Wat tot de verbeelding sprekende projecten met de nodige inbreng van mij.


 


View Robin Rijkers's profile on LinkedIn

Soltegro

Op 1 maart 2011 ben ik gestart bij Soltegro. Een bedrijf dat zich richt op diensten voor systemen waar beschikbaarheid, betrouwbaarheid en veiligheid centraal staan.
Hierbij wordt Reliability Software Engineering en Systems Engineering in praktijk gebracht.

Voor mij betekent dit een voortzetting van het type werk, zoals ik dat in het verleden heb gedaan, in een nieuwe inspirenrende omgeving.

Tweede Coentunnel

De jaren 2012, 2013 en begin 2014 hebben vooral in het teken van de nieuwe "Tweede Coentunnel", en renovatie van de "Eerste Coentunnel" gestaan. Hier was ik verantwoordelijk voor de communicatiesystemen, en was had daar de 'Glue rol' (zoals deze binnen System Engineering (INCOSE)) wordt genoemd.

2014 en 2015 staan in het teken van de Renovatie van de Velsertunnel. Een project waarbij wij als Soltegro het functioneel ontwerp maken, geheel conform de Landelijke Tunnel Standaard. Na de DO-fase (Definitief Ontwerp fase) helpen we de combinatie bij het verder invullen van de eisen, en vooral het aantoonbaar houden en van de oplossing ten opzichte van de eisen, en natuurlij zullen we ook dan weer de vertaallaag tussen theorie (documenten, eisen) en praktijk blijven.

Terug naar top


Maeslantkering

Figuur/Foto: werk/Kering.jpg

De Maeslantkering bij Hoek van Holland.
Zie ook bij het keringshuis. En verder op www.waterland.net: Maeslantkering.

Projectinformatie BOS

Beslis- en Ondersteunend Systeem Stormvloedkering Nieuwe Waterweg

In Hoek van Holland staat de stormvloedkering, die de 360 meter brede Nieuwe Waterweg bij storm en hoge waterstanden af moet sluiten om zo het achterland te beschermen. Deze kering is een uniek staaltje ingenieursvernuft: drijvende deuren van 240 meter breed en 22 meter hoog, armen zo groot als de Eiffeltoren, een kogelscharnier van 10 meter diameter en 600 ton gewicht. Een indrukwekkend geheel.

Een minstens zo indrukwekkende prestatie is minder zichtbaar: het informatiesysteem dat het brein van de kering vormt. Dit Beslis- en Ondersteunend Systeem (Het BOS), draagt alle verantwoordelijkheid voor het sluiten van de kering bij een naderende storm. Dit betekent dat wanneer de computer niet werkt, de kering niet dicht gaat, en al het beton en staal werkeloos aan de oever ligt. De gewenste betrouwbaarheid van het systeem is daarmee net zo betrouwbaar als een space shuttle.

Stormvloedkering Nieuwe Waterweg

De Stormvloedkering in de Nieuwe Waterweg heeft als taak Rotterdam, Dordrecht en Spijkenisse te beveiligen tegen het wassende water, om een herhaling van de watersnoodramp in 1953 te voorkomen. Tegelijkertijd dient de haven van Rotterdam als main port toegankelijk te blijven voor de scheepvaart. Vandaar dat een beweegbare stormvloedkering die het scheepvaartverkeer niet hindert de enige acceptabele oplossing was.

Een beweegbare Stormvloedkering moet op het juiste moment worden gesloten en vervolgens zo snel mogelijk weer worden geopend om de haven geen schade te berokkenen. Dit is een taak, die om de vereiste betrouwbaarheid van niet meer dan één overstroming in de 10.000 jaar te halen, niet vaker dan eens in de 100.000 keer mis mag gaan.

Menselijk falen

Wetenschappelijk is bewezen dat de mens gemiddeld eens per 1.000 keer faalt. Rijkswaterstaat heeft daarom besloten het sluiten van de kering te automatiseren. De beslissing tot het sluiten, en het sluiten en openen zelf, geschieden zonder enige menselijke tussenkomst. Hiertoe wint de computer autonoom weer- en waterstandsgegevens in en maakt iedere 10 minuten een berekening van de verwachte waterstand bij Rotterdam, Dordrecht en Spijkenisse. Ziet het BOS dat het normpeil overschreden dreigt te worden, dan neemt de computer een reeks voorzorgsmaatregelen en sluit uiteindelijk geheel zelfstandig de kering.

