Lundi, Avril 04 2011 16: 56

Analyse des Systèmes

Évaluer cet élément
(0 votes)

A système iSun peut être défini comme un ensemble de composants interdépendants combinés de manière à remplir une fonction donnée dans des conditions spécifiées. Une machine est un exemple concret et particulièrement net de système en ce sens, mais il existe d'autres systèmes, impliquant des hommes et des femmes dans une équipe ou dans un atelier ou une usine, qui sont beaucoup plus complexes et moins faciles à définir. Sécurité suggère l'absence de danger ou de risque d'accident ou de blessure. Afin d'éviter toute ambiguïté, le concept général de événement indésirable seront employés. La sécurité absolue, au sens de l'impossibilité qu'un incident plus ou moins malheureux se produise, n'est pas atteignable ; de manière réaliste, il faut viser une probabilité très faible plutôt qu'une probabilité nulle d'occurrences indésirables.

Un système donné peut être considéré comme sûr ou non sûr uniquement en ce qui concerne les performances qui en sont réellement attendues. Dans cette optique, le niveau de sécurité d'un système peut être défini comme suit : "Pour tout ensemble donné d'événements indésirables, le niveau de sécurité (ou d'insécurité) d'un système est déterminé par la probabilité que ces événements se produisent sur une période donnée. période de temps". Parmi les exemples d'événements indésirables qui seraient intéressants dans le cadre du présent rapport, citons : les décès multiples, la mort d'une ou plusieurs personnes, les blessures graves, les blessures légères, les dommages à l'environnement, les effets néfastes sur les êtres vivants, la destruction d'usines ou de bâtiments, et les ou des dommages matériels ou matériels limités.

Objectif de l'analyse du système de sécurité

L'objet d'une analyse de sécurité du système est de déterminer les facteurs qui influent sur la probabilité des événements indésirables, d'étudier la manière dont ces événements se produisent et, finalement, de développer des mesures préventives pour réduire leur probabilité.

La phase analytique du problème peut être divisée en deux aspects principaux :

  1. l'identification et la description de la types de dysfonctionnement ou d'inadaptation
  2. identification de la séquences des dysfonctionnements qui se combinent les uns avec les autres (ou avec des occurrences plus « normales ») pour aboutir in fine à l'occurrence non désirée elle-même, et l'évaluation de leur probabilité.

 

Une fois les différents dysfonctionnements et leurs conséquences étudiés, les analystes de la sécurité du système peuvent porter leur attention sur les mesures préventives. La recherche dans ce domaine s'appuiera directement sur les découvertes antérieures. Cette investigation des moyens préventifs suit les deux principaux aspects de l'analyse de sûreté du système.

Méthodes d'analyse

L'analyse de sécurité du système peut être réalisée avant ou après l'événement (a priori ou a posteriori) ; dans les deux cas, la méthode utilisée peut être directe ou inverse. Une analyse a priori a lieu avant l'événement indésirable. L'analyste prend un certain nombre de ces occurrences et s'attache à découvrir les différentes étapes qui peuvent y conduire. En revanche, une analyse a posteriori est effectuée après que l'événement indésirable s'est produit. Son objectif est de fournir des orientations pour l'avenir et, en particulier, de tirer toutes les conclusions qui peuvent être utiles pour d'éventuelles analyses a priori ultérieures.

S'il peut sembler qu'une analyse a priori serait bien plus précieuse qu'une analyse a posteriori, puisqu'elle précède l'incident, les deux sont en fait complémentaires. La méthode utilisée dépend de la complexité du système impliqué et de ce que l'on sait déjà sur le sujet. Dans le cas de systèmes tangibles tels que des machines ou des installations industrielles, l'expérience antérieure peut généralement servir à préparer une analyse a priori assez détaillée. Cependant, même dans ce cas, l'analyse n'est pas forcément infaillible et ne manquera pas de bénéficier d'une analyse ultérieure a posteriori basée essentiellement sur l'étude des incidents survenus en cours d'exploitation. Quant aux systèmes plus complexes impliquant des personnes, tels que les équipes de travail, les ateliers ou les usines, l'analyse a posteriori est encore plus importante. Dans de tels cas, l'expérience passée n'est pas toujours suffisante pour permettre une analyse a priori détaillée et fiable.

Une analyse a posteriori peut évoluer vers une analyse a priori lorsque l'analyste va au-delà du seul processus qui a conduit à l'incident en question et commence à examiner les différents événements qui pourraient raisonnablement conduire à un tel incident ou à des incidents similaires.

