RD-308 : Analyse déterministe de sûreté pour les installations

Préface

Ce document d'application de la réglementation établit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) relatives à l'analyse déterministe de sûreté pour les installations dotées de petits réacteurs. La conformité à ces exigences doit être démontrée à la CCSN tel que prescrit par le Règlement général sur la sûreté et la réglementation nucléaires et le Règlement sur les installations nucléaires de catégorie I.

RD-308, Analyse déterministe de sûreté pour les installations dotées de petits réacteurs précise les critères réglementaires applicables à la préparation et à la présentation d'une analyse déterministe de sûreté pour une installation dotée d'un petit réacteur. Une installation dotée d'un petit réacteur s'entend d'une installation équipée d'un réacteur d'une puissance inférieure à environ 200 mégawatts thermiques (MWt) utilisé à des fins de recherche, de production d'isotopes, de vapeur ou d'électricité, ou pour d'autres applications.

Le présent document propose une méthode moderne de classification des accidents qui tient compte de tout l'éventail des incidents possibles, notamment ceux qui ont les conséquences les plus graves pour la population.

Ce document permet d'appliquer une méthode graduée en vue de déterminer la portée et l'étendue de l'analyse déterministe de sûreté.

La CCSN attend des demandeurs de permis pour de nouvelles installations dotées de petits réacteurs qu'ils appliquent les exigences énoncées dans le présent document. Pour ce qui est des installations dotées de petits réacteurs déjà titulaires d'un permis, la CCSN attend des titulaires de permis qu'ils appliquent progressivement les exigences énoncées dans le présent document afin d'y satisfaire dans toute la mesure du possible.

Aucun élément dans ce document ne doit être interprété par le titulaire de permis comme une autorisation de déroger aux exigences pertinentes. Il appartient au titulaire de permis d'identifier tous les règlements et conditions de permis applicables et de s'y conformer.

1.0 Introduction

1.1 Objet

Ce document d'application de la réglementation établit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) relatives à l'analyse déterministe de sûreté pour les installations dotées de petits réacteurs.

1.2 Portée

Une installation dotée d'un petit réacteur s'entend d'une installation équipée d'un réacteur d'une puissance inférieure à environ 200 mégawatts thermiques (MWt) utilisé à des fins de recherche, de production d'isotopes, de vapeur ou d'électricité, ou pour d'autres applications.

L'évaluation globale de la sûreté de la conception d'une installation dotée d'un réacteur comprend l'analyse des risques, l'analyse déterministe de sûreté et l'évaluation probabiliste de la sûreté (EPS). Le présent document traite de l'analyse déterministe de sûreté utilisée dans l'évaluation des conséquences d'un événement.

Les critères techniques relatifs à l'analyse déterministe de sûreté comprennent le choix des événements à analyser, les critères d'acceptation, les hypothèses et méthodes de l'analyse déterministe de sûreté, la documentation, l'examen et la mise à jour, ainsi que le contrôle de la qualité.

1.3 Règlements pertinents

Les passages pertinents des règlements pris en application de la Loi sur la sûreté et la réglementation nucléaires (LSRN) pour le présent document d'application de la réglementation comprennent :

  • l'alinéa 3(1)i) du Règlementnéral sur la sûreté et la réglementation nucléaires qui stipule qu'une demande de permis doit comprendre entre autres « une description et les résultats des épreuves, analyses ou calculs effectués pour corroborer les renseignements compris dans la demande ».
  • l'alinéa 5f) du Règlement sur les installations nucléaires de catégorie I qui stipule qu'une demande de permis pour construire une installation nucléaire de catégorie I doit comprendre entre autres « un rapport préliminaire d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate ».
  • l'alinéa 5i) du Règlement sur les installations nucléaires de catégorie I qui stipule qu'une demande de permis pour construire une installation nucléaire de catégorie I doit comprendre entre autres « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir la construction, l'exploitation et le déclassement de l'installation nucléaire, de même que les mesures qui seront prises pour éviter ou atténuer ces effets ».
  • l'alinéa 6c) du Règlement sur les installations nucléaires de catégorie I qui stipule qu'une demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre, entre autres exigences, des renseignements relatifs à « un rapport final d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate ».
  • l'alinéa 6h) du Règlement sur les installations nucléaires de catégorie I qui stipule qu'une demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre, entre autres exigences, des renseignements précisant « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir l'exploitation et le déclassement de l'installation nucléaire, de même que les mesures qui seront prises pour éviter ou atténuer ces effets ».
  • l'alinéa 7f) du Règlement sur les installations nucléaires de catégorie I qui stipule qu'une demande de permis pour déclasser une installation nucléaire de catégorie I doit comprendre, entre autres exigences, des renseignements précisant « les effets que les travaux de déclassement peuvent avoir sur l'environnement ainsi que sur la santé et la sécurité des personnes, de même que les mesures qui seront prises pour éviter ou atténuer ces effets ».
  • le paragraphe 13(1) du Règlement sur la radioprotection qui prescrit les limites de doses efficaces en vigueur pour les travailleurs du secteur nucléaire et les personnes qui ne travaillent pas dans ce domaine, y compris les membres du public.

