Lundi, Avril 04 2011 18: 53

Exigences techniques pour les systèmes liés à la sécurité basés sur des dispositifs électriques, électroniques et électroniques programmables

Évaluer cet élément
(0 votes)

Les machines, les usines de traitement et les autres équipements peuvent, s'ils fonctionnent mal, présenter des risques d'événements dangereux tels que des incendies, des explosions, des surdoses de rayonnement et des pièces mobiles. L'une des causes de dysfonctionnement de ces usines, équipements et machines est la défaillance des dispositifs électromécaniques, électroniques et électroniques programmables (E/E/PE) utilisés dans la conception de leurs systèmes de contrôle ou de sécurité. Ces pannes peuvent provenir soit de défauts physiques de l'appareil (par exemple, d'une usure se produisant de manière aléatoire dans le temps (pannes matérielles aléatoires)) ; ou de défauts systématiques (par exemple, des erreurs commises dans la spécification et la conception d'un système qui provoquent sa défaillance en raison de (1) une combinaison particulière d'entrées, (2) certaines conditions environnementales (3) des entrées incorrectes ou incomplètes des capteurs, ( 4) saisie de données incomplète ou erronée par les opérateurs, et (5) défauts systématiques potentiels dus à une mauvaise conception de l'interface).

Défaillances des systèmes liés à la sécurité

Cet article couvre la sécurité fonctionnelle des systèmes de commande liés à la sécurité et examine les exigences techniques matérielles et logicielles nécessaires pour atteindre l'intégrité de sécurité requise. L'approche globale est conforme à la norme CEI 1508, parties 2 et 3 (CEI 1993) proposée par la Commission électrotechnique internationale. L'objectif général du projet de norme internationale CEI 1508, Sécurité fonctionnelle : systèmes liés à la sécurité, est de garantir que les installations et les équipements peuvent être automatisés en toute sécurité. Un objectif clé dans l'élaboration de la norme internationale proposée est d'empêcher ou de minimiser la fréquence de :

    • les défaillances des systèmes de contrôle déclenchant d'autres événements qui à leur tour pourraient entraîner un danger (par exemple, le système de contrôle échoue, le contrôle est perdu, le processus devient incontrôlable entraînant un incendie, la libération de matières toxiques, etc.)
    • défaillances des systèmes d'alarme et de surveillance, de sorte que les opérateurs ne reçoivent pas d'informations sous une forme rapidement identifiable et compréhensible pour mener à bien les actions d'urgence nécessaires
    • défaillances non détectées dans les systèmes de protection, les rendant indisponibles en cas de besoin pour une action de sécurité (par exemple, une carte d'entrée défaillante dans un système d'arrêt d'urgence).

         

        L'article "Systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité" définit l'approche générale de gestion de la sécurité intégrée dans la partie 1 de la CEI 1508 pour assurer la sécurité des systèmes de commande et de protection qui sont importants pour la sécurité. Cet article décrit la conception technique globale nécessaire pour réduire le risque d'accident à un niveau acceptable, y compris le rôle de tout système de contrôle ou de protection basé sur la technologie E/E/PE.

        Dans la figure 1, le risque lié à l'équipement, à l'usine de traitement ou à la machine (généralement appelé équipement sous contrôle (EUC) sans dispositifs de protection) est marqué à une extrémité de l'échelle de risque EUC, et le niveau de risque cible nécessaire pour atteindre le niveau de sécurité requis est à l'autre extrémité. Entre les deux, est illustrée la combinaison de systèmes liés à la sûreté et d'installations externes de réduction des risques nécessaires pour réaliser la réduction des risques requise. Ceux-ci peuvent être de différents types : mécaniques (par exemple, des soupapes de surpression), hydrauliques, pneumatiques, physiques, ainsi que des systèmes E/E/PE. La figure 2 met l'accent sur le rôle de chaque couche de sécurité dans la protection de l'EUC à mesure que l'accident progresse.

