IAEAの定義

多層防御: 組織化された哲学

国際原子力機関（IAEA）は、多層防御を、安全性の多層アプローチとして定義しています。各層は前の層のバックアップとして機能します。単一の層が完璧であるとは想定されません。安全保障は複数の独立した層を持つことに依存し、単一の失敗や単一の根本原因からの失敗の単一の組み合わせが害を引き起こすことがないようにします。

多層防御はあらゆるスケールで機能します：

物理的バリア: 燃料マトリックス → 燃料被覆 → 原子炉圧力容器 → 格納容器建屋 → 原子炉建屋（燃料と環境の間の4-5つの物理的境界）

安全システム: 各機能（冷却、停止、電源）は少なくとも3つの独立した系統で実施される

手順: すべての進展に対して書面の手順が定められている；すべての設計基準事象に対する異常および緊急手順

オペレーター: 免許取得、訓練済み、資格あり、休息十分；停止を開始する独立した権限を持つ

管理: 原子力安全文化、規制監督、独立した安全レビュー

規制: NRC 10 CFR 50 設計基準要件、免許操作、定期検査

主要原則：失敗した層に信用を与えない。 障壁が無傷であることを確認できない場合、それは存在しないものとみなします。システム全体は、任意の1つの構成要素が失敗した場合でも安全になるよう設計されています：これを単一故障基準と呼びます。

冗長性、多様性、そして独立性

防御を現実的にする3つの特性

原子力安全システムは3つの異なる特性を満たす必要があります。これらを混同するのは一般的で危険な誤りです。

冗長性とは、同じものを複数持つことを意味します。3台のディーゼル発電機は冗長です。しかし、それらが同じ燃料タンク、同じ起動ロジック、または同じ物理的な部屋を共有している場合、冗長性だけでは共通原因故障から保護されません。

多様性とは、同じ機能を実行するために異なる物理原理や異なる機器を使用することを意味します。高圧注入ポンプと窒素加圧蓄積器はどちらもコアに水を供給しますが、まったく異なる原理で動作します。多様性は、1つの設計のすべての冗長コピーを敗北させる故障モードを打ち破ります。

独立性とは、一つの系統の故障が他の系統の動作を引き起こしたり阻止したりできないことを意味します。独立性には以下が必要です：

- 別々の電源バス（異なる電源供給）

- 物理的分離（障壁、異なる建物、原子炉の反対側）

- 別々の作動論理（A系統の短絡がB系統を無効化できない）

- 別々の計測機器（A系統のセンサがB系統の作動に影響しない）

共通原因故障 (CCF) は悪夢のシナリオです：単一の事象が複数の冗長系統を同時に無効化します。福島が典型例です：津波は単なる外部電源喪失ではなく、同じ低地建物にすべてあった3つの非常用ディーゼル発電機を同時に無効化しました。独立性のない冗長性は幻想です。

単一故障基準

NRCの単一故障基準（10 CFR 50, Appendix A, General Design Criterion 17）は、安全システムは、単一の能動コンポーネント故障によってシステムが安全機能を実行できなくなることがないように設計されなければならないと規定しています。

「能動」故障とは、状態を変更する必要がある故障のことです：ポンプが始動できない、バルブが開かないなど。

「受動」故障（例：配管の亀裂）は、別の設計要件で対応されます。

なぜ3つの系統か？

すべての安全重要システム：3つの独立した系統

三重冗長性のルールは単に「3つは2つより安全」というものではありません。それは特定の特性を持つ精密な工学的要求です。

各トレインは、安全機能の100%を独立して担う能力がなければならない。 トレインAが冷却を担う場合、必要なすべての冷却を担う。トレインBとCは部分的な貢献者ではなく：完全なバックアップである。

トレインは物理的に分離されていなければならない。 異なる建物、または最低限防火区画で分離。異なるケーブル経路。異なる配管経路。火災、洪水、爆発が一つのトレインに影響を与えても、他のトレインに及ばないように。

トレインは別々の電源供給を持っていなければならない。 異なる電気バスで、異なる電源から供給。トレインAはバスA、トレインBはバスB、トレインCはバスC：各バスに独自の非常用ディーゼル。

トレインは別々の作動論理を持っていなければならない。 トレインAの作動回路のリレー故障が、トレインBの作動を妨げてはならない。理想的には、完全に異なる作動原理を使用（多様性）。

なぜ3つで2つではないのか？ 3つのトレインの場合、2-of-3投票ロジックにより、単一コンポーネントの故障が発生しても2つの機能するトレインが残ります：単一故障基準を満たすだけでなく、共通原因故障に対する保護も得られます。2つのトレインの場合、単一故障で1つのトレインしか残りません：余裕がなく、2番目の故障に対する防御もありません。

