原子力施設の安全とヒューマンファクタ (06-01-01-31)

＜本文＞
1.　原子力施設における安全確保のあり方と人間の役割
　原子力発電プラントや化学プラントのような潜在的に大きな災害を発生させる可能性を有する巨大複雑システムを低いリスクで運転するには、日常一般機器の使用、あるい道路交通、鉄道、または航空機分野とは異なるリスク管理の戦略を用いる必要がある。何故なら、これら道路交通等においては一つ一つの事故による被害は比較的小さく、過去の事故事例または統計に基づいて原因を潰すことによりリスクを低く押さえるというアプローチが有効と考えられている。一方、原子力発電所や化学プラント等では、一つの事故が大きな災害をもたらす可能性をもっている。従って、一回といえども重大な事故の発生は許されない。このため、事故原因となるトラブル等を低減するばかりでなく、万が一トラブルが発生しても事故への進展、拡大を防ぎ、さらには影響を緩和するための手段を備えるという多重防護（Defense in Depth）の思想に基づく方策をとっている。これらの施設における事故が大きな災害に発展するのは、施設に畜えられている大量のエネルギーあるいは危険物質を制御する能力が喪われたときである。このような事態の潜在的可能性に対処するため多層の防御を施すことを基本とする。この多層の防護を維持することが安全を保つうえで決定的に重要なものである。これらの防護は、過去の事故の経験に基づくというよりは、むしろ発生の可能性があると考えられる事故のプロセスを予測、分析することに基づくべきである。安全確保における運転員等人間の究極的な役割は、設計者によって予測されなかった事故状況に対して、このような防護を破られないように維持することにある。
1.1　原子力発電所における安全確保の基本的な考え方（文献１，２）
　原子炉施設の安全確保の究極の目標は、周辺公衆の放射線被ばくの影響を極力抑えることにより、健康と安全の確保を行うことである。原子炉施設の安全確保対策としては、次の三つの柱が考えられている。
　第一の柱：事故防止および影響緩和対策
　第二の柱：平常運転時における公衆の被ばく低減対策
　第三の柱：原子炉施設と公衆との離隔距離の確保
　ここでは、第一の柱に焦点をあてて述べることとする。第一の柱としては次のような３つのレベルの多層的対策をたてるという多重防護（Defence in Depth）の思想にもとづいて、設計、建設、運転、保守の各段階において、安全確保対策がとられている:
　第一のレベル：異常発生の防止、
　第二のレベル：異常の波及拡大の防止と事故への発展の防止、
　第三のレベル：異常拡大時の影響緩和（放射性物質の異常な放出の防止）。
（1）第一のレベルの異常発生の防止では、通常の運転範囲を逸脱するような異常な状態が発生しないように、余裕のある設計、建設および厳重な運転管理を実施する。すなわち、設計段階では原子炉が固有の自己制御性を有するように設計し、適切な計測・制御装置を設置するとともに運転員の誤操作防止対策として適切なインタロックを設置する。建設段階では品質保証と試運転によるプラントと機器システムの機能検証を確実に行う。運転の段階では、運転操作手順に従った正しい運転を行うとともに、プラントおよび機器システムを最良の状態に保つように保守・点検を行う。このためには、運転員の技術的能力の確認と運転員および保守要員の適切な教育訓練を行う。
（2）第二のレベルの異常の波及拡大の防止および事故への発展防止のためには、異常の早期検知系や原子炉停止系が設けられており、これらの設備は独立・多重な系統より成り、信頼性の高いシステムで構成されている。さらに必要な時に確実に動作するように定期的な点検、試験ができるようになっている。そして、異常が発生したり電源が喪失しても原子炉は安全に停止し、余熱を除去できるようになっている。
（3）第三のレベルの異常拡大時の影響緩和（放射性物質の異常放出の防止）のため、非常用炉心冷却設備、原子炉格納容器、格納容器スプレー、非常用ガス処理系等の工学的安全施設が設けられている。これらの施設についても独立・多重な系統より成り、万が一動的機器の単一の系統が故障した場合でも充分その性能を発揮できるように設計し、信頼性の高いシステムで構成されている。また電源についても非常用電源設備を設け、さらに定期的な試験ができるようになっている。
