• Вы здесь:  
  • Главная
  • Часть VIII. Аварии и управление безопасностью
  • Приложения безопасности
  • Технические требования к системам безопасности на основе электрических, электронных и программируемых электронных устройств
Понедельник, Апрель 04 2011 18: 53

Технические требования к системам безопасности на основе электрических, электронных и программируемых электронных устройств

Оценить этот пункт
(0 голосов)

Машины, технологические установки и другое оборудование, если они неисправны, могут представлять опасность в результате опасных событий, таких как пожары, взрывы, передозировки радиации и движущиеся части. Один из способов выхода из строя таких установок, оборудования и машин — это отказы электромеханических, электронных и программируемых электронных (E/E/PE) устройств, используемых в конструкции их систем управления или безопасности. Эти сбои могут возникать либо из-за физических сбоев в устройстве (например, из-за случайного износа во времени (случайные отказы оборудования)); или из-за систематических ошибок (например, ошибок, допущенных в спецификации и конструкции системы, которые приводят к ее отказу из-за (1) определенной комбинации входных данных, (2) некоторых условий окружающей среды, (3) неправильных или неполных входных данных от датчиков, ( 4) неполный или ошибочный ввод данных операторами и (5) потенциальные систематические ошибки из-за плохого дизайна интерфейса).

Отказы систем безопасности

В этой статье рассматривается функциональная безопасность систем управления, связанных с безопасностью, и рассматриваются технические требования к аппаратному и программному обеспечению, необходимые для достижения требуемой полноты безопасности. Общий подход соответствует предложенному Международной электротехнической комиссией стандарту IEC 1508, части 2 и 3 (IEC 1993). Общая цель проекта международного стандарта IEC 1508, Функциональная безопасность: системы безопасности, заключается в том, чтобы обеспечить безопасность установок и оборудования. Ключевой целью разработки предлагаемого международного стандарта является предотвращение или минимизация частоты:

    • отказы систем управления, вызывающие другие события, которые, в свою очередь, могут привести к возникновению опасности (например, отказ системы управления, потеря управления, выход процесса из-под контроля, что приводит к пожару, выбросу токсичных материалов и т. д.)
    • сбои в системах сигнализации и мониторинга, чтобы операторы не получали информацию в форме, которую можно быстро идентифицировать и понять для выполнения необходимых аварийных действий
    • необнаруженные отказы в системах защиты, делающие их недоступными, когда это необходимо для действия по обеспечению безопасности (например, отказавшая плата ввода в системе аварийного отключения).

         

        В статье «Электрические, электронные и программируемые электронные системы, связанные с безопасностью» изложен общий подход к управлению безопасностью, воплощенный в части 1 IEC 1508 для обеспечения безопасности систем управления и защиты, важных для безопасности. В этой статье описывается общий концептуальный инженерный проект, необходимый для снижения риска аварии до приемлемого уровня, включая роль любых систем управления или защиты, основанных на технологии E/E/PE.

        На рисунке 1 риск от оборудования, технологической установки или машины (обычно называемой оборудование под контролем (EUC) без защитных устройств) отмечен на одном конце Шкалы рисков EUC, а целевой уровень риска, который необходим для обеспечения требуемого уровня безопасности, находится на другом конце. Между ними показано сочетание систем, связанных с безопасностью, и внешних средств снижения риска, необходимых для достижения требуемого снижения риска. Они могут быть различных типов: механические (например, предохранительные клапаны), гидравлические, пневматические, физические, а также системы E/E/PE. На рис. 2 подчеркивается роль каждого уровня безопасности в защите EUC по мере развития аварии.

        Рисунок 1. Снижение риска: общие понятия

        САФ060F1

         

        Рисунок 2. Общая модель: уровни защиты

        САФ060F2

        При условии, что анализ опасностей и рисков был выполнен для EUC в соответствии с требованиями части 1 стандарта IEC 1508, был разработан общий концептуальный проект безопасности и, следовательно, установлены требуемые функции и целевой уровень полноты безопасности (SIL) для любого E/E/ Определена система управления или защиты PE. Целевой уровень полноты безопасности определяется относительно целевого показателя отказа (см. таблицу 1).

