De verkeersvriendelijke tunnel Een RAMS-benadering om zowel veiligheid als beschikbaarheid te borgen NVRB, 22 januari 2013 Ronald Mante, Hoofd Steunpunt Tunnelveiligheid 22 januari 2013
De verkeersvriendelijke tunnel Veilig Beschikbaar voor de weggebruiker 2 22 januari 2013
De beheervriendelijke tunnel Makkelijk onderhoudbaar. Tegen aanvaardbare (life cycle) kosten voor de tunnelbeheerder 3 22 januari 2013
Spanningsveld Als veiligheid niet gegarandeerd, dan tunnel dicht ten behoeve van onderhoud; vereiste veiligheid en beschikbaarheid stellen daarom eisen aan betrouwbaarheid Falende voorzieningen gaan ten koste van de veiligheid en beschikbaarheid (onderhoud!) Veiligheid Extra betrouwbaarheid is niet altijd hogere beschikbaarheid; redundantie vraagt meer onderhoud! Spanningsveld Betrouwbaarheid Beschikbaarheid Onderhoud 4 22 januari 2013
Benadering om spanningveld op te lossen Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Veiligheidseisen Herstelprioriteiten bij falen (inspectie- en testfrequenties moeten hier zoveel mogelijk bij aan sluiten) In QRA aangehouden betrouwbaarheidseisen Maatgevende eisen (veiligheid of beschikbaarheid) zijn van toepassing Betrouwbaarheidseisen Benodigd onderhoud om blijvend aan Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen betrouwbaarheidseisen te voldoen Onderhoudseisen Beschikbaarheidseisen Benodigde betrouwbaarheid voor beschikbaarheid Beschikbare perioden en/of tijdsduur voor preventief en correctief onderhoud, inclusief inspecties en tests Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers) Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren Eisen life cycle kosten ( ) 5 22 januari 2013
Inhoud presentatie 1. Betrouwbaarheidseisen in kader veiligheid (Veiligheidskritische Functies) 2. Betrouwbaarheidseisen in kader van beschikbaarheid (o.a. faaldefinities tunnelveiligheid) 3. Synthese 3. Instandhouding 6 22 januari 2013
1. Betrouwbaarheidseisen in kader veiligheid: Veiligheidskritische functies (VKF s) 7 22 januari 2013
In QRA aangehouden betrouwbaarheidseisen Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Herstelprioriteiten bij falen (inspectie- en testfrequenties moeten hier zoveel mogelijk bij aan sluiten) Veiligheidseisen Maatgevende eisen (veiligheid of beschikbaarheid) zijn van toepassing Betrouwbaarheidseisen Benodigd onderhoud om blijvend aan Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen betrouwbaarheidseisen te voldoen Onderhoudseisen Beschikbaarheidseisen Benodigde betrouwbaarheid voor beschikbaarheid Beschikbare perioden en/of tijdsduur voor preventief en correctief onderhoud, inclusief inspecties en tests Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers) Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren Eisen life cycle kosten ( ) 8 22 januari 2013
Waarom aandacht voor veiligheidskritische functies Automatisering steeds belangrijker in tunnels Ontwikkelen veilige en betrouwbare software blijkt lastig Onduidelijk welke onderdelen van de software cruciaal c.q. kritisch zijn voor de veiligheid Dus: onduidelijk welke eisen moeten worden gesteld en in welke mate moet worden aangetoond dat aan de eisen wordt voldaan 9 22 januari 2013
Waarom aandacht voor veiligheidskritische functies (2) Resultaat: Bij tunnelprojecten worden hoge prestatie- en betrouwbaarheidseisen gesteld aan alle veiligheidsfuncties, dus aan het totale besturingssysteem Hoge complexiteit, vertragingen in projectplanningen en hoge kosten 10 22 januari 2013
