원전의 안전기준은 어떠해야 하는가? (일본원자력시민위원회 저)

제6장 원전 관련 위험 평가의 허망함

고토 마사시(後藤 政志)

6.1 안전을 추구할 권리

6.1.1 절대안전 신화에서 제로리스크 비판으로

원전의 안전성을 둘러싸고 후쿠시마 제1원전 사고 후, 원전추진론자들이 원전에서 절대적인 안전을 구하는 의견을 말하는 사람들에 대해서 「제로리스크론자」라는 라벨을 붙이고, 「원전에서 절대안전을 추구하는 것은 비과학적이다」라고 하는 선전이 적지 않게 있었다. 원래 원자력을 추진해 온 정부(특히 경제산업성)랑 전력회사는 카시와자키 카리와원전이 니가타현 츄에츠오키(新潟県中越沖)지진에서 설계상의 상정을 크게 웃도는 대진동에 의해 화재를 일으켰을 때도 일본의 원전은 지진에 강하고 절대로 안전한 듯이 강조했었다. 후쿠시마 원전사고 이후에는 이러한 주장은 들을 수 없게 되었지만 시간이 경과함에 따라 「원전이 절대 안전하다고 말해 온 것은 잘못됐었다. 그것은 사죄한다.」라고 하고 나서 「그러나, 세상에 절대안전이란 없지요」, 「예를 들면, 집에 가다가 교통사고로 죽는 일도 있을 수 있고 원전만 특히 위험하다고 하는 것은 잘못됐다」고 하며 「제로리스크론 비판」이 나오게 되었다. 분명히 절대안전한 항공기도 자동차도 없다. 인간이 만든 것에 절대안전한 것이 없다는 것은 당연할 것이다. 사람들은 이것들을 전면부정하지 않고 주의해서 사용하고 그러나 원전을 항공기나 자동차와 비교하려고 할 때 어떻게 생각할 수 있는 것인가.

6.1.2 안전이란 무엇인가

여러 기준에서 안전의 정의가 있는데, 국제기본안전규격(ISO/IEC GUIDE 51:2014)에 의하면 안전이란 「허용될 수 없는 위험이 없는 것」이라고 하고 있다. 그러면 허용될 수 있는지 없는지를 누가 결정할 수 있느냐 하면, 당연히 그 위험을 겪을 가능성이 있는 인간 한 사람 한 사람이다. 원전이 안전한가 아닌가는 그 유용성과는 관계없이 우선은 단순히 원전자체가 안전한가 아닌가로 판단해야 한다. 원전과 같이 대규모의 사고가 상정되는 기술의 안전에 관한 문제는 안이하게 다른 이익이 있다고 해서 허용해서는 안 된다. 허용될 수 없는 위험을 다른 이익과 상쇄 즉 교환(trade off)하려고 해도 불가능하다고도 말할 수 있다. 에너지선택이랑 경제성 혹은 그 이외의 사회적 유용성은 안전성의 문제와는 동일평면에서 생각할 수 없다.

6.1.3 제조의 기본 : 망가지기 어렵고 실수하기 어려운 설계

원전 안전설계의 목표는 「핵반응을 저지한다」, 「원자로를 냉각시킨다」, 「방사성물질 봉인한다」고 하는 것인데, 어떠한 시스템도 기기의 고장이나 인위적 실수를 피할 수 없다. 그 때문에, 고장 나지 않도록 또는 오류를 일으키지 않도록 설계하는 노력이 이루어지고 있다. 그러나 안전장치기기의 고장을 막는 것이 어렵기 때문에 안전장치를 다중화함으로써 안전장치가 고장날 확률을 줄인다. 동시에 어떠한 원인으로 안전장치가 여러 대가 동시에 망가지는 것을 막기 위해, 구조의 다양화, 장소의 분리, 계통의 독립성을 확보한다. 인위적 실수를 위해, 잘못된 조작을 해도 그것을 받아들이지 않도록 하고, 실수를 해도 힘껏 시스템에 악영향을 미치지 않도록 하는 구조로 한다²⁰³. 그러나 복잡한 시스템에서는 그래도 사고를 절대적으로 막기는 어렵다. 왜냐하면 원전의 제어대상인 핵연료는 매우 단시간에 연쇄반응이 진행되고 하나가 잘못되면 핵폭주에 이를 우려가 있기 때문이다. 기본은 여러 조건 중에서도 핵반응이 진행되면 자동적으로 반응을 억제하는 구조로 하는 것이 중요하다²⁰⁴. 다만 핵반응을 일으키는 인자와 억제하는 인자는 가지가지 있어서, 각각의 인자가 복잡하게 관계되기 때문에, 그 제어에는 세심한 주의가 필요하다. 체르노빌원전에서는 제어봉의 구조에 결함이 있었기 때문에 제어봉을 삽입해 가는 과정에서 핵반응을 촉진시키고 말았다고 한다. 또, 저출력으로 운전하고 있으면 불안정한 상태가 되어 폭주하는 설계상의 위험도 있었다.

6.1.4 안전장치를 해제한 상태에서 일어나는 사고

BWR에서는 핵반응을 저지하기 위한 제어봉을 원자로의 아래로 넣었기 때문에 만일 제어봉이 탈락하는 일이 있어서는 안 된다. 그러나, 일본에서는 1978년부터 2005년까지 그 사이에, 정지중에 20회나 제어봉 탈락이랑 삽입의 문제(동시에 1자루에서 34자루)가 있어, 그 가운데 2회는 「임계」에 도달했다²⁰⁵. 그래도 그 문제의 대부분은 2007년까지 공표조차 되지 않았다. 제어봉의 탈락은 지극히 위험하므로 통상은 제어봉을 회전시켜서 발톱이 걸리는 상태로 해서 밀어올리는 힘이 없어져도 탈락되지 않는 구조로 되어있다. 그러나 제어봉을 삽입하려고 할 때는 발톱을 푸는데, 이따금 그 상태에서 기계 고장이랑 실수로 제어봉을 뽑는 방향으로 힘이 걸려버리거나, 자기무게를 지탱할 힘이 빠져버리거나 하면 제어봉은 탈락되고 만다. 즉, 어떠한 탈락방지장치도 장치를 움직이기 위해서는 탈락방지장치를 풀지 않으면 안 되고, 그 순간에 잘못된 방향의 힘(기계적이든 인위적이든 불문하고)이 더해지면 탈락해 버리는 일이 일어날 수 있는 것이다²⁰⁶. 또 제어봉이 완전하게 다 돌아가지 않고, 발톱이 부분적으로 걸린 채 잠긴 상태에 있는 경우에 제어봉을 뽑는 힘이 걸려 있으므로 제어봉이 조금 회전해서 잠금 기구가 풀려버릴 가능성도 있다.

6.1.5 확률적 안전에서 확정적 안전으로

일정 기간에 발생하는 고장의 빈도를 고장률이라고 하며, 고장률이 작은 것을 신뢰성이 높다고 한다. 일반적으로 신뢰성이 높고 고장나지 않는 장치는 안전하다고 생각되는 경향이 있다. 그러나 그것이 반드시 옳지는 않다. 고장에는 안전 쪽의 고장과 위험 쪽의 고장이 있다.

예를 들면, 자동차의 브레이크가 고장 나서 듣지 않게 되면, 그것은 「위험쪽 고장」이며 사고로 이어진다. 설령 그 장치가 고장 나지 않는 신뢰성이 높은 것이어도 스위치를 넣어 전류를 흐르게 하여 브레이크를 작동시키는 장치라면 머지않아 열화가 진행되어 일정 확률로 고장나게 되고 그때에는 안전이 확보될 수 없다. 그림25의 왼쪽 시스템에서는 버튼을 누름으로써 회로에 전류가 흘러, 코일의 전자석 힘으로 브레이크가 걸리는 구조로 되어 있다^207. 고장 나지 않을 때에는 좋지만 구성 전기회로의 부품점수가 늘어나면 고장빈도가 커지고, 부품의 고장률에 따라서 사고를 일으킬 가능성이 커진다. 이것을 「확률적 안전」이라 한다.

이것에 대해서, 그림25의 오른쪽 시스템에서는 상시 코일에 전류를 흐르게 해서, 전자석의 힘으로 들어올려, 브레이크가 풀리게 해 둔다²⁰⁸. 버튼을 누르면 전류가 끊어져, 중추의 무게로 브레이크가 걸리도록 설계한다. 부품점수가 늘어남에 따라 고장률은 증가하나 부품의 고장은 전류를 끊는 것이 되므로, 자동적으로 브레이크가 걸려 정지하게 된다. 고장나면 멈추어버리나, 그때마다 안전장치로서 브레이크가 확실하게 듣게 된다. 이러한 설계를 「확정적 안전」²⁰⁹이라고 하고 있다. 기계장치는 가능한 한 이러한 「확정적 안전」으로 만들어 넣는 것이 중요하다.

