REGDOC-2.4.1, Analyse déterministe de la sûreté

Préface

Ce document d'application de la réglementation fait partie de la série de documents d'application de la réglementation de la CCSN intitulée Analyse de la sûreté. La liste complète des séries figure à la fin de ce document et elle peut être consultée à partir du site Web de la CCSN.

Le document d'application de la réglementation REGDOC-2.4.1, Analyse déterministe de la sûreté énonce les exigences et l'orientation relatives à la préparation et à la présentation d'une analyse de la sûreté, qui vise à démontrer la sûreté d'une installation nucléaire. Dans la mesure du possible, ce document se veut neutre sur le plan technologique. Le présent document d'application de la réglementation fournit des informations sur la préparation et la présentation des rapports d'analyse déterministe de la sûreté, y compris la sélection des événements à analyser, les critères d'acceptation, les méthodes d'analyse de la sûreté et la documentation connexe ainsi que la révision et la mise à jour de l'analyse de la sûreté.

Le présent document comporte deux parties : la Partie I vise les centrales nucléaires et la Partie II vise les installations dotées de petits réacteurs. Une installation dotée d'un petit réacteur s'entend d'une installation équipée d'un réacteur d'une puissance inférieure à environ 200 mégawatts thermiques (MWt) utilisé à des fins de recherche, de production d'isotopes, de vapeur ou d'électricité, ou pour d'autres applications.

Le présent document remplace les documents d'application de la réglementation suivants : RD-310, Analyses de la sûreté pour les centrales nucléaires;GD-310, Document d'orientation sur les analyses de la sûreté des centrales nucléaires; et RD-308, Analyse déterministe de sûreté pour les installations dotées de petits réacteurs. Le document REGDOC-2.4.1 inclut des modifications visant à refléter les leçons tirées de l'accident nucléaire de Fukushima survenu en mars 2011, et à donner suite aux conclusions du Rapport du Groupe de travail de la CCSN sur Fukushima, telles qu'elles s'appliquent aux documents RD-310 et RD-308.

Le REGDOC-2.4.1 est un élément faisant partie du fondement d'autorisation d'une installation ou d'une activité réglementée, tel que défini par la portée de ce document. Il sera intégré soit aux conditions et aux mesures de sûreté et de réglementation d'un permis, soit aux mesures de sûreté et de réglementation décrites dans la demande de permis et les documents soumis à l'appui de cette demande.

Pour les nouvelles installations proposées : Ce document servira à évaluer les nouvelles demandes de permis pour des installations dotées de réacteurs.

L'orientation contenue dans ce document vise à informer le demandeur, à expliquer plus en détails des exigences ou à fournir de l'orientation aux demandeurs et aux titulaires de permis sur la façon de répondre aux exigences. Il précise aussi comment le personnel de la CCSN évalue des problèmes particuliers ou des données particulières pendant son examen des demandes de permis. Il est attendu que les titulaires de permis suivent les orientations dans ce document. Dans le cas ou d'autres approches sont adoptée, les titulaires de permis doivent démontrer que celles-ci répondent aux exigences réglementaires.

Pour les installations existantes : Les exigences contenues dans ce document ne s'appliquent que si elles ont été incluses, en totalité ou en partie, dans le fondement d'autorisation.

Il est possible de définir et d'utiliser une approche graduelle, proportionnée au risque, lorsqu'on applique les exigences et l'orientation énoncées dans ce document d'application de la réglementation. L'utilisation d'une approche graduelle ne constitue pas un assouplissement des exigences. Avec l'approche graduelle, l'application des exigences est proportionnée aux risques et aux caractéristiques particulières de l'installation ou de l'activité.

Le demandeur ou le titulaire de permis peut soumettre un dossier démontrant que l'intention d'une exigence est prise en compte par d'autres moyens et démontrée à l'aide de preuves justificatives.

Les exigences et l'orientation contenues dans ce document sont conformes aux pratiques nationales et internationales les plus récentes utilisées pour traiter les questions et les facteurs qui contribuent à assurer la sûreté nucléaire et à l'améliorer. Plus particulièrement, ce document est fondé sur une méthode plus moderne de classement des accidents qui est axée sur les risques et tient compte de tout l'éventail des accidents possibles, notamment de ceux qui ont les conséquences les plus graves pour la population.

Remarque importante : Ce document fait partie du fondement d'autorisation d'une installation ou d'une activité réglementée si on s'y réfère directement ou indirectement dans le permis (notamment dans des documents cités en référence du titulaire de permis).

Le fondement d'autorisation établit les conditions limites du rendement acceptable pour une installation ou une activité réglementée et établit les bases du programme de conformité de la CCSN à l'égard de cette installation ou activité réglementée.

Dans le cas où le document est un élément du fondement d'autorisation, le terme « doit » est employé pour exprimer une exigence à laquelle le titulaire ou le demandeur de permis doit se conformer; le terme « devrait » dénote une orientation ou une mesure conseillée; le terme « pourrait » exprime une option ou une mesure conseillée ou acceptable dans les limites de ce document d'application de la réglementation; et le terme « peut » exprime une possibilité ou une capacité.

Aucune information contenue dans le présent document ne doit être interprétée comme libérant le titulaire de permis de toute autre exigence pertinente. Le titulaire de permis a la responsabilité de prendre connaissance de tous les règlements et de toutes les conditions de permis applicables et d'y adhérer.


Table des matières

1. Introduction

1.1 Objet

Ce document d'application de la réglementation établit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) relatives à l'analyse déterministe de la sûreté pour les centrales nucléaires et les installations dotées de petits réacteurs. Ce document se compose de deux parties :
  • Partie I – les centrales nucléaires
  • Partie II – les installations dotées de petits réacteurs

La Partie I de ce document a pour but d'assurer que, durant la construction, l'exploitation ou le déclassement d'une centrale nucléaire, des analyses de la sûreté adéquates sont effectuées par le demandeur ou le titulaire de permis, ou en son nom, conformément à la Loi sur la sûreté et la réglementation nucléaires (LSRN) et aux exigences réglementaires.

La Partie I de ce document fournit aussi l'orientation nécessaire pour assurer que les analyses déterministes de la sûreté pertinentes sont effectuées, en vue de démontrer la sûreté de la centrale nucléaire. Ces informations aident à la réalisation, la vérification et l'approbation des analyses déterministes de la sûreté.

La Partie II s'applique aux installations dotées de petits réacteurs. Le présent document permet d'appliquer une méthode graduée afin de déterminer la portée et l'étendue de l'analyse déterministe de la sûreté pour ces installations.

1.2 Portée

Ce document d'application de la réglementation établit les exigences relatives à l'analyse déterministe de la sûreté pour les centrales nucléaires et les installations dotées de petits réacteurs. Une installation dotée d'un petit réacteur s'entend d'une installation équipée d'un réacteur d'une puissance inférieure à environ 200 mégawatts thermiques (MWt) utilisé à des fins de recherche, de production d'isotopes, de vapeur ou d'électricité, ou pour d'autres applications.

Ce document décrit les exigences et les critères techniques liés à l'analyse de la sûreté, incluant la sélection des événements à analyser, les critères d'acceptation, les méthodes d'analyse, la documentation, la révision et la mise à jour de l'analyse de la sûreté, ainsi que le contrôle de la qualité.

1.3 Législation pertinente

Les dispositions de la Loi sur la sûreté et la réglementation nucléaires (LSRN) et des règlements qui s'appliquent à ce document de réglementation englobent les éléments suivants :

  • en vertu du paragraphe 24(4) de la LSRN, « la Commission ne délivre, ne renouvelle, ne modifie ou ne remplace une licence ou un permis que si elle est d'avis que l'auteur de la demande, à la fois : a) est compétent pour exercer les activités visées par la licence ou le permis; b) prendra, dans le cadre de ces activités, les mesures voulues pour préserver la santé et la sécurité des personnes, protéger l'environnement, maintenir la sécurité nationale et respecter les obligations internationales que le Canada a assumées ».
  • Le paragraphe 24(5) de la LSRN, autorise la Commission à inclure dans une licence ou un permis toute condition qu'elle estime nécessaire à l'application de la LSRN.
  • L'alinéa 3(1)i) du Règlement général sur la sûreté et la réglementation nucléaires stipule qu'une demande de permis doit comprendre « une description et les résultats des épreuves, analyses ou calculs effectués pour corroborer les renseignements compris dans la demande ».
  • L'alinéa 5f) du Règlement sur les installations nucléaires de catégorie I stipule qu'une demande de permis pour construire une installation nucléaire de catégorie I doit comprendre « un rapport préliminaire d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate ».
  • L'alinéa 5i) du Règlement sur les installations nucléaires de catégorie I stipule qu'une demande de permis pour construire une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir la construction, l'exploitation et le déclassement de l'installation nucléaire... ».
  • L'alinéa 6c) du Règlement sur les installations nucléaires de catégorie I stipule qu'une demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre « un rapport final d'analyse de la sûreté démontrant que la conception de l'installation nucléaire est adéquate ».
  • L'alinéa 6h) du Règlement sur les installations nucléaires de catégorie I stipule qu'une la demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets sur l'environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir l'exploitation et le déclassement de l'installation nucléaire... ».
  • L'alinéa 7f) du Règlement sur les installations nucléaires de catégorie I stipule qu'une demande de permis pour déclasser une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets que les travaux de déclassement peuvent avoir sur l'environnement ainsi que sur la santé et la sécurité des personnes... ».
  • Le paragraphe 13(1) du Règlement sur la radioprotection prescrit les limites de doses efficaces en vigueur pour les travailleurs du secteur nucléaire et les personnes qui ne travaillent pas dans ce domaine, y compris les membres du public.

1.4 Normes nationales et internationales

Le présent document d'application de la réglementation est conforme à l'orientation et au contenu technique des normes et des codes nationaux et internationaux. Il s'appuie notamment en partie sur les publications suivantes :

  • Groupe CSA, CSA-N286.7-99, (R2012), Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires
  • Agence internationale de l'énergie atomique, Collection Rapports de sûreté de l'AIEA no 55, Safety Analysis for Research Reactors (Analyse de sûreté pour les réacteurs de recherche), 2008
  • Agence internationale de l'énergie atomique, Collection Normes de sûreté de l'AIEA no NS-R-4, Safety of Research Reactors (Sûreté des réacteurs de recherche), 2005
  • Agence internationale de l'énergie atomique, Collection Normes de sûreté de l'AIEA no SSG-2, Deterministic Safety Analysis for Nuclear Power Plants – Specific Safety Guide (Analyse déterministe de la sûreté pour les centrales nucléaires – Guide particulier de sûreté), 2012
  • Agence internationale de l'énergie atomique, Collection Norme de sûreté de l'AIEA no GSR Partie 4, Évaluation de la sûreté des installations et activités, Prescriptions générales de sûreté Partie 4, 2009

1.5 Contexte

L'évaluation globale de la conception d'une installation dotée d'un réacteur comprend les techniques d'analyse des risques, d'analyse déterministe de la sûreté et d'étude probabiliste de la sûreté (EPS). Le présent document traite de l'analyse déterministe de la sûreté dans l'évaluation des conséquences d'un événement.

Ce document porte sur l'analyse déterministe de la sûreté. Les études probabilistes de la sûreté pour les centrales nucléaires sont traitées dans le document d'application de la réglementation REGDOC-2.4.2, Études probabilistes de la sûreté (ÉPS) pour les centrales nucléaires (anciennement le document S-294).

Les exigences et l'orientation réglementaires pour les centrales nucléaires liées à la manutention sûre des matières fissiles à l'extérieur du cœur du réacteur sont décrites dans le document d'application de la réglementation RD-327, Sûreté en matière de criticité nucléaire, et le document d'orientation connexe GD-327, Directives de sûreté en matière de criticité nucléaire.

Part I: Analyse déterministe de la sûreté pour les centrales nucléaires

2. Introduction

La Partie I de ce document d'application de la réglementation établit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) relatives à l'analyse déterministe de la sûreté pour les centrales nucléaires.

Elle fournit de l'orientation sur la préparation et la présentation de rapports d'analyse de la sûreté, incluant la sélection des événements à analyser, les critères d'acceptation, les méthodes d'analyse, ainsi que la documentation, la révision et la mise à jour de l'analyse de la sûreté.

3. Objectifs de l'analyse de la sûreté

L'analyse de la sûreté est un élément essentiel de l'évaluation de la sûreté. Il s'agit d'une étude analytique dans laquelle on démontre de quelle façon les exigences liées à la sûreté sont respectées pour une vaste gamme de conditions d'exploitation et pour différents événements initiateurs. L'analyse de la sûreté implique des analyses déterministes et probabilistes en appui au choix de l'emplacement, à la conception, à la mise en service, à l'exploitation ou au déclassement d'une centrale nucléaire.

Le présent document porte sur l'analyse déterministe de la sûreté utilisée dans l'évaluation des conséquences d'un événement. L'EPS et l'analyse des dangers ne cadrent pas dans la portée de ce document. Les exigences des études probabilistes de la sûreté pour les centrales nucléaires sont présentées dans le document d'application de la réglementation REGDOC-2.4.2, Études probabilistes de la sûreté (ÉPS) pour les centrales nucléaires (anciennement le document S-294).

Voici les objectifs de l'analyse déterministe :

  1. confirmer que la conception de la centrale respecte les exigences en matière de conception et de sûreté
  2. dériver ou confirmer les limites et les conditions d'exploitation qui sont conformes aux exigences relatives à la conception et à la sûreté de la centrale
  3. aider à établir et à valider les procédures et les directives pour la gestion des accidents
  4. aider à démontrer que les objectifs en matière de sûreté, qui peuvent être établis pour limiter les risques posés par la centrale nucléaire, sont atteints

Ce document, qui tient compte des meilleures pratiques nationales et internationales, identifie les exigences de haut niveau requises pour réaliser et présenter une analyse de la sûreté.

Orientation

Une évaluation de la sûreté est un processus systématique visant à vérifier que les exigences de sûreté applicables sont respectées dans toutes les phases du cycle de vie d'une centrale nucléaire. Ces évaluations sont exécutées pour divers aspects de la sûreté, de la sécurité et des garanties (comme les pratiques de gestion, l'assurance de la qualité, la performance humaine, la culture de sûreté, la formation, la justesse de la conception, l'analyse de la sûreté, l'aptitude au service des équipements, la préparation aux urgences, la protection environnementale et la radioprotection). L'évaluation de la sûreté comprend la réalisation d'une analyse de la sûreté, soit une étude quantitative analytique menée principalement pour démontrer la sûreté d'une centrale nucléaire et la justesse de sa conception et de sa performance. L'analyse déterministe de la sûreté, l'étude probabiliste de la sûreté (EPS) et l'analyse des dangers sont les trois types d'analyse de la sûreté existants.

L'EPS tient compte de la probabilité et des conséquences de divers transitoires et accidents de la centrale. Les principaux objectifs de l'EPS sont :

  • identifier les séquences d'événements qui entraînent la compromission des fonctions de sûreté fondamentales, la perte d'intégrité des structures essentielles, le rejet de radionucléides dans l'environnement et les effets sur la santé du public, ainsi que les probabilités qui s'y rattachent
  • élaborer une conception bien équilibrée de la centrale nucléaire
  • évaluer les conséquences des modifications apportées aux procédures ou aux composants sur la probabilité de dommages au cœur du réacteur

Pour les nouvelles centrales nucléaires, les EPS appuient les analyses déterministes de la sûreté en identifiant des caractéristiques de conception complémentaires (appelées également « caractéristiques de sûreté additionnelles » sur la scène internationale) destinées à répondre aux accidents graves ou les mesures que les opérateurs peuvent prendre en cas d'accidents graves pour en réduire le risque. Les EPS complètent les études déterministes de la sûreté.

Une analyse des dangers (tel que l'évaluation des risques d'incendie ou l'évaluation de la marge sismique) démontrera la capacité de la conception à répondre efficacement aux événements plausibles d'origine commune. Cette analyse a pour but de confirmer que la conception des centrales nucléaires incorpore suffisamment les principes de diversité et de séparation physique pour faire face aux événements plausibles d'origine commune. Elle confirme également que les structures, systèmes et composants (SSC) crédités sont qualifiés pour résister et demeurer fonctionnels durant des événements plausibles d'origine commune, le cas échéant.

3.1 Orientation relative aux rôles de l'analyse déterministe de la sûreté

L'analyse déterministe de la sûreté confirme que la conception répond aux exigences de l'analyse de la sûreté énoncées ci-dessus et aux critères d'acceptation des doses. Elle aide également à démontrer que les objectifs de sûreté sont atteints, que la conception reflète une défense en profondeur efficace et que la conception et l'exploitation de la centrale sont acceptables et robustes.

L'analyse déterministe de la sûreté sert à évaluer le comportement d'une centrale à la suite d'une défaillance hypothétique de l'équipement, d'un événement interne ou externe ou d'une erreur de l'opérateur. En ce qui concerne l'événement analysé, l'analyse déterministe de la sûreté permet de prévoir et de quantifier les menaces á l'intégrité des barrières physiques et le rendement des systèmes de la centrale (particulièrement les systèmes de sûreté) afin de prévoir les défaillances des barrières menant à des rejets radioactifs.

Les méthodes d'analyse déterministe de la sûreté peuvent s'appliquer à un large éventail de modes d'exploitation et d'événements touchant la centrale, y compris l'exploitation normale et le fonctionnement anormal résultant de défaillances de l'équipement, d'erreurs des opérateurs et de diverses menaces comme les incendies, les inondations ou les tremblements de terre.

3.2 Orientation relative aux objectifs de l'analyse déterministe de la sûreté

  1. Confirmer que la conception de la centrale respecte les exigences en matière de conception et de sûreté. Cela peut être réalisé en :
    • démontrant que la centrale, telle qu'elle est construite, peut être exploitée de manière sûre, tout en tenant compte des effets du vieillissement
    • démontrant que la conception peut résister et répondre efficacement aux événements initiateurs hypothétiques (EIH) identifiés
    • démontrant que les exigences applicables pour la défense en profondeur établies dans le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires sont satisfaites
    • prévoyant les conditions environnementales difficiles attendues à la suite d'incidents de fonctionnement prévus (IFP), d'accidents de dimensionnement (AD) et d'accidents hors dimensionnement (AHD); y compris les accidents graves
    • démontrant que les mesures de protection contre les accidents graves sont adéquates (p. ex. les attentes en matière de rendement pour le confinement, le blindage biologique et le retour à la criticité).
  2. Dériver ou confirmer les limites et conditions d'exploitation qui sont conformes aux exigences relatives à la conception et à la sûreté de la centrale nucléaire. La norme CSA N290.15-F10, Exigences relatives à l'enveloppe d'exploitation sûre des centrales nucléaires fournit des directives s'appliquant à la présente section, notamment :
    • les limites de sûreté pour la protection et le contrôle du réacteur
    • les limites de sûreté pour les systèmes techniques de sûreté
    • les limites et conditions d'exploitation pour les systèmes de contrôle
    • les contraintes attribuables aux procédures pour le contrôle opérationnel des processus
    • la détermination des configurations d'exploitation permises
  3. Aider à établir et à valider les procédures et les directives pour la gestion des accidents. Les Lignes directrices pour la gestion des accidents graves (LDGAG) en sont un exemple.

  4. Aider à démontrer que les objectifs en matière de sûreté – qui peuvent être établis pour limiter les risques posés par la centrale nucléaire – sont atteints. Pour plus de détails, voir la section 4.2.3.3. Les analyses déterministes de la sûreté sont également effectuées pour :
    • aider à confirmer ou à valider les stratégies d'interventions identifiées pour le rétablissement de la centrale en cas d'IFP ou d'AD
    • aider à mettre au point une stratégie d'intervention que suivra l'opérateur dans le cas où les mesures d'intervention automatiques et les procédures d'urgence ne parviennent pas à prévenir un accident grave
    • confirmer que les modifications apportées à la conception et à l'exploitation de la centrale n'ont pas d'impact significatif néfaste sur la sûreté
    • comprendre les transitoires d'exploitation et les réponses des systèmes de la centrale
    • prédire le terme source et les doses en cas d'accident grave
    • appuyer les programmes d'urgence

3.3 Orientation relative au rôle de l'analyse déterministe de la sûreté dans la confirmation de la défense en profondeur

Il faudrait confirmer l'application du concept de défense en profondeur à la conception d'une centrale nucléaire pour assurer que la conception fournira des niveaux de mesures qui se recoupent, de sorte que toute défaillance puisse être compensée ou corrigée sans nuire aux personnes ou au public. Les analyses déterministes de la sûreté jouent un rôle important dans cette confirmation.

Le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires définit cinq niveaux de défense en profondeur. L'application de ces niveaux aux analyses déterministes de la sûreté se fait comme suit :

Niveau 1 :

L'objectif du premier niveau de défense est de prévenir les écarts par rapport à l'exploitation normale, et de prévenir les défaillances des SSC.

Une bonne conception et de pratiques d'ingénierie éprouvées sont utilisées pour appuyer le premier niveau de défense en profondeur.

Niveau 2 :

Le deuxième niveau de défense sert à détecter et à intercepter les écarts par rapport à l'exploitation normale afin d'empêcher les IFP de dégénérer en conditions d'accident, et à ramener la centrale dans son état d'exploitation normale.

Afin d'appuyer le deuxième niveau de défense en profondeur, les IFP sont analysés dans le but de démontrer la robustesse qu'ont les systèmes de contrôle pour mettre un terme à la plupart des IFP et prévenir les dommages à tous les SSC qui ne sont pas impliqués dans le déclenchement de l'IFP, de telle sorte que ces SSC demeureront fonctionnels à la suite de l'IFP.

Niveau 3 :

L'objectif du troisième niveau de défense est de minimiser les conséquences des accidents en prévoyant des caractéristiques de sûreté inhérentes, une conception à sûreté intégrée (« fail-safe design »), de l'équipement additionnel et des procédures d'atténuation.

Afin d'appuyer le troisième niveau de défense en profondeur, les AD (y compris les IFP avec la défaillance du deuxième niveau de défense) sont analysés pour démontrer les capacités des systèmes de sûreté à atténuer toutes conséquences radiologiques résultantes; c.-à-d. démontrer le respect des limites de dose prescrites pour les AD (y compris les IFP avec la défaillance du deuxième niveau de défense) et des critères d'acceptation dérivés établis pour protéger les barrières contre les rejets de produits de fission. Les IFP et les AD sont aussi analysés afin d'aider à élaborer des procédures d'exploitation d'urgence définissant les actions qui devraient être menées pendant ces événements.

Il est à noter que la combinaison d'un IFP et d'une défaillance indépendante appartenant au niveau 2 de la défense en profondeur doit être considérée comme un AD et la limite de dose pour les AD s'applique alors.

Niveau 4 :

L'objectif du quatrième niveau de défense est de s'assurer que le rejet de matières radioactives causé par des accidents graves demeure au niveau le plus bas qu'il soit possible d'atteindre.

Niveau 5 :

L'objectif du cinquième niveau de défense est d'atténuer les conséquences radiologiques des rejets possibles de matières radioactives pouvant résulter d'accidents.

Afin d'appuyer les quatrième et cinquième niveaux de défense en profondeur, on procède à l'analyse des AHD. Cette analyse fournit des renseignements relatifs aux accidents graves appuyant la conception et la sûreté des centrales nucléaires, comme le rendement des caractéristiques de conception complémentaires (aussi appelées « caractéristiques de sûreté additionnelles » sur la scène internationale) dans le cas d'accidents graves ou les mesures que les opérateurs devraient prendre en cas d'accidents graves afin d'en atténuer les conséquences. Cette analyse aide aussi à l'élaboration de lignes directrices pour la gestion des accidents graves.

