Ⅱ. 원전에 관련된 리스크 평가의 허망 [고토 마사시(後藤政志)]

[anju]

Ⅱ. 원전에 관련된 리스크 평가의 허망

고토 마사시(後藤政志)

원자력 시민위원회 특별 보고서5 (2017년 발행)

"원전의 안전기준은 어떻게 있어야 하는가?" 제6장

6.1 안전을 추구할 권리

6.1.1 절대 안전 신화에서 제로 리스크 비판으로

원전의 안전성을 둘러싼 후쿠시마 제일 원전 사고 후 원전 추진론자로부터 원전에 절대적인 안전을 요구하는 의견을 말하는 사람들에 대해 '위험 제로 논자'라는 레텔을 놓고 '원전에 절대 안전을 요구하는 것은 비과학적이다'라는 논쟁이 많았다. 원래 원자력을 추진해 온 정부(특히 경산성)나 전력회사는 가시와자키 가리와 원전이 니가타현 주에츠오키 지진으로 설계상의 상정을 크게 웃도는 큰 흔들림으로 화재를 일으켰을 때도 일본의 원전은 지진에 강하고 절대 안전한 것처럼 강조하고 있었다. 후쿠시마원전 사고 이후, 과연 이러한 주장은 들리지 않게 되었지만, 날이 지나면서 "원전이 절대 안전하다고 말한 것은 잘못되었다. 그건 사과한다"고 한 다음, "그러나, 이 세상에서 절대 안전이라는 것은 없다.”, “예를 들어, 돌아오는 길에 교통사고로 죽을 수도 있기 때문에, 원전만이 특히 위험하다는 것은 잘못되어 있다”며 “제로 리스크론 비판”을 주장하고 있었다. 절대적으로 안전한 항공기나 자동차는 없다. 인간이 만든 것에 절대 안전한 것은 없다고 말하는 것은 당연한 말이다. 사람들은 이 사실을 전부 부정하지 않고 주의해서 사용하고 있다. 그러나 원전을 항공기나 자동차와 비교한다면 우리는 어떻게 생각할 수 있을까?

6.1.2 안전이란 무엇인가?

다양한 기준 등에서 안전의 정의가 있지만, 국제기본안전규격(ISO/IEC GUIDE 51:2014)에 의하면 안전이란 '허용 밖의 리스크가 없는 것'이라고 하고 있다. 그렇다면, 허용 밖의 것의 여부를 누가 결정하는가? 당연히 위험에 노출되는 가능성이 있는 각각의 인간이다. 원전이 안전한지 여부는 그 유용성과는 관계없이 우선 원전 자체가 안전한지 여부로 판단해야 한다. 원전과 같이 대규모 사고가 상정되는 기술의 안전에 관한 문제는, 안이하게 다른 이익이 있다고 해서 허용해서는 안 된다. 허용할 수 없는 위험을 다른 이익과 상쇄, 즉 절충한다는 것은 불가능하다. 에너지 선택이나 경제성 혹은 그 외의 사회적인 유용성 등은 안전성 문제와는 동일선상에서 생각할 수 없다.

6.1.3 제조의 기본 : 깨지기 어렵고 실수하기 어려운 설계

원전의 안전설계 목표는 '핵반응을 멈춘다', '원자로를 식힌다', '방사성 물질을 가둬 놓는다'는 것이지만, 어떠한 시스템도 기기의 고장이나 인위적 실수를 피할 수 없다. 그 때문에, 고장하기 어렵게, 또, 실수가 없도록 설계하려는 노력이 요구된다. 그러나, 안전장치의 기기 고장을 방지하기 어렵기 때문에 안전장치를 다중화함으로써 안전장치가 고장날 확률을 줄일 수 있다. 동시에, 어떤 원인으로 안전장치가 여러 대 동시에 망가지는 것을 방지하기 위해 구조의 다양화, 장소의 분리, 계통의 독립성을 확보한다. 인위적 실수를 방지하기 위해 잘못된 조작을 해도 그것을 받아들이지 않도록 하고, 실수를 해도 최대한의 시스템에 악영향을 미치지 않는 구조로 한다. 그러나 복잡한 시스템에서는 여전히 사고를 절대 방지하기가 어렵다. 왜냐하면 원전의 제어 대상인 핵연료는 매우 단시간에 연쇄반응이 진행되고, 하나 잘못하면 핵폭주에 이를 우려가 있기 때문이다. 다양한 조건 중에서도 핵반응이 진행되면 자동으로 반응을 억제하는 구조로 하는 것이 중요하다. 다만, 핵반응을 진행시키는 인자와 억제하는 인자는 다양하고, 각각의 인자가 복잡하게 관련되기 때문에, 그 제어에는 세심한 주의가 필요하다. 체르노빌 원전에서는 제어봉의 구조에 결함이 있었기 때문에 제어봉을 삽입해 가는 과정에서 핵반응을 촉진해 버리게 되었다고 한다. 또, 저출력으로 운전하고 있으면 불안정한 상태가 되어 폭주한다는 설계상의 위험도 있었다.

6.1.4 안전장치를 해제한 상태에서 일어나는 사고

BWR에서는 핵반응을 멈추기 위한 제어봉을 원자로 밑에서 넣고 있기 때문에 만일의 경우라도 제어봉이 탈락하는 일이 없어야 할 것이다. 그러나 일본에서는 1978년부터 2005년 사이에 정지 중에 20회의 제어봉 탈락이나 오삽입의 트러블(동시에 1개에서 34개)이 있어, 그 중 2회는 「임계」에 이르렀다. 게다가, 그 대부분은 2007년까지 공표조차 되지 않았다. 제어봉 탈락은 매우 위험하기 때문에, 통상은 제어봉을 회전시켜 걸려 있도록 하고, 밀어 올리는 힘이 없어져도 탈락하지 않도록 설계했다. 그러나 제어봉을 삽입 할 때 걸림 부분을 제거하는데 우연히 그 상태에서 기계의 고장이나 실수로 제어봉을 당기는 방향으로 힘이 걸리거나 자중을 지지하는 힘이 빠져버리거나 하면 제어봉은 탈락해 버린다. 즉, 어떠한 탈락방지장치도 장치를 움직이기 위해서는 탈락방지 장치를 떼어낼 수 없고, 그 순간에 잘못된 방향의 힘(기계적인지 인위적이든)이 가해지면 탈락해 버리는 일이 일어날 수 있다. 또한, 제어봉이 완전히 회전할 수 없고, 걸림 부분이 부분적으로 걸려 잠긴 상태로 되어 있는 경우에, 제어봉을 빼내는 힘이 걸리면, 불안정하게 걸려 있기 때문에, 제어봉이 조금 회전하여 잠금 기구가 빠져버릴 가능성도 있다.

6.1.5 확률적 안전에서 확정적 안전으로

일정 기간에 발생하는 고장 빈도를 '고장률'이라고 하며, 고장률이 작으면 신뢰성이 높다고 한다. 일반적으로 신뢰성이 높고 고장이 확률이 적은 장치는 안전하다고 생각되는 경향이 있다. 그러나, 그것은 반드시 옳지 않다. 고장에는 안전 측 고장과 위험 측 고장이 있다.

예를 들어, 자동차의 브레이크가 고장이 나서 제 역할을 못하게 되면, '위험 측 고장'으로 사고로 이어진다. 비록 그 장치가 고장율이 적은 신뢰성이 높은 것이라 할지라도, 스위치를 넣어 전류를 보내서 브레이크를 작동시키는 장치라면, 그 장치는 열화가 진행되어, 일정 확률로 고장이 날 것이다. 그 때에는 안전을 확보할 수 없다. 그림 25의 왼쪽 그림의 시스템에서는 버튼을 누르면 회로에 전류가 흐르고 코일의 전자석의 힘으로 브레이크가 걸리는 구조로 되어 있다. 고장이 없을 때는 괜찮으나, 구성하는 전기 회로의 부품 수가 늘어나면 고장 빈도가 커지고, 부품의 고장율에 따라 사고를 일으킬 가능성도 높아진다. 이것을 '확률적 안전'이라고 한다.

