RD-337 : Conception des nouvelles centrales nucléaires

Préface

Ce document d’application de la réglementation définit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) liées à la conception des nouvelles centrales nucléaires refroidies à l’eau (CN ou centrales). Il définit un ensemble détaillé d’exigences de conception qui sont axées sur les risques et alignées sur les pratiques et les codes internationaux reconnus.

Ce document fournit les critères relatifs à la conception sécuritaire des nouvelles centrales refroidies à l’eau et offre, le cas échéant, des exemples de caractéristiques de conception optimale. Tous les aspects de la conception sont pris en compte et de multiples niveaux de défense sont promus dans les facteurs de conception.

Dans la mesure du possible, les directives fournies dans le présent document sont neutres sur le plan technologique pour ce qui est des réacteurs refroidis à l’eau.

Le RD-337 constitue l’adoption par le CCSN des principes mis de l’avant par l’Agence internationale de l’énergie atomique (AIEA) dans le NS-R-1, Sûreté des centrales nucléaires : conception, et l’adaptation de ces principes aux exigences du Canada. La portée du RD-337 va au-delà du NS-R-1 de l’AIEA et inclut les interfaces entre la conception de la centrale et d’autres sujets, tels que la protection de l’environnement, la radioprotection, le vieillissement, les facteurs humains, la sécurité, les garanties, les transports et la planification d’intervention en cas d’accidents et d’urgence.

Semblable au NS-R-1, le RD-337 tient compte de toutes les phases de délivrance de permis car les renseignements du processus de conception s’intègrent aux processus d’examen d’une demande de Permis de construction d’une CN et d’autres demandes d’obtention de permis.

Aucun élément du présent document ne doit être interprété comme libérant tout demandeur ou détenteur de permis des exigences associées aux codes et aux normes conventionnelles. En particulier, bien que le RD-337 puisse aider un promoteur à présenter une demande de permis, il incombe au détenteur de permis d’identifier et de respecter tous les règlements en vigueur et toutes les conditions du permis.

Table des matières

1.0 Objet

L'objet de ce document d'application de la réglementation est de définir les exigences de la Commission canadienne de sûreté nucléaire (CCSN) à l'égard de la conception des nouvelles centrales nucléaires refroidies à l'eau (CN ou centrales).

2.0 Portée

Ce document décrit les exigences de la CCSN à l'égard de la conception des nouvelles centrales refroidies à l'eau, et donne des exemples de caractéristiques de conception optimales. Tous les aspects de la conception sont pris en compte et de multiples niveaux de défense sont promus dans les facteurs de conception.

Les renseignements contenus dans le présent document servent à favoriser un niveau de qualité et d'uniformité supérieur à l'égard des normes et des codes internationaux modernes dans la conception des nouvelles centrales nucléaires refroidies à l'eau. Il est reconnu que des technologies particulières peuvent recourir à des approches différentes. Si une conception autre qu'un réacteur refroidi à l'eau doit être examinée pour la délivrance d'un permis au Canada, elle sera assujettie aux objectifs de sûreté, aux concepts de sûreté de haut niveau et aux exigences de gestion en matière de sûreté associés à ce document d'application de la réglementation. Toutefois, l'examen par la CCSN d'une telle conception sera effectué au cas par cas.

La sécurité industrielle conventionnelle n'est abordée que dans une perspective de niveau élevé, en accordant une attention particulière aux facteurs de conception liés à la sûreté nucléaire.

Dans la mesure du possible, ce document est neutre sur le plan technologique pour ce qui est des réacteurs refroidis à l'eau, et comprend des directives sur :

  1. l'établissement de buts et d'objectifs de sûreté à l'égard de la conception;
  2. l'utilisation de principes de sûreté dans la conception;
  3. l'application de principes de gestion en matière de sûreté;
  4. la conception de systèmes, des structures et des composants;
  5. les interfaces des aspects d'ingénierie, les caractéristiques des centrales, l'aménagement des installations ;
  6. l'intégration des évaluations de sûreté aux processus de conception.

Ce document constitue, dans une vaste mesure, l'adoption par la CCSN des principes énoncés dans le document NS-R-1 de l'Agence internationale de l'énergie atomique (AIEA) intitulé : Sûreté des centrales nucléaires : conception, et l'adaptation de ces principes aux pratiques du Canada. La portée du document NS-R-1 a été élargie pour examiner les interfaces entre la conception des centrales nucléaires (CN) et d'autres sujets, tels que la protection de l'environnement, la radioprotection, le vieillissement, les facteurs humains, la sécurité, les garanties, les transports, et la planification d'intervention en cas d'accidents et d'urgence.

3.0 Réglementation pertinente

Les dispositions de la Loi sur la sûreté et la réglementation nucléaires (LSRN) et de la réglementation qui s'appliquent à ce document de réglementation englobent les éléments suivants.

  1. En vertu du paragraphe 24(4) de la LSRN, « la Commission ne délivre, ne renouvelle, ne modifie ou ne remplace une licence ou un permis que si elle est d'avis que l'auteur de la demande, à la fois : a) est compétent pour exercer les activités visées par la licence ou le permis; b) prendra, dans le cadre de ces activités, les mesures voulues pour préserver la santé et la sécurité des personnes, protéger l'environnement, maintenir la sécurité nationale et mener à bien les obligations internationales que le Canada a assumées; »
  2. Le paragraphe 24(5) de la LSRN autorise la Commission à inclure dans une licence ou un permis toute condition qu'elle estime nécessaire à l'application de la LSRN.
  3. L'alinéa 3(1)(i) du Règlement général sur la sûreté et la réglementation nucléaires stipule qu'une demande de licence doit contenir, en plus d'autres renseignements, « une description et les résultats des épreuves, analyses ou calculs effectués pour corroborer les renseignements compris dans la demande. »
  4. L'alinéa 12(1)(f) du Règlement sur la sûreté et la réglementation nucléaires stipule que chaque titulaire de permis doit prendre, « … toutes les précautions raisonnables pour contrôler le rejet de substances nucléaires radioactives ou de substances dangereuses que l'activité autorisée peut entraîner là où elle est exercée et dans l'environnement; »
  5. L'alinéa 5(i) du Règlement sur les installations nucléaires de catégorie 1 stipule qu'une demande de licence pour construire une installation nucléaire de catégorie 1 doit contenir, en plus d'autres renseignements, des données concernant « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir la construction, l'exploitation et le déclassement de l'installation nucléaire; »
  6. L'alinéa 6(h) du Règlement sur les installations nucléaires de catégorie 1 stipule qu'une demande de licence d'exploitation d'une installation nucléaire de catégorie 1 doit contenir, en plus d'autres renseignements, des données concernant « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir l'exploitation et le déclassement de l'installation nucléaire, …; »
  7. L'alinéa 7(f) du Règlement sur les installations nucléaires de catégorie 1 stipule qu'une demande de permis pour le déclassement d'une installation nucléaire de catégorie 1 doit contenir, en plus d'autres renseignements, de l'information sur. « les effets que les travaux de déclassement peuvent avoir sur l'environnement ainsi que sur la santé et la sécurité des personnes, de même que les mesures qui seront prises pour prévenir ou atténuer ces effets;
  8. D'autres articles du Règlement sur les installations nucléaires de catégorie I, ainsi que des articles du Règlement sur la radioprotection et du Règlement sur la sécurité nucléaire qui se rapportent à la conception d'une nouvelle centrale nucléaire.

4.0 Objectifs et concepts de sûreté

4.1 Objectif général en matière de sûreté nucléaire

À l'appui de la LSRN et de sa réglementation connexe, la CCSN souscrit à l'objectif fixé par l'AIEA voulant que les centrales nucléaires soient conçues et exploitées de manière à protéger les personnes, la société et l'environnement de tout préjudice en établissant et en maintenant, dans les installations nucléaires, des systèmes efficaces de défense contre les risques radiologiques.

L'objectif général en matière de sûreté nucléaire est appuyé par deux objectifs de sûreté complémentaires concernant la radioprotection et les aspects techniques de la conception. L'objectif technique en matière de sûreté se rattache aux mesures administratives et aux procédures prises visant à assurer une protection contre les risques de rayonnement ionisant.

4.1.1 Objectif en matière de radioprotection

L'objectif de conception en matière de radioprotection vise, en mode d'exploitation normale ou d'incidents de fonctionnement prévus, à ce que les niveaux d'exposition au rayonnement à l'intérieur de la centrale ou résultant de tout rejet planifié de matière radioactive de la centrale soient maintenus en deçà des limites prescrites et au niveau le plus bas qu'il soit raisonnablement possible d'atteindre (principe ALARA ).

La conception prévoit des mesures d'atténuation des conséquences radiologiques de tout accident.

4.1.2 Objectifs en matière de sûreté technique

L'objectif en matière de sûreté technique vise à adopter toutes mesures pratiques de prévention des accidents dans la centrale et à atténuer les conséquences de ces accidents, s'ils devaient survenir. Cet objectif tient compte de tous les accidents possibles envisagés dans la conception, incluant ceux dont la probabilité qu'ils se produisent est très faible.

Avec la réalisation de ces objectifs, les conséquences radiologiques devraient être mineures et en deçà des limites prescrites, et la probabilité d'accidents entraînant de graves conséquences radiologiques devrait être extrêmement faible.

4.2 Application des objectifs de sûreté technique

La LSRN et les objectifs de sûreté technique servent de base pour les critères et les objectifs suivants :

  1. critères d'acceptation des doses pour les événements à l'intérieur du dimensionnement;
  2. objectifs de sûreté pour les accidents hors-dimensionnement (AHD).

Des analyses de sûreté sont effectuées pour confirmer que ces critères et ces objectifs sont atteints, démontrer l'efficacité des mesures de prévention des accidents et d'atténuation des conséquences radiologiques des accidents; s'ils se produisent.

4.2.1 Critères d'acceptation des doses

La dose réelle au corps entier pour les individus moyens membres de groupes critiques qui sont les plus à risque, à la périphérie du site ou au-delà, est calculée dans l'analyse de sûreté déterministe pendant une période de 30 jours après l'événement analysé.

Cette dose est inférieure ou égale aux critères d'acceptation des doses donnés ci-dessous :

  1. 0,5 millisievert pour tout incident de fonctionnement prévu (IFP),
  2. 20 millisievert pour tout accident de dimensionnement (AD).
4.2.2 Objectifs en matière de sûreté

Objectifs qualitatifs en matière de sûreté

Une limite s'applique aux risques que pose à la société l'exploitation d'une centrale nucléaire. À cet égard, les deux objectifs qualitatifs suivants ont été établis en matière de sûreté :

  1. les membres du public doivent bénéficier d'un niveau de protection contre les conséquences de l'exploitation d'une centrale nucléaire de sorte qu'il n'y ait pas de risque supplémentaire pour la vie et la santé des gens;
  2. les risques pour la vie et la santé que pose l'exploitation d'une centrale nucléaire doivent être comparables ou inférieurs aux risques que présentent les autres technologies viables et concurrentes de production d'électricité, et ne doivent pas constituer un ajout important aux autres risques auxquels la société est confrontée.

Application quantitative des objectifs en matière de sûreté

Pour des raisons pratiques, des objectifs quantitatifs en matière de sûreté sont définis dans la même intention que celle des objectifs qualitatifs de sûreté. Les trois objectifs quantitatifs en matière de sûreté sont :

  1. la fréquence des dommages causés au cœur du réacteur;
  2. la fréquence des petites émissions radioactives;
  3. la fréquence des grandes émissions radioactives.

Un accident causé au cœur du réacteur résulte d'un événement initiateur hypothétique (EIH), suivi par la défaillance d'un ou plusieurs systèmes de sûreté(s) ou systèmes de support. La fréquence des dommages causés au cœur du réacteur est une mesure des capacités de prévention des accidents de la centrale.

Les fréquences des petites émissions radioactives et les fréquences des grandes émissions radioactives sont des mesures des capacités d'atténuation des accidents de la centrale. Elles représentent aussi des mesures de risque pour la société et l'environnement en raison de l'exploitation d'une centrale nucléaire.

Fréquence des dommages causés au cœur du réacteur

La somme des fréquences de toutes les séquences d'événements pouvant conduire à la dégradation importante du cœur du réacteur est inférieure à 10-5 par année par réacteur.

Fréquence des petites émissions radioactives

La somme des fréquences de toutes les séquences d'événements qui peuvent entraîner des émissions radioactives dans l'environnement supérieur à 1015 Bq d'iodine-131 est inférieure à 10-5 par année par réacteur. Un rejet plus important peut exiger l'évacuation temporaire de la population locale.

Fréquence des grandes émissions radioactives

La somme des fréquences de toutes les séquences d'événements qui peuvent entraîner des émissions radioactives dans l'environnement supérieur à 1014 Bq de césium-137 est inférieure à 10-6 par année par réacteur. Un rejet plus important peut exiger la relocalisation à long terme de la population locale.

4.2.3 Analyses de la sûreté

Pour démontrer que les objectifs en matière de sûreté ont été réalisés, il est nécessaire de procéder à une analyse de sûreté exhaustive, à une analyse de sûreté déterministe et à une analyse de sûreté probabiliste. Ces analyses permettront d'identifier toutes les sources possibles d'exposition, d'estimer les doses de rayonnement auxquelles les travailleurs de la centrale et le public pourraient être exposés et de mesurer les effets potentiels sur l'environnement.

L'analyse de sûreté porte sur les aspects suivants :

  1. l'exploitation normale;
  2. les incidents de fonctionnement prévus (IFP);
  3. les accidents de dimensionnement;
  4. les accidents hors-dimensionnement, y compris les séquences d'événements pouvant mener à un accident grave.

À la lumière de ces analyses, la capacité de résister à des événements initiateurs hypothétiques (EIH) et à des accidents peut être établie, l'efficacité des composants importants pour la sûreté peut être démontrée et les exigences relatives aux interventions d'urgence peuvent être formulées. Les résultats de l'analyse de sûreté sont ensuite intégrés à la conception.

Les analyses de sûreté sont abordées plus en détails à la section 9.0.

4.2.4 Atténuation et gestion des accidents

La conception inclus des mesures pour limiter l'exposition au rayonnement aux niveaux ALARA en mode d'exploitation normale et en mode d'IFP et pour réduire au minimum la possibilité qu'un accident mène à la perte de contrôle normal de la source de rayonnement. Toutefois, étant donné qu'il subsiste une probabilité qu'un accident survienne, des mesures sont prises pour atténuer les conséquences radiologiques des accidents.

Cela englobe les mesures suivantes :

  1. l'examen des caractéristiques de sûreté inhérentes;
  2. l'incorporation de caractéristiques de conception spécifiquement conçues à cette fin;
  3. l'établissement par l'organisme exploitant de procédures de gestion d'accidents en centrale;
  4. l'établissement de mesures d'intervention hors-site par les autorités concernées.

La conception applique les principes selon lesquels les états de la centrale susceptibles de donner lieu à des doses de rayonnement élevées ou à des rejets de matières radioactives soient de très faible probabilité, et les états de la centrale caractérisés par une fréquence d'occurrence importante n'aient que des conséquences radiologiques mineures ou nulles.

4.3 Concepts de sûreté

4.3.1 Défense en profondeur

Le concept de défense en profondeur s'applique à toutes les activités organisationnelles et comportementales, ainsi qu'aux activités de conception liées à la sûreté et à la sécurité, afin de s'assurer que celles-ci soient couvertes par des mesures qui se recoupent, de sorte que toute défaillance puisse être détectée, contrôlée ou corrigée.

Ce concept est appliqué tout au long de la conception et de l'exploitation de la centrale afin d'établir une série de niveaux de défense dont l'objectif est de prévenir les accidents et d'assurer une protection appropriée dans l'éventualité où les mesures de prévention échouent.

La conception prévoit les cinq niveaux de défense en mode d'exploitation normale; toutefois, certains allègements peuvent être spécifiés pour certains modes d'arrêt d'un réacteur. Ces niveaux sont présentés en termes généraux ci-dessous et sont abordés de façon plus détaillée à la sous-section 6.1.

Niveau un

Le premier niveau de défense vise à prévenir des fonctionnements anormaux et des défaillances des systèmes, des structures et des composants (SSC)

Niveau deux

Le deuxième niveau de défense sert à détecter et à réagir aux écarts par rapport aux états d'exploitation normaux afin d'empêcher les IFP de dégénérer en conditions accidentelles, et à remettre la centrale à son état d'exploitation normale.

Niveau trois

Le troisième niveau de défense sert à minimiser les conséquences des accidents en fournissant des caractéristiques de sûretés inhérentes, une conception à sûreté intégrée (« fail-safe design »), de l'équipement additionnel et des procédures d'atténuation.

Niveau quatre

Le quatrième niveau de défense vise à s'assurer que le rejet de matières radioactives causé par des accidents sévères demeure au niveau le plus bas qu'il soit possible d'atteindre.

Niveau cinq

Le cinquième niveau de défense a pour but d'atténuer les conséquences radiologiques de tout rejet possible de matières radioactives pouvant résulter d'accidents.

4.3.2 Examen des barrières physiques

Un aspect important de la mise en œuvre du concept de défense en profondeur dans la conception d'une CN réside dans l'établissement d'une série de barrières physiques servant à confiner les matières radioactives en des endroits particuliers.

4.3.3 Limites et conditions opérationnelles

Les limites et conditions opérationnelles (LCO) sont un ensemble de limites et de conditions qui peuvent être surveillées et contrôlées par l'exploitant ou en son nom.

Des LCO sont établies pour s'assurer que les centrales sont exploitées conformément aux hypothèses et aux intentions de conception (paramètres et composants) et incluent les limites à l'intérieur desquelles il a été démontré que la centrale est sécuritaire. Les LCO sont documentées de manière à ce qu'elles soient facilement accessibles pour le personnel de la salle de commande; les rôles et les responsabilités de ce personnel doivent être clairement identifiés. Certaines LCO peuvent inclure des combinaisons de fonctions automatiques et d'interventions du personnel.

L'exploitation sécuritaire d'une centrale repose sur le personnel et l'équipement. Les LCO doivent donc normalement inclure ce qui suit :

  1. les contraintes des systèmes de contrôle et des procédures sur d'importantes variables de processus;
  2. les exigences relatives au mode d'exploitation normale et d'IFP, incluant les états d'arrêt d'un réacteur;
  3. les mesures à prendre et les limites à observer par le personnel d'exploitation;
  4. les exigences principales en matière de surveillance et les mesures correctives ou compensatoires;
  5. les limites à observer et les exigences opérationnelles que les SSC doivent respecter pour que leurs fonctions prévues, telles que décrites dans les analyses de sûreté, puissent être exécutées.

La base sur laquelle les LCO sont établies sera facilement accessible afin de faciliter la capacité du personnel de la centrale à interpréter, observer et appliquer les LCO.

5.0 Gestion de la sûreté durant la conception

La conception d'une centrale nucléaire doit :

  1. être conforme aux exigences réglementaires canadiennes;
  2. répondre aux spécifications de conception, comme l'a confirmé l'analyse de sûreté;
  3. tenir compte des pratiques courantes en matière de sûreté;
  4. satisfaire les exigences d'un programme d'assurance de la qualité efficace;
  5. intégrer uniquement les modifications de conception qui ont été justifiées par des évaluations techniques et de sûreté.

Le processus de conception doit être effectué par un personnel dûment formé et qualifié à tous les niveaux et inclure des modalités de gestion telles :

  1. qu'une répartition claire et précise des responsabilités assortie de pouvoirs hiérarchiques et de voies de communication correspondants;
  2. que des interfaces bien définies entre les groupes chargés des différents volets de la conception et entre les concepteurs, les services publics, les fournisseurs, les constructeurs et les entrepreneurs, le cas échéant;
  3. que des procédures en harmonie avec un programme d'assurance de la qualité reconnu;
  4. qu'une culture de sûreté positive à tous les niveaux de l'organisation.

5.1 Autorité en matière de conception

Au stade de la conception, l'organisation qui a la responsabilité générale de la conception est généralement celle qui assume formellement l'autorité pour la conception. Avant la mise en marche de la centrale, cette autorité peut être transférée à l'organisme exploitant.

L'autorité en matière de conception peut déléguer la responsabilité de la conception de certains aspects de la centrale à d'autres organismes (appelés concepteurs responsables). Dans ce cas, les tâches et les fonctions de l'autorité en matière de conception et de tout concepteur responsable doivent être décrites dans une documentation officielle; toutefois, l'autorité en matière de conception doit conserver la responsabilité générale de la conception.

Le demandeur doit s'assurer, qu'au stade de la conception, l'autorité en matière de conception a réalisé les objectifs suivants :

  1. établi et tenu à jour une base de connaissances de tous les aspects pertinents de la conception de la centrale, en tenant compte de l'expérience et des résultats de recherche;
  2. assuré la disponibilité des renseignements en matière de conception en vue de l'exploitation sécuritaire et de l'entretien de la centrale;
  3. établi les autorisations de sécurité requises et les mesures de sécurité connexes pour protéger le matériel prescrit, désigné et classifié;
  4. maintenu le contrôle de la configuration de la conception;
  5. examiné, vérifié, approuvé (ou rejeté) et documenté les modifications à la conception de la centrale;
  6. établi et contrôlé les interfaces nécessaires avec les concepteurs responsables ou d'autres fournisseurs chargés d'effectuer des travaux de conception;
  7. s'est assuré que les compétences et les connaissances techniques et scientifiques nécessaires ont été maintenues;
  8. s'est assuré que l'impact sur la sûreté de chaque modification ou de multiples modifications pouvant présenter des interdépendances significatives a correctement été évalué et compris.

5.2 Gestion de la conception

Une gestion de conception judicieuse devrait permettre d'atteindre les objectifs suivants :

  1. les SSC importants pour la sûreté répondent à leurs exigences de conception respectives.
  2. les capacités humaines et les limites du personnel sont dûment prises en compte.
  3. les renseignements pertinents sur la conception des mécanismes de sûreté nécessaires à l'exploitation sécuritaire et à l'entretien de la centrale, ainsi que toute modification subséquente apportée à la centrale, sont préservés.
  4. les LCO à intégrer aux procédures administratives et opérationnelles de la centrale sont fournies.
  5. la conception de la centrale facilite son entretien tout au long de sa durée de vie.
  6. les résultats des analyses déterministes de sûreté et des évaluations probabilistes de sûreté sont pris en compte.
  7. une attention particulière est accordée à la prévention des accidents et à l'atténuation de leurs conséquences.
  8. la production de déchets radioactifs est limitée à des niveaux pratiques minimum, tant en termes d'activité que de volume.
  9. un processus de contrôle des changements est établi pour suivre les modifications de conception et assurer une gestion de la configuration tout au long des étapes de construction, de mise en service et d'exploitation.
  10. des systèmes de protection physique sont fournis pour prendre en considération les menaces de référence.

