http://www.asyura2.com/11/genpatu16/msg/278.html
Tweet |
Supersymmetry Brothers
大塚 洋一 さんのブログより転載
『新原子炉お節介学入門』柴田俊一 (本編 第五回)
柴田俊一:京大原子炉実験所元所長の書評です。今回は、『責任はいずこへ〜」誰も責任をとらなくて済んじゃう、済ませてしまうこの大いなる無責任体制について、柴田センセイがぶった切っております。大塚さんの感想です。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
2011年9月 4日 (日)
『新原子炉お節介学入門』柴田俊一 (本編 第五回)
次は、安全設計と、その基準、標準に関わる問題だ。
まずは、柴田さんの言葉を聞こう。
「何かの実例が起これば、そのことだけは防ぐことは簡単だが、未知のことに対しては「完全」はない。」
「当事者以外の一般の人が、こういう思い込みをされるのは仕方ないが、最近は実際に取り扱い、使用している「専門家」に同じような思い込みがあるのが心配である。三倍、五倍の高い値段で購入しても本質的には故障破損を絶無にすることはできないのは同じである。そして、滅多に起きない方が、場合によっては油断が起きやすい、という欠点となることさえある。」
「原子炉の部品でも神様のお作りになった物ではないから、故障や破損は起こる。原子核実験の大先生でも勘違いされるくらいだから、一般の人が、故障、破損などは起こらない、と思い込むのは仕方がない。「専門家」の会で筆者が普通の物の四か五倍もの高い値段の部品は無意味、どんな物でも故障、破損はあるから、初めから破損故障を前提に安全確保を心掛けることが必要と強調したことがある。ある電力会社の重役さんが、いや高い値段のものはそれなりに長持ちしますからそれだけ安全性が高まる、と反論された。
それは簡単には言えない。全く故障、破損が起きないなら良いが、確率は低くても故障、破損はある。中途半端に長持ちすると、かえって緊張が緩み、実際に破損などが起きたとき、対応が遅れたり、間違ったりする可能性が高まる。特に安価な粗雑品を使えと言っているのではない。たかだか何割か長い寿命の物を五倍もお金を出して買うのは、そのしわ寄せが他のことにくるから問題である、と言っているのだ。」
「壊れたらどちらへ行くか分からないから壊すな、壊れるものは使うな、という単純な考えの人が原子力屋の中にいる。壊れないものを、というのは自然の摂理に反する考えである。仮にそういうことが実現したら、原子力産業は何年も経たないうちに仕事がなくなり、人もいらなくなる。」
「壊れることは自然で当然である。それを乗り越えて安全を確保する。これが原子力安全文化の基本で、いつ到達できるか分からないが100%の安全を目指して努力する、その道は無限である。」
「完璧、完全が不可能と悟れば、非常識に大げさなシステムを作ることはない。設備とか機械ではどこまで対応できて、その先は人間が責任を持つ、ということをしっかりと認め、その原則に沿って行動すればよいわけである。もっとも「その先」が問題で、皆が同じレベルで行動できることは望めない。一人ひとりの能力、努力によって差が出ることはやむを得ない。」
言われているのは、簡単な事だ。機械は、全て壊れる。これを前提として、人間が何をすべきか、人間には何ができるかを含めてシステムを計画すべきだ、というそれだけのことだ。機器の故障や設備の破壊によって何が起こるかを予想することはできる。だから、個別の部品、システム構成要素の障害には予め準備をすることができる。どんなシステムにも保守というものは存在するのはそのためだ。これは、故障した部品を交換する手順でもあれば、故障する前に部品を交換することでもある。清掃や調整のような作業も、システムを正常な状態に維持するための活動と位置づけられる。ここまでは、当たり前にどのようなシステム開発においても行なわれていることだ。壊れることを予想しなくては突然壊れるのを予防することもできない。この当たり前のことが、学者や識者の間ですら曖昧にされている様子がこれらの引用からよくわかると思う。壊れない部品を使え、というのは一見当然のようだが、無茶苦茶な話しだ。物は皆壊れる。これは変えられない真理であって、ただどれだけ長期間もつかということが考えられるだけだ。この期間が運用期間より長ければ、事実上壊れないという前提をおくことができそうだが、しかし、部品がどれくらい長期にもつかというのは確率的にいうことができるだけで、設計の中では統計的に故障の頻度を予測し対策の方法の手厚さを考慮する際の参考にする程度のことにすぎない。