1.4 Normes nationales et internationales

Le présent document d'application de la réglementation est conforme à l'orientation et au contenu technique des normes et des codes nationaux et internationaux. Il s'appuie notamment en partie sur les publications suivantes :

  • Association canadienne de normalisation, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires, CSA-N286.7-99, 1999
  • Agence internationale de l'énergie atomique, Safety Analysis for Research Reactors (Analyse de sûreté pour les réacteurs de recherche), Collection Rapports de sûreté de l'AIEA no 55, 2008
  • Agence internationale de l'énergie atomique, Safety of Research Reactors (Sûreté des réacteurs de recherche), Collection Normes de sûreté de l'AIEA no NS-R-4, 2005

2.0 Méthode graduée

La méthode graduée est une méthode dans laquelle les contraintes imposées aux choix de conceptions et aux analyses sont proportionnées au niveau de risque posé par l'installation du réacteur.

La portée et l'étendue des analyses de même que l'ampleur des incertitudes acceptées dans les analyses de sûreté doivent démontrer que les objectifs de l'analyse de sûreté et les exigences contenus dans le présent document sont atteints et respectés.

Les titulaires et les demandeurs de permis peuvent trouver des indications supplémentaires sur l'utilisation de la méthode graduée dans le document no NS-R-4 de l'Agence internationale de l'énergie atomique (AIEA) intitulé Safety of Research Reactors (Sûreté des réacteurs de recherche).

2.1 Application de la méthode graduée à l'analyse de sûreté

La portée, le contenu et les détails de l'analyse de sûreté pour les installations dotées de petits réacteurs peuvent différer de celles applicables aux réacteurs de puissance. Des scénarios d'accidents différents peuvent s'appliquer et certains d'entre eux peuvent ne nécessiter qu'une analyse de sûreté limitée. L'application de la méthode graduée à l'analyse de sûreté doit être proportionnelle au niveau de risque que présente l'installation dotée d'un réacteur.

Lorsque la méthode graduée est appliquée, les facteurs à considérer comprennent ce qui suit :

  • la puissance du réacteur
  • les caractéristiques de sûreté du réacteur
  • la quantité et l'enrichissement des matières fissiles et fissionnables
  • la conception du combustible
  • le type et la masse du modérateur, du réflecteur et du caloporteur
  • l'utilisation du réacteur
  • la présence de sources de rayonnement et d'autres sources radioactives et dangereuses
  • les caractéristiques de la conception de sûreté
  • le terme source
  • l'emplacement
  • la proximité de zones habitées

3.0 Analyse de sûreté

L'évaluation globale de la conception d'une installation dotée d'un réacteur comprend l'analyse des risques, l'analyse déterministe de sûreté et l'évaluation probabiliste de la sûreté. Le présent document traite de l'analyse déterministe de sûreté.

Ces analyses identifient toutes les sources d'exposition afin d'évaluer les doses de rayonnement potentielles auxquelles sont exposés les travailleurs de l'installation dotée d'un réacteur et les membres du public, et de déterminer les effets potentiels sur l'environnement.

Ces analyses permettent de confirmer que la conception est apte à satisfaire aux exigences de sûreté, aux critères d'acceptation relatifs aux doses de rayonnement, ainsi qu'aux objectifs de sûreté. Elles contribuent également à démontrer que l'installation dotée d'un réacteur comporte une défense en profondeur (telle que définie dans le document RD-367 intitulé Conception de petits réacteurs).

Les analyses de sûreté doivent :

  • confirmer les hypothèses et intentions de la conception pour l'exploitation normale de l'installation dotée d'un réacteur afin d'établir les limites et conditions opérationnelles (LCO) de l'installation et de contribuer à l'établissement et à la validation des procédures et des directives de gestion des accidents
  • caractériser les événements applicables à l'emplacement et à la conception de l'installation dotée d'un réacteur, tel que décrit à la section 4.2
  • analyser et évaluer les séquences d'événements ayant entraîné une défaillance des structures, systèmes et composants (SSC)
  • comparer les résultats des analyses de sûreté aux limites de conception et aux critères d'acceptation des doses de rayonnement
  • confirmer l'éventail des conditions et des événements pris en considération dans le dimensionnement
  • démontrer que les incidents de fonctionnement prévus (IFP), les accidents de dimensionnement (AD) et, dans la mesure du possible, les accidents hors dimensionnement (AHD) peuvent être gérés par le déclenchement automatique des systèmes de sûreté en association avec les procédures opérationnelles

3.1 Objectifs de l'analyse déterministe de sûreté

L'analyse déterministe de sûreté doit :

  • confirmer que la conception d'une installation dotée d'un réacteur répond aux exigences de conception et de sûreté, ainsi qu'aux exigences applicables à la défense en profondeur établies dans le document RD-367; l'analyse déterministe de sûreté doit plus particulièrement :
    1. démontrer l'existence d'une défense en profondeur de niveau 2 en fournissant un degré de confiance raisonnable que les systèmes de contrôle automatiques peuvent atténuer un vaste éventail d'incidents de fonctionnement prévus (IFP) sans endommager les structures, systèmes et composants (SSC)
    2. démontrer l'existence d'une défense en profondeur de niveau 3 en fournissant un degré de confiance élevé que les systèmes de sûreté automatiques à eux seuls peuvent atténuer tous les IFP et tous les accidents de dimensionnement (AD), de telle sorte que l'installation répond aux critères d'acceptation des doses établis dans le document RD-367
    3. permettre de démontrer l'existence d'une défense en profondeur de niveau 4 au moyen d'une analyse probabiliste de la sûreté afin de démontrer que l'installation répond aux objectifs de sûreté établis dans le document RD-367
  • établir ou confirmer que les LCO sont conformes aux exigences de conception et de sûreté pour l'installation dotée d'un réacteur
  • aider à établir et à valider les procédures et les directives de gestion des accidents
  • confirmer que les modifications apportées à la conception ou au fonctionnement de l'installation dotée d'un réacteur n'ont aucun effet négatif important en termes de sûreté