반대로, 그림 25의 오른쪽 그림의 시스템에서는 항상 코일에 전류를 보내서 전자석의 힘으로 들어 올려 브레이크가 벗어나도록 한다. 버튼을 누르면 전류가 끊기고 중추의 가중치로 브레이크가 걸리도록 설계한다. 부품 수가 증가함에 따라 고장율도 증가하는데, 부품의 고장이 발생기면 전류를 차단하게 되므로 자동적으로 브레이크가 걸리게 된다. 고장이 발생하면 멈추지만 그때마다 안전 장치로서 브레이크가 확실하게 효과가 있다. 이러한 설계를 '확정적 안전' 이라고 한다. 기계장치는 가능한 한 이러한 '확정적 안전' 상태를 만드는 것이 중요하다.

※코일의 감기 방향은 동일, 전원±은 반대, 화살표 상향

도25 「확률적 안전」과 「확정적 안전」 出典：　사토(佐藤2001）를 토대로 작성【각주207】

브레이크와 같은 안전장치는 에너지가 높은 상태 즉 전류가 흐르고 있는 상태에서 브레이크를 분리해 두고, 에너지 레벨이 낮은(전류가 흐르지 않는) 상태에서 브레이크가 효과가 있게 하면, 고장이나 인위적인 실수로 에너지 레벨이 떨어졌을 때에도 안전하게 멈추게 된다. 단, 여기서 말하는 '확정적 안전'의 예도, 어디까지나 설계 지침의 차이를 나타내는 것이 목적으로, 이 전기 회로상의 고장만을 대상으로 하고 있다. 예를 들어 브레이크 자체가 고장 나서 움직이지 않는 등 모든 고장에 대해 완벽하게 커버하는 것은 아니다. 그 의미에서 엄밀하게는 '절대 안전 구조'가 존재하는 것은 아니다. 그럼에도 불구하고 구조로서 '확정적 안전'과 '확률적 안전'의 차이는 결정적으로 중요하다. '확률적 안전'과 '확정적 안전'이라는 결정적으로 다른 설계 사상(지침)이 있음을 모르거나 무시하고 '세상에 절대 안전 등은 없다'고 주장하며 본래 해야 할 안전의 구축을 게을리해 온 것이 원전이다.

6.1.6 능동적 안전과 수동적 안전

전항의 확률적 안전/확정적 안전과 유사한 쌍의 개념으로는 '능동적 안전'(Active Sefety)과 '수동적 안전'(Passive Safety)이 있다. 종래의 원전 설계는 대부분이 동력에 의존하는 '능동적 안전'을 기본으로 하고 있어 그것이 외부 전원 손실 시에는 냉각이 곤란했다. 웨스팅 하우스의 AP1000이라는 노형과 아레바의 EPR이라는 차세대형 원자로는 동력에 의존하지 않는 수동적 안전계를 갖추고 있다.

EPR의 경우 가혹한 사고 대책으로는 노심 용융을 일으켰을 때 수증기 폭발을 회피하면서 용융 파편을 냉각하는 코어 캐처를 갖추고 있다. AP1000은 원자로 외측에 물을 담아서(IVR:in vessel re tention) 냉각하고, 원자로 압력 용기의 용융 관통(멜트스루)을 막는 설계로 되어 있으며, 냉각 계통도 동력에 의존하지 않고 격납 용기 상부의 탱크에서 물을 중력으로 떨어뜨려 냉각하는 안전 설계가 도입되고 있다. 이와 같이 수동 안전이란, 동력을 사용하지 않고 중력이나 압축 가스 등에 의해 필요한 상황이 되면 자동적으로 안전 장치가 작동하는 것을 말한다. 또한 AP1000, EPR 모두 항공기 낙하에 견딜 수 있도록 격납 용기를 이중화하는 등의 대책도 하고 있다. 둘 다 이것으로 모든 가혹한 사고 대책이 해결되었다고 볼 수는 없지만, 적어도 현재의 일본 국내의 원전보다 훨씬 안전성을 중시한 것임에 틀림없다[1].

이러한 신규 플랜의 국제적인 안전 설계는 후쿠시마 원전사고 이전부터 시도되어 온 것으로 일본과는 대조적이다. 일본에 있어서의 신규제기준 대책은, "할 수 있는 것만 한다", "대책이 어려운 문제는, 발생 확률이 작으므로 무시한다", "작은 사고에 대한 대책은 하지만, 가혹사고에 대한 대책은, 기본적으로 인해 전술에 의지한다"고 한다. 이러한 자세로 사고를 수렴할 수 있는지 여부는 매우 의심스럽다. 일본의 원전도 사고가 발생했을 때에는 일정 시간 아무것도 하지 않아도 플랜의 상태가 악화되지 않는 구조로 해야 한다. 신규제기준만으로는 후쿠시마 원전사고와 같은 사고진전을 막을 수 없다.

아베 총리대신을 비롯한 일본 정부 관계자가 반복적으로 강조하는 '세계 최고 수준'이란 무엇을 가리키고 있는 것일까?

6.2 원전 사고의 위험과 확률론적 위험 평가 방법

6.2.1 원전 사고의 위험이란?

다른 사고를 비교할 때 어떤 정량화가 필요하지만 그 정량화 지표는 위험이라는 개념으로 표현된다. 사고의 위험은 [피해의 크기]와 [발생 빈도]에 따라 다르며, 일반적으로 [피해의 크기] × [발생 빈도]로 표현되는 경우가 많다.

그러면, [피해의 크기]는 어떻게 정량화 할 수 있는가? 사상자 수 또는 대피자 수? 피난하고 싶어도 할 수 없었던 사람의 수는? 토지의 오염 정도는? 지하수 오염은 어떻게 정량화 할 수 있는가? 경제적 손실은 얼마인가? 이러한 요소를 고려하면, 원래 [피해의 크기] 자체가 모호하다.

한편, [발생빈도]는 노심용융이나 방사성물질의 대량방출에 대해, 1년간 1기의 원자로를 운전했을 때에 발생하는 빈도로서 나타낸다. 구체적으로는, 10-1/ 炉年(=10로년에 한번)이라든지 10-4/로년(=1만로년에 한번)으로 나타낼 수 있다. 그러나 지진, 쓰나미, 화산 분화 등의 자연 현상에 대해 [발생 빈도]를 예측하기에는 많은 불확실성이 있다.

지진으로 말하면, 그 메카니즘과 지구 표면의 지각의 이동량 등의 관측 데이터로부터 [발생 빈도]를 추정하지만, 원래 영향을 주는 인자가 지각의 이동량만은 아니다. 지각의 이동에 의한 변형이 일정한 값에 도달하면, 지각(암반)의 파괴 현상으로 지진이 일어나지만, 파괴면의 방향이나 넓이는 일의적으로 정해지는 것이 아니고, 그 변형치 자체가 상당 변동의 큰 것이다. 따라서, 이러한 물리적 메커니즘에 의한 추측뿐만 아니라, 과거의 지진의 데이터에 기초하여 [발생 빈도]를 통계적으로 추정하는 것이 중요하다.

그럼에도 불구하고, 발생 빈도가 적은 지진의 데이터로부터 추측하는 경우에는, 추측하려고 하는 기간보다 한 자리 수 이상 장기간에 걸친 데이터가 필요하다. 1만년에 1회라고 하는 빈도의 지진을 데이터로 검증하기 위해서는, 10만년 혹은 100만년에 걸치는 데이터가 필요하지만, 지진 관측이 시작되고 나서 수백 년 밖에 지나고 있지 않기 때문에, 그러한 장기간에 걸치는 데이터가 있을 리가 없다. 따라서 과거의 한정된 지진동의 기록과 지반의 움직임이나 과거의 지진의 기록으로 간주되는 활단층이나 지반의 특성 등을 조사하여 추측할 수밖에 없다.

실제로, 1995년의 효고현 남부 지진(한신·아와지 대지진) 이래, 2004년의 니가타현 주에츠 지진, 2007년 니가타현 주에츠오키 지진 등의 큰 지진이 계속되었고, 2011년 3월의 도호쿠 지방 태평양완 지진이라고 하는 일본 관측 사상 최대의 지진. 그리고 2016년 4월 구마모토 지진에서는 최대 진도 7을 기록하는 지진이 두 번이나 반복되었다. 구마모토 지진에서는, 구마모토시에서 아소산을 거쳐 오이타현까지의 광범위한 진원의 여진이 빈발해, 과거에 없었던 장기간에 걸쳐 큰 진동이 반복되고, 또한 진원이 얕은 경우도 있어, 막대한 피해가 발생했다. 이와 같이 과거에 경험하지 못한 지진이 일어나고 있다는 것을 보더라도, 쓰나미를 포함해 자연 현상이 가지는 불확정성은 피할 수 없다.

