プラント DiD リスクモニタの多用途応用の展望
公開日:
カテゴリ: 第14回
1. はじめに
2011 年3 月東日本大震災の際東電福島第一発電所では 想定外の自然災害の重畳に巧く対応できず、結果として4 つの原子炉でシビアアクシデントの連鎖が生じた。さて 事故後6 年を経た今日、日本ではようやくシビアアクシ デント対策設備を強化したPWRプラントが再稼働し始め た。そこではシビアアクシデント対策設備の強化だけで なくハードを適切に使ってシビアアクシデントをもたら さないためのソフトウエア対策の向上が課題とされてい る。著者らは複雑な機械システムの操作安全性に関わり、 人間―機械相互作用のモデリング手法であるプラント DiDリスクモニタ[1]と動的信頼性解析法のGO-FLOW [2] を組み合わせた新たなリスクモニタシステムを提唱して いる[3]。本稿では、まずプラントDiDリスクモニタのソ フトウエア構成法の概要を紹介する。次いでそのソフト ウエアの2 つのシビアアクシデント対策への応用(緊急 時対応における組織連携行動のシミュレーションと人間 ―自動系相互作用の設計評価法)について紹介する。 ?? プラントDiDリスクモニタのソフトウエ ア構成法 2.1 2 層構成のリスクモニタシステム 著者の提唱する 2 層構成のリスクモニタシステムを Fig.1に示す。
Fig.1 Configurationoftwo-layerriskmonitorsystem 著者のリスクモニタシステムは、システム全体に対す るプラントDiD リスクモニタといくつかの信頼性モニタ で構成されている。信頼性モニタは安全系を構成する 個々のサブシステムについて所与の状況と条件下でサブ Reliability monitor for Subsystem A Reliability monitor for Subsystem B Reliability monitor for Subsystem C KB for risN monitor Plant DiD risN monitor system Knowledge- base Editor Interaction Analyzer o r editing results Interaction Simulator GO-FLOW Diagram & Other Info. For Subsystems Whole plant system model Knowledge base for actors (State Chart Diagrams) Actor of Plant Actor of Operator O O Actor of Supervisor S S p p u u u u e e r r p p Actor of Resource R R a a e e t t e e r r r r r r o o o Actor of Supporter S S v v s s r u u u u o o FMEA Table For Subsystems i i s s s p p u u o p p r r r c c o o e e e r r t t e e e r 著者らのプラント DiD リスクモニタの構成では Table1中の Aのうち設計基準シビアアクシデント時の想定安全設備を用 いて緊急時対応人的組織がシビアアクシデントに対応する 際の機械システムと人的組織との相互作用を以下の考え方 で解析する。 (1) 全体のプラントシステムは、機械システムとプラント運転 に関わる運転員、当直長およびその他の要員をアクタ ーとし、それぞれのアクターの機能モデルの組み合わ せで相互作用のシナリオをモデル化する。 (2) 全体のプラントシステムの動的振舞いはこれらのアクタ ー間の相互作用で模擬される。 (3) それぞれのアクターはそれぞれのシナリオデータを持 ち、このシナリオデータに基づいて振舞う。このようなシ ナリオデータを直感的にかつ容易に作成するため、ソ フトウエア工学の分野でコンピュータの動作を記述する ため広範に用いられている Unified Modeling Language (UML) Ver.2 [4] で 定 義 さ れ て い る _ State Chart Diagram” を用いる。 (4) プラント DiD リスクモニタの機能として、模擬したプラン ト挙動が望ましいかどうか、相互作用は望ましいかどう か、またそれが望ましくないときに何がその原因になっ ているのかを分析できるようにする。 2.2.4 プラントDiD リスクモニタのソフトウエア 構成上述の機能を実現するプラントDiD リスクモニタは次 の3 つのサブシステムで構成している。 (1) 知識ベースエデイタ(Knowledge base editor)― ア ク タ ー の シ ナ リ オ デ ー タ を State Chart Diagram として編集する。 (2) 相互作用シミュレータ(Interaction simulator) -すべてのアクターをシナリオデータに応じて駆動 2.2.2 プラントの運転モードと人間の行動モード することによって全体プラントシステムの振舞いを との関係 アクター群の振舞いとして模擬する。 Table1中の設計基準内の運転モードAと設計想定外の (3) 相互作用アナライザ(Interaction analyzer)- B は、ヒューマンファクタの領域での3 つの人間行動モー 相互作用シミュレータによって得られたそれぞれのア ド(Skill-base,Rule-Base,およびKnowledge-base)と対 比すると、A に対してはSkill-baseおよびRule-base 行 動で対応できるように運転要員には運転手順書を整備し、 クターの振舞いの結果を、State Chart Diagram 同様、 UML[4]で定義されている、Sequence diagramによって 様々な研修訓練によって一定水準以上の熟練度が要求さ 図示する。 れる。一方、B 外の事象に遭遇しても運転員は自分の習得した知識と発 見的な問題解決によってできるだけ事態を悪化させない ように対応できる知識ベースの対応能力を強化するよう 教育訓練することが要請されるようになった。 に対しては、福島第一事故後、たとえ想定 Eclipse[5]とグラフィカル編集フレームワークGEF[6]に よってPlug-inソフトとして作成され、platform しないオブジェクト指向プログラム言語Javaでプログラ ムしているのでWindow―PCでもMac-PCでも使用できる。 これらの3つのサブシステムは統合開発環境 に依存 2.2.3 仮定 システムが果たすべき機能が損なわれる可能性と機能発 揮に失敗したときの影響を定性評価するFMEAとその動的 信頼性を定量評価するGO-FLOW で構成されている。一方、 プラントDiD リスクモニタは安全設備の全体とそれらを 操作する人々の組織の全体について、人と機械の個々の 要素をアクターとし、特定の状況下での個々のアクター 間の相互作用の全体の振舞いを状態遷移モデルを用いて 表現して起こりうる様々なリスク状態を解析評価する。 2.2 プラントDiD リスクモニタ プラントDiDリスクモニタは、プロセスシステムの状 態遷移をモデル化するカラーペトリネットの一種を採 用しており、基本的には様々なシステムに適用可能で ある。ここでは原子力プラントの安全問題に応用する ために展開した方法と応用ソフトウエアを述べる。 2.2.1 プラントの運転モード プラントDiDリスクモニタによるリスク解析評価の対象 としての原発の運転モードの分類をTable 1 に示す。 表中のA は、原発の設計基準として考慮すべき定常およ び過渡状態として運転モードであり、一方、B は設計基準 では想定外の緊急事態である。 Table 1.Classification of operation modes for nuclear power plant プラントDiD リスクモニタ構成上の基本的 2.2.5 知識ベースエデイタ - 138 - 事故のシナリオとは、起こった事故に応じてプラント の利用可能な機器を適宜用いて各々の対応組織が行う事 故収束のために行う作業の流れの全体である。これを State chart diagram と呼ぶ状態遷移モデルで表現す る。様々なアクターの知識ベースを表現するうえでState chart diagramを用いると次の2つのメリットがある。 (1) 抽象的で概略的な表現から具体的で詳細にわたる まで異なった抽象レベルで動的振舞いを容易に表 現できる。 (2) 状態の定義、異なった状態の間の遷移、状態の遷 移をもたらす事象の生起の3 つを簡単に記述でき る。 Fig.2 は知識ベースエデイタ―の一場面である。図中、 画面中央部のキャンバスは、_運転員が機械の状態を確 認する”というタスクのState Chart Diagramである。 利用者は状態やラベルを右側中央にあるComponent ボッ クスから選択し、キャンバス内の適当な場所にドラッグ する。状態間の_遷移線”は同じく右上のパレットにあ るConnection toolによって引くことができる。遷移線 は矢印の線で始めの状態を目標とする状態へ結合するが、 この遷移を引き起こすことは複数の事象ハンドラ―で定 義できる。事象ハンドラーは、ある特定の事象を受け取 ると状態遷移を引き起こすコマンドシーケンスを実行す る。利用者はJava プログラムでこれらのコマンドシーケ ンスを記述して、次の4 つのタイプの事象ハンドラーを 定義できる。 (A) Actor external event:他のactor に働きかける (B) Actor internal event:一つの actor 内部での通 信 (C) Primary event:ある状態が生起ないし消失したと きにそれを知らせる (D) Timer event:ある時間に達すると事象を起こす。 Fig.2 Snapshot of knowledge-base editor Fig.2 に示したState Chart Diagram は、ある機械が ある要求された状態に達したかどうかを確認するという タスクをモデル化したものである。このような確認タス クはプラントの運転員が頻繁に行う共通のタスクである のでこれを知識ベース(ソフトウエア要素)として繰り 返し使用できるようにしておけば効率的である。このよ うな基本的タスクモデルをState Chart Diagram の形 で要素化するには、特定の対象を表す情報(たとえば機 械の名称、達成すべき目標など)は分離したほうが良い。 Fig.4 Creation of scenario data using component data 次にユーザはこれらの_遷移線”に対して、_事象ハ ンドラー”を設定する。事象ハンドラーの具体的な設定 方法を Fig.5 に示す。図中左側の State-A で示された _Open Valve”というタスクは、_性質”に指定された 条件が満たされたら_OK”という名前の”アクタ内部事 そこでそのような特定データは、対象に依存する情報を 与えるパラメタ領域に指定できるようにすれば、このよ うな state chart diagram は計算機プログラムのサブ ルーチンのように共通的に用いるソフトウエア要素にす ることができる。 