4.0 Exigences de l'analyse déterministe de sûreté

Les sections suivantes soulignent les exigences détaillées de l'analyse déterministe de sûreté qui doit être présentée à la CCSN.

4.1 Responsabilités

Le titulaire ou le demandeur d'un permis est tenu de s'assurer que l'analyse déterministe de sûreté répond aux exigences suivantes. Le titulaire ou le demandeur d'un permis doit :

  • posséder à tout moment les compétences requises pour réaliser une analyse déterministe de sûreté ou pour encadrer avec compétence la réalisation d'une analyse déterministe de sûreté lorsque celle-ci est confiée à un intervenant externe
  • s'assurer que l'évaluation et la mise à jour de l'analyse déterministe de sûreté suivent un processus formel qui tient compte des répercussions des modifications de conception, de l'expérience opérationnelle, des résultats de recherche et des problèmes de sûreté connus
  • s'assurer qu'un processus d'assurance de la qualité (AQ) documenté est appliqué lors de la réalisation de l'analyse déterministe de sûreté

4.2 Événements à analyser

4.2.1 Identification des événements

Le titulaire ou le demandeur d'un permis doit utiliser un processus systématique pour identifier les événements initiateurs postulés (y compris les événements de criticité), les séquences d'événements et les combinaisons d'événements (ci-après « événements » dans le présent document) pouvant potentiellement compromettre les dispositifs de sûreté de l'installation dotée d'un réacteur. Ce processus doit tenir compte des exigences et directives réglementaires, de l'historique de délivrance des permis antérieurs, de l'expérience opérationnelle, du jugement des ingénieurs, des résultats des évaluations de sûreté déterministes et des études probabilistes de sûreté (EPS), ainsi que de l'examen systématique de la conception.

La détermination des événements doit tenir compte :

  • de toutes les configurations de fonctionnement comme par exemple, le démarrage, le régime de production normale, l'arrêt, la maintenance, les essais ou la surveillance et le rechargement du combustible
  • des configurations et des utilisations de l'installation dotée d'un réacteur
  • des interactions entre le réacteur et tout dispositif expérimental, y compris :
    1. les procédures administratives
    2. les contrôles
    3. l'équipement supplémentaire relatif aux dispositifs expérimentaux

Par souci d'exhaustivité, la liste des événements déterminés doit être examinée pendant les processus de la conception et d'analyse déterministe de sûreté. Après la construction d'une nouvelle installation dotée d'un réacteur, la liste des événements doit être vérifiée à la lumière des caractéristiques de l'installation. Les modifications de conception ultérieures et les conceptions expérimentales doivent également être examinées et le cas échéant, la liste des événements déterminés doit être modifiée.

4.2.2 Portée des événements analysés

La liste des événements à élaborer pour l'analyse déterministe de sûreté doit comprendre :

  • les défaillances ou dysfonctionnements des SSC
  • les erreurs commises par les opérateurs
  • les défaillances de cause commune déclenchées par des événements internes ou externes

Une fréquence seuil doit être établie de façon à ce que les événements dont la fréquence de survenue est inférieure à ce seuil ne contribuent au risque que de manière négligeable. Les événements dont la fréquence de survenue est inférieure au seuil fixé ne sont pas considérés plausibles. L'élimination de tels événements de la portée de l'analyse déterministe de sûreté doit être justifiée et les motifs de leur élimination doivent être documentés.

4.2.3 Classification des événements

À la lumière des résultats de l'EPS et du jugement des ingénieurs, les événements déterminés doivent être classés dans l'une des trois catégories d'événements suivantes :

  • les incidents de fonctionnement prévus (IFP) qui comprennent tous les événements dont la fréquence est égale ou supérieure à 10-2 par année-réacteur.
  • les accidents de dimensionnement (AD) qui comprennent tous les événements dont la fréquence est égale ou supérieure à 10-5 par année-réacteur, mais inférieure à 10-2 par année-réacteur; cette catégorie d'événements comprend également tout événement utilisé comme référence pour un système de sûreté, que la fréquence estimée soit inférieure ou non à 10-5 par année-réacteur.
  • les accidents hors dimensionnement (AHD) qui comprennent les événements dont la fréquence est inférieure à 10-5 par année-réacteur.

Les événements dont la fréquence se rapproche du seuil compris entre deux catégories d'événements, ou dont la fréquence prévue comporte une marge d'incertitude importante, devraient être classés dans la catégorie de fréquence supérieure.

Les événements plausibles de cause commune doivent également être classés dans les catégories IFP, AD ou AHD.

