プラント緊急時における対応手順の評価項目に関する検討
公開日:
カテゴリ: 第13回
1.緒言
原子力発電プラントを代表とするプラントでは,非常 に大きなエネルギーを扱うため,事故が発生しないように様々な防護設備が設置されており,さらに万が一事故が発生した場合に対しても,プラントを安全な状態に移行させるための設備とそれを行う手順が整備されて,運転員の訓練も行われている.しかしそれでもあらゆる事象に対応することは難しく,設計時や改修時に想定していなかった事故が発生する可能性がある.このような設計想定外の事象が発生したときにプラント運転員に求められるのは,柔軟で臨機応変な対応である.しかし,不測の事態に陥った場合には,プラント運転員が混乱して柔軟な対応がとれない場合も考えられる.設計想定外の 事象に柔軟に対応するために,運転員に緊急時の対応手順をプラント状況に応じて生成して示すことができれば, 事故へ進展することを防ぐための,プラント運転員の臨機応変な対応をサポートできると考えられる.
これまで,著者らは,機能モデルに基づく緊急時対応手順を導出する一手法を提案し,その手法の妥当性を確認した [1].まず,対象プラントを加圧水型原子炉 (Pressurized Water Reactor: PWR)とし,機能に着目してPWR をモデル化した.そしてこの機能モデルを用いて, 対応手順の導出方法を検討した.モデル化には機能モデリングの手法の一つであるMultilevel Flow Modeling (MFM) [2] [3]を用いた.作成したPWRのMFMモデルに考案した手順導出アルゴリズムを適用して,いくつかの事故状況の対応手順を導出した.導出された手順は, PWRに対してアクシデントマネジメント(Accident Management: AM) [4]として実際に定められている手順と等価なものを含むことを確認した. この手法では一つの事故状況に対して複数の対応手順が導出される.導出される対応手順はPWRの振る舞いの観点から有効なものといえるが,現状の手法ではどの手順が最も適切であるかの優先順位までは示せていない. 運転員に推薦度の高い手順を示すことで,より適切な判断をサポートできると考えられ,そのための手法を検討することは有意義である. 本研究では,導出された対応手順を評価するための項目を検討する
2.安全防護の考え方 2.1 深層防護
検討に当たっては,リスクアセスメントの観点を参考とし,妥当と考えられる評価項目を洗い出した.その結果,効果の大きさ,手順完了時間,環境へをする)ことにより「避ける(悪いこと起こらないようにする)」,「局所で吸収してシステム全体が破局状態に陥らないようにする(悪いことがこれ以上悪化しな いようにする)」,「システムが撹乱されても迅速に回復 の悪影響などの項目が,評価項目として挙げられること がわかった.
させる(起こってしまった悪いことからリカバリーす 原子炉施設の安全確保の考え方の一つに「深層防 る)」ことでシステムの安定を保とうとする.これがレ 護」 [5]があり,原子力発電所の基本的設計思想とさ ジリエンス・エンジニアリングに基づいた撹乱への対 れている.「深層防護」は原子力発電技術において安全 応である [7]. の基本原則とされ,この原則を工学的に達成すること システムにレジリエント特性を持たせるためには が原子力発電所の安全研究と安全設計の目標となって 以下の四つの主要な能力が重要だと提案されている きた.原子力発電所についての深層防護は,一般的に [8]. は次の5つの層で考えられている [5]. (1) 対処する (responding), 第1層:異常・故障の発生防止(プラントに対する外 (2) 監視する (monitoring), 乱を起こさないように備えること) (3) 予見する (anticipating), 第2層:異常・故障の「事故」への拡大防止(外乱が (4) 学習する (learning). 発生しても設備に対する影響が小さい範囲 発生した事象に対応するための手順を導出することは となるよう備えること) 「対処する」能力を高めることに貢献できる.よって 第3層:「事故」の影響緩和(設備に対して重大な事故 本研究は原子力発電所のレジリエント特性の向上に関 が発生しても放射性物質の環境への重大な 係している. 放出がないよう備えること) 第4層:「設計基準を超す事故」への対策(炉心損傷が 発生しても放射性物質の環境への重大な放 3.Multilevel Flow Modeling 出がないよう備えること) 3.1 機能と機能モデリング 第5層:公衆と環境の防護のための防災対策(重大な 対応操作手順導出のために,本研究ではシステムの 放射性物質の放出が発生しても公衆被曝を 機能に着目し,対象プラントをモデル化する.機能の 抑制するよう備えること) 特徴としては, 「深層防護」では,このようにいくつかの層がうまく (1) 機能は抽象化レベルが高く, 機能しなかった場合を想定し,多段階で防護層を構成 (2) なぜあるコンポーネントがシステムの中でその している [6].これにより,いくつかの層が破られた 位置にあるか説明している 場合でも異常や事故に対応できる,または事故の影響 ことがあげられる [9]. をできるだけ小さくする対策を考えることができる. また,システムの通常運転時には機能と認識されない 本研究で検討している対応手順の自動導出は,異常の 多くの挙動が存在し,想定されていない状況に至った 進展や事故時の影響を最小限に抑えることができる手 とき,機能は別の意味を与える場合がある.さらに元 段を提供できる.従って,深層防護の第3層や第4層 の設計では機能と認識されていなかった挙動が,シス にあたる層を強固にすると考えられる. テムの異常時には機能として認識されることもある [9]. 