Applicazioni relative alla sicurezza

Lunedi, 04 aprile 2011 18: 00

Applicazioni relative alla sicurezza

dimensione del font diminuire la dimensione del carattere aumentare la dimensione del carattere
Stampa
E-mail

Vota questo gioco

(111 voti )

Negli ultimi anni i microprocessori hanno svolto un ruolo sempre più importante nel campo della tecnologia di sicurezza. Poiché interi computer (ad es. unità di elaborazione centrale, memoria e componenti periferici) sono ora disponibili in un unico componente come "computer a chip singolo", la tecnologia dei microprocessori viene impiegata non solo nel controllo di macchine complesse, ma anche nelle salvaguardie di un design relativamente semplice (es. barriere fotoelettriche, dispositivi di comando a due mani e coste sensibili). Il software che controlla questi sistemi comprende da mille a diverse decine di migliaia di singoli comandi e di solito è costituito da diverse centinaia di rami di programma. I programmi operano in tempo reale e sono per lo più scritti nel linguaggio assembly dei programmatori.

L'introduzione di sistemi computerizzati nell'ambito della tecnologia di sicurezza è stata accompagnata in tutte le apparecchiature tecniche su larga scala non solo da costosi progetti di ricerca e sviluppo, ma anche da significative restrizioni volte a migliorare la sicurezza. (La tecnologia aerospaziale, la tecnologia militare e la tecnologia dell'energia atomica possono qui essere citate come esempi di applicazioni su larga scala.) Il campo collettivo della produzione industriale di massa è stato finora trattato solo in modo molto limitato. Ciò è in parte dovuto al fatto che i rapidi cicli di innovazione caratteristici della progettazione di macchine industriali rendono difficile trasferire, se non in modo molto limitato, le conoscenze che possono essere derivate da progetti di ricerca riguardanti il collaudo finale di sistemi su larga scala dispositivi di sicurezza. Ciò rende auspicabile lo sviluppo di procedure di valutazione rapide ea basso costo (Reinert e Reuss 1991).

Questo articolo esamina innanzitutto le macchine e gli impianti in cui i sistemi informatici svolgono attualmente compiti di sicurezza, utilizzando esempi di incidenti che si verificano prevalentemente nell'area delle protezioni delle macchine per descrivere il ruolo particolare che i computer svolgono nella tecnologia di sicurezza. Questi incidenti danno qualche indicazione su quali precauzioni devono essere prese in modo che i dispositivi di sicurezza controllati da computer che stanno diventando sempre più diffusi non portino ad un aumento del numero di incidenti. La sezione finale dell'articolo delinea una procedura che consentirà di portare anche i piccoli sistemi informatici a un livello adeguato di sicurezza tecnica con spese giustificabili e in un periodo di tempo accettabile. I principi indicati in questa parte finale sono in fase di introduzione nelle procedure internazionali di normazione e avranno implicazioni per tutti gli ambiti della tecnologia della sicurezza in cui i computer trovano applicazione.

Esempi di utilizzo di software e computer nel campo della protezione delle macchine

I quattro esempi che seguono chiariscono che software e computer stanno attualmente entrando sempre di più nelle applicazioni legate alla sicurezza nel dominio commerciale.

Gli impianti di segnalazione personale di emergenza sono costituiti, di regola, da una stazione centrale di ricezione e da una serie di dispositivi di segnalazione personale di emergenza. I dispositivi sono trasportati da persone che lavorano in loco da sole. Se una di queste persone che lavorano da sole si trovasse in una situazione di emergenza, può utilizzare il dispositivo per far scattare un allarme tramite segnale radio nella stazione centrale di ricezione. Tale attivazione dell'allarme dipendente dalla volontà può anche essere integrata da un meccanismo di attivazione indipendente dalla volontà attivato da sensori incorporati nei dispositivi di emergenza personali. Sia i singoli dispositivi che la stazione di ricezione centrale sono spesso controllati da microcomputer. È ipotizzabile che il guasto di specifiche singole funzioni del computer integrato possa portare, in una situazione di emergenza, al mancato intervento dell'allarme. Occorre quindi prendere precauzioni per percepire e riparare nel tempo tale perdita di funzionalità.

Le macchine da stampa utilizzate oggi per stampare le riviste sono macchine di grandi dimensioni. I nastri di carta vengono normalmente preparati da una macchina separata in modo tale da consentire una transizione senza soluzione di continuità a un nuovo rotolo di carta. Le pagine stampate vengono piegate da una piegatrice e successivamente lavorate attraverso una catena di ulteriori macchine. Ciò si traduce in pallet caricati con caricatori completamente cuciti. Sebbene tali impianti siano automatizzati, vi sono due punti in cui è necessario intervenire manualmente: (1) nell'infilatura dei percorsi carta, e (2) nell'eliminazione di ostruzioni causate da strappi di carta in punti pericolosi sui rulli rotanti. Per questo motivo, durante la regolazione delle presse, la tecnologia di controllo deve garantire una velocità di funzionamento ridotta o una modalità di spostamento limitata nel tempo o nel percorso. A causa delle complesse procedure di guida coinvolte, ogni singola stazione di stampa deve essere dotata di un proprio controllore logico programmabile. Qualsiasi guasto che si verifichi nel controllo di un impianto di stampa mentre le griglie di protezione sono aperte deve essere evitato che porti all'avvio imprevisto di una macchina ferma o al funzionamento in eccesso rispetto a velocità opportunamente ridotte.

