
<div dir="ltr">A rationale for 1 X <span class="gmail-il">10</span>^-9 is provided in EASA AMC 25.1309 <a href="https://www.easa.europa.eu/sites/default/files/dfu/CS-25_Amdt%203_19.09.07_Consolidated%20version.pdf">Certification Specifications for Large Aeroplanes (CS-25) (europa.eu)</a>. AMC 25.1309 section 6.a reads:<div><div><br></div><div>"For a number of years aeroplane systems were evaluated to specific requirements, to the "single fault" criterion, or to the fail-safe design concept. As later-generation aeroplanes developed, more safety-critical functions were required to be performed, which generally resulted in an increase in the complexity of the systems designed to perform these functions. The potential hazards to the aeroplane and its occupants which could arise in the event of loss of one or more functions provided by a system or that system's malfunction had to be considered, as also did the interaction between systems performing different functions. This has led to the general principle that an inverse relationship should exist between the probability of a Failure Condition and its effect on the aeroplane and/or its occupants (see Figure 1). In assessing the acceptability of a design it was recognised that rational probability values would have to be established. Historical evidence indicated that the probability of a serious accident due to operational and airframe-related causes was approximately one per million hours of flight. Furthermore, about 10 percent of the total were attributed to Failure Conditions caused by the aeroplane's systems. It seems reasonable that serious accidents caused by systems should not be allowed a higher probability than this in new aeroplane designs. It is reasonable to expect that the probability of a serious accident from all such Failure Conditions be not greater than one per ten million flight hours or 1 x 10-7 per flight hour for a newly designed aeroplane. The difficulty with this is that it is not possible to say whether the target has been met until all the systems on the aeroplane are collectively analysed numerically. For this reason it was assumed, arbitrarily, that there are about one hundred potential Failure Conditions in an aeroplane, which could be Catastrophic. The target allowable Average Probability per Flight Hour of 1 x 10-7 was thus apportioned equally among these Failure Conditions, resulting in an allocation of not greater than 1 x 10-9 to each. The upper limit for the Average Probability per Flight Hour for Catastrophic Failure Conditions would be 1 x 10-9 , which establishes an approximate probability value for the term "Extremely Improbable". Failure Conditions having less severe effects could be relatively more likely to occur".</div><div><br><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div style="color:rgb(34,34,34)"><a name="SignatureSanitizer_m_-5798674576462993830_SignatureSanitizer_SafeHtmlFilter_UNIQUE_ID_SafeHtmlFilter__MailAutoSig"><span style="font-size:10pt;font-family:Arial,sans-serif">Yours,</span></a><br></div><div style="color:rgb(34,34,34)"><div dir="ltr"><div dir="ltr"><p><span style="font-family:Arial,sans-serif;font-size:10pt">Dewi Daniels | Director | Software Safety Limited</span><br></p><p><span lang="FR" style="font-size:10pt;font-family:Arial,sans-serif">Telephone +44 7968 837742 | Email <a href="mailto:dewi.daniels@software-safety.com" target="_blank">dewi.daniels@software-safety.com</a></span></p><p><font face="Arial, sans-serif">Software Safety Limited is a company registered in England and Wales. Company number: </font><font face="Arial, sans-serif">9390590</font><font face="Arial, sans-serif">. Registered office: Fairfield, 30F Bratton Road, West Ashton, Trowbridge</font><span style="font-family:Arial,sans-serif">, United Kingdom </span><span style="font-family:Arial,sans-serif">BA14 6AZ</span></p></div></div></div></div></div></div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 21 Aug 2024 at 18:00, Steve Tockey <<a href="mailto:steve.tockey@construx.com">steve.tockey@construx.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div>

<div><br>

</div>

<div>Paul Sherwood wrote:</div>

<div><br>

</div>

<div><i>“Can you (or anyone on the list) help me understand how the committee arrived at 10^-5, 10^-6, 10^-7, 10^-8 as targets?”</i></div>

<div><br>

</div>

<div>They come from FAA Advisory Circular AC 25.1309-1A System Design and Analysis (<a href="https://www.faa.gov/documentLibrary/media/Advisory_Circular/AC_25_1309-1A.pdf" target="_blank">https://www.faa.gov/documentLibrary/media/Advisory_Circular/AC_25_1309-1A.pdf</a>)</div>

<div><br>

</div>

<div><br>

</div>

<div>Section 9.e on pages 13 & 14 (quote):</div>

<div><br>

</div>

<div>

<div>e. <u>Qualitative Probability Terms</u>. When using qualitative analyses to determine compliance with § 25.1309(b), the following descriptions of the probability terms used in this regulation and this AC have become commonly accepted as aids to engineering

 judgment:</div>

<div><br>

</div>

<div>(1) Probable failure conditions are those anticipated to occur one or more times during the entire operational life of each airplane.</div>

<div><br>

</div>

<div>(2) Improbable failure conditions are those not anticipated to occur during the entire operational life of a single random airplane. However, they may occur occasionally during the entire operational life of all airplanes of one type.</div>

<div><br>

</div>

<div>(3) Extremely Improbable failure conditions are those so unlikely that they are not anticipated to occur during the entire operational life of all airplanes of one type.</div>

</div>

<div><br>

</div>

<div><br>

</div>

<div><br>

</div>

<div>Section 10.b on pages 14 & 15 (quote):</div>

<div><br>

</div>

<div>

<div>b. <u>Quantitative Probability Terms</u>. When using quantitative analyses to help determine compliance with § 25.13U9(b), the following descriptions of the probability terms used in this regulation and this AC have become commonly accepted as aids to

 engineering judgment. They are usually expressed in terms of acceptable numerical probability ranges for each flight-hour, based on a flight of mean duration for the airplane type. However, for a function which is used only during a specific flight operation;

 e.g., takeoff, landing, etc., the acceptable probability should be based on, and expressed in terms of, the flight operation's actual duration.</div>

