原子力発電所は複数のシステムが相互に複雑に影響しあいながら、安全に発電を行っています。放射性物質という危険な物質を大量に内包しているために、この物質を環境に放出しないために、いくつものバックアップシステムが備えられ、また、プロの運転員が安全に運転を進めています。

数多くのシステムがありますが、それには非常に重要なシステムもあれば、壊れてもほとんど影響のないシステムもあります。これらは、設計段階において、評価が行われるとともに、運転経験を積み重ねて、評価が進められていきます。重要なシステムが故障するとリスクが高まりますので、十分な余裕を持った設計や、バックアップをいっぱい設けたり、信頼性が高まるように、保守や保全をしっかりと行っていく必要があります。

また、運転員もこれらのシステムの仕組みや運転経験を勉強します。一方、重要でないシステムは、それが重要なシステムに影響を与えないように、十分な設計を進めるとともに、信頼性を担保できるような保守が行われます。システムによっては、毎日監視したり、１週間に１回状況を確認したりするものや、故障してから取り換えればよいものなど、様々なグレードがあります。つまり、重要なものはよりしっかりと、あまり重要でないものもちゃんと管理を行うこと、また全く重要でないものは、壊れた後取り替えるように、グレードごとに管理を進めて行く必要があります。運転中だけではなく、設計や製作においても、これらのグレード毎に十分な管理を行うことが必要です。これをグレーデッドアプローチ（重要度を重視した考え方）と呼んで、原子力発電所の安全を確保する一つの大きな柱です。

さて、何が重要で何が重要ではないか。またリスクを高める可能性があるものは何で、何はほとんどリスク上問題ないかを判断しなくてはいけません。この重要度を判断するためには、総合的リスクを考える必要があります。総合的リスクは、運転員や保守員の経験、地震や津波に対するストレステストなどのほかリスクを定量的に評価するための確率論的リスク評価(Probabilistic Risk Assessment, PRA)などのツールが使われます。PRAはリスクを評価するための有効な手段ですが、あくまでも総合的リスクを判断するためのツールの一つであり、その結果得られる数字の絶対値には、大きな不確かさを含んでいることを理解しなくてはなりません。PRAの結果を一つの指標として、最終的に判断するのは、設計者や運転員の経験などを含む総合的リスクに依ることが重要です。

過去には、スリーマイル島発電所事故、チェルノブイリ発電所事故、福島第一原子力発電所事故と数多くの事故が起きてしまっています。これらの事故原因は、ヒューマンエラー、安全文化の欠如、津波の評価間違いなど様々な原因があげられていますが、燃料の溶融、崩壊、そしてチェルノブイリと福島では放射性物質の放出に至る過程が詳しく研究評価されています。このように、いくつかのミスや設計上の過誤などが重なると、燃料が熔融し、放射性物質の閉じ込めができなくなってしまいます。

これらの事故や事象の過程をまとめたものがイベントツリーと呼ばれるシナリオ集になります。事故に至った事象だけではなく、将来事故に至る可能性について定量的に評価することが行われます。この評価のもととなるものが、イベントツリーです。ある事象が起きたのちに、その事象を緩和させるためのシステムが動けば安全が確保されますが、もし失敗すると事故に繋がります。バックアップが何重にも用意されていますので、これらのバックアップがちゃんと動くかどうかを含めて、イベントツリーを組み上げていきます。

例えば、炉心に水を送るポンプが壊れることを仮定します。これは、何らかのミスによるものや、ポンプ自体が何らかの異常をきたして止まってしまうことなど、様々な要因が考えられますが、ある確率でポンプが壊れてしまうことを想定します。ポンプが壊れると、炉心に水が送られなくなりますので、炉心が過熱してしまいます。また、熱バランスが崩れるので、圧力も下がってしまうでしょう。この過熱や圧力が下がることを、温度計や圧力計で検出し、バックアップである緊急炉心冷却システムを起動して、炉心に水が送られ冷やすことになります。ちゃんと水が送られて冷やされれば安全は確保されますが、水が送られない場合、炉心がさらに過熱して壊れることが考えられます。

つまり、炉心に水が送られるポンプが壊れる確率に、緊急炉心冷却システムが動かない確率を掛け算すると、このシナリオにおいて炉心が壊れる確率になります。まず、ポンプが壊れる確率は、ポンプの仕様、ポンプを構成する部品の信頼性など様々な関数になります。過去の経験から、同じようなポンプが壊れる確率はデータとして存在します。また、原子力発電所以外でも類似のポンプがある場合には、それらのデータも使って故障する確率が求められます。もちろん、この確率には不確かさが含まれます。全く同じポンプであっても、保守の状況や、運転環境が変われば確率が変わりますし、あくまでも確率ですので、壊れてはじめて数字になります。逆に、ほとんど壊れないポンプであっても、使い方にミスがあったりすると、高い頻度で壊れるかもしれません。これらの不確かさを認識して数字を使う必要があります。

次に、緊急炉心冷却システムが動かない確率を計算する場合には、フォールトツリーを用います。異常を検知し、緊急用のポンプを動かすためには、様々な条件が必要になってきます。例えば、温度計や圧力計が正しく温度が高くなったことや圧力が低くなったことを検知できなかったら、緊急炉心冷却システムは動きません。また、正しく検知されたとしても、緊急炉心冷却システムのポンプがうまく動かなかったら、やはり炉心に水は送られません。このように、様々な条件が同時に満たされたり(AND)、いくつかの条件のどれか一つが満たされたり(OR)といった条件が揃ってはじめて緊急炉心冷却システムが動きます。逆に、これらのフォールトツリーを使えば、緊急炉心冷却システムが動かない確率を求めることができます。もちろん、この確率にも不確かさが載っていることを忘れてはいけません。このようにして求めた確率を掛け算することで、このシナリオに基づく炉心が損傷する確率を求めることができます。

このようにして、炉心損傷に至るであろう、様々なシナリオを考え、その確率を定量的に考慮していき、その総和を求めることで、炉心が損傷する確率を計算することができます。この計算結果は、炉心損傷頻度(CDF)と呼ばれPRAの結果の一部になります。なお、PRAにはCDFを求めるレベル１と、さらにその後イベントが進展して、放射性物質を環境中に放出する確率を求めるレベル２、さらには、放出された放射性物質によって人が影響を受ける確率を求めるレベル３があります。通常はレベル１をPRAと呼ぶことも多いようです。繰り返しになりますが、PRAで求められるCDFは、あくまで様々な仮定に基づいた数字です。その絶対値は、不確かさを考慮することで初めて意味が出てきます。

では、CDFは使い物にならないかというとそんなことはありません。CDFは数多くのシステムが正しく動くか動かないかを確率で評価して足し合わせたものです。ですので、CDFに大きく寄与するシステムは、重要なシステムであるということがわかります。重要なシステムが把握できれば、そのシステムの信頼性を高める、さらには確率の不確かさを減らすための研究を進めることで、CDFをさらに改善することができることがわかります。もしくは、そのシステムを多様化したり多重化したりするハード的な措置を取ることで、CDF自体を下げることに繋がります。このように、PRAで求まるCDFは、発電所のリスクを下げるために、どのような改善を進めるべきかを考える上では非常に重要な指標になります。