6.1.6 능동적 안전과 수동적 안전

전항의 확률적 안전/확정적 안전과 비슷한 짝의 개념으로서 「능동적 안전」(active safety)과 「수동적 안전」(passive safety)이 있다. 종래의 원전설계는 대부분이 동력에 의지하는 「능동적 안전」을 기본으로 하고 있고, 그 때문에 외부전원 상실시에 냉각이 곤란하게 되었다. Westinghouse의 AP1000이라는 원자로형과 AREVA의 EPR이라는 차세대형 원자로는 동력에 의지하지 않는 수동적 안전계를 갖추고 있다.

EPR의 경우 중대사고(severe accident) 대책으로서는, 노심용융을 일으켰을 때에 수증기폭발을 회피하면서 용융잔해(debris)를 냉각하는 노심용융물 보조장치(core catcher)를 갖추고 있다. AP1000는 원자로의 외측에 물을 채워서(IVR: in vessel retention) 냉각하고 원자로압력용기의 용융관통(melt through)를 방지할 설계로 되어 있고, 냉각계통도 동력에 의존하지 않고 격납용기 상부의 탱크에서 물을 중력으로 떨어뜨려 냉각시키는 안전설계가 도입되어 있다.

이처럼 수동적 안전이란, 동력을 사용하지 않고 중력이나 압축가스 등에 의해 필요한 상황이 되면 자동적으로 안전장치가 작동됨을 말한다. 더군다나, AP1000, EPR 모두 항공기 낙하에 대해서 견딜 수 있도록 격납용기를 이중화하는 등의 대책도 하고 있다. 모두 이것으로 모든 중대사고(과혹사고) 대책이 해결되었다는 것은 아니나, 적어도 현재의 일본 국내의 원전보다는 훨씬 안전성을 중시한 것임은 틀림없다²¹⁰.

이러한 신규플랜트의 국제적인 안전설계는 후쿠시마원전 사고 이전부터 시도되어온 것인데, 일본과는 대조적이다. 일본에서의 신규제기준의 대책은 「할 수 있는 만큼을 한다」, 「대책이 없는 문제는 발생 확률이 적다고 해서 무시한다」, 「잔손질만의 대책은 하지만, 중대사고대책은 기본적으로 인해전술에 의하는」 것으로 하고 있다. 이것으로 사고를 수습할 수 있을지는 매우 의심스럽다. 일본의 원전도 사고가 발생했을 때에는 일정시간 아무 것도 하지 않아도 플랜트의 상태가 악화되지 않도록 하는 구조가 되지 않으면 안 된다. 신규제 기준으로만은 후쿠시마원전 사고같은 사고진전을 막을 수 없다.

아베 총리대신을 비롯한 일본정부 관계자가 반복해서 강조하는 「세계최고수준」이란 무엇을 가리키고 있는 것일까?

6.2 원전 사고의 위험과 확률론적 리스크 평가 기법

6.2.1 원전 사고의 위험이란

다른 사고를 비교할 때, 어떻든 정량화 할 필요가 있는데 그 계량 지표를 위험이라는 개념으로 나타낸다. 사고의 위험은 [피해의 크기]와 [발생 빈도]에 따라 달라진다고 하며, 일반적으로는 [피해의 크기] × [발생 빈도]로 나타내는 경우가 많다.

그러면 [피해의 크기]는 어떻게 정량화 할 수 있는가? 사상자의 수인가, 피난민 수인가. 또는 피난하고 싶어도 할 수 없었던 사람의 수는? 토지의 오염 정도는? 지하수 오염 어떻게 정량화 할 수 있는가? 경제적 손실은 얼마인가? 이러한 제반 요소를 고려하면 원래 [피해의 크기] 자체가 애매하다.

한편, [발생 빈도]는 노심 용융과 방사성 물질의 대량 방출에 대해 1년간 1기의 원자로를 운전했을 때 발생하는 빈도로 나타낸다. 구체적으로는 10^-1/炉年 (=10로년에 한 번)이나 10^-4/炉年 (=1만로년에 한 번)로 나타낼 수 있다. 그러나 지진이나 해일, 화산 폭발 등의 자연 현상에 대해 [발생 빈도]를 예측하는 데에는 많은 불확실성이 있다.

 지진으로 말하면, 그 메커니즘과 지구 표면의 지각 이동량 등의 관측 자료에서부터 발생 빈도를 추정하지만, 원래 영향을 주는 인자가 지각 이동량만은 아니다. 지각의 이동에 의한 변형이 일정치에 도달하면 지각(암반)의 파괴 현상으로 지진이 일어나는데, 파괴면의 방향과 크기는 일의적으로 정해지는 것이 아니라, 그 변형값 자체가 상당히 편차가 크다. 따라서 그러한 물리적 메커니즘에 의한 추측뿐만 아니라 과거의 지진 데이터를 바탕으로 [발생 빈도]를 통계적으로 추정하는 것이 중요하다.

하지만 발생 빈도가 적은 지진 데이터에서 추측하는 경우에는 추측하려고 하는 기간보다 한 자리 혹은 그 이상의 장기적인 데이터가 필요하다. 1만년에 1회라는 빈도의 지진을 데이터로 검증하려면 10만년 또는 100만년에 걸친 데이터가 필요하지만 지진 관측이 시작된 지 수 백년 밖에 되지 않기 때문에 그 같은 장기적인 데이터가 있을 리 없다. 따라서 과거의 한정된 지진동(地震動)의 기록과 지반의 움직임과 과거 지진 기록으로 간주되는 활단층이나 지반의 특성 등을 조사하고 추측하는 수밖에 없다.

실제로, 1995년 효고현남부 지진 (한신·아와지 대지진) 이후 2004년 니가타현 주에쓰 지진, 2007년 니가타현 주에쓰오키 지진이라는 큰 지진이 이어져, 2011년 3월 도호쿠 지방 태평양 앞바다 지진이라는 일본 관측사상 최대의 지진이 일어났다. 그리고 2016년 4월 구마모토 지진에서는 최대진도 7을 기록하는 지진이 두 차례나 반복됐다 (☞1.1.3). 구마모토 지진은 구마모토에서 아소산을 거쳐 오이타현까지의 광범위를 진원으로 하는 여진이 빈발하고 전에 없이 장기적으로 큰 흔들림(揺れ)을 반복하고, 진원이 얕기도 해고, 막대한 피해가 발생했다. 이렇게 차례차례 과거에 경험하지 못한 지진이 온 것을 생각해 보아도, 해일을 포함하여 자연 현상이 갖는 현상면의 불확정성은 불가피하다.

또한 그 발생 빈도를 정확한 수치로 논의하려고 하는 데에 무리가 있다. 지진학자들도 각 전력 회사가 정하는 기준 지진동(地震動)을 초과 할 가능성 즉 초과확률(원자력 학회 2007년)이

연간, 10^-4에서 10^-5/년, 장소에 따라서는 10^-5에서 10^-6/년으로 되어 있고, 1 만년에서 10만년, 장소에 따라 100만년에 한 번이라는 아주 희소한 현상으로 되어 있었지만, 실제로는 지난 10년간 4차례나 기준지진동을 넘은 것은 생각불가다.

라고 하고

검토 후의 기준지진동도 실제 초과확률은 기껏해야 1000년에서 100년에 한 번 정도 밖에 없는 것이 아닌가

라고 우려하고 있다²¹¹. 또한 원전사고는 지진이나 해일 등의 자연현상의 발생을 계기로 기기나 배관의 손상 또는 기능 상실이 일어나 사고로 진전될 가능성을 고려하여야한다. 원전사고의 위험은 방사성물질의 확산에 의한 사고 [피해의 크기]와 [발생빈도] 모두에 매우 큰 불확실성을 가지는 것이기 때문이다.

6.2.2 확률론적 위험 평가 (PRA)라는 기법

전항은 지진이나 해일에 의한 자연현상을 발생 사건(계기)과 사고의 이야기이지만, 그 외에도 항공기 추락이나 인위적인 공격 등 외부로부터의 영향으로 원전사고에 이를 가능성이 있다. 또한 원전사고는 기기나 배관의 손상이나 제어계통의 문제 등 내부 사건²¹² 계기로도 일어난다. 내부 사건사고로 일어난 문제가 사람의 실수(인적 요인이라 한다)와 사태의 진전에 따라 차례로 일어나는 다양한 기능부전이 겹쳐, 결국 노심용융 등의 가혹한 사고(중대 사고라고 부르고 있다)에 이르는 경우도 있다.

