小惑星探査機「初代はやぶさ」と東電福島第一原発事故の大事な教訓
〜 成否の鍵は、事前対応のリスクマネジメントと事後対応のダメージコントロール 〜
Ⅰ ダメージコントロールに大成功した小惑星探査機「初代はやぶさ」 〜 事前の周到なリスクマネジメントと臨機応変なダメージコントロールによる奇跡の生還
1 「初代はやぶさ」に学ぶべきダメージコントロール
リスクマネジメントは、リスクの回避、軽減、移転、保有の4つの手段によりリスクを組織的に管理し、想定される被害や損失の低減を図る事前対応のプロセスとして、概念や用語、手法も明確であり多方面で広く実施されています。
他方、ダメージコントロールは、被害が実際に発生した際に臨機応変に被害拡大防止を図る事後対応のプロセスであるため、手法の普遍化は困難です。それゆえ、その概念や用語が明確であるとは言えず、実効的なダメージコントロールのあるべき姿を思い描くことも難しく、事前に準備を整える動きもほとんど見られないところです。
そこで、実効的なダメージコントロールのあるべき姿を思い描く上での一助とすべく、想定外の数多のトラブルに遭遇した小惑星探査機「初代はやぶさ」が、事前の周到なリスクマネジメントに基づく臨機応変なダメージコントロールによりトラブルを全て克服して奇跡の生還を遂げたことについて、次の3点の資料に基づき分かりやすく記載します。
1) JAXA宇宙科学研究所;小惑星探査機「はやぶさ」
(https://www.isas.jaxa.jp/missions/spacecraft/past/hayabusa.html)
2) 荻野慎二;小惑星探査機「はやぶさ」の開発と成果、NEC技報 Vol.64 No.1/2011
3) ウィキペディア;はやぶさ(探査機)(https://ja.wikipedia.org/wiki/はやぶさ_(探査機))
2 「初代はやぶさ」のミッション
初代はやぶさは、2003年5月に文部科学省の宇宙科学研究所(同年に国立研究開発法人宇宙航空研究開発機構の宇宙科学研究所に改組)が打ち上げた小惑星探査機です。
初代はやぶさのミッションは、地球から数億kmの彼方(地球から月までの距離の数百倍の彼方であり、信号電波の送受信に数十分のタイムラグが生ずる距離)にある差し渡し数百mの小惑星「イトカワ」に到達して、その地表に自律誘導制御でタッチダウンして取得したサンプルを地球に持ち帰ることであり、成功すれば世界初となる極めて挑戦的かつ困難なミッションでした。
そこで、極めて挑戦的なミッションの成功に向けて、初代はやぶさでは、次の4点の革新的重要技術が開発・実装されたのです。
① イオンエンジン(太陽電池パネルで生じた電力を、キセノンイオンの生成と電気的な加速噴射による推力に変換する主エンジン)による長期間にわたる惑星間航行
② 光学センサーに基づく自律誘導制御による小惑星への接近と着陸
③ 微小重力下の小惑星表面からのサンプル採取
④ 地球に持ち帰ったサンプルの再突入カプセルによる回収
また、極めて困難なミッションの成功に向けて、事前のリスクマネジメントで想定し得たトラブルの発生に対処できるよう、初代はやぶさの通信機能・姿勢制御機能・推進機能等については冗長性と頑健性が周到に準備されたのです。
3 「初代はやぶさ」が遭遇した数多のトラブルと都度のダメージコントロール
(1) 大規模な太陽フレアにより太陽電池パネルが損傷
2003年11月、地球周回軌道上でイオンエンジンによる加速中だった初代はやぶさは、観測史上最大規模の太陽フレア(太陽表面での爆発現象であり、高エネルギー粒子を放射)に遭遇しました。この時、フレア放射を浴びた初代はやぶさの太陽電池パネルは、回復不可能な劣化が生じて発電出力が低下してしまいました。このことは、太陽電池パネルで生じた電力を推力に変換するイオンエンジンの加速力低下に直結したため、当初予定していた惑星間航行計画は遂行不可能となってしまいました。そこで、時間をかけて計画全体を見直し、小惑星「イトカワ」への到達予定を3カ月ほど先延ばしにする新たな惑星間航行計画を立案することにより、危機的状況を脱することができたのです。
(2) 姿勢制御用3軸リアクションホイールのX軸とY軸が故障
