REGDOC-2.5.2, Conception d'installations dotées de réacteurs : Centrales nucléaires
Préface
Ce document d'application de la réglementation fait partie de la série de documents d'application de la réglementation de la CCSN intitulée Conception matérielle, qui porte également sur la conception des mines et des usines de transformation d'uranium, la conception d'installations de radiographie fixes, la conception de laboratoires contenant des substances nucléaires et de salles de médecine nucléaire, et sur les appareils d'exposition. La liste complète des séries figure à la fin de ce document et elle peut être consultée à partir du site Web de la CCSN.
Le REGDOC-2.5.2, Conception d'installations dotées de réacteurs : Centrales nucléaires énonce les exigences et l'orientation relatives aux nouvelles demandes de permis pour les centrales nucléaires refroidies à l'eau (centrales nucléaires ou centrales). Il définit un ensemble détaillé d'exigences de conception et d'orientation qui sont axées sur les risques et qui correspondent aux pratiques et aux codes internationaux reconnus.
Ce document fournit les critères de conception sécuritaire des nouvelles centrales refroidies à l'eau. Tous les aspects de la conception sont pris en compte et de multiples niveaux de défense sont promus dans les facteurs de conception. Dans la mesure du possible, les exigences et l'orientation fournies dans le présent document sont neutres sur le plan technologique pour ce qui est des réacteurs refroidis à l'eau. Un demandeur ou titulaire de permis peut soumettre un dossier démontrant que l'intention d'une exigence est prise en compte par d'autres moyens et démontrée à l'aide de preuves justificatives.
Le présent document Conception des nouvelles centrales nucléaires remplace le document RD-337 publié en 2008. De plus, la présente version met en œuvre les recommandations découlant du Rapport du Groupe de travail de la CCSN sur Fukushima.
Dans une large mesure, ce document d'application de la réglementation constitue l'adoption par la CCSN des principes mis de l'avant par l'Agence internationale de l'énergie atomique (AIEA) dans le document SSR-2/1, Sûreté des centrales nucléaires : conception, tel qu'adapté aux exigences canadiennes.
Ce document d'application de la réglementation tient compte de toutes les phases de l'autorisation, car l'information relative au processus de conception est reprise dans les processus d'examen de la demande de permis de construction de centrale nucléaire et des autres demandes de permis.
Le présent document se veut un élément du fondement d'autorisation d'une installation ou d'une activité réglementée, conformément à la portée énoncée du document. Il sera intégré soit aux conditions et aux mesures de sûreté et de réglementation d'un permis, soit aux mesures de sûreté et de réglementation décrites dans la demande de permis et les documents soumis à l'appui de cette demande.
Pour les nouvelles installations proposées : Ce document servira à évaluer les nouvelles demandes de permis pour des installations dotées de réacteurs.
Pour les installations actuellesNote de bas de page 1 : Les exigences contenues dans ce document ne s'appliquent pas à moins qu'elles aient été incluses, en tout ou en partie, dans le fondement d'autorisation.
L'orientation contenue dans ce document vise à informer le demandeur, à expliquer plus en détail des exigences ou à fournir de l'orientation aux demandeurs et aux titulaires de permis sur la façon de répondre aux exigences. Ces sections précisent aussi comment le personnel de la CCSN évalue des problèmes particuliers ou des données pendant son examen des demandes de permis. On s'attend à ce que les titulaires de permis étudient cette orientation et en tiennent compte. S'ils choisissent de ne pas y adhérer, ils devraient expliquer comment la méthode qu'ils ont sélectionnée répond aux exigences réglementaires.
Remarque importante : Ce document fait partie du fondement d'autorisation d'une installation ou d'une activité réglementée si on s'y réfère directement ou indirectement dans le permis (notamment dans des documents cités en référence du titulaire de permis).
Le fondement d'autorisation établit les conditions limites du rendement acceptable pour une installation ou une activité réglementée et établit les bases du programme de conformité de la CCSN à l'égard de cette installation ou activité réglementée.
Dans le cas où le document est un élément du fondement d'autorisation, le terme « doit » est employé pour exprimer une exigence à laquelle le titulaire ou le demandeur de permis doit se conformer; le terme « devrait » dénote une orientation ou une mesure conseillée; le terme « pourrait » exprime une option ou une mesure conseillée ou acceptable dans les limites de ce document d'application de la réglementation; et le terme « peut » exprime une possibilité ou une capacité.
Aucune information contenue dans le présent document ne doit être interprétée comme libérant le titulaire de permis de toute autre exigence pertinente. Le titulaire de permis a la responsabilité de prendre connaissance de tous les règlements et de toutes les conditions de permis applicables et d'y adhérer.
Table des matières
- 1. Objet
- 2. Portée
- 3. Législation pertinente
- 4. Objectifs et concepts de sûreté
- 5. Gestion de la sûreté dans la conception
- 6. Exigences en matière de sûreté
-
7. Exigences générales relatives à la conception
- 7.1 Classification de sûreté des SSC
- 7.2 Enveloppe de conception de la centrale
- 7.3 États de la centrale
- 7.4 Événements déclencheurs hypothétiques
- 7.5 Règles et limites de conception
- 7.6 Fiabilité
- 7.7 SSC sous pression
- 7.8 Qualification environnementale de l'équipement
- 7.9 Instrumentation et contrôle
- 7.10 Systèmes de soutien en matière de sûreté
- 7.11 État d'arrêt garanti
- 7.12 Sûreté contre les incendies
- 7.13 Qualification sismique et conception
- 7.14 Essais, entretien, réparations, inspection et surveillance en cours d'exploitation
- 7.15 Structures de génie civil
- 7.16 Construction et mise en service
- 7.17 Vieillissement et usure
- 7.18 Contrôle des corps étrangers
- 7.19 Transport et emballage de combustible et de déchets radioactifs
- 7.20 Voies d'évacuation d'urgence et moyens de communication
- 7.21 Facteurs humains
- 7.22 Résistance aux actes malveillants
- 7.23 Garanties
- 7.24 Déclassement
-
8. Exigences relatives aux systèmes
- 8.1 Cœur du réacteur
- 8.2 Système de refroidissement du réacteur
- 8.3 Système d'alimentation en vapeur d'eau
- 8.4 Systèmes d'arrêt d'urgence
- 8.5 Système de refroidissement d'urgence du cœur du réacteur
-
8.6 Confinement
- 8.6.1 Exigences générales
- 8.6.2 Résistance de la structure de confinement
- 8.6.3 Capacité relative aux essais de pressurisation
- 8.6.4 Fuites
- 8.6.5 Pénétrations de l'enceinte de confinement
- 8.6.6 Isolation du confinement
- 8.6.7 Sas du confinement
- 8.6.8 Structures internes du confinement
- 8.6.9 Pression de l'enceinte de confinement et gestion de l'énergie
- 8.6.10 Contrôle et nettoyage de l'atmosphère de l'enceinte de confinement
- 8.6.11 Revêtements et matériaux
- 8.6.12 Conditions additionnelles de dimensionnement
- 8.7 Transfert de chaleur vers une source froide ultime
- 8.8 Systèmes d'évacuation d'urgence de la chaleur
- 8.9 Systèmes d'alimentation électrique
- 8.10 Salles de commande
- 8.11 Traitement et contrôle des déchets
- 8.12 Manutention et stockage du combustible
- 8.13 Radioprotection
- 9. Analyse de la sûreté
- 10. Protection environnementale et atténuation
- 11. Autres méthodes
- Annexe A : Analyse structurale des enceintes de confinement
- Abréviations
- Glossaire
- Références de la CCSN
- Renseignements supplémentaires
1. Objet
Ce document d'application de la réglementation définit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) liées à la conception des nouvelles centrales nucléaires refroidies à l'eau (centrales). Il définit un ensemble détaillé d'exigences de conception et d'orientation qui sont axées sur les risques et alignées sur les pratiques et les codes internationaux reconnus.
2. Portée
Ce document traite d'un large éventail de sujets en lien avec la conception des nouvelles centrales nucléaires. Dans la mesure du pratique, ce document est neutre sur le plan technologique pour ce qui est des réacteurs refroidis à l'eau, et comprend des exigences et de l'orientation sur :
- l'établissement de buts et d'objectifs de sûreté à l'égard de la conception
- l'utilisation de principes de sûreté dans la conception
- l'application de principes de gestion en matière de sûreté
- la conception des structures, des systèmes et des composants (SSC)
- les interfaces des aspects d'ingénierie, les caractéristiques des centrales, et l'aménagement des installations
- l'intégration des évaluations de sûreté au processus de conception
Ce document constitue, dans une large mesure, l'adoption par la CCSN des principes énoncés dans le document SSR-2/1, Sûreté des centrales nucléaires : conception de l'AIEA, et l'adaptation de ces principes aux pratiques du Canada.
Il est reconnu que des technologies particulières peuvent recourir à des approches différentes. Si une conception autre qu'un réacteur refroidi à l'eau doit être examinée pour la délivrance d'un permis au Canada, elle sera assujettie aux objectifs de sûreté, aux concepts de sûreté de haut niveau et aux exigences de gestion en matière de sûreté associés à ce document d'application de la réglementation. Toutefois, l'examen par la CCSN d'une telle conception sera effectué au cas par cas.
La sécurité industrielle conventionnelle n'est abordée que dans une perspective générale, en accordant une attention particulière aux exigences de conception liées à la sûreté nucléaire.
3. Législation pertinente
Les dispositions de la Loi sur la sûreté et la réglementation nucléaires (LSRN) et des règlements qui s'appliquent à ce document d'application de la réglementation englobent les éléments suivants :
- en vertu du paragraphe 24(4) de la LSRN, « la Commission ne délivre, ne renouvelle, ne modifie ou ne remplace une licence ou un permis que si elle est d'avis que l'auteur de la demande, à la fois : a) est compétent pour exercer les activités visées par la licence ou le permis; b) prendra, dans le cadre de ces activités, les mesures voulues pour préserver la santé et la sécurité des personnes, protéger l'environnement, maintenir la sécurité nationale et respecter les obligations internationales que le Canada a assumées »
- le paragraphe 24(5) de la LSRN autorise la Commission à inclure dans une licence ou un permis toute condition qu'elle estime nécessaire à l'application de la LSRN
- l'alinéa 3(1)i) du Règlement général sur la sûreté et la réglementation nucléaires stipule qu'une demande de licence doit contenir, en plus d'autres renseignements, « une description et les résultats des épreuves, analyses ou calculs effectués pour corroborer les renseignements compris dans la demande »
- l'alinéa 12(1)f) du Règlement général sur la sûreté et la réglementation nucléaires stipule que chaque titulaire de permis doit prendre, « [...] toutes les précautions raisonnables pour contrôler le rejet de substances nucléaires radioactives ou de substances dangereuses que l'activité autorisée peut entraîner là où elle est exercée et dans l'environnement »
-
les alinéas 3b), 5a), d), e), f), i) et k), 6a), b), h), j) et k) et 7f) du
Règlement sur les installations nucléaires de catégorie 1 stipulent qu'une demande
de permis visant une installation nucléaire de catégorie 1, autre qu'un permis d'abandon, doit
contenir, en plus d'autres renseignements :
- 3b) « des plans indiquant l'emplacement, le périmètre, les aires, les ouvrages et les systèmes de l'installation nucléaire
- 5a) une description de la conception proposée pour l'installation nucléaire, y compris la façon dont elle tient compte des caractéristiques physiques et environnementales de l'emplacement
- 5d) une description des ouvrages à construire pour l'installation nucléaire, y compris leur conception et leurs caractéristiques de conception
- 5e) une description des systèmes et de l'équipement qui seront aménagés à l'installation nucléaire, y compris leur conception et leurs conditions nominales de fonctionnement
- 5f) un rapport préliminaire d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate
- 5i) les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir la construction, l'exploitation et le déclassement de l'installation nucléaire
- 5k) les mesures proposées pour contrôler les rejets de substances nucléaires et de substances dangereuses dans l'environnement
- 6a) une description des ouvrages de l'installation nucléaire, y compris leur conception et leurs conditions nominales d'exploitation
- 6b) une description des systèmes et de l'équipement de l'installation nucléaire, y compris leur conception et leurs conditions nominales de fonctionnement
- 6h) les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir l'exploitation et le déclassement de l'installation nucléaire
- 6j) les mesures proposées pour contrôler les rejets de substances nucléaires et de substances dangereuses dans l'environnement
-
6k) les mesures proposées pour éviter ou atténuer les effets que les rejets
accidentels de substances nucléaires et de substances dangereuses peuvent avoir sur
l'environnement, sur la santé et la sécurité des personnes ainsi que sur le
maintien de la sécurité nationale, y compris les mesures visant à :
- aider les autorités extérieures à effectuer la planification et la préparation en vue de limiter les effets d'un rejet accidentel,
- aviser les autorités extérieures d'un rejet accidentel ou de l'imminence d'un tel rejet,
- tenir les autorités extérieures informées pendant et après un rejet accidentel,
- aider les autorités extérieures à remédier aux effets d'un rejet accidentel,
- mettre à l'épreuve l'application des mesures pour éviter ou atténuer les effets d'un rejet accidentel
- 7f) les effets que les travaux de déclassement peuvent avoir sur l'environnement ainsi que sur la santé et la sécurité des personnes, de même que les mesures qui seront prises pour éviter ou atténuer ces effets »
- d'autres articles du Règlement sur les installations nucléaires de catégorie I, ainsi que des articles du Règlement sur la radioprotection et du Règlement sur la sécurité nucléaire qui se rapportent à la conception d'une nouvelle centrale nucléaire
4. Objectifs et concepts de sûreté
Les objectifs et concepts de sûreté décrits dans cette section s'appliquent à une centrale nucléaire pendant l'exploitation et en cas d'accident.
Les quatre états communs de la centrale y sont définis : exploitation normale, incident de fonctionnement prévu (IFP), accident de dimensionnement (AD) et accident hors dimensionnement (AHD). Ce document introduit aussi l'état de « conditions additionnelles de dimensionnement (CAD) » pour la centrale; il s'agit d'un sous-ensemble d'AHD qui est pris en compte dans la conception de la centrale.
4.1 Objectif général en matière de sûreté nucléaire
À l'appui de la LSRN et de ses règlements connexes, la CCSN souscrit à l'objectif fixé par l'AIEA voulant que les centrales nucléaires soient conçues et exploitées de manière à protéger les personnes, la société et l'environnement de tout préjudice en établissant et en maintenant, dans les installations nucléaires, des systèmes efficaces de défense contre les risques radiologiques.
L'objectif général en matière de sûreté nucléaire est appuyé par trois objectifs de sûreté complémentaires concernant la radioprotection, les aspects techniques de la conception et la protection environnementale. L'objectif technique en matière de sûreté se rattache aux mesures administratives et aux procédures prises pour assurer une protection contre les risques de rayonnement ionisant.
4.1.1 Objectif en matière de radioprotection
L'objectif de conception en matière de radioprotection vise, en mode d'exploitation normale ou lors d'incidents de fonctionnement prévus, à ce que les niveaux d'exposition au rayonnement à l'intérieur de la centrale ou résultant de tout rejet planifié de matière radioactive de la centrale soient maintenus en deçà des limites prescrites et au niveau le plus bas qu'il soit raisonnablement possible d'atteindre (principe ALARA, de l'anglais as low as reasonably achievable).
Il faut prévoir des dispositions pour atténuer les conséquences radiologiques de tout accident pris en compte dans la conception.
4.1.2 Objectifs en matière de sûreté technique
L'objectif en matière de sûreté technique vise à adopter toutes les mesures pratiques de prévention des accidents dans la centrale et à atténuer les conséquences de ces accidents, s'ils devaient survenir. Cet objectif tient compte de tous les accidents possibles envisagés dans la conception, incluant ceux dont la probabilité qu'ils se produisent est très faible.
Lorsque ces objectifs sont atteints, les conséquences radiologiques seront en deçà des limites prescrites, et la probabilité d'accidents entraînant de graves conséquences radiologiques sera extrêmement faible.
4.1.3 Objectif en matière de protection environnementale
L'objectif en matière de protection environnementale vise à adopter toutes les mesures pratiques d'atténuation afin de protéger l'environnement pendant l'exploitation d'une centrale nucléaire et d'atténuer les conséquences d'un accident.
La conception doit inclure des dispositions pour contrôler, traiter et surveiller les rejets dans l'environnement et doit réduire au minimum la production de déchets radioactifs et dangereux.
4.2 Application des objectifs de sûreté technique
La LSRN et les objectifs de sûreté technique servent de base pour les critères et les objectifs suivants :
- critères d'acceptation des doses
- objectifs de sûreté
Des analyses de sûreté doivent être effectuées pour confirmer que ces critères et ces objectifs sont atteints et démontrer l'efficacité des mesures de prévention des accidents et d'atténuation des conséquences radiologiques des accidents, s'ils se produisent.
4.2.1 Critères d'acceptation des doses
Les critères d'acceptation pour l'exploitation normale sont présentés à la section 6.4.
La dose réelle au corps entier pour les membres moyens de groupes critiques les plus à risque, à la périphérie du site ou au-delà, doit être calculée dans l'analyse déterministe de sûreté pendant une période de 30 jours après l'événement analysé.
Cette dose doit être inférieure ou égale aux critères d'acceptation des doses donnés ci‑dessous :
- 0,5 millisievert (mSv) pour tout IFP
- 20 mSv pour tout AD
Les valeurs adoptées pour les critères d'acceptation des doses pour les IFP et les AD sont conformes aux pratiques internationales reconnues, et tiennent compte des recommandations de l'AIEA et de la Commission internationale de protection radiologique.
4.2.2 Objectifs de sûreté
Objectifs qualitatifs en matière de sûreté
Une limite s'applique aux risques que pose à la société l'exploitation d'une centrale nucléaire. À cet égard, les deux objectifs qualitatifs suivants ont été établis en matière de sûreté :
Les membres du public doivent bénéficier d'un niveau de protection contre les conséquences de l'exploitation d'une centrale nucléaire de sorte qu'il n'y ait pas de risque supplémentaire pour la vie et la santé des gens.
Les risques pour la vie et la santé que pose l'exploitation d'une centrale nucléaire doivent être comparables ou inférieurs aux risques que présentent les autres technologies viables et concurrentes de production d'électricité, et ne doivent pas constituer un ajout important aux autres risques auxquels la société est confrontée.
Application quantitative des objectifs en matière de sûreté
Pour des raisons pratiques, des objectifs quantitatifs en matière de sûreté ont été établis dans la même intention que celle des objectifs qualitatifs de sûreté. Les trois objectifs quantitatifs en matière de sûreté sont :
- la fréquence des dommages causés au cœur du réacteur
- la fréquence des petites émissions radioactives
- la fréquence des grandes émissions radioactives
Un accident causé au cœur du réacteur résulte d'un événement déclencheur hypothétique (EDH), suivi par la défaillance d'un ou plusieurs systèmes de sûreté ou systèmes de soutien. La fréquence des dommages causés au cœur du réacteur est une mesure des capacités de prévention des accidents de la centrale.
La fréquence des petites émissions radioactives et la fréquence des grandes émissions radioactives sont des mesures des capacités d'atténuation des accidents de la centrale. Elles représentent aussi des mesures de risque pour la société et l'environnement en raison de l'exploitation d'une centrale nucléaire.
Fréquence des dommages causés au cœur du réacteur
La somme des fréquences de toutes les séquences d'événements pouvant conduire à la dégradation importante du cœur du réacteur doit être inférieure à 10-5 par année par réacteur.
Fréquence des petites émissions radioactives
La somme des fréquences de toutes les séquences d'événements qui peuvent entraîner des émissions radioactives dans l'environnement supérieures à 1015 becquerels d'iode-131 doit être inférieure à 10-5 par année par réacteur. Un rejet plus important peut exiger l'évacuation temporaire de la population locale.
Fréquence des grandes émissions radioactives
La somme des fréquences de toutes les séquences d'événements qui peuvent entraîner des émissions radioactives dans l'environnement supérieures à 1014 becquerels de césium-137 doit être inférieure à 10-6 par année par réacteur. Un rejet plus important peut exiger la relocalisation à long terme de la population locale.
Orientation
Une étude probabiliste de sûreté (EPS) complète tient compte de la probabilité, de la progression et des conséquences des défaillances de l'équipement ou de conditions transitoires pour calculer des estimations numériques de la sûreté de la centrale. La fréquence des dommages causés au cœur du réacteur est déterminée par une EPS de niveau 1 qui identifie et quantifie la séquence d'événements pouvant conduire à une dégradation importante du cœur du réacteur. La fréquence des petites émissions radioactives et la fréquence des grandes émissions radioactives sont déterminées par une EPS de niveau 2 qui s'appuie sur les résultats de l'EPS de niveau 1, analyse le comportement du confinement, évalue les radionucléides libérés par le combustible défectueux et quantifie les rejets dans l'environnement. Il est possible d'être exempté d'une EPS de niveau 2 en démontrant que la fréquence des dommages causés au cœur déterminée lors de l'EPS de niveau 1 est suffisamment basse (c.‑à‑d. inférieure à la limite de la fréquence des grandes émissions radioactives).
Le calcul des objectifs de sûreté tient compte de tous les événements internes et externes conformément au document REGDOC-2.4.2, Études probabilistes de sûreté (EPS) pour les centrales nucléaires. Cependant, il pourrait être inapproprié de regrouper les paramètres pour les événements internes et les autres dangers au moyen d'une simple addition dans le but de démontrer que les paramètres de risque (fréquence des dommages au cœur, fréquence des petites et des grandes émissions) ne sont pas dépassés. Il est reconnu que pour les estimations prudentes, l'addition des paramètres de risque pour les événements externes avec les paramètres de risque pour les événements internes peut entraîner une interprétation fautive. Si le total regroupé devait dépasser les objectifs de sûreté, il faudrait éviter de tirer des conclusions de ce total tant que la portée du biais prudent pour d'autres dangers ne sera pas examinée.
Des détails supplémentaires sur les EPS se trouvent à la section 9.5 du document et dans le document de la CCSN REGDOC-2.4.2, Études probabilistes de sûreté (EPS) pour les centrales nucléaires.
4.2.3 Analyses de la sûreté
Pour démontrer que les objectifs de sûreté ont été atteints, il faut procéder à une analyse des dangers exhaustive, à une analyse déterministe de sûreté et à une étude probabiliste de sûreté. Ces analyses doivent permettre d'identifier toutes les sources possibles d'exposition, d'estimer les doses de rayonnement auxquelles les travailleurs de la centrale et le public pourraient être exposés et de mesurer les effets potentiels sur l'environnement.
L'analyse de la sûreté doit porter sur les aspects suivants :
- l'exploitation normale
- les incidents de fonctionnement prévus
- les accidents de dimensionnement
- les accidents hors dimensionnement, y compris les conditions additionnelles de dimensionnement (CAD) – les CAD pourraient comprendre certains accidents graves
À la lumière de ces analyses, la capacité de résister à des EDH et à des accidents doit être établie, l'efficacité des éléments importants pour la sûreté doit être démontrée et les exigences relatives aux interventions d'urgence doivent être formulées. Les résultats de l'analyse de sûreté doivent être ensuite intégrés à la conception.
Les analyses de sûreté sont abordées plus en détail à la section 9.0.
4.2.4 Atténuation et gestion des accidents
La conception doit inclure des mesures pour limiter l'exposition au rayonnement aux niveaux ALARA en mode d'exploitation normale et en mode d'IFP et pour réduire au minimum la possibilité qu'un accident mène à la perte de contrôle normal de la source de rayonnement. Toutefois, étant donné qu'il subsiste une probabilité qu'un accident survienne, des mesures doivent être prises pour atténuer les conséquences radiologiques des accidents.
Cela doit englober les mesures suivantes :
- l'examen des caractéristiques de sûreté inhérentes
- l'intégration de dispositifs de conception technique
- l'établissement par l'organisme exploitant de procédures de gestion d'accidents en centrale
- l'établissement de mesures d'intervention hors site par les autorités concernées
La conception doit appliquer les principes selon lesquels les états de la centrale donnant lieu à des doses de rayonnement élevées ou à des rejets de matières radioactives soient très peu probables, et selon lesquels les états dont la fréquence est grande donnent lieu à des conséquences radiologiques mineures ou nulles.
La conception doit faciliter le transfert clair du contrôle entre les procédures utilisées pour les états de fonctionnement, les conditions d'accident, la gestion des accidents graves et les mesures d'intervention sur le site en cas d'urgence.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, G-129, révision 1, Maintenir les expositions et les doses au « niveau le plus bas qu'il soit raisonnablement possible d'atteindre (ALARA) », 2004.
- CCSN, REGDOC-2.3.2, Gestion des accidents : Programmes de gestion des accidents graves touchant les réacteurs nucléaires, Ottawa, Canada, 2013.
- AIEA, Guide de sûreté no NS-G-2.15, Severe Accident Management Programmes for Nuclear Power Plants, 2009.
4.3 Concepts de sûreté
4.3.1 Défense en profondeur
Le concept de défense en profondeur doit s'appliquer à toutes les activités organisationnelles et comportementales, ainsi qu'aux activités de conception liées à la sûreté et à la sécurité, afin que celles-ci soient couvertes par des mesures qui se recoupent. Les différents niveaux de défense en profondeur doivent être indépendants les uns des autres, dans la mesure du possible.
La défense en profondeur permet de détecter une éventuelle défaillance, de compenser celle-ci ou de la corriger.
Ce concept doit être appliqué tout au long de la conception et de l'exploitation de la centrale afin d'établir une série de niveaux de défense dont l'objectif est de prévenir les accidents et d'assurer une protection appropriée dans l'éventualité où les mesures de prévention échouent.
La conception doit tenir compte des cinq niveaux de défense suivants en mode d'exploitation normale; toutefois, certains allègements pourraient être spécifiés pour certains modes d'arrêt d'un réacteur. Ces niveaux sont présentés en termes généraux ci-dessous et sont abordés de façon plus détaillée à la section 6.1.
Niveau un
Le premier niveau de défense vise à prévenir des fonctionnements anormaux et des défaillances des structures, des systèmes et des composants (SSC) importants pour la sûreté.
Niveau deux
Le deuxième niveau de défense sert à détecter et à réagir aux écarts par rapport aux états d'exploitation normaux afin d'empêcher les IFP de dégénérer en conditions d'accident, et à remettre la centrale à son état d'exploitation normale.
Niveau trois
Le troisième niveau de défense sert à minimiser les conséquences des accidents à l'aide de caractéristiques de sûretés inhérentes, une conception sûre en cas de défaillance, de l'équipement additionnel et des procédures d'atténuation.
Niveau quatre
Le quatrième niveau de défense vise à garantir que le rejet de matières radioactives causé par des accidents graves demeure au niveau le plus bas qu'il soit possible d'atteindre.
Niveau cinq
Le cinquième niveau de défense a pour but d'atténuer les conséquences radiologiques de tout rejet possible de matières radioactives pouvant résulter d'accidents.
L'application de ces niveaux de défense est discutée plus en détail à la section 6.1.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans le document suivant :
- AIEA, INSAG-10, La défense en profondeur en sûreté nucléaire, Vienne, 2010.
4.3.2 Examen des barrières physiques
Un aspect important de la mise en œuvre du concept de défense en profondeur dans la conception d'une centrale consistera en une série de barrières physiques pour confiner les matières radioactives en des endroits particuliers. Les barrières physiques sont abordées plus en détail à la section 6.1.1.
4.3.3 Limites et conditions d'exploitation
Les limites et conditions d'exploitation (LCE) sont un ensemble de limites et de conditions qui peuvent être surveillées par l'exploitant ou en son nom, et qui peuvent être contrôlées par l'exploitant.
Des LCE doivent être établies pour que les centrales soient exploitées conformément aux hypothèses et aux intentions de conception (paramètres et composants) et incluent les limites à l'intérieur desquelles il a été démontré que la centrale est sécuritaire. Les LCE doivent être documentées de manière à ce qu'elles soient facilement accessibles pour le personnel de la salle de commande; les rôles et les responsabilités de ce personnel doivent être clairement identifiés. Certaines LCE peuvent inclure des combinaisons de fonctions automatiques et d'interventions du personnel.
Les LCE doivent donc inclure ce qui suit :
- les limites de sûreté
- les paramètres limitatifs des systèmes de sûreté
- les LCE pour le mode d'exploitation normale et les IFP, y compris les états d'arrêt du réacteur
- les contraintes des systèmes de contrôle et des procédures sur des variables de processus et d'autres paramètres importants
- les exigences en matière de surveillance, d'entretien, de mise à l'essai et d'inspection de la centrale pour veiller à ce que les SSC respectent leurs fonctions prévues et se conforment à l'exigence d'optimisation en maintenant les radioexpositions au niveau ALARA, conformément au Règlement sur la radioprotection
- les configurations d'exploitation spécifiées, incluant les restrictions de fonctionnement en cas de non-disponibilité des SSC importants pour la sûreté
- les énoncés d'intervention, y compris les délais d'exécution des interventions en réponse aux écarts par rapport aux LCE
La base sur laquelle les LCE sont établies doit être facilement accessible afin de faciliter la capacité du personnel de la centrale à interpréter, observer et appliquer les LCE.
Orientation
Les approches et les terminologies utilisées pour les LCE varient parfois en fonction des pratiques et des systèmes de réglementation établis dans le pays d'origine de la conception de la centrale. Indépendamment des approches et des terminologies utilisées, l'autorité responsable de la conception devrait fournir des définitions claires des terminologies utilisées pour les LCE. La conception devrait également comprendre des objectifs et des buts clairs pour les LCE.
L'information liée aux LCE devrait donner la liste de toutes les normes (nationales et internationales) pertinentes utilisées et documenter la façon dont elles ont été respectées.
Les LCE doivent être définies pour un ensemble approprié de configurations limitatives d'exploitation de la centrale et être fondées sur la conception approuvée de la centrale.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N290.15, Exigences relatives aux limites d'exploitation sûre des centrales nucléaires, Toronto, Canada.
- AIEA, Guide de sûreté no NS-G-2.2, Limites et conditions d'exploitation et procédures de conduite des centrales nucléaires, Vienne, 2000.
4.3.4 Interfaces entre la sûreté, la sécurité et les garanties
Les mesures de sûreté, les mesures de sécurité nucléaire et les modalités du système pour la comptabilisation et le contrôle des matières nucléaires dans une centrale nucléaire doivent être conçues et mises en œuvre de manière intégrée pour ne pas qu'elles se compromettent les unes les autres.
5. Gestion de la sûreté dans la conception
Le demandeur ou le titulaire de permis est ultimement responsable de la conception de la centrale et doit
établir un système de gestion en vue d'assurer la sûreté de la conception de la centrale
tout au long du cycle de vie de la centrale nucléaire.
La conception d'une centrale nucléaire doit :
- être conforme aux exigences réglementaires canadiennes
- répondre aux spécifications de conception
- être confirmée par l'évaluation de la sûreté
- tenir compte des pratiques courantes en matière de sûreté
- satisfaire aux exigences d'un système de gestion efficace
- intégrer uniquement les modifications de conception qui ont été justifiées par des évaluations techniques et de sûreté
Le processus de conception doit être effectué par un personnel dûment formé et qualifié à tous les niveaux et inclure :
- une répartition claire et précise des responsabilités, assortie de pouvoirs hiérarchiques et de voies de communication correspondants
- des interfaces bien définies entre les groupes chargés des différents volets de la conception et entre les concepteurs, les services publics, les fournisseurs, les constructeurs et les entrepreneurs, le cas échéant
- des mesures de contrôle de la conception (telles que des processus, des procédures et des pratiques) qui font partie d'un système de gestion établi
- un système de gestion qui reconnaît l'importance d'une saine culture de sûreté
5.1 Autorité en matière de conception
Au stade de la conception, l'organisation qui a la responsabilité générale de la conception est généralement celle qui assume formellement l'autorité pour la conception. Avant la mise en marche de la centrale, cette autorité doit être transférée à l'organisme exploitant.
L'autorité en matière de conception peut déléguer la responsabilité de la conception de certains aspects de la centrale à d'autres organismes (appelés concepteurs responsables). Dans ce cas, les tâches et les fonctions de l'autorité en matière de conception et de tout concepteur responsable doivent être décrites dans une documentation officielle; toutefois, l'autorité en matière de conception doit conserver la responsabilité générale de la conception.
Le demandeur ou le titulaire de permis doit confirmer qu'au stade de la conception, l'autorité en matière de conception a atteint les objectifs suivants :
- établi et tenu à jour une base de connaissances sur tous les aspects pertinents de la conception de la centrale, en tenant compte de l'expérience et des résultats de recherches
- rendu disponible les renseignements en matière de conception en vue de l'exploitation sécuritaire et de l'entretien de la centrale
- établi les dispositions de sécurité requises conformément au Règlement sur la sécurité nucléaire et aux documents d'application de la réglementation connexes
- maintenu le contrôle de la configuration de la conception
- examiné, vérifié, approuvé et documenté les modifications à la conception de la centrale
- établi et contrôlé les interfaces nécessaires avec les concepteurs responsables ou d'autres fournisseurs chargés d'effectuer des travaux de conception
- a fait en sorte que les compétences et les connaissances techniques et scientifiques nécessaires ont été maintenues
- a veillé à ce que l'impact sur la sûreté de chaque modification ou de multiples modifications pouvant présenter des interdépendances significatives a correctement été évalué et compris
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N286, Exigences relatives au système de gestion des centrales nucléaires, Toronto, Canada.
- AIEA, Collection normes de sûreté n° GS-G-3.5, The Management System for Nuclear Installations Safety Guide, Vienne, 2009.
- AIEA, INSAG-19, Maintaining the Design Integrity of Nuclear Installations throughout their Operating Life, Vienne, 2003.
5.2 Gestion de la conception
La conception doit être gérée de façon à atteindre les objectifs suivants :
- les SSC importants pour la sûreté répondent à leurs exigences de conception respectives
- les capacités humaines et les limites du personnel sont dûment prises en compte
- les renseignements pertinents sur la conception des mécanismes de sûreté nécessaires à l'exploitation sûre et à l'entretien de la centrale, ainsi que toute modification subséquente apportée à la centrale, sont préservés
- les LCE à intégrer aux procédures administratives et opérationnelles de la centrale sont fournies
- la conception de la centrale facilite son entretien et la gestion de son vieillissement tout au long de sa durée de vie
- les résultats de l'analyse des dangers, des analyses déterministes de sûreté et des études probabilistes de sûreté sont pris en compte
- une attention particulière est accordée à la prévention des accidents et à l'atténuation de leurs conséquences
- la production de déchets radioactifs et dangereux est limitée à des niveaux praticables minimaux, tant en termes d'activité que de volume
- un processus de contrôle des changements est établi pour assurer le suivi des modifications de conception et une gestion de la configuration tout au long des étapes de fabrication, de construction, de mise en service et d'exploitation
- des systèmes de protection physique et des programmes de cybersécurité sont fournis pour prendre en considération les menaces liées au dimensionnement.
5.3 Mesures de contrôle de la conception
Des processus, des procédures et des pratiques doivent être établies dans le cadre du système de gestion global afin d'atteindre les objectifs de conception. Ces éléments doivent inclure l'identification de tous les paramètres de rendement et d'évaluation pour la conception de la centrale, ainsi que les plans détaillés de chaque SSC afin d'assurer la qualité uniforme de la conception et des composants sélectionnés.
Les mesures de contrôle de la conception doivent faire en sorte que la conception initiale, et tout changement subséquent ou amélioration à la sûreté, est effectuée conformément aux processus et aux procédures établies, qui reposent sur des normes et des codes appropriés et qui satisfont aux exigences applicables et aux fondements de conception. Des mesures de contrôle de la conception appropriées doivent également faciliter l'identification et le contrôle des interfaces de conception.
La pertinence de la conception, y compris les outils et les intrants et extrants de conception, doit être vérifiée ou validée par des personnes ou des groupes qui sont indépendants de ceux qui ont effectué le travail initial. Des vérifications, validations et approbations doivent être effectuées avant que la conception détaillée soit mise en œuvre.
Le logiciel informatique utilisé pour les calculs de conception et d'analyse doit être conforme aux normes applicables.
Orientation
Les mesures de contrôle de la conception (processus, procédures et pratiques) comprennent les éléments suivants :
- le lancement de la conception et la détermination de sa portée
- le contrôle des travaux et la planification des activités de conception
- la sélection d'un personnel compétent
- la spécification et le contrôle des intrants de conception
- la spécification des exigences de conception
- l'évaluation des caractéristiques de conception et la sélection du concept privilégié
- la sélection d'outils et de logiciels de conception
- la réalisation d'une analyse de sûreté conceptuelle pour évaluer le concept privilégié
- la réalisation d'une conception détaillée et la production de documents et de dossiers sur la conception
- la définition de toute condition limitative à l'exploitation sûre
- la vérification et la validation de la conception
- la gestion de la configuration
- l'identification et le contrôle des interfaces de conception
La norme CSA N286, Exigences relatives au système de gestion des centrales nucléaires, est la norme canadienne identifiant les exigences relatives au système de gestion en ce qui concerne la conception, l'acquisition, la construction, 1'installation, la mise en service, l'exploitation et le déclassement des centrales nucléaires. Le document de la CCSN G-149, Les programmes informatiques utilisés lors de la conception et des analyses de sûreté des centrales nucléaires et des réacteurs de recherche et la norme CSA N286.7, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires, contiennent des exigences complémentaires et de l'orientation pour les programmes informatiques scientifiques, d'analyse et de conception.
Les organisations de pays n'utilisant pas les documents susmentionnés devraient identifier les codes, les normes et les spécifications sur lesquels reposent leurs mesures de contrôle de la conception et de l'analyse de la sûreté, qu'ils soient nationaux ou internationaux, tels que la norme de sûreté de l'AIEA GS-G-3.5, The Management System for Nuclear Installations Safety Guide et les publications citées en référence, ainsi que la norme ISO 9001:2008, Systèmes de management de la qualité – Exigences. De telles mesures de contrôle devraient être reliées aux clauses requises par la norme CSA N286 pour démontrer qu'elles satisfont aux exigences canadiennes. En cas d'identification de lacunes, il faudrait décrire les mesures prises pour les combler.
Les procédures et les processus organisationnels peuvent être propres à la conception et à l'analyse de la sûreté, ou peuvent faire partie d'un système de gestion global (ou d'un programme d'assurance de la qualité) appliqué à d'autres activités du cycle de vie de la centrale nucléaire. Dans ce dernier cas, l'organisation devrait identifier les processus et procédures applicables à la conception et à l'analyse de la sûreté.
Il n'y a pas d'exigences particulières à l'égard des plateformes, des styles ou des formats utilisés pour documenter les mesures de contrôle de la conception. Toutefois, les organisations chargées de la conception devraient identifier les types de documents, le style, le format et le support (papier, électronique ou application Internet) qu'ils envisagent utiliser pour contrôler leurs activités de conception.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- American Society of Mechanical Engineers (ASME), NQA-1-2008, Quality Assurance Requirements for Nuclear Facility Applications, New York, 2008.
- CCSN, G-149, Les programmes informatiques utilisés lors de la conception et des analyses de la sûreté des centrales nucléaires et des réacteurs de recherche, Ottawa, Canada, 2000.
- Groupe CSA, N286, Exigences relatives au système de gestion des centrales nucléaires, Toronto, Canada.
- Groupe CSA, N286.7.1, Guideline for the application of N296.7-99, Quality Assurance of Analytical, Scientific, and Design Computer Programs for Nuclear Power Plants, Toronto, Canada.
- AIEA, GS-R-3, Système de gestion des installations et des activités, Vienne, 2006.
- Nuclear Information and Records Management Association/American National Standards Institute (NIRMA/ANSI), 1.0, Standard Configuration Management, Washington, D.C., 2007.
5.4 Méthodes d'ingénierie éprouvées
L'autorité responsable de la conception doit déterminer les normes et les codes les plus récents qu'elle appliquera à la conception de la centrale, et en évaluer leur applicabilité, leur pertinence et leur suffisance pour la conception des SSC importants sur le plan de la sûreté.
Le cas échéant, les codes et les normes doivent être complétés pour que la qualité finale de la conception soit proportionnelle aux fonctions de sûreté nécessaires.
Les SSC importants pour la sûreté doivent être éprouvés et doivent être conçus selon les normes et les codes énoncés pour la centrale nucléaire.
Lorsqu'un nouveau concept, une nouvelle fonction des SSC ou une nouvelle pratique d'ingénierie est adopté, leur sûreté doit être confirmée par une combinaison de programmes de recherche et de développement à l'appui et par l'examen de l'expérience pertinente découlant d'applications similaires. Un programme de qualification approprié doit être créé pour que la nouvelle conception soit conforme à toutes les exigences de sûreté applicables. Les nouvelles conceptions doivent être éprouvées avant d'être mises en service et doivent ensuite faire l'objet d'un suivi afin d'atteindre le rendement prévu.
L'autorité responsable de la conception doit établir un programme de qualification approprié pour que la nouvelle conception soit conforme à toutes les exigences de sûreté applicables.
Lors de la sélection d'un équipement, une attention particulière doit être accordée aux défaillances intempestives et aux modes de défaillance non sécuritaires (p. ex., défaillance de l'arrêt d'urgence lorsque nécessaire). Lorsque la conception doit prévoir une défaillance d'un SSC, il faut choisir un équipement affichant des modes de défaillance prévisibles et connus et qui facilite les réparations ou le remplacement.
5.5 Expérience opérationnelle et recherche en matière de sûreté
La conception d'une centrale nucléaire doit être basée sur l'expérience opérationnelle acquise dans le secteur nucléaire, ainsi que sur les résultats de programmes de recherche pertinents.
Orientation
L'autorité responsable de la conception doit décrire les principaux changements, caractéristiques et améliorations apportés à la conception en raison de l'expérience opérationnelle et des recherches en matière de sûreté, y compris :
- les réponses apportées aux questions de sûreté applicables concernant les conceptions de réacteurs existantes
- les améliorations apportées à la conception à la suite des progrès réalisés au niveau des matériaux et de leurs caractéristiques
- l'amélioration des méthodes de conception et d'évaluation de la sûreté
- l'amélioration des procédés de construction et de fabrication
- les améliorations relatives à la fiabilité, à l'exploitabilité et à la capacité d'entretien
- l'amélioration des méthodes permettant de réduire la fréquence des erreurs humaines et d'atténuer les conséquences de celles-ci
- l'amélioration des méthodes en appui de l'application du principe ALARA
Des informations relatives à l'expérience opérationnelle se trouvent dans des documents tels que Operating Experience with Nuclear Power Stations in Member States, publié annuellement par l'AIEA.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans le document suivant :
- AIEA, norme de sûreté no NS-G-2.11, A System for the Feedback of Experience from Events in Nuclear Installation, Vienne, 2006.
5.6 Évaluation de la sûreté
L'évaluation de la sûreté est un processus systématique mené tout au long de la phase de conception de la centrale de sorte que toutes les exigences pertinentes en matière de sûreté soient respectées. L'évaluation de la sûreté pour la conception doit comprendre les exigences établies par l'exploitant et les autorités de réglementation. Cette évaluation doit être basée sur les données découlant de l'analyse de sûreté, de l'expérience d'exploitation antérieure, des résultats de travaux de recherche et des pratiques d'ingénierie éprouvées.
L'évaluation de la sûreté doit faire partie intégrante du processus de conception, avec des itérations entre la conception et les analyses, et sa portée et son niveau de détails doivent augmenter au fur et à mesure que le processus de conception progresse.
Avant la soumission du concept, un examen indépendant par des pairs doit être effectué par des personnes ou des groupes autres que ceux affectés à la conception.
La documentation sur l'évaluation de la sûreté doit identifier les aspects du fonctionnement, de l'entretien et de la gestion qui revêtent une importance pour la sûreté. Cette documentation doit faire partie d'une série de documents dynamiques afin de refléter les changements à la conception au fur et à mesure que le concept de la centrale évoluera.
La documentation sur l'évaluation de la sûreté doit être facilement accessible aux concepteurs, aux opérateurs et à la CCSN, être claire et concise et présentée dans un format logique et compréhensible.
Orientation
Aux termes du document de l'AIEA Évaluation de la sûreté des installations et activités (GSR Part 4), l'évaluation de la sûreté devrait tenir compte :
- de la défense en profondeur
- des marges de sûreté
- des barrières multiples
- de l'analyse de la sûreté, comprenant à la fois des approches déterministe et probabiliste, ainsi que la portée générale, la méthode, les critères de sûreté, l'analyse des incertitudes et des vulnérabilités, l'utilisation des programmes informatiques et le recours à l'expérience d'exploitation
- des risques radiologiques
- des fonctions de sûreté
- des caractéristiques de l'emplacement
- de la radioprotection
- des aspects d'ingénierie
- des facteurs humains
- de la sûreté à long terme
L'examen indépendant devrait être réalisé par des personnes adéquatement qualifiées et expérimentées.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans le document suivant :
- AIEA, Évaluation de la sûreté des installations et activités (GSR Part 4), Vienne, 2009.
5.7 Documentation sur la conception
La documentation sur la conception doit comprendre des renseignements servant à démontrer la pertinence de la conception. Elle doit aussi être utilisée pour l'acquisition, la construction, la mise en service et l'exploitation sûre, y compris l'entretien, la gestion du vieillissement, la modification et le déclassement de la centrale nucléaire.
La documentation sur la conception doit comprendre les renseignements suivants :
- description de la conception
- exigences en matière de conception
- classification des SSC
- description des états de la centrale
- conception des systèmes de sécurité, y compris une description des barrières de sécurité physique et des programmes de cybersécurité
- limites et conditions d'exploitation (LCE)
- identification et catégorisation des événements déclencheurs
- critères d'acceptation et critères d'acceptation dérivés
- analyse déterministe de sûreté
- étude probabiliste de sûreté (EPS)
- analyse des dangers
Orientation
Il faudrait préparer une série de documents relatifs à la conception après avoir établi un cadre de référence global énumérant l'ensemble des documents clés pour la conception. Les documents relatifs à la conception devraient faire partie d'un cadre logique et facile à gérer.
Pour obtenir de l'orientation supplémentaire concernant les critères d'acceptation dérivés, consulter le document de la CCSN REGDOC-2.4.1, Analyse déterministe de la sûreté.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, RD/GD-369, Guide de présentation d'une demande de permis Permis de construction d'une centrale nucléaire, Ottawa, Canada, 2011.
- CCSN, REGDOC-2.4.1, Analyse déterministe de la sûreté, Ottawa, Canada, 2014.
6. Exigences en matière de sûreté
6.1 Application du concept de défense en profondeur
La conception d'une centrale nucléaire doit inclure la défense en profondeur. Les différents niveaux de défense en profondeur doivent être indépendants les uns des autres, dans la mesure du possible.
Un mécanisme de défense en profondeur doit être établi à l'étape de conception grâce à l'application de dispositions propres aux cinq niveaux de défense.
Niveau un
La défense en profondeur de niveau un doit comprendre une conception prudente et une construction de qualité supérieure afin d'avoir la certitude que les défaillances de la centrale et les écarts par rapport aux états d'exploitation normaux soient réduits au minimum et que les accidents soient évités.
Il faut donc porter une attention particulière au choix des codes de conception et des matériaux appropriés, aux procédures de conception, à la qualification de l'équipement, au contrôle de la fabrication des composants et à la construction de la centrale ainsi qu'à l'utilisation de l'expérience opérationnelle.
Niveau deux
La défense en profondeur de niveau deux s'entend du contrôle du comportement de la centrale pendant et après un EDH en utilisant à la fois des caractéristiques de sûreté inhérentes et des caractéristiques de sûreté techniques pour minimiser ou exclure, dans la mesure du possible, les événements non contrôlés.
Niveau trois
La défense en profondeur de niveau trois doit inclure des dispositifs de sûreté inhérents, de conception sûre en cas de défaillance, de caractéristiques de conception techniques et de procédures qui réduisent au minimum les conséquences des AD. Ces mesures doivent permettre de placer d'abord la centrale dans un état contrôlé, puis dans un état d'arrêt sûr du réacteur tout en maintenant à tout le moins une barrière pour le confinement des matières radioactives. L'activation automatique des dispositifs de conception technique doit réduire au minimum le besoin d'intervention de l'opérateur au cours de la première phase d'un AD.
Niveau quatre
La défense en profondeur de niveau quatre doit s'obtenir en fournissant des équipements et des procédures pour gérer les accidents et en atténuer, dans la mesure du possible, leurs conséquences.
L'important est qu'une protection adéquate soit offerte pour la fonction de confinement par le truchement d'une conception de confinement robuste. Ceci inclut l'utilisation de dispositifs de conception complémentaires pour empêcher la progression d'un accident et atténuer les conséquences des conditions additionnelles de dimensionnement (CAD). La fonction de confinement doit être davantage assurée par des procédures de gestion des accidents graves.
Niveau cinq
La conception doit inclure la mise en place d'installations de soutien d'urgence adéquatement équipées et de plans pour l'intervention d'urgence sur le site et à l'extérieur du site.
Orientation
Le document INSAG-10 de l'AIEA intitulé La défense en profondeur en sûreté nucléaire, fournit des renseignements sur le concept et l'application de la défense en profondeur.
Le document no 46 de la collection Rapports de sûreté de l'AIEA, intitulé Assessment of Defence in Depth for Nuclear Power Plants, contient de l'orientation relative à la réalisation d'une évaluation systématique de la défense en profondeur. L'application de la défense en profondeur à l'étape de la conception devrait assurer les éléments suivants :
- La méthode de défense en profondeur utilisée dans la conception devrait garantir que tous les aspects de la conception ont été traités au niveau des SSC, en accordant une attention particulière aux SSC importants pour la sûreté.
- La défense en profondeur ne devrait pas subir de dégradation importante si les SSC ont des fonctions multiples (p. ex., pour les réacteurs CANDU, le modérateur et les systèmes de refroidissement des boucliers d'extrémité peuvent assumer les fonctions d'un système de processus et comprendre les fonctions d'atténuation des effets des CAD).
- Le principe de barrières physiques multiples contre le rejet de matières radioactives devrait être intégré à la conception; il devrait y avoir un nombre limité de cas où il y a réduction du nombre de barrières physiques (comme dans le cas où certains composants transportant des matières radioactives servent également de confinement) et une justification adéquate devrait être fournie pour de tels choix de conception.
-
La conception (p. ex., dans les guides de conception de la sûreté et les programmes du
système de gestion) devrait fournir :
- les niveaux de défense en profondeur abordés par chaque SSC
- les analyses et les calculs justificatifs
- l'évaluation des procédures d'exploitation
- L'analyse de sûreté devrait démontrer que les facteurs susceptibles de menacer l'intégrité des barrières physiques ne dépassent pas les capacités physiques de celles-ci.
- Les mesures pour chaque niveau de défense en profondeur doivent être établies pour une conception de réacteur donnée. Il faudrait également effectuer une évaluation de la conception en tenant compte du maintien de chaque fonction de sûreté. Cette évaluation devrait prendre en compte chacune des mesures d'atténuation d'un mécanisme de mise à l'épreuve donné et confirmer que ces mesures sont bien fondées, suffisantes, réalistes et correctement mises au point dans la conception.
- Il faudrait porter une attention particulière à la faisabilité d'une mesure donnée et à l'existence d'analyses de sûreté justificatives. Tout manque d'exhaustivité dans les analyses de sûreté justificatives devrait être documenté et considéré comme une question à vérifier.
Pour que les différents niveaux de défense soient efficaces en soi, les caractéristiques de conception visant à prévenir un accident et les caractéristiques de conception visant à atténuer les conséquences de celui-ci ne devraient pas appartenir au même niveau de défense.
Il faudrait assurer l'indépendance des différents niveaux de défense, plus particulièrement au moyen de dispositions diverses. Le renforcement distinct de chacun de ces niveaux devrait garantir, autant que possible, le renforcement global de la défense en profondeur. Par exemple, l'utilisation de systèmes dédiés pour les CAD assure l'indépendance du quatrième niveau de défense.
6.1.1 Examen des barrières physiques
Pour assurer le maintien du concept de sûreté global de la défense en profondeur, la conception doit comprendre de multiples barrières physiques pour contrer le rejet non contrôlé de matières radioactives dans l'environnement. De telles barrières doivent inclure le combustible, la gaine du combustible, l'enveloppe sous pression du circuit caloporteur et l'enceinte de confinement. De plus, la conception doit prévoir une zone d'exclusion.
Dans la mesure du possible, la conception doit empêcher :
- les menaces à l'intégrité des barrières physiques
- la défaillance d'une barrière lorsque mise à l'épreuve
- la défaillance d'une barrière en raison de la défaillance d'une autre barrière
- la possibilité de défaillances des barrières artificielles en raison d'erreurs dans l'exploitation et l'entretien qui pourraient entraîner des conséquences néfastes
La conception doit aussi tenir compte du fait que l'existence de multiples niveaux de défense ne représente pas habituellement une base suffisante pour permettre le fonctionnement continu de la centrale en l'absence d'un niveau de défense.
6.2 Fonctions de sûreté
La conception de la centrale doit prévoir des moyens appropriés pour :
- maintenir la centrale dans un état d'exploitation normale
- assurer une intervention adéquate à court terme immédiatement après un EDH
- faciliter la gestion de la centrale pendant et après un AD ou des CAD
Les fonctions de sûreté fondamentales suivantes doivent être disponibles pour les états d'exploitation normale, les AD et les CAD, sauf lorsque l'accident hypothétique implique la perte de cette fonction :
- contrôle de la réactivité
- refroidissement du combustible
- confinement des matières radioactives
- blindage contre le rayonnement
- contrôle des rejets et des substances dangereuses en exploitation normale et limitation des rejets accidentels
- surveillance des paramètres de sûreté critiques pour guider les interventions des opérateurs
Ces fonctions de sûreté doivent s'appliquer au réacteur ainsi qu'au stockage et à la manutention du combustible.
Les SSC nécessaires à l'exécution des fonctions de sûreté à la suite d'un EDH doivent être identifiés. Cette approche doit déterminer la nécessité de telles fonctions comme l'arrêt du réacteur, le refroidissement d'urgence du cœur du réacteur, le confinement, l'évacuation d'urgence de la chaleur et l'alimentation électrique.
6.3 Prévention des accidents et caractéristiques de sûreté de la centrale
La conception doit appliquer les principes de défense en profondeur pour minimiser la sensibilité de la centrale aux EDH. À la suite d'un EDH, la centrale est rendue sécuritaire grâce à :
- des mesures de sûreté inhérentes
- des dispositifs passifs de sûreté
- des procédures d'intervention spécifiques
- l'intervention des systèmes de contrôle
- l'intervention des systèmes de sûreté
- l'intervention des caractéristiques de conception complémentaires
6.4 Radioprotection et critères d'acceptation
Afin d'atteindre l'objectif général de sûreté nucléaire (examiné à la section 4.1), toutes les sources de rayonnement réelles ou potentielles doivent être identifiées, et des dispositions doivent être prévues pour que ces sources fassent l'objet d'un contrôle technique et administratif rigoureux.
La conception doit permettre de réduire au niveau le plus bas qu'il soit raisonnablement possible d'atteindre les doses de rayonnement auxquelles le public et le personnel de la centrale pourraient être exposés. En mode d'exploitation normale, y compris lors de l'entretien et du déclassement, les doses ne doivent pas dépasser les limites prescrites par le Règlement sur la radioprotection.
La conception doit comprendre des dispositions pour la prévention et l'atténuation des expositions aux rayonnements résultant d'un AD et de CAD.
La conception doit aussi faire en sorte que les doses de rayonnement potentielles pour le public résultant d'IFP et d'AD ne dépassent pas les critères d'acceptation des doses prévus à la sous-section 4.2.1. Le calcul du risque global pour le public doit répondre aux objectifs de sûreté énoncés à la sous-section 4.2.2.
Orientation
Une évaluation détaillée des doses de rayonnement devrait comprendre une estimation des doses efficaces et des doses équivalentes annuelles collectives et individuelles reçues par les employés du site et les membres du public lorsque la centrale est en mode d'exploitation normale, les doses éventuelles de rayonnement reçues par le public en cas d'IFP et d'AD et les rejets potentiels dans l'environnement en cas de CAD.
Le processus d'évaluation devrait être clairement documenté et comprendre le processus permettant d'examiner et d'évaluer la diminution des doses de rayonnement en fonction des changements apportés à la conception de la centrale nucléaire. Les doses de rayonnement découlant de l'exploitation de la centrale devraient être réduites au moyen de contrôles techniques et de mesures de radioprotection, à des niveaux tels que des dépenses supplémentaires pour la conception, la construction et des mesures opérationnelles ne seraient pas justifiées par la diminution prévue des doses de rayonnement.
Le processus d'évaluation des doses de rayonnement devrait comprendre le taux d'occupation estimé dans les zones de rayonnement de la centrale ainsi qu'une estimation des doses annuelles (exprimées en personne-sievert) associées aux principales activités, y compris la manipulation des déchets radioactifs, l'entretien normal, l'entretien en conditions particulières, le rechargement du combustible et les inspections en cours d'exploitation. Des telles évaluations devraient comprendre des renseignements sur la façon d'appliquer le principe ALARA à la conception et de miser sur l'expérience opérationnelle pour tenir compte des facteurs qui contribuent de façon importante aux doses de rayonnement.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, G-129, révision 1, Maintenir les expositions et les doses au « niveau le plus bas qu'il soit raisonnablement possible d'atteindre (ALARA) », Ottawa, Canada, 2004.
- Groupe CSA, N288.2, Guidelines for Calculating Radiation Doses to the Public from a Release of Airborne Radioactive Material under Hypothetical Accident Conditions in Nuclear Reactors, Toronto, Canada.
6.5 Zone d'exclusion
La conception doit comprendre des dispositions appropriées pour l'établissement d'une zone d'exclusion adéquate. Pour établir une zone d'exclusion convenable, plusieurs facteurs doivent être pris en compte, notamment :
- les exigences d'évacuation
- les besoins d'utilisation des terres
- les exigences de sécurité
- les facteurs environnementaux
Orientation
La zone d'exclusion des centrales nucléaires au Canada est habituellement fixée à 914 mètres à partir du bâtiment du réacteur. Plutôt que de prescrire une zone d'exclusion de taille particulière, le présent document définit les facteurs devant être pris en considération pour établir une zone de taille appropriée. Ceux-ci incluent les exigences d'évacuation, les besoins d'utilisation des terres, les exigences de sécurité et les facteurs environnementaux.
Besoins d'évacuation
La conception devrait tenir compte des exigences relatives à l'intervention d'urgence, soit la taille de la zone d'exclusion, des installations et des infrastructures se trouvant à l'intérieur de la zone.
Les limites de la zone d'exclusion devraient être définies en tenant compte des capacités des
organismes d'intervention d'urgence sur le site et hors du site. Il faudrait tenir compte des facteurs
environnementaux qui pourraient avoir une incidence sur le temps d'intervention. La conception tient
également compte des changements projetés au fil du temps dans l'utilisation des terres et la
densité de la population, changements qui pourraient avoir une incidence négative sur le temps
d'intervention ou la capacité d'évacuer et de mettre à l'abri les personnes se trouvant sur le
site même et celles situées dans les régions de planification d'urgence.
Les exigences d'évacuation sont généralement fondées sur les plans provinciaux
d'intervention en cas d'urgence nucléaire existants.
Besoins d'utilisation des terres
La conception devrait veiller à ce que la zone d'exclusion soit suffisamment vaste pour contenir le site de la centrale nucléaire (en tenant compte du nombre maximal de tranches que l'on propose de construire sur le site, qu'elles soient construites immédiatement ou pas).
Les activités de conception devraient optimiser l'utilisation des terres par la centrale dans le cadre de la détermination de la zone d'exclusion.
Exigences de sécurité
La conception devrait inclure des exigences de sécurité en fonction de la taille de la zone d'exclusion, des installations et des infrastructures se trouvant à l'intérieur de la zone, ainsi que de la conception de l'installation. De manière générale, une zone d'exclusion plus grande exigera davantage de capacités de sécurité afin d'éviter de prolonger les délais d'intervention. Les caractéristiques physiques du site en tant que tel (dont les caractéristiques géographiques, comme la proximité par rapport à un terrain élevé) jouent également un rôle dans la détermination de ces exigences.
L'autorité responsable de la conception peut décider de prévoir des mesures d'atténuation de ces risques tout en maintenant une zone d'exclusion plus petite, en choisissant une conception hautement robuste pour l'installation, en appliquant des mesures de sécurité techniques sur le site et en mettant en place un programme de sécurité bien conçu. Ces mesures techniques devraient être décrites.