Nelle grandi fabbriche e nei magazzini, i veicoli robotici a guida automatica senza conducente si muovono su binari appositamente contrassegnati. Tali binari possono essere calpestati in qualsiasi momento da persone, oppure materiali e attrezzature possono essere inavvertitamente lasciati sui binari, in quanto non separati strutturalmente da altre linee di traffico. Per questo motivo, è necessario utilizzare una sorta di dispositivo di prevenzione delle collisioni per garantire che il veicolo venga fermato prima che si verifichi una collisione pericolosa con una persona o un oggetto. Nelle applicazioni più recenti, la prevenzione delle collisioni viene effettuata mediante scanner a ultrasuoni oa luce laser utilizzati in combinazione con un paraurti di sicurezza. Poiché questi sistemi funzionano sotto il controllo del computer, è possibile configurare diverse zone di rilevamento permanenti in modo che un veicolo possa modificare la sua reazione a seconda della zona di rilevamento specifica in cui si trova una persona. I guasti del dispositivo di protezione non devono provocare una collisione pericolosa con una persona.

Le ghigliottine del dispositivo di controllo del taglio della carta vengono utilizzate per pressare e quindi tagliare spesse pile di carta. Sono attivati da un dispositivo di controllo a due mani. L'utente deve raggiungere la zona pericolosa della macchina dopo aver eseguito ogni taglio. Una protezione immateriale, di solito una barriera luminosa, viene utilizzata in combinazione con il dispositivo di controllo a due mani e un sistema di controllo sicuro della macchina per prevenire lesioni quando la carta viene alimentata durante l'operazione di taglio. Quasi tutte le ghigliottine più grandi e moderne in uso oggi sono controllate da sistemi di microcomputer multicanale. Anche il funzionamento a due mani e la barriera fotoelettrica devono essere garantiti per funzionare in sicurezza.

Incidenti con sistemi controllati da computer

In quasi tutti i campi dell'applicazione industriale, vengono segnalati incidenti con software e computer (Neumann 1994). Nella maggior parte dei casi, i guasti del computer non provocano danni alle persone. Tali inadempienze sono comunque rese pubbliche solo quando siano di interesse pubblico generale. Ciò significa che i casi di malfunzionamento o incidente relativi a computer e software in cui sono coinvolti danni alle persone costituiscono una percentuale relativamente elevata di tutti i casi pubblicizzati. Sfortunatamente, gli incidenti che non suscitano molto clamore pubblico non vengono indagati sulle loro cause con la stessa intensità degli incidenti più importanti, tipicamente in impianti di grandi dimensioni. Per questo motivo, gli esempi che seguono si riferiscono a quattro descrizioni di malfunzionamenti o incidenti tipici di sistemi controllati da computer al di fuori del campo delle protezioni delle macchine, che servono a suggerire ciò che deve essere tenuto in considerazione quando si formulano giudizi sulla tecnologia di sicurezza.

Incidenti causati da guasti casuali nell'hardware

Il seguente incidente è stato causato da una concentrazione di guasti casuali nell'hardware combinati con errori di programmazione: un reattore si è surriscaldato in un impianto chimico, dopodiché sono state aperte le valvole di sfiato, consentendo al contenuto del reattore di essere scaricato nell'atmosfera. Questo incidente si è verificato poco dopo che era stato dato un avviso che il livello dell'olio in un cambio era troppo basso. Un'attenta indagine sull'incidente mostrò che poco dopo che il catalizzatore aveva avviato la reazione nel reattore - in conseguenza della quale il reattore avrebbe richiesto un maggiore raffreddamento - il computer, sulla base della segnalazione di bassi livelli di olio nella scatola del cambio, congelò tutto grandezze sotto il suo controllo a un valore fisso. Ciò ha mantenuto il flusso di acqua fredda a un livello troppo basso e di conseguenza il reattore si è surriscaldato. Ulteriori indagini hanno mostrato che l'indicazione di bassi livelli di olio era stata segnalata da un componente difettoso.

