原子力プラントにおけるレジリエンス評価法の開発 (その4:システム安全の考え方)
公開日:
カテゴリ: 第13回
1.はじめに
わが国でも、様々な自然災害の脅威がある。 2007年7月16日、新潟県中越沖地震が発生し、東京電力柏崎刈羽原子力発電所が被災した。変圧器火災の映像のセンセーショナルな印象や原発震災という見出しなどにより、地震に対する原子力発電所の安全性について国民の間に不安感が広がったが、柏崎刈羽原子力発電所は、その後の調査も含めて、全号機とも安全に停止し、原子力安全に関する特段の問題は生じなかったことが明らかとなっている。 一方、2011 年3 月11日に発生したマグニチュード9の東北地方太平洋沖地震によって発生した巨大津波が太平洋沿岸の5ヶ所の原子力発電所を襲い、東京電力福島第 一原子力発電所では、大量の放射性物質を放出する未曾有の大事故(過酷事故)を引き起こす事態となった。 社会は原子力が持つリスクがどのように顕在化するのかを経験することとなった。地震はその振動伝播による 災害のみならず、地震の随伴事象である津波や、山崩れなども重大な災害をもたらすことがわかったのである。 この新たな経験は、自然災害によるリスクへの取り組みを考えさせるものであった。 福島第一原子力発電所の事故は、原子力の利用はリスクを伴うものであることを明瞭に示した。自然の脅威が原子力発電所を原子力事故にまで進展させることを如何に防ぐか、また様々な自然現象による原子力事故への進展を如何に防ぐか、が重要な課題となっている。
2.「深層防護」による安全確保
2.1 「深層防護」の位置づけ 労働安全との境界も曖昧になり、自然災害への対応も 重要な課題に加わり、安全対策が複雑になってきた原子 力発電所では、発電所全体のシステムとしての「原子力 連絡先:宮野 廣、〒102-8160 東京都千代田区富士見 2-17-1、法政大学大学院デザイン工学研究科、 安全」の確保を考えなければならない。独立した多重性 を持つ概念が「深層防護」の概念である[1]。 E-mail:hiroshi.miyano.77@hosei.gmail.com - 60 - 人、それぞれが様々な対応により身を守る「防災」の対 「深層防護」は、「原子力安全」の最も重要で基本的な 考え方、あるいは概念であると、世界各国の共通認識と 応を加えて、これらの様々な視点での対応策で成り立つ して認められている。その考え方は,安全の確保に有効 のが「深層防護」という原子力における安全確保の仕組 で現実的なさまざまな方策とそれらの適切な組み合わせ みである。 を示唆するものである。これまでも将来も、その意義と 2.4 実効性の確保 役割は変わらないであろう。「深層防護」とリスク評価と 自然現象に対する防護レベル設定とこれに基づく安全 があいまって有益な安全確保に係る洞察が得られる。「深 対策の実施には、いくつかの困難さが伴っている。設計 層防護」は、原子力安全において公衆と環境を防護する 基準を超えて、事故に至るような異常事態への対応、す ための有益な概念であり、方法である[2]。 なわちアクシデントマネジメント(AM と言う)の領域 2.2 原子力利用における安全確保 に至ったとして起りうるシナリオを全て網羅しておくこ 原子力においての安全確保の基本は、本来、危険な存 とは困難である。例えば、可搬式設備などで柔軟性、融 在である放射性物質を大量に内在するものであり、それ 通性をもった対応も効果があると考えられるが、一方で を放出し、環境や直接、人への影響を与え得るリスクを 多様なアクシデントマネジメント策(AM 策)を進める いかに低減するかということである。 ために、組織と人間に対応する能力と責任感、適切な判 多くの設備、システムにおいては、その設計において、 断力、統率力などが必要となる。 設備の損傷や破壊を防ぐことはもちろん、使う人、周囲 シビアアクシデントが実際に起こっている状態での の人に危害を及ぼさないように十分な配慮がなされ、品 AM 策の実施には、多くの実施上の困難さが伴うことも 質管理などを含めて、設計条件を厳しく与えることで、 明らかである。例えば、高い放射線環境での様々な作業 多くの場合は「原子力安全」の確保が実現されている。 には時間的空間的制限があり、運転員には制御室での居 原子力発電設備の設計と建設、日常の運用管理において、 住性にも大きな制約がもたらされる。さらに AM 策とし 以下のように安全確保がなされてきた。 て用意されていたものの中には、ある事故条件下で必ず 2.3 設計条件を超える事態への対応 しも容易に実施できるものではない。 深層防護の本質は、想定を超えた場合の対応を含めて 「深層防護」が原子力安全の原則であるためには、オ 考えることにある。東北地方太平洋沖地震での想定を大 ンサイト、オフサイトを含めた多重、多様の安全確保が 幅に超える津波の到来への対応がまさに、この想定外へ なされることに加え、AM策や防災対応の実効性を確保 の対応の不十分さが重大な事故をもたらすということを するための訓練や演習、およびそれらの不断の見直し等 示したものであった。すなわち、深層防護は、設計で考 の多くの因子を有機的に結び付けることが必要である。 えてきたこと、設計の想定範囲、設計条件の範囲を超え る事態への対応という観点で、最終的に守らなければな 3.