2.2 レジリエンス・エンジニアリング また,機能に着目してシステムをモデル化したものは レジリエンス・エンジニアリングは事故が発生したと 機能モデルと呼ばれる.機能モデルは,なぜ,あるコ き,人間がいかにそれを柔軟に受け止め,ダメージを ンポーネントがそこにあるのかといった情報をモデル 受けたシステムをどうやって早期に回復させるかに注 に組み込むことができる.そのため構造的に複雑で操 目した考えである.たとえば自然災害のような制御不 作員が詳細情報を理解できていないコンポーネントで 能な撹乱が発生した場合に,その事象に対して,そこ あっても,機能に着目してモデル化を行っているため, に従事する人が“うまく立ち回る”(レジリエンス行動 コンポーネントの役割について理解しやすいといった - 177 - 側面がある. また,機能モデルには (1) 役割や目的をシステム挙動と関連づけられる, (2) 因果関係が表現されている, (3) 階層的なモデル化能力, (4) 言語的表現が含まれる といった長所があると考えられている [9].長所(1)に より,機能情報を運転員に表示でき,長所(2)により, 因果関係の推論が行え,長所(3)により抽象化レベルを 変化させた情報生成が可能になる.また,長所(4)によ り機能モデルに基づいた推論結果の表示における意味 的なギャップが緩和できると考えられている [9] [10]. 本研究では機能モデリングの一つの手法である MFM [2] [3]を用い,システムをモデル化する. 3.2 Multilevel Flow Modeling MFM [2] [3]は機能モデリングの一手法であり,工学シ ステムを機能と目標の観点からモデル化する.MFM の特徴的な点は,質量,エネルギー,行動,情報のサ ブ流れ機構を表現するために,基本機能集合を用いて いる点である [2] [3].つまり,Fig. 1 のようなシンボ ルを用いてシステムを表現することが MFM の大きな 特徴である.システム,コンポーネントの役割は 「objective」,「threat」のシンボルにより表現される. 機能は,「Functions」で定義される機能の要素に分類さ れる.そして,それぞれの機能の要素の流れ構造にお ける関係は「influence」によって結合され,一種のグ ラフ表現により機能の流れを表す.そのグラフは 「function structure」で構造化され,エネルギーあるい Fig. 1 MFMで用いられるシンボル は質量の流れを表現する.機能の要素とobjective,threat や他の流れ構造の機能の要素の関係は「Means-end」, 「Control」らのシンボルによって表される. 3.3 影響波及ルール MFM モデルに基づいた因果推論においては,影響波 及ルールと呼ばれるルールが用いられる [11] [12].こ れは,あるシンボルの状態が変化した際に,そのシン ボルの上流,および下流につながれているシンボルに 及ぼす影響を記述するためのルールである.これを利 用することで,ある機器操作を実行して MFM モデル の対応するシンボルの状態が変化した際に他のシンボ ルにどのような影響を与えるか,どのように波及して いくかを知ることができる.本研究では各シンボルの 状態は,Table 1 に示す状態をとり得るとした.機能 (Functions)の状態は「high flow」,「low flow」,「normal」 などで表され,目標(objective)の達成度の状態は「true」, 「false」で表される.本研究ではZhang らの論文 [12] Table 1 それぞれのシンボルがとり得る状態 - 178 - Table 2 影響波及ルールの例 を参考に影響波及ルールをまとめた.Table 2 に影響波 及ルールの例を示す.たとえば,Table 2 の最上部のパ ターンでは,エネルギーや質量の供給量が増加する (sou1の状態がhigh output flow となる)と下流のエネ ルギーやエネルギーの移動量が増加する(tra1 の状態 がhigh flowになる)ことを表し,逆にエネルギーや質 量の供給量が減少する(sou1 の状態がlow output flow となる)と下流のエネルギーや質量の移動量は減少す る(tra1 の状態がlow flowになる)ことを表している. 4.対応手順の導出手法 4.1 加圧水型原子炉のMFM モデル 原子力発電プラントは大きく分けて沸騰水型原子炉 (Boiling Water Reactor: BWR),加圧水型原子炉 (Pressurized Water Reactor: PWR)の2種類がある.本 研究でモデル化の対象としている PWR では冷却材を 加圧して沸騰しない状態にして,原子炉の熱を冷却材 の温度の上昇で除去する方式を採用している.PWR の原子炉冷却系は1次系,タービン系は2次系と呼ば れる [13].原子炉容器内の燃料棒から発生した熱は 1 次系冷却材によって蒸気発生器に運搬される.蒸気発 生器で1次系冷却材から2次側系の水に伝熱されたの ち,1 次系冷却材は冷却水ポンプによって原子炉容器 に戻り再び加熱され循環する.蒸気発生器で熱を受け 取った2次系の水は蒸気に変化する.その蒸気がター ビンの羽根を回転させることで電力が生成される.タ ービンを回転させた蒸気は復水器によって水に戻され 給水ポンプによって蒸気発生器に送られる.そして蒸 気発生器で再び熱を受け取り循環する.Fig. 2 に今回 検討した設備の模式図を示す.これを MFM によりモ デル化するとFig. 3 のようになる. 