2011年5月17日火曜日

安全対策として原発に冗長系を持たせてみてはどうか

2011年05月17日16時11分
木走正水(きばしりまさみず)

 読者に参考になるかどうか何なんですが、最近私が仕事上でちょっと苦労した話を少し。

 私がコンサルしているクライアントの一社に神奈川にある中堅製造メーカーがあります。

 この3月に東京電力が実施した計画停電の対象地域に本社及び工場が入っていたことから大騒ぎになりました。

 停電中は工場のラインは止まるし、社内のPCネットワークもサーバーも停止してしまいますから、停電開始時間前にセーフティに各システムを落とすのが大変な作業だったのですが、経営陣を大慌てにしたのがその会社の一日の売り上げの8割以上を占めていたオンライン受発注システムも停電時間中、当然ながら停止してしまったことです。

 このオンライン受発注システムは、顧客(100社ほど)からの注文をインターネットで受け付け、倉庫の在庫引き当てや不足の場合工場への製造依頼までを自動化しており、本社の営業マン達はこのシステムに頼り切っておりましたから、このシステムが稼働しないとなるとさあ大変です、FAXや電話での対応、倉庫に在庫があるかの確認も人手でしなければならず、停電中は事実上受注が満足にできない事態に陥ってしまいました。

 オンライン受発注システムだけはすぐに復旧し停電に影響なく24時間稼働させたい、と経営陣から相談を受けた私は、取りあえずクライアントのシステム担当者と技術的に短期に対応可能な方策を検討いたしました。

 この会社には幸い中部圏にもう一つ工場を持っていてそこにも当然ながらサーバー室やPCネットワーク環境がありました。

 そこで私たちは経営陣に現在本社で一元管理しているオンライン受発注システム用サーバーを中部圏の工場にも持たせることを提案いたしました。

 いわゆるサーバーのデュアル化であります。

 こうすれば1台のサーバーが停止しても予備のサーバーが稼働すればシステムは停止しないで済みます、2台のサーバー同時に停止しない限りシステムは稼働を続けることができます。

 この提案をしたところ経営陣の中の一人の役員が異議を唱えたのです。

 「本社サーバーを日曜(注文がないためサーバーを止めることができます)を利用して中部圏の工場のサーバー室に運んで設置し直せばいいのではないか。そうすれば高価なサーバーを新たに購入しなくても停電から回避できるのではないか」

 と、こう言うのです。

 いや確かにサーバーを購入しなくて済みますが、それでは予備機がない現状と変わらない、今回の計画停電がよい機会です、停止したら売り上げに直結する大事なシステムであることが再認識されたのだから、今まで対応していなかったことを反省し、2重化して信頼性を向上させるべきです、私は強調いたしました。

 システム工学の専門用語でこのようなバックアップ系、いわゆる予備系を「冗長系」と呼んでいますが、一般の人はこの冗長系を無駄だと判断し易いんでしょうね、特にその冗長系が高価であればあるほど、普段使われない予備のために高いイニシャルコストや維持費が増えるのは理解し難いのかも知れません。

 その役員はなかなか頑固で首を縦に振りません、社長も含めて他の役員にも理解してもらうために、仕方がないので私は普段工業系の学校で教えているシステム工学の信頼性の講義をホワイトボードでするはめになりました。

