格納容器ベントにおけるSTAMP/STPAを用いた定性的システムリスク分析

廣川 直機; 山口 彰; 高田 孝; 張 承賢

doi:10.3327/taesj.J21.018

Abstract

Primary Containment Vessel (PCV) venting is one of the measures for mitigating severe accidents in a nuclear power plant. To prevent PCV failure, the PCV venting is conducted as judged by an authorized person in a plant when the plant reaches relevant severe accident conditions. From the viewpoint of public safety, the judgement should be performed with cooperation among relevant organizations such as the plant site, cabinet, regulator, and local government, considering the evacuation of residents. In this study, a system risk analysis is qualitatively performed to identify the hazard causal factors of PCV venting, focusing on interactions among systems including organizations using the System Theoretic Accident Model and Processes/System-Theoretic Process Analysis (STAMP/STPA), which assumes the accidents involve a complex and dynamic “process” and focuses on the interactions among humans, machines, and the environment. It is identified that STPA helps to find the broad interactions among organizations responsible for PCV venting, which has the potential to lead to an accident.

I. 緒言

1. 研究の背景と目的

福島第一原子力発電所の事故以降，国内の原子力発電所では深層防護の第4レベルに当たるシビアアクシデント（SA）の発生防止と影響緩和が拡充されてきている。また，第5レベルに当たる緊急時対応についてもハード，ソフト両面での整備が進められてきているものの，第4レベルと第5レベルを統合的に扱ったリスク対策の検討はこれまで十分になされていない。SA時の格納容器ベントは，外部への核分裂生成物（FP）の放出を伴うことになるため，公衆リスクの低減を検討する場合には，第4レベルと第5レベルとを統合的に扱ったリスク分析が必要である。

そのような目的に適うリスク分析手法としてSTAMP（System Theoretic Accident Model and Processes）¹^）モデルが提案されている。STAMPは，設備，人，組織，環境などの幅広い関係性から，システム全体でのハザード要因を分析する手法として，近年幅広い分野のリスク分析に適用されてきている。本研究では，STAMPモデルを用いて，格納容器ベント実施における組織間の関係性（相互作用）を考慮して，アクシデントに至るシナリオを論理的に分析することを目的とする。その際，深層防護の第4レベルと第5レベルに関わる原子力緊急時対応の体制，SA時の原子力発電所内の体制，原子炉施設の設備も含めた組織-人-設備を統合的に扱い，アクシデントにつながり得る原因を明らかにする。

2. STAMP/STPAの概要

STAMPは航空機，医療器具，自動車といった分野で，デジタル化の進展に伴い複雑化したシステム全体のリスク分析に適用されている²^～⁵^）。例えば，自動車の自動運転技術はその1つといえる。自動運転技術はドライバー（人）が行ってきた運転を，センサーやコンピュータが補助する，または完全に置き換わるもので，これまでよりも安全な交通運行が期待されている。一方で，コンピュータで制御される複雑なシステムは，これまで想定しなかった事故が，使用時に発生している。STAMPでは，こういった複雑化するシステムに対して，リスク分析を行う手法である。

これまでリスク分析に用いられている確率論的リスク評価（PRA）やハザード操作性解析（HAZOP）では，「事故はシステム構成要素の故障に起因する」⁶^）と仮定しており，個々の要素の信頼性（例：ポンプ起動失敗，運転員操作失敗など）に着目している。一方，STAMPでは，「事故はコントローラと被コントロールプロセスの相互作用が適切に機能しないことにより発生する」⁶^）と想定している。

Figure 1にSTAMPモデルの簡単な例を示す。コントローラは，安全のために必要な制御を行う要素であり，被コントロールプロセスをコントロールアクションにより制御する。コントローラ内にあるプロセスモデルは，コントローラが想定する被コントロールプロセスの状態を表す。コントローラが想定している被コントロールプロセスの状態が，実際の状態と一致している場合にはシステムは安全状態である。一方，フィードバックの誤りなどにより実際の状態と一致していない場合には，システムは非安全なコントロールアクションを発することにより，システムが非安全な状態となりアクシデントが発生する。このようなコントローラと被コントロールプロセスの関係性をSTAMPでは相互作用と呼んでいる。

Fig. 1

Simplified interaction model of STAMP¹^）

本研究においては，対象となるシステムのハザード分析を行うためのSTAMP/STPA（System-Theoretic Process Analysis）を用いる（以下，STPAと呼ぶ）。

主な分析手順は，次のとおりである。①アクシデントおよびハザードの定義（II-1節およびII-3節参照），②格納容器ベント実施時の関係者の相互関係図（コントロールストラクチャ）の作成（II-2節およびIII-1節参照），③コントロールストラクチャのアクションに着目し，ハザードに至る非安全なコントロールアクションの抽出（III-2節参照），④非安全なコントロールアクションが，ハザードに至る要因およびシナリオの抽出（III-3節参照），⑤それらシナリオの重要度分類および対策の検討（III-4節参照）。Fig. 2にSTPAの実施手順を，Table 1にSTPAでの主要な用語を示す。なお，本研究では，対策の検討は行わず，重要度分類までを分析対象とし，最後に本リスク分析結果を考察する（IV章参照）。

Fig. 2

Overview of STPA¹^）

Table 1 Key words used in STPA

STPA key words	Definition	日本語表記
Accident	Accident is an event leading to a loss involving something of value to stakeholders such as a loss of human life, human injury, property damage, environmental pollution.	アクシデント，事故
Actuator	Automated controllers provide control actions to actuators, which change the controlled process state.	アクチュエーター
Control Structure (CS)	CS is a system model composed of control loops as shown in Fig. 1. CS contains components and interactions (control action and feedback) among components.	相互関係図，コントロールストラクチャ
Hazard	Hazard is a system state or set of conditions potentially leading to an accident.	ハザード
Hazard Causal Factor (HCF)	HCF is a cause leading to an UCA and a hazard.	ハザード誘発要因
Hazard Scenario (HS)	HS means a scenario from a HCF to a hazard.	ハザードシナリオ
Interaction	Interaction consists of control action and feedback in control loop as shown in Fig. 1.	相互作用
Sensor	Sensors provide feedback about the current process state to controllers.	センサー
System	System is a set of components that act together as a whole to achieve some common goals or objectives.	システム
Unsafe Control Action (UCA)	UCA is a control action that, in a particular context and worst-case environment, will lead to a hazard.	非安全なコントロールアクション

3. 研究の新規性

本研究の目的は「公衆リスク低減検討のため，深層防護の第4レベルと第5レベルとを統合的に扱ったリスク分析の提案」であるが，ここでは本研究の新規性についてまとめる。

第5レベルにおける主なリスク低減策としては，住民避難等による放射線防護対策，その事前準備としての避難計画の策定・充実が挙げられており¹⁴^），第4レベルまでのハード中心の対策とは異なり，ソフトマネジメントが中心である。このソフトマネジメントの検証については主に訓練によって確認されており，大きなコストが必要なだけでなく，幅広いシナリオに対する確認も困難である。

一方，第5レベルに対する既存のリスク分析手法としてはレベル3PRAがあり，原子力発電所から放出されるソースタームおよび原子力防災を組み合わせて，公衆リスクがどの程度であるか評価可能である。これまでレベル3PRAは安全目標との比較に用いられている⁷^,⁸^）が，評価の不確実さが大きく，原子力防災へ直接的な適用まではされていない。また，レベル3PRAでは原子力防災の不適切な運用による公衆リスクへの影響を評価可能であるが，なぜその不適切な運用に至ったか，他にも不適切な運用がないかといった分析には適していない。したがって，様々な組織が関わる原子力防災のソフトマネジメントのリスク要因の網羅的な抽出にはSTPAが適している。

これまで原子力分野へのSTPAの適用はデジタル制御系のリスク分析⁹^）など限定的であったが，本研究ではこれまで検討が十分とはいえない第4レベルと第5レベルでのソフトマネジメントに対してSTPAにより統合的にリスク評価が可能であることを示した点について新規性があるものと考えられる。

II. 格納容器ベント実施判断のリスク分析対象

1. 対象とするアクシデント

STPAではアクシデントのことを損失につながる事象であるとしている。損失の例としては人命喪失，環境汚染，ミッション失敗，経済的損失などがある。発電用原子炉施設では，FPが環境中へ放出されて公衆の健康を害する恐れが生じた場合やそれ以上を「事故」と呼んでいる。また，新規制基準における安全目標の議論¹⁰^）ではこれに加えて，FPの大規模放出による環境汚染の観点が取り込まれている。

