RD/GD-98 : Programmes de fiabilité pour les centrales nucléaires

Préface

Le document d'application de la réglementation RD/GD-98, Programmes de fiabilité pour les centrales nucléaires, établit les exigences et l'orientation de la Commission canadienne de sûreté nucléaire (CCSN) en vue du développement et de la mise en œuvre de programmes de fiabilité pour les centrales nucléaires du Canada.

Le document RD/GD-98 reprend les exigences précédemment établies dans le document S-98 (Révision 1), Programmes de fiabilité pour les centrales nucléaires, et il remplace ce dernier document.

Le présent document peut faire partie du fondement d'autorisation d'une centrale nucléaire par référence dans le permis. Le fondement d'autorisation pour une installation ou une activité réglementée est un ensemble d'exigences et de documents qui comprend :

  1. les exigences réglementaires stipulées dans les lois et règlements applicables;
  2. les conditions et les mesures de sûreté et contrôle décrites dans le permis pour l'installation ou l'activité et les documents cités en référence directement dans ce permis;
  3. les mesures de sûreté et de contrôle décrites dans la demande de permis et les documents soumis à l'appui de cette demande.

Cette définition établit les conditions limites du rendement acceptable pour une installation ou une activité réglementée et donc, jette les bases du programme de conformité de la CCSN à l’égard de cette installation ou activité réglementée.

Aux fins du présent document, le terme « doit » est employé pour exprimer une exigence, c’est-à-dire une prescription que le titulaire ou le demandeur de permis est tenu de respecter pour se conformer aux exigences du présent document d’application de la réglementation; « devrait » dénote une orientation, ou une mesure conseillée mais non obligatoire; et « pourrait » exprime une option ou un élément permissible dans les limites de ce document d’application de la réglementation; et « peut » exprime une possibilité ou une capacité.

1.0 Introduction

1.1 Objet

Le document RD/GD-98, Programmes de fiabilité pour les centrales nucléaires, énonce les exigences et les directives de la Commission canadienne de sûreté nucléaire (CCSN) relatives à l'élaboration et à la mise en œuvre d'un programme de fiabilité pour une centrale nucléaire au Canada. Le programme de fiabilité assure que les systèmes importants pour la sûreté (SIS) respectent les spécifications de conception et de performance à des niveaux acceptables de fiabilité pendant toute la durée de vie de l'installation.

1.2 Portée

Le présent document d'application de la réglementation décrit les éléments essentiels d'un programme de fiabilité, y compris l'évaluation, la modélisation et la surveillance de la fiabilité.

Le document met l'accent sur les programmes de fiabilité pendant la phase d'exploitation normale. Toutefois, l'approche générale s'applique à toutes les phases du cycle de vie d'une centrale (la conception, la construction, la mise en service, le démarrage, l'exploitation et le déclassement) lorsque les SIS doivent être disponibles.

Pour limiter à un niveau raisonnable les risques associés à une centrale, celle-ci doit fonctionner en deçà de certaines limites requises de sûreté globale. La démonstration de la capacité des SIS d'exécuter adéquatement, sur demande, leurs fonctions désignées constitue un élément de l'enveloppe d'exploitation sécuritaire. Ainsi, les SIS de la centrale doivent fonctionner à un certain niveau de fiabilité.

1.3 Législation pertinente

Les dispositions de la Loi sur la sûreté et la réglementation nucléaires (LSRN) et de ses règlements qui s'appliquent au présent document d'orientation englobent les éléments suivants :

  • Le paragraphe 24(4) de la LSRN stipule que « la Commission ne délivre, ne renouvelle, ne modifie ou ne remplace une licence ou un permis que si elle est d'avis que l'auteur de la demande, à la fois
  • a) est compétent pour exercer les activités visées par la licence ou le permis;
  • b) prendra, dans le cadre de ces activités, les mesures voulues pour préserver la santé et la sûreté des personnes, pour protéger l'environnement, pour maintenir la sûreté nationale et pour respecter les obligations internationales que le Canada a assumées ».
  • Le paragraphe 24(5) de la LSRN stipule que « les licences et les permis peuvent être assortis des conditions que la Commission estime nécessaires à l'application de la présente loi ».
  • Les alinéas 12(1) a) à e) du Règlement général sur la sûreté et la réglementation nucléaires stipulent que : «Le titulaire de permis 
  •  a) veille à ce qu'il y ait suffisamment de travailleurs qualifiés pour exercer l'activité autorisée en toute sûreté et conformément à la Loi, à ses règlements et au permis;
  • b) forme les travailleurs pour qu'ils exercent l'activité autorisée conformément à la Loi, à ses règlements et au permis;
  • c) prend toutes les précautions raisonnables pour protéger l'environnement, préserver la santé et la sûreté des personnes et maintenir la sûreté des installations nucléaires et des substances nucléaires;
  • d) fournit les appareils exigés par la Loi, ses règlements et le permis et les entretient conformément aux spécifications du fabricant;
  • e) exige de toute personne se trouvant sur les lieux de l'activité autorisée qu'elle utilise l'équipement, les appareils et les vêtements et qu'elle suive les procédures conformément à la Loi, à ses règlements et au permis; ».
  • L'article 5 du Règlement sur les installations nucléaires de catégorie I stipule que « la demande de permis pour construire une installation nucléaire de catégorie I comprend les renseignements suivants, outre ceux exigés à l'article 3 :
  • a) une description des ouvrages à construire pour l'installation nucléaire, y compris leur conception et leurs caractéristiques de conception;
  • b) une description des systèmes et de l'équipement qui seront aménagés à l'installation nucléaire, y compris leur conception et leurs conditions nominales de fonctionnement;
  • c) un rapport préliminaire d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate; ».
  • Le paragraphe 6d) du Règlement sur les installations nucléaires de catégorie I stipule que « la demande de permis pour exploiter une installation nucléaire de catégorie I comprend les renseignements suivants, outre ceux exigés à l'article 3 : les mesures, politiques, méthodes et procédures proposées pour l'exploitation et l'entretien de l'installation nucléaire ».
  • Le paragraphe 14(2) du Règlement sur les installations nucléaires de catégorie I stipule que le titulaire de permis qui exploite une installation nucléaire de catégorie I tient un document sur « a) les procédures d'exploitation et d'entretien » et « c) les résultats des programmes d'inspection et d'entretien prévus dans le permis ».
  • Le paragraphe 14(4) du Règlement sur les installations nucléaires de catégorie I exige que toute personne qui est tenue par le paragraphe 14(2) dudit règlement de tenir des registres des « procédures d'exploitation et d'entretien » et des « résultats des programmes d'inspection et d'entretien prévus dans le permis » doit les conserver « pendant les dix ans suivant l'expiration du permis d'abandon délivré pour l'installation nucléaire de catégorie I ».