多様性 vs. 冗長性

PWRの非常炉心冷却システムを考えてみましょう。一つのアプローチ：3台の同一の高圧注入ポンプ。それぞれが別々のディーゼル発電機で駆動され、別々の部屋に配置。

2番目のアプローチ：1台の高圧注入ポンプ、プラス電源を必要としない窒素加圧アキュムレータ、プラス高所貯水池からの重力給水タンク。

両方とも炉心への水供給の3つの手段を提供します。

ECCS: 炉心の最後の防衛線

非常炉心冷却システム

PWRの設計基準事故は冷却材喪失事故 (LOCA)です：原子炉冷却材系に破損が生じ一次冷却材が逃げるものです。大破LOCAでは炉心が数秒で露出します。即時注水がなければ、燃料被覆管温度が2,200°Fを超え、ジルコニウム合金が酸化し、燃料損傷が始まります。

典型的なPWRのECCSは4つのサブシステムを持ち、それぞれ事故の異なる段階で動作します：

高圧注入システム (HPIS): 原子炉冷却材圧力が低下または格納容器圧力が高い場合に即座に作動します。圧力が高い状態（約200 psi以上）でホウ酸化水を原子炉冷却材システムに注入します。非常用ディーゼルで駆動される電動ポンプを使用します。流量: 設計により500-1,500 gpm。

蓄圧器 (コアフラッドタンクとも呼ばれる): 窒素で加圧された受動的なタンクで、ホウ酸化水を蓄えています。原子炉冷却材圧力が窒素圧力（通常600-700 psi）以下に低下すると自動的に注入します。電源不要: 窒素圧力で水をコアに押し込みます。各蓄圧器は約1,000ガロンを保持します。

低圧注入システム (LPIS): 低圧（<200 psi）で作動します。大破損LOCA向けに大量の流量（数千gpm）を提供します。再燃料貯水タンク (RWST) が空になると、システムはサンプ再循環に切り替わります: 格納容器サンプから水を再循環してコアに戻します。数週間継続する必要があります（崩壊熱除去）。

残渣熱除去 (RHR): 崩壊熱除去システムとも呼ばれます。主要目的: 原子炉が冷停止に達した後の崩壊熱を除去します。低圧・低温で動作し、熱交換器を通じて冷却材を循環します。また、低圧注入機能も提供します。

BWRコアスプレーシステム: 沸騰水型原子炉は、燃料の上部にコアスプレーノズルを使用して燃料バンドルに直接水を噴射します：PWRの洪水方式とは異なる幾何配置です。

崩壊熱曲線

崩壊熱曲線は原子力安全において最も重要な数値の一つです。原子炉停止後：

- t = 0秒: 定格電力の約7%（3,400 MW原子炉の場合240 MW）

- t = 1分: ~3.5%

- t = 1時間: ~1%（~34 MW）

- t = 1日: ~0.3%（~10 MW）

- t = 1 week: ~0.1%

- t = 1 year: 燃料は長寿命同位体から測定可能な熱をまだ発生させている

1000万ワットの熱が、無期限に持続し、冷却ポンプを動かす電力がない。これは2011年3月11日の福島第一原発で起こったまさにその状況だった。

受動的ECCS：AP1000設計

次世代：受動的安全性

Westinghouse AP1000（Advanced Passive 1000 MWe）は、能動的ECCSの教訓を取り入れ、設計哲学を逆転させています：電力が必要な3系統のポンプの代わりに、すべての安全機能が重力、自然循環、圧縮ガス、蒸発に依存します。

炉心注水タンク (CMT)：反応炉の上に設置された、冷たいボロン水を入れた2つの大型タンク。通常は隔離されています。作動すると、重力で反応炉冷却材系に排水されます。各タンクは炉心を数時間覆うのに十分な水を保持しています。

アキュムレータ: 従来型プラントと同様：窒素加圧、パッシブ注入。

格納容器内補給用水貯蔵タンク (IRWST): 格納容器内の大型水プールで、原子炉の上部に位置。重力供給。CMTが空になった後の長期冷却を提供。ポンプ不要。電源不要。

パッシブ残渣熱除去熱交換器 (PRHR HX): IRWST内に没置。自然循環により、原子炉からの崩壊熱をIRWSTの水へ運び、水が加熱・沸騰し、煙突を通じて大気へ放出。ポンプ不要。完全にパッシブ。

72時間窓: AP1000の安全ケースは、オペレータの行動なし・電源なしで72時間の炉心冷却を証明。72時間後、オペレータは任意の水源からIRWSTを補充可能。

この設計の多様性：受動的 vs. 能動的：これが多様性が重要である理由です。AP1000の安全システムは、福島を破壊した故障モードによって敗北することはできません。

[TITLE containment/]

最後の物理的障壁

格納：最終境界

すべての他の安全システムが失敗し、燃料が損傷した場合、格納は放射性物質と一般公衆の間の最後の障壁です。それは内部の蒸気による圧力、 水素燃焼、故障した機器からのミサイル衝撃に対して保持しなければならず、必要に応じて可能な限り長く。

PWR乾式格納容器：鋼張りの補強コンクリート構造で、典型的には直径140フィート、高さ200フィート。最大の一次冷却材配管の完全両端ギロチン断裂による蒸気圧力を保持するよう設計されています（設計圧力 ~60 psi）。鋼ライナーが圧力境界であり、コンクリートが構造強度と生物学的遮蔽を提供します。