4.3 Critères d'acceptation

4.3.1 Exploitation normale

L'analyse de sûreté effectuée lors de l'exploitation normale d'une installation dotée d'un réacteur doit démontrer que :

  • les doses de rayonnement auxquelles sont exposés les travailleurs et les membres du public se situent à l'intérieur des limites prescrites par le Règlement sur la radioprotection
  • les rejets de substances radioactives dans l'environnement se situent à l'intérieur des limites réglementaires
4.3.2 Incidents de fonctionnement prévus et accidents de dimensionnement

L'analyse de sûreté des IFP et des AD doit démontrer que :

  • les doses de rayonnement auxquelles sont exposés les membres du public ne dépassent pas les critères d'acceptation des doses établis dans le document RD-367 intitulé Conception de petits réacteurs
  • les exigences de sûreté applicables établies conformément à la section 4.3.4 sont respectées, à moins de justification de toute dérogation
4.3.3 Accidents hors dimensionnement

L'analyse de sûreté des AHD doit démontrer que :

  • l'installation dotée d'un réacteur est apte, telle que conçue, à satisfaire aux objectifs de sûreté établis dans le document RD-367
  • le programme de gestion des accidents est apte à atténuer les AHD dans la mesure du possible

Remarquer que l'analyse déterministe de sûreté vient appuyer l'EPS lors de l'évaluation d'une installation dotée d'un réacteur en fonction des objectifs de sûreté.

4.3.4 Application des exigences de sûreté pour les IFP et les AD

Afin de confirmer l'efficacité des systèmes de l'installation dotée d'un réacteur pour la préservation de l'intégrité des barrières physiques contre les rejets de substances radioactives, il importe d'établir des critères d'acceptation qualitatifs pour chaque IFP et chaque AD. Ces critères d'acceptation qualitatifs doivent :

  • permettre d'éviter le risque de défaillances consécutives à un événement initiateur
  • conserver les structures, systèmes et composants dans un état qui permette l'évacuation efficace de la chaleur résiduelle
  • empêcher le développement de configurations complexes ou de phénomènes physiques qui ne peuvent être :
    1. modélisés avec un degré de confiance élevé
    2. validés au moyen d'expériences appropriées
    3. encadrés de façon fiable par des hypothèses prudentes
  • être conformes aux exigences de conception des SSC d'une installation dotée d'un réacteur

Pour démontrer que les exigences de sûreté sont satisfaites, le titulaire ou le demandeur de permis doit définir les critères d'acceptation pour les IFP et les AD, avant d'effectuer l'analyse déterministe de sûreté. Ces critères d'acceptation doivent garantir que les fonctionnalités de sûreté sont satisfaisantes, justifiées et appuyées par des éléments probants appropriés.

Des exemples de critères d'acceptation pour les IFP et les AD sont fournis à l'annexe A, « Exemples de critères d'acceptation ». Les conditions du permis peuvent comporter des exigences supplémentaires correspondant à des événements pouvant résulter d'une conception ou d'expériences uniques propres à l'installation dotée d'un réacteur.

Les résultats de l'analyse déterministe de sûreté doivent répondre aux critères d'acceptation, auxquels doivent être ajoutées des marges de sûreté suffisantes pour intégrer les incertitudes associées à l'analyse déterministe de sûreté.

Cette analyse doit inclure l'événement pour lequel le respect des critères d'acceptation (c.-à-d. l'événement limite dans sa catégorie d'événements) soulève le plus de difficultés.

4.4 Méthodologie et hypothèses de l'analyse déterministe de sûreté

L'analyse déterministe de sûreté doit démontrer que les critères d'acceptation seront satisfaits. Pour fournir des résultats dignes d'un niveau de confiance adéquat, l'analyse déterministe de sûreté doit :

  • être effectuée conformément au processus d'assurance de la qualité qui répond aux exigences énoncées à la section 4.7
  • être effectuée par des analystes qualifiés
  • appliquer une méthodologie systématique d'analyse déterministe de sûreté
  • utiliser des modèles et des codes machines vérifiés et validés
  • utiliser des hypothèses justifiées
  • être assujettie à un processus d'examen
4.4.1 Méthodologie de l'analyse déterministe de sûreté

La méthodologie de l'analyse déterministe de sûreté doit comprendre :

  • la détermination des scénarios à analyser pour atteindre les objectifs de l'analyse, y compris les analyses de sensibilité
  • la détermination des critères d'acceptation et des limites applicables
  • le recueil d'informations décrivant l'installation dotée d'un réacteur ainsi que ses modes de fonctionnement permis
  • la détermination des hypothèses relatives à l'état de fonctionnement, à la disponibilité et à la performance des systèmes de l'installation, ainsi qu'aux actions des opérateurs
  • la détermination des phénomènes importants de l'événement à analyser
  • le choix des méthodes de calcul ou des codes machines, des modèles et des corrélations qui ont été validés pour les applications projetées
  • la préparation des données d'entrée pour l'analyse déterministe de sûreté
  • l'exécution des calculs, y compris pour les analyses de sensibilité, afin de prédire le transitoire de l'événement, depuis l'état stable initial jusqu'à l'état final prédéfini
  • la vérification des résultats des calculs pour valider leur cohérence en termes de physique et de logique
  • le traitement et la documentation des résultats des calculs afin de démontrer leur conformité aux critères d'acceptation et aux limites
4.4.2 Hypothèses de l'analyse déterministe de sûreté

L'analyse déterministe de sûreté doit être fondée sur des données précises et exhaustives concernant la conception de l'installation dotée d'un réacteur et, dans la mesure du possible, son exploitation. Les hypothèses énoncées pour simplifier l'analyse déterministe de sûreté ainsi que les hypothèses relatives à la disponibilité et à la performance des systèmes et des opérateurs doivent être déterminées et justifiées.