これらの考え方を参考に，本分析においては，「住民が健康を害するレベルで放射線に曝される」こと，「土壌汚染により長期的な移転を余儀なくされる」ことをアクシデントとして定義する。なお，本分析では2つのアクシデントの包含関係として，前者は健康影響だけでなく土壌汚染も含むものとし，後者は土壌汚染のみで健康影響はないものとして扱う。

2. 対象とするシステム

次にSTPAでは分析対象とするハザードを定義するが，ハザードを定義する前に，アクシデント発生防止のため，コントロールすべき対象システムを明確にする。

II-1節で定義したアクシデントの原因は，原子力発電所から外部へのFP放出であることから，Fig. 3に示すFPを内蔵するプラント（格納容器ベント設備を含む）¹¹^,¹²^）およびSA時における発電所内体制¹³^）をシステムに含める。また，住民の健康影響は避難状況に依存するため，住民の避難に関わる防災体制¹⁴^,¹⁵^）もシステムに含める。なお，アクシデントは天候（風向，降雨など）にも依存するが，天候はコントロール範囲外であるとしてシステムの対象外とした。

Fig. 3

Overview of PCV vent system¹^）

3. 対象とするハザード

STPAではハザードのことを「アクシデントが潜在しているシステムの具体的な状態」であるとしている。上記II-1節，II-2節で定義したアクシデントとシステムの関連を考慮し，FP放出状態および住民避難状況の程度をハザードとして定義した。

FP放出状態については，「格納容器破損を想定した大規模なFP放出」および「フィルタを介さない格納容器ベントを想定した中規模なFP放出（サプレッションプールによるスクラビング効果には期待）」の2つを考慮する。なお，フィルタベント，設計漏えいなどの小規模なFP放出については，アクシデント（住民への健康影響または土壌汚染）には至らないものとして対象外とする。次に，住民避難状況については，避難が未完了の場合に健康影響があるものとする。なお，本分析では土壌汚染のアクシデント時には健康影響がないものとしていることから，住民の避難は完了しているものとしている。

Table 2に本分析におけるアクシデントおよびハザードの関係を示す。

Table 2 Definition of accidents and hazards

Accident	Hazard
Accident	FP release	Evacuation	ID
Residents exposed from radiation being harmful to health with soil contamination.	Large (PCV failure)	Not started or in progress	H1
	Medium (Non-filtered PCV venting)	Not started or in progress	H2
Soil contamination leading to long-term relocation without health effect.	Large (PCV failure)	Full	H3
	Medium (Non-filtered PCV venting)	Full	H4

III. 格納容器ベント実施判断のリスク分析

1. コントロールストラクチャの要素と役割

コントロールストラクチャ（CS）は，システム内でハザード発生を防止する要素および要素間の相互作用からなる構造図のことである。II-2節で定義したシステムに含まれる要素とその関係性を，発電所のSA時における技術的能力審査資料¹³^），原子力災害マニュアル¹⁴^），緊急時モニタリング計画¹⁵^）を参考に，Fig. 4に示すとおりに作成した。

Fig. 4

Control structure on judgement of PCV venting¹²^～¹⁵^）

各要素およびその役割について以下に説明する。

Figure 4上段（ハッチング部）に示す原子力発電所（Nuclear Power Plant Site）は，SAの発生防止および影響緩和を行う。原子力発電所においては，格納容器ベント実施の最終判断を下す発電所対策本部長（所長）（Site Director）を始め，号機担当（Plant Director），運転員（Operator），PCVベント設備（Components of PCV Vent），PCVベント実施判断に関連する格納容器除熱系の復旧（Recovery of Components）をCSに表した。また，対外対応統括（Liaison Director）が外部とのインターフェース（電力会社本社およびオフサイトセンター）を担う。

Figure 4中段左の電力会社本社（Head Quarter of Electric Power Company）は，発電所対策本部が重大事故等対策に専念できるよう支援する。また，社内外の関係各所と連携し，適切かつ効率的な対策を検討できる体制を整備する。原子力規制庁は電力会社本社内に事態即応センターを設置し，原子力規制委員会指示等の執行の監督，事業者の経営判断に関わる応急措置の重要な意思決定事項やオンサイト対策支援に関わる連絡調整を行うが，本研究では電力会社本社内機能として扱う。

Figure 4中段右のオフサイトセンター（Offsite Center）は，原子力施設での緊急事態が発生した場合に，国の「原子力災害現地対策本部」や都道府県および市町村の「災害対策本部」などが「原子力災害合同対策協議会」を組織し，情報を共有しながら連携の取れた応急対策を講じていくことを目的とした原子力防災の拠点施設である。Fig. 4では，詳細化していないが，住民避難に関わる住民安全班，モニタリングデータを測定・収集・分析する放射線班，緊急時モニタリングセンターなどが含まれるが，詳細化はせずにオフサイトセンター内機能として扱う。

Figure 4下段の官邸・原子力規制庁（Regulator and Cabinet）においては，原子力災害対策本部，関係局長等会議が官邸内に設置され，内閣総理大臣を本部長として，原子力災害対応の総合調整を行う。Fig. 4では，詳細化していないが，原子力災害の情報収集に関わるプラント班，住民避難に関わる住民安全班，緊急時モニタリング結果を分析する放射線班などが含まれるが，詳細化はせずに官邸・原子力規制庁内機能として扱う。

最後に，これら要素間の関係性をアクション（図内の①～⑪の赤矢印）とフィードバック（図内のⒶ～Ⓘの青破線矢印）として示した。特に，分析対象である格納容器ベントの実施判断は，発電所，電力会社本社，官邸・原子力規制庁とで格納容器ベント実施の協議（アクション③）として示している。これまでの新規制基準での議論では，格納容器ベントは発電所の責任と権限をもってなされる¹¹^）が，本分析においては，格納容器ベント実施判断においてプラント安全の観点だけでなく，公衆安全の観点で発電所，官邸，規制庁，自治体など複数の組織の連携と協調がなされることを想定している。

2. 非安全なコントロールアクションの抽出

非安全なコントロールアクション（UCA）は，ハザードにつながり得るコントロールアクションの不具合のことであり，Fig. 4に示す以下のアクション（赤矢印）から，ハザードを引き起こす可能性があるUCAを抽出する。

発電所外とのインターフェース

①　発電所対外対応統括からオフサイトセンター，官邸・原子力規制庁への情報提供（Plant condition）
②　官邸・原子力規制庁からの住民への避難指示（Direction for evacuation）
③　格納容器ベント実施協議（Consultation on PCV venting）

発電所内でのインターフェース

④　発電所対策本部長から計画・情報統括への指示（Direction）
⑤　発電所対策本部長から対外対応統括への指示（Direction）
⑥　発電所対策本部長から号機統括への指示（Direction）
⑦　号機統括から運転員への指示（Direction）
⑧　格納容器ベント装置の操作（Operation）
⑨　号機統括から復旧統括への指示（Direction）
⑩　格納容器除熱系の復旧操作（Recovery）
⑪　原子炉主任者から発電所対策本部長への助言（Advice）

一般的なSTPAでは専門家が着目すべきアクションを特定することが多いが，客観性をもたせるため，ハザードに関係するすべてのアクションに対して検討することとし，アクションのグループ化をIII-2-（1）項にて，発生可能性およびリカバリーの有無を考慮したスクリーニングIII-2-（2）項にて実施する。

（1）コントロールアクションの整理（アクションのグループ化）

II章のコントロールアクションに対して，一連のアクションの場合はグループ化を実施する。発電所外部への情報提供である「⑤対外対応統括への指示」（Direction）と「①情報提供」（Plant condition）は一連のアクションであると考えられることから，グループ化することができる。また，格納容器ベント実施時における「③ベント実施協議」（Consultation on PCV venting），「⑪原子炉主任者から発電所対策本部長への助言」（Advice）および「⑥ベント実施指示」（Direction）についても同様の理由によりグループ化する。

（2）アクションの分類およびガイドワードの適用性確認

STPAでは，UCAのタイプを分類したガイドワード¹^）（与えられない，与えられる，誤ったタイミング，誤順序，早すぎる停止，長すぎる適用）が用意されている。これらをIII-2-（1）項で整理したコントロールアクションに適用することにより，UCAを抽出可能である。

