RD-367 : Conception des installations dotées de petits réacteurs

Préface

Le présent document d’application de la réglementation établit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) en ce qui concerne la conception de nouvelles installations dotées de petits réacteurs. Il définit un ensemble d’exigences de conception harmonisées aux normes et aux codes nationaux et internationaux reconnus.

Par installation dotée de petit réacteur, on entend une installation équipée d’un réacteur présentant une puissance inférieure à environ 200 mégawatts thermiques (MW_t) utilisé pour la recherche, la production d’isotopes, la production de vapeur, la production d’électricité ou d’autres usages.

Pour la conception des installations dotées de petits réacteurs, il est possible d’utiliser la méthode graduée. La méthode graduée est une méthode dans laquelle les contraintes imposées aux choix de conceptions et aux analyses sont proportionnées au niveau de risque posé par l'installation du réacteur.

Les conceptions faites avec la méthode graduée devront démontrer qu’elles respectent les objectifs et les exigences de sûreté figurant dans le présent document. Pour plus d’informations, consulter la norme de sûreté NS-R-4 de l’Agence internationale de l’énergie atomique (AIEA), intitulée Safety of Research Reactors.

La portée du document RD-367, Conception des installations dotées de petits réacteurs, va bien au-delà de la norme de sûreté NS-R-4 de l’AIEA et inclut les interfaces entre la conception du réacteur et d’autres sujets, tels que la protection de l’environnement, la radioprotection, le vieillissement, les facteurs humains, la sécurité, les garanties, les transports et la planification d’interventions en cas d’accidents et d’urgences.

Aucun élément contenu dans ce document ne doit être interprété par le titulaire de permis comme une autorisation de déroger aux autres exigences pertinentes. Il incombe au titulaire de permis d’identifier tous les règlements et conditions de permis applicables et de s’y conformer.

---

Table des matières

---

1.0 Introduction

1.1 Objet

Le présent document d’application de la réglementation établit les exigences de la Commission canadienne de sûreté nucléaire (CCSN) en ce qui concerne la conception de nouvelles installations dotées de petits réacteurs.

1.2 Portée

Par installation dotée d’un petit réacteur, on entend une installation équipée d’un réacteur présentant une puissance inférieure à environ 200 mégawatts thermiques (MW_t) utilisé pour la recherche, la production d’isotopes, la production de vapeur, la production d’électricité ou d’autres usages.

Le présent document est neutre sur le plan technologique et comprend :

• les buts et objectifs de sûreté à l’égard de la conception
• les concepts de sûreté
• les principes de gestion en matière de sûreté
• la conception des structures, systèmes et composants
• les aspects relatifs à la sûreté, la sécurité et l’ingénierie des caractéristiques et de l’aménagement du réacteur
• l’intégration des évaluations de sûreté et des processus de conception

Lorsqu’un demandeur désire construire plus d’un réacteur sur un emplacement, l’aménagement du site doit respecter les objectifs de sûreté figurant dans le présent document. La conception de chaque installation dotée d’un petit réacteur doit également répondre aux exigences de conception et de sûreté de ce document. En outre, le demandeur doit veiller à ce que les répercussions sur la sûreté de tous les réacteurs présents sur le site, résultant des interactions entre les réacteurs, de défaillances d’origine commune et de tout partage des structures, systèmes et composants (SSC) entre des réacteurs, soient évaluées pour les conditions d’exploitation normale, les incidents de fonctionnement prévus (IFP) et en cas d’accidents.

Le présent document est conforme à la philosophie et au contenu technique des normes et des codes internationaux les plus récents. En particulier, il se fonde en partie sur la publication de l’Agence internationale de l’énergie atomique (AIEA) intitulée Safety of Research Reactors, Collection Normes de sûreté no NS-R-4 (2005).

1.3 Dispositions législatives et réglementaires pertinentes

Les articles des règlements pris en vertu de la Loi sur la sûreté et la réglementation nucléaires (LSRN) qui s’appliquent au présent document sont les éléments suivants :

• Selon l’alinéa 3(1)d) du Règlement général sur la sûreté et la réglementation nucléaires, la demande de permis doit comprendre « une description de l’installation nucléaire, de l’équipement réglementé ou des renseignements réglementés visés par la demande ».
• Selon l’alinéa 3(1)e) du Règlement général sur la sûreté et la réglementation nucléaires, la demande de permis doit comprendre « les mesures proposées pour assurer l’observation du Règlement sur la radioprotection et du Règlement sur la sécurité nucléaire ».
• Selon l’alinéa 3(1)g) du Règlement général sur la sûreté et la réglementation nucléaires, la demande de permis doit comprendre « les mesures proposées pour contrôler l’accès aux lieux où se déroulera l’activité visée par la demande et se trouvent les substances nucléaires, l’équipement réglementé ou les renseignements réglementés ».
• Selon l’alinéa 3(1)h) du Règlement général sur la sûreté et la réglementation nucléaires, la demande de permis doit comprendre « les mesures proposées pour éviter l’utilisation, la possession ou l’enlèvement illégaux ou la perte des substances nucléaires, de l’équipement réglementé ou des renseignements réglementés ».
• Selon l’alinéa 3(1)i) du Règlement général sur la sûreté et la réglementation nucléaires, la demande de permis doit comprendre « une description et les résultats des épreuves, analyses ou calculs effectués pour corroborer les renseignements compris dans la demande ».
• Selon l’alinéa 5f) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre « un rapport préliminaire d’analyse de la sûreté démontrant que la conception de l’installation nucléaire est adéquate ».
• Selon l’alinéa 5g) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre « le programme d’assurance de la qualité proposé pour la conception de l’installation nucléaire ».
• Selon l’alinéa 12(1)c) du Règlement général sur la sûreté et la réglementation nucléaires, le titulaire de permis doit prendre « toutes les précautions raisonnables pour protéger l’environnement, préserver la santé et la sécurité des personnes et maintenir la sûreté des installations nucléaires et des substances nucléaires ».
• Selon l’alinéa 12(1)f) du Règlement sur la sûreté et la réglementation nucléaires, le titulaire de permis doit prendre « toutes les précautions raisonnables pour contrôler le rejet de substances nucléaires radioactives ou de substances dangereuses que l’activité autorisée peut entraîner là où elle est exercée et dans l’environnement ».
• Selon l’alinéa 5a) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre « une description de la conception proposée pour l’installation nucléaire, y compris la façon dont elle tient compte des caractéristiques physiques et environnementales de l’emplacement ».
• Selon l’alinéa 5i) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets sur l’environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir la construction, l’exploitation et le déclassement de l’installation nucléaire, de même que les mesures qui seront prises pour éviter ou atténuer ces effets ».
• Selon l’alinéa 6h) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour exploiter une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets sur l’environnement ainsi que sur la santé et la sécurité des personnes que peuvent avoir l’exploitation et le déclassement de l’installation nucléaire, de même que les mesures qui seront prises pour éviter ou atténuer ces effets ».
• Selon l’alinéa 7f) du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour déclasser une installation nucléaire de catégorie I doit comprendre des renseignements sur « les effets que les travaux de déclassement peuvent avoir sur l’environnement ainsi que sur la santé et la sécurité des personnes, de même que les mesures qui seront prises pour éviter ou atténuer ces effets ».

2.0 Méthode graduée

La méthode graduée est une méthode dans laquelle les contraintes imposées aux choix de conceptions et aux analyses sont proportionnées au niveau de risque posé par l'installation du réacteur.

Les conceptions utilisant la méthode graduée doivent démontrer qu’elles respectent les objectifs et les exigences de sûreté figurant dans le présent document.

Les demandeurs et titulaires de permis sont invités à consulter la norme de sûreté NS-R-4 de l’AIEA intitulée Safety of Research Reactors pour obtenir d’autres renseignements sur l’utilisation de la méthode graduée.

2.1 Application de la méthode graduée

Lors de l’utilisation d’une méthode graduée, les facteurs à prendre en compte comprennent :

• la puissance du réacteur
• les caractéristiques du réacteur en termes de sûreté
• la quantité et l’enrichissement des matières fissiles et fissibles
• la conception du combustible
• le type et le poids du modérateur, du réflecteur et du fluide de refroidissement
• l’utilisation du réacteur
• la présence de sources à haute énergie et d’autres sources radioactives et dangereuses
• les caractéristiques de la conception en termes de sûreté
• le terme source
• le choix de l’emplacement
• la proximité de zones habitées

3.0 Objectifs et concepts de sûreté

3.1 Objectif général en matière de sûreté nucléaire

Les installations dotées de petits réacteurs doivent être conçues et exploitées de manière à préserver la santé, la sûreté et la sécurité des personnes et à protéger l’environnement contre les risques déraisonnables, et à respecter les engagements internationaux du Canada à l’égard de l’utilisation pacifique de l’énergie nucléaire. Cet objectif se fonde sur l’établissement et la maintenance de systèmes efficaces de défense contre les risques radiologiques et les substances dangereuses.

L’objectif général en matière de sûreté nucléaire est appuyé par trois objectifs de sûreté complémentaires qui englobent la radioprotection, la protection de l’environnement et les aspects techniques de la conception.

3.1.1 Objectif en matière de radioprotection

En mode d’exploitation normale ou lors d’incidents de fonctionnement prévus (IFP), l’installation du réacteur doit être conçue afin de s’assurer, que les niveaux d’exposition au rayonnement à l’intérieur du réacteur ou résultant de tout rejet planifié de matières radioactives soient maintenus en deçà des limites établies par le Règlement sur la radioprotection et au niveau le plus bas qu’il soit raisonnablement possible d’atteindre (principe ALARA).

La conception doit également prévoir des mesures d’atténuation des conséquences radiologiques en cas d’accidents.

3.1.2 Objectif de sûreté en matière de protection de l’environnement

L’installation du réacteur doit être conçue afin de s’assurer, en mode d’exploitation normale ou lors d’incidents de fonctionnement prévus et d’accidents de dimensionnement, qu’il n’y ait pas d’effets négatifs importants sur l’environnement, conformément aux exigences de la Loi canadienne sur l’évaluation environnementale (LCEE).

Dans la mesure du possible, la conception doit également prévoir des mesures d’atténuation des conséquences environnementales des accidents hors dimensionnement.

3.1.3 Objectifs en matière de sûreté technique

L’installation du réacteur doit être conçue afin d’assurer l’adoption de toutes les mesures raisonnablement applicables pour y prévenir les accidents et en atténuer les conséquences s’ils devaient survenir. Cet objectif tient compte de tous les accidents possibles envisagés dans la conception, y compris ceux dont la concrétisation est très faible.

En atteignant ces objectifs, les conséquences radiologiques seront en deçà des limites établies. La probabilité que des accidents entraînant de graves conséquences radiologiques se produisent devrait être extrêmement faible.

3.2 Concepts de sûreté

3.2.1 Défense en profondeur

Le concept de défense en profondeur doit être appliqué à toutes les activités organisationnelles et comportementales, ainsi qu’à celles liées à la sûreté et à la sécurité, afin de s’assurer que celles-ci sont couvertes par plusieurs mesures qui se recoupent. De cette façon, en cas de fonctionnement anormal, une correction peut être apportée ou une mesure de rechange peut être prise avant que des préjudices ne soient causés aux personnes ou au public. Ce concept est valide tout au long de la conception et de l’exploitation de l’installation du réacteur afin d’établir une série de niveaux de défense dont l’objectif est de prévenir les accidents et d’assurer une protection adéquate au cas où les mesures de prévention échoueraient.

La conception de l’installation du réacteur répondra aux objectifs de sûreté de l’ensemble des cinq niveaux de défense en profondeur suivants

Niveau 1

Le premier niveau de défense vise à prévenir des fonctionnements anormaux et des défaillances des structures, systèmes et composants.

Niveau 2

Le deuxième niveau de défense sert à détecter et à réagir aux écarts par rapport aux états d’exploitation normaux afin d’empêcher les incidents de fonctionnement prévus de se transformer en accidents, puis à remettre l’installation du réacteur à son état d’exploitation normale.

Niveau 3

Le troisième niveau de défense sert à réduire les conséquences des accidents.

Niveau 4

Le quatrième niveau de défense vise à s’assurer que les rejets de matières radioactives causés par des accidents graves demeurent au niveau le plus bas qu’il soit possible d’atteindre.

Niveau 5

Le cinquième niveau de défense a pour but d’atténuer les incidences radiologiques de tout rejet possible de matières radioactives après un accident.

3.2.2 Barrières matérielles

Pour garantir le maintien du concept de sûreté global de la défense en profondeur, la conception doit comprendre de multiples barrières matérielles pour contrer le rejet non contrôlé de matières radioactives dans l’environnement.

La conception doit contribuer à réduire au minimum :

• les menaces à l’intégrité des barrières matérielles
• la défaillance d’une barrière lorsqu’elle est mise à l’essai
• la défaillance d’une barrière attribuable à la défaillance d’une autre barrière

La conception doit aussi prendre en considération que la présence de multiples niveaux de défense n’est pas suffisante pour permettre que l’installation du réacteur continue de fonctionner en l’absence de l’un de ces niveaux.

Dans la conception, il faudra déterminer une zone d’exclusion fondée sur plusieurs facteurs, dont :

• les besoins d’évacuation (voir la section 4.3)
• les besoins d’utilisation des terres
• les exigences de sécurité
• les facteurs environnementaux

4.0 Exigences de sûreté

Le demandeur ou titulaire de permis a la responsabilité de veiller à ce que la conception réponde aux exigences de sûreté suivantes.

4.1 Application de la défense en profondeur

La défense en profondeur doit être incorporée à la conception afin de répondre aux objectifs des cinq niveaux de défense en profondeur.

Pour contrer le rejet non contrôlé de matières radioactives dans l’environnement, la conception doit comprendre de multiples barrières matérielles.

Niveau 1

La conception doit être conservatrice et la construction de qualité suffisante pour que les défaillances de l’installation du réacteur et les écarts par rapport aux états d’exploitation normaux soient réduits au minimum et les accidents évités.

Niveau 2

La conception doit permettre de contrôler le comportement de l’installation du réacteur pendant et après un événement déclencheur hypothétique (EDH) en utilisant à la fois des caractéristiques de sûreté inhérentes et des techniques pour minimiser ou exclure, dans la mesure du possible, les perturbations non contrôlées.

Niveau 3

La conception doit prévoir des dispositifs inhérents de sûreté, de conception à sûreté intégrée, des caractéristiques de conception techniques et des procédures qui réduisent au minimum les conséquences des accidents de dimensionnement (AD). La mise en marche automatique des dispositifs de conception technique doit être prévue pour réduire au minimum l’intervention de l’opérateur au début d’un AD.

Niveau 4

La conception doit prévoir des équipements et des procédures pour gérer les accidents et en atténuer, dans la mesure du possible, les conséquences.

Une protection adéquate doit être offerte pour la fonction de confinement.

Niveau 5

La conception doit inclure la mise en place d’un centre de soutien d’urgence adéquatement équipé et des plans pour l’intervention d’urgence sur le site et à l’extérieur de celui-ci.

4.2 Fonctions de sûreté

La conception doit comporter des fonctions de sûreté fondamentales en mode de fonctionnement normal, pendant et après des IFP et des AD. Voici les fonctions :

• contrôle de la réactivité
• refroidissement du cœur du réacteur
• confinement des matières radioactives
• contrôle des rejets et des substances dangereuses en exploitation normale
• limitation des rejets accidentels
• surveillance des paramètres de sûreté critiques pour orienter les interventions des opérateurs

Dans la mesure du possible, ces fonctions doivent aussi faciliter le mécanisme d’intervention lié aux accidents hors dimensionnement (AHD).

À la suite d’un EDH, les structures, systèmes et composants (SSC) nécessaires à l’exécution des fonctions de sûreté doivent être identifiés. Cette approche doit identifier la nécessité de certaines fonctions telles que l’arrêt d’un réacteur, le refroidissement d’urgence du cœur du réacteur, le confinement, l’évacuation d’urgence de la chaleur et l’alimentation électrique.

4.3 Radioprotection et critères d’acceptation

4.3.1 Objectifs qualitatifs en matière de sûreté

Une limite s’applique aux risques posés par l’exploitation d’une installation dotée d’un réacteur pour la société. À cet égard, les deux objectifs qualitatifs suivants ont été établis en matière de sûreté :

• Les membres du public doivent bénéficier d’un niveau de protection de sorte qu’il n’y ait pas de risques supplémentaires importants pour la vie et la santé des gens.
• Les risques pour la vie et la santé que pose l’exploitation d’une installation dotée d’un réacteur ne doivent pas s’ajouter aux autres risques auxquels la société est confrontée.

4.3.2 Radioprotection en mode d’exploitation normale

En mode d’exploitation normale, y compris lors de l’entretien et du déclassement, la conception doit permettre de contrôler les doses et de les maintenir en dessous des limites établies dans le Règlement sur la radioprotection. En outre, les doses de rayonnement auxquelles la population et le personnel de l’installation du réacteur pourraient être exposés doivent respecter le principe ALARA.

Toutes les sources de rayonnement réelles ou potentielles doivent être identifiées. Des dispositions doivent également être prévues pour s’assurer que ces sources font l’objet d’un contrôle technique et administratif rigoureux.

4.3.3 Critères d’acceptation des doses pour les incidents de fonctionnement prévus et les accidents de dimensionnement

Les critères d’acceptation des doses suivants devront être respectés dans la conception :

• 0,5 millisievert (mSv) pour tout IFP
• 20 millisieverts (mSv) pour tout AD

Ces critères se réfèrent à la dose réelle au corps entier pour les membres de groupes critiques qui sont les plus à risque, à la périphérie du site ou au-delà. Cette dose est calculée dans l’analyse déterministe de sûreté pendant une période de 30 jours après l’événement analysé.

4.3.4 Objectifs quantitatifs en matière de sûreté pour les accidents hors dimensionnement

La conception devra permettre de répondre aux trois objectifs quantitatifs en matière de sûreté suivants :

Fréquence des dommages causés au cœur du réacteur

La somme des fréquences de toutes les séquences d’événements pouvant mener à la détérioration importante du cœur du réacteur doit être inférieure à 10^-5 par année-réacteur.

Fréquence des petites émissions radioactives

La somme des fréquences de toutes les séquences d’événements dont le rejet dans l’environnement peut exiger l’évacuation temporaire de la population locale doit être inférieure à 10^-5 par année-réacteur.