L'analyse déterministe de sûreté des IFP et des AD (une analyse prudente pour une défense en profondeur de niveau 3) doit :

  • intégrer les incertitudes relatives aux entrées clés des paramètres de modélisation, les incertitudes relatives aux entrées clés des mesures des paramètres de l'installation, et les incertitudes des mesures pour le déclenchement des systèmes d'atténuation; les incertitudes doivent être estimées de façon appropriée, conformément aux pratiques exemplaires nationales et internationales
  • appliquer le critère de défaillance unique à tous les groupes de sûreté et faire en sorte que les groupes de sûreté répondent aux normes environnementales
  • utiliser le rendement minimal admissible (tel qu'établi dans les LCO) pour les groupes de sûreté
  • tenir compte des risques de défaillances consécutives à un événement initiateur
  • approuver les actions des systèmes de traitement et de contrôle seulement lorsque les systèmes sont passifs et répondent aux normes environnementales pour les conditions de l'accident
  • approuver les systèmes de traitement seulement s'ils fonctionnent déjà et ne sont pas perturbés par l'événement
  • inclure les actions des systèmes de traitement et de contrôle lorsque leurs actions peuvent avoir un effet préjudiciable sur les conséquences de l'accident analysé
  • tenir compte des effets du vieillissement sur les SSC
  • tenir compte de la possibilité que de l'équipement soit mis hors service pour maintenance
  • approuver les actions des opérateurs seulement :
    1. lorsque le besoin de telles actions est clairement indiqué
    2. lorsqu'existent des procédures adéquates et une formation suffisante des opérateurs pour de telles actions
    3. lorsqu'il y a suffisamment de temps pour accomplir les actions approuvées
    4. lorsque les conditions environnementales n'interdisent pas de telles actions
4.4.3 Codes machines

Les codes machines utilisés dans l'analyse déterministe de sûreté doivent être élaborés, validés et utilisés conformément à un programme d'assurance de la qualité qui respecte ou dépasse la norme CSA-N286.7-99 de l'Association canadienne de normalisation. Le document d'orientation no G-149 de la CCSN intitulé Les programmes informatiques utilisés lors de la conception et des analyses de sûreté des centrales nucléaires et des réacteurs de recherche énonce les attentes relatives aux codes machines.

4.4.4 Principe de prudence dans l'analyse déterministe de sûreté

L'analyse devra respecter certains principes de prudence pour afficher un niveau de confiance conforme aux objectifs de l'analyse établis selon la section 3.1.

4.5 Documentation de l'analyse déterministe de sûreté

La documentation relative à l'analyse déterministe de sûreté doit être exhaustive et suffisamment détaillée pour permettre une vérification indépendante. La documentation doit comprendre :

  • l'objectif de l'analyse de sûreté
  • les fondements techniques de chaque événement ainsi que les phénomènes et les processus clés
  • une description de l'événement analysé
  • la description des préoccupations relatives à la sûreté, des risques possibles pesant sur la sûreté, des critères, exigences et limites chiffrées applicables en ce qui concerne la sécurité
  • l'identification des phénomènes clés survenus pendant l'événement analysé pour chacune des préoccupations liées à la sûreté
  • la démonstration de l'applicabilité des codes machines, y compris des preuves que ces codes ont été validés au moyen d'une comparaison avec des expériences de prototype et par une évaluation de leur exactitude
  • la démonstration que les hypothèses de l'analyse sont conformes aux limites opérationnelles de l'installation dotée d'un réacteur
  • les résultats des analyses de sensibilité et des incertitudes
  • les données et informations à fournir aux autres programmes mis en place sur le site de l'installation dotée d'un réacteur
  • un résumé des principaux résultats et conclusions concernant l'acceptabilité

4.6 Examen et mise à jour de l'analyse déterministe de sûreté

4.6.1 Examen des résultats de l'analyse déterministe de sûreté

Le titulaire ou le demandeur d'un permis doit examiner systématiquement les résultats de l'analyse déterministe de sûreté afin de s'assurer qu'ils sont corrects et qu'ils satisfont à l'objectif initial de l'analyse. Les résultats doivent être évalués à l'aune des exigences pertinentes de la CCSN, des données expérimentales applicables, du jugement des experts et des comparaisons avec des calculs et des analyses de sensibilité comparables.