        Figure 1. Réduction des risques : Concepts généraux

        SAF060F1

         

        Figure 2. Modèle global : Couches de protection

        SAF060F2

        À condition qu'une analyse des dangers et des risques ait été effectuée sur l'EUC comme requis dans la partie 1 de la CEI 1508, la conception conceptuelle globale de la sécurité a été établie et, par conséquent, les fonctions requises et le niveau d'intégrité de sécurité (SIL) cible pour tout E/E/ Un système de contrôle ou de protection PE a été défini. La cible du niveau d'intégrité de sécurité est définie par rapport à une mesure de défaillance cible (voir tableau 1).


        Tableau 1. Niveaux d'intégrité de sécurité pour les systèmes de protection : mesures de défaillance ciblées

        Niveau d'intégrité de sécurité                        Mode de fonctionnement à la demande (probabilité de ne pas exécuter sa fonction de conception à la demande)

        4 10-5 ≤ × 10-4

        3 10-4 ≤ × 10-3

        2 10-3 ≤ × 10-2

        1 10-2 ≤ × 10-1 


        Systèmes de protection

        Ce document décrit les exigences techniques que le concepteur d'un système E/E/PE relatif à la sécurité doit prendre en compte pour satisfaire à l'objectif de niveau d'intégrité de sécurité requis. L'accent est mis sur un système de protection typique utilisant l'électronique programmable afin de permettre une discussion plus approfondie des problèmes clés avec peu de perte de généralité. Un système de protection typique est illustré à la figure 3, qui représente un système de sécurité à un seul canal avec une coupure secondaire activée via un dispositif de diagnostic. En fonctionnement normal, la condition dangereuse de l'EUC (par exemple, survitesse dans une machine, température élevée dans une usine chimique) sera détectée par le capteur et transmise à l'électronique programmable, qui commandera aux actionneurs (via les relais de sortie) de mettre le système dans un état sûr (par exemple, couper l'alimentation du moteur électrique de la machine, ouvrir une vanne pour relâcher la pression).

        Figure 3. Système de protection typique

        SAF060F3

        Mais que se passe-t-il en cas de défaillance des composants du système de protection ? C'est la fonction de l'arrêt secondaire, qui est activé par la fonction de diagnostic (autocontrôle) de cette conception. Cependant, le système n'est pas complètement à sécurité intégrée, car la conception n'a qu'une certaine probabilité d'être disponible lorsqu'on lui demande d'assurer sa fonction de sécurité (elle a une certaine probabilité de défaillance à la demande ou un certain niveau d'intégrité de sécurité). Par exemple, la conception ci-dessus pourrait être capable de détecter et de tolérer certains types de défaillance de la carte de sortie, mais elle ne serait pas capable de résister à une défaillance de la carte d'entrée. Par conséquent, son intégrité de sécurité sera bien inférieure à celle d'une conception avec une carte d'entrée à plus grande fiabilité, ou des diagnostics améliorés, ou une combinaison de ceux-ci.

        Il existe d'autres causes possibles de pannes de carte, y compris des défauts physiques "traditionnels" dans le matériel, des défauts systématiques, y compris des erreurs dans la spécification des exigences, des défauts de mise en œuvre dans le logiciel et une protection inadéquate contre les conditions environnementales (par exemple, l'humidité). Les diagnostics de cette conception monocanal peuvent ne pas couvrir tous ces types de défauts, ce qui limitera le niveau d'intégrité de sécurité atteint dans la pratique. (La couverture est une mesure du pourcentage de défauts qu'une conception peut détecter et gérer en toute sécurité.)

        Exigences techniques

        Les parties 2 et 3 du projet de CEI 1508 fournissent un cadre pour identifier les diverses causes potentielles de défaillance du matériel et des logiciels et pour sélectionner les caractéristiques de conception qui surmontent ces causes potentielles de défaillance appropriées au niveau d'intégrité de sécurité requis du système relatif à la sécurité. Par exemple, l'approche technique globale du système de protection de la figure 3 est illustrée à la figure 4. La figure indique les deux stratégies de base pour surmonter les défauts et les défaillances : (1) évitement des fautes, où l'on veille à éviter la création de défauts ; et (2) tolérance aux pannes, où la conception est créée spécifiquement pour tolérer des défauts spécifiés. Le système monocanal mentionné ci-dessus est un exemple de conception (limitée) tolérante aux pannes où les diagnostics sont utilisés pour détecter certains défauts et mettre le système dans un état sûr avant qu'une défaillance dangereuse ne se produise.