4. Exigences de l'analyse de la sûreté

4.1 Responsabilité

Le titulaire de permis a la responsabilité de s'assurer que l'analyse de la sûreté respecte toutes les exigences réglementaires. Il doit :

  • maintenir une capacité adéquate pour réaliser ou obtenir une analyse de la sûreté
  • établir un processus formel d'évaluation et de mise à jour de l'analyse de la sûreté qui tient compte de l'expérience en exploitation, des résultats de recherche et des problématiques de sûreté identifiés
  • établir et appliquer un processus d'assurance de la qualité (AQ) formel qui satisfait aux normes d'AQ établies pour l'analyse de la sûreté dans la norme de la CSA N286.7-99, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires

Orientation

Conformément aux exigences de ce document, le titulaire de permis doit maintenir une capacité adéquate pour réaliser ou obtenir une analyse de la sûreté afin de :

  • résoudre les problèmes techniques qui surviennent tout au long de la durée de vie de la centrale
  • s'assurer que les exigences pertinentes soient respectées à l'égard de l'analyse de la sûreté élaborée par l'exploitant ou obtenue d'une tierce partie
  • Un processus formel devrait être établi pour évaluer et mettre à jour l'analyse de la sûreté et s'assurer que l'analyse de la sûreté tient compte :
  • de la configuration actuelle de la centrale (centrales existantes)
  • des limites et conditions d'exploitation actuelles (centrales existantes)
  • de l'expérience acquise en matière d'exploitation, y compris celle tirée de l'exploitation d'installations similaires
  • des résultats disponibles provenant de la recherche expérimentale, des connaissances théoriques améliorées ou des nouvelles capacités de modélisation afin d'évaluer les impacts possibles sur les résultats des analyses de la sûreté
  • des facteurs humains, afin de s'assurer qu'on met en jeu des estimations crédibles de la performance humaine dans le processus d'analyse

4.2 Événements à analyser

4.2.1 Identification des événements

Le titulaire de permis doit identifier, à l'aide d'un processus systématique, les événements, les séquences d'événements et les combinaisons d'événements (ci-après les « événements ») qui risquent de compromettre les fonctions de sûreté ou de contrôle de la centrale. Le titulaire de permis doit également identifier les événements susceptibles d'entraîner des rejets de produits de fission, y compris des rejets en lien avec la piscine de stockage du combustible usé (également appelée piscine de combustible irradié) et les installations de manutention du combustible. Ce processus doit être fondé sur les exigences réglementaires et l'orientation, les antécédents en matière de demande de permis, l'expérience d'exploitation, le jugement d'ingénierie, les résultats des évaluations déterministes et probabilistes et tout autre examen systématique de la conception.

L'identification des événements inclut les modes d'exploitation en puissance et d'arrêt. L'analyse déterministe devrait également inclure d'autres modes pour lesquels le réacteur doit pouvoir fonctionner pendant des périodes prolongées et qui ne sont pas couverts par l'analyse des modes d'exploitation en puissance et d'arrêt. Les événements d'origine commune touchant plusieurs tranches d'un site doivent être pris en compte. La liste des événements identifiés doit être examinée par souci d'exhaustivité durant les processus de conception et d'analyse et modifiée par la suite, au besoin.

En plus de porter sur les événements qui risquent de compromettre les fonctions de sûreté ou de contrôle de la centrale, des analyses de la sûreté doivent être réalisées pour l'exploitation normale.

Orientation

L'analyse de la sûreté porte sur un ensemble d'événements qui pourraient compromettre les fonctions de la sûreté ou de contrôle de la centrale nucléaire. Sont compris les événements tels que la défaillance des SSC ou les erreurs humaines, ainsi que les événements d'origine commune résultant de l'activité humaine ou les événements naturels.

L'analyse de la sûreté pourrait viser les EIH uniques, les séquences de plusieurs événements reliés ou les combinaisons d'événements indépendants.

L'ensemble des événements à considérer dans l'analyse de la sûreté est déterminé à l'aide d'un processus systématique qui tient compte :

  • des révisions à la conception de la centrale en utilisant des méthodes telles que des analyses des dangers et d'opérabilité, des analyses des modes de défaillance et de leurs effets ainsi que des schémas logiques maîtres
  • des listes d'événements élaborées pour l'analyse de la sûreté d'autres centrales nucléaires, s'il y a lieu
  • de l'analyse des données liées à l'expérience d'exploitation de centrales semblables
  • de tout événement requis dans l'analyse de la sûreté, conformément aux exigences réglementaires (p. ex. le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires)
  • des défaillances de l'équipement, des erreurs humaines et des événements d'origine commune décelés itérativement au moyen de l'EPS
  • de la fréquence de coupure des événements d'origine commune qui est compatible pour tous les événements

La liste des événements identifiés devrait être examinée itérativement aux fins d'exactitude et d'exhaustivité à mesure que se déroulent les analyses de conception et de sûreté de la centrale. Des examens devraient également être réalisés de façon périodique tout au long du cycle de vie de la centrale nucléaire pour tenir compte des nouvelles données et exigences.

Ce document exige que, lors de la détermination des événements, tous les modes permis d'exploitation de la centrale soient pris en considération. Tous les modes d'exploitation utilisés pour des périodes prolongées devraient être analysés. Les modes transitoires ou brefs peuvent être examinés sans analyse particulière dans la mesure où l'on peut démontrer que les analyses de la sûreté existantes sont limitatives pour le comportement et les conséquences de ces états.

Les modes d'exploitation d'une centrale nucléaire comprennent, sans s'y restreindre :

  • l'approche initiale de la criticité du réacteur
  • le démarrage du réacteur, de l'état d'arrêt jusqu'à la pleine puissance en passant par la criticité
  • la production d'énergie, y compris la pleine puissance et la basse puissance
  • les changements de puissance du réacteur, y compris les modes de suivi de charge, le cas échéant
  • l'arrêt du réacteur après l'utilisation en mode production
  • l'état d'arrêt en mode arrêt chaud
  • l'état d'arrêt en mode arrêt froid
  • l'état d'arrêt en mode de rechargement du combustible ou en mode d'entretien, qui ouvre des fermetures importantes dans l'enveloppe de pression du caloporteur
  • l'arrêt dans d'autres modes ou configurations de la centrale avec des conditions uniques de température, de pression ou d'inventaire du caloporteur
  • l'exploitation d'une durée limitée, lorsque certains systèmes importants pour la sûreté ne sont pas disponibles

Dans le cas des événements identifiés par le processus systématique utilisé à cette fin, il faudrait tenir compte d'un éventail complet de configurations et de modes d'exploitation des équipements lors de la réalisation de l'analyse déterministe de la sûreté.

Les modifications importantes apportées à la centrale, comme la remise en état, la fermeture temporaire ou le déclassement, peuvent conduire à des configurations spéciales de la centrale. Ces configurations devraient être prises en compte, et les événements découlant de celle-ci devraient être identifiés et intégrés à l'analyse déterministe de la sûreté.

4.2.2 Portée des événements

La liste des événements identifiés pour l'analyse de la sûreté doit comprendre :

  1. toutes les défaillances ou anomalies crédibles de composants et de systèmes
  2. toutes les erreurs crédibles des opérateurs
  3. tous les événements crédibles d'origine commune, initiés de manière interne ou externe, y compris ceux qui affectent plusieurs tranches d'un site

Une fréquence de coupure doit être choisie, de sorte que les événements dont la fréquence d'occurrence est inférieure à cette limite ne contribuent que de manière négligeable au risque global posé par la centrale. L'élimination de ces événements de la portée de l'analyse doit être justifiée et les raisons qui motivent cette décision doivent être documentées.

Orientation

4.2.2.1 Orientation relative à l'exploitation normale
Au cours de la phase de conception, l'exploitation normale de la centrale est analysée en tant que classe distincte d'événements. Cela permet d'évaluer les sources de rayonnement ou les rejets de matières radioactives dans divers modes d'exploitation ou de transition entre les modes. Dans le cas d'une centrale existante, il peut être nécessaire de réaliser une analyse de la sûreté lors de l'exploitation normale si un nouveau mode opérationnel est envisagé ou si des modifications importantes (tout changement qui peut modifier les caractéristiques d'un système) sont apportées à la conception.
4.2.2.2 Orientation relative aux défaillances ou au dysfonctionnement des structures, systèmes et composants
Les défaillances des SSC comprennent le défaut de fonctionner lorsque nécessaire, le fonctionnement erroné et les défaillances partielles. Les événements à prendre en compte comprennent :
  • les défaillances ou le dysfonctionnement des systèmes actifs, comme les pompes, les vannes, les systèmes de contrôle ou l'alimentation électrique
  • les défaillances des systèmes passifs, comme des brèches dans les enveloppes sous pression du réacteur, y compris les tuyaux et les disques de rupture
4.2.2.3 Orientation relative aux erreurs commises par les opérateurs
En tant qu'événements initiateurs, les erreurs commises par l'opérateur produisent normalement les mêmes résultats que les événements causés par une défaillance de l'équipement. Par conséquent, il n'est pas nécessaire de les prendre en compte séparément dans les modèles et codes informatiques d'analyse déterministe de la sûreté. Toutefois, les conséquences génériques des erreurs humaines comme événements initiateurs devraient être prises en compte pour établir toute défaillance potentielle conséquente d'un système. Ainsi, si une erreur particulière d'un opérateur entraîne un événement initiateur unique, il faudrait l'inclure dans la liste des EIH, pour les analyses déterministes de la sûreté.
4.2.2.4 Orientation relative aux événements internes ou externes d'origine commune

Les événements d'origine commune sont des défaillances de plusieurs composants qui peuvent être déclenchées par des événements internes ou externes (anthropiques ou naturels).

Les événements internes d'origine commune comprennent les incendies, les inondations d'origine interne, les explosions et les défaillances d'équipement (comme la rupture des turbines) qui peuvent produire des missiles.

  • les tremblements de terre
  • les incendies externes
  • les inondations ou tsunamis se produisant à l'extérieur du site
  • les risques biologiques (p. ex. les moules ou les algues marines ayant une incidence sur le débit ou la température de l'eau de refroidissement)
  • les conditions météorologiques extrêmes (température, précipitations, vents forts, tornades, etc.)

Les événements initiateurs externes peuvent causer des événements internes ou externes. Par exemple, un tremblement de terre peut entraîner la défaillance des équipements de la centrale ou une panne de courant hors site, ou encore provoquer des inondations, des tsunamis ou des incendies. Les événements externes peuvent provoquer des accidents dans une ou plusieurs tranches d'une installation nucléaire à tranches multiples.

Les événements externes anthropiques examinés dans l'analyse déterministe de la sûreté comprennent :

  • les impacts d'avions ou de missiles
  • les explosions survenant dans des installations industrielles situées à proximité ou dans des systèmes de transport
  • le rejet de produits chimiques toxiques ou corrosifs provenant d'installations industrielles situées à proximité ou de systèmes de transport
  • les interférences électromagnétiques
4.2.2.5 Orientation relative aux combinaisons d'événements

Il faudrait tenir compte des combinaisons d'événements (qui peuvent se produire simultanément ou en séquence jusqu'au retour de la centrale à l'état stable).

Les types de combinaisons comprennent :

  • les défaillances indépendantes multiples touchant les équipements importants pour la sûreté
  • la défaillance d'un système de procédé et d'un système important pour la sûreté
  • les défaillances multiples des systèmes de procédé
  • les défaillances d'équipements et les erreurs de l'opérateur
  • les événements d'origine commune et les erreurs de l'opérateur
Les exemples de combinaisons d'événements comprennent :
  • perte de caloporteur avec panne d'électricité de la centrale incluant la coupure complète de son alimentation électrique
  • perte de caloporteur avec perte de refroidissement du confinement
  • les petits accidents de perte de réfrigérant primaire (APRP) avec dépressurisation primaire ou secondaire
  • rupture de la conduite de vapeur principale avec impossibilité pour l'opérateur d'activer le système de refroidissement d'urgence
4.2.2.6 Orientation relative au regroupement d'événements

Les recommandations mentionnées ci-dessus permettront de déceler de nombreux événements, mais il est possible qu'il ne soit ni faisable ni nécessaire d'analyser tous ces événements. Les événements identifiés peuvent éventuellement être groupés en catégories en fonction de la similitude des défaillances initiales, des phénomènes clés ou des réponses des systèmes et de l'opérateur. Les exemples de catégories d'événement comprennent la diminution d'inventaire du caloporteur, les anomalies de réactivité et de puissance, et l'augmentation ou la diminution de l'évacuation de la chaleur. Comme la réponse de la centrale à un événement donné dépend de sa conception et de la disponibilité des systèmes, la classification la plus appropriée des événements peut varier.

Pour le niveau 3 de la défense en profondeur, les analyses de la sûreté des IFP et des AD devraient déterminer les événements limitatifs pour chaque critère d'acceptation applicable dans chaque catégorie d'événements. Dans certains cas, un scénario d'accident dans la même catégorie d'événements peut se révéler plus limitatif par rapport à un critère d'acceptation donné (par exemple, la limite de pression du confinement) et un autre scénario peut être plus grave dans le contexte d'un critère d'acceptation différent (par exemple, les doses au public). Tous ces scénarios devraient être examinés dans le processus d'analyse de la sûreté comme événements limitatifs pour divers critères d'acceptation.

4.2.2.7 Orientation relative à la subdivision des événements

Dans l'analyse de la sûreté, un événement peut être divisé en sous-événements lorsqu'il y a des différences importantes entre les subdivisions, par exemple :

  • les phénomènes produits à la centrale en réponse aux événements
  • les défis liés à la sûreté et aux systèmes importants pour la sûreté
  • les fréquences
Par exemple, les APRP sont habituellement subdivisés en petits et grands APRP parce qu'il y a des différences majeures sur le plan des phénomènes et des défis qu'ils représentent pour les systèmes de sûreté. Il ne faudrait pas subdiviser un événement sans justification valable dans le but de reclasser un des sous-événements qui en résulte pour le faire passer d'un IFP à un AD, ou d'un AD à un AHD, ou encore afin d'obtenir une fréquence qui soit inférieure à la fréquence limite de coupure utilisée dans le cas d'une EPS.
4.2.2.8 Orientation relative à la fréquence de coupure

Lorsqu'on commence à identifier les événements, il faudrait inclure les événements à basse fréquence (notamment les tremblements de terre et les tsunamis qui peuvent suivre) et ceux dont les conséquences sont mineures. Lorsqu'on définit la portée des événements à analyser, l'analyse déterministe de la sûreté devrait choisir la même fréquence de coupure que celle utilisée dans l'étude probabiliste applicable à la même installation. Cette fréquence est choisie de façon à pouvoir intégrer l'analyse déterministe à l'étude probabiliste.

Certains événements peuvent être exclus de l'examen détaillé (par exemple, parce qu'ils contribuent peu à atteindre les objectifs de sûreté ou parce qu'ils sont limités par un autre événement analysé). Une telle exclusion devrait être pleinement justifiée et les raisons devraient être bien documentées.

4.2.3 Classification des événements

Les événements identifiés seront classés, à la lumière des résultats des études probabilistes et du jugement technique, dans l'une des trois catégories suivantes :

  1. les incidents de fonctionnement prévus, qui comprennent tous les événements dont la fréquence est égale ou supérieure à 10-2 par année-réacteur
  2. les accidents de dimensionnement, qui comprennent les événements dont la fréquence est égale ou supérieure à 10-5 par année-réacteur, mais inférieure à 10-2 par année-réacteur
  3. les accidents hors dimensionnement, qui comprennent les événements dont la fréquence est inférieure à 10-5 par année-réacteur

Remarques :

  • Conformément au document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires, le sous-ensemble d'AHD pris en considération dans la conception d'une nouvelle centrale nucléaire s'appelle « conditions additionnelles de dimensionnement (CAD) ».
  • Les CAD ne remplacent pas les AHD dans la plupart des occurrences énoncées dans le REGDOC-2.4.1, puisque l'analyse tiendra compte d'événements dont la fréquence est plus faible que celle des CAD, comme par exemple, dans la recherche de l'effet de falaise ou dans l'analyse des événements limitatifs.

D'autres facteurs à considérer pour la classification des événements sont les exigences réglementaires ou les pratiques antérieures pertinentes. Les événements dont la fréquence se situe à la limite entre deux catégories, ou dont l'incertitude de fréquence prévue est importante, seront classés dans la catégorie de fréquence supérieure.

Les événements crédibles d'origine commune doivent également être classés dans les catégories IFP, AD et AHD.

Orientation

Les événements sont classés parce que chaque état de la centrale comporte des exigences en matière d'analyse de la sûreté et des critères d'acceptation différents. Les exigences de l'analyse de la sûreté reflètent le niveau de protection conformément au principe de défense en profondeur. Les états normaux de la centrale et les conditions d'accident sont pris en compte dans l'analyse de la sûreté. La classification des événements est la suivante :

  • incidents de fonctionnement prévu – événements plus complexes que les manœuvres d'exploitation normale, avec un défi potentiel pour la sûreté du réacteur et qui pourraient vraisemblablement survenir au cours de la durée de vie de la centrale
  • accidents de dimensionnement – événements qui ne sont pas sensés se produire au cours de la durée de vie de la centrale, mais qui, conformément au principe de défense en profondeur, sont pris en compte dans la conception de la centrale nucléaire; toutefois, certains groupes d'événements ayant une fréquence inférieure peuvent être également compris dans le dimensionnement de la centrale
  • accidents hors dimensionnement – événements peu probables qui peuvent être plus graves que les AD et qui, en raison de défaillances multiples ou d'erreurs de l'opérateur, peuvent empêcher les systèmes de sûreté de remplir leurs fonctions de sûreté et ainsi causer des dommages importants au cœur du réacteur, compromettre l'intégrité de la barrière de confinement et éventuellement, occasionner le rejet de matières radioactives de la centrale

Les états de la centrale comprennent les états de fonctionnement (exploitation normale et IFP) et les conditions d'accident (AD et AHD). Cependant, tel qu'indiqué dans le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires, l'autorité responsable de la conception établit l'enveloppe de conception de la centrale, laquelle comprend tous les états de la centrale pris en compte dans la conception : exploitation normale, IFP, AD et CAD (voir la figure 1).

Figure 1 : États de la centrale

États de la centrale

Figure 1: Texte équivalent

Même si l'évaluation de la fréquence sert de base à la classification des événements, on reconnaît qu'une telle évaluation peut comporter une grande incertitude. Par conséquent, un événement dont la fréquence anticipée se situe à la valeur seuil de deux classes d'événements, ou présente une grande incertitude dans l'évaluation de la fréquence prévue, est classé dans la catégorie de fréquence supérieure.

D'autres facteurs peuvent influer sur le choix de certains événements à retenir aux fins de classification, comme les exigences réglementaires ou les pratiques antérieures pertinentes. Afin de comprendre la notion de marges de sûreté ou de robustesse de la conception, l'autorité de réglementation peut demander que certains événements soient analysés dans la catégorie des accidents de dimensionnement, ou dans celles des accidents graves. Les pratiques et l'expérience passées peuvent indiquer que certains scénarios sont plus critiques et devraient être analysés comme des AD.

Certains modes d'exploitation de la centrale ne peuvent être utilisés que pendant de courtes périodes. Habituellement, les événements sont classés sans tenir compte de la fréquence de ces modes d'exploitation. Cependant, lors de classification des événements, la fréquence des modes d'exploitation pourra être envisagée au cas par cas.

L'annexe A fournit des exemples d'événements de différentes classes fondés sur l'expérience des réacteurs CANDU. Ces exemples illustrent les résultats pouvant découler du processus d'identification et de classification des événements décrit à la sous-section 4.2. Cette liste n'est donnée qu'à titre d'information et n'a pas pour but d'être exhaustive. En pratique, une telle liste serait normalement établie par des méthodes probabilistes. La liste fera état de regroupements d'événements (voir la sous-section 4.2.2.6). Seuls les événements représentatifs ou limitatifs de chaque groupe d'événements devraient être analysés.

4.2.3.1 Orientation relative aux incidents de fonctionnement prévus

La conception de la centrale est censée être suffisamment robuste pour que la plupart des IFP ne nécessitent pas le déclenchement des systèmes de sûreté pour prévenir des dommages subséquents aux SSC de la centrale. Cela fait partie du niveau 2 de la défense en profondeur et contribue à s'assurer que les événements nécessitant l'utilisation des systèmes de sûreté sont réduits au minimum. On s'attend à ce que les systèmes de contrôle de la centrale compensent les effets attribuables à l'événement et maintiennent la centrale dans un état stable pendant une durée suffisante pour que l'opérateur intervienne. L'intervention de l'opérateur peut comprendre l'activation des systèmes de sûreté et l'arrêt de la centrale selon les procédures établies, selon ce qui est jugé nécessaire. Une fois l'événement initiateur réglé, il devrait être possible de reprendre les activités de la centrale.

Dans le cas du niveau 3 de la défense en profondeur, en plus de répondre aux attentes susmentionnées pour la défense en profondeur du niveau 2, la conception doit également démontrer avec un degré de confiance élevé que les systèmes de sûreté peuvent atténuer tous les IFP sans l'intervention des systèmes de contrôle de la centrale.

Des exemples d'IFP sont illustrés au tableau 1, qui donne des exemples pour un réacteur CANDU et un réacteur à eau légère (REL). La liste présentée dans le tableau 1 n'est pas exhaustive. Une liste complète tiendrait compte du type de réacteur et de la conception des systèmes de la centrale.

Tableau 1 : Exemples d'incidents de fonctionnement prévus
Catégorie d'événement Incident de fonctionnement prévu
Augmentation de l'évacuation de la chaleur du réacteur
  • ouverture intempestive des soupapes de décharge de vapeur
  • dysfonctionnement du réglage de la pression secondaire entraînant une augmentation du débit de vapeur
  • dysfonctionnement du système d'eau d'alimentation entraînant une augmentation de taux d'évacuation de la chaleur
Diminution de l'évacuation de la chaleur du réacteur
  • déclenchement d'une pompe d'eau d'alimentation
  • réduction du débit de vapeur pour diverses raisons (p. ex. dysfonctionnement du contrôle, fermeture de la vanne de décharge de vapeur principale, déclenchement de la turbine, perte de la charge externe, perte d'alimentation éclectique, perte du vide du condenseur)
Modifications au débit du circuit caloporteur du réacteur
  • déclenchement d'une pompe principale du caloporteur
  • isolement intempestif d'une boucle du circuit caloporteur principal (le cas échéant)
Anomalies de la réactivité et de la distribution de puissance
  • retrait intempestif d'une seule barre de commande
  • dilution de la concentration du poison neutronique attribuable à un dysfonctionnement du système de contrôle du volume
  • mauvais emplacement d'un assemblage de combustible (REL) ou rechargement du mauvais canal (CANDU)
Augmentation d'inventaire du caloporteur
  • dysfonctionnement du système de contrôle chimique et de contrôle d'inventaire
Diminution d'inventaire du caloporteur
  • très petits APRP attribuables à la défaillance d'une conduite d'instrumentation
Rejet de matières radioactives provenant d'un sous-système ou d'un composant
  • • fuite mineure d'un système de déchets radioactifs
4.2.3.2 Orientation relative aux accidents de dimensionnement

Les événements entraînant des AD sont classés en fonction des fréquences estimées des défaillances de l'équipement, des erreurs de l'opérateur ou des événements d'origine commune. Tous les événements identifiés comme initiateurs d'IFP doivent également être considérés comme initiateurs potentiels d'AD, compte tenu de la probabilité relativement élevée des IFP et de la possibilité de défaillances supplémentaires de l'équipement ou d'erreurs supplémentaires de l'opérateur.