5.3 Programme d'assurance de la qualité

Un programme d'assurance de la qualité est établi dans le cadre des modalités de gestion globales pour que la centrale puisse fonctionner et atteindre ses objectifs. En ce qui concerne la conception de la centrale, ce programme d'assurance de la qualité inclus l'identification de tous les paramètres de rendement et d'évaluation propres à la conception, ainsi que les plans détaillés de chaque SSC pour assurer la qualité uniforme de la conception et de certains composants.

Le programme d'assurance de la qualité est tel que la conception initiale, et tout changement subséquent ou amélioration à la sûreté, est effectuée conformément aux procédures établies qui reposent sur des normes et des codes appropriés, et qui intègrent les exigences applicables et les mécanismes de dimensionnement. Un programme d'assurance de la qualité approprié facilite également l'identification et le contrôle des interfaces de conception.

La pertinence de la conception, y compris les outils et les intrants et extrants de conception, est vérifiée ou validée par des personnes ou des groupes qui sont indépendants de ceux qui ont effectué le travail initial. Des vérifications, validations et approbations sont effectuées avant que la conception détaillée soit mise en œuvre.

5.4 Méthodes d'ingénierie éprouvées

L'autorité responsable de la conception détermine les normes et les codes les plus récents qu'elle appliquera à la conception de la centrale, et en évalue leur applicabilité, leur pertinence et leur suffisance pour la conception des SSC importants au plan de la sûreté.

Le cas échéant, les codes et les normes peuvent être complétés ou modifiés pour s'assurer que la qualité finale de la conception est proportionnelle aux fonctions de sûreté nécessaires.

Les SSC qui revêtent une importance en matière de sûreté sont de conceptions éprouvées et sont conçues selon les normes et les codes énoncés pour la CN.

Lorsqu'un nouveau design, une nouvelle fonction des SSC ou une nouvelle pratique d'ingénierie est adopté, un mécanisme de sûreté approprié est confirmé par une combinaison de programmes de recherche et de développement à l'appui et par l'examen de l'expérience pertinente découlant d'applications similaires. Un programme de qualification approprié est créé pour s'assurer que la nouvelle conception est conforme à toutes les exigences de sûreté applicables. Les nouvelles conceptions sont éprouvées avant d'être mises en service et font ensuite l'objet d'un suivi afin de s'assurer que le rendement prévu est atteint.

L'autorité responsable de la conception établit un programme de qualification approprié pour s'assurer que la nouvelle conception est conforme à toutes les exigences de sûreté applicables.

Lors de la sélection d'un équipement, une attention particulière est accordée aux défaillances intempestives et aux modes de défaillance non sécuritaires (p. ex., défaillance de l'arrêt d'urgence lorsque nécessaire). Lorsqu'il est nécessaire de prévoir une défaillance d'un SSC lors de la conception, il est préférable de choisir un équipement affichant des modes de défaillance prévisibles et connus et qui facilite les réparations ou le remplacement.

5.5 Expérience opérationnelle et recherche en matière de sûreté

La conception d'une CN doit être basée sur l'expérience opérationnelle acquise dans l'industrie nucléaire, ainsi que sur les résultats de programmes de recherche pertinents.

5.6 Évaluation de la sûreté

L'évaluation de la sûreté est un processus systématique mené tout au long de la phase de conception de la centrale de sorte que toutes les exigences pertinentes en matière de sûreté soient respectées. Cela comprend les exigences établies par l'exploitant et les autorités de réglementation. Cette évaluation est basée sur les données découlant de l'analyse de sûreté, de l'expérience d'exploitation antérieure, des résultats de travaux de recherche et des pratiques d'ingénierie éprouvées.

L'évaluation de la sûreté fait partie intégrante du processus de conception, avec des itérations entre la conception et les analyses, et augmente sa portée et son niveau de détails au fur et à mesure que le programme de conception progresse.

Avant la soumission du design, une revue par des pairs indépendants est effectuée par des personnes ou des groupes distincts de ceux affectés à la conception.

La documentation sur l'évaluation de la sûreté identifie les aspects de fonctionnement, d'entretien et de gestion qui revêtent une importance pour la sûreté. Cette documentation doit être maintenue dans une série de documents dynamiques afin de refléter les changements dans la conception au fur et à mesure que le design de la centrale évolue.

La documentation portant sur l'évaluation de la sûreté doit être facilement accessible aux concepteurs, aux opérateurs et à la CCSN, être claire et concise et présentée dans un format logique et compréhensible.

5.7 Documentation sur la conception

La documentation sur la conception comprend les renseignements suivants :

  1. description de la conception;
  2. exigences en matière de conception;
  3. classifications des systèmes;
  4. description des états de la centrale;
  5. conception des systèmes de sûreté, y compris une description des barrières de sécurité physique;
  6. limites et conditions opérationnelles (LCO);
  7. identification et catégorisation des événements initiateurs;
  8. critères d'acceptation et critères d'acceptation dérivés;
  9. analyse déterministe de sûreté;
  10. étude probabiliste de sûreté (EPS) ;
  11. analyse des risques.

6.0 Facteurs relatifs à la sûreté

6.1 Application du mécanisme de défense en profondeur

Un mécanisme de défense en profondeur est établi à l'étape de conception grâce à l'application de dispositions propres aux cinq niveaux de défense.

Niveau un

La réalisation de la défense en profondeur de niveau un prévoit une conception conservatrice et une construction de qualité supérieure afin de donner l'assurance que les défaillances de la centrale et les écarts par rapport aux états d'exploitation normaux sont réduits au minimum et que les accidents sont évités.

Cela nécessite une attention particulière lors de la sélection des codes de conception et des matériaux appropriés, aux procédures de conception, à la qualification de l'équipement, au contrôle de la fabrication des composants et à la construction de la centrale ainsi qu'à l'utilisation de l'expérience d'exploitation.

Niveau deux

La réalisation de la défense en profondeur de niveau deux s'obtient en contrôlant le comportement de la centrale pendant et après un EIH en utilisant à la fois des caractéristiques de sûreté inhérentes et des techniques pour minimiser ou exclure, dans la mesure du possible, les événements non contrôlés.

Niveau trois

La réalisation de la défense en profondeur de niveau trois prévoit la présence de dispositifs de sûreté inhérents, de conception à sûreté intégrée (« fail-safe design »), de caractéristiques de conception techniques et de procédures qui réduisent au minimum les conséquences des AD. Ces dispositions permettent de placer d'abord la centrale dans un état contrôlé, puis dans un état d'arrêt sécuritaire du réacteur tout en maintenant à tout le moins une barrière pour le confinement des matières radioactives. L'activation automatique des dispositifs de conception technique réduit au minimum le besoin d'intervention de l'opérateur au cours de la première phase d'un AD.

Niveau quatre

La défense en profondeur de niveau quatre s'obtient en fournissant des équipements et des procédures pour gérer les accidents et en atténuer, dans la mesure du possible, leurs conséquences.

Ce qui importe davantage c'est qu'une protection adéquate soit offerte pour la fonction de confinement par le truchement d'une conception de confinement robuste. Ceci inclus l'utilisation de dispositifs de conception complémentaires pour empêcher la progression d'accident et atténuer les conséquences de certains accidents graves. La fonction de confinement est davantage assurée par des procédures de gestion des accidents graves.

Niveau cinq

La conception doit inclure la mise en place d'un centre de soutien d'urgence adéquatement équipé et des plans pour l'intervention d'urgence sur le site et à l'extérieur du site.

6.1.1 Examen des barrières physiques

Pour assurer le maintien du concept de sûreté global de la défense en profondeur, la conception comprend de multiples barrières physiques pour contrer le rejet non contrôlé de matières radioactives dans l'environnement. De telles barrières incluent le combustible, la gaine du combustible, le circuit caloporteur, l'enceinte de confinement, sans oublier la zone d'exclusion.

Dans la mesure du possible, la conception empêche, dès lors :

  1. les menaces à l'intégrité des barrières physiques;
  2. la défaillance d'une barrière lorsque mise à l'épreuve;
  3. la défaillance d'une barrière en raison de la défaillance d'une autre barrière.

La conception prévoit aussi le fait que l'existence de multiples niveaux de défense n'est pas une base suffisante pour permettre que la centrale continue de fonctionner en l'absence d'un niveau de défense.

6.2 Fonctions de sûreté

La conception de la centrale doit prévoir des moyens appropriés pour :

  1. maintenir la centrale dans un état normal d'exploitation;
  2. assurer une intervention adéquate à court terme immédiatement après un EIH;
  3. faciliter la gestion de la centrale pendant et à suite d'un AD et d'un accident hors-dimensionnement.

Les fonctions de sûreté fondamentales suivantes doivent être disponibles en mode de fonctionnement normal, pendant et suivant des IFP et des AD :

  1. contrôle de la réactivité;
  2. refroidissement du cœur du réacteur;
  3. confinement des matières radioactives;
  4. contrôle des rejets et des substances dangereuses en exploitation normale, ainsi que la limitation des rejets accidentels;
  5. surveillance des paramètres de sûreté critiques pour guider les interventions des opérateurs.

Dans la mesure du possible, ces fonctions doivent aussi faciliter le mécanisme d'intervention lié aux AHD.

Les SSC nécessaires à l'exécution des fonctions de sûreté à la suite d'un EIH sont identifiés. Cette approche identifie le besoin pour certaines fonctions telles que l'arrêt d'un réacteur, le refroidissement d'urgence du cœur du réacteur, le confinement, l'évacuation d'urgence de la chaleur, l'alimentation électrique etc.

6.3 Prévention des accidents et caractéristiques de sûreté de la centrale

La conception applique les principes de défense en profondeur pour minimiser la sensibilité de la centrale aux EIH. À la suite d'un EIH, la centrale est rendu sécuritaire grâce à :

  1. des mesures de sûreté inhérentes;
  2. des dispositifs passifs de sûreté ou des systèmes de contrôle;
  3. des systèmes de sûreté;
  4. des procédures d'intervention spécifiques.

6.4 Radioprotection et critères d'acceptation

Afin de réaliser l'objectif général de sûreté nucléaire (examiné à la section 4.1), toutes les sources de rayonnement réelles ou potentielles doivent être identifiées, et des dispositions doivent être prévues pour s'assurer que ces sources font l'objet d'un contrôle technique et administratif rigoureux.

La conception doit permettre de réduire au niveau le plus bas qu'il soit raisonnablement possible d'atteindre les doses de rayonnement auxquelles le public et le personnel de la centrale pourraient être exposés. En mode d'exploitation normale, y compris lors de l'entretien et du déclassement, les doses ne doivent pas dépasser les limites prescrites par le Règlement sur la radioprotection.

La conception comprend des dispositions pour la prévention et l'atténuation des expositions aux rayonnements résultant d'AD et d'AHD.

La conception fait aussi en sorte que les doses de rayonnements potentielles pour le public résultant d'IFP et d'AD ne dépassent pas les critères d'acceptation des doses prévus à la sous-section 4.2.1. Le calcul du risque global pour le public propre à tous les états de la centrale répond aux objectifs de sûreté énoncés à la sous-section 4.2.2.

6.5 Zone d'exclusion

La conception comprend des dispositions appropriées pour l'établissement d'une zone d'exclusion adéquate. Plusieurs facteurs sont utilisés pour établir si la zone d'exclusion est convenable, comprenant, sans toutefois s'y limiter :

  1. les besoins d'évacuation;
  2. les besoins d'utilisation des terres;
  3. les exigences de sécurité;
  4. les facteurs environnementaux.

6.6 Plan de l'installation

La conception tient compte des interfaces entre les dispositifs de sûreté et de sécurité de la centrale et d'autres aspects de l'aménagement de l'installation, tels que :

  1. les voies d'accès réservées aux activités normales d'entretien et d'exploitation;
  2. le contrôle de l'accès pour réduire au minimum les expositions au rayonnement;
  3. les mesures d'intervention à prendre en cas d'incidents internes ou externes;
  4. les voies d'évacuation d'urgence;
  5. le transport de substances dangereuses, de matières nucléaires et de matières radioactives;
  6. le mouvement du personnel autorisé et non autorisé;
  7. les interrelations entre les fonctions d'exploitation des bâtiments et les fonctions de soutien.

Il est probable que certaines exigences de conception découlant des facteurs susmentionnés entreront en conflit avec d'autres dans l'élaboration du plan de l'installation. Par conséquent, la conception devra refléter une évaluation des options visant la recherche d'un plan optimal.

7.0 Facteurs généraux relatifs à la conception

7.1 Classification des SSC

L'autorité responsable de la conception classe les SSC à l'intérieur d'un plan de classification clairement défini. Les SSC sont par la suite conçus, construits et maintenus de sorte que leur qualité et leur fiabilité soient commensurables à cette classification.

En outre, tous les SSC sont identifiés comme étant soit importants ou non importants au plan de la sûreté. Les critères servant à déterminer leurs importance au plan de la sûreté sont fondés sur :

  1. les fonctions de sûreté à exécuter;
  2. la conséquence d'une défaillance;
  3. la probabilité que les SSC soient sollicités pour exécuter la fonction de sûreté; et
  4. le délai suivant un EIH avant que les SSC ne soient appelés à intervenir et la durée prévue de cette opération.

Les SSC importants au niveau de la sûreté incluent :

  1. les systèmes de sûreté;
  2. les dispositifs de sûreté complémentaires;
  3. les systèmes de support;
  4. les autres SSC dont la défaillance peut soulever des préoccupations de sûreté (p. ex. les systèmes de procédé et de contrôle).

Des interfaces adéquatement conçues entre les SSC des différentes catégories de sûreté doivent être prévues dans la conception pour empêcher qu'un système ou un composant de moindre importance sur le plan de la sûreté nuise à la fonction ou à la fiabilité d'un SSC de plus grande importance.

7.2 Enveloppe de conception de la centrale

L'autorité responsable de la conception autorité établit l'enveloppe de conception de la centrale, laquelle comprend le dimensionnement et les caractéristiques de conception complémentaires.

Le dimensionnement précise les capacités qui sont nécessaires pour la centrale en mode d'exploitation normale, d'IFP et d'AD.

Des mesures de conception conservatrices et de saines méthodes d'ingénierie doivent être appliquées au dimensionnement en mode d'exploitation normale, d'IFP et d'AD. On obtient ainsi un niveau élevé d'assurance qu'aucun dommage important ne surviendra dans le cœur du réacteur et que les doses de rayonnement demeureront à l'intérieur des limites prescrites.

Des caractéristiques de conception complémentaires examinent le rendement de la centrale en mode d'AHD, y compris certains accidents graves.

7.3 États de la centrale

Les états de la centrale sont regroupés dans les quatre catégories suivantes :

  1. état normal de fonctionnement (ENF) - Fonctionnement à l'intérieur des LCO spécifiées, y compris le démarrage, l'exploitation en puissance, l'arrêt du réacteur, l'état d'arrêt, l'entretien, les essais et le rechargement du combustible.
  2. incident de fonctionnement prévu (IFP) - Processus opérationnel qui s'écarte du fonctionnement normal et pour lequel on s'attend à ce qu'il survienne une ou plusieurs fois au cours de la vie de la centrale, mais qui, en raison des dispositions appropriées prises lors de la conception, ne causera pas de dommages significatifs aux composants importants pour la sûreté et ne dégénérera pas en accident;
  3. accident de dimensionnement - Accident contre lequel une CN est conçue sur la base de critères de conception établis et pour lequel les dommages causés au combustible et le rejet de matière radioactive sont maintenus à l'intérieur des limites autorisées;
  4. accident hors-dimensionnement - Accident moins fréquent et plus grave qu'un accident de dimensionnement. Un AHD peut ou non entraîner une dégradation du cœur du réacteur.

Des critères d'acceptation sont attribués à chaque état de la centrale en tenant compte du fait que les EIH fréquents n'auront que des conséquences radiologiques mineures ou nulles, et que les événements susceptibles de se traduire par des conséquences sévères présentent une probabilité extrêmement faible.

7.3.1 Exploitation normale

La centrale doit être conçue pour fonctionner en toute sûreté à l'intérieur d'un ensemble défini de paramètres et en supposant la disponibilité d'un ensemble minimum de dispositifs particuliers pour le soutien des systèmes de sûreté.

Lors de la conception, on vise à minimiser la non-disponibilité des systèmes de sûreté. On doit donc tenir compte des accidents potentiels qui peuvent se produire lorsque la disponibilité des systèmes de sûreté peut être réduite, notamment au cours d'un arrêt, au démarrage, en régime d'exploitation à faible puissance, au cours du rechargement du combustible et de l'entretien.

Lors de la conception, on doit établir un ensemble d'exigences et de limites relatives à l'exploitation normal et sécuritaire comprenant :

  1. les limites importantes sur le plan de la sûreté;
  2. les contraintes sur les systèmes de contrôle et les procédures;
  3. les exigences relatives à l'entretien, aux essais et à l'inspection de la centrale pour s'assurer que les SSC fonctionnent comme prévu et en tenant compte du niveau de risque le plus bas qu'il est raisonnablement possible d'atteindre (ALARA);
  4. les configurations d'exploitation clairement définies, par exemple au démarrage, en régime de production d'énergie, lors d'un arrêt, au cours de l'entretien, lors d'essais ou de surveillance et de rechargement du combustible. Ces configurations comportent des restrictions opérationnelles en cas d'interruption de service des systèmes de sûreté et des systèmes de support.

Ces exigences et limites, ainsi que les résultats de l'analyse de sûreté, forment la base sur laquelle sont établies les LCO pour lesquelles l'exploitation de la centrale sera autorisée, comme le décrit la sous-section 4.3.3 du présent document.

7.3.2 Incident de fonctionnement prévu

La conception prévoit des dispositions de sorte que les rejets auxquels le public peut être exposé à la suite d'un IFP ne dépassent pas les critères d'acceptation des doses.

Lors de la conception, on doit aussi prévoir, dans la mesure du possible, que les SSC qui ne sont pas concernés par un IFP demeureront opérationnels à la suite d'un IFP.

La capacité de la centrale à réagir à une vaste gamme d'IFP permet d'assurer un fonctionnement sécuritaire ou de procéder à un arrêt, le cas échéant, sans avoir à invoquer les dispositions débordant le cadre de défense en profondeur de niveau 1 ou, dans les cas extrêmes de niveau 2.

L'aménagement de l'installation doit faire en sorte que l'équipement soit placé à l'endroit le plus propice pour en assurer sa disponibilité immédiate lorsque l'opérateur doit intervenir, permettant ainsi qu'il y accède en toute sécurité et en temps opportun au cours d'un IFP.

7.3.3 Accident de dimensionnement

L'ensemble des accidents de dimensionnement établit les conditions limites selon lesquelles sont conçus les SSC importants pour la sûreté.

La conception est telle que les rejets auxquels sont exposés le public à la suite d'un AD ne dépasseront pas les critères d'acceptation des doses.

Afin de prévenir la progression à un état plus grave susceptible de menacer la prochaine barrière, la conception prévoit des dispositions pour enclencher automatiquement les systèmes de sûreté nécessaires lorsqu'une intervention prompte et fiable s'impose en réponse à un EIH.

Des dispositions permettent aussi une détection opportune et une intervention manuelle lorsqu'une intervention rapide n'est pas nécessaire, y compris le déclenchement manuel des systèmes ou d'autres interventions de l'opérateur.

La conception tient compte des interventions de l'opérateur qui peuvent être nécessaires pour diagnostiquer l'état de la centrale et la placer dans un état d'arrêt stable à long terme de manière opportune. De telles interventions de l'opérateur sont facilitées par la présence d'une instrumentation adéquate pour surveiller l'état de la centrale, et contrôler en mode manuel les équipements.

Tout équipement nécessaire à une intervention manuelle et aux processus de remise en état de sûreté doit être placé à l'endroit le plus approprié pour que les travailleurs puissent y accéder en toute sécurité et en temps opportun.

7.3.4 Accident hors-dimensionnement

L'autorité responsable de la conception établit des scénarios d'AHD plausibles, sur la base de l'expérience opérationnelle acquise, d'un sain jugement d'ingénierie et des résultats d'analyses et de recherches. Cela comprend les événements susceptibles d'entraîner la dégradation significative du cœur du réacteur (accidents graves) et plus particulièrement, les incidents pouvant mettre à l'épreuve l'enceinte de confinement.

Des systèmes de sûreté complémentaires sont ensuite examinés afin d'éviter que se produisent les scénarios d'AHD identifiés et d'en atténuer leurs conséquences s'ils venaient à se produire.

Les systèmes de sûreté complémentaires comprennent des facteurs de conception et de procédures, ou les deux, et sont fondés sur des modèles phénoménologiques, des jugements d'ingénierie et des méthodes probabilistes.

À l'étape de la conception, on doit prévoir les règles et les pratiques qui s'appliquent aux systèmes de sûreté complémentaires. Ces règles et ces pratiques n'ont pas nécessairement à incorporer le même degré de conservatisme que celles appliquées au dimensionnement.

La conception identifie un terme source pour un accident radiologique avec un gaz combustible pour fins d'utilisation dans la spécification des caractéristiques de conception complémentaires pour les AHD. Ce terme source sera appelé terme source de référence et sera fondé sur un ensemble d'accidents représentatifs, déterminé par l'autorité responsable de la conception, pouvant causer des dommages au cœur du réacteur.

Dans le cas des centrales à unités multiples, le recours aux dispositifs de support des autres unités n'est mis à profit que si l'on peut établir que le fonctionnement sécuritaire de ces autres unités n'est pas compromis.

Dans la mesure du possible, la conception prévoit des boucliers biologiques de composition et d'épaisseurs appropriées pour protéger le personnel d'exploitation en cas d'AHD, y compris les accidents graves.