Wat zijn veiligheidskritische functies? Geautomatiseerde veiligheidssystemen, die autonoom ingrijpen, op basis van bepaalde detecties. Veiligheidskritisch : geautomatiseerde systemen met grote bijdrage aan reductie risico voor weggebruikers Het gaat hierbij om functionele veiligheid:het veilig functioneren van technische, software intensieve systemen Veilig functioneren betekent: Het systeem doet wat het moet doen Met voldoende betrouwbaarheid Bij falen is sprake van fail safe gedrag 11 22 januari 2013
Wat zijn veiligheidskritische functies? (2) 12 22 januari 2013
Gevolgde aanpak Analyse in de geest van IEC-61508 Uitgangspunt: aanwezige voorzieningen en geautomatiseerde systemen in tunnel conform RWS-tunnelstandaard Berekening Risk Reduction Factor (RRF) van de aanwezige voorzieningen met behulp van QRA-tunnels 2.0 Bepaling betrouwbaarheidseis geautomatiseerde systemen / veiligheidskritische functies op basis van RRF, volgens IEC- 61511 13 22 januari 2013
Gevolgde aanpak (2) 14 22 januari 2013
Resultaten / Conclusies Veiligheidskritische functies zijn: 1. Automatisch inschakelen ventilatie 2. Automatisch in gereedheid brengen veilige vluchtweg: 1. Zonodig ontgrendelen vluchtdeuren 2. Inschakelen overdrukventilatie (bij MTK) 3. Inschakelen verlichting (bij MTK) 3. Voorkomen onbeheerst neergaan afsluitboom bij automatisch afsluiten tunnel 15 22 januari 2013
Prestatie-eisen veiligheidskritische functies Safety Instrum ented System (SIL = 1 o r 2) Controller (log ic solver) Sense (T = t1 ) Actuate (T = t2 ) Sensor Actuator Timing = ΔT = t2 t1 16 22 januari 2013
Prestatie-eisen veiligheidskritische functies (2) Automatisch opstarten ventilatie Sense Logic Actuate Time Zichtmeting (k > 0,012/m), of: Detectie openen hulppost + detectie uitnemen slanghaspel, of: Detectie openen hulppost + detectie uitnemen draagbaar brandblusapparaat. Inschakelen tunnelventilatie in de incidentbuis op 50% van volledig vermogen + alarmsignaal naar de operator. 60 seconden (reactietijd zichtmeting + reactietijd besturing + tijd benodigd om 50% ventilatievermogen te bereiken) Toegestane faalkans < 0,02 per aanvraag 17 22 januari 2013
Prestatie-eisen veiligheidskritische functies (3) Automatisch in gereedheid brengen veilige vluchtweg Sense Logic Actuate Time Zichtmeting (k > 0,012/m) of: Detectie openen hulppost + detectie uitnemen slanghaspel, of: Detectie openen hulppost + detectie uitnemen draagbaar brandblusapparaat a.zonodig vergrendelde vluchtdeuren ontgrendelen; b.zonodig deuren in de vluchtroute die toegang geven tot ruimten anders dan de vluchtroute vergrendelen; c.mechanische overdrukventilatie in veilige ruimte (middentunnelkanaal) starten; d.vluchtwegverlichting op het juiste niveau zetten; e. Vluchtwegbordjes in MTK inschakelen in juiste vluchtrichting. 75 seconden: (reactietijd zichtmeting + reactietijd besturing+ benodigde tijd om overdruk op te bouwen in MTK) Toegestane faalkans a t/m c: zie tabel hierna d en e: overeenkomstig faalkans gebruikelijke COTScomponenten (Commercial Off The Shelf) 18 22 januari 2013
Prestatie-eisen veiligheidskritische functies (4) Automatisch in gereedheid brengen veilige vluchtweg Toegestane faalkans ont-/vergrendelen vluchtdeuren en inschakelen overdrukventilatie Frequentie van file voorbij tunnel Hoog (5x / week) Normaal (1x / week) Laag (1x / 2 weken) Filevermijdingssysteem Tunnellengte < 500m < 0,01 < 0,01 < 0,01 < 0,01 500m 1.000m < 0,01 < 0,01 < 0,01 < 0,01 1.000m 1.250m < 0,01 < 0,01 < 0,01 < 0,01 1.250m 2.500m < 0,01 < 0,01 < 0,01 < 0,01 2.500m 5.000m < 0,005 < 0,005 < 0,01 < 0,01 > 5.000m < 0,005 < 0,005 < 0,005 < 0,01 Legenda RRF < 100 100 < RRF < 500 RRF > 500 19 22 januari 2013
