非常用復水器は全電源喪失後にも原子炉冷却機能が期待出来る、いわば最後の頼み綱である。原子炉内の高圧の蒸気の力を利用するので、ポンプ用の電源を必要としないという特長を持つシステムである。ここで注意しておかなければならないのは、厳密な意味で全電源喪失の場合には、非常用復水器は機能しないという事である。図の中にバルブ(弁)が数多く記されているが、名前のMOはMotor Operatedの略で、電源が必要なバルブを意味する。従って、完全に電源が喪失した場合には、これらの弁の開閉を自動的に行う事は不可能となり、その結果、非常用復水器はシステムとしては正常に機能しなくなる。
もう一つ安全なシステムが備えているはずの重要な機能について述べる。機械的な動作を電気によって行う機器については、突然電源がオフになった時に、その機器の状態をどのようにしておくべきかという事が、システム全体の安全を確保する上で重要な課題となる。例えば、電源が断たれた時に、バルブは開いた状態にするのか、閉じた状態にするのかという問題である。システムの安全(フェールセイフ)という観点から、電源オフの時の動作をあらかじめ決めておくのが、常識的で安全サイドの設計法といえよう。
一般に、機械的動作をさせる機器については、安全を確保する為の様々なコントロールシーケンスが組み込まれているのが普通である。問題は、アラーム(故障)が同時多発する時に、どのような優先順位に従って機器の動作を決めるかである。現実問題として、アラームの種類により、動作速度が異なるという問題があるので、最終的な機器動作が、システム全体の安全サイドを目指して決定出来るかどうかは、意外と難しい。コントロール系のコンピュータが正常に動作している場合には、短い時間に同時多発する数多くのアラームに対して優先順位をつける事は容易である。その場合でも、アラーム信号がある時間幅の時系列に並ぶ場合には、途中までのアラーム信号だけを使って、最終判断が決まってしまう場合があり得よう。その動作時点で電源が突如切れてしまうような場合には、システム全体の安全は保たれない可能性が生まれる。原子炉のような複雑且つ高度な安全性を求められるシステムの場合、非常に複雑なコントロールシステムが組み込まれている事が容易に予想出来る。
地震により原子炉が自動停止した5分後に、原子炉圧力の高まりを検知して、非常用復水器は自動起動された。その後、覆水器の動作をコントロールする事により、原子炉圧力と水位は正常範囲内に保たれる。その記録(原子炉圧力)を示す。
津波の到来の直後に、計測用の電源が喪失して、チャートの記録は途切れてしまう。さて、この時に非常用復水器の動作はどのようになったのであろうか。そして、原子炉運転に係っていた人々はどのように判断したのであろうか。二段階の電源損失(地震による交流電源の停止、津波による非常用電源の停止)という事態において、複雑なコントロール系の中に組み込まれていた非常用復水器はどのような動作状態になっていたのか。こうした観点を踏まえて、
を時系列にまとめたテーブルをみていただきたい。復水器に関連する対応は水色の背景色をつけてある。
1号機の非常用復水器を中心とする冷却機能に関する対応をまとめてみる。
過酷事故の初期段階において最も重要な事はなにか。それはメルトダウンを起こさないような方策を実行する事である。これには誰も異論はないはずだ。メルトダウンが回避出来ない時の最善の方策は、メルトダウンを想定して、それに対応する様々な操作の事前準備をする事である。メルトダウンを起こさない為にはどうすればいいか。炉心の水位を燃料頂部よりも上に保つ事であろう。一言でいえば、原子炉内に適正な量の水を供給する事である。ところが、東電の1号機緊急対策室は、全電源喪失以後の数時間という決定的に重要な時間帯において、炉心への注水には何の注意も払っていない。増して、原子炉のメルトダウンを想定しての処置など全く表に出てこない。緊急対策室は、ひたすら冷却水循環用ポンプの電源回復に専心している。この事から、緊急対策室は、全電源喪失後も非常用復水器が稼働している事を前提として、対策を実行していたと推定される。
仮に、メルトダウンが生じる事を前提にして対策を立てるならば、注水系の準備は当然の事として、格納容器圧力増大に対する処置を当初から視野に入れて対策を準備するはずであろう。
東電の報告書[80]には次の調査結果が報告されている。
ホワイトボードの記載によれば、3月11日18時18分に非常用復水器(A)の供給配管隔離弁 MO-2A弁を開操作した記録が残されているが、通常停止操作においてはMO-2A弁の閉操作は実施しない。この点については、操作員が実施した非常用復水器の停止操作時刻と起動操作時刻(18時18分)の間に津波が襲来し、「非常用復水器の配管破断」を検出する直流電源が失われたものと推測した。これによりフェールセーフ動作として「非常用復水器の配管破断」信号が発信され、MO-2A弁を含めた非常用復水器の隔離弁が閉動作したものと推測した。
上の説明を書き直すと次のようになるだろう。
津波により電源がダウンした15時37分ころから、MO-2A弁の開操作をした18時18分までの間、開いているはずの配管途中の弁は閉じていたので、非常用復水器は動作していなかった。弁が閉じた理由は、「非常用復水器の配管破断」という偽の警報信号が生じた為にフェールセーフのコントロールシーケンスが有効に働いた為である。「非常用復水器の配管破断」という偽の警報信号が生じた理由は、信号検出用の直流電源が(津波による冠水等の為に)ダウンしたからである。炉心の冷却を第一に考えれば、蒸気を逃がす弁は開いていたはずであり、運転作業員は弁を開いたままにしておいた。ところが、津波により「配管破損」という偽の警報信号が生まれてしまい、蒸気が配管破損部分から漏れるのを回避する為に、安全コントロールシーケンスに従って、弁は自動的に閉められた。同時に、弁の開閉表示も確認不能になってしまい、弁の開閉状態に関して正確な情報を得る事は不可能となった。炉心冷却という重大事よりは、蒸気漏れという小事を異常時の安全システムは選択してしまったのである。現場を知らないので断定はできないが、弁の開閉状態の点検は現場においてはできたのではないか。そうならば、そうした行動を即座にしたのかどうか。経験によれば、現場確認はもっとも基本的な指針の一つである。
![\includegraphics[width=14cm,clip]{ICgairyaku.eps}](ICgairyaku.jpg)
![\includegraphics[width=16cm,clip]{icvspressure.eps}](icvspressure.jpg)