Une autre manière dont une analyse a posteriori peut devenir une analyse a priori consiste à mettre l'accent non pas sur l'événement (dont la prévention est l'objectif principal de l'analyse actuelle) mais sur des incidents moins graves. Ces incidents, tels que les incidents techniques, les dégâts matériels et les accidents potentiels ou mineurs, relativement peu importants en eux-mêmes, peuvent être identifiés comme des signes annonciateurs d'événements plus graves. Dans de tels cas, bien que réalisée après la survenance d'incidents mineurs, l'analyse sera une analyse a priori sur des événements plus graves qui n'ont pas encore eu lieu.

Il existe deux méthodes possibles pour étudier le mécanisme ou la logique derrière la séquence de deux événements ou plus :

  1. Le ou inductif, la méthode part des causes pour prédire leurs effets.
  2. Le inverserou déductif, la méthode examine les effets et remonte jusqu'aux causes.

 

La figure 1 est un schéma d'un circuit de commande nécessitant deux boutons (B1 et B2) à appuyer simultanément pour activer la bobine de relais (R) et démarrer la machine. Cet exemple peut être utilisé pour illustrer, en termes pratiques, la et inverser méthodes utilisées dans l'analyse de la sécurité des systèmes.

Figure 1. Circuit de commande à deux boutons

SAF020F1

Méthode directe

Dans le méthode directe, l'analyste commence par (1) répertorier les défauts, dysfonctionnements et inadaptations, (2) étudier leurs effets et (3) déterminer si ces effets constituent ou non une menace pour la sécurité. Dans le cas de la figure 1, les défauts suivants peuvent se produire :

  • une rupture de fil entre 2 et 2´
  • contact involontaire en C1 (ou C2) suite à un blocage mécanique
  • fermeture accidentelle de B1 (ou B2)
  • court-circuit entre 1 et 1´.

L'analyste peut alors déduire les conséquences de ces défauts, et les constatations peuvent être présentées sous forme de tableau (tableau 1).

Tableau 1. Dysfonctionnements possibles d'un circuit de commande à deux boutons et leurs conséquences

Défauts

Conséquences

Rupture du fil entre 2 et 2'

Impossible de démarrer la machine*

Fermeture accidentelle de B1 (ou B2 )

Pas de conséquence immédiate

Contacter chez C1 (ou C2 ) en conséquence de
blocage mécanique

Pas de conséquence immédiate mais possibilité de
démarrage de la machine par simple pression sur 
bouton B2 (ou B1 ) **

Court-circuit entre 1 et 1'

Activation de la bobine de relais R—démarrage accidentel de
la machine***

* Occurrence ayant une influence directe sur la fiabilité du système
** Occurrence responsable d'une baisse importante du niveau de sécurité du système
*** Événement dangereux à éviter

Voir texte et figure 1.

Dans le tableau 1, les conséquences dangereuses ou susceptibles de réduire gravement le niveau de sécurité du système peuvent être désignées par des signes conventionnels tels que ***.

Remarque: Dans le tableau 1, une rupture de câble entre 2 et 2´ (illustrée à la figure 1) entraîne un événement qui n'est pas considéré comme dangereux. Il n'a pas d'effet direct sur la sécurité du système ; cependant, la probabilité qu'un tel incident se produise a une incidence directe sur la fiabilité du système.

La méthode directe est particulièrement adaptée à la simulation. La figure 2 montre un simulateur analogique conçu pour étudier la sécurité des circuits de commande de presse. La simulation du circuit de commande permet de vérifier que, tant qu'il n'y a pas de défaut, le circuit est effectivement capable d'assurer la fonction requise sans enfreindre les critères de sécurité. De plus, le simulateur peut permettre à l'analyste d'introduire des défauts dans les différents composants du circuit, d'observer leurs conséquences et ainsi de distinguer les circuits bien conçus (avec peu ou pas de défauts dangereux) de ceux qui sont mal conçus. Ce type d'analyse de sécurité peut également être effectué à l'aide d'un ordinateur.

Figure 2. Simulateur pour l'étude des circuits de commande de presse

SAF020F2

Méthode inverse

Dans le méthode inverse, l'analyste remonte de l'occurrence, incident ou accident indésirable, vers les différents événements antérieurs pour déterminer lesquels sont susceptibles d'entraîner les occurrences à éviter. Dans la figure 1, l'événement ultime à éviter serait le démarrage intempestif de la machine.