        Таблица 1. Уровни полноты безопасности для систем защиты: целевые меры по отказу

        Полнота безопасности Уровень                        Режим работы по требованию (вероятность невыполнения своей проектной функции по требованию)

        4 10-5 ≤ × 10-4

        3 10-4 ≤ × 10-3

        2 10-3 ≤ × 10-2

        1 10-2 ≤ × 10-1 

        Системы защиты

        В этом документе излагаются технические требования, которые должен учитывать разработчик E/E/PE системы, связанной с безопасностью, для достижения требуемого целевого уровня полноты безопасности. Основное внимание уделяется типовой системе защиты, использующей программируемую электронику, чтобы обеспечить более глубокое обсуждение ключевых вопросов с небольшой потерей общности. Типичная система защиты показана на рис. 3, где изображена одноканальная система безопасности с вторичным отключением, активированным с помощью диагностического устройства. При нормальной работе небезопасное состояние EUC (например, превышение скорости в машине, высокая температура на химическом заводе) будет обнаружено датчиком и передано в программируемую электронику, которая даст команду исполнительным механизмам (через выходные реле) включить перевести систему в безопасное состояние (например, отключить питание электродвигателя машины, открыть клапан для сброса давления).

        Рисунок 3. Типовая система защиты

        САФ060F3

        Но что делать, если в компонентах системы защиты есть сбои? Это функция вторичного отключения, которая активируется функцией диагностики (самопроверки) данной конструкции. Однако система не является полностью безотказной, так как проект имеет лишь определенную вероятность быть доступным при запросе на выполнение своей функции безопасности (у него есть определенная вероятность отказа по запросу или определенный уровень полноты безопасности). Например, описанная выше конструкция может обнаруживать и допускать определенные типы отказов выходной платы, но не способна противостоять отказу входной платы. Следовательно, его полнота безопасности будет намного ниже, чем у конструкции с более надежной входной платой, или улучшенной диагностикой, или какой-либо их комбинацией.

        Существуют и другие возможные причины отказов карт, в том числе «традиционные» физические сбои в оборудовании, систематические сбои, в том числе ошибки в спецификации требований, сбои реализации в программном обеспечении и неадекватная защита от условий окружающей среды (например, влажности). Диагностика в этой одноканальной конструкции может не охватывать все эти типы отказов, и, следовательно, это ограничит уровень полноты безопасности, достигаемый на практике. (Покрытие — это мера процента ошибок, которые проект может обнаружить и безопасно обработать.)

        Технические требования

        Части 2 и 3 проекта IEC 1508 обеспечивают основу для определения различных потенциальных причин отказа в аппаратном и программном обеспечении и для выбора конструктивных особенностей, которые устраняют эти потенциальные причины отказа в соответствии с требуемым уровнем полноты безопасности системы, связанной с безопасностью. Например, общий технический подход к системе защиты на рисунке 3 показан на рисунке 4. На рисунке показаны две основные стратегии устранения неисправностей и отказов: (1) предотвращение ошибок, когда принимаются меры для предотвращения возникновения неисправностей; и (2) Отказоустойчивость, где конструкция создается специально для того, чтобы допускать указанные неисправности. Упомянутая выше одноканальная система является примером (ограниченно) отказоустойчивой конструкции, в которой диагностика используется для обнаружения определенных сбоев и перевода системы в безопасное состояние до того, как может произойти опасный сбой.

