1

深層防護について改めて考える

本スライドの内容は、標準委員会の原子力安全検討会・原子力安全分科会・深層防護WGでの議論・報告書、また、深層防護ワークショップ、深層防護トピカルミーティングなどの議論を参考にしているが、必ずしもこれらの場での議論を代表するものではない。

名古屋大学 山本章夫

原子力安全部会夏期セミナー2015年8月18日

様々な深層防護

2

3

深層防護：自動車

異常発生の防止 Ex.シフトレバーを“P”にしないとエンジンがかからない

異常の緩和、事故への進展防止 Ex.ブレーキアシスト(急ブレーキを踏んだとき、自動的にブレーキ力を高める)

アンチスキッドブレーキ

人的被害の防止 シートベルト

エアバッグ

人的被害の緩和 救急医療搬送

深層防護：サイバーセキュリティ分野

4http://www.slideshare.net/OTNArchbeat/rationalization-and-defense-in-depth-two-steps-closer-to-the-clouds?related=2

深層防護：サイバーセキュリティ分野

5http://www.slideshare.net/OTNArchbeat/rationalization-and-defense-in-depth-two-steps-closer-to-the-clouds?related=2

6

航空(セキュリティ)分野テロリスト

(ハイジャック

)の進入経路

諜報

活動

税関

と出

国審

査

官庁

間の

共同

の対

策

搭乗しなかった人のリスト

http://www.tsa.gov/what_we_do/layers/index.shtm

乗務

員の

身元

調査

輸送

の安

全に関

する計

画

犬 怪しい挙

動を見

つける検

査官

旅行

に関

係する書

類の

チェック

チェックポイント

/輸送

の保

安官

荷物

のチェック

保安

状況

の検

査官

ランダムな従

業員

のチェック

爆弾

発見

の検

査官

連邦

軍の

関与

連邦

の搭

乗保

安官

訓練された搭乗員

法律

によってサ

ポートされ

た保

安院

強化

され

たコックピットの

ドア

乗客

(の協

力)

原子力分野

第1層：異常状態の防止 安全文化、保守的設計・建設・運転・保守の高い品質

第2層：異常運転の検知と制御、異常状態の緩和、DBAの防止 計装系、制御系、保護系

第3層：DBAの緩和、BDBAの防止 工学的安全性施設、主として恒設機器による自動対応

第4層：BDBAの緩和 SA対応機器(恒設および可搬)、SAマネージメント

第5層：周辺における放射線影響緩和 オフサイト緊急時対応

7

原子力分野の深層防護の一例

IAEA WENRA NUREG-1860 新規制基準

8

IAEA(INSAG-10)

9AESJ-SC-TR005 (ANX):2013原子力安全の基本的考え方について第Ⅰ編 別冊深層防護の考え方,標準委員会技術レポート

疑問点：「格納容器」はなぜ、第4層で使用可能と想定できるのか？格納容器は、設計基準超の条件で設計されるのか？

WENRA

10AESJ-SC-TR005 (ANX):2013原子力安全の基本的考え方について第Ⅰ編 別冊深層防護の考え方,標準委員会技術レポート

疑問点：第4層の当初設計、とは何か？設計基準超の状態で何かを基準にした設備設計をすると言うことか？

NUREG-1860

11AESJ-SC-TR005 (ANX):2013原子力安全の基本的考え方について第Ⅰ編 別冊深層防護の考え方,標準委員会技術レポート

新規制基準

12http://www.meti.go.jp/press/2012/08/20120827001/20120827001-2.pdf

深層防護をどう理解し、利用すべきか

13

「深層防護」に関する様々な議論

深層防護には、様々な形があり、混乱・論争のタネになってきた

レベルの数はいくつであるべきか

第3層を3a, 3bに分けるか 炉心損傷をもって第4層とすべきか 第4層は2つに分けるべきか レベルなのか層なのか

その他いろいろ

なぜ混乱・論争があるのか?どう考えれば良いのか?

