Managed hosting door True

Systeem stormvloedkering Nieuwe Waterweg dubbel beveiligd

Waterdichte software

 

De stormvloedkering in de Nieuwe Waterweg moet volgens veel Nederlanders tot de Zeven Wereldwonderen worden gerekend. Dat is natuurlijk te veel eer voor de mensen die dat kunstwerk hebben gebouwd. Toch is het een knap staaltje vakmanschap. Niet alleen van de ingenieurs, maar ook van de automatiseerders die het beslis- en ondersteunend systeem hebben gebouwd.

Water hebben we nodig om te overleven. De mens kan niet lang zonder. Hongerstakers overleven heroïsche periodes zonder vast voedsel, maar zonder water houden ze het geen vijf dagen uit. Als er één land ter wereld is waar ze weten hoe verwoestend water kan zijn, dan is het Nederland. Vraag een willekeurige Nederlander naar de belangrijkste gebeurtenis in 1953, en hij zal je kunnen vertellen dat toen een uitzonderlijke storm een ongekende ravage aanrichtte in Zeeland en een groot gedeelte van het zuiden.
Nederlanders laten zich evenwel niet snel uit het lood slaan. Al evenmin gaan ze snel bij de pakken neer zitten. Combineer die twee eigenschappen met een gevoel voor beleidsvisie, en je krijgt een deltaplan dat spoedig na de watersnood werd uitgewerkt en waarvan de werkzaamheden al even onverwijld werden aangepakt.
In de jaren na de watersnood is nog geen sprake van computers, fout-tolerante systemen of IEC 1508-normen. De ingenieurs van Rijkswaterstaat (RWS) en de aannemers die de werken moeten uitvoeren, doen dat aan de hand van hun gezond verstand, bouwtechnische kennis en natuurlijk de technologie die voorhanden is. In ijltempo worden enkele huzarenstukjes in elkaar geknutseld: de stormvloedkering in de Hollandsche IJssel, de Oosterscheldekering, de afsluiting van het Haringvliet, de Grevelingen en het Veerse Gat. Overal worden de dijken versterkt. Nederland voelt zich al wat veiliger, maar de Nieuwe Waterweg en de Westerschelde moeten vooralsnog open blijven om de havenbelangen van Rotterdam en Antwerpen niet te schaden.

Hoogwater

De versterking van de dijken wordt door RWS gebaseerd op hoogwaterstanden die in West-Nederland naar verwachting ééns in de tienduizend jaar voorkomen. RWS beslist in Zeeland af te toppen op ééns in de vierduizend jaar en in het Waddengebied op ééns in de tweeduizend jaar. Rivierdijken krijgen een lagere norm toegekend. Die ligt tussen ééns in de 1000 en 1250 jaar. Als het meeste werk aan het Deltaplan al achter de rug is, voert RWS in de jaren tachtig een nieuwe berekening uit.
Op grond van voortschrijdende inzichten komen de ingenieurs tot de conclusie dat de dijken in Rotterdam met nog eens een meter moeten verhoogd worden om aan de veiligheidsnormen te voldoen. Aan dat ophogen kleven veel nadelen. Het milieu wordt aangetast, het kost erg veel geld en woningen moeten wijken. Daarom kiest RWS in 1987 voor de aanleg van een afsluitbare kering.
Zo'n waterkering was in een eerder stadium geen optie omdat het scheepsverkeer er teveel hinder van zou ondervinden. De techniek is echter in 1987 zo ver ontwikkeld, dat een afsluitbare kering gebouwd kan worden zonder de havenbelangen te schaden.
De inmiddels operationele Maeslantkering kost uiteindelijk vierhonderd miljoen gulden minder dan het ophogen van de dijken. De kering is breed genoeg om de scheepvaart niet te hinderen. Wanneer het kunstwerk is gesloten, zorgt het voor een verlaging van het water van 1,6 meter in Rotterdam.