Au moment d'établir le rayon des limites de la zone d'exclusion, la conception devrait tenir compte des éléments suivants :
- le rapport sur l'évaluation des menaces et des risques dans le choix de l'emplacement
- la robustesse de l'installation contre les dangers externes naturels et anthropiques (y compris les actes malveillants)
- la capacité du programme de sécurité sur le site ainsi que les ressources de sécurité hors site qui complèteront le programme de sécurité sur le site
Pour chacun des paramètres susmentionnés, la conception devrait tenir compte des changements au fil du temps dans l'utilisation des terres et la densité de la population, changements qui pourraient avoir une incidence négative sur ces paramètres. La conception devrait faire en sorte que le rayon de la zone d'exclusion, tel qu'établi à l'étape de la conception, soit durable pour le cycle de vie complet de l'installation.
L'acceptabilité des renseignements à présenter à l'appui des éléments susmentionnés est présentée à la section 7.22 du présent document.
Facteurs environnementaux
Les facteurs environnementaux susceptibles d'exercer une influence sur la taille de la zone d'exclusion comprennent les conditions météorologiques locales pouvant influer sur la dose de rayonnement reçue par les membres du public. En l'absence d'un site spécifique, l'autorité responsable de la conception peut se servir de données génériques et d'hypothèses prudentes concernant les conditions météorologiques.
Le Règlement sur la radioprotection établit une limite de dose efficace de 1 mSv par année pour les membres du public. Cette limite suppose qu'un membre du public hypothétique vivant pendant un an à la périphérie de la zone d'exclusion (étant donné qu'aucune habitation permanente n'est autorisée à l'intérieur de la zone d'exclusion) n'accumulera pas une dose supérieure à 1 mSv en raison de l'exploitation normale de la centrale nucléaire.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans le document suivant :
- CCSN, RD-346, Évaluation de l'emplacement des nouvelles centrales nucléaires, Ottawa, Canada, 2008.
6.6 Plan de l'installation
L'aménagement de l'installation doit tenir compte des EDH pour renforcer la protection des SSC importants pour la sûreté.
La conception doit tenir compte des interfaces entre les dispositifs de sûreté, de sécurité et de garanties de la centrale et d'autres aspects de l'aménagement de l'installation, tels que :
- les voies d'accès réservées aux activités normales d'entretien et d'exploitation
- le contrôle de l'accès, pour réduire au minimum les expositions au rayonnement
- les mesures d'intervention à prendre en cas d'incidents internes ou externes
- les voies d'évacuation d'urgence
- le transport de substances dangereuses, de matières nucléaires et de matières radioactives
- le mouvement du personnel autorisé et non autorisé
- les interrelations entre les fonctions d'exploitation des bâtiments et les fonctions de soutien
Il est probable que certaines exigences de conception découlant des facteurs susmentionnés entreront en conflit avec d'autres exigences lors de l'élaboration du plan de l'installation. Par conséquent, la conception doit démontrer qu'une évaluation des options a été effectuée pour optimiser la configuration dans le plan de l'installation.
6.6.1 Exigences pour les centrales à tranches multiples
La conception doit tenir dûment compte des défis que pose un site à tranches multiples, plus particulièrement des risques associés aux événements d'origine commune qui touchent au moins deux tranches en même temps.
Orientation
La présence de tranches multiples sur un site ou d'événements d'origine commune pourrait aggraver les défis posés au personnel de la centrale en cas d'accident. Les événements et les conséquences d'un accident dans une tranche peuvent avoir une incidence sur la progression de l'accident ou entraver les activités de gestion des accidents à la tranche voisine, et les ressources disponibles (personnel, équipement, carburant) devraient être partagées entre plusieurs tranches. Il faudrait relever ces défis et démontrer que les ressources et que les stratégies d'atténuation disponibles sont adéquates.
7. Exigences générales relatives à la conception
7.1 Classification de sûreté des SSC
L'autorité responsable de la conception doit classer les SSC au moyen d'une méthode de classification cohérente et clairement définie. Les SSC doivent être par la suite conçus, construits et maintenus de sorte que leur qualité et leur fiabilité correspondent à cette classification.
En outre, tous les SSC doivent être identifiés comme importants ou non importants sur le plan de la sûreté, à l'aide de critères fondés sur :
- les fonctions de sûreté à exécuter
- la conséquence d'une défaillance
- la probabilité que les SSC devront exécuter une fonction de sûreté
- le délai suivant un EDH avant que les SSC devront intervenir et la durée prévue de cette opération
Les SSC importants au niveau de la sûreté doivent inclure :
- les systèmes de sûreté
- les caractéristiques de conception complémentaires
- les systèmes de soutien en matière de sûreté
- les autres SSC dont la défaillance peut soulever des préoccupations de sûreté (p. ex. les systèmes fonctionnels et de contrôle)
Des interfaces adéquates entre les SSC des différentes catégories de sûreté doivent être prévues dans la conception pour empêcher que des SSC de moindre importance sur le plan de la sûreté nuisent à la fonction ou à la fiabilité d'un SSC de plus grande importance.
Orientation
La méthode utilisée pour établir la classification de sûreté des SSC importants pour la sûreté devrait être principalement fondée sur des méthodes déterministes, complétées (au besoin) par des méthodes probabilistes. La classification de sûreté des SSC devrait être un processus itératif qui continue tout au long de la conception.
Le processus de classification des SSC devrait comprendre les activités suivantes :
- l'examen et la définition des EDH
- le regroupement et l'identification des EDH limitatifs
- l'identification des fonctions de sûreté propres à la centrale servant à prévenir ou à atténuer les EDH
- le classement des fonctions de sûreté, selon leur importance sur le plan de la sûreté et le rôle qu'elles jouent pour remplir les fonctions de sûreté fondamentales
- l'identification des SSC qui assurent les fonctions de sûreté
- l'attribution aux SSC d'une classe de sûreté correspondant à la catégorie de sûreté
- la vérification de la classification des SSC
- l'identification des règles de conception technique des SSC classés
Cette approche devrait être utilisée pour tous les SSC, y compris les composants sous pression, les équipements électriques, les systèmes d'instrumentation et de contrôle (IC) et les structures de génie civil.
Les EDH identifiés devraient être groupés en cas limites, qui sont appelés EDH limitatifs ou enveloppe des EDH. Une fois que ces EDH limitatifs sont connus et bien compris, il est possible d'identifier les fonctions de sûreté requises. Le nombre de catégories et de classes peut être choisi pour obtenir des règles de conception graduelles.
Le délai suivant un EDH reflète le besoin d'une intervention automatique pour les délais très courts ou d'interventions manuelles acceptables pour les mesures à plus long terme. La durée prévue de l'opération est également importante dans la mesure où certains systèmes sont parfois appelés à fonctionner durant plusieurs mois alors que d'autres (comme les systèmes d'arrêt d'urgence) peuvent accomplir leur fonction en l'espace de quelques secondes.
Il faudrait évaluer la gravité potentielle des conséquences d'une fonction défaillante. La gravité devrait être basée sur les conséquences qui pourraient survenir si la fonction de sûreté n'était pas exécutée. Les conséquences de la défaillance d'une fonction devraient être évaluées en supposant que les fonctions de sûreté du niveau subséquent de défense en profondeur demeurent fonctionnelles.
Voici quelques directives spécifiques en matière de classification des SSC :
- Les SSC dont la défaillance ne peut être acceptée parce qu'elle entraînerait avec certitude des conséquences inacceptables devraient être affectés à la classe de sûreté la plus élevée.
- Les SSC de soutien essentiels pour appuyer la fonction de sûreté des SSC de première ligne devraient être affectés à la même classe que celle des SSC de première ligne.
- Un SSC particulier qui contribue à l'exécution de plusieurs fonctions de sûreté de catégories différentes devrait être affecté à la classe correspondant à la catégorie de sûreté la plus élevée, en exigeant les règles de conception correspondantes.
- Tout SSC ne faisant pas partie d'un groupe de fonctions de sûreté mais dont la défaillance pourrait avoir une incidence négative sur la capacité de ce groupe à accomplir ses fonctions de sûreté (si cela ne peut être empêché par la conception), devrait être classé conformément à la catégorie de sûreté de ce groupe de fonctions de sûreté.
- Lorsque des SSC reliés entre eux ou en interaction les uns avec les autres appartiennent à des classes de sûreté différentes (y compris lorsqu'un SSC appartenant à une classe de sûreté est relié à un autre SSC sans importance au plan de la sûreté), l'interférence entre les SSC devrait être séparée par un dispositif (p. ex. un isolateur physique ou optique) rangé dans une classe de sûreté plus élevée afin de s'assurer que la défaillance du SSC de la classe de sûreté moins élevée ne se propage pas au SSC de la classe de sûreté supérieure.
La pertinence de la classification de sûreté devrait être vérifiée à l'aide d'une analyse déterministe de sûreté qui devrait couvrir tous les EDH et toutes les fonctions de sûreté validées. Cette vérification devrait être complétée, au besoin, par les informations fournies dans l'étude probabiliste de sûreté et par le jugement technique.
Tel qu'indiqué à la section 7.5, les règles et limites de conception appropriées sont précisées conformément à la classification de sûreté des SSC.
La probabilité d'utiliser de SSC en cas de CAD est très faible, mais la défaillance des fonctions de sûreté destinées à atténuer les CAD pourrait avoir des conséquences très graves. Les SSC qui assurent ces fonctions de sûreté devraient être affectées à une classification de sûreté qui correspond à leur importance pour la sûreté. Pour certaines caractéristiques de conception complémentaires (comme l'équipement portatif sur le site) qui ont une redondance élevée et une très faible probabilité de servir, il peut être approprié de leur attribuer une classification de sûreté faible. Il faut souligner que ce n'est pas tout l'équipement portatif qui est inclus dans les SSC importants pour la sûreté.
Tout d'abord, il faut déterminer si les SSC sont importants ou non pour la sûreté. Compte tenu de leurs rôles, les systèmes de sûreté, les caractéristiques de conception complémentaires et les systèmes de soutien en matière de sûreté seront identifiés comme étant importants pour la sûreté. De plus, d'autres SSC pouvant avoir un impact important sur la sûreté nucléaire seront identifiés comme étant importants pour la sûreté.
Une fois que les SSC importants pour la sûreté sont déterminés, ils sont classés. La classification de sûreté tient compte de plusieurs facteurs, tels que ceux énumérés ci-haut. La classification de sûreté permet de choisir les bonnes règles de conception, telles que décrites à la section 7.5.
7.2 Enveloppe de conception de la centrale
L'autorité responsable de la conception doit établir l'enveloppe de conception de la centrale, laquelle comprend tous les états pris en compte dans la conception, soit l'exploitation normale, les IFP, les AD et les CAD, tel qu'indiqué dans la figure ci-dessous.
Figure 1 : États de la centrale
Le dimensionnement doit préciser les capacités qui sont nécessaires pour la centrale dans les divers états de fonctionnement et en mode d'AD.
Des mesures de conception conservatrices et de saines méthodes d'ingénierie doivent être appliquées au dimensionnement pour les états de fonctionnement et en mode d'AD. On obtiendra ainsi un niveau élevé d'assurance qu'aucun dommage important ne surviendra dans le cœur du réacteur et que les doses de rayonnement demeureront à l'intérieur des limites prescrites.
Des caractéristiques de conception complémentaires tiennent compte du rendement de la centrale en cas de CAD.
Orientation
Le dimensionnement de chaque SSC important pour la sûreté devrait être défini et justifié de façon systématique. La conception devrait également inclure toute l'information permettant à l'organisme exploitant de faire fonctionner la centrale de façon sécuritaire.
La conception devrait inclure des principes déterministes suffisamment prudents. Par exemple, les SSC devraient être robustes et résister à une vaste gamme de défauts avec une dégradation graduelle de leur efficacité, sans toutefois subir de défaillance catastrophique (peu importe l'état de fonctionnement, les AD et les CAD).
Les conditions qui s'écartent des principes de conception déterministes et conservateurs devraient être clairement énoncées, y compris les fondements permettant de justifier de tels écarts au cas par cas. De tels fondements peuvent comprendre une méthode de calcul plus perfectionnée, qui a été bien établie, ou de multiples façons d'exécuter une fonction particulière.
Une caractéristique de conception complémentaire s'entend d'une caractéristique ajoutée à la conception en tant que SSC autonome (y compris l'équipement portatif) ou en tant que capacité ajoutée à un SSC existant pour gérer les CAD.
Les principes de conception liés aux caractéristiques de conception complémentaires destinées à gérer les CAD n'ont pas nécessairement besoin d'être aussi prudents que celles appliquées à la conception pour tous les états de fonctionnement, y compris en cas d'AD. Toutefois, l'autorité responsable de la conception devrait fournir une assurance raisonnable que les caractéristiques de conception complémentaires fonctionneront comme prévu en cas de besoin.
7.3 États de la centrale
Les états de la centrale pris en compte dans la conception doivent être regroupés dans les quatre catégories suivantes :
- L'exploitation normale est un fonctionnement à l'intérieur des LCE spécifiées, y compris le démarrage, l'exploitation en puissance, l'arrêt du réacteur, l'état d'arrêt, l'entretien, les essais et le rechargement du combustible.
- Un incident de fonctionnement prévu (IFP) est un processus opérationnel qui s'écarte du fonctionnement normal et qui devrait survenir une ou plusieurs fois au cours de la vie de la centrale, mais qui, en raison des dispositions appropriées prises lors de la conception, ne causera pas de dommages significatifs aux composants importants pour la sûreté et ne dégénérera pas en accident.
- Un accident de dimensionnement (AD) est un accident contre lequel une centrale nucléaire est conçue sur la base de critères de conception établis et pour lequel les dommages causés au combustible et le rejet de matières radioactives sont maintenus à l'intérieur des limites autorisées.
- Les conditions additionnelles de dimensionnement (CAD) forment un sous-ensemble des accidents hors dimensionnement (AHD) pris en compte dans le processus de conception de l'installation, conformément à la méthode de la meilleure estimation pour maintenir les rejets de matières radioactives à l'intérieur des limites acceptables. Les CAD pourraient inclure les accidents graves.
Des critères d'acceptation doivent être attribués à chaque état de la centrale pris en compte dans la conception en fonction du principe selon lequel les EDH fréquents n'auront que des conséquences radiologiques mineures ou nulles, et que les événements susceptibles de se traduire par des conséquences graves présenteront une probabilité extrêmement faible.
Orientation
Les états de la centrale pris en compte dans la conception se divisent en exploitation normale, IFP, AD et CAD. Les exigences de conception des SSC devraient donc être élaborées pour que la centrale soit capable de répondre aux exigences déterministes et probabilistes applicables à chaque état de la centrale. Veuillez noter que le tableau des états de la centrale à la section 7.2 indique que les AHD constituent un état de la centrale. Cependant, seul un sous-ensemble d'AHD est pris en considération dans la conception. Il s'agit des CAD.
La conception devrait comprendre les éléments suivants :
- les critères pour le retour à l'exploitation normale à la suite d'un IFP ou d'un AD (p. ex. les fonctions de sûreté sont assurées, et les LCE pour les configurations d'exploitation sont respectées)
- les principaux paramètres et caractéristiques des divers états de fonctionnement, y compris les valeurs nominales et les écarts dus aux incertitudes et aux réglages des instruments, des systèmes de commande, des systèmes de déclenchement, du délai d'intervention des équipements, ou dus aux fluctuations des processus
- les conditions admissibles pour différentes configurations d'exploitation (p. ex. réacteur froid ou sous pression), y compris la durée des conditions transitoires (p. ex. le niveau de puissance du réacteur ou de la turbine, la durée de la variation de puissance normale prévue, les vitesses d'échauffement et de refroidissement) tout au long de la durée de vie utile de la centrale nucléaire
- les méthodes utilisées pour faire passer la centrale d'une configuration d'exploitation à une autre
- les configurations sécuritaires finales à la suite d'IFP, d'AD et de CAD
7.3.1 Exploitation normale
La centrale doit être conçue pour fonctionner en toute sûreté à l'intérieur d'un ensemble défini de paramètres et en supposant la disponibilité d'un ensemble minimal de dispositifs particuliers pour le soutien des systèmes de sûreté.
Lors de la conception, il faut minimiser la non-disponibilité des systèmes de sûreté. Il faut donc tenir compte des accidents potentiels qui pourraient se produire lorsque la disponibilité des systèmes de sûreté peut être réduite, notamment au cours d'un arrêt, au démarrage, en régime d'exploitation à faible puissance et au cours du rechargement du combustible et de l'entretien.
Lors de la conception, on doit établir un ensemble d'exigences et de limites relatives à l'exploitation normale et sécuritaire comprenant :
- les limites importantes sur le plan de la sûreté
- les contraintes sur les systèmes de contrôle et les procédures
- les exigences relatives à l'entretien, aux essais et à l'inspection de la centrale pour vérifier que les SSC fonctionnent comme prévu, en tenant compte du niveau de risque le plus bas qu'il soit raisonnablement possible d'atteindre (ALARA)
- les configurations d'exploitation clairement définies, par exemple au démarrage, en régime de production d'énergie, lors d'un arrêt, au cours de l'entretien, lors d'essais ou de surveillance et de rechargement du combustible. Ces configurations doivent comporter des restrictions opérationnelles en cas d'interruption de service des systèmes de sûreté et des systèmes de soutien
Ces exigences et limites, ainsi que les résultats de l'analyse de sûreté, doivent former la base sur laquelle sont établies les LCE pour lesquelles l'exploitation de la centrale sera autorisée, comme le décrit la sous-section 4.3.3 du présent document.
Orientation
La conception veille à ce que l'exploitation normale soit exécutée de manière sûre et, par conséquent, confirme que les doses de rayonnement auxquelles sont exposés les travailleurs et les membres du public, ainsi que tout rejet prévu de matières radioactives en provenance de la centrale, respecteront les limites autorisées précisées dans le Règlement sur la radioprotection et satisferont aux exigences de la section 4.1.1 du présent document.
Les configurations d'exploitation en mode d'exploitation normale sont traitées par les LCE décrites à la section 4.3.3. Celles-ci comprennent habituellement :
- le démarrage normal du réacteur (de l'état d'arrêt, à la pleine puissance, en passant par la criticité)
- l'exploitation, y compris l'exploitation à pleine puissance et à faible puissance
- les changements dans la puissance du réacteur, y compris les régimes en suivi de charge et le retour au régime d'exploitation à pleine puissance après avoir fonctionné pendant une longue période à faible puissance
- l'exploitation lors du passage d'une configuration à une autre, comme la mise à l'arrêt du réacteur après l'exploitation en puissance (arrêt chaud, refroidissement)
- le rechargement du combustible en mode d'exploitation normale, le cas échéant
- l'arrêt en mode de rechargement du combustible ou dans une autre condition d'entretien qui ouvre l'enceinte de refroidissement ou l'enveloppe de confinement
- la manutention du combustible frais ou irradié
Les principaux paramètres et les caractéristiques uniques de chaque configuration opérationnelle, ainsi que toute disposition de conception particulière visant à maintenir la configuration, devraient être cernés. Les périodes admissibles d'exploitation dans diverses configurations (p. ex., la charge) dans l'éventualité d'un écart par rapport aux configurations d'exploitation normale devraient aussi être identifiées.
7.3.2 Incident de fonctionnement prévu
La conception doit prévoir des dispositions de sorte que les rejets auxquels le public peut être exposé à la suite d'un IFP ne dépassent pas le critère d'acceptation des doses précisé à la section 4.2.1.
Lors de la conception, il faut aussi prévoir, dans la mesure du possible, que les SSC qui ne sont pas associés aux IFP demeureront opérationnels à la suite d'un IFP.
La capacité de la centrale à réagir à une vaste gamme d'IFP doit permettre d'assurer un fonctionnement sécuritaire ou de procéder à un arrêt, le cas échéant, sans avoir à invoquer des mesures autres que celles de la défense en profondeur de niveau 1 ou, dans les cas extrêmes, de niveau 2.
Pour ce qui est de l'aménagement de l'installation, l'équipement doit être placé à l'endroit le plus propice pour en assurer sa disponibilité immédiate lorsque l'opérateur doit intervenir, permettant ainsi qu'il y accède en toute sécurité et en temps opportun au cours d'un IFP.
Orientation
L'orientation présentée dans cette sous-section porte aussi sur les éléments communs aux IFP et aux AD.
Conformément aux exigences visant les niveaux 2 et 3 de défense en profondeur (section 4.3.1 du présent document), la conception devrait inclure les résultats des analyses des IFP et des AD afin de démontrer la robustesse de la tolérance à la défaillance de la conception technique ainsi que l'efficacité des systèmes de sûreté. L'analyse devrait couvrir toute la gamme des événements pour toutes les puissances du réacteur. Elle devrait également couvrir toutes les configurations en mode d'exploitation normale, y compris en régime d'exploitation à faible puissance et en état d'arrêt.
Pour une vaste gamme d'IFP, la conception devrait fournir une garantie raisonnable que tout écart du mode d'exploitation normale peut être détecté, et qu'on peut s'attendre à ce que les systèmes de contrôle ramènent la centrale à un état sûr, sans avoir normalement à activer les systèmes de sûreté. En ce qui concerne les IFP et les AD, le niveau de confiance que les systèmes qualifiés (tel qu'identifié dans REGDOC-2.4.1, Analyse déterministe de la sûreté) fonctionnant seuls peuvent atténuer l'événement devrait être élevé.
Dans l'analyse des IPF et des AD, il peut être suffisant, pour chaque groupe d'EDH, d'analyser seulement un nombre limité d'événements déclencheurs limitatifs qui peuvent représenter une réponse limitative pour un groupe d'événements. La raison d'être du choix de ces événements limitatifs devrait être indiquée. Les paramètres de la centrale qui sont importants pour le résultat des analyses de sûreté devraient également être précisés. Parmi ces paramètres se trouvent généralement :
- la puissance du réacteur et sa distribution
- les températures des composants du cœur du réacteur
- l'oxydation et la déformation de la gaine de combustible
- les pressions dans les systèmes primaires et secondaires
- les paramètres de confinement
- les températures et les débits
- les coefficients de réactivité
- les paramètres cinétiques du réacteur
- la valeur de réactivité des dispositifs de réactivité
Les caractéristiques des systèmes de sûreté, y compris les conditions d'exploitation dans lesquelles les systèmes sont actionnés, les retards, et la capacité des systèmes après le déclenchement indiquée dans la conception, devraient être précisés et démontrés de façon à être conformes aux exigences fonctionnelles et de performance générales des systèmes.
Renseignements supplémentaires
On peut trouver des exemples d'IFP dans le document suivant :
- CCSN, REGDOC-2.4.1, Analyse déterministe de la sûreté, Ottawa, Canada, 2014.
7.3.3 Accidents de dimensionnement
L'ensemble des accidents de dimensionnement doit établir les conditions limites selon lesquelles sont conçus les SSC importants pour la sûreté.
La conception doit être telle que les rejets auxquels sont exposés le public à la suite d'un AD ne dépasseront pas le critère d'acceptation des doses précisé à la section 4.2.1.
Afin de prévenir la progression d'un accident à un état plus grave susceptible de menacer la prochaine barrière, la conception doit prévoir des dispositions pour enclencher automatiquement les systèmes de sûreté nécessaires lorsqu'une intervention prompte et fiable s'impose en réponse à un EDH.
Des dispositions doivent également être prises pour permettre une détection opportune et une intervention manuelle lorsqu'une intervention rapide n'est pas nécessaire, y compris le déclenchement manuel des systèmes ou d'autres interventions de l'opérateur.
La conception doit tenir compte des interventions de l'opérateur qui peuvent être nécessaires pour diagnostiquer l'état de la centrale et la placer dans un état d'arrêt stable à long terme de manière opportune. De telles interventions de l'opérateur doivent être facilitées par la présence d'une instrumentation adéquate pour surveiller l'état de la centrale, et contrôler en mode manuel les équipements.
Tout équipement nécessaire à une intervention manuelle et aux processus de remise en état doit être placé à l'endroit le plus approprié pour que les travailleurs puissent y accéder en toute sécurité et en temps opportun.
Orientation
La conception identifie l'ensemble des AD et des conditions connexes pour lesquelles la centrale nucléaire est conçue, y compris le déclenchement manuel des systèmes ou d'autres interventions de l'opérateur.
Consulter la section 7.3.2 du présent document pour obtenir de l'orientation commune aux IPF et aux AD.
Renseignements supplémentaires
Des exemples d'AD peuvent être trouvés dans le document suivant :
- CCSN, REGDOC-2.4.1, Analyse déterministe de la sûreté, Ottawa, Canada, 2014.
7.3.4 Conditions additionnelles de dimensionnement
L'autorité responsable de la conception doit établir l'ensemble des conditions additionnelles de dimensionnement (CAD), sur la base des méthodes déterministe et probabiliste, de l'expérience acquise pendant l'exploitation, d'un sain jugement technique et des résultats d'analyse et de recherches. Ces CAD doivent servir à renforcer la sûreté de la centrale nucléaire en améliorant les capacités de la centrale à résister, sans subir de conséquences radiologiques inacceptables, à des accidents qui sont plus graves qu'un AD ou qui impliquent des défaillances supplémentaires.
La conception doit être telle que les états de la centrale qui pourraient entraîner des rejets importants de matières radioactives sont, à toute fin pratique, éliminés. Si ce n'est pas le cas, seules des mesures de protection à portée limitée en termes de zone et de temps d'exécution seront nécessaires pour protéger le public, et un délai suffisant sera disponible pour appliquer ces mesures.
Des caractéristiques de conception complémentaires devront être fournies pour gérer les CAD. Leur conception devra être fondée sur des modèles phénoménologiques, des jugements d'ingénierie et des méthodes probabilistes.
Il faut prévoir les règles et les pratiques qui s'appliquent aux caractéristiques de conception complémentaires. Ces règles et ces pratiques ne doivent pas nécessairement être aussi prudentes que celles appliquées au dimensionnement.
La conception doit identifier un terme source pour un accident radiologique avec un gaz combustible pour utilisation dans la spécification des caractéristiques de conception complémentaires pour les CAD. Ce terme source est appelé terme source de référence et doit être fondé sur un ensemble d'accidents représentatifs, déterminé par l'autorité responsable de la conception, pouvant causer des dommages au cœur du réacteur.
Dans la mesure du possible, la conception doit prévoit des boucliers biologiques de composition et d'épaisseurs appropriées pour protéger le personnel d'exploitation en cas de CAD.
Dans le cas des centrales à tranches multiples sur le site, le recours aux dispositifs de soutien des autres tranches ne doit être mis à profit que s'il peut être établi que le fonctionnement sûr de ces autres tranches n'est pas compromis.
Orientation
Les CAD forment un sous-ensemble des AHD qui sont pris en considération dans la conception. Les AHD sont tous les événements dont la fréquence d'occurrence est inférieure à celle des AD. Il n'y a pas de limite à la fréquence inférieure.
Pour identifier les CAD, il faudrait tenir compte des éléments suivants :
- les facteurs liés à la progression de l'accident (c.-à-d. les conditions, les processus et les phénomènes physiques)
- les scénarios d'accidents hors dimensionnement (y compris les accidents graves) provoqués par des événements déclencheurs, des interventions humaines et l'exploitabilité des SSC (réussite ou défaillance)
- la sélection d'événements limitatifs envisagés dans la conception et la détermination des valeurs limites ou des ensembles de paramètres de ces événements
La conception devrait identifier les caractéristiques conçues pour servir à prévenir ou à atténuer les événements pris en compte dans les CAD, ou qui sont capables de le faire. Celles-ci comprennent les caractéristiques de conception complémentaires et d'autres SSC qui peuvent être prévues pour les CAD. Ces caractéristiques devraient :
- être indépendantes, dans la mesure du possible, de celles utilisées dans les accidents plus fréquents
- présenter une fiabilité correspondant aux fonctions qu'elles doivent remplir
Le choix des CAD à analyser devrait être expliqué et justifié, en indiquant s'il a été fondé sur une EPS ou une autre analyse permettant de cerner les vulnérabilités possibles de la centrale.
Aux fins d'utilisation dans la spécification des caractéristiques de conception complémentaires pour les CAD, le terme source de référence devrait être calculé pour un ensemble de scénarios d'accidents représentatifs fondés sur des modèles de la « meilleure estimation ». La conception devrait tenir compte des incertitudes liées aux principaux paramètres et des changements possibles aux processus physiques qui les régissent.
Les accidents de cette catégorie sont habituellement des séquences comportant plus d'une défaillance (à moins que ceux-ci aient été pris en compte dans l'AD à l'étape de la conception). De telles séquences peuvent inclure des AD accompagnés d'un rendement affaibli d'un système de sûreté et des séquences susceptibles d'entraîner le contournement de l'enceinte de confinement. L'analyse de ces accidents peut :
- avoir recours aux modèles et aux hypothèses de la « meilleure estimation »
- prendre le mérite du fonctionnement et du rendement réalistes des systèmes au-delà des fonctions initiales prévues, y compris l'utilisation potentielle de systèmes de sûreté, de systèmes autres que ceux de sûreté et de systèmes temporaires
- prendre le mérite des interventions réalistes des opérateurs
Si cela n'est pas possible, des hypothèses raisonnablement conservatrices devraient être formulées, dans lesquelles les incertitudes relatives à la compréhension des processus physiques modélisés seront prises en compte. L'analyse devrait justifier l'approche qui a été adoptée.
Les conditions d'accident entraînant un rejet important sont considérées comme pratiquement éliminées :
- s'il est physiquement impossible que la condition se produise
- s'il est très peu probable que la condition se produise, avec un degré élevé de confiance
L'impossibilité physique peut être démontrée avec une caractéristique de sûreté qui rendrait impossible le déclenchement ou la progression d'un scénario d'accident. Il faudrait faire preuve de prudence si des hypothèses sont utilisées pour appuyer cette démonstration. De telles hypothèses devraient être adéquatement reconnues et traitées.
Pour démontrer, avec un degré élevé de confiance, qu'une condition d'accident est très peu probable de se produire et qu'elle est donc pratiquement éliminée, les éléments suivants devraient être pris en compte :
- Le degré de justification servant à démontrer qu'un accident est pratiquement éliminé devrait tenir compte de la fréquence d'occurrence évaluée de la situation à éliminer et du degré de confiance dans la fréquence évaluée.
- Il ne faudrait pas affirmer qu'un accident est pratiquement éliminé uniquement en se basant sur la conformité avec une valeur d'élimination probabiliste. Même si la probabilité d'occurrence d'une séquence d'accident est très faible, toute caractéristique de conception, mesure d'exploitation ou procédure de gestion des accidents additionnelle devrait être mise en œuvre, dans la mesure du possible.
- Les exigences les plus rigoureuses visant à démontrer qu'un événement est pratiquement éliminé devraient s'appliquer dans le cas des événements qui pourraient mener directement à un accident grave, c.-à-d., du niveau 1 au niveau 4 de la défense en profondeur. Par exemple, la démonstration de l'élimination, en pratique, d'un événement de dilution de bore hétérogène dans les réacteurs à eau pressurisée (REP) nécessiterait une justification détaillée.
-
Le degré élevé de confiance nécessaire pour démontrer une faible
probabilité devrait être appuyé, dans la mesure du possible, par :
- de multiples couches de protection
- l'application des principes de sûreté qui sont l'indépendance, la diversité, la séparation et la redondance
- l'utilisation de caractéristiques de sûreté passives
- l'utilisation de multiples contrôles indépendants
- Il faudrait garantir que les dispositions relatives aux accidents pratiquement éliminés demeurent en place et valides tout au long du cycle de vie de la centrale, par exemple, pendant la mise en service et les inspections périodiques.
Dans chaque cas, la démonstration devrait illustrer une connaissance suffisante de la séquence d'accident analysée et du phénomène en cause et devrait être étayée par des preuves pertinentes.
Pour réduire au minimum les incertitudes et accroître la robustesse du dossier de sûreté de l'installation, la démonstration de l'élimination devrait reposer, de préférence, sur le critère de l'impossibilité physique plutôt que sur le second critère probabiliste (très peu probable avec un degré élevé de confiance).
L'équipement portatif devrait être classé en fonction de son importance sur le plan de la sûreté.
Différentes options peuvent être disponibles pour remplir les fonctions de sûreté fondamentales pendant les CAD. Cependant, l'équipement portatif prévu sur le site et hors site, doit fonctionner de manière efficace avec un degré de confiance raisonnable.
L'équipement portatif sur le site et hors site peut constituer l'une des mesures d'atténuation à l'appui des Lignes directrices pour la gestion des accidents graves.
Renseignements supplémentaires
Des exemples d'AHD se trouvent dans le document suivant :
- CCSN, REGDOC-2.4.1, Analyse déterministe de la sûreté, Ottawa, Canada, 2014.
7.3.4.1 Accidents graves à l'intérieur des conditions additionnelles de dimensionnement
La conception doit être équilibrée de sorte qu'aucun événement particulier ou aucune caractéristique de conception particulière n'exerce un effet important sur la fréquence des accidents graves, en tenant compte des incertitudes.
Tôt à l'étape de la conception, les diverses barrières potentielles protégeant le cœur du réacteur ou le combustible contre sa dégradation doivent être déterminées, et les dispositifs pouvant être intégrés à ces barrières pour freiner la dégradation du cœur ou du combustible doivent être fournis.
La conception doit aussi établir l'équipement à utiliser dans la gestion des accidents graves, y compris l'équipement disponible sur le site et à l'extérieur du site.
La conception doit inclure des points de connexion redondants en vue d'acheminer l'eau et l'électricité qui pourraient être nécessaires pour appuyer les mesures de gestion d'un accident grave.
Des dispositions visant à mettre à l'épreuve l'équipement doivent être établies, dans la mesure du possible.
Les évaluations sismiques et des incendies, ainsi que la prise en compte des conditions environnementales, doivent présenter un niveau de confiance raisonnable selon lequel cet équipement fonctionnera comme prévu en cas d'accident grave.
Il faut aussi se pencher sur l'ensemble des possibilités qu'offre la conception de la centrale, y compris les utilisations possibles des systèmes de sûreté, des systèmes autres que ceux de sûreté et des systèmes temporaires, au-delà de leurs fonctions initiales prévues. Cette exigence doit s'appliquer à tout système pour lequel il peut être démontré avec un degré de confiance raisonnable qu'il pourra fonctionner dans les conditions environnementales envisagées en cas d'accident grave.
En ce qui concerne les CAD où il y a des dommages graves au cœur, l'enceinte de confinement doit maintenir sa fonction de barrière étanche contre les fuites pendant une période suffisamment longue pour mettre en œuvre les procédures d'urgence hors site après le début des dommages au cœur du réacteur. L'enceinte de confinement doit aussi permettre de prévenir les rejets non contrôlés de matières radioactives après cette période.
Une attention particulière doit être accordée à la prévention du contournement de l'enceinte de confinement lors d'accidents graves.
L'autorité responsable de la conception doit établir les lignes directrices initiales pour la gestion des accidents graves, en tenant compte des caractéristiques de conception de la centrale, y compris les exigences relatives aux tranches multiples sur un site, et des connaissances acquises sur la progression des accidents et les phénomènes connexes.
Il faut tenir compte de la prévention d'un retour à l'état critique du cœur à la suite d'accidents graves.
Orientation
Les accidents graves sont des accidents qui entraînent une détérioration importante du combustible, que ce soit à l'intérieur du cœur du réacteur ou au niveau du stockage du combustible.
Une analyse détaillée devrait être réalisée et consignée par écrit afin de déterminer et de caractériser les accidents susceptibles d'entraîner des dommages importants au combustible ou des rejets de matières radioactives hors du site (accidents graves). En outre, il faudrait effectuer des évaluations de la capacité des caractéristiques de conception complémentaires à gérer les CAD. Les difficultés que présentent de tels événements pour la centrale et la mesure dans laquelle la conception peut raisonnablement atténuer leurs conséquences devraient être prises en considération lors de l'établissement des lignes directrices initiales de gestion des accidents graves qui permettront de répondre aux attentes énoncées dans le document de la CCSN intitulé REGDOC-2.3.2, Gestion des accidents : Programmes de gestion des accidents graves touchant les réacteurs nucléaires.
Les fuites du confinement en cas d'accident grave devraient demeurer en deçà de la limite nominale de débit de fuite (définie à la section 8.6.4) afin qu'il y ait suffisamment de temps pour mettre en œuvre les mesures d'urgence. Au-delà de cette période, une fuite du confinement menant au dépassement des objectifs de sûreté concernant la fréquence des petites et des grandes émissions devrait être écartée en prévoyant un système de ventilation filtré adéquat dans l'enceinte de confinement ainsi que d'autres caractéristiques.
La conception devrait inclure l'analyse réalisée pour évaluer la progression et les conséquences des accidents graves, y compris l'évaluation de problèmes particuliers, selon le cas, notamment :
- la stratification du corium
- l'interaction thermochimique entre le corium et le métal des composants et de la cuve
- le transfert de chaleur entre le corium et la cuve ou le bouclier d'extrémité
- la combustion de l'hydrogène
- les explosions de vapeur provoquées par l'interaction entre le combustible en fusion et le liquide de refroidissement
- l'interaction entre le corium et le béton
Les résultats de l'analyse des accidents graves devraient être pris en compte lors de l'élaboration des lignes directrices initiales pour la gestion des accidents graves et la planification des mesures d'urgence.
Les points de connexion redondants en vue d'acheminer l'eau et l'électricité qui pourraient être nécessaires pour appuyer les mesures de gestion d'un accident grave devraient utiliser des raccords standard et être facilement accessibles. Ils devraient également être séparés physiquement afin de réduire le plus possible les risques posés par les événements d'origine commune. La conception devrait faciliter l'utilisation d'équipements et de fournitures venant d'endroits situés sur le site et hors site, tels que l'alimentation en carburant, les batteries, les pompes temporaires sur le site et hors site, les génératrices et les chargeurs de batteries.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, RD-327, Sûreté en matière de criticité nucléaire, section 16, Planification et intervention d'urgence en cas d'accident de criticité nucléaire, Ottawa, Canada, 2010.
7.4 Événements déclencheurs hypothétiques
Lors de la conception de la centrale nucléaire, il faut appliquer une approche systématique pour établir un ensemble complet d'événements déclencheurs hypothétiques, de telle sorte que tous les événements prévisibles pouvant entraîner des conséquences graves ou dont la fréquence est grande seront anticipés et pris en considération.
Les événements déclencheurs hypothétiques (EDH) peuvent dégénérer en IFP, en AD ou en AHD et englobent les défaillances ou mauvais fonctionnements des SSC plausibles, les erreurs de l'opérateur ainsi que les dangers internes et externes d'origine commune.
En ce qui concerne un site à tranches multiples, la conception doit dûment prendre en compte la possibilité que des dangers particuliers aient un impact simultané sur plusieurs tranches du site.
Orientation
Les événements déclencheurs hypothétiques (EDH) sont identifiés en faisant appel au jugement technique et à des évaluations déterministes et probabilistes. Il faudrait fournir une justification de l'étendue de l'utilisation des analyses déterministes de sûreté et des études probabilistes de sûreté afin de montrer que tous les événements prévisibles ont été pris en considération.
Il faudrait fournir suffisamment de renseignements sur les méthodes utilisées pour identifier les EDH, leur portée et leur classification. Si les méthodes d'identification se sont appuyées sur des outils analytiques (par ex. des diagrammes logiques maîtres, des analyses de l'opérabilité et des risques, une analyse des modes de défaillances et de leurs effets), l'information fournie devrait être suffisamment détaillée.
Une méthode systématique de classement des événements devrait prendre en
considération tous les événements internes et externes, toutes les configurations en mode
d'exploitation normale, les différentes conditions de la centrale et du site, et les défaillances
survenant dans d'autres systèmes de la centrale (p. ex. dans le stockage du combustible irradié et
dans les réservoirs de stockage de substances radioactives).
La conception devrait tenir compte de la défaillance des équipements ne faisant pas partie de la
centrale nucléaire si cette défaillance a une incidence importante sur la sûreté
nucléaire.
Le document de la CCSN REGDOC-2.4.1, Analyse déterministe de la sûreté, présent les exigences et l'orientation relatives à l'établissement de la portée des EDH et à leur classification selon leurs fréquences prévues et d'autres facteurs, le cas échéant.
Pour de plus amples renseignements sur l'analyse de sûreté des EDH identifiés, consulter la section 9.0.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, REGDOC-2.4.1, Analyse déterministe de la sûreté, Ottawa, Canada, 2014.
7.4.1 Dangers internes
Les SSC importants pour la sûreté doivent être conçus et placés de façon à réduire le plus possible les risques (p. ex., les incendies et les explosions) causés par des événements internes ou externes ainsi que les conséquences de ces risques.
Lors de la conception de la centrale, il faut tenir compte des risques internes causés par des événements tels que les inondations, la formation de missiles, l'effet de fouet des tuyaux, l'impact d'un jet, les incendies, la fumée et les sous-produits de combustion ou le rejet d'un fluide par un système défaillant ou provenant d'une autre installation sur le site de la centrale. Des mesures appropriées de prévention et d'atténuation doivent être prises pour que la sûreté nucléaire ne soit pas compromise.
Il faut identifier les événements internes auxquels la centrale peut résister, de par sa conception. Il faut également déterminer les IFP, les AD et les CAD que ces événements pourraient produire.
Des événements externes peuvent causer des incendies internes ou des inondations, ou peuvent mener à la formation de missiles. De telles interactions entre des événements internes et externes doivent être prises en considération.
Orientation
La conception devrait tenir compte des impacts des dangers internes, comme les charges et les conditions environnementales particulières (température, pression, humidité, rayonnement), sur les structures ou les composants.
Il faudrait prendre en considération les facteurs potentiels de déclenchement d'inondations suivants :
- les fuites et ruptures des composants sous pression
- les inondations causées par l'eau provenant des bâtiments voisins
- l'actionnement inattendu du système de lutte contre l'incendie
- le remplissage excessif de réservoirs
- la défaillance de dispositifs d'isolation
La conception prend en considération les missiles internes qui peuvent être produits par la défaillance de composants rotatifs (comme les turbines) ou par la défaillance de composants sous pression. Pour ces missiles potentiels considérés comme étant crédibles, les mesures suivantes devraient être prises :
- la réalisation d'une évaluation réaliste de la taille et de l'énergie du missile prévu, et de ses trajectoires potentielles
- l'identification des composants potentiellement touchés, liés aux systèmes nécessaires pour atteindre et maintenir un état d'arrêt sûr
- l'évaluation de la perte de ces composants potentiellement touchés afin de déterminer s'il subsiste une redondance suffisante pour atteindre et maintenir un état d'arrêt sûr
La conception civile tient compte des charges créées par les dangers internes dans la catégorie des charges environnementales, conformément à la section 7.15.
7.4.2 Dangers externes
Tous les dangers externes naturels et d'origine humaine susceptibles de présenter des risques radiologiques importants doivent être déterminés. Les dangers externes auxquels la centrale peut résister, de par sa conception, doivent être sélectionnés et classés selon qu'il s'agisse d'AD ou de CAD.
Diverses interactions entre la centrale et l'environnement, telles que la population dans la zone avoisinante, la météorologie, l'hydrologie, la géologie et la sismologie doivent être identifiées au cours de l'évaluation de l'emplacement et des processus d'évaluation environnementale. Ces interactions doivent être prises en compte dans la détermination du dimensionnement de la centrale nucléaire.
Les dangers externes naturels applicables doivent inclure des dangers tels que les tremblements de terre, les sécheresses, les inondations, les vents violents, les tornades, les tsunamis et les conditions météorologiques extrêmes. Les dangers externes d'origine humaine doivent comprendre ceux qui sont identifiés dans l'évaluation du site, tels que les écrasements d'avions, les collisions de navires et les activités terroristes.
Orientation
La conception devrait tenir compte de toutes les caractéristiques de l'emplacement qui pourraient avoir une incidence sur la sûreté de la centrale, et devrait identifier les éléments suivants :
- l'évaluation des dangers propres au site en lien avec des dangers externes (d'origine naturelle ou humaine)
- les hypothèses ou les valeurs de conception en ce qui a trait à la probabilité de récurrence de dangers externes
- la définition du dimensionnement pour les dangers externes
- la collecte des données de référence sur le site pour la conception de la centrale (géotechniques, sismologiques, hydrologiques, hydrogéologiques et météorologiques)
- l'évaluation des incidences des questions relatives au site dont il faut tenir compte dans la demande en ce qui a trait aux mesures d'urgence et à la gestion des accidents
- les arrangements relatifs à la surveillance des paramètres du site tout au long de la vie de la centrale
Les dangers externes d'origine naturelle, autres que les tremblements de terre, peuvent être classés comme :
- des dangers susceptibles d'endommager des SSC importants pour la sûreté
- des dangers qui ont été évalués et éliminés
Les dangers externes d'origine naturelle pris en considération dans la conception devraient comprendre :
- les tremblements de terre
- les conditions météorologiques extrêmes liées à la température, la neige, la pluie verglaçante, la grêle, le gel, le gel souterrain et la sécheresse
- les inondations provoquées par les marées, les tsunamis, les seiches, les ondes de tempête, les trombes marines, la formation de digues et les ruptures de barrages, la fonte des neiges, les glissements de terrain dans les plans d'eau, les modifications apportées aux chenaux et les travaux réalisés dans ceux-ci
- les cyclones (p. ex. tornades, ouragans et typhons) et les vents directs
- les tempêtes de poussière abrasive et de sable
- les éclairs
- les volcans (l'emplacement est suffisamment éloigné des volcans)
- les phénomènes biologiques
- la collision de débris flottants (p. ex. glace, troncs) avec des structures accessibles liées à la sûreté, telles que des prises d'eau et des composants d'une source froide d'ultime secours (SFU)
- les orages géomagnétiques (éruptions solaires et impulsions électromagnétiques)
- les combinaisons de conditions météorologiques extrêmes dont on peut raisonnablement présumer qu'elles se produisent au même moment
Les dangers externes d'origine naturelle qui ont été évalués et éliminés peuvent se fonder sur les critères suivants :
- un phénomène qui survient lentement ou s'accompagne d'une alerte adéquate en ce qui concerne le temps requis pour prendre des mesures de protection appropriées
- un phénomène qui, en tant que tel, n'a aucune incidence importante sur l'exploitation d'une centrale nucléaire et son dimensionnement
- un phénomène isolé présentant une probabilité d'occurrence très faible
- la centrale nucléaire est située à une distance suffisante ou à une altitude suffisamment élevée par rapport au phénomène postulé (p. ex. incendie, inondation)
- un phénomène qui est déjà pris en compte par la conception pour un autre phénomène. Par exemple, les marées de tempête et les seiches sont comprises dans les inondations, et l'écrasement accidentel d'un petit avion est inclus dans les charges liées aux tornades.
Les dangers d'origine humaine pris en considération dans la conception devraient comprendre :
- les accidents d'avion (aviation générale)
- les explosions (déflagrations et détonations) accompagnées ou non d'un incendie, avec ou sans missiles secondaires, provenant de sources sur le site et hors site (mais à l'extérieur des bâtiments liés à la sûreté), comme les stocks de matières dangereuses ou de matières sous pression, les transformateurs, les cuves sous pression ou les équipements tournant à des vitesses élevées
- les rejets de gaz dangereux (asphyxiants ou toxiques) provenant d'entrepôts sur le site et hors site
- les rejets de gaz et de liquides corrosifs provenant d'entrepôts se trouvant sur le site et hors site
- le rejet de matières radioactives provenant de sources hors site
- les incendies produits par des sources hors site (principalement en raison de la fumée et des gaz toxiques qu'ils sont susceptibles de produire)
- la collision de bateaux ou de débris flottants avec des structures accessibles liées à la sûreté, telles que des prises d'eau et des composants d'une SFU
- la collision de véhicules avec des SSC situés sur le site
- les interférences électromagnétiques produites à l'extérieur du site (centres de communication, antennes de téléphones portables, etc.) et sur le site (activation d'un appareil de commutation électrique à haute tension, câbles non blindés, etc.)
- toute combinaison des éléments précités, provoqués par un même danger déclencheur (comme une explosion avec incendie et rejet de fumée et de gaz dangereux)
Les actes malveillants, y compris les écrasements d'avions, sont pris en considération séparément à la section 7.22.
En ce qui concerne la conception civile, les dangers d'origine humaine classés comme des AD sont pris en considération en tant que charges dans la catégorie des charges environnementales anormales ou extrêmes, conformément à la section 7.15. Les dangers d'origine humaine moins fréquents sont considérés comme faisant partie des CAD.
Renseignements supplémentaires
D'autres renseignements peuvent se trouver dans les documents suivants :
- American Nuclear Society (ANS), 2.3- 2011, Estimating Tornado, Hurricane, and Extreme Straight Line Wind Characteristics at Nuclear Facility Sites, La Grange Park, Illinois, 2011.
- CCSN, RD-346, Évaluation de l'emplacement des nouvelles centrales nucléaires, Ottawa, Canada, 2008.
- AIEA, NS-G-3.1, Les événements externes d'origine humaine dans l'évaluation des sites de centrales nucléaires, Vienne, 2002.
- Conseil national de recherches Canada, Code national du bâtiment du Canada (CNBC), Ottawa, Canada, 2010.
7.4.3 Combinaisons d'événements
Des combinaisons d'événements individuels aléatoires susceptibles de dégénérer en IFP, en AD ou en CAD doivent être prises en compte dans la conception. De telles combinaisons doivent être déterminées au début de la phase de conception et confirmées à l'aide d'une approche systémique.
Les événements qui peuvent être la conséquence d'autres événements, tels que des inondations à la suite d'un séisme, seront considérés comme faisant partie de l'EDH d'origine.
Orientation
Lorsque les résultats du jugement d'ingénierie, des analyses déterministes de sûreté et des études probabilistes de sûreté indiquent des combinaisons potentielles d'événements, alors de telles combinaisons d'événements devraient être considérées comme étant des IFP, des AD ou des CAD, selon leur probabilité d'occurrence.
7.5 Règles et limites de conception
L'autorité responsable de la conception doit préciser les règles de conception technique pour l'ensemble des SSC. Ces règles doivent être conformes aux pratiques d'ingénierie généralement reconnues.
La conception doit aussi permettre d'identifier pour quels SSC les limites de conception sont applicables. Ces limites de conception doivent être précisées pour les divers états de fonctionnement, les AD et les CAD.
Orientation
Lors de la conception, il convient d'appliquer des méthodes permettant d'assurer une conception robuste et de respecter les méthodes d'ingénierie éprouvées afin que les fonctions de sûreté fondamentales soient remplies pour tous les états de fonctionnement, les AD et les CAD.
Les règles de conception technique de tous les SSC devraient être déterminées en se fondant sur leur importance sur le plan de la sûreté, qui sera déterminée à l'aide des critères énoncés à la section 7.1. Les règles de conception devraient comprendre, le cas échéant :
- les codes et les normes identifiés
- des marges de sûreté conservatrices
-
la fiabilité et la disponibilité
- la sélection des matériaux
- le critère de défaillance unique
- la redondance
- la séparation
- la diversité
- l'indépendance
- la conception à sûreté intégrée
-
la qualification de l'équipement
- la qualification environnementale
- la qualification sismique
- la qualification contre les interférences électromagnétiques (IEM)
-
les considérations relatives à l'exploitation
- la testabilité
- la possibilité d'effectuer des inspections
- la facilité d'entretien
- la gestion du vieillissement
- le système de gestion
Les caractéristiques de conception complémentaires devraient être conçues de manière à réaliser efficacement les interventions validées dans l'analyse de sûreté, et ce avec un degré de confiance raisonnable. Les autres SSC validés pour les CAD devraient également répondre à cette attente.
Les règles de conception devraient inclure les normes et codes nationaux et internationaux pertinents. En cas de SSC dépourvus de normes ou de codes appropriés, il est possible d'appliquer une approche s'inspirant des normes et des codes existants pour des SSC similaires. En l'absence de tels codes et normes, il est possible d'appliquer les résultats de l'expérience, d'essais et d'analyses ou une combinaison de ceux-ci, et cette approche devrait être justifiée.
Un ensemble de limites de conception conforme aux principaux paramètres physiques de chaque SSC important pour la sûreté de la centrale nucléaire devrait être spécifié pour tous les états de fonctionnement, les AD et les CAD. Les limites de conception spécifiées sont conformes aux normes et codes nationaux et internationaux pertinents.
7.6 Fiabilité
Tous les SSC importants pour la sûreté doivent être conçus pour être suffisamment fiables et de qualité afin de répondre aux limites de conception. Une analyse de fiabilité doit être effectuée pour chacun de ces SSC.
Dans la mesure du possible, la conception doit prévoir des essais pour démontrer que les exigences en matière de fiabilité seront satisfaites durant l'exploitation.
Les systèmes de sûreté et leurs systèmes de soutien doivent être conçus de manière à ce que la probabilité qu'un système en demande fasse défaut, pour toutes les causes, soit inférieure à 10-3.
Le modèle de fiabilité de chaque système peut reposer sur des critères de défaillance réalistes et sur la meilleure estimation des taux de défaillance, compte tenu des exigences prévues des EDH sur le système.
La fiabilité doit tenir compte des temps de mission pour les SSC importants pour la sûreté.
La conception doit tenir compte de la disponibilité des services hors site sur lesquels la sûreté de la centrale et la protection du public peuvent dépendre, tels que l'approvisionnement en électricité et les services d'intervention d'urgence externes.
Orientation
Sur le plan de la fiabilité, la conception se fonde sur le respect des exigences réglementaires et des normes industrielles applicables. La conception devrait donner l'assurance que l'exploitation satisfera aux exigences du document de la CCSN RD/GD‑98, Programmes de fiabilité pour les centrales nucléaires. Les SSC importants pour la sûreté qui ont été identifiés dans la phase de conception ne seront pas nécessairement tous inclus dans le programme de fiabilité.
Les principes suivants sont appliqués pour les SSC importants pour la sûreté :
- la centrale est conçue, construite et exploitée de manière conforme aux hypothèses et à l'importance des risques liés à ces SSC
- ces SSC ne se dégradent pas dans des proportions inacceptables durant l'exploitation de la centrale
- la fréquence des états transitoires posant des difficultés aux SSC est minimisée
- ces SSC fonctionnent de façon fiable lorsqu'ils sont confrontés à des difficultés
La fiabilité des SSC pris en compte à l'étape de la conception doit être réaliste et réalisable.
Il est possible d'utiliser une analyse déterministe ou d'autres méthodes si l'EPS manque de modèles ou de données efficaces pour évaluer la fiabilité des SSC.
7.6.1 Défaillances d'origine commune
Le potentiel de défaillances d'origine commune (DOC) de composants importants pour la sûreté doit être examiné pour déterminer où appliquer les principes de séparation, de diversité et d'indépendance servant à obtenir le degré de fiabilité nécessaire. De telles défaillances pourraient simultanément toucher un certain nombre de composants divers qui sont importants pour la sûreté. L'événement ou la cause pourrait être un défaut de conception, un défaut de fabrication, une erreur d'exploitation ou d'entretien, un phénomène naturel, un événement d'origine humaine, ou un effet d'événements en cascade imprévus découlant de toute autre opération ou d'une défaillance à l'intérieur de la centrale.
Orientation
La défaillance d'un certain nombre de dispositifs ou de composants pourrait survenir en raison d'un événement ou d'une cause spécifique unique. Des DOC pourraient également se produire lorsque de multiples composants du même type font défaut simultanément. Cela pourrait être causé par un changement des conditions ambiantes, la saturation des signaux, des erreurs d'entretien répétées ou des défauts de conception.
Renseignements supplémentaires
D'autres renseignements peuvent se trouver dans les documents suivants :
- United States Nuclear Regulatory Commission (U.S. NRC), NUREG/CR-7007, Diversity Strategies for Nuclear Power Plant Instrumentation and Control Systems, Washington, D.C., 2010.
- U.S. NRC, Branch Technical Position (BTP) 7-19, Guidance for Evaluation of Diversity and Defense-in-Depth and in Digital Computer-Based Instrumentation and Control Systems Washington, D.C., 2007.
- U.S. NRC, NUREG/CR-6303, Method for Performing Diversity and Defense-in-Depth Analyses of Reactor Protection Systems, Washington, D.C., 1994.
7.6.1.1 Séparation
La conception doit prévoir une séparation physique suffisante entre :
- les divisions redondantes d'un système de sûreté
- les divisions redondantes d'un système de soutien en matière de sûreté
- un système de soutien en matière de sûreté et un système fonctionnel
Cela doit s'appliquer aux équipements et aux tracés propres aux éléments suivants :
- câbles électriques des commandes d'équipement et d'alimentation électrique
- tuyauterie de l'eau de service pour le refroidissement du combustible et matériel fonctionnel
- tuyauterie et conduites d'air comprimé ou commandes hydrauliques des systèmes de contrôle
Lorsque la séparation physique par distance horizontale uniquement peut s'avérer insuffisante pour
certaines DOC (comme une inondation), une séparation verticale ou une autre forme de protection doit
être fournie.
Lorsque la séparation physique n'est pas possible, les systèmes de soutien peuvent être
situés au même endroit. En pareils cas, les raisons de la non-conformité au principe de
séparation et une justification de l'agencement de l'espace partagé doivent être
expliquées dans la documentation sur la conception.
Lorsque le partage d'espace est de mise, les services liés aux systèmes de sûreté et à d'autres systèmes fonctionnels importants pour la sûreté doivent être disposés de manière à intégrer les facteurs suivants :
- un système de sûreté conçu pour servir de système de relève ne doit pas être situé au même endroit que le système de sûreté primaire
- si un système de sûreté et un système fonctionnel doivent être placés au même endroit, les fonctions de sûreté doivent aussi être assurées par un autre système de sûreté pour contrer la possibilité de défaillances du système fonctionnel
La conception doit prévoir une protection appropriée contre les événements d'origine commune lorsqu'une séparation physique suffisante entre les services individuels ou les groupes de services n'existe pas. L'autorité responsable de la conception doit évaluer l'efficacité de la séparation physique spécifiée ou des mesures de protection contre les événements d'origine commune.
Orientation
La séparation physique peut être obtenue par des barrières, par la distance (tant horizontale que verticale) ou par une combinaison des deux. Par exemple, la conception peut prévoir des équipements redondants placés à des hauteurs différentes pour protéger contre les inondations.
7.6.1.2 Diversité
Le principe de la diversité doit être appliqué aux systèmes ou composants redondants qui exécutent la même fonction de sûreté en incorporant divers attributs aux systèmes ou composants. De tels attributs doivent inclure divers principes de fonctionnement, diverses variables physiques, diverses conditions de fonctionnement ou une production par différents fabricants.
Il importe que tout principe de la diversité utilisé permette réellement d'obtenir l'augmentation souhaitée du degré de fiabilité. Par exemple, pour réduire le potentiel de DOC, l'application du principe de la diversité doit être examinée pour déterminer toute similitude entre les matériaux, composants et procédés de fabrication, ou pour toutes similitudes subtiles entre les principes de fonctionnement ou les dispositifs de soutien communs. Si divers composants ou systèmes sont utilisés, il doit y avoir une assurance raisonnable que de tels ajouts apportent des avantages globaux, en tenant compte des inconvénients connexes tels que la complication supplémentaire des procédures d'exploitation, d'entretien et d'essai, ou l'utilisation conséquente de l'équipement de moindre fiabilité.
Orientation
La conception devrait prévoir une diversité adéquate, telle que :
- la diversité des conceptions
- la diversité des équipements
- la diversité fonctionnelle
- la diversité dans l'ingénierie des facteurs humains
La conception des systèmes d'IC devrait également prendre en considération :
- la diversité des signaux
- la diversité des logiciels
En ce qui concerne les systèmes d'IC importants pour la sûreté, il est recommandé d'utiliser un système de secours automatique diversifié. Il est possible de faire appel à un système de secours manuel diversifié, avec justification (qui devrait comporter une analyse de l'ingénierie des facteurs humains).
Les diverses stratégies suivantes devraient être prises en considération :
- différentes technologies
- différentes méthodes au sein de la même technologie
- différentes architectures au sein de la même technologie
Il faudrait effectuer une analyse de la diversité et de la défense en profondeur pour évaluer les vulnérabilités de la conception à l'égard des DOC. Si l'analyse de la défense en profondeur révèle que certaines fonctions de sûreté pourraient être touchées par des DOC, la conception devrait prévoir un système de secours diversifié pour remplir les fonctions touchées par les DOC.
7.6.1.3 Indépendance
Il faut prévenir l'interférence entre les systèmes de sûreté ou les éléments redondants d'un système de sûreté au moyen de l'isolation électrique, de l'indépendance fonctionnelle et de l'indépendance de l'information (p. ex. transfert de données), selon le cas.
Orientation
Les moyens permettant d'assurer l'indépendance comprennent la séparation physique, l'indépendance fonctionnelle et l'indépendance par rapport aux effets des erreurs de transmission des données. Il faudrait généralement appliquer une combinaison de ces méthodes afin d'obtenir un niveau d'indépendance acceptable.
L'indépendance fonctionnelle (telle que l'isolation électrique) devrait servir à réduire la probabilité d'interactions nuisibles entre les équipements et les composants de systèmes redondants ou de systèmes raccordés, résultant du fonctionnement normal ou de la défaillance d'un composant des systèmes.