        Рис. 4. Спецификация проекта: проектное решение

        САФ060F4

        Предотвращение ошибок

        Предотвращение ошибок пытается предотвратить появление ошибок в системе. Основной подход заключается в использовании систематического метода управления проектом, при котором безопасность рассматривается как определяемое и управляемое качество системы во время проектирования, а затем во время эксплуатации и технического обслуживания. Подход, аналогичный обеспечению качества, основан на концепции обратной связи и включает: (1) планирование (определение целей безопасности, определение путей и средств достижения целей); (2) измерение достижения по сравнению с планом во время реализации и (3) применение Обратная связь исправить любые отклонения. Обзоры проектов — хороший пример техники предотвращения ошибок. В МЭК 1508 этому «качественному» подходу к предотвращению отказов способствуют требования по использованию жизненного цикла безопасности и использованию процедур управления безопасностью как для аппаратного, так и для программного обеспечения. Для последних они часто проявляются в виде процедур обеспечения качества программного обеспечения, таких как описанные в ISO 9000-3 (1990).

        Кроме того, части 2 и 3 стандарта IEC 1508 (касающиеся аппаратного и программного обеспечения соответственно) классифицируют определенные методы или меры, которые считаются полезными для предотвращения отказов на различных этапах жизненного цикла безопасности. В таблице 2 приведен пример из части 3 для этапа проектирования и разработки программного обеспечения. Разработчик может использовать эту таблицу для помощи в выборе методов предотвращения отказов в зависимости от требуемого уровня полноты безопасности. Для каждого метода или меры в таблицах есть рекомендации для каждого Уровня Полноты Безопасности, от 1 до 4. Диапазон рекомендаций включает Настоятельно Рекомендовано (HR), Рекомендовано (R), Нейтрально — ни за, ни против (—) и Не рекомендуется (НР).

        Таблица 2. Проектирование и разработка программного обеспечения

        Техника/мера

        Уровень безопасности 1

        Уровень безопасности 2

        Уровень безопасности 3

        Уровень безопасности 4

        1. Формальные методы, включая, например, CCS, CSP, HOL, LOTOS

        -

        R

        R

        HR

        2. Полуформальные методы

        HR

        HR

        HR

        HR

        3. Структурированный. Методология, включая, например, JSD, MASCOT, SADT, SSADM и YOURDON

        HR

        HR

        HR

        HR

        4. Модульный подход

        HR

        HR

        HR

        HR

        5. Стандарты дизайна и кодирования

        R

        HR

        HR

        HR

        HR = настоятельно рекомендуется; R = рекомендуется; NR = не рекомендуется; — = нейтрально: метод/мера не за или против SIL.
        Примечание: пронумерованный метод/меру следует выбирать в соответствии с уровнем полноты безопасности.

        Отказоустойчивость

        IEC 1508 требует повышения уровня отказоустойчивости по мере увеличения целевого показателя полноты безопасности. Однако стандарт признает, что отказоустойчивость более важна, когда системы (и компоненты, составляющие эти системы) являются сложными (обозначаются как тип B в IEC 1508). Для менее сложных, «хорошо зарекомендовавших себя» систем степень отказоустойчивости может быть снижена.

        Устойчивость к случайным аппаратным сбоям

        В таблице 3 приведены требования к отказоустойчивости при случайных аппаратных отказах в сложных аппаратных компонентах (например, микропроцессорах) при использовании в системе защиты, такой как показана на рис. 3. Разработчику может потребоваться рассмотреть подходящее сочетание диагностики, отказоустойчивости и ручные контрольные проверки для преодоления этого класса ошибок, в зависимости от требуемого уровня полноты безопасности.

        Таблица 3. Уровень полноты безопасности — требования к отказам для компонентов типа B1

        1 Связанные с безопасностью необнаруженные неисправности должны быть обнаружены посредством контрольной проверки.

        2 Для компонентов, не имеющих диагностического покрытия в режиме онлайн, система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.

        3 Для компонентов с высоким оперативным охватом диагностикой система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Для компонентов, не имеющих расширенного оперативного диагностического охвата, система должна быть способна выполнять функцию безопасности при наличии двух отказов. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.

