De verkeersvriendelijke tunnel Een RAMS-benadering om zowel veiligheid als beschikbaarheid te borgen NVRB, 22 januari 2013 Ronald Mante, Hoofd Steunpunt Tunnelveiligheid
22 januari 2013
De verkeersvriendelijke tunnel • Veilig………… • Beschikbaar ……………… ………… voor de weggebruiker
2
22 januari 2013
De beheervriendelijke tunnel • Makkelijk onderhoudbaar ………. • Tegen aanvaardbare (life cycle) kosten……… ………… voor de tunnelbeheerder
3
22 januari 2013
Spanningsveld Als veiligheid niet gegarandeerd, dan tunnel dicht ten behoeve van onderhoud; vereiste veiligheid en beschikbaarheid stellen daarom eisen aan betrouwbaarheid
Falende voorzieningen gaan ten koste van de veiligheid en beschikbaarheid (onderhoud!)
Veiligheid
Extra betrouwbaarheid is niet altijd hogere beschikbaarheid; redundantie vraagt meer onderhoud!
Spanningsveld
Betrouwbaarheid
Beschikbaarheid
Onderhoud
4
22 januari 2013
Benadering om spanningveld op te lossen Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Hers te lprio
Veiligheidseisen
Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen
Beschikbaarheidseisen
rit eite n bij f moet en a h ier zo len (insp ectiev eel m en te st ogelijk f r eque bij aan n ties sluiten )
In Q betr RA a an g ou w ba a ehoude rh ei ds ei n sen
Maatgevend e eisen (veiligheid of beschikbaarheid) zijn van toepassing
Benodigd onderhoud om blijvend aan
Onderhoudseisen
betrouwbaarheidseisen te voldoen
eid aarh u wb eid o r t e be kbaa rh d i gd hi Beno or besc vo
f ev entie oo r pr v s t r s u e u t d ies en f tijd s n en/o inspect e f d ie io s r e lu bar e p ud, inc Besch ik ti ef onderh o c e r r o en c
Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers)
5
Betrouwbaarheidseisen
Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren
Eisen life cycle kosten (€)
22 januari 2013
Inhoud presentatie 1. Betrouwbaarheidseisen in kader veiligheid (Veiligheidskritische Functies) 2. Betrouwbaarheidseisen in kader van beschikbaarheid (o.a. faaldefinities tunnelveiligheid) 3. Synthese 3. Instandhouding
6
22 januari 2013
1. Betrouwbaarheidseisen in kader veiligheid: Veiligheidskritische functies (VKF’s)
7
22 januari 2013
Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Hers te lprio
Veiligheidseisen
Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen
Beschikbaarheidseisen
rit eite n bij f moet en a h ier zo len (insp ectiev eel m en te st ogelijk f r eque bij aan n ties sluiten )
In Q betr RA a an g ou w ba a ehoude rh ei ds ei n sen
Maatgevend e eisen (veiligheid of beschikbaarheid) zijn van toepassing
Benodigd onderhoud om blijvend aan
Onderhoudseisen
betrouwbaarheidseisen te voldoen
eid aarh u wb eid o r t e be kbaa rh d i gd hi Beno or besc vo
f ev entie voo r pr s t r s u e u t d s n d cties e /of tij f inspe den en ie io s r e lu p c bar e ud, in Besch ik ti ef onderh o c e r r o c en
Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers)
8
Betrouwbaarheidseisen
Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren
Eisen life cycle kosten (€)
22 januari 2013
Waarom aandacht voor veiligheidskritische functies •
Automatisering steeds belangrijker in tunnels
•
Ontwikkelen veilige en betrouwbare software blijkt lastig
•
Onduidelijk welke onderdelen van de software cruciaal c.q. kritisch zijn voor de veiligheid
•
Dus: onduidelijk welke eisen moeten worden gesteld en in welke mate moet worden aangetoond dat aan de eisen wordt voldaan
9
22 januari 2013
Waarom aandacht voor veiligheidskritische functies (2) Resultaat:
10
•
Bij tunnelprojecten worden hoge prestatie- en betrouwbaarheidseisen gesteld aan alle veiligheidsfuncties, dus aan het totale besturingssysteem
•
Hoge complexiteit, vertragingen in projectplanningen en hoge kosten
22 januari 2013
Wat zijn veiligheidskritische functies?
11
•
Geautomatiseerde veiligheidssystemen, die autonoom ingrijpen, op basis van bepaalde detecties.
