2025 Volume 24 Issue 1 Pages 13-25
Nuclear operators have considered past troubles as failures and have taken measures to prevent their recurrence by eliminating the causes of such failures. Although these measures have contributed to improving nuclear safety, it is insufficient to strengthen them to improve safety further; a new perspective on safety is required. On the basis of the Safety-II concept, many troubles that did not result in significant harm can be regarded as instances where human actions have successfully contributed to avoiding undesirable harm. Safety can be further enhanced by focusing on human actions during such troubles and utilizing them as learning opportunities to encourage positive actions. Currently, however, the nuclear industry must still establish a systematic and practical method for learning positive lessons. In this study, we organized resilience potentials and human actions against off-normal events in nuclear power plant operations. A positive lesson learning method utilizing 11 categories of human action derived from this organization was proposed. The proposed method was applied to 96 manual shutdown events at Japanese PWRs. These analyses confirmed the sufficiency of the 11 categories in the analysis flow of the proposed method and the effectiveness of the resulting safety improvement measures in terms of Safety-II.
原子力発電所は事故が発生した場合の影響が甚大であり,高い安全性が要求されている。日本では,2011年に発生した東京電力福島第一原子力発電所事故(1F事故)の教訓を踏まえ,いわゆる新規制基準が施行された1)。原子力規制委員会がハードウェアとソフトウェア両面の対策を上乗せで要求したことで,既設の原子力発電所は一定の水準で安全性が向上しているものの,一層の安全性向上が継続的に求められている。
原子力事業者は過去に経験したトラブルを失敗事例と扱い,この原因を除去する再発防止対策を講じることで,一層の安全性向上に努めてきた。技術的要因が原因である場合は,原因を除去すれば当該事象が再発する可能性は低いため,機器の改良や取り替えといった再発防止対策が効果を挙げてきた。例えば加圧水型原子炉におけるNi基合金のPWSCC(Primary Water Stress Corrosion Cracking)に対しては,TT690合金の開発などにより克服したと考えられており,既設炉で蒸気発生器などの取り替えが順次進められているところである2)。ヒューマンファクターズについても,技術的要因と同様のアプローチ,すなわち原因分析により明確化された人的過誤を除去するような手順書の改訂などを行い,手順を遵守させるという再発防止対策が実施される場合が多い。確かに当該事象の再発防止の観点では規制対応としての説明性は高いものの,宮崎が典型的に指摘しているように,手順書の改訂は作業の効率向上を求めたり作業者が変わったりすると過誤の再発を招く可能性がある3)。さらに,事前にあらゆる状況を想定して適切な手順を定めておくことは現実的に困難である。このようなトラブルの原因を除去するという方策は安全性向上に寄与してきたが,一層の安全性向上のためにはこの方策を単に強めることだけでは十分ではなく,安全に対する新たな視点が必要となっている。
この観点から近年,Safety-IIとレジリエンスエンジニアリングが注目されている4)。従来の安全概念を意味するSafety-Iとは,「安全の定義は,うまくいかないことをできるだけ少なくすることである」という概念であり,品質マネジメントに代表される従来の安全向上方策の基本的概念である。品質マネジメントの取り組みは,原子力事業者による不正問題などの教訓を踏まえて2003年10月より規制要件化されている5)。品質マネジメントの取り組みとして行われる根本原因分析については,2007年12月に規制要件化され,事業者の根本原因分析実施内容を規制当局が評価するガイドラインが発行された6)。1F事故後には品質管理基準規則が新たに制定され,品質マネジメントに関する規制要件が強化されるとともに,原子力規制委員会から原因分析に関するガイド7)が発行されている。
弘津は,日米の原子力業界において実施されている根本原因分析手法の手順を(1)事象の把握(情報収集):なにが起きたのか,(2)問題点の特定:どのようにそれは起きたか,(3)背後要因追究:なぜそれは起きたか,(4)防止対策案の立案:どのように再発防止したらよいか,と要約したうえで,根本原因分析の手法の1つであるHINT/J-HPESとこの分析結果の活用方法を提案している8)。根本原因分析の手法には他にもSAFER9)やATOP10)などが開発されており,原子力事業者により活用されている。
