何が起きたとされているのか? |
北陸電力・志賀原子力発電所1号機で、定期検査中の1999年6月に起きた臨界事故が隠されていたことが2007年3月15日、明らかになった
制御棒を動かす弁の操作手順を誤ったため、制御棒89本のうち3本が抜け、手動で入れ直すまでの約15分間、核分裂が繰り返される臨界が続いたという。本来は自動停止信号が出されて制御棒が挿入され臨界が止まるはずだったが、制御棒を動かす圧力が不足していたため緊急停止しなかったという。
また、原子炉圧力容器の蓋も、格納容器の蓋も、どちらも開いた状態だったが、燃料破損はなく、放射能漏洩はなかった。
この事故は、原子炉の出力をコントロールする制御棒を動かす水圧調整弁の操作ミスが重なったことが原因だったとわかった。弁の開閉操作を示した手順書の記述自体に誤りがあったという。事故は、1本の制御棒を急速挿入する試験の準備のため、水圧調整弁を閉めて残り88本の制御棒を挿入状態のまま固定する作業中に起きた。日立製作所と北陸電力が作成した試験用の手順書は、今回のような事態に備えて本来開けておくべきだった弁を、間違って閉じるように指示していた。
|
通常の制御棒操作 |
通常の制御棒操作は、中央制御室からの信号で、一度に一本しか操作できないようになっている。また、予め定められた制御棒以外を運転員が操作しようとしても、コンピュータが監視していて、操作ができない仕組みになっている。
さらに、中性子束が急激に増加し、中性子検出器による測定値が制限値を超えると、コンピュータがスクラム(全制御棒の急速挿入)を指令するようになっている。
今回の事故での操作は、通常の制御棒操作に使用する弁(電磁弁)の問題ではなく、制御棒の試験のため、特定の制御棒を切り離す(中央制御室からの信号で動かないようにする)際に起きたと考えられる。したがって、これからの説明には、上の図の弁は、しばらく忘れていただいて構わない
|
今回の制御棒駆動機構の弁操作 |
F101弁、F102弁は、制御棒機構を切り離すための手動で操作する弁であり、センサーが付いていないので、開閉は人間が確認することになる(コンピュータで監視していない)。
|
なぜ臨界になったのか?
制御棒操作がいけなかったのか
?)
|
@F102弁を先に閉めるべきであったが、閉めていなかった。または、閉め遅れた。(こちらを先に閉めていれば、引き抜きは起こらなかった)
AF101弁を先に閉めた。(切り離し作業のため)
|
保守員の手順の間違い?
それとも、手順書の間違い?
|
当初の新聞発表では、保守員の手順が間違った、あるいは、メーカーの手順書が間違っていた、という説明であった。
しかし「F102弁を先に閉めていると、万一、誤スクラムが起きる(偽の信号でスクラムが起きる)と、F101弁から水圧がかかり、排出側が閉じているので、ピストンに過大圧力がかかって破損などが起きると困る。つまりは財産保護のため、上の順序にしていた」と噂されている。そうだとすれば、運転員が間違ったわけでもなく、手順書も正しかった、ということになる。
|
続き1
|
もちろん、このときに、原子炉戻りラインの弁を閉めたのが主要な原因の一つであり、これを開けたままであれば、水圧が両方の弁にかかって、引き抜きは起きなかった。
そういう立場からすると、原子力安全保安院の結論のように「今後は、この弁を開けておきます」という対策は間違いではない(本質かどうかは別として・・・)
しかし、制御棒を切り離そうとしていたのだから、そもそも、この弁を閉じたのは危険な行為かどうかは、運転員には分からないであろう。(これが安全弁を閉めた、とかいう誰が見ても危険な行為ならともかく。。。)
|
続き2(なぜ、操作していない制御棒が落下したのか?) |
上の二つの事象が起きても、制御棒が落下する、あるいは引き抜かれる訳ではない。
制御棒駆動水ポンプ(高圧の水が押し出されている)の先の弁からリークが発生し、上記高圧水が、F102弁を通って、ピストンに流入し、制御棒が押し下げられた、とされている。上図の青い矢印である。つまり、リークがなければ、事故は起きなかった、といえる。なお、その後の北陸電力の説明では、シートリークではなく、弁のバイパス管(オリフィス)からの流入である、とのことである。
|
出口側の弁が閉じているのに、なぜピストンが落ちたか?
