RD-310 : Analyses de la sûreté pour les centrales nucléaires

Préface

Le présent document d’application de la réglementation a été élaboré en vertu des dispositions stipulées par le Règlement général sur la sûreté et la réglementation nucléaires et le Règlement sur les installations nucléaires de catégorie I afin de définir un ensemble d’exigences relatives aux rapports d’analyse de la sûreté d’une centrale nucléaire qui doivent accompagner les diverses demandes de permis visant de telles centrales présentées à la Commission canadienne de sûreté nucléaire (CCSN).

Ce document précise les principales exigences réglementaires qu’un demandeur de permis visant une centrale nucléaire doit satisfaire quant à la préparation et à la présentation de l’analyse de la sûreté de la centrale en question. Les exigences de la CCSN en matière d’analyse de sûreté reposent sur des normes pertinentes rigoureuses et elles sont conformes aux pratiques nationales et internationales les plus récentes utilisées pour traiter les questions et les facteurs qui contribuent à assurer la sûreté nucléaire et à l’améliorer. Plus particulièrement, ce document est fondé sur une méthode de classement des accidents qui tient compte de tout l’éventail des accidents possibles, notamment de ceux qui ont les conséquences les plus graves pour la population, et qui est axée sur le risque relatif que les divers accidents présentent.

Les exigences formulées dans ce document entrent immédiatement en vigueur pour toute demande de permis visant une nouvelle centrale nucléaire. De plus, la CCSN s’attend à ce que les présents détenteurs de permis d’exploitation d’une centrale nucléaire se conforment progressivement à ces mêmes exigences pour les futurs rapports d’analyse de la sûreté qu’ils devront présenter à la Commission et lors de leurs futures demandes à la Commission relatives au permis visant leur centrale.

1.0 Objet

Ce document de réglementation a pour but d'assurer que, durant la construction, l'exploitation ou le déclassement d'une centrale nucléaire, des analyses de sûreté adéquates sont effectuées par le demandeur ou le titulaire de permis, ou en son nom, conformément à la Loi sur la sûreté et la réglementation nucléaires (LSR) et aux exigences réglementaires.

2.0 Portée

Ce document décrit les exigences liées à l'analyse de la sûreté, incluant la sélection des événements à analyser, les critères d'acceptation, les méthodes d'analyse, ainsi que la documentation et la revue de l'analyse de sûreté.

3.0 Dispositions législatives et réglementaires pertinentes

Voici les articles de la LSRN et de ses règlements qui sont pertinents dans le cadre de ce document d'application de la réglementation:

  1. Selon le paragraphe 24(4) de la LSRN, la Commission ne délivre, ne renouvelle, ne modifie ou ne remplace un permis que si elle est d'avis que l'auteur de la demande, à la fois : a) est compétent pour exercer les activités visées par la licence ou le permis; b) prendra, dans le cadre de ces activités, les mesures voulues pour préserver la santé et la sécurité des personnes, pour protéger l'environnement, pour maintenir la sécurité nationale et pour respecter les obligations internationales que le Canada a assumées;
  2. Selon le paragraphe 24(5) de la LSRN, la Commission peut assortir un permis des conditions qu'elle estime nécessaires à l'application de la Loi;
  3. Selon l'alinéa 3(1)i) du Règlement général sur la sûreté et la réglementation nucléaires, la demande de permis doit comprendre « une description et les résultats des épreuves, analyses ou calculs effectués pour corroborer les renseignements compris dans la demande »;
  4. Selon l'alinéa 5f) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre « un rapport préliminaire d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate »;
  5. Selon l'alinéa 5i) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir la construction, l'exploitation et le déclassement de l'installation nucléaire... »;
  6. Selon l'alinéa 6c) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre « un rapport final d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate »;
  7. Selon l'alinéa 6h) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir l'exploitation et le déclassement de l'installation nucléaire... »;
  8. Selon l'alinéa 7f) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour déclasser une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets que les travaux de déclassement peuvent avoir sur l'environnement ainsi que sur la santé et la sécurité des personnes... ».