        Figure 4. Spécification de conception : solution de conception

        SAF060F4

        Évitement des pannes

        L'évitement des pannes tente d'empêcher l'introduction de pannes dans un système. L'approche principale consiste à utiliser une méthode systématique de gestion du projet afin que la sécurité soit traitée comme une qualité définissable et gérable d'un système, lors de la conception, puis ultérieurement lors de l'exploitation et de la maintenance. La démarche, qui s'apparente à l'assurance qualité, repose sur le concept de retour d'expérience et implique : (1) et la planification de votre patrimoine (définir les objectifs de sécurité, identifier les voies et moyens pour atteindre les objectifs) ; (2) mesure réalisation par rapport au plan pendant la mise en œuvre et (3) l'application Réactions pour corriger tout écart. Les revues de conception sont un bon exemple de technique d'évitement des erreurs. Dans la CEI 1508, cette approche "qualité" de la prévention des pannes est facilitée par les exigences d'utilisation d'un cycle de vie de sécurité et d'utilisation de procédures de gestion de la sécurité pour le matériel et les logiciels. Pour ces derniers, ceux-ci se manifestent souvent par des procédures d'assurance qualité du logiciel telles que celles décrites dans l'ISO 9000-3 (1990).

        De plus, les parties 2 et 3 de la CEI 1508 (concernant respectivement le matériel et les logiciels) classent certaines techniques ou mesures considérées comme utiles pour éviter les défauts au cours des différentes phases du cycle de vie de sécurité. Le tableau 2 donne un exemple de la partie 3 pour la phase de conception et de développement du logiciel. Le concepteur utiliserait le tableau pour aider à la sélection des techniques d'évitement des défauts, en fonction du niveau d'intégrité de sécurité requis. Avec chaque technique ou mesure dans les tableaux, il y a une recommandation pour chaque niveau d'intégrité de sécurité, de 1 à 4. La gamme de recommandations couvre Hautement recommandé (HR), Recommandé (R), Neutre—ni pour ou contre (—) et Non recommandé (NR).

        Tableau 2. Conception et développement de logiciels

        Technique/mesure

        SIL 1

        SIL 2

        SIL 3

        SIL 4

        1. Méthodes formelles incluant, par exemple, CCS, CSP, HOL, LOTOS

        -

        R

        R

        HR

        2. Méthodes semi-formelles

        HR

        HR

        HR

        HR

        3. Structuré. Méthodologie comprenant, par exemple, JSD, MASCOT, SADT, SSADM et YOURDON

        HR

        HR

        HR

        HR

        4. Approche modulaire

        HR

        HR

        HR

        HR

        5. Normes de conception et de codage

        R

        HR

        HR

        HR

        HR = fortement recommandé ; R = recommandé ; NR = déconseillé ;— = neutre : la technique/mesure n'est ni pour ni contre le SIL.
        Remarque : une technique/mesure numérotée doit être sélectionnée en fonction du niveau d'intégrité de sécurité.

        Tolérance aux pannes

        La CEI 1508 exige des niveaux croissants de tolérance aux pannes à mesure que la cible d'intégrité de sécurité augmente. La norme reconnaît cependant que la tolérance aux pannes est plus importante lorsque les systèmes (et les composants qui composent ces systèmes) sont complexes (désignés comme Type B dans la CEI 1508). Pour les systèmes moins complexes et « bien éprouvés », le degré de tolérance aux pannes peut être assoupli.

        Tolérance aux pannes matérielles aléatoires

        Le tableau 3 montre les exigences de tolérance aux pannes contre les pannes matérielles aléatoires dans les composants matériels complexes (par exemple, les microprocesseurs) lorsqu'ils sont utilisés dans un système de protection tel que celui illustré à la figure 3. Le concepteur peut avoir besoin d'envisager une combinaison appropriée de diagnostics, de tolérance aux pannes et vérifications manuelles pour surmonter cette classe de défaut, en fonction du niveau d'intégrité de sécurité requis.