アイスコンデンサー型格納容器: 小型で低圧のPWR格納容器設計（一部のウェスティングハウスプラントで使用）。数百トンの氷を使用して蒸気エネルギーを吸収し、LOCA時に格納容器圧力を低く保つ。小型で安価な構造が可能だが、氷の定期メンテナンスが必要。

二重格納容器: 一部の設計では、内側の鋼製格納容器を外側のコンクリート製二次格納建物内に配置。間の空間をわずかに負圧に保ち、内側格納容器からの漏洩を回収・濾過してから放出する。

BWR格納容器: Mark I、II、III: ゼネラル・エレクトリックBWR格納容器は、圧力抑制プール（トーラスまたはウェットウェル）を使用して蒸気を急速に凝縮するため小型。Mark I（福島の設計）はドライウェル-トーラス配置：トーラスはドライウェルの下にある大型ドーナツ型の水プール。弱点：トーラスがドライウェルの底部に接続されている。トーラスが破損すれば格納容器が失敗する。これが福島1号機で実際に起こった。

パッシブ自己触媒再結合器 (PAR): 福島事故後、ほとんどの格納容器にPARが導入：パラジウムや白金などの触媒材を含む装置で、低濃度で水素と酸素を反応させて水を生成し、点火せずに水素蓄積を防ぐ。これにより爆燃や爆発を防止。

Passive autocatalytic recombiners (PAR): Post-Fukushima, most containments now include PARs: devices containing catalytic material (palladium or platinum) that reacts hydrogen with oxygen to form water, without ignition, at low concentrations. This prevents hydrogen accumulation that could cause deflagration or detonation.

フィルタ付き格納容器ベント: 福島事故後の欧州要件で、米国でもますます普及: マルチステージフィルタシステム（ベンチュリスクラブバー + 金属繊維フィルタ）付きの強化されたベント経路で、オペレーターが格納容器を意図的にベントできる一方で、粒子状放射能の99.9%以上を保持する。これにより、過圧による格納容器の制御不能な破損を防ぐ。

設計基準および設計基準超過事故

格納容器が設計されている目的

設計基準事故 (DBA): NRCは格納容器がこれらのいずれも同時に耐えられることを要求している:

- 大型破断LOCA: 最大一次冷却材配管の完全切断、最大冷却材放出

- 外部電源喪失 (LOOP) とLOCAの同時発生: 最も必要とする時にグリッド電源なし

- 主蒸気配管破断: 格納容器内での高エネルギー蒸気の放出

- 燃料取扱事故: 燃料集合体の落下、損傷した燃料からの核分裂生成物の放出

設計基準超過事象 (BDBA): 9/11以降および福島事故以降、プラントは以下の事象も対応する必要がある:

- 全面停電 (SBO): すべての交流電源の長期喪失 (TMI事故後の要件、福島事故後に強化)

- 設計基準超過の洪水: 福島事故で設計基準の洪水高さが低すぎることが示された

- 航空機衝突: NRCは9/11以降、意図的な航空機衝突の解析を要求; 新規プラントは構造的生存性を証明する必要がある

- 使用済燃料プールの冷却喪失: 福島第4号機の使用済燃料プールがほぼ乾沸騰; 福島事故後の要件で専用SFP補給接続が追加

Mark Iの脆弱性

福島第一原発1、2、3号機はすべてGeneral ElectricのMark I型格納容器を採用していました。Mark Iは、原子炉を囲む電球型の鋼製ドライウェル（乾井）と、ダウンカマーによって接続されたトーラス型抑制プール（トーラス）を使用します。ドライウェルからの蒸気はトーラスの水中に導かれ、凝縮されます。

事故中、2号機のトーラスが損傷したとみられ、核分裂生成物が完全な格納境界を通過せずに直接原子炉建屋へ、そして大気中に放出されました。

停止システム

反応性制御：停止への3つの独立した経路

原子炉はあらゆる条件下で停止し、停止状態を維持しなければなりません。単一の故障が停止を妨げることは許されません。一般設計基準（GDC 26）は、2つの独立した反応性制御システムを要求しており、それぞれが原子炉を臨界下に保つ能力を持っています。

制御棒駆動機構 (CRDMs):

- PWR磁気ジャックCRDMs: 制御棒は電磁石で持ち上げられている。電源喪失時（SCRAM信号または電源喪失）に、磁石が脱励磁され、棒が重力でコアに落下する。フェイルセーフ：棒を外に保つために電源が必要。電源喪失 = 自動挿入。

- BWR油圧CRDMs: 制御棒は下部から高圧水で駆動される。緊急挿入では高圧窒素を使用して制御棒を急速に挿入する。一部のBWR設計では、制御棒挿入のための電気バックアップも備えている。