Accident grave

La conception doit être équilibrée de sorte qu'aucun événement particulier ou aucune caractéristique de la conception n'exerce une contribution prépondérante sur la fréquence des accidents graves, en tenant compte des incertitudes.

Tôt à l'étape de la conception, les diverses barrières potentielles protégeant le cœur du réacteur contre sa dégradation sont déterminées, et les dispositifs pouvant être intégrés à ces barrières pour freiner la dégradation du cœur sont examinés.

La conception établit aussi l'équipement à utiliser dans la gestion des accidents graves. Les évaluations environnementales, des incendies et sismiques doivent présenter un niveau de confiance raisonnable selon lequel l'équipement proposé fonctionnera comme prévu en cas d'accident grave.

Une attention particulière est accordée pour prévenir les possibilités de contournement de l'enceinte de confinement lors d'accidents jumelés à une dégradation importante du cœur du réacteur.

On se penche aussi sur l'ensemble des possibilités qu'offre la conception de la centrale, y compris les utilisations possibles des systèmes de sûreté, des systèmes autres que ceux de sûreté et des systèmes temporaires au-delà de leurs fonctions initiales prévues. Cette exigence s'applique à tout système pour lequel il peut être démontré avec un degré de confiance raisonnable qu'il pourra fonctionner dans les conditions environnementales envisagées en cas d'accident grave.

L'enceinte de confinement doit maintenir sa fonction de barrière étanche contre les fuites pendant une période accordant suffisamment de temps pour mettre en œuvre les procédures d'urgence hors-site suivant le début de dommages causés au cœur du réacteur. L'enceinte de confinement permet aussi de prévenir les rejets non contrôlés de matières radioactives après cette période.

L'autorité responsable de la conception établit les lignes directrices initiales de gestion des accidents graves, en tenant compte des caractéristiques de conception de la centrale et des connaissances acquises sur la progression des accidents et les phénomènes connexes.

La conception tient compte de la prévention d'un retour à l'état critique du cœur à la suite d'accidents graves.

7.4 Événements initiateurs hypothétiques examinés dans la conception

Les événements initiateurs hypothétiques (EIH) peuvent dégénérer en IFP ou en accidents et englobent les défaillances ou mauvais fonctionnements des SSC plausibles, les erreurs de l'opérateur ainsi que les dangers internes et externes d'origine commune.

7.4.1 Dangers internes

Les SSC importants pour la sûreté sont conçus et placés de façon à réduire la probabilité et les conséquences d'incendies ou d'explosions causés par des événements internes ou externes.

Lors de la conception de la centrale, on tient compte des risques internes causés par des événements tels que les inondations, la formation de missiles, l'effet de fouet des tuyaux, l'impact d'un jet, les incendies, la fumée et les sous-produits de combustion ou le rejet d'un fluide par un système défaillant ou provenant d'une autre installation sur le site de la centrale. Des mesures appropriées de prévention et d'atténuation sont prises pour s'assurer que la sûreté nucléaire n'est pas compromise.

Des événements externes peuvent causer des incendies internes ou des inondations et peuvent mener à la formation de missiles. De telles interactions entre des événements internes et externes sont prises en considération lors de la conception.

Lorsque deux systèmes de fluides sous différentes pressions sont interconnectés, la défaillance de l'interconnexion est examinée. Soit que les deux systèmes soutiennent la pression la plus élevée, soit que des mesures sont prises pour que la pression du système fonctionnant à la plus basse pression ne soit pas dépassée.

7.4.2 Dangers externes

La conception doit tenir compte de tous les événements externes naturels et d'origine humaine susceptibles de présenter des risques radiologiques importants. Le sous-ensemble d'événements externes auxquels la centrale peut, de par sa conception, résister est sélectionné et les événements de dimensionnement sont déterminés à partir de ce sous-ensemble.

Diverses interactions entre la centrale et l'environnement, telles que la population dans la zone avoisinante, la météorologie, l'hydrologie, la géologie et la sismologie sont identifiées au cours de l'évaluation de l'emplacement et des processus d'évaluation environnementale. Ces interactions sont prises en compte dans la détermination du dimensionnement de la CN.

Les dangers externes naturels applicables incluent des événements tels que les tremblements de terre, les sécheresses, les inondations, les vents violents, les tornades, les tsunamis et les conditions météorologiques extrêmes. Les événements externes d'origine humaine comprennent ceux qui sont identifiés dans l'évaluation du site tels que les écrasements d'avions, les collisions de navires et les activités terroristes

7.4.3 Combinaisons d'événements

Des combinaisons d'événements individuels aléatoires susceptibles de dégénérer en IFP, en AD ou en AHD sont prises en compte dans la conception. De telles combinaisons sont déterminées au début de la phase de conception et confirmées à l'aide d'une approche systémique.

Les événements qui peuvent être la conséquence d'autres événements tels que des inondations à la suite d'un séisme sont réputés faire partie de l'EIH d'origine.

7.5 Règles et limites de conception

L'autorité responsable de la conception précise les règles de conception technique pour l'ensemble des SSC. Ces règles sont conformes aux pratiques d'ingénierie généralement reconnues.

La conception permet aussi d'identifier pour quels SSC les limites de conception sont applicables. Ces limites de conception sont précisées pour le fonctionnement normal, les IFP et les AD.

7.6 Fiabilité

Tous les SSC importants pour la sûreté sont conçus pour être suffisamment fiables et de qualité afin de répondre aux limites de conception. Une analyse de fiabilité est effectuée pour chacun des ces SSC.

Dans la mesure du possible, des essais doivent être menés pour démontrer que les exigences en matière de fiabilité seront satisfaites durant l'exploitation.

Les systèmes de sûreté et leurs systèmes de support doivent être conçus de manière à ce que la probabilité qu'un système en demande fasse défaut, pour toutes les causes, soit inférieure à 10-3.

Le modèle de fiabilité de chaque système repose sur des critères de défaillance réalistes et sur la meilleure estimation des taux de défaillance, compte tenu des exigences prévues des EIH sur le système.

La fiabilité englobe l'examen des temps de mission pour les SSC importants pour la sûreté.

La conception tient compte de la disponibilité des services hors-site sur lesquels la sûreté de la centrale et la protection du public peuvent dépendre, tels que l'approvisionnement en électricité et les services d'intervention d'urgence externes.

7.6.1 Défaillances d'origine commune

La défaillance d'un certain nombre de dispositifs ou de composants peut survenir en raison d'un événement ou d'une cause spécifique individuel. Des défaillances d'origine commune peuvent aussi se produire lorsque de multiples composants du même type font défaut simultanément. Cela peut être causé par un changement des conditions ambiantes, la saturation des signaux, des erreurs d'entretien répétées ou des défauts de conception.

Le potentiel de défaillances d'origine commune de composants importants pour la sûreté est examiné pour déterminer où appliquer les principes de diversité, de séparation et d'indépendance servant à obtenir le degré de fiabilité nécessaire. De telles défaillances peuvent simultanément toucher un certain nombre de composants divers qui sont importants pour la sûreté. L'événement ou la cause peut s'avérer un défaut de conception, un défaut de fabrication, une erreur d'utilisation ou d'entretien, un phénomène naturel, un événement d'origine humaine, ou un effet d'événements en cascade imprévus découlant de toute autre opération ou d'une défaillance à l'intérieur de la centrale.

La conception prévoit une séparation physique suffisante entre les divisions redondantes des systèmes de soutien en matière de sûreté et les systèmes fonctionnels. Cela s'applique aux équipements et aux tracés propres :

  1. aux câbles électriques des commandes d'équipement et d'alimentation électrique;
  2. à la tuyauterie de l'eau de service pour le refroidissement du combustible et le matériel fonctionnel;
  3. à la tuyauterie et aux conduites d'air comprimé et des commandes hydrauliques des systèmes de contrôle.

Lorsque la séparation physique n'est pas possible, les systèmes de support peuvent être situés au même endroit. En pareils cas, les raisons de la non-conformité au principe de séparation et une justification de l'agencement de l'espace partagé sont expliquées dans la documentation sur la conception.

Lorsque le partage d'espace est de mise, les services liés à la sûreté et à d'autres systèmes de procédés importants sont disposés de manière à intégrer les facteurs suivants :

  1. un système de sûreté conçu pour servir de système de relève n'est pas situé au même endroit que le système de sûreté primaire;
  2. si un système de sûreté et un système de procédé doivent être placés au même endroit, les fonctions de sûreté doivent aussi être assurées par un autre système de sûreté pour contrer la possibilité de défaillances du système fonctionnel.

La conception prévoit une protection appropriée contre les événements d'origine commune lorsqu'une séparation physique suffisante entre les services individuels ou les groupes de services n'existe pas. L'autorité responsable de la conception évalue l'efficacité de la séparation physique spécifiée ou des mesures de protection contre les événements d'origine commune.

Le principe de la diversité est appliqué aux systèmes ou composants redondants qui exécutent la même fonction de sûreté en incorporant divers attributs aux systèmes ou composants. De tels attributs incluent divers principes de fonctionnement, diverses variables physiques, diverses conditions de fonctionnement ou une production par différents fabricants.

Il importe que tout principe de diversité utilisé permette réellement d'obtenir l'augmentation souhaitée du degré de fiabilité. Par exemple, pour réduire le potentiel de défaillances d'origine commune, l'application du principe de la diversité est examinée pour déterminer toute similitude des matériaux, composants et procédés de fabrication, ou pour toutes similitudes subtiles des principes de fonctionnement ou des dispositifs de soutien communs. Si divers composants ou systèmes sont utilisés, il faut obtenir une assurance raisonnable que de tels ajouts sont globalement avantageux, en tenant compte des inconvénients connexes tels que la complication supplémentaire des procédures opérationnelles, d'entretien et d'essai, ou l'utilisation conséquente de l'équipement de moindre fiabilité.

7.6.2 Critère de défaillance unique

Tous les groupes de sûreté doivent pouvoir fonctionner en cas de défaillance unique. Le critère de défaillance unique exige que chaque groupe de sûreté puisse exécuter toutes les fonctions de sûreté nécessaires en cas d'EIH advenant toute défaillance d'un composant unique et en présence :

  1. de toute défaillance causée par cette défaillance unique;
  2. de toutes les défaillances identifiables, mais non détectables, y compris celles des composants non testés;
  3. de toutes les défaillances et actions intempestives de systèmes causées par un EIH ou qui provoquent un EIH.

Chaque groupe de sûreté peut exécuter les fonctions de sûreté requises dans l'état de configuration des systèmes le plus défavorable, en tenant compte de divers facteurs tels que l'entretien, les essais, l'inspection et les réparations et l'interruption de service de l'équipement.

Une analyse de toutes les défaillances uniques possibles et des défaillances indirectes qu'elles provoquent est effectuée pour chaque composant de chaque groupe de sûreté et ce, jusqu'à ce que tous les groupes de sûreté aient été examinés.

Des actions non intentionnelles et la défaillance de composants passifs sont perçues comme deux des modes de défaillance d'un groupe de sûreté.

On assume qu'une défaillance unique surviendrait avant un EIH ou en tout temps durant le temps de mission pour lequel le groupe de sûreté doit fonctionner à la suite de l'EIH. Des composants passifs peuvent être exemptés à ce chapitre.

L'exemption des composants passifs ne s'applique qu'à ceux qui sont conçus et fabriqués selon des normes de qualité supérieure, inspectés de façon appropriée et maintenus en service et qui ne sont pas affectés par un EIH. La documentation sur la conception inclut une justification analytique de telles exemptions qui tient compte des charges et des conditions environnementales, ainsi que du temps de mission nécessaire après un EIH.

Les clapets d'anti-retour doivent être considérés comme des composants actifs s'ils changent d'état à la suite d'un EIH.

Les exemptions au critère de défaillance unique doivent être peu fréquentes et clairement justifiées.

7.6.3 Défaillance sécuritaire

Le principe de défaillance sécuritaire est appliqué à la conception des SSC importants pour la sûreté de la centrale. Dans la mesure du possible, l'application de ce principe permet aux systèmes de la centrale de passer à un état sécuritaire en cas de défaillance d'un système ou d'un composant, sans qu'aucune intervention ne soit nécessaire.

7.6.4 Indisponibilité d'équipement

La conception renferme des dispositions en matière de redondance, de fiabilité et d'efficacité appropriées afin de permettre l'entretien et l'essai en fonction des systèmes qui revêtent une importance pour la sûreté, sauf si ces activités ne sont pas possibles en raison de restrictions touchant les contrôles d'accès.

La conception tient compte du temps consacré à chaque indisponibilité d'équipement et des interventions nécessaires à cet égard.

7.6.5 Systèmes partagés

Les facteurs de conception suivants s'appliquent lorsqu'un système exécute autant des fonctions de procédé que des fonctions de sûreté.

  1. Les fonctions de procédé et de sûreté ne sont pas requises ni créditées au même moment.
  2. Si la fonction de procédé est active et qu'un EIH est postulé pour ce système, il doit être démontré que toutes les fonctions de sûreté essentielles de ce système ne sont pas affectées, si elles doivent servir à atténuer l'EIH.
  3. Le système est conçu selon les normes de la fonction de plus grande importance au plan de la sûreté.
  4. Si la fonction de procédé est utilisée de façon intermittente, la disponibilité de la fonction de sûreté après chaque utilisation et sa capacité continue à répondre aux attentes peuvent être démontrées à l'aide d'un essai.
  5. Les exigences liées au partage de l'instrumentation sont respectées.

Instrumentation partagée des systèmes de sûreté

En règle générale, l'instrumentation n'est pas partagée entre les systèmes de sûreté.

Lorsque cela est justifié, le partage entre un système de sûreté et un système non lié à la sûreté (tels que les systèmes de procédés ou les systèmes de contrôle) peut être autorisé.

La fiabilité et l'efficacité d'un système de sûreté ne seront pas compromises par le fonctionnement normal, une défaillance partielle ou complète d'autres systèmes de sûreté ou par quelconque effet d'interaction engendré par le partage proposé.

La conception renferme des dispositions pour s'assurer que le partage des instruments, durant le fonctionnement, ne se traduit pas par une fréquence d'intervention accrue du système de sûreté.

La conception prévoit aussi des essais périodiques de toute la chaîne d'instrumentation, des capteurs aux dispositifs de déclenchement.

Si la conception prévoit le partage de l'instrumentation entre un système de sûreté et un système non lié à la sûreté, les exigences suivantes s'appliquent :

  1. le partage se limite aux capteurs et à leurs préamplificateurs ou amplificateurs, selon le cas, pour amener le signal au point de traitement;
  2. le signal de chaque capteur est isolé électriquement de sorte que les défaillances ne puissent se propager d'un système à l'autre; et
  3. les dispositifs d'isolation entre les systèmes d'importance différente sur le plan de la sûreté sont toujours associés au système classé comme revêtant la plus grande importance pour la sûreté.

Partage de SSC entre réacteurs

En général, les SSC importants pour la sûreté ne sont pas partagés entre deux réacteurs ou plus.

Dans les cas exceptionnels où un tel partage existe, celui-ci doit exclure les systèmes de sûreté et les bâtiments abritant le turbo-alternateur et contenant les systèmes de vapeur à haute pression et les systèmes d'eau d'alimentation.

Si le partage des SSC entre les réacteurs existe, les exigences suivantes s'appliquent.

  1. Toutes les exigences en matière de sûreté sont satisfaites pour tous les réacteurs en mode de fonctionnement normal, d'IFP et d'AD.
  2. En cas d'accident concernant l'un des réacteurs, l'arrêt, le refroidissement du cœur et l'évacuation de la chaleur résiduelle peuvent être effectués pour l'autre (les autres) réacteur(s).

Lorsqu'une centrale est construite près d'une centrale en service, et que le partage des SSC entre des réacteurs a été justifié, la disponibilité des SSC et leur capacité à satisfaire à toutes les exigences de sûreté des unités en service sont évaluées au cours de la phase de construction.

7.7 SSC sous pression

Tous les SSC sous pression sont protégés contre les surpressions et sont classifiés, conçus, fabriqués, érigés, inspectés et testés conformément aux normes établies.

Tous les SSC sous pression du système de refroidissement du réacteur et ses auxiliaires sont pourvus d'une marge de sûreté appropriée pour s'assurer que l'enveloppe de pression ne sera pas rompue et que les limites de conception ne seront pas dépassées en mode de fonctionnement normal, d'IFP ou d'AD.

La conception réduit au minimum la probabilité d'anomalies au niveau des pressions limites. Cela inclut la détection en temps opportun des anomalies touchant les pressions limites qui sont importantes pour la sûreté de façon à détecter les fuites avant qu'il y ait rupture.

À moins que cela ne soit justifié, toutes les enveloppes des SSC sous pression sont conçus pour supporter les charges statiques et dynamiques prévues en mode de fonctionnement normal, d'IFP et d'AD.

La conception des SSC inclus un dispositif de protection contre les ruptures postulées de conduite, à moins que cela ne soit justifié autrement.

Le fonctionnement des limiteurs de pression n'occasionne pas de rejets inacceptables de matières radioactives générés par la centrale.

Une isolation appropriée est fourni aux interfaces entre le système de refroidissement du réacteur (SRR) et les systèmes de raccordement fonctionnant à basse pression pour éviter la surpression de ces systèmes et la perte possible du liquide de caloporteur. Sont prises en considération les caractéristiques et l'importance de l'isolation et ses objectifs de fiabilité. Les dispositifs d'isolation sont soit fermés ou se ferment automatiquement sur demande. Le temps de réaction et la vitesse de fermeture sont conformes aux critères d'acceptation définis pour les événements initiateurs hypothétiques.

Toutes les conduites et cuves d'enveloppe sous pression sont séparées des systèmes électriques et de commande et ce, dans la plus grande mesure possible.

Les composants sous pression dont la défaillance aura une incidence sur la sûreté nucléaire sont conçus pour permettre l'inspection de leur enveloppe sous pression tout au long de la durée de vie. Si une inspection complète n'est pas réalisable, des méthodes indirectes lui servent de complément, notamment un programme de surveillance des composants de référence. La détection des fuites est une méthode acceptable lorsque le mécanisme de défaillance du SSC est la fuite avant la rupture.

7.8 Qualification environnementale de l'équipement

La conception prévoit un programme de qualification environnementale de l'équipement. L'élaboration et la mise en œuvre de ce programme font en sorte que les fonctions suivantes sont exécutées après un accident.

  1. Arrêt sécuritaire du réacteur et son maintien dans un état d'arrêt sécuritaire durant et après un EIH et un AD.
  2. Évacuation de la chaleur résiduelle du réacteur après l'arrêt, durant et après un EIH et un AD
  3. Réduction du rejet potentiel de matières radioactives de la centrale et assurance du maintien à l'intérieur des limites prescrites des doses éventuelles d'exposition de la population en cas d'EIH et d'AD.
  4. Suivi post-accident visant à déterminer si les fonctions ci-dessus sont exécutées.

Les conditions environnementales dont il faut tenir compte comprennent celles envisagées en mode de fonctionnement normal et celles découlant d'un IFP et d'un AD. Les données opérationnelles et les outils d'analyse utilisés lors de la conception, telles que l'évaluation probabiliste de la sûreté sont utilisés pour déterminer l'enveloppe des conditions environnementales.

La qualification de l'équipement comprend aussi l'examen de toutes les conditions environnementales inhabituelles qui peuvent être raisonnablement anticipées et qui pourraient survenir en mode d'exploitation normal ou au cours d'un EIH (telles que les essais périodiques du taux de fuite de l'enceinte de confinement).

L'équipement crédité pour fonctionner durant les accidents graves et les AHD est évalué du point de vue de sa capacité à exécuter ses fonctions prévues dans les conditions environnementales anticipées. Une extrapolation justifiée du rendement de l'équipement, fondée généralement sur des spécifications nominales, des essais de qualification environnementale et d'autres facteurs, peut être utilisée pour fournir l'assurance de son opérabilité.

7.9 Instrumentation et contrôle

7.9.1 Généralités

La conception prévoit une instrumentation pour surveiller les variables et systèmes de la centrale dans les divers états de fonctionnement normal, d'IFP, d'AD et d'AHD dans le but de rassembler des données appropriées sur les états de la centrale.

Cela englobe l'instrumentation servant à mesurer les variables pouvant influer sur le procédé de fission, l'intégrité du cœur du réacteur, les systèmes de refroidissement du réacteur et l'enceinte de confinement, ainsi que l'instrumentation servant à obtenir d'autres données nécessaires sur la centrale pour en assurer le fonctionnement fiable et sécuritaire.

La conception est telle que les systèmes de sûreté et tout autre système de support requis peuvent fonctionner de façon fiable et autonome, en mode automatique ou manuel, au moment voulu.

La conception prévoit aussi la capacité d'établir des tendances et d'enregistrer automatiquement les mesures de tout paramètre dérivé qui revêt une importance pour la sûreté.

L'instrumentation permet de mesurer adéquatement les paramètres de la centrale à des fins d'interventions d'urgence.

La conception prévoit également des systèmes de contrôle fiables pour maintenir les variables à l'intérieur des limites opérationnelles prescrites.

La conception réduit au minimum la probabilité qu'une intervention de l'opérateur compromette l'efficacité des systèmes de sûreté et des systèmes de contrôle en mode de fonctionnement normal et durant les IFP, sans annuler les interventions pertinentes de l'opérateur à la suite d'un AD.

Les verrouillages des systèmes de contrôle sont conçus de manière à réduire au minimum le risque de contournement manuel ou automatique non intentionnel, mais de façon également à pouvoir, le cas échéants, outrepasser les verrouillages pour utiliser l'équipement dans des états de fonctionnement exceptionnels.

Les diverses interventions en matière de sûreté sont automatisées de sorte que l'opérateur n'ait pas à intervenir à l'intérieur d'une période justifiée à partir du début d'un IFP ou d'un AD. De plus, l'opérateur a à sa disposition les renseignements appropriés pour confirmer les mesures à prendre en matière de sûreté.

7.9.2 Utilisation de systèmes ou d'équipement informatisés

Les normes et les codes appropriés pour le développement, l'essai et la mise à jour de matériel et de logiciels informatiques sont appliqués à la conception des systèmes ou de l'équipement informatisés qui revêtent une importance pour la sûreté. Ces normes et ces codes sont appliqués pendant toute la durée de vie du système ou de l'équipement, et plus particulièrement au cours du cycle de développement d'un logiciel.