        4 Компоненты должны быть способны выполнять функцию безопасности при наличии двух неисправностей. Неисправности должны быть обнаружены с высоким диагностическим охватом в режиме онлайн. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой. Количественный анализ оборудования должен основываться на предположениях о наихудшем случае.

        1Компоненты, режимы отказов которых не определены или не поддаются тестированию, или для которых имеются плохие данные об отказах из практического опыта (например, программируемые электронные компоненты).

        IEC 1508 помогает разработчику, предоставляя таблицы проектных спецификаций (см. таблицу 4) с проектными параметрами, проиндексированными относительно уровня полноты безопасности для ряда широко используемых архитектур систем защиты.

        Таблица 4. Требования к уровню полноты безопасности 2 — Архитектура программируемых электронных систем для систем защиты

        Конфигурация системы РЕ

        Диагностическое покрытие на канал

        Интервал проверки в автономном режиме (TI)

        Среднее время до ложной поездки

        Одиночное защитное заземление, одиночный ввод/вывод, внешн. ВД

        High

        6 месяцев

        1.6 лет

        Двойное защитное заземление, одиночный ввод/вывод

        High

        6 месяцев

        10 лет

        Двойной PE, двойной ввод/вывод, 2oo2

        High

        3 месяцев

        1,281 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        Ничто

        2 месяцев

        1.4 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        Низкий

        5 месяцев

        1.0 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        Medium

        18 месяцев

        0.8 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        High

        36 месяцев

        0.8 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        Ничто

        2 месяцев

        1.9 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        Низкий

        4 месяцев

        4.7 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        Medium

        18 месяцев

        18 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        High

        48 + месяцы

        168 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        Ничто

        1 месяц

        20 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        Низкий

        3 месяцев

        25 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        Medium

        12 месяцев

        30 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        High

        48 + месяцы

        168 лет

         

        В первом столбце таблицы представлены архитектуры с различной степенью отказоустойчивости. Как правило, архитектуры, расположенные в нижней части таблицы, имеют более высокую степень отказоустойчивости, чем архитектуры, расположенные в верхней части. Система 1oo2 (один из двух) способна выдержать любой один сбой, как и 2oo3.

        Во втором столбце описывается процентное покрытие любой внутренней диагностики. Чем выше уровень диагностики, тем больше неисправностей будет отловлено. В системе защиты это важно, потому что при ремонте неисправного компонента (например, карты ввода) в разумные сроки (часто 8 часов) функциональная безопасность практически не снижается. (Примечание: это не относится к системе непрерывного управления, поскольку любая неисправность может привести к немедленному возникновению небезопасного состояния и возможности возникновения инцидента.)

        В третьем столбце указан интервал между проверочными испытаниями. Это специальные тесты, которые необходимо провести для тщательной проверки системы защиты, чтобы убедиться в отсутствии скрытых неисправностей. Обычно они выполняются поставщиком оборудования в периоды остановки предприятия.

        В четвертом столбце показана частота ложных отключений. Ложное отключение — это такое отключение, которое приводит к остановке установки или оборудования при отсутствии отклонений в технологическом процессе. Платой за безопасность часто является более высокая частота ложных срабатываний. Простая система защиты с резервированием — 1oo2 — имеет, при неизменности всех других конструктивных факторов, более высокий уровень полноты безопасности, но также более высокую частоту ложных срабатываний, чем одноканальная (1oo1) система.

        Если одна из архитектур в таблице не используется или если разработчик хочет провести более фундаментальный анализ, то МЭК 1508 допускает эту альтернативу. Затем можно использовать методы проектирования надежности, такие как марковское моделирование, для расчета аппаратного элемента уровня полноты безопасности (Johnson 1989; Goble 1992).