1.2　設計基準事象の範囲内での安全確保
（1）設計基準事象（文献３）
　原子炉施設の安全設計の基本方針の妥当性は、「安全設計審査指針」にもとづいて国によって審査される。そこでは異常状態、すなわち「運転時の異常な過渡変化」および「事故」について代表的事象（設計基準事象）を想定して解析し、原子炉停止系や工学的安全施設が所定の機能を果たすことを確認する。
　ここで「運転時の異常な過渡変化」とは原子炉の運転中において、原子炉施設の寿命期間中に機器の単一の故障若しくは誤動作または運転員の単一の誤操作、およびこれらと類似の頻度で発生すると予想される外乱によって生ずる異常な状態にいたる事象である。発生頻度の目安としてはプラント寿命中に一回以上で、例えば原子炉冷却材流量の部分喪失や外部電源喪失等がある。また「事故」とは「運転時の異常な過渡」を超える異常な状態であって、発生する頻度は希であるが、発生した場合は原子炉施設からの放射性物質の放出の可能性があり、原子炉施設の安全性を評価する観点から想定する必要のある事象である。
（2）設計基準事象での機械系の役割
　日本の原子炉安全審査指針では、原子炉施設の安全性を確保するために必要な「安全機能を持つ系統、機器は、一般に異常状態の発生直後は、運転員の操作を期待せずに必要な機能が発揮できるように設計されなければならないのが原則である。運転員の操作を期待する場合には、運転員が事態を的確に判断し、高い信頼性でその操作が行えるように、十分な時間的余裕と適切な情報が与えられなければならない。運転員が的確な判断ができるような適切な情報が得られてから、操作を開始するまでには、少なくとも10分間は時間的余裕を見込んだ（原子力施設の安全）評価を行う必要がある。」（文献３）と要求されている。基本的にはこの考え方にそって、ある制限以上の異常が起きたときの原子炉停止系の作動、およびある程度以上の一次系冷却水が失われたときに水を注入する非常用炉心冷却系（ECCS）の起動が、それぞれの作動信号をもとに自動的に行われる。
（3）設計基準事象での人間の役割
　適切な情報が提示されてから10分を経過して以降は、運転員等の操作に期待しても良い。その例としては、ＰＷＲの蒸気発生器伝熱管破損における破損側蒸気発生器の隔離、健全側蒸気発生器の主蒸気逃がし弁の操作による一次系の冷却、および加圧器逃がし弁の操作による破損側蒸気発生器二次側圧力までの一次系の減圧という一連の操作がある。さらに、10分以内といえども、運転員は異常状態を診断して「異常な過渡変化」または「事故」の種類を同定し、その事象に対応して作動すべき機器システムが的確に作動していることを監視しなければならない。万が一それらが作動していなければ手動で作動させたり、故障していれば代替手段を用いて当該機能を実現したりしなければならない。なお、上で述べた10分間の間も、日本では運転員による緩和操作自体を禁止しているものではなく、あくまでも機械系設計への要求にすぎないことは強調されてしかるべきであろう。
1.3　設計基準事象を超えた安全確保
　これまで述べてきた考え方に基づいた安全確保対策を遂行することにより、わが国の原子炉施設の安全性は高いレベルに達しているが、安全性のより一層の向上を図る上で設計基準事象を超えたシビアアクシデントに対する対策として、アクシデントマネジメント策を整備することの重要性が、近年認識されてきた。ここでシビアアクシデントとは、安全設備の多重故障等による安全機能の喪失の結果、事故の拡大防止に失敗し、設計上の想定（設計基準）を大幅に超えて、炉心が重大な損傷を受けるような事故のことであり、これまで原子力発電プラントでは米国スリーマイルアイランド原子力発電所２号炉事故（1979年3月）とソ連チェルノブイリ原子力発電所４号炉事故（1986年4月）の２件が起きている。アクシデントマネジメントは、シビアアクシデントにいたる恐れがある事象が万が一発生してもそれがシビアアクシデントに拡大するのを防止することと、あるいは万が一シビアアクシデントに拡大した場合にはその影響を緩和するためにとられる運用・設備両面の処置である（文献４）。1992年5月28日にわが国の原子力安全委員会は「発電用軽水型原子炉施設におけるシビアアクシデント対策としてのアクシデントマネジメントについて」を決定し、次のように述べている（文献５）；
