• あなたはここにいる:  
  • ホーム
  • パートVIII。 事故と安全管理
  • 安全用途
  • 電気、電子、およびプログラマブル電子デバイスに基づく安全関連システムの技術要件
月曜日、4月04 2011 18:53

電気、電子、およびプログラマブル電子デバイスに基づく安全関連システムの技術要件

このアイテムを評価
(0票)

機械、プロセスプラント、およびその他の機器は、故障した場合、火災、爆発、放射線の過剰摂取、可動部品などの危険な事象によるリスクをもたらす可能性があります。 このようなプラント、機器、および機械が誤動作する原因の 1 つは、制御または安全システムの設計に使用される電気機械、電子、およびプログラマブル電子 (E/E/PE) デバイスの故障です。 これらの障害は、デバイスの物理的な障害 (たとえば、時間内にランダムに発生する摩耗 (ランダムなハードウェア障害) など) から発生する可能性があります。 または系統的な障害 (例えば、(2) 入力の特定の組み合わせ、(3) 何らかの環境条件、(4) センサーからの不正確または不完全な入力、( 5) オペレーターによる不完全または誤ったデータ入力、および (XNUMX) 不十分なインターフェース設計による潜在的なシステム障害)。

安全関連のシステム障害

この記事では、安全関連の制御システムの機能安全について説明し、必要な安全性の完全性を達成するために必要なハードウェアとソフトウェアの技術要件について検討します。 全体的なアプローチは、提案された国際電気標準会議規格 IEC 1508、パート 2 および 3 (IEC 1993) に準拠しています。 国際規格草案IEC 1508の全体的な目標は、 機能安全: 安全関連システム、プラントと機器を安全に自動化できるようにすることです。 提案された国際規格の開発における主な目的は、以下の頻度を防止または最小限に抑えることです。

    • 制御システムの故障により、危険につながる可能性のある他のイベントが引き起こされる (例: 制御システムの故障、制御不能、プロセスの制御不能による火災、有毒物質の放出など)
    • 必要な緊急措置を実行するために、オペレーターが迅速に識別および理解できる形式で情報を提供されないようにする、警報および監視システムの障害
    • 保護システムの未検出の障害を検出し、安全措置が必要なときにそれらを使用できないようにします (たとえば、緊急シャットダウン システムでの入力カードの障害)。

         

        記事「電気、電子、およびプログラマブル電子安全関連システム」は、安全にとって重要な制御および保護システムの安全を確保するために、IEC 1 のパート 1508 で具現化された一般的な安全管理アプローチを規定しています。 この記事では、E/E/PE 技術に基づく制御または保護システムの役割を含め、事故のリスクを許容レベルまで下げるために必要な全体的な概念工学設計について説明します。

        図 1 では、機器、プロセス プラント、または機械からのリスク (一般に、 管理下の機器 (EUC) 保護装置なし) は、EUC リスク スケールの一方の端にマークされ、もう一方の端には、必要な安全レベルを満たすために必要なリスクの目標レベルが示されています。 その間に、必要なリスク削減を構成するために必要な安全関連システムと外部リスク削減施設の組み合わせが示されています。 これらには、機械式 (圧力リリーフ バルブなど)、油圧式、空圧式、物理式、および E/E/PE システムなど、さまざまな種類があります。 図 2 は、事故の進行に伴う EUC の保護における各安全層の役割を強調しています。

        図 1. リスクの軽減: 一般的な概念

        SAF060F1

         

        図 2. モデル全体: 保護層

        SAF060F2

        IEC 1 のパート 1508 で要求されているように、ハザードとリスクの分析が EUC で実行されている場合、安全のための全体的な概念設計が確立されているため、あらゆる E/E/ PE 制御または保護システムが定義されています。 安全度水準の目標は、目標の失敗の尺度に関して定義されます (表 1 を参照)。

        表 1. 保護システムの安全度水準: 対象となる故障対策

        安全度レベル                        デマンド動作モード (オンデマンドで設計機能を実行できない確率)