システム設計における「原子力安全」 らない安全確保の目的、原子力事故を未然に防ぐという 3.1 設計における深層防護の取り込み 視点での安全を確実にする、最も重要な考え方であるこ 原子力発電システムは、一般の製品と同様に仕様書の とを示した。これは特別に原子力設備に限ったものでは 要求に基づき設計され、建設、運用に供せられる。その なく、他にも通用できる安全確保の考え方である。 信頼性、安全性は、理論や法令、規制基準に基づき確保 これまでの設計で考えてきた想定、設計条件での安全 される。その基盤となる考え方は、「原子力安全」を確保 確保を確実に行うことに加え、万一、設計条件を超える する思想であり、「深層防護」によるその確保の方法であ 事態に対しての、安全確保策を施すことで、原子力事故 る。このような仕組みであることを認識して、各組織は に至る可能性を小さくしようとするものである。 それぞれの役割を果たさなければならない。設計とは、 このように、人や環境に放射線の影響を与えるという その時点で想定される運用に適切に適用するためのもの 事態に至ると考えられるような原子力施設の事態を、設 であり、使用中の原子力施設の安全を担保するものであ 計での確実な対応により排除すること、さらに設計を超 り、要求仕様に基づき要求性能を満足し、「原子力安全」 えて起きるような場合においても、適切な対応によって が確保されるように、設備の健全性を確認するための解 原子力事故となる可能性を小さくすること、また、それ 析評価などを行い確認することである。それにより設備 でも原子力事故に至った場合には、影響を受ける地域の を製造、建設し、また運転、保守を行うための計画を立 - 61 - 能、サポート系の機能に対してもフロント系と同様に十 案し、全体を整合させて図面や手順書などとして設計図 書に集約する。 分な対応が必要である。 3.2 設計基準と設計の基本的考え方 原子力発電所の安全設計は、システム設計に活かされ、 設備としての原子力発電所の設計において、安全設計 安全設計で要求したシステムの機能を満足する設計が行 はシステム設計の一環として炉心設計と合わせて行われ われなければならない。システム設計には、機器設計や る。「深層防護」の考え方を適用し、防護レベル全体を通 配管設計、計装制御・電気設計などが含まれ、すべての して原子力安全確保を図る設計への取り組み全体を整合 機器類が統括される。システム設計において、異常時、 させて考えるのが「安全設計」であり、それを受けてプ 事故時の安全確保に電源や電気系統まで、さらに総合し ラントの設備を論理的に構築するのが設備設計である。 た評価に取り組むことが重要である。 これまでの設計は、安全設計は、「深層防護」の主に第 3 このような安全に対する取り組みは常に見直し、確実 層までを中心に安全確保の仕組みを検討してきており、 に対応しなければならない。 「設計基準」を定める設計基準事象が重要な位置づけを 安全設計は、「深層防護」の第1層から第3 層までの設 もっていた。設備設計は、深層防護の第 1 層から第 3 層 備設計はもちろん、第 4 層、第 5 層などを含めた取り組 を対象とし、この中で適切な仕様の設備を備えることで みでなければならない。その上で、必要な機能を評価す 安全設計の要求を満たすプラントシステムを構築し、構 るこの“システム安全”の考え方を安全評価に導入する 造を作りあげることである。これにより原子力安全を確 ことにも取り組まなければならない。「深層防護」の思想 実に維持することを目指してきた。Table 1 には原子力安 を徹底させ、安全設計が「深層防護」全体を整合させる 全を確保する重要な機能、すなわちフロント系の機能、 ものであり、このシリーズ論文で提案するように、その バウンダリ機能(閉じ込める)、冷却機能(冷やす)、制御 ための仕組みを構築し、確実に実行される取り組みとす 機能(止める)と、その他のサポート系の機能とそれを構成 ることが求められる。 するシステム・機器の例を、安全(PS),保全(MS)の 3.4 AM策の役割 重要度分類と合わせて示す。 設計基準事象としてはLOCAなどの内部事象を中心に、 さまざまな事象、特に外的事象としての自然現象への 設備を厚くすることで確実に安全を確保することを目指 対応について、これまでは一般論として定まった考え方 した設計が進められてきた。 はない。地震動に対しての設備設計を見てみると、学術 自然現象は必ずリスクを伴うものであり、正確な評価 における様々な考え方を基準に、包括的な対応として、 は難しいが、自然現象をよく把握し原子力災害のリスク 地震動の大きさを定め設備の健全性を評価する方法を定 評価に十分に対応しなければならない。地震動に対して めている。設計に用いる基準は以下のように考えられて は残余のリスク評価に取り組み始めたが、他の事象に対 きた。自然現象の脅威を過去のデータを基に科学的に想 しても同様に、リスク評価に取り組まなければならない。 定される範囲で保守的に扱い、不確実性を考慮して基準 安全確保をより確実にするには、設計基準は超えるも を超える事態にも構造健全性が確保されるように、設計 のとして取り組まなければならない。 基準を定量的に定めてきた。この基準を基に、十分に余 すなわち、基準を超えてしまった場合への対応として、 裕をもった設計が行われ、この設計に基づき、製造、建 「深層防護」の考え方が適用される。