CGI ontwikkelde en beheert het Beslis en Ondersteunend Systeem (BOS) voor Rijkswaterstaat

Intelligent Beslis en Ondersteunend systeem beschermt Nederland tegen overstromingen

De Maeslantkering is onderdeel van de Deltawerken en een van de grootste bewegende bouwwerken in de wereld. De kering sluit de Nieuwe Waterweg in Hoek van Holland af bij storm en hoge waterstanden. Daarmee beschermt de kering het dichtbevolkte achterland en de economisch zo belangrijke Rotterdamse haven tegen overstromingen. De beslissing om de Maeslantkering en de Hartelkering te sluiten ligt niet in mensenhanden. Het Beslis en Ondersteunend Systeem (BOS) doet dit volledig geautomatiseerd zonder tussenkomst van personeel. CGI ontwikkelde en beheert dit missiekritische systeem voor Rijkswaterstaat.

De uitdaging

De 360 meter brede Nieuwe Waterweg is een belangrijke vaarverbinding voor de Rotterdamse haven, en zorgt voor waterafvoer van de Rijn. De rivier vormde een groot risico om buiten de oevers te treden en het achterland te laten overstromen. Daarom is de stormvloedkering gebouwd.

Voor de economisch zo belangrijke haven van Rotterdam, is het van groot belang om de Nieuwe Waterweg zo kort mogelijk af te sluiten en dit bovendien alleen maar te doen als het absoluut noodzakelijk is. Een gesloten doorvaart beperkt immers het scheepsverkeer en kost al snel miljoenen euro’s. De stormvloedkering moet ook extreem betrouwbaar zijn, met maximaal één overstroming in elke tienduizend jaar. Om tot deze betrouwbaarheid te komen mag er per 100.000 beslissingen hoogstens één keer een fout gemaakt worden.

Een technisch wonder

De stormvloedkering is een technisch hoogstandje. De kering bestaat uit twee holle, drijvende muren, de zogeheten sectordeuren van 240 meter breed en 22 meter hoog. Deze deuren zijn verbonden met stalen armen naar scharnierpunten op beide oevers. Elke arm is zo groot als de Eiffeltoren. Het bolscharnier van de kering meet 10 meter en weegt 600 ton. Tijdens normale weersomstandigheden rusten de twee sectordeuren in hun dokken. Ze sluiten alleen bij gevaar voor overstroming.

Geen ruimte voor fouten

Wetenschappelijk is bewezen dat de mens gemiddeld eens per 1.000 keer faalt. Grondige analyse wees uit dat deze foutkans de betrouwbaarheid van de kering te veel beperkt. Het ministerie van Infrastructuur en Milieu besloot daarom dat het veiliger was een computer autonoom het besluit tot sluiten te laten maken.

De oplossing

CGI ging de uitdaging aan om tegen een vaste prijs en in een vast tijdsbestek een systeem te bouwen dat de stormvloedkering met een extreem hoge betrouwbaarheid controleert. Onze experts ontwikkelden en implementeerden BOS (het Beslis en Ondersteunend Systeem). Het systeem beslist of de stormvloedkeringen gesloten moeten worden en voor hoe lang deze sluiting nodig is. Die beslissing wordt genomen aan de hand van meetgegevens en voorspellingen van nabijgelegen weersstations en meetapparatuur aan de wal, boeien en palen.

BOS gebruikt deze gegevens om elke tien minuten het waterpeil te voorspellen bij Rotterdam en Dordrecht. Als het systeem een dreiging van overstroming signaleert, treft het eerst een serie voorzorgsmaatregelen om uiteindelijk, indien nodig, de sluiting van de stormvloedkering te initiëren.

Missiekritische behoefte

De extreem lage foutkans waaraan BOS moet voldoen is moeilijk te verkrijgen. BOS moet 36 miljoen maal betrouwbaarder zijn dan een gemiddelde huis-tuin-en-keuken computer. Deze graad van betrouwbaarheid is onmogelijk om te bewijzen met testen alleen. Op die manier zou de bewijsvoering 2.000 jaar in beslag nemen.

De hoge betrouwbaarheidsbehoefte plaatst BOS in dezelfde categorie als die van systemen voor kerncentrales en de space shuttle.

Een succesverhaal

Conventionele ontwikkelmethoden volstonden niet om BOS te bouwen. In plaats daarvan moest al direct vanaf de start risico-management centraal in het ontwikkelproces staan. Gebaseerd op risico-management gebruikten we een zeer gestructureerd ontwikkelproces met geavanceerde methoden en technieken.

Er waren meer dan 2.500 pagina’s gespecificeerd technisch ontwerp en meer dan 400.000 regels code nodig om de computers van het systeem op de juiste manier te ondersteunen. Gezien de kosten en risico’s die met BOS gemoeid waren, formuleerden we een zeer strikt kwaliteitssysteem. Het BOS-project is dan ook ISO 9001-gecertificeerd.

Om de betrouwbaarheid te verbeteren gebruikten we verschillende technieken, zoals gestructureerde testen, een automatische testomgeving met periodieke regressietesten, ontwerp- en code-inspecties en software-betrouwbaarheidstechnieken.

Het resultaat is een systeem dat minder dan tien minuten downtime per jaar realiseert. De betrouwbaarheid per keringsoperatie is groter dan 99,95%. Belangrijk onderdeel van BOS vormt het beheer en onderhoud. CGI heeft daarvoor een team ingericht dat 7x24 uur oproepbaar is. Deze storingsdienst voert ook preventief onderhoud uit zodat de faalkans van de stormvloedkering extreem laag blijft.

De stormvloedkering werkt volledig autonoom en is bestand tegen de meeste (extreme) omstandigheden. BOS ontving de hoogste Safety Integrity Level gebaseerd op de internationale veiligheidsstandaard IEC 61508.

CGI is trots om dit systeem te hebben mogen realiseren én het al jaren te beheren.