Comments
Description
Transcript
確率論的安全評価法とその海洋分野への応用 −タイタニック号事故を例
確率論的安全評価法とその海洋分野への応用 −タイタニック号事故を例にして− 船舶技術研究所システム技術部 *松岡 猛、 三友 信夫、 松倉 洋史 1.序論 大規模複雑なシステムを設計・建設・運転する際には、そのシステムが公衆や運転員に被害を与え る恐れが無い様、事前の十分な検討が要求される。特に、原子力プラント、化学プラント、高速鉄道 システムあるいはタイタニック号に代表される大型客船等、大規模システム及び多数の人員の関与す るシステムにおいては、事故時の影響の大きさから万が一にも大事故を発生させるわけにはいかない 状況にある。 大規模システムの安全評価法としては、決定論的方法と確率論的方法という二種類の方法がある。 決定論的方法においては安全確保のための工夫がどの様に機能するかを解析し、安全が確保されてい ることを確認する方法がとられている。しかし、完璧な工学システムというものは存在しないという 立場からは何重にも整備された安全防護系でも次々に機能しなくなる多重故障を評価しなくてはなら ない。そこで、システムを構成する機器の故障・破損、システムを取りまく状況の発生を確率的な事 象と捉え、システムにとり不都合な事態(事故)が発生する確率を定量的に評価する確率論的安全評 価(PSA: Probabilistic Safety Assessment)という考え方が導入されてきている。 確率論的安全評価では、被害発生の可能性の程度を明らかにする。そのために、イベント・ツリー 手法という解析手法を用い、被害に到る多重故障の組み合せ(事故シーケンス) 、その発生確率(Pi)、 被害の大きさ(Ci)を全て調べ上げ、Pi・Ci の総和でもってシステムのもたらすリスクを定量的に 評価する。これにより実際に事故を発生させることなく事前にシステムにとり問題となる箇所を摘出 し、対策を施すことが可能となる。言い換えれば、未来において発生するかもしれない事象の予測手 段と言える。 本解析では、逆にこのイベント・ツリー手法を過去において発生してしまった事故(タイタニック 号の事故)に適用して評価を行った。これにより、タイタニック号の事故が不運な事象の積み重ねに より発生したのか。それとも、あの様な状況では必然的に事故に至ったのであり、逆により大きな惨 事にならずに済んだのは幸運であったのか、興味ある判断が可能となる。 この様な、過去の事例に対してイベント・ツリー解析を実施するのは初めての試みであるが、タイ タニック号に限らず各種の事故解析、事故原因究明の有力な手法となり得る。本方法を広く各種シス テムの事故解析に適用する事により、同種の事故の再発を防ぎ安全性向上に寄与できると考えている。 2. 確率論的評価法の考え方 ここで、確率論的な事象の捉え方を単一の機器・構造物について考察してみる。図1は、ある機器・ 構造物の耐力(Ls)とそれに加えられる外力・荷重の強さ(Ld)の関係を模式的に示したものである。 ここで、外力・荷重とは機器等の故障・破損形態に対応した種々のストレス、例えば衝撃力、荷重、 圧力、振動、高温環境、腐食環境、 ・・・等を総称している。それ故、耐力はそれらに対抗し得る強度・ 性質等を総称したものである。図 1 では、耐力も荷重も明確な値が判明しており、耐力が荷重を上回 っている。この様な場合に機器・構造物の故障・破損は絶対に発生しないと判断するのが決定論的な 方法である。実際には、決定論的な方法においても荷重は定まった値を取るのではなく、条件により 種々の値を取り得るので安全係数というものを 2.0∼5.0∼7.0 と設定し、想定される最大荷重の2∼ 5∼7倍の大きさを耐力として設計する事が通常実施されている。これにより設計された機器・構造 物の故障・破損は発生せず安全は確保できると判断する。 しかし、実際に製作された機器等には製造過程における品質のばらつきが避けられない。これを考 慮すると図2の Ls に示す耐力の分布が考えられる。一方荷重にも Ld の分布があるがこの図に示す様 に二つの分布が十分分離している場合には、機器の故障・破損は発生せず安全は確保できると判断で きる。決定論的な判定においても Ls、Ld の分布を認めていないわけではない。分布が存在するからこ そ安全係数を設定するのであり、Ls、Ld が十分距離を置いて存在しかつ、その距離に比較して分布の 巾が狭ければ図1に近いという暗黙の了解のもとに安全性を評価している。 これに対し、荷重の性質、物質の性質、製作コストの制約、分布巾に関する情報・知識の欠如等に より Ls,Ld の分離が十分に達成できず図3のように重なり部分が生じてしまう事が避けられない場合 に確率論的な評価が必要となってくる。荷重が耐力を上回る場合に故障・破損が発生するので、その 発生確率を評価する。安全が十分確保されているかどうかは故障発生確率値が判定値に比較して小で あるかどうかによって判断される。 確率論的な方法で評価を開始しても、荷重と耐力が十分離れており故障・破損確率を実質的に零と 考えて良い結論に至る場合もある。この場合は決定論的な方法で得られた結論と同等となる。 Ld 荷重 耐力 Ls 図1. 荷重と耐力の関係 Ld Ls 荷重 耐力 Ld Ls 荷重 耐力 図2. 荷重と耐力に分布がある場合 図3.荷重と耐力の重なり この様に考えると、確率論的な方法では従来明確には意識していなかった確率的な分布をはっきり とした形で取り扱い、より深いレベルの検討を行っていると言える。それにより決定論的な方法では 無視していた様な故障・破損の可能性までも定量的に表現する事ができるとともに、逆に故障・破損 確率が無視できない様な事象を定量的に評価し、安全対策における検討対象として扱う事も可能とな った。 3. 原子力分野における確率論的安全評価(PSA) 確率論的安全評価法(PSA)が導入され安全性評価に活用されている分野として原子力産業があ る。ここでは、そこで実施されている解析方法の概要を記し、PSA実施手順の基本事項を紹介する (1) 。 解析手順は図4に示す様に、プラントシステムに関する部分と格納容器に関する部分に大別して捉 えられている。 システム解析 格納容器解析 イベント・ツリー 作成 外的事象 情報収集 事故シーケンス の定量化 事故 進展 解析 システムの モデル化 共通原因 故障 環境への 影響評価 不確実さ解析 データ・ベース 展開 人間信頼性 解析 放射性物質 放出・移行 の解析 解析結果の表示と解釈 レベル 1 の 出力 レベル 2 の 出力 レベル 3 の 出力 図4. 原子力分野におけるPSA実施手順 (1)情報収集 解析の第一歩は解析対象に関係するあらゆる情報を集めることである。情報の種類も単 なる図面・書類情報だけでなく、設計者・運転員など現場の従事者との直接の面談が重要となってく る。この第一段階の情報収集は非常に大切な仕事であり解析全体の成否をほぼ決めると考えられてい る。 (2)システム解析 解析対象の情報収集が終わった段階でシステム解析に入る。この解析は図に示す様に 複数の基本的作業・解析より構成されており、それらは相互に関連しているため、反復解析が必要と なる場合も出てくる。 イベントツリー作成により、起因事象(事故の引き金となる事象)に始まりプラントを構成する個々 のシステムの機能の成否を順次組み合わせて、考え得る全ての事故シーケンスを同定する。起因事象 は種々の種類のものが考えられるのでそれぞれについてイベントツリーを作成する必要がでてくる。 起因事象は考えられるもの全てを考慮しなくてはならないが、発生確率が非常に小さく、無視し得る ものは解析から除外し、対応するイベントツリーは作成しない。 システムのモデル化によりプラント構成要素の個々のシステムの機能成功を明確に定義する。保 守・運転に関する人的過誤、共通原因故障もモデル化に取り入れられる。通常このモデル化はフォー ルト・ツリー、GO-FLOW 手法等を用い実施される。 人間信頼性解析により起こり得る人的過誤を可能な限り同定する。人的過誤に関する手引き書とし ては Swain の報告書(2)がある。 データベース展開により起因事象発生頻度、機器故障確率、人的過誤率などの値を求める(評価す る)必要がある。その際システムのモデル化の程度により必要とされるデータは異なってくる。一般 的な統計データによる値、プラント固有なデータによる値、ベイズ法による評価値を適時組み合わせ て用いる。原子力プラント関係の機器故障確率の統計データとしては日本原子力研究所のまとめた報 告書(3)が有用である。 事故シーケンスの定量化においては、各シーケンスの発生頻度を起因事象発生頻度、機器故障確率、 人的過誤率などの値とシステムのモデル(フォールト・ツリー、GO-FLOW)を用いて算出する。その際、 計算量がしばしば膨大なものとなるため種々の計算プログラムが開発され使用されている。 