原子力発電所の事故に見る安全確保とリスク対応の考え方

●システムの弱点と分析

　リスクを前提にする限り，信頼性が高いとしても，故障することを考えます．安全はシステムで確保するものなので，例えば，あるシステムを考えた場合，コンポーネントや機器の故障率のような概念については，範囲の広いスコープを担当するシステム設計者と情報を共有することが必要です．これは，安全はコンポーネントや機器の信頼性だけで確保するのではなく，システムとして機能を達成することが重要だからです．製品のコンポーネントの故障率のような情報が共有できなければ，結局，システムの安全は何も改善できないことになります．これは，原子力発電所のような大きなシステムであろうが，小さな安全装置であろうが同じことです．安全の確保には，一つのコンポーネントや機器の性能に対して過信せずに，むしろ，全体のシステムで性能を発揮できるかどうかを検討する方が重要です．

　福島第一原子力発電所では，津波によって非常用電源が機能しなくなり，それによる冷却機能喪失によって，燃料の損傷あるいは溶融が発生しました．前述したように，原子力発電所では停止後も冷却し続ける必要があり，電源確保が最優先されるべきでした．しかし，多くの産業システムでは，非励磁トリップ・システムと呼ばれる安全系が採用されており，電源が切れた場合には安全側の停止状態になるのが一般的です．

　このような安全系についても，機能安全では定量的な分析を行うことが要求されています．定量値を求めることばかりが強調されているきらいがありますが，実際に重要なことは，システムを安全の観点から分析することです．システム分析に使用するマルコフ状態遷移図の例を図4に示します．マルコフ・モデルは，電子システムで発生する故障を分析し，事故の発生頻度を定量的に分析することにも使用されます．機能安全規格で評価が求められているPFH（時間あたりの危険側故障確率；Probability of Dangerous Failure per Hour）を求めるのにも使用されます．

図4　2oo3システムのマルコフ状態遷移図

　図4は，冗長系である2oo3（2-out-of-3）という3重系の分析の例です．○印はシステムの状態を表し，矢印は故障や修復による状態間の遷移を表しています．#0はシステムに故障がない状態を表し，#2以降の状態は，故障が一つまたは複数存在することによって，システムが，危険側の状態または安全側の状態にあることを示しています．また，矢印でつながったパスによって，このシステムには危険な状態に至るシナリオが，多く存在することを表しています．

　特に重要なのは，共通原因故障によって状態#0から状態#10や#11に至るパスであり，共通原因故障が発生すると，直接，危険な状態に遷移します．これは，多重化しても効果がないことを示しています．津波によって発電所の非常用電源が機能しなくなったのは，結局は，津波という共通原因が災いしています．非常用電源を多重化しても，津波で同時に機能しなくなってしまうからです．従って，電源を1カ所に集めないようにするとか，多様化することが必要です．電子技術による安全装置の場合にも，共通原因については十分な検討と対策が必要です．重要な機能については多重化するだけではなく，機械的な技術を使用した多様化も必要になると思います．

●深層防護という考え方

　以上，今回の津波による原子力発電所の被害から何を学んだらよいのかを考えてみました．防御のシステム作りという安全確保の考え方は，どのような産業システムであっても，これからも変わることはないと思います．また，ほとんど考えられないくらいの発生頻度のリスクについて，無視してよいということではありません．このような場合には，システム全体や防災まで含めてリスクを緩和する考え方を，より発展させる必要があると思います．また，ますます必要になるのは，一般の方々のリスクについての理解だと思います．

　最後に，深層防護について紹介します．多重防護と重複するためか，最近はあまり使われなくなっていますが，原子力の安全では「深層防護」という安全確保の考え方がありました．深層防護という言葉はDefense in Depthという軍事用語から来ていますが，「事故を起こさない」，「起こしても拡大させない」，「起きたとしても住民に被害を及ばせない」という考え方で，関係者の意思を強く表したものだと考えていました．

　現在，福島第一原子力発電所では原子力関係者が必死で問題解決に取り組んでいます．この姿勢をもって，必ず，収束させてほしいと思います．

たなべ・やすお
（株）機能安全ネットワーク