Prestatie-eisen veiligheidskritische functies (5) Voorkomen onbeheerst afsluiten tunnelbuis (bij automatische afsluiting) Sense Logic Actuate Time Slagboom: bij commando neer nagaan: ostatus VRI ( rood of uit ) VRI: bij commando rood nagaan: ostatus MTM (snelheidsverlaging 70 / 50 ingesteld of niet). Slagboom: oindien VRI niet rood, dan commando rood naar VRI; oindien VRI na commando nog steeds niet rood, dan slagboom niet neer. oindien VRI na commando wel rood, dan slagboom neer. VRI: oindien MTM geen snelheidsverlaging, dan commando snelheidsverlaging naar MTM; oindien MTM na commando nog steeds geen snelheidsverlaging, dan VRI niet op rood ; oindien MTM na commando wel snelheidsverlaging, dan VRI op rood 5 seconden (reactietijd besturing) Toegestane faalkans Slagboom: < 0,00385 per aanvraag VRI: < 0,0154 per aanvraag 20 22 januari 2013
Aantoonbaarheid Veiligheidskritische functies en CK: toon betrouwbaarheid aan met foutenboomanalyse, waarbij betrouwbaarheid software wordt gekwantificeerd met TOPAAS Er is sprake van falen als functie niets doet, de verkeerde dingen doet of te laat iets doet Overige veiligheidsvoorzieningen: pas betrouwbaarheid toe die in de praktijk eenvoudig haalbaar is met COTS. De betrouwbaarheid hoeft hierbij niet te worden aangetoond met een foutenboomanalyse, maar moet in de ontwerpdocumentatie wel aannemelijk worden gemaakt. 21 22 januari 2013
2. Betrouwbaarheidseisen in kader beschikbaarheid: Faaldefinities tunnelveiligheid 22 22 januari 2013
In QRA aangehouden betrouwbaarheidseisen Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Herstelprioriteiten bij falen (inspectie- en testfrequenties moeten hier zoveel mogelijk bij aan sluiten) Veiligheidseisen Maatgevende eisen (veiligheid of beschikbaarheid) zijn van toepassing Betrouwbaarheidseisen Benodigd onderhoud om blijvend aan Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen betrouwbaarheidseisen te voldoen Onderhoudseisen Beschikbaarheidseisen Benodigde betrouwbaarheid voor beschikbaarheid Beschikbare perioden en/of tijdsduur voor preventief en correctief onderhoud, inclusief inspecties en tests Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers) Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren Eisen life cycle kosten ( ) 23 22 januari 2013
Beschikbaarheidseisen tunnel Beschikbaarheidseisen tunnel worden bepaald door het maatschappelijk / economisch belang van de weg waarin de tunnel is gelegen voor het totale snelwegnetwerk: Hoeveelheid verkeer per dag; Omrijdmogelijkheden als weg (tunnel) is afgesloten Als zodanig is vereiste beschikbaarheid hoog of zeer hoog 24 22 januari 2013
Beschikbaarheidseisen tunnel (2) Zeer hoge beschikbaarheid: Beperkte of volledige beschikbaarheid: 98% op jaarbasis; Volledige beschikbaarheid: 93% op jaarbasis. Hoge beschikbaarheid: Beperkte of volledige beschikbaarheid: 98% op jaarbasis; Volledige beschikbaarheid: 90% op jaarbasis. 25 22 januari 2013
Beschikbaarheidseisen tunnel (3) Volledige beschikbaarheid: alle rijstroken zijn open in beide rijrichtingen, zonder beperkingen voor het verkeer. Beperkte beschikbaarheid: verkeer is mogelijk in beide rijrichtingen, maar niet alle rijstroken zijn open en/of er zijn beperkingen voor het verkeer (verlaging maximum snelheid en/of verbod voor vrachtauto s). Geen beschikbaarheid: tunnel is volledig gesloten in beide rijrichtingen. 26 22 januari 2013