Fréquence des grandes émissions radioactives

La somme des fréquences de toutes les séquences d’événements dont le rejet dans l’environnement exige le déplacement à long terme de la population locale doit être inférieure à 10^-6 par année-réacteur.

4.4 Prévention, atténuation et gestion des accidents

La conception doit inclure des mesures pour réduire au minimum la possibilité qu’un accident mène à la perte de contrôle de la source de rayonnement. Toutefois, étant donné qu’il est possible qu’un accident survienne, des mesures doivent être prises pour atténuer les conséquences radiologiques.

Dans la conception, on doit tenir compte des principes selon lesquels les états du réacteur susceptibles de donner lieu à des doses de rayonnement élevées ou à des rejets de matières radioactives soient de très faible probabilité. Quant aux états du réacteur caractérisés par une fréquence d’apparition importante, ils n’ont que des conséquences radiologiques mineures ou nulles.

Les principes de défense en profondeur doivent être inclus dans la conception pour minimiser la sensibilité aux EDH ainsi que l’intervention de l’opérateur pour ramener le réacteur dans un état sécuritaire.

À la suite d’un EDH, le réacteur doit redevenir sécuritaire grâce à :

• des mesures de sûreté inhérentes
• des dispositifs passifs de sûreté ou des systèmes de contrôle
• des systèmes de sûreté
• des procédures d’intervention spécifiques

4.5 Limites et conditions opérationnelles

Des limites et conditions opérationnelles doivent être établies pour s’assurer que l’installation du réacteur est exploitée selon les hypothèses et les intentions de conception, et doivent comprennent les limites à l’intérieur desquelles il a été démontré que l’installation du réacteur est sécuritaire.

5.0 Analyse de sûreté

L’évaluation globale de la sûreté de la conception de l’installation du réacteur comprend l’analyse des risques, l’analyse déterministe de sûreté et des techniques d’étude probabiliste de sûreté.

Ces analyses doivent déterminer toutes les sources possibles de matières radioactives et dangereuses afin d’évaluer les doses potentielles de rayonnement reçues par les travailleurs de l’installation du réacteur et par la population, et les effets potentiels sur l’environnement.

L’analyse de sûreté confirme que la conception répond aux exigences de sûreté, aux critères d’acceptation des doses et aux objectifs de sûreté. L’analyse de sûreté contribue également à démontrer que l’installation du réacteur procure une défense en profondeur.

5.1 Objectifs de l’analyse de sûreté

En vertu du Règlement sur les installations nucléaires de catégorie I, la demande de permis pour construire une installation nucléaire de catégorie I doit comprendre un rapport préliminaire d’analyse de la sûreté démontrant que la conception de l’installation nucléaire est adéquate. La demande de permis pour exploiter une telle installation doit inclure un rapport final d’analyse de la sûreté.

L’analyse de sûreté finale doit :

• refléter l’état de l’installation du réacteur « telle que construite », y compris les effets du vieillissement
• démontrer que la conception permet de résister et de répondre efficacement aux EDH identifiés
• démontrer l’efficacité des systèmes de sûreté et des systèmes de soutien en matière de sûreté
• définir les LCO de l’installation du réacteur, y compris :
  1. les limites opérationnelles et les seuils de déclenchement importants pour la sûreté
  2. les configurations opérationnelles permises et les contraintes des procédures opérationnelles
• établir des exigences en matière d’intervention d’urgence et de gestion des accidents
• déterminer les conditions environnementales post-accidentelles, y compris les champs de rayonnement et les doses reçues par les travailleurs, afin de confirmer que les opérateurs sont en mesure d’effectuer les interventions créditées dans l’analyse de sûreté
• confirmer que les doses et les critères d’acceptation dérivés sont respectés pour tous les IFP et les AD
• démontrer que tous les objectifs de sûreté pour les AHD, y compris les accidents graves, ont été atteints

5.2 Analyse des dangers

L’analyse des dangers doit permettre de démontrer que la conception est adéquate pour répondre efficacement aux événements plausibles ayant une origine commune.

Pour chaque EDH ayant une origine commune, l’analyse des dangers doit comprendre :

• les critères d’acceptation des doses
• les matières dangereuses se trouvant dans l’installation du réacteur et sur son emplacement
• tous les SSC admissibles et validés durant et après l’événement (tous les systèmes de sûreté et de soutien en matière de sûreté non qualifiés sont réputés faire défaut, sauf dans les cas où leur fonctionnement perpétuel causerait des conséquences encore plus graves)
• les interventions de l’opérateur et les procédures d’exploitation pour chaque événement
• les paramètres ou procédures d’exploitation de l’installation du réacteur pour lesquels l’événement est limitatif

L’analyse des dangers doit confirmer que :

• la conception de l’installation du réacteur tient suffisamment compte des principes de diversité et de séparation physique pour résister aux événements plausibles ayant une origine commune
• les SSC validés sont aptes à résister et à demeurer fonctionnels durant et après des événements plausibles ayant une origine commune, le cas échéant
• que les critères suivants sont respectés :
  1. l’installation du réacteur peut être mise en état d’arrêt sûr
  2. l’intégrité du combustible dans le cœur du réacteur peut être maintenue
  3. l’intégrité de l’enveloppe du caloporteur et de l’enceinte de confinement du réacteur peut être maintenue
  4. les paramètres critiques pour la sûreté peuvent être surveillés par l’opérateur

Le rapport d’analyse des dangers doit inclure les conclusions de l’analyse et les fondements de ces conclusions. Il doit aussi :

• inclure une description générale des caractéristiques physiques de l’installation du réacteur qui décrit brièvement les systèmes de prévention et de protection à installer
• fournir la liste du matériel nécessaire pour provoquer un état d’arrêt sûr de l’installation
• définir et décrire les caractéristiques liées aux dangers pour toutes les zones où se trouvent des matières dangereuses
• décrire les critères de rendement des systèmes de détection, d’alarme et d’atténuation, y compris des exigences telles que la qualification sismique ou environnementale
• décrire les zones des salles de commande et des opérations et les systèmes de protection de ces zones, incluant les installations supplémentaires occupées par le personnel d’entretien et d’exploitation
• décrire les interventions de l’opérateur et les procédures d’exploitation importantes pour l’analyse d’un danger donné
• définir les paramètres de l’installation du réacteur pour lesquels l’événement est contraignant
• expliquer les paramètres d’inspection, d’essai et d’entretien nécessaires à la protection de l’intégrité des systèmes
• définir les exigences relatives à la planification et à la coordination de situations d’urgence pour assurer l’efficacité des mesures d’atténuation, y compris les mesures nécessaires pour contrebalancer les défaillances ou la non-disponibilité de tout système ou dispositif de protection actif ou passif

5.3 Analyse déterministe de sûreté

L’analyse déterministe de sûreté doit :

• confirmer que les LCO respectent les hypothèses et le but de la conception en mode d’exploitation normale de l’installation du réacteur
• définir les événements appropriés à l’emplacement et à la conception de l’installation du réacteur
• analyser et évaluer la séquence des événements qui sont attribuables à la défaillance des SSC
• comparer les résultats des analyses de la sûreté avec les critères d’acceptation dérivés, les limites de conception, les critères d’acceptation des doses et les objectifs de sûreté
• établir et confirmer le dimensionnement
• démontrer que les IFP, les AD et les AHD peuvent être gérés par la mise en marche automatique des systèmes de sûreté jumelée aux interventions fixées par l’opérateur

Les exigences détaillées de l’analyse déterministe de sûreté sont énoncées dans le document d’application de la réglementation RD-308 de la CCSN, Analyse déterministe de sûreté pour les installations dotées de petits réacteurs.

5.4 Étude probabiliste de sûreté

L’étude probabiliste de sûreté (EPS) doit :

• identifier les scénarios d’accidents susceptibles de causer des dommages importants au cœur du réacteur
• démontrer qu’une conception équilibrée a été trouvée de sorte qu’aucune caractéristique ou événement particulier n’exerce un effet prépondérant sur la fréquence des accidents graves, tout en tenant compte des incertitudes
• fournir des évaluations de la probabilité d’événements caractérisés par une détérioration du cœur du réacteur ou des rejets hors site majeurs
• identifier les systèmes pour lesquels des améliorations à la conception ou des modifications aux procédures d’exploitation permettraient de réduire la probabilité d’accidents graves ou d’en atténuer les conséquences
• évaluer la pertinence des procédures de gestion des accidents et des procédures d’urgence du réacteur
• tenir compte des effets potentiels des interventions humaines sur la fiabilité des systèmes

Les EPS sont menées à l’aide d’une méthode graduée pour chacune des exigences énoncées dans la norme d’application de la réglementation S-294 de la CCSN, Études probabilistes de sûreté (EPS) pour les centrales nucléaires.

6.0 Gestion de la sûreté pendant la conception

Le système de gestion de la sûreté doit permettre de garantir que la conception de l’installation du réacteur :

• est conforme aux exigences réglementaires canadiennes
• répond à tous les devis de conception, y compris ceux confirmés par l’analyse de sûreté
• tient compte des pratiques courantes en matière de sûreté
• répond aux exigences d’un programme efficace d’assurance de la qualité ou de gestion des systèmes
• intègre uniquement les modifications de conception qui ont été justifiées grâce à des évaluations techniques et de sûreté
  

Le processus de conception doit être documenté et effectué par un personnel dûment formé et qualifié à tous les niveaux et inclure des modalités de gestion telles :

• qu’une répartition claire et précise des responsabilités assortie de pouvoirs hiérarchiques et de voies de communication qui y correspondent
• que des interfaces bien définies entre les groupes chargés des différents volets de la conception et entre les concepteurs, les services publics, les fournisseurs, les constructeurs et les entrepreneurs, le cas échéant
• que des politiques, processus et procédures faisant partie d’un programme d’assurance de la qualité ou de gestion des systèmes
• qu’une culture axée sur la sûreté positive à tous les niveaux de l’organisation

6.1 Autorité en matière de conception

Le titulaire de permis doit être responsable en dernier ressort de la conception de l’installation du réacteur.

Une autorité officielle en matière de conception doit être mise en place durant la phase de conception. Ses tâches et fonctions doivent être décrites dans des documents officiels.

Durant la phase de conception, l’autorité en matière de conception doit atteindre les objectifs suivants :

• établir et tenir à jour une base de connaissances de tous les aspects pertinents de la conception de l’installation du réacteur, en tenant compte de l’expérience et des résultats de recherche
• rendre les renseignements en matière de conception disponibles en vue de l’exploitation et de l’entretien sécuritaires de l’installation du réacteur
• déterminer les autorisations de sécurité requises et les mesures de sécurité connexes pour protéger le matériel réglementé, désigné et classifié
• maintenir le contrôle de la configuration de la conception
• examiner, vérifier, approuver et documenter les modifications apportées à la conception
• établir et contrôler les interfaces nécessaires avec les concepteurs responsables ou d’autres fournisseurs chargés d’effectuer des travaux de conception
• s’assurer que les compétences et les connaissances techniques et scientifiques nécessaires ont été conservées
• s’assurer que l’impact sur la sûreté de chaque modification ou de multiples modifications pouvant présenter des interdépendances significatives a été correctement évalué et compris

6.2 Gestion de la conception

Des politiques, processus et procédures de gestion doivent être établis pour contrôler tous les aspects de la conception et de son évolution.

Une gestion de conception judicieuse doit permettre d’atteindre les objectifs suivants :

• les structures, systèmes et composants importants pour la sûreté répondent à leurs exigences de conception respectives
• les capacités humaines et les contraintes du personnel sont dûment prises en compte
• les renseignements pertinents sur la conception des mécanismes de sûreté nécessaires à l’exploitation et à l’entretien sécuritaires de l’installation du réacteur, ainsi que toute modification subséquente y étant apportée, sont préservés
• les limites et conditions opérationnelles à intégrer aux procédures administratives et d’exploitation de l’installation du réacteur sont fournies
• la conception facilite l’entretien et la gestion du vieillissement tout au long de la durée de vie de l’installation du réacteur
• les résultats des analyses déterministes de sûreté et des études probabilistes de sûreté sont pris en compte
• une attention particulière est accordée à la prévention des accidents et à l’atténuation de leurs conséquences
• la production de déchets radioactifs et de déchets dangereux est limitée au minimum, tant en termes d’activité que de volume
• un processus de contrôle des changements est établi pour suivre les modifications de conception et assurer une gestion de la configuration tout au long des étapes de fabrication, de construction, de mise en service et d’exploitation
• des systèmes de protection matérielle sont fournis pour prendre en considération les menaces de référence

6.3 Politiques, processus et procédures de conception

Des politiques, processus et procédures de conception doivent être établis dans le cadre des modalités de gestion globales pour atteindre les objectifs de conception de l’installation du réacteur.

Les politiques, processus et procédures de conception doivent comprendre :

• le lancement, la description de la portée et la planification de la conception
• la description des exigences de conception
• le choix de l’autorité en matière de conception (voir la section 6.1)
• le contrôle des travaux et la planification des activités de conception
• la description et le contrôle des intrants de conception
• l’examen et la sélection des concepts de conception
• la sélection d’outils et de logiciels de conception
• la réalisation de l’analyse conceptuelle
• la réalisation d’une conception détaillée et l’élaboration de documents et d’archives sur la conception
• la réalisation d’une analyse de sûreté détaillée (voir la section 5.0)
• la définition de toute condition contraire à l’exploitation sûre
• la vérification et la validation de la conception
• l’autonomie des personnes ou des groupes effectuant les vérifications, les validations et les approbations
• la gestion de la configuration
• la gestion de la conception et le contrôle des changements apportés à la conception
• l’identification et le contrôle des interfaces de conception

6.4 Méthodes d’ingénierie éprouvées

Des méthodes, procédures et pratiques d’ingénierie éprouvées et acceptées doivent être utilisées pour veiller à la conformité de la conception à l’égard des règlements, codes et normes.

Les normes et les codes les plus récents doivent être identifiés et évalués en termes d’applicabilité, de pertinence et d’exhaustivité pour la conception des SSC importants au plan de la sûreté.

Les structures, systèmes et composants qui revêtent une importance en matière de sûreté doivent être de conceptions éprouvées et conçus selon les normes et les codes pertinents.

En cas d’adoption d’un nouveau design, d’une nouvelle fonction des SSC ou d’une nouvelle pratique d’ingénierie, un mécanisme de sûreté approprié doit être confirmé par une combinaison de programmes de recherche et de développement à l’appui et par l’examen de l’expérience pertinente découlant d’applications semblables.

Un programme de qualification approprié doit être créé pour vérifier si la nouvelle conception est conforme à toutes les exigences de sûreté pertinentes. Les nouvelles conceptions doivent être éprouvées avant d’être mises en service et faire ensuite l’objet d’un suivi afin de s’assurer que le rendement prévu est atteint.

6.5 Expérience opérationnelle et recherche en matière de sûreté

La conception de l’installation du réacteur doit utiliser l’expérience opérationnelle acquise dans le secteur nucléaire, ainsi que les résultats de programmes de recherche pertinents.

6.6 Évaluation de la sûreté

Un processus d’évaluation de la sûreté doit être mené tout au long de la phase de conception du projet afin de s’assurer que la conception respecte les exigences en matière de sûreté.

Avant la présentation de la conception, un examen indépendant doit être effectué par des personnes ou des groupes distincts de ceux affectés à la conception.

La documentation sur l’évaluation de la sûreté doit identifier les aspects de fonctionnement, d’entretien et de gestion qui revêtent une importance pour la sûreté. Cette documentation doit être maintenue dans une série de documents évolutifs qui reflètent les changements apportés à la conception au fur et à mesure de l’évolution de l’installation du réacteur.

Les concepteurs, les opérateurs et la Commission canadienne de sûreté nucléaire doivent pouvoir avoir accès facilement à la documentation portant sur l’évaluation de la sûreté. Celle-ci doit être claire, concise et présentée dans un format logique et compréhensible.

6.7 Documentation sur la conception

La documentation sur la conception doit comprendre des renseignements démontrant que la conception est adéquate et doit être utilisée pour l’approvisionnement, la construction, la mise en service et l’exploitation sécuritaire, y compris l’entretien, la gestion du vieillissement, les modifications et le déclassement final de l’installation du réacteur.

7.0 Exigences générales en matière de conception

7.1 Radioprotection

La conception et l’aménagement de l’installation du réacteur sont visés par des dispositions pertinentes visant à réduire au minimum l’exposition et la contamination émanant de toute source de rayonnement. Cela englobe la conception appropriée des SSC pour :

• contrôler l’accès à l’installation du réacteur
• minimiser l’exposition au rayonnement durant l’entretien et l’inspection
• fournir un blindage contre le rayonnement direct et diffusé
• fournir des dispositifs de ventilation et de filtration pour contrôler les matières radioactives en suspension dans l’air
• limiter l’activation des produits de corrosion en définissant des spécifications appropriées pour les matériaux
• minimiser la propagation des matières radioactives
• surveiller les seuils de radiation
• fournir des installations de décontamination appropriées

7.1.1 Conception relative à la radioprotection

La conception du blindage doit empêcher que l’exposition au rayonnement auquel est soumis l’opérateur dans les aires d’exploitation excède les seuils réglementaires.

Pour réduire l’exposition au rayonnement, la configuration de l’installation du réacteur doit permettre l’efficacité des activités d’exploitation, d’inspection, d’entretien et de remplacement. De plus, la conception doit limiter la quantité de matières activées et son accumulation.

La conception doit tenir compte des endroits très fréquentés et de la nécessité pour le personnel d’accéder à des secteurs et à de l’équipement.

Les voies d’accès doivent être protégées du rayonnement, le cas échéant.

La conception doit faciliter l’accès de l’opérateur sur les lieux où son intervention est requise en conditions post-accidentelles.

Une protection appropriée contre l’exposition au rayonnement et la contamination radioactive en cas d’accidents doit être assurée dans les secteurs de l’installation du réacteur où l’accès est requis.

7.1.2 Contrôle de l’accès et des déplacements

La configuration de l’installation du réacteur et les procédures doivent permettre de contrôler l’accès aux zones de rayonnement et de contamination potentielles.

La conception doit permettre de minimiser les déplacements de matières radioactives et la propagation de la contamination et prévoir des installations de décontamination appropriées pour le personnel.