様々な要素タスクをこのようなソフトウエア要素にし ておけば、一般ユーザは、これらを必要に応じて選択し て適当な順序に配列していくだけで_シナリオデータ” を簡単に構築できる。要するに煩雑なプログラミング能 力がなくても、プラントDiD リスクモニターを容易に利 用できるようになる。著者らのプラントDiD リスクモニ タではこのようなソフトウエア要素として機械システム の監視制御にあたる人的組織が行う基本的なタスクを抽 出して、Fig.3 に示すようなソフトウエア要素を用意し ている。 Pair Pair (Composed of Fig.3 Component list for all basic tasks Fig.3 に示すような基本的なソフトウエア要素を適宜 用いて_シナリオデータ”を作成する事例を Fig.4 に示 す。図中、キャンバス上に4 つの_状態”を左から右に 配置し、それぞれの状態の間を_遷移線”で結んでいる。 右側にあるウインドウから適当な_ソフトウエア要素” を選び、それぞれ対応する_状態”に落とす。そしてそ れぞれのソフトウエア要素に与えるべきタスクを完了さ せるのに必要な時間や、人数などのパラメタ値をそのソ フトウエア要素のパラメタ設定欄に書き込む。 Receive message Receive message Report to supervisor Report to supervisor Wait for report Wait for report Wait for report Move WorN Confirm state Receive notification from plant Wait for other Complete the tasN Complete the tasN Get/Release resource Use/Un-use resource Give instruction Give instruction Arrive at checNpoint Send message Send message Send message Send message Send message Send message Wait a certain time Wait a certain time Wait for report) Wait for report) Wait for report) Wait for report) - 139 - 象_が完了する。(”アクタ内部事象_は、”EventName” @_Generate Place Name of Event”という文法で与え られる。) Fig.5でのState AからState Bへの遷移線に設定さ れている OK@OpenValve という アクタ内部事象はその 性質で規定されているバルブ開という名前の仕事を開始 して2 分経過すると、事務所に移動するというタスクに 変わるという意味である。 2 . State-A State-B Fig.5 Method of setting event handler 2.2.6 相互作用シミュレータ 所与の事故シナリオに対応するすべての知識ベース情 報が一群のState Chart Diagram に変換されると、ユ ーザは相互作用シミュレータを起動することによってア クター間の相互作用シミュレーションを行うことができ る。著者らの相互作用シミュレータでは、個々の基本タ スクの実行時間は次の5 つの要因により決定される。 (A)基本タスクに対する”要素”は、それを実行するのに 要する時間が”変数”として与えられている。この変数 をタスク完了のための実行時間として定める。 (B)移動時間:アクターが人間の場合、目標とする場所へ の移動に要する時間を加味する。移動時間はそこまでの 距離を歩いていくか車で行くかの移動手段を計算する。 (C)必要な人数:そのタスクを実行するのに要する人数。 必要な人数がそろえば実行できるが、そろわなければ人 数が集まるまで実行は延期される。 (D)待ち合わせ時間:他人の助けや他のタスク完了が必要 な場合はそれがそろうまで待つことになる。 (E)資源の準備時間:タスクを実行するのに車が必要とか 道具が必要とか準備が必要な場合はそれらがそろうまで 待つ。 2.2.7 相互作用アナライザ 相互作用シミュレーションの結果は、評価目標に照ら して分析評価することになるが、著者らによる相互作用 アナライザを用いる上での評価の3 つの観点と評価結果 に基づく対策の立て方を以下にまとめる。 -Properties- Comp. Name:Open Valve Required time: 2 mins Open Valve OK@OpenValve The component will generate _OK” internal event when its tasN is completed. Then, the transition from State-A to State-B will be made by this diagram. i l l Move to Office Arriving at checNpoint (The tasN is done before limitation time.) Fig.6 Example of sequence diagram 相互作用シミュレータによる結果を、Fig.6に示すよう な”シーケンスダイアグラム”を用いて図式表示すると、 相互作用の結果の多角的な観点での分析と対策の検討が 効率的に行える。ここでは詳細は割愛するが、Fig.6では 横軸方向にすべてのアクターを並べ、縦軸方向に時間の 進展とともに生じる各アクターのアクションの種別、開 始、終了の時点を図示している。アクター間を結ぶ横線 - 140 - (A)シミュレーション結果が期待外れの場合:相互作用シ ミュレーションの結果が期待外れ、ないしシナリオの途 中でシミュレーションが停止するような場合、シナリオ データの設定に誤りや正確さを欠くと考えて、データの 設定などの試行錯誤を行って役割分担などのシナリオを 見直すことで解決を図る。 (B)シナリオの重要な局面を制限時間内にクリアできな い場合:たとえば緊急時対応手順にはその実行の途中段 階に時間的制約がある。このような事件制限を超えるよ うな場合にその原因を考えてシナリオの立て方、人数や 資源の不足を改善する。 (C)シミュレーション結果が望ましくない状況を予測さ せる場合:シナリオ通りに実行しても結果が望ましくな い場合としてたとえば炉心溶融事故になってしまえば環 境への放射能放出が避けられなくなる。この場合炉心溶 融事故を絶対に起こさないようにシナリオのあり方や対 策の強化を図るというような場合である。 Actors Interactions such as report, interaction, operation and so on Yellow line shows receiving instructions Green line shows postponed tasN Purple lines show traveling process Blue line shows waiting process Executed basic tasNs べくプラントDiD リスクモニタでシナリオ成立性の検討 を行った。解析作業に要した時間ではシナリオデータの 編集時間に1-2 時間を要した。これには知識ベースエデ イタのデバッグ機能が作業実施に役に立った。その後シ ナリオ開始から終了まで一貫した相互作用シミュレーシ ョンが可能になるまでに1-2時間を要した。ラン中のデ バックを効率化するため実際時間より100 倍の高速シミ ュレーションをできる機能がデバッグに役にたった。 Table2のCase1はベースケースの結果で、チェックポ イントに到達した時間を記載し、制限時間を満たしてい るかどうかを表示している。Case1では代替炉心注水が2 時間44 分24秒になって制限時間の2時間20分より遅れ る。そこでCase2ではsupervisorのうち1 名が運転員の ほうに回ることで2 時間17秒に改善し、一方Case3では supervisor のタスク配分を変えてさらに1 時間38分11 秒と大幅に改善を図っている。 Table 2 Result of case study ChecNpoints & Limitation time Case 1 Case 2 Case 3 Supervisors: 2 Supervisors: 1 Supervisor: 2 Operators: 8 Operator: 9 Operator: 8 Judge the accident (0:10:00) 0:06:10 0:07:29 0:06:07 Start forced cooling of 2nd system (0:30:00) 0:18:04 0:19:43 0:18:00 Supply electricity from alternative generator (1:00:00) 0:37:12 0:38:51 0:37:09 Start alternative water injection into core (2:20:00) 2:44:24 2:00:17 1:38:11 Hot shut down status (4:00:00) 2:44:24 2:33:34 2:33:41 Able to supply seawater to aux feed water tanN (11:00:00) はいわゆるアクター外部事象のやり取りを示している。 制限時間を超える逸脱や遅滞などの問題点は自動的に色 分け表示されるので問題点の発見も容易である。そして そのような部分を右クリックするとState Chart Diagramの内容が表示されるので、シナリオデータの修正 などを行って再度シミュレーションを実行すれば問題点 解決のための検討が容易に実施できる。 3.原発シビアアクシデント時緊急対応の組織 連携シミュレーション 3.1 背景 事故や災害の発生など緊急事態の収拾に対応する人た ちには事故発生した工場などの当事者以外に警察、消防 などの行政機関の人たちも関わっている。このような人 たちは予め想定している事象だけでなく、想定外の事象 でもその場で対処できる高い対応力が求められる。その ような職務に携わる人たちには緊急事態に適切に対応で きるように研修訓練があり、それぞれの役割に応じて対 応行動をするためのマニュアルが整備され、また対応組 織全体が正しく行動できるように想定訓練が行われてい る。しかし無数の可能性のある事態に適切に対応するた めに実地訓練をすることは不可能であり現実的でもない。 そこでコンピュータで多様な人的構成、多様な事態に巧 く対応できるかどうかをシミュレーションさせて問題点 を発見し、その解決策を見出しておくようにすれば大掛 5:00:18 5:01:58 5:00:17 かりな実地訓練を繰り返すより効率的であろう。こうい った目的にプラントDiD リスクモニタの適用が期待でき Able to supply seawater to CV る。 recirculation unit (51:00:00) 3.2 国内PWR の全交流電源喪失事故時の緊急対応 の組織連携シミュレーション 日本の原子力界では2011年3月発生の東電福島第一発 電所事故以降、原子炉規制基準の改正によってシビアア クシデント対策が強化された。