14

「深層防護」に関する様々な議論

これまでの議論の過程で分かった課題

深層防護の「概念」と「実装」が入り交じった形で議論がなされている。

立場によって「深層防護」のイメージが異なる 設備設計でどう対応するか、というイメージを持つ人

マネジメントでどう対応するか、というイメージを持つ人

・・・

「設計」という言葉の理解を巡る混乱 とくに「設計基準」という言葉の定義

これが深層防護のレベル分けの定義と「干渉」し混乱する

「独立性」という言葉の理解を巡る混乱

15

なので・・・

まず、基本に立ち返って(すなわち達成すべき目標に立ち返って)、深層防護の概念について考える。

その後、その概念を具現化するための実装方法について検討する。

16

原子力安全の目的と深層防護の関係

達成したいことは

安全 原子力安全

原子力安全の目的：人と環境を放射線リスクから防護する

労働安全

安心

深層防護は、原子力安全目的を達成するための基本的な考え方

深層防護と異なるアプローチはあるかもしれないが、見つけ出すことはできていない。

17

この範囲の深層防護も考えられると思うが・・・

今日の話の主眼はこの範囲

基本に立ち返って：なぜ深層防護?

不確かさがない世界では、深層防護は不要

例えば、事故シーケンスが全て判明していたら深層防護は不要。

深層防護は不確かさへの備えであるべき

そのためには、どのような特性が必要とされるか?

単一の防護策では、「銀の弾丸*)」にならない

万能の(完璧な)単一の防護策(防止策または緩和策)はなく、必ず弱点がある(と考える)

従って、多種の防護策を組み合わせることで、全体としての信頼性をできるだけ向上させる

18

*)銀の弾丸:銀の弾丸（ぎんのだんがん、英語: silver bullet）とは銀で作られた弾丸で、西洋の信仰において狼男や悪魔などを撃退できるとされ、装飾を施された護身用拳銃と共に製作される。現代においては文字どおりの弾丸を意味するものではなく、狼男や悪魔を1発で撃退できるという意味から転じた比喩表現として用いられる場合が多い。例えば、ある事象に対する対処の決め手や特効薬、あるいはスポーツで相手チームのエース選手を封じ込める選手などを表現する場合に用いられる。（Wikipedia)

深層防護の概念

深層防護とは、不確かさへの備えとして、多種の防護策を組み合わせることで、全体として防護の信頼性をできるだけ向上させる概念である。

この概念をどのように展開すれば良いのか?

19

どの「深層防護」がよいのか

深層防護には「概念」と「実装」の二つの側面があり、「概念」については、おおむね共通理解が得られているように思われる (この前提は正しいか?)

議論の対象になっているのは、深層防護を実際に適用する際の問題、つまり「実装」の違い。

深層防護の実装は、様々な形態を取りえると考えてよいのではないか。つまり、唯一無二の「正解」はない。

すなわち、レベルの数や、各レベルがどのような役割を果たすか自体は、本質的な問題ではない

20

どの「深層防護」がよいのか

そうすると、深層防護の「実装」の「良し悪し」をどのように議論すべきか?

深層防護は、原子力安全を実現することが目的であることから、実装された深層防護の有効性を検証するための考え方や方法(有効性評価)が重要である カール・ホパーの反証可能性に則った考え方