4.2 想定する事故状況と設定されているアクシデ ントマネジメント 今回 PWR において想定する事故状況は次の 3 つとす る.すべての状況において Loss Of Coolant Accident (LOCA) が発生した場合を想定し,(A) Emergency Core Cooling System (ECCS)と主蒸気逃がし弁の起動に失敗 した場合,(B)予熱除去系を用いた再循環に失敗した場 合,(C)部分的な炉心損傷後格納容器内へのスプレイに 失敗した場合の3 つの状況 [4] を対象とした.これら の事故状況にはあらかじめ AM(アクシデントマネジ メント)として定められている対応操作がある.(A) の事故状況対して「タービンバイパス系の活用」,(B) の事故状況に対して「代替再循環」,(C)の事故状況 に対して「格納容器内注水」が定められている.アル ゴリズムを用いて導出した対応手順と設定されている AM を比較することで,提案するアルゴリズムの有効 性を検討した [1]. 4.3 導出した手順とAM との比較 提案したアルゴリズムを用いて導出した手順とあ らかじめAMとして定められている手順を比較すると Table 2 のようになった [1] [4].比較の結果,実際に定 められているAMと等価な手順が導出されていること が確認された.これにより,提案したアルゴリズムを 用いることで妥当な手順が導出されると考えられる. また提案したアルゴリズムによる手順導出ではAMで は考えられていない代替の手順も導出された.これら の手順は,事故収束にある程度の効果はあるが,AM を実行するよりは効果が小さいと考えられる. 5.導出した手順の評価項目 5.1影響と確率の観点から評価項目の分類 本研究では手順を評価するにあたり,リスクアセスメ ントの観点から評価項目を検討する.工学的リスクは 影響と確率の観点から考えられており,原子炉におけ る安全研究で用いられる確率論的リスク評価 (Probabilistic Risk Analysis: PRA)でも事象の期待頻度 と損害の大きさの積でリスクを表現している [14].導 出した手順を評価する際にも工学的リスクと同様に, 手順を実行することによる影響と手順完了の成功確率 の二つの軸から評価項目を考えることができると考え, Fig. 2 PWRの模式図 リスクアセスメントの観点から手順の評価項目を検討 することとした. 5.2リスクアセスメントの観点から評価項目の分類 - 179 - 導出した対応手順の評価項目をFig.4のようにまとめ た.まず,手順実行における影響について検討する. 導出された手順は発生した事象への対応目標の達成, すなわち,MFM モデル内のある目標の達成を実現す るための手順である.よってこの手順実行における影 響とは設定された目標達成の度合いと考えられる.ま た,手順を実行することで環境への悪影響を与える, すなわち,放射性物質を放出する場合があるため,放 射性物質の放出量もここでいう影響に含まれる. 次に手順完了の成功率について検討する.PRAを用い る際には,機器の故障率や人間のエラーが考慮される [14].この観点から手順についても,手順実行に関わ Table 2 導出された手順とAM の比較表 事故状況 導出された手順 AMs A a 1. MSIVを開く 2. TBVを開く 1. MSIVを開く 2. TBVを開く b 1. 加圧器逃し弁を開く B a 1. MSIVを開く 2. TBVを開く b 1. 連結間電動弁を開く 2. 余熱除去系電動弁を開く 1. 連結間電動弁を開く 2. 余熱除去系電動弁を開く c 1. 加圧器逃がし弁を開く d 1. 主蒸気逃がし弁を開く C a 1. 加圧器逃がし弁を開く b 1. 主蒸気逃がし弁を開く c 1. MSIVを開く 2. TBVを開く d 1. 余熱除去系電動弁を開く e 1. 消火水系電動弁を開く 2. 内部スプレイ系電動弁を開く 1. 消火水系電動弁を開く 2. 内部スプレイ系電動弁を開く Fig. 3 PWRのMFM モデル - 180 - 人や環境への影響 に関する評価項目 放射性物質の放出量 影響に関する 評価項目 対象物への影響 目標達成に対する に関する評価項目 効果の大きさ 人的資源 手順完了時間 人間の信頼性に 関する評価項目 慣れ 確率に関する 評価項目 複雑さ 設備資源 設備の信頼性に 関する評価項目 手順の成功確率 Fig. 4 評価項目の分類 手順の評価項目 る設備の信頼性と,手順を実行する人間の信頼性を考 慮すべきだと考えられる.これより,手順評価の際に は,設備の信頼性として,手順の成功確率を評価項目 として取り入れるべきだと考えられる.手順を実行す る人間の信頼性に関して,PRA では人間信頼性解析 (Human Reliability Analysis: HRA) [14]という手法が 用いられており,その中で人間の行動の良さに影響を 与える要因として性能形成因子(Performance Shaping Factor: PSF)が考慮されている.その因子には時間の圧 力,作業負荷,訓練の程度,手順の適切さ,タスクの 複雑さ,組織の文化などがある.時間の圧力という因 子から「手順の完了時間」,作業負荷という因子から「人 的資源」,訓練の程度という因子から「慣れ」,タスク の複雑さという因子から「複雑さ」の項目が手順の評 価項目として挙げられる. 6.結言 これまで,運転員の臨機応変な対応をサポートするた めの,機能モデルに基づいた緊急時対応手順の生成シ ステムを開発することを目的として,緊急時対応手順 導出アルゴリズムを提案し,その有効性を手順導出例 題により確認した.