|
上の図を見ると、出口側(F101弁)が閉じていれば、入り口側(F102弁)から水が流入しても、ピストンが落下しないように見えるかも知れない。しかし、ピストンには、この図には示されていないバイパスがあり、上側から水の圧力と、制御棒の数百Kgの自重とがかかると、ピストンがゆっくりと落下する。
なお、ラッチがかかっていれば、圧力がかかっても落下しないが、今回、ラッチが外れた。
|
制御棒ラッチは、何故はずれたのか?
|
制御棒は操作信号がこないときは、ラッチされていて、ピストンに間違って圧力がかかっても引き抜けないような安全装置が付いている。いわば、エレベータが停止している時に、建物側から爪が出てきて、籠が落下しないように抑えている、という機構を想像すればよい。
しかし、何らかの理由で、一度挿入方向になり、ラッチが外れたということである。北陸電力の報告書では、一度、上向きの水圧がかかり、ラッチが外れた後に、今度は下向きの水圧がかかり、制御棒が落下した、という説明になっている。つまり、機構上、そうなっていたということで、ラッチが壊れた、ということではない。
そして、ラッチが外れれば、下向き圧力がかかっていなくても、制御棒は数百KGの重さなので、自重で落下するはずであるが、同報告書では、制御棒自重とシートリークによる水圧との重畳事象により落下した、とのことである。
このように、ラッチが外れなければ、制御棒は落下しなかった、と云える。ラッチが何故外れたか、解明が必要である。
|
臨界になった直接原因は何か?
|
以上のような弁の操作を、数本の近接制御棒に対して実施したので、臨界になった。つまり、離れている制御棒であれば、事故にはならなかった。
しかし、運転員は制御棒が動き出すとは思わず、ましてや臨界など夢にも予想しなかったから、近接制御棒の弁操作が危険な行為だったとは、その時点では思えなかったであろう。
|
制御棒2本で何故臨界になったのか?
|
今回の抜けた制御棒の位置は、2本が隣接しており、3本目が近い距離にあったらしい。
原子炉は、全出力で運転しているときよりも、冷温で停止している時が最も臨界になりやすい。通常、原子炉は全出力で運転している時が最も危険であろう、と、原子力技術者でも、殆どがそう思うであろう。ポンプの轟音、熱い配管など、原子炉は出力運転時が最も危険に思える。しかし、臨界は、人間の五感では理解できない事象であり(*)、冷温で停止している時が最も臨界になりやすいのである。
例えば、全出力時は制御棒100本のうち98本が抜けていてもOKなのに、冷温停止時は100本中のたった2本が隣接して抜けると臨界になる可能性がある。
(*)そういえば、JCO臨界事故の時も、臨界になるまで、現場員には何の予兆もなかったことが思い出される。
|
本当に2本で臨界になるのか? |
BWRでは、制御棒が2本抜けると、8体の燃料集合体が「非制御」になる。ところが、この8体の周りのすぐ傍に制御棒があるわけではない。つまり、8体の周りの1列分(16体分)が「半制御」状態にあり、実質的には16体程度が非制御領域になる。
BWRでは、場合によるが、最小臨界時の燃料体数は16体程度である。従って、隣接する2本の制御棒が抜けると、臨界になる可能性がある。(しかし、少し離れていれば、何本でも引き抜いてOKである)
2本の制御棒が抜けると、燃料8体が「非制御」になる。これだけでは臨界にならない。
|
続き
|
しかし、周りの16体も半制御になるので、この効果が加わると臨界になる
|
「事故」とは何か?