Le tableau 2 présente des exemples d'AD pour les réacteurs CANDU, les réacteurs à eau sous pression (REP) et autres réacteurs à eau légère (REL). La liste qui suit, dans le tableau 2, n'est pas exhaustive. Une liste complète d'AD dépendrait du type de réacteur et de la conception réelle.

Tableau 2 : Exemples d'accidents de dimensionnement
Catégorie d'événement Accident de dimensionnement
Augmentation de l'évacuation de la chaleur du réacteur
  • rupture de la conduite de vapeur
Diminution de l'évacuation de la chaleur du réacteur
  • rupture de la conduite d'eau d'alimentation
Modification au débit du circuit caloporteur
  • déclenchement de plus d'une pompe principale du caloporteur
  • blocage ou rupture de l'arbre de la pompe principale du caloporteur
  • blocage de l'écoulement d'eau du canal de combustible (CANDU)
Anomalies de la réactivité et de la distribution de puissance
  • retrait incontrôlé d'une barre de commande
  • éjection d'une barre de commande (REL)
  • dilution du bore attribuable au démarrage d'une boucle inactive (REP)
Augmentation de l'inventaire du caloporteur
  • fonctionnement intempestif du refroidissement d'urgence du cœur
Diminution de l'inventaire du caloporteur
  • éventail des APRP possibles
  • ouverture intempestive des soupapes de décharge du circuit primaire
  • fuites de caloporteur dans le circuit secondaire
Rejet de matières radioactives provenant d'un sous-système ou d'un composant
  • surchauffe ou endommagement du combustible usé au cours du transport ou lors du stockage
  • ruptures dans le circuit de traitement de déchets gazeux ou liquides
4.2.3.3 Orientation relative aux accidents hors dimensionnement

L'EPS permet d'identifier systématiquement les séquences d'événements qui pourraient compromettre les fonctions de sûreté fondamentales. Les séquences d'événements représentatives sont alors analysées en recourant aux techniques d'analyse déterministe de la sûreté pour évaluer l'ampleur des défaillances du combustible, les dommages au cœur du réacteur, au circuit caloporteur et au confinement et les rejets de radionucléides. L'utilisation d'une fréquence limite de coupure pour la fréquence des AHD analysés devrait prendre en compte les objectifs en matière de sûreté établis pour la centrale et être conforme aux objectifs de l'analyse de la sûreté.

Exemples d'accidents hors dimensionnement :

  • perte complète d'évacuation de la chaleur résiduelle du cœur du réacteur
  • perte complète de l'alimentation électrique pour une longue période

Cette classe d'événements comprend également des défaillances massives des cuves sous pression. Certaines de ces défaillances peuvent être exemptées de l'analyse déterministe de la sûreté si l'on peut démontrer qu'elles sont suffisamment improbables et que toutes les conditions suivantes sont remplies :

  • la cuve sous pression est conçue, fabriquée, installée et utilisée conformément aux exigences nucléaires des programmes d'ingénierie applicables et à d'autres exigences
  • un programme d'inspection en service est mis en œuvre
  • l'expérience d'exploitation relative aux cuves sous pression semblables du point de vue de la conception et de l'exploitation confirme une faible probabilité de défaillances
  • la cuve sous pression est munie des protections appropriées pour limiter la propagation des dommages à la centrale

Remarque : Bien que le collecteur du circuit caloporteur des réacteurs CANDU ne soit pas considéré comme une cuve sous pression, on devrait inclure sa défaillance éventuelle dans l'analyse de la sûreté.

Les événements exclus de l'analyse des AD en fonction de la méthodologie de « fuite avant rupture » (FAR) doivent être pris en compte dans les séquences des AHD. Par exemple, tout APRP majeur ou rupture de la conduite de vapeur principale qui ont pu être exclus des AD devraient être pris en compte pour l'analyse des AHD.

4.3 Critères d'acceptation

Les critères d'acceptation sont établis pour servir de seuil pour l'exploitation normale sécuritaire, pour les IFP, les AD et dans la mesure du possible, les AHD. Les limites et conditions appliquées par les concepteurs et opérateurs de la centrale devraient être appuyées par des preuves expérimentales adéquates et être conformes aux critères d'acceptation de l'analyse de la sûreté (décrits dans les sous-sections 4.3.1 à 4.3.4).

4.3.1 Exploitation normale

L'analyse de l'exploitation normale d'une centrale, réalisée pendant la phase de conception, doit de démontrer que :

  1. les doses de rayonnement reçues par les travailleurs et les membres du public se situent à l'intérieur des limites considérées acceptables par la CCSN
  2. les rejets de matières radioactives dans l'environnement se situent à l'intérieur des limites admissibles pour l'exploitation normale

Orientation

L'analyse déterministe de la sûreté pour l'exploitation normale devrait permettre de :

  • vérifier les points de déclenchement des systèmes de sûreté, pour démontrer que le déclenchement ne se produira que s'il est requis
  • vérifier que les contrôles et alarmes des procédés sont efficaces et parviennent à réduire ou à éviter le déclenchement des systèmes de sûreté
  • traiter toutes les conditions de la centrale nucléaire pour lesquelles les systèmes et les équipements fonctionnent comme prévu, sans obstacle interne ou externe, y compris toutes les configurations d'exploitation pour lesquelles la centrale a été conçue, au cours de son exploitation normale et tout au long de sa durée de vie, en régime de puissance et à l'arrêt

4.3.2 Incidents de fonctionnement prévus et accidents de dimensionnement

L'analyse des IFP et des AD doit permettre de démontrer que :
  1. les doses de rayonnement reçues par les membres du public ne dépassent pas les limites établies
  2. les critères d'acceptation dérivés, établis conformément à la section 4.3.4, sont respectés

Orientation

L'objectif de l'analyse de la sûreté pour le cas des IFP et des AD consiste à démontrer l'efficacité des fonctions de sûreté clés suivantes :

  • le contrôle de la puissance du réacteur, y compris l'arrêt du réacteur et son maintien à l'état d'arrêt
  • l'évacuation de la chaleur du cœur
  • la préservation de l'intégrité des barrières des produits de fission
  • la préservation de l'aptitude fonctionnelle des composants pour les IFP
  • l'assurance que les conséquences des rejets de matières radioactives sont inférieures aux limites acceptables
  • la surveillance des paramètres de sûreté critiques

Les critères d'acceptation pour les IFP et les AD devraient comprendre :

  • les critères d'acceptation associés aux doses reçues par le public
  • les critères d'acceptation calculés relatifs à la protection des barrières physiques de défense en profondeur (voir les exemples à la sous-section 4.3.4 et à l'annexe B)

La dose engagée au corps entier pour les membres moyens des groupes critiques les plus à risque, à la périphérie du site ou au-delà, est calculée dans l'analyse déterministe de la sûreté pendant une période de 30 jours après l'événement analysé.

Cette dose est inférieure ou égale aux critères d'acceptation des doses indiqués ci-dessous :

  • 0,5 millisievert pour tout IFP
  • 20 millisieverts pour tout AD

Ces limites de doses s'appliquent aux nouvelles centrales nucléaires. Dans le cas des réacteurs existants, les limites de doses précisées dans les permis d'exploitation doivent être respectées.

Remarque : Les nouvelles centrales nucléaires mentionnées dans cette section sont celles qui ont été autorisées pour la première fois après la parution du document RD-337, Conception des nouvelles centrales nucléaires en 2008.

Pour démontrer que les conséquences radiologiques d'un événement analysé ne dépassent pas les limites, les doses devraient être calculées conformément à l'orientation fournie dans la sous-section 4.4.4.7.

Les critères d'acceptation pour la classe d'événements dont les fréquences sont supérieures devraient être plus rigoureux que ceux relatifs à la classe d'événements ayant des fréquences inférieures.

Pour démontrer la conformité aux critères d'acceptation des doses reçues par le public pour un IFP, les fonctions d'isolement automatique et de réduction de pression du système de confinement ne devraient pas être créditées, car ces fonctions sont habituellement considérées comme faisant partie du niveau 3 de la défense en profondeur. Toutefois, la capacité des barrières passives et les sous-systèmes du confinement qui fonctionnent normalement pourraient être crédités, s'ils sont qualifiés pour les conditions d'IFP.

Les critères d'acceptation dérivés ont deux composantes : une quantitative et l'autre qualitative. Les critères d'acceptation quantitatifs devraient être établis au moyen de preuves matérielles directes et de phénomènes bien connus, et ils devraient tenir compte des incertitudes.

En ce qui à trait aux critères d'acceptation qualitatifs (comme les exemples donnés à l'annexe B), les directives suivantes ne s'appliquent qu'aux IFP :

  • les critères d'acceptation qualitatifs devraient être respectés sans avoir à se fier à la fonction automatique des systèmes de sûreté pour toute une variété d'IFP. Les systèmes de contrôle de la centrale devraient normalement être en mesure de corriger les conditions transitoires et d'empêcher les dommages aux SSC
  • les systèmes de contrôle devraient être en mesure de maintenir la centrale dans un état de fonctionnement stable suffisamment longtemps pour permettre à l'opérateur de diagnostiquer l'événement, de prendre les mesures nécessaires et, s'il y a lieu, d'arrêter le réacteur en suivant les procédures applicables
  • même s'il peut être démontré que les systèmes de contrôle maintiennent la centrale dans un état sûr à la suite d'un IFP sans l'activation des systèmes de sûreté (défense en profondeur de niveau 2), il faudrait également démontrer avec un niveau de confiance élevé que les systèmes de sûreté peuvent atténuer l'événement sans les mesures bénéfiques produites par les systèmes de contrôle (défense en profondeur de niveau 3) pour tous les IFP

Certains accidents dont la fréquence prévue est inférieure à 10-5 par année-réacteur pourraient servir d'événement de référence pour un système de sûreté. Dans ce cas, les limites de doses d'un AD devraient être respectées et l'analyse devrait également envisager le respect des critères d'acceptation qualitatifs applicables à ce système de sûreté particulier. Les marges de rendement du système de sûreté devraient être suffisantes pour assurer que les limites de doses d'un AD sont respectées

4.3.3 Accidents hors dimensionnement

Une évaluation de la sûreté des AHD doit être réalisée pour démontrer que :
  1. la centrale nucléaire, telle que conçue, respecte les exigences relatives aux limites de rejet établies comme objectifs de sûreté. L'analyse déterministe de la sûreté fournit des données sur les conséquences pour les séquences d'accident qui peuvent être utilisées dans l'EPS.
  2. les procédures et l'équipement mis en place pour répondre aux besoins en matière de gestion des accidents sont efficaces et tiennent compte de la disponibilité de l'eau de refroidissement, du matériel et des sources d'alimentation électrique; il est possible de prendre en considération les capacités complètes de conception de la centrale, y compris l'utilisation possible des systèmes de sûreté, des systèmes sans lien avec la sûreté et des systèmes temporaires au-delà de leurs fonctions initiales prévues.

Orientation

Les évaluations probabilistes et déterministes de la sûreté devraient démontrer que la défense en profondeur du niveau 4 empêche les conséquences d'un AHD, ou les atténue, y compris les accidents graves, comme le décrit le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires. L'analyse déterministe des AHD porte sur un ensemble de séquences représentatives dans lesquelles les systèmes de sûreté ont mal fonctionné et certaines des barrières s'opposant au rejet de matières radioactives peuvent avoir été défectueuses ou contournées. Les séquences d'accidents choisies pour l'analyse devraient être pertinentes et représentatives des objectifs de l'analyse. En d'autres termes, les AHD représentatifs peuvent être choisis parmi les principales séquences d'accident provenant de l'étude probabiliste de la sûreté ou en ajoutant les défaillances des systèmes de sûreté ou les interventions inappropriées de l'opérateur aux séquences d'un AD. En général, les résultats des études d'EPS peuvent être utilisés à cette fin s'ils sont pertinents.

L'objectif de l'analyse de la sûreté pour un AHD consiste à :

  • évaluer la capacité de la conception à surmonter les défis que pose l'AHD et à identifier les vulnérabilités de la centrale
  • évaluer l'efficacité des caractéristiques de conception spécifiquement incorporées dans la conception de la centrale pour réduire la probabilité d'apparition d'un AHD ou en atténuer les conséquences (cette évaluation porte également sur l'équipement utilisé pour la gestion des accidents et les instruments nécessaires à la surveillance des accidents)
  • évaluer la capacité de rétablir et de maintenir les fonctions de sûreté en utilisant d'autres procédures, méthodes et systèmes variés, y compris l'utilisation des équipements non liés à la sûreté
  • participer à la mise au point d'un programme de gestion des accidents pour les AHD et les conditions d'accident grave
  • participer à la planification d'urgence hors site

Dans le cas des événements touchant des centrales à tranches multiples, comme dans le cas des événements touchant les centrales avec une seule tranche, il faudrait évaluer la capacité des sources de refroidissement et d'alimentation électrique essentielles.

La conception en fonction des AHD vise à respecter les critères de risque, comme les objectifs de sûreté liés à la fréquence des dommages graves au cœur du réacteur et des émissions importantes de radioactivité, tels qu'ils sont évalués par l'EPS.

Des calculs déterministes des termes sources pour les AHD peuvent également être effectués conformément à l'objectif de l'analyse des AHD. Ces calculs devraient démontrer par exemple que :

  • la défaillance du confinement ne se produira pas à court terme après un accident grave (voir le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires)
  • le public bénéficie d'un niveau de protection contre les conséquences pouvant découler de l'exploitation d'une centrale nucléaire de sorte qu'il n'y a pas de risque supplémentaire important pour la vie et la santé des personnes

4.3.4 Critères d'acceptation pour les incidents de fonctionnement prévus et les accidents de dimensionnement

Des critères d'acceptation qualitatifs doivent être définis pour les IFP et les AD, afin de confirmer que les systèmes de la centrale permettent d'efficacement maintenir l'intégrité des barrières physiques contre les rejets de matières radioactives. Ces critères doivent répondre aux principes généraux suivants :

  • éliminer le risque de défaillances indirectes résultant d'un événement initiateur
  • maintenir les structures, systèmes et composants dans une configuration permettant l'évacuation efficace de la chaleur résiduelle
  • prévenir le développement de configurations complexes ou de phénomènes physiques qui ne peuvent être modélisés avec un niveau de confiance élevé
  • être compatibles avec les exigences de conception des systèmes, structures et composants de la centrale

Pour démontrer que les critères d'acceptation qualitatifs applicables aux IFP ou aux AD analysés sont respectés, des critères d'acceptation dérivés quantitatifs, appuyés par des données expérimentales, seront identifiés avant de procéder à l'analyse.

Les résultats de l'analyse de la sûreté doivent respecter les critères d'acceptation dérivés appropriés avec des marges suffisantes pour tenir compte des incertitudes associées à l'analyse.

L'analyse doit être réalisée pour l'événement qu'on considère comme posant le plus de difficultés sur le plan du respect des critères d'acceptation dérivés (c.-à-d. l'événement le plus limitatif d'une catégorie d'événements).

Orientation

En plus des limites de doses indiquées à la sous-section 4.3.2, les critères d'acceptation pour les IFP et les AD comprennent également un ensemble de critères d'acceptation dérivés, tels que les exemples de critères d'acceptation qualitatifs donnés à l'annexe B.

Ces critères d'acceptation sont établis par le concepteur pour limiter les dommages à diverses barrières de défense. La conformité à ces exigences garantit la présence de barrières physiques pour limiter le rejet de matières radioactives et prévenir les rejets radiologiques inacceptables à la suite d'un IFP ou d'un AD. Le non-respect d'un critère d'acceptation dérivé ne signifie pas nécessairement que les limites de doses seront dépassées. Toutefois, si ces critères sont respectés avec une marge importante, il est alors possible de simplifier les calculs de doses étant donné que les rejets du produit de fission devraient être limités.

Les critères d'acceptation dérivés sont généralement plus rigoureux pour les événements dont la fréquence est plus élevée. Par exemple, pour la plupart des IFP, les interventions des systèmes de contrôle doivent être en mesure d'empêcher la dégradation résultante de n'importe quelle barrière physique dans la mesure où les SSC connexes ne sont plus aptes au service (y compris la matrice du combustible, la gaine du combustible, la limite de pression du caloporteur du réacteur ou le confinement).

Des exigences plus rigoureuses peuvent être établies pour démontrer la disponibilité d'une marge entre la valeur prévue et les critères d'acceptation quantitatifs ou pour simplifier une analyse (par exemple pour éviter d'avoir à effectuer une modélisation complexe). Il faudrait clairement indiquer les conditions d'applicabilité de chaque critère additionnel.

Pour chacun des critères d'acceptation qualitatifs illustrés à l'annexe B, il faudrait établir des critères d'acceptation quantitatifs (ou limites). Les limites quantitatives devraient :

  • être applicables à un système de la centrale nucléaire et à un scénario d'accident donnés
  • fournir une limite claire entre les états sécuritaires (lorsque la défaillance d'un SSC est évitée avec un niveau de confiance élevée) et les états non sécuritaires (lorsque la défaillance d'un SSC peut se produire)
  • être appuyées par des données expérimentales
  • intégrer des marges ou des facteurs de sûreté pour tenir compte de l'incertitude des données expérimentales et des modèles pertinents

Lorsque les données ne suffisent pas à déterminer la transition d'un état sécuritaire à un état non sécuritaire ou à établir des modèles précis, alors la limite quantitative relative aux exigences de sûreté correspondantes devrait être établie à la limite des données disponibles, à condition que la limite établie soit prudente.

4.4 Hypothèses et méthodes d'analyse déterministe de la sûreté

4.4.1 Généralités

L'analyse doit permettre de démontrer, avec un niveau de confiance approprié, la conformité aux critères d'acceptation. Pour ce faire, elle doit :

  1. être réalisée par des analystes qualifiés conformément à un processus d'AQ approuvé
  2. appliquer une méthode d'analyse systématique
  3. utiliser des données vérifiées
  4. utiliser des hypothèses justifiées
  5. utiliser des modèles et des codes informatiques vérifiés et validés
  6. comporter une marge de prudence
  7. être assujettie à un processus de révision

Orientation

La sous-section 4.4 porte principalement sur les méthodes et hypothèses liées à l'analyse déterministe de la sûreté des IFP et des AD pour la défense en profondeur du niveau 3. Des méthodes et hypothèses d'analyse semblables peuvent être appliquées à la défense en profondeur des niveaux 2 et 4 (avec des degrés appropriés de prudence). Certaines règles prudentes, comme le critère de défaillance unique, ne s'appliquent pas aux analyses des niveaux 2 et 4.

L'analyste de la sûreté a la possibilité de choisir les méthodes et hypothèses d'analyse de la sûreté, dans la mesure où les exigences et les attentes réglementaires sont respectées.

Le choix des méthodes et des hypothèses d'analyse de la sûreté devrait être tel que l'on puisse accorder le niveau approprié de confiance aux résultats de l'analyse.

4.4.2 Méthode d'analyse déterministe de la sûreté

La méthode d'analyse doit comprendre les éléments suivants :

  1. identifier les scénarios à analyser qui permettent d'atteindre les objectifs d'analyse
  2. identifier les critères d'acceptation, les exigences de sûreté et les limites applicables
  3. cerner les phénomènes importants de l'événement analysé
  4. choisir les méthodes de calcul ou les programmes informatiques, les modèles et les corrélations qui ont été validés pour les applications voulues
  5. définir les conditions limites et les conditions initiales
  6. effectuer des calculs, dont :
    1. des analyses de sensibilité, et identifier au besoin des marges associées aux effets de falaise
    2. une analyse de l'événement depuis l'état initial en régime stationnaire jusqu'à un état stable à long terme prédéfini, en tenant compte de l'orientation sur la durée fournie à la section 4.4.2.6
  7. tenir compte des incertitudes dans les modèles et les données d'analyse
  8. vérifier que les résultats des calculs sont cohérents sur le plan de la physique et de la logique
  9. traiter et documenter les résultats des calculs pour démontrer la conformité aux critères d'acceptation

Orientation

Les éléments de base compris dans la méthode d'analyse de la sûreté sont décrits aux sous-sections 4.4.2.1 à 4.4.2.9. Trois méthodes d'analyse principales sont utilisées dans l'analyse déterministe de la sûreté :

  • la méthode d'analyse prudente, comme celle utilisée pour la défense en profondeur du niveau 3
  • la méthode de la meilleure estimation, plus la méthode d'évaluation des incertitudes, comme la méthode utilisée pour la défense en profondeur du niveau 3
  • la méthode d'analyse fondée sur la meilleure estimation, comme celle utilisée pour la défense en profondeur des niveaux 2 et 4

La première et la deuxième méthodes ci-dessus sont prises en compte lors de l'application du principe de prudence dans l'analyse de la sûreté et sont traitées à la sous-section 4.4.6. L'évaluation des incertitudes est expliquée à la section 4.4.2.7.

4.4.2.1 Orientation visant à déterminer les scénarios à analyser

Le scénario à analyser, ou l'événement analysé, devraient être définis en intégrant les descriptions des éléments suivants :

  • les conditions initiales
  • l'événement initiateur et tout événement supplémentaire
  • les interventions prévues des systèmes de la centrale et de l'opérateur en réponse à l'événement initiateur
  • la description générale du transitoire prévu
  • les préoccupations connexes liées à la sûreté
  • l'état stable à long terme (y compris la mise à l'arrêt dépressurisé et à froid) à la fin de l'événement
4.4.2.2 Orientation visant à établir les critères d'acceptation applicables

Il faudrait déterminer un ensemble de critères applicables, y compris toute exigence réglementaire. Ces critères devraient tenir compte de tous les problèmes liés à la sûreté tout en démontrant leur conformité aux critères d'acceptation de dose décrits dans la sous-section 4.3.2, ainsi qu'aux critères d'acceptation dérivés adoptés par le concepteur. D'autres critères peuvent être définis pour, par exemple, simplifier l'analyse en imposant des critères plus rigoureux ou pour permettre des évaluations intermédiaires dans la recherche de cas limites.

4.4.2.3 Orientation visant à identifier les phénomènes importants

Il faudrait déterminer les phénomènes et paramètres clés et l'éventail des valeurs des paramètres associées à l'événement analysé. Il faudrait également fournir des données expérimentales d'appui ou les citer en référence et démontrer une connaissance théorique.

Si un événement est caractérisé par suffisamment d'étapes diverses, alors les phénomènes clés devraient être déterminés pour chaque étape.

L'importance des phénomènes en jeu devrait être évaluée par rapport à chaque critère d'acceptation. Les paramètres clés sont définis pour chaque phénomène important. Ces paramètres sont par la suite classés en fonction de leur capacité à influencer les critères d'acceptation applicables.

Les analyses de sensibilité peuvent être utilisées conjointement avec le jugement d'experts pour aider à définir et à classer les paramètres en évaluant leur influence sur les résultats d'analyse pour chaque critère d'acceptation. Une importance particulière devrait être accordée à l'identification des « effets de falaise », soit toute modification soudaine d'un phénomène au cours de n'importe quelle étape de l'analyse.

Les résultats des expériences devraient également être utilisés pour aider à déterminer les paramètres clés, à effectuer la classification en fonction de l'importance et à déterminer si des changements radicaux se sont produits, et où ils se sont produits.

4.4.2.4 Orientation relative aux modèles et codes machines

L'analyse de la sûreté est réalisée en utilisant les modèles des systèmes de la centrale et des phénomènes physiques.

Tous les phénomènes importants indiqués à la sous-section 4.4.2.3 devraient être représentés dans les modèles intégrés dans le code informatique utilisé pour les calculs.