•
“Veiligheidskritisch”: geautomatiseerde systemen met grote bijdrage aan reductie risico voor weggebruikers
•
Het gaat hierbij om functionele veiligheid:het veilig functioneren van technische, software intensieve systemen
•
Veilig functioneren betekent: •
Het systeem doet wat het moet doen
•
Met voldoende betrouwbaarheid
•
Bij falen is sprake van fail safe gedrag
22 januari 2013
Wat zijn veiligheidskritische functies? (2)
12
22 januari 2013
Gevolgde aanpak •
Analyse in de geest van IEC-61508
•
Uitgangspunt: aanwezige voorzieningen en geautomatiseerde systemen in tunnel conform RWS-tunnelstandaard
•
Berekening Risk Reduction Factor (RRF) van de aanwezige voorzieningen met behulp van QRA-tunnels 2.0
•
Bepaling betrouwbaarheidseis geautomatiseerde systemen / veiligheidskritische functies op basis van RRF, volgens IEC61511
13
22 januari 2013
Gevolgde aanpak (2)
14
22 januari 2013
Resultaten / Conclusies Veiligheidskritische functies zijn: 1.
Automatisch inschakelen ventilatie
2.
Automatisch in gereedheid brengen veilige vluchtweg: 1. Zonodig ontgrendelen vluchtdeuren 2. Inschakelen overdrukventilatie (bij MTK) 3. Inschakelen verlichting (bij MTK)
3.
Voorkomen onbeheerst neergaan afsluitboom bij automatisch afsluiten tunnel
15
22 januari 2013
Prestatie-eisen veiligheidskritische functies
Safety Instrum ented System (SIL = 1 o r 2)
Co ntroller (log ic solver)
Sense (T = t1 )
Actuate (T = t2 ) Sen sor
Actuator
Timing = ΔT = t2 – t1
16
22 januari 2013
Prestatie-eisen veiligheidskritische functies (2) Automatisch opstarten ventilatie Sense Logic
17
−Zichtmeting (k > 0,012/m), of: −Detectie openen hulppost + detectie uitnemen slanghaspel, of: −Detectie openen hulppost + detectie uitnemen draagbaar brandblusapparaat.
Actuate
Inschakelen tunnelventilatie in de incidentbuis op 50% van volledig vermogen + alarmsignaal naar de operator.
Time
60 seconden (reactietijd zichtmeting + reactietijd besturing + tijd benodigd om 50% ventilatievermogen te bereiken)
Toegestane faalkans
< 0,02 per aanvraag
22 januari 2013
Prestatie-eisen veiligheidskritische functies (3) Automatisch in gereedheid brengen veilige vluchtweg Sense Logic Actuate
18
−Zichtmeting (k > 0,012/m) of: −Detectie openen hulppost + detectie uitnemen slanghaspel, of: −Detectie openen hulppost + detectie uitnemen draagbaar brandblusapparaat a.Zonodig vergrendelde vluchtdeuren ontgrendelen; b.Zonodig deuren in de vluchtroute die toegang geven tot ruimten anders dan de vluchtroute vergrendelen; c.Mechanische overdrukventilatie in veilige ruimte (middentunnelkanaal) starten; d.Vluchtwegverlichting op het juiste niveau zetten; e. Vluchtwegbordjes in MTK inschakelen in juiste vluchtrichting.
Time
75 seconden: (reactietijd zichtmeting + reactietijd besturing+ benodigde tijd om overdruk op te bouwen in MTK)
Toegestane faalkans
a t/m c: zie tabel hierna d en e: overeenkomstig faalkans gebruikelijke COTScomponenten (Commercial Off The Shelf) 22 januari 2013
Prestatie-eisen veiligheidskritische functies (4) Automatisch in gereedheid brengen veilige vluchtweg Toegestane faalkans ont-/vergrendelen vluchtdeuren en inschakelen overdrukventilatie Frequentie van file voorbij tunnel
Hoog (5x / week)
Normaal (1x / week)
Laag (1x / 2 weken)
Filevermijdingssysteem
Tunnellengte < 500m
< 0,01
< 0,01
< 0,01
< 0,01
500m –1.000m
< 0,01
< 0,01
< 0,01
< 0,01
1.000m – 1.250m
< 0,01
< 0,01
< 0,01
< 0,01
1.250m – 2.500m
< 0,01
< 0,01
< 0,01
< 0,01
2.500m – 5.000m
< 0,005
< 0,005
< 0,01
< 0,01
> 5.000m
< 0,005
< 0,005
< 0,005
< 0,01 Legenda RRF < 100 100 < RRF < 500 RRF > 500
19
22 januari 2013
Prestatie-eisen veiligheidskritische functies (5) Voorkomen onbeheerst afsluiten tunnelbuis (bij automatische afsluiting) Sense Logic
20
−Slagboom: bij commando “neer” nagaan: oStatus VRI (“rood” of “uit”) −VRI: bij commando “rood” nagaan: oStatus MTM (snelheidsverlaging “70” / “50” ingesteld of niet).