一方，ガイドワードの適用が不適切なアクションもある。例えば，「情報提供」というアクションに対して，「提供されない」というガイドワードは適切であるが，「長すぎる適用」というガイドワードは意味をなさないため，不適切であると判断する。したがって，III-2-（1）項で整理したアクションに対してガイドワードの適用性を確認する必要がある。

III-2-（1）項で挙げたアクションは，情報提供，協議，指示および操作の4種類に分類される。これらのアクションに対するガイドワードの適用性を評価した。その結果をTable 3に示す。ここで，それぞれのアクションに対してNoと判断したガイドワードは適用しないこととする。表中にはその理由も示している。

Table 3 Applicability of “Guide Words” for each action

Action	Guide Word	Applicable？
Giving information	Not providing	Yes. (Omission error)
	Providing	Yes. Misinformation could lead to a hazard. (Commission error)
	Wrong timing	Yes. Late information could lead to a hazard.
	Wrong order	No. “Wrong order” at “Giving information” could be included in “Providing” or “Wrong timing”.
	Stopping too soon	No. “Stopping too soon” at “Giving information” could be included in “Not providing”.
	Applying too long	No. It is judged “Applying too long” could be “Giving information continuously”.
Consultation	Not providing	Yes. (Omission error)
	Providing	Yes. False conclusion could lead to a hazard. (Commission error)
	Wrong timing	Yes. Late conclusion could lead to a hazard.
	Wrong order	No. “Wrong order” at “Consultation” could be included in “Providing” or “Wrong timing”.
	Stopping too soon	No. “Stopping too soon” at “Consultation” could be included in “Not providing”.
	Applying too long	No. It is judged “Applying too long” could be “Consulting continuously”.
Direction	Not providing	Yes. (Omission error)
	Providing	Yes. False direction could lead to a hazard. (Commission error)
	Wrong timing	Yes. Early/late direction could lead to a hazard.
	Wrong order	No. At a complicated direction, wrong order could lead to a hazard. However, just simple direction is treated in Fig. 4.
	Stopping too soon	No. Ditto.
	Applying too long	No. Ditto.
Operation	Not providing	Yes. (Omission error)
	Providing	Yes. False operation could lead to a hazard. (Commission error)
	Wrong timing	Yes. Early/late operation could lead to a hazard.
	Wrong order	Yes. “Wrong order” is similar to “Not providing” or “Providing”, however, could lead to a different scenario at a complicated operation.
	Stopping too soon	Yes. Ditto.
	Applying too long	Yes. Ditto.

（3）ハザードに至る可能性が高いUCAの抽出

III-2-（1）項で整理したアクションと，それに対して，適用性があるとしたガイドワードの組み合わせ（Table 3参照）をUCAと定義する。例えば，「②官邸・原子力規制庁からの住民への避難指示」（Direction for evacuation）のアクションに対して，「与えられない」，「与えられる」，「誤ったタイミング」のガイドワードを適用すれば，「避難指示が与えられない」，「誤った避難指示が与えられる」，「避難指示の遅れ」というUCAが得られる。

コントロールアクションとガイドワードを単純に組み合わせると，多くのUCAが抽出されることから，各UCAの発生可能性および期待できるリカバリーの可能性について検討し，ハザードに至る蓋然性の高いUCAを抽出する。その際，発生可能性が低く，なおかつリカバリーが期待できるUCAは，ハザードに至る蓋然性が低いとしてスクリーニングアウトした。Table 4に検討結果を示す。

Table 4(a)は，発電所とオフサイトセンターおよび官邸・原子力規制庁との情報供給に関するUCAについて検討した結果である。これら組織間での情報共有に関しては，基本的にテレビ会議システムで常時接続されていることから，UCAの発生可能性は低いものと考えられる。また，テレビ会議システムが機能喪失している場合でも，衛星電話や発電所に駐在している規制庁職員によりリカバリーが可能と考えられることから，発生可能性の高いUCAは抽出されないと判断した。

Table 4(a) Identification of UCAs likely leading to hazard “①Information Sharing with Offsite Center and Cabinet/NRA” and “⑤Direction to Liaison Director”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” information of plant status	Not likely. Always connecting with video conference system.	Yes. Recovered by a satellite phone and NRA agent on site.	Yes.
	“Providing” false information of plant status	Not likely. Always connecting with video conference system could correct false information.	Ditto.	Yes.
	“Wrong timing” information of plant status	Not likely. Always connecting with video conference system.	Ditto.	Yes.
H2	Ditto.			Yes.
H3	Ditto.			Yes.
H4	Ditto.			Yes.

Table 4(b)は，官邸・原子力規制庁からオフサイトセンターを通じて地方自治体への避難指示に関するUCAについて検討した結果である。本指示は，原子力災害対策措置法15条に基づく措置であり，訓練や体制が充実していると考えられることから，UCAの発生可能性は低いものと考えられる。また，発電所からの通報は，地方自治体にもFaxがなされ，地方自治体によるリカバリーが可能と考えられることから，発生可能性の高いUCAは抽出されないと判断した。

Table 4(b) Identification of UCAs likely leading to hazard “②Direction for evacuation”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” direction for evacuation.	Not likely occur due to follow to Act^a) article 15.	Yes. Recovered by local government also noticed by the plant site.	Yes.
	“Providing” false direction for evacuation.	Ditto.	Ditto.	Yes.
	“Wrong timing” direction for evacuation.	Ditto.	Ditto.	Yes.
H2	Ditto.			Yes.
H3	Ditto.			Yes.
H4	Ditto.			Yes.

^a)Act on Special Measures Concerning Nuclear Emergency Preparedness.

Table 4(c)は，発電所，電力会社本社，官邸・原子力規制庁との格納容器ベント実施協議および発電所対策本部長からの実施指示に関するUCAについて検討した結果である。ハザードH1，H3における「格納容器ベント実施協議・指示なし」については，Table 4(a)での情報共有と同様で発生可能性は低いものと考えられる。「誤った格納容器ベント実施協議・指示」および「格納容器ベント実施協議・指示の誤ったタイミング」については，発生可能性が高いUCAとして以下の2つのUCAが抽出される。

Table 4(c) Identification of UCAs likely leading to hazard “③Consultation on PCV venting” and “⑥Direction of PCV venting to Plant Director”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” consultation /direction of PCV venting.	Not likely. Always connecting with video conference system.	Yes. Recovered by a satellite phone and NRA agent on site.	Yes.
	“Providing” false conclusion /direction of PCV venting.	Likely. In case of prioritizing the recovery of PCV heat removal system.	No. Difficult to recover the conclusion by responsible persons.	No. [UCA1]
	“Wrong timing” conclusion /direction of PCV venting.	Likely. Difficult to judge the timing of PCV venting considering both public safety and plant safety.	Ditto.	No. [UCA2]
H2	“Not providing” consultation /direction of PCV venting.	Not likely. Non-filtered PCV venting would not be conducted without the direction of PCV venting.	Yes. Recovered by staff e.g., technical adviser.	Yes.
	“Providing” false conclusion /direction of PCV venting.	Not likely. Following accident procedures would prevent the misdirection of non-filtered PCV venting.	Ditto.	Yes.
	“Wrong timing” conclusion /direction of PCV venting.	Ditto.	Ditto.	Yes.
H3	Same as “H1”.			Yes.
H4	Same as “H2”.			Yes.