또한 그 발생 빈도를 정확한 숫자로 논의하려고 하는 것에도 무리가 있다. 지진학자도 각 전력회사가 결정하는 기준지진동을 초과할 가능성 즉 초과확률(원자력학회 2007년)이

년 당 10-4에서 10-5/년, 장소에 따라서는 10-5에서 10-6/년으로 되어 있으며, 1만년에서 10만년, 장소에 따라 100만년에 한 번의 매우 드문 현상으로 여겨졌지만, 실제로는 지난 10년간에 4회라는 기준지진동을 넘고 있는 것은 생각하기 어렵다.

라고 하며,

재검토 후의 기준지진동도, 실제의 초과 확률은 기껏해야 1000년부터 100년에 한 번 정도밖에 없는 것이 아닌가?

라고 우려하고 있다. 또한 원전사고는 지진이나 쓰나미 등의 자연현상 발생을 계기로 기기나 배관의 손상이나 기능상실이 일어나 사고로 진전해 나갈 가능성을 고려하여야 한다. 원전사고의 위험은 방사성 물질의 확산에 의한 사고의 [피해의 크기]와 그 [발생 빈도] 모두에서 매우 큰 불확실성을 갖는 것이다.

6.2.2 확률론적 위험 평가(PRA) 방법

전항은 지진이나 쓰나미에 의한 자연 현상을 기인하는 사고이지만, 그 밖에도 항공기 낙하나 인위적인 공격 등 외부로부터의 영향으로 원전 사고에 이를 가능성이 있다. 또 원전 사고는 기기나 배관의 손상이나 제어계의 트러블 등 내부 사건이 계기가 되어 일어나기도 한다. 내부 사건에 의해 일어난 트러블이 사람의 실수(휴먼 팩터라고 한다)나 사태의 진전에 의해 차례차례로 일어나는 다양한 기능부전이 겹쳐, 이윽고 노심 용융 등의 가혹한 사고(중대 사고라고 부르고 있다)에 이르는 경우도 있다.

원전 사고에 있어서는, 기인 여하에 관계없이, 대규모 플랜트 시스템으로서, 제어봉에 의한 핵반응 정지의 실패나, 건물·배관이나 격납 용기 및 기기의 파손으로부터, 긴급 노심 냉각 계통의 기능상실이 발생하면 노심용융으로 진행되어 곧 격납 용기 파손 혹은 격납 용기 벤트라는 격납 용기 기능 상실로 진전해 나갈 것이다. 사고방지의 성패는 그것을 어디에서 저지할 수 있는지에 달려 있다. 이러한 사고의 진전은 장치 자체가 복잡하고, 동시에 사고의 진전 경로도 무수히 많을 것이며 인위에 의한 개재도 있기 때문에 불확실도가 매우 크다.

따라서 사고 진전을 최대한 객관적으로 평가할 목적으로 확률론적 리스크 평가(PRA: Probabilistic Risk Assessment)라는 수법이 이용되고 있다. 노심 용융까지의 평가를 「레벨 1 PRA」라고 하며, 직접적으로는 노심 손상 빈도(Core Damage Frequency, CDF)를 구하게 된다. 그 전의 격납 용기 기능 상실에 수반하는 방사성 물질의 방출까지의 평가를 「레벨 2 PRA」라고 하며, 현재는 「레벨 1.5 PRA」로서 격납 용기 기능 상실 빈도(Containment Failure Frequency, CFF)가 요구되고 있다. 이에 부지 외부로의 방사성 물질의 방출에 의한 방사선 피폭이나 오염 확산까지의 평가를 「레벨 3 PRA」라고 정의하고 있다.

후쿠시마 원전 사고 이전에는 자연 현상인 지진 PRA는 수법의 연구는 계속되고 있었지만 확립되어 있지 않았다. 후쿠시마 원전 사고 이후, 원자력 학회를 중심으로 '지진 PRA'와 '쓰나미 PRA'로 해석 방법이 정비되어 사용되기 시작했다. 또, 「플랜트 정지 시 PRA」도 정비되어 현재는 출력 운전 시, 정지 시, 지진, 쓰나미의 레벨 1PRA가 일단 완성되고 있다. 실제 운용되고 있는 것은 「레벨 1 PRA」로부터 「레벨 1.5 PRA」까지로, 그 이후의 평가는 현재 실시되고 있지 않다.

6.2.3 이벤트 트리 분석 (ETA) 및 오류 트리 분석 (FTA)

PRA 평가 기법의 핵심은 이벤트 트리 분석 (Event Tree Analysis, ETA) 및 오류 트리 분석 (Fault Tree Analysis, FTA)이다. 이들은 복잡한 현상을 논리적으로 전개하고 발생 빈도를 정량화하는 방법으로 고안되었다. 이러한 방법을 간결하게 이벤트 트리(ET) 및 폴트 트리(AT)라고도 하며, 도 26에 나타낸 바와 같이 조합하여 사용하는 경우가 많다.

ET(A)에서는, 기인 사건의 발생 빈도 FI를 구해 두고, 사건의 진전을 각 단계의 성공과 실패로 나눈다. 예를 들어 원자로 정지에 실패한 경우에는 FI에 별도로 구하고 있는 원자로 정지의 실패확률 PA를 곱하여 IA(노심손상)의 발생빈도를 구한다. 원자로

정지에 성공했을 때에는 원자로냉각(직접적으로는 ECCS의 작동)의 성공·실패에 비해 FI에 원자로냉각의 실패확률 PB를 곱하여 IB(노심손상)의 발생빈도를 구한다. 마찬가지로 원자로 냉각 후 장기간에 걸친 붕괴열 제거 성공·실패의 확률로부터 각 노심 손상 빈도를 구한다. 모든 사고 시퀀스에 성공하면 "안전 정지"가 실현된다. 이와 같이, 시간축을 따라 각 이벤트(원자로 정지나 원자로 냉각 등)의 성공·실패로 전개하고, 거기에 후술하는 FT(A)에서 구한 실패의 확률을 넣고, 모든 노심 손상에 대한 사고 시퀀스의 경로의 확률을 적산함으로써 전노심 손상 발생 빈도 CDF를 구할 수 있다.

---

[1] 210 이전 『원전 제로 사회에의 길』(2014) 4-7 「신규제 기준은 「세계 최고 수준」에는 멀다」 pp.160-164 참조.

그림26 이벤트 트리(ET) 및 폴트 트리(FT)       작성 : 고토 마사시(後藤政志)

한편 FT(A)는 톱 현상(톱 이벤트)에 예를 들어 원자로 정지 실패를 두고 논리적으로 원자로 정지에 실패할 가능성이 있는 '제어봉 삽입 실패'와 '붕산수 주입 실패'를 가정한다. 둘 다 실패한 경우에 원자로 정지 실패에 이르므로, 여기서'는 AND 게이트'로 나타낸다. 다음에 '제어봉 삽입 실패'가 발생하는 요인으로서 '제어봉 구동 기구 고장'과 「구동압無」를 추출하고, 둘 중에 어느 하나가 발생하면 '제어봉 삽입 실패'에 이르게 하여 'OR 게이트'로 나타낸다. 마찬가지로 '제어봉 구동 기구 고장'을 전개하고, 'A 밸브 개방 조작 실패'와 'A 배관 누설'을 'OR 게이트'로 연결한다. 이와 같이, 차례차례로 실패의 요인을 전개하고, 마지막으로 맨 아래의 기기의 고장률과 조작의 실패 확률을 입력해, 톱 현상인 '원자로 정지 실패'의 확률 PA를 구한다. 이 톱 현상의 실패 확률을 이벤트 트리 (ET)의 입력한다.