代替制御棒挿入 (ARI): 通常のSCRAM論理とは独立して制御棒を挿入できる、別個で多様な電気信号経路。通常のSCRAM回路が故障した場合に使用される。

スクラムなし過渡事象 (ATWS): 制御棒が要求に応じて挿入されない規制シナリオ。ATWS緩和システム (ATWS-MF) は通常のSCRAMとは独立したホウ素注入を提供する：通常は別個のセンサーセットで作動する自動高圧ホウ素注入。

緊急ボレーション:

- 別々の立管（通常のチャージングとは別）からの高圧ボロン注入

- ECCSボロン注入ライン経由の緊急ボレーション

- ホウ酸貯蔵タンクからの手動ボレーション

受動的設計: CANDU炉: CANDUには完全に独立した2つの停止システムがあります: (1) 重力で落下する機械式停止棒、(2) 減速材へのガドリニウム硝酸塩溶液の高圧注入: 別々の物理回路。これらはあらゆる意味で独立しています: 異なる作動論理、異なる物理システム、異なる原理。

ATWS解析

1979年のスリーマイル島2号機でのテスト中、メンテナンスエラーによりリアクター・トリップ（SCRAM）がテスト中に発生しませんでした。この事象は迅速に検知されました。しかし、「故障不可能」なシステムが実際に故障したため、NRCは全プラントにATWS緩和システムを義務付けることになりました。

PWRでのATWS事象：リアクター出力が急増します。制御棒が挿入に失敗。緊急ボレーションが最後の防衛線です。

3層電源アーキテクチャ

原子力発電所の電気電源：3つの独立した層

原子力発電所は、グリッドや自家発電設備に何が起こっても、安全システムへの電源を維持する必要があります。電源アーキテクチャには3つの層があります：

層1：通常運転: 発電所は主タービン発電機から自家電源を生成します。補助負荷（ポンプ、ファン、制御装置）は、ユニット補助変圧器を介して発電所の自家出力から供給されます。

レイヤー2: 構外電源（優先AC電源）: メイン発電機がトリップした場合、プラントは起動/予備変圧器を通じてグリッドに接続します。NRCは、異なる変電所からの少なくとも2本の独立した送電線を要求しています：これにより、単一の送電故障が構外電源の完全喪失を引き起こさないようにするためです。

レイヤー3: 非常用ディーゼル発電機（EDGs）: 構外電源が喪失した場合、EDGsは自動的に始動し、10秒以内に安全バスに負荷を接続します。NRCの要求事項：

- 各EDGは、始動信号を受信してから10秒以内に定格電圧および周波数に達しなければならない

- 燃料貯蔵: 満負荷で最低7日分（NRC Regulatory Guide 1.9）

- 試験: 月次負荷試験 + 24ヶ月ごとに24時間耐久試験

- 負荷シーケンシング: 始動時のディーゼル過負荷を避けるため、安全負荷を順次接続

ステーションバッテリー: 計装、制御室パネル、非常照明、SCRAM作動回路、ATWS作動、通信のためのDC電源。最低2時間（Class 1E）の負荷を供給する必要があり；ほとんどのプラントは4-8時間に設計。ACが復旧したらバッテリーチャージャーがバッテリーを充電。

福島後FLEX戦略: NRC命令EA-12-049により、全プラントは現場条件に関係なく定義された時間枠内で展開可能なポータブルポンプおよび発電機を保有する必要がある。FLEX機器は複数の場所（一部は頑丈な構造物内、一部はオフサイト）に配置され、原子炉冷却および使用済燃料プールシステムの強化された外部接続点に接続可能。

ディーゼル発電機要件

スリー・マイル・アイランド2号機、1979年: 事故の経過はタービントリップに続いて給水喪失、その後コア損傷に至る一連の複雑な事象であった。緊急ディーゼル発電機はイベント全体で正しく始動し、稼働した。

福島第一、2011年: 地震により原子炉SCRAMが発生。6基すべてのディーゼルが始動し稼働した。その後津波が到達。1-3号機のディーゼルは浸水した地下室にあり、6号機のディーゼルは高い位置にあり生存。5・6号機はコア損傷なし。

原子炉保護システム

原子炉保護システム (RPS)

原子炉保護システムは、監視パラメータが安全限界を超えた場合に原子炉SCRAM（急速停止）を開始する自動システムです。これは過渡現象に対する最初の自動防衛手段です。

SCRAMを開始できる監視パラメータ：

- 高中性子フラックス（高出力）

- 高原子炉冷却材温度

- 低原子炉冷却材圧力（潜在的なLOCA）

- 高格納容器圧力

- 原子炉冷却材流量低下

- 冷却材水位高（BWR）

- 水位低低（BWR）

- 外部電源喪失

- 手動トリップ（オペレータ開始）

投票論理: 各パラメータは、独立した4つのセンサーによって測定され、それぞれが別々の保護チャネルにあります。SCRAMには、4チャネルのうち2チャネルがセットポイントを超える必要があります。これにより：