Beschikbaarheidseisen tunnel (4) Beperkte of geen beschikbaarheid door: Technische inspecties of tests Gepland onderhoud (preventief) Falen systemen die essentieel zijn voor veiligheid tunnel (beperking verkeer of sluiten tunnel vanwege veiligheid) Ongepland onderhoud (correctief); Opleiding, training en oefening tunnelpersoneel of hulpdiensten; Incidenten of calamiteiten in de tunnel; De rode oorzaken bepalen de technische niet-beschikbaarheid van tunnel; de technische niet-beschikbaarheid wordt bepaald door de faaldefinities: Wanneer is iets zodanig stuk dat de veiligheid niet meer is geborgd? 27 22 januari 2013
Wat zijn faaldefinities? Tunnelveiligheid faalt, als de toestand van het tunnelsysteem zodanig is, dat de veiligheid van de weggebruiker niet (meer) voldoende kan worden gewaarborgd Faaldefinities: Beschrijving van de situaties waarin de tunnelveiligheid faalt Of, anders geformuleerd: Beschrijving van de mate waarin een voorziening kan falen, zonder dat de tunnelveiligheid faalt 28 22 januari 2013
Wat te doen als een systeem faalt? 29 22 januari 2013
Wat te doen als een systeem faalt? (2) 30 22 januari 2013
Nadere toelichting faaldefinities Faaldefinities zijn gekoppeld aan services (service-categorieën) die in de RWS-tunnelstandaard zijn gedefinieerd, te weten: Ondersteunende services (B) Preventie (fp) Mitigatie (fm) Zelfredzaamheid (fz) Hulpverlening (fh) Ondersteunen verkeersmanagement (D) 31 22 januari 2013
Nadere toelichting faaldefinities (3) Voorbeeld: Ondersteunende services (B) falen o.a. als: De energievoorziening faalt De bediening of besturing faalt Er (tijdelijk) geen gekwalificeerd tunnelpersoneel beschikbaar is 32 22 januari 2013
Nadere toelichting faaldefinities (4) Voorbeeld: Preventie (fp) faalt o.a. als: De tunnelverlichting faalt MTM/verkeerssignalering faalt 33 22 januari 2013
Nadere toelichting faaldefinities (6) Voorbeeld: Zelfredzaamheid (fz) faalt o.a. als: De vluchtdeuren falen De overdrukventilatie veilige ruimte (MTK) faalt De verlichting veilige ruimte (MTK) faalt De omroep verkeersbuis faalt 34 22 januari 2013
Nadere toelichting faaldefinities (7) Voorbeeld: Hulpverlening (fh) faalt o.a. als: De blusvoorziening tunnel faalt De C2000 tunnel faalt De energievoorziening in de hulppostkasten faalt 35 22 januari 2013
36 22 januari 2013
Systemen (LFV s) 37 22 januari 2013
Faaldefinities 38 22 januari 2013
Meetbaarheid falen (hoe wordt falen opgemerkt?) Voorziening geeft automatisch signaal, of falen moet worden opgemerkt d.m.v. testen of inspecties 39 22 januari 2013
Gevolg falen (welke extra veiligheidsrisico s treden op?) 40 22 januari 2013
Herstelprioriteit zonder maatregelen Is gerelateerd aan Risk Reduction Factor (RRF), zie presentatie VKF s; hoe hoger RRF, hoe hoger herstelprioriteit 41 22 januari 2013
Compenserende en risicoreducerende maatregelen die kunnen worden genomen bij falen 42 22 januari 2013
Herstelprioriteit indien maatregelen zijn genomen 43 22 januari 2013
3. Synthese 44 22 januari 2013