●　 UCA1：格納容器除熱系の復旧を優先し，格納容器ベント実施指示が出されない。【関連ハザードH1, H3】
●　 UCA2：プラント安全より公衆安全を優先し，格納容器ベント実施指示が遅れる。【関連ハザードH1, H3】

これらは，「外部へのFP放出を可能な限り避けたいという意識により，格納容器ベント実施を躊躇すること」，「責任者による最終判断であり，第三者によるリカバリーが難しいこと」から，分析対象とするUCAとして抽出されている。これら発生原因は異なるものの，UCAの発生により，格納容器ベントを実施できずに格納容器破損に至る可能性があり，その結果FPの大規模放出に至る。関連ハザードとしては，格納容器破損時における住民避難の状況によりH1（FP大規模放出＋避難未完了）またはH3（FP大規模放出＋避難完了）のどちらかとなる。格納容器ベントを実施することによる住民避難への影響（避難ルートの変更など）については，ケースバイケースの対応になると考えられることから，本分析ではH1とH3の両方を関連付けることとした。

H2，H4については，フィルタを介さない格納容器ベントを実施するハザードであるが，「指示がない」状態で格納容器ベントが実施されることは考え難く，原子炉主任技術者などによるリカバリーが可能と考えられる。次に「誤った指示」が発せられた場合，フィルタを介さない格納容器ベントが実施される可能性はあるものの，手順書にしたがうことを考えれば発生可能性は低く，また原子炉主任技術者などによるリカバリーが可能と考えられることから，スクリーニングアウトできると考えられる。最後に「誤ったタイミング」については，格納容器ベントの指示遅れが考えられるが，手順書にしたがった操作が行われることを考えれば，ベントラインの誤りにつながるとは考え難い。

Table 4(d)は，発電所対策本部長から計画・情報統括への指示であるが，発電所内での対応であり，手順書や訓練が充実していることから，UCAの発生可能性は低いものと考えられる。また，原子炉主任技術者によるリカバリーが可能と考えられることから，スクリーニングアウトできると考えられる。

Table 4(d) Identification of UCAs likely leading to hazard “④Direction to Plan/Information Director”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” direction.	Not likely occur due to accident procedures and trainings.	Yes. Recovered by staff, e.g., technical adviser.	Yes.
	“Providing” false direction.	Ditto.	Ditto.	Yes.
	“Wrong timing” direction.	Ditto.	Ditto.	Yes.
H2	Ditto.			Yes.
H3	Ditto.			Yes.
H4	Ditto.			Yes.

Table 4(e)は，号機統括から運転員への指示であるが，これはTable 4(d)と同様である。

Table 4(e) Identification of UCAs likely leading to hazard “⑦Direction to Operator”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” direction.	Not likely occur due to accident procedures and trainings.	Yes. Recovered by staff, e.g., technical adviser.	Yes.
	“Providing” false direction.	Ditto.	Ditto.	Yes.
	“Wrong timing” direction.	Ditto.	Ditto.	Yes.
H2	Ditto.			Yes.
H3	Ditto.			Yes.
H4	Ditto.			Yes.

Table 4(f)は，運転員による格納容器ベントの操作であり，基本的にはTable 4(d)と同様であると考えられる。ただし，以下がハザードに至る可能性の高いUCAとして抽出されている。

Table 4(f) Identification of UCAs likely leading to hazard “⑧Operation for PCV venting”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” operation of PCV venting.	Not likely. Following accident procedures and training would prevent the omission error.	Yes. Recovered by staff, e.g., shift supervisor.	Yes.
	“Providing” false operation of PCV venting.	Not likely. Following accident procedures and training could prevent the mis-operation.	Ditto.	Yes.
	“Wrong timing” operation of PCV venting.	Not likely. Training and operability enable short-time operation.	Ditto.	Yes.
	“Wrong order” of operation for PCV venting.	Not likely. Uncomplicated task.	Ditto.	Yes.
	“Stopping too soon” PCV venting.	Not likely. Following accident procedures and training could prevent the mis-operation.	Ditto.	Yes.
	“Applying too long” PCV venting.	(The success of filtered venting would not lead to the hazard.)		Yes.
H2	“Not providing” operation of PCV venting.	(Inconsistency. No PCV venting could not lead to the hazard resulting from non-filtered PCV venting.)		Yes.
	“Providing” false operation of PCV venting.	Not likely. Following accident procedures and training could prevent the mis-operation.	No. Once non-filtered PCV venting is conducted, FP will be released quickly.	No. [UCA3]
	“Wrong timing” operation of PCV venting.	(Inconsistency. Delayed PCV venting could lead to H1/H3.)		Yes.
	“Wrong order” of operation for PCV venting.	Not likely. Following accident procedures and training could prevent the mis-operation.	Yes. Recovered by staff, e.g., shift supervisor.	Yes.
	“Stopping too soon” PCV venting.	Not likely. Following accident procedures and training could prevent the mis-operation.	Yes. Recovered by staff, e.g., shift supervisor.	Yes.
	“Applying too long” PCV venting.	(Once non-filtered PCV venting is conducted, FP will be released quickly. Therefore, applying too long is included in “Providing” or “Wrong order”.)		Yes.
H3	Same as “H1”.			Yes.
H4	Same as “H2”.			Yes.

●　 UCA3：フィルタベントを実施する際，誤操作によるフィルタを介さない格納容器ベントの実施。【関連ハザードH2, H4】

これは，誤操作に至る可能性は低いと考えられるが，操作を実施してしまうと即座にハザードに至ることから，運転員以外による第三者によるリカバリーが難しいためである。フィルタを介さない格納容器ベントの実施により，FPの中規模放出（格納容器破損によるFP放出量とフィルタベントによるFP放出量の中間の放出量）に至る。関連ハザードとしては，格納容器破損時における住民避難の状況によりH2（FP中規模放出＋避難未完了）またはH4（FP中規模放出＋避難完了）のどちらかとなる。仮に，このUCAが住民避難に直接的な影響がある場合には，H2と関連付けられるが，本UCAは格納容器ベントの誤操作であり，住民避難に直接的な影響がないと考えられるため，H2とH4の両方を関連付けることとした。

Table 4(g)は，号機統括から復旧統括への指示であるが，これはTable 4(d)と同様である。

Table 4(g) Identification of UCAs likely leading to hazard “⑨Direction to Recovery Director”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” direction.	Not likely occur due to accident procedures and trainings.	Yes. Recovered by staff, e.g., technical adviser.	Yes.
	“Providing” false direction.	Ditto.	Ditto.	Yes.
	“Wrong timing” direction.	Ditto.	Ditto.	Yes.
H2	Ditto.			Yes.
H3	Ditto.			Yes.
H4	Ditto.			Yes.

Table 4(h)は，格納容器除熱系に関する復旧操作であるが，除熱系の復旧が困難な状況であることが明らかである場合には，より格納容器ベント実施の判断に至るものと考えられることから，格納容器ベント実施判断でのUCAへつながる可能性は低いものと考えられる。

Table 4(h) Identification of UCAs likely leading to hazard “⑩Recovery Operation of Containment Heat Removal System”

Hazard	UCA	Likelihood	Recoverable?	Screening out?
H1	“Not providing” recovery operation.	Not likely. Following accident procedures and training would prevent the omission error.	Yes. Recovered by staff, e.g., technical adviser.	Yes.
	“Providing” false recovery operation.	(Failure of recovery operation would urge to perform the PCV venting).		Yes.
	“Wrong timing” recovery operation.	Ditto.		Yes.
	“Wrong order” of recovery operation.	Ditto.		Yes.
	“Stopping too soon” recovery operation.	Ditto.		Yes.
	“Applying too long” recovery operation.	Ditto.		Yes.
H2	Same as “H1”.			Yes.
H3	Same as “H1”.			Yes.
H4	Same as “H1”.			Yes.

以上の分析結果としてUCA1～UCA3が発生可能性の高いものとして抽出された。

3. ハザード誘発要因（HCF）およびハザードシナリオの抽出

III-2節で抽出したUCA1～UCA3に対して，UCAを引き起こし，その結果ハザードが発生する要因（HCF）およびそこから想定されるハザードシナリオを抽出する。

Figure 5¹^）はコントロールループと呼ばれるもので，Fig. 1のSTAMPの相互作用モデルをより一般化し，ループの流れにおいて予想される不備を13のヒントワードとして示したものである。Fig. 4ではコントロールループ内でのコントローラ（Controller）および被コントロールプロセス（Controlled Process）の間に，Fig. 1にはなかったアクチュエーター（Actuator）およびセンサー（Sensor）が構成要素として追加されている。アクチュエーターはコントローラが発したコントロールアクションを受け，被コントロールプロセスの状態を変更する。また，センサーは被コントロールプロセスの状態を測定し，コントローラ内のプロセスモデル（Process model）にフィードバックする。

Fig. 5

Control loop and 13 hint words to identify hazard causal factors¹^）

このコントロールループを用いてHCF抽出する。具体的には，III-2節で抽出したUCAごとに関係する要素をコントロールストラクチャ（CS）から抜き出し，コントロールループを作成する。その後，要素および要素間の関係性で該当するヒントワードを1つずつ当てはめてみて，UCAを引き起こすかを検討する。また，UCAを引き起こすのであれば，システムがどのような挙動となったらハザードに至るかのハザードシナリオを抽出する。