提案のアルゴリズムでは,一つの 緊急事象に対して,収束の可能性のある複数の手順が 導出される. 本研究では導出された手順の優先順位を決めるために, 手順を評価するための項目を検討した.リスクアセス メントの観点から手順を評価する項目を洗い出したと ころ,効果の大きさ,手順完了時間,環境への悪影響 等が評価項目として挙げられた. 今後はこれらの評価項目を用いた手順評価方法を検討 する.また,緊急時の運転支援情報の表示インターフ ェイスを検討することが必要である. 参考文献 [1] T. Inoue, A. Gofuku , T. Sugihara, “A technique to generate plausible operating procedure for an emergency situation based on a functional model,” International Symposium on Socially and Technically Symbiotic Systems 2015 and International Symposium on Symbiotic Nuclear Power System 2015 (STSS/ISSNP2015), (CD-ROM), 2015. [2] M. LIND, An introduction to multilevel flow modeling, Nuclear Safety and Simulation, Vol. 2, 2011, pp.1-11. [3] M. LIND, An overview of Multilevel Flow Modeling, Nuclear Safety and Simulation , Vol. 4, 2013, pp.186-191. [4] 日本原子力発電株式会社, “発電用原子炉施設の 安全性に関する総合的評価(いわゆるストレステ スト)一次評価に係る報告書(日本原子力発電株 式会社敦賀発電所2号機),” 19 4 2012. Available: http://warp.da.ndl.go.jp/info:ndljp/pid/3491887/www. meti.go.jp/press/2012/04/20120419002/20120419002. html. [アクセス日: 8 6 2016]. [5] 一般社団法人 日本原子力学会; 東京電力福島第 一原子力発電事故に関する調査委員会;, 福島第 一原子力発電所事故 その全貌と明日に向けた 提言 -学会事故調 最終報告書-, 丸善出版, 2014. [6] 公益財団法人 原子力安全技術センター, “原子 力 防 災 基 礎 用 語 集 , ” 5 2012. Available: http://www.bousai.ne.jp/vis/bousai_kensyu/glossary/. [7] 小松原明哲, “レジリエンス・エンジニアリング の概念とその展開,” ヒューマンインターフェイ ス学会誌,Vol. 14, No. 2, 2012, pp.83-88. [8] 北村正晴, “レジリエンスエンジニアリングが目 指す暗線Safety-IIとその実現法,” 電子情報通信 学会 基礎・境界ソサイエティ Fundamentals Review, Vol. 8, No.2, 2014, pp.84-95. [9] 五福明夫, “マンマシンシステムの機能と構造モ デリング,” 人工知能学会誌, Vol.13, No.3, 1998, pp.347-355. [10] 五福明夫, “工学システムの機能モデルからの挙 動の導出,” 人工知能学会, Vol. 11, No. 1, 1996, pp.122-120. [11] 五福明夫, 足立和寛 , 田中豊, “機能と挙動に基 づく緊急時対応操作候補の導出,” システム制御 情報学会論文誌, Vol. 11, No. 8, 1992, pp.458-465. [12] X. Zhang, M. LIND , O. Ravn, “Consequence Reasoning in Multilevel Flow Modeling,” Analysis, Design, and Evaluation of Human-machine Systems, Vol. 12, No. 1, 2013, pp.187-194. [13] 二見常夫, 原子力発電所の事故 トラブル 分析 と教訓, 丸善出版, 2012. [14] 吉川榮和, 新リスク学ハンドブック 現代産業技 術のリスクアセスメントと安心・安全の確保, 三 松株式会社, 2009. - 181 -“ “プラント緊急時における対応手順の評価項目に関する検討“ “井上 貴久,Takahisa INOUE,五福 明夫,Akio GOFUKU
原子力発電プラントを代表とするプラントでは,非常 に大きなエネルギーを扱うため,事故が発生しないように様々な防護設備が設置されており,さらに万が一事故が発生した場合に対しても,プラントを安全な状態に移行させるための設備とそれを行う手順が整備されて,運転員の訓練も行われている.しかしそれでもあらゆる事象に対応することは難しく,設計時や改修時に想定していなかった事故が発生する可能性がある.このような設計想定外の事象が発生したときにプラント運転員に求められるのは,柔軟で臨機応変な対応である.しかし,不測の事態に陥った場合には,プラント運転員が混乱して柔軟な対応がとれない場合も考えられる.設計想定外の 事象に柔軟に対応するために,運転員に緊急時の対応手順をプラント状況に応じて生成して示すことができれば, 事故へ進展することを防ぐための,プラント運転員の臨機応変な対応をサポートできると考えられる.