これにより、「哲学論争」を回避できる

また、深層防護は、原子力安全を達成するための手段であることから、深層防護を適用(実装)するための具体的な手順を確立する必要がある

これにより、深層防護を実際のプラント設計に活用することができる。

21

深層防護実装の手順と有効性評価の一提案

22

深層防護の基本的な実装方針

複数の防護の目的(防護レベル、守るべきもの)を設定

防護の目的を達成するため(防護レベルを突破されないため)の防止策と緩和策を設定

異なった防護レベル間の防止策・緩和策は広義の独立性を有するように設定する。

この点、重要。従来の「多重性・多様性・独立性」との関係は後で議論。

以上のことから、深層防護全体として、原子力安全の目的を達成する

23

防護レベルの設定の考え方（１）

各防護レベルの信頼性

それぞれのレベルで最善を尽くすことで、全体としての効果が向上することが期待される

設備および運用・管理の両面からの取り組みが必要

確固たる安全文化、継続的改善活動、運転経験に学ぶ活動

高田、第1回深層防護ワークショップ講演資料, 2014.8.22を参照して作成。一部改変。

24

防護レベルの設定の考え方（２）

各防護レベルの独立性

ある防護レベルにおける設計、機能、対策等が、他の防護レベルのそれらにとって障害とならないようにする（従属的な機能失敗とならないこと）

全く異なる取り組み（例えば、ハード面でなくソフト面）が有効

各防護レベルの独立性は、従来の「多重性・多様性・独立性」の要求とは区別して考えるべき

防護レベルの設定の仕方によっては、独立な効果を発揮できなくなる場合がある

25高田、第1回深層防護ワークショップ講演資料, 2014.8.22を参照して作成。一部改変。

防護レベルの設定の考え方（３）

防護レベルのバランス

各レベルが適切な厚みを持ち、各レベルの防護策がバランスよく講じられ、あるレベルの防護策に負荷が集中しないことが重要

あるレベルの防護策に過度に依存することは、不確かさへの備えにならず、不適切。 そのレベルが突破されると深層防護全体として防護が失敗することになる

防護レベルでの不確かさへの対処

人と環境への放射線リスクを完全にゼロにすることはできず、さらに、リスクを完全に把握して厳密に定量化することは不可能

想定する条件に対して裕度を確保することによって、想定を超える条件に対しても頑健性が期待できるようにする

26高田、第1回深層防護ワークショップ講演資料, 2014.8.22を参照して作成。一部改変。

防護レベルの設定の考え方（４）

その他の留意すべき事項

各防護レベルは個別のハードウェアと直接的に対応するものではない(後で議論）

リスクトリプレットに基づき判断を行い、リスク定量化のための努力を継続し、合理的に実行可能な対策を検討することが重要である

施設の特性に加えてリスクの内容や程度など、施設に想定される脅威や程度によって、防護レベルの分け方や内容を設定することが適切である すべての施設に共通な深層防護レベルの設定方法はない

27高田、第1回深層防護ワークショップ講演資料, 2014.8.22を参照して作成。一部改変。

実装手順の一例

原子力安全の目的から出発し、具体的な設備設計、対応手順、設備・運転管理などに落とし込める段階まで防護の目的をサブ目的に分解する手順を繰り返す。 5層のレベルごとに順に実装を考えるフォアキャストに基づくので

はなく、達成すべき最終的な目的から出発して防護レベルを設定するバックキャストに基づく考え方

サブ目的への分解に際しては、オブジェクティブ・ツリーなどの方法を用いることが考えられる。

サブ目的に対して、防止策・緩和策を設定

サブ目的の防止策・緩和策は他のサブ目的の防止策・緩和策と「広義の独立性」を有するように選ぶべき

※深層防護レベル間の「広義の独立性」については、あとで議論する。「多重性・多様性・独立性」の「独立性」とは区別すべきではないか。

※※防止策と緩和策の関係については、あとで議論する。28

実装手順の一例

サブ目的毎に達成すべき信頼度を性能目標、設計基準、評価基準などの形で表し、有効性評価を通じて、これらの目標や基準を達成するように設備設計、対応手順の設定、設備・運転管理などを行う