Il software aveva risposto secondo le specifiche con l'intervento di un allarme e il fissaggio di tutte le variabili operative. Questa era una conseguenza dello studio HAZOP (hazards and operability analysis) (Knowlton 1986) condotto prima dell'evento, che richiedeva che tutte le variabili controllate non venissero modificate in caso di guasto. Poiché il programmatore non conosceva in dettaglio la procedura, tale requisito è stato interpretato nel senso che gli attuatori comandati (valvole di controllo in questo caso) non dovevano essere modificati; nessuna attenzione è stata prestata alla possibilità di un aumento della temperatura. Il programmatore non ha tenuto conto che dopo aver ricevuto un segnale errato il sistema potrebbe trovarsi in una situazione dinamica tale da richiedere l'intervento attivo del computer per evitare un contrattempo. La situazione che ha portato all'incidente era così improbabile, inoltre, che non era stata analizzata in dettaglio nello studio HAZOP (Levenson 1986). Questo esempio fornisce una transizione a una seconda categoria di cause di incidenti software e informatici. Questi sono i guasti sistematici che sono presenti nel sistema fin dall'inizio, ma che si manifestano solo in determinate situazioni molto specifiche di cui lo sviluppatore non ha tenuto conto.

Incidenti causati da guasti operativi

Durante i test sul campo durante l'ispezione finale dei robot, un tecnico ha preso in prestito la cassetta di un robot vicino e ne ha sostituita un'altra senza informare il suo collega di averlo fatto. Al ritorno al suo posto di lavoro, il collega ha inserito la cassetta sbagliata. Poiché si trovava accanto al robot e si aspettava da esso una particolare sequenza di movimenti - una sequenza che risultava diversa a causa del programma scambiato - si verificò una collisione tra robot e uomo. Questo incidente descrive il classico esempio di guasto operativo. Il ruolo di tali guasti nei malfunzionamenti e negli incidenti è attualmente in aumento a causa della crescente complessità nell'applicazione dei meccanismi di sicurezza controllati dal computer.

Incidenti causati da guasti sistematici nell'hardware o nel software

Un siluro con una testata doveva essere sparato per scopi di addestramento, da una nave da guerra in alto mare. A causa di un difetto nell'apparato propulsore, il siluro è rimasto nel tubo lanciasiluri. Il capitano ha deciso di tornare al porto di origine per salvare il siluro. Poco dopo che la nave aveva iniziato a tornare a casa, il siluro è esploso. Un'analisi dell'incidente ha rivelato che gli sviluppatori del siluro erano stati obbligati a incorporare nel siluro un meccanismo progettato per impedirne il ritorno alla rampa di lancio dopo essere stato sparato e quindi distruggere la nave che lo aveva lanciato. Il meccanismo scelto per questo era il seguente: dopo il lancio del siluro veniva effettuato un controllo, utilizzando il sistema di navigazione inerziale, per vedere se la sua rotta era stata alterata di 180°. Non appena il siluro ha percepito di aver virato di 180°, il siluro è esploso immediatamente, presumibilmente a una distanza di sicurezza dalla rampa di lancio. Questo meccanismo di rilevamento è stato attivato nel caso del siluro non correttamente lanciato, con il risultato che il siluro è esploso dopo che la nave aveva cambiato rotta di 180°. Questo è un tipico esempio di incidente verificatosi a causa di un mancato rispetto delle specifiche. Il requisito nelle specifiche secondo cui il siluro non avrebbe dovuto distruggere la propria nave in caso di cambio di rotta non era stato formulato in modo sufficientemente preciso; la precauzione è stata quindi programmata erroneamente. L'errore si è manifestato solo in una situazione particolare, che il programmatore non aveva preso in considerazione come possibilità.

Il 14 settembre 1993 un Airbus A 320 della Lufthansa si schiantò durante l'atterraggio a Varsavia (figura 1). Un'attenta indagine sull'incidente ha mostrato che le modifiche nella logica di atterraggio del computer di bordo apportate dopo un incidente con un Boeing 767 Lauda Air nel 1991 erano in parte responsabili di questo atterraggio di fortuna. Quello che era successo nell'incidente del 1991 era che la deflessione della spinta, che devia una parte dei gas del motore in modo da frenare l'aereo durante l'atterraggio, si era innestata mentre era ancora in aria, costringendo così la macchina a un'incontrollabile picchiata. Per questo motivo, nelle macchine Airbus era stato integrato un blocco elettronico della deflessione della spinta. Questo meccanismo ha permesso che la deflessione della spinta entrasse in vigore solo dopo che i sensori su entrambi i gruppi di carrello di atterraggio avevano segnalato la compressione degli ammortizzatori sotto la pressione delle ruote che toccavano terra. Sulla base di informazioni errate, i piloti dell'aereo a Varsavia prevedevano un forte vento laterale.