Les SSC importants pour la sûreté devraient être indépendants des effets de l'événement auxquels ils doivent répondre. Par exemple, un événement ne devrait pas provoquer la défaillance ou la panne d'un système de sûreté ou d'une fonction de sûreté nécessaire pour atténuer les conséquences de cet événement.
Les parties redondantes d'un groupe de sûreté devraient être indépendantes les unes des autres afin que le groupe de sûreté puisse remplir sa fonction de sûreté durant (et après) tout événement qui exige cette fonction.
La défaillance fonctionnelle des dispositifs de soutien d'un système de sûreté ne devrait pas compromettre l'indépendance entre les parties redondantes d'un système de sûreté, ou entre un système de sûreté et un système dans une classe de sûreté moins élevée.
Il faudrait évaluer le risque d'interactions entre les SSC importants pour la sûreté susceptibles de devoir fonctionner simultanément, et il faudrait prévenir les effets de toute interaction nuisible.
Lors de l'analyse des risques d'interactions nuisibles entre les SSC importants pour la sûreté, il faudrait tenir dûment compte des interconnexions physiques et des effets possibles de l'exploitation, de la mauvaise utilisation ou du mauvais fonctionnement d'un système sur les conditions environnementales locales des autres systèmes essentiels. De cette manière, les changements apportés aux conditions environnementales n'auront aucune incidence sur la fiabilité des systèmes ou des composants et que ceux-ci puissent fonctionner comme prévu.
7.6.2 Critère de défaillance unique
Tous les groupes de sûreté doivent pouvoir fonctionner en cas de défaillance unique. Le critère de défaillance unique exige que chaque groupe de sûreté puisse exécuter toutes les fonctions de sûreté nécessaires en cas d'EDH advenant toute défaillance unique d'un composant et en présence :
- de toute défaillance causée par cette défaillance unique
- de toutes les défaillances identifiables, mais non détectables, y compris celles des composants non testés
- de toutes les défaillances et actions intempestives de systèmes causées par un EDH ou qui provoquent un EDH
Chaque groupe de sûreté doit pouvoir exécuter les fonctions de sûreté requises dans l'état de configuration des systèmes le plus défavorable, en tenant compte de divers facteurs tels que l'entretien, les essais, l'inspection et les réparations et l'interruption de service de l'équipement.
Une analyse de toutes les défaillances uniques possibles et des défaillances indirectes qu'elles provoquent doit être effectuée pour chaque composant de chaque groupe de sûreté et ce, jusqu'à ce que tous les groupes de sûreté aient été examinés.
Des actions non intentionnelles et la défaillance de composants passifs doivent être considérées comme deux des modes de défaillance d'un groupe de sûreté.
Il faut présumer qu'une défaillance unique surviendrait avant un EDH ou en tout temps durant le temps de mission pour lequel le groupe de sûreté doit fonctionner à la suite de l'EDH. Des composants passifs peuvent être exemptés à ce chapitre.
Les exemptions au critère de défaillance unique doivent être peu fréquentes et clairement justifiées.
L'exemption visant des composants passifs ne peut s'appliquer qu'à ceux qui sont conçus et fabriqués selon des normes de qualité supérieure, inspectés de façon appropriée et maintenus en service et qui ne sont pas affectés par un EDH. La documentation sur la conception doit inclure une justification de telles exemptions, comme une analyse, des essais ou une combinaison des deux. La justification doit tenir compte des charges et des conditions environnementales, ainsi que du temps de mission nécessaire après un EDH.
Les clapets anti-retour doivent être considérés comme des composants actifs s'ils changent d'état à la suite d'un EDH.
Orientation
L'application du critère de défaillance unique (CDU) dans la conception devrait suivre une approche systématique appliquée à tous les groupes de sûreté. Cette approche devrait être vérifiée de manière adéquate à l'aide d'une méthode systématique telle que l'analyse des modes de défaillance et des effets. Les SSC qui font partie du groupe de sûreté devraient inclure à la fois les SSC primaires et les SSC de soutien.
La détectabilité des défaillances est implicite dans l'application du CDU. La détectabilité est une fonction de la conception du système et des tests spécifiés. Une défaillance qui ne peut être détectée au moyen des essais périodiques, ou qui ne peut être révélée par une alarme ou une indication d'anomalie, est non détectable. Un objectif du CDU est d'identifier les défaillances non détectables. Pour traiter les défaillances identifiables mais non détectables, les mesures suivantes devraient être prises en considération :
- mesure privilégiée : le système ou le schéma d'essai devrait être restructuré pour rendre la défaillance détectable
- solution de rechange : au moment d'analyser l'effet de chaque défaillance unique, il faudrait supposer que toutes les défaillances non détectables identifiées se sont produites. Par conséquent, la conception devrait prévoir des mesures adéquates pour traiter ces défaillances non détectables, telles qu'une redondance et une diversité appropriées.
La justification à l'appui d'une exception au CDU devrait prendre en considération les conséquences de la défaillance, la faisabilité des solutions de rechange, le surcroît de complexité et les considérations relatives à l'exploitation. L'effet intégré de toutes les exceptions ne devrait pas dégrader la sûreté de manière importante. Il faudrait particulièrement préserver la défense en profondeur.
En ce qui concerne les composants passifs exempts de CDU, les éléments qui suivent devraient être pris en considération pour faire preuve d'un niveau de rendement élevé :
- essais adéquats au cours de la phase de fabrication
- tests par échantillonnage des composants reçus du fabricant
- essais adéquats au cours des phases de construction et de mise en service
- essais nécessaires pour vérifier la fiabilité des composants qui ont été retirés du service durant la phase d'exploitation
Toute considération relative à une exception au CDU durant les activités d'essai et d'entretien devrait relever de l'une des catégories admissibles suivantes :
- la fonction de sûreté est assurée par deux systèmes redondants indépendants (p. ex. deux moyens de refroidissement redondants, parfaitement efficaces et indépendants)
- la durée prévue des activités d'essai et d'entretien est inférieure au laps de temps disponible avant que le composant ne doive remplir sa fonction à la suite d'un événement déclencheur (p. ex. refroidissement de la piscine de stockage du combustible irradié)
- la perte de la fonction de sûreté est partielle et peu susceptible d'entraîner une augmentation importante des risques, même en cas de défaillance (p. ex. isolation d'une petite zone de confinement)
- la perte de redondance des systèmes a peu d'importance sur le plan de la sûreté (p. ex. filtration de l'air de la salle de commande)
- la perte de redondance des systèmes peut légèrement accroître la fréquence des EDH, mais n'a aucune influence sur la progression des accidents (p. ex. la détection de fuites)
Une demande d'exception durant les activités d'essai et d'entretien devrait également être justifiée par un argument de fiabilité satisfaisant, couvrant la durée d'indisponibilité admissible.
Les LCE devraient clairement énoncer la durée admissible des activités d'essai et d'entretien, ainsi que toute restriction opérationnelle complémentaire, telles que la suspension des autres activités d'essais et d'entretien sur un système de secours durant toute la durée de l'exception.
Renseignements supplémentaires
D'autres renseignements peuvent se trouver dans les documents suivants :
- AIEA, collection Rapports de sûreté no 50-P-1, Application of the Single Failure Criterion, Vienne, 1990.
- Institute of Electrical and Electronics Engineers (IEEE), Standard 379, Application of the Single-Failure Criterion to Nuclear Power Generating Station Safety Systems, Piscataway, New Jersey, 1988.
7.6.3 Conception à sûreté intégrée
La conception des systèmes et composants importants pour la sûreté doit tenir compte, selon le cas, du principe de conception à sûreté intégrée. Dans la mesure du possible, l'application de ce principe doit permettre aux systèmes de la centrale de passer à un état sûr en cas de défaillance d'un système ou d'un composant, sans qu'aucune intervention ne soit nécessaire.
Orientation
La connaissance des modes de défaillance des SSC est importante pour appliquer la notion de conception à sûreté intégrée aux SSC importants pour la sûreté. Il faudrait effectuer une analyse, notamment des modes de défaillance et des effets, pour identifier les modes potentiels de défaillance des SSC importants pour la sûreté.
La défaillance des SSC importants pour la sûreté devrait pouvoir être détectée par des essais périodiques, ou être révélée par des alarmes ou d'autres indications fiables.
7.6.4 Indisponibilité d'équipement
La conception doit renfermer des dispositions en matière de redondance, de fiabilité et d'efficacité appropriées afin de permettre l'entretien et l'essai en ligne des systèmes qui revêtent une importance pour la sûreté, sauf si ces activités ne sont pas possibles en raison de restrictions touchant les contrôles d'accès.
La conception doit tenir compte du temps consacré à chaque indisponibilité d'équipement et des interventions nécessaires à cet égard.
Orientation
Si la conception ne permet pas l'entretien et l'essai en ligne d'un équipement particulier, elle devrait démontrer que l'équipement peut toujours atteindre son objectif de fiabilité entre chaque indisponibilité.
Le temps consacré à chaque indisponibilité d'équipement et les interventions nécessaires à cet égard devraient être spécifiés dans les LCE.
7.6.5 Systèmes partagés
Les exigences de conception suivantes doivent s'appliquer lorsqu'un système exécute autant des fonctions d'opération que des fonctions de sûreté :
- les fonctions d'opération et de sûreté ne sont pas requises ni prévues au même moment
- si la fonction d'opération est active et qu'un EDH est postulé pour ce système, il doit être démontré que toutes les fonctions de sûreté essentielles de ce système ne sont pas touchées, si elles doivent servir à atténuer l'EDH
- le système est conçu selon les normes de la fonction de plus grande importance sur le plan de la sûreté
- si la fonction d'opération est utilisée de façon intermittente, la disponibilité de la fonction de sûreté après chaque utilisation et sa capacité continue à répondre aux exigences peuvent être démontrées à l'aide d'un essai
- les exigences liées au partage de l'instrumentation sont respectées
7.6.5.1 Instrumentation partagée des systèmes de sûreté
En règle générale, l'instrumentation ne doit pas être partagée entre les systèmes de sûreté.
Lorsque cela est justifié, le partage entre un système de sûreté et un système non lié à la sûreté (tels que les systèmes fonctionnels ou les systèmes de contrôle) peut être autorisé.
La fiabilité et l'efficacité d'un système de sûreté ne doivent pas être compromises par le fonctionnement normal, une défaillance partielle ou complète d'autres systèmes de sûreté ou par un quelconque effet d'interaction engendré par le partage proposé.
La conception doit renfermer des dispositions pour que le partage des instruments ne se traduit pas par une fréquence d'intervention accrue du système de sûreté durant le fonctionnement.
Si la conception prévoit le partage de l'instrumentation entre un système de sûreté et un système non lié à la sûreté, les exigences suivantes doivent s'appliquer :
- le partage doit se limiter aux capteurs et à leurs préamplificateurs ou amplificateurs, selon le cas, pour amener le signal au point de traitement
- le signal de chaque capteur partagé doit être isolé électriquement de sorte que la défaillance d'un système non lié à la sûreté ne puisse se propager à un système de sûreté
- un dispositif d'isolation doit toujours être associé au système de sûreté et doit être classé et qualifié en conséquence
7.6.5.2 Partage de SSC entre réacteurs
En général, les SSC importants pour la sûreté ne doivent pas être partagés entre deux réacteurs ou plus.
Dans les cas exceptionnels où un tel partage existe, celui-ci doit exclure les systèmes de sûreté et les bâtiments abritant le turbo-alternateur et contenant les systèmes de vapeur à haute pression et les systèmes d'eau d'alimentation, à moins que cela ne contribue à renforcer la sûreté.
Si le partage des SSC entre les réacteurs existe, les exigences suivantes doivent s'appliquer :
- les exigences en matière de sûreté doivent être satisfaites pour tous les états de fonctionnement des réacteurs, les AD et les CAD
- en cas d'accident concernant l'un des réacteurs, l'arrêt, le refroidissement du cœur et l'évacuation de la chaleur résiduelle doivent être effectués pour l'autre (les autres) réacteur(s)
Lorsqu'une centrale est construite près d'une centrale en service, et que le partage des SSC entre des réacteurs a été justifié, la disponibilité des SSC et leur capacité à satisfaire à toutes les exigences de sûreté des tranches en service doivent être évaluées au cours de la phase de construction.
7.7 SSC sous pression
Tous les SSC sous pression doivent être protégés contre les surpressions et doivent être classifiés, conçus, fabriqués, érigés, inspectés et testés conformément aux normes établies. En ce qui concerne les CAD, la capacité de purge doit être suffisante pour fournir l'assurance raisonnable que les enveloppes de pression utilisées dans la gestion des accidents graves ne feront pas défaut.
Tous les SSC sous pression du système de refroidissement du réacteur et ses auxiliaires doivent être pourvus d'une marge de sûreté appropriée pour que l'enveloppe sous pression ne soit pas rompue et que les limites de conception ne seront pas dépassées en mode de fonctionnement normal, d'IFP ou d'AD.
La conception doit réduire au minimum la probabilité d'anomalies au niveau des enveloppes sous pression. Cela doit inclure la détection en temps opportun des anomalies touchant les enveloppes sous pression qui sont importantes pour la sûreté.
À moins que cela ne soit justifié, toutes les enveloppes des SSC sous pression doivent être conçues pour supporter les charges statiques et dynamiques prévues dans les divers états de fonctionnement et en mode d'AD.
La conception des SSC doit inclure un dispositif de protection contre les ruptures hypothétiques de conduite, à moins que cela ne soit justifié autrement.
Le fonctionnement des limiteurs de pression ne doit pas occasionner de rejets significatifs de matières radioactives par la centrale.
Lorsque deux systèmes de fluide fonctionnant à une pression différente sont interconnectés, la défaillance de cette interconnexion doit être prise en compte. Les deux systèmes doivent être conçus pour résister à la pression la plus élevée, ou des dispositions doivent être prises pour que la pression du circuit fonctionnant à la plus basse pression ne soit pas dépassée.
Une isolation appropriée est nécessaire pour les interfaces entre le système de refroidissement du réacteur (SRR) et les systèmes de raccordement fonctionnant à basse pression pour éviter la surpression de ces systèmes et la perte possible du liquide caloporteur. Les caractéristiques et l'importance de l'isolation et ses objectifs de fiabilité doivent être prises en considération. Les dispositifs d'isolation doivent soit être fermés, soit se fermer automatiquement sur demande. Le temps de réaction et la vitesse de fermeture doivent être conformes aux critères d'acceptation définis pour les événements déclencheurs hypothétiques.
Toutes les conduites et cuves d'enveloppe sous pression doivent être séparées des systèmes électriques et de commande et ce, dans la plus grande mesure possible.
Les composants sous pression dont la défaillance aura une incidence sur la sûreté nucléaire doivent être conçus pour permettre l'inspection de leur enveloppe sous pression tout au long de la durée de vie. Si une inspection complète n'est pas réalisable, des méthodes indirectes doivent lui servir de complément, notamment un programme de surveillance des composants de référence. La détection des fuites est une méthode acceptable lorsque le mécanisme de défaillance du SSC est la fuite avant la rupture.
Orientation
En ce qui concerne la conception des systèmes et composants sous pression, l'autorité responsable de la conception devrait veiller à ce que la sélection des codes et des normes corresponde à la classe de sûreté et soit adéquate afin de donner l'assurance que les défaillances de la centrale sont réduites au minimum. Ceci est réalisé en utilisant des normes industrielles (telles que la norme CSA N285, Exigences générales relatives aux systèmes et aux composants sous pression des centrales nucléaires CANDU et le document ASME Boiler and Pressure Vessel Code de l'American Society of Mechanical Engineers) pour satisfaire aux exigences relatives aux différentes classes de systèmes, de composants et de conduites sous pression, ainsi que de leurs dispositifs d'ancrage. Il est possible d'utiliser d'autres codes et normes si cela permet d'obtenir un niveau de sûreté équivalent ou supérieur. Dans ce cas, il faudrait fournir des justifications.
La conception devrait prévoir des dispositions adéquates pour limiter les contraintes et la déformation des SSC importants pour la sûreté durant et après les EDH. La liste des EDH devrait être complète et les charges créées par ceux-ci devraient être intégrés à l'analyse de la conception. Les charges créées par ces EDH devraient être intégrées aux analyses des contraintes requises par la conception.
Le REGDOC-2.5.2 exige que la conception réduise au minimum la probabilité de défauts dans les enveloppes sous pression. Par exemple, l'enveloppe sous pression du système de refroidissement du réacteur devrait être conçue avec des marges suffisantes pour que, dans toutes les configurations d'exploitation, les matériaux sélectionnés ne soient pas cassants et réduisent au maximum le risque de propagation rapide des fractures.
Les composants de l'enveloppe sous pression d'une centrale nucléaire contiennent presque toujours des fluides de procédé circulant à des températures et des pressions très élevées. La conception devrait tenir compte de l'emplacement des conduites à haute pression par rapport aux SSC importants pour la sûreté afin de limiter ou de réduire les problèmes liés à l'effet de fouet des tuyaux. Ceci comprend la prise en considération éventuelle d'éléments tels que :
- composants des moyens d'arrêt d'urgence
- pompes du circuit caloporteur primaire
- collecteurs
- composants du système de refroidissement d'urgence du cœur (SRUC)
- générateurs de vapeur
- conduites de vapeur
- turbine
Fuite avant rupture
La conception des systèmes répondant au principe de fuite avant rupture (FAR) permettra à l'autorité responsable de la conception d'optimiser les dispositifs de protection (comme les mesures de protection contre les jets ou le fouettement de conduites) et de modifier la conception des composants raccordés aux conduites, leurs dispositifs d'ancrage et leurs éléments internes.
La méthode liée au concept de FAR devrait comprendre les éléments suivants :
- Le concept de FAR ne devrait être appliqué qu'aux conduites sous haute pression appartenant aux classes 1 ou 2 du code de l'American Society of Mechanical Engineers (ASME), ou aux conduites équivalentes. Il est possible d'appliquer ce concept à d'autres conduites sous haute pression en se fondant sur une évaluation de la conception proposée et sur les exigences relatives aux inspections en cours d'exploitation.
- Pour répondre au principe de FAR, les canalisations ne devraient présenter aucun mécanisme non contrôlé de dégradation active.
- Une évaluation des phénomènes tels que les coups de bélier, les dommages liés au fluage, la corrosion accélérée par l'écoulement et la fatigue devrait être réalisée pour couvrir toute la durée de vie des canalisations sous haute pression. Pour démontrer que les coups de bélier ne constituent pas un facteur important contribuant à la rupture des conduites, cette évaluation peut faire appel à la fréquence historique des événements liés aux coups de bélier dans certaines canalisations, accompagnée de l'examen des procédures et des conditions d'exploitation.
- Les méthodes de détection des fuites utilisées pour le caloporteur primaire devraient faire en sorte que, pour l'évaluation déterministe des conditions de propagation des fissures, il y ait des marges de détection adéquates du défaut hypothétique traversant la paroi. Les marges devraient couvrir les incertitudes liées à l'identification des fuites provenant d'une canalisation.
- Les analyses des contraintes subies par les canalisations devant répondre au principe de FAR devraient être conformes aux exigences de la section III du code de l'ASME ou à des exigences équivalentes.
- L'évaluation des FAR devrait utiliser les charges de dimensionnement et, après la construction, être mise à jour pour utiliser la configuration de la canalisation « telle que construite » plutôt que la configuration prévue par la conception.
- La méthode devrait tenir compte des risques de dégradation (par érosion, corrosion et érosion/cavitation) attribuables aux conditions d'écoulement défavorables et aux propriétés chimiques de l'eau.
- La méthode devrait tenir compte de la sensibilité des matériaux à la corrosion, des risques de contraintes résiduelles importantes et des conditions environnementales susceptibles d'entraîner une dégradation causée par la fissuration par corrosion sous contrainte.
En outre, les méthodes de détection des fuites utilisées pour le caloporteur primaire devraient être examinées pour que des marges de détection adéquates du défaut hypothétique traversant la paroi soient utilisées pour l'évaluation déterministe des conditions de propagation des fissures.
Méthodes des éléments finis
L'autorité responsable de la conception utilise habituellement des méthodes des éléments finis pour montrer que tous les composants des enveloppes sous pression (aussi bien les cuves que les canalisations) répondent aux exigences relatives à l'intégrité structurale imposées par les codes et normes de conception applicables. En cas d'utilisation de méthodes des éléments finis pour les analyses de conception visant les composants appartenant à toutes les classes du code de l'ASME (ou un code équivalent), l'autorité responsable de la conception devrait vérifier que :
- les hypothèses de modélisation et d'analyse des éléments finis sont vérifiées pour déterminer si elles sont judicieuses et prudentes
- le maillage des éléments finis est correctement défini (forme et rapport de longueur des éléments) afin de rendre compte des discontinuités géométriques structurales
- les charges et les conditions limites sont correctes et convenablement appliquées dans les modèles des éléments finis
- les combinaisons de charges et les facteurs d'échelle appliqués aux cas de charges unitaires sont conformes aux spécifications de la conception ou des charges
- les résultats de la linéarisation des contraintes, obtenus à partir des combinaisons de charges, sont comparés aux limites admissibles du code de l'ASME (ou un code équivalent)
7.8 Qualification environnementale de l'équipement
La conception doit comprendre un programme de qualification environnementale (QE) de l'équipement. L'élaboration et la mise en œuvre de ce programme doivent faire en sorte que les fonctions suivantes puissent être exécutées :
- arrêt sûr du réacteur et son maintien dans un état d'arrêt sûr durant et après un IFP et un AD
- évacuation de la chaleur résiduelle du réacteur après l'arrêt, durant et après un IFP et un AD
- réduction du rejet potentiel de matières radioactives de la centrale et, par conséquent, respect des critères d'acceptation des doses à la population en cas d'IFP et d'AD
- suivi des conditions post-accident pour déterminer si les fonctions ci-dessus sont exécutées.
Les conditions environnementales dont il faut tenir compte doivent comprendre celles prévues en mode d'exploitation normale et celles découlant d'un IFP et d'un AD. Les données opérationnelles et les outils d'analyse utilisés lors de la conception, telles que l'étude probabiliste de sûreté, doivent être utilisés pour déterminer l'enveloppe des conditions environnementales.
Le programme de qualification de l'équipement pour les SSC importants sur le plan de la sûreté doit prendre en compte les effets du vieillissement découlant de la durée de vie.
La qualification de l'équipement doit aussi comprendre l'examen de toutes les conditions environnementales inhabituelles qui peuvent être raisonnablement anticipées et qui pourraient survenir en mode d'exploitation normale ou au cours d'un IFP (telles que les essais périodiques du taux de fuite de l'enceinte de confinement).
Il faut démontrer avec une assurance raisonnable que l'équipement et l'instrumentation crédités pour fonctionner durant les CAD auront la capacité d'exécuter leurs fonctions de sûreté prévues dans les conditions environnementales anticipées. Une extrapolation justifiée du rendement de l'équipement et de l'instrumentation, fondée généralement sur des spécifications nominales, des essais de qualification environnementale et d'autres facteurs, peut être utilisée pour fournir l'assurance de leur opérabilité.
Orientation
Le concepteur devrait fournir des processus et spécifications détaillés pour le programme de QE de l'équipement visant à qualifier l'équipement lié à la sûreté associé aux systèmes essentiels à l'exécution des fonctions de sûreté prévues. Le programme de QE devrait traiter des critères et des méthodes de qualification utilisés et de toutes les conditions environnementales prévues sur lesquelles se fondent la qualification de l'équipement (mécanique, électrique, instrumentation et contrôle, et certains dispositifs de surveillance post-accident).
Le concepteur devrait identifier les normes et codes liés à la QE (p. ex. CSA, IEEE, ASME). On donnera la préférence aux plus récentes versions des normes applicables à la qualification de l'équipement. Tout écart devrait être justifié.
Il faudrait fournir les éléments du programme de QE de base décrits ci-dessous.
Identification de l'équipement devant être qualifié pour des environnements hostiles
La conception devrait identifier :
- les systèmes et équipements devant remplir des fonctions de sûreté dans un environnement hostile, y compris leurs fonctions de sureté et les AD applicables
- les équipements non liés à la sûreté dont la défaillance due à un environnement post‑accident hostile pourrait empêcher un équipement lié à la sûreté d'accomplir ses fonctions de sûreté
- l'équipement de surveillance des accidents
Identification des conditions opérationnelles de l'équipement
Les conditions opérationnelles devraient être identifiées pour déterminer les méthodes de qualification requises dans la mesure où elles s'appliquent aux différents types de qualification (p. ex. environnements hostiles, environnements normaux, environnements uniquement hostiles sur le plan radiologique).
La conception devrait prévoir :
- une distinction entre les environnements normaux et les environnements hostiles (p. ex. certains critères permettant de définir si l'environnement de la centrale est normal ou hostile)
- une liste d'AD hostiles limitatifs pour la qualification de l'équipement
- les conditions environnementales (p. ex. la température, la pression, le rayonnement, l'humidité, la vapeur, les produits chimiques, l'immersion) de chaque AD applicable auquel l'équipement est exposé à différents endroits de la centrale
- les profils de température, de pression et de rayonnement destinés à la qualification pour les environnements hostiles
- le temps de mission habituel de l'équipement en cas d'AD
- les conditions environnementales normales (p. ex. la température, la pression, l'humidité, le rayonnement) pour tous les états de fonctionnement, y compris la durée supposée des IFP auxquels l'équipement est exposé à différents endroits de la centrale
Méthodes de qualification
La conception devrait décrire les méthodes utilisées pour démontrer le rendement des équipements liés à la sûreté soumis à un ensemble de conditions environnementales dans les divers états de fonctionnement ou en cas d'AD. Les méthodes devraient déterminer si l'équipement doit être qualifié pour des environnements hostiles ou des environnements normaux.
En ce qui concerne la qualification pour les environnements hostiles, la conception devrait comprendre les éléments suivants :
- pour l'équipement et les composants situés dans un environnement d'AD hostile, les essais de type (en particulier pour l'équipement électrique) constituent la méthode de qualification privilégiée. Lorsque les essais de types ne sont pas réalisables, une justification peut être fournie en utilisant une analyse ou l'expérience opérationnelle (ou une combinaison des deux)
- l'équipement devrait être examiné (conception, fonctionnement, matériaux et environnement) pour identifier les mécanismes de vieillissement importants causés par les conditions opérationnelles et environnementales en mode d'exploitation normale; en cas d'identification d'un mécanisme de vieillissement important, ce vieillissement devrait être pris en compte dans la qualification de l'équipement
- la qualification devrait systématiquement tenir compte de la séquence des effets des conditions au cours de la durée de vie, y compris les effets séquentiels, simultanés et synergiques, ainsi que des méthodes utilisées pour accélérer les effets de la dégradation liée au rayonnement
- des marges appropriées, comme celles indiquées dans les normes liées à la QE, devraient être appliquées aux conditions environnementales spécifiées
- pour certains équipements (p. ex. les équipements d'IC numériques et les nouveaux appareils électroniques analogiques perfectionnés), il faudrait tenir compte de conditions environnementales supplémentaires, telles que les interférences électromagnétiques (IEM), les interférences aux fréquences radioélectriques (IFR) et les surtensions
En ce qui concerne la qualification pour les environnements normaux, l'équipement peut être considéré comme étant qualifié en autant que :
- les conditions environnementales sont précisées dans la conception
- le fabricant fournit un certificat indiquant que l'équipement répond à la spécification
Équipement et instrumentation prévus en cas de CAD
Une démonstration de l'opérabilité de l'équipement et de l'instrumentation devraient comprendre les éléments suivants :
- le délai d'exécution de chaque fonction à la suite d'un d'accident
- le type et l'emplacement de l'équipement utilisé pour exécuter les fonctions nécessaires dans les délais prescrits
- les fonctions qui, en cas d'accident, doivent être exécutées dans un certain délai pour atteindre un état d'arrêt sûr pour les CAD
- l'environnement hostile hypothétique des CAD au sein de chaque période
- une assurance raisonnable que l'équipement restera prêt à exécuter ses fonctions à la suite d'un accident dans l'environnement des CAD
Barrières de protection
La conception devrait tenir compte des barrières de protection, le cas échéant. Lorsque des barrières de protection sont conçues pour isoler l'équipement des conditions environnementales hostiles éventuelles, les barrières elles-mêmes devraient être prises en compte dans un programme de qualification. Voici des exemples de barrières de protection acceptables :
- salles et enceintes à l'épreuve de la vapeur
- portes de protection contre la vapeur
- salles à l'épreuve de l'eau (en cas d'inondation)
Renseignements supplémentaires
D'autres renseignements peuvent se trouver dans les documents suivants :
- ASME, QME-1, Qualification of Active Mechanical Equipment Used in Nuclear Power Plants, New York, 2002.
- Groupe CSA, N290-13, Qualification environnementale des équipements pour les centrales nucléaires CANDU, Toronto, Canada.
- Electric Power Research Institute (ERPI), Technical Report rev. 1, Nuclear Power Plant Equipment Qualification Reference Manual, Palto Alto, California, 2010.
- AIEA, Collection rapports de sûreté no 3, Equipment qualification in operational nuclear power plants: upgrading, preserving and reviewing, Vienne, 1998.
- Commission électrotechnique internationale (CEI), CEI 60780, deuxième édition, Centrales nucléaires – Équipements électriques de sûreté – Qualification, Genève, 1998.
- IEEE, Standard 323, IEEE Standard for Qualifying Class 1E Equipment for Nuclear Power Generating Stations, Piscataway, New Jersey, 2003.
- IEEE, Standard 627, Qualification of Equipment Used in Nuclear Facilities, Piscataway, New Jersey, 2010.
7.9 Instrumentation et contrôle
7.9.1 Généralités
Dans le but de rassembler des données appropriées sur les états de la centrale, la conception doit prévoir une instrumentation pour surveiller les variables et systèmes de la centrale dans les divers états de fonctionnement, les AD et les CAD.
Cela doit englober l'instrumentation servant à mesurer les variables pouvant influer sur le procédé de fission, l'intégrité du cœur du réacteur, les systèmes de refroidissement du réacteur et l'enceinte de confinement, ainsi que l'instrumentation servant à obtenir d'autres données nécessaires sur la centrale pour en assurer le fonctionnement fiable et sécuritaire.
La conception doit être telle que les systèmes de sûreté et tout autre système de soutien requis peuvent fonctionner de façon fiable et autonome, en mode automatique ou manuel, au moment voulu.
La conception doit inclure des dispositions pour la mise à l'épreuve, y compris des capacités d'auto-vérification.
La conception doit prévoir des essais périodiques de toute la suite logique d'instrumentation, allant du capteur au dispositif d'activation.
La conception doit faciliter l'entretien, la détection et le diagnostic des défaillances, la réparation ou le remplacement sécuritaire et le réétalonnage.
La conception doit aussi prévoir la capacité d'établir des tendances et d'enregistrer automatiquement les mesures de toute variable dérivée qui revêt une importance pour la sûreté.
L'instrumentation doit permettre de mesurer adéquatement les paramètres de la centrale à des fins d'interventions d'urgence.
La conception doit également prévoir des systèmes de contrôle fiables pour maintenir les variables de la centrale à l'intérieur des limites opérationnelles prescrites.
Les systèmes de sûreté doivent être conçus de sorte qu'après leur activation manuelle ou automatique, la séquence prévue de mesures de protection doit pouvoir se poursuivre jusqu'à son achèvement.
La conception doit réduire au minimum la probabilité qu'une intervention de l'opérateur compromette l'efficacité des systèmes de sûreté et des systèmes de contrôle en mode d'exploitation normale et durant les IFP, sans annuler les interventions pertinentes de l'opérateur à la suite d'un AD.
Les verrouillages des systèmes de contrôle doivent être conçus de manière à réduire au minimum le risque de contournement manuel ou automatique non intentionnel, mais de façon également à pouvoir, le cas échéant, outrepasser les verrouillages pour que l'équipement puisse être utilisé dans des états de fonctionnement exceptionnels.
Les diverses interventions en matière de sûreté doivent être automatisées de sorte que l'opérateur n'ait pas à intervenir à l'intérieur d'une période justifiée à partir du début d'un IFP ou d'un AD. De plus, l'opérateur doit avoir à sa disposition les renseignements appropriés pour confirmer les mesures à prendre en matière de sûreté.
Orientation
Une attention particulière devrait être accordée à la disposition relative aux instruments de démarrage servant à mesurer les variables pouvant influer sur le procédé de fission, l'intégrité du cœur du réacteur, les systèmes de refroidissement du réacteur et l'enceinte de confinement, ainsi que sur l'instrumentation servant à obtenir d'autres données nécessaires sur la centrale pour en assurer le fonctionnement fiable et sécuritaire.
La surveillance ne devrait pas se limiter aux variables de processus des systèmes de sûreté et des systèmes liés à la sûreté. Elle devrait s'étendre à la surveillance du rayonnement, de l'hydrogène, des aléas sismiques, des vibrations et, s'il y a lieu, des parties lâches et de la fatigue.
Les mesures devraient comprendre les variables continues et discontinues de la centrale. La détection et les essais devraient également tenir compte des défaillances, de la dégradation, des conditions dangereuses, des écarts par rapport aux limites spécifiées, des erreurs des opérateurs et des autodiagnostics. Les fonctions ou des données invalides, non authentiques ou corrompues devraient être corrigées pour maintenir la fiabilité des systèmes.
Une fois que les systèmes de sûreté ont été enclenchés, la remise à zéro des fonctions des systèmes de sûreté devrait nécessiter une intervention distincte de l'opérateur pour chaque fonction au niveau des systèmes. Une intervention délibérée de l'opérateur devrait être exigée pour ramener les systèmes de sûreté en position normale. Toutefois, ceci ne devrait pas empêcher l'utilisation de dispositifs de protection des équipements essentiels (comme la protection des composants électriques ou mécaniques) ou la possibilité d'interventions délibérées de l'opérateur (telles que le déclenchement et l'isolation du matériel de commutation). Le scellement du dispositif de déclenchement des systèmes de sûreté est généralement requis pour les systèmes ou des sous-systèmes, mais n'est pas exigé pour chaque canal.
La conception devrait prévoir la capacité d'enregistrer, de conserver et d'afficher des renseignements historiques lorsque de tels affichages permettent au personnel de la centrale d'identifier les profils et les tendances, de comprendre l'état passé et actuel du système, de réaliser des analyses post-accident ou de prédire les progressions futures.
La conception devrait tenir compte de la redondance, de l'indépendance, des défaillances d'origine commune, des interactions avec d'autres systèmes et de la validation des signaux de manière à atteindre les objectifs de fiabilité.
Lorsqu'un système de sûreté a été mis hors service pour procéder à des essais ou à son entretien, il faudrait fournir des indications claires concernant la durée des activités d'essai et d'entretien. En cas de contournement d'un système de sûreté, cette condition contournée devrait également être clairement annoncée.
Si l'utilisation d'un système aux fins d'essais ou d'entretien est susceptible de nuire à une fonction d'IC, les interfaces devraient être soumises à un verrouillage du matériel pour que l'interaction avec le système d'essai ou d'entretien soit impossible sans intervention manuelle délibérée.
Les dispositions relatives aux essais qui sont liées en permanence aux systèmes de sûreté devraient en faire partie et être de la même catégorie, à moins qu'il y ait en place un mécanisme tampon fiable ou qu'il y ait des répercussions négatives sur la performance du système.
Les systèmes de verrouillage importants pour la sûreté devraient soit réduire la probabilité d'occurrence de certains événements, soit maintenir la disponibilité des systèmes de sûreté en cas d'accident. Les systèmes de verrouillage devraient être décrits et justifiés.
Il faudrait prévoir des moyens de déclenchement et de contrôle automatiques de toutes les mesures de sûreté, à l'exception de celles pour lesquelles seule une intervention manuelle a été justifiée. Voici quelques exemples de situations où seule une intervention manuelle pourrait être justifiée :
- le déclenchement de tâches liées à la sûreté après l'exécution de séquences automatiques
- le déclenchement de mesures de sûreté qui ne sont pas nécessaires tant qu'un laps de temps considérable ne s'est pas écoulé après l'EDH
- les mesures de contrôle permettant de mettre la centrale dans un état sûr à long terme, à la suite d'un accident
Les opérateurs de la centrale devraient pouvoir consulter la valeur de chaque paramètre d'entrée utilisé pour le fonctionnement des systèmes de sûreté, le statut de chaque fonction de déclenchement et d'actionnement dans chaque division, et le statut du lancement de chaque système.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N290.14-07, Qualification des logiciels préconçus utilisés dans les applications d'instrumentation et de commande liées à la sûreté des centrales nucléaires, Toronto.
- Groupe CSA, N290.6, Exigences relatives à la surveillance et à l'affichage des fonctions de sûreté d'une centrale nucléaire au moment d'un accident, Toronto.
- AIEA, NS-G-1.3, Systèmes d'instrumentation et de contrôle-commande importants pour la sûreté des centrales nucléaires, Vienne, 2002.
- CEI, 61226, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Classement des fonctions d'instrumentation et de contrôle-commande, Genève, 2009.
- CEI, 61513, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Exigences générales pour les systèmes, Genève, 2011.
- CEI, 60987, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Exigences applicables à la conception du matériel des systèmes informatisés, Genève, 2007.
- CEI, 62385, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Méthodes d'évaluation des performances des chaînes d'instrumentation des systèmes de sûreté, Genève, 2007.
- CEI, 60880, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Aspects logiciels des systèmes programmés réalisant des fonctions de catégorie A, Genève, 2006.
- CEI, 60671, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Essais de surveillance, Genève, 2007.
- IEEE, 7-4.3.2, Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations, Piscataway, New Jersey, 2010.
- IEEE, 603, Standard Criteria for Safety Systems for Nuclear Power Generating Stations Piscataway, New Jersey, 2009.
7.9.2 Utilisation de systèmes ou d'équipement informatisés
Les normes et les pratiques appropriées pour le développement et l'essai de matériel et de logiciels informatiques doivent être établis et appliqués pendant toute la durée de vie du système ou de l'équipement, et plus particulièrement au cours du cycle de développement d'un logiciel.
Un processus descendant de développement de logiciels doit être utilisé pour faciliter les activités de vérification et de validation. Cette approche doit comprendre une vérification à chaque étape du processus de conception pour démontrer que le produit évalué est correct. Une validation est effectuée pour démontrer que le système ou l'équipement informatisé développé satisfait aux exigences fonctionnelles et aux exigences de rendements prévus.
Si un logiciel préconçu est utilisé dans un système ou un équipement important pour la sûreté, alors le logiciel – et toute version future du logiciel – doit être conçu, inspecté et testé conformément aux normes d'une catégorie correspondant à la fonction de sûreté exécutée par le système ou l'équipement donné.
Le processus de développement logiciel, y compris le contrôle, l'essai et la mise en service des changements apportés à la conception, ainsi que les résultats de l'évaluation indépendante de ce processus, doit être systématiquement consigné dans la documentation sur la conception et prêt à être examiné.
Lorsqu'une fonction importante pour la sûreté est informatisée, les exigences suivantes doivent s'appliquer :
- les fonctions non essentielles à la sûreté sont distinctes de la fonction de sûreté, et il doit être démontré qu'elles ne nuisent pas à la fonction de sûreté
- la fonction de sûreté est normalement exécutée par des processeurs autres que ceux de logiciels qui exécutent d'autres fonctions, telles que le contrôle, le suivi et l'affichage
- les exigences liées à la diversité s'appliquent aux systèmes informatisés qui exécutent des fonctions de sûreté similaires; le choix du type de diversité doit être justifié
- la conception prévoit des dispositifs de défaillance sécuritaire et des dispositifs à grande tolérance aux défaillances, et il doit être démontré que la complexité additionnelle associée à ces dispositifs se traduit par un gain global en matière de sûreté
Orientation
Les normes et pratiques utilisées pour les systèmes ou les équipements informatisés sont identifiées avant la conception. Le cycle d'élaboration des systèmes d'instrumentation et de contrôle (IC), qui applique les exigences indiquées, devrait être coordonné avec le cycle de vie de l'ingénierie des facteurs humains (IFH) et le cycle de vie de la cybersécurité, étant donné qu'ils ont une grande influence sur l'élaboration des systèmes d'IC.
Le cycle d'élaboration des systèmes d'IC inclut des activités de vérification et de validation. Celles-ci devraient être identifiées et être fondées sur une approche d'ingénierie, c.‑à-d., descendante ou ascendante. La relation entre la conception et les activités de vérification et de validation devrait être indiquée et les résultats des activités de vérification et de validation devraient être documentés.
Le logiciel préconçu devrait avoir le même niveau de qualification que le logiciel écrit spécialement pour l'application. La qualification des logiciels devrait être vérifiée à l'aide des normes nationales et internationales correspondant aux activités de qualification des logiciels préconçus.
Si le logiciel préconçu n'a pas été élaboré conformément à des normes équivalentes, alors celui-ci peut servir pour mettre en œuvre les fonctions des catégories B et C de la norme CEI 61226. Cependant, un plan de qualification et un rapport de qualification devraient être préparés pour démontrer que ce logiciel est apte à exécuter ses fonctions prévues et répond aux exigences de la norme CEI 62138.
Le processus de développement des logiciels devrait comprendre la prise en considération de la cohérence, de la modularité, de la structuration, de la traçabilité, de l'intelligibilité et des possibilités de vérification :
- la cohérence s'applique à des notations, à une terminologie, à des commentaires, à des symboles et à des techniques de mise en œuvre uniformes
- la modularité veille à ce que les changements apportés à un composant aient des répercussions minimales sur les autres composants
- la structuration signifie que la conception devrait se faire de manière systématique et ordonnée (p. ex. une conception descendante) en réduisant le plus possible les liens entre les modules et les sous-systèmes
- la traçabilité crée un lien entre les documents précédents et les documents suivants et se rapporte à la possibilité de retracer l'historique des décisions prises sur le plan de la conception et la justification des modifications
- l'intelligibilité signifie qu'une tierce partie devrait clairement comprendre les processus de développement et les résultats
- la vérifiabilité s'entend de la mesure dans laquelle les processus de conception et les résultats peuvent faciliter la vérification à l'aide de méthodes statiques et d'essais
La documentation relative à la conception du logiciel devrait contenir toutes les informations, tout au long du cycle de conception du logiciel.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- AIEA, NS-G-1.1, Logiciels destinés aux systèmes programmés importants pour la sûreté des centrales nucléaires, Vienne, 2000.
- CEI, 62138, Centrales nucléaires – Instrumentation et contrôle-commande importants pour la sûreté - Aspects logiciels des systèmes informatisés réalisant des fonctions de catégorie B ou C, Genève, 2004.
7.9.3 Instrumentation servant à la surveillance des accidents
L'instrumentation et l'équipement d'enregistrement doivent être conçus de sorte que les renseignements essentiels soient disponibles pour appuyer les procédures de la centrale pendant et après les AD et les CAD en :
- indiquant l'état de la centrale
- identifiant les endroits où se trouvent des matières radioactives
- soutenant l'estimation des quantités de matières radioactives
- enregistrant les paramètres essentiels de la centrale
- facilitant la prise de décisions liées à la gestion d'accidents
Orientation
Des instruments sont prévus afin que les renseignements essentiels soient disponibles pour évaluer les conditions de la centrale, surveiller le rendement des systèmes de sûreté, prendre des décisions liées aux réponses de la centrale aux événements anormaux et prédire les rejets de matières radioactives. Des instruments sont également prévus pour enregistrer les variables et les paramètres essentiels de la centrale, y compris :
- la température à divers endroits
- la pression dans l'enceinte de confinement et dans le système de refroidissement du réacteur
- le niveau de radioactivité à divers endroits
- le niveau d'eau de la cuve du réacteur pour les réacteurs à eau ordinaire (REO) ou le niveau d'eau du circuit caloporteur et le niveau du modérateur pour les réacteurs CANDU
- le niveau d'eau dans l'enceinte de confinement
- la concentration d'hydrogène
La conception devrait inclure le dimensionnement, les critères de conception et les critères d'affichage des paramètres de surveillance des accidents.
L'instrumentation servant à la surveillance des accidents devrait respecter les critères de rendement tels que la plage de mesure, la précision, le temps de réponse, le temps de fonctionnement et les objectifs de fiabilité. Une analyse appropriée de la conception devrait être réalisée pour confirmer le respect des critères de rendement.
L'instrumentation servant à la surveillance des accidents répond au critère de défaillance unique (section 7.6.2). La conception devrait veiller à ce qu'il n'y ait pas de causes communes pouvant mener à une défaillance de l'instrumentation, et ce, en prévoyant des mesures redondantes.
Il faudrait, dans la mesure du possible, utiliser des variables et des affichages identiques pour la surveillance de l'exploitation normale et la surveillance des accidents.
La conception devrait :
- comprendre des capacités de mise à l'essai afin de vérifier périodiquement les exigences en matière d'exploitabilité
- faciliter l'entretien, les réparations et l'étalonnage
- permettre un contrôle d'accès administratif en vue de l'étalonnage et de la mise à l'essai des canaux d'instrumentation
L'instrumentation servant à la surveillance des accidents est qualifiée pour remplir ses fonctions pendant toute la durée requise et en cas d'AD ou de CAD.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N290.6, Exigences relatives à la surveillance et à l'affichage des fonctions de sûreté d'une centrale nucléaire au moment d'un accident, Toronto, Canada.
- CEI, 61226, éd. 3.0, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Classement des fonctions d'instrumentation et de contrôle-commande, Genève, 2009.
- CEI, 62138, éd. 1.0, Centrales nucléaires – Instrumentation et contrôle-commande importants pour la sûreté – Aspects logiciels des systèmes informatisés réalisant des fonctions de catégorie B ou C, Genève, 2004.
- IEEE, 497, Standard Criteria for Accident Monitoring Instrumentation for Nuclear Power Generating Stations, Piscataway, New Jersey, 2010.
7.10 Systèmes de soutien en matière de sûreté
Les systèmes de soutien en matière de sûreté doivent être conçus de manière à assurer la disponibilité des fonctions de sûreté fondamentales dans tous les états de fonctionnement, les AD et les CAD. Ils fournissent des services, tels que l'alimentation en électricité, en air comprimé, en eau, en air climatisé et en ventilation aux systèmes importants pour la sûreté.
Lorsque des services normaux sont fournis à partir de sources externes, des systèmes de relève pour le soutien en matière de sûreté doivent aussi être disponibles sur le site.
La conception doit prévoir des systèmes de soutien d'urgence en cas de perte de service normal et, au besoin, en cas de perte simultanée des systèmes de relève.
Les systèmes qui fournissent des services normaux, des services de relève et des services d'urgence doivent :
- posséder une capacité suffisante pour répondre aux exigences de charge des systèmes qui exécutent des fonctions de sûreté fondamentales
- être disponibles et offrir la même fiabilité que les systèmes qu'ils desservent
Les systèmes de soutien d'urgence doivent :
- être indépendants des systèmes normaux et des systèmes de relève
-
appuyer la continuité des fonctions de sûreté fondamentales jusqu'à ce que le service
à long terme (normal ou de relève) soit rétabli :
- sans que l'opérateur ait besoin d'intervenir pour connecter les services temporaires sur le site pendant au moins 8 heures
- sans qu'il soit nécessaire d'utiliser les services et le soutien hors site pendant au moins 72 heures
- bénéficier d'une capacité suffisante pour répondre à de futures augmentations de la demande
- pouvoir être testés sous des conditions de charge nominale, si c'est le cas.
Orientation
Le dimensionnement des systèmes d'air comprimé desservant un composant important pour la sûreté de la centrale nucléaire devrait préciser la qualité, le débit et le degré de propreté de l'air à fournir.
Il faudrait prévoir des systèmes de climatisation de l'air, de chauffage de l'air, de refroidissement d'air et de ventilation (s'il y a lieu) dans les locaux auxiliaires ou dans d'autres zones de la centrale nucléaire de manière à maintenir les conditions environnementales requises pour les systèmes et les composants importants sur le plan de la sûreté, pour tous les états de la centrale.
L'équipement préinstallé peut être appelé à intervenir après 30 minutes lorsque les mesures à prendre se limitent à la salle de commande, ou après une heure si les mesures doivent être prises sur le terrain. Ces mesures devraient se limiter à la commande de vannes, au démarrage de pompes, etc. La section 8.10.4 fournit des indications concernant la justification de telles mesures.
Si l'équipement n'est pas préinstallé mais qu'il est entreposé sur le site, il peut normalement être appelé à intervenir au bout de 8 heures. Toutefois, cela doit être justifié par une évaluation des mesures requises et des procédures et formations à l'appui de ces mesures. Certaines mesures complexes peuvent éventuellement nécessiter plus de temps. L'équipement ou les fournitures entreposés à l'extérieur du site, ou les équipes de soutien hors site, ne devraient normalement pas intervenir avant 72 heures. Encore une fois, la valeur utilisée devrait être justifiée et peut être plus longue.
De l'orientation concernant les points de connexion redondants pour les services temporaires est décrite à la section 7.3.4.1.
7.11 État d'arrêt garanti
L'autorité responsable de la conception doit définir l'état d'arrêt garanti (EAG) qui soutiendra les activités d'entretien sécuritaire de la centrale nucléaire.
La conception doit prévoir deux moyens indépendants pour prévenir un retour à l'état critique par n'importe quel comportement ou mécanisme lorsque le réacteur se trouve en EAG.
La marge d'arrêt de l'EAG doit être telle que le cœur demeurera dans un état sous-critique en présence de tout changement crédible dans la configuration du cœur et dans la réactivité. Dans la mesure du possible, il faut y parvenir sans intervention de l'opérateur.
Orientation
Lors d'EAG, le réacteur demeure dans un état sous-critique stable, indépendant des variations dans la réactivité découlant d'un changement de la configuration du cœur, des propriétés du cœur ou de la défaillance d'un système fonctionnel.
La conception devrait décrire les EAG qui vont être utilisés tout au long du cycle de vie de l'installation, y compris les mesures relatives à l'établissement et à la levée de l'EAG, ainsi que les essais fonctionnels à effectuer.
7.12 Sûreté contre les incendies
La conception de la centrale nucléaire, incluant celle de ses bâtiments externes et des SSC servant à l'exploitation de la centrale, doit renfermer des dispositions en matière de sûreté contre les incendies.
7.12.1 Dispositions générales
Des procédures d'exploitation, des SSC redondants, des barrières physiques, des mesures de séparation spatiale, des systèmes de protection contre les incendies et une conception à sûreté intégrée appropriés doivent permettre de réaliser les objectifs généraux suivants :
- prévenir les incendies
-
réduire la propagation et les effets des incendies, s'ils se déclarent, en :
- détectant rapidement les incendies et en les maîtrisant afin de limiter les dommages
- confinant la propagation des incendies et leurs sous-produits non maîtrisés
- prévenir la perte de redondance des systèmes de sûreté et des systèmes de soutien
- fournir l'assurance d'un arrêt d'urgence sécuritaire
- veiller à ce que la surveillance des paramètres essentiels pour la sûreté soit maintenue
- prévenir l'exposition, le rejet non contrôlé ou la dispersion inacceptable de substances dangereuses, de matières nucléaires ou de matières radioactives attribuables aux incendies
- prévenir les effets néfastes des efforts d'atténuation des événements, autant à l'intérieur qu'à l'extérieur de l'enceinte de confinement
- assurer la suffisance et la stabilité structurales en cas d'incendie
Les immeubles ou les structures doivent être construits avec des matériaux incombustibles, ignifuges et thermorésistants.
Les incendies sont qualifiés de danger interne. Les fonctions de sûreté essentielles doivent être disponibles en cas d'incendie.
Les systèmes de lutte contre les incendies doivent être conçus et placés de sorte qu'une rupture ou une manœuvre intempestive ou involontaire ne puisse pas détériorer de façon importante la capacité des SSC qui revêtent une importance pour la sûreté.
Orientation
Une protection efficace contre les incendies est grâce à :
- des dispositifs de protection contre l'incendie tels que des programmes et des procédures; les mesures liées à la prévention et à la détection des incendies, aux alarmes d'incendie, aux communications d'urgence, à la gestion des produits accessoires, à l'extinction et au confinement des incendies, à la construction en matériaux incombustibles, et à la qualification sismique et environnementale des équipements de protection contre l'incendie
- l'utilisation de barrières pour séparer les SSC redondants importants pour la sûreté
La conception devrait aborder la protection-incendie en démontrant qu'une méthode de défense en profondeur a été mise en œuvre. Les documents justificatifs devraient comprendre un rapport de conception détaillé, une vérification de la conformité aux codes, une évaluation des risques d'incendie, une analyse des arrêts sûrs en cas d'incendie et un programme de protection contre l'incendie.
Une tierce partie indépendante devrait réaliser un examen de la conception pour évaluer si celle-ci est conforme aux codes et aux normes de prévention des incendies applicables en ce qui concerne la protection contre les incendies et les explosions. L'examen devrait formellement déclarer que la conception est conforme aux codes et normes pertinents ainsi qu'aux bonnes pratiques d'ingénierie et qu'elle répond aux objectifs de protection contre l'incendie.
La conception devrait respecter les normes et les codes suivants :
- Groupe CSA, N293, Fire Protection for Nuclear Power Plants, Toronto, Canada.
- CNRC, Code national du bâtiment du Canada, Ottawa, Canada, 2010.
- CNRC, Code national de prévention des incendies du Canada, Ottawa, Canada, 2010.
Bien que la norme CSA N293 soit considérée comme acceptable pour fournir des critères de conception neutres sur le plan technologique, elle n'aborde pas entièrement certains aspects de la protection contre l'incendie, tels que :
- les interventions manuelles effectuées par l'opérateur
- l'analyse du circuit d'arrêt sûr en cas d'incendie
- les manœuvres intempestives multiples
L'orientation concernant les aspects de protection contre l'incendie mentionnés ci‑dessus est fournie dans les documents suivants :
- U.S. NRC, NUREG 1852, Demonstrating the Feasibility and Reliability of Operator Manual Actions in Response to Fire, Washington, D.C., 2007.
- Nuclear Energy Institute, NEI 00-01, Guidance for Post-Fire Safe Shutdown Circuit Analysis, Washington, D.C., 2005.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- AIEA, NS-G-2.1, Protection contre l'incendie des centrales nucléaires en exploitation, Vienne, 2000.
- AIEA, Collection rapports de sûreté no 8, Preparation of Fire Hazard Analysis for Nuclear Power Plants, Vienne, 1998.
- AIEA, NS-G-1.7, Protection Against Internal Fires and Explosions in the Design of Nuclear Power Plants, Vienne, 2004.
- National Fire Protection Association (NFPA), Fire Protection Handbook, Quincy, Massachusetts, 2008.
- NFPA, 805, Performance-Based Standard for Fire Protection for Light Water Reactor Electric Generating Plants, Quincy, Massachusetts, 2010.
- NFPA, 804, Standard for Fire Protection for Advanced Light Water Reactor Electric Generating Plants, Quincy, Massachusetts, 2010.
- NEI, 00-01, Guidance for Post-Fire Safe Shutdown Circuit Analysis, 2005.
- NEI, 04-02, Revision 1, Guidance for Implementing a Risk-Informed, Performance-Based Fire Protection Program under 10 CFR 50.48(c), 2005.
- Society of Fire Protection Engineers, SFPE Handbook of Fire Protection Engineering, Bethesda, Maryland, 2008.
- U.S. NRC, NUREG/CR-6850, EPRI 1011989, Fire Probabilistic Risk Assessment Methods Enhancements, Washington, D.C., 2010.
- U.S. NRC, NUREG-0800, section 9.5.1.1, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR edition - Fire Protection Program, Washington, D.C., 2009.
- U.S. NRC, Regulatory Guide 1.189, Fire Protection for Operating Nuclear Power Plants, Washington, D.C., 2001.
- U.S. NRC, NUREG 1852, Demonstrating the Feasibility and Reliability of Operator Manual Actions in Response to Fire, Washington, D.C., 2007.
7.12.2 Sûreté des personnes
La conception doit prévoir la protection des travailleurs et du public contre les séquences d'événements amorcées par des incendies ou des explosions, conformément aux critères radiologiques, toxicologiques et humains, dans le but d'atteindre les objectifs suivants :
- les personnes ne se trouvant pas à proximité de l'événement initial (y compris le public, les occupants et les intervenants en cas d'urgence) sont protégées contre les blessures et la perte de vie
- les personnes se trouvant à proximité de l'événement initial s'exposent à une faible probabilité de blessures ou de perte de vie
Afin de démontrer que les objectifs ci-dessus relatifs à la sûreté des personnes ont été atteints, la conception doit prévoir :
- des moyens efficaces et fiables de détection des incendies dans toutes les zones
- des moyens efficaces et fiables pour informer les travailleurs d'une situation d'urgence, y compris la nature de l'urgence et les mesures de protection qu'ils doivent prendre
- des voies d'évacuation multiples, distinctes et sécuritaires pour toutes les zones
- des sorties de secours facilement accessibles
- des voies d'évacuation et des sorties de secours identifiées et illuminées de façon efficace et fiable
- une capacité d'évacuation suffisante pour le nombre d'employés, en tenant compte des mouvements de foule en situation d'urgence
- la protection des travailleurs contre les incendies et leurs sous-produits (produits de combustion, fumée, chaleur, etc.) durant l'évacuation et dans les zones de refuge
- la protection des travailleurs chargés du contrôle de la centrale et des fonctions d'atténuation durant et après un incendie
- une infrastructure de soutien appropriée (éclairage, accès, etc.) pour le personnel chargé des interventions d'urgence, du contrôle de la centrale et des activités d'atténuation durant et après un incendie
- l'intégrité et la stabilité suffisantes des structures et des bâtiments, pour veiller à la sécurité du personnel de la centrale et des intervenants en cas d'urgence durant et après un incendie
- la protection du personnel contre le rejet ou la dispersion de substances dangereuses, de matières nucléaires ou de matières radioactives attribuables aux incendies
Orientation
Le Code national du bâtiment du Canada (CNB) et le Code national de prévention des incendies du Canada (CNPI) sont des codes modèles nationaux axés sur les objectifs. Les dispositions du CNB et du CNPI sont considérées comme les mesures minimales acceptables pour répondre aux objectifs liés à la sûreté, à la santé, à la protection structurale et à la protection des bâtiments contre l'incendie. En ce sens, des mesures de protection contre l'incendie supplémentaires pourraient être nécessaires pour répondre aux exigences réglementaires précisées dans le présent document. Les mesures supplémentaires de protection contre l'incendie sont habituellement évaluées et documentées dans la vérification de la conformité aux codes et dans l'évaluation des risques d'incendie, comme l'exige la norme CSA N293, Fire protection for nuclear power plants.
7.12.3 Protection environnementale et sûreté nucléaire
La conception doit permettre de réduire au minimum les rejets et la dispersion dans l'environnement de substances dangereuses ou de matières radioactives, provoqués notamment par des incendies, ainsi que leur impact sur l'environnement.
Orientation
Tel qu'indiqué à la section 7.12.2, le Code national du bâtiment du Canada et le Code national de prévention des incendies du Canada traitent des mesures minimales de protection contre l'incendie dont il faut tenir compte au moment de la conception et de la construction des bâtiments. D'autres mesures de protection contre l'incendie pourraient être nécessaires pour répondre aux exigences réglementaires précisées à la section 7.12.3. Les mesures supplémentaires de protection contre l'incendie sont habituellement évaluées et documentées dans le rapport de vérification de la conformité au code, dans l'évaluation des risques d'incendie et dans l'analyse des arrêts sûrs en cas d'incendie, comme l'exige la norme CSA N293.
7.13 Qualification sismique et conception
La qualification sismique de tous les SSC doit être conforme aux exigences des normes nationales canadiennes ou des normes équivalentes.
La conception doit inclure de l'instrumentation de surveillance de l'activité sismique sur le site au cours de la durée de vie de la centrale.
7.13.1 Conception et classification sismiques
L'autorité responsable de la conception doit vérifier que les SSC importants pour la sûreté qui sont qualifiés sur le plan sismique peuvent résister au séisme de référence (SR). Cela doit s'appliquer aux :
- SSC dont la défaillance peut entraîner directement ou indirectement un accident susceptible de causer des dommages au cœur du réacteur
- SSC limitant le rejet de matières radioactives dans l'environnement
- SSC assurant la sous-criticité des matières nucléaires entreposées
- SSC tels que les réservoirs de stockage des déchets nucléaires contenant des matières radioactives qui, une fois libérées, dépasseraient les limites de dose réglementaires
La conception de ces SSC doit leur permettre de répondre aux critères de SR afin de maintenir toutes les caractéristiques essentielles telles que l'intégrité des systèmes sous pression, l'étanchéité, l'exploitabilité et le positionnement approprié en cas d'un tel SR.
La conception doit empêcher que des dommages substantiels ne soient causés à ces SSC par la défaillance de tout autre SSC en cas de SR.