壊れるかもしれない前提で設計することは極当然のことであって、このようなことをわざわざ書かなければならないのはやや異常な世界が原子力発電にはあることを伺わせるものだ。設計者がこんなことを知らないわけがない。先生方だって工学畑の人が知らないはずがない。どこか国の上の方の計画にまとまっていく中で、壊れないものとして周囲からみられるようになってしまうメカニズムがあるに違いない。できるだけ多くの予算を吸い取ろうとするメーカの思惑や、そのくらいの部品を使わないと心配だと、おっかなびっくりやっている事情もあるに違いない。しかし、最大の原因は原子炉建設を認めさせるために絶対に事故はないものとしてきた政治や行政レベルの暗黙の了解事項にあるのではないか。これは、もう信仰に近いように僕には思える。無理やり、みんながそれを信じることにして集まって仕事をしているような印象だ。そのような推測は、本書を読む限りでは疑いようもないのである。
「自動制御を命じているのは人間様であって、家来が変な動作を始め、主人が「駄目だ、私がやる」と手を出したら、さっと退くのが当然である。」
「深夜の怪現象を経験したときから、筆者はこのことに気が付き考えを変えた。すなわち、最終段階の重要な判断と操作は人間が責任を持つことが必要であり、これに加えてシステムの一定の部分は人間に受け持たせる形が、緊張の連続、注意力の集中など、必要な種々の要素も合わせて考えた場合の最適設計といえるのではないか、と。」
「以後、緊急訓練には設備が正常である場合だけでなく、時にはどこかで異常状態になっている状態を想定して、机上訓練や実地での試験を加えることにした。もっともこれは無限のケースがあって、どう工夫してもすべてのケースを想定することは不可能である。しかし、こういう訓練は実際の事故の初期動作の訓練として必要と考えている。」
これらの文で言われているのは、設計原則とでも言うようなことで、どちらかというと基本的な課題だ。システムを設計する際に、それをブラックボックスにしてしまって、運転するユーザーは何をしたいかを伝えれば、あとはシステムがそれに見合った制御を行うという考え方と、システムの重要な構成要素の調整機能をそのままユーザーに解放し、ユーザーはそれらの調整を自ら行うというスタイルの大きく二通りが考えられる。自動車で言えば、前者はオートマチック、後者はマニュアルに相当する。前者のアプローチの問題点は、システムが異常動作を始めたときに介入する手段がユーザーには限定されていることだ。自動車の運転の場合、それほどプラックボックス化していない面があるようにも思うが、最近商品化が始まっている障害物や歩行者を認識して自動ブレーキングするシステムなど、人間の運転操作にシステムが介入してくる新しい機能には、こうした懸念がつきまとう。それらが意味するのは、人間の意志に基づく運転に機械が関与して人間の意志と異なる動作をすることを許可しているという事実だからだ。自動車の運転の場合、人間の挙動でできることには限界があるため、システムのセンサーを利用して搭乗者と歩行者などを保護するという発想が成り立つのだが、そのシステムの動作に不具合があった場合はもうどうすることもできない。おそらく、このような機能には出口を設ける必要があり、明らかに挙動がおかしい時には機能を遮断できるような安全回路が必要になる。この回路の遮断自体をシステムに半分くらい委ねることもあるに違いない。たとえば、電流を測定していて異常な様子が現れたらすぐ切るといったことは対策としてはいちいち人間が対応しなくとも済むかもしれない。人間の操作に係る負担は、ある程度軽減することも必要なのだ。これらのことは、マシンに対する人間のインタフェース設計の課題であって、何も原子炉に特有のことでもなんでもない。どんなシステムでも悩みながら設計している要素であり、センサ技術やコンピュータ技術の進展にともなって進化が著しい分野でもある。マンマシン・インタフェースの課題にはいろいろあるが、誤操作からの保護、マニュアル抜きでの操作のガイド、状況把握の効率性、レスポンス、人間の感覚による微妙な制御方式の実現、非ブラックボックス化、操作容易性、などの中にマシンによる人間の制御、人間によるマシンの制御という相互関係性をどのように解決するのかという課題があるような気がする。ロボット三原則の話しを思い出す方もいることと思う。いき過ぎた利用者保護やプラックボックス化は、操作主体としての人間を従属的な位置に落としてしまう危険性があるのだ。