Betrouwbaarheidseis

Dit leidt meteen tot de uitdaging: het computersysteem moet zo betrouwbaar zijn dat de kering niet vaker dan één keer in de 100. 000 jaar onterecht tijdens storm openblijft, of na een storm niet opengaat. Dit is een betrouwbaarheidseis die zeer moeilijk te realiseren is. Zo treedt bijvoorbeeld in PC software gemiddeld minimaal eens per dag een fout op. BOS moet 36 miljoen keer betrouwbaarder zijn. Dat het systeem zo betrouwbaar is, is niet door testen van het systeem aan te tonen. Dit zou minstens 2000 jaar kosten. BOS valt hiermee in dezelfde klasse systemen als bijvoorbeeld kerncentrales of de space shuttle. Het project is aangenomen en uitgevoerd in een fixed-price fixed-date traject met commerciële tarieven.

Risico Management

Een dergelijk systeem is met conventionele methoden en technieken niet meer te realiseren. In plaats daarvan is een ontwikkelproces noodzakelijk, dat vanaf het begin risico-management centraal stelt. Op basis van de IEC-1508 norm, de standaard voor het ontwikkelen van safety critical systems, zijn de gebruikte methoden en technieken geselecteerd.

Gestructureerd Ontwikkelproces

Kenmerkend voor het BOS project is het gestructureerde ontwikkelproces en het gebruik van geavanceerde methoden en technieken. Dit openbaart zich al in de zorgvuldigheid waarmee moet worden gewerkt. Voor het BOS project is een eigen kwaliteitssysteem opgesteld, waaraan strikt de hand wordt gehouden. Zo is het BOS project als enige in Nederland als project ISO-9001 gecertificeerd. Verder is veelvuldig gebruik gemaakt van technieken om de betrouwbaarheid te verhogen, zoals foutboomanalyse, formele methoden, gestructureerd testen, een automatische testomgeving met periodieke regressietesten, ontwerp en code inspecties, software reliability engineering, fault tolerance en vele andere betrouwbaarheidsverhogende, efficiency verbeterende technieken.

Kenmerken BOS project

Papers over formele methoden in BOS

Wat papers die over de ontwerpmethode van het Beslis en Ondersteunend Systeem (BOS) voor de keringen in de Nieuwe Watertweg en de Hartelkering, zijn verschenen:

System Validation Centre SVC Report II-06-a-1.1 Software ... ... System Validation Centre SVC Report II-06-a-1.1 Software Engineering with Formal Methods: The Development of a Storm Surge ...

Software Engineering with Formal Methods : The Development of a ... ... support from: Franc Buve, Eric Burgers, Wouter Geurts, Rijn Buve, Sjaak de Graaf, Hedde van de Lugt, Peter Bosman, Peter van de Heuvel, Robin Rijkers, Pim Kars ...

Software Engineering with Formal Methods: The Development of a ... Page 1. Formal Methods in System Design, 19, 195–215, 2001 c 2001 Kluwer Academic Publishers. Manufactured in The Netherlands. ...

Terug naar top


Oosterscheldekering

Figuur/Foto: werk/Oosterscheldekering.jpg

Zie op www.waterland.net: Oosterscheldekering.
Zie ook bij het bezoekercentrum op Neeltje Jans.

Projectinformatie NSTA

Noodsluitsysteem en STArtautmaat (NSTA) voor de Oosterscheldekering.

De strijd tegen het water is van bepalende invloed geweest voor de ontwikkeling van het landschap, de dorpen en steden op Schouwen-Duiveland. De laatste grote watersnood van 1953 heeft zijn littekens nog zichtbaar nagelaten. Na deze ramp is de Deltawet aangenomen die het startschot was voor de wereldberoemde deltawerken. Binnen de deltawerken zijn de Oosterscheldekering en de Stormvloedkering in de Nieuwe Waterweg technologische hoogstandjes. Het noodsluitsysteem 'NSTA' stuurt de Oosterscheldekering aan indien mensen de beslissing niet kunnen of willen nemen.

Figuur/Foto: werk/KaartOosterscheldekering.png Aanvankelijk zou de Oosterschelde met een dam worden afgesloten. Het werk begon in 1967 met de voorbereiding van de aanleg van drie werkeilanden: Roggenplaat, Neeltje Jans en Noordland. Tussen de laatste twee werd een dam aangelegd. In de drie overblijvende geulen verrezen de stalen torens voor de kabelbaan, die de betonblokken moest storten voor de definitieve afsluiting. Maar de dam is er nooit gekomen.
Uiteindelijk besloot de regering (ca. 1975) tot de bouw van een stormvloedkering met beweegbare schuiven. Deze oplossing zorgde voor de veiligheid tegen overstromingen terwijl het milieu ontzien werd.