In QRA aangehouden betrouwbaarheidseisen Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Herstelprioriteiten bij falen (inspectie- en testfrequenties moeten hier zoveel mogelijk bij aan sluiten) Veiligheidseisen Maatgevende eisen (veiligheid of beschikbaarheid) zijn van toepassing Betrouwbaarheidseisen Benodigd onderhoud om blijvend aan Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen betrouwbaarheidseisen te voldoen Onderhoudseisen Beschikbaarheidseisen Benodigde betrouwbaarheid voor beschikbaarheid Beschikbare perioden en/of tijdsduur voor preventief en correctief onderhoud, inclusief inspecties en tests Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers) Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren Eisen life cycle kosten ( ) 45 22 januari 2013
Synthese Neem de maatgevende betrouwbaarheidseis die voortvloeit uit veiligheid (VKF) of beschikbaarheid (faaldefinitie). Toon betrouwbaarheid ontwerp aan met foutenboomanalyses, ontwerpverificaties e.d. (in ieder geval voor VKF s) Borg betrouwbaarheid tijdens bouw / uitvoering door procesbeheersing en audequaat testprogramma (FAT, SAT, SIT) 46 22 januari 2013
4. Instandhouding 47 22 januari 2013
In QRA aangehouden betrouwbaarheidseisen Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Herstelprioriteiten bij falen (inspectie- en testfrequenties moeten hier zoveel mogelijk bij aan sluiten) Veiligheidseisen Maatgevende eisen (veiligheid of beschikbaarheid) zijn van toepassing Betrouwbaarheidseisen Benodigd onderhoud om blijvend aan Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen betrouwbaarheidseisen te voldoen Onderhoudseisen Beschikbaarheidseisen Benodigde betrouwbaarheid voor beschikbaarheid Beschikbare perioden en/of tijdsduur voor preventief en correctief onderhoud, inclusief inspecties en tests Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers) Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren Eisen life cycle kosten ( ) 48 22 januari 2013
Instandhouding Instandhouding (inspecties, tests, onderhoud) is in feite gericht op het op peil houden van de vereiste betrouwbaarheid van de diverse voorzieningen. Hiervoor wordt in toenemende mate gebruik gemaakt van risicogestuurd beheer- en onderhoud (ProBO): Hoe kan je met zo weinig mogelijk kosten blijven voldoen aan de topeisen voor veiligheid en beschikbaarheid 49 22 januari 2013
Instandhouding (2) Het (ontwerp-)instandhoudingsplan moet worden getoetst aan de volgende criteria: Past het binnen de beschikbaarheidseisen; Past het binnen het budget. Iteratief optimaliseren op basis van ProBO; 50 22 januari 2013
Vragen????? 51 22 januari 2013
Reserve sheets 52 22 januari 2013
Resultaten / Conclusies (2) Verder hebben de volgende NIET-geautomatiseerde Voorzieningen een relatief grote RRF: 1. Tunneloperator (bij categorie A tunnels) 2. Filevermijding (bij lange tunnels) 3. Riolering 4. (Regeling) ingangsverlichting 53 22 januari 2013
Prestatie-eisen veiligheidskritische functies (6) Calamiteitenknop (is geen VKF, maar eisen hangen daar wel mee samen) Betrouwbaarheid CK kan lager worden naarmate meer functies zijn geautomatiseerd als vangnet Betrouwbaarheid CK moet in verhouding staan tot betrouwbaarheid tunneloperator (menselijk falen) Betrouwbaarheidseisen aan melding status acties na indrukken CK is in feite belangrijker (zodat operator zonodig nog kan corrigeren) 54 22 januari 2013
Eisen (7) Calamiteitenknop (vervolg) Vereiste betrouwbaarheid bij aanspraak: 98% per maatregel, exclusief menselijk falen 98 % 98 % 98 % 98 % 98 % Vluchtweg in gereedheid brengen Ventilatie incidentbuis calamiteitenstand. Vereiste betrouwbaarheid statusmelding: 99,5% per actie Verlichting incidentbuis optimaal. 55 22 januari 2013