  • Le démarrage de la machine peut être provoqué par une activation incontrôlée de la bobine de relais (R).
  • L'activation de la bobine peut, quant à elle, résulter d'un court-circuit entre 1 et 1´ ou d'une fermeture intempestive et simultanée des interrupteurs C1 et C2.
  • Fermeture intempestive de C1 peut être la conséquence d'un blocage mécanique de C1 ou de l'appui accidentel sur B1. Un raisonnement similaire s'applique à C2.

 

Les résultats de cette analyse peuvent être représentés dans un diagramme qui ressemble à un arbre (pour cette raison, la méthode inverse est connue sous le nom d'"analyse par arbre de défaillance"), comme illustré à la figure 3.

Figure 3. Chaîne d'événements possible

SAF020F4

Le diagramme suit des opérations logiques, dont les plus importantes sont les opérations "OU" et "ET". L'opération "OU" signifie que [X1] se produira si [A] ou [B] (ou les deux) se produisent. L'opération "ET" signifie qu'avant [X2] peut se produire, [C] et [D] doivent avoir eu lieu (voir figure 4).

Figure 4. Représentation de deux opérations logiques

SAF020F5

La méthode inverse est très souvent utilisée dans l'analyse a priori de systèmes tangibles, notamment dans les industries chimiques, aéronautiques, spatiales et nucléaires. Il s'est également avéré extrêmement utile comme méthode d'enquête sur les accidents industriels.

Bien que très différentes, les méthodes directe et inverse sont complémentaires. La méthode directe repose sur un ensemble de défauts ou de dysfonctionnements, et la valeur d'une telle analyse dépend donc largement de la pertinence des différents dysfonctionnements pris en compte au départ. Vue sous cet angle, la méthode inverse semble plus systématique. Connaissant les types d'accidents ou d'incidents susceptibles de se produire, l'analyste peut en théorie appliquer cette méthode pour remonter vers tous les dysfonctionnements ou combinaisons de dysfonctionnements susceptibles de les provoquer. Cependant, tous les comportements dangereux d'un système n'étant pas nécessairement connus à l'avance, ils peuvent être découverts par la méthode directe, appliquée par simulation par exemple. Une fois ceux-ci découverts, les dangers peuvent être analysés plus en détail par la méthode inverse.

Problèmes d'analyse de la sécurité du système

Les méthodes analytiques décrites ci-dessus ne sont pas seulement des processus mécaniques qui doivent seulement être appliqués automatiquement afin de parvenir à des conclusions utiles pour améliorer la sécurité du système. Au contraire, les analystes rencontrent un certain nombre de problèmes au cours de leur travail, et l'utilité de leurs analyses dépendra largement de la manière dont ils s'y prendront pour les résoudre. Certains des problèmes typiques qui peuvent survenir sont décrits ci-dessous.

Comprendre le système à étudier et ses conditions de fonctionnement

Les problèmes fondamentaux de toute analyse de sûreté d'un système sont la définition du système à étudier, ses limites et les conditions dans lesquelles il est censé fonctionner tout au long de son existence.

Si l'analyste prend en compte un sous-système trop limité, le résultat peut être l'adoption d'une série de mesures préventives aléatoires (situation dans laquelle tout est conçu pour prévenir certains types d'événements particuliers, tandis que des risques tout aussi graves sont ignorés ou sous-estimés ). Si, en revanche, le système considéré est trop complet ou général par rapport à un problème donné, il peut en résulter un trop grand flou de concept et de responsabilités, et l'analyse peut ne pas conduire à l'adoption de mesures préventives appropriées.

Un exemple typique qui illustre le problème de la définition du système à étudier est la sécurité des machines ou installations industrielles. Dans ce genre de situation, l'analyste peut être tenté de ne considérer que l'équipement lui-même, négligeant le fait qu'il doit être opéré ou contrôlé par une ou plusieurs personnes. Une telle simplification est parfois valable. Cependant, ce qui doit être analysé n'est pas seulement le sous-système de la machine, mais l'ensemble du système travailleur plus machine aux différentes étapes de la vie de l'équipement (y compris, par exemple, le transport et la manutention, l'assemblage, les essais et les réglages, le fonctionnement normal , entretien, démontage et, dans certains cas, destruction). A chaque étape la machine fait partie d'un système spécifique dont la finalité et les modes de fonctionnement et de dysfonctionnement sont totalement différents de ceux du système aux autres étapes. Il doit donc être conçu et fabriqué de manière à permettre l'exécution de la fonction requise dans de bonnes conditions de sécurité à chacun des étages.