Safety-IIとは,「安全の定義は,うまくいくことをできるだけ多くすることである」という新しい概念であり,レジリエンスエンジニアリングは,Safety-IIを具現化するための手段である。Hollnagelは,安全に関する伝統的な考え方(Safety-I)と新しい考え方(Safety-II)について次のように比較している11)。Safety-Iでは,許容できない結果はそれに先行する失敗や機能不全が原因で発生し,許容できる結果は人を含めたすべてのものが期待どおりに機能しているから発生するとしている。システムが正しく機能する前提は,システムが適切に設計され,細心の注意を払って維持管理され,かつ人々が教育・訓練どおり,期待されたとおりに行動することとしている。弘津による要約と比較すると,原子力分野における根本原因分析はSafety-Iの考え方に立脚していることがわかる。Hollnagelは,複雑さが増している現代の社会技術システムに鑑みると,このような安全のとらえ方は不十分であるとしている。Safety-IIでは,システムが正しく機能する前提は,人々が作業内容を作業環境に合わせて調整することができる「行動の可変性」にあり,設計上の不備や機能上の欠陥,リソース(時間,人的資源,物資,情報など)の制約がある中で,人間や組織が余分な変動要素を吸収できるバッファーの役割を果たしているからこそシステムが正しく機能するとしている。この行動の可変性は避けられないことであり,その必要性を認識し,監視し,制御することが必要であるとしている。このSafety-IIの考え方に基づけば,過酷な事故までに至らなかったトラブルの多くは人間の行為によって解決された成功例と捉えることができる。トラブルを経験したときの人間の行為に着目し,それを教訓として良好な行為を促すことで,安全性はさらに高まると考えられる。
レジリエンスエンジニアリングでは,レジリエンスを「システムが想定された条件や想定外の条件の下で要求された動作を継続できるために,自分自身の機能を,条件変化や外乱の発生前,発生中あるいは発生後において調整できる本質的な能力」と定義する12)。実用的な定義は,「意図された許容可能な結果(いい換えれば,うまくいく日々の活動)の数ができるだけ多くなるように,様々な条件下で成功する能力」とされている13)。レジリエントな振る舞いができるためには,以下に示す4つのレジリエンス・ポテンシャルが高いレベルにあることが必要とされている4)。
何をすべきかを知っている,一般的ならびに例外的な変化,外乱や好機に対して,あらかじめ準備した行動を行うこと,現時点での機能のモードを調整すること,新たな方策を考え出し創造することにより対処できること。
何をみるべきかを知っている,近い将来に組織のパフォーマンスによい意味または悪い意味で影響を与える可能性のあることを監視できること。
何を予見すべきかを知っている,未来に向かう事態の進展の様相,例えば潜在的な混乱の可能性,新たな要求や制約の発生,新たな好機の到来,操作条件の変化などを予見できること。
何が起こっているのかを知っている,経験から学ぶことができ,特に適切な事例から適切な教訓を学べること。
Safety-IIとレジリエンスエンジニアリングに関しては,想定外事象や状況変動という切り口から認知実験の範囲で基礎的研究14,15)が実施されているだけではなく,航空分野や医療分野ではこの分野に特化した応用的研究が実施されている16~18)。原子力分野についても同様に,あらかじめ準備している対策を超える事象が発生する可能性をゼロにすることはできないため,人間のレジリエントな対応能力の向上が必要であることが指摘されている19)。しかしながら,原子力分野では,原因を特定して除去するSafety-Iの考え方が主流となっており,前向きな教訓を学ぶ体系的で実効的な方法は確立されていない。Safety-IIとレジリエンスエンジニアリングに関する原子力分野に特化した応用的研究として,原子力発電所の建設プロジェクトを対象とした安全マネジメントに関するモデルの改訂の提案20)や原子力発電所の職員へのResilience Assessment Gridの適用21)があるが,これまでに経験した事象を対象とした適用例は少ない。このような適用例の1つとして吉澤らは,東京電力福島第一原子力発電所事故(1F事故)における3号機の注水回復事例を対象に,Safety-IIの考え方に基づいて,さらなる事故進展を食い止めた側面に着目して分析し,既存事故調査と異なった視点をもつ安全性向上の学習のあり方を明確化した22)。1F事故は詳細な調査結果が存在するが,その他原子力発電所で発生した多くのトラブルは,詳細な報告がほとんど公開されていない。吉澤らの分析では,レジリエンスエンジニアリングを一般的なシステムを対象とした方法論のまま活用しており,必ずしも詳細ではない多くのトラブル報告から教訓を抽出するには依然として課題がある。この課題の克服には,Safety-IIに基づいた体系的で実効的な分析手法が必要であると考えられる。
前述のように原子力分野では一層の安全性向上が求められており,失敗例だけではなく,成功例から学ぶ実効的な手法が必要となっている。本研究では,これまでに経験した事象における人間の「非正常時対応行為」を対象にして,Safety-IIの考え方に基づいた体系的で実効的な分析手法を構築することを目的とする。本研究では,正常から逸脱している状態,すなわち異常な状態や異常に至る徴候がある状態を「非正常」(off-normal)と定義する。
提案手法の利用者は,一般的な原因分析に関する知見やヒューマンファクタに関する知見を有する者を想定した。原子力事業者には,これらの知見を有する者が原子力発電所や本店に在籍しており,妥当な想定であると考える。
原子力発電所での業務には運転,保全,廃棄物処理などがあるが,これらの業務において最も影響が甚大であると考えられる事故は運転時の炉心損傷や格納容器破損である。人間の非正常時対応行為によって炉心損傷や格納容器破損を回避できた良好事例を分析するため,本研究では主に運転を対象として分析を行った。
レジリエンスエンジニアリングは特定のシステムではなく一般的なシステムを対象とした方法論であるため,提案手法では原子力発電所の運転を対象とするようにレジリエンスエンジニアリングを適合化する必要があると考えた。
第一に,原子力発電所の運転におけるプラントと,レジリエンス・ポテンシャルが発揮される行為との関係を整理した。ここで行為は,具体的な動作に限定せず認知的なものも含むと広く解釈し,レジリエンス・ポテンシャルが発揮される行為をそれぞれ「監視する行為」,「予見する行為」,「対処する行為」,「学習する行為」と表記する。なお,レジリエンス・ポテンシャルの定義によれば,例えば事象の進展を予測する行為は,状況認識の一部であり対処する行為であるとも解釈され得るが,本研究ではレジリエンスエンジニアリングを援用して先行研究22)と同じ立場で,これを予見する行為に分類する。
原子力発電所の運転におけるプラントと人間の関係は,マンマシンシステムとして捉えられてきた。人間信頼性解析手法の1つであり,原子力発電所における確率論的リスク評価で豊富な実績を有するTHERP(Technique for human error-rate prediction)23)や,新しい人間信頼性解析手法であるPhoenix24)では,人間をシステムの構成要素の1つであるとみなして,プラントの状態を認知し,判断し,プラントに対して操作するものとして人間をモデル化している。この観点に立って本研究では,認知がプラントから人間へのインプットであり,操作が人間からプラントへのアウトプットであるとみなして,プラントと人間の入出力を整理した。
原子炉制御室内で制御盤や大型表示装置によりパラメータを監視したり,現場で機器の異常を情報収集したりする行為であり,監視するポテンシャルが発揮されると考えられ,監視する行為であると整理した。
対処するポテンシャルが発揮されると考えられ,対処する行為であると整理した。
例えば水質検査のサンプリングに伴う操作のように,認知するための操作であれば監視するポテンシャルが発揮されると考えられ,監視する行為であると整理した。
