Agile, Blog, Programming

Ontwerp voor fail safe

Bij de grand prix in Zandvoort is Sebastian Vettel komen stil te staan, er komt rook uit zijn auto. Hij rommelt met een brandblusser, marshals mogen er niet gelijk bij, en als er de rode vlag is, doen ze toch vrij weinig. Het duurt allemaal nogal lang voordat de auto wordt weggehaald. De commentator legt het later uit: “De brandweerman had bij de pit nagevraagd of er stroom op de auto stond, het antwoord was nee, maar hij kreeg toch een optater. De chef van het circuit heeft toen gezegd: als ik van de één te horen krijg dat er geen stroom is, en van de ander van wel, dan neem ik het zekere voor het onzekere: er staat stroom op de auto dus is er rode vlag”.

Dat is een vorm van het “fail safe” principe, ook wel genoemd “bij twijfel niet inhalen”. De circuitbaas kiest voor de oplossing die altijd veilig is, namelijk de aanname dat er stroom op de auto staat. Is dat zo, dan moet de race worden gestopt, is dat niet zo, dan kan het geen kwaad dat de race wordt gestopt. Zou andersom worden beslist, iets van “bij twijfel wel inhalen”, dan bestaat het risico dat de brandweer gaat spuiten en er iemand wordt geëlektrokuteerd.

Tijdens het natuurkunde bijvak in mijn sterrenkunde studie (ik heb in mijn doctoraalstudie veel elektrotechnische dingen gedaan) heb ik veel geleerd over “fail safe”. Ik deed onderzoek met een spectrograaf, een apparaat waarmee je licht kunt ontleden. Dat resulteert in een foto waarbij alle golflengten van het licht apart worden weergegeven. Bovenstaande illustratie is zo’n spectrum, gemaakt met één van de spectrografen waarmee ik heb gewerkt (ontleend aan het proefschrift van Ton Raassen). Het is een spectrum van UV licht, van rond 122nm golflengte. Ultraviolet licht wordt niet doorgelaten door de lucht om ons heen, dus de spectrograaf bevond zich in een grote tank die we vacuum konden pompen. De lichtbron was een staafje van een bijzonder metaal, Yttrium of Ytterbium of eén van al die bijzondere metalen. Omdat we een vonk lieten overspringen tussen twee staafjes Yttrium, en een vonk niet ontstaat als er geen lucht is om de elektriciteit te geleiden, moesten we een hoge spanning op de staafjes zetten zodat met het pietsebeetje lucht (het vacuum was niet perfect, dat kan niet op aarde) toch een vonk ontstond. Ik bediende dus een “plofkast” waar maximaal 10 kilovolt mee opgewekt kon worden en een stroom van een paar duizend ampère. Er was een trillingskring (je weet wel, een spoel, en condensator en een weerstand) om de vonk even gaande te houden. Je begrijpt dat een spoel voor 10kV en een paar duizend ampère een groot ding is: een flinke koperen pijp in een paar windingen gedraaid. De condensator was enorm, de weerstand ook.

De tank was een groot ijzeren ding waarvan de bovenkant hydraulisch omhoog kon zodat je de een fotografische plaat in de spectrograaf kon zetten. Achter de tank zat een vacuumpomp die werkte met een olie-scherm, en daarachter twee mechanische vacuumpompen. De spectrograaf had een tralie (een glazen plaat met streepjes die werkt als een prisma, maar dan anders). Dat tralie had een gouden coating en had zoveel duizend lijntjes per milimeter, en kostte iets van 20.000 gulden. Als de mechanische vacuumpomp uitviel, werd het oliescherm van de olie diffusiepomp in de tank geblazen en konden we het tralie weggooien. Als de hydraulica het begaf als ik net in de tank leunde kwam het deksel naar beneden en was ik doormidden. Als ik te dicht bij de plofkast kwam, was ik verdampt. Vandaar dat op vele manieren het fail safe principe was geïmplementeerd. Rond de hele opstelling stond een aluminium hek, dat goed was geaard. Als er ook maar het minste mis was met het hek, ging de elektriciteit uit. Op de plofkast zat een “schakelaar” die met perslucht werkte, en als de perslucht uitviel ging de schakelaar in de veilige stand, dat wil zeggen de elektra ging uit. Als de mechanische vacuumpomp uitviel, sloten onmiddelijk alle kleppen van de olie-diffusiepomp, zodat er geen olie in de tank kon komen. Er was een bedieningspaneel voor alle apparatuur, buiten het hek, als daar iets mee was, ging de hoogspanning uit en de kleppen op veilig. Alles in de hele installatie was zo ontworpen dat als er iets mis ging of stuk ging, niemand gewond kon raken en het tralie niet beschadigd kon raken. Het was ontworpen voor fail safe.