7.1.3 Surveillance

De l’équipement doit être fourni pour la surveillance adéquate des rayonnements en cas d’exploitation normale, d’IFP, d’AD et, dans la mesure du possible, d’AHD.

Des dosimètres sonores fixes doivent être installés aux fins suivantes :

• pour surveiller le débit de dose de rayonnement aux endroits normalement occupés par le personnel d’exploitation
• lorsque les variations de l’intensité du rayonnement sont telles que l’accès peut être limité à certaines périodes
• pour indiquer l’intensité du rayonnement général aux endroits appropriés en cas d’exploitation normale, d’IFP, d’AD et, dans la mesure du possible, d’AHD
• pour donner des informations suffisantes à la salle de commande ou à l’emplacement de contrôle approprié en cas d’exploitation normale, d’IFP, d’AD et, dans la mesure du possible, d’AHD, afin que le personnel de l’installation puisse prendre des mesures correctives au moment opportun

Des détecteurs doivent être fournis pour mesurer l’activité dans l’air des substances radioactives dans l’installation du réacteur.

Des installations doivent être prévues pour surveiller les doses individuelles absorbées et la contamination du personnel.

Un équipement fixe et des services de laboratoire doivent être fournis pour déterminer la concentration de certains radionucléides sélectionnés dans les systèmes de traitement des fluides, le cas échéant, ainsi que dans les échantillons de gaz et de liquides prélevés dans les systèmes de l’installation du réacteur ou dans l’environnement, en cas d’exploitation normale, d’IFP, d’AD et, dans la mesure du possible, d’AHD.

Des appareils doivent être fournis pour mesurer la contamination radioactive des surfaces.

7.1.4 Sources de rayonnement

La conception doit prévoir :

• l’élimination appropriée des matières radioactives, soit par stockage à l’emplacement ou par transfert hors du site
• la réduction de la quantité et de la concentration des matières radioactives produites
• le contrôle de la dispersion dans l’installation du réacteur
• le contrôle des rejets dans l’environnement
• des installations de décontamination pour l’équipement et pour la manutention de tout déchet radioactif résultant des activités de décontamination
• la réduction au minimum de la production de déchets radioactifs

7.2 Protection environnementale et mesures d’atténuation

7.2.1 Conception relative à la protection de l’environnement

La conception doit comporter des dispositions appropriées pour protéger l’environnement et atténuer les répercussions que pourrait avoir l’installation du réacteur sur l’environnement. Un examen de la conception doit être effectué pour confirmer que ces dispositions ont été respectées.

Une approche méthodique doit être utilisée pour évaluer les effets biophysiques environnementaux potentiels que l’installation du réacteur pourrait exercer sur l’environnement, et vice versa.

7.2.2 Rejets de substances nucléaires et dangereuses

À l’aide de procédés, de mesures de surveillance, de contrôle, de prévention et d’atténuation, il doit être démontré dans la conception que les rejets de substances nucléaires et dangereuses seront maintenus au niveau ALARA.

Les diverses sources de substances nucléaires et dangereuses lors des étapes de conception, d’exploitation et de déclassement, ainsi que leurs effets environnementaux possibles sur le biote et les humains doivent être identifiés dans l’évaluation du cycle de vie.

Voici les facteurs à prendre en considération :

• les exigences en matière de ressources pour l’installation du réacteur (par ex. le combustible, l’énergie et l’eau)
• l’appauvrissement des ressources en eaux souterraines et de surface
• la contamination de l’air, du sol et des ressources en eau
• les substances nucléaires et dangereuses utilisées
• les types de déchets produits (p. ex. gazeux, liquides ou solides)
• les quantités de déchets produits
• les répercussions des ouvrages de prise d’eau de refroidissement sur l’entraînement et l’impaction
• les répercussions du débit d’eau sur le régime thermique du milieu récepteur

Lors de l’établissement des objectifs de conception, des options technologiques doivent être prises en compte pour le contrôle et la surveillance des rejets lors du démarrage, de l’exploitation normale, des arrêts et des situations anormales et d’urgence potentielles. Des limites appropriées doivent être prévues dans les LCO de l’installation du réacteur.

Les options technologiques relatives à la conception des systèmes de refroidissement doivent privilégier une technologie de cycle à fluide intermédiaire afin de réduire au minimum l’impact environnemental négatif sur le biote aquatique.

7.2.3 Surveillance de l’incidence environnementale

Des moyens pour surveiller les rejets de substances nucléaires et dangereuses dans l’environnement et dans les environs immédiats de l’installation du réacteur doivent figurer dans la conception.

Avant ou durant un rejet dans l’environnement, un équipement fixe doit être fourni pour surveiller les effluents.

7.3 Classification des structures, systèmes et composants

Les structures, systèmes et composants doivent être identifiés, classés et documentés dans le cadre d’un plan de classification clairement défini. Ce plan doit comprendre un processus visant à déterminer l’importance au plan de la sûreté.

Les SSC doivent être conçus, construits et entretenus de sorte que leur qualité et leur fiabilité correspondent à cette classification.

La conception doit prévoir des interfaces adéquatement conçues entre les SSC des différentes catégories de sûreté afin de réduire le risque qu’un SSC de moindre importance pour la sûreté nuise au fonctionnement ou à la fiabilité d’un SSC plus important.

7.4 Paramètres de conception de l’installation dotée d’un réacteur

Il convient d’établir des paramètres de conception pour l’installation du réacteur, lesquels comprennent le dimensionnement et les caractéristiques de conception complémentaires.

Lors de l’établissement des paramètres de conception, la façon dont est utilisée l’installation du réacteur doit être prise en compte.

Le dimensionnement doit préciser les capacités qui sont nécessaires pour l’installation du réacteur en mode d’exploitation normale et en cas d’IFP et d’AD.

Des mesures de conception conservatrices et de saines méthodes d’ingénierie doivent être appliquées au dimensionnement en mode d’exploitation normale et en cas d’IFP et d’AD.

Le rendement de l’installation du réacteur en cas d’AHD, y compris pour certains accidents graves, devra être pris en compte dans les caractéristiques de conception complémentaires.

7.5 États du réacteur

Les états du réacteur doivent être groupés dans les quatre catégories suivantes : mode d’exploitation normale, incidents de fonctionnement prévus, accidents de dimensionnement et accidents hors dimensionnement (voir les sections 3.2.1 et 4.1 pour la défense en profondeur et la section 4.3 pour les critères d’acceptation).

L’usage fait de l’installation du réacteur doit être pris en compte lors de l’établissement des états du réacteur.

7.5.1 Exploitation normale

L’installation du réacteur doit être conçue pour fonctionner en toute sûreté selon un ensemble défini de paramètres et de dispositifs particuliers pour le soutien des systèmes de sûreté.

La non-disponibilité des systèmes de sûreté doit être réduite au minimum dans la conception.

Dans la conception, il faut tenir compte des accidents potentiels qui peuvent se produire lorsque la disponibilité des systèmes de sûreté peut être réduite, notamment au cours d’un arrêt, d’un démarrage, en régime d’exploitation à faible puissance, au cours du rechargement du combustible et de l’entretien.

Un ensemble d’exigences et de conditions relatives à l’exploitation normale et sécuritaire doivent être établies, à savoir :

• les conditions importantes sur le plan de la sûreté
• les contraintes sur les systèmes de contrôle et les procédures
• les exigences relatives à l’entretien, aux essais et à l’inspection de l’installation du réacteur
• les configurations d’exploitation clairement définies, par exemple au démarrage, en régime de production d’énergie, lors d’un arrêt, au cours de l’entretien, lors d’essais ou de surveillance et de rechargement du combustible. (Ces configurations comportent des restrictions en cas d’interruption de service des systèmes de sûreté et de soutien)

Ces exigences et conditions, ainsi que les résultats de l’analyse de sûreté, reposent sur les LCO, tel que décrit à la section 4.5.

7.5.2 Incidents de fonctionnement prévus

La capacité du réacteur à réagir à une vaste gamme d’IFP doit permettre d’assurer un fonctionnement sécuritaire ou de procéder à un arrêt, le cas échéant, sans avoir à invoquer les dispositions touchant le cadre de défense en profondeur de niveau 1 ou, tout au plus, de niveau 2.

Dans l’aménagement de l’installation, l’équipement doit être placé à l’endroit le plus propice lorsque l’opérateur doit intervenir, permettant ainsi qu’il y accède rapidement et en toute sécurité au cours d’un IFP.

La conception doit permettre que les SSC non touchés par le déclenchement d’un IFP demeurent fonctionnels.

7.5.3 Accidents de dimensionnement

Afin d’empêcher une situation plus grave de se produire qui pourrait menacer la prochaine barrière, la conception doit prévoir des dispositions pour l’enclenchement automatique des systèmes de sûreté nécessaires lorsqu’une intervention prompte et fiable s’impose suite à un EDH. Ces dispositions doivent permettre une détection opportune et une intervention manuelle lorsqu’une intervention rapide n’est pas nécessaire.

La conception doit tenir compte de ce que fait l’opérateur pour dire dans quel état l’installation du réacteur se trouve et la placer sans tarder dans un état d’arrêt stable à long terme. La présence d’instruments adéquats pour surveiller l’état de l’installation du réacteur et des commandes destinées au réglage manuel des équipements facilitera le travail de l’opérateur.

Tout équipement nécessaire à une intervention manuelle et aux processus de remise en état de sûreté doit se trouver à l’endroit le plus approprié pour que les travailleurs puissent y accéder rapidement et en toute sécurité.

7.5.4 Accidents hors dimensionnement

L’expérience opérationnelle acquise, le jugement technique et des résultats d’analyses et de recherches permettront de créer des scénarios d’AHD plausibles.

Des caractéristiques de sûreté complémentaires doivent être prévues afin d’éviter que les accidents empirent et pour atténuer les conséquences de certains accidents graves, s’ils venaient à se produire.

Les caractéristiques de sûreté complémentaires doivent comprendre des facteurs de conception et des procédures, ou les deux.

Il convient d’identifier les règles et les pratiques relatives aux caractéristiques de sûreté complémentaires qui n’ont pas nécessairement besoin d’avoir la même marge de prudence que pour le dimensionnement.

Aux fins d’utilisation dans le devis des caractéristiques de conception complémentaires pour les AHD, la conception doit identifier un terme source d’accident de substances radiologiques, combustibles ou dangereuses.

Dans le cas des réacteurs à plusieurs tranches, on ne pourra compter sur des dispositifs de soutien des autres tranches que si le fonctionnement sécuritaire de ces autres tranches ne sera pas mis en péril.

Dans la mesure du possible, la conception doit prévoir des boucliers biologiques de forme et d’épaisseur appropriés pour protéger le personnel en cas d’AHD ou d’accidents graves.

7.5.5 Accidents graves

Aucun événement particulier ou aucune caractéristique de la conception ne doit exercer un effet important sur la fréquence des accidents graves, tout en tenant compte des incertitudes.

Au début du processus de conception, il convient d’identifier les diverses barrières potentielles pouvant empêcher la dégradation du cœur du réacteur et de prévoir les dispositifs pouvant y être intégrés pour la freiner.

Il faut indiquer dans la conception quel est l’équipement à utiliser pour la gestion des accidents graves. Les évaluations environnementales, sismiques et des incendies doivent démontrer avec un bon degré de confiance que l’équipement proposé fonctionnera comme il se doit en cas d’accident grave.

Une attention particulière doit être accordée pour prévenir les possibilités de contournement de l’enceinte de confinement lors d’accidents accompagnés d’une dégradation importante du cœur du réacteur.

L’enceinte de confinement doit préserver sa fonction de barrière étanche contre les fuites pendant suffisamment de temps pour mettre en œuvre les procédures d’urgence hors site après le début des dommages causés au cœur du réacteur. L’enceinte de confinement doit aussi empêcher les rejets non contrôlés de matières radioactives après cette période.

Il convient d’élaborer des directives de gestion des accidents graves tout en tenant compte des caractéristiques de conception de l’installation du réacteur et des connaissances acquises concernant le déroulement des accidents et phénomènes connexes.

La conception doit minimiser la possibilité d’un retour à l’état critique du cœur à la suite d’accidents graves.

7.6 Événements déclencheurs hypothétiques

Il convient d’identifier les événements déclencheurs hypothétiques qui peuvent provoquer des IFP ou des accidents. Les EDH englobent les défaillances ou mauvais fonctionnements plausibles des SSC, les erreurs de l’opérateur ainsi que les dangers internes et externes.

7.6.1 Dangers internes

La conception de l’installation du réacteur doit tenir compte des risques pouvant survenir à l’intérieur. Des mesures appropriées de prévention et d’atténuation doivent être prises pour s’assurer que la sûreté n’est pas compromise. Il convient de sélectionner le sous-ensemble d’événements internes auxquels l’installation du réacteur peut, de par sa conception, résister et de déterminer les AD ainsi que les AHD à partir de ce sous-ensemble.

Les structures, systèmes et composants importants pour la sûreté doivent être conçus et placés de façon à réduire la probabilité et les effets d’incendies ou d’explosions causés par des événements internes ou externes.

La conception doit tenir compte des interactions possibles entre des situations internes et externes, telles que des événements externes pouvant déclencher des incendies ou des inondations dans l’installation qui peuvent mener à la formation de missiles.

Lorsque deux systèmes de fluides fonctionnant à des pressions différentes sont reliés l’un à l’autre, il faut tenir compte d’une défaillance de l’interconnexion.

7.6.2 Dangers externes

La conception doit tenir compte de tous les événements externes naturels et d’origine humaine susceptibles de présenter des risques radiologiques et d’autres dangers importants. Il convient de sélectionner le sous-ensemble d’événements externes auxquels l’installation du réacteur peut, de par sa conception, résister et de déterminer les AD ainsi que les AHD à partir de ce sous-ensemble.

Diverses interactions entre l’installation du réacteur et l’environnement, telles que la population dans la zone avoisinante, la météo, l’hydrologie, la géologie et la sismologie doivent être identifiées au cours des processus d’évaluation de l’emplacement et d’évaluation environnementale. Ces interactions sont prises en compte pour déterminer le dimensionnement de l’installation du réacteur.

7.6.3 Enchaînement d’événements

La conception doit tenir compte de l’enchaînement d’événements aléatoires susceptibles de se transformer en IFP, en AD ou en AHD. Cet enchaînement doit être déterminé au début de la phase de conception et à l’aide d’une méthode systémique.

Les événements qui peuvent en causer d’autres, comme des inondations à la suite d’un séisme, sont réputés faire partie de l’EDH d’origine.

7.7 Règles et conditions de conception

Les règles de conception technique doivent être spécifiées pour l’ensemble des SSC. Celles-ci doivent être conformes aux pratiques d’ingénierie appropriées en matière de sûreté et de conception, comme les codes et normes de l’Association canadienne de normalisation (CSA) et de l’American Society of Mechanical Engineers (ASME).

Il convient d’indiquer les SSC pour lesquels des limites de conception s’appliquent. Celles-ci doivent autant que possible être précisées pour le fonctionnement normal, les IFP, les AD et, dans la mesure du possible, les AHD.

7.8 Fiabilité

Tous les SSC cruciaux pour la sûreté doivent être conçus pour être suffisamment fiables et de qualité afin de répondre aux conditions de conception. Chacun de ces SSC doit faire l’objet d’une analyse de fiabilité.

Dans la mesure du possible, des essais devront être effectués pour démontrer que ces exigences de fiabilité seront respectées durant l’exploitation.

Les systèmes de sûreté et leurs systèmes de soutien doivent être conçus de manière à ce que la probabilité qu’un système en demande fasse défaut, quelle qu’en soit la cause, soit inférieure à 10^-3.

7.8.1 Défaillances ayant une origine commune

La possibilité de défaillances ayant une origine commune des SSC cruciaux pour la sûreté doit être examinée pour déterminer où avoir recours aux principes de diversité, de séparation et d’indépendance pour obtenir le degré de fiabilité nécessaire.

La conception doit prévoir une séparation physique suffisante entre les divisions des systèmes de sûreté, des systèmes de soutien en matière de sûreté et des systèmes fonctionnels qui se recoupent.

L’efficacité de la séparation physique spécifiée ou des mesures de protection contre les événements ayant une origine commune doit être évaluée.

Le principe de la diversité doit être appliqué aux systèmes ou composants qui se recoupent et qui ont la même fonction de sûreté.

7.8.2 Critère de défaillance unique

Tous les groupes de sûreté doivent être conçus de manière à fonctionner en cas de défaillance unique. Chacun d’eux doit pouvoir accomplir toutes les fonctions de sûreté nécessaires en cas d’EDH advenant toute défaillance d’un composant unique et en présence :

• de toute défaillance causée par cette défaillance unique
• de toutes les défaillances discernables, mais non détectables, y compris celles des composants non testés
• de toutes les défaillances et actions par erreur de systèmes causées par un EDH ou qui provoquent un EDH

Chaque groupe de sûreté doit pouvoir exécuter les fonctions requises dans l’état de configuration des systèmes le plus défavorable, en tenant compte de divers facteurs tels que l’entretien, les essais, l’inspection et les réparations, et l’interruption de service de l’équipement.

Une analyse de toutes les défaillances uniques possibles et des défaillances indirectes qu’elles provoquent doit être effectuée pour chaque composant de chaque groupe de sûreté, et ce, jusqu’à ce que tous les groupes de sûreté aient été examinés.

7.8.3 Conception à sûreté intégrée

Le principe de défaillance à sûreté intégrée doit être pris en compte dans la conception des SSC importants pour la sûreté.

7.8.4 Indisponibilité d’équipement

Selon l’utilisation de l’installation du réacteur, la conception doit comprendre des dispositions en matière de redondance, de fiabilité et d’efficacité appropriées afin de permettre l’entretien sous tension et l’essai sous tension des systèmes qui revêtent une importance pour la sûreté.

La conception doit tenir compte du temps consacré à chaque indisponibilité d’équipement et des interventions nécessaires à cet égard.

7.8.5 Systèmes partagés

La conception doit permettre de minimiser le partage des SSC entre les systèmes de sûreté, les systèmes importants en matière de sûreté et les systèmes fonctionnels. Si le partage en fait partie, il faut démontrer que les fonctions de sûreté des SSC ne sont pas compromises.