人間信頼性解析には直接的に現れないが,保護具を着用して作業リスクを低減するという人間に対する操作があり,対処するポテンシャルが発揮されると考えられ,対処する行為であると整理した。
以上より,監視する行為によってプラントから人間に情報が入力(認知するための操作であれば,人間からプラントへの操作も同時)され,対処する行為によって人間からプラントまたは人間に操作がなされると整理した。
第二に,各レジリエンス・ポテンシャルが発揮される行為の因果関係を整理した。
例えば監視したパラメータに基づいて事象進展を予測したり機器を操作したりすることがあり,予見する行為または対処する行為に影響すると考えられる。
例えば事象進展の予測に基づいてパラメータを監視したり機器を操作したりすることがあり,監視する行為または対処する行為に影響すると考えられる。
非正常時に直面した時点で新たに学習するのではなく,事前に日々の運転や教育・訓練において学習した結果に基づいて監視,予見,対処する,という一方向の因果関係があると考えられる。
以上を図示するとFig. 1となる。学習する行為から出る矢印は,非正常時対応行為以前に実施されているパスであるため,点線としている。監視する行為から出て予見する行為に入る矢印の存在については,予見する行為に関するレジリエンスエンジニアリングの援用によるものである。
Organizing resilience potentials and human actions
第三に,原子力発電所の運転における人間の非正常時対応行為の種類を整理した。
非正常時に対応するためには,なんらかの事象が発生していることに気付く必要がある。
事象に気付いた後は,事象が発生した要因を突き止めてこれを除去したり,時々刻々と変化するプラント状態に追従したりする必要がある。
(2)や(3)の対応を安全にできない場合には,作業リスクへの対応が必要である。
(2),(3)および(4)の対応において,プラントの運転を継続できないと判断した場合には,プラントの停止を行う必要がある。なお,レジリエンスの定義にあるような,要求された動作の継続するための行為ではないため,(2),(3)および(4)とは別のものとして扱う。
例えば「タンクの圧力が徐々に低下する事象」では,圧力パラメータ低下に気付く行為が(1)事象発生への対応,タンクの穴を塞ぐ行為が(2)事象要因への対応,タンクを再加圧する行為が(3)事象進展への対応,有害ガス濃度を測定する行為が(4)作業リスクへの対応に該当する。
第四に,整理した非正常時対応行為の種類を,学習するポテンシャルを除く3つのレジリエンス・ポテンシャルと関連付けて再整理した。
認知,判断,操作のうち認知に該当し,監視するポテンシャルに関連付けられる。
3つのレジリエンス・ポテンシャルに関連付けて再整理できる。
3つのレジリエンス・ポテンシャルに関連付けて再整理できる。
3つのレジリエンス・ポテンシャルに関連付けて再整理できる。
プラントの状態を変えるための操作に該当し,対処するポテンシャルに関連付けられる。
以上の整理結果を要約すれば11種のカテゴリーに分けられ,これをTable 1に示す。このカテゴリーの分類については,IV.章結果1.節有効性確認の方法で後述するが,事例の分析を通じてこの十分性を確認している。
| Actions | Monitoring | Anticipating | Responding |
|---|---|---|---|
| Event occurrence | Perception of event occurrence | - | - |
| Causal factors | Collection of information on causal factors | Estimation of causal factors | Elimination of causal factors |
| Event development | Observation of event development | Prediction of event development | Mitigation of event development |
| Work risks | Confirmation of work risks | Assumption of work risks | Reduction of work risks |
| Plant shutdown | - | - | Plant shutdown operation |
本研究ではレジリエンスエンジニアリングに基づいて導出した11種のカテゴリーを活用した分析手法を提案する。本手法はSafety-IIが提唱するような,あくまでも良好な行為の促進に主眼を置いて分析する特長がある。提案する手法の分析フローは以下のとおりである。
(1) トラブル報告書から非正常時対応行為を抽出トラブル報告書に記載されている人間の行為から,非正常時対応行為を体系的に抽出する。ここでいう体系的とは,トラブル報告書に記載されているすべての人間の行為から,正常時の行為であるものを除いたのち,Safety-IIの考え方に立脚して定義した「監視する行為」,「予見する行為」および「対処する行為」に細分化しながら非正常時対応行為を抽出することを指す。例えばトラブル報告書に「タンクの圧力が低下していたのでタンクを再加圧した。」という旨の記載があれば,「タンクの圧力低下の知覚」(監視する)と「タンクの再加圧操作」(対処する)という2個の非正常時対応行為が抽出される。抽出した人間の行為を時系列や因果関係に沿って整理する。
(2) 抽出した人間の行為を11種のカテゴリーに分類抽出した人間の行為を,レジリエンスエンジニアリングに基づいて導出した11種のカテゴリーに分類する。人間の行為が複数のカテゴリーにまたがる場合には,11種のカテゴリーに分類できるよう非正常時対応行為を細分化する。
(3) 各カテゴリーの人間の行為を分析し,安全性向上策を立案人間の行為の分析として,事象の収束に寄与していることを良好であると捉え,時系列や因果関係に沿って,それぞれの人間の行為において良好であった点やより良好となる点を抽出する。良好であった点とは,当該の行為において事象の収束に寄与したと考えられる点とし,より良好となる点とは,当該の行為においてなんらかの改善がなされれば事象の収束により寄与し得たと考えられる点とする。その後,トラブル当時の状況を考慮しながら,良好であった点やより良好となる点を促進させる方策を検討する。提案手法は必ずしも当該のトラブルの再発防止のみに主眼を置いている訳ではなく,導出した教訓を幅広く展開することに意義があるため,構築物,系統または機器を可能な限り特定しないよう留意した上で安全性向上策として立案する。抽出したすべての人間の行為を分析してカテゴリーごとにまとめる。
本研究では,提案手法の分析フローにおけるレジリエンスエンジニアリングに基づき導出した11種のカテゴリーの十分性と,結果として得られる安全性向上策のSafety-IIの観点での有効性,以上2つの観点から手法の有効性を確認した。これらの観点で手法の有効性を確認するため,複数の事象を対象に分析を行った。分析者は,原子力分野において原因分析やヒューマンファクタに関する業務経験を有しており,提案手法の利用者の想定を満たしている。