Natuurlijk heb je geen garantie. Toen ik op een middag lekker zat te ploffen merkte een collega op dat er vonkjes van het aluminium hek sprongen. We hebben alles gelijk stilgezet, en na grondig onderzoek gevonden dat het hek niet goed geaard was. Dikke koperen strips bleken niet genoeg aarde voor de hoge spanning. Ik kon een week niet ploffen omdat een installateur een nieuwe aardleiding moest maken in het grondwater. Diezelfde collega-student is er later in geslaagd toch een instelling te vinden waardoor de olie in zijn installatie (er waren twee spectrografen, hij werkte met de ene, ik met de andere, we gebruikten hetzelfde hek en plofkast) op het tralie belandde. Prof. Klinkenberg was daar niet blij mee.

Je verwacht dat wetenschappers allemaal begrijpen wat fail safe is. Niet alleen in het ontwerp van installaties (of sofware) maar ook bij het interpreteren van metingen en het nemen van beslissingen. Ik was daarom zeer verbaasd toen Jaap van Dissel het volgende zei over de mogelijkheid dat het coronavirus via aerosols verspreid kan worden. Hij zei “het is niet bewezen dat het virus via aerosols verspreidt dus we gaan daar niet van uit”. Huh? Fail safe zegt dat je als je iets niet weet, je van de veilige situatie uitgaat. Als je niet weet of een virus via aerosols verspreid raakt, is de veilige situatie die waarin mensen niet besmet raken, dus neem je aan dat het virus zich wel via aerosols verspreidt en neem je daar maatregelen tegen. Je kunt stoppen met die maatregelen als bewezen is dat het virus zich niet via aerosols verspreidt. Van Dissel verbaasde mij des te meer omdat er levens op het spel stonden, en staan. Als blijkt dat het virus zich via aerosols verspreidt, dan is dat in heel 2020 gebeurt, en zijn er weet hoeveel mensen besmet geraakt die niet besmet waren geraakt als Van Dissel iets had begrepen van fail safe.

Er komt natuurlijk meer bij kijken dan alleen “fail safe”. Bij de oude ADM werf in Amsterdam Noord hadden ze in het magazijn een snijmachine om metalen platen te snijden. Een enorm apparaat dat met een valmes zo een plaat doormidden sloeg. Het ding werd bediend met twee drukknoppen op ooghoogte op afstand van elkaar om te zorgen dat je beide armen uit de buurt had als het ding in werking was. Maar dat is natuurlijk onhandig, want dan kun je niet de plaat snel nog even recht leggen, dus zat er ineens een stuk ductape om de ene knop. De ontwerper moet dus verder gaan en detectie inbouwen dat als een knop langer dan x seconden is ingedrukt, de hele installatie uitvalt en niet zomaar weer kan worden aangezet. Waarna mensen dan toch weer iets vinden om het weer gevaarlijk te maken. Lees in “Gödel, Escher, Bach” van Douglas Hofstadter het verhaal van de krab en de schildpad over hoe zo’n wedloop nooit ophoudt.

De moraal van dit verhaal: als je iets ontwerpt, doe het dan zo dat als er iets mis gaat, de gevolgen beperkt blijven. En voor de manager, als je iets moet beslissen en je mist informatie, beslis dan zo dat er in ieder geval geen dooien vallen.