원전 사고에서는 기인여하에 불구하고, 대규모 플랜트 시스템으로 제어봉에 의한 핵반응중지 실패와 건물 배관 및 저장 용기 및 기기의 파손에서부터 비상 노심냉각 계통의 기능상실이 발생하면 원자로가 빈 그릇 불 때기를 해서 노심 용융으로 진행되어, 이윽고 격납용기파손 또는 격납용기 벤트라는 격납 용기 기능의 상실로 진전해 갈 것으로 예상된다. 사고방지의 성패는 그것을 어디에서 저지할 수 있는지에 달려있다. 이러한 사고의 진전은 장치 자체가 복잡하며 동시에 사고의 진전경로도 무수히 있고, 사람의 개재도 있기 때문에 불확실성이 매우 크다.

그래서 사고의 진전을 최대한 객관적으로 평가하기 위해 확률론적 위험평가 (PRA : Probabilistic Risk Assessment)라는 기법이 이용되고 있다. 노심용융까지의 평가를 「레벨 1 PRA」라고 하고, 직접적으로는 노심손상빈도(Core Damage Frequency, CDF)를 구하게 된다. 그 앞의 격납 용기 기능 상실에 수반되는 방사성 물질의 방출까지의 평가를 “레벨 2 PRA”라고 하고, 현재는 “수준 1.5 PRA”로 격납 용기 기능 상실 빈도 (Containment Failure Frequency, CFF)를 구하는 것으로 하고 있다. 그리고서 부지 외부로 가는 방사성 물질의 방출에 의한 방사선 피폭과 오염의 확산까지의 평가를 “레벨 3 PRA”라고 정의하고 있다.

후쿠시마원전 사고 이전에는 자연현상인 지진 PRA는 기법의 연구는 계속되고 있었지만 확립하지 않았다²¹³. 후쿠시마원전 사고 이후 원자력 학회를 중심으로 “지진 PRA”로 또한 “쓰나미 PRA”로 해석 기법이 정비되어 사용되기 시작했다. 또한 “플랜트 정지시 PRA”도 정비되어 현재는 출력 운전시 정지시, 지진, 해일의 수준 1 PRA가 일단 완성되어 있다. 실제 운용되고 있는 것은 ‘레벨 1 PRA’에서 ‘레벨 1.5 PRA’까지이고, 그 이후의 평가는 현재 실시되고 있지 않다.

 6.2.3 이벤트 트리 분석 (ETA) 및 결함 트리 분석 (FTA)

PRA의 평가 방법의 핵심은 이벤트 트리 분석 (Event Tree Analysis, ETA) 및 결함 트리 분석 (Fault Tree Analysis, FTA)이다. 이러한 복잡한 현상을 논리적으로 전개하고 발생 빈도를 정량화하는 방법으로 고안되어 있는 것이다. 이러한 방법을 간단히 이벤트 트리 (ET) 및 결함 트리 (AT)라고도 하며 그림 26과 같이 조합하여 사용하는 일이 많다.

ET(A)에서는 사건의 발생 빈도 F를 구해 놓고 사건의 진전을 각 단계의 성공과 실패로 나눈다. 예를 들어, 원자로 정지에 실패했을 경우 F_I에 별도로 원자로 정지의 실패 확률 P_A를 곱하여 I_A (노심 손상)의 발생 빈도를 구한다. 원자로 정지에 성공했을 때는 원자로 냉각(직접적으로는 ECCS의 작동)의 성공 · 실패로 나누어 F_I에 원자로 냉각 실패 확률 P_B를 곱하여 I_B (노심 손상)의 발생 빈도를 구한다. 마찬가지로 원자로 냉각 후 장기적인 붕괴열 제거의 성공 · 실패의 확률에서 각 노심 손상 빈도를 구한다. 모든 사고 시퀀스에서 성공한 경우 ‘안전 정지’가 실현된다. 이와 같이 시간축에 따라 각 이벤트 (원자로 정지 및 원자로 냉각 등)의 성공 · 실패로 전개되고 그것에 후술하는 FT(A)에서 구한 실패의 확률을 넣어 모든 노심 손상으로의 사고 시퀀스의 패스 확률을 누적계산함으로써 전체 노심손상 발생빈도 CDF를 구할 수 있다.

한편 FT (A)는 톱 사건(톱이벤트)에 예를 들면 원자로정지 실패를 두고, 논리적으로 원자로 정지에 실패 할 가능성이 있는 ‘제어봉 삽입 실패’와 ‘붕산수 주입 실패’를 생각한다. 모두 실패한 경우 원자로정지 실패에 이르기 때문에 여기에서는 ‘AND 게이트’로 표시한다. 다음 ’제어봉 삽입 실패’가 발생하는 요인으로 ‘제어봉 구동 장치 고장’과 ‘구동 압무’를 추출하고, 양자 중 하나가 발생하면 ‘제어봉 삽입 실패’에 이름으로써 ‘OR 게이트’로 표시한다. 마찬가지로 ‘제어봉 구동장치 고장’을 전개하고 ‘A 열림조작 실패’와 ‘A 배관 누설’을 ‘OR 게이트’에서 결부시킨다. 이렇게 차례차례로 실패 요인을 전개하여 마지막에 제일 하단 기기의 고장률과 조작 실패 확률을 입력하여, 최고 이벤트인 ‘원자로정지 실패’의 확률 P_A를 구한다. 이 톱이벤트의 실패 확률을 이벤트 트리 (ET) 의 입력으로 한다.

즉, 시간 축에 따른 성공 · 실패의 연쇄로서 ET (A)를 전개하고 성공 · 실패 분기에서 실패를 톱 이벤트로 추출한다. 실패의 원인을 논리적으로 추출하는 FT (A)를 이용하여 분기의 실패 확률을 구하고, ET (A)에 대입함으로써 사고시퀀스마다 노심손상 빈도를 구하고, 모든 사고시퀀스에서 이론상, 전체 노심손상 사고발생 빈도 (CDF)를 구할 수 있다.

6.2.4 PRA의 역사

미국에서는 1946년에 원자력위원회 AEC (Atomic Energy Commission)가 설치되어 경수로의 개발 및 안전성 연구 후 1973년에 WASH-1250이라는 보고서가 PRA의 촉진을 위해 발표되었다. 이 단계에서, 이미 다중방호·심층방호에 의한 안전 설계 개념 및 설계기준 사고평가 및 ALARA (as low as reasonably achievable : 합리적으로 달성 가능한 범위에서 낮추는) 개념에 의한 방사선 피폭을 50μSv/노년으로 제한할 것과 편익과 위험에 관한 기본적인 생각, 사고의 발생 확률이 논의되고 있었다.

1975년 라스무센보고(WASH-1400)가 확률론적 리스크평가 PRA로 공표되어, 사고의 발생 확률과 방사능 방출량과 화학 형태 및 공공대중의 방사선에 의한 신체 영향 등이 제시되었다. 그 후 1978년에 NRC 내에서 구성된 루이스위원회는 라스무센보고 기본적인 평가 방법은 인정하면서도 위험의 정량적 절대값은 불확실성이 많아 신뢰할 수 없다고 했다. 다만 상대적 평가에 의미가 있다고 했다.

그리고 1979년 3월에 스리마일섬 원전사고(TMI 사고)가 발생한다. TMI 사고에서는 가압기릴리프 안전밸브가 개방고착(열린 채 고장)하여 소구경 배관 상당의 소형 LOCA이 일어났지만, 대형 LOCA보다도 발생하기 쉽다고 라스무센보고에서 지적되고 있었다. TMI 사고를 당하고 가혹사고(중개사고)에 관한 연구가 활발해졌다. 1986년에는 소련의 우크라이나 체르노빌 원전사고가 발생하여 유럽이 넓은 지역에서 오염되었다. 1990년 12월 미국에서 ‘NUREG-1150 최종 보고서’가 간행되었다. 이 보고서는 미국의 노형이 다른 5기의 원전²¹⁴에 대한 확률론적 위험평가 (PRA)을 적용하고 있다.

일본에서는 확률론적 리스크 평가를 그럭저럭 진행해 왔지만, 플랜트 이름을 대고 제대로 된 형태로 공표해 오지 않았다. 새로운 규제기준에 의한 재가동을 둘러싼 적합성 심사에서 PRA를 일부 실시하기 시작했지만, 외부 사건의 평가방법, 공통요인 고장, 인적오류 처리, 외부로부터의 공격, 시스템 상호간의 독립성, 적용 고장률 데이터, 결과의 상한 하한의 평가 방법과 타당성 등에 따라 결과에 큰 편차가 발생하기 때문이다. 결국 PRA는 그 절대치를 평가하기에는 너무 불확정성이 크기 때문에 ‘평가결과는 극도로 개개의 브랜드에 의존하고 있다’, ‘노심손상 확률 또는 위험평가의 정량적인 결과는 비슷한 설비를 가지고 설계·건설자가 동일하더라도 다른 브랜드에는 적용되지 않을 수도 있다 “고 지적되고 있다²¹⁵.