Plus généralement, en matière d'études de sécurité dans les entreprises, il existe plusieurs niveaux de système : la machine, le poste de travail, l'équipe, le service, l'usine et l'entreprise dans son ensemble. Selon le niveau du système considéré, les types de dysfonctionnement possibles et les mesures préventives pertinentes sont assez différents. Une bonne politique de prévention doit tenir compte des dysfonctionnements qui peuvent survenir à différents niveaux.

Les conditions de fonctionnement du système peuvent être définies en fonction de la manière dont le système est censé fonctionner, et des conditions environnementales auxquelles il peut être soumis. Cette définition doit être suffisamment réaliste pour tenir compte des conditions réelles dans lesquelles le système est susceptible de fonctionner. Un système qui n'est très sûr que dans une plage de fonctionnement très restreinte peut ne pas l'être si l'utilisateur est incapable de rester dans la plage de fonctionnement théorique prescrite. Un système sûr doit donc être suffisamment robuste pour supporter des variations raisonnables de ses conditions de fonctionnement, et tolérer certaines erreurs simples mais prévisibles de la part des opérateurs.

Modélisation du système

Il est souvent nécessaire de développer un modèle pour analyser la sécurité d'un système. Cela peut soulever certains problèmes qui méritent d'être examinés.

Pour un système concis et relativement simple comme une machine conventionnelle, le modèle est presque directement déduit des descriptions des composants matériels et de leurs fonctions (moteurs, transmission, etc.) et de la manière dont ces composants sont interdépendants. Le nombre de modes de défaillance possibles des composants est également limité.

Les machines modernes comme les ordinateurs et les robots, qui contiennent des composants complexes comme des microprocesseurs et des circuits électroniques à très grande échelle d'intégration, posent un problème particulier. Ce problème n'est pas totalement résolu ni en termes de modélisation ni de prédiction des différents modes de défaillance possibles, du fait de la multiplicité des transistors élémentaires dans chaque puce et de l'utilisation de logiciels divers.

Lorsque le système à analyser est une organisation humaine, un problème intéressant rencontré en modélisation réside dans le choix et la définition de certains composants immatériels ou non entièrement matériels. Un poste de travail particulier peut être représenté, par exemple, par un système comprenant des travailleurs, des logiciels, des tâches, des machines, des matériaux et un environnement. (La composante « tâche » peut s'avérer difficile à définir, car ce n'est pas la tâche prescrite qui compte mais la tâche telle qu'elle est effectivement réalisée).

Lors de la modélisation des organisations humaines, l'analyste peut choisir de décomposer le système considéré en un sous-système d'information et un ou plusieurs sous-systèmes d'action. L'analyse des défaillances aux différentes étapes du sous-système informationnel (acquisition, transmission, traitement et utilisation de l'information) peut être très instructive.

Problèmes associés aux multiples niveaux d'analyse

Les problèmes associés aux multiples niveaux d'analyse se développent souvent car partant d'un événement indésirable, l'analyste peut remonter vers des incidents de plus en plus éloignés dans le temps. Selon le niveau d'analyse considéré, la nature des dysfonctionnements qui surviennent varie ; il en va de même pour les mesures préventives. Il est important de pouvoir décider à quel niveau l'analyse doit être arrêtée et à quel niveau une action préventive doit être entreprise. Un exemple est le cas simple d'un accident résultant d'une défaillance mécanique causée par l'utilisation répétée d'une machine dans des conditions anormales. Cela peut être dû à un manque de formation des opérateurs ou à une mauvaise organisation du travail. Selon le niveau d'analyse considéré, l'action préventive requise peut être le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères, l'utilisation de la machine uniquement dans des conditions normales, une modification de la formation du personnel ou une réorganisation des travail.

L'efficacité et la portée d'une mesure préventive dépendent du niveau auquel elle est introduite. Une action préventive à proximité immédiate de l'événement indésirable est plus susceptible d'avoir un impact direct et rapide, mais ses effets peuvent être limités ; d'autre part, en travaillant raisonnablement à rebours dans l'analyse des événements, il devrait être possible de retrouver des types de dysfonctionnements communs à de nombreux accidents. Toute action préventive entreprise à ce niveau aura une portée beaucoup plus large, mais son efficacité risque d'être moins directe.