それがアクシデン 設が行われてきた。同様に、他の自然現象、例えば竜巻、 トマネジメント(AM)策である。AM領域においても、 火山の爆発、隕石の落下などの脅威についても、このよ 設計基準を超える事態を想定し、多様性、独立性を考慮 うなデータに基づく評価および物理理論に基づく評価を した設計により設備を備えることで、AM策として有効 元にした設計を行わなければならない。 に使える設備が準備される。特に、事故時のアクシデン 3..3 安全設計の役割 トマネジメントでは、異常時には日ごろ使わない設備を 従来の原子力発電所の設計においては、「深層防護」の 用いる場合が多く、さまざまな事態を想定して、演習や 第 3 層までにおいて、まず“止める”、“冷やす”、“閉じ 訓練を徹底しなければならない。 込める”のフロント系を確実にすることが主要な考え方 であった。しかし、一方重要なことは、「電源」の喪失と 4.システム安全の実装 いう事態への対応であり、このような事態を左右する機 4.1 「原子力安全」に必要な機能と構成する系統 - 62 - 見直すことではなく、構造健全性に影響する振動応答と Table 1には、原子力発電所に必要な重要な機能とそれ を構成する構築物、系統、機器を示した。設計に求めら はなにかを議論し、適切な評価法を検討すべきであろう。 れる基本的な要素は、バウンダリ機能、冷却機能、制御 また、津波に対しても基準津波を設定するが、この場 機能であり、その他に挙げた電源供給機能と合わせて原 合は津波の計測点から発電所に到達するまで少ないもの 子力発電所に基本として必要な重要な要素である。原子 の時間があることから、基準を超えた津波の大きさによ 力発電所の設計は、これらの機能が適正に結びつき維持 り、対応策の準備、始動を変えることができる。 されることで成り立っている。それがシステム設計であ 従って、「いつ設計基準を超えた」、また「どの程度、 る。それにより設計基準内のどのような事象に対しても、 超えているのか」を捉え、対応の判断を行う基準を定め 設備の健全性、安全性が確保されることが担保される。 なければならない。それがアクシデントマネジメント これがシステム安全の基本的な考え方である。 (AM)策を実行する上では重要な判断となる。 一方、設計基準事象を超える場合の対応は、事象、事 2)“想定を超える”事態への対応 態により対応が異なることから、このレベルではシナリ これほど大きな津波が来襲するとは、「想定外」であっ オが重要となる。想定外への対応には、いかに多くのシ たと言われる。それに対して、原子力安全では「想定外」 ナリオを想定し、それぞれに対応できる方策を準備する は許されないと言われる。1000 年に一度程度の大きな津 ことが必要となる。その上で、設備や手順を標準化して 波の予測は容易ではない。耐津波設計は、耐震設計と同 規格化して行くことで、より系統的な対応が取れる仕組 様に地殻の動きから、波の発生、伝搬、遡上、浸水等と みが構築される。 様々な現象を評価した後の、建屋、設備の構造設計や電 4.2 事故に備える論点 気計装設計の複合である。津波の大きさのシミュレーシ 1)“設計基準を超える”ことの判断 ョンは様々に行われ、様々な推定がなされている。基準 地震動での構造健全性が論点となっている。すなわち、 津波を設定したとしても、基準値を超える津波は来ない 地震動の大きさがわずかに基準値を超えることの意味で だろうが、超えないとは保証はできない。程度は異なる ある。例えば地震動の周波数帯域のある部分で基準を超 が、地震動と同様、超えることを想定した対応が求めら える場合や、振動波形そのものが一瞬越える場合などが れる。様々な自然災害に対して、想像力を豊かな対応が あるが、それらがプラントの安全性や構造健全性を脅か 求められる。 すものと認識されていることである。中越沖地震での柏 しかし、「深層防護」としての想定外への対応、設計基 崎刈羽原子力発電所の地震動が基準地震動に対して 3 倍 準を超えることへの対応は、実施できるが、例えば不確 を超すプラントもあったが、設備の健全性は十分に保た 実性の大きな新たな自然災害への脅威に対して、対策が れていることが確認された。地震動に対する構造設計に 必要と言えるか、またそれを受け入れられるのか、難し は大きな余裕があることが認識された。その後、全国の い課題である。常に、新たなハザードがないか、また対 原子力発電所においては、基準地震動の見直しがなされ、 応策が適切かの、問いかけ、見直しを継続させることが 基準地震動は厳しく設定されたものの、まだ余裕がある 重要である。 ことが確認されている。これは単純に構造上の健全性の 余裕が評価されたものであるが、機能上の余裕はさらに 大きなものがあると推察される。 5.レジリエンスまで考えたシステム設計 “設計基準を超える”意味を考え直さなければならな 5.1 レジリエンスの基本概念 い。すなわち、今回の東北地方太平洋沖地震でも、東日 レジリエンスについて、シビアアクシデント(事故) 本太平洋岸にある多くの原子力発電所では基準地震動を の進展と安全に求められる機能が低下し、AM 策により わずかだが超える地震動加速度が観測された。プラント 回復する関係をFig.1に概念で示した。