- 単一の故障センサー（偽の高読み取り）では、誤トリップを引き起こせません

- セットポイントを超える2つのチャネルがある場合にトリップが開始される

- 単一のチャネルが故障（偽の低読み取り）した場合、3つのチャネルが残り、依然として2-of-3対応可能

多様で専用作動システム (DDAS): 現代のデジタルRPSシステムには、アナログバックアップであるDDASがあり、デジタルI&Cとは独立して安全機能を開始できます。これにより多様性が提供されます。デジタルシステムとアナログシステムは完全に異なる理由で故障する可能性があり、一方の故障が他方の機能を妨げません。

2-of-4 vs 2-of-3 ロジック

RPSはSCRAM開始に2-of-4投票を使用します（4つのセンサー、2つが一致してトリップ）。しかし、個々のセンサーは各トレイン内で2-of-3投票を使用して作動システムに報告します（3つの測定値、2つが一致して特定の安全機能、例えばECCSを作動）。

これらは同じものではなく、その違いを理解することが重要です。

最低人員配置

人的監視：考える層

原子力発電所の運用では、すべてのシフトで免許保有者が必要です。NRC 10 CFR 50.54(m) は最低人員配置要件を定めています。最低限、運用クルーには以下が含まれます：

原子炉運転員 (RO)：NRC免許保有者 (10 CFR 55)。原子炉制御、主制御盤、安全システムを直接操作します。出力運用中は制御卓に継続的に常駐する必要があります。

上級原子炉運転員 (SRO): 上位のNRCライセンス。ROを監督する。シャットダウンを独自の権限で開始できる。異常事象中のROの行動をレビューし承認する。シフト中のROと同じ人物にはなれない。

シフト監督者 (SS): 上級SROライセンス保有者。シフト中の運用全体の遂行とプラントの安全に責任を持つ。プラント運用に関する現場の最終権限者。

シフト技術顧問 (STA): TMI事故後の要件 (NUREG-0737)。各シフトに割り当てられたライセンスを持つエンジニアで、異常事象中に独立した技術支援を提供することを目的とする：操作制御に気を取られず、事象の診断に完全に集中する。

なぜ複数人か？人間の層における深層防御。ストレス下のROは手順の実行に集中し、全体像を見逃す可能性がある。SROは独立した監督を提供する。STAは独立した技術分析を提供する。シフト監督者は状況認識を維持する。単一の人間の認知失敗がプラントの安全な制御を防ぐことはない。

ヒューマンパフォーマンスツール

人的エラーの削減：体系的なツール

原子力産業は、異なるタスクタイプに対する人的エラー率を定量化しています。ストレス下の複雑な意思決定のエラー率は10回に1回を超えることがあります。産業は重要なタスクに対して1,000回に1回のエラー率またはそれ以下を目標とし、体系的な人的パフォーマンスツールを通じてそれを実現しています。

作業前ブリーフィング: 重要なタスクの前に、ブリーフィングが行われます：タスクの目的、危険、予想される条件、完了の確認手順、中止条件（Xが発生したら中止して上司に連絡）。5-15分かかります。タスク実行エラーを劇的に削減します。

STAR (Stop, Think, Act, Review): すべての重要な行動に対する自己チェック手法。Stop: 行動前に一時停止。Think: 何をしようとしているか、そしてこれで正しいか？ Act: 行動を実行。Review: 結果は期待したものだったか？ 2秒のポーズが転置エラー、誤ったバルブ選択、認知ショートカットを捉えます。

三方向コミュニケーション: すべての安全上重要な口頭指示に対して：(1) 指示者が指示を述べる：「バルブHV-233を開位置に合わせる。」 (2) 受信者が正確に繰り返す：「バルブHV-233を開位置に合わせる。」 (3) 指示者が確認：「正しい。」 このやり取りで捉えられないコミュニケーションエラーは珍しい：両者が聞き間違えたり記憶違いをしたりする必要があります。

二人確認: 特定の重大な運用（セキュリティ関連、放射源取扱い）では、2人の免許保有者が立ち会い、互いの行動を相互に確認する必要があります。どちらの人物も単独で機密操作を実行できません：2人目が物理的に立ち会い、各ステップを確認する必要があります。

疲労管理: NRC 10 CFR 26 で制限が定められています：最大16時間/勤務日、最低8時間の休息を義務前に確保、週最大54時間、残業時は週最大72時間。疲労は意思決定を酩酊と同じほど著しく低下させます：これらの制限は生産性推奨ではなく、安全要件です。

緊急動作手順

スリーマイル島（1979年）以前、原子力発電所では事象ベースの緊急手順が使用されていました：X事象が発生したら、手順Xを実行します。オペレーターは行動前に事象を正しく識別する必要がありました。

TMIでは、オペレーターが矛盾する指示を受け取りました。圧力解放弁が開いたまま固着していました：これは小規模破損LOCAでした：しかしオペレーターは事象を誤認識し、誤った手順に従いました。正しい診断が行われた時には、炉心に重大な損傷が発生していました。

TMI後、業界は症状ベースの緊急動作手順 (EOPs) を開発しました。「事象を特定し、手順を選択する」のではなく、オペレーターは「症状を観察し、その症状に対する保護動作を実行する、何が起こっているかに関わらず。」に従います。