L'applicabilité des modèles et des codes informatiques à l'événement analysé devrait également être démontrée. Les modèles des systèmes de la centrale devraient être vérifiés pour refléter l'état de la centrale telle qu'elle est construite, en tenant compte des états de la centrale et des effets du vieillissement (comme la détérioration des pompes, l'encrassement des générateurs de vapeur, l'augmentation de la rugosité des surfaces). Les accidents graves peuvent avoir un impact particulier sur les centrales à tranches multiples, ce qui met en évidence le besoin de faire appel à un modèle pour les accidents graves touchant plusieurs tranches sur un site. La sous-section 4.4.5 présente des directives supplémentaires.

4.4.2.5 Orientation relative à la définition des conditions initiales et limites

L'analyse devrait définir les données qui caractérisent l'état de la centrale avant l'événement analysé et le fonctionnement de la centrale pendant l'événement en ce qui concerne entre autres, sans s'y limiter :

  • le mode d'exploitation de la centrale
  • la puissance du réacteur
  • le taux de combustion du combustible et sa distribution
  • les températures du combustible
  • les températures et pressions du caloporteur
  • les seuils de déclenchement et d'intervention pour les systèmes d'atténuation
  • les retards et incertitudes des instruments
  • les caractéristiques de rendement des systèmes de sûreté
  • le rendement d'autres équipements de la centrale (comme les pompes, les soupapes, les refroidisseurs, les chaudières et la turbine)
  • les conditions météorologiques

Dans l'application de telles données, il faudrait tenir compte des limites et conditions d'exploitation (LCE) de la centrale. Les conditions de la centrale utilisées comme état initial pour l'analyse peuvent représenter l'état réel de la centrale ou, dans de nombreux cas, représenter les limites choisies pour la mise en œuvre des LCE. Cela serait effectué de telle sorte que l'analyse puisse confirmer que le choix d'une valeur LCE est effectif. Autrement, les résultats d'analyse peuvent être pris pour calculer une valeur convenable à utiliser comme limite d'exploitation. L'attention et le bon jugement sont nécessaires pour assurer la concordance de l'ensemble des LCE tirées de ces analyses de la sûreté.

4.4.2.6 Orientation visant à effectuer des calculs

Des calculs complets sont effectués pour évaluer le rendement de la centrale par rapport à chaque critère d'acceptation applicable. Les études de sensibilité sont entreprises pour évaluer l'incidence des hypothèses principales sur les résultats d'analyse, par exemple, en déterminant les pires défaillances uniques dans divers systèmes, ou pour évaluer les conséquences de l'utilisation des modèles simplifiés plutôt que de méthodes plus précises et plus perfectionnées (nécessitant des calculs plus poussés). L'analyse de sensibilité, avec des variations systématiques des variables d'entrée ou des paramètres de modélisation des codes informatiques, devrait confirmer qu'il n'y a pas « d'effet de falaise ». Un processus systématique devrait être appliqué pour déterminer les paramètres ayant de faibles marges associées à l'effet de falaise, comme l'assèchement du combustible, une défaillance de l'enveloppe sous pression et l'épuisement du réservoir. Dans les cas où la probabilité est considérée élevée et l'impact potentiel est grand, les calculs de sensibilité devraient étudier les conséquences liés à l'atteinte de ces seuils.

La durée des transitoires pris en compte dans l'analyse devrait être suffisante pour déterminer les conséquences des événements. Par conséquent, les calculs relatifs aux transitoires de la centrale dépassent le point où la centrale nucléaire a été mise à l'arrêt et où le refroidissement stable du cœur du réacteur a été établi par certains moyens (c.-à-d. au point où un état stable à long terme a été atteint et devrait demeurer comme tel aussi longtemps que nécessaire). L'analyse devrait prendre en compte la capacité et les limites de l'eau d'appoint à long terme et des alimentations électriques.

Dans les cas où les diverses étapes du transitoire sont régies par différents phénomènes ou différentes échelles de temps, des méthodes et des outils divers peuvent être utilisés pour modéliser les étapes consécutives.

4.4.2.7 Orientation visant à tenir compte des incertitudes

Dans l'analyse déterministe de la sûreté pour la défense en profondeur du niveau 3, toutes les incertitudes principales devraient être relevées et prises en compte. L'analyse de la sûreté pour le niveau 3 devrait intégrer des tolérances appropriées liées aux incertitudes pour les paramètres applicables au scénario d'accident analysé. De telles incertitudes comprennent celles liées aux paramètres de modélisation et aux paramètres d'entrée de la centrale.

Les paramètres de modélisation pertinents incluent ceux utilisés pour déclencher l'action d'un système d'atténuation ou ceux qui peuvent avoir des répercussions importantes en menaçant l'intégrité d'une barrière qui prévient le rejet de produits de fission. Les incertitudes de la modélisation sont associées aux modèles et aux corrélations, au schéma de solution, à des bibliothèques de données et aux défauts des codes informatiques.

L'exactitude des codes obtenue au moyen des travaux de validation devrait être utilisée comme source pour les incertitudes touchant les paramètres de modélisation pertinents. L'exactitude des codes est définie par les biais et la variabilité des biais et devrait être obtenue en comparant les prévisions des codes avec les données expérimentales, les données de la centrale ou d'autres données applicables.

Les paramètres d'entrée de la centrale (aussi appelés paramètres opérationnels) caractérisent l'état des SSC de la centrale ou sont utilisés pour actionner un système d'atténuation. Ceux-ci sont mesurés en utilisant l'instrumentation du réacteur.

Les incertitudes des mesures sont indiquées dans la documentation portant sur les systèmes de contrôle et d'instrumentation de la centrale ou dans les LCE. Les composants systématiques (« biais ») et les composants d'incertitudes aléatoires (« écart type ») devraient être pris en compte.

Le biais de mesures représente un élément d'incertitude des mesures attribuable à une erreur systématique qui contribue à une déviation toujours dans la même direction. L'écart type représente un élément d'incertitude de mesures qu'on ne peut pas définir exactement ou qui peut causer un écart dans n'importe quelle direction, mais qu'on peut estimer sur la base d'une distribution de probabilité.

Les incertitudes susmentionnées devraient être prises en compte dans l'analyse prudente ou dans la meilleure estimation, plus l'évaluation des méthodologies relatives aux incertitudes.

Dans les analyses de la sûreté pour la défense en profondeur du niveau 2 et du niveau 4 (où l'application d'une méthode d'analyse réaliste de la meilleure estimation est possible), il n'est pas nécessaire de tenir compte des incertitudes de la même façon.

4.4.2.8 Orientation relative à la vérification des résultats

La vérification vise à s'assurer que les résultats de l'analyse déterministe de la sûreté :

  • sont extraits correctement des relevés des codes d'analyse
  • sont valides au plan physique et logique
  • sont conformes aux données expérimentales provenant des essais intégraux appropriés, des données enregistrées à la centrale, des analyses de la sûreté semblables antérieures ou des simulations faisant appel à des modèles plus avancés
  • correspondent aux prévisions limitatives pour chacun des critères d'acceptation de l'analyse de la sûreté
4.4.2.9 Orientation relative à la documentation des résultats

Les résultats des calculs de l'analyse déterministe de la sûreté sont documentés de façon à faciliter leur révision et leur compréhension. Les résultats de l'analyse de la sûreté devraient faire état :

  • de l'objectif de l'analyse
  • des hypothèses d'analyse et de leur justification
  • des modèles de la centrale et des hypothèses de la modélisation
  • de toutes les options de l'utilisateur au sujet des codes informatiques qui diffèrent des options utilisées dans la validation des codes
  • des résultats de l'analyse par rapport aux critères d'acceptation
  • des constatations et des résultats des analyses de sensibilité et d'incertitude

Des directives supplémentaires sont fournies à la sous-section 4.5.

4.4.3 Données d'analyse déterministe de la sûreté

Il faut identifier et justifier les hypothèses inférées pour simplifier l'analyse, ainsi que les hypothèses concernant le mode d'exploitation de la centrale, la disponibilité et le rendement des systèmes et les actions de l'opérateur.

Les conditions limites et les conditions initiales qui servent de données d'entrée pour l'analyse doivent :

  1. refléter avec exactitude la configuration de la centrale
  2. tenir compte des effets du vieillissement des systèmes, structures et composants
  3. tenir compte des différents modes d'exploitation permis
  4. être appuyées par des données expérimentales, lorsqu'on ne dispose pas de données d'exploitation

Les incertitudes significatives dans les données d'analyse, y compris celles associées au rendement de la centrale, aux mesures d'exploitation et aux paramètres de modélisation, doivent être identifiées.

Orientation

Le présent document d'application de la réglementation exige que l'analyse de la sûreté soit fondée sur la conception de la centrale et sur des données complètes et exactes concernant sa construction réalisée.

Les données historiques d'exploitation enregistrées (comme la puissance thermique, les débits, les températures et les pressions) devraient aussi être incluses, lorsque cela est possible. Ces informations devraient porter sur les SSC de la centrale, les caractéristiques propres au site et les interfaces hors site.

Dans le cas d'une centrale nucléaire en phase de conception, les données d'exploitation, le cas échéant, devraient être tirées de données génériques concernant des centrales en exploitation du même type, ou encore de travaux de recherche ou de résultats d'essais. Dans le cas d'une centrale nucléaire en exploitation, l'analyse de la sûreté devrait utiliser des données d'exploitation provenant de la centrale en question.

Les valeurs de l'analyse de la sûreté pour chaque paramètre d'entrée de la centrale devraient être déterminées en se fondant sur :

  • les spécifications de conception
  • les tolérances
  • les plages de variabilité en exploitation admissibles
  • les incertitudes de mesures ou d'évaluation pour le paramètre visé

Les données d'exploitation devraient comprendre :

  • les informations sur le rendement des composants et du système, mesurées au cours de l'exploitation ou des essais
  • les délais dans les systèmes de contrôle
  • les biais et dérives des instruments de mesure
  • l'indisponibilité du système en raison de l'entretien ou des essais

Les limites applicables pour les paramètres des centrales nucléaires utilisés comme conditions initiales et limitatives devraient être déterminées. Les paramètres de la centrale nucléaire présumés dans l'analyse de la sûreté devraient être limitatifs pour les plages de paramètres autorisées par les procédures d'exploitation ou, en utilisant une méthode statistique, couvrir un pourcentage élevé prédéterminé de chaque plage à un haut niveau de confiance prédéterminé.

Les paramètres de la centrale nucléaire suivants peuvent être utilisés dans l'analyse comme données d'entrée et devraient être précisés dans les LCE, mesurés ou évalués pendant l'exploitation de la centrale :

  • les puissances neutroniques et thermiques comprenant la distribution de puissance
  • les pressions
  • les températures
  • les débits
  • les niveaux
  • les fuites ou contournement des vannes, des joints d'étanchéité, des tubes du générateur de vapeur et de l'enceinte de confinement
  • les inventaires de matières radioactives
  • les défauts de la gaine du combustible
  • les formes de flux
  • la pureté isotopique du caloporteur et du modérateur (le cas échéant)
  • la concentration de poison neutronique
  • le taux de combustion et sa distribution dans le cœur du réacteur
  • la tolérance des instruments
  • les constantes de temps et les délais des instruments
  • les paramètres liés au vieillissement des SSC (en plus de tenir compte des effets du vieillissement sur les autres paramètres)
  • la position des barres, des vannes, des registres, des portes, des barrières
  • le nombre de composants opérationnels, comme les pompes et les vannes

Remarque : Lors de la préparation des données énumérées dans la liste ci-dessus, certains paramètres (comme le taux de combustion et sa distribution dans le cœur du réacteur) ne sont pas mesurés directement. Les caractéristiques du cœur du réacteur pour tous les chargements de combustible devraient être prises en compte. Dans cet exemple, elles sont évaluées et extraites de la simulation par ordinateur pour laquelle l'exactitude des outils est appuyée par les données de la centrale et les données expérimentales. Certaines entrées de l'analyse de la sûreté sont en général dérivées ou tirées des données obtenues de façon expérimentale.

Il faudrait également noter que les effets du vieillissement comprennent des mécanismes de longue durée qui causent une dégradation progressive et des mécanismes qui causent une dégradation rapide. Les mécanismes de dégradation comprennent les cycles thermiques, la déformation, les tensions, le fluage, les égratignures, la fatigue, la fissuration, la corrosion et l'érosion. Les limites de vieillissement permises font partie des données d'entrée de l'analyse de la sûreté.

Il faudrait déceler et enregistrer les incertitudes concernant les données de la centrale, et en tenir compte dans les analyses d'incertitude et de sensibilité.

4.4.4 Hypothèses utilisées pour l'analyse déterministe de la sûreté

Les hypothèses inférées pour simplifier l'analyse, ainsi que les hypothèses concernant le mode d'exploitation de la centrale, la disponibilité et la performance des systèmes, et les actions des opérateurs, doivent être identifiées et justifiées.

L'analyse des IFP et des AD doit :

  1. appliquer le critère de défaillance unique à tous les systèmes de sûreté et à leurs systèmes de soutien
  2. tenir compte des défaillances indirectes qui peuvent survenir à la suite de l'événement initiateur
  3. valider les actions des systèmes seulement lorsque les systèmes sont qualifiés pour les conditions d'accident ou lorsque ces actions pourraient avoir un effet néfaste sur les conséquences de l'accident analysé
  4. tenir compte de la possibilité que l'équipement soit mis hors service en vue de son entretien
  5. démontrer que la centrale peut être maintenue dans un état stable, dépressurisé et à froid pendant une période prolongée
  6. valider les actions des opérateurs seulement :
    1. lorsqu'il y a des indications claires et non ambigües de la nécessité de prendre de telles actions
    2. lorsqu'il y a des procédures adéquates et suffisamment de temps pour effectuer les actions requises
    3. lorsque les conditions environnementales n'interdisent pas de telles actions

Pour l'analyse des accidents hors dimensionnement (AHD), il convient d'utiliser une méthode d'analyse plus réaliste, comportant des hypothèses qui reflètent la configuration probable de la centrale, ainsi que la réponse attendue des systèmes et des opérateurs à l'égard de l'événement analysé.

Orientation

Des hypothèses sont formulées dans les données d'entrée, comme celles relatives aux paramètres de conception et d'exploitation, de même que dans les modèles physiques et numériques mis en œuvre dans les codes informatiques.

Les hypothèses peuvent être intentionnellement réalistes ou délibérément biaisées dans une direction prudente.

Les hypothèses généralement utilisées pour l'analyse de défense en profondeur du niveau 3 des IFP et des AD sont décrites dans les sous-sections 4.4.4.1 à 4.4.4.7. Il faudrait noter que certaines de ces hypothèses ne sont pas nécessaires dans l'analyse des IFP pour évaluer les capacités du système de contrôle (défense en profondeur du niveau 2) si une telle approche peut être justifiée.

Dans le cas de l'analyse de la sûreté des AHD, l'un des objectifs consiste à démontrer les capacités des SSC à répondre aux exigences de conception prescrites pour les conditions d'AHD. L'analyse devrait prendre en compte l'ensemble des possibilités qu'offre la conception de la centrale, y compris l'utilisation de certains systèmes de sûreté et systèmes sans lien avec la sûreté au-delà de leurs fonctions initiales (pour ramener l'état d'accident grave potentiel à un état contrôlé ou pour atténuer ses conséquences). Les hypothèses d'analyse des AHD concernant la validation et la modélisation des systèmes de la centrale et de leur capacité au cours d'un AHD devraient être conformes aux objectifs de l'analyse. Si l'on crédite l'utilisation des systèmes au-delà de leur fonction initiale prévue, il devrait y avoir des motifs raisonnables pour présumer que ces systèmes pourront être utilisés, et le seront, tel qu'il est décrit dans l'analyse. Cette présomption peut être fondée sur l'évaluation de l'efficacité du fonctionnement de ces systèmes dans des conditions d'accident grave, s'ils sont encore disponibles.

4.4.4.1 Orientation relative au critère de défaillance unique dans le groupe de sûreté

Le critère de défaillance unique stipule que le groupe de sûreté formé d'un système de sûreté et de ses systèmes de soutien devrait être en mesure d'exécuter ses fonctions spécifiques même si un seul composant subit une défaillance à l'intérieur de ce groupe.

Les attentes relatives à l'application du critère de défaillance unique dans la conception sont indiquées dans le document d'application de la réglementation de la CCSN intitulé REGDOC­2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires.

L'analyse devrait partir du principe qu'une défaillance unique se produit pour chaque élément d'un groupe de sûreté à tour de rôle et identifier la pire des défaillances uniques pour chaque critère d'acceptation. En plus d'une défaillance unique d'un composant, l'analyse devrait tenir compte de l'impact des travaux d'entretien, d'inspection ou de réparation, ou des essais éventuels sur le rendement du groupe de sûreté.

L'analyse de la sûreté pour le cas des IFP et des AD pour la défense en profondeur du niveau 3 devrait appliquer le critère de défaillance unique à chaque groupe de sûreté.

Il n'est pas nécessaire d'appliquer le critère de défaillance unique dans l'analyse des IFP pour la défense en profondeur du niveau 2 et des AHD.

4.4.4.2 Orientation relative aux défaillances indirectes

L'analyse devrait prendre en compte les défaillances indirectes qui peuvent se produire après un événement initiateur.

Toute défaillance résultant de l'événement initiateur fait partie intégrante de cet événement et n'est pas considérée comme une défaillance unique aux fins de l'analyse de la sûreté. Par exemple, il faudrait présumer que l'équipement qui n'est pas qualifié pour des conditions d'accident particulières sera défaillant, à moins que son fonctionnement normal ne mène à des résultats plus prudents.

4.4.4.3 Orientation relative au crédit pour les actions des systèmes – rendement des structures, systèmes et composants

Orientation relative à la disponibilité des systèmes

Le fonctionnement des systèmes ne devrait être crédité que lorsque ces systèmes sont conçus ou prévus pour exécuter la fonction demandée et sont qualifiés pour résister à toutes les épreuves et tous les effets de mode commun attribuables à l'accident.

Dans l'analyse de la sûreté d'un IFP pour la défense en profondeur du niveau 2, on peut valider le fonctionnement des systèmes de procédé et de contrôle dont les interventions pourraient contribuer à atténuer l'événement, tant que les systèmes crédités ne sont pas compromis à la suite de l'événement initiateur. L'état de ces systèmes et les valeurs attribuées à leurs paramètres doivent être justifiés.

Dans l'analyse de la sûreté des IFP et des AD pour la défense en profondeur du niveau 3, aucun crédit ne devrait être attribué pour le fonctionnement des systèmes de contrôle dans l'atténuation des effets de l'événement initiateur. Les effets des interventions des systèmes de contrôle devraient être pris en compte si ces interventions risquent d'aggraver le transitoire ou de retarder l'activation des fonctions de protection.

Si le fonctionnement de l'équipement non qualifié entraîne des conséquences d'événement plus graves, l'hypothèse générale inférée de cela sera qu'un tel équipement fonctionne d'une manière qui aggrave l'événement.

On présume que tout équipement de procédé qui fonctionne avant l'événement continuera à fonctionner s'il n'est pas touché par l'événement initiateur. Par exemple, on peut présumer que l'alimentation des générateurs de vapeur se poursuivra jusqu'à la panne d'électricité, pour les événements qui ne créent pas un environnement hostile.

Orientation relative aux défaillances partielles et totales

Les défaillances partielles et totales des équipements devraient être prises en compte dans l'analyse de chaque séquence de défaillance pour déceler la pire défaillance pour chaque critère d'acceptation.

Orientation relative à une défaillance de tuyauterie grave

Divers modes de rupture de la tuyauterie devraient être pris en compte dans les analyses de perte de caloporteur. Ils comprennent les ruptures circonférentielles, à guillotine et longitudinales, à n'importe quel point du système.

Dans le cas des ruptures circonférentielles et à guillotine, l'analyse devrait porter sur une section d'écoulement allant jusqu'à deux fois la section de passage de la conduite ou du collecteur.

Dans le cas des ruptures longitudinales, l'analyse devrait comprendre une justification de la limite maximale de la taille de la rupture hypothétique.

L'emplacement, la taille et l'orientation de la rupture qui sont les plus défavorables et qui posent le plus de défis en ce qui a trait aux exigences de l'analyse de la sûreté devraient être déterminés au moyen d'analyses, dont une analyse de sensibilité, en utilisant un modèle de rupture prudent.

Pour les réacteurs CANDU, les défaillances des collecteurs d'entrée et de sortie sont considérées comme des ruptures de tuyauterie.

Orientation relative à la perte de l'alimentation électrique hors site

En plus d'une défaillance unique et des défaillances indirectes, il faudrait supposer une perte d'alimentation électrique hors site, sauf si une justification est fournie.

On présume que la perte d'alimentation hors site se produit soit au déclenchement de l'événement, soit à la suite du déclenchement du réacteur et de la turbine. Par exemple, lorsqu'on suppose la perte d'alimentation de Catégorie IV (réacteur de type CANDU), l'événement devrait être analysé à la fois avec ou sans perte d'alimentation électrique hors site et en utilisant les résultats les plus limitatifs.

4.4.4.4 Orientation relative aux crédits pour les actions des systèmes – rendement des systèmes de sûreté

Il faudrait valider les systèmes de sûreté à leur fonctionnement minimal admissible, conformément aux LCE.

Orientation relative aux dispositifs d'arrêt d'urgence

L'analyse déterministe de la sûreté devrait démontrer l'efficacité de tous les dispositifs d'arrêt d'urgence crédités en expliquant que la conception répond aux critères d'acceptation applicables (voir la sous-section 4.3).

Cette sous-section comprend différentes attentes, selon la conception et les caractéristiques inhérentes du réacteur comme on le décrit dans le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires. Deux grandes catégories de réacteurs sont prises en compte, comme suit :

  • les réacteurs dotés de caractéristiques de sûreté inhérente : conception qui permet de démontrer que tout IFP ou AD avec défaillance du système d'arrêt rapide (analyse de type transitoire anticipée sans déclenchement du réacteur) n'entraîne pas des dommages graves au cœur du réacteur ni une menace précoce importante pour l'enceinte de confinement
  • les réacteurs dotés de caractéristiques de sûreté technique : conception qui ne permet pas de démontrer que tout IFP ou AD avec défaillance du système d'arrêt rapide n'entraîne pas des dommages graves au cœur du réacteur ni une menace précoce importante pour l'enceinte de confinement

Les critères d'acceptation applicables pour les deux catégories de réacteurs sont indiqués ci-dessous :

Orientation relative aux réacteurs dotés de caractéristiques de sûreté inhérente

Pour le premier dispositif d'arrêt d'urgence rapide, l'analyse devrait démontrer que les critères applicables à la classe d'événement initiateur (IFP ou AD selon le cas) sont respectés. Les interventions de l'opérateur pour compléter l'action des dispositifs d'arrêt d'urgence rapides peuvent être créditées dans la mesure où les conditions de déclenchement manuel du réacteur sont respectées (voir la fin de la présente sous-section).

Pour le deuxième dispositif d'arrêt d'urgence (qui peut être déclenché manuellement), la fréquence d'un IFP et la fréquence de défaillance du dispositif d'arrêt d'urgence rapide peuvent entraîner une fréquence combinée qui se situe dans la plage d'un AD et dans ce cas, les limites applicables sont les limites de doses liées à un AD. Si le concepteur peut garantir une très haute fiabilité du dispositif d'arrêt d'urgence rapide, il peut être acceptable d'utiliser les limites relatives à un AHD, c.-à-d. les objectifs de sûreté.