        Tableau 3. Niveau d'intégrité de sécurité - Exigences de défaut pour les composants de type B1

        1 Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.

        2 Pour les composants sans couverture de diagnostic moyen en ligne, le système doit être capable d'exécuter la fonction de sécurité en présence d'un seul défaut. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.

        3 Pour les composants avec une couverture de diagnostic en ligne élevée, le système doit être capable d'exécuter la fonction de sécurité en présence d'un seul défaut. Pour les composants sans couverture de diagnostic en ligne élevée, le système doit pouvoir exécuter la fonction de sécurité en présence de deux défauts. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.

        4 Les composants doivent pouvoir assurer la fonction de sécurité en présence de deux défauts. Les défauts doivent être détectés avec une couverture de diagnostic élevée en ligne. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique. L'analyse matérielle quantitative doit être basée sur les hypothèses les plus défavorables.

        1Composants dont les modes de défaillance ne sont pas bien définis ou testables, ou pour lesquels les données de défaillance issues de l'expérience sur le terrain sont médiocres (par exemple, les composants électroniques programmables).


        La CEI 1508 aide le concepteur en fournissant des tableaux de spécifications de conception (voir tableau 4) avec des paramètres de conception indexés par rapport au niveau d'intégrité de sécurité pour un certain nombre d'architectures de système de protection couramment utilisées.

        Tableau 4. Exigences pour le niveau d'intégrité de sécurité 2 - Architectures de systèmes électroniques programmables pour les systèmes de protection

        Configuration du système PE

        Couverture de diagnostic par canal

        Intervalle de test hors ligne (TI)

        Temps moyen avant déclenchement intempestif

        PE unique, E/S unique, Ext. WD

        Haute

        6 mois

        1.6 ans

        Double PE, E/S simple

        Haute

        6 mois

        10 ans

        Double PE, double E/S, 2oo2

        Haute

        3 mois

        1,281 ans

        Double PE, double E/S, 1oo2

        Aucun

        2 mois

        1.4 ans

        Double PE, double E/S, 1oo2

        Faible

        5 mois

        1.0 ans

        Double PE, double E/S, 1oo2

        Technique

        18 mois

        0.8 ans

        Double PE, double E/S, 1oo2

        Haute

        36 mois

        0.8 ans

        Double PE, double E/S, 1oo2D

        Aucun

        2 mois

        1.9 ans

        Double PE, double E/S, 1oo2D

        Faible

        4 mois

        4.7 ans

        Double PE, double E/S, 1oo2D

        Technique

        18 mois

        18 ans

        Double PE, double E/S, 1oo2D

        Haute

        48 + mois

        168 ans

        Triple PE, Triple E/S, IPC, 2oo3

        Aucun

        Mois 1

        20 ans

        Triple PE, Triple E/S, IPC, 2oo3

        Faible

        3 mois

        25 ans

        Triple PE, Triple E/S, IPC, 2oo3

        Technique

        12 mois

        30 ans

        Triple PE, Triple E/S, IPC, 2oo3

        Haute

        48 + mois

        168 ans

         

        La première colonne du tableau représente les architectures avec différents degrés de tolérance aux pannes. En général, les architectures placées près du bas du tableau ont un degré de tolérance aux pannes plus élevé que celles situées près du haut. Un système 1oo2 (un sur deux) est capable de résister à n'importe quel défaut, tout comme 2oo3.

        La deuxième colonne décrit le pourcentage de couverture de tout diagnostic interne. Plus le niveau de diagnostic est élevé, plus les défauts seront piégés. Dans un système de protection, cela est important car, à condition que le composant défaillant (par exemple, une carte d'entrée) soit réparé dans un délai raisonnable (souvent 8 heures), il y a peu de perte de sécurité fonctionnelle. (Remarque : ce ne serait pas le cas pour un système de contrôle continu, car tout défaut est susceptible de provoquer une condition dangereuse immédiate et le potentiel d'un incident.)