        4 10-5 ≦×10-4

        3 10-4 ≦×10-3

        2 10-3 ≦×10-2

        1 10-2 ≦×10-1 

        保護システム

        このホワイト ペーパーでは、E/E/PE 安全関連システムの設計者が必要な安全度水準の目標を満たすために考慮すべき技術要件の概要を説明します。 一般性をほとんど損なうことなく重要な問題についてより詳細な議論を可能にするために、プログラム可能な電子機器を利用した典型的な保護システムに焦点を当てています。 代表的な保護システムを図 3 に示します。これは、診断デバイスを介してアクティブ化された XNUMX 次スイッチオフを備えた単一チャネルの安全システムを示しています。 通常の操作では、EUC の危険な状態 (機械の速度超過、化学プラントの高温など) がセンサーによって検出され、プログラム可能な電子機器に送信されます。システムを安全な状態にします (例: 機械の電気モーターへの電源を切る、バルブを開いて圧力を解放する)。

        図 3. 一般的な保護システム

        SAF060F3

        しかし、保護システム コンポーネントに障害が発生した場合はどうなるでしょうか。 これは、この設計の診断 (セルフチェック) 機能によって起動される二次スイッチオフの機能です。 ただし、システムは完全にフェイルセーフではありません。安全機能の実行を求められたときに設計が利用できる可能性があるのは一定の確率だけだからです (要求に応じて障害が発生する一定の確率または特定の安全度水準があります)。 たとえば、上記の設計では、特定の種類の出力カードの障害を検出して許容できる場合がありますが、入力カードの障害には耐えることができません。 したがって、その安全性の完全性は、信頼性の高い入力カード、改善された診断機能、またはこれらの組み合わせを備えた設計よりもはるかに低くなります。

        ハードウェアの「従来の」物理的障害、要件仕様のエラーを含むシステム障害、ソフトウェアの実装障害、環境条件 (湿度など) に対する不適切な保護など、カード障害の他の原因が考えられます。 この単一チャネル設計の診断では、これらすべてのタイプの障害をカバーできない場合があるため、実際に達成される安全度水準が制限されます。 (カバレッジは、設計が検出して安全に処理できる障害の割合の尺度です。)

        技術要件

        ドラフト IEC 2 のパート 3 およびパート 1508 は、ハードウェアおよびソフトウェアのさまざまな潜在的な故障原因を特定し、安全関連システムの要求される安全度水準に適したこれらの潜在的な故障原因を克服する設計機能を選択するためのフレームワークを提供します。 たとえば、図 3 の保護システムの全体的な技術的アプローチを図 4 に示します。この図は、障害と障害を克服するための 1 つの基本的な戦略を示しています。 障害回避、障害が発生しないように注意が払われています。 (2) フォールトトレランス、指定された障害を許容するように特別に設計が作成されています。 前述の単一チャネル システムは、診断機能を使用して特定の障害を検出し、危険な障害が発生する前にシステムを安全な状態にする (限定的な) 障害許容設計の一例です。

        図 4. 設計仕様: 設計ソリューション

        SAF060F4

        障害回避

        障害回避は、障害がシステムに持ち込まれるのを防止しようとします。 主なアプローチは、プロジェクトを管理する体系的な方法を使用して、安全性がシステムの定義可能で管理可能な品質として扱われるようにすることです。これは、設計中、その後の運用と保守中に行われます。 品質保証に似たこのアプローチは、フィードバックの概念に基づいており、以下が含まれます。 計画 (安全目標を定義し、目標を達成するための方法と手段を特定する); (2) 計測 実施中の計画に対する達成および(3)適用 フィードバック 偏差を修正します。 設計レビューは、障害回避手法の良い例です。 IEC 1508 では、障害回避に対するこの「品質」アプローチは、安全ライフサイクルを使用し、ハードウェアとソフトウェアの両方に安全管理手順を採用するという要件によって促進されます。 後者の場合、ISO 9000-3 (1990) で説明されているようなソフトウェア品質保証手順として現れることがよくあります。

        さらに、IEC 2 のパート 3 とパート 1508 (それぞれハードウェアとソフトウェアに関する) は、さまざまな安全ライフサイクル フェーズでの障害回避に役立つと考えられる特定の技術または手段を格付けしています。 表 2 は、パート 3 のソフトウェアの設計および開発フェーズの例を示しています。 設計者は、必要な安全度水準に応じて、障害回避技術の選択を支援するために表を使用します。 表の各手法または手段には、安全度水準 1 ~ 4 ごとの推奨事項があります。推奨事項の範囲は、強く推奨 (HR)、推奨 (R)、中立 (賛成でも反対でもない (—)、非推奨) です。 (NR)。