（1）コントロールループ図の作成

Figure 4のコントロールストラクチャを参照して，UCA1～UCA3のそれぞれで，Fig. 5に示すコントロールループの役割（コントローラ，被コントロールプロセス，アクチュエーター，センサー）を設定する。

UCA1は，Fig. 4でのアクション③および⑥の格納容器ベント実施判断および指示で発生することから，実施判断および指示を出す発電所対策本部長をコントローラとする。また，コントロールされる対象であるプラントを被コントロールプロセスとする。次に，アクチュエーターは発電所対策本部長のアクションをプラントへつなげる要素として，号機統括および運転員とする。また，センサーはプラント状況を発電所対策本部長にフィードバックする要素としてプラント計装系および復旧統括とする。これらを，プラントの事故進展を制御するループとする。

UCA2は，UCA1と同様に，Fig. 4でのアクション③および⑥の格納容器ベント実施判断および指示で発生するが，プラント状況だけでなく，避難状況もインプットとしている点が異なる。したがって，プラントの事故進展を制御するループに加えて，住民避難を制御するループを考慮する。住民の避難指示を発する官邸・原子力規制庁をコントローラとし，コントロールされる対象として地方自治体および住民を被コントロールプロセスとする。また，Fig. 4では，官邸・原子力規制庁と地方自治体の間にオフサイトセンターが仲介していることから，オフサイトセンターをアクチュエーターおよびセンサーとする。

UCA3は，格納容器ベント操作であり，Fig. 4でのアクション⑧に該当する。これはプラントの事故進展を制御するループにおける運転員（アクチュエータ）とプラント（被コントロールプロセス）との関係性であり，すでに表現できている。

以上をまとめると，コントロールループは以下の構成となる。

●　ループ1：住民避難を制御するループ
1. ➢　コントローラ：官邸・原子力規制庁（格納容器ベント実施協議時には発電所対策本部長も含む）
2. ➢　被コントロールプロセス：地方自治体および住民
3. ➢　情報伝達者：オフサイトセンター
4. ➢　情報伝達者：オフサイトセンター
●　ループ2：格納容器ベントを含むプラントの事故進展を制御するループ
1. ➢　コントローラ：発電所対策本部長（格納容器ベント実施協議時には官邸・原子力規制庁も含む）
2. ➢　被コントロールプロセス：格納容器ベント設備を含むプラント
3. ➢　情報伝達者および操作者：プラント統括および運転員
4. ➢　センサーおよび情報伝達者：格納容器センサーおよびプラント復旧統括

Figure 6に作成したコントロールループ図を示す。①～⑬は，STPAで用意されているヒントワードを2つのループの該当する箇所に適用したものである。

Fig. 6

Control loop of judgement of PCV venting

（2） HCFおよびハザードシナリオの抽出

Figure 6に示すコントロールループにヒントワードを適用してHCFおよびハザードシナリオを抽出する。例えば，ループ1上での地方自治体では「④コンポーネント故障，経年劣化（Component failures. Challenges over time）」というヒントワードが適用される。ヒントワードは設備に対する用語になっているが，このヒントを用いて「地方自治体で業務が錯綜し，必要とされる機能が果たせない」などのHCFが導出される。これがUCAにつながり得るかを検討し，つながり得るのであれば，HCFとして抽出するとともに，UCAおよびハザードにつながるハザードシナリオを記述する。

Table 5(a)には住民避難を制御するループ（ループ1）での検討結果を，Table 5(b)にはプラントの事故進展を制御するループ（ループ2）での検討結果を示す。なお，ループ1とループ2の共通部であるコントローラ（官邸・原子力規制庁および発電所対策本部長）については，Table 5(a)（ループ1）にて検討する。

Table 5(a) HCF and hazard scenario associated with each hint word Loop 1

Hint Word	HCF and Hazard Scenario (HS)
1: Control input or external information wrong or missing.	(Not applicable because any other input is not assumed but evacuation and plant condition).
2: Inadequate control algorithm (Flaws in creation, process changes, incorrect modification or adaption).	[HCF1] Incorrect judgement of containment heat removal. [HS1] At judgement of PCV venting, responsible persons prioritize the recovery of the containment heat removal system (related to UCA1). [HCF2] Inadequate criteria on PCV venting. [HS2] At judgement of PCV venting, responsible persons prioritize public safety (related to UCA2).
3: Process model – inconsistent incomplete, or incorrect.	[HCF3] Plant conditions are incorrectly reflected. [HS3] Plant conditions are comprehensively judged with plant indicators. If the responsible persons judge longer available time than the actual available time, the misreading/misunderstanding of the plant condition could lead to the false or delayed judgement of PCV venting (related to UCA1 and UCA2). [HCF4] Evacuation rate are incorrectly informed. [HS4] Evacuation rate is estimated lower than the actual condition. This could lead to the false or delayed judgement of PCV venting (related to UCA2). Note -If evacuation rate is estimated higher than the actual condition, the misreading could lead to the earlier filtered PCV venting. The success of filtered PCV venting is assumed not to lead to a hazard.
4: Component failures. Challenges over time.	[HCF5] Not working properly for public evacuation. [HS5] Local government responsible for public evacuation does not work properly due to a bad condition, e.g., seismic, heavy rain, etc. No or delayed evacuation information could lead to false or delayed judgement of PCV venting (related to UCA2).
5: Inadequate or missing feedback. Feedback delays.	[HCF6] Inadequate, missing or delayed feedback of evacuation information. [HS6] Offsite center gives inadequate, missing or delayed feedback of evacuation information due to misunderstanding or communication equipment failure, etc. No or delayed evacuation information could lead to false or delayed judgement of PCV venting (related to UCA2).
6: Incorrect or no information provided. Feedback delays.	[HCF7] Incorrect or no information of evacuation information. Delayed feedback of evacuation information. [HS7] Local government gives incorrect or no evacuation information, or delays feedback of evacuation information due to misunderstanding or communication equipment failure, etc. Incorrect, no or delayed evacuation information could lead to false or delayed judgement of PCV venting (related to UCA2).
7: Delayed operations.	[HCF8] The notification of evacuation is delayed. [HS8] Offsite center delays the notification of evacuation due to misunderstanding or communication equipment failure, etc. Delayed evacuation could lead to delayed judgement of PCV venting (related to UCA2).
8: Inappropriate, ineffective or missing control action.	[HCF9] The notification of evacuation is inappropriate, ineffective or missing. [HS9] Cabinet/Regulator delays the notification of evacuation due to misunderstanding or communication equipment failure, etc. Inappropriate ineffective or missing evacuation information could lead to false or delayed judgement of PCV venting (related to UCA2).
9: Process input missing or wrong.	[HCF10] Evacuation information is missing or wrong. [HS10] Evacuation information is not collected properly due to the difficulty of monitoring evacuation. Missing or wrong evacuation information could lead to false or delayed judgement of PCV venting (related to UCA2).
10: Unidentified or out-of-range disturbance.	(Not applicable because no external disturbance in collecting evacuation information is assumed).
11: Process output contributes to system hazard.	(Not applicable because any other process is not assumed but two loops.)
12: Inappropriate operation.	[HCF11] Public evacuation is not notified. [HS11] Offsite center does not notify public evacuation due to a bad condition, e.g., seismic etc. No evacuation notification could lead to false or delayed judgement of PCV venting (related to UCA2).
13: Inappropriate operation.	[HCF12] Evacuation rate is not informed properly. [HS12] Evacuation information is not informed properly due to a bad condition, e.g., seismic etc. Missing or wrong evacuation information could lead to false or delayed judgement of PCV venting (related to UCA2).