Figura 1. Lufthansa Airbus dopo l'incidente a Varsavia nel 1993

Per questo motivo hanno portato la macchina leggermente inclinata e l'Airbus è atterrato con la sola ruota destra, lasciando la sinistra che sopportava meno del pieno peso. A causa del blocco elettronico della deflessione della spinta, il computer di bordo ha negato al pilota per lo spazio di nove secondi manovre che avrebbero consentito all'aereo di atterrare in sicurezza nonostante le circostanze avverse. Questo incidente dimostra molto chiaramente che le modifiche nei sistemi informatici possono portare a situazioni nuove e pericolose se non si considera in anticipo la gamma delle loro possibili conseguenze.

Il seguente esempio di malfunzionamento dimostra anche gli effetti disastrosi che la modifica di un singolo comando può avere nei sistemi informatici. La gradazione alcolica del sangue viene determinata, in test chimici, utilizzando siero di sangue limpido da cui sono stati preventivamente centrifugati i globuli. Il contenuto alcolico del siero è quindi superiore (di un fattore 1.2) a quello del sangue intero più denso. Per questo motivo i valori alcolici nel siero devono essere divisi per un fattore di 1.2 per stabilire le parti per mille legalmente e medicalmente critiche. Nel test interlaboratorio svoltosi nel 1984, si sarebbero dovuti confrontare tra loro i valori alcolemici accertati in identici test eseguiti presso diversi istituti di ricerca utilizzando il siero. Trattandosi solo di un confronto, il comando di dividere per 1.2 è stato inoltre cancellato dal programma di uno degli istituti per tutta la durata dell'esperimento. Al termine del test interlaboratorio, in questo punto è stato erroneamente introdotto nel programma un comando di moltiplicazione per 1.2. Di conseguenza, tra l'agosto 1,500 e il marzo 1984 sono stati calcolati circa 1985 valori di parti per mille errati. Tale errore è stato determinante per la carriera professionale degli autotrasportatori con valori alcolemici compresi tra 1.0 e 1.3 per mille, poiché una sanzione giudiziaria che comporta il ritiro della patente per un periodo prolungato è conseguenza di un valore dell'1.3 per mille.

Incidenti causati da influssi da sollecitazioni operative o da sollecitazioni ambientali

A seguito di un disturbo causato dalla raccolta di scarti nell'area effettiva di una punzonatrice e roditrice CNC (computer numeric control), l'utente ha posto in essere il “stop programmato”. Mentre cercava di rimuovere i rifiuti con le mani, l'asta di spinta della macchina ha iniziato a muoversi nonostante l'arresto programmato e ha ferito gravemente l'utente. Un'analisi dell'incidente ha rivelato che non si trattava di un errore nel programma. Non è stato possibile riprodurre l'avvio imprevisto. Irregolarità simili erano state osservate in passato su altre macchine dello stesso tipo. Da questi sembra plausibile dedurre che l'incidente debba essere stato causato da interferenze elettromagnetiche. Incidenti simili con robot industriali sono segnalati dal Giappone (Neumann 1987).

Un malfunzionamento della sonda spaziale Voyager 2 il 18 gennaio 1986 rende ancora più chiara l'influenza delle sollecitazioni ambientali sui sistemi controllati dal computer. Sei giorni prima dell'avvicinamento più vicino a Urano, ampi campi di linee bianche e nere coprivano le immagini della Voyager 2. Un'analisi precisa ha mostrato che un singolo bit in una parola di comando del sottosistema dei dati di volo aveva causato il guasto, osservato come le immagini sono state compresse nella sonda. Molto probabilmente questo bit era stato messo fuori posto all'interno della memoria del programma dall'impatto di una particella cosmica. La trasmissione senza errori delle fotografie compresse dalla sonda è stata effettuata solo due giorni dopo, utilizzando un programma sostitutivo in grado di bypassare il punto di memoria guasto (Laeser, McLaughlin e Wolff 1987).

Sintesi degli infortuni presentati

Gli incidenti analizzati mostrano che alcuni rischi che potrebbero essere trascurati in condizioni di semplice tecnologia elettromeccanica, acquistano importanza quando si utilizzano i computer. I computer consentono l'elaborazione di funzioni di sicurezza complesse e specifiche della situazione. Una specifica univoca, priva di errori, completa e verificabile di tutte le funzioni di sicurezza diventa per questo motivo particolarmente importante. Gli errori nelle specifiche sono difficili da scoprire e sono spesso causa di incidenti in sistemi complessi. I controlli liberamente programmabili vengono solitamente introdotti con l'intenzione di poter reagire in modo flessibile e rapido al mercato in evoluzione. Le modifiche, tuttavia, in particolare nei sistemi complessi, hanno effetti collaterali difficili da prevedere. Tutte le modifiche devono quindi essere sottoposte a una procedura di gestione delle modifiche rigorosamente formale in cui una netta separazione delle funzioni di sicurezza dai sistemi parziali non rilevanti per la sicurezza contribuirà a mantenere facilmente rilevabili le conseguenze delle modifiche per la tecnologia di sicurezza.

