ダブルフォールト・トレランス(直訳すると「二重故障耐性」)というのは、NASAが有人宇宙飛行の経験を積み重ねる中で確立した概念である。
事故が起きたとき、事前に想定された事象が単独で起きることはむしろまれで、多くは複数の事象が同時に発生する。そうした場合にも、最悪でも宇宙飛行士を、無事、地球に帰還させなければならない。
自動車を例に取ると、ガス欠とバッテリー切れが同時に起きるようなものである。しかし自動車の場合、どちらが起きても運転できなくなる。GSなり修理工場なりまで牽引してもらうことが、この例における故障の克服方法である。両者が同時に起きた場合を、特別に想定する必要はない。
だが外洋を航行する船舶の場合はどうだろう?燃料切れが生じたら、無線で救援船を呼び曳航を求めることになるだろうか。電源系統に異常が発生したら、修理可能な港まで電気なしで目視航行することになるだろうか。
しかし転覆や座礁の際、燃料切れと停電が同時に発生することがある。そうした場合を想定すると、無線機はバッテリーでも使えるようにしておくなど、特別な準備が必要とはならないか。
つまり「複数の事象が同時に発生したときに、単独の事象が発生したときとは異なる故障の克服方法を準備しておく必要が、あるのかないのか」がキモなのだ。
それを、予想されるすべての事象の組み合わせについてチェックしておこうというのが、ダブルフォールト・トレランスの考え方である。
さて、原子力発電所について考えてみよう。
わが国の原発は、ダブルフォールト・トレランスの概念を踏まえて設計されているだろうか?
答えはノーである。原発の歴史は、有人宇宙飛行の歴史より古いのだ。だから設計時には間に合いようがなかった。
ではその後、後追いでもダブルフォールト・トレランスの考え方が原発に適用されたことがあるだろうか?
正確なところは電力会社に尋ねてみなければわからないが、状況から判断すると、これもおそらくノーだろう。
東日本大震災に伴う福島第一原発の事故では、非常に多くの事象が報道されているが、このさいうんと単純化させてもらう。
原発の安全な停止には、外部電源が必要だった。
外部電源が途絶えたときのため、自家発電設備が用意されていた。
しかし今回の事故では、両方が同時に使えなくなった。
これは、電力会社がダブルフォールト・トレランスという概念を認識していなかったという証左に、ほかならないのではないだろうか?
二重故障耐性の検証は容易ではない。予測される異常な事象が仮に千項目あれば、千×千=百万項目の検証が必要となるからだ。その中には無意味な組み合わせも多数含まれるだろうが、無意味かそうでないかを判断するにも手間がいる。そして原発で想定しなければならない事象の数は、おそらく千項目どころではあるまい。
念のために言っておくが、ダブルフォールト・トレランスというのは、完全な安全性を保障する上で(それが可能だと仮定して)、「必要条件」ではあるが「十分条件」ではない。三重、四重に異常な事象が同時に発生することだってありうるのだ。すると、そんな言葉があるかどうか知らないが、トリプルフォールト・トレランス(三重故障耐性)、クアドラプルフォールト・トレランス(四重故障耐性)の検証が必要になるかも知れない。
トリプルフォールトなら想定される項目数の三乗、クアドラプルフォールトなら四乗の検証が必要になる。
実はもっと増える。もしダブルフォールトの克服のために追加された装置があれば、その故障も考慮の対象になるからだ。
もし原発を使い続けることの可否を論じるのであれば、それらのコストまで含めて評価しなければならないだろう。本稿では述べなかったが、廃炉のコストも当然それに上乗せされる。それも、安全に廃炉された場合のコストと、今回のように異常な状態で廃炉を迎えた場合のコストの両方を、概算しなければならない。
私の原発に対する個人的な意見は「安全性を徹底的に検証の上、OKならば存続」である。しかしその実情は、限りなく原発否定に近いのではないかと感じている…
スポンサーリンク