Le titulaire ou le demandeur d'un permis doit examiner les résultats de l'analyse déterministe de sûreté en recourant à au moins une des techniques suivantes selon les objectifs de l'analyse déterministe de sûreté :

  • un examen par les supérieurs
  • un examen par des pairs
  • un examen indépendant par des personnes qualifiées
  • des calculs indépendants utilisant, dans la mesure du possible, des méthodes et des outils différents
4.6.2 Mise à jour de l'analyse déterministe de sûreté

L'analyse déterministe de sûreté doit être examinée et mise à jour périodiquement pour tenir compte des modifications apportées à la configuration de l'installation dotée d'un réacteur, des changements de conditions (y compris ceux dus au vieillissement), de paramètres et de procédures opérationnels, des résultats de nouvelles recherches et de l'évolution des connaissances. La méthode graduée s'applique à la fréquence des mises à jour.

En plus des mises à jour périodiques, l'analyse déterministe de sûreté sera également actualisée en cas de modifications importantes de conception ou de réfections majeures, ou les deux, ainsi qu'à la suite de la découverte d'informations indicatrices de risques de nature significativement différents, dont la probabilité est plus élevée ou dont l'ampleur est plus importante que ce qui avait été présenté antérieurement à la CCSN dans les documents relatifs au permis. De telles informations comprennent :

  • les changements motivés par les résultats de nouvelles recherches
  • la survenue d'un événement non pris en compte dans l'analyse déterministe de sûreté

4.7 Qualité de l'analyse déterministe de sûreté

L'analyse déterministe de sûreté doit être assujettie à un programme complet d'assurance de la qualité appliqué à toutes les activités susceptibles d'avoir une incidence sur la qualité des résultats. Le programme d'assurance de la qualité doit indiquer les normes d'assurance de la qualité devant être appliquées et doit comprendre les procédures et les directives documentées pour l'ensemble du processus de l'analyse déterministe de sûreté, y compris, mais sans toutefois s'y limiter :

  • la collecte et la vérification des données relatives à l'installation dotée d'un réacteur
  • la vérification des données d'entrée informatiques
  • la validation des codes machines utilisés dans l'analyse déterministe de sûreté
  • l'évaluation des résultats des simulations
  • la documentation des résultats de l'analyse déterministe de sûreté

Annexe A : Exemples de critères d'acceptation

Le tableau A.1 fournit des exemples de critères d'acceptation pour les IFP. Le tableau A.2 fournit des exemples de critères d'acceptation pour les AD. Des exceptions justifiées aux critères seront prises en considération sous réserve qu'un niveau de sûreté équivalent soit assuré et démontré.

Tableau A.1 : Critères d'acceptation pour les IFP
No Critère d'acceptation Remarque

1

Aucune dépendance à l'égard des systèmes de sûreté dans la mesure du possible.

 

2

Aucune dégradation consécutive de l'état du combustible.

Une dégradation de l'état du combustible signifie que celui-ci ne peut plus être utilisé de façon continue après avoir été soumis aux conditions prévues.

3

Aucune dégradation consécutive des SSC.

Tous les SSC demeurent en état de fonctionnement ininterrompu.



Tableau A.2 : Critères d'acceptation pour les AD
No Critère d'acceptation Remarque

1

Aucune dépendance à l'égard des systèmes de contrôle.

Lorsque les systèmes de contrôle aggravent l'événement, ceci devrait être compris dans l'analyse.

2

La configuration du combustible permet d'évacuer la chaleur résiduelle.

 

3

Aucune dégradation additionnelle du combustible après que le système de refroidissement à long terme a rétabli un refroidissement adéquat.

 

4

Aucun endommagement du combustible consécutif à une augmentation rapide de l'énergie.

 

5

Aucune défaillance consécutive des fonctions des systèmes de sûreté.

 

6

Aucune perte consécutive de l'intégrité du système de refroidissement primaire.

 

7

La pression dans l'enceinte de sécurité ou de confinement demeure dans la plage des pressions prévues.

 

8

Aucune explosion d'hydrogène consécutive ni déflagration dans aucun système de l'installation dotée d'un réacteur.

 

9

Le réacteur demeure sous-critique après sa mise en arrêt.

 

10

Le combustible à l'extérieur du cœur du réacteur demeure sous-critique.

 

11

Le refroidissement du combustible usé est maintenu.

 