1.4 Documents nationaux et internationaux

Les éléments et principes clés utilisés dans la préparation du présent document sont conformes à divers documents nationaux et internationaux, notamment :

  • Institute of Electrical and Electronics Engineers, IEEE 933-1999, Guide for the Definition of Reliability Program Plans for Nuclear Power Generating Stations, septembre 1999
  • Institute of Electrical and Electronics Engineers, IEEE Guide for General Principles of Reliability Analysis of Nuclear Power Generating Station Safety Systems, 1987
  • Agence internationale de l'énergie atomique, IAEA TECDOC-524, Status, Experience and Future Prospects for the Development of Probabilistic Safety Criteria, AIEA, Vienne, 1989

Une liste complète des documents de référence canadiens et internationaux est incluse en fin de document.

2.0 Objectif et exigences du programme de fiabilité

2.1 Objectif

Le programme de fiabilité doit assurer que tous les SIS d'une centrale fonctionnent de manière fiable, conformément aux critères pertinents de conception et de performance, y compris tous les objectifs de sûreté de la centrale et les exigences du permis délivré par la CCSN.

2.2 Exigences

Un programme de fiabilité pour une centrale doit :

  1. identifier, selon une méthode systématique, tous les SIS, notamment :
    1. déterminer les structures, systèmes et composants (SSC) de la centrale associés au déclenchement, à la prévention, à la détection ou à l'atténuation de toute séquence de défaillance pouvant mener à l'endommagement du combustible ou au rejet associé de radionucléides, ou les deux
    2. classer les SSC répertoriés sur la base de leur importance relative pour la sûreté
    3. exclure les SSC qui ne contribuent pas considérablement à la sûreté de la centrale. (Les SSC restants sont les « systèmes importants pour la sûreté » de la centrale.)
  2. préciser les objectifs de fiabilité pour les SIS de la centrale
  3. déterminer et décrire les modes de défaillance possibles des SIS de la centrale
  4. préciser les capacités minimales et les niveaux de performance minimaux que les SIS doivent atteindre afin que leur fiabilité soit conforme aux objectifs de sûreté de la centrale et aux exigences réglementaires
  5. inclure des renseignements sur le programme d'entretien pour maintenir l'efficacité des SIS de la centrale
  6. prévoir des dispositions visant les inspections, les essais, la modélisation, la surveillance et la mise en œuvre d'autres mesures pour évaluer efficacement la fiabilité des SIS de la centrale
  7. fournir des dispositions pour assurer, vérifier et démontrer que la mise en œuvre du programme est efficace
  8. inclure des dispositions pour consigner les données et établir des rapports sur les résultats des activités du programme, y compris les résultats des évaluations, des inspections, des essais, ou de la surveillance de la fiabilité des SIS de la centrale
  9. documenter, de façon claire et complète, les activités, les attributs, les éléments, les résultats et l'administration du programme de fiabilité, y compris :
    1. les activités du programme
    2. les procédures et les calendrier s'appliquant aux activités du programme
    3. la structure organisationnelle mise en place par le titulaire de permis pour la gestion et la réalisation du programme, y compris les fonctions, les rôles et responsabilités des participants
    4. la méthodologie utilisée afin de déterminer, de classer et d'attribuer des objectifs de fiabilité pour les SIS de la centrale
    5. la liste des SIS de la centrale
    6. les objectifs de fiabilité pour chacun des SIS de la centrale
    7. les modes de défaillance possibles des SIS de la centrale
    8. les méthodes utilisées pour déterminer les modes de défaillance possibles des SIS de la centrale
    9. les activités (évaluations de fiabilité, inspections, surveillance, essais, vérifications, consignation des données et établissement de rapports) qui seront réalisées par le titulaire de permis dans le but d'assurer, de vérifier, de démontrer ou de prouver à l'aide de documents que le programme de fiabilité est mis en œuvre de façon appropriée et efficace, conformément aux exigences réglementaires
    10. les résultats des activités (évaluations de fiabilité, inspections, surveillance, essais, vérifications et établissement de rapports) réalisées dans le cadre du programme de fiabilité

3.0 Orientation relative à l'établissement d'un programme de fiabilité

Le programme de fiabilité d'une centrale doit comporter les éléments suivants pour atteindre son objectif, à savoir améliorer la disponibilité et la sûreté de la centrale :

  • la surveillance de la performance
  • l'évaluation de la performance
  • la hiérarchisation des problèmes
  • l'analyse des problèmes et la recommandation des mesures correctives
  • la mise en œuvre des mesures correctives et la rétroaction

Ces éléments sont également présentés dans le diagramme de haut niveau illustrant le processus de fiabilité des équipements, dans le document de l'Institute of Nuclear Power Operations, INPO AP-913, Equipment Reliability Process Description (Revision 1). La fiabilité des SIS doit être considérée lorsque le réacteur est en état d'exploitation normale et en état d'arrêt. L'impact de la durée de la mission post-accident doit être pris en compte pour tous les aspects du programme de fiabilité.