        表 2. ソフトウェアの設計と開発

        技術・対策

        1年のSIL

        2年のSIL

        3年のSIL

        4年のSIL

        1. CCS、CSP、HOL、LOTOS などの形式メソッド

        -

        R

        R

        HR

        2. セミフォーマルな方法

        HR

        HR

        HR

        HR

        3.構造化。 JSD、MASCOT、SADT、SSADM、YOURDONなどの方法論

        HR

        HR

        HR

        HR

        4.モジュラーアプローチ

        HR

        HR

        HR

        HR

        5. 設計およびコーディング基準

        R

        HR

        HR

        HR

        HR = 強く推奨。 R = 推奨。 NR = 非推奨;— = 中立: 手法/手段は SIL に賛成でも反対でもない。
        注:安全度レベルに応じて、番号が付けられた技術/手段を選択する必要があります。

        フォールトトレランス

        IEC 1508 では、安全度の目標が高くなるにつれて、フォールト トレランスのレベルを上げる必要があります。 ただし、この規格では、システム (およびそれらのシステムを構成するコンポーネント) が複雑な場合 (IEC 1508 でタイプ B として指定) には、フォールト トレランスがより重要であることを認識しています。 それほど複雑ではなく、「十分に実績のある」システムでは、フォールト トレランスの程度を緩和できます。

        ランダムなハードウェア障害に対する耐性

        表 3 は、図 3 に示すような保護システムで使用される場合の、複雑なハードウェア コンポーネント (マイクロプロセッサなど) のランダムなハードウェア障害に対するフォールト トレランスの要件を示しています。設計者は、診断、フォールト トレランス、および必要な安全度水準に応じて、このクラスの障害を克服するための手動の証明チェック。

        表 3. 安全度水準 - タイプ B コンポーネントの障害要件1

        1 安全関連の検出されない故障は、プルーフチェックによって検出されるものとします。

        2 オンライン媒体診断範囲のないコンポーネントの場合、システムは、単一の障害が存在する場合に安全機能を実行できなければなりません。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。

        3 オンラインで高い診断範囲を備えたコンポーネントの場合、システムは、単一の障害が存在する場合に安全機能を実行できなければなりません。 オンラインの高度な診断範囲を持たないコンポーネントの場合、システムは XNUMX つの障害が発生しても安全機能を実行できなければなりません。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。

        4 コンポーネントは、XNUMX つの障害の存在下で安全機能を実行できなければならない。 障害は、オンラインの高度な診断範囲で検出されます。 安全関連の検出されない障害は、プルーフ チェックによって検出されるものとします。 定量的なハードウェア分析は、最悪の場合の仮定に基づくものとします。

        1故障モードが明確に定義されていない、またはテストできないコンポーネント、または現場での経験から得られた故障データが不十分なコンポーネント (たとえば、プログラム可能な電子コンポーネント)。

        IEC 1508 は、多くの一般的に使用される保護システム アーキテクチャの安全度水準に対して索引付けされた設計パラメータを含む設計仕様表 (表 4 を参照) を提供することにより、設計者を支援します。

        表 4. 安全度水準 2 の要件 - 保護システム用のプログラム可能な電子システム アーキテクチャ

        PE システム構成

        チャネルごとの診断範囲

        オフラインプルーフテスト間隔 (TI)

        スプリアストリップまでの平均時間

        シングル PE、シングル I/O、Ext. WD

        ハイ

        6か月間

        1.6年

        デュアル PE、シングル I/O

        ハイ

        6か月間

        10年

        デュアル PE、デュアル I/O、2oo2

        ハイ

        3か月間

        1,281年

        デュアル PE、デュアル I/O、1oo2

        なし

        2か月間

        1.4年

        デュアル PE、デュアル I/O、1oo2

        ロー

        5か月間

        1.0年

        デュアル PE、デュアル I/O、1oo2

        M

        18か月間

        0.8年

        デュアル PE、デュアル I/O、1oo2

        ハイ

        36か月間

        0.8年

        デュアル PE、デュアル I/O、1oo2D

        なし

        2か月間

        1.9年

        デュアル PE、デュアル I/O、1oo2D

        ロー

        4か月間

        4.7年

        デュアル PE、デュアル I/O、1oo2D

        M

        18か月間

        18年

        デュアル PE、デュアル I/O、1oo2D

        ハイ

        48 +月

        168年

        トリプル PE、トリプル I/O、IPC、2oo3

        なし

        1月

        20年

        トリプル PE、トリプル I/O、IPC、2oo3

        ロー

        3か月間

        25年

        トリプル PE、トリプル I/O、IPC、2oo3

        M

        12か月間

        30年

        トリプル PE、トリプル I/O、IPC、2oo3

        ハイ

        48 +月

        168年

         