4.0 Objectifs de l'analyse de sûreté

L'analyse de sûreté est un élément essentiel de l'évaluation de la sûreté. Il s'agit d'une étude analytique dans laquelle on démontre de quelle façon les exigences liées à la sûreté sont respectées pour une vaste gamme de conditions d'exploitation et pour différents événements initiateurs. L'analyse de sûreté implique des analyses déterministes et probabilistes en support au choix de l'emplacement, de la conception, de la mise en service, de l'exploitation ou du déclassement d'une centrale nucléaire. Les exigences pour les études probabilistes de la sûreté pour les centrales nucléaires sont présentées dans la norme de réglementation S-294, Études probabilistes de la sûreté pour les centrales nucléaires. Le présent document porte sur l'analyse déterministe de sûreté utilisée dans l'évaluation des conséquences d'un événement. Voici les objectifs de l'analyse déterministe:

  1. confirmer que la conception de la centrale respecte les exigences en matière de conception et de sûreté;
  2. dériver ou confirmer les conditions et limites opérationnelles qui sont conformes aux exigences relatives à la conception et à la sûreté de la centrale;
  3. aider à établir et à valider les procédures et les directives de gestion des accidents;
  4. aider à démontrer que les objectifs en matière de sûreté, qui peuvent être établis pour limiter les risques posés par la centrale nucléaire, sont atteints.

Ce document, qui tient compte des meilleures pratiques nationales et internationales, identifie les exigences de haut niveau requises pour réaliser et présenter une analyse de sûreté.

5.0 Exigences de l'analyse de sûreté

5.1 Responsabilité

Le titulaire de permis a la responsabilité de s'assurer que l'analyse de sûreté respecte toutes les exigences réglementaires. Il doit :

  1. maintenir une capacité adéquate de réaliser ou d'obtenir une analyse de sûreté;
  2. établir un processus formel d'évaluation et de mise à jour de l'analyse de sûreté qui tient compte de l'expérience en exploitation, des résultats de recherche et des problématiques de sûreté identifiés;
  3. établir et appliquer un processus d'assurance de la qualité (AQ) formel qui satisfait aux normes d'AQ établies pour l'analyse de sûreté dans la publication N286.7-99, Quality Assurance of Analytical, Scientific and Design Computer Programs for Nuclear Power Plants, de l'Association canadienne de normalisation (CSA).

5.2 Événements à analyser

5.2.1 Identification des événements

Le titulaire de permis doit identifier, à l'aide d'un processus systématique, les événements, les séquences d'événements et les combinaisons d'événements (ci-après « événements ») qui risquent de compromettre les fonctions de sûreté ou de contrôle de la centrale. Ce processus doit être fondé sur les lignes directrices et les exigences réglementaires, les antécédents en matière de demande de permis, l'expérience d'exploitation, le jugement d'ingénierie, les résultats des évaluations déterministes et probabilistes et tout autre examen systématique de la conception.

L'identification des événements doit tenir compte de tous les modes d'exploitation. La liste des événements identifiés doit être examinée par souci d'exhaustivité durant les processus de conception et d'analyse et modifiée par la suite, au besoin.

En plus de porter sur les événements qui risquent de compromettre les fonctions de sûreté ou de contrôle de la centrale, des analyses de la sûreté doivent être réalisées pour l'exploitation normale.

5.2.2 Portée des événements

La liste des événements identifiés pour l'analyse de sûreté doit comprendre :

  1. les défaillances ou anomalies crédibles de composants et de systèmes;
  2. les erreurs crédibles des opérateurs;
  3. les événements de cause commune crédibles, initiés de manière interne ou externe.

Une fréquence de coupure devra être choisie, de façon telle que les événements dont la fréquence est inférieure à cette limite ne contribuent que de manière négligeable au risque global posé par la centrale. L'élimination de ces événements de la portée de l'analyse doit être justifiée et les raisons qui motivent cette décision doivent être documentées.