Nauwkeurig

De kering mag in principe niet meer dan één keer in de tien jaar sluiten. Daarvoor wordt een norm van drie meter boven NAP (Normaal Amsterdam Peil) gehanteerd. Die norm is ruim genoeg om de wateroverlast in de buitendijkse gebieden te beperken.
De kering, waarvan met de bouw wordt gestart in 1991, bestaat uit twee achtste cirkels 'waterkerende deuren' die, als ze uitgezwaaid worden over de rivier, elkaar in het midden raken. Elke deur bestaat uit een enorme vakwerkarm (een stalen muur die van binnen hol is) en een bolscharnier aan het uiteinde van de vakwerkarm dat beweging in drie dimensies toelaat.
De deuren van de kering bevinden zich bij normaal weer in dokken langs beide oevers. Bij stormvloed worden de dokken vol water gepompt, waardoor de holle deuren gaan drijven. Ze kunnen dan met behulp van een locomobiel (zes hydraulische motoren die met tandwielen de deur in beweging zetten) worden uitgezwaaid naar het midden van de Nieuwe Waterweg. Als de deuren elkaar zijn genaderd, lopen ze vol water en zinken ze af tot op de bodem. Daar is een betonnen drempel aangebracht waarop de deuren kunnen rusten.
Over het bouwwerk is goed nagedacht. Dat blijkt wel uit de manier waarop de drempel wordt schoongehouden. Na jaren niet te zijn gebruikt, bouwt zich daar een hoop slib op. Als dat niet verwijderd wordt, rust de kering als het ware op drijfzand. De onderzijde van de deuren is echter zo gebouwd dat bij het afzinken een sterke stroming tussen de onderkant en de drempel ontstaat, waardoor het slib wordt weggezogen.
Als de kering eenmaal dicht is, kan hij zeventigduizend ton aan kracht opvangen. Bij de zwaarst denkbare storm veert het bolscharnier waaraan elke deur hangt zo'n twintig centimeter naar achteren. Het bolscharnier zelf rust in een betonnen fundering (een driehoekig betonblok) van 52000 ton. Eén bolscharnier weegt 680 ton. Een aardig detail is dat de gietstalen delen van de bol en de holle kom waarin deze beweegt, afkomstig zijn uit de Skoda-fabrieken in Tsjechië. Het bolscharnier is van groot belang voor de goede werking van de kering. Het heeft een doorsnede van tien meter en is gemaakt met een nauwkeurigheid van twee millimeter. "Maar dat is bij dit kunstwerk absoluut niet abnormaal of bijzonder", lacht Stanley Deighton, de ingenieur die het automatiseringsaspect van dit project leidde voor RWS. "De hele constructie is tot op een millimeter nauwkeurig gebouwd." Die nauwkeurigheid is overigens kenmerkend voor het hele project. Dat geldt ook voor de besturing van de kering.

Integratie

De Maeslantkering wordt niet op de klassieke manier bediend, zoals de andere stormvloedkeringen in Nederland. De integratie van de civieltechnische oplossing met een verregaande automatisering maakt van de Maeslantkering een uniek kunstwerk. De bediening van de kering is op 3 oktober 1998 geheel operationeel. (De opening door koningin Beatrix vond eerder dat jaar plaats, toen de kering civieltechnisch gereed was). Dan wordt de kering voor het eerst gesloten op de wijze zoals dat zal gebeuren als er wateroverlast dreigt.
"Voor de sluiting van de Maeslantkering maakten we een faalkansanalyse waarbij we faalkansbudgetten toekenden aan de diverse hoofdcomponenten van de kering", vertelt Stanley Deighton. Zo werd aan de bediening van de kering een faalkansbudget van 5 keer E-5 toegekend. De bediening moet, in gewone mensentaal, zó goed zijn dat deze slechts eens per twintigduizend keer faalt. Aan professor Wagenaar van de Universiteit Leiden werd gevraagd uit te zoeken of menselijke bediening aan die norm kon voldoen. "Dat bleek niet het geval", zegt Deighton. "Blijkbaar zijn wij mensen slechts in staat om het 999 uit de 1000 keer goed te doen, en dat was voor ons dus te weinig."
Op basis van deze en andere bevindingen komen Stanley Deighton en zijn team tot de conclusie dat een computer het enige alternatief is. "Doorslaggevend voor onze keuze was dat computers niet zelf denken, maar domweg uitvoeren wat ze is opgedragen", stelt Deighton. Er wordt een Europese openbare aanbesteding uitgeschreven voor een beslis- en ondersteunend systeem (Bos). De opdracht gaat naar CMG. Dat bedrijf stelt een wel erg specifieke aanpak van het Bos voor: een mission critical system par excellence.
"Het Bos is een concept dat door een team van RWS-deskundigen is ontworpen en stoelt op onafhankelijke modules", legt Stanley Deighton eerst nog uit. De modules zijn verdeeld over vijf hoofdsysteemdelen: de computerapplicatie, het hydraulisch model, het keringscript, de watermeetopstellingen en de datacommunicatie. "Uniek aan deze benadering is dat elke module onafhankelijk te ontwikkelen en te testen valt", zegt Deighton. Het keringscript (de elektronische vorm van de bedieningshandleiding waarin de functionaliteit van de kering en de beslisregels voor het sluitingsproces zijn vastgelegd) wordt door RWS zelf ontwikkeld, gebouwd en getest is. Pas na de afwerking van de computertoepassing wordt het keringscript geïntegreerd in het Bos. Het kan gewijzigd worden wanneer het nodig is, zonder dat de overige modules behoeven te worden aangepast.

