De eerste lezing over de Maeslantkering werd gehouden door Sipke van Manen, die adviseur risicoanalyse is bij de Afdeling Risicoanalyse bij de Bouwdienst van Rijkswaterstaat.
In 1987 laat de minister van Verkeer en Waterstaat onderzoeken of een stormvloedkering in de Nieuwe Waterweg haalbaar is. Dit zou een beweegbare kering moeten zijn, om zo de verbinding tussen de Rotterdamse haven en de zee open te houden, en dus de belangen van de Rotterdamse haven zo min mogelijk te schaden. Bovendien moeten de schepen bij de kering een vaarbreedte van 360 meter, een diepte van 17m onder NAP, en een onbeperkte vaarhoogte hebben. Daarnaast mag de kering alleen bij extreem hoge waterstanden, gemiddeld 1 keer per 10 jaar gesloten worden. Later is de sluitfrequentie verhoogd naar 1 keer per 5 jaar, omdat de verwachting is dat over 50 jaar vanwege de stijging van de zeespiegel vaker een beroep op de stormvloedkering zal worden gedaan. Er wordt een prijvraag voor een ontwerp uitgeschreven. Het uitverkozen ontwerp van de ‘beweegbare sectordeurkering’ is afkomstig van De Bouwkombinatie Maeslant Kering (BMK).
Rijkswaterstaat heeft in samenwerking met de aannemer gekeken naar de risico’s van de kering. De faalkans eis die aan de kering gesteld is luidt namelijk dat de kering 1 keer per miljoen jaar mag bezwijken, ofwel een faalkans op bezwijken van 10- 6 per jaar mag hebben. Daarnaast mag de kering 1 keer per 1.000 aanvragen weigeren te sluiten, ofwel een faalkans op niet-sluiten mag hebben van 10- 3 per aanvraag. Tenslotte mag de kering 1 maal per 10.000 aanvragen weigeren te openen (nadat ie dus gesloten is), ofwel een faalkans op niet-openen mag hebben van 10- 4 per aanvraag.
Om de faalkans van de kering te bepalen, is allereerst de kering opgedeeld in een aantal hoofdonderdelen, zoals bijvoorbeeld de kerende wand of het besturingssysteem. Hierbij is men ervan uitgegaan dat indien één zo’n hoofdonderdeel van de kering faalt, de gehele kering faalt. Men spreekt in zo’n geval van een systeem in serie. De kans op falen van een hoofdonderdeel uit de kering wordt de deel-faalkans genoemd. Onder de aanname dat er geen correlatie bestaat tussen het falen van de verschillende hoofdonderdelen, is Rijkswaterstaat dus uitgegaan van de eis dat de som van de deel-faalkansen van de hoofdonderdelen kleiner of gelijk is aan de faalkans van de gehele kering.
Vervolgens wordt de deel-faalkans van een hoofdonderdeel, bijvoorbeeld de kerende wand, bepaald. Hierbij is men ervan uitgegaan dat indien alle componenten van de kerende wand falen, de gehele kerende wand faalt. Men spreekt in zo’n geval van een parallel systeem. Bij Rijkswaterstaat worden in het algemeen drie methodes toegepast om de faalkans van een component te bepalen. In de eerste plaats kan men, indien beschikbaar, een database raadplegen waarin de faalkans gebaseerd op ervaringen uit het verleden vermeld staat. Ten tweede, kan de faalkans berekend worden met behulp van een fysisch model. Deze methode is in opmars gekomen in de jaren ’70, toen de rekenkracht van computers (waarmee de fysische modellen doorgerekend kunnen worden) sterk toenam. Tenslotte gebruikt men sinds de jaren ’80 ook zogenoemde expert-opinion systemen om de faalkans te bepalen.
Tenslotte werd in de lezing nog verder inhoudelijk ingegaan op de faalkansberekeningen van een component. Hierbij wordt falen symbolisch weergegeven door de conditie S > R, waarbij S de belasting aangeeft en R de weerstand. Vervolgens wordt een zogenoemde betrouwbaarheidsfunctie Z gedefinieerd die de conditie falen aangeeft met Z < 0, bijvoorbeeld Z = R – S of Z = ln (R/S). Daarna wordt de spreiding geschat, waaruit de kansdichtheidfuncties fR van de weerstand R, en fS van de belasting S worden bepaald. Tenslotte wordt de kans op falen gegeven door
Pr (falen) = ò ò Z < 0 fR (h ) fS (x ) dh dx .