以上の解析によりレベル1と呼ばれている原子炉炉心損傷の発生頻度算出までが終了する。 (3)格納容器解析 炉心損傷後における事故進展の解析をおこない格納容器破損の有無・放射性物質放 出量を評価する。 事故進展解析においては計算機シミュレーションにより炉心溶融後の事故進展予測、更に専門家の 判断などに基づき「事故進展イベントツリー」を作成する。シミュレーション予測から格納容器破損 の有無、破損位置、破損時刻等の情報が得られイベントツリー作成に用いられる。イベントツリーの 定量解析によりそれぞれの事故シーケンスの発生頻度が算出される。 放射性物質移行の解析により、燃料棒から冷却系、格納容器/建屋を通り最後に環境中に放出され るまでの放出・移行・吸着の過程について解析する。この解析結果から格納容器外の環境中への放射 性物質の放出量が得られる。この放出量算出は各事故シーケンス毎に評価される。 (4)環境への影響評価 以上の解析の結果求まった放射性物質の放出量をもとに、影響の大きさを求め る。この影響量は通常、急性死亡数、晩発性癌死亡数、経済的損失などで表現される。この解析のた めには、被爆線量と健康への影響の関係のほかに個々のプラント特有の立地条件、つまりプラント周 辺の人口分布、気象条件、事故時避難計画等が必要となる。事故発生頻度と影響の大きさが全ての事 故シーケンスについて得られる事によりプラント全体のリスク評価が完了する。 原子炉施設のPSAは、炉心に内臓されている放射性物質が周辺環境に放出され被害を及ぼすまで のどこまでの範囲に注目するかにより、レベル1からレベル3の3段階に分類されている(4)。レベル 1では、炉心の重大な損傷を取り上げてその発生確率を求める。レベル2では、炉心損傷に引き続く 格納容器の破損により環境中に放出される放射性物質の種類、量、放出時刻等を求める。レベル3で は放射性物質放出シナリオ、その発生確率、周辺住民の人口分布、事故時避難計画、風向・風速・降 雨等の気象条件をもとに公衆の個人及び集団のリスクが評価される。 (5)外的事象解析 起因事象には、プラントを構成する機器・系統に発生する内的事象と、地震、洪水、 航空機落下等のプラント外部で発生する事象(外的事象)(5)とに分けて考えられる。外的事象のリス クは内的事象のリスクに比較しても無視できないものがあり、外的事象解析の必要性が認識されてき ている。一般に、外的事象の方が発生頻度は小であるが、解析において考慮すべき事項は多く、解析 は複雑となる。また、個々の事象毎に、プラント毎に解析方法が異なってくる場合が多い。 (6)不確実さ解析 PSA解析の各段階において不確実さが伴っている。これらは、事象自体のランダ ム性、データの不確実さ、モデル化における仮定の不確実さ、解析の不完全性に起因するものなど多 岐にわたっている。これらの不確実さを結合して最終結果の数値の幅を推定することとなる。不確実 さ解析には主としてモンテカルロ法が用いられ種々の解析プログラムが開発されている。 (7)解析結果の表示と解釈 PSA解析の最後の仕事は得られた解析結果を分かり易く表示し、その意 味を正しく理解することである。解析結果の表示としては、リスクにとり主要な要因となる事故シー ケンスの摘出、事故シーケンスの物理的状態の表示(6,7)、不確実さ範囲の表示などがある。 リスク にとり相対的に重要な機器、解析において主要な位置を占める仮定なども結果の解釈にとり重要であ る。図5はラスムッセン報告(8)の最終解析結果の図である。横軸は被害の大きさ、縦軸は発生頻度 であり原子力プラントを始め工学的な施設、活動に起因するリスクをまとめて表現したもので相互の 10 比較ができるようになっている。 確率論的安全評価はリスクを定量的 に推定する唯一の手段と捉えられてい 全人為事故 1 る。新規技術、複雑なシステムにおいて、 全飛行機事故 安全性を人々に説明するのは難しい作 10-1 業となるが、定量的なリスクという指標 火災 な接点となりうる。更に、PSAの結果 は、各種設備のリスク管理に係わる意志 決定プロセス、安全性向上のための効果 的な手段の同定、安全確保のための運転 管理方法の策定、規制活動等にも重要な 情報を提供できる。 1年間当たりの発生頻度 は、公衆とシステム設計者との間の重要 爆発 10-2 ダム決壊 10-3 塩素放出 10-4 4. イベント・ツリー解析 本章では事故シーケンスの定量化の 部分に必要なイベント・ツリーについて 述べる。 事故の発生頻度の評価は、起因事象の 地上の 人に影 響を 与 える飛行機事故 10-5 10-6 原発100個のリスク 発生頻度と安全防護系の信頼度の評価 から成り立っている。起因事象だけでは 10-7 大事故には至らず、システム中の安全装 10 100 置がすべて作動しない場合に限って大 1,000 10,000 犠牲者数 100,000 図 5. 各種リスクの比較 規模システムが危険な状態になり大事 故が発生するといえる。つまり、システム中の安全機能の異常・故障の様々な組み合せを体系的に分 析する必要がある。この分析手段としてラスムッセン報告ではイベント・ツリー(9)及びフォールト・ ツリー(10)が用いられた。 安全弁作動 弁手動操作 冷却水注入 スプレイ水噴霧 成功 成功 成功 失敗 起因 事象 失敗 失敗 失敗 成功 失敗 失敗 図 6. イベント・ツリーの一例 事故発生 ○ 成功 成功 ○ ○ ○ 事故発生 事故発生 イベント・ツリーは大事故発生につながり得る複雑なプラント内の事故シーケンスの展開に適した 解析方法で図6に示す様なツリー構造を持っている。左端に起因事象が置かれ、順次各種安全機能/ 安全系統を表す見出し(ヘディング)が上部に書かれている。各ヘディングにおける機能の成否に対 応して事故のシーケンスが上下に分岐して行く。この様にして、論理的に起こり得る全ての事故シー ケンスを同定することができる。イベント・ツリーの作成においては、ヘディングの選択、並べる順 序が重要となる。論理的に不要なヘディング、まとめられるヘディングを検討し、簡明なイベント・ ツリーを作成する必要がある。また、ヘディングの順序としては、(a)システムが機能/動作する時間 の順に並べる。(b)システムAが機能するためにシステムBの動作が必要な場合はシステムB、Aの順 に並べる。(c)ある故障が必然的に他の故障を引き起こす様な従属関係にある場合は従属している系統 を後ろへ置く。 このイベント・ツリーにより得られる各事故シーケンスを定量的に評価するためには、起因事象の 発生頻度と合わせて各ヘディングの機能の成否に対応したシステムの成功/失敗確率を求める必要が ある。このための解析手法として、ラスムッセン報告ではフォールト・ツリー(FT)を採用してい る。FTはシステムの故障を構成機器の故障に分解して分析する解析手法で、樹状構造を持っている 事からフォールト・ツリー(故障木)と呼ばれている。 フォールト・ツリー解析手法は、航空機産業界における20年以上の経験及びラスムッセン報告に 採用されて以来の原子力産業界における使用経験がある。しかし、複雑な挙動を示すシステムの解析 では時間依存性の解析、種々の動作モードの解析、動的挙動の解析等が要求されるがフォールト・ツ リー解析では十分対応できなかった。そこでこれらの困難を克服するシステム信頼性解析手法 GOFLOW(11)が著者により開発され、種々の解析に適用されてきている。 5. システム信頼性解析手法 GO-FLOW 従来、PSA においてはフォールト・ツリー解析が主として用いられてきたが、近年動的な挙動を示 すシステム解析のための手法が提案されてきている。ここでは、著者により開発されたシステム信頼 性解析手法 GO-FLOW について述べる。 5.1 GO-FLOW 手法の概要 GO-FLOW 手法は成功確率を追うシステム信頼性解析手法であり、システム信頼度・アンアベイラビ リティの評価が行える。 解析対象を構成する機器の故障、動作を事前に用意されている標準オペレ ータ(図7参照)を用いモデル化する。それらの機器間の結合関係は信号線を用いて表現する。その際、 AND、OR、NOT 等の論理的結合を表現する論理オペレータも用意されている。解析対象システムのモデ ル化の結果、GO-FLOW チャートと呼ばれる、信号線とオペレータから構成される図が作成される(図 8参照) 。 オペレータの動作・故障に対して動作/故障確率をデータとして与え、オペレータの定義に基づき信 号を処理していくことにより、最終的に系の動作/不動作確率を求めることができる。 GO-FLOW 手法においては時間経過にともなう信頼度の推移、要求されるシステム動作成功基準が変 化する場合、補修による機器故障の復旧の効果、システム動作状況が機器状態・プロセス状態等によ り変化する動的システムの解析等の種々の解析が容易に実施できる。 5.2 信号の意味 GO-FLOW 手法における信号は、配管中の流れ、電流、情報、指令、時間経過量等を意味している。 