Un processus de développement descendant des logiciels est utilisé pour faciliter les activités de vérification et de validation. Cette approche comprend une vérification à chaque étape du processus de conception pour démontrer que le produit évalué est correct. Une validation est faite pour démontrer que le système ou l'équipement informatisé qui en résulte satisfait aux exigences fonctionnelles et aux exigences de rendements prévus.

Si un logiciel livré par un tiers fournisseur est utilisé dans un système ou un équipement important pour la sûreté, il doit être prouvé que le logiciel - et toute version future du logiciel - a été développé, inspecté et testé conformément aux normes d'une catégorie correspondant à la fonction de sûreté exécutée par le système ou l'équipement donné.

Le processus de développement logiciel, y compris le contrôle, l'essai et la mise en service des changements apportés à la conception, ainsi que les résultats de l'évaluation indépendante de ce processus, est systématiquement documenté et prêt à l'examen dans la documentation de la conception.

Lorsqu'une fonction importante pour la sûreté est informatisée, les exigences suivantes s'appliquent.

  1. Les fonctions non essentielles à la sûreté sont séparées de la fonction de sûreté, et il doit être démontré qu'elles ne nuisent pas à la fonction de sûreté.
  2. La fonction de sûreté est normalement exécutée par des processeurs distincts du logiciel qui exécute d'autres fonctions telles que le contrôle, le suivi et l'affichage.
  3. Les exigences liées à la diversité s'appliquent aux systèmes informatisés qui exécutent des fonctions de sûreté similaires. Le choix du type de diversité est justifié.
  4. La conception prévoit des dispositifs de défaillance sécuritaire et des dispositifs à grande tolérance aux défaillances, et il doit être démontré que la complexité ajoutée par ces dispositifs se traduit par un gain global en matière de sûreté.
  5. La conception prévoit une protection contre les attaques physiques, les intrusions intentionnelles et non intentionnelles, la fraude et les virus et autres menaces malicieuses.
  6. La conception fournit des dispositifs efficaces de détection, de localisation et de diagnostic des défaillances de manière à faciliter la réparation ou le remplacement en temps opportun de l'équipement ou des logiciels.
7.9.3 Instrumentation post-accidentelle

L'instrumentation et l'équipement d'enregistrement sont conçus de sorte que les renseignements essentiels soient disponibles pour appuyer les procédures de la centrale pendant et après des accidents en :

  1. indiquant l'état de la centrale;
  2. identifiant les endroits où se trouvent des matières radioactives;
  3. soutenant l'estimation des quantités de matières radioactives;
  4. enregistrant les paramètres essentiels de la centrale; et
  5. facilitant la prise de décisions lors de gestion d'accident.

7.10 Systèmes de support en matière de sûreté

Les systèmes de support en matière de sûreté fournissent des services, tels que l'alimentation en électricité, en air comprimé, en eau, etc., aux systèmes importants pour la sûreté. Ils doivent être conçus de manière à assurer la disponibilité des fonctions de sûreté fondamentales dans tous les états d'exploitation de la centrale, y compris en mode de fonctionnement normal, d'IFP, d'AD et, dans la mesure du possible, d'AHD.

Lorsque des services normaux sont fournis à partir de sources externes, des systèmes de relève pour le support de sûreté sont aussi disponibles sur le site.

La conception prévoit des systèmes de support d'urgence en cas de perte de service normal et, au besoin, en cas de perte simultanée des systèmes de relève.

Les systèmes qui fournissent des services normaux, des services de relève et des services d'urgence des systèmes :

  1. possèdent une capacité suffisante pour répondre aux exigences de charge des systèmes qui exécutent les fonctions de sûreté fondamentales; et
  2. sont disponibles et offrent la même fiabilité que les systèmes qu'ils desservent.

Les systèmes de support en matière de sûreté :

  1. sont indépendants des systèmes normaux et des systèmes de relève;
  2. assurent la continuité du service jusqu'à ce que le service à long terme (normal ou de relève) soit rétabli;
  3. bénéficient d'une marge de capacité pour répondre à de futures augmentations de la demande; et
  4. peuvent être testés sous des conditions de charge nominale

7.11 État d'arrêt garanti

L'autorité responsable de la conception définit l'état d'arrêt garanti (EAG) qui soutiendra les activités d'entretien sécuritaire de la CN.

La conception prévoit deux moyens indépendants pour prévenir un retour à l'état critique par n'importe quel comportement ou mécanisme durant l'EAG.

La marge d'arrêt de l'EAG est telle que le cœur demeurera dans un état sous-critique en présence de tout changement crédible dans la configuration du cœur et de l'ajout de réactivité. Dans la mesure du possible, on y parvient sans intervention de l'opérateur.

7.12 Sûreté contre les incendies

La conception de la CN, incluant celle de ses bâtiments externes et des SSC servant à l'exploitation de la centrale, renferme des dispositions en matière de sûreté contre les incendies.

7.12.1 Dispositions générales

L'incorporation appropriée de procédures opérationnelles, de SSC redondants, de barrières physiques, de séparation spatiale, de systèmes de protection contre les incendies et d'une conception à sûreté intégré permet de réaliser les objectifs généraux suivants.

  1. Prévenir les incendies.
  2. Réduire la propagation et les effets des incendies s'ils se déclarent en :
    1. détectant rapidement les incendies et en les maîtrisant afin de limiter les dommages;
    2. confinant la propagation des incendies et leurs sous-produits non maîtrisés.
  3. Prévenir la perte de redondance des systèmes de sûreté et des systèmes de support.
  4. Fournir l'assurance d'un arrêt d'urgence sécuritaire.
  5. Veiller à ce que la surveillance des paramètres de sûreté critique soit maintenue.
  6. Prévenir l'exposition, le rejet non contrôlé ou la dispersion inacceptable de substances dangereuses, de matières nucléaires ou de matières radioactives attribuables aux incendies.
  7. Prévenir les effets préjudiciables des efforts d'atténuation des événements, autant à l'intérieur qu'à l'extérieur de l'enceinte du confinement.
  8. Assurer la suffisance et la stabilité structurales en cas d'incendie.

Les immeubles ou les structures sont construits avec des matériaux ininflammables, ignifuges et thermorésistants.

Les incendies sont qualifiés de danger interne. Les fonctions de sûreté essentielles sont donc disponibles en cas d'incendie.

Les systèmes de lutte contre les incendies doivent être conçus et placés de sorte qu'une rupture ou une manœuvre intempestive ou involontaire ne puisse pas détériorer de façon importante la capacité des SSC qui revêtent une importance pour la sûreté.

7.12.2 Sûreté des personnes

La conception prévoit la protection des travailleurs et du public contre les séquences d'événements amorcées par des incendies ou des exploitions conformément aux critères radiologiques, toxicologiques et humains. Grâce à cette protection :

  1. les personnes ne se trouvant pas à proximité de l'événement initial (y compris le public, les occupants et les intervenant en cas d'urgence) sont protégées contre les blessures et la perte de vie; et
  2. les personnes se trouvant à proximité de l'événement initial encourent un risque réduit de blessures ou de perte de vie.

Les dispositions de conception suivantes démontrent que les objectifs de sûreté des personnes ont été atteints :

  1. des moyens efficaces et fiables de détection des incendies dans toutes les zones.
  2. des moyens efficaces et fiables pour informer les travailleurs d'une situation d'urgence, y compris la nature de l'urgence et les mesures de protection qu'ils doivent prendre.
  3. des voies d'évacuation multiples, distinctes et sécuritaires pour toutes les zones.
  4. des sorties de secours facilement accessibles.
  5. des voies d'évacuation et des sorties de secours identifiées et illuminées de façon efficace et fiable.
  6. une capacité d'évacuation suffisante pour le nombre d'employés en tenant compte des mouvements de foule en situation d'urgence.
  7. la protection des travailleurs contre les incendies et leurs sous-produits (produits de combustion, fumée, chaleur, etc.) durant l'évacuation et dans les zones de refuge.
  8. la protection des travailleurs chargés du contrôle de la centrale et des fonctions d'atténuation durant et après un incendie.
  9. une infrastructure de soutien appropriée (éclairage, accès, etc.) pour le personnel chargé des interventions d'urgence, du contrôle de la centrale et des activités d'atténuation durant et après un incendie.
  10. l'intégrité et la stabilité suffisantes des structures et des bâtiments pour assurer la sécurité du personnel de la centrale et des intervenants en cas d'urgence durant et après un incendie.
  11. la protection du personnel contre le rejet ou la dispersion de substances dangereuses, de matières nucléaires ou de matières radioactives attribuables aux incendies.
7.12.3 Protection environnementale et sûreté nucléaire

La conception doit permettre de réduire au minimum les rejets et la dispersion dans l'environnement de substances dangereuses ou de matières radioactives provoqués par des incendies, ainsi que leur impact sur l'environnement.

7.13 Qualification sismique

La qualification sismique de tous les SSC est conforme aux exigences des normes nationales canadiennes ou des normes équivalentes.

La conception prévoit de l'instrumentation de surveillance de l'activité sismique sur l'emplacement au cours de la durée de vie de la centrale.

7.13.1 Conception et classification sismiques

L'autorité responsable de la conception identifie les SSC importants pour la sûreté qui sont en mesure de supporter un séisme de référence (SR), et s'assure qu'ils sont qualifiés en conséquence. Cela s'applique aux :

  1. SSC dont la défaillance peut entraîner directement ou indirectement un accident susceptible de causer des dommages au cœur du réacteur;
  2. SSC limitant le rejet de matière radioactive dans l'environnement;
  3. SSC assurant la sous-criticité des matières nucléaires entreposées;
  4. SSC tels que les réservoirs de stockage des déchets nucléaires contenant des matières radioactives qui, une fois libérées, dépasseraient les doses limites réglementaires.

La conception de ces SSC leur permet de répondre aux critères de SR afin de maintenir toutes les caractéristiques essentielles telles que l'intégrité des systèmes sous pression, l'étanchéité, l'exploitabilité et le positionnement approprié en cas d'un tel SR.

La conception prévoit qu'aucun dommage substantiel ne sera causé à ces SSC par la défaillance de tout autre SSC advenant un SR.

Les niveaux de fragilité sismique doivent être évalués aux niveaux des SSC importants pour la sûreté par une analyse ou, dans la mesure du possible, par des essais.

7.14 Essais, entretien, réparations, inspection et surveillance en cours d'exploitation

Afin de maintenir la centrale à l'intérieur des limites de la conception, les SSC importants pour la sûreté sont étalonnés, testés, entretenus, réparés, ou remplacés, inspectés et surveillés au cours de la durée de vie de la centrale.

Ces activités sont exécutées selon des normes commensurables à l'importance des fonctions de sûreté respectives des SSC. Il importe donc que la disponibilité des systèmes ne soit pas réduite de façon significative et que le personnel de l'emplacement ne soit pas exposé indûment aux radiations.

Les SSC qui on une durée de service plus courte que celle de la centrale sont identifiés et décrits dans la documentation sur la conception.

Dans les cas où les SSC importants pour la sûreté ne peuvent être conçus pour réaliser les calendriers d'essai, d'inspection ou de surveillance dans la mesure souhaitée, l'approche suivante est utilisée :

  1. d'autres méthodes de rechange éprouvées doivent être spécifiées telles que la surveillance des éléments de référence ou l'utilisation de méthodes de calcul vérifiées et validées; ou
  2. des marges de sûreté conservatrices sont appliquées ou d'autres mesures de précaution appropriées sont prises afin de contrebalancer les défaillances imprévues potentielles.

Les détails sur les méthodes de rechange liées à la surveillance des SSC sont énoncés dans la documentation sur la conception.

La conception prévoit des installations pour la surveillance des conditions chimiques des fluides ainsi que des matières métalliques et non métalliques. De plus, les moyens relatifs à l'ajout ou à la modification des constituants chimiques des flux de fluide sont précisés.

La conception tient aussi compte des exigences d'essais connexes lorsqu'elle précise les exigences de mise en service de la centrale.

7.15 Structures de génie civil

7.15.1 Conception

La conception de la centrale spécifie le rendement requis associé aux fonctions de sûreté liées aux structures de génie civil dans des conditions d'exploitation normal et d'accident.

Les structures de génie civil importants pour la sûreté nucléaire sont conçues et localisées de manière à minimiser les probabilités et les effets des dangers internes tels que les incendies, les explosions, la fumée, les inondations, la formation de missiles, l'effet de fouet des tuyaux, l'impact d'un jet ou le rejet de fluide dû à la rupture d'un tuyau.

Les événements externes tels que les tremblements de terre, les inondations, les vents violents, les tornades, les tsunamis et les conditions météorologiques extrêmes sont pris en considération dans la conception des structures de génie civil.

Les analyses d'affaissement et l'évaluation de la capacité du sol tiennent compte des effets de fluctuation des eaux souterraines sur les fondations, ainsi que l'identification et l'évaluation des strates de sol potentiellement liquéfiables et des glissements de terrain. 

Les structures de génie civil sont conçues pour respecter les exigences de fonctionnalité d'utilisation, de résistance et de stabilité pour toutes les combinaisons de charges possibles en mode de fonctionnement normal, d'IFP et d'AD, ainsi que dans l'éventualité d'un danger externe. Les facteurs de facilité d'utilisation comprennent, sans toutefois s'y limiter, la flexion, la vibration, la déformation permanente, la fissuration et l'affaissement.

Les spécifications de conception définissent aussi toutes les charges et combinaisons de charges en tenant dûment compte des probabilités de simultanéité des charges et de l'historique des temps de charge.

Les effets environnementaux sont pris en compte dans la conception des structures de génie civil et le choix des matériaux. Le choix des matériaux de construction doit être proportionnel à la durée de vie nominale et la possibilité de prolongement de la durée de vie de la centrale.

L'évaluation de la sûreté de la centrale englobe des analyses structurales pour toutes les structures de génie civil importantes pour la sûreté.

7.15.2 Surveillance

La conception permet la mise en œuvre de programmes d'inspection périodiques des structures liées à la sûreté nucléaire pour vérifier l'état des structures selon les plans de construction d'origine.

La conception facilite aussi la surveillance, en cours d'exploitation, de toute dégradation pouvant compromettre la fonction nominale des structures.

En particulier, la conception permet la surveillance de l'affaissement des fondations.

Des essais de pressurisation et de fuite sont effectués sur les structures pour démontrer que les paramètres de conception respectifs sont conformes aux exigences de conception.

La conception facilite les inspections de routine des ouvrages de protection contre les crues de mer, de lac ou de rivière et démontre qu'ils sont en bon état de service.

7.15.3 Levage de charges lourdes

Dans la conception de la centrale, il faut tenir compte du levage de charges lourdes et de grande taille, plus particulièrement, celles contenant des matières radioactives. Elle doit identifier les charges de grande taille et les situations où elles doivent être levées au-dessus des zones de la centrale qui sont critiques au plan de la sûreté. La conception de toutes les grues et de tous les dispositifs de levage doit donc prévoir de grandes marges, des dispositifs de verrouillage appropriés et d'autres dispositifs de sûreté pour répondre aux exigences de levage de vastes charges.

7.16 Mise en service

Tous les systèmes de la centrale sont conçus de manière à ce que l'on puisse, dans la mesure du possible, effectuer des essais sur l'équipement pour confirmer que les exigences de conception ont été respectées avant la première criticité du réacteur.

7.17 Vieillissement et usure

La conception examine les effets du vieillissement et de l'usure sur les SSC. Pour les SSC importants pour la sûreté, cet examen comprend :

  1. une évaluation des marges nominales de conception en tenant compte de tous les mécanismes connus de vieillissement et d'usure et de la dégradation potentielle en mode d'exploitation normal, y compris les effets des essais et des processus d'entretien; et
  2. des dispositions pour la surveillance, les essais, l'échantillonnage et l'inspection des SSC pour évaluer les mécanismes de vieillissement, vérifier les prévisions et déterminer tout rendement ou toute dégradation imprévu(e) pouvant survenir en cours d'exploitation en raison du vieillissement et de l'usure.

7.18 Contrôle des corps étrangers

La conception prévoit l'exclusion et l'élimination de tous les corps étrangers et produits corrosifs susceptibles d'avoir une incidence sur la sûreté.

7.19 Transport et empaquetage de combustible et de déchets radioactifs

La conception de la centrale prévoit des dispositifs appropriés pour faciliter le transport et la manutention du combustible neuf, du combustible usé et des déchets radioactifs. Une attention particulière est accordée à l'accès aux installations ainsi qu'aux capacités de levage et d'empaquetage du combustible et des déchets radioactifs.

7.20 Voies d'évacuation d'urgence et moyens de communications

La conception de la centrale prévoit un nombre suffisant de voies d'évacuation sécuritaires et disponibles pour tous les états de la centrale, y compris les événements sismiques. Ces voies sont identifiées à l'aide d'une signalisation claire et durable, d'un éclairage de secours, d'une ventilation et autres services de bâtiment essentiels à leur utilisation sécuritaire.

Les voies d'évacuation doivent satisfaire aux exigences canadiennes pertinentes relatives au zonage radiologique, à la prévention des incendies, à la sécurité industrielle et à la sûreté de la centrale, ce qui englobe l'assurance de pouvoir évacuer l'enceinte de confinement indépendamment de la pression à l'intérieur de l'enceinte.

Des systèmes d'alarme et des moyens de communication appropriés sont fournis et disponibles en tout temps pour alerter toutes les personnes présentes dans la centrale et sur le site et leur donner des directives.

La conception vise à s'assurer que divers moyens de communications sont disponibles dans la centrale, dans son voisinage immédiat ainsi qu'au sein des organismes hors-site, comme le stipule le plan d'intervention d'urgence.

7.21 Facteurs humains

La conception comporte un programme d'ingénierie des facteurs humains.

Des techniques d'analyse systématique éprouvées et pertinentes sont utilisées pour examiner les questions des facteurs humains associés au processus de conception.

Examen des facteurs humains :

  1. réduire, autant que possible, la possibilité d'erreurs humaines;
  2. prévoir des mécanismes d'identification des erreurs humaines et des méthodes de rétablissement en cas d'erreur; et
  3. atténuer les conséquences des erreurs.

Le programme d'ingénierie des facteurs humains facilite les interactions entre le personnel d'exploitation et la centrale en accordant une attention particulière à l'aménagement et aux procédures de la centrale, à l'entretien, à l'inspection, à la formation et à l'application des principes ergonomiques liés à la conception des aires et des environnements de travail.

Une distinction appropriée et claire entre les fonctions assignées au personnel d'exploitation et celles attribuées aux systèmes automatiques est facilitée par l'examen systématique des facteurs humains et de l'interface homme-machine. Cet examen se poursuit de façon itérative tout au long du processus de conception.

Les interfaces homme-machine de la salle de commande principale, de la salle de commande auxiliaire, du centre de support d'urgence et de la centrale fournissent aux opérateurs les renseignements nécessaires et appropriés, dans un format utilisable et compatible à la prise de décision et au délai d'intervention.

Des plans de vérification et de validation des facteurs humains sont établis pour toutes les étapes pertinentes du processus de conception afin de confirmer que toutes les interventions nécessaires de l'opérateur sont correctement prises en compte dans la conception.

Pour faciliter l'établissement de critères de conception en matière d'affichage et de contrôle de l'information, chaque opérateur est réputé assumer deux rôles : celui de gestionnaire de systèmes, y compris la responsabilité pour la gestion des accidents, et celui d'opérateur d'équipement. Les activités de vérification et de validation sont exhaustives, de sorte que la conception soit conforme aux principes de conception touchant les facteurs humains et réponde aux exigences de facilité d'utilisation.

La conception détermine le type de renseignements qui permettra à l'opérateur de facilement :

  1. évaluer l'état général de la centrale, qu'il s'agisse d'un état de fonctionnement normal, d'IFP ou d'AD;
  2. confirmer que les interventions de sûreté automatiques sont exécutées; et
  3. déterminer les interventions appropriées liées à la sûreté que doit effectuer l'opérateur.

La conception précise le type de renseignements qui permettra à une personne, dans son rôle d'opérateur d'équipement, de déterminer les paramètres de chaque système et équipement de la centrale, et de confirmer que les mesures de sûreté nécessaires peuvent être enclenchées en toute sécurité.

Les objectifs de la conception incluent la réussite des interventions de l'opérateur en tenant dûment compte du temps dont il dispose pour intervenir, de l'environnement physique prévu et du stress psychologique connexe auquel l'opérateur est exposé.

La nécessité d'une intervention de l'opérateur à l'intérieur de courts laps de temps doit être maintenue au minimum et les conditions suivantes s'appliquent si ce genre d'intervention est nécessaire.

  1. Les renseignements nécessaires à l'opérateur pour prendre la décision d'intervenir sont présentés dans un format simple et exempt d'ambiguïtés;
  2. L'opérateur dispose de suffisamment de temps pour prendre une décision et intervenir; et
  3. à la suite d'un événement, l'environnement physique de la salle de commande principale ou de la salle de commande auxiliaire et de la voie d'accès à la salle de commande auxiliaire demeure acceptable.

7.22 Robustesse contre des actes malveillants

La conception prévoit des dispositifs physiques tels que la protection contre les menaces de référence (MR) conformément aux exigences du Règlement sur la sécurité nucléaire.

7.22.1 Principes de conception

La conception doit prévoir une protection robuste contre les actes malveillants susceptibles de toucher la centrale et toute autre installation sur le site qui pourraient libérer de grandes quantités de matières radioactives ou d'énergie.

Les menaces associées aux actes malveillants plausibles sont appelées menaces de référence (MR). Des menaces plus sévères quoique improbables sont appelés menaces hors-dimensionnement (MHD). Ces deux types de menaces sont pris en compte dans la conception.

Les attributs et les caractéristiques crédibles d'un groupe de saboteurs sur l'emplacement de la centrale ou à l'extérieur entrent dans la catégorie des MR. Ces personnes pourraient tenter de s'accaparer illégalement de matériel nucléaire ou exécuter des manœuvres de sabotage contre lesquels un système de protection physique est conçu et évalué.

Les MHD sont des menaces trop peu probables pour justifier leur incorporation dans le mécanisme de dimensionnement, mais pour lesquelles les conséquences sont évaluées afin de déterminer, dans la mesure du possible, les moyens d'en atténuer les conséquences.