Bovenstaande integraal kan berekend worden door middel van enerzijds numerieke integratie of anderzijds Monte Carlo simulaties. In de lezing werd opgemerkt dat numerieke integratie te veel rekentijd vergt indien het aantal stochasten groter is dan vier. Met dergelijke berekeningen kwam Rijkswaterstaat tenslotte tot een faalkans van ongeveer 0.2*10- 6 per jaar voor de kerende wand.
In de eerste lezing werd duidelijk gemaakt hoe de faalkans van de constructie voor de Stormvloedkering Nieuwe Waterweg is berekend. Het is belangrijk dat de constructie zo goed mogelijk is gebouwd, maar het is natuurlijk minstens zo belangrijk dat de Nieuwe Waterweg op het juiste tijdstip wordt afgesloten. Het is niet zo dat iemand vanaf een uitkijkpost kijkt of dit moet gebeuren. Ten eerste is het maar met grote tussenpozen noodzakelijk om de kering te sluiten. Ten tweede is het beslissingsproces te complex. Ook kan er een belangenconflict optreden tussen economische belangen en de veiligheid. In dit geval dient de veiligheid als enige mee te tellen om de kering te sluiten en mogen mensen hierop geen invloed uitoefenen.
Het bepalen van het moment van afsluiten gebeurt geheel automatisch door het computersysteem BOS (Beslis- en Ondersteunend Systeem). Ook het sluiten gebeurt automatisch. Bij een sluiting geeft het BOS commando"s aan het Besturingssysteem Stormvloedkering Nieuwe Waterweg (BES). Het BOS is ontwikkeld door CMG Den Haag BV en Frank Buve vertelde tijdens de tweede lezing over hoe de faalkans van dit systeem zo laag mogelijk is gehouden.
Het systeem heeft de volgende taken:
Men heeft besloten dat het systeem zo veilig als een dijk moest zijn. Met andere woorden:
Nu was de maximale faalkans wel bepaald, maar het probleem was hoe de faalkans van het systeem moest worden bepaald. Hierbij is onderscheid gemaakt tussen de hard- en de software.
Hardware:
Voor de hardware kon eenvoudig worden bepaald wat de faalkans was met behulp van de Mean Time Between Failure. De hardware bestaat uit een fault tolerant Stratus Continuum 610 computer, die zelf aangeeft of iets moet worden vervangen.
Software:
Voor de software zou het 2000 jaar duren eer zou kunnen worden aangetoond, dat het systeem 90% betrouwbaar is. Dit is natuurlijk geen haalbare tijd en er is dus geen faalkans berekend. Er is wel zoveel mogelijk voor gezorgd om in ieder geval kwaliteit in het ontwikkelproces van de software in te brengen. Dit gebeurde aan de hand van diverse procedures.
Verder is gekozen voor meer betrouwbaarheid en minder ‘toeters en bellen’.
Een probleem bij het ontwikkelen van de software was, dat vooraf er nog veel onzekerheden waren o.a.: de sluitingsprocedures waren nog niet bekend; de bestaande protocollen waren slecht gedocumenteerd; het hydraulische systeem was nog in ontwikkeling; interfaces met keringen waren nog niet definitief.
Er is volgens de volgende standaarden gewerkt tijdens de ontwikkeling.
Ten eerste volgens de IEC 1508 standaard.
Dit is een standaard voor safety-critical systems. Er worden levels of integrity gedefinieerd (SIL 1t/m4) waarbij bepaald wordt welke test methodes moeten worden gebruikt om tot een bepaalde betrouwbaarheid van het systeem te komen. De betrouwbaarheid/veiligheid van het ontwikkelde systeem is niet aantoonbaar.
Er is een Function Failure Analysis uitgevoerd, waarbij gekeken is naar welke onderdelen van BOS kritiek zijn voor het functioneren. En er goed gekeken hoe eventuele fouten kunnen worden afgevangen. Dit kunnen fouten in het systeem zelf zijn, maar ook fouten van buitenaf zoals foute informatie over de golfhoogtes.
