Voor de gebruiker van de verkeersweg, vaarweg en spoor is het van belang dat een brugopening efficiënt en als één geheel veilig functioneert. Dit is alleen mogelijk als alle systemen, subsystemen en systeemonderdelen en de samenstelling daarvan als een coherent geheel zijn ontworpen, gebouwd en functioneren.
Figuur 2 - Het beheer en de systeemaspecten op een knooppunt van netwerkinfrastructuren
De technische keten
De een brug is als functievervuller op het knooppunt van beide netwerkinfrastructuren op te delen in een aantal functionele lagen die in techniek gerealiseerd zal worden. Door de samenhang tussen de functionele lagen ontstaat een afhankelijkheid met de onderliggende techniek. Omdat de technische keten in dit artikel een belangrijk aspect is, zijn voor de duidelijkheid de functionele lagen hieronder aangegeven:
Systeemaspecten
Om aan de verwachting vanuit de samenleving te kunnen voldoen is een beoordeling van de technische keten op een aantal systeemaspecten van belang:
♦ Cybersecurity.
Beschouwd vanuit deze systeemaspecten is er een relatie met de eerder beschreven technische keten. Als voorbeeld: Het falen van de besturing heeft een gevolg voor het faciliteren van de doorgang ofwel de operationele dienstverlening. Of een ontwerpfout in de bewaking kan gevolgen hebben voor de veiligheid van de machine. En een fout die ontstaat door onjuist/onvolledig onderhoud kan gevolgen hebben voor veiligheid.
Relatie met de Organisatorische verdeling
Onder de schets van de organisatorische verdeling hebben ik al aangegeven hoe het eigendom, operationele dienstverlening, het beheer en het onderhoud verdeeld kunnen zijn tussen de diverse overheidsorganisaties. Een verdeling tussen de overheidsorganisaties wordt in overleg met elkaar afgestemd en in een overeenkomst vastgesteld. De afstemming voor zo’n overeenkomst vindt vaak plaats op ambtelijk niveau, nadat op een aantal hoofdlijnen vanuit techniek een indicatie gegeven is, of erger als de brug al operationeel is.
Het is niet ongebruikelijk om in een onderhandelingssfeer de taken tussen de overheidsorganisaties af te stemmen. Hierdoor is de essentie van de genoemde systeemaspecten die afgestemd zouden moeten zijn, vaak niet volledig, of ontbreekt. Met als gevolg dat de eindverantwoordingen van de systeemaspecten niet eenduidig vaststaat en de regie op de betreffende keten ontbreekt.
Bestuurlijk
De betrokken partijen dragen ieder vanuit hun eigen (wettelijke) verantwoordelijkheid als verkeersleider van (vaar)weg en/of spoorweg de zorg voor de veiligheid van de gebruikers van de infrastructuur. Bij de verdeling van de werkzaamheden neemt elke partij het beheer van haar aandeel op zich en houden partijen elkaar actief op de hoogte van alle wijzigingen. De onderdelen van de technische keten zijn hierbij in stukken geknipt. (Zie als voorbeeld de bestuursovereenkomst van de Schinkelbruggen).
Het voorbeeld van een brug
Een brug in het noorden van het land verbindt een rijksweg over een kanaal van de provincie. De technische keten van de brug is conform de LBS onderverdeel in de bediening en de besturing. Door centralisering wordt de bediening van de brug op afstand uitgevoerd vanuit een bediencentrale. De brug en de verkeersweg worden beheerd door Rijkswaterstaat. De besturing van de brug is gerealiseerd in opdracht van Rijkswaterstaat. De vaarweg onder de brug wordt beheerd door de provincie. De provincie is tevens de eigenaar van de bediencentrale van waaruit de brug bediend wordt.
Bij de bouw van de bediencentrale is een generieke brugbediening door de provincie ontworpen en gerealiseerd en wordt het besturingssysteem van de brug door een opdrachtnemer van Rijkswaterstaat uitgevoerd. De opdrachtnemer van de besturing sluit de besturing aan op de interface van de bediening die door de provincie ter beschikking wordt gesteld.