7.9 Structures, systèmes et composants pressurisés

Tous les SSC pressurisés doivent être protégés contre les surpressions et doivent être classés, conçus, fabriqués, érigés, inspectés et testés selon les normes établies.

Tous les SSC pressurisés du système de refroidissement du réacteur et ses auxiliaires doivent être pourvus d’une marge de sûreté appropriée en exploitation normale, en cas d’IFP, d’AD et, dans la mesure du possible, d’AHD.

La conception doit permettre de réduire au minimum la probabilité d’anomalies au niveau des enveloppes sous pression, y compris la détection en temps voulu des anomalies.

Tous les SSC des enveloppes sous pression doivent être conçus pour supporter les charges statiques et dynamiques prévues en exploitation normale, et en cas d’IFP et d’AD.

Les composants sous pression et leur emplacement dans l’installation du réacteur doivent être conçus pour permettre l’inspection sécuritaire de leur enveloppe sous pression tout au long de leur durée de vie.

La conception doit comprendre des mesures pour détecter rapidement la dégradation ou les changements des enveloppes sous pression importantes pour la sûreté et inclure, dans la mesure du possible, une protection contre une défaillance hypothétique.

Le fonctionnement des dispositifs de protection contre la surpression ne doit pas occasionner d’émissions incontrôlées de matières radioactives ou de substances dangereuses émanant de l’installation du réacteur.

Une isolation appropriée doit être prévue aux interfaces entre le système de refroidissement du réacteur (SRR) et les systèmes de raccordement fonctionnant à basse pression pour éviter une surpression et la perte possible du caloporteur.

Dans toute la mesure du possible, toutes les conduites et cuves des enveloppes sous pression doivent être séparées des systèmes électriques et de commande.

7.10 Qualification environnementale de l’équipement

Une qualification environnementale de l’équipement doit être prévue dans la conception pour vérifier que les fonctions de sûreté décrites à la section 4.2 sont exécutées après un accident.

La qualification de l’équipement doit aussi comprendre l’examen de toutes les conditions environnementales inhabituelles qui pourraient vraisemblablement survenir en mode d’exploitation normale ou au cours d’un IFP.

L’équipement certifié durant les accidents graves et les AHD doit être évalué afin de confirmer qu’il fonctionnera correctement dans les conditions environnementales prévues.

7.11 Instrumentation et contrôle

Tous les instruments et les équipements de commande devront être conçus selon les normes et codes pertinents les plus récents. La conception doit tenir compte du mode de fonctionnement normal, des IFP, des AD et, dans la mesure du possible, des AHD. Les effets du vieillissement tel que décrit à la section 7.20 doivent également être pris en considération.

7.11.1 Considérations générales

La conception doit comprendre toutes les conditions relatives aux instruments destinés à surveiller les variables et systèmes de l’installation du réacteur dans les divers états de fonctionnement normal, d’IFP, d’AD et, dans la mesure du possible, d’AHD, afin d’obtenir des données justes sur l’état du réacteur. Une attention particulière doit être accordée aux instruments de démarrage.

De par leur conception, les systèmes de sûreté et tout autre système de soutien requis pourront fonctionner de façon fiable et autonome.

La capacité d’établir des tendances et d’enregistrer automatiquement les mesures de tout paramètre dérivé qui revêt une importance pour la sûreté doit être prévue dans la conception.

L’instrumentation doit permettre de mesurer les paramètres de l’installation du réacteur à des fins d’interventions d’urgence.

Des systèmes de contrôle fiables doivent être prévus dans la conception pour maintenir les variables dans les limites opérationnelles déterminées.

La probabilité qu’une intervention de l’opérateur compromette l’efficacité des systèmes de sûreté et de contrôle en mode de fonctionnement normal et durant les IFP doit être réduite au minimum grâce à la conception, sans toutefois annuler ses interventions pertinentes à la suite d’un AD.

Les dispositifs de verrouillage des systèmes de contrôle doivent être conçus de manière à réduire au minimum le risque de contournement manuel ou automatique non intentionnel, mais sans empêcher, le cas échéant, de pouvoir les utiliser dans des situations atypiques.

Les diverses interventions en matière de sûreté doivent être automatisées de sorte que l’opérateur n’ait pas à intervenir dans un délai fixe au début d’un IFP ou d’un AD. De plus, l’opérateur doit disposer des renseignements appropriés pour savoir quelles mesures prendre en matière de sûreté.

7.11.2 Utilisation de systèmes ou d’équipement informatisés

Les normes et les codes pertinents pour l’élaboration, l’essai et la mise à jour de matériel et de logiciels doivent se retrouver dans la conception des systèmes ou de l’équipement informatisé qui revêtent une importance pour la sûreté, et ce, tout au long de leur durée de vie. À ce sujet, il convient d’accorder une attention particulière au cycle d’élaboration d’un logiciel.

Un processus de développement descendant des logiciels doit être utilisé pour faciliter les activités de vérification et de validation.

Tout logiciel fourni par un fournisseur et utilisé dans un système ou un équipement important pour la sûreté doit être conçu, inspecté et testé conformément aux normes d’une catégorie correspondant à sa fonction de sûreté.

Le processus d’élaboration d’un logiciel, y compris le contrôle, l’essai et la mise en service des changements apportés à la conception, ainsi que les résultats de l’évaluation indépendante de ce processus, doit être sujet à examen et figurer systématiquement dans les documents de conception.

7.11.3 Instrumentation post-accidentelle

L’instrumentation et l’équipement d’enregistrement doivent être conçus de sorte que les renseignements essentiels soient disponibles pour appuyer les procédures de l’installation du réacteur pendant et après des accidents.

7.12 Systèmes de soutien en matière de sûreté nucléaire

Les systèmes de soutien en matière de sûreté nucléaire doivent permettre que les fonctions de sûreté fondamentales soient disponibles en mode de fonctionnement normal, en cas d’IFP, d’AD et, dans la mesure du possible, d’AHD.

Lorsque des services normaux sont fournis à partir de sources externes, des systèmes de relève pour le soutien de sûreté doivent être disponibles sur le site.

Des systèmes de soutien d’urgence doivent être prévus dans la conception s’il y a perte de service normal et, au besoin, en cas de perte simultanée des systèmes de secours.

Les systèmes qui fournissent des services normaux, de secours et d’urgence doivent :

• répondre aux exigences de charge des systèmes qui remplissent les fonctions de sûreté fondamentales
• être disponibles et fiables en tenant compte des systèmes qu’ils desservent

Les systèmes de soutien d’urgence doivent :

• être distincts des systèmes normaux et de secours
• assurer la continuité du service jusqu’à ce que le service à long terme (normal ou de relève) soit rétabli
• disposer d’une marge de manœuvre pour répondre à l’accroissement de la demande future
• pouvoir être testés à des conditions de charge nominale

7.13 État d’arrêt garanti

L’état d’arrêt garanti (EAG) doit présenter une marge d’arrêt telle que le cœur demeurera dans un état sous-critique en présence de tout changement dans la configuration du cœur et d’augmentation de la réactivité.

La conception doit prévoir des moyens de placer l’installation du réacteur en EAG tout en préservant la sécurité lors d’activités de production, expérimentales ou d’entretien.

Durant l’EAG, deux moyens distincts doivent être prévus dans la conception pour empêcher un retour à l’état critique par n’importe quel voie ou mécanisme.

7.14 Dispositions relatives à l’arrêt prolongé

La conception doit comprendre des dispositions pour répondre aux besoins découlant de longues périodes d’arrêt, tels que la nécessité de maintenir l’état du combustible nucléaire, du caloporteur ou du modérateur, de poursuivre l’inspection, les essais périodiques et l’entretien des SSC pertinents de l’installation et d’assurer la protection physique. Une attention particulière doit être accordée aux poisons neutroniques à longue période qui peuvent nuire au redémarrage du réacteur.

7.15 Protection contre les incendies

La conception de l’installation du réacteur, y compris celle des bâtiments externes et des SSC servant à son exploitation sécuritaire, doit respecter les normes et codes nationaux de protection contre les incendies.

Les incendies sont qualifiés d’agression interne. Les fonctions essentielles de sûreté doivent être assurées durant et après un incendie.

7.15.1 Dispositions générales

Les objectifs de protection contre les incendies suivants doivent être atteints :

• éviter le déclenchement d’incendies
• réduire la propagation et les effets incendiaires s’ils se déclarent en :
  1. détectant rapidement les incendies et en les maîtrisant afin de limiter les dommages
  2. confinant la propagation des incendies et leurs sous-produits non maîtrisés
• prévenir la perte de redondance des systèmes de sûreté et de soutien
• donner l’assurance d’un arrêt d’état garanti
• veiller à ce que la surveillance des paramètres de sûreté critique soit maintenue
• prévenir l’exposition, le rejet non contrôlé ou la dispersion inacceptable de substances dangereuses, de matières nucléaires ou radioactives causés par des incendies
• prévenir les effets préjudiciables des efforts d’atténuation des événements, autant à l’intérieur qu’à l’extérieur de l’enceinte de confinement
• assurer la suffisance et la stabilité structurales en cas d’incendie

Les systèmes de lutte contre les incendies doivent être conçus et placés de sorte qu’une rupture ou une manœuvre intempestive ou involontaire ne puisse contribuer à détériorer les SSC qui revêtent une importance pour la sûreté.

Les immeubles ou structures doivent être fabriqués avec des matériaux inflammables, ignifuges et thermorésistants.

7.15.2 Sûreté des personnes

La conception doit fournir une protection aux travailleurs et à la population contre une série d’événements impliquant des incendies ou des explosions selon les critères radiologiques, toxicologiques et humains établis.

7.15.3 Protection environnementale et sûreté nucléaire

La protection contre les incendies doit permettre de réduire au minimum les rejets et la dispersion dans l’environnement de substances dangereuses ou de matières radioactives, ainsi que leur impact sur l’environnement.

7.16 Qualification sismique

La qualification sismique de tous les SSC doit être conforme aux exigences des normes canadiennes ou équivalentes.

Au cours de la durée de vie de l’installation du réacteur, la conception doit prévoir des instruments de surveillance de l’activité sismique sur l’emplacement.

7.16.1 Conception et classification sismiques

Les structures, systèmes et composants importants pour la sûreté, qui sont en mesure de supporter un séisme de référence, doivent être identifiés et homologués en conséquence.

La conception de ces SSC doit répondre aux critères de séisme de référence afin de maintenir toutes les caractéristiques essentielles telles que l’intégrité des enveloppes sous pression, l’étanchéité, l’exploitabilité et le positionnement approprié en cas de séisme de référence.

En cas de séisme de référence, la conception doit faire en sorte qu’aucun dommage substantiel ne sera causé à ces SSC par la défaillance de tout autre SSC.

Les niveaux de fragilité sismique doivent être évalués aux niveaux des SSC importants pour la sûreté avec des analyses ou, dans la mesure du possible, des essais.

7.17 Essais, entretien, réparations, inspection et surveillance en cours d’exploitation

Pour le maintien de l’installation du réacteur dans les limites de la conception, les SSC importants pour la sûreté doivent être étalonnés, testés, entretenus, réparés ou remplacés, inspectés et surveillés au cours de sa durée de vie.

7.18 Ouvrages de génie civil

7.18.1 Conception

Les ouvrages de génie civil importants pour la sûreté doivent êtres conçus pour le mode de fonctionnement normal, les IFP, les AD et, dans la mesure du possible, les AHD.

Il convient de spécifier le rendement requis des fonctions de sûreté liées aux ouvrages de génie civil en cas de fonctionnement normal, d’IFP, d’AD et d’AHD.

Les ouvrages de génie civil importants pour la sûreté doivent êtres conçus pour maintenir les niveaux de radiation et les rejets de matières radioactives conformément aux exigences de la section 4.3.

Les ouvrages de génie civil importants pour la sûreté doivent êtres conçus de manière à minimiser les probabilités et les effets des dangers internes et externes.

Les ouvrages de génie civil doivent être conçus pour respecter les exigences de l’aptitude au service, de résistance et de stabilité pour toutes les combinaisons de charges possibles en mode de fonctionnement normal, en cas d’IFP, d’AD et, dans la mesure du possible, d’AHD, ainsi que pour les risques externes.

Dans la conception, il faut spécifier et prévoir toutes les charges et combinaisons de charges en tenant dûment compte des probabilités de simultanéité et de l’historique des temps de charge. Les effets environnementaux doivent être pris en considération dans la conception des ouvrages de génie civil et le choix des matériaux de construction.

Le niveau d’étanchéité requis pour les ouvrages de génie civil contenant des matières radioactives et les exigences relatives au système de ventilation doivent être spécifiés conformément à l’analyse de sûreté et selon l’utilisation de l’installation du réacteur.

7.18.2 Surveillance

Dans la conception, la mise en œuvre de programmes d’inspection périodiques des ouvrages liés à la sûreté nucléaire doit permettre de vérifier leur état selon les plans de construction d’origine.

La conception doit faciliter la surveillance, en cours d’exploitation, de toute dégradation pouvant compromettre la fonction nominale des structures.

La conception doit permettre la surveillance de l’affaissement des fondations.

7.18.3 Levage de charges lourdes

Dans la conception de l’installation du réacteur, il faut tenir compte du levage de charges lourdes et de grande taille, plus particulièrement celles contenant des matières radioactives. Il faut identifier les charges de grande taille, les zones de dépôt et dans quelles situations elles doivent être levées au-dessus des zones de l’installation du réacteur qui sont critiques sur le plan de la sûreté.

7.19 Mise en service

La conception doit spécifier les exigences relatives à la mise en service, y compris les données qui doivent être consignées et conservées. En particulier, il faut spécifier clairement toutes les exigences anormales ou particulières relatives à la mise en service dans la documentation de la conception.

Des dispositions doivent être prises dans la conception pour faciliter les activités de mise en service. En particulier, la conception des instruments et des systèmes de contrôle doit prévoir des dispositions relatives aux sources neutroniques de démarrage et aux instruments de démarrage, et préciser les conditions dans lesquelles ils sont nécessaires.

7.20 Vieillissement et usure

La conception doit examiner les effets du vieillissement et de l’usure sur les SSC qui revêtent une importance pour la sûreté.

7.21 Contrôle des corps étrangers

La conception doit prévoir la détection, l’exclusion et l’élimination de tous les corps étrangers et produits corrosifs susceptibles d’avoir une incidence sur la sûreté.

7.22 Transport et emballage de combustible et de déchets radioactifs

La conception doit prévoir des dispositifs appropriés pour faciliter le transport et la manutention du combustible neuf, du combustible irradié et des déchets radioactifs en vertu des exigences du Règlement sur l’emballage et le transport des substances nucléaires.

7.23 Voies d’évacuation d’urgence et moyens de communications

La conception doit prévoir un nombre suffisant de voies d’évacuation sécuritaires et disponibles pour tous les états du réacteur, y compris en cas d’événements sismiques.

Des systèmes d’alarme et des moyens de communication appropriés doivent être disponibles en tout temps pour alerter toutes les personnes présentes dans l’installation du réacteur et sur le site et leur donner des directives.

7.24 Facteurs humains

La conception doit comporter un programme d’ingénierie des facteurs humains.

Des techniques d’analyse systématique éprouvées et pertinentes doivent être utilisées pour examiner les aspects des facteurs humains associés à la conception.

Le programme d’ingénierie des facteurs humains doit faciliter les interactions entre le personnel d’exploitation et l’installation du réacteur tout en accordant une attention particulière à l’aménagement et aux procédures de l’installation du réacteur, à l’entretien, à l’inspection, à la formation, à la mise en service, au déclassement et au recours à des principes ergonomiques liés à la conception des aires et des milieux de travail.

Une distinction juste et claire entre les fonctions assignées au personnel d’exploitation et celles attribuées aux systèmes automatiques doit être facilitée par l’examen systématique des facteurs humains et de l’interface homme-machine.

Les interfaces homme-machine de l’installation du réacteur et notamment de la salle de commande principale, de la salle de commande auxiliaire et du centre de soutien d’urgence doivent fournir aux opérateurs les renseignements nécessaires et appropriés, dans un format utilisable et compatible à la prise de décisions et au délai d’intervention.

Des plans de vérification et de validation des facteurs humains doivent être établis pour toutes les étapes pertinentes du processus de conception afin de confirmer que celle-ci est conforme aux normes et codes récents en matière de facteurs humains, qu’elle répond aux exigences en matière de facteurs humains et prend correctement en compte toutes les interventions nécessaires de l’opérateur.

Dans la conception, il faut indiquer et fournir le type de renseignements qui permettront à l’opérateur de facilement :

• évaluer l’état général de l’installation du réacteur, qu’il s’agisse d’un état de fonctionnement normal, d’IFP ou d’AD
• confirmer que les interventions de sûreté automatiques sont exécutées
• déterminer les interventions appropriées liées à la sûreté qu’il doit effectuer
• identifier les paramètres de chaque système et équipement de l’installation du réacteur
• confirmer que les mesures de sûreté nécessaires peuvent être enclenchées en toute sécurité

Les objectifs de la conception doivent favoriser la réussite des interventions de l’opérateur en tenant dûment compte du temps dont il dispose pour intervenir, de l’environnement physique prévu et du stress psychologique auquel il est exposé.

La nécessité d’une intervention de l’opérateur dans de courts laps de temps doit être maintenue au minimum.

7.25 Robustesse contre des actes malveillants

Le système de sûreté physique doit :

• comprendre un processus qui tient compte du risque, tel qu’une évaluation des menaces et des risques (EMR), qui constitue la base d’une stratégie de conception destinée à réduire le vol et/ou le sabotage des substances nucléaires utilisées, stockées, traitées ou conservées conformément aux exigences du Règlement général sur la sûreté et la réglementation nucléaires et du Règlement sur les installations nucléaires de catégorie I
• prévoir des mesures conçues conformément aux exigences du Règlement sur la sécurité nucléaire et comprendre également toutes les autres mesures d’atténuation requises pour prendre en considération le profil d’opposition défini dans les menaces de référence

7.25.1 Principes de conception

La conception doit prévoir une protection robuste contre les actes malveillants susceptibles de toucher l’installation du réacteur et toute autre installation sur le site qui pourraient libérer de grandes quantités de matières radioactives.

Conformément au concept de défense en profondeur, la conception doit prévoir de multiples barrières de protection contre les actes malveillants, y compris des systèmes de protection physiques, des dispositions de sécurité techniques et des mesures de gestion postérieure à un événement, le cas échéant.