様々な事態を想定 の状態を表す観測データに表れるような影響はなく、こ した対応策、機能の回復策、確保策を事前に考え、準備 れまでの解析評価や他のプラントの実績からも地震時の しておく。評価する指標は安全機能のレベルで表される 健全性は確保されたと原子力規制委員会の報告書でも評 この対応策が、プラントのフェーズに応じた「深層防護」 価されている。したがって、基準地震動を超える事態に で分担されるのである。 対しては、これまでのように単に加速度応答の基準値を - 63 - レジリエンスの基本概念は、「深層防護」の通常時の「備 え」から「予防措置」、「状態把握」、「AM・回復」、「新 たな平衡状態の維持」まで広く機能を維持する策が対応 するが、その結果がレジリエンスの指標として必要な機 能が維持されるレベルとして、どれくらいの能力を持つ のかが表わされる。異常の発生から始まり、事故の発生 に至るのか否か、さらに事故の発生となった場合での事 故への対応、その結果としてどの安全レベルまで回復す るのかを評価して、様々な事故への対応などの手段の持 つ能力を総合して、プラントの持つレジリエンス能力を 指標するものである。 5.2 従来の設計の概念を超えるシステム安全 これまでの設計は、安全設計により設備に求められる 仕様を決めて、設計基準を担保することを確実に行うこ とで、原子力安全を確保すればよいとの考えが主であっ た。このような設計には重大な限界がある。 これからの設計は、通常運転、異常の検知、異常への 対応、設計基準を超える事態への対応、緊急時の対応(防 災)の「深層防護」の第 1 層から第 5 層までの各層を通 して整合した安全設計が求められ、共通する評価指標を 定めてシステム全体として最適化を目指した設計が求め られる。これがシステム安全である。さらに、事故後の 対応、復帰、復興までも視野に入れた安全確保の体系が 必要となろう。この復帰、復興までの全体を、事故に至 る事故要因の発生を含めて事前に考えるのが、原子力安 全におけるレジリエンスの基本概念[3]である。これを新 たな設計として提案する。 設備設計はマネジメントの領域まで踏み込んだ対応が 求められ、またマネジメントは設備設計、防災の領域ま で踏み込んで検討することが求められる。プラントの安 全確保は設備設計だけでは十分に対応はできない。設計、 AM策、防災の尺度の異なる領域に渡る、機能を中心と した新たな原子力安全確保の概念を構築する必要がある。 設計は重要な役割を担っている。「原子力安全」を確実 に維持するには、基本的には「深層防護」の概念に従っ た安全設計に基づくものとしなければならない。設計は、 IAEAの「深層防護」の第1 層-第5層の異なる次元への 対応を整合させて最適化するものであり、第 1 層-第 3 層の設備設計主体の領域と第 4 層、第 5 層のマネジメン ト主体の領域の相互連携が重要である。プラント全体を 求められる機能で結合させたシステムとして、安全確保 の仕組みとしなければならない。 運転時 耐性が異なる Fig1. Concept of Resilience for Nuclear Plant Safety Design 6.おわりに 原子力発電システムの設計においては、地盤・建屋・ 機器・配管・電気・計装などのシステム全体を考えた整 合化を図るトータルシステムとすること、通常運転から 事故・緊急時の対応まで考慮した仕組みとしてのトータ ルプロセスの視点、「深層防護」の全領域を考えたマネジ メント、ハードとソフトの最適化を図るトータルマネジ メントとする、これらを統合した総合的、俯瞰的な取り 組みであるトータルデザインとしなければならない。 保全において、このようなレジリエンスの指標を用 いることで、プラントのシステムとしての安全能力が施 される保全により、またAM策により安全性がどの程度 改善されるのか、どの手段を選択するのが良いのか、な どの判断に用いることができる。 参考文献 [1] 原子力安全のための耐津波工学の体系化に関する調査委員 会:「原子力安全のための耐津波工学-地震・津波防御の総 合技術体系を目指してー」日本地震工学会、原子力学会 (2015年4月). [2] 日本原子力学会(2014):福島第一原子力発電所事故 その 全貌と明日に向けた提言、 学会事故調 報告書、丸善出版(2014年3月). [3] N.Sekimura、H.Miyano、T.Itoi,Resilience:Engineering:New Discipline for Enhancement of Nuclear Safety: Short Paper of ICMST-Kobe 2014(2014-11)pp.85-90. [4] 宮野 廣ほか、“原子力プラントにおけるレジリエン ス評価法の開発”、保全学、7 月号2016、 - 64 - 過酷事故での評価 設計時 機能レベル ハザード発生a.速い時間で、元の状態までの機能回復がある 要求される b.元の状態までの機能回復がある 機能 c.安全レベルまでの 必要回復制限時間 機能回復がある 安全確保に 必要な機能 d.機能回復がない 時間“ “原子力プラントにおけるレジリエンス評価法の開発 (その4:システム安全の考え方) “ “宮野 廣,Hiroshi MIYANO,出町 和之,Kazuyuki DEMACHI,鈴木 正昭,Masaaki SUZUKI,中村 隆夫,Takao NAKAMURA,釜谷 昌幸,Masayuki KAMAYA