分析対象は,日本国内の加圧水型原子炉が経験した手動停止事象から選定した。選定理由は,停止事象は軽微なトラブル事象よりも多くの情報が調査,公表されており,このうち手動停止事象は自動停止事象とは異なり非正常時対応行為によって原子炉の停止に成功しているためである。事象に関する情報は,電気事業連合会がWeb上で運営する原子力施設情報公開ライブラリー「ニューシア」を参照するとともに,必要に応じて電力会社が公開しているプレスリリース等の情報を参照した。分析対象の選定では,恣意的に事象を排除しないよう,以下のスクリーニング手順を定めて実施した。
手順(1)で98件の事象を抽出し,手順(2)で1件の事象(報告書番号:2007-北海道-T007,件名:泊発電所1号機ディーゼル発電機起動不能に伴う原子炉手動停止について)を除き,手順(3)で1件の事象(報告書番号:1999-関西-T022,件名:復水器真空度低下によるユニット手動停止について)を除くことで,合計96件の事象を対象に分析を行った。本報では詳細な分析例を2例示すとともに,96件の分析をまとめた結果を示す。
2. 分析例1「泊発電所2号機再生熱交換器胴側出口配管からの漏えい」(報告書番号:2003-北海道-T001)25)この事象は,北海道電力㈱の原子力発電所である泊発電所2号機で,PWRの化学体積制御系を構成する再生熱交換器の胴側出口配管から1次冷却水の漏えいが発生し,詳細調査や補修のため原子炉を安全に手動停止させた事象である。時系列は以下のとおり。
本事象は,再生熱交換器内の主流(低温水)とバイパス流(高温水)の混合により発生する温度ゆらぎによる当該配管の熱疲労が主な要因となり,再生熱交換器下流に設置された抽出オリフィスに起因する配管の微小な振動も寄与して,ひび割れが発生,進展し,漏えいに至ったものと推定された。再発防止対策として,今回ひび割れがあった下段再生熱交換器胴側出口の管台およびエルボの構造を改良したものに取り替えた。また,ほかの高温水と低温水の合流箇所についても超音波探傷検査を実施した。
北海道電力㈱は,推定した原因を除去する機器の改善を行うとともに,同様のメカニズムでのひび割れが想定される使用環境にある機器を検査することで,適切に再発防止と水平展開を図っている。しかし報告書に記載された分析結果では,事象に対応する人間の行為に着目されていない。本提案手法を適用することで更なる安全性向上策が得られる可能性があると考えた。
トラブル報告書から16個の非正常時対応行為を体系的に抽出した。抽出した人間の行為を時系列や因果関係に沿って整理した結果(抜粋)をFig. 2に示す。
抽出した人間の行為を,レジリエンスエンジニアリングに基づいて導出した11種のカテゴリーに分類した結果をTable 2に示す。事象発生の知覚に1個,事象要因の情報収集に6個,事象要因の推定に2個,事象要因の除去に1個,事象進展の経過観察に1個,事象進展の予測に1個,作業リスクの確認に1個,作業リスクの想定に2個,プラントの停止操作に1個分類された。どのカテゴリーにも分類できない非正常時対応行為はないことを確認した。
時系列や因果関係に沿って,それぞれの人間の行為において良好であった点やより良好となる点を分析し,立案した安全性向上策をTable 3に示す。16個の非正常時対応行為のうち,13個で安全性向上策が立案される可能性を示した。残る3個は,直前の非正常時対応行為に基づいた自明な推定などであり,これらの非正常時対応行為では良好であった点やより良好となる点が見い出されず,安全性向上策が立案されなかったと考えられることは妥当である。複数の非正常時対応行為で同一の安全性向上策が立案される場合もあり,結果として,事象要因の情報収集では「ある非正常により情報収集するパラメータの事前検討」,「工学的に可能かつ運転員の負荷にならない範囲での計測パラメータの充実」,事象要因の除去では「事象要因を含む系統の迅速な切り替え」など,7種のカテゴリーで合計11個の安全性向上策が立案される可能性を示した。
Organizing human actions against off-normal events in Analysis Example 1
| No. | Human actions against off-normal events | Category |
|---|---|---|
| 1 | Perception of rising water level trend in the containment vessel sump | Perception of event occurrence |
| 2 | Estimation of a leak of the primary cooling water or other in the containment vessel | Estimation of causal factors |
| 3 | Identification of a leak of the primary cooling water by testing the containment vessel sump water | Collection of information on causal factors |
| 4 | Confirmation of puddles on the floor of the regenerative heat exchanger room using the surveillance camera | Collection of information on causal factors |
| 5 | Assumption that on-site inspection will be difficult due to high temperatures etc. | Assumption of work risks |
| 6 | Observation of a small amount of steam coming out of the lower part of the regenerative heat exchanger by the surveillance camera | Collection of information on causal factors |
| 7 | Estimation of failure in the regenerative heat exchanger | Estimation of causal factors |
| 8 | Switching the letdown line from the normal line to the excess letdown line | Elimination of causal factors |
| 9 | Confirmation that the leak rate has decreased and the leak has stopped | Observation of event development |
| 10 | Assumption that on-site inspection will be difficult due to high temperatures etc. | Assumption of work risks |
| 11 | Confirmation that detailed surveys are possible | Confirmation of work risks |