Les niveaux de fragilité sismique doivent être évalués pour les SSC importants sur le plan de la sûreté à l'aide d'une analyse ou, dans la mesure du possible, d'essais.
Un séisme hors dimensionnement (SHD) doit être identifié et ce SHD doit répondre aux exigences d'identification des CAD décrits à la section 7.3.4. Il faut démontrer que les SSC prévus pour fonctionner pendant et après un SHD pourront exécuter leurs fonctions prévues dans les conditions anticipées. Une telle démonstration doit fournir une assurance élevée de la faible probabilité de défaillance de ces SSC dans des conditions de séisme hors dimensionnement. Il n'est pas nécessaire de procéder à la qualification sismique par essais pour cette démonstration.
Orientation
La conception sismique d'une centrale nucléaire devrait tenir compte des points suivants :
- les objectifs de sûreté techniques et les catégories de charges correspondantes
- le mouvement dû à un apport sismique
- la classification sismique
- les critères d'aménagement structural
- l'analyse sismique et la conception des systèmes, sous‑systèmes et équipements structuraux
- les essais sismiques et l'instrumentation
Les catégories de charge nominale et hors dimensionnement sont définies pour démontrer le rendement structural pour les états de fonctionnement, les AD et les CAD. De plus, les catégories de charges hors dimensionnement sont prises en compte aux fins du rendement structural dans les CAD. Les charges sismiques ne font pas partie de la catégorie des charges normales correspondant à une exploitation normale. La charge sismique nominale du site, selon la série de normes CSA N289 sur la conception et la qualification sismiques, est définie dans la catégorie des charges graves correspondant à un IFP. Le séisme de référence fait partie de la catégorie de charge anormale/extrême correspondant à un accident de dimensionnement (AD). Les charges sismiques hors dimensionnement devraient être prises en compte dans le cadre des CAD.
Le mouvement dû à un apport sismique, dérivé du séisme de référence, devrait être basé sur la sismicité et les conditions géologiques du site et être exprimé d'une manière applicable à la qualification des SSC. Le séisme de référence est défini en multipliant le spectre de risque uniforme moyen propre au site (avec une probabilité d'occurrence de 10-4/an) par un facteur de conception, selon la définition donnée dans la norme ASCE 43‑05, Seismic Design Criteria for Structures, Systems and Components in Nuclear Facilities. La probabilité d'occurrence du séisme de référence défini est donc équivalente à la probabilité d'AD. Un mouvement minimal dû à un apport sismique, qui correspond aux normes nationales ou internationales, devrait être pris en compte dans la phase de conception pour le séisme de référence. Le mouvement minimal dû à un apport sismique devrait prendre en compte les fréquences d'intérêt pour les SSC.
Les critères d'aménagement structural, y compris la séparation structurale, devraient suivre les meilleures pratiques d'ingénierie et les leçons retenues des séismes antérieurs.
La modélisation des interactions sol‑structure (ISS) devrait être fondée sur une étude géotechnique et tenir compte du caractère aléatoire des propriétés des matériaux du sol et des incertitudes inhérentes dans les modèles de constitution des sols servant à l'analyse. Afin de tenir compte des incertitudes dans les propriétés des sols, il faudrait employer une plage qui comprend au moins trois valeurs (limite supérieure, meilleure estimation et limite inférieure) dans l'analyse, selon la norme CSA N289.3, Design procedures for seismic qualification of nuclear power plants, clause 5.2.3.
Dans l'analyse des ISS, il faudrait tenir compte de tous les effets dus à l'interaction cinématique (effet du mouvement sismique du sol sur une structure de masse nulle) et à l'interaction inertielle (forces d'inertie développées dans la structure due au mouvement sismique du sol). Le degré de détail et de sophistication des modèles sol‑structure devrait correspondre à l'objet des analyses. La plage de fréquence d'intérêt détermine les aspects du modèle structure et les paramètres du modèle des ISS.
La plage des fréquences d'intérêt devrait être basée sur la combinaison de divers facteurs : la plage des fréquences de l'apport sismique, les propriétés du sol, la plage des fréquences de réponse du bâtiment (y compris la réponse des sous‑systèmes dans le modèle de la structure ou du bâtiment principal) et la plage des fréquences du paramètre de réponse d'intérêt. Des maillages raffinés d'éléments finis et une rigueur analytique accrue sont requis pour transmettre les fréquences élevées tout au long des modèles analytiques.
Des rapports d'amortissement s'appliquant aux systèmes et sous‑systèmes structuraux devraient être pris en compte, conformément aux normes reconnues, comme les normes ASCE 43-05 et CSA N289.3. Pour générer les spectres de réponse dans la structure qui seront utilisés comme intrants pour les composants et les systèmes montés sur les structures, l'amortissement du niveau de réponse 1 est plus approprié, sauf si la réponse de la structure est généralement supérieure au facteur de demande par rapport à la capacité, selon la norme ASCE 43‑05.
La conception sismique des systèmes structuraux devrait être réalisée selon la catégorie de conception sismique (CCS) 1 à 5 de la norme ASCE 43‑05.
Les systèmes structuraux des niveaux CCS 1 et 2 devraient être conformes au Code national du bâtiment du Canada, Division B, partie 4. Selon le Code, la CCS 1 devrait être considérée comme le niveau normal et la CCS 2, comme le niveau de protection civile.
Toutes les structures importantes pour la sûreté sont classées au niveau CCS 5. Cependant, le concepteur peut classer certaines structures aux niveaux CCS 3, 4 et 5, à condition de justifier adéquatement ce classement. Les lignes directrices pour les systèmes structuraux des niveaux CCS 3, 4 et 5 (si les niveaux 3 et 4 sont utilisés) sont présentées comme suit :
- pour les enceintes de confinement en béton, la conception devrait être fondée sur la norme ASCE 43‑05 de l'American Society of Civil Engineers (CCS 5, état limite D) et la norme CSA N287.3, Design Requirements for Concrete Containment Structures for CANDU Nuclear Power Plants
- pour les enceintes de confinement en acier, la conception devrait être fondée : sur la norme ASCE 43‑05 (SDC 5), 2010 ASME Boiler and Pressure Vessel Code, Section III: Rules for Construction of Nuclear Power Plant Components, Division 1, Subsection NE: Class MC Components; et sur le document U.S. NRC Regulatory Guide 1.57, Design Limits and Loading Combinations for Metal Primary Reactor Containment System Components
- pour les structures en béton et en acier liées à la sûreté, la conception devrait être fondée sur la norme ASCE 43‑05 (CCS 5, état limite D) et la norme CSA N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU
Pour toutes les catégories de conception de sûreté d'une centrale nucléaire, les exigences liées à la ductilité devraient être conformes aux normes CSA‑A23.3, Calcul des ouvrages en béton (pour les structures en béton) et CSA S16, Règles de calcul des charpentes en acier (pour les structures en acier), en supposant que les structures sont ductiles ou de type D. Ces exigences de ductilité devraient fournir des marges pour les séismes hors dimensionnement.
L'analyse des sous‑systèmes devrait suivre les directives visant les systèmes structuraux ainsi que les critères suivants propres aux supports des sous‑systèmes :
- spectres de réponse dans la structure
- historiques des réponses dans le temps dans la structure
Les méthodes de définition des spectres de réponse dans la structure ou des historiques des réponses dans le temps dans la structure, ainsi que l'application de cet apport sismique à des sous‑systèmes et composants devraient être conformes à la norme ASCE 04, Seismic Analysis for Safety‑Related Nuclear Structures.
L'intrant sismique pour les supports multiples des sous‑systèmes et composants devrait tenir compte de leurs composantes inertielles et cinématiques. L'analyse devrait suivre les normes ASCE 04 ou CSA N289.3, Design procedures for seismic qualification of nuclear power plants.
La détermination du nombre de cycles sismiques pour l'analyse des sous‑systèmes devrait être conforme au document U.S. NRC NUREG‑0800, Standard Review Plan, section 3.7.3, Seismic Subsystem Analysis, ainsi qu'à l'analyse sismique des réservoirs hors sol.
La conception sismique des sous‑systèmes et des composants devrait être conforme à la norme ASCE 43‑05, section 8.2.3, qui suit le code de l'ASME.
Pour les équipements qualifiés par des essais, les essais multiaxes et multifréquences sont acceptables pour le séisme de référence, conformément aux exigences de la norme IEEE 344‑2004 – IEEE Recommended Practice for Seismic Qualification of Class 1E Equipment for Nuclear Power Generating Stations. De plus, le spectre de réponse obtenu par les essais devrait être un facteur d'au moins 1,4 fois le spectre de réponse requis pour toute la plage des fréquences. Tout écart par rapport à ce critère devrait être justifié selon une approche prudente, au cas par cas.
Toute évaluation pour un séisme hors dimensionnement devrait utiliser la méthode décrite dans le document de l'Electrical Power Research Institute, (EPRI) TR‑103959, Methodology for Developing Seismic Fragilities, pour déterminer si le critère de faible probabilité de défaillance est satisfait avec un degré de confiance élevé (HCLPF, de l'anglais high confidence low probability of failure).
La conception des instruments de mesure sismique devrait respecter la norme CSA‑N289.5, Seismic Instrumentation Requirements for Nuclear Power Plants and Nuclear Facilities, qui énumère les exigences relatives à l'instrumentation sismique pour les centrales à une ou plusieurs tranches.
La marge hors dimensionnement devrait être telle que les probabilités de défaillances des SSC induites par des séismes ne contribuent pas à la fréquence d'endommagement total du cœur et à la fréquence des petits et grands rejets au point où ils ne répondent pas aux objectifs de sûreté. Pour répondre aux objectifs de sûreté, les critères d'acceptation pour les SHD devraient démontrer que la valeur HCLPF de la centrale est égale à au moins 1,67 fois la valeur pour le séisme de référence.
L'évaluation et la validation des marges pour un SHD devraient être prises en considération, y compris le critère HCLPF.
L'isolation sismique des SSC est une approche de conception acceptable pour limiter la demande sismique. Les dispositifs d'isolation sismique devraient être conçus, fabriqués et installés pour résister à une action sismique définie par un séisme de référence sans aucune défaillance, tout en préservant leur résistance mécanique et leur pleine force portante pendant et après le séisme. En outre, les dispositifs et l'ensemble du système structural devraient être conçus pour résister au séisme hors dimensionnement jusqu'à deux fois les accélérations spectrales du séisme de référence sans dommages majeurs et en préservant leur fonction. Les dispositifs et le système structural comprennent des dispositions permettant les déplacements structuraux jusqu'à deux fois les déplacements correspondant aux conditions de séisme de référence.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- American National Standards Institute (ANSI)/American Nuclear Society (ANS), Standard 2.26, Categorization of Nuclear Facility Structures, Systems, and Components for Seismic Design, La Grange Park, Illinois [confirmée en 2010].
- American Society of Civil Engineers (ASCE), 04-98, Seismic Analysis of Safety-Related Nuclear Structures, Reston, Virginia, 2000.
- ASCE/SEI, 43-05, Seismic Design Criteria for Structures, Systems and Components in Nuclear Facilities, Reston, Virginia, 2005.
- American Society of Mechanical Engineers (ASME), Boiler and Pressure Vessel Code, Section III, Division 1- Subsection NE, Rules for Construction of Nuclear Facility Components, New York, 2010.
- CNRC, Code national du bâtiment du Canada, Ottawa, Canada, 2010.
- Groupe CSA, N287, collection de normes consacrées aux exigences relatives aux enceintes de confinement en béton des centrales nucléaires CANDU.
- Groupe CSA, N289, collection de normes consacrées à la conception et à la qualification parasismique des centrales nucléaires CANDU.
- Groupe CSA, A23.3, Calcul des ouvrages en béton, Toronto, Canada.
- Groupe CSA, S16, Règles de calcul des charpentes en acier, Toronto, Canada.
- Groupe CSA, N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU, Toronto, Canada.
- Electric Power Research Institute, TR-103959, Methodology for Developing Seismic Fragilities, Palto Alto, California, 1994.
- Norme européenne, NF EN 15129, Dispositifs antisismiques, Brussels, 2009.
- Norme européenne, NF EN 1337-3, Appareils d'appui structuraux – Partie 3 : Appareils d'appui en élastomère, Brussels, 2000.
- Norme européenne, NF EN 1337-1, Appareils d'appui structuraux – Partie 3 : Indications générales, Brussels, 2000.
- IEEE, 344, IEEE Recommended Practice for Seismic Qualification of Class 1E Equipment for Nuclear Power Generating Stations, Piscataway, New Jersey, 2004.
- U.S. NRC, Regulatory Guide 1.57, Design Limits and Loading Combinations for Metal Primary Reactor Containment System Components, Washington, D.C., 2007.
- U.S. NRC, Regulatory Guide 1.91, Evaluations of explosions postulated to occur on transportation routes near Nuclear Power Plants, Washington, D.C., 1978.
- U.S. NRC, NUREG-0800, section 3.7.3, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR edition- Seismic Subsystem Analysis, Washington, D.C., 2007.
7.14 Essais, entretien, réparations, inspection et surveillance en cours d'exploitation
Afin de maintenir la centrale à l'intérieur des limites de la conception, la conception doit être telle que les SSC importants pour la sûreté peuvent être étalonnés, testés, entretenus, réparés, ou remplacés, inspectés et surveillés au cours de la durée de vie de la centrale.
Ces activités doivent être exécutées selon des normes proportionnelles à l'importance des fonctions de sûreté respectives des SSC. Il importe donc que la disponibilité des systèmes ne soit pas réduite de façon significative et que le personnel du site ne soit pas exposé indûment au rayonnement.
Les SSC qui ont une durée de service plus courte que celle de la centrale doivent être identifiés et décrits dans la documentation sur la conception.
Dans les cas où les SSC importants pour la sûreté ne peuvent pas être conçus pour appuyer les calendriers d'essai, d'inspection ou de surveillance souhaités, l'une des approches suivantes doit être utilisée :
- Des méthodes de rechange éprouvées doivent être spécifiées, telles que la surveillance des éléments de référence ou l'utilisation de méthodes de calcul vérifiées et validées.
- Des marges de sûreté prudentes doivent être appliquées, ou d'autres mesures de précaution appropriées doivent être prises, afin de contrebalancer les défaillances imprévues potentielles.
Les détails sur les méthodes de rechange liées à la surveillance des SSC doivent être énoncés dans la documentation sur la conception.
La conception doit prévoir des installations pour la surveillance des conditions chimiques des fluides ainsi que des matières métalliques et non métalliques. De plus, les moyens relatifs à l'ajout ou à la modification des constituants chimiques des flux de fluide doivent être précisés.
Les exigences de mise en service de la centrale doivent inclure les exigences d'essais connexes.
La conception doit prévoir des moyens de recueillir des données de référence en vue d'appuyer les essais, les inspections et la surveillance relatifs à l'entretien.
Orientation
Même si les essais, l'entretien, les réparations, l'inspection et la surveillance en cours d'exploitation se déroulent principalement pendant la phase d'exploitation du cycle de vie de la centrale, la centrale nucléaire est conçue pour permettre la réalisation efficace de ces activités durant l'exploitation. En particulier, le cœur du réacteur devrait être conçu pour permettre la mise en œuvre d'un programme de surveillance des matériaux afin de surveiller les effets des conditions d'exploitation sur les propriétés des matériaux tout au long de la durée de vie utile du réacteur.
La conception devrait établir un fondement technique pour les SSC qui doivent être mis à l'essai, entretenus, réparés, inspectés et surveillés en cours d'exploitation.
L'élaboration de stratégies et de programmes tenant compte des essais, de l'entretien, des réparations, de l'inspection et de la surveillance en cours d'exploitation est un aspect nécessaire de la phase de conception de la centrale. Les stratégies et les programmes qui seront mis en œuvre pour ces activités en cours d'exploitation devraient être élaborés afin de garantir que les SSC de la centrale pourront toujours exécuter leurs fonctions de sûreté. La conception devrait contenir des dispositions reconnaissant le besoin d'essais, d'entretien, de réparations, d'inspection et de surveillance en cours d'exploitation, ainsi que des dispositions permettant de réparer, de remplacer et de modifier les SSC susceptibles de nécessiter de telles mesures en raison des conditions opérationnelles prévues. En outre, les activités qui doivent être exécutées durant les phases de construction et de mise en service devraient être ciblées afin de fournir des données de référence significatives sur la centrale, dès le début de sa durée de vie utile.
Les stratégies devraient comprendre des programmes efficaces et bien planifiés pour l'évaluation et l'établissement de tendances relativement au rendement des SSC, ainsi qu'un programme optimisé d'entretien préventif connexe.
Les stratégies et les programmes devraient démontrer que les éléments suivants ont été pris en compte :
- la durée de vie nominale, les conditions de charge nominale, les exigences opérationnelles et l'importance des SSC pour la sûreté
- les exigences relatives aux codes, aux normes et aux règlements applicables
- les responsabilités du concepteur, du fournisseur, du constructeur, de l'exploitant et des entrepreneurs
- l'interdépendance des SSC importants pour la sûreté et les effets possibles de la défaillance des SSC d'une classe de sûreté moins élevée sur les SSC d'une classe de sûreté supérieure
- la conception, l'agencement et l'accessibilité des SSC durant la construction, la mise en service et la durée de vie prévue de la centrale
- les programmes de surveillance, d'inspection et d'essais utilisés durant la construction, la mise en service et l'exploitation de centrales nucléaires présentant une conception et un agencement similaires ou identiques
- les techniques et les méthodes disponibles pour la surveillance, l'inspection et les essais, ainsi que pour la réparation, le remplacement ou la modification des SSC
- les activités de recherche et de développement
- l'expérience en exploitation
- les facteurs humains
- la formation et la qualification du personnel
- la disponibilité d'une main-d'œuvre suffisamment formée et qualifiée
- la disponibilité des services de laboratoire ou des installations et équipements d'essai nécessaires
En cas d'utilisation de méthodes d'inspection en cours d'exploitation tenant compte des risques pour définir la portée d'un programme d'inspection, la méthode devrait être clairement documentée.
Les SSC importants pour la sûreté devraient être conçus et disposés afin d'en faciliter la surveillance et l'entretien, de pouvoir y accéder rapidement, de poser un diagnostic et d'effectuer des réparations en cas de défaillance, et de réduire au minimum les risques posés au personnel d'entretien.
Les méthodes d'entretien des SSC importants pour la sûreté devraient être conçues de manière à ce que les effets sur la sûreté de la centrale soient acceptables.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- ASME, Boiler and Pressure Vessel Code-2010, Section XI, Rules for Inservice Inspection of Nuclear Power Plant Components, New York, 2010.
- CCSN, RD-334, Gestion du vieillissement des centrales nucléaires, Ottawa, Canada, 2011.
- CCSN, RD/GD-210, Programmes d'entretien des centrales nucléaires, Ottawa, Canada, 2012.
- Groupe CSA, N287.7, Exigences relatives à la mise à l'essai et à la vérification, en cours d'exploitation, des enceintes de confinement en béton des centrales nucléaires CANDU, Toronto, Canada.
- Groupe CSA, N285.4, Inspection périodique des composants des centrales nucléaires CANDU, Toronto, Canada.
- Groupe CSA, N285.5, Inspection périodique des composants de confinement des centrales nucléaires CANDU, Toronto, Canada.
- Groupe CSA, N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU, Toronto, Canada.
- AIEA, Guide de sûreté no NS-G-2.6, Maintenance, Surveillance and In-Service Inspection in Nuclear Power Plants, Vienne, 2002.
7.15 Structures de génie civil
7.15.1 Conception
La conception de la centrale doit spécifier le rendement requis pour les fonctions de sûreté des structures de génie civil pour les états de fonctionnement, les AD et les CAD.
Les structures de génie civil importantes pour la sûreté nucléaire doivent être conçues et situées de manière à minimiser les probabilités et les effets des dangers internes, tels que les incendies, les explosions, la fumée, les inondations, la formation de missiles, l'effet de fouet des tuyaux, l'impact d'un jet ou le rejet de fluide dû à la rupture d'un tuyau.
Les dangers externes tels que les tremblements de terre, les inondations, les vents violents, les tornades, les tsunamis et les conditions météorologiques extrêmes doivent être pris en considération dans la conception des structures de génie civil.
Les analyses d'affaissement et l'évaluation de la capacité du sol doivent tenir compte des effets de fluctuation des eaux souterraines sur les fondations, ainsi que de l'identification et l'évaluation des strates de sol potentiellement liquéfiables et des glissements de terrain.
Les structures de génie civil importantes pour la sûreté doivent être conçues pour respecter les exigences de fonctionnalité d'utilisation, de résistance et de stabilité pour toutes les combinaisons de charges possibles dans les divers modes d'exploitation normale, d'IFP, d'AD et de CAD, y compris les dangers externes. La fonctionnalité d'utilisation doit inclure, sans toutefois s'y limiter, la flexion, la vibration, la déformation permanente, la fissuration et l'affaissement.
Les spécifications de conception doivent aussi définir toutes les charges et combinaisons de charges en tenant dûment compte de la probabilité de simultanéité et de l'historique des temps de charge.
Les effets environnementaux doivent être pris en compte dans la conception des structures de génie civil et le choix des matériaux. Le choix des matériaux de construction doit être proportionnel à la durée de vie nominale et la possibilité de prolongement de la durée de vie de la centrale.
L'évaluation de la sûreté de la centrale doit inclure des analyses structurales pour toutes les structures de génie civil importantes pour la sûreté.
Orientation
L'autorité responsable de la conception devrait fournir les principes de conception, les exigences et les critères relatifs au dimensionnement, les codes et normes applicables, les procédures de conception et d'analyse, les conditions limitatives supposées et les programmes informatiques utilisés dans les analyses et lors de la conception.
Toutes les charges liées aux dangers internes et externes sont spécifiés à la section 7.4. Les charges dues aux mouvements sismiques d'un séisme de référence et les répercussions des actes malveillants, y compris les écrasements d'avions lourds, se trouvent respectivement à la section 7.13 et à la section 7.22.
Les catégories de charges correspondant aux états de la centrale sont définies dans cette section pour démontrer le rendement structural de la façon suivante :
- les charges liées aux conditions normales attendues au cours de la durée de vie nominale de la centrale nucléaire
- les charges en cas d'IFP (ou les charges environnementales graves)
- les charges en cas d'AD (ou les charges environnementales anormales ou extrêmes)
- les charges liées aux CAD (ou les charges hors dimensionnement)
La conception devrait identifier toutes les charges liées aux CAD prises en considération dans la conception des structures et inclure la méthode d'évaluation et les critères d'acceptation.
Les structures devraient résister et s'adapter à l'affaissement des fondations (total et différentiel), ou l'éviter, selon ses exigences de rendement.
La conception des structures devrait tenir compte de l'impact du vieillissement sur la structure et ses
matériaux.
La conception devrait inclure des marges de sûreté suffisantes pour les bâtiments et les
structures importantes sur le plan de la sûreté.
La description des caractéristiques physiques et matérielles de chaque structure de génie civil et de sa dalle-support devrait comprendre :
- le type de structure et ses caractéristiques structurales et fonctionnelles
- la géométrie des structures, y compris des schémas montrant la vue en plan à des hauteurs et des sections différentes (au moins deux plans orthogonaux)
- la relation entre les structures adjacentes, y compris les séparations ou liens structuraux éventuels
- le type de dalle-support et sa disposition avec les méthodes de transfert des forces de cisaillement horizontal (comme celles induites par les séismes) aux fondations
Structure de confinement
La description devrait spécifier les exigences relatives à la sûreté du bâtiment ou du système de confinement, notamment sa résistance structurale, son étanchéité et sa résistance aux charges permanentes et transitoires (comme celles générées par la pression, la température, le rayonnement et les chocs mécaniques) par rapport aux dangers hypothétiques internes et externes. De plus, la conception devrait préciser les exigences de sûreté et les caractéristiques des structures internes de confinement, telles que la structure de la voûte du réacteur, les portes de blindage, les sas, le contrôle de l'accès et les installations.
La conception de la structure de confinement devrait comprendre les éléments suivants :
- la dalle-support et la couche de fondation
- la conception des parois et du dôme de confinement
- les ouvertures et les percées dans les murs de confinement
- le système de précontrainte
- le revêtement du confinement et sa méthode de fixation
La pression nominale du bâtiment de confinement devrait être déterminée en augmentant d'au moins 10 % le pic de pression qui serait généré par l'AD (consulter la clause 4.49 du Guide de sûreté de l'AIEA NS-G-1.10, Design of Reactor Containment Systems for Nuclear Power Plants).
La capacité maximale de pression interne devrait être fournie pour les structures de l'enceinte de confinement, y compris les percées dans le confinement.
Si la fondation du bâtiment de confinement est constituée d'une dalle-support commune et qu'elle n'est pas séparée de la fondation des autres bâtiments, il faudrait en évaluer les répercussions.
Les structures de confinement en béton devraient être conçues et construites conformément à la collection de normes CSA N287, le cas échéant :
- la norme N287.1, General Requirements for Concrete Containment Structures for CANDU Nuclear Power Plants, pour les exigences générales dans la documentation sur les spécifications de la conception et les rapports de conception
- la norme N287.2, Exigences relatives aux matériaux des enceintes de confinement en béton des centrales nucléaires CANDU, pour les matériaux
- la norme N287.3, Design Requirements for Concrete Containment Structures for CANDU Nuclear Power Plants, pour la conception
- la norme N287.4, Exigences relatives à la construction, à la fabrication et à l'installation des enceintes de confinement en béton des centrales nucléaires CANDU; et la norme N287.5, Examination and Testing Requirements for Concrete Containment Structures for Nuclear Power Plants, pour la construction et l'inspection des enceintes de confinement
- la norme N287.6, Pre-operational Proof and Leakage Rate Testing Requirements for Concrete Containment Structures for Nuclear Power Plants, pour les essais de pressurisation effectués avant la mise en service
Les structures de confinement en acier devraient être conçues conformément au document de l'ASME intitulée Boiler and Pressure Vessel Code (Section III, Division 1, Subsection NE, Class MC Components) ou à une norme équivalente. La stabilité de la cuve de confinement et de l'équipement connexe devrait être évaluée en utilisant les méthodes du Code de l'ASME, Cas N-284-1, Metal Containment Shell Buckling Design Methods (Section III, Division 1, Classe MC).
D'autres exigences relatives à la conception des structures de confinement se trouvent à la section 8.6.2 du présent document.
Structures liées à la sûreté
Les structures liées à la sûreté autres que le confinement devraient être conçues et construites conformément à la norme CSA N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU.
La conception des autres structures liées à la sûreté devrait comprendre les éléments suivants :
- les structures internes du bâtiment du réacteur
- le bâtiment de service (auxiliaire)
- le bâtiment de stockage du combustible
- le bâtiment de contrôle
- les structures des génératrices diesel
- le bâtiment de l'enceinte de confinement blindée, le cas échéant
- les autres structures liées à la sûreté définies par la conception
- le bâtiment des turbines (pour le réacteur à eau bouillante)
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- American Concrete Institute (ACI), 349-06, Code Requirements for Nuclear Safety-Related Concrete Structures & Commentary, Farmington Hills, Michigan, 2007.
- ASME, Boiler and Pressure Vessel Code (BPVC), Section III, Division 2, Section 3, Code for Concrete Containments, New York, 2010.
- AIEA, Guide de sûreté no NS-G-1.10, Design of Reactor Containment Systems for Nuclear Power Plants, Vienne, 2004.
- U.S. NRC, NUREG/CR-6486, Assessment of Modular Construction for Safety-Related Structures at Advanced Nuclear Power Plants, Washington, D.C., 1997
- U.S. NRC, Regulatory Guide 1.76, Design Basis Tornado and Tornado Missiles for Nuclear Power Plants, Washington, D.C., 2007.
- U.S. NRC, Regulatory Guide 1.91, Evaluations of explosions postulated to occur on transportation routes near Nuclear Power Plants, Washington, D.C., 1978.
- U.S. NRC, NUREG-0800, Section 3.8.1, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Concrete Containment, Washington, D.C., 2007.
7.15.2 Surveillance
La conception doit permettre la mise en œuvre de programmes d'inspection périodique des structures importantes pour la sûreté afin de vérifier que les structures construites répondent à leurs exigences fonctionnelles et de rendement.
La conception doit aussi faciliter la surveillance, en cours d'exploitation, de toute dégradation pouvant compromettre la fonction nominale des structures. En particulier, elle doit permettre la surveillance de l'affaissement des fondations.
Des essais de pressurisation et de fuite doivent être effectués sur les structures pour démontrer que les paramètres de conception respectifs sont conformes aux exigences de conception.
La conception doit faciliter les inspections de routine des ouvrages de protection contre les crues de mer, de lac ou de rivière et démontrer qu'ils sont en bon état de service.
Orientation
En ce qui concerne les enceintes de confinement en béton, il faut tenir compte de l'inspection de l'intégrité structurale et des essais de pressurisation pendant la phase préalable à l'exploitation et la phase en cours d'exploitation. Les programmes d'inspection et d'essais de pressurisation devraient être fournis et satisfaire aux exigences applicables de la norme CSA N287.6, Pre-operational proof and leakage rate testing requirements for concrete containment structures for nuclear power plants, et de la norme CSA N287.7, Exigences relatives à la mise à l'essai et à la vérification, en cours d'exploitation, des enceintes de confinement en béton des centrales nucléaires CANDU.
La conception devrait prévoir des dispositions particulières pour tenir compte de l'inspection des enceintes de confinement en béton en cours d'exploitation et des essais de pressurisation (p. ex. en assurant un accès physique suffisant, en prévoyant d'autres moyens d'identification des conditions dans les zones inaccessibles pouvant conduire à une dégradation, ou en permettant une surveillance visuelle à distance des zones à haut niveau de rayonnement). Il faudrait mettre en place des programmes permettant d'examiner les zones inaccessibles, de surveiller les propriétés chimiques des eaux souterraines, les affaissements et les déplacements différentiels. La conception devrait également prévoir des équipements et des instruments, par exemple une jauge de contrainte, pour surveiller les contraintes, les tensions et toute déformation des structures.
7.15.3 Levage et manutention de charges lourdes
Dans la conception de la centrale, il faut tenir compte du levage et de la manutention de charges lourdes et de grande taille, plus particulièrement celles contenant des matières radioactives. Elle doit identifier les charges de grande taille, les couloirs de déplacement et les situations où elles doivent être levées au-dessus des zones de la centrale qui sont critiques sur le plan de la sûreté. La conception de toutes les grues et de tous les dispositifs de levage doit donc prévoir de grandes marges, des dispositifs de verrouillage appropriés et d'autres dispositifs de sûreté pour répondre aux exigences de levage de vastes charges.
La conception doit prendre en compte la chute de grandes charges soulevées et manipulées dans des zones où se trouvent des systèmes et des composants importants pour la sûreté. La charge potentielle découlant de la chute d'une grande charge doit être prise en considération dans l'analyse des AD.
7.16 Construction et mise en service
Les SSC importants pour la sûreté doivent être fabriqués, construits, assemblés, installés et érigés en conformité avec les procédures établies afin que la conception atteigne le niveau de sûreté requis.
Tous les systèmes de la centrale doivent être conçus de manière à pouvoir, dans la mesure du possible, effectuer des essais de mise en service pour confirmer que les exigences de conception ont été respectées.
La conception doit prévoir des dispositions visant à faciliter les activités de mise en service. Plus particulièrement, la conception des systèmes d'IC doit comprendre des dispositions pour les conditions dans lesquelles les sources neutroniques de démarrage et l'instrumentation dédiée au démarrage sont nécessaires.
La conception doit préciser les exigences relatives à la mise en service, y compris les données à enregistrer et à conserver. Plus particulièrement, la conception doit clairement identifier les exigences non standard ou particulières relatives à la mise en service; ces exigences doivent être indiquées dans la documentation sur la conception.
Orientation
Il faudrait tenir dûment compte de l'expérience pertinente qui a été acquise dans la construction et la mise en service d'autres centrales similaires et de leurs SSC connexes. En cas d'adoption des pratiques exemplaires d'autres industries pertinentes, il faudrait montrer que ces pratiques conviennent à l'application nucléaire envisagée.
La conception devrait comprendre des exigences préliminaires relatives à la mise en service de la centrale pour les essais préalables à l'exploitation et les essais liés au démarrage initial :
- Les essais préalables à l'exploitation sont les essais réalisés après l'achèvement des activités de construction et des inspections et essais liés à la construction, mais avant le chargement du combustible. De tels essais démontrent, dans la mesure du possible, que les SSC sont capables de répondre aux exigences de rendement et aux critères d'acceptation.
- Les essais liés au démarrage initial comprennent les activités d'essai que l'on prévoit réaliser durant et suivant le chargement du combustible. Les activités d'essai comprennent le chargement du combustible, les essais préalables à la criticité, les essais réalisés à l'étape de criticité initiale à faible puissance et les essais de montée en puissance, qui devraient confirmer les fondements de conception et démontrer, dans la mesure du possible, que la centrale fonctionnera conformément à sa conception et qu'elle est capable, telle que conçue, de répondre aux IFP, aux AD et aux CAD.
L'autorité responsable de la conception devrait fournir une orientation générale sur le contrôle des activités de mise en service, y compris les contrôles administratifs qui seront utilisés pour élaborer, examiner et approuver les différentes procédures d'essai, la coordination avec les organisations participant au programme d'essai, la participation du personnel technique et du personnel chargé de l'exploitation de la centrale, ainsi que l'examen, l'évaluation et l'approbation des résultats des essais.
La conception devrait comprendre une orientation générale sur la façon dont le programme d'essai va utiliser et mettre à l'épreuve les procédures d'exploitation, de surveillance et d'urgence de la centrale, et dans quelle mesure il va le faire.
La conception devrait inclure des résumés des essais des SSC et des caractéristiques de conception particulières qui seront mis à l'épreuve pour vérifier que le rendement des SSC est conforme aux exigences de la conception. Ces résumés des essais devraient comprendre les objectifs, les exigences préalables, les méthodes d'essai et les critères d'acceptation qui feront partie des procédures d'essai.
La conception devrait inclure les critères d'acceptation des activités de mise en service nécessaires et suffisantes pour fournir des assurances raisonnables quant au fait que l'installation « telle que construite » sera conforme à la conception approuvée de la centrale et aux règlements applicables si ces activités de mise en service sont effectuées et que les critères d'acceptation sont respectés.
La portée des critères d'acceptation devrait correspondre aux SSC qui figurent dans les descriptions de la conception. En général, chaque système devrait avoir des critères d'acceptation suffisants pour vérifier l'information figurant dans les descriptions de la conception. Le niveau de détail spécifié dans les critères d'acceptation devrait être proportionnel à l'importance sur le plan de la sûreté des fonctions et des fondements de ces SSC.
Les critères d'acceptation devraient être objectifs et non ambigus, correspondre aux engagements pris dans la conception et pouvoir être vérifiés par des inspections, des analyses et des essais adéquats durant les étapes de la construction et de la mise en service.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- AIEA, collection Normes de sûreté no NS-G-2.9, Commissioning for Nuclear Power Plants, Vienne, 2003.
- AIEA, SSR 2/2, Sûreté des centrales nucléaires : mise en service et exploitation, Vienne, 2012.
- U.S. NRC, NUREG-0800, Chapter 14, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition, Washington, D.C., 2007.
7.17 Vieillissement et usure
La conception doit examiner les effets du vieillissement et de l'usure sur les SSC. Pour les SSC importants pour la sûreté, cela doit comprendre :
- une évaluation des marges nominales de conception, en tenant compte de tous les mécanismes connus de vieillissement et d'usure et de la dégradation potentielle pour tous les états de fonctionnement, y compris les effets des essais et des processus d'entretien
- des dispositions pour la surveillance, les essais, l'échantillonnage et l'inspection des SSC afin d'évaluer les mécanismes de vieillissement, vérifier les prévisions et déterminer tout rendement ou toute dégradation imprévu(e) pouvant survenir en cours d'exploitation en raison du vieillissement et de l'usure
Des exigences supplémentaires à ce sujet sont précisées dans le document RD-334, Gestion du vieillissement des centrales nucléaires.
Orientation
La conception devrait également prendre en considération les éléments suivants :
- la détermination de tous les SSC visés par des mesures de gestion du vieillissement
- l'utilisation de nouveaux matériaux pouvant mieux résister au vieillissement
- le besoin de programmes d'essai des matériaux pour surveiller le vieillissement et la dégradation
- le besoin d'une surveillance en ligne, en particulier lorsque cette technologie permet de lancer un avertissement rapide d'une dégradation entraînant la défaillance des SSC qui pourrait avoir des conséquences importantes sur le plan de la sûreté
7.18 Contrôle des corps étrangers
La conception doit prévoir la détection, l'exclusion et l'élimination de tous les corps étrangers et produits corrosifs susceptibles d'avoir une incidence sur la sûreté.
7.19 Transport et emballage de combustible et de déchets radioactifs
La conception doit prévoir des dispositifs appropriés pour faciliter le transport et la manutention du combustible neuf, du combustible irradié et des déchets radioactifs, conformément aux exigences du Règlement sur l'emballage et le transport des substances nucléaires. Une attention particulière doit être accordée à l'accès aux installations ainsi qu'aux capacités de levage et d'emballage du combustible et des déchets radioactifs.
7.20 Voies d'évacuation d'urgence et moyens de communication
La conception de la centrale doit prévoir un nombre suffisant de voies d'évacuation sécuritaires pour tous les états de fonctionnement, les AD et les CAD, y compris les événements sismiques. Ces voies doivent être identifiées à l'aide d'une signalisation claire et durable, d'un éclairage de secours, d'une ventilation et d'autres services de bâtiment essentiels à leur utilisation sécuritaire.
Les voies d'évacuation doivent satisfaire aux exigences canadiennes pertinentes relatives au zonage radiologique, à la prévention des incendies, à la sécurité industrielle et à la sûreté de la centrale. Elles doivent pouvoir évacuer l'enceinte de confinement, peu importe la pression à l'intérieur de l'enceinte.
Des systèmes d'alarme et des moyens de communication appropriés doivent être disponibles en tout temps pour alerter toutes les personnes présentes dans la centrale et sur le site et leur donner des directives.
La conception doit prévoir divers moyens de communication dans la centrale, dans les lieux avoisinants ainsi qu'au sein des organismes hors site, comme le stipule le plan d'intervention d'urgence.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- AIEA, GS-R-2, Préparation et intervention en cas de situation d'urgence nucléaire ou radiologique – Prescriptions, Vienne, 2002.
- CCSN, G-225, Planification d'urgence dans les installations nucléaires de catégorie I, les mines d'uranium et les usines de concentration d'uranium, Ottawa, Canada, 2001, ou document de remplacement.
- CNRC, Code national du bâtiment du Canada, Ottawa, Canada, 2010.
-
CNRC, Code national de prévention des incendies du Canada, Ottawa, Canada, 2010.
Groupe CSA, N293, Protection contre l'incendie dans les centrales nucléaires CANDU, Toronto, Canada.
7.21 Facteurs humains
La conception doit comporter un programme d'ingénierie des facteurs humains. Des techniques d'analyse systématique éprouvées et pertinentes doivent être utilisées pour examiner les questions des facteurs humains associés au processus de conception.
Examen des facteurs humains :
- réduire, autant que possible, la possibilité d'erreurs humaines
- prévoir des mécanismes d'identification des erreurs humaines et des méthodes de rétablissement en cas d'erreur
- atténuer les conséquences des erreurs
Le programme d'ingénierie des facteurs humains doit faciliter les interactions entre le personnel chargé de l'exploitation et la centrale, en accordant une attention particulière à l'aménagement et aux procédures de la centrale ainsi qu'à l'entretien, à l'inspection, à la formation et à l'application des principes ergonomiques liés à la conception des aires et des environnements de travail.
Une distinction appropriée et claire entre les fonctions assignées au personnel chargé de l'exploitation et celles attribuées aux systèmes automatiques doit être facilitée par l'examen systématique des facteurs humains et de l'interface homme-système. Cet examen doit se poursuivre de façon itérative tout au long du processus de conception.
Les interfaces homme-système de la salle de commande principale, de la salle de commande auxiliaire, des installations de soutien d'urgence et de la centrale doivent fournir aux opérateurs les renseignements nécessaires et appropriés, dans un format utilisable correspondant à la prise de décision et aux délais d'intervention.
Des plans de vérification et de validation des facteurs humains doivent être établis pour toutes les étapes pertinentes du processus de conception afin de confirmer que toutes les interventions nécessaires de l'opérateur sont correctement prises en compte dans la conception.
Pour faciliter l'établissement de critères de conception de l'affichage et du contrôle de l'information, chaque opérateur jouera deux rôles : celui de gestionnaire de systèmes (y compris la responsabilité pour la gestion des accidents) et celui d'opérateur d'équipement. Les activités de vérification et de validation doivent être exhaustives, de sorte que la conception soit conforme aux principes liés aux facteurs humains et réponde aux exigences de facilité d'utilisation.
La conception doit déterminer le type de renseignements qui permettra à l'opérateur de facilement :
- évaluer l'état général de la centrale, qu'il s'agisse d'un des états de fonctionnement, d'AD ou de CAD
- confirmer que les interventions de sûreté automatiques sont exécutées
- déterminer les interventions appropriées liées à la sûreté qu'il doit effectuer
La conception doit préciser le type de renseignements qui permettra à un opérateur d'équipement de déterminer les paramètres associés à chaque système et équipement de la centrale, et de confirmer que les mesures de sûreté nécessaires peuvent être prises en toute sécurité.
Les objectifs de la conception doivent inclure la réussite des interventions de l'opérateur, en tenant dûment compte du temps dont il dispose pour intervenir, de l'environnement physique prévu et du stress psychologique connexe auquel il est exposé.
La nécessité d'une intervention de l'opérateur à l'intérieur de courts laps de temps doit être maintenue au minimum et les conditions suivantes doivent s'appliquer si ce genre d'intervention est nécessaire :
- les renseignements dont l'opérateur a besoin pour prendre la décision d'intervenir sont présentés dans un format simple sans ambiguïtés
- l'opérateur dispose de suffisamment de temps pour prendre une décision et intervenir
- à la suite d'un événement, l'environnement physique de la salle de commande principale ou auxiliaire et de la voie d'accès à la salle de commande auxiliaire demeure acceptable
Orientation
La présente section s'applique à la conception de tous les systèmes de la centrale présentant des considérations relatives aux facteurs humains (FH). Selon la définition du document de la CCSN P-119, Politique sur les facteurs humains, les facteurs humains sont « des facteurs qui influencent le rendement humain ». En pratique, il faut que la plupart des systèmes de la centrale tiennent compte des FH.
Les processus et les approches systématiques adoptés pour les FH lors de la conception devraient répondre aux normes internationales et aux pratiques exemplaires. Les normes et codes liés aux FH utilisés par l'autorité responsable de la conception de la centrale devraient être identifiés et évalués en fonction de leur applicabilité, de leur exhaustivité et de leur pertinence.
Il devrait y avoir une autorité suffisante pour la gestion des FH dans la conception afin de bien tenir compte des considérations relatives aux FH qui influent sur la sûreté. Les exigences de conception liées aux FH qui complèteront les codes (p. ex. en ce qui concerne la facilité d'utilisation et le rendement humain) devraient également être identifiées et spécifiées au tout début du processus de conception.
Les éléments suivants devraient avoir des interfaces avec les FH dans la conception :
- la conception technique de certains SSC
- l'élaboration de procédures
- l'élaboration de formation
- la prise en considération des interventions humaines dans les analyses de sûreté
- les spécifications relatives à la dotation en personnel et à l'effectif minimal par quart
Les attentes relatives à la conception sont présentées ci-dessous en vue d'être appliquées à différentes étapes de la conception.
Planification
Un plan de programme d'ingénierie des facteurs humains (PPIFH) démontre la façon dont les considérations relatives aux FH sont intégrées aux activités de conception. Des indications complémentaires sur la façon d'élaborer un tel plan sont fournies dans le document d'orientation de la CCSN G-276, Plan de programme d'ingénierie des facteurs humains, et dans le document de la Nuclear Regulatory Commission (NRC) des États-Unis NUREG-0711 (Révision 2), Human Factors Engineering Program Review Model. Les éléments techniques décrits dans le plan devraient être étayés par des activités de vérification et de validation subséquentes de la conception qui en résulte, de la façon décrite dans le document d'orientation de la CCSN G-278, Plan de vérification et de validation des facteurs humains.
Les FH liés aux activités de conception sont intégrés de manière efficace au processus général de conception technique et suffisamment tôt pour contribuer efficacement à la sûreté. Les FH dans les activités de conception devraient être gérés par un nombre suffisant de spécialistes formés, qualifiés et expérimentés dans le domaine des FH, pourvu que les critères établis associés à la complexité des systèmes et à l'importance pour la sûreté soient respectés.
Analyse
Des méthodes d'analyse systématique sont utilisées pour établir les données d'entrée relatives aux FH. De telles analyses devraient être réalisées au tout début de la conception, afin de fournir des fondations solides sur lesquelles reposent des solutions de conception. Chaque analyse des FH devrait :
- être adaptée aux activités visées en tenant compte du risque posé par les activités et la nouveauté de la conception
- être réalisée tout au long de l'élaboration de la conception
- utiliser des méthodes, des techniques et des pratiques exemplaires considérées comme acceptables par des spécialistes des facteurs humains formés et expérimentés
- partager l'information produite avec les différents groupes participant à la conception
Les analyses des FH pourraient inclure :
- les fonctions
- les tâches
- la fiabilité humaine
- les dangers
- les liens
- les exigences en matière d'information
- la dotation en personnel
- la facilité d'utilisation
- la facilité d'exploitation et d'entretien
La conception devrait également inclure des rapports sur les recherches ou les études menées sur les travaux réalisés dans le cadre du processus de développement et de mise à l'essai de nouvelles technologies d'interface homme-système (p. ex. affichages et commandes) nouvellement appliquées aux centrales nucléaires et susceptibles d'avoir une incidence sur la sûreté.
La conception devrait démontrer que des mesures ont été prises lors de l'élaboration de la conception afin de réduire ou d'éliminer dans la mesure du possible les risques d'erreurs humaines, qu'il existe des moyens acceptables permettant de relever les erreurs, que des méthodes de rétablissement en cas d'erreur ont été prévues et qu'il est possible d'atténuer les conséquences des erreurs.
Conception
Il faudrait établir qu'il existe un processus systématique pour la conception des zones de travail, des milieux de travail et des interfaces homme-système pour les SSC dans toute la centrale. La conception devrait démontrer que les questions liées aux FH pour tous les aspects de la centrale (et pas seulement dans les zones de commande) ont été pris en compte. Les aspects liés aux FH devraient être pris en considération lors de la spécification et de l'acquisition de SSC commerciaux. En ce qui concerne les questions liées aux FH, la conception devrait tenir compte de l'expérience en exploitation acquise dans le cadre de systèmes existants ou de systèmes similaires.
Un aspect important de ce processus systématique est l'utilisation des pratiques exemplaires, des normes et des codes les plus récents dans le domaine des facteurs humains, lors de l'élaboration de la conception. Des orientations sont fournies dans la publication de la Nuclear Regulatory Commission (NRC) des États-Unis NUREG-0700 (révision 2), Human-System Interface Design Review Guidelines.
La conception devrait démontrer que les opérateurs (et tout autre utilisateur potentiel) dans la salle de commande principale, la salle de commande auxiliaire, les installations de soutien d'urgence et la centrale disposent des renseignements nécessaires et appropriés, dans un format qui correspond aux décisions à prendre et aux délais d'intervention. Le même type de considérations devrait s'appliquer aux autres utilisateurs d'équipements (p. ex. les techniciens et le personnel chargé de l'entretien) ailleurs dans la centrale.
Personnel d'exploitation
Le personnel disposant d'une expérience opérationnelle acquise dans des centrales similaires devrait participer activement au processus de conception afin de tenir compte le plus tôt possible des considérations relatives à l'exploitation et à l'entretien futurs des SSC.
Il faudrait définir des interfaces formelles entre le ou les groupes chargés des FH dans la conception et les divers groupes chargés de la conception technique participant au processus de conception. Cela faciliterait les interactions et le partage d'information permettant de bien intégrer les considérations liées aux FH à la conception.
Vérification et validation
Les évaluations sont un élément essentiel des FH dans le processus de conception et comprennent des activités de vérification et des activités de validation. Les critères d'évaluation (p. ex. les exigences et les normes en matière de conception) devraient être établis avant de procéder à ces évaluations.
Des activités de vérification des FH devraient être réalisées (généralement par le fournisseur et le titulaire de permis) pour confirmer que la conception est conforme aux normes de conception des FH et qu'elle a été mise en œuvre comme prévu dans la centrale.
Des activités de validation devraient être réalisées de façon itérative à différentes étapes du processus de conception, en veillant à ce que la fidélité des tâches soit appropriée. Les données fournies par les activités de validation devraient être analysées et les résultats devraient servir à améliorer la conception. La validation devrait confirmer que le système, y compris les composantes humaines et les procédures visant à appuyer les tâches, répond aux exigences spécifiées pour le système et la facilité d'utilisation. Les activités de validation devraient également démontrer que le personnel chargé de l'exploitation et de l'entretien est capable d'accomplir ses tâches de manière sécuritaire.
De l'orientation sur les évaluations est fournie dans le document d'orientation de la CCSN G-278, Plan de vérification et de validation des facteurs humains, et dans la publication de la Nuclear Regulatory Commission (NRC) des États‑Unis NUREG-6393, Integrated System Validation: Methodology and Review Criteria.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- ANSI/ANS, 58.8, Time Response Design Criteria for Safety-Related Operator Actions, La Grange Park, Illinois [confirmé en 2008].
- CCSN, G-323, Assurer la présence d'un nombre suffisant de travailleurs qualifiés aux installations nucléaires de catégorie I – Effectif minimal, Ottawa, Canada, 2007.
- CCSN, G-276, Plan de programme d'ingénierie des facteurs humains, Ottawa, Canada, 2003.
- CCSN, G-278, Plan de vérification et validation des facteurs humains, Ottawa, Canada, 2003.
- CCSN, P-119, Politique sur les facteurs humains, Ottawa, Canada, 2000.
- Groupe CSA, N290.6, Exigences relatives à la surveillance et à l'affichage des fonctions de sûreté d'une centrale nucléaire au moment d'un accident, Toronto, Canada.
- Groupe CSA, N290.4, Exigences relatives aux systèmes de contrôle des réacteurs des centrales nucléaires, Toronto, Canada.
- CEI, 61839, Centrales nucléaires de puissance – Conception des salles de commande – Analyse fonctionnelle et affectation des fonctions, Genève, 2000.
- CEI, 60964, Centrales nucléaires de puissance – Salles de commande – Conception, Genève, 2009.
- IEEE, 1289, IEEE Guide for the Application of Human Factors Engineering in the Design of Computer-Based Monitoring and Control Displays for Nuclear Power Generating Stations, Piscataway, New Jersey, 1998.
- IEEE, 1023, IEEE Guide for the Application of Human Factors Engineering to Systems, Equipment, and Facilities of Nuclear Power Generating Stations, Piscataway, New Jersey, 2004.
- U.S. NRC, NUREG/CR-1278, Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications-Final Report, Washington, D.C., 2011.
- U.S. NRC, NUREG-0711, Human Factors Engineering Program Review Model, Washington, D.C., 2002.
- U.S. NRC, NUREG-0700, Human System Interface Design Review Guidelines, Washington, D.C., 2002.
- U.S. NRC, NUREG-6393, Integrated System Validation: Methodology and Review Criteria, Washington, D.C.,1997
- U.S. NRC, NUREG-6684, Advanced Alarm Systems: Revision of Guidance and Its Technical Basis, Washington, D.C., 2000.
- U.S. NRC, NUREG/CR-6633, Advanced Information Systems Design: Technical Basis and Human Factors Review Guidelines, Washington, D.C., 2000.
7.22 Résistance aux actes malveillants
La conception doit prévoir des dispositifs physiques tels que la protection contre les menaces de référence (MR), conformément aux exigences du Règlement sur la sécurité nucléaire.
Orientation
Les aspects de sûreté technique liés à la robustesse et à la protection contre les actes malveillants devraient tenir compte des éléments suivants :
- l'approche adoptée pour la conception de base
- les objectifs en matière de rendement des structures
- la caractérisation des menaces
- le développement des charges
- les propriétés des matériaux
- les principes d'analyse et de conception
- les critères d'acceptation structuraux
- la conception des SSC
L'identification des actes malveillants relevés lors de la conception repose sur le risque de rejet de radioactivité dans la population et l'environnement.
7.22.1 Principes de conception
La conception doit prévoir une protection robuste contre les actes malveillants susceptibles de toucher la centrale et toute autre installation sur le site qui pourraient libérer de grandes quantités de matières radioactives ou d'énergie.
Les menaces associées aux actes malveillants plausibles sont appelées menaces de référence (MR). Des menaces plus sévères quoique improbables sont appelés menaces hors dimensionnement (MHD). Ces deux types de menaces doivent être pris en compte dans la conception.
Les MR doivent avoir des attributs et des caractéristiques crédibles pour des adversaires sur le site de la centrale ou à l'extérieur. Ces personnes pourraient tenter de s'accaparer illégalement de matériel nucléaire ou exécuter des manœuvres de sabotage contre lesquels un système de protection physique est conçu et évalué.
Les MHD sont des menaces trop peu probables pour être intégrées au dimensionnement, mais pour lesquelles les conséquences doivent être évaluées afin de déterminer, dans la mesure du possible, les moyens d'en atténuer les conséquences.
Conformément au concept de défense en profondeur, la conception doit prévoir de multiples barrières de protection contre les actes malveillants, y compris des systèmes de protection physique, des dispositions de sécurité techniques et des mesures de gestion après un événement, le cas échéant. La défaillance d'une barrière précédente ne doit pas compromettre l'intégrité et l'efficacité des barrières subséquentes.
Orientation
La détermination des zones vitales comprend l'identification et la localisation des SSC qui doivent être protégés afin d'éviter le rejet significatif d'éléments radioactifs. Les zones vitales comprennent le bâtiment du réacteur et la piscine de stockage du combustible usé, y compris la structure abritant la piscine de stockage du combustible usé. Les mesures de protection de ces zones vitales identifiées devraient être évaluées.
En fonction des menaces identifiées et de leur définition, il faudrait sélectionner des ensembles de cas de charges pour les MR et les MHD. Chaque cas de charge sélectionné devrait être le scénario du cas le plus défavorable pour une menace donnée.
7.22.2 Méthodes de conception
L'autorité responsable de la conception doit élaborer une méthodologie pour évaluer les difficultés qu'entraînent les MR et les moyens pour résoudre ces difficultés, telles qu'identifiées dans une évaluation initiale des menaces et des risques. La méthodologie doit utiliser des mesures de conception conservatrices et de saines pratiques d'ingénierie.
La conception de la centrale doit prendre en compte le rôle des structures, des voies d'accès, de l'équipement et de l'instrumentation dans l'attribution de moyens de détection, de ralentissement et d'intervention en cas de menaces.
Les zones vitales doivent être déterminées et prises en compte dans la conception et la vérification de la robustesse. Pour les zones vitales, la conception doit prévoir suffisamment de temps pour que les équipes d'intervention sur le site et à hors site puissent intervenir efficacement, en tenant compte des structures, de la détection et de l'évaluation. Ces zones doivent être protégées, dans la mesure du possible, contre les dommages accidentels causés au cours des interventions défensives.
La conception doit prévoir des moyens appropriés en matière de contrôle d'accès et de détection et pour réduire au minimum le nombre d'accès et de points d'évacuation des zones protégées. Ces points doivent inclure les égouts pluviaux, les caniveaux, la tuyauterie de service et les câbles qui pourraient être utilisés pour accéder à l'installation.
La conception doit aussi tenir compte de l'emplacement d'installations civiles de manière à réduire au minimum le besoin d'y accéder pour des réparations et pour l'entretien, et ce, afin de réduire les menaces contre la zone protégée et les zones vitales.
L'autorité responsable de la conception doit également élaborer une méthodologie pour évaluer les difficultés associées aux MHD, laquelle doit être appliquée pour déterminer les marges disponibles pour l'arrêt du réacteur, le refroidissement du combustible et le confinement de la radioactivité. Une dégradation importante des dispositifs d'ingénierie peut être acceptée.
Orientation
Les zones vitales sont conçues conformément à l'approche par paliers liée à l'importance de la menace, selon la description qui suit.
En ce qui concerne les charges induites par des MR, la méthode de conception des structures applique des mesures de conception conservatrices et de saines méthodes d'ingénierie qui répondent aux exigences des codes et des normes.
En ce qui concerne les MHD de premier niveau (événements plus graves que les MR), l'intégrité des structures devrait protéger les systèmes importants. Les critères relatifs au code de conception pourraient être assouplis, mais la méthode de conception devrait être respectée.
En ce qui concerne les MHD de deuxième niveau (événements extrêmes), une dégradation limitée de la barrière de confinement peut être acceptée. Les structures des zones vitales devraient être conçues pour des MHD de deuxième niveau qui pourraient dépasser les limites des codes de conception mais demeurer dans les limites documentées pour les matériaux et les structures.
Les fonctions de chargement dues aux écrasements d'avions, liées aux MR et aux MHD, sont « classifiées » et peuvent être obtenues par les demandeurs et les titulaires de permis sur demande auprès de la CCSN.
Il est acceptable de modéliser l'avion entier comme une charge qui heurte la structure. Toutefois, la conception devrait faire en sorte que les fonctions de chargement dues à l'écrasement de l'avion modélisé en fonction d'une enveloppe cible rigide soient acceptables.
Deux types distincts de modes de défaillance structurale devraient être examinés : la défaillance locale (rupture par poinçonnement, rupture fragile) et la défaillance globale (déformation plastique, rupture par flexion). Les caractéristiques de chargement et le comportement structural de ces deux modes de défaillance sont différents et devraient être examinés séparément. Toutefois, il convient de noter que, dans certains cas, ces deux modes de défaillance (p. ex. un écrasement d'avion) peuvent intervenir simultanément ou de façon quasi simultanée.
Le comportement des structures locales en cas de charges induites par un acte malveillant devrait être évalué. Les dommages locaux causés à la cible peuvent être définis à l'aide des descriptions suivantes :
- pénétration – la profondeur du cratère dû à l'impact d'un missile
- effritement – l'éjection de matières de la cible provenant de la face avant de la cible (face heurtée)
- écaillage – l'éjection de matières provenant de la face arrière de la cible
- perforation uniquement – le missile ne fait que pénétrer la cible, avec une vitesse résiduelle nulle
En cas d'écrasement d'avion, la plupart des références techniques considèrent les moteurs comme les missiles déterminants.
En général, de tels modes de dégradation locale ne devraient pas entraîner l'écroulement des structures, mais ils pourraient endommager des systèmes ou des composants liés à la sûreté. L'application de formules empiriques pour la perforation et la formation d'éclats est une méthode acceptable pour évaluer le comportement des structures soumises à des charges locales et concentrées.
Les effets globaux de la réponse structurale désignent le comportement global du bâtiment en réponse aux charges appliquées par l'impact. La réponse globale peut être caractérisée par des dommages structuraux importants tels qu'une perforation importante ou l'effondrement de parties importantes des murs, des planchers et des structures portantes du bâtiment. L'impact est également susceptible de produire des vibrations importantes ou des « charges par à-coups » dans tout le bâtiment.
En cas d'écrasement d'avion, dans l'absence de mesures de conception adéquates, les dommages locaux liés à l'impact d'un missile dans la paroi pourraient entraîner l'écaillage du béton de la face arrière. En fin de compte, ils pourraient entraîner une rupture locale des barres d'armature, permettant la perforation de la paroi par la masse résiduelle du moteur écrasé et la partie restante de l'arbre. Toutefois, le dommage structural global est généralement lié à la déformation de l'ensemble du système structural. Des mesures de conception adéquates devraient être fournies pour répondre aux critères d'acceptation précisés à la section 7.22.3.
La conception du système de protection physique de l'installation devrait tenir compte des changements au niveau des menaces, d'une meilleure compréhension des vulnérabilités potentielles de l'installation, de ses systèmes et de ses structures, ainsi que des progrès liés aux méthodes, aux systèmes et aux techniques de protection physique.
7.22.3 Critères d'acceptation
Toutes les fonctions et capacités des systèmes de sûreté doivent continuer à être disponibles en cas de MR.
La conception doit prévoir la disponibilité continue des fonctions de sûreté fondamentales à la suite de MHD; celles-ci reposeront sur l'importance de la menace.
Pour les événements plus graves, il doit y avoir une façon sécuritaire d'arrêter le réacteur d'au moins une façon pour chacun des éléments suivants :
- arrêt du réacteur
- refroidissement du combustible
- confinement de la radioactivité du réacteur
L'intégrité structurale doit être suffisante pour protéger les systèmes importants. Deux voies de succès doivent être identifiées dans la mesure du possible.