6.2.5 일본의 안전 목표

일본에서는 전력회사와 제조업체 및 원자력연구 개발기구 등의 연구기관이 중심이어 대표적인 플랜트인 레벨 1PRA가 검토되었다. 한편, 규제의 입장에서 원자력안전위원회는 1987년에 공통문제 간담회에서 검토를 실시하여 1990년에 심각한 노심손상 빈도 CDF가 10^-5/로년 이하라고 평가했다. CDF가 미국보다 작은 결과가 된 것은 일본에서는 외부전원과 비상용 디젤발전기의 신뢰성이 높은 것이 요인이었다. 또한 레벨 2PRA는 10^-8/로년 이하가 되었다. 그러나 이들은 내부사건을 중심으로 한 것으로, 외부 사건은 제외되어 있었다. 원자력안전위원회는 2001년 안전목표 전문부회를 설치하여 안전 목표의 검토를 시작해 2003년에 중간보고를 실시했다. 거기에서 사업자가 달성해야 할 안전목표 안을 아래와 같이 제시했다²¹⁶.

· 질적 목표는 공중의 일상생활과 관련된 건강 위험을 유의하게 증가시키지 않는 수준으로 억제할 것

· 정량적 목표는 원자로 시설의 사고로 인한 피폭에 의한 시설주변 공중개인의 급성사망 위험이 10^-6/로년 정도를 초과하지 않도록 억제할 것, 사고로 인한 방사선피폭에 따른 암에 의해 시설에서 일정범위의 개인평균 사망위험이 10^-6/로년 정도를 넘지 않도록 억제될 것

그리고 내부사건과 외부사건의 안전목표로의 적합성 판단기준을 원자력 시설의 성능목표로 정했다. 그 지표로서 ①노심손상, ②저장용기 기능상실, ③조기 저장용기 기능상실, ④대규모 방출 등이 있으나, 시설을 대표하여 정량화할 수 있는 ①과 ②만을 성능목표로 했다. 구체적으로 지표I로, 1 노심손상 빈도 CDF가 10^-4/로년 정도, 지표II로 ② 저장용기 기능상실 빈도 CFF가 10^-5/로년 정도로 했다. 또한 고려해야 할 사항으로 여러 입지의 영향, 지진 등 자연 현상에 따르는 불확실성의 고려나 외부 사건의 PRA 기술향상을 들고 있다.

여기서 큰 문제는 ③조기 저장용기 기능상실과 ④대규모 방출을 제외하고 있다는 점이다. 그 배경에는 양자는 발생 빈도가 작다는 평가가 있는 것처럼 생각되지만, 조기 저장용기 기능상실이라는 것은, 고압에서 원자로가 파괴하는 저장용기 분위기 직접가열 및 수소폭발, 수증기폭발 외에 수증기와 비응축 가스에 의한 저장용기 과압손상 이외의 저장용기 파괴모드를 의미하고, 에너지가 큰 폭발적 현상이 많다. 또한 방사성 물질의 대규모 방출은 격납용기 필터벤트의 고장이나 격납용기의 격리 밸브가 열린 채 고장나는 격납용기 우회 또는 격납용기 조기손상을 동반하는 경우도 생각할 수 있다. 어쨌든 간에, 한쪽에서 CDF와 CFF를 계산해 놓았지만, 발생확률이 작은 현상을 무시함으로써 격납용기의 건전성을 담보한 것으로 하려 하고 있는 것이 매우 무리한 논리 전개이다. 후쿠시마 원전사고를 생각하면, 예를 들어 BWR형 격납용기 건물 내에서 연달아 수소 폭발이 발생하는 것을 예견할 수 없었던 것을 어떻게 보고 있는 것인가? 건물내 수소폭발의 발생확률은 어느만큼 간주되고 있었는지 다시 확인해 보면, 확률이 작다고 무시하는 것의 문제가 분명할 것이다.

또한 노심손상 확률을 안전목표로 할 때, ‘일본에서는 지진 해일이 많지만 내부사건에 의한 노심손상 확률이 미국보다도 작고, 미일의 노심손상 확률은 미국에 비해 충분히 낮다’고 한 논의가 있었다.

그러나 사고피해의 영향을 비교하려면 일본과 미국의 국토의 차이와 인구밀도를 고려할 필요가 있다. 만일 일본과 미국에서 같은 규모의 사고가 일어났을 때 집단피폭량과 오염의 범위, 경제적 손실 등 영향의 정도는 압도적으로 일본 쪽이 엄중하다. 걸핏하면 일본은 스스로의 머리로 생각하지 않고, 미국 안전목표의 형편이 좋은 부분만을 그대로 베끼거나 하는 경향이 있다.

6.3 원자력 발전의 안전성이 담보되지 않는 이유

6.3.1 노심용융에 따라 손상될 수 있는 격납용기에 의미가 있는가?

 체르노빌 원전사고시 체르노빌 원전과 같은 RBMK형 원자로 (흑연감속 비등경수 압력 관형 원자로, 소위 채널로)는 격납용기가 설치되어 있지 않다 (즉, 격납용기를 가진 일본의 원전은 체르노빌 같은 사고가 발생하지 않는다)고 일본의 원자력 공학자들은 주장했지만 일본의 원전격납 용기는 후쿠시마 원전사고에서 드러난 바와 같이, 최종적으로는 격납 용기벤트를 강요당해, 상황에 따라서는 대규모로 파괴될 가능성도 있었다. 후쿠시마원전 2호기의 격납용기는 분명히 손상되었지만, 원인은 알려져 있지 않다. 격납용기가 있으니까 괜찮다고 하는 것은 환상에 불과하다.

국내원전에 대해 각 전력회사가 실시한 PRA 결과를 보면, 예를 들면 BWR 마크II형인 도카이 제2(☞ 그림27)²¹⁷에서는 노심손상 빈도 CFD가 3.6 × 10^-5/노년에 대해서 격납용기 손상빈도 CFF는 똑같은 3.6 × 10^-5/노년이고²¹⁸ 이것은 붕괴열 제거실패 (TW, TBW)에 의한 격납용기 선행손상 (노심용융 전에 격납용기 손상)이 사고 시퀀스의 대부분을 차지하기 때문이다. 또, 같은 BWR 마크I개량형인 오나가와 2호²¹⁹에서도, CDF와 CFF는 똑같이 5.5 × 10^-5/노년으로, 여기에서도 격납용기는 가혹사고에 대해서 전혀 도움이 되지 않는다. 한편 PWR을 보면 이카타 3호,²²⁰ 겐카이 3 · 4호,²²¹ 도마리 3호,²²² 모두 CDF가 2.2 ~ 2.3 × 10^-4/노년에, CFF는 2.1 × 10^-4/노년이라고 노심 손상의 경우에는 약 95 %의 비율로 저장용기 파손에 이른다. 즉, BWR도 PWR도 과거의 사고를 생각하면, 격납용기는 거의 존재 가치가 없는 것이 된다.

또한, PRA의 절대값을 상세하게 논의해도 소용없지만, 경향으로서 PWR은 후쿠시마 원전사고를 일으킨 BWR에 비해 1자리 가까이 노심손상 빈도가 큰 것은 주시할 필요가 있다 (☞ 그림 28). 왜냐하면 PWR을 채용하고 있는 전력사업자 가운데서는 후쿠시마 원전사고에 대해 ‘PWR은 후쿠시마와 같은 사고를 일으킬 가능성이 작다’고 하는 견해도 가끔 들리지만, 원래 맨처음 노심손상 사고를 낸 것은 미국 스리마일원전이며, PWR이 아니었는가. 그림 28의 일본 및 미국의 전체 개별플랜트 평가의 PRA 결과^223를 보는 한, 오히려 PWR의 것이 노심용융을 일으키기 쉽다고 볼 수 있다. 또한 이 분석 결과의 경향은 미국 NRC가 1975년에 대표적인 5공장의 확률론적 리스크평가로 실시한 NUREG-1150 (☞6.2.4)에서도 마찬가지이다.

6.3.2 필터환기는 유효한가

격납용기는 방사성물질의 확산을 방지하는 마지막 보루라고 하지만, BWR형의 경우 사고시에 압력억제 풀이 작동하지 않는 사태가 되거나, 장기적으로 해수냉각계 즉 원자로의 열을 격납용기를 거쳐 바다에 버리는 최종 히트싱크라는 기능이 상실되면 격납용기의 압력·온도가 상승하여 결국 격납용기 과압파손・과열손상에 이른다. PWR형은 압력억제 풀이 없기 때문에 격납용기의 부피가 BWR의 5배에서 10배 가까이 크지만 그래도 최종 히트싱크가 없으면, 시간의 문제로 결국 격납용기 과압파손・과열손상에 이른다.