| 12 | Visually observation of a small amount of steam coming out of the welded part by removing thermal insulation materials from the regenerative heat exchanger’s tube outlet nozzle and pipe | Collection of information on causal factors |
| 13 | No indication of leakage by liquid penetrant testing (PT) | Collection of information on causal factors |
| 14 | Indication of leakage by ultrasonic testing (UT) | Collection of information on causal factors |
| 15 | Prediction of the need for the regenerative heat exchanger repair and plant shutdown | Prediction of event development |
| 16 | Plant shutdown operation | Plant shutdown operation |
| Category | No. | Positive or more positive points | Measures |
|---|---|---|---|
| Perception of event occurrence | 1 | More positive point: The water level rise in the containment vessel sump was confirmed about two hours after it began. It is difficult for operators to monitor many parameters on time. | Utilization of plant computers |
| Collection of information on causal factors | 3 | Positive point: This is a leak event inside the containment vessel, and it is important to determine whether it is a primary system leak or not. | Pre-consideration of the parameters to be collected in a specific off-normal event |
| 4 | More positive point: It is thought that the information gathering for the leak point was done by brute force. | Enhancement of measurement parameters to the extent technically feasible and not unduly burdensome to operators | |
| 6 | Positive point: Surveillance cameras were used to gather information and locate the leak point. | Enhancement of alternative means of on-site inspection | |
| 12 | Positive point: Several types of inspections were used to confirm the location of the leak and the size of the crack, and this information was used to determine whether the plant should be shut down. | Collection of information using multiple available methods | |
| 13 | Same as No.12 | Same as No.12 | |
| 14 | Same as No.12 | Same as No.12 | |
| Elimination of causal factors | 8 | Positive point: The primary system leak required that the leak be stopped as quickly as possible to prevent the release of radioactive material. The leak was isolated as soon as the leak point was identified. | Quick switch from the system with causal factors to the system without them |
| Observation of event development | 9 | Positive point: The relevant plant status was checked after the operation and the success to achieve the operation objective was confirmed. | Confirmation of the effectiveness of the previous operation |
| Prediction of event development | 15 | Positive point: Although the event was resolved, the event development was predicted from a long-term perspective and the decision was made to shut down the plant. | Consideration of plant shutdown based on long-term event development |
| Confirmation of work risks | 11 | Positive point: Work began after it was confirmed that the thermal insulation materials could be removed. | Appropriately confirmation of the work risks related to whether on-site work can be performed |