        La troisième colonne montre l'intervalle entre les tests périodiques. Ce sont des tests spéciaux qui doivent être effectués pour exercer à fond le système de protection afin de s'assurer qu'il n'y a pas de défauts cachés. Celles-ci sont généralement effectuées par le fournisseur d'équipement pendant les périodes d'arrêt de l'usine.

        La quatrième colonne indique le taux de déclenchement intempestif. Un déclenchement intempestif est un déclenchement qui provoque l'arrêt de l'usine ou de l'équipement lorsqu'il n'y a pas d'écart de procédé. Le prix de la sécurité est souvent un taux de déclenchement intempestif plus élevé. Un système de protection redondant simple - 1oo2 - a, avec tous les autres facteurs de conception inchangés, un niveau d'intégrité de sécurité plus élevé mais également un taux de déclenchement intempestif plus élevé qu'un système à canal unique (1oo1).

        Si l'une des architectures du tableau n'est pas utilisée ou si le concepteur souhaite effectuer une analyse plus fondamentale, la CEI 1508 autorise cette alternative. Des techniques d'ingénierie de la fiabilité telles que la modélisation de Markov peuvent ensuite être utilisées pour calculer l'élément matériel du niveau d'intégrité de sécurité (Johnson 1989 ; Goble 1992).

        Tolérance aux défaillances systématiques et de cause commune

        Cette classe de défaillance est très importante dans les systèmes de sécurité et constitue le facteur limitant pour la réalisation de l'intégrité de la sécurité. Dans un système redondant, un composant ou un sous-système, voire l'ensemble du système, est dupliqué pour obtenir une haute fiabilité à partir de pièces à faible fiabilité. L'amélioration de la fiabilité se produit parce que, statistiquement, le risque que deux systèmes échouent simultanément par des défauts aléatoires sera le produit des fiabilités des systèmes individuels, et donc beaucoup plus faible. D'autre part, les défauts systématiques et de cause commune entraînent la défaillance simultanée de systèmes redondants lorsque, par exemple, une erreur de spécification dans le logiciel entraîne la défaillance simultanée des parties dupliquées. Un autre exemple serait la panne d'une alimentation électrique commune à un système redondant.

        La CEI 1508 fournit des tableaux de techniques d'ingénierie classées par rapport au niveau d'intégrité de sécurité considérées comme efficaces pour assurer une protection contre les défaillances systématiques et de cause commune.

        Des exemples de techniques offrant des défenses contre les défaillances systématiques sont la diversité et la redondance analytique. La base de la diversité est que si un concepteur implémente un deuxième canal dans un système redondant en utilisant une technologie ou un langage logiciel différent, alors les défauts dans les canaux redondants peuvent être considérés comme indépendants (c'est-à-dire une faible probabilité de défaillance fortuite). Cependant, en particulier dans le domaine des systèmes logiciels, il semble que cette technique ne soit pas efficace, car la plupart des erreurs se trouvent dans la spécification. La redondance analytique tente d'exploiter des informations redondantes dans l'usine ou la machine pour identifier les défauts. Pour les autres causes de défaillance systématique, par exemple les contraintes externes, la norme fournit des tableaux donnant des conseils sur les bonnes pratiques d'ingénierie (par exemple, séparation des câbles de signal et d'alimentation) indexés par rapport au niveau d'intégrité de sécurité.

        Conclusions

        Les systèmes informatisés offrent de nombreux avantages, non seulement économiques, mais également susceptibles d'améliorer la sécurité. Cependant, l'attention portée aux détails requise pour réaliser ce potentiel est nettement plus grande que dans le cas de l'utilisation de composants de système conventionnels. Cet article a décrit les principales exigences techniques qu'un concepteur doit prendre en compte pour exploiter avec succès cette technologie.

         

        Retour

        Lire 8168 fois Dernière modification le samedi, 30 Juillet 2022 01: 48

        " AVIS DE NON-RESPONSABILITÉ : L'OIT n'assume aucune responsabilité pour le contenu présenté sur ce portail Web qui est présenté dans une langue autre que l'anglais, qui est la langue utilisée pour la production initiale et l'examen par les pairs du contenu original. Certaines statistiques n'ont pas été mises à jour depuis la production de la 4ème édition de l'Encyclopédie (1998)."