Vervolgens worden in de bestuursovereenkomst afspraken gemaakt over operationele‐, beheer‐ en onderhoudstaken. Door de verdeling van de bediening op afstand en de besturing ontstaat er een scheiding in de technische keten en wordt het beheer van de fysieke brug uitgevoerd door Rijkswaterstaat. De provincie als eigenaar van de bediencentrale heeft de regie op het beheer van de bediencentrale. Door de scheiding in de technische keten zijn ook de systeemaspecten gesplitst en is veiligheid van de keten afhankelijk van de volledigheid, duidelijkheid en opvolgen van de gemaakte afspraken tijdens de onderlinge afstemming.
Ontwerp
In het voorbeeld is in het ontwerp van de technische keten van het geheel er sprake van een technisch‐, operationeel‐ en beheerkoppelvlak tussen de organisaties en tussen de technische systemen. In het ontwerp van de generieke brugbediening is uitgegaan van de situatie die van toepassing is voor de provincie. Rijkswaterstaat wil al haar bruggen baseren op de LBS en geeft de opdrachtnemer van het besturingssysteem opdracht de LBS toe te passen.
Het gevolg door de geschetste wijze van realisatie is dat twee systeemontwerpen die op een verschillende wijze zijn ontstaan aan elkaar geknoopt worden. Hierbij wordt over het hoofd gezien dat de technische keten als coherent geheel moet functioneren om de prestatie van de systeemaspecten te kunnen garanderen.
Om dit te garanderen moet bij het aan elkaar knopen van de bediening en besturing de volledige technische keten op coherentie beoordeeld worden. Immers door een muisklik op de beeldschermknop ‘brug‐open‘ komt een systeemreactie op gang die als gevolg enkele tonnen aan gewicht (de brugval) fysiek in beweging brengt. Als reactie op de muisklik wandelt een systeemopdracht door de gehele geschetste technische keten. Op de brug komt een beweging op gang en de meting van de systeemreactie komt via het besturings‐ en bedieningssysteem terug bij de bedienaar. De betrouwbaarheid van de gehele keten is daarbij bepaald door de zwakste schakel in betrouwbaarheid van de afzonderlijke elementen en de afstemming tussen die elementen. De garantie van het juist afhandelen van de opdracht heeft hierdoor invloed op de systeemaspecten binnen de keten en daarmee veiligheid.
Life-cyle
De bediening van een brug vindt steeds vaker plaats vanuit een centrale bedienlocatie. Vanuit de werkplek in de bediencentrale wordt een technische koppeling gemaakt met het besturingssyteem van de brug. De bediening, besturing, elektrotechnische, werktuigbouwkundige en civiele techniek vormen zo samen een coherent geheel. De werkplek voor de brugbediening maakt deel uit van het grote geheel binnen de bediencentrale. Om het geheel te realiseren wordt een systeemarchitectuur opgezet die gebaseerd is op hergebruik van gemeenschappelijke delen. De systeemarchitectuur omvat dan de bediencentrale, bedienwerkplek en de verzameling op afstand bedienbare entiteiten (bruggen en sluizen).
Om de coherentie van de technische keten te waarborgen wordt dan uitgegaan van één systeemarchitectuur voor het geheel met een afgeleide voor de afzonderlijke delen.
De life-cycle van een brug is bepaald door de aparte life-cycle van de verschillende techniekvelden: civiel, werktuigbouwkunde, elektrotechniek en industriële automatisering. Een bediencentrale heeft haar eigen life-cycle. De life-cycle van de bediencentrale en de aangesloten bruggen lopen door (her)bouw en renovatie daarom nooit synchroon. Dit kan grote gevolgen hebben als een te renoveren brug aan moet sluiten op een oudere bediencentrale. Door de systeemarchitectuur van de bediencentrale is men verplicht de techniek van de bediencentrale toe te passen. Als deze techniek ook nog eens doorloopt tot in technische besturing, dan kan bij een renovatie of wijziging een domino-effect ontstaan. Door dit domino-effect kan een effect ontstaan op de aansluiting van bruggen die buiten de renovatie of wijziging liggen.