Pour les événements extrêmes, il doit y avoir au moins un moyen d'arrêter le réacteur et d'en refroidir le cœur. La dégradation de la barrière de confinement peut permettre le rejet de matières radioactives; toutefois, la dégradation doit être limitée. En pareils cas, l'intervention doit inclure la prise de mesures d'urgence sur le site et à l'extérieur du site.
Orientation
Les critères d'acceptation pour le comportement local et global devraient être respectés simultanément.
Les critères d'acceptation structuraux pour le comportement local devraient inclure les éléments suivants :
- MR – pas d'écaillage de la face arrière des éléments structuraux, possiblement avec un effritement superficiel et limité du béton, facilement réparable
- MHD graves – pas d'écaillage de la face arrière des éléments structuraux, ou un effritement limité possible (couverture de béton) lorsqu'il est confiné au revêtement en acier, qui devrait rester étanche
- MHD extrêmes – pas de perforation, conformément à la formule applicable avec un facteur d'augmentation correspondant de 1,2 appliqué à l'épaisseur calculée
De l'orientation supplémentaire sur l'analyse structurale des enceintes de confinement est présentée à l'annexe A.
D'autres renseignements concernant la conception et la construction des enceintes de confinement et des autres structures liées à la sûreté figurent respectivement dans la collection de normes CSA N287 et dans la norme CSA N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- ACI, 349, Code Requirements for Nuclear Safety-Related Concrete Structures & Commentary, Farmington Hills, Michigan, 2007.
- ASCE, Ed. 2, Design of Blast-Resistant Buildings in Petrochemical Facilities, Reston, Virginia, 2010.
- ASCE, 58, Manual and Reports on Engineering Practice, Structural Analysis and Design of Nuclear Plant Facilities, Reston, Virginia, 1980.
- Centre de la sécurité des télécommunications, TRA-1, Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), Ottawa, Canada, 2007.
- CCSN, RD-321, Critères portant sur les systèmes et les dispositifs de protection physique sur les sites à sécurité élevée, Ottawa, Canada, 2010.
- CCSN, RD-363, Aptitudes psychologiques, médicales et physiques des agents de sécurité nucléaire, Ottawa, Canada, 2008.
- CCSN, G-274, Les programmes de sécurité pour les matières nucléaires de catégorie I ou II, ou pour certaines installations nucléaires, Ottawa, Canada, 2003.
- CCSN, RD-346, Évaluation de l'emplacement des nouvelles centrales nucléaires, Ottawa, Canada, 2008.
- CCSN, G-208, Les plans de sécurité pour le transport des matières nucléaires de catégorie I, II ou III, Ottawa, Canada, 2003.
- Groupe CSA, N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU, Toronto, Canada.
- AIEA, TECDOC-967 (Rev.1), Orientations et considérations concernant l'application du document INFCIRC/225/Rev.5, La protection physique des matières et installations nucléaires, Vienne, 2002.
- AIEA, TECDOC-1276, Handbook on the physical protection of nuclear materials and facilities, Vienne, 2002.
- AIEA, INFCIRC-225, Rev.5, Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, Vienne, 2011.
- NEI, 07-13, Methodology for Performing Aircraft Impact Assessments for New Plant Designs, Washington, D.C., 2011.
- Unified Facilities Criteria, 3-340-02, Structures to Resist the Effects of Accidental Explosions, Washington, D.C., 2008.
- United Kingdom Atomic Energy Authority, Guidelines for the Design and Assessment of Concrete Structures Subjected to Impact, Oxfordshire, United Kingdom, 1990.
7.22.4 Cybersécurité
La conception de systèmes d'IC informatisés qui sont importants pour la sûreté doit comprendre une architecture de défense de la cybersécurité.
Les systèmes d'IC ainsi que les composants informatisés qui sont importants pour la sûreté doivent être protégés contre les cyberattaques afin d'en maintenir la confidentialité, l'intégrité et la disponibilité.
Un programme de cybersécurité doit être élaboré, mis en œuvre et tenu à jour afin d'atteindre le niveau de sécurité requis pour chaque phase du cycle de vie des systèmes d'IC informatisés.
Les caractéristiques de la cybersécurité ne doivent pas compromettre les fonctions ni le rendement des SSC importants pour la sûreté.
Orientation
La sécurité des systèmes d'IC informatisés crée un environnement d'exploitation sécurisé doté d'éléments défensifs et protège contre les cyberattaques. Il faudrait utiliser les codes et les normes applicables et consulter les pratiques exemplaires de l'industrie.
La conception d'un programme de cybersécurité devrait prendre en considération :
- la documentation sur la façon dont l'autorité responsable de la conception établit, met en œuvre et tient à jour le programme pour fournir un niveau d'assurance élevé quant à la protection des systèmes faisant l'objet de mesures de sécurité
- l'application de stratégies de défense en profondeur pour fournir un niveau d'assurance élevé quant à la pertinence des capacités du programme de cybersécurité
- la prise en compte des vulnérabilités potentielles sur le plan de la sécurité à chaque phase du cycle de vie des systèmes d'IC informatisés pour les systèmes informatiques importants pour la sûreté
- l'inclusion de contrôles de sécurité permettant de créer un environnement de développement sécurisé durant les phases de développement
Un programme propre au site devrait comprendre les éléments suivants :
- une stratégie défensive
- l'identification des biens; contrôles de sécurité
- les rôles et les responsabilités
- les politiques et les procédures
- la sensibilisation et la formation
- la gestion de la configuration
- la protection de l'information
- la coordination avec d'autres programmes de sécurité
- le signalement des incidents et un plan de rétablissement
- la maintenance des programmes
L'architecture de défense devrait avoir des niveaux de cybersécurité séparés par des périmètres de sécurité. Les systèmes devant être les plus sécurités devraient être situés dans les périmètres les plus sécurisés.
L'autorité responsable de la conception devrait identifier les caractéristiques de conception qui assurent un environnement sécuritaire pour l'exploitation des systèmes importants pour la sûreté.
Les exigences liées à la conception de la sécurité des systèmes d'IC informatisés devraient s'appuyer sur les données des analyses des vulnérabilités. Les vulnérabilités prises en compte par la conception devraient comprendre les éléments suivants :
- les lacunes dans la conception, qui pourraient accorder un accès aux systèmes (matériel informatique et logiciels) par inadvertance, de manière non intentionnelle ou sans autorisation, ou d'y apporter des modifications pouvant dégrader la fiabilité, l'intégrité ou la fonctionnalité des systèmes durant l'exploitation
- la non-exécution des fonctions de sûreté par les systèmes en cas de comportement indésirable des systèmes connectés
En ce qui concerne la protection des systèmes d'IC ainsi que des composants informatisés importants pour les fonctions de sûreté, il faudrait tenir compte des aspects suivants :
- il faudrait protéger les systèmes d'IC ainsi que les composants informatisés qui sont importants pour la sûreté, de même que les systèmes de soutien et les composants qui, s'ils sont compromis, pourraient avoir une incidence négative sur les fonctions de sûreté
- les cyberattaques devraient inclure des menaces physiques ou des menaces logiques (malveillantes ou sans mauvaise intention) provenant de sources situées à l'intérieur ou à l'extérieur du périmètre du système
- les systèmes et composants informatisés devraient comprendre le matériel informatique, les logiciels, les micrologiciels et les interfaces
- les systèmes ou composants informatisés autonomes ou non autonomes visés par des mesures de cybersécurité, devraient être protégés
- les systèmes et composants informatisés liés au système de préparation aux situations d'urgence, à la sécurité et aux garanties devraient être protégés, si leur conception le permet
Les systèmes d'IC informatisés qui sont importants pour la sûreté devraient être protégés des attaques physiques et des accès physiques ou logiques non autorisés, et devraient répondre aux attentes suivantes :
- tous les systèmes, composants et câblages de réseau importants pour la sûreté devraient être installés à un endroit de la centrale assurant une protection physique de l'équipement
- il faudrait utiliser des méthodes efficaces, notamment des combinaisons appropriées de contrôles par programmation et de mesures de sécurité physiques (p. ex. des enceintes et des pièces fermées à clé, des alarmes sur les portes des enceintes)
- il faudrait limiter l'accès inutile ou non autorisé aux réglages des valeurs seuil et des valeurs d'étalonnage
- les raccords nécessaires pour une utilisation temporaire devraient être désactivés lorsqu'ils ne sont pas utilisés (p. ex. raccordement d'ordinateurs d'entretien et de développement)
- les raccords de transfert des données non utilisés devraient être désactivés
- tous les raccords de transfert des données des systèmes et des composants devraient être placés dans des enceintes
- il faudrait limiter tout accès à distance au système de sûreté à partir d'un ordinateur situé dans une zone présentant une sécurité physique moindre que le système de sûreté
- l'accès aux systèmes de sûreté devrait être noté dans un journal, et les journaux de sécurité devraient être vérifiés périodiquement
- la communication sans fil ne devrait pas être appliquée aux systèmes de sûreté
- les systèmes de sûreté devraient être conçus de manière à ne pas nécessiter de logiciels antivirus
- la communication dédiée des données de la centrale entre la centrale et les installations de soutien d'urgence (situées sur le site ou hors site) devrait se faire au moyen de protocoles sécurisés
Les fonctions de sécurité et les fonctions de soutien de la sécurité des systèmes d'IC ne devraient pas avoir d'incidence négative sur les fonctions des systèmes et des composants importants pour la sûreté. La conception devrait faire en sorte que ni l'exécution ni la défaillance des mesures de sécurité mises en œuvre n'auront d'incidence négative sur les capacités des systèmes importants pour la sûreté.
La mise en œuvre de fonctions ou de contrôles de sécurité particuliers, ou encore d'un ensemble complet de contrôles appliqués aux systèmes de sûreté devrait tenir compte des éléments suivants :
- la mise en œuvre ne devrait pas avoir de répercussions négatives sur le rendement, y compris le temps de réponse, l'efficacité ou l'exécution des fonctions de sûreté
- dans la mesure du possible, il faudrait éviter de procéder à la mise en œuvre directement dans le système de sûreté
- en cas d'application aux affichages et aux contrôles du système de sûreté, le contrôle de sécurité ne devrait pas avoir d'incidence négative sur la capacité de l'opérateur à maintenir la sûreté de la centrale
- en cas de mise en œuvre dans un système de sûreté, des mesures adéquates devraient être prises pour que les contrôles de sécurité n'aient pas d'incidence négative sur la capacité du système à remplir ses fonctions de sûreté
- les contrôles de sécurité d'un système de sûreté devraient être développés pour avoir le même niveau de qualification que le système qui abrite le contrôle
Il faudrait prendre des dispositions en matière de vérifications périodiques et de vérifications à la suite d'un entretien, afin de confirmer la bonne configuration et le bon fonctionnement des caractéristiques de sécurité.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- AIEA, collection Sécurité nucléaire no 17, La sécurité informatique dans les installations nucléaire, Vienne, 2011.
- IEEE, 7-4.3.2, IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations, Piscataway, New Jersey, 2010.
- CEI, 61513, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Exigences générales pour les systèmes, Genève, 2011.
- NEI, 08-09, rev.6, Cyber Security Plan for Nuclear Power Reactors, Washington, D.C., 2010.
- NEI, 10-04, rev.2, Identifying Systems and Assets Subject to the Cyber Security Rules, Washington, D.C., 2012.
- U.S. NRC, Regulatory Guide 5.71, Cyber Security Programs for Nuclear Facilities, Washington, D.C., 2010.
7.23 Garanties
Les centrales nucléaires sont assujetties aux obligations découlant des accords internationaux du Canada et des exigences relatives aux garanties et à la non-prolifération.
La conception et le processus de conception doivent être conformes aux obligations découlant de l'accord de garanties entre le Canada et l'AIEA. Ces caractéristiques permettent l'installation permanente d'équipement lié aux garanties, et il faut prévoir la prestation des services nécessaires au fonctionnement continu de cet équipement.
Orientation
Dans le cadre du présent document, le terme « garanties » désigne un système d'inspections et d'autres activités de vérification entreprises par l'AIEA afin d'évaluer la conformité d'un pays à ses obligations, conformément à l'accord de garanties conclu avec l'AIEA dans le cadre du Traité sur la non-prolifération des armes nucléaires. Cet accord vise à permettre à l'AIEA de fournir, sur une base annuelle, l'assurance au Canada et à la communauté internationale que toutes les matières nucléaires déclarées servent à des fins pacifiques et non explosives et qu'il n'y aucun signe d'activités ou de matières nucléaires non déclarées.
La CCSN est l'autorité gouvernementale chargée de la mise en œuvre de l'accord de garanties entre le Canada et l'AIEA.
Tenir compte des considérations relatives aux garanties dès le début de la phase de conception d'une nouvelle centrale nucléaire constitue une pratique bien établie dans le secteur nucléaire canadien. Cette approche permet d'éviter la mise à niveau de l'équipement de garanties lorsque la conception est achevée, laquelle pourrait autrement entraîner une augmentation importante des coûts liés à la modification de la conception, à la prolongation des délais et aux demandes supplémentaires en ressources humaines. S'il y a des exigences relatives à l'installation d'équipement de garanties de l'AIEA pour surveiller les flux et les stocks de matières nucléaires, il faudrait identifier de façon précise les exigences liées à l'aménagement de la centrale dès le début du processus afin qu'un « espace de conception » approprié soit alloué à l'équipement de garanties essentiel.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, RD-336, Comptabilisation et déclaration des matières nucléaires, Ottawa, Canada, 2010.
- CCSN, GD-336, Document d'orientation pour la comptabilisation et la déclaration des matières nucléaires, Ottawa, Canada, 2010.
7.24 Déclassement
La conception doit tenir compte des activités futures de déclassement et de démantèlement de la centrale de sorte que :
- les matériaux soient choisis pour la construction et la fabrication des composants et des structures de la centrale de manière à minimiser les quantités de déchets radioactifs et de faciliter la décontamination
- l'aménagement de la centrale facilite l'accès lors des activités de déclassement et de démantèlement, y compris dans les centrales à tranches multiples et pendant les périodes où certaines tranches sont en exploitation et d'autres sont en phase de déclassement
- les exigences futures potentielles liées au stockage de déchets radioactifs soient examinées, en raison de la construction de nouvelles installations ou de l'agrandissement d'installations existantes
Orientation
Les activités futures de déclassement et de démantèlement de la centrale prises en compte lors de la phase de conception devraient inclure des considérations sur l'expérience acquise lors du déclassement de centrales existantes, ainsi que de centrales en état de stockage sûr à long terme. L'expérience suggère que le déclassement de centrales nucléaires pourrait être facilité si elle était examinée en plus de détail à l'étape de la conception. La prise en considération du déclassement à l'étape de la conception devrait entraîner une diminution des doses reçues par les travailleurs et une réduction des répercussions environnementales.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, G-219, Les plans de déclassement des activités autorisées, Ottawa, Canada, 2000.
- Groupe CSA, N294, Déclassement des installations contenant des substances nucléaires, Toronto, Canada.
- AIEA, TECDOC-1657, Design Lessons Drawn from the Decommissioning of Nuclear Facilities, Vienne, 2011.
- AIEA, collection Normes de sûreté no WS-G-2.1, Déclassement des centrales nucléaires et des réacteurs de recherche – Guide de sûreté, Vienne [1999]
- Agence pour l'énergie nucléaire (AEN), NEA no 6946, Intégration du retour d'expérience du démantèlement à la conception et l'exploitation des futures centrales nucléaires, Organisation de Coopération et de Développement Économiques (OCDE), Paris, 2010.
- AEN, no 6833, Decommissioning Considerations for New Nuclear Power Plants, OCDE, Paris, 2010.
8. Exigences relatives aux systèmes
8.1 Cœur du réacteur
Les paramètres du cœur du réacteur et leurs limites doivent être précisés. Toutes les configurations prévisibles du cœur du réacteur en mode d'exploitation normale doivent être prises en considération dans la conception.
Le cœur du réacteur, y compris les éléments de combustible, les mécanismes de contrôle de la réactivité, les réflecteurs, les canaux de combustible et les composants structurels, doit être conçu de manière à ce que celui-ci puisse être arrêté, refroidi et maintenu dans un état sous-critique avec une marge adéquate pour les divers états de fonctionnement, les AD et les CAD.
Il faut évaluer la limite supérieure anticipée des déformations possibles et d'autres changements causés par l'irradiation. Cette évaluation doit se baser sur des données tirées d'expériences menées sur l'irradiation ou l'expérience acquise dans ce domaine. La conception doit fournir une protection contre ces déformations et toutes autres modifications des structures du réacteur qui peuvent nuire au fonctionnement du cœur ou des systèmes connexes.
Le cœur du réacteur, ses structures connexes et ses systèmes de refroidissement doivent :
- supporter les charges statiques et dynamiques, incluant l'expansion et la contraction thermique
- supporter la vibration (telle que la vibration acoustique et la vibration causée par l'écoulement)
- assurer la comptabilité chimique, y compris avec les contaminants liés aux services
- respecter les limites thermiques de matériaux
- respecter les limites quant aux dommages causés par le rayonnement
La conception du cœur du réacteur doit prévoir des dispositions concernant l'état d'arrêt garanti, comme le décrit la sous-section 7.11.
La conception du cœur doit être telle que :
- la réaction en chaîne de fission est contrôlée dans les divers états de fonctionnement
- le degré maximal de réactivité positive et son taux maximal d'augmentation par apport dans les divers états de fonctionnement et en mode d'AD soient limités par une combinaison des caractéristiques neutroniques inhérentes au cœur, des caractéristiques thermohydrauliques de celui-ci ainsi que des capacités du système de contrôle et des mécanismes d'arrêt, pour qu'aucune défaillance de l'enveloppe de pression du réacteur ne survienne, pour que la capacité de refroidissement soit maintenue et pour que le cœur du réacteur ne subisse aucun dommage important
La marge d'arrêt de tous les états d'arrêt doit être telle que le cœur demeurera dans un état souscritique pour tout changement crédible de la configuration du cœur et ajout de la réactivité.
Si l'opérateur doit intervenir pour maintenir le réacteur dans un état d'arrêt, la faisabilité, la rapidité et l'efficacité d'une telle intervention doivent être démontrées.
Orientation sur la conception nucléaire
La conception du cœur du réacteur devrait garantir que les limites de conception admises dans les divers états de fonctionnement, les AD et les CAD ne sont pas dépassées, en tenant compte des tolérances techniques et des incertitudes liées aux calculs.
La conception nucléaire prend en compte les flux et la distribution d'énergie à l'intérieur du cœur du réacteur, la conception et l'utilisation des systèmes de contrôle de la réactivité lors de l'exploitation normale et lors de la mise à l'arrêt du réacteur, la stabilité du cœur, les différentes caractéristiques de contre-réaction de réactivité et la physique du combustible.
La conception du cœur du réacteur et des systèmes de combustible et de refroidissement connexes devrait tenir compte de tous les moyens pratiques de sorte que, pour l'ensemble des régimes d'exploitation, l'effet net de la contre-réaction nucléaire instantanée compense l'augmentation rapide de la réactivité et de la puissance. Les conséquences des accidents pouvant être aggravés par une contre-réaction de réactivité positive devraient être acceptables ou être atténuées de manière satisfaisante par d'autres caractéristiques de conception.
La conception devrait tenir compte des mesures employées dans des réacteurs précédents et dans des expériences sur la criticité, ainsi que de leur utilisation dans les analyses des incertitudes. La conception devrait définir les mesures, y compris les essais de confirmation réalisés lors du démarrage et les mesures régulièrement requises.
La conception devrait prévoir des systèmes d'IC pour :
- maintenir les variables et les systèmes dans les plages d'exploitation prescrites
- surveiller les variables et les systèmes pouvant influer sur le procédé de fission pour les gammes d'état de fonctionnement, les AD et les CAD prévus
L'efficacité de ces systèmes d'IC devrait être démontrée.
Défense en profondeur
La conception nucléaire devrait tenir compte des caractéristiques de sûreté inhérentes pour réduire la dépendance aux dispositifs techniques de sûreté ou aux procédures d'exploitation. La défense en profondeur et les principes connexes devraient être appliqués à la conception de la fonction de sûreté du système de contrôle de la réactivité, de manière à contrôler la réaction de fission en chaîne dans les divers états de fonctionnement et d'y mettre fin, au besoin, en cas d'AD et de CAD.
La conception nucléaire devrait prévoir des moyens efficaces pour garantir le succès des fonctions de sûreté suivantes :
- prévenir les perturbations de réactivité inacceptables
- arrêter au besoin le réacteur pour éviter la progression des IFP en AD, ou des AD en CAD
- maintenir et surveiller le réacteur en état d'arrêt sûr
Densités et distributions de la puissance du cœur
Les limites de conception des densités et des distributions de puissance devraient être déterminées par un examen intégré des limites de conception du combustible, des limites thermiques, des limites de la chaleur de désintégration et des analyses des IFP et des accidents. En ce qui concerne la distribution de puissance, la conception du cœur du réacteur devrait démontrer les éléments suivants :
-
Un haut niveau de confiance quant à la possibilité de respecter les limites de conception
proposées pour l'ensemble des conditions d'exploitation prévues du réacteur, compte
tenu :
- des méthodes d'analyse et des données destinées aux calculs de conception
- des analyses des incertitudes et des comparaisons expérimentales présentées pour les calculs de conception
- du caractère suffisant des durées calculées des cas de conception pour le cycle de rechargement du combustible ou lors du chargement du combustible en marche (en fonction de la conception du réacteur, de la configuration des dispositifs de réglage de la réactivité et des transitoires après chargement)
- des problèmes particuliers (comme les impulsions de puissance neutronique), des asymétries éventuelles et des dispositifs de contrôle de la réactivité mal alignés
-
Un haut niveau de confiance quant au fait que, en mode d'exploitation normale, les limites de conception ne
seront pas dépassées, en se fondant sur les renseignements fournis par les instruments de
surveillance des distributions de puissance. Le traitement de ces renseignements devrait comprendre :
- les calculs (corrélations entre les instruments et les calculs) pour le traitement
- les procédures d'exploitation utilisées
- les exigences relatives aux mesures de vérification périodique
- l'exactitude des calculs de conception utilisés pour établir des corrélations lorsque les variables primaires ne sont pas mesurées
- les analyses des incertitudes pour l'information et le système de traitement
- les exigences relatives aux instruments, à l'étalonnage et aux calculs associés à leur utilisation, et les incertitudes liées à la conversion des indications des instruments en distribution de puissance
- les limites et les valeurs seuil pour les mesures de contrôle, les alarmes ou le déclenchement automatique des systèmes d'instruments, et la démonstration du fait que ces systèmes peuvent maintenir le réacteur à l'intérieur des limites nominales de distribution de puissance (y compris les alarmes des instruments) pour les limites des conditions d'exploitation normale (p. ex. limites de déviation, limites du banc de contrôle) et pour les situations anormales (p. ex. alarmes de basculement du flux)
- les mesures relevées dans des réacteurs précédents et des expériences sur la criticité, y compris leur utilisation dans les analyses des incertitudes
- les mesures nécessaires pour les essais de confirmation réalisés lors du démarrage, et les mesures périodiques requises
Les limites des distributions de puissance devraient être déterminées de manière à pouvoir maintenir les limites imposées aux densités de puissance et aux facteurs de surpuissance durant l'exploitation. Ces limites des distributions de puissance pourraient être maintenues (c.-à-d. non dépassées) administrativement (c.-à-d. non pas par mise à l'arrêt automatique) pour autant qu'il soit convenablement démontré que les instruments du réacteur et les alarmes tiennent l'opérateur au courant.
La conception devrait établir la corrélation entre les distributions de puissance nominales et les distributions de puissance en exploitation, y compris les corrélations entre les instruments et les calculs, les procédures d'exploitation utilisées et les mesures qui seront prises. Il faudrait établir les limites nécessaires imposées à ces opérations.
Il faudrait établir la répartition des distributions de puissance nominales entre les composants suivants :
- la puissance générée dans le combustible
- la puissance générée directement dans le caloporteur et le modérateur
- la puissance générée directement dans les internes du cœur
Il faudrait établir les distributions de référence des puissances nominales du cœur (distributions axiale, radiale et locale et facteurs de surpuissance) utilisées dans les analyses des IFP et des accidents. En outre, il faudrait établir les distributions de puissance dans les aiguilles de combustible.
Les limites de conception des densités de puissance (et donc des facteurs de surpuissance) en mode d'exploitation normale devraient faire en sorte que les limites de conception acceptables du combustible ne soient pas dépassées en cas d'IFP et que les autres limites ne soient pas dépassées en cas d'AD et de CAD. Les limites de conception, de même que les incertitudes, les limites d'exploitation, les exigences relatives aux instruments et les valeurs seuil devraient être intégrées aux LCE.
Coefficients de réactivité
La conception devrait établir et caractériser les valeurs de référence limitatives des coefficients de réactivité. Ces valeurs de référence devraient être conservatrices.
La gamme des états de la centrale à couvrir devrait comprendre l'ensemble de conditions d'exploitation (de l'état d'arrêt à froid à la pleine puissance) et les conditions extrêmes atteintes en cas d'IFP, d'AD et de CAD. Elle devrait inclure toute la gamme du cycle de chargement en combustible et la gamme appropriée de configurations des dispositifs de réglage de la réactivité.
Les calculs de conception des coefficients de réactivité devraient couvrir toute la gamme de variables et d'approximations de modélisation applicables aux analyses des IFP et des accidents, y compris les approximations liées à la modélisation et à la nodalisation du système de refroidissement du réacteur. Le cas échéant, il faut établir la différence entre les coefficients du modérateur à l'intérieur des assemblages et entre ceux-ci.
Le niveau de prudence devrait être fondé sur :
- l'utilisation d'un coefficient (c.-à-d. les analyses dans lesquelles il est important)
- le fait de savoir si des outils de pointe ont servi à calculer le coefficient
- l'incertitude liée à de tels calculs; les vérifications expérimentales du coefficient dans les réacteurs en exploitation
- toute vérification du coefficient requise par le programme de démarrage à la suite d'un changement important de configuration du cœur
Le calcul de conception devrait comprendre les éléments suivants :
- les valeurs nominales calculées pour les coefficients de réactivité, comme les coefficients du caloporteur et du modérateur (coefficients de température, de vide ou de densité), le coefficient Doppler et les coefficients de puissance
- les analyses de l'incertitude des valeurs nominales, y compris l'ampleur de l'incertitude et sa justification (en examinant la précision des méthodes utilisées dans les calculs), ainsi que la comparaison, dans la mesure du possible, avec les expériences réalisées dans les réacteurs
- une combinaison de valeurs nominales et d'incertitudes fournissant des valeurs suffisamment conservatrices à utiliser dans l'analyse de l'état stable du réacteur (principalement les exigences relatives au contrôle), les analyses de la stabilité et les analyses des IFP et des accidents
En ce qui concerne les comparaisons avec les expériences, il faut démontrer que les expériences sont pertinentes, et que les conditions expérimentales coïncident avec les conditions en mode d'exploitation normale et en cas d'accident prévu.
Les coefficients de réactivité de la conception sont importants pour déterminer comment se comporte le réacteur et les caractéristiques de sûreté. Ce document ne présente pas d'exigences particulières sur le signe ou l'ampleur des coefficients de la réactivité, y compris le coefficient de puissance de la réactivité. Il exige plutôt un certain nombre de dispositions sur la conception nucléaire pour veiller à ce que celle-ci soit acceptable pour le contrôle du réacteur, la stabilité et la sûreté de la centrale. Si la conception d'un réacteur possède un coefficient de puissance de la réactivité positif pour tout état de fonctionnement, l'autorité responsable de la conception devrait démontrer que l'exploitation avec un coefficient de puissance positif est acceptable, en montrant ce qui suit :
- une valeur limite du coefficient de puissance de la réactivité a été calculée pour tous les états de fonctionnement autorisés et qu'elle est utilisée dans les analyses du contrôle, de la stabilité et de la sûreté
- des mesures du coefficient de puissance de la réactivité sont relevées au démarrage et de façon périodique pour certaines conditions limitatives d'exploitation du cœur afin de démontrer que les valeurs mesurées sont délimitées par les valeurs calculées avec une marge appropriée
- le système de contrôle du réacteur est fiable et a la capacité de répondre automatiquement à un coefficient de puissance de la réactivité positif pour une vaste gamme d'IFP
La conception devrait prévoir que la probabilité de dépassement des critères spécifiés pour les IFP sans mise à l'arrêt est suffisamment faible en démontrant que les critères sont respectés ou qu'un moyen d'arrêt différent est installé, ce qui réduit considérablement la probabilité d'une incapacité de mise à l'arrêt.
Criticité
La conception nucléaire devrait garantir que la criticité du réacteur est contrôlée durant le rechargement en combustible. Pendant le rechargement en combustible pour compenser l'épuisement de la réactivité du cœur, la conception nucléaire devrait établir les valeurs relatives à l'excédent de réactivité du cœur, les puissances locales maximales, la quantité de combustible chargé par opération de rechargement en combustible et la fréquence des activités de rechargement. De plus, l'excédent maximal de réactivité du cœur et les pointes de puissance locales prévues ne doivent pas dépasser la capacité de contrôle du système et les limites thermiques du combustible.
Stabilité du cœur
Les fluctuations de puissance susceptibles d'entraîner des conditions dépassant certaines limites de conception acceptables du combustible devraient être détectées et supprimées de façon rapide et fiable.
L'évaluation de la stabilité du cœur du réacteur devrait comprendre :
- les phénomènes et les aspects du réacteur qui influencent la stabilité du cœur du réacteur nucléaire
- les calculs et les considérations accordées aux oscillations spatiales induites par le xénon
- les problèmes de stabilité potentiels, dus à d'autres phénomènes ou conditions
- la vérification des méthodes d'analyse pour la comparaison avec les données mesurées
Méthodes d'analyse
Les méthodes d'analyse et la base de données utilisées pour les analyses de la conception nucléaire et de la physique du réacteur devraient être conformes aux pratiques exemplaires les plus récentes. En outre, les expériences utilisées pour valider les méthodes d'analyse devraient être des représentations adéquates de la conception du combustible dans le réacteur et les gammes des principaux paramètres de la base de données de validation devraient coïncider avec celles prévues par la conception et l'analyse de la sûreté.
La conception devrait faire en sorte que les méthodes d'analyse utilisées dans la conception nucléaire (y compris celles destinées à prévoir la criticité, les coefficients de réactivité, la combustion nucléaire et la stabilité) ainsi que la base de données et les bibliothèques de données nucléaires utilisées pour les données relatives aux sections de capture des neutrons et les autres paramètres nucléaires (y compris les données concernant les neutrons retardés et les photoneutrons et les autres données utiles) sont pertinentes et conviennent aux applications, en se fondant sur une qualification adéquate. La qualification devrait s'appuyer sur des pratiques de validation et de vérification éprouvées, faisant appel à des codes et des normes acceptables.
Une méthode de validation ou de vérification peut être éprouvée en démontrant sa conformité à des normes de validation et de vérification acceptées ou à des pratiques établies, ou aux deux. Il est possible d'éprouver une ou des nouvelles méthodes en procédant à un certain nombre d'essais d'acceptation et de démonstration montrant que la ou les méthodes répondent aux critères préétablis.
Internes et cuve du cœur
La conception nucléaire devrait spécifier :
- le spectre du flux neutronique au-dessus d'un million d'électron-volts (MeV) dans le cœur, à la périphérie du cœur et à l'intérieur de la paroi de la cuve, le cas échéant
- les hypothèses utilisées dans les calculs, soit le niveau de puissance, le facteur d'utilisation, le type de cycle du combustible considéré et la durée de vie nominale de la cuve
- les programmes informatiques utilisés dans les analyses
- la base de données concernant les sections d'absorption des neutrons rapides
- la modélisation géométrique du cœur du réacteur, des internes et de la cuve (ou des cuves)
- les incertitudes dans les calculs
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N286.7.1, Guideline for the application of N286.7, Quality assurance of analytical, scientific, and design computer programs for nuclear power plants, Toronto, Canada.
- Groupe CSA, N286.7, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires, Toronto, Canada.
- Groupe CSA, N290.4, Exigences relatives aux systèmes de contrôle des réacteurs des centrales nucléaires, Toronto, Canada.
- Groupe CSA, CAN3-N290.1, Exigences relatives aux systèmes d'arrêt des centrales nucléaires CANDU, Toronto, Canada.
- AIEA, NS-G-2.5, Core Management and Fuel Handling for Nuclear Power Plants, Vienne, 2002.
- AIEA, NS-G-1.12, Design of the Reactor Core for Nuclear Power Plants, Vienne, 2005.
- NRC des États-Unis, Regulatory Guide 1.77, Assumptions Used for Evaluating a Control Rod Ejection Accident for Pressurized Water Reactors, Washington, D.C.,1974
- NRC des États-Unis, Regulatory Guide 1.203, Transient and Accident Analysis Methods, Washington, D.C., 2005.
Orientation sur la gestion du cœur et la manutention du combustible
La conception du réacteur permettre que la centrale puisse fonctionner dans les limites de fonctionnement prévues pour toute la durée de vie utile du réacteur (y compris les états intermédiaires du cœur du réacteur).
La conception devrait comporter des essais à effectuer périodiquement pour surveiller le bon état des composants du réacteur.
La conception devrait prévoir la capacité de surveiller en ligne les paramètres importants du cœur afin de s'assurer que le fonctionnement du réacteur ne sorte pas des limites acceptables en mode d'exploitation normale. Il faudrait décrire les types de détecteurs et autres dispositifs utilisés pour surveiller les paramètres du cœur.
La stratégie de contrôle du réacteur devrait être définie pour que le réacteur soit remis dans un état sûr acceptable si un paramètre du réacteur s'écarte de la plage de valeurs admises. La stratégie de contrôle devrait permettre de maintenir l'intégrité du combustible pour tous les IFP.
Le schéma de rechargement en combustible devrait être établi pour s'assurer que les configurations intermédiaires de rechargement en combustible ne présentent pas une réactivité supérieure à la configuration la plus réactive approuvée dans la conception. Pour les configurations intermédiaires, les paramètres du cœur devraient respecter les limites approuvées.
La conception devrait permettre d'obtenir des données durant l'exploitation du réacteur et de tenir des dossiers pour les extraire et les analyser ultérieurement.
La conception devrait tenir compte des détails de la stratégie de gestion du combustible, y compris le chargement dans un cœur neuf, ainsi que des critères permettant de déterminer l'emplacement des assemblages de combustible à décharger du réacteur et charger celui-ci de combustible neuf.
En ce qui concerne les conceptions de réacteurs où on remplace ou permute une grande partie du combustible durant l'avitaillement, la conception devrait prévoir des tests de diagnostic réalisés au démarrage pour vérifier si les paramètres du cœur ne dépassent pas les limites autorisées.
Orientation sur la conception mécanique des internes du réacteur
Les internes du réacteur, qualifiés de structures participant au support du cœur selon le code de l'ASME, Boiler and Pressure Vessel Code (BPVC), Section III, Division 1, Subsection NG-1121, Core Support Structures, devraient être conçus, fabriqués et examinés conformément aux dispositions de la section III, division 1, sous-section NG du code BPVC de l'ASME.
Les internes du réacteur, non qualifiés selon la section III, division 1, sous-section NG du code BPVC de l'ASME, devraient être appelés structures internes conformément à la section III, division 1, sous-section NG-1122 du code de l'ASME. Les critères de conception, les conditions de chargement et les analyses qui servent de fondement à la conception des internes du réacteur (sauf les structures de support du cœur) devraient satisfaire aux lignes directrices de la section III, division 1, sous-section NG-3000 du code de l'ASME, et être construits de façon à ne pas nuire à l'intégrité des structures de support du cœur. Si les critères de contrainte, de déformation et de fatigue sont basés sur d'autres lignes directrices (p. ex. les normes du fabricant ou des méthodes empiriques découlant de l'expérience acquise et testée sur le terrain), ces lignes directrices devraient être identifiées et leur utilisation justifiée dans la conception.
En ce qui concerne les structures, les composants et les supports non visés par le code de l'ASME, les marges de conception présentées pour la contrainte, la déformation et la fatigue admissibles devraient être égales ou supérieures aux marges utilisées pour d'autres centrales de conception similaire, ayant une expérience en exploitation fructueuse. Toute diminution des marges de conception devrait être justifiée.
Certains internes du réacteur désignés comme faisant partie d'une classe de sûreté élevée devraient être conçus, fabriqués et examinés conformément aux codes et normes applicables, tels que la section III de l'ASME pour les réacteurs à eau ordinaire (REO) et la norme CSA N285.0, Exigences générales relatives aux systèmes et aux composants sous pression des centrales nucléaires CANDU, pour les centrales nucléaires CANDU.
8.1.1 Éléments de combustible, assemblages et conception
La conception des assemblages de combustible doit comprendre tous les composants de l'assemblage, notamment la matrice de combustible, la gaine, les cales d'écartement, les plaques de soutien, les barres amovibles à l'intérieur de l'assemblage, etc. La conception des assemblages de combustible doit aussi identifier tous les systèmes d'interfaces.
Les assemblages de combustible et les composants connexes doivent être conçus pour résister à l'irradiation prévue et aux conditions environnementales dans le cœur du réacteur, et à tous les processus de détérioration qui peuvent survenir dans les divers états de fonctionnement. Le combustible doit demeurer apte à l'utilisation après un IFP. À l'étape de conception, on doit tenir compte du stockage à long terme des assemblages de combustible irradiés à la suite de leur retrait du réacteur.
Des limites nominales de combustible doivent être établies et comprennent, au minimum, les limites de puissance du combustible ou les limites de température, les limites de combustion nucléaire du combustible et les limites liées aux fuites de produits de fission dans le système de refroidissement du réacteur. Les limites de conception doivent témoigner de l'importance de préserver la matrice de combustible et la gaine, car il s'agit respectivement de la première et de la seconde barrières contre le rejet de produits de fission.
La conception doit prendre en considération tous les mécanismes de dégradation connus, en tenant compte des incertitudes des données, des calculs et de la fabrication du combustible.
Les assemblages de combustible doivent être conçus pour permettre l'inspection appropriée de leurs structures et composants avant et après l'irradiation.
En mode d'AD, l'assemblage de combustible et ses composants doivent demeurer en position sans distorsion qui empêcherait le refroidissement efficace du cœur du réacteur à la suite d'un accident ou qui nuirait aux fonctions des appareils ou mécanismes de contrôle de la réactivité. La conception doit préciser les critères d'acceptation nécessaires pour satisfaire à ces exigences en mode d'AD.
Les exigences de conception du réacteur et des assemblages de combustible doivent s'appliquer si des modifications sont apportées à la stratégie de gestion du combustible ou aux conditions d'exploitation au cours de la durée de vie utile de la centrale.
La conception du combustible et les limites de conception doivent être le reflet d'une base de connaissances vérifiée et vérifiables. Le combustible doit être approuvé pour l'exploitation, soit par l'expérience avec le même type de combustible utilisé dans d'autres réacteurs, soit par l'intermédiaire d'un programme d'analyse et d'essais expérimentaux, pour s'assurer que les exigences des assemblages de combustible sont respectées.
Orientation
La conception et la qualification du combustible devraient garantir le respect des exigences relatives à la conception du cœur du réacteur indiquées à la section 8.1.
Il faudrait établir des critères d'acceptation pour les dommages causés au combustible, la défaillance des barres de combustible et les possibilités de refroidissement. Ces critères devraient provenir d'expérimentations qui identifient les limites des propriétés des matériaux du combustible et des assemblages de combustible, et d'analyses connexes. Les critères de conception du combustible et d'autres considérations relatives à la conception sont présentés ci-dessous.
Dommages causés au combustible
Les critères relatifs aux dommages causés au combustible devraient être inclus pour tous les modes de fonctionnement (exploitation normale et IFP). Les critères relatifs aux dommages devraient faire en sorte que les dimensions du combustible respectent les limites de tolérance opérationnelle et que les capacités fonctionnelles ne soient pas réduites en deçà de celles présumées dans l'analyse de la sûreté. Le cas échéant, les critères relatifs aux dommages causés au combustible devraient tenir compte des effets d'une combustion nucléaire importante en se fondant sur les données relatives aux propriétés des matériaux irradiés. Les critères devraient comprendre les contraintes, les déformations ou les limites de chargement, le nombre cumulatif de cycles de contrainte, l'usure par frottement, l'oxydation, l'hydruration (la deutération dans les réacteurs CANDU), l'accumulation de produits de corrosion, les variations dimensionnelles, les pressions des gaz à l'intérieur des barres, les charges hydrauliques les plus défavorables, et les possibilités d'insertion des barres de commande de la réactivité des REO.
Défaillance des barres de combustible
La défaillance des barres de combustible s'applique aux divers états de fonctionnement, aux AD et aux CAD. Les critères à cet égard devraient être fournis pour tous les mécanismes de défaillance des barres de combustible connus. Le combustible ne doit pas subir de défaillance en raison d'une cause particulière dans les états de fonctionnement. Des défaillances des barres de combustible pourraient survenir en cas d'AD et de CAD et sont prises en compte dans l'analyse de la sûreté.
Il faudrait indiquer les méthodes utilisées pour évaluer les mécanismes de défaillance du combustible, les limitations relatives au chargement du combustible et aux manœuvres de puissance, ainsi que le service du combustible ayant conduit à une probabilité de défaillance suffisamment faible. Le cas échéant, les critères relatifs aux défaillances des barres de combustible devraient tenir compte des effets d'une combustion nucléaire importante en se fondant sur les données concernant les propriétés des matériaux irradiés. Les critères devraient comprendre :
- l'hydruration
- l'effondrement des gaines
- la surchauffe des gaines
- la surchauffe des pastilles de combustible
- l'enthalpie excessive du combustible
- l'interaction entre les gaines et les pastilles
- la fissuration par corrosion sous tension
- l'éclatement des gaines
- la rupture mécanique
Possibilités de refroidissement du combustible
Les possibilités de refroidissement du combustible s'appliquent aux AD et, dans la mesure du possible, aux CAD. Les critères relatifs aux possibilités de refroidissement du combustible devraient être prévus pour tous les mécanismes de dégradation en cas d'AD et de CAD. Le combustible devrait être conçu pour assurer que les dommages causés aux barres de combustible ne gêneront pas l'efficacité du système de refroidissement d'urgence du cœur. Les gaines ne devraient pas atteindre des températures suffisamment élevées pour permettre l'apparition d'une réaction importante entre le métal et l'eau, réduisant ainsi la possibilité de rejet de produits de fission hors du site. Les critères devraient inclure la fragilisation des gaines, le gonflement des barres de combustible, la déformation des structures et, dans les réacteurs CANDU, la pénétration de brasure au béryllium.
Autres considérations
La conception devrait également comprendre :
- toutes les activités de manutention du combustible prévues
- les effets de la manutention des assemblages de combustible après irradiation
- le courant de refroidissement des autres composants des assemblages de combustible des REO (tels que les barres de commande, les barres de poison, les instruments ou les sources de neutrons)
Programmes d'essais, d'inspection et de surveillance
Des programmes pour l'essai et l'inspection du nouveau combustible de même que pour la surveillance du combustible et du combustible irradié après l'irradiation doivent être élaborés.
Spécifications relatives au combustible
La conception devrait établir les spécifications relatives aux barres et aux assemblages de combustible (y compris les barres de commande des REO) afin de réduire au maximum les écarts de conception et de déterminer si tous les fondements de conception (tels que les limites et les tolérances) sont respectés.
Conception thermohydraulique du cœur du réacteur
Pour empêcher la surchauffe de la gaine, la conception thermohydraulique devrait comporter des marges suffisantes pour permettre un transfert de chaleur adéquat entre le combustible et le système de refroidissement du réacteur. Les exigences de conception peuvent être démontrées en respectant un ensemble de critères d'acceptation dérivés, comme l'exige le document REGDOC-2.4.1, Analyse déterministe de la sûreté.
Le flux thermique critique (FTC) est défini comme le flux thermique se produisant au commencement de l'ébullition nucléée (CEN), habituellement utilisée dans les réacteurs à eau sous pression, ou lors de l'assèchement, habituellement pour les conceptions de réacteurs CANDU.
Il convient de noter que, bien qu'un critère de marge thermique ne suffise pas à démontrer qu'il est possible d'éviter la surchauffe d'un mécanisme de refroidissement défectueux, d'autres méthodes mécaniques peuvent être acceptables dans la mesure où le FTC n'est pas considéré comme un mécanisme de rupture. Dans certaines conceptions, les conditions de FTC durant les transitoires peuvent être tolérées si l'on peut démontrer par d'autres méthodes que la température de la gaine ne dépasse pas des limites acceptables bien définies. Toutefois, d'autres critères que le critère de FTC devraient tenir compte de la température de la gaine, de la pression, de la durée, de l'oxydation, de la fragilisation, etc. Ces nouveaux critères devraient être étoffés par des preuves expérimentales et des données analytiques suffisantes. En l'absence de telles preuves, la conception thermohydraulique du cœur devrait démontrer une marge thermique par rapport au FTC.
La démonstration de la marge thermique devrait être présentée de manière à tenir compte de l'ensemble des états et conditions de fonctionnement possibles du réacteur, tels que déterminés par les schémas d'exploitation, y compris tous les IFP. La démonstration devrait également inclure les effets à long terme du vieillissement de la centrale et des autres changements prévus dans la configuration du cœur tout au long de la durée de vie utile de la centrale.
La démonstration de la marge thermique devrait soigneusement tenir compte des incertitudes liées aux divers paramètres qui la concernent. La conception devrait identifier toutes les sources d'incertitude importantes qui contribuent à son incertitude. L'incertitude liée à chaque source devrait être quantifiée avec des preuves convaincantes.
En plus de la démonstration de la marge thermique, la conception thermohydraulique du cœur devrait également tenir compte des fluctuations éventuelles de la puissance et du flux du cœur et des instabilités thermohydrauliques. La conception devrait rendre impossible les fluctuations de puissance et de flux susceptibles d'entraîner des conditions dépassant certaines limites de conception acceptables du combustible, ou permettre de les détecter et de les supprimer de façon rapide et fiable.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- ANSI/ANS, 57.5-1996, Light Water Reactor Fuel Assembly Mechanical Design and Evaluation, La Grange Park, Illinois, 1996.
- CCSN, G-144, Critères d'acceptation des paramètres de déclenchement aux fins de l'analyse de sûreté des centrales nucléaires CANDU, Ottawa, Canada, 2006.
- NRC des États-Unis, NUREG-0800, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Fuel System Design, Section 4.2, Washington, D.C., 2007.
8.1.2 Systèmes de commandes
La conception doit comporter des moyens de détection des niveaux et des distributions du flux neutronique. Cela doit s'appliquer au flux neutronique dans toutes les régions du cœur en mode d'exploitation normale (y compris après l'arrêt, durant et après le rechargement du combustible) et dans le cas d'IFP.
Le système de contrôle du cœur du réacteur doit détecter et intercepter les déviations par rapport aux états normaux de fonctionnement dans le but d'empêcher les IFP de se transformer en accidents.
Des moyens adéquats doivent être fournis pour maintenir les distributions d'énergie globales et spatiales à l'intérieur de marges prédéterminées.
Le système de contrôle doit limiter le taux d'insertion de la réactivité positive à un niveau permettant de contrôler les changements de réactivité et les manœuvres de puissance.
Le système de contrôle, jumelé aux caractéristiques inhérentes du réacteur et aux limites et conditions de fonctionnement sélectionnées, doit réduire au minimum le besoin d'arrêter le réacteur.
Le système de contrôle, jumelé aux caractéristiques inhérentes du réacteur, doit maintenir tous les paramètres critiques du réacteur à l'intérieur des limites spécifiées d'une vaste gamme d'IFP.
Lors de la conception des dispositifs de contrôle de la réactivité, on doit dûment tenir compte de l'usure et des effets de l'irradiation, comme la combustion nucléaire, les changements aux propriétés physiques et la production de gaz.
Orientation
Contrôle de la réactivité
Le contrôle de la réactivité devrait faire en sorte que :
- les limites de conception acceptables du combustible ne soient pas dépassées en raison d'une vaste gamme d'IFP
- la fonction de contrôle de la réactivité ne puisse présenter le moindre dysfonctionnement susceptible d'entraîner un dépassement des limites de conception acceptables du combustible
Les exigences de la conception nucléaire en matière de contrôle de la réactivité et les dispositions relatives au contrôle devraient :
- compenser les variations de réactivité à long terme du cœur. Ceci comprend les variations de la réactivité attribuables à l'épuisement des matières fissiles dans le combustible, l'épuisement du poison consommable dans certaines barres de combustible (le cas échéant), ainsi que l'accumulation de produits de fission et d'isotopes transuraniens
- compenser la variation de réactivité causée par le changement de température du réacteur de l'état chaud à puissance nulle à l'état d'arrêt à froid
- compenser les effets sur la réactivité causés par le changement du niveau de puissance du réacteur de la pleine puissance à la puissance nulle
- assurer la gestion de la réactivité au cours du cycle de chargement du combustible et les périodes intermédiaires du cycle du combustible
- compenser les effets sur la distribution et la stabilité de la puissance dus à la forte capacité d'absorption des neutrons du xénon-135
-
couvrir les incertitudes liées aux barres de commande, y compris :
- les tolérances de fabrication
- les erreurs de méthode
- les modes d'exploitation non prévus
- l'épuisement des absorbeurs des éléments de commande
- la mesure des incertitudes dans la démonstration de la marge d'arrêt
Configurations des dispositifs de réactivité et valeur de réactivité
En ce qui concerne les configurations des dispositifs de réactivité, y compris (le cas échéant) les profils des barres de commande ainsi que la valeur de réactivité, la conception nucléaire devrait établir les éléments suivants :
- les configurations des dispositifs de réactivité prévues tout au long du cycle de rechargement du combustible, des manœuvres de puissance et du suivi de charge, le cas échéant. Ceci comprend la manœuvre de barres simples, ou de groupes ou bancs de barres, l'ordre de retrait des barres et les limites d'insertion en fonction de la puissance et de la durée de vie du cœur
- la valeur prévue des dispositifs de réactivité et les taux d'insertion de la réactivité. Ils devraient être raisonnablement liés aux valeurs susceptibles de se présenter dans le réacteur. Remarque : Ces valeurs sont habituellement utilisées dans l'analyse de la sûreté, et les jugements relatifs à la pertinence des tolérances liées aux incertitudes sont réalisés lors de l'examen de l'analyse de la sûreté
- les écarts admissibles par rapport aux profils indiqués ci-dessus, tels que ceux correspondant à des barres décalées, des barres coincées, ou des positions de barres utilisées pour la mise en forme spatiale de la puissance
- la valeur maximale des barres individuelles ou des bancs de barres en fonction de la position pour la puissance et les conditions du cycle de vie, appropriée au retrait des barres, aux accidents entraînant l'éjection (ou la chute) de barres, et à d'autres défaillances imaginables des composants de contrôle de la réactivité entraînant des insertions de réactivité positive
- les taux maximaux d'augmentation de la réactivité liés aux retraits des dispositifs de réactivité et à toute autre modification imaginable de la configuration des dispositifs de réactivité, dus aux défaillances du système de contrôle de la réactivité. Ils devraient également comporter la confirmation expérimentale de la valeur des barres et d'autres facteurs justifiant les taux d'augmentation de la réactivité utilisés dans les analyses des accidents liés aux barres de commande, ainsi que les équipements, les procédures administratives et les alarmes qui peuvent être employés pour limiter la valeur potentielle de réactivité des barres
- la réactivité dégressive suite au déclenchement (ou à l'arrêt automatique) en fonction du temps après le déclenchement (ou l'arrêt automatique) et d'autres paramètres pertinents, y compris les méthodes de calcul de la réactivité dégressive
- l'équipement, les limites d'exploitation et les procédures administratives nécessaires pour limiter la valeur potentielle de réactivité des barres ou les taux d'insertion de la réactivité
8.2 Système de refroidissement du réacteur
La conception doit prévoir des marges suffisantes pour le système de refroidissement du réacteur (SRR), ses composants connexes et les systèmes auxiliaires afin de s'assurer que les limites de conception appropriées de l'enveloppe sous pression du système de refroidissement du réacteur ne soient pas dépassées dans les divers états de fonctionnement ou en mode d'AD.
La conception doit veiller à ce que le fonctionnement des limiteurs de pression n'entraîneront pas des rejets significatifs de matière radioactive par la centrale, et ce, même en cas d'AD. Le SRR doit être pourvu de dispositifs d'isolation qui servent à limiter toute perte de caloporteur radioactif à l'extérieur de l'enceinte de confinement.
Les matériaux utilisés dans la fabrication des composants doivent être choisis pour que la corrosion et l'activation soient réduites au minimum.
Les conditions d'exploitation de la centrale dans lesquelles les composants de l'enveloppe de pression pourraient présenter un comportement fragile doivent être évitées.
La conception doit tenir compte de toutes les conditions affectant les matériaux de l'enveloppe sous pression en mode de fonctionnement normal (y compris l'entretien et les essais), d'IFP, d'AD et de CAD, ainsi que des propriétés prévues en fin de vie utile touchées par les mécanismes de vieillissement, le taux de détérioration et l'état initial des composants.
La conception des composants mobiles se trouvant à l'intérieur de l'enveloppe sous pression du caloporteur du réacteur, tels que les rotors de pompes et les pièces de vanne, doit minimiser la probabilité de défaillance et de dommages indirects à d'autres composants du système de refroidissement du réacteur. Cela doit s'appliquer aux divers états de fonctionnement et aux AD, en tenant compte de la détérioration susceptible de survenir en cours d'exploitation.
La conception doit prévoir un système de détection et de surveillance des fuites du système de refroidissement du réacteur.
Orientation
La conception devrait prévoir des dispositions adéquates en ce qui concerne le SRR et les systèmes auxiliaires du réacteur. La conception devrait respecter les limites de conception relatives aux conditions les plus défavorables rencontrées en mode d'exploitation normale, en cas d'IFP et en cas d'AD, y compris les charges causées par le chocs thermiques pressurisés et les coups de bélier. Le SRR et les systèmes auxiliaires du réacteur devraient atteindre (ou contribuer à atteindre) les objectifs suivants :
- maintenir des réserves de caloporteur suffisantes pour refroidir le cœur durant et après tous les événements déclencheurs hypothétiques envisagés dans le dimensionnement
- évacuer la chaleur du cœur du réacteur à la suite d'une défaillance de l'enveloppe sous pression du SRR afin de limiter les dommages au combustible
- évacuer la chaleur du cœur du réacteur dans les états de fonctionnement appropriés, les AD et les CAD avec l'enveloppe sous pression du SRR intacte
- transférer la chaleur des autres systèmes de sûreté vers la source froide ultime
La conception de chaque système auxiliaire du réacteur devrait s'assurer que le mécanisme
automatique déclenché par le système ne puisse nuire à une fonction de
sûreté.
L'autorité responsable de la conception devrait démontrer la pertinence des éléments
suivants :
- le débit et les chutes de pression dans les principaux composants
- les principaux paramètres thermohydrauliques, tels que la pression d'exploitation et les plages de température
- le rendement des vannes (débit, chute de pression, durées d'ouverture et de fermeture, stabilité, coups de bélier)
- le rendement des pompes (charge, débit, écoulement diphasique, rendement des joints d'étanchéité)
- les vibrations des composants et des conduites
- le contrôle des accumulations de gaz (en particulier la prévention de l'accumulation de gaz combustibles)
- les vitesses d'échauffement et de refroidissement maximales admises
- la prise en considération des chocs thermiques pressurisés causés par le fonctionnement (y compris la manœuvre accidentelle) des systèmes auxiliaires
- la stabilité des flux, y compris la stabilité d'un circuit à l'autre et les fluctuations vide-enthalpie (réacteurs CANDU)
- la conception des robinets d'instrumentation
Le texte qui suit présente quelques exemples d'attentes relatives à la conception du SRR et des systèmes auxiliaires du réacteur :
Pressuriseur
Pour les pressuriseurs, l'autorité responsable de la conception devrait démontrer la pertinence des éléments suivants :
- le volume et la capacité d'absorption des variations de charge et d'absorption des transitoires du côté secondaire sans devoir dépressuriser l'enceinte de confinement, dans la mesure du possible
- la capacité à résister au choc thermique, en particulier dans les buses de pulvérisation et les raccords au circuit du SRR principal
- le contrôle des pressions à l'aide d'appareils de chauffage, de pulvérisateurs, de refroidisseurs ou de purges de vapeur
Dépressurisation du circuit primaire
L'autorité responsable de la conception devrait démontrer que les éléments suivants sont pertinents :
- le débit en écoulement monophasique et en écoulement diphasique
- l'examen de la corrosion des surfaces de la vanne
- les dispositions permettant que la dépressurisation n'entraîne pas un environnement trop hostile dans l'enceinte de confinement
- la stabilité de la vanne de décharge
Pompes du système de refroidissement du réacteur
Pour les conceptions comportant un circuit primaire à circulation forcée, l'autorité responsable de la conception devrait démontrer que les éléments suivants sont pertinents :
- les caractéristiques de rendement des pompes du circuit primaire, y compris les caractéristiques de la charge et du débit, la vitesse d'écoulement vers l'aval, le rendement des pompes monophasées et biphasées
- les paramètres de fonctionnement des pompes (p. ex. vitesse, débit, charge)
- la charge nette absolue à l'aspiration des pompes pour éviter la cavitation
- la conception et le rendement des joints d'étanchéité des pompes (y compris les limites de température des joints d'étanchéité, le cas échéant)
- les dispositions relatives à la surveillance des vibrations
Renseignements supplémentaires
D'autres renseignements se trouvent dans le document suivant :
- AIEA, NS-G-1.9, Design of the Reactor Coolant System and Associated Systems in Nuclear Power Plants Safety Guide, Vienne, 2004.
8.2.1 Inspection de l'enveloppe sous pression en cours d'exploitation
Les composants de l'enveloppe sous pression du caloporteur primaire doivent être conçus, fabriqués et installés de manière à ce qu'il soit possible d'effectuer des inspections et des tests appropriés de l'enveloppe, des structures de support et des composants tout au long de la durée de vie de la centrale.
La conception doit aussi faciliter la surveillance nécessaire à la détermination des conditions métallurgiques des matériaux pour lesquelles des changements métallurgiques sont prévus.
8.2.2 Réserves du système de refroidissement du réacteur
En tenant compte des variations volumétriques et des fuites, la conception doit tenir compte du contrôle des réserves et de la pression du caloporteur afin de ne pas dépasser les limites de conception spécifiées pour les divers états de fonctionnement. Cette exigence doit comprendre une capacité suffisante (débit et volumes de stockage) dans les systèmes utilisés pour cette fonction.
Les réserves du SRR et de ses systèmes connexes doivent être suffisantes pour permettre un refroidissement depuis un état chaud à pleine puissance jusqu'à un état froid à l'arrêt, sans le besoin d'un transfert à partir d'autres systèmes.
La conception doit prévoir, pour les divers états de fonctionnement et les AD, des moyens de surveiller les réserves du système de refroidissement du réacteur.
Dans la mesure du possible, des moyens d'estimer les réserves de fluide caloporteur dans le cœur en mode de CAD doivent être fournis.
Orientation
La conception devrait tenir compte de la présence d'une capacité adéquate, des variations volumétriques, des fuites, du débit et des volumes de stockage dans les systèmes qui remplissent cette fonction.
8.2.3 Nettoyage du système de refroidissement du réacteur
L'élimination appropriée des substances radioactives du caloporteur et les impuretés du fluide caloporteur, y compris les produits de corrosion rendus radioactifs et les produits de fission qui s'échappent du combustible, doivent être prévues dans la conception. La limite de sûreté relative à l'activité dans le fluide caloporteur doit être définie.
8.2.4 Évacuation de la chaleur résiduelle du cœur du réacteur
La conception doit fournir des moyens (c.-à-d., dispositif de relève) pour évacuer la chaleur résiduelle du réacteur dans toutes les conditions du SRR. Le dispositif de relève doit être indépendant de la configuration en mode d'utilisation.
Le moyen d'évacuation de la chaleur résiduelle doit répondre aux exigences de fiabilité s'il y a une défaillance unique et de la perte de l'alimentation électrique extérieure, tout en incorporant des mécanismes appropriés de redondance, de diversité et d'indépendance. Les capacités d'interconnexion et d'isolation doivent présenter un degré de fiabilité qui correspond aux exigences de conception du système.
L'évacuation de la chaleur doit se faire à un taux qui empêche les limites de conception spécifiées du combustible et de l'enveloppe sous pression du caloporteur d'être dépassées.
Si un système d'évacuation de la chaleur résiduelle est nécessaire lorsque le SRR est chaud et pressurisé, la conception doit prévoir qu'il pourra être enclenché selon les conditions d'exploitation normale du SRR.