La fréquence d'un AD et la fréquence de défaillance du dispositif d'arrêt d'urgence rapide peuvent entraîner une fréquence combinée qui se situe dans la plage d'un AHD et dans ce cas, les limites applicables sont les objectifs de sûreté.

Orientation relative aux réacteurs dotés de caractéristiques de sûreté technique

Ces réacteurs sont dotés de deux dispositifs d'arrêt d'urgence rapides redondants, tous les deux démontrant une efficacité équivalente (voir le REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires). Les critères pour les deux dispositifs d'arrêt d'urgence seront les mêmes et seront des critères d'IFP ou d'AD tel qu'applicables à la classe d'événement.

Pour aider à mieux comprendre les attentes liées aux paramètres de déclenchement, le tableau 3 peut être utilisé pour déterminer les objectifs de rendement de l'événement particulier visé. La conception des réacteurs dotés de caractéristiques de sûreté inhérente est illustrée comme « scénario 1 de conception du réacteur ». La conception des réacteurs dotés de caractéristiques de sûreté technique est illustrée comme « scénario 2 de conception du réacteur ».

Tableau 3 : Objectifs de rendement pour le nombre de paramètres de déclenchement
Conception du réacteur Dispositif d'arrêt d'urgence (DAU) Attente liée au paramètre de déclenchement (PD) idéal Paramètre de déclenchement direct disponible? Objectif de rendement Total des paramètres de déclenchement
Réacteurs dotés de caractéristiques de sûreté inhérente Un seul DAU rapide Un seul PD direct par événement Oui Un seul PD direct par événement Un seul PD
Non Deux PD indirects divers par événement Deux PD
Deuxième DAU Un seul PD direct par événement Oui Un seul PD direct par événement Un seul PD
Non Deux PD indirects divers par événement Deux PD
Réacteurs dotés de caractéristiques de sûreté technique Un seul DAU rapide Deux PD par événement (au moins un direct) Oui Deux PD (au moins un direct) Deux PD
Non Deux PD indirects Deux PD
Deuxième DAU rapide Deux PD par événement (au moins un direct) Oui Deux PD (au moins un direct) Deux PD
Non Deux PD indirects Deux PD

Remarques :

  1. Pour les scénarios d'accident avec une lente augmentation ou sans augmentation de la puissance, il faudrait démontrer la présence de deux paramètres de déclenchement, si cela est faisable.
  2. Pour les scénarios où une analyse est réalisée non pas pour démontrer la couverture des paramètres de déclenchement, mais pour fournir un soutien (comme une analyse de la qualification environnementale des conditions des salles pour la survivabilité de l'équipement), un paramètre de déclenchement secondaire est démontré dans la mesure du possible seulement.

Un déclenchement manuel du réacteur peut être considéré comme l'équivalent d'un paramètre de déclenchement si les exigences visant à valider l'intervention de l'opérateur de la salle de commande principale sont respectées (voir la sous-section 4.4.4.5) et la fiabilité de l'arrêt manuel respecte les exigences de fiabilité d'un déclenchement automatique.

Orientation relative au système de refroidissement d'urgence du cœur du réacteur

Si le système de refroidissement d'urgence du cœur (SRUC) du réacteur a une logique d'injection conditionnée à la présence d'autres indicateurs (c.-à-d. signal de conditionnement), alors l'analyse de la sûreté devrait identifier et évaluer les conséquences des situations dans lesquelles ces signaux de conditionnement peuvent être effectués en aveugle.

Si la logique d'activation du SRUC est complexe (c.-à-d. que plusieurs interventions différentes sont nécessaires pour que le système soit considéré comme entièrement activé), alors l'analyse de la sûreté devrait tenir compte des conséquences si certaines de ces interventions ne se produisent pas, par exemple si l'aspiration de la pompe du SRUC ne parvient pas à se réaligner sur le puisard de confinement.

Dans certaines conceptions, on devrait prendre en compte les éléments suivants :

  • potentiel d'entraînement du gaz qui pourrait occasionner des dommages attribuables aux coups de bélier
  • conséquences sur les débits de recirculation du colmatage des filtres, des obstructions par des débris, du blocage de l'échangeur de chaleur et de la cavitation des pompes
  • l'effet des gaz non condensables sur l'écoulement et le transfert de chaleur

L'analyse de la sûreté devrait tenir compte de l'impact, sur l'efficacité du SRUC, de l'inaction, de l'action partielle et du fonctionnement normal de tout autre système qui augmente ou diminue la capacité de refroidissement du SRUC.

Orientation relative au confinement

L'analyse déterministe de la sûreté devrait identifier et évaluer les conséquences des situations où l'instrumentation de l'isolation du confinement fonctionne en aveugle. Dans le cas du confinement, « en aveugle » se rapporte aux conditions pour lesquelles un point de consigne d'activation de l'isolation du confinement est approché mais pas atteint. Par exemple, l'enceinte de confinement peut être « aveuglée » par l'inaction, l'action partielle ou le fonctionnement normal d'autres systèmes qui complètent ou dégradent le rendement de l'enceinte de confinement. Les scénarios du confinement en aveugle sont importants parce que lors d'un accident qui présente un potentiel de rejet de matières radioactives, l'activation de l'isolation du confinement ne peut pas être déclenchée.

Le débit de fuite de l'enceinte de confinement présumé dans l'analyse devrait être fondé sur les exigences d'étanchéité de conception et confirmé par les tests du débit de fuite.

Orientation relative aux équipements en cours d'entretien

L'analyse devrait tenir compte, lorsque pertinent, de la possibilité que l'équipement soit retiré du service pour des fins d'entretien.

4.4.4.5 Orientation relative à l'intervention de l'opérateur

Il faudrait répertorier les interventions que fera l'opérateur en réponse à un accident. On peut valider ces interventions dans l'analyse de la sûreté pour la défense en profondeur du niveau 3 seulement si :

  • une instrumentation fiable est conçue pour donner des indications claires et non ambiguës sur le besoin de prendre des mesures
  • la centrale dispose de procédures d'exploitation qui indiquent les interventions nécessaires, la formation de l'opérateur, le personnel de soutien, les pièces de rechange et l'équipement
  • les conditions environnementales n'empêchent pas l'exécution sécuritaire des interventions de l'opérateur

Suivant les premières indications claires et non ambiguës sur la nécessité des interventions de l'opérateur, de telles interventions peuvent normalement être créditées dans l'analyse de la sûreté pour la défense en profondeur du niveau 3 afin d'être prises pas plus tôt que :

  • 15 minutes dans le cas des interventions faites dans la salle de commande principale
  • 30 minutes dans le cas des interventions faites à l'extérieur de la salle de commande principale

La durée des interventions des opérateurs dans les nouvelles centrales est établie dans le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires.

Remarque : Les nouvelles centrales nucléaires mentionnées dans cette section sont celles qui ont été autorisées pour la première fois en 2014 et après.

Il faudrait démontrer au moyen d'une évaluation que le temps spécifié est suffisant pour que l'opérateur détecte, réalise un diagnostic complet et exécute les interventions nécessaires. Une telle évaluation devrait prendre en compte les points suivants :

  • l'intervalle entre le déclenchement de l'événement initiateur et la réception de l'indication de l'événement par l'opérateur
  • le temps nécessaire pour procéder au diagnostic
  • le temps nécessaire pour effectuer l'intervention
  • le temps nécessaire pour que la fonction de sûreté soit réalisée

Dans certains cas, qui doivent être justifiés, on peut supposer des temps de fin d'intervention inférieurs à 15 minutes pour la salle de commande, pourvu que :

  • l'opérateur se consacre exclusivement à l'intervention en question
  • l'intervention prescrite est unique et ne suppose pas un choix à partir de plusieurs options
  • l'intervention prescrite est simple et ne nécessite pas de manipulations multiples

L'évaluation des points d'intervention humaine crédités devrait être documentée formellement. Elle devrait aussi comporter un processus de validation qui comprend :

  • des procédures documentées qui définissent les points d'entrée et les interventions de l'opérateur
  • la formation du personnel au sujet de ces procédures (formation, aperçu, matériel didactique, documents)
  • la participation aux exercices, simulations et études au simulateur de la salle de commande pour confirmer que les interventions humaines peuvent être effectuées et pour évaluer les durées d'intervention
  • prise en compte des données provenant du simulateur de salle de commande obtenues au cours de la formation
  • l'analyse et l'évaluation des durées de réponse pour déterminer des estimations de temps crédibles à utiliser dans les analyses de la sûreté
  • les rapports de validation
4.4.4.6 Orientation relative aux hypothèses en matière de modélisation

Les hypothèses incorporées dans les codes informatiques ou élaborées au cours de l'application des codes devraient être telles que les résultats de l'analyse de la sûreté (que ce soit la méthode de la meilleure estimation ou la méthode prudente) demeurent valides sur le plan physique.

Pendant la réalisation de l'analyse de la sûreté, il faudrait fournir des justifications pertinentes dans tous les cas où les hypothèses utilisées sont différentes de celles utilisées dans la validation.

4.4.4.7 Orientation relative aux calculs des doses

Comme l'indique la sous-section 4.3, la dose engagée au corps entier pour les membres moyens des groupes critiques (à la périphérie du site ou au-delà) est calculée dans l'analyse déterministe de la sûreté pendant une période de 30 jours suivant l'événement analysé.

La dose efficace devrait être utilisée dans les calculs de doses et devrait comprendre les contributions :

  • du rayonnement externe provenant des nuages et des dépôts au niveau du sol
  • de l'inhalation de matières radioactives
  • de l'absorption de tritium par la peau

Dans les calculs de dose, le pire scénario météorologique en termes de dose prévue devrait être présumé. Tous les scénarios météorologiques dont les probabilités de fréquence sont supérieures à 5 % devraient être pris en compte.

Aucune intervention sous forme de décontamination ou d'évacuation ne devrait être présumée. Mais, on peut supposer l'intervention contre l'ingestion des matières radioactives et des procédés naturels d'élimination.

Les calculs de dose devaient être également effectués à divers intervalles de temps et jusqu'à un (1) an après l'accident.

4.4.5 Codes informatiques

Les codes informatiques utilisés dans l'analyse de la sûreté doivent être développés, validés et utilisés conformément à un programme d'assurance de la qualité (AQ) qui respecte la norme CSA N286.7-99, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires.

Orientation

L'utilisation de codes informatiques réalistes dans l'analyse de la sûreté est préférable, étant donné que l'utilisation de codes prudents peut produire des résultats trompeurs ou irréalistes. Toutefois, une base de données expérimentale vaste devrait être constituée pour démontrer l'applicabilité du code informatique et pour le valider, en fournissant ainsi un élément de confiance pour les prédictions des codes.

Les modèles entièrement intégrés pourraient donner une représentation plus précise de l'événement et devraient être utilisés dans la mesure du possible. Ces modèles portent sur tous les phénomènes importants dans un code unique ou dans un ensemble de codes. L'application séquentielle des codes de discipline unique risque de donner une image inexacte des mécanismes de rétroaction comparativement aux modèles entièrement intégrés et devrait être évitée sauf en cas d'avantage particulier.

Le choix des codes informatiques devrait tenir compte de l'applicabilité du code, du domaine de validation du code et de sa capacité à représenter convenablement le système physique.

4.4.5.1 Orientation relative à l'applicabilité des codes informatiques

Pour l'analyse de la sûreté d'un événement, l'applicabilité des codes informatiques utilisés pour prévoir les conséquences est établie avant d'effectuer l'analyse. La démonstration de l'applicabilité du code comporte les étapes suivantes :

  • identification de tous les phénomènes qui influent de façon importante sur les paramètres clés de sortie (voir la sous-section 4.4.2.3)
  • confirmation que le code met en œuvre des modèles adéquats pour tous les phénomènes clés et démonstration que ces modèles ont été vérifiés et validés par rapport aux essais à effet distinct
  • évaluation des équations avec des solutions de forme fermées et des relations constitutives
  • évaluation des effets d'échelle; l'adaptabilité des effets globaux de tests devrait être évaluée pour confirmer qu'il n'y a pas d'anomalie importante dans la base de données; les effets d'échelle et leurs impacts sur l'évaluation du code devraient être déterminés, évalués et traités dans l'analyse de la sûreté
  • évaluation de la stabilité numérique des calculs et de la convergence temporelle et spatiale des approximations itératives; la convergence spatiale et temporelle est réalisée lorsqu'une augmentation ou une réduction du pas de discrétisation nodal ou temporal (qui comprend le changement du pas de temps minimal s'il y a lieu) ne changent pas les résultats de simulation de façon importante
  • étude des écarts ou des lacunes dans l'applicabilité du code pour l'événement analysé

L'évaluation d'applicabilité du code et des bases de connaissances pertinentes est documentée de façon suffisamment détaillée pour permettre un examen indépendant.

Pour la modélisation qui comporte de nombreux phénomènes couplés, il faudrait démontrer que les données sont transférées au travers des interfaces (c.-à-d. du calcul d'un phénomène à un autre) de façon à saisir adéquatement les phénomènes physiques et les mécanismes de rétroaction.

4.4.5.2 Orientation relative à la validation du code et la quantification de l'exactitude

Le présent document exige que tous les codes informatiques soient validés pour leur application dans l'analyse de la sûreté. L'objet de la validation est d'établir la confiance dans la capacité d'un code pour une application donnée et également de déterminer l'exactitude de celui-ci.

La validation devrait :

  • démontrer la capacité et la crédibilité du code informatique à utiliser dans une analyse particulière
  • quantifier l'exactitude des calculs du code (qualifiés par la comparaison des prédictions du code avec les données expérimentales ou d'autres solutions connues)

Les codes utilisés dans l'analyse de la sûreté sont validés en comparant les prédictions des codes avec :

  • les données expérimentales
  • les données de mise en service et les données d'exploitation, si elles sont disponibles
  • les solutions aux problèmes standards ou de référence
  • les solutions mathématiques de forme fermées
  • les résultats d'un autre programme informatique validé

La comparaison des prédictions des codes avec les solutions aux problèmes standards ou avec les solutions mathématiques de forme fermées aux fins de validation est acceptable, mais elle devrait normalement être complétée par d'autres types de comparaisons.

La base de données expérimentale utilisée pour la validation peut englober les effets distincts, ainsi que les essais globaux et des composants. La validation des essais choisis devrait satisfaire aux critères suivants :

  • les données d'essai sont obtenues dans des conditions physiques et géométriques et les phénomènes sont pertinents soit pour les conditions d'exploitation normale ou pour un scénario d'accident hypothétique dans le réacteur
  • les essais utilisés pour la validation sont exempts de distorsions attribuables à la géométrie ou à d'autres propriétés, dans la mesure du possible
  • les incertitudes liées aux mesures sont quantifiées
  • les erreurs systématiques (biais) sont réduites au minimum et leurs sources sont comprises
  • les essais globaux utilisés pour la validation devraient être propres au réacteur et contenir des composants représentatifs de ceux des centrales nucléaires
  • les données utilisées pour l'élaboration du modèle sont indépendantes des données utilisées pour la validation du code informatique

L'exactitude des prévisions du code devrait être fournie pour les paramètres clés de modélisation et pour les paramètres de la centrale utilisés pour contrôler la puissance ou pour actionner un système d'atténuation (voir la sous-section 4.4.2.7).

Le biais et la variabilité du biais du code informatique peuvent être obtenus à partir de la comparaison des prédictions du code avec les données expérimentales.

Les modèles du code utilisés au cours de la validation devraient être identifiés et recommandés pour être utilisés dans l'analyse de la sûreté, afin que celle-ci soit conforme à la validation. Autrement, il faudrait évaluer l'incidence de l'utilisation de modèles différents sur les résultats de simulation (exactitude du code).

Il faudrait formuler des recommandations claires au sujet de l'utilisation d'un code au-delà des conditions pour lesquelles la validation a été effectuée, et les effets d'une telle extrapolation devraient être évalués et pris en compte.

Il faudrait évaluer l'effet des hypothèses de modélisation sur les résultats de la validation, y compris la confirmation qu'on a obtenu une convergence spatiale et temporelle de la solution.

La documentation portant sur les outils informatiques devrait être claire et facile à suivre, de sorte que les incertitudes attribuables aux effets de l'utilisateur soient négligeables. L'utilisation de matériel informatique ou de systèmes d'exploitation différents devrait également avoir des effets négligeables. Les moyens comme la formation d'utilisateur et la conformité aux procédures d'assurance de la qualité devraient être clairement énoncés.

La validation des codes informatique devrait être effectuée par des personnes qualifiées. Les rapports de validation devraient être examinés par des personnes qualifiées qui n'ont pas participé à la validation.

Les directives mentionnées ci-dessus respectent et complètent les exigences de la norme CSA N286.7-99, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires.

4.4.5.3 Orientation relative aux représentations physiques

Des données sont également préparées pour fournir une représentation mathématique des composants physiques et de la manière dont leurs configurations doivent être représentées dans la simulation par ordinateur. La préparation de ces données d'entrée devrait respecter les principes suivants :

  • une méthode systématique pour représenter les composants et les connexions devrait être élaborée
  • la base pour la méthodologie devrait être documentée; les méthodes utilisées sont généralement fondées sur l'expérience dans la représentation des installations expérimentales et autres centrales ayant des configurations semblables
  • la représentation devrait être vérifiée et validée
  • dans certains cas, des essais en installation (comme les essais de mise en service) sont nécessaires pour établir l'exactitude de telles représentations

En général, les représentations utilisées pour les simulations des centrales devraient être créées en utilisant les mêmes principes que les représentations utilisées pour la validation du code afin de réduire au minimum les effets connexes attribuables à l'utilisateur.

4.4.6 Marge de prudence dans l'analyse déterministe de la sûreté

L'analyse de la sûreté doit comporter une marge de prudence suffisante pour compenser toute incertitude associée aux conditions limites et aux conditions initiales de la centrale, ainsi qu'à la modélisation du comportement de la centrale pour l'événement analysé. La marge de prudence doit dépendre de la catégorie d'événement et doit permettre de répondre aux objectifs de l'analyse.

Orientation

L'analyse de la sûreté doit incorporer un certain degré de prudence qui est proportionné aux objectifs de l'analyse de la sûreté et qui dépend de la classe de l'événement. Le degré de prudence est souvent nécessaire dans l'analyse de la sûreté pour couvrir l'impact potentiel des incertitudes et peut être obtenu par l'application judicieuse d'hypothèses et de données prudentes.

Le concept de prudence est appliqué à l'analyse de la sûreté pour la défense en profondeur du niveau 3 afin de s'assurer que des hypothèses limitatives sont utilisées dans les cas où la connaissance des phénomènes physiques serait insuffisante.

Pour la défense en profondeur des niveaux 2 et 4, l'analyse de la sûreté devrait être effectuée en utilisant les hypothèses, données et méthodes de la meilleure estimation. Lorsque cela n'est pas possible, un degré raisonnable de prudence, approprié aux objectifs correspondant à ces niveaux, devrait être appliqué pour compenser le manque de connaissance adéquate au sujet des processus physiques régissant ces événements.

S'il est permis – et parfois recommandé – d'utiliser des codes prudents, il est généralement préférable d'appliquer des codes informatiques réalistes (meilleure estimation). Lorsque des résultats d'analyse prudents sont exigés pour l'analyse de la défense en profondeur du niveau 3 (IFP et AD), les codes informatiques pour la meilleure estimation devraient être utilisés avec l'évaluation de la modélisation et des incertitudes liées aux paramètres d'entrée de la centrale.

L'analyse déterministe de la sûreté pour les IFP et les AD (analyse prudente de la défense en profondeur du niveau 3) devrait :

  • appliquer le critère de défaillance unique pour tous les groupes de sûreté et s'assurer que les groupes de sûreté sont qualifiés au point de vue environnemental et sismique
  • utiliser le rendement minimal admissible (établi dans les LCE) pour les groupes de sûreté
  • tenir compte des défaillances indirectes qui peuvent survenir suite à l'événement initiateur
  • valider les interventions des systèmes de procédé et de contrôle seulement lorsque les systèmes sont passifs et qualifiés du point de vue environnemental et sismique pour les conditions d'accident
  • inclure les interventions des systèmes de procédé et de contrôle lorsqu'elles peuvent avoir un effet préjudiciable sur les conséquences de l'accident analysé
  • valider les systèmes de procédé qui fonctionnent normalement et qui ne sont pas touchés par l'accident analysé
  • si les interventions de l'opérateur sont créditées, on doit démontrer qu'on a pris en compte le « pire cas » d'intervention de l'opérateur dans l'analyse et l'évaluation

Le choix indépendant de tous les paramètres à leurs valeurs prudentes peut entraîner des états de la centrale qui ne sont pas physiquement réalisables. Si cela devait être le cas, on recommande de choisir de manière prudente les paramètres clés qui influeraient le plus sur les résultats par rapport au critère d'acceptation à l'étude. Les autres paramètres peuvent être spécifiés de façon plus cohérente dans les calculs subséquents. Chaque calcul devrait quantifier l'impact d'un paramètre particulier, afin que les effets de tous les paramètres puissent être évalués.

4.5 Documentation de l'analyse déterministe de la sûreté

Les documents sur l'analyse de la sûreté doivent être complets et suffisamment détaillés pour permettre une révision concluante. Ils doivent comprendre :

  1. les fondements techniques de l'événement analysé et des phénomènes et procédés les plus importants
  2. une description de l'installation analysée, incluant les systèmes importants et leur rendement, ainsi que les actions des opérateurs
  3. une description de la méthode d'analyse et des hypothèses
  4. une description des évaluations de l'applicabilité des codes informatiques pour l'événement analysé et de l'incertitude de ces codes
  5. une description des résultats d'analyse de manière à faciliter leur compréhension et à en tirer des conclusions concernant la conformité aux critères d'acceptation

La documentation doit faciliter la mise à jour de l'analyse lorsque de nouveaux résultats deviennent disponibles.

Orientation

La révision devrait être indépendante et réalisée par des experts dûment qualifiés. En particulier, ces documents devraient comprendre les éléments suivants :

  • une base technique qui comprend :
    • le ou les objectifs de l'analyse
    • la description de l'événement analysé, qui devrait comprendre la description du mode d'exploitation de la centrale nucléaire, l'intervention des SSC, les interventions de l'opérateur et les phases importantes de l'événement analysé (il est à noter qu'il faudrait également identifier les autres événements pour lesquels l'événement analysé est limitatif)
    • la description des préoccupations liées à la sûreté, des défis pour la sûreté, ainsi que des critères, des exigences et des limites numériques applicables
    • la détermination des principaux phénomènes touchés de façon importante par les paramètres clés relatifs à l'événement analysé, ainsi qu'une description du processus systématique utilisé lors de l'identification des paramètres clés
  • une description de l'installation analysée, notamment ses systèmes importants et leur rendement, ainsi que les interventions des opérateurs
  • des informations sur la méthode d'analyse et ses hypothèses
  • des informations démontrant l'applicabilité des codes, y compris (lorsqu'elles sont disponibles) des preuves de leur validation au moyen d'expériences avec des prototypes et l'évaluation de leur exactitude, ainsi que les références pour les résultats expérimentaux pertinents; la démonstration que les hypothèses utilisées dans l'analyse sont conformes aux limites d'exploitation de la centrale (avec des preuves de l'exploitation de la centrale nucléaire et des expériences démontrant les écarts observés dans les paramètres d'exploitation et les incertitudes utilisés dans la modélisation des paramètres)
  • une description des résultats de l'analyse, y compris les résultats des études de sensibilité et d'incertitude suffisamment détaillés pour montrer le phénomène dominant; la preuve de la vérification indépendante des entrées et des résultats; la preuve de la révision de l'analyse, y compris l'évaluation de l'impact (s'il y en a un) sur les limites, les conditions, les manuels, etc. d'exploitation de la centrale

La documentation sur l'analyse de la sûreté devrait être rédigée de façon à être facilement compréhensible par le personnel de la centrale qui contrôle les LCE de la centrale.