信号が物理的な流れをあらわしている場合は、 “信号の存在”とは“物理的な流れの存在”を意味す Type 21 Type 25 Type 30 Two-State Signal AND S Type 39 Opening S1 S2 and S AND R R Normally S1 S S2 Normally NOT S Type 28 Difference Delay DIF P P R R S R OpenFailure of Valve in Open S Type 24 Mission Type 37 Type 27 NOT R S P R Type 23 R S R S Type 40 ClosedFailure of Light Bulb Phased P OR R R Type 35 Type 26 OR P1 P2 R Type 22 Closing Type 38 Failure of Valve in Closed S S DLY R P R 図7. GO-FLOW 手法における標準オペレータ 事になるが、GO-FLOW においては“物理的な流れの存在”を次の様に拡張して考える。つまり、 “ある 場所における流体の流れの存在”とは下流の配管の流路抵抗が零になった場合にその場所において流 体が流れる事も意味すると考える。同様に“電流の存在”は現に電流が流れている場合だけでなく、 下流の電気抵抗が零になった時に電流が流れることをも意味する。つまり“信号の存在”とは、GO-FLOW においては、実際に流体なり電流が流れていることだけではなく流れる可能性を持っていることも意 味している。 例えば、直列配管の途中の一ヶ所の弁が閉じていると、流路全域にわたり流体は流れないが、 GO-FLOW 手法においては閉じられた弁の上流側においては“信号は存材する(弁を開けば流体は流れる能力を 持っている)”と考え、下流側においては“信号は存在しない(さらに下流にある弁を開いても流体は 流れない) ”と考える。このようにして、実際に流体が流れていなくても流路が確保されている状態を 信号の存在として取り扱える様になっている。 5.3 タイム・ポイント 系の動作の進行に対応して、離散的な時刻を示すタイム・ポイントが定義される。タイム・ポイン トは実際の時刻を表しているわけではなく、前後関係が実際の時間経過と同一となっていればよい。 ただし、ある操作(例えば弁開操作)をする直前と直後のシステムの状態を評価する目的で、同一の 実時間に対して2つのタイム・ポイントを割り当てる場合もある。 タイム・ポイントは1から始まる整数値で番号付けられている。タイム・ポイント1は通常、系の 動作の開始に先立つ時刻を表す。タイム・ポイントの総数は、解析対象の動作モードを表すために必 要な時間の区切りの数によって定まり、解析者が指定する。 図 8. GO-FLOW チャートの一例 5.4 オペレータ機能概略 オペレータは基本的には、主入力信号S、副入力信号P、出力信号Rの三種類の入出力信号を持っ ている。信号発生器をあらわすオペレータ(タイプ25)は出力信号のみ、OR、AND等の論理ゲ ートは主入力信号と出力信号のみを持っている様に、必ずしもすべてのオペレータが三種の入出力信 号を持っているわけではない。 現在までに図7に示す14種類の標準オペレータが定義されている。また、タイプ35のオペレー タは機器が動作中に故障を発生する現象をモデル化している。主入力信号Sが存在する場合を機器が 動作している場合と考え、その場合のみ、故障が発生するようになっている。 5.5 信号の強度 信号線には“強度”という量が伴っている。主入力信号は主として物理的な流れを表しており、 “強 度”は信号の存在する確率に対応している。それ故、主入力信号の強度は必ず 1.0 以下でなくてはな らない。 一方、時間経過に伴う機器の故障をモデル化したオペレータ(タイプ35、37、38)の副入力 信号は時間経過量を表すために用いられているため、信号の強度は 1.0 以下である必要はない。逆に、 この場合は最小単位量(単位時間間隔)の整数倍の値を取ることが多い。 5.6 GO-FLOW 手法に整備された機能 GO-FLOW 手法の基本機能による解析では、要求された機能成功確率の点推定値の時間経過に伴う推 移が容易に求められる。現在さらに、不確実さ解析機能、共通原因故障解析機能、共通原因故障を考 慮した不確実さ解析機能が整備されている。 5.6.1 不確実さ解析機能 システムの信頼度には、構成機器の故障発生が本来ランダムな現象であることに起因する不確実さ 幅が存在する。この不確実さ解析を GO-FLOW 解析プログラムにおいて実施する機能が整備されている。 各構成機器の故障発生確率が特定の分布型に従うとして、分布型に従った故障発生確率値を乱数に より与える。この様にしてランダムに選ばれた各構成機器の故障発生確率値の組み合わせについてシ ステムの故障発生確率を求める。これを多数回繰り返して、システム全体の故障発生の分布を求める のが、いわゆるモンテカルロ法である。GO-FLOW 手法における不確実さ解析もモンテカルロ法を用い ている。乱数を用いて各機器に故障確率値を割り振るための分布型としては、正規分布、対数正規分 布、一様分布、対数一様分布、ガンマ分布、二項分布、ワイブル分布、ベータ分布、ヒストグラム分 布が用意されている。 解析結果としては、解析条件、メディアン値、平均値、90%信頼度幅、標準偏差、エラー・ファクタ ー、累積確率分布、確率密度分布が、各々の信号線、タイム・ポイント毎に得られる。 5.6.2 共通原因故障解析機能 大規模システムの信頼度を向上させる手段としては、同一機能を持った系を多重化して、冗長性を 持たせる方法が広く実施されている。しかし、一つの原因のために複数の機器・系統が同時に故障し てしまう共通原因故障が発生すると、独立故障のみが発生すると仮定した場合に比較して、冗長系の 信頼度は格段に低下してしまう恐れがある。 システム信頼性解析においては、共通原因故障を適切に扱うことが極めて重要になってくる。共通 原因故障をまったく考慮にいれていない解析結果は、多分に信頼度を過大に評価することとなる。逆 に、共通原因故障を不用意に取り扱うと、今度は何桁も大きなシステム故障確率が出てくる恐れがあ る。共通原因故障はPSAの分野においても、今後一層の研究が望まれている分野といえる。 共通原因故障についての詳しい解説は参考文献(5)に譲るとして、ここでは GO-FLOW 手法における取 り扱い方法を簡単に紹介する。 共通原因故障のパラメトリックなモデル4種類(βファクタ法 (12)、MGL 法(13) 、αファクタ法(14) 、BFR 法(15))を直接的にGO−FLOW解析で取り扱える機能が整備されている。解析対象とする系におけ る共通原因故障機器群、故障モデル、関連パラメータ値を共通原因故障解析のためのデータ(*.ccf) として与えるだけで、従来のGO−FLOW解析に引き続き共通原因故障解析が実施される。 解析においては、共通原因故障解析を考慮せずに作成した従来の GO-FLOW チャートがそのまま使用 できる。 現在の所、指定できる共通原因故障機器群数は無制限で、同一機器群内においては最大6個の機器 まで指定できる。解析手順は、群内において故障する機器数、組み合せを変えて繰り返し計算を実施 するのでやや複雑な手順となっている。 5.6.3 共通原因故障を考慮した不確実さ解析機能 信頼性解析結果の判断のためには点推定値だけでは不十分で不確実さ幅の情報が不可欠となる。一 方、共通原因故障からのシステム全体の信頼度への影響を調べると、考慮しない場合に比較して場合 によっては何桁も信頼度が低下してしまう場合が出てくる。それ故、共通原因故障を考慮した上での 不確実さ解析が信頼性解析結果の判断のためには必要となってくる。 GO-FLOW 手法においては不確実さ解析と共通原因故障解析を二重に実施する機能が整備されている (16) 。この方法では、乱数を用い、各分布型に従って分布する値を求め、オペレータのパラメータ値に 乗じて入力データを作成してしまう。このデータに対して前節で説明した共通原因故障解析の手法を 適用する。この手順を多数回繰り返し、結果を集積して不確実さ幅を求める。 5.7 解析支援システム GO-FLOW 解析は、解析対象を GO-FLOW チャートへモデル化できれば、あとは解析プログラムを実行 するだけである。しかし、解析対象とするシステムの規模が大きくなると、GO-FLOW チャートの作成、 解析のための入力データの作成、解析結果の解釈、解析結果の図・表形式での表示、整理等に多大な 労力が必要となってくる。そこで、これらの作業を支援するシステムをパーソナル・コンピュータを 中心として構築し、実用性・使用性に優れたシステム信頼性解析方法としての体系が作成されている (17) 。 