이러한 격납용기의 과압 · 과열손상은 격납용기의 가장 대표적인 파괴모드 (망가지는 방법)이고, 후쿠시마 원전사고로 격납용기의 과압이 진행되어, 격납용기에서 방사성물질과 함께 수증기와 가스를 방출하는 격납용기 벤트를 실시하지 않을 수 없게 되었다. BWR은 격납용기 벤트 때에 압력억제 풀의 물을 통해 방출 (이것을 웨트 웰 벤트라고 함)하면 일정정도 방사성물질을 제거할 수 있지만, 압력억제 풀의 수온이 올라가 버리거나 밸브 조작을 할 수 없거나 고장나 버리면, 압력억제 풀을 거치지 않고 격납용기 벤트 (이것을 드라이 웰 벤트라 함)를 하지 않을 수 없게 된다. 후쿠시마에서도 드라이 웰 벤트가 행해졌다.

이런 사태에 대비해 새로운 규제기준은 격납용기 환기 라인에 필터를 붙여 방사성물질의 제거와 억제하는 것을 의무화했다. 필터환기는 유럽에서는 1990년대부터 도입되었으며, 늦게나마 설치하는 방향으로 움직이고 있다. 그러면 필터환기를 붙이면 환기 때에 방사성물질의 방출이 억제되어 피난할 필요가 없어지는 것인가?

 그림 29에 도카이 제2원전 필터환기 장치의 개념도를 제시한다.²²⁴ 필터는 물풀에 의한 것과 금속필터의 2종류가 짜여져 있는데, 전자는 수위와 수온을 제어하고 이 계통에 필연적으로 흘러들어 오는 대량의 수소 처리장치도 필요한 매우 복잡한 시스템이다. 금속 필터도 장시간 사용에는 교환이 필요할 것이다. 환기 라인도 필터 환기계와 종래의 내압환기계로 나뉘어, 많은 밸브를 복잡한 절차로 타이밍 맞게 조작할 필요가 있다. 후쿠시마 원전사고에서 단 2개의 벤트 밸브를 8시간이나 걸려서 겨우 연 것을 생각해도 이같은 복잡한 장치가, 그것도 가혹사고라는 비상사태에 과연 작동할지 여부는 매우 의심스럽다.

원래 필터환기 시스템은 본래 격납용기의 압력억제 풀과 기본원리는 동일하며 신뢰성이 의심스러운 시스템을 가혹사고용으로 다중화한 것으로도 간주된다. 또 문제는 가혹 사고시 격납용기에서 나온 후의 필터환기 시스템은, 본래 모든 배관･밸브가 격납용기 영역과 동등한 기능·신뢰성이 요구된다. 만약 필터환기계의 일부에서 새 버리면 필터가 작동하지 않고 필터환기시계는 격납용기로부터 격리되게 되어, 곧 필터없이 환기로 이행하게 된다. 격납용기 바운더리는 심플한 용기와 격리밸브로 구성되는 준 수동 안전장치이지만, 거기에 신뢰성이 낮은 복잡한 필터환기 장치를 추가하는 설계 사상은 설계공학 및 안전설계의 관점에서는 의문이다.

이러한 상황의 변화(방사능을 가두는 격납용기에서 환기하지 않을 수 없게 된)에 대한 대증요법적인 군더더기 개량을 하는 것을 설계공학 분야에서는 「부가적 설계」로 경계하고 있다. 처음 설계시의 조건에서 크게 달라진 단계에서, 하나부터 전체의 설계를 검토하는 「토탈 설계」의 시점이 중요하다. 다시 기본 설계의 관점으로 보면, 원래 격납용기 자체의 크기가 부족하다는 사실에 이른다. 안전설계의 근간은 고장이 나더라도 안전이 보장되는 설계로 하는 것이다.

6.3.3 PRA의 기본적인 문제점

 WASH-1400 이후 확률론적 위험평가(PRA)에는 다음과 같은 문제점이 있음이 지적되어 왔다.

사토 카즈오는 아래 ①부터 ⑨를 지적하고있다²²⁵.

① 어떤 사고시퀀스가 일어날 확률에는 불확정성이 있다.
② 어떤 사고시퀀스에서 어떠한 현상이 일어났는지 알 수 없는 바가 있다.
③ 기기의 고장률 데이터에 불확정성 (국내 데이터 없이 해외 고장률 데이터를 사용하는 일도 있음)이 있다.
④ PRA결과에 유의미하게 기여하는 사고시퀀스를 망라했는지가 반드시 명확하지 않다.
⑤ PRA는 ‘대표 플랜트’가 아니라 각 플랜트의 특징을 세밀하게 고려해야 한다고 하지만, 고장률 데이터는 다수의 동종기종의 평균으로 구해지는 일이 많다. 그렇게 되면 어느 정도 플랜트 독자의 설계를 고려하더라도 그 플랜트의 PRA가 완전히 그 플랜트 독자의 것이 되지는 않는다.
⑥ ET (Event Tree)에서는 그 분기에서 성공 또는 실패의 양자 택일로 되어 있으며, 그 이외의 중간적인 상태는 상정할 수 없다.
⑦ ET는 기본적으로 정적인 것으로, 시간과 함께 변동하는 동적인 상태를 완전하게 기술하는 데에는 한계가 있다. (동적 ET의 개발도 진행되고 있다.)
⑧ ET 및 FT (Fault Tree)의 분기된 가지는 각각 독립적(상호 인과관계가 없는)일 필요가 있지만, 공통요인 고장 등이 있으면 그대로는 성립하지 않는다. 공통요인 고장은 설계단계에서 충분히 검토하여 제거할 필요가 있지만, 설계상의 누락이 동시에, 건설, 유지보수 공사 단계에서도 그 잠재적인 요인이 실수로 들어갈 수 있는 문제이기도 하며, PRA의 실시에서 원리적으로 어려운 문제이다.
⑨ PRA 적용에 가장 큰 문제가 되는 불확정성 요인의 하나가 인적 인자이다. 그중에 인간･기계･시스템에서 인간과 기계의 역할분담의 최적화 문제가 관계된다. 또한 이러한 경우에 인간의 능력, 환경에 지배되기 십상인 인간의 신뢰성의 유지, 평가를 위해 ‘안전 문화’가 중시되고 있다.

 PRA에서 조심하지 않으면 안 되는 중요한 문제는, 위험을 드러내 작업인데 처리 가능한 위험만을 추출하고 대처곤란한 위험을 무시하는 경향이 있는 것이다.

후쿠시마 원전사고에 대해 두 사람의 철도기술자²²⁶가 ‘원자로는 PSA(확률론적 안전 평가, PRA와 같은 뜻)의 입장을 중시하여 설계되어 온 것이지만, 본질안전²²⁷의 입장을 끝까지 추구하지 않고, PSA로 좋다고 한 것에 근본적인 문제가 있다.’ 또한 예비 전원이 부족했었다는 상황에 대해 ‘본질안전론의 입장에서 보면 원래 전기에너지를 계속 공급해야 안전이 확보되는 구조자체가 중대한 잘못인 것이 된다.’ ‘PSA를 절대시하면 본질안전에 의한 “최후의 수단”에 생각이 미치지 못한 채 숫자만으로 문제 없음으로 해버릴 수 있다’고 엄격하게 지적하고 있다. 본질안전 및 확정적 안전, 또는 수동적 안전 등의 기본적인 안전설계 사상을 견지하지 않고, PRA (또는 PSA)에 의존해 버리는 것의 한계를 잘 표현하고 있으며, 원자력 관계자는 경청할 만한 내용이다.

6.3.4 안전 문화(safety･culture)라는 환상

후쿠시마 원전사고의 상황을 보면, 아무리 “안전 문화”를 기반으로 인적·조직적 활성화를 목표로 하더라도 인간이 가지는 지속력을 유지하는 데에는 한계가 있고, 시간이 지남에 따라 문화 그 자체가 변질되어 가는 것을 생각하지 않을 수 없다. ‘안전 문화’의 중요성을 부정하는 것은 아니지만, 이상적인 인적 요인, 조직적 요인을 목표로 하는 원자력 안전의 기반은 항상 그 열화(劣化)에 노출되고, 결국 한 세대도 지나지 않은 동안에 형해화한다고 생각하는 편이 자연스러울 것이다.