Bedachtzaam

Toch betekent deze verregaande flexibiliteit niet dat wijzigingen aan het keringscript even snel in het Bos kunnen worden opgenomen. "Dat is ook niet de bedoeling", zegt Stanley Deighton. "Mocht dat het geval zijn, dan zou je de kering quasi-handmatig kunnen bedienen, en dat is nou net niet wat we willen."
Een aanpassing aan het script kan wel, maar het moet bedachtzaam gebeuren, met voldoende tijd om alle aspecten van alle kanten te bekijken. Pas wanneer iedereen het erover eens is dat de wijziging correct en voldoende nauwkeurig is, kan het Bos worden aangepast. "Alles bij elkaar ben je dan zo'n zes maanden bezig", zegt Deighton.
Het Bos doet overigens niets anders dan continu meteorologische gegevens opvragen om een naderende verhoging van het water bij Rotterdam of Dordrecht te detecteren. Op basis van die gegevens maakt het Bos iedere tien minuten zelf een voorspelling van de waterstanden bij Rotterdam en Dordrecht voor de komende 24 uur. Hiermee kan een toekomstige peiloverschrijding gedetecteerd worden. Gebeurt dat, dan voert het Bos de procedure uit om te sluiten. Deze opdrachten worden door het Bes (de besturingssystemen van de kering) uitgevoerd. De Maeslantkering opereert als het ware in tandem met de Hartelkering die verderop stroomopwaarts staat opgesteld. Beide keringen worden door het Bos aangestuurd.
Bij het sluiten en openen van beide keringen komt geen mens meer aan te pas. "Het personeel moet wel aanwezig zijn", zegt Stanley Deighton. "Een vervelende taak, want ze kunnen enkel maar toezien op wat er gebeurt. Hun aanwezigheid is echter belangrijk omdat het toch mogelijk is dat het Bos het niet meer ziet zitten. Dan pas mag en kan de menselijke operator ingrijpen."
"Belangrijk is ook dat het hele systeem redundant is opgebouwd", legt Stanley Deighton uit. "De lage faalkans komt er natuurlijk niet alleen omdat we zo goed geprogrammeerd hebben of omdat we zulke goede materialen hebben gebruikt." Het Bos draait niet alleen op fout-tolerante systemen van Stratus (dezelfde soort systemen die ook gebruikt worden in de verkeerstoren van luchthavens), maar betrekt zijn informatie ook over redundante verbindingen met het meetnet.
"We hebben dat ook weer erg ver doorgetrokken in overeenstemming met de IEC 1508-norm", stelt Deighton. "Zo hebben we drie voedingssystemen. Elke oever heeft zijn eigen stroomtoevoer. Vanaf elke oever loopt een kabel onder de Nieuwe Waterweg door naar de andere oever. Valt één net uit, dan kunnen beide oevers op de toevoer van de andere oever draaien. Tenslotte hebben we nog een dieselgenerator voor het geval alles wegvalt."
Hetzelfde principe van redundantie is toegepast op de informatieverbindingen. Elke kering heeft zelfs zijn eigen satellietverbinding. Deze wordt gebruikt wanneer alle netwerkkabels onderbroken worden.

'Mission critical'