これまで,著者らは,機能モデルに基づく緊急時対応手順を導出する一手法を提案し,その手法の妥当性を確認した [1].まず,対象プラントを加圧水型原子炉 (Pressurized Water Reactor: PWR)とし,機能に着目してPWR をモデル化した.そしてこの機能モデルを用いて, 対応手順の導出方法を検討した.モデル化には機能モデリングの手法の一つであるMultilevel Flow Modeling (MFM) [2] [3]を用いた.作成したPWRのMFMモデルに考案した手順導出アルゴリズムを適用して,いくつかの事故状況の対応手順を導出した.導出された手順は, PWRに対してアクシデントマネジメント(Accident Management: AM) [4]として実際に定められている手順と等価なものを含むことを確認した. この手法では一つの事故状況に対して複数の対応手順が導出される.導出される対応手順はPWRの振る舞いの観点から有効なものといえるが,現状の手法ではどの手順が最も適切であるかの優先順位までは示せていない. 運転員に推薦度の高い手順を示すことで,より適切な判断をサポートできると考えられ,そのための手法を検討することは有意義である. 本研究では,導出された対応手順を評価するための項目を検討する
2.安全防護の考え方 2.1 深層防護
検討に当たっては,リスクアセスメントの観点を参考とし,妥当と考えられる評価項目を洗い出した.その結果,効果の大きさ,手順完了時間,環境へをする)ことにより「避ける(悪いこと起こらないようにする)」,「局所で吸収してシステム全体が破局状態に陥らないようにする(悪いことがこれ以上悪化しな いようにする)」,「システムが撹乱されても迅速に回復 の悪影響などの項目が,評価項目として挙げられること がわかった.
させる(起こってしまった悪いことからリカバリーす 原子炉施設の安全確保の考え方の一つに「深層防 る)」ことでシステムの安定を保とうとする.これがレ 護」 [5]があり,原子力発電所の基本的設計思想とさ ジリエンス・エンジニアリングに基づいた撹乱への対 れている.「深層防護」は原子力発電技術において安全 応である [7]. の基本原則とされ,この原則を工学的に達成すること システムにレジリエント特性を持たせるためには が原子力発電所の安全研究と安全設計の目標となって 以下の四つの主要な能力が重要だと提案されている きた.原子力発電所についての深層防護は,一般的に [8]. は次の5つの層で考えられている [5]. (1) 対処する (responding), 第1層:異常・故障の発生防止(プラントに対する外 (2) 監視する (monitoring), 乱を起こさないように備えること) (3) 予見する (anticipating), 第2層:異常・故障の「事故」への拡大防止(外乱が (4) 学習する (learning). 発生しても設備に対する影響が小さい範囲 発生した事象に対応するための手順を導出することは となるよう備えること) 「対処する」能力を高めることに貢献できる.よって 第3層:「事故」の影響緩和(設備に対して重大な事故 本研究は原子力発電所のレジリエント特性の向上に関 が発生しても放射性物質の環境への重大な 係している. 放出がないよう備えること) 第4層:「設計基準を超す事故」への対策(炉心損傷が 発生しても放射性物質の環境への重大な放 3.Multilevel Flow Modeling 出がないよう備えること) 3.1 機能と機能モデリング 第5層:公衆と環境の防護のための防災対策(重大な 対応操作手順導出のために,本研究ではシステムの 放射性物質の放出が発生しても公衆被曝を 機能に着目し,対象プラントをモデル化する.機能の 抑制するよう備えること) 特徴としては, 「深層防護」では,このようにいくつかの層がうまく (1) 機能は抽象化レベルが高く, 機能しなかった場合を想定し,多段階で防護層を構成 (2) なぜあるコンポーネントがシステムの中でその している [6].これにより,いくつかの層が破られた 位置にあるか説明している 場合でも異常や事故に対応できる,または事故の影響 ことがあげられる [9]. をできるだけ小さくする対策を考えることができる. また,システムの通常運転時には機能と認識されない 本研究で検討している対応手順の自動導出は,異常の 多くの挙動が存在し,想定されていない状況に至った 進展や事故時の影響を最小限に抑えることができる手 とき,機能は別の意味を与える場合がある.さらに元 段を提供できる.従って,深層防護の第3層や第4層 の設計では機能と認識されていなかった挙動が,シス にあたる層を強固にすると考えられる. テムの異常時には機能として認識されることもある [9]. 2.2 レジリエンス・エンジニアリング また,機能に着目してシステムをモデル化したものは レジリエンス・エンジニアリングは事故が発生したと 機能モデルと呼ばれる.機能モデルは,なぜ,あるコ き,人間がいかにそれを柔軟に受け止め,ダメージを ンポーネントがそこにあるのかといった情報をモデル 受けたシステムをどうやって早期に回復させるかに注 に組み込むことができる.そのため構造的に複雑で操 目した考えである.