Glossaire

Accident
Tout événement involontaire, y compris les fausses manœuvres, les défaillances d'équipements ou d'autres anomalies, dont les conséquences réelles ou potentielles ne sont pas négligeables du point de vue de la protection ou de la sûreté.
Accident de dimensionnement (AD)
Conditions accidentelles auxquelles une installation est conçue pour résister conformément à des critères de conception spécifiés et dans lesquelles l'endommagement du combustible et le rejet de matières radioactives sont maintenus en dessous des limites autorisées.
Accident hors dimensionnement (AHD)
Conditions accidentelles plus graves qu'un accident de dimensionnement. Un accident hors dimensionnement peut ou peut ne pas impliquer une dégradation du cœur du réacteur.
Analyse de sensibilité
Examen quantitatif de la manière dont le comportement d'un système varie sous l'effet de changements, en général de la valeur des paramètres déterminants.
Analyse de sûreté
Analyse au moyen d'outils analytiques appropriés qui établit et confirme le dimensionnement des dispositifs importants pour la sûreté et permet d'assurer que l'ensemble de la conception de l'installation dotée d'un réacteur est en mesure de répondre aux critères d'acceptation pour chacun des états du réacteur.
Analyse déterministe de sûreté
Analyse des réactions à un événement d'une installation dotée d'un réacteur, effectuée en utilisant des règles et des hypothèses prédéterminées (p. ex. celles se rapportant à l'état opérationnel initial de l'installation, à la disponibilité et au rendement des systèmes de l'installation ainsi qu'aux actions des opérateurs). L'analyse déterministe de sûreté peut recourir à des valeurs de type « hypothèse la plus probable » ou « hypothèse prudente ».
Analyse des incertitudes
Processus qui consiste à déterminer et à caractériser les sources d'incertitude dans le cadre d'une analyse de sûreté, à évaluer leurs répercussions sur les résultats de l'analyse et à élaborer, autant que possible, une mesure quantitative de ces répercussions.
Approbation
Fait de conclure, dans le cadre d'une analyse, que le fonctionnement d'une structure, d'un système ou d'un composant est correct, ou qu'une action d'un opérateur est correcte.
Catégorie d'événements
Groupe d'événements caractérisés par une cause identique ou semblable, et par la similitude des phénomènes qui les régissent.
Confinement
Méthodes ou structures physiques destinées à empêcher le rejet et la dispersion de substances radioactives. Ce terme est habituellement utilisé dans la documentation relative aux réacteurs de puissance.
Critère de défaillance unique
Critère utilisé pour déterminer si un système est apte à remplir sa fonction en cas de défaillance unique.
Critères d'acceptation
Valeurs limitatives d'un indicateur de fonctionnement ou d'un indicateur d'état servant à évaluer la capacité d'une structure, d'un système ou d'un composant de répondre aux exigences de conception et de sûreté.
Critères d'acceptation des doses
Limites déterminées pour les doses de rayonnement afin de protéger les travailleurs et les membres du public des dangers causés par le rejet de substances radioactives lors d'un fonctionnement normal, d'incidents de fonctionnement prévus ou d'accidents de dimensionnement.
Défaillance de cause commune
Défaillance simultanée d'au moins deux structures, systèmes ou composants due à un événement ou à une cause spécifique unique, comme un phénomène naturel (tremblement de terre, tornade, inondation, etc.), un défaut de conception ou de fabrication, une erreur d'exploitation ou de maintenance, un événement destructeur d'origine humaine ou une autre cause ou événement.
Défaillance unique
Défaillance qui rend un composant impropre à remplir sa (ses) fonction(s) de sûreté prévue(s) et toute autre défaillance qui peut en résulter.
Dimensionnement
Éventail des conditions et des événements pris explicitement en considération dans la conception des structures, des systèmes et des composants d'une installation nucléaire, conformément aux critères fixés, de façon que l'installation puisse y résister sans dépassement des limites autorisées quand les systèmes de sûreté fonctionnent comme prévu. Le dimensionnement comprend la description de la conception, les manuels de conception, les plans de conception et le rapport d'analyse de sûreté.
Enveloppe de confinement
Structure, sans ouvertures ni pénétrations, qui empêche le rejet de substances radioactives hors de l'espace confiné.
Évaluation probabiliste de la sûreté (EPS)
Évaluation exhaustive et intégrée de la sûreté d'une installation dotée d'un réacteur. L'évaluation de la sûreté tient compte de la probabilité, de la progression et des conséquences des défaillances de l'équipement ou des conditions d'un phénomène transitoire afin de fournir des estimations chiffrées qui procurent une mesure cohérente de la sûreté de l'installation dotée d'un réacteur et ce, de la façon suivante :
  • une EPS de niveau 1 identifie et quantifie les séquences des événements pouvant entraîner la perte d'intégrité structurelle du cœur d'un réacteur et à des défaillances massives du combustible
  • une EPS de niveau 2 s'appuie sur les résultats de l'EPS de niveau 1 pour analyser le comportement du confinement, évaluer les radionucléides libérés par le combustible défectueux et quantifier les rejets dans l'environnement
  • une EPS de niveau 3 s'appuie sur les résultats de l'EPS de niveau 2 pour analyser les rejets de radionucléides dans l'environnement et évaluer leurs effets sur la santé publique
Événement initiateur postulé
Événement dont on détermine au stade de la conception qu'il peut entraîner des incidents de fonctionnement prévus ou des conditions accidentelles. Cela signifie qu'un événement initiateur postulé n'est pas nécessairement lui-même un accident, mais plutôt un événement qui en déclenche une série d'autres pouvant mener à un IFP, un AD ou un AHD, selon les défaillances supplémentaires qui se produisent.
Examen systématique
Examen au cours duquel des méthodes prescrites et appropriées sont utilisées afin d'identifier, d'évaluer et de résumer les études abordant un problème précis.
Exploitation normale
Exploitation d'une installation dotée d'un réacteur à l'intérieur des limites et conditions opérationnelles prescrites, y compris au démarrage, lors de l'exploitation, de l'arrêt prévu, d'un arrêt d'urgence, de la maintenance, d'essais et du rechargement du combustible.
Facteurs humains
Facteurs qui influencent le rendement humain et se rapportent à la sûreté de l'installation dotée d'un réacteur, y compris les activités pendant les phases de conception, de construction, de mise en service, d'exploitation, de maintenance et de déclassement.
Groupe de sûreté
Ensemble de structures, de systèmes et de composants prévus pour accomplir toutes les actions requises si un événement initiateur postulé particulier se produit afin que les limites spécifiées pour les incidents de fonctionnement prévus et les accidents de dimensionnement ne soient pas dépassées. Cet assemblage peut comprendre certains systèmes de sûreté et d'appui à la sûreté ainsi que tout système de traitement des interactions.
Incident de fonctionnement prévu (IFP)
Écart de fonctionnement par rapport au fonctionnement normal que l'on s'attend à voir survenir au moins une fois pendant la durée de vie utile de l'installation mais qui, grâce aux dispositions appropriées prises lors de la conception, ne cause pas de dommage significatif à des constituants importants pour la sûreté ou ne dégénère pas en conditions accidentelles.
Installation dotée d'un réacteur
Tout réacteur à fission tel que décrit dans le Règlement sur les installations nucléaires de catégorie I, y compris les structures, systèmes et composants :
  • nécessaires pour arrêter le réacteur et assurer son maintien dans un état d'arrêt sécuritaire
  • pouvant contenir des matières radioactives et qui ne peuvent être isolés du réacteur de façon fiable
  • dont la défaillance peut entraîner un accident limitatif pour le réacteur
  • étroitement intégrés au fonctionnement de l'installation nucléaire
  • nécessaires au maintien de la sécurité et des sauvegardes
Installation nucléaire de catégorie I
Installation nucléaire de catégorie I désigne une installation nucléaire de catégorie IA ou IB telle que décrite dans le Règlement sur les installations nucléaires de catégorie I.
Limites et conditions d'exploitation
Ensemble de règles fixant les limites des paramètres ou les conditions qui assure la capacité fonctionnelle et les niveaux de rendement de l'équipement et du personnel pour l'exploitation sécuritaire d'une installation dotée d'un réacteur. Cet ensemble de limites et de conditions est surveillé par l'opérateur ou pour celui-ci, et peut être contrôlé par celui-ci.
Matière fissile
Matière apte à subir une réaction en chaîne de fission nucléaire.
Matière fissionnable
Toute matière pouvant subir une fission nucléaire.
Meilleure estimation
Estimation impartiale obtenue en recourant à un modèle mathématique, une méthode de calcul ou des données afin de prédire de façon réaliste un comportement et des paramètres importants.
Méthode graduée
La méthode graduée est une méthode dans laquelle les contraintes imposées aux choix de conceptions et aux analyses sont proportionnées au niveau de risque posé par l'installation du réacteur.
Mise en service
Ensemble des opérations qui consistent à démontrer que les structures, systèmes et composants installés sont conformes à la conception et satisfont aux critères de performance prescrits avant le début de l'exploitation.
Objectif de sûreté
Objectif qui consiste à protéger le personnel de l'installation dotée d'un réacteur, le public et l'environnement de tout préjudice en établissant et en maintenant des systèmes de défense efficaces contre le rejet de matières posant des dangers radiologiques.
Petit réacteur
Réacteur présentant une puissance inférieure à environ 200 mégawatts thermiques (MWt) utilisé pour la recherche, la production d'isotopes, de vapeur ou d'électricité, ou pour d'autres applications.
Prudence
Utilisation d'hypothèses fondées sur l'expérience ou des informations indirectes, sur un phénomène ou le comportement d'un système à la limite ou proche de la limite prévue, qui permet d'augmenter les marges de sûreté ou de prédire des conséquences plus graves que si des hypothèses fondées sur la meilleure estimation avaient été utilisées.
Structures, systèmes et composants
Expression générale englobant tous les éléments, à l'exception des facteurs humains, d'une installation ou activité qui contribuent à la protection et à la sûreté.

