução aos Estudos de Perigo e Operabilidade: A Abordagem da Palavra Guia. Vancouver, BC: Chemetics.

        Kuivanen, R. 1990. O impacto na segurança de distúrbios em sistemas flexíveis de manufatura. Em Ergonomics of Hybrid Automated Systems II, editado por W Karwowski e M Rahimi. Amsterdã: Elsevier.

        Laeser, RP, WI McLaughlin e DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

        Lan, A, J Arteau e JF Corbeil. 1994. Proteção contra quedas de outdoors acima do solo. Simpósio Internacional de Proteção contra Quedas, San Diego, Califórnia, 27 a 28 de outubro de 1994. Anais Sociedade Internacional para Proteção contra Quedas.

        Langer, HJ e W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Usando sensores para proteger a área atrás de veículos grandes]. FB 605. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        LEVENSON, NG. 1986. Segurança de software: Por que, o quê e como. ACM Inquéritos Informáticos (2):S. 129–163.

        McManus, TN. Nd Espaços Confinados. Manuscrito.

        Microsonic GmbH. 1996. Comunicação empresarial. Dortmund, Alemanha: Microsonic.

        Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens e U Ahrens. 1980. Gefahrenschutz durch passivo Infrarot-Sensoren (II) [Proteção contra perigos por sensores infravermelhos]. FB 243. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Mohan, D e R Patel. 1992. Projeto de equipamentos agrícolas mais seguros: Aplicação de ergonomia e epidemiologia. Int J Ind Erg 10:301–310.

        Associação Nacional de Proteção Contra Incêndios (NFPA). 1993. NFPA 306: Controle de Riscos de Gás em Embarcações. Quincy, MA: NFPA.

        Instituto Nacional de Segurança e Saúde Ocupacional (NIOSH). 1994. Mortes de Trabalhadores em Espaços Confinados. Cincinnati, OH, EUA: DHHS/PHS/CDCP/NIOSH Pub. nº 94-103. NIOSH.

        Neumann, PG. 1987. Os N melhores (ou piores) casos de risco relacionados a computadores. IEEE T Syst Man Cyb. Nova York: S.11–13.

        —. 1994. Riscos ilustrativos para o público no uso de sistemas de computador e tecnologias relacionadas. Software Engin Notas SIGSOFT 19, No. 1:16–29.

        Administração de Segurança e Saúde Ocupacional (OSHA). 1988. Fatalidades ocupacionais selecionadas relacionadas à soldagem e corte conforme encontradas em relatórios de investigações de fatalidades/catástrofes da OSHA. Washington, DC: OSHA.

        Organização para a Cooperação e Desenvolvimento Econômico (OCDE). 1987. Códigos padrão para o teste oficial de tratores agrícolas. Paris: OCDE.

        Organisme professionel de prevenção du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, França: OPPBTP.

        Rasmussen, J. 1983. Habilidades, regras e conhecimento: Agenda, sinais e símbolos e outras distinções em modelos de desempenho humano. IEEE Transações em Sistemas, Homem e Cibernética. SMC13(3): 257–266.

        Reason, J. 1990. Erro Humano. Nova York: Cambridge University Press.

        Reese, CD e GR Mills. 1986. Epidemiologia do trauma de fatalidades em espaços confinados e sua aplicação à intervenção/prevenção agora. Em A natureza mutável do trabalho e da força de trabalho. Cincinnati, OH: NIOSH.

        Reinert, D e G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
        Sicherheitseinrichtungen. Em BIA-Handbuch. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

        Sociedade de Engenheiros Automotivos (SAE). 1974. Proteção do Operador para Equipamentos Industriais. Padrão SAE j1042. Warrendale, EUA: SAE.

        —. 1975. Critérios de desempenho para proteção contra capotamento. Prática Recomendada SAE. Padrão SAE j1040a. Warrendale, EUA: SAE.

        Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Estado de desenvolvimento para dispositivos de alerta de área traseira]. Technische Überwachung, Nr. 4, abril, S. 161.

        Schreiber, P e KKuhn. 1995. Informationstechnologie in der Fertigungstechnik [Tecnologia da informação na técnica de produção, série do Instituto Federal de Segurança e Saúde Ocupacional]. FB 717. Dortmund: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Sheridan, T. 1987. Controle de supervisão. Em Handbook of Human Factors, editado por G. Salvendy. Nova York: Wiley.

        Springfeldt, B. 1993. Effects of Occupational Safety Rules and Measures with Special Reward to Lesions. Vantagens de soluções que funcionam automaticamente. Estocolmo: The Royal Institute of Technology, Departamento de Ciência do Trabalho.

        Sugimoto, N. 1987. Temas e problemas da tecnologia de segurança de robôs. Em Segurança e Saúde Ocupacional em Automação e Robótica, editado por K Noto. Londres: Taylor & Francis. 175.

        Sulowski, AC (ed.). 1991. Fundamentos de proteção contra quedas. Toronto, Canadá: International Society for Fall Protection.

        Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

        Zimolong, B, e L Duda. 1992. Estratégias de redução de erros humanos em sistemas avançados de manufatura. Em Human-robot Interaction, editado por M Rahimi e W Karwowski. Londres: Taylor & Francis.