Table 5(b) HCF and hazard scenario associated with each hint word Loop 2

Hint Word^a)	HCF and Hazard Scenario (HS)
4: Component failures. Challenges over time.	(Failures of mitigation systems could lead to a SA. However, the failures are not considered because this analysis postulates a SA condition.).
5: Inadequate or missing feedback. Feedback delays.	[HCF13] Failure of plant transmitters. [HS13] PCV venting is judged based on plant conditions. The failure of the plant transmitters could lead to the false or delayed judgement of PCV venting (related to UCA1 and UCA2). [HCF14] Inadequate feedback of the recovery of PCV heat removal systems. [HS14] The time to complete the recovery is estimated earlier than the actual time. This could lead to false judgement of PCV venting (related to UCA1).
6: Incorrect or no information provided. Feedback delays.	(Failure of sensors is considered in hint words 5 and 13 in loop 2.).
7: Delayed operations.	(Delayed operation of PCV venting is screened out in Table 4(f).).
8: Inappropriate, ineffective or missing control action.	(Misdirection of PCV venting could be included in hint word 2 and 3.).
9: Process input missing or wrong.	(Not applicable because PCV vent system is just operated manually.).
10: Unidentified or out-of-range disturbance.	(Not applicable because PCV vent system is just operated manually.).
11: Process output contributes to system hazard.	(Not applicable because any other process is not assumed but two loops.).
12: Inappropriate operation.	[HCF15] Inappropriate operation of PCV venting. [HS15] Operators inappropriately open valves on non-filtered PCV vent system although filtered PCV vent system is available (related to UCA3).
13: Inappropriate operation.	[HCF16] Failure of PCV sensors. [HS16] PCV venting is judged based on plant conditions. The failure of the plant sensors could lead to the false or delayed judgement of PCV venting (related to UCA1 and UCA2). Note – The false recovery of PCV heat removal systems could urge to conduct PCV venting.

^a)Hint words 1 to 3 are examined in Table 5(a).

ループ1（ループ2との共通部含む）では，以下のように，12のHCFおよびハザードシナリオが抽出されている。

●　格納容器ベントの実施協議に関するHCF：HCF1，HCF2
●　プラント状況の把握に関するHCF：HCF3
●　住民避難指示・状況把握に関する8つのHCF：HCF4～12

HCF1およびHCF2は，格納容器ベント実施時においてプラント安全を最優先とすべきところで公衆安全を意識して，ベント実施に躊躇してしまうというものであり，III-2-（3）項で抽出したUCA1またはUCA2に直接つながるものである。これらは，コントローラ部（官邸・原子力規制庁および発電所対策本部長）で「②不適切なコントロールアルゴリズム（生成の欠陥，プロセス変更，不正確な修正や適用）（Inadequate control algorithm（Flaws in creation, process changes, incorrect modification or adaption））」のヒントワードを適用して抽出したものである。

HCF3は，ループ2（プラント事故進展の制御）に関する内容であり，プラント状況を正しく認識できないというものである。HCF3発生の結果として，格納容器ベント実施判断を誤るUCA1，または判断をとまどうUCA2の要因となり得る。HCFの発生がUCAに直接的につながるHCF1およびHCF2とは異なり，ある相互作用での問題が，他の相互作用に影響を与えることを間接的な影響として区別する。これはループ2のコントローラである発電所対策本部長のところで，「③プロセスモデル - 矛盾，不完全，不正確（Process model – inconsistent incomplete, or incorrect）」のヒントワードを適用して導出したものである。

HCF4～12は，官邸・原子力規制庁からオフサイトセンターおよび地方自治体を経由した住民への避難指示と地方自治体で把握する避難状況に関する情報のフィードバックでの誤り，遅れである。これらHCF発生の結果として，住民避難が遅れ，格納容器ベント実施判断をためらうUCA2を間接的に助長する。これらHCFは，ループ1においてヒントワード③，④，「⑤不適切な，欠けた，遅れたフィードバック（Inadequate or missing feedback. Feedback delays）」，「⑥間違っている，提供されない，不正確である，遅れたフィードバック（Incorrect or no information provided. Measurement inaccuracies. Feedback delays）」，「⑦間違っている，大きすぎる，小さすぎる，遅れた操作（Wrong, too high, too low or delayed operation）」，「⑧不適切な，有効でない，欠けたコントロールアクション（Inappropriate, ineffective or missing control action）」，「⑨欠けている，間違っているプロセス入力（Process input missing or wrong）」，「⑫不適切な操作（Inappropriate operation）」，「⑬不適切な操作（Inappropriate operation）」を適用して導出したものである。

ループ2（ループ1との共通部は含まない）では，以下のように，4つのHCFおよびハザードシナリオが抽出されている。

●　プラント状況の把握に関するHCF：HCF13，HCF14，HCF16
●　格納容器ベント操作に関するHCF：HCF15

HCF13，HCF14およびHCF16はプラントおよび復旧班（格納容器除熱系の復旧）からのフィードバックでの誤り，あるいは遅れである。これらHCF発生の結果として，格納容器ベント実施判断を誤るUCA1，または判断をとまどうUCA2が間接的に助長される。これらHCFは，ループ2においてヒントワード⑤および⑬を適用して導出したものである。

HCF15は運転員によるフィルタを介さない格納容器ベントを誤って選択して操作するというものであり，III-2-（3）項で抽出したUCA3に直接つながるものである。これはループ2においてヒントワード⑫を適用して導出したものである。

次に，Table 5で抽出された計16のハザードシナリオとUCAとの関係性を整理する。上述したように，HCFには，直接的にハザードに至るものと間接的にハザードを助長するものに分けられる。また，ハザードシナリオのうちいくつかは，原因は異なるがシナリオが同等であるものが多く含まれている。本分析では対策の検討までは実施しないことから，整理のためにシナリオに着目してグループ化する。例えば，HS13とHS16は原因として伝送器故障とセンサー故障で異なるが，その結果発生するシナリオは同様のため1つにグループ化している。ハザードとシナリオの関係を整理した結果をFig. 7に示す。また，それぞれについて以下に詳細に説明する。

Fig. 7

Relationship among hazard scenarios

UCA1につながり得るハザードシナリオ

●　格納容器ベント実施協議の際に，格納容器除熱系の復旧を優先する結果として，格納容器ベントを実施できずに格納容器破損に至る[HS1]。その際，以下により[HS1]を間接的に助長する。
➢　格納容器計装系の故障などにより，格納容器破損までの余裕時間が実際よりも長く推定される[HS3, HS13, HS16]。
➢　除熱系の復旧時間が実際よりも短く推定される[HS14]。

UCA2につながり得るハザードシナリオ

●　格納容器ベント実施協議の際に，公衆安全を優先することにより，格納容器ベントを実施できずに格納容器破損に至る[HS2]。その際，以下により[HS1]を間接的に助長する。
➢　格納容器計装系の故障などにより，格納容器破損までの余裕時間が実際よりも長く推定される[HS3, HS13, HS16]。
➢　情報収集の遅れ，誤りなどにより，住民の避難状況が実際よりも少なく報告される[HS4, HS6, HS7, HS10, HS12]。
➢　避難勧告の遅れ，地方自治体の混乱などにより住民の避難が遅れる[HS5, HS8, HS9, HS11]。

UCA3につながり得るハザードシナリオ

●　フィルタベントが使用可能にも関わらず，運転員による誤操作によりフィルタを介さない格納容器ベントラインの弁を開放する[HS15]。

以上，III-1～3節の検討において，アクシデントおよびハザードを定義し，コントロールストラクチャ内でのアクションから，発生可能性の高いUCAとしてUCA1～UCA3を抽出し，その原因（HCF1～HCF16）およびハザードに至るシナリオ（HS1～HS16）を特定した。

このようにアクシデントを開始点としてトップダウンでハザードシナリオを特定できることがSTPAの特徴である。STPAの活用事例¹⁰^）においては，システムのコンセプト設計時に，III-1～3節の作業を反復して対策を講ずることにより，安全なシステムを構築することが示されている。本研究では，反復作業の1つとして，III-2節でスクリーニングアウトしていたUCAが妥当であるか，抜け落ちがないかを確認する。

Table 4を改めて確認すると，組織間の情報伝達に関するUCA，避難指示に関するUCA，発電所内での情報伝達・指示に関するUCAがスクリーニングアウトされている。組織間の情報伝達については，テレビ会議システム，衛星電話，規制庁職員の駐在など十分な対策が講じられており，誤りや遅れなどが発生する可能性はUCA1～3に比べて小さく，発生してもリカバリーが可能と考えられる。避難指示については，原子力災害対策措置法15条に基づく措置であり，訓練や体制が充実していると考えられる。また，III-3節においてUCA2の要因（HCF）として挙げられており，必要に応じて更なる対策が講じられることにより，UCAの発生可能性はさらに低くなるものと考えられる。発電所内の情報伝達・指示については，すでに手順書の整備・訓練など十分な対策が講じられており，誤りや遅れなどが発生する可能性はUCA1～3に比べて小さく，発生してもリカバリーが可能と考えられる。したがって，III-2節でのスクリーニングアウトは妥当であると考えられる。ただし，ハザードシナリオへの対策を導入すると，相対的に重要度が高くなる可能性があることから，実運用の場合には適宜見直しが必要となる。