|
「事故」とは、「運転時の異常な過渡変化」を超える異常な状態であって(中略)原子炉施設からの放射性物質の放出の可能性があるもの(以下省略)、とされている。
ここで「運転時の異常な過渡変化」とは、寿命期間中に予想される機器の単一の故障若しくは誤動作、又は運転員の単一の誤操作なので、結局、「事故」とは多重の故障や、多重の誤操作、という定義である。但し、多重とは云っても、二重を越えない事故しか評価していないので、過酷事故(三重以上の故障・誤操作)は除外されてしまっている。
今回、原子炉圧力容器の蓋も、格納容器の蓋も、どちらも開いた状態だったので、原子炉施設からの放射性物質の放出の可能性があった、と云える。結果として、燃料破損はなかった(らしい)。
|
今回は「事故」なのか?
|
そもそも、保守員が運転員に含まれるか、という疑問があるが、これは別とする。また、メーカー手順書の間違いなら、設計ミスになり、設計ミスはコンピュータでは防げない。防ぐのは品質保証のみである。また、後述のように、臨界だったかは不明であるが、臨界が起きたと仮定する。
今回、弁が故障したのではなく、保守員の多重誤操作、あるいは、複数の制御棒での誤操作で、単一誤操作ではないので、異常過渡事象の定義を越えている。さらに、今回、(結果として燃料は破損しなかったが)、原子炉圧力容器も格納容器も開いていたので、原子炉施設からの放射性物質の放出の可能性がある事故であった。従って、事故であると考えられる。
ところが、手順書が正しければ、運転員のミスではなかったことになる。さらに、多重誤操作といっても、運転員はこれが正しい手順と指示されていたのだから、多重誤操作と云えないかも知れない。そうすると今回の事象は「運転時の異常な過渡変化」ということになり、これで臨界になって、原子炉施設からの放射性物質の放出の可能性があった、という、許認可上は想定外の事象になってしまう。
|
安全審査の想定事象に含まれていたか?
|
今回、オープンベッセルの状態で、かつ、複数の制御棒で引き抜き、または落下が起きた。安全審査では、一本の制御棒の落下しか考慮していない。また、制御棒落下事故解析は、原子炉圧力容器が閉じた状態を想定している。したがって、安全審査に想定していない事象である。
ただし、結果としては、反応度の入り方が緩やかであった(らしい)ので、燃料も破損することがなく、放射の漏洩がなかったので、国際評価基準では事故に分類されない。
(そういえば、もんじゅのナトリウム火災事故も、2次系のNa漏洩で、放射性Naではなかったため、国際評価基準では事故に分類されず、一般人の感覚とはずれている。) |
本当に「臨界」だったのか?
|
原子炉理論によると、中性子数n=L・S/(1−Keff)なので、臨界未満でも制御棒を引き抜くと、nは増える。
中性子数が増えたから臨界(実効増倍率Keff=1)、というのは短絡である。全制御棒挿入時では、中性子検出感度を最高に上げているので、ペリオド短や、中性子束高でも警報がでる。
臨界到達したかどうかは簡単には分からない。制御棒の位置が固定されていることが確認できる状態で、中性子束増加が一定時間続いたら臨界である。未臨界で、制御棒が落下し続けて、中性子束も増加し続ける、ということは有り得る(勿論、いつかは臨界になる)。
(なお、JCO事故のように、元々中性子がない場所で中性子が検出されたら、、無条件で臨界である。)
北陸電力の解析結果によれば、制御棒落下の最初は、上の図のように、未臨界で中性子が増えるという状態がしばらく続き、その後、Keff=1.008近辺、と臨界(Keff=1.0)を大幅に超えて、即発臨界(出力が急激に増加する状態)であった、とのことである。つまり、最終的には「臨界を超えていた」と判断される。
|
IRM(中間領域中性子束モニター)の値 |
この図は、公開されている図で、IRM(中間領域中性子束モニター)のデータである。運転員は中性子束が増えた時点ですぐに臨界を疑うべきであった。
|
中性子源がないのに何故起動できたのか?
|
BWRでは、起動用中性子源は2年目に取り出し、それ以降は、Puなどからのα線と酸素との核反応による中性子などを利用している。したがって、3年目以降の炉内には、中性子源がなくても、また、制御棒が全挿入でも、ある程度の中性子が存在する。
(その他、超ウラン元素からの自発核分裂中性子も寄与する)
|
何故スクラムしなかったのか?
|
スクラムの水圧が、かからないように、弁を閉じていたので、スクラムできなかった、というのが直接原因だが、1本の制御棒のみのスクラム試験なら、他の制御棒のスクラム機能は活かしておいて良かったのではないだろうか?