Conformément au concept de défense en profondeur, la conception prévoit de multiples barrières de protection contre les actes malveillants, y compris des systèmes de protection physiques, des dispositions de sécurité techniques et des mesures de gestion postérieure à un événement, le cas échéant. La défaillance d'une barrière précédente ne doit pas compromettre l'intégrité et l'efficacité des barrières subséquentes.

7.22.2 Méthodes de conception

L'autorité responsable de la conception élabore une méthodologie pour évaluer les difficultés qu'entraînent les MR et les moyens pour résoudre ces difficultés (p. ex., telles qu'identifiées dans une évaluation initiale des menaces et des risques). La méthodologie utilise des mesures de conception conservatrices et de saines pratiques d'ingénierie.

La conception de la centrale examine le rôle des structures, des voies d'accès, de l'équipement et de l'instrumentation dans l'attribution de moyens de détection, de ralentissement et d'intervention en cas de menaces.

Les zones vitales sont déterminées et prises en compte dans la conception et la vérification de leur robustesse. Pour les zones vitales, la conception doit prévoir suffisamment de temps aux équipes d'intervention sur le site et à l'extérieur du site pour intervenir efficacement, en tenant compte des structures, de la détection et de l'évaluation. Ces zones doivent être protégées contre les dommages accidentels causés au cours des interventions de protection.

La conception prévoit des moyens appropriés en matière de contrôle d'accès et de détection et pour réduire au minimum le nombre d'accès et de points d'évacuation des zones protégées. Ces points incluent les égouts pluviaux, les caniveaux, la tuyauterie de service et les câbles qui pourraient être utilisés pour accéder à l'installation.

La conception tient aussi compte de l'emplacement d'installations civiles de manière à réduire au minimum le besoin d'y accéder pour des réparations, l'entretien et ce, afin de réduire les menaces contre la zone protégée et les zones vitales.

L'autorité responsable de la conception élabore également une méthodologie pour évaluer les difficultés associées aux MHD, laquelle est appliquée pour déterminer les marges disponibles pour l'arrêt du réacteur et le confinement de la radioactivité. Une dégradation importante des dispositifs d'ingénierie peut être tolérée.

7.22.3 Critères d'acceptation

Toutes les fonctions et capacités des systèmes de sûreté doivent continuer d'être disponibles advenant des MR.

La conception doit prévoir la disponibilité continue des fonctions de sûreté fondamentales à la suite de MHD; ces dispositions reposant sur la sévérité de la menace.

Pour les événements plus graves, il y a une façon sécuritaire d'arrêter le réacteur qui comprend à tout le moins un moyen :

  1. d'arrêter le réacteur;
  2. de refroidir le combustible; et
  3. de retenir la radioactivité du réacteur.

L'intégrité structurale doit être suffisante pour protéger les systèmes importants. Deux voies de succès sont identifiées, le cas échéant.

Pour les événements extrêmes, il doit y avoir au moins un moyen d'arrêter le réacteur et d'en refroidir le cœur. La dégradation de la barrière de confinement peut permettre le rejet de matières radioactives; toutefois, la dégradation doit être limitée afin que les critères d'acceptation des doses ne soient pas dépassés. En pareils cas, l'intervention englobe la prise de mesures d'urgence sur place et hors-site.

7.23 Garanties

La conception de la centrale est assujettie aux obligations découlant des accords internationaux du Canada et des exigences relatives aux garanties et à la non-prolifération.

La conception et le processus de conception assurent la conformité aux obligations découlant de l'accord de garanties entre le Canada et l'AIEA. En général, ces caractéristiques sont associées à l'installation permanente d'équipement de garanties et à la prestation des services nécessaires au fonctionnement continu de cet équipement.

7.24 Déclassement

La conception doit tenir compte des activités éventuelles de déclassement et de démantèlement de la centrale de sorte que :

  1. les matériaux soient choisis pour la construction et la fabrication des composants et des structures de la centrale avec pour objectif de minimiser les quantités éventuelles de déchets radioactifs et de faciliter la décontamination;
  2. l'aménagement de la centrale facilite l'accès pour les activités de déclassement et de démantèlement;
  3. l'on examine les exigences futures potentielles de stockage de déchets radioactifs en raison de la construction de nouvelles installations ou de l'agrandissement d'installations existantes.

8.0 Exigences relatives aux systèmes

8.1 Cœur du réacteur

La conception fournit une protection contre les déformations des structures du réacteur qui peuvent nuire au rendement du cœur ou des systèmes connexes.

Le cœur du réacteur, ses structures connexes et ses systèmes de refroidissement :

  1. supportent les charges statiques et dynamiques, incluant l'expansion et la contraction thermique;
  2. supportent la vibration (telle que la vibration acoustique et la vibration causée par l'écoulement);
  3. assurent la compatibilité chimique;
  4. respectent les limites thermiques de matériaux; et
  5. respectent les limites quant aux dommages causés par le rayonnement.

La conception du cœur du réacteur facilite l'application d'un état d'arrêt garanti, comme le décrit la sous-section 7.11.

La conception du cœur est telle que :

  1. la réaction en chaîne de fission est contrôlée en mode de fonctionnement normal et d'IFP; et
  2. le degré maximum de réactivité positive et son taux maximum d'augmentation en mode de fonctionnement normal, d'IFP et d'AD soient limités pour qu'aucune défaillance de l'enveloppe de pression du réacteur ne survienne, que la capacité de refroidissement soit maintenue et que le cœur du réacteur ne subisse aucun dommage important.

La marge d'arrêt de tous les états d'arrêt est telle que le cœur demeurera dans un état sous-critique en présence de tout changement crédible de la configuration du cœur et d'ajout de la réactivité.

Si l'opérateur doit intervenir pour maintenir le réacteur dans un état d'arrêt, la faisabilité, la rapidité et l'efficacité d'une telle intervention sont démontrées.

8.1.1 Éléments et assemblages de combustible

La conception des assemblages de combustible comprend tous les composants de l'assemblage, notamment la matrice combustible, la gaine, les cales d'écartement des éléments, les plaques de soutien, les barres de contrôle amovibles à l'intérieur de l'assemblage, etc. La conception des assemblages de combustible identifie aussi tous les systèmes d'interfaces.

Les assemblages de combustible et les composants connexes sont conçus pour résister à l'irradiation prévue et aux conditions environnementales dans le cœur du réacteur, et à tous les processus de détérioration qui peuvent survenir en mode de fonctionnement normal et d'IFP. À l'étape de conception, on tient compte de l'entreposage à long terme des assemblages de combustible irradiés à la suite de leur retrait du réacteur.

Des limites nominales de combustible sont établies et comprennent, au minimum, les limites de puissance du combustible ou les limites de température, les limites de combustion nucléaire du combustible et les limites liées aux fuites de produits de fission dans le système de refroidissement du réacteur. Les limites de conception témoignent de l'importance de préserver la gaine et la matrice de combustible du fait qu'elles constituent les premières barrières contre le rejet de produits de fission.

La conception tient compte de tous les mécanismes de dégradation connus, en tenant compte des incertitudes des données, des calculs et de la fabrication du combustible.

Les assemblages de combustible sont conçus pour permettre l'inspection appropriée de leurs structures et composants avant et suivant l'irradiation.

En mode d'AD, l'assemblage de combustible et ses composants demeurent en position sans distorsion qui empêcherait le refroidissement efficace du cœur du réacteur à la suite d'un accident ou qui nuirait aux fonctions des appareils ou mécanismes de contrôle de la réactivité. Les critères d'acceptation du combustible en mode d'AD sont en harmonie avec ces exigences.

Les exigences de conception du réacteur et du combustible s'appliquent si des modifications sont apportées à la stratégie de gestion du combustible ou aux conditions d'exploitation au cours de la durée de vie utile de la centrale.

La conception du combustible et les limites de conception sont le reflet d'une base de connaissances vérifiée et vérifiables. Le combustible est qualifié pour l'exploitation, soit par l'expérience avec le même type de combustible utilisé dans d'autres réacteurs, soit par l'intermédiaire d'un programme d'analyse et d'essais expérimentaux, pour s'assurer que les exigences des assemblages de combustible sont respectées.

8.1.2 Système de contrôle du cœur du réacteur

La conception comporte des moyens de détection des niveaux et des distributions du flux neutronique. Cela s'applique au flux neutronique dans toutes les régions du cœur en mode de fonctionnement normal (y compris après l'arrêt, durant et après le rechargement du combustible) et dans le cas d'IFP.

Le système de contrôle du cœur du réacteur détecte et intercepte les déviations par rapport aux états normaux de fonctionnement dans le but d'empêcher les IFP de se transformer en accidents.

Des moyens adéquats sont fournis pour maintenir les distributions d'énergie globales et spatiales à l'intérieur de marges prédéterminées.

Les mécanismes de contrôle du réacteur limitent le taux d'insertion de la réactivité positive à un niveau permettant de contrôler les changements de réactivité et les manœuvres de puissance.

Le système de contrôle, jumelé aux caractéristiques inhérentes du réacteur et aux limites et conditions de fonctionnement sélectionnées, réduit au minimum le besoin d'arrêter le réacteur.

Le système de contrôle, jumelé aux caractéristiques inhérentes du réacteur maintient tous les paramètres critiques du réacteur à l'intérieur des limites spécifiées d'une vaste gamme d'IFP.

8.2 Système de refroidissement du réacteur

Les marges de conception du système de refroidissement du réacteur, de ses composants connexes et des systèmes auxiliaires doivent être suffisantes afin de s'assurer que les limites de conception de l'enveloppe sous pression du système de refroidissement du réacteur ne soient pas dépassées en mode de fonctionnement normal, d'IFP ou d'AD.

La conception veille à ce que le fonctionnement des limiteurs de pression n'entraîneront pas des rejets inacceptables de matière radioactive par la centrale et ce, même en cas d'AD. Le système de refroidissement du réacteur est pourvu de dispositifs d'isolation qui servent à limiter toute perte de caloporteur radioactif à l'extérieur de l'enceinte de confinement.

Les matériaux utilisés dans la fabrication des composants sont choisis de manière à ce que leur activation soit réduite au minimum.

Les états de la centrale dans lesquels les composants de l'enveloppe de pression pourraient présenter un comportement fragile doivent être évités.

La conception tient compte de toutes les conditions affectant les matériaux de l'enveloppe sous pression en mode de fonctionnement normal (y compris l'entretien et les essais), d'IFP et d'AD, ainsi que des propriétés prévues en fin de vie utile touchées par les mécanismes de vieillissement, le taux de détérioration et l'état initial des composants.

La conception des composants mobiles se trouvant à l'intérieur de l'enveloppe sous pression du caloporteur du réacteur, tels que les rotors de pompes et les pièces de vanne, minimise la probabilité de défaillance et de dommages indirects à d'autres composants du système de refroidissement du réacteur. Cela s'applique au mode de fonctionnement normal, d'IFP et d'AD, en tenant compte de la détérioration susceptible de survenir en cours d'exploitation.

La conception prévoit un système de détection et de surveillance des fuites du système de refroidissement du réacteur.

8.2.1 Inspection de l'enveloppe sous pression en cours d'exploitation

Les composants de l'enveloppe sous pression du caloporteur primaire sont conçus, fabriqués et installés de manière à ce qu'il soit possible d'effectuer des inspections et des tests appropriés de l'enveloppe tout au long de la durée de vie de la centrale.

La conception facilite aussi la surveillance nécessaire à la détermination des conditions métallurgiques des matériaux pour lesquelles des changements métallurgiques sont prévus.

8.2.2 Inventaire

En tenant compte des variations volumétriques et des fuites, des dispositions de la conception prévoient le contrôle de l'inventaire et de la pression du caloporteur pour s'assurer de ne pas dépasser les limites spécifiées en exploitation normale. Les systèmes permettant de remplir cette fonction doivent avoir la capacité (débit et volumes de stockage) de satisfaire à cette exigence.

L'inventaire du système de refroidissement du réacteur et de ses systèmes connexes permet un refroidissement depuis un état chaud à pleine puissance jusqu'à des conditions de refroidissement correspondant à un état froid à l'arrêt, sans le besoin d'un transfert à partir d'autres systèmes.

8.2.3 Nettoyage

La conception prévoit l'élimination appropriée des substances radioactives du caloporteur du réacteur, y compris les produits de corrosion activés et les produits de fission du combustible.

8.2.4 Évacuation de la chaleur résiduelle du cœur du réacteur

La conception fournit des moyens (c.-à-d., dispositif de relève) pour évacuer la chaleur résiduelle du réacteur dans toutes les conditions du SRR. Le dispositif de relève est indépendant de la configuration en mode d'utilisation.

Le moyen d'évacuer la chaleur résiduelle répond aux exigences de fiabilité en supposant une défaillance unique et la perte de l'alimentation électrique extérieure, en incorporant des mécanismes appropriés de redondance, de diversité et d'indépendance. Les capacités d'interconnexion et d'isolation présentent un degré de fiabilité commensurable aux exigences de conception du système.

L'évacuation de la chaleur s'effectue à un taux qui empêche les limites de conception spécifiées du combustible et de l'enveloppe sous pression du caloporteur du réacteur d'être dépassées.

Si un système d'évacuation de la chaleur résiduelle est nécessaire lorsque le SRR est chaud et pressurisé, il peut être enclenché selon les conditions de fonctionnement normal du SRR.

8.3 Système d'alimentation en vapeur d'eau

8.3.1 Conduites de vapeur

Les conduites de vapeur incluant les vannes de régulation de la turbine et, s'il y a lieu, les générateurs de vapeur, sont conçues avec une marge de sûreté suffisante pour que les limites de conception de l'enveloppe sous pression ne soient pas dépassées en mode de fonctionnement normal, d'IFP et d'AD. Cette disposition tient compte du fonctionnement des systèmes de contrôle et de sûreté.

Les vannes d'isolation de la vapeur principale (VIVP) seront installés sur chacune des conduites de vapeur menant à la turbine et situées aussi près que possible de la structure de confinement.

Lorsque les VIVP peuvent empêcher l'entrée de vapeur dans l'enceinte de confinement, ils peuvent être fermés dans des conditions pour lesquelles ils ont été crédités.

Lorsque les VIVP servent de barrière de confinement, ils répondent aux exigences de confinement qui s'appliquent aux conditions pour lesquelles ils sont crédités.

Il doit être possible d'effectuer des essaies sur les VIVP.

Les conduites de vapeur incluant la première vanne d'isolation et, s'il y a lieu, les générateurs de vapeur, peuvent résister à un séisme de référence.

8.3.2 Tuyauterie et cuves des systèmes de vapeur et d'eau d'alimentation

Dans la mesure du possible, toutes les conduites et les cuves sont généralement séparés des systèmes électriques et de contrôle.

Le système auxiliaire d'eau d'alimentation, de régulation de la pression des générateurs de vapeur et les autres systèmes auxiliaires empêchent les IFP de dégénérer en accidents.

8.3.3 Turbo-alternateurs

La conception prévoit des systèmes de protection contre la survitesse pour les turbo-alternateurs afin de minimiser la probabilité de défaillance du disque de la turbine menant à la formation de missiles.

Les axes des turbo-alternateurs doivent être orientés de façon à réduire le plus possible les risques de formation de missiles produits par un bris de la turbine qui pourraient percuter le confinement ou d'autres SSC importants pour la sûreté.

8.4 Systèmes d'arrêt d'urgence

Le système d'arrêt d'urgence du réacteur doit pouvoir réduire rapidement la puissance du réacteur à une faible valeur et la maintenir à cette valeur pendant la durée nécessaire, lorsque le système de contrôle de la puissance du réacteur et les caractéristiques inhérentes sont insuffisantes ou incapables de maintenir la puissance du réacteur à l'intérieure des exigences prescrites des LCO.

La conception prévoit deux méthodes distinctes, indépendantes et différentes pour arrêter le réacteur.

Au moins un dispositif d'arrêt d'urgence du réacteur permet, de façon indépendante, de faire passer rapidement le réacteur nucléaire dans un état sous-critique en mode de fonctionnement normal, d'IFP et d'AD avec une marge appropriée, en supposant une défaillance unique. Pour ce moyen d'arrêt d'urgence, une recriticité transitoire peut être autorisée dans des circonstances exceptionnelles si les limites de combustible et de composants spécifiées ne sont pas dépassées.

Au moins un dispositif d'arrêt d'urgence du réacteur permet, de façon indépendante, de faire passer rapidement le réacteur nucléaire dans un état sous-critique en mode de fonctionnement normal, d'IFP et d'AD et de le maintenir dans cet état avec une marge appropriée et avec un degré de fiabilité élevé même en présence des conditions les plus réactives du cœur du réacteur.

Advenant que les dispositifs servant à contrôler la réactivité échouent durant un IFP ou un AD, il y a redondance des moyens rapides d'arrêt d'urgence du réacteur si les caractéristiques inhérentes du cœur sont incapables de maintenir le réacteur à l'intérieur de limites prescrites.

Lorsque que l'on réamorce les dispositifs d'arrêt d'urgence, le degré maximum de réactivité positive et son taux maximum d'augmentation doivent être à l'intérieur de la capacité du système de contrôle du réacteur.

Pour améliorer la fiabilité, l'énergie potentielle doit être utilisée dans le déclenchement du mécanisme d'arrêt d'urgence.

L'efficacité des dispositifs d'arrêt d'urgence (c.-à-d., vitesse d'intervention et marge d'arrêt) est telle que les limites prescrites ne sont pas dépassées, et que la possibilité d'un retour à l'état critique ou d'excursion de réactivité à la suite d'un EIH est réduite au minimum.

8.4.1 Paramètres de déclenchement des systèmes d'arrêt d'urgence

L'autorité responsable de la conception précise les critères d'acceptation dérivés relatifs à l'efficacité des paramètres de déclenchement des systèmes d'arrêt d'urgence pour tous les IFP et les AD, et effectue une analyse de sûreté pour démontrer l'efficacité des dispositifs d'arrêt d'urgence du réacteur.

Pour chaque dispositif d'arrêt d'urgence créditée, la conception prévoit un paramètre de déclenchement direct des systèmes d'arrêt d'urgence amorcé en temps opportun pour tous les IFP et les AD satisfaisant les critères d'acceptation dérivés. Lorsqu'un paramètre de déclenchement direct n'existe pas pour un dispositif crédité donné, il y a deux paramètres différents de déclenchement indiqués pour ce dispositif.

Pour tous les IFP et les AD, il y a au moins deux paramètres de déclenchement différents à moins que l'on puisse démontrer que l'incapacité de déclencher les systèmes d'arrêts d'urgence n'entraînera pas des conséquences inacceptables.

Il n'y a pas de lacune dans la couverture de déclenchement pour toutes les conditions d'exploitation (c.-à-d., puissance, température, etc.) à l'intérieur des LCO. On y parvient en fournissant des paramètres de déclenchement additionnels, le cas échéant. Un niveau d'efficacité différent peut être acceptable pour les paramètres de déclenchement additionnels.

La portée de la couverture de déclenchement que fournissent tous les paramètres disponibles est décrite pour toute la gamme des défaillances associées à chaque ensemble d'EIH.

Une évaluation de l'exactitude et des modes de défaillance potentiels des paramètres de déclenchement figure dans la documentation sur la conception.

8.4.2 Fiabilité

La conception doit démontrer que chaque dispositif d'arrêt d'urgence est utilisé et entretenu d'une façon qui assure le respect continu des exigences de fiabilité et d'efficacité.

Des essais périodiques des systèmes et de leurs composants sont prévus selon une fréquence correspondant aux exigences applicables.

8.4.3 Surveillance et interventions de l'opérateur

Il est impossible pour l'opérateur de prévenir le déclenchement automatique d'un système d'arrêt d'urgence.

La nécessité de déclencher manuellement le dispositif d'arrêt d'urgence est réduite au minimum.

Les dispositifs pour surveiller l'état de la centrale en arrêt d'urgence et les dispositifs de déclenchement manuel se trouvent dans la salle de commande principale.

8.5 Système de refroidissement d'urgence du cœur du réacteur

Tous les réacteurs nucléaires refroidis à l'eau doivent être dotés d'un système de refroidissement d'urgence du cœur du réacteur (RUC). Ce système de sûreté a pour but de transférer la chaleur du cœur du réacteur à la suite d'une perte de caloporteur excédant les capacités d'appoint. Tout l'équipement nécessaire pour assurer le bon fonctionnement du RUC est réputé appartenir au système du RUC ou à ses systèmes de support.

Les systèmes de support comprennent des systèmes qui alimentent en électricité ou en eau de refroidissement les équipements nécessaires au fonctionnement du RUC, et sont sujets à toutes les exigences et les attentes pertinentes.

La conception tient compte des effets sur la réactivité du cœur qu'exerce le mélange de l'eau du RUC avec l'eau de refroidissement du réacteur, y compris le mélange possible attribuable à une fuite interne.

Le RUC répond aux critères suivants de tous les AD impliquant une perte de caloporteur.

  1. Tout le combustible du réacteur et tous les assemblages de combustible sont maintenus dans une configuration permettant l'évacuation continue de la chaleur résiduelle produite par le combustible.
  2. Un débit de refroidissement continu (débit de recirculation) est fourni pour prévenir tout autre dommage au combustible une fois que le refroidissement adéquat du combustible est rétabli par le RUC.

Le circuit de recirculation du RUC est tel que tout obstacle au rétablissement du refroidissement à la suite d'une perte de caloporteur causée par des débris ou autres matériaux est évité.

L'entretien et les essais de fiabilité menés lorsque la disponibilité du RUC est requise peuvent être effectués sans que ne soit réduite l'efficacité du système en-deçà des LCO.

Advenant un accident nécessitant l'injection de liquide de refroidissement d'urgence, l'opérateur ne peut pas empêcher la procédure d'injection.

Tous les composants du RUC susceptibles de contenir des matières radioactives doivent être situés à l'intérieur de l'enceinte de confinement ou dans une extension de celle-ci.

Toutes les conduites du RUC situées dans une extension de l'enceinte de confinement pouvant contenir des matières radioactives provenant du cœur du réacteur doivent satisfaire les exigences suivantes.