TMI 사고에서 7년 후에 체르노빌사고가 발생하고, 또 그로부터 25년 후에는 후쿠시마 원전사고가 일어났다. 각각 설계도 다르고 나라와 운전원도 다르지만, 사고의 교훈은 배웠을 터이다. 그러나 오랜 세월에 걸쳐 사고의 교훈을 풍화시키지 않고 안전 문화를 유지할 수 있다고 생각하는 것 자체가 환상일 것이다. 안전성의 근간은 원전의 설계사상 자체와 그 구조 및 운용방법이며, 후쿠시마 원전사고의 철저한 통찰과 반성이 없는 채 ‘안전 문화’에 기대하는 따위는 생각할 수 없다. ‘안전 문화’에 의존해서 원전의 안전성을 확보하려고 하는 것은 안전신화 그 자체이다.

이카타 원전의 재가동에 즈음하여 규제위원회는 ‘안전목표의 지속적인 검토를 포함하여 안전문화 조성을 비롯한 안전성 향상에 이바지하는 활동의 촉진을 도모하는 것이 필요하다고 생각한다’라고, 필요성을 언급할 뿐 검증을 실시하지 않고 있다. 이러한 겉치레 말에 그치고 있는 것이 현재의 상황이다.

6.3.5 사고에 이를 가능성을 부정할 수 없는 잠재적인 설계 미스

원자력플랜트의 설계, 제작, 설치, 운전, 보수의 전 과정을 통해 오류나 고장이 있을 수 있지만, 특히 중요한 것이 드러나지 않는 기본적인 설계미스이다. 후쿠시마 원전사고로 말하면 가혹사고 때 격납용기의 내성평가(설계기준을 초과해서 어디까지 압력 · 온도에 견딜 수 있는가)는 일단 실시하고 있었지만, 격납용기의 플랜지(flange)와 전기 침투 등의 유기 밀봉재(seal)로부터 수소의 누출은 고려하지 않았다. 그 때문에 격납용기에서 누출된 수소가 원자로 건물 상부에 고여 1호기, 3호기 및 4호기(3호기의 배기계통에서 역류되는)에서 수소폭발을 일으켜 사고의 수습을 매우 어렵게 했다. BWR은 격납용기에 질소를 채워넣어(봉입) 수소폭발에 대한 최대의 대책을 실시해 왔는데도, 수소폭발을 막지 못한 것은 중요한 문제이다.

또 하나는 격납용기 내의 온도·압력이 설계기준을 초과했기 때문에 노심용융(융해) 후 원자로 수위계가 오작동하거나 격납용기 내의 압력상승으로 원자로를 감압하는 SR밸브가 배압으로 작동하지 않았을 가능성이 있는 것이다. 이것들은, 설계기준은 그대로 하고 가혹사고시의 조건에서 격납용기 본체는 충분하게 내성평가를 했지만, 다른 계기나 기기류의 기능 확인은 하지 않았던 것에 의한다.

이것은 가혹사고 대책의 설계미스이며 조직 간 전달미스이다. 그 배경에는 가혹사고 대책이 규제요건이 아니고, 사업자 즉 전력회사와 기업의 자율성에 맡겨졌던 것이 있다. 현행 새로운 규제기준에서도 가혹사고시의 조건은 단순한 목표치에 지나지 않고, 그 이상으로 압력·온도가 올라갔을 때에는 후쿠시마 원전사고와 마찬가지로 기기류의 기능 부전이 일어날 위험성을 부정할 수 없다.

원래 노심용융을 일으킨 경우에 온도와 압력의 정확한 예측과 측정이 가능하지 않다. 또한 마찬가지로 건설시에 해일대책 등이 충분히 고려되지 않고 지하에 배전반 및 비상 디젤 발전기를 설치했지만, 그후의 해일기준의 재검토 기회가 있었음에도 불구하고 설계변경을 하지 않았다. 이것도 설계 조건의 설정·검토 단계에서 있는 넓은 의미에서의 설계미스이다.

BWR의 격납용기의 압력억제 기능도 조건에 따라 기능상실되어 버리는 결함이 있었다. 후쿠시마 원전사고에서 어디까지 발생했는지는 알 수 없지만 적어도 지진에 의한 압력 억제실 풀물의 요동(슬로싱sloshing이라 함)이 BWR형 격납용기 설계의 근간인 압력억제 기능을 상실하거나 약하게 하는 작용을 하는 것은, 설계상에 고려되지 않았던 중대한 결함이며, 현재도 방치되어 있다.

즉, 구체적인 시스템이나 장비의 설계에서 잠재적인 설계상의 미스가 숨겨져 있을 가능성이 있음이 우려된다. 이러한 오류는 우연히 사고의 진전에 따라 표면화하게 되지만, 해당사고에 관계가 없는 부분의 오류는 간과될 가능성이 있으며, 그것은 곧 다음의 다른 유형의 사고를 준비하고 있는 것이 된다.

6.3.6 사고의 물리적인 진전이 상정되는 사건을 무시해서는 안 된다

복잡한 시스템의 위험평가를 실시하는 데 있어서 하나의 지표로서 PRA가 유효한 경우가 있음은 부정하지 않는다. 예를 들어, 시스템에서 장치를 개선했을 때 설계변경 전후해서 얼마나 개선되었는지 하는 상대적인 평가에는 일정한 의미가 있다. 그러나 기인사건이나 사고시퀀스 속에서 분명히 큰 (피해) 위험성이 지적된 경우는 결정론적으로 사고의 발생·진전이 예견되었다고 보아 신중한 평가･대책을 해야 한다.

예를 들어, 가혹사고 대책의 평가에서 ‘항공기 추락은 확률(10^-7/로년 이하)이 작기 때문에 일어나지 않는 것으로 한다’, ‘PWR에서는 해석에 의해 격납용기 내의 수소농도는 폭굉 한계에 이르지 않는다고 한다’, ‘격납용기 내에 발생한 수소의 농도를 저하시키기 위해 점화기로 점화한 경우 폭발할 위험을 무시한다’, ‘PWR에서 원자로가 냉각될 수 없게 되었을 때, 원자로 공간에 예비수를 뿌려 원자로에서 떨어지는 노심용융 데브리(파편)를 물에 낙하시켜도 수증기 폭발이 일어나지 않는다’고 되어 있다. 항공기 추락은 확률이 작다고 하고 있지만, 구미에서는 이미 이중 격납용기를 설치하는 대책이 실행되고 있는 것은 이미 언급하였다 (☞ 6.1.6). 사업자 측의 주장에서는 있을 수 없다고 생각했던 지진과 예견되어 있었지만 그것을 무시하고 온 대해일을 경험한 일본에서 왜 항공기추락을 무시할 수 있는지 궁금하다.

확률이 작지만 막대한 피해가 추측되는 사태에 강도평가조차 하지 않고 전혀 대책을 하지 않은 채, 일어나지 않을 것이라고 하고 회피하려고 하는 것은 원자력발전 사업자로서의 질을 묻게 한다. 그것을 확실한 증거도 없이 추인하는 규제위원회도 원자력 안전규제에 관여할 자격이 있다고는 말하기 어렵다.

6.3.7 중요한 안전평가를 불확실성이 큰 해석만으로 승인해서는 안 된다

PWR의 격납용기 내에서 수소가 발생했을 경우, BWR과 달리 격납용기에 질소충전을하지 않았기 때문에, 수소폭발의 위험성이 매우 높다(☞1.6). 그럼에도 불구하고 작은 용량의 촉매식 수소재결합 장치에서 수소를 줄여준다거나 전량수소가 나와도 폭굉한계 (약 13 %)에는 못 미친다는 해석 결과를 바탕으로 수소폭발은 일어나지 않는다고 하는 전력사업자의 설명이 새로운 규제기준 하에서도 승인되어 왔다. 수소발생량에서 격납용기 내의 구조물로의 가스 주입과 배출은 기기의 열원, 격납용기 내의 대류 등의 영향을 받기 때문에 수소농도의 편차를 고려해야 한다. 폭연에서 폭굉으로의 전이나 예상치 못한 사고의 진전 등 여러가지 가능성을 생각하면, 외란이 없는 이상적인 상태에서의 해석에 의해 ‘수소농도가 13%에 도달하는 일은 없다’고 하는 책상머리 평가로 결론을 내는 것은 안전성을 평가하는 공학의 상식으로부터도 벗어나 있다.

