| タイトル(英) | Considerations on the Application of the IAEA Safety Requirements for the Design of Nuclear Power Plants |
| タイトル(和) | 原子力発電所設計に関するIAEA安全要件の適用に関する考察 |
| 発行機関 | 国際原子力機関(IAEA)、ウィーン |
| シリーズ | IAEA-TECDOC-1791 |
| 発行年 | 2016年5月 |
| ページ数 | 71ページ(本文) |
| 言語 | 英語 |
| IAEA_TECDOC1791_DEC設計要件.pdf |
2011年の福島第一原子力発電所事故を受け、IAEAは原子力発電所設計安全要件(SSR-2/1)を改訂した(Rev.1、2012年)。改訂版では、設計拡張条件(Design Extension Conditions: DEC)という新概念が正式に導入され、従来のDBA(設計基準事故)を超える多重故障シーケンスへの対応が設計に組み込まれることとなった。
本TECDOCは、SSR-2/1 Rev.1に含まれる新概念・新要求事項の解釈と適用方法について加盟国の設計者・規制者に向けて解説するために作成された。特に、DECの定義・分類、深層防護(Defence in Depth: DiD)5層構造との対応、DECに対する安全機能の独立性確保、実質的排除(Practical Elimination)の実装方法、崖端効果(Cliff Edge Effects)と安全余裕の概念が詳述されている。
SSR-2/1 Rev.1(2012年)の新概念・要求事項について、以下を目的として解説を提供する:
| 状態 | 略称 | 発生頻度目安(/炉年) | 燃料健全性目標 |
|---|---|---|---|
| 通常運転 | NO | — | 燃料損傷なし |
| 予期される運転事象 | AOO | > 10-2 | 燃料損傷なし |
| 設計基準事故 | DBA | 10-2 ~ 10-6 | 限定的燃料損傷可(炉心溶融なし) |
| 設計拡張条件(燃料健全性維持) | DEC-A | 10-4 ~ 10-6 | 炉心溶融なし |
| 設計拡張条件(炉心溶融あり) | DEC-B(重大事故) | < 10-6 | 閉じ込め機能維持(大量放出回避) |
INSAG-10(1996年)で定義された深層防護5層構造をSSR-2/1 Rev.1はベースとしているが、DECの導入によりLevel 3・Level 4の解釈について加盟国間に2つのアプローチが存在する。
| 防護レベル | 目的 | 主要手段(設計) | 対応プラント状態 |
|---|---|---|---|
| Level 1 | 異常運転・故障の防止 | 保守的設計・高品質建設・運転 | NO |
| Level 2 | 異常運転の制御・故障検出 | 制限・保護系、監視機能 | AOO |
| Level 3a | 設計基準事故の制御 | 工学的安全設備(安全系) | DBA |
| Level 3b(Approach 1) Level 4a(Approach 2) |
DEC(炉心溶融なし)の制御、炉心溶融防止 | DEC用安全機能(Level 3b)または DEC + AM(Level 4a) | DEC-A(燃料健全性維持) |
| Level 4(Approach 1) Level 4b(Approach 2) |
重大事故の結果緩和 | DEC用安全機能+AM手順・TSC | DEC-B(炉心溶融) |
| Level 5 | 放射性物質大量放出の放射線的結果緩和 | サイト内外緊急時計画・施設 | — |
ATWSとSBOはLevel 2の失敗が直接Level 3b(またはLevel 4a)のDECにつながる事象として明示されており、Level 3(DBA用安全系)がバイパスされる可能性のある事象と位置づけられている。
SSR-2/1 Req.7 および Req.4.13A にて、深層防護の各レベルは実行可能な限り独立していなければならないと要求されている。特にDEC(炉心溶融を伴うもの)用安全機能は安全系から実行可能な限り独立させることが義務付けられた(福島事故後追加)。
デジタルI&Cシステムはソフトウェア/ハードウェア記述言語(HDL)の完全無欠証明が困難なため、RPSにCCFが発生しても保護機能を遂行できる独立・多様・分離したバックアップI&Cシステム(DAS)が新設計では必須とされる。DASはRPSとは異なる変数・論理に基づき設計し、DEC基準(より緩い保守性可)での解析が認められる。
INSAG-12(1999)で導入、NS-G-1.10(2004)およびSSR-2/1 Rev.1(2012)で採用された概念。「物理的に不可能」か「極めて可能性が低い(高い確信度)」ことを示すことで、早期放射性放出・大量放射性放出につながる事故条件を設計から排除できる。
プラントパラメータのわずかな変化が急激・不連続な状態移行(炉心損傷・大量放出)をもたらす現象を「崖端効果」と呼ぶ。福島事故はその典型例。SSR-2/1はDECの設計においても崖端効果の回避を要求(Req.4.11, 5.21A, 5.73)。