2005年7月、小惑星「イトカワ」に到達間近であった初代はやぶさは、精密な姿勢制御に用いる3軸リアクションホイールのX軸が故障して使えなくなりました。また、「イトカワ」まで7kmの「ホームポジション」に到達後の2005年10月、3軸リアクションホイールのY軸も故障して使えなくなりました。このため、姿勢制御用RCSスラスタ(12基搭載した小型のロケットエンジン)の常時併用を余儀無くされたのですが、帰還用推進剤確保に向けてスラスタ噴射を精度良く制御する目処が立ったことから、予定されたサンプル採取は実施できる見込みとなったのです。また、精密な姿勢制御を要する高利得パラボラアンテナを用いた高速データ通信はできなくなったのですが、RCSスラスタによる姿勢制御でも地球との通信が確保できる中利得アンテナに切り替えることにより、通信速度は大幅に低下しましたが危機的なトラブルは回避することができたのです。
(3) 姿勢制御用RCSスラスタからの燃料漏れにより全スラスタの推力が大幅に低下
2005年11月、初代はやぶさは小惑星「イトカワ」へのタッチダウンに成功しましたが、「イトカワ」を離脱した後、12基搭載していた姿勢制御用RCSスラスタの内の1基からの燃料漏れが判明しました。弁の閉鎖により燃料漏れは止まったのですが、12基全てのスラスタの推力は大幅に低下したままとなり二度と回復しませんでした。つまり、3軸リアクションホイールのZ軸を除いて、初代はやぶさは姿勢制御機能を喪失してしまったのです。そこで、緊急の対応として、イオンエンジンの推進剤であるキセノンガスをイオン化せずに直接噴射して姿勢を制御する運用プログラムをわずか1日で開発し、姿勢制御を回復することに成功したのです。これ以降、初代はやぶさは、3軸リアクションホイールのZ軸とキセノンガス直接噴射による姿勢制御を併用することにより、後には太陽光圧を利用する姿勢制御プログラムも開発してキセノンガス消費を抑えることにより、地球帰還まで持ち堪えたのです。
(4) 地球との通信が2カ月近く途絶
2005年12月上旬、初代はやぶさは原因不明の首振り運動を始めたのですが、キセノンガス直接噴射による姿勢制御でも姿勢を安定させることができず、太陽電池パネルの発電量低下により通信が途絶してしまいました。しかし、ここで諦めず、どこかのタイミングで太陽電池パネルに太陽光が照射して発電量が回復する姿勢になるはずと推定して、初代はやぶさに搭載した無指向性アンテナに向けて、連日連夜、「はやぶさ立ち上げコマンド」を低速度通信により送信し続けたのです。その結果、2006年1月下旬に、初代はやぶさからの低速度通信電波を辛うじて捉えることができました。そこで、低速度通信によるコマンドでキセノンガス直接噴射による姿勢制御を行い、徐々に姿勢を安定させていったところ、2006年3月に中利得アンテナを用いた通信を回復することができ、2006年5月にはイオンエンジンの再起動にも成功し、初代はやぶさを甦らせることができたのです。
(5) 全てのイオンエンジンが機能喪失
地球に帰還する直前の2009年11月、初代はやぶさに搭載していた4基のイオンエンジンが全て機能を喪失して推力を発生できなくなり、このままでは地球への帰還が絶望的な状況に陥ってしまいました。そこで、太陽電池パネルで生じた電力を推力に変換するイオンエンジンの特性を活かして、1基のイオンエンジンの機能し得る部分と、別の1基のイオンエンジンの機能し得る部分とを電気的に組み合わせたのです。この臨機応変な措置が奏功して、イオンエンジン1基分の推力を発生させることに成功した結果、初代はやぶさは地球への帰還軌道に復帰することができたのです。
4 「初代はやぶさの奇跡の生還」はダメージコントロールの賜物
前記3の(1)から(5)に記載の初代はやぶさが遭遇した数多のトラブルは、いずれも、手を打たなければ「確実に致命傷」となる重大なトラブルばかりでした。しかし、事前の周到なリスクマネジメントにより想定し得るトラブルへの対策を積み重ねていたことが奏功して、想定外の重大なトラブルが発生する都度、新たな制御プログラムを急遽作成して実装するなどの臨機応変かつ的確なダメージコントロールを実施したことにより、数多の重大なトラブルを全て克服することができたのです。このことが、2010年6月に小惑星からのサンプルリターン(世界初)を成し遂げた、「初代はやぶさの奇跡の生還」に繋がったのです。
それゆえ、「初代はやぶさの奇跡の生還」は、事前対応としての周到なリスクマネジメントと、事後対応としての臨機応変かつ的確なダメージコントロールとの間の関係性や取り組み方について、大いに参考にすべき類稀な事例であると言えます。
Ⅱ ダメージコントロールに大失敗した東電福島第一原発事故 〜 事前対応のリスクマネジメントを先送りして事後対応のダメージコントロールにことごとく失敗