しかし、そもそもが、臨界になると思っていなければ、スクラム機能を停止することを危険と思わなかったに違いない。
|
スクラムしたら事故は防げたのか?
|
今回、即発臨界になっていたとすると、極めて短い時間の出力上昇なので、仮にスクラムしても、事象を緩和することはほとんど出来ない。勿論、事故そのものも防げないし、緩和効果も出来ない。
しかし、運転員と保守員の対応を待たずに、即座に事象を収束できたであろう。
|
臨界になっても、ボイド(蒸気)が出て、出力増加は抑えられ、暴走しないのでは?
|
即発臨界になると、燃料から水へ熱が伝わる前に、出力が急上昇する。したがって、水が蒸気になって、ボイド反応度で出力が抑えられる効果は殆ど期待できない。
|
なぜ、コンピュータが監視して制止しなかったのか?
|
これは難問である。現在、弁の手動操作を監視する機構にはなっていない。コンピュータも完全ではないが、人間は間違う以上、これらの弁になんらかの監視機構をつけるべきであろう。
|
今後、どうすべきか?
手順の見直しだけで良いのか?
|
後日
(少なくとも「手順の間違いだから、今後は気をつけます」という結論であって欲しくない、と思う。
|
|
。。 |
|
。。 |
|
。。 |
|
。。 |
海外事象をどう考える。
|
海外の事例を全て調査できる立場ではないので、ある程度、噂や想像だが、過去の臨界事故の事例は、福島が最初で、世界の軽水炉の臨界事故は数件以上はあるようだ。しかし、それらは全て、運転員が臨界操作を制御室でしているときに、臨界になったもので、運転員は、事故を予測していなくても、臨界に近づいていることは自覚していたはずである。したがって、スクラムが可能になっており、また、圧力容器の蓋も閉じていた。
志賀(福島も)は、
1 |
運転員や保守員のミス(ヒューマンエラー)ではなかった可能性が高い。(間違った手順書の通りに正しく操作した?
|
2 |
運転員も保守員も、どちらも、臨界の可能性があると夢にも思わなかった。(制御棒が抜けると思わなかった)。
|
3 |
スクラム機能が停止されていた。(コンピュータが守っていなかった)
|
4 |
圧力容器の蓋が開いていた。
|
5 |
保守員による臨界事故
|
という、安全審査の想定外の、多分、世界初の臨界事故のようだ。
しかし、この5点は、JCO事故と全く同じ構図に思える。つまり、「臨界にはならない」と信じると、多重の防壁はあっという間に破られる、ということである。「多重の防護壁があるから大丈夫」という説明・理解は間違っている。
ーーーーーーーーーーーーーーーーーーーーーーーーーーー
【ワシントン29日共同】欧米の原発で、試験中の誤操作による軽微な臨界事故が1987年までに3回起き、米原子力規制委員会(NRC)が88年に米原発事業者向けに警告書を出していたことが29日分かった。いずれも、99年に臨界事故を起こした北陸電力志賀原発1号機のように制御棒を下から炉心に入れる沸騰水型原子炉だった。
88年5月9日付のNRCの文書によると、73年11月、米バーモント州のバーモントヤンキー原発で、検査のため抜いた状態だった制御棒の隣の制御棒を誤って抜き、炉心の一部が臨界状態になった。圧力容器と格納容器のふたは開いたままだった。
76年11月には米コネティカット州ミルストン原発1号機でも同様の誤操作で臨界状態に。この2事例では制御棒が自動的に挿入される緊急停止で、臨界は止まった。
スウェーデンのオスカーシャム原発3号機では87年7月、制御棒の効果を調べる試験中に制御棒を抜いていたところ想定外の臨界状態になったが、運転員が気付くのが遅れ、しばらく臨界状態が続いた。
(2007/03/30 更新)
|