主要な症状ベースの起動条件：原子炉冷却材レベル、圧力、または温度のいかなる予期せぬ変化も、原因に関わらず、同じ炉心冷却確認シーケンスを起動します。

ALARA: 合理的に達成可能な限り低く (As Low As Reasonably Achievable)

放射線防護工学

ALARA: 合理的に達成可能な限り低く (As Low As Reasonably Achievable): 単なる線量制限ではありません。それは哲学です: 線量は法的制限以下に保つだけでなく、実用的である限り低く抑えるべきです。NRCはALARAを規制要件（10 CFR 20.1101）として義務付けています。これは単なる良い慣行ではありません。

外部線量管理: 3つの古典的な制御:

- 時間: 放射線場での時間を半分に短縮すれば、被曝量を半分に。事前に計画された作業手順により、高線量領域での不要な時間を最小限に抑える。

- 距離: 線量率は逆二乗法則に従う。点源からの距離を2倍にすれば、線量率を4分の1に。3フィートではなく6フィートから作業すれば、被曝量を75%低減。

- 遮蔽: 鉛、コンクリート、水、ポリエチレンは異なる放射線種を減衰させる。Half Value Layer (HVL) は強度を半分に減らす厚さ。典型的なガンマ線に対する鉛のHVL: ~1 cm。コンクリートのHVL: ~6 cm。10 HVL（10 TVL = Tenth Value Layer）後、強度は元の1/1,000に低減。

内部被曝管理:

- 体内に入った放射性物質は、崩壊するか排泄されるまで臓器を照射し続ける

- 経路: 吸入（エアロゾル、ガス）、摂取（汚染された食品/水）、皮膚吸収（稀）

- Derived Air Concentration (DAC): 放射性核種の空気中濃度で、年間2,000時間吸入した場合に職業被曝限度量を与える。呼吸器保護具および負圧密閉空間が吸入被曝を防ぐ。

- 年間摂取限度 (ALI): 職業被ばく線量限度に相当する総摂取量 (吸入 + 経口摂取)

職業被ばく線量限度 (10 CFR 20):

- 5 rem (50 mSv) /年 総実効線量当量

- 3 rem (30 mSv) /四半期

- 15 rem (150 mSv) /年 眼の水晶体

- 50 rem (500 mSv) /年 皮膚または四肢

- ALARA計画のための線量制約: 2 rem/年 (工場固有の管理限度はしばしばこれより低い)

汚染制御：

- 放射線管理区域（RCAs）はアクセスが制御され、退出時にサーベイ（検査）を実施

- ステップオフパッド：RCA出口に紙またはプラスチックを設置；ここで靴カバーを交換し、汚染の持ち出しを防ぐ

- 全身体計測：内部汚染の可能性がある区域での作業後、全身体ガンマ計測で内部取り込みを検出

- バイオアッセイプログラム：尿および糞便分析により、特定同位体からの内部線量を定量

実践におけるALARA

放射線作業者は、高線量領域でバルブを交換する必要があります。バルブ位置の線量率は500 mrem/時間です。作業完了には30分かかります。作業者の本年度累積線量は1,200 mremで、プラントの管理限界は2,000 mrem/年です。

ALARA原則と3つの制御を使用して、この作業を進めることができるかを評価し、線量を低減するための少なくとも2つの具体的な行動を特定してください。

スリーマイル島 (1979)

スリーマイル島ユニット2: 1979年3月28日

TMIは設計の失敗ではありませんでした：人間と手順の層での深層防御の失敗でした。

何が起こったか：

- タービン・トリップにより原子炉SCRAMが発生（自動：正しく動作）

- 圧力解放弁（PORV）が開いた（正しい）ものの、開いたまま固着した（機器故障）

- 制御室の指示器は、弁が閉信号を受け取ったことを示すのみで、実際に閉じていたわけではないことを示さなかった

- 固着して開いたPORVから冷却材が漏れ、原子炉内の圧力と温度が低下した

- オペレーターが症状を過剰な冷却材と誤読し、緊急冷却注入を減らした：必要なことの正反対

- 2時間以上にわたり、原子炉コアが部分的に露出した

- コアの約半分が溶融した

格納容器の役割： 耐えた。深刻なコア損傷と格納容器内での水素蓄積にもかかわらず、格納容器構造はほぼすべての分裂生成物を保持した。オフサイト線量影響は軽微：放射線による公衆健康影響なし。

TMI後の改善策 (NUREG-0737):

- 症状ベースのEOP（イベントベースからの置き換え）

- すべてのシフトにシフト技術顧問

- 乗組員訓練のためのNRC認定フルスコープシミュレータ

- 事故後監視計装 (PAM): 炉心冷却直接指標、AC非依存電源の適格表示パネル

- 改訂された制御室設計基準 (NUREG-0700)

- 改善された運転員免許試験要件

チェルノブイリ (1986)