具体的な防護策の選定については、以下の点を考慮した包絡的かつバランスの取れた意思決定プロセスを踏む必要がある。 深層防護レベル間の独立性

技術的成熟度

技術的困難さ

人的因子の介在度合

品質保証

有効性評価結果

工期、コスト・・・ 29

防護のサブ目的の選択肢と性能目標

原子力安全の目的を達成するためのより具体的な目標が安全目標

安全目標を達成するためのサブ目的を性能目標の形で表す

放射性物質の有意(significant)な放出の防止 土地汚染の防止

サイト内での放射性物質閉じ込め

平常時の放射性物質放出量制限

事故時の放射性物質放出量制限

格納容器内での閉じ込め：CFF 原子炉容器内での閉じ込め:IVRF(In-Vessel Retention Fraction) 炉心損傷防止:CDF 設計基準事象からの逸脱防止

燃料被覆管内での閉じ込め(運転時の異常な過渡事象からの逸脱防止) 通常運転からの逸脱防止

上記のサブ目的候補の指標に加えて、管理、運転、さらに防災をカバーする指標も必要と考えられる。 例えば、防災については、事故進展の時間的ファクターを入れた指標など

30

サブ目的の候補の一例

一つの実装例

敷地外緊急対応

格納容器損傷を防止

放射性物質放出を管理

放射性物質放出を防止

重大事故を防止

格納容器に閉じ込めて収束

DBAを防止

工学的安全施設で収束

異常発生を防止

異常の段階で検知・収束

格納容器内に閉じ込め

原子炉容器に閉じ込め

炉心に閉じ込め

事故の発生防止

サイト内に閉じ込め

レベル3 PRA放射性物質放出シナリオ

レベル2 PRAソースターム

CV破損シナリオ

レベル1 PRA炉心損傷シナリオ

設計基準事象発生頻度と影響度

原子炉計装原子炉保護

格納容器の信頼度目標10-5/炉年

放出管理の信頼度目標Cs137100TBq10-6/年

炉心冷却形状維持の信頼度目標10-4/炉年

工学的安全系の信頼度目標

設備の信頼度目標

防止

緩和

有効性評価

性能目標

性能要求

山口、第2回深層防護ワークショップ講演資料, 2015.6.30 31

各深層防護レベルでの安全対策の構成（オブジェクティブ・ツリー）

32

防護レベル

目的及び障壁

安全機能 安全機能

課題 課題 課題 課題

メカニズム メカニズム メカニズム

対応策

対応策

対応策

対応策

対応策 対応策

対応策

対応策

対応策

達成されるべきもの、及び防護されるべきもの

維持されるべきもの

対処されるべきこと

課題をもたらす可能性のある要因

安全機能に影響を与えるメカニズムの発生を防ぐための対応策

(社)日本原子力学会標準委員会レポート「第Ⅱ編原子力安全確保のための基本的な技術要件と規格基準の体系化の課題について」, 日本原子力学会(2015).[発刊準備中]

深層防護の評価

有効性

性能目標への適合度

適切さ

有効性に加え、レベル間の独立性、技術的困難さ、技術的成熟度、人的因子の介在度合い、品質保証など多様な観点を総合的に評価

33

深層防護の有効性評価：サブ目的毎の評価

サブ目的毎に性能目標・設計基準・評価基準などへの適合度を評価する手法を選定する

サブ目的毎に適合度評価を実施し、性能を評価する

この段階では、特定のサブ目的に着目した性能評価

旧安全設計審査指針において、機器毎の信頼性・適合性を確認したのと同じ考え方

サブ目的ごとに用いることができる適合度の評価手法の例

決定論的手法

PRA34

これらの手法が果たす役割は、適合度の評価対象とする深層防護レベルによって変化する。

深層防護の有効性評価:総体としての評価(1)

PRAを実施し、全ての事故シーケンスについて、深層防護により安全目的が達成されていることを確認する

決定論的と確率論的の違いはあるが、旧安全評価指針により、プラント全体としての信頼度を確認したのと同じ考え方

あるサブ目的を達成するための機器・手順・管理は、全てのシーケンスに対して同一である必要はなく、シーケンス毎に異なる可能性がある。

逆に、ある機器・手順・管理に着目した場合、シーケンス毎に違うサブ目的に対する防止策、あるいは緩和策に用いられる可能性がありえる

35

深層防護の有効性評価:総体としての評価(2)