ここでは最近再稼働され たPWR を例に所内全交流電源喪失事故時に代替発電機の 起動と消火用エンジン車による海水注水により炉心冷却 を行ってシビアアクシデントを回避する緊急対応シナリ オの成立性を検討する。 そのベースケースとして、プラント内緊急対応チーム の構成としてSupervisor 2 名、運転員8 名にプラント 外から駆けつける助勢チーム17 名とし、緊急事態進展中 のcheck pointとして事故の判断を10 分以内、2 次系後 備冷却開始30 分以内、代替発電機の起動による給電開始 1 時間以内、代替炉心注入開始2 時間20分以内、温態停 止到達4 時間以内、海水の補助給水タンク供給11 時間、 海水のCV 再循環系と高圧注入系の供給51 時間を満たす 6:28:39 6:30:19 6:28:38 ???????パーセント?????????? 4.1 背景 計算機技術の進歩により、デイジタル制御と情報処理 技術の統合によって全デイジタル型計装制御中央制御盤 の導入が進んでいる。そこでは1980年代から90 年代に かけてTMI-2事故やチェルノビル事故を契機にプラント 運転操作からできるだけ人間を除外してヒューマンエラ ーを防止するという意図から自動方式の多用を指向して いる。また計測系がセンシングした結果を用いて能動的 に安全系を動作させる方式は能動的な要素の存在が信頼 性を損なうとの考えから、原発の安全系の構成を従来の 能動安全系(Active safety system)から自然の物理 原理を活かして全体システムが自然に安全側に状態を変 えるという受動安全系(Passive safety system)の研 究が進展して最近では受動安全系を積極的に採用する新 型の軽水炉原子力発電プラントが実用化されている。 - 141 - しかしコンピュータを多用した自動系や受動安全系の 登場はプラントの運転員のするべき仕事の性質に変化を もたらし、これが新たなヒューマンエラーの発生につな がるという、いわゆるsupervisory controlの問題点が 懸念されるようになった。要するに自動機械には普段人 間にはすることがないから機械がブラックボックス化す る。しかしそれでは機械が故障し、人間が代わりに対応 しないといけないような状況になると人間はうろたえる だけで適切に対応できなくなる。それではだめだと、滅 多に起こらないのに万一の自動系故障の事態発生に備え て運転員はいつも訓練しなければならない。ironies of automationという言葉で1980年代の欧州の応用認知心 理学者たちが指摘した問題である。その後プロセスシス テムの認知工学という名前で認知科学の応用が90年代以 降世界中で大きく取り組まれた。 認知工学には多様な側面があるが、ここではあらゆる 運転モードに対してどのように自動支援系を組み込めば 人的要因の観点からより望ましくなるかについて、最近 進展の著しい高度情報技術の活用に着目した。具体的に は現場運転員自身が日常的にそのようなIT技術を活用し て使命を達成できるにはどのような支援技術が求められ るのかを研究課題とした。本稿ではその第一歩として、 人間―自動系相互作用の新たな設計評価法としてプラン トの事故解析シミュレーションとプラントDiDリスクモ ニタとの統合を検討した。 4.2 人間―自動系相互作用の新たな設計評価法 人間―自動系相互作用の新たな設計評価法創出の第1 歩として、ここでは特にプラント事故時の運転員支援の ための異常監視・診断・対応操作教示機能を持つヒュー マンインタフェースシステムを具体的対象に、プラント の事故解析シミュレーションとプラントDiDリスクモニ タとを統合した人間―自動系相互作用の設計評価環境の 構成を検討した。 4.2.1 その構成手順 異常監視・診断・対応操作教示機能を持つヒューマン インタフェースシステムは、概念的にはFig.7のように 図示できる。図中、左側上部にはプラント計装系のセン サー信号がプラント状態を監視・診断するための入力処 理部(ブロックA)とモニタした信号の表示と制御操作の ための出力処理部(ブロックB)に送信される。ブロック B では運転員への監視信号の表示、操作指示情報の提示、 運転員からの操作入力を取り扱うヒューマンインターフ ェース部以外にプラント制御安全装置を直接制御する信 号を生成する。そしてブロックA とブロックB の間がプ ラントの状態診断と対応手順の対応およびヒューマンイ ンタフェースへのメッセージ生成にかかわる高度情報処 理の中枢部である。 Fig. 9 Framework of integrating the simulation and knowledge based information processing Fig.7 Basic scheme of digital I&C + HIMT system 一方、原子力発電所の営業運転開始から最終的には廃 炉処分に至るまでのプラントの全生涯で運転モードの変 遷をFig.8に示した。プラントの監視診断対応操作は、 起動操作・出力運転・停止操作だけでなく、停止時にも 必要である。また停止時に行う燃料交換や出力運転の継 続に伴って炉心状態も変わるため、監視診断対応操作の 仕方も調節が必要であり、トラブルや事故が発生したと きにの対応の仕方もそれらの変化要因まで考慮しなけれ ばならない。 Fig.8 Different stages of plant operation in the whole plant life - 142 - しかし実際上Fig.8に示したすべての運転モードに対 してFig.7に示したdigital I&C+HMITシステムを開発 することは難しい。本研究では特定の原発の定常出力運 転時に特定の異常事象が生じた場合の異常監視・診断・ 対応操作教示機能をAI手法で構成するための手順として Fig.9 に示すように,プラント事故シミュレーションと知 識情報処理を組み合わせた方法として(A)事故シミュレ ーションの実施、(B)プラント知識ベースの作成、(C) プラントのアクター間相互作用をもとにしたHISの設計、 の3 段階の手順を提起する。以下それぞれの要点を説明 する。 (A)事故シミュレーションの実施 原発のすべての運転モードを示した Table1のうちシ ビアアクシデントは設計基準事故に含められた。そのた めシビアアクシデントに至ってもプラント周辺に放射能 放出に至らないように対応手順の検討の強化が求められ るようになった。しかしシビアアクシデントに至りうる シナリオは無数にあり、それらを実際のプラントで試験 するわけにいかない。したがってどのように事故がシビ アアクシデントに進展しうるかを調べるには精度の保証 された安全解析コードによる事故シミュレーションによ ることとなる。その際にはTable 3 に示すような定常お よび外乱条件を考えることとなる。これを見れば特定の 事故形式を考えても定常運転での炉心状態、事故が起こ る際の外部要因や人的要因、共通原因要因を考慮すると それだけでも無数のシナリオを考えた対応手順を考えね ばならぬことが予想される。 Table 3 Specific aspects of plant simulation for both initial and disturbance considerations. Assumed conditions Selectionof occurrencetimefor transient/accident Remark Initial condition InitialPlantcondition basedonstateofplant Plantconfiguration Initialcorecondition suchasfuelrod,reactor powershape,coolant condition,reactivity feedbacNcondition,etc. ResultofSS irradiationcalculation Disturbance condition Typeof transient/accident scenario LOF,TOP,LOCA, ATWS,etc. Influentialfactorstobe assumed Externalfactors, humanfactors, commoncausefactors, - 143 - ここでは炉心溶融事態には発展しない範囲でシビアア クシデントを収めることに限定して多様な事故シミュレ ーションを実施するため多様な形式の冷却材喪失型事故 を精度よくシミュレーションできるRELAP5MOD4コード [7]を用いる。 (B)プラント知識ベースの作成 プラント知識ベースの作成とは、ここではプラント事 故時のマンマシン相互作用による様々な状態遷移の全体 諸相をモデル化して蓄積し、情報処理することを意味す る。これは(A)による多数の事故シミュレーション結果 をもとに様々なマンマシンシステムの状態遷移のシナリ オを、プラント自動系と人間の様々なアクター間のイン タラクションの状態遷移モデルの全体系を本稿2に述べ た著者らの提唱するプラントDiDリスクモニタ[8]を用い て知識ベースシステム化することに他ならない。 しかし著者らのプラントDiD リスクモニタでは人間 要素の行動記述に重きを置いているので、プラント系 の動作を連続系として模擬する事故シミュレーション をプラントDiD リスクモニタと連携させるには、プラ ントDiDリスクモニタ側にさらに次のような事項を取 り扱えるように機能を追加する必要がある。 (1) プラントシステムの機能、構造に着目した階層表 現(プラントアクタの階層システム化) (2) プラントに設備された計測センサからデータ入力、 アクチュエータの起動停止、人間系とのインタフ ェースへの入出力を取り扱う機能の追加。 上述の(1については既存のプラントDiD リスクモニ タでプラントのアクタモデルを機能に応じて多重階層 化すればよいが、(2)についてはオフラインでの RELAP5MOD4による計算結果の時系列データをプラント DiD リスクモニタに”実時間で”取り込むための新た な機能の追加を必要とする。 本研究では一般のオンライン系との実時間データ入 出力にも対応可能なように、Fig.10に示すようなソケ ットインタフェースを追加して、プラントDiD リスク モニ内の種々のState Chart diagram から共通に外 部とデータ授受できるようにした。 Fig. 10 Integrating accident simulation and knowledge-based information processing by plant DiD risk monitor software (C)??ントのアクター間相互作用をもとにした HIS の 設計事故シミュレーションデータをもとにプラントアクタ 間の相互作用を、ソケットインタフェースを追加したプ ラント DiD リスクモニタで実行させるには、とくに RELAP5MOD4 コードによって得られた不均一な時間刻み幅 のプロセス時系列データを、時間刻み幅が一定した実時 間センサーデータに変換して用いるために次のような前 処理が必要である。 (1) RELAP5MOD4 コードによる計算データを一定時間幅の データに変換したものを_真のプロセスパラメタ” とする。 (2) その”真のプロセスパラメタ”をセンサが測定して センサーデータとしてモニターされる部分では、さ らに計測系の原理や構成によって生じる時間遅れ効 果やノイズ成分の重畳、運転持続によって生じるセ ンサードリフトを補正する必要がある。 (3) プロセス制御安全系が生成するWarningやAlarm メ ッセージさらには自動スクラムの動作は、プラント の運転状態の危険度に応じて設定されている閾値に センサー値が達すると発出されるようになっている。 プラントDiDリスクモニタでもプラント運転条件に 応じてこれらの閾値設定を調整する必要がある。 次にHIS の設計では、画面の目的、用途に応じて誰に どれだけ情報提示するべきか、予め考慮する必要がある。 とくにヒューマンエラー防止のため、人間要素の排除を うたい文句にした受動安全や自動系を多用するプラント は、その設計が効果を発揮すれば発揮するほど、何が起 こっても機械が自分で対処してくれるという妙な依存心 を人間に植え付けるので、その結果として運転員全体の situation awarenessを劣化させる恐れがある。Endsley は、運転員がPerception, Recognition, projectionの 3つのレベルのsituation awarenessを維持することの 重要性を指摘した[9]が、本研究ではこのsituation awarenessの維持向上の観点から如何にHISを設計すべ きか、が大きな課題と考えた。 4.2.2 AP1000のSBLOCA 時自動安全系のHIS 設計へ の適用性検討 本節では受動安全概念と自動系を積極的に採用した 3.5 世代PWR であるAP1000[10]をケーススタデイの対象 とする。Fig.11に安全系を含めたAP1000のプラント構成 を示す。AP1000は現在米国および中国で建設中であり、 いずれもデイジタル計測制御系を採用している。中央制 御室の要員構成ではとくに重大事故時のプラント運転の 指揮は、世界標準になっているShift technical adviser(STA)ないし安全技術者が行うものとして、STA 用の重大事故時運転支援用HISの設計問題を、ここでの プラントDiDリスクモニターの応用対象とする。 Fig.11 Plant configuration of AP1000 ここではフィージビリテイスタデイとしてA 炉心溶融 事態に発展しうるAP1000の小破断冷却材喪失事故 (SBLOCA)に対する事故シミュレーションをRELAP5/MOD4 コードにより行った。SBLOCA事故時に順次自動的に起動 する安全系がすべて起動条件通りに正しく作動する場合 をシナリオ1とし、一方、シナリオ1の進行中にそれぞ れの安全系が故障する場合を含めて全部で8 通りの事故 シナリオをRELAP5 MOD4で計算した。[11]Fig.12にその 8 通りの事故シナリオを示す(注:特定の安全系が作動し ないシナリオでは、その後の安全系は故障せずに作動す るとしている)。これらの8 つのシナリオのうち原子炉 停止系が作動しないシナリオ2(ATWS)とADS1~3が開 かないシナリオ5では作動が回復しないと炉心溶融事態 に発展する恐れがある。 Fig.12 8 scenario of SBLOCA in AP1000 Fig.13には SBLOCA 時にすべての安全系が想定通り作 動して安定に事故が収束できるシナリオ1と、SBLOCA 時に 炉停止系が不作動のATWSシナリオ2の場合の原子炉圧力 値の時間変化計算値を示す。シナリオ2では SBLOCAによ る初期の急速減圧事態で CMT による注水は働くが炉圧が 上昇し、すべての注水機能が作動できずに高圧を維持され たままで炉心は急激に溶融事態に向かう。 - 144 - Fig.13 Time changes of reactor pressure both in scenario 1 and 2. さてここで注意すべきは、SBLOCAのRELAP5MOD4コード による事故シミュレーションはSBLOCAの発生場所と大き さを仮定して過渡計算を行ない、事故中に作動する各種 安全系作動の有無も仮定した計算であって、実際のプラ ントでの事故発生事態とは全く違っている。実際のプラ ントでは、大抵は正しく運転を保っていて、いつSBLOCA が起こるかわからない。そもそも決められた時間にきち んと事故が起こるわけでない。また事故があってもなに もSBLOCAだけが起こるわけでないし、たとえSBLOCAが 起こっても同じ場所で同じサイズの破断が起こるわけで ない。従ってSTA用のHIS には、まず正常の運転状態である ことがきちんと知らされ、そこに正常ではない事態が生 じたとしてその後各種のアラームなどが出されてついに は安全系が次々と動き出す様子を正しく知らせてくれる ことが期待される。これによってSTA は異常事態になっ たという第一のレベルのperceptionが働くのである。そ して次々に続く報知によっていったい何が起こったのか を理解できるようになる。これがsituation awareness のレベル2のunderstandingである。それから次にこの 事態を放置していたら一体どういう事態に至るかを先読 みして、事態をさける手段をとるようにする。これが situation awarenessのレベル3である。 本研究では、はじめはシナリオ1の想定通りに進行し ていたがADS1~3 が開いていないと運転員からSTAが聞 いて、運転員にADS1~3の弁開を命じたことで炉心溶融 の恐れのあるシナリオ5に行かずにもとのシナリオ1で おさまった時の、プラントDiDリスクモニタが生成した 相互作用の結果をシーケンスダイアグラムとしてFig.14 に示した。 Fig.15 Condensed information display for STA. Fig.14 Result of sequence diagram for scenario 1 Fig 14 のシーケンスダイアグラムでは、STA は運転員 からADS1~3が開いていないという報告を聞いてそれ はまずい、閉めなさい、と命じて事なきをえたわけだが、 STAには Fig.15に示すようなデイスプレイでプラント DiDリスクモニターの分析した状況を一覧できるならオ ペレータからの報告がなくても多様な事態へ的確な対応 ができるだろう。もちろんそのためには莫大な事故シナ リオに対するRELAP5MOD4コードによる事故シミュレー ションを実施してそれをもとに実効的な実時間プラント DiDリスクモニタにするためには特段の工夫が必要であ り、これが本テーマの実用化で最も大きな課題である。 - 145 - [5]Eclipsefoundation: EclipseIDEfor JavaDeveloper 5.結論 Version: Luna (4.4.1), http://www.eclipse.org, 2014. 本稿では著者らの開発したプラントDiDリスクモニタ [6]Eclipse Framework) foundation: Release 3.9.101, GEF(Graphical Editing の基本的概念とソフトウエア構成を紹介し、とくに原発 https:// eclipse.org/gef, 2014. のシビアアクシデント対応に関するその応用事例として [7] RELAP5 Code Development Team, RELAP5/MOD3.3 Code プラント緊急事態対応シナリオの分析への応用を紹介す Manual: NUREG/CR-5535, US Nuclear Regulatory るとともにAP1000の事故時対応のための支援インタフェ Commission, Washington, DC, USA, 2001. ース構成への応用を将来展望した。 [8]YOSHIKAWA, K., NAKAGAWA, T. Development of plant DiD risk monitor system for NPPs by utilizing UML 参考文献 modeling technology, USB Proc. IFAC HMS 2016 in [1] YOSHIKAWA, H. and NKAGAWA, T.: Software system development of NPP plant DiD risk monitor -basic design of software configuration-, (ICONE23-1312) Proceedings of the 23th International Conference of Nuclear Engineering (ICONE23), May 17-21, 2015, Chiba, Japan, 2014. [2] MATSUOKA,T.:SystemReliabilityAnalysisMethod GO-FLOW for probabilistic Safety Assessment, CRC Sogo Kenkyusho, 1996. (In Japanese). [3] YOSHIKAWA, H., et al. A new functional modelling framework of risk monitor system, Nuclear Safety and Simulation, Vol. 4, No. 3, pp.192~202 , 2013. [4] Object Management Group: UML Version 2.4 Specification, http://www.omg.org/spec/UML/2.4, November 201 Kyoto, August 30-September 2, 2016, Kyoto, Japan. [9] Endsley MR, Kaber DB, Level of automation effects on performance, situation awareness and workload in a dynamic control task. Ergonomics. 1999; 42: 462-492. [10]Westinghouse Electric Company LLC., http://www.westinghousenuclear.com/New-Plants/ AP1000-PWR/Safety/Passive-Safety-Systems (Accessed on May 18, 2017) [11]Nawaz A, Yoshikawa H, Yang M, Hussain A: Comparative analysis of AP1000 reactor during SBLOCAwithand withoutreactorSCRAMusingRELAP5 MOD4, 8th International Symposium on Symbiotic Nuclear Power Systems for 21st Century, September 26-28, 2016, Chengdu, China. プラント DiD リスクモニタの多用途応用の展望 吉川 榮和,Hidekazu YOSHIKAWA,中川 隆志,Takashi NAKAGAWA,寺下 尚孝,Naotaka TERASHITA,馬 戦国,Zhanguo MA