本解析支援システムは、図 9 に示す様に PC 上に構築された種々のプログラム群よりなり、基本的に は PC のみで解析が実施できる。 大容量メモリー、 高速演算を必要とする GO-FLOW 解析の場合はイーサ・ ネットで接続されたワーク・ステーションを使用する事もできる。 GO-FLOW チャート・ ハードコピー 原子力プラント 化学プラント 交通システム GO-FLOW チャート・ プロッター出力 GO-FLOW チャート ラインプリンター出力 入力データ GO-FLOW 解析 プログラム実行 解析結果 図表による表示 解析条件 故障率データ プロッター データ保存デバイス パーソナル コンピュータ GO-FLOW チャート エディター GFC図化プログラム 解析 結 果 総 合 表 示 プログラム 不確実さ解析結果 表示プログラム GO-FLOW チャート・ データ GO-FLOW 解析 入力データ 解析者 レーザー プリンター データ保存デバイス (解析プログラム用) GO-FLOW基本解析 プログラム 共通原因故障解析 不確実さ解析 共通原因故障 + 不確実さ解析 図 9. GO-FLOW 解析支援システムの全体構成 GO-FLOW チャートは CRT 画面上でチャート・エディターの支援により解析者が作成する。作成され たチャートはハード・コピーあるいはプロッターによる作画が可能である。また、記憶装置に図面に 関するデータ・ファイルが保存しておける。GO-FLOW チャートから解析プログラムのための入力デー タが自動生成される。解析結果はライン・プリンターによる出力の他に、解析結果総合表示プログラ ムによりレーザー・プリンターから報告書の図表として使用可能な品質のものを得ることができる。 この構成により、GO-FLOW チャートの作成から解析結果の整理に至るまでの一連の解析が机上の1 台のパソコンを操作するだけで実施でき、有力な解析ツールとして GO-FLOW 手法が活用できる様にな った。現在この解析システムは GO-FLOW 解析プログラム・パッケージとして有償で広く一般へ提供さ れている(18)。 5.8 安全性評価システム PSA においては、発生し得る全ての事故シーケンス、その発生頻度、事故時の影響の大きさを調べ 上げる必要がある。しかし解析結果は記号および数値(シーケンス表示記号や発生頻度)で与えられ、 PSA の専門家以外にとってはその解釈が必ずしも容易でない問題点がある。また、解析条件、解析対 象システムの設計変更等に対応して再解析を実施するのも容易ではない。 その解決方法としては、プラントの事故シーケンスに対応したプラント状態の変化を視覚的・概念 的に表示する方法が考えられ、これにより、事故事象に対する理解が深まるとともに、解析結果の解 釈が容易になる事が期待される。 以上の目的を達成するため、次の3機能を開発し安全性評価システム(6,7)としてまとめた。 イ)主要事故シーケンス同定機能: システム信頼性解析手法GO−FLOWの解析結果をヘディング として使用できる動的イベント・ツリー解析システムを開発した。このイベントツリーにタイム・ポ イントの概念を導入し、各ヘディングに発生時刻を付加する事を可能とし、時間進展と共に事故シー ケンスの発生確率値の増加・減少を算出できる様になっている。また、タイムポイント順にヘディン グを並び換える機能に加え、ヘディング間の従属性を考慮できる機能、同一事象を複数個イベントツ リー中にヘディングとして設置しそれらの間の従属関係を自動的に考慮する機能も整備されている。 ロ)原子力プラント事故進展シミュレータ:GO-FLOW 解析、動的イベント・ツリー解析の結果得られ た主要事故シーケンスに対応したシミュレーション解析を実行し、プラント状態の変化を求める。M ARCHコードを用いて事故時のプラントの熱水力挙動を解析する機能を整備した。このコードの実 行、入出力ファイルの管理にはエキスパートシステムG2を使用している。対象とするプラントとし ては、日本原子力研究所により設計検討された改良舶用炉( MRX: Marine Reactor X)を選定した。シ ミュレーション解析を容易に実施できる様に入力データ自動生成機能を整備し、一貫した解析が短時 間でできるようになっている。 ハ)原子力プラント事故進展状況表示機能:従来のシミュレーション解析の結果はライン・プリンタ ーによる数値情報の羅列であったが、本解析体系ではエキスパートシステム構築ツール G2 のグラフィ カル・ユーザー・インターフェースを用いてシミュレーション解析結果をアニメーション表示するこ とができる様になっている。MRX 炉の主系統図、原子炉容器拡大図、炉心温度分布図の三種類の画面 が用意されているとともに、各種プラントプロセスデータのトレンドグラフ表示機能もある。 この安全性評価システムは、PSA の専門家でないと解析結果の理解が必ずしも容易ではないといっ た従来の問題点を解決し、事故事象の理解、解析の妥当性の検証、解析へのフィードバック、設計へ のフィードバックが容易に行えるようにな体系となっている。この評価技術は、化学プラント、交通 システム、ネットワークシステム等広く原子力分野以外での安全性評価にも役立てられる。 5.9 解析実施例 GO-FLOW 手法による解析としては、動的挙動を示すホールド・アップ・タンクの信頼性解析、シス テムに要求される動作成功基準が推移していくフェイズド・ミッション問題の解析、舶用燃料電池シ ステムの安全性解析、将来型舶用炉非常用崩壊熱除去系の信頼性解析、危険物運搬船の消火設備の信 頼性解析、加圧水型原子炉補助給水系の保守・点検を考慮したアベイラビリティ解析、原子力タンカ ーの衝突・座礁・火災事故時における舶用炉非常用冷却系の解析、人的要因を組み込んだ信頼性解析、 新幹線列車自動制御装置の信頼性解析、オレフィンプラント(化学プラント)の危険性・運転可能性 解析等実用的な解析を多数実施している。 6. 海洋分野における確率論的安全評価 ―タイタニック号事故の解析― 本章では、イベント・ツリー手法を過去において発生してしまった事故(タイタニック号の事故) に適用して評価を行った。これにより、タイタニック号の事故が不運な事象の積み重ねにより発生し たのか。それとも、あの様な状況では事故が起こるのもやむを得ず、逆により大きな惨事にならずに 済んだのは幸運であったのか、興味ある判断が可能となる。 この様に、過去の事例に対するイベント・ツリー解析により、事故分析、主要事故要因の摘出等が 可能となる。本方法を広く各種システムの事故解析に適用する事により、同種の事故の再発を防ぎ安 全性向上に寄与できると考えている。 6.1 タイタニック号事故の概要 タイタニック号は当時の最新鋭の技術を駆使した豪華大型客船であったが、世界中が注目する中で の処女航海において海難事故としてはかつてない人命が失われた大事故が発生してしまった。 本事故の事実関係がどのようなものであったのかについては諸説あるが、ここでは、事故後英米政 府によってなされた事故調査の公式報告書(19)を主な参考資料として、タイタニック号事故発生に至る までにおいて事故発生に影響があったと思われる事項を中心として、経緯の概要を記述する。 タイタニック号は 1912 年 4 月 10 日 予定より約 1 ヶ月遅れて処女航海に向けて多数の著名人を乗せ て出航した。1 ヶ月前の 3 月中旬に出航していれば、流氷の量は少なく氷山との衝突事故の発生確率 は少であったと言われている。次に、出航日においても予定より出航時刻が 1 時間遅れた。もし出来 事の発生が全て 1 時間早まっていたならば、衝突後救難無線を発した時刻が夜中の 12 時前になり、す みやかに周辺に存在していた船舶が救助に駆けつけることができたと言われている。 出航後、流氷原が行く手の海域に存在するという警告を他船から無線で受信していたが、船長はそ れほど深刻には受け止めていなかった。航海中も流氷原があるという警告を更に受けるが、速力を減 速することなく高速(20.5 ノット)で航行を続けた。 やがて午後 11:40 に氷山に衝突するが、氷山発見は衝突の約 37 秒前、距離にして約 450mであった。 この夜は月齢 26.1 の新月に近い暗闇であった事と、珍しいほどの無風で鏡の様な海面で氷山の周囲に 白波が全く立っていなかったことも発見が遅れた要因であった。更に、見張り員が双眼鏡無しで見張 り台に立っていた。ただし、この夜の条件では双眼鏡があったとしても、より早期の氷山の発見は無 理であったとの意見もある。 氷山の発見後、回避行動をとるが船腹をなでる様に氷山をかすめて通り、そのため却って船体の多 数区画の損傷によって多量の浸水をもたらし沈没に至ってしまった。 氷山との衝突の後、速やかには救難無線を出さず午前 0 時 14 分になって初めて救難無線を発してい る。しかし、タイタニック号から 19 海里の距離にいたカリフォルニア号の無線は午前零時を過ぎたそ の時には切られていた。