8.3 Système d'alimentation en vapeur d'eau
8.3.1 Conduites de vapeur
Les conduites de vapeur, y compris les vannes de régulation de la turbine et, s'il y a lieu, les générateurs de vapeur, doivent être conçus avec une marge de sûreté suffisante pour que les limites de conception de l'enveloppe sous pression ne soient pas dépassées dans les divers états de fonctionnement et en mode d'AD. Cette disposition doit tenir compte du fonctionnement des systèmes de contrôle et de sûreté.
Les vannes d'isolation de la vapeur principale (VIVP) doivent être installées sur chacune des conduites de vapeur menant à la turbine et situées aussi près que possible de la structure de confinement.
Lorsque les VIVP sont conçues pour empêcher l'entrée de vapeur dans l'enceinte de confinement, elles doivent pouvoir se fermer dans les conditions pour lesquelles elles sont prévues.
Lorsque les VIVP servent de barrière de confinement, elles doivent répondre aux exigences de confinement qui s'appliquent aux conditions pour lesquelles elles sont prévues.
Il doit être possible d'effectuer des essais sur les VIVP et de les inspecter.
Les conduites de vapeur, y compris la première vanne d'isolation et, s'il y a lieu, les générateurs de vapeur, doivent être qualifiées peuvent résister à un séisme de référence.
8.3.2 Tuyauterie et cuves des systèmes de vapeur et d'eau d'alimentation
Dans la mesure du possible, toutes les conduites et les cuves doivent être généralement séparés des systèmes électriques et de contrôle.
Le système auxiliaire d'eau d'alimentation, de régulation de la pression des générateurs de vapeur et les autres systèmes auxiliaires doivent empêcher les IFP de se transformer en AD ou en CAD.
8.3.3 Turbo-alternateurs
La conception doit prévoir des systèmes de protection contre la survitesse pour les turbo-alternateurs afin d'empêcher que le disque de la turbine menant à la formation de missiles devienne défectueux.
La conception doit réduire le plus possible les risques de formation de missiles produits par un bris de la turbine percutant le confinement ou d'autres SSC importants pour la sûreté.
Orientation
La conception des turbo-alternateurs devrait répondre aux attentes suivantes :
- un système de commande et de protection contre la survitesse de la turbine devrait contrôler le fonctionnement de la turbine dans toutes les conditions d'exploitation normale ou anormale et devrait permettre que le déclenchement de la turbine à pleine charge n'entraîne pas une survitesse celle-ci au-delà des limites acceptables
- le système de protection contre la survitesse devrait répondre au critère de défaillance unique et devrait pouvoir être mis à l'essai lorsque la turbine fonctionne
- les vannes d'arrêt principales de vapeur et les vannes de commande de la turbine ainsi que les vannes d'arrêt de réchauffage et d'interception de la vapeur devraient empêcher la turbine de dépasser les vitesses prédéfinies et devraient protéger le système du réacteur contre les augmentations anormales
- le groupe turbo-alternateur devrait être en mesure de permettre des essais périodiques des composants importants pour la sûreté alors que le groupe fonctionne à charge nominale
- il faudrait établir un programme d'inspection et d'essais en cours d'exploitation pour les principales vannes de vapeur et de réchauffage
- la disposition des joints de raccordement entre l'échappement de la turbine basse pression et le condenseur principal devrait prévenir les effets nuisibles sur les équipements liés à la sûreté situés dans la salle de la turbine en cas de rupture (il est préférable de ne pas placer d'équipement lié à la sûreté dans la salle de la turbine)
- la conception devrait tenir compte des impacts potentiels de missiles qui pourraient être produits par un bris de la turbine percutant les SSC importants pour la sûreté; la sélection de l'orientation des axes du turbo-générateur devrait réduire au minimum ce risque
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans le document suivant :
- U.S. NRC, NUREG-0800, Chapter 10, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Steam and Power Conversion System, Washington, D.C., 2007.
8.4 Systèmes d'arrêt d'urgence
Le système d'arrêt d'urgence du réacteur doit permettre de réduire rapidement la puissance du réacteur à une faible valeur et la maintenir pendant le temps nécessaire, lorsque le système de contrôle de la puissance du réacteur et les caractéristiques inhérentes sont insuffisants ou incapables de maintenir la puissance du réacteur à l'intérieur des exigences prescrites des LCE.
Dans la conception, deux méthodes distinctes serviront à arrêter le réacteur.
Au moins un dispositif d'arrêt d'urgence du réacteur doit permettre, de façon indépendante, de faire passer rapidement le réacteur nucléaire dans un état sous-critique en mode d'exploitation normale, d'IFP et d'AD avec une marge appropriée, en supposant une défaillance unique. Pour ce moyen d'arrêt d'urgence, une recriticité transitoire peut être autorisée dans des circonstances exceptionnelles si les limites de combustible et de composants spécifiées ne sont pas dépassées.
Au moins un dispositif d'arrêt d'urgence du réacteur doit permettre, de façon indépendante, de faire passer le réacteur nucléaire dans un état sous-critique en mode d'exploitation, d'IFP et d'AD et de le maintenir dans cet état avec une marge appropriée et avec un degré de fiabilité élevé même en présence des conditions les plus réactives du cœur du réacteur.
On doit prévoir un dispositif garantissant qu'il sera possible d'arrêter le réacteur en cas de CAD. Cet état sous-critique pourra être maintenu même dans les conditions les plus limitatives du cœur, y compris en case de dégradation grave.
Si les dispositifs servant à contrôler la réactivité échouent durant un IFP ou un AD, il doit y avoir d'autres moyens rapides d'arrêter le réacteur si les caractéristiques inhérentes du cœur sont incapables de le maintenir à l'intérieur de limites prescrites.
Lorsque que l'on réamorce les dispositifs d'arrêt d'urgence, la quantité maximale de réactivité positive et son taux maximal d'augmentation de la réactivité doivent être à l'intérieur de la capacité du système de contrôle du réacteur.
Pour améliorer la fiabilité, l'énergie potentielle doit être utilisée pour déclencher le mécanisme d'arrêt d'urgence.
L'efficacité des dispositifs d'arrêt d'urgence (c.-à-d., vitesse d'intervention et marge d'arrêt) doit être telle que les limites prescrites ne sont pas dépassées, et que la possibilité d'un retour à l'état critique ou d'excursion de réactivité après un EDH est réduite au minimum.
Orientation
Pour que les deux méthodes d'arrêt du réacteur soient distinctes l'une de l'autre, elles ne doivent pas avoir les mêmes composants. Si les deux méthodes interviennent à l'intérieur du cœur et qu'une séparation complète est impossible, une séparation adéquate des composants situés à l'extérieur du cœur devrait être démontrée.
Diverses méthodes pour tous les aspects des systèmes d'arrêt d'urgence servent à la conception, telles que :
- l'insertion de barres de commande solides et l'injection d'une solution de matières absorbant les neutrons sont les différentes méthodes habituellement utilisées dans les réacteurs refroidis à l'eau
- différentes méthodes devraient être envisagées dans la conception des capteurs, des moyens logiques et des moyens de déclenchement du système d'arrêt
Tel qu'indiqué dans ce document, « il doit y avoir redondance des moyens rapides d'arrêt d'urgence du réacteur » à moins que l'analyse de la sûreté ne démontre que les critères d'acceptation peuvent être respectés pour tout IFP ou AD coïncidant avec la défaillance d'un seul dispositif d'arrêt d'urgence du cœur du réacteur. Dans ce cas, seul un moyen rapide d'arrêt d'urgence serait nécessaire.
En ce qui concerne les méthodes fondées sur l'injection d'une solution absorbant les neutrons, il faudrait tenir compte des problèmes liés aux réactions chimiques (comme le fait d'éviter les précipitations).
L'autorité responsable de la conception devrait spécifier les exigences relatives à l'inspection, aux essais et à l'entretien, y compris les essais de mise en service réalisés pour vérifier la vitesse et la capacité de mise à l'arrêt de chaque système d'arrêt.
En ce qui concerne les conceptions de REO, le flambage des barres de combustible peut entraîner des charges sur les tubes de guidage susceptibles de nuire aux systèmes d'arrêt. La conception du combustible devrait veiller à ce que ce phénomène ne se produise pas dans les états de fonctionnement et en cas d'AD.
Aux fins de l'analyse, les conditions les plus réactives du cœur du réacteur comprennent habituellement un cœur ayant un excédent de réactivité admissible maximal (p. ex., à la suite d'un rechargement de combustible par lots) et les conditions les plus réactives pour la température et la densité du caloporteur et du modérateur (p. ex., en conditions d'état d'arrêt à froid pour un réacteur présentant un coefficient de température de réactivité négatif).
En ce qui concerne les réacteurs CANDU, un APRP pourrait se produire dans le cœur, ce qui pose un problème particulier pour les systèmes de contrôle de la réactivité. En particulier, les charges hydrauliques d'un APRP dans le cœur peuvent endommager les guides des barres d'arrêt et éventuellement endommager les buses d'injection du poison. Si un APRP dans le cœur exige une intervention de mise à l'arrêt, la spécification de conception devrait identifier le nombre de dispositifs de réactivité susceptibles d'être endommagés par l'APRP dans le cœur. Ceci devrait correspondre aux hypothèses de l'analyse de sûreté. Il faudrait fournir les résultats de l'analyse de l'ampleur des dommages et des expériences justificatives.
L'autorité responsable de la conception devrait également fournir les critères de rendement relatifs à la vitesse et à la profondeur des moyens rapides d'arrêt d'urgence du réacteur. Un moyen d'arrêt d'urgence est considéré comme efficace lorsque les critères d'acceptation de l'analyse de la sûreté sont satisfaits. L'autorité responsable de la conception devrait fournir les critères de rendement pour une marge de sous-criticité appropriée du moyen d'arrêt d'urgence.
En ce qui concerne les REO, en particulier les réacteurs à eau sous pression (REP), un APRP grave peut entraîner des charges hydrauliques importantes sur les internes du cœur, comme les guides des barres de commande se trouvant dans le plénum supérieur. Une déformation du cloisonnement du cœur peut entraîner des mauvais alignements. Si l'insertion des barres de commande est validée dans l'analyse de sûreté pour les APRP graves (la plupart des REO ne valident pas le mouvement des barres), la conception devrait démontrer que l'insertion de ces barres ne sera pas entravée.
8.4.1 Paramètres de déclenchement des systèmes d'arrêt d'urgence
L'autorité responsable de la conception doit préciser les critères d'acceptation dérivés relatifs à l'efficacité des paramètres de déclenchement des systèmes d'arrêt d'urgence pour tous les IFP et les AD, et doit effectuer une analyse de sûreté pour démontrer l'efficacité des dispositifs d'arrêt d'urgence du réacteur.
Pour chaque dispositif d'arrêt d'urgence approuvé, la conception doit prévoir un paramètre de déclenchement direct des systèmes d'arrêt d'urgence amorcé en temps opportun pour tous les IFP et les AD satisfaisant aux critères d'acceptation dérivés. Lorsqu'un paramètre de déclenchement direct n'existe pas pour un dispositif prévu donné, il doit y avoir deux paramètres différents de déclenchement indiqués pour ce dispositif.
Pour tous les IFP et les AD, il doit y avoir au moins deux paramètres de déclenchement différents à moins que l'on puisse démontrer que l'incapacité de déclencher les systèmes d'arrêt d'urgence n'entraînera pas de conséquences inacceptables.
Il ne doit pas y avoir de lacune dans la couverture de déclenchement pour toutes les conditions d'exploitation (telle que la puissance et la température) à l'intérieur des LCE, en tenant compte de l'âge de la centrale. On doit y parvenir en fournissant des paramètres de déclenchement supplémentaires, le cas échéant. Un niveau d'efficacité différent peut être acceptable pour les autres paramètres de déclenchement.
La portée de la couverture de déclenchement que fournissent tous les paramètres disponibles doit être décrite pour toute la gamme des défaillances associées à chaque ensemble d'EDH.
Une évaluation de l'exactitude et des modes de défaillance potentiels des paramètres de déclenchement doit figurer dans la documentation sur la conception.
Orientation
L'efficacité des paramètres de déclenchement devrait être évaluée grâce aux analyses de la sûreté réalisées conformément aux indications du document REGDOC-2.4.1, Analyse déterministe de la sûreté. Des indications complémentaires sont fournies dans ce document, ou des documents de remplacement.
Il faudrait démontrer la couverture de déclenchement pour l'ensemble des états d'exploitation, pour tous les moyens d'arrêt d'urgence validés et pour tous les paramètres de déclenchement validés. Le nombre de moyens d'arrêt d'urgence prévus et que le nombre de paramètres de déclenchement prévus peuvent varier en fonction de l'événement, de la conception du réacteur et de la disponibilité d'un déclenchement direct.
Il incombe à l'autorité responsable de la conception de définir les critères d'acceptation dérivés qui conviennent à une conception particulière. Le document REGDOC-2.4.1, Analyse déterministe de la sûreté, fournissent des exigences à ce sujet.
Les critères d'acceptation dérivés devraient être définis séparément pour les IFP et les AD. Ces critères devraient être prévus pour fournir garantir qu'une fonction de sûreté fondamentale soit remplie et qu'une barrière contre le rejet de produits de fission ne subira pas de défaillance. Les critères d'acceptation dérivés devraient :
- être quantifiables et bien compris
- tenir compte du fait que l'analyse de la sûreté est stylisée, et que l'état de la centrale au moment de l'accident peut être très différent de l'état analysé
- englober les incertitudes dans l'analyse, les paramètres d'entrée de la centrale et de l'analyse, ainsi que la validation des programmes informatiques
Les déclenchements directs sont les meilleures méthodes de déclenchement des systèmes d'arrêt d'urgence en raison de leur robustesse et de leur faible dépendance par rapport aux modèles de calcul.
Des paramètres de déclenchement différents mesurent diverses variables physiques du réacteur, assurant par conséquent une protection supplémentaire contre les défaillances de mode commun. Lorsqu'il n'est pas réaliste de fournir tous les paramètres de déclenchement, il faudrait prévoir différents endroits de mesure, d'autres types d'instruments et ordinateurs de traitement. Le déclenchement manuel est considéré comme un paramètre de déclenchement acceptable si l'opérateur dispose d'assez de temps pour la mise à l'arrêt à la suite d'une indication claire de la nécessité d'effectuer l'intervention (conformément à la section 8.10.4).
Il appartient à l'autorité responsable de la conception d'identifier et de justifier les paramètres de déclenchement qui peuvent être considérés comme « directs ». Celle-ci devrait également démontrer que tout paramètre de déclenchement qui est une mesure de l'événement mais qui n'est pas une mesure d'un enjeu à l'égard des critères d'acceptation, ne peut pas être « masqué » ou « aveuglé » par le fonctionnement du système de contrôle ou par d'autres moyens.
Les déclenchements qui dépendent d'un nombre de variables mesurées, comme les déclenchements qui surviennent après un rapport de flux thermique critique (RFTC) faible dans les REO, seront uniquement considérés comme directs si toutes les variables sont directes.
L'orientation sur l'application des exigences liées au nombre et à la diversité des paramètres de déclenchement se trouve dans le document d'orientation de la CCSN REGDOC-2.4.1, Analyse déterministe de la sûreté.
Un déclenchement manuel du réacteur peut être considéré comme équivalent à un paramètre de déclenchement si les exigences relatives à la validation de l'intervention des opérateurs de la salle de commande principale sont respectées (voir la section 8.10.4) et si la fiabilité de la mise à l'arrêt manuelle répond aux exigences en matière de fiabilité d'un déclenchement automatique.
8.4.2 Fiabilité
Chaque dispositif d'arrêt d'urgence est utilisé et entretenu d'une façon qui assure le respect des exigences de fiabilité et d'efficacité.
Des essais périodiques des systèmes et de leurs composants doivent être prévus selon une fréquence correspondant aux exigences applicables.
Orientation
Les calculs de fiabilité devraient inclure la détection du besoin d'arrêter le réacteur, le déclenchement de la mise à l'arrêt et l'insertion de réactivité négative. Tous les éléments nécessaires pour accomplir la fonction de mise à l'arrêt devraient être inclus.
La fiabilité de la fonction de mise à l'arrêt devrait être telle que la fréquence cumulative de l'échec des demandes de mise à l'arrêt est inférieure à 10-5 et que la contribution de toutes les séquences comportant un échec de mise à l'arrêt à la fréquence des grandes émissions radioactives des objectifs de sûreté est inférieure à 10-7/année.
Cela tient compte de la probabilité qu'un événement déclencheur survienne et reconnaît que les deux moyens d'arrêt pourraient ne pas être complètement indépendants.
La section 7.6.2 exige que la fonction de mise à l'arrêt soit exécutée, même en présence d'une défaillance unique et durant la configuration la plus défavorable attribuable aux essais et à l'entretien. Par exemple, si un système repose sur des barres pour satisfaire au critère de défaillance unique (CDU), l'analyse de la sûreté peut supposer que les deux barres de commande présentant la valeur de réactivité maximale sont indisponibles (l'une en raison des essais et l'autre supposée faire défaut à la demande, conformément au CDU). Dans ce cas, aucun autre essai des barres ne sera permis tant que la barre en cours d'essai ne sera pas disponible.
8.4.3 Surveillance et interventions de l'opérateur
Il doit être impossible pour l'opérateur d'empêcher le déclenchement automatique d'un
système d'arrêt d'urgence.
Le déclenchement manuel du dispositif d'arrêt d'urgence doit être réduit au minimum.
Les dispositifs de déclenchement manuel et de surveillance de l'état de la centrale en arrêt d'urgence doivent se trouver dans la salle de commande principale et dans la salle de commande auxiliaire.
8.5 Système de refroidissement d'urgence du cœur du réacteur
Tous les réacteurs nucléaires refroidis à l'eau doivent avoir un système de refroidissement d'urgence du cœur du réacteur (SRUC). Ce système de sûreté a pour but de transférer la chaleur du cœur du réacteur à la suite d'une perte de caloporteur excédant les capacités d'appoint. Tout l'équipement nécessaire pour assurer le bon fonctionnement du SRUC doit appartenir au système ou à ses systèmes de soutien.
Les systèmes qui alimentent en électricité ou en eau de refroidissement les équipements nécessaires au fonctionnement du SRUC doivent être classés comme des systèmes de soutien en matière de sûreté et doivent être sujets à toutes les exigences et les attentes pertinentes.
La conception doit tenir compte des effets sur la réactivité du cœur qu'exerce le mélange de l'eau du SRUC avec l'eau de refroidissement du réacteur, y compris le mélange possible attribuable à une fuite interne.
Le SRUC doit répondre aux critères suivants de tous les AD impliquant une perte de caloporteur :
- Tous les assemblages de combustible et composants dans le réacteur doivent être maintenus dans une configuration permettant l'évacuation continue de la chaleur résiduelle produite par le combustible.
- Un débit de refroidissement continu (débit de recirculation) doit être fourni pour prévenir tout autre dommage au combustible une fois que le refroidissement adéquat du combustible est rétabli par le SRUC.
Le circuit de recirculation du SRUC doit être tel que tout obstacle au rétablissement du refroidissement à la suite d'une perte de caloporteur causée par des débris ou autres matériaux est évité.
La conception doit prévoir l'exécution de travaux d'entretien et d'essais de fiabilité sans que ne soit réduite l'efficacité du système en-deçà des LCE, si les essais sont effectués lorsque la disponibilité du SRUC est requise.
Advenant un accident nécessitant l'injection de liquide de refroidissement d'urgence, l'opérateur ne doit pas pouvoir empêcher la procédure d'injection.
Tous les composants du SRUC susceptibles de contenir des matières radioactives doivent être situés à l'intérieur de l'enceinte de confinement ou dans une extension de celle-ci.
Les conduites du SRUC situées dans une extension de l'enceinte de confinement et pouvant contenir des matières radioactives provenant du cœur du réacteur doivent satisfaire aux exigences suivantes :
- En tant qu'extension du confinement, elles doivent respecter les exigences relatives aux pénétrations métalliques du confinement.
- Toutes les conduites et tous les composants du circuit de recirculation du SRUC qui sont ouverts à l'atmosphère de l'enceinte de confinement sont conçus pour résister à une pression supérieure à la pression nominale de l'enceinte de confinement.
- Tous les circuits de recirculation du SRUC sont logés dans une structure de confinement capable de prévenir les fuites radioactives dans l'environnement et dans les structures adjacentes.
- Cette structure de confinement est dotée d'un dispositif de détection des fuites radioactives et de moyens de renvoi des matières radioactives dans le circuit de recirculation ou de collecte pour les stocker ou les traiter dans un système conçu à cette fin.
Les boucles des conduites de refroidissement primaires et secondaires doivent être dotées de dispositifs de détection des fuites, que le système de recirculation du SRUC soit à l'intérieur ou à l'extérieur du confinement.
Les dispositifs sont tels que, dès la détection de radioactivité dans le circuit de recirculation du SRUC, les boucles peuvent être isolées conformément aux exigences relatives à l'isolation de l'enceinte de confinement.
Le SRUC doit être conçu pour éviter que toute manœuvre accidentelle mettant en cause une partie ou la totalité du système ne compromette la sûreté de la centrale.
Orientation
L'autorité responsable de la conception devrait décrire toute fonction de contrôle de la réactivité remplie par le SRUC, ainsi que les limites et conditions nécessaires. Par exemple, les REP prévoient souvent du bore soluble dans les accumulateurs et les réservoirs de stockage du SRUC afin de compléter l'insertion des barres de commande pour le contrôle à long terme de la réactivité.
Les conceptions du SRUC devraient être testées par des programmes expérimentaux et une modélisation informatique appropriés. Il faudrait démontrer qu'il existe des preuves expérimentales suffisantes de l'efficacité du SRUC.
Les exemples d'éléments pouvant présenter de l'importance lors de la conception du SRUC comprennent :
- les mécanismes de contournement du cœur (p. ex. le contournement des conduites de descente en cas de purge dans les REP, ou le contournement du cœur par les générateurs de vapeur dans les réacteurs CANDU)
- les effets des gaz non condensables sur le rendement du SRUC
- les phénomènes pouvant nuire au remplissage et au remouillage du cœur (comme les périodes de stagnation, la formation de bouchons de vapeur dans les générateurs de vapeur des REP, les effets des canaux parallèles dans les réacteurs CANDU)
- l'effet du flux multidimensionnel dans les collecteurs du système de transport de la chaleur des réacteurs CANDU
- l'effet de la résistance non uniforme à l'écoulement dans les canaux dans le cœur des réacteurs CANDU (p. ex. les canaux périphériques à faible écoulement et à faible puissance présentent une résistance plus importante à l'écoulement pour le remplissage du SRUC)
- l'effet sur le pressuriseur
La section 8.5 exige que le SRUC puisse évacuer la chaleur résiduelle sur une longue période. Cela implique habituellement l'évacuation de l'eau ayant débordé à la suite de la rupture, son refroidissement et son retour dans le réacteur. Il faudrait également démontrer que :
- la conception est capable de faire recirculer l'eau de refroidissement même en présence de la quantité maximale de débris susceptibles d'être présents après un APRP
- les effets chimiques éventuels dans le puisard de récupération du bâtiment du réacteur ont été pris en considération et les précipités et autres espèces chimiques (gels, colloïdes, etc.) éventuels ne peuvent altérer de façon importante le circuit de recirculation du SRUC (par exemple, au niveau des crépines ou des échangeurs de chaleur)
- les interventions de récupération (telles que le transport vers l'injection de la branche chaude du SRUC ou le transport vers le système habituel d'évacuation de la chaleur résiduelle) sont décrites et il est montré qu'elles sont réalisables. L'évacuation à long terme de la chaleur par ébullition dans le cœur pourrait éventuellement provoquer des dépôts ou un encrassement (par exemple la précipitation de cristaux d'acide borique) diminuant l'écoulement et le transfert de chaleur
- l'usure des roulements et des joints d'étanchéité a été prise en considération, y compris l'abrasion causée par de petites particules et la corrosion chimique
- l'écoulement naturel, lorsqu'il est prévu, est capable de fournir une circulation suffisante et ne peut être diminué par des effets tels que l'accumulation de gaz non condensables ou les distributions de température défavorables
Les sections 7.14 et 7.16 décrivent les exigences relatives aux activités d'inspection, d'essai et d'entretien qui devraient comprendre :
- les essais de mise en service destinés à vérifier le débit, la chute de pression et (le cas échéant) l'isolation des réservoirs après injection pour les accumulateurs et les autres réservoirs d'appoint
- les essais de mise en service destinés à vérifier la charge des pompes, l'écoulement et la chute de pression du système pour l'injection par pompage
Tel qu'indiqué dans ce document, « advenant un accident nécessitant l'injection de liquide de refroidissement d'urgence, l'opérateur doit se trouver dans l'impossibilité d'empêcher facilement la procédure d'injection ». Ceci peut être réalisé par différentes méthodes pour s'assurer que l'intervention de blocage est intentionnelle (en exigeant par exemple plusieurs interventions, des interventions séquentielles, des interventions séparées dans le temps, ou des interventions qui doivent être exécutées par des personnes différentes).
Les procédures d'exploitation d'urgence devraient interdire le blocage de l'injection du SRUC, à moins d'une indication claire qu'elle n'est pas nécessaire (par exemple, en présence de réserves suffisantes pour assurer le refroidissement du cœur et que les réserves ne sont pas en train de diminuer).
L'injection d'un volume important d'eau froide peut provoquer un choc thermique pressurisé dans l'enveloppe sous pression du système de refroidissement du réacteur, ou une déformation des internes du réacteur. L'autorité responsable de la conception devrait démontrer que le choc thermique a été pris en considération de manière adéquate dans la conception en ce qui concerne le calcul des conditions transitoires des fluides aux endroits clés ainsi que la température des métaux qui en résulte et les contraintes correspondantes.
Les charges causées par des coups de bélier peuvent être produites par l'actionnement de vannes ou par la condensation en cas d'injection d'eau froide dans des systèmes remplis de vapeur. L'autorité responsable de la conception devrait démontrer qu'une évaluation des coups de bélier a été effectuée.
8.6 Confinement
8.6.1 Exigences générales
Tous les réacteurs nucléaires doivent être installés dans une structure de confinement afin de minimiser le rejet de matières radioactives dans l'environnement pour les divers états de fonctionnement et en mode d'AD. L'enceinte de confinement doit aussi permettre d'atténuer les conséquences des CAD. Plus particulièrement, l'enceinte de confinement et ses caractéristiques de sûreté doivent pouvoir effectuer leurs fonctions prévues en cas d'AD et de CAD, y compris la fusion du cœur du réacteur. Dans la mesure du possible, ces fonctions doivent être disponibles pour des événements plus graves que des CAD.
Le confinement doit être un système de sûreté qui peut comprendre des caractéristiques de conception complémentaires. L'enceinte de confinement et les caractéristiques de conception complémentaires doivent être assujetties aux exigences de conception respectives contenues dans ce document d'application de la réglementation.
La conception doit prévoir une enveloppe de confinement clairement définie, continue et étanche aux fuites dont les limites matérielles sont définies pour toutes les conditions possibles d'exploitation ou d'entretien du réacteur, ou à la suite d'un accident.
Toutes les conduites faisant partie du système principal ou de relève du caloporteur primaire doivent se trouver en totalité dans la structure de confinement principale ou dans une extension de celle-ci.
La conception de l'enceinte de confinement doit prévoir des systèmes pour contrôler la pression interne et le rejet de matières radioactives dans l'environnement à la suite d'un accident.
L'enceinte de confinement doit comprendre à tout le moins les sous-systèmes suivants :
- la structure de confinement et ses composants associés
- l'équipement nécessaire pour isoler l'enceinte de confinement et assurer son intégrité et sa pérennité à la suite d'un accident
- l'équipement nécessaire pour réduire la pression et la température de l'enceinte de confinement et la concentration de matières radioactives libres se trouvant dans l'enveloppe de confinement
- l'équipement requis pour limiter le rejet de matières radioactives hors de l'enceinte de confinement à la suite d'un accident
L'autonomie du système d'air comprimé doit être démontrée lorsque la conception du confinement inclut le recours à des systèmes d'air comprimé ou de gaz non condensables en réponse à des AD.
Les vannes d'isolation du confinement doivent défaillir en position sécuritaire (sûreté intégrée) en cas de perte d'air comprimé.
L'autorité responsable de la conception doit déterminer où et quand l'enveloppe de confinement doit être dotée d'un écran de blindage pour les personnes et l'équipement.
Orientation
La conception devrait établir les critères d'acceptation pour les activités d'inspection, d'essais et d'entretien, y compris, le cas échéant :
- les durées d'isolation contre les pénétrations du confinement
- le rendement des gicleurs de l'enceinte de confinement
- la capacité des évents à filtre
- l'activation du bâtiment sous vide
- la capacité du système d'atténuation des risques liés à l'hydrogène (p. ex. les recombineurs)
- les systèmes et équipements servant à évacuer la chaleur de l'enceinte de confinement
- l'état du béton et la dégradation éventuelle de celui-ci
Les effets du rejet d'air comprimé dans l'enceinte de confinement après isolation (provenant par exemple de fuites des vannes à commande pneumatique) devraient être pris en considération lors du calcul des charges de pression de l'enceinte de confinement.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N287.3, Design Requirements for Concrete Containment Structures for CANDU Nuclear Power Plants, Toronto, Canada.
- Groupe CSA, N290.0/N290.3, colis, General requirements for safety systems of nuclear power plants et Requirements for the containment system of nuclear power plants, Toronto, Canada.
8.6.2 Résistance de la structure de confinement
La résistance de la structure de confinement doit prévoir des marges de sûreté suffisantes pour résister aux surpressions internes, sous-pressions et températures, ainsi qu'aux effets dynamiques comme l'impact de missiles et les forces de réaction prévues résultant d'un AD. Les marges reliées à la résistance doivent être appliquées aux ouvertures d'accès, aux pénétrations, aux vannes d'isolation ainsi qu'au système d'évacuation de la chaleur dans l'enceinte de confinement.
Les marges doivent refléter :
- les effets d'autres sources potentielles d'énergie, telles les réactions chimiques et radiolytiques possibles
- l'expérience limitée et les données expérimentales disponibles pour définir un phénomène accidentel et la réponse de l'enceinte de confinement
- le conservatisme des modèles de calcul et des paramètres d'entrée
Les pressions nominales positives et négatives dans chaque partie de l'enceinte de confinement doivent englober les pressions maximales et minimales qui pourraient être créées dans les parties respectives à la suite d'un AD.
La structure de confinement doit protéger les systèmes et l'équipement importants pour la sûreté afin de préserver les fonctions de sûreté de la centrale.
La conception doit assurer le maintien de la fonctionnalité intégrale, par suite d'un séisme de référence, de toutes les parties du système de confinement créditées dans l'analyse de sûreté.
La conception sismique de la structure de béton de l'enceinte de confinement doit permettre une réaction élastique lorsque soumise à des mouvements sismiques du sol. Un renforcement spécialement détaillé doit conférer à la structure la ductilité et la capacité d'absorption d'énergie nécessaires pour résister à une déformation non élastique, sans causer de défaillance.
Orientation
La section 8.6.12 indique que, en plus des exigences particulières relatives aux AD, il faut tenir compte des accidents graves afin de garantir que l'enceinte de confinement assurera les fonctions prévues dans l'analyse des CAD.
Pour de l'information supplémentaire concernant la conception des structures de confinement, consulter la section 7.15.
8.6.3 Capacité relative aux essais de pressurisation
La structure de confinement doit faire l'objet d'essais de pressurisation selon une pression spécifiée pour démontrer l'intégrité structurale. Les essais doivent être effectués avant la mise en service de la centrale et à des intervalles appropriés tout au long de son cycle de vie.
8.6.4 Fuites
Limites de débit de fuite
Les limites nominales de débit de fuite doivent faire en sorte que :
- les limites de rejet en mode d'exploitation normale sont respectées
- les IFP et les AD n'entraîneront pas un dépassement des critères d'acceptation des doses
La limite nominale de débit de fuite de la conception doit être :
- en deçà de la limite nominale de débit de fuite
- aussi basse que cela est possible
- en harmonie avec les pratiques de conception d'avant-garde
Limites de débit de fuite acceptable en cours d'essai
Un débit de fuite acceptable en cours d'essai doit indiquer le débit de fuite maximal admissible dans le cadre de collectes de mesures réelles. Ces limites lors d'essai doivent être établies pour l'ensemble du système de confinement et pour chaque composant susceptible de contribuer aux fuites de manière significative.
La structure de confinement, l'équipement et les composants qui influent sur l'étanchéité de l'enceinte de confinement doivent être conçus pour permettre la réalisation d'un essai de débit de fuite :
- à la pression de conception de l'enceinte de confinement au cours de la mise en service
- pendant la durée de vie utile du réacteur, en conformité avec les codes et les normes applicables
La conception doit être telle que toute brèche importante de l'enveloppe de confinement puisse être détectée de façon immédiate et fiable.
Orientation
Une enceinte de confinement moderne devrait atteindre un débit de fuite inférieur à 0,5 % de la masse d'air de l'enceinte de confinement par jour à la pression maximale de l'enceinte de confinement pour tout AD. Par exemple, les conceptions les plus récentes obtiennent un débit de fuite de 0,1 à 0,5 % de la masse d'air de l'enceinte de confinement par jour à la pression nominale.
La limite nominale de débit de fuite est le débit de fuite maximal permettant de respecter les critères d'acceptation des doses pour tout IFP ou AD. L'enceinte de confinement devrait être conçue avec un débit de fuite nettement plus faible. Des essais de vérification de la conformité réalisés tout au long de la durée de vie du réacteur assurent que le débit de fuite nominal ne sera pas dépassé.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N287.7, Exigences relatives à la mise à l'essai et à la vérification, en cours d'exploitation, des enceintes de confinement en béton des centrales nucléaires CANDU, Toronto, Canada.
- Groupe CSA, N287.6, Pre-operational Proof and Leakage Rate Testing Requirements for Concrete Containment Structures for Nuclear Power Plants, Toronto, Canada.
8.6.5 Pénétrations de l'enceinte de confinement
Le nombre de pénétrations dans l'enceinte de confinement doit être maintenu à un niveau minimal.
Toutes les pénétrations de l'enceinte de confinement doivent être assujetties aux mêmes exigences de conception que celles de la structure de confinement proprement dite, et elles doivent être protégées contre les forces de réaction produites par le mouvement des conduites ou contre les charges accidentelles, comme celles attribuables à des missiles générés par des événements internes ou externes, aux forces de jet et à l'effet de fouet des tuyaux.
Toutes les pénétrations doivent être conçues de façon à permettre des inspections périodiques et des essais.
Si des joints d'étanchéité solides, tels que des joints élastomériques, des pénétrations de câbles électriques ou des joints de dilatation, sont utilisés avec les pénétrations, ils doivent avoir la capacité d'effectuer des essais de fuite à la pression de conception du confinement. Pour démontrer l'intégrité continue de ces joints pendant toute la durée de vie utile de la centrale, ces essais doivent être effectués indépendamment des essais de débit de fuite de l'enceinte de confinement dans son ensemble.
Orientation
Il faudrait tenir compte du besoin de séparation et de redondance dans les efforts pour maintenir le nombre de pénétrations dans l'enceinte de confinement à un niveau minimal, et être conforme aux conceptions modernes.
8.6.6 Isolation du confinement
Chaque conduite de l'enveloppe sous pression du système caloporteur primaire qui pénètre l'enceinte de confinement ou qui est directement reliée à l'atmosphère de l'enceinte de confinement doit être scellée de façon automatique et fiable. Cette exigence est essentielle au maintien de l'étanchéité du confinement en cas d'accident et à la prévention des rejets radioactifs dans l'environnement qui dépassent les limites prescrites.
Les vannes d'isolation automatiques doivent être positionnées de façon à offrir le niveau de sûreté le plus élevé possible en cas d'une perte de puissance d'activation.
Les conduites qui pénètrent l'enceinte de confinement doivent être pourvues de dispositifs d'isolation présentant des capacités de redondance, de fiabilité et de d'efficacité qui reflètent l'importance de l'isolation des divers types de conduites. D'autres types d'isolation peuvent être utilisés si besoin est.
Lorsque des vannes d'isolations manuelles sont utilisées, elles doivent être facilement accessibles et on doit pouvoir les verrouiller ou les surveiller constamment.
Systèmes auxiliaires du caloporteur primaire qui pénètrent le confinement
Chaque conduite auxiliaire raccordée à l'enveloppe sous pression du système caloporteur primaire et qui pénètre la structure de confinement doit être dotée de deux vannes d'isolation en série. Normalement, une vanne doit être installée à l'intérieur et l'autre à l'extérieur de la structure de confinement.
Lorsque les vannes permettent d'isoler le système du caloporteur en mode d'exploitation normal, les deux vannes doivent normalement être fermées.
Les systèmes directement raccordés au caloporteur primaire qui peuvent être ouverts en mode d'exploitation normale doivent être visés par les mêmes exigences d'isolation que le système normalement fermé, sauf que les vannes d'isolation manuelles à l'intérieur de la structure de confinement ne seront pas utilisées. Au moins l'une des deux vannes d'isolation doit être automatique ou motorisée et être activée depuis les salles de commande principale et auxiliaire.
Les conduites à l'extérieur de l'enceinte de confinement susceptibles de contenir des matières radioactives provenant du cœur du réacteur doivent satisfaire aux exigences suivantes :
- Les paramètres de conception doivent être les mêmes que ceux liés à une extension de conduite vers le confinement et sont visés par les exigences relatives aux pénétrations métalliques du confinement.
- Toutes les conduites et tous les composants ouverts à l'atmosphère de l'enceinte de confinement doivent être conçus pour supporter une pression supérieure à la pression nominale de conception du confinement.
- Les conduites et les composants doivent être situés dans une structure de confinement qui prévient les fuites radioactives dans l'environnement et dans les structures adjacentes.
- Cette structure de confinement doit être dotée d'un dispositif de détection des fuites radioactives et comprendre la capacité de gérer les fuites en toute sécurité.
Systèmes raccordés à l'atmosphère du confinement
Chaque conduite directement reliée à l'atmosphère du confinement qui pénètre la structure de confinement et qui ne fait pas partie d'un système fermé doit être protégée par deux barrières d'isolation qui respectent les exigences suivantes :
- deux vannes d'isolation automatiques en série pour les conduites qui peuvent être ouvertes à l'atmosphère du confinement
- deux vannes d'isolation fermées en série pour les conduites qui sont normalement fermées à l'atmosphère du confinement
- la conduite menant à la deuxième vanne d'isolation fait partie de l'enceinte de confinement
Systèmes fermés
Tous les systèmes de service dont la conduite est fermée doivent être dotés d'au moins une vanne d'isolation pour chaque conduite pénétrant l'enceinte de confinement, la vanne étant située à l'extérieur, mais aussi près que possible de la structure de confinement.
Lorsque la défaillance d'une boucle fermée est réputée être associée à un EDH ou être le résultat d'un EDH, les dispositifs d'isolation appropriés au système doivent s'appliquer.
Il n'est pas nécessaire de prévoir de mesures d'isolation supplémentaires pour les systèmes de service dont les conduites sont fermées et se trouvent à l'intérieur ou à l'extérieur de la structure de confinement faisant partie de l'enveloppe du confinement :
- s'ils répondent aux normes et aux codes qui s'appliquent aux conduites de service
- s'il est possible d'en surveiller les fuites de façon continue
8.6.7 Sas du confinement
L'accès du personnel à l'intérieur de l'enceinte de confinement doit s'effectuer par des sas munis de portes à interverrouillage de sorte qu'au moins une porte soit toujours fermée, dans les divers états de fonctionnement et en cas d'AD et de CAD.
Lorsque l'accès du personnel est prévu à des fins de surveillance ou d'entretien durant l'exploitation normale, la conception doit spécifier des dispositions pour la sécurité du personnel, y compris des sorties de secours. Cette exigence doit aussi s'appliquer aux sas d'équipement.
Orientation
Les ouvertures de l'enceinte de confinement destinées à faire passer des équipements ou des matières devraient être conçues afin d'être fermées de façon rapide et fiable en cas de besoin d'isoler l'enceinte de confinement.
Le besoin d'accès à l'enceinte de confinement par le personnel devrait être réduit le plus possible. À la suite d'un accident, il ne devrait pas être nécessaire d'accéder à l'enceinte de confinement pour assurer la sûreté de l'installation (à court ou à long terme).
8.6.8 Structures internes du confinement
La conception doit prévoir un nombre suffisamment grand de chemins d'écoulement entre les différents compartiments de l'enceinte de confinement. Les ouvertures entre les compartiments doivent être assez grandes pour éviter d'importantes différences de pression qui pourraient endommager les porteurs et les systèmes de sûreté au cours d'IFP, d'AD et de CAD.
La conception des structures internes du confinement doit tenir compte de la stratégie de contrôle de l'hydrogène et contribuer à l'efficacité de cette stratégie.
Orientation
Il faudrait utiliser des méthodes acceptables pour calculer les différences de pression et démontrer que les structures porteuses et les systèmes de sûreté ne subiront pas de perte des fonctions de sûreté en cas d'IFP, d'AD et de CAD (y compris les considérations relatives à l'hydrogène). En particulier, les analyses d'un APRP grave, de la rupture de la canalisation de vapeur principale et du séisme de référence devraient aboutir à des conditions difficiles. Les hypothèses des analyses devraient être conservatrices en ce qui concerne la pression de l'enceinte de confinement, les différences de pression entre les compartiments et la distribution de l'hydrogène, ainsi que les fonctions de sûreté des SSC.
Il faudrait prévoir des ouvertures suffisantes entre les compartiments de manière à éviter l'accumulation potentielle d'hydrogène dans les impasses. Le cas échéant, il faudrait tenir compte de phénomènes tels que l'accélération de flamme et les flammes fixes.
Les structures internes devraient fournir des moyens adéquats de renvoi du liquide de refroidissement dans le circuit de recirculation (p. ex. vers le puisard de l'enceinte de confinement en cas de rupture de conduite) lorsqu'ils sont validés dans l'analyse de la sûreté. Il faudrait tenir compte de l'obstruction éventuelle des voies d'écoulement par des débris.
Pour de l'orientation supplémentaire concernant la conception des structures internes, consulter la section 7.15.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans le document suivant :
- Groupe CSA, N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU, Toronto, Canada.
8.6.9 Pression de l'enceinte de confinement et gestion de l'énergie
La conception doit permettre d'évacuer la chaleur et de réduire la pression dans l'enceinte de confinement du réacteur, et ce, pour tous les états de fonctionnement, les AD et les CAD. Les systèmes conçus à cette fin doivent être traités comme faisant partie du système de confinement et servir à :
- minimiser les rejets de produits de fission dans l'environnement attribuables à la pressurisation
- préserver l'intégrité de l'enceinte de confinement
- maintenir l'étanchéité nécessaire
Orientation
Les moyens permettant d'évacuer la chaleur et de réduire la pression dans l'enceinte de confinement peuvent varier considérablement d'une conception à l'autre et peuvent faire appel à des systèmes tels que :
- les piscines de suppression de pression, les condenseurs à glace, les chambres à vide
- les refroidisseurs et les ventilateurs de l'enceinte de confinement
- les systèmes de refroidissement de l'eau des puisards ou de l'enceinte de confinement utilisés dans le cadre de la recirculation après un APRP
- le refroidissement passif de l'enceinte de confinement
- les systèmes de pulvérisation ou d'aspersion de l'enceinte de confinement
- le volume libre à l'intérieur du bâtiment du réacteur
- mise à l'air de l'enceinte de confinement au travers de filtres ou de laveurs
L'équipement de gestion de la pression et de l'énergie approuvé dans les AD est traité comme faisant partie du système de confinement. Par exemple, les moteurs de ventilateurs devraient être conçus pour fonctionner en conditions post-accidentelles présentant des gaz combustibles.
Pour les CAD, toutes les sources de chaleur devraient être prises en considération, y compris la combustion des gaz, les réactions métal-eau et la formation de solutions solides, y compris les eutectiques. La capacité d'évacuation de la chaleur doit correspondre à l'analyse des conditions de l'enceinte de confinement.
Les systèmes d'alimentation en air (destinés par exemple à l'air d'instrumentation et à l'air respirable) devraient être isolés de façon fiable après un événement déclencheur hypothétique nécessitant l'isolation de l'enceinte de confinement afin d'éviter la surpression de l'enceinte de confinement et de réduire les effets de la combustion et des explosions.
8.6.10 Contrôle et nettoyage de l'atmosphère de l'enceinte de confinement
La conception doit prévoir des systèmes pour contrôler les rejets de produits de fission, d'hydrogène, d'oxygène et d'autres substances dans l'enceinte de confinement du réacteur afin de :
- réduire la quantité de produits de fission qui pourraient être rejetés dans l'environnement lors d'un accident
- prévenir toute déflagration et toute détonation qui risqueraient de compromettre l'intégrité ou l'étanchéité de l'enceinte de confinement
La conception doit aussi permettre :
- de prévoir l'isolation de toutes les sources d'air comprimé et d'autres gaz non condensables dans l'atmosphère de l'enceinte de confinement à la suite d'un accident
- de s'assurer que la pression du confinement ne dépasse pas la pression de conception lorsqu'un événement déclencheur entraîne la libération de gaz non condensables
- d'offrir l'isolation des sources d'air comprimé pour prévenir tout contournement de l'enceinte de confinement
8.6.11 Revêtements et matériaux
Les revêtements des composants et des structures internes du confinement doivent être minutieusement sélectionnés et leurs méthodes d'application clairement spécifiées pour la sûreté. L'objectif premier de cette exigence est de minimiser les interférences avec d'autres fonctions de sûreté ou systèmes d'atténuation des conséquences des accidents, en cas de détérioration des revêtements. Le choix des matériaux utilisés à l'intérieur de l'enceinte de confinement doit tenir compte de l'impact des conditions post-accidentelles du confinement, y compris le comportement des produits de fission, l'acidité, l'encrassement des équipements, la radiolyse, les incendies et autres facteurs susceptibles de compromettre l'efficacité et l'intégrité de l'enceinte de confinement et entraîner des rejets de produits de fission.
Les revêtements doivent également être sélectionnés en tenant compte de la nécessité de les retirer et de les remplacer pour permettre l'accès aux composants lors de travaux d'entretien et d'inspection.
Orientation
L'autorité responsable de la conception devrait s'assurer que les revêtements et les matériaux interfèrent le moins possible avec les fonctions de sûreté et les autres systèmes de sûreté. En voici des exemples :
- les matériaux d'isolation, les produits de corrosion, le délaminage des peintures et des revêtements susceptibles d'encrasser les circuits de recirculation du RUC ou d'empêcher le fonctionnement de l'équipement
- l'utilisation de matériaux d'étanchéité caoutchoutés pouvant fondre ou présenter d'autres défaillances et provoquer des fuites supplémentaires au niveau de l'enceinte de confinement ou la défaillance d'un composant ou d'un système lié à la sûreté
- les matériaux pouvant réagir après un accident et produire des gaz combustibles, corrosifs ou toxiques
Quand des structures de grande taille situées dans l'enceinte de confinement sont prévues en tant que sources froides lors du calcul des pressions et des températures après un accident dans l'enceinte de confinement, les calculs devraient utiliser des renseignements fiables sur les produits de revêtement et leurs propriétés thermiques.
8.6.12 Conditions additionnelles de dimensionnement
Après le début d'un accident grave avec dommage au cœur du réacteur, l'enceinte du confinement doit permettre de réduire les rejets de matières radioactives afin d'accorder suffisamment de temps pour la mise en place de procédures d'urgence hors site.
Les dommages à la structure de confinement doivent être limités pour empêcher des rejets non contrôlés de radioactivité et maintenir l'intégrité des structures qui soutiennent les composants internes.
La capacité du système de confinement à résister aux charges associées aux conditions additionnelles de dimensionnement (CAD) doit être démontrée dans la documentation sur la conception, et doit inclure les éléments suivants :
- les diverses sources de chaleur, y compris la chaleur résiduelle, les réactions métal-eau, la combustion des gaz et les flammes fixes
- le contrôle de la pression
- le contrôle des gaz combustibles
- les sources de gaz non condensables
- le contrôle des fuites de matières radioactives
- l'efficacité des dispositifs d'isolation
- la fonctionnalité et l'étanchéité des sas et des pénétrations du confinement
- les effets de l'accident sur l'intégrité et la fonctionnalité des structures internes
L'autorité responsable de la conception doit démontrer que les caractéristiques de conception complémentaires ont été ajoutées et qu'elles permettront de :
- prévenir une fusion ou une défaillance du confinement attribuable à l'impact thermique des débris présents dans le cœur du réacteur
- faciliter le refroidissement des débris présents dans le cœur du réacteur
- minimiser la production de gaz non condensables et de produits radioactifs
- prévenir les rejets non filtrés et non contrôlés du confinement
Orientation
Les dispositions relatives aux CAD varient considérablement d'une conception à l'autre. La fonctionnalité et l'analyse revendiquées devraient être appuyées par des preuves suffisantes.
Le débit de fuite de l'enceinte de confinement en CAD avec dommage au combustible ne devrait pas dépasser le débit de fuite nominal pendant une période suffisante pour permettre la mise en œuvre des mesures d'urgence hors site. Il faudrait démontrer avec une certitude raisonnable que cette période sera d'au moins 24 heures.
La conception devrait réduire au minimum la production de gaz combustibles non condensables provenant de l'interaction corium-béton.
La conception de la mise à l'air de l'enceinte de confinement devrait tenir compte de facteurs tels que :
- l'inflammation de gaz inflammables
- la production de gaz non condensables
- l'incidence sur les filtres des conditions environnementales de l'enceinte de confinement, telles que les matières radioactives, des températures élevées et un degré d'humidité élevé
Il faudrait fournir des preuves expérimentales et des données analytiques pour démontrer que la mise à l'air n'entraînera pas de rejets non filtrés et incontrôlés de matières radioactives dans l'environnement.
8.7 Transfert de chaleur vers une source froide ultime
La conception doit prévoir des systèmes pour transférer la chaleur résiduelle des SSC importants pour la sûreté vers une source froide ultime. Cette fonction générale doit être assujettie à des niveaux très élevés de fiabilité pour les divers états de fonctionnement, les AD et les CAD. Tous les systèmes qui contribuent au transport de la chaleur en l'évacuant, en fournissant de l'énergie ou en alimentant les systèmes caloporteurs en fluides, doivent donc être conçus selon l'importance de leur contribution à la fonction de transfert de chaleur dans son ensemble.
Les phénomènes naturels et les événements d'origine humaine doivent être pris en compte dans la conception des systèmes de transfert de chaleur et dans le choix du type de diversité et de redondance des sources froides ultimes et des systèmes de stockage qui fournissent les fluides caloporteurs.
La conception doit prévoir une capacité accrue pour le transfert de la chaleur résiduelle du cœur du réacteur vers une source froide ultime en cas d'accident grave considéré comme un CAD de sorte que :
- des conditions acceptables soient maintenues dans les SSC requis pour atténuer les accidents graves
- les matières radioactives soient confinées
- les rejets de matières radioactives dans l'environnement soient limités
Orientation
Les exigences de fiabilité et d'importance sur le plan de la sûreté en ce qui a trait au transfert de chaleur vers une source froide ultime devraient être traitées en tenant compte de toute déclaration formulée dans le dossier de sûreté quant à leur disponibilité pour assurer le refroidissement dans les états de fonctionnement, les AD et les CAD.
8.8 Systèmes d'évacuation d'urgence de la chaleur
La conception doit prévoir un système d'évacuation d'urgence de la chaleur (SEUC) qui évacue la chaleur résiduelle afin de respecter les limites de conception de combustible et les limites des conditions de l'enveloppe du caloporteur.
Si la conception de la centrale est telle que le SEUC doit être mis à profit pour atténuer les conséquences d'un AD, le SEUC doit alors être conçu à titre de système de sûreté. Il faut que le SEUC fonctionne en cas de CAD, s'il y a lieu.
En cas d'accident, le fonctionnement normal du SEUC ne doit pas dépendre du réseau électrique ou des turbo-alternateurs associés à tout autre réacteur situé sur le même site que le réacteur touché par l'accident.
Lorsqu'une alimentation en eau pour le SEUC est nécessaire, cette alimentation doit provenir d'une source indépendante du système normal d'eau d'alimentation.
La conception doit être telle que les essais de fiabilité et l'entretien puissent être effectués sans réduire l'efficacité du système en deçà de ce qui est requis par les LCE.
Dans la mesure du possible, une manœuvre accidentelle d'une partie ou de la totalité du SEUC ne doit pas compromettre la sûreté de la centrale.
Si l'alimentation en eau en cas d'incendie ou les composants du système sont interconnectés au SEUC, le fonctionnement de l'un ne doit pas entraver le fonctionnement de l'autre.
Orientation
Le système d'évacuation d'urgence de la chaleur est destiné à fournir un mode de transfert vers la source froide ultime en cas de non-disponibilité des capacités normales d'évacuation de la chaleur. Ce système a pour but d'empêcher l'escalade des événements et d'en atténuer les conséquences.
L'évacuation d'urgence de la chaleur concerne l'évacuation de la chaleur à la suite d'un accident et peut être assurée par un certain nombre de systèmes, en fonction des circonstances :
- l'évacuation de la chaleur à la suite d'un APRP peut être assurée par le SRUC (consulter la section 8.5)
- en ce qui concerne les événements non liés à un APRP, l'évacuation d'urgence de la chaleur peut se faire par le truchement des systèmes de refroidissement primaires ou secondaires
Pour tous les moyens d'évacuation d'urgence de la chaleur, l'équipement dit être conçu de manière adéquate pour fonctionner dans la classe d'accidents pour lesquels il est validé.
Si le système validé joue un autre rôle en mode d'exploitation normale, alors la conception devrait faire en sorte que le système respectera les exigences relatives à un système de sûreté lorsque celui-ci est utilisé en cas d'AD ou de CAD. Le dimensionnement du système dans ce rôle devrait être fourni.
De nombreuses tâches liées au fonctionnement des systèmes validés pour l'évacuation d'urgence de la chaleur peuvent ne pas être enclenchées automatiquement. En cas de dépendance par rapport au fonctionnement manuel, il faudrait accorder beaucoup d'importance à l'examen des facteurs humains.
L'évacuation d'urgence de la chaleur du côté primaire pourrait se faire à l'aide des moyens normaux de refroidissement à l'arrêt. La conception devrait faire en sorte :
- qu'un moyen de dépressurisation du système primaire soit prévu et que ce moyen réponde aux exigences relatives aux systèmes de sûreté; ou
- que le système de refroidissement à l'arrêt fonctionne aux niveaux de pression et de température du circuit primaire
Il est possible d'utiliser des moyens d'évacuation de la chaleur passifs ou actifs (p. ex. circulation naturelle ou circulation par pompe). Les systèmes actifs exigent une alimentation électrique d'urgence. Il faudrait démontrer que les systèmes à circulation naturelle fonctionnent dans toutes les conditions d'exploitation applicables.
L'évacuation d'urgence de la chaleur du côté secondaire qui dépend de l'eau fournie au côté secondaire des générateurs de vapeur peut se faire à l'aide d'une alimentation par pompage séparée ou à l'aide d'une dépressurisation secondaire et d'une alimentation par gravité. L'alimentation en eau devrait répondre aux exigences relatives aux systèmes de sûreté.
8.9 Systèmes d'alimentation électrique
Dans la conception, il faut préciser les fonctions et les caractéristiques de rendement requises pour chaque système d'alimentation électrique qui fournit une alimentation normale, de relève, d'urgence et de remplacement pour assurer :
- une capacité suffisante pour soutenir les fonctions de sûreté des charges connectées dans les divers états de fonctionnement, les AD et les CAD
- une fiabilité et une disponibilité correspondantes à l'importance pour la sûreté des charges connectées
Les exigences relatives aux systèmes d'alimentation de relève et d'urgence peuvent être satisfaites par un seul système.
Les systèmes d'alimentation électrique doivent être conçus de façon à inclure les divers modes d'interaction entre l'alimentation sur le site et l'alimentation à l'extérieur du site. De plus, des dispositions relatives à la conception doivent être établies pour pallier aux perturbations du réseau, y compris les conditions causées par des éruptions solaires (éjection de matière coronale).
Dans la conception, il faut préciser :
- les conditions environnementales et électromagnétiques auxquelles l'équipement électrique et les câbles pourraient être soumis
- les limites des émissions électromagnétiques produites par la conduction ou le rayonnement de l'équipement électrique
Les systèmes d'alimentation électrique doivent comprendre des installations appropriées de protection, de contrôle, de surveillance et d'essais.
Orientation
Il faudrait adopter une approche systématique pour identifier les systèmes d'alimentation électrique permettant d'assurer que les SSC nécessaires à l'exécution des fonctions de sûreté sont alimentés par des sources d'électricité présentant une classification de sûreté et une fiabilité adéquates.
Il faudrait spécifier les fondements de conception, les critères de conception, les documents d'application de la réglementation, les normes et les autres documents qui seront utilisés pour concevoir les systèmes d'alimentation électrique.
Les fondements de conception de chaque système d'alimentation électrique devraient inclure :
- la prise en considération de tous les modes d'exploitation, des états de la centrale jusqu'aux CAD, et de tous les événements prévus qui pourraient avoir une incidence sur les systèmes d'alimentation électrique
- la fiabilité et les objectifs de disponibilité des systèmes et des principaux équipements
- les exigences en matière de capacité et de rendement
- l'identification de toutes les charges (c.-à-d. les systèmes et équipements qui ont besoin d'électricité pour remplir leurs fonctions de sûreté), y compris les caractéristiques électriques, les conditions de demande maximale et la classification de sûreté
- les dispositifs de protection et la coordination de la protection
- la spécification des gammes de tensions et de fréquences acceptables pour le fonctionnement continu des charges connectées pour chaque système d'alimentation électrique
- l'identification des gammes acceptables de perturbations temporaires survenant sur le site et hors du site, susceptibles d'avoir une incidence sur les systèmes d'alimentation électrique
La conception devrait spécifier les exigences relatives à l'alimentation électrique préférée (AEP) (c.-à-d. les sources normales de courant alternatif des circuits électriques de la centrale importants pour la sûreté) et à l'interface de la centrale avec le réseau de distribution afin de réduire les risques de perte des sources normales d'alimentation en courant alternatif.
Il faudrait entreprendre des études du réseau de transport concernant les conditions et perturbations raisonnablement prévisibles du réseau électrique afin de démontrer que les sources normales d'alimentation en courant alternatif ne seront pas détériorées à un niveau posant des difficultés inutiles aux systèmes de sûreté et aux systèmes d'alimentation électrique de relève et d'urgence. Il faudrait établir les critères de rendement des éléments suivants :
- le rendement des génératrices durant des excursions de fréquence et de tension définies afin d'assurer que les génératrices restent reliées au réseau électrique
- des mesures de conception contre la foudre et les surtensions afin de protéger les systèmes de distribution électrique de la centrale contre les conditions de surtension temporaire comme celles causées par la foudre ou les commutations
Les systèmes d'alimentation électrique normale en CA devraient avoir la capacité d'alimenter toutes les charges électriques de la centrale dans les états de fonctionnement, les AD et les CAD.
Les alimentations électriques normales en CA devraient être conçues pour :
- empêcher les écarts par rapport à l'exploitation normale
- éviter que des défaillances simples ne touchent plus d'une division redondante d'alimentation électrique
- éviter de poser des difficultés évitables aux systèmes d'alimentation électrique de relève et d'urgence en raison d'une perturbation du système électrique, d'une condition temporaire ou d'une d'excursion de puissance (p. ex. déclenchement du groupe turbo-alternateur)
L'alimentation électrique en provenance de l'extérieur et alimentant le circuit électrique sur le site devrait être assurée par au moins deux lignes de transport d'électricité physiquement indépendantes, conçues et situées afin de minimiser la probabilité de leur défaillance simultanée. L'analyse de la sûreté devrait fournir des renseignements sur les circuits de puissance hors site venant du réseau de transport vers le poste de manœuvre de la centrale. Un poste de manœuvre commun aux deux circuits est acceptable, mais il faudrait utiliser des pylônes de lignes de transport séparés. Pour certaines conceptions de réacteurs, il est possible de justifier qu'un seul raccordement électrique hors site est suffisant.
Chacune des lignes de transport hors site de la centrale devrait avoir la capacité d'alimenter toutes les charges électriques de la centrale pour tous les états de la centrale.
La conception devrait prévoir au moins une ligne de transport et l'AEP connexe automatiquement disponibles pour fournir de l'électricité aux divisions de sûreté correspondantes dans les secondes qui suivent un IFP ou un AD.
Un deuxième circuit d'AEP devrait être conçu pour être disponible dans un laps de temps correspondant à l'exigence d'appuyer les fonctions de sûreté de la centrale durant les IFP ou les AD.