4.6 Révision et mise à jour de l'analyse déterministe de la sûreté

4.6.1 Révision des résultats de l'analyse déterministe de la sûreté

Le titulaire de permis doit examiner systématiquement les résultats de l'analyse afin de s'assurer qu'ils sont corrects et qu'ils respectent les objectifs de l'analyse. Les résultats doivent être évalués en les comparant avec les exigences pertinentes, les données expérimentales applicables et le jugement d'experts, ainsi qu'avec des analyses de sensibilité et des calculs semblables.

Le titulaire de permis doit examiner les résultats de l'analyse à l'aide d'une ou de plusieurs des techniques suivantes, selon les objectifs de l'analyse :

  1. révision par la direction
  2. révision par les pairs
  3. révision indépendante réalisée par des personnes qualifiées
  4. calculs indépendants à l'aide d'autres outils et méthodes dans la mesure du possible

Orientation

Des procédures devraient être élaborées pour déterminer l'envergure de la révision indépendante à appliquer à chaque étape de l'analyse de la sûreté.

Pour évaluer l'analyse de la sûreté et identifier les lacunes potentielles, les examinateurs devraient bien connaître :

  • les normes de sûreté, les méthodes d'analyse et la recherche technique et scientifique
  • les modifications aux données d'exploitation, à la conception, ainsi qu'à l'enveloppe d'exploitation sûre et aux procédures d'exploitation de la centrale
  • les données sur l'expérience d'exploitation d'autres centrales nucléaires

Lors de la révision de l'analyse de la sûreté, les éléments d'examen suivants devraient être pris en compte :

  • information sur la conception de la centrale, soutenue par des plans de l'aménagement de la centrale, des dessins pour les systèmes et les équipements, ainsi que des manuels de conception
  • limites d'exploitation et états opérationnels permis
  • information sur la capacité fonctionnelle de la centrale, des systèmes et des composants principaux des équipements
  • résultats des essais qui valident la capacité fonctionnelle
  • résultats de l'inspection des composants
  • caractéristiques du site, par exemple une base de données sur les inondations, les séismes, la météorologie et l'hydrologie
  • caractéristiques hors site, y compris la densité de la population
  • résultats d'analyses semblables
  • développements touchant les méthodes analytiques et les codes informatiques
  • réglementation relative à l'analyse de la sûreté
  • normes et procédures d'analyse de la sûreté

La portée et la méthode de l'examen devraient tenir compte des éléments suivants :

  • complexité et nouveauté de l'analyse
  • similarité avec les analyses examinées antérieurement
  • marges prévues des critères d'acceptation

Pour une analyse nouvelle et complexe, l'utilisation de méthodes alternatives devrait être envisagée pour confirmer les résultats d'analyse. Les méthodes alternatives utilisées aux fins de confirmation peuvent être simplifiées, mais devraient être capables de démontrer que les résultats d'analyse initiaux sont raisonnables.

4.6.2 Mise à jour de l'analyse déterministe de la sûreté

L'analyse de la sûreté sera périodiquement revue et mise à jour pour tenir compte des changements à la configuration et aux conditions (incluant ceux reliés au vieillissement) de la centrale, aux paramètres et procédures d'exploitation, aux résultats de recherche et dans l'avancée des connaissances sur les phénomènes physiques, conformément à la norme d'application de la réglementation S-99, Rapports à soumettre par les exploitants de centrales nucléaires ou des documents de remplacement.

En plus des mises à jour périodiques, l'analyse de la sûreté doit également être mise à jour lorsqu'on découvre de l'information qui peut indiquer des risques de nature différente, dont la probabilité est plus élevée ou dont l'ampleur est plus grande que ce qui avait été antérieurement présenté à la CCSN dans les documents de permis.

Orientation

La mise à jour périodique du rapport de l'analyse de la sûreté devrait :

  • intégrer les nouvelles informations
  • examiner les nouveaux problèmes soulevés
  • utiliser les outils et les méthodes actuels
  • traiter l'impact des modifications sur la conception et les procédures d'exploitation susceptibles de se produire au cours de la durée de vie d'une centrale nucléaire

La mise à jour de l'analyse de la sûreté permet de s'assurer qu'elle demeure valide tout en tenant compte :

  • de l'état actuel de la centrale nucléaire
  • de la configuration permise de la centrale et des conditions d'exploitation admissibles
  • de l'état prévu en fin de vie de la centrale
  • des modifications des méthodes d'analyse, des normes de sûreté et des connaissances qui invalident l'analyse de la sûreté existante

Afin d'atteindre les objectifs susmentionnés, les lignes directrices qui suivent peuvent être utilisées pour la mise à jour des analyses de la sûreté :

  • examiner les méthodes d'analyse de la sûreté par rapport aux normes applicables et aux résultats de recherche disponibles au Canada et dans le monde pour répertorier les éléments à prendre en compte
  • examiner les modifications apportées aux données de la centrale, à la conception, à l'enveloppe d'exploitation et aux procédures d'exploitation de la centrale nucléaire pour identifier les éléments à actualiser
  • examiner les informations sur la mise en service et l'expérience d'exploitation de la centrale nucléaire, au Canada et dans le monde, pour relever les informations pertinentes à prendre en compte
  • examiner les progrès réalisés au chapitre de la résolution des questions soulevées antérieurement au sujet de l'analyse de la sûreté, pour évaluer leurs impacts sur les méthodes et les résultats de l'analyse de la sûreté

4.7 Qualité de l'analyse déterministe de la sûreté

L'analyse de la sûreté doit être assujettie à un programme complet d'AQ appliqué à toutes les activités ayant une incidence sur la qualité des résultats. Le programme d'AQ doit permettre d'identifier les normes d'assurance de la qualité à appliquer et doit inclure les procédures et instructions documentées pour le processus complet d'analyse, comprenant, sans toutefois s'y limiter :

  1. la collecte et la vérification des données de la centrale
  2. la vérification des données d'entrée informatisées
  3. la validation des modèles de la centrale et des modèles d'analyse
  4. l'évaluation des résultats des simulations
  5. la documentation des résultats d'analyse

Orientation

Toutes les sources de données devraient être citées en référence et documentées, et les diverses étapes du processus devraient être enregistrées et archivées pour permettre d'effectuer une vérification indépendante.

Le programme d'AQ de l'analyse de la sûreté devrait se conformer aux exigences réglementaires, aux programmes et normes, ainsi qu'aux meilleures pratiques internationales.

Partie II : Analyse déterministe de la sûreté pour les installations dotées de petits réacteurs

5. Introduction

La Partie II de ce document d'application de la réglementation établit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) relatives à l'analyse déterministe de la sûreté pour les installations dotées de petits réacteurs.

6. Méthode graduée

La méthode graduée est une méthode dans laquelle les contraintes imposées aux mesures de conception et aux analyses sont proportionnées au niveau de risque posé par l'installation dotée d'un réacteur.

La portée et l'étendue des analyses de même que l'ampleur des incertitudes acceptées dans les analyses de la sûreté doivent démontrer que les objectifs de l'analyse de la sûreté et les exigences contenus dans le présent document sont respectés.

Les demandeurs et les titulaires de permis peuvent trouver des renseignements supplémentaires sur l'utilisation de la méthode graduée dans le document no NS-R-4, Safety of Research Reactors (Sûreté des réacteurs de recherche) de l'Agence internationale de l'énergie atomique (AIEA).

6.1 Application de la méthode graduée à l'analyse déterministe de la sûreté

La portée, le contenu et les détails de l'analyse de la sûreté pour les installations dotées de petits réacteurs peuvent différer de celles applicables aux réacteurs de puissance. Des scénarios d'accidents différents peuvent s'appliquer et certains d'entre eux peuvent ne nécessiter qu'une analyse de la sûreté limitée. L'application de la méthode graduée à l'analyse de la sûreté doit être proportionnelle au niveau de risque que présente l'installation dotée d'un réacteur.

Lorsque la méthode graduée est appliquée, les facteurs à considérer comprennent ce qui suit :

  1. la puissance du réacteur
  2. les caractéristiques de sûreté du réacteur
  3. la quantité et l'enrichissement des matières fissiles et fissionnables
  4. la conception du combustible
  5. le type et la masse du modérateur, du réflecteur et du caloporteur
  6. l'utilisation du réacteur
  7. la présence de sources de haute énergie et d'autres sources radioactives et dangereuses
  8. les caractéristiques de la conception de sûreté
  9. le terme source
  10. l'emplacement
  11. la proximité de zones habitées

7. Analyse déterministe de la sûreté

L'évaluation globale de la conception d'une installation dotée d'un réacteur comprend les techniques d'analyse des risques, d'analyse déterministe de la sûreté et d'étude probabiliste de la sûreté. Le présent document traite de l'analyse déterministe de la sûreté.

Ces analyses identifient toutes les sources de rayonnement afin d'évaluer les doses de rayonnement potentielles auxquelles sont exposés les travailleurs de l'installation dotée d'un réacteur et les membres du public, et de déterminer les effets potentiels sur l'environnement.

Ces analyses permettent de confirmer que la conception est apte à satisfaire aux exigences de sûreté, aux critères d'acceptation des doses et aux objectifs de sûreté. Elles contribuent également à démontrer que l'installation dotée d'un réacteur comporte une défense en profondeur (telle que définie dans le document RD-367, Conception d'installations dotées de petits réacteurs).

Les analyses de la sûreté doivent :

  1. confirmer les hypothèses et les intentions de la conception pour l'exploitation normale de l'installation dotée d'un réacteur afin d'établir les limites et conditions d'exploitation (LCE) de l'installation et de contribuer à l'établissement et à la validation des procédures et des lignes directrices pour la gestion des accidents
  2. caractériser les événements applicables à l'emplacement et à la conception de l'installation dotée d'un réacteur, tel que décrit à la section 8.2
  3. analyser et évaluer les séquences d'événements découlant d'une défaillance des structures, systèmes et composants (SSC)
  4. comparer les résultats des analyses de la sûreté aux limites de conception et aux critères d'acceptation des doses
  5. confirmer l'éventail des conditions et des événements pris en considération dans le dimensionnement
  6. démontrer que les incidents de fonctionnement prévus (IFP), les accidents de dimensionnement (AD) et, dans la mesure du possible, les accidents hors dimensionnement (AHD) peuvent être gérés par le déclenchement automatique des systèmes de sûreté en association avec les procédures d'exploitation

7.1 Objectifs de l'analyse déterministe de la sûreté

L'analyse déterministe de la sûreté doit :

  1. confirmer que la conception d'une installation dotée d'un réacteur répond aux exigences de conception et de sûreté, ainsi qu'aux exigences applicables à la défense en profondeur établies dans le document RD-367; l'analyse déterministe de la sûreté doit plus particulièrement :
    1. démontrer l'existence d'une défense en profondeur du niveau 2 en fournissant un degré de confiance raisonnable que les systèmes de contrôle indépendants peuvent atténuer un vaste éventail d'IFP sans endommager les SSC
    2. démontrer l'existence d'une défense en profondeur du niveau 3 en fournissant un degré de confiance élevé que les systèmes de sûreté indépendants à eux seuls peuvent atténuer tous les IFP et tous les AD, de telle sorte que l'installation répond aux critères d'acceptation des doses établis dans le document RD-367
    3. permettre de démontrer l'existence d'une défense en profondeur du niveau 4 au moyen d'une analyse probabiliste de la sûreté afin de démontrer que l'installation répond aux objectifs de sûreté établis dans le document RD-367
  2. établir ou confirmer que les LCE sont conformes aux exigences de conception et de sûreté pour l'installation dotée d'un réacteur
  3. aider à établir et à valider les procédures et les lignes directrices pour la gestion des accidents
  4. confirmer que les modifications apportées à la conception ou à l'exploitation de l'installation dotée d'un réacteur n'ont aucun effet négatif important sur la sûreté

8. Exigences de l'analyse déterministe de la sûreté

Les sections suivantes soulignent les exigences détaillées de l'analyse déterministe de la sûreté qui doit être présentée à la CCSN.

8.1 Responsabilités

Le demandeur ou le titulaire de permis est tenu de s'assurer que l'analyse déterministe de la sûreté répond aux exigences suivantes. Il doit :

  1. posséder à tout moment les compétences requises pour réaliser une analyse déterministe de la sûreté ou pour encadrer avec compétence la réalisation d'une analyse déterministe de la sûreté lorsque celle-ci est confiée à une ressource externe
  2. s'assurer que l'évaluation et la mise à jour de l'analyse déterministe de la sûreté suivent un processus formel qui tient compte des répercussions des modifications à la conception, de l'expérience d'exploitation, des résultats de recherche et des problèmes de sûreté connus
  3. s'assurer qu'un processus d'AQ documenté est appliqué lors de la réalisation de l'analyse déterministe de la sûreté

8.2 Événements à analyser

8.2.1 Identification des événements

Le demandeur ou le titulaire d'un permis doit utiliser un processus systématique pour identifier les événements initiateurs hypothétiques (y compris les événements de criticité), les séquences d'événements et les combinaisons d'événements (ci-après les « événements ») pouvant potentiellement compromettre les fonctions de sûreté de l'installation dotée d'un réacteur. Ce processus doit tenir compte des exigences réglementaires et de l'orientation, de l'historique de délivrance des permis, de l'expérience d'exploitation, du jugement technique, des résultats des évaluations déterministes de la sûreté et des études probabilistes de sûreté (EPS), ainsi que de l'examen systématique de la conception.

Le titulaire de permis doit également identifier les événements susceptibles d'entraîner des rejets de produits de fission, y compris des rejets en lien avec la piscine de combustible usé (également appelée piscine de combustible irradié) et les installations de manutention du combustible.

La détermination des événements doit tenir compte :

  1. de toutes les configurations de fonctionnement, comme le démarrage, le régime de production normale, l'arrêt, l'entretien, les essais ou la surveillance et le rechargement du combustible
  2. des configurations et des utilisations de l'installation dotée d'un réacteur
  3. des interactions entre le réacteur et tout dispositif expérimental, y compris :
    1. les procédures administratives
    2. les contrôles
    3. l'équipement supplémentaire relatif aux dispositifs expérimentaux

Les événements d'origine commune affectant plusieurs tranches sur un site ou une seule tranche, et les installations connexes à proximité, doivent être pris en compte.

Par souci d'exhaustivité, la liste des événements déterminés doit être examinée pendant la conception et le processus d'analyse déterministe de la sûreté. Après la construction d'une nouvelle installation dotée d'un réacteur, la liste des événements doit être vérifiée à la lumière des caractéristiques de l'installation telle que construite. Les modifications de conception ultérieures et les conceptions expérimentales doivent également être examinées et le cas échéant, la liste des événements déterminés doit être modifiée.

8.2.2 Portée des événements analysés

La liste des événements à élaborer pour l'analyse déterministe de la sûreté doit comprendre :

  1. les défaillances ou dysfonctionnements des SSC
  2. les erreurs commises par les opérateurs
  3. les défaillances d'origine commune déclenchées par des événements internes ou externes, y compris celles qui affectent plusieurs tranches d'un site

Une fréquence de coupure doit être établie de façon à ce que les événements dont la fréquence d'occurrence est inférieure à cette limite et ne contribuent au risque que de manière négligeable. Les événements dont la fréquence d'occurrence est inférieure à la limite de coupure ne sont pas considérés plausibles. L'élimination de tels événements de la portée de l'analyse déterministe de la sûreté doit être justifiée et les motifs de leur élimination doivent être documentés.

8.2.3 Classification des événements

À la lumière des résultats de l'EPS et du jugement technique, les événements identifiés doivent être classés dans l'une des trois catégories d'événements suivantes :

  1. les incidents de fonctionnement prévus (IFP) qui comprennent tous les événements dont la fréquence est égale ou supérieure à 10-2 par année-réacteur
  2. les accidents de dimensionnement (AD) qui comprennent tous les événements dont la fréquence est égale ou supérieure à 10-5 par année-réacteur, mais inférieure à 10-2 par année-réacteur; cette catégorie d'événements comprend également tout événement utilisé comme dimensionnement pour un système de sûreté, que la fréquence estimée soit inférieure ou non à 10-5 par année-réacteur
  3. les accidents hors dimensionnement (AHD) qui comprennent les événements dont la fréquence est inférieure à 10-5 par année-réacteur

Les événements dont la fréquence se rapproche de la limite entre deux catégories d'événements, ou dont la fréquence prévue comporte une marge d'incertitude importante, devraient être classés dans la catégorie de fréquence supérieure.

Les événements plausibles d'origine commune doivent également être classés dans les catégories IFP, AD ou AHD.

8.3 Critères d'acceptation

8.3.1 Exploitation normale

L'analyse de la sûreté effectuée lors de l'exploitation normale d'une installation dotée d'un réacteur doit démontrer que :

  1. les doses de rayonnement auxquelles sont exposés les travailleurs et les membres du public se situent à l'intérieur des limites prescrites par le Règlement sur la radioprotection
  2. les rejets de substances radioactives dans l'environnement se situent à l'intérieur des limites réglementaires

8.3.2 Incidents de fonctionnement prévus et accidents de dimensionnement

L'analyse de la sûreté des IFP et des AD doit démontrer que :

  1. les doses de rayonnement auxquelles sont exposés les membres du public ne dépassent pas les critères d'acceptation des doses établis dans le document RD-367, Conception de petits réacteurs
  2. les exigences de sûreté applicables établies conformément à la section 8.3.4 sont respectées, à moins de justification contraire

8.3.3 Accidents hors dimensionnement

L'analyse de la sûreté des AHD doit démontrer que :

  1. l'installation dotée d'un réacteur est apte, telle que conçue, à répondre aux objectifs de sûreté établis dans le document RD-367
  2. les procédures et l'équipement mis en place pour prendre en compte les besoins en matière de gestion des accidents sont efficaces et tiennent compte de la disponibilité de l'eau de refroidissement, du matériel et des sources d'alimentation électrique. Il est également possible de tenir compte des capacités complètes de conception de la centrale, y compris l'utilisation possible de systèmes de sûreté, de systèmes sans lien avec la sûreté et de systèmes temporaires au-delà de leurs fonctions initiales prévues

Il est à noter que l'analyse déterministe de la sûreté vient appuyer l'EPS lors de l'évaluation d'une installation dotée d'un réacteur par rapport aux objectifs de sûreté.

8.3.4 Application des exigences de sûreté pour les incidents de fonctionnement prévus et accidents de dimensionnement

Afin de confirmer l'efficacité des systèmes de l'installation dotée d'un réacteur pour la préservation de l'intégrité des barrières physiques contre les rejets de substances radioactives, il importe d'établir des critères d'acceptation qualitatifs pour chaque IFP et chaque AD. Ces critères d'acceptation qualitatifs doivent :

  1. permettre d'éviter le risque de défaillances indirectes à la suite d'un événement initiateur
  2. conserver les SSC dans une configuration qui permette l'évacuation efficace de la chaleur résiduelle
  3. empêcher le développement de configurations complexes ou de phénomènes physiques qui ne peuvent être :
    1. modélisés avec un degré de confiance élevé
    2. démontrés au moyen d'expériences appropriées
    3. encadrés de façon fiable par des hypothèses prudentes
  4. être conformes aux exigences de conception des SSC d'une installation dotée d'un réacteur

Pour démontrer que les exigences de sûreté sont satisfaites, le demandeur ou le titulaire de permis doit définir les critères d'acceptation pour les IFP et les AD, avant d'effectuer l'analyse déterministe de la sûreté. Ces critères d'acceptation doivent garantir que les fonctionnalités de sûreté sont respectées, justifiées et appuyées par des éléments probants appropriés.

Des exemples de critères d'acceptation pour les IFP et les AD sont fournis à l'annexe C. Les conditions du permis peuvent contenir des exigences supplémentaires correspondant à des événements pouvant résulter d'une conception ou d'expériences uniques propres à l'installation dotée d'un réacteur.

Les résultats de l'analyse déterministe de la sûreté doivent respecter les critères d'acceptation, auxquels doivent être ajoutées des marges de sûreté suffisantes pour intégrer les incertitudes associées à l'analyse déterministe de la sûreté.

Cette analyse doit inclure l'événement pour lequel le respect des critères d'acceptation (c.-à-d. l'événement limitatif dans sa catégorie d'événements) soulève le plus de difficultés.

8.4 Méthodologie et hypothèses de l'analyse déterministe de la sûreté

L'analyse déterministe de la sûreté doit démontrer que les critères d'acceptation seront satisfaits. Pour fournir des résultats dignes d'un niveau de confiance adéquat, l'analyse déterministe de la sûreté doit :

  1. être effectuée conformément au processus d'assurance de la qualité qui répond aux exigences énoncées à la section 8.7
  2. être effectuée par des analystes qualifiés
  3. appliquer une méthodologie systématique d'analyse déterministe de la sûreté
  4. utiliser des modèles et des codes informatiques vérifiés et validés
  5. utiliser des hypothèses justifiées
  6. être assujettie à un processus d'examen

8.4.1 Méthodologie de l'analyse déterministe de la sûreté

La méthodologie de l'analyse déterministe de la sûreté doit comprendre :

  1. la détermination des scénarios à analyser pour atteindre les objectifs de l'analyse, y compris les analyses de sensibilité
  2. la détermination des critères d'acceptation et des limites applicables
  3. le recueil d'information décrivant l'installation dotée d'un réacteur ainsi que ses modes de fonctionnement permis
  4. la détermination des hypothèses relatives à l'état de fonctionnement, à la disponibilité et au rendement des systèmes de l'installation, ainsi qu'aux interventions des opérateurs
  5. la détermination des phénomènes importants de l'événement à analyser
  6. le choix des méthodes de calcul ou des codes informatiques, des modèles et des corrélations qui ont été validés pour les applications prévues
  7. la préparation des données d'entrée pour l'analyse déterministe de la sûreté
  8. l'exécution des calculs, dont :
    1. une analyse de sensibilité et l'identification au besoin des marges associées aux effets de falaise
    2. l'analyse de l'événement, depuis l'état stationnaire initial jusqu'à un état stable à long terme prédéfini
  9. la vérification des résultats des calculs pour valider leur cohérence physique et logique
  10. le traitement et la documentation des résultats des calculs afin de démontrer leur conformité aux critères d'acceptation et aux limites

8.4.2 Hypothèses de l'analyse déterministe de la sûreté

L'analyse déterministe de la sûreté doit être fondée sur des données précises et exhaustives concernant la conception de l'installation dotée d'un réacteur et, dans la mesure du possible, son exploitation. Les hypothèses énoncées pour simplifier l'analyse déterministe de la sûreté ainsi que les hypothèses relatives à la disponibilité et au rendement des systèmes et des opérateurs doivent être déterminées et justifiées.