        Устойчивость к систематическим отказам и отказам по общей причине

        Этот класс отказов очень важен для систем безопасности и является ограничивающим фактором для достижения полноты безопасности. В системе с резервированием компонент или подсистема или даже вся система дублируются для достижения высокой надежности за счет менее надежных частей. Повышение надежности происходит потому, что статистически вероятность одновременного отказа двух систем из-за случайных сбоев будет произведением надежности отдельных систем и, следовательно, будет намного ниже. С другой стороны, систематические отказы и отказы по общей причине приводят к случайному отказу резервированных систем, когда, например, ошибка спецификации в программном обеспечении приводит к одновременному отказу дублированных частей. Другим примером может быть отказ общего источника питания в резервной системе.

        IEC 1508 содержит таблицы технических методов, ранжированных по уровню полноты безопасности, которые считаются эффективными для обеспечения защиты от систематических отказов и отказов по общей причине.

        Примерами методов, обеспечивающих защиту от систематических сбоев, являются разнообразие и аналитическая избыточность. Основой разнообразия является то, что если разработчик реализует второй канал в резервированной системе, используя другую технологию или язык программного обеспечения, то отказы в резервных каналах можно рассматривать как независимые (т. е. низкая вероятность случайного отказа). Однако, особенно в области программных систем, есть некоторые предположения, что этот метод может быть неэффективным, поскольку большинство ошибок содержится в спецификации. Аналитическая избыточность пытается использовать избыточную информацию на заводе или машине для выявления неисправностей. Для других причин систематических отказов — например, внешних нагрузок — в стандарте приведены таблицы с рекомендациями по надлежащей инженерной практике (например, разделение сигнальных и силовых кабелей), индексированные по уровню полноты безопасности.

        Выводы

        Компьютерные системы предлагают множество преимуществ — не только экономических, но и потенциальных для повышения безопасности. Однако для реализации этого потенциала требуется гораздо больше внимания к деталям, чем при использовании обычных системных компонентов. В этой статье изложены основные технические требования, которые необходимо учитывать разработчику для успешного использования этой технологии.

         

        Назад

        Читать 8377 раз Последнее изменение: суббота, 30 июля 2022 г., 01:48
        Опубликовано в 58. Приложения безопасности
        Еще в этой категории: « Электрические, электронные и программируемые электронные системы управления, связанные с безопасностью Перекатывать "
        вернуться к началу

        ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: МОТ не несет ответственности за контент, представленный на этом веб-портале, который представлен на каком-либо языке, кроме английского, который является языком, используемым для первоначального производства и рецензирования оригинального контента. Некоторые статистические данные не обновлялись с тех пор. выпуск 4-го издания Энциклопедии (1998 г.)».

        Содержание:

        Справочные материалы по приложениям безопасности

        Арто, Дж., А. Лан и Дж. Ф. Корвейл. 1994. Использование горизонтальных спасательных тросов при возведении металлоконструкций. Материалы Международного симпозиума по защите от падения, Сан-Диего, Калифорния (27–28 октября 1994 г.). Торонто: Международное общество защиты от падения.

        Backström, T. 1996. Риск несчастных случаев и защита безопасности в автоматизированном производстве. Докторская диссертация. Arbete och Hälsa 1996:7. Солна: Национальный институт трудовой жизни.

        Бакстрем, Т. и Л. Хармс-Рингдал. 1984. Статистическое исследование систем управления и несчастных случаев на производстве. J Оккупация Акк. 6: 201–210.

        Backström, T и M Döös. 1994. Технические дефекты, лежащие в основе аварий на автоматизированном производстве. В книге «Достижения гибкого производства» под редакцией П. Т. Кидда и В. Карвовски. Амстердам: IOS Press.

        —. 1995. Сравнение несчастных случаев на производстве в отраслях с передовой производственной технологией. Int J Hum Factors Manufac. 5(3). 267–282.

        —. Под давлением. Технический генезис отказов машин, приводящих к несчастным случаям на производстве. Int J Ind Эргономика.

        —. Принят к публикации. Абсолютная и относительная частота аварий автоматики на разных видах оборудования и для разных профессиональных групп. Дж. Саф Рез.

        Бейнбридж, Л. 1983. Ирония автоматизации. Автоматика 19: 775–779.