</div>

<div>

<div><br>

</div>

<div>(1) Probable failure conditions are those having a probability greater than on the order of 1 X 10^-5.</div>

<div> </div>

<div>(2) Improbable failure conditions are those having a probability on the order of 1 X 10^-5 or less, but greater than on the order of 1 X 10^-9.</div>

<div><br>

</div>

<div>(3) Extremely improbable failure conditions are those having a probability on the order of 1 X 10^-9 or less.</div>

<div><br>

</div>

</div>

<div><br>

</div>

<div><br>

</div>

<div>Assuming an average of 150k total flight hours over a 30 year service life for a single airplane gives an average of 5000 flight hours per year. If my calculations are correct, 1 X 10^-5 probability would be on the order of once in 5 years of operational

 service for a single airplane. That would mean about six times over the entire service life of that airplane.</div>

<div><br>

</div>

<div>Again, assuming 150k total flight hours for a single airplane, 1 X 10^-7 would put it at somewhat less than once over the airplane’s entire service life.</div>

<div><br>

</div>

<div>Getting to 1 X 10^-9 seems to assume somewhere on the order of a couple of hundred airplanes of any one given type.</div>

<div><br>

</div>

<div><br>

</div>

<div><br>

</div>

<div><br>

</div>

<div>Cheers,</div>

<div><br>

</div>

<div>— steve</div>

<div><br>

</div>

<div><br>

</div>

<div><br>

</div>

<div><br>

</div>

<div>

<div>On Aug 21, 2024, at 8:28 AM, Prof. Dr. Peter Bernard Ladkin <<a href="mailto:ladkin@techfak.de" target="_blank">ladkin@techfak.de</a>> wrote:</div>

<br>

<div>

<div>On 2024-08-21 15:48 , Paul Sherwood wrote:<br>

<blockquote type="cite">On 2024-08-21 12:08, Prof. Dr. Peter Bernard Ladkin wrote:<br>

<blockquote type="cite">First, you are talking about using an operating system. An operating system is a continuously-running system, not a discrete on-demand function which returns an output value.<br>

</blockquote>

<br>

Hmmm. Let's break that apart...<br>

</blockquote>

<br>

Let's not. For the purposes of assessing reliability, it's not that relevant.<br>

<br>

<blockquote type="cite">

<blockquote type="cite">So its failure behaviour is not a Bernoulli process. You can drop the "Bernoulli" bit.<br>

</blockquote>

<br>

>From a physical perspective, the behaviour of such a constructed system appears continuous, but considering what the OS itself is actually doing, every action is discrete.

<br>

</blockquote>

<br>

So what? Suppose you have a sensor sampling at 400 Hz (typical for aircraft-dynamics sensors, for example). The piece of SW dealing with those readings (aka control system) is going to want to ascertain rates of change and other stuff, so it needs to keep a

 history of readings (over a short period of time). If you have history variables then you aren't memoryless. If you're not memoryless then you aren't a Bernoulli process, discrete or not.<br>

<br>

<blockquote type="cite">

<blockquote type="cite">But keep in mind you can't be letting [the OS] fail. For SIL 4 safety functions, it has to be running more than 100 million operating hours between failures on average. That is the constraint from 61508-1 Table 3, which is independent

 of any means of describing the failure behaviour.<br>

</blockquote>

<br>

Understood, but I wonder a bit about the numbers in the table. Can you (or anyone on the list) help me understand how the committee arrived at 10^-5, 10^-6, 10^-7, 10^-8 as targets?<br>

</blockquote>

<br>

(1) There is no theoretical reason why powers of 10 are chosen.<br>

<br>

(2) They come from the aerospace regulations, and the "accepted means of compliance". The regs contain certain powers of ten for "hazardous condition" and "catastrophic condition" and sometimes other hazard classes ("minor" and "major") and the AMC nowadays

 interprets phrases such as "not expected to occur within the lifetime of the aircraft [fleet]" into probabilities expressed in powers of ten. The reason is likely that civil air transport was having continual and improving success with what in effect turns

 out to be its risk matrix, for half a century before 61508 came along.<br>

<br>

PBL<br>

<br>

Prof. i.R. Dr. Peter Bernard Ladkin, Bielefeld, Germany<br>

<a href="http://www.rvs-bi.de" target="_blank">www.rvs-bi.de</a><br>

<br>

<br>

<br>

<br>

_______________________________________________<br>

The System Safety Mailing List<br>

<a href="mailto:systemsafety@TechFak.Uni-Bielefeld.DE" target="_blank">systemsafety@TechFak.Uni-Bielefeld.DE</a><br>

Manage your subscription: <a href="https://lists.techfak.uni-bielefeld.de/mailman/listinfo/systemsafety" target="_blank">https://lists.techfak.uni-bielefeld.de/mailman/listinfo/systemsafety</a><br>

</div>

</div>

</div>

<br>

</div>


_______________________________________________<br>

The System Safety Mailing List<br>

<a href="mailto:systemsafety@TechFak.Uni-Bielefeld.DE" target="_blank">systemsafety@TechFak.Uni-Bielefeld.DE</a><br>

Manage your subscription: <a href="https://lists.techfak.uni-bielefeld.de/mailman/listinfo/systemsafety" rel="noreferrer" target="_blank">https://lists.techfak.uni-bielefeld.de/mailman/listinfo/systemsafety</a></blockquote></div>