あるシーケンスに着目したとき、サブ目的の数が多く、サブ目的を達成するための対策の独立性が相互に高い場合、そのシーケンスに対する深層防護の有効性は高くなる

あるシーケンスに着目したとき、深層防護レベルの数が少なくても、それぞれのサブ目的を達成する策の信頼度が十分に高ければ、同様にそのシーケンスに対する深層防護の有効性は高くなる。

なお、シーケンス毎にサブ目的の数は変動する可能性があるが、特定の防護レベルに極端に依存することは、不確かさへの対処の観点から不適切である。

36

深層防護に関する論点

37

設備に求める信頼性と深層防護の関係

設備には、以下の二種類を考えることができる

(1)設計で想定する事象に対処する設備 対象とする事象を収束させることを担保

保守的な事故シナリオ、前提条件の設定と、十分な安全余裕により上記を達成

(2)設計想定を超える事象に対処する設備 対象とする事象を収束させることを担保するものではない

なぜならば・・・対象とする事象を収束させることを担保するのであれば、当該事象を設計想定に取り込んだことと等価。

従って、ベストエスティメート、実耐力評価が許容される

38

設備に求める信頼性と深層防護の関係

現在の新規制基準では、設計基準事故対応設備は(1)、重大事故防止・緩和設備は(1), (2)が混在 つまり、「設計基準事象」を超える事象の一部は、設計想定の範

囲に入っていると理解できる

以下のように論点を整理 いわゆるDBA対応設備と、SA対応設備がどのレベルに割り当て

られるかは、深層防護の実装の考え方に依存。

DBA対応設備と、SA対応設備が前ページの(1), (2)のいずれに該当するかは、規制の枠組みに依存。

以上のことから、深層防護レベル4=SA対応設備=ベストエスティメート・実耐力評価となるとは限らない。

深層防護レベルと、DBAまたはSA対応設備、機器の有効性評価方法は、関連はあるものの、一対一対応しない

39

設備が属する深層防護レベル

ある設備に着目した場合、事故シーケンスによって、設計基準事故対処設備として使用されたり、シビアアクシデント対処設備として使用されることがあり得る。

したがって、ある設備に着目した場合、事故シーケンスによって、その設備が属する深層防護レベルは異なりえる 例えば、格納容器は、LOCAの場合は設計基準事象対処設備と

して、SBOの場合はシビアアクシデント対処設備として動作が期待される。

それぞれの事故シーケンスにおいて、期待される性能を発揮できるように設計すれば良いと考えられる

同じ機器であっても、設計想定事象に対処する場合は保守的な条件での有効性評価が必要となり、設計想定超事象に対処する場合は、ベストエスティメート評価が許容される。

40

可搬・恒設設備と深層防護レベルの関係

可搬・恒設設備の利点と欠点 可搬

利点：柔軟性、レジリエンス

欠点：対応時間、手順・訓練、設備容量、信頼性

恒設

利点：対応時間、手順・訓練、設備容量、信頼性

欠点：柔軟性、レジリエンス

上記のように、可搬設備と恒設設備の利点と欠点はお互いに補い合うものであり、広義の独立性を有していることから、別の深層防護レベルに割り当てることで効力を発揮しやすいと思われる。

起因事象や事故シナリオの不確かさ(特に未知の要因)、可搬・恒設の利点・欠点を考慮した上で、防護のサブ目的を達成するための手段として選択/併用すれば良い 41

前段否定、後段否定と深層防護の関係

起因事象や事故シナリオの不確かさ(特に未知の要因)を考慮するための有効な考え方(手段)の一つ

前段否定、後段否定の考え方は、従属要因による複数の深層防護レベルの共倒れを防ぐための一つのアプローチ

従属要因による複数機器の同時機能喪失を検討する場合、前段・あるいは後段の存在を抜きにはできない。その意味で、「存在を物理的に考えない」こととは意味合いが異なると理解。(例：前段・後段が悪影響を持つ場合)