덧붙여서, 가압수형 원자력발전소에서는 오이 3·4호기 및 겐카이 3·4호기의 수소농도 최고값이 약12.8%, 이카타 3호기가 약11.3%, 도마리 3호기가 약11.6%라고 하여, 폭굉 방지의 판단기준치 13% 이하이기 때문에 폭굉은 발생하지 않는다고 하고 있다. 개별 파라미터는 보수적으로 평가하고 있다고 하고 있지만, 다양한 수치의 불확실성과 함께 예기치 못한 사고 시나리오, 예를 들어 코어콘크리트 반응이나 배관·기기의 파손 등의 사태를 생각하면, 폭굉이 발생하는 수소농도에 안전여유는 거의 들어 있지 않다²²⁸. 코어콘크리트 반응에 의한 콘크리트 침식량을 MAAP (주로 전력사업자가 사용)라는 해석 코드와 MERCOR (주로 규제측이 사용)라는 해석 코드로 비교하면 시간의 경과와 함께 양자의 해석에 의한 값은 멀어져가서, 수백 시간 후에는 전자의 콘크리트 침식량 2m에 대해서 후자의 그것은 18m나 된다는 데이터까지 있다 (☞1.6.1).

원래, 분석평가에 불비함이 우려될 뿐만 아니라 안전성을 어떻게 확보하는가 하는 관점이 없는 가운데, 열악한 환경조건에서의 실증시험이 행해지지 않았다. 구 원자력 발전기술기구 (NUPEC)에서 ‘가연성 가스 농도 분포 혼합 거동 시험’과 ‘가연성 가스 연소 거동 시험’이 실시되었지만 주로 해석코드의 검증이 주된 목적으로 수소성층화에 대한 평가나 본격적인 폭굉 등 실기에서의 실증성이 제시된 것은 아니다. 또한 수소를 부분적으로 연소시키는 이그나이터 (☞3.4.1)는 점화타이밍을 제대로 못 맞추면 자폭장치가 된다. 이러한 평가방법은 산업안전 위생법상으로도 문제이다. 복잡한 과정을 포함하는 중요한 안전문제를 책상머리 해석에 의해 타당하다고 하는 판단에 기본적인 의문이 머리를 떠나지 않는다.

6.3.8 과학적 관점과 안전의 논리를 무시한 수증기폭발 평가

수증기폭발에 관해서도 실험데이터의 해석에서 폭발은 일어나기 어렵고 실기에서의 폭발의 계기가 될 트리거링이 없다는 이유로 전체 PWR형 원전에 대한 수증기폭발의 위험이 작다고 했다 (☞1.5). 물론, 물을 넣지 않으면 코어 콘크리트 반응(용융노심 콘크리트 상호작용)²²⁹이 일어나 콘크리트와 용융데브리(파편)의 반응은 멈출 수 없지만, 용융 파편이 물과 접촉하는 경우에 일어날 가능성이 높은 대규모 수증기폭발을 불확실한 정보를 바탕으로 일어나지 않는다고 하는 전력회사와 규제위원회는 문제의 심각성을 어디까지 이해하고 있는지 의심스럽다.

최근에는 원자로 캐비티 내에서 수증기폭발이 일어나도 구조파괴는 일어나지 않을 가능성이 있다는 보고도 보인다. 그러나 실기에서의 용융노심데브리는 100톤 가까이에 달하지만, 수증기폭발 실험의 데브리(파편)의 무게는 기껏해야 수십 킬로미터에서 수백 킬로미터 정도이니, 스케일이 너무 다르다²³⁰. 수증기폭발의 규모를 규정하는 기계적 에너지로의 변환률, 폭발에 의한 구조파괴 부위의 강도검토 등 모두 신중하게 확인이 이루어진 후에 비로소 안전성을 확인하는 심사가 가능해진다. 애매하고 또 불확정성이 크고, 수백분의 일에서 일만분의 일이라고 하는 스케일이 다른 실험으로 도대체 어디까지 알았다고 말할 수 있는 것일까?

후쿠시마 원전사고는 BWR의 마크I형 격납용기였기 때문에 원자로 압력용기 바로 아래에는 대량의 물이 없었기에 큰 수증기 폭발은 일어나지 않았다고 생각되고 있다. 그러나 도카이 제2원전과 같은 마크II형의 경우는 원자로 압력용기의 직하에 원자로 페데스탈(받침대)의 중간 슬래브(두께 약 1.5m 내외의 콘크리트 바닥)가 있어, 용융노심은 중간 슬래브 위에서 수증기 폭발을 일으키거나, 혹은 중간 슬래브(석판)를 녹이고 직하의 압력억제 풀에 떨어져서, 대규모의 수증기폭발을 일으킬 가능성이 높다 (☞p.131의 그림 27). 더군다나 중간 슬래브에는 드레인섬프(배수구)가 깊이 파져있어 콘크리트 바닥의 두께는 절반 이하로 되어있다. 일본 원자력발전(원전)에서는 드레인섬프 등의 개조공사를 한다고 하고 있지만, 충분한 대책이 될 수는 없다. 원전은 새로운 규제기준의 심사에서는 노심융해를 일으킨 경우에 물이 없으면 코어콘크리트 반응을 막을 수 없고, 수심이 깊으면 수증기폭발의 규모가 커지므로 중간슬래브의 수심을 약 1m로 컨트롤 한다고 한다²³¹. 후쿠시마 원전사고의 경위를 상기해 보면, 가혹사고 상태에서 그런 수심 1m를 지키기로 하는 수량의 미묘한 컨트롤을 할 수 있다고 하는 발상이 심상치 않다.

수증기폭발은 역사적으로 원자력 안전의 가장 기본적인 문제 중 하나이며, 특히 격납용기 내 수증기폭발은 가장 불확정성이 큰 과제로 되어왔다. 수증기폭발에 대한, 후쿠시마 원전사고 이후의 대략 과학적이라고 말하기 어려운 해석과, 기본적인 안전의 관점이 전혀 없는 것에 무서움마저 느낀다.

6.4 원자력 발전은 다른 기술과 무엇이 다른가

6.4.1 원전은 안전장치가 작동하지 않으면 파국에 이른다

원전이 안전성의 관점에서 항공기나 자동차와 다른 것은, 그 제어의 어려움과 동시에 대량의 방사성 물질의 존재이다. 사고의 초기상태에서 수습하면 좋겠지만, 사고의 진전과 함께 방사성 물질의 누설을 수반하여 작업환경이 엄중해져서 사고수습이 더욱 곤란하게 된다. 그리고 사고가 일정 단계 (임계값, threshold)을 초과하면 단번에 원상회복이 곤란하게 된다. 화재로 말하면 초기 진화단계에서 소화에 실패하고 방 가득 불이 퍼져버려 이미 소화가 불가능한 상태에 해당한다. 이 「임계값」에 상당하는 것이 노심용융이다. 원전의 안전설계 사상은 이 노심용융을 일으키지 않게 하는 것에 있었지만, 현실의 원자력 플랜트는 노심용융을 방지할 수 없는 것이 분명해졌다. 그러자 심층방호라는 설계 개념을 들고 나와, 노심냉각은 포기하고 수증기폭발의 위험성을 무시하고 격납용기 하부에 물을 채우는 운에 맡기기 도박에 나섰다. 동시에 격납용기의 과압파손을 방지하기 위해 격납용기 필터벤트를 마련하기로 했다.

그러나 후쿠시마원전 사고시 중앙조정실과 원자로건물 및 주변의 정황을 생각해 보면, 수소처리장치를 비롯한 다양한 서브 시스템과 복잡한 필터환기 장치를 실수나 고장없이 운용할 수 있는 보장은 전혀 없다. 필터환기 장치는 격납용기 바운더리 (boundary)의 일부로 생각해야 하는 장치이며, 종래에 비해 격납용기가 가지는 수동적 안전기능(☞6.1.6)을 저해하는 면도 부정할 수 없다. 즉, 필터환기 장치에 의해 방사성 물질의 방출이라는 사고의 발생확률을 떨어뜨려도 어디까지나 확률적 안전 (☞6.1.5)이며, 사고의 발생을 없앨 수는 없다. 게다가 추가한 필터벤트 장치가 작동하지 않는 사태를 생각하면, 격납용기 파괴 또는 기능상실에 의한 방사성물질의 대량 방출이라는 최악의 사태가 없어지는 것이 아니다.

즉 확률적 안전장치의 추가는 사고의 발생 확률은 감소시켜도 최악의 사고 피해규모를 감소시킬 수 있다고는 말할 수 없다. 사고의 발생확률이 줄어드는 것은, 평균적으로는 사고의 도중에서 진전이 멈출 가능성을 높이지만, 최악의 사고피해의 크기와는 아무런 관련이 없다.

원전은 확률적 안전에 의지한 설계이며, 다중방호와 심층방호를 아무리 강화해도, 대규모 사고의 발생가능성은 남게 된다. 게다가 사고의 상황에 따라 스스로 목숨을 돌보지 않고 사고에 대처하는 결사대의 희생 위에서만 사고수습이 가능한 사태에 빠진다. 항공기와 자동차 사고에서도 사고의 가능성은 없어지지 않지만, 최악의 사고 피해의 크기는 비교 대상조차 되지 않는다. 왜냐하면 한 번의 사고에서 국가의 존립조차 위협받는 규모의 사고를 일으키는 것이 허용될 리 없고, 또한 일어났을 때 손실의 크기를 아무도 보상할 수 없기 때문이다.