Le système de protection physique doit être conçu et évalué pour faire face aux menaces de référence. Dans la mesure du possible, les menaces improbables (MI) doivent être évaluées afin de déterminer les moyens d’en atténuer les conséquences.

7.25.2 Méthodes de conception

Une méthodologie devra être élaborée pour évaluer les difficultés qu’entraînent les menaces de référence et les moyens pour résoudre ces difficultés, comprenant une EMR « spécifique au site » pour identifier les menaces, les risques et les vulnérabilités connexes. Des mesures de conception conservatrices et de saines pratiques d’ingénierie doivent faire partie de la méthodologie.

Une méthodologie pour évaluer les difficultés associées aux MI doit être élaborée afin de déterminer les marges disponibles pour l’arrêt du réacteur, le refroidissement du combustible et le confinement de la radioactivité.

Dans la conception de l’installation du réacteur, il faut examiner le rôle des structures, des voies d’accès, de l’équipement et de l’instrumentation dans l’attribution de moyens de détection, de ralentissement et d’intervention en cas de menaces.

L’endroit où se trouvent des SSC nécessitant d’être protégés sera identifié en tant que zone vitale et sera pris en compte dans la conception et la vérification de leur robustesse.

Des moyens de contrôle et de détection des accès doivent être prévus dans la conception pour veiller à réduire au minimum le nombre d’accès et de points d’évacuation.

La conception doit examiner la localisation des installations civiles de manière à réduire au minimum le besoin d’y accéder pour des activités de réparation, d’entretien, etc. et ce, afin de réduire les menaces contre les endroits où des matières nucléaires peuvent être utilisées, traitées, stockées ou conservées, y compris les zones vitales.

7.25.3 Critères d’acceptation

Le système de protection physique doit être conçu pour offrir une capacité de détection, d’évaluation et d’intervention rapide efficaces avant le vol ou le sabotage de matières nucléaires.

Toutes les fonctions de sûreté essentielles doivent rester efficaces pour les menaces de référence.

Pour les menaces improbables, il doit y avoir au moins un moyen d’arrêter le réacteur et d’en refroidir le cœur; toutefois, une détérioration de la barrière de confinement peut se produire. Pour les menaces improbables, tout rejet de matières radioactives doit respecter les conditions des objectifs de sûreté.

7.25.4 Renseignements réglementés

Il convient d’identifier les renseignements réglementés visés par le système de protection physique de l’installation du réacteur. Ces renseignements doivent être complets et conformes au paragraphe 21(1) du Règlement général sur la sûreté et la réglementation nucléaires.

7.26 Garanties

Les obligations découlant des accords internationaux du Canada et les exigences relatives aux garanties et à la non-prolifération des armes nucléaires doivent être respectées dans la conception.

La conception et le processus de conception doivent assurer la conformité aux obligations découlant de l’accord de garanties entre le Canada et l’AIEA. En général, ces caractéristiques doivent être associées à l’installation permanente d’équipement de garanties et à la prestation des services nécessaires au fonctionnement de cet équipement.

7.27 Dispositions relatives à l’utilisation et aux modifications

Dans la conception, il convient de prendre des précautions particulières en ce qui concerne l’utilisation de l’installation du réacteur et les modifications qui y sont apportées afin de faire en sorte que sa configuration soit connue en tout temps et que le dossier de sûreté soit valide.

Le dossier de sûreté sera préparé en tenant compte de l’usage de l’équipement inclus dans l’installation du réacteur dans la mesure où il peut :

• poser des risques de manière directe en cas de défaillance
• poser des risques de manière indirecte en se répercutant sur l’exploitation sûre du réacteur
• augmenter le risque attribuable à un événement déclencheur résultant de sa défaillance et les effets de celle-ci sur la séquence d’événements

Chaque projet d’utilisation ou de modification d’équipement (p. ex. dispositifs expérimentaux) pouvant avoir une grande importance sur le plan de la sûreté doit être conçu conformément aux principes prévalant dans l’installation du réacteur. En particulier, tous les dispositifs expérimentaux utilisant le réacteur doivent être conçus selon des normes équivalentes à celles appliquées au réacteur lui-même et doivent être entièrement compatibles en ce qui concerne les matériaux utilisés, l’intégrité structurelle et les dispositions en matière de radioprotection. La section 8.1.1. énonce d’autres exigences relatives à la conception des dispositifs expérimentaux.

Lorsque des dispositifs expérimentaux pénètrent les limites du réacteur, ils doivent être conçus pour préserver les systèmes de confinement et de blindage du réacteur. Les systèmes de sûreté des dispositifs expérimentaux doivent aussi être conçus pour protéger à la fois le dispositif et le réacteur.

Le dossier de sûreté sera également réalisé en tenant compte de l’utilisation ou de la modification des équipements qui ne font pas partie de l’installation du réacteur (p. ex. installations voisines indépendantes utilisant la chaleur, la vapeur ou l’électricité produite par l’installation du réacteur).

7.28 Plan de l’installation du réacteur

La conception doit tenir compte des interfaces entre les dispositions sur la sécurité du travail de l’installation du réacteur et d’autres aspects de son aménagement.

En cas d’exigences conflictuelles de conception au niveau de la détermination des exigences relatives au plan de l’installation du réacteur, il faut prévoir une évaluation des options démontrant qu’une configuration optimisée a été recherchée à cet égard.

7.29 Déclassement

Les futures activités de déclassement et de démantèlement de l’installation du réacteur doivent être prises en considération de sorte que :

• le choix des matériaux de construction et la fabrication des composants et structures du réacteur contribuent à minimiser les quantités éventuelles de déchets radioactifs et à faciliter la décontamination
• l’aménagement facilite l’accès pour les activités de déclassement et de démantèlement
• l’on examine les exigences futures de stockage de déchets radioactifs en raison de la construction de nouvelles installations ou de l’agrandissement d’installations actuelles

8.0 Exigences propres aux systèmes

8.1 Cœur du réacteur

La conception du cœur doit prendre en considération toutes les configurations prévisibles, du cœur initial au cœur en phase d’équilibre, pour les différents calendriers d’exploitation appropriés.

La conception des éléments et assemblages de combustible, des réflecteurs et des autres composants du cœur doit tenir compte de considérations neutroniques, thermohydrauliques, mécaniques et chimiques ainsi que de facteurs liés aux matériaux et à l’irradiation dans son ensemble.

La conception doit fournir une protection contre les déformations et autres modifications des structures du réacteur qui peuvent nuire au fonctionnement du cœur ou des systèmes connexes.

Il convient d’évaluer la limite supérieure des déformations possibles ou des autres changements prévus causés par l’irradiation. Ces analyses doivent se baser sur des données tirées d’expériences menées sur l’irradiation ou l’expérience acquise en ce domaine.

Le cœur du réacteur, ses structures connexes et ses systèmes de refroidissement doivent :

• résister aux charges statiques et dynamiques, y compris aux effets thermiques
• résister aux vibrations (telle que les vibrations acoustiques ou causées par l’écoulement)
• assurer la compatibilité chimique
• respecter les limites thermiques des matériaux
• respecter les limites des dégâts par rayonnements

Le cœur du réacteur doit être conçu de telle sorte que le réacteur puisse être arrêté, refroidi et maintenu dans un état sous-critique avec une marge adéquate en cas d’exploitation normale, d’IFP et d’AD. L’état du réacteur doit être évalué pour certains AHD (voir la section 7.5).

La conception de l’installation du réacteur doit prévoir les fonctions de sûreté suivantes dans les conditions d’exploitation normale, transitoires et en cas d’accidents :

• prévention des états transitoires et des instabilités inacceptables
• prévention de la progression des IFP en AD
• arrêt du réacteur, au besoin
• état d’arrêt sûr du réacteur

La marge d’arrêt de tous les états d’arrêt sûr doit être telle que le cœur demeurera dans un état sous-critique en présence de tout changement de sa configuration et d’ajout de la réactivité.

Si l’opérateur doit intervenir pour maintenir le réacteur dans un état d’arrêt sûr, la faisabilité, la rapidité et l’efficacité d’une telle intervention doivent être démontrées.

La conception du cœur du réacteur doit être telle que :

• les changements rapides de la puissance du réacteur puissent être contrôlés par une combinaison de caractéristiques neutroniques inhérentes au cœur, ses caractéristiques thermohydrauliques et les capacités des systèmes de commande et d’arrêt en cas d’exploitation normale et de conditions associées à un accident de référence
• les fluctuations de puissance puissent être détectées et contrôlées facilement et de manière fiable
• les limites de conception spécifiées ne soient pas dépassées durant le fonctionnement normal, les IFP et les AD
• la criticité instantanée soit évitée pour tous les accidents
• lorsque la criticité instantanée peut être dépassée, il soit expérimentalement démontré que le dépôt d’énergie résultant n’entraîne pas de dommages au combustible ou à l’enveloppe du caloporteur

Le cœur du réacteur, y compris les éléments combustibles, les mécanismes de contrôle de la réactivité, les dispositifs expérimentaux, les réflecteurs, les canaux de combustible et les composants structurels, doit être conçu pour maintenir les paramètres pertinents dans les limites établies pour les conditions d’exploitation normale et en cas d’accidents.

La conception du cœur du réacteur doit comprendre des marges de sûreté faisant partie de la défense en profondeur pour que les limites de conception admises, en tenant compte des tolérances techniques et des incertitudes liées au comportement du réacteur en cas d’accident, ne soient pas dépassées.

La conception du cœur du réacteur doit permettre d’assurer un état d’arrêt garanti, tel que décrit à la section 7.13.

Des programmes de contrôle, de surveillance, d’inspection, d’essai, d’analyse et de mise en service doivent être prévus dans la conception du cœur ainsi que des programmes périodiques de vérification et d’évaluation pour s’assurer que l’installation du réacteur fonctionne comme prévu et répond aux critères d’acceptation.

8.1.1 Dispositifs expérimentaux

Cette section traite du cœur du réacteur lorsque des dispositifs expérimentaux sont utilisés tels que des boucles d’essai de combustible et de matériaux, des sites d’irradiation ou des tubes à faisceau.

Le comportement du cœur du réacteur, y compris les dispositifs expérimentaux, doit être analysé en conditions d’exploitation normale, en conditions transitoires et en cas d’accidents. Il convient d’examiner les répercussions au niveau de la sûreté de toute défaillance des dispositifs expérimentaux du cœur du réacteur ou l’inverse.

Il convient d’établir le dimensionnement de chaque dispositif expérimental lié à l’installation du réacteur. L’inventaire radioactif du dispositif expérimental ainsi que les possibilités de production ou de libération d’énergie entrent aussi en ligne de compte.

Si les dispositifs expérimentaux sont reliés au système de sûreté, ils doivent être conçus pour en préserver la qualité. La possibilité que des interactions délétères se produisent avec le système de sûreté doit être évaluée.

Pour des questions de sûreté du réacteur et de l’expérience, il faut prévoir une surveillance adéquate des paramètres dans la salle de commande principale et disposer, au besoin, de mesures de sûreté spécifiques pour les systèmes du réacteur, les dispositifs expérimentaux et toute autre installation connexe.

Les exigences relatives à l’utilisation sécuritaire des dispositifs expérimentaux doivent figurer dans les LCO.

Le plan de déclassement préliminaire de l’installation du réacteur doit comprendre le déclassement de tout dispositif expérimental.

8.1.2 Éléments combustibles et assemblages

Pour s’assurer que les exigences des assemblages combustibles sont respectées, le combustible doit être homologué pour l’exploitation, soit parce que le même type de combustible a été utilisé dans d’autres réacteurs ou grâce à un programme d’analyse et d’essais expérimentaux. La conception du combustible et les limites de conception doivent être établies selon une base de connaissances vérifiées et vérifiables, et fondées sur les données d’expériences menées dans le domaine de l’irradiation.

La conception des assemblages combustibles doit inclure tous les composants, notamment la matrice combustible, la gaine, les cales d’écartement des éléments, les plaques de soutien et les barres de contrôle amovibles à l’intérieur de l’assemblage. La conception des assemblages combustibles doit également identifier tous les systèmes d’interfaces.

Les assemblages combustibles et les composants connexes doivent être conçus pour résister à l’irradiation et aux conditions environnementales dans le cœur du réacteur de même qu’à tout processus de détérioration pouvant survenir en mode de fonctionnement normal et d’IFP.

Tous les mécanismes de dégradation connus doivent figurer dans la conception, tout en tenant compte des incertitudes des données, des calculs et de la fabrication du combustible.

Les limites nominales de combustible doivent inclure les limites liées à la puissance ou à la température du combustible, la combustion du combustible et les fuites de produits de fission dans le système de refroidissement du réacteur.

Il convient d’effectuer des analyses pour montrer que les conditions et limites d’irradiation prévues dans le cœur du réacteur (telles que la densité de fission, les fissions totales à la fin de la durée de vie et la fluence neutronique) sont acceptables et ne provoquent pas de déformations ou de gonflements excessifs des éléments de combustible. Il faut également évaluer la limite supérieure des déformations possibles ou des autres changements prévus. Ces analyses doivent être appuyées par des données expérimentales sur l’irradiation ou l’expérience acquise en ce domaine.

En mode d’AD, l’assemblage de combustible et ses composants doivent demeurer sans distorsion qui empêcherait le refroidissement efficace du cœur du réacteur à la suite d’un accident ou qui nuirait aux fonctions des appareils ou mécanismes de contrôle de la réactivité. Des critères d’acceptation doivent être fixés dans la conception en mode d’AD.

La conception du réacteur et de l’assemblage de combustible doit tenir compte des modifications apportées à la stratégie de gestion du combustible ou aux conditions d’exploitation au cours de la durée de vie utile de l’installation du réacteur.

Les assemblages combustibles doivent être conçus pour permettre l’inspection de leurs structures et composants avant et après l’irradiation.

À l’étape de conception, il convient de tenir compte de l’entreposage à long terme des assemblages combustibles irradiés à la suite de leur retrait du réacteur (voir également la section 8.12).

La conception doit comprendre des dispositions pour surveiller l’intégrité du combustible.

8.1.3 Système de contrôle

La conception doit prévoir des moyens de détection et de contrôle de la réactivité et des distributions du flux neutronique. Des moyens adéquats doivent être fournis pour maintenir la répartition d’énergie globale et spatiale à l’intérieur de marges prédéterminées. Les mécanismes de contrôle de la réactivité doivent limiter le taux d’insertion de la réactivité positive à un niveau qui évite la criticité instantanée (à moins que la conception ne permette une criticité instantanée, tel que décrit à la section 8.1) et doivent respecter les critères d’acceptation du combustible durant les états transitoires.

Aucune défaillance simple du système de contrôle de la réactivité ne peut empêcher le système de remplir sa fonction de sûreté lorsqu’elle est requise.

Le taux maximum d’ajout de réactivité positive autorisé par le système de contrôle de la réactivité, ou par une expérience effectuée, doit être spécifié et limité aux valeurs justifiées.

Ces exigences doivent s’appliquer au flux neutronique dans toutes les régions du cœur en mode de fonctionnement normal (y compris lors du démarrage initial, après l’arrêt, lors du redémarrage après l’arrêt, ainsi que durant et après le rechargement du combustible) et en cas d’IFP.

Le système de contrôle de la réactivité, jumelé aux caractéristiques inhérentes du réacteur et aux limites et conditions opérationnelles sélectionnées, doit réduire au minimum le besoin d’arrêter le réacteur.

Le système de contrôle de la réactivité et les caractéristiques inhérentes du réacteur doivent maintenir tous les paramètres critiques du réacteur dans les limites établies pour une vaste gamme d’IFP, et doivent empêcher les IFP de se transformer en conditions accidentelles.

8.2 Système de refroidissement du réacteur

Les marges de conception du système de refroidissement du réacteur, de ses composants connexes et des systèmes auxiliaires doivent être suffisantes afin de s’assurer que les limites de conception de l’enveloppe sous pression du caloporteur ne soient pas dépassées en mode de fonctionnement normal, en cas d’IFP ou d’AD.

Le choix des matériaux doit permettre de réduire au minimum la corrosion et la production subséquente de produits de corrosion rendus radioactifs (entraînant la formation de champs de rayonnement).

La conception doit tenir compte de toutes les conditions affectant les matériaux de l’enveloppe sous pression en mode de fonctionnement normal (y compris l’entretien et les essais), d’IFP et d’AD, ainsi que des propriétés prévues en fin de vie utile touchées par les mécanismes de vieillissement, le taux de détérioration et l’état initial des composants.

La conception doit prévoir un système de détection et de surveillance des fuites du système de refroidissement du réacteur.

La conception du système de refroidissement du réacteur doit prévoir des mesures permettant la surveillance continue des concentrations de radionucléides dans le caloporteur en mode de fonctionnement normal.

8.2.1 Inspection de l’enveloppe sous pression en cours d’exploitation

Les composants de l’enveloppe sous pression du caloporteur primaire doivent être conçus, fabriqués et installés de manière à ce qu’il soit possible d’effectuer des inspections et des tests appropriés de l’enveloppe tout au long de la durée de vie de l’installation du réacteur.

La conception doit faciliter la surveillance nécessaire à la détermination des conditions des matériaux pour lesquelles des changements des propriétés des matériaux sont prévus.

8.2.2 Volume

En tenant compte des variations volumétriques et des fuites, la conception doit prévoir le contrôle du volume et de la pression du caloporteur pour s’assurer de ne pas dépasser les limites établies en exploitation normale. Les systèmes permettant de remplir cette fonction doivent avoir la capacité (débit et volumes de stockage) de répondre à cette exigence.

8.2.3 Nettoyage

La conception doit prévoir l’élimination appropriée des substances radioactives du caloporteur, y compris les produits de corrosion rendus radioactifs et les produits de fission qui s’échappent du combustible.

Des dispositions doivent permettre de surveiller et de commander les propriétés de tous les systèmes de refroidissement, le cas échéant.

8.2.4 Évacuation de la chaleur résiduelle du cœur du réacteur

La conception doit fournir des moyens (c.-à-d. un dispositif de relève) pour évacuer la chaleur résiduelle du réacteur dans tous les états du système de refroidissement du réacteur (SRR). Le dispositif de relève doit être indépendant de la configuration en usage.