즉, 시간 축에 따른 성공 혹은 실패 연쇄의 ET(A)를 전개하고, 성공 혹은 실패 분기에 있어서의 실패를 톱 현상으로 추출한다. 실패 원인을 논리적으로 추출하는 FT(A)를 이용하여 분기의 실패 확률을 구하고, ET(A)에 대입하는 것으로, 사고 시퀀스마다의 노심 손상 빈도를 구해, 모든 사고 시퀀스로부터, 이론상, 모든 노심 손상 사고 발생 빈도(CDF)를 구할 수 있다

6.2.4 PRA의 역사

미국에서는 1946년에 원자력위원회 AEC(Atomic Energy Commission)가 설치되어 경수로의 개발과 안전성 연구 후 1973년에 WASH-1250이라는 보고서가 PRA의 촉진을 위해 발표되었다. 이 단계에서 이미 다중 방호·심층 방호에 의한 안전 설계 사상과 설계 기준 사고 평가나 ALARA(as low as reasonably achievable: 합리적으로 달성 가능한 범위에서 낮게 한다) 개념에 의한 방사선 피폭을 50μSv/노년으로 제한할 것, 또한 편익과 리스크에 관한 기본적인 방침과 사고 발생 확률이 논의되어 왔다.                              (μSv ; 마이크로시버트)

1975년에 라스무센 보고(WASH-1400)에서 확률론적 리스크 평가 PRA가 공표되어 사고 발생 확률이나 방사능의 방출량과 화학 형태 및 공중의 방사선에 의한 신체 영향 등을 나타냈다. 그 후 1978년에 NRC 내에서 구성된 루이스 위원회는 라스무센 보고의 기본적인 평가 수법은 인정하면서 리스크의 정량적 절대치는 불확실성이 많고 신뢰할 수 없다고 했다. 다만, 상대적 평가에 의미가 있다고 했다.

그리고 1979년 3월에 쓰리마일 섬 원전 사고(TMI 사고)가 발생한다. TMI 사고에서는, 가압기 탈출 안전 밸브가 열린 상태에서 고장 나서 소구경 배관 상당의 소규모의 LOCA가 일어났지만, 대규모의 LOCA보다 일어나기 쉬운 것이 라스무센 보고로 지적되고 있었다. TMI 사고 이후에 중대 사고에 관한 연구가 활발해졌다. 1986년에는 구 소련 우크라이나에서 체르노빌 원전 사고가 발생하여 유럽이 광역에 걸쳐 오염되었다. 1990년 12월 미국에서 'NUREG-1150 최종 보고서'가 간행되었다. 이 보고서에서는 미국 내 로형이 다른 5기의 원전[1]에 대해 확률론적 리스크 평가(PRA)를 적용하고 있다.

표8 확률론적 위험 평가의 역사

-------------------------------------------------------------------------------------

1973년 WASH-1250 미국 AEC PRA 촉진

1975년 WASH-1400 「라스무센 보고」

1978년 루이스 위원회가 WASH-1400을 재평가

1979년 미국 쓰리마일 섬 원전 사고

1986년 구 소련 체르노빌 원전 사고

1987년 NUREG-1150 드래프트 보고 대표적 5 플랜트를 평가

1990년 NUREG-1150 최종 보고

--------------------------------------------------------------------------------------

일본에서는 확률론적 리스크 평가를 나름대로 진행해 왔지만, 플랜트명을 정해서 제대로 공표하지 않았다. 신규제기준에 의한 재가동을 둘러싼 적합성 심사에 있어서 PRA를 일부 실시하기 시작하고 있지만, 외부 사건의 평가 방법, 공통 요인 고장, 인위적 실수의 취급, 외부로부터의 공격, 시스템 상호간의 독립성, 적용할 고장률 데이터, 결과의 상한 하한의 평가 방법과 타당성 등에 의해 결과에 큰 편차가 발생하기 때문이다. 결국 PRA는 그 절대치를 평가하기에는 너무 불확정성이 크므로 “평가 결과는 개별 플랜트에 의존하고 있다”, “노심 손상 확률 혹은 리스크 평가의 정량적인 결과는 유사한 설비를 갖고 설계·건설자가 동일하더라도 다른 플랜트에는 적용할 수 없는 경우도 있다”고 지적되었다.

6.2.5 일본의 안전 목표

일본에서는 전력회사와 메이커 및 원자력 연구개발기구 등의 연구기관이 중심이 되어 대표적인 플랜트의 레벨 1PRA가 검토되었다. 한편, 규제의 입장으로서 원자력안전위원회는 1987년 공통문제간담회에서 검토를 실시하여 1990년 중대한 노심손상빈도 CDF가 10-5/노년 이하로 평가했다.

CDF가 미국보다 작은 결과가 된 것은 일본에서는 외부 전원과 비상용 디젤 발전기의 신뢰성이 높은 것이 요인이었다. 또한 레벨 2PRA에서는 10-6/로년 이하가 되었다. 그러나 이들은 내부 사건을 중심으로 한 것으로, 외부 사건은 제외되었다. 원자력안전위원회는 2001년에 안전목표 전문부회를 설치하여 안전목표 검토를 비롯해 2003년 중간 취합을 실시했다. 그래서 사업자가 달성해야 할 안전 목표안을 아래와 같이 나타냈다.

・정성적 목표는 공중의 일상생활에 따른 건강 리스크를 유의하게 증가시키지 않는 수준으로 억제할 것

・정량적 목표는 원자로시설의 사고에 기인하는 피폭에 의한 시설 주변의 공중개인의 급성사망 리스크가 10-6/로년 정도를 넘지 않도록 억제할 것, 또한 사고에 기인하는 방사선피폭으로 암에 걸리는 상황이 시설로부터 일정 범위의 개인평균사망 리스크가 10-6/로년 정도를 넘지 않도록 억제할 것

그리고 내부 사건과 외부 사건의 안전 목표에 대한 적합성 판단의 기준을 원자력 시설의 성능 목표로 하였다. 그 지표로서 ①노심손상, ②격납용기 기능 상실, ③조기 격납용기 기능상실, ④대규모 방출 등이 있지만, 시설을 대표하여 정량화할 수 있는 ①과 ②만을 성능 목표로 했다. 구체적으로는 지표Ⅰ로서 ①노심손상빈도 CDF가 10-4/로년 정도, 지표Ⅱ로서 ②격납용기 기능상실빈도CFF가 10-5/로년 정도로 하였다. 또한 고려해야 할 사항으로서 복수 입지의 영향, 지진 등 자연 현상에 따른 불확실 정도의 고려와 외부 사건의 PRA 기술의 향상이 있다.

여기서 큰 문제는 ③조기 격납용기 기능 상실과 ④대규모 방출을 제외하고 있다는 것이다. 그 배경에는 두 경우의 발생 빈도가 적다는 평가가 있는 것처럼 보이지만, 조기 격납용기 기능 상실이라는 것은 고압으로 원자로가 파괴하는 격납용기 직접 가열이나 수소 폭발, 수증기 폭발 외에 수증기나 비응축 가스에 의한 격납용기 과압 파손 이외의 격납용기 파괴 모드를 의미하며 에너지의 큰 폭발적 현상이 많다. 또한 방사성 물질의 대규모 방출은 격납 용기 필터 벤트의 고장이나 격납 용기의 격리 밸브가 열린 채로 고장나는 격납 용기 바이패스 혹은 격납 용기 조기 파손에 수반되는 경우도 생각할 수 있다. 어쨌든, CDF나 CFF를 계산하고 있으나, 발생 확률이 작은 현상을 무시하는 것으로 격납 용기의 건전성을 담보한 것은 무리한 논리 전개에 불과하다. 후쿠시마 원전 사고의 경우, 예를 들어 BWR형 격납용기 내에서 계속적인 수소 폭발이 발생하는 것을 예견할 수 없었던 것을 어떻게 생각할 것인가? 건물 내 수소 폭발의 발생 확률이 작다고 무시해 왔던 것을 재확인해 보면 확률이 작은 부분을 무시해 온 문제가 명확해 질 것이다.

게다가 노심손상 확률을 안전목표로 할 때 “일본에서는 지진·쓰나미가 많지만 내부 사건으로 인한 노심손상 확률이 미국보다 작고 일본과 미국의 노심손상 확률을 비교했을 때 미국에 비해 상당히 낮다”고 논의되고 있다. 그러나 사고 피해의 영향을 비교하기 위해서는 일본과 미국 국토의 차이나 인구밀도를 고려할 필요가 있는데도 일본과 미국에서 같은 규모의 사고가 일어났을 때 집단 피폭량이나 오염 범위, 경제적 손실 등의 영향 정도는 압도적으로 일본이 엄격하다. 어쩌면 일본은 스스로로 생각하지 않고, 미국의 안전 목표의 형편이 좋은 부분만을 그대로 가지고 오는 경향이 있다.