L'analyse déterministe de la sûreté des IFP et des AD (une analyse prudente pour une défense en profondeur du niveau 3) doit :

  1. intégrer les incertitudes relatives aux entrées clés des paramètres de modélisation, les incertitudes relatives aux entrées clés des mesures des paramètres de l'installation, et les incertitudes des mesures pour le déclenchement des systèmes d'atténuation; les incertitudes doivent être estimées de façon appropriée, conformément aux pratiques exemplaires nationales et internationales
  2. appliquer le critère de défaillance unique à tous les groupes de sûreté et faire en sorte que les groupes de sûreté répondent aux normes environnementales
  3. utiliser le rendement minimal admissible (tel qu'établi dans les LCE) pour les groupes de sûreté
  4. tenir compte des risques de défaillances indirectes à la suite d'un événement initiateur
  5. valider les actions des systèmes de procédé et de contrôle seulement lorsque les systèmes sont passifs et répondent aux normes environnementales pour les conditions d'accident
  6. valider les systèmes de procédé seulement s'ils fonctionnent déjà et ne sont pas perturbés par l'événement
  7. inclure les actions des systèmes de procédé et de contrôle lorsque leurs actions peuvent avoir un effet préjudiciable sur les conséquences de l'accident analysé
  8. tenir compte des effets du vieillissement sur les SSC
  9. tenir compte de la possibilité que de l'équipement soit mis hors service aux fins d'entretien
  10. démontrer que la centrale peut être maintenue dans un état stable, dépressurisé et à froid pendant une période prolongée
  11. valider les interventions de l'opérateur seulement :
    1. lorsque le besoin de telles interventions est clairement indiqué
    2. lorsqu'existent des procédures adéquates et une formation des opérateurs pour de telles actions
    3. lorsqu'il y a suffisamment de temps pour accomplir les interventions approuvées
    4. lorsque les conditions environnementales n'interdisent pas de telles interventions

8.4.3 Codes informatiques

Les codes informatiques utilisés dans l'analyse déterministe de la sûreté doivent être élaborés, validés et utilisés conformément à un programme d'assurance de la qualité qui respecte ou dépasse la norme CSA-N286.7-99 du Groupe CSA. Le document G-149, Les programmes informatiques utilisés lors de la conception et des analyses de sûreté des centrales nucléaires et des réacteurs de recherche fournit de l'orientation sur les attentes relatives aux codes informatiques.

8.4.4 Principe de prudence dans l'analyse déterministe de la sûreté

L'analyse devra respecter un certain degré de prudence pour afficher un niveau de confiance conforme aux objectifs de l'analyse établis selon la section 7.1.

8.5 Documentation de l'analyse déterministe de la sûreté

La documentation relative à l'analyse déterministe de la sûreté doit être exhaustive et suffisamment détaillée pour permettre une vérification indépendante. La documentation doit comprendre :

  1. l'objectif de l'analyse de la sûreté
  2. les fondements techniques de chaque événement ainsi que les phénomènes et les processus clés
  3. une description de l'événement analysé
  4. une description des préoccupations relatives à la sûreté, des risques possibles pesant sur la sûreté, des critères de sûreté, exigences et limites numériques applicables
  5. l'identification des phénomènes clés survenus pendant l'événement analysé pour chacune des préoccupations liées à la sûreté
  6. la démonstration de l'applicabilité des codes informatiques, y compris des preuves que ces codes ont été validés au moyen d'une comparaison avec des expériences de prototype et par une évaluation de leur exactitude
  7. la démonstration que les hypothèses de l'analyse sont conformes aux limites d'exploitation de l'installation dotée d'un réacteur
  8. les résultats des analyses de sensibilité et des incertitudes
  9. les données et informations à fournir aux autres programmes mis en œuvre à l'installation dotée d'un réacteur
  10. un résumé des principaux résultats et conclusions concernant l'acceptabilité

8.6 Examen et mise à jour de l'analyse déterministe de la sûreté

8.6.1 Examen des résultats de l'analyse déterministe de la sûreté

Le demandeur ou le titulaire d'un permis doit examiner systématiquement les résultats de l'analyse déterministe de la sûreté afin de s'assurer qu'ils sont corrects et qu'ils satisfont à l'objectif initial de l'analyse. Les résultats doivent être évalués par rapport aux exigences pertinentes de la CCSN, aux données expérimentales applicables, au jugement des experts et aux comparaisons avec des calculs et des analyses de sensibilité comparables.

Le demandeur ou le titulaire d'un permis doit examiner les résultats de l'analyse déterministe de la sûreté en ayant recours à au moins une des techniques suivantes selon les objectifs de l'analyse déterministe de la sûreté :

  1. un examen par les supérieurs
  2. un examen par des pairs
  3. un examen indépendant par des personnes qualifiées
  4. des calculs indépendants utilisant, dans la mesure du possible, des méthodes et des outils différents

8.6.2 Mise à jour de l'analyse déterministe de la sûreté

L'analyse déterministe de la sûreté doit être examinée et mise à jour périodiquement pour tenir compte des modifications apportées à la configuration de l'installation dotée d'un réacteur, des changements de conditions (y compris ceux attribuables au vieillissement), de paramètres et de procédures opérationnels, des résultats de nouvelles recherches et de l'évolution des connaissances. La méthode graduée s'applique à la fréquence des mises à jour.

En plus des mises à jour périodiques, l'analyse déterministe de la sûreté sera également actualisée en cas de modifications importantes de la conception ou de réfections majeures, ou les deux, ainsi qu'à la suite de la découverte d'informations indiquant des risques de nature significativement différents, dont la probabilité est plus élevée ou dont l'ampleur est plus importante que ce qui avait été présenté antérieurement à la CCSN dans les documents relatifs au permis. De telles informations comprennent :

  1. les changements motivés par les résultats de nouvelles recherches
  2. l'occurrence d'un événement non pris en compte dans l'analyse déterministe de la sûreté

8.7 Qualité de l'analyse déterministe de la sûreté

L'analyse déterministe de la sûreté doit être assujettie à un programme complet d'AQ appliqué à toutes les activités susceptibles d'avoir une incidence sur la qualité des résultats. Le programme d'AQ doit indiquer les normes d'assurance de la qualité devant être appliquées et doit comprendre les procédures et les directives documentées pour l'ensemble du processus de l'analyse déterministe de la sûreté, y compris, mais sans toutefois s'y limiter :

  1. la collecte et la vérification des données relatives à l'installation dotée d'un réacteur
  2. la vérification des données d'entrée informatiques
  3. la validation des codes informatiques utilisés dans l'analyse déterministe de la sûreté
  4. l'évaluation des résultats des simulations
  5. la documentation des résultats de l'analyse déterministe de la sûreté

Annexe A : Extrants de l'identification et de la classification des événements

Ce tableau présente un classement des événements (IFP, AD ou AHD, selon le cas) et illustre les extrants du processus d'identification et de classification des événements décrits à la sous-section 4.2. Cette liste n'est fournie qu'à titre indicatif et n'est en aucun cas exhaustive.

Annexe A : Extrants de l'identification et de la classification des événements
Événement initiateur Défaillances additionnelles IFP AD AHD
APRP à l'intérieur de l'enceinte de confinement
très petit APRP (fuite)
  • fuite du circuit caloporteur (CP) à l'intérieur de l'enceinte de confinement (dans les limites de la capacité de la pompe d'alimentation en D2O jusqu'à 50 kg/s)
pas de défaillance additionnelle    
petit APRP
  • petite rupture d'une conduite du CP (~ 50 à 1 000 kg/s)
  • rupture d'une conduite à la partie supérieure du pressuriseur
  • défaillance de raccord d'extrémité
  • rupture du tube de force avec tube de calandre intact
  • rupture d'un tube de force/tube de calandre (APRP dans le cœur)
pas de défaillance additionnelle    
défaillance de récupération de D2O/d'alimentation en D2O    
défaillance de l'alimentation de catégorie IV    
défaillance du système d'isolement du confinement    
défaillance de tous les refroidisseurs de l'enceinte de confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance des composants dédiés à la dépressurisation dans l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
défaillance du refroidissement du générateur de vapeur (GV)    
défaillance du système de refroidissement d'urgence du cœur (SRUC)    
APRP attribuable à une rupture intermédiaire
  • défaillance de conduite du CP (~ 1 000 à 3 000 kg/s)
pas de défaillance additionnelle    
défaillance de l'alimentation de catégorie IV    
défaillance du système d'isolement du confinement    
défaillance de tous les refroidisseurs de l'enceinte de confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance des composants dédiés à la dépressurisation dans l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
défaillance du refroidissement des GV    
défaillance du SRUC    
APRP attribuable à une rupture majeure (> 3 000 kg/s) pas de défaillance additionnelle    
défaillance de l'alimentation de catégorie IV    
défaillance de système de l'isolement du confinement    
défaillance de tous les refroidisseurs de l'enceinte de confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance des composants dédiés à la dépressurisation dans l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
défaillance du refroidissement des GV    
défaillance du SRUC    
APRP à l'extérieur de l'enceinte de confinement
très petit APRP (fuite) hors de l'enceinte de confinement
  • rupture de tube d'instrument du CP hors de l'enceinte de confinement
pas de défaillance additionnelle    
défaillance du circuit de refroidissement à l'arrêt (RTA)    
fuite chronique d'un tube du GV (< 50 kg/h) à forte concentration d'iode 131 pas de défaillance additionnelle    
rupture d'un tube du GV pas de défaillance additionnelle    
défaillance du RTA    
défaillance des vannes de dérivation au condenseur (VDC)    
défaillance des vannes d'isolation de la vapeur principale (VIVP) des GV touchés    
défaillance du RTA et des VDC    
rupture multiple des tubes du GV (≤ 10) pas de défaillance additionnelle    
rupture multiple des tubes du GV (> 10) pas de défaillance additionnelle    
défaillance d'un joint d'étanchéité du CP pas de défaillance additionnelle    
défaillance du RTA    
rupture d'une conduite de drainage du CP pas de défaillance additionnelle    
vanne de drainage défectueuse en position ouverte    
rupture d'une conduite d'alimentation du CP pas de défaillance additionnelle    
vanne de drainage défectueuse en position ouverte    
non-fermeture d'un clapet du CP pas de défaillance additionnelle    
Perte de débit
blocage d'écoulement mineur dans un canal pas de défaillance additionnelle    
indisponibilité du SRUC ou de l'enceinte de confinement    
blocage d'écoulement grave dans un canal pas de défaillance additionnelle    
indisponibilité du SRUC ou de l'enceinte de confinement    
stagnation attribuable à une rupture d'un tuyau d'alimentation pas de défaillance additionnelle    
défaillance de l'alimentation de catégorie IV    
défaillance du système d'isolation de l'enceinte de confinement    
défaillance des refroidisseurs de l'enceinte de confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance des composants dédiés à la dépressurisation dans l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
défaillance du refroidissement des GV    
défaillance du SRUC    
Défaillances du chargement
éjection du combustible de la machine à chargement du combustible (MC) dans l'enceinte de confinement pas de défaillance additionnelle    
défaillance de l'alimentation de catégorie IV    
défaillance du système d'isolation de l'enceinte de confinement    
défaillance des composantes dédiées à la dépressurisation de l'enceinte de confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance des composants dédiés à la dépressurisation dans l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
défaillance du refroidissement des GV    
défaillance du SRUC    
Défaillances du circuit d'alimentation en eau
perte totale de l'eau d'alimentation pas de défaillance additionnelle    
défaillance du RTA    
défaillance du système de refroidissement d'urgence des générateurs de vapeur (SRUGV) ou du système secondaire d'urgence d'alimentation en eau (SSUAE)    
rupture d'une conduite d'eau d'alimentation en amont du dernier clapet pas de défaillance additionnelle    
défaillance du RTA    
défaillance du SRUGV ou du SSUAE    
rupture d'une conduite d'eau d'alimentation en aval du dernier clapet pas de défaillance additionnelle    
défaillance du RTA    
défaillance du SRUGV ou du SSUAE    
Défaillance du système d'alimentation en vapeur d'eau
fermeture intempestive des VIVP pas de défaillance additionnelle    
rejet de la charge turbine/GV et déclenchement de la turbine pas de défaillance additionnelle    
ouverture intempestive d'une ou plusieurs soupapes de sûreté de vapeur principales (SVP) pas de défaillance additionnelle    
déclenchement de la turbine avec VDC indisponibles pas de défaillance additionnelle    
rupture d'une large conduite de vapeur
  • rupture de la conduite principale de vapeur
  • défaillance de l'équilibrage du collecteur des conduites principales de vapeur
  • rupture de la buse de vapeur du GV
pas de défaillance additionnelle    
défaillance du RTA    
défaillance du SRUGV ou du SSUAE    
rupture de la conduite de drainage du réchauffeur pas de défaillance additionnelle    
défaillance du RTA    
défaillance du SRUGV ou du SSUAE    
perte de pression du dégazeur attribuable à une rupture de la conduite d'extraction de vapeur pas de défaillance additionnelle    
Événements touchant la pompe du caloporteur
déclenchement de la pompe du CP pas de défaillance additionnelle    
blocage de la pompe du CP pas de défaillance additionnelle    
défaillance de l'arbre de la pompe du CP pas de défaillance additionnelle    
Défaillances du système de manutention du combustible
perte de refroidissement de la machine à chargement du combustible (MC) au cours de la transition pas de défaillance additionnelle    
défaillance de l'isolement du confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
perte de refroidissement de la MC fixée au réacteur pas de défaillance additionnelle    
défaillance de l'étanchéité du confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
grappe coincée avec la MC fixée au réacteur pas de défaillance additionnelle    
fuite d'un tube de GV    
incidents de manutention du combustible à la piscine de stockage (PS) pas de défaillance additionnelle    
effluents gazeux non disponibles    
incidents touchant la piscine de stockage (PS) pas de défaillance additionnelle    
perte du système de ventilation de la piscine    
perte de refroidissement de la PS pas de défaillance additionnelle    
perte de refroidissement d'appoint    
perte du système de ventilation de la piscine    
perte d'inventaire de la PS pas de défaillance additionnelle    
perte du système de ventilation de la piscine    
Défaillances électriques
perte de l'alimentation de catégorie IV pas de défaillance additionnelle    
défaillance de l'alimentation de catégorie III    
perte de l'alimentation de catégorie I de l'unité pas de défaillance additionnelle    
perte de l'alimentation de catégorie II de l'unité pas de défaillance additionnelle    
perte de l'alimentation électrique d'urgence (AEU) de l'unité pas de défaillance additionnelle    
perte de l'alimentation électrique commune pas de défaillance additionnelle    
Défaillances des programmes de contrôle
défaillances des ordinateurs de commande pas de défaillance additionnelle    
perte du contrôle de la réactivité pas de défaillance additionnelle    
perte du contrôle de la puissance du réacteur pas de défaillance additionnelle    
pression du GV basse – ouverture intempestive des vannes de rejet atmosphérique et des VDC pas de défaillance additionnelle    
perte du contrôle de niveau des GV pas de défaillance additionnelle    
perte de contrôle de niveau du dégazeur pas de défaillance additionnelle    
perte de contrôle de la pression du caloporteur : surpressurisation pas de défaillance additionnelle    
perte de contrôle de la pression du caloporteur : dépressurisation pas de défaillance additionnelle    
Défaillances du RTA et du refroidissement du blindage
perte de contrôle du refroidissement/de la température pas de défaillance additionnelle    
perte de débit pas de défaillance additionnelle    
rupture de conduite pas de défaillance additionnelle    
rupture des tubes de l'échangeur de chaleur du RTA pas de défaillance additionnelle    
perte de circulation du refroidissement du blindage pas de défaillance additionnelle    
défaillance du RTA    
perte totale du système d'eau de service à basse pression (SESBP) pas de défaillance additionnelle    
perte d'inventaire du bouclier d'extrémité pas de défaillance additionnelle    
défaillance du RTA    
perte de contrôle de la température du bouclier pas de défaillance additionnelle    
défaillance du RTA    
Défaillances du modérateur
perte du SESBP pas de défaillance additionnelle    
défaillance du déclenchement sur haut niveau du modérateur    
défaillance de l'isolation du confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
perte de circulation du modérateur pas de défaillance additionnelle    
défaillance du déclenchement sur haut niveau du modérateur    
défaillance du RTA    
perte de contrôle de la température du modérateur – bas pas de défaillance additionnelle    
perte de l'inventaire du modérateur pas de défaillance additionnelle    
défaillance du RTA    
rupture des tubes de l'échangeur de chaleur du système modérateur pas de défaillance additionnelle    
perte de pression du gaz de couverture pas de défaillance additionnelle    
perte de circulation du gaz de couverture pas de défaillance additionnelle    
perte du SESBP aux échangeurs de chaleur du modérateur pas de défaillance additionnelle    
défaillance du déclenchement sur haut niveau du modérateur    
  défaillance du RTA    
Défaillances des systèmes de soutien
perte du SESBP/défaillance du système d'eau de refroidissement recirculée pas de défaillance additionnelle    
défaillance du déclenchement sur haut niveau du modérateur    
défaillance de l'isolation du confinement    
défaillance des soupapes de sûreté de l'enceinte de confinement    
défaillance de la décharge filtrée de l'enceinte de confinement    
défaillance du SSUAE    
défaillance du SSUAE (système secondaire d'urgence d'alimentation en eau) pas de défaillance additionnelle    
défaillance du circuit d'air de l'instrumentation pas de défaillance additionnelle    
perte de débit du condensat aux dégazeurs pas de défaillance additionnelle    
Événements déclenchés de mode commun (la classification de ces événements dépend des paramètres présumés)
incendies internes pas de défaillance additionnelle  
rejet de tritium pas de défaillance additionnelle  
incendies attribuables à l'hydrogène pas de défaillance additionnelle  
explosion d'hydrogène pas de défaillance additionnelle  
séisme de dimensionnement pas de défaillance additionnelle  
rupture de la turbine pas de défaillance additionnelle  
inondation pas de défaillance additionnelle      
tornade de dimensionnement pas de défaillance additionnelle  
incident ferroviaire de dimensionnement pas de défaillance additionnelle  
incident ferroviaire – produits toxiques/corrosifs pas de défaillance additionnelle  

Annexe B : Exemples de critères d'acceptation dérivés pour les centrales nucléaires

Conformément à la sous-section 4.3.4 du présent document, le titulaire de permis doit établir des critères d'acceptation dérivés. Les exemples ci-après sont tirés de pratiques courantes en vigueur au Canada et dans le monde.

B.1 Incidents de fonctionnement prévus

Les critères globaux pour un IFP sont les suivants (voir le document REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires) :

  • le critère d'acceptation de doses pour un IFP est respecté
  • les SSC qui ne sont pas concernés par l'initiation de l'événement demeurent opérationnels pour l'exploitation continue

Le REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires précise qu'on s'attend à ce que la plupart des IFP soient atténués par les systèmes de contrôle, sans qu'il soit nécessaire de recourir aux systèmes de sûreté pour prévenir les dommages.

En outre, tous les IFP devraient être atténués par les systèmes de sûreté sans l'aide des systèmes de contrôle. Seuls les critères qui indiquent une atténuation réussie par les systèmes de sûreté sont illustrés dans tableau B.1 qui suit.

B.2 Accident de dimensionnement

Les critères globaux pour un AD sont les suivants :

  • le critère d'acceptation de dose pour un AD est respecté
  • l'événement n'évolue pas vers des conditions plus graves

La sous-section 4.3.4 de ce document établit les principes généraux suivants que doivent respecter les critères d'acceptation calculés :

  • éviter le risque de défaillances résultant d'un événement initiateur
  • maintenir les SSC dans une configuration permettant l'évacuation efficace de la chaleur résiduelle
  • prévenir le développement de configurations complexes ou de phénomènes physiques qui ne peuvent être modélisés avec un niveau de confiance élevé
  • être conformes aux exigences de conception des SSC de la centrale

Le tableau B.2 présente des exemples de critères d'acceptation d'AD.

Tableau B.1 : Exemples de critères d'acceptation pour les incidents de fonctionnement prévus (IFP) pour le niveau 2 de la défense en profondeur
Barrière contre le rejet de produits de fission ou fonction de sûreté fondamentale Critères d'acceptation qualitatifs
matrice de combustible
  • apte au service
gaine du combustible
  • pas d'assèchement/d'ébullition nucléée (DNB)
assemblage de combustible
  • maintenir la capacité de refroidissement du combustible
  • conserver la géométrie de barre-grappe avec suffisamment de canaux de caloporteur pour permettre d'éliminer la chaleur résiduelle
  • pas d'entrave aux mécanismes d'arrêt du réacteur attribuable au changement de géométrie (REL)
canaux de combustible (réacteurs CANDU)
  • apte au service
    • niveau B de la norme ASME non dépassé
circuit primaire caloporteur (à l'exclusion canaux de combustible des réacteurs CANDU)
  • apte au service
    • niveau B de la norme ASME non dépassé
circuit caloporteur secondaire
  • apte au service
    • niveau B de la norme ASME non dépassé
enceinte de confinement
  • apte au service
    • niveau B de la norme ASME non dépassé
  • la fuite demeure à l'intérieur de la limite de conception
contrôle de la réactivité
  • réactivité contrôlée par le système de sûreté
  • après l'arrêt, il n'y a pas de retour intempestif à la criticité
évacuation de la chaleur résiduelle
  • évacuation de la chaleur par le système de sûreté efficace
surveillance des conditions
  • apte au service
    • l'instrumentation des systèmes de sûreté est qualifiée de point de vue environnemental et sismique
dose hors site
  • respecte les critères d'acceptation de dose du document REGDOC-2.5.2 pour un IFP
Tableau B.2 : Exemples de critères d'acceptation pour les accidents de dimensionnement (AD)
Barrière pour le rejet de produits de fission ou fonction de sûreté fondamentale Critères d'acceptation qualitatifs
matrice de combustible
  • pas de fusion dans le centre du combustible
  • pas de rupture du combustible
  • pas de dépôt excessif d'énergie
gaine de combustible
  • les éléments combustibles (barres de combustible) qui dépassent les critères de flux de chaleur critique ou de début d'ébullition nucléée sont censés se briser et contribuer à la dose hors site
  • aucune déformation excessive de la gaine de combustible
  • les éléments combustibles doivent répondre aux limites applicables pour :
    • la température de la gaine
    • l'oxydation locale de la gaine
    • la fragilisation de la gaine de combustible par l'oxygène
assemblage de combustible
  • maintenir la capacité de refroidissement du combustible
  • conserver la géométrie de grappe ou l'assemblage de combustible avec suffisamment de canaux de caloporteur pour permettre d'évacuer la chaleur résiduelle
  • pas d'entrave aux mécanismes d'arrêt du réacteur attribuable au changement de géométrie (REL)
canaux de combustible
(réacteurs CANDU)
  • le canal de combustible demeure intact
  • la déformation locale du tube de force au-dessous du seuil de rupture
  • le sous-refroidissement du modérateur empêche la rupture
  • pas de dilatation forcée
  • pas de fusion de la gaine de combustible
  • pas de fusion dans le centre du combustible
  • pas de rupture du combustible 
  • pas de courbure ou de flexion de l'élément combustible en contact avec le tube de force
circuit caloporteur primaire
(à l'exclusion des canaux de combustible des réacteurs CANDU)
  • l'enveloppe de pression demeure intacte :
  • niveau C de la norme ASME non dépassé
  • aucune fuite indirecte des tubes du GV
circuit caloporteur secondaire
  • l'enveloppe de pression demeure intacte :
  • niveau C de la norme ASME non dépassé
cuve et circuit du modérateur
(ne s'applique pas aux REL)
  • l'enveloppe de pression demeure intacte :
  • niveau C de la norme ASME non dépassé
confinement
  • les conditions de confinement demeurent dans les limites de conception :
  • pression inférieure à la pression de conception
  • la fuite de l'enceinte de confinement demeure à l'intérieur des limites de fuite de conception
  • les conditions des qualifications environnementales (température, humidité, dose radioactive) des SSC crédités sont respectées
  • aucun effet local de rupture (missiles, jets, fouettage des tuyaux, flamme d'hydrogène) qui pourrait nuire à la fonction de confinement
  • les concentrations locales d'hydrogène en deçà des critères d'accélération de la flamme et de déflagration-détonation
  • charges de combustion de la déflagration lente inférieures à celles qui pourraient endommager les SSC de confinement
contrôle de la réactivité
  • la réactivité est contrôlée :
  • aucune criticité immédiate
  • après l'arrêt, tout retour à la puissance est limité en durée et n'occasionne pas le dépassement de tout autre critère d'acceptation dérivé
évacuation de la chaleur résiduelle
  • le refroidissement continu du cœur du réacteur à long terme est possible :
  • la géométrie du cœur du réacteur permet le refroidissement
  • la chaleur résiduelle est évacuée du cœur du réacteur
  • la chaleur est transférée vers une source froide ultime
surveillance de l'état de l'équipement
  • apte au service :
  • l'instrumentation des systèmes de sûreté est qualifiée du point de vue environnemental et sismique
dose hors site
  • respecte les critères d'acceptation de doses du document REGDOC-2.5.2 pour un AD

Annexe C : Exemples de critères d'acceptation pour les installations dotées de petits réacteurs

Le tableau C.1 fournit des exemples de critères d'acceptation pour les IFP. Le tableau C.2 fournit des exemples de critères d'acceptation pour les AD. Des exceptions justifiées aux critères seront prises en considération sous réserve qu'un niveau de sûreté équivalent soit assuré et démontré.