Pour les centrales conçues pour fonctionner en îlotage, le système d'alimentation électrique normale en courant alternatif devrait être conçu pour répondre aux excursions de fréquence et de tension de la génératrice liées au passage du mode d'exploitation normale au mode d'exploitation en îlotage.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- Groupe CSA, N290.5, Exigences relatives aux systèmes d'alimentation électrique et en air d'instrumentation des centrales nucléaires CANDU, Toronto, Canada (remarque : la norme CSA N290.5 est un document propre aux centrales CANDU qui traite particulièrement de la philosophie de conception des « deux groupes »).
- AIEA, NS-G-1.8, Design of Emergency Power Systems for Nuclear Power Plants, Vienne, 2004.
- IEEE, 1050, Guide for Instrumentation and Control Equipment Grounding in Generating Stations, Piscataway, New Jersey, 1996.
- IEEE, C62.23-1995, IEEE Application Guide for Surge Protection of Electric Generating Plants, Piscataway, New Jersey, 1995.
- IEEE, 141, IEEE Recommended Practice for Electric Power Distribution for Industrial Plants, Piscataway, New Jersey, 1993.
- IEEE, 242, IEEE Recommended Practice for Protection and Coordination of Industrial and Commercial Power Systems, Piscataway, New Jersey, 2001.
- IEEE, 308, IEEE Standard Criteria for Class 1E Power Systems for Nuclear Power Generating Stations, Piscataway, New Jersey, 2001.
- IEEE, 387, IEEE Standard Criteria for Diesel-Generator Units Applied as Standby Power Supplies for Nuclear Power Generating Stations, Piscataway, New Jersey, 1995.
- IEEE, 279, IEEE Standard: Criteria for Protection Systems for Nuclear Power Generating Stations, Piscataway, New Jersey, 1971.
- IEEE, 665, IEEE Standard for Generating Station Grounding, Piscataway, New Jersey [confirmée en 2001].
8.9.1 Systèmes d'alimentation électrique de relève et d'urgence
La capacité et la fiabilité des systèmes d'alimentation électrique de relève et d'urgence doivent suffire, à l'intérieur d'un temps de mission spécifié et en présence d'une défaillance unique, à fournir toute la puissance nécessaire pour :
- maintenir la centrale dans un état d'arrêt sûr et assurer la sûreté nucléaire dans des conditions d'AD ou de CAD
- soutenir les mesures de gestion des accidents graves
Les installations de stockage du carburant sur le site doivent contenir une quantité suffisante de carburant pour faire fonctionner les sources d'alimentation électrique de relève et d'urgence tout en alimentant les charges connectées.
La source d'approvisionnement préférée pour les systèmes d'alimentation électrique doit provenir d'une source hors site ou de la génératrice principale.
La conception doit :
- identifier tous les événements nécessitant l'activation des systèmes d'alimentation électrique de relève et d'urgence
- préciser le temps de mise en marche et la période d'énergisation de la charge de sûreté pour les systèmes d'alimentation de relève et d'urgence de telle sorte qu'ils soient disponibles dans un laps de temps correspondant à la fonction de sûreté des charges connectées
- préciser les conditions selon lesquelles le dispositif de protection électrique enclenchera les systèmes d'alimentation de relève et d'urgence afin de protéger l'équipement contre une défaillance importante
- réduire au minimum les problèmes qu'une perturbation du réseau électrique ou une condition transitoire pourrait causer aux sources d'alimentation de relève et d'urgence
- préciser les exigences applicables aux sources d'alimentation de relève et d'urgence, y compris tous les dispositifs auxiliaires de soutien et les sources d'alimentation en carburant
La conception du système d'alimentation d'urgence doit tenir compte des défaillances d'origine commune impliquant la perte de l'alimentation électrique normale et de l'alimentation de relève (le cas échéant). Le système d'alimentation d'urgence doit être raccordé à une source distincte, physiquement séparé et différent des systèmes d'alimentation normal et de relève (le cas échéant).
Les sources d'alimentation électrique de relève et d'urgence doivent :
- être préférablement enclenchées automatiquement
- pouvoir faire l'objet d'essais périodiques dans des conditions de charges nominales et de temps de mission complet
Orientation
Les sources d'alimentation électrique de relève et d'urgence devraient être constituées de groupes électrogènes complets comprenant tous les auxiliaires de soutien, une source d'énergie emmagasinée pour le démarrage et un circuit d'alimentation en carburant conçu à cet effet et indépendant avec stockage sur le site.
La source d'énergie emmagasinée destinée au démarrage des sources d'alimentation de relève et d'urgence devrait avoir suffisamment d'énergie emmagasinée pour cinq tentatives de démarrage successives.
8.9.2 Systèmes d'alimentation en courant continu et systèmes d'alimentation sans coupure en CA
La conception des systèmes d'alimentation en CC et des systèmes d'alimentation sans coupure en CA (s'il y a lieu) doit préciser les temps de mission en exploitation lorsque ces systèmes exécutent les fonctions de sûreté prévues des charges connectées et doit répondre aux exigences de capacité de la section 7.10.
La conception doit prévoir des dispositions pour l'essai périodique des sources d'alimentation en CC et des sources d'alimentation sans coupure en CA afin de confirmer leurs capacités.
Orientation
Systèmes d'alimentation en courant continu (CC)
Les systèmes d'alimentation en courant continu (CC) importants pour la sûreté devraient être conçus pour être indépendants des effets des AD auxquels ils doivent répondre et être parfaitement fonctionnels pendant et après des accidents.
Chacun des groupes de charge redondants devrait avoir une division d'alimentation en CC constituée d'une ou de plusieurs batteries, un ou plusieurs chargeurs de batteries, un système de distribution, et des dispositifs de protection et d'isolation.
Chaque division d'alimentation en CC devrait être indépendante et séparée physiquement des autres divisions d'alimentation en CC.
Les chargeurs de batteries devraient être conçus pour éviter que les transitoires sur l'alimentation en courant alternatif ne nuisent pas au fonctionnement du système en CC, et que les transitoires en CC ne nuisent pas à l'alimentation en courant alternatif.
Systèmes d'alimentation sans coupure en CA
Les systèmes d'alimentation sans coupure en courant alternatif qui sont importants pour la sûreté devraient être conçus pour être indépendants des effets des accidents de dimensionnement auxquels ils doivent répondre et être parfaitement fonctionnels pendant et après de tels accidents.
Chaque division des systèmes d'alimentation sans coupure en CA devrait comporter :
- une alimentation en CA et une alimentation en CC vers un onduleur
- une alimentation en CA venant de la même division
- un dispositif assurant la commutation automatique entre la sortie de l'onduleur et l'alimentation en CA séparée
Les caractéristiques électriques et les exigences relatives aux charges connectées devraient être prises en considération dans la conception afin que les interactions avec le système d'alimentation en CA sans coupure ne dégradent pas les fonctions de soutien de la sûreté des charges fournies.
Les systèmes d'alimentation en CA sans coupure devraient être conçus pour éviter que les transitoires sur l'alimentation en CA ne nuisent au chargeur de batteries ou que les transitoires sur l'alimentation en CC vers l'onduleur ne nuise au fonctionnement de l'onduleur.
8.9.3 Source d'alimentation de remplacement en CA
Le système d'alimentation électrique doit comprendre des dispositions pour atténuer la perte complète d'alimentation en CA sur le site et à l'extérieur du site. Cela se fait en utilisant des sources d'alimentation sur le site qui sont portatives, transportables ou fixes, des sources d'alimentation hors site qui sont portatives ou transportables, ou une combinaison des deux.
La source d'alimentation de remplacement en CA doit être disponible et située sur le site de la centrale ou tout près, et doit :
- pouvoir être raccordée, sans être habituellement raccordée, aux systèmes d'alimentation de relève et d'urgence en CA du site
- présenter un potentiel minimal de défaillance d'origine commune avec les sources d'alimentation hors site ou les sources d'alimentation de relève et d'urgence en CA sur le site
- être disponible rapidement après le début d'une panne d'électricité totale de la centrale
- présenter une capacité et une fiabilité suffisantes en vue de faire fonctionner tous les systèmes nécessaires pour pallier à une panne d'électricité totale de la centrale pendant toute la durée requise pour placer la centrale dans un état d'arrêt sûr et la maintenir dans cet état
La conception doit prévoir une disposition pour l'essai périodique de la source d'alimentation de remplacement afin de confirmer sa capacité à fonctionner pendant une panne d'électricité totale à la centrale.
Orientation
La capacité de la centrale à maintenir les paramètres critiques (réserves de fluide caloporteur du réacteur, température et pression de l'enceinte de confinement, températures des pièces abritant des équipements critiques) et à évacuer la chaleur résiduelle du combustible irradié devrait être analysée pour la période durant laquelle la centrale se trouve en situation de perte d'électricité totale (PET).
Il faudrait évaluer la pertinence de la capacité des circuits de CC requis pour surveiller les paramètres critiques et alimenter les systèmes d'éclairage et de communication en cas de PET.
8.10 Salles de commande
8.10.1 Salle de commande principale
La conception doit prévoir une salle de commande principale (SCP) à partir de laquelle la centrale peut être exploitée en toute sécurité, et d'où des mesures peuvent être prises pour maintenir ou remettre la centrale dans un état sûr à la suite d'IFP, d'AD ou de CAD.
La conception doit identifier les événements internes et externes à la SCP qui peuvent constituer une menace directe pour l'exploitation continue de la salle de commande, et prévoir des mesures pratiques pour minimiser les effets de ces événements.
Les fonctions de sûreté qui peuvent être enclenchées par la logique de contrôle automatique à la suite d'un accident doivent aussi pouvoir être actionnées manuellement depuis la SCP.
La disposition des commandes et des instruments, ainsi que le mode et le format utilisé pour transmettre l'information, doivent fournir au personnel d'exploitation une représentation globale adéquate de l'état et du rendement de la centrale ainsi que les renseignements nécessaires pour appuyer les interventions des opérateurs.
La conception de la SCP doit être telle qu'un éclairage et un environnement thermique appropriés sont assurés et que le bruit est réduit à des niveaux conformes aux normes et aux codes acceptables.
Les facteurs ergonomiques doivent être pris en compte dans la conception de la SCP pour assurer l'accessibilité physique et visuelle aux contrôles et affichages, sans effet indésirable sur la santé et le niveau de confort. Cela inclut les panneaux d'affichage câblés et l'affichage informatisé qui doivent être aussi conviviaux que possible.
Le câblage de l'équipement d'IC de la SCP doit être configuré pour qu'un incendie dans la SCA ne puisse désactiver l'équipement de la SCP.
La conception doit prévoir des indications visuelles et, si nécessaire, sonores sur les conditions et les processus de la centrale qui ont dévié de l'état normal et qui pourraient avoir un impact sur la sûreté.
La conception doit aussi permettre l'affichage de l'information nécessaire pour surveiller les effets des interventions automatiques de tous les systèmes de commande, de sûreté et de soutien en matière de sûreté.
La SCP doit être pourvue de lignes de communication sécurisées avec les installations de soutien d'urgence et les organisations d'intervention d'urgence externes, et permettre des périodes de fonctionnement prolongées.
Orientation
La salle de commande principale (SCP) devrait présenter des affichages suffisants pour surveiller toutes les fonctions de sûreté.
La conception devrait empêcher les interventions manuelles dangereuses (p. ex. en utilisant un verrouillage logique en fonction de l'état de la centrale).
Lorsque des systèmes liés à la sûreté et des systèmes non liés à la sûreté sont très rapprochés les uns des autres, la conception devrait maintenir une isolation fonctionnelle et une séparation physique adéquates.
Des mesures appropriées sont prises (y compris la mise en place de barrières entre la salle de commande et le milieu extérieur) et des informations sont fournies pour protéger les occupants de la salle de commande contre les dangers tels que les niveaux de rayonnement élevés résultant d'AD ou de CAD, le rejet de matières radioactives, un incendie, ou des gaz explosifs ou toxiques.
Le déclenchement manuel d'une fonction de sûreté fournit une forme de défense en profondeur en conditions anormales (y compris la défaillance d'origine commune des systèmes automatiques de contrôle et de protection) et permet l'exploitation à long terme à la suite d'un accident. Il faudrait prévoir un déclenchement manuel au niveau du système et au niveau des composants, le cas échéant.
L'affichage et le contrôle manuel des fonctions de sûreté critiques déclenchées par l'opérateur devraient être différents de ceux des systèmes de sûreté automatiques commandés par ordinateur.
Une évaluation de l'habitabilité devrait être réalisée pour toutes les installations de commande. La durée minimale d'habitabilité devrait être suffisante pour permettre l'exécution des fonctions de sûreté requises dans chaque installation. Il faudrait établir des critères d'habitabilité de la salle de commande.
8.10.1.1 Système d'affichage des paramètres de sûreté
La SCP doit être dotée d'un système d'affichage des paramètres de sûreté (SAPS) qui présente suffisamment d'information sur les paramètres de sûreté essentiels pour le diagnostic et l'atténuation des AD et des CAD.
Le SAPS doit posséder les capacités suivantes :
- afficher les paramètres critiques de sûreté pour toute la gamme prévue dans les divers états de fonctionnement, les AD et les CAD
- suivre les tendances des paramètres mesurés
- indiquer quand l'état de la centrale approche des limites fonctionnelles ou de sûreté ou quand elle les dépasse
- afficher l'état des systèmes de sûreté
Le SAPS doit être conçu et installé de sorte que les mêmes données soient disponibles de façon sécuritaire à l'installation d'intervention d'urgence.
Le SAPS de sûreté doit être intégré à la conception globale de l'interface homme-machine de la salle de commande et s'y harmoniser.
Orientation
La fonction primaire du SAPS est de servir d'aide aux opérateurs pour détecter rapidement les conditions anormales en fournissant un affichage des paramètres de la centrale permettant d'évaluer l'état de sûreté de l'exploitation dans la salle de commande. Le système d'affichage peut inclure d'autres fonctions qui aident le personnel d'exploitation à évaluer l'état de la centrale. La conception du système d'affichage devrait être souple afin de permettre l'ajout futur de concepts de diagnostic et de techniques d'évaluation perfectionnés.
Le SAPS devrait afficher un ensemble minimal de paramètres de la centrale ou de variables dérivées permettant d'évaluer l'état de sûreté de la centrale. Ces paramètres et variables sont liées à des fonctions, telles que :
- le contrôle de la réactivité
- le refroidissement du cœur du réacteur et du combustible irradié
- l'évacuation de la chaleur du système primaire
- l'intégrité du système de refroidissement du réacteur
- le contrôle de la radioactivité
- l'intégrité de l'enceinte de confinement
Le SAPS devrait :
- présenter une disponibilité et une fiabilité suffisantes
- ne pas afficher de données ou d'alarmes non fiables ou non valides
- être conçu pour répondre aux exigences relatives à la facilité d'utilisation et aux facteurs humains
L'affichage des conditions d'exploitation anormales importantes sur le plan de la sûreté devrait avoir un aspect nettement différent de l'affichage représentant les conditions d'exploitation normale.
L'information affichée par l'écran du SAPS devrait être présentée de manière à faciliter la lecture et la compréhension des opérateurs.
L'affichage devrait être conçu pour améliorer la reconnaissance, la compréhension et la détection des états de fonctionnement anormaux par l'opérateur.
8.10.2 Salle de commande auxiliaire
La conception doit comprendre une SCA physiquement et électriquement séparée de la SCP, et à partir de laquelle la centrale peut être placée et maintenue dans un état d'arrêt sûr lorsque l'on ne peut plus exécuter les fonctions de sûreté essentielles depuis la SCP.
La conception doit déterminer tous les événements susceptibles de constituer une menace directe à l'exploitation continue de la SCP et de la SCA. La conception de la SCP et de la SCA doit être telle qu'aucun événement ne peut simultanément nuire aux deux salles de commande dans la mesure où les fonctions de sûreté essentielles ne peuvent être exécutées.
Pour tout EDH, au moins une salle de commande doit être habitable et accessible par une voie qualifiée.
L'instrumentation, l'équipement de commande et les systèmes d'affichage doivent être disponibles dans la SCA de sorte que les fonctions de sûreté essentielles puissent être exécutées, que les variables essentielles de la centrale puissent être surveillées et que les interventions de l'opérateur puissent être soutenues.
Les fonctions de sûreté actionnées par la logique de commande automatique en réponse à un accident doivent aussi pouvoir être enclenchées manuellement depuis la SCA.
La conception de la SCA doit faire en sorte que des niveaux d'éclairage et un environnement thermique appropriés soient maintenus et que les niveaux sonores soient alignés sur les normes et les codes applicables.
Les facteurs ergonomiques doivent s'appliquer à la conception de la SCA pour assurer l'accessibilité physique et visuelle aux contrôles et aux affichages, sans effet indésirable sur la santé et le confort. Cela doit inclure les panneaux d'affichage câblés et l'affichage informatisé qui doivent être aussi conviviaux que possible.
Le câblage de l'équipement d'IC de la SCA doit être configuré de façon à ce qu'un incendie dans la salle de commande principale ne puisse désactiver l'équipement de la SCA.
La SCA doit être dotée d'un système d'affichage des paramètres de sûreté similaire à celui de la SCP. Au minimum, ce système doit fournir l'information nécessaire pour aider à placer la centrale en état d'arrêt sûr et la maintenir dans cet état lorsque la SCP est inhabitable.
La SCA doit être dotée de lignes de communications sécurisées avec l'installation d'intervention d'urgence et les organismes d'intervention d'urgence externes.
La SCA doit être conçue en prévision de périodes d'exploitation prolongées.
Orientation
Des commandes, des indications, des alarmes et des affichages suffisants devraient être prévus dans la SCA pour placer la centrale dans un état sûr, pour garantir qu'un état sûr a été atteint et est maintenu, et pour fournir aux opérateurs des renseignements sur l'état de la centrale et les tendances des principaux paramètres de celle-ci.
Des dispositions adéquates devraient être prises hors de la SCP pour transférer le contrôle à la SCA chaque fois que la SCP est abandonnée.
En situations d'urgence, il devrait y avoir des parcours adéquats permettant au personnel d'une salle de commande de quitter la zone en toute sécurité et de se rendre dans une autre salle de commande.
Consulter la section 8.10.1 pour les autres orientations et attentes applicables en matière de conception.
8.10.3 Installations de soutien d'urgence
La conception doit prévoir des installations de soutien d'urgence sur le site, séparées des salles de commande de la centrale, à l'intention du personnel de soutien technique et du personnel de soutien d'urgence en cas d'une situation d'urgence.
Les installations de soutien d'urgence doivent comprendre un centre de soutien technique et un centre de soutien d'urgence sur le site (CSU). Ces deux centres peuvent être situés au même endroit ou dans des endroits séparés.
Les installations de soutien d'urgence doivent être pourvus d'équipement et de moyens de communication permettant au personnel formé de gérer, de contrôler et de coordonner les mesures d'intervention d'urgence et d'apporter un soutien technique aux opérations, aux organisations d'intervention d'urgence et à l'évaluation de la gestion d'un accident grave.
La conception des installations de soutien d'urgence doit veiller à ce que des niveaux d'éclairage et un environnement thermique appropriés soient maintenus et à ce que les niveaux sonores soient minimisés conformément aux normes et aux codes applicables.
Les installations de soutien d'urgence doivent être pourvues de moyens de communication sécurisés avec les SCP et SCA, avec d'autres points importants de la centrale ainsi qu'avec les organisations d'intervention d'urgence sur le site et hors du site.
La conception des installations de soutien d'urgence doit :
- comprendre des dispositions de protection des occupants pendant des périodes prolongées contre les dangers que posent les AD et les CAD
- prévoir des installations adéquates permettant des périodes d'intervention prolongées
L'installation d'intervention d'urgence doit être dotée d'un système d'affichage des paramètres de sûreté similaire à celui de la SCP et de la SCA.
Des données sur les conditions radiologiques dans la centrale et son environnement avoisinant immédiat, ainsi que sur les conditions météorologiques dans l'environnement avoisinant doivent être accessibles depuis l'installation d'intervention d'urgence.
Orientation
La conception prévoit des installations de soutien d'urgence qui comprennent un centre de soutien technique et une installation d'intervention d'urgence.
Le centre de soutien technique (CST) fournira les fonctions suivantes :
- offrir un soutien technique et une gestion de la centrale au personnel d'exploitation de la centrale en cas d'urgence
- gérer les tâches et communications périphériques qui ne sont pas directement liées aux manipulations du réacteur pour alléger le fardeau des opérateurs du réacteur en cas d'urgence
- empêcher la congestion dans les salles de commande
- exécuter des fonctions de soutien d'urgence jusqu'à ce que le centre de soutien d'urgence soit fonctionnel
Pour faciliter les fonctions ci-dessus, le CST devrait se situer le plus près possible des salles de commande et dans un espace suffisamment grand pour loger le personnel de soutien technique.
De l'équipement devrait être prévu dans le CST pour l'acquisition, le stockage et l'affichage des données nécessaires à l'analyse des conditions de la centrale.
Le CST devrait avoir un dépôt central complet et à jour des dossiers de la centrale pour aider à l'analyse technique et à l'évaluation des conditions d'urgence.
De l'équipement devrait être prévu dans l'installation d'intervention d'urgence pour l'acquisition, l'affichage et l'évaluation de toutes les données radiologiques et météorologiques ainsi que des données relatives aux systèmes de la centrale permettant de déterminer les mesures de protection hors site.
L'équipement utilisé pour exécuter les fonctions essentielles de l'installation d'intervention d'urgence devrait être situé au sein du complexe même. Toutefois, des calculs supplémentaires et un soutien analytique des évaluations de l'installation d'intervention d'urgence peuvent être fournis par des installations situées à l'extérieur de celle-ci.
Le système de données de l'installation d'intervention d'urgence devrait être conçu pour obtenir un niveau de fiabilité adéquat.
L'emplacement de l'installation d'intervention d'urgence devrait assurer des caractéristiques optimales sur le plan fonctionnel et de la fiabilité pour accomplir ses fonctions.
Si le CST et l'installation d'intervention d'urgence sont situés au même endroit, alors ils devraient être physiquement séparés des salles de commande et être placés à une distance suffisante pour assurer la capacité d'exécution de leurs fonctions.
Dans le cas des centrales à tranches multiples, il faudrait démontrer que les installations de soutien d'urgence sont adéquates pour répondre aux événements d'origine commune qui surviennent dans plusieurs tranches.
8.10.4 Intervention prévue de l'opérateur
Si l'intervention de l'opérateur est requise pour actionner tout équipement d'un système de sûreté ou d'un système de soutien, toutes les exigences suivantes doivent être respectées :
- des procédures opérationnelles claires, bien définies, validées et immédiatement accessibles décrivant les actions nécessaires doivent être établies
- une instrumentation se trouve dans les salles de commande pour fournir une indication claire de la nécessité de l'intervention de l'opérateur
- à la suite d'une alerte indiquant la nécessité d'une intervention de l'opérateur dans les salles de commande, une période minimale de 30 minutes est accordée avant que l'intervention de l'opérateur soit requise
- à la suite d'une alerte indiquant la nécessité d'une intervention de l'opérateur à l'extérieur des salles de commande, une période minimale d'une heure est accordée avant que l'intervention de l'opérateur soit requise
Pour les mesures prises automatiquement par les systèmes de sûreté et la logique de contrôle, la conception doit faciliter l'activation manuelle du système de secours depuis l'intérieur de la salle de commande appropriée.
Orientation
La conception devrait faire en sorte qu'aucune défaillance des systèmes de surveillance et d'affichage n'influencera le fonctionnement d'autres systèmes de sûreté.
Le temps disponible avant que l'intervention de l'opérateur soit approuvé devrait être calculé à partir du moment où une indication sans ambiguïté d'un accident potentiel est reçue (habituellement une alarme) et inclure le temps de diagnostic.
Le temps accordé pour intervenir devrait être fondé sur l'analyse de la réponse de la centrale en cas d'IFP et d'AD, en utilisant des hypothèses réalistes. Le temps requis pour l'intervention de l'opérateur devrait être fondé sur une analyse de l'ingénierie des facteurs humains du temps de réponse de l'opérateur qui (à son tour) repose sur une séquence documentée des interventions de ses opérateurs. Les incertitudes de l'analyse du temps requis sont identifiées et évaluées. Il faudrait également ajouter une marge temporelle adéquate au temps analysé.
Si l'intervention de l'opérateur est requise pour actionner une fonction de sûreté mais qu'elle ne satisfait pas aux exigences de ce document, l'analyse devrait également démontrer que :
- l'opérateur disposera de suffisamment de temps pour effectuer l'intervention manuelle requise
- l'opérateur peut intervenir de façon correcte et fiable dans le délai accordé
La séquence des interventions devrait uniquement utiliser les alarmes, les contrôles et les affichages qui seraient disponibles aux endroits où les tâches seront réalisées et devraient être disponibles dans tous les scénarios analysés.
Il faudrait procéder à une validation préliminaire pour fournir une confirmation indépendante de la validité du « temps disponible » estimé et du « temps nécessaire » pour accomplir les interventions humaines. Les résultats de la validation préliminaire devraient étayer la conclusion selon laquelle le temps nécessaire (y compris la marge) pour exécuter les étapes individuelles et la séquence globale documentée des interventions manuelles de l'opérateur est raisonnable, réaliste, reproductible et limité par l'analyse initiale.
Il faudrait également procéder à un essai du système intégré afin de valider les interventions manuelles prévues dans l'analyse de la sûreté, en utilisant un simulateur à échelle réelle. Les tâches réalisées à l'extérieur de la salle de commande devraient être ajoutées dans les validations du système intégré.
Des temps d'intervention différents peuvent être utilisés au besoin. Les temps d'intervention différents devaient tenir compte de la complexité des mesures à prendre et du temps nécessaire aux activités comme le diagnostic de l'événement et l'accès à un emplacement sur le terrain.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- ANSI/ANS, 58.8, Time Response Design Criteria for Safety Related Operator Actions, La Grange Park, Illinois, 2008.
- CCSN, G-225, Planification d'urgence dans les installations nucléaires de catégorie I, les mines d'uranium et les usines de concentration d'uranium, Ottawa, Canada, 2001, ou documents de remplacement.
- CEI, 60964, Centrales nucléaires de puissance – Salles de commande – Conception, Genève, 2009.
- CEI, 60965, Centrales nucléaires de puissance – Salles de commande – Points de commande supplémentaires pour l'arrêt des réacteurs sans accès à la salle de commande principale (salle de commande de repli), Genève, 2009.
- Groupe CSA, N290.4, Requirements for Reactor Control Systems of Nuclear Power Plants, Toronto, Canada.
- NEI, 99-03, Control Room Habitability Assessment Guidance, Washington, D.C., 2001.
- U.S. NRC, NUREG-0696, Functional Criteria for Emergency Response Facilities, Washington, D.C, 1981.
- U.S. NRC, Regulatory Guide 1.196, Control Room Habitability at Light-Water Nuclear Power Reactors, Washington, D.C, 2003.
8.11 Traitement et contrôle des déchets
La conception doit prévoir des mesures de traitement des effluents liquides et gazeux afin de maintenir les quantités et les concentrations des contaminants rejetés à l'intérieur des limites prescrites et conformément au principe ALARA.
La conception de la centrale nucléaire doit réduire au minimum la production de déchets radioactifs et dangereux. Celle-ci doit aussi comporter des dispositions appropriées pour la manutention et le stockage sécuritaires des déchets radioactifs et non radioactifs sur le site pendant une période de temps conforme aux options offertes pour la gestion et l'élimination des déchets à l'extérieur du site.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans le document suivant :
- CCSN, P-290, Gestion des déchets radioactifs, Ottawa, Canada, 2004.
8.11.1 Contrôle des rejets liquides dans l'environnement
Pour s'assurer que les émissions et les concentrations demeurent dans les limites prescrites, la conception doit comprendre des moyens appropriés de contrôle des rejets liquides dans l'environnement, conformément au principe ALARA.
Cela doit comprendre un système de gestion des déchets liquides d'une capacité suffisante pour collecter, conserver, mélanger, pomper, tester, traiter et échantillonner les déchets liquides avant rejet, en tenant compte des rejets prévus et des déversements ou des rejets accidentels.
8.11.2 Contrôle des matières présentes dans l'air à l'intérieur de la centrale
La conception doit comprendre des systèmes de gestion des déchets gazeux capables de :
- contrôler tous les contaminants gazeux conformément au principe ALARA et de s'assurer que les concentrations demeurent dans les limites prescrites
- collecter tous les gaz, vapeurs et particules volatiles potentiellement actifs présents dans l'air, à des fins de surveillance
- faire passer tous les gaz, vapeurs et particules volatiles potentiellement actifs dans des pré-filtres, des filtres absolus, des filtres au charbon ou des filtres à haute efficacité contre les particules, le cas échéant
-
retarder les rejets de sources potentielles de gaz nobles à l'aide d'un système de traitement des
effluents gazeux de capacité suffisante
La conception doit être dotée d'un système de ventilation muni d'un système de filtration approprié permettant de :
- prévenir la dispersion inacceptable des contaminants présents dans l'air de la centrale
- réduire les concentrations de matières radioactives présentes dans l'air à des niveaux compatibles avec les besoins d'accès de chaque zone particulière
- maintenir le niveau des matières radioactives présentes dans l'air de la centrale en deçà des limites prescrites, le principe ALARA s'appliquant en mode d'exploitation normal
- ventiler les salles contenant des gaz inertes ou nocifs, sans diminuer la capacité de contrôler les rejets radioactifs
Orientation
Des zones radiologiques peuvent être établies dans la conception de la centrale nucléaire, en fonction des risques de contamination potentielle dans chaque secteur. Le système de ventilation devrait être conçu de manière à ce que tout mouvement d'air entre les différentes zones, causé par une différence de pression, se produise d'un secteur moins contaminé vers un secteur dont le niveau de contamination est plus élevé. La recirculation de l'air à l'intérieur d'une zone ou d'une pièce peut être autorisée.
8.11.3 Contrôle des rejets gazeux dans l'environnement
Le système de ventilation doit comprendre des dispositifs de filtration destinés à :
- contrôler les rejets de contaminants gazeux et de substances dangereuses dans l'environnement
- assurer la conformité au principe ALARA
- maintenir les niveaux de contaminants présents dans l'air dans les limites prescrites
Le système de filtration doit être suffisamment fiable pour que les limites des facteurs de rétention soient respectées dans les conditions prédominantes prévues. Le système doit en outre être conçu pour faciliter l'efficacité des essais appropriés.
Orientation
Un système de gestion des déchets gazeux est conçu pour recueillir tous les gaz, vapeurs et particules volatiles actifs ou potentiellement actifs éventuellement présents afin de surveiller et de filtrer les effluents avant de les rejeter dans l'atmosphère. Les unités de filtration devraient être placées dans une pièce complètement fermée avec des murs et des sols en béton suffisamment épais pour protéger le personnel de la centrale contre les rayonnements. Des appareils de surveillance devraient être prévus dans la cheminée pour détecter toute activité présente dans les effluents. L'activité des gaz provenant de secteurs tels que les piscines de stockage du combustible, les secteurs de service et les laboratoires actifs devrait également être surveillée et ces gaz devraient être filtrés avant d'être rejetés dans l'atmosphère.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, G-129, Maintenir les expositions et les doses au « niveau le plus bas qu'il soit raisonnablement possible d'atteindre (ALARA) », Ottawa, Canada, 2004.
- Groupe CSA, N292.3, Gestion des déchets radioactifs de faible et de moyenne activité, Toronto, Canada.
- AIEA, Collection normes de sûreté no GS-G-3.3, The Management System for the Processing, Handling and Storage of Radioactive Waste Safety Guide, Vienne, 2008.
8.12 Manutention et stockage du combustible
On doit prévoir des barrières pour prévenir l'insertion de combustible inadéquat, défectueux ou endommagé dans le réacteur.
On doit inclure des dispositions visant à prévenir la contamination du combustible et du réacteur.
La conception doit satisfaire aux exigences précisées dans le document RD‑327, Sûreté en matière de criticité nucléaire.
Orientation
La conception devrait prévoir le fondement des systèmes de manutention et de stockage du combustible. La conception devrait comprendre des dispositions pour la surveillance et les alarmes, pour la prévention des incidents de criticité, et pour l'écran de blindage, la manutention, le stockage, le refroidissement, le transfert et le transport du combustible nucléaire.
Des facteurs tels que l'emballage, les systèmes de comptabilisation du combustible, le stockage, la prévention des incidents de criticité, le contrôle de l'intégrité du combustible, les procédures d'exclusion des matières étrangères et la sécurité du combustible, devraient être pris en compte dans la conception.
Les exigences relatives à la sûreté-criticité sont expliquées dans le RD-327, Sûreté en matière de criticité nucléaire. Des directives détaillées et des références techniques complètes sur la sûreté-criticité sont fournies par le document GD-327, Directives de sûreté en matière de criticité nucléaire.
La conception devrait comprendre des dispositions pour prévenir la contamination du combustible par des matières étrangères (graisses, « uranium baladeur », etc.) et éviter la propagation de la contamination dans le réacteur.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- ANSI/ANS, 57.1, American National Standard Design Requirements for Light Water Reactor Fuel Handling Systems (le cas échéant), La Grange Park, Illinois, 1992.
- AIEA, NS-G-2.5, Core Management and Fuel Handling for Nuclear Power Plants, Vienne, 2002.
- AIEA, NS-G-1.4, Design of Fuel Handling and Storage Systems for Nuclear Power Plants, Vienne, 2003.
8.12.1 Manutention et stockage de combustible non irradié
La conception des systèmes de manutention et de stockage de combustible non irradié doit :
- garantir la sûreté en matière de criticité nucléaire
- permettre l'entretien, l'inspection périodique et les essais appropriés des composants essentiels pour la sûreté
- permettre l'inspection du combustible non irradié
- prévenir la perte ou les dommages au combustible
- satisfaire aux exigences de garanties du Canada concernant l'enregistrement et les déclarations des données de comptabilisation et la surveillance des flux et des réserves liés au combustible non irradié contenant de la matière fissile
8.12.2 Manutention et stockage de combustible irradié
La conception des systèmes de manutention et de stockage de combustible irradié doit :
- garantir la sûreté en matière de criticité nucléaire
- permettre l'évacuation appropriée de la chaleur dans les divers états de fonctionnement, les AD et les CAD
- permettre l'inspection du combustible irradié
- permettre l'inspection périodique et les essais des composants importants pour la sûreté
- prévenir la chute de combustible irradié en transit
- prévenir les contraintes inacceptables sur les éléments ou les assemblages de combustible dues à leur manutention
- prévenir la chute accidentelle d'objets et d'équipement lourds sur les assemblages de combustible
- permettre l'inspection et le stockage sécuritaire des éléments ou des assemblages de combustible suspects ou endommagés
- fournir des moyens de protection adéquats contre le rayonnement
- permettre une identification adéquate des modules de combustible individuels
- faciliter l'entretien et le déclassement des installations de stockage et de manutention du combustible
- faciliter, au besoin, la décontamination des aires et de l'équipement de manutention et de stockage du combustible
- veiller à ce que des procédures adéquates d'exploitation et de comptabilisation soient mises en place pour prévenir les pertes de combustible
- prévoir des mesures pour prévenir une menace ou le sabotage direct du combustible irradié
- satisfaire aux exigences de garanties du Canada concernant l'enregistrement et les comptes rendus des données de comptabilisation ainsi que la surveillance des flux et des réserves de combustible irradié contenant de la matière fissile
La conception d'une piscine d'eau pour le stockage du combustible doit prévoir des dispositifs visant à :
- contrôler la composition et l'activité chimique de l'eau dans laquelle le combustible irradié est manipulé ou stocké
- surveiller et contrôler le niveau de l'eau dans la piscine de stockage de combustible
- détecter les fuites
- empêcher que la piscine ne se vide en cas de rupture de conduite
- prévoir un espace suffisant pour conserver en tout temps les réserves complètes du cœur du réacteur
La conception des piscines de stockage du combustible irradié doit comprendre des moyens de prévenir la mise à découvert du combustible dans les divers états de fonctionnement, les AD et les CAD.
La conception d'une piscine pour le stockage du combustible doit prévoir des dispositions pour les CAD en :
- s'assurant que le bouillonnement dans la piscine n'entraînera pas de dommages structuraux
- fournissant des connexions temporaires pour permettre le remplissage de la piscine à partir de sources temporaires
- fournissant des connexions temporaires aux systèmes de refroidissement pour l'alimentation électrique et l'eau de refroidissement
- prévoyant un dispositif d'atténuation de l'hydrogène dans l'aire de la piscine de stockage du combustible usé
- s'assurant que les mesures de gestion des accidents graves liés à la piscine de combustible usé peuvent être mises en œuvre
Orientation
L'atténuation des risques liés à l'hydrogène est particulièrement importante dans la zone des piscines de stockage du combustible irradié si l'on envisage d'utiliser la piscine pour l'épuration des produits de fission, dans le cadre de la mise à l'air de l'enceinte de confinement. Il n'est pas nécessaire de prévoir des mesures d'atténuation de l'hydrogène dans l'aire de la piscine de combustible usé si l'on peut prévenir le drainage de la piscine au-delà de la capacité d'appoint.
8.12.3 Détection de combustible défectueux
La conception doit prévoir un moyen pour détecter de façon fiable les défauts du combustible dans le réacteur et l'enlever si les niveaux d'intervention possibles sont dépassés.
Orientation
La quantité de combustible défectueux laissée dans le cœur peut avoir une incidence sur le dossier de sûreté de la conception. La conception devrait spécifier le critère utilisé pour décider de poursuivre l'exploitation avec du combustible défectueux dans le cœur ou de décharger l'assemblage de combustible du cœur. La conception devrait permettre de retirer le combustible défectueux aussi rapidement que possible. La conception devrait prévoir l'inspection et la mise en quarantaine du combustible défectueux dans les installations de manutention et de stockage du combustible.
8.13 Radioprotection
La conception et l'aménagement de la centrale doivent être visés par des dispositions pertinentes visant à réduire au minimum l'exposition et la contamination émanant de toute source. Cela doit englober la conception appropriée de SSC pour :
- contrôler l'accès à la centrale
- minimiser l'exposition durant l'entretien et l'inspection
- fournir un blindage contre le rayonnement direct et diffusé
- fournir des dispositifs de ventilation et de filtration pour contrôler les matières radioactives en suspension dans l'air
- limiter l'activation des produits de corrosion en définissant des spécifications appropriées pour les matériaux
- minimiser la propagation des matières actives
- surveiller les niveaux de rayonnement
- fournir des installations de décontamination appropriées
Orientation
La centrale nucléaire devrait être divisée en zones fondées sur les débits de dose prévus, les niveaux de contamination radioactive, la concentration de radionucléides en suspension dans l'air, les exigences relatives à l'accès et des exigences particulières (telles que le besoin de séparer les trains de sûreté). Il faudrait fournir les critères et les justifications utilisés pour la désignation des zones de rayonnement (y compris les limites des zones prévues pour l'exploitation normale, le rechargement et en conditions d'accident). Les critères devraient servir de fondement pour la conception des blindages contre les rayonnements.
Du point de vue de la radioprotection, il faudrait soigneusement évaluer les exigences relatives à l'accès pour l'exploitation, l'inspection, l'entretien, la réparation, le remplacement et le déclassement des équipements. Ces considérations devraient être ajoutées à la conception. La conception devrait également prévoir un espace permettant de déposer les outils spéciaux et de faciliter les activités d'entretien. Enfin, celle-ci devrait prévoir des éléments tels que des plateformes ou des passerelles, des escaliers ou des échelles permettant un accès rapide pour l'entretien ou l'inspection des composants situés dans les zones à niveau de rayonnement plus élevé.
Il faudrait envisager et inclure l'utilisation de techniques d'entretien et de surveillance à distance dans les zones à haut niveau de rayonnement. Il faudrait de préférence utiliser des caractéristiques de conception et des contrôles techniques appropriés plutôt que des processus ou des contrôles administratifs.
Il faudrait choisir des équipements fiables nécessitant un minimum de surveillance, d'entretien, d'essais et d'étalonnages.
Les critères et les justifications prévus par la conception devraient refléter l'expérience en exploitation.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, G-129, Maintenir les expositions et les doses au « niveau le plus bas qu'il soit raisonnablement possible d'atteindre (ALARA), Ottawa, Canada », 2004.
- AIEA, Guide de sûreté no RS-G-1.1, Radioprotection professionnelle, Vienne, 1999.
- AIEA, Collection normes de sûreté no NS-G-1.13, Radiation Protection Aspects of Design for Nuclear Power Plants – Safety Guide, Vienne, 2005.
8.13.1 Conception relative à la radioprotection
La conception du blindage doit empêcher les niveaux de rayonnement dans les aires d'exploitation d'excéder les limites prescrites. Cela doit englober des mesures visant à assurer une configuration et un blindage permanents et appropriés des SSC contenant des matières radioactives, ainsi que l'utilisation d'écrans temporaires pour les travaux d'entretien et d'inspection.
Pour minimiser l'exposition au rayonnement, la configuration de la centrale doit permettre une exploitation efficace, ainsi que l'inspection, l'entretien et le remplacement. De plus, la conception doit limiter la quantité de matières activées et son accumulation.
La conception doit tenir compte des endroits fréquemment occupés et de la nécessité pour le personnel d'accéder à des secteurs et à de l'équipement.
Les chemins d'accès doivent être protégés, le cas échéant.
La conception doit faciliter l'accès de l'opérateur sur les lieux où son intervention est nécessaire après un accident.
Une protection appropriée contre l'exposition au rayonnement et à la contamination radioactive lors d'AD et de CAD doit être fournie dans les secteurs de l'installation où l'accès est requis.
Orientation
Le blindage devrait être conçu en se basant sur la délimitation des zones décrite à la section 8.13. Il faudrait fournir les critères de conception du blindage (y compris la méthode utilisée pour les paramètres de protection et le choix des matériaux du blindage). En établissant les spécifications du blindage, il faudrait tenir compte de l'accumulation de matières radioactives au cours de la durée de vie de la centrale nucléaire.
8.13.2 Contrôle de l'accès et des déplacements
La configuration de la centrale et les procédures doivent permettre de contrôler l'accès aux secteurs de rayonnement et de contamination potentielle.
La conception doit minimiser les déplacements de matières radioactives et la propagation de la contamination et prévoir des installations de décontamination appropriées pour le personnel.
Orientation
Il faudrait prendre des dispositions pour contrôler la sortie (ou les sorties) des zones de rayonnement. Il faudrait établir une surveillance du personnel et du matériel aux points d'entrée et de sortie des zones de rayonnement.
L'accès aux zones à débit de dose élevé ou à niveaux de contamination radioactive élevés devrait être contrôlé par la mise en place de portes verrouillables et de dispositifs de verrouillage. Il faudrait minimiser les itinéraires empruntés par le personnel dans les zones de rayonnement et les zones contaminées afin de réduire le temps passé à traverser ces zones. Les zones de rayonnement où le personnel passe un temps considérable devraient être conçues afin de présenter des débits de doses les plus faibles possibles et de respecter le principe ALARA.
Dans les zones de rayonnement, il faudrait prévoir des vestiaires pour le personnel à des endroits choisis afin d'éviter la propagation de la contamination radioactive durant l'entretien et l'exploitation normale. Dans ces vestiaires, il faudrait tenir compte du besoin d'installations de décontamination pour le personnel, d'instruments de détection du rayonnement et de zones de stockage pour les vêtements de protection. Une barrière physique devrait clairement séparer le secteur propre de la zone potentiellement contaminée.
8.13.3 Surveillance des rayonnements
De l'équipement doit être fourni pour la surveillance adéquate du rayonnement dans les divers états de fonctionnement, les AD et les CAD.
Des dosimètres sonores fixes doivent être installés aux fins suivantes :
- surveiller le débit de dose de rayonnement aux endroits normalement occupés par le personnel d'exploitation
- lorsque les changements aux niveaux du rayonnement sont tels que l'accès peut être limité pendant une certaine période
- indiquer, automatiquement et en temps réel, le niveau de rayonnement général aux endroits appropriés dans les divers états de fonctionnement, les AD et les CAD
- donner suffisamment de données à la salle de commande ou au lieu de contrôle approprié dans les divers états de fonctionnement, les AD et les CAD, pour que le personnel de la centrale puisse prendre des mesures correctives, au moment opportun
Des détecteurs doivent être fournis pour mesurer l'activité des substances radioactives dans l'atmosphère :
- dans les secteurs habituellement occupés par le personnel
- dans les secteurs où les niveaux d'activité des matières radioactives en suspension dans l'air peuvent, à l'occasion, nécessiter l'adoption de mesures de protection
- dans la salle de commande ou dans d'autres endroits appropriés pour indiquer lorsqu'une concentration élevée de radionucléides est détectée
Des installations doivent être prévues pour surveiller les doses individuelles absorbées et la contamination du personnel.
Un équipement fixe et des installations de laboratoire doivent être fournis pour déterminer la concentration de certains radionucléides sélectionnés dans les systèmes de traitement des fluides, le cas échéant, ainsi que dans les échantillons de gaz et de liquides prélevés dans les systèmes de la centrale ou dans l'environnement.
Un équipement fixe doit être fourni pour surveiller les effluents, avant ou durant un rejet dans l'environnement.
8.13.4 Sources de rayonnement
La conception doit prévoir :
- l'élimination appropriée des matières radioactives par stockage sur le site ou par transfert hors du site
- la réduction de la quantité et de la concentration des matières radioactives produites
- le contrôle de la dispersion dans la centrale
- le contrôle des rejets dans l'environnement
- des installations de décontamination pour l'équipement et pour la manutention de tout déchet radioactif résultant des activités de décontamination
- la réduction au minimum de la production de déchets radioactifs
8.13.5 Surveillance des répercussions environnementales
La conception doit prévoir des moyens pour surveiller les rejets radiologiques dans l'environnement et dans les environs immédiats de la centrale, en accordant une attention particulière aux aspects suivants :
- voies de transfert à la population humaine, y compris la chaîne alimentaire
- impacts radiologiques, s'il y a lieu, sur les écosystèmes locaux
- accumulation possible de matières radioactives dans l'environnement
- des voies possibles de rejets non autorisés
Orientation
D'autres renseignements peuvent être trouvés dans la norme de la CSA N288.4, Environmental Monitoring Programs at Class I Nuclear Facilities and Uranium Mines and Mills.
9. Analyse de la sûreté
9.1 Généralités
Une analyse de sûreté de la conception de la centrale doit reposer sur une analyse des dangers, une analyse déterministe de la sûreté et des techniques d'étude probabiliste de la sûreté. L'analyse de la sûreté doit démontrer la réalisation de tous les niveaux de défense en profondeur et confirmer que la conception répond aux exigences qui s'appliquent, aux critères d'acceptation des doses ainsi qu'aux objectifs de sûreté.
Les sources radioactives autres que le cœur du réacteur, comme la piscine de stockage du combustible usé et les systèmes de manutention du combustible, doivent être prises en considération. Il faut inclure les impacts sur plusieurs tranches d'un site, s'il y a lieu.
La première étape de l'analyse la sûreté doit servir à déterminer les EDH à l'aide d'une méthode systématique telle que l'analyse des modes de défaillances et des effets. La détermination des EDH doit tenir compte autant des événements directs qu'indirects. Les exigences et l'orientation relatives à l'identification des EDH se trouvent à la section
9.2 Objectifs de l'analyse
L'analyse de la sûreté doit être itérative par rapport au processus de conception et se traduire par deux rapports : un rapport préliminaire d'analyse de la sûreté et un rapport final d'analyse de la sûreté.
L'analyse de la sûreté préliminaire doit contribuer à établir les exigences de dimensionnement des éléments importants pour la sûreté et à démontrer si la conception de la centrale répond aux exigences applicables.
L'analyse de la sûreté finale doit :
- refléter la centrale telle que construite
- tenir compte des effets du vieillissement hypothétique sur les SSC importants pour la sûreté
- démontrer que la conception permet de résister et de répondre efficacement aux EDH identifiés
- démontrer l'efficacité des systèmes de sûreté et des systèmes de soutien en matière de sûreté
-
définir les LCE de la centrale, y compris :
- les limites opérationnelles et les valeurs seuil importantes pour la sûreté
- les configurations opérationnelles permises et les contraintes des procédures opérationnelles
- établir des exigences en matière d'intervention d'urgence et de gestion des accidents
- déterminer les conditions environnementales post-accidentelles, y compris les champs de rayonnement et les doses reçues par les travailleurs, afin de confirmer que les opérateurs sont en mesure d'effectuer les interventions prévues dans l'analyse
- démontrer que la conception contient des marges de sûreté suffisantes
- confirmer que les doses et les critères d'acceptation dérivés sont respectés pour tous les IFP et les AD
- démontrer que tous les objectifs de sûreté ont été respectés
Orientation
Comme l'indique le Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre un rapport préliminaire d'analyse de la sûreté démontrant que la conception de la centrale nucléaire est adéquate. La demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre un rapport final d'analyse de la sûreté démontrant le caractère adéquat de la conception.
9.3 Analyse des dangers
L'analyse des dangers doit consister à recueillir et évaluer des données sur la centrale afin d'identifier les dangers connexes et de déterminer ceux qui sont importants et qu'il faut examiner. Cette analyse doit démontrer la capacité de la conception à répondre efficacement aux événements plausibles d'origine commune.
Comme il a été mentionné à la section 9.1, la première étape de l'analyse des dangers consiste à déterminer les EDH. Pour chaque EDH d'origine commune, l'analyse des dangers doit identifier ensuite :
- les critères d'acceptation applicables (c.-à-d., les critères de réussite)
- les matières dangereuses dans la centrale et sur le site de la centrale
- tous les SSC d'atténuation qualifiés et prévus durant et après l'événement – tous les systèmes de sûreté et de soutien en matière de sûreté non qualifiés sont réputés faire défaut, sauf dans les cas où leur fonctionnement continu résulterait en des conséquences encore plus graves
- les interventions de l'opérateur et les procédures opérationnelles pour chaque événement
- les paramètres ou procédures d'exploitation de la centrale pour lesquels l'événement est limitatif
L'analyse des dangers doit confirmer que :
- la conception de la centrale incorpore suffisamment les principes de diversité et de séparation pour résister aux événements plausibles d'origine commune
- les SSC prévus sont qualifiés pour résister et demeurer fonctionnels durant et après des événements plausibles d'origine commune, le cas échéant
-
les critères suivants sont respectés :
- la centrale peut être mise en état d'arrêt sûr
- l'intégrité du combustible dans le cœur du réacteur peut être maintenue
- l'intégrité de l'enveloppe sous pression du caloporteur et de l'enceinte de confinement du réacteur peut être maintenue
- les paramètres critiques pour la sûreté peuvent être surveillés par l'opérateur
Le rapport d'analyse des dangers doit inclure les conclusions de l'analyse et les fondements de ces conclusions. Il doit aussi :
- inclure une description générale des caractéristiques physiques de la centrale qui décrit brièvement les systèmes de prévention et de protection à installer
- fournir la liste du matériel nécessaire à un arrêt sûr du réacteur
- définir et décrire les caractéristiques liées aux dangers pour toutes les zones contenant des matières dangereuses
- décrire les critères de rendement des systèmes de détection, d'alarme et d'atténuation, y compris les exigences telles que la qualification sismique ou la qualification environnementale
- décrire les zones des salles de commande et des opérations et les systèmes de protection de ces zones, y compris les installations supplémentaires occupées par le personnel d'entretien et d'exploitation
- décrire les interventions de l'opérateur et les procédures d'exploitation d'importance pour l'analyse d'un danger donné
- définir les paramètres de la centrale pour lesquels l'événement est contraignant
- expliquer les paramètres d'inspection, d'essai et d'entretien nécessaires à la protection de l'intégrité des systèmes
- définir les exigences relatives à la planification et à la coordination de situations d'urgence pour assurer l'efficacité des mesures d'atténuation, y compris les mesures nécessaires pour contrebalancer les défaillances ou l'indisponibilité de tout système ou dispositif de protection actif ou passif
Orientation
L'analyse des dangers vise à déterminer la pertinence de la protection de la centrale nucléaire contre les dangers internes et externes tout en tenant compte de la conception de la centrale et des caractéristiques du site. Pour assurer la disponibilité des fonctions de sûreté et des interventions des opérateurs requises, tous les SSC importants pour la sûreté (y compris la salle de commande principale, la salle de commande auxiliaire et les installations de soutien d'urgence) devraient être protégés de façon adéquate contre les dangers internes et externes pertinents.
L'analyse des dangers devrait établir une liste des dangers internes et externes pertinents pouvant avoir une incidence sur la sûreté de la centrale. Pour les dangers pertinents, l'examen devrait démontrer, en utilisant des techniques déterministes et probabilistes, que la probabilité ou les conséquences du danger sont suffisamment faibles pour ne pas nécessiter de mesures de protection particulières, ou démontrer que le danger fait l'objet de mesures de prévention et d'atténuation adéquates.
Tous les dangers internes et externes sont examinés dans le cadre des EDH. Les dangers qui n'y sont pour presque rien dans les risques liés à la centrale peuvent être éliminés de l'analyse détaillée, mais la raison d'être de cette suppression devrait être donnée. Le reste des EDH constitue la portée de l'analyse des dangers. La conception devrait spécifier les dangers liés au dimensionnement en établissant des critères clairs. Les dangers liés au dimensionnement devraient être analysés à l'aide des règles et des critères relatifs à l'analyse déterministe de la sûreté présentés à la section 9.4. Une telle analyse devrait également démontrer que les caractéristiques de conception complémentaires permettent d'atténuer de façon adéquate les conséquences radiologiques des conditions additionnelles de dimensionnement.
L'analyse de dangers devrait démontrer que la conception comporte des marges de sûreté suffisantes.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, RD-346, Évaluation de l'emplacement des nouvelles centrales nucléaires, Ottawa, Canada, 2008.
- CCSN, RD/GD-369, Guide de présentation d'une demande de permis : Permis de construction d'une centrale nucléaire, Ottawa, Canada, 2011.
- Groupe CSA, N293, Protection contre l'incendie dans les centrales nucléaires CANDU, Toronto, Canada, 2012.
- Groupe CSA, N289.4, Testing procedures for Seismic Qualification of CANDU Nuclear Power Plants, Toronto, Canada.
- AIEA, NS-G-3.3, Evaluation of Seismic Hazards for Nuclear Power Plants, Vienne, 2002.
- AIEA, NS-G-1.5, External Events Excluding Earthquakes in the Design of Nuclear Power Plants, Vienne, 2003.
- AIEA, NS-G-3.1, Les événements externes d'origine humaine dans l'évaluation des sites de centrales nucléaires, Vienne, 2002.
- AIEA, NS-G-3.5, Flood Hazard for Nuclear Power Plants on Coastal and River Sites, Vienne, 2003.
- AIEA, NS-G-3.4, Meteorological Events in Site Evaluation for Nuclear Power Plants, Vienne, 2003.
- AIEA, SSG-18, Meteorological and Hydrological Hazards in Site Evaluation for Nuclear Installations, Vienne, 2011.
- AIEA, NS-G-1.7, Protection Against Internal Fires and Explosions in the Design of Nuclear Power Plants, Vienne, 2004.
- AIEA, NS-G-1.11, Protection Against Internal Hazards other than Fires and Explosions in the Design of Nuclear Power Plants, Vienne, 2004.
- AIEA, NS-G-1.6, Seismic Design and Qualification for Nuclear Power Plants, Vienne, 2003.
- AIEA, SSG-9, Seismic Hazards in Site Evaluation for Nuclear Installations, Vienne, 2010.
9.4 Analyse déterministe de la sûreté
L'analyse déterministe de la sûreté devrait être réalisée en conformité avec les exigences décrites dans le REGDOC-2.4.1, Analyse déterministe de la sûreté.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, REGDOC-2.4.1, Analyse déterministe de la sûreté, Ottawa, Canada, 2014.
- CCSN, RD/GD-369, Guide de présentation d'une demande de permis : Permis de construction d'une centrale nucléaire, Ottawa, Canada, 2011.
- Groupe CSA, N286.7.1, Guideline for the application of N286.7-99, Quality assurance of analytical, scientific, and design computer programs for nuclear power plants, Toronto, Canada.
- Groupe CSA, N286.7, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires, Toronto, Canada.
- AIEA, SSG-2, Deterministic Safety Analysis for Nuclear Power Plants, Vienne, 2009.
- AIEA, Collection normes de sûreté no NS-G-1.2, Évaluation et vérification de la sûreté des centrales nucléaires – Guide de sûreté, Vienne, 2001.
9.5 Étude probabiliste de sûreté
L'étude probabiliste de sûreté devrait être réalisée en conformité avec les exigences décrites dans la norme S-294 de la CCSN, Études probabilistes de sûreté (EPS) pour les centrales nucléaires.
Orientation
On trouvera de l'information sur l'EPS dans les publications suivantes :
- ASME/ANS, RA-Sa-2009, Standard for Level 1/Large Early Release Frequency PRA for Nuclear Power Plant Applications, La Grange, Illinois, 2009.
- CCSN, RD/GD-369, Guide de présentation d'une demande de permis : Permis de construction d'une centrale nucléaire, Ottawa, Canada, 2011.
- CCSN, REGDOC-2.4.2, Études probabilistes de sûreté (EPS) pour les centrales nucléaires, Ottawa, Canada, 2014
- AIEA, SSG-3, Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 2010.
- AIEA, SSG-4, Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 2010.
- AIEA, Collection sécurité n° 50-P-10, Reliability Analysis in Probabilistic Safety Assessment for Nuclear Power Plants: A Safety Practice, Vienne, 1995.
- AIEA, Collection rapports de sûreté n° 25, Review of Probabilistic Safety Assessments by Regulatory Bodies, Vienne, 2002.
- AIEA, Collection sécurité n° 50-P-7, Treatment of External Hazards in Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 1995.
- AIEA, Collection rapports de sûreté no 10, Treatment of Internal Fires in Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 1998.
10. Protection environnementale et atténuation
10.1 Conception relative à la protection de l'environnement
La conception doit prévoir des dispositions appropriées pour protéger l'environnement et atténuer l'impact de la centrale sur l'environnement. Une revue de la conception doit confirmer que ces dispositions ont été respectées.
Une approche systématique doit être utilisée pour évaluer les effets biophysiques environnementaux potentiels que la centrale pourrait exercer sur l'environnement, ainsi que les effets de l'environnement sur la centrale nucléaire.
Orientation
La conception devrait intégrer le principe des « meilleures techniques existantes d'application rentable » (MTEAR) pour les aspects de la conception liés à la protection de l'environnement.
10.2 Rejet de substances nucléaires et dangereuses
La conception doit démontrer, à l'aide de procédés, de surveillance, de contrôle ainsi que de mesures de prévention et d'atténuation, que les rejets de substances nucléaires et dangereuses seront maintenus au niveau le plus bas qu'il soit raisonnablement possible d'atteindre (principe ALARA).
L'évaluation du cycle de vie de la centrale doit identifier les diverses sources de substances nucléaires et dangereuses lors des étapes de conception, d'exploitation et de déclassement, ainsi que leurs effets environnementaux potentiels sur les biotes humains et non humains.
Certains des facteurs examinés doivent inclure :
- les exigences en matière de ressources pour la centrale nucléaire, telles que le combustible, l'énergie et l'eau
- l'appauvrissement des ressources en eau souterraines et de surface
- la contamination de l'air, du sol et des ressources en eau
- les substances nucléaires et dangereuses utilisées
- les types de déchets produits (gazeux, liquides et solides)
- les quantités de déchets produits
- l'impact des prises d'eau de refroidissement sur l'entraînement et l'impaction
- l'impact du débit d'eau sur le régime thermique du milieu récepteur
La conception doit tenir compte des options technologiques dans l'établissement des objectifs de conception pour le contrôle et la surveillance des rejets lors du démarrage, de l'exploitation normale, des arrêts et des situations anormales et d'urgence potentielles. Des limites appropriées doivent être prévues dans les LCE de la centrale.
Les principes de prévention de la pollution doivent être appliqués lorsque l'on examine les options technologiques relatives à la conception des systèmes d'eau de refroidissement afin de réduire au minimum l'impact environnemental nuisible.
Orientation
L'autorité responsable de la conception devrait démontrer le respect des principes d'optimisation et de prévention de la pollution en démontrant l'application du principe ALARA et du principe des MTEAR.
L'évaluation du cycle de vie mentionnée dans le présent document devrait comprendre une estimation initiale de la quantité totale de toutes les matières radioactives et dangereuses qui seront utilisées ou produites au cours de la durée de vie de la centrale. Il faudrait prendre en compte tous les systèmes présents sur le site du réacteur et tenir compte des substances telles que l'hydrazine, le dioxyde de carbone, les CFC (hydrocarbures halogénés), les COV (composés organiques volatils), les NOx (oxydes d'azote), le COT (carbone organique total), les poussières ou les solides en suspension, les détergents, les solvants, les métaux lourds (p. ex. le cuivre), le chlore, le phosphore, l'ammoniac et l'ammonium, la morpholine, l'huile ou la graisse. Il faudrait prendre en compte la nature de telles substances (solide, liquide, gaz, pH, température), leur gestion et les déchets produits.