6.3 원전의 안전성이 담보되어 있지 않은 이유

6.3.1 노심 용융에 따라 파손되는 격납 용기에 의미가 있는가

체르노빌 원전사고 시에 체르노빌 원전과 같은 RBMK형 원자로(흑연 감속 비등 경수 압력관형 원자로, 이른바 채널로)에는 격납용기가 설치되어 있지 않다(즉, 격납용기를 갖는 일본의 원전에서는 체르노빌과 같은 사고는 일어나지 않는다)라고 일본의 원자력공학자들은 주장했지만, 일본의 원전 격납용기는, 후쿠시마 원전사고에서 밝혀진 것처럼, 최종적으로는 격납용기 벤트를 강요 받아, 상황에 따라서는 대규모로 파괴될 가능성이 있었다. 후쿠시마 제1원전 2호기의 격납용기는 누가 봐도 파손되었으나, 원인을 알 수 없었다. 격납용기가 있기 때문에 괜찮다고 말하는 것은 환상일 뿐이다.

---

[1] 214 샐리 원전(PWR, 3 루프, 저압 격납 용기), 자이온 원전(PWR, 4 루프, 대형 드라이 격납 용기), 세쿼이아 원전(PWR, 아이스 콘덴서형 격납 용기), 복숭아 하단 원전(BWR, MARK-Ⅰ 격납 용기), 그랜드 걸프 원전(BWR, MARK-Ⅲ 격납용기)

도27 노심손상 후의 마크Ⅱ형 격납용기 내의 용융데브리 이동 경로 출전：도카이 제2원전심사자료(2014년 9월)에 가필, 작성【각주217】

(일본;번역자 가필)국내 원전에 대해서, 각 전력회사가 행한 PRA의 결과를 보면, 예를 들어 BWR 마크Ⅱ형의 도카이 제2에서는, 노심 손상 빈도 CFD가 3.6×10-5/로년에 대해, 격납용기 파손 빈도 CFF는 완전히 같은 3.6×10-5/로년이며, 이것은 붕괴 열 제거 실패(TW, TBW)에 의한 격납용기 선행 파손(노심 용융 전에 격납 용기 파손)이 사고 시퀀스의 대부분을 차지하기 때문이다. 또한, BWR 마크Ⅰ개량형의 오나가와 2호에서도, CDF와 CFF는 같은 5.5×10-5/로년으로, 여기서도 격납용기는 가혹한 사고에 대해서 전혀 도움이 되지 않았다. 한편 PWR을 보면 이카카 3호, 겐카이 3·4호, 도마리무라 3호 모두 CDF가 2.2~2.3×10-4/로년에 대해 CFF는 2.1×10-4/로년과 노심 손상된 경우에는 약 95%의 비율로 격납용기 파손에 이른다. 즉, BWR도 PWR도 과거의 사고를 생각하면, 격납용기는 거의 존재 가치가 없게 된다.

도28 일본과 미국의 개별 브랜드 평가（노심파손 빈도）비교 출전：시마다(嶋田, 2002）【각주223】

덧붙여 PRA의 절대치를 상세하게 논의해도 소용 없겠지만, 그 경향을 보면 PWR은 후쿠시마 원전 사고를 일으킨 BWR에 비해 1자리수 가까이 노심 손상 빈도가 큰 것을 주시해 둘 필요가 있다(그림 28). 왜냐하면, PWR을 채용하고 있는 전력 사업자 중에는, 후쿠시마 원전 사고에 대해, "PWR은 후쿠시마와 같은 사고를 일으킬 가능성은 작다"라고 하는 견해도 가끔 들리는데, 원래 최초로 노심 손상 사고를 일으킨 것은 미국 쓰리마일 원전이며, PWR이 아니었는가? 그림 28의 일본 및 미국의 전체 개별 플랜트 평가의 PRA 결과만 보더라도 오히려 PWR이 노심 용융을 일으키기 쉽다고 볼 수 있다. 또, 이 해석 결과의 경향은 미국 NRC가 1975년에 대표적인 5플랜트의 확률론적 리스크 평가로서 실시한 NUREG-1150에서도 마찬가지이다.

6.3.2 필터 벤트가 유효한가?

격납용기는 방사성 물질의 확산을 막는 마지막 요새로 여겨지고 있지만, BWR형의 경우는 사고시에 압력 억제용 저장수가 기능하지 않는 사태가 되거나, 장기적으로는 해수 냉각계 즉 원자로의 열을 격납용기를 거쳐 바다에 버리는 최종 히트 싱크라고 불리는 기능이 없어지면, 격납용기의 압력, 온도가 상승해, PWR형에서는 압력 억제용 저장수가 없기 때문에 격납용기의 체적이 BWR의 5배에서 10배 가까이 커지는데, 최종 히트 싱크가 없으면 시간 문제로 곧 격납용기 과압 파손 또는 과온 파손에 이르게 된다.

이러한 격납용기의 과압 과온 파손은 격납용기의 가장 대표적인 파괴모드(파괴방법)이며, 후쿠시마 원전사고에서도 격납용기의 과압이 진행되어 격납용기에서 방사성 물질과 함께 수증기나 가스를 방출하는 격납용기 벤트를 실시할 수밖에 없었다. BWR은 격납용기 벤트에 있어서 압력 억제용 저장수를 통해 방출(이것을 웨트 웰 벤트라고 한다)하면 일정 정도 방사성 물질을 제거할 수 있지만, 압력 억제용 저장수의 수온이 높아지거나, 밸브 조작을 할 수 없거나, 혹은 고장이 나면, 압력 억제용 저장수를 통하지 않고 격납용기 벤트(이것을 드라이 웰 벤트라고 한다)를 할 수밖에 없다. 후쿠시마에서도 드라이 웰 벤트가 행해졌다.

이러한 사태에 대비해 신규제기준에서는 격납용기 벤트라인에 필터를 붙여 방사성물질의 제거할 것과 억제할 것을 의무화했다. 필터 벤트는, 유럽에서는 1990년대부터 늦게 나마 도입되어 설치하도록 되어 있다. 필터 벤트를 붙이면 벤트에 있어서 방사성 물질 방출이 억제되어 피난하지 않아도 되는 것인가?

그림29는 도카이 제2원전의 필터 벤트 장치의 개념도를 나타낸다. 필터는 물 탱크에 의한 것과 금속 필터 두 종류를 절충하고 있으나, 전자는 수위와 수온을 제어해 이 계통에 필연적으로 흘러 들어오는 대량의 수소의 처리 장치도 필요한 매우 복잡한 시스템이다. 금속 필터도 장시간 사용하기 위해서는 교체가 필요할 것이다. 벤트 라인도 필터벤트계와 종래의 내압벤트계로 나뉘어, 많은 밸브를 복잡한 순서로 타이밍 좋게 조작할 필요가 있다. 후쿠시마 원전사고 시 단 두 개의 벤트용 밸브를 8시간에 걸쳐 겨우 열었던 것을 생각해도 이런 복잡한 장치가 가혹한 사고라는 긴급 사태에 잘 대응하여 기능할 수 있을지는 매우 의심스럽다.

도29 필터 벤트 시스템 개요 출전： 도카이 제2원전심사 자료(2017년 6月)【각주224】

필터 벤트 시스템은 원래의 격납용기의 압력 억제용 저장수와 기본 원리는 같고, 신뢰성이 의심되는 시스템을 가혹한 사고용으로 다중화한 것으로 간주된다. 게다가 문제는 가혹한 사고 시에 격납용기로부터 나온 필터 벤트계는 본래 모든 배관·밸브가 격납 용기 바운더리와 동등한 기능·신뢰성이 요구된다. 필터 벤트 시스템의 일부에서 누출되면 필터가 작동하지 않고 필터 벤트 시스템이 격납용기에서 격리되어 필터가 없는 벤트로 이동힌다. 격납용기 바운더리는 단순한 용기와 격리 밸브로 구성된 준 패시브 세이프티 장치이지만, 거기에 신뢰성이 낮은 복잡한 필터 벤트 장치를 추가하여 설계한다는 생각은 설계 공학 및 안전 설계의 관점에서 의문이다.

이러한 상황의 변화(방사물질을 가두는 격납용기로부터 벤트하지 않을 수 없게 됨)에 대해 임시방편으로 개량하는 것을 설계 공학 분야에서는 '부가적 설계'라고 경고하고 있다. 처음 설계시의 조건에서 크게 바뀐 단계에서, 처음부터 전체 설계를 재검토하는 '토탈 설계'의 시점이 중요하다. 기본적인 설계 관점에서 다시 돌이켜 보면 원래 격납용기 자체의 크기가 부족하다는 사실을 인식하게 된다. 안전 설계의 근간은 고장이 있어도 안전이 보장되는 설계로 해야 하는 것이다.