        表の最初の列は、さまざまなレベルのフォールト トレランスを持つアーキテクチャを表しています。 一般に、表の一番下に配置されたアーキテクチャは、一番上に近いアーキテクチャよりも耐障害性が高くなります。 1oo2 (2 つのうちの 3 つ) システムは、XNUMXooXNUMX と同様に、XNUMX つの障害に耐えることができます。

        8 番目の列は、内部診断のカバー率を示しています。 診断のレベルが高いほど、より多くの障害がトラップされます。 保護システムでは、障害のあるコンポーネント (入力カードなど) が妥当な時間 (多くの場合 XNUMX 時間) 内に修復されれば、機能安全の損失はほとんどないため、これは重要です。 (注: これは連続制御システムの場合には当てはまりません。障害が発生すると、すぐに安全でない状態が発生し、インシデントが発生する可能性があるためです。)

        XNUMX 番目の列は、プルーフ テストの間隔を示します。 これらは、潜在的な障害がないことを確認するために保護システムを徹底的に実行するために実行する必要がある特別なテストです。 通常、これらはプラントのシャットダウン期間中に機器ベンダーによって実行されます。

        1 番目の列は、スプリアス トリップ率を示します。 スプリアス トリップとは、プロセスの逸脱がない場合にプラントまたは機器を停止させるトリップです。 多くの場合、安全性の代償として、スプリアス トリップ率が高くなります。 単純な冗長保護システム (2oo1) は、他のすべての設計要因を変更せずに、単一チャネル (1ooXNUMX) システムよりも高い安全度水準を備えていますが、スプリアス トリップ率も高くなります。

        表のアーキテクチャのいずれかが使用されていない場合、または設計者がより基本的な分析を実行したい場合、IEC 1508 はこの代替手段を許可しています。 その後、マルコフ モデリングなどの信頼性エンジニアリング手法を使用して、安全度水準のハードウェア要素を計算できます (Johnson 1989; Goble 1992)。

        系統的および共通原因による故障に対する耐性

        このクラスの障害は、安全システムにおいて非常に重要であり、安全性の完全性を達成する上での制限要因です。 冗長システムでは、信頼性の低い部分から高い信頼性を実現するために、コンポーネントまたはサブシステム、さらにはシステム全体が二重化されます。 信頼性の向上は、統計的に、ランダムな障害によって XNUMX つのシステムが同時に故障する可能性が個々のシステムの信頼性の積になるため、はるかに低くなるためです。 一方、系統的および共通原因の障害は、たとえば、ソフトウェアの仕様エラーによって重複した部分が同時に故障する場合に、冗長システムが同時に故障する原因となります。 もう XNUMX つの例は、冗長システムへの共通電源の障害です。

        IEC 1508 は、体系的および一般的な原因による障害に対する保護を提供するのに効果的であると考えられる安全度水準に対してランク付けされたエンジニアリング技術の表を提供します。

        系統的障害に対する防御を提供する手法の例としては、多様性と分析の冗長性があります。 ダイバーシティの基本は、設計者が異なるテクノロジまたはソフトウェア言語を使用して冗長システムに XNUMX 番目のチャネルを実装した場合、冗長チャネルの障害は独立していると見なすことができる (つまり、偶発的な障害の可能性が低い) ことです。 ただし、特にソフトウェアベースのシステムの領域では、ほとんどの間違いが仕様に含まれているため、この手法は効果的ではない可能性があるという提案があります。 分析的冗長性は、プラントまたはマシンの冗長情報を利用して障害を特定しようとします。 系統的故障のその他の原因 (外部ストレスなど) については、この規格は、安全度水準に照らして索引付けされた優れたエンジニアリング プラクティス (信号ケーブルと電源ケーブルの分離など) に関するアドバイスを提供する表を提供します。

        結論

        コンピュータベースのシステムには、経済的なだけでなく、安全性を向上させる可能性など、多くの利点があります。 ただし、この可能性を実現するために必要な細部への注意は、従来のシステム コンポーネントを使用する場合よりも大幅に高くなります。 この記事では、このテクノロジをうまく活用するために設計者が考慮する必要がある主な技術要件の概要を説明しました。