　「我が国の原子炉施設の安全性は、現行の安全規制の下で、・・・・・多重防護の思想に基づき厳格な安全確保対策を行うことによって充分確保されている。これらの諸対策によりシビアアクシデントは工学的には現実に起こるとは考えられないほど発生の可能性は十分小さいものとなっており、原子炉施設のリスクは十分低くなっているものと判断される。アクシデントマネジメントの整備は、この低いリスクを一層低減するものとして位置づけられる。従って、当委員会は、原子炉設置者において効果的なアクシデントマネジメントを自主的に整備し、万一の場合にこれを的確に実施できるようにすることは強く奨励されるべきであると考える」。
　これを受けた通産省（当時（現経済産業省））の要請に応えて電力会社が各原子力発電所についてアクシデントマネジメント策の検討を行い、1994年3月にその結果が通産省に提出された。さらに、電力会社はこれらのアクシデントマネジメント策の整備を進め、2002年の5月に整備結果を経済産業省に報告している。アクシデントマネジメントの眼目は、非常用の安全設備以外の設備をも最大限に利用することも含む、発電所のあらゆるリソース（人・機械・情報）を活用するところにあり、最も上位の安全機能に集中して対策がとられることとなる（文献６）。例えばＢＷＲ（沸騰水型原子炉）では以下のようなアクシデントマネジメント策が整備されている。
（1）原子炉停止機能：これまでの原子炉緊急停止用制御棒システムの設置、ほう酸水注入や炉心での泡発生を利用した手順の整備に加えて、新たに設置した計測制御系によって制御棒挿入ならびに再循環ポンプの自動トリップを行う。
（2）炉心燃料冷却機能：所内にあるろ過水タンク・純水タンクを水源として消火系ポンプ等により原子炉圧力容器や格納容器への注水を可能にし、燃料から崩壊熱を除去する。さらに、原子炉水位が低下すれば、格納容器の圧力が冷却材喪失事故の検出レベルに達しなくとも、自動的に原子炉を減圧してＥＣＣＳの注入を促す。
（3）格納容器除熱機能と格納容器健全性維持機能：原子炉がタービン復水給水系から隔離されるような過渡事象後の静定過程で残留熱除去系のすべてが故障してしまうという事態が発生すると、格納容器プール水温が徐々に上昇して、そのまま放置すると格納容器が蒸気圧力で過圧破損するおそれがでてくる。このような事態に備えて、格納容器内空調設備、炉水浄化系等の代替システムによって除熱ができるように手順書が用意されている。もしこれらの努力にもかかわらずに格納容器が過圧破損するおそれがある事態に備えて、蒸気を隔離弁付きの配管を通して外に放出するという手順も用意されている。
　以上のことからも分かるように、アクシデントマネジメントにおいて重要なのは、新たに設けられる設備もさることながら、非常用の安全設備ではないシステムと機器をも最大限に使い得る能力をどのようにしたら発揮させることが出来るかにある。
２．まとめ
　上述したように、安全確保のための多重防護のそれぞれのレベルの防護が破られないようにする上で人間の果たす役割は依然として大きい。その人間が能力を十分に発揮するためには、ヒューマンマシンインタフェース、手順書、教育・訓練システムおよび作業環境が人間の特性（能力と限界等）を考慮して的確に設計されることが不可欠である。1999年に発生したＪＣＯ臨界事故は、現場レベルではこのような問題が大きな役割を果たしており、とくに現場作業者が作業に伴う臨界事故のリスクを認識することができていなかった。

＜参考文献＞
（1）佐藤　一男：原子力安全の論理、日刊工業新聞社（1984年）
（2）三島　良績ほか（編）：軽水炉発電所のあらまし、原子力安全研究協会（1992）
（3）原子力安全委員会：発電用軽水型原子炉施設の安全評価に関する審査指針（1992）
（4）並木：月刊エネルギー， vol.27 no.6、日本工業新聞社（1994）、p.24
（5）原子力安全委員会：発電用軽水型原子炉施設におけるシビアアクシデント対策としてのアクシデントマネジントについて（1992）
（6）尾本：月刊エネルギー、vol.27 no.6、日本工業新聞社（1994）、p.30