抜け落ちという観点では，III-1節のCS図（Fig. 4参照）において，発電所内組織を詳細化しているが，その他，オフサイトセンター，官邸・原子力規制庁についても詳細化すれば，さらに多くのコントロールアクションを抽出することは可能である。III-3節では，格納容器ベント実施時の協議，避難指示，避難情報伝達に関するHCFが抽出されている。当該機能をコントロールストラクチャで詳細化することにより，問題発生箇所の特定および対策検討に寄与できると考えられるが，本分析でも重要なハザードシナリオとしては特定されていることから，研究目的は達成している。

4. ハザードシナリオの重要度分類

III-3節でグループ化した計7つのハザードシナリオに対して，定性的に重要度をランク付けする。Table 1に示す4つのハザードを影響の観点で分類すると，H1およびH2は土壌汚染だけでなく住民健康にも影響があることから，H3およびH4よりも重要度は高い。また，H1およびH3はH2およびH4よりもFP放出量は多くことから，4つのハザードの重要度は「H1 > H2 > H3 > H4」の順番となる。

ハザードシナリオがどのハザードにつながり得るか，またUCA1～3に直接的に関連するかどうかでハザードシナリオを重要度ランク付けする。Table 6に重要度ランキングを示す。

Table 6 Importance ranking of hazard scenario groups

Rank	Hazard Scenario Group	Hazard led by Scenario	Note
1	[HS5, HS8, HS9, HS11] Delayed direction for public evacuation.	H1 (Indirectly^a))	The HSs delay the evacuation, and potentially lead to H1 regarding health effect.
2	[HS1] At judgement of PCV venting, responsible persons prioritize the recovery of the containment heat removal system.	H3 (Directly^a))	The HS directly leads to H3. If the evacuation is not completed, the HS would lead to H1 although the HS does not affect evacuation.
2	[HS2] At judgement of PCV venting, responsible persons prioritize public safety.	H3 (Directly^a))	Ditto.
4	[HS14] The time to complete the recovery is inadequately estimated.	H3 (Indirectly^a))	The HS urges HS1, and indirectly lead to H3. Therefore, the rank of the HS is lower than that of HS1.
4	[HS3, HS13, HS16] Inadequate estimation of plant conditions at PCV venting judgement. Failure of plant sensors or transmitters including support systems.	H3 (Indirectly^a))	The HS urges HS1/HS2, and indirectly lead to H3. Therefore, the rank of the HS is lower than that of HS1/HS2.
4	[HS4, HS6, HS7, HS10, HS12] Inadequate estimation of evacuation rate at PCV venting judgement. False or delayed information of evacuation.	H3 (Indirectly^a))	Ditto.
7	[HS15] Operators inappropriately open valves on non-filtered PCV vent system although filtered PCV vent system is available.	H4 (Directly^a))	The HS directly leads to H4. If the evacuation is not completed, the HS would lead to H2 although the HS does not affect evacuation.

^a)Whether the HS leads to a UCA directly or indirectly. See Fig. 7.

1位のハザードシナリオは，H1との関連がある住民の避難遅れとなった。住民の避難方法，経路については，地方自治体にて地域防災計画の中で策定されており，その有効性については原子力防災訓練で確認されている。一方で，住民避難が困難な場合（夜，積雪，地震，停電などによる避難への悪影響）には，屋内退避が有効なケースも考えられる。原子力災害対策指針¹⁴^）において「PAZにおいては，全面緊急事態に至った時点で，原則として避難を実施するが，避難よりも屋内退避が優先される場合に実施する必要がある」との記載があり，原子力発電所でのFP放出タイミングを考慮して，屋内退避を選択するケースを事前に明らかにし，防災計画に反映できれば，公衆リスク低減につながるものと考えられる。

2位のハザードシナリオは2つあり，格納容器ベント実施判断時に住民避難または除熱系の復旧を優先して，外部へのFP放出を躊躇し格納容器破損に至るシナリオである。格納容器ベントは外部へのFP放出を伴うため，判断者の負担にならないように適切なベント実施基準を定めることが重要と考えられる。国内では，格納容器ベントは最後の手段として，格納容器の限界圧力に近いタイミングで格納容器ベントを実施する手順となっている。一方で，米国では格納容器破損リスクを低減するため，事故シナリオによっては早期での格納容器ベントが手順化されている。公衆リスクの観点で，どのタイミングでの格納容器ベント実施が最適であるか検討することが本シナリオのリスク低減につながるものと考えられる。

このようにハザードシナリオに対して重要度ランク付けすれば，リスク低減に効果的な対策検討の優先順位付けの参考になるとともに，詳細度を上げるべき重要なハザードシナリオを同定することも可能である。例えば，避難勧告に関わる組織を細分化して，その原因を深堀するなどが考えられる。

本研究では，FPによる公衆への健康影響または土壌汚染の大きさとの関連で定性的に重要度ランク付けを行った。その他にも発生頻度も組み合わせて重要度を決定することも考えられる。例えば，どのようなシナリオであれば格納容器ベント実施判断が難しいかを相対的に比較することができれば，より具体的なリスク低減策の検討に資することができるものと考えられる。本分析を拡張し，代表的な事故進展に対して，プラント，避難および復旧の状況から格納容器ベント実施判断の困難さを評価する手法を組み込んで，さらに分析を深めることにより，本研究をさらに発展することが可能であると考える。

IV. リスク分析結果の評価と考察

III章にて，STPAを用いて組織間の相互作用に着目し，格納容器ベント実施に関わるリスク分析を行った。ここでは，Fig. 7に示したハザードシナリオグループごとに，コントロールストラクチャ（CS）の相互作用（コントローラと被コントロールプロセスとの間の関係性）のどこで問題が生じ，ハザードに至るかを整理する。また，Fig. 2での②，③および④のステップとして，ハザードシナリオがSTPAを用いることによって論理的に導出されていることを確認する。

1. 直接的にUCAに至るシナリオ

[HS1]，[HS2]，[HS15]は，Fig. 7に示すように直接的にUCAに至るシナリオである。これらハザードシナリオは，CSおよびコントロールループのどこで問題が生じることでハザードに至ったかについて整理することにより抽出できる。

[HS1]は，「格納容器除熱系の復旧を優先し，格納容器ベント実施指示が出されない」というハザードシナリオである。これは，コントロールループ中央のコントローラである官邸・原子力規制庁および発電所対策本部長に対してヒントワード②「不適切なコントロールアルゴリズム（生成の欠陥，プロセス変更，不正確な修正や適用）」を適用し，導出されたものである。これをコントロールストラクチャ（CS）でみると，アクション③，⑥「格納容器ベント実施の協議および指示」に該当する。この相互作用に「誤った指示を与える」（ガイドワード“Providing”）が発生すると，格納容器破損という状態（ハザード）に至る。

[HS2]は，「プラント安全より公衆安全を優先し，格納容器ベント実施指示が遅れる」というハザードシナリオである。これは，[HS1]と同様にコントローラでのヒントワード2から抽出されたものである。アクションも[HS1]と同様に，③および⑥の「格納容器ベント実施の協議および指示」に該当する。この相互作用で，「遅れ」（ガイドワード“Wrong timing”）が発生すると，格納容器破損という状態（ハザード）に至る。

[HS15]は，「フィルタベントを実施する際，誤操作によりフィルタを介さない格納容器ベントの実施」というハザードシナリオである。これは，コントロールループ（LOOP2）での運転員でヒントワード⑫「不適切な操作」から導出されたものである。これは，CSでのアクション⑧「格納容器ベント操作」に該当する。この相互作用で，「誤り」（ガイドワード“Providing”）が発生すると，シビアアクシデント時でのフィルタを介しない格納容器ベントという状態（ハザード）に至る。

これらハザードシナリオは，コントロールループ内のコントローラやアクチュエーターといった要素そのものの問題によりアクシデントに至るものであり，直観的にも導出しやすいシナリオであるといえる。しかしながら，CS内のアクションに対してガイドワード（与えられない，与えられる，誤ったタイミング，誤順序，早すぎる停止，長すぎる適用）を適用することにより論理的に抽出されていることがわかる。この結果は提案手法によりシナリオ分析がもれなく重要度を勘案しながら行われていることを示すものである。