  1. En tant qu'extension du confinement, elles doivent répondre aux exigences relatives aux pénétrations métalliques du confinement.
  2. Toutes les conduites et tous les composants du circuit de recirculation du RUC qui sont ouverts à l'atmosphère de l'enceinte du confinement sont conçus pour résister à une pression supérieure à la pression nominale de l'enceinte de confinement.
  3. Tous les circuits de recirculation du RUC sont logés dans une structure de confinement capable de prévenir les fuites radioactives dans l'environnement et dans les structures adjacentes.
  4. Cette structure de confinement est dotée d'un dispositif de détection des fuites radioactives et de moyens de renvoi des matières radioactives dans le circuit de recirculation ou de collecte des matières radioactives pour les entreposer ou les traiter dans un système conçu à cette fin.

Les boucles des conduites de refroidissement primaires et secondaires sont dotées de dispositifs de détection des fuites, que le système de recirculation du RUC soit à l'intérieur ou à l'extérieur du confinement. Ces dispositifs sont tels que, dès la détection de radioactivité dans le circuit de recirculation du RUC, les boucles puissent être isolées conformément aux exigences relatives à l'isolation de l'enceinte de confinement.

Le RUC est conçu pour éviter que toute manœuvre accidentelle mettant en cause une partie ou la totalité du système ne compromettre la sûreté de la centrale.

8.6 Confinement

8.6.1 Exigences générales

Tous les réacteurs nucléaires sont installés à l'intérieur d'une structure de confinement afin de minimiser le rejet de matières radioactives dans l'environnement en mode de fonctionnement normal, d'IFP et d'AD. L'enceinte de confinement doit aussi permettre d'atténuer les conséquences des AHD.

La conception du système de confinement tient compte de tous les IFP et AD, ainsi que des AHD, incluant les accidents graves.

Le confinement est un système de sûreté qui comprend des caractéristiques de conception complémentaires, lesquels sont assujettis aux exigences de conception respectives contenues dans ce document d'application de la réglementation.

La conception doit prévoir une enveloppe de confinement clairement définie, continue et étanche aux fuites dont les limites matérielles sont définies pour toutes les conditions possibles d'exploitation ou d'entretien du réacteur, ou à la suite d'un accident.

Toutes les conduites faisant partie intégrante du système principal ou de relève du caloporteur primaire doivent se trouver en totalité à l'intérieur de la structure de confinement principale ou dans une extension de celle-ci.

La conception de l'enceinte de confinement prévoit des systèmes pour contrôler la pression interne et le rejet de matières radioactives dans l'environnement à la suite d'un accident.

L'enceinte de confinement doit comprendre à tout le moins les sous-systèmes suivants.

  1. La structure de confinement et ses composants associés.
  2. L'équipement nécessaire pour isoler l'enceinte de confinement et assurer son intégrité et sa pérennité à la suite d'un accident.
  3. L'équipement nécessaire pour réduire la pression et la température de l'enceinte de confinement et la concentration de matières radioactives libres se trouvant dans l'enveloppe de confinement.
  4. L'équipement requis pour limiter le rejet de matières radioactives hors de l'enceinte de confinement à la suite d'un accident.

L'autonomie du système d'air comprimé est démontrée lorsque la conception du confinement inclut le recours à des systèmes d'air comprimé ou de gaz non condensables en réponse à des AD. Les vannes d'isolation du confinement doivent défaillir en position sécuritaire (sûreté intégrée) en cas de perte d'air comprimé.

L'autorité responsable de la conception détermine où et quand l'enveloppe de confinement doit être dotée d'un écran de blindage pour les personnes et l'équipement.

8.6.2 Résistance de la structure de confinement

La résistance de la structure de confinement prévoit des marges de sûreté suffisantes pour résister aux surpressions internes, sous-pressions et températures, ainsi qu'aux effets dynamiques comme l'impact de missiles et les forces de réaction prévues résultant d'un AD. Les marges reliées à la résistance s'appliquent aux ouvertures d'accès, aux pénétrations, aux vannes d'isolation ainsi qu'au système d'évacuation de la chaleur dans l'enceinte de confinement.

Les marges reflètent :

  1. les effets d'autres sources potentielles d'énergie telles les réactions chimiques et radiolytiques possibles;
  2. l'expérience limitée et les données expérimentales disponibles pour définir un phénomène accidentel et la réponse de l'enceinte de confinement; et
  3. le conservatisme des modèles de calcul et des paramètres d'entrée.

Les pressions nominales positives et négatives dans chaque partie de l'enceinte de confinement englobent les pressions maximales et minimales qui pourraient être créées dans les parties respectives à la suite d'un AD.

La structure de confinement protège les systèmes et l'équipement importants pour la sûreté afin de préserver les fonctions de sûreté de la centrale.

La conception assure le maintien de la fonctionnalité intégrale, par suite d'un SR, de toutes les parties du système de confinement créditées dans l'analyse de sûreté.

La conception sismique de la structure de béton de l'enceinte de confinement permet une réaction élastique lorsque soumise à des mouvements sismiques du sol. Un renforcement spécialement détaillé confère à la structure la ductilité et la capacité d'absorption d'énergie nécessaires pour résister à une déformation non élastique, sans causer de défaillance.

8.6.3 Capacité relative aux essais de pressurisation

La structure de confinement fait l'objet d'essais de pressurisation selon une pression spécifiée pour démontrer l'intégrité structurale. Les essais sont effectués avant la mise en service de la centrale et tout au long du cycle de vie de celle-ci.

8.6.4 Fuites

Limites de débit de fuite

Les limites nominales de débit de fuite font en sorte que :

  1. les limites de rejet en mode d'exploitation normal sont respectées;
  2. les IFP et les AD ne résulteront pas en des critères d'acceptation de doses excédentaires.

La limite nominale de débit de fuite de la conception est :

  1. en deçà de la limite nominale de débit de fuite;
  2. aussi basse que cela est possible;
  3. en harmonie avec les pratiques de conception d'avant-garde.

Limites de débit de fuite acceptable en cours d'essai

Un débit de fuite acceptable en cours d'essai indique le débit de fuite maximal admissible dans le cadre de collectes de mesures réelles. Des limites de débit de fuite acceptable lors d'essai sont établies pour l'ensemble du système de confinement et pour chaque composant susceptible de contribuer aux fuites de manière significative.

Essai de débit de fuite

La structure de confinement, l'équipement et les composants qui influent sur l'étanchéité de l'enceinte de confinement sont conçus pour permettre la réalisation d'un essai de débit de fuite :

  1. à la pression de conception l'enceinte de confinement au cours de la mise en service; et
  2. pendant la durée de vie utile du réacteur, soit à la pression de conception du confinement, soit à des pressions réduites qui permettent l'estimation du débit de fuite à la pression de l'enceinte de confinement.

Dans la mesure du possible, les pénétrations doivent être conçues de manière à pouvoir les tester individuellement.

La conception doit être telle que toute brèche importante de l'enveloppe du confinement puisse être détectée de façon immédiate et fiable.

8.6.5 Pénétrations de l'enceinte de confinement

Le nombre de pénétrations dans l'enceinte de confinement sera maintenu à un niveau minimal.

Toutes les pénétrations du confinement sont assujetties aux mêmes exigences de conception que celles de la structure du confinement proprement dite, et elles doivent être protégées contre les forces de réaction produites par le mouvement des conduites ou contre les charges accidentelles, comme celles attribuables à des missiles, aux forces de jet et à l'effet de fouet des tuyaux.

Toutes les pénétrations sont conçues de façon à permettre des inspections périodiques.

Si des joints d'étanchéité résilients, tels que des joints élastomériques, des pénétrations de câbles électriques ou des joints de dilatation, sont utilisés avec les pénétrations, ils ont la capacité d'effectuer des essais de fuite à la pression de conception du confinement. Pour démontrer l'intégrité continue de ces joints pendant toute la durée de vie utile de la centrale, ces essais sont effectués indépendamment des essais de débit de fuite de l'enceinte de confinement dans son ensemble.

8.6.6 Isolation du confinement

Chaque conduite de l'enveloppe sous pression du système caloporteur primaire qui pénètre l'enceinte de confinement ou qui est directement reliée à l'atmosphère du confinement doit pouvoir être scellée de façon automatique et fiable. Cette mesure est essentielle au maintien de l'étanchéité du confinement en cas d'accident et à la prévention des rejets radioactifs dans l'environnement qui dépassent les limites prescrites.

Les vannes d'isolation automatiques sont positionnées de façon à offrir le niveau de sécurité le plus élevé possible en cas d'une perte de puissance d'activation.

Les conduites qui pénètrent l'enceinte de confinement sont pourvues de dispositifs d'isolation présentant des capacités de redondance, de fiabilité et de d'efficacité qui reflètent l'importance de l'isolation des divers types de conduites. D'autres types d'isolation peuvent être utilisés moyennant leur justification.

Lorsque des vannes d'isolations manuelles sont utilisées, on devra pouvoir les verrouiller ou les surveiller de façon continue.

Systèmes auxiliaires du caloporteur primaire qui pénètrent le confinement

Chaque conduite auxiliaire raccordée à l'enveloppe sous pression du système caloporteur primaire et qui pénètre la structure de confinement est dotée de deux vannes d'isolation en série. Normalement, une vanne est installée à l'intérieur et l'autre à l'extérieur de la structure de confinement.

Lorsque les vannes permettent d'isoler le système du caloporteur en mode d'exploitation normal, les deux vannes sont normalement fermées.

Les systèmes directement raccordés au caloporteur primaire qui peuvent être ouverts en mode d'exploitation normal sont visés par les mêmes exigences d'isolation que le système normalement fermé, sauf que les vannes d'isolation manuelles à l'intérieur de la structure de confinement ne seront pas utilisées. Au moins l'une des deux vannes d'isolation est automatique ou motorisée et peut être activée depuis les salles de commande principale et auxiliaire.

Les conduites à l'extérieur de l'enceinte de confinement susceptibles de contenir des matières radioactives provenant du cœur du réacteur doivent satisfaire aux exigences suivantes.

  1. Les paramètres de conception sont les mêmes que ceux liés à une extension du confinement et sont visés par les exigences relatives aux pénétrations métalliques du confinement.
  2. Toutes les conduites et tous les composants ouverts à l'atmosphère de l'enceinte de confinement sont conçus pour supporter une pression supérieure à la pression nominale de conception du confinement.
  3. Les conduites et les composants sont situés dans une structure de confinement qui prévient les fuites radioactives dans l'environnement et dans les structures adjacentes.
  4. Cette structure de confinement est dotée d'un dispositif de détection des fuites radioactives et de renvoi des matières radioactives dans le circuit de recirculation.

Systèmes raccordés à l'atmosphère du confinement

Chaque conduite directement reliée à l'atmosphère du confinement qui pénètre la structure de confinement et qui ne fait pas partie d'un système fermé doit être protégée par deux barrières d'isolation qui respectent les exigences suivantes :

  1. deux vannes d'isolation automatiques en série pour les conduites qui peuvent être ouvertes à l'atmosphère du confinement;
  2. deux vannes d'isolation fermées en série pour les conduites qui sont normalement fermées à l'atmosphère du confinement;
  3. la conduite menant à la deuxième vanne d'isolation fait partie de l'enceinte de confinement.

Systèmes fermés

Tous les systèmes de service dont la conduite est fermée sont dotés d'au moins une vanne d'isolation pour chaque conduite pénétrant l'enceinte de confinement, la vanne étant située à l'extérieur, mais aussi près que possible de la structure de confinement.

Lorsque la défaillance d'une boucle fermée est réputée être associée à un EIH ou le résultat d'un EIH, les dispositifs d'isolation des auxiliaires du caloporteur du réacteur s'appliquent.

Il n'est pas nécessaire de prévoir de mesures d'isolation supplémentaires pour les systèmes de service dont les conduites sont fermées et se trouvent à l'intérieur ou à l'extérieur de la structure de confinement faisant partie de l'enveloppe du confinement :

  1. s'ils répondent aux normes et aux codes qui s'appliquent aux conduites de service; et
  2. s'il est possible d'en surveiller les fuites de façon continue.
8.6.7 Sas du confinement

L'accès du personnel à l'intérieur de l'enceinte de confinement s'effectue par des sas munis de portes à interverrouillage de sorte qu'au moins une porte soit toujours fermée, en mode de fonctionnement normal, d'IFP et d'AD.

Lorsque l'accès du personnel est prévu à des fins de surveillance ou d'entretien durant l'exploitation normal, la conception spécifie des dispositions pour la sécurité du personnel, y compris des sorties de secours. Ces dispositions s'appliquent aussi aux sas d'équipement.

8.6.8 Structures internes du confinement

La conception prévoit un nombre suffisamment grand de chemin d'écoulement entre les différents compartiments de l'enceinte de confinement. Les ouvertures entre les compartiments doivent être assez grandes pour éviter d'importantes différences de pression qui pourraient endommager les porteurs et les systèmes de sûreté au cours d'IFP et d'AD.

La conception des structures internes du confinement tient compte de la stratégie de contrôle de l'hydrogène et contribue à l'efficacité de cette stratégie.

8.6.9 Pression de l'enceinte de confinement et gestion de l'énergie

La conception permet d'évacuer la chaleur et de réduire la pression dans l'enceinte de confinement du réacteur et ce, pour tous les états de la centrale. Les systèmes conçus à cette fin doivent être considérés comme faisant partie du système de confinement et servent à :

  1. minimiser les rejets de produits de fission dans l'environnement attribuables à la pressurisation;
  2. préserver l'intégrité de l'enceinte de confinement; et
  3. maintenir l'étanchéité nécessaire.
8.6.10 Contrôle et nettoyage de l'atmosphère de l'enceinte de confinement

La conception prévoit des systèmes pour contrôler les rejets de produits de fission, d'hydrogène, d'oxygène et d'autres substances dans l'enceinte de confinement du réacteur afin de :

  1. réduire la quantité de produits de fission qui pourraient être rejetés dans l'environnement lors d'un accident;
  2. prévenir toute déflagration et toute détonation qui risqueraient de compromettre l'intégrité ou l'étanchéité de l'enceinte de confinement.

La conception permet aussi :

  1. de procéder à l'isolation de toutes les sources d'air comprimé et d'autres gaz non condensables dans l'atmosphère de l'enceinte de confinement à la suite d'un accident;
  2. de s'assurer que la pression du confinement ne dépasse pas la pression de conception lorsqu'un événement initiateur entraîne la libération de gaz non condensables; et
  3. d'offrir l'isolation des sources d'air comprimé pour prévenir tout contournement de l'enceinte de confinement.
8.6.11 Revêtements et matériaux

Les revêtements des composants et des structures internes du confinement sont minutieusement sélectionnés et leurs méthodes d'application clairement spécifiées pour assurer la concrétisation de leurs fonctions de sûreté. L'objectif premier de cette exigence est de minimiser les interférences avec d'autres fonctions de sûreté ou systèmes d'atténuation des conséquences des accidents, en cas de détérioration des revêtements. Le choix des matériaux utilisés à l'intérieur de l'enceinte de confinement doit tenir compte de l'impact des conditions post-accidentelles du confinement, y compris le comportement des produits de fission, l'acidité, l'encrassement des équipements, la radiolyse, les incendies et autres facteurs susceptibles de compromettre l'efficacité et l'intégrité de l'enceinte de confinement et entraîner des rejets de produits de fission.

8.6.12 Accidents graves

Suivant le début d'un accident grave avec dommage au cœur du réacteur, l'enceinte du confinement doit permettre de réduire les rejets de matières radioactives afin d'accorder suffisamment de temps pour la mise en place de procédures d'urgence hors site. Cette exigence s'applique à un ensemble typique d'accidents graves.

Les dommages à la structure de confinement sont limités pour empêcher des rejets non contrôlés de radioactivité et maintenir l'intégrité des structures qui soutiennent les composants internes.

La capacité du système de confinement à résister aux charges associées à des accidents graves est démontrée dans la documentation sur la conception, et inclus les éléments suivants :

  1. les diverses sources de chaleur, incluant la chaleur résiduelle, les réactions métal-eau, la combustion des gaz et les flammes fixes;
  2. le contrôle de la pression;
  3. le contrôle des gaz combustibles;
  4. les sources de gaz non condensables;
  5. le contrôle des fuites de matières radioactives;
  6. l'efficacité des dispositifs d'isolation;
  7. la fonctionnalité et l'étanchéité des sas et des pénétrations du confinement; et
  8. les effets de l'accident sur l'intégrité et la fonctionnalité des structures internes.

L'autorité responsable de la conception doit tenir compte de l'incorporation de caractéristiques de conception complémentaires qui permettront de :

  1. prévenir une fusion ou une défaillance du confinement due à l'impact thermique des débris présents dans le cœur du réacteur;
  2. faciliter le refroidissement des débris présents dans le cœur du réacteur; et
  3. minimiser la production de gaz non condensables et de produits radioactifs.

8.7 Transfert de chaleur vers une source froide ultime

La conception prévoit des systèmes pour transférer la chaleur résiduelle des SSC importants pour la sûreté vers une source froide ultime. Cette fonction est assujettie à des niveaux très élevés de fiabilité en mode de fonctionnement normal, d'IFP et d'AD. Tous les systèmes qui contribuent au transport de la chaleur en l'évacuant, en fournissant de l'énergie ou en alimentant les systèmes caloporteurs en fluides, sont donc conçus selon l'importance de leur contribution à la fonction de transfert de chaleur dans son ensemble.

Les phénomènes naturels et les événements d'origine humaine sont pris en compte dans la conception des systèmes de transfert de chaleur et dans le choix du type de diversité et de redondance des sources froides ultimes et des systèmes de stockage qui fournissent les fluides caloporteurs.

La conception prévoit une capacité accrue pour le transfert de la chaleur résiduelle du cœur du réacteur vers une source froide ultime en cas d'accident grave de sorte que :

  1. des conditions acceptables soient maintenues dans les SSC;
  2. les matières radioactives soient confinées;
  3. les rejets de matières radioactives dans l'environnement soient limités.

8.8 Systèmes d'évacuation d'urgence de la chaleur

La conception prévoit un système d'évacuation d'urgence de la chaleur (SEUC) qui évacue la chaleur résiduelle afin de respecter les limites de conception de combustible et les limites des conditions de l'enveloppe du caloporteur.

Si la conception de la centrale est telle que le SEUC doit être mise à profit pour atténuer les conséquences d'un AD, le SEUC est alors conçu à titre de système de sûreté.

En cas d'accident, le fonctionnement normal du SEUC ne doit pas dépendre du réseau électrique ou des turbo-alternateurs associés à tout autre réacteur situé sur le même site que le réacteur touché par l'accident.

Lorsqu'une alimentation en eau pour le SEUC est nécessaire, cette alimentation doit provenir d'une source indépendante du système normal d'eau d'alimentation.

La conception doit être telle que les essais de fiabilité et l'entretien puissent être effectués sans réduire l'efficacité du système en deçà de celle requise par les LCO.

Dans la mesure du possible, une manœuvre accidentelle d'une partie ou de la totalité du SEUC ne doit pas compromettre la sûreté de la centrale.

Si l'alimentation en eau en cas d'incendie ou les composants du système sont interconnectés au SEUC, le fonctionnement de l'un ne doit pas entraver le fonctionnement de l'autre.

8.9 Alimentation électrique d'urgence

La capacité et la fiabilité du système d'alimentation électrique d'urgence (AÉU) suffisent, à l'intérieur d'un temps de mission spécifié, à fournir toute la puissance nécessaire pour maintenir la centrale dans un état sécuritaire en présence de tous les AD. Ces exigences sont respectées à la suite d'une perte d'origine commune de l'alimentation électrique externe susceptible d'être attribuable à un IFP et en présence d'une défaillance unique de l'AÉU.

Le système d'alimentation électrique d'urgence possède une capacité suffisante, à l'intérieur d'un temps de mission spécifié, pour soutenir les interventions liées à la gestion d'accidents graves.

Le système d'AÉU est doté d'équipement de commande, de surveillance et d'essai approprié.

L'alimentation électrique d'urgence :

  1. est enclenchée automatiquement ou manuellement à la suite d'AD tel que déterminé dans les exigences de sûreté nucléaire de la centrale; et
  2. peut faire l'objet d'essais dans des conditions de charges nominales.

8.10 Salles de commande

8.10.1 Salle de commande principale

La conception prévoit une salle de commande principale (SCP) à partir de laquelle la centrale peut être exploitée en toute sécurité, et d'où des mesures peuvent être prises pour maintenir ou remettre la centrale dans un état sécuritaire à la suite d'IFP, d'AD et, dans la mesure du possible, d'AHD.

La conception identifie les événements internes et externes à la SCP qui peuvent constituer une menace directe pour l'exploitation continue de la salle de commande, et prévoit des mesures pratiques pour minimiser les effets de ces événements.

Les fonctions de sûreté enclenchées par la logique de contrôle automatique à la suite d'un accident peuvent aussi être actionnées manuellement depuis les salles de commande principale et auxiliaire.

La disposition des commandes et des instruments, ainsi que le mode et le format utilisé pour transmettre l'information, fournissent au personnel d'exploitation une représentation globale adéquate de l'état et du rendement de la centrale ainsi que les renseignements nécessaires pour appuyer les interventions des opérateurs.

La conception de la SCP est telle qu'un éclairage et un environnement thermique appropriés sont assurés et que le bruit est réduit à des niveaux conformes aux normes et aux codes acceptables.

Les facteurs ergonomiques sont pris en compte dans la conception de la SCP pour assurer l'accessibilité physique et visuelle aux contrôles et affichages, sans effet indésirable sur la santé et le niveau de confort. Cela inclut les panneaux d'affichage câblés et l'affichage informatisé qui doivent être aussi conviviaux que possible.

Le câblage des instruments et de l'équipement de contrôle de la SCP est configuré de façon à ce qu'un incendie dans la salle de commande auxiliaire ne puisse désactiver l'équipement de la SCP.

La conception de la SCP prévoit des indications visuelles et, si nécessaire, sonores sur les états et les procédés opérationnels de la centrale qui ont dévié de l'état normal et qui pourraient affecter à la sûreté de celle-ci

La conception permet aussi l'affichage de l'information nécessaire pour surveiller les effets des commandes automatiques de tous les systèmes de commande, de sûreté et de support en matière de sûreté.

La SCP doit être pourvue de lignes de communication sécurisées avec le centre de soutien d'urgence et les organisations d'intervention d'urgence externes, et permettre des périodes de fonctionnement prolongées.