I computer funzionano con bassi livelli di elettricità. Sono quindi suscettibili di interferenze da sorgenti di radiazioni esterne. Poiché la modifica di un singolo segnale tra milioni può portare a un malfunzionamento, vale la pena prestare particolare attenzione al tema della compatibilità elettromagnetica in connessione con i computer.

La manutenzione dei sistemi controllati da computer sta attualmente diventando sempre più complessa e quindi più poco chiara. L'ergonomia del software dell'utente e del software di configurazione sta quindi diventando sempre più interessante dal punto di vista della tecnologia di sicurezza.

Nessun sistema informatico è testabile al 100%. Un semplice meccanismo di controllo con 32 porte di input binari e 1,000 diversi percorsi software richiede 4.3 × 10¹² test per un controllo completo. Ad una velocità di 100 test al secondo eseguiti e valutati, un test completo richiederebbe 1,362 anni.

Procedure e misure per il miglioramento dei dispositivi di sicurezza controllati da computer

Negli ultimi 10 anni sono state sviluppate procedure che consentono di padroneggiare sfide specifiche relative alla sicurezza in relazione ai computer. Queste procedure si rivolgono ai guasti del computer descritti in questa sezione. Gli esempi descritti di software e computer nelle protezioni delle macchine e gli infortuni analizzati, mostrano che l'entità dei danni e quindi anche il rischio insito nelle varie applicazioni sono estremamente variabili. È quindi chiaro che le precauzioni necessarie per il miglioramento dei computer e dei software utilizzati nella tecnologia della sicurezza dovrebbero essere stabilite in relazione al rischio.

La figura 2 mostra una procedura qualitativa attraverso la quale è possibile determinare la necessaria riduzione del rischio ottenibile utilizzando i sistemi di sicurezza indipendentemente dall'entità e dalla frequenza con cui si verifica il danno (Bell e Reinert 1992). Le tipologie di guasti nei sistemi informatici analizzate nella sezione “Infortuni con sistemi controllati da computer” (sopra) possono essere messe in relazione con i cosiddetti Safety Integrity Levels, cioè le strutture tecniche per la riduzione del rischio.

Figura 2. Procedura qualitativa per la determinazione del rischio

La Figura 3 chiarisce che l'efficacia delle misure adottate, in ogni caso, per ridurre gli errori nel software e nei computer deve crescere con l'aumentare del rischio (DIN 1994; IEC 1993).

Figura 3, Efficacia delle precauzioni prese contro gli errori indipendentemente dal rischio

L'analisi degli incidenti sopra abbozzata mostra che il fallimento delle protezioni computerizzate è causato non solo da guasti casuali dei componenti, ma anche da particolari condizioni operative di cui il programmatore non ha tenuto conto. Le conseguenze non immediatamente evidenti delle modifiche apportate al programma durante la manutenzione del sistema costituiscono un'ulteriore fonte di errore. Ne consegue che possono verificarsi guasti nei sistemi di sicurezza controllati da microprocessori che, sebbene realizzati durante lo sviluppo del sistema, possono portare a una situazione di pericolo solo durante il funzionamento. Pertanto, è necessario prendere precauzioni contro tali guasti mentre i sistemi relativi alla sicurezza sono in fase di sviluppo. Queste cosiddette misure di prevenzione dei guasti devono essere prese non solo durante la fase di ideazione, ma anche nel processo di sviluppo, installazione e modifica. Alcuni guasti possono essere evitati se vengono scoperti e corretti durante questo processo (DIN 1990).

Come chiarisce l'ultimo incidente descritto, il guasto di un singolo transistor può portare al guasto tecnico di apparecchiature automatizzate molto complesse. Poiché ogni singolo circuito è composto da molte migliaia di transistor e altri componenti, è necessario adottare numerose misure per evitare i guasti per riconoscere i guasti che si verificano durante il funzionamento e per avviare una reazione appropriata nel sistema informatico. La Figura 4 descrive i tipi di guasti nei sistemi elettronici programmabili, nonché esempi di precauzioni che possono essere prese per evitare e controllare i guasti nei sistemi informatici (DIN 1990; IEC 1992).

Figura 4. Esempi di precauzioni prese per controllare ed evitare errori nei sistemi informatici

Possibilità e prospettive dei sistemi elettronici programmabili nella tecnologia della sicurezza

Le macchine e gli impianti moderni stanno diventando sempre più complessi e devono svolgere compiti sempre più complessi in periodi di tempo sempre più brevi. Per questo motivo, i sistemi informatici hanno conquistato quasi tutti i settori dell'industria dalla metà degli anni '1970. Questo aumento di complessità da solo ha contribuito in modo significativo all'aumento dei costi legati al miglioramento della tecnologia di sicurezza in tali sistemi. Sebbene software e computer rappresentino una grande sfida per la sicurezza sul posto di lavoro, rendono anche possibile l'implementazione di nuovi sistemi a prova di errore nel campo della tecnologia di sicurezza.