        Белл, Р. и Д. Рейнерт. 1992. Концепции риска и целостности системы для систем управления, связанных с безопасностью. Саф Науки 15: 283–308.

        Бушар, П. 1991. Échafaudages. Руководство серии 4. Монреаль: CSST.

        бюро по национальным делам. 1975. Стандарты безопасности и гигиены труда. Опрокидывающиеся защитные конструкции для погрузочно-разгрузочного оборудования и тракторов, разделы 1926, 1928. Вашингтон, округ Колумбия: Бюро по национальным делам.

        Корбетт, Дж. М. 1988. Эргономика в разработке ориентированной на человека АМТ. Прикладная эргономика 19:35–39.

        Калвер, С. и С. Коннолли. 1994. Предотвратить смертельные падения на стройке. Saf Health, сентябрь 1994 г .: 72–75.

        Нормы немецкой промышленности (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Берлин: Beuth Verlag.

        —. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Берлин: Beuth Verlag.

        —. 1995а. Sicherheit von Maschinen — Druckempfindliche Schutzeinrichtungen [Безопасность машин — Защитное оборудование, чувствительное к давлению]. DIN prEN 1760. Берлин: Beuth Verlag.

        —. 1995б. Rangier-Warneinrichtungen — Anforderungen und Prüfung [Коммерческие автомобили — обнаружение препятствий при движении задним ходом — требования и испытания]. DIN-Норма 75031. Февраль 1995 г.

        Дёёш, М. и Т. Бакстрём. 1993. Описание несчастных случаев при автоматизированной обработке материалов. В книге «Эргономика обработки материалов и обработки информации на работе» под редакцией В. С. Марраса, В. Карвовски, Дж. Л. Смита и Л. Пачольски. Варшава: Тейлор и Фрэнсис.

        —. 1994. Производственные нарушения как риск аварии. В книге «Достижения гибкого производства» под редакцией П. Т. Кидда и В. Карвовски. Амстердам: IOS Press.

        Европейское экономическое сообщество (ЕЭС). 1974, 1977, 1979, 1982, 1987. Директивы Совета по конструкциям защиты от опрокидывания колесных сельскохозяйственных и лесохозяйственных тракторов. Брюссель: ЕЭК.

        —. 1991. Директива Совета о сближении законов государств-членов, касающихся машин. (91/368/ЕЭС) Люксембург: ЕЭС.

        Этертон, Дж. Р. и М. Л. Майерс. 1990 г. Исследование безопасности машин в NIOSH и будущие направления. Int J Ind Erg 6: 163–174.

        Фройнд, Э., Ф. Диркс и Дж. Россманн. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Испытания по охране труда мобильных роботов и многороботных систем]. Дортмунд: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Гобл, В. 1992. Оценка надежности системы управления. Нью-Йорк: Американское общество инструментов.

        Гудштейн, Л.П., Х.Б. Андерсон и С.Э. Олсен (ред.). 1988. Задачи, ошибки и ментальные модели. Лондон: Тейлор и Фрэнсис.

        Гриф, CI. 1988. Причины и предотвращение падений. На Международном симпозиуме по защите от падения. Орландо: Международное общество защиты от падения.

        Исполнительный директор по охране труда. 1989. Статистика здоровья и безопасности за 1986–87 годы. Используйте Газ 97 (2).

        Генрих, Х.В., Д. Петерсон и Н. Роос. 1980. Предотвращение промышленных аварий. 5-е изд. Нью-Йорк: Макгроу-Хилл.

        Холлнагель, Э. и Д. Вудс. 1983. Когнитивная системная инженерия: Новое вино в новых бутылках. Int J Man Machine Stud 18: 583–600.

        Хёльшер, Х. и Дж. Рейдер. 1984. Микрокомпьютер в der Sicherheitstechnik. Рейнланд: Verlag TgV-Reinland.

        Хёрте, С-Е и П. Линдберг. 1989. Распространение и внедрение передовых производственных технологий в Швеции. Рабочий документ № 198:16. Институт инноваций и технологий.