Actuate
−Slagboom: oIndien VRI niet “rood”, dan commando “rood” naar VRI; oIndien VRI na commando nog steeds niet “rood”, dan slagboom niet neer. oIndien VRI na commando wel “rood”, dan slagboom neer. −VRI: oIndien MTM geen snelheidsverlaging, dan commando snelheidsverlaging naar MTM; oIndien MTM na commando nog steeds geen snelheidsverlaging, dan VRI niet op “rood”; oIndien MTM na commando wel snelheidsverlaging, dan VRI op “rood”
Time
5 seconden (reactietijd besturing)
Toegestane faalkans
Slagboom: < 0,00385 per aanvraag VRI: < 0,0154 per aanvraag
22 januari 2013
Aantoonbaarheid •
Veiligheidskritische functies en CK: toon betrouwbaarheid aan met foutenboomanalyse, waarbij betrouwbaarheid software wordt gekwantificeerd met TOPAAS Er is sprake van falen als functie niets doet, de verkeerde dingen doet of te laat iets doet
•
21
Overige veiligheidsvoorzieningen: pas betrouwbaarheid toe die in de praktijk eenvoudig haalbaar is met COTS. De betrouwbaarheid hoeft hierbij niet te worden aangetoond met een foutenboomanalyse, maar moet in de ontwerpdocumentatie wel aannemelijk worden gemaakt.
22 januari 2013
2. Betrouwbaarheidseisen in kader beschikbaarheid: Faaldefinities tunnelveiligheid
22
22 januari 2013
Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Hers te lprio
Veiligheidseisen
Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen
Beschikbaarheidseisen
rit eite n bij f moet en a h ier zo len (insp ectiev eel m en te st ogelijk f r eque bij aan n ties sluiten )
In Q betr RA a an g ou w ba a ehoude rh ei ds ei n sen
Maatgevend e eisen (veiligheid of beschikbaarheid) zijn van toepassing
Benodigd onderhoud om blijvend aan
Onderhoudseisen
betrouwbaarheidseisen te voldoen
h eid baar w u o d betr aa rh ei b gd e i k i d h o Ben or besc vo
tief pr ev en ur voo r e st s u t d s n d e ij n/ of t pecties e s n in e f d ie erio lus bar e p ud, inc Besch ik ti ef onderh o c e r en cor
Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers)
23
Betrouwbaarheidseisen
Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren
Eisen life cycle kosten (€)
22 januari 2013
Beschikbaarheidseisen tunnel • Beschikbaarheidseisen tunnel worden bepaald door het maatschappelijk / economisch belang van de weg waarin de tunnel is gelegen voor het totale snelwegnetwerk: – Hoeveelheid verkeer per dag; – Omrijdmogelijkheden als weg (tunnel) is afgesloten • Als zodanig is vereiste beschikbaarheid “hoog” of “zeer hoog”
24
22 januari 2013
Beschikbaarheidseisen tunnel (2) • Zeer hoge beschikbaarheid: – Beperkte of volledige beschikbaarheid: 98% op jaarbasis; – Volledige beschikbaarheid: 93% op jaarbasis. • Hoge beschikbaarheid: – Beperkte of volledige beschikbaarheid: 98% op jaarbasis; – Volledige beschikbaarheid: 90% op jaarbasis.
25
22 januari 2013
Beschikbaarheidseisen tunnel (3) • Volledige beschikbaarheid: alle rijstroken zijn open in beide rijrichtingen, zonder beperkingen voor het verkeer. • Beperkte beschikbaarheid: verkeer is mogelijk in beide rijrichtingen, maar niet alle rijstroken zijn open en/of er zijn beperkingen voor het verkeer (verlaging maximum snelheid en/of verbod voor vrachtauto’s). • Geen beschikbaarheid: tunnel is volledig gesloten in beide rijrichtingen.