Un verso buffo ma istruttivo di Ernst Jandl aiuterà a spiegare cosa si intende con il concetto favorevole agli errori. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. ("Dilection: Many berieve light and reft cannot be intelchanged, what an ellol".) Nonostante lo scambio di lettere r ed l, questa frase è facilmente comprensibile da un normale essere umano adulto. Anche qualcuno con scarsa padronanza della lingua inglese può tradurlo in inglese. Il compito è, tuttavia, quasi impossibile per un computer che traduce da solo.

Questo esempio mostra che un essere umano può reagire in modo molto più favorevole agli errori rispetto a un computer linguistico. Ciò significa che gli esseri umani, come tutte le altre creature viventi, possono tollerare i fallimenti riferendoli all'esperienza. Se si guardano le macchine oggi in uso, si vede che la maggior parte delle macchine penalizza i guasti degli utenti non con un infortunio, ma con un calo della produzione. Questa proprietà porta alla manipolazione o all'elusione delle garanzie. La moderna tecnologia informatica mette a disposizione della sicurezza sul lavoro sistemi in grado di reagire in modo intelligente, cioè in modo modificato. Tali sistemi rendono quindi possibile una modalità di comportamento favorevole agli errori nelle nuove macchine. Avvertono prima di tutto gli utenti durante un'operazione errata e spengono la macchina solo quando questo è l'unico modo per evitare un incidente. L'analisi degli infortuni mostra che esiste in questo settore un notevole potenziale di riduzione degli infortuni (Reinert e Reuss 1991).

Di ritorno

Leggi 6935 volte Ultima modifica sabato 30 luglio 2022 01:43

Pubblicato in 58. Applicazioni di sicurezza

Altro in questa categoria: « Dispositivi per il controllo, l'isolamento e la commutazione dell'energia Software e computer: sistemi automatizzati ibridi »

torna in cima

" DISCLAIMER: L'ILO non si assume alcuna responsabilità per i contenuti presentati su questo portale Web presentati in una lingua diversa dall'inglese, che è la lingua utilizzata per la produzione iniziale e la revisione tra pari del contenuto originale. Alcune statistiche non sono state aggiornate da allora la produzione della 4a edizione dell'Enciclopedia (1998)."

Contenuti

Riferimenti per applicazioni di sicurezza

Arteau, J, A Lan e JF Corveil. 1994. Uso di linee di vita orizzontali nella costruzione di strutture in acciaio. Atti dell'International Fall Protection Symposium, San Diego, California (27–28 ottobre 1994). Toronto: Società internazionale per la protezione anticaduta.

Backström, T. 1996. Rischio di incidenti e protezione della sicurezza nella produzione automatizzata. Tesi di dottorato. Arbete och Halsa 1996:7. Solna: Istituto nazionale per la vita lavorativa.

Backström, T e L Harms-Ringdahl. 1984. Uno studio statistico sui sistemi di controllo e sugli infortuni sul lavoro. J Occupa acc. 6:201–210.

Backström, T e M Döös. 1994. Difetti tecnici alla base degli incidenti nella produzione automatizzata. In Advances in Agile Manufacturing, a cura di PT Kidd e W Karwowski. Amsterdam: stampa IOS.

—. 1995. Un confronto degli infortuni sul lavoro nelle industrie con la tecnologia di produzione avanzata. Int J Hum Factors Manufac. 5(3). 267–282.

—. In stampa. La genesi tecnica dei guasti alle macchine che portano agli infortuni sul lavoro. Int J Ind Ergonomia.

—. Accettato per la pubblicazione. Frequenze assolute e relative di incidenti di automazione in diversi tipi di apparecchiature e per diversi gruppi professionali. Ris. J Saf.

Bainbridge, L. 1983. Ironie dell'automazione. Automatica 19:775–779.

Bell, ricerca e sviluppo Reinert. 1992. Concetti di rischio e integrità del sistema per i sistemi di controllo relativi alla sicurezza. Saf Sci 15:283–308.

Bouchard, P. 1991. Échafaudages. Guida serie 4. Montreal: CSST.

Ufficio per gli affari nazionali. 1975. Standard di salute e sicurezza sul lavoro. Strutture di protezione antiribaltamento per attrezzature per la movimentazione di materiali e trattori, sezioni 1926, 1928. Washington, DC: Bureau of National Affairs.

Corbett, JM. 1988. Ergonomia nello sviluppo dell'AMT incentrato sull'uomo. Ergonomia applicata 19:35–39.

Culver, C e C Connolly. 1994. Prevenire le cadute mortali nella costruzione. Saf Salute settembre 1994: 72-75.

Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlino: Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlino: Beuth Verlag.

—. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Sicurezza del macchinario—Dispositivi di protezione sensibili alla pressione]. DIN prEN 1760. Berlino: Beuth Verlag.