         

        戻る

        読む 8334 <font style="vertical-align: inherit;">回数</font> 最終更新日: 30 年 2022 月 01 日 (土) 48:XNUMX
        に掲載されました 58. 安全アプリケーション
        このカテゴリの詳細: « 電気、電子およびプログラマブル電子安全関連制御システム 転がる "
        トップへ戻る

        免責事項: ILO は、この Web ポータルに掲載されているコンテンツが英語以外の言語で提示されていることについて責任を負いません。英語は、オリジナル コンテンツの最初の制作およびピア レビューに使用される言語です。その後、特定の統計が更新されていません。百科事典の第 4 版 (1998 年) の作成。

        内容

        安全アプリケーションの参考文献

        Arteau、J、A Lan、および JF Corveil。 1994. 構造用鋼の建設における水平ライフラインの使用。 国際落下保護シンポジウムの議事録、カリフォルニア州サンディエゴ (27 年 28 月 1994 ~ XNUMX 日)。 トロント: 国際落下防止協会。

        Backström, T. 1996. 自動化された生産における事故のリスクと安全保護。 博士論文。 Arbete och Hälsa 1996:7. Solna: 労働生活のための国立研究所。

        Backström、T および L Harms-Ringdahl。 1984. 制御システムと職場での事故に関する統計的研究。 J 占有率6:201–210。

        Backström、T および M Döös。 1994. 自動化された生産における事故の背後にある技術的な欠陥。 PT Kidd と W Karwowski が編集した『Adances in Agile Manufacturing』。 アムステルダム: IOS プレス。

        —。 1995.産業における労働災害と高度な製造技術の比較。 Int J Hum Factors Manufac. 5(3)。 267–282。

        —。 印刷中。 労働災害につながる機械の故障の技術的発生。 Int J Ind エルゴノミクス。

        —。 掲載受付中です。 さまざまな種類の機器およびさまざまな職業グループでの自動化事故の絶対および相対頻度。 J Saf Res.

        Bainbridge, L. 1983. 自動化の皮肉。 Automatica 19:775–779。

        ベル、R および D Reinert。 1992 年。安全関連制御システムのリスクとシステムの完全性の概念。 Saf Sci 15:283–308。

        Bouchard、P. 1991。Échafaudages。 Guide série 4. モントリオール: CSST.

        国務局。 1975. 労働安全衛生基準。 マテリアルハンドリング機器およびトラクターのロールオーバー保護構造、セクション 1926、1928。ワシントン DC: 国務局。

        コーベット、JM. 1988年。人間中心のAMTの開発における人間工学。 応用人間工学 19:35–39.

        カルバー、C および C コノリー。 1994. 建設中の致命的な落下を防ぎます。 Saf Health 1994 年 72 月: 75–XNUMX。

        ドイツ工業規格 (DIN)。 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. ベルリン: Beuth Verlag.

        —。 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. ベルリン: Beuth Verlag.

        —。 1995a。 Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [機械の安全性—圧力に敏感な保護具]。 DIN prEN 1760. ベルリン: Beuth Verlag.

        —。 1995b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [商用車—後退時の障害物検出—要件とテスト]。 DIN 規格 75031。1995 年 XNUMX 月。

        Döös、M および T Backström。 1993 年。自動マテリアル ハンドリングにおける事故の説明。 WS Marras、W Karwowski、JL Smith、および L Pacholski によって編集された、作業におけるマテリアル ハンドリングおよび情報処理の人間工学。 ワルシャワ: テイラーとフランシス。

        —。 1994. 事故リスクとしての生産障害。 PT Kidd と W Karwowski が編集した『Adances in Agile Manufacturing』。 アムステルダム: IOS プレス。

        欧州経済共同体 (EEC)。 1974 年、1977 年、1979 年、1982 年、1987 年。車輪付き農業用および林業用トラクターの転覆保護構造に関する理事会指令。 ブリュッセル: EEC.

        —。 1991. 機械に関する加盟国の法律の概算に関する理事会指令。 (91/368/EEC) ルクセンブルグ: EEC.

        イーサトン、JR、ML マイヤーズ。 1990 年。NIOSH での機械安全研究と将来の方向性。 Int J Ind Erg 6:163–174.