Le moyen d’évacuation de la chaleur résiduelle doit répondre aux exigences de fiabilité selon l’hypothèse d’une défaillance unique et de la perte de l’alimentation électrique extérieure, tout en incorporant des mécanismes appropriés de redondance, de diversité et d’indépendance.

L’évacuation de la chaleur doit s’effectuer à un taux qui fera en sorte que les limites de conception spécifiées du combustible et de l’enveloppe sous pression du caloporteur ne soient pas dépassées.

8.3 Système de refroidissement du côté secondaire

Pour l’installation d’un système d’alimentation en vapeur d’eau, la conception doit répondre à toutes les exigences énoncées dans le document d’application de la réglementation RD-337, Conception des nouvelles centrales nucléaires.

Lorsqu’il n’a pas de système d’alimentation en vapeur d’eau installé, la conception du système doit satisfaire aux exigences précisées à la section 8.2.

8.4 Systèmes d’arrêt d’urgence

La conception doit prévoir un système d’arrêt d’urgence du réacteur en mesure de réduire rapidement la puissance du réacteur à une faible valeur et de la maintenir pendant le temps requis, lorsque le système de contrôle de la puissance du réacteur et les caractéristiques inhérentes sont insuffisantes ou pour maintenir la puissance du réacteur à l’intérieur des exigences établies dans les LCO.

Les dispositifs de contrôle de la réactivité doivent présenter une réactivité négative suffisante pour faire passer le réacteur dans un état sous-critique et le maintenir dans cet état en mode de fonctionnement normal et dans des conditions accidentelles, compte tenu du dispositif expérimental contribuant le plus à la réactivité positive. La conception des dispositifs de contrôle de la réactivité doit tenir compte du vieillissement et des effets de l’irradiation, tels que la combustion nucléaire, la modification des propriétés physiques ou la production de gaz.

La conception doit prévoir deux méthodes distinctes, indépendantes et différentes pour l’arrêt du réacteur.

Au moins un dispositif d’arrêt d’urgence du réacteur doit permettre, de façon indépendante, de faire passer rapidement le réacteur dans un état sous-critique en mode de fonctionnement normal, d’IFP et d’AD avec une marge appropriée, en supposant une défaillance unique.

Au moins un dispositif d’arrêt d’urgence du réacteur doit permettre, de façon indépendante, de faire passer rapidement le réacteur dans un état sous-critique en mode de fonctionnement normal, d’IFP et d’AD et de l’y maintenir avec une marge appropriée et avec un degré de fiabilité élevé même en présence des conditions les plus réactives du cœur du réacteur.

En cas de défaillance du dispositif validé servant à contrôler la réactivité durant un IFP ou un AD et lorsque les caractéristiques inhérentes du cœur ne peuvent maintenir le réacteur à l’intérieur des limites établies, la redondance des dispositifs doit permettre un arrêt d’urgence rapide du réacteur.

Lorsque l’on réamorce les dispositifs d’arrêt d’urgence, le degré maximum de réactivité positive et son taux maximum d’augmentation doivent se situer à l’intérieur de la capacité du système de contrôle du réacteur.

Pour améliorer la fiabilité, le déclenchement du mécanisme d’arrêt d’urgence doit faire appel à de l’énergie emmagasinée.

L’efficacité des dispositifs d’arrêt d’urgence (c.-à-d. la vitesse d’intervention et la marge d’arrêt) ne peut dépasser les limites établies. La possibilité d’un retour à l’état critique ou d’excursion de réactivité à la suite d’un EDH doit être réduite au minimum.

Aucune défaillance simple du système d’arrêt d’urgence ne peut empêcher le système de remplir sa fonction de sûreté lorsqu’elle est requise.

Lorsqu’il s’avère nécessaire de prévoir un ou plusieurs dispositifs à activation manuelle appropriés pour l’arrêt d’urgence, la conception doit en tenir compte.

Il convient de prévoir des instruments et de spécifier les tests à réaliser pour s’assurer que les systèmes d’arrêt d’urgence soient toujours disponibles dans l’état stipulé pour la condition donnée du réacteur. Pour les systèmes informatisés de contrôle de la réactivité, il convient d’assurer la vérification et la validation du logiciel.

8.4.1 Paramètres de déclenchement des systèmes d’arrêt d’urgence

Il convient de préciser les critères d’acceptation dérivés relatifs à l’efficacité des paramètres de déclenchement des systèmes d’arrêt d’urgence pour tous les IFP et les AD. Il faut aussi effectuer une analyse de sûreté pour démontrer l’efficacité des dispositifs d’arrêt d’urgence du réacteur.

Les paramètres de déclenchement doivent tenir compte des effets du vieillissement des SSC, ainsi que des dispositifs expérimentaux lorsque ceux-ci sont utilisés dans le réacteur.

Des conditions restrictives pour l’exploitation sécuritaire doivent être élaborées pour les dispositifs expérimentaux et être incorporées dans les LCO.

Pour chaque dispositif d’arrêt d’urgence validé, la conception doit prévoir un paramètre de déclenchement direct des systèmes d’arrêt d’urgence amorcé en temps opportun pour tous les IFP et les AD qui répondent aux critères d’acceptation dérivés. Lorsqu’un paramètre de déclenchement direct n’existe pas pour un dispositif validé donné, il faut spécifier deux paramètres de déclenchement différents pour ce dispositif.

Pour tous les IFP et les AD, il doit y avoir au moins deux paramètres de déclenchement différents à moins que l’on puisse démontrer que l’incapacité de déclencher les systèmes d’arrêts d’urgence n’entraînera pas de conséquences inacceptables.

Les LCO ne peuvent présenter de lacune dans la couverture de déclenchement pour toutes les conditions d’exploitation (par ex. la puissance, la température). On y parvient en fournissant des paramètres de déclenchement supplémentaires, le cas échéant.

La portée de la couverture de déclenchement que fournissent tous les paramètres disponibles doit être décrite pour toute la gamme des défaillances associées à chaque ensemble d’EDH.

Une évaluation de l’exactitude et des modes de défaillance potentiels des paramètres de déclenchement doit figurer dans les documents de conception.

8.4.2 Fiabilité

La conception doit permettre de démontrer en permanence que chaque dispositif d’arrêt d’urgence est utilisé et entretenu d’une façon qui assure le respect des exigences de fiabilité et d’efficacité.

La conception doit prévoir des essais périodiques des systèmes et de leurs composants, selon une fréquence correspondant aux exigences applicables.

8.4.3 Surveillance et interventions de l’opérateur

La conception doit empêcher un opérateur d’activer un système d’arrêt d’urgence après le déclenchement automatique de celui-ci.

La nécessité de déclencher manuellement le dispositif d’arrêt d’urgence doit être réduite au minimum.

Les dispositifs de surveillance de l’état d’arrêt d’urgence et les dispositifs de déclenchement manuel doivent se trouver dans la salle de commande principale (voir la section 8.10).

8.5 Système de refroidissement d’urgence du cœur du réacteur

Si nécessaire, il convient de prévoir un système de refroidissement d’urgence du cœur (RUC) pour prévenir tout dommage au combustible en cas d’accident de perte de réfrigérant primaire. Il convient d’identifier les accidents auxquels le système pourrait être sujet et d’effectuer des analyses pour montrer que le système répond aux exigences.

La conception doit démontrer l’efficacité du RUC, y compris l’effet sur la réactivité du cœur causé par le mélange entre le caloporteur du RUC et le caloporteur.

Le RUC doit répondre aux critères suivants pour tous les AD comportant une perte de caloporteur :

• tout le combustible du réacteur et tous les assemblages de combustible sont maintenus dans un état permettant l’évacuation continue de la chaleur résiduelle produite par le combustible
• un débit de refroidissement continu (débit de recirculation) peut prévenir tout autre dommage au combustible une fois que le refroidissement adéquat du combustible est rétabli par le RUC

Il convient d’étudier les procédures spéciales de refroidissement du cœur pour certains AHD.

Le circuit de recirculation du RUC doit être conçu de manière à éviter que des débris ou autres matériaux empêchant le rétablissement du refroidissement à la suite d’une perte de caloporteur.

L’entretien et les essais de fiabilité menés lorsque la disponibilité du RUC est requise doivent être effectués sans que ne soit réduite l’efficacité du système en-deçà des LCO.

Le système de refroidissement d’urgence du cœur du réacteur doit être conçu pour permettre l’inspection périodique des composants et des essais périodiques adéquats en vue de la vérification du rendement.

Advenant un accident nécessitant l’injection de liquide de refroidissement d’urgence, l’opérateur doit se trouver dans l’impossibilité d’empêcher facilement la procédure d’injection.

Tous les composants du RUC susceptibles de contenir des matières radioactives doivent être situés à l’intérieur de l’enceinte de confinement ou dans un bâtiment adjacent de celle-ci.

Toutes les conduites du RUC situées dans un bâtiment adjacent de l’enceinte de confinement pouvant contenir des matières radioactives provenant du cœur du réacteur doivent répondre aux exigences suivantes :

• celles relatives aux pénétrations métalliques du confinement
• toutes les conduites et tous les composants du circuit de recirculation du RUC qui sont ouverts à l’atmosphère de l’enceinte de confinement sont conçus pour résister à une pression supérieure à la pression nominale de l’enceinte de confinement
• tous les circuits de recirculation du RUC sont logés dans une structure de confinement apte à prévenir les fuites radioactives dans l’environnement et dans les structures adjacentes
• cette structure de confinement est dotée d’un dispositif de détection des fuites radioactives et de moyens de renvoi des matières radioactives dans le circuit de recirculation ou de collecte pour les entreposer ou les traiter dans un système conçu à cette fin

Que le système de recirculation du RUC soit à l’intérieur ou à l’extérieur du confinement, les boucles des conduites de refroidissement primaires et secondaires doivent être dotées de dispositifs de détection des fuites. Ces dispositifs de détection des fuites doivent être tels que, dès la détection de radioactivité dans le circuit de recirculation du RUC, les boucles puissent être isolées conformément aux exigences relatives à l’isolation de l’enceinte de confinement.

Le RUC doit être conçu pour éviter que toute manœuvre accidentelle mettant en cause une partie ou la totalité du système ne compromette la sûreté du réacteur.

8.6 Systèmes de confinement

Le confinement est une fonction de sûreté fondamentale et toute installation dotée d’un réacteur doit disposer d’un moyen de l’assumer.

8.6.1 Caractéristiques du confinement

Le confinement doit être conçu de manière à assurer qu’un rejet de matières radioactives dans l’environnement, à la suite d’un accident impliquant une perturbation du cœur, ne dépasse pas les limites acceptables. Le confinement doit comprendre des barrières matérielles conçues pour éviter ou atténuer le rejet non planifié de matières radioactives dans l’environnement en mode de fonctionnement normal, en cas d’IFP, d’AD et, dans la mesure du possible, d’AHD.

Pour remplir sa fonction fondamentale, le système de confinement doit permettre :

• le contrôle de la pression et de la température
• l’isolation de l’enceinte de confinement
• l’étanchéité de l’enceinte de confinement
• un point de rejet contrôlé (qui est habituellement surélevé)
• le contrôle des gaz combustibles
• la réduction de la concentration de matières radioactives libres se trouvant dans l’enceinte de confinement
• une protection contre les événements externes
• un blindage contre le rayonnement

Le système de confinement doit être conçu avec une fiabilité suffisante pour répondre à deux exigences générales importantes.

Premièrement, les caractéristiques du confinement doivent être déterminées par l’analyse de sûreté. Il convient de spécifier les accidents auxquels le confinement doit pouvoir faire face. Des analyses doivent être effectuées pour démontrer que les exigences relatives au confinement ont été respectées. Les systèmes et sous-systèmes essentiels au bon fonctionnement du confinement doivent être identifiés.

Deuxièmement, il faut définir le dimensionnement et les différents modes d’exploitation des dispositifs techniques de sûreté. Il faut également identifier le degré d’automatisation du confinement et les conditions nécessitant son contournement manuel. La conception du confinement doit présenter les caractéristiques suivantes :

1. fiabilité des composants, indépendance des systèmes, redondance, caractéristiques de sûreté intégrée, diversité et séparation distincte des systèmes redondants
2. utilisation de matériaux permettant de résister aux AD et aux AHD hypothétiques (par ex. liés aux niveaux de rayonnement ou à la décomposition radiolytique)
3. lmesures d’inspection, d’essais périodiques et d’entretien (y compris en conditions d’AD simulé, si possible) destinées à vérifier que le système de confinement fonctionne toujours ou remplit ses fonctions de façon fiable et efficace sur demande

Pour assurer le fonctionnement correct du système de confinement, la pression s’exerçant à l’intérieur d’une barrière doit être maintenue à un niveau permettant d’éviter le rejet non contrôlé de matières radioactives dans l’environnement. Lors de l’établissement de cette pression, il faut tenir compte des conditions atmosphériques (p. ex. vitesse du vent, pression atmosphérique, etc.).

La conception du système de confinement doit tenir compte des effets de conditions extrêmes (par ex. d’explosions à l’intérieur de la barrière) et de conditions environnementales attribuables à des accidents, y compris les conditions découlant d’événements externes et internes, conformément aux exigences du dimensionnement.

Les barrières doivent présenter des marges appropriées pour résister aux charges de pression et de température théoriques maximales prévues en cas d’AD et de certains AHD.

Le taux de rejet admissible en cas d’AD et de certains AHD doit être déterminé en tenant compte du terme source et d’autres paramètres tels que la filtration, le point de rejet, les conditions environnementales ainsi que la pression et la température.

Dans l’éventualité d’un AD ou de certains AHD (y compris ceux susceptibles de provoquer des augmentations de pression) dans lesquels le contrôle des fuites de la barrière est essentiel pour prévenir les rejets de matières radioactives dans l’environnement au-delà des limites établies, chaque pénétration des barrières doit pouvoir être scellée de manière automatique et fiable.

La conception doit prévoir des dispositions permettant d’effectuer un essai initial et des essais périodiques destinés à vérifier les débits de fuite d’air et le fonctionnement du système de ventilation.

Lorsque le confinement dépend de l’efficacité de filtres, la conception doit prévoir des mesures adéquates pour l’essai périodique in situ de leur efficacité.

Les revêtements des structures et composants qui remplissent la fonction de confinement doivent être minutieusement sélectionnés et leurs méthodes d’application clairement spécifiées pour assurer la concrétisation de leurs fonctions de sûreté et minimiser les interférences avec d’autres fonctions de sûreté en cas de détérioration.

8.7 Transfert de chaleur vers une source froide finale

La conception doit prévoir des systèmes pour transférer la chaleur résiduelle des SSC importants pour la sûreté vers une source froide finale. Cette fonction doit être très fiable en mode de fonctionnement normal, d’IFP et d’AD. Tous les systèmes contribuant au transport de la chaleur en l’évacuant, en fournissant de l’énergie ou en alimentant les systèmes caloporteurs en fluides, doivent être conçus selon l’importance de leur apport à la fonction de transfert de chaleur dans son ensemble.

Les phénomènes naturels et les événements d’origine humaine doivent être pris en compte lors de la conception des systèmes de transfert de chaleur et dans le choix du type de diversité et de redondance des sources froides finales et des systèmes de stockage qui fournissent les fluides caloporteurs.

La conception doit prévoir une capacité accrue pour le transfert de la chaleur résiduelle du cœur du réacteur vers une source froide finale en cas d’accident grave.

8.8 Système d’évacuation d’urgence de la chaleur

La conception doit prévoir un système d’évacuation d’urgence de la chaleur (SEUC) qui évacue la chaleur résiduelle afin de respecter les limites de conception du combustible et les conditions de l’enveloppe du caloporteur.

Si la conception de l’installation est telle que le SEUC doit être mis à profit pour atténuer les conséquences d’un AD, le SEUC doit être conçu à titre de système de sûreté.

En cas d’accident, le fonctionnement normal du SEUC ne doit pas dépendre du réseau électrique.

Lorsqu’une alimentation en eau pour le SEUC est nécessaire, celle-ci doit provenir d’une source autre que le système normal d’alimentation en eau.

La conception doit être telle que les essais de fiabilité et l’entretien puissent être effectués sans réduire l’efficacité du système en deçà de celle requise par les LCO.

Le SEUC doit être conçu pour éviter que toute manœuvre accidentelle mettant en cause une partie ou la totalité du système ne compromette la sûreté du réacteur.

Lorsque l’alimentation en eau en cas d’incendie ou que d’autres composants du système sont interconnectés au SEUC, le fonctionnement de l’un ne doit pas entraver le fonctionnement de l’autre.

8.9 Alimentation électrique normale et d’urgence

Il convient de spécifier le dimensionnement des systèmes d’alimentation électrique normale et d’alimentation électrique d’urgence (AEU). Dans la mesure du possible, la conception doit prévoir des sources d’électricité fiables pour les fonctions essentielles en mode de fonctionnement normal, d’IFP, d’AD et, dans la mesure du possible, d’AHD.

La nécessité de systèmes d’alimentation sans coupure doit être évaluée.

La capacité et la fiabilité du système d’AEU doivent suffire, à l’intérieur d’un temps de mission spécifié, à fournir toute la puissance nécessaire pour maintenir l’installation du réacteur dans un état sécuritaire et assurer la sûreté nucléaire en cas d’AD. Ces exigences doivent être respectées à la suite d’une perte d’origine commune de l’alimentation électrique externe susceptible d’être attribuable à un IFP et en présence d’une défaillance unique de l’AEU.

Le système d’AEU doit posséder une capacité suffisante, à l’intérieur d’un temps de mission spécifié, pour soutenir les interventions liées à la gestion d’accidents graves.

Le système d’AEU doit être doté d’équipements de commande, de surveillance et d’essai appropriés. La conception doit garantir que l’alimentation électrique d’urgence :

• respecte la durée maximale spécifiée d’interruption des alimentations électriques en courant continu et en courant alternatif
• soit enclenchée automatiquement ou manuellement à la suite d’un AD, tel que déterminé dans les exigences de sûreté de l’installation du réacteur
• puisse faire l’objet d’essais dans des conditions de charges nominales

Lors de la sélection et du tracé des câbles électriques et d’interface, il convient de tenir compte des mécanismes de défaillance d’origine commune tels que l’interférence électrique et les incendies et d’adopter des solutions appropriées (p. ex. séparation, redondance, utilisation de matériaux adéquats, etc.).