26
22 januari 2013
Beschikbaarheidseisen tunnel (4) •
Beperkte of geen beschikbaarheid door: – Technische inspecties of tests – Gepland onderhoud (preventief) – Falen systemen die essentieel zijn voor veiligheid tunnel (beperking verkeer of sluiten tunnel vanwege veiligheid) – Ongepland onderhoud (correctief);
– – •
27
Opleiding, training en oefening tunnelpersoneel of hulpdiensten; Incidenten of calamiteiten in de tunnel;
De rode oorzaken bepalen de technische niet-beschikbaarheid van tunnel; de technische niet-beschikbaarheid wordt bepaald door de faaldefinities: – Wanneer is iets zodanig stuk dat de veiligheid niet meer is geborgd?
22 januari 2013
Wat zijn faaldefinities? • Tunnelveiligheid faalt, als de toestand van het tunnelsysteem zodanig is, dat de veiligheid van de weggebruiker niet (meer) voldoende kan worden gewaarborgd • Faaldefinities: – Beschrijving van de situaties waarin de tunnelveiligheid faalt Of, anders geformuleerd: – Beschrijving van de mate waarin een voorziening kan falen, zonder dat de tunnelveiligheid faalt
28
22 januari 2013
Wat te doen als een systeem faalt?
29
22 januari 2013
Wat te doen als een systeem faalt? (2)
30
22 januari 2013
Nadere toelichting faaldefinities Faaldefinities zijn gekoppeld aan “services” (service-categorieën) die in de RWS-tunnelstandaard zijn gedefinieerd, te weten: • Ondersteunende services (B) • Preventie (fp) • Mitigatie (fm) • Zelfredzaamheid (fz) • Hulpverlening (fh) • Ondersteunen verkeersmanagement (D)
31
22 januari 2013
Nadere toelichting faaldefinities (3) Voorbeeld: Ondersteunende services (B) falen o.a. als: • De energievoorziening faalt • De bediening of besturing faalt • Er (tijdelijk) geen gekwalificeerd tunnelpersoneel beschikbaar is
32
22 januari 2013
Nadere toelichting faaldefinities (4) Voorbeeld: Preventie (fp) faalt o.a. als: • De tunnelverlichting faalt • MTM/verkeerssignalering faalt
33
22 januari 2013
Nadere toelichting faaldefinities (6) Voorbeeld: Zelfredzaamheid (fz) faalt o.a. als: • De vluchtdeuren falen • De overdrukventilatie veilige ruimte (MTK) faalt • De verlichting veilige ruimte (MTK) faalt • De omroep verkeersbuis faalt
34
22 januari 2013
Nadere toelichting faaldefinities (7) Voorbeeld: Hulpverlening (fh) faalt o.a. als: • De blusvoorziening tunnel faalt • De C2000 tunnel faalt • De energievoorziening in de hulppostkasten faalt
35
22 januari 2013
36
22 januari 2013
Systemen (LFV’s)
37
22 januari 2013
Faaldefinities
38
22 januari 2013
Meetbaarheid falen (hoe wordt falen opgemerkt?)
Voorziening geeft automatisch signaal, of falen moet worden opgemerkt d.m.v. testen of inspecties
39
22 januari 2013
Gevolg falen (welke extra veiligheidsrisico’s treden op?)