58 海里の距離にいたカルパチア号が救難無線を受信し救助に駆けつけた。 午前零時 44 分には信号灯を打ち上げ、カリフォルニア号の乗組員がこの信号灯を視認したと言われ ているが、信号灯の意味するところを理解せず救助には向かわなかった。 午前 2 時 20 分についにタイタニック号は沈没してしまった。最初の救助船であるカルパチア号が 到着したのは午前 4 時 10 分頃であった。 6.2 イベントツリーの作成 このタイタニック号事故では、事故に至る過程および事故後の対応において様々な出来事に遭遇し、 その都度の対応、選択によっては結果が異なっていたことは十分に考えられる。つまり、それらの出 来事のうち一つでも異なった対応をすれば結果的に事故に至らなかった、もしくはより多くの人命が 助けられた等のことが考えられる。この様な考え方により、タイタニック号に発生し得た可能性を網 羅的に評価するためにイベント・ツリー手法(9)を用いて解析してみる。 タイタニック号の建造、出航時からの事故に関係したであろう事項をヘディングとして取り上げイ ベント・ツリーを作成すると図 10 及び図 11 の様になる。図 10 では、出航から衝突直前までの事象進 展を示してある。右端に○印を付したシーケンスでは、衝突は発生しないが、衝突が発生するその他 の場合では、更にその右側にシーケンスが進展する。衝突の形態やその後の救助状況により分岐して いく種々のシーケンスの 1 例として、図 10 の*印に続くシーケンスが図 11 に示してある。 ここに取り上げた出来事の他にも、当然様々な事が起こっている。それらのなかには、より重大な 出来事に思われるものも存在しているが、ここでは事故発生に関係するもののみを取り上げた。 6.3 イベント・ツリーの定量的解析 6.3.1 ヘディング発生確率の推定 イベント・ツリーでは各ヘディング事象の発生の有無によりシーケンスが分岐していくが、この発 生確率を求めることが、イベント・ツリー定量解析の第一段階となっている。各事象について発生確 率値を検討したが、主要なものを以下に記す。 ①完成の遅れ:完成の遅れた理由は、タイタニックを建造しているドックおよび作業員を他船の修理の ために奪われてしまったのがその理由であった。当時一般的にこの様な大型船が種々の理由により 1 ヶ月以上予定より遅れる確率を考えると、当時の建造の様子としては工期が間に合うことは稀であ ったという史実がある。このことから、1 ヶ月遅れる確率は 80%程度と考える。 ②氷山の存在: UNITED STATES COAST GUARD(USCG)の INTERNATIONAL ICE PATROL の Web サイト(20 ) より 1960 年から 1998 年までの北緯 40∼52 度, 西経 39∼57 度内で発見された氷山のデータを入手し 整理した。出航が当初の予定通り行われたと仮定した 3 月と、現実に航海した 4 月のデータについて 着目し検討する。得られた氷山のデータは、1960∼80 年までは発見時のみの記録であるが、1981 年以 降は発見時と最終確認時共に記録されている。したがって、1981 年以降のデータについては発見時と 最終確認時から氷山のこの海域での存在期間を確定できる。これらの代表的な結果を示したものが図 12 である。図中横軸は日付、縦軸は観測された氷山の認識番号であり、塗りつぶされた部分が各氷山 の存在期間を示している。 この結果から、多い年にはこの海域に常に氷山が存在し そうでない年は存在しない期間があったこと が認められる。一方、1960∼80 年までは発見時のみしかデータが残っていないことから、同じ方法で は氷山が存在している時間的割合は求められない、そこで 1981 年以降のデータから得られた結果をも とに、氷山の個数と各月における北緯 43 度以南での存在確率(氷山の存在日数/30 or 31)の関係を 求めた。この結果を図 13 に示す。図中の直線は線形近似を行ったものである。1960∼80 年のデータ については、個数がわかっているためこの近似直線からその存在期間を推測することが可能である。 これらの結果をもとに 1960∼98 年までのデータを集計しその存在確率の平均を求めてみた結果、3 月 21.11%、4 月 34.35%となった。4 月の方が多少存在確率が大きいが、当初予想されていたより差は少 ないことが判明した。 タイタ ニック 号出航 完成が 1 ヶ月 遅れる 氷山の 存在 (南下) 出航の 月明かり 波 高 (m) 遅れ 他船の警 告による 減速 南下しない 双眼鏡 所持する 波高 0-1 減速する 減速しない 所持しない 氷山発見 し減速・ 回避 発見する 発見しない ○ ○ ○ ○ ○ ○ 波高 1-3 有り ○ ○ ○ 波高 3-12 出航3月 波高 12- 遅れない ○ ○ ○ ○ ○ なし ○ ○ ○ ○ 南下する ○ ○ ○ ○ ○ ○ ○ ○ ○ 遅れる ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 出航4月 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ 図 10. イベントツリー(前半) * *印よ り続く カリフォ ルニア号 の位置 回避操作 カリフォ ルニア号 の通信機 スイッチ カリフォル ニア号信号 灯を正しく 認識 カルパチ ア号の 位置 カルパチ ア号の通 信機スイ ッチ A1 A2 A3 スイッチオン A4 正しく認識 救助可能な 位置 スイッチオン A 5:実際の事故 スイッチオフ 救助可能な A 6 シーケンス スイッチオフ 正しく認識 位置 A7 救助不可能な位置 せず A8 A9 救助不可能な位置 A1 A11 0 減速せずに直進 減速して直進 * 減速して 舵を切る 減速せずに舵を切る 図 11. イベントツリー(後半) 1992 データ数は、各24と26個だが4月の初めと終わりに偏っている。代表的なものを示したのみ。 March April 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 261D 538+ 537+ 553D 276D 495D 235D 228D 244D 198D 205D 1995 かなり多し。 March April 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 812 865 1086 1105 846 785 750 1268 65 945 442 650 886 942 600 981 812 1086 20 図 12. 氷山の存在期間 氷山の存在確率(4月) 氷山の存在確率(4 月) 氷山の存在確率(3 月) 1.2 1 1 0.8 0.8 存在率 存在確率 存在確率 y = 0.0307x 0.6 0.4 0.2 y = 0.0317x 0.6 0.4 0.2 0 0 0 20 40 60 80 100 120 140 160 0 個数 図 13. 氷山の数 20 40 60 80 個数 個数 100 120 140 160 ③出航の遅れ:出航が遅れた原因は、港湾内で他船舶と接触事故を起こしそうになったためである。こ れについても当時の情報が入手し難いため、ロイドの 78∼95 年の資料(2 1)および 95∼97 年の事故デー タ(22)をもとに港湾内での軽微損傷事故の発生確率を求める。 まずロイドのデータから、 「船舶(全ての船種)が各年度当たり、他船との衝突を原因とする、"全損 を含む重大事故"に遭う確率を求めグラフにすると図 14 の様になる。1978∼95 年の衝突から線形近似 を用い 1912 年における値を 0.00478 と求めた。その値に対して (1) 年 12 回の航海、(2) 1 航海当た り1回の寄港(つまり4回の入出港を行う)を仮定し、入出港毎の”全損を含む重大事故”に遭う確 率を 9.996×10-5 と推定した。更に、95∼97 年の NK 船の(軽微損傷)/(全損事故+重大事故)の 比率を掛けて、1回の入出港において軽微事故に遭遇する確率を 0.000624 と推定した。 事故数/登録船腹数 0 .0 0 5 0 .0 0 4 0 .0 0 3 0 .0 0 2 1912 y = - 6 E- 0 5 x + 0 .0 0 5 5 2 R = 0 .6 3 0 .0 0 1 0 1900 1920 1940 1960 1980 図 14. 全損を含む重大事故率 2000 (年 ) ④月明かり:事故が起こった夜は、偶然月齢が 26.1 で新月に近い状態であった。月の運行から、午後 11時∼午前 1 時の間に月が水平線下に存在する割合を算出すると 0.369 となる。 ⑤波高:適度な波は氷山の発見に役立つことは前述した通りである。そこで当研究所の船舶気象情報デ ータベース(23)から当該海域の波浪状況を調査し、さらに波の高さを以下に示す 4 段階に分けた。