2. 間接的にUCAを誘発するシナリオ

[HS14]，[HS3, HS13, HS16]，[HS4, HS6, HS7, HS10, HS12]，[HS5, HS8, HS9, HS11]は，Fig. 7に示すように間接的にUCAに至るシナリオである。1.と同様に，CSおよびコントロールループのどこで問題が生じることによりハザードに至るかについて整理することができる。

[HS14]は，格納容器除熱系の復旧時間の推定の誤りがハザードにつながるシナリオである。これは，コントロールループ（LOOP2）での「復旧統括」から「発電所対策本部長」へのフィードバックで「誤り」や「遅れ」（ヒントワード⑤「不適切な，欠けた，遅れたフィードバック」を適用）により発生する。これをCSでみると，フィードバックⒾおよびⒽ「復旧情報」に該当する。この相互作用で「誤り」や「遅れ」といった問題が生じることにより，異なる相互作用（アクション③および⑥の「格納容器ベント実施の協議および指示」）で誤り（ガイドワード“Providing”）が誘発され，格納容器破損という状態（ハザード）に至る。

[HS3, HS13, HS16]は，プラント状態の推定の誤りがハザードにつながるシナリオである。これらは，コントロールループ（LOOP2）のセンサーから発電所対策本部長へのフィードバックで「誤り」や「遅れ」（ヒントワード③「プロセスモデル - 矛盾，不完全，不正確」，⑬「不適切な操作」を適用）により発生する。これをCSでみると，フィードバックⒺおよびⒻ「プラント情報」に該当する。この相互作用で「誤り」や「遅れ」といった問題が生じることにより，別の箇所での相互作用（アクション③および⑥の「格納容器ベント実施の協議および指示」）で誤り（ガイドワード“Providing”）が誘発され，格納容器破損という状態（ハザード）に至る。

[HS4, HS6, HS7, HS10, HS12]は，避難状況の推定の誤りがハザードにつながるシナリオである。コントロールループ（LOOP1）の「地方自治体」から「オフサイトセンター」，「官邸・原子力規制庁」へのフィードバックで「誤り」や「遅れ」（ヒントワード⑤「不適切な，欠けた，遅れたフィードバック」，⑥「間違っている，提供されない，不正確である，遅れたフィードバック」，⑨「欠けている，間違っているプロセス入力」，⑬「不適切な操作」を適用）により発生する。これをCSでみると，フィードバックⒷおよびⒸ「避難情報」に該当する。この相互作用で「誤り」や「遅れ」といった問題が生じることにより，別の箇所での相互作用（アクション③および⑥の「格納容器ベント実施の協議および指示」）で遅れ（ガイドワード“Wrong Timing”）が誘発され，格納容器破損という状態（ハザード）に至る。

[HS5, HS8, HS9, HS11]は，避難指示の遅れがハザードにつながるシナリオである。コントロールループ（LOOP1）の「官邸・原子力規制庁」から「オフサイトセンター」，「地方自治体」からへの指示で「誤り」や「遅れ」（ヒントワード④「コンポーネント故障，経年劣化」，⑦「操作遅れ」，⑧「不適切な，有効でない，欠けたコントロールアクション」，⑫「不適切な操作」を適用）により発生する。これをCSでみると，アクション②「住民への避難指示」に該当する。この相互作用で「誤り」や「遅れ」といった問題が生じることにより，異なる相互作用（アクション③および⑥の「格納容器ベント実施の協議および指示」）で遅れ（ガイドワード“Wrong Timing”）が誘発され，格納容器破損という状態（ハザード）に至る。

これらハザードシナリオについては，発電所対策本部長，官邸・原子力規制庁による格納容器ベント実施判断および指示でのUCAが，別の問題により誘発されていることがわかる。すなわち，避難指示に関わる組織，プラント事故進展に関わる設備・組織・人での問題によりUCAが誘発されるといった幅広い相互作用について，コントロールループに対して13のヒントワードを適用することにより，論理的に導出できていることが確認された。

V. 結言

福島第一原子力発電所の事故以降，国内での新規制基準では，深層防護における第4レベルおよび第5レベルも含めた規制強化，リスク低減が図られてきているが，第4レベルと第5レベルを統合的に扱ったリスク対策の検討は十分になされていない。本研究では，原子力発電所におけるSA設備のうち放射性物質の放出に関する影響緩和手段である格納容器ベントに着目し，原子力緊急時対応の体制，SA時の原子力発電所内の体制，原子炉施設の設備も含めた組織-人-設備をSTPAによって統合的に扱い，公衆被ばくおよび土壌汚染の観点で重要となるハザードシナリオを論理的に抽出することできた。

従来は，訓練によって防災計画の検証，改善がなされてきているが，このようなリスク分析が，事業者と地方自治体の関係者の連携の上で実施され，リスク要因に対して適切な対策（手順書の改善など）が講じられることにより，原子力緊急時対応を含めた全体の更なるリスク低減に寄与できるものと考えられる。

References

1) N. G. Leveson, Engineering a Safer World: Systems Thinking Applied to Safety, MIT Press (2011).
2) T. Ishimatsu, N. G. Leveson, J. P. Thomas et al., “Hazard analysis of complex spacecraft using systems theoretic process analysis,” AIAA J. Spacecraft Rockets, (2013). DOI: 10.2514/1.A32449.
3) T. Pawlicki, A. Samost, D. W. Brown et al., “Application of systems and control theory-based hazard analysis to radiation oncology,” J. Med. Phys., 43, 1514 (2016). DOI: 10.1118/1.4942384.
4) S. Placke, J. P. Thomas and D. Suo, Integration of Multiple Active Safety Systems using STPA, SAE Technical Paper (2015). DOI:10.4271/2015-01-0277.
5) Road Vehicles - Safety of the Intended Functionality, ISO/PAS 21448: 2019.
6) N. G. Leveson and J. P. Thomas, STPA Handbook (2018). http://psas.scripts.mit.edu/home/get_file.php?name=STPA_handbook.pdf.
7) Office for Nuclear Regulation, Probabilistic Safety Analysis, NS-TAST-GD-030 (2019).
8) USNRC, Level 3 PRA Project (in progress). https://www.nrc.gov/about-nrc/regulatory/research/level3-pra-project.html.
9) EPRI, Systems Theoretic Process Analysis (STPA) Applied to a Nuclear Power Plant Control System (2013). http://psas.scripts.mit.edu/home/wp-content/uploads/2013/04/02_EPRI_MIT_STAMP_Mar2013.pdf.
10) Nuclear Regulation Authority, Regarding Interpretations of New Regulatory Requirements for Practical Nuclear Power Plants, NREP-0002 (2018), [in Japanese]. https://www.nsr.go.jp/data/000155788.pdf.
11) Tokyo Electric Power Company Holdings, Regarding Overview of Filtered Venting System (2013), [in Japanese]. https://www.tepco.co.jp/nu/fukushima-np/handouts/2013/images/handouts_130717_03-j.pdf.
12) Nuclear Regulation Authority, Regarding Filtered Venting System (2017), [in Japanese]. https://www.nsr.go.jp/data/000199919.pdf.
13) Tokyo Electric Power Company Holdings, Regarding the Adequacy for the Review Criteria of Necessary Technical Capability for the Prevention and Mitigation of the Severe Accidents for Commercial Nuclear Power Reactors (2016), [in Japanese].
14) Council for Nuclear Disaster, Manual for Nuclear Disaster (2013), [in Japanese]. https://www.kantei.go.jp/jp/singi/genshiryoku_bousai/pdf/taisaku_manual.pdf.
15) Nuclear Regulation Authority, Emergency Monitoring (2018), [in Japanese]. https://www.nsr.go.jp/activity/monitoring/monitoring6.html.

Abbreviations

BWR

Boiling Water Reactor

Control Action

Control Structure

Fission Product

HAZOP

Hazard and Operability Study

HCF

Hazard Causal Factor

Hazard Scenario

Isolation Condenser

NRA

Nuclear Regulation Authority

PRA

Probabilistic Risk Assessment

PAZ

Precautionary Action Zone

RPV

Reactor Pressure Vessel

Severe Accident

STAMP

System Theoretic Accident Model and Processes

STPA

System-Theoretic Process Analysis

UCA

Unsafe Control Action

Corresponding author

Register with J-STAGE for free!