3.1 Utilisation de méthodes d'identification et de classement systématiques des systèmes importants pour la sûreté

3.1.1 Identification des systèmes importants pour la sûreté

Les SIS doivent être identifiés en utilisant une approche systématique. La méthode la plus exhaustive et la plus systématique pour identifier les SIS est l'étude probabiliste de la sûreté (EPS), conformément au document d'application de la réglementation S-294 de la CCSN, Études probabilistes de sûreté (EPS) pour les centrales nucléaires,. Cela comprend les résultats de l'EPS de niveau 2, de l'EPS pour la phase d'arrêt ainsi que les résultats des évaluations des risques et des événements externes. Toutefois, d'autres principes et renseignements, comme la défense en profondeur, l'analyse déterministe de la sûreté, l'expérience opérationnelle et le jugement des experts, doivent également être pris en compte pour identifier les SIS.

Les critères pour déterminer les SIS sont basés sur les éléments suivants :

  • la ou les fonctions de sûreté à exécuter
  • les conséquences de la défaillance
  • la probabilité qu'il faudra recourir aux SSC pour mettre en œuvre la fonction de sûreté
  • le laps de temps écoulé entre un événement initiateur hypothétique (EIH) et le recours aux SSC, et la durée de fonctionnement de ces derniers

Les mesures d'importance suivantes servent de critères pour évaluer la contribution relative des systèmes au risque de la centrale :

  • rapport d'augmentation du risque (RAR) [Risk Increase Ratio (RIR) ou Risk Achievement Worth (RAW)]
  • mesure d'importance de Fussell-Vesely (FV)

La liste des SIS peut être révisée à la lumière des nouvelles données opérationnelles, des modifications du système, des nouvelles données sur les défaillances ou de toute autre nouvelle information disponible. Les motifs de révision doivent être entièrement documentés.

3.1.2 Classement des structures, systèmes et composants identifiés, selon leur importance relative pour la sûreté

Les systèmes jugés importants pour la sûreté doivent être classés selon leur importance relative pour la sûreté et leur contribution au risque global de la centrale (risque de dommages graves au cœur et risques de rejets radioactifs associés).

Ce classement doit être basé sur les résultats d'une EPS propre à la centrale, en s'appuyant sur les mesures d'importance (FV et RAR) [diagramme à quadrants].

Les systèmes sont classés comme suit :

  • 1re catégorie : systèmes pour lesquels les mesures d'importance FV et RAR sont supérieures à la valeur seuil
  • 2e catégorie : systèmes pour lesquels seule la mesure d'importance FV est supérieure à la valeur seuil
  • 3e catégorie : systèmes pour lesquels seule la mesure d'importance RAR est supérieure à la valeur seuil

3.1.3 Exclusion des structures, systèmes et composants

Les SSC qui ne contribuent pas à la sûreté de la centrale peuvent être exclus du programme de fiabilité. Un titulaire de permis qui déclare ces systèmes non importants pour la sûreté doit justifier entièrement sa décision.

3.1.4 Orientation générale pour l'obtention de la liste des systèmes importants pour la sûreté

Les critères d'identification des SIS sont les suivants :

  • Les systèmes de 1re catégorie qui présentant une valeur FV ≥ 0,05 (FV ≥ 0,005 pour un composant) et une valeur RAW ≥ 2 doivent être considéré comme un SIS.
  • Pour les systèmes de 2e catégorie avec une valeur FV ≥ 0,05 (FV ≥ 0,005 pour un composant) et les systèmes de 3e catégorie avec RAW ≥ 2, le titulaire de permis doit fournir une justification circonstanciée des motifs si un tel système devrait être exclu de la liste des SIS.
  • Le titulaire de permis doit considérer les composants qui se sont avérés importants pour la sûreté selon les critères de sélection des composants, mais pour lesquels le système associé est exclu selon les critères de sélection au niveau des systèmes.
  • Le titulaire de permis peut faire appel à des comités d'experts pour compléter le groupe d'examen de l'EPS, afin de tenir compte de l'analyse déterministe de la sûreté et des principes de défense en profondeur. La décision prise par le comité d'experts d'ajouter ou d'exclure tout système de la liste des SIS doit être dûment motivée et documentée.
  • Les résultats des EPS existantes doivent être utilisés pour déterminer les SIS, en tenant compte de la qualité, de la portée et des limites des EPS. L'écart entre la portée et la qualité des EPS existantes et les exigences réglementaires énoncées dans S-294 doit être atténué par d'autres mesures ou moyens qui seront pris en compte dans l'établissement de la liste des SIS.
  • La liste des SIS doit être mise à jour compte tenu des révisions, des mises à jour et des améliorations des EPS afin de respecter les exigences énoncées dans le document S-294;
  • Les résultats des EPS de niveau 2 (fréquence des petits rejets et grands rejets), de l'EPS pour la phase d'arrêt et de l'évaluation des risques et événements extérieurs doivent être pris en compte pour l'identification des SIS.

