<div dir="ltr">Peter,<div><br></div><div>I can think of two examples, one of which is only vaguely safety related.<br><br>The first example is that in the UK, goods vehicles are required to be fitted with Road Speed Limiters (RSLs) limiting them to 60 mph. This has resulted in some good vehicles taking an exceptionally long time to pass each other on motorways. I had an illuminating conversation with a taxi driver who had experience of driving good vehicles. He explained that many customers (supermarkets are particularly guilty of this) specify a 30-minute time slot during which the delivery must be made.  If delivery is attempted outside of this 30-minute time slot, the delivery is rejected.  He explained that if a goods vehicle has been held up in traffic and the satellite navigation device predicts that the delivery could be late, the driver is strongly motivated to overtake a slower goods vehicle, even if the difference is only 1 mph. This is an unanticipated consequence of goods vehicles being fitted with Road Speed Limiters and customers requiring deliveries to be made within a fixed time slot.<br><br>The second example is the Spanish train accident at Santiago de Compostela in 2013. The driver was used to operating on tracks where the signalling system prevented the train from exceeding the speed limit. He had got into the habit of leaving the throttle in its maximum position and letting the signalling system control the speed. The stretch of track on which the accident occurred did not have such a signalling system fitted. The driver entered a curve at full throttle, resulting in a derailment. 79 people were killed. This is an unanticipated consequence of a signalling system preventing the train from exceeding the speed limit.<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><p><a name="SignatureSanitizer_SafeHtmlFilter_UNIQUE_ID_SafeHtmlFilter__MailAutoSig"><span style="font-size:10pt;font-family:Arial,sans-serif">Yours,</span></a></p><p><span style="font-family:Arial,sans-serif;font-size:10pt">Dewi Daniels | Director | Software Safety Limited</span><br></p><p><span lang="FR" style="font-size:10pt;font-family:Arial,sans-serif">Telephone +44 7968 837742 | Email </span><span lang="FR" style="font-size:10pt;font-family:Arial,sans-serif;color:purple"><a href="mailto:ddaniels@verocel.com" target="_blank">d</a><a href="mailto:ewi.daniels@software-safety.com" target="_blank">ewi.daniels@software-safety.com</a></span></p><p><font face="Arial, sans-serif">Software Safety Limited is a company registered in England and Wales. Company number: </font><font face="Arial, sans-serif">9390590</font><font face="Arial, sans-serif">. Registered office: Fairfield, 30F Bratton Road, West Ashton, Trowbridge</font><span style="font-size:small;font-family:Arial,sans-serif">, United Kingdom </span><span style="font-size:small;font-family:Arial,sans-serif">BA14 6AZ</span></p></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 31 Mar 2022 at 10:29, Peter Bernard Ladkin <<a href="mailto:ladkin@causalis.com">ladkin@causalis.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Folks,<br>
<br>
the IET is producing a FactFile (a free on-line guidance document) on managing safety in the <br>
development of complex systems. What distinguishes complex systems in this respect from simpler <br>
systems are the emergent properties that emerge from the often-unanticipated interactions of components.<br>
<br>
For the FactFile, I am looking for examples. The standard one is murmurations of starlings, which <br>
has an analogy to the management of drone swarms. Then there is John Conway's game of Life, which <br>
turns out not only self-reproducing animations but is also Turing Complete (an emergent property not <br>
yet known to many Life lovers). Then there is the Boeing 737 MAX. The HazAn is public (thanks to the <br>
Congressional investigation) and made the assumption that an MCAS fault could lead to a runaway <br>
pitch trim, which the pilots were supposed to be able to counter by pulling the circuit breaker and <br>
manually(mechanically) retrimming. This action turns (turned) out not to be appropriate, it being <br>
almost impossible to mechanically retrim under the condition of strong forces on pitch control. This <br>
is a phenomenon known already in the 1960's but seemingly overlooked by newer generations of <br>
designers and flyers.<br>
<br>
Does anyone have more good examples of safety-related emergent properties that we could put in the <br>
FactFile?<br>
<br>
PBL<br>
<br>
Prof. i.R. Dr. Peter Bernard Ladkin, Bielefeld, Germany<br>
Tel+msg +49 (0)521 880 7319  <a href="http://www.rvs-bi.de" rel="noreferrer" target="_blank">www.rvs-bi.de</a><br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
The System Safety Mailing List<br>
<a href="mailto:systemsafety@TechFak.Uni-Bielefeld.DE" target="_blank">systemsafety@TechFak.Uni-Bielefeld.DE</a><br>
Manage your subscription: <a href="https://lists.techfak.uni-bielefeld.de/mailman/listinfo/systemsafety" rel="noreferrer" target="_blank">https://lists.techfak.uni-bielefeld.de/mailman/listinfo/systemsafety</a></blockquote></div>