        Freund、E、F Dierks、J Roßmann。 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [移動ロボットと複数のロボット システムの労働安全性テスト]。 ドルトムント: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

        Goble, W. 1992. 制御システムの信頼性の評価。 ニューヨーク:アメリカ楽器協会。

        グッドスタイン、LP、HB アンダーソン、SE オルセン (eds.)。 1988. タスク、エラー、およびメンタル モデル。 ロンドン:テイラーとフランシス。

        Gryfe、CI。 1988年 転倒の原因と予防。 国際落下防止シンポジウムにて。 オーランド: 国際落下防止協会。

        安全衛生担当役員。 1989 年。健康と安全に関する統計 1986 ~ 87 年。 Gaz 97(2) を使用します。

        Heinrich、HW、D Peterson、N Roos。 1980. 労働災害防止。 第5版。 ニューヨーク: マグロウヒル。

        ホールネーゲル、E、および D ウッズ。 1983. 認知システム工学: 新しいボトルに入った新しいワイン。 Int J Man Machine Stud 18:583–600.

        ヘルシャー、H および J レーダー。 1984. Mikrocomputer in der Sicherheitstechnik. Rheinland: Verlag TgV-Reinland。

        Hörte、S-Å、P Lindberg。 1989 年。スウェーデンにおける高度な製造技術の普及と導入。 ワーキング ペーパー No. 198:16。 革新技術研究所。

        国際電気標準会議 (IEC)。 1992. 122 ドラフト標準: 産業安全関連システムのアプリケーションにおけるコンピュータ用ソフトウェア。 IEC 65 (秒)。 ジュネーブ: IEC.

        —。 1993. 123 規格草案: 電気/電子/プログラマブル電子システムの機能安全; 一般的な側面。 パート 1、一般要件 ジュネーブ: IEC。

        国際労働機関 (ILO)。 1965. 農作業における安全と健康。 ジュネーブ: ILO.

        —。 1969 年。林業における安全と健康。 ジュネーブ: ILO.

        —。 1976. トラクターの安全な構造と操作。 ILO 行動規範。 ジュネーブ: ILO.

        国際標準化機構 (ISO)。 1981. 農林業の車輪付きトラクター。 保護構造。 静的試験方法と受け入れ条件。 ISO 5700。ジュネーブ: ISO。

        —。 1990. 品質管理および品質保証基準: ISO 9001 をソフトウェアの開発、供給、および保守に適用するためのガイドライン。 ISO 9000-3。 ジュネーブ: ISO。

        —。 1991 年。産業オートメーション システム—統合製造システムの安全—基本要件 (CD 11161)。 TC 184/WG 4. ジュネーブ: ISO。

        —。 1994. 商用車 - 後退中の障害物検出装置 - 要件とテスト。 テクニカル レポート TR 12155。ジュネーブ: ISO。

        Johnson, B. 1989. フォールト トレラント デジタル システムの設計と分析。 ニューヨーク:アディソン・ウェズリー。

        Kidd, P. 1994. スキルベースの自動製造。 W Karwowski と G Salvendy が編集した高度な製造システムの組織と管理。 ニューヨーク: ワイリー。

        ノウルトン、RE。 1986. ハザードおよび操作性研究の紹介: ガイド ワード アプローチ。 バンクーバー、ブリティッシュ コロンビア州: 化学。

        Kuivanen, R. 1990. 柔軟な製造システムにおける外乱の安全性への影響。 ハイブリッド自動化システム II の人間工学、W Karwowski および M Rahimi によって編集されました。 アムステルダム:エルゼビア。

        Laeser、RP、WI McLaughlin、DM Wolff。 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70。

        Lan、A、J Arteau、JF Corbeil。 1994. 地上の看板からの落下に対する保護。 国際落下保護シンポジウム、カリフォルニア州サンディエゴ、27 年 28 月 1994 ~ XNUMX 日。議事録 国際落下防止協会。

        Langer、HJ、W Kurfürst。 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [センサーを使用して大型車両の背後の領域を保護する]。 FB 605. ドルトムント: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        レベンソン、NG。 1986. ソフトウェアの安全性: なぜ、何を、どのように。 ACM コンピュータ調査 (2):S. 129–163。

        マクマナス、テネシー州。 Nd 限られたスペース。 原稿。

        マイクロソニック社。 1996. 会社通信。 ドイツ、ドルトムント:マイクロソニック。

        Mester、U、T Herwig、G Dönges、B Brodbeck、HD Bredow、M Behrens、U Ahrens。 1980 年。Gefahrenschutz durch パッシブ Infrarot-Sensoren (II) [赤外線センサーによる危険に対する保護]。 FB 243. ドルトムント: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        モハン、D および R パテル。 1992. より安全な農業機器の設計: 人間工学と疫学の応用。 Int J Ind Erg 10:301–310.