1. 波高が低すぎるため氷山の発見に役立たない(0∼1m、事故当日の状況)、2.氷山を発見するのに適当 な波高(1∼3m) 、3.波高が高く救命ボートへの移乗に困難を伴う場合(3m∼12m)、航行自体に注意が 必要な場合(≧12m) 、である。高い波高は不良な天候によりもたらされる場合が多いので、この場合 にも視界不良とし氷山発見には一層の困難が予想される。しかし逆に、天候不良な場合には速度を落 し、通常よりも警戒を強化するといった面も考えられる。悪天候、他船からの警告等で速度を落とし て航行した場合は衝突時刻は午前 0 時を過ぎていたとする。これらの天候に遭遇する確率はそれぞれ 0.157、0.253、0.550、0.041 である。 ⑥他船の警告による減速:通常であれば警告をもとに対応するものと思われるが、タイタニック号は処 女航海での大西洋横断の最短記録を目指していた事情もあった事を考慮し、警告を受け入れて減速す る確率を 0.2 とした。これは、主として船長がどのように判断するかに依存している特徴的な人的因 子である。 ⑦双眼鏡の有無:実際の事故の際に役立ったかどうかは不明であるが、月明かりがあり波や風が適度に あって低速度で航行していた場合に双眼鏡による監視が有効であったと考える。 ⑧氷山の発見による減速・回避:遠方に氷山を発見した場合回避行動をとり氷山との衝突は避けられる とする。氷山を発見できる確率は、天候状態、月明かりの有無、航行速度、双眼鏡の有無に依存する として以下の様に設定した。 月明かりあり − 波高 0-1m − 減速状態 − 双眼鏡所持 −→ 氷山発見・回避確率 0.8 月明かりあり − 波高 0-1m − 減速状態 − 双眼鏡なし −→ 氷山発見・回避確率 0.7 月明かりあり − 波高 0-1m − 高速航行状態 ―――――−→ 氷山発見・回避確率 0.6 月明かりあり − 波高 1-12m − 減速状態 − 双眼鏡所持 −→ 氷山発見・回避確率 0.95 月明かりあり − 波高 1-12m − 減速状態 − 双眼鏡なし −→ 氷山発見・回避確率 0.9 月明かりあり − 波高 1-12m − 高速航行状態 ―――――−→ 氷山発見・回避確率 0.8 月明かりあり − 波高 12m 以上 − 減速状態 ――――――-→ 氷山発見・回避確率 0.5 月明かりあり − 波高 12m 以上 − 高速航行状態 ――――-→ 氷山発見・回避確率 0.0 月明かり無し − 波高 0-1m − 減速状態 ――――――――-→ 氷山発見・回避確率 0.3 月明かり無し − 波高 0-1m − 高速航行状態 ―――――--→ 氷山発見・回避確率 0.0 月明かり無し − 波高 1-12m − 減速状態 ―――――――−→ 氷山発見・回避確率 0.5 月明かり無し − 波高 1-12m − 高速航行状態 ―――――−→ 氷山発見・回避確率 0.3 月明かり無し − 波高 12m 以上 − 減速状態 ――――――-→ 氷山発見・回避確率 0.3 月明かり無し − 波高 12m 以上 − 高速航行状態 ――――-→ 氷山発見・回避確率 0.0 ⑨回避操作:回避操作の形態として、次の 4 つのパターンを考える。1.そのまま直進、 2.減速し直進、 3.減速し舵を切る、 4.減速せず舵を切る。それぞれの対応をとる確率を、0.06、0.12、0.12、0.70 と設定した。 「1.」の場合は大破して間もなく沈没、 「2.」の場合は舳先の少破で沈没を免れる、 「3.」 の場合は多数区画の破損で約 2 時間後に沈没に至る、 「4.」の場合は旋回性能が確保されているため衝 突を免れるとした。 ⑩他船の位置:カリフォルニア号とカルパチア号両船とも現実にはタイタニック号との間に流氷群の 存在しない位置関係にあり救助が可能であったが、運が悪い場合には流氷群に遮られ救助に向かえな い場合もあったはずである。タイタニック号からの距離は現実の値とし方位が均一に分布していると すると、両船とも約 0.5 の確率で救助に向かえない位置にいた可能性があった。 ⑪通信機のスイッチ:当時の通信係の勤務体系としては、午前零時以降の業務が行われていないことが 通常であった。それ故、午前零時以前においては 0.9 の確率でスイッチが入っており、午前零時以降 では 0.1の確率で入っているとした。 ⑫救助信号灯に対する反応:事故発生後タイタニック号からは、救助信号灯が発せられている。この救 助信号灯はカリフォルニア号に視認されたが、救助信号とは認識されなかった。救助信号として認識 される確率を 0.5 とした。 6.3.2 遭難者数の算定 図 11 には衝突直前に氷山を発見した後のシーケンスが示されている。図 11 に記載したのは図 10 のイベントツリー中、*印のシーケンスに連なる部分である。これは実際に発生した事故シーケンス を含むツリーである。以下、この部分を用いて遭難者数の算定方法を説明する。 まず、シーケンス A1 は氷山を発見後減速を行うことなく、かつ舵を切らずに氷山に衝突した場合で ある。この場合は急速に沈没するとし、救命ボートに乗り移る間もなく全員が死亡するとした。 次に、シーケンス A2 は氷山を発見後、最大限の減速を行うが舵は切らずに直進して氷山に衝突した 場合である。この場合は、タイタニック号の船体設計から沈没に至るほどの区画が浸水する事は無い として遭難者数 0 人とした。 シーケンス A11 は氷山発見後、減速せずに舵を切った場合である。この時は避航能力は高く衝突は 免れる。従って遭難者数は 0 人となる。 残るシーケンス A3∼A10 では衝突直前に氷山を発見し、最大限の減速を行いつつ舵を切った場合で ある。これは実際に発生した状況と同じで氷山をかすめる形で衝突することになる。A3∼A10 は救助 条件が異なるため救助可能な人数も異なってくる。 A3 は事故時に 19 海里の距離にいたカルフォルニア号がタイタニック号の無線を受信して直ちに救 助に来た場合である。沈没の約 40 分前に到着する事が可能である。 A4 はカルフォルニア号がタイタニック号の打ち上げた救助信号灯を遭難信号と認識して救助に駆 けつけた場合である。しかし、この場合は早くても沈没の約 10 分前にしか到着できない。 A5、A8 はカルパチア号がタイタニック号沈没の約1時間 50 分後に到着した場合である。特に A5 で 波高 0∼1m のシーケンスでは、実際に発生した事故時と同一の条件となっている。この場合の遭難者 数は 1490 人(実際の遭難者数)とした。 A6、A7、A9、A10 はカルフォルニア号もカルパチア号も救助に来ることがなく、事故の翌日に他船 舶によって救助されるとした場合である。 各々の救助条件の場合における遭難者数を算定したのが表1である。タイタニック号の乗客・乗員 の助かるパターンとして以下の2通りを考えた。 1つは沈没前に救命ボートに乗り移るか、沈没後に救命ボートに乗り込み救助に来た船舶に助けら れるというものである。各欄第1行には救命ボートに移乗できた人数を記し、カッコ内には救命ボー ト定員(1178 名)に対する割合を記した。事故当時は気温・海水温はともに摂氏 0 度前後であった ことから、波をかぶったり風により体温を奪われたり、また激しい揺れに曝されなどして、救助され るまでに死亡する者もいると考えられる。その人数を乗艇後死亡欄に、また乗艇者総数に対する割合 を直下のカッコ内に記した。 他の救助形態としては、沈没時にタイタニック号から海に投げ出され、直接救助船に助けられると いうものである。事故当時の海水温から考えると、時間と共に生存している人の割合は急速に減少し ていくと考えられる(24)。この直接救助される人数を各欄中の第5行に、また海に投げ出された人員に 対する救助人数の割合を直下のカッコ内に記した。 6.3.3 事故シーケンス発生頻度の算出 前節で推定した各事象の発生確率をヘディングの分岐確率として与えイベント・ツリーの定量評価 を行う。解析においては表解析ソフト EXCEL が非常に便利に活用できることがわかり、それを用いた。 イベント・ツリーの全容記載は省略するが、全シーケンス数は 902 シーケンスに達しており、その 中で何らかの人的損失のあるシーケンス数は 684 シーケンスであった。 6.4 解析結果 6.4.1 点推定値 6.3.1 で設定したイベント・ツリーの各分岐確率を用いて各シーケンスの発生頻度の点推定値が得 られる。発生したタイタニック号事故とまったく同一経過をたどるシーケンスの発生頻度は 1.07× 10-8/航海と得られた。しかし、異なった経過をたどっても結果的に多数の死者の出るシーケンスは多 数存在する。それらを集計した結果を図 15 に示す。遭難者数と累積発生確率の関係からタイタニック 号事故と同程度(死者 1490 人)あるいはそれ以上の事故が発生する確率は 2.05×10-2/航海となって いる。