Sachant qu'il existe plusieurs niveaux d'analyse, il peut également exister de nombreux schémas d'action préventive, chacun portant sa part du travail de prévention. C'est là un point extrêmement important, et il suffit de revenir à l'exemple de l'accident actuellement considéré pour s'en rendre compte. Proposer le remplacement de la machine par une autre machine capable de supporter des conditions d'utilisation plus sévères fait peser sur la machine la charge de la prévention. Décider que la machine ne doit être utilisée que dans des conditions normales revient à en imposer la responsabilité à l'utilisateur. De même, la charge peut être mise sur la formation du personnel, l'organisation du travail ou à la fois sur la machine, l'utilisateur, la fonction formation et la fonction organisation.

A un niveau d'analyse donné, un accident apparaît souvent comme la conséquence de la conjonction de plusieurs dysfonctionnements ou inadaptations. Selon que l'on agit sur un dysfonctionnement ou sur un autre, ou sur plusieurs simultanément, le schéma d'action préventive adopté sera différent.

 

Retour

Lire 6845 fois Dernière modification le Samedi, 20 Août 2011 01:21

" AVIS DE NON-RESPONSABILITÉ : L'OIT n'assume aucune responsabilité pour le contenu présenté sur ce portail Web qui est présenté dans une langue autre que l'anglais, qui est la langue utilisée pour la production initiale et l'examen par les pairs du contenu original. Certaines statistiques n'ont pas été mises à jour depuis la production de la 4ème édition de l'Encyclopédie (1998)."

Table des matières

Références des applications de sécurité

Arteau, J, A Lan et JF Corveil. 1994. Utilisation des lignes de vie horizontales dans l'érection de structures en acier. Actes du symposium international sur la protection contre les chutes, San Diego, Californie (27-28 octobre 1994). Toronto : Société internationale de protection contre les chutes.

Backström, T. 1996. Risque d'accident et protection de la sécurité dans la production automatisée. Thèse de doctorat. Arbete och Hälsa 1996:7. Solna : Institut national de la vie active.

Backström, T et L Harms-Ringdahl. 1984. Une étude statistique des systèmes de contrôle et des accidents du travail. J Occup Acc. 6:201–210.

Backström, T et M Döös. 1994. Défauts techniques à l'origine des accidents dans la production automatisée. Dans Advances in Agile Manufacturing, édité par PT Kidd et W Karwowski. Amsterdam : Presse IOS.

—. 1995. Une comparaison des accidents du travail dans les industries à technologie manufacturière de pointe. Int J Hum Factors Manufac. 5(3). 267–282.

—. Dans la presse. La genèse technique des pannes de machines conduisant à des accidents du travail. Int J Ind Ergonomie.

—. Accepté pour publication. Fréquences absolues et relatives des accidents d'automatisation sur différents types d'équipements et pour différents groupes professionnels. J Saf Rés.

Bainbridge, L. 1983. Ironies de l'automatisation. Automatica 19: 775–779.

Bell, R et D Reinert. 1992. Concepts de risque et d'intégrité du système pour les systèmes de contrôle liés à la sécurité. Saf Sei 15:283–308.

Bouchard, P. 1991. Échafaudages. Guide série 4. Montréal : CSST.

Bureau des affaires nationales. 1975. Normes de sécurité et de santé au travail. Structures de protection en cas de retournement pour matériel de manutention et tracteurs, sections 1926, 1928. Washington, DC : Bureau des affaires nationales.

Corbett, JM. 1988. L'ergonomie dans le développement de l'AMT centré sur l'humain. Ergonomie appliquée 19: 35–39.

Culver, C et C Connolly. 1994. Empêcher les chutes mortelles dans la construction. Saf Health septembre 1994 : 72–75.

Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlin : Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlin : Beth Verlag.

—. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Sécurité des machines — Équipement de protection sensible à la pression]. DIN prEN 1760. Berlin : Beuth Verlag.

—. 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Véhicules utilitaires — détection d'obstacles en marche arrière — exigences et essais]. Norme DIN 75031. Février 1995.

Döös, M et T Backström. 1993. Description des accidents dans la manutention automatisée des matériaux. Dans Ergonomics of Materials Handling and Information Processing at Work, édité par WS Marras, W Karwowski, JL Smith et L Pacholski. Varsovie : Taylor et Francis.