6.3.3 PRA의 기본적인 문제점

WASH-1400 이후 확률론적 위험 평가 (PRA)는 다음과 같은 문제점이 있음이 지적되었다. 사토 가즈오는 아래 ①에서 ⑨을 지적하고 있다.

① 어떤 사고 시퀀스가 일어날 확률에는 불확정성이 있다.
② 어떤 사고 시퀀스 중 어떠한 현상이 일어나고 있는지 불명확 경우가 있다.
③ 기기의 고장률 데이터에 불확정성(국내 데이터가 없고 해외의 고장률 데이터를 사용하는 경우도 있다)가 있다.
④ PRA의 결과에 유의하게 기여하는 사고 시퀀스를 망라할 수 있는지 반드시 명확하지 않다.
⑤ PRA는 '대표 플랜트'가 아니라 각 플랜트의 특징을 세밀하게 고려해야 한다고 되어 있지만, 고장률 데이터는 다수의 동종 기종의 평균으로서 요구되는 경우가 많다. 그렇다면 플랜트의 독자적인 설계를 고려해도 플랜트의 PRA가 완전히 플랜트의 독자적인 것이 되는 것은 아니다.
⑥ ET(Event Tree)에 있어서는 그 분기에 있어서, 성공인지 실패인지의 양자 택일이 되며, 그 외의 중간적인 상태는 상정할 수 없다.
⑦ ET는 기본적으로 정적이며, 시간에 따라 변동하는 동적 상태를 완전히 기술하기에는 한계가 있다. (동적 ET의 개발도 진행되고 있다.)
⑧ ET 및 FT(Fault Tree)의 분기는 각각 독립(상호 인과관계가 없는)적일 필요가 있으나 공통요인으로 고장 등이 생기면 그대로 적용되지는 않는다. 공통 요인으로 인한 고장은 설계 단계에서 충분히 조사하여 제거할 필요가 있지만, 설계상의 간과가 우려되는 동시에 건설, 보수 공사의 단계에서도 그 잠재적인 요인이 의도하지 않고 포함될 수 있는 문제이기도 하며, PRA의 실시상 원리적으로 어려운 문제이다.
⑨ PRA 적용상의 최대의 문제로 여겨지는 불확정성의 요인 중 하나가 인적 인자이다. 그 중 맨 머신 시스템에서 사람과 기계의 역할 분담 최적화 문제가 관련된다. 덧붙여 그러한 상황에 있어서의 인간의 능력, 환경에 좌우되기 쉬운 인간의 신뢰성의 유지, 평가를 위해서 '세이프티 컬쳐'가 중시되고 있다

PRA에서 조심해야 할 중요한 문제는 위험 체크 작업에서 해결할 수 있는 위험만 추출하고 해결하기 어려운 위험을 무시하는 경향이 있다는 것입니다.

후쿠시마 원전 사고에 대해 두 사람의 철도 기술자가 “원자로는 PSA(확률론적 안전 평가, PRA와 동의)의 입장을 중시해 설계되어 온 것이지만, 본래 안전 입장을 끝까지 추구하는 일 없이 PSA에서 승인해 주었던 점에 이번 근본적인 문제가 있다”. 또 예비전원이 불충분했다는 상황에 대해 “본질안전론의 입장에서 보았을 때, 원래 전기에너지를 계속 공급하지 않으면 안전이 확보되지 않는다는 구조 그 자체가 중대한 오류라는 것이 된다”. "PSA를 절대시하면 본질안전에 의한 '마지막 수단'에 대한 사고가 미치지 않고 수치만 보고 문제가 없다고 무시하는 경우가 있다"고 엄격히 지적하고 있다. 본질안전이나 확정적 안전, 혹은 수동적 안전 등의 기본적인 안전 설계 인식을 명확히 하지 않고 PRA(혹은 PSA)에 의지해 버리는 것의 한계를 잘 나타내고 있으며, 특히 원자력 관계자가 경청해야 할 가치 있는 내용이다.

6.3.4 안전 문화라는 환상

후쿠시마 원전 사고 상황을 보면 아무리 '세이프티 문화'를 기반으로 인적·조직적인 활성화를 목표로 해도 인간이 가지는 지속력 유지에는 한계가 있다. 시간이 지남에 따라 문화 자체가 변질한다는 것을 인지해야만 할 것이다. '세이프티 컬처'의 중요성을 부정하는 것은 아니지만, 이상적인 인적 요인, 조직적 요인을 목표로 하는 원자력 안전의 기반은 항상 그 약점에 노출되기 쉽고, 또 한 세대를 거치기도 전에 풍화될 것이 자명하다.

TMI 사고로부터 7년 후에 체르노빌 사고가 일어나고, 그 후 25년 후에는 후쿠시마 원전사고가 일어났다. 각각 설계도 다르고 국가나 운전원도 다르지만 사고의 교훈을 얻었다. 그러나 오랜 세월에 걸쳐 사고의 교훈을 풍화시키지 않고 안전 문화를 유지할 수 있다고 생각하는 것 자체가 환상일 것이다. 안전성의 근간은 원전의 설계 사상(방침) 그 자체와 구조 및 운용 방법이며, 후쿠시마 원전사고의 철저한 통찰과 반성 없이 '세이프티 컬쳐'에 기댈 수 없다. '세이프티 컬쳐'에 의존하여 원전의 안전성을 확보하려고 하는 것은 안전신화 그 자체이다.

이카타원전 재가동 시, 규제위는 "안전목표의 지속적인 검토를 포함해 안전문화 양성을 비롯한 안전성 향상에 기여하는 대처의 촉진을 도모하는 것이 필요하다고 생각한다" 등과 필요성을 말할 뿐이고 검증하지 않았다. 이런 속담의 말투로 끝나고 있는 것이 현재의 상황이다.

6.3.5 사고에 이를 가능성을 부정할 수 없는 잠재적인 설계 실수

원자력 플랜트의 설계, 제작, 설치, 운전, 보수의 전체 과정을 통해 에러나 고장 등이 있을 수 있으나 특히 중요한 것은 표출하기 어려운 기본적인 설계 실수이다. 후쿠시마 원전사고라고 하면, 가혹 사고시의 격납용기의 내성 평가(설계 기준을 넘어 어디까지 압력·온도에 견딜 수 있을까)를 실시했으나, 격납용기의 플랜지나 전기 페네트레이션 등의 유기 시일재로부터의 수소 누설은 고려하지 않았다.

그 때문에, 격납용기로부터 누설된 수소가 원자로 건물 상부에 쌓여, 1호기, 3호기, 및 4호기(3호기의 배기 계통으로부터의 역류 됨)에서 수소 폭발을 일으켜 사고 처리가 매우 어려웠다. BWR은 격납용기 내에 질소를 봉입하고 수소 폭발에 대한 최대급의 대책을 실시해 왔는데 수소 폭발을 막지 못한 것은 매우 중요한 문제이다.

또 하나는 격납용기 내의 온도·압력이 설계기준을 넘었기 때문에 노심용융 후의 원자로의 수위계가 오작동하거나 격납용기 내의 압력상승에 의해 원자로를 감압하는 SR밸브가 배압에서 작동하지 않았을 가능성이 있다는 것이다. 이들은 설계 기준은 그대로 두고 가혹한 사고시의 조건으로 격납 용기 본체는 불충분하면서도 내성 평가를 했지만, 그 외의 계기나 기기류의 기능 확인은 되어 있지 않았기 때문이다.

이것은 가혹한 사고 대책의 설계 실수이며 조직 간의 전달 실수이다. 그 배경에는 가혹한 사고 대책이 규제 요건이 아닌 사업자 즉 전력회사와 메이커의 자주성에 맡겨졌다는 것이다. 현행 신규제기준에 있어서도 가혹사고 시의 조건은 단순한 목표치에 지나지 않고, 그 이상으로 압력·온도가 오른 때에는 후쿠시마 원전사고와 마찬가지로 기기류의 기능부전이 일어날 위험성을 부정할 수 없다.

원래, 노심용융의 경우, 온도나 압력의 정확한 예측이나 계측을 할 수 있는 것은 아니다. 또, 건설시에 있어서 쓰나미 대책 등은 충분히 고려되지 않았으며, 지하에 배전반이나 비상용 디젤 발전기를 설치했으나 그 후의 쓰나미 기준의 재검토의 기회가 있었음에도, 설계 변경을 하지 않았다. 이 또한 설계 조건의 설정·재검토 단계에서의 넓은 의미에서의 설계 실수이다.