図 15 には参考として、ロイドの資料(21)で用いたデータ(1978 年∼1995 年)に相当する船舶の 年間平均航海数を 15 航海と仮定した場合の遭難者数-累積発生確率の関係を灰色で付してある。 なお、今回の解析でパラメータの値を求める際に、専門家判断により値を与えた箇所がある。最終 的な値の吟味は、そのオーダーがどの程度であるかにより行われることを考えれば、用いられたパラ メータ値の多少の誤差を考慮しても解析結果は十分有用であると考えている。 表1:遭難者数の算定(小数点以下切り捨て、単位:人) 0∼1 波の高さ(m) 1∼3 3∼12 12∼ 状況 2:減速して直進 し衝突 沈没せず 沈没せず 沈没せず 沈没せず 11:減速せずに舵 切り、衝突せず) 遭難者計: 遭難者計: 0 遭難者計: 遭難者計: 0 遭難者計: 遭難者計: 0 遭難者計: 遭難者計: 3:減速して舵切 乗艇: 706 (60%) り、かすめるよう に衝突。カリフォ 乗艇後死亡: 0 ( 0%) ル ニ ア号 、沈 没 海から救助: 1120 40 分前に到着 (75%) 373 遭難者計: 乗艇: 353 (30%) 乗艇後死亡: 17 (5%) 海から救助: 923 (50%) 941 遭難者計: 乗艇: 176 (15%) 乗艇後死亡: 35 (20%) 海から救助: 506 (25%) 遭難者計: 遭難者計: 1553 乗艇: 4:減速して舵切 乗艇: 706 (60%) り、かすめるよう に衝突。カリフォ 乗艇後死亡: 0 ( 0%) ル ニ ア号 、沈 没 海から救助: 747 10 分前に到着 (50%) 747 遭難者計: 乗艇: 353 (30%) 乗艇後死亡: 35 (10%) 海から救助: 461 (25%) 遭難者計: 遭難者計: 1421 乗艇: 176 (15%) 乗艇後死亡: 53 (30%) 海から救助: 253 (12.5%) 遭難者計: 遭難者計: 1824 乗艇: 5,8:減速して舵 乗艇: 711 (60%) 切り、かすめるよ うに衝突。カルパ 乗艇後死亡: 0 ( 0%) チア号、沈没1時 0 海から救助: 間 50 分後に到着 (0%) 遭難者計: 遭難者計: 1490 乗艇: 353 (30%) 乗艇後死亡: 70 (20%) 0 海から救助: (0%) 遭難者計: 遭難者計: 1918 乗艇: 176 (15%) 乗艇後死亡: 106 (60%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2130 乗艇: 6,7,9,10:減速し て舵切り、かすめ るように衝突。カ リ フ ォル ニア と カルパチア号、救 助に来ず(翌日救 助) 706 (60%) 乗艇後死亡: 70 (10%) 0 海から救助: (0%) 遭難者計: 遭難者計: 1564 乗艇: 353 (30%) 乗艇後死亡: 212 (60%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2059 乗艇: 176 (15%) 乗艇後死亡: 159 (90%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2183 乗艇: 1:減速せずに直 乗艇: 0 ( 0%) 進して衝突(急速 乗艇後死亡: 0 に沈没) (0%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2201 乗艇: 0 ( 0%) 乗艇後死亡: 0 (0%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2201 乗艇: 0 ( 0%) 乗艇後死亡: 0 (0%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2201 乗艇: 乗艇: 0 0 ( 0%) 乗艇後死亡: 0 (0%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2201 0 ( 0%) 乗艇後死亡: 0 (0%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2201 0 ( 0%) 乗艇後死亡: 0 (0%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2201 0 ( 0%) 乗艇後死亡: 0 (0%) 0 海から救助: (0%) 遭難者計: 遭難者計: 2201 0 ( 0%) 乗艇後死亡: 0 (0%) 海から救助: 0 (0%) 遭難者計: 遭難者計: 2201 基礎データ:乗船総数 2201 名(内、実生存者 711 名、実死亡者 1490 名) 救命ボート定員 1178 名 1.00 E+00 1.00 E-01 累積発生確率 1.00 E-02 1.00 E-03 1.00 E-04 点推定値 95%上 限 値 5%下 限 値 1978~ 1995年 1.00 E-05 1.00 E-06 1.00 E-07 1.00 E-08 0 50 0 10 00 15 00 20 00 25 00 遭難者数 図 15. 解析結果 6.4.2 不確実さ解析 イベント・ツリー作成の際の項目選定の任意性、分岐確率のデータに存在する統計的なばらつき、 分岐確率の値を専門家判断に依存する場合等種々の不確定な要因が考えられる。そこで、各分岐確率 に不確定さがあるとした不確実さ解析を実施して検討した。 イベント・ツリー中の分岐において不確実さが存在すると見られる項目について事象の発生確率値 を上限値、下限値間での一様分布から乱数により各々1つ選定しイベント・ツリー解析を実施する。 これを 3000 回繰り返すいわゆるモンテカルロ法を実施し最終結果の不確実さ幅を求めた。不確実さの 分布を考慮した項目は以下の通りである。但しカッコの中の数値は(中央値±分布幅)を意味してい る。 出航4月(0.8±0.2) 、氷山の存在確率・3月(0.21±0.2) 、氷山の存在確率・4月(0.34±0.2)、 出航の遅れ(0.000624±0.000624)、他船の警告による減速(0.2±0.2) 、双眼鏡を所持する(0.5±0.3)、 事前に氷山を発見し衝突回避失敗(0.05±0.05、0.1±0.1、0.2±0.2 等)、回避操作・減速せず直進 (0.06±0.06) 、回避操作・減速して直進(0.12±0.1) 、回避操作・減速して舵を切る(0.12±0.1)、 カルフォルニア号が救助可能な位置にいる(0.5±0.3) 、無線機スイッチ・オン(0.1±0.1 等)、カル フォルニア号信号灯を正しく認識(0.5±0.3)、カルパチア号が救助可能な位置にいる(0.5±0.3)。 解析の結果を図 15 中に各々の犠牲者数毎に 95%上限値、5%下限値を点線で示してある。また、最 大値、最小値の存在限界をグレーの範囲で示した。 遭難者数と累積発生確率の関係からタイタニック号事故と同程度以上の事故が発生する確率は、点 推定値は 2.05×10-2 回/航海であるが、95%上限値は 3.47×10-2 回/航海、5%下限値は 9.82×10-3 回/航 海となった。 6.4.3 重要度評価 事故に至るシーケンスの中でどの項目(イベント・ツリー中での分岐)が大きな影響を持っている かを評価する指標として Fussel―Vesely 指標(25)がある。 FV 値は、 FV 値=(P ― P0)/P の 式で定義されている。ここで Pは本来の最終事象の発生確率値であり、P0は着目している事象の 発生確率を 0.0 と置いたときの最終事象の発生確率である。FV値が大きい程影響が大である。 FV値の大きな順に各項目を列挙すると以下の様になっている。ただし、ここではPとして 1490 人以上の犠牲者数が出る累積発生確率値で調べた。 氷山が4月に存在する (0.834) 、 氷山事前に発見できず (0.823) 、 減速して舵を切る回避行動 (0.617) 、 減速せず直進する衝突形態 (0.383) 、 他船の警告にもかかわらず減速せず (0.325) 、 出航が4月 (0.171) 。 当然の事ながら、氷山の存在がこの事故の大きな要因となっている。次に、氷山の存在する海域で 事前に氷山に気がつかなかった事と、減速しながら舵を切ってしまった事が事故発生に大きな要因と なっている。それらに続き、他船の警告を無視して高速で航行を続けた事、出航が4月になってしま ったことも要因としてあげられる。 6.5 考察 本報告で求めた確率は、当時の一般の船舶の事故発生確率ではなく、あくまでタイタニック号とい う特定の船がその特有な環境下でどの程度の確率で事故に遭うかを求めたものである。その結果、同 事故と同等以上の海難事故の発生確率は 2.05×10-2 回/航海であった。これは、およそ 49 航海に 1 回 という非常に大きな割合で同事故と同等以上の事故が起こることを示している。