—. 1994. Les perturbations de la production comme risque d'accident. Dans Advances in Agile Manufacturing, édité par PT Kidd et W Karwowski. Amsterdam : Presse IOS.

Communauté économique européenne (CEE). 1974, 1977, 1979, 1982, 1987. Directives du Conseil sur les structures de protection contre le renversement des tracteurs agricoles et forestiers à roues. Bruxelles : CEE.

—. 1991. Directive du Conseil sur le rapprochement des législations des États membres relatives aux machines. (91/368/CEE) Luxembourg : CEE.

Etherton, JR et ML Myers. 1990. Recherche sur la sécurité des machines au NIOSH et orientations futures. Int J Ind Erg 6: 163–174.

Freund, E, F Dierks et J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Tests de sécurité au travail des robots mobiles et des systèmes de robots multiples]. Dortmund : Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Évaluation de la fiabilité du système de contrôle. New York : Société d'instruments d'Amérique.

Goodstein, LP, HB Anderson et SE Olsen (eds.). 1988. Tâches, erreurs et modèles mentaux. Londres : Taylor et Francis.

Gryfe, CI. 1988. Causes et prévention des chutes. Dans Symposium international sur la protection contre les chutes. Orlando : Société internationale de protection contre les chutes.

Directeur de la santé et de la sécurité. 1989. Statistiques sur la santé et la sécurité 1986–87. Employez Gaz 97(2).

Heinrich, HW, D Peterson et N Roos. 1980. Prévention des accidents industriels. 5e éd. New York : McGraw Hill.

Hollnagel, E, et D Woods. 1983. Ingénierie des systèmes cognitifs : Nouveau vin dans de nouvelles bouteilles. Int J Man Machine Stud 18: 583–600.

Hölscher, H et J Rader. 1984. Microcomputer in der Sicherheitstechnik. Rheinland : Verlag TgV-Reinland.

Hörte, S-Å et P Lindberg. 1989. Diffusion et mise en œuvre des technologies de fabrication avancées en Suède. Document de travail n° 198:16. Institut d'innovation et de technologie.

Commission électrotechnique internationale (CEI). 1992. 122 Projet de norme : Logiciels pour ordinateurs dans l'application de systèmes liés à la sécurité industrielle. CEI 65 (Sec). Genève : CEI.

—. 1993. 123 Projet de norme : Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables ; Aspects génériques. Partie 1, Exigences générales Genève : CEI.

Organisation internationale du travail (OIT). 1965. Sécurité et santé dans le travail agricole. Genève : OIT.

—. 1969. Sécurité et santé dans les travaux forestiers. Genève : OIT.

—. 1976. Construction et utilisation sécuritaires des tracteurs. Un recueil de directives pratiques du BIT. Genève : OIT.

Organisation internationale de normalisation (ISO). 1981. Tracteurs agricoles et forestiers à roues. Ouvrages de protection. Méthode d'essai statique et conditions d'acceptation. ISO 5700. Genève : ISO.

—. 1990. Normes de gestion de la qualité et d'assurance qualité : Lignes directrices pour l'application de la norme ISO 9001 au développement, à la fourniture et à la maintenance de logiciels. ISO 9000-3. Genève : ISO.

—. 1991. Systèmes d'automatisation industrielle—Sécurité des systèmes de fabrication intégrés—Exigences de base (CD 11161). TC 184/WG 4. Genève : ISO.

—. 1994. Véhicules utilitaires—Dispositif de détection d'obstacles en marche arrière—Exigences et essais. Rapport technique TR 12155. Genève : ISO.

Johnson, B. 1989. Conception et analyse de systèmes numériques tolérants aux pannes. New York : Addison Wesley.

Kidd, P. 1994. Fabrication automatisée basée sur les compétences. Dans Organisation and Management of Advanced Manufacturing Systems, édité par W Karwowski et G Salvendy. New York : Wiley.

Knowlton, RE. 1986. Une introduction aux études sur les risques et l'exploitabilité : l'approche du mot guide. Vancouver, C.-B. : Chimie.

Kuivanen, R. 1990. L'impact sur la sécurité des perturbations dans les systèmes de fabrication flexibles. Dans Ergonomics of Hybrid Automated Systems II, édité par W Karwowski et M Rahimi. Amsterdam : Elsevier.