| Assumption of work risks | 5 | Positive point: The heat exchanger room is located inside the containment vessel and handles high-temperature primary cooling water, so work risks were assumed. | Assumption of work risks related to whether work can be performed before starting on-site work |
| 10 | Positive point: It was assumed that it would be difficult to confirm the site immediately after switching the system due to high temperatures etc. |
No on-site inspection until the work risks are reduced |
この事象は,関西電力㈱の原子力発電所である大飯1号機で,PWRの非常用炉心冷却系を構成する蓄圧タンクの安全弁が異常動作して蓄圧タンク内の圧力が低下し,詳細調査のため原子炉を安全に手動停止させた事象である。時系列は以下のとおり。
本事象では,安全弁が開く圧力(吹き出し圧力)と開いた後に閉止する圧力(吹き止まり圧力)の両方が低下してこのような圧力変動となった。吹き出し圧力低下については,前回の安全弁分解点検時に弁体および弁座のシート面の手入れ時間が短く,シート面が粗い状態であったことで,格納容器内の温度上昇に伴ってタンク内の圧力が徐々に高くなり安全弁が動作したと推定された。吹き止まり圧力低下については,安全弁取り外し・取り付け作業時に,異物が配管内に混入しており,安全弁作動時に弁体と弁体ガイドの隙間に噛み込んだものと推定された。再発防止対策は以下のとおり。
関西電力㈱は,吹き出し圧力の低下と吹き止まり圧力の低下の両方について,推定原因が起こる可能性を減らす手順や方法に改善する対策を実施しており,再発防止に一定の効果があるものと考えられる。分析例1と同様に,提案手法を適用することで更なる安全性向上策が得られる可能性があると考えた。
トラブル報告書から8個の非正常時対応行為を体系的に抽出した。
抽出した人間の行為を,レジリエンスエンジニアリングに基づいて導出した11種のカテゴリーに分類した結果をTable 4に示す。事象発生の知覚に1個,事象要因の情報収集に2個,事象要因の推定に1個,事象進展の経過観察に2個,事象進展の緩和に1個,プラントの停止操作に1個分類された。どのカテゴリーにも分類できない非正常時対応行為はないことを確認した。
時系列や因果関係に沿って,それぞれの人間の行為において良好であった点やより良好となる点を分析し,立案した安全性向上策をTable 5に示す。8個の非正常時対応行為のうち,6個で安全性向上策が立案される可能性を示した。残る2個は,事象発生の瞬間に警報が発報し,これ以前に知覚できないと考えられるものや,直前の非正常時対応行為に基づいた自明なプラント停止操作であり,これらの非正常時対応行為では良好であった点やより良好となる点が見い出されず,安全性向上策が立案されなかったと考えられることは妥当である。事象要因の情報収集では「ある非正常により情報収集するパラメータの事前検討」,「作業リスクの及ばない範囲で現場確認し,詳細な情報収集を行うこと」,事象要因の推定では「事象要因が不明な場合には最悪の状態を想定すること」,事象進展の経過観察では「操作の効果を確実に確かめること」,「事象に関係するパラメータの継続監視」,事象進展の緩和では「緊急性が高い場合,事象要因が特定されていなくても事象進展を緩和すること」という合計6個の安全性向上策が立案される可能性を示した。
| No. | Human actions against off-normal events | Category |
|---|---|---|
| 1 | Cognition of the high or low alarm on the C-accumulator’s pressure | Perception of event occurrence |
| 2 | Confirmation of pressure drop (4.60 MPa -> 3.65 MPa) and below the limiting conditions for operation (4.04 MPa) | Collection of information on causal factors |
| 3 | Nitrogen supply from the nitrogen supply line to the C-accumulator | Mitigation of event development |
| 4 | Confirmation of pressure recovery to 4.09 MPa | Observation of event development |
| 5 | Confirmation that there are no external defects by visually inspecting the C-accumulator and the valves and piping around the accumulator | Collection of information on causal factors |
| 6 | Observation that the pressure is holding steady at 4.08 MPa | Observation of event development |
| 7 | Estimation of the need to investigate the cause of the pressure drop and to implement countermeasures for undetected failures | Estimation of causal factors |
| 8 | Plant shutdown operation | Plant shutdown operation |
| Category | No. | Positive or more positive points | Measures |
|---|---|---|---|
| Collection of information on causal factors | 2 | Positive point: Based on the consolidated alarm, the parameters complementary to the alarm were immediately checked and the off-normal event was grasped. | Pre-consideration of the parameters to be collected in a specific off-normal event |
| 5 | Positive point: The appropriate inspection points were selected based on the cognition of the off-normal. | On-site inspection and collection of detailed information to the extent that it does not pose work risks | |