        Table des matières

        Références des applications de sécurité

        Arteau, J, A Lan et JF Corveil. 1994. Utilisation des lignes de vie horizontales dans l'érection de structures en acier. Actes du symposium international sur la protection contre les chutes, San Diego, Californie (27-28 octobre 1994). Toronto : Société internationale de protection contre les chutes.

        Backström, T. 1996. Risque d'accident et protection de la sécurité dans la production automatisée. Thèse de doctorat. Arbete och Hälsa 1996:7. Solna : Institut national de la vie active.

        Backström, T et L Harms-Ringdahl. 1984. Une étude statistique des systèmes de contrôle et des accidents du travail. J Occup Acc. 6:201–210.

        Backström, T et M Döös. 1994. Défauts techniques à l'origine des accidents dans la production automatisée. Dans Advances in Agile Manufacturing, édité par PT Kidd et W Karwowski. Amsterdam : Presse IOS.

        —. 1995. Une comparaison des accidents du travail dans les industries à technologie manufacturière de pointe. Int J Hum Factors Manufac. 5(3). 267–282.

        —. Dans la presse. La genèse technique des pannes de machines conduisant à des accidents du travail. Int J Ind Ergonomie.

        —. Accepté pour publication. Fréquences absolues et relatives des accidents d'automatisation sur différents types d'équipements et pour différents groupes professionnels. J Saf Rés.

        Bainbridge, L. 1983. Ironies de l'automatisation. Automatica 19: 775–779.

        Bell, R et D Reinert. 1992. Concepts de risque et d'intégrité du système pour les systèmes de contrôle liés à la sécurité. Saf Sei 15:283–308.

        Bouchard, P. 1991. Échafaudages. Guide série 4. Montréal : CSST.

        Bureau des affaires nationales. 1975. Normes de sécurité et de santé au travail. Structures de protection en cas de retournement pour matériel de manutention et tracteurs, sections 1926, 1928. Washington, DC : Bureau des affaires nationales.

        Corbett, JM. 1988. L'ergonomie dans le développement de l'AMT centré sur l'humain. Ergonomie appliquée 19: 35–39.

        Culver, C et C Connolly. 1994. Empêcher les chutes mortelles dans la construction. Saf Health septembre 1994 : 72–75.

        Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlin : Beuth Verlag.

        —. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlin : Beth Verlag.

        —. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Sécurité des machines — Équipement de protection sensible à la pression]. DIN prEN 1760. Berlin : Beuth Verlag.

        —. 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Véhicules utilitaires — détection d'obstacles en marche arrière — exigences et essais]. Norme DIN 75031. Février 1995.

        Döös, M et T Backström. 1993. Description des accidents dans la manutention automatisée des matériaux. Dans Ergonomics of Materials Handling and Information Processing at Work, édité par WS Marras, W Karwowski, JL Smith et L Pacholski. Varsovie : Taylor et Francis.

        —. 1994. Les perturbations de la production comme risque d'accident. Dans Advances in Agile Manufacturing, édité par PT Kidd et W Karwowski. Amsterdam : Presse IOS.

        Communauté économique européenne (CEE). 1974, 1977, 1979, 1982, 1987. Directives du Conseil sur les structures de protection contre le renversement des tracteurs agricoles et forestiers à roues. Bruxelles : CEE.

        —. 1991. Directive du Conseil sur le rapprochement des législations des États membres relatives aux machines. (91/368/CEE) Luxembourg : CEE.

        Etherton, JR et ML Myers. 1990. Recherche sur la sécurité des machines au NIOSH et orientations futures. Int J Ind Erg 6: 163–174.

        Freund, E, F Dierks et J Roßmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Tests de sécurité au travail des robots mobiles et des systèmes de robots multiples]. Dortmund : Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Goble, W. 1992. Évaluation de la fiabilité du système de contrôle. New York : Société d'instruments d'Amérique.