一方で、総体として深層防護を強固なものにするためには、各防護レベルがそれぞれの防護の限界を認識し、前段、あるいは後段と緊密な連携を図る必要がある。

前段否定・後段否定は深層防護レベル間の連携を図らない、ということではない

42

43

深層防護はシステム論

深層防護とは、１層から５層までの総合力で安全を守る仕組み 各層が独立であるということは、一つの原因等で同時に複数の層の防護機能を失わないということ 各層で機能を補完することを否定するものではない

各層で何を行うかを問う前に考えるべきこと 現状は、「対象となっている概念は第何層か？」というように、自分の担当している事象への興味が主体

深層防護全体で、何から何を守るかを共有する必要 原子力システムで守るべきものとは？ 原子力リスク・・・

1野口、第2回深層防護ワークショップ講演資料, 2015.6.30

44

各層の防護機能の特徴を考える

2

何を守るかによって異なる各層の役割 例：5層の活動を考える 住民の被ばくから守るためには、5層の活動は有効 放射性物質の施設外漏洩を防ぐためには5層の活動は無効 汚染された環境を早期に復旧する役割も重要

各層の連携を考える 強化された原子力システムが安全を保てないような地震に遭遇

した地域では、第5層の機能は期待できない ハード設備による一定の強靭化の付与は必須

システムに対するテロに関しては、ハードだけでは守れない 第5層は無傷のため、期待できる 住民対応の実効性を上げるための情報付与の在り方は、検

討が必要

野口、第2回深層防護ワークショップ講演資料, 2015.6.30

深層防護レベルの独立性

各深層防護レベルの信頼性

深層防護レベル間の独立性

多重性 多様性 独立性

深層防護を構成する二つの要素

安全機能を有する機器に求められる条件

どのような関係？

各防護レベルの「厚さ」 防護レベルの「数」

深層防護レベルの「広義の独立性」

多重性または多様性及び独立性は、特に重要な安全機能を有する機器に対して要求されている

これは、単一故障の仮定も含め、安全機能を有する機器の信頼性を確保するための考え方

すなわち、多重性または多様性及び独立性は、ある深層防護レベルの信頼性を向上させるための方策であると考えることができるのではないか

では、深層防護レベル間の独立性をどのように考えればよいのか

46

独立性(Independent? Isolation?)

多重性・多様性・独立性は、突き詰めると”isolation”つまり(時間的・論理的・物理的)離隔と考えることはできないか。

深層防護レベル間の独立性は”independent”。 では、深層防護レベル間で何が”independent”なのか? 深層防護レベルが突破されるのを防止する手段の有効

性が”independent”であること。 数学っぽく言えば、手段の「次元が違い」「直交」している

ことだと理解。

具体的に、深層防護レベル間の独立性としてどのような要件を課すべきか?

47

例えば・・・

非常用電源を強化するために、(1)DGを原子炉建屋内に(既存設備とは離隔して)設置(2)ガスタービン発電機を原子炉建屋内に(既存設備とは離隔して)

設置

(3)DGを原子炉建屋とは十分に離隔した高台に設置(4)ガスタービン発電機を原子炉建屋とは十分に離隔した高台に設

置

(5)大型の電源車を原子炉建屋とは十分に離隔した高台に設置

いずれも、「多重性または多様性及び独立性」を有した設備の増設であるが、「新たな深層防護レベル」と考えてよいものは? また、「新たな深層防護レベル」と考えてよい場合は、その根拠は?

48

深層防護レベルの「広義の独立性」

「広義の独立性」を考えるためのキーワードとしては、大枠として、以下のものが考えられる

「設計」か「マネジメント」か

「サイト内」か「サイト外」か

・・・ほかには?