たとえば自然災害のような制御不 作員が詳細情報を理解できていないコンポーネントで 能な撹乱が発生した場合に,その事象に対して,そこ あっても,機能に着目してモデル化を行っているため, に従事する人が“うまく立ち回る”(レジリエンス行動 コンポーネントの役割について理解しやすいといった - 177 - 側面がある. また,機能モデルには (1) 役割や目的をシステム挙動と関連づけられる, (2) 因果関係が表現されている, (3) 階層的なモデル化能力, (4) 言語的表現が含まれる といった長所があると考えられている [9].長所(1)に より,機能情報を運転員に表示でき,長所(2)により, 因果関係の推論が行え,長所(3)により抽象化レベルを 変化させた情報生成が可能になる.また,長所(4)によ り機能モデルに基づいた推論結果の表示における意味 的なギャップが緩和できると考えられている [9] [10]. 本研究では機能モデリングの一つの手法である MFM [2] [3]を用い,システムをモデル化する. 3.2 Multilevel Flow Modeling MFM [2] [3]は機能モデリングの一手法であり,工学シ ステムを機能と目標の観点からモデル化する.MFM の特徴的な点は,質量,エネルギー,行動,情報のサ ブ流れ機構を表現するために,基本機能集合を用いて いる点である [2] [3].つまり,Fig. 1 のようなシンボ ルを用いてシステムを表現することが MFM の大きな 特徴である.システム,コンポーネントの役割は 「objective」,「threat」のシンボルにより表現される. 機能は,「Functions」で定義される機能の要素に分類さ れる.そして,それぞれの機能の要素の流れ構造にお ける関係は「influence」によって結合され,一種のグ ラフ表現により機能の流れを表す.そのグラフは 「function structure」で構造化され,エネルギーあるい Fig. 1 MFMで用いられるシンボル は質量の流れを表現する.機能の要素とobjective,threat や他の流れ構造の機能の要素の関係は「Means-end」, 「Control」らのシンボルによって表される. 3.3 影響波及ルール MFM モデルに基づいた因果推論においては,影響波 及ルールと呼ばれるルールが用いられる [11] [12].こ れは,あるシンボルの状態が変化した際に,そのシン ボルの上流,および下流につながれているシンボルに 及ぼす影響を記述するためのルールである.これを利 用することで,ある機器操作を実行して MFM モデル の対応するシンボルの状態が変化した際に他のシンボ ルにどのような影響を与えるか,どのように波及して いくかを知ることができる.本研究では各シンボルの 状態は,Table 1 に示す状態をとり得るとした.機能 (Functions)の状態は「high flow」,「low flow」,「normal」 などで表され,目標(objective)の達成度の状態は「true」, 「false」で表される.本研究ではZhang らの論文 [12] Table 1 それぞれのシンボルがとり得る状態 - 178 - Table 2 影響波及ルールの例 を参考に影響波及ルールをまとめた.Table 2 に影響波 及ルールの例を示す.たとえば,Table 2 の最上部のパ ターンでは,エネルギーや質量の供給量が増加する (sou1の状態がhigh output flow となる)と下流のエネ ルギーやエネルギーの移動量が増加する(tra1 の状態 がhigh flowになる)ことを表し,逆にエネルギーや質 量の供給量が減少する(sou1 の状態がlow output flow となる)と下流のエネルギーや質量の移動量は減少す る(tra1 の状態がlow flowになる)ことを表している. 4.対応手順の導出手法 4.1 加圧水型原子炉のMFM モデル 原子力発電プラントは大きく分けて沸騰水型原子炉 (Boiling Water Reactor: BWR),加圧水型原子炉 (Pressurized Water Reactor: PWR)の2種類がある.本 研究でモデル化の対象としている PWR では冷却材を 加圧して沸騰しない状態にして,原子炉の熱を冷却材 の温度の上昇で除去する方式を採用している.PWR の原子炉冷却系は1次系,タービン系は2次系と呼ば れる [13].原子炉容器内の燃料棒から発生した熱は 1 次系冷却材によって蒸気発生器に運搬される.蒸気発 生器で1次系冷却材から2次側系の水に伝熱されたの ち,1 次系冷却材は冷却水ポンプによって原子炉容器 に戻り再び加熱され循環する.蒸気発生器で熱を受け 取った2次系の水は蒸気に変化する.その蒸気がター ビンの羽根を回転させることで電力が生成される.タ ービンを回転させた蒸気は復水器によって水に戻され 給水ポンプによって蒸気発生器に送られる.そして蒸 気発生器で再び熱を受け取り循環する.Fig. 2 に今回 検討した設備の模式図を示す.これを MFM によりモ デル化するとFig. 3 のようになる. 