ただ、原子炉のようなシステムがブラックボックス化されているとは考えにくい。著者も訓練方法に言及しているくらいだから、やりようはあるのだろうが、異常時の訓練が後付で考えられているあたりを読むと、元々正常運転ありきの設計原則になっているのが原子力発電は普通なのではないかと疑えないこともない。個々の部品、構成要素の障害がどのようにして起こるかはある程度想定できる。上で述べたような、経年劣化や使用状況による摩耗、汚れのようなことから起こるものなど当然生じてしかるべき不具合もあれば(これらの主な対応策は事前保守だ)、外部要因によって、たとえば電力供給が絶たれるとか、薬品をかぶるとか、物理的に何かが衝突した衝撃を受けるとか、保守時に操作ミスをすると干渉しぶつかってしまう部位があるとかいった、あるかどうか分からないが、予想可能な事象だ。これらの予測できる原因には対策を講じることができる。しかし、どんな障害、事故も様々な要素が関連して起こる。表面的な事象とは別に、相互に依存性があるシステムの全体構造の中で真の原因は隠れて存在しているのが普通である。このような単純な部品交換では済まない複雑な障害や事故というものは、一般的に言えば、真の原因が分かるまで時間がかかる。原因をつきとめなければ、対処療法的に事故対応をせざるをえないわけだが、真の原因次第ではその対応が逆に事故を広げる結果を招くこともありうる。つまり、あまり原因がはっきりしていない段階では打てる手は限られるということだ。すこしずつProbeを出しながら状況を探り、打てる予防的な措置は講じながら原因分析を行う必要がある。このような事故対応は、訓練抜きでは難しいというのが柴田さんの主張だ。この度の福島第一の事故では、震災の当初緊急冷却装置を三度に渡ってマニュアリーに停止したという報告が伝わっている。識者は、そのような操作手順になっていたことも考えられるといっているが、もしそれが事実なら、これなどは事象への標準的な対応が破局を招く典型的な例だと思う。なぜそのようなことが起こるのか。オペレーターがシステムを熟知していなかったから?それは、違う。オペレーターは、システムの操作は熟知していても、システムのアーキテクチャや内部構造を熟知しているとは限らないのが普通だ。では、そうした知識をもち、全体のコントロールを行う上で責任をもって判断をすべき人はどこにいた誰なのか?当然、福島第一ではそれが問われなければならない。そして、そのような人間を養成することの重要性をまさに柴田さんは何度も説いていたことになる。
報道からは、福島第一では、どうやら吉田所長がその責任者にあたるようだが、吉田所長が事故時にどのような判断をし、ここまで至っているのかはきちんと検証してもらいたいものだ。海水の注水をとめたとかとめなかったとかいう話しが中途半端に出てはひともめして、また次の話題に流れていくということが報道を中心として繰り返されているが、そんなのは小さな話である。システムを知り尽くした責任者ができるだけのことをして、それでもさけられなかった事故なのかどうかが真剣に議論されなければならない問題なのだ。もし、それがそのとおりであるなら、その原因は何かである。操作、判断のミスが原因なのか、システムの災害対策が不十分だったのか、対策は十分だったが想定レベルが低かったのか。まだ、何一つ明らかになったわけではない。
もちろん、設計の際にどのように安全を作りこむかは簡単な問題ではない。そのために多くの叡智が傾けられ、それでも事故はおこる。スペース・シャトルは135回の飛行を行い2回の人命が失われる大事故があった。これは、相当に高い確率である。日本の原子力発電では、JCOの事故と福島だけと考えてもこの20年くらいの間で2回、つまり、10年に1回くらいの割合だ。絶対事故は起こらないつもりでもちろん設計していても、そうなのだ。
ところで、ソフトウェア開発分野では、多くののプロジェクトが要求定義に失敗していて目標とする成果が得られずに終わると言われている。失敗プロジェクトの6、7割くらいは要求定義に問題があるとする調査もあるくらいだ。これを防ぐために、開発とは別に検証を行う専門組織を設けてレビューをする仕組みを考える場合がある。最近の宇宙開発は、どうやらほぼこのやり方をとるのが普通になっているようだが、これをIndependent Verification & Validation(IV&V)と呼んでいる。日本のシステム開発で組織をつくってまで、こうしたことを実施しているのを目にすることはほとんどないのではないかと思うが、NASAではそのための専門組織があるし、Jaxa もこうした手法を取り入れている。これは、システムズ・エンジニアリングの手法だが、要するに内輪の検査で終わらせないことを徹底するには、独立組織にせざるをえないということなのだろう。