発生確率が10億年に1回の原発大規模事故は、なぜ起こった？

　SILの乱暴な曲解であることを百も承知の上で、以下のように記述してみましょう。
「SIL2の私（原発、電車、旅客機）は、あんたの人生において、1度だけは、あんたを殺すかもしれないよ」ということです。

●故障間隔と平均寿命

　人命を脅かすようなシステムは、一般的に「SIL2=100～1000年の故障間隔」が要求されると言われています。これは、「人間の平均寿命80年よりは長い」程度の安全が妥当であるという解釈が、成立すると考えるわけです【註7】。

　つまり、「人を殺すことを前提とした安全」の概念が含まれていると考えれば、SILを理解できるわけです。なお、誤解のないように申し上げておきますが、SILは、部品単体、あるいは、部品の集合体に対する信頼性の指標であり、必ずしも直ちに人命に直結しているわけではありません。

　例えば、対象がディスプレイ装置であれば、それが、SIL0、SIL1程度の信頼性であったとして、映りが悪くなったり、映らなくなったりすることがあっても、それが直ちに人命に関わる故障になるわけではありません。

　ただ、その対象が「旅客機のエンジン」であった場合は、話は変わってきます。SIL0（MTBFが10年未満）のエンジンを搭載した飛行機に乗る人は、相当勇気が必要となるでしょう。

　では、SILが、人間の平均寿命を基準として規定されたもの(のように見えること)は理解できたとして、SIL3（MTBF：1000年〜1万年未満）やSIL4（MTBF：1万年〜10万年）がなぜ必要なのだろう？　という疑問が残ります。

　その答えは「期待値」です。

　旅客機の場合は、同時に数百人を殺しますので、期待値で計算すると 「1万年に100人を殺す期待値」は、「100年に1人を殺す期待値」と同じであると考えることができます。

　つまり、SIL3もSIL4も「あんたの生涯で、1度だけは、あんたを殺すかもしれないよ」という意味においては同じである、と言えるのです。

　では、「1万年後」に故障するという部品や機械を、どうやってつくり、どうやってテストするのかを考えてみたいと思います。そもそも、「そんなことできっこない」とは思いませんか？

　1つには、加速劣化試験【註8】という方式があります。これは、部品や機械を高温や低温の過酷な環境に置き、さらに紫外線や放射線を照射したり、電気を流してみたり、水をぶっかけたり、落としてみたり…… 。 まあ、部品や機械を「いじめ」ることで、その寿命を算出する方法です。そのほかに、故障対策として、一般的には多重化という方法が採用されます。簡単に言えば、バックアップの部品や機器を用意しておいて、壊れたら自動的に切り替えるようにしておくというものです。バックアップを2重と言わず、20にも200にも多重化してやれば、「1万年後」の故障まで持ちこたえることは可能です。あくまで計算上で、ですが。

●安全指標としてのALARAやSILも信用できない？

　最近は「安全指標としてのALARAやSILは、信用できないのではないか？」という考え方も出てきているようです。

　まず、ALARAですが、「合理的」の解釈が難しいという点です。原発に関しては、維持派と撤廃派の間で、この「合理的」に関するコンセンサスが得られる日は、永遠にやってこないように思えます。

　また、SILの平均故障間隔は、想定を超えるような原因で簡単に変わってくる場合もあり、その全パターンをテスト段階で抽出するなど不可能です。

　SILの話から離れますが、例えば、今回の福島第一原発のように、水素が別の原子炉建屋から流れ込んできて、まったく無関係の建屋を爆破してしまった、などというような冗談と思えるような事故を、テストフェーズで想定できる人間などいないと思うのです。

　とは言え、すでに申し上げたように、我々は文化的な生活を放棄しない限り、「心が安らかな状態の安全」の上で生きていくことは、不可能なのです。「人を殺すことを前提とした安全」の上で、「その殺される人が、どうか私でないように」と祈りながら生きていくことが、現段階で我々にできる精一杯のことなのです。

●大規模事故は10億年に1回

　最後になります。

　1974年に、ノーマン・ラスムッセン教授の、確率論を基礎にした原子力発電の安全性に関する理論によれば、 大規模事故の確率は、原子炉１基あたり「10億年に1回」だそうです【註9】。