3.2 Établissement des objectifs de fiabilité

L'établissement d'objectifs de fiabilité pour les SIS vise à définir des critères de référence en fonction desquels la performance du système peut être jugée. Les objectifs de fiabilité assignés aux SIS par le titulaire de permis doivent être compatibles avec les objectifs de sûreté de la centrale et tenir compte de l'expérience opérationnelle de l'ensemble de l'industrie, dans la mesure du possible. Les objectifs de fiabilité doivent être fondés sur une bonne appréciation technique tenant compte de l'interdépendance des systèmes. Différents objectifs de fiabilité peuvent être assignés à un seul système dépendamment des critères de défaillance.

Le titulaire de permis doit surveiller la performance ou l'état des SIS à la lumière des objectifs de fiabilité établis afin de s'assurer de manière raisonnable que les SIS permettent d'exécuter les fonctions prévues. Lorsque la performance ou l'état de tout SSC ne satisfait pas aux objectifs fixés, des mesures correctives appropriées doivent être prises.

Les objectifs de fiabilité peuvent être élaborés durant la phase initiale des programmes de fiabilité. Ces objectifs sont destinés à être comparés à la performance réelle de la centrale afin de déterminer les écarts par rapport à la performance attendue.

Le document IEEE Guide for General Principles of Reliability Analysis of Nuclear Power Generating Station Safety Systems publié par l'Institute of Electrical and Electronics Engineers fournit les principes de base de l'établissement des valeurs numériques. Ces principes sont basés sur :

  • la fréquence des demandes
  • les conséquences de la défaillance
  • le risque

Le document de l'Agence internationale à l'énergie atomique (AIEA) IAEA TECDOC-524, Status, Experience and Future Prospects for the Development of Probabilistic Safety Criteria, fournit également les principes qui servent de fondement aux valeurs numériques.

Au moment de choisir les objectifs de fiabilité, le titulaire de permis doit maintenir un juste équilibre entre la prévention et l'atténuation des événements. Les principes ci-dessous s'appliquent :

  • Les objectifs de fiabilité pour les systèmes spéciaux de sûreté ne doivent pas être inférieurs à 0,999, ce qui est conforme à la limite établie par la CCSN.
  • Pour tout autre SIS, l'objectif de fiabilité devra être égal ou inférieur à 120 % de la fiabilité de base du système.

Les objectifs de fiabilité doivent être révisés à la suite des modifications apportées à la conception du système ou au modèle de fiabilité. Les motifs de révision doivent être bien documentés.

Les mesures correctives appropriées doivent être prises chaque fois qu'un SIS n'atteint pas les objectifs fixés. Une telle mesure peut également comporter une analyse technique détaillée de la situation. Si cette analyse démontre que les objectifs de sûreté et les principes de défense en profondeur sont respectés, il se peut qu'aucune mesure corrective immédiate ne soit nécessaire. Toutefois, le titulaire de permis doit continuer de surveiller étroitement le SIS.

3.3 Identification et description des modes de défaillance possible

Les modes de défaillance possible des SIS doivent être identifiés afin de déterminer les activités d'entretien nécessaires et d'assurer le fonctionnement fiable des SIS. Les modes de défaillance incluent l'échec du démarrage sur demande, l'échec du fonctionnement pendant une durée de mission donnée, et ainsi de suite.

Les modes de défaillance peuvent être identifiés à partir de l'historique des défaillances ou en faisant appel à des méthodes analytiques qualitatives si l'historique des défaillances n'est pas disponible.

Tout nouveau mode de défaillance identifié doit être inclus dans les modèles de fiabilité.

3.4 Précision des capacités minimales et des niveaux de performance minimaux

Les capacités minimales et les niveaux de performance minimaux doivent être énoncées pour chaque critère de réussite d'un SIS. Ces capacités et niveaux de performance doivent être exprimés en termes physiques (pression, débit, tension électrique, intensité et ainsi de suite).

Un SIS donné peut présenter différents modes de défaillance (ou critères de succès), selon la séquence d'événements dans laquelle il est requis. Pour chacune de ces séquences, les critères de succès du système doivent être définis.

Les critères de défaillance des SIS doivent être décrits de façon à montrer que le système ne permet pas d'exécuter les fonctions voulues en temps opportun. Les critères de défaillance doivent être conformes à la définition des critères de défaillance du système qui sont utilisés dans d'autres analyses et/ou d'autres documents qui accompagnent le permis d'exploitation. Les systèmes importants pour la sécurité peuvent compter différents critères de défaillance selon l'état de la centrale, la condition de l'accident ou les conséquences de la défaillance.

Il est acceptable d'utiliser les normes de performance minimales permises pour l'élaboration des modèles exigés dans le RD/GD-98, étant donné que les hypothèses déterministes conservatrices correspondent à la portée et à l'intention du présent document en ce qui concerne la défense en profondeur et la conception. L'utilisation des hypothèses réalistes liées aux modèles d'EPS est aussi acceptable.

3.5 Programme d'entretien

Le principal objectif du programme d'entretien est de maintenir les équipements et systèmes de la centrale dans un état conforme aux règlements, codes et normes pertinents (notamment le document d'application de la réglementation de la CCSN S-210, Programmes d'entretien des centrales nucléaires), aux recommandations des fournisseurs et à l'expérience préalable, afin que leur performance satisfasse aux objectifs de fiabilité. Les modèles de fiabilité des SIS renseignent sur l'impact du programme d'entretien sur la fiabilité de ces systèmes.

L'entretien préventif et des pratiques d'entretien correctif peuvent donner lieu à des améliorations des tendances relatives aux défaillances. L'entretien axé sur la fiabilité est une technique qui s'appuie sur les principes de fiabilité pour améliorer l'entretien.