—. 1995 b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Veicoli commerciali—rilevamento ostacoli durante la retromarcia—requisiti e test]. Norma DIN 75031. Febbraio 1995.

Döös, M e T Backström. 1993. Descrizione degli incidenti nella movimentazione automatizzata dei materiali. In Ergonomics of Materials Handling and Information Processing at Work, a cura di WS Marras, W Karwowski, JL Smith e L Pacholski. Varsavia: Taylor e Francis.

—. 1994. I disturbi della produzione come rischio infortunistico. In Advances in Agile Manufacturing, a cura di PT Kidd e W Karwowski. Amsterdam: stampa IOS.

Comunità Economica Europea (CEE). 1974, 1977, 1979, 1982, 1987. Direttive del Consiglio relative alle strutture di protezione in caso di capovolgimento dei trattori agricoli e forestali a ruote. Bruxelles: CEE.

—. 1991. Direttiva del Consiglio sul ravvicinamento delle legislazioni degli Stati membri relative alle macchine. (91/368/CEE) Lussemburgo: CEE.

Etherton, JR e ML Myers. 1990. Ricerca sulla sicurezza delle macchine al NIOSH e direzioni future. Int J Ind Erg 6:163–174.

Freund, E, F Dierks e J Rossmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Test di sicurezza sul lavoro di robot mobili e sistemi di robot multipli]. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Valutazione dell'affidabilità del sistema di controllo. New York: Società degli strumenti d'America.

Goodstein, LP, HB Anderson e SE Olsen (a cura di). 1988. Compiti, errori e modelli mentali. Londra: Taylor e Francesco.

Gryfe, CI. 1988. Cause e prevenzione delle cadute. Al Simposio Internazionale sulla Protezione Anticaduta. Orlando: Società internazionale per la protezione anticaduta.

Dirigente per la salute e la sicurezza. 1989. Statistiche sulla salute e sulla sicurezza 1986–87. Impiegare Gaz 97(2).

Heinrich, HW, D Peterson e N Roos. 1980. Prevenzione degli infortuni sul lavoro. 5a ed. New York: McGraw Hill.

Hollnagel, E e D Woods. 1983. Ingegneria dei sistemi cognitivi: vino nuovo in bottiglie nuove. Int J Uomo Macchina Stud 18:583–600.

Hölscher, H e J Rader. 1984. Microcomputer in der Sicherheitstechnik. Renania: Verlag TgV-Reinland.

Hörte, S-Å e P Lindberg. 1989. Diffusione e implementazione di tecnologie di produzione avanzate in Svezia. Documento di lavoro n. 198:16. Istituto di Innovazione e Tecnologia.

Commissione elettrotecnica internazionale (IEC). 1992. 122 Progetto di norma: software per computer nell'applicazione di sistemi relativi alla sicurezza industriale. CEI 65 (Sec). Ginevra: CEI.

—. 1993. 123 Progetto di norma: sicurezza funzionale dei sistemi elettrici/elettronici/programmabili; Aspetti generici. Parte 1, Requisiti generali Ginevra: IEC.

Organizzazione Internazionale del Lavoro (ILO). 1965. Sicurezza e salute nel lavoro agricolo. Ginevra: OIL.

—. 1969. Sicurezza e salute nel lavoro forestale. Ginevra: OIL.

—. 1976. Costruzione e funzionamento sicuri dei trattori. Un codice di condotta dell'ILO. Ginevra: OIL.

Organizzazione internazionale per la standardizzazione (ISO). 1981. Trattori Gommati Agricoli e Forestali. Strutture Protettive. Metodo di prova statica e condizioni di accettazione. ISO 5700. Ginevra: ISO.

—. 1990. Standard di gestione della qualità e garanzia della qualità: linee guida per l'applicazione della norma ISO 9001 allo sviluppo, fornitura e manutenzione del software. ISO 9000-3. Ginevra: ISO.

—. 1991. Sistemi di automazione industriale - Sicurezza dei sistemi di produzione integrati - Requisiti di base (CD 11161). TC 184/WG 4. Ginevra: ISO.

—. 1994. Veicoli commerciali—Dispositivo di rilevamento degli ostacoli durante la retromarcia—Requisiti e test. Rapporto tecnico TR 12155. Ginevra: ISO.

Johnson, B. 1989. Progettazione e analisi di sistemi digitali a tolleranza d'errore. New York: Addison Wesley.

Kidd, P. 1994. Produzione automatizzata basata sulle competenze. In Organizzazione e gestione dei sistemi di produzione avanzati, a cura di W Karwowski e G Salvendy. New York: Wiley.

Knowlton, R.E. 1986. Un'introduzione agli studi sui rischi e sull'operabilità: l'approccio alla parola guida. Vancouver, BC: Chimica.