BWR의 격납용기의 압력 억제 기능도 조건에 따라 기능 상실되는 결함이 있었다. 후쿠시마 원전사고에서 어디까지 발생했는지는 불분명하지만, 적어도 지진에 의한 압력 억제실의 저장수의 요동(슬로싱이라고 한다)이 BWR형 격납용기의 설계의 근간인 압력 억제 기능을 잃거나, 약화시키는 기능을 하는 것은 설계상 고려되고 있지 않은 중대한 결함이며, 현재도 방치되고 있다.

즉, 구체적인 시스템이나 기기의 설계로, 잠재적인 설계상의 실수가 숨겨져 있을 가능성이 있는 것이 우려된다. 이러한 에러는 우연히 사고가 진행됨에 따라 나타나게 되지만, 해당 사고와 관련이 없는 부분의 에러는 간과되었을 가능성이 있어, 곧 다음의 다른 타입의 사고를 준비하고 있을 것이다.

6.3.6 사고의 물리적 진전이 예상되는 사건을 무시해서는 안된다.

복잡한 시스템의 위험 평가를 수행할 때 PRA가 하나의 지표로 유효할 수 있다는 것은 부인할 수 없다. 예를 들어, 특정 시스템에서 장치를 개선할 때 설계 변경 전후에 얼마나 개선되었는지에 대한 상대적인 평가는 일정한 의미가 있다. 다만, 기인 사건이나 사고 시퀀스 중에서 분명히 큰(피해의) 위험성이 지적되고 있는 경우, 결정론적으로 사고의 발생·진전을 예견해서 신중한 평가·대책이 이루어져야 한다.

예를 들어, 가혹한 사고 대책의 평가에 있어서, "항공기 낙하는 확률(10-7/로년 이하)이 작기 때문에 일어나지 않는다고 한다", "PWR에서는, 해석에 의해 격납 용기 내 수소 농도는 폭굉 한계에 이르지 않는다고 한다", "격납 용기 내에 발생한 수소의 농도를 저하하기 위해 점화기로 착화했을 때 폭발할 위험을 무시한다", "PWR로 원자로가 냉각할 수 없게 되었을 때 원자로 캐비티에 미리 물을 담아 원자로에서 떨어지는 노심 용융 파편이 물에 낙하해도 수증기 폭발이 일어나지 않는다"고 되어 있다. 항공기 낙하 확률은 작다고는 하나, 구미에서는 이미 이중 격납용기를 설치하는 대책을 하고 있다는 것은 이미 말했다(☞ 6.1.6). 사업자 측의 주장으로 있을 수 없다고 생각했던 지진이나 예견되어 있었지만 무시해 온 대규모 쓰나미를 경험한 일본에서, 왜 항공기 낙하를 무시할 수 있는지 신기할 뿐이다.

확률이 작지만 심한 피해가 추측되는 사태에 강도 평가조차 실시하지 않고 아무 대책도 강구하지 않은 채 일어나지 않을 것이라며 관심을 두지 않는 원자력발전사업자에게 자긍심을 묻는다. 확증할 증거도 없이 추가 승인하는 규제위도 원자력안전규제에 관련된 자격이 있다고 말하기 어렵다.

6.3.7 중요한 안전 평가는 불확실성이 큰 분석만으로 승인해서는 안된다.

PWR의 격납 용기 내에서 수소가 발생한 경우, BWR과 달리 격납 용기 내에 질소 충전을 하지 않기 때문에 수소 폭발의 위험성이 매우 높다(☞ 1.6). 그럼에도 불구하고 용량이 작은 촉매식 수소 재결합 장치로 수소를 줄이거나 전량 수소가 나와도 폭굉 한계(약 13%)에는 이르지 않는다는 해석 결과를 바탕으로 수소 폭발은 일어나지 않는다는 전력 사업자의 설명이 신규제기준 하에서도 승인되어 왔다. 수소의 발생량으로부터 격납용기 내의 구조물로의 기체의 침투 및 배출은 기기의 열원, 격납용기 내 대류 등의 영향을 받기 때문에 수소 농도의 변동을 고려해야 한다. 폭풍 연소 혹은 폭굉으로 핵전이가 행해지거나 뜻밖의 사고의 진전 등의 여러 가능성을 생각한다면, 외부의 영향이 없는 이상적인 상태에서의 해석만으로 「수소 농도가 13%에 이르지 않는다」라고 하는 탁상공론식의 평가로 결론을 낸다는 것은 안전성을 평가하는 공학의 상식에서 벗어나는 것이다.

덧붙여서, 가압수형 원전에서는, 오오이 3·4호기 및 겐카이 3·4호기의 수소 농도 최고치가 약 12.8%, 이카타 3호기가 약 11.3%, 도마루 3호기가 약 11.6%로 폭굉 방지의 판단 기준치 13% 이하이기 때문에 폭굉은 일어나지 않는다고 하고 있다. 개개의 파라미터는 보수적으로 평가하고 있다고 하지만, 다양한 수치의 부정확성과 함께 예상외의 사고 시나리오, 예를 들면 코어·콘크리트 반응이나 배관 혹은 기기 파손 등의 예측 불가한 사태를 고려한다면, 폭굉이 일어나기까지의 수소 농도에 안전 여유가 거의 없다고 볼 수 있다. 코어 콘크리트 반응에 의한 콘크리트 침식량을 MAAP(주로 전력 사업자가 사용)이라는 해석 코드와 MERCOR(주로 규제측이 사용)라는 해석 코드로 비교하면 시간이 경과함에 따라 양자의 해석에 의한 값은 떨어지고, 수백 시간 후에는 전자의 콘크리트 침식량 2m에 대해서 후자의 경우에는 18m에 달하는 데이터도 있다.

원래, 해석 평가상의 미비가 우려될 뿐만 아니라, 안전성을 어떻게 확보할 지에 대한 시점이 없는 가운데, 어려운 환경 조건에 있어서의 실증 시험은 행해지고 있지 않다. 구 원자력발전기술기구(NUPEC)에서 '가연성가스 농도 분포 혼합 거동시험'과 '가연성가스 연소 거동시험'이 실시되고 있지만 주로 해석 코드의 검증이 주된 목적으로, 수소의 성층화에 대한 평가나 본격적인 폭굉 등 실기에서의 실증성은 나타났다고는 할 수 없다. 또한 수소를 부분적으로 연소시키는 점화기는 점화 타이밍을 놓치게 되면 자폭장치가 된다. 이러한 평가방법은 노동안전위생법상도 문제이다. 복잡한 프로세스를 포함한 중요한 안전 문제를 서류상으로만 판단하려는 것에 기본적인 의문이 생긴다.

6.3.8 과학적 관점과 안전의 논리를 무시한 수증기 폭발 평가

수증기 폭발에 관해서도 실험 데이터의 해석으로부터 폭발은 일어나기 어렵고, 실기에서의 폭발의 트리거가 되는 트리거링이 존재하지 않는 등의 이유로, 전체 PWR형 원전에 대해서 수증기 폭발의 리스크는 작다고 한다. 물을 넣지 않으면 코어·콘크리트 반응(용융 노심·콘크리트 상호작용)이 일어나서 콘크리트와 용융 파편의 반응은 멈출 수 없지만, 용융 파편이 물과 접촉했을 경우에 일어날 가능성이 높은 대규모 수증기 폭발을 불확실한 정보를 바탕으로 일어나지 않는다고 하는 전력 회사 및 규제위는 문제의 심각성을 어디까지 이해하고 있는지가 의심스럽다.

최근에는 원자로 캐비티 내에서 수증기 폭발이 일어나도 구조 파괴가 일어나지 않을 가능성이 있다는 보고도 보인다. 그러나 실제 기계에서의 용융 노심 파편은 100 톤 가까이에 이르지만, 수증기 폭발 실험 파편의 중량은 기껏해야 수십 킬로미터에서 백 킬로미터 정도로 그 스케일이 너무 다르다. 수증기 폭발의 규모를 규정하는 기계적 에너지로의 변환율, 폭발에 의한 구조 파괴 부위의 강도 검토 등 모두 신중하게 확인한 후 처음으로 안전성을 확인하는 심사가 가능해진다. 애매하고 불확정성이 크고, 수백분의 일에서 1만분의 1이라고 하는, 스케일이 다른 실험으로 도대체 어디까지 알았다고 말할 수 있을까?