| Estimation of causal factors | 7 | Positive point: The detailed causal factors were treated as unknown. | Assumption of worst-case scenario when causal factors are unknown |
| Observation of event development | 4 | Positive point: The relevant plant status was checked after the operation and the success to achieve the operation objective was confirmed. | Confirmation of the effectiveness of the previous operation |
| 6 | Positive point: The operation continued while monitoring the parameters, and the trend was properly captured. | Continuous monitoring of event-related parameters | |
| Mitigation of event development | 3 | Positive point: Immediate action was taken to avoid deviation from the limiting conditions for operation. | Mitigation of event development before identifying the causal factor in cases of high urgency |
96事象のトラブル報告書から非正常時対応行為を体系的に抽出したところ,466個の非正常時対応行為を抽出した。非正常時対応行為を抽出できない事象はないことを確認した。
96事象から抽出した466個の非正常時対応行為を,レジリエンスエンジニアリングに基づいて導出した11種のカテゴリーに分類した結果,事象発生の知覚に97個,事象要因の情報収集に81個,事象要因の推定に59個,事象要因の除去に18個,事象進展の経過観察に71個,事象進展の予測に15個,事象進展の緩和に8個,作業リスクの確認に3個,作業リスクの想定に13個,作業リスクの低減に4個,プラントの停止操作に97個分類された。すべてのカテゴリーに非正常時対応行為が1個以上分類されたこと,11種のカテゴリーに分類されない非正常時対応行為がなかったことを確認した。
時系列や因果関係に沿って466個の非正常時対応行為を分析した結果,延べ291個の安全性向上策が立案された。安全性向上策の個数は,同一の事象内の非正常時対応行為で同一の安全性向上策を立案した場合を数えず,異なる事象の非正常時対応行為で同一の安全性向上策を立案した場合を数えた延べ数としている。
各事象から立案した安全性向上策の数を示したグラフをFig. 3に示す。安全性向上策が立案されなかった事象は0件,安全性向上策が1つ立案された事象は13件,2つ立案された事象は36件,3つ立案された事象は23件,4つ立案された事象は6件,5つ立案された事象は8件,6つ以上立案された事象は10件であり,恣意性なく分析対象に選定した96事象のすべてで1つ以上の安全性向上策が立案されたことを確認した。
Number of safety improvement measures derived from each case
各カテゴリーで立案された安全性向上策の数を示したグラフをFig. 4に示す。総数延べ291個(重複を除くと71個)のうち,事象発生の知覚が延べ80個(重複を除くと12個),事象要因の情報収集が延べ74個(重複を除くと14個),事象要因の推定が延べ16個(重複を除くと4個),事象要因の除去が延べ17個(重複を除くと8個),事象進展の経過観察が延べ47個(重複を除くと8個),事象進展の予測が延べ13個(重複を除くと8個),事象進展の緩和が延べ6個(重複を除くと1個),作業リスクの確認が延べ3個(重複を除くと2個),作業リスクの想定が延べ11個(重複を除くと5個),作業リスクの低減が延べ5個(重複を除くと4個),プラントの停止操作が延べ19個(重複を除くと5個)であった。この結果から,すべてのカテゴリーにおいて安全性向上策が立案されたことを確認した。
Number of safety improvement measures derived from each category
以上より,すべてのカテゴリーに非正常時対応行為が1個以上分類され,かつすべてのカテゴリーにおいて安全性向上策が立案されたこと,11種のカテゴリーに分類されない非正常時対応行為がなかったことから,分析フロー(2)における11種のカテゴリーの十分性が確認されたと考える。
全事象から立案された安全性向上策をカテゴリーごとに分けたもの(抜粋)をTable 6に示す。括弧内の数字はこの安全性向上策が立案された事象数で,この数が2以上のものは複数の事象で共通に立案された安全性向上策であることを示している。Table 6で抜粋した基準は,この事象数が各カテゴリーで上位2位までのもの(2位が同数であるカテゴリー(事象要因の除去および作業リスクの低減)では主要なもの)とした。71個の安全性向上策のうち,1つの事象で立案された安全性向上策は35個であり,複数の事象で共通に立案された安全性向上策は36個であった。立案された安全性向上策はいずれも特定の構築物,系統または機器に依存しないものであり,かつ複数の事象で共通に立案された安全性向上策が存在することから,提案手法によって当該事象の再発防止に限らない適用性を有する安全性向上策が立案されることが示されたと考える。
| Category | Example of measures |
|---|---|
| Perception of event occurrence (12 measures) |
Monitoring of many parameters during operation (28) Performing a wide range of inspections without assuming that the component is normal (15) |
| Collection of information on causal factors (14 measures) |
On-site inspection and collection of detailed information to the extent that it does not pose work risks (25) Pre-consideration of the parameters to be collected in a specific off-normal event (23) |