49

多重障壁との関係

原子力安全の目的が「人と環境を放射線リスクから防護すること」であることから、放射線・放射性物質の閉じ込めを達成することが一義的に重要。

多重障壁は、閉じ込めを達成するための重要な手段

多重障壁(ペレット、被覆管、一次系圧力バウンダリ、格納容器、原子炉建屋)の防護はサブ目的になりえることから、深層防護レベルと深く関連する。

一方、前述したように、多重障壁がどの深層防護レベルに該当するかは、事故シーケンスに依存するため、例えば被覆管=レベル1、圧力バウンダリ=レベル3、格納容器=レベル4のように決め打ちすることは適当でない

50

止める・冷やす・閉じ込めるとの関係

前ページで述べたように、原子力安全の目的達成に直接寄与するのは「閉じ込め」であり、止める・冷やす、はそれを実現可能とする手段。

すなわち、停止機能・冷却機能は物理障壁を保護するための(言い換えると閉じ込め機能をサポートする)機能。

これらの機能は、特定の深層防護レベルのみで現れるものではなく、対象とする物理障壁により、複数の異なった深層防護レベル(サブ目的)の防止・緩和策として現れる。従って、止める=レベル1、冷やす=レベル2、閉じ込める=レベル3のように明示的に深層防護レベルを割り付けることはできない

例えば、IAEAの深層防護レベルを考えると、BWRにおいて制御棒による停止機能はレベル2、SLCによる停止機能はレベル4に対応し、二つの異なったレベルに停止機能が現れる。

51

レベルの数と、レベルの厚さ

深層防護の実装にあたり、深層防護のレベルの数と、各レベルの「厚さ」(言い換えると信頼性)は、区別して考えるべき

先に述べたように、深層防護の各レベルは、「広義の独立性」を有している必要がある。

一方、安全機能を有する機器などに要求されている「多重性または多様性及び独立性」は、その安全機能を有する機器の信頼性を向上させるためのものであり、レベルの「厚さ(信頼性)」を増やすことに寄与する

深層防護総体としての性能は、レベルの数だけではなく、各レベルが十分に信頼できる「厚さ」を有している必要がある。

また、バランスを考えると、特定のレベルが極端に「厚く」そこに依存する形になることは、避けるべきである。

52

外的ハザード(個別誘因事象)に対する深層防護

設計時の想定を超える外的ハザードにより、第3層までの防護レベルが破られるのは論理的に当然の帰結。

現在の防護レベル1～3レベルは、主としてランダム故障に対する深層防護の実装とみることが可能であり、個別誘因事象については、別のレベル分けを考えるべきではないか(5層にこだわる必要性はないのでは)

「何層同時に破られるか」という観点より、深層防護全体として機能し、原子力安全の目的が達成できるかどうかが重要な観点ではないか。

結局のところ、個別誘因事象に対して「広義の独立性」を持つような防護レベルを設定できるかどうかが重要と思われる。

53

その他の論点

あるサブ目的に対する緩和策と次のサブ目的の防止策の関係：同一でよいか?独立にすべきか? あるサブ目的に対する緩和策が、次のサブ目的の防止策と同一

になることはあり得る。そのレベルの「厚さ」が適切に確保されていることが重要

あるサブ目的に対して防止策と緩和策は必ずセットにすべきか? サブ目的によっては、実装として、緩和策と次のサブ目的の防止

策が同一になるケースも考えうる。そのレベルの「厚さ」が適切に確保されていることが重要。

PRAによる有効性評価の妥当性：Unknownに対する深層防護の有効性は、PRAでどの程度適切に評価できるか?