わが国でも、様々な自然災害の脅威がある。 2007年7月16日、新潟県中越沖地震が発生し、東京電力柏崎刈羽原子力発電所が被災した。変圧器火災の映像のセンセーショナルな印象や原発震災という見出しなどにより、地震に対する原子力発電所の安全性について国民の間に不安感が広がったが、柏崎刈羽原子力発電所は、その後の調査も含めて、全号機とも安全に停止し、原子力安全に関する特段の問題は生じなかったことが明らかとなっている。 一方、2011 年3 月11日に発生したマグニチュード9の東北地方太平洋沖地震によって発生した巨大津波が太平洋沿岸の5ヶ所の原子力発電所を襲い、東京電力福島第 一原子力発電所では、大量の放射性物質を放出する未曾有の大事故(過酷事故)を引き起こす事態となった。 社会は原子力が持つリスクがどのように顕在化するのかを経験することとなった。地震はその振動伝播による 災害のみならず、地震の随伴事象である津波や、山崩れなども重大な災害をもたらすことがわかったのである。 この新たな経験は、自然災害によるリスクへの取り組みを考えさせるものであった。 福島第一原子力発電所の事故は、原子力の利用はリスクを伴うものであることを明瞭に示した。自然の脅威が原子力発電所を原子力事故にまで進展させることを如何に防ぐか、また様々な自然現象による原子力事故への進展を如何に防ぐか、が重要な課題となっている。
2.「深層防護」による安全確保
2.1 「深層防護」の位置づけ 労働安全との境界も曖昧になり、自然災害への対応も 重要な課題に加わり、安全対策が複雑になってきた原子 力発電所では、発電所全体のシステムとしての「原子力 連絡先:宮野 廣、〒102-8160 東京都千代田区富士見 2-17-1、法政大学大学院デザイン工学研究科、 安全」の確保を考えなければならない。独立した多重性 を持つ概念が「深層防護」の概念である[1]。 E-mail:hiroshi.miyano.77@hosei.gmail.com - 60 - 人、それぞれが様々な対応により身を守る「防災」の対 「深層防護」は、「原子力安全」の最も重要で基本的な 考え方、あるいは概念であると、世界各国の共通認識と 応を加えて、これらの様々な視点での対応策で成り立つ して認められている。その考え方は,安全の確保に有効 のが「深層防護」という原子力における安全確保の仕組 で現実的なさまざまな方策とそれらの適切な組み合わせ みである。 を示唆するものである。これまでも将来も、その意義と 2.4 実効性の確保 役割は変わらないであろう。「深層防護」とリスク評価と 自然現象に対する防護レベル設定とこれに基づく安全 があいまって有益な安全確保に係る洞察が得られる。「深 対策の実施には、いくつかの困難さが伴っている。設計 層防護」は、原子力安全において公衆と環境を防護する 基準を超えて、事故に至るような異常事態への対応、す ための有益な概念であり、方法である[2]。 なわちアクシデントマネジメント(AM と言う)の領域 2.2 原子力利用における安全確保 に至ったとして起りうるシナリオを全て網羅しておくこ 原子力においての安全確保の基本は、本来、危険な存 とは困難である。例えば、可搬式設備などで柔軟性、融 在である放射性物質を大量に内在するものであり、それ 通性をもった対応も効果があると考えられるが、一方で を放出し、環境や直接、人への影響を与え得るリスクを 多様なアクシデントマネジメント策(AM 策)を進める いかに低減するかということである。 ために、組織と人間に対応する能力と責任感、適切な判 多くの設備、システムにおいては、その設計において、 断力、統率力などが必要となる。 設備の損傷や破壊を防ぐことはもちろん、使う人、周囲 シビアアクシデントが実際に起こっている状態での の人に危害を及ぼさないように十分な配慮がなされ、品 AM 策の実施には、多くの実施上の困難さが伴うことも 質管理などを含めて、設計条件を厳しく与えることで、 明らかである。例えば、高い放射線環境での様々な作業 多くの場合は「原子力安全」の確保が実現されている。 には時間的空間的制限があり、運転員には制御室での居 原子力発電設備の設計と建設、日常の運用管理において、 住性にも大きな制約がもたらされる。さらに AM 策とし 以下のように安全確保がなされてきた。 て用意されていたものの中には、ある事故条件下で必ず 2.3 設計条件を超える事態への対応 しも容易に実施できるものではない。 深層防護の本質は、想定を超えた場合の対応を含めて 「深層防護」が原子力安全の原則であるためには、オ 考えることにある。東北地方太平洋沖地震での想定を大 ンサイト、オフサイトを含めた多重、多様の安全確保が 幅に超える津波の到来への対応がまさに、この想定外へ なされることに加え、AM策や防災対応の実効性を確保 の対応の不十分さが重大な事故をもたらすということを するための訓練や演習、およびそれらの不断の見直し等 示したものであった。すなわち、深層防護は、設計で考 の多くの因子を有機的に結び付けることが必要である。 えてきたこと、設計の想定範囲、設計条件の範囲を超え る事態への対応という観点で、最終的に守らなければな 3.