Bij het ontwikkelen van het Bos speelde CMG (de uiteindelijke leverancier van het systeem) natuurlijk ook een belangrijke rol. "De wijze waarop CMG zich van zijn taak heeft gekweten, is bijzonder, en wel omdat het bedrijf heeft gedaan wat het beloofd had binnen het kader van een fixed price/fixed date-project", zegt Stanley Deighton.
De RWS-ingenieur kon met medewerkers van CMG spreken op zijn eigen expertiseniveau. De projectleider voor het Bos was immers ingenieur Franc Buve. "Wij begrepen al meteen dat de betrouwbaarheidseis die aan de software gesteld werd, een enorme uitdaging was", zegt Buve. "De kering mag niet vaker ten onrechte open blijven dan ééns in de honderdduizend jaar. Na snel rekenen kwamen wij tot de conclusie dat dit betekende dat we met conventionele ontwikkelmethodes tweeduizend manjaren zouden moeten testen."
Het is logisch dat zoiets binnen de opdracht van CMG niet kon omdat dan de opleverdatum niet zou worden gehaald. "We moesten er dus voor zorgen dat het ontwikkeltraject zelf de kwaliteit garandeerde van het product."
In tegenstelling tot wat in administratieve toepassingen mission critical wordt genoemd, moest dit systeem immers aan dezelfde criteria beantwoorden als de besturingssoftware van een kerncentrale of een ruimtestation.
"In de administratieve wereld vertrekt een ontwikkelaar vanuit de functionaliteit. Andere aspecten zoals interface, systeemkwaliteit, veiligheid en beschikbaarheid, krijgen op dat moment nog nauwelijks aandacht", beweert Buve. "Pas als de ontwikkelaar ver is doorgedrongen in het implementatietraject, gaat men denken aan die aspecten." Maar dan is het meestal te laat om zonder grote aanpassingen de software nog op een hoog beschikbaarheidsniveau te tillen. Dat verklaart meteen waarom andere leveranciers zo graag schermen met hun hoge-beschikbaarheidsdiensten. Je verdient meer en je kunt rustig blijven ontwikkelen zoals je altijd al deed.
"En dat hoeft niet als je vanaf het allereerste begin met alle aspecten rekening houdt. Wel is het dan zo dat de opdrachtgever alle specificaties moet kunnen aangeven op het moment dat de ontwikkeling van start gaat en zich moet realiseren dat het lastig is die specificaties gedurende het traject te wijzigen." Op de vraag of zulke 'rots-in-de-branding'-software als het Bos nou veel duurder uitvalt dan klassiek ontwikkelde software, antwoordt Buve: "Het ontwikkelen van hoge kwaliteitssoftware kost uiteraard wel meer dan 'standaard' kwaliteit. Kwaliteit heeft een prijs. Maar de door CMG gehanteerde aanpak (IEC 1508, risicogestuurd) kost niet meer dan een normale aanpak zou kosten met het oog op die kwaliteit en levert wel meer garantie voor kwaliteit."

RAD ongeschikt

Rapid application development is voor dit soort systemen niet passend. "De manier waarop je plant, analyseert en programmeert is tijdsintensiever dan bij gewone software. Dat maakt het toch onbruikbaar voor alledaagse systemen." Ook al omdat bij een systeem als het Bos in de eerste plaats gekeken wordt naar de betrouwbaarheid, de beschikbaarheid en de kwaliteit. "Er is geen eenduidige methode op dit moment om zo'n ontwikkeling te realiseren", legt Buve uit. "Na een gedegen inventarisatie van de betrouwbaarheidseisen die gesteld worden aan de applicatie, hebben wij ervoor gekozen om de IEC-1508 norm te hanteren. Gelukkig stelt deze standaard expliciet dat bij dit soort betrouwbaarheden enkel gewerkt kan worden met as low as reasonably practical-faalkansen (Alarp)."
Valt er enerzijds nooit te bewijzen dat een systeem helemaal feilloos is, dan kun je anderzijds wel werken met een methode waarbij je wiskundig aantoont dat het ontwerp van je software aan de norm voldoet. "Je kunt met de zogenaamde formele methode uitspraken doen over de formele correctheid van je ontwerp", zegt Buve. Probleem met die methode is dat er veel varianten zijn, en dat ze zich vrijwel allemaal nog in een experimenteel stadium bevinden. CMG koos voor dit project voor Promela (Protocol Meta Language), een methode die door AT&T werd ontwikkeld voor het modelleren en valideren van communicatie en parallellisme binnen systemen, en voor Z, een taal gebaseerd op de predikatenlogica en de verzamelingenleer.
"Onze benadering heeft ertoe geleid dat wij het ISO 9001-certificaat hebben gekregen als project. Dat is uniek in Nederland", zegt Buve. "We hebben verscheidene test- en validatiemethoden gebruikt voor elke module. We gebruikten testmethoden waarmee we zeker waren dat elke regel code 'geraakt' werd." Al tijdens de ontwerpfase werd er gevalideerd op basis van Promelamodellen. Tijdens de ontwikkeling zelf werd voortdurend geverifieerd of de code nog voldeed aan de normen.
Function failure analysis werd gebruikt om het effect van falen van invoer en functies binnen het Bos te bepalen. Er werd gekeken naar de gevolgen van een eventueel falen: leidt de fout tot een domino-effect of blijft de schade beperkt?
En zo kunnen we nog wel even doorgaan. "De door CMG ontwikkelde aanpak om vanuit risico's en faalkansen het project in te richten blijkt zo goed te voldoen, dat we besloten hebben een Research Centre Mission Critical Systems op te richten" zegt Buve. Vanuit dat centrum zullen projecten ondersteund worden die geavanceerde methoden voor het ontwikkelen van software toepassen. Zo heeft de bouw van de Maeslantkering positieve effecten die niets met stormen en waterschade te maken hebben.
 
Erik Vlietinck, freelance medewerker

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/1432951). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×