2011 年3 月東日本大震災の際東電福島第一発電所では 想定外の自然災害の重畳に巧く対応できず、結果として4 つの原子炉でシビアアクシデントの連鎖が生じた。さて 事故後6 年を経た今日、日本ではようやくシビアアクシ デント対策設備を強化したPWRプラントが再稼働し始め た。そこではシビアアクシデント対策設備の強化だけで なくハードを適切に使ってシビアアクシデントをもたら さないためのソフトウエア対策の向上が課題とされてい る。著者らは複雑な機械システムの操作安全性に関わり、 人間―機械相互作用のモデリング手法であるプラント DiDリスクモニタ[1]と動的信頼性解析法のGO-FLOW [2] を組み合わせた新たなリスクモニタシステムを提唱して いる[3]。本稿では、まずプラントDiDリスクモニタのソ フトウエア構成法の概要を紹介する。次いでそのソフト ウエアの2 つのシビアアクシデント対策への応用(緊急 時対応における組織連携行動のシミュレーションと人間 ―自動系相互作用の設計評価法)について紹介する。 ?? プラントDiDリスクモニタのソフトウエ ア構成法 2.1 2 層構成のリスクモニタシステム 著者の提唱する 2 層構成のリスクモニタシステムを Fig.1に示す。
Fig.1 Configurationoftwo-layerriskmonitorsystem 著者のリスクモニタシステムは、システム全体に対す るプラントDiD リスクモニタといくつかの信頼性モニタ で構成されている。信頼性モニタは安全系を構成する 個々のサブシステムについて所与の状況と条件下でサブ Reliability monitor for Subsystem A Reliability monitor for Subsystem B Reliability monitor for Subsystem C KB for risN monitor Plant DiD risN monitor system Knowledge- base Editor Interaction Analyzer o r editing results Interaction Simulator GO-FLOW Diagram & Other Info. For Subsystems Whole plant system model Knowledge base for actors (State Chart Diagrams) Actor of Plant Actor of Operator O O Actor of Supervisor S S p p u u u u e e r r p p Actor of Resource R R a a e e t t e e r r r r r r o o o Actor of Supporter S S v v s s r u u u u o o FMEA Table For Subsystems i i s s s p p u u o p p r r r c c o o e e e r r t t e e e r 著者らのプラント DiD リスクモニタの構成では Table1中の Aのうち設計基準シビアアクシデント時の想定安全設備を用 いて緊急時対応人的組織がシビアアクシデントに対応する 際の機械システムと人的組織との相互作用を以下の考え方 で解析する。 (1) 全体のプラントシステムは、機械システムとプラント運転 に関わる運転員、当直長およびその他の要員をアクタ ーとし、それぞれのアクターの機能モデルの組み合わ せで相互作用のシナリオをモデル化する。 (2) 全体のプラントシステムの動的振舞いはこれらのアクタ ー間の相互作用で模擬される。 (3) それぞれのアクターはそれぞれのシナリオデータを持 ち、このシナリオデータに基づいて振舞う。このようなシ ナリオデータを直感的にかつ容易に作成するため、ソ フトウエア工学の分野でコンピュータの動作を記述する ため広範に用いられている Unified Modeling Language (UML) Ver.2 [4] で 定 義 さ れ て い る _ State Chart Diagram” を用いる。 (4) プラント DiD リスクモニタの機能として、模擬したプラン ト挙動が望ましいかどうか、相互作用は望ましいかどう か、またそれが望ましくないときに何がその原因になっ ているのかを分析できるようにする。 2.2.4 プラントDiD リスクモニタのソフトウエア 構成上述の機能を実現するプラントDiD リスクモニタは次 の3 つのサブシステムで構成している。 (1) 知識ベースエデイタ(Knowledge base editor)― ア ク タ ー の シ ナ リ オ デ ー タ を State Chart Diagram として編集する。 (2) 相互作用シミュレータ(Interaction simulator) -すべてのアクターをシナリオデータに応じて駆動 2.2.2 プラントの運転モードと人間の行動モード することによって全体プラントシステムの振舞いを との関係 アクター群の振舞いとして模擬する。 Table1中の設計基準内の運転モードAと設計想定外の (3) 相互作用アナライザ(Interaction analyzer)- B は、ヒューマンファクタの領域での3 つの人間行動モー 相互作用シミュレータによって得られたそれぞれのア ド(Skill-base,Rule-Base,およびKnowledge-base)と対 比すると、A に対してはSkill-baseおよびRule-base 行 動で対応できるように運転要員には運転手順書を整備し、 クターの振舞いの結果を、State Chart Diagram 同様、 UML[4]で定義されている、Sequence diagramによって 様々な研修訓練によって一定水準以上の熟練度が要求さ 図示する。 れる。一方、B 外の事象に遭遇しても運転員は自分の習得した知識と発 見的な問題解決によってできるだけ事態を悪化させない ように対応できる知識ベースの対応能力を強化するよう 教育訓練することが要請されるようになった。 に対しては、福島第一事故後、たとえ想定 Eclipse[5]とグラフィカル編集フレームワークGEF[6]に よってPlug-inソフトとして作成され、platform しないオブジェクト指向プログラム言語Javaでプログラ ムしているのでWindow―PCでもMac-PCでも使用できる。 これらの3つのサブシステムは統合開発環境 に依存 2.2.3 仮定 システムが果たすべき機能が損なわれる可能性と機能発 揮に失敗したときの影響を定性評価するFMEAとその動的 信頼性を定量評価するGO-FLOW で構成されている。一方、 プラントDiD リスクモニタは安全設備の全体とそれらを 操作する人々の組織の全体について、人と機械の個々の 要素をアクターとし、特定の状況下での個々のアクター 間の相互作用の全体の振舞いを状態遷移モデルを用いて 表現して起こりうる様々なリスク状態を解析評価する。 2.2 プラントDiD リスクモニタ プラントDiDリスクモニタは、プロセスシステムの状 態遷移をモデル化するカラーペトリネットの一種を採 用しており、基本的には様々なシステムに適用可能で ある。ここでは原子力プラントの安全問題に応用する ために展開した方法と応用ソフトウエアを述べる。 2.2.1 プラントの運転モード プラントDiDリスクモニタによるリスク解析評価の対象 としての原発の運転モードの分類をTable 1 に示す。 表中のA は、原発の設計基準として考慮すべき定常およ び過渡状態として運転モードであり、一方、B は設計基準 では想定外の緊急事態である。 Table 1.Classification of operation modes for nuclear power plant プラントDiD リスクモニタ構成上の基本的 2.2.5 知識ベースエデイタ - 138 - 事故のシナリオとは、起こった事故に応じてプラント の利用可能な機器を適宜用いて各々の対応組織が行う事 故収束のために行う作業の流れの全体である。これを State chart diagram と呼ぶ状態遷移モデルで表現す る。様々なアクターの知識ベースを表現するうえでState chart diagramを用いると次の2つのメリットがある。 (1) 抽象的で概略的な表現から具体的で詳細にわたる まで異なった抽象レベルで動的振舞いを容易に表 現できる。 (2) 状態の定義、異なった状態の間の遷移、状態の遷 移をもたらす事象の生起の3 つを簡単に記述でき る。 Fig.2 は知識ベースエデイタ―の一場面である。図中、 画面中央部のキャンバスは、_運転員が機械の状態を確 認する”というタスクのState Chart Diagramである。 利用者は状態やラベルを右側中央にあるComponent ボッ クスから選択し、キャンバス内の適当な場所にドラッグ する。状態間の_遷移線”は同じく右上のパレットにあ るConnection toolによって引くことができる。遷移線 は矢印の線で始めの状態を目標とする状態へ結合するが、 この遷移を引き起こすことは複数の事象ハンドラ―で定 義できる。事象ハンドラーは、ある特定の事象を受け取 ると状態遷移を引き起こすコマンドシーケンスを実行す る。利用者はJava プログラムでこれらのコマンドシーケ ンスを記述して、次の4 つのタイプの事象ハンドラーを 定義できる。 (A) Actor external event:他のactor に働きかける (B) Actor internal event:一つの actor 内部での通 信 (C) Primary event:ある状態が生起ないし消失したと きにそれを知らせる (D) Timer event:ある時間に達すると事象を起こす。 Fig.2 Snapshot of knowledge-base editor Fig.2 に示したState Chart Diagram は、ある機械が ある要求された状態に達したかどうかを確認するという タスクをモデル化したものである。このような確認タス クはプラントの運転員が頻繁に行う共通のタスクである のでこれを知識ベース(ソフトウエア要素)として繰り 返し使用できるようにしておけば効率的である。このよ うな基本的タスクモデルをState Chart Diagram の形 で要素化するには、特定の対象を表す情報(たとえば機 械の名称、達成すべき目標など)は分離したほうが良い。 Fig.4 Creation of scenario data using component data 次にユーザはこれらの_遷移線”に対して、_事象ハ ンドラー”を設定する。事象ハンドラーの具体的な設定 方法を Fig.5 に示す。図中左側の State-A で示された _Open Valve”というタスクは、_性質”に指定された 条件が満たされたら_OK”という名前の”アクタ内部事 そこでそのような特定データは、対象に依存する情報を 与えるパラメタ領域に指定できるようにすれば、このよ うな state chart diagram は計算機プログラムのサブ ルーチンのように共通的に用いるソフトウエア要素にす ることができる。 