        Goodstein, LP, HB Anderson et SE Olsen (eds.). 1988. Tâches, erreurs et modèles mentaux. Londres : Taylor et Francis.

        Gryfe, CI. 1988. Causes et prévention des chutes. Dans Symposium international sur la protection contre les chutes. Orlando : Société internationale de protection contre les chutes.

        Directeur de la santé et de la sécurité. 1989. Statistiques sur la santé et la sécurité 1986–87. Employez Gaz 97(2).

        Heinrich, HW, D Peterson et N Roos. 1980. Prévention des accidents industriels. 5e éd. New York : McGraw Hill.

        Hollnagel, E, et D Woods. 1983. Ingénierie des systèmes cognitifs : Nouveau vin dans de nouvelles bouteilles. Int J Man Machine Stud 18: 583–600.

        Hölscher, H et J Rader. 1984. Microcomputer in der Sicherheitstechnik. Rheinland : Verlag TgV-Reinland.

        Hörte, S-Å et P Lindberg. 1989. Diffusion et mise en œuvre des technologies de fabrication avancées en Suède. Document de travail n° 198:16. Institut d'innovation et de technologie.

        Commission électrotechnique internationale (CEI). 1992. 122 Projet de norme : Logiciels pour ordinateurs dans l'application de systèmes liés à la sécurité industrielle. CEI 65 (Sec). Genève : CEI.

        —. 1993. 123 Projet de norme : Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables ; Aspects génériques. Partie 1, Exigences générales Genève : CEI.

        Organisation internationale du travail (OIT). 1965. Sécurité et santé dans le travail agricole. Genève : OIT.

        —. 1969. Sécurité et santé dans les travaux forestiers. Genève : OIT.

        —. 1976. Construction et utilisation sécuritaires des tracteurs. Un recueil de directives pratiques du BIT. Genève : OIT.

        Organisation internationale de normalisation (ISO). 1981. Tracteurs agricoles et forestiers à roues. Ouvrages de protection. Méthode d'essai statique et conditions d'acceptation. ISO 5700. Genève : ISO.

        —. 1990. Normes de gestion de la qualité et d'assurance qualité : Lignes directrices pour l'application de la norme ISO 9001 au développement, à la fourniture et à la maintenance de logiciels. ISO 9000-3. Genève : ISO.

        —. 1991. Systèmes d'automatisation industrielle—Sécurité des systèmes de fabrication intégrés—Exigences de base (CD 11161). TC 184/WG 4. Genève : ISO.

        —. 1994. Véhicules utilitaires—Dispositif de détection d'obstacles en marche arrière—Exigences et essais. Rapport technique TR 12155. Genève : ISO.

        Johnson, B. 1989. Conception et analyse de systèmes numériques tolérants aux pannes. New York : Addison Wesley.

        Kidd, P. 1994. Fabrication automatisée basée sur les compétences. Dans Organisation and Management of Advanced Manufacturing Systems, édité par W Karwowski et G Salvendy. New York : Wiley.

        Knowlton, RE. 1986. Une introduction aux études sur les risques et l'exploitabilité : l'approche du mot guide. Vancouver, C.-B. : Chimie.

        Kuivanen, R. 1990. L'impact sur la sécurité des perturbations dans les systèmes de fabrication flexibles. Dans Ergonomics of Hybrid Automated Systems II, édité par W Karwowski et M Rahimi. Amsterdam : Elsevier.

        Laeser, RP, WI McLaughlin et DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

        Lan, A, J Arteau et JF Corbeil. 1994. Protection contre les chutes des panneaux d'affichage hors sol. International Fall Protection Symposium, San Diego, Californie, 27-28 octobre 1994. Actes International Society for Fall Protection.

        Langer, HJ et W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Utilisation de capteurs pour sécuriser la zone derrière les gros véhicules]. FB 605. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Levenson, NG. 1986. Sécurité des logiciels : pourquoi, quoi et comment. Enquêtes informatiques ACM (2):S. 129–163.

        McManus, TN. Sd Espaces confinés. Manuscrit.

        Microsonic GmbH. 1996. Communication d'entreprise. Dortmund, Allemagne : Microsonic.

        Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens et U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II) [Protection contre les dangers par les capteurs infrarouges]. FB 243. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Mohan, D et R Patel. 1992. Conception d'équipements agricoles plus sûrs : Application de l'ergonomie et de l'épidémiologie. Int J Ind Erg 10:301–310.

        Association nationale de protection contre les incendies (NFPA). 1993. NFPA 306 : Contrôle des risques de gaz sur les navires. Quincy, MA : NFPA.

        Institut national pour la sécurité et la santé au travail (NIOSH). 1994. Décès de travailleurs dans des espaces confinés. Cincinnati, OH, États-Unis : DHHS/PHS/CDCP/NIOSH Pub. N° 94-103. NIOSH.

        Neumann, PG. 1987. Les N meilleurs (ou pires) cas de risques liés à l'informatique. IEEE T Syst Man Cyb. New York : S.11–13.

        —. 1994. Risques illustratifs pour le public dans l'utilisation des systèmes informatiques et des technologies connexes. Notes du moteur logiciel SIGSOFT 19, No. 1:16–29.

        Administration de la sécurité et de la santé au travail (OSHA). 1988. Décès professionnels sélectionnés liés au soudage et au coupage, tels que trouvés dans les rapports d'enquêtes sur les décès/catastrophes de l'OSHA. Washington, DC : OSHA.

        Organisation de coopération et de développement économiques (OCDE). 1987. Codes standard pour les essais officiels des tracteurs agricoles. Paris : OCDE.

        Organisme professionnel de prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contre les chutes de hauteur. Boulogne-Bilancourt, France : OPPBTP.

        Rasmussen, J. 1983. Compétences, règles et connaissances : ordre du jour, signes et symboles, et autres distinctions dans les modèles de performance humaine. Transactions IEEE sur les systèmes, l'homme et la cybernétique. SMC13(3) : 257–266.

        Reason, J. 1990. Erreur humaine. New York : Cambridge University Press.

        Reese, CD et GR Mills. 1986. L'épidémiologie traumatique des décès en espace confiné et son application à l'intervention/prévention maintenant. Dans L'évolution de la nature du travail et de la main-d'œuvre. Cincinnati, Ohio : NIOSH.

        Reinert, D et G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
        Sicherheitseinrichtungen. Dans BIA-Handbuch. Sicherheitstechnisches Informations-und Arbeitsblatt 310222. Bielefeld : Erich Schmidt Verlag.

        Société des ingénieurs automobiles (SAE). 1974. Protection des opérateurs pour les équipements industriels. Norme SAE j1042. Warrendale, États-Unis : SAE.

        —. 1975. Critères de performance pour la protection contre le retournement. Pratique recommandée par la SAE. Norme SAE j1040a. Warrendale, États-Unis : SAE.

        Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [État de l'évolution des dispositifs d'avertissement de zone arrière]. Technische Überwachung, Nr. 4, avril, S. 161.

        Schreiber, P et K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Technologie de l'information dans la technique de production, série de l'Institut fédéral pour la sécurité et la santé au travail]. FB 717. Dortmund : Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Sheridan, T. 1987. Contrôle de surveillance. In Handbook of Human Factors, édité par G. Salvendy. New York : Wiley.

        Springfeldt, B. 1993. Effets des règles et mesures de sécurité au travail avec une attention particulière aux blessures. Avantages des solutions fonctionnant automatiquement. Stockholm : Institut royal de technologie, Département des sciences du travail.

        Sugimoto, N. 1987. Sujets et problèmes de la technologie de sécurité des robots. Dans Occupational Safety and Health in Automation and Robotics, édité par K Noto. Londres : Taylor & Francis. 175.

        Sulowski, AC (éd.). 1991. Principes fondamentaux de la protection contre les chutes. Toronto, Canada : Société internationale de protection contre les chutes.

        Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen : Westdeutscher Verlag.

        Zimolong, B et L Duda. 1992. Stratégies de réduction des erreurs humaines dans les systèmes de fabrication avancés. Dans Human-robot Interaction, édité par M Rahimi et W Karwowski. Londres : Taylor & Francis.