ここに信頼性99.9%の機械が2台あるとします。

 信頼性99.9%とは1000日使うと一日故障する割合、ぐらいに考えていただいて結構です。

 生産性を重視するならば、この2台の機械を直列に結ぶシステムを構築します。

 2台同時に稼働することを前提のシステムを構築すれば、生産性は1台に比べて2倍になりますが、信頼性は下がってしまいます。

 どちらかが故障するとシステム全体が止まってしまうからです。

 この場合システムとしての信頼性は、0.999 × 0.999 = 0.998001

 すなわち99.8001%に落ちます。

 これは1000日で2日故障する計算になります。

 一方生産性より信頼性を重視するならば2台の機械を並列に結ぶシステムを構築します。

 すなわち2台のうち1台を稼働させ1台は冗長系として予備機とします。

 こうすると生産性は1台のときと変わりませんが、信頼性は遙かに向上します。

 このような冗長系を持てば、このシステムが故障する確率は2台の機械が同時に故障するときだけになります。

 1台の機械が故障する確率は100%から信頼性99.9%を引けばいいですから、0.1%ですね。

 2台同時に故障する確率は0.001 × 0.001 = 0.000001 ですから、

 このシステムの信頼性は 1 - 0.000001 = 0.999999

 すなわち99.9999%に高まります。

 これは100万日で1日故障する計算になります。

 単機で運用するか、直列するか、並列にするかは、もちろん費用対高価の検討が重要です。

 何も全てのシステムで冗長系を持つ必要はありません。

 システムに冗長系を持たせるケースはそのシステムが高い信頼性を保つ必要があるときです。

 おおよそこのような話をさせていただきましたところ、その会社では最終的には社長判断で冗長系を備えることになりました。

 ・・・

 冗長系というのは何もITだけではないですよね。

 多くの国の政府専用機が2機で運用されているのも1機が故障しても運用できるように考慮されたものですし、今の話題で言えば電力会社もリスク回避のために送電網で冗長系を保持しています。

 電力系統の機能停止は、電力供給を受けている需要家すべてに大きな被害を与えることになります。

 特に都市規模の広域停電(大規模停電)では、被害の規模は大きいので、送電網や配電網の事故を瞬時/短時間で切り離して、被害拡大を防ぎながら、送電網の事故点の迂回路を設けて被害を局限化するようにしています。

 このため送電線は同じルートで通常、2系統以上が並行して架設されているのが一般的です。

 需要家側も業務の継続が強く求められる大規模需要家では自家発電装置の導入が行われていますし、病院での電力喪失事故は直接人命に関わるため、例えば日本の病院ではガスタービンやディーゼルエンジン式の発電機や蓄電池が設置されていて、一定時間は確実に電力が確保できる様にされています。 

 万が一に備えてバックアップ系を保持して信頼性を高めているわけです。

 私は脱原発を目指すべきだと思っていますが、いきなり全ての原発を止めることが不可能だとするならば、原発の稼働率を50%以下に減じて原発も冗長系を持つことも一案なのかと考えています。

 すなわち2基か3基の原発を1システムと見なし、システム内の稼働は必ず1基にとどめ、他は冗長系として待機させるのです。

 原発がこのような冗長系を持つことでいくつかのメリットが出現します。

 必ず1基だけは稼働していますから、電力の安定供給と言う点で貢献できます。

 さらに冗長系は停止期間が今の2ヶ月から3ヶ月の定期検査期間よりも2台のグループなら13ヶ月、3台のグループなら26ヶ月と長くなりますから、きめの細かいメンテナンスが可能です。

 つまり長期のしっかりとした安全対策を施すことが可能になります。

 その上、いきなり停止するのに比べて原発関連で働いている地元の人々の雇用に対する影響を軽微にできます。

 さらに万が一の今回のような被災があった場合、稼働が1基だけですから、事後対策時人的資源を集中してその一基に当てることができます。

 このような運用をすれば当然ながら原発の稼働率は50%を割り込みます。

 前回のエントリーで原発の稼働率について調べましたが、もともと震災前で原発稼働率は60%台でしたし、現在は33%ですがなんとかやりくりできています、感触としては上の案でも電力が大きく不足することはないのではないでしょうか。

 いますぐの全原発廃炉は難しいとするならば、原発の稼働率を落としつつ代換エネルギーの実用化を待つ、このあたりが現実的なのかな、と思っています。

 もっとも地元自治体が原発再開に難色を示している現状です、前提として地元自治体が納得する安全対策を施すことを政府が約束した上でと言うことにはなると思います。

 現実的には一斉に廃炉が不可能ならば、耐用年数になった原発から廃炉していくことになるのだと思います。

 廃炉するまでの間ですが、長期のしっかりとした安全対策をするためにも、原発に冗長系を持たせてみてはどうでしょうか。