Bijvoorbeeld: Ik heb dit concreet meegemaakt bij de wijziging van een brugbesturing, die door de wijziging invloed had op de centrale bediening en door de systeemarchitectuur van het geheel vervolgens 4 naastliggende bruggen beïnvloedde.
Vendor lock
Een ander effect van deze systeemarchitectuur kan zijn dat door toepassen van een fabrikaat er eenvoudig een vendor-lock ontstaat. Het domino-effect hiervan is, dat eenmaal gekozen voor een fabricaat vrijwel alle besturingsystemen van de onderliggende bruggen van de bediencentrale van ditzelfde fabricaat moeten zijn. De eigenaar van de bediencentrale is dan afhankelijk van de life-cycle support strategie van de fabrikant. In het eerdere voorbeeld ondersteunde de fabrikant de bestaande besturing niet meer met een reeks aan gevolgen vanaf daar.
Hoever dit gaat is sterk afhankelijk van de aandacht die bij het opstellen van specificaties van de bediencentrale zijn gesteld. Het is niet ongebruikelijk dat een externe partij dit voor de overheids instantie uitvoert en er vanuit de overheidsorganisatie onvoldoende aandacht was voor een life-cycle bestendinge systeemarchitectuur bij het opstellen van de uitvraag. Ook kan hierdoor een vendor-lock ontstaan van de opdrachtnemer die het ontwerp maakt.
Onderhoud
In het voorbeeld wordt het onderhoud door twee verschillende organisaties uitgevoerd. Binnen de life‐cycle van de fysieke brug vinden voortdurend herstelwerkzaamheden, vervangingen en vernieuwingen plaats. Ditzelfde geldt voor de life‐cycle van de bediencentrale en specifiek de brugbediening wat een onderdeel is van technische keten van de brug. Bij het uitvoeren van onderhoud waarbij een vervanging of vernieuwing plaatsvindt kan een onderdeel van de veiligheidsketen geraakt worden zonder de onderhoudsmedewerker daar weet van heeft. Om dit te voorkomen moet het technisch dossier van het geheel altijd up-to-date zijn en een risicoanalyse worden uitgevoerd. Dit vraagt extra aandacht voor de afspraken tussen de beide organisaties en het beschikbaar hebben en stellen van de informatie in het technisch dossier. Hierdoor is er een afhankelijkheid van alle systeemaspecten bij de afstemming tussen de twee verschillende organisaties die het onderhoud uitvoeren. Dit kan een indirect gevolg hebben op de prestatie en veiligheid van de brug. Omdat beide partijen werkzaamheden door derden laten uitvoeren ontstaan extra afhankelijkheden met als gevolg dat door het gebrek aan overzicht snel veiligheidsrisico’s in de keten kunnen ontstaan.
Conclusie
De life‐cycle van een systeem vangt aan bij het voornemen. Daarna worden ontwerp en bouw gevolgd door gebruik en beheer onderhoud. In de life‐cycle kunnen stappen binnen de life‐cycle door renovatie meerdere malen plaats vinden. De prestatie van de systeemaspecten wordt voor een groot deel bepaald door de betrouwbaarheid en beschikbaarheid van de technische systeemketen. In de geschetste gevolgen kunnen op meerdere plaatsen binnen het systeem onjuistheden, onvolkomenheden ontstaan waardoor betrouwbaarheid en beschikbaarheid beïnvloed wordt. Betrouwbaarheid is een maat voor veiligheid. Beschikbaarheid is van belang voor de dienstverlening. De impact van de scheiding van organisaties betekent een risico voor het verliezen van de coherentie van de technische keten. Waardoor veiligheid niet op gewenste niveau geborgd blijft. Wat opvalt is dat door een niet juist gekozen systeemarchitectuur er in de beheerfase extra complicaties en een vendor-lock kan ontstaan.
In een volgend artikel ga ik in op de mogelijkheid hoe deze afhankelijkheden en de gevolgen daarvan kunnen worden aangepakt.
Willem van den Berg,
februari 2022