5.2.3 Classification des événements

Les événements identifiés seront classés, à la lumière des résultats des études probabilistes et du jugement technique, dans l'une des trois catégories suivantes :

  1. les incidents de fonctionnement prévus (IFP), qui comprennent tous les événements dont la fréquence est égale ou supérieure à 10-2 par année de réacteur;
  2. les accidents de référence (ADR), qui comprennent les événements dont la fréquence est égale ou supérieure à 10-5 par année de réacteur, mais inférieure à 10-2 par année de réacteur;
  3. les accidents hors dimensionnement (AHD), qui comprennent les événements dont la fréquence est inférieure à 10-5 par année de réacteur.

D'autres facteurs à considérer pour la classification des événements sont les exigences réglementaires ou les pratiques antérieures pertinentes. Les événements dont la fréquence se situe à la limite entre deux catégories, ou dont l'incertitude de fréquence prévue est importante, seront classés dans la catégorie de fréquence supérieure.

Les événements de cause commune crédibles doivent également être classés dans les catégories IFP, ADR et AHD.

5.3 Critères d'acceptation

5.3.1 Exploitation normale

L'analyse de l'exploitation normale d'une centrale, réalisée pendant la phase de conception, doit permettre de démontrer que :

  1. les doses de rayonnement reçues par les travailleurs et les membres du public se situent à l'intérieur des limites considérées comme acceptables par la CCSN;
  2. les rejets de matières radioactives dans l'environnement se situent à l'intérieur des limites admissibles pour l'exploitation normale.
5.3.2 Incidents de fonctionnement prévus et accidents de référence

L'analyse des IFP et des ADR doit permettre de démontrer que :

  1. les doses de rayonnement reçues par les membres du public ne dépassent pas les limites établies;
  2. les critères d'acceptation dérivés, établis conformément à la section 5.3.4, sont respectés.
5.3.3 Accidents hors dimensionnement

L'analyse des AHD réalisée dans le cadre d'une évaluation de la sûreté doit permettre de démontrer que:

  1. la centrale nucléaire, telle que conçue, peut respecter les objectifs de sûreté établis;
  2. le programme de gestion des accidents et les caractéristiques de la conception, mis en place pour répondre aux besoins en matière de gestion des accidents, sont efficaces.
5.3.4 Critères d'acceptation pour les IFP et les ADR

Des critères d'acceptation qualitatifs doivent être définis pour les IFP et les ADR, afin de confirmer que les systèmes de la centrale permettent bien de maintenir l'intégrité des barrières physiques contre les rejets de matières radioactives. Ces critères doivent satisfaire les principes généraux suivants:

  1. éliminer le risque de défaillances résultant d'un événement initiateur;
  2. maintenir les structures, systèmes et composants dans une configuration permettant l'évacuation efficace de la chaleur résiduelle;
  3. prévenir le développement de configurations complexes ou de phénomènes physiques qui ne peuvent être modélisés avec un niveau de confiance élevé;
  4. être consistants avec les exigences de conception des systèmes, structures et composants de la centrale.

Pour démontrer que les critères d'acceptation qualitatifs applicables aux IFP ou aux ADR sont respectés, des critères d'acceptation dérivés quantitatifs, fondés sur des données expérimentales, seront identifiés avant de procéder à l'analyse.

Les résultats de l'analyse de sûreté doivent respecter les critères d'acceptation dérivés appropriés avec des marges suffisantes pour tenir compte des incertitudes associées à l'analyse.

L'analyse doit être réalisée pour l'événement que l'on considère comme posant le plus de difficultés sur le plan du respect des critères d'acceptation dérivés (c.-à-d. l'événement le plus limitatif d'une catégorie d'événements).