Tableau C.1 : Critères d'acceptation pour les IFP
No Critère d'acceptation Remarque
1 Aucune dépendance à l'égard des systèmes de sûreté dans la mesure du possible  
2 Aucune dégradation indirecte de l'état du combustible
  • Une dégradation de l'état du combustible signifie que celui-ci ne peut plus être utilisé de façon continue après avoir été soumis aux conditions prévues
3 Aucune dégradation indirecte des SSC
  • Tous les SSC demeurent aptes au service
Tableau C.2 : Critères d'acceptation pour les AD
No Critère d'acceptation Remarque
1 Aucune dépendance à l'égard des systèmes de contrôle
  • Lorsque les systèmes de contrôle aggravent l'événement, ceci devrait être compris dans l'analyse.
2 La configuration du combustible permet d'évacuer la chaleur résiduelle  
3 Aucune dégradation additionnelle du combustible après que le système de refroidissement à long terme a rétabli un refroidissement adéquat  
4 Aucun endommagement du combustible consécutif à une augmentation rapide de l'énergie  
5 Aucune défaillance indirecte des fonctions des systèmes de sûreté  
6 Aucune perte indirecte de l'intégrité du système de refroidissement primaire  
7 La pression dans l'enceinte de confinement demeure dans la plage des pressions prévues.  
8 Aucune explosion d'hydrogène indirecte ni déflagration dans aucun système de l'installation dotée d'un réacteur  
9 Le réacteur demeure sous-critique après sa mise à l'arrêt  
10 Le combustible à l'extérieur du cœur du réacteur demeure sous-critique  
11 Le refroidissement du combustible usé est maintenu  

Abréviations

AD accident de dimensionnement
AEU alimentation électrique d'urgence
AHD accident hors dimensionnement
AIEA Agence internationale de l'énergie atomique
ALARA niveau le plus bas qu'il soit raisonnablement possible d'atteindre
APRP accident de perte de réfrigérant primaire
AQ assurance de la qualité
ASME American Society of Mechanical Engineers
CC circuit caloporteur
CCSN Commission canadienne de sûreté nucléaire
CSA Groupe CSA (anciennement «l'Association canadienne de normalisation»)
EIH événement initiateur hypothétique
EPS étude probabiliste de sûreté
IFP incident de fonctionnement prévu
LCE limites et conditions d'exploitation
LSRN Loi sur la sûreté et la réglementation nucléaires
PS piscine de stockage
REL réacteur à eau légère (ordinaire)
REP réacteur à eau sous pression
SESBP système d'eau de service à basse pression
SRA système de refroidissement à l'arrêt
SRUC système de refroidissement d'urgence du cœur
SRUGV système de refroidissement d'urgence des générateurs de vapeur
SSC structures, systèmes et composants
SSUAE système secondaire d'urgence d'alimentation en eau
VDC vanne de dérivation du condenseur
VIVP vanne d'isolation de la vapeur principale

Glossaire

accident
Tout événement imprévu, y compris les erreurs d'exploitation, les défaillances d'équipement ou autres incidents, dont les conséquences réelles ou potentielles ne sont pas négligeables du point de vue de la protection ou de la sûreté.
Remarque : Aux fins du présent document, les accidents incluent les accidents de dimensionnement et les accidents hors dimensionnement, mais excluent les incidents de fonctionnement prévus, qui ont des conséquences négligeables du point de vue de la protection ou de la sûreté.
accident de dimensionnement (AD)
Conditions d'accident par rapport auxquelles est conçue l'installation, conformément aux critères d'acceptation établis, et pour lesquelles les dommages causés au combustible et les rejets de matières radioactives sont maintenus à l'intérieur des limites autorisées.
accident hors dimensionnement (AHD)
Accident moins fréquent qu'un accident de dimensionnement. Un accident hors dimensionnement peut entraîner ou non la détérioration du cœur du réacteur.
analyse de sensibilité
Examen quantitatif de la manière dont le comportement d'un système varie sous l'effet de changements, habituellement exprimé comme valeur des paramètres déterminants.
analyse de la sûreté
Analyse au moyen d'outils analytiques appropriés qui établit et confirme le dimensionnement des dispositifs importants pour la sûreté et permet d'assurer que la conception globale de l'installation dotée d'un réacteur est en mesure de répondre aux critères d'acceptation pour chacun des états du réacteur.
analyse déterministe de la sûreté
Analyse de la réponse d'une centrale nucléaire ou d'une installation dotée d'un réacteur à un événement particulier, réalisée en utilisant des règles et des hypothèses prédéterminées (p. ex. celles se rapportant à l'état opérationnel initial de l'installation, à la disponibilité et au rendement des systèmes de l'installation, ainsi qu'aux actions des opérateurs). L'analyse déterministe peut être réalisée avec la méthode prudente ou la méthode de la meilleure estimation.
analyse des incertitudes
Processus qui consiste à déterminer et à caractériser les sources d'incertitude dans le cadre d'une analyse de la sûreté, à évaluer leurs répercussions sur les résultats de l'analyse et à élaborer, autant que possible, une mesure quantitative de ces répercussions.
biais
Incertitude découlant d'une erreur systématique dont on sait qu'elle cause un écart dans un sens fixe.
caractéristiques de soutien des systèmes de sûreté
Ensemble des équipements qui fournissent des services tels que le refroidissement, la lubrification et l'approvisionnement en énergie nécessaires pour le système de protection et les systèmes de déclenchement des dispositifs de sûreté.
catégorie d'événements
Groupe d'événements caractérisés par une cause identique ou semblable, et par la similitude des phénomènes qui les régissent.
centrale nucléaire
Toute installation de réacteur à fission ayant été construite pour produire de l'électricité à l'échelle commerciale. Une centrale nucléaire est une installation nucléaire de catégorie IA, telle que définie dans le Règlement sur les installations nucléaires de catégorie I.
confinement
Méthode ou structure physique destinée à empêcher le rejet de substances radioactives.
critères d'acceptation
Limites spécifiées sur la valeur d'un indicateur fonctionnel ou conditionnel utilisé pour évaluer la capacité d'un système, d'une structure ou d'un composant à répondre à ses exigences de conception et de sûreté.
critères d'acceptation des doses
Limites déterminées pour les doses de rayonnement afin de protéger les travailleurs et les membres du public des dangers causés par le rejet de substances radioactives lors d'un fonctionnement normal, d'incidents de fonctionnement prévus ou d'accidents de dimensionnement.
critère de défaillance unique
Critère utilisé pour déterminer si un système est apte à remplir sa fonction en cas de défaillance unique.
défaillance d'origine commune
Défaillance simultanée d'au moins deux structures, systèmes ou composants attribuable à un événement ou à une cause spécifique unique, comme un phénomène naturel (tremblement de terre, tornade, inondation, etc.), un défaut de conception ou de fabrication, une erreur d'exploitation ou d'entretien et un événement destructeur d'origine humaine.
défaillance unique
Défaillance qui rend un composant incapable de remplir sa (ses) fonction(s) de sûreté prévue(s) et toute autre défaillance qui peut en résulter.
dimensionnement
Gamme des conditions et des événements qui sont pris explicitement en compte dans la conception de l'installation, suivant des critères déterminés, de manière à offrir à l'installation la résistance voulue sans dépasser les limites autorisées par les opérations prévues des systèmes de sûreté.
dispositifs importants pour la sûreté
Dispositif qui fait partie d'un groupe de sûreté et (ou) dont la défaillance pourrait entraîner une radioexposition.
effet de falaise
Un faible changement des conditions qui peut entraîner une augmentation catastrophique de la sévérité des conséquences.
Remarque : Un effet de falaise peut être causé par des changements dans les caractéristiques de l'environnement, de l'événement ou de la façon dont une centrale réagit.
enveloppe de confinement
Structure, sans ouvertures ni pénétrations, qui empêche le rejet de substances radioactives hors de l'espace confiné.
« en aveugle »
Conditions pour lesquelles un signal d'activation ou de conditionnement est approché mais pas atteint, en raison de la faible amplitude de l'événement initiateur ou des interventions d'autres processus ou systèmes de sûreté.
erreur humaine
Résultats des comportements, des fonctions et des actions d'humains dans un environnement précis qui reflètent la capacité des travailleurs et des gestionnaires à obtenir le rendement défini du système dans les conditions où le système sera utilisé.
état d'arrêt
État caractérisé par la sous-criticité du réacteur avec une marge définie pour empêcher le retour à la criticité sans interventions externes.
étude probabiliste de la sûreté (EPS)
Évaluation exhaustive et intégrée d'une installation dotée d'un réacteur. L'EPS tient compte de la probabilité, de la progression et des conséquences des défaillances de l'équipement et de conditions transitoires pour calculer des estimations numériques qui fournissent une mesure cohérente de la sûreté de l'installation dotée d'un réacteur, de la façon suivante :
  • une EPS de niveau 1 identifie et quantifie les séquences d'événements qui peuvent entraîner la perte d'intégrité structurale du cœur et la défaillance généralisée du combustible
  • une EPS de niveau 2 s'appuie sur les résultats de l'EPS de niveau 1 pour analyser le comportement du confinement, évaluer les radionucléides libérés par le combustible brisé et quantifier les rejets dans l'environnement
  • une ÉPS de niveau 3 s'appuie sur les résultats de l'EPS de niveau 2 pour analyser la répartition des radionucléides dans l'environnement et évaluer les répercussions sur la santé du public
Remarque : L'EPS peut également s'appeler étude probabiliste des risques.
évaluation de la sûreté
Évaluation de tous les aspects touchant la sûreté et liés au choix de l'emplacement, à la conception, à la mise en service, à l'exploitation ou au déclassement d'une installation autorisée.
événement externe
Événements non liés à l'exploitation d'une installation ou à l'exécution d'une activité susceptibles d'exercer un effet sur la sûreté d'une installation ou d'une activité.
Remarque : Les séismes, les tornades, les tsunamis et les écrasements d'avion sont des exemples typiques d'événement externe.
événement initiateur hypothétique
Événement identifié dans la conception comme étant capable d'entraîner un incident de fonctionnement prévu ou des conditions d'accident.
Remarque : Un EIH n'est pas nécessairement un accident en soi; il est plutôt l'initiateur d'une séquence susceptible de dégénérer en incident de fonctionnement, en accident de dimensionnement ou en accident hors dimensionnement, selon les défaillances supplémentaires qui surviennent.
événement limitatif
Événement dont la marge prévue est la plus petite possible par rapport à un critère d'acceptation donné.
exactitude des codes
Degré de proximité d'une quantité calculé à sa valeur réelle. Comprend le biais et la variabilité du biais d'un code informatique dérivés de la comparaison de prédictions du code avec les données expérimentales.
examen systématique
Examen au cours duquel des méthodes prescrites et appropriées sont utilisées afin d'identifier, d'évaluer et de résumer les études abordant un problème précis.
exploitation normale
Exploitation d'une centrale nucléaire ou d'une installation dotée d'un réacteur à l'intérieur des limites et conditions d'exploitation prescrites, y compris au démarrage, lors de l'exploitation, de l'arrêt prévu, d'un arrêt d'urgence, de l'entretien, d'essais et du rechargement du combustible.
facteurs humains
Facteurs qui influencent le rendement humain et se rapportent à la sûreté de l'installation dotée d'un réacteur, y compris les activités pendant les phases de conception, de construction, de mise en service, d'exploitation, de maintenance et de déclassement.
fondement d'autorisation
Pour une installation ou une activité réglementée, un ensemble d'exigences et de documents qui comprend :
  • les exigences réglementaires stipulées dans les lois et règlements applicables
  • les conditions et les mesures de sûreté et de réglementation décrites dans le permis pour l'installation ou l'activité et les documents cités en référence directement dans ce permis
  • les mesures de sûreté et de réglementation décrites dans la demande de permis et les documents soumis à l'appui de cette demande
groupe de sûreté
Assemblage de structures, systèmes et composants conçu pour exécuter toutes les actions requises au cours d'un événement initiateur hypothétique particulier pour que les limites spécifiées des états d'IFP et d'AD ne soient pas dépassées. L'assemblage peut comprendre des systèmes de sûreté et des systèmes de soutien, ainsi que toute interaction entre les systèmes fonctionnels.
incertitude relative à la mesure
Quantité d'une valeur mesurée pouvant ne pas représenter la valeur physique réelle d'un paramètre au moment où la mesure est effectuée.
incertitudes relatives à la modélisation
Incertitudes qui sont associées à des modèles et à des corrélations intégrées dans un code informatique et qui représentent la physique d'un problème, le schéma solution, les bibliothèques de données et les lacunes inhérentes aux programmes informatiques.
incident de fonctionnement prévu (IFP)
Processus opérationnel qui s'écarte de l'exploitation normale et qui devrait survenir à tout le moins une fois au cours du cycle de vie utile de la centrale nucléaire, mais qui ne cause pas, selon les dispositions de conception appropriées, de dommage grave aux dispositifs importants pour la sûreté ou qui ne se transforme pas en accident.
installation dotée d'un réacteur
Tout réacteur à fission tel que décrit dans le Règlement sur les installations nucléaires de catégorie I, y compris les structures, systèmes et composants :
  • nécessaires pour arrêter le réacteur et assurer son maintien dans un état d'arrêt sûr
  • pouvant contenir des matières radioactives et qui ne peuvent être isolés du réacteur de façon fiable
  • dont la défaillance peut entraîner un accident limitatif pour le réacteur
  • étroitement intégrés au fonctionnement de l'installation nucléaire
  • nécessaires au maintien de la sécurité et des sauvegardes
installation nucléaire de catégorie I
Installation nucléaire de catégorie I désigne une installation nucléaire de catégorie IA ou IB telle que décrite dans le Règlement sur les installations nucléaires de catégorie I.
limites et conditions d'exploitation
Ensemble de règles qui établissent les limites des paramètres ainsi que la capacité fonctionnelle et les niveaux de rendement de l'équipement et du personnel, approuvés par l'organisme de réglementation afin d'assurer l'exploitation sûre d'une installation autorisée. Cet ensemble de limites et conditions d'exploitation est surveillé par l'exploitant ou en son nom, et peut être contrôlé par l'opérateur.
matière fissile
Matière apte à subir une réaction en chaîne de fission nucléaire.
matière fissionnable
Toute matière pouvant subir une fission nucléaire.
meilleure estimation
Estimation impartiale obtenue en recourant à un modèle mathématique, une méthode de calcul ou des données afin de prédire de façon réaliste un comportement et des paramètres importants.
méthode graduée
Méthode ou processus selon lequel les éléments tels que le niveau d'analyse, l'ampleur de la documentation et la portée des mesures nécessaires pour se conformer aux exigences sont proportionnés :
  • aux risques relatifs pour la santé, la sûreté, la sécurité, l'environnement et la mise en œuvre des obligations internationales que le Canada a assumées
  • aux caractéristiques particulières d'une installation ou d'une activité
méthode de la meilleure estimation
Méthode conçue pour donner des résultats réalistes.
méthode prudente
Méthode menant nécessairement à des résultats qui se veulent limitatifs relativement à des critères d'acceptation spécifiques.
mode d'exploitation
Le mode d'exploitation peut comprendre le démarrage, l'exploitation à différentes puissances, la mise à l'arrêt, l'arrêt, l'entretien, les essais et le rechargement de combustible.
mise en service
Ensemble d'activités visant à démontrer que les structures, systèmes et composants installés fonctionnent conformément à leurs spécifications et à leur conception prévue, avant leur mise en service.
objectif de sûreté
Objectif qui consiste à protéger le personnel de l'installation dotée d'un réacteur, le public et l'environnement de tout préjudice en établissant et en maintenant des systèmes de défense efficaces contre le rejet de matières posant des dangers radiologiques.
paramètre d'acceptation
Paramètre qui caractérise la réponse de la centrale et qui a un critère d'acceptation pour limite d'une gamme de valeurs acceptables.
paramètres de la centrale
Paramètres qui caractérisent l'état des structures, systèmes et composants de la centrale, ou qui sont utilisés pour actionner un système d'atténuation (aussi appelés paramètres d'exploitation).
petit réacteur
Réacteur présentant une puissance inférieure à environ 200 mégawatts thermiques (MWt) utilisé pour la recherche, la production d'isotopes, de vapeur ou d'électricité, ou pour d'autres applications.
prudence
Utilisation d'hypothèses fondées sur l'expérience ou des informations indirectes, sur un phénomène ou le comportement d'un système à la limite ou proche de la limite prévue, qui permet d'augmenter les marges de sûreté ou de prédire des conséquences plus graves que si des hypothèses fondées sur la meilleure estimation avaient été utilisées.
structures, systèmes et composants
Terme général englobant tous les éléments d'une installation ou d'une activité qui contribuent à la protection et à la sûreté.
Remarque : Les structures sont des éléments passifs : bâtiments, cuves, boucliers, etc. Un système comprend plusieurs composants assemblés de manière à exécuter une fonction (active) spécifique. Un composant est un élément discret d'un système, par exemple des câbles, des transistors, des circuits intégrés, des moteurs, des relais, des solénoïdes, des conduites, des raccords, des pompes, des réservoirs et des vannes.
système de refroidissement d'urgence du réacteur (SRUC)
Système de sûreté qui transfère la chaleur du cœur du réacteur à la suite d'une perte de caloporteur excédant les capacités d'appoint.
système de sûreté
Système permettant l'arrêt sûr du réacteur ou l'évacuation de la chaleur résiduelle du cœur du réacteur, ou de limiter les conséquences des incidents de fonctionnement prévus et des accidents de dimensionnement.
terme source
Volume et composition isotopique des rejets (ou des rejets hypothétiques) de matières à partir d'une installation.
validation
Fait de conclure, dans le cadre d'une analyse, que le fonctionnement d'une structure, d'un système ou d'un composant est correct, ou qu'une intervention d'un opérateur est correcte.

Références

  • Commission canadienne de sûreté nucléaire (CCSN), REGDOC-2.4.2 (anciennement S-294) Études probabilistes de la sûreté (ÉPS) pour les centrales nucléaires, 2013
  • Commission canadienne de sûreté nucléaire (CCSN), REGDOC-2.5.2, Conception d'installations dotées de réacteurs : centrales nucléaires, 2014
  • Commission canadienne de sûreté nucléaire (CCSN), RD-327, Sûreté en matière de criticité nucléaire, 2010
  • Commission canadienne de sûreté nucléaire (CCSN), GD-327, Directives de sûreté en matière de criticité nucléaire, 2010
  • Commission canadienne de sûreté nucléaire (CCSN), RD-337, Conception des nouvelles centrales nucléaires, 2008
  • Commission canadienne de sûreté nucléaire (CCSN), RD-367, Conception de petits réacteurs, 2011
  • Commission canadienne de sûreté nucléaire (CCSN), G-149, Les programmes informatiques utilisés lors de la conception et des analyses de sûreté des centrales nucléaires et des réacteurs de recherche, 2000
  • Commission canadienne de sûreté nucléaire (CCSN), S-99, Rapports à soumettre par les exploitants de centrales nucléaires, 2003 ou documents de remplacement.
  • Groupe CSA,N290.15-10, Exigences relatives aux limites d'exploitation sure des centrales nucléaires, 2010
  • Groupe CSA,N286.7-99, Assurance de la qualité des programmes informatiques scientifiques, d'analyse et de conception des centrales nucléaires, 2003
  • Agence internationale de l'énergie atomique (AIEA), Collection Rapports de sûreté de l'AIEA no 55, Safety Analysis for Research Reactors (Analyse de sûreté pour les réacteurs de recherche), 2008
  • Agence internationale de l'énergie atomique (AIEA), Collection Normes de sûreté de l'AIEA no NS-R-4, Safety of Research Reactors (Sûreté des réacteurs de recherche), 2005
  • Agence internationale de l'énergie atomique (AIEA), Collection Normes de sûreté no SSG-2, Deterministic Analysis for Nuclear Power Plants ­– Specific Safety Guide (Analyse déterministe pour les centrales nucléaires ­– Guide spécifique de sûreté), 2012.
  • Agence internationale de l'énergie atomique (AIEA), Collection Normes de sûreté no GSR Partie 4, Évaluation de la sûreté des installations et activités – Prescriptions générales de sûreté Partie 4, 2009.

Séries de documents d'application de la réglementation de la CCSN

Les installations et activités du secteur nucléaire du Canada sont réglementées par la Commission canadienne de sûreté nucléaire (CCSN). En plus de la Loi sur la sûreté et la réglementation nucléaires et de ses règlements d'application, il pourrait y avoir des exigences en matière de conformité à d'autres outils de réglementation, comme les documents d'application de la réglementation ou les normes.

Les changements apportés au catalogue des documents d'application de la réglementation sont entrés en vigueur en avril 2013. Les documents actuels et prévus ont été classés en trois grandes catégories et vingt­cinq séries, selon la structure ci-dessous. Les documents d'application de la réglementation préparés par la CCSN font partie de l'une des séries suivantes :

  • 1.0       Installations et activités réglementées
    • 1.1       Installations dotées de réacteurs
    • 1.2       Installations de catégorie IB
    • 1.3       Mines et usines de concentration d'uranium
    • 1.4       Installations de catégorie II
    • 1.5       Homologation d'équipement réglementé
    • 1.6       Substances nucléaires et appareils à rayonnement
  • 2.0       Domaines de sûreté et de réglementation
    • 2.1       Système de gestion
    • 2.2       Gestion de la performance humaine
    • 2.3       Conduite de l'exploitation
    • 2.4       Analyse de la sûreté
    • 2.5       Conception matérielle
    • 2.6       Aptitude fonctionnelle
    • 2.7       Radioprotection
    • 2.8       Santé et sécurité classiques
    • 2.9       Protection de l'environnement
    • 2.10     Gestion des urgences et protection-incendie
    • 2.11     Gestion des déchets
    • 2.12     Sécurité
    • 2.13     Garanties et non-prolifération
    • 2.14     Emballage et transport
  • 3.0       Autres domaines de réglementation
    • 3.1       Exigences relatives à la production de rapports
    • 3.2       Mobilisation du public et des Autochtones
    • 3.3       Garanties financières
    • 3.4       Séances de la Commission
    • 3.5       Diffusion de l'information

Remarque :Les séries de documents d'application de la réglementation pourraient être modifiées périodiquement par la CCSN. Chaque série susmentionnée pourrait comprendre de nombreux documents d'application de la réglementation. Pour obtenir la plus récente liste de documents d'application de la réglementation, veuillez consulter le site Web de la CCSN.