La modélisation des probabilités de défaillance des SIS intègre les renseignements provenant du programme d'entretien. Ce dernier doit aussi comprendre toutes les activités (comme la surveillance) qui sont créditées dans les modèles de fiabilité. Comme il a été mentionné dans la section 3.3 ci-dessus, l'identification du mode de défaillance déterminera quelles sont les activités de maintenance appropriées.

La modification du programme d'entretien pourrait être recommandée si les résultats de l'évaluation de la fiabilité montrent que le système n'atteint pas ses objectifs.

Les modèles de fiabilité des SIS renseignent sur l'impact du programme d'entretien sur la fiabilité de ces systèmes. Les renseignements obtenus doivent être intégrés au programme d'entretien afin d'améliorer son efficacité.

3.6 Inspections, essais, modélisation et surveillance

3.6.1 Dispositions visant les inspections et les essais

Tel que le précise le document S-210, des programmes d'essai appropriés doivent être en place pour les SIS.

Lorsque c'est possible, on ne doit pas soumettre simultanément des équipements redondants à des activités de surveillance, ou faire appel au même personnel d'entretien, afin d'éviter les défaillances de cause commune.

La réalisation d'un nombre suffisant d'essais avant, pendant et après l'arrêt d'une centrale doit permettre de démontrer que les hypothèses relatives aux intervalles de temps de détection des défaillances utilisés dans les modèles de fiabilité demeurent valides en tout temps.

Les fréquences, la chronologie et la portée des activités de surveillance doivent être révisées à la lumière des nouvelles données sur le fonctionnement, des modifications apportées à la centrale, des données sur les défaillances ou de toute nouvelle information, à la condition que l'évaluation de la fiabilité soit révisée en conséquence et que le respect des objectifs de fiabilité soit maintenu.

Les dispositions suivantes s'appliquent :

  1. Une période de grâce est allouée. Elle est habituellement fixée à 25 % de l'intervalle de temps entre deux essais consécutifs. La période de grâce ne doit pas être fixée à plus de 50 % de l'intervalle d'essai pour les essais effectués à une fréquence mensuelle ou supérieure. Il faut documenter les motifs concernant la période de grâce et les limites visant les intervalles d'essais.
  2. La procédure utilisée par le titulaire de permis pour approuver le report d'essais doit être mise à la disposition du personnel de la CCSN, sur demande.
  3. Il faut déclarer les essais reportés conformément aux dispositions de la norme d'application de la réglementation de la CCSN S-99 Rapports à soumettre par les exploitants de centrales nucléaires.
  4. Tous les dossiers d'approbation de report d'essais doivent être disponibles pour inspection, sur demande.

3.6.2 Modélisation

Le modèle utilisé pour décrire le système doit correspondre fidèlement à la configuration actuelle de ce dernier. Le niveau de détail du modèle doit être suffisant pour que les dépendances soient clairement identifiées, mais il doit aussi être limité aux modes de défaillance de l'équipement. Le mécanisme de défaillance pourrait présenter de l'intérêt à des fins spécifiques, mais il ne doit pas être inclus dans les modèles exigés par le présent document.

Le modèle peut comprendre les mesures de rétablissement prises par les opérateurs, lorsque l'impact de la défaillance de l'équipement sur l'ensemble du système évolue lentement et qu'il est possible de corriger la défaillance entretemps.

Le modèle doit comprendre :

  • Tous les composants et structures ainsi que leurs modes de défaillances qui pourraient entraîner une dépendance entre les SIS. Tout nouveau mode de défaillance relevé doit être intégré aux modèles de fiabilité, à moins qu'il soit démontré qu'il s'agit d'une défaillance unique qui ne devrait pas se reproduire.
  • Les erreurs humaines précédant un événement initiateur (comme des erreurs se produisant pendant l'entretien et la non-détection de conditions qui doivent déclencher des alertes) qui pourraient contribuer à la défaillance d'une fonction du système.
  • Les activités d'entretien ou d'essai qui peuvent affecter le fonctionnement de circuits de composants ou de canaux pendant leur exécution.
  • Les données de défaillances qui représentent, aussi fidèlement que possible, la performance réelle des composants modélisés. Les données de défaillances propres à la centrale doivent être comparées aux données utilisées dans l'évaluation. Dans les cas où les renseignements seraient insuffisants, les données propres à la centrale sont obtenues en combinant les données de défaillances réelles avec celles recueillies (tirées des données génériques). De préférence, les données génériques de défaillances doivent être extraites de l'expérience d'exploitation et elles doivent correspondre étroitement au fonctionnement réel du composant.
  • L'évaluation de la fiabilité du rendement humain, qui tient compte de toutes les conditions, des facteurs de forme et d'autres considérations spécifiques à la centrale, conformément aux techniques d'analyse de fiabilité humaine reconnues internationalement.
  • La prise en compte de l'impact des incertitudes pendant son élaboration, et lorsque des modifications importantes y sont apportées.
  • L'évaluation de l'importance, de la contribution et de la sensibilité des défaillances critiques de composants par rapport à la fiabilité du système en entier.
  • Les défaillances suite à la demande sur le système ainsi que toute défaillance latente pouvant être détectée au moyen d'essais.
  • La comparaison avec les objectifs de fiabilité (uniquement pour les modèles comportant les « défaillances suite à la demande »). Le taux de défaillance durant la mission des composants pertinents doit faire l'objet d'une surveillance dans le cadre des programmes d'essai de mission.