1 東電福島第一原発事故の教訓
大規模災害のリスクマネジメントとは、大規模災害の発生を低減するための組織的な事前対応のプロセスを指します。このようなリスクマネジメントの実施により、改善を要すると判明した点は対策を講ずるとともに、対応マニュアルを作成して、リスクマネジメントの成果を組織全体で共有することが肝要です。しかし、リスクマネジメントを徹底しても大規模災害の発生リスクをゼロにはできないので、ダメージコントロールに向けた準備が欠かせません。
大規模災害のダメージコントロールとは、大規模災害の発生直後から実施する、被害の拡大防止に向けた臨機応変かつ組織的な事後対応のプロセスを指します。大規模災害が発生すれば、否応なくダメージコントロールに取り組まざるをえなくなります。そこで、このようなダメージコントロールを成功させるには、リスクマネジメントを実施する中で、迅速かつ的確なダメージコントロールに向けた体制の準備と心構えの涵養が必要不可欠となるのです。
上記のリスクマネジメントとダメージコントロールの視点から振り返ってみれば、東電福島第一原発事故の最大の教訓は、事前対応のリスクマネジメントが不十分では、事後対応のダメージコントロールは働かないということです。この点について、東京電力福島原子力発電所事故調査委員会(国会事故調)の報告書に基づき、以下に分かりやすく記載します。
2 東電福島第一原発はリスクマネジメントの先送りにより地震と津波に無防備
東京電力福島第一原子力発電所は、1号機から6号機までの6基の沸騰水型軽水炉を備えた、総出力470万kWの原発でした。最初の1号機は、1967年(昭和42年)に着工して1971年に運転開始し、最後の6号機は、1973年(昭和48年)に着工して1979年に運転開始していました。つまり、福島第一原発は、その全てが昭和40年代の地震や津波に関する知見に基づき設計され、建設されていたのです。
6号機の運転開始から四半世紀を経た2006年に、内閣府原子力安全委員会は、地震に関する最新の知見に基づき、「発電用原子炉施設に関する耐震設計審査指針」を改訂しました。これを受けて東京電力は、改訂後の指針に基づき、福島第一原発等の耐震安全性評価を実施して、その結果を2009年6月までに経済産業省原子力安全・保安院に報告するとしていたのです。しかし、東京電力は、耐震安全性評価結果の報告期限を2016年1月に先送りしたため、改訂後の指針に適合させる上で必要となる耐震補強工事も全て先送りしてしまいました。このような先送りの結果として、福島第一原発は、2011年3月に東日本大震災が発生した時点では、地震に対するリスクマネジメントが全く実施されていなかったのです。
また、東京電力は、各種の勉強会等を通じて2006年の時点で、敷地高さを超える津波が襲来した場合には全電源喪失に至る危険性があることや炉心損傷に至る危険性があることを認識していた上に、敷地高さを超える津波が到来する可能性が十分低いとする根拠が無いことも認識していたのです。しかし、このような津波襲来に対するリスクマネジメントの実施についての検討がなされた形跡が無いことから、東京電力は、福島第一原発の津波対策についても放置したままであったと言えます。
つまり、東京電力は、福島第一原発の地震や津波に対する脆弱性(リスク)について、東日本大震災が発生する5年前の時点で認識していたにも関わらず、原発の安全性を評価して必要な対策を施すなどのリスクマネジメントを実施していなかったのです。このため、地震や津波に対する弱点の所在を明らかにすることができず、弱点を運用でカバーするための対応マニュアルも作成されませんでした。これでは、福島第一原発が東日本大震災に伴う地震と津波に襲われた際に、迅速かつ的確なダメージコントロールを実施することなどできるはずもなかったのです。
3 東日本大震災が引き起こした東電福島第一原発事故
(1) リスクマネジメントで避けられた福島第一原発の全電源喪失
2011年3月11日に発生した大地震により、東電新福島変電所と福島第一原発を結ぶ送電線が損傷したため、福島第一原発は東京電力の送電網からの受電ができなくなってしまいました。このような事態に備えて、東北電力の送電網から受電するための予備送電線が用意されていたのですが、福島第一原発の配電盤接続用ケーブルの不具合(これは、地震に対するリスクマネジメントを実施していれば容易に発見して是正できていた不具合)のため、予備送電線からの受電もできず、外部電源を喪失してしまったのです。