6.4.2 민주주의 사회의 근간을 흔드는 원전이라는 기술

전력회사가 보상할 수 없는 원전사고의 경제적 손실은 결국 세금, 즉 국민의 부담이 되고 만다. 또한 운전자의 주의력에 의존하는 자동차는 일정한 수준 이하로 사고를 줄이는 것은 어렵지만 불행하게 일어나 버린 자동차 사고에 대해서는 보험으로 커버하는 것으로 사회적 관행이 성립되어 있다. 항공기의 경우 사고가 나면 상당한 확률로 사망자가 나오지만, 사고가 무서운 사람은 항공기를 타지 않을 수도 있다. 이 경우에도 탑승 전에 생명보험을 드는 등 사고의 결과와 보상에 대해 일단 본인을 포함한 사회적 합의가 성립되어 있다고 간주할 수 있다.

원전의 경우에는 어느 범위까지 어느 정도의 피해가 있는지를 사전에 파악할 수 없고 사고규모의 상한조차 모른다. 그리고 현재 일본에서 더 큰 문제는 국민의 과반수가 재가동에 부정적인 가운데, 사고의 피해 규모와 그 가능성에 대해 제대로 된 설명을 하지 않고 있는 것이다. 피해의 최대 규모와 발생가능성에 대해서도 모든 정보를 공개하고서, 주민 한 사람 한 사람의 의견을 들어야 한다. 그러나 편의적으로 30km라는 거리로 선긋기를 하고 행정 편의대로 설명 대상에서 제외되는 사람들이 많이 있다.

원전은 사고를 일으켰을 때에 갑자기 예상치 못한 피해자를 창출하지만, 그런 입장이 될 수 사람들의 의견조차 듣지 않는다. 잠재적인 피해자는 불합리하게 원전사고가 만일 일어나면 돌이킬 수 없는 피해를 입을 가능성이 있고 (급성 또는 만성 방사선 장해의 위험을 안게 될 우려, 생업과 고향을 잃을 우려 등 다방면에 걸친다), 그 피해인원도 일본의 인구밀도를 고려하면 수백만은커녕 수천만에 이를 가능성을 부정할 수 없다. 원전을 운전함으로써 이익을 얻는 사람들은 잠재적인 피해자와 일치하지 않는다. 즉, 도시에 사는 사람이나 전력회사와 관련기업의 메리트(이익)을 위해 도시 이외의 주민에게 매우 엄중한 위험을 지게 한다고 하는 불합리가 있고 그것을 일방적으로 강요하는 원전의 존재는 민주주의 사회의 근간을 흔드는 문제인 것이다.

(끝)

-번역자 강인선 성공회대 교수-

204 이같이 자동적으로 폭주를 억제하는 성질을 「자기제어성」이라고 함.
205 일본변호사연합회 「원자력 발전소의 제어봉 탈락사고 은폐문제에 관한 의견서」 2007년8월23일
206 「제어봉 인출 사태 조사위원회 기구해명WG보고」 원자력학회2007년가을
207 佐藤国仁(2001) 「국제안전규격의 동향과 안전확인형시스템의 개요」『ESPEC기술정보』27(2001년10월)의 그림1「제동장치」을 수정함.
208 전주와 같다.
210 전게서 『원전 제로 사회로 가는 길』 (2014) 4-7 「새로운 규제 기준은 “세계 최고 수준”과는 거리가 멀다」 pp.160-164 참조.
211 하마다 노부오 (2013) 「원전의 기준 지진동과 초과 확률」 『일본 지진 학회 뉴스 레터』25(3)
212 사고로 발전할 수 있는 공장 내부의 기기류의 고장이나 인적 과실을 의미한다. 지진이나 해일, 화산, 항공기 추락 등의 외부 사건에 대해 그 밖의 것을 내부 사건으로 볼 수도 있다.
213 지진 PRA는 쓰나미 PRA에 비해 연구가 선행되어, 2007년에는 원자력학회에서 지진 PRA의 실시 기준이 정리되어 있었다.
214 샐리 원전 (PWR, 3루프, 저압 저장용기) 시온 원전 (PWR, 4루프, 대형건조 저장용기), 세쿼이아 원전 (PWR, 아이스콘덴서형 저장용기), 피치버텀 원전 (BWR, MARK- I 저장용기) 그랜드걸프 원전 (BWR, MARK-II 저장용기)
215 사토 가즈오 (2006) “개정 원자력 안전의 논리” 일간 공업 신문사 p.278를 요약
216 (2016) ‘원자력 발전 플랜트의 안전목표’ 『학술 동향』21 (3) pp 39-43
217 일본 원자력발전 주식회사 2014) 「도카이제2발전소 확률론적 위험평가 (PRA)에 대해(내부사건 출력운전시 레벨1.5PRA)」 자료 2-4 (2014년 9월) http://www.nsr. go.jp/data/000035967.pdf의 p.4.1.1-54, 제 4.1.1.1-1 그림 ‘격납용기의 형상 및 용융 파편의 이동경로 요약’에 가필 수정하여 본장의 그림 27로 했다.
218 일본 원자력발전 주식회사(2014) 「도카이 원자력 발전소 확률론적 위험평가 (PRA)에 대해」 2014 년 9 월 자료 2-1www.nsr.go.jp/data/000035964.pdf
219 도호쿠 전력주식회사(2015) 「오나가와 원자력발전소 2호기 확률론적 위험평가 (PRA)에 대해」 2015년 7월 자료 1-1-2 http://www.nsr.go.jp/data/000112857.pdf
220 시코쿠 전력주식회사(2013) 「이카타 발전소 3호기 확률론적 위험평가 (PRA)에 대해 보충설명자료」 2013년 1월 자료 3-2-3 http://www.nsr.go.jp/data/000034915. pdf
222 홋카이도 전력공사(2013) 「도마리 발전소 3호기 확률론적 위험평가 (PAR)에 대해 “2013 년 12 월 자료 1-1 http://www.nsr.go.jp/data/000034879.pdf
223 시마다 요시오(2002) 「가압수형 원자로에 대한 레벨1 PSA의 불확실성의 수렴과 불확실성에 기여하는 중요요인 해석」 원자력안전 시스템연구소 『INSS JOURNAL』 Vol.9 : pp.58 -66
(www.inss.co.jp/wp-content/uploads/2017/03/2002_9J058_066.pdf)의 그림5 「세계의 원자력발전소 운전경험 데이터 (PWRS & BWRS 및 全炉型 (참고 자료)), 미국 108 개의 개별플랜트 평가, 국내 51기의 개별플랜트 평가, Surry1호기, 국내 4루프 PWR 플랜트의 노심손상 빈도 90% 신뢰구간 비교」 시마다의 전거 자료는 미국 NRC의 “NUREG-1560″(미국 내 108기의 개별플랜트 평가)와 제54회 원자력 안전위원회 임시회 2001년 8월 2일 첨부자료 「PSA결과 일람」에 게재된 일본 국내 51기의 개별플랜트 평가이다.
224 일본 원자력발전 주식회사(2017) 「도카이 제2발전소 중대 사고 등 대처설비에 대하여」 자료 2-1-3 2017년 6월 p.167 (3.5-29), 제 3.5-3 그림 「격납용기 압력릴리프 장치계통 개요도」 http://www.nsr.go.jp/data/000192490.pdf
225 전게서 사토 (2006) pp.279-306
226 「본질안전 및 확률적 안전평가에 대해」 나카무라 히데오, 야마모토 마사노리 『横幹』 제5권 제2호(2011년 10월호) pp.53-57
227 장치가 고장 나거나 사람이 잘못해도 반드시 자동적으로 안전한 상태가 되는 시스템이다. 페일 세이프(fail-safe)가 기본이다.
228 이노 히로미쓰 · 滝谷 고이치 (2014) “불확실성으로 가득 찬 가혹한 사고 대책 일신 규제 기준 적합성 심사는 이것 좋을까」 「과학」84 (3) pp.333-345
229 MCCI (Molten Core Concrete Interaction) 1.4.2.1,1.6.1,1.8.1 참조
230 (2015) “원자로 격납 용기 내의 수증기 폭발 위험」 「과학」85 (9) pp.897-905
231 일본 원자력 발전 주식회사 ‘도카이 제2 원자력 발전소 받침대에서의 물리 현상 발생에 대한 대응방침 “원자력규제위원회 심사자료 1-1 2017년4월27일 http://www.nsr.go.jp/data/000187388 .pdf

카테고리:04월호-2019년 탈핵신문 주요기사