4.2 想定する事故状況と設定されているアクシデ ントマネジメント 今回 PWR において想定する事故状況は次の 3 つとす る.すべての状況において Loss Of Coolant Accident (LOCA) が発生した場合を想定し,(A) Emergency Core Cooling System (ECCS)と主蒸気逃がし弁の起動に失敗 した場合,(B)予熱除去系を用いた再循環に失敗した場 合,(C)部分的な炉心損傷後格納容器内へのスプレイに 失敗した場合の3 つの状況 [4] を対象とした.これら の事故状況にはあらかじめ AM(アクシデントマネジ メント)として定められている対応操作がある.(A) の事故状況対して「タービンバイパス系の活用」,(B) の事故状況に対して「代替再循環」,(C)の事故状況 に対して「格納容器内注水」が定められている.アル ゴリズムを用いて導出した対応手順と設定されている AM を比較することで,提案するアルゴリズムの有効 性を検討した [1]. 4.3 導出した手順とAM との比較 提案したアルゴリズムを用いて導出した手順とあ らかじめAMとして定められている手順を比較すると Table 2 のようになった [1] [4].比較の結果,実際に定 められているAMと等価な手順が導出されていること が確認された.これにより,提案したアルゴリズムを 用いることで妥当な手順が導出されると考えられる. また提案したアルゴリズムによる手順導出ではAMで は考えられていない代替の手順も導出された.これら の手順は,事故収束にある程度の効果はあるが,AM を実行するよりは効果が小さいと考えられる. 5.導出した手順の評価項目 5.1影響と確率の観点から評価項目の分類 本研究では手順を評価するにあたり,リスクアセスメ ントの観点から評価項目を検討する.工学的リスクは 影響と確率の観点から考えられており,原子炉におけ る安全研究で用いられる確率論的リスク評価 (Probabilistic Risk Analysis: PRA)でも事象の期待頻度 と損害の大きさの積でリスクを表現している [14].導 出した手順を評価する際にも工学的リスクと同様に, 手順を実行することによる影響と手順完了の成功確率 の二つの軸から評価項目を考えることができると考え, Fig. 2 PWRの模式図 リスクアセスメントの観点から手順の評価項目を検討 することとした. 5.2リスクアセスメントの観点から評価項目の分類 - 179 - 導出した対応手順の評価項目をFig.4のようにまとめ た.まず,手順実行における影響について検討する. 導出された手順は発生した事象への対応目標の達成, すなわち,MFM モデル内のある目標の達成を実現す るための手順である.よってこの手順実行における影 響とは設定された目標達成の度合いと考えられる.ま た,手順を実行することで環境への悪影響を与える, すなわち,放射性物質を放出する場合があるため,放 射性物質の放出量もここでいう影響に含まれる. 次に手順完了の成功率について検討する.PRAを用い る際には,機器の故障率や人間のエラーが考慮される [14].この観点から手順についても,手順実行に関わ Table 2 導出された手順とAM の比較表 事故状況 導出された手順 AMs A a 1. MSIVを開く 2. TBVを開く 1. MSIVを開く 2. TBVを開く b 1. 加圧器逃し弁を開く B a 1. MSIVを開く 2. TBVを開く b 1. 連結間電動弁を開く 2. 余熱除去系電動弁を開く 1. 連結間電動弁を開く 2. 余熱除去系電動弁を開く c 1. 加圧器逃がし弁を開く d 1. 主蒸気逃がし弁を開く C a 1. 加圧器逃がし弁を開く b 1. 主蒸気逃がし弁を開く c 1. MSIVを開く 2. TBVを開く d 1. 余熱除去系電動弁を開く e 1. 消火水系電動弁を開く 2. 内部スプレイ系電動弁を開く 1. 消火水系電動弁を開く 2. 内部スプレイ系電動弁を開く Fig. 3 PWRのMFM モデル - 180 - 人や環境への影響 に関する評価項目 放射性物質の放出量 影響に関する 評価項目 対象物への影響 目標達成に対する に関する評価項目 効果の大きさ 人的資源 手順完了時間 人間の信頼性に 関する評価項目 慣れ 確率に関する 評価項目 複雑さ 設備資源 設備の信頼性に 関する評価項目 手順の成功確率 Fig. 4 評価項目の分類 手順の評価項目 る設備の信頼性と,手順を実行する人間の信頼性を考 慮すべきだと考えられる.これより,手順評価の際に は,設備の信頼性として,手順の成功確率を評価項目 として取り入れるべきだと考えられる.手順を実行す る人間の信頼性に関して,PRA では人間信頼性解析 (Human Reliability Analysis: HRA) [14]という手法が 用いられており,その中で人間の行動の良さに影響を 与える要因として性能形成因子(Performance Shaping Factor: PSF)が考慮されている.その因子には時間の圧 力,作業負荷,訓練の程度,手順の適切さ,タスクの 複雑さ,組織の文化などがある.