そして、大地震に伴って生じた大津波に襲われた福島第一原発では、非常用ディーゼル発電機や冷却用海水ポンプ、配電系統設備、直流電源設備、蓄電池等の電源設備が水没(これらの電源設備については、津波に対するリスクマネジメントを実施していれば、水没を避ける手立てを講じることが十分可能でした)して機能不全となり、6号機の空冷式非常用ディーゼル発電機1台を除いて全電源喪失となったのです。
(2) 全電源喪失は原発最大の悪夢
原子炉は、地震等により緊急停止した後も冷却し続けなければなりません。さもなければ、炉心溶融を引き起こして爆発するなどの大惨事が不可避となるからです。しかし、福島第一原発では、次に記載のとおり、全電源喪失により原子炉冷却に支障を来した上に、ダメージコントロールに失敗して最悪の大惨事を招いてしまいました。
福島第一原発では全電源喪失により、適時かつ実効的な原子炉冷却が著しく困難となりました。なぜならば、原子炉の注水冷却や減圧、原子炉格納容器の注水冷却や減圧といった、大惨事を回避するために欠かせない処置を的確に施すには、電源が欠かせないからです。このため、消防車による代替注水や、格納容器ベント(原子炉格納容器を減圧するための排気)を現場運転員による手作業で実施するなど、電源を要しない処置を試みたのですが大惨事を回避することはできませんでした。
また、福島第一原発では全電源喪失により、中央制御室の監視制御機能、原発内の照明や通信手段を一挙に失ってしまいました。これに加えて、リスクマネジメントの未実施により全電源喪失を前提とした対応マニュアルや有効な対応ツールも準備されていなかったことから、全く想定外の全電源喪失下における原子炉の安全確保に向けて、現場運転員によるその場での判断や対応に依拠せざるをえなくなり、文字どおり暗闇の中での手探りによる事故対応となってしまったのです。
4 問題の根源は、東京電力のリスクマネジメントの根本的な歪み
東京電力は、可能性が否定できなくなった危険な自然現象については、経営判断によりリスクマネジメントの対象として扱うべきでした。つまり、従来の想定を超える津波襲来の可能性について社内の関係部門が認識した時点で、原発の安全に対して第一義的な責任を負う原子力事業者としての東京電力に求められたのは、社内の関係部門が、津波襲来の可能性についての科学的根拠を明らかにするための堆積物調査等に時間をかけたり、厳しい基準が採用されないように国に働きかけたりすることではなく、原子力事業者としての経営判断によりリスクマネジメントを実施して対策を進めることでした。
ところが、東京電力のリスクマネジメントの捉え方には根本的な歪みがあったのです。具体的には、東京電力は、原発でのシビアアクシデントの発生が周辺住民の健康や周辺環境に悪影響を及ぼすことを、経営上のリスクとして捉えていなかったのです。その代わりに、シビアアクシデント対策の立案が既設炉の停止や訴訟上の不利益に繋がることを、経営上のリスクとして捉えていたのです。それゆえ、東京電力社内で経営上のリスクを検討するために設けられた会議体では、原発に関するリスクについては、社会的な信頼の失墜や原発稼働率の低下に繋がるリスクとして扱い、シビアアクシデントが発生するリスクとしては扱われなかったのです。
その当然の帰結として、福島第一原発は、シビアアクシデントの発生に対して全く無策・無防備な状態のままに置かれていたのです。この点について、東京電力福島原子力発電所事故調査委員会(国会事故調)の報告書では、「シビアアクシデントに対する十分な準備、レベルの高い知識と訓練、機材の点検がなされ、また、緊急性について運転員・作業員に対する時間的要件の具体的な指示ができる準備があれば、より効果的な事後対応ができた可能性は否定できない。」と指摘しています。
要するに、福島第一原発では、地震や津波に起因するシビアアクシデントについてのリスクマネジメントを怠った結果として、シビアアクシデントの発生に備えた機材の点検がなされず、原発運転員の対応マニュアルは無く、原発運転員の訓練も全く不十分でした。このため、地震や津波に起因するシビアアクシデントが実際に発生した際の緊急対応であるダメージコントロールについては、その準備も心構えもできていなかったことから被害拡大を防ぐことができずに失敗し、福島第一原発は炉心溶融を引き起こして爆発する最悪の大惨事を招いてしまったのです。このことから、東電福島第一原発事故は、地震や津波に起因する大規模災害のリスクマネジメントとダメージコントロールを検討する際に、第一に顧みるべき事例であると言えます。