후쿠시마 원전사고에서는 BWR의 마크Ⅰ형 격납용기로 원자로 압력 용기 바로 아래에는 대량의 물이 없었기 때문에 대규모 수증기 폭발은 일어나지 않았다. 그러나 도카이 제2원전과 같은 마크Ⅱ형의 경우에는 원자로 압력용기의 바로 아래에 원자로페데스탈의 중간슬래브(두께 약 1.5m 내외의 콘크리트 바닥)가 있어 용융노심은 중간 슬래브상에서 수증기 폭발을 일으키거나 중간슬래브를 녹여 바로 아래의 압력 억제 풀에 낙하하여 대규모의 수증기 폭발을 일으킬 가능성이 높다(그림 27). 게다가 중간 슬래브에는 드레인 섬프(배수홈)가 깊게 잘려져 있고, 콘크리트 바닥의 두께는 절반 이하로 되어 있다. 일본 원자력 발전(원전)에서는, 드레인 샘프 등의 개조 공사를 한다고 하고 있지만, 충분한 대책을 하지 않았을 뿐만 아니라 신규제기준의 심사에서는 노심용융을 일으켰을 경우, 물이 없으면 코어·콘크리트 반응이 막히지 않고, 수심이 깊으면 수증기 폭발의 규모가 커지므로 중간 슬래브의 수심을 약 1m로 컨트롤한다고 한다. 후쿠시마 원전사고의 경위를 생각해 내면, 가혹한 사고 상태에서 그러한 수심 1m를 지킨다고 하는 수량의 미묘한 컨트롤을 할 수 있다고 하는 발상은 통상적으로 생각했을 때 있을 수 없는 일이다.

수증기 폭발은 역사적으로 원자력 안전의 가장 기본적인 문제 중 하나이며, 특히 격납용기 내 수증기 폭발은 가장 불확정성이 큰 과제였다. 수증기 폭발에 대한 후쿠시마 원전사고 이후의 과학적이라고 볼 수 없는 해석과 기본 안전의 시점이 결여된 점에 공포감을 자아내게 된다.

6.4 원전은 다른 기술과 무엇이 다른가?

6.4.1 원전은 안전장치가 작동하지 않으면 파국에 이른다

원전이 안전성의 관점에서 항공기나 자동차와 다른 것은 그 제어의 어려움과 동시에 대량의 방사성 물질의 존재이다. 사고의 초기 상태에서 해결할 수 있으면 좋지만, 사고의 진전과 함께 방사성 물질의 유출을 수반해, 작업 환경이 엄격해져 사고 해결이 점점 곤란해진다. 그리고 사고가 있는 일정한 단계(임계값, 쓰레시홀드)를 넘어서면 단번에 원상회복이 곤란해진다. 화재로 말하면 초기 소화 단계에서 소화에 실패하고 방 한 잔에 불이 퍼져 더 이상 소화가 불가능한 상태에 해당한다. 이 '임계치'에 상당하는 것이 노심 용융이다. 원전의 안전 설계 사상은 이 노심 용융을 일으키지 않게 하는 것이지만, 현실의 원자력 플랜트는 노심 용융을 막을 수 없는 것으로 밝혀졌다. 그러자 심층 방호의 설계 방침을 내세워 노심 냉각을 포기한 채로 수증기 폭발의 위험성을 무시하고 격납용기 하부에 물을 담아 두는 1이냐 8이냐 하는 내기에 나섰다. 동시에 격납용기의 과압 파손을 방지하기 위해 격납용기 필터 벤트를 준비하기에 결론을 내린다.

그러나 후쿠시마 원전사고 시 중앙조작실과 원자로건물 및 주위 정황을 떠올리면 수소처리장비를 비롯한 다양한 서브시스템이나 복잡한 필터벤트장치를 실수도 고장도 없이 운용할 수 있는 보증은 전혀 없다. 필터 벤트 장치는, 격납 용기 바운더리(경계)의 일부라고 생각해야 할 장치이며, 종래에 비해 격납용기의 수동적 안전 기능(☞ 6.1.6)을 저해하는 면도 부정할 수 없다. 즉, 필터 벤트 장치에 의해 방사성 물질의 방출이라는 사고의 발생 확률을 떨어뜨려도 어디까지나 확률적 안전(☞6.1.5)이며, 사고의 발생을 없앨 수 없다. 게다가 추가한 필터 벤트 장치가 기능하지 않는 사태를 생각하면, 격납용기 파괴 혹은 기능 상실에 의한 방사성 물자의 대량 방출이라는 최악의 사태가 없어지는 것은 아니다.

즉 확률적인 안전장치의 추가는 사고의 발생 확률은 줄여도 최악의 사고의 피해 규모를 감소시킬 수 있다고는 할 수 없다. 사고 발생 확률이 감소하는 것은 평균적으로 사고 도중에 진전이 멈출 가능성을 높이지만, 최악의 사고 피해의 크기와는 아무런 관련이 없다.

원전은 확률적 안전에 의지한 설계이며, 다중 방호나 심층 방호를 아무리 강화해도 대규모 사고의 발생 가능성은 남게 된다. 게다가 사고 상황에 따라서는 스스로의 목숨을 걸고 사고에 맞서는 '결사대'의 희생 없이는 사고 해결을 할 수 없는 사태에 빠진다. 항공기나 자동차 사고에서도 사고의 가능성은 없지 않으나, 최악의 사고 피해의 크기라는 점에서는 비교 대상이 되지 않는다. 왜냐하면 원전의 한 번의 사고만으로도 국가의 존립조차 위태롭게 하는 등의 커다란 규모의 사고를 일으키기 때문에 용서될 리가 없고, 또 일어났을 때의 손실의 크기를 아무도 보상할 수 없기 때문이다.

6.4.2 민주주의 사회의 근간을 뒤흔드는 원전이라는 기술

전력회사가 보상할 수 없는 원전사고의 경제적 손실은 결국 세금, 즉 국민의 부담이 된다. 또한 운전자의 주의력에 의존하는 자동차는 일정 수준 이하로 사고를 줄이는 것은 어렵지만 불행하게 일어난 자동차 사고에 대해서는 보험으로 커버함으로써 사회적 관행이 성립되고 있다. 항공기의 경우에도 사고가 일어나면 상당한 확률로 사망자가 나오지만, 사고가 무서운 사람은 항공기를 타지 않는 선택을 할 수도 있다. 또한 탑승 전에 생명보험을 드는 등 사고 결과와 보상에 관하여 본인을 포함한 사회적 합의가 성립하고 있다고 볼 수 있다.

원전의 경우에는 어느 범위까지 어느 정도의 피해가 미치는지를 사전에는 파악할 수 없고, 사고 규모의 상한조차 모른다. 그리고 현재의 일본에서 보다 큰 문제는, 국민의 과반수가 재가동에 부정적인 가운데, 사고의 피해 규모나 그 가능성에 대해서 제대로 설명을 하고 있지 않다는 것이다. 피해의 최대 규모와 그 발생 가능성에 대해서도 모든 정보를 공개한 다음 주민 한사람 한사람의 의견을 들어야 한다. 그러나 편의적으로 30km라는 거리로 선을 그리며 행정의 사정으로 설명 대상에서 벗어난 사람들이 많이 있다.

원전은 사고를 일으켰을 때 갑자기 예상외의 피해자를 낳지만 그런 입장이 될 수 있는 사람들의 의견조차 듣지 않는다. 잠재적인 피해자는 불합리하게 원전사고가 만일 일어나면 되돌릴 수 없는 피해를 받을 가능성이 있어(급성 또는 만발성의 방사선장해의 리스크를 입을 우려, 생업이나 고향을 잃을 우려 등, 다방면에 걸친), 그 피해 인원수도 일본의 인구밀도를 고려하면, 수백만을 넘어 수천만명에 이르게 된다는 것을 부인할 수 없다. 원전을 운전함으로써 이익을 얻는 사람들은 잠재적 피해자와 일치하지 않는다. 즉, 도시에 사는 사람이나 전력회사나 관련기업의 장점 때문에 도시 이외의 주민들이 매우 엄중한 위험을 감당해야 한다는 불합리함이 있고, 그것을 일방적으로 밀어붙이는 원전의 존재는 민주주의사회의 근간을 뒤흔드는 문제인 것이다.

원본; 일본어 (안금주 번역)
https://www.ccnejapan.com/download/CCNE_specialreport5.pdf