8.10 Salles de commande

La conception doit prévoir des salles de commande à partir desquelles le réacteur peut être exploité en toute sécurité, et où des mesures peuvent être prises pour maintenir ou remettre le réacteur dans un état sécuritaire à la suite d’IFP, d’AD et, dans la mesure du possible, d’AHD. Les salles de commande doivent comporter une salle de commande principale (SCP) et une salle de commande auxiliaire (SCA), si nécessaire. La nécessité d’avoir une salle de commande auxiliaire ou un centre de soutien d’urgence (CSU) est déterminée par le dossier de sûreté.

La conception de la SCP et de la SCA, si celle-ci est aménagée, doit empêcher qu’un événement affecte simultanément les deux salles au point où les fonctions de sécurité essentielles ne puissent être exécutées.

8.10.1 Salle de commande principale

La conception doit identifier les événements internes et externes à la SCP qui peuvent constituer une menace directe pour l’exploitation continue de la salle de commande, et prévoir des mesures pratiques pour minimiser les effets de ces événements.

Les fonctions de sûreté enclenchées par la logique de contrôle automatique à la suite d’un accident doivent aussi pouvoir être actionnées manuellement depuis la salle de commande principale et depuis les salles de commande auxiliaires si celles-ci sont aménagées.

La disposition des commandes et des instruments, ainsi que le mode et le format utilisé pour transmettre l’information, doivent fournir au personnel d’exploitation une représentation globale adéquate de l’état et du rendement de l’installation du réacteur ainsi que les renseignements nécessaires pour appuyer les interventions des opérateurs.

La conception de la SCP doit procurer un éclairage et un environnement thermique appropriés et réduire le bruit à des niveaux conformes aux normes et aux codes acceptables.

La conception de la SCP doit tenir compte de facteurs ergonomiques pour assurer l’accessibilité physique et visuelle aux contrôles et affichages, sans effets indésirables sur la santé et le niveau de confort.

Le câblage des instruments et de l’équipement de contrôle de la SCP doit être configuré de façon à ce qu’un incendie dans la salle de commande auxiliaire ne puisse désactiver l’équipement de la SCP.

La conception de la SCP doit prévoir des indications visuelles et, si nécessaire, sonores sur les états et les procédés opérationnels de l’installation du réacteur qui ont dévié de l’état normal et qui pourraient affecter la sûreté.

La conception doit aussi permettre l’affichage de l’information nécessaire pour surveiller les effets des commandes automatiques de tous les systèmes de commande, de sûreté et de support en matière de sûreté.

La SCP doit être pourvue de lignes de communication sécurisées avec le centre de soutien d’urgence (si celui-ci est aménagé) et les organisations d’intervention d’urgence externes, puis permettre des périodes de fonctionnement prolongées.

8.10.1.1 Système d’affichage des paramètres de sûreté

La SCP doit être dotée d’un système d’affichage des paramètres de sûreté qui présente suffisamment d’informations essentielles pour le diagnostic et l’atténuation des conséquences d’AD ou d’AHD, incluant les accidents graves.

Le système d’affichage des paramètres de sûreté doit être conçu de sorte que les mêmes données soient disponibles de façon sécuritaire au centre de soutien d’urgence.

Le système d’affichage des paramètres de sûreté doit être intégré à la conception globale de l’interface homme-machine de la salle de commande et s’y harmoniser.

8.10.2 Salle de commande auxiliaire

Cette section s’applique en cas d’aménagement d’une SCA.

La conception doit au besoin comprendre une salle de commande auxiliaire (SCA), séparée physiquement et électriquement de la SCP, et à partir de laquelle l’installation peut être placée et maintenue dans un état d’arrêt sécuritaire lorsque l’on ne peut pas exécuter les fonctions de sûreté essentielles depuis la SCP.

La conception doit déterminer tous les événements susceptibles de constituer une menace directe à l’exploitation de la SCA.

Pour tout EDH, au moins une salle de commande doit être habitable et accessible par une voie approuvée.

L’instrumentation, l’équipement de commande et les systèmes d’affichage doivent être disponibles dans la SCA de sorte que les fonctions de sûreté essentielles puissent être exécutées, que les variables essentielles de l’installation du réacteur puissent être surveillées et que les interventions de l’opérateur puissent être effectuées.

Les fonctions de sûreté activées par la logique de commande automatique en réponse à un accident doivent aussi pouvoir être enclenchées manuellement depuis la SCP et la SCA.

La conception de la SCA doit fournir un éclairage et un environnement thermique appropriés et maintenir le bruit à des niveaux conformes aux normes et aux codes applicables.

La conception de la SCA doit comporter des facteurs ergonomiques pour assurer l’accessibilité physique et visuelle aux contrôles et affichages, sans effet indésirable sur la santé et le niveau de confort.

Le câblage des instruments et de l’équipement de contrôle de la SCA doit être configuré pour qu’un incendie dans la salle de commande principale ne puisse désactiver l’équipement de la SCA.

La SCA doit être dotée d’un système d’affichage des paramètres de sûreté similaire à celui de la SCP. Au minimum, ce système doit fournir l’information nécessaire pour faciliter la gestion du réacteur lorsque la SCP est inhabitable.

La SCA doit être pourvue de lignes de communication sécurisées avec le centre de soutien d’urgence et les organisations d’intervention d’urgence externes, si celles-ci sont déployées.

La SCA doit être conçue en prévision de périodes d’exploitation prolongées.

8.10.3 Centre de soutien d’urgence

Cette section s’applique en cas d’aménagement d’un CSU.

La conception doit prévoir un centre de soutien d’urgence séparé des salles de commande principale et secondaire à l’intention du personnel d’intervention d’urgence.

Le CSU doit être pourvu de moyens de communication sécurisés avec la SCP, la SCA et d’autres points importants de l’installation, ainsi qu’avec les organisations d’intervention d’urgence sur le site et hors du site.

Le CSU doit être doté d’un système d’affichage des paramètres de sûreté similaire à celui utilisé dans la SCP. Il doit également comprendre des données sur les conditions radiologiques et météorologiques dans l’installation du réacteur et ses environs immédiats.

La conception du SCU doit assurer un éclairage et un environnement thermique appropriés et réduire le bruit à des niveaux conformes aux normes et aux codes applicables.

8.10.4 Exigences relatives à l’équipement en cas d’accidents

Si l’intervention de l’opérateur est requise pour actionner tout équipement d’un système de sûreté ou système de support de sûreté, toutes les exigences suivantes doivent être satisfaites :

• les mesures à prendre doivent être décrites par des procédures opérationnelles claires, bien définies, validées et immédiatement accessibles
• les salles de commande doivent comporter des instruments fournissant une indication claire et non ambiguë de la nécessité de l’intervention de l’opérateur
• à la suite d’une alerte indiquant la nécessité d’une intervention de l’opérateur dans la SCP, une période minimale de 15 minutes est accordée avant que son intervention soit requise
• à la suite d’une alerte indiquant la nécessité d’une intervention de l’opérateur à l’extérieur de la SCP, une période minimale de 30 minutes est accordée avant que son intervention soit requise

Pour les mesures enclenchées automatiquement par les systèmes de sûreté et la logique de contrôle, la conception doit faciliter l’activation manuelle du système de secours depuis l’intérieur de la salle de commande appropriée.

8.11 Traitement et contrôle des déchets

La conception de l’installation du réacteur doit réduire au minimum la production de déchets radioactifs et dangereux. Il convient de prévoir des systèmes destinés à la surveillance et à la manutention des déchets radioactifs et dangereux ainsi que leur stockage sur le site pendant une période raisonnable.

Pour réduire l’exposition du personnel et minimiser les rejets radioactifs dans l’environnement conformément au principe ALARA, la conception doit prévoir :

• des dispositifs comme des blindages, des réservoirs de désactivation et/ou des systèmes de désintégration
• des mesures de traitement des effluents liquides et gazeux afin de maintenir les quantités et les concentrations des contaminants rejetés à l’intérieur des limites établies
• des dispositions appropriées pour la manutention et l’entreposage sécuritaires des déchets radioactifs et non radioactifs sur l’emplacement pendant une période de temps conforme aux options offertes pour la gestion et l’élimination des déchets à l’extérieur de l’emplacement

8.11.1 Contrôle des rejets liquides dans l’environnement

Pour s’assurer que les émissions et les concentrations demeurent dans les limites établies, la conception doit comprendre des moyens appropriés de contrôle des rejets liquides dans l’environnement, conformément au principe ALARA.

La conception doit comprendre un système de gestion des déchets liquides d’une capacité suffisante pour recueillir, conserver, mélanger, pomper, tester, traiter et échantillonner les déchets liquides avant leur élimination, en tenant compte des rejets prévus et des déversements ou des décharges accidentels.

8.11.2 Contrôle des matières présentes dans l’air à l’intérieur de l’installation du réacteur

La conception doit comprendre des systèmes de gestion des déchets gazeux capables de :

• contrôler tous les contaminants gazeux conformément au principe ALARA et de s’assurer que les concentrations demeurent dans les limites établies
• capter tous les gaz, vapeurs et particules volatiles potentiellement radioactifs présents dans l’air, à des fins de surveillance
• mener tous les gaz, vapeurs et particules volatiles potentiellement radioactifs dans des pré-filtres, des filtres absolus, des filtres au charbon ou des filtres à haute efficacité contre les particules, le cas échéant
• retarder les rejets de sources potentielles de gaz nobles à l’aide d’un système de traitement des effluents gazeux de capacité suffisante

La conception doit prévoir un système de ventilation muni d’un système de filtration approprié permettant de :

• prévenir la dispersion inacceptable des contaminants présents dans l’air de l’installation du réacteur
• réduire les concentrations de matières radioactives présentes dans l’air à des niveaux compatibles avec les besoins d’accès de chaque zone particulière
• maintenir le niveau des matières radioactives présentes dans l’air de l’installation du réacteur en deçà des limites établies, le principe ALARA s’appliquant en mode d’exploitation normale
• ventiler les salles contenant des gaz inertes ou nocifs, sans diminuer la capacité de contrôler les rejets radioactifs

8.11.3 Contrôle des rejets gazeux dans l’environnement

Le système de ventilation doit comprendre des dispositifs de filtration destinés à :

• contrôler les rejets de contaminants gazeux et de substances dangereuses dans l’environnement
• assurer la conformité au principe ALARA
• maintenir les niveaux de contaminants présents dans l’air dans les limites établies

Le système de filtration doit être suffisamment fiable pour que les limites des facteurs de rétention soient respectées dans les conditions prédominantes prévues. Le système doit en outre être conçu pour faciliter les essais appropriés.

8.12 Manutention et stockage du combustible

8.12.1 Manutention et stockage de combustible non irradié

La conception des systèmes de manutention et de stockage de combustible non irradié doit garantir la sûreté nucléaire en matière de criticité en :

• maintenant une marge approuvée de sous-criticité à l’aide de moyens ou de procédés physiques, de préférence par une configuration géométrique sécuritaire, autant en conditions normales qu’en conditions anormales crédibles dont la fréquence est égale ou supérieure à 10^-6 par année
• réduisant au minimum les conséquences des accidents de criticité hypothétiques sur le personnel de l’installation du réacteur
• atténuant les conséquences hors site des accidents de criticité hypothétiques

Les documents RD-327, Sûreté en matière de criticité nucléaire, et GD-327, Directives de sûreté en matière de criticité nucléaire, contiennent d’autres renseignements sur ce sujet.

La conception doit aussi :

• permettre l’entretien, l’inspection périodique et les essais appropriés des composants essentiels pour la sûreté
• permettre l’inspection du combustible non irradié
• prévenir la perte ou les dommages au combustible
• satisfaire aux exigences de garanties du Canada concernant l’enregistrement et les comptes rendus des données de comptabilisation et la surveillance des flux et des inventaires liés au combustible non irradié contenant des matières fissiles

8.12.2 Manutention et stockage de combustible irradié

La conception des systèmes de manutention et de stockage de combustible irradié doit garantir la sûreté nucléaire en matière de criticité en :

• maintenant une marge approuvée de sous-criticité à l’aide de moyens ou de procédés physiques, de préférence par une configuration géométrique sécuritaire, autant en conditions normales qu’en conditions anormales crédibles dont la fréquence est égale ou supérieure à 10^-6 par année
• réduisant au minimum les conséquences des accidents de criticité hypothétiques sur le personnel de l’installation du réacteur
• atténuant les conséquences hors site des accidents de criticité hypothétiques

Les documents RD-327, Sûreté en matière de criticité nucléaire, et GD-327, Directives de sûreté en matière de criticité nucléaire, contiennent d’autres renseignements sur ce sujet.

La conception doit :

• permettre l’évacuation appropriée de la chaleur en mode de fonctionnement normal, d’IFP, d’AD et, dans la mesure du possible, d’AHD
• permettre l’inspection du combustible irradié
• permettre l’entretien, l’inspection périodique et les essais des composants
• prévenir la chute de combustible irradié en transit
• prévenir les contraintes inacceptables sur les éléments ou les assemblages de combustible attribuables à leur manutention
• prévenir la chute accidentelle d’objets et d’équipement lourds sur les assemblages de combustible
• permettre l’inspection et le stockage sécuritaire des éléments ou des assemblages de combustible suspects ou endommagés
• fournir des moyens de radioprotection adéquats
• identifier adéquatement les modules de combustibles
• faciliter l’entretien et le déclassement des installations de stockage et de manutention du combustible
• faciliter, au besoin, la décontamination des aires et de l’équipement de manutention et de stockage du combustible
• assurer la mise en place de procédures d’exploitation et de comptabilisation adéquates pour suivre le stock de combustible
• prévoir des mesures pour protéger le combustible irradié des menaces directes ou des actes de sabotage
• satisfaire aux exigences de garanties du Canada concernant l’enregistrement et les comptes rendus des données de comptabilisation et la surveillance des flux et des inventaires liés au combustible irradié contenant des matières fissiles

La conception d’une piscine d’eau pour le stockage du combustible irradié doit prévoir des dispositifs visant à :

• contrôler la composition et l’activité chimique de l’eau dans laquelle le combustible irradié est manipulé ou stocké
• surveiller et contrôler le niveau de l’eau dans la piscine de stockage de combustible
• détecter les fuites
• empêcher que la piscine ne se vide en cas de rupture de conduite
• ménager un espace suffisant pour accueillir au besoin l’ensemble du stock du cœur du réacteur

8.12.3 Détection de combustible défectueux

La conception doit prévoir un moyen pour détecter de façon fiable les défauts du combustible dans le réacteur et l’enlever par la suite si les niveaux d’intervention possibles sont dépassés.

8.13 Systèmes auxiliaires

La défaillance d’un système auxiliaire, indépendamment de son importance sur le plan de la sûreté, ne peut en aucun cas compromettre la sûreté de l’installation du réacteur.

Il convient de prendre des mesures adéquates pour prévenir le rejet de matières radioactives dans l’environnement en cas de défaillance d’un système auxiliaire contenant des matières radioactives.

---

Abréviations

Abréviations
AD	accident de dimensionnement
AEU	alimentation électrique d’urgence
AHD	accident hors dimensionnement
AIEA	Agence internationale de l’énergie atomique
ALARA	le plus faible qu’il soit raisonnablement possible d’atteindre
CCSN	Commission canadienne de sûreté nucléaire
CN	centrale nucléaire
CSU	centre de soutien d’urgence
EAG	état d’arrêt garanti
EMR	évaluation des menaces et des risques
EPS	étude probabiliste de sûreté
IEP	incident de fonctionnement prévu
LCO	limites et conditions opérationnelles
LSRN	Loi sur la sûreté et la réglementation nucléaires
MI	menace improbable
MR	menace de référence
RUC	refroidissement d’urgence du cœur du réacteur
SCA	salle de commande auxiliaire
SCP	salle de commande principale
SUEC	système d’évacuation d’urgence de la chaleur
SR	séisme de référence
SRR	système de refroidissement du réacteur
SSC	structures, systèmes et composants

Glossaire

Accident

Événement inattendu, y compris les erreurs d’exploitation, les défaillances de l’équipement ou autres incidents dont les conséquences réelles ou potentielles ne sont pas négligeables du point de vue de la protection ou de la sûreté.

Dans le cadre de ce document, les accidents incluent les accidents de dimensionnement et les accidents hors dimensionnement. Les accidents excluent les incidents de fonctionnement prévus qui ont des conséquences négligeables en matière de protection ou de sûreté.

Accident de dimensionnement

Conditions d’accident par rapport auxquelles est conçue l’installation du réacteur, conformément aux critères d’acceptation établis, et pour lesquelles les dommages causés au combustible et les rejets de matières radioactives sont maintenus à l’intérieur des limites autorisées.

Accident grave

Accident hors dimensionnement caractérisé par une détérioration du cœur du réacteur.

Accident hors dimensionnement

Conditions d’accident moins fréquentes, mais plus graves que celles associées à un accident de dimensionnement. Un accident hors dimensionnement peut entraîner ou non la détérioration du cœur du réacteur.

Acte malveillant

Acte illégal ou acte commis dans l’intention de causer des torts.

Analyse de sûreté

Analyse à l’aide d’outils analytiques appropriés qui établit et confirme le dimensionnement des composants importants pour la sûreté et permet de s’assurer que la conception globale de l’installation du réacteur répond aux critères d’acceptation pour chaque état d’exploitation du réacteur.

Analyse des dangers

L’analyse des dangers consiste à recueillir et évaluer des données sur l’installation du réacteur afin d’identifier les dangers connexes et de déterminer ceux qui sont importants et qu’il faut examiner.

Analyse déterministe de sûreté

Analyse des mesures prises dans l’installation du réacteur à la suite d’un événement, effectuée à l’aide de règles et d’hypothèses prédéterminées (p. ex., celles concernant l’état initial de l’installation, la disponibilité et les rendements des systèmes et les interventions de l’opérateur). Les analyses déterministes de sûreté peuvent être réalisées avec la méthode prudente ou la méthode de type réaliste.

Caractéristique de conception complémentaire

Caractéristiques de conception faisant partie de l’enveloppe de dimensionnement pouvant servir pour faire face aux accidents hors dimensionnement, y compris les accidents graves.

Chaleur résiduelle

Somme de la chaleur dégagée par la désintégration radioactive, la fission du combustible en mode d’arrêt du réacteur et la chaleur emmagasinée dans les structures, systèmes et composants du réacteur.