90%信頼度幅での値で みると、およそ 29 航海∼102 航海に 1 回という値である。 一方、1978 年∼1995 年の間における大型客船・フェリーに発生した事故統計データから遭難者数と 累積発生確率を求めた結果は図 15 中の左下隅、灰色の線となっている。タイタニック号事故の解析結 果と比較すると大きな隔たりが見られる。 20 世紀初頭の船旅は想像以上にリスクを伴った旅であったと言えるのではないか。つまり、天気予 報もなく、レーダーの無い状態で夜間に高速航行しており、しかも、万一の事故時の救難体制は貧弱 であった。乗客数よりはるかに少ない救命ボートの数、イパーブのような救難信号発生装置はなく、 無線を受信する体制も整備されていなかった。 タイタニック号事件は、当時の事情では発生してもやむを得なかった事故といえるのであろう。こ の事故を教訓に航行方法も含め種々の安全対策がとられる様になり、その後の安全な航海が確保され タイタニック号に匹敵する事故の発生を防いできた。例えば、この事故により氷山の脅威が改めて認 識されたとも思われる。実際 USCG では貴重な氷山のデータや情報を航行の安全等のために提供してお り、今回の解析でも十分活用できた。図 15 中に示した 1978∼1995 年の事故発生確率からもわかるよ うに、現代では当時と比較して安全な航海が行われるようになった。 本解析結果の発生確率 2.05×10-2/航海 を別な角度から考察してみると、約 49 航海に一度この様な 大事故が発生する事を意味している。それにもかかわらず第一回目の航海で事故に遭遇してしまった タイタニック号は不運であったとも言えるであろう。 通常、大事故の発生の陰には無数の小事故が存在すると言われている。しかし図 15 の遭難者数と 累積発生確率の関係をみると、遭難者が出る事故は大事故になってしまっている。これはこの大型客 船の置かれた状況を反映している。つまり小事故では、遭難者が発生することは稀であり、遭難者が 出るような事故はほとんど大事故である事を示している。 本解析では、イベント・ツリーを用いた定量的評価法により、事故解析/事故究明にとって有力な 情報が得られる例が示された。今後、この様な定量的評価を基に安全確保に関する議論が海洋分野に おいても一層深まる事を期待する。 7. まとめ 確率論的安全評価法(PSA)とはどのような方法かを紹介し、原子力の分野においてどの様に実 施されているかを示した。また、PSA実施において重要な役割を担うシステム信頼性解析手法とし て船舶技術研究所で開発された新しい手法 GO-FLOW の基本的な原理について説明した。さらに、GOFLOW 解析支援システム及び GO-FLOW を応用した安全性評価システムの紹介も併せて行った。最後に、 海洋分野への応用としてタイタニック号事故をイベント・ツリーにより解析した手順及び結果を詳し く紹介した。 本講演会参加者の皆様方の研究・業務遂行にとり何らかの形で本報告が御参考になれば幸いである。 それにより、海洋分野においてもPSA、システム信頼性解析手法 GO-FLOW がなじみあるものとなり、 PSA 実施の機運が今後ますます高まる事を期待する。 参考文献 (1)American Nuclear Society and IEEE: PRA Procedures Guide; NUREG/CR-2300 (1983) (2)A.D.Swain and H.E.Guttman: Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications, NUREG/CR-1278(1983) (3)及川哲邦、樋川道弘、他:機器故障データベース、RECORDに登録された故障率集、日本原子 力研究所研究報告書 JAERI-M89-044(1989) (4)近藤駿介、松岡猛 他:原子力発電所の確率論的安全評価、日本原子力学会誌 第 28 巻 第 12 号(1986), pp.1096-1128 (5)松岡猛:確率論的安全評価における従属故障と外的事象、システム/制御/情報、第 36 巻 第 3 号(1992), pp.158-170 (6)松岡 猛: GO-FLOW 手法を用いた安全性評価システムの開発、船舶技術研究所第 71 回研究発表会講演 集(1998 年 6 月) pp.79-84 (7)松岡 猛: 事故進展シミュレータを用いた安全性評価システムの開発、日本機械学会 RC155 不確定環 境下での人間・機械協調型プラントの知的システム化技術研究分科会研究報告書 (1999 年 6 月) pp.243 ー 250 (8)U.S.Nuclear Regulatory Commission: An Assessment of Accident Risks in U.S.Commercial Nuclear Power Plants, WASH-1400, NUREG-75/014 (1975) (9)U.S.Nuclear Regulatory Commission: An Assessment of Accident Risks in U.S.Commercial Nuclear Power Plants, Appendix I Accident definition and use of event tree, WASH-1400, NUREG-75/014 (1975) (10)U.S.Nuclear Regulatory Commission: An Assessment of Accident Risks in U.S.Commercial Nuclear Power Plants, Appendix II Fault tree methodology, WASH-1400, NUREG-75/014 (1975) (11)T.Matsuoka and M.Kobayashi: GO-FLOW A New Reliability Analysis Methodology, Nuclear Science and Engineering, Vol.98 (1988), pp.64-78 (12)K.N.Fleming et al.:A Reliability Model for Common Mode Failures in Redundant Safety Systems; Proceedings of the Sixth Annual Pittsburgh Conference on Modeling and Simulation; GA-A13284 (April 1975) pp.23-25 (13)K.N.Fleming et al.:An Extension of the Beta Factor Method to Systems with High Levels of Redundancy; PLG-0289 (June 1983) (14)A.Mosleh and N.O.Siu: A Multi-Parameter, Event-based Common-Cause Failure Model, SMiRT9 Paper No. M7/3 (August 1987) (15)C.L.Atwood: Common Cause Fault Rates for Pumps, NUREG/CR-2098(Feb. 1983) (16)T.Matsuoka and M.Kobayashi: The GO-FLOW Reliability Analysis Methodology -Analysis of Common Cause Failures with Uncertainty–, Nuclear Engineering and Design Vol.175(1997) pp.205-214 (17)松岡 猛、小林道幸:GO-FLOW 信頼性解析支援システムの開発、船舶技術研究所 第 61 回発表会講演集 (1993 年 6 月) pp.104-109 (18)http://www.srimot.go.jp/sed/studies/goflowj0.htm (19) タイタニック号遭難事件事故報告書(海難審判庁訳) (20) http://www.uscg.mil/lantarea/iip/home.html (21) LLOYD'S MARITIME INFORMATION SERVICES、1978∼1995 Casualty Data (22) 社団法人日本造船研究協会第 46 基準研究部会、放射性物質の海上輸送の安全に関する調査研究 (海上火災)平成10年度報告書、 (1999 年 3 月) (23) http://www.srimot.go.jp/wavedb/wavedb.html (24) 運輸省海上技術安全局:訓練手引書、船員災害防止協会、平成7年2月 (25)確率論的安全評価(PSA)実施手順書に関する調査検討−レベル1PSA、内的事象−、原子力安全研 究協会、平成4年7月