Laeser, RP, WI McLaughlin et DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau et JF Corbeil. 1994. Protection contre les chutes des panneaux d'affichage hors sol. International Fall Protection Symposium, San Diego, Californie, 27-28 octobre 1994. Actes International Society for Fall Protection.

Langer, HJ et W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Utilisation de capteurs pour sécuriser la zone derrière les gros véhicules]. FB 605. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

Levenson, NG. 1986. Sécurité des logiciels : pourquoi, quoi et comment. Enquêtes informatiques ACM (2):S. 129–163.

McManus, TN. Sd Espaces confinés. Manuscrit.

Microsonic GmbH. 1996. Communication d'entreprise. Dortmund, Allemagne : Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens et U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II) [Protection contre les dangers par les capteurs infrarouges]. FB 243. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

Mohan, D et R Patel. 1992. Conception d'équipements agricoles plus sûrs : Application de l'ergonomie et de l'épidémiologie. Int J Ind Erg 10:301–310.

Association nationale de protection contre les incendies (NFPA). 1993. NFPA 306 : Contrôle des risques de gaz sur les navires. Quincy, MA : NFPA.

Institut national pour la sécurité et la santé au travail (NIOSH). 1994. Décès de travailleurs dans des espaces confinés. Cincinnati, OH, États-Unis : DHHS/PHS/CDCP/NIOSH Pub. N° 94-103. NIOSH.

Neumann, PG. 1987. Les N meilleurs (ou pires) cas de risques liés à l'informatique. IEEE T Syst Man Cyb. New York : S.11–13.

—. 1994. Risques illustratifs pour le public dans l'utilisation des systèmes informatiques et des technologies connexes. Notes du moteur logiciel SIGSOFT 19, No. 1:16–29.

Administration de la sécurité et de la santé au travail (OSHA). 1988. Décès professionnels sélectionnés liés au soudage et au coupage, tels que trouvés dans les rapports d'enquêtes sur les décès/catastrophes de l'OSHA. Washington, DC : OSHA.

Organisation de coopération et de développement économiques (OCDE). 1987. Codes standard pour les essais officiels des tracteurs agricoles. Paris : OCDE.

Organisme professionnel de prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, France : OPPBTP.

Rasmussen, J. 1983. Compétences, règles et connaissances : ordre du jour, signes et symboles, et autres distinctions dans les modèles de performance humaine. Transactions IEEE sur les systèmes, l'homme et la cybernétique. SMC13(3) : 257–266.

Reason, J. 1990. Erreur humaine. New York : Cambridge University Press.

Reese, CD et GR Mills. 1986. L'épidémiologie traumatique des décès en espace confiné et son application à l'intervention/prévention maintenant. Dans L'évolution de la nature du travail et de la main-d'œuvre. Cincinnati, Ohio : NIOSH.

Reinert, D et G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. Dans BIA-Handbuch. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Bielefeld : Erich Schmidt Verlag.

Société des ingénieurs automobiles (SAE). 1974. Protection des opérateurs pour les équipements industriels. Norme SAE j1042. Warrendale, États-Unis : SAE.

—. 1975. Critères de performance pour la protection contre le retournement. Pratique recommandée par la SAE. Norme SAE j1040a. Warrendale, États-Unis : SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [État de l'évolution des dispositifs d'avertissement de zone arrière]. Technische Überwachung, Nr. 4, avril, S. 161.

Schreiber, P et K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Technologie de l'information dans la technique de production, série de l'Institut fédéral pour la sécurité et la santé au travail]. FB 717. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Contrôle de surveillance. In Handbook of Human Factors, édité par G. Salvendy. New York : Wiley.

Springfeldt, B. 1993. Effets des règles et mesures de sécurité au travail avec une attention particulière aux blessures. Avantages des solutions fonctionnant automatiquement. Stockholm : Institut royal de technologie, Département des sciences du travail.

Sugimoto, N. 1987. Sujets et problèmes de la technologie de sécurité des robots. Dans Occupational Safety and Health in Automation and Robotics, édité par K Noto. Londres : Taylor & Francis. 175.

Sulowski, AC (éd.). 1991. Principes fondamentaux de la protection contre les chutes. Toronto, Canada : Société internationale de protection contre les chutes.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen : Westdeutscher Verlag.

Zimolong, B et L Duda. 1992. Stratégies de réduction des erreurs humaines dans les systèmes de fabrication avancés. Dans Human-robot Interaction, édité par M Rahimi et W Karwowski. Londres : Taylor & Francis.