様々な要素タスクをこのようなソフトウエア要素にし ておけば、一般ユーザは、これらを必要に応じて選択し て適当な順序に配列していくだけで_シナリオデータ” を簡単に構築できる。要するに煩雑なプログラミング能 力がなくても、プラントDiD リスクモニターを容易に利 用できるようになる。著者らのプラントDiD リスクモニ タではこのようなソフトウエア要素として機械システム の監視制御にあたる人的組織が行う基本的なタスクを抽 出して、Fig.3 に示すようなソフトウエア要素を用意し ている。 Pair Pair (Composed of Fig.3 Component list for all basic tasks Fig.3 に示すような基本的なソフトウエア要素を適宜 用いて_シナリオデータ”を作成する事例を Fig.4 に示 す。図中、キャンバス上に4 つの_状態”を左から右に 配置し、それぞれの状態の間を_遷移線”で結んでいる。 右側にあるウインドウから適当な_ソフトウエア要素” を選び、それぞれ対応する_状態”に落とす。そしてそ れぞれのソフトウエア要素に与えるべきタスクを完了さ せるのに必要な時間や、人数などのパラメタ値をそのソ フトウエア要素のパラメタ設定欄に書き込む。 Receive message Receive message Report to supervisor Report to supervisor Wait for report Wait for report Wait for report Move WorN Confirm state Receive notification from plant Wait for other Complete the tasN Complete the tasN Get/Release resource Use/Un-use resource Give instruction Give instruction Arrive at checNpoint Send message Send message Send message Send message Send message Send message Wait a certain time Wait a certain time Wait for report) Wait for report) Wait for report) Wait for report) - 139 - 象_が完了する。(”アクタ内部事象_は、”EventName” @_Generate Place Name of Event”という文法で与え られる。) Fig.5でのState AからState Bへの遷移線に設定さ れている OK@OpenValve という アクタ内部事象はその 性質で規定されているバルブ開という名前の仕事を開始 して2 分経過すると、事務所に移動するというタスクに 変わるという意味である。 2 . State-A State-B Fig.5 Method of setting event handler 2.2.6 相互作用シミュレータ 所与の事故シナリオに対応するすべての知識ベース情 報が一群のState Chart Diagram に変換されると、ユ ーザは相互作用シミュレータを起動することによってア クター間の相互作用シミュレーションを行うことができ る。著者らの相互作用シミュレータでは、個々の基本タ スクの実行時間は次の5 つの要因により決定される。 (A)基本タスクに対する”要素”は、それを実行するのに 要する時間が”変数”として与えられている。この変数 をタスク完了のための実行時間として定める。 (B)移動時間:アクターが人間の場合、目標とする場所へ の移動に要する時間を加味する。移動時間はそこまでの 距離を歩いていくか車で行くかの移動手段を計算する。 (C)必要な人数:そのタスクを実行するのに要する人数。 必要な人数がそろえば実行できるが、そろわなければ人 数が集まるまで実行は延期される。 (D)待ち合わせ時間:他人の助けや他のタスク完了が必要 な場合はそれがそろうまで待つことになる。 (E)資源の準備時間:タスクを実行するのに車が必要とか 道具が必要とか準備が必要な場合はそれらがそろうまで 待つ。 2.2.7 相互作用アナライザ 相互作用シミュレーションの結果は、評価目標に照ら して分析評価することになるが、著者らによる相互作用 アナライザを用いる上での評価の3 つの観点と評価結果 に基づく対策の立て方を以下にまとめる。 -Properties- Comp. Name:Open Valve Required time: 2 mins Open Valve OK@OpenValve The component will generate _OK” internal event when its tasN is completed. Then, the transition from State-A to State-B will be made by this diagram. i l l Move to Office Arriving at checNpoint (The tasN is done before limitation time.) Fig.6 Example of sequence diagram 相互作用シミュレータによる結果を、Fig.6に示すよう な”シーケンスダイアグラム”を用いて図式表示すると、 相互作用の結果の多角的な観点での分析と対策の検討が 効率的に行える。ここでは詳細は割愛するが、Fig.6では 横軸方向にすべてのアクターを並べ、縦軸方向に時間の 進展とともに生じる各アクターのアクションの種別、開 始、終了の時点を図示している。アクター間を結ぶ横線 - 140 - (A)シミュレーション結果が期待外れの場合:相互作用シ ミュレーションの結果が期待外れ、ないしシナリオの途 中でシミュレーションが停止するような場合、シナリオ データの設定に誤りや正確さを欠くと考えて、データの 設定などの試行錯誤を行って役割分担などのシナリオを 見直すことで解決を図る。 (B)シナリオの重要な局面を制限時間内にクリアできな い場合:たとえば緊急時対応手順にはその実行の途中段 階に時間的制約がある。このような事件制限を超えるよ うな場合にその原因を考えてシナリオの立て方、人数や 資源の不足を改善する。 (C)シミュレーション結果が望ましくない状況を予測さ せる場合:シナリオ通りに実行しても結果が望ましくな い場合としてたとえば炉心溶融事故になってしまえば環 境への放射能放出が避けられなくなる。この場合炉心溶 融事故を絶対に起こさないようにシナリオのあり方や対 策の強化を図るというような場合である。 Actors Interactions such as report, interaction, operation and so on Yellow line shows receiving instructions Green line shows postponed tasN Purple lines show traveling process Blue line shows waiting process Executed basic tasNs べくプラントDiD リスクモニタでシナリオ成立性の検討 を行った。解析作業に要した時間ではシナリオデータの 編集時間に1-2 時間を要した。これには知識ベースエデ イタのデバッグ機能が作業実施に役に立った。その後シ ナリオ開始から終了まで一貫した相互作用シミュレーシ ョンが可能になるまでに1-2時間を要した。ラン中のデ バックを効率化するため実際時間より100 倍の高速シミ ュレーションをできる機能がデバッグに役にたった。 Table2のCase1はベースケースの結果で、チェックポ イントに到達した時間を記載し、制限時間を満たしてい るかどうかを表示している。Case1では代替炉心注水が2 時間44 分24秒になって制限時間の2時間20分より遅れ る。そこでCase2ではsupervisorのうち1 名が運転員の ほうに回ることで2 時間17秒に改善し、一方Case3では supervisor のタスク配分を変えてさらに1 時間38分11 秒と大幅に改善を図っている。 Table 2 Result of case study ChecNpoints & Limitation time Case 1 Case 2 Case 3 Supervisors: 2 Supervisors: 1 Supervisor: 2 Operators: 8 Operator: 9 Operator: 8 Judge the accident (0:10:00) 0:06:10 0:07:29 0:06:07 Start forced cooling of 2nd system (0:30:00) 0:18:04 0:19:43 0:18:00 Supply electricity from alternative generator (1:00:00) 0:37:12 0:38:51 0:37:09 Start alternative water injection into core (2:20:00) 2:44:24 2:00:17 1:38:11 Hot shut down status (4:00:00) 2:44:24 2:33:34 2:33:41 Able to supply seawater to aux feed water tanN (11:00:00) はいわゆるアクター外部事象のやり取りを示している。 制限時間を超える逸脱や遅滞などの問題点は自動的に色 分け表示されるので問題点の発見も容易である。そして そのような部分を右クリックするとState Chart Diagramの内容が表示されるので、シナリオデータの修正 などを行って再度シミュレーションを実行すれば問題点 解決のための検討が容易に実施できる。 3.原発シビアアクシデント時緊急対応の組織 連携シミュレーション 3.1 背景 事故や災害の発生など緊急事態の収拾に対応する人た ちには事故発生した工場などの当事者以外に警察、消防 などの行政機関の人たちも関わっている。このような人 たちは予め想定している事象だけでなく、想定外の事象 でもその場で対処できる高い対応力が求められる。その ような職務に携わる人たちには緊急事態に適切に対応で きるように研修訓練があり、それぞれの役割に応じて対 応行動をするためのマニュアルが整備され、また対応組 織全体が正しく行動できるように想定訓練が行われてい る。しかし無数の可能性のある事態に適切に対応するた めに実地訓練をすることは不可能であり現実的でもない。 そこでコンピュータで多様な人的構成、多様な事態に巧 く対応できるかどうかをシミュレーションさせて問題点 を発見し、その解決策を見出しておくようにすれば大掛 5:00:18 5:01:58 5:00:17 かりな実地訓練を繰り返すより効率的であろう。こうい った目的にプラントDiD リスクモニタの適用が期待でき Able to supply seawater to CV る。 recirculation unit (51:00:00) 3.2 国内PWR の全交流電源喪失事故時の緊急対応 の組織連携シミュレーション 日本の原子力界では2011年3月発生の東電福島第一発 電所事故以降、原子炉規制基準の改正によってシビアア クシデント対策が強化された。