40
22 januari 2013
Herstelprioriteit zonder maatregelen
Is gerelateerd aan Risk Reduction Factor (RRF), zie presentatie VKF’s; hoe hoger RRF, hoe hoger herstelprioriteit
41
22 januari 2013
Compenserende en risicoreducerende maatregelen die kunnen worden genomen bij falen
42
22 januari 2013
Herstelprioriteit indien maatregelen zijn genomen
43
22 januari 2013
3. Synthese
44
22 januari 2013
Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Hers te lprio
Veiligheidseisen
Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen
Beschikbaarheidseisen
rit eite n bij f moet en a h ier zo len (insp ectiev eel m en te st ogelijk f r eque bij aan n ties sluiten )
In Q betr RA a an g ou w ba a ehoude rh ei ds ei n sen
Maatgevend e eisen (veiligheid of beschikbaarheid) zijn van toepassing
Benodigd onderhoud om blijvend aan
Onderhoudseisen
betrouwbaarheidseisen te voldoen
h eid baar w u o d betr aa rh ei b gd e i k i d h o Ben or besc vo
tief pr ev en ur voo r e st s u t d s n d e ij n/ of t pecties e s n in e f d ie erio lus bar e p ud, inc Besch ik ti ef onderh o c e r en cor
Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers)
45
Betrouwbaarheidseisen
Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren
Eisen life cycle kosten (€)
22 januari 2013
Synthese • Neem de maatgevende betrouwbaarheidseis die voortvloeit uit veiligheid (VKF) of beschikbaarheid (faaldefinitie). • Toon betrouwbaarheid ontwerp aan met foutenboomanalyses, ontwerpverificaties e.d. (in ieder geval voor VKF’s) • Borg betrouwbaarheid tijdens bouw / uitvoering door procesbeheersing en audequaat testprogramma (FAT, SAT, SIT)
46
22 januari 2013
4. Instandhouding
47
22 januari 2013
Voldoen aan veiligheidsnormen voor persoonlijk risico en groepsrisico Hers te lprio
Veiligheidseisen
Faaldefinities tunnelveiligheid, met bijbehorende herstelprioriteiten en beheersmaatregelen
Beschikbaarheidseisen
rit eite n bij f moet en a h ier zo len (insp ectiev eel m en te st ogelijk f r eque bij aan n ties sluiten )
In Q betr RA a an g ou w ba a ehoude rh ei ds ei n sen
Maatgevend e eisen (veiligheid of beschikbaarheid) zijn van toepassing
Benodigd onderhoud om blijvend aan
Onderhoudseisen
betrouwbaarheidseisen te voldoen
h eid baar w u o d betr aa rh ei b gd e i k i d h o Ben or besc vo
tief pr ev en ur voo r e st s u t d s n d e ij n/ of t pecties e s n in e f d ie erio lus bar e p ud, inc Besch ik ti ef onderh o c e r en cor
Eis tunnelbeheerder, met betrekking tot gewogen beschikbaarheid tunnel (nietbeschikbaarheid zoveel mogelijk op tijdstippen met (relatief) weinig hinder voor weggebruikers)
48
Betrouwbaarheidseisen
Toets ontwerp en benodigd onderhoud aan beschikbaar budget; zonodig optimaliseren
Eisen life cycle kosten (€)
22 januari 2013
Instandhouding • Instandhouding (inspecties, tests, onderhoud) is in feite gericht op het op peil houden van de vereiste betrouwbaarheid van de diverse voorzieningen. • Hiervoor wordt in toenemende mate gebruik gemaakt van risicogestuurd beheer- en onderhoud (ProBO): – Hoe kan je met zo weinig mogelijk kosten blijven voldoen aan de topeisen voor veiligheid en beschikbaarheid
49
22 januari 2013
Instandhouding (2) • Het (ontwerp-)instandhoudingsplan moet worden getoetst aan de volgende criteria: – Past het binnen de beschikbaarheidseisen; – Past het binnen het budget. • Iteratief optimaliseren op basis van ProBO;
50
22 januari 2013
Vragen ?????
51
22 januari 2013
Reserve sheets
52
22 januari 2013
Resultaten / Conclusies (2) Verder hebben de volgende NIET-geautomatiseerde Voorzieningen een relatief grote RRF: 1.
Tunneloperator (bij categorie A tunnels)
2.
Filevermijding (bij lange tunnels)
3.
Riolering
4.
(Regeling) ingangsverlichting
53
22 januari 2013
Prestatie-eisen veiligheidskritische functies (6) Calamiteitenknop (is geen VKF, maar eisen hangen daar wel mee samen) • Betrouwbaarheid CK kan lager worden naarmate meer functies zijn geautomatiseerd als “vangnet” • Betrouwbaarheid CK moet in verhouding staan tot betrouwbaarheid tunneloperator (menselijk falen) • Betrouwbaarheidseisen aan melding status acties na indrukken CK is in feite belangrijker (zodat operator zonodig nog kan corrigeren)
54
22 januari 2013
Eisen (7) Calamiteitenknop (vervolg)
Vereiste betrouwbaarheid bij aanspraak: 98% per maatregel, exclusief menselijk falen
98 %
98 %
Vluchtweg in gereedheid brengen
Vereiste betrouwbaarheid statusmelding: 99,5% per actie
55
98 %
Ventilatie incidentbuis calamiteitenstand
Verlichting incidentbuis optimaal
98 %
98 %
…………………….
…………………….
22 januari 2013