Les principes de prévention de la pollution devraient être pris au moyen d'une évaluation des diverses options technologiques afin de déterminer la technologie et les techniques conformes au principe des MTEAR. L'option technologique choisie pour la conception des systèmes d'eau de refroidissement devrait réduire au minimum l'impact sur l'environnement, dans la mesure du possible, compte tenu des exigences en matière de sûreté nucléaire. L'évaluation de la faisabilité sur le plan économique d'une technologie donnée n'est pas déterminée en fonction d'un projet particulier, mais plutôt à l'échelle de l'industrie. La faisabilité technique d'une option dépend des conditions propres au site, en tenant compte du risque environnemental et des facteurs sociaux-économiques. L'option technologique choisie devrait être celle qui représente le meilleur équilibre entre les coûts et les avantages économiques résultant de l'application d'un processus structuré d'analyse des options (p. ex., analyse coûts/bénéfices, analyse décisionnelle multi-critères). Cela devrait comprendre une évaluation des éléments suivants :
- l'âge de l'équipement et des installations concernées
- comment l'option est conçue, construite, entretenue, exploitée et déclassée
- le processus utilisé
- les aspects d'ingénierie liés à l'application de divers types de techniques de contrôle
- les modifications au processus
- les avancées technologiques ou les changements dans les connaissances et la compréhension scientifiques
- les coûts liés à l'atteinte des avantages économiques ou à la réduction des incidences environnementales
- les facteurs sociaux-économiques
- les limites temporelles pour l'installation de centrales nouvelles ou actuelles
- d'autres incidences environnementales (y compris les besoins énergétiques)
- d'autres facteurs jugés appropriés par l'organisme de réglementation
La technologie choisie pour le refroidissement du condenseur devrait intégrer les techniques d'atténuation les plus récentes.
Renseignements supplémentaires
D'autres renseignements peuvent être trouvés dans les documents suivants :
- CCSN, G-296, Élaboration de politiques, programmes et procédures de protection de l'environnement aux installations nucléaires de catégorie I et aux mines et usines de concentration d'uranium, Ottawa, Canada, 2006.
- CCSN, REGDOC-2.9.1, Protection de l'environnement : Politiques, programmes et procédures de protection de l'environnement, Ottawa, Canada, 2013.
- CCSN, P-223, Protection de l'environnement, Ottawa, Canada, 2001.
11. Autres méthodes
Les exigences que renferme ce document d'application de la réglementation sont neutres sur le plan technologique pour ce qui est des réacteurs refroidis à l'eau. Il est reconnu que des technologies particulières peuvent reposer sur des approches différentes.
Le personnel de la CCSN examinera les autres méthodes par rapport aux exigences de ce document, notamment lorsque :
- l'autre approche assurerait un niveau de sûreté équivalent ou supérieur
- l'application des exigences de ce document entre en conflit avec d'autres règles ou exigences
- l'application des exigences ne respecte pas la finalité intrinsèque du document, ou n'est pas nécessaire pour respecter la finalité intrinsèque du document
Toute autre approche doit démontrer son équivalence à l'égard des résultats associés à l'application des exigences énoncées dans ce document d'application de la réglementation.
Annexe A : Analyse structurale des enceintes de confinement
Cette annexe contient une orientation supplémentaire concernant les critères d'acceptation liés aux analyses structurales qui sont réalisées sur les enceintes de confinement pour vérifier leur résistance aux actes malveillants. Elle donne suite à la section 7.22.
Les analyses structurales détaillées des enceintes de confinement représentatives indiquent qu'il faudrait s'attendre à de grands déplacements de l'enceinte de confinement ainsi qu'à des vibrations induites. Les critères d'acceptation structuraux pour le comportement global sont liés à la limitation des fléchissements structuraux (MR et MHD graves) ou des dommages globaux (MHD extrêmes). Par conséquent, il faudrait accorder une attention particulière aux aspects suivants :
- les dommages occasionnés aux structures internes et à l'enceinte de confinement en raison des déformations importantes subies dans le bâtiment de confinement
- les dommages causés par les chocs aux composants fragiles directement fixés au mur de confinement
- les vibrations induites
- l'intégrité structurale du réservoir d'eau de réserve (p. ex. conception des réacteurs CANDU)
- l'intégrité structurale du pont polaire de manutention
Les critères d'acceptation structuraux pour les éléments en béton armé sont
présentés au tableau 1.
Les critères d'acceptation pour les éléments en acier sont présentés au
tableau 2.
Type d'élément | Contrôle des contraintes | MR | MHD | ||
---|---|---|---|---|---|
Ductilité μa | Rotation du support en degrés(1,2), θa | ||||
Niveaux 1 et 2 | Niveau 1 | Niveau 2 | |||
|
|||||
Poutres | Flexion | Comportement essentiellement élastique (4) | 2 | 3 | |
Cisaillement : béton uniquement béton + étriers étriers uniquement compression |
,3 1,6 3,0 1,3 |
||||
Dalles-support | Flexion | Comportement essentiellement élastique (4) | 4 | 6 | |
Cisaillement : béton uniquement béton + étriers étriers uniquement compression |
1,3 1,6 3,0 1,3 |
||||
Poutres-colonnes, murs et dalles-support en compression | Flexion | Comportement essentiellement élastique (4) | 2 | 3 | |
Cisaillement | 1,3 (3) | ||||
Cisaillement des murs, diaphragmes |
Flexion | Comportement essentiellement élastique (4) | 1,5 | 2 | |
Cisaillement – dans le plan | 3 | ||||
Diaphragmes | 1,5 |
D'autres renseignements concernant la conception et la construction des enceintes de confinement et des autres structures liées à la sûreté figurent respectivement dans la collection de normes CSA N287 et dans la norme CSA N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU.
Figure 2 : Bâtiment du réacteur sous l'impact d'un projectile non protégé : comportement global – rotation du support
Matériau | Mesure des déformations | Valeur admissible pour les MR | Valeur admissible pour les MHD de premier niveau |
---|---|---|---|
*TF = facteur triaxial | |||
Tôle d'acier au carbone | Déformation principale de la membrane (déformation due à la traction) | 0,01 | 0,050 |
Déformation locale effective par déchirement ductile | s. o. | 0,140/TF* | |
Tôle d'acier inoxydable 304 | Déformation principale de la membrane (déformation due à la traction) | 0,01 | 0,067 |
Déformation locale effective par déchirement ductile | s. o. | 0,275/TF* | |
Acier d'armature de nuance 60 | Déformation due à la traction | 0,01 | 0,050 |
Acier de précontrainte (tendons non injectés) | Déformation due à la traction | 0,010 | 0,030 |
Acier de précontrainte (tendons injectés) | Déformation due à la traction | 0,010 | 0,020 |
Par mesure de prudence, on peut prendre une valeur de TF (facteur triaxial) égale à 2.
Où σ1, σ2 et σ3 sont les contraintes principales et σe est la contrainte effective ou contrainte équivalente.
Les valeurs des tableaux 1 et 2 sont des valeurs maximales en condition de chargement. Pour le béton armé, la déformation maximale en compression pour les MR est de 0,0035.
Pour les MHD de premier niveau, cette déformation est de 0,005.
Les déformations des MHD de deuxième niveau ne sont pas fournies dans le tableau 2, mais peuvent être déduites des rotations du support données au tableau 1.
Abréviations
- AD
- accident de dimensionnement
- AHD
- accident hors dimensionnement
- AEP
- alimentation électrique préférée
- ALARA
- niveau le plus faible qu'il soit raisonnablement possible d'atteindre (as low as reasonably achievable)
- APRP
- accident de perte de réfrigérant primaire
- CAD
- condition additionnelle de dimensionnement
- CDU
- critère de défaillance unique
- DOC
- défaillance d'origine commune
- EAG
- état d'arrêt garanti
- EDH
- événement déclencheur hypothétique
- EPS
- étude probabiliste de sûreté
- FAR
- fuite avant rupture
- FH
- facteurs humains
- FTC
- flux thermique critique
- IFP
- incident de fonctionnement prévu
- HCLPF
- faible probabilité de défaillance avec un niveau de confiance élevé
- IC
- instrumentation et contrôle
- IIU
- installation d'intervention d'urgence
- IEM
- interférence électromagnétique
- LCE
- limites et conditions d'exploitation
- MHD
- menace hors dimensionnement
- MR
- menace de référence
- MTEAR
- meilleures techniques existantes d'application rentable
- PET
- panne d'électricité totale de la centrale
- QE
- qualification environnementale
- REO
- réacteur à eau ordinaire
- REP
- réacteur à eau sous pression
- SAPS
- système d'affichage des paramètres de sûreté
- SCA
- salle de commande auxiliaire
- SCP
- salle de commande principale
- SEUC
- système d'évacuation d'urgence de la chaleur
- SFU
- source froide ultime
- SR
- séisme de référence
- SRR
- système de refroidissement du réacteur
- SRUC
- système de refroidissement d'urgence du cœur du réacteur
- SSC
- structures, systèmes et composants
- VIVP
- vanne d'isolation de la vapeur principale
Glossaire
- accident
-
Événement inattendu, y compris les erreurs d'exploitation, les défaillances de
l'équipement ou autres incidents, dont les conséquences réelles ou potentielles ne sont pas
négligeables du point de vue de la protection ou de la sûreté.
Remarque : Dans le cadre de ce document, les accidents incluent les accidents de dimensionnement et les accidents hors dimensionnement. Les accidents excluent les incidents de fonctionnement prévus qui ont des conséquences négligeables en matière de protection ou de sûreté.
- accident de dimensionnement
- Conditions d'accident par rapport auxquelles est conçue l'installation du réacteur, conformément aux critères d'acceptation établis, et pour lesquelles les dommages causés au combustible et les rejets de matières radioactives sont maintenus à l'intérieur des limites autorisées.
- accident grave
- Conditions d'accident qui sont plus graves que celles causées par un accident de dimensionnement et qui entraînent une détérioration importante du cœur du réacteur ou de la piscine de combustible usé.
- accident hors dimensionnement
- Accident moins fréquent qu'un accident de dimensionnement. Un accident hors dimensionnement peut entraîner ou non la détérioration du combustible.
- acte malveillant
- Acte illégal ou acte commis dans l'intention de causer des torts.
- alimentation électrique préférée
- Alimentation électrique en provenance du réseau de transport ou de la génératrice de la centrale, destinée aux systèmes de distribution électrique classés comme importants pour la sûreté. Il s'agit de l'alimentation électrique préférée pour les fonctions de soutien en matière de sûreté en mode d'exploitation normale et en cas d'IFP, d'AD ou de CAD.
- alimentation électrique hors site
- Alimentation en courant alternatif qui provient du réseau électrique et qui est fournie aux systèmes de distribution d'électricité de la centrale.
- alimentation électrique sur le site
- Énergie fournie à partir de systèmes d'alimentation en courant alternatif (CA), de systèmes d'alimentation en courant continu (CC) et de systèmes d'alimentation sans coupure en CA.
- analyse de la sûreté
- Analyse à l'aide d'outils analytiques appropriés qui établit et confirme le dimensionnement des composants importants pour la sûreté et permet de s'assurer que la conception globale de la centrale satisfait aux critères d'acceptation pour chaque état d'exploitation de la centrale.
- analyse de l'incertitude
- Processus visant à déterminer et à caractériser les sources d'incertitude dans l'analyse de la sûreté, à évaluer leur incidence sur les résultats de l'analyse et à établir, dans la mesure du possible, une mesure quantitative.
- analyse des dangers
- Processus utilisé pour systématiquement identifier et évaluer les dangers en vue de déterminer les événements internes, externes, naturels et d'origine humaine potentiels susceptibles de faire en sorte que les dangers identifiés génèrent des défectuosités qui se transformeront en accidents.
- analyse déterministe de la sûreté
- Analyse des mesures prises dans une installation dotée de réacteurs à la suite d'un événement et effectuée à l'aide de règles et d'hypothèses prédéterminées (p. ex. celles concernant l'état initial de fonctionnement, la disponibilité et l'efficacité des systèmes de l'installation et les interventions des opérateurs). L'analyse déterministe de la sûreté peut être réalisée avec la méthode conservatrice ou la méthode fondée sur la meilleure estimation.
- autorité en matière de conception
- L'entité qui a la responsabilité générale du processus de conception ou de l'approbation des modifications à la conception, et qui s'assure que les connaissances nécessaires sont tenues à jour.
- capacité d'utilisation
- Mesure dans laquelle un produit peut être utilisé par des utilisateurs spécifiés dans le but d'atteindre des objectifs précis, et ce, de façon efficace, efficiente et satisfaisante dans un contexte d'utilisation spécifique.
- caractéristique de conception complémentaire
-
Caractéristique de conception ajoutée à la conception sous forme de structure,
système ou composant (SSC) autonome ou ajoutée à un SSC déjà en place pour
prendre en considération les conditions additionnelles de dimensionnement.
Remarque : On peut également appeler les caractéristiques de conception complémentaires des « caractéristiques de sûreté additionnelles ». - centrale nucléaire
- Toute installation d'un réacteur de fission construite pour la production d'électricité à une échelle commerciale. Une centrale nucléaire est une installation nucléaire de catégorie IA telle que définie dans le Règlement sur les installations nucléaires de catégorie I.
- chaleur résiduelle
- Somme de la chaleur dégagée par la désintégration radioactive, la fission du combustible en mode d'arrêt du réacteur et la chaleur emmagasinée dans les structures, systèmes et composants du réacteur.
- combustion
- Processus chimique comprenant une oxydation suffisante pour produite de la chaleur ou de la lumière.
- composant passif
- Composant dont le fonctionnement ne dépend pas d'une contribution externe, comme une activation, un mouvement mécanique ou une alimentation électrique.
- conception à sûreté intégrée
- Conception dont les modes de défaillance les plus probables ne résultent pas en une réduction de la sûreté.
- conception éprouvée
- La conception d'un composant peut être éprouvée en démontrant sa conformité à des normes techniques acceptées, par l'historique de l'expérience, par des tests ou par une combinaison de ces éléments. Les nouveaux composants sont « éprouvés » en les soumettant à un certain nombre de tests d'acceptation et de démonstration prouvant que le ou les composants répondent aux critères préétablis.
- conditions additionnelles de dimensionnement
- Sous-ensemble d'accidents hors dimensionnement pris en considération dans le processus de conception de l'installation, conformément à la méthode de la meilleure estimation afin de maintenir les rejets de matières radioactives à l'intérieur des limites acceptables. Les conditions additionnelles de dimensionnement pourraient inclure les conditions d'accident grave.
- conditions d'accident
- Écarts par rapport à l'exploitation normale plus graves que les incidents de fonctionnement prévus, comprenant les accidents de dimensionnement et les conditions additionnelles de dimensionnement.
- conservatisme
- Recours à des hypothèses fondées sur l'expérience ou des données indirectes concernant un phénomène ou un comportement d'un système à la limite ou proche de la limite prévue, qui permettent d'augmenter les marges de sûreté ou de prédire des conséquences plus graves que si des hypothèses fondées sur la meilleure estimation avaient été utilisées.
- crédité
- Dans le cadre d'une analyse, présomption du fonctionnement correct d'un SSC ou d'une intervention appropriée de l'opérateur.
- critères d'acceptation
- Limites établies sur la valeur d'un indicateur fonctionnel ou conditionnel utilisé pour évaluer la capacité d'une structure, d'un système ou d'un composant à répondre aux exigences de conception et de sûreté.
- culture de sûreté
- Caractéristiques de l'environnement de travail, comme les valeurs, les règles et la compréhension commune, qui influent sur les perceptions et les attitudes des employés à l'égard de l'importance que l'organisation accorde à la sûreté.
- cybersécurité
- Protection des systèmes ou des composants informatiques numériques pendant le cycle de vie du système contre les menaces, les actes malveillants ou les gestes commis par inadvertance qui pourraient avoir des conséquences non intentionnelles. Cela inclut la protection contre des modifications non autorisées, non intentionnelles et non sécuritaires au système ainsi que la divulgation non autorisée et la conservation de renseignements, de logiciels ou de données associés au système qui pourraient être utilisés pour poser des gestes malveillants ou malavisés ayant un impact sur la fonctionnalité et la performance du système.
- danger externe
- Événement d'origine naturelle ou humaine qui provient de l'extérieur du site et dont les effets sur l'installation dotée de réacteurs sont considérés comme étant potentiellement dangereux.
- danger interne
-
Dangers provenant de sources situées sur le site de l'installation dotée de réacteurs
(autant à l'intérieur qu'à l'extérieur des bâtiments de la centrale).
Remarque : Les dangers internes comprennent les incendies internes, les inondations internes, les missiles de la turbine, les accidents de transport sur le site et les rejets de substances toxiques provenant d'installations de stockage situées sur le site. - défaillance d'origine commune
- Défaillance simultanée de deux ou plusieurs structures, systèmes ou composants attribuables à un événement ou une cause spécifique unique tel qu'un phénomène naturel (séismes, tornades, inondations, etc.), une défaillance de conception, des défauts de fabrication, des erreurs d'exploitation et d'entretien et des événements destructeurs d'origine humaine.
- défaillance unique
- Défaillance résultant de la perte de capacité d'un système ou d'un composant l'empêchant d'exécuter sa ou ses fonctions de sûreté prévues et toute défaillance résultant de cette défaillance unique.
- dimensionnement
- Éventail des conditions et des événements pris explicitement en considération dans la conception de l'installation, conformément aux critères établis, de sorte que l'installation puisse y résister sans dépassement des limites autorisées quand les systèmes de sûreté fonctionnent comme prévu.
- disponibilité
- La période de temps qu'un composant ou un système est capable de fonctionner. La « disponibilité » peut également signifier la probabilité qu'un composant ou un système sera capable de fonctionner en tout temps.
- diversité
- Présence de deux ou plusieurs systèmes ou composants redondants servant à exécuter une fonction définie, où les différents systèmes ou composants présentent des attributs distincts afin de diminuer la possibilité de défaillance d'origine commune.
- division
- Désignation appliquée à un système ou ensemble de composants donné qui permet l'établissement et le maintien d'une indépendance physique, électrique et fonctionnelle par rapport à d'autres ensembles redondants de composants.
- dommage au cœur du réacteur
- Séquence d'accidents plus graves qu'un AD comportant une détérioration du cœur du réacteur.
- éléments importants pour la sûreté
- Élément qui fait partie d'un groupe de sûreté et/ou dont la défaillance pourrait entraîner une radioexposition.
- éliminé, à toutes fins pratiques
- Le fait que la possibilité que certaines conditions se produisent soit physiquement impossible ou extrêmement improbable avec un degré élevé de confiance.
- enceinte de confinement
- Méthode ou structure physique conçue pour empêcher le rejet de substances radioactives.
- enveloppe de conception de la centrale
- Conception de la centrale nucléaire de sorte que l'on puisse raisonnablement s'attendre à ce que tout rejet radioactif important soit pratiquement éliminé par le fonctionnement prévu des systèmes de procédé et de contrôle, des systèmes de sûreté, des systèmes de soutien en matière de sûreté et des caractéristiques de conception complémentaires.
- enveloppe de confinement
- Enveloppe délimitée sans ouverture ou pénétrations qui empêche le rejet de matières radioactives à l'extérieur de l'espace clos.
- enveloppe sous pression
- Enveloppe de toute cuve, système ou composant sous pression d'un système nucléaire ou non nucléaire.
- environnement
-
Composants terrestres comprenant :
- les terres, les eaux et l'air, y compris toutes les couches de l'atmosphère
- toutes les matières organiques et inorganiques et les organismes vivants
- les systèmes naturels en interaction qui comprennent les composants susmentionnés (1 et 2)
- état d'arrêt
- État caractérisé par la sous-criticité du réacteur avec une marge définie pour empêcher le retour à la criticité sans interventions externes.
- état d'arrêt sûr
- État caractérisé par la sous-criticité du réacteur à l'intérieur duquel les fonctions de sûreté fondamentales peuvent être assurées et maintenues dans un état stable à long terme.
- état de la centrale
-
Configuration de composants de la centrale, y compris les états physiques et thermodynamiques des
matériaux et leur contenu en fluides de procédé.
Remarque : Aux fins du présent document, une centrale se trouve dans l'un des états suivants : exploitation normale, incident de fonctionnement prévu, accident de dimensionnement ou accident hors dimensionnement (les accidents graves et les CAD sont des sous-ensembles des états d'accident hors dimensionnement). - états de fonctionnement
- États définis en mode d'exploitation normale et d'incidents de fonctionnement prévus.
- étude probabiliste de sûreté
-
Évaluation exhaustive et intégrée d'une installation dotée de réacteurs.
L'EPS tient compte de la probabilité, de la progression et des conséquences des
défaillances de l'équipement et de conditions transitoires pour calculer des estimations
numériques qui fournissent une mesure cohérente de la sûreté de l'installation
dotée de réacteurs, de la façon suivante :
- une EPS de niveau 1 identifie et quantifie les séquences d'événements qui peuvent entraîner la perte d'intégrité structurale du cœur et la défaillance généralisée du combustible
- une EPS de niveau 2 s'appuie sur les résultats de l'EPS de niveau 1 pour analyser le comportement du confinement, évaluer les radionucléides libérés par le combustible brisé et quantifier les rejets dans l'environnement
- une EPS de niveau 3 s'appuie sur les résultats de l'EPS de niveau 2 pour analyser la répartition des radionucléides dans l'environnement et évaluer les répercussions sur la santé du public
- évaluation des menaces et des risques
-
Évaluation de la pertinence d'un système de protection physique existant ou projeté,
conçu pour la protection contre :
- les actes intentionnels qui pourraient constituer une menace pour la sûreté de l'installation nucléaire
- l'exploitation de faiblesses des mesures de protection physique d'une installation nucléaire.
- événement déclencheur hypothétique
-
Événement identifié dans la conception comme étant susceptible d'entraîner un
incident de fonctionnement prévu ou des conditions d'accident.
Remarque : Un EDH n'est pas nécessairement un accident en soi; il est plutôt le déclencheur d'une séquence susceptible de dégénérer en incident de fonctionnement, en accident de dimensionnement ou en accident hors dimensionnement, selon les défaillances supplémentaires qui surviennent. - événement externe
-
Événement sans lien avec l'exploitation d'une installation ou la réalisation d'une
activité et qui pourrait avoir un effet sur la sûreté de l'installation ou de
l'activité.
Remarque : Les événements externes englobent, sans toutefois s'y limiter, les tremblements de terre, les inondations et les ouragans. - événement interne
- Événement attribuable à une erreur humaine ou à une défaillance d'une structure, d'un système ou d'un composant.
- exploitation normale
- Fonction d'une centrale nucléaire à l'intérieur de limites et de conditions d'exploitation prescrites, y compris le démarrage, l'exploitation des réacteurs, la mise à l'arrêt, l'entretien, les essais et le rechargement du combustible.
- facteurs humains
- Facteurs qui influent sur le rendement du personnel au plan de la sûreté de la centrale, y compris les activités durant les phases de conception, de construction, de mise en service, d'exploitation, d'entretien et de déclassement.
- fonctionnement en îlotage
- Exploitation d'une centrale nucléaire séparément du réseau électrique et qui fournit de l'électricité uniquement à ses propres charges électriques auxiliaires.
- fondement d'autorisation
-
Ensemble d'exigences et de documents visant une installation ou une activité réglementée,
qui comprend :
- les exigences réglementaires stipulées dans les lois et règlements applicables
- les conditions et les mesures de sûreté et de réglementation décrites dans le permis relatif à l'installation ou à l'activité et les documents cités en référence directement dans ce permis
- les mesures de sûreté et de réglementation décrites dans la demande de permis et les documents soumis à l'appui de cette demande
- formation de missiles
- Danger associé à la projection soudaine de débris à grande vitesse.
- fuite avant rupture
- Situation où la fuite causée par un défaut est détectée en mode d'exploitation normale, permettant ainsi d'arrêter le réacteur et de le dépressuriser avant que l'anomalie ne se transforme en rupture.
- garanties
- Système d'inspections internationales et autres activités de vérification entreprises par l'Agence internationale de l'énergie atomique (AIEA) afin d'évaluer, sur une base annuelle, la conformité du Canada à ses obligations conformément aux accords de garanties conclus entre le Canada et l'AIEA.
- gestion du vieillissement
- Mesures d'ingénierie, d'exploitation et d'entretien destinées à contrôler, dans les limites acceptables, les effets du vieillissement physique et l'obsolescence des structures, systèmes et composants.
- groupe de sûreté
- Assemblage de structures, systèmes et composants conçu pour exécuter toutes les tâches requises au cours d'un événement déclencheur hypothétique particulier pour que les limites spécifiées des états d'IFP et d'AD ne soient pas dépassées. L'assemblage peut comprendre des systèmes de sûreté et des systèmes de soutien, ainsi que toute interaction entre les systèmes fonctionnels.
- groupes essentiels
- Groupe de membres du public raisonnablement homogène quant à son exposition à une source de rayonnement donnée et qui est typique des personnes recevant la dose efficace la plus élevée ou la dose équivalente (le cas échéant) d'une source donnée.
- impact d'un jet
- Se réfère aux dangers internes potentiels liés à un fluide à haute pression libéré par un composant sous pression.
- incendie
- Processus de combustion caractérisé par des émissions de chaleur accompagnées de fumée ou de flammes ou les deux.
- incident de fonctionnement prévu
- Processus opérationnel qui s'écarte de l'exploitation normale et qui devrait survenir à tout le moins une fois au cours du cycle de vie utile de la centrale nucléaire, mais qui ne cause pas, selon les dispositions de conception appropriées, de dommage grave aux composants importants pour la sûreté ou qui ne se transforme pas en accident.
- limites de sûreté
- Limites des paramètres opérationnels à l'intérieur desquelles la sûreté d'une installation autorisée a été démontrée.
- limites et conditions d'exploitation
- Ensemble de règles qui établissent les limites des paramètres ainsi que la capacité fonctionnelle et les niveaux de rendement de l'équipement et du personnel, approuvées par l'organisme de réglementation afin d'assurer l'exploitation sûre d'une installation autorisée. Cet ensemble de limites et conditions d'exploitation est surveillé par l'exploitant ou en son nom, et peut être contrôlé par l'opérateur.
- marge de sûreté
- Marge attribuée à la valeur ou variable de sûreté d'une barrière ou d'un système, à laquelle des dommages ou des pertes pourraient se produire. Des marges de sûreté sont prises en compte pour les systèmes et barrières dont la défaillance est susceptible de contribuer à des rejets radiologiques.
- meilleure estimation
- Estimation impartiale obtenue par l'utilisation d'un modèle mathématique ou d'une méthode de calcul pour prédire, de façon réaliste, le rendement de la centrale et les paramètres importants.
- menace de référence
- Ensemble d'actes malveillants que la CCSN estime possibles.
- menace hors dimensionnement
- Conditions de menace plus graves qu'une menace de référence qui pourraient entraîner une détérioration structurale et possiblement une dégradation du confinement.
- mise en service
- Processus consistant en une série d'activités visant à démontrer que les structures, les systèmes, les composants et l'équipement installés fonctionnent conformément à leurs spécifications et aux attentes de conception, avant la mise en service de la centrale.
- panne d'électricité totale de la centrale
-
Perte complète d'alimentation en courant alternatif (CA) des sources hors site, de la
génératrice principale sur le site et des sources d'alimentation de relève et d'urgence. Ne
comprend pas la défaillance des sources d'alimentation sans coupure en CA et des sources d'alimentation
en courant continu, non plus que la défaillance de l'alimentation de remplacement en CA.
Remarque : Une panne d'électricité totale peut également s'appeler perte prolongée d'alimentation en CA. - paramètre de déclenchement
- Variable dont la mesure est utilisée pour enclencher un système de sûreté lorsque la valeur seuil de déclenchement est atteinte.
- paramètre de déclenchement direct
- Processus ou paramètre neutronique utilisé pour déclencher un arrêt et qui est une mesure directe d'un enjeu particulier à l'égard des critères d'acceptation dérivés ou une mesure directe de l'événement qui se déroule.
- paramètres des systèmes de sûreté
- Niveaux auxquels des appareils sont automatiquement activés dans l'éventualité d'incidents de fonctionnement prévus ou de conditions d'accident, pour prévenir le dépassement des limites de sûreté.
- procédé
- Ensemble d'activités inter-reliées qui transforment des intrants en extrants.
- qualification de l'équipement
- Processus servant à certifier que l'équipement respecte les exigences de fonctionnement dans les conditions applicables à ses fonctions de sûreté. Cela comprend la production et la tenue à jour de preuves que l'équipement fonctionnera sur demande, dans des conditions de service précises, pour répondre aux exigences de performance du système.
- réalisable
- Réalisable et justifiable du point de vue technique en tenant compte des facteurs coûts-avantages.
- redondance
- Mise en place de structures, systèmes et composants (identiques ou différents) de rechange, afin qu'ils puissent exécuter leurs fonctions, peu importe l'état de fonctionnement ou de défaillance des autres SSC.
- source froide
- Système ou composant qui permet le transfert de chaleur depuis une source chaude telle que la chaleur produite par le combustible, jusqu'à un grand milieu qui absorbe la chaleur.
- source froide d'ultime secours
- Milieu auquel la chaleur résiduelle peut toujours être transférée, même si tous les autres moyens d'évacuation de la chaleur ont été perdus ou sont insuffisants. Ce milieu est normalement un plan d'eau ou l'atmosphère.
- SSC importants pour la sûreté
-
Structures, systèmes et composants d'une centrale nucléaire qui sont associés au
déclenchement, à la prévention, à la détection ou à
l'atténuation de toute séquence de défaillance et qui ont le plus grand impact dans la
réduction de la possibilité d'un endommagement au combustible, du rejet associé de
radionucléides, ou les deux.
Remarque : Tous les systèmes importants pour la sûreté ne sont pas des systèmes de sûreté. - structures, systèmes et composants (SSC)
-
Terme général englobant tous les éléments d'une installation ou d'une
activité qui contribuent à la protection et à la sûreté.
Remarque : Les structures sont des éléments passifs : bâtiments, cuves, boucliers, etc. Un système comprend plusieurs composants assemblés de manière à exécuter une fonction (active) spécifique. Un composant est un élément distinct d'un système, par exemple des câbles, des transistors, des circuits intégrés, des moteurs, des relais, des solénoïdes, des conduites, des raccords, des pompes, des réservoirs et des vannes. - système de gestion
- Ensemble d'éléments interdépendants ou interactifs (système) qui permet d'établir des politiques et des objectifs et d'atteindre ces objectifs de façon efficace. Le système de gestion intègre tous les éléments d'une organisation en un système cohérent qui permet d'atteindre tous les objectifs de l'organisation. Ces éléments comprennent les structures, les ressources et les processus. Le personnel, l'équipement et la culture organisationnelle ainsi que les politiques et les processus documentés font partie du système de gestion. Les processus de l'organisation doivent aborder la totalité des exigences relatives à l'organisation telles qu'elles sont établies, par exemple, dans les normes de sûreté de l'AIEA ou d'autres normes et codes internationaux.
- système de soutien en matière de sûreté
- Système conçu pour assister le fonctionnement d'un système ou de plusieurs systèmes de sûreté.
- système de sûreté
- Système important pour la sûreté qui assure l'arrêt sûr du réacteur ou l'évacuation de la chaleur résiduelle du cœur du réacteur, ou qui atténue les conséquences des incidents de fonctionnement prévus et des accidents de dimensionnement.
- système fonctionnel
- Système dont la fonction principale est de soutenir la production de vapeur ou d'électricité ou d'y contribuer.
- système indépendant
- Système qui est capable d'exécuter ses fonctions prévues tout en n'étant pas touché par l'exploitation ou la défaillance d'un autre système.
- temps de mission
- Période durant laquelle un système ou composant doit fonctionner ou être disponible et exécuter sa fonction, à la suite d'un événement.
- valeur seuil de déclenchement
- Valeur du paramètre de déclenchement à laquelle l'activation d'un système de sûreté est effectuée.
- zone d'exclusion
- Conformément à l'article 1 du Règlement sur les installations nucléaires de catégorie I, une parcelle de terre à l'intérieur ou à proximité d'une installation nucléaire sur laquelle il n'y a pas de résidence permanente et pour laquelle un titulaire de permis a le pouvoir légal d'en exercer le contrôle.
Références de la CCSN
- RD-336, Comptabilisation et déclaration des matières nucléaires, Ottawa, Canada, 2010.
- RD-334, Gestion du vieillissement des centrales nucléaires, Ottawa, Canada, 2011.
- G-149, Les programmes informatiques utilisés lors de la conception et des analyses de sûreté des centrales nucléaires et des réacteurs de recherche, Ottawa, Canada, 2000.
- RD-321, Critères portant sur les systèmes et les dispositifs de protection physique sur les sites à sécurité élevée, Ottawa, Canada, 2010.
- G-219, Les plans de déclassement des activités autorisées, Ottawa, Canada, 2000.
- G-296, Élaboration de politiques, programmes et procédures de protection de l'environnement aux installations nucléaires de catégorie I et aux mines et usines de concentration d'uranium, Ottawa, Canada, 2006.
- G-225, Planification d'urgence dans les installations nucléaires de catégorie I, les mines d'uranium et les usines de concentration d'uranium, Ottawa, Canada, 2001, ou document de remplacement.
- G-323, Assurer la présence d'un personnel qualifié et en nombre suffisant dans les installations de catégorie 1 – Effectif minimum, Ottawa, Canada, 2007.
- REGDOC-2.9.1, Protection de l'environnement : Politiques, programmes et procédures de protection de l'environnement, Ottawa, Canada, 2013.
- GD-336, Document d'orientation pour la comptabilisation et la déclaration des matières nucléaires, Ottawa, Canada, 2010.
- GD-327, Directives de sûreté en matière de criticité nucléaire, Ottawa, Canada, 2010.
- REGDOC-2.4.1, Analyse déterministe de la sûreté, Ottawa, Canada, 2014.
- G-276, Plan de programme d'ingénierie des facteurs humains, Ottawa, Canada, 2003.
- G-278, Plan de vérification et validation des facteurs humains, Ottawa, Canada, 2003.
- G-129, révision 1, Maintenir les expositions et les doses au « niveau le plus bas qu'il soit raisonnablement possible d'atteindre (ALARA) », Ottawa, Canada, 2004.
- RD/GD-369, Guide de présentation d'une demande de permis : Permis de construction d'une centrale nucléaire, Ottawa, Canada, 2011.
- RD/GD-210, Programmes d'entretien des centrales nucléaires, Ottawa, Canada, 2012.
- P-290, Gestion des déchets radioactifs, Ottawa, Canada, 2004.
- RD-327, Sûreté en matière de criticité nucléaire, Ottawa, Canada, 2010.
- RD-363, Aptitudes psychologiques, médicales et physiques des agents de sécurité nucléaire, Ottawa, Canada, 2008.
- REGDOC-2.4.2, Études probabilistes de sûreté (EPS) pour les centrales nucléaires, Ottawa, Canada, 2014.
- P-119, Politique sur les facteurs humains, Ottawa, Canada, 2000.
- P-223, Protection de l'environnement, Ottawa, Canada, 2001.
- RD/GD-98, Programmes de fiabilité pour les centrales nucléaires, Ottawa, Canada, 2012.
- G-274, Les programmes de sécurité pour les matières nucléaires de catégorie I ou II, ou pour certaines installations nucléaires, Ottawa, Canada, 2003.
- REGDOC-2.3.2, Gestion des accidents : Programme de gestion des accidents graves touchant les réacteurs nucléaires, Ottawa, Canada, 2013.
- RD-346, Évaluation de l'emplacement des nouvelles centrales nucléaires, Ottawa, Canada, 2008.
- G-208, Les plans de sécurité pour le transport des matières nucléaires de catégorie I, II ou III, Ottawa, Canada, 2003.
- G-144, Critères d'acceptation des paramètres de déclenchement aux fins de l'analyse de sûreté des centrales nucléaires CANDU, Ottawa, Canada, 2006.
Renseignements supplémentaires
Les documents suivants contiennent des renseignements supplémentaires qui pourraient intéresser les personnes concernées par la conception de centrales nucléaires.
Groupe CSA
- N287, collection de normes sur les enceintes de confinement en béton.
- N294, Déclassement des installations contenant des substances nucléaires, Toronto, Canada.
- A23.3, Calcul des ouvrages en béton, Toronto, Canada.
- S16, Règles de calcul des charpentes en acier, Toronto, Canada.
- N290.13, Qualification environnementale des équipements pour les centrales nucléaires CANDU, Toronto, Canada.
- N285.0/Série N285.6, General Requirements for Pressure-Retaining Systems and Components in CANDU Nuclear Power Plants/Material Standards for Reactor Components for CANDU Nuclear Power Plants, Toronto, Canada.
- N286.7.1, Guideline for the application of N286.7-99, Quality assurance of analytical, scientific, and design computer programs for nuclear power plants, Toronto, Canada.
- N288.2, Guidelines for Calculating Radiation Doses to the Public from a Release of Airborne Radioactive Material under Hypothetical Accident Conditions in Nuclear Reactors, Toronto, Canada.
- N288.4, Programmes de surveillance de l'environnement aux installations nucléaires de catégorie I et aux mines et usines de concentration d'uranium, Toronto, Canada.
- N293, Fire Protection for Nuclear Power Plants, Toronto, Canada.
- COLLECTION N290.0/N290.3 – Contient N290.0-11, Exigences générales applicables aux systèmes de sûreté des centrales nucléaires et N290.3-11, Exigences applicables au système de confinement des centrales nucléaires, Toronto, Canada.
- N292.3, Gestion des déchets radioactifs de faible et de moyenne activité, Toronto, Canada.
- N286, Exigences relatives au système de gestion des centrales nucléaires, Toronto, Canada.
- N285.4, Inspection périodique des composants des centrales nucléaires CANDU, Toronto, Canada.
- N285.5, Inspection périodique des composants de confinement des centrales nucléaires CANDU, Toronto, Canada.
- N290.14, Qualification des logiciels préconçus utilisés dans les applications d'instrumentation et de commande liées à la sûreté des centrales nucléaires, Toronto, Canada.
- N286.7, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires, Toronto, Canada.
- N290.1, Exigences relatives aux systèmes d'arrêt des centrales nucléaires CANDU, Toronto, Canada.
- N290.4-11, Exigences relatives aux systèmes de contrôle des réacteurs des centrales nucléaires, Toronto, 2011.
- N290.5, Exigences relatives aux systèmes d'alimentation électrique et en air d'instrumentation des centrales nucléaires CANDU, Toronto, Canada.
- N290.6, Exigences relatives à la surveillance et à l'affichage des fonctions de sûreté d'une centrale nucléaire au moment d'un accident, Toronto, Canada.
- N290.15, Exigences relatives aux limites d'exploitation sûre des centrales nucléaires, Toronto, Canada.
- N291, Exigences relatives aux enceintes reliées à la sûreté des centrales nucléaires CANDU, Toronto, Canada.
- N289, collection de normes consacrées à la conception et à la qualification parasismique des centrales nucléaires.
Agence internationale de l'énergie atomique (AIEA)
- Collection sécurité no 50-P-1, Application of the Single Failure Criterion, Vienne, 1990.
- Collection rapports de sûreté no 46, Assessment of Defence in depth for Nuclear Power Plants, Vienne, 2005.
- NS-G-2.9, Commissioning for Nuclear Power Plants, Vienne, 2003.
- Collection sécurité nucléaire no 17, La sécurité informatique dans les installations nucléaires, Vienne, 2011.
- NS-G-2.5, Core Management and Fuel Handling for Nuclear Power Plants, Vienne, 2002.
- WS-G-2.1, Déclassement des centrales nucléaires et des réacteurs de recherche – Guide de sûreté, Vienne, 1999.
- INSAG-10, La défense en profondeur en sûreté nucléaire, Vienne, 1996.
- NS-G-1.8, Design of Emergency Power Systems for Nuclear Power Plants, Vienne, 2004.
- NS-G-1.4, Design of Fuel Handling and Storage Systems in Nuclear Power Plants Safety Guide, Vienne, 2003.
- TECDOC-1657, Design Lessons Drawn from the Decommissioning of Nuclear Facilities, Vienne, 2011.
- NS-G-1.10, Design of Reactor Containment Systems for Nuclear Power Plants, Vienne, 2004.
- NS-G-1.9, Design of the Reactor Coolant System and Associated Systems in Nuclear Power Plants Safety Guide, Vienne, 2004.
- NS-G-1.12, Design of the Reactor Core for Nuclear Power Plants, Vienne, 2005.
- SSG-2, Deterministic Safety Analysis for Nuclear Power Plants, Vienne, 2009.
- SSG-3, Development and Application of Level 1 Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 2010.
- SSG-4, Development and Application of Level 2 Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 2010.
- Collection rapports de sûreté no 3, Equipment qualification in operational nuclear power plants: upgrading, preserving and reviewing, Vienne, 1998.
- NS-G-1.5, External Events Excluding Earthquakes in the Design of Nuclear Power Plants, Vienne, 2003.
- NS-G-3.1, Les événements externes d'origine humaine dans l'évaluation des sites de centrales nucléaires, Vienne, 2002.
- NS-G-3.3, Evaluation of Seismic Hazards for Nuclear Power Plants, Vienne, 2002.
- NS-G-2.1, Protection contre l'incendie des centrales nucléaires en exploitation, Vienne, 2000.
- NS-G-3.5, Flood Hazard for Nuclear Power Plants on Coastal and River Sites, Vienne, 2003.
- TECDOC-967 (rév. 1)/F, Orientations et considérations concernant l'application du document INFCIRC/225/rév. 4, La protection physique des matières et installations nucléaires, Vienne, 2002.
- TECDOC-1276, Handbook on the physical protection of nuclear materials and facilities, Vienne, 2002.
- Collection sécurité no 50-P-10, Human Reliability Analysis in Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 1995.
- NS-G-1.3, Systèmes d'instrumentation et de contrôle-commande importants pour la sûreté des centrales nucléaires, Vienne, 2002.
- INSAG-19, Maintaining the Design Integrity of Nuclear Installations throughout their Operating Life, Vienne, 2003.
- NS-G-2.6, Maintenance, Surveillance and In-Service Inspection in Nuclear Power Plants, Vienne, 2002.
- GS-R-3, Système de gestion des installations et des activités, Vienne, 2006.
- GS-G-3.5, The Management System for Nuclear Installations, Vienne, 2009.
- GS-G-3.3, The Management System for the Processing, Handling and Storage of Radioactive Waste Safety Guide, Vienne, 2008.
- NS-G-3.4, Meteorological Events in Site Evaluation for Nuclear Power Plants, Vienne, 2003.
- SSG-18, Meteorological and Hydrological Hazards in Site Evaluation for Nuclear Installations, Vienne, 2011.
- INFCIRC-225, Rev.5, Nuclear Security Recommendations on Physical Protection of Nuclear Material and Nuclear Facilities, Vienne, 2011.
- RS-G-1.1, Radioprotection professionnelle, Vienne, 1999.
- NS-G-2.2, Limites et conditions d'exploitation et procédures de conduite des centrales nucléaires, Vienne, 2000.
- Collection rapports de sûreté no 8, Safe Preparation of Fire Hazard Analysis for Nuclear Power Plants, Vienne, 1998.
- GS-R-2, Préparation et intervention en cas de situation d'urgence nucléaire ou radiologique, Vienne, 2002.
- NS-G-1.7, Protection Against Internal Fires and Explosions in the Design of Nuclear Power Plants, Vienne, 2004.
- NS-G-1.11, Protection Against Internal Hazards other than Fires and Explosions in the Design of Nuclear Power Plants, Vienne, 2004.
- NS-G-1.13, Radiation Protection Aspects of Design for Nuclear Power Plants, Vienne 2005.
- Collection rapports de sûreté no 25, Review of Probabilistic Safety Assessments by Regulatory Bodies, Vienne, 2002.
- NS-G-1.2, Évaluation et vérification de la sûreté des centrales nucléaires, Vienne, 2001.
- Prescriptions générales de sûreté, no GSR, Partie 4, Évaluation de la sûreté des installations et activités, Vienne, 2009.
- Collection sécurité no 110, La sûreté des installations nucléaires, Vienne, 1993.
- SSR 2/2, Sûreté des centrales nucléaires : mise en service et exploitation, Vienne, 2012.
- SSR-2/1, Sûreté des centrales nucléaires : conception, Vienne, 2012 (version révisée du document NS-R-1).
- NS-G-1.6, Seismic Design and Qualification for Nuclear Power Plants, Vienne, 2003.
- SSG-9, Seismic Hazards in Site Evaluation for Nuclear Installations, Vienne, 2010.
- NS-G-2.15, Severe Accident Management Programmes for Nuclear Power Plants, Vienne, 2009.
- NS-G-1.1, Logiciels destinés aux systèmes programmés importants pour la sûreté des centrales nucléaires, Vienne, 2000.
- NS-G-2.11, A System for the Feedback of Experience from Events in Nuclear Installations, Vienne, 2006.
- Collection sécurité no 50-P-7, Treatment of External Hazards in Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 1995.
- Collection rapports de sûreté no 10, Treatment of Internal Fires in Probabilistic Safety Assessment for Nuclear Power Plants, Vienne, 1998.
Nuclear Regulatory Commission des États-Unis (USNRC)
- NUREG-6684, Advanced Alarm Systems: Revision of Guidance and Its Technical Basis, Washington, D.C., 2000.
- NUREG/CR-6633, Advanced Information Systems Design: Technical Basis and Human Factors Review Guidance, Washington, D.C., 2000.
- NUREG/CR-6486, Assessment of Modular Construction for Safety-Related Structures at Advanced Nuclear Power Plants, Washington, D.C., 1997.
- Regulatory Guide 1.77, Assumptions Used for Evaluating a Control Rod Ejection Accident for Pressurized Water Reactors, Washington, D.C., 1974.
- Regulatory Guide 5.71, Cyber Security Programs for Nuclear Facilities, Washington, D.C., 2010.
- NUREG 1852, Demonstrating the Feasibility and Reliability of Operator Manual Actions in Response to Fire, Washington, D.C., 2007.
- Regulatory Guide 1.76, Design Basis Tornado and Tornado Missiles for Nuclear Power Plants, Washington, D.C., 2007.
- Regulatory Guide 1.57, Design Limits and Loading Combinations for Metal Primary Reactor Containment System Components, Washington, D.C., 2007.
- NUREG/CR-7007, Diversity Strategies for Nuclear Power Plant Instrumentation and Control Systems, Washington, D.C., 2010.
- Regulatory Guide 1.91, Evaluations of explosions postulated to occur on transportation routes near Nuclear Power Plants, Washington, D.C., 1978.
- NUREG/CR-6850, EPRI 1011989, Fire Probabilistic Risk Assessment Methods Enhancements, Washington, D.C., 2010.
- Regulatory Guide 1.189, Fire Protection for Operating Nuclear Power Plants, Washington, D.C., 2009.
- NUREG-0696, Functional Criteria for Emergency Response Facilities, Washington, D.C., 1981.
- Branch Technical Position (BTP) 7-19, Guidance for Evaluation of Diversity and Defense-in-Depth and in Digital Computer-Based Instrumentation and Control Systems, Washington, D.C., 2007.
- NUREG/CR-1278, Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications-Final Report, Washington, D.C., 2011.
- NUREG-0711 Rev.2, Human Factors Engineering Program Review Model, Washington, D.C., 2004.
- NUREG-0700 Rev. 2, Human System Interface Design Review Guidelines, Washington, D.C., 2002.
- NUREG-6393, Integrated System Validation: Methodology and Review Criteria, Washington, D.C., 1997.
- NUREG/CR-6303, Method for Performing Diversity and Defense-in-Depth Analyses of Reactor Protection Systems, Washington, D.C., 1994.
- 10 CFR Part 50, annexe B, Quality Assurance Criteria for Nuclear Power Plants and Fuel Reprocessing Plants, Washington, D.C., 2007.
- NUREG-0800, section 3.8.1, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Concrete Containment, Washington, D.C., 2007.
- NUREG-0800, section 3.8.3, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Concrete and Steel Internal Structures of Steel or Concrete Containments, Washington, D.C., 2010.
- NUREG-0800, chapter 8, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Electric Power, Washington, D.C., 2007.
- NUREG-0800, section 14.3.10, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition - Emergency Planning – Inspections, Tests, Analyses, and Acceptance Criteria, Washington, D.C., 2007.
- NUREG-0800, section 9.5.1.1, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Fire Protection Program, Washington, D.C., 2009.
- NUREG-0800, chapter 18, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants – Human Factors Engineering, Washington, D.C., 2007.
- NUREG-0800, chapter 14, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Initial Test Program and ITAAC - Design Certification, Washington, D.C., 2007.
- NUREG-0800, section 3.8.4, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Other Seismic Category I Structures, Washington, D.C., 2010.
- NUREG 0800, section 3.7.3, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Seismic Subsystem Analysis, Washington, D.C., 2007.
- NUREG-0800, chapter 10, Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition – Steam and Power Conversion System, Washington, D.C., 2007.
- Regulatory Guide 1.203, Transient and Accident Analysis Methods, Washington, D.C., 2005.
Autres références
- American Concrete Institute (ACI), 349-06, Code Requirements for Nuclear Safety-Related Concrete Structures and Commentary, Farmington Hills, Michigan, 2007.
- Agence pour l'énergie nucléaire (AEN), n° 6946, Intégration du retour d'expérience du démantèlement à la conception et l'exploitation des futures centrales nucléaires, OCDE, Paris, 2010.
- AEN, no 6833, Decommissioning Considerations for New Nuclear Power Plants, OCDE, Paris, 2010.
- American National Standards Institute (ANSI)/American Nuclear Society (ANS). 57.1, American National Standard Design Requirements for Light Water Reactor Fuel Handling System, La Grange Park, Illinois, 1992.
- ANS. 2.26, Categorization of Nuclear Facility Structures, Systems, and Components for Seismic Design La Grange Park, Illinois, [confirmée en 2010].
- ANS. 2.3, Estimating Tornado, Hurricane, and Extreme Straight Line Wind Characteristics at Nuclear Facility Sites, La Grange Park, Illinois, 2011.
- ANS. 57.5, Light Water Reactor Fuel Assembly Mechanical Design and Evaluation, La Grange Park, Illinois, 1996.
- ANS. 58.8-1994, Time Response Design Criteria for Safety-Related Operator Actions, La Grange Park, Illinois, [confirmée en 2008].
- American Society of Civil Engineers (ASCE), Design of Blast-Resistant Buildings in Petrochemical Facilities, Reston, Virginia, 2010.
- ASCE 04-98, Seismic Analysis for Safety-Related Nuclear Structures, Reston, Virginia, 2000.
- ASCE 43-05, Seismic Design Criteria for Structures, Systems and Components in Nuclear Facilities, Reston, Virginia, 2005.
- ASCE 58, ASCE Manual Reports on Engineering Practice, Structural Analysis and Design of Nuclear Plant Facilities, Structural Analysis and Design of Nuclear Plant Facilities, Reston, Virginia, 1980.
- American Society of Mechanical Engineers (ASME), ASME Boiler and Pressure Vessel Code, New York, 2010.
- ASME, QME-1-2002, Qualification of Active Mechanical Equipment Used in Nuclear Power Plants, New York, 2002.
- ASME, NQA-1-2008, Quality Assurance Requirements for Nuclear Facility Applications, New York, 2008.
- ASME, ASME/ANS RA-Sa-2009, Standard for Level 1/Large Early Release Frequency PRA for Nuclear Power Plant Applications, New York, 2009.
- Commission électrotechnique internationale (CEI), 60964, Centrales nucléaires de puissance – Salles de commande – Conception, Genève, 2009.
- CEI. 60965, Centrales nucléaires de puissance – Salles de commande – Points de commande supplémentaires pour l'arrêt des réacteurs sans accès à la salle de commande principale (salle de commande de repli), Genève, 2009.
- CEI. 61839, Centrales nucléaires de puissance – Conception des salles de commande - Analyse fonctionnelle et affectation des fonctions, Genève, 2000.
- CEI. 60780, Ed. 2.0, Centrales nucléaires – Équipements électriques de sûreté – Qualification, Genève,1998.
- CEI. 61226, Ed. 3.0, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Classement des fonctions d'instrumentation et de contrôle-commande, Genève, 2009.
- CEI. 61513, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Exigences générales pour les systèmes, Genève, 2011.
- CEI. 60987, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Exigences applicables à la conception du matériel des systèmes informatisés, Genève, 2007.
- CEI. 62385, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Méthodes d'évaluation des performances des chaînes d'instrumentation des systèmes de sûreté, Genève, 2007.
- CEI. 60880, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Aspects logiciels des systèmes programmés réalisant des fonctions de catégorie A, Genève, 2006.
- CEI. 62138, Ed. 1.0, Centrales nucléaires – Instrumentation et contrôle-commande importants pour la sûreté – Aspects logiciels des systèmes informatisés réalisant des fonctions de catégorie B ou C, Genève, 2004.
- CEI. 60671, Centrales nucléaires de puissance – Instrumentation et contrôle-commande importants pour la sûreté – Essais de surveillance, Genève, 2007.
- Conseil national de recherches du Canada (CNRC), Code national du bâtiment du Canada, Ottawa, Canada, 2010.
- CNRC, Code national de prévention des incendies – Canada, Ottawa, Canada, 2010.
- Centre de la sécurité des télécommunications, TRA-1, Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), Ottawa, Canada, 2007.
- Electric Power Research Institute (EPRI), TR-103959, Methodology for Developing Seismic Fragilities Palo Alto, California, 1994.
- EPRI, Technical Report, Rev.1, Nuclear Power Plant Equipment Qualification Reference Manual, Palo Alto, California, 2010.
- Institute of Electrical and Electronics Engineers (IEEE), 379-1988, Application of the Single-Failure Criterion to Nuclear Power Generating Station Safety Systems, Piscataway, New Jersey, 1988.
- IEEE, C62.23-1995, IEEE Application Guide for Surge Protection of Electric Generating Plants, Piscataway, New Jersey, 1995.
- IEEE, 1289, IEEE Guide for the Application of Human Factors Engineering in the Design of Computer-Based Monitoring and Control Displays for Nuclear Power Generating Stations, Piscataway, New Jersey, 1998.
- IEEE, 1023, IEEE Guide for the Application of Human Factors Engineering to Systems, Equipment, and Facilities of Nuclear Power Generating Stations, Piscataway, New Jersey, 2004.
- IEEE, 1050-1996, Guide for Instrumentation and Control Equipment Grounding in Generating Stations, Piscataway, New Jersey, 1996.
- IEEE, 141, IEEE Recommended Practice for Electric Power Distribution for Industrial Plants, Piscataway, New Jersey, 1993.
- IEEE, 242, IEEE Recommended Practice for Protection and Coordination of Industrial and Commercial Power Systems, Piscataway, New Jersey, 2001.
- IEEE, 344, IEEE Recommended Practice for Seismic Qualification of Class 1E Equipment for Nuclear Power Generating Stations, Piscataway, New Jersey, 2004.
- IEEE, 497, IEEE Standard Criteria for Accident Monitoring Instrumentation for Nuclear Power Generating Stations, Piscataway, New Jersey, 2010.
- IEEE, 308, IEEE Standard Criteria for Class 1E Power Systems for Nuclear Power Generating Stations, Piscataway, New Jersey, 2001.
- IEEE, 7-4.3.2, IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations, Piscataway, New Jersey, 2010.
- IEEE, 279, IEEE Standard: Criteria for Protection Systems for Nuclear Power Generating Stations, Piscataway, New Jersey, 1971.
- IEEE, 665-1995, IEEE Standard for Generating Station Grounding, Piscataway, New Jersey [confirmée en 2010].
- IEEE, 627, IEEE Standard for Qualification of Equipment Used in Nuclear Facilities, Piscataway, New Jersey, 2010.
- IEEE, 323, IEEE Standard for Qualifying Class 1E Equipment for Nuclear Power Generating Stations, Piscataway, New Jersey, 2003.
- IEEE, 387, IEEE Standard Criteria for Diesel--Generator Units Applied as Standby Power Supplies for Nuclear Power Generating Stations, Piscataway, New Jersey, 1995.
- IEEE. 603, IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations, Piscataway, New Jersey, 2009.
- Norme européenne, NF EN 15129, Dispositifs antisismiques, Brussels, 2009.
- Norme européenne, NF EN 1337-3, Appareils d'appui structuraux – Appareils d'appui en élastomère, Brussels, 2000.
- Norme européenne, NF EN 1337-1, Appareils d'appui structuraux – Indications générales, Brussels, 2000.
- Nuclear Energy Institute (NEI), 08-09 Rev.6, Cyber Security Plan for Nuclear Power Reactors, Washington, D.C., 2010.
- NEI. 00-01, Guidance for Post Fire Safe Shutdown Circuit Analysis, Washington, D.C., 2005.
- NEI. 99-03, rév.0, Control Room Habitability Assessment Guidance,Washington, D.C., 2001.
- NEI. 04-02, rév. 1, Guidance for Implementing a Risk-Informed, Performance-Based Fire Protection Program Under 10 CFR 50.48(c), Washington, D.C., 2005.
- NEI. 07-2011, Methodology for Performing Aircraft Impact Assessments for New Plant Designs, Washington, D.C., 2011.
- National Fire Protection Association (NFPA), Fire Protection Handbook, Quincy, Massachusetts, 2008.
- NFPA. 805, Performance-Based Standard for Fire Protection for Light Water Reactor Electric Generating Plants, Quincy, Massachusetts, 2010.
- NFPA. 804, Standard for Fire Protection for Advanced Light Water Reactor Electric Generating Plants, Quincy, Massachusetts, 2010.
- Nuclear Information and Records Management Association/American National Standards Institute (NIRMA/ANSI), 1.0, Standard Configuration Management, Washington, D.C., 2007.
- Organisation internationale de normalisation. norme ISO 9001:2008, Systèmes de management de la qualité – Exigences, Genève, 2008.
- Society of Fire Protection Engineers, Society of Fire Protection Engineers Handbook of Fire Protection Engineering, Bethesda, Maryland, 2008.
- Unified Facilities Criteria, 3-340-02, Structures to Resist the Effects of Accidental Explosions, Washington, D.C., 2008.
- United Kingdom Atomic Energy Authority, Guidelines for the Design and Assessment of Concrete Structures Subjected to Impact, Oxfordshire, United Kingdom, 1990.
Séries de documents d'application de la réglementation de la CCSN
Les installations et activités du secteur nucléaire du Canada sont réglementées par la Commission canadienne de sûreté nucléaire (CCSN). En plus de la Loi sur la sûreté et la réglementation nucléaires et de ses règlements d'application, il pourrait y avoir des exigences en matière de conformité à d'autres outils de réglementation, comme les documents d'application de la réglementation ou les normes.
Les changements apportés au catalogue des documents d'application de la réglementation sont entrés en vigueur en avril 2013. Les documents actuels et prévus ont été classés en trois grandes catégories et vingtcinq séries, selon la structure ci-dessous. Les documents d'application de la réglementation préparés par la CCSN font partie de l'une des séries suivantes :
- 1.0 Installations et activités réglementées
-
Séries 1.1 Installations dotées de réacteurs
- 1.2 Installations de catégorie IB
- 1.3 Mines et usines de concentration d'uranium
- 1.4 Installations de catégorie II
- 1.5 Homologation d'équipement réglementé
- 1.6 Substances nucléaires et appareils à rayonnement
- 2.0 Domaines de sûreté et de réglementation
-
Séries 2.1 Système de gestion
- 2.2 Gestion du rendement humain
- 2.3 Conduite de l'exploitation
- 2.4 Analyse de la sûreté
- 2.5 Conception matérielle
- 2.6 Aptitude fonctionnelle
- 2.7 Radioprotection
- 2.8 Santé et sécurité classiques
- 2.9 Protection de l'environnement
- 2.10 Gestion des urgences et protection-incendie
- 2.11 Gestion des déchets
- 2.12 Sécurité
- 2.13 Garanties et non-prolifération
- 2.14 Emballage et transport
- 3.0 Autres domaines de réglementation
-
Séries 3.1 Exigences relatives à la production de rapports
- 3.2 Mobilisation du public et des Autochtones
- 3.3 Garanties financières
- 3.4 Délibérations de la Commission
- 3.5 Diffusion de l'information
Remarque : Les séries de documents d'application de la réglementation pourraient être modifiées périodiquement par la CCSN. Chaque série susmentionnée pourrait comprendre de nombreux documents d'application de la réglementation. Pour obtenir la plus récente liste de documents d'application de la réglementation, veuillez consulter le site Web de la CCSN à suretenucleaire.gc.ca/documents-de-reglementation.
Notes de bas de page
- Note de bas de page 1
-
Les installations actuelles, aux fins du présent document, sont celles qui ont été autorisées avant 2014.
Détails de la page
- Date de modification :