De kans op een slecht ontwerp

076a

Jaren geleden zat ik eens met een vriend op de Beestenmarkt in Delft van de zon en een stuk appeltaart te genieten. Ik was net afgestudeerd, hij alweer twee jaar aan het werk. Op dat moment was hij gedetacheerd bij een groot infrastructureel project waarvan ik net zo goed meteen kan verklappen dat het de Maeslantkering was. Mijn vriend had daar onder meer een reeds goedgekeurde berekening nog eens overgedaan en was er zo achter gekomen dat een bepaald deel van de staalconstructie toch echt twee keer zo stevig uitgevoerd moest worden om aan de normen te kunnen voldoen. Foutje.

Dus om nou te zeggen dat ik erg verbaasd was toen de waterkering onlangs veel minder faalbestendig bleek te zijn dan bedoeld: nee. Er zullen best nog rekenfouten in het ontwerp zijn blijven zitten. Niet dat die meteen een bedreiging vormen, zoals die slecht ontworpen platte daken die deze winter bij bosjes onder de sneeuw bezweken. De Maeslantkering is zo overgedimensioneerd dat hij wel tegen een foutje kan.
Maar enigszins onrustbarend is het wel. Bij de vorige inspectie was er iets mis met de bolscharnieren waarop de armen van de kering draaien.

Deze keer is het een programmeerfout die voor haperingen kan zorgen bij het sluiten van de armen. De laatste fout verhoogde de faalkans van 1 op de 1000 naar 1 op de 9 keer. Dan ga je je toch afvragen hoe het was geweest als de fout in de software tegelijk met die in de bolscharnieren gevonden was: 1 op de 6 keer, 1 op de 2 keer? En hoe zit het met de fouten die bij volgende inspecties gevonden gaan worden? Kunnen we daar niet een schatting van maken? Hoe dicht zitten we bij de 1 op 1?

Het zijn van die vragen waar je als mens met aanleg tot twijfel ontzettend nerveus van kunt worden. Ik wil helemaal niet weten wat de faalkans is als gevolg van een ontdekte fout. Ik wil weten wat de totale faalkans is, ook als gevolg van nog niet ontdekte fouten. Eigenlijk wil ik zelfs weten wat de kans is dat in een willekeurig civiel ontwerp een ontwerpfout zit. Ik vrees dat die nogal groot is. Maar bovenal wil ik weten of er achtervang is.

Op mooie dagen wil ik nog wel eens naar de Maeslantkering fietsen. Vanaf de nabije kunstmatige heuvel heb je een prachtig uitzicht over het gevaarte. Dat vervult mij altijd weer met verwondering. Het is werkelijk een machtig ding. Maar ik denk ook altijd: een zwakke dijk in nood kun je met een leger zandzakleggers te lijf gaan, de sluisdeuren van de Oosterscheldedam kun je desnoods met explosieven naar beneden doen vallen, maar de Maeslantkering is ongevoelig voor de menselijke maat. Je duwt hem niet met een bataljon soldaten op zijn plek. Wanneer de techniek faalt, is er geen achtervang.

Een softwarebug – veel abstracter kan een ontwerpfout niet worden. Ik zie een film voor me. Er raast een woeste storm. De kering moet zo spoedig mogelijk gesloten worden, maar hapert. Een leger programmeurs worstelt zich koortsachtig door de code. Dan roept de held: ‘Ik heb ‘m, ik heb ‘m’. Hij verandert een één in een nul. Drukt op enter. De eindeloze armen van de Maeslantkering sluiten zich. Rotterdam is gered. De held wordt innig gezoend door Melanie Schultz van Haegen.

Maar dat is film. De werkelijkheid is dat ‘s rijks ingenieurs er nog altijd niet in geslaagd zijn ons leven als burgers onder de zeespiegel van alle risico’s te ontdoen. Ik dacht veilig te zitten door een appartement op de vijfde verdieping te kopen, vele meters boven NAP. Maar diezelfde vriend, die ik laatst toevallig weer eens sprak, vroeg onmiddellijk of ik dacht dat de constructeurs van de flat in hun sterkteberekening de impact van een vloedgolf hadden meegenomen. Hij herinnerde me aan de beelden van de tsunami, waarin vooral palmbomen overeind stonden. De faalkans voor het vinden van een palmboom in hartje Rotterdam is precies 1 op 1.

Enfin, ik heb dus maar een zwemvest en een opblaasboot gekocht. Die bewaar ik onder mijn bed, voor het geval dat.

Eerder verschenen in De Ingenieur nr 4, 2006.