システム設計における「原子力安全」 らない安全確保の目的、原子力事故を未然に防ぐという 3.1 設計における深層防護の取り込み 視点での安全を確実にする、最も重要な考え方であるこ 原子力発電システムは、一般の製品と同様に仕様書の とを示した。これは特別に原子力設備に限ったものでは 要求に基づき設計され、建設、運用に供せられる。その なく、他にも通用できる安全確保の考え方である。 信頼性、安全性は、理論や法令、規制基準に基づき確保 これまでの設計で考えてきた想定、設計条件での安全 される。その基盤となる考え方は、「原子力安全」を確保 確保を確実に行うことに加え、万一、設計条件を超える する思想であり、「深層防護」によるその確保の方法であ 事態に対しての、安全確保策を施すことで、原子力事故 る。このような仕組みであることを認識して、各組織は に至る可能性を小さくしようとするものである。 それぞれの役割を果たさなければならない。設計とは、 このように、人や環境に放射線の影響を与えるという その時点で想定される運用に適切に適用するためのもの 事態に至ると考えられるような原子力施設の事態を、設 であり、使用中の原子力施設の安全を担保するものであ 計での確実な対応により排除すること、さらに設計を超 り、要求仕様に基づき要求性能を満足し、「原子力安全」 えて起きるような場合においても、適切な対応によって が確保されるように、設備の健全性を確認するための解 原子力事故となる可能性を小さくすること、また、それ 析評価などを行い確認することである。それにより設備 でも原子力事故に至った場合には、影響を受ける地域の を製造、建設し、また運転、保守を行うための計画を立 - 61 - 能、サポート系の機能に対してもフロント系と同様に十 案し、全体を整合させて図面や手順書などとして設計図 書に集約する。 分な対応が必要である。 3.2 設計基準と設計の基本的考え方 原子力発電所の安全設計は、システム設計に活かされ、 設備としての原子力発電所の設計において、安全設計 安全設計で要求したシステムの機能を満足する設計が行 はシステム設計の一環として炉心設計と合わせて行われ われなければならない。システム設計には、機器設計や る。「深層防護」の考え方を適用し、防護レベル全体を通 配管設計、計装制御・電気設計などが含まれ、すべての して原子力安全確保を図る設計への取り組み全体を整合 機器類が統括される。システム設計において、異常時、 させて考えるのが「安全設計」であり、それを受けてプ 事故時の安全確保に電源や電気系統まで、さらに総合し ラントの設備を論理的に構築するのが設備設計である。 た評価に取り組むことが重要である。 これまでの設計は、安全設計は、「深層防護」の主に第 3 このような安全に対する取り組みは常に見直し、確実 層までを中心に安全確保の仕組みを検討してきており、 に対応しなければならない。 「設計基準」を定める設計基準事象が重要な位置づけを 安全設計は、「深層防護」の第1層から第3 層までの設 もっていた。設備設計は、深層防護の第 1 層から第 3 層 備設計はもちろん、第 4 層、第 5 層などを含めた取り組 を対象とし、この中で適切な仕様の設備を備えることで みでなければならない。その上で、必要な機能を評価す 安全設計の要求を満たすプラントシステムを構築し、構 るこの“システム安全”の考え方を安全評価に導入する 造を作りあげることである。これにより原子力安全を確 ことにも取り組まなければならない。「深層防護」の思想 実に維持することを目指してきた。Table 1 には原子力安 を徹底させ、安全設計が「深層防護」全体を整合させる 全を確保する重要な機能、すなわちフロント系の機能、 ものであり、このシリーズ論文で提案するように、その バウンダリ機能(閉じ込める)、冷却機能(冷やす)、制御 ための仕組みを構築し、確実に実行される取り組みとす 機能(止める)と、その他のサポート系の機能とそれを構成 ることが求められる。 するシステム・機器の例を、安全(PS),保全(MS)の 3.4 AM策の役割 重要度分類と合わせて示す。 設計基準事象としてはLOCAなどの内部事象を中心に、 さまざまな事象、特に外的事象としての自然現象への 設備を厚くすることで確実に安全を確保することを目指 対応について、これまでは一般論として定まった考え方 した設計が進められてきた。 はない。地震動に対しての設備設計を見てみると、学術 自然現象は必ずリスクを伴うものであり、正確な評価 における様々な考え方を基準に、包括的な対応として、 は難しいが、自然現象をよく把握し原子力災害のリスク 地震動の大きさを定め設備の健全性を評価する方法を定 評価に十分に対応しなければならない。地震動に対して めている。設計に用いる基準は以下のように考えられて は残余のリスク評価に取り組み始めたが、他の事象に対 きた。自然現象の脅威を過去のデータを基に科学的に想 しても同様に、リスク評価に取り組まなければならない。 定される範囲で保守的に扱い、不確実性を考慮して基準 安全確保をより確実にするには、設計基準は超えるも を超える事態にも構造健全性が確保されるように、設計 のとして取り組まなければならない。 基準を定量的に定めてきた。この基準を基に、十分に余 すなわち、基準を超えてしまった場合への対応として、 裕をもった設計が行われ、この設計に基づき、製造、建 「深層防護」の考え方が適用される。それがアクシデン 設が行われてきた。