あの事故はなぜ起きたのか!! （3） ―― エビデンスとしての文書

●○●　Column　●○●
こうしておけば事故は防げた

4. 湯沸かし器による死亡事故

　2006年7月14日，経済産業省は「P社が製造した半密閉式ガス瞬間湯沸かし器4機種において，排気ファンの作動不良による一酸化炭素中毒事故が1985年1月から2005年11月までに計17件発生し，計15人が死亡した」と発表しました．

　同社側は「製品の問題ではなく，設置後の安全装置無効化改造が原因と把握している」とコメントしたニュースも流れました^（5）．エレベータ事故と同じく，「28年間 1300万台 不完全燃焼無事故（同社カタログ）」だったので，事故は起きないと誤信・盲信したのでしょう．

　さて，今回の不正改造が事実だとして，これを防ぐのはメーカの義務かどうかを考えてみます．機能安全規格IEC 61508では，「すべての安全装置に不正な改造がなされないように防護するのは，製造者の責務」としています．しかし，どこまでやるべきかは規定されていません．

　例えば，簡単に改造できるモデル・ガンを発売し，購入者が改造して弾が発射できるようにしたとします．この場合，「簡単に」改造できるモデル・ガンを発売した方に問題があるでしょう（それでも改造する者に対しては，法律（警察）による強制力しかありません）．

　自動車の場合，マニアが改造して馬力が出るようにしたためにブレーキが効かなくなり，事故になったとしましょう．これを物理的に防護するのは自動車メーカ側では困難です．つまり，事前に「不正改造される危険性はあるか」というリスク評価をして，危険性があるなら，実行可能な範囲での防護をするのはメーカの責任です．また，それを破って改造すれば事故になることを，メーカや，過去の事故を知った行政側が，改造業者などに教育広報を行う義務があると思います．それを知った上で破る業者や個人が出れば，それは自己責任ということです．結局，死者が20名も出ているのだから，改造はただの危険行為どころか，殺人行為（自殺行為）ともいえそうです．

　2006年7月18日に，事故は不正改造以外に，装置の経年劣化などでも起きていたことが判明しました．機械は必ずいつかは壊れます．無期限の使用はあり得ません．保守における安全確保の重要性が問われる事故でした．

5. 志賀原発における臨界事故

　北陸電力 志賀原子力発電所1号機において，定期検査中の1999年6月に起きた臨界事故が隠されていたことが明らかになりました^（6）．この事故を聞いて筆者は，運転員のミスをカバーすべきコンピュータがなぜ作動しなかったのかと思いました．

　制御棒を動かす弁の操作手順を誤ったため，89本の制御棒のうち3本が抜け，一時的に即発臨界（急激に原子炉出力が増加する事象）にまで至り，その後，手動で制御棒を入れ直すまでの約15分間，核分裂が繰り返される臨界状態が続きました．本来，コンピュータによって自動的に制御棒が挿入され臨界が止まるはずでした．制御棒を動かす水圧がかかる弁が閉じられていたこと，また，急速な挿入を行うための空気圧が喪失していたため，緊急停止ができませんでした．さらに原子炉圧力容器のふたも，格納容器のふたも，どちらも開いたままという危険な状態でしたが，燃料破損はなく，放射能漏えいはありませんでした．

　この事故は，原子炉の出力を制御する制御棒を動かす水圧調整弁の操作ミスが重なったことが直接原因でした．弁の開閉操作を示した手順書の記述自体に誤りがあったとされています．事故は，1本の制御棒を急速挿入するテストの準備のため，水圧調整弁を閉めて残り88本の制御棒を挿入状態のまま固定する作業中に起きました．北陸電力とメーカ（H社）が作成したテスト用の手順書は，今回のような事態に備えて本来開けておくべきだった弁を閉じるように間違って指示していました．

　この事故の直接原因は現場員の操作ミス（ヒューマン・ファクタ）のように報道されましたが，現場員のミスは事故の原因ではありません．上記のように手順書が不適切だったわけで，保守員はその指示に従ったに過ぎません．では，なぜ手順が不適切になったのかを考えてみます．BWRの制御棒駆動機構は，水圧でインターロックを外し，水圧で引き抜き，挿入を行うという，非常に複雑な水圧系となります．簡単に理解あるいは把握できる仕組みではないことが背景ではないでしょうか．実際に原子炉のふたが開いていたこと，制御棒緊急挿入機能を停止していたことなどから，臨界になる危険性を全く予想していなかったことは明らかです．結局は対象システムが何であるか，という安全ライフサイクルの最初のフェーズ「概念の把握」に失敗したように思われます．

よしおか・りつお
（株）日本機能安全

参考・引用＊文献
（1）株式誤発注事件，朝日新聞，2005年12月12日．
（2）東海道新幹線の車載コンピュータ不具合，日経コンピュータ（オンライン版），2006年4月12日．
（3）事故は語る，日経ものづくり2006年10月号，日経BP社．
（4）エレベータ，プログラムに欠陥，朝日新聞，2006年6月17日．
（5）湯沸かし器で死亡事故，日本経済新聞，2006年7月15日．
（6）制御棒脱落で臨界事故，朝日新聞，2007年3月16日．