3.6.3 Surveillance de la performance et de la fiabilité

La surveillance de la performance est basée sur la collecte d'information pertinente relative à la détection des défaillances et à la fiabilité dans la centrale. Cela inclut la surveillance de la fiabilité (p. ex., l'observation de la fréquence des défaillances, le taux de panne, la durée des activités d'entretien et la durée des pannes) ainsi que le contrôle de l'état (p. ex., l'observation des conditions liées à une panne, comme une dégradation du fonctionnement et/ou des changements touchant les paramètres des équipements mesurés au moyen d'essais non destructifs, telles les inspections par ultrasons, des vérifications de la continuité électrique et la surveillance des vibrations acoustiques).

La surveillance de la fiabilité des SIS fait appel à l'examen, à l'enregistrement et à l'établissement des tendances de la fiabilité de la performance ou de l'état de chacun des SIS. Il permet de s'assurer qu'ils demeurent conformes à leurs spécifications fonctionnelles et qu'ils fonctionneront conformément à leurs objectifs de fiabilité. Le titulaire de permis doit justifier l'exclusion de tout composant spécifique identifié dans les évaluations de la fiabilité découlant de la surveillance. Cette justification doit être basée sur la vraisemblance ainsi que sur l'impact limité des modes de défaillance du composant sur la sûreté.

Si un problème de fiabilité est relevé, le programme de fiabilité doit permettre d'en déterminer la cause et d'établir des mesures correctives. Le programme de fiabilité doit prévoir des moyens permettant d'évaluer l'efficacité des mesures correctives pour vérifier que la solution proposée est adéquate.

3.6.3.1 Surveillance de la performance des systèmes

La surveillance de la performance des SIS sur le plan de la fiabilité doit être effectuée afin de s'assurer que les systèmes continuent de satisfaire les spécifications de conception et de fonctionner conformément à leurs objectifs de fiabilité. Ce processus de surveillance doit comprendre ce qui suit :

  • Détermination des incidents à la suite desquels la performance d'un SIS n'a pas été conforme aux spécifications établies (y compris les périodes de mise hors service prévues et les occurrences d'événements initiateurs). La gravité de l'état et l'identification des séquences d'accident visées doivent être évaluées. Ces incidents sont des événements qui doivent être signalés conformément au S-99 .
  • Évaluation des conséquences de toute défaillance de composants pour en déterminer l'impact sur la fiabilité du système.
  • Prise en considération de la fiabilité des SIS pendant la planification des activités d'exploitation et d'entretien. La surveillance de la performance des SIS doit inclure une évaluation des répercussions de ces activités sur la fiabilité et la conformité aux objectifs de fiabilité. Si la réduction de la fiabilité d'un SIS donné est inévitable, il faut évaluer l'impact de celle-ci sur les objectifs de sûreté.

3.6.3.2 Surveillance de la performance des composants

La surveillance de la performance et de l'état de chacun des composants du SIS doit être effectuée. Elle doit comprendre ce qui suit :

  • Identification des composants dont la défaillance diminue la fiabilité d'un SIS.
  • Évaluation et consignation de chacune des défaillances d'un composant qui pourrait altérer la fiabilité de l'ensemble d'un SIS, le plus tôt possible après la découverte de la panne.
  • Analyse des défaillances des composants afin de déterminer l'existence ou non de tendances. Si une tendance est dégagée, il faut en expliquer la raison et évaluer son importance par rapport aux objectifs de fiabilité.
  • Analyse des défaillances des composants afin de déterminer si ces défaillances étaient dues à des causes non aléatoires (p. ex., celles qui auraient pu être prévenues au moyen de l'entretien, ou qui sont causées par le vieillissement ou l'usure, ou encore attribuables à un problème de conception ou d'installation).
  • Évaluation des défaillances des composants afin de déterminer si la cause de la défaillance peut être commune à d'autres composants. Les défaillances de mode commun (DMC) doivent être identifiées et consignées. La base de données internationale de collecte des défaillances de cause commune (International Common Cause Data Exchange) peut être utilisée pour consigner les données des DOC propres à une installation. Pour calculer des données de défaillance précises spécifiques à une installation pour les SIS, les détails de l'historique des défaillances et les rapports d'exploitation de tous les composants doivent être consignés.

3.6.3.3 Surveillance de la performance humaine

Il faut cerner et consigner les actions des opérateurs qui pourraient avoir une incidence sur la fiabilité des SIS. La surveillance de la performance humaine doit comprendre ce qui suit :

  • consignation de l'occurrence d'erreurs humaines
  • comparaison de la performance des humains pour un site particulier avec les données utilisées dans l'évaluation de la fiabilité

3.6.4 Évaluation de la fiabilité

Les évaluations de la fiabilité permettent de calculer la fiabilité prévue des SIS pour démontrer leur capacité à atteindre leurs objectifs de fiabilité spécifiés pour toutes les conditions pertinentes de la centrale. Les méthodes utilisées pour évaluer la fiabilité sont à la discrétion du titulaire de permis. Un SIS pourra exiger plusieurs évaluations de la fiabilité différentes afin de tenir compte de divers critères de réussite.

Tous les systèmes modélisés doivent être évalués quantitativement pour calculer leur fiabilité prévue et prouver qu'ils atteignent leurs objectifs de fiabilité. Les évaluations doivent refléter, aussi fidèlement que possible, l'exploitation et les activités réelles de surveillance et d'entretien des systèmes.

Les évaluations de la fiabilité doivent inclure ce qui suit :

  • fiabilité prévue
  • fiabilité observée
  • indices spécifiques de performance de la fiabilité

3.6.4.1 Calcul de la fiabilité prévue

La fiabilité prévue est évaluée au moyen de données à jour et devrait être comparée aux valeurs obtenues pour l'année en cours et pour les années précédentes, ainsi qu'aux objectifs de fiabilité. L'évaluation de la fiabilité devrait être réévaluée chaque année en utilisant les données pertinentes les plus récentes sur les défaillances. Les écarts entre la non-fiabilité prévue et les valeurs rapportées pour les années précédentes doivent être expliqués.