IV&Vのメンバーは、引退したエンジニアなどの専門家で当然利害関係者ではないことが重視される。開発の手間はかなりかかることが予想されるが、Verification(正しく仕事をしているか)、Validation(正しいものを作っているか)を常に確認しながらプロジェクトを進めることでシステムの欠陥は減るものと思われる。スペース・シャトルの開発は、1970年代がメインだから、IV&Vは適用されていないはずだ(IV&Vは、宇宙ステーション開発の途中くらいから登場している。)。しかし、チャレンジャー事故からのフィードバックなどもあって、CMMIはレベル5を取得し、ISO9000にも対応している。つまり、そのようにして安全に対する仕組みを発展させながら開発、運用を続けてきて、それでも2回の事故が起きているという事実がいかに重いかということなのだ。有人宇宙飛行はリスクが大きい。ちょっとした不具合が、乗員全員を危険に晒す。スペース・シャトルは、安定したミッションを連続して続けているソユーズに比べると危険性の高い宇宙機であったと言わざるを得ないと思う。
ひるがえって、日本の原発運用の現場を考えてみたら、みなさんどう感じるだろう。また、引用しよう。
「心配していたことがとうとう起きてしまった。一九九九(平成十一)年九月三十日の東海村のJCO臨界事故である。
今まで幾つかのトラブルはあった。ところが大抵の場合、同業者である筆者らには、報道関係に渡される資料の十分の一も伝わってこない。一般の人にこの話をすると信じられない、という顔をされるが、事実である。
原子力船「むつ」の放射線漏れの時だけは、報告書の起草委員長を務めたので、内容に立ち入ることができた。
その時の報道関係、評論家の人達の意見は「責任体制が明確でない」という点に重点があった。筆者は強硬にこれに反対した。責任を負える資格のある者に責任を取らせるのは効果があるが、わが国の現状は、そういう資格のある人は少ない。勉強はできても実際の経験がない。安全審査はその意味で責任を取らせることはできない。
これから当分は審査でなく、協議、相談、助言という形で、設置者側と、情報の集まりやすい政府側とが計画、設計をまとめていくようにすべきである、と強く主張した。報道関係を含めて、この考えに賛成の空気になりかけた時、政府側の出席者から「それは今までの安全審査は間違いであった、ということになるのでカンベンしてほしい」と発言があった。結局報告書にはこの考えは入らないことになった。ところが、政府側で懇談会、検討会的なものが設けられ、事情を知らない人達にうけやすい責任論が頭をもたげてきて、「本当に責任を取ってもらうようにすればいいでしょう」と説得された。そうして安全委員会、安全局が誕生した筈だが責任はどこへ行ったか。」
「制御棒もない、JCO型の設備の臨界事故予防は規制を厳しくしただけでは防げない難しい課題なのである。例によって極端に少ない量に制限して、「世界一安全」な規制と宣伝することは、かえってルールを守らなくても大丈夫という気持ちを強くする逆効果になる。」
「定められた手続きを踏んで何とか委員会のお墨付きをいただいておる、文句あるか、では規制する側の安全が守られるだけ。」
「JCOでは現場の作業者が規則を守らなかったのが原因とし、利潤追求のために安全を犠牲にしたと非難された。産業が利益を追求するのは当然である。指導が不十分でなかったか、規定が適当であったかどうか、という反省がないのが問題なのである。」
「規則、定めはあっても、予告しての検査しか行わず、実質的に野放しの状態にしておきながら、ひとたび事故が起こると「規則違反」と目くじらをたてるようなことが多いが、こんなことを繰り返していてはもっと大きな間違いを犯すことにもなる心配がある。」
「要するに分かり難い、従って守り難い規則をいっぱい作って、違反を摘発するやり方より自然に守れるよう、守った方が得になる方法を実際に整えることが大切、と考える。」
「「安全審査」といっても、実は設計図面が審査されるわけではない。簡単に言うと、こういうようにします、こうなっています、という言葉だけの申請で、図面は言葉だけで表現できないことを補足して説明するための概略の形を描いたものだけで、細部の形や寸法などは入っていない。図面だけから安全かどうかを判定するのは確かに困難なことであるが、実物を作る前なら何もないよりましである。しかし、なかなか実現しない。理由として企業秘密の漏洩防止とか何とでもつけられる。」