| Estimation of causal factors (4 measures) |
Assumption of worst-case scenario when causal factors are unknown (9) Pre-consideration of causal factors by parameter value and trend (4) |
| Elimination of causal factors (8 measures) |
Pre-preparation for emergency measures (8) Quick switch from the system with causal factors to the system without them (2) |
| Observation of event development (8 measures) |
Continuous monitoring of event-related parameters (22) Confirmation of the effectiveness of the previous operation (16) |
| Prediction of event development (8 measures) |
Quantitative prediction based on data (5) Quick and accurate decision on the urgency of an event (2) |
| Mitigation of event development (1 measure) |
Mitigation of event development before identifying the causal factor in cases of high urgency (6) |
| Confirmation of work risks (2 measures) |
Appropriately confirmation of the work risks related to whether on-site work can be performed (2) Confirmation of work risks using as many different methods as possible (1) |
| Assumption of work risks (5 measures) |
Assumption of work risks related to whether work can be performed before starting on-site work (6) Assumption of work risks based on causal factors and event development (2) |
| Reduction of work risks (4 measures) |
Appropriate work stoppage based on work risks (2) Implementation of on-site measures to reliably prevent work risks (1) |
| Plant shutdown operation (5 measures) |
Shutdown at the appropriate time without compromising safety (10) Shutdown prioritizing component protection (4) |
Safety-IIの考え方に基づく提案手法は,Safety-Iの考え方に基づく原因分析と再発防止対策を否定するものではなく,事故の分析では,Safety-Iの考え方とSafety-IIの考え方を併用することで一層の安全性向上を図ることができると考えられる。提案手法による安全性向上策の有効性については,一例として挙げれば「ある非正常により情報収集するパラメータの事前検討」の対策は,重大事故等の範囲において新規制基準対応の一環で取り組まれている事項であるが,重大事故等以外の事象に展開しても有効性があると考えられる。さらに例を挙げれば「運転時に幅広くパラメータを確認すること」のような対策は,運転員の基本動作であると解釈され得る。しかしながら,提案手法によって分析することで「当該のトラブルは運転員が基本動作を習得していたからこそ収束できた」という事実をレジリエンスエンジニアリングに立脚して導くことができる。原子力事業者による一般的な教育訓練の中で強調される基本動作の重要性を学術的に裏付ける観点で有効性があると考えられる。このように,提案手法によって立案された安全性向上策は,Safety-Iが指向するトラブルの原因の除去だけではなく,Safety-IIが目指す「うまくいくことをできるだけ多くする」ことと整合しており,Safety-IIの観点で有効であると考えられる。得られた安全性向上策は,特定の構築物,系統または機器に依存しないために抽象的なものが多いが,教訓を反映する組織ごとに具体化できる自由度を有していると考えられる。ある組織が対象とする業務や,これまでの業務を通じて見い出されている組織の長所や短所を考慮しながら,得られた安全性向上策を各組織で協議して具体化することが可能であると考えられる。単なる水平展開に留まらず,組織ごとに最適な安全性向上策を検討できる可能性があることを強調したい。
品質マネジメントにおける根本原因分析に代表される既存のトラブル分析手法では,事象のプロセスのうち問題があったと考えられる部分を分析対象として抽出し,その他の部分は分析対象から除外される。一方,提案手法ではすべての非正常時対応行為を分析対象とすることから,事象を成功事例としても扱い,人間の良好な行為にも目を向けることができていると考えられる。この結果から,提案手法は人間をシステムに対してヒューマンエラーを起こし負の影響を及ぼすだけの存在として捉えるのではなく,人間をポジティブな要素として捉えることができていると考える。以上より,Safety-IIの観点で有効な安全性向上策が立案できることについて,提案手法の有効性が確認されたと考える。
本研究では,原子力発電所の運転を対象としてレジリエンス・ポテンシャルと非正常時対応行為を整理し,レジリエンスエンジニアリングに基づいた体系的で実効的な分析手法を構築した。提案手法の分析フローは,(1)「トラブル報告書から非正常時対応行為を抽出」,(2)「抽出した人間の行為を11種のカテゴリーに分類」,(3)「各カテゴリーの人間の行為を分析し,安全性向上策を立案」である。国内全PWRにおけるすべての手動停止事象から合理的に2事象を除外した96事象を分析することで,提案手法の分析フローにおけるレジリエンスエンジニアリングに基づき導出した11種のカテゴリーの十分性と,結果として得られる安全性向上策のSafety-IIの観点での有効性を確認した。
原子力事業者は,提案手法を活用して得られる対策をプラント運転員の参考事例集として活用することで,一層安全性を高めることができると期待される。
今後は,原子力発電所の保全など運転以外を対象とした手法を検討する計画である。
東北大学名誉教授,㈱テムス研究所所長の北村正晴先生には本報の執筆する際にご助言を頂きました。ここに記して深く感謝の意を表します。