        全米防火協会 (NFPA)。 1993. NFPA 306: 船舶のガス危険の管理。 マサチューセッツ州クインシー: NFPA.

        国立労働安全衛生研究所 (NIOSH)。 1994. 限られたスペースでの労働者の死亡。 米国オハイオ州シンシナティ: DHHS/PHS/CDCP/NIOSH Pub. No. 94-103。 NIOSH。

        ノイマン、PG。 1987 年。コンピューター関連のリスク ケースの N ベスト (またはワースト)。 IEEE T Syst Man Cyb. ニューヨーク: S.11–13.

        —。 1994 年。コンピュータ システムおよび関連技術の使用における公衆への例示的なリスク。 ソフトウェア エンジン ノート SIGSOFT 19、No. 1:16–29。

        労働安全衛生局 (OSHA)。 1988. OSHA の死亡事故/災害調査の報告書に見られる、溶接および切断に関連する職業上の死亡事故の抜粋。 ワシントン DC: OSHA。

        経済協力開発機構 (OECD)。 1987. 農業用トラクターの公式試験のための標準コード。 パリ:OECD。

        Organisme professional de prévention du bâtiment et des travaux publics (OPPBTP)。 1984. Les equipements individuels de protection contre les chutes de hauteur. フランス、ブローニュ=ビランクール:OPPBTP。

        Rasmussen, J. 1983. Skills, rules and knowledge: Agenda, Signs and Symbols, and other difference in human performance models. システム、人間、およびサイバネティックスに関する IEEE トランザクション。 SMC13(3): 257–266.

        Reason, J. 1990. ヒューマン エラー。 ニューヨーク:ケンブリッジ大学出版局。

        リース、CD、GR ミルズ。 1986. 密閉空間での死亡者の外傷疫学と現在の介入/予防への応用。 仕事と労働力の変化する性質の中で。 オハイオ州シンシナティ: NIOSH.

        Reinert、D および G Reuss。 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozesssorgesteuerter
        Sicherheitseinrichtungen。 BIA-Handbuchで。 Sicherheitstechnisches Informations-und Arbeitsblatt 310222. ビーレフェルト: Erich Schmidt Verlag.

        自動車技術者協会 (SAE)。 1974. 産業用機器のオペレーター保護。 SAE 規格 j1042。 米国ウォーレンデール:SAE。

        —。 1975 年。ロールオーバー保護のパフォーマンス基準。 SAE 推奨プラクティス。 SAE 規格 j1040a。 米国ウォーレンデール:SAE。

        Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [後方警告装置の開発状況]。 Technische Überwachung, Nr. 4、161 月、S. XNUMX。

        シュライバー、P および K クーン。 1995. Informationstechnologie in der Fertigungstechnik [生産技術における情報技術、連邦労働安全衛生研究所のシリーズ]。 FB 717. ドルトムント: Schriftenreihe der bundesanstalt für Arbeitsschutz.

        Sheridan, T. 1987. 監督管理。 人的要因のハンドブック、G. Salvendy 編。 ニューヨーク: ワイリー。

        Springfeldt, B. 1993. 労働安全規則の影響と傷害に関する特別な措置。 自動作業ソリューションの利点。 ストックホルム: 王立工科大学、労働科学科。

        杉本宣夫 1987. ロボット安全技術の課題と課題. オートメーションとロボティクスにおける労働安全衛生、K Noto 編。 ロンドン:テイラー&フランシス。 175。

        Sulowski、AC(編)。 1991年。落下保護の基礎。 カナダ、トロント: 国際落下防止協会。

        Wehner、T. 1992。Sicherheit als Fehlerfreundlichkeit。 オプラデン: Westdeutscher Verlag。

        Zimolong、B、および L Duda。 1992. 高度な製造システムにおけるヒューマン エラー削減戦略。 M Rahimi と W Karwowski が編集したヒューマン ロボット インタラクション。 ロンドン:テイラー&フランシス。