        Международная электротехническая комиссия (МЭК). 1992. 122 Проект стандарта: Программное обеспечение для компьютеров в применении систем, связанных с промышленной безопасностью. МЭК 65 (сек). Женева: МЭК.

        —. 1993. 123 Проект стандарта: Функциональная безопасность электрических/электронных/программируемых электронных систем; Общие аспекты. Часть 1, Общие требования Женева: МЭК.

        Международная организация труда (МОТ). 1965. Безопасность и здоровье при сельскохозяйственных работах. Женева: МОТ.

        —. 1969. Безопасность и здоровье при работе в лесном хозяйстве. Женева: МОТ.

        —. 1976. Безопасная конструкция и эксплуатация тракторов. Кодекс практики МОТ. Женева: МОТ.

        Международная организация по стандартизации (ИСО). 1981. Сельскохозяйственные и лесохозяйственные колесные тракторы. Защитные сооружения. Метод статических испытаний и условия приемки. ISO 5700. Женева: ISO.

        —. 1990. Стандарты управления качеством и обеспечения качества: Руководство по применению ISO 9001 к разработке, поставке и обслуживанию программного обеспечения. ИСО 9000-3. Женева: ИСО.

        —. 1991. Системы промышленной автоматизации. Безопасность интегрированных производственных систем. Основные требования (CD 11161). TC 184/WG 4. Женева: ISO.

        —. 1994. Коммерческие автомобили — Устройство обнаружения препятствий при движении задним ходом — Требования и испытания. Технический отчет TR 12155. Женева: ISO.

        Джонсон, Б. 1989. Проектирование и анализ отказоустойчивых цифровых систем. Нью-Йорк: Аддисон Уэсли.

        Кидд, П. 1994. Автоматизированное производство, основанное на навыках. В «Организация и управление передовыми производственными системами» под редакцией В. Карвовски и Г. Салвенди. Нью-Йорк: Уайли.

        Ноултон, RE. 1986. Введение в исследования опасностей и работоспособности: подход с направляющим словом. Ванкувер, Британская Колумбия: Chemetics.

        Куйванен, Р. 1990. Влияние помех на безопасность в гибких производственных системах. В книге «Эргономика гибридных автоматизированных систем II» под редакцией В. Карвовски и М. Рахими. Амстердам: Эльзевир.

        Лазер, Р.П., В.И. Маклафлин и Д.М. Вольф. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1): S. 60–70.

        Лан, А., Дж. Арто и Дж. Ф. Корбей. 1994. Защита от падений с надземных рекламных щитов. Международный симпозиум по защите от падения, Сан-Диего, Калифорния, 27–28 октября 1994 г. Труды Международного общества защиты от падения.

        Лангер, Х. Дж. и В. Курфюрст. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Использование датчиков для защиты территории позади больших транспортных средств]. FB 605. Дортмунд: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Левенсон, НГ. 1986. Безопасность программного обеспечения: почему, что и как. Компьютерные исследования ACM (2): S. 129–163.

        Макманус, Теннесси. Nd Замкнутые пространства. Рукопись.

        Микросоник ГмбХ. 1996. Корпоративное общение. Дортмунд, Германия: Microsonic.

        Местер, У., Т. Хервиг, Г. Донгес, Б. Бродбек, Х. Д. Бредов, М. Беренс и У. Аренс. 1980. Gefahrenschutz durchpassive Infrarot-Sensoren (II) [Защита от опасностей с помощью инфракрасных датчиков]. FB 243. Дортмунд: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Мохан, Д. и Р. Патель. 1992. Проектирование более безопасного сельскохозяйственного оборудования: применение эргономики и эпидемиологии. Int J Ind Erg 10: 301–310.

        Национальная ассоциация противопожарной защиты (NFPA). 1993. NFPA 306: Контроль газовых опасностей на судах. Куинси, Массачусетс: NFPA.