DECの安全余裕(Section 8.4):DEC解析はベストエスティメート手法が許容され、単一故障基準の適用も不要。ただし、炉心溶融なしDECの不確かさはDBAと同程度、炉心溶融ありDECは不確かさが大きく余裕の差異に注意が必要。
SSR-2/1 Req.5.21Aは、サイト評価から導かれる設計基準を超える自然ハザードに対しても、早期・大量放出防止に不可欠なSSCsが機能を維持できるよう設計余裕を確保することを要求。BDBEE(Beyond Design Basis External Event)という新概念を本TECDOCは提案。
早期・大量放出防止に不可欠なSSCsの例:格納容器構造、コリウム保持・冷却系、水素爆轟防止系、代替電源、TSC・コントロールルーム。
SSR-2/1(Req.6.28B, 6.45A, 6.68)は非常設機器(可搬設備)の安全使用のための設計機能確保を要求。DECの設計上の受容基準はプラント内設備で満足する必要があり、非常設機器はDECを超える条件での事故管理補完的手段として位置づけられる。訓練・定期試験によるスキル維持が必須。
RHRシステムの信頼性は最終熱源への熱移送系(CCWS/ESWS)の信頼性に依存する。BWRでは中間冷却ループ(CCWS)を持たない設計が多く、ESWSが直接最終熱源に接続される。外部ハザード(津波・洪水)に対して最終熱源アクセスの代替手段(代替最終熱源)の確保が福島後の強化要件。
設計拡張条件とは、DBAより重篤であるが設計に組み込まれる事故条件であり、ベストエスティメート手法を用いた解析によって評価される。DECには「重大な燃料損傷を伴わないもの」と「炉心溶融を伴うもの(重大事故)」の2種類がある。DECは設計基準事故において仮定される以上の故障(多重故障や共通原因故障等)によって生じる。
INSAG-10(1996年)に由来する5層の深層防護概念は、SSR-2/1においてもベースとして採用されている。DECの導入によりLevel 3とLevel 4の内容が拡充された。アプローチ1(DEC-A = Level 3b)とアプローチ2(DEC-A = Level 4a)の違いは用語的なものであり、本質的な安全要求の差ではない。ATWSとSBOはLevel 2の失敗が直接DEC(Level 3b/4a)に至る事象として特記されており、Level 3(DBA安全系)がバイパスされ得る点が重要である。
各防護レベルに属するSSCの独立性は理想だが完全には達成できない(格納容器・制御室等の共用は不可避)。独立性確保のための考慮事項:(a) 特定PIEについて各防護レベルのSSCを特定し依存性を排除、(b) 安全系が起動に失敗するような組合せシーケンスを特定してDEC用安全機能で対処、(c) Level 3は Level 1/2の失敗から独立、(d) 炉心溶融事故緩和機能はDBA緩和機器から独立。I&Cについてはレベル毎の独立性確保が求められ、特にLevel 4(DEC-B)のI&Cシステムは他のI&Cシステムから独立・分離した電源を持つことが必要。
「実質的排除」の概念は1999年のINSAG-12で初めて導入された。ある条件が「物理的に不可能」かつ「極めて低い確率であることを高い確信度で示せる」場合、その条件が発生する可能性は実質的に排除されたと見なせる。早期放射性放出または大量放射性放出につながり得る事故条件はすべて実質的排除の対象であり、SSR-2/1 Req.4.3、5.27、5.31等で明示されている。確率論的手法だけでは実証として不十分であり、堅固な設計措置と決定論的判断・工学的知見に基づくことが必要である。新設計では内部事象起源の大量放出頻度として 10-6/炉年以下が達成可能な目標とされる。
ATWS(炉停止機能喪失事象):制御棒挿入機能を含む炉停止系はNPP設計の安全の根幹。1970年代の運転経験からCCF(多重故障)による炉停止機能喪失の懸念が提起された。既存炉の多くではATWSは設計包絡外であるが、新設計ではATWS低減・緩和のためのDEC用安全機能の装備が必要。代替スクラム作動系、ATWS検出センサ、多様かつ独立した炉停止系がその例。
SBO(ステーションブラックアウト):オフサイト電源および非常用AC電源の全喪失。ディーゼル発電機の故障経験の蓄積と外部電源の不安定なサイトでの重要性認識から規制化。SSR-2/1 Req.68に規定。炉心・冷却材・保護系はSBO継続時間中の炉心冷却と格納容器健全性維持を確保できる能力が必要。
本TECDOCは福島後にIAEA安全基準体系に導入されたDEC概念の実装ガイダンスとして位置づけられ、設計者・規制者双方にとっての基礎文書である。ATWSをDECの代表例として明示した点は、新型BWR(ABWR・BWRX-300等)の設計審査において、代替スクラム系(ARI)・SLC・RPT等のDEC用安全機能の独立性・多様性要件を正当化する規範的根拠となる。
特に注目すべきは、DEC用安全機能へのDAS(多様作動系)要件の適用である。デジタルRPSのCCFを想定した独立バックアップ系の設計要求は、NRAの柏崎刈羽審査やATENAの緩和対策技術要件と直接リンクしており、日本のBWR審査基準の国際的根拠を与えている。
また、「実質的排除」の概念整理(物理的不可能性 vs. 確率論的極低確率)は、BWR重大事故管理指針(SAMG)やPSA Level 2解析の妥当性評価において、解析目標値の設定と設計対策の技術的正当化の基盤として活用できる。