5.4 Hypothèses et méthodes d'analyse de la sûreté

5.4.1 Généralités

L'analyse doit permettre de démontrer, avec un niveau de confiance approprié, la conformité aux critères d'acceptation. Pour ce faire, elle doit:

  1. être réalisée par des analystes qualifiés conformément à un processus d'AQ approuvé;
  2. appliquer une méthode d'analyse systématique;
  3. utiliser des données vérifiées;
  4. utiliser des hypothèses justifiées;
  5. utiliser des modèles et des programmes informatiques vérifiés et validés;
  6. comporter une marge de prudence;
  7. être assujettie à un processus de revue.
5.4.2 Méthode d'analyse

La méthode d'analyse doit comprendre les éléments suivants:

  1. identifier les scénarios à analyser qui permettent d'atteindre les objectifs d'analyse;
  2. identifier les critères d'acceptation, les exigences de sûreté et les limites applicables;
  3. cerner les phénomènes importants de l'événement analysé;
  4. choisir les méthodes de calcul ou les programmes informatiques, les modèles et les corrélations qui ont été validés pour les applications voulues;
  5. définir les conditions aux limites et les conditions initiales;
  6. effectuer des calculs, dont des analyses de sensibilité, afin de prévoir les transitoires, depuis l'état initial en régime permanent jusqu'à l'état final prédéfini;
  7. tenir compte des incertitudes dans les modèles et les données d'analyse;
  8. vérifier que les résultats des calculs sont cohérents sur le plan de la physique et de la logique;
  9. traiter et documenter les résultats des calculs pour démontrer la conformité aux critères d'acceptation.
5.4.3 Données d'analyse

L'analyse de sûreté doit être fondée sur des renseignements précis et complets concernant la conception et l'exploitation.

Les conditions aux limites et les conditions initiales qui servent de données d'entrée pour l'analyse doivent:

  1. refléter avec exactitude la configuration de la centrale;
  2. tenir compte des effets du vieillissement des systèmes, structures et composants;
  3. tenir compte des différents modes d'exploitation permis;
  4. être fondées sur des données expérimentales, lorsque l'on ne dispose pas de données opérationnelles.

Les incertitudes significatives dans les données d'analyse, y compris celles associées au comportement de la centrale, aux mesures opérationnelles et aux paramètres de modélisation, doivent être identifiées.

5.4.4 Hypothèses utilisées pour l'analyse

Les hypothèses faites pour simplifier l'analyse, ainsi que les hypothèses concernant le mode d'exploitation de la centrale, la disponibilité et la performance des systèmes, et les actions des opérateurs, doivent être identifiées et justifiées.

L'analyse des IFP et des ADR doit:

  1. appliquer le critère de défaillance simple à tous les systèmes de sûreté et leurs systèmes de soutien;
  2. tenir compte des défaillances subséquentes qui peuvent survenir par suite à l'événement initiateur;
  3. créditer les actions des systèmes seulement lorsque les systèmes sont qualifiés pour des conditions d'accident ou lorsque ces actions pourraient avoir un effet néfaste sur les conséquences de l'accident analysé;
  4. tenir compte de la possibilité que l'équipement soit mis hors service en vue de l'entretien;
  5. créditer les actions des opérateurs seulement :
    1. lorsqu'il y a des indications claires et non-ambigües de la nécessité de prendre de telles actions,
    2. lorsqu'il y a des procédures adéquates et suffisamment de temps pour effectuer les actions requises,
    3. lorsque les conditions environnementales n'interdisent pas de telles actions.

Pour l'analyse des accidents hors dimensionnement (AHD), il convient d'utiliser une méthode d'analyse plus réaliste, comportant des hypothèses qui reflètent la configuration probable de la centrale, ainsi que la réponse attendue des systèmes et des opérateurs face à l'événement analysé.

5.4.5 Programmes informatiques

Les programmes informatiques utilisés dans l'analyse de sûreté doivent être développés, validés et utilisés conformément à un programme d'assurance de la qualité (AQ) qui respecte la norme CSA N286.7-99.

5.4.6 Marge de prudence dans l'analyse

L'analyse de sûreté doit comporter une marge de prudence suffisante pour compenser toute incertitude associée aux conditions limites et aux conditions initiales de la centrale, ainsi qu'à la modélisation du comportement de la centrale pour l'événement analysé. La marge de prudence doit dépendre de la catégorie d'événement et doit permettre de répondre aux objectifs de l'analyse.