チェルノブイリ 4号機: 1986年4月26日

チェルノブイリはTMIとは性質が異なりました：主に設計上の欠陥と意図的な安全システムのバイパスが組み合わさったものでした。

何が起こったか：

- 電圧安定性テストのため、原子炉を低出力（約200 MW、定格3,200 MWに対して）で運転する必要がありました

- 低出力時、RBMK原子炉は正の空隙係数を持っていました：冷却材中の蒸気泡が反応性を増加させました

- 制御棒には設計上の欠陥がありました：挿入時に最初にグラファイトの先端が水を押し出し、中性子吸収部が入る前に反応性が最初に増加しました

- テストは遅延し、夜勤の乗組員はそのための訓練を受けていなかった

- テストを実行するために複数の安全システムが意図的に無効化された

- 緊急停止ボタン（AZ-5）を押すと、石墨棒の先端が意図されたSCRAMの代わりに反応性急増を引き起こした

- 出力が数秒で30,000 MWに急上昇：定格出力の約10倍

- 燃料と冷却材が蒸気に閃蒸し、蒸気爆発を引き起こして原子炉を破壊した

- 石墨火災が10日間燃え続け、ヨーロッパ全域に核分裂生成物を拡散した

格納なし：RBMKには完全な格納建物がなかった。原子炉は圧力保持能力のない大型の工業用建物内に置かれていた。原子炉が破壊された時、最後の障壁がなかった。

チェルノブイリ後の変更点：

- RBMK設計の改良：低出力時の正のボイド係数を除去、制御棒先端の再設計、追加の中性子吸収材の設置

- 国際的な原子力安全条約の強化

- IAEA（INSAG-7）による原子力安全文化の概念の正式化

- 西側規制当局による格納容器を譲れない要件とする強調

3つの事故、3つの教訓

あなたは今、3つの主要な民間原子力事故を知っています：TMI (1979)、チェルノブイリ (1986)、および福島 (2011)。それぞれが防御の深さの異なる種類の失敗を明らかにしました。

リスクの定量化

PRA: 「十分安全」から「どの程度安全か」へ

決定論的安全解析は次のように言います：これらの特定の事故に耐えうるようプラントを設計せよ。確率論的リスク評価（PRA）は異なる質問を投げかけます：あらゆる失敗の可能性を考慮すると、それらが実際に起こる確率はどれほどか？

炉心損傷頻度 (CDF): 原子炉炉心が任意の与えられた年に大幅に損傷する確率。NRCの安全目標：CDF < 1×10⁻⁴ /炉心年（10,000炉心年に1回）。現代のプラントは通常CDF < 1×10⁻⁵（100,000炉心年に1回）を達成します。

大規模早期放出頻度 (LERF): 放射能の大規模かつ早期の環境放出の確率（避難が完了する前）。NRC安全目標：LERF < 1×10⁻⁵ /炉心年。

フォールトツリー: 定義されたトップイベント（例: 'ECCSが炉心に水を供給できない'）に至る部品故障の組み合わせを示すグラフィカルな論理図。ANDゲート（すべて故障する必要がある）およびORゲート（1つの故障で十分）を使用。ANDゲートは確率を低減（複数の同時故障が必要）。ORゲートは確率を増加。

イベントツリー: 開始イベント（例: '大破断LOCAが発生'）から始まり、安全システムの成功または故障に応じて結果を追跡するグラフィカルな図。各枝は安全機能の成功または故障を表す。終端ノードは事故シーケンス: 安全停止、炉心損傷、大放出。

重要度指標: PRAはリスクに最も寄与する部品およびシステムを特定。

- Fussel-Vesely (FV) 重要度: 部品の故障が寄与するCDFの割合。高FV = この部品が非常に重要。

- Risk Achievement Worth (RAW): この部品を故障したと仮定した場合のCDF増加量。高RAW = この部品は長期間サービス外にできない。

RAWは保守および試験スケジューリングを決定: 高RAW部品は頻繁な試験と短い許容停止時間を要する。

PRAとメンテナンススケジューリング

原子力発電所には3台の非常用ディーゼル発電機（A、B、C）があります。PRA解析の結果は以下の通りです：

- 3台すべて稼働可能時：年あたり2×10⁻⁵

- ディーゼルAをメンテナンスで使用不可時：年あたり8×10⁻⁵（4倍増加）

- ディーゼルAおよびBを同時に使用不可時：年あたり4×10⁻³（200倍増加）

メンテナンスチームは、ディーゼルAおよびBを30日間にわたる大規模オーバーホールのために同時に使用不可にしたいと考えています。

使用済み燃料：長期的な義務

使用済み燃料：能動管理と受動管理

燃料が3〜5年の運転後に原子炉から取り出されると、崩壊熱により激しく放射性を持ち、熱くなっています。同じ崩壊熱曲線が適用されます：定格電力の7%が即座に発生し、数年にわたって減少します。

使用済み燃料プール (SFP)：取り出し直後、使用済み燃料集合体は使用済み燃料プールに置かれます。これは通常40フィート深さの水で満たされたプールで、原子炉建屋に隣接しています。水は冷却と遮蔽の二重の役割を果たします（燃料上部の水が放射線を吸収し、プールデッキ上の作業員が低線量しか受けないようにします）。