        Национальный институт охраны труда и здоровья (NIOSH). 1994. Смерти рабочих в замкнутых пространствах. Цинциннати, Огайо, США: DHHS/PHS/CDCP/NIOSH Pub. № 94-103. НИОСХ.

        Нейманн, П.Г. 1987. N лучших (или худших) случаев компьютерного риска. IEEE T Syst Man Cyb. Нью-Йорк: С.11–13.

        —. 1994. Иллюстративные риски для населения при использовании компьютерных систем и связанных с ними технологий. Заметки инженера по программному обеспечению SIGSOFT 19, № 1: 16–29.

        Управление по охране труда и здоровья (OSHA). 1988. Избранные смертельные случаи на производстве, связанные со сваркой и резкой, как указано в отчетах OSHA о расследованиях несчастных случаев со смертельным исходом / катастроф. Вашингтон, округ Колумбия: OSHA.

        Организация экономического сотрудничества и развития (ОЭСР). 1987. Стандартные нормы официальных испытаний сельскохозяйственных тракторов. Париж: ОЭСР.

        Профессиональная организация по предотвращению защиты и общественного вреда (OPPBTP). 1984. Индивидуальные средства защиты от высокомерных лотков. Булонь-Биланкур, Франция: OPPBTP.

        Расмуссен, Дж. 1983. Навыки, правила и знания: повестка дня, знаки и символы и другие различия в моделях человеческой деятельности. IEEE Transactions по системам, человеку и кибернетике. SMC13 (3): 257–266.

        Reason, J. 1990. Человеческая ошибка. Нью-Йорк: Издательство Кембриджского университета.

        Риз, CD и GR Mills. 1986. Травматологическая эпидемиология смертельных случаев в замкнутом пространстве и ее применение для вмешательства/профилактики в настоящее время. В «Изменении характера труда и рабочей силы». Цинциннати, Огайо: NIOSH.

        Райнерт, Д. и Г. Ройсс. 1991. Sicherheitstechnische Beurteilung und Prüfung microprozessorgesteuerter
        Sicherheitseinrichtungen. В справочнике BIA. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Билефельд: Erich Schmidt Verlag.

        Общество автомобильных инженеров (SAE). 1974. Защита оператора промышленного оборудования. Стандарт SAE j1042. Уоррендейл, США: SAE.

        —. 1975. Критерии эффективности защиты от опрокидывания. Рекомендуемая практика SAE. Стандарт SAE j1040a. Уоррендейл, США: SAE.

        Шрайбер, П. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Состояние разработок устройств предупреждения в тылу]. Technische Überwachung, Nr. 4, апрель, с. 161.

        Шрайбер, П. и К. Кун. 1995. Informationstechnologie in der Fertigungstechnik [Информационные технологии в производственной технике, серия Федерального института охраны труда]. FB 717. Дортмунд: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Шеридан, Т. 1987. Надзорный контроль. В Справочнике по человеческому фактору под редакцией Г. Салвенди. Нью-Йорк: Уайли.

        Спрингфельдт, Б. 1993. Влияние правил и мер по охране труда с особым вниманием к травмам. Преимущества автоматически работающих решений. Стокгольм: Королевский технологический институт, факультет трудовых наук.

        Сугимото, Н. 1987. Предметы и проблемы технологии безопасности роботов. В книге «Безопасность и гигиена труда в области автоматизации и робототехники» под редакцией К. Ното. Лондон: Тейлор и Фрэнсис. 175.

        Суловски, AC (ред.). 1991. Основы защиты от падения. Торонто, Канада: Международное общество защиты от падения.

        Венер, Т. 1992. Sicherheit als Fehlerfreundlichkeit. Опладен: Westdeutscher Verlag.

        Зимолонг, Б. и Л. Дуда. 1992. Стратегии сокращения человеческих ошибок в передовых производственных системах. В книге «Взаимодействие человека и робота» под редакцией М. Рахими и В. Карвовски. Лондон: Тейлор и Фрэнсис.