3.6.4.2 Calcul de la fiabilité observée

La fiabilité observée est calculée au moyen de données réelles sur la performance opérationnelle du système pour l'année civile en cours.

3.6.4.3 Indices de performance de la fiabilité

Les indices de performance de la fiabilité ont pour but de mettre en évidence les tendances de la performance des SIS.

Les indices suivants doivent être signalés en fonction de la spécificité de chaque système :

  • la fréquence de défaillance des SIS actifs
  • la probabilité de défaillance des SIS en attente

Le titulaire de permis doit effectuer une comparaison entre la fiabilité prévue, les indices de performance de la fiabilité et les objectifs de fiabilité. Il faut évaluer et expliquer toute situation où les indices de performance de la fiabilité excèdent la fiabilité prévue ou l'objectif de fiabilité ou encore toute situation où la fiabilité prévue est supérieure à l'objectif de fiabilité.

Le titulaire de permis doit établir des critères permettant de déterminer si l'occurrence d'un événement, une modification d'un système ou l'acquisition d'une nouvelle connaissance justifie une révision immédiate ou à court terme des modèles de fiabilité du système. Au minimum, les changements apportés aux procédures ou aux systèmes, de nouvelles données sur le fonctionnement, de nouvelles connaissances sur les systèmes et les plus récentes données sur les défaillances devraient être réévalués et documentés annuellement. Les modifications apportées au modèle ou les nouvelles conclusions concernant les résultats obtenus avec le modèle doivent être incluses dans le rapport annuel de fiabilité, conformément au document S-99.1.

3.7 Mise en œuvre du programme de fiabilité

Le titulaire de permis doit démontrer, à la suite d'une inspection effectuée par le personnel de la CCSN ou après réception d'une demande à cet effet, que le programme de fiabilité est bien mis en œuvre.

3.8 Consignation des résultats des activités du programme de fiabilité et établissement de rapports

La CCSN doit avoir accès aux résultats du programme de fiabilité dans les centrales nucléaires. Ces résultats peuvent être obtenus en tout temps, dans le cadre d'inspections périodiques du programme de fiabilité et à partir des rapports préparés par le titulaire de permis.

La consignation des résultats pourrait prendre la forme de journaux d'exploitation, de demandes de travail, de plans de travail, de permis de travail, de résultats d'essais et de registres d'étalonnage. L'examen de ces résultats est requis afin d'assurer que les rapports qui incluent la performance sur le plan de la fiabilité des SIS sont exacts et que ceux-ci sont produits en temps opportun. Ces résultats sont également revus afin de détecter et d'aider à prévenir la réduction de la fiabilité de ces systèmes.

La structure des rapports décrivant l'évaluation de la fiabilité des SIS est à la discrétion du titulaire de permis. Toutefois, le titulaire de permis doit présenter les résultats de son programme de fiabilité conformément au S-99.

3.9 Documentation du programme de fiabilité

Cette section ne compte aucune instruction particulière.