同様に、他の自然現象、例えば竜巻、 トマネジメント(AM)策である。AM領域においても、 火山の爆発、隕石の落下などの脅威についても、このよ 設計基準を超える事態を想定し、多様性、独立性を考慮 うなデータに基づく評価および物理理論に基づく評価を した設計により設備を備えることで、AM策として有効 元にした設計を行わなければならない。 に使える設備が準備される。特に、事故時のアクシデン 3..3 安全設計の役割 トマネジメントでは、異常時には日ごろ使わない設備を 従来の原子力発電所の設計においては、「深層防護」の 用いる場合が多く、さまざまな事態を想定して、演習や 第 3 層までにおいて、まず“止める”、“冷やす”、“閉じ 訓練を徹底しなければならない。 込める”のフロント系を確実にすることが主要な考え方 であった。しかし、一方重要なことは、「電源」の喪失と 4.システム安全の実装 いう事態への対応であり、このような事態を左右する機 4.1 「原子力安全」に必要な機能と構成する系統 - 62 - 見直すことではなく、構造健全性に影響する振動応答と Table 1には、原子力発電所に必要な重要な機能とそれ を構成する構築物、系統、機器を示した。設計に求めら はなにかを議論し、適切な評価法を検討すべきであろう。 れる基本的な要素は、バウンダリ機能、冷却機能、制御 また、津波に対しても基準津波を設定するが、この場 機能であり、その他に挙げた電源供給機能と合わせて原 合は津波の計測点から発電所に到達するまで少ないもの 子力発電所に基本として必要な重要な要素である。原子 の時間があることから、基準を超えた津波の大きさによ 力発電所の設計は、これらの機能が適正に結びつき維持 り、対応策の準備、始動を変えることができる。 されることで成り立っている。それがシステム設計であ 従って、「いつ設計基準を超えた」、また「どの程度、 る。それにより設計基準内のどのような事象に対しても、 超えているのか」を捉え、対応の判断を行う基準を定め 設備の健全性、安全性が確保されることが担保される。 なければならない。それがアクシデントマネジメント これがシステム安全の基本的な考え方である。 (AM)策を実行する上では重要な判断となる。 一方、設計基準事象を超える場合の対応は、事象、事 2)“想定を超える”事態への対応 態により対応が異なることから、このレベルではシナリ これほど大きな津波が来襲するとは、「想定外」であっ オが重要となる。想定外への対応には、いかに多くのシ たと言われる。それに対して、原子力安全では「想定外」 ナリオを想定し、それぞれに対応できる方策を準備する は許されないと言われる。1000 年に一度程度の大きな津 ことが必要となる。その上で、設備や手順を標準化して 波の予測は容易ではない。耐津波設計は、耐震設計と同 規格化して行くことで、より系統的な対応が取れる仕組 様に地殻の動きから、波の発生、伝搬、遡上、浸水等と みが構築される。 様々な現象を評価した後の、建屋、設備の構造設計や電 4.2 事故に備える論点 気計装設計の複合である。津波の大きさのシミュレーシ 1)“設計基準を超える”ことの判断 ョンは様々に行われ、様々な推定がなされている。基準 地震動での構造健全性が論点となっている。すなわち、 津波を設定したとしても、基準値を超える津波は来ない 地震動の大きさがわずかに基準値を超えることの意味で だろうが、超えないとは保証はできない。程度は異なる ある。例えば地震動の周波数帯域のある部分で基準を超 が、地震動と同様、超えることを想定した対応が求めら える場合や、振動波形そのものが一瞬越える場合などが れる。様々な自然災害に対して、想像力を豊かな対応が あるが、それらがプラントの安全性や構造健全性を脅か 求められる。 すものと認識されていることである。中越沖地震での柏 しかし、「深層防護」としての想定外への対応、設計基 崎刈羽原子力発電所の地震動が基準地震動に対して 3 倍 準を超えることへの対応は、実施できるが、例えば不確 を超すプラントもあったが、設備の健全性は十分に保た 実性の大きな新たな自然災害への脅威に対して、対策が れていることが確認された。地震動に対する構造設計に 必要と言えるか、またそれを受け入れられるのか、難し は大きな余裕があることが認識された。その後、全国の い課題である。常に、新たなハザードがないか、また対 原子力発電所においては、基準地震動の見直しがなされ、 応策が適切かの、問いかけ、見直しを継続させることが 基準地震動は厳しく設定されたものの、まだ余裕がある 重要である。 ことが確認されている。これは単純に構造上の健全性の 余裕が評価されたものであるが、機能上の余裕はさらに 大きなものがあると推察される。 5.レジリエンスまで考えたシステム設計 “設計基準を超える”意味を考え直さなければならな 5.1 レジリエンスの基本概念 い。すなわち、今回の東北地方太平洋沖地震でも、東日 レジリエンスについて、シビアアクシデント(事故) 本太平洋岸にある多くの原子力発電所では基準地震動を の進展と安全に求められる機能が低下し、AM 策により わずかだが超える地震動加速度が観測された。プラント 回復する関係をFig.1に概念で示した。様々な事態を想定 の状態を表す観測データに表れるような影響はなく、こ した対応策、機能の回復策、確保策を事前に考え、準備 れまでの解析評価や他のプラントの実績からも地震時の しておく。