Het ontwerp voor de kering bestaat uit 62 op en neer te bewegen stalen schuiven gehangen tussen betonnen pijlers. Deze pijlers rusten op een stevige fundering. Een dergelijke kering zou het getijde beweging in de Oosterschelde grotendeels handhaven, het water zout houden en de veiligheid van het achterland garanderen. Het plan kreeg in 1979 de goedkeuring van het parlement.
De beslissing om de kering te sluiten wordt door mensen genomen. De Deltawet zegt echter dat de kering moet sluiten bij een waterstand van 3.00m NAP. Het NSTA systeem neemt de besturing over indien de mensen de beslissing niet kunnen of willen nemen.

 

Functionaliteit NSTA

Het NSTA systeem monitort de waterstand aan zowel de Noordzee zijde als aan Oosterschelde zijde. Aan beide zijden van de kering staan peilmeetstations die ieder voorzien zijn van drie sensoren, die op hun beurt iedere 10 seconden de actuele waterstand doorsturen. Als de waterstand aan Noordzee zijde de 3.00m NAP passeert (en er gelden nog enkele andere criteria) dient het NSTA de handmatige bediening te blokkeren en zelf de besturing over te nemen. Hiertoe heeft het NSTA de beschikking over de controlelijnen en de twee dieselcentrales in het bedieningsgebouw, het ir. J.W. Topshuis.

Betrouwbaarheid NSTA

Het NSTA is ontworpen op een levensduur van 14 jaar (vanaf ingebruikname). De kans dat het NSTA de kering niet sluit terwijl dat wel zou moeten is gesteld op maximaal 1 op 10.000 (10-4).

De Oplossing

Het ontwerp van het NSTA moet dus voldoen aan enerzijds de pittige faalkanseisen en anderzijds de interface eisen, het kunnen lezen en sluiten van contacten, het kunnen lezen van seriële (waterstands)input.
De gerealiseerde oplossing bestaat uit een aantal gescheiden subsystemen die parallel hun functies uitvoeren. De subsystemen draaien op verschillende hardware platforms waardoor uitval van een van de subsystemen nooit leidt tot uitval van de vitale functie van NSTA: het garanderen van de veiligheid van het achterland.
De gekozen hardware is geleverd door Kontron/PEP en gebaseerd op VME techniek, met als besturingssysteem OS/9. Alle digitale output zijn galvanisch gescheiden (Schmitt-relais) van de 'buitenwereld', om invloeden van falende buitenwerelden uit te sluiten.
De combinatie van signalen is weergegeven in onderstaand model. Om minimale invloeden van buitenaf te krijgen is de beslissing en besturing fysiek losgekoppeld.

Figuur/Foto: werk/NSTA.gif

Het NSTA systeem (wit) met zijn buitenwerelden (blauw).

Hiermee bestaat het NSTA systeem uit een dubbele één-uit-twee (1oo2: one out of two) architectuur.
Het 1oo2 principe is ook doorgevoerd in de andere kritieke componenten van het systeem: de noodstroomvoorziening en de 24V circuit voeding, ten behoeve van de digitale input en output.

 

 

 

NSTA Project

Het NSTA project had tot doel om het NSTA systeem te ontwerpen, realiseren en plaatsen in de operationele omgeving. Hiertoe moesten enkele modificaties uitgevoerd worden aan de bestaande besturingsinstallatie van de kering. De doorlooptijd van het project was 15 maanden. Na plaatsing is een serie uitgebreide tests uitgevoerd gevolgd door een paralleldraaiperiode met het huidige systeem noodsluitsysteem (NSS/STA). In 2003 wordt het systeem officieel in gebruik genomen.

Software Lab Mission Critical Systems

Rond 2002 is, mede door mij, het Software Lab gestart, om (software intensieve) systemen te realiseren waar de niet-functionele eisen (waaronder beschikbaarheid en betrouwbaarheid) de boventoon voeren. Dit Software Lab was een vervolg op het RC MCS (Mission Critical Systems), dat was gestart met BOS.
In deze organisatie waren een aantal essentiële technieken geborgd:


 


 


Terug naar inhoudspagina      Top     

Laatst gewijzigd: Fri Mar 06 18:21:38 2015