時間の圧力という因 子から「手順の完了時間」,作業負荷という因子から「人 的資源」,訓練の程度という因子から「慣れ」,タスク の複雑さという因子から「複雑さ」の項目が手順の評 価項目として挙げられる. 6.結言 これまで,運転員の臨機応変な対応をサポートするた めの,機能モデルに基づいた緊急時対応手順の生成シ ステムを開発することを目的として,緊急時対応手順 導出アルゴリズムを提案し,その有効性を手順導出例 題により確認した.提案のアルゴリズムでは,一つの 緊急事象に対して,収束の可能性のある複数の手順が 導出される. 本研究では導出された手順の優先順位を決めるために, 手順を評価するための項目を検討した.リスクアセス メントの観点から手順を評価する項目を洗い出したと ころ,効果の大きさ,手順完了時間,環境への悪影響 等が評価項目として挙げられた. 今後はこれらの評価項目を用いた手順評価方法を検討 する.また,緊急時の運転支援情報の表示インターフ ェイスを検討することが必要である. 参考文献 [1] T. Inoue, A. Gofuku , T. Sugihara, “A technique to generate plausible operating procedure for an emergency situation based on a functional model,” International Symposium on Socially and Technically Symbiotic Systems 2015 and International Symposium on Symbiotic Nuclear Power System 2015 (STSS/ISSNP2015), (CD-ROM), 2015. [2] M. LIND, An introduction to multilevel flow modeling, Nuclear Safety and Simulation, Vol. 2, 2011, pp.1-11. [3] M. LIND, An overview of Multilevel Flow Modeling, Nuclear Safety and Simulation , Vol. 4, 2013, pp.186-191. [4] 日本原子力発電株式会社, “発電用原子炉施設の 安全性に関する総合的評価(いわゆるストレステ スト)一次評価に係る報告書(日本原子力発電株 式会社敦賀発電所2号機),” 19 4 2012. Available: http://warp.da.ndl.go.jp/info:ndljp/pid/3491887/www. meti.go.jp/press/2012/04/20120419002/20120419002. html. [アクセス日: 8 6 2016]. [5] 一般社団法人 日本原子力学会; 東京電力福島第 一原子力発電事故に関する調査委員会;, 福島第 一原子力発電所事故 その全貌と明日に向けた 提言 -学会事故調 最終報告書-, 丸善出版, 2014. [6] 公益財団法人 原子力安全技術センター, “原子 力 防 災 基 礎 用 語 集 , ” 5 2012. Available: http://www.bousai.ne.jp/vis/bousai_kensyu/glossary/. [7] 小松原明哲, “レジリエンス・エンジニアリング の概念とその展開,” ヒューマンインターフェイ ス学会誌,Vol. 14, No. 2, 2012, pp.83-88. [8] 北村正晴, “レジリエンスエンジニアリングが目 指す暗線Safety-IIとその実現法,” 電子情報通信 学会 基礎・境界ソサイエティ Fundamentals Review, Vol. 8, No.2, 2014, pp.84-95. [9] 五福明夫, “マンマシンシステムの機能と構造モ デリング,” 人工知能学会誌, Vol.13, No.3, 1998, pp.347-355. [10] 五福明夫, “工学システムの機能モデルからの挙 動の導出,” 人工知能学会, Vol. 11, No. 1, 1996, pp.122-120. [11] 五福明夫, 足立和寛 , 田中豊, “機能と挙動に基 づく緊急時対応操作候補の導出,” システム制御 情報学会論文誌, Vol. 11, No. 8, 1992, pp.458-465. [12] X. Zhang, M. LIND , O. Ravn, “Consequence Reasoning in Multilevel Flow Modeling,” Analysis, Design, and Evaluation of Human-machine Systems, Vol. 12, No. 1, 2013, pp.187-194. [13] 二見常夫, 原子力発電所の事故 トラブル 分析 と教訓, 丸善出版, 2012. [14] 吉川榮和, 新リスク学ハンドブック 現代産業技 術のリスクアセスメントと安心・安全の確保, 三 松株式会社, 2009. - 181 -“ “プラント緊急時における対応手順の評価項目に関する検討“ “井上 貴久,Takahisa INOUE,五福 明夫,Akio GOFUKU