「しかし何年に一回か、いや、もっと確率の小さな事故を防ぐためにそういう図面を提出させることになると、自動的に他の細かいトラブルまでが全て許可する側の責任範囲に入る可能性がある。こういうことは(自分達の立場が)危険であると考えられているのではないか。
担当の人達はいろいろと実際に調べることが必要だが、そういう機会は殆ど与えられない。不満だが、責任は取らなくてよい。ことさら周りと争ってまで責任を被ることはない、と我慢辛抱する。どうせ確率的には何百万分の一という計算である。滅多に遭遇することはない。
こういう具合に、誰も責任を取る人がいない、反省する人もいない、責任の自覚もない。これが本当の原因なのである。」
考えなくていい仕組み、負担のかからない仕組み、官側で運用できる仕組み、責任が分散される仕組み。どう言っても同じことだが、IV&Vの精神には及ぶべくもない。ここにあるのは、責任回避とアリバイ作りだけではないか。安全委員会も保安院も役に立たなかったことは残念ながら実証済と考えざるを得ないと思う。まさに、責任は「どこへいったか」、だ。厳しい基準は、要するに責任を負わないで国の管理状態を示す簡単な方法だからだろう。中身の審査がザルでも、基準が厳しいのでなんとか言い訳ができるということではないか。柴田さんの筆致は時に放言めいているところがないわけではないし、これ以上証拠も示さずに推測を語っても仕方ないからこのくらいにしたいが、このような「厳しく管理された」環境におかれた原発運用を担う人々は、ひとたび事故が起こると安全無視の「厳しい環境」に放置されるのは福島第一でみたばかりだ。また、法律で定められた基準類もすべて書き換えられてしまった。このことに関する責任者は、誰なのか。事故からすでに半年近くを経過しているのに、この福島第一の事故解決の責任者が誰かを僕は答えることができない。政府側の責任者、東電の責任者、保安院の担当者、安全委員の委員長みたいな人はなんとなく覚えた。では、だれが責任者なのか?
しばしば聞かれる、この事故の責任は日本人全体にあるなどという曖昧な考えを僕が許すことができないのは、こういう背景からだ。問題の次元がまったく違うのだ。責任を負うものがいない環境で、このような危険なプラントを運営することは許されない。責任者に対しては、きちんと処遇し、ただし失敗の責任はきちんととってもらう、ということが絶対に必要なのだ。柴田さんもこんなことを書いている。
「責任感を持たせ、他にない、いやな仕事を続けてもらう所員には、それなりの処遇は必要と信じて頑張ったが、給与の実態の変化もあり、筆者の定年退官とともに大幅な変更が行われたように聞いた。それに対するコメントは本書の至るところの行間に暗に表したつもりである。つまり、責任を軽んずることは大きな危険につながるということである。」
「ある大学教授が、「このところ頼まれてJCO事故の説明に飛び回っていますから大変です」と挨拶がてら話があった。黙って聞くわけにはいかないので、「一片の謝罪も反省もないような説明は、百万べん繰り返してもなんの意味もありませんよ」と毒舌を吐いた。早々に消えられたが、その後の世の中の動きは心配した通り庶民に責任を押しつけてケリを付けるという形である。
とにかく使命感を持たず、自分の安全しか考えない無責任な者の集団ほど危険なものはないし、滅ぶ運命にあることは歴史の教えるところである。そういえば、近ごろ権力とか権限という言葉ばかり出てきて、「公僕」という言葉はさっぱり聞かなくなった。公僕が死語では困るのだが。」
基準を示して人に順守を強いるものは、それを変えるときには当然説明責任を負う。基準通りに仕事をしていて、結果がうまくいかなかった場合は、原因究明と改善の責任を負う。最低でも、これくらいは共通認識になっているのだろうか。なっていないことを、本書は数年前に指摘している。班目委員長は、安全委員会には責任はないし自分が引責辞任する気持ちもないことを明言した。保安院もあの調子である。総理大臣や経産大臣にも立場上の責任はあるだろうが、僕が問題にしたい運営の実務における責任についてはさっぱり分からないままだ。上の引用に示されている「庶民に責任を押しつけてケリを付ける」やり方は、今回も何ら変わっていない。そんな土壌の国で、どれだけ安全基準を語ったところで全く無意味だ。基準の策定と運用には責任がつきまとう。その責任をとれないものばかりなら、原発などやめてしまえと言うしかない。
この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)
▲このページのTOPへ ★阿修羅♪ > 原発・フッ素16掲示板
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。