Combustion

Processus chimique comprenant une oxydation suffisante pour produite de la chaleur ou de la lumière.

Concepteur responsable

Organisme auquel l’autorité en matière de conception a délégué la responsabilité de la conception de certains aspects du réacteur.

Conception à sûreté intégrée (défaillance sécuritaire)

Conception dont les modes de défaillance les plus probables n’entraînent pas de réduction de la sûreté.

Conception éprouvée

La conception d’un composant peut être éprouvée en démontrant sa conformité à des normes techniques acceptées, par l’historique de l’expérience, par des tests ou par une combinaison de ces éléments. Les nouveaux composants sont « éprouvés » en les soumettant à un certain nombre de tests d’acceptation et de démonstration démontrant qu’ils répondent aux critères préétablis.

Confinement

Méthode ou structure physique conçue pour empêcher le rejet de substances radioactives. Terme généralement utilisé pour les réacteurs nucléaires.

Conservatisme

Recours à des hypothèses fondées sur l’expérience ou des données indirectes concernant un phénomène ou un comportement d’un système à la limite ou proche de la limite prévue, qui permettent d’augmenter les marges de sûreté ou de prédire des conséquences plus graves que si des hypothèses fondées sur la meilleure estimation avaient été utilisées.

Crédité

Dans le cadre d’une analyse, présomption du fonctionnement correct d’un ouvrage, système ou composant ou d’une intervention appropriée de l’opérateur.

Critères d’acceptation

Limites établies sur la valeur d’un indicateur fonctionnel ou conditionnel utilisé pour évaluer la capacité d’un ouvrage, d’un système ou d’un composant à répondre aux exigences de conception et de sûreté.

Culture axée sur la sûreté

Caractéristiques de l’environnement de travail, comme les valeurs, les règles et la compréhension commune, qui influent sur les perceptions et les attitudes des employés à l’égard de l’importance que l’organisation accorde à la sûreté.

Danger externe

Événement naturel ou d’origine humaine se produisant à l’extérieur de l’emplacement et dont les effets sur l’installation du réacteur peuvent être considérés comme potentiellement dangereux.

Défaillance d’origine commune

Défaillance simultanée de deux ou plusieurs structures, systèmes ou composants attribuables à un événement ou une cause unique tel qu’un phénomène naturel (séismes, tornades, inondations, etc.), une défaillance de conception, des défauts de fabrication, des erreurs d’exploitation et d’entretien, des événements destructeurs d’origine humaine et autres.

Défaillance unique

Défaillance résultant de la perte de capacité d’un système ou d’un composant l’empêchant d’exécuter sa ou ses fonctions de sûreté prévues et toute défaillance qui pourrait en résulter.

Défense en profondeur

Mise en place hiérarchisée de différents niveaux d’équipements et de procédures variés pour prévenir la multiplication des incidents de fonctionnement prévus et maintenir l’efficacité des barrières physiques placées entre une source de rayonnements ou des matières radioactives et les travailleurs, les personnes du public ou l’environnement, dans différentes conditions de fonctionnement et, pour certaines barrières, dans des conditions accidentelles..

Dimensionnement

Gamme des conditions et des événements pris en compte dans la conception des structures, systèmes et composants d’une installation nucléaire, conformément aux critères établis, de sorte que l’installation puisse leur résister sans dépasser les limites autorisées par le fonctionnement prévu des systèmes de sûreté. Le dimensionnement comprend la description de la conception, les manuels et les dessins de conception, et le rapport d’analyse de sûreté.

Diversité

Présence de deux ou plusieurs systèmes ou composants redondants servant à exécuter une fonction définie, où les différents systèmes ou composants présentent des attributs distincts afin de diminuer la possibilité de défaillance d’origine commune.

Dommage au cœur du réacteur

Séquence d’accidents plus grave qu’un accident de dimensionnement comportant une détérioration du cœur du réacteur.

Dossier de sûreté

Rassemblement d’arguments et d’éléments probants destinés à démontrer la sûreté d’une installation. Le dossier de sûreté comprend habituellement une évaluation de la sûreté, mais peut aussi comprendre des renseignements (dont des preuves objectives et des raisonnements) sur la robustesse et la fiabilité de l’évaluation de la sûreté et des hypothèses qui s’y rapportent.

Enceinte de confinement

Enveloppe continue, sans ouverture ou pénétrations, qui empêche le rejet de matières radioactives à l’extérieur de l’espace clos.

Enveloppe de conception

L’enveloppe de conception comprend le dimensionnement et les caractéristiques de conception complémentaires.

Enveloppe sous pression

Enveloppe de toute cuve, système ou composant sous pression d’un système nucléaire ou non nucléaire.

Environnement

Composants terrestres comprenant :

• les terres, les eaux et l’air, incluant toutes les couches de l’atmosphère
• toutes les matières organiques et inorganiques et les organismes vivants
• les systèmes naturels en interaction comprenant les composants susmentionnés

État d’arrêt

État sous-critique du réacteur présentant une marge définie pour éviter un retour à la criticité sans intervention externe.

État du réacteur

Configuration de composants de l’installation dotée du réacteur, y compris les états physiques et thermodynamiques des matériaux et leurs fluides de traitement.

Aux fins du présent document, les états du réacteur comprennent l’exploitation normale, l’incident de fonctionnement prévu, l’accident de dimensionnement ou l’accident hors dimensionnement (les accidents graves sont des sous-ensembles des états d’accident hors dimensionnement).

Étude probabiliste de sûreté (EPS)

Évaluation exhaustive et intégrée de la sûreté de l’installation dotée du réacteur. L’évaluation de sûreté tient compte de la probabilité, de la progression et des conséquences des défaillances de l’équipement ou de conditions transitoires pour calculer des estimations numériques qui fournissent une mesure cohérente de la sûreté de l’installation dotée du réacteur, de la façon suivante :

• Une EPS de niveau 1 identifie et quantifie les séquences d’événements qui peuvent entraîner la perte d’intégrité structurale du cœur et la défaillance généralisée du combustible
• Une EPS de niveau 2 s’appuie sur les résultats de l’EPS de niveau 1 pour analyser le comportement du confinement, évaluer les radionucléides libérés par le combustible défectueux et quantifier les rejets dans l’environnement
• Une EPS de niveau 3 s’appuie sur les résultats de l’EPS de niveau 2 pour analyser la répartition des radionucléides dans l’environnement et évaluer les répercussions sur la santé du public

Évaluation de la sûreté

Processus systématique mené tout au long de la phase de conception de la centrale pour s’assurer que celle-ci respecte toutes les exigences pertinentes utilisées pour l’évaluation de la sûreté.

Évaluation des menaces et des risques

Évaluation de la pertinence d’un système de protection physique existant ou projeté, conçu pour la protection contre :

• les actes intentionnels qui pourraient constituer une menace pour la sûreté de l’installation nucléaire
• l’exploitation de faiblesses des mesures de protection physique d’une installation nucléaire

Événement ayant une origine commune

Événement qui provoque des défaillances ayant une origine commune.

Événement déclencheur hypothétique

Événement identifié dans la conception et entraînant soit un incident de fonctionnement prévu, soit d’autres conditions d’accident. Il en découle que l’EDH n’est pas nécessairement un accident en soi. Il déclenche plutôt une séquence susceptible de dégénérer en incident de fonctionnement, en accident de dimensionnement ou en accident hors dimensionnement, selon les autres défaillances qui surviennent.

Événement externe

Tout événement se produisant dans l’environnement externe d’une installation dotée d’un réacteur et pouvant provoquer une défaillance des structures, systèmes et composants. Les événements externes englobent, sans toutefois s’y limiter, les tremblements de terre, les inondations et les ouragans.

Événement interne

Événement se produisant dans l’installation du réacteur attribuable à une erreur humaine ou à une défaillance d’un ouvrage, d’un système ou d’un composant.

Exploitation normale

Exploitation d’une installation dotée d’un réacteur à l’intérieur de limites et de conditions opérationnelles définies, y compris le démarrage, l’exploitation en puissance, la mise à l’arrêt, l’entretien, les essais et le rechargement de combustible.

Facteurs humains

Facteurs qui ont une influence sur le rendement du personnel et qui touchent la sûreté de l’installation du réacteur, y compris les activités durant les phases de conception, de construction, de mise en service, d’exploitation, d’entretien et de déclassement.

Fonction de sûreté

But précis qui doit être atteint pour maintenir la sûreté.

Formation de missiles

Danger interne associé à la projection soudaine de débris à grande vitesse.

Fréquence des dommages causés au cœur du réacteur

Expression de la probabilité qu’un accident puisse endommager le combustible se trouvant dans le réacteur compte tenu de la conception et du mode d’exploitation du réacteur.

Fuite avant rupture

Situation où la fuite causée par un défaut est détectée en mode d’exploitation normale, permettant ainsi d’arrêter le réacteur et de le dépressuriser avant que l’anomalie ne se transforme en rupture.

Garanties

Système d’inspections internationales et autres activités de vérification entreprises par l’Agence internationale de l’énergie atomique (AIEA) afin d’évaluer, sur une base annuelle, si le Canada se conforme à ses obligations conformément aux accords de garanties conclus entre le Canada et l’AIEA.

Gestion du vieillissement

Mesures d’ingénierie, d’exploitation et d’entretien destinées à contrôler, dans les limites acceptables, les effets du vieillissement physique et la vétusté des structures, systèmes et composants.

Groupe de sûreté

Assemblage de structures, systèmes et composants conçu pour effectuer toutes les mesures requises au cours d’un événement déclencheur hypothétique particulier pour que les limites établies des états d’incidents de fonctionnement prévus et d’accidents de dimensionnement ne soient pas dépassées. Le groupe de sûreté peut comprendre des systèmes de sûreté et de soutien, ainsi que toute interaction entre les systèmes fonctionnels.

Groupes essentiels

Groupe de membres du public raisonnablement homogène quant à son exposition à une source de rayonnement donnée et qui est représentatif des personnes recevant la dose la plus élevée ou une dose équivalente (le cas échéant).

Impact d’un jet

Se réfère aux dangers internes potentiels liés à un fluide à haute pression libéré par un composant sous pression.

Incidence néfaste

L’incidence néfaste désigne des risques considérablement plus graves que ceux répertoriés dans le fondement d’autorisation.

Incident de fonctionnement prévu

Processus opérationnel qui s’écarte de l’exploitation normale et qui devrait survenir à tout le moins une fois au cours du cycle de vie utile de l’installation du réacteur, mais qui ne cause pas, selon les dispositions de conception appropriées, de dommage important aux composants importants pour la sûreté ou qui ne se transforme pas en accident.

Installation dotée d’un réacteur

Tout réacteur de fission tel que décrit dans le Règlement sur les installations nucléaires de catégorie I, y compris les structures, systèmes et composants :

• nécessaires pour arrêter le réacteur et assurer son maintien dans un état d’arrêt sûr
• pouvant contenir des matières radioactives et qui ne peuvent être isolés de façon fiable du réacteur
• dont la défaillance peut entraîner un accident limitatif pour le réacteur
• qui sont bien intégrés dans l’exploitation de l’installation nucléaire
• qui sont nécessaires pour maintenir la sécurité et les garanties

Installation nucléaire de catégorie I

Une installation nucléaire de catégorie I désigne une installation nucléaire de catégorie IA ou IB, conformément à la définition donnée par le Règlement sur les installations nucléaires de catégorie I.

Limites et conditions opérationnelles

Ensemble de règles établissant les limites ou conditions des paramètres qui assurent le fonctionnement et les niveaux de performance de l’équipement et du personnel en vue de l’exploitation sécuritaire d’une installation dotée d’un réacteur. Cet ensemble de limites et conditions opérationnelles est surveillé par l’exploitant ou en son nom, et peut être contrôlé par l’opérateur.

Marge de sûreté

Marge attribuée à la valeur ou variable de sûreté d’une barrière ou d’un système, à laquelle des dommages ou des pertes pourraient se produire. Des marges de sûreté sont prises en compte pour les systèmes et barrières dont la défaillance est susceptible de contribuer à des rejets radiologiques.

Matière fissible

Matière pouvant subir une fission nucléaire.

Matière fissile

Matière pouvant subir une réaction en chaîne de fission nucléaire.

Meilleure estimation

Estimation impartiale obtenue par l’utilisation d’un modèle mathématique, d’une méthode de calcul ou de données pour prédire, de façon réaliste, le rendement et les paramètres importants.

Menace de référence

Caractéristiques d’un agresseur potentiel prévoyant l’intégration de contre-mesures dans la conception et l’évaluation du système de protection physique. Les menaces de référence ne sont pas censées causer de détérioration structurelle.

Menace improbable

Conditions de menace plus graves qu’une menace de référence pouvant entraîner une détérioration structurelle et impliquer une dégradation de la barrière de confinement.

Méthode graduée

La méthode graduée est une méthode dans laquelle les contraintes  imposées aux choix de conceptions et aux analyses sont proportionnées au niveau de risque posé par l'installation du réacteur.

Mise en service

Processus consistant en une série d’activités visant à démontrer que les structures, systèmes et composants installés fonctionnent conformément aux devis et aux attentes de conception avant leur mise en service.

Modalités de gestion

Moyens par lesquels une organisation fonctionne pour atteindre ses objectifs, notamment :

• les éléments physiques, tels que les ressources humaines, les bâtiments, les aires de travail, l’équipement, les outils, etc.
• les éléments intangibles, tels que les rôles et les responsabilités, le savoir, les aptitudes et le comportement des gens, les normes culturelles, les accords, les ententes, les processus décisionnels, etc.
• la documentation essentielle

Paramètre de déclenchement

Variable dont la mesure est utilisée pour enclencher un système de sûreté lorsque la valeur seuil de déclenchement est atteinte.

Petit réacteur

Réacteur présentant une puissance inférieure à environ 200 mégawatts thermiques (MW_t) utilisée pour la recherche, la production d’isotopes, la production de vapeur, la production d’électricité ou d’autres usages.

Processus

Ensemble d’activités interreliées qui transforment des intrants en extrants.

Réalisable

Réalisable et justifiable du point de vue technique en tenant compte des facteurs coûts-avantages.

Structures, systèmes et composants

Terme général englobant tous les éléments d’une installation ou d’une activité qui contribuent à la protection et à la sûreté, à l’exclusion des facteurs humains.

Les structures sont des éléments passifs : bâtiments, cuves, boucliers, etc. Un système comprend plusieurs composants assemblés de manière à exécuter une fonction (active) spécifique. Un composant est un élément concret d’un système, par exemple des câbles, des transistors, des circuits intégrés, des moteurs, des relais, des solénoïdes, des conduites, des raccords, des pompes, des réservoirs, des vannes, etc.

Source froide

Système ou composant qui permet le transfert de chaleur depuis une source telle que la chaleur produite par le combustible, jusqu’à un grand milieu qui l’absorbe.

Source froide d’ultime secours

Milieu (normalement un plan d’eau ou l’atmosphère) auquel la chaleur résiduelle peut toujours être transférée, même si tous les autres moyens d’évacuation de la chaleur ont été perdus ou sont insuffisants.

Système de protection physique de la sûreté

Système de sécurité conçu de manière à obliger un agresseur à surmonter ou contourner de multiples obstacles ou barrières, similaires ou différents, réduisant ainsi ses chances d’atteindre son but.

Système de soutien en matière de sûreté

Système conçu pour veiller au fonctionnement d’un système ou de plusieurs systèmes de sûreté.

Système de sûreté

Système qui assure l’arrêt sécuritaire du réacteur ou l’évacuation de la chaleur résiduelle du cœur du réacteur, ou qui atténue les conséquences des incidents de fonctionnement prévus et des accidents de dimensionnement.

Système fonctionnel

Système dont la fonction principale est de soutenir la production de vapeur ou d’électricité ou d’y contribuer.

Système indépendant

Système dont le fonctionnement n’est pas touché par l’exploitation ou la défaillance d’un autre système.

Temps de mission

À la suite d’un événement, période durant laquelle un système ou composant doit fonctionner ou être disponible et exécuter sa fonction.

Zone d’exclusion

Conformément à l’article 1 du Règlement sur les installations nucléaires de catégorie I, une parcelle de terre à l’intérieur ou à proximité d’une installation nucléaire sur laquelle il n’y a pas de résidence permanente et pour laquelle un détenteur de permis a le pouvoir légal d’en exercer le contrôle.

Zone vitale

Conformément à la définition donnée dans le Règlement sur la sécurité nucléaire, il s’agit d’une zone située à l’intérieur d’une zone protégée et contenant de l’équipement, des systèmes, des dispositifs ou des substances nucléaires qui, s’ils étaient sabotés, présenteraient ou seraient susceptibles de présenter, pour l’environnement ou la santé et la sécurité des personnes, un danger inacceptable d’exposition au rayonnement.

---

Renseignements supplémentaires

Les documents suivants présentent des renseignements supplémentaires qui pourraient intéresser les personnes intéressées par la conception d’installations dotées de petits réacteurs :

• Agence canadienne d’évaluation environnementale, Loi canadienne sur l’évaluation environnementale
• Centre de la sécurité des télécommunications, Méthodologie harmonisée d’évaluation des menaces et des risques (EMR), TRA-1, 2007
• Agence internationale de l’énergie atomique, Sûreté des centrales nucléaires : conception. Collection Normes de sûreté n^o NS-R-1, 2000
• Agence internationale de l’énergie atomique, Engineering Safety Aspects of the Protection of Nuclear Power Plants Against Sabotage. Collection Sécurité nucléaire n^o 4, 2007
• Agence internationale de l’énergie atomique, L’utilisation d’une approche progressive dans l’application des prescriptions de sûreté relatives aux réacteurs de recherche. Projet de norme de sûreté DS351, 2009
• Agence internationale de l’énergie atomique, Safety Analysis for Research Reactors. Collection Rapports de sûreté n^o 55, 2008
• Agence internationale de l’énergie atomique, La protection physique des matières et des installations nucléaires, INFCIRC/225/Rev. 4 (corrigée), 1999
• Agence internationale de l’énergie atomique, Orientations et considérations concernant l’application du document INFCIRC/225/Rev. 4, La protection physique des matières et installations nucléaires, TECDOC-967 (Rev.1), 2002
• Agence internationale de l’énergie atomique, Handbook on the Physical Protection of Nuclear Material and Facilities, TECDOC-1276, 2002