乾式キャスク前の最小プール冷却時間：PWR燃料の場合、約5年です。燃料は、乾式キャスクでの受動空気冷却が残りの崩壊熱を水なしで処理できる点まで冷却されなければなりません。

ジルカロイ火災リスク：使用済み燃料集合体が露出（プール水の喪失）すると、高温でジルカロイクラッディングが空気中で酸化します。水蒸気-ジルカロイ反応が水素を生成するのとは異なり、赤熱温度での空気-ジルカロイ酸化はジルカロイ火災を維持できます：自己持続的な発熱反応です。福島第4号機の使用済み燃料プールはこの温度に達するまで数日でした。

福島事故後のSFP要件 (NRC命令 EA-12-051):

- SFP水位および温度のための信頼できる計測機器

- 多様な供給源からSFPに補給水を追加する能力

- 長期間の電源喪失シナリオ下でSFP冷却を維持または回復するための戦略

乾式キャスク保管: プールで5年以上経過した後、燃料は乾式キャスクに移されます: 溶接鋼製キャニスターをコンクリートまたは高密度ポリエチレンシールドで囲んだもの。冷却は完全に受動的: 外側構造の通気孔を通る自然空気対流。電源不要。設計寿命: 100年以上。米国だけで現在90,000トン以上の重金属が乾式キャスク保管されています。

高レベル廃棄物の処分: 使用済み燃料は高レベル核廃棄物に分類されます。米国法（Nuclear Waste Policy Act）では、ネバダ州のユッカマウンテンを恒久的な保管庫に指定していますが、政治的反対により開設されていません。NRCは、保管庫が10,000年間の封じ込めを提供することを要求しています（EPA基準：10,000年を超える線量に対して100万年）。深地層地質処分では、岩盤自体を一次バリアとし、人工バリア（ガラス固化、金属キャニスター、ベントナイトクレイ）を追加層とします。

低レベル廃棄物 (LLW): 汚染された衣類、工具、フィルター、樹脂。NRCの3つのクラス：

- Class A: 最低活性、最短寿命の同位体。浅層陸上埋設、100年間の隔離要件

- Class B: 中程度の活性。300年間の隔離を伴う浅層埋設

- Class C: 高い活性、長寿命の同位体。500年間の隔離が必要；より強固な人工バリアを伴う近表面処分

処分空間を最小限に抑えるための体積削減技術（焼却、圧縮、溶融）は義務付けられています

ドライカスク安全ケース

批評家は、ドライカスク貯蔵が安全でないと主張します。なぜなら、カスクには能動冷却がなく、電源接続もなく、コンクリートパッドの屋外に置かれているからです。原子力エンジニアは、ドライカスクは使用済燃料プールよりも実際には安全かもしれないと応じます。

多層防御：全体像

原子力安全工学：システム工学の分野

これで原子力安全工学のすべての層を学習しました。 一歩引いてシステム全体を見てみましょう：

物理的バリア (燃料マトリックス、被覆管、圧力容器、格納容器) は受動的です：動作させるために何の操作も必要ありません。それらは基盤です。

安全システム (ECCS、RPS、EDGs、DDAS) は能動的で、受動的バックアップ (蓄圧器、重力タンク、バッテリー) があります。各機能には3つの独立した系統があります。各系統は100%能力があります。能動的および受動的アプローチは多様です。

計装 (RPS、ECCS作動、PAM) は、2-of-4投票論理で数十のパラメータを監視：誤トリップやトリップを妨げるセンサ故障に耐性あり。

手順 (症状ベースのEOPs) は、正しい診断を必要とせずにオペレータを保護動作へ導く。TMI後。必須。

人間要因 (人員配置、訓練、人間パフォーマンスツール、疲労制限) は、人間層の失敗確率を低減。TMI後STA要件。シミュレータ訓練。業務前ブリーフィング。STAR。三方向通信。

経営 & 安全文化 は、安全が効率のために犠牲にされないことを保証。チェルノブイリ後INSAG-7。チェルノブイリの教訓は、管理により無効化された安全システムは存在しない安全システムである。

規制 (NRC 10 CFR 50、IAEA基準、定期検査)は最上層で独立した監督を提供します。検査しない規制当局は存在しない規制当局です。

3つの主要な事故は、防衛の深さが単一の劇的な失敗からではなく、小さな失敗の組み合わせ、不正確な前提、複数の層での同時の不十分な余裕から失敗することが明らかになりました。安全ケースの強さは、最も弱い同時の組み合わせに依存します。

最終統合

最終質問: 最も難しいもの

新しく提案された原子炉設計は、それほど安全であると主張しており、3つではなく単一のECCS列で十分、非常用ディーゼルなし（受動的冷却のみ）、4人ではなく2人のオペレーターによる簡素化されたシフト体制で済むとしています。

デザイナーは次のように主張します：「パッシブ冷却とは電力が不要であることを意味し、したがってディーゼル発電機は不要です。物理学的にリアクターがメルトダウンすることは不可能なので、簡素化された人員配置が正当化されます。」