8.10.1.1 Système d'affichage des paramètres de sûreté

La SCP est dotée d'un système d'affichage des paramètres de sûreté qui présente suffisamment d'information sur les paramètres de sûreté essentiels pour le diagnostic et l'atténuation des conséquences d'AD ou d'AHD, incluant les accidents graves.

Le système d'affichage des paramètres de sûreté possède les capacités suivantes.

  1. Afficher les paramètres critiques de sûreté pour toute la gamme prévue en mode d'exploitation normale et au cours d'accidents.
  2. Suivre les tendances des paramètres mesurés.
  3. Indiquer quand l'état de la centrale approche des limites de procédé ou de sûreté ou quand elle les dépasse.
  4. Afficher l'état des systèmes de sûreté.

Le système d'affichage des paramètres de sûreté est conçu et installé de sorte que les mêmes données soient disponibles de façon sécuritaire au centre de soutien d'urgence.

Le système d'affichage des paramètres de sûreté est intégré à la conception globale de l'interface homme-machine de la salle de commande et s'y harmonise.

8.10.2 Salle de commande auxiliaire

La conception comprend une salle de commande auxiliaire (SCA), physiquement et électriquement séparée de la SCP, et à partir de laquelle la centrale peut être placée et maintenue dans un état d'arrêt sécuritaire lorsque l'on ne peut pas exécuter les fonctions de sûreté essentielles depuis la SCP.

La conception détermine tous les événements susceptibles de constituer une menace directe à l'exploitation continue de la SCP et de la SCA. La conception de la SCP et de la SCA est telle qu'aucun événement ne peut simultanément nuire aux deux salles de commande dans la mesure où les fonctions de sûreté essentielles ne peuvent être exécutées.

Pour tout EIH, au moins une salle de commande doit être habitable et accessible par une voie qualifiée.

L'instrumentation, l'équipement de commande et les systèmes d'affichage sont disponibles dans la SCA de sorte que les fonctions de sûreté essentielles puissent être exécutées, que les variables essentielles de la centrale puissent être surveillées et que les interventions de l'opérateur puissent être soutenues.

Les fonctions de sûreté actionnées par la logique de commande automatique en réponse à un accident peuvent aussi être enclenchées manuellement depuis la SCP et la SCA.

La conception de la SCA fait en sorte que des niveaux d'éclairage et un environnement thermique appropriés soient maintenus et que les niveaux sonores soient alignés sur les normes et les codes applicables.

Les facteurs ergonomiques s'appliquent à la conception de la SCA pour assurer l'accessibilité physique et visuelle aux contrôles et aux affichages, sans effet indésirable sur la santé et le confort. Cela inclut les panneaux d'affichage câblés et l'affichage informatisé qui doivent être aussi conviviaux que possible.

Le câblage des instruments et de l'équipement de contrôle de la SCA est configuré de façon à ce qu'un incendie dans la salle de commande principale ne puisse désactiver l'équipement de la SCA.

La SCA est dotée d'un système d'affichage des paramètres de sûreté similaire à celui de la SCP. Au minimum, le système fournit l'information nécessaire pour faciliter la gestion du réacteur lorsque la SCP est inhabitable.

La SCA doit être dotée de lignes de communications sécurisées avec le centre de soutien d'urgence et les organismes d'intervention d'urgence externes.

La SCA est conçue en prévision de périodes d'exploitation prolongées.

8.10.3 Centre de soutien d'urgence

La conception prévoit un centre de soutien d'urgence séparé des salles de commande de la centrale à l'intention du personnel d'intervention en cas d'urgence.

La conception du centre de soutien d'urgence veille à ce que des niveaux d'éclairage et un environnement thermique appropriés soient maintenus et à ce que les niveaux sonores soient minimisés conformément aux normes et aux codes applicables.

Le centre de soutien d'urgence est doté d'un système d'affichage des paramètres de sûreté similaire à celui de la SCP et de la SCA.

Des données sur les conditions radiologiques dans la centrale et son environnement avoisinant immédiat, ainsi que sur les conditions météorologiques dans l'environnement avoisinant doivent être accessibles depuis le centre de soutien d'urgence.

Le centre de soutien d'urgence est pourvu de moyens de communication sécurisés avec les SCP et SCA, avec d'autres points importants de la centrale ainsi qu'avec les organisations d'intervention d'urgence sur le site et hors du site.

La conception du centre de soutien d'urgence doit :

  1. comprendre des dispositions de protection des occupants pendant des périodes prolongées contre les dangers que posent des accidents graves; et
  2. prévoir des installations adéquates permettant des périodes d'intervention prolongées.
8.10.4 Exigences relatives à l'équipement en cas d'accidents

Si l'intervention de l'opérateur est requise pour actionner tout équipement d'un système de sûreté ou système de support de sûreté, toutes les exigences suivantes doivent être satisfaites.

  1. Des procédures opérationnelles claires, bien définies, validées et immédiatement accessibles décrivant les actions nécessaires doivent être établies.
  2. Une instrumentation se trouve dans les salles de commande pour fournir une indication claire et non-ambiguë de la nécessité de l'intervention de l'opérateur.
  3. à la suite d'une alerte indiquant la nécessité d'une intervention de l'opérateur dans la SCP, une période minimale de 15 minutes est accordée avant que l'intervention de l'opérateur soit requise.
  4. à la suite d'une alerte indiquant la nécessité d'une intervention de l'opérateur à l'extérieur de la SCP, une période minimale de 30 minutes est accordée avant que l'intervention de l'opérateur ne soit requise.

Des temps d'intervention différents peuvent être utilisés s'ils sont justifiés, en tenant dûment compte de la complexité de l'intervention à effectuer et du temps nécessaire à l'activité tel que le diagnostic de l'événement et l'accès à une station éloignée.

Pour les actions initiées automatiquement par les systèmes de sûreté et la logique de contrôle, la conception facilite l'activation manuelle du système de secours depuis l'intérieur de la salle de commande appropriée.

8.11 Traitement et contrôle des déchets

La conception prévoit des mesures de traitement des effluents liquides et gazeux afin de maintenir les quantités et les concentrations des contaminants rejetés à l'intérieur des limites prescrites et conformément au principe ALARA.

La conception comporte aussi des dispositions appropriées pour la manutention et l'entreposage sécuritaires des déchets radioactifs et non radioactifs sur l'emplacement pendant une période de temps conforme aux options offertes pour la gestion et l'élimination des déchets à l'extérieur de l'emplacement.

8.11.1 Contrôle des rejets liquides dans l'environnement

Pour s'assurer que les émissions et les concentrations demeurent dans les limites prescrites, la conception comprend des moyens appropriés de contrôle des rejets liquides dans l'environnement, conformément au principe ALARA.

Cela comprend un système de gestion des déchets liquides d'une capacité suffisante pour collecter, conserver, mélanger, pomper, tester, traiter et échantillonner les déchets liquides avant d'en disposer, en tenant compte des rejets prévus et des déversements ou des décharges accidentels.

8.11.2 Contrôle des matières présentes dans l'air à l'intérieur de la centrale

La conception comprend des systèmes de gestion des déchets gazeux capables de :

  1. contrôler tous les contaminants gazeux conformément au principe ALARA et de s'assurer que les concentrations demeurent dans les limites prescrites;
  2. collecter tous les gaz, vapeurs et particules volatiles potentiellement actifs présentes dans l'air; à des fins de surveillance;
  3. faire passer tous les gaz, vapeurs et particules volatiles potentiellement actifs dans des pré-filtres, des filtres absolus, des filtres au charbon ou des filtres à haute efficacité contre les particules, le cas échéant;
  4. retarder les rejets de sources potentielles de gaz nobles à l'aide d'un système de traitement des effluents gazeux de capacité suffisante.

La conception est dotée d'un système de ventilation muni d'un système de filtration approprié permettant de :

  1. prévenir la dispersion inacceptable des contaminants présents dans l'air de la centrale;
  2. réduire les concentrations de matières radioactives présentes dans l'air à des niveaux compatibles avec les besoins d'accès de chaque zone particulière;
  3. maintenir le niveau des matières radioactives présentes dans l'air de la centrale en deçà des limites prescrites, le principe ALARA s'appliquant en mode d'exploitation normal; et
  4. ventiler les salles contenant des gaz inertes ou nocifs, sans diminuer la capacité de contrôler les rejets radioactifs.
8.11.3 Contrôle des rejets gazeux dans l'environnement

Le système de ventilation comprend des dispositifs de filtration destinés à :

  1. contrôler les rejets de contaminants gazeux et de substances dangereuses dans l'environnement;
  2. assurer la conformité au principe ALARA; et
  3. maintenir les niveaux de contaminants présents dans l'air dans les limites prescrites.

Le système de filtration est suffisamment fiable pour que les limites des facteurs de rétention soient respectées dans les conditions prédominantes prévues. Le système est en outre conçu pour faciliter l'efficacité des essais appropriés.

8.12 Manutention et stockage du combustible

8.12.1 Manutention et stockage de combustible non irradié

La conception des systèmes de manutention et de stockage de combustible non irradié doit :

  1. garantir la sûreté nucléaire en matière de criticité en :
    1. maintenant une marge approuvée de sous-criticité à l'aide de moyens ou de procédés physiques, de préférence par une configuration géométrique sécuritaire, autant en conditions normales qu'en conditions anormales crédibles,
    2. réduisant au minimum les conséquences des accidents de criticité hypothétiques sur le personnel de la centrale, et
    3. atténuant les conséquences hors site des accidents de criticité hypothétiques;
  2. permettre l'entretien, l'inspection périodique et les essais appropriés des composants essentiels pour la sûreté;
  3. permettre l'inspection du combustible non irradié;
  4. prévenir la perte ou les dommages au combustible;
  5. satisfaire aux exigences de garanties du Canada concernant l'enregistrement et les comptes rendus des données de comptabilisation et la surveillance des flux et des inventaires liés au combustible non irradié contenant de la matière fissile.

8.12.2 Manutention et stockage de combustible irradié

La conception des systèmes de manutention et de stockage de combustible irradié doit :

  1. garantir la sûreté nucléaire en matière de criticité en :
    1. maintenant une marge approuvée de sous-criticité à l'aide de moyens ou de procédés physiques, de préférence par une configuration géométrique sécuritaire, autant en conditions normales qu'en conditions anormales crédibles,
    2. réduisant au minimum les conséquences des accidents de criticité hypothétiques sur le personnel de la centrale,
    3. atténuant les conséquences hors site des accidents de criticité hypothétiques;
  2. permettre l'évacuation appropriée de la chaleur en mode de fonctionnement normal, d'IFP et d'AD;
  3. permettre l'inspection du combustible irradié;
  4. permettre l'inspection périodiques et les essais des composants importants pour la sûreté;
  5. prévenir la chute de combustible usé en transit;
  6. prévenir les contraintes inacceptables sur les éléments ou les assemblages de combustible dues à leur manutention;
  7. prévenir la chute accidentelle d'objets et d'équipement lourds sur les assemblages de combustible;
  8. permettre l'inspection et le stockage sécuritaire des éléments ou des assemblages de combustible suspects ou endommagés;
  9. fournir des moyens de protection adéquats contre la radiation;
  10. identifier adéquatement les modules de combustibles;
  11. faciliter l'entretien et le déclassement des installations de stockage et de manutention du combustible;
  12. faciliter, au besoin, la décontamination des aires et de l'équipement de manutention et de stockage du combustible;
  13. veiller à ce que des procédures adéquates d'opérations et de comptabilisation soient mises en place pour prévenir les pertes de combustible;
  14. prévoir des mesures pour prévenir une menace ou le sabotage direct du combustible irradié;
  15. satisfaire aux exigences de garanties du Canada concernant l'enregistrement et les comptes rendus des données de comptabilisation ainsi que la surveillance des flux et des inventaires de combustible irradié contenant de la matière fissile.

La conception d'une piscine d'eau pour le stockage du combustible devrait prévoir des dispositifs visant à :

  1. contrôler la composition et l'activité chimique de l'eau dans laquelle le combustible irradié est manipulé ou stocké;
  2. surveiller et contrôler le niveau de l'eau dans la piscine de stockage de combustible;
  3. détecter les fuites; et
  4. empêcher que la piscine ne se vide en cas de rupture de conduite.
8.12.3 Détection de combustible défectueux

La conception prévoit un moyen pour détecter de façon fiable les défauts du combustible dans le réacteur et enlever subséquemment ledit combustible si les niveaux d'intervention possibles sont dépassés.

8.13 Radioprotection

La conception et l'aménagement de la centrale sont visés par des dispositions pertinentes visant à réduire au minimum l'exposition et la contamination émanant de toute source. Cela englobe la conception appropriée de SSC pour :

  1. contrôler l'accès à la centrale;
  2. minimiser l'exposition durant l'entretien et l'inspection;
  3. fournir un blindage contre le rayonnement direct et diffusé;
  4. fournir des dispositifs de ventilation et de filtration pour contrôler les matières radioactives en suspension dans l'air;
  5. limiter l'activation des produits de corrosion en définissant des spécifications appropriées pour les matériaux;
  6. minimiser la propagation des matières actives;
  7. surveiller les niveaux de radiation; et
  8. fournir des installations de décontamination appropriées.
8.13.1 Conception relative à la radioprotection

La conception du blindage empêche les niveaux de rayonnement dans les aires d'exploitation d'excéder les limites prescrites. Cela englobe des mesures visant à assurer une configuration et un blindage permanents et appropriés des SSC contenant des matières radioactives, ainsi que l'utilisation d'écrans temporaires pour les travaux d'entretien et d'inspection.

Pour minimiser l'exposition à la radiation, la configuration de la centrale permet une exploitation efficace, ainsi que l'inspection, l'entretien et le remplacement. De plus, la conception limite la quantité de matières activées et son accumulation.

La conception tient compte des endroits fréquemment occupés et de la nécessité pour le personnel d'accéder à des secteurs et à de l'équipement.

Les chemins d'accès sont protégés, le cas échéant.

La conception facilite l'accès de l'opérateur sur les lieux où son intervention est créditée en conditions post-accidentelles.

Une protection appropriée contre l'exposition à la radiation et la contamination radioactive en conditions d'accident est fournie dans les secteurs de l'installation où l'accès est requis.

8.13.2 Contrôle de l'accès et des déplacements

La configuration de la centrale et les procédures permettent de contrôler l'accès aux secteurs de radiation et de contamination potentielle.

La conception minimise les déplacements de matières radioactives et la propagation de la contamination et prévoit des installations de décontamination appropriées pour le personnel.

8.13.3 Surveillance

De l'équipement est fourni pour la surveillance adéquate de la radiation en mode de fonctionnement normal, d'IFP et d'AD.

Des dosimètres sonores fixes doivent être installés aux fins suivantes.

  1. Surveiller le débit de dose de rayonnement aux endroits normalement occupés par le personnel d'exploitation.
  2. Lorsque les changements aux niveaux du rayonnement sont tels que l'accès peut être limité pendant une certaine période.
  3. Indiquer le niveau de radiation général aux endroits appropriés en cas d'AD et, le cas échéant, dans la mesure du possible, en cas d'accidents graves.
  4. Donner suffisamment de données à la salle de commande ou au poste de contrôle approprié pour que le personnel de la centrale puisse entreprendre des actions correctives, au moment opportun.

Des détecteurs doivent être fournis pour mesurer l'activité des substances radioactives dans l'atmosphère :

  1. dans les secteurs habituellement occupés par le personnel;
  2. dans les secteurs où les niveaux d'activité des matières radioactives en suspension dans l'air peuvent, à l'occasion, nécessiter l'adoption de mesures de protection;
  3. dans la salle de commande ou dans d'autres endroits appropriés pour indiquer lorsqu'une concentration élevée de radionucléides est détectée.

Des installations sont prévues pour surveiller les doses individuelles absorbées et la contamination du personnel.

Un équipement fixe et des installations de laboratoire doivent être fournis pour déterminer la concentration de certains radionucléides sélectionnés dans les systèmes de traitement des fluides, le cas échéant, ainsi que dans les échantillons de gaz et de liquides prélevés dans les systèmes de la centrale ou dans l'environnement.

Un équipement fixe est fourni pour surveiller les effluents, avant ou durant un rejet dans l'environnement.

8.13.4 Sources

La conception prévoit :

  1. l'élimination appropriée des matières radioactives par stockage à l‘emplacement ou par transfert hors du site;
  2. la réduction de la quantité et de la concentration des matières radioactives produites;
  3. le contrôle de la dispersion dans la centrale;
  4. le contrôle des rejets dans l'environnement;
  5. des installations de décontamination pour l'équipement et pour la manutention de tout déchet radioactif résultant des activités de décontamination; et
  6. la réduction au minimum de la production de déchets radioactifs.
8.13.5 Surveillance de l'incidence environnementale

La conception prévoit des moyens pour surveiller les rejets radiologiques dans l'environnement et dans les environs immédiats de la centrale, en accordant une attention particulière aux aspects suivants.

  1. Voies de transfert à la population humaine, y compris la chaîne alimentaire;
  2. Impacts radiologiques, s'il y a lieu, sur les écosystèmes locaux;
  3. Accumulation possible de matières radioactives dans l'environnement; et
  4. Des voies possibles de rejets non autorisés.

9.0 Analyse de sûreté

9.1 Généralités

Une analyse de sûreté de la conception de la centrale repose sur une analyse des dangers, une analyse déterministe de la sûreté et des techniques d'évaluation probabiliste de la sûreté. L'analyse de sûreté démontre la réalisation de tous les niveaux de défense en profondeur et confirme que la conception répond aux exigences qui s'appliquent, aux critères d'acceptation des doses ainsi qu'aux objectifs de sûreté.

La première étape de chaque partie de l'analyse de sûreté consiste à déterminer les EIH à l'aide d'une méthode systématique telle que l'analyse des modes de défaillances et des effets. La détermination des EIH tient compte autant des événements directs qu'indirects.

9.2 Objectifs de l'analyse

L'analyse de sûreté est itérative par rapport au processus de conception et se traduit par deux rapports : un rapport préliminaire d'analyse de sûreté et un rapport final d'analyse de sûreté.

L'analyse de sûreté préliminaire contribue à établir les exigences de dimensionnement des éléments important pour la sûreté et à démontrer si la conception de la centrale répond aux exigences applicables.

L'analyse de sûreté finale doit :

  1. refléter la centrale telle que construite;
  2. démontrer que la conception permet de résister et de répondre efficacement aux EIH identifiés;
  3. démontrer l'efficacité des systèmes de sûreté et des systèmes de support en matière de sûreté;
  4. définir les LCO de la centrale, y compris:
    1. les limites opérationnelles et les points de consigne importants pour la sûreté,
    2. les configurations opérationnelles permises et les contraintes des procédures opérationnelles;
  5. établir des exigences en matière d'intervention d'urgence et de gestion des accidents;
  6. déterminer les conditions environnementales post-accidentelles, y compris les champs de rayonnement et les doses reçues par les travailleurs, afin de confirmer que les opérateurs sont en mesure d'effectuer les interventions créditées dans l'analyse;
  7. confirmer que les doses et les critères d'acceptation dérivés sont satisfaits pour tous les IFP et les AD;
  8. démontrer que tous les objectifs de sûreté ont été respectés.

9.3 Analyse des dangers

L'analyse des dangers consiste à recueillir et évaluer des données sur la centrale afin d'identifier les dangers connexes et de déterminer ceux qui sont importants et qu'il faut examiner. Cette analyse démontre la capacité de la centrale à répondre efficacement aux événements plausibles d'origine commune.

Comme il a été mentionné à la section 9.1, la première étape de l'analyse des dangers consiste à déterminer les EIH. Pour chaque événement d'origine commune, l'analyse des dangers identifie ensuite :

  1. les critères d'acceptation applicables (c.-à-d., les critères de réussite);
  2. les matières dangereuses dans la centrale et sur le site de la centrale;
  3. tous les SSC d'atténuation qualifiés et crédités durant et suivant l'événement-tous les systèmes de sûreté et de support en matière de sûreté non qualifiés sont réputés faire défaut, sauf dans les cas où leur fonctionnement continu résulterait en des conséquences encore plus graves;
  4. les interventions de l'opérateur et les procédures opérationnelles pour chaque événement; et
  5. les paramètres ou procédures opérationnels de la centrale pour lesquels l'événement est limitatif.

L'analyse des dangers confirme que :

  1. la conception de la centrale contient suffisamment les principes de diversité et de séparation pour résister aux événements plausibles d'origine commune;
  2. Les SSC crédités sont qualifiés pour résister et demeurer fonctionnels durant et après des événements plausibles d'origine commune, le cas échéant; et
  3. les critères suivants sont respectés :
    1. la centrale peut être mise en état d'arrêt sécuritaire,
    2. l'intégrité du combustible dans le cœur du réacteur peut être maintenue,
    3. l'intégrité de l'enveloppe sous pression du caloporteur et de l'enceinte de confinement du réacteur peut être maintenue,
    4. les paramètres critiques pour la sûreté peuvent être surveillés par l'opérateur.

Le rapport d'analyse des dangers inclue les conclusions de l'analyse et les fondements de ces conclusions. Il doit aussi :

  1. inclure une description générale des caractéristiques physiques de la centrale qui décrit brièvement les systèmes de prévention et de protection à installer;
  2. fournir la liste du matériel nécessaire à un arrêt sécuritaire du réacteur;
  3. définir et décrire les caractéristiques liées aux dangers pour toutes les zones contenant des matières dangereuses;
  4. décrire les critères de rendement des systèmes de détection, d'alarme et d'atténuation, y compris les exigences telles que la qualification sismique ou la qualification environnementale;
  5. décrire les zones des salles de commande et des opérations et les systèmes de protection de ces zones, incluant les installations supplémentaires occupées par le personnel d'entretien et d'exploitation;
  6. décrire les interventions de l'opérateur et les procédures opérationnelles d'importance pour l'analyse d'un danger donné;
  7. définir les paramètres de la centrale pour lesquels l'événement est contraignant;
  8. expliquer les paramètres d'inspection, d'essai et d'entretien nécessaires à la protection de l'intégrité des systèmes;
  9. définir les exigences relatives à la planification et à la coordination de situations d'urgence pour assurer l'efficacité des mesures d'atténuation, y compris les mesures nécessaires pour contrebalancer les défaillances ou l'indisponibilité de tout système ou dispositif de protection actif ou passif.