54

最後に、(現場と)事実の重要性

NRCの委員だったマクガフィガン氏は以下の点を強調1) １）事実に即すこと

２）事実を措いての理論的・教条的な思考を避けること

３）絶えずベストを尽くすこと

４）絶えず学習すること

５）原子力法の「適切な防護の確保」の要求に忠実であること（絶対的な防護の確保を求めることは技術を窒息させる）

６）問題を徹底的に議論すること

７）利害関係者とオープンかつ正直に対話すること。

1)近藤駿介、「絶えず卓越した仕事を」、技術士会原子力・放射線部会 10 周年記念誌（部会報第 14 号）, (2014). 55

参考文献

AESJ-SC-TR005 (ANX):2013原子力安全の基本的考え方について第Ⅰ編 別冊深層防護の考え方,標準委員会技術レポート 日本原子力学会(2013).

NUREG-1860, "Feasibility Study for a Risk-Informed and Performance-Based Regulatory Structure for Future Plant Licensing", USNRC, December 2007.

IAEA SF-1, "Fundamental Safety Principles", Vienna, 2006. IAEA INSAG-10, "Defence in Depth in Nuclear Safety", Vienna, 1996. NUREG-2150, "A Proposed Risk Management Regulatory Framework", USNRC, April 2012. 「福島第一原子力発電所事故に関するセミナー」報告書，2013年3月，日本原子力学会 IAEA Safety Standards, Specific Safety Requirements, No. SSR-2/1, "Safety of Nuclear Power Plants: Design", Vienna,

2012. "Safety of new NPP designs", WENRA RHWG Report, March 2013. 阿部, 「原子力のリスクと安全規制」、第一法規、(2014).

56

/ColorImageDict > /JPEG2000ColorACSImageDict > /JPEG2000ColorImageDict > /AntiAliasGrayImages false /CropGrayImages true /GrayImageMinResolution 300 /GrayImageMinResolutionPolicy /OK /DownsampleGrayImages true /GrayImageDownsampleType /Bicubic /GrayImageResolution 300 /GrayImageDepth -1 /GrayImageMinDownsampleDepth 2 /GrayImageDownsampleThreshold 1.50000 /EncodeGrayImages true /GrayImageFilter /DCTEncode /AutoFilterGrayImages true /GrayImageAutoFilterStrategy /JPEG /GrayACSImageDict > /GrayImageDict > /JPEG2000GrayACSImageDict > /JPEG2000GrayImageDict > /AntiAliasMonoImages false /CropMonoImages true /MonoImageMinResolution 1200 /MonoImageMinResolutionPolicy /OK /DownsampleMonoImages true /MonoImageDownsampleType /Bicubic /MonoImageResolution 1200 /MonoImageDepth -1 /MonoImageDownsampleThreshold 1.50000 /EncodeMonoImages true /MonoImageFilter /CCITTFaxEncode /MonoImageDict > /AllowPSXObjects false /CheckCompliance [ /None ] /PDFX1aCheck false /PDFX3Check false /PDFXCompliantPDFOnly false /PDFXNoTrimBoxError true /PDFXTrimBoxToMediaBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXSetBleedBoxToMediaBox true /PDFXBleedBoxToTrimBoxOffset [ 0.00000 0.00000 0.00000 0.00000 ] /PDFXOutputIntentProfile () /PDFXOutputConditionIdentifier () /PDFXOutputCondition () /PDFXRegistryName () /PDFXTrapped /False

/CreateJDFFile false /Description > /Namespace [ (Adobe) (Common) (1.0) ] /OtherNamespaces [ > /FormElements false /GenerateStructure false /IncludeBookmarks false /IncludeHyperlinks false /IncludeInteractive false /IncludeLayers false /IncludeProfiles false /MultimediaHandling /UseObjectSettings /Namespace [ (Adobe) (CreativeSuite) (2.0) ] /PDFXOutputIntentProfileSelector /DocumentCMYK /PreserveEditing true /UntaggedCMYKHandling /LeaveUntagged /UntaggedRGBHandling /UseDocumentProfile /UseDocumentBleed false >> ]>> setdistillerparams> setpagedevice