Les structures sont les éléments passifs : bâtiments, cuves, blindage, etc. Un système comprend plusieurs composants assemblés de manière à remplir une fonction (active) précise. Un composant est un élément distinct d'un système. Des exemples : câbles, transistors, circuits intégrés, moteurs, relais, solénoïdes, conduites, garnitures, pompes, réservoirs et vannes, etc.
Système de sûreté
Système permettant l'arrêt sûr du réacteur ou l'évacuation de la chaleur résiduelle du cœur du réacteur, ou de limiter les conséquences des incidents de fonctionnement prévus et des accidents de dimensionnement.
Terme source
Volume et composition isotopique des rejets (ou des rejets postulés) de matières à partir d'une installation.

Renseignements supplémentaires

Les documents suivants contiennent des renseignements supplémentaires pouvant intéresser les personnes participant à une analyse déterministe de sûreté pour les installations dotées de petits réacteurs.

  • Association canadienne de normalisation, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires, CSA-N286.7-99, 2003.
  • Agence internationale de l'énergie atomique, Safety Analysis for Research Reactors (Analyse de sûreté pour les réacteurs de recherche), Collection Rapports de sûreté de l'AIEA no 55, 2008.
  • Agence internationale de l'énergie atomique, Safety of Research Reactors (Sûreté des réacteurs de recherche), Collection Normes de sûreté de l'AIEA no NS-R-4, 2005.
  • Commission canadienne de sûreté nucléaire, RD-310, Analyses de la sûreté pour les centrales nucléaires, Ottawa, 2008.
  • Commission canadienne de sûreté nucléaire, RD-367, Conception de petits réacteurs, Ottawa, 2011.