Bepaalde fouten treden altijd pas aan het einde van de ontwikkeling tijdens de integratietest op. Dit zijn vaak performance problemen of interacties tussen processen en/of computers. Als deze fouten pas aan het einde van het ontwikkeltraject optreden is het duur om deze fouten op te lossen en is het vaak zo ingrijpend in de code, dat nieuwe fouten kunnen worden veroorzaakt.
Met behulp van Formele Methoden is voorkomen dat deze fouten optraden. Bij deze methoden wordt het gedrag vroegtijdig gemodelleerd en het systeemmodel gevalideerd. De Formele Methode Promela is gebruikt om de buitenwereld te modelleren. En de Formele Methode Z om functies exact te specificeren.
Voor kwaliteitsborging zijn er interne controle mechanismen uitgevoerd en zijn audits van de kwaliteitssystemen uitgevoerd door CMG, KEMA en Lloyds en RWS. Verder is er ook nog een audit volgens de IEC1508 standaard gehouden door AEA (Automic Energy Association).
Waar mogelijk zijn tot in detail foutenbomen doorgerekend. De sluitingsstrategie is getest met 40.000 gesimuleerde stormen. Na 25 manjaar werk bestaat het systeem nu uit 400.000 regels code. Het resultaat van alle berekeningen van de faalkansen van de software bleek 4,8E-6 (<1E-5) te zijn. De faalkans van de hardware was aantoonbaar kleiner dan 1E-5. De faalkans van de software was aannemelijk kleiner dan 1E-5.
Het systeem BOS heeft de Computable IT Innovatieprijs gewonnen.
Na de lezingen kregen we een rondleiding over de tentoonstelling in het Keringhuis en over de "bouwplaats", waar de stormvloedkering ligt. Op de tentoonstelling was onder andere een overzicht te zien van de ontwerpen waaruit de Maeslantkering is geselecteerd. Het gebruikte ontwerp was verkozen uit 6 inzendingen vanwege het gemakkelijke onderhoud en de mogelijkheid om de bouwwerkzaamheden op het droge uit te voeren, zodat de scheepvaart niet gehinderd werd. Verder was er een maquette te zien waarmee de werking van de kering gedemonstreerd kon worden.
Na de maquette was het tijd voor het echte werk: uitgedost met een helm werden we op de bouwplaats rondgeleid. Toen pas drong tot ons door hoe gigantisch groot die kering wel niet is.
Tijdens de rondleiding werd ons nog meer verteld over de werking van de kering. De kering bestaat uit twee kerende wanden die door middel van grote metalen vakwerkarmen met het formaat van de Eifel toren (en twee keer zo zwaar) kunnen worden bewogen. Normaal liggen ze in een droogstaand bassin. Wanneer de kering gesloten wordt, wordt eerst water in het bassin gelaten, waarna de wanden gaan drijven. Met een zogenaamd locomobiel (een soort tandrad treintje aan de bovenkant van de wand) worden de wanden de Waterweg opgevaren. Door het water in de wanden te laten zakken ze naar de bodem op een speciaal geconstrueerde drempel. Dit alles neemt zo’n twee-en-een-half uur in beslag. Om de bewegingen van de armen (een horizontale draaibeweging bij het binnenvaren en een op-en-neer beweging bij het afzinken) mogelijk te maken moest een speciaal bolscharnier worden geconstrueerd die perfect bol moest zijn om de bij een storm optredende enorme krachten gelijkmatig te kunnen verdelen over het hele scharnier (om een idee te geven van de krachten die het water uitoefent: de verwachting is dat de hele installatie 30 cm wordt opgeschoven bij een stevige storm). En dit terwijl deze locatie nog was uitgekozen omdat dit de stevigste plaats was qua bodemgesteldheid.
Na het informatieve gedeelte was het nu tijd voor het consumptieve deel. Daarvoor togen we naar het strand voor een combinatie van een verfrissende wandeling (een duik zou te verfrissend zijn geweest) en een warm drankje. Hierna werd deze goed geslaagde dag afgesloten met een diner.
We hopen volgend jaar dit succes een passend vervolg te kunnen geven. Suggesties hiervoor zijn natuurlijk welkom.
De borrel tussen het informatieve deel en het diner werd aangeboden door Hollandse Signaalapparaten B.V.