評価する指標は安全機能のレベルで表される 健全性は確保されたと原子力規制委員会の報告書でも評 この対応策が、プラントのフェーズに応じた「深層防護」 価されている。したがって、基準地震動を超える事態に で分担されるのである。 対しては、これまでのように単に加速度応答の基準値を - 63 - レジリエンスの基本概念は、「深層防護」の通常時の「備 え」から「予防措置」、「状態把握」、「AM・回復」、「新 たな平衡状態の維持」まで広く機能を維持する策が対応 するが、その結果がレジリエンスの指標として必要な機 能が維持されるレベルとして、どれくらいの能力を持つ のかが表わされる。異常の発生から始まり、事故の発生 に至るのか否か、さらに事故の発生となった場合での事 故への対応、その結果としてどの安全レベルまで回復す るのかを評価して、様々な事故への対応などの手段の持 つ能力を総合して、プラントの持つレジリエンス能力を 指標するものである。 5.2 従来の設計の概念を超えるシステム安全 これまでの設計は、安全設計により設備に求められる 仕様を決めて、設計基準を担保することを確実に行うこ とで、原子力安全を確保すればよいとの考えが主であっ た。このような設計には重大な限界がある。 これからの設計は、通常運転、異常の検知、異常への 対応、設計基準を超える事態への対応、緊急時の対応(防 災)の「深層防護」の第 1 層から第 5 層までの各層を通 して整合した安全設計が求められ、共通する評価指標を 定めてシステム全体として最適化を目指した設計が求め られる。これがシステム安全である。さらに、事故後の 対応、復帰、復興までも視野に入れた安全確保の体系が 必要となろう。この復帰、復興までの全体を、事故に至 る事故要因の発生を含めて事前に考えるのが、原子力安 全におけるレジリエンスの基本概念[3]である。これを新 たな設計として提案する。 設備設計はマネジメントの領域まで踏み込んだ対応が 求められ、またマネジメントは設備設計、防災の領域ま で踏み込んで検討することが求められる。プラントの安 全確保は設備設計だけでは十分に対応はできない。設計、 AM策、防災の尺度の異なる領域に渡る、機能を中心と した新たな原子力安全確保の概念を構築する必要がある。 設計は重要な役割を担っている。「原子力安全」を確実 に維持するには、基本的には「深層防護」の概念に従っ た安全設計に基づくものとしなければならない。設計は、 IAEAの「深層防護」の第1 層-第5層の異なる次元への 対応を整合させて最適化するものであり、第 1 層-第 3 層の設備設計主体の領域と第 4 層、第 5 層のマネジメン ト主体の領域の相互連携が重要である。プラント全体を 求められる機能で結合させたシステムとして、安全確保 の仕組みとしなければならない。 運転時 耐性が異なる Fig1. Concept of Resilience for Nuclear Plant Safety Design 6.おわりに 原子力発電システムの設計においては、地盤・建屋・ 機器・配管・電気・計装などのシステム全体を考えた整 合化を図るトータルシステムとすること、通常運転から 事故・緊急時の対応まで考慮した仕組みとしてのトータ ルプロセスの視点、「深層防護」の全領域を考えたマネジ メント、ハードとソフトの最適化を図るトータルマネジ メントとする、これらを統合した総合的、俯瞰的な取り 組みであるトータルデザインとしなければならない。 保全において、このようなレジリエンスの指標を用 いることで、プラントのシステムとしての安全能力が施 される保全により、またAM策により安全性がどの程度 改善されるのか、どの手段を選択するのが良いのか、な どの判断に用いることができる。 参考文献 [1] 原子力安全のための耐津波工学の体系化に関する調査委員 会:「原子力安全のための耐津波工学-地震・津波防御の総 合技術体系を目指してー」日本地震工学会、原子力学会 (2015年4月). [2] 日本原子力学会(2014):福島第一原子力発電所事故 その 全貌と明日に向けた提言、 学会事故調 報告書、丸善出版(2014年3月). [3] N.Sekimura、H.Miyano、T.Itoi,Resilience:Engineering:New Discipline for Enhancement of Nuclear Safety: Short Paper of ICMST-Kobe 2014(2014-11)pp.85-90. [4] 宮野 廣ほか、“原子力プラントにおけるレジリエン ス評価法の開発”、保全学、7 月号2016、 - 64 - 過酷事故での評価 設計時 機能レベル ハザード発生a.速い時間で、元の状態までの機能回復がある 要求される b.元の状態までの機能回復がある 機能 c.安全レベルまでの 必要回復制限時間 機能回復がある 安全確保に 必要な機能 d.機能回復がない 時間“ “原子力プラントにおけるレジリエンス評価法の開発 (その4:システム安全の考え方) “ “宮野 廣,Hiroshi MIYANO,出町 和之,Kazuyuki DEMACHI,鈴木 正昭,Masaaki SUZUKI,中村 隆夫,Takao NAKAMURA,釜谷 昌幸,Masayuki KAMAYA