Kuivanen, R. 1990. L'impatto sulla sicurezza dei disturbi nei sistemi di produzione flessibili. In Ergonomics of Hybrid Automated Systems II, a cura di W Karwowski e M Rahimi. Amsterdam: Elsevier.

Laeser, RP, WI McLaughlin e DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau e JF Corbeil. 1994. Protezione contro le cadute da cartelloni pubblicitari fuori terra. Simposio internazionale sulla protezione anticaduta, San Diego, California, 27–28 ottobre 1994. Atti Società internazionale per la protezione anticaduta.

Langer, HJ e W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Utilizzo di sensori per proteggere l'area dietro veicoli di grandi dimensioni]. FB 605. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Levenson, NG. 1986. Sicurezza del software: perché, cosa e come. ACM Computer Surveys (2):S. 129–163.

Mc Manus, Tennessee. Nd Spazi Confinati. Manoscritto.

Microsonic GmbH. 1996. Comunicazione aziendale. Dortmund, Germania: Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens e U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II) [Protezione contro i pericoli mediante sensori a infrarossi]. FB 243. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Mohan, D e R Patel. 1992. Progettazione di attrezzature agricole più sicure: applicazione dell'ergonomia e dell'epidemiologia. Int J Ind Erg 10:301–310.

Associazione nazionale per la protezione antincendio (NFPA). 1993. NFPA 306: Controllo dei rischi di gas sulle navi. Quincy, Massachusetts: NFPA.

Istituto nazionale per la sicurezza e la salute sul lavoro (NIOSH). 1994. Morti dei lavoratori in spazi ristretti. Cincinnati, Ohio, USA: DHHS/PHS/CDCP/NIOSH Pub. N. 94-103. NIOSH.

Neumann, PG. 1987. I N migliori (o peggiori) casi di rischio informatico. Sistema IEEE T Man Cyb. New York: S.11–13.

—. 1994. Rischi illustrativi per il pubblico nell'uso di sistemi informatici e tecnologie correlate. Software Engin Note SIGSOFT 19, No. 1:16–29.

Amministrazione per la sicurezza e la salute sul lavoro (OSHA). 1988. Decessi sul lavoro selezionati relativi a saldatura e taglio come trovati nei rapporti di indagini su incidenti mortali / catastrofe dell'OSHA. Washington, DC: OSHA.

Organizzazione per la cooperazione e lo sviluppo economico (OCSE). 1987. Codici standard per il collaudo ufficiale dei trattori agricoli. Parigi: OCSE.

Organisme Professionel de Prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contro les chutes de hauteur. Boulogne-Bilancourt, Francia: OPPBTP.

Rasmussen, J. 1983. Abilità, regole e conoscenza: agenda, segni e simboli e altre distinzioni nei modelli di performance umana. Transazioni IEEE su sistemi, uomo e cibernetica. SMC13(3): 257–266.

Motivo, J. 1990. Errore umano. New York: Pressa dell'Università di Cambridge.

Reese, CD e GR Mills. 1986. Epidemiologia del trauma delle vittime di spazi confinati e la sua applicazione all'intervento/prevenzione ora. In La natura mutevole del lavoro e della forza lavoro. Cincinnati, Ohio: NIOSH.

Reinert, D e G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. In BIA Handbuch. Sicherheitstechnisches Informations- und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

Società degli ingegneri automobilistici (SAE). 1974. Protezione dell'operatore per attrezzature industriali. Norma SAE j1042. Warrendale, Stati Uniti: SAE.

—. 1975. Criteri di prestazione per la protezione dal ribaltamento. Pratica raccomandata SAE. Norma SAE j1040a. Warrendale, Stati Uniti: SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Stato di sviluppo dei dispositivi di segnalazione della zona posteriore]. Technische Überwachung, n. 4, aprile, S. 161.

Schreiber, P e K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Tecnologia dell'informazione nella tecnica di produzione, serie dell'Istituto federale per la sicurezza e la salute sul lavoro]. FB 717. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Controllo di supervisione. In Handbook of Human Factors, a cura di G. Salvendy. New York: Wiley.

Springfeldt, B. 1993. Effetti delle norme e misure di sicurezza sul lavoro con particolare riguardo agli infortuni. Vantaggi delle soluzioni funzionanti automaticamente. Stoccolma: The Royal Institute of Technology, Department of Work Science.

Sugimoto, N. 1987. Soggetti e problemi della tecnologia della sicurezza dei robot. In Sicurezza e salute sul lavoro nell'automazione e nella robotica, a cura di K Noto. Londra: Taylor e Francesco. 175.

Sulowski, AC (a cura di). 1991. Fondamenti di protezione anticaduta. Toronto, Canada: Società internazionale per la protezione anticaduta.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

Zimolong, B e L Duda. 1992. Strategie di riduzione dell'errore umano nei sistemi di produzione avanzati. In Human-robot Interaction, a cura di M Rahimi e W Karwowski. Londra: Taylor e Francesco.