Glossaire

centrale nucléaire
Toute installation de réacteur à fission construite pour produire de l'électricité à l'échelle commerciale. Une centrale nucléaire est une installation nucléaire de catégorie IA, tel que défini dans le Règlement sur les installations nucléaires de catégorie I.
composant critique
Équipement dont la défaillance entraînera une défaillance de l'ensemble du système ou la défaillance de la fonction de sûreté.
critère de défaillance
Condition à partir de laquelle on considère qu'un système, une structure ou un composant n'est pas en mesure de satisfaire à ses critères de réussite.
critère de réussite
Critère qui définit les capacités fonctionnelles minimales et les niveaux de performance requis pour assurer le fonctionnement efficace des structures, systèmes ou composants.
défaillance de cause commune
Défaillance simultanée de deux ou plusieurs structures, systèmes ou composants attribuables à un événement ou à une cause spécifique unique tel qu'un phénomène naturel (séisme, tornade, inondation, etc.), une défaillance de conception, un défaut de fabrication, une erreur opérationnelle et d'entretien, un événement destructeur d'origine humaine et autres.
début de défaillance
Le composant est dans un état tel que, s'il n'est pas corrigé, il pourrait en fin de compte mener à un état dégradé ou à un état d'indisponibilité.
défaillance
Interruption ou incapacité d'une structure, d'un système ou d'un composant à fonctionner dans le respect des critères d'acceptation.
entretien
Activités organisées, d'ordre administratif et technique, qui consistent à maintenir les structures, systèmes et composants en bon état de marche, y compris les aspects préventifs et correctifs (ou réparations).
entretien axé sur la fiabilité
Série d'étapes ordonnées visant à identifier les fonctions, les défaillances fonctionnelles et les modes de défaillance dominants de systèmes et de sous-systèmes, à établir un ordre de priorité et à sélectionner des tâches d'entretien préventif pertinentes pour traiter les modes de défaillance catégorisés.
état dégradé
Le composant est dans un état tel que sa performance est réduite, mais sa dégradation n'est pas suffisante pour qu'il soit déclaré indisponible selon les critères de réussite précisés.
évaluation de la performance
Analyse, en termes d'objectifs et d'estimations initiaux, habituellement effectuée à la centrale, afin de fournir des renseignements sur l'expérience d'exploitation et de cerner les mesures correctives requises.
événement initiateur
Événement qui mène à un incident de fonctionnement prévu ou à un accident.
fiabilité
Capacité d'une structure, d'un système ou d'un composant de remplir, conformément aux spécifications définies, sa fonction dans des conditions données pour une période de temps définie, ou sur demande.
fiabilité observée
Fiabilité calculée à partir des performances opérationnelles réelles.
fiabilité prévue
Probabilité qu'un système respectera les critères établis lorsque sollicité. Le calcul repose sur des données de fiabilité à jour.
fonction de sûreté
Une finalité particulière que doit atteindre un SSC d'importance pour la sûreté, notamment les fonctions nécessaires pour prévenir les conditions d'accidents et pour en atténuer les conséquences.
mesure d'importance
Analyse quantitative permettant de déterminer l'importance des variations de la fiabilité d'un équipement relativement aux risques touchant un système et/ou sa fiabilité.
mesure d'importance de Fussell-Vesely (FV)
En ce qui concerne un événement de base particulier, contribution fractionnelle aux résultats de l'EPS. Vise toutes les séquences d'accident dans lequel cet événement de base intervient.
normes de performance minimales permises
Ensemble des limites d'exploitation ou des différentes conditions établies pour les composants ou sous-systèmes, qui prévoient les états minimaux acceptables des composants ou sous-systèmes dans les analyses de sûreté.
objectif de fiabilité
Objectif de fiabilité que les systèmes d'une centrale doivent atteindre.
objectifs de sûreté
Objectifs probabilistes s'appliquant à une centrale nucléaire qui peuvent être exprimés sous forme de fréquence de risque de dommages graves causés au cœur ou de fréquence de rejets de radionucléides. Les objectifs de sûreté sont établis pour atteindre les buts en matière de sûreté afin de protéger le personnel exploitant d'une centrale, le public et l'environnement en établissant et en maintenant des mécanismes de défense efficaces contre le rejet de matières radioactives dangereuses.
rapport d'augmentation du risque (RAR)
Facteur d'augmentation des résultats de l'EPS si l'on suppose que l'événement de base se produit (probabilité de défaillance = 1,0).
risque
Risque de blessure ou de perte défini comme une mesure de la probabilité et de la gravité d'un effet préjudiciable (conséquences) sur la santé, la propriété, l'environnement ou un autre élément d'importance. Mathématiquement, il s'agit de la probabilité qu'un événement survienne multiplié par son importance (ou gravité).
structures, systèmes et composants (SSC)
Terme général englobant tous les éléments d'une installation ou d'une activité qui contribuent à la protection et à la sûreté, à l'exception des facteurs humains. Les structures sont les éléments passifs : bâtiments, cuves, blindages, etc. Un système comprend plusieurs composants, assemblés de façon à remplir une fonction (active) particulière. Un composant est un élément discret d'un système. Parmi les composants, on compte, par exemple, les fils, les transistors, les circuits intégrés, les moteurs, les relais, les solénoïdes, les tuyaux, les raccords, les pompes, les réservoirs et les soupapes.
surveillance de l'état
Activités continues ou périodiques d'inspection, de mesure ou d'établissement de tendances relativement à la performance ou aux caractéristiques physiques des SSC et permettant d'indiquer la performance actuelle ou future ainsi que la possibilité de défaillance.
surveillance de la fiabilité
Surveillance directe des paramètres de fiabilité d'une centrale, d'un système ou d'un équipement (p. ex., fréquence des défaillances, période d‘indisponibilité due à des activités d'entretien, taux de mise hors fonction).
surveillance de la performance
Processus déterminant si l'équipement fonctionne ou est en mesure de fonctionner dans des limites spécifiques.
système spécial de sûreté
S'entend d'un des systèmes suivants d'une centrale nucléaire : système d'arrêt d'urgence nº 1, systèmed'arrêt d'urgence nº 2, système de confinement ou système de refroidissement d'urgence du coeur du réacteur.
systèmes importants pour la sûreté (SIS)
Tout système de la centrale nucléaire associé au démarrage, à la prévention, à ladétection et à l'atténuation de toute séquence de défaillance le plus susceptible de réduire le risqued'endommagement du combustible ou de rejet associé de radionucléides, ou les deux.

Références

  1. Commission canadienne de sûreté nucléaire, S-294, Études probabilistes de sûreté (ÉPS) pour les centrales nucléaires, avril 2005.
  2. Institute of Electrical and Electronics Engineers, IEEE 933-1999, Guide for the Definition of Reliability Program Plans for Nuclear Power Generating Stations, septembre1999.
  3. Institute of Nuclear Power Operations, INPO AP-913, Equipment Reliability Process Description AP-913, Revision 1, novembre 2001.
  4. Institute of Electrical and Electronics Engineers, IEEE Guide for General Principles of Reliability Analysis of Nuclear Power Generating Station Safety Systems, 1987.
  5. International Atomic Energy Agency, IAEA TECDOC-524, Status, Experience and Future Prospects for the Development of Probabilistic Safety Criteria, AIEA, Vienne, 1989.
  6. Commission de contrôle de l'energie atomique, R-7, Les normes des systèmes de confinement des centrales nucléaires CANDU, février 1991.
  7. Commission de contrôle de l'energie atomique, R-8, Les normes des systèmes d'arrêt d'urgence des centrales nucléaires CANDU, février 1991.
  8. Commission de contrôle de l'energie atomique, R-9, Les normes des systèmes de refroidissement d'urgence du coeur des centrales nucléaires CANDU, Février 1991.
  9. Commission canadienne de sûreté nucléaire, RD-337, Conceptions des nouvelles centrales nucléaires, novembre 2008.
  10. Commission canadienne de sûreté nucléaire, S-210, Programmes d'entretien des centrales nucléaires, juillet 2007.
  11. Commission canadienne de sûreté nucléaire, S-99, Rapports à soumettre par les exploitants de centrales nucléaires, mars 2003.