ここでは最近再稼働され たPWR を例に所内全交流電源喪失事故時に代替発電機の 起動と消火用エンジン車による海水注水により炉心冷却 を行ってシビアアクシデントを回避する緊急対応シナリ オの成立性を検討する。 そのベースケースとして、プラント内緊急対応チーム の構成としてSupervisor 2 名、運転員8 名にプラント 外から駆けつける助勢チーム17 名とし、緊急事態進展中 のcheck pointとして事故の判断を10 分以内、2 次系後 備冷却開始30 分以内、代替発電機の起動による給電開始 1 時間以内、代替炉心注入開始2 時間20分以内、温態停 止到達4 時間以内、海水の補助給水タンク供給11 時間、 海水のCV 再循環系と高圧注入系の供給51 時間を満たす 6:28:39 6:30:19 6:28:38 ???????パーセント?????????? 4.1 背景 計算機技術の進歩により、デイジタル制御と情報処理 技術の統合によって全デイジタル型計装制御中央制御盤 の導入が進んでいる。そこでは1980年代から90 年代に かけてTMI-2事故やチェルノビル事故を契機にプラント 運転操作からできるだけ人間を除外してヒューマンエラ ーを防止するという意図から自動方式の多用を指向して いる。また計測系がセンシングした結果を用いて能動的 に安全系を動作させる方式は能動的な要素の存在が信頼 性を損なうとの考えから、原発の安全系の構成を従来の 能動安全系(Active safety system)から自然の物理 原理を活かして全体システムが自然に安全側に状態を変 えるという受動安全系(Passive safety system)の研 究が進展して最近では受動安全系を積極的に採用する新 型の軽水炉原子力発電プラントが実用化されている。 - 141 - しかしコンピュータを多用した自動系や受動安全系の 登場はプラントの運転員のするべき仕事の性質に変化を もたらし、これが新たなヒューマンエラーの発生につな がるという、いわゆるsupervisory controlの問題点が 懸念されるようになった。要するに自動機械には普段人 間にはすることがないから機械がブラックボックス化す る。しかしそれでは機械が故障し、人間が代わりに対応 しないといけないような状況になると人間はうろたえる だけで適切に対応できなくなる。それではだめだと、滅 多に起こらないのに万一の自動系故障の事態発生に備え て運転員はいつも訓練しなければならない。ironies of automationという言葉で1980年代の欧州の応用認知心 理学者たちが指摘した問題である。その後プロセスシス テムの認知工学という名前で認知科学の応用が90年代以 降世界中で大きく取り組まれた。 認知工学には多様な側面があるが、ここではあらゆる 運転モードに対してどのように自動支援系を組み込めば 人的要因の観点からより望ましくなるかについて、最近 進展の著しい高度情報技術の活用に着目した。具体的に は現場運転員自身が日常的にそのようなIT技術を活用し て使命を達成できるにはどのような支援技術が求められ るのかを研究課題とした。本稿ではその第一歩として、 人間―自動系相互作用の新たな設計評価法としてプラン トの事故解析シミュレーションとプラントDiDリスクモ ニタとの統合を検討した。 4.2 人間―自動系相互作用の新たな設計評価法 人間―自動系相互作用の新たな設計評価法創出の第1 歩として、ここでは特にプラント事故時の運転員支援の ための異常監視・診断・対応操作教示機能を持つヒュー マンインタフェースシステムを具体的対象に、プラント の事故解析シミュレーションとプラントDiDリスクモニ タとを統合した人間―自動系相互作用の設計評価環境の 構成を検討した。 4.2.1 その構成手順 異常監視・診断・対応操作教示機能を持つヒューマン インタフェースシステムは、概念的にはFig.7のように 図示できる。図中、左側上部にはプラント計装系のセン サー信号がプラント状態を監視・診断するための入力処 理部(ブロックA)とモニタした信号の表示と制御操作の ための出力処理部(ブロックB)に送信される。ブロック B では運転員への監視信号の表示、操作指示情報の提示、 運転員からの操作入力を取り扱うヒューマンインターフ ェース部以外にプラント制御安全装置を直接制御する信 号を生成する。そしてブロックA とブロックB の間がプ ラントの状態診断と対応手順の対応およびヒューマンイ ンタフェースへのメッセージ生成にかかわる高度情報処 理の中枢部である。 Fig. 9 Framework of integrating the simulation and knowledge based information processing Fig.7 Basic scheme of digital I&C + HIMT system 一方、原子力発電所の営業運転開始から最終的には廃 炉処分に至るまでのプラントの全生涯で運転モードの変 遷をFig.8に示した。プラントの監視診断対応操作は、 起動操作・出力運転・停止操作だけでなく、停止時にも 必要である。また停止時に行う燃料交換や出力運転の継 続に伴って炉心状態も変わるため、監視診断対応操作の 仕方も調節が必要であり、トラブルや事故が発生したと きにの対応の仕方もそれらの変化要因まで考慮しなけれ ばならない。 Fig.8 Different stages of plant operation in the whole plant life - 142 - しかし実際上Fig.8に示したすべての運転モードに対 してFig.7に示したdigital I&C+HMITシステムを開発 することは難しい。本研究では特定の原発の定常出力運 転時に特定の異常事象が生じた場合の異常監視・診断・ 対応操作教示機能をAI手法で構成するための手順として Fig.9 に示すように,プラント事故シミュレーションと知 識情報処理を組み合わせた方法として(A)事故シミュレ ーションの実施、(B)プラント知識ベースの作成、(C) プラントのアクター間相互作用をもとにしたHISの設計、 の3 段階の手順を提起する。以下それぞれの要点を説明 する。 (A)事故シミュレーションの実施 原発のすべての運転モードを示した Table1のうちシ ビアアクシデントは設計基準事故に含められた。そのた めシビアアクシデントに至ってもプラント周辺に放射能 放出に至らないように対応手順の検討の強化が求められ るようになった。しかしシビアアクシデントに至りうる シナリオは無数にあり、それらを実際のプラントで試験 するわけにいかない。したがってどのように事故がシビ アアクシデントに進展しうるかを調べるには精度の保証 された安全解析コードによる事故シミュレーションによ ることとなる。その際にはTable 3 に示すような定常お よび外乱条件を考えることとなる。これを見れば特定の 事故形式を考えても定常運転での炉心状態、事故が起こ る際の外部要因や人的要因、共通原因要因を考慮すると それだけでも無数のシナリオを考えた対応手順を考えね ばならぬことが予想される。 Table 3 Specific aspects of plant simulation for both initial and disturbance considerations. Assumed conditions Selectionof occurrencetimefor transient/accident Remark Initial condition InitialPlantcondition basedonstateofplant Plantconfiguration Initialcorecondition suchasfuelrod,reactor powershape,coolant condition,reactivity feedbacNcondition,etc. ResultofSS irradiationcalculation Disturbance condition Typeof transient/accident scenario LOF,TOP,LOCA, ATWS,etc. Influentialfactorstobe assumed Externalfactors, humanfactors, commoncausefactors, - 143 - ここでは炉心溶融事態には発展しない範囲でシビアア クシデントを収めることに限定して多様な事故シミュレ ーションを実施するため多様な形式の冷却材喪失型事故 を精度よくシミュレーションできるRELAP5MOD4コード [7]を用いる。 (B)プラント知識ベースの作成 プラント知識ベースの作成とは、ここではプラント事 故時のマンマシン相互作用による様々な状態遷移の全体 諸相をモデル化して蓄積し、情報処理することを意味す る。これは(A)による多数の事故シミュレーション結果 をもとに様々なマンマシンシステムの状態遷移のシナリ オを、プラント自動系と人間の様々なアクター間のイン タラクションの状態遷移モデルの全体系を本稿2に述べ た著者らの提唱するプラントDiDリスクモニタ[8]を用い て知識ベースシステム化することに他ならない。 しかし著者らのプラントDiD リスクモニタでは人間 要素の行動記述に重きを置いているので、プラント系 の動作を連続系として模擬する事故シミュレーション をプラントDiD リスクモニタと連携させるには、プラ ントDiDリスクモニタ側にさらに次のような事項を取 り扱えるように機能を追加する必要がある。 (1) プラントシステムの機能、構造に着目した階層表 現(プラントアクタの階層システム化) (2) プラントに設備された計測センサからデータ入力、 アクチュエータの起動停止、人間系とのインタフ ェースへの入出力を取り扱う機能の追加。 上述の(1については既存のプラントDiD リスクモニ タでプラントのアクタモデルを機能に応じて多重階層 化すればよいが、(2)についてはオフラインでの RELAP5MOD4による計算結果の時系列データをプラント DiD リスクモニタに”実時間で”取り込むための新た な機能の追加を必要とする。 本研究では一般のオンライン系との実時間データ入 出力にも対応可能なように、Fig.10に示すようなソケ ットインタフェースを追加して、プラントDiD リスク モニ内の種々のState Chart diagram から共通に外 部とデータ授受できるようにした。 Fig. 10 Integrating accident simulation and knowledge-based information processing by plant DiD risk monitor software (C)??ントのアクター間相互作用をもとにした HIS の 設計事故シミュレーションデータをもとにプラントアクタ 間の相互作用を、ソケットインタフェースを追加したプ ラント DiD リスクモニタで実行させるには、とくに RELAP5MOD4 コードによって得られた不均一な時間刻み幅 のプロセス時系列データを、時間刻み幅が一定した実時 間センサーデータに変換して用いるために次のような前 処理が必要である。 (1) RELAP5MOD4 コードによる計算データを一定時間幅の データに変換したものを_真のプロセスパラメタ” とする。 (2) その”真のプロセスパラメタ”をセンサが測定して センサーデータとしてモニターされる部分では、さ らに計測系の原理や構成によって生じる時間遅れ効 果やノイズ成分の重畳、運転持続によって生じるセ ンサードリフトを補正する必要がある。 (3) プロセス制御安全系が生成するWarningやAlarm メ ッセージさらには自動スクラムの動作は、プラント の運転状態の危険度に応じて設定されている閾値に センサー値が達すると発出されるようになっている。 プラントDiDリスクモニタでもプラント運転条件に 応じてこれらの閾値設定を調整する必要がある。 次にHIS の設計では、画面の目的、用途に応じて誰に どれだけ情報提示するべきか、予め考慮する必要がある。 とくにヒューマンエラー防止のため、人間要素の排除を うたい文句にした受動安全や自動系を多用するプラント は、その設計が効果を発揮すれば発揮するほど、何が起 こっても機械が自分で対処してくれるという妙な依存心 を人間に植え付けるので、その結果として運転員全体の situation awarenessを劣化させる恐れがある。Endsley は、運転員がPerception, Recognition, projectionの 3つのレベルのsituation awarenessを維持することの 重要性を指摘した[9]が、本研究ではこのsituation awarenessの維持向上の観点から如何にHISを設計すべ きか、が大きな課題と考えた。 4.2.2 AP1000のSBLOCA 時自動安全系のHIS 設計へ の適用性検討 本節では受動安全概念と自動系を積極的に採用した 3.5 世代PWR であるAP1000[10]をケーススタデイの対象 とする。Fig.11に安全系を含めたAP1000のプラント構成 を示す。AP1000は現在米国および中国で建設中であり、 いずれもデイジタル計測制御系を採用している。中央制 御室の要員構成ではとくに重大事故時のプラント運転の 指揮は、世界標準になっているShift technical adviser(STA)ないし安全技術者が行うものとして、STA 用の重大事故時運転支援用HISの設計問題を、ここでの プラントDiDリスクモニターの応用対象とする。 Fig.11 Plant configuration of AP1000 ここではフィージビリテイスタデイとしてA 炉心溶融 事態に発展しうるAP1000の小破断冷却材喪失事故 (SBLOCA)に対する事故シミュレーションをRELAP5/MOD4 コードにより行った。SBLOCA事故時に順次自動的に起動 する安全系がすべて起動条件通りに正しく作動する場合 をシナリオ1とし、一方、シナリオ1の進行中にそれぞ れの安全系が故障する場合を含めて全部で8 通りの事故 シナリオをRELAP5 MOD4で計算した。[11]Fig.12にその 8 通りの事故シナリオを示す(注:特定の安全系が作動し ないシナリオでは、その後の安全系は故障せずに作動す るとしている)。これらの8 つのシナリオのうち原子炉 停止系が作動しないシナリオ2(ATWS)とADS1~3が開 かないシナリオ5では作動が回復しないと炉心溶融事態 に発展する恐れがある。 Fig.12 8 scenario of SBLOCA in AP1000 Fig.13には SBLOCA 時にすべての安全系が想定通り作 動して安定に事故が収束できるシナリオ1と、SBLOCA 時に 炉停止系が不作動のATWSシナリオ2の場合の原子炉圧力 値の時間変化計算値を示す。シナリオ2では SBLOCAによ る初期の急速減圧事態で CMT による注水は働くが炉圧が 上昇し、すべての注水機能が作動できずに高圧を維持され たままで炉心は急激に溶融事態に向かう。 - 144 - Fig.13 Time changes of reactor pressure both in scenario 1 and 2. さてここで注意すべきは、SBLOCAのRELAP5MOD4コード による事故シミュレーションはSBLOCAの発生場所と大き さを仮定して過渡計算を行ない、事故中に作動する各種 安全系作動の有無も仮定した計算であって、実際のプラ ントでの事故発生事態とは全く違っている。実際のプラ ントでは、大抵は正しく運転を保っていて、いつSBLOCA が起こるかわからない。そもそも決められた時間にきち んと事故が起こるわけでない。また事故があってもなに もSBLOCAだけが起こるわけでないし、たとえSBLOCAが 起こっても同じ場所で同じサイズの破断が起こるわけで ない。従ってSTA用のHIS には、まず正常の運転状態である ことがきちんと知らされ、そこに正常ではない事態が生 じたとしてその後各種のアラームなどが出されてついに は安全系が次々と動き出す様子を正しく知らせてくれる ことが期待される。これによってSTA は異常事態になっ たという第一のレベルのperceptionが働くのである。そ して次々に続く報知によっていったい何が起こったのか を理解できるようになる。これがsituation awareness のレベル2のunderstandingである。それから次にこの 事態を放置していたら一体どういう事態に至るかを先読 みして、事態をさける手段をとるようにする。これが situation awarenessのレベル3である。 本研究では、はじめはシナリオ1の想定通りに進行し ていたがADS1~3 が開いていないと運転員からSTAが聞 いて、運転員にADS1~3の弁開を命じたことで炉心溶融 の恐れのあるシナリオ5に行かずにもとのシナリオ1で おさまった時の、プラントDiDリスクモニタが生成した 相互作用の結果をシーケンスダイアグラムとしてFig.14 に示した。 Fig.15 Condensed information display for STA. Fig.14 Result of sequence diagram for scenario 1 Fig 14 のシーケンスダイアグラムでは、STA は運転員 からADS1~3が開いていないという報告を聞いてそれ はまずい、閉めなさい、と命じて事なきをえたわけだが、 STAには Fig.15に示すようなデイスプレイでプラント DiDリスクモニターの分析した状況を一覧できるならオ ペレータからの報告がなくても多様な事態へ的確な対応 ができるだろう。もちろんそのためには莫大な事故シナ リオに対するRELAP5MOD4コードによる事故シミュレー ションを実施してそれをもとに実効的な実時間プラント DiDリスクモニタにするためには特段の工夫が必要であ り、これが本テーマの実用化で最も大きな課題である。 - 145 - [5]Eclipsefoundation: EclipseIDEfor JavaDeveloper 5.結論 Version: Luna (4.4.1), http://www.eclipse.org, 2014. 本稿では著者らの開発したプラントDiDリスクモニタ [6]Eclipse Framework) foundation: Release 3.9.101, GEF(Graphical Editing の基本的概念とソフトウエア構成を紹介し、とくに原発 https:// eclipse.org/gef, 2014. のシビアアクシデント対応に関するその応用事例として [7] RELAP5 Code Development Team, RELAP5/MOD3.3 Code プラント緊急事態対応シナリオの分析への応用を紹介す Manual: NUREG/CR-5535, US Nuclear Regulatory るとともにAP1000の事故時対応のための支援インタフェ Commission, Washington, DC, USA, 2001. ース構成への応用を将来展望した。 [8]YOSHIKAWA, K., NAKAGAWA, T. Development of plant DiD risk monitor system for NPPs by utilizing UML 参考文献 modeling technology, USB Proc. IFAC HMS 2016 in [1] YOSHIKAWA, H. and NKAGAWA, T.: Software system development of NPP plant DiD risk monitor -basic design of software configuration-, (ICONE23-1312) Proceedings of the 23th International Conference of Nuclear Engineering (ICONE23), May 17-21, 2015, Chiba, Japan, 2014. [2] MATSUOKA,T.:SystemReliabilityAnalysisMethod GO-FLOW for probabilistic Safety Assessment, CRC Sogo Kenkyusho, 1996. (In Japanese). [3] YOSHIKAWA, H., et al. A new functional modelling framework of risk monitor system, Nuclear Safety and Simulation, Vol. 4, No. 3, pp.192~202 , 2013. [4] Object Management Group: UML Version 2.4 Specification, http://www.omg.org/spec/UML/2.4, November 201 Kyoto, August 30-September 2, 2016, Kyoto, Japan. [9] Endsley MR, Kaber DB, Level of automation effects on performance, situation awareness and workload in a dynamic control task. Ergonomics. 1999; 42: 462-492. [10]Westinghouse Electric Company LLC., http://www.westinghousenuclear.com/New-Plants/ AP1000-PWR/Safety/Passive-Safety-Systems (Accessed on May 18, 2017) [11]Nawaz A, Yoshikawa H, Yang M, Hussain A: Comparative analysis of AP1000 reactor during SBLOCAwithand withoutreactorSCRAMusingRELAP5 MOD4, 8th International Symposium on Symbiotic Nuclear Power Systems for 21st Century, September 26-28, 2016, Chengdu, China. プラント DiD リスクモニタの多用途応用の展望 吉川 榮和,Hidekazu YOSHIKAWA,中川 隆志,Takashi NAKAGAWA,寺下 尚孝,Naotaka TERASHITA,馬 戦国,Zhanguo MA