9.4 Analyse déterministe de sûreté

L'analyse déterministe de sûreté vise à :

  1. confirmer que les LCO respectent les hypothèses et l'intention de la conception en mode d'exploitation normal de la centrale;
  2. caractériser les événements qui sont appropriés pour la centrale et la conception;
  3. analyser et évaluer les séquences d'événements qui sont attribuables à la défaillance des SSC;
  4. comparer les résultats de l'analyse à ceux des critères d'acceptation des doses et des limites de conception;
  5. établir et confirmer le dimensionnement;
  6. démontrer que les IFP et les AD peuvent être gérés par l'activation automatique des systèmes de sûreté jumelée aux interventions prescrites de l'opérateur.

Les exigences de l'analyse déterministe de sûreté sont énoncées dans le document de réglementation de la CCSN RD-310, Analyses de sûreté pour les centrales nucléaire.

9.5 Étude probabiliste de sûreté

L'étude probabiliste de sûreté (EPS) vise à :

  1. identifier les scénarios d'accidents susceptibles de causer des dommages importants au cœur du réacteur;
  2. démontrer qu'une conception équilibrée a été réalisée de sorte qu'aucune caractéristique ou événement particulier n'exerce une contribution prépondérante sur la fréquence des accidents graves, en tenant compte des incertitudes;
  3. fournir des évaluations de la probabilité d'événements caractérisés par une détérioration du cœur du réacteur ou des rejets hors-site majeurs;
  4. identifier les systèmes pour lesquels des améliorations à la conception ou des modifications aux procédures opérationnelles permettraient de réduire la probabilité d'accidents graves ou d'en atténuer les conséquences; et
  5. évaluer la pertinence des procédures de gestion des accidents et des procédures d'urgence de la centrale.

Les EPS sont menées conformément aux exigences énoncées dans la norme d'application de la réglementation S-294 de la CCSN, Études probabilistes de sûreté (EPS) pour les centrales nucléaires.

10.0 Protection environnementale et atténuation

10.1 Conception relative à la protection de l'environnement

La conception prévoit des dispositions appropriées pour protéger l'environnement et atténuer l'impact de la centrale sur l'environnement. Une revue de la conception confirme que ces dispositions ont été respectées.

Une approche systématique est utilisée pour évaluer les effets biophysiques environnementaux potentiels que la centrale pourrait exercer sur l'environnement, ainsi que les effets de l'environnement sur la CN.

10.2 Rejet de substances nucléaires et dangereuses

La conception démontre, à l'aide de procédés, de surveillance, de contrôle ainsi que de mesures de prévention et d'atténuation, que les rejets de substances nucléaires et dangereuses seront maintenus au niveau le plus bas qu'il soit raisonnablement possible d'atteindre (principe ALARA).

L'évaluation du cycle de vie de la centrale identifie les diverses sources de substances nucléaires et dangereuses lors des étapes de conception, d'exploitation et de déclassement, ainsi que leurs effets environnementaux potentiels sur les biotes humains et non-humains.

Certains des facteurs examinés incluent :

  1. les exigences en matière de ressources pour la CN, telles que le combustible, l'énergie et l'eau;
  2. l'appauvrissement des ressources en eau souterraines et de surface;
  3. la contamination de l'air, du sol et des ressources en eau;
  4. les substances nucléaires et dangereuses utilisées;
  5. les types de déchets produits (gazeux, liquides et solides);
  6. les quantités de déchets produits;
  7. l'impact des ouvrages de prise d'eau de refroidissement sur l'entraînement et l'érosion; et
  8. l'impact du débit d'eau sur le régime thermique du milieu récepteur.

La conception doit tenir compte des options technologiques dans l'établissement des objectifs de conception pour le contrôle et la surveillance des rejets lors du démarrage, de l'exploitation normal, des arrêts et des situations anormales et d'urgence potentielles. Des limites appropriées sont prévues dans les LCO de la centrale.

Les options technologiques relatives à la conception des systèmes d'eau de refroidissement doivent examiner une technologie à cycle fermé afin de réduire au minimum l'impact environnementale nuisible sur le biote aquatique.

11.0 Autres méthodes

Les exigences que renferme le présent document d'application de la réglementation sont neutres sur le plan technologique pour ce qui est des réacteurs refroidis à l'eau. Il est reconnu que des technologies particulières peuvent reposer sur des approches différentes.

Le personnel de la CCSN examinera les autres méthodes en regard des exigences du présent document, notamment lorsque :

  1. l'autre approche assurerait un niveau de sûreté équivalent ou supérieur;
  2. l'application des exigences de ce document entre en conflit avec d'autres règles ou exigences;
  3. l'application des exigences ne respecte pas la finalité intrinsèque du document, ou n'est pas nécessaire pour respecter la finalité intrinsèque du document; ou
  4. l'application des exigences de ce document entraînerait un préjudice indu ou d'autres coûts qui dépasseraient largement ceux envisagés lorsque le document de réglementation a été adopté.

Toute autre approche doit démontrer son équivalence à l'égard des résultats associés à l'application des exigences énoncés dans le présent document d'application de la réglementation.

Glossaire

Abréviations

AD
accident de dimensionnement
AÉU
alimentation électrique d'urgence
AHD
accident hors-dimensionnement
AIEA
Agence internationale de l'énergie atomique
ALARA
Le principe ALARA (de l'anglais as low as reasonably achievable)
CCSN
Commission canadienne de sûreté nucléaire
CN
centrale nucléaire
EAG
état d'arrêt garanti
EIH
événement initiateur hypothétique
EPS
évaluation probabiliste de sûreté
IFP
incident de fonctionnement prévu
LCO
limites et conditions opérationnelles
LSRN
Loi sur la sûreté et la réglementation nucléaires
MHD
menace hors-dimensionnement
MR
menace de référence
RUC
refroidissement d'urgence du cœur du réacteur
SCA
salle de commande auxiliaire
SCP
salle de commande principale
SEUC
système d'évacuation d'urgence de la chaleur
SR
séisme de référence
SRR
système de refroidissement du réacteur
SSC
systèmes, structures et composants
VIPV
vanne d'isolation de la vapeur principale

Terminologie

Accident
Événement inattendu, y compris les erreurs opérationnelles, les défaillances de l'équipement ou autres contretemps dont les conséquences ou les conséquences potentielles ne sont pas négligeables de point de vue de la protection ou de la sûreté.
Nota Bene: Dans le cadre de ce document, les accidents incluent les accidents de dimensionnement et les accidents hors-dimensionnement. Les accidents excluent les incidents de fonctionnement prévus qui ont des conséquences négligeables en matière de protection ou de sûreté.

Accident grave
Accident hors-dimensionnement caractérisé par une détérioration du cœur du réacteur.

Acte malveillant
Acte illégal ou acte commis dans l'intention de causer des torts.

Analyse de sûreté
Analyse à l'aide d'outils analytiques appropriés qui établit et confirme le dimensionnement des composants importants pour la sûreté et permet de s'assurer que la conception globale de la centrale satisfait aux critères d'acceptation pour chaque état d'exploitation de la centrale.

Analyse déterministe de sûreté
Analyse des interventions de la centrale à la suite d'un événement effectuée à l'aide de règles et d'hypothèses prédéterminées (p. ex., celles concernant l'état initial de la centrale, la disponibilité et l'efficacité des systèmes de la centrale et les interventions de l'opérateur).Les analyses déterministes peuvent utiliser les méthodes conservatrices ou fondées sur la meilleure estimation.

Capacité d'utilisation
Mesure dans laquelle un produit peut être utilisé par des utilisateurs spécifiés dans le but d'atteindre des objectifs précis et ce, de façon efficace, efficiente et satisfaisante dans un contexte d'utilisation spécifié.

Caractéristique de conception complémentaire
Caractéristiques de conception ne faisant pas parti de l'enveloppe de dimensionnement qui furent introduites dans le but de prendre en considération les accidents hors-dimensionnement, incluant les accidents graves.

Centrale nucléaire
Toute installation d'un réacteur à fission nucléaire construite pour la production d'électricité à une échelle commerciale. Une centrale nucléaire est une installation nucléaire de catégorie IA telle que définie dans le Règlement sur les installations nucléaires de catégorie 1.

Chaleur résiduelle
Somme des chaleurs dégagées par la désintégration radioactive, la fission du combustible en mode d'arrêt du réacteur et la chaleur emmagasinée dans les structures, systèmes et composants du réacteur.

Combustion
Processus chimique comprenant une oxydation suffisante pour produite de la chaleur ou de la lumière.

Conception à sûreté intégrée (défaillance sécuritaire)
Conception dont les modes de défaillance les plus probables ne résultent pas en une réduction de la sûreté.

Conception éprouvée
La conception d'un composant peut être éprouvée en démontrant sa conformité à des normes techniques acceptées, par l'historique de l'expérience, par des tests ou par une combinaison de ces éléments. Les nouveaux composants sont « éprouvés » en les soumettant à un certain nombre de tests d'acceptation et de démonstration démontrant que le(s) composant(s) répond(ent) aux critères préétablis.

Confinement
Enveloppe continue sans ouverture ou pénétrations (telle qu'une fenêtre) qui empêche le rejet de gaz ou de particules à l'extérieur de l'espace clos.

Conservatisme
Utilisation d'hypothèses fondées sur l'expérience ou des données indirectes, sur un phénomène ou un comportement d'un système à la limite ou proche de la limite prévue, qui permettent d'augmenter les marges de sûreté ou de prédire des conséquences plus graves que si des hypothèses fondées sur la meilleure estimation avaient été utilisées.

Crédité
Présomption du fonctionnement correct d'un SSC ou d'une intervention appropriée de l'opérateur, dans le cadre d'une analyse.

Culture de sûreté
Les caractéristiques de l'environnement de travail, comme les valeurs, les règles et la compréhension commune, qui influent sur les perceptions et les attitudes des employés à l'égard de l'importance que l'organisation accorde à la sûreté.

Défaillance d'origine commune
Défaillance simultanée de deux ou plusieurs structures, systèmes ou composants attribuables à un événement ou une cause spécifique unique tel qu'un phénomène naturel (séismes, tornades, inondations, etc.), une défaillance de conception, des défauts de fabrication, des erreurs opérationnelles et d'entretien, des événements destructeurs d'origine humaine et autres.

Défaillance unique
Défaillance résultant de la perte de capacité d'un système ou d'un composant l'empêchant d'exécuter sa (ses) fonction(s) de sûreté prévue(s) et toute défaillance résultant de cette défaillance unique.

Diversité
Présence de deux ou plusieurs systèmes ou composants redondants servant à exécuter une fonction définie, où les différents systèmes ou composants présentent des attributs distincts afin de diminuer la possibilité de défaillance d'origine commune.

Dommage au cœur du réacteur
Séquence d'accidents plus grave qu'un AD comportant une détérioration du cœur du réacteur.

Enceinte de confinement
Structure de confinement conçue pour maintenir le confinement à des températures et à des pressions élevées et qu'il est permis de pénétrer par des vannes d'isolation

Enveloppe sous pression
Enveloppe sous pression de toute cuve, système ou composant d'un système nucléaire ou non nucléaire

Environnement
Composants terrestres comprenant :

  1. les terres, les eaux et l'air, incluant toutes les couches de l'atmosphère;
  2. toutes les matières organiques et inorganiques et les organismes vivants; et
  3. les systèmes naturels en interaction comprenant les composants susmentionnés (1 et 2).

État d'arrêt
Caractérisé par la sous-criticité du réacteur. Dans cet état d'arrêt, l'activation automatique des systèmes de sûreté pourrait être bloquée et les systèmes de support peuvent demeurer dans des configurations anormales.

État de la centrale
Configuration de composants de la centrale, y compris les états physiques et thermodynamiques des matériaux et leur contenu en fluides de procédé.
Nota Bene: Aux fins du présent document, une centrale se trouve dans l'un des états suivants : exploitation normale, incident de fonctionnement prévu, accident de dimensionnement ou accident hors-dimensionnement (les accidents graves sont des sous-états des états d'accident hors-dimensionnement).

Évaluation probabiliste de sûreté (EPS)
Évaluation exhaustive et intégrée de la sûreté de la centrale nucléaire qui, en tenant compte de l'état initial de la centrale et de la probabilité, de la progression et des conséquences des défaillances de l'équipement et des interventions de l'opérateur, fournit des estimations numériques d'une mesure cohérente de la sûreté de la centrale. De telles évaluations sont les plus utiles dans l'évaluation du niveau relatif de sûreté.

Événement externe
Tout événement se produisant dans l'environnement externe d'une centrale nucléaire et pouvant provoquer une défaillance des SSC de la centrale.
Nota Bene: les événements externes englobent, sans toutefois s'y limiter, les tremblements de terre, les inondations et les ouragans.

Événement initiateur hypothétique (EIH)
Événement identifié dans la conception et entraînant soit un IFP, soit d'autres conditions d'accident. Il en découle que l'EIH n'est pas nécessairement un accident en soi; il est plutôt l'initiateur d'une séquence susceptible de dégénérer en incident de fonctionnement, en accident de dimensionnement ou en accident hors-dimensionnement, selon les défaillances supplémentaires qui surviennent.

Événement interne
Événement se produisant dans la centrale attribuable à une erreur humaine ou à une défaillance d'un système, d'une structure ou d'un composant.

Exploitation normale
Fonctionnement d'une centrale nucléaire à l'intérieur de limites et de conditions opérationnelles prescrites, y compris le démarrage, l'exploitation des réacteurs, l'arrêt, l'état d'arrêt, l'entretien, les essais et le rechargement du combustible.

Facteurs humains
Facteurs qui influent sur le rendement du personnel au plan de la sûreté de la centrale, y compris les activités durant les phases de conception, de construction, de mise en service, d'exploitation, d'entretien et de déclassement.

Formation de missiles
Dangers internes associé à la projection soudaine de débris à grande vitesse.

Fuite avant rupture
Situation où la fuite due à un défaut est détectée en mode d'exploitation normal, permettant ainsi d'arrêter le réacteur et de le dépressuriser avant que l'anomalie ne se transforme en rupture.

Garanties
Système d'inspections internationales et autres activités de vérification entreprises par l'AIEA afin d'évaluer, sur une base annuelle, la conformité du Canada à ses obligations conformément aux accords de garanties conclus entre le Canada et l'AIEA.

Groupe de sûreté
Assemblage de structures, systèmes et composants conçu pour exécuter toutes les actions requises au cours d'un événement initiateur hypothétique particulier pour que les limites spécifiées des états d'IFP et d'AD ne soient pas dépassées. L'assemblage peut comprendre des systèmes de sûreté et des systèmes de support, ainsi que toute interaction entre les systèmes fonctionnels.

Groupes essentiels
Groupe de membres du public raisonnablement homogène quant à son exposition à une source de rayonnement donnée et qui est typique des personnes recevant la dose la plus élevée ou la dose équivalente (le cas échéant) d'une source donnée.

Impact d'un jet
Se réfère aux dangers internes potentiels associés à un fluide de haute pression libérée par un composant sous pression.

Incendie
Processus de combustion caractérisé par des émissions de chaleur accompagnées de fumée ou de flammes ou les deux.

Incident de fonctionnement prévu
Processus opérationnel qui s'écarte de l'exploitation normal et qui devrait survenir à tout le moins une fois au cours du cycle de vie utile de la centrale mais qui ne cause pas, selon les dispositions de conception appropriées, de dommage important aux composants importants pour la sûreté ou qui ne se transforme pas en accident.

Meilleure estimation
Estimation impartiale obtenue par l'utilisation d'un modèle mathématique ou d'une méthode de calcul pour prédire, de façon réaliste, le rendement de la centrale et les paramètres importants.

Menace de référence
Ensemble d'actes malveillants que la CCSN estime possibles.

Mise en service
Processus consistant en une série d'activités visant à démontrer que les systèmes, les structures, les composants et l'équipement installés fonctionnent conformément à leurs spécifications et aux attentes de conception, avant la mise en service de la centrale.

Modalités de gestion
Moyens par lesquels une organisation fonctionne pour atteindre ses objectifs, notamment :

  1. les éléments physiques, tels que les ressources humaines, les bâtiments, le aires de travail, l'équipement, les outils, etc.;
  2. les éléments intangibles, tels que les rôles et les responsabilités, le savoir, les aptitudes et le comportement des gens, les normes culturelles, les accords, les ententes, les processus décisionnels, etc.;
  3. la documentation essentielle à l'atteinte des objectifs de l'organisation.

Paramètre de déclenchement
Mesure d'une variable utilisée pour enclencher un système de sûreté lorsque le point de calibration du paramètre de déclenchement est atteint.

Paramètre de déclenchement direct
Valeur fondée sur la mesure directe d'un enjeu particulier à l'égard des critères d'acceptation dérivés et, le cas échéant, une mesure directe de l'événement.

Point de calibration du paramètre de déclenchement
Valeur du paramètre de déclenchement à laquelle l'activation d'un système de sûreté est effectuée.

Procédé
Ensemble d'activités inter-reliées qui transforment des intrants en extrants.

Réalisable
Réalisable et justifiable du point de vue technique en tenant compte des facteurs coûts-avantages.

Source froide
Système ou composant qui permet le transfert de chaleur depuis une source chaude telle que la chaleur produite par le combustible, jusqu'à un grand milieu qui absorbe la chaleur.

Source froide ultime
Milieu auquel la chaleur résiduelle peut toujours être transférée, même si tous les autres moyens d'évacuation de la chaleur ont été perdus ou sont insuffisants. Ce milieu est normalement un plan d'eau ou l'atmosphère.

Structures, systèmes et composants
Terme général englobant tous les éléments d'une installation ou d'une activité qui contribuent à la protection et à la sûreté, à l'exclusion des facteurs humains.

Les structures sont des éléments passifs : bâtiments, cuves, boucliers, etc. Un système comprend plusieurs composants assemblés de manière à exécuter une fonction (active) spécifique. Un composant est un élément discret d'un système, par exemple des câbles, des transistors, des circuits intégrés, des moteurs, des relais, des solénoïdes, des conduites, des raccords, des pompes, des réservoirs et des vannes.

Système à risque élevé
Tout système de la centrale susceptible de poser un risque déraisonnable pour la santé et la sécurité des personnes, la sécurité nationale ou l'environnement s'il ne satisfait pas aux spécifications de conception et de rendement.

Système de support
Système conçu pour assister le fonctionnement d'un système ou de plusieurs systèmes de sûreté.

Système de sûreté
Système qui assure l'arrêt sécuritaire du réacteur ou l'évacuation de la chaleur résiduelle du cœur du réacteur, ou qui atténue les conséquences des incidents de fonctionnement prévus et des accidents de dimensionnement.

Système fonctionnel
Systèmes dont la fonction principale est de soutenir la production de vapeur ou d'électricité ou d'y contribuer.

Systèmes indépendants
Systèmes qui ne partagent aucun composant.

Temps de mission
Période durant laquelle un système ou composant doit fonctionner ou être disponible et exécuter sa fonction, à la suite d'un événement.

Zone d'exclusion
Conformément à l'article 1 du Règlement sur les installations nucléaires de catégorie I, une parcelle de terre à l'intérieur ou à proximité d'une installation nucléaire sur laquelle il n'y a pas de résidence permanente et pour laquelle un détenteur de permis a le pouvoir légal d'en exercer le contrôle.

Zone vitale
Zone contenant de l'équipement, des systèmes ou des dispositifs dont le sabotage pourrait directement ou indirectement entraîner des conséquences radiologiques inacceptables.

Documents connexes

La législation et la réglementation suivantes s'appliquent au présent document.

  1. Règlement sur les installations nucléaires de catégorie I, DORS/2000-204
  2. Règlement général sur la sûreté et la réglementation nucléaires, DORS/2000-202
  3. Loi sur la sûreté et la réglementations nucléaires, S.C., 1997, c.9
  4. Règlement sur la sécurité nucléaire, DORS/2000-209
  5. Règlement sur la radioprotection, DORS/2000-203

Les documents suivants constituent une source d'information additionnelle s'appliquant à la conception de centrales nucléaires.

  1. Guide de conception pour laboratoires de radio-isotopes élémentaires et intermédiaires, R-52 rev-1, Commission de contrôle de l'énergie atomique, 1991
  2. Planification d'urgence dans les installations nucléaires de catégorie I, les mines d'uranium et les usines de concentration d'uranium, G-225, Commission canadienne de sûreté nucléaire, 2001
  3. Engineering Safety Aspects of the Protection of Nuclear Power Plant Against Sabotage, Agence internationale de l'énergie atomique, Collection Normes de sûreté no 4, 2007
  4. Entrée dans les zones protégées et les zones intérieure, G-205, Commission canadienne de sûreté nucléaire, 2003
  5. Plans de programme d'ingénierie des facteurs humains, G-276, Commission canadienne de sûreté nucléaire, 2003
  6. Plans de vérification et de validation des facteurs humains, G-278, Commission canadienne de sûreté nucléaire, 2003
  7. Maintenir les expositions et les doses au « niveau le plus bas qu'il soit raisonnablement possible d'atteindre (ALARA) » G-129 rev-1, Commission canadienne de sûreté nucléaire, 2004
  8. Gestion des urgences nucléaires, P-325, Commission canadienne de sûreté nucléaire, 2006
  9. Études probabilistes de sûreté (EPS) pour les centrales nucléaires, S-294, Commission canadienne de sûreté nucléaire, 2005
  10. Programmes de fiabilité pour les centrales nucléaires, S-98 rev-1, Commission canadienne de sûreté nucléaire, 2005
  11. Analyse de la sûreté pour les centrales nucléaires, RD-310, Commission canadienne de sûreté nucléaire, 2008
  12. Sûreté des centrales nucléaires : conception, Agence internationale de l'énergie atomique, Collection Normes de sûreté NS-R-1, 2005
  13. Les programmes de sécurité pour les matières nucléaires de catégorie I ou II, ou pour certaines installations nucléaires, G-274, Commission canadienne de sûreté nucléaire, 2003
  14. Programmes de gestion des accidents graves touchant les réacteurs nucléaires, G-306, Commission canadienne de sûreté nucléaire, 2006
  15. Les Plans de sécurité pour le transport des matières nucléaires de catégorie I, II ou III, G-208, Commission canadienne de sûreté nucléaire, 2003.