5.5 Documentation de l'analyse de sûreté

Les documents sur l'analyse de sûreté doivent être complets et suffisamment détaillés pour permettre une revue concluante. Ils doivent comprendre:

  1. les fondements techniques de l'événement analysé et des phénomènes et procédés les plus importants;
  2. une description de l'installation analysée, incluant les systèmes importants et leur performance, ainsi que les actions des opérateurs;
  3. une description de la méthode d'analyse et des hypothèses;
  4. une description des évaluations de l'applicabilité des programmes informatiques pour l'événement analysé et de l'incertitude de ces programmes;
  5. une description des résultats d'analyse de manière à faciliter leur compréhension et à en tirer des conclusions concernant la conformité aux critères d'acceptation.

La documentation doit faciliter la mise à jour de l'analyse quand de nouveaux résultats deviennent disponibles.

5.6 Revue et mise à jour de l'analyse de la sûreté

5.6.1 Revue des résultats de l'analyse de la sûreté

Le titulaire de permis doit examiner systématiquement les résultats de l'analyse afin de s'assurer qu'ils sont corrects et qu'ils respectent les objectifs de l'analyse. Les résultats doivent être évalués en les comparant avec les exigences pertinentes, les données expérimentales applicables et le jugement d'experts, ainsi qu'avec des analyses de sensibilité et des calculs semblables.

Le titulaire de permis doit examiner revoir les résultats de l'analyse à l'aide d'une ou de plusieurs des techniques suivantes, selon les objectifs de l'analyse :

  1. revue par la direction;
  2. revue par les pairs;
  3. revue indépendante réalisée par des personnes qualifiées;
  4. calculs indépendants à l'aide d'autres outils et méthodes dans la mesure du possible.
5.6.2 Mise à jour de l'analyse de la sûreté

L'analyse de sûreté sera périodiquement revue et mise à jour pour tenir compte des changements de configuration et de conditions (incluant ceux reliés au vieillissement), des paramètres et procédures d'exploitation, des résultats de recherche et de l'avancée des connaissances sur les phénomènes physiques, conformément à la norme de réglementation S-99, Rapports à soumettre par les exploitants de centrales nucléaires.

En plus des mises à jour périodiques, l'analyse de sûreté doit également être mise à jour lorsque l'on découvre de l'information qui peut indiquer des risques de nature différente, dont la probabilité est plus élevée, ou dont l'ampleur est plus grande que ce qui avait été antérieurement présenté à la CCSN dans les documents de permis.

5.7 Qualité de l'analyse de sûreté

L'analyse de sûreté doit être assujettie à un programme complet d'AQ appliqué à toutes les activités ayant une incidence sur la qualité des résultats. Le programme d'AQ doit permettre d'identifier les normes d'assurance de la qualité à appliquer et doit inclure les procédures et instructions documentées pour le processus complet d'analyse, comprenant, sans toutefois se limiter à:

  1. la collecte et la vérification des données de centrale;
  2. la vérification des données d'entrée informatisées;
  3. la validation des modèles de centrale et des modèles d'analyse;
  4. l'évaluation des résultats des simulations;
  5. la documentation des résultats d'analyse.

Glossaire

Accident
Tout événement imprévu, y compris les erreurs d'exploitation, les défaillances d'équipement ou autres incidents, dont les conséquences réelles ou potentielles ne sont pas négligeables du point de vue de la protection ou de la sûreté.

Accident de référence (ADR)
Conditions d'accident pour lesquelles une centrale nucléaire est conçue, selon les critères d'acceptation établis, et pour lesquelles les dommages causés au combustible et les rejets de matières radioactives sont maintenus à l'intérieur des limites autorisées.

Accident hors dimensionnement (AHD)
Conditions d'accident moins fréquentes mais plus graves que celles associées à un accident de référence. Un AHD peut entraîner ou non la détérioration du coeur du réacteur.

Analyse de sensibilité
Examen quantitatif de la variabilité du comportement d'un système, habituellement exprimé en unités des paramètres principaux.

Analyse de sûreté
Évaluation des dangers potentiels associés à la réalisation d'une activité proposée.

Analyse de sûreté déterministe
Analyse des réponses d'une centrale nucléaire à un événement particulier, réalisée en utilisant des règles et des hypothèses prédéterminées (p. ex. l'état opérationnel initial, la disponibilité et la performance des systèmes de la centrale et les actions des opérateurs). L'analyse déterministe peut être réalisée avec la méthode prudente ou la méthode de la meilleure estimation.

Caractéristiques de soutien des systèmes de sûreté
Ensemble des équipements qui fournissent des services tels que le refroidissement, la lubrification et l'approvisionnement en énergie nécessaires pour le système de protection et les systèmes de déclenchement des dispositifs de sûreté.

Catégorie d'événement
Groupe d'événements caractérisés par une cause identique ou semblable, et par la similitude des phénomènes les régissant.

Cause commune
Cause à l'origine de deux ou de plusieurs défaillances de structures, systèmes ou composants, comme les phénomènes naturels (séismes, tornades, inondations, etc.), les défauts de conception ou de fabrication, les erreurs d'exploitation ou d'entretien, la destruction causée par l'homme, etc.

Centrale nucléaire
Toute installation de réacteur à fission ayant été construite pour produire de l'électricité à l'échelle commerciale. Une centrale nucléaire est une installation nucléaire de catégorie IA, telle que définie dans le Règlement sur les installations nucléaires de catégorie I.

Critères d'acceptation
Limites spécifiées sur la valeur d'un indicateur fonctionnel ou conditionnel utilisé pour évaluer la capacité d'un système, d'une structure ou d'un composant à répondre aux exigences de conception et de sûreté.

Critère de défaillance simple
Critère utilisé pour déterminer si un système est capable d'accomplir sa fonction en cas de défaillance simple.

Évaluation de la sûreté
Évaluation de tous les aspects touchant la sûreté et liés au choix de l'emplacement, à la conception, à la mise en service, à l'exploitation ou au déclassement d'une installation autorisée.

Incident de fonctionnement prévu (IFP)
Processus opérationnel qui s'écarte du fonctionnement normal et qui peut survenir à une ou plusieurs reprises pendant la durée de vie de la centrale nucléaire mais qui, étant données les dispositions appropriées prises à la conception, ne cause pas de dommages significatifs aux éléments importants pour la sûreté, ni ne dégénére en accident.

Exploitation normale
Exploitation d'une centrale nucléaire à l'intérieur de limites et de conditions d'exploitation definies qui régissait le démarrage, l'exploitation à divers niveaux de puissance, la mise à l'arrêt, l'arrêt, l'entretien, les essais et le rechargement de combustible.

Limites et conditions opérationnelles
Ensemble de règles établissant les limites ou conditions des paramètres qui assurent la capacité fonctionnelle et les niveaux de performance de l'équipement pour l'exploitation sécuritaire d'une centrale nucléaire.

Méthode de la meilleure estimation
Méthode conçue pour donner des résultats réalistes.

Méthode prudente
Méthode menant nécessairement à des résultats qui se veulent limitatifs relativement à des critères d'acceptation spécifiques.

Mode d'exploitation
Le mode d'exploitation peut comprendre le démarrage, l'exploitation à différentes puissances, la mise à l'arrêt, l'arrêt, l'entretien, les essais et le rechargement de combustible.

Structures, systèmes et composants (SSC)
Terme général qui recouvre tous les éléments (aspects) d'une installation ou d'une activité qui contribuent à la protection et à la sûreté, à l'exclusion des facteurs humains.

Documents connexes

1. Études probabilistes de la sûreté pour les centrales nucléaires, S-294. Commission canadienne de sûreté nucléaire, Ottawa, 2005.

2. Quality Assurance of Analytical, Scientific and Design Computer Programs for Nuclear Power Plants. N286.7-99. Association canadienne de normalisation, (CSA), 2003.

3. Rapports à soumettre par les exploitants de centrales nucléaires, S-99. Commission canadienne de sûreté nucléaire, Ottawa, 2003.