Rijkswaterstaat stopt de lopende aanbesteding voor nieuwe hardware en software voor de bedienings- en besturingssystemen van de Maeslantkering en de Hartelkering, na kritiek van het Adviescollege ICT-toetsing. Het college noemt de gekozen aanpak onnodig risicovol en raadt aan de bestaande software te handhaven, tenzij de betrouwbaarheid niet voldoende blijkt te zijn. Rijkswaterstaat neemt deze aanbeveling over. De hardware kan wel worden vervangen.
Het gaat om het project BEST2DO van Rijkswaterstaat. Dit heeft als doel het functioneren van de bedienings- en besturingssystemen van de Hartelkering (BESH) en van de aandrijving (locomobiel) van de Maeslantkering (BESL) op de lange termijn te waarborgen. Bij beide Zuid-Hollandse stormvloedkeringen die samen de Europoortkering vormen, koos Rijkswaterstaat voor het vervangen van zowel de hardware als de software.
Volgens Rijkswaterstaat bereikt de hardware over enkele jaren het einde van de technische levensduur. Dit zou hiermee ook gelden voor de software, omdat de firmware (de software die in de hardware is ingebouwd) verandert en er nieuwe eisen voor cybersecurity zijn. Het budget van het project is ruim 32 miljoen euro, inclusief vijftien jaar beheer en onderhoud.
Aanpak onnodig risicovol volgens AcICT
Medio 2022 was de aanbesteding gestart en die bevond zich inmiddels in de laatste fase van de gunning. Rijkswaterstaat stopt daar nu mee na de publicatie van het adviesrapport van het Adviescollege ICT-toetsing (AcICT). Dat laat minister Mark Harbers van Infrastructuur en Waterstaat weten in een brief die hij vorige week aan de Tweede Kamer stuurde.
Het AcICT deed op verzoek van het ministerie onderzoek naar het project BEST2DO. De conclusie: met het oog op de betrouwbaarheid vindt het college de door Rijkswaterstaat gekozen aanpak onnodig risicovol.
Geen technische noodzaak voor vervanging software
Voor dit kritische oordeel worden drie redenen gegeven. Allereerst dient de oplossingsrichting onvoldoende het belang van betrouwbare keringen, geeft het AcICT aan. “Uit ons onderzoek komt geen enkele aanwijzing voor een technische noodzaak tot vervanging van de bestaande software… Van de ongeveer 2.100 incidenten over de afgelopen twaalf jaar in de keringen is er geen enkel incident terug te voeren op fouten in de huidige software of falen hiervan.”
Van nieuwe software moet de betrouwbaarheid zich eerst nog bewijzen. Het college wijst er ook op dat hergebruik van de bestaande software mogelijk is, zelfs door andere leveranciers dan de huidige. “Dit marktpotentieel wordt nu niet benut.” Het AcICT vindt verder de keuze om in één opdracht twee systemen van twee sterk verschillende objecten te vervangen, niet voor de hand liggend.
Als tweede reden noemt het AcICT dat er nog onvoldoende inhoudelijke basis is voor het realiseren van nieuwe software. “De nu voorgenomen nieuwbouw is namelijk gebaseerd op onvoldoende uitgewerkte eisen, functioneel ontwerp en functiereconstructie, wat een belangrijk faalrisico van projecten is. Zeker bij nieuwbouw van systemen die een zeer hoge softwarebetrouwbaarheid vereisen, zoals hier het geval is.” De derde reden betreft de opzet van de aanbesteding. Die biedt weinig zekerheid dat het gewenste resultaat wordt bereikt.
Wijziging van aanpak aangeraden
Het Adviescollege ICT-toetsing raadt aan de aanpak van het project BEST2DO voor de Maeslant- en de Hartelkering te wijzigen. “Kies daarbij voor een aanpak die het belang van betrouwbare besturingssystemen en dus betrouwbare keringen centraal stelt.”
Er wordt aanbevolen om de bestaande software van BESH en BESL te handhaven, tenzij de betrouwbaarheid niet voldoende blijkt te zijn. “Uit ons onderzoek blijkt dat zowel betrokkenen van RWS als de huidige leveranciers positief zijn over de betrouwbaarheid van de huidige software. Ons verkennend onderzoek bevestigt dat de software niet aan het einde van de technische levensduur is.”
Daarom adviseert het AcICT om te kiezen voor het scenario waarin de betrouwbaarheid van beide besturingssystemen het minste risico loopt. “Concreet betekent dit dat alleen de hardware wordt vervangen en de bestaande software wordt gemigreerd en hergebruikt. Hoewel wij begrijpen dat het een ingrijpende beslissing is, is het toch verstandig dat RWS heeft besloten om de nu lopende aanbesteding te pauzeren.”
Het AcICT komt nog met een tweede aanbeveling: zorg ervoor dat het ontwerp, de software en de bijbehorende testomgeving consistent zijn met elkaar en met de werking van de besturingssystemen. Hierbij zijn er discrepanties. “Dit is een noodzakelijke maatregel voor een duurzaam correcte werking van de systemen en de beheersing daarvan.”
Aanbevelingen overgenomen door Rijkswaterstaat
Minister Harbers schrijft in de Kamerbrief dat Rijkswaterstaat de aanbevelingen van AcICT overneemt. Daarom wordt de lopende aanbesteding afgeblazen en wijzigt de aanpak.
De minister geeft deze toelichting: “In overleg met AcICT is geconcludeerd dat er meerdere vormen van hergebruik zijn en dat de kwaliteit van de huidige software beter benut kan worden. Daarom stopt Rijkswaterstaat de huidige aanbesteding en wordt de bestaande software gemigreerd naar nieuwe hardware. Dit geeft tijd om een nieuwe aanbesteding beter voor te bereiden en tegelijkertijd de beschikbaarheid en betrouwbaarheid van beide bedienings- en besturingssystemen te borgen.”
In de nieuwe aanpak gaat Rijkswaterstaat meer tijd nemen voor het verder uitwerken van de eisen en het verbeteren van het functioneel ontwerp. Ook wordt een volwaardige testomgeving ingericht. Aanvullend versterkt Rijswaterstaat de kwaliteitsborging door het aanscherpen van het verificatie- en validatieproces. Hiermee worden de discrepanties tussen het ontwerp, de software en de testen weggenomen.
De bedoeling was om BESH in 2026 en BESL in 2027 af te ronden. Deze planning zal niet meer worden gehaald. Harbers schrijft daarover: “De uitwerking van de aanbevelingen zorgt voor een langere doorlooptijd van het